CN110851274B - 资源访问控制方法、装置、设备及存储介质 - Google Patents
资源访问控制方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN110851274B CN110851274B CN201911058247.8A CN201911058247A CN110851274B CN 110851274 B CN110851274 B CN 110851274B CN 201911058247 A CN201911058247 A CN 201911058247A CN 110851274 B CN110851274 B CN 110851274B
- Authority
- CN
- China
- Prior art keywords
- resource access
- resource
- access request
- identifier
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 84
- 238000012545 processing Methods 0.000 claims abstract description 80
- 238000013475 authorization Methods 0.000 claims abstract description 77
- 230000007123 defense Effects 0.000 claims description 13
- 230000002159 abnormal effect Effects 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 5
- 230000007246 mechanism Effects 0.000 abstract description 12
- 230000008569 process Effects 0.000 description 22
- 238000012795 verification Methods 0.000 description 19
- 238000013507 mapping Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000032683 aging Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于云计算技术领域,公开了一种资源访问控制方法、装置、设备及存储介质。该方法包括:接收资源访问请求,资源访问请求包括待访问资源的资源标识、需要对待访问资源进行的访问操作标识和面向用户的用户标识;根据资源标识、访问操作标识、用户标识和预先配置的访问控制规则确定处理资源访问请求的服务接口,并生成授权标识;将授权标识添加到资源访问请求中,得到目标资源访问请求;将目标资源访问请求下发至对应的各服务接口,以使各服务接口根据目标资源访问请求进行资源访问控制。通过上述方式,大大简化了配置机制,避免了对资源管理平台过多的性能消耗和资源占用,同时也降低了对用户的要求,提升了易用性。
Description
技术领域
本发明涉及云计算技术领域,尤其涉及一种资源访问控制方法、装置、设备及存储介质。
背景技术
目前针对向资源管理平台,比如云管理平台进行资源访问的过程,通常是通过为资源管理平台中每一个服务接口设置一个访问控制规则列表来实现对发起的资源访问请求的控制,或者以角色为基础,基于角色实现对资源访问请求的控制。
但是,上述两种方式均存在一些不可避免的问题:
比如,为每一个服务接口设置一个访问控制规则列表的方式会导致每次资源访问都需要依次检测多个访问控制规则列表,进而影响处理效率;而基于角色的访问控制则存在访问规则配置复杂、实现成本高,因此无法适用于需要精细化控制的场景,如精细控制到某个资源。
并且上述两种方式在具体实现的过程中,不仅对资源管理平台的性能消耗较大,资源占用较多,还对用户要求较高,比如需要用户掌握各种资源访问请求所需的权限等,因此易用性也相对较低。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种资源访问控制方法、装置、设备及存储介质,旨在解决上述技术问题。
为实现上述目的,本发明提供了一种资源访问控制方法,所述方法包括以下步骤:
接收资源访问请求,所述资源访问请求包括待访问资源的资源标识、需要对所述待访问资源进行的访问操作标识和面向用户的用户标识;
根据所述资源标识、所述访问操作标识、所述用户标识和预先配置的访问控制规则确定处理所述资源访问请求的服务接口,并生成授权标识;
将所述授权标识添加到所述资源访问请求中,得到目标资源访问请求;
将所述目标资源访问请求下发至对应的各服务接口,以使各服务接口根据所述目标资源访问请求进行资源访问控制。
优选地,所述根据所述资源标识、所述访问操作标识、所述用户标识和预先配置的访问控制规则确定处理所述资源访问请求的服务接口,并生成授权标识的步骤,包括:
根据所述用户标识确定面向系统的系统标识;
根据所述资源标识、所述访问操作标识、所述系统标识和预先配置的访问控制规则确定处理所述资源访问请求的服务接口,并生成授权标识。
优选地,所述根据用户标识确定面向系统的系统标识的步骤之前,所述方法还包括:
对所述用户标识进行验证,确定所述用户标识是否是有效用户标识;
若所述用户标识是有效用户标识,则执行根据所述用户标识确定面向系统的系统标识的操作。
优选地,所述将所述目标资源访问请求下发至对应的各服务接口,以使各服务接口根据所述目标资源访问请求进行资源访问控制的步骤之前,所述方法还包括:
将所述授权标识下发至对应的各服务接口,以使各服务接口根据接收到的所述授权标识和从所述目标资源访问请求中提取出的授权标识进行验证。
优选地,所述将所述目标资源访问请求下发至对应的各服务接口,以使各服务接口根据所述目标资源访问请求进行资源访问控制的步骤之后,所述方法还包括:
接收各服务接口反馈的针对所述资源访问请求作出的处理结果;
根据所述处理结果、所述资源标识和所述访问操作标识,构建资源访问请求白名单;
根据所述资源访问请求白名单,进行自动防御处理。
优选地,所述根据所述处理结果、所述资源标识和所述访问操作标识,构建资源访问请求白名单的步骤,包括:
对所述资源标识和所述访问操作标识进行特征提取操作,根据提取到的特征确定所述资源访问请求的请求类型;
根据所述处理结果确定所述资源访问请求是否正常;
若所述资源访问请求正常,则增加所述资源访问请求对应的请求类型的可信度值;
若所述资源访问请求不正常,则降低所述资源访问请求对应的请求类型的可信度值;
判断所述请求类型的可信度值是否大于预设可信度阈值;
若所述请求类型的可信度值大于预设可信度阈值,则将所述请求类型添加到资源访问请求白名单。
优选地,所述根据所述资源访问请求白名单,进行自动防御处理的步骤之前,所述方法还包括:
统计所述资源访问请求白名单中请求类型的数量;
