CN114629719A - 资源访问控制方法和资源访问控制系统 - Google Patents

Abstract

本申请公开了一种资源访问控制方法和资源访问控制系统。其中，该方法包括接收客户端发送的资源访问请求；所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息；在所述终端设备的特征信息和所述用户的特征信息均认证通过的情况下，接收权限认证系统发送的所述用户的最新权限信息；根据所述最新权限信息，生成令牌；将所述令牌传输至所述客户端和网关，以使所述网关根据所述令牌开启所述最新权限信息对应的防火墙端口，以使所述客户端根据所述令牌访问所述网关，以通过所述防火墙端口获取到所述最新权限信息对应的资源。根据本申请实施例的资源访问控制方法，能够提高企业内网资源的安全性。

Description

资源访问控制方法和资源访问控制系统

技术领域

本申请属于网络信息安全领域，尤其涉及一种资源访问控制方法和资源访问控制系统。

背景技术

伴随企业数字智能化转型和云化进程的不断深入，业务上云需求持续增多，网络环境日趋复杂。

传统网络环境将企业内部网络定义为“可信区域”，这个区域内部的所有计算资源可以互相通信。于是，一旦有外部黑客攻入内网，或是企业内部人员想要恶意破坏，就可以在“可信区域”内对企业计算资源进行大肆攻击和破坏。传统防火墙机制在面对上述潜在危险时显得无力应对。导致网络环境中用户、设备、应用以及计算机资源之间的连接被暴露在高风险环境中，企业内网资源的安全性较低。

发明内容

本申请实施例提供了一种资源访问控制方法和资源访问控制系统，能够提高企业内网资源的安全性。

第一方面，本申请实施例提供了一种资源访问控制方法，应用于安全控制平台，该方法包括：

接收客户端发送的资源访问请求；所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息；

在所述终端设备的特征信息和所述用户的特征信息均认证通过的情况下，接收权限认证系统发送的所述用户的最新权限信息；

根据所述最新权限信息，生成令牌；

将所述令牌传输至所述客户端和网关，以使所述网关根据所述令牌开启所述最新权限信息对应的防火墙端口，以使所述客户端根据所述令牌访问所述网关，以通过所述防火墙端口获取所述最新权限信息对应的资源。

第二方面，本申请实施例提供了一种资源访问控制方法，应用于客户端，该方法包括：

发送资源访问请求至安全控制平台，以使所述安全控制平台在终端设备的特征信息和用户的特征信息均认证通过的情况下，接收权限认证系统发送的所述用户的最新权限信息，并根据所述最新权限信息，生成令牌，再将所述令牌传输至所述客户端和网关；所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息；

接收所述安全控制平台传输的所述令牌；

根据所述令牌访问所述网关，以通过所述防火墙端口获取所述最新权限信息对应的资源。

第三方面，本申请实施例提供了一种资源访问控制系统，该系统包括：安全控制平台和客户端；

所述安全控制平台用于执行上述第一方面中任一种可能的实现方法中的方法；

所述客户端用于执行上述第二方面中任一种可能的实现方法中的方法。

第四方面，本申请实施例提供了一种资源访问控制装置，应用于安全控制平台，该装置包括：

第一接收模块，用于接收客户端发送的资源访问请求；所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息；

第一获取模块，用于在所述终端设备的特征信息和所述用户的特征信息均认证通过的情况下，通过权限认证装置获取所述用户的最新权限信息；

生成模块，用于在获取所述用户的最新权限信息之后，根据所述最新权限信息，生成令牌；

传输模块，用于将所述令牌传输至所述客户端和网关，以使所述网关根据所述令牌开启所述最新权限信息对应的防火墙端口，以使所述客户端根据所述令牌访问所述网关，以通过所述防火墙端口获取所述最新权限信息对应的资源。

第五方面，本申请实施例提供了一种资源访问控制装置，应用于客户端，该装置包括：

第一发送模块，用于发送资源访问请求至安全控制平台，以使所述安全控制平台在终端设备的特征信息和用户的特征信息均认证通过的情况下，接收权限认证系统发送的所述用户的最新权限信息，并根据所述最新权限信息，生成令牌，再将所述令牌传输至所述客户端和网关；所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息；

第二接收模块，用于在发送资源访问请求至安全控制平台之后，接收所述安全控制平台传输的所述令牌；

访问模块，用于在接收所述安全控制平台传输的所述令牌之后，根据所述令牌访问所述网关，以通过所述防火墙端口获取所述最新权限信息对应的资源。

第六方面，本申请实施例提供了一种电子设备，该设备包括：处理器以及存储有计算机程序指令的存储器；

所述处理器执行所述计算机程序指令时实现上述第一方面和/或第二方面中任一种可能的实现方法中的方法。

第七方面，本申请实施例提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序指令，计算机程序指令被处理器执行时实现上述第一方面和/或第二方面中任一种可能的实现方法中的方法。

第八方面，本申请实施例提供了一种计算机程序产品，该计算机程序产品中的指令由电子设备的处理器执行时，使得电子设备执行如上述第一方面和/或第二方面中任一种可能的实现方法中的方法。

本申请实施例的资源访问控制方法，通过获取用户的最新权限信息，能够确定用户可以访问的资源。在确定用户可以访问的资源之后，生成令牌，并发送至网关和客户端。一方面，通知网关根据令牌中的信息，为发送资源访问请求的客户端开启最新权限信息对应的防火墙端口；另一方面，通知客户端根据令牌中的信息访问对应的网关。进而，能够使客户端通过防火墙端口获取与最新权限信息对应的资源。如此，通过根据用户的最新权限信息，开放与最新权限信息对应的资源，使得用户无权访问企业内网中的其他资源，只能访问与最新权限信息相对应的资源。从而，能够提高企业内网资源的安全性。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单的介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的一种资源访问控制方法的流程示意图；

