CN112738100A - 数据访问的鉴权方法、装置、鉴权设备和鉴权系统 - Google Patents
数据访问的鉴权方法、装置、鉴权设备和鉴权系统 Download PDFInfo
- Publication number
- CN112738100A CN112738100A CN202011596644.3A CN202011596644A CN112738100A CN 112738100 A CN112738100 A CN 112738100A CN 202011596644 A CN202011596644 A CN 202011596644A CN 112738100 A CN112738100 A CN 112738100A
- Authority
- CN
- China
- Prior art keywords
- authentication
- target
- terminal equipment
- application
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Information Transfer Between Computers (AREA)
- Telephonic Communication Services (AREA)
Abstract
本公开提供一种数据访问的鉴权方法、装置、鉴权设备和鉴权系统,通过鉴权设备接收终端设备发送的第一访问请求,第一访问请求中包含用户标识、目标应用的标识信息和目标类型的标识信息;获取终端设备的情景信息,终端设备的情景信息包括以下一种或多种:终端设备的操作系统,终端设备的网络地址,终端设备的位置信息,终端设备的类型,当前时间;根据用户标识、目标应用的标识信息、目标类型的标识信息、终端设备的情景信息和情景鉴权策略,得到终端设备的应用鉴权结果,若终端设备的应用鉴权结果指示终端设备有权限从目标应用的服务器获取目标类型的数据,则向服务器发送终端设备的应用鉴权结果。从而保护企业信息安全,提高了安全性。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种数据访问的鉴权方法、装置、鉴权设备和鉴权系统。
背景技术
为了保证企业内部的信息安全,需要对访问企业内部应用的用户进行鉴权。在鉴权通过后可以访问其权限内的应用。
现有的企业中的鉴权方式,当用户通过终端设备需要接入企业内部网络并访问企业内部网络应用时,对用户的角色身份进行鉴权,例如,根据用户输入的静态密码形式的鉴权信息进行验证,比如用户输入的静态密码为财务类别的密码,则可以访问与财务相关的应用对应的服务器。
然而,这种方式安全性不高。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种数据访问的鉴权方法、装置、鉴权设备和鉴权系统。
第一方面,本公开提供了一种数据访问的鉴权方法,包括:
接收终端设备发送的第一访问请求,所述第一访问请求用于请求从目标应用的服务器获取目标类型的数据,所述第一访问请求中包含用户标识、所述目标应用的标识信息和所述目标类型的标识信息;
获取所述终端设备的情景信息,所述终端设备的情景信息包括以下一种或多种:所述终端设备的操作系统,所述终端设备的网络地址,所述终端设备的位置信息,所述终端设备的类型,当前时间;
根据所述用户标识、所述目标应用的标识信息、所述目标类型的标识信息、所述终端设备的情景信息和情景鉴权策略,得到所述终端设备的应用鉴权结果,所述应用鉴权结果用于指示所述终端设备是否有权限从所述目标应用的服务器获取所述目标类型的数据;
若所述终端设备的应用鉴权结果指示所述终端设备有权限从所述目标应用的服务器获取所述目标类型的数据,则向所述服务器发送所述终端设备的应用鉴权结果。
可选的,所述根据所述用户标识、所述目标应用的标识信息、所述目标类型的标识信息、所述终端设备的情景信息和情景鉴权策略,确定所述终端设备的应用鉴权结果,包括:
从情景鉴权策略中获取与所述用户标识、所述目标应用的标识和所述目标类型的标识信息对应的目标情景信息;
根据所述终端设备的情景信息是否符合所述目标情景信息,确定所述终端设备的应用鉴权结果;
所述目标情景信息包括以下一种或多种:
目标终端设备的操作系统;
目标终端设备的网络地址;
目标终端设备的位置信息;
目标终端设备的类型;
目标时间段。
可选的,所述第一访问请求中还包含认证信息,所述认证信息为根据所述终端设备的用户身份信息和认证策略得到的;
所述根据所述用户标识、所述终端设备的情景信息和情景鉴权策略之前,还包括:
确定所述终端设备的认证信息有效。
可选的,所述接收终端设备发送的第一访问请求,包括:
接收终端设备经服务器发送的第一访问请求;
所述方法还包括:
若所述终端设备的应用鉴权结果为没有权限从所述目标应用的服务器获取所述目标类型的数据,则向所述服务器发送所述终端设备的应用鉴权结果。
可选的,所述方法还包括:
若所述终端设备的应用鉴权结果为没有权限从所述目标应用的服务器获取所述目标类型的数据,则向所述终端设备发送所述终端设备的应用鉴权结果。
可选的,所述接收终端设备发送的第一访问请求之前,还包括:
接收所述终端设备发送的第二访问请求,其中,所述第二访问请求用于指示获取应用列表,所述第二访问请求中包含认证信息;
根据所述认证信息,确定所述认证信息有效,并且得到用户标识;
根据所述认证信息,确定所述终端设备对应的应用列表,所述应用列表中包含所述终端设备有权限访问的目标应用;
向所述终端设备发送所述终端设备对应的应用列表。
第二方面,本公开提供一种数据访问的鉴权装置,包括:
控制服务模块,用于接收终端设备发送的第一访问请求,所述第一访问请求用于请求从目标应用的服务器获取目标类型的数据,所述第一访问请求中包含用户标识、所述目标应用的标识信息和所述目标类型的标识信息;
所述控制服务模块还用于:获取所述终端设备的情景信息,所述终端设备的情景信息包括以下一种或多种:所述终端设备的操作系统,所述终端设备的网络地址,所述终端设备的位置信息,所述终端设备的类型,当前时间;
权限服务模块,用于根据所述用户标识、所述目标应用的标识信息、所述目标类型的标识信息、所述终端设备的情景信息和情景鉴权策略,得到所述终端设备的应用鉴权结果,所述应用鉴权结果用于指示所述终端设备是否有权限从所述目标应用的服务器获取所述目标类型的数据;
所述控制服务模块还用于:若所述终端设备的应用鉴权结果指示所述终端设备有权限从所述目标应用的服务器获取所述目标类型的数据,则向所述服务器发送所述终端设备的应用鉴权结果。
可选的,所述控制服务模块具体用于:
从情景鉴权策略中获取与所述用户标识、所述目标应用的标识和所述目标类型的标识信息对应的目标情景信息;
根据所述终端设备的情景信息是否符合所述目标情景信息,确定所述终端设备的应用鉴权结果;
所述目标情景信息包括以下一种或多种:
目标终端设备的操作系统;
目标终端设备的网络地址;
目标终端设备的位置信息;
目标终端设备的类型;
目标时间段。
可选的,所述装置还包括:
