CN113542201A - 一种用于互联网业务的访问控制方法与设备 - Google Patents

一种用于互联网业务的访问控制方法与设备 Download PDF

Info

Publication number
CN113542201A
CN113542201A CN202010313796.1A CN202010313796A CN113542201A CN 113542201 A CN113542201 A CN 113542201A CN 202010313796 A CN202010313796 A CN 202010313796A CN 113542201 A CN113542201 A CN 113542201A
Authority
CN
China
Prior art keywords
access
user
service
identification information
internet service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010313796.1A
Other languages
English (en)
Other versions
CN113542201B (zh
Inventor
朱传江
王晓旭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Yundun Information Technology Co ltd
Original Assignee
Shanghai Yundun Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Yundun Information Technology Co ltd filed Critical Shanghai Yundun Information Technology Co ltd
Priority to CN202010313796.1A priority Critical patent/CN113542201B/zh
Publication of CN113542201A publication Critical patent/CN113542201A/zh
Application granted granted Critical
Publication of CN113542201B publication Critical patent/CN113542201B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key

Abstract

与现有技术相比,本申请通过一种用于互联网业务的访问控制方法,首先边缘服务器端接收互联网业务访问请求并重定向给身份认证平台端,接着身份认证平台端获取该请求对应的用户信息,确定验证结果,向边缘服务器端发送验证结果,当所述验证结果为通过身份验证,边缘服务器端获取到用户标识信息,接着边缘服务器端判断对应的用户是否对所述业务标识信息具有访问权限,当所述对应的用户具有访问权限,将所述互联网业务访问请求发送至业务系统服务器,并将所述业务系统服务器返回的访问结果发送至所述用户设备。通过该方法可有效做到外部访问的风险控制,可提升用户的使用体验。

