一种用于互联网业务的访问控制方法与设备技术

与现有技术相比，本申请通过一种用于互联网业务的访问控制方法，首先边缘服务器端接收互联网业务访问请求并重定向给身份认证平台端，接着身份认证平台端获取该请求对应的用户信息，确定验证结果，向边缘服务器端发送验证结果，当所述验证结果为通过身份验证，边缘服务器端获取到用户标识信息，接着边缘服务器端判断对应的用户是否对所述业务标识信息具有访问权限，当所述对应的用户具有访问权限，将所述互联网业务访问请求发送至业务系统服务器，并将所述业务系统服务器返回的访问结果发送至所述用户设备。通过该方法可有效做到外部访问的风险控制，可提升用户的使用体验。可提升用户的使用体验。可提升用户的使用体验。

【技术实现步骤摘要】
一种用于互联网业务的访问控制方法与设备


[0001]本申请涉及互联网通信
，尤其涉及一种用于互联网业务的访问控制的技术。

技术介绍

[0002]随着企业数字化转型进程的深入，企业业务系统越来越多依赖互联网，不仅本企业员工需要通过各种方式从外部访问企业各个业务系统，包括企业合作伙伴、外包服务商或者客户等也存在外部访问需求。外部访问场所包括的各种公共场所，如机场、酒店、咖啡厅等，外部访问设备包括各种便携式设备，如笔记本电脑、智能手机、平板电脑等。
[0003]因此，企业业务系统的安全防护、外部访问的风险控制变得非常重要。
[0004]现有筑城墙式防火墙的安全防护，例如基于IP、VPN等方式实现的访问限制措施并不能有效实现对外部访问的风险控制。

技术实现思路

[0005]本申请的目的是提供一种用于互联网业务的访问控制方法与设备，用以解决现有技术中企业互联网不能有效实现外部访问的风险控制的技术问题。
[0006]根据本申请的一个方面，提供了一种在边缘服务器端用于互联网业务的访问控制方法，其中，所述方法包括：
[0007]获取互联网业务访问请求，其中，所述互联网业务访问请求中包括业务标识信息；
[0008]基于所述互联网业务访问请求获取该请求对应的用户信息验证结果；
[0009]当所述验证结果为通过身份验证，获取用户标识信息；
[0010]基于所述用户标识信息判断对应的用户是否对所述业务标识信息对应的业务具有访问权限；
[0011]当所述对应的用户具有访问权限，将所述互联网业务访问请求发送至业务系统服务器，并将所述业务系统服务器返回的访问结果发送至所述用户设备。
[0012]优选地，所述基于所述互联网业务访问请求获取该请求对应的用户信息验证结果包括：
[0013]将所述互联网业务访问请求重定向至身份认证平台，其中，所述身份认证平台可获取到该请求对应的用户信息；
[0014]接收所述身份认证平台基于所述用户信息确定的是否通过身份验证的验证结果。
[0015]优选地，所述当所述验证结果为通过身份验证，获取用户标识信息包括：
[0016]当所述验证结果为通过身份验证，接收所述身份认证平台发送的访问令牌；
[0017]基于所述访问令牌获取所述用户标识信息。
[0018]优选地，所述基于所述用户标识信息判断对应的用户是否对所述业务标识信息对应的业务具有访问权限包括：
[0019]基于所述用户标识信息确定该用户对应的访问级别和/或访问业务；
[0020]基于所述访问级别和/或访问业务，结合预设的访问控制规则判断对应的用户是否对所述业务标识信息对应的业务具有访问权限。
[0021]根据本申请的另一方面，提供了一种在身份认证平台端用于互联网业务的访问控制方法，其特征在于，所述方法包括：
[0022]接收边缘服务器发送的互联网业务访问请求，其中，所述互联网业务访问请求中包括业务标识信息；
[0023]基于所述互联网业务访问请求获取该请求对应的用户信息；
[0024]基于所述用户信息确定验证结果；
[0025]将所述验证结果发送至所述边缘服务器。
[0026]优选地，所述基于所述互联网业务访问请求获取该请求对应的用户信息包括：
[0027]基于所述互联网业务访问请求向用户设备发送信息获取页面；
[0028]接收所述用户设备基于所述信息获取页面提供的用户信息。
[0029]优选地，当所述验证结果为通过验证，所述方法还包括：
[0030]向所述边缘服务器发送访问令牌，以使所述边缘服务器基于所述访问令牌从所述身份认证平台获取对应的用户标识信息。
[0031]与现有技术相比，本申请通过一种用于互联网业务的访问控制方法，首先边缘服务器端接收互联网业务访问请求并重定向给身份认证平台端，接着身份认证平台端获取该请求对应的用户信息，确定验证结果，向边缘服务器端发送验证结果，当所述验证结果为通过身份验证，边缘服务器端获取到用户标识信息，接着边缘服务器端判断对应的用户是否对所述业务标识信息具有访问权限，当所述对应的用户具有访问权限，将所述互联网业务访问请求发送至业务系统服务器，并将所述业务系统服务器返回的访问结果发送至所述用户设备。通过该方法可有效做到外部访问的风险控制，可提升用户的使用体验。
附图说明
[0032]通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本专利技术的其它特征、目的和优点将会变得更明显：
[0033]图1示出根据本申请一个方面的一种用于互联网业务的访问控制系统示意图；
[0034]图2示出根据本申请一个方面的一种在边缘服务器端用于互联网业务的访问控制方法流程图；
[0035]图3示出根据本申请一个方面一种在身份认证平台端用于互联网业务的访问控制的方法流程图；
[0036]附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
[0037]下面结合附图对本专利技术作进一步详细描述。
[0038]在本申请一个典型的配置中，系统各模块和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
[0039]内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的
示例。
[0040]计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
[0041]为更进一步阐述本申请所采取的技术手段及取得的效果，下面结合附图及优选实施例，对本申请的技术方案，进行清楚和完整的描述。
[0042]图1示出根据本申请一个方面的一种用于互联网业务的访问控制系统示意图，该系统包括了边缘服务器120、身份认证平台130和业务系统服务器140。用户设备110通过互联网连接边缘服务器120，边缘服务器120、身份认证平台130和业务系统服务器140通过互联网或者专用网络实现数据通信。
[0043]在实际应用场景中，所述用户设备110是各类支持互联网业务的用户终端，包括但不限于智能手机、个人本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种在边缘服务器端用于互联网业务的访问控制方法，其特征在于，所述方法包括：接收互联网业务访问请求，其中，所述互联网业务访问请求中包括业务标识信息；基于所述互联网业务访问请求获取该请求对应的用户信息验证结果；当所述验证结果为通过身份验证，获取用户标识信息；基于所述用户标识信息判断对应的用户是否对所述业务标识信息对应的业务具有访问权限；当所述对应的用户具有访问权限，将所述互联网业务访问请求发送至业务系统服务器，并将所述业务系统服务器返回的访问结果发送至所述用户设备。2.根据权利要求1所述的方法，其特征在于，所述基于所述互联网业务访问请求获取该请求对应的用户信息验证结果包括：将所述互联网业务访问请求重定向至身份认证平台，其中，所述身份认证平台可获取到该请求对应的用户信息；接收所述身份认证平台基于所述用户信息确定的是否通过身份验证的验证结果。3.根据权利要求1所述的方法，其特征在于，所述当所述验证结果为通过身份验证，获取用户标识信息包括：当所述验证结果为通过身份验证，接收所述身份认证平台发送的访问令牌；基于所述访问令牌获取所述用户标识信息。4.根据权利要求1至3任一项所述的方法，其特征在于，所述基于所述用户标识信息判断对应的用户是否对所述业务标识信息对应的业务具有访问权限包括：基于所述用户标识信息确定该用户对应的访问级别和/或访问业务；基于所述访问级别和/或访问业务，结合预设的访问控制规则判断对应的用户是否对所述业务标识信息对应的业务具有访问权限。5.一...

【专利技术属性】
技术研发人员：朱传江，王晓旭，
申请(专利权)人：上海云盾信息技术有限公司，
类型：发明
国别省市：