资源访问控制方法、装置、电子设备和介质制造方法及图纸

本公开涉及一种资源访问控制方法、装置、电子设备和介质；其中，该方法包括：接收虚拟专用网络VPN客户端发送的登录请求，登录请求包含登录账户的账户标识和认证信息；在根据认证信息对登录账户认证通过后，根据账户标识和预设的内网资源授权规则，确认登录账户被授权的目标资源；根据目标资源确定登录账户的目标访问控制列表ACL，目标ACL包括目标资源的标识信息和目标资源的启用规则；向VPN客户端发送目标ACL；接收VPN客户端发送的目标访问请求。本公开实施例提升了内网资源访问控制管理的精细化程度，以及特定场景的配置灵活性和易用性。性。性。

【技术实现步骤摘要】
资源访问控制方法、装置、电子设备和介质


[0001]本公开涉及网络通信领域，尤其涉及一种资源访问控制方法、装置、电子设备和介质。

技术介绍

[0002]当前移动办公已经成为一种普遍需求，通过虚拟专用网络(VPN)技术，移动办公人员可以在外网安全访问内网资源，然而不同的办公人员可访问的内网资源权限不同，随着内网资源数量和移动办公人员的快速增长，以及瞬息万变的网络环境，如何对内网资源进行高效灵活的访问控制管理，是当前VPN技术的一个重要问题。
[0003]现有技术中，一般使用基于角色的访问控制(Role
‑
Based Access Control，RBAC)模型对访问用户进行访问控制管理，使得用户可访问其被预先授权的资源。
[0004]现有技术中，RBAC模型主要考虑对人的权限进行限制，先创建角色，为角色关联其可访问的资源，再为用户关联适当的角色。当用户、角色、资源的量级较大时，其关联关系将变得复杂，其配置在一些场景中缺乏灵活性。例如：当出现一些突发网络安全状况，需要快速去除所有用户在某一特定时段对某一特定资源的访问权限时，就需要快速去除用户
‑
角色
‑
资源的关联关系，同时在突发状况结束之后再将该资源按照原先的关联关系重新配置；再例如：对于一些资源，非办公时间可能并不需要访问，应予以关闭，在办公时段再予以开放，以降低资源暴露的风险，现有技术就需要周期性建立和去除用户
‑
角色
‑
资源的关联关系来解决，当用户、角色、资源的量级较大时，工作量巨大且易出错。可见现有技术不能实现针对内网资源启用条件的独立控制，其内网资源访问控制管理的精细化程度较低，特定场景的配置灵活性和易用性较差。

