訪問控制策略的制定方法、裝置及系統與流程
2023-12-03 01:09:01 5
本發明涉及網絡技術領域,特別涉及一種訪問控制策略的制定方法、裝置及系統。
背景技術:
訪問控制策略是指資源伺服器中預先存儲的,用於限制終端對該資源伺服器中的資源進行訪問時所依據的策略,該訪問控制策略可以保證資源伺服器的資源只能被指定的終端所獲取,以確保訪問的安全性。
相關技術中,控制終端(即雲計算租戶,或資源伺服器的安全管理員)可以在資源伺服器中註冊用戶帳號,以租用該資源伺服器的資源。在制定針對該用戶帳號的訪問控制策略時,資源伺服器可以根據控制終端所選定的網際網路協議(英文:Internet Protocol;簡稱:IP)網段進行制定,即資源伺服器中可以在該訪問控制策略中存儲該用戶帳號與該選定的IP網段的對應關係,並根據該訪問控制策略中存儲的對應關係,對訪問該資源伺服器的終端進行驗證。
但是,在根據IP網段制定訪問控制策略時,控制終端需要先獲取各個接入終端所在地的IP網段,然後再將該獲取到的各個IP網段上報至資源伺服器,在該訪問控制策略的制定過程中,控制終端的操作較為複雜。
技術實現要素:
為了解決相關技術中訪問控制策略的制定過程中控制終端操作較為複雜的問題,本發明提供了一種訪問控制策略的制定方法、裝置及系統。所述技術方案如下:
第一方面,提供了一種訪問控制策略的制定方法,該方法可以應用於資源伺服器,該方法包括:接收控制終端發送的針對目標帳號的策略制定請求;根據該策略制定請求,向該控制終端提供可選的地理區域;接收該控制終端在該可選的地理區域中所選定的安全地理區域;制定訪問控制策略,該訪問控制策 略中記錄有該目標帳號與該安全地理區域的對應關係。
本發明提供的訪問控制策略的制定方法中,資源伺服器可以向控制終端提供可選的地理區域,因此控制終端可以直接根據各個接入終端所在地的地理位置,在該可選的地理區域內選定安全地理區域,而無需再確定IP網段,該訪問控制策略的制定過程中,控制終端的操作較為簡單,訪問控制策略的制定效率較高。並且相對於抽象的IP網段,地理位置的選定更為直觀。
可選的,在該接收控制終端發送的針對目標帳號的策略制定請求之後,該方法還可以包括:接收該控制終端發送的驗證終端的標識以及安全距離範圍,並在該訪問控制策略中記錄該目標帳號、該驗證終端的標識以及該安全距離範圍的對應關係。因此該資源伺服器還可以根據該驗證終端的標識以及該安全距離範圍對接入終端進行驗證,進一步提高了驗證的靈活性和安全性。
可選的,資源伺服器向該控制終端提供可選的地理區域具體可以包括:從定位伺服器中獲取可選的地理區域的地圖;向該控制終端發送該可選的地理區域的地圖,以便該控制終端在顯示屏上顯示該地圖,並在該地圖上選定安全地理區域。由於地圖顯示較為直觀,可以提高控制終端選定安全地理區域的效率,從而提高了該訪問控制策略的制定效率。
可選的,在該制定訪問控制策略之後,該方法還可以包括:當接收到接入終端發送的針對該目標帳號的訪問請求時,向定位伺服器發送定位請求,該定位請求中攜帶有該接入終端的標識;接收該定位伺服器發送的該接入終端的地理位置,該地理位置是由該定位伺服器根據該接入終端的標識對該接入終端進行定位後獲取的;根據該訪問控制策略,判斷該接入終端的地理位置是否滿足安全訪問條件;當該接入終端的地理位置滿足安全訪問條件時,允許該接入終端訪問該資源伺服器。
可選的,該安全訪問條件可以包括:該接入終端的地理位置位於該安全地理區域內。
可選的,該定位請求中還攜帶有該目標帳號所對應的驗證終端的標識,在該向定位伺服器發送定位請求之後,該方法還包括:接收該定位伺服器發送的該驗證終端的地理位置;該安全訪問條件還包括:該接入終端的地理位置與該驗證終端的地理位置之間的距離位於該安全距離範圍內。根據該驗證終端與接入終端之間的地理位置進行進一步驗證,提高了驗證的安全性。
可選的,該資源伺服器中預先存儲有該目標帳號與該目標密鑰的對應關係,當該接入終端的地理位置滿足安全訪問條件時,允許該接入終端訪問該資源伺服器具體可以包括:當該接入終端的地理位置滿足安全訪問條件時,向該接入終端發送第一驗證請求,該第一驗證請求用於請求該接入終端提供密鑰信息;接收該接入終端發送的密鑰信息;當該密鑰信息與該目標密鑰相同時,允許該接入終端訪問該資源伺服器。
可選的,在判斷該接入終端的地理位置是否滿足安全訪問條件之後,該方法還包括:當該接入終端的地理位置不滿足安全訪問條件時,生成目標驗證信息;向該接入終端發送第二驗證請求,該第二驗證請求用於請求該接入終端提供驗證信息;接收該接入終端發送的驗證信息;當該驗證信息與該目標驗證信息相同時,允許該接入終端訪問該資源伺服器。
當該接入終端的地理位置滿足安全訪問條件時,接入終端只需要通過簡單的密鑰驗證,即可對該資源伺服器進行訪問;當該接入終端的地理位置不滿足安全訪問條件時,該接入終端還需要通過複雜度較高的驗證碼驗證才能對該資源伺服器進行訪問。也即是,該資源伺服器可以根據接入終端的地理位置靈活調整訪問控制策略,該訪問控制的過程較為靈活。
第二方面,本發明提供了一種訪問控制策略的制定方法,應用於控制終端,所述方法可以包括:
向資源伺服器發送針對目標帳號的策略制定請求;接收該資源伺服器提供的可選的地理區域;在該可選的地理區域中選定安全地理區域;向該資源伺服器發送該選定的安全地理區域,以便該資源伺服器根據該安全地理區域制定訪問控制策略。
可選的,在向資源伺服器發送針對目標帳號的策略制定請求之後,該方法還可以包括:向資源伺服器發送驗證終端的標識以及安全距離範圍,以便該資源伺服器將該目標帳號、該驗證終端的標識以及該安全距離範圍的對應關係記錄在該訪問控制策略中。
可選的,該資源伺服器提供的可選的地理區域是該資源伺服器從定位伺服器中獲取可選的地理區域的地圖;控制終端可以在顯示屏上顯示該地圖,並在該地圖上選定該安全地理區域。
第三方面,本發明提供了一種訪問控制策略的制定裝置,該裝置可以應用於資源伺服器中,該訪問控制策略的制定裝置包括至少一個模塊,該至少一個模塊用於實現上述第一方面所提供的訪問控制策略的制定方法。
第四方面,本發明提供了一種訪問控制策略的制定裝置,該裝置可以應用於控制終端中,該訪問控制策略的制定裝置包括至少一個模塊,該至少一個模塊用於實現上述第二方面所提供的訪問控制策略的制定方法。
第五方面,提供了另一種訪問控制策略的制定裝置,該裝置可以包括:處理器,存儲器和總線;該總線用於連接該處理器和該存儲器,該處理器用於執行該存儲器中存儲的程序,該程序可以包括第一方面所提供的訪問控制策略的制定方法。
第六方面,提供了另一種訪問控制策略的制定裝置,該裝置可以包括:處理器,存儲器和總線;該總線用於連接該處理器和該存儲器,該處理器用於執行該存儲器中存儲的程序,該程序可以包括第二方面所提供的訪問控制策略的制定方法。
第七方面,提供了一種計算機存儲介質,用於儲存為上述訪問控制策略的制定裝置所用的計算機軟體指令,其包含用於執行第五方面為訪問控制策略的制定裝置所設計的程序。
第八方面,提供了一種計算機存儲介質,用於儲存為上述訪問控制策略的制定裝置所用的計算機軟體指令,其包含用於執行第六方面為訪問控制策略的制定裝置所設計的程序。
第九方面,提供了一種訪問控制策略的制定系統,該系統可以包括:資源伺服器、控制終端和定位伺服器;其中,該資源伺服器可以包括如第三方面或第五方面所述的訪問控制策略的制定裝置;該控制終端可以包括如第四方面或 第六方面所述的訪問控制策略的制定裝置。
上述本發明實施例第二到第九方面所獲得的技術效果與第一方面中對應的技術手段所獲得的技術效果近似,在這裡不再贅述。
本發明提供的技術方案帶來的有益效果是:
本發明提供了一種訪問控制策略的制定方法、裝置及系統,在該訪問控制策略的制定方法中,資源伺服器可以向控制終端提供可選的地理區域,因此控制終端可以直接根據各個接入終端所在地的地理位置,在該可選的地理區域內選定安全地理區域,而無需再確定IP網段,該訪問控制策略的制定過程中,控制終端的操作較為簡單,訪問控制策略的制定效率較高。並且相對於抽象的IP網段,地理位置的選定更為直觀。
附圖說明
為了更清楚地說明本發明實施例中的技術方案,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的一些實施例,對於本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。
圖1是本發明實施例提供的一種訪問控制策略的制定系統的架構圖;
