资源访问控制方法和资源访问控制系统技术方案

本申请公开了一种资源访问控制方法和资源访问控制系统。其中，该方法包括接收客户端发送的资源访问请求；所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息；在所述终端设备的特征信息和所述用户的特征信息均认证通过的情况下，接收权限认证系统发送的所述用户的最新权限信息；根据所述最新权限信息，生成令牌；将所述令牌传输至所述客户端和网关，以使所述网关根据所述令牌开启所述最新权限信息对应的防火墙端口，以使所述客户端根据所述令牌访问所述网关，以通过所述防火墙端口获取到所述最新权限信息对应的资源。根据本申请实施例的资源访问控制方法，能够提高企业内网资源的安全性。能够提高企业内网资源的安全性。能够提高企业内网资源的安全性。

【技术实现步骤摘要】
资源访问控制方法和资源访问控制系统


[0001]本申请属于网络信息安全领域，尤其涉及一种资源访问控制方法和资源访问控制系统。

技术介绍

[0002]伴随企业数字智能化转型和云化进程的不断深入，业务上云需求持续增多，网络环境日趋复杂。
[0003]传统网络环境将企业内部网络定义为“可信区域”，这个区域内部的所有计算资源可以互相通信。于是，一旦有外部黑客攻入内网，或是企业内部人员想要恶意破坏，就可以在“可信区域”内对企业计算资源进行大肆攻击和破坏。传统防火墙机制在面对上述潜在危险时显得无力应对。导致网络环境中用户、设备、应用以及计算机资源之间的连接被暴露在高风险环境中，企业内网资源的安全性较低。

