CN116032546A - 一种资源访问方法、装置及电子设备 - Google Patents

一种资源访问方法、装置及电子设备 Download PDF

Info

Publication number
CN116032546A
CN116032546A CN202211580670.6A CN202211580670A CN116032546A CN 116032546 A CN116032546 A CN 116032546A CN 202211580670 A CN202211580670 A CN 202211580670A CN 116032546 A CN116032546 A CN 116032546A
Authority
CN
China
Prior art keywords
user terminal
resource
access
resource access
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211580670.6A
Other languages
English (en)
Inventor
党帆
赵帅鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202211580670.6A priority Critical patent/CN116032546A/zh
Publication of CN116032546A publication Critical patent/CN116032546A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本申请提供一种资源访问方法、装置及电子设备,应用于网络安全技术领域,其中,资源访问方法包括:根据用户终端发送的资源访问请求获取用户终端对应的用户信息;其中,资源访问请求用于指示用户终端想要访问的资源;根据用户信息判断用户终端是否能够访问资源;若用户终端能够访问资源,向资源服务器发送资源访问请求,以使用户终端对资源进行访问。在上述方案中,即使用户终端由于所处的环境变化等原因而失去对部分应用的访问权限时,由于用户终端在每次进行资源访问前均会对用户终端进行验证,因此可以避免用户终端的越权访问行为,从而提高安全性。

Description

一种资源访问方法、装置及电子设备
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种资源访问方法、装置及电子设备。
背景技术
网关设备是多个网络间提供数据转换服务的计算机系统或设备,例如:SSL VPN网关是基于安全套接层协议建立远程安全访问通道的一种VPN设备,它利用SSL协议在共用网络中建立一个安全可信任的数据传输通道。在现有技术中,SSL VPN网关主要是通过建立SSL隧道,实现用户终端和业务服务器之间的数据加密;其中,在SSL VPN建立SSL隧道之前,SSL VPN网关会对用户终端进行身份认证,并在认证通过后创建会话。
但是,用户终端在通过网关设备认证成功后,当用户终端由于所处的环境变化等原因而失去对部分应用的访问权限时,无法及时阻断该用户终端的越权访问行为,从而导致安全性较低。
发明内容
本申请实施例的目的在于提供一种资源访问方法、装置及电子设备,用以解决现有技术中安全性较低的技术问题。
第一方面,本申请实施例提供一种资源访问方法,应用于网关设备,包括:根据用户终端发送的资源访问请求获取所述用户终端对应的用户信息;其中,所述资源访问请求用于指示所述用户终端想要访问的资源;根据所述用户信息判断所述用户终端是否能够访问所述资源;若所述用户终端能够访问所述资源,向资源服务器发送所述资源访问请求,以使所述用户终端对所述资源进行访问。
在上述方案中,在用户终端认证通过后,用户终端可以通过发送资源访问请求来对资源进行访问,此时,网关设备可以根据用户终端发送的资源访问请求再次对用户终端进行验证。因此,即使用户终端由于所处的环境变化等原因而失去对部分应用的访问权限时,由于用户终端在每次进行资源访问前均会对用户终端进行验证,因此可以避免用户终端的越权访问行为,从而提高安全性。
在可选的实施方式中,在所述根据用户终端发送的资源访问请求获取所述用户终端对应的用户信息之前,所述方法还包括:接收所述用户终端发送的认证请求;根据所述认证请求对所述用户终端进行认证;若所述用户终端认证通过,则与所述用户终端建立隧道。在上述方案中,用户终端在进行资源访问之前,网关设备可以对用户终端进行认证,从而与用户终端建立安全性较高的隧道。因此,可以保证网关设备与用户终端之间的数据传输的安全性。
在可选的实施方式中,在所述若所述用户终端能够访问所述资源,向资源服务器发送所述资源访问请求,以使所述用户终端对所述资源进行访问之后,所述方法还包括:接收中断指令;其中,所述中断指令用于表征中断所述用户终端下载所述资源的过程;根据所述中断指令中断所述用户终端下载所述资源的过程。在上述方案中,在用户终端访问并下载资源的过程中,网关设备可以根据中断指令中断用户终端下载资源的过程,从而提高安全性。
第二方面,本申请实施例提供一种资源访问方法,应用于控制服务器,包括:根据网关设备发送的验证请求获取所述用户终端对应的用户信息;其中,所述验证请求为所述网关设备根据所述用户终端发送的资源访问请求生成的,所述资源访问请求用于指示所述用户终端想要访问的资源;根据所述用户信息判断所述用户终端是否能够访问所述资源;若所述用户终端能够访问所述资源,向所述网关设备返回验证通过信息,以使所述网关设备向资源服务器发送所述资源访问请求,使所述用户终端对所述资源进行访问。
在上述方案中,在用户终端认证通过后,用户终端可以通过发送资源访问请求来对资源进行访问,此时,控制服务器可以根据用户终端发送的资源访问请求再次对用户终端进行验证。因此,即使用户终端由于所处的环境变化等原因而失去对部分应用的访问权限时,由于用户终端在每次进行资源访问前均会对用户终端进行验证,因此可以避免用户终端的越权访问行为,从而提高安全性。
在可选的实施方式中,在所述根据网关设备发送的验证请求获取所述用户终端对应的用户信息之前,所述方法还包括:接收所述网关设备发送的认证请求;其中,所述认证请求为所述用户终端发送给所述网关设备的;根据所述认证请求对所述用户终端进行认证;若所述用户终端认证通过,则向所述网关设备返回认证通过信息,以使所述网关设备与所述用户终端建立隧道。在上述方案中,用户终端在进行资源访问之前,控制服务器可以对用户终端进行认证,从而使网关设备与用户终端建立安全性较高的隧道。因此,可以保证网关设备与用户终端之间的数据传输的安全性。
第三方面,本申请实施例提供一种资源访问装置,应用于网关设备,包括:第一获取模块,用于根据用户终端发送的资源访问请求获取所述用户终端对应的用户信息;其中,所述资源访问请求用于指示所述用户终端想要访问的资源;第一判断模块,用于根据所述用户信息判断所述用户终端是否能够访问所述资源;发送模块,用于若所述用户终端能够访问所述资源,向资源服务器发送所述资源访问请求,以使所述用户终端对所述资源进行访问。
在上述方案中,在用户终端认证通过后,用户终端可以通过发送资源访问请求来对资源进行访问,此时,网关设备可以根据用户终端发送的资源访问请求再次对用户终端进行验证。因此,即使用户终端由于所处的环境变化等原因而失去对部分应用的访问权限时,由于用户终端在每次进行资源访问前均会对用户终端进行验证,因此可以避免用户终端的越权访问行为,从而提高安全性。
在可选的实施方式中,所述资源访问装置还包括:第一接收模块,用于接收所述用户终端发送的认证请求;第一认证模块,用于根据所述认证请求对所述用户终端进行认证;建立模块,用于若所述用户终端认证通过,则与所述用户终端建立隧道。在上述方案中,用户终端在进行资源访问之前,网关设备可以对用户终端进行认证,从而与用户终端建立安全性较高的隧道。因此,可以保证网关设备与用户终端之间的数据传输的安全性。
在可选的实施方式中,所述资源访问装置还包括:第二接收模块,用于接收中断指令;其中,所述中断指令用于表征中断所述用户终端下载所述资源的过程;中断模块,用于根据所述中断指令中断所述用户终端下载所述资源的过程。在上述方案中,在用户终端访问并下载资源的过程中,网关设备可以根据中断指令中断用户终端下载资源的过程,从而提高安全性。
第四方面,本申请实施例提供一种资源访问装置,应用于控制服务器,包括:第二获取模块,用于根据网关设备发送的验证请求获取所述用户终端对应的用户信息;其中,所述验证请求为所述网关设备根据所述用户终端发送的资源访问请求生成的,所述资源访问请求用于指示所述用户终端想要访问的资源;第二判断模块,用于根据所述用户信息判断所述用户终端是否能够访问所述资源;第一返回模块,用于若所述用户终端能够访问所述资源,向所述网关设备返回验证通过信息,以使所述网关设备向资源服务器发送所述资源访问请求,使所述用户终端对所述资源进行访问。
在上述方案中,在用户终端认证通过后,用户终端可以通过发送资源访问请求来对资源进行访问,此时,控制服务器可以根据用户终端发送的资源访问请求再次对用户终端进行验证。因此,即使用户终端由于所处的环境变化等原因而失去对部分应用的访问权限时,由于用户终端在每次进行资源访问前均会对用户终端进行验证,因此可以避免用户终端的越权访问行为,从而提高安全性。
在可选的实施方式中,所述资源访问装置还包括:第三接收模块,用于接收所述网关设备发送的认证请求;其中,所述认证请求为所述用户终端发送给所述网关设备的;第二认证模块,用于根据所述认证请求对所述用户终端进行认证;第二返回模块,用于若所述用户终端认证通过,则向所述网关设备返回认证通过信息,以使所述网关设备与所述用户终端建立隧道。在上述方案中,用户终端在进行资源访问之前,控制服务器可以对用户终端进行认证,从而使网关设备与用户终端建立安全性较高的隧道。因此,可以保证网关设备与用户终端之间的数据传输的安全性。
第五方面,本申请实施例提供一种计算机程序产品,包括计算机程序指令,所述计算机程序指令被处理器读取并运行时,执行如第一方面所述的资源访问方法或者如第二方面所述的资源访问方法。
第六方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线;所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述计算机程序指令能够执行如第一方面所述的资源访问方法或者如第二方面所述的资源访问方法。
第五方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序指令,所述计算机程序指令被计算机运行时,使所述计算机执行如第一方面所述的资源访问方法或者如第二方面所述的资源访问方法。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举本申请实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种资源访问系统的结构框图;
图2为本申请实施例提供的另一种资源访问系统的结构框图;
图3为本申请实施例提供的一种应用于网关设备的资源访问方法的流程图;
图4为本申请实施例提供的一种应用于控制服务器的资源访问方法的流程图;
图5为本申请实施例提供的一种应用于网关设备的资源访问装置的结构框图;
图6为本申请实施例提供的一种应用于控制服务器的资源访问装置的结构框图;
图7为本申请实施例提供的一种电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
请参照图1,图1为本申请实施例提供的一种资源访问系统的结构框图,该资源访问系统100包括用户终端101、网关设备102以及资源服务器103,其中,用户终端101与网关设备102连接,网关设备102与资源服务器103连接。在该资源访问系统100中,用户可以通过用户终端101访问资源服务器103上的资源;网关设备102可以在用户终端101进行资源访问前对用户终端101进行认证以及可以在用户终端101进行资源访问时对用户终端101进行再次验证。
请参照图2,图2为本申请实施例提供的另一种资源访问系统的结构框图,该资源访问系统200包括用户终端201、网关设备202、控制服务器203以及资源服务器204,其中,用户终端201与网关设备202连接,网关设备202与控制服务器203以及资源服务器204连接。在该资源访问系统200中,用户可以通过用户终端201访问资源服务器204上的资源;控制服务器203可以在用户终端101进行资源访问前对用户终端101进行认证以及可以在用户终端101进行资源访问时对用户终端101进行再次验证。
基于上述图1示出的资源访问系统,本申请实施例提供一种资源访问方法。请参照图3,图3为本申请实施例提供的一种应用于网关设备的资源访问方法的流程图,该资源访问方法可以包括如下步骤:
步骤S301:根据用户终端发送的资源访问请求获取用户终端对应的用户信息。
步骤S302:根据用户信息判断用户终端是否能够访问资源。
步骤S303:若用户终端能够访问资源,向资源服务器发送资源访问请求,以使用户终端对资源进行访问。
具体的,在上述步骤S301中,用户终端可以向网关设备发送资源访问请求,资源访问请求用于指示用户终端想要访问的资源。其中,资源访问请求中可以包括用户信息。
需要说明的是,本申请实施例对用户信息的具体实施方式不作具体的限定,本领域技术人员可以根据实际情况进行合适的调整。举例来说,用户信息可以包括用户名、用户密码、用户终端对应的硬件信息等。
在上述步骤S302中,网关设备可以根据上述用户信息对用户进行验证,具体来说,可以根据上述用户信息判断该用户终端是否能够访问上述资源访问请求中指示想要访问的资源。其中,判断结果可以包括:第一种情况,用户终端能够访问资源;第二种情况,用户终端不能够访问资源。
可以理解的是,根据网关设备中预先存储的验证规则的不同,对用户终端进行判断的结果也可能不同。举例来说,在验证规则中,该用户终端对应的用户名不能够访问对应的资源;或者,在验证规则中,该用户终端对应的硬件信息不能够访问对应的资源等。
在上述步骤S303中,在用户终端验证通过,即用户终端能够访问对应的资源时,网关设备可以向资源服务器发送资源访问请求;资源服务器在接收到上述资源访问请求之后,用户终端可以访问该资源服务器上对应的资源。
在用户终端验证失败时,即用户终端不能够访问对应的资源时,网关设备可以向用户终端返回表征验证失败的信息;用户终端在接收到上述信息后,可以跳转到错误页面,并提示用户已无权访问该资源。
在上述方案中,在用户终端认证通过后,用户终端可以通过发送资源访问请求来对资源进行访问,此时,网关设备可以根据用户终端发送的资源访问请求再次对用户终端进行验证。因此,即使用户终端由于所处的环境变化等原因而失去对部分应用的访问权限时,由于用户终端在每次进行资源访问前均会对用户终端进行验证,因此可以避免用户终端的越权访问行为,从而提高安全性。
进一步的,在上述实施例的基础上,在上述步骤S301之前,本申请实施例提供的资源访问方法还可以包括如下步骤:
步骤1),接收用户终端发送的认证请求。
步骤2),根据认证请求对用户终端进行认证。
步骤3),若用户终端认证通过,则与用户终端建立隧道。
具体的,用户终端在访问资源之前,网关设备可以先对用户终端进行初步的认证。在上述步骤1)中,用户终端可以向网关设备发送认证请求。
需要说明的是,本申请实施例对上述认证请求的具体实施方式不作具体的限定,本领域技术人员可以根据实际情况进行合适的调整。举例来说,认证请求可以包括用户终端对应的硬件信息、网卡信息、用户信息等。
作为一种实施方式,用户终端可以获取本地的硬件信息、网卡信息等,然后将上述信息写入认证请求的包头中,以使网关设备可以从上述包头中获取到用户终端对应的信息,并根据上述信息进行认证。
在上述步骤2)中,网关设备在接收到上述认证请求后,可以根据上述认证请求对用户终端进行认证。其中,认证结果可以包括:第一种情况,用户终端认证通过;第二种情况,用户终端认证失败。
可以理解的是,根据网关设备中预先存储的认证规则的不同,对用户终端进行认证的结果也可能不同。举例来说,在认证规则中,该用户终端对应的用户信息不属于白名单中的用户信息,因此认证不通过;或者,在认证规则中,该用户终端对应的硬件信息属于白名单中的硬件信息,因此认证通过等。
在上述步骤3)中,当用户终端认证通过时,网关设备可以与用户终端建立隧道,这样,网关设备对用户终端的初步认证通过,用户终端可以通过该隧道与网关设备进行数据通信。
作为一种实施方式,在上述步骤3)之后,网关设备可以创建新的报文,并将用户信息写入上述新的报文中,并将该报文转发给资源服务器;资源服务器可以返回该用户终端所允许访问的资源信息;用户终端上可以显示对应的资源列表页面。
可以理解的是,当网关设备对用户终端认证成功时,用户终端可以向网关设备发送资源访问请求,网关设备再对用户终端进行验证,并在验证通过时将资源访问请求转发给资源服务器;当网关设备对用户终端验证失败时,用户终端不能向网关设备发送资源访问请求,也就无需再对用户终端进行验证。
在上述方案中,用户终端在进行资源访问之前,网关设备可以对用户终端进行认证,从而与用户终端建立安全性较高的隧道。因此,可以保证网关设备与用户终端之间的数据传输的安全性。
进一步的,在上述实施例的基础上,在上述步骤S303之后,本申请实施例提供的资源访问方法还可以包括如下步骤:
步骤1),接收中断指令。
步骤2),根据中断指令中断用户终端下载资源的过程。
具体的,可以理解的是,作为一种实施方式,用户终端访问的资源的数据量较小,因此用户终端在较短的时间内便可以获取到完整的资源;作为另一种实施方式,用户终端访问的资源的数据量较大,因此用户终端需要较长的时间对资源进行下载,才能获取到完整的资源。
其中,在上述第二种实施方式中,可能存在用户终端在下载一个大文件的过程中,该用户终端的额权限发生变更,因此,此时需要掐断该用户终端的下载过程。
在需要掐断某用户终端的下载过程时,网关设备会接收到中断指令,其中,该中断指令用于表征中断用户终端下载资源的过程;然后,网关设备可以根据该中断指令中断该用户终端的下载过程。
在上述方案中,在用户终端访问并下载资源的过程中,网关设备可以根据中断指令中断用户终端下载资源的过程,从而提高安全性。
下面对本申请实施例提供的应用于图1示出的一种资源访问方法的交互过程进行介绍,该资源访问方法可以包括如下步骤:
步骤1):用户终端向网关设备发送认证请求。
步骤2):网关设备接收用户终端发送的认证请求。
步骤3):网关设备根据认证请求对用户终端进行认证。
步骤4):若用户终端认证通过,则网关设备与用户终端建立隧道。
步骤5):用户终端向网关设备发送资源访问请求。
步骤6):网关设备根据用户终端发送的资源访问请求获取用户终端对应的用户信息。
步骤7):网关设备根据用户信息判断用户终端是否能够访问资源。
步骤8):若用户终端能够访问资源,网关设备向资源服务器发送资源访问请求。
步骤9):资源服务器接收资源访问请求,并使用户终端对资源进行访问。
基于上述图2示出的资源访问系统,本申请实施例提供另一种资源访问方法。请参照图4,图4为本申请实施例提供的一种应用于控制服务器的资源访问方法的流程图,该资源访问方法可以包括如下步骤:
步骤S401:根据网关设备发送的验证请求获取用户终端对应的用户信息。
步骤S402:根据用户信息判断用户终端是否能够访问资源。
步骤S403:若用户终端能够访问资源,向网关设备返回验证通过信息,以使网关设备向资源服务器发送资源访问请求,使用户终端对资源进行访问。
具体的,在上述步骤S401中,用户终端可以向网关设备发送资源访问请求,资源访问请求用于指示用户终端想要访问的资源;网关设备可以根据上述资源访问请求生成对应的验证请求,并将该验证请求发送给控制服务器。
其中,资源访问请求中可以包括用户信息。需要说明的是,本申请实施例对用户信息的具体实施方式不作具体的限定,本领域技术人员可以根据实际情况进行合适的调整。举例来说,用户信息可以包括用户名、用户密码、用户终端对应的硬件信息等。网关设备可以提取资源访问请求中的用户信息,并基于上述用户信息生成验证请求。
在上述步骤S402中,控制服务器可以根据上述用户信息对用户进行验证,具体来说,可以根据上述用户信息判断该用户终端是否能够访问上述资源访问请求中指示想要访问的资源。其中,判断结果可以包括:第一种情况,用户终端能够访问资源;第二种情况,用户终端不能够访问资源。
可以理解的是,根据控制服务器中预先存储的验证规则的不同,对用户终端进行判断的结果也可能不同。举例来说,在验证规则中,该用户终端对应的用户名不能够访问对应的资源;或者,在验证规则中,该用户终端对应的硬件信息不能够访问对应的资源等。
在上述步骤S403中,在用户终端验证通过,即用户终端能够访问对应的资源时,控制服务器可以向网关设备返回验证通过信息;网关设备在接收到上述验证通过信息后,可以向资源服务器发送资源访问请求;资源服务器在接收到上述资源访问请求之后,用户终端可以访问该资源服务器上对应的资源。
在用户终端验证失败时,即用户终端不能够访问对应的资源时,控制服务器可以向网关设备返回验证失败信息,网关设备将该验证失败信息转发给用户终端;用户终端在接收到上述信息后,可以跳转到错误页面,并提示用户已无权访问该资源。
在上述方案中,在用户终端认证通过后,用户终端可以通过发送资源访问请求来对资源进行访问,此时,控制服务器可以根据用户终端发送的资源访问请求再次对用户终端进行验证。因此,即使用户终端由于所处的环境变化等原因而失去对部分应用的访问权限时,由于用户终端在每次进行资源访问前均会对用户终端进行验证,因此可以避免用户终端的越权访问行为,从而提高安全性。
进一步的,在上述实施例的基础上,在上述步骤S501之前,本申请实施例提供的资源访问方法还可以包括如下步骤:
步骤1),接收网关设备发送的认证请求。
步骤2),根据认证请求对用户终端进行认证。
步骤3),若用户终端认证通过,则向网关设备返回认证通过信息,以使网关设备与用户终端建立隧道。
具体的,用户终端在访问资源之前,控制服务器可以先对用户终端进行初步的认证。在上述步骤1)中,用户终端可以向网关设备发送认证请求,网关设备可以将上述认证请求转发给控制服务器。
需要说明的是,本申请实施例对上述认证请求的具体实施方式不作具体的限定,本领域技术人员可以根据实际情况进行合适的调整。举例来说,认证请求可以包括用户终端对应的硬件信息、网卡信息、用户信息等。
作为一种实施方式,用户终端可以获取本地的硬件信息、网卡信息等,然后将上述信息写入认证请求的包头中,以使控制服务器可以从上述包头中获取到用户终端对应的信息,并根据上述信息进行认证。
在上述步骤2)中,控制服务器在接收到上述认证请求后,可以根据上述认证请求对用户终端进行认证。其中,认证结果可以包括:第一种情况,用户终端认证通过;第二种情况,用户终端认证失败。
可以理解的是,根据控制服务器中预先存储的认证规则的不同,对用户终端进行认证的结果也可能不同。举例来说,在认证规则中,该用户终端对应的用户信息不属于白名单中的用户信息,因此认证不通过;或者,在认证规则中,该用户终端对应的硬件信息属于白名单中的硬件信息,因此认证通过等。
在上述步骤3)中,当用户终端认证通过时,控制服务器可以与用户终端建立隧道,这样,网关设备对用户终端的初步认证通过,用户终端可以向网关设备返回认证通过信息;网关设备在接收到上述认证通过信息后,可以与用户终端建立隧道,用户终端可以通过该隧道与网关设备进行数据通信。
作为一种实施方式,在上述步骤3)之后,网关设备可以创建新的报文,并将用户信息写入上述新的报文中,并将该报文转发给资源服务器;资源服务器可以返回该用户终端所允许访问的资源信息;用户终端上可以显示对应的资源列表页面。
可以理解的是,当控制服务器对用户终端认证成功时,用户终端可以向网关设备发送资源访问请求,控制服务器再对用户终端进行验证,并在验证通过时由网关设备将资源访问请求转发给资源服务器;当控制服务器对用户终端验证失败时,用户终端不能向网关设备发送资源访问请求,也就无需再对用户终端进行验证。
需要说明的是,上述认证以及验证的过程可以均由网关设备或者控制服务器执行,也可以认证过程由网关设备执行、验证过程由控制服务器执行,还可以认证过程由控制服务器执行、验证过程由网关设备执行。
在上述方案中,用户终端在进行资源访问之前,控制服务器可以对用户终端进行认证,从而使网关设备与用户终端建立安全性较高的隧道。因此,可以保证网关设备与用户终端之间的数据传输的安全性。
下面对本申请实施例提供的应用于图2示出的一种资源访问方法的交互过程进行介绍,该资源访问方法可以包括如下步骤:
步骤1):用户终端向网关设备发送认证请求。
步骤2):网关设备将认证请求发送给控制服务器。
步骤3):控制服务器接收网关设备发送的认证请求。
步骤4):控制服务器根据认证请求对用户终端进行认证。
步骤5):若用户终端认证通过,则控制服务器向网关设备返回认证通过信息。
步骤6):网关设备与用户终端建立隧道。
步骤7):用户终端向网关设备发送资源访问请求。
步骤8):网关设备向控制服务器发送资源访问请求。
步骤9):控制服务器根据网关设备发送的验证请求获取用户终端对应的用户信息。
步骤10):控制服务器根据用户信息判断用户终端是否能够访问所述资源。
步骤11):若用户终端能够访问资源,控制服务器向网关设备返回验证通过信息。
步骤12):网关设备向资源服务器发送资源访问请求。
步骤13):资源服务器接收资源访问请求,并使用户终端对资源进行访问。
请参照图5,图5为本申请实施例提供的一种应用于网关设备的资源访问装置的结构框图,该资源访问装置500可以包括:第一获取模块501,用于根据用户终端发送的资源访问请求获取所述用户终端对应的用户信息;其中,所述资源访问请求用于指示所述用户终端想要访问的资源;第一判断模块502,用于根据所述用户信息判断所述用户终端是否能够访问所述资源;发送模块503,用于若所述用户终端能够访问所述资源,向资源服务器发送所述资源访问请求,以使所述用户终端对所述资源进行访问。
在上述方案中,在用户终端认证通过后,用户终端可以通过发送资源访问请求来对资源进行访问,此时,网关设备可以根据用户终端发送的资源访问请求再次对用户终端进行验证。因此,即使用户终端由于所处的环境变化等原因而失去对部分应用的访问权限时,由于用户终端在每次进行资源访问前均会对用户终端进行验证,因此可以避免用户终端的越权访问行为,从而提高安全性。
进一步的,在上述实施例的基础上,所述资源访问装置500还包括:第一接收模块,用于接收所述用户终端发送的认证请求;第一认证模块,用于根据所述认证请求对所述用户终端进行认证;建立模块,用于若所述用户终端认证通过,则与所述用户终端建立隧道。
在上述方案中,用户终端在进行资源访问之前,网关设备可以对用户终端进行认证,从而与用户终端建立安全性较高的隧道。因此,可以保证网关设备与用户终端之间的数据传输的安全性。
进一步的,在上述实施例的基础上,所述资源访问装置500还包括:第二接收模块,用于接收中断指令;其中,所述中断指令用于表征中断所述用户终端下载所述资源的过程;中断模块,用于根据所述中断指令中断所述用户终端下载所述资源的过程。
在上述方案中,在用户终端访问并下载资源的过程中,网关设备可以根据中断指令中断用户终端下载资源的过程,从而提高安全性。
请参照图6,图6为本申请实施例提供的一种应用于控制服务器的资源访问装置的结构框图,该资源访问装置600可以包括:第二获取模块601,用于根据网关设备发送的验证请求获取所述用户终端对应的用户信息;其中,所述验证请求为所述网关设备根据所述用户终端发送的资源访问请求生成的,所述资源访问请求用于指示所述用户终端想要访问的资源;第二判断模块602,用于根据所述用户信息判断所述用户终端是否能够访问所述资源;第一返回模块603,用于若所述用户终端能够访问所述资源,向所述网关设备返回验证通过信息,以使所述网关设备向资源服务器发送所述资源访问请求,使所述用户终端对所述资源进行访问。
在上述方案中,在用户终端认证通过后,用户终端可以通过发送资源访问请求来对资源进行访问,此时,控制服务器可以根据用户终端发送的资源访问请求再次对用户终端进行验证。因此,即使用户终端由于所处的环境变化等原因而失去对部分应用的访问权限时,由于用户终端在每次进行资源访问前均会对用户终端进行验证,因此可以避免用户终端的越权访问行为,从而提高安全性。
进一步的,在上述实施例的基础上,所述资源访问装置600还包括:第三接收模块,用于接收所述网关设备发送的认证请求;其中,所述认证请求为所述用户终端发送给所述网关设备的;第二认证模块,用于根据所述认证请求对所述用户终端进行认证;第二返回模块,用于若所述用户终端认证通过,则向所述网关设备返回认证通过信息,以使所述网关设备与所述用户终端建立隧道。
在上述方案中,用户终端在进行资源访问之前,控制服务器可以对用户终端进行认证,从而使网关设备与用户终端建立安全性较高的隧道。因此,可以保证网关设备与用户终端之间的数据传输的安全性。
请参照图7,图7为本申请实施例提供的一种电子设备的结构框图,该电子设备700包括:至少一个处理器701,至少一个通信接口702,至少一个存储器703和至少一个通信总线704。其中,通信总线704用于实现这些组件直接的连接通信,通信接口702用于与其他节点设备进行信令或数据的通信,存储器703存储有处理器701可执行的机器可读指令。当电子设备700运行时,处理器701与存储器703之间通过通信总线704通信,机器可读指令被处理器701调用时执行上述资源访问方法。
例如,本申请实施例的处理器701通过通信总线704从存储器703读取计算机程序并执行该计算机程序可以实现如下方法:步骤S301:根据用户终端发送的资源访问请求获取用户终端对应的用户信息。步骤S302:根据用户信息判断用户终端是否能够访问资源。步骤S303:若用户终端能够访问资源,向资源服务器发送资源访问请求,以使用户终端对资源进行访问。
其中,处理器701包括一个或多个,其可以是一种集成电路芯片,具有信号的处理能力。上述的处理器701可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、微控制单元(Micro Controller Unit,简称MCU)、网络处理器(NetworkProcessor,简称NP)或者其他常规处理器;还可以是专用处理器,包括神经网络处理器(Neural-network Processing Unit,简称NPU)、图形处理器(Graphics Processing Unit,简称GPU)、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific Integrated Circuits,简称ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。并且,在处理器701为多个时,其中的一部分可以是通用处理器,另一部分可以是专用处理器。
存储器703包括一个或多个,其可以是,但不限于,随机存取存储器(RandomAccess Memory,简称RAM),只读存储器(Read Only Memory,简称ROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),可擦除可编程只读存储器(ErasableProgrammable Read-Only Memory,简称EPROM),电可擦除可编程只读存储器(ElectricErasable Programmable Read-Only Memory,简称EEPROM)等。
可以理解,图7所示的结构仅为示意,电子设备700还可包括比图7中所示更多或者更少的组件,或者具有与图7所示不同的配置。图7中所示的各组件可以采用硬件、软件或其组合实现。于本申请实施例中,电子设备700可以是,但不限于台式机、笔记本电脑、智能手机、智能穿戴设备、车载设备等实体设备,还可以是虚拟机等虚拟设备。另外,电子设备700也不一定是单台设备,还可以是多台设备的组合,例如服务器集群,等等。
本申请实施例还提供一种计算机程序产品,包括存储在计算机可读存储介质上的计算机程序,计算机程序包括计算机程序指令,当计算机程序指令被计算机执行时,计算机能够执行上述实施例中资源访问方法的步骤,例如包括:根据用户终端发送的资源访问请求获取所述用户终端对应的用户信息;其中,所述资源访问请求用于指示所述用户终端想要访问的资源;根据所述用户信息判断所述用户终端是否能够访问所述资源;若所述用户终端能够访问所述资源,向资源服务器发送所述资源访问请求,以使所述用户终端对所述资源进行访问。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序指令,所述计算机程序指令被计算机运行时,使所述计算机执行前述方法实施例所述的资源访问方法。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种资源访问方法,其特征在于,应用于网关设备,包括:
根据用户终端发送的资源访问请求获取所述用户终端对应的用户信息;其中,所述资源访问请求用于指示所述用户终端想要访问的资源;
根据所述用户信息判断所述用户终端是否能够访问所述资源;
若所述用户终端能够访问所述资源,向资源服务器发送所述资源访问请求,以使所述用户终端对所述资源进行访问。
2.根据权利要求1所述的资源访问方法,其特征在于,在所述根据用户终端发送的资源访问请求获取所述用户终端对应的用户信息之前,所述方法还包括:
接收所述用户终端发送的认证请求;
根据所述认证请求对所述用户终端进行认证;
若所述用户终端认证通过,则与所述用户终端建立隧道。
3.根据权利要求1或2所述的资源访问方法,其特征在于,在所述若所述用户终端能够访问所述资源,向资源服务器发送所述资源访问请求,以使所述用户终端对所述资源进行访问之后,所述方法还包括:
接收中断指令;其中,所述中断指令用于表征中断所述用户终端下载所述资源的过程;
根据所述中断指令中断所述用户终端下载所述资源的过程。
4.一种资源访问方法,其特征在于,应用于控制服务器,包括:
根据网关设备发送的验证请求获取用户终端对应的用户信息;其中,所述验证请求为所述网关设备根据所述用户终端发送的资源访问请求生成的,所述资源访问请求用于指示所述用户终端想要访问的资源;
根据所述用户信息判断所述用户终端是否能够访问所述资源;
若所述用户终端能够访问所述资源,向所述网关设备返回验证通过信息,以使所述网关设备向资源服务器发送所述资源访问请求,使所述用户终端对所述资源进行访问。
5.根据权利要求4所述的资源访问方法,其特征在于,在所述根据网关设备发送的验证请求获取所述用户终端对应的用户信息之前,所述方法还包括:
接收所述网关设备发送的认证请求;其中,所述认证请求为所述用户终端发送给所述网关设备的;
根据所述认证请求对所述用户终端进行认证;
若所述用户终端认证通过,则向所述网关设备返回认证通过信息,以使所述网关设备与所述用户终端建立隧道。
6.一种资源访问装置,其特征在于,应用于网关设备,包括:
第一获取模块,用于根据用户终端发送的资源访问请求获取所述用户终端对应的用户信息;其中,所述资源访问请求用于指示所述用户终端想要访问的资源;
第一判断模块,用于根据所述用户信息判断所述用户终端是否能够访问所述资源;
发送模块,用于若所述用户终端能够访问所述资源,向资源服务器发送所述资源访问请求,以使所述用户终端对所述资源进行访问。
7.一种资源访问装置,其特征在于,应用于控制服务器,包括:
第二获取模块,用于根据网关设备发送的验证请求获取用户终端对应的用户信息;其中,所述验证请求为所述网关设备根据所述用户终端发送的资源访问请求生成的,所述资源访问请求用于指示所述用户终端想要访问的资源;
第二判断模块,用于根据所述用户信息判断所述用户终端是否能够访问所述资源;
第一返回模块,用于若所述用户终端能够访问所述资源,向所述网关设备返回验证通过信息,以使所述网关设备向资源服务器发送所述资源访问请求,使所述用户终端对所述资源进行访问。
8.一种计算机程序产品,其特征在于,包括计算机程序指令,所述计算机程序指令被处理器读取并运行时,执行如权利要求1-5任一项所述的资源访问方法。
9.一种电子设备,其特征在于,包括:处理器、存储器和总线;
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述计算机程序指令能够执行如权利要求1-5任一项所述的资源访问方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储计算机程序指令,所述计算机程序指令被计算机运行时,使所述计算机执行如权利要求1-5任一项所述的资源访问方法。
CN202211580670.6A 2022-12-07 2022-12-07 一种资源访问方法、装置及电子设备 Pending CN116032546A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211580670.6A CN116032546A (zh) 2022-12-07 2022-12-07 一种资源访问方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211580670.6A CN116032546A (zh) 2022-12-07 2022-12-07 一种资源访问方法、装置及电子设备

Publications (1)

Publication Number Publication Date
CN116032546A true CN116032546A (zh) 2023-04-28

Family

ID=86075162

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211580670.6A Pending CN116032546A (zh) 2022-12-07 2022-12-07 一种资源访问方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN116032546A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117155718A (zh) * 2023-11-01 2023-12-01 北京持安科技有限公司 一种网关动态访问控制方法、装置及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117155718A (zh) * 2023-11-01 2023-12-01 北京持安科技有限公司 一种网关动态访问控制方法、装置及存储介质
CN117155718B (zh) * 2023-11-01 2024-02-20 北京持安科技有限公司 一种网关动态访问控制方法、装置及存储介质

Similar Documents

Publication Publication Date Title
CN110177124B (zh) 基于区块链的身份认证方法及相关设备
US11424915B2 (en) Terminal registration system and terminal registration method with reduced number of communication operations
CN112131021A (zh) 一种访问请求处理方法及装置
CN111669351B (zh) 鉴权方法、业务服务器、客户端及计算机可读存储介质
CN110958119A (zh) 身份验证方法和装置
CN111818088A (zh) 授权模式管理方法、装置、计算机设备及可读存储介质
CN111880919B (zh) 数据调度方法、系统和计算机设备
CN113452531A (zh) 数据传输方法及装置
CN112235301B (zh) 访问权限的验证方法、装置和电子设备
CN113225351A (zh) 一种请求处理方法、装置、存储介质及电子设备
CN111949959A (zh) Oauth协议中的授权认证方法及装置
CN116032546A (zh) 一种资源访问方法、装置及电子设备
CN112448956B (zh) 一种短信验证码的权限处理方法、装置和计算机设备
CN115022047A (zh) 基于多云网关的账户登录方法、装置、计算机设备及介质
CN112751878B (zh) 一种页面请求处理方法及装置
CN117336092A (zh) 一种客户端登录方法、装置、电子设备和存储介质
CN112738005A (zh) 访问处理方法、装置、系统、第一认证服务器及存储介质
CN113055186B (zh) 一种跨系统的业务处理方法、装置及系统
CN107846390B (zh) 应用程序的认证方法及装置
CN112544057B (zh) 区块链节点设备及其认证方法、装置、存储介质
CN114024682A (zh) 跨域单点登录方法、服务设备及认证设备
CN114595465A (zh) 数据加密处理方法、装置及电子设备
CN112039882A (zh) 一种消息传输处理方法、系统、设备及存储介质
CN111404794A (zh) 一种基于虚拟化的can总线网络共享的系统及方法
CN106330818B (zh) 客户端内嵌页面的保护方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination