【技术实现步骤摘要】
访问控制方法、装置及系统
[0001]本申请实施例涉及通信领域,尤其涉及访问控制方法、装置及系统。
技术介绍
[0002]随着网络的广泛普及,新的软件应用模式层出不穷,极大地影响和改变了人们工作和生活的方式,提高了人们对于网络信息的依赖程度。然而,由于网络自身的复杂性、广泛可接入性等因素,网络面临日益增多的安全威胁,安全问题日益突出。
[0003]目前,一个重要的安全问题是由于越权访问导致的数据泄露。示例性的,如图1所示,在园区网的场景中,园区内部区域的正常雇员正常访问内部资料,而恶意雇员越权访问数据中心,从而导致数据泄露。此外,园区外部区域的正常用户正常访问公共数据,而恶意黑客越权访问内部资料,从而导致数据泄露。因此,有必要进行合理的访问控制以防止越权访问导致的数据泄露。
技术实现思路
[0004]本申请提供一种访问控制方法、装置及系统,能够高效、灵活地进行访问控制,从而减少数据泄露。
[0005]第一方面,提供了一种访问控制方法,该方法可以由授权服务器执行,也可以由授权服务器的部件,例如处理器、芯片、或芯片系统等执行,还可以由能实现全部或部分授权服务器功能的逻辑模块或软件实现。以该方法由授权服务器执行为例,该方法包括:授权服务器接收来自客户端设备的用于申请目标令牌的令牌申请信息,根据该令牌申请信息,生成目标令牌后,向客户端设备发送该目标令牌。其中,目标令牌包括令牌描述和第一授权码,令牌描述包括授权向量,授权向量指示目标信息,第一授权码是根据令牌描述、目标信息、以及密码散列函数生成的 ...
【技术保护点】
【技术特征摘要】
1.一种访问控制方法,其特征在于,所述方法包括:授权服务器接收来自客户端设备的令牌申请信息,所述令牌申请信息用于申请目标令牌;所述授权服务器根据所述令牌申请信息,生成所述目标令牌,所述目标令牌包括令牌描述和第一授权码,所述令牌描述包括授权向量,所述授权向量指示目标信息,所述第一授权码是根据所述令牌描述、所述目标信息、以及密码散列函数生成的;所述授权服务器向所述客户端设备发送所述目标令牌。2.根据权利要求1所述的方法,其特征在于,所述目标信息为待携带在所述客户端设备的请求报文中的信息。3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:网关设备接收来自所述客户端设备的请求报文,所述请求报文包括所述目标令牌和所述目标信息;所述网关设备根据所述令牌描述、所述目标信息、以及秘钥散列函数生成第二授权码;所述第二授权码与所述第一授权码相同时,所述网关设备向数据服务器转发所述请求报文。4.根据权利要求1
‑
3任一项所述的方法,其特征在于,所述授权向量包括偏移值和长度信息,所述偏移值指示所述目标信息的起始位置,所述长度信息指示所述目标信息的长度;或者,所述授权向量包括比特位图,所述比特位图指示承载所述目标信息的字段。5.根据权利要求1
‑
4任一项所述的方法,其特征在于,所述目标信息包括以下至少一项:目标资源对应的网络层信息、传输层信息、授权请求起始符、请求结束符、请求方描述信息、或响应方描述信息,所述目标资源为所述客户端设备待访问的资源。6.根据权利要求5所述的方法,其特征在于,所述授权请求起始符包括请求信息和所述目标资源的部分或全部统一资源定位符URL前缀,所述请求信息指示与所述目标资源相关的操作。7.根据权利要求5或6所述的方法,其特征在于,所述网络层信息包括源互联网协议IP地址和目的IP地址;所述传输层信息包括目的端口,或者,包括目的端口和源端口;所述请求方描述信息包括以下至少一项:所述请求方的身份信息、所述请求方的状态信息、所述请求方的组标识、所述请求方的安全等级、或所述请求方所处网络的网络类型;所述响应方描述信息包括以下至少一项:所述响应方的组标识、所述响应方的安全等级、或所述响应方所处网络的网络类型。8.根据权利要求2
‑
7任一项所述的方法,其特征在于,所述令牌描述还包括有效期和以下至少一项:检查策略、颁发者标识、密码套件、或排除信息;其中,所述有效期指示所述目标令牌的有效期限;所述检查策略指示是否信任目标资源的请求方;所述颁发者标识指示颁发所述目标令牌的设备;所述密码套件指示所述密码散列函数的相关信息;所述排除信息指示禁止携带的信息。9.根据权利要求8所述的方法,其特征在于,所述请求报文用于请求建立所述目标资源对应的传输控制协议TCP连接时,所述禁止携带的信息为负载;或者,所述请求报文为完整请求报文的起始分段时,所述禁止携带的信息为请求结束
符;或者,所述请求报文为完整请求报文的末尾分段时,所述禁止携带的信息为请求信息;或者,所述请求报文为完整请求报文的中间分段时,所述禁止携带的信息为请求信息和请求结束符;或者,所述请求报文为完整请求报文时,所述排除信息指示禁止携带多个请求信息和多个请求结束符。10.一种访问控制方法,其特征在于,所述方法包括:网关设备接收来自客户端设备的请求报文,所述请求报文包括目标令牌和目标信息,所述目标令牌包括令牌描述和第一授权码,所述令牌描述包括授权向量,所述授权向量指示所述目标信息;所述网关设备根据所述令牌描述、所述目标信息、以及秘钥散列函数生成第二授权码;所述第二授权码与所述第一授权码相同时,所述网关设备向数据服务器转发所述请求报文。11.根据权利要求10所述的方法,其特征在于,所述授权向量包括偏移值和长度信息,所述偏移值指示所述目标信息的起始位置,所述长度信息指示所述目标信息的长度;或者,所述授权向量包括比特位图,所述比特位图指示承载所述目标信息的字段。12.根据权利要求10或11所述的方法,其特征在于,所述目标信息包括以下至少一项:目标资源对应的网络层信息、传输层信息、授权请求起始符、请求结束符、请求方描述信息、或响应方描述信息,所述目标资源为所述客户端设备待访问的资源。13.根据权利要求12所述的方法,其特征在于,所述授权请求起始符包括请求信息和所述目标资源的部分或全部统一资源定位符URL前缀,所述请求信息指示与所述目标资源相关的操作。14.根据权利要求12或13所述的方法,其特征在于,所述网络层信息包括源互联网协议IP地址和目的IP地址;所述传输层信息包括目的端口,或者,包括目的端口和源端口;所述请求方描述信息包括以下至少一项:所述请求方的身份信息、所述请求方的状态信息、所述请求方的组标识、所述请求方的安全等级、或所述请求方所处网络的网络类型;所述响应方描述信息包括以下至少一项:所述响应方的组标识、所述响应方的安全等级、或所述响应方所处网络的网络类型。15.根据权利要求10
‑
14任一项所述的方法,其特征在于,所述令牌描述还包括有效期和以下至少一项:检查策略、颁发者标识、密码套件、或排除信息;其中,所述有效期指示所述目标令牌的有效期限;所述检查策略指示是否信任目标资源的请求方;所述颁发者标识指示颁发所述目标令牌的设备;所述密码套件指示所述密码散列函数的相关信息;所述排除信息指示禁止携带的信息。16.根据权利要求15所述的方法,其特征在于,所述方法还包括:所述网关设备根据所述所述目标令牌的有效期限,确定所述目标令牌未过期。17.根据权利要求15或16所...
【专利技术属性】
技术研发人员:陈博,刘冰洋,江伟玉,王闯,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。