在所述资源访问请求白名单中请求类型的数量大于预设阈值时,启动白名单机制,执行根据所述资源访问请求白名单,进行自动防御处理的操作。
此外,为实现上述目的,本发明还提出一种资源访问控制装置,所述装置包括:
接收模块,用于接收资源访问请求,所述资源访问请求包括待访问资源的资源标识、需要对所述待访问资源进行的访问操作标识和面向用户的用户标识;
确定模块,用于根据所述资源标识、所述访问操作标识、所述用户标识和预先配置的访问控制规则确定处理所述资源访问请求的服务接口,并生成授权标识;
设置模块,用于将所述授权标识添加到所述资源访问请求中,得到目标资源访问请求;
发送模块,用于将所述目标资源访问请求下发至对应的各服务接口,以使各服务接口根据所述目标资源访问请求进行资源访问控制。
此外,为实现上述目的,本发明还提出一种资源访问控制设备,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的资源访问控制程序,所述资源访问控制程序配置为实现如上文所述的资源访问控制方法的步骤。
此外,为实现上述目的,本发明还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有资源访问控制程序,所述资源访问控制程序被处理器执行时实现如上文所述的资源访问控制方法的步骤。
本发明的提供的资源访问控制方案,通过设置资源访问请求需要携带待访问资源的资源标识、需要对待访问资源进行的访问操作标识以及面向用户的用户标识,使得用户只需记住自己的用户标识即可实现对待访问资源的请求,从而大大降低了对用户的要求,提升了易用性和用户体验。
此外,本发明提供的资源访问控制方案,无需为资源管理平台支持的各服务接口单独设置对应的访问控制规则,而是仅预先配置一个访问控制规则,在接收到携带有上述标识信息的资源访问请求之后,通过根据携带的上述信息以及预先配置的访问控制规则来确定处理当前资源访问请求的服务接口,从而通过遍历一个访问控制规则即可实现对当前资源访问请求涉及的多个服务接口的定位,在大大简化配置过程、提升处理效率的同时,也尽可能的减小了对资源管理服务平台性能的消耗和资源的占用,从而降低了实现成本。
此外,本发明提供的资源访问控制方案,在确定好处理当前资源访问请求的服务接口后,通过生成具有唯一性的授权标识,并将授权标识添加到当前资源访问请求中生成目标资源访问请求,将携带有授权标识的目标资源访问请求下发至对应的各服务接口,以使各服务接口根据目标资源访问请求进行资源访问控制,从而使得后续的整个处理过程都能快速、准确的定位到具的待访问资源,进而达到了精细化的访问控制。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的资源访问控制设备的结构示意图;
图2为本发明资源访问控制方法第一实施例的流程示意图;
图3为本发明资源访问控制方法第二实施例的流程示意图;
图4为本发明资源访问控制方法第二实施例的资源访问控制交互示意图;
图5为本发明资源访问控制装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的资源访问控制设备结构示意图。
如图1所示,该资源访问控制设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对资源访问控制设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及资源访问控制程序。
在图1所示的资源访问控制设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明资源访问控制设备中的处理器1001、存储器1005可以设置在资源访问控制设备中,所述资源访问控制设备通过处理器1001调用存储器1005中存储的资源访问控制程序,并执行本发明实施例提供的资源访问控制方法。
本发明实施例提供了一种资源访问控制方法,参照图2,图2为本发明一种资源访问控制方法第一实施例的流程示意图。
本实施例中,所述资源访问控制方法包括以下步骤:
步骤S10,接收资源访问请求。
具体的说,在本实施例中用于执行资源访问控制方法的主体为云管理平台,即通常所说的Cloud Managing Platform(简称:CMP)。
所谓云管理平台,实质就是一个为用户提供统一的管理和使用云资源的平台。
但在实际应用中,本实施例提供的资源访问控制方法并不局限于仅针对云管理平台,还可以适用于任意能够为用户提供待访问资源,以及对待访问资源进行管理的平台、设备等,此处不做限制。
为了便于说明,本实施例将此类设备、平台均称为资源管理平台。
此外,应当理解的是,由于后续对资源访问的控制需要根据接收到的资源访问请求完成,并且本实施例为了实现对资源访问的精细化控制,方便后续处理能够识别接收到的每一个资源访问请求,所述资源访问请求中需要携带有标识待访问资源的资源标识,比如用于指定待访问资源位置信息的统一资源定位符(uniform resource locator,URL),以及用于表明需要对所述待访问资源进行的访问操作标识,比如在所述资源访问请求为http形式的请求时,访问操作标识可以是http请求中用于表示头文件的action标签中的内容。
关于action标签中的具体内容,在实际资源访问请求中,可以分为用于表示获取操作的“get”、用于表示创建操作的“post”、用于表示更新操作的“pot”,以及用于表示删除操作的“del”。
并且,在实际发起的http格式的资源访问请求中,可以将用于指定待访问资源位置信息的URL紧跟action标签设置,具体的格式本领域技术人员可以根据需要进行设置,此处不做限制。
此外,上述给出的action标签中可以出现的四种访问操作标识也可以有本领域技术人员根据需要预先定义,本实施例对此不做限制。
此外,需要说明的是,由于本实施例提供的资源访问控制方法还要兼顾易用性,降低对用户的使用要求。故而,为了方便用户使用,上述资源访问请求中还需要包括面向用户的用户标识。
所谓面向用户的用户标识,在本实施例中具体是指分配给用户的用户账号和用户密码,即具有唯一性,同时便于用户记忆登录资源访问平台的账号信息。
进一步地,如果在实际应用中,用户账号和用户密码与能够标识用户唯一性的生物特征信息,比如指纹特征信息、人脸特征信息、声纹特征信息等进行绑定,则用户标识也可以是这些生物特征信息。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在实际应用中,本领域技术人员可以根据需要进行设置,此处不做限制。
此外,关于上述所说的资源访问请求,在实际应用中,具体可以是由用户通过操作与资源管理平台建立通信连接的用户终端,进而生成的。
具体的触发方式,本领域技术人员可以根据需要设置,此处不做限制。
步骤S20,根据所述资源标识、所述访问操作标识、所述用户标识和预先配置的访问控制规则确定处理所述资源访问请求的服务接口,并生成授权标识。
具体的说,由于从接收到的资源访问请求中提取出的用户标识是面向用户的,故而为了方便资源管理平台识别,在执行上述步骤S20的时候,可以先根据所述用户标识确定面向系统的系统标识,然后再根据所述资源标识、所述访问操作标识、所述系统标识和预先配置的访问控制规则确定处理所述资源访问请求的服务接口,并生成授权标识。
应当理解的是,在实际应用中,上述所说的系统标识需要与所述用户标识存在对应关系,从而在提取到用户标识后,便可以快速、精准的得到对应的系统标识,进而方便资源管理平台后续的使用。
关于根据所述用户标识确定面向系统的系统标识的操作,在实际应用中可以通过如下两种方式实现:
方式1:
首先,预先构建各用户标识与对应的系统标识之间的映射关系表;
相应地,在确定系统标识时:
先获取预先构建的映射关系表,所述映射关系表为用户标识与系统标识之间的对应关系;
然后对所述映射关系表进行遍历,将遍历到用户标识与所述用户标识进行对比;
最终,若遍历到的用户标识与所述用户标识匹配,则将遍历到的用户标识对应的系统标识作为面向系统的系统标识。
也就是说,可以直接根据预先构建的映射关系表和所述用户标识,确定面向系统的系统标识。
方式2:
根据预设转换规则对所述用户标识进行处理,进而生成面向系统的系统标识。
应当理解的是,以上给出的仅为根据用户标识确定面向系统的系统标识的两种具体实现方式,对本发明的技术方案并不构成任何限定,在实际应用中,本领域技术人员可以根据需要进行设置,此处不做限制。
此外,关于上述所说的访问控制规则,即通常所说的ACL(Access Control Lists,访问控制列表)规则,是为每一个被访问的资源、发起资源访问请求的客体所设置的访问控制策略,该策略可以是要求请求者或者发起的资源访问请求满足一定的条件,也可以是指定或排除某些请求者或资源访问请求,还可以是限定请求者能够访问哪些资源,以及请求者能够对这些资源进行怎样的操作。
并且,为了方便定位用于处理接收到的资源访问请求对应的服务接口,所述访问控制规则中还需要明确不同类型的资源访问请求、不同访问操作标识的资源访问请求可以对应哪些服务接口。
通过上述描述不难发现,由于访问控制规则中预先设置好了上述规则和条件,而根据资源标识的特征信息又可以确定所述资源访问请求的请求类型,根据访问操作标识可以确定需要进行的实际操作,根据所述系统标识可以方便资源管理平台识别发起所述资源访问请求的请求者身份,故而根据所述资源标识、所述访问操作标识、所述系统标识和预先配置的访问控制规则即可确定处理所述资源访问请求的服务接口。
此外,需要说明的是,由于本实施例中提供的资源访问控制方法需要实现精细化的访问控制,故而为方便后续的整个处理过程都能快速、准确的定位到具的待访问资源,在确定处理所述资源访问请求的服务接口之后,还会生成用于标识所述资源访问请求唯一性的授权标识,为了便于理解,在实际应用中可以称为授权ID或pass_id,即一个具有唯一性的标识号。
关于授权标识的生成方式,在具体实现中,本领域技术人员可以根据需要设置合适的生成规则,选取合适的生成算法,此处不做限制。
此外,值得一提的是,在实际应用中,为了尽可能减少资源管理平台不必要的处理,进而减少对资源管理平台性能的消耗和资源的占用,在根据所述用户标识确定面向系统的系统标识之前,还可以先对所述用户标识进行验证,确定所述用户标识是否是有效的用户标识。
相应地,若通过验证,确定所述用户标识是有效用户标识,则可以执行根据所述用户标识确定面向系统的系统标识的操作。
相应地,若通过验证,确定所述用户标识不是有效用户标识,则可以进行无效提示。
为了便于理解上述验证过程,本实施例以用户标识是用户账号和用户密码为例,进行说明:
首先,将资源访问请求中携带的用户账号与资源管理平台中存储的已有用户账号进行对比,若存在相匹配的账号,则获取资源管理平台中该用户账号对应的用户密码;
然后,将从资源访问请求中获取到的用户密码与从资源管理平台获取的用户密码进行对比,若匹配,则说明当前用户标识有效,否则有任意一步不匹配,则认为当前用户标识无效。
应当理解的是,以上给出的仅为一种具体的实现方式,对本发明的技术方案并不构成任何限定,在实际应用中,本领域技术人员可以根据需要进行设置,此处不做限制。
此外,关于上述所说的在确定所述用户标识不是有效用户标识时,进行的无效提示可以是:在用户账号和用户密码不匹配时,向发起资源访问请求的用户的终端设备发送用户账号和用户密码不匹配的提示信息;在用户账号不存在是,直接发送用户账号不存在的提示信息等。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在实际应用中,本领域技术人员可以根据需要进行设置,此处不做限制。
步骤S30,将所述授权标识添加到所述资源访问请求中,得到目标资源访问请求。
仍以所述资源访问请求为http形式的请求为例,则上述将所述授权标识添加到所述资源访问请求中的操作,具体是将所述授权标识添加到http请求的头文件中。
步骤S40,将所述目标资源访问请求下发至对应的各服务接口,以使各服务接口根据所述目标资源访问请求进行资源访问控制。
应当理解的是,在实际应用中,针对一个资源访问请求作出的资源访问控制,要么是直接拒绝,即不返回任何资源,要么是允许,即返回资源访问请求对应的待访问资源。故而,本实施例中各服务接口根据所述目标资源访问请求进行的资源访问控制也可以是拒绝或允许。
进一步地,在实际应用中,为了尽可能降低对资源管理平台性能的消耗和资源的占用,避免无效处理。在执行上述步骤S40之前,还可以将步骤S20中生成的授权标识下发至对应的各服务接口,以使各服务接口根据接收到的所述授权标识和从所述目标资源访问请求中提取出的授权标识进行验证。
需要说明的是,在本实施例中,在将所述授权标识下发至对应的各服务接口时,具体是将所述授权标识下发至各服务接口对应的存储区域中。
相应地,各服务接口在进行验证时,具体是通过遍历各自对应的存储区域,然后将遍历出的授权标识与从接收到的目标资源访问请求中提取出的授权标识进行对比,若两者匹配,则验证成功,验证成功的服务接口根据所述目标资源访问请求进行诸如允许返回待访问资源的资源访问控制;否则,说明验证失败,验证失败的服务接口则作出拒绝访问的资源访问控制。
进一步地,在实际应用中,为了进一步减少对资源管理平台资源的占用,还可以为存储在各服务接口对于的存储区域中的授权标识设置有效时间,然后通过监控各存储区域中存储的授权标识的有效时间,将有效时间已经失效的授权标识进行删除,这样通过过期老化机制清理无效的授权标识,从而大大节省了对存储区域的占用,进而减少了对管理服务接口的资源管理平台的资源占用。
此外,应当理解的是,由于在实际应用中,处理资源访问请求的服务接口可能与待访问资源位于同一资源管理平台,也可能位于不同的资源管理平台,故而上述所说监控授权标识的有效时长的操作可以是由本实施例所说的接收到资源访问请求的资源管理平台完成的,也可以是由其他资源管理平台完成的,甚至可以是服务接口自己完成的,具体的设置方式本领域技术人员可以根据需要进行设置,此处不做限制。
通过上述描述不难发现,本实施例中提供的资源访问控制方法,通过设置资源访问请求需要携带待访问资源的资源标识、需要对待访问资源进行的访问操作标识以及面向用户的用户标识,使得用户只需记住自己的用户标识即可实现对待访问资源的请求,从而大大降低了对用户的要求,提升了易用性和用户体验。
此外,本实施例中提供的资源访问控制方法,由于无需为资源管理平台支持的各服务接口单独设置对应的访问控制规则,而是仅预先配置一个访问控制规则,故而在接收到携带有上述标识信息的资源访问请求之后,直接根据携带的上述信息以及预先配置的访问控制规则即可确定处理当前资源访问请求的服务接口,从而通过遍历一个访问控制规则即可实现对当前资源访问请求涉及的多个服务接口的定位,在大大简化配置过程、提升处理效率的同时,也尽可能的减小了对资源管理服务平台性能的消耗和资源的占用,从而降低了实现成本。
此外,本实施例中提供的资源访问控制方法,在确定好处理当前资源访问请求的服务接口后,通过生成具有唯一性的授权标识,并将授权标识添加到当前资源访问请求中生成目标资源访问请求,将携带有授权标识的目标资源访问请求下发至对应的各服务接口,以使各服务接口根据目标资源访问请求进行资源访问控制,从而使得后续的整个处理过程都能快速、准确的定位到具的待访问资源,进而达到了精细化的访问控制。
参考图3,图3为本发明一种资源访问控制方法第二实施例的流程示意图。
基于上述第一实施例,本实施例资源访问控制方法在所述步骤S40之后,还包括:
步骤S50,接收各服务接口反馈的针对所述资源访问请求作出的处理结果。
具体的说,上述所说的处理结果可以记载对应的服务接口针对所述资源访问请求作出的具体资源访问控制是拒绝,还是允许。
进一步地,在作出的资源访问控制是拒绝时,具体的拒绝原因是什么;在作出的资源访问控制是允许时,具体是返回了待访问资源的哪一部分,并且返回了多少等。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在实际应用中本领域技术人员可以根据需要进行设置,此处不做限制。
步骤S60,根据所述处理结果、所述资源标识和所述访问操作标识,构建资源访问请求白名单。
具体的说,上述所说的资源访问请求白名单,即为明确限定了哪些请求类型的资源访问请求,或者可信度值符合某一预设阈值的资源访问请求为合法请求,可以进行上述步骤S10至步骤S40的操作,否则可以进行步骤S70中所说的自动防御处理操作。
关于上述所说的构建资源访问请求白名单的操作,在实际应用中,可以按照如下流程实现:
首先,对所述资源标识和所述访问操作标识进行特征提取操作,根据提取到的特征确定所述资源访问请求的请求类型;
然后,根据所述处理结果确定所述资源访问请求是否正常;
相应地,若所述资源访问请求正常,则增加所述资源访问请求对应的请求类型的可信度值;若所述资源访问请求不正常,则降低所述资源访问请求对应的请求类型的可信度值;
最后,判断所述请求类型的可信度值是否大于预设可信度阈值;
相应地,若所述请求类型的可信度值大于预设可信度阈值,则将所述请求类型添加到资源访问请求白名单。
也就是说,在执行上述操作时,可以先构建一个用于记录合法、可信度值大于预设可信度阈值空白的资源访问请求白名单,然后通过上述流程,将符合上述要求的资源访问请求添加到该空白的资源访问请求白名单中。
应当理解的是,以上给出的仅为一种构建资源访问请求白名单的具体实现方式,在实际应用中,本领域技术人员可以根据需要进行设置,比如选取合适的机器学习算法,通过对预设数量的处理结果进行分析学习,进而构建合适的资源访问请求白名单,具体的实现方式,此处不做限制。
步骤S70,根据所述资源访问请求白名单,进行自动防御处理。
具体的说,上述所说的根据所述资源访问请求白名单,进行自动防御处理,即后续在接收到新的资源访问请求时,如果通过判断发现新的资源访问请求不是所述资源访问请求白名单中记载的任何一种资源访问请求类型,或者可信度值较低,则可以向系统管理管进行预警通知,或者直接拒绝这类资源访问请求,不进行后续的操作。
进一步地,在实际应用中,为了保证上述操作的合理性,需要设置一个开启白名单机制的触发条件,即启动白名单机制后,才执行上述步骤S70中的操作。
关于是否启动白名单机制,具体可以按照如下流程实现:
首先,统计所述资源访问请求白名单中请求类型的数量;
然后,在所述资源访问请求白名单中请求类型的数量大于预设阈值时,启动白名单机制,然后执行上述步骤S70中所说的根据所述资源访问请求白名单,进行自动防御处理的操作。
通过上述描述不难发现,本实施例中提供的资源访问控制方法,通过根据各服务接口反馈的处理结果,以及已处理的资源访问请求中携带的资源标识和访问操作标识来构建资源访问请求白名单,进而在后续接收到不合法的资源访问请求时,无需进行身份认证、确定服务接口,以及生成授权标识的处理,而是直接进行自动防御处理,在进一步简化资源访问控制流程,提高处理效率和资源管理平台性能的同时,也实现了对偶发危险事件的防御,提高了资源管理平台的安全性。
此外,为了本发明第一、第二方法实施例提供的资源访问控制方法的在具体应用中的处理流程,以下结合图4进行简要说明:
为了便于说明,图4中以发起资源访问请求的主体为用户终端,比如用户的手机、平板电脑、个人计算机等,但在实际应用中发起资源访问请求的主体也可以是任意类型的服务平台,此处不再一一列举,对此也不做任何限制。
此外,应当理解的是,虽然本发明提供的资源访问控制方法的执行主体为资源管理平台,但各步骤的实现具体是由资源管理平台内部的各个功能模块交互实现的,为了便于说明,图4以服务接口也属于该资源管理平台为例进行说明。
如图4所示,用户终端发起的资源访问请求具体是由资源管理平台内的API网关接收的。
所谓API网关,即应用程序编程接口(Application Programming Interface)网关,它是资源管理平台提供的一项API托管服务。
接着,API网关在接收到资源访问请求之后,从中提取写的用户标识,并将所述用户标识发送至认证服务模块,由认证服务模块对发起资源访问请求的用户的身份进行认证,并将认证结果(成功or失败)反馈给API网关。
接着,如果认证成功,API网关则将资源访问请求中携带的资源标识、访问操作标识和用户标识下发至访问控制服务模块,有访问控制服务模块根据接收到的上述信息以及存储的预选配置的访问控制规则来确定处理当前资源访问请求的服务接口,生成授权标识,并将确定的服务接口和授权标识反馈给API网关,由API网关将生成的授权标识添加到资源访问请求中,得到目标资源访问请求,进而根据接收到的确定的服务接口信息,将目标资源访问请求下发至对应的各服务接口。
为了便于说明,图4以确定的处理资源访问请求的服务接口为服务接口X和服务接口Y两个服务接口为例。
相应地,API网关下发的目标资源访问请求具体是分别下发至服务接口X和服务接口Y。
进一步地,为了实现对目标资源访问请求中携带的授权标识的验证,如图4所示,访问控制服务模块还会将生成的授权标识分别下发至服务接口X和服务接口Y,进而使得服务接口X和服务接口Y能够根据接收到的授权标识和从目标资源访问请求中提取出的授权标识对所述目标资源访问请求进行验证。
接着,访问控制服务模块还会接收服务接口X和服务接口Y反馈的针对所述目标资源访问请求作出的处理结果,然后通过分析各处理结果,以及根据所述资源访问请求携带的相关信息,构建资源访问请求白名单。
应当理解的是,以上仅为针对本发明提供的资源访问控制方法的简要说明,对本发明的技术方案并不构成任何限定,同时未详尽描述的技术细节,可参加本发明任意实施例提供的资源访问控制方法,此处不再赘述。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有资源访问控制程序,所述资源访问控制程序被处理器执行时实现如上文所述的资源访问控制方法的步骤。
参照图5,图5为本发明资源访问控制装置第一实施例的结构框图。
如图5所示,本发明实施例提出的资源访问控制装置包括:接收模块5001、确定模块5002、设置模块5003和发送模块5004。
其中,接收模块5001,用于接收资源访问请求,所述资源访问请求包括待访问资源的资源标识、需要对所述待访问资源进行的访问操作标识和面向用户的用户标识;确定模块5002,用于根据所述资源标识、所述访问操作标识、所述用户标识和预先配置的访问控制规则确定处理所述资源访问请求的服务接口,并生成授权标识;设置模块5003,用于将所述授权标识添加到所述资源访问请求中,得到目标资源访问请求;发送模块5004,用于将所述目标资源访问请求下发至对应的各服务接口,以使各服务接口根据所述目标资源访问请求进行资源访问控制。
需要说明的是,由于从接收到的资源访问请求中提取出的用户标识是面向用户的,故而为了方便资源管理平台识别,所述确定模块5002在确定处理所述资源访问请求的服务接口时,可以先根据所述用户标识确定面向系统的系统标识,然后再根据所述资源标识、所述访问操作标识、所述系统标识和预先配置的访问控制规则确定处理所述资源访问请求的服务接口,并生成授权标识。
应当理解的是,在实际应用中,上述所说的系统标识需要与所述用户标识存在对应关系,从而在提取到用户标识后,便可以快速、精准的得到对应的系统标识,进而方便资源管理平台后续的使用。
关于根据所述用户标识确定面向系统的系统标识的操作,在实际应用中可以通过如下两种方式实现:
方式1:
首先,预先构建各用户标识与对应的系统标识之间的映射关系表;
相应地,在确定系统标识时:
先获取预先构建的映射关系表,所述映射关系表为用户标识与系统标识之间的对应关系;
然后对所述映射关系表进行遍历,将遍历到用户标识与所述用户标识进行对比;
最终,若遍历到的用户标识与所述用户标识匹配,则将遍历到的用户标识对应的系统标识作为面向系统的系统标识。
也就是说,可以直接根据预先构建的映射关系表和所述用户标识,确定面向系统的系统标识。
方式2:
根据预设转换规则对所述用户标识进行处理,进而生成面向系统的系统标识。
应当理解的是,以上给出的仅为根据用户标识确定面向系统的系统标识的两种具体实现方式,对本发明的技术方案并不构成任何限定,在实际应用中,本领域技术人员可以根据需要进行设置,此处不做限制。
此外,关于上述所说的访问控制规则,即通常所说的ACL(Access Control Lists,访问控制列表)规则,是为每一个被访问的资源、发起资源访问请求的客体所设置的访问控制策略,该策略可以是要求请求者或者发起的资源访问请求满足一定的条件,也可以是指定或排除某些请求者或资源访问请求,还可以是限定请求者能够访问哪些资源,以及请求者能够对这些资源进行怎样的操作。
并且,为了方便定位用于处理接收到的资源访问请求对应的服务接口,所述访问控制规则中还需要明确不同类型的资源访问请求、不同访问操作标识的资源访问请求可以对应哪些服务接口。
通过上述描述不难发现,由于访问控制规则中预先设置好了上述规则和条件,而根据资源标识的特征信息又可以确定所述资源访问请求的请求类型,根据访问操作标识可以确定需要进行的实际操作,根据所述系统标识可以方便资源管理平台识别发起所述资源访问请求的请求者身份,故而根据所述资源标识、所述访问操作标识、所述系统标识和预先配置的访问控制规则即可确定处理所述资源访问请求的服务接口。
此外,需要说明的是,由于本实施例中提供的资源访问控制方法需要实现精细化的访问控制,故而为方便后续的整个处理过程都能快速、准确的定位到具的待访问资源,在确定处理所述资源访问请求的服务接口之后,还会生成用于标识所述资源访问请求唯一性的授权标识,为了便于理解,在实际应用中可以称为授权ID或pass_id,即一个具有唯一性的标识号。
关于授权标识的生成方式,在具体实现中,本领域技术人员可以根据需要设置合适的生成规则,选取合适的生成算法,此处不做限制。
此外,值得一提的是,在实际应用中,为了尽可能减少资源管理平台不必要的处理,进而减少对资源管理平台性能的消耗和资源的占用,在根据所述用户标识确定面向系统的系统标识之前,还可以先对所述用户标识进行验证,确定所述用户标识是否是有效的用户标识。
相应地,若通过验证,确定所述用户标识是有效用户标识,则可以执行根据所述用户标识确定面向系统的系统标识的操作。
相应地,若通过验证,确定所述用户标识不是有效用户标识,则可以进行无效提示。
为了便于理解上述验证过程,本实施例以用户标识是用户账号和用户密码为例,进行说明:
首先,将资源访问请求中携带的用户账号与资源管理平台中存储的已有用户账号进行对比,若存在相匹配的账号,则获取资源管理平台中该用户账号对应的用户密码;
然后,将从资源访问请求中获取到的用户密码与从资源管理平台获取的用户密码进行对比,若匹配,则说明当前用户标识有效,否则有任意一步不匹配,则认为当前用户标识无效。
应当理解的是,以上给出的仅为一种具体的实现方式,对本发明的技术方案并不构成任何限定,在实际应用中,本领域技术人员可以根据需要进行设置,此处不做限制。
此外,关于上述所说的在确定所述用户标识不是有效用户标识时,进行的无效提示可以是:在用户账号和用户密码不匹配时,向发起资源访问请求的用户的终端设备发送用户账号和用户密码不匹配的提示信息;在用户账号不存在是,直接发送用户账号不存在的提示信息等。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在实际应用中,本领域技术人员可以根据需要进行设置,此处不做限制。
此外,应当理解的是,由于在实际应用中,针对一个资源访问请求作出的资源访问控制,要么是直接拒绝,即不返回任何资源,要么是允许,即返回资源访问请求对应的待访问资源。故而,本实施例中各服务接口根据所述目标资源访问请求进行的资源访问控制也可以是拒绝或允许。
进一步地,在实际应用中,为了尽可能降低对资源管理平台性能的消耗和资源的占用,避免无效处理。所述发送模块5004在将所述目标资源访问请求下发至对应的各服务接口之前,还可以所述确定模块5002生成的授权标识下发至对应的各服务接口,以使各服务接口根据接收到的所述授权标识和从所述目标资源访问请求中提取出的授权标识进行验证。
需要说明的是,在本实施例中,在将所述授权标识下发至对应的各服务接口时,具体是将所述授权标识下发至各服务接口对应的存储区域中。
相应地,各服务接口在进行验证时,具体是通过遍历各自对应的存储区域,然后将遍历出的授权标识与从接收到的目标资源访问请求中提取出的授权标识进行对比,若两者匹配,则验证成功,验证成功的服务接口根据所述目标资源访问请求进行诸如允许返回待访问资源的资源访问控制;否则,说明验证失败,验证失败的服务接口则作出拒绝访问的资源访问控制。
进一步地,在实际应用中,为了进一步减少对资源管理平台资源的占用,还可以为存储在各服务接口对于的存储区域中的授权标识设置有效时间,然后通过监控各存储区域中存储的授权标识的有效时间,将有效时间已经失效的授权标识进行删除,这样通过过期老化机制清理无效的授权标识,从而大大节省了对存储区域的占用,进而减少了对管理服务接口的资源管理平台的资源占用。
此外,应当理解的是,由于在实际应用中,处理资源访问请求的服务接口可能与待访问资源位于同一资源管理平台,也可能位于不同的资源管理平台,故而上述所说监控授权标识的有效时长的操作可以是由本实施例所说的接收到资源访问请求的资源管理平台完成的,也可以是由其他资源管理平台完成的,甚至可以是服务接口自己完成的,具体的设置方式本领域技术人员可以根据需要进行设置,此处不做限制。
此外,本实施例中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施例中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
通过上述描述不难发现,本实施例中提供的资源访问控制装置,通过设置资源访问请求需要携带待访问资源的资源标识、需要对待访问资源进行的访问操作标识以及面向用户的用户标识,使得用户只需记住自己的用户标识即可实现对待访问资源的请求,从而大大降低了对用户的要求,提升了易用性和用户体验。
此外,本实施例中提供的资源访问控制装置,由于无需为资源管理平台支持的各服务接口单独设置对应的访问控制规则,而是仅预先配置一个访问控制规则,故而在接收到携带有上述标识信息的资源访问请求之后,直接根据携带的上述信息以及预先配置的访问控制规则即可确定处理当前资源访问请求的服务接口,从而通过遍历一个访问控制规则即可实现对当前资源访问请求涉及的多个服务接口的定位,在大大简化配置过程、提升处理效率的同时,也尽可能的减小了对资源管理服务平台性能的消耗和资源的占用,从而降低了实现成本。
此外,本实施例中提供的资源访问控制装置,在确定好处理当前资源访问请求的服务接口后,通过生成具有唯一性的授权标识,并将授权标识添加到当前资源访问请求中生成目标资源访问请求,将携带有授权标识的目标资源访问请求下发至对应的各服务接口,以使各服务接口根据目标资源访问请求进行资源访问控制,从而使得后续的整个处理过程都能快速、准确的定位到具的待访问资源,进而达到了精细化的访问控制。
需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的资源访问控制方法,此处不再赘述。
基于上述资源访问控制装置的第一实施例,提出本发明资源访问控制装置第二实施例。
在本实施例中,所述资源访问控制装置还包括资源访问请求白名单构建模块。
具体的说,所述资源访问请求白名单构建模块,用于在所述发送模块将所述目标资源访问请求下发至对应的各服务接口,以使各服务接口根据所述目标资源访问请求进行资源访问控制之后,接收各服务接口反馈的针对所述资源访问请求作出的处理结果,根据所述处理结果、所述资源标识和所述访问操作标识,构建资源访问请求白名单,并根据所述资源访问请求白名单,进行自动防御处理。
关于上述所说的构建资源访问请求白名单的操作,在实际应用中,可以按照如下流程实现:
首先,对所述资源标识和所述访问操作标识进行特征提取操作,根据提取到的特征确定所述资源访问请求的请求类型;
然后,根据所述处理结果确定所述资源访问请求是否正常;
相应地,若所述资源访问请求正常,则增加所述资源访问请求对应的请求类型的可信度值;若所述资源访问请求不正常,则降低所述资源访问请求对应的请求类型的可信度值;
最后,判断所述请求类型的可信度值是否大于预设可信度阈值;
相应地,若所述请求类型的可信度值大于预设可信度阈值,则将所述请求类型添加到资源访问请求白名单。
也就是说,在执行上述操作时,可以先构建一个用于记录合法、可信度值大于预设可信度阈值空白的资源访问请求白名单,然后通过上述流程,将符合上述要求的资源访问请求添加到该空白的资源访问请求白名单中。
应当理解的是,以上给出的仅为一种构建资源访问请求白名单的具体实现方式,在实际应用中,本领域技术人员可以根据需要进行设置,比如选取合适的机器学习算法,通过对预设数量的处理结果进行分析学习,进而构建合适的资源访问请求白名单,具体的实现方式,此处不做限制。
此外,上述所说的根据所述资源访问请求白名单,进行自动防御处理,即后续在接收到新的资源访问请求时,如果通过判断发现新的资源访问请求不是所述资源访问请求白名单中记载的任何一种资源访问请求类型,或者可信度值较低,则可以向系统管理管进行预警通知,或者直接拒绝这类资源访问请求,不进行后续的操作。
进一步地,在实际应用中,为了保证上述操作的合理性,需要设置一个开启白名单机制的触发条件,即启动白名单机制后,才执行上述步骤S70中的操作。
关于是否启动白名单机制,具体可以按照如下流程实现:
首先,统计所述资源访问请求白名单中请求类型的数量;
然后,在所述资源访问请求白名单中请求类型的数量大于预设阈值时,启动白名单机制,然后执行上述步骤S70中所说的根据所述资源访问请求白名单,进行自动防御处理的操作。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
此外,本实施例中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施例中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
通过上述描述不难发现,本实施例中提供的资源访问控制装置,通过根据各服务接口反馈的处理结果,以及已处理的资源访问请求中携带的资源标识和访问操作标识来构建资源访问请求白名单,进而在后续接收到不合法的资源访问请求时,无需进行身份认证、确定服务接口,以及生成授权标识的处理,而是直接进行自动防御处理,在进一步简化资源访问控制流程,提高处理效率和资源管理平台性能的同时,也实现了对偶发危险事件的防御,提高了资源管理平台的安全性。
需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的资源访问控制方法,此处不再赘述。
此外,需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器(Read Only Memory,ROM)/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (7)
1.一种资源访问控制方法,其特征在于,所述方法包括以下步骤:
接收资源访问请求,所述资源访问请求包括待访问资源的资源标识、需要对所述待访问资源进行的访问操作标识和面向用户的用户标识;
根据所述资源标识、所述访问操作标识、所述用户标识和预先配置的访问控制规则确定处理所述资源访问请求的服务接口,并生成授权标识;
将所述授权标识添加到所述资源访问请求中,得到目标资源访问请求;
将所述目标资源访问请求下发至对应的各服务接口,以使各服务接口根据所述目标资源访问请求进行资源访问控制;
其中,所述将所述目标资源访问请求下发至对应的各服务接口,以使各服务接口根据所述目标资源访问请求进行资源访问控制的步骤之后,所述方法还包括:
接收各服务接口反馈的针对所述资源访问请求作出的处理结果;
对所述资源标识和所述访问操作标识进行特征提取操作,根据提取到的特征确定所述资源访问请求的请求类型;
根据所述处理结果确定所述资源访问请求是否正常;
若所述资源访问请求正常,则增加所述资源访问请求对应的请求类型的可信度值;
若所述资源访问请求不正常,则降低所述资源访问请求对应的请求类型的可信度值;
判断所述请求类型的可信度值是否大于预设可信度阈值;
若所述请求类型的可信度值大于预设可信度阈值,则将所述请求类型添加到资源访问请求白名单;
统计所述资源访问请求白名单中请求类型的数量;
在所述资源访问请求白名单中请求类型的数量大于预设阈值时,根据所述资源访问请求白名单,进行自动防御处理。
2.如权利要求1所述的方法,其特征在于,所述根据所述资源标识、所述访问操作标识、所述用户标识和预先配置的访问控制规则确定处理所述资源访问请求的服务接口,并生成授权标识的步骤,包括:
根据所述用户标识确定面向系统的系统标识;
根据所述资源标识、所述访问操作标识、所述系统标识和预先配置的访问控制规则确定处理所述资源访问请求的服务接口,并生成授权标识。
3.如权利要求2所述的方法,其特征在于,所述根据所述用户标识确定面向系统的系统标识的步骤之前,所述方法还包括:
对所述用户标识进行验证,确定所述用户标识是否是有效用户标识;
若所述用户标识是有效用户标识,则执行根据所述用户标识确定面向系统的系统标识的操作。
4.如权利要求1所述的方法,其特征在于,所述将所述目标资源访问请求下发至对应的各服务接口,以使各服务接口根据所述目标资源访问请求进行资源访问控制的步骤之前,所述方法还包括:
将所述授权标识下发至对应的各服务接口,以使各服务接口根据接收到的所述授权标识和从所述目标资源访问请求中提取出的授权标识进行验证。
5.一种资源访问控制装置,其特征在于,所述装置包括:
接收模块,用于接收资源访问请求,所述资源访问请求包括待访问资源的资源标识、需要对所述待访问资源进行的访问操作标识和面向用户的用户标识;
确定模块,用于根据所述资源标识、所述访问操作标识、所述用户标识和预先配置的访问控制规则确定处理所述资源访问请求的服务接口,并生成授权标识;
设置模块,用于将所述授权标识添加到所述资源访问请求中,得到目标资源访问请求;
发送模块,用于将所述目标资源访问请求下发至对应的各服务接口,以使各服务接口根据所述目标资源访问请求进行资源访问控制;
其中,所述发送模块,还用于:
接收各服务接口反馈的针对所述资源访问请求作出的处理结果;
对所述资源标识和所述访问操作标识进行特征提取操作,根据提取到的特征确定所述资源访问请求的请求类型;
根据所述处理结果确定所述资源访问请求是否正常;
若所述资源访问请求正常,则增加所述资源访问请求对应的请求类型的可信度值;
若所述资源访问请求不正常,则降低所述资源访问请求对应的请求类型的可信度值;
判断所述请求类型的可信度值是否大于预设可信度阈值;
若所述请求类型的可信度值大于预设可信度阈值,则将所述请求类型添加到资源访问请求白名单;
统计所述资源访问请求白名单中请求类型的数量;
在所述资源访问请求白名单中请求类型的数量大于预设阈值时,根据所述资源访问请求白名单,进行自动防御处理。
6.一种资源访问控制设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的资源访问控制程序,所述资源访问控制程序配置为实现如权利要求1至4中任一项所述的资源访问控制方法的步骤。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有资源访问控制程序,所述资源访问控制程序被处理器执行时实现如权利要求1至4任一项所述的资源访问控制方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911058247.8A CN110851274B (zh) | 2019-10-29 | 2019-10-29 | 资源访问控制方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911058247.8A CN110851274B (zh) | 2019-10-29 | 2019-10-29 | 资源访问控制方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110851274A CN110851274A (zh) | 2020-02-28 |
| CN110851274B true CN110851274B (zh) | 2023-12-29 |
Family
ID=69598324
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911058247.8A Active CN110851274B (zh) | 2019-10-29 | 2019-10-29 | 资源访问控制方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110851274B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111488595B (zh) * | 2020-03-27 | 2023-03-28 | 腾讯科技(深圳)有限公司 | 用于实现权限控制的方法及相关设备 |
| CN111881397B (zh) * | 2020-06-15 | 2023-11-21 | 明博教育科技股份有限公司 | 一种给静态页面添加访问控制的方法及系统 |
| CN112182519B (zh) * | 2020-10-10 | 2021-05-11 | 上海威固信息技术股份有限公司 | 一种计算机存储系统安全访问方法及访问系统 |
| CN112217840B (zh) * | 2020-12-09 | 2021-04-13 | 杭州筋斗腾云科技有限公司 | 分布式网络资源安全访问管理系统及用户端口 |
| CN112511569B (zh) * | 2021-02-07 | 2021-05-11 | 杭州筋斗腾云科技有限公司 | 网络资源访问请求的处理方法、系统及计算机设备 |
| CN112995165B (zh) * | 2021-02-10 | 2023-04-14 | 北京金山云网络技术有限公司 | 资源访问的鉴权方法及装置、存储介质、电子设备 |
| CN112995164B (zh) * | 2021-02-10 | 2023-04-14 | 北京金山云网络技术有限公司 | 资源访问的鉴权方法及装置、存储介质、电子设备 |
| CN113076502A (zh) * | 2021-04-23 | 2021-07-06 | 南京始云网络科技有限公司 | 一种基于请求标识的参数控制方法与系统 |
| CN113810486B (zh) * | 2021-09-13 | 2022-12-20 | 珠海格力电器股份有限公司 | 物联网平台对接方法、装置、电子设备及存储介质 |
| CN114070590A (zh) * | 2021-11-03 | 2022-02-18 | 中电科鹏跃电子科技有限公司 | 一种基于ibc的零信任防护方法及系统 |
| CN114710318B (zh) * | 2022-03-03 | 2024-03-22 | 戎行技术有限公司 | 一种限制爬虫高频访问的方法、装置、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103841117A (zh) * | 2014-03-21 | 2014-06-04 | 北京京东尚科信息技术有限公司 | 一种基于Cookie机制的JAAS登录方法和服务器 |
| CN107666505A (zh) * | 2016-07-29 | 2018-02-06 | 京东方科技集团股份有限公司 | 对资源接入进行控制的方法和装置 |
| CN109587151A (zh) * | 2018-12-13 | 2019-04-05 | 泰康保险集团股份有限公司 | 访问控制方法、装置、设备及计算机可读存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8713646B2 (en) * | 2011-12-09 | 2014-04-29 | Erich Stuntebeck | Controlling access to resources on a network |
-
2019
- 2019-10-29 CN CN201911058247.8A patent/CN110851274B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103841117A (zh) * | 2014-03-21 | 2014-06-04 | 北京京东尚科信息技术有限公司 | 一种基于Cookie机制的JAAS登录方法和服务器 |
| CN107666505A (zh) * | 2016-07-29 | 2018-02-06 | 京东方科技集团股份有限公司 | 对资源接入进行控制的方法和装置 |
| CN109587151A (zh) * | 2018-12-13 | 2019-04-05 | 泰康保险集团股份有限公司 | 访问控制方法、装置、设备及计算机可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 云计算环境下应用资源访问控制架构研究;许静 等;《无线电工程》;第47卷(第4期);第7-11页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110851274A (zh) | 2020-02-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110851274B (zh) | 资源访问控制方法、装置、设备及存储介质 | |
| US11736292B2 (en) | Access token management method, terminal, and server | |
| US10127751B2 (en) | Controlling physical access to secure areas via client devices in a networked environment | |
| CN112597472B (zh) | 单点登录方法、装置及存储介质 | |
| CN111416822B (zh) | 访问控制的方法、电子设备和存储介质 | |
| US11347879B2 (en) | Determining the relative risk for using an originating IP address as an identifying factor | |
| US9148435B2 (en) | Establishment of a trust index to enable connections from unknown devices | |
| US20080271150A1 (en) | Security based on network environment | |
| US20110314558A1 (en) | Method and apparatus for context-aware authentication | |
| CN111614672A (zh) | Cas的基本验证方法及基于cas的权限认证装置 | |
| CN109033857B (zh) | 一种访问数据的方法、装置、设备及可读存储介质 | |
| CN110855709A (zh) | 安全接入网关的准入控制方法、装置、设备和介质 | |
| CN112653681B (zh) | 多特征融合的用户登录准入方法、装置和系统 | |
| US20230336541A1 (en) | Method and device for two-factor authentication, computer device, and storage medium | |
| CN105516055B (zh) | 数据访问方法、访问设备、目标设备及管理服务器 | |
| US10885525B1 (en) | Method and system for employing biometric data to authorize cloud-based transactions | |
| CN113132404A (zh) | 身份认证方法、终端及存储介质 | |
| CN110968848A (zh) | 基于用户的权限管理方法、装置及计算设备 | |
| CN113872990B (zh) | 基于ssl协议的vpn网络证书认证方法、装置和计算机设备 | |
| CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
| CN110351719B (zh) | 一种无线网络管理方法、系统及电子设备和存储介质 | |
| US9935931B2 (en) | Authorizing user access to resource by determining whether other, authorized users have indicated that the user should be permitted access | |
| CN114050910A (zh) | 一种终端授权方法、装置、系统、设备及可读存储介质 | |
| CN111193709A (zh) | 一种网络安全防护方法、管控端、网关端、设备 | |
| CN115834182A (zh) | 一种用户身份认证的方法、装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |