CN116015695A - 资源访问方法、***、装置、终端及存储介质 - Google Patents
资源访问方法、***、装置、终端及存储介质 Download PDFInfo
- Publication number
- CN116015695A CN116015695A CN202111221829.0A CN202111221829A CN116015695A CN 116015695 A CN116015695 A CN 116015695A CN 202111221829 A CN202111221829 A CN 202111221829A CN 116015695 A CN116015695 A CN 116015695A
- Authority
- CN
- China
- Prior art keywords
- resource access
- verification
- request
- resource
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 495
- 238000012795 verification Methods 0.000 claims abstract description 415
- 230000008569 process Effects 0.000 claims abstract description 392
- 238000004590 computer program Methods 0.000 claims description 29
- 230000015654 memory Effects 0.000 claims description 28
- 238000007726 management method Methods 0.000 description 246
- 238000010586 diagram Methods 0.000 description 31
- 230000006870 function Effects 0.000 description 11
- 239000003795 chemical substances by application Substances 0.000 description 10
- 230000002093 peripheral effect Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 230000008439 repair process Effects 0.000 description 8
- 238000010200 validation analysis Methods 0.000 description 7
- 230000003993 interaction Effects 0.000 description 6
- 238000013475 authorization Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 239000000919 ceramic Substances 0.000 description 2
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000002787 reinforcement Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011981 development test Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000010409 thin film Substances 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本申请实施例公开了一种资源访问方法、***、装置、终端及存储介质,属于计算机技术领域。该方法包括:基于第一访问控制信息,拦截第一客户端发送的资源访问请求,所述第一访问控制信息指示在终端中的任一客户端发送资源访问请求的情况下拦截所述资源访问请求并执行验证操作;对所述终端当前的状态信息进行验证;在所述状态信息验证通过的情况下,基于所述第一访问控制信息对所述资源访问请求进行验证;在所述资源访问请求验证通过的情况下,基于所述资源访问请求进行资源访问。该方法结合对状态信息的验证和对资源访问请求的验证,增加了验证的信息,使验证过程更加完善,提高了资源访问的安全性。
Description
技术领域
本申请实施例涉及计算机技术领域,特别涉及一种资源访问方法、***、装置、终端及存储介质。
背景技术
随着计算机技术和互联网的快速发展,很多用户能够通过终端访问网络上的资源,为了保证访问的安全性,相关技术中会针对每个客户端提前配置好访问控制信息,在客户端开始访问资源时,基于访问控制信息验证客户端发起的资源访问请求。但是相关技术仅对资源访问请求进行验证,验证的信息较少,导致资源访问的安全性较差。
发明内容
本申请实施例提供了一种资源访问方法、***、装置、终端及存储介质,提高了资源访问的安全性。所述技术方案如下:
一方面,提供了一种资源访问方法,所述方法包括:
基于第一访问控制信息,拦截第一客户端发送的资源访问请求,所述第一访问控制信息指示在终端中的任一客户端发送资源访问请求的情况下拦截所述资源访问请求并执行验证操作;
对所述终端当前的状态信息进行验证;
在所述状态信息验证通过的情况下,基于所述第一访问控制信息对所述资源访问请求进行验证;
在所述资源访问请求验证通过的情况下,基于所述资源访问请求进行资源访问。
可选地,所述对所述用户标识进行验证,包括:
在所述用户标识属于目标标识集合的情况下,确定所述用户标识验证通过,所述目标标识集合中包含的用户标识具有访问资源的权限。
可选地,所述在所述状态信息验证通过的情况下,基于所述进程标识,从所述第一客户端获取所述进程标识对应的第一进程信息之后,所述方法还包括:
在所述管理客户端中未存储所述进程标识对应的进程信息的情况下,向所述管理服务器发送所述鉴权请求;
接收所述管理服务器返回的验证结果。
可选地,所述在所述状态信息验证通过的情况下,基于所述第一访问控制信息对所述资源访问请求进行验证,包括:
在所述状态信息验证通过之后的目标时长内,基于所述第一访问控制信息对所述资源访问请求进行验证。
可选地,所述对所述终端当前的状态信息进行验证之后,所述方法还包括:
在所述状态信息验证未通过的情况下,删除所述资源访问请求。
可选地,所述在所述状态信息验证通过的情况下,基于所述第一访问控制信息对所述资源访问请求进行验证之后,所述方法还包括:
在所述资源访问请求验证未通过的情况下,删除所述资源访问请求。
可选地,所述资源访问请求携带进程标识,所述在所述状态信息验证通过的情况下,基于所述第一访问控制信息对所述资源访问请求进行验证之后,所述方法还包括:
在所述资源访问请求验证未通过的情况下,清除所述进程标识对应的目标进程。
可选地,所述管理客户端包括第一子客户端和第二子客户端;
所述第一子客户端用于拦截资源访问请求,以及转发所述资源访问请求;
所述第二子客户端用于验证所述状态信息,以及验证所述资源访问请求。
另一方面,提供了一种资源访问方法,所述方法包括:
接收终端通过管理客户端发送的鉴权请求,所述鉴权请求携带第一进程信息,所述第一进程信息与所述管理客户端拦截到的资源访问请求中携带的进程标识对应,是从发送所述资源访问请求的第一客户端获取的,所述进程标识指示所述第一客户端中请求进行资源访问的进程;
基于第二访问控制信息,对所述鉴权请求进行验证,向所述终端返回所述鉴权请求的验证结果,所述终端用于接收所述验证结果,在所述验证结果指示所述资源访问请求验证通过的情况下基于所述资源访问请求进行资源访问,所述第二访问控制信息指示在接收到所述鉴权请求的情况下执行验证操作。
可选地,所述鉴权请求还携带所述进程标识,所述对所述鉴权请求进行验证,包括:
在所述进程标识属于进程标识集合的情况下,对所述第一进程信息进行验证,所述进程标识集合包括允许进行资源访问的进程对应的进程标识。
可选地,所述对所述第一进程信息进行验证,包括:
在所述第一进程信息与第三进程信息匹配的情况下,确定所述第一进程信息验证通过,所述第三进程信息为本端设备中与所述进程标识对应存储的进程信息;或者,
在本端设备未存储与所述进程标识对应的进程信息的情况下,向云服务器发送所述鉴权请求,接收所述云服务器返回的所述第一进程信息的验证结果,所述云服务器存储有最新的进程信息,其中所述云服务器用于基于所述鉴权请求,对所述第一进程信息进行验证。
可选地,所述对所述第一进程信息进行验证之后,所述方法还包括:
接收所述云服务器发送的第三进程信息;
将所述进程标识与所述第三进程信息对应存储。
另一方面,提供了一种资源访问方法,所述方法包括:
接收终端发送的网络请求,所述网络请求为所述终端在管理服务器对所述终端的资源访问请求验证通过的情况下发送的,所述网络请求携带所述管理服务器发送给所述终端的验证凭证;
基于第三访问控制信息,向管理服务器发送携带所述验证凭证的校验请求,所述管理服务器用于对所述验证凭证进行验证,所述第三访问控制信息指示在接收到网络请求的情况下执行验证操作;
在所述管理服务器对所述验证凭证验证通过的情况下,建立与所述终端之间的连接,所述连接用于所述终端发送所述资源访问请求。
另一方面,提供了一种资源访问***,所述资源访问***包括终端和管理服务器;
所述终端,用于通过管理客户端,基于第一访问控制信息,对第一客户端发送的资源访问请求进行拦截,所述第一访问控制信息指示在终端中的任一客户端发送资源访问请求的情况下拦截所述资源访问请求并执行验证操作;
所述终端,还用于对所述终端当前的状态信息进行验证;
所述终端,还用于在所述状态信息验证通过的情况下,基于所述第一访问控制信息,向所述管理服务器发送鉴权请求,所述鉴权请求携带第一进程信息,所述第一进程信息与所述资源访问请求中携带的进程标识对应,是从所述第一客户端获取的,所述进程标识指示所述第一客户端中请求进行资源访问的进程;
所述管理服务器,用于基于第二访问控制信息,对所述鉴权请求进行验证,向所述终端返回所述鉴权请求的验证结果,所述第二访问控制信息指示在接收到所述鉴权请求的情况下执行验证操作;
所述终端,还用于接收所述验证结果,在所述验证结果指示所述资源访问请求验证通过的情况下基于所述资源访问请求进行资源访问。
另一方面,提供了一种资源访问装置,所述装置包括:
请求拦截模块,用于基于第一访问控制信息,拦截第一客户端发送的资源访问请求,所述第一访问控制信息指示在终端中的任一客户端发送资源访问请求的情况下拦截所述资源访问请求并执行验证操作;
第一验证模块,用于对所述终端当前的状态信息进行验证;
第二验证模块,用于在所述状态信息验证通过的情况下,基于所述第一访问控制信息对所述资源访问请求进行验证;
资源访问模块,用于在所述资源访问请求验证通过的情况下,基于所述资源访问请求进行资源访问。
可选地,所述请求拦截模块,用于通过管理客户端,基于所述第一访问控制信息,拦截所述资源访问请求,所述管理客户端用于对所述终端中的客户端进行资源访问控制。
可选地,所述状态信息包括网络信息,所述第一验证模块,包括:
第一验证单元,用于获取所述终端当前所连接的网络对应的网络信息;
所述第一验证单元,还用于在所述网络信息与目标网络信息匹配的情况下,确定所述状态信息验证通过,所述目标网络信息为安全网络对应的网络信息;或者,
所述状态信息还包括登录所述管理客户端的用户标识,所述第一验证单元,还用于在所述网络信息与所述目标网络信息不匹配的情况下,对所述用户标识进行验证,在所述用户标识验证通过的情况下,确定所述状态信息验证通过。
可选地,所述状态信息包括资源类型,所述第一验证模块,包括:
第二验证单元,用于获取所述资源访问请求所请求访问的资源所属的资源类型;
所述第二验证单元,还用于在所述资源类型为公共资源类型的情况下,确定所述状态信息验证通过,属于所述公共资源类型的资源为允许登录任意用户标识的客户端访问的资源;或者,
所述状态信息还包括登录所述管理客户端的用户标识,所述第二验证单元,还用于在所述资源类型为非公共资源类型的情况下,对所述用户标识进行验证,在所述用户标识验证通过的情况下,确定所述状态信息验证通过。
可选地,所述第一验证模块,用于在所述用户标识属于目标标识集合的情况下,确定所述用户标识验证通过,所述目标标识集合中包含的用户标识具有访问资源的权限。
可选地,所述状态信息包括所述终端安装的各个客户端的客户端信息,所述第一验证模块,包括:
第三验证单元,用于获取所述终端安装的各个客户端当前的客户端信息,对各个客户端信息进行验证;
所述第二验证模块,用于在所述各个客户端信息均验证通过的情况下,基于所述第一访问控制信息对所述资源访问请求进行验证。
可选地,所述请求拦截模块,包括:
第一拦截单元,用于在所述管理客户端处于第一拦截模式的情况下,拦截所述资源访问请求,所述第一拦截模式指示拦截所述终端中任一客户端发送的、访问任一资源的资源访问请求;或者,
第二拦截单元,用于在所述管理客户端处于第二拦截模式,且所述资源访问请求携带的目标地址属于第一地址集合的情况下,拦截所述资源访问请求,所述第二拦截模式指示拦截所述终端中任一客户端发送的、用于访问非公共资源的资源访问请求,所述第一地址集合包括非公共资源的地址。
可选地,所述资源访问请求携带进程标识,所述进程标识指示请求进行资源访问的进程,所述第一访问控制信息指示对所述进程标识对应的进程信息的验证操作,所述第二验证模块,用于:
在所述状态信息验证通过的情况下,基于所述进程标识,从所述第一客户端获取所述进程标识对应的第一进程信息;
基于所述进程标识,从所述管理客户端获取所述进程标识对应的第二进程信息;
在所述第一进程信息与所述第二进程信息匹配的情况下,向所述管理客户端对应的管理服务器发送鉴权请求,所述鉴权请求携带所述第一进程信息,所述管理服务器用于基于第二访问控制信息,对所述鉴权请求进行验证,所述第二访问控制信息指示在接收到所述鉴权请求的情况下执行验证操作;
接收所述管理服务器返回的验证结果。
可选地,所述第二验证模块,用于:
在所述管理客户端中未存储所述进程标识对应的进程信息的情况下,向所述管理服务器发送所述鉴权请求;
接收所述管理服务器返回的验证结果。
可选地,所述资源访问模块,用于:
在所述资源访问请求验证通过的情况下,通过所述管理客户端,向业务服务器发送所述资源访问请求,所述业务服务器用于返回所述资源访问请求对应的所述目标资源;或者,
在所述资源访问请求验证通过的情况下,通过所述管理客户端和访问网关向业务服务器发送所述资源访问请求。
可选地,所述资源访问模块,用于:
通过所述管理客户端,向所述访问网关发送网络请求,所述网络请求携带所述管理客户端对应的管理服务器发送给所述终端的验证凭证,其中,所述访问网关用于基于第三访问控制信息,向所述管理服务器发送携带所述验证凭证的校验请求,所述管理服务器用于对所述验证凭证进行验证,向所述访问网关返回所述验证凭证的验证结果,所述访问网关还用于在所述验证凭证验证通过的情况下,建立所述访问网关与所述终端之间的连接,所述第三访问控制信息指示在接收到校验请求的情况下执行验证操作;
基于建立的连接,向所述访问网关发送所述资源访问请求,所述访问网关用于向所述业务服务器发送所述资源访问请求。
可选地,所述第二验证模块,用于:
在所述状态信息验证通过之后的目标时长内,基于所述第一访问控制信息对所述资源访问请求进行验证。
可选地,所述装置还包括:
请求删除模块,用于在所述状态信息验证未通过的情况下,删除所述资源访问请求。
可选地,所述装置还包括:
请求删除模块,用于在所述资源访问请求验证未通过的情况下,删除所述资源访问请求。
可选地,所述资源访问请求携带进程标识,所述装置还包括:
进程清除模块,用于在所述资源访问请求验证未通过的情况下,清除所述进程标识对应的目标进程。
可选地,所述管理客户端包括第一子客户端和第二子客户端;
所述第一子客户端用于拦截资源访问请求,以及转发所述资源访问请求;
所述第二子客户端用于验证所述状态信息,以及验证所述资源访问请求。
另一方面,提供了一种资源访问装置,所述装置包括:
鉴权请求接收模块,用于接收终端通过管理客户端发送的鉴权请求,所述鉴权请求携带第一进程信息,所述第一进程信息与所述管理客户端拦截到的资源访问请求中携带的进程标识对应,是从发送所述资源访问请求的第一客户端获取的,所述进程标识指示所述第一客户端中请求进行资源访问的进程;
验证模块,用于基于第二访问控制信息,对所述鉴权请求进行验证,向所述终端返回所述鉴权请求的验证结果,所述终端用于接收所述验证结果,在所述验证结果指示所述资源访问请求验证通过的情况下基于所述资源访问请求进行资源访问,所述第二访问控制信息指示在接收到所述鉴权请求的情况下执行验证操作。
可选地,所述鉴权请求还携带所述进程标识,所述验证模块,用于在所述进程标识属于进程标识集合的情况下,对所述第一进程信息进行验证,所述进程标识集合包括允许进行资源访问的进程对应的进程标识。
可选地,所述验证模块,用于:
在所述第一进程信息与第三进程信息匹配的情况下,确定所述第一进程信息验证通过,所述第三进程信息为本端设备中与所述进程标识对应存储的进程信息;或者,
在本端设备未存储与所述进程标识对应的进程信息的情况下,向云服务器发送所述鉴权请求,接收所述云服务器返回的所述第一进程信息的验证结果,所述云服务器存储有最新的进程信息,其中所述云服务器用于基于所述鉴权请求,对所述第一进程信息进行验证。
可选地,所述装置和还包括:
存储模块,用于接收所述云服务器发送的第三进程信息;
所述存储模块,还用于将所述进程标识与所述第三进程信息对应存储。
另一方面,提供了一种资源访问装置,所述装置包括:
网络请求接收模块,用于接收终端发送的网络请求,所述网络请求为所述终端在管理服务器对所述终端的资源访问请求验证通过的情况下发送的,所述网络请求携带所述管理服务器发送给所述终端的验证凭证;
校验请求发送模块,用于基于第三访问控制信息,向管理服务器发送携带所述验证凭证的校验请求,所述管理服务器用于对所述验证凭证进行验证,所述第三访问控制信息指示在接收到网络请求的情况下执行验证操作;
连接建立模块,用于在所述管理服务器对所述验证凭证验证通过的情况下,建立与所述终端之间的连接,所述连接用于所述终端发送所述资源访问请求。
另一方面,提供了一种终端,所述终端包括处理器和存储器,所述存储器中存储有至少一条计算机程序,所述至少一条计算机程序由所述处理器加载并执行,以实现上述方面所述的资源访问方法所执行的操作。
另一方面,提供了一种管理服务器,所述管理服务器包括处理器和存储器,所述存储器中存储有至少一条计算机程序,所述至少一条计算机程序由所述处理器加载并执行,以实现上述方面所述的资源访问方法所执行的操作。
另一方面,提供了一种访问网关,所述访问网关包括处理器和存储器,所述存储器中存储有至少一条计算机程序,所述至少一条计算机程序由所述处理器加载并执行,以实现上述方面所述的资源访问方法所执行的操作。
另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一条计算机程序,所述至少一条计算机程序由处理器加载并执行,以实现如上述方面所述的资源访问方法所执行的操作。
另一方面,提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现上述方面所述的资源访问方法所执行的操作。
本申请实施例提供的技术方案带来的有益效果至少包括:
本申请实施例中,为了保证终端在资源访问期间是安全的,先对终端当前的状态信息进行验证,然后在状态信息验证通过的情况下,即在保证终端当前是安全的情况下,再基于第一访问控制信息验证资源访问请求,在资源访问请求验证通过时进行资源访问。结合对状态信息的验证和对资源访问请求的验证,不仅增加了验证的信息,还由于是终端当前的状态信息,因此能够实现对终端的实时验证,从而使验证过程更加完善,提高了资源访问的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种资源访问***的示意图;
图2是本申请实施例提供的另一种资源访问***的示意图;
图3是本申请实施例提供的再一种资源访问***的示意图;
图4是本申请实施例提供的一种资源访问方法的流程图;
图5是本申请实施例提供的一种资源访问方法的流程图;
图6是本申请实施例提供的一种资源访问方法的流程图;
图7是本申请实施例提供的一种网关配置界面的示意图;
图8是本申请实施例提供的一种策略管理界面的示意图;
图9是本申请实施例提供的一种业务***配置界面的示意图;
图10是本申请实施例提供的一种资源配置界面的示意图;
图11是本申请实施例提供的另一种业务***配置界面的示意图;
图12是本申请实施例提供的另一种网关配置界面的示意图;
图13是本申请实施例提供的一种客户端配置界面的示意图;
图14是本申请实施例提供的一种资源访问方法的流程图;
图15是本申请实施例提供的一种登录界面的示意图;
图16是本申请实施例提供的一种展示界面的示意图;
图17是本申请实施例提供的一种验证界面的示意图;
图18是本申请实施例提供的一种提示界面的示意图;
图19是本申请实施例提供的一种检测界面的示意图;
图20是本申请实施例提供的另一种提示界面的示意图;
图21是本申请实施例提供的一种资源访问方法的示意图;
图22是本申请实施例提供的一种资源访问方法的流程图;
图23是本申请实施例提供的一种资源访问装置的结构示意图;
图24是本申请实施例提供的一种资源访问装置的结构示意图;
图25是本申请实施例提供的一种资源访问装置的结构示意图;
图26是本申请实施例提供的一种终端的结构示意图;
图27是本申请实施例提供的一种服务器的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
可以理解,本申请所使用的术语“第一”、“第二”等可在本文中用于描述各种概念,但除非特别说明,这些概念不受这些术语限制。这些术语仅用于将一个概念与另一个概念区分。举例来说,在不脱离本申请的范围的情况下,可以将第一进程信息称为第二进程信息,将第二进程信息称为第一进程信息。
本申请所使用的术语“至少一个”、“多个”、“每个”、“任一”等,至少一个包括一个、两个或两个以上,多个包括两个或两个以上,每个是指对应的多个中的每一个,任一是指多个中的任意一个。举例来说,多个客户端包括3个客户端,而每个客户端是指这3个客户端中的每一个客户端,任一是指这3个客户端中的任意一个,可以是第一个,可以是第二个,也可以是第三个。
为了便于理解本申请实施例,先对本申请实施例涉及到的关键词进行解释:
登录凭证:基于用户标识登录管理客户端后,管理客户端对应的管理服务器为该用户标识生成的一个加密串,表示该用户标识的登录授权信息,登录授权信息包括用户信息和授权有效期,该登录凭证加密存储在管理客户端。
网络请求凭证:管理服务器为网络请求发放的授权信息,用于标识该网络请求的授权状态。
敏感信息:包括用户ID、登录密码等用户信息,登录凭证和网络请求凭据。
零信任访问控制策略:由可信任的进程(客户端)以及可访问的资源所在的业务站点组成,在权限开通的情况下,可通过任一可信任的进程访问任一资源。零信任访问控制策略的粒度为登录用户,允许为不同的登录用户制定不同的零信任策略。
访问网关(零信任网关):部署在客户端和资源的入口,负责对每一个访问资源的访问请求进行验证和请求转发。
访问代理:终端访问代理是部署于终端的、发起安全访问的终端代理,负责访问主体可信身份验证的请求发起,以及与访问网关建立加密的访问连接,同时也是访问控制的策略执行点。
直连访问:在零信任网络访问架构中,某个客户端发起资源访问请求,由全流量代理劫持到流量后,经由全流量代理向资源所在的业务站点发起资源访问,即发起直接连接的访问,由全流量代理将该业务站点的响应发送给该客户端,这种访问模式称为直连访问。
代理访问:在零信任网络访问架构中,某个客户端发起资源访问请求,由全流量代理劫持到流量后,由全流量代理向访问网关发起流量转发,通过访问网关向资源所在的业务站点发起资源访问,然后通过访问网关将该业务站点的响应发送给全流量代理,由全流量代理将该业务站点的响应转发至该客户端,这种访问模式称为代理访问。
访问主体:发起访问的一方。例如,访问资源的人员、设备、应用、进程和服务,是由人员、设备、应用、进程和服务等因素单一组成或者组合形成的一种数字实体。
访问客体:被访问的一方。例如,被访问的应用、***(开发测试环境,运维环境,生产环境等)、数据、接口、功能等。
白盒密码技术:白盒密码技术是一项能够抵抗白盒攻击的密码技术,白盒密码技术从实现方式上分为两类:静态白盒和动态白盒。静态白盒:将算法的密钥和指定的加密算法绑定混淆,生成密钥白盒,一个密钥对应一个密钥白盒,以文件形式存在,在开发应用程序时需集成到工程里编译生成二进制文件。
策略:管理员通过管理终端下发的用于终端管理的一系列规则集合。策略包括补丁修复、零信任网络管控、安全加固策略等。策略包含票据、时效、有效次数等信息。
网络会话:用户与业务***执行一次信息交互的过程,例如客户端与服务器建立网络连接后资源发送或接收的过程。网络会话包括连接的建立和结束,或者资源的发送和接收。
访问会话:基于网络会话,且包含一组相关的特征。访问会话是针对每一个访问资源(包括业务应用,核心***,资产数据,功能接口等)的网络会话与设备、人员、网络属性、进程属性、端点属性组合绑定的一种抽象概念。
图1是本申请实施例提供的一种资源访问***的示意图。参见图1,该资源访问***包括终端101和管理服务器102。终端101和服务器102之间通过无线或者有线网络连接。
终端101上安装由管理服务器102提供服务的管理客户端以及不同于该管理客户端的其他客户端,终端101能够通过其他客户端发起资源访问,通过管理客户端对其他客户端进行资源访问控制。可选地,终端101为电脑、手机、平板电脑、车载终端或者其他终端。可选地,管理客户端为第三方提供的客户端。可选地,管理服务器102是独立的物理服务器,或者是多个物理服务器构成的服务器集群或者分布式***,或者是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(ContentDelivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。
在一种可能实现方式中,终端101基于用户标识登录管理客户端,在拦截到其他客户端发送的资源访问请求时,通过管理客户端对终端101当前的状态信息进行验证,在状态信息验证通过的情况下,再对其他客户端发起的资源访问请求进行验证。可选地,通过管理客户端向管理服务器102发送针对资源访问请求的鉴权请求,服务器102用于对该鉴权请求进行验证,并将验证结果返回给终端101,使终端101根据该验证结果确定资源访问请求是否验证通过,在资源访问请求验证通过的情况下,基于该资源访问请求进行资源访问。
在一种可能实现方式中,图2是本申请实施例提供的另一种资源访问***的示意图。参见图2,该资源访问***还包括云服务器103。云服务器103与管理服务器102之间通过无线或者有线网络连接。
可选地,鉴权请求携带第一进程信息,该第一进程信息与资源访问请求中携带的进程标识对应,是从发送资源访问请求的客户端获取的,管理服务器102在对鉴权请求进行验证,也即是对第一进程信息进行验证,在管理服务器102未存储与该第一进程信息相应的进程信息时,需要将鉴权请求发送给存储有最新的进程信息的云服务器103,由云服务器103对第一进程信息进行验证,将验证结果发送给管理服务器102,管理服务器102再将验证结果发送给终端101。
在一种可能实现方式中,图3是本申请实施例提供的再一种资源访问***的示意图。参见图3,该资源访问***还包括访问网关104。终端101在该资源访问请求验证通过的情况下,通过访问网关104进行资源访问。
可选地,先建立访问网关104与终端101之间的连接,然后终端101基于建立的连接向访问网关104发送资源访问请求,再由访问网关104基于资源访问请求进行资源访问。
在一种可能实现方式中,资源访问***包括终端101、管理服务器102、云服务器103和访问网关104。
在一种可能实现方式中,对上述任一种资源访问***来说,该资源访问***还包括用于存储资源的业务服务器。
图4是本申请实施例提供的一种资源访问方法的流程图。本申请实施例的执行主体为终端。参见图4,该方法包括以下步骤:
401、终端基于第一访问控制信息,拦截第一客户端发送的资源访问请求。
终端在发起资源访问请求之前,已经配置了第一访问控制信息,该第一访问控制信息指示在终端中的任一客户端发送资源访问请求的情况下拦截该资源访问请求并执行验证操作。在第一客户端发起资源访问请求时,终端基于第一访问控制信息的指示,拦截该资源访问请求,之后再基于第一访问控制信息指示的验证操作,对资源访问请求进行验证。
其中,第一客户端为终端中安装的任一能够发起资源访问的客户端,例如第一客户端为视频客户端、浏览器、音乐客户端、游戏客户端或其他类型的客户端;资源访问请求为请求访问任一资源的请求,或者资源访问请求为请求访问特定类型的资源的请求。
402、终端对当前的状态信息进行验证。
终端拦截到资源访问请求后,获取该终端当前的状态信息,对该状态信息进行验证,以确定该终端当前是否能够进行资源访问。其中,状态信息包括终端所连接的网络对应的网络信息、资源访问请求所请求访问的资源所属的资源类型、终端中安装的各个客户端对应的客户端信息等。
其中,状态信息验证通过即表示该终端当前是安全的,能够进行资源访问;状态信息验证未通过即表示该终端当前是不安全的,不能够进行资源访问。
403、终端在状态信息验证通过的情况下,基于第一访问控制信息对资源访问请求进行验证。
终端在状态信息验证通过之后,确定了终端当前是安全的,还需要继续对资源访问请求进行验证。可选地,由终端对资源访问请求进行验证,或者由终端以及管理客户端共同对资源访问请求进行验证。
404、终端在资源访问请求验证通过的情况下,基于资源访问请求进行资源访问。
资源访问请求验证通过即表示资源访问请求能够进行资源访问,因此在资源访问请求验证通过的情况下,基于该资源访问请求进行资源访问。
本申请实施例提供的方法,为了保证终端在资源访问期间是安全的,先对终端当前的状态信息进行验证,然后在状态信息验证通过的情况下,即在保证终端当前是安全的情况下,再基于第一访问控制信息验证资源访问请求,在资源访问请求验证通过时进行资源访问。结合对状态信息的验证和对资源访问请求的验证,不仅增加了验证的信息,还由于是终端当前的状态信息,因此能够实现对终端的实时验证,从而使验证过程更加完善,提高了资源访问的安全性。
图5是本申请实施例提供的一种资源访问方法的流程图。本申请实施例的执行主体为管理服务器。参见图5,该方法包括以下步骤:
501、管理服务器接收终端通过管理客户端发送的鉴权请求。
其中,鉴权请求携带第一进程信息,第一进程信息与管理客户端拦截到的资源访问请求中携带的进程标识对应,是从发送资源访问请求的第一客户端获取的,该进程标识指示第一客户端中请求进行资源访问的进程。也即是,终端通过管理客户端,基于资源访问请求携带的进程标识,从发送该资源访问请求的第一客户端获取该进程标识对应的第一进程信息,向管理服务器发送携带该第一进程信息的鉴权请求。
502、管理服务器基于第二访问控制信息,对鉴权请求进行验证,向终端返回鉴权请求的验证结果。
管理服务器提前配置了第二访问控制信息,该第二访问控制信息指示在接收到鉴权请求的情况下执行验证操作。管理服务器接收到鉴权请求后,基于第二访问控制信息指示的验证操作,对鉴权请求进行验证,得到鉴权请求的验证结果,该验证结果指示资源访问请求是否验证通过。终端接收管理服务器发送的验证结果,在验证结果指示资源访问请求验证通过的情况下,基于资源访问请求进行资源访问。
管理服务器对鉴权请求的验证实际上是对该鉴权请求携带的第一进程信息的验证,在该第一进程信息与进程标识对应的标准的进程信息匹配的情况下,即确定鉴权请求验证通过。
本申请实施例提供的方法,由管理服务器对终端中客户端发起的资源访问请求进行资源验证,管理服务器将验证结果发送给终端,然后再由终端进行资源访问,通过终端与管理服务器之间的交互,实现对资源访问请求的验证,这种验证方式,将验证过程分散在不同的设备中,从而使验证过程更加灵活。
图6是本申请实施例提供的一种资源访问方法的流程图。本申请实施例的执行主体为访问网关。参见图6,该方法包括以下步骤:
601、访问网关接收终端发送的网络请求,该网络请求携带管理服务器发送给终端的验证凭证。
其中,网络请求为终端在管理服务器对终端的资源访问请求验证通过的情况下发送的,该验证凭证即表示资源访问请求验证通过,该网络请求用于请求访问网关建立与终端之间的连接。
602、访问网关基于第三访问控制信息,向管理服务器发送携带验证凭证的校验请求。
访问网关提前配置了第三访问控制信息,该第三访问控制信息指示在接收到网络请求的情况下执行验证操作。
访问网关需要先验证资源访问请求是否是经过管理服务器验证通过的,在确定该资源访问请求是由管理服务器验证通过的情况下,建立该访问网关与终端之间的连接。因此,访问网关接收到网络请求之后,基于第三访问控制信息指示的验证操作,向管理服务器发送校验请求,由管理服务器对验证凭证进行验证,即验证该验证凭证是否是由管理服务器下发的,管理服务器将验证结果发送给访问网关。
603、访问网关在管理服务器对验证凭证验证通过的情况下,建立与终端之间的连接,该连接用于终端发送资源访问请求。
访问网关在管理服务器对验证凭证验证通过的情况下,即在确定该验证凭证是由管理服务器下发的情况下,建立该访问网关与终端之间的连接,之后终端即可基于该连接,发送资源访问请求进行资源访问。
本申请实施例提供的方法,终端在通过访问网关进行资源访问时,访问网关通过与管理服务器进行交互,使管理服务器对验证凭证进行验证,在验证凭证验证通过的情况下,才能够建立连接进行资源访问,从而避免访问网关基于无效的验证凭证建立连接,管理服务器对验证凭证的验证,使验证过程更加完善,从而提高了资源访问的安全性。
上述图4、5、6分别以终端、管理服务器和访问网关为执行主体介绍了资源访问过程,下面对各个设备之间的交互过程进行详细说明。
本申请实施例中的第一访问控制信息、第二访问控制信息和第三访问控制信息为管理终端配置的。在对资源访问过程进行介绍之前,先对各项访问控制信息的配置进行说明。
例如,参见图7所示的网关配置界面701,通过该网关配置界面701配置可信任的网关,包括网关名称、网关设置信息以及可优先访问该网关的IP(Intern et Protocol,互联网协议)段。其中,通过在网关查询栏中输入网关名称能够查询已配置的网关;通过触发添加网关控件,能够添加新的网关;通过触发批量删除控件,能够选取多个已配置的网关,并删除该多个网关。
参见图8所示的策略管理界面801,通过该策略管理界面801配置可信任的客户端,以及可信任的客户端能够访问的业务***中的资源对应的URL(Uniform ResourceLocator,同一资源定位符)。图8中以windows***中安装的任意客户端为可信任的客户端,能够访问业务***中任一地址对应的资源为例。
参见图9所示的业务***配置界面901,通过业务***配置界面901配置业务***的地址,可访问该业务***的IP地址,以及可访问该业务***的端口。
参见图10所示的资源配置界面1001,通过资源配置界面1001设置各项资源的资源名称、资源类别、业务***中该资源对应的端口、该资源所属的分组、该资源的访问方式(直连访问和代理访问)以及该资源所对应的协议类型。
参见图11所示的另一业务***配置界面1101,通过业务配置界面1001配置业务***的地址,可访问该业务***的域名,以及可访问该业务***的端口。
参见图12所示的另一种网关配置界面1201,通过该网关配置界面1201配置可访问业务***的网关,针对一个业务***能够配置多个不同的网关,并且能够设置不同的网关的优先级,优先级高的网关能够优先访问业务***。
参见图13所示的可信任的客户端配置界面1301,通过该客户端配置界面1301能够配置某个可信任的客户端,包括客户端名称、进程名称、操作***、客户端签名信息、版本、进程MD5(Message Digest Algorithm 5,消息摘要算法第5版)以及sha256等信息。
本申请实施例中,通过上述各个界面配置了访问主体、访问客体、访问权限的映射关系和网络属性信息。其中,访问主体表示请求进行资源访问的客户端,访问客体表示待访问的资源,访问权限的映射关系表示允许基于某个用户标识通过某个客户端访问某个资源,网络属性信息包括允许进行资源访问的网络信息、进行资源访问时所依据的访问协议、访问域名、网络请求方法和请求路径等信息。例如,以访问客体为某个企业的企业资源(业务***)为例,访问主体为通过零信任网络访问功能(管理客户端所具有的功能)访问企业资源的授权用户的用户信息和客户端信息,访问权限的映射关系为允许基于A用户标识通过B客户端访问企业资源,访问权限指访问主体针对访问客体的读取和操作权限。
需要说明的是,本申请实施例仅是以通过上述界面配置各项访问控制信息为例进行说明,在另一实施例中,还能够通过其他界面配置访问控制信息,例如配置可访问业务***的用户标识等,本申请实施例对访问控制信息的配置方式以及访问控制信息的具体内容不做限制。
在一种可能实现方式中,管理终端安装有管理客户端,基于管理员标识登录该管理客户端,然后基于登录的管理员标识对访问控制信息进行配置。
本申请实施例中,管理终端配置完第一访问控制信息、第二访问控制信息和第三访问控制信息之后,根据各项访问控制信息所适用的设备,将各项访问控制信息分别发送给终端、管理服务器和访问网关,以使终端、管理服务器和访问网关基于接收到的访问控制信息对资源访问进行控制。
图14是本申请实施例提供的一种资源访问方法的流程图。本申请实施例的交互主体为终端、管理服务器和访问网关。参见图14,该方法包括以下步骤:
1401、终端通过管理客户端,基于第一访问控制信息,拦截第一客户端发送的资源访问请求。
终端安装有管理客户端和第一客户端,管理客户端与第一客户端不同,第一客户端为终端中除管理客户端之外的任一客户端。其中,管理客户端用于对终端中的客户端进行资源访问控制,该管理客户端存储有第一访问控制信息,该第一访问控制信息指示在终端中的任一客户端发送资源访问请求的情况下,拦截该资源访问请求。
本申请实施例中,终端通过第一客户端触发资源访问,生成资源访问请求,并发送该资源访问请求,终端通过管理客户端检测到第一客户端发送的资源访问请求时,基于第一访问控制信息,拦截该资源访问请求。
在一种可能实现方式中,第一访问控制信息包括拦截模式,第一访问控制信息指示在终端中的任一客户端发送资源访问请求的情况下,基于拦截模式拦截资源访问请求。拦截模式包括第一拦截模式和第二拦截模式,该第一拦截模式指示拦截终端中任一客户端发送的、访问任一资源的资源访问请求,该第二拦截模式指示拦截终端中任一客户端发送的、用于访问非公共资源的资源访问请求。
管理客户端基于第一访问控制信息中包括的拦截模式,确定当前处于哪一拦截模式,然后终端基于管理客户端所处的拦截模式,拦截对应的资源访问请求。终端在管理客户端处于第一拦截模式的情况下,拦截资源访问请求。
或者,终端在管理客户端处于第二拦截模式,且资源访问请求携带的目标地址属于第一地址集合的情况下,拦截资源访问请求,即在管理客户端处于第二拦截模式的情况下,需要先确定资源访问请求所请求访问的资源是否是非公共资源,在是非公共资源的情况下,拦截资源访问请求,而在不是非公共资源的情况下,不拦截该资源访问请求,终端可直接基于该资源访问请求进行资源访问,不再执行后续步骤。其中,目标地址为待访问的资源对应的地址,第一地址集合包括非公共资源的地址,该非公共资源是指基于具有访问权限的用户标识登录的情况下课访问的资源,例如非公共资源为某个企业的企业资源,则管理员为该企业的员工对应的用户标识设置访问权限,基于具有访问权限的用户标识登录的情况下可访问该企业资源。例如目标地址为IP地址或者域名。
在一种可能实现方式中,管理客户端包括第一子客户端,通过第一子客户端,基于第一访问控制信息,拦截资源访问请求。可选地,终端在第一子客户端处于第一拦截模式的情况下,拦截资源访问请求;或者,终端在第一子客户端处于第二拦截模式,且资源访问请求携带的目标地址属于第一地址集合的情况下,拦截资源访问请求。
在一种可能实现方式中,资源访问请求携带源IP地址或域名、源端口、目标IP地址或域名、目标端口和进程标识,该进程标识指示请求进行资源访问的进程。
1402、终端对终端当前的状态信息进行验证。
本申请实施例中,考虑到终端所访问的资源是实时变化的,在不同时刻所请求访问的资源可能存在不同,且终端所连接的网络也会随着终端所在的环境的变化而变化,以及终端安装的客户端也会变化。因此,为了能够保证终端自身的状态信息是安全的,需要对终端当前的状态信息进行验证。
在一种可能实现方式中,状态信息包括终端当前所连接的网络对应的网络信息,例如网络信息包括物理网卡的网络IP、网络类型、网络名称等信息。终端获取当前所连接的网络对应的网络信息;在该网络信息与目标网络信息匹配的情况下,确定状态信息验证通过,目标网络信息为安全网络对应的网络信息。其中,网络信息与目标网络信息匹配是指网络IP相同。
可选地,状态信息还包括登录管理客户端的用户标识,在网络信息与目标网络信息不匹配的情况下,对用户标识进行验证,在用户标识验证通过的情况下,确定状态信息验证通过。也即是,虽然网络信息与目标网络信息不匹配,即终端所连接的网络发生了变化,但是对用户标识进行验证,在用户标识验证通过的情况下,表示该用户标识具有访问资源的权限,此时仍然认为状态信息验证通过。本申请实施例通过对网络信息和用户标识进行验证,能够识别用户标识是否是异地登录,而在识别出用户标识异地登录的情况下,基于对用户标识进行验证,在确定用户标识具有访问资源的权限时,确定状态信息验证通过,从而能够继续执行资源访问过程,这种验证方式在保证访问安全性的同时,更加灵活,不仅限于在网络信息与目标网络信息匹配的情况下才能进行资源访问。
在一种可能实现方式中,状态信息包括资源访问请求所请求访问的资源所属的资源类型。终端获取资源访问请求所请求访问的资源所属的资源类型,在该资源类型为公共资源类型的情况下,确定状态信息验证通过。其中,属于公共资源类型的资源为允许登录任意用户标识的客户端访问的资源。也即是,终端识别到所请求访问的资源为公共资源时,确定基于任一用户标识均能够访问该资源,因此需要再对用户标识进行验证。其中公共资源为基于任一用户标识均可进行访问的资源。例如,公共资源为网络上公开的资源。
可选地,状态信息还包括登录管理客户端的用户标识,在资源类型为非公共资源类型的情况下,对用户标识进行验证,在用户标识验证通过的情况下,确定状态信息验证通过。也即是,虽然待访问的资源属于非公共资源类型,但是对用户标识进行验证,在用户标识验证通过的情况下,表示该用户标识具有访问资源的权限,此时仍然认为状态信息验证通过。本申请实施例通过对资源类型和用户标识进行验证,在识别出用户标识是否具有访问资源的权限,而在确定用户标识具有访问资源的权限时,确定状态信息验证通过,从而能够继续执行资源访问过程,这种验证方式在确定待访问的资源属于非公共资源类型时,对用户标识进行验证,提高了资源访问的安全性。
例如,属于非公共资源类型的资源包括用户标识、登录密码等用户信息,登录凭证和网络请求凭证等敏感信息,还包括某个企业的企业资源等。
可选地,终端对资源访问请求进行解析,得到该资源访问请求中携带的目标地址,基于该目标地址,获取该目标地址对应的资源所属的资源类型。例如,根据目标地址中的字段,确定资源类型,或者根据地址与资源类型之间的对应关系,确定资源类型,本申请实施例对确定资源类型的方式不做限制。
在一种可能实现方式中,上述对用户标识进行验证包括:在用户标识属于目标标识集合的情况下,确定用户标识验证通过,其中目标标识集合中包含的用户标识具有访问资源的权限。可选地,目标标识集合包括第一标识集合和第二标识集合,在网络信息与目标网络信息不匹配的情况下,确定用户标识是否属于第一标识集;在资源类型为非公共资源类型的情况下,确定用户标识是否属于第二标识集合。其中,第一标识集合和第二标识集合中包含的用户标识可以相同,也可以不完全相同。可选地,第一标识集合或第二标识集合还可以包括多个子集合,不同的子集合中包含的用户标识可进行资源访问的时间段不同,因此在对用户标识进行验证时,还需要验证当前的时间是否属于该用户标识允许访问的时间段。例如,允许用户标识在8:00-18:00进行资源访问,而当前的时间为20:00,则确定该用户标识验证未通过。
在一种可能实现方式中,状态信息包括终端安装的各个客户端的客户端信息,客户端信息为客户端的描述信息,例如客户端信息包括客户端对应的可执行文件的MD5、文件版本信息、版权信息、文件描述、产品信息、产品名称、签名信息、根证书、中级证书、签名证书等信息。终端获取终端安装的各个客户端当前的客户端信息,对各个客户端信息进行验证,在各个客户端信息分别与对应的目标客户端信息匹配的情况下,确定各个客户端信息验证通过,即状态信息验证通过;在任一客户端信息与对应的目标客户端信息不匹配的情况下,确定各个客户端信息验证未通过,即状态信息验证未通过。
可选地,终端存储有各个客户端对应的目标客户端信息,则终端直接将客户端信息与对应的目标客户端信息进行匹配。或者,终端将各个客户端的客户端信息发送给客户端对应的服务器,服务器中存储有客户端对应的目标客户端信息,由服务器对客户端信息与目标客户端信息进行匹配,然后将匹配结果返回给终端。
在一种可能实现方式中,对客户端信息的验证还包括病毒查杀、漏洞修复、安全加固、数据保护、实时防护、心跳检测等验证。在上述各项验证均通过的情况下,才允许继续执行后续的资源访问过程。而在存在异常项,且该异常项无法自动修复,需要用户手动修复的情况下,显示提示界面,提示异常原因和修复建议,在用户修复异常项之前,禁止进行资源访问。
在一种可能实现方式中,终端通过管理客户端,对终端当前的状态信息进行验证,上述对状态信息的验证过程通过管理客户端执行。
例如,参见图15所示的管理客户端中的登录界面1501,基于用户标识登录该管理客户端,且终端当前所连接的网络对应的网络信息与目标网络信息匹配的情况下,显示如图16所示的第一展示界面1601,第一展示界面1601包括的提示信息用于提示用户已连接了安全的网络,可进行资源访问。或者,显示如图16所示的第二展示界面1602,该第二展示界面1602包括的提示信息用于提示用户当前终端中可进行资源访问的客户端。
之后还能够通过管理客户端对终端的状态信息进行验证,例如参见图17所示的验证界面1701,对状态信息进行验证,例如验证各个客户端是否是安全的,运行的各个进程是否存在违规等。之后在检测到进程存在违规的情况下,显示如图18所示的提示界面1801,提示用户当前存在违规的进程,之后管理客户端能够自动修复违规的进程,或者用户手动修复违规的进程。在修复成功的情况下,显示如图19所示的检测界面1901,而在未修复失败的情况下,则显示如图20所示的提示界面2001,提示用户当前状态信息验证未通过,无法进行资源访问。
需要说明的是,本申请实施例仅是以上述拦截到资源访问请求后,对状态信息的一次验证过程为例进行说明,在另一实施例中,终端能够通过管理客户端周期性地对终端的状态信息进行验证。
针对上述几种对状态信息的验证方式能够分别执行,也能够结合,即采用上述三种验证方式中的至少两种验证方式对状态信息进行验证,在至少两种验证方式均验证通过的情况下,确定状态信息验证通过,而在至少两种验证方式中任一种验证方式未验证通过的情况下,即确定状态信息验证未通过。
在一种可能实现方式中,终端包括终端环境感知模块,能够通过该终端环境感知模块获取终端的状态信息。对于企业资源访问场景来说,管理客户端包括企业资源安全策略服务,终端获取到状态信息之后,将状态信息发送给企业资源安全策略服务,由企业资源安全策略服务器调整业务***访问规则。
本申请实施例中,通过对终端当前的状态信息进行验证,实现对资源访问请求的动态评估,即对状态信息进行实时检测,确保终端是安全的,保证后续对资源访问请求的验证过程的有效实施。
1403、终端在状态信息验证通过的情况下,基于第一访问控制信息,对资源访问请求携带的进程标识对应的第一进程信息进行验证。
其中,第一访问控制信息指示对拦截的资源访问请求的验证操作。其中,资源访问请求携带进程标识,该进程标识指示请求进行资源访问的进程。
在一种可能实现方式中,考虑到终端的状态信息会发生变化,为了避免在状态信息验证之后发生了变化,则不能够确定变化后的状态信息是否能够通过验证,即不能保证状态信息变化后的终端仍是安全的,因此,为了避免这种情况,终端在状态信息验证通过之后的目标时长内,基于第一访问控制信息,对第一进程信息进行验证。其中,目标时长为任一时长,例如目标时长为30秒、1分钟或其他时长。
在一种可能实现方式中,终端在状态信息验证通过的情况下,基于该进程标识,从第一客户端获取进程标识对应的第一进程信息,该第一进程信息为第一客户端中当前实际的进程信息;终端还基于进程标识,从管理客户端获取进程标识对应的第二进程信息,该第二进程信息为管理客户端存储的进程信息;然后确定第一进程信息与第二进程信息是否匹配,第一进程信息与第二进程信息匹配,则表示第一客户端当前的第一进程信息为准确的,能够执行后续的资源访问过程;而第一进程信息与第二进程信息不匹配,则表示第一客户端当前的第一进程信息有可能被篡改,即第一客户端不是安全的客户端,为了保证访问的安全性,不再执行后续的资源访问过程。
可选地,第一进程信息包括MD5、进程路径、进程最近修改时间、版权信息、签名信息。第一进程信息与第二进程信息匹配是指第一进程信息中包括的各项信息均与第二进程信息中包括的各项信息相同,如果有其中一项信息不同,则确定第一进程信息与第二进程信息不匹配。
在另一种可能实现方式中,管理客户端未存储进程标识对应的进程信息的情况下,终端无法对第一进程信息进行验证,则需要由管理客户端对第一进程信息进行验证。
需要说明的是,本申请实施例仅是以状态信息验证通过为例进行说明,在另一实施例中,在状态信息验证未通过的情况下,终端删除资源访问请求,不再基于该资源访问请求进行资源访问。
1404、终端在第一进程信息符合条件的情况下,基于第一访问控制信息,向管理服务器发送携带第一进程信息的鉴权请求。
其中,第一进程信息符合条件是指第一进程信息与第二进程信息匹配,或者管理客户端中未存储进程标识对应的进程信息。鉴权请求用于请求管理服务器对第一进程信息进行验证。第一访问控制信息指示第一进程信息符合条件时执行的验证操作。
本申请实施例中,在第一进程信息与第二进程信息匹配的情况下,为了避免管理客户端存储的第二进程信息没有及时更新,导致管理客户端当前存储的第二进程信息不准确,那么第一进程信息与第二进程信息匹配,则不能保证第一进程信息为准确的进程信息,因此,向管理服务器发送鉴权请求,由管理服务器对第一进程信息进行二次验证,能够提高验证结果的准确率,从而提高资源访问的安全性。对于管理客户端中未存储进程标识对应的进程信息的情况,终端无法验证第一进程信息是否是准确的,因此需要由管理服务器对第一进程信息进行验证。
1405、管理服务器基于第二访问控制信息,对鉴权请求进行验证,向终端发送鉴权请求的验证结果。
其中,第二访问控制信息指示接收到鉴权请求的情况下执行验证操作。鉴权请求的验证结果指示资源访问请求是否验证通过,鉴权请求携带进程标识和第一进程信息。
在一种可能实现方式中,管理服务器基于进程标识,获取与该进程标识对应存储的第三进程信息,然后对第一进程信息与第三进程信息进程进行匹配,在第一进程信息与第三进程信息匹配的情况下,确定鉴权请求验证通过,即资源访问请求验证通过,此时管理服务器向终端下发验证凭证;而在第一进程信息与第三进程信息不匹配的情况下,确定鉴权请求验证未通过,即资源访问请求验证未通过,此时管理服务器向终端发送验证未通过通知,终端接收到验证未通过通知后,不再执行后续的资源访问过程。
可选地,第一进程信息包括MD5、进程路径、进程最近修改时间、版权信息、签名信息。第一进程信息与第三进程信息匹配是指第一进程信息中包括的各项信息均与第三进程信息中包括的各项信息相同,如果有其中一项信息不同,则确定第一进程信息与第三进程信息不匹配。
可选地,该验证凭证包括验证通过通知、最大使用次数、有效时间。其中,验证通过通知即指示资源访问请求验证通过,最大使用次数是指基于该资源访问请求进行资源访问的次数,有效时间是指在该有效时间内使用该验证凭证。
在另一种可能实现方式中,管理服务器在本端设备未存储进程标识对应的进程信息的情况下,向云服务器发送鉴权请求,云服务器存储有最新的进程信息;云服务器接收到鉴权请求后,基于该鉴权请求,对第一进程信息进行验证,向管理服务器返回的第一进程信息的验证结果。其中,云服务器对第一进程信息的验证包括:对第一进程信息与云服务器中存储的该进程标识对应的进程信息进行匹配,在第一进程信息与云服务器中存储的该进程标识对应的进程信息匹配的情况下,确定第一进程信息验证通过,向管理服务器返回第一进程信息验证通过通知;在第一进程信息与云服务器中存储的该进程标识对应的进程信息不匹配的情况下,确定第一进程信息验证未通过,向管理服务器返回第一进程信息验证未通过通知。
管理服务器在接收到第一进程信息验证通过通知的情况下,向终端下发验证凭证;在接收到第一进程信息验证未通过通知的情况下,向终端发送验证未通过通知。
可选地,云服务器在对第一进程信息验证完成之后,向管理服务器发送第三进程信息,该第三进程信息为云服务器中存储的与该进程标识对应的进程信息,管理服务器将进程标识与第三进程信息对应存储。可选地,为了避免其他设备对第三进程信息进行篡改,对第三进程信息进行加密存储。例如,采用白盒密码技术进行加密或者采用其他加密方式进行加密,本申请实施例对加密的方式不做限制。
在一种可能实现方式中,管理服务器在进程标识属于进程标识集合的情况下,对第一进程信息进行验证,其中,进程标识集合包括允许进行资源访问的进程对应的进程标识。
在一种可能实现方式中,管理服务器对第一进行信息验证结束之后,向管理客户端发送该管理服务器中存储的进程标识对应的第三进程信息。管理客户端接收到管理服务器发送的第三进程信息后,在已存储有该进程标识对应的第二进程信息的情况下,基于该第三进程信息更新第二进程信息;或者在管理客户端未存储该进程标识对应的进程信息的情况下,将该第三进行信息作为该进程标识对应的第二进程信息存储在管理客户端中。可选地,管理客户端对第二进程信息进行加密存储。
另外,在一种可能实现方式中,为了保证管理客户端中存储的第三进程信息为准确的,管理服务器定期向云服务器发起异步检测请求,该异步检测请求携带第三进程信息及对应的进程标识,云服务器基于本端设备存储的进程信息,确定接收到的第三进程信息是否为最新的进程信息,在确定该第三进程信息不是最新的进程信息的情况下,向管理服务器下发该进程标识对应的最新的第三进程信息,管理服务器基于接收到的最新的第三进程信息,更新原来的第三进程信息。可选地,管理服务器在更新第三进程信息之后,将更新后的第三进程信息发送给管理客户端,使管理客户端基于该第三进程信息,更新进程标识对应的第二进程信息,以保证管理客户端存储的第二进程信息是最新的。
需要说明的是,本申请实施例仅是以鉴权请求携带第一进程信息和进程标识为例进行说明,在另一实施例中,鉴权请求还携带源地址、源端口、目标地址和目标端口。则管理服务器还需要基于目标对应关系,确定是否能够通过源地址和源端口,访问目标地址和目标端口对应的资源。其中,目标对应关系包括请求进行资源访问的源地址和源端口,与可访问的资源对应的目标地址和目标端口之间的对应关系。在源地址和源端口于目标地址和目标端口存在对应关系的情况下,确定能够通过资源访问请求进行资源访问。
1406、终端接收管理服务器返回的验证结果,在该验证结果指示资源访问请求验证通过的情况下,通过管理客户端向访问网关发送携带验证凭证的网络请求。
终端接收到验证凭证的情况下,确定资源访问请求验证通过,此时能够继续执行资源访问过程。本申请实施例以通过访问网关进行资源访问为例,通过访问网关进行访问时,需要先建立终端与访问网关之间的连接,因此,通过管理客户端向访问网关发送携带验证凭证的网络请求。
需要说明的一点是,本申请实施例仅是以验证结果指示资源访问请求验证通过为例进行说明,在另一实施例中,在验证结果指示资源访问请求验证未通过的情况下,删除资源访问请求不再执行后续的资源访问过程。同时,进程标识对应的目标进程进行后续的资源访问,对目标进程进行清除或将该进程标识加入黑名单,其中黑名单中包括的进程标识对应的进程均为无法进行资源访问的进程。
需要说明的另一点是,本申请实施例仅是以通过访问网关进行资源访问为例进行说明,在另一实施例中管理客户端可直接将资源访问请求发送给对应的业务服务器进行资源访问,即进行直连访问。
1407、访问网关接收网络请求,基于第三访问控制信息,向管理服务器发送携带验证凭证的校验请求。
其中,第三访问控制信息指示接收到网络请求后执行验证操作。为了保证验证凭证的真实性,访问网关接收到网络请求后,向管理服务器发送携带该验证凭证的校验请求,以请求管理服务器验证该验证凭证的真实性。
在一种可能实现方式中,访问网关接收到网络请求后,对该网络请求进行解析,从网络请求的首部字段中解析得到验证票据。
1408、管理服务器接收校验请求,对验证凭证进行验证,向访问网关返回验证凭证的验证结果。
管理服务器接收到校验请求后,对该验证凭证进行验证,确定该验证凭证是否是该管理服务器下发的,如果确定该验证凭证是由该管理服务器下发的,则确定该验证凭证验证通过,向访问网关发送验证凭证的验证通过通知;如果确定该验证凭证不是由该管理服务器下发的,则确定该验证凭证验证未通过,向访问网关发送验证凭证的验证未通过通知。
在一种可能实现方式中,管理服务器在验证凭证验证通过的情况下,将该验证凭证对应的使用次数增加一次,在管理服务器中存储该使用次数。管理服务器还需要验证凭证当前的使用次数是否已达到最大使用次数,在未达到最大使用次数的情况下,确定该验证凭证验证通过;在已达到最大使用次数的情况下,确定该验证凭证验证未通过。
在一种可能实现方式中,验证凭证包括有效时间的情况下,管理服务器验证该验证凭证当前是否已超过可使用的有效时间,在未超过可使用的有效时间的情况下,确定该验证凭证验证通过;在超过可使用的有效时间的情况下,确定该验证凭证验证未通过。
在一种可能实现方式中,第二访问控制信息还指示接收到校验请求后执行验证操作。管理服务器基于第二访问控制请求,对验证凭证进行验证。可选地,第二访问控制信息指示对验证凭证的真实性进行验证,对验证凭证的使用次数进行验证,以及对验证凭证的有效时间进行验证。
1409、访问网关在验证凭证验证通过的情况下,建立访问网关与终端之间的连接。
1410、终端基于建立的连接,向访问网关发送资源访问请求。
访问网关在验证凭证验证通过的情况下,建立该访问网关与终端之间的连接,使终端通过建立的连接向访问网关发送资源访问请求。
在一种可能实现方式中,访问网关建立该访问网关与管理客户端之间的连接,通过管理客户端,基于建立的连接,向访问网关发送资源访问请求。
在一种可能实现方式中,第三访问控制信息还指示对资源访问请求的请求格式执行验证操作。则访问网关接收到资源访问请求后,基于第三访问控制信息,确定该资源访问请求的请求格式是否与目标格式一致。其中,目标格式指示请求中携带的地址和端口的格式、请求的路径等。
在一种可能实现方式中,第三访问控制信息还指示对资源访问请求携带的源IP地址执行验证操作,访问网关获取该资源访问请求携带的源IP地址,对该源IP地址进行验证,在源IP地址验证通过的情况下,执行后续的资源访问过程。
可选地,访问网关验证该源IP地址是否属于合法的IP地址。例如,访问网关存储有IP地址的黑名单,确定该源IP地址是否属于该黑名单中的地址,在源IP地址不属于该黑名单的情况下,确定该源IP地址合法;或者,访问网关存储有IP地址的白名单,确定该源IP地址是否属于该白名单中的地址,在源IP地址属于该白名单的情况下,确定该源IP地址合法,即源IP地址验证通过。
可选地,访问网关验证该源IP地址的访问频率是否超过第一目标阈值,在访问频率超过第一目标阈值的情况下,确定该源IP地址验证不通过,在访问频率未超过第一目标阈值的情况下,确定该源IP地址验证通过。例如,验证该源IP地址的访问量是否超过第一目标阈值,其中访问总量是指基于该源IP地址进行资源访问的总次数,第一目标阈值为预先设置的任一数值;或者,验证该源IP地址在目标时长内的访问量是否超过第一目标阈值,其中目标时长内的访问量是指基于该源IP地址在目标时长内进行资源访问的总次数,该目标时长是指当前时间点之间的一段时间,例如目标时长为当前时间点之前的1小时、1天或其他时长,第一目标阈值为预先设置的任一数值;或者,验证该源IP地址在目标时间段内的访问量是否超过第一目标阈值,其中目标时间段内的访问量是指基于该源IP地址在该目标时间段内进行资源访问的总次数,目标时间段是指预先设置的某个时间段,不同的时间段对应的第一目标阈值可以不同,例如,目标时间段为8:00-18:00,在8:00-18:00这一时间段内,第一目标阈值为100次;目标时间段为18:00-22:00,在18:00-22:00这一时间段内,第一目标阈值为10次;目标时间段为22:00-6:00,在22:00-6:00这一时间段内,第一目标阈值为5次。
在一种可能实现方式中,第三访问控制信息还指示对资源访问请求携带的资源访问路径执行验证操作,访问网关获取该资源访问请求携带的资源访问路径,对该资源访问路径进行验证,在资源访问路径验证通过的情况下,执行后续的资源访问过程。
可选地,访问网关验证该资源访问路径对应的资源是否属于可访问资源。例如,访问网关存储有可访问资源对应的第一路径集合,在该资源访问路径属于该第一路径集合的情况下,确定该资源访问路径验证通过,之后可基于该资源访问路径进行资源访问,在该资源访问路径不属于该第一路径集合的情况下,确定该资源访问路径验证未通过,不再执行后续的资源访问过程。或者,访问网关存储有不可访问资源对应的第二路径集合,在该资源访问路径不属于该第二路径集合的情况下,确定该资源访问路径验证通过,之后可基于该资源访问路径进行资源访问,在该资源访问路径属于该第二路径集合的情况下,确定该资源访问路径验证未通过,不再执行后续的资源访问过程。
可选地,在资源访问路径验证通过的情况下,还会继续验证对该资源访问路径对应的资源的访问频率是否超过第二目标阈值,在访问频率超过第二目标阈值的情况下,确定不能再访问该资源访问路径对应的资源,在访问频率未超过第二目标阈值的情况下,确定能够继续访问该资源访问路径对应的资源。例如,验证在目标时长内对该资源访问路径对应的资源的访问量是否超过第二目标阈值,其中目标时长内对该资源访问路径对应的资源的访问量是指,在目标时长内请求对该资源访问路径对应的资源进行访问的总次数,该目标时长是指当前时间点之间的一段时间,例如目标时长为当前时间点之前的1小时、1天或其他时长,第一目标阈值为预先设置的任一数值。进一步地,资源访问请求携带源IP地址,验证在目标时长内基于该源IP地址对该资源访问路径对应的资源的访问量是否超过第二目标阈值。
可选地,访问网关针对不同的时间段设定了不同的第二目标阈值,例如,目标时间段为8:00-12:00,在8:00-12:00这一时间段内,第二目标阈值为500次,则验证在8:00-12:00这一时间段内,对该资源访问路径对应的资源的访问次数是否超过500次,在超过500次的情况下,确定在8:00-12:00这一时间段内不能够再访问该资源,在未超过500次的情况下,确定在8:00-12:00这一时间段内能够继续访问该资源。进一步地,针对不同的源IP地址,设定该源IP地址在不同的时间段内对应的第二目标阈值。
需要说明的一点是,不同的资源访问路径对应的资源对应的第二目标阈值可以相同,也可以不同。
需要说明的另一点是,本申请实施例仅是以访问网关对源IP地址、源IP地址的访问频率和资源访问路径进行验证为例进行说明,在另一实施例中,访问网关还能够对资源访问请求携带的其他信息进行验证,本申请实施例对此不做限制。
1411、访问网关向业务服务器发送资源访问请求。
在一种可能实现方式中,访问网关基于资源访问请求中携带的目标地址,确定该目标地址对应的业务服务器,向确定的业务服务器发送资源访问请求。
业务服务器基于接收到的资源访问请求,向访问网关发送对应的目标资源,再通过访问网关将目标资源发送给管理客户端,由管理客户端将目标资源转发给第一客户端,从而完成第一客户端的资源访问。
另外,参见图21所示的资源访问方法的示意图,将管理客户端、管理服务器和访问网关作为零信任网络安全服务的提供方,通过管理客户端和访问网关为访问主体和访问客体之间提供统一入口,使访问主体能够通过该统一入口请求管理服务器对资源访问请求进行鉴权操作,在资源访问请求验证通过的情况下,再通过访问网关进行实际的资源访问。
本申请实施例提供的方法,为了保证终端在资源访问期间是安全的,先对终端当前的状态信息进行验证,然后在状态信息验证通过的情况下,即在保证终端当前是安全的情况下,再基于第一访问控制信息验证资源访问请求,在资源访问请求验证通过时进行资源访问。结合对状态信息的验证和对资源访问请求的验证,不仅增加了验证的信息,还由于是终端当前的状态信息,因此能够实现对终端的实时验证,从而使验证过程更加完善,提高了资源访问的安全性。
并且,本申请实施例中,终端、管理服务器和访问网关具有提前配置的访问控制信息,终端在资源访问期间还能够对状态信息进行实时验证,即在资源访问期间生成实时的访问控制规则,通过提前配置的访问控制信息和实时生成的访问控制规则,共同对客户端的资源访问进行控制,能够实现更加精确的访问控制和统一的风险处置措施,从而提高了资源访问的安全性。且能够实现更加精准的控制能力。
并且,本申请实施例中,终端、管理服务器和访问网关均配置有对应的访问控制信息,终端、管理服务器和访问网关分别基于各自的访问控制信息执行对应的操作,将对资源访问请求的验证过程通过终端、管理服务器和访问网关的交互来实现。采用设备交互的方式进行验证,避免一个设备执行多项验证,从而提高了验证效率,对于用户来说,用户感知到的资源访问速度更快。并且,在访问控制信息发生变化的情况下,只需对对应的设备中的访问控制信息进行更新即可,无需更新全部的访问控制信息,这种更新方式,一方面,降低了访问控制信息生效的时长,避免产生延迟,另一方面,在不影响已建立的资源访问的基础上,实现对资源访问的精确控制。并且,针对已建立的资源访问请求,在更新访问控制信息时,能够及时通过终端或访问网关中断该资源访问。
在一种可能实现方式中,上述图14所示的实施例中的管理客户端包括第一子客户端和第二子客户端。参见图22所示的资源访问方法的流程图,资源访问过程为:
1、终端通过第一子客户端拦截第一客户端发送的资源访问请求,该资源访问请求携带进程标识。
2、终端通过第一子客户端将资源访问请求发送给第二子客户端。
3、终端通过第二子客户端接收到资源访问请求后,对当前终端的状态信息进行验证,在状态信息验证通过的情况下,从第一客户端获取进程标识对应的第一进程信息。
4、终端通过第二子客户端向管理服务器发送携带第一进程信息的鉴权请求。
5、管理服务器接收到鉴权请求后,对鉴权请求进行验证,在鉴权请求验证通过的情况下,向第二子客户端发送验证凭证。
6、终端通过第二子客户端接收到验证凭证后,将验证凭证发送给第一子客户端。
7、终端通过第一子客户端接收到验证凭证后,向访问网关发送携带该验证凭证的网络请求。
8、访问网关接收到网络请求后,向管理服务器发送携带该验证凭证的校验请求。
9、管理服务器接收到校验请求后,对验证凭证进行校验,在验证凭证校验通过的情况下,向访问网关发送验证凭证的验证通过通知。
10、访问网关接收到验证凭证的验证通过通知后,建立该访问网关与第一子客户端之间的连接,终端通过第一子客户端,基于建立的连接向访问网关发送资源访问请求。
11、访问网关接收到资源访问请求后,向对应的业务服务器发送资源访问请求。
12、业务服务器基于资源访问请求,向访问网关发送对应的目标资源。
13、访问网关将接收到的目标资源发送给第一子客户端。
14、终端通过第一子客户端将目标资源发送给第一客户端。
参见图22,在一种可能实现方式中,管理服务器包括策略中心模块、送检服务模块和票据中心模块,该策略中心模块存储有第二访问控制信息,用于指示执行的验证操作,送检服务模块用于与云服务器进行交互,票据中心用于为向终端下发验证凭证,以及对验证凭证进行验证。
需要说明的是,图21所示的资源访问过程与上述图14所示的资源访问过程的实施方式同理,在此不再赘述。
本申请实施例提供的资源访问方法能够应用在多种场景下,本申请实施例以应用在远程办公场景下为例,对资源访问方法进行说明:
用户远程办公时,为了保证访问企业内部资源的安全性,采用本申请实施例提供的资源访问方法对资源访问请求进行验证,资源访问过程如下:用户使用自己的私人终端,基于用户标识登录终端中的管理客户端,然后通过管理客户端,基于第一访问控制信息,拦截某个客户端发送的资源访问请求,该资源访问请求用于请求访问公司内部的数据,然后对终端当前的状态信息进行验证,以确定当前的终端是否是合规的,从而确定是否能够通过该终端访问公司内部的数据,在验证结果表示终端是合规的情况下,再采用上述步骤1403-1411的实施方式对资源访问请求进行验证,以访问公司内部的数据。
本申请实施例还能够应用在智慧交通场景下,在智慧交通场景下,本申请实施例中的终端为车载终端,对于智慧交通场景下的资源访问过程在此不再赘述。
图23是本申请实施例提供的一种资源访问装置的结构示意图。参见图23,该装置包括:
请求拦截模块2301,用于基于第一访问控制信息,拦截第一客户端发送的资源访问请求,第一访问控制信息指示在终端中的任一客户端发送资源访问请求的情况下拦截资源访问请求并执行验证操作;
第一验证模块2302,用于对终端当前的状态信息进行验证;
第二验证模块2303,用于在状态信息验证通过的情况下,基于第一访问控制信息对资源访问请求进行验证;
资源访问模块2304,用于在资源访问请求验证通过的情况下,基于资源访问请求进行资源访问。
可选地,请求拦截模块2301,用于通过管理客户端,基于第一访问控制信息,拦截资源访问请求,管理客户端用于对终端中的客户端进行资源访问控制。
可选地,状态信息包括网络信息,第一验证模块2302,包括:
第一验证单元,用于获取终端当前所连接的网络对应的网络信息;
第一验证单元,还用于在网络信息与目标网络信息匹配的情况下,确定状态信息验证通过,目标网络信息为安全网络对应的网络信息;或者,
状态信息还包括登录管理客户端的用户标识,第一验证单元,还用于在网络信息与目标网络信息不匹配的情况下,对用户标识进行验证,在用户标识验证通过的情况下,确定状态信息验证通过。
可选地,状态信息包括资源类型,第一验证模块2302,包括:
第二验证单元,用于获取资源访问请求所请求访问的资源所属的资源类型;
第二验证单元,还用于在资源类型为公共资源类型的情况下,确定状态信息验证通过,属于公共资源类型的资源为允许登录任意用户标识的客户端访问的资源;或者,
状态信息还包括登录管理客户端的用户标识,第二验证单元,还用于在资源类型为非公共资源类型的情况下,对用户标识进行验证,在用户标识验证通过的情况下,确定状态信息验证通过。
可选地,第一验证模块2302,用于在用户标识属于目标标识集合的情况下,确定用户标识验证通过,目标标识集合中包含的用户标识具有访问资源的权限。
可选地,状态信息包括终端安装的各个客户端的客户端信息,第一验证模块,包括:
第三验证单元,用于获取终端安装的各个客户端当前的客户端信息,对各个客户端信息进行验证;
第二验证模块2303,用于在各个客户端信息均验证通过的情况下,基于第一访问控制信息对资源访问请求进行验证。
可选地,请求拦截模块2301,包括:
第一拦截单元,用于在管理客户端处于第一拦截模式的情况下,拦截资源访问请求,第一拦截模式指示拦截终端中任一客户端发送的、访问任一资源的资源访问请求;或者,
第二拦截单元,用于在管理客户端处于第二拦截模式,且资源访问请求携带的目标地址属于第一地址集合的情况下,拦截资源访问请求,第二拦截模式指示拦截终端中任一客户端发送的、用于访问非公共资源的资源访问请求,第一地址集合包括非公共资源的地址。
可选地,资源访问请求携带进程标识,进程标识指示请求进行资源访问的进程,第一访问控制信息指示对进程标识对应的进程信息的验证操作,第二验证模块,用于:
在状态信息验证通过的情况下,基于进程标识,从第一客户端获取进程标识对应的第一进程信息;
基于进程标识,从管理客户端获取进程标识对应的第二进程信息;
在第一进程信息与第二进程信息匹配的情况下,向管理客户端对应的管理服务器发送鉴权请求,鉴权请求携带第一进程信息,管理服务器用于基于第二访问控制信息,对鉴权请求进行验证,第二访问控制信息指示在接收到鉴权请求的情况下执行验证操作;
接收管理服务器返回的验证结果。
可选地,第二验证模块2303,用于:
在管理客户端中未存储进程标识对应的进程信息的情况下,向管理服务器发送鉴权请求;
接收管理服务器返回的验证结果。
可选地,资源访问模块,用于:
在资源访问请求验证通过的情况下,通过管理客户端,向业务服务器发送资源访问请求,业务服务器用于返回资源访问请求对应的目标资源;或者,
在资源访问请求验证通过的情况下,通过管理客户端和访问网关向业务服务器发送资源访问请求。
可选地,资源访问模块,用于:
通过管理客户端,向访问网关发送网络请求,网络请求携带管理客户端对应的管理服务器发送给终端的验证凭证,其中,访问网关用于基于第三访问控制信息,向管理服务器发送携带验证凭证的校验请求,管理服务器用于对验证凭证进行验证,向访问网关返回验证凭证的验证结果,访问网关还用于在验证凭证验证通过的情况下,建立访问网关与终端之间的连接,第三访问控制信息指示在接收到校验请求的情况下执行验证操作;
基于建立的连接,向访问网关发送资源访问请求,访问网关用于向业务服务器发送资源访问请求。
可选地,第二验证模块,用于:
在状态信息验证通过之后的目标时长内,基于第一访问控制信息对资源访问请求进行验证。
可选地,装置还包括:
请求删除模块,用于在状态信息验证未通过的情况下,删除资源访问请求。
可选地,装置还包括:
请求删除模块,用于在资源访问请求验证未通过的情况下,删除资源访问请求。
可选地,资源访问请求携带进程标识,装置还包括:
进程清除模块,用于在资源访问请求验证未通过的情况下,清除进程标识对应的目标进程。
可选地,管理客户端包括第一子客户端和第二子客户端;
第一子客户端用于拦截资源访问请求,以及转发资源访问请求;
第二子客户端用于验证状态信息,以及验证资源访问请求。
本申请实施例提供的装置,为了保证终端在资源访问期间是安全的,先对终端当前的状态信息进行验证,然后在状态信息验证通过的情况下,即在保证终端当前是安全的情况下,再基于第一访问控制信息验证资源访问请求,在资源访问请求验证通过时进行资源访问。结合对状态信息的验证和对资源访问请求的验证,不仅增加了验证的信息,还由于是终端当前的状态信息,因此能够实现对终端的实时验证,从而使验证过程更加完善,提高了资源访问的安全性。
上述所有可选技术方案,可以采用任意结合形成本申请的可选实施例,在此不再一一赘述。
需要说明的是:上述实施例提供的资源访问装置在访问资源时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将计算机设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的资源访问装置与资源访问方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图24是本申请实施例提供的一种资源访问装置的结构示意图。参见图24,该装置包括:
鉴权请求接收模块2401,用于接收终端通过管理客户端发送的鉴权请求,鉴权请求携带第一进程信息,第一进程信息与管理客户端拦截到的资源访问请求中携带的进程标识对应,是从发送资源访问请求的第一客户端获取的,进程标识指示第一客户端中请求进行资源访问的进程;
验证模块2402,用于基于第二访问控制信息,对鉴权请求进行验证,向终端返回鉴权请求的验证结果,终端用于接收验证结果,在验证结果指示资源访问请求验证通过的情况下基于资源访问请求进行资源访问,第二访问控制信息指示在接收到鉴权请求的情况下执行验证操作。
可选地,鉴权请求还携带进程标识,验证模块,用于在进程标识属于进程标识集合的情况下,对第一进程信息进行验证,进程标识集合包括允许进行资源访问的进程对应的进程标识。
可选地,验证模块2402,用于:
在第一进程信息与第三进程信息匹配的情况下,确定第一进程信息验证通过,第三进程信息为本端设备中与进程标识对应存储的进程信息;或者,
在本端设备未存储与进程标识对应的进程信息的情况下,向云服务器发送鉴权请求,接收云服务器返回的第一进程信息的验证结果,云服务器存储有最新的进程信息,其中云服务器用于基于鉴权请求,对第一进程信息进行验证。
可选地,装置和还包括:
存储模块,用于接收云服务器发送的第三进程信息;
存储模块,还用于将进程标识与第三进程信息对应存储。
本申请实施例提供的装置,由管理服务器对终端中客户端发起的资源访问请求进行资源验证,管理服务器将验证结果发送给终端,然后再由终端进行资源访问,通过终端与管理服务器之间的交互,实现对资源访问请求的验证,这种验证方式,将验证过程分散在不同的设备中,从而使验证过程更加灵活。
上述所有可选技术方案,可以采用任意结合形成本申请的可选实施例,在此不再一一赘述。
需要说明的是:上述实施例提供的资源访问装置在访问资源时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将计算机设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的资源访问装置与资源访问方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图25是本申请实施例提供的一种资源访问装置的结构示意图。参见图25,该装置包括:
网络请求接收模块2501,用于接收终端发送的网络请求,网络请求为终端在管理服务器对终端的资源访问请求验证通过的情况下发送的,网络请求携带管理服务器发送给终端的验证凭证;
校验请求发送模块2502,用于基于第三访问控制信息,向管理服务器发送携带验证凭证的校验请求,管理服务器用于对验证凭证进行验证,第三访问控制信息指示在接收到网络请求的情况下执行验证操作;
连接建立模块2503,用于在管理服务器对验证凭证验证通过的情况下,建立与终端之间的连接,连接用于终端发送资源访问请求。
本申请实施例提供的装置,终端在通过访问网关进行资源访问时,访问网关通过与管理服务器进行交互,使管理服务器对验证凭证进行验证,在验证凭证验证通过的情况下,才能够建立连接进行资源访问,从而避免访问网关基于无效的验证凭证建立连接,管理服务器对验证凭证的验证,使验证过程更加完善,从而提高了资源访问的安全性。
需要说明的是:上述实施例提供的资源访问装置在访问资源时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将计算机设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的资源访问装置与资源访问方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本申请实施例还提供了一种终端,该终端包括处理器和存储器,存储器中存储有至少一条计算机程序,该至少一条计算机程序由处理器加载并执行,以实现上述实施例的资源访问方法所执行的操作。
图26是本申请实施例提供的一种终端2600的结构示意图。该终端2600可以是便携式移动终端,比如:智能手机、平板电脑、MP3播放器(Moving Picture Experts GroupAudio Layer III,动态影像专家压缩标准音频层面3)、MP4(Moving Picture ExpertsGroup Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、笔记本电脑或台式电脑。终端2600还可能被称为用户设备、便携式终端、膝上型终端、台式终端等其他名称。
终端2600包括有:处理器2601和存储器2602。
处理器2601可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器2601可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器2601也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central ProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器2601可以集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。在一些实施例中,处理器2601还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器2602可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器2602还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中,存储器2602中的非暂态的计算机可读存储介质用于存储至少一条计算机程序,该至少一条计算机程序用于被处理器2601所执行以实现本申请中方法实施例提供的资源访问方法。
在一些实施例中,终端2600还可选包括有:***设备接口2603和至少一个***设备。处理器2601、存储器2602和***设备接口2603之间可以通过总线或信号线相连。各个***设备可以通过总线、信号线或电路板与***设备接口2603相连。具体地,***设备包括:射频电路2604、显示屏2605、摄像头组件2606、音频电路2607、定位组件2608和电源2609中的至少一种。
***设备接口2603可被用于将I/O(Input/Output,输入/输出)相关的至少一个***设备连接到处理器2601和存储器2602。在一些实施例中,处理器2601、存储器2602和***设备接口2603被集成在同一芯片或电路板上;在一些其他实施例中,处理器2601、存储器2602和***设备接口2603中的任意一个或两个可以在单独的芯片或电路板上实现,本实施例对此不加以限定。
射频电路2604用于接收和发射RF(Radio Frequency,射频)信号,也称电磁信号。射频电路2604通过电磁信号与通信网络以及其他通信设备进行通信。射频电路2604将电信号转换为电磁信号进行发送,或者,将接收到的电磁信号转换为电信号。可选地,射频电路2604包括:天线***、RF收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路2604可以通过至少一种无线通信协议来与其它终端进行通信。该无线通信协议包括但不限于:万维网、城域网、内联网、各代移动通信网络(2G、3G、4G及5G)、无线局域网和/或WiFi(Wireless Fidelity,无线保真)网络。在一些实施例中,射频电路2604还可以包括NFC(Near Field Communication,近距离无线通信)有关的电路,本申请对此不加以限定。
显示屏2605用于显示UI(User Interface,用户界面)。该UI可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏2605是触摸显示屏时,显示屏2605还具有采集在显示屏2605的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器2601进行处理。此时,显示屏2605还可以用于提供虚拟按钮和/或虚拟键盘,也称软按钮和/或软键盘。在一些实施例中,显示屏2605可以为一个,设置在终端2600的前面板;在另一些实施例中,显示屏2605可以为至少两个,分别设置在终端2600的不同表面或呈折叠设计;在另一些实施例中,显示屏2605可以是柔性显示屏,设置在终端2600的弯曲表面上或折叠面上。甚至,显示屏2605还可以设置成非矩形的不规则图形,也即异形屏。显示屏2605可以采用LCD(Liquid Crystal Display,液晶显示屏)、OLED(Organic Light-EmittingDiode,有机发光二极管)等材质制备。
摄像头组件2606用于采集图像或视频。可选地,摄像头组件2606包括前置摄像头和后置摄像头。前置摄像头设置在终端的前面板,后置摄像头设置在终端的背面。在一些实施例中,后置摄像头为至少两个,分别为主摄像头、景深摄像头、广角摄像头、长焦摄像头中的任意一种,以实现主摄像头和景深摄像头融合实现背景虚化功能、主摄像头和广角摄像头融合实现全景拍摄以及VR(Virtual Reality,虚拟现实)拍摄功能或者其它融合拍摄功能。在一些实施例中,摄像头组件2606还可以包括闪光灯。闪光灯可以是单色温闪光灯,也可以是双色温闪光灯。双色温闪光灯是指暖光闪光灯和冷光闪光灯的组合,可以用于不同色温下的光线补偿。
音频电路2607可以包括麦克风和扬声器。麦克风用于采集用户及环境的声波,并将声波转换为电信号输入至处理器2601进行处理,或者输入至射频电路2604以实现语音通信。出于立体声采集或降噪的目的,麦克风可以为多个,分别设置在终端2600的不同部位。麦克风还可以是阵列麦克风或全向采集型麦克风。扬声器则用于将来自处理器2601或射频电路2604的电信号转换为声波。扬声器可以是传统的薄膜扬声器,也可以是压电陶瓷扬声器。当扬声器是压电陶瓷扬声器时,不仅可以将电信号转换为人类可听见的声波,也可以将电信号转换为人类听不见的声波以进行测距等用途。在一些实施例中,音频电路2607还可以包括耳机插孔。
定位组件2608用于定位终端2600的当前地理位置,以实现导航或LBS(LocationBased Service,基于位置的服务)。定位组件2608可以是基于美国的GPS(GlobalPositioning System,全球定位***)、中国的北斗***、俄罗斯的格雷纳斯定位***或欧盟的伽利略定位***的定位组件。
电源2609用于为终端2600中的各个组件进行供电。电源2609可以是交流电、直流电、一次性电池或可充电电池。当电源2609包括可充电电池时,该可充电电池可以是有线充电电池或无线充电电池。有线充电电池是通过有线线路充电的电池,无线充电电池是通过无线线圈充电的电池。该可充电电池还可以用于支持快充技术。
本领域技术人员可以理解,图26中示出的结构并不构成对终端2600的限定,可以包括比图示更多或更少的组件,或者组合某些组件,或者采用不同的组件布置。
本申请实施例还提供了一种服务器,该服务器包括处理器和存储器,存储器中存储有至少一条计算机程序,该至少一条计算机程序由处理器加载并执行,以实现上述实施例的资源访问方法所执行的操作。
图27是本申请实施例提供的一种服务器的结构示意图,该服务器2700可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(Central ProcessingUnits,CPU)2701和一个或一个以上的存储器2702,其中,存储器2702中存储有至少一条计算机程序,该至少一条计算机程序由处理器2701加载并执行以实现上述各个方法实施例提供的方法。当然,该服务器还可以具有有线或无线网络接口、键盘以及输入输出接口等部件,以便进行输入输出,该服务器还可以包括其他用于实现设备功能的部件,在此不做赘述。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有至少一条计算机程序,该至少一条计算机程序由处理器加载并执行,以实现上述实施例的资源访问方法所执行的操作。
本申请实施例还提供了一种计算机程序产品,该计算机程序产品包括计算机程序,该计算机程序被处理器执行时实现上述实施例的资源访问方法所执行的操作。
在一些实施例中,本申请实施例所涉及的计算机程序可被部署在一个计算机设备上执行,或者在位于一个地点的多个计算机设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算机设备上执行,分布在多个地点且通过通信网络互连的多个计算机设备可以组成区块链***。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,该程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上仅为本申请实施例的可选实施例,并不用以限制本申请实施例,凡在本申请实施例的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (20)
1.一种资源访问方法,其特征在于,所述方法包括:
基于第一访问控制信息,拦截第一客户端发送的资源访问请求,所述第一访问控制信息指示在终端中的任一客户端发送资源访问请求的情况下拦截所述资源访问请求并执行验证操作;
对所述终端当前的状态信息进行验证;
在所述状态信息验证通过的情况下,基于所述第一访问控制信息对所述资源访问请求进行验证;
在所述资源访问请求验证通过的情况下,基于所述资源访问请求进行资源访问。
2.根据权利要求1所述的方法,其特征在于,所述基于第一访问控制信息,拦截第一客户端发送的资源访问请求,包括:
通过管理客户端,基于所述第一访问控制信息,拦截所述资源访问请求,所述管理客户端用于对所述终端中的客户端进行资源访问控制。
3.根据权利要求2所述的方法,其特征在于,所述状态信息包括网络信息,所述对所述终端当前的状态信息进行验证,包括:
获取所述终端当前所连接的网络对应的网络信息;
在所述网络信息与目标网络信息匹配的情况下,确定所述状态信息验证通过,所述目标网络信息为安全网络对应的网络信息;或者,
所述状态信息还包括登录所述管理客户端的用户标识,在所述网络信息与所述目标网络信息不匹配的情况下,对所述用户标识进行验证,在所述用户标识验证通过的情况下,确定所述状态信息验证通过。
4.根据权利要求2所述的方法,其特征在于,所述状态信息包括资源类型,所述对所述终端当前的状态信息进行验证,包括:
获取所述资源访问请求所请求访问的资源所属的资源类型;
在所述资源类型为公共资源类型的情况下,确定所述状态信息验证通过,属于所述公共资源类型的资源为允许登录任意用户标识的客户端访问的资源;或者,
所述状态信息还包括登录所述管理客户端的用户标识,在所述资源类型为非公共资源类型的情况下,对所述用户标识进行验证,在所述用户标识验证通过的情况下,确定所述状态信息验证通过。
5.根据权利要求1所述的方法,其特征在于,所述状态信息包括所述终端安装的各个客户端的客户端信息,所述对所述终端当前的状态信息进行验证,包括:
获取所述终端安装的各个客户端当前的客户端信息,对各个客户端信息进行验证;
所述在所述状态信息验证通过的情况下,基于所述第一访问控制信息对所述资源访问请求进行验证,包括:
在所述各个客户端信息均验证通过的情况下,基于所述第一访问控制信息对所述资源访问请求进行验证。
6.根据权利要求2所述的方法,其特征在于,所述通过管理客户端,基于所述第一访问控制信息,拦截所述资源访问请求,包括:
在所述管理客户端处于第一拦截模式的情况下,拦截所述资源访问请求,所述第一拦截模式指示拦截所述终端中任一客户端发送的、访问任一资源的资源访问请求;或者,
在所述管理客户端处于第二拦截模式,且所述资源访问请求携带的目标地址属于第一地址集合的情况下,拦截所述资源访问请求,所述第二拦截模式指示拦截所述终端中任一客户端发送的、用于访问非公共资源的资源访问请求,所述第一地址集合包括非公共资源的地址。
7.根据权利要求2所述的方法,其特征在于,所述资源访问请求携带进程标识,所述进程标识指示请求进行资源访问的进程,所述第一访问控制信息指示对所述进程标识对应的进程信息的验证操作,所述在所述状态信息验证通过的情况下,基于所述第一访问控制信息对所述资源访问请求进行验证,包括:
在所述状态信息验证通过的情况下,基于所述进程标识,从所述第一客户端获取所述进程标识对应的第一进程信息;
基于所述进程标识,从所述管理客户端获取所述进程标识对应的第二进程信息;
在所述第一进程信息与所述第二进程信息匹配的情况下,向所述管理客户端对应的管理服务器发送鉴权请求,所述鉴权请求携带所述第一进程信息,所述管理服务器用于基于第二访问控制信息,对所述鉴权请求进行验证,所述第二访问控制信息指示在接收到所述鉴权请求的情况下执行验证操作;
接收所述管理服务器返回的验证结果。
8.根据权利要求2所述的方法,其特征在于,所述在所述资源访问请求验证通过的情况下,基于所述资源访问请求进行资源访问,包括:
在所述资源访问请求验证通过的情况下,通过所述管理客户端,向业务服务器发送所述资源访问请求,所述业务服务器用于返回所述资源访问请求对应的所述目标资源;或者,
在所述资源访问请求验证通过的情况下,通过所述管理客户端和访问网关向业务服务器发送所述资源访问请求。
9.根据权利要求8所述的方法,其特征在于,所述通过所述管理客户端和访问网关向业务服务器发送所述资源访问请求,包括:
通过所述管理客户端,向所述访问网关发送网络请求,所述网络请求携带所述管理客户端对应的管理服务器发送给所述终端的验证凭证,其中,所述访问网关用于基于第三访问控制信息,向所述管理服务器发送携带所述验证凭证的校验请求,所述管理服务器用于对所述验证凭证进行验证,向所述访问网关返回所述验证凭证的验证结果,所述访问网关还用于在所述验证凭证验证通过的情况下,建立所述访问网关与所述终端之间的连接,所述第三访问控制信息指示在接收到校验请求的情况下执行验证操作;
基于建立的连接,向所述访问网关发送所述资源访问请求,所述访问网关用于向所述业务服务器发送所述资源访问请求。
10.一种资源访问方法,其特征在于,所述方法包括:
接收终端通过管理客户端发送的鉴权请求,所述鉴权请求携带第一进程信息,所述第一进程信息与所述管理客户端拦截到的资源访问请求中携带的进程标识对应,是从发送所述资源访问请求的第一客户端获取的,所述进程标识指示所述第一客户端中请求进行资源访问的进程;
基于第二访问控制信息,对所述鉴权请求进行验证,向所述终端返回所述鉴权请求的验证结果,所述终端用于接收所述验证结果,在所述验证结果指示所述资源访问请求验证通过的情况下基于所述资源访问请求进行资源访问,所述第二访问控制信息指示在接收到所述鉴权请求的情况下执行验证操作。
11.一种资源访问方法,其特征在于,所述方法包括:
接收终端发送的网络请求,所述网络请求为所述终端在管理服务器对所述终端的资源访问请求验证通过的情况下发送的,所述网络请求携带所述管理服务器发送给所述终端的验证凭证;
基于第三访问控制信息,向管理服务器发送携带所述验证凭证的校验请求,所述管理服务器用于对所述验证凭证进行验证,所述第三访问控制信息指示在接收到网络请求的情况下执行验证操作;
在所述管理服务器对所述验证凭证验证通过的情况下,建立与所述终端之间的连接,所述连接用于所述终端发送所述资源访问请求。
12.一种资源访问***,其特征在于,所述资源访问***包括终端和管理服务器;
所述终端,用于通过管理客户端,基于第一访问控制信息,对第一客户端发送的资源访问请求进行拦截,所述第一访问控制信息指示在终端中的任一客户端发送资源访问请求的情况下拦截所述资源访问请求并执行验证操作;
所述终端,还用于对所述终端当前的状态信息进行验证;
所述终端,还用于在所述状态信息验证通过的情况下,基于所述第一访问控制信息,向所述管理服务器发送鉴权请求,所述鉴权请求携带第一进程信息,所述第一进程信息与所述资源访问请求中携带的进程标识对应,是从所述第一客户端获取的,所述进程标识指示所述第一客户端中请求进行资源访问的进程;
所述管理服务器,用于基于第二访问控制信息,对所述鉴权请求进行验证,向所述终端返回所述鉴权请求的验证结果,所述第二访问控制信息指示在接收到所述鉴权请求的情况下执行验证操作;
所述终端,还用于接收所述验证结果,在所述验证结果指示所述资源访问请求验证通过的情况下基于所述资源访问请求进行资源访问。
13.一种资源访问装置,其特征在于,所述装置包括:
请求拦截模块,用于基于第一访问控制信息,拦截第一客户端发送的资源访问请求,所述第一访问控制信息指示在终端中的任一客户端发送资源访问请求的情况下拦截所述资源访问请求并执行验证操作;
第一验证模块,用于对所述终端当前的状态信息进行验证;
第二验证模块,用于在所述状态信息验证通过的情况下,基于所述第一访问控制信息对所述资源访问请求进行验证;
资源访问模块,用于在所述资源访问请求验证通过的情况下,基于所述资源访问请求进行资源访问。
14.一种资源访问装置,其特征在于,所述装置包括:
鉴权请求接收模块,用于接收终端通过管理客户端发送的鉴权请求,所述鉴权请求携带第一进程信息,所述第一进程信息与所述管理客户端拦截到的资源访问请求中携带的进程标识对应,是从发送所述资源访问请求的第一客户端获取的,所述进程标识指示所述第一客户端中请求进行资源访问的进程;
验证模块,用于基于第二访问控制信息,对所述鉴权请求进行验证,向所述终端返回所述鉴权请求的验证结果,所述终端用于接收所述验证结果,在所述验证结果指示所述资源访问请求验证通过的情况下基于所述资源访问请求进行资源访问,所述第二访问控制信息指示在接收到所述鉴权请求的情况下执行验证操作。
15.一种资源访问装置,其特征在于,所述装置包括:
网络请求接收模块,用于接收终端发送的网络请求,所述网络请求为所述终端在管理服务器对所述终端的资源访问请求验证通过的情况下发送的,所述网络请求携带所述管理服务器发送给所述终端的验证凭证;
校验请求发送模块,用于基于第三访问控制信息,向管理服务器发送携带所述验证凭证的校验请求,所述管理服务器用于对所述验证凭证进行验证,所述第三访问控制信息指示在接收到网络请求的情况下执行验证操作;
连接建立模块,用于在所述管理服务器对所述验证凭证验证通过的情况下,建立与所述终端之间的连接,所述连接用于所述终端发送所述资源访问请求。
16.一种终端,其特征在于,所述终端包括处理器和存储器,所述存储器中存储有至少一条计算机程序,所述至少一条计算机程序由所述处理器加载并执行,以实现如权利要求1至9任一权利要求所述的资源访问方法所执行的操作。
17.一种管理服务器,其特征在于,所述管理服务器包括处理器和存储器,所述存储器中存储有至少一条计算机程序,所述至少一条计算机程序由所述处理器加载并执行,以实现如权利要求10所述的资源访问方法所执行的操作。
18.一种访问网关,其特征在于,所述访问网关包括处理器和存储器,所述存储器中存储有至少一条计算机程序,所述至少一条计算机程序由所述处理器加载并执行,以实现如权利要求11所述的资源访问方法所执行的操作。
19.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条计算机程序,所述至少一条计算机程序由处理器加载并执行,以实现如权利要求1至9任一权利要求所述的资源访问方法所执行的操作,或者以实现如权利要求10所述的资源访问方法所执行的操作,或者以实现如权利要求11所述的资源访问方法所执行的操作。
20.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至9任一权利要求所述的资源访问方法所执行的操作,或者以实现如权利要求10所述的资源访问方法所执行的操作,或者以实现如权利要求11所述的资源访问方法所执行的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111221829.0A CN116015695A (zh) | 2021-10-20 | 2021-10-20 | 资源访问方法、***、装置、终端及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111221829.0A CN116015695A (zh) | 2021-10-20 | 2021-10-20 | 资源访问方法、***、装置、终端及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116015695A true CN116015695A (zh) | 2023-04-25 |
Family
ID=86027126
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111221829.0A Pending CN116015695A (zh) | 2021-10-20 | 2021-10-20 | 资源访问方法、***、装置、终端及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116015695A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117155716A (zh) * | 2023-10-31 | 2023-12-01 | 腾讯科技(深圳)有限公司 | 访问校验方法和装置、存储介质及电子设备 |
-
2021
- 2021-10-20 CN CN202111221829.0A patent/CN116015695A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117155716A (zh) * | 2023-10-31 | 2023-12-01 | 腾讯科技(深圳)有限公司 | 访问校验方法和装置、存储介质及电子设备 |
CN117155716B (zh) * | 2023-10-31 | 2024-02-09 | 腾讯科技(深圳)有限公司 | 访问校验方法和装置、存储介质及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111475841B (zh) | 一种访问控制的方法、相关装置、设备、***及存储介质 | |
CN110598482B (zh) | 基于区块链的数字证书管理方法、装置、设备及存储介质 | |
CN110245144B (zh) | 协议数据管理方法、装置、存储介质及*** | |
US10601787B2 (en) | Root of trust of geolocation | |
WO2020143414A1 (zh) | 无线网络接入方法、装置、设备及*** | |
CN108632253B (zh) | 基于移动终端的客户数据安全访问方法及装置 | |
CN104660562B (zh) | 一种信息查看方法、相关装置及*** | |
EP3602388A1 (en) | Blockchain node communication method and apparatus | |
US8151324B2 (en) | Remotable information cards | |
CN112765684B (zh) | 区块链节点终端管理方法、装置、设备及存储介质 | |
CN108293045A (zh) | 本地和远程***之间的单点登录身份管理 | |
CN112235400B (zh) | 通信方法、通信***、装置、服务器及存储介质 | |
US10148637B2 (en) | Secure authentication to provide mobile access to shared network resources | |
CN112417425A (zh) | 设备认证方法、装置、***、终端设备及存储介质 | |
CN102859935A (zh) | 利用虚拟机远程维护电子网络中的多个客户端的***和方法 | |
CN111355732B (zh) | 链接检测方法、装置、电子设备及存储介质 | |
CN109691057A (zh) | 经由私人内容分发网络可交换地取回敏感内容 | |
US11456872B2 (en) | Offline protection of secrets | |
CN109587101A (zh) | 一种数字证书管理方法、装置及存储介质 | |
CN110826043A (zh) | 一种数字身份申请***及方法、身份认证***及方法 | |
CN110598386B (zh) | 基于区块链的数据处理方法、装置、设备及存储介质 | |
JP2022528359A (ja) | ブロックチェーン及びDICE-RIoTを使用したデバイスのリモート管理 | |
CN115001841A (zh) | 一种身份认证方法、装置及存储介质 | |
CN110463155A (zh) | 增强特定于数据中心的信息的完整性 | |
CN115996122A (zh) | 访问控制方法、装置及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40083872 Country of ref document: HK |