CN113158198A

CN113158198A - 访问控制方法、装置、终端设备和存储介质

Info

Publication number: CN113158198A
Application number: CN202010075429.2A
Authority: CN
Inventors: 周冲
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2020-01-22
Filing date: 2020-01-22
Publication date: 2021-07-23
Anticipated expiration: 2040-01-22
Also published as: WO2021147442A1

Abstract

本申请适用于计算机技术领域，提供了一种访问控制方法、装置、终端设备和存储介质。该方法包括：在接收到访问方发送的访问被访问方的请求信息时，判断所述请求信息中是否携带有目标令牌，所述目标令牌是在确定所述访问方具备访问所述被访问方的权限时，从预先构建的令牌资源池中查找并分配给所述访问方的；若所述请求信息中携带有目标令牌，则对所述目标令牌进行合法性验证；在所述合法性验证通过后，允许所述访问方对所述被访问方进行访问。通过这样设置，即便应用主体在访问客体资源时篡改相应的权限信息，该应用主体仍然需要一个合法的令牌才可以对客体资源进行访问，故能够有效减少应用对各种服务或资源的非法访问，提高访问控制的安全性。

Description

访问控制方法、装置、终端设备和存储介质

技术领域

本申请属于计算机技术领域，尤其涉及一种访问控制方法、装置、终端设备和存储介质。

背景技术

Android应用一般会在Manifest文件里定义好用户身份证明(UserIdentification，UID)和权限列表，应用安装时或使用资源时授予对应的权限。

当应用主体访问客体资源的时候，通常会通过该应用主体的UID，从权限列表中查找相应的权限，从而决策是否允许该应用主体对客体资源进行访问，以实现访问控制。

然而，如果应用篡改自己的UID，或者篡改UID对应的权限，则很可能产生越权访问的问题，故采用这种方式进行访问控制的安全性较低。

发明内容

有鉴于此，本申请实施例提供了一种访问控制方法、装置、终端设备和存储介质，可以提高访问控制的安全性。

第一方面，本申请实施例提供了一种访问控制方法，包括：

在接收到访问方发送的访问被访问方的请求信息时，判断所述请求信息中是否携带有目标令牌，所述目标令牌是在确定所述访问方具备访问所述被访问方的权限时，从预先构建的令牌资源池中查找并分配给所述访问方的；

若所述请求信息中携带有目标令牌，则对所述目标令牌进行合法性验证；

在所述合法性验证通过后，允许所述访问方对所述被访问方进行访问。

在访问方访问被访问方之前，会根据访问方的权限给访问方分配相应的令牌，之后当访问方访问被访问方的时候，只需对访问方携带的令牌进行合法性验证即可，从而实现基于令牌的访问控制。通过这样设置，即便应用主体(访问方)在访问客体资源(被访问方)时篡改相应的权限信息，该应用主体仍然需要一个合法的令牌才可以对客体资源进行访问，故能够有效减少应用对各种服务或资源的非法访问，提高访问控制的安全性。

进一步的，在判断所述请求信息中是否携带有目标令牌之后，还可以包括：

若所述请求信息中未携带有目标令牌，则从所述令牌资源池中查找目标令牌，并将查找到的目标令牌分配给所述访问方。

所述请求信息中未携带有目标令牌，可能是由于该访问方首次访问该被访问方，尚未申请到目标令牌。此时可以从所述令牌资源池中查找目标令牌，并将查找到的目标令牌分配给所述访问方。根据设定的访问控制权限策略，如果该访问方具备访问权限，则可以从该令牌资源池中查找到相应的目标令牌；如果该访问方不具备访问权限，则无法从该令牌资源池中查找到相应的目标令牌。

进一步的，在对所述目标令牌进行合法性验证之前，还可以包括：

检验所述目标令牌是否失效；

若所述目标令牌已失效，则从所述令牌资源池中查找新的目标令牌替换所述失效的目标令牌。

很多令牌都是具有时效性的，故在对令牌进行合法性验证之前，可以先检验该访问方携带的目标令牌是否已失效，从而确定是否需要获取新的目标令牌。

可选的，所述目标令牌可以通过以下方式生成，并添加到所述令牌资源池中：

当检测到所述被访问方启动时，获取所述被访问方的访问控制权限策略以及流量控制策略，所述访问控制权限策略用于限定所述被访问方被访问的权限，所述流量控制策略用于限定所述被访问方被访问时的数据流量；

根据所述访问控制权限策略以及所述流量控制策略，生成所述目标令牌，其中，生成所述目标令牌的种类根据所述访问控制权限策略确定，生成所述目标令牌的数量根据所述流量控制策略确定。

令牌通常是由被访问方主导生成的，终端系统在检测到被访问方(比如一个客体服务资源)启动时，可以获取该被访问方的访问控制权限策略以及流量控制策略，其中访问控制权限策略用于限定所述被访问方被访问的权限，流量控制策略用于限定所述被访问方被访问时的数据流量；然后，根据所述访问控制权限策略以及所述流量控制策略生成所述目标令牌。