技术实现思路

[0005]为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种资源访问控制方法、装置、电子设备和介质。
[0006]第一方面，本公开提供了一种资源访问控制方法，包括：
[0007]接收虚拟专用网络VPN客户端发送的登录请求，所述登录请求包含登录账户的账户标识和认证信息；
[0008]在根据所述认证信息对所述登录账户认证通过后，根据所述账户标识和预设的内网资源授权规则，确认所述登录账户被授权的目标资源；
[0009]根据所述目标资源确定所述登录账户的目标访问控制列表ACL，所述目标ACL包括所述目标资源的标识信息和所述目标资源的启用规则；
[0010]向所述VPN客户端发送所述目标ACL，以使所述VPN客户端根据所述目标ACL中的目标资源的标识信息过滤所述VPN客户端接收的资源访问请求，获得访问所述目标资源的待选访问请求，并根据所述目标资源的启用规则过滤待选访问请求，获得符合所述目标资源的启用规则的目标访问请求；
[0011]接收所述VPN客户端发送的目标访问请求。
[0012]第二方面，本公开提供了一种资源访问控制方法，包括：
[0013]向VPN网关发送登录请求，所述登录请求包含登录账户的账户标识和认证信息；
[0014]接收所述VPN网关发送的目标ACL；
[0015]根据所述目标ACL中的目标资源的标识信息过滤所述VPN客户端接收的资源访问请求，获得访问所述目标资源的待选访问请求；
[0016]并根据所述目标资源的启用规则过滤待选访问请求，获得符合所述目标资源的启用规则的目标访问请求；
[0017]向所述VPN网关发送所述目标访问请求。
[0018]第三方面，本公开提供了一种资源访问控制装置，包括：
[0019]接收模块，用于接收虚拟专用网络VPN客户端发送的登录请求，所述登录请求包含登录账户的账户标识和认证信息；
[0020]确定模块，用于在根据所述认证信息对所述登录账户认证通过后，根据所述账户标识和预设的内网资源授权规则，确认所述登录账户被授权的目标资源；
[0021]确定模块，还用于根据所述目标资源确定所述登录账户的目标访问控制列表ACL，所述目标ACL包括所述目标资源的标识信息和所述目标资源的启用规则；
[0022]发送模块，用于向所述VPN客户端发送所述目标ACL，以使所述VPN客户端根据所述目标ACL中的目标资源的标识信息过滤所述VPN客户端接收的资源访问请求，获得访问所述目标资源的待选访问请求，并根据所述目标资源的启用规则过滤待选访问请求，获得符合所述目标资源的启用规则的目标访问请求；
[0023]接收模块，还用于接收所述VPN客户端发送的目标访问请求。
[0024]第四方面，本公开提供了一种资源访问控制装置，包括：
[0025]发送模块，用于向VPN网关发送登录请求，所述登录请求包含登录账户的账户标识和认证信息；
[0026]接收模块，用于接收所述VPN网关发送的目标ACL；
[0027]过滤模块，用于根据所述目标ACL中的目标资源的标识信息过滤所述VPN客户端接收的资源访问请求，获得访问所述目标资源的待选访问请求；
[0028]确定模块，用于并根据所述目标资源的启用规则过滤待选访问请求，获得符合所述目标资源的启用规则的目标访问请求；
[0029]发送模块，还用于向所述VPN网关发送所述目标访问请求。
[0030]第五方面，本公开还提供了一种电子设备，包括：
[0031]一个或多个处理器；
[0032]存储装置，用于存储一个或多个程序，
[0033]当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本专利技术实施例中的任一种所述的资源访问控制方法。
[0034]第六方面，本公开还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现本专利技术实施例中的任一种所述的资源访问控制方法。
[0035]本公开实施例提供的技术方案与现有技术相比具有如下优点：
[0036]本公开实施例预先为每一内网资源预置包含启用规则的ACL，通过仅向VPN客户端
推送被授权资源的ACL，在实现账户权限维度访问控制的同时，还实现了对内网资源启用条件的独立控制。提升了内网资源访问控制管理的精细化程度，以及特定场景的配置灵活性和易用性。
附图说明
[0037]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。
[0038]为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0039]图1是本公开实施例提供的一种资源访问控制方法的流程示意图；
[0040]图2是本公开实施例提供的另一种资源访问控制方法的流程示意图；
[0041]图3是本公开实施例提供的数据交互的示意图；
[本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种资源访问控制方法，其特征在于，所述方法包括：接收虚拟专用网络VPN客户端发送的登录请求，所述登录请求包含登录账户的账户标识和认证信息；在根据所述认证信息对所述登录账户认证通过后，根据所述账户标识和预设的内网资源授权规则，确认所述登录账户被授权的目标资源；根据所述目标资源确定所述登录账户的目标访问控制列表ACL，所述目标ACL包括所述目标资源的标识信息和所述目标资源的启用规则；向所述VPN客户端发送所述目标ACL，以使所述VPN客户端根据所述目标ACL中的目标资源的标识信息过滤所述VPN客户端接收的资源访问请求，获得访问所述目标资源的待选访问请求，并根据所述目标资源的启用规则过滤待选访问请求，获得符合所述目标资源的启用规则的目标访问请求；接收所述VPN客户端发送的目标访问请求。2.根据权利要求1所述的方法，其特征在于，在所述根据所述目标资源确定所述登录账户的目标访问控制列表ACL之前，所述方法还包括：在配置任一内网资源时，为所述任一内网资源配置访问控制列表ACL，所述任一内网资源的ACL包括所述任一内网资源的标识信息和启用规则。3.根据权利要求2所述的方法，其特征在于，所述任一内网资源的ACL还包括所述ACL的最后修改时间；向所述VPN客户端发送所述目标ACL后，所述方法还包括：记录向所述VPN客户端发送所述目标ACL的发送时间；当所述目标ACL的最后修改时间晚于所述发送时间时，向所述VPN客户端重新发送所述目标ACL，并更新所述发送时间。4.一种资源访问控制方法，其特征在于，所述方法包括：向VPN网关发送登录请求，所述登录请求包含登录账户的账户标识和认证信息；接收所述VPN网关发送的目标ACL；根据所述目标ACL中的目标资源的标识信息过滤VPN客户端接收的资源访问请求，获得访问所述目标资源的待选访问请求；并根据所述目标资源的启用规则过滤待选访问请求，获得符合所述目标资源的启用规则的目标访问请求；向所述VPN网关发送所述目标访问请求。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：接收VPN网关重新发送的目标ACL。6.根据权利要求5所述的方法，其特征在于，所述目标资源的标识信息包括统一资源定位符URL信息，所述启用规则包括任一内网资源的可访问时间段；根据所述目标ACL中的目标资源的标识信息过滤VPN客户端接收的资源访问请求，包括：根据所述目标ACL中的目标资源的URL信息过滤VPN客户端接收的资源访问请求；所述根据所述目标资源的启用规则过滤待选访问请求，包括：根据所述VP...

【专利技术属性】
技术研发人员：张国兴，张中鑫，王京烁，范雪俭，孙峰，鲍晓玲，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：