图2是本申请实施例提供的一种应用于安全控制平台的资源访问控制方法的流程示意图；

图3是本申请实施例提供的一种客户端访问对应资源的示意图；

图4是本申请实施例提供的一种应用于客户端的资源访问控制方法的流程示意图；

图5是本申请实施例提供的一种用户设备注册过程的流程示意图；

图6是本申请实施例提供的一种资源访问请求过程的流程示意图；

图7是本申请实施例提供的一种资源访问控制系统的结构示意图；

图8是本申请实施例提供的一种零信任部署方式的示意图；

图9是本申请实施例提供的一种应用于安全控制平台的资源访问控制装置的结构示意图；

图10是本申请实施例提供的一种应用于客户端的资源访问控制装置的结构示意图；

图11是本申请实施例提供的一种电子设备的结构示意图。

具体实施方式

下面将详细描述本申请的各个方面的特征和示例性实施例，为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及具体实施例，对本申请进行进一步详细描述。应理解，此处所描述的具体实施例仅意在解释本申请，而不是限定本申请。对于本领域技术人员来说，本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请更好的理解。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

如背景技术部分所述，传统网络环境将企业内部网络定义为“可信区域”，这个区域内部的所有计算资源可以互相通信。于是，一旦有外部黑客攻入内网，或是企业内部人员想要恶意破坏，就可以在“可信区域”内对企业计算资源进行大肆攻击和破坏。

在这种背景下，零信任被提出来，提倡以身份为边界作为权限管控的基础。进一步讲，就是零信任认为企业不应该自动信任内部或外部的任何人/事/物，应在授权前通过动态和持续的身份认证和评估机制，对网络环境中的访问主体人和设备的危险等级进行科学准确判定，采用最小特权访问策略，严格执行访问控制，提升所有网络实体连接之间的可信关系，增加企业安全保障。

现有技术通过根据访问的终端设备的当前网络环境信息，按照预设的环境风险评估，确定所述终端设备的可信等级。并根据授权等级进行访问授权，保障用户身份和服务安全。但是，现有技术仅限于前端用户的身份权限的多因子认证，仍不具备访问控制能力。解决不了在访问过程中，因用户的违规访问行为导致的企业内网资源的安全性较低的问题。

为了解决现有技术问题，本申请实施例提供了一种资源访问控制方法和资源访问控制系统。

下面首先对本申请实施例所提供的资源访问控制方法进行介绍。图1示出了本申请实施例提供的一种资源访问控制方法的流程示意图。如图1所示，本申请实施例提供的资源访问控制方法包括以下步骤：

S110、客户端发送资源访问请求至安全控制平台；资源访问请求中包括客户端所处的终端设备的特征信息和用户的特征信息；

S120、在终端设备的特征信息和用户的特征信息均认证通过的情况下，安全控制平台接收权限认证系统发送的用户的最新权限信息；

S130、安全控制平台根据最新权限信息，生成令牌；

S140、安全控制平台将令牌传输至客户端和网关，以使网关根据令牌开启最新权限信息对应的防火墙端口；

S150、客户端根据令牌访问网关，以通过防火墙端口获取最新权限信息对应的资源。

由此，安全控制平台通过根据客户端发送的资源访问请求，获取用户的最新权限信息，能够确定用户可以访问的资源。在确定用户可以访问的资源之后，生成令牌，并发送至网关和客户端。一方面，通知网关根据令牌中的信息，为发送资源访问请求的客户端开启最新权限信息对应的防火墙端口；另一方面，通知客户端根据令牌中的信息访问对应的网关。进而，能够使客户端通过防火墙端口获取与最新权限信息对应的资源。如此，通过根据用户的最新权限信息，开放与最新权限信息对应的资源，使得用户无权访问企业内网中的其他资源，只能访问与最新权限信息相对应的资源。从而，能够提高企业内网资源的安全性。

下面介绍上述各个步骤的具体实现方式。

在一些实施例中，在S110中，客户端所处的终端设备的特征信息可以包括终端设备的设备信息和终端设备所处的网络环境的信息。其中，设备信息包括但不限于操作系统信息、软件版本信息、参数配置信息、设备指纹信息和安全补丁信息等。

另外，用户的特征信息可以包括用户的账号密码信息、用户的权限信息和用户的身份特征信息等。其中，由于用户能够访问的资源可以由用户的权限确定。所以，用户的权限信息可以包括用户想要访问的资源信息。再者，用户的身份特征信息可以包括用户收到的认证口令信息和用户的生物特征信息。其中，用户的生物特征信息可以为用户的指纹信息、人脸信息等；用户的认证口令信息可以为短信验证码信息。

在一些实施例中，在S120中，在安全控制平台接收由客户端发送的资源访问请求之前，可以首先接收由客户端发送的注册请求。在注册请求过程中，可以接收权限认证系统发送的用户的权限信息。其中，权限信息可以由权限认证系统评估得到。由于权限认证系统可以实时获取用户的访问行为信息，对访问行为信息进行分析，并根据分析结果确定用户的最新权限信息。因此，安全控制平台可以接收权限认证系统发送的用户的最新权限信息。