进一步的，在生成所述目标令牌之后，还可以包括：

当检测到所述被访问方关闭时，删除所述令牌资源池中已生成的所述目标令牌。

当检测到该被访问方关闭时，说明其不再提供访问的服务，此时可以删除令牌资源池中已生成的各个目标令牌，以避免各个访问方继续申请令牌对该被访问方进行访问而产生的无效操作。

当检测到所述访问方启动时，获取所述被访问方的访问控制权限策略以及流量控制策略，所述访问控制权限策略用于限定所述访问方访问所述被访问方的权限，所述流量控制策略用于限定所述被访问方被访问时的数据流量；

虽然令牌通常是由被访问方主导生成的，但某些令牌同样是限定访问方的，这部分令牌可以由访问方主导生成。终端系统在检测到访问方(比如一个应用程序)启动时，根据该访问方的权限确定其能够访问的各个被访问方，然后可以触发各个被访问方生成相应的令牌。

进一步的，在生成所述目标令牌之后，还可以包括：

当检测到所述访问方关闭时，删除所述令牌资源池中已生成的所述目标令牌。

当检测到该访问方关闭(停止运行)时，删除该令牌资源池中已生成的各个目标令牌，这样处理可以在一定程度上避免恶意访问。

具体的，所述目标令牌可以通过以下方式从所述令牌资源池中查找获得：

获取所述访问方的唯一标识和所述被访问方的唯一标识；

从所述令牌资源池中查找令牌信息包含所述访问方的唯一标识和所述被访问方的唯一标识的令牌，作为所述目标令牌。

每个访问方或者被访问方都可以具备各自的唯一标识，比如ID、名称等。令牌在生成时，可以包含这部分信息，从而建立令牌和访问方、被访问方的对应关系。因此，可以从所述令牌资源池中查找令牌信息包含所述访问方的唯一标识和所述被访问方的唯一标识的令牌，作为相应的目标令牌。

获取预存储的令牌索引信息，所述令牌索引信息记录所述令牌资源池中每个令牌分别对应的访问方信息和被访问方信息；

根据所述令牌索引信息，从所述令牌资源池中查找对应于所述访问方的访问方信息和所述被访问方的被访问方信息的令牌，作为所述目标令牌。

令牌本身也可以不包含相应的访问方信息和被访问方信息，此时可以通过构建令牌索引信息来记录各个令牌和访问方、被访问方的对应关系。然后，可以从所述令牌资源池中查找对应于所述访问方的访问方信息和所述被访问方的被访问方信息的令牌，作为相应的目标令牌。具体的，可以构建一个令牌资源库来保存该令牌索引信息，但对系统的资源消耗较大。

具体的，所述对所述目标令牌进行合法性验证可以包括但不限于：

验证所述目标令牌的完整性；

和/或

获取所述目标令牌的时间戳；

根据所述时间戳验证所述目标令牌是否处于有效期内；

和/或

验证所述目标令牌包含的访问方信息和所述访问方是否一致；

验证所述目标令牌包含的被访问方信息和所述被访问方是否一致；

和/或

验证所述目标令牌对应的访问动作和所述请求信息对应的访问动作是否一致。

第二方面，本申请实施例提供了一种访问控制装置，包括：

访问请求接收模块，用于在接收到访问方发送的访问被访问方的请求信息时，判断所述请求信息中是否携带有目标令牌，所述目标令牌是在确定所述访问方具备访问所述被访问方的权限时，从预先构建的令牌资源池中查找并分配给所述访问方的；

令牌验证模块，用于若所述请求信息中携带有目标令牌，则对所述目标令牌进行合法性验证；

访问允许模块，用于在所述合法性验证通过后，允许所述访问方对所述被访问方进行访问。

第三方面，本申请实施例提供了一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如本申请实施例第一方面提出的访问控制方法。

第四方面，本申请实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如本申请实施例第一方面提出的访问控制方法。

第五方面，本申请实施例提供了一种计算机程序产品，当计算机程序产品在终端设备上运行时，使得终端设备执行上述第一方面中任一项所述的访问控制方法。

本申请实施例与现有技术相比存在的有益效果是：可以提高访问控制的安全性，且具有较好的实用性和易用性。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的访问控制方法所适用于的手机的硬件结构示意图；

图2是本申请实施例提供的一种访问控制方法的流程图；

图3是本申请实施例提供的另一种访问控制方法的流程图；

图4是本申请实施例提供的另一种访问控制方法的流程图；

图5是本申请实施例提供的访问控制方法在一个实际应用场景下的示意图；

图6是图5所示的令牌资源池中令牌的生成方式示意图；

图7是图5所示的APP携带令牌对服务/资源进行访问的过程中，对令牌的合法性进行验证的示意图；

图8是图5所示的APP首次访问服务/资源的访问控制示意图；

图9是图5所示的APP再次访问服务/资源的访问控制示意图；

图10是本申请实施例提供的一种访问控制装置的结构图；

图11是本申请实施例提供的一种终端设备的示意图。

具体实施方式

以下描述中，为了说明而不是为了限定，提出了诸如特定装置结构、技术之类的具体细节，以便透彻理解本申请实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中，省略对众所周知的装置、装置、电路以及方法的详细说明，以免不必要的细节妨碍本申请的描述。