圖2是本發明實施例提供的一種訪問控制策略的制定裝置的結構示意圖;
圖3是本發明實施例提供的另一種訪問控制策略的制定裝置的結構示意圖;
圖4是本發明實施例提供的一種訪問控制策略的制定方法的流程圖;
圖5-1是本發明實施例提供的另一種訪問控制策略的制定方法的流程圖;
圖5-2是本發明實施例提供的一種可選的地理區域的地圖;
圖6-1是本發明實施例提供的又一種訪問控制策略的制定裝置的結構示意圖;
圖6-2是本發明實施例提供的再一種訪問控制策略的制定裝置的結構示意圖;
圖7是本發明實施例提供的再一種訪問控制策略的制定裝置的結構示意圖。
具體實施方式
為使本發明的目的、技術方案和優點更加清楚,下面將結合附圖對本發明 實施方式作進一步地詳細描述。
圖1是本發明實施例提供的一種訪問控制策略的制定系統的架構圖,如圖1所示,該系統可以包括資源伺服器10、控制終端20和定位伺服器30。其中,該控制終端20可以為智慧型手機或者電腦等;資源伺服器10和該定位伺服器30中的每個伺服器,可以為是一臺伺服器,也可以是由若干臺伺服器組成的伺服器集群,或者是一個雲計算服務中心。該資源伺服器10、控制終端20和定位伺服器30之間可以通過有線網絡或無線網絡建立連接,控制終端20可以在該資源伺服器10中註冊用戶帳號,以獲取該資源伺服器10的資源,該資源伺服器10可以通過定位伺服器30獲取該控制終端20或者其他接入終端的地理位置。
請參考圖2,其示出了本發明示例性實施例涉及的一種訪問控制策略的制定裝置的結構示意圖。該裝置可以應用於圖1所示的資源伺服器10中。如圖2所示,該訪問控制策略的制定裝置可以包括:至少一個處理器201(例如CPU),至少一個網絡接口202或者其他通信接口,存儲器203和至少一個通信總線204,該通信總線204用於實現這些裝置之間的連接通信。處理器201用於執行存儲器203中存儲的可執行模塊,例如電腦程式。存儲器203可能包含高速隨機存取存儲器(RAM:Random Access Memory),也可能還包括非不穩定的存儲器(non-volatile memory),例如至少一個磁碟存儲器。通過至少一個網絡接口202(可以是有線或者無線)實現該智能設備與至少一個其他網元之間的通信連接,例如可以使用網際網路,廣域網,本地網,城域網等。
在一些實施方式中,存儲器203存儲了程序2031,處理器201可以執行程序2031來實現下述圖4所示的訪問控制策略的制定方法或下述圖5-1所示實施例中資源伺服器所執行的方法。
請參考圖3,其示出了本發明示例性實施例涉及的一種訪問控制策略的制定裝置的結構示意圖。該裝置可以應用於圖1所示的控制終端20中。如圖3所示,該訪問控制策略的制定裝置可以包括:至少一個處理器301(例如CPU),至少一個網絡接口302或者其他通信接口,存儲器303和至少一個通信總線304,該通信總線304用於實現這些裝置之間的連接通信。處理器301用於執行存儲器303中存儲的可執行模塊,例如電腦程式。存儲器303可能包含高速隨機 存取存儲器(RAM:Random Access Memory),也可能還包括非不穩定的存儲器(non-volatile memory),例如至少一個磁碟存儲器。通過至少一個網絡接口302(可以是有線或者無線)實現該智能設備與至少一個其他網元之間的通信連接,例如可以使用網際網路,廣域網,本地網,城域網等。
在一些實施方式中,存儲器303存儲了程序3031,處理器301可以執行該程序3031來實現下述附圖5-1所示實施例中控制終端所執行的方法。
圖4是本發明實施例提供的一種訪問控制策略的制定方法的流程圖,該方法可以應用於如圖1所示的資源伺服器10中,參考圖4,該方法可以包括:
步驟101、接收控制終端發送的針對目標帳號的策略制定請求。
該控制終端可以在該資源伺服器中註冊有用戶帳號,以租用該資源伺服器中的資源,或者使用該資源伺服器提供的服務。為了保證訪問的安全性,該控制終端可以向資源伺服器發送針對目標帳號的策略制定請求,以便該資源伺服器制定針對該目標帳號的訪問控制策略。
步驟102、根據該策略制定請求,向該控制終端提供可選的地理區域。
資源伺服器接收到該策略指定請求後,可以從定位伺服器中獲取可選的地理區域的地圖,並將該地圖提供至控制終端。
步驟103、接收該控制終端在該可選的地理區域中所選定的安全地理區域。
控制終端接收到該可選的地理區域的地圖後,可以根據接入終端所在的位置,在該地圖上選定一個或多個區域作為安全地理區域,並將該選定的安全地理區域發送至資源伺服器。
步驟104、制定訪問控制策略,該訪問控制策略中記錄有該目標帳號與該安全地理區域的對應關係。
資源伺服器接收到控制終端發送的安全地理區域後,即可根據該目標帳號和該選定的安全地理區域制定訪問控制策略。具體的,資源伺服器可以在該訪問控制策略中記錄該目標帳號與該安全地理區域的對應關係。當資源伺服器接收到接入終端發送的針對該目標帳號的訪問請求時,可以獲取該接入終端當前的地理位置,並根據獲取到的地理位置以及該訪問控制策略中記錄的對應關係,對該接入終端進行驗證。
綜上所述,本發明提供的訪問控制策略的制定方法中,資源伺服器可以向 控制終端提供可選的地理區域,因此控制終端可以直接根據各個接入終端所在地的地理位置,在該可選的地理區域內選定安全地理區域,而無需再確定IP網段,該訪問控制策略的制定過程中,控制終端的操作較為簡單,訪問控制策略的制定效率較高。並且相對於抽象的IP網段,地理位置的選定更為直觀。
圖5-1是本發明實施例提供的另一種訪問控制策略的制定方法的流程圖,該方法可以應用於如圖1所示的系統中,參考圖5-1,該方法包括:
步驟201、控制終端向資源伺服器發送針對目標帳號的策略制定請求。
在本發明實施例中,該資源伺服器可以為任意一種能夠提供資源的伺服器,例如雲伺服器或者應用伺服器等。當該資源伺服器為雲伺服器時,租戶可以通過控制終端在該雲伺服器中註冊用戶帳號,以租用該雲伺服器的計算能力、存儲空間和各種軟體服務等資源;當該資源伺服器為應用伺服器時,普通用戶可以通過控制終端(也即是接入終端)在該應用伺服器中註冊帳號,以使用該應用伺服器提供的功能,例如即時通訊、轉帳或者流媒體播放等功能。
為了保證接入終端訪問資源伺服器中目標帳號對應的資源時的安全性,控制終端可以在註冊目標帳號時,向該資源伺服器發送針對目標帳號的策略制定請求。或者,當該控制終端需要對該目標帳號的訪問控制策略進行修改時,也可以隨時向該資源伺服器發送針對目標帳號的策略制定請求。
步驟202、資源伺服器從定位伺服器中獲取可選的地理區域的地圖。
資源伺服器接收到控制終端發送的針對目標帳號的策略制定請求後,可以根據該策略制定請求,調用定位伺服器提供的地圖接口,並通過該地圖接口從定位伺服器中獲取可選的地理區域的地圖。其中,該可選的地理區域的地圖可以為該資源伺服器所能夠服務的區域的地圖。示例的,假設該資源伺服器的服務區域為中國境內,則如圖5-2所示,該可選的地理區域的地圖可以為中國行政區示意性地圖。
步驟203、資源伺服器向該控制終端發送該可選的地理區域的地圖。
步驟204、控制終端在顯示屏上顯示該地圖,並在該地圖上選定安全地理區域。
在本發明實施例中,控制終端接收到該可選的地理區域的地圖後,為了便於租戶或用戶選定安全地理區域,可以在顯示屏上顯示該地圖,然後通過接收到的租戶(例如租戶的安全管理員)或用戶的預設操作,在該地圖上選定安全 地理區域。具體的,租戶可以在該地圖上接入終端所在地繪製一個或多個預設形狀的圖形框,然後控制終端即可將該圖形框所包圍的區域作為安全地理區域,示例的,如圖5-2所示,假設某銀行租用了雲服務,該銀行的辦事處位於北京,則該銀行的安全管理員可以採用橢圓形的圖形框在該地圖上北京所在區域繪製一個橢圓形框01,控制終端即可將該橢圓形框01包圍的區域確定為安全地理區域。或者,租戶還可以直接在該地圖上通過預設操作(例如雙擊操作)選定某個省份或者城市,然後控制終端即可將該預設操作指定的省份或者城市所在的區域確定為安全地理區域。示例的,如圖5-2所示,假設該銀行在廣東省也有辦事點,則安全管理員還可以通過雙擊操作點擊該地圖上廣東省所在區域02,之後控制終端即可將該廣東省所在區域02選定為安全地理區域。相對於選定抽象的IP網段,由於地圖顯示更為直觀,控制終端直接在地圖上選定安全地理區域的效率較高,不僅可以降低誤配和錯配的概率,還可以有效提高該訪問控制策略的制定效率。
需要說明的是,在實際應用中,租戶還可以通過其他方式在該控制終端顯示的地圖上選定安全地理區域。例如,租戶可以直接在控制終端中輸入多個坐標,控制終端可以將該多個坐標依次連線,並將線條包圍的區域確定為安全地理區域;或者租戶還可以直接在控制終端中輸入省份或者城市的名稱,由控制終端將該名稱對應的省份或者城市所在的區域確定為安全地理區域。本發明實施例對控制終端在地圖上選定安全地理區域的具體實現方式不做限定。
步驟205、控制終端向資源伺服器發送所選定的安全地理區域。
控制終端通過租戶或者用戶選定安全地理區域後,可以將該選定的安全地理區域發送至資源伺服器,以便該資源伺服器根據該安全地理區域制定訪問控制策略。具體的,控制終端可以直接將標記有安全地理區域的地圖發送至資源伺服器,例如可以將圖5-2所示的地圖發送至資源伺服器;或者,可以將該選定的安全地理區域的各個頂點的坐標發送至資源伺服器;又或者,當該安全地理區域為某個省會或者城市時,控制終端還可以直接將省會或者城市的標識(例如名稱、區號或者郵編等)發送至該資源伺服器。
步驟206、控制終端向資源伺服器發送驗證終端的標識以及安全距離範圍。
在本發明實施例中,為了進一步提高訪問的安全性,控制終端除了可以選定安全地理區域外,還可以向資源伺服器發送驗證終端的標識以及安全距離範 圍,以保證當接入終端與該驗證終端之間的距離處於安全距離範圍內時,才能夠對該資源伺服器進行訪問。其中,該驗證終端可以租戶或用戶的手機,也可以為該控制終端本身。該驗證終端的標識可以為手機號或者國際行動裝置識別碼(英文:International Mobile EquipmentIdentification Number;簡稱:IMEI)等。該安全距離範圍可以是由租戶或者用戶自主設置的,且該安全距離範圍可以為具體的數值範圍,例如0至100米,也可以是區域範圍,例如,位於同一個省份或者城市。示例的,假設該驗證終端的標識為用戶的手機號:134xxxx9518,該安全距離範圍為大於等於0米,且小於等於50米。則控制終端可以將該手機號:134xxxx9518以及安全距離範圍[0,50]發送至資源伺服器。
步驟207、資源伺服器制定訪問控制策略。
資源伺服器接收到控制終端發送的安全地理區域後,即可根據該安全地理區域制定訪問控制策略,該訪問控制策略中可以記錄有該目標帳號與該安全地理區域的對應關係。進一步的,若該資源伺服器還接收到了控制終端發送的驗證終端的標識以及安全距離範圍,則還可以在該訪問控制策略中記錄該目標帳號、該驗證終端的標識以及該安全距離範圍的對應關係。
示例的,該資源伺服器根據接收到的信息所制定的訪問控制策略可以如表1所示,其中目標帳號1234所對應的安全地理區域為:廣東省和北京市,對應的該驗證終端的標識為134xxxx9518,對應的安全距離範圍為0至50米。
表1
步驟208、資源伺服器接收接入終端發送的針對該目標帳號的訪問請求。
當用戶或者租戶在該資源伺服器中註冊目標帳號後,該用戶或者該租戶的普通業務用戶即可通過接入終端,向該資源伺服器發送針對目標帳號的訪問請求,以訪問該資源伺服器中的資源。示例的,當該資源伺服器為雲伺服器時,該接入終端可以在雲伺服器提供的網頁(英文:portal)上請求登錄目標帳號:1234,以訪問該雲伺服器中該目標帳號1234所租用的資源。
需要說明的是,在實際應用中,該接入終端與該控制終端可以為不同終端,也可以為同一終端。
步驟209、資源伺服器根據該訪問請求,向定位伺服器發送定位請求。
資源伺服器接收到接入終端發送的訪問請求後,可以獲取該接入終端的標識,並在向該定位伺服器發送的定位請求中攜帶該接入終端的標識。其中,該接入終端的標識可以為該接入終端的IP位址或者物理地址(英文:MediaAccess Control;簡稱:MAC)等,或者,當該接入終端為手機時,該接入終端的標識也可以為手機號。
進一步的,若該資源伺服器制定的針對該目標帳號的訪問控制策略中還記錄該目標帳號、驗證終端的標識以及安全距離範圍的對應關係,則該資源伺服器向定位伺服器發送的該定位請求中還可以攜帶有該目標帳號所對應的驗證終端的標識。
示例的,若該資源伺服器中存儲的訪問控制策略如表1所示,則該資源伺服器接收到針對目標帳號1234的訪問請求後,向定位伺服器發送的定位請求中可以攜帶有接入終端的IP位址:47.153.191.255,以及該目標帳號1234所對應的驗證終端的標識:134xxxx0000。
步驟210、定位伺服器獲取該接入終端的地理位置。
定位伺服器接收到定位請求後,可以根據該定位請求中攜帶的接入終端的標識,對該接入終端進行定位後獲取該接入終端的地理位置。具體的,定位伺服器獲取接入終端的地理位置的方式可以包括免交互獲取模式和交互獲取模式兩種。
其中,免交互獲取模式是指定位伺服器通過網際網路服務提供商(英文:Internet Service Provider;簡稱:ISP)提供的IP位址查詢接口,匹配接入終端的IP位址,從而確定該接入終端的地理位置;或者定位伺服器通過移動運營商的LBS服務接口獲取接入終端的地理位置(通過LBS服務接口獲取地理位置需有隱私聲明)。
交互式獲取模式是指當定位伺服器無法自動獲取接入終端的IP位址或地理位置記錄時,由接入終端主動上報地理位置。例如,用戶可以控制接入終端主動上傳該接入終端的地理位置,或者,當用戶的手機與該接入終端位於同一地 點時,用戶可以直接使用手機中安裝的地理位置驗證應用程式(英文:Application;簡稱:APP)獲取該手機的地理位置,並將該手機的地理位置作為接入終端的地理位置進行上傳。
上述定位伺服器獲取接入終端的地理位置的具體實現過程和原理可以參考相關技術,本發明實施例對此不做贅述。
步驟211、定位伺服器獲取該驗證終端的地理位置。
若上述步驟209中,控制終端發送的定位請求中還攜帶有驗證終端的標識,則該定位伺服器還可以根據該驗證終端的標識,獲取該驗證終端的地理位置。該獲取驗證終端的地理位置的具體過程可以參考上述步驟210,本發明實施例對此不再贅述。
步驟212、定位伺服器向該資源伺服器發送該接入終端的地理位置。
示例的,假設定位伺服器根據該接入終端的IP位址47.153.191.255所確定的該接入終端的地理位置為北緯39°26′30″,東經115°25′,則可以將該接入終端的地理位置:北緯39°26′30″,東經115°25′發送至資源伺服器。
步驟213、定位伺服器向該資源伺服器發送該驗證終端的地理位置。
示例的,假設定位伺服器根據該驗證終端的手機號134xxxx0000所確定的該驗證終端的地理位置為北緯39°26′31″,東經115°25′,則可以將該驗證終端的地理位置:北緯39°26′31″,東經115°25′發送至資源伺服器。
需要說明的是,在實際應用中,資源伺服器可以通過調用定位伺服器提供的基於位置的服務(英文:Location Based Service;簡稱:LBS)接口來實現上述步驟209至步驟213所示的方法。
步驟214、資源伺服器根據該訪問控制策略,判斷該接入終端的地理位置是否滿足安全訪問條件。
在本發明實施例中,該安全訪問條件可以包括:該接入終端的地理位置位於該安全地理區域內。示例的,假設該資源伺服器接收到的接入終端的地理位置為北緯39°26′30″,東經115°25′,根據表1所示的訪問控制策略可知,該安全地理區域包括廣東省和北京市。由於資源伺服器根據該地理位置:北緯39°26′30″,東經115°25′可以判斷出該接入終端位於北京,處於安全地理區域內,因此資源伺服器可以確定該接入終端的地理位置滿足安全訪問條件,並執行步驟214。
進一步的,在本發明實施例中,該安全訪問條件還可以包括:該接入終端的地理位置與該驗證終端的地理位置之間的距離位於該安全距離範圍內。因此,在本發明實施例中,資源伺服器接收到接入終端和驗證終端的地理位置後,還可以計算該兩個終端之間的距離,並判斷該距離是否位於該目標帳號所對應的安全距離範圍內。示例的,假設接入終端的地理位置為北緯39°26′30″,東經115°25′,該驗證終端的地理位置為北緯39°26′31″,東經115°25′,則資源伺服器可以根據該兩個終端的經緯度,計算得到該接入終端與該驗證終端之間的距離為30.8米。再根據表1所示的訪問控制策略可知,該目標帳號1234所對應的安全距離範圍為[0,50],由於該接入終端的地理位置與該驗證終端的地理位置之間的距離30.8米位於該安全距離範圍[0,50]內,因此,資源伺服器可以確定該接入終端的的地理位置滿足安全訪問條件,並執行步驟214。
需要說明的是,在本發明實施例中,該安全訪問條件可以為:該接入終端的地理位置位於該安全地理區域內,或者該接入終端的地理位置與該驗證終端的地理位置之間的距離位於該安全距離範圍內。也即是,該接入終端的地理位置只要滿足位於安全地理區域或者與驗證終端的距離位於安全距離範圍內中的一種即可。因此在實際應用中,當用戶出差或旅遊的過程中,當需要通過位於安全地理區域之外的接入終端獲取資源伺服器中的資源時,只要保證該接入終端與驗證終端(例如用戶的手機)之間的距離處於該安全距離範圍內,也能夠通過該資源伺服器的驗證,從而有效提高了該訪問控制策略的靈活性,改善了用戶體驗。
或者,該安全訪問條件還可以為:該接入終端的地理位置位於該安全地理區域內,且該接入終端的地理位置與該驗證終端的地理位置之間的距離位於該安全距離範圍內。也即是,該接入終端的地理位置需同時滿足上述兩個條件時才能通過資源伺服器的驗證,此時該訪問控制策略的安全性較高。
步驟215、當該接入終端的地理位置滿足安全訪問條件時,允許該接入終端訪問該資源伺服器。
在本發明實施例中,該資源伺服器中可以存儲有目標帳號與目標密鑰的對應關係。當該接入終端的地理位置滿足安全訪問條件時,資源伺服器還可以向該接入終端發送第一驗證請求,該第一驗證請求用於請求該接入終端提供密鑰信息。當資源伺服器接收到該接入終端發送的密鑰信息後,若該密鑰信息與該 存儲的目標密鑰相同,則允許該接入終端訪問該資源伺服器;若該密鑰信息與目標密鑰不同,則拒絕該接入終端訪問該資源伺服器。
其中,該目標密鑰可以為租戶或者用戶註冊目標帳號時設置的密碼,或者,也可以為個人識別密碼(英文:Personal Identification Number;簡稱:PIN)等較為簡單的且預先設置好的密鑰。
進一步的,在上述步驟214中之後,當該接入終端的地理位置不滿足安全訪問條件時,資源伺服器還可以生成目標驗證信息,並向該接入終端發送第二驗證請求,該第二驗證請求用於請求該接入終端提供驗證信息。資源伺服器接收該接入終端發送的驗證信息後,若該驗證信息與該目標驗證信息相同,則允許該接入終端訪問該資源伺服器;若該驗證信息與該目標驗證信息不同,則拒絕該接入終端訪問該資源伺服器。
其中,該目標驗證信息可以是資源伺服器根據預設的編碼算法實時生成的,同時,該接入終端需要通過電子鑰匙(英文:USB Key;簡稱:Ukey)等驗證碼生成設備獲取驗證信息,並向該資源伺服器發送該驗證信息。該驗證碼生成設備生成驗證信息時採用的編碼算法與該資源伺服器中的編碼算法相同。
根據上述分析可知,當該接入終端的地理位置滿足安全訪問條件時,接入終端只需要通過簡單的密鑰驗證,即可對該資源伺服器進行訪問;當該接入終端的地理位置不滿足安全訪問條件時,該接入終端還需要通過複雜度較高的驗證信息驗證(例如U盾驗證、口令驗證或者令牌驗證等)才能對該資源伺服器進行訪問。也即是,該資源伺服器可以根據接入終端的地理位置靈活調整訪問控制策略,該訪問控制的過程較為靈活。
需要說明的是,本發明實進行施例提供的訪問控制策略的制定方法的步驟的先後順序可以進行適當調整,步驟也可以根據情況進行相應增減。示例的,步驟206還可以在步驟205之前執行,或者步驟206、步驟211和步驟213還可以根據情況進行刪除。任何熟悉本技術領域的技術人員在本發明揭露的技術範圍內,可輕易想到變化的方法,都應涵蓋在本發明的保護範圍之內,因此不再贅述。
綜上所述,本發明實施例提供的訪問控制策略的制定方法中,資源伺服器可以向控制終端提供可選的地理區域,因此控制終端可以直接根據各個接入終端所在地的地理位置,在該可選的地理區域內選定安全地理區域,而無需再確 定IP網段,該訪問控制策略的制定過程中,控制終端的操作較為簡單,訪問控制策略的制定效率較高。並且相對於抽象的IP網段,地理位置的選定更為直觀,因此訪問控制策略的制定效率更高。
圖6-1是本發明實施例提供的一種訪問控制策略的制定裝置的結構示意圖,如圖6-1所示,該裝置可以包括:
第一接收模塊401,可以用於執行圖4所示實施例中步驟101所示的方法。
第一發送模塊402,可以用於執行圖4所示實施例中步驟102所示的方法。
第二接收模塊403,可以用於執行圖4所示實施例中步驟103所示的方法。
制定模塊404,可以用於執行圖4所示實施例中步驟104所示的方法。
圖6-2是本發明實施例提供的另一種訪問控制策略的制定裝置的結構示意圖,如圖6-2所示,該裝置還可以包括:
第三接收模塊405,用於接收該控制終端發送的驗證終端的標識以及安全距離範圍。
記錄模塊406,用於在該訪問控制策略中記錄該目標帳號、該驗證終端的標識以及該安全距離範圍的對應關係。
可選的,該第一發送模塊402,還可以用於執行圖5-1所示實施例中步驟202和步驟203所示的方法,以便該控制終端在顯示屏上顯示該地圖,並在該地圖上選定安全地理區域。
可選的,參考圖6-2,該裝置還包括:
第二發送模塊407,可以用於執行圖5-1所示實施例中步驟208和步驟209所示的方法。
第四接收模塊408,用於接收該定位伺服器發送的該接入終端的地理位置,該地理位置是由該定位伺服器根據該接入終端的標識對該接入終端進行定位後獲取的。
判斷模塊409,可以用於執行圖5-1所示實施例中步驟214所示的方法。
接入模塊410,可以用於執行圖5-1所示實施例中步驟215所示的方法。
可選的,該安全訪問條件包括:該接入終端的地理位置位於該安全地理區域內。
可選的,該定位請求中還攜帶有該目標帳號所對應的驗證終端的標識,該 裝置還可以包括:
第五接收模塊411,用於接收該定位伺服器發送的該驗證終端的地理位置。
該安全訪問條件還包括:該接入終端的地理位置與該驗證終端的地理位置之間的距離位於該安全距離範圍內。
可選的,該接入模塊410,還用於:
當該接入終端的地理位置滿足安全訪問條件時,向該接入終端發送第一驗證請求,該第一驗證請求用於請求該接入終端提供密鑰信息;
接收該接入終端發送的密鑰信息;
當該密鑰信息與目標密鑰相同時,允許該接入終端訪問該資源伺服器,該資源伺服器中預先存儲有該目標帳號與該目標密鑰的對應關係。
可選的,該接入模塊410,還用於:
當該接入終端的地理位置不滿足安全訪問條件時,生成目標驗證信息;
向該接入終端發送第二驗證請求,該第二驗證請求用於請求該接入終端提供驗證信息;
接收該接入終端發送的驗證信息;
當該驗證信息與該目標驗證信息相同時,允許該接入終端訪問該資源伺服器。
綜上所述,本發明實施例提供的訪問控制策略的的制定裝置,資源伺服器可以向控制終端提供可選的地理區域,因此控制終端可以直接根據各個接入終端所在地的地理位置,在該可選的地理區域內選定安全地理區域,而無需再確定IP網段,該訪問控制策略的制定過程中,控制終端的操作較為簡單,訪問控制策略的制定效率較高。並且相對於抽象的IP網段,地理位置的選定更為直觀。
圖7是本發明實施例提供的又一種訪問控制策略的制定裝置的結構示意圖,該裝置可以應用於控制終端中,參考圖7,該裝置可以包括:
第一發送模塊501,可以用於執行圖5-1所示實施例中步驟201所示的方法。
接收模塊502,用於接收該資源伺服器提供的可選的地理區域。
選定模塊503,可以用於執行圖5-1所示實施例中步驟204所示的方法。
第二發送模塊504,可以用於執行圖5-1所示實施例中步驟205所示的方法。
可選的,如圖7所示,該裝置還可以包括:
第三發送模塊505,可以用於執行圖5-1所示實施例中步驟206所示的方法,以便該資源伺服器將該目標帳號、該驗證終端的標識以及該安全距離範圍的對應關係記錄在該訪問控制策略中。
綜上所述,本發明實施例提供了一種訪問控制策略的制定裝置,由於資源伺服器可以向控制終端提供可選的地理區域,因此控制終端可以直接根據各個接入終端所在地的地理位置,在該可選的地理區域內選定安全地理區域,而無需再確定IP網段,該訪問控制策略的制定過程中,控制終端的操作較為簡單,訪問控制策略的制定效率較高。並且相對於抽象的IP網段,地理位置的選定更為直觀。
參考圖1,本發明實施例提供了一種訪問控制策略的制定系統,該系統可以包括:資源伺服器10、控制終端20和定位伺服器30。
其中,該資源伺服器10可以包括如圖2、圖6-1或圖6-2所示的訪問控制策略的制定裝置,該控制終端20可以包括如圖3或圖7所示的訪問控制策略的制定裝置。
所屬領域的技術人員可以清楚地了解到,為描述的方便和簡潔,上述描述的裝置和模塊的具體工作過程,可以參考前述方法實施例中的對應過程,在此不再贅述。
以上所述僅為本發明的較佳實施例,並不用以限制本發明,凡在本發明的精神和原則之內,所作的任何修改、等同替換、改進等,均應包含在本發明的保護範圍之內。