认证服务模块,用于根据终端设备的用户身份信息和认证策略得到所述终端设备的认证信息,向所述终端设备发送所述认证信息;
所述第一访问请求中还包含认证信息;
所述权限服务模块还用于:
确定所述终端设备的认证信息有效。
可选的,所述控制服务模块具体用于:
接收终端设备经服务器发送的第一访问请求;
所述权限服务模块还用于:
若所述终端设备的应用鉴权结果为没有权限从所述目标应用的服务器获取所述目标类型的数据,则向所述服务器发送所述终端设备的应用鉴权结果。
可选的,所述权限服务模块还用于:
若所述终端设备的应用鉴权结果为没有权限从所述目标应用的服务器获取所述目标类型的数据,则向所述终端设备发送所述终端设备的应用鉴权结果。
可选的,所述权限服务模块还用于:
接收所述终端设备发送的第二访问请求,其中,所述第二访问请求用于指示获取应用列表,所述第二访问请求中包含认证信息;
根据所述认证信息,确定所述认证信息有效,并且得到用户标识;
根据所述认证信息,确定所述终端设备对应的应用列表,所述应用列表中包含所述终端设备有权限访问的目标应用;
向所述终端设备发送所述终端设备对应的应用列表。
第三方面,本公开提供一种鉴权设备,包括:
存储器,用于存储处理器可执行指令的存储器;
处理器,用于在计算机程序被执行时,实现如上述第一方面所述的数据访问的鉴权方法。
第四方面,本公开提供一种鉴权系统,包括:终端设备,鉴权设备,服务器;
所述鉴权设备用于实现如上述第一方面所述的数据访问的鉴权方法。
第五方面,本公开提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上述第一方面所述的数据访问的鉴权方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
通过鉴权设备接收终端设备发送的第一访问请求,第一访问请求用于请求从目标应用的服务器获取目标类型的数据,第一访问请求中包含用户标识、目标应用的标识信息和目标类型的标识信息;获取终端设备的情景信息,终端设备的情景信息包括以下一种或多种:终端设备的操作系统,终端设备的网络地址,终端设备的位置信息,终端设备的类型,当前时间;根据用户标识、目标应用的标识信息、目标类型的标识信息、终端设备的情景信息和情景鉴权策略,得到终端设备的应用鉴权结果,应用鉴权结果用于指示终端设备是否有权限从目标应用的服务器获取目标类型的数据,若终端设备的应用鉴权结果指示终端设备有权限从目标应用的服务器获取目标类型的数据,则向服务器发送终端设备的应用鉴权结果。从而在每次终端设备需要获取目标应用的目标类型的数据时,均需要鉴权设备进行实时鉴权,鉴权设备根据终端设备的情景信息进行鉴权,可以基于终端设备实时的动态情景属性进行鉴权,从而判断第一访问请求的风险性和信任性,实现了细粒度的授权访问,从而保护企业信息安全,提高了安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1A为本公开提供的一种鉴权系统的框架示意图;
图1B为本公开提供的另一种鉴权系统的框架示意图;
图2为本公开实施例提供的一种数据访问的鉴权方法的流程示意图;
图3为本公开实施例提供的另一种数据访问的鉴权方法的流程示意图;
图4为本公开实施例提供的一种数据访问的鉴权方法的交互示意图
图5为本公开实施例提供的另一种数据访问的鉴权方法的交互示意图;
图6为本公开实施例提供的再一种数据访问的鉴权方法的流程示意图;
图7为本公开实施例提供的又一种数据访问的鉴权方法的流程示意图;
图8为本公开实施例提供的一种数据访问的鉴权装置的结构示意图;
图9为本公开实施例提供一种鉴权设备的结构示意图,如图9所示。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
首先对本发明所涉及的名词进行解释:
鉴权:鉴权描述了正确识别潜在网络用户、主机、应用、服务和资源的过程。鉴权的结果成为允许或拒绝进一步行为的基础。
令牌(token):是指代表执行某些操作的权利的对象,用于邀请、登录系统使用的身份认证的凭证。
为了保证企业内部的信息安全,需要对访问企业信息系统中的应用的用户进行鉴权,鉴权通过后可以访问其权限内的应用。当前企业中的鉴权方式,当用户通过终端设备需要接入企业内部网络并访问企业内部网络应用时,对用户的身份进行鉴权,例如,根据用户输入的静态密码形式的鉴权信息进行验证,或者,根据用户所在的网络位置(例如,企业内网或者企业外网)进行鉴权,例如,在用户使用的终端设备处于企业内网时可以允许该终端设备直接访问某一类应用对应的服务器。
然而,当前信息系统建设日趋复杂,各类自研的、外购的、云系统上布署的各类信息系统,以及用户接入方式的多样化等因素,使得当前的授权和鉴权方式没办法更好的保护信息安全,安全性不高。
为解决如上技术问题,本公开提供一种数据访问的鉴权方法、装置、设备和计算机可读存储介质。本公开提供的数据访问的鉴权方法可以应用于鉴权系统,如图1A或图1B所示,鉴权系统包括:终端设备101,鉴权设备102,服务器103。其中,终端设备可以为一个或多个,终端设备可以为计算机,手机,平板设备,智能穿戴设备、智能家居设备等。鉴权设备用于鉴定终端设备访问服务器的权限,鉴权设备可以为网关、服务器或者路由器等。服务器用于向终端设备提供应用的数据,服务器可以为一个或多个。其中,鉴权系统中的设备的连接关系可以为图1A所示的方式,在图1A中,终端设备101与鉴权设备102连接,鉴权设备102与服务器103连接,其中,鉴权设备102可以为网关等设备。鉴权系统中的设备的连接关系也可以为图1B所示的方式,终端设备101和鉴权设备102分别与服务器103连接,可选的,终端设备101与鉴权设备102连接,其中,鉴权设备102可以为服务器等设备。
本公开提供的数据访问的鉴权方法,鉴权设备通过接收终端设备发送的第一访问请求,第一访问请求用于请求从目标应用的服务器获取目标类型的数据;鉴权设备获取终端设备的情景信息,从而根据用户标识、终端设备的情景信息和情景鉴权策略,得到终端设备的应用鉴权结果,若终端设备的应用鉴权结果指示终端设备有权限从目标应用的服务器获取目标类型的数据,鉴权设备向目标应用的服务器发送终端设备的应用鉴权结果。从而在每次终端设备需要获取目标应用的目标类型的数据时,均需要到鉴权设备中进行鉴权,鉴权设备根据终端设备的情景信息进行鉴权,可以基于终端设备实时的动态情景属性进行鉴权,从而判断第一访问请求的风险性和信任性,实现了细粒度的授权访问,从而保护企业信息安全,提高了安全性。
上述数据访问的鉴权方法、装置、设备和计算机可读存储介质,可以应用于针对信息系统的鉴权,该信息系统中包括多个应用。终端设备上可以安装信息系统客户端,用于用户登录、访问应用等。用户通过终端设备上的信息系统客户端可以登录信息系统,从而可以进一步访问或者修改信息系统中的应用。如果终端设备上的信息系统客户端登录的为管理用户,该终端设备可以叫做管理终端,用户可以通过在管理终端的信息系统客户端中,对信息系统中的鉴权策略等信息进行添加或者修改等操作。如果终端设备上的信息系统客户端登录的为访问用户(即只能查看或者修改一部分数据的用户),该终端设备可以叫做访问终端,访问终端无法修改鉴权策略等系统管理类的信息,可以在自己所拥有的访问权限内访问信息系统中的应用。
下面结合具体的实施例来说明本公开的技术方案以及本公开的技术方案如何解决如上技术问题。
图2为本公开实施例提供的一种数据访问的鉴权方法的流程示意图,如图2所示,本实施例的执行主体为上述鉴权设备,该鉴权设备可以为网关、路由器或者服务器等,对此本公开不做限定。本实施例提供的方法包括:
S201、接收终端设备发送的第一访问请求。
其中,第一访问请求用于请求从目标应用的服务器获取目标类型的数据,第一访问请求中包含用户标识、目标应用的标识信息和目标类型的标识信息。
上述目标应用,即为终端设备需要通过服务器访问的应用,用户可以登录信息系统,在信息系统中进入相应的目标应用。每个应用可以对应一个或多个服务器。这里的应用可以为网页或者多种类型的应用程序等。其中,每个应用中的数据可以有多种类型,例如,网页的首页可以为一种类型的数据,网页中包含多个模块,每个模块可以为一种类型的数据。
上述用户标识、目标应用的标识信息、目标类型的标识信息,均是用于标识相应的信息的。上述标识可以为数字,也可以为字母,还可以为其他符号,对此本公开不做限定。
本实施例中,第一访问请求用于从目标应用的服务器获取目标类型的数据,每次终端设备请求访问目标应用,获取目标类型的数据时,信息系统均需要进行鉴权,从而确定终端设备是否可以访问目标应用对应的目标类型的数据,从而实现零信任。
鉴权设备接收终端设备发送的第一访问请求,其中一种可能的实现方式中,终端设备直接向鉴权设备发送第一访问请求,由于鉴权设备可以为网关等位于终端设备和服务器之间的设备,终端设备与服务器之间发送的数据均需要经过鉴权设备,因此,鉴权设备先收到终端设备发送的第一访问请求。例如,图1A所示的鉴权系统的设备之间的连接关系。
另一种可能的实现方式中,鉴权设备与服务器连接,其可以为在现有的鉴权系统中新增加的设备,鉴权设备可以为服务器等设备,终端设备将第一访问请求发送给服务器,服务器接收到第一访问请求以后,将第一访问请求发送给鉴权设备。例如,图1B所示的鉴权系统的设备之间的连接关系。
S202、获取终端设备的情景信息。
其中,终端设备的情景信息包括以下一种或多种:终端设备的操作系统,终端设备的网络地址,终端设备的位置信息,终端设备的类型,当前时间。
终端设备的操作系统,可以包括操作系统类型和操作系统版本号等。终端设备的网络地址(Network address)是终端设备在网络中具有的逻辑地址。例如,网络地址可以为网际互连协议(Internet Protocol,简称IP)地址,是在网络上给主机编址的方式,为每个计算机分配一个逻辑地址,这样不但能够对计算机进行识别,还能进行信息共享。终端设备的位置信息为终端设备当前所处的地理位置信息,例如,终端设备当前所处的区域,可以细分到国家,省,市,区等,也可以为终端设备当前所处的经纬度值,对此本公开不做限定。终端设备的类型可以为计算机,手机,平板设备,智能穿戴设备等,还可以包括品牌,型号,生产日期等,例如,终端设备类型可以为19年生产的,某品牌某型号的笔记本电脑。
本实施例中,终端设备在发送第一访问请求的同时可以向鉴权设备发送其情景信息,也可以为鉴权设备在收到终端设备发送的第一访问请求以后,向终端设备获取的其情景信息。可以理解,S201和S202的执行没有先后顺序,可以同时执行,也可以先执行S201再执行S202,也可以在终端设备确定第一访问请求之后,先执行S202然后再执行S201。
S203、根据用户标识、目标应用的标识信息、目标类型的标识信息、终端设备的情景信息和情景鉴权策略,得到终端设备的应用鉴权结果。
其中,应用鉴权结果用于指示终端设备是否有权限从目标应用的服务器获取目标类型的数据。
本实施例中,根据用户标识、终端设备的情景信息以及情景鉴权策略,对当前的第一访问请求进行鉴权,从而得到应用鉴权结果。其中,情景鉴权策略可以为预先设置的,管理用户可以通过管理终端登录信息系统进行设置。情景鉴权策略为针对可访问的用户、目标应用和目标应用中的目标类型的数据,同时对应的目标情景信息。终端设备的情景信息均符合对应的目标情景信息的情况下,应用鉴权结果才为有权限从目标应用的服务器获取目标类型的数据。
S204、判断终端设备的应用鉴权结果是否指示终端设备有权限从目标应用的服务器获取目标类型的数据。
根据应用鉴权结果进行判断终端设备是否有权限从目标应用的服务器获取目标类型的数据。若终端设备的应用鉴权结果指示终端设备有权限从目标应用的服务器获取目标类型的数据,则继续执行S205。
可选的,若终端设备的应用鉴权结果指示终端设备没有权限从目标应用的服务器获取目标类型的数据,则可以不进行处理,也可以继续执行S206。
S205、向服务器发送终端设备的应用鉴权结果。
鉴权设备向服务器发送终端设备的应用鉴权结果,服务器可以根据该鉴权结果,获取相应的目标应用的目标类型的数据,并发送给终端设备。
S206、向终端设备发送终端设备的应用鉴权结果。
应用鉴权结果指示终端设备没有权限从目标应用的服务器获取目标类型的数据,则可以向终端设备发送通知。终端设备接收到该通知消息,可以通过弹窗或者页面跳转等方式弹出提示,提醒用户当前无法访问目标应用的目标类型的数据。
进一步地,针对收到的第一访问请求,均进行鉴权,例如,若S205之后又收到了第一访问请求,第一访问请求用于请求从目标应用的服务器获取目标类型的数据,虽然在此之前已经对请求从目标应用的服务器获取目标类型的数据进行了鉴权,还是需要重新再按照上述步骤进行鉴权,从而实现实时鉴权,实现零信任进行鉴权。
本实施例,通过鉴权设备接收终端设备发送的第一访问请求,第一访问请求用于请求从目标应用的服务器获取目标类型的数据,第一访问请求中包含用户标识、目标应用的标识信息和目标类型的标识信息;获取终端设备的情景信息,终端设备的情景信息包括以下一种或多种:终端设备的操作系统,终端设备的网络地址,终端设备的位置信息,终端设备的类型,当前时间;根据用户标识、目标应用的标识信息、目标类型的标识信息、终端设备的情景信息和情景鉴权策略,得到终端设备的应用鉴权结果,应用鉴权结果用于指示终端设备是否有权限从目标应用的服务器获取目标类型的数据,若终端设备的应用鉴权结果指示终端设备有权限从目标应用的服务器获取目标类型的数据,则向服务器发送终端设备的应用鉴权结果。从而在每次终端设备需要获取目标应用的目标类型的数据时,均需要鉴权设备进行实时鉴权,鉴权设备根据终端设备的情景信息进行鉴权,可以基于终端设备实时的动态情景属性进行鉴权,从而判断第一访问请求的风险性和信任性,实现了细粒度的授权访问,从而保护企业信息安全,提高了安全性。
图3为本公开实施例提供的另一种数据访问的鉴权方法的流程示意图,图3是在图2所示实施例的基础上,如图3所示,进一步地,本实施例的方法S203可以包括S2031和S2032:
S2031、从情景鉴权策略中获取与用户标识、目标应用的标识和目标类型的标识信息对应的目标情景信息。