以下实施例中所使用的术语只是为了描述特定实施例的目的，而并非旨在作为对本申请的限制。如在本申请的说明书和所附权利要求书中所使用的那样，单数表达形式“一个”、“一种”、“所述”、“上述”、“该”和“这一”旨在也包括例如“一个或多个”这种表达形式，除非其上下文中明确地有相反指示。还应当理解，在本申请实施例中，“一个或多个”是指一个、两个或两个以上；“和/或”，描述关联对象的关联关系，表示可以存在三种关系；例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A、B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。

本申请实施例提供的访问控制方法可以应用于手机、平板电脑、可穿戴设备、车载设备、增强现实(augmented reality，AR)/虚拟现实(virtual reality，VR)设备、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer，UMPC)、上网本、个人数字助理(personal digital assistant，PDA)等终端设备或者服务器上，本申请实施例对终端设备和服务器的具体类型不作任何限制。

例如，所述终端设备可以是WLAN中的站点(STAION，ST)，可以是蜂窝电话、无绳电话、会话启动协议(Session InitiationProtocol，SIP)电话、无线本地环路(WirelessLocal Loop，WLL)站、个人数字处理(Personal Digital Assistant，PDA)设备、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、车联网终端、电脑、膝上型计算机、手持式通信设备、手持式计算设备、卫星无线设备、无线调制解调器卡、电视机顶盒(set top box，STB)、用户驻地设备(customer premise equipment，CPE)和/或用于在无线装置上进行通信的其它设备以及下一代通信装置，例如，5G网络中的移动终端或者未来演进的公共陆地移动网络(Public Land Mobile Network，PLMN)网络中的移动终端等。

作为示例而非限定，当所述终端设备为可穿戴设备时，该可穿戴设备还可以是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，如智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能首饰等。

以所述终端设备为手机为例。图1示出的是与本申请实施例提供的手机的部分结构的框图。参考图1，手机包括：射频(Radio Frequency，RF)电路110、存储器120、输入单元130、显示单元140、传感器150、音频电路160、无线保真(wireless fidelity，WiFi)模块170、处理器180、以及电源190等部件。本领域技术人员可以理解，图1中示出的手机结构并不构成对手机的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

下面结合图1对手机的各个构成部件进行具体的介绍：

RF电路110可用于收发信息或通话过程中，信号的接收和发送，特别地，将基站的下行信息接收后，给处理器180处理；另外，将设计上行的数据发送给基站。通常，RF电路包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(Low NoiseAmplifier，LNA)、双工器等。此外，RF电路110还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议，包括但不限于全球移动通讯装置(GlobalSystem of Mobile communication，GSM)、通用分组无线服务(General Packet RadioService，GPRS)、码分多址(Code Division Multiple Access，CDMA)、宽带码分多址(Wideband Code Division Multiple Access,WCDMA)、长期演进(Long Term Evolution,LTE))、电子邮件、短消息服务(Short Messaging Service，SMS)等。

存储器120可用于存储软件程序以及模块，处理器180通过运行存储在存储器120的软件程序以及模块，从而执行手机的各种功能应用以及数据处理。存储器120可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作装置、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器120可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

输入单元130可用于接收输入的数字或字符信息，以及产生与手机100的用户设置以及功能控制有关的键信号输入。具体地，输入单元130可包括触控面板131以及其他输入设备132。触控面板131，也称为触摸屏，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板131上或在触控面板131附近的操作)，并根据预先设定的程式驱动相应的连接装置。可选的，触控面板131可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器180，并能接收处理器180发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板131。除了触控面板131，输入单元130还可以包括其他输入设备132。具体地，其他输入设备132可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。

显示单元140可用于显示由用户输入的信息或提供给用户的信息以及手机的各种菜单。显示单元140可包括显示面板141，可选的，可以采用液晶显示器(Liquid CrystalDisplay，LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板141。进一步的，触控面板131可覆盖显示面板141，当触控面板131检测到在其上或附近的触摸操作后，传送给处理器180以确定触摸事件的类型，随后处理器180根据触摸事件的类型在显示面板141上提供相应的视觉输出。虽然在图1中，触控面板131与显示面板141是作为两个独立的部件来实现手机的输入和输入功能，但是在某些实施例中，可以将触控面板131与显示面板141集成而实现手机的输入和输出功能。

手机100还可包括至少一种传感器150，比如光传感器、运动传感器以及其他传感器。具体地，光传感器可包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示面板141的亮度，接近传感器可在手机移动到耳边时，关闭显示面板141和/或背光。作为运动传感器的一种，加速计传感器可检测各个方向上(一般为三轴)加速度的大小，静止时可检测出重力的大小及方向，可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等；至于手机还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器，在此不再赘述。

音频电路160、扬声器161，传声器162可提供用户与手机之间的音频接口。音频电路160可将接收到的音频数据转换后的电信号，传输到扬声器161，由扬声器161转换为声音信号输出；另一方面，传声器162将收集的声音信号转换为电信号，由音频电路160接收后转换为音频数据，再将音频数据输出处理器180处理后，经RF电路110以发送给比如另一手机，或者将音频数据输出至存储器120以便进一步处理。

WiFi属于短距离无线传输技术，手机通过WiFi模块170可以帮助用户收发电子邮件、浏览网页和访问流式媒体等，它为用户提供了无线的宽带互联网访问。虽然图1示出了WiFi模块170，但是可以理解的是，其并不属于手机100的必须构成，完全可以根据需要在不改变发明的本质的范围内而省略。