在一些实施例中，在S130中，令牌可以包括客户端所处的终端设备的特征信息、用户的特征信息、用户的最新权限信息、网关地址信息、通信密钥中的至少一种。

在一些实施例中，在S140中，安全控制平台一方面可以将令牌传输至客户端，另一方面，可以将令牌传输至网关。

一方面，客户端可以利用令牌中的终端设备的特征信息、用户的特征信息和通信密钥，与令牌中的网关地址信息对应网关进行连接。具体地，终端设备的特征信息可以包括设备指纹信息。客户端可以利用令牌中的通信密钥和设备指纹信息，与令牌中的网关地址信息对应网关进行连接。其中，通信密钥可以是经过加密处理之后的通信密钥。

另一方面，网关可以根据终端设备的特征信息、用户的特征信息和通信密钥对用户的身份进行检测。换句话说，网关可以将从安全控制平台中接收的上述信息与从客户端接收的上述信息进行匹配。匹配成功即可以为检测通过。在检测通过后，网关可以根据令牌中的最新权限信息打开对应的防火墙端口。需要说明的是，在网关对令牌进行验证之后，该令牌即失效。其中，每个防火墙端口可以对应唯一的资源。

在一些实施例中，在S150中，在网关根据令牌中的最新权限信息为客户端打开对应的防火墙端口之后，客户端可以通过该防火墙端口获取最新权限信息对应的资源。换句话说，如果网关没有为该用户打开防火墙端口，则对于该用户来说，所有的防火墙端口都是关闭的，即该用户不能访问任何资源。另外，资源可以经加密通道，转发至客户端。

基于此，下面对本申请实施例所提供的应用于安全控制平台的资源访问控制方法进行介绍。

图2示出了本申请实施例提供的一种应用于安全控制平台的资源访问控制方法的流程示意图。如图2所示，本申请实施例提供的应用于安全控制平台的资源访问控制方法包括以下步骤：

S210、接收客户端发送的资源访问请求；资源访问请求中包括客户端所处的终端设备的特征信息和用户的特征信息；

S220、在终端设备的特征信息和用户的特征信息均认证通过的情况下，接收权限认证系统发送的用户的最新权限信息；

S230、根据最新权限信息，生成令牌；

S240、将令牌传输至客户端和网关，以使网关根据令牌开启最新权限信息对应的防火墙端口，以使客户端根据令牌访问网关，以通过防火墙端口获取最新权限信息对应的资源。

由此，通过获取用户的最新权限信息，能够确定用户可以访问的资源。在确定用户可以访问的资源之后，生成令牌，并发送至网关和客户端。一方面，通知网关根据令牌中的信息，为发送资源访问请求的客户端开启最新权限信息对应的防火墙端口；另一方面，通知客户端根据令牌中的信息访问对应的网关。进而，能够使客户端通过防火墙端口获取与最新权限信息对应的资源。如此，通过根据用户的最新权限信息，开放与最新权限信息对应的资源，使得用户无权访问企业内网中的其他资源，只能访问与最新权限信息相对应的资源。从而，能够提高企业内网资源的安全性。

下面介绍上述各个步骤的具体实现方式。

在一些实施例中，在S210中，安全控制平台可以接收由客户端发送的资源访问请求，以根据资源访问请求判断是否允许该客户端对资源进行访问。

在一些实施例中，在S220之前，还可以包括：

对终端设备的特征信息进行认证；

在终端设备的特征信息认证通过的情况下，对用户的身份特征信息进行认证。

这里，对终端设备的特征信息进行认证可以为对客户端所提供的终端设备的设备信息和终端设备所处的网络环境的信息进行综合评估，以判断资源访问请求是否存在风险。其中，对终端设备的设备信息进行综合评估可以包括对终端设备的操作系统信息、软件版本信息、参数配置信息、设备指纹信息和安全补丁信息等进行综合评估。另外，对终端设备所处的网络环境的信息进行综合评估可以包括对威胁情报库和第三方病毒特征库进行综合评估。

当评估终端设备的特征信息存在风险时，则可以禁止客户端的资源访问请求。另一方面，当评估终端设备的特征信息不存在风险时，则可以对用户的身份特征信息进行认证。同样地，当用户的身份特征信息认证不通过时，即可以禁止客户端的资源访问请求。

这样，通过对终端设备的特征信息和用户的身份特征信息进行双重认证，能够在客户端发送的资源访问请求存在风险时，立即禁止该客户端的资源访问请求，从而能够提高企业内网资源的安全性。

在一些实施例中，在终端设备的特征信息认证通过的情况下，对用户的身份特征信息进行认证，具体可以包括：

在终端设备的特征信息认证通过的情况下，接收权限认证系统发送的认证口令；

将认证口令发送至客户端，以使用户在客户端填写认证口令；

获取用户在客户端填写的认证口令；

根据用户填写的认证口令与从权限认证系统中获取的认证口令，对用户的身份特征信息进行认证。

这里，认证口令可以为短信口令。上述具体过程可以为安全控制平台使用用户名向权限认证系统请求短信口令。在短信口令请求成功之后，可以由权限认证系统下发短信口令，并可以由安全控制平台将该短信口令发送至客户端，以使用户在客户端填写短信口令。在安全控制中心接收到用户在客户端填写的短信口令之后，可以将用户填写的短信口令和从权限认证系统中获取的短信口令进行匹配。如果匹配成功，则用户的身份特征信息的认证结果可以为认证通过。当用户的身份特征信息认证通过时，即可以接收权限认证系统发送的用户的最新权限信息。

这样，通过根据用户填写的认证口令与从权限认证系统中获取的认证口令，对用户的身份特征信息进行认证，能够在认证通过时，接收权限认证系统发送的用户的最新权限信息，在认证不通过时，禁止该客户端的资源访问请求，进而提高企业内网资源的安全性。

