【技术实现步骤摘要】
访问控制方法、访问条件配置方法、装置、设备和介质
[0001]本申请涉及数据安全
,特别是涉及一种访问控制方法、访问条件配置方法、装置、设备和介质。
技术介绍
[0002]随着信息化技术的不断发展,越来越多的企业用户通过特定的软件程序来实现远程办公,极大地方便了广大企业用户,如利用软件程序远程访问企业内网中的业务资源,该业务资源可以是企业办公软件、企业云和企业数据等。
[0003]在对企业内网中的业务资源进行远程访问的过程中,通常是先对需要远程访问的企业用户进行权限判断,即判断该企业用户在企业中所属的岗位或所属的部门,然后准许其访问相应的业务资源。然而,上述对业务资源的访问方案中,权限判断的粒度较粗,而且该访问方式还可能造成业务资源的安全风险。
技术实现思路
[0004]基于此,有必要针对上述技术问题,提供一种访问控制方法、访问条件配置方法、装置、设备和介质,能够细化业务资源的访问粒度,并避免业务资源出现安全风险。
[0005]一种访问控制方法,所述方法包括:
[0006]接收访问代理发送的第一鉴权请求;所述第一鉴权请求,是所述访问代理在接收到目标应用发起的对业务资源进行访问的网络访问请求时生成的;
[0007]基于所述第一鉴权请求中的应用标识和访问方账户信息,确定访问所述业务资源的访问方符合静态访问条件;
[0008]获取所述访问方的属性信息和访问时间;
[0009]向安全服务端发送携带所述属性信息和所述访问时间的第二鉴权请求;所述第二鉴权请求, ...
【技术保护点】
【技术特征摘要】
1.一种访问控制方法,其特征在于,所述方法包括:接收访问代理发送的第一鉴权请求;所述第一鉴权请求,是所述访问代理在接收到目标应用发起的对业务资源进行访问的网络访问请求时生成的;基于所述第一鉴权请求中的应用标识和访问方账户信息,确定访问所述业务资源的访问方符合静态访问条件;获取所述访问方的属性信息和访问时间;向安全服务端发送携带所述属性信息和所述访问时间的第二鉴权请求;所述第二鉴权请求,用于指示所述安全服务端查找与所述静态访问条件关联的动态访问条件,并当基于所述属性信息和所述访问时间确定所述访问方符合所述动态访问条件时,返回鉴权结果;当接收到所述安全服务端返回的所述鉴权结果时,基于所述鉴权结果对所述网络访问请求进行访问控制。2.根据权利要求1所述的方法,其特征在于,所述基于所述第一鉴权请求中的应用标识和访问方账户信息,确定访问所述业务资源的访问方符合静态访问条件包括:向所述安全服务端发送携带所述访问方账户信息的申请请求;接收所述安全服务端响应于所述申请请求而返回的、且与所述访问方账户信息匹配的静态访问条件;或者,获取安全服务端下发的与所述访问方账户信息匹配的静态访问条件;基于所述目标应用的应用标识,确定所述访问方符合所述静态访问条件。3.根据权利要求2所述的方法,其特征在于,所述静态访问条件包括允许访问子条件和禁止访问子条件;所述基于所述目标应用的应用标识,确定所述访问方符合所述静态访问条件包括:基于所述目标应用的应用标识,确定访问所述业务资源的访问方命中所述允许访问子条件;所述方法还包括:当基于所述目标应用的应用标识,确定所述访问方命中所述禁止访问子条件时,则禁止基于所述网络访问请求访问所述业务资源。4.根据权利要求2所述的方法,其特征在于,所述方法还包括:获取所述目标应用所处硬件环境的硬件信息;所述基于所述目标应用的应用标识确定所述访问方符合所述静态访问条件包括:基于所述目标应用的应用标识和所述硬件信息,确定所述访问方符合所述静态访问条件。5.根据权利要求1所述的方法,其特征在于,所述第一鉴权请求还携带所述应用标识和所述访问方账户信息;所述第二鉴权请求,还用于指示所述安全服务端基于所述应用标识和所述访问方账户信息,判断所述访问方是否符合所述静态访问条件,若符合所述静态访问条件,执行所述查找与所述静态访问条件关联的动态访问条件的步骤。6.根据权利要求1所述的方法,其特征在于,所述动态访问条件包括禁止访问条件和允许访问条件;所述基于所述鉴权结果对所述网络访问请求进行访问控制包括:当所述鉴权结果是符合所述禁止访问条件而产生的结果时,禁止基于所述网络访问请
求访问所述业务资源;当所述鉴权结果是符合所述允许访问条件而产生的结果时,基于所述网络访问请求访问所述业务资源。7.根据权利要求6所述的方法,其特征在于,所述允许访问条件包括认证性访问条件;所述方法还包括:当所述鉴权结果是符合所述禁止访问条件而产生的结果时,展示用于进行安全修复的修复建议文本;当所述鉴权结果是符合所述认证性访问条件而产生的结果时,展示用于提示进行二次认证的认证提示消息。8.根据权利要求7所述的方法,其特征在于,所述基于所述网络访问请求访问所述业务资源包括:获取响应于所述认证提示消息而上传的身份信息;获取信息库中与所述访问方账户信息对应的预留身份信息;当所述身份信息与所述预留身份信息匹配时,基于所述网络访问请求对所述业务资源进行访问。9.根据权利要求1至8中的任一项所述的方法,其特征在于,所述方法还包括:基于所述网络访问请求中的应用标识和访问方账户信息,确定所述访问方不符合所述业务资源的静态访问条件;当预设兜底访问条件属于放通直连访问类时,基于所述网络访问请求直接对企业内网中的所述业务资源进行访问;当所述预设兜底访问条件属于放通网关访问类时,将所述网络访问请求发送至所述业务服务器的接入网关,以使所述接入网关对所述网络访问请求进行访问控制;当所述预设兜底访问条件属于阻断访问类时,禁止基于所述网络访问请求访问所述业务资源。10.一种访问控制方法,其特征在于,所述方法包括:在安全客户端基于访问代理发起的第一鉴权请求进行权限验证后,接收所述安全客户端发送的用于请求业务资源访问权限的第二鉴权请求;所述第一鉴权请求,是所述访问代理响应于目标应用发起的网络访问请求而生成的;基于所述第二鉴权请求中的应用标识和访问方账户信息,确定访问所述业务资源的访问方符合静态访问条件;查找与所述静态访问条件关联的动态访问条件;基于所述第二鉴权请求中的属性信息和访问时间,确定所述访问方符合所述动态访问条件;向所述安全客户端返回鉴权结果;所述鉴权结果,用于指示所述安全客户端基于所述鉴权结果对所述目标应用发起的网络访问请求进行访问控制。11.根据权利要求10...
【专利技术属性】
技术研发人员:吴岳廷,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。