处理器180是手机的控制中心，利用各种接口和线路连接整个手机的各个部分，通过运行或执行存储在存储器120内的软件程序和/或模块，以及调用存储在存储器120内的数据，执行手机的各种功能和处理数据，从而对手机进行整体监控。可选的，处理器180可包括一个或多个处理单元；优选的，处理器180可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作装置、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器180中。

手机100还包括给各个部件供电的电源190(比如电池)，优选的，电源可以通过电源管理装置与处理器180逻辑相连，从而通过电源管理装置实现管理充电、放电、以及功耗管理等功能。

尽管未示出，手机100还可以包括摄像头。可选地，摄像头在手机100的上的位置可以为前置的，也可以为后置的，本申请实施例对此不作限定。

可选地，手机100可以包括单摄像头、双摄像头或三摄像头等，本申请实施例对此不作限定。

例如，手机100可以包括三摄像头，其中，一个为主摄像头、一个为广角摄像头、一个为长焦摄像头。

可选地，当手机100包括多个摄像头时，这多个摄像头可以全部前置，或者全部后置，或者一部分前置、另一部分后置，本申请实施例对此不作限定。

另外，尽管未示出，手机100还可以包括蓝牙模块等，在此不再赘述。

需要指出的是，本申请提出的各个访问控制方法，既适用于终端设备访问本地资源，也适用于终端设备访问网络资源。对于终端设备访问本地资源的场景，则该访问控制方法的执行主体为终端设备；对于终端设备访问网络资源的场景，则该访问控制方法的执行主体为该网络资源所处的服务器或者终端设备，此时访问方所处的终端设备和被访问方所处的服务器(终端设备)应当具有相同的令牌机制和权限管理机制。

另外，本申请提出的各个访问控制方法也可以用于集中式系统或者分布式系统，网络、WEB服务等各类系统的权限访问控制。

图2示出了本申请提供的一种访问控制方法的流程图，包括：

201、在接收到访问方发送的访问被访问方的请求信息时，判断所述请求信息中是否携带有目标令牌；

当接收到访问方发送的访问被访问方的请求信息时，会检测该请求信息中是否携带有目标令牌。这里的访问方是访问操作的主体，可以是某个应用程序、某个进程或者某个服务等；被访问方是访问操作的客体，可以是某个软硬件资源、某个文件或者某个服务等。当访问方执行对被访问方的访问操作时，首先会发出一个请求信息，终端系统在获取到该请求信息之后，会检测该请求信息中是否携带有目标令牌。该目标令牌可以是专门适用于该访问方对该被访问方进行访问的令牌，也即不同的访问方访问相同的被访问方，相同的访问方访问不同的被访问方，不同的访问方访问不同的被访问方，这几种情况下各个访问方携带的令牌可以是不同的。

另外，该目标令牌是在确定所述访问方具备访问所述被访问方的权限时，从预先构建的令牌资源池中查找并分配给所述访问方的。终端系统预先设置访问控制权限策略，即限定允许哪些主体对哪些客体执行怎样的操作，在该访问方访问被访问方之前，若根据访问控制权限策略确定该访问方具备相应的访问权限，则可以从令牌资源池中查找到该目标令牌，并分配给该访问方。若根据访问控制权限策略确定该访问方不具备相应的访问权限，则从该令牌资源池中将查找不到相应的目标令牌，即此时无法为该访问方分配令牌，没有令牌则无法对被访问方进行访问。该令牌资源池可以是整个访问控制系统共用的，也即各个不同的访问方访问各个不同的被访问方所采用的不同令牌，都可以生成并添加到该令牌资源池中，以备分配给各个不同的访问方。

若所述请求信息中携带有目标令牌，则执行步骤202-203；若所述请求信息中未携带有目标令牌，则直接执行步骤205。

(1)当检测到所述被访问方启动时，获取所述被访问方的访问控制权限策略以及流量控制策略，所述访问控制权限策略用于限定所述被访问方被访问的权限，所述流量控制策略用于限定所述被访问方被访问时的数据流量；

(2)根据所述访问控制权限策略以及所述流量控制策略，生成所述目标令牌，其中，生成所述目标令牌的种类根据所述访问控制权限策略确定，生成所述目标令牌的数量根据所述流量控制策略确定。

一般情况下，令牌一定是限定客体的(不限定客体的令牌，就是基于整个系统有效的令牌，没有实际管控权限的意义)，可以是限定具体的功能特性、API或者特定的操作。令牌可以只限定客体，也可以对主体和客体都限定，这里的主体指访问方，客体指被访问方。例如一个公共服务，提供服务可用状态查询，所有应用都具备此权限，这种情况下就没必要限定主体和访问次数，此为令牌只限定客体的一个实际应用场景。如果是查询钱包余额的服务，那就要限定哪些应用可以访问，甚至于为了安全性，完成一次交互就需要新的令牌，避免令牌的滥用，此为令牌对主体和客体都限定的一个实际应用场景。

令牌通常是由被访问方主导生成的，终端系统在检测到被访问方(比如一个客体服务资源)启动时，可以获取该被访问方的访问控制权限策略以及流量控制策略，其中访问控制权限策略用于限定所述被访问方被访问的权限，流量控制策略用于限定所述被访问方被访问时的数据流量；然后，根据所述访问控制权限策略以及所述流量控制策略，生成所述目标令牌，其中，生成所述目标令牌的种类根据所述访问控制权限策略确定，生成所述目标令牌的数量根据所述流量控制策略确定。令牌的种类可以有很多，根据该访问控制权限策略，结合被访问方提供服务的安全级别要求，可以生成只限定客体的单次性令牌、只限定客体的多次性令牌、限定客体和主体的单次性令牌、限定客体和主体的多次性令牌以及带有时效性的令牌等不同类别的令牌。另一方面，可以根据被访问方自身的服务能力以及网络状况，设置相应的流量控制策略，以确定生成令牌的数量。比如，被访问方为区块链服务，本身性能很差，提供服务时可以进行流量限制，如1秒提供10次访问，且限定只有5个应用程序可以访问。如果当前有3个应用程序处于运行状态，则可生成每个应用程序10个令牌，共30个令牌，应用程序申请令牌时，根据流量控制策略一秒钟只分发出最多10个令牌。

进一步的，在生成所述目标令牌之后，还可以包括：

(1)当检测到所述访问方启动时，获取所述被访问方的访问控制权限策略以及流量控制策略，所述访问控制权限策略用于限定所述访问方访问所述被访问方的权限，所述流量控制策略用于限定所述被访问方被访问时的数据流量；

虽然令牌通常是由被访问方主导生成的，但某些令牌同样是限定访问方的，这部分令牌可以由访问方主导生成。终端系统在检测到访问方(比如一个应用程序)启动时，根据该访问方的权限确定其能够访问的各个被访问方，然后可以触发各个被访问方生成相应的令牌。对于该访问方能够访问的任意一个被访问方来说，其生成令牌的方式可以和上文所述的由被访问方主导生成令牌的方式相同，也即获取各自的访问控制权限策略以及流量控制策略，然后确定生成的令牌的种类和数量，最终生成的各个令牌都可以添加到该令牌资源池中。

进一步的，在生成所述目标令牌之后，还可以包括：

上述两种令牌生成方式分别是检测到被访问方启动和检测到访问方启动时触发生成令牌，而在某些情况下，还可以在访问方未启动或者被访问方未启动时即预先生成一定数量的令牌，作为性能优化方案。

202、对所述目标令牌进行合法性验证；

该访问方携带有目标令牌，此时进一步对该目标令牌进行合法性验证。具体的，可以校验该目标令牌自身的完整性，验证该目标令牌是否为该令牌资源池中针对该被访问方生成且分配的有效令牌。

203、判断所述合法性验证是否通过；

若所述目标令牌的合法性验证通过，则执行步骤204，否则执行步骤205。

204、允许所述访问方对所述被访问方进行访问；

该访问方携带的目标令牌的合法性验证通过，表明该访问方具有访问该被访问方的正当权限，此时允许该访问方对该被访问方进行访问。

205、拒绝所述访问方对所述被访问方进行访问。

该访问方未携带目标令牌，或者该访问方携带的目标令牌的合法性验证失败，这两种情况都表明该访问方有可能是非法访问，故拒绝该访问方对该被访问方进行访问。

图3示出了本申请提供的另一种访问控制方法的流程图，包括：

301、在接收到访问方发送的访问被访问方的请求信息时，判断所述请求信息中是否携带有目标令牌；

所述目标令牌是在确定所述访问方具备访问所述被访问方的权限时，从预先构建的令牌资源池中查找并分配给所述访问方的；若所述请求信息中携带有目标令牌，则执行步骤302-303；若所述请求信息中未携带有目标令牌，则直接执行步骤306。

302、对所述目标令牌进行合法性验证；

303、判断所述合法性验证是否通过；

若所述合法性验证通过，则执行步骤304，否则执行步骤305。

304、允许所述访问方对所述被访问方进行访问；

步骤301-304与步骤201-204相同，具体可参照步骤201-204的相关说明。

305、拒绝所述访问方对所述被访问方进行访问；

该访问方携带的目标令牌的合法性验证失败，表明该访问方有可能是非法访问，故拒绝该访问方对该被访问方进行访问。

306、从令牌资源池中查找目标令牌，并将查找到的目标令牌分配给所述访问方。

所述请求信息中未携带有目标令牌，可能是由于该访问方首次访问该被访问方，尚未申请到目标令牌。此时可以从所述令牌资源池中查找目标令牌，并将查找到的目标令牌分配给所述访问方。根据设定的访问控制权限策略，如果该访问方具备访问权限，则可以从该令牌资源池中查找到相应的目标令牌；如果该访问方不具备访问权限，则无法从该令牌资源池中查找到相应的目标令牌。另外，在将查找到的目标令牌分配给所述访问方之后，返回执行步骤302，继续对该目标令牌进行合法性验证。而如果在该令牌资源池中查找不到目标令牌，则可以直接执行步骤305，即拒绝访问。

可选的，所述目标令牌可以通过以下方式从所述令牌资源池中查找获得：

(1)获取所述访问方的唯一标识和所述被访问方的唯一标识；

(2)从所述令牌资源池中查找令牌信息包含所述访问方的唯一标识和所述被访问方的唯一标识的令牌，作为所述目标令牌。

(1)获取预存储的令牌索引信息，所述令牌索引信息记录所述令牌资源池中每个令牌分别对应的访问方信息和被访问方信息；

(2)根据所述令牌索引信息，从所述令牌资源池中查找对应于所述访问方的访问方信息和所述被访问方的被访问方信息的令牌，作为所述目标令牌。

另一种方式，令牌本身也可以不包含相应的访问方信息和被访问方信息，此时可以通过构建令牌索引信息来记录各个令牌和访问方、被访问方的对应关系。然后，可以从所述令牌资源池中查找对应于所述访问方的访问方信息和所述被访问方的被访问方信息的令牌，作为相应的目标令牌。具体的，可以构建一个令牌资源库来保存该令牌索引信息，但对系统的资源消耗较大，故相对来说采用令牌包含对应访问方、被访问方信息的方式较优。

在本申请实施例中，如果访问方未携带目标令牌，则会从令牌资源池中查找目标令牌，并将查找到的目标令牌分配给所述访问方，然后再继续执行对目标令牌进行合法性验证的步骤。通过这样设置，可以使得该访问控制方法适用于访问方首次访问被访问方的场景，进一步提升实用性。

图4示出了本申请提供的另一种访问控制方法的流程图，包括：

401、在接收到访问方发送的访问被访问方的请求信息时，判断所述请求信息中是否携带有目标令牌；

所述目标令牌是在确定所述访问方具备访问所述被访问方的权限时，从预先构建的令牌资源池中查找并分配给所述访问方的；若所述请求信息中携带有目标令牌，则执行步骤402-403；若所述请求信息中未携带有目标令牌，则直接执行步骤407。

402、检验所述目标令牌是否失效；

若所述请求信息中携带有目标令牌，此时先检验该目标令牌是否失效。很多令牌都是具有时效性的，故在对令牌进行合法性验证之前，可以先检验该访问方携带的目标令牌是否已失效，从而确定是否需要获取新的目标令牌。若所述目标令牌已失效，则执行步骤403-404；若所述目标令牌未失效，则直接执行步骤404。

403、从所述令牌资源池中查找新的目标令牌替换所述失效的目标令牌；

若该访问方当前携带的目标令牌已失效，可以从该令牌资源池中查找新的目标令牌替换该失效的目标令牌，这个过程通常对应于访问方再次对被访问方进行访问的情况。

404、对所述目标令牌进行合法性验证；

一般来说，令牌中可以包含但不限于以下信息：访问方唯一标识、被访问方唯一标识(可支持扩展，如客体的多个API接口进行区分)、访问动作(如CRUD，即创建、读取、修改、删除等)、时间戳和有效窗口、基于密钥的签名。

具体的，对所述目标令牌进行合法性验证可以包括但不限于以下几部分的验证：

(1)验证所述目标令牌的完整性；

比如，采用公钥验证(加解密或签名)该目标令牌的完整性，若该目标令牌是完整的，则这部分的验证通过。

(2)获取所述目标令牌的时间戳；根据所述时间戳验证所述目标令牌是否处于有效期内；

令牌在生成的时候可以包含生成令牌的时间戳，并限定该令牌的有效时间，比如1分钟内有效，然后即可根据该时间戳以及该有效时间验证该目标令牌当前是否处于有效期内，处于有效期内则这部分的验证通过。

(3)验证所述目标令牌包含的访问方信息和所述访问方是否一致；验证所述目标令牌包含的被访问方信息和所述被访问方是否一致；

比如可以验证目标令牌包含的访问方的唯一标识和该访问方的唯一标识是否一致，以及目标令牌包含的被访问方的唯一标识和该被访问方的唯一标识是否一致等，也即为了验证令牌声明的主客体是否和当前情况一致，若一致则表示这部分的验证通过。

(4)验证所述目标令牌对应的访问动作和所述请求信息对应的访问动作是否一致。

验证目标令牌声明的访问动作和当前访问方请求的访问动作是否一致，若一致则表示这部分的验证通过。比如，访问方拿着查询操作的令牌，想对被访问方执行修改操作，则会验证失败。

405、判断所述合法性验证是否通过；

若所述合法性验证通过，则执行步骤406，否则执行步骤407。

406、允许所述访问方对所述被访问方进行访问；

407、拒绝所述访问方对所述被访问方进行访问。

步骤405-407与步骤203-205相同，具体可参照步骤203-205的相关说明。

在本申请实施例中，如果访问方携带的目标令牌已失效，则会从令牌资源池中查找新的目标令牌对该失效的目标令牌进行替换，然后再继续执行对目标令牌进行合法性验证的步骤。通过这样设置，可以使得该访问控制方法适用于访问方再次访问被访问方的场景，进一步提升实用性。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

为便于理解，下面以几个实际应用场景来说明本申请提出的访问控制方法。

如图5所示，为本申请提出的访问控制方法在一个实际应用场景下的示意图。

在图5中，访问方为一个APP，该APP的访问控制权限在安装的过程中已经预先设置完毕，被访问方为一个服务/资源。在APP访问该服务/资源之前，该APP可以申请令牌，若该APP具有访问该服务/资源的权限，则可以从该令牌资源池中查找到相应的令牌，分配给该APP。在该APP携带令牌对该服务/资源进行访问的过程中，对该令牌的合法性进行验证，若验证通过则允许该APP访问该服务/资源，否则拒绝该APP访问该服务/资源。

图6是图5所示的令牌资源池中令牌的生成方式示意图。

在图6中，访问控制模块是终端系统中用于执行访问控制机制的功能模块，当检测到访问方或者被访问方启动时，触发令牌生成的流程。首先，访问控制模块会从权限策略库中获取预先设置好的该访问方访问该被访问方的权限策略，以及从流控策略库中获取该被访问方当前的流量控制策略。然后，根据获取到的访问控制权限策略和流量控制策略生成相应数量和种类的令牌。其中，生成令牌的种类主要根据获取到的访问控制权限策略确定，图6中示出了4种不同类型的令牌(只限定客体的一次性令牌、只限定客体的多次性令牌、限定主体和客体的一次性令牌、限定主体和客体的多次性令牌)；生成令牌的数量主要根据获取到的流量控制策略确定。显然，可以通过修改访问控制权限策略，或者修改流量控制策略以改变令牌生成的策略。生成的令牌中可以包含该访问方的唯一标识和该被访问方的唯一标识，以及其它的相关信息。最终，生成的令牌添加到令牌资源池中，以供该访问方访问该被访问方时使用。

另外，该访问控制模块还可以对令牌的生命周期进行管理，比如当检测到某个访问方已经关闭时，可以通过该访问方的唯一标识或者相关被访问方的唯一标识查找到令牌资源池中对应的令牌，将这部分已生成的令牌删除。

图7是图5所示的APP携带令牌对服务/资源进行访问的过程中，对令牌的合法性进行验证的示意图。在图7中，访问控制模块是终端系统中用于执行访问控制机制的功能模块，在该APP携带令牌对服务/资源进行访问的过程中，访问控制模块会验证该令牌的合法性，具体的验证方式可以包括：验证令牌完整性、验证时间戳有效窗口、验证客体唯一标识、验证主体唯一标识、验证访问动作等。若令牌的合法性验证通过，则允许该APP访问该服务/资源，否则拒绝该APP访问该服务/资源。

图8是图5所示的APP首次访问该服务/资源的访问控制示意图，图9是图5所示的APP再次访问该服务/资源的访问控制示意图。

在图8中，该APP是首次访问该服务/资源，故该APP未携带有令牌，此时需要通过访问控制模块，根据该APP的唯一标识和该服务/资源的唯一标识从该令牌资源池中查找对应的令牌。然后，访问控制模块会将查找到的令牌分配给该APP，该APP携带令牌对该服务/资源进行访问，接下来执行图7所示的令牌验证过程。

在图9中，该APP是再次访问该服务/资源，故该APP已携带有令牌，此时首先检验该令牌是否已失效，若未失效则可以直接执行图7所示的令牌验证过程；若该令牌已失效，则同样需要通过访问控制模块，根据该APP的唯一标识和该服务/资源的唯一标识从该令牌资源池中查找新的令牌对该失效的令牌进行替换，然后再执行图7所示的令牌验证过程。

图10示出了本申请实施例提供的访问控制装置的结构框图，为了便于说明，仅示出了与本申请实施例相关的部分。

参照图10，该装置包括：

访问请求接收模块501，用于在接收到访问方发送的访问被访问方的请求信息时，判断所述请求信息中是否携带有目标令牌，所述目标令牌是在确定所述访问方具备访问所述被访问方的权限时，从预先构建的令牌资源池中查找并分配给所述访问方的；

令牌验证模块502，用于若所述请求信息中携带有目标令牌，则对所述目标令牌进行合法性验证；

访问允许模块503，用于在所述合法性验证通过后，允许所述访问方对所述被访问方进行访问。

进一步的，所述访问控制装置还可以包括：

令牌查找模块，用于若所述请求信息中未携带有目标令牌，则从所述令牌资源池中查找目标令牌，并将查找到的目标令牌分配给所述访问方。

进一步的，所述访问控制装置还可以包括：

令牌有效性检验模块，用于检验所述目标令牌是否失效；

令牌替换模块，用于若所述目标令牌已失效，则从所述令牌资源池中查找新的目标令牌替换所述失效的目标令牌。

进一步的，所述访问控制装置还可以包括：

第一策略获取模块，用于当检测到所述被访问方启动时，获取所述被访问方的访问控制权限策略以及流量控制策略，所述访问控制权限策略用于限定所述被访问方被访问的权限，所述流量控制策略用于限定所述被访问方被访问时的数据流量；

第一令牌生成模块，用于根据所述访问控制权限策略以及所述流量控制策略，生成所述目标令牌，其中，生成所述目标令牌的种类根据所述访问控制权限策略确定，生成所述目标令牌的数量根据所述流量控制策略确定。

进一步的，所述访问控制装置还可以包括：

第二策略获取模块，用于当检测到所述访问方启动时，获取所述被访问方的访问控制权限策略以及流量控制策略，所述访问控制权限策略用于限定所述访问方访问所述被访问方的权限，所述流量控制策略用于限定所述被访问方被访问时的数据流量；

第二令牌生成模块，用于根据所述访问控制权限策略以及所述流量控制策略，生成所述目标令牌，其中，生成所述目标令牌的种类根据所述访问控制权限策略确定，生成所述目标令牌的数量根据所述流量控制策略确定。

更进一步的，所述访问控制装置还可以包括：

令牌删除模块，用于当检测到所述访问方关闭时，删除所述令牌资源池中已生成的所述目标令牌。

进一步的，所述访问控制装置还可以包括：

标识获取模块，用于获取所述访问方的唯一标识和所述被访问方的唯一标识；

第一令牌查找模块，用于从所述令牌资源池中查找令牌信息包含所述访问方的唯一标识和所述被访问方的唯一标识的令牌，作为所述目标令牌。

进一步的，所述访问控制装置还可以包括：

令牌索引获取模块，用于获取预存储的令牌索引信息，所述令牌索引信息记录所述令牌资源池中每个令牌分别对应的访问方信息和被访问方信息；

第二令牌查找模块，用于根据所述令牌索引信息，从所述令牌资源池中查找对应于所述访问方的访问方信息和所述被访问方的被访问方信息的令牌，作为所述目标令牌。

进一步的，所述令牌验证模块可以包括：

完整性验证单元，用于验证所述目标令牌的完整性；

时间戳获取单元，用于获取所述目标令牌的时间戳；

有效期验证单元，用于根据所述时间戳验证所述目标令牌是否处于有效期内；

访问方信息验证单元，用于验证所述目标令牌包含的访问方信息和所述访问方是否一致；

被访问方信息验证单元，用于验证所述目标令牌包含的被访问方信息和所述被访问方是否一致；

动作验证单元，用于验证所述目标令牌对应的访问动作和所述请求信息对应的访问动作是否一致。

本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如本申请提出的各个访问控制方法的步骤。

本申请实施例还提供了一种计算机程序产品，当计算机程序产品在终端设备上运行时，使得终端设备执行本申请提出的各个访问控制方法的步骤。

图11为本申请一实施例提供的终端设备的结构示意图。如图11所示，该实施例的终端设备6包括：至少一个处理器60(图11中仅示出一个)处理器、存储器61以及存储在所述存储器61中并可在所述至少一个处理器60上运行的计算机程序62，所述处理器60执行所述计算机程序62时实现上述任意访问控制方法实施例中的步骤。

所述终端设备6可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。该终端设备可包括，但不仅限于，处理器60、存储器61。本领域技术人员可以理解，图11仅仅是终端设备6的举例，并不构成对终端设备6的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如还可以包括输入输出设备、网络接入设备等。

所称处理器60可以是中央处理单元(Central Processing Unit，CPU)，该处理器60还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器61在一些实施例中可以是所述终端设备6的内部存储单元，例如终端设备6的硬盘或内存。所述存储器61在另一些实施例中也可以是所述终端设备6的外部存储设备，例如所述终端设备6上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)等。进一步地，所述存储器61还可以既包括所述终端设备6的内部存储单元也包括外部存储设备。所述存储器61用于存储操作装置、应用程序、引导装载程序(BootLoader)、数据以及其他程序等，例如所述计算机程序的程序代码等。所述存储器61还可以用于暂时地存储已经输出或者将要输出的数据。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述装置中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

在本申请所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或单元的间接耦合或通讯连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质至少可以包括：能够将计算机程序代码携带到终端设备的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区，根据立法和专利实践，计算机可读介质不可以是电载波信号和电信信号。

以上所述实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围，均应包含在本申请的保护范围之内。

Claims

1.一种访问控制方法，其特征在于，包括：

2.如权利要求1所述的访问控制方法，其特征在于，在判断所述请求信息中是否携带有目标令牌之后，还包括：

3.如权利要求1所述的访问控制方法，其特征在于，在对所述目标令牌进行合法性验证之前，还包括：

检验所述目标令牌是否失效；

4.如权利要求1所述的访问控制方法，其特征在于，所述目标令牌通过以下方式生成，并添加到所述令牌资源池中：

5.如权利要求1所述的访问控制方法，其特征在于，所述目标令牌通过以下方式生成，并添加到所述令牌资源池中：

6.如权利要求5所述的访问控制方法，其特征在于，在生成所述目标令牌之后，还包括：

7.如权利要求1所述的访问控制方法，其特征在于，所述目标令牌通过以下方式从所述令牌资源池中查找获得：

获取所述访问方的唯一标识和所述被访问方的唯一标识；

8.如权利要求1所述的访问控制方法，其特征在于，所述目标令牌通过以下方式从所述令牌资源池中查找获得：

9.如权利要求1至8中任一项所述的访问控制方法，其特征在于，所述对所述目标令牌进行合法性验证包括：

验证所述目标令牌的完整性；

和/或

获取所述目标令牌的时间戳；

根据所述时间戳验证所述目标令牌是否处于有效期内；

和/或

10.一种访问控制装置，其特征在于，包括：

11.一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至9任一项所述的访问控制方法。

12.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至9任一项所述的访问控制方法。