在一些实施例中，在S230中，令牌可以包括客户端所处的终端设备的特征信息、用户的特征信息、用户的最新权限信息、网关地址信息、通信密钥中的至少一种。

在一些实施例中，在S240中，客户端访问对应资源的示意图可以如图3所示。其中，A用户未登录客户端，所以安全控制平台未下发网关信息，即客户端无法感知网关，也就无法访问任何资源。另一方面，在B用户和C用户已经成功登录客户端的情况下，安全控制平台根据B用户和C用户的最新权限信息向B用户和C用户下发权限。并且，由B用户和C用户的最新权限信息可知，B用户只能访问A资源，C用户只能访问C资源。另外，安全控制平台向网关下发B用户和C用户信息，以使防火墙对B用户和C用户开放。从而，B用户即可以通过防火墙端口访问A资源，C用户即可以通过防火墙端口访问C资源。

作为一种示例，在安全控制台向网关和客户端发送令牌之前，可以打开所有队列监听，以从数据库中获取相关数据。在数据加载完成后，即可以开始启动网关服务端口和客户端服务端口，进而将令牌发送至网关和客户端。

另外，网关可以对访问的应用、主机资产进行安全保护，实现应用，主机资产的统一代理、访问认证、数据加密、安全防护、应用审计等能力。网关还可以持续对用户的访问行为进行控制，例如：

客户端组件使用最小安全原则，即除非明确允许，否则就禁止；

实现基于源IP地址、目的IP地址和端口的访问控制；

支持实现出站和入站的双向访问控制；

支持接收并执行控制中心组件下发的动态访问控制策略；

支持记录违反策略规则的阻断日志，并上传至控制中心组件。

支持组件对网络流量进行访问控制；

支持组件进行容器之间的访问控制；

支持通过建立服务之间的加密隧道来实现访问控制。

其次，对本申请实施例所提供的应用于客户端的资源访问控制方法进行介绍。

图4出了本申请实施例提供的一种应用于客户端的资源访问控制方法的流程示意图。如图4所示，本申请实施例提供的应用于客户端的资源访问控制方法包括以下步骤：

S410、发送资源访问请求至安全控制平台，以使安全控制平台在终端设备的特征信息和用户的特征信息均认证通过的情况下，接收权限认证系统发送的用户的最新权限信息，并根据最新权限信息，生成令牌，再将令牌传输至客户端和网关；资源访问请求中包括客户端所处的终端设备的特征信息和用户的特征信息；

S420、接收安全控制平台传输的令牌；

S430、根据令牌访问网关，以通过防火墙端口获取最新权限信息对应的资源。

由此，通过在安全控制平台对资源访问请求验证通过的情况下，接收由安全控制平台传输的令牌，并根据该令牌的信息访问与最新权限信息对应的资源，能够使客户端只能访问与自身权限相对应的资源，无法访问内网中的其他资源，从而提高企业内网资源的安全性。

在一些实施例中，在S410中，发送资源访问请求至安全控制平台之前，还可以包括：

响应于用户在客户端上的资源访问请求，对客户端所处的终端设备的特征信息和用户的特征信息进行检测；

发送资源访问请求至安全控制平台，具体包括：

当客户端所处的终端设备的特征信息和用户的特征信息均达到预设访问安全条件的情况下，向安全控制平台发送资源访问请求。

这里，用户在客户端上的资源访问请求可以为用户根据已有账户信息在客户端进行登录。其中，账户信息可以包括账户名、密码、权限信息、访问资源信息等。当客户端接收到用户的资源访问请求之后，可以对终端环境信息进行采集，分析当前访问终端的主机操作系统、固件版本、软件版本、安全补丁、漏洞补丁、软件信息、设备指纹等详细终端数据，对终端的可信度进行初次鉴定。

在身份验证环节，可以通过接收用户输入的登录指令，确定用户登录系统的身份信息，并根据获取的身份信息与安全控制平台建立联系。根据用户登录时的权限，可以限制用户未完成身份认证前的可操作权重。最后，通过权限认证系统及安全控制平台，可以完成用户可信身份验证与权限评估后建立的黑箱访问通道建立与受访资源的端对端连接。

作为一种示例，在客户端对终端设备信息验证和身份验证过程中，如果判定当前终端环节与用户身份中的某一项未达到预设访问安全条件，即该资源访问请求不符合最低访问安全基线，则客户端可以拒绝向安全控制平台发送资源访问请求，并可以拒绝该用户的进一步操作。

这样，通过对客户端所处的终端设备的特征信息和用户的特征信息进行检测，能够在当前终端环节与用户身份中的某一项未达到预设访问安全条件时，拒绝该用户的进一步操作。进而能够解决现有技术中通过可信任体系进行身份认证的方式，可能由于意外情况，导致可靠性与安全性较低的技术问题，进而提高系统服务调用过程的安全性和可靠性。

作为一种示例，在接收用户的资源访问请求之前，可以接收用户的注册请求。在用户的注册请求过程中，可以通过安全控制平台从权限认证系统中获取用户权限信息。其中，权限认证系统可以为4A系统，4A即认证Authentication、授权Authorization、账号Account和审计Audit。即，将身份认证、授权、记账和审计定义为网络安全的四大组成部分，从而确立了身份认证在整个网络安全系统中的地位与作用。

本申请实施例提供的一种用户设备注册过程的流程示意图可以如图5所示。其中，客户端可以首先进行系统安全自检，在安全检测通过之后，可以将设备注册信息和用户名发送至安全控制平台。进而在安全控制平台对上述信息检测通过，确认可以注册后，将用户名发送至4A系统以请求短信口令。客户端可以在接收短信口令之后，等待用户填写短信口令，进而将短信口令和其他用户信息一并上传至安全控制平台。进而，安全控制平台可以根据上述信息通过4A系统取得用户权限，并将注册成功的信息返回至客户端。注册成功后，客户端可以自动保存用户名在用户列表。

作为一种示例，在实际部署过程当中，4A的账号密码不需要同步到客户端。账号在用户第一次注册成功后，客户端可以保留账号名与设备绑定。每次登陆，客户端都可以从4A处取得最新的权限信息。如果客户端用户在4A处权限信息发生变化，可调用客户端的权限信息，变化接口，通过加密方式传输到客户端，客户端只会更新在线用户的权限，其它丢弃。同样的，客户端可以不保存或记录相关权限信息，只作为更新在线用户实时权限使用。

在一些实施例中，在S420中，接收安全控制平台传输的令牌之前，还可以包括：

接收认证口令；

将认证口令通过安全控制平台，发送至权限认证系统，以使安全控制平台接收权限认证系统发送的用户的最新权限信息，并根据最新权限信息，生成令牌，再将令牌传输至客户端和网关。

这里，认证口令可以为短信口令。上述具体过程可以为客户端接收由安全控制平台发送的短信口令，并等待用户填写短信口令。在接收到用户填写的短信口令之后，将该短信口令发送至安全控制平台。在安全控制中心接收到用户在客户端填写的短信口令之后，可以将用户填写的短信口令和从权限认证系统中获取的短信口令进行匹配。如果匹配成功，则用户的身份特征信息的认证结果可以为认证通过。当用户的身份特征信息认证通过时，即可以接收权限认证系统发送的用户的最新权限信息。

这样，通过根据用户填写的认证口令，对用户的身份信息进行进一步认证，能够在认证通过时，接收权限认证系统发送的用户的最新权限信息，在认证不通过时，禁止该客户端的资源访问请求，进而提高企业内网资源的安全性。

在一些实施例中，在S430中，客户端可以利用令牌中的终端设备的特征信息、用户的特征信息和通信密钥，与令牌中的网关地址信息对应网关进行连接。具体地，终端设备的特征信息可以包括设备指纹信息。客户端可以利用令牌中的通信密钥和设备指纹信息，与令牌中的网关地址信息对应网关进行连接。其中，通信密钥可以是经过加密处理之后的通信密钥。

在网关根据令牌中的最新权限信息为客户端打开对应的防火墙端口之后，客户端可以通过该防火墙端口获取最新权限信息对应的资源。换句话说，如果网关没有为该用户打开防火墙端口，则对于该用户来说，所有的防火墙端口都是关闭的，即该用户不能访问任何资源。另外，资源可以经加密通道，转发至客户端。

为了更清楚地描述整个资源访问请求方法，基于上述各实施例，举一个具体的例子。

本申请实施例提供的一种资源访问请求过程的流程示意图可以如图6所示。

其中，客户端可以首先进行系统自检，在检测通过之后，将设备指纹及用户名等信息发送至安全控制平台。在安全控制平台对设备进行认证通过之后，可以根据用户名向4A系统请求短信指令。在4A系统将处理结果返回至安全控制平台之后，安全控制平台可以将短信口令返回至客户端。另一方面，客户端可以等待用户填写短信口令。在用户填写完短信口令之后，安全控制平台可以使用账号、短信口令等信息从4A系统获取用户权限。在获取用户权限之后，安全控制平台可以生成令牌，以及打开客户端和网关的端口。一方面，可以将令牌发送至客户端。其中，客户端可以主要接收通信密钥、可以访问的网关地址、主机地址等信息。另一方面，可以将令牌发送至网关。其中，网关可以主要接收客户端IP地址、用户权限、设备指纹等信息。之后，客户端即可以使用通信密钥、设备指纹等信息连接网关。在网关对上述信息验证通过之后，即可以转发客户端数据至由权限的资源处，以使服务资源相应数据，并将数据经加密数据通道返回至客户端。

再者，对本申请实施例所提供的资源访问控制系统进行介绍。

图7示出了本申请实施例提供的一种资源访问控制系统的示意图。如图7所示，本申请实施例提供的资源访问控制系统700可以包括安全控制平台710和客户端720。

其中，安全控制平台710可以用于执行上述实施例中的任一项应用于安全控制平台的资源访问控制方法中的方法。

另外，客户端720可以用于执行上述实施例中的任一项应用于客户端的资源访问控制方法中的方法。

由此，通过资源访问控制系统，能够实现提高企业内网资源的安全性的目的。

在一些实施例中，资源访问控制系统700还可以包括监控装置；

监控装置可以用于获取网络端口、客户端地址、网关地址的通信流量中的至少一种；根据通信流量，确定用户是否存在违规访问行为；在用户存在违规访问行为的情况下，对违规访问行为进行记录，并输出告警信息。

这里，在用户访问过程中，可以采用软件定义网络(Software Defined Network，SDN)、控制器、采集器等组件实现对主机/虚拟机网络端口流量的牵引及转发到对应的分析服务器。通过获取网络中各端口及IP的通讯流量，对数据包中的协议进行解析、会话重组、信息还原等手段，生成基础数据，解析未加密的TCP/IP端口协议报文，获取端口传输信息。

在操作风险态势感知过程中，可以通过大数据建模建立安全合规基线，监控每个网络端口的访问行为和传输状态，自动进行端口行为分析和画像形成动态合规基线。

在用户操作过程中，还可以实时对端口访问行为进行监控与告警，主动感知操作行为风险、敏感数据泄露风险、端口故障风险、非法访问风险、异常攻击风险等行为。并且，可以记录哪些系统访问过哪些网络端口、源/目的IP、源/目的端口、访问时间及流量等数据，并对流量审计异常的网络端口敏感数据内容进行还原。以及，将还原出的敏感数据网络端口请求与响应内容及附件文件，与访问帐号、IP等关联，形成审计日志，通过短信、电话、邮件等多种方式实时告警。

这样，通过实时对用户操作过程中的端口访问行为进行监控与告警，能够在第一时间发现用户的违规操作行为，并输出告警，从而能够进一步提高企业内网资源的安全性。

在一些实施例中，资源访问控制系统700还可以包括权限认证系统；

权限认证系统可以用于实时获取所述用户的访问行为信息，对所述访问行为信息进行分析，以确定所述用户是否存在违规访问行为；在所述用户存在违规访问行为，且所述违规访问行为的次数达到第一阈值时，降低所述用户的安全信任等级；根据降低后的用户的安全信任等级，确定所述用户的最新权限信息。

这里，可以针对终端用户的访问行为进行行为画像和行为分析，主动发现终端用户的违规行为，并对用户进行评级。当多次评级进行违规操作后，可以自动下调该终端用户的信任评级。当信任评级过低时，可以终止终端用户访问敏感级别高的资源或者终止终端用户的访问。另外，也可以通过设置不同的信任级别访问不同敏感级别的资产，防止敏感资产被信任评级低的用户访问。

这样，通过对用户进行评级，并根据最新评级确定用户的最新权限信息，能够使用户只能访问与自身访问行为相匹配的资源，从而提高企业内网资源的安全性。

为了更清楚地描述整个资源访问请求系统，基于上述各实施例，举一个具体的例子。其中，本申请提供的资源访问请求系统可以为基于零信任的资源访问系统。

本申请实施例提供的一种零信任部署方式的示意图可以如图8所示。

其中，客户端可以为SDP客户端，网关可以为SDP安全网关。通过SDP客户端、安全控制平台、零信任安全网关等组件可以与4A系统进行连接。前端用户在发起访问时，可以由SDP客户端检测终端环境安全并发起信任评估，之后可以与安全控制平台进行访问请求。安全控制平台可以向4A系统发起权限认证流程，并对终端用户给予授权。之后，可以通过安全控制平台获取授信包数据分别分发至SDP客户端与SDP安全网关建立安全访问通道。结合SDP安全控制网管的动态分析能力，可以实时审查用户访问过程的违规操作行为。进而，可以通过“先认证、后连接”的方式实现4A服务资源隐藏、强化身份认证等能力，保障网内服务资源安全。

基于上述实施例提供的资源访问控制方法，相应地，本申请还提供了资源访问控制装置的具体实现方式。请参见以下实施例。

如图9所示，本申请实施例提供的应用于安全控制平台的资源访问控制装置900包括以下模块：

第一接收模块910，用于接收客户端发送的资源访问请求；资源访问请求中包括客户端所处的终端设备的特征信息和用户的特征信息；

第一获取模块920，用于在终端设备的特征信息和用户的特征信息均认证通过的情况下，通过权限认证装置获取用户的最新权限信息；

生成模块930，用于在获取用户的最新权限信息之后，根据最新权限信息，生成令牌；

传输模块940，用于将令牌传输至客户端和网关，以使网关根据令牌开启最新权限信息对应的防火墙端口，以使客户端根据令牌访问网关，以通过防火墙端口获取最新权限信息对应的资源。

作为本申请的一种实现方式，该装置还可以包括：

第一认证模块，用于对终端设备的特征信息进行认证；

第二认证模块，用于在终端设备的特征信息认证通过的情况下，对用户的身份特征信息进行认证。

作为本申请的一种实现方式，第二认证模块具体可以包括：

第一获取子模块，用于在终端设备的特征信息认证通过的情况下，接收权限认证系统发送的认证口令；

第一发送子模块，用于将认证口令发送至客户端，以使用户在客户端填写认证口令；

第二获取子模块，用于获取用户在客户端填写的认证口令；

认证子模块，用于根据用户填写的认证口令与从权限认证系统中获取的认证口令，对用户的身份特征信息进行认证。

作为本申请的一种实现方式，令牌可以包括客户端所处的终端设备的特征信息、用户的特征信息、用户的最新权限信息、网关地址信息、通信密钥中的至少一种。

由此，通过获取用户的最新权限信息，能够确定用户可以访问的资源。在确定用户可以访问的资源之后，生成令牌，并发送至网关和客户端。一方面，通知网关根据令牌中的信息，为发送资源访问请求的客户端开启最新权限信息对应的防火墙端口；另一方面，通知客户端根据令牌中的信息访问对应的网关。进而，能够使客户端通过防火墙端口获取与最新权限信息对应的资源。如此，通过根据用户的最新权限信息，开放与最新权限信息对应的资源，使得用户无权访问企业内网中的其他资源，只能访问与最新权限信息相对应的资源。从而，能够提高企业内网资源的安全性。

如图10所示，本申请实施例提供的应用于客户端的资源访问控制装置1000包括以下模块：

第一发送模块1010，用于发送资源访问请求至安全控制平台，以使安全控制平台在终端设备的特征信息和用户的特征信息均认证通过的情况下，接收权限认证系统发送的用户的最新权限信息，并根据最新权限信息，生成令牌，再将令牌传输至客户端和网关；资源访问请求中包括客户端所处的终端设备的特征信息和用户的特征信息；

第二接收模块1020，用于在发送资源访问请求至安全控制平台之后，接收安全控制平台传输的令牌；

访问模块1030，用于在接收安全控制平台传输的令牌之后，根据令牌访问网关，以通过防火墙端口获取最新权限信息对应的资源。

作为本申请的一种实现方式，该装置还可以包括：

检测模块，用于响应于用户在客户端上的资源访问请求，对客户端所处的终端设备的特征信息和用户的特征信息进行检测；

基于此，第一发送模块1010具体可以包括：

第二发送子模块，用于当客户端所处的终端设备的特征信息和用户的特征信息均达到预设访问安全条件的情况下，向安全控制平台发送资源访问请求。

作为本申请的一种实现方式，该装置还可以包括：

第三接收模块，用于接收认证口令；

第二发送模块，用于将认证口令通过安全控制平台，发送至权限认证系统，以使安全控制平台接收权限认证系统发送的用户的最新权限信息，并根据最新权限信息，生成令牌，再将令牌传输至客户端和网关。

由此，通过在安全控制平台对资源访问请求验证通过的情况下，接收由安全控制平台传输的令牌，并根据该令牌的信息访问与最新权限信息对应的资源，能够使客户端只能访问与自身权限相对应的资源，无法访问内网中的其他资源，从而提高企业内网资源的安全性。

基于上述实施例提供的资源访问控制方法，本申请实施例还提供了电子设备的具体实施方式。图11示出了本申请实施例提供的电子设备1100示意图。

电子设备1100可以包括处理器1110以及存储有计算机程序指令的存储器1120。

具体地，上述处理器1110可以包括中央处理器(CPU)，或者特定集成电路(Application Specific Integrated Circuit，ASIC)，或者可以被配置成实施本申请实施例的一个或多个集成电路。

存储器1120可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器1020可包括硬盘驱动器(Hard Disk Drive，HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus，USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器1120可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器1120可在综合网关容灾设备的内部或外部。在特定实施例中，存储器1120是非易失性固态存储器。

存储器可包括只读存储器(ROM)，随机存取存储器(RAM)，磁盘存储介质设备，光存储介质设备，闪存设备，电气、光学或其他物理/有形的存储器存储设备。因此，通常，存储器包括一个或多个编码有包括计算机可执行指令的软件的有形(非暂态)计算机可读存储介质(例如，存储器设备)，并且当该软件被执行(例如，由一个或多个处理器)时，其可操作来执行参考根据本申请的一方面的方法所描述的操作。

处理器1110通过读取并执行存储器1120中存储的计算机程序指令，以实现上述实施例中的任意一种资源访问控制方法。

在一个示例中，电子设备1100还可包括通信接口1130和总线1140。其中，如图11所示，处理器1110、存储器1120、通信接口1130通过总线1140连接并完成相互间的通信。

通信接口1130，主要用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。

总线1140包括硬件、软件或两者，将电子设备的部件彼此耦接在一起。举例来说而非限制，总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线1140可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线，但本申请考虑任何合适的总线或互连。

该电子设备可以基于已接收到的资源访问请求执行本申请实施例中的资源访问控制方法，从而实现结合图1至图10描述的资源访问控制方法和装置。

另外，结合上述实施例中的资源访问控制方法，本申请实施例可提供一种计算机存储介质来实现。该计算机存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种资源访问控制方法。

需要明确的是，本申请并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见，这里省略了对已知方法的详细描述。在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本申请的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本申请的精神后，作出各种改变、修改和添加，或者改变步骤之间的顺序。

以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时，本申请的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。

还需要说明的是，本申请中提及的示例性实施例，基于一系列的步骤或者装置描述一些方法或系统。但是，本申请不局限于上述步骤的顺序，也就是说，可以按照实施例中提及的顺序执行步骤，也可以不同于实施例中的顺序，或者若干步骤同时执行。

上面参考根据本申请的实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本申请的各方面。应当理解，流程图和/或框图中的每个方框以及流程图和/或框图中各方框的组合可以由计算机程序指令实现。这些计算机程序指令可被提供给通用计算机、专用计算机、或其它可编程数据处理装置的处理器，以产生一种机器，使得经由计算机或其它可编程数据处理装置的处理器执行的这些指令使能对流程图和/或框图的一个或多个方框中指定的功能/动作的实现。这种处理器可以是但不限于是通用处理器、专用处理器、特殊应用处理器或者现场可编程逻辑电路。还可理解，框图和/或流程图中的每个方框以及框图和/或流程图中的方框的组合，也可以由执行指定的功能或动作的专用硬件来实现，或可由专用硬件和计算机指令的组合来实现。

以上所述，仅为本申请的具体实施方式，所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、模块和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。应理解，本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本申请的保护范围之内。

Claims (15)

1.一种资源访问控制方法，其特征在于，应用于安全控制平台，所述方法包括：

接收客户端发送的资源访问请求；所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息；

在所述终端设备的特征信息和所述用户的特征信息均认证通过的情况下，接收权限认证系统发送的所述用户的最新权限信息；

根据所述最新权限信息，生成令牌；

将所述令牌传输至所述客户端和网关，以使所述网关根据所述令牌开启所述最新权限信息对应的防火墙端口，以使所述客户端根据所述令牌访问所述网关，以通过所述防火墙端口获取所述最新权限信息对应的资源。

2.根据权利要求1所述的资源访问控制方法，其特征在于，所述在所述终端设备的特征信息和所述用户的特征信息均认证通过的情况下，接收权限认证系统发送的获取所述用户的最新权限信息之前，所述方法还包括：

对所述终端设备的特征信息进行认证；

在所述终端设备的特征信息认证通过的情况下，对所述用户的身份特征信息进行认证。

3.根据权利要求2所述的资源访问控制方法，其特征在于，所述在所述终端设备的特征信息认证通过的情况下，对所述用户的身份特征信息进行认证，具体包括：

在所述终端设备的特征信息认证通过的情况下，接收权限认证系统发送的认证口令；

将所述认证口令发送至所述客户端，以使所述用户在所述客户端填写所述认证口令；

获取所述用户在所述客户端填写的所述认证口令；

根据所述用户填写的认证口令与从所述权限认证系统中获取的认证口令，对所述用户的身份特征信息进行认证。

4.根据权利要求1所述的资源访问控制方法，其特征在于，所述令牌包括客户端所处的终端设备的特征信息、所述用户的特征信息、所述用户的最新权限信息、网关地址信息、通信密钥中的至少一种。

5.一种资源访问控制方法，其特征在于，应用于客户端，所述方法包括：

发送资源访问请求至安全控制平台，以使所述安全控制平台在终端设备的特征信息和用户的特征信息均认证通过的情况下，接收权限认证系统发送的所述用户的最新权限信息，并根据所述最新权限信息，生成令牌，再将所述令牌传输至所述客户端和网关；所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息；

接收所述安全控制平台传输的所述令牌；

根据所述令牌访问所述网关，以通过所述防火墙端口获取所述最新权限信息对应的资源。

6.根据权利要求5所述的资源访问控制方法，其特征在于，所述发送资源访问请求至安全控制平台之前，所述方法还包括：

响应于用户在客户端上的资源访问请求，对所述客户端所处的终端设备的特征信息和用户的特征信息进行检测；

所述发送资源访问请求至安全控制平台，具体包括：

当所述客户端所处的终端设备的特征信息和所述用户的特征信息均达到预设访问安全条件的情况下，向所述安全控制平台发送所述资源访问请求。

7.根据权利要求5所述的资源访问控制方法，其特征在于，所述接收所述安全控制平台传输的所述令牌之前，所述方法还包括：

接收认证口令；

将所述认证口令通过所述安全控制平台，发送至权限认证系统，以使所述安全控制平台通过所述权限认证系统获取所述用户的最新权限信息，并根据所述最新权限信息，生成令牌，再将所述令牌传输至所述客户端和网关。

8.一种资源访问控制系统，其特征在于，所述系统包括安全控制平台和客户端；

所述安全控制平台用于执行权利要求1-4任一项所述的方法；

所述客户端用于执行权利要求5-7任一项所述的方法。

9.根据权利要求8所述的资源访问控制系统，其特征在于，所述系统还包括监控装置；

所述监控装置用于获取网络端口、客户端地址、网关地址的通信流量中的至少一种；根据所述通信流量，确定用户是否存在违规访问行为；在所述用户存在违规访问行为的情况下，对所述违规访问行为进行记录，并输出告警信息。

10.根据权利要求8所述的资源访问控制系统，其特征在于，所述系统还包括权限认证系统；

所述权限认证系统用于实时获取所述用户的访问行为信息，对所述访问行为信息进行分析，以确定所述用户是否存在违规访问行为；在所述用户存在违规访问行为，且所述违规访问行为的次数达到第一阈值时，降低所述用户的安全信任等级；根据降低后的用户的安全信任等级，确定所述用户的最新权限信息。

11.一种资源访问控制装置，其特征在于，应用于安全控制平台，所述装置包括：

第一接收模块，用于接收客户端发送的资源访问请求；所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息；

第一获取模块，用于在所述终端设备的特征信息和所述用户的特征信息均认证通过的情况下，通过权限认证装置获取所述用户的最新权限信息；

生成模块，用于在获取所述用户的最新权限信息之后，根据所述最新权限信息，生成令牌；

传输模块，用于将所述令牌传输至所述客户端和网关，以使所述网关根据所述令牌开启所述最新权限信息对应的防火墙端口，以使所述客户端根据所述令牌访问所述网关，以通过所述防火墙端口获取所述最新权限信息对应的资源。

12.一种资源访问控制装置，其特征在于，应用于客户端，所述装置包括：

第一发送模块，用于发送资源访问请求至安全控制平台，以使所述安全控制平台在终端设备的特征信息和用户的特征信息均认证通过的情况下，接收权限认证系统发送的所述用户的最新权限信息，并根据所述最新权限信息，生成令牌，再将所述令牌传输至所述客户端和网关；所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息；

第二接收模块，用于在发送资源访问请求至安全控制平台之后，接收所述安全控制平台传输的所述令牌；

访问模块，用于在接收所述安全控制平台传输的所述令牌之后，根据所述令牌访问所述网关，以通过所述防火墙端口获取所述最新权限信息对应的资源。

13.一种电子设备，其特征在于，所述设备包括：处理器以及存储有计算机程序指令的存储器；

所述处理器执行所述计算机程序指令时实现如权利要求1-7任意一项所述的资源访问控制方法。

14.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现如权利要求1-7任意一项所述的资源访问控制方法。

15.一种计算机程序产品，其特征在于，所述计算机程序产品中的指令由电子设备的处理器执行时，使得所述电子设备执行如权利要求1-7任意一项所述的资源访问控制方法。

Images