【技术实现步骤摘要】
本专利技术涉及信息安全领域,具体而言,涉及一种访问控制方法、装置、存储介质和电子设备。
技术介绍
1、随着时代的发展,远程办公成为大部分企事业单位主流办公方法,且远程办公规模和场景越来越复杂,网络安全边界日益模糊,基于边界的安全防护体系正逐渐失效。相关技术中,客户端和服务端进行通信时,通常只在客户端首次访问服务端时进行校验,并且校验通过后,允许客户端访问所有相关的网络区域,存在安全风险。
2、针对相关技术中由于服务端在客户端通过身份校验之后,允许客户端访问服务端提供的所有相关的网络区域造成的安全风险较高的技术问题,目前尚未提出有效的解决方案。
技术实现思路
1、本专利技术实施例提供了一种访问控制方法、装置、存储介质和电子设备,以至少解决由于服务端在客户端通过身份校验之后,允许客户端访问服务端提供的所有相关的网络区域造成的安全风险较高的技术问题。
2、为了实现上述目的,根据本申请的一个方面,提供了一种访问控制方法。该方法包括:接收目标终端的签名请求,其中,签名请求包括请求访问的区域的标识;确定目标终端对应的目标账户的访问权限;根据访问权限和签名请求,确定允许目标账户访问的可访问区域;基于可访问区域的签名节点,对签名请求生成访问签名,并将访问签名返回目标终端;接收目标终端发送的访问请求,其中,访问请求包括访问签名和可访问区域的标识;根据访问请求,允许目标账户访问可访问区域。
3、可选地,确定目标终端对应的目标账户的访问权限,包括:接收目标终端发送的身
4、可选地,接收目标终端发送的身份认证信息,包括:接收目标终端发送的通信密钥交换请求,与目标终端约定通信密钥,其中,目标终端采用通信密钥将身份认证信息加密,并将加密后的身份认证信息发送至服务端;接收目标终端采用加密后的身份认证信息;采用通信密钥对加密后的身份认证信息解密,得到身份认证信息。
5、可选地,根据访问权限和签名请求,确定允许目标账户访问的可访问区域,包括:将签名请求输入预先训练的风险识别模型,由风险识别模型输出签名请求对应的风险概率,其中,风险识别模型为采用训练样本对原始风险识别模型训练得到,训练样本包括多个样本签名请求,以及对应的多个样本风险概率;在风险概率小于预定阈值的情况下,根据访问权限,确定签名请求中的可访问区域。
6、可选地,根据访问请求,允许目标账户访问可访问区域,包括:将访问请求转发至可访问区域的网关;由可访问区域的网关调用可访问区域的签名节点对访问签名进行验签;在可访问区域的签名节点对访问签名验签成功的情况下,允许目标账户访问可访问区域。
7、为了实现上述目的,根据本申请的另一方面,提供了另一种访问控制方法。该方法包括:向服务端发送目标账户对应的签名请求,其中,服务端根据签名请求确定允许目标账户访问的可访问区域,并基于可访问区域的签名节点,对签名请求生成访问签名,并将访问签名发送至目标终端;接收访问签名;根据访问签名,生成访问请求,其中,访问请求中携带有访问签名;将访问请求发送至服务端,其中,服务端根据访问请求,允许目标账户访问可访问区域。
8、为了实现上述目的,根据本申请的另一方面,提供了一种访问控制装置。该装置包括:第一接收模块,用于接收目标终端的签名请求,其中,签名请求包括请求访问的区域的标识;第一确定模块,用于确定目标终端对应的目标账户的访问权限;第二确定模块,用于根据访问权限和签名请求,确定允许目标账户访问的可访问区域;签名模块,用于基于可访问区域的签名节点,对签名请求生成访问签名,并将访问签名返回目标终端;第二接收模块,用于接收目标终端发送的访问请求,其中,访问请求包括访问签名和可访问区域的标识;访问控制模块,用于根据访问请求,允许目标账户访问可访问区域。
9、为了实现上述目的,根据本申请的另一方面,提供了另一种访问控制装置。该装置包括:第一发送模块,用于向服务端发送目标账户对应的签名请求,其中,服务端根据签名请求确定允许目标账户访问的可访问区域,并基于可访问区域的签名节点,对签名请求生成访问签名,并将访问签名发送至目标终端;第三接收模块,用于接收访问签名;生成模块,用于根据访问签名,生成访问请求,其中,访问请求中携带有访问签名;第二发送模块,用于将访问请求发送至服务端,其中,服务端根据访问请求,允许目标账户访问可访问区域。
10、为了实现上述目的,根据本申请的另一方面,提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,在程序运行时控制非易失性存储介质所在设备上述中任意一项的访问控制方法。
11、为了实现上述目的,根据本申请的另一方面,提供了一种电子设备,包括一个或多个处理器和存储器,存储器用于存储一个或多个程序,其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现上述中任意一项的访问控制方法。
12、通过本申请,采用以下步骤:接收目标终端的签名请求,其中,签名请求包括请求访问的区域的标识;确定目标终端对应的目标账户的访问权限;根据访问权限和签名请求,确定允许目标账户访问的可访问区域;基于可访问区域的签名节点,对签名请求生成访问签名,并将访问签名返回目标终端;接收目标终端发送的访问请求,其中,访问请求包括访问签名和可访问区域的标识;根据访问请求,允许目标账户访问可访问区域,达到了对客户端访问各个网络区域时都对客户端进行校验的目的,解决了相关技术中由于服务端在客户端通过身份校验之后,允许客户端访问服务端提供的所有相关的网络区域造成的安全风险较高的技术问题,进而达到了提高客户端和服务端远程连接时通信安全性的技术效果。
本文档来自技高网...【技术保护点】
1.一种访问控制方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述确定所述目标终端对应的目标账户的访问权限,包括:
3.根据权利要求2所述的方法,其特征在于,所述接收所述目标终端发送的身份认证信息,包括:
4.根据权利要求1所述的方法,其特征在于,所述根据所述访问权限和所述签名请求,确定允许所述目标账户访问的可访问区域,包括:
5.根据权利要求1至4中任意一项所述的方法,其特征在于,所述根据所述访问请求,允许所述目标账户访问所述可访问区域,包括:
6.一种访问控制方法,其特征在于,包括:
7.一种访问控制装置,其特征在于,包括:
8.一种访问控制装置,其特征在于,包括:
9.一种非易失性存储介质,其特征在于,所述非易失性存储介质包括存储的程序,其中,在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至6中任意一项所述的访问控制方法。
10.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述
...【技术特征摘要】
1.一种访问控制方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述确定所述目标终端对应的目标账户的访问权限,包括:
3.根据权利要求2所述的方法,其特征在于,所述接收所述目标终端发送的身份认证信息,包括:
4.根据权利要求1所述的方法,其特征在于,所述根据所述访问权限和所述签名请求,确定允许所述目标账户访问的可访问区域,包括:
5.根据权利要求1至4中任意一项所述的方法,其特征在于,所述根据所述访问请求,允许所述目标账户访问所述可访问区域,包括:
6.一种访问控制方法,...
【专利技术属性】
技术研发人员:张中杰,耿少羽,任风雷,邹晓鸥,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。