访问控制方法、装置及系统制造方法及图纸

本申请提供一种访问控制方法、装置及系统，能够能够高效、灵活地进行访问控制，从而减少数据泄露。该方法包括：授权服务器基于客户端设备的申请向客户端设备颁发令牌，该令牌包括令牌描述和第一授权码，令牌描述包括授权向量，授权向量指示目标信息，第一授权码是根据令牌描述、目标信息、和密码散列函数生成的。客户端设备在发送请求报文时，将令牌和目标信息携带在请求报文中。网关设备收到请求报文后，根据令牌描述、目标信息、和密码散列函数生成第二授权码，在第二授权码和第一授权码相同时，向数据服务器转发该请求报文。向数据服务器转发该请求报文。向数据服务器转发该请求报文。

【技术实现步骤摘要】
访问控制方法、装置及系统


[0001]本申请实施例涉及通信领域，尤其涉及访问控制方法、装置及系统。

技术介绍

[0002]随着网络的广泛普及，新的软件应用模式层出不穷，极大地影响和改变了人们工作和生活的方式，提高了人们对于网络信息的依赖程度。然而，由于网络自身的复杂性、广泛可接入性等因素，网络面临日益增多的安全威胁，安全问题日益突出。
[0003]目前，一个重要的安全问题是由于越权访问导致的数据泄露。示例性的，如图1所示，在园区网的场景中，园区内部区域的正常雇员正常访问内部资料，而恶意雇员越权访问数据中心，从而导致数据泄露。此外，园区外部区域的正常用户正常访问公共数据，而恶意黑客越权访问内部资料，从而导致数据泄露。因此，有必要进行合理的访问控制以防止越权访问导致的数据泄露。

技术实现思路

[0004]本申请提供一种访问控制方法、装置及系统，能够高效、灵活地进行访问控制，从而减少数据泄露。
[0005]第一方面，提供了一种访问控制方法，该方法可以由授权服务器执行，也可以由授权服务器的部件，例如处理器、芯片、或芯片系统等执行，还可以由能实现全部或部分授权服务器功能的逻辑模块或软件实现。以该方法由授权服务器执行为例，该方法包括：授权服务器接收来自客户端设备的用于申请目标令牌的令牌申请信息，根据该令牌申请信息，生成目标令牌后，向客户端设备发送该目标令牌。其中，目标令牌包括令牌描述和第一授权码，令牌描述包括授权向量，授权向量指示目标信息，第一授权码是根据令牌描述、目标信息、以及密码散列函数生成的。
[0006]基于该方案，授权服务器基于客户端设备的申请向客户端设备颁发令牌，该令牌包括令牌描述和第一授权码，令牌描述中包括授权向量，该授权向量指示参与授权码计算的目标信息，从而使得访问控制策略的执行点在收到请求报文后，能够基于授权向量获取参与授权码计算的信息，并生成第二授权码，根据比较第一授权码和第二授权码是否一致来进行访问控制，例如，在第二授权码和第一授权码一致时允许访问，在第二授权码和第一授权码不一致时拒绝访问，从而防止数据泄露。
[0007]结合第一方面，在第一方面的某些实施方式中，目标信息为待携带在客户端设备的请求报文中的信息。示例性的，该请求报文用于请求建立目标资源的TCP连接；或者，该请求报文用于请求访问目标资源。
[0008]基于该实施方式，使用请求报文中的信息参与授权码计算，后续进行令牌验证时，可以防止使用目标令牌发送非法请求的发生。例如，非法用户利用目标令牌发送请求时，由于授权码的计算需要请求报文中的信息参与，若想通过令牌验证，需要同时对请求报文中的目标信息进行造假，然而对请求报文中的信息造假可能无法完成非法用户的非法请求，
从而本申请的目标令牌可以在授权范围内随意使用而无需担心盗用，能够进一步提升安全性能。
[0009]结合第一方面，在第一方面的某些实施方式中，授权向量包括偏移值和长度信息，偏移值指示目标信息的起始位置，长度信息指示目标信息的长度；或者，授权向量包括比特位图，比特位图指示承载目标信息的字段。
[0010]结合第一方面，在第一方面的某些实施方式中，目标信息包括以下至少一项：目标资源对应的网络层信息、传输层信息、授权请求起始符、请求结束符、请求方描述信息、或响应方描述信息，目标资源为客户端设备待访问的资源。
[0011]基于该实施方式，可以按需调整目标信息包括的内容，从而灵活调整访问控制粒度，实现多层次精细化的访问控制。例如可以使目标信息包括网络层的信息，实现网络层的访问控制，或者，使目标信息包括网络层、传输层、应用层信息，实现URL级别的精细控制，或者，使目标信息包括请求方或响应方描述信息，实现对安全等级、网络类型等的访问控制。
[0012]例如，在令牌申请信息包括的需求信息指示建立TCP连接时，目标信息包括目标资源对应的网络层信息和传输层信息；
[0013]在需求信息指示完整请求报文不分段时，目标信息包括目标资源对应的网络层信息、传输层信息、授权请求起始符、和请求结束符；
[0014]在需求信息指示完整请求报文分段时，目标信息包括完整请求报文的起始分段对应的第一子目标信息、完整请求报文的中间分段对应的第二子目标信息、和完整请求报文的末尾分段对应的第三子目标信息。第一子目标信息包括网络层信息、传输层信息、和授权请求起始符；第二子目标信息包括网络层信息和传输层信息；第三子目标信息包括网络层信息、传输层信息、和请求结束符。
[0015]结合第一方面，在第一方面的某些实施方式中，授权请求起始符包括请求信息和目标资源的部分或全部统一资源定位符URL前缀，请求信息指示与目标资源相关的操作。
[0016]结合第一方面，在第一方面的某些实施方式中，授权服务器根据令牌申请信息生成目标令牌，包括：授权服务器根据令牌申请信息中的请求方描述信息，确定请求方的访问权限；以及根据请求方的访问权限，确定授权请求起始符。
[0017]结合第一方面，在第一方面的某些实施方式中，网络层信息包括源互联网协议IP地址和目的IP地址；传输层信息包括目的端口，或者，包括目的端口和源端口；请求方描述信息包括以下至少一项：请求方的身份信息、请求方的状态信息、请求方的组标识、请求方的安全等级、或请求方所处网络的网络类型；响应方描述信息包括以下至少一项：响应方的组标识、响应方的安全等级、或响应方所处网络的网络类型。
[0018]结合第一方面，在第一方面的某些实施方式中，令牌描述还包括有效期和以下至少一项：检查策略、颁发者标识、密码套件、或排除信息；其中，有效期指示目标令牌的有效期限；检查策略指示是否信任目标资源的请求方；颁发者标识指示颁发目标令牌的设备；密码套件指示密码散列函数的相关信息；排除信息指示禁止携带的信息。
[0019]基于该实施方式的令牌描述，可以使得访问控制策略的执行点根据有效期限、检查策略、排除信息等进行进一步验证，进一步提高安全性能。
[0020]结合第一方面，在第一方面的某些实施方式中，请求报文用于请求建立目标资源对应的传输控制协议TCP连接时，禁止携带的信息为负载；或者，请求报文为完整请求报文
的起始分段时，禁止携带的信息为请求结束符；或者，请求报文为完整请求报文的末尾分段时，禁止携带的信息为请求信息；或者，请求报文为完整请求报文的中间分段时，禁止携带的信息为请求信息和请求结束符；或者，请求报文为完整请求报文时，排除信息指示禁止携带多个请求信息和多个请求结束符。
[0021]第二方面，提供了一种访问控制方法，该方法可以由网关设备执行，也可以由网关设备的部件，例如处理器、芯片、或芯片系统等执行，还可以由能实现全部或部分网关设备功能的逻辑模块或软件实现。以该方法由网关设备执行为例，该方法包括：网关设备接收来自客户端设备的包括目标令牌和目标信息的请求报文，该目标令牌包括令牌描述和第一授权码，令牌描述包括授权向量，授权向量指示目标信息；之后，网关设备根据令牌描述、目标信息、以及秘钥散列函数生成本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问控制方法，其特征在于，所述方法包括：授权服务器接收来自客户端设备的令牌申请信息，所述令牌申请信息用于申请目标令牌；所述授权服务器根据所述令牌申请信息，生成所述目标令牌，所述目标令牌包括令牌描述和第一授权码，所述令牌描述包括授权向量，所述授权向量指示目标信息，所述第一授权码是根据所述令牌描述、所述目标信息、以及密码散列函数生成的；所述授权服务器向所述客户端设备发送所述目标令牌。2.根据权利要求1所述的方法，其特征在于，所述目标信息为待携带在所述客户端设备的请求报文中的信息。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：网关设备接收来自所述客户端设备的请求报文，所述请求报文包括所述目标令牌和所述目标信息；所述网关设备根据所述令牌描述、所述目标信息、以及秘钥散列函数生成第二授权码；所述第二授权码与所述第一授权码相同时，所述网关设备向数据服务器转发所述请求报文。4.根据权利要求1
‑
3任一项所述的方法，其特征在于，所述授权向量包括偏移值和长度信息，所述偏移值指示所述目标信息的起始位置，所述长度信息指示所述目标信息的长度；或者，所述授权向量包括比特位图，所述比特位图指示承载所述目标信息的字段。5.根据权利要求1
‑
4任一项所述的方法，其特征在于，所述目标信息包括以下至少一项：目标资源对应的网络层信息、传输层信息、授权请求起始符、请求结束符、请求方描述信息、或响应方描述信息，所述目标资源为所述客户端设备待访问的资源。6.根据权利要求5所述的方法，其特征在于，所述授权请求起始符包括请求信息和所述目标资源的部分或全部统一资源定位符URL前缀，所述请求信息指示与所述目标资源相关的操作。7.根据权利要求5或6所述的方法，其特征在于，所述网络层信息包括源互联网协议IP地址和目的IP地址；所述传输层信息包括目的端口，或者，包括目的端口和源端口；所述请求方描述信息包括以下至少一项：所述请求方的身份信息、所述请求方的状态信息、所述请求方的组标识、所述请求方的安全等级、或所述请求方所处网络的网络类型；所述响应方描述信息包括以下至少一项：所述响应方的组标识、所述响应方的安全等级、或所述响应方所处网络的网络类型。8.根据权利要求2
‑
7任一项所述的方法，其特征在于，所述令牌描述还包括有效期和以下至少一项：检查策略、颁发者标识、密码套件、或排除信息；其中，所述有效期指示所述目标令牌的有效期限；所述检查策略指示是否信任目标资源的请求方；所述颁发者标识指示颁发所述目标令牌的设备；所述密码套件指示所述密码散列函数的相关信息；所述排除信息指示禁止携带的信息。9.根据权利要求8所述的方法，其特征在于，所述请求报文用于请求建立所述目标资源对应的传输控制协议TCP连接时，所述禁止携带的信息为负载；或者，所述请求报文为完整请求报文的起始分段时，所述禁止携带的信息为请求结束
符；或者，所述请求报文为完整请求报文的末尾分段时，所述禁止携带的信息为请求信息；或者，所述请求报文为完整请求报文的中间分段时，所述禁止携带的信息为请求信息和请求结束符；或者，所述请求报文为完整请求报文时，所述排除信息指示禁止携带多个请求信息和多个请求结束符。10.一种访问控制方法，其特征在于，所述方法包括：网关设备接收来自客户端设备的请求报文，所述请求报文包括目标令牌和目标信息，所述目标令牌包括令牌描述和第一授权码，所述令牌描述包括授权向量，所述授权向量指示所述目标信息；所述网关设备根据所述令牌描述、所述目标信息、以及秘钥散列函数生成第二授权码；所述第二授权码与所述第一授权码相同时，所述网关设备向数据服务器转发所述请求报文。11.根据权利要求10所述的方法，其特征在于，所述授权向量包括偏移值和长度信息，所述偏移值指示所述目标信息的起始位置，所述长度信息指示所述目标信息的长度；或者，所述授权向量包括比特位图，所述比特位图指示承载所述目标信息的字段。12.根据权利要求10或11所述的方法，其特征在于，所述目标信息包括以下至少一项：目标资源对应的网络层信息、传输层信息、授权请求起始符、请求结束符、请求方描述信息、或响应方描述信息，所述目标资源为所述客户端设备待访问的资源。13.根据权利要求12所述的方法，其特征在于，所述授权请求起始符包括请求信息和所述目标资源的部分或全部统一资源定位符URL前缀，所述请求信息指示与所述目标资源相关的操作。14.根据权利要求12或13所述的方法，其特征在于，所述网络层信息包括源互联网协议IP地址和目的IP地址；所述传输层信息包括目的端口，或者，包括目的端口和源端口；所述请求方描述信息包括以下至少一项：所述请求方的身份信息、所述请求方的状态信息、所述请求方的组标识、所述请求方的安全等级、或所述请求方所处网络的网络类型；所述响应方描述信息包括以下至少一项：所述响应方的组标识、所述响应方的安全等级、或所述响应方所处网络的网络类型。15.根据权利要求10
‑
14任一项所述的方法，其特征在于，所述令牌描述还包括有效期和以下至少一项：检查策略、颁发者标识、密码套件、或排除信息；其中，所述有效期指示所述目标令牌的有效期限；所述检查策略指示是否信任目标资源的请求方；所述颁发者标识指示颁发所述目标令牌的设备；所述密码套件指示所述密码散列函数的相关信息；所述排除信息指示禁止携带的信息。16.根据权利要求15所述的方法，其特征在于，所述方法还包括：所述网关设备根据所述所述目标令牌的有效期限，确定所述目标令牌未过期。17.根据权利要求15或16所...

【专利技术属性】
技术研发人员：陈博，刘冰洋，江伟玉，王闯，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：