技术实现思路

[0004]本申请实施例提供了一种资源访问控制方法和资源访问控制系统，能够提高企业内网资源的安全性。
[0005]第一方面，本申请实施例提供了一种资源访问控制方法，应用于安全控制平台，该方法包括：
[0006]接收客户端发送的资源访问请求；所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息；
[0007]在所述终端设备的特征信息和所述用户的特征信息均认证通过的情况下，接收权限认证系统发送的所述用户的最新权限信息；
[0008]根据所述最新权限信息，生成令牌；
[0009]将所述令牌传输至所述客户端和网关，以使所述网关根据所述令牌开启所述最新权限信息对应的防火墙端口，以使所述客户端根据所述令牌访问所述网关，以通过所述防火墙端口获取所述最新权限信息对应的资源。
[0010]第二方面，本申请实施例提供了一种资源访问控制方法，应用于客户端，该方法包括：
[0011]发送资源访问请求至安全控制平台，以使所述安全控制平台在终端设备的特征信息和用户的特征信息均认证通过的情况下，接收权限认证系统发送的所述用户的最新权限信息，并根据所述最新权限信息，生成令牌，再将所述令牌传输至所述客户端和网关；所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息；
[0012]接收所述安全控制平台传输的所述令牌；
[0013]根据所述令牌访问所述网关，以通过所述防火墙端口获取所述最新权限信息对应的资源。
[0014]第三方面，本申请实施例提供了一种资源访问控制系统，该系统包括：安全控制平
台和客户端；
[0015]所述安全控制平台用于执行上述第一方面中任一种可能的实现方法中的方法；
[0016]所述客户端用于执行上述第二方面中任一种可能的实现方法中的方法。
[0017]第四方面，本申请实施例提供了一种资源访问控制装置，应用于安全控制平台，该装置包括：
[0018]第一接收模块，用于接收客户端发送的资源访问请求；所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息；
[0019]第一获取模块，用于在所述终端设备的特征信息和所述用户的特征信息均认证通过的情况下，通过权限认证装置获取所述用户的最新权限信息；
[0020]生成模块，用于在获取所述用户的最新权限信息之后，根据所述最新权限信息，生成令牌；
[0021]传输模块，用于将所述令牌传输至所述客户端和网关，以使所述网关根据所述令牌开启所述最新权限信息对应的防火墙端口，以使所述客户端根据所述令牌访问所述网关，以通过所述防火墙端口获取所述最新权限信息对应的资源。
[0022]第五方面，本申请实施例提供了一种资源访问控制装置，应用于客户端，该装置包括：
[0023]第一发送模块，用于发送资源访问请求至安全控制平台，以使所述安全控制平台在终端设备的特征信息和用户的特征信息均认证通过的情况下，接收权限认证系统发送的所述用户的最新权限信息，并根据所述最新权限信息，生成令牌，再将所述令牌传输至所述客户端和网关；所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息；
[0024]第二接收模块，用于在发送资源访问请求至安全控制平台之后，接收所述安全控制平台传输的所述令牌；
[0025]访问模块，用于在接收所述安全控制平台传输的所述令牌之后，根据所述令牌访问所述网关，以通过所述防火墙端口获取所述最新权限信息对应的资源。
[0026]第六方面，本申请实施例提供了一种电子设备，该设备包括：处理器以及存储有计算机程序指令的存储器；
[0027]所述处理器执行所述计算机程序指令时实现上述第一方面和/或第二方面中任一种可能的实现方法中的方法。
[0028]第七方面，本申请实施例提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序指令，计算机程序指令被处理器执行时实现上述第一方面和/或第二方面中任一种可能的实现方法中的方法。
[0029]第八方面，本申请实施例提供了一种计算机程序产品，该计算机程序产品中的指令由电子设备的处理器执行时，使得电子设备执行如上述第一方面和/或第二方面中任一种可能的实现方法中的方法。
[0030]本申请实施例的资源访问控制方法，通过获取用户的最新权限信息，能够确定用户可以访问的资源。在确定用户可以访问的资源之后，生成令牌，并发送至网关和客户端。一方面，通知网关根据令牌中的信息，为发送资源访问请求的客户端开启最新权限信息对应的防火墙端口；另一方面，通知客户端根据令牌中的信息访问对应的网关。进而，能够使
客户端通过防火墙端口获取与最新权限信息对应的资源。如此，通过根据用户的最新权限信息，开放与最新权限信息对应的资源，使得用户无权访问企业内网中的其他资源，只能访问与最新权限信息相对应的资源。从而，能够提高企业内网资源的安全性。
附图说明
[0031]为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单的介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0032]图1是本申请实施例提供的一种资源访问控制方法的流程示意图；
[0033]图2是本申请实施例提供的一种应用于安全控制平台的资源访问控制方法的流程示意图；
[0034]图3是本申请实施例提供的一种客户端访问对应资源的示意图；
[0035]图4是本申请实施例提供的一种应用于客户端的资源访问控制方法的流程示意图；
[0036]图5是本申请实施例提供的一种用户设备注册过程的流程示意图；
[0037]图6是本申请实施例提供的一种资源访问请求过程的流程示意图；
[0038]图7是本申请实施例提供的一种资源访问控制系统的结构示意图；
[0039]图8是本申请实施例提供的一种零信任部署方式的示意图；
[0040]图9是本申请实施例提供的一种应用于安全控制平台的资源访问控制装置的结构示意图；
[0041]图10是本申请实施例提供的一种应用于客户端的资源访问控制装置的结构示意图；
[00本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种资源访问控制方法，其特征在于，应用于安全控制平台，所述方法包括：接收客户端发送的资源访问请求；所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息；在所述终端设备的特征信息和所述用户的特征信息均认证通过的情况下，接收权限认证系统发送的所述用户的最新权限信息；根据所述最新权限信息，生成令牌；将所述令牌传输至所述客户端和网关，以使所述网关根据所述令牌开启所述最新权限信息对应的防火墙端口，以使所述客户端根据所述令牌访问所述网关，以通过所述防火墙端口获取所述最新权限信息对应的资源。2.根据权利要求1所述的资源访问控制方法，其特征在于，所述在所述终端设备的特征信息和所述用户的特征信息均认证通过的情况下，接收权限认证系统发送的获取所述用户的最新权限信息之前，所述方法还包括：对所述终端设备的特征信息进行认证；在所述终端设备的特征信息认证通过的情况下，对所述用户的身份特征信息进行认证。3.根据权利要求2所述的资源访问控制方法，其特征在于，所述在所述终端设备的特征信息认证通过的情况下，对所述用户的身份特征信息进行认证，具体包括：在所述终端设备的特征信息认证通过的情况下，接收权限认证系统发送的认证口令；将所述认证口令发送至所述客户端，以使所述用户在所述客户端填写所述认证口令；获取所述用户在所述客户端填写的所述认证口令；根据所述用户填写的认证口令与从所述权限认证系统中获取的认证口令，对所述用户的身份特征信息进行认证。4.根据权利要求1所述的资源访问控制方法，其特征在于，所述令牌包括客户端所处的终端设备的特征信息、所述用户的特征信息、所述用户的最新权限信息、网关地址信息、通信密钥中的至少一种。5.一种资源访问控制方法，其特征在于，应用于客户端，所述方法包括：发送资源访问请求至安全控制平台，以使所述安全控制平台在终端设备的特征信息和用户的特征信息均认证通过的情况下，接收权限认证系统发送的所述用户的最新权限信息，并根据所述最新权限信息，生成令牌，再将所述令牌传输至所述客户端和网关；所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息；接收所述安全控制平台传输的所述令牌；根据所述令牌访问所述网关，以通过所述防火墙端口获取所述最新权限信息对应的资源。6.根据权利要求5所述的资源访问控制方法，其特征在于，所述发送资源访问请求至安全控制平台之前，所述方法还包括：响应于用户在客户端上的资源访问请求，对所述客户端所处的终端设备的特征信息和用户的特征信息进行检测；所述发送资源访问请求至安全控制平台，具体包括：当所述客户端所处的终端设备的特征信息和所述用户的特征信息均达到预设访问安
全条件的情况下，向所述安全控制平台发送所述资源访问请求。7.根据权利要求5所述的资源访问控制方法，其特征在于，所述接收所述安全控制平台传输的所述令牌之前，所述方法还包括：接收认证口令；将所述认证口令通过所述安全控制平台，发送至权限认证系统，以使所述安全控制平台通过所述权限认证系统获取所述用户的最新权限信息，并根据所述最新权限信息，生成令牌，再将所述令牌传输至所述客户端和网关。8.一种资源访问控制系统，其特征在于，所...

【专利技术属性】
技术研发人员：常英卓，王晓春，花小齐，王斌，韩志峰，刘帅，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：