其中,目标情景信息包括但不限于以下一种或多种信息:
目标终端设备的操作系统;
目标终端设备的网络地址;
目标终端设备的位置信息;
目标终端设备的类型;
目标时间段。
本实施例中,可以从情景鉴权策略中根据用户标识、目标应用标识信息以及目标类型的标识信息确定出目标情景信息,目标情景信息为该用户标识所对应的可以访问目标应用中的目标类型的数据的目标情景信息。可以理解,目标情景信息中包含了允许终端设备的情景信息的范围。若目标情景信息包括多种信息,则鉴权时需要获取对应的终端设备的多种情景信息。
S2032、根据终端设备的情景信息是否符合目标情景信息,确定终端设备的应用鉴权结果。
若目标情景信息包括多种信息,在每种信息均符合对应的目标情景信息的情况下,应用鉴权结果才为有权限从目标应用的服务器获取目标类型的数据。
若终端设备的情景信息符合目标情景信息,确定终端设备的应用鉴权结果为终端设备有权限从目标应用的服务器获取目标类型的数据。
终端设备的情景信息符合目标情景信息,包括但不限于以下一种或多种情况:
目标终端设备的操作系统中包含终端设备的操作系统;
目标终端设备的网络地址中包含终端设备的网络地址;
目标终端设备的位置信息中包含终端设备的位置信息;
目标终端设备的类型中包含终端设备的类型;
目标时间段包含当前时间。
若终端设备的情景信息不符合目标情景信息,确定终端设备的应用鉴权结果为终端设备没有权限从目标应用的服务器获取目标类型的数据。相应的,终端设备的情景信息不符合目标情景信息,包括但不限于以下一种或多种情况:
目标终端设备的操作系统中不包含终端设备的操作系统;
目标终端设备的网络地址中不包含终端设备的网络地址;
目标终端设备的位置信息中不包含终端设备的位置信息;
目标终端设备的类型中不包含终端设备的类型;
目标时间段不包含当前时间。
示例性的,目标终端设备的网络地址假设为目标终端设备的IP地址,IP地址为企业内网范围的IP地址,则比对终端设备的IP地址是否是企业内网范围的IP地址,假设,终端设备的IP地址在企业设定的内网设定的范围内。同时,目标时间段为每天的9点至18点的时间范围,则比对当前时间是否符合9点到18点的时间范围,例如,当前时间为18点零3分,可见当前时间不在目标时间段内,尽管终端设备的IP地址在企业设定的内网设定的范围内,但是当前时间不在目标时间段内,则确定当前终端设备的情景信息不符合情景鉴权策略,相应的应用鉴权结果为没有权限从目标应用的服务器获取目标类型的数据。
本实施例,通过在从情景鉴权策略中获取与用户标识、目标应用的标识和目标类型的标识信息对应的目标情景信息,根据终端设备的情景信息是否符合目标情景信息,确定终端设备的应用鉴权结果。从而使得可以根据终端设备的实时的情景信息进行实时鉴权,鉴权设备根据终端设备的情景信息进行鉴权,可以基于终端设备实时的情景属性进行鉴权,从而判断第一访问请求的风险性和信任性,实现了细粒度的授权访问,从而保护企业信息安全,提高了安全性。
在上述实施例的基础上,进一步地,在实现本公开提供的数据访问的鉴权方法时,在上述如图1A、图1B所示的鉴权系统的设备连接关系中,其设备交互略有不同。
一种可能的实现方式中,如图1A所示的鉴权系统架构,终端设备与鉴权设备连接,若终端设备的应用鉴权结果为没有权限从目标应用的服务器获取目标类型的数据,鉴权设备无需向服务器发送消息,直接向终端设备发送终端设备的应用鉴权结果,用于提示终端设备没有权限从目标应用的服务器获取目标类型的数据,因此,无法获取到该目标类型的数据。
另一种可能的实现方式中,如图1B所示的鉴权系统架构,终端设备与服务器连接,则S201中鉴权设备接收终端设备发送的第一访问请求,可以为:终端设备经服务器发送的第一访问请求,相应的,S206可以包括:向服务器发送终端设备的应用鉴权结果。
下面结合图1A、图1B,以具体的实施例说明上述两种情况的设备交互情况。
图4为本公开实施例提供的一种数据访问的鉴权方法的交互示意图,图4所示的方法可以基于图1A的鉴权系统架构,如图4所示,本实施例的方法可以包括:
S401、终端设备向鉴权设备发送第一访问请求。
其中,第一访问请求用于请求从目标应用的服务器获取目标类型的数据,第一访问请求中包含用户标识、目标应用的标识信息和目标类型的标识信息。
S402、终端设备向鉴权设备发送终端设备的情景信息。
其中,终端设备的情景信息包括以下一种或多种:终端设备的操作系统,终端设备的网络地址,终端设备的位置信息,终端设备的类型,当前时间。
需要说明的是,S401和S402的执行没有先后顺序,可以同时执行,也可以先执行S401再执行S402,也可以在终端设备确定第一访问请求之后,先执行S402然后再执行S401。
S403、鉴权设备根据用户标识、目标应用的标识信息、目标类型的标识信息、终端设备的情景信息和情景鉴权策略,得到终端设备的应用鉴权结果。
其中,应用鉴权结果用于指示终端设备是否有权限从目标应用的服务器获取目标类型的数据。
S404、鉴权设备判断终端设备的应用鉴权结果是否指示终端设备有权限从目标应用的服务器获取目标类型的数据。
若终端设备的应用鉴权结果指示终端设备有权限从目标应用的服务器获取目标类型的数据,则继续执行S405、S406和S407。
可选的,若终端设备的应用鉴权结果指示终端设备没有权限从目标应用的服务器获取目标类型的数据,则可以不进行处理,也可以继续执行S408。
S405、鉴权设备向服务器发送终端设备的应用鉴权结果。
鉴权设备向服务器发送终端设备的应用鉴权结果,服务器可以根据该鉴权结果,获取相应的目标应用的目标类型的数据,并发送给终端设备。
S406、服务器根据目标应用的标识信息和目标类型的标识信息,获取目标应用的目标类型的数据。
S407、服务器向终端设备发送目标应用的目标类型的数据。
S408、鉴权设备向终端设备发送终端设备的应用鉴权结果。
本实施例的方法与上述方法实施例的实现原理类似,此处不再赘述。
本实施例,由于将鉴权方法直接部署在网关等位于终端设备和服务器之间的设备中,使得每次终端设备发送第一访问请求,鉴权设备均能够先收到该第一访问请求,鉴权设备直接对该第一访问请求进行相应的鉴权操作,鉴权通过以后再由服务器向终端设备发送对应的数据,从而使得鉴权流程简单,效率更高,用户无需长时间等待请求的数据。
图5为本公开实施例提供的另一种数据访问的鉴权方法的交互示意图,图5所示的方法可以基于图1B的鉴权系统架构,如图5所示,本实施例的方法可以包括:
S501、终端设备向服务器发送第一访问请求。
其中,第一访问请求用于请求从目标应用的服务器获取目标类型的数据,第一访问请求中包含用户标识、目标应用的标识信息和目标类型的标识信息。
S502、服务器向鉴权设备发送第一访问请求。
S503、终端设备向鉴权设备发送终端设备的情景信息。
其中,终端设备的情景信息包括以下一种或多种:终端设备的操作系统,终端设备的网络地址,终端设备的位置信息,终端设备的类型,当前时间。
需要说明的是,S501和S502,与,S503的执行没有先后顺序,可以同时执行,也可以先执行S501和S502再执行S503,也可以在终端设备确定第一访问请求之后,先执行S503然后再执行S501和S502。
S504、鉴权设备根据用户标识、目标应用的标识信息、目标类型的标识信息、终端设备的情景信息和情景鉴权策略,得到终端设备的应用鉴权结果。
其中,应用鉴权结果用于指示终端设备是否有权限从目标应用的服务器获取目标类型的数据。
S505、鉴权设备向服务器发送终端设备的应用鉴权结果。
S506、服务器判断终端设备的应用鉴权结果是否指示终端设备有权限从目标应用的服务器获取目标类型的数据。
根据应用鉴权结果进行判断终端设备是否有权限从目标应用的服务器获取目标类型的数据。若终端设备的应用鉴权结果指示终端设备有权限从目标应用的服务器获取目标类型的数据,则继续执行S507和S508。
可选的,若终端设备的应用鉴权结果指示终端设备没有权限从目标应用的服务器获取目标类型的数据,则可以不进行处理,也可以继续执行S509。
S507、服务器根据目标应用的标识信息和目标类型的标识信息,获取目标应用的目标类型的数据。
S508、服务器向终端设备发送目标应用的目标类型的数据。
S509、服务器向终端设备发送终端设备的应用鉴权结果。
本实施例的方法与上述方法实施例的实现原理类似,此处不再赘述。
本实施例,每次终端设备向服务器发送第一访问请求,服务器均发送给鉴权设备,由鉴权设备对该第一访问请求进行相应的鉴权操作,鉴权通过以后再由服务器向终端设备发送对应的数据,从而使得鉴权流程简单,效率更高,用户无需长时间等待请求的数据。
图6为本公开实施例提供的再一种数据访问的鉴权方法的流程示意图,图6是在图2或图3所示实施例的基础上,如图6所示,进一步地,第一访问请求中还包含认证信息,认证信息为根据终端设备的用户身份信息和认证策略得到的,在S203之前还可以包括S203A:
S203A、确定终端设备的认证信息有效。
其中,认证信息为用户通过终端设备登录信息系统时获取的。认证信息可以为令牌(token)等,对此本公开不做限定。
可选的,用户在访问信息系统的应用之前,需要先登录信息系统,终端设备可以显示登录界面,用于用户登录信息系统,用户可以在登录界面的相应输入位置,输入用户身份信息,终端设备接收到用户身份信息以后,向鉴权设备发送用户身份信息,鉴权设备根据用户身份信息,对该用户身份信息进行认证,确认其具有登录信息系统的权限,则生成认证信息,将该认证信息发送给终端设备。
本实施例中,在鉴权设备对终端设备的情景信息进行鉴权之前,可以先对其发送的认证信息进行认证,确定认证信息是否有效。若认证信息有效,则继续执行S203,若认证信息无效,则可以向终端设备发送认证信息无效的通知。其中,用户身份信息可以为用户名称和密码,或者为手机号和手机验证码,对此本公开不做限定。认证信息中可以包含用户标识,用于每次终端设备进行鉴权时,根据用户标识进行鉴权,认证信息中还可以包含登录时刻信息和认证信息的有效时长,例如,可以预设有效时长,通过认证信息进行认证时,从登录时刻开始计算有效时长,则超过有效时长,则认证信息认证失败。认证信息中还可以包含其他信息,对此本公开不做限定。
本实施例,通过在登录信息系统时终端设备获取认证信息,以后每次发送的第一访问请求中都携带认证信息,需要验证认证信息是否有效,从而更加准确判断第一访问请求的风险性和信任性,从而保护企业信息安全,提高了安全性。
图7为本公开实施例提供的又一种数据访问的鉴权方法的流程示意图,图7是在图2、图3或图6所示实施例的基础上,如图7所示,进一步地,S201之前还可以包括S701、S702、S703和S704:
S701、接收终端设备发送的第二访问请求。
其中,第二访问请求用于指示获取应用列表,第二访问请求中包含认证信息。
在用户登录进信息系统后,也可以在界面中先通过点击对应的应用列表图标,获取应用列表,该应用列表中包含该用户有权限访问的应用。
S702、根据认证信息,确定认证信息有效,并且得到用户标识。
确定认证信息有效的步骤与S203A类似,此处不再赘述。
S703、根据认证信息,确定终端设备对应的应用列表,应用列表中包含终端设备有权限访问的目标应用。
S704、向终端设备发送终端设备对应的应用列表。
终端设备接收到应用列表以后,显示应用列表,从而用户可以查看或者点击应用列表中的应用。应用列表可以为表格的形式将应用名称进行显示,也可以为图标的形式,或者其他形式,对此本公开不做限定。
进一步地,终端设备可以通过接收到点击应用列表中的目标应用,生成第一访问请求,向鉴权设备发送第一访问请求,例如,目标应用为网页,则此时的第一访问请求用于请求目标应用的首页的数据。若终端设备进入到目标应用的首页以后,通过接收到点击目标应用中的模块访问其一种类型的数据,则此场景下的第一访问请求用于请求目标应用的对应模块的数据。
本实施例,通过鉴权设备接收终端设备发送的第一访问请求前,先对终端设备的获取应用列表的第二访问请求进行鉴权,从而在鉴权通过以后,将对应的应用列表发送给终端设备,从而在任何终端设备获取信息系统的数据时,均进行鉴权,另外,鉴权时使用认证信息进行鉴权,避免使用静态的用户名和密码的方式,实现了信息系统的零信任鉴权处理,从而保护企业信息安全,提高了安全性。
图8为本公开实施例提供的一种数据访问的鉴权装置的结构示意图,如图8所示,本实施例的装置包括:
控制服务模块801,用于接收终端设备发送的第一访问请求,第一访问请求用于请求从目标应用的服务器获取目标类型的数据,第一访问请求中包含用户标识、目标应用的标识信息和目标类型的标识信息;
控制服务模块801还用于:获取终端设备的情景信息,终端设备的情景信息包括以下一种或多种:终端设备的操作系统,终端设备的网络地址,终端设备的位置信息,终端设备的类型,当前时间;
权限服务模块802,用于根据用户标识、目标应用的标识信息、目标类型的标识信息、终端设备的情景信息和情景鉴权策略,得到终端设备的应用鉴权结果,应用鉴权结果用于指示终端设备是否有权限从目标应用的服务器获取目标类型的数据;
控制服务模块801还用于:若终端设备的应用鉴权结果指示终端设备有权限从目标应用的服务器获取目标类型的数据,则向服务器发送终端设备的应用鉴权结果。
可选的,控制服务模块801具体用于:
从情景鉴权策略中获取与用户标识、目标应用的标识和目标类型的标识信息对应的目标情景信息;
根据终端设备的情景信息是否符合目标情景信息,确定终端设备的应用鉴权结果;
目标情景信息包括以下一种或多种:
目标终端设备的操作系统;
目标终端设备的网络地址;
目标终端设备的位置信息;
目标终端设备的类型;
目标时间段。
可选的,所述装置还包括:
认证服务模块,用于根据终端设备的用户身份信息和认证策略得到终端设备的认证信息,向终端设备发送所述认证信息;
第一访问请求中还包含认证信息,权限服务模块802还用于:
确定终端设备的认证信息有效。
可选的,控制服务模块801具体用于:
接收终端设备经服务器发送的第一访问请求;
权限服务模块802还用于:
若终端设备的应用鉴权结果为没有权限从目标应用的服务器获取目标类型的数据,则向服务器发送终端设备的应用鉴权结果。
可选的,权限服务模块802还用于:
若终端设备的应用鉴权结果为没有权限从目标应用的服务器获取目标类型的数据,则向终端设备发送终端设备的应用鉴权结果。
可选的,权限服务模块802还用于:
接收终端设备发送的第二访问请求,其中,第二访问请求用于指示获取应用列表,第二访问请求中包含认证信息;
根据认证信息,确定认证信息有效,并且得到用户标识;
根据认证信息,确定终端设备对应的应用列表,应用列表中包含终端设备有权限访问的目标应用;
向终端设备发送终端设备对应的应用列表。
上述实施例的装置,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图9为本公开实施例提供一种鉴权设备的结构示意图,如图9所示,本实施例的设备包括:
存储器901,用于存储处理器902可执行指令的存储器;
处理器902,用于在计算机程序被执行时,实现如上述图2-图7任一项的数据访问的鉴权方法。
上述实施例的设备,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本公开实施例提供一种鉴权系统,包括:终端设备,鉴权设备,服务器;其中,鉴权设备用于实现如上述图2-图7任一项的数据访问的鉴权方法。
上述实施例的系统,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本公开实施例提供一种计算机可读存储介质,其特征在于,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现如上述图2-图7任一项的数据访问的鉴权方法。
上述实施例的计算机可读存储介质,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种数据访问的鉴权方法,其特征在于,包括:
接收终端设备发送的第一访问请求,所述第一访问请求用于请求从目标应用的服务器获取目标类型的数据,所述第一访问请求中包含用户标识、所述目标应用的标识信息和所述目标类型的标识信息;
获取所述终端设备的情景信息,所述终端设备的情景信息包括以下一种或多种:所述终端设备的操作系统,所述终端设备的网络地址,所述终端设备的位置信息,所述终端设备的类型,当前时间;
根据所述用户标识、所述目标应用的标识信息、所述目标类型的标识信息、所述终端设备的情景信息和情景鉴权策略,得到所述终端设备的应用鉴权结果,所述应用鉴权结果用于指示所述终端设备是否有权限从所述目标应用的服务器获取所述目标类型的数据;
若所述终端设备的应用鉴权结果指示所述终端设备有权限从所述目标应用的服务器获取所述目标类型的数据,则向所述服务器发送所述终端设备的应用鉴权结果。
2.根据权利要求1所述的方法,其特征在于,所述根据所述用户标识、所述目标应用的标识信息、所述目标类型的标识信息、所述终端设备的情景信息和情景鉴权策略,确定所述终端设备的应用鉴权结果,包括:
从情景鉴权策略中获取与所述用户标识、所述目标应用的标识和所述目标类型的标识信息对应的目标情景信息;
根据所述终端设备的情景信息是否符合所述目标情景信息,确定所述终端设备的应用鉴权结果;
所述目标情景信息包括以下一种或多种:
目标终端设备的操作系统;
目标终端设备的网络地址;
目标终端设备的位置信息;
目标终端设备的类型;
目标时间段。
3.根据权利要求1所述的方法,其特征在于,所述第一访问请求中还包含认证信息,所述认证信息为根据所述终端设备的用户身份信息和认证策略得到的;
所述根据所述用户标识、所述终端设备的情景信息和情景鉴权策略之前,还包括:
确定所述终端设备的认证信息有效。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述接收终端设备发送的第一访问请求,包括:
接收终端设备经服务器发送的第一访问请求;
所述方法还包括:
若所述终端设备的应用鉴权结果为没有权限从所述目标应用的服务器获取所述目标类型的数据,则向所述服务器发送所述终端设备的应用鉴权结果。
5.根据权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
若所述终端设备的应用鉴权结果为没有权限从所述目标应用的服务器获取所述目标类型的数据,则向所述终端设备发送所述终端设备的应用鉴权结果。
6.根据权利要求1-3任一项所述的方法,其特征在于,所述接收终端设备发送的第一访问请求之前,还包括:
接收所述终端设备发送的第二访问请求,其中,所述第二访问请求用于指示获取应用列表,所述第二访问请求中包含认证信息;
根据所述认证信息,确定所述认证信息有效,并且得到用户标识;
根据所述认证信息,确定所述终端设备对应的应用列表,所述应用列表中包含所述终端设备有权限访问的目标应用;
向所述终端设备发送所述终端设备对应的应用列表。
7.一种数据访问的鉴权装置,其特征在于,包括:
控制服务模块,用于接收终端设备发送的第一访问请求,所述第一访问请求用于请求从目标应用的服务器获取目标类型的数据,所述第一访问请求中包含用户标识、所述目标应用的标识信息和所述目标类型的标识信息;
所述控制服务模块还用于:获取所述终端设备的情景信息,所述终端设备的情景信息包括以下一种或多种:所述终端设备的操作系统,所述终端设备的网络地址,所述终端设备的位置信息,所述终端设备的类型,当前时间;
权限服务模块,用于根据所述用户标识、所述目标应用的标识信息、所述目标类型的标识信息、所述终端设备的情景信息和情景鉴权策略,得到所述终端设备的应用鉴权结果,所述应用鉴权结果用于指示所述终端设备是否有权限从所述目标应用的服务器获取所述目标类型的数据;
所述控制服务模块还用于:若所述终端设备的应用鉴权结果指示所述终端设备有权限从所述目标应用的服务器获取所述目标类型的数据,则向所述服务器发送所述终端设备的应用鉴权结果。
8.一种鉴权设备,其特征在于,包括:
存储器,用于存储处理器可执行指令的存储器;
处理器,用于在计算机程序被执行时,实现如上述权利要求1至6中任一项所述的数据访问的鉴权方法。
9.一种鉴权系统,其特征在于,包括:终端设备,鉴权设备,服务器;
所述鉴权设备用于实现如上述权利要求1-6任一项所述的数据访问的鉴权方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至6任一项所述的数据访问的鉴权方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011596644.3A CN112738100B (zh) | 2020-12-29 | 2020-12-29 | 数据访问的鉴权方法、装置、鉴权设备和鉴权系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011596644.3A CN112738100B (zh) | 2020-12-29 | 2020-12-29 | 数据访问的鉴权方法、装置、鉴权设备和鉴权系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112738100A true CN112738100A (zh) | 2021-04-30 |
| CN112738100B CN112738100B (zh) | 2023-09-01 |
Family
ID=75610398
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011596644.3A Active CN112738100B (zh) | 2020-12-29 | 2020-12-29 | 数据访问的鉴权方法、装置、鉴权设备和鉴权系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112738100B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113472758A (zh) * | 2021-06-21 | 2021-10-01 | 北京沃东天骏信息技术有限公司 | 访问控制方法、装置、终端、连接器及存储介质 |
| CN113905381A (zh) * | 2021-10-18 | 2022-01-07 | 中国联合网络通信集团有限公司 | 业务处理方法、装置、设备及可读存储介质 |
| CN114124886A (zh) * | 2021-11-08 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 基于终端设备类型的网络地址转换控制方法及装置 |
| CN114915498A (zh) * | 2022-07-14 | 2022-08-16 | 国网思极网安科技(北京)有限公司 | 一种基于密钥保护的安全接入网关 |
| CN116049321A (zh) * | 2023-03-31 | 2023-05-02 | 北京比格大数据有限公司 | 数据调取方法及装置、电子设备及存储介质 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1712975A1 (en) * | 2005-04-14 | 2006-10-18 | Nederlandse Organisatie Voor Toegepast-Natuurwetenschappelijk Onderzoek Tno | Method and system for authenticating a terminal or terminal user |
| CN102609662A (zh) * | 2010-12-20 | 2012-07-25 | 微软公司 | 防篡改的位置服务 |
| US20150106905A1 (en) * | 2013-10-14 | 2015-04-16 | Alibaba Group Holding Limited | Login method for client application and corresponding server |
| WO2017167019A1 (zh) * | 2016-04-01 | 2017-10-05 | 中兴通讯股份有限公司 | 基于云桌面的处理方法、装置及计算机存储介质 |
| CN107277038A (zh) * | 2017-07-18 | 2017-10-20 | 北京微影时代科技有限公司 | 访问控制方法、装置以及系统 |
| CN107465650A (zh) * | 2016-06-06 | 2017-12-12 | 阿里巴巴集团控股有限公司 | 一种访问控制方法及装置 |
| CN107566429A (zh) * | 2016-06-30 | 2018-01-09 | 中兴通讯股份有限公司 | 基站、访问请求的响应方法、装置及系统 |
| CN107645486A (zh) * | 2016-12-28 | 2018-01-30 | 平安科技(深圳)有限公司 | 登录认证方法和装置 |
| CN107872440A (zh) * | 2016-09-28 | 2018-04-03 | 腾讯科技(深圳)有限公司 | 身份鉴权方法、装置和系统 |
| WO2018077053A1 (zh) * | 2016-10-31 | 2018-05-03 | 中兴通讯股份有限公司 | 一种物联网平台的鉴权方法、装置及其计算机存储介质 |
| CN109547458A (zh) * | 2018-12-10 | 2019-03-29 | 平安科技(深圳)有限公司 | 登录验证方法、装置、计算机设备及存储介质 |
| CN109818935A (zh) * | 2018-05-04 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 用户权限控制方法及装置、存储介质、计算机设备 |
| US20200014751A1 (en) * | 2018-07-09 | 2020-01-09 | Oracle International Corporation | System, method, and apparatuses for dynamic authorization |
| CN111209578A (zh) * | 2019-12-31 | 2020-05-29 | 网联清算有限公司 | 应用服务访问方法和装置 |
-
2020
- 2020-12-29 CN CN202011596644.3A patent/CN112738100B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1712975A1 (en) * | 2005-04-14 | 2006-10-18 | Nederlandse Organisatie Voor Toegepast-Natuurwetenschappelijk Onderzoek Tno | Method and system for authenticating a terminal or terminal user |
| CN102609662A (zh) * | 2010-12-20 | 2012-07-25 | 微软公司 | 防篡改的位置服务 |
| US20150106905A1 (en) * | 2013-10-14 | 2015-04-16 | Alibaba Group Holding Limited | Login method for client application and corresponding server |
| WO2017167019A1 (zh) * | 2016-04-01 | 2017-10-05 | 中兴通讯股份有限公司 | 基于云桌面的处理方法、装置及计算机存储介质 |
| CN107465650A (zh) * | 2016-06-06 | 2017-12-12 | 阿里巴巴集团控股有限公司 | 一种访问控制方法及装置 |
| CN107566429A (zh) * | 2016-06-30 | 2018-01-09 | 中兴通讯股份有限公司 | 基站、访问请求的响应方法、装置及系统 |
| CN107872440A (zh) * | 2016-09-28 | 2018-04-03 | 腾讯科技(深圳)有限公司 | 身份鉴权方法、装置和系统 |
| WO2018077053A1 (zh) * | 2016-10-31 | 2018-05-03 | 中兴通讯股份有限公司 | 一种物联网平台的鉴权方法、装置及其计算机存储介质 |
| CN107645486A (zh) * | 2016-12-28 | 2018-01-30 | 平安科技(深圳)有限公司 | 登录认证方法和装置 |
| CN107277038A (zh) * | 2017-07-18 | 2017-10-20 | 北京微影时代科技有限公司 | 访问控制方法、装置以及系统 |
| CN109818935A (zh) * | 2018-05-04 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 用户权限控制方法及装置、存储介质、计算机设备 |
| US20200014751A1 (en) * | 2018-07-09 | 2020-01-09 | Oracle International Corporation | System, method, and apparatuses for dynamic authorization |
| CN109547458A (zh) * | 2018-12-10 | 2019-03-29 | 平安科技(深圳)有限公司 | 登录验证方法、装置、计算机设备及存储介质 |
| CN111209578A (zh) * | 2019-12-31 | 2020-05-29 | 网联清算有限公司 | 应用服务访问方法和装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113472758A (zh) * | 2021-06-21 | 2021-10-01 | 北京沃东天骏信息技术有限公司 | 访问控制方法、装置、终端、连接器及存储介质 |
| CN113905381A (zh) * | 2021-10-18 | 2022-01-07 | 中国联合网络通信集团有限公司 | 业务处理方法、装置、设备及可读存储介质 |
| CN113905381B (zh) * | 2021-10-18 | 2024-04-16 | 中国联合网络通信集团有限公司 | 业务处理方法、装置、设备及可读存储介质 |
| CN114124886A (zh) * | 2021-11-08 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 基于终端设备类型的网络地址转换控制方法及装置 |
| CN114915498A (zh) * | 2022-07-14 | 2022-08-16 | 国网思极网安科技(北京)有限公司 | 一种基于密钥保护的安全接入网关 |
| CN114915498B (zh) * | 2022-07-14 | 2022-09-27 | 国网思极网安科技(北京)有限公司 | 一种基于密钥保护的安全接入网关 |
| CN116049321A (zh) * | 2023-03-31 | 2023-05-02 | 北京比格大数据有限公司 | 数据调取方法及装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112738100B (zh) | 2023-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11507680B2 (en) | System and method for access control using network verification | |
| CN112738100B (zh) | 数据访问的鉴权方法、装置、鉴权设备和鉴权系统 | |
| US9692743B2 (en) | Securing organizational computing assets over a network using virtual domains | |
| JP6533871B2 (ja) | ウェブアプリケーションへのサインオンを制御するためのシステムおよび方法 | |
| JP5530562B2 (ja) | ドメインネームシステムレコードのアップデートの検証 | |
| JP4916136B2 (ja) | アプリケーションにセキュリティを提供するシステムおよび方法 | |
| CN111478910B (zh) | 用户身份验证方法和装置、电子设备以及存储介质 | |
| CN105991614B (zh) | 一种开放授权、资源访问的方法及装置、服务器 | |
| US20110258326A1 (en) | Method, device, and system for implementing resource sharing | |
| US8863265B2 (en) | Remote sign-out of web based service sessions | |
| US9584523B2 (en) | Virtual private network access control | |
| US10650153B2 (en) | Electronic document access validation | |
| US20180039771A1 (en) | Method of and server for authorizing execution of an application on an electronic device | |
| CN111800426A (zh) | 应用程序中原生代码接口的访问方法、装置、设备及介质 | |
| CN111294337B (zh) | 一种基于令牌的鉴权方法及装置 | |
| CN112118238A (zh) | 认证登录的方法、装置、系统、设备及存储介质 | |
| CN116484338A (zh) | 数据库访问方法及装置 | |
| CN112291204B (zh) | 访问请求的处理方法、装置及可读存储介质 | |
| CN116996305A (zh) | 一种多层次安全认证方法、系统、设备、存储介质及入口网关 | |
| CN114866247B (zh) | 一种通信方法、装置、系统、终端及服务器 | |
| CN115544468A (zh) | 用户隐私的授权方法、设备以及存储介质 | |
| CN115643088A (zh) | 一种鉴权方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |