CN115333840B - 资源访问方法、系统、设备及存储介质 - Google Patents

Abstract

本发明提供了一种资源访问方法、系统、设备及存储介质，所述方法包括步骤：客户端向SDP控制器发送业务访问请求，所述业务访问请求中包括与请求访问的目标业务资源匹配的待认证信息；SDP控制器获取客户端发送的业务访问请求中的所述待认证信息，并获取预先注册的与所述目标业务资源匹配的认证参考信息；SDP控制器根据所述待认证信息和所述认证参考信息，对所述客户端进行单包认证；本申请实现了在SDP架构中，保证用户访问业务安全性的同时提升了用户使用便利性。

Description

资源访问方法、系统、设备及存储介质

技术领域

本发明涉及网络安全技术领域，具体地说，涉及一种资源访问方法、系统、设备及存储介质。

背景技术

SDP(Software Defined Perimeter，软件定义边界)是由云安全联盟(CloudSecurity Alliance，CSA)开发的一种安全框架。SDP作为零信任概念的扩展，可以抑制威胁并减少攻击面，防止基于网络及利用应用程序漏洞的攻击。

SDP防护架构将资源隐藏在SDP网关后面且SDP网关不可见。所有发起访问的客户端需要在策略中心(SDP控制器)通过单包认证(Single Packet Authorization,SPA)后，SDP控制器确定客户端可以连接的网关并通知网关接收来自客户端的通信，客户端向每个可接受连接的网关发起单包授权并创建与这些网关的双向加密连接，然后基于双向加密连接访问业务。

但是现有的SDP零信任机制无法兼顾安全性和使用的便利性。SDP实现的零信任机制在提高了系统安全性的同时，需要用户频繁输入验证信息，影响用户使用便利性。也即，当客户端发起访问时，需要先与SDP控制器进行SPA认证，认证通过后用户再输入账号密码进行登录。用户频繁上下线会使SDP控制器性能损耗严重，影响业务稳定性。

发明内容

针对现有技术中的问题，本发明的目的在于提供一种资源访问方法、系统、设备及存储介质，实现了在SDP架构中，保证用户访问业务安全性的同时提升了用户使用便利性。

为实现上述目的，本发明提供了一种资源访问方法，所述方法包括以下步骤：

客户端向SDP控制器发送业务访问请求，所述业务访问请求中包括与请求访问的目标业务资源匹配的待认证信息；

SDP控制器获取客户端发送的业务访问请求中的所述待认证信息，并获取预先注册的与所述目标业务资源匹配的认证参考信息；

SDP控制器根据所述待认证信息和所述认证参考信息，对所述客户端进行单包认证。

可选地，所述方法还包括：

当认证通过后，SDP控制器向客户端返回待连接的SDP网关；

客户端在获得所述SDP网关的访问授权后，与所述SDP网关建立连接。

可选地，所述方法还包括：

所述SDP网关获取所述业务访问请求，提取关联访问用户的用户身份令牌；

所述SDP网关根据所述用户身份令牌，判断所述访问用户是否具有访问所述目标业务资源的权限；

若所述访问用户具有访问所述目标业务资源的权限，则所述SDP网关允许客户端访问所述目标业务资源。

可选地，所述方法还包括：

当认证未通过，SDP控制器向客户端发送用于提示访问用户输入第二账号和第二密码的提示信息；

SDP控制器获取访问用户输入的第二账号和第二密码，基于所述第二账号和第二密码对客户端进行认证。

可选地，在所述客户端向SDP控制器发送业务访问请求之前，所述方法还包括：

客户端分别生成不同安全级别的业务资源对应的认证参考信息，并将业务资源和认证参考信息的映射关系注册于SDP控制器；

SDP控制器基于所述认证参考信息，对客户端进行终端备案。

可选地，在所述客户端向SDP控制器发送业务访问请求之前，所述方法还包括：

客户端获取关联访问用户的第一账号和第一密码，并根据所述第一账号和第一密码，生成待认证信息。

可选地，在所述客户端向SDP控制器发送业务访问请求之前，所述方法还包括：

客户端将所述认证参考信息存储于本地。

可选地，所述客户端分别生成不同安全级别的业务资源对应的认证参考信息，包括：

客户端获取用于对不同安全级别的业务资源进行安全认证的对应的用户访问参数组合；所述用户访问参数组合包括多个访问参数；

客户端利用哈希算法对所述用户访问参数组合进行哈希计算，生成哈希字符串，作为认证参考信息。

可选地，所述业务资源的安全级别越高，对应的用于安全认证的用户访问参数组合中包含的访问参数数量越多。

可选地，所述客户端获取关联访问用户的第一账号和第一密码，并根据所述第一账号和第一密码，生成待认证信息，包括：

客户端获取客户端所在的设备指纹信息、关联访问用户的第一账号和第一密码；

客户端利用哈希算法对所述设备指纹信息、第一账号和第一密码，进行哈希计算，生成哈希字符串，作为待认证信息。

本发明还提供了一种资源访问系统，用于实现上述资源访问方法，所述系统包括：

业务访问请求发送模块，客户端向SDP控制器发送业务访问请求，所述业务访问请求中包括与请求访问的目标业务资源匹配的待认证信息；

比对信息获取模块，SDP控制器获取客户端发送的业务访问请求中的所述待认证信息，并获取预先注册的与所述目标业务资源匹配的认证参考信息；

单包认证模块，SDP控制器根据所述待认证信息和所述认证参考信息，对所述客户端进行单包认证。

本发明还提供了一种资源访问设备，包括：

处理器；

存储器，其中存储有所述处理器的可执行程序；

其中，所述处理器配置为经由执行所述可执行程序来执行上述任意一项资源访问方法的步骤。

本发明还提供了一种计算机可读存储介质，用于存储程序，所述程序被处理器执行时实现上述任意一项资源访问方法的步骤。

本发明与现有技术相比，具有以下优点及突出性效果：

本发明提供的资源访问方法、系统、设备及存储介质通过在SDP架构中加入预置信息，生成不同的准入策略并对其预先注册，使得用户无需每次访问业务时都输入账号和密码来进行客户端登录，可通过比对预注册信息和业务访问请求中的实时访问信息验证用户可信与设备可信，在保证用户访问业务安全性的同时提升了用户使用便利性。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显。

图1为本发明一实施例公开的资源访问方法所涉及的SDP架构示意图；

图2为本发明一实施例公开的一种资源访问方法的示意图；

图3为本发明另一实施例公开的一种资源访问方法的示意图；

图4为本发明另一实施例公开的一种资源访问方法的示意图；

图5为本发明另一实施例公开的一种资源访问方法的示意图；

图6为本发明另一实施例公开的一种资源访问方法的示意图；

图7为本发明一实施例公开的一种资源访问系统的结构示意图；

图8为本发明另一实施例公开的一种资源访问系统的结构示意图；

图9为本发明另一实施例公开的一种资源访问系统的结构示意图；

图10为本发明另一实施例公开的一种资源访问系统的结构示意图；

图11为本发明另一实施例公开的一种资源访问系统的结构示意图；

图12为本发明一实施例公开的一种资源访问设备的结构示意图。

具体实施方式

以下通过特定的具体实例说明本申请的实施方式，本领域技术人员可由本申请所揭露的内容轻易地了解本申请的其他优点与功效。本申请还可以通过另外不同的具体实施方式加以实施或应用系统，本申请中的各项细节也可以根据不同观点与应用系统，在没有背离本申请的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

下面以附图为参考，针对本申请的实施例进行详细说明，以便本申请所属技术领域的技术人员能够容易地实施。本申请可以以多种不同形态体现，并不限定于此处说明的实施例。

在本申请的表示中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的表示意指结合该实施例或示例表示的具体特征、结构、材料或者特点包括于本申请的至少一个实施例或示例中。而且，表示的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本申请中表示的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于表示目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或隐含地包括至少一个该特征。在本申请的表示中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

为了明确说明本申请，省略与说明无关的器件，对于通篇说明书中相同或类似的构成要素，赋予了相同的参照符号。

在通篇说明书中，当说某器件与另一器件“连接”时，这不仅包括“直接连接”的情形，也包括在其中间把其它元件置于其间而“间接连接”的情形。另外，当说某种器件“包括”某种构成要素时，只要没有特别相反的记载，则并非将其它构成要素排除在外，而是意味着可以还包括其它构成要素。

当说某器件在另一器件“之上”时，这可以是直接在另一器件之上，但也可以在其之间伴随着其它器件。当对照地说某器件“直接”在另一器件“之上”时，其之间不伴随其它器件。

虽然在一些实例中术语第一、第二等在本文中用来表示各种元件，但是这些元件不应当被这些术语限制。这些术语仅用来将一个元件与另一个元件进行区分。例如，第一接口及第二接口等表示。再者，如同在本文中所使用的，单数形式“一”、“一个”和“该”旨在也包括复数形式，除非上下文中有相反的指示。应当进一步理解，术语“包含”、“包括”表明存在的特征、步骤、操作、元件、组件、项目、种类、和/或组，但不排除一个或多个其他特征、步骤、操作、元件、组件、项目、种类、和/或组的存在、出现或添加。此处使用的术语“或”和“和/或”被解释为包括性的，或意味着任一个或任何组合。因此，“A、B或C”或者“A、B和/或C”意味着“以下任一个：A；B；C；A和B；A和C；B和C；A、B和C”。仅当元件、功能、步骤或操作的组合在某些方式下内在地互相排斥时，才会出现该定义的例外。

此处使用的专业术语只用于言及特定实施例，并非意在限定本申请。此处使用的单数形态，只要语句未明确表示出与之相反的意义，那么还包括复数形态。在说明书中使用的“包括”的意义是把特定特性、区域、整数、步骤、作业、要素及/或成份具体化，并非排除其它特性、区域、整数、步骤、作业、要素及/或成份的存在或附加。

虽然未不同地定义，但包括此处使用的技术术语及科学术语，所有术语均具有与本申请所属技术领域的技术人员一般理解的意义相同的意义。普通使用的字典中定义的术语追加解释为具有与相关技术文献和当前提示的内容相符的意义，只要未进行定义，不得过度解释为理想的或非常公式性的意义。

现在将结合参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的实施方式。相反，提供这些实施方式使得本发明将全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的结构，因而将省略对它们的重复描述。本申请以下实施例中步骤前面的序号并不表示实际执行顺序，仅为步骤代号，便于表述。

随着移动业务快速扩展，物联网、车联网、智慧城市的持续发展，资产防护的安全边界越来越不清晰，传统的边界防护架构越来越显得力不从心。边界安全主要存在的问题有如下几点：

1)黑客可以轻松劫持边界内的设备并从内部攻击企业应用。

2)随着自带设备、外包人员、合作伙伴的增多，以及边界内部设备不确定因素的增加，导致安全漏洞不断增多。

3)企业的业务资源除了部署在传统数据中心，也在不断向外部云资源扩展，如PaaS(Platform as a Service,平台即服务)。因此，边界安全网络设备在拓扑上并不能很好地保护企业应用基础设施。

边界内部设备不断增长，移动终端、远程办公、企业业务在内网和公有云同时部署，这样的趋势已经破坏了企业使用的传统安全模型。因此需要一种新方法，比如SDP防护架构，能够对边界不清晰的网络业务场景进行更好的安全保护。

SDP防护架构以软件定义边界，将网络空间的网络元素身份化，基于身份定义访问边界。SDP旨在使应用程序所有者能够在需要时部署边界，以便将业务和服务与不安全的网络隔离开来。可以说，SDP是在网络边界模糊和消失趋势下给业务资源提供的隐身衣，它使网络黑客看不到目标而无法发动攻击。

SDP架构利用单包认证(SPA，也称单包授权)技术实现网络隐身，隐藏核心网络资产与设施，使其不暴露在互联网下，从而免受外来安全威胁。SPA是一种轻量级安全协议，数据包内部包含了认证所需的必要的信息。采用SPA技术的授权方案基于默认丢弃所有数据包的访问控制策略，客户端通过单个加密的数据包发送认证与授权请求，只有通过认证和授权的客户端才能访问被保护的应用资源，未授权的用户和设备无法感知或探测到被保护的应用端口，显著的缩小了攻击面，提升了系统的安全水平。

如图1所示，SDP架构主要由SDP客户端、SDP控制器、SDP网关三个主要部分组成。SDP客户端为C/S(Client-Server,服务器-客户机)型客户端应用、B/S型Web应用提供统一的应用访问入口，支持应用级别的访问控制。

SDP控制器主要包含身份管理、PKI(Public Key Infrastructure,公用密钥基础)、可信评估、策略管理等组件。身份管理组件，对用户和终端认证，基于用户和应用的可信度生成动态权限；PKI公钥基础设施，为用户颁发身份密钥；可信评估组件，对用户、应用进行持续可信评估；策略管理组件，根据用户权限以及策略规范生成用户访问权限，生成安全隧道策略，并下发到客户端和网关。

SDP网关对应用业务进行隐藏保护。在接收到控制器下发的策略后，和客户端建立安全隧道，并起到业务代理作用，访问应用业务。

需要说明的是，图1中示出的SDP网关的数量和业务资源的数量仅用于SDP架构举例说明，并不代表实际业务实施中的真实数量。

如图2所示，本发明一实施例公开了一种资源访问方法，该方法包括以下步骤：

S130，客户端向SDP控制器发送业务访问请求，上述业务访问请求中包括与请求访问的目标业务资源匹配的待认证信息。具体而言，SDP控制器服务上线，连接至适当的认证和授权服务，例如PKI颁发证书认证服务、多因子身份验证等服务。SDP客户端在控制器注册。然后可以发送业务访问请求，该业务访问请求用于请求访问目标业务资源，并且在后续通过与SDP网关建立连接才能访问业务资源。并且，可以通过多个不同的SDP网关分别访问多个不同的业务资源，也可以通过某一个SDP网关分别访问多个不同的业务资源。

上述待认证信息可以利用哈希算法基于客户端对应的设备信息、访问信息、用户登录账号和/或密码信息等计算得到的哈希值确定。示例性地，比如，可以通过哈希算法对客户端对应的设备指纹信息、关联访问用户的账号和密码，进行哈希计算，生成哈希字符串，作为待认证信息。设备指纹是指可以用于唯一标识出该设备的设备特征或者独特的设备标识。

S140，SDP控制器获取客户端发送的业务访问请求中的上述待认证信息，并获取预先注册的与上述目标业务资源匹配的认证参考信息。具体而言，SDP控制器中预先存储有不同安全级别的业务资源对应所需的认证参考信息。上述业务资源的安全级别越高，对应的用于计算认证参考信息的所需参数数量就越多。上述认证参考信息即为对待认证信息进行比对的参考值。对应同一业务资源的待认证信息和认证参考信息计算时，所涉及的计算方式和输入参数都相同。

具体实施时，可以是客户端根据各种可能访问的业务资源的安全级别，提前设置好计算不同的认证参考信息的输入参数，生成不同的认证参考信息。然后客户端将不同的业务资源和对应的认证参考信息，以一定的映射关系，预先注册于SDP控制器，便于后续进行单包认证。比如，以一预设数据库的形式进行预先注册，其中，该预设数据库中存储有不同的业务资源和对应的认证参考信息。

关于业务资源的安全级别，示例性地，比如当业务资源的安全级别为一级时，对应的用于计算认证参考信息的输入参数可以包括设备指纹信息、关联访问用户的账号和密码，利用哈希算法基于这些参数计算生成。当业务资源的安全级别为二级时，对应的用于计算认证参考信息的输入参数不仅包括设备指纹信息、关联访问用户的账号和密码，还包括源IP归属地信息和访问时间戳，然后利用哈希算法基于这些参数计算生成。其中，二级的安全级别高于一级的安全级别。

在一些实施例中，也可以为：当用户访问低安全级别的应用时，客户端自动将基准认证哈希字符串自动发送给SDP控制器策略中心进行哈希值的比对，当用户需要访问高安全级别的应用时，客户端将基准认证信息与登录时的IP归属地、登录时间等动态信息一起哈希自动发送给SDP控制器策略中心进行哈希值的比对。实现不同的业务准入策略，在保证安全性的同时提升了用户使用便利性。

在一些实施例中，该步骤S140还包括：客户端将上述认证参考信息进行存储。

也即，当SDP客户端在控制器注册时，或者客户端第一次向该SDP控制器访问业务资源时，可以获得访问用户输入的用户账号和密码。后续再访问业务资源时，就不需要输入账号和密码，只需要获取客户端本地存储的账号和密码，计算生成待认证信息。

S150，SDP控制器根据上述待认证信息和上述认证参考信息，对上述客户端进行单包认证。也即，判断待认证信息和上述认证参考信息是否相同。若相同，也即两个哈希值相同，则认证成功。否则认证失败。

单包认证成功后，用户后续访问业务时无需再次进行登录操作。认证不成功才需要用户输入账号密码进行验证。利用存储的账号和密码等参数计算待认证信息，同时实现了SPA认证和用户身份认证，代替现有技术的先进行SPA认证，然后输入账号和密码登录，从而不必频繁的输入账号和密码，在用户无感知的情况下完成了动态SDP，提供了较大的便利性。

如图3所示，在本申请的另一实施例中，公开了另一种资源访问方法。该方法在上述图2对应实施例的基础上，还包括步骤：

S160，当上述单包认证通过后，SDP控制器向客户端返回待连接的SDP网关。

S170，客户端在获得上述SDP网关的访问授权后，与上述SDP网关建立连接。

S180，SDP网关获取上述业务访问请求，提取关联访问用户的用户身份令牌。

S190，SDP网关根据用户身份令牌，判断上述访问用户是否具有访问上述目标业务资源的权限。

若上述访问用户具有访问上述目标业务资源的权限，则执行步骤S200：SDP网关允许客户端访问上述目标业务资源。

若上述访问用户不具有访问上述目标业务资源的权限，则执行步骤S210：SDP网关拒绝客户端访问上述目标业务资源。

具体而言，当上述单包认证通过后，控制器为客户端分发身份令牌。SDP控制器确定SDP客户端可以连接的SDP网关列表。SDP控制器通知SDP网关接收来自SDP客户端的通信，以及加密通信所需的所有可选安全策略、访问权限列表。SDP客户端向每个可接受连接的SDP网关发起单包授权，并创建与这些SDP网关的双向加密连接，例如TSL(Transport LayerSecurity,安全传输层协议)连接方式等。SDP客户端的业务访问请求到达SDP网关后，SDP网关提取用户身份令牌，根据用户身份令牌、要访问的业务和用户的权限确认用户是否有权限访问该业务。允许访问的业务访问请求予以放行。

在本申请的另一实施例中，公开了另一种资源访问方法。该方法在上述图3对应实施例的基础上，还包括步骤：

当上述单包认证未通过，SDP控制器向客户端发送用于提示访问用户输入第二账号和第二密码的提示信息。

SDP控制器获取访问用户输入的第二账号和第二密码，基于上述第二账号和第二密码对客户端进行认证。

若SDP控制器基于上述第二账号和第二密码对客户端认证成功，则继续执行上述图3对应实施例中的步骤S160。若SDP控制器基于上述第二账号和第二密码对客户端认证失败，则SDP网关拒绝客户端访问上述目标业务资源。

如图4所示，在本申请的另一实施例中，公开了另一种资源访问方法。该方法在上述图2对应实施例的基础上，在步骤S130之前，还包括步骤：

S110，客户端分别生成不同安全级别的业务资源对应的认证参考信息，并将业务资源和认证参考信息的映射关系注册于SDP控制器。

S120，SDP控制器基于上述认证参考信息，对客户端进行终端备案。

具体实施时，可以是客户端根据各种可能访问的业务资源的安全级别，提前设置好计算不同的认证参考信息的输入参数，生成不同的认证参考信息。然后客户端将不同的业务资源和对应的认证参考信息，以一定的映射关系，预先注册于SDP控制器，便于后续进行单包认证。比如，以一预设数据库的形式进行预先注册，其中，该预设数据库中存储有不同的业务资源和对应的认证参考信息。备案之后，在接收到客户端发送的业务访问请求之后，就直接可以找到与目标业务资源对应的认证参考信息来进行比对。

如图5所示，在一些实施例中，在上述图4对应的实施例的基础上，步骤S110包括：

S111，客户端获取用于对不同安全级别的业务资源进行安全认证的对应的用户访问参数组合。上述用户访问参数组合包括多个访问参数。

S112，客户端利用哈希算法对上述用户访问参数组合进行哈希计算，生成哈希字符串，作为认证参考信息；并将业务资源和认证参考信息的映射关系注册于SDP控制器。

比如，当用户访问低安全级别的应用时，客户端自动将基准认证哈希字符串自动发送给SDP控制器策略中心进行哈希值的比对，当用户需要访问高安全级别的应用时，客户端将基准认证信息与登录时的IP归属地、登录时间等动态信息一起哈希自动发送给SDP控制器策略中心进行哈希值的比对。实现不同的业务准入策略，在保证安全性的同时提升了用户使用便利性。

其中，上述业务资源的安全级别越高，对应的用于安全认证的用户访问参数组合中包含的访问参数数量越多。利于保证安全性。

如图6所示，在本申请的另一实施例中，公开了另一种资源访问方法。该方法在上述图4对应实施例的基础上，在步骤S120步骤S130之间，还包括步骤：

S100，客户端获取关联访问用户的第一账号和第一密码，并根据上述第一账号和第一密码，生成待认证信息。

在其他一些实施例中，在上述实施例的基础上，步骤S100包括：

客户端获取客户端所在的设备指纹信息、关联访问用户的第一账号和第一密码。以及

客户端利用哈希算法对上述设备指纹信息、第一账号和第一密码，进行哈希计算，生成哈希字符串，作为待认证信息。

在本申请的另一实施例中，公开了另一种资源访问方法。该方法在上述图2对应实施例的基础上，在步骤S130之前，包括上述步骤S100，客户端获取关联访问用户的第一账号和第一密码，并根据上述第一账号和第一密码，生成待认证信息。

需要说明的是，本申请中公开的上述所有实施例可以进行自由组合，组合后得到的技术方案也在本申请的保护范围之内。

如图7所示，本发明一实施例还公开了一种资源访问系统7，该系统包括：

业务访问请求发送模块73，客户端向SDP控制器发送业务访问请求，上述业务访问请求中包括与请求访问的目标业务资源匹配的待认证信息。

具体而言，SDP控制器服务上线，连接至适当的认证和授权服务，例如PKI颁发证书认证服务、多因子身份验证等服务。SDP客户端在控制器注册。然后可以发送业务访问请求，该业务访问请求用于请求访问目标业务资源，并且在后续通过与SDP网关建立连接才能访问业务资源。并且，可以通过多个不同的SDP网关分别访问多个不同的业务资源，也可以通过某一个SDP网关分别访问多个不同的业务资源。

上述待认证信息可以利用哈希算法基于客户端对应的设备信息、访问信息、用户登录账号和/或密码信息等计算得到的哈希值确定。示例性地，比如，可以通过哈希算法对客户端对应的设备指纹信息、关联访问用户的账号和密码，进行哈希计算，生成哈希字符串，作为待认证信息。设备指纹是指可以用于唯一标识出该设备的设备特征或者独特的设备标识。

比对信息获取模块74，SDP控制器获取客户端发送的业务访问请求中的上述待认证信息，并获取预先注册的与上述目标业务资源匹配的认证参考信息。

具体而言，SDP控制器中预先存储有不同安全级别的业务资源对应所需的认证参考信息。上述业务资源的安全级别越高，对应的用于计算认证参考信息的所需参数数量就越多。上述认证参考信息即为对待认证信息进行比对的参考值。对应同一业务资源的待认证信息和认证参考信息计算时，所涉及的计算方式和输入参数都相同。

具体实施时，可以是客户端根据各种可能访问的业务资源的安全级别，提前设置好计算不同的认证参考信息的输入参数，生成不同的认证参考信息。然后客户端将不同的业务资源和对应的认证参考信息，以一定的映射关系，预先注册于SDP控制器，便于后续进行单包认证。比如，以一预设数据库的形式进行预先注册，其中，该预设数据库中存储有不同的业务资源和对应的认证参考信息。

单包认证模块75，SDP控制器根据上述待认证信息和上述认证参考信息，对上述客户端进行单包认证。

也即，判断待认证信息和上述认证参考信息是否相同。若相同，也即两个哈希值相同，则认证成功。否则认证失败。

单包认证成功后，用户后续访问业务时无需再次进行登录操作。认证不成功才需要用户输入账号密码进行验证。利用存储的账号和密码等参数计算待认证信息，同时实现了SPA认证和用户身份认证，代替现有技术的先进行SPA认证，然后输入账号和密码登录，从而不必频繁的输入账号和密码，在用户无感知的情况下完成了动态SDP，提供了较大的便利性。

可以理解的是，本发明的资源访问系统还包括其他支持资源访问系统运行的现有功能模块。图7显示的资源访问系统仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

本实施例中的资源访问系统用于实现上述的资源访问的方法，因此对于资源访问系统的具体实施步骤可以参照上述对资源访问的方法的描述，此处不再赘述。

如图8所示，在本申请的另一实施例中，公开了另一种资源访问系统8。该系统在上述图7对应实施例的基础上，还包括：

网关列表返回模块76，当上述单包认证通过后，SDP控制器向客户端返回待连接的SDP网关。

网关连接建立模块77，客户端在获得上述SDP网关的访问授权后，与上述SDP网关建立连接。

令牌提取模块78，SDP网关获取上述业务访问请求，提取关联访问用户的用户身份令牌。

权限判断模块79，SDP网关根据用户身份令牌，判断上述访问用户是否具有访问上述目标业务资源的权限。

若上述访问用户具有访问上述目标业务资源的权限，则执行允许访问模块80：SDP网关允许客户端访问上述目标业务资源。

若上述访问用户不具有访问上述目标业务资源的权限，则执行拒绝访问模块81：SDP网关拒绝客户端访问上述目标业务资源。

具体而言，当上述单包认证通过后，控制器为客户端分发身份令牌。SDP控制器确定SDP客户端可以连接的SDP网关列表。SDP控制器通知SDP网关接收来自SDP客户端的通信，以及加密通信所需的所有可选安全策略、访问权限列表。SDP客户端向每个可接受连接的SDP网关发起单包授权，并创建与这些SDP网关的双向加密连接，例如TSL(Transport LayerSecurity,安全传输层协议)连接方式等。SDP客户端的业务访问请求到达SDP网关后，SDP网关提取用户身份令牌，根据用户身份令牌、要访问的业务和用户的权限确认用户是否有权限访问该业务。允许访问的业务访问请求予以放行。

如图9所示，在本申请的另一实施例中，公开了另一种资源访问系统9。该系统在上述图7对应实施例的基础上，还包括：

认证参考信息生成模块71，客户端分别生成不同安全级别的业务资源对应的认证参考信息，并将业务资源和认证参考信息的映射关系注册于SDP控制器。

终端备案模块72，SDP控制器基于上述认证参考信息，对客户端进行终端备案。

如图10所示，在本申请的另一实施例中，公开了另一种资源访问系统10。该系统在上述图9对应实施例的基础上，认证参考信息生成模块71包括：

计算参数组合获取单元711，客户端获取用于对不同安全级别的业务资源进行安全认证的对应的用户访问参数组合。上述用户访问参数组合包括多个访问参数。

哈希计算执行单元712，客户端利用哈希算法对上述用户访问参数组合进行哈希计算，生成哈希字符串，作为认证参考信息；并将业务资源和认证参考信息的映射关系注册于SDP控制器。

如图11所示，在本申请的另一实施例中，公开了另一种资源访问系统11。该系统在上述图9对应实施例的基础上，还包括：

待认证信息生成模块70，客户端获取关联访问用户的第一账号和第一密码，并根据上述第一账号和第一密码，生成待认证信息。

具体实施时，可以为客户端获取客户端所在的设备指纹信息、关联访问用户的第一账号和第一密码。然后客户端利用哈希算法对上述设备指纹信息、第一账号和第一密码，进行哈希计算，生成哈希字符串，作为待认证信息。

本发明一实施例还公开了一种资源访问设备，包括处理器和存储器，其中存储器存储有所述处理器的可执行程序；处理器配置为经由执行可执行程序来执行上述资源访问方法中的步骤。图12是本发明公开的资源访问设备的结构示意图。下面参照图12来描述根据本发明的这种实施方式的电子设备600。图12显示的电子设备600仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图12所示，电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于：至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。

其中，存储单元存储有程序代码，程序代码可以被处理单元610执行，使得处理单元610执行本说明书上述资源访问方法部分中描述的根据本发明各种示例性实施方式的步骤。例如，处理单元610可以执行如图1中所示的步骤。

存储单元620可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202，还可以进一步包括只读存储单元(ROM)6203。

存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204，这样的程序模块6205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线630可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备600交互的设备通信，和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且，电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备600使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储平台等。

本发明还公开了一种计算机可读存储介质，用于存储程序，所述程序被执行时实现上述资源访问方法中的步骤。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在终端设备上运行时，程序代码用于使终端设备执行本说明书上述资源访问方法中描述的根据本发明各种示例性实施方式的步骤。

如上所示，该实施例的计算机可读存储介质的程序在执行时，通过在SDP架构中加入预置信息，生成不同的准入策略并对其预先注册，使得用户无需每次访问业务时都输入账号和密码来进行客户端登录，可通过比对预注册信息和业务访问请求中的实时访问信息验证用户可信与设备可信；并且，根据访问业务的安全级别不同，设置不同的业务准入策略，实现动态SDP；本申请实现在保证用户访问业务安全性的同时提升了用户使用便利性。

本发明一实施例公开了一种计算机可读存储介质。该存储介质是实现上述方法的程序产品，其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

本发明实施例提供的资源访问方法、系统、设备及存储介质通过在SDP架构中加入预置信息，生成不同的准入策略并对其预先注册，使得用户无需每次访问业务时都输入账号和密码来进行客户端登录，可通过比对预注册信息和业务访问请求中的实时访问信息验证用户可信与设备可信；并且，根据访问业务的安全级别不同，设置不同的业务准入策略，实现动态SDP；本申请实现在保证用户访问业务安全性的同时提升了用户使用便利性。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

Claims (12)

1.一种资源访问方法，其特征在于，包括以下步骤：

客户端分别生成不同安全级别的业务资源对应的认证参考信息，并将业务资源和认证参考信息的映射关系注册于SDP控制器；

SDP控制器基于所述认证参考信息，对客户端进行终端备案；

客户端向SDP控制器发送业务访问请求，所述业务访问请求中包括与请求访问的目标业务资源匹配的待认证信息；

SDP控制器获取客户端发送的业务访问请求中的所述待认证信息，并获取预先注册的与所述目标业务资源匹配的认证参考信息；

SDP控制器根据所述待认证信息和所述认证参考信息，对所述客户端进行单包认证。

2.如权利要求1所述的资源访问方法，其特征在于，所述方法还包括：

当认证通过后，SDP控制器向客户端返回待连接的SDP网关；

客户端在获得所述SDP网关的访问授权后，与所述SDP网关建立连接。

3.如权利要求2所述的资源访问方法，其特征在于，所述方法还包括：

所述SDP网关获取所述业务访问请求，提取关联访问用户的用户身份令牌；

所述SDP网关根据所述用户身份令牌，判断所述访问用户是否具有访问所述目标业务资源的权限；

若所述访问用户具有访问所述目标业务资源的权限，则所述SDP网关允许客户端访问所述目标业务资源。

4.如权利要求1所述的资源访问方法，其特征在于，所述方法还包括：

当认证未通过，SDP控制器向客户端发送用于提示访问用户输入第二账号和第二密码的提示信息；

SDP控制器获取访问用户输入的第二账号和第二密码，基于所述第二账号和第二密码对客户端进行认证。

5.如权利要求1所述的资源访问方法，其特征在于，在所述客户端向SDP控制器发送业务访问请求之前，所述方法还包括：

客户端获取关联访问用户的第一账号和第一密码，并根据所述第一账号和第一密码，生成待认证信息。

6.如权利要求1所述的资源访问方法，其特征在于，在所述客户端向SDP控制器发送业务访问请求之前，所述方法还包括：

客户端将所述认证参考信息存储于本地。

7.如权利要求1所述的资源访问方法，其特征在于，所述客户端分别生成不同安全级别的业务资源对应的认证参考信息，包括：

客户端获取用于对不同安全级别的业务资源进行安全认证的对应的用户访问参数组合；所述用户访问参数组合包括多个访问参数；

客户端利用哈希算法对所述用户访问参数组合进行哈希计算，生成哈希字符串，作为认证参考信息。

8.如权利要求7所述的资源访问方法，其特征在于，所述业务资源的安全级别越高，对应的用于安全认证的用户访问参数组合中包含的访问参数数量越多。

9.如权利要求5所述的资源访问方法，其特征在于，所述客户端获取关联访问用户的第一账号和第一密码，并根据所述第一账号和第一密码，生成待认证信息，包括：

客户端获取客户端所在的设备指纹信息、关联访问用户的第一账号和第一密码；

客户端利用哈希算法对所述设备指纹信息、第一账号和第一密码，进行哈希计算，生成哈希字符串，作为待认证信息。

10.一种资源访问系统，用于实现如权利要求1所述的资源访问方法，其特征在于，所述系统包括：

认证参考信息生成模块，客户端分别生成不同安全级别的业务资源对应的认证参考信息，并将业务资源和认证参考信息的映射关系注册于SDP控制器；

终端备案模块，SDP控制器基于上述认证参考信息，对客户端进行终端备案；

业务访问请求发送模块，客户端向SDP控制器发送业务访问请求，所述业务访问请求中包括与请求访问的目标业务资源匹配的待认证信息；

比对信息获取模块，SDP控制器获取客户端发送的业务访问请求中的所述待认证信息，并获取预先注册的与所述目标业务资源匹配的认证参考信息；

单包认证模块，SDP控制器根据所述待认证信息和所述认证参考信息，对所述客户端进行单包认证。

11.一种资源访问设备，其特征在于，包括：

处理器；

存储器，其中存储有所述处理器的可执行程序；

其中，所述处理器配置为经由执行所述可执行程序来执行权利要求1至9中任意一项所述资源访问方法的步骤。

12.一种计算机可读存储介质，用于存储程序，其特征在于，所述程序被处理器执行时实现权利要求1至9中任意一项所述资源访问方法的步骤。