Description

一种用于互联网业务的访问控制方法与设备
技术领域
本申请涉及互联网通信技术领域,尤其涉及一种用于互联网业务的访问控制的技术。
背景技术
随着企业数字化转型进程的深入,企业业务系统越来越多依赖互联网,不仅本企业员工需要通过各种方式从外部访问企业各个业务系统,包括企业合作伙伴、外包服务商或者客户等也存在外部访问需求。外部访问场所包括的各种公共场所,如机场、酒店、咖啡厅等,外部访问设备包括各种便携式设备,如笔记本电脑、智能手机、平板电脑等。
因此,企业业务系统的安全防护、外部访问的风险控制变得非常重要。
现有筑城墙式防火墙的安全防护,例如基于IP、VPN等方式实现的访问限制措施并不能有效实现对外部访问的风险控制。
发明内容
本申请的目的是提供一种用于互联网业务的访问控制方法与设备,用以解决现有技术中企业互联网不能有效实现外部访问的风险控制的技术问题。
根据本申请的一个方面,提供了一种在边缘服务器端用于互联网业务的访问控制方法,其中,所述方法包括:
获取互联网业务访问请求,其中,所述互联网业务访问请求中包括业务标识信息;
基于所述互联网业务访问请求获取该请求对应的用户信息验证结果;
当所述验证结果为通过身份验证,获取用户标识信息;
基于所述用户标识信息判断对应的用户是否对所述业务标识信息对应的业务具有访问权限;
当所述对应的用户具有访问权限,将所述互联网业务访问请求发送至业务系统服务器,并将所述业务系统服务器返回的访问结果发送至所述用户设备。
优选地,所述基于所述互联网业务访问请求获取该请求对应的用户信息验证结果包括:
将所述互联网业务访问请求重定向至身份认证平台,其中,所述身份认证平台可获取到该请求对应的用户信息;
接收所述身份认证平台基于所述用户信息确定的是否通过身份验证的验证结果。
优选地,所述当所述验证结果为通过身份验证,获取用户标识信息包括:
当所述验证结果为通过身份验证,接收所述身份认证平台发送的访问令牌;
基于所述访问令牌获取所述用户标识信息。
优选地,所述基于所述用户标识信息判断对应的用户是否对所述业务标识信息对应的业务具有访问权限包括:
基于所述用户标识信息确定该用户对应的访问级别和/或访问业务;
基于所述访问级别和/或访问业务,结合预设的访问控制规则判断对应的用户是否对所述业务标识信息对应的业务具有访问权限。
根据本申请的另一方面,提供了一种在身份认证平台端用于互联网业务的访问控制方法,其特征在于,所述方法包括:
接收边缘服务器发送的互联网业务访问请求,其中,所述互联网业务访问请求中包括业务标识信息;
基于所述互联网业务访问请求获取该请求对应的用户信息;
基于所述用户信息确定验证结果;
将所述验证结果发送至所述边缘服务器。
优选地,所述基于所述互联网业务访问请求获取该请求对应的用户信息包括:
基于所述互联网业务访问请求向用户设备发送信息获取页面;
接收所述用户设备基于所述信息获取页面提供的用户信息。
优选地,当所述验证结果为通过验证,所述方法还包括:
向所述边缘服务器发送访问令牌,以使所述边缘服务器基于所述访问令牌从所述身份认证平台获取对应的用户标识信息。
与现有技术相比,本申请通过一种用于互联网业务的访问控制方法,首先边缘服务器端接收互联网业务访问请求并重定向给身份认证平台端,接着身份认证平台端获取该请求对应的用户信息,确定验证结果,向边缘服务器端发送验证结果,当所述验证结果为通过身份验证,边缘服务器端获取到用户标识信息,接着边缘服务器端判断对应的用户是否对所述业务标识信息具有访问权限,当所述对应的用户具有访问权限,将所述互联网业务访问请求发送至业务系统服务器,并将所述业务系统服务器返回的访问结果发送至所述用户设备。通过该方法可有效做到外部访问的风险控制,可提升用户的使用体验。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1示出根据本申请一个方面的一种用于互联网业务的访问控制系统示意图;
图2示出根据本申请一个方面的一种在边缘服务器端用于互联网业务的访问控制方法流程图;
图3示出根据本申请一个方面一种在身份认证平台端用于互联网业务的访问控制的方法流程图;
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本发明作进一步详细描述。
在本申请一个典型的配置中,系统各模块和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
为更进一步阐述本申请所采取的技术手段及取得的效果,下面结合附图及优选实施例,对本申请的技术方案,进行清楚和完整的描述。
图1示出根据本申请一个方面的一种用于互联网业务的访问控制系统示意图,该系统包括了边缘服务器120、身份认证平台130和业务系统服务器140。用户设备110通过互联网连接边缘服务器120,边缘服务器120、身份认证平台130和业务系统服务器140通过互联网或者专用网络实现数据通信。
在实际应用场景中,所述用户设备110是各类支持互联网业务的用户终端,包括但不限于智能手机、个人计算机、笔记本电脑等。所述边缘服务器120、身份认证平台130和业务系统服务器140是各类服务器,所述服务器为计算机设备和/或云,所述计算机设备包括但不限于个人计算机、网络主机、单个网络服务器、多个网络服务器集;所述云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个虚拟超级计算机。
其中,为了提供更快的访问速度和更好的用户体验,在综合硬件成本控制基础上,所述边缘服务器120可多点部署,尽可能靠近用户访问点。
在此,所述用户设备和服务器仅为举例,其他现有的或者今后可能出现的设备如适用于本申请也应包含在本申请的保护范围内,在此,以引用的方式包含于此。
其中,身份认证平台130是一个统一管理和维护用户身份信息的平台,为用户访问提供身份信息认证,身份信息包括多种信息,如手机号、邮箱、设备指纹等均可作为身份信息。
身份认证平台130基于用户的访问请求向用户设备110提供单点登陆入口,可以配置为单点登录域名或者单点登录页面等样式,同时身份认证平台130也可集成可信第三方用户身份供应商,如Okta等,向可信第三方用户身份供应商的用户提供身份信息认证。
该系统可加强对用户通过互联网访问企业业务的风险控制,提升了用户访问的安全和体验。
图2示出本申请一个方面的一种在边缘服务器端用于互联网业务的访问控制方法流程图,其中,一个实施例的方法包括:
S21接收互联网业务访问请求,其中,所述互联网业务访问请求中包括业务标识信息;
S22基于所述互联网业务访问请求获取该请求对应的用户信息验证结果;
S23当所述验证结果为通过身份验证,获取用户标识信息;
S24基于所述用户标识信息判断对应的用户是否对所述业务标识信息对应的业务具有访问权限;
S25当所述对应的用户具有访问权限,将所述互联网业务访问请求发送至业务系统服务器,并将所述业务系统服务器返回的访问结果发送至所述用户设备。
在该实施例中,在所述步骤S21中,所述接收互联网业务访问请求可以是接收用户设备110发出的互联网业务访问请求,当用户设备110尝试通过互联网访问企业业务时,在最接近用户设备互联网接入点的边缘服务器120接收用户设备110发送的互联网业务访问请求,用户设备110接入互联网的方式可以是通过有线局域网、WIFI或者移动数据网络等,在此,对用户设备接入互联网的方式不做限定,如适用于本申请也应包含在本申请的保护范围内。
所述互联网业务访问请求还可以是其它边缘服务器转发的用户设备发送的互联网业务访问请求,其它设备发送的互联网业务访问请求如适用于本申请也应包含在本申请的保护范围内。
其中,所述互联网业务访问请求中包括业务标识信息。
在该实施例中,在所述步骤S22中,所述基于所述互联网业务访问请求获取该请求对应的用户信息验证结果。
优选地,所述步骤S22包括:
将所述互联网业务访问请求重定向至身份认证平台,其中,所述身份认证平台可获取到该请求对应的用户信息;
接收所述身份认证平台基于所述用户信息确定的是否通过身份验证的验证结果。
具体地,边缘服务器120将所述互联网业务访问请求重定向到身份认证平台130,身份认证平台130获取用户设备110信息后向用户设备110发出反馈,在用户设备端显示登陆页面,用户输入用户信息,身份认证平台130对用户信息进行身份验证。若用户提交的信息通过身份认证平台130的身份认证,向边缘服务器110发送验证结果,边缘服务器110接收身份认证平台130发送的验证结果。
其中,所述登录页面是一个预先设计的统一访问登录页面,在预先设计中可以设定是否允许用户自定义页面版式,如标题、颜色、logo等。在所述登录页面输入用户信息,经身份认证平台验证用户信息,验证通过后才可以继续后续访问。
其中,所述用户信息包括用户登录账号以及口令,其中,所述口令支持一次性验证码或者第三方身份系统认证口令,可根据预先设置通过手机、邮箱或者动态口令生成器等获取到,具体口令生成及获取方式在本申请中不做限定,任何可相应的口令生成及获取方式如适用于本申请,都应包含在本申请的保护范围内。
继续在该实施例中,在所述步骤S23中,所述当所述验证结果为通过身份验证,获取用户标识信息。
优选地,所述步骤S23包括:
当所述验证结果为通过身份验证,接收所述身份认证平台发送的访问令牌;
基于所述访问令牌获取所述用户标识信息。
其中,当用户提交的用户信息经身份认证平台130验证结果为通过,身份认证平台130会生成一个令牌Token,其中,所述令牌Token包含用户标识信息;身份认证平台130调用回调地址,向边缘服务器110发送包括所述令牌Token的验证结果。
然后边缘服务器110获取包括所述令牌Token的验证结果后,基于所述访问令牌获取用户标识信息。
继续在该实施例中,在所述步骤S24中,所述基于所述用户标识信息判断对应的用户是否对所述业务标识信息对应的业务具有访问权限。
优选地,所述步骤S24包括:
基于所述用户标识信息确定该用户对应的访问级别和/或访问业务;
基于所述访问级别和/或访问业务,结合预设的访问控制规则判断对应的用户是否对所述业务标识信息对应的业务具有访问权限。
其中,根据获取的所述用户标识信息,从可信访问模块中确定该用户对应的访问级别和/或访问业务;基于该用户对应的访问级别和/或访问业务,对照检查预设的访问控制规则,判断该用户是否对所述业务标识信息对应的业务具有访问权限。
其中,所述可信访问模块用来对用户进行访问授权和管控的模块,预设用户的访问控制规则,可基于不同层级的访问控制规则设置,支持配置允许或拒绝访问等,实现对用户进行按需授权,如可以限制网站访问,也可以针对网站仅允许访问具体的网页、某项业务系统(如可信用户访问企业请假系统)、或者业务系统的某些模块。
当获取的用户标识信息不符合访问控制规则的允许访问(或符合访问控制规则的拒绝访问),则用户的后续访问会被阻断。
继续在该实施例中,在所述步骤S25中,所述当所述对应的用户具有访问权限,将所述互联网业务访问请求发送至业务系统服务器,并将所述业务系统服务器返回的访问结果发送至所述用户设备,实现可信用户对相关业务的访问。
实现该实施例为企业提供了一种用于互联网业务防火墙中的一项访问控制方法,可解决现有技术中现有技术中企业互联网不能有效做到外部访问的风险控制的技术问题,例如,现有防火墙基于IP确认身份信息的访问控制,用户设备的IP可以被伪造,若伪造IP处于IP白名单,则无法有效做到风险控制。另外,可解决基于IP黑白名单的访问控制所带来的难维护等问题,少量IP维护起来尚可,但当黑白名单中的IP达到一定数量后则很难维护。
本申请提供的访问控制,无需对实现所述方法的系统做复杂配置,仅需录入可信用户身份信息、配置并维护访问权限、访问控制规则等。所述系统会详细记录用户的访问请求信息,包括请求头、请求体,可对用户访问行为进行统计,支持访问日志下载。
图3示出根据本申请一个方面的一种在身份认证平台端用于互联网业务的访问控制的方法流程图,其中,一个实施例的方法包括:
S31接收边缘服务器发送的互联网业务访问请求,其中,所述互联网业务访问请求中包括业务标识信息;
S32基于所述互联网业务访问请求获取该请求对应的用户信息;
S33基于所述用户信息确定验证结果;
S34将所述验证结果发送至所述边缘服务器。
在该实施例中,在所述步骤S31中,所述接收边缘服务器发送的互联网业务访问请求,边缘服务器120将用户设备110发送的互联网业务访问请求获取后经重定向到身份认证平台130。
在该实施例中,在所述步骤S32中,基于所述互联网业务访问请求获取该请求对应的用户信息。
优选地,所述步骤S32包括:
基于所述互联网业务访问请求向用户设备发送信息获取页面;
接收所述用户设备基于所述信息获取页面提供的用户信息。
其中,身份认证平台130收到重定向的互联网业务访问请求,从中获取用户设备110信息,向用户设备110发送用户信息获取页面,在用户设备端显示登陆页面,用户输入用户信息,从而身份认证平台130获取到用户信息。
其中,所述登录页面是一个预先设计的统一访问登录页面,在预先设计中可以设定是否允许用户自定义页面版式,如标题、颜色、logo等。
其中,所述用户信息包括用户登录账号以及口令,其中,所述口令支持一次性验证码或者第三方身份系统认证口令,可根据预先设置通过手机、邮箱或者动态口令生成器等获取到,具体口令生成及获取方式在本申请中不做限定,任何可相应的口令生成及获取方式如适用于本申请,都应包含在本申请的保护范围内。
继续在该实施例中,在所述步骤S33中,基于所述用户信息确定验证结果,经身份认证平台验证所述用户信息,验证结果若通过,才可以继续后续访问。
继续在该实施例中,在所述步骤S34中,所述将所述验证结果发送至所述边缘服务器,向边缘服务器反馈是否是可信用户。
优选地,当所述验证结果为通过验证,所述方法还包括:
向所述边缘服务器发送访问令牌,以使所述边缘服务器基于所述访问令牌从所述身份认证平台获取对应的用户标识信息。
其中,当用户提交的用户信息经身份认证平台130验证结果为通过,身份认证平台130会生成一个令牌Token,其中,所述令牌Token包含用户标识信息;身份认证平台130调用回调地址,向边缘服务器110发送包括所述令牌Token的验证结果。
然后边缘服务器110获取包括所述令牌Token的验证结果后,基于所述访问令牌获取用户标识信息。
根据本申请的另一方面,还提供了一种计算机可读介质,其中,所述计算机可读介质存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现前述方法。
根据本申请的又一方面,还提供了一种用于互联网业务的访问控制的边缘服务器设备,其中,该设备包括:
一个或多个处理器;以及
存储有计算机可读指令的存储器,所述计算机可读指令在被执行时使所述处理器执行如前述方法的操作。
例如,计算机可读指令在被执行时使所述一个或多个处理器:
获取用户设备发送的互联网业务访问请求,基于所述互联网业务访问请求获取该请求对应的用户信息验证结果,当所述验证结果为通过身份验证,获取用户标识信息,基于所述用户标识信息判断对应的用户是否对所述业务标识信息具有访问权限,当所述对应的用户具有访问权限,将所述互联网业务访问请求发送至业务系统服务器,并将所述业务系统服务器返回的访问结果发送至所述用户设备。
根据本申请的再一方面,还提供了一种用于互联网业务的访问控制的身份认证平台设备,其中,该设备包括:
一个或多个处理器;以及
存储有计算机可读指令的存储器,所述计算机可读指令在被执行时使所述处理器执行如前述方法的操作。
例如,计算机可读指令在被执行时使所述一个或多个处理器:
获取边缘服务器发送的互联网业务访问请求,基于所述互联网业务访问请求获取该请求对应的用户信息,基于所述用户信息确定验证结果,将所述验证结果发送至所述边缘服务器。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。

Claims (10)

1.一种在边缘服务器端用于互联网业务的访问控制方法,其特征在于,所述方法包括:
接收互联网业务访问请求,其中,所述互联网业务访问请求中包括业务标识信息;
基于所述互联网业务访问请求获取该请求对应的用户信息验证结果;
当所述验证结果为通过身份验证,获取用户标识信息;
基于所述用户标识信息判断对应的用户是否对所述业务标识信息对应的业务具有访问权限;
当所述对应的用户具有访问权限,将所述互联网业务访问请求发送至业务系统服务器,并将所述业务系统服务器返回的访问结果发送至所述用户设备。
2.根据权利要求1所述的方法,其特征在于,所述基于所述互联网业务访问请求获取该请求对应的用户信息验证结果包括:
将所述互联网业务访问请求重定向至身份认证平台,其中,所述身份认证平台可获取到该请求对应的用户信息;
接收所述身份认证平台基于所述用户信息确定的是否通过身份验证的验证结果。
3.根据权利要求1所述的方法,其特征在于,所述当所述验证结果为通过身份验证,获取用户标识信息包括:
当所述验证结果为通过身份验证,接收所述身份认证平台发送的访问令牌;
基于所述访问令牌获取所述用户标识信息。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述基于所述用户标识信息判断对应的用户是否对所述业务标识信息对应的业务具有访问权限包括:
基于所述用户标识信息确定该用户对应的访问级别和/或访问业务;
基于所述访问级别和/或访问业务,结合预设的访问控制规则判断对应的用户是否对所述业务标识信息对应的业务具有访问权限。
5.一种在身份认证平台端用于互联网业务的访问控制方法,其特征在于,所述方法包括:
接收边缘服务器发送的互联网业务访问请求,其中,所述互联网业务访问请求中包括业务标识信息;
基于所述互联网业务访问请求获取该请求对应的用户信息;
基于所述用户信息确定验证结果;
将所述验证结果发送至所述边缘服务器。
6.根据权利要求5所述的方法,其特征在于,所述基于所述互联网业务访问请求获取该请求对应的用户信息包括:
基于所述互联网业务访问请求向用户设备发送信息获取页面;
接收所述用户设备基于所述信息获取页面提供的用户信息。
7.根据权利要求5或6所述的方法,其特征在于,当所述验证结果为通过验证,所述方法还包括:
向所述边缘服务器发送访问令牌,以使所述边缘服务器基于所述访问令牌从所述身份认证平台获取对应的用户标识信息。
8.一种计算机可读介质,其特征在于,
其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现如权利要求1至7中任一项所述的方法。
9.一种用于互联网业务的访问控制的边缘服务器设备,其特征在于,该设备包括:
一个或多个处理器;以及
存储有计算机可读指令的存储器,所述计算机可读指令在被执行时使所述处理器执行如权利要求1至4中任一项所述方法的操作。
10.一种用于互联网业务的访问控制的身份认证平台设备,其特征在于,该设备包括:
一个或多个处理器;以及
存储有计算机可读指令的存储器,所述计算机可读指令在被执行时使所述处理器执行如权利要求5至7中任一项所述方法的操作。
CN202010313796.1A 2020-04-20 2020-04-20 一种用于互联网业务的访问控制方法与设备 Active CN113542201B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010313796.1A CN113542201B (zh) 2020-04-20 2020-04-20 一种用于互联网业务的访问控制方法与设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010313796.1A CN113542201B (zh) 2020-04-20 2020-04-20 一种用于互联网业务的访问控制方法与设备

Publications (2)

Publication Number Publication Date
CN113542201A true CN113542201A (zh) 2021-10-22
CN113542201B CN113542201B (zh) 2023-04-21

Family

ID=78123679

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010313796.1A Active CN113542201B (zh) 2020-04-20 2020-04-20 一种用于互联网业务的访问控制方法与设备

Country Status (1)

Country Link
CN (1) CN113542201B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113965411A (zh) * 2021-11-22 2022-01-21 北京计算机技术及应用研究所 基于身份认证和数据包过滤技术的网络资源访问控制方法
CN115277207A (zh) * 2022-07-28 2022-11-01 联想(北京)有限公司 访问控制方法及电子设备
CN115665744A (zh) * 2022-11-21 2023-01-31 成都卫士通信息产业股份有限公司 车联网交互方法、装置、设备及介质
CN115734201A (zh) * 2022-11-18 2023-03-03 中国联合网络通信集团有限公司 用户业务数据的获取方法、装置、电子设备及存储介质
WO2023193572A1 (zh) * 2022-04-06 2023-10-12 北京有竹居网络技术有限公司 一种数据管理方法、装置、服务器和存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101588241A (zh) * 2008-05-20 2009-11-25 中兴通讯股份有限公司 一种Web网络单点登录系统及方法
CN105207780A (zh) * 2015-08-26 2015-12-30 中国联合网络通信集团有限公司 一种认证用户方法及装置
CN107425983A (zh) * 2017-08-08 2017-12-01 北京明朝万达科技股份有限公司 一种基于web服务的统一身份认证方法及系统平台
CN107493280A (zh) * 2017-08-15 2017-12-19 中国联合网络通信集团有限公司 用户认证的方法、智能网关及认证服务器
CN109815656A (zh) * 2018-12-11 2019-05-28 平安科技(深圳)有限公司 登录认证方法、装置、设备及计算机可读存储介质
CN109842611A (zh) * 2018-12-14 2019-06-04 平安科技(深圳)有限公司 身份验证方法、装置、计算机设备和存储介质
CN110287682A (zh) * 2019-07-01 2019-09-27 北京芯盾时代科技有限公司 一种登录方法、装置及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101588241A (zh) * 2008-05-20 2009-11-25 中兴通讯股份有限公司 一种Web网络单点登录系统及方法
CN105207780A (zh) * 2015-08-26 2015-12-30 中国联合网络通信集团有限公司 一种认证用户方法及装置
CN107425983A (zh) * 2017-08-08 2017-12-01 北京明朝万达科技股份有限公司 一种基于web服务的统一身份认证方法及系统平台
CN107493280A (zh) * 2017-08-15 2017-12-19 中国联合网络通信集团有限公司 用户认证的方法、智能网关及认证服务器
CN109815656A (zh) * 2018-12-11 2019-05-28 平安科技(深圳)有限公司 登录认证方法、装置、设备及计算机可读存储介质
CN109842611A (zh) * 2018-12-14 2019-06-04 平安科技(深圳)有限公司 身份验证方法、装置、计算机设备和存储介质
CN110287682A (zh) * 2019-07-01 2019-09-27 北京芯盾时代科技有限公司 一种登录方法、装置及系统

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113965411A (zh) * 2021-11-22 2022-01-21 北京计算机技术及应用研究所 基于身份认证和数据包过滤技术的网络资源访问控制方法
WO2023193572A1 (zh) * 2022-04-06 2023-10-12 北京有竹居网络技术有限公司 一种数据管理方法、装置、服务器和存储介质
CN115277207A (zh) * 2022-07-28 2022-11-01 联想(北京)有限公司 访问控制方法及电子设备
CN115734201A (zh) * 2022-11-18 2023-03-03 中国联合网络通信集团有限公司 用户业务数据的获取方法、装置、电子设备及存储介质
CN115665744A (zh) * 2022-11-21 2023-01-31 成都卫士通信息产业股份有限公司 车联网交互方法、装置、设备及介质
CN115665744B (zh) * 2022-11-21 2023-05-23 成都卫士通信息产业股份有限公司 车联网交互方法、装置、设备及介质

Also Published As

Publication number Publication date
CN113542201B (zh) 2023-04-21

Similar Documents

Publication Publication Date Title
US20200304485A1 (en) Controlling Access to Resources on a Network
US10693885B2 (en) Social networking behavior-based identity system
US10057251B2 (en) Provisioning account credentials via a trusted channel
CN113542201B (zh) 一种用于互联网业务的访问控制方法与设备
US9225704B1 (en) Unified management of third-party accounts
US9769266B2 (en) Controlling access to resources on a network
US20190050551A1 (en) Systems and methods for authenticating users
US9137228B1 (en) Augmenting service provider and third party authentication
CN108337677B (zh) 网络鉴权方法及装置
US8762724B2 (en) Website authentication
EP3203709B1 (en) Cloud service server and method for managing cloud service server
US8863265B2 (en) Remote sign-out of web based service sessions
US20130139238A1 (en) Method and System For Authenticating User Access To A Restricted Resource Across A Computer Network
AU2014388268A1 (en) System and method for biometric protocol standards
US8590017B2 (en) Partial authentication for access to incremental data
US8856957B1 (en) Federated identity broker
US10757092B2 (en) Controlling access to personal data
US9602540B1 (en) Enforcing restrictions on third-party accounts
CN108965250B (zh) 一种数字证书安装方法及系统
US10387872B2 (en) Browser-based payment for content
CN116484338A (zh) 数据库访问方法及装置
US10803164B2 (en) Validating sign-out implementation for identity federation
US11700280B2 (en) Multi-tenant authentication framework
CN110278178B (zh) 一种登录方法、设备及可读存储介质
US11627134B1 (en) Cancellation and reversion of unauthorized operations

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40062689

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant