访问控制方法及其装置制造方法及图纸

本发明专利技术公开了一种访问控制方法及其装置

【技术实现步骤摘要】
访问控制方法及其装置、存储介质、程序产品


[0001]本专利技术涉及云
，尤其涉及一种访问控制方法及其装置
、
存储介质
、
程序产品
。

技术介绍

[0002]随着互联网技术的快速发展，访问控制技术作为确保网络信息安全的核心手段之一，目前已广泛应用于各类应用场景，如云计算
、
云安全等应用场景
。
[0003]目前常用的访问控制方法主要是通过对访问发起者进行授信实现对访问发起者的访问控制，但是，这种访问控制方法仅对访问发起者起作用，无法识别被访问的资源是否存在异常开放的问题，一旦被访问的资源异常开放，就容易导致资源被非法获取，从而导致出现信息泄露的安全风险
。

技术实现思路

[0004]以下是对本文详细描述的主题的概述
。
本概述并非是为了限制权利要求的保护范围
。
[0005]本专利技术实施例提供了一种访问控制方法及其装置
、
存储介质
、
程序产品，能够快速识别资源是否异常开放，有利于针对异常开放的资源执行修正措施，降低漏洞被利用的时间，从而能够提高资源的安全性
。
[0006]一方面，本专利技术实施例提供了一种访问控制方法，包括以下步骤：
[0007]获取针对目标资源对象的访问请求信息；
[0008]当所述访问请求信息不符合预设的访问策略，对所述访问请求信息进行是否符合受限访问规则的判断；
[0009]当所述访问请求信息符合所述受限访问规则，向所述目标资源对象发送所述访问请求信息；
[0010]当接收到所述目标资源对象根据所述访问请求信息发送的目标访问响应，确定所述目标资源对象的通信接口异常开放；
[0011]阻断针对所述目标资源对象的访问请求，并告警所述目标资源对象的通信接口异常开放
。
[0012]另一方面，本专利技术实施例还提供了一种访问控制装置，包括：
[0013]请求获取单元，用于获取针对目标资源对象的访问请求信息；
[0014]规则获取单元，用于当所述访问请求信息不符合预设的访问策略，对所述访问请求信息进行是否符合受限访问规则的判断；
[0015]请求发送单元，用于当所述访问请求信息符合所述受限访问规则，向所述目标资源对象发送所述访问请求信息；
[0016]异常确定单元，用于当接收到所述目标资源对象根据所述访问请求信息发送的目标访问响应，确定所述目标资源对象的通信接口异常开放；
[0017]异常处置单元，用于阻断针对所述目标资源对象的访问请求，并告警所述目标资源对象的通信接口异常开放
。
[0018]可选地，所述异常确定单元还用于：
[0019]当接收到所述目标资源对象根据所述访问请求信息发送的目标访问响应，判断所述目标访问响应是否与所述访问请求信息相关联；
[0020]当所述目标访问响应与所述访问请求信息相关联，确定所述目标资源对象的通信接口异常开放
。
[0021]可选地，所述异常处置单元还用于：
[0022]丢弃所述目标访问响应；
[0023]向所述访问请求信息的访问发起者发送访问阻断响应，阻断所述访问发起者向所述目标资源对象发起的访问请求
。
[0024]可选地，所述访问控制装置还包括：
[0025]阻断记录生成单元，用于生成访问阻断记录；
[0026]阻断记录上报单元，用于向服务器上报所述访问阻断记录，使得所述服务器根据所述访问阻断记录确定是否更新所述访问策略和所述受限访问规则中的至少一种
。
[0027]可选地，所述访问控制装置还包括：
[0028]第一记录生成单元，用于当没有接收到所述目标资源对象根据所述访问请求信息发送的目标访问响应，根据所述访问请求信息生成第一访问记录；
[0029]第一记录上报单元，用于向服务器上报所述第一访问记录，使得所述服务器根据所述第一访问记录确定是否更新所述访问策略和所述受限访问规则中的至少一种
。
[0030]可选地，所述访问控制装置还包括：
[0031]第二记录生成单元，用于当所述访问请求信息不符合所述受限访问规则，根据所述访问请求信息生成第二访问记录；
[0032]第二记录上报单元，用于向服务器上报所述第二访问记录，使得所述服务器根据所述第二访问记录确定是否更新所述访问策略和所述受限访问规则中的至少一种
。
[0033]可选地，所述访问控制装置还包括：
[0034]访问记录获取单元，用于获取针对目标资源对象集合的目标访问记录；
[0035]访问记录上报单元，用于向服务器上报所述目标访问记录，使得所述服务器根据所述目标访问记录生成所述受限访问规则；
[0036]访问规则接收单元，用于接收所述服务器下发的所述受限访问规则
。
[0037]可选地，所述访问控制装置还包括：
[0038]第三记录生成单元，用于当所述访问请求信息符合所述访问策略，根据所述访问请求信息生成第三访问记录；
[0039]第三记录上报单元，用于向服务器上报所述第三访问记录，使得所述服务器根据所述第三访问记录确定是否更新所述访问策略和所述受限访问规则中的至少一种
。
[0040]可选地，所述访问控制装置还包括：
[0041]信息发送单元，用于当所述访问请求信息符合所述访问策略，通过网关向所述目标资源对象发送所述访问请求信息；
[0042]响应获取单元，用于获取所述网关发送的第一访问响应，其中，所述第一访问响应
由所述目标资源对象根据所述访问请求信息向所述网关发送；
[0043]响应发送单元，用于向所述访问发起者发送所述第一访问响应
。
[0044]可选地，所述信息发送单元还用于：
[0045]获取所述访问发起者的特征信息；
[0046]根据所述特征信息获取访问凭证；
[0047]向网关发送所述访问凭证和所述访问请求信息，使得所述网关在通过了对所述访问凭证的验证后，向所述目标资源对象发送所述访问请求信息
。
[0048]可选地，所述信息发送单元还用于：
[0049]向服务器发送所述特征信息，使得所述服务器根据所述特征信息对所述访问发起者进行权限校验；
[0050]获取所述服务器发送的访问凭证，其中，所述访问凭证由所述服务器在通过了对所述访问发起者的权限校验之后生成
。
[0051]另一方面，本专利技术实施例还提供了一种访问控制装置，包括：
[0052]至少一个处理器；
[0053]至少一个存储器，用于存储至少一个程序；
[0054]当至少一个所述程序被至少一个所述处理器执行时实现如前面所述的访问控制方法
。
[0055]另一方面，本专利技术实施例还提供了一种计算机可读存本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种访问控制方法，其特征在于，包括以下步骤：获取针对目标资源对象的访问请求信息；当所述访问请求信息不符合预设的访问策略，对所述访问请求信息进行是否符合受限访问规则的判断；当所述访问请求信息符合所述受限访问规则，向所述目标资源对象发送所述访问请求信息；当接收到所述目标资源对象根据所述访问请求信息发送的目标访问响应，确定所述目标资源对象的通信接口异常开放；阻断针对所述目标资源对象的访问请求，并告警所述目标资源对象的通信接口异常开放
。2.
根据权利要求1所述的访问控制方法，其特征在于，所述当接收到所述目标资源对象根据所述访问请求信息发送的目标访问响应，确定所述目标资源对象的通信接口异常开放，包括：当接收到所述目标资源对象根据所述访问请求信息发送的目标访问响应，判断所述目标访问响应是否与所述访问请求信息相关联；当所述目标访问响应与所述访问请求信息相关联，确定所述目标资源对象的通信接口异常开放
。3.
根据权利要求1所述的访问控制方法，其特征在于，所述阻断针对所述目标资源对象的访问请求，包括：丢弃所述目标访问响应；向所述访问请求信息的访问发起者发送访问阻断响应，阻断所述访问发起者向所述目标资源对象发起的访问请求
。4.
根据权利要求1所述的访问控制方法，其特征在于，所述确定所述目标资源对象的通信接口异常开放之后，所述访问控制方法还包括：生成访问阻断记录；向服务器上报所述访问阻断记录，使得所述服务器根据所述访问阻断记录确定是否更新所述访问策略和所述受限访问规则中的至少一种
。5.
根据权利要求1所述的访问控制方法，其特征在于，所述向所述目标资源对象发送所述访问请求信息之后，所述访问控制方法还包括：当没有接收到所述目标资源对象根据所述访问请求信息发送的目标访问响应，根据所述访问请求信息生成第一访问记录；向服务器上报所述第一访问记录，使得所述服务器根据所述第一访问记录确定是否更新所述访问策略和所述受限访问规则中的至少一种
。6.
根据权利要求1所述的访问控制方法，其特征在于，所述访问控制方法还包括：当所述访问请求信息不符合所述受限访问规则，根据所述访问请求信息生成第二访问记录；向服务器上报所述第二访问记录，使得所述服务器根据所述第二访问记录确定是否更新所述访问策略和所述受限访问规则中的至少一种
。7.
根据权利要求1所述的访问控制方法，其特征在于，所述受限访问规则根据以下步骤
得到：获取针对目标资源对象集合的目标访问记录；向服务器上报所述目标访问记录，使得所述服务器根据所述目标访问记录生成所述受限访问规则；接收所述服务器下发的所述受限访问规则
。8.
根据权利要求1所述的访问控制方法，其特征在于，所述访问控制方法还包括：当所述访问请求信息符合所述访问策略，根据所述访问请求信息生成第三访问记录；向服务器上报...

【专利技术属性】
技术研发人员：吴岳廷，蔡东赟，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：