访问控制方法、访问条件配置方法、装置、设备和介质制造方法及图纸

本申请涉及一种业务资源的访问控制方法、访问条件配置方法、装置和设备。所述方法应用于云技术或对智慧交通领域的业务资源进行访问的场景，包括：接收访问代理发送的第一鉴权请求；基于第一鉴权请求中的应用标识和访问方账户信息，确定访问业务资源的访问方符合静态访问条件；获取访问方的属性信息和访问时间；向安全服务端发送携带属性信息和访问时间的第二鉴权请求；第二鉴权请求，用于指示安全服务端查找与静态访问条件关联的动态访问条件，并当基于属性信息和访问时间确定访问方符合动态访问条件时，返回鉴权结果；当接收到安全服务端返回的鉴权结果时，基于鉴权结果对网络访问请求进行访问控制。采用本方法能确保业务资源的隐私和安全。资源的隐私和安全。资源的隐私和安全。

【技术实现步骤摘要】
访问控制方法、访问条件配置方法、装置、设备和介质


[0001]本申请涉及数据安全
，特别是涉及一种访问控制方法、访问条件配置方法、装置、设备和介质。

技术介绍

[0002]随着信息化技术的不断发展，越来越多的企业用户通过特定的软件程序来实现远程办公，极大地方便了广大企业用户，如利用软件程序远程访问企业内网中的业务资源，该业务资源可以是企业办公软件、企业云和企业数据等。
[0003]在对企业内网中的业务资源进行远程访问的过程中，通常是先对需要远程访问的企业用户进行权限判断，即判断该企业用户在企业中所属的岗位或所属的部门，然后准许其访问相应的业务资源。然而，上述对业务资源的访问方案中，权限判断的粒度较粗，而且该访问方式还可能造成业务资源的安全风险。

技术实现思路

[0004]基于此，有必要针对上述技术问题，提供一种访问控制方法、访问条件配置方法、装置、设备和介质，能够细化业务资源的访问粒度，并避免业务资源出现安全风险。
[0005]一种访问控制方法，所述方法包括：
[0006]接收访问代理发送的第一鉴权请求；所述第一鉴权请求，是所述访问代理在接收到目标应用发起的对业务资源进行访问的网络访问请求时生成的；
[0007]基于所述第一鉴权请求中的应用标识和访问方账户信息，确定访问所述业务资源的访问方符合静态访问条件；
[0008]获取所述访问方的属性信息和访问时间；
[0009]向安全服务端发送携带所述属性信息和所述访问时间的第二鉴权请求；所述第二鉴权请求，用于指示所述安全服务端查找与所述静态访问条件关联的动态访问条件，并当基于所述属性信息和所述访问时间确定所述访问方符合所述动态访问条件时，返回鉴权结果；
[0010]当接收到所述安全服务端返回的所述鉴权结果时，基于所述鉴权结果对所述网络访问请求进行访问控制。
[0011]在其中的一个实施例中，所述方法还包括：
[0012]当命中所述禁止访问子条件时，生成被禁止访问的原因描述信息以及重新申请权限的建议文本；
[0013]展示所述原因描述信息和所述建议文本。
[0014]在其中的一个实施例中，所述方法还包括：
[0015]当基于所述属性信息和所述访问时间确定所述访问方不符合所述动态访问条件时，则将所述网络访问请求发送至所述业务服务器的接入网关，以使所述接入网关对所述网络访问请求进行访问控制。
[0016]在其中的一个实施例中，所述基于所述网络访问请求访问所述业务资源包括：
[0017]当所述允许访问条件为限制性访问条件、且所述访问时间未超出目标时段时，基于所述网络访问请求对企业内网中的所述业务资源进行访问；
[0018]所述方法还包括：当所述允许访问条件为限制性访问条件、且所述访问时间超出所述目标时段时，禁止基于所述网络访问请求访问所述业务资源。
[0019]在其中的一个实施例中，所述方法还包括：
[0020]当所述目标应用为第三方应用、且被禁止访问所述业务资源时，获取访问失败时记录的访问控制结果；
[0021]在触发到预设事件时，以弹窗方式或邮件方式输出所述访问控制结果；或者，
[0022]将所述访问控制结果存储于控制流日志；在接收到查看请求时，依据所述查看请求从所述控制流日志中读取访问控制结果，并进行显示；
[0023]当所述目标应用为浏览器时，获取访问过程中形成的访问控制信息，通过重定向页面显示所述访问控制信息。
[0024]一种访问控制装置，所述装置包括：
[0025]接收模块，用于接收访问代理发送的第一鉴权请求；所述第一鉴权请求，是所述访问代理在接收到目标应用发起的对业务资源进行访问的网络访问请求时生成的；
[0026]确定模块，用于基于所述第一鉴权请求中的应用标识和访问方账户信息，确定访问所述业务资源的访问方符合静态访问条件；
[0027]获取模块，用于获取所述访问方的属性信息和访问时间；
[0028]发送模块，用于向安全服务端发送携带所述属性信息和所述访问时间的第二鉴权请求；所述第二鉴权请求，用于指示所述安全服务端查找与所述静态访问条件关联的动态访问条件，并当基于所述属性信息和所述访问时间确定所述访问方符合所述动态访问条件时，返回鉴权结果；
[0029]控制模块，用于当接收到所述安全服务端返回的所述鉴权结果时，基于所述鉴权结果对所述网络访问请求进行访问控制。
[0030]一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时，执行上述访问控制方法的步骤。
[0031]一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，执行上述访问控制方法的步骤。
[0032]一种计算机程序产品，包括计算机程序，其特征在于，所述计算机程序被处理器执行时实现，执行上述访问控制方法的步骤。
[0033]上述访问控制方法、装置、计算机设备和存储介质，在目标应用访问业务资源时，会接收到访问代理基于网络访问请求生成的第一鉴权请求，依据该第一鉴权请求中的应用标识和访问方账户信息，对访问业务资源的访问方是否符合静态访问条件进行判断，从多个维度可以确定出该访问方是否具有访问权项，实现了对访问方的初始访问控制，而且还细化了访问权项的控制粒度，有利于业务资源的安全性。此外，在确定访问方符合静态访问条件时，还从其它不同维度和粒度对访问方进行二次鉴权，即获取该访问方的属性信息和访问时间，然向安全服务端发送携带属性信息和访问时间的第二鉴权请求，以使安全服务端查找与静态访问条件关联的动态访问条件，判断属性信息和访问时间是否符合动态访问
条件，从而完成第二次鉴权，若符合动态访问条件，则返回鉴权结果，基于第二次鉴权验证的鉴权结果对网络访问请求进行访问控制，有效地避免了权限安全漏洞，进一步提高了业务资源的安全性。
[0034]一种访问控制方法，所述方法包括：
[0035]在安全客户端基于访问代理发起的第一鉴权请求进行权限验证后，接收所述安全客户端发送的用于请求业务资源访问权限的第二鉴权请求；所述第一鉴权请求，是所述访问代理响应于目标应用发起的网络访问请求而生成的；
[0036]基于所述第二鉴权请求中的应用标识和访问方账户信息，确定访问所述业务资源的访问方符合静态访问条件；
[0037]查找与所述静态访问条件关联的动态访问条件；
[0038]基于所述第二鉴权请求中的属性信息和访问时间，确定所述访问方符合所述动态访问条件；
[0039]向所述安全客户端返回鉴权结果；所述鉴权结果，用于指示所述安全客户端基于所述鉴权结果对所述目标应用发起的网络访问请求进行访问控制。
[0040]在其中的一个实施例中，所述方法还包括：
[0041]若所述静态访问条件为短期访问条件，获取所述静态访问条件的有效时段；
[0042]若当前时间超出所述有效时段，对所述静态访问条件进行本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问控制方法，其特征在于，所述方法包括：接收访问代理发送的第一鉴权请求；所述第一鉴权请求，是所述访问代理在接收到目标应用发起的对业务资源进行访问的网络访问请求时生成的；基于所述第一鉴权请求中的应用标识和访问方账户信息，确定访问所述业务资源的访问方符合静态访问条件；获取所述访问方的属性信息和访问时间；向安全服务端发送携带所述属性信息和所述访问时间的第二鉴权请求；所述第二鉴权请求，用于指示所述安全服务端查找与所述静态访问条件关联的动态访问条件，并当基于所述属性信息和所述访问时间确定所述访问方符合所述动态访问条件时，返回鉴权结果；当接收到所述安全服务端返回的所述鉴权结果时，基于所述鉴权结果对所述网络访问请求进行访问控制。2.根据权利要求1所述的方法，其特征在于，所述基于所述第一鉴权请求中的应用标识和访问方账户信息，确定访问所述业务资源的访问方符合静态访问条件包括：向所述安全服务端发送携带所述访问方账户信息的申请请求；接收所述安全服务端响应于所述申请请求而返回的、且与所述访问方账户信息匹配的静态访问条件；或者，获取安全服务端下发的与所述访问方账户信息匹配的静态访问条件；基于所述目标应用的应用标识，确定所述访问方符合所述静态访问条件。3.根据权利要求2所述的方法，其特征在于，所述静态访问条件包括允许访问子条件和禁止访问子条件；所述基于所述目标应用的应用标识，确定所述访问方符合所述静态访问条件包括：基于所述目标应用的应用标识，确定访问所述业务资源的访问方命中所述允许访问子条件；所述方法还包括：当基于所述目标应用的应用标识，确定所述访问方命中所述禁止访问子条件时，则禁止基于所述网络访问请求访问所述业务资源。4.根据权利要求2所述的方法，其特征在于，所述方法还包括：获取所述目标应用所处硬件环境的硬件信息；所述基于所述目标应用的应用标识确定所述访问方符合所述静态访问条件包括：基于所述目标应用的应用标识和所述硬件信息，确定所述访问方符合所述静态访问条件。5.根据权利要求1所述的方法，其特征在于，所述第一鉴权请求还携带所述应用标识和所述访问方账户信息；所述第二鉴权请求，还用于指示所述安全服务端基于所述应用标识和所述访问方账户信息，判断所述访问方是否符合所述静态访问条件，若符合所述静态访问条件，执行所述查找与所述静态访问条件关联的动态访问条件的步骤。6.根据权利要求1所述的方法，其特征在于，所述动态访问条件包括禁止访问条件和允许访问条件；所述基于所述鉴权结果对所述网络访问请求进行访问控制包括：当所述鉴权结果是符合所述禁止访问条件而产生的结果时，禁止基于所述网络访问请
求访问所述业务资源；当所述鉴权结果是符合所述允许访问条件而产生的结果时，基于所述网络访问请求访问所述业务资源。7.根据权利要求6所述的方法，其特征在于，所述允许访问条件包括认证性访问条件；所述方法还包括：当所述鉴权结果是符合所述禁止访问条件而产生的结果时，展示用于进行安全修复的修复建议文本；当所述鉴权结果是符合所述认证性访问条件而产生的结果时，展示用于提示进行二次认证的认证提示消息。8.根据权利要求7所述的方法，其特征在于，所述基于所述网络访问请求访问所述业务资源包括：获取响应于所述认证提示消息而上传的身份信息；获取信息库中与所述访问方账户信息对应的预留身份信息；当所述身份信息与所述预留身份信息匹配时，基于所述网络访问请求对所述业务资源进行访问。9.根据权利要求1至8中的任一项所述的方法，其特征在于，所述方法还包括：基于所述网络访问请求中的应用标识和访问方账户信息，确定所述访问方不符合所述业务资源的静态访问条件；当预设兜底访问条件属于放通直连访问类时，基于所述网络访问请求直接对企业内网中的所述业务资源进行访问；当所述预设兜底访问条件属于放通网关访问类时，将所述网络访问请求发送至所述业务服务器的接入网关，以使所述接入网关对所述网络访问请求进行访问控制；当所述预设兜底访问条件属于阻断访问类时，禁止基于所述网络访问请求访问所述业务资源。10.一种访问控制方法，其特征在于，所述方法包括：在安全客户端基于访问代理发起的第一鉴权请求进行权限验证后，接收所述安全客户端发送的用于请求业务资源访问权限的第二鉴权请求；所述第一鉴权请求，是所述访问代理响应于目标应用发起的网络访问请求而生成的；基于所述第二鉴权请求中的应用标识和访问方账户信息，确定访问所述业务资源的访问方符合静态访问条件；查找与所述静态访问条件关联的动态访问条件；基于所述第二鉴权请求中的属性信息和访问时间，确定所述访问方符合所述动态访问条件；向所述安全客户端返回鉴权结果；所述鉴权结果，用于指示所述安全客户端基于所述鉴权结果对所述目标应用发起的网络访问请求进行访问控制。11.根据权利要求10...

【专利技术属性】
技术研发人员：吴岳廷，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：