本公開提供了一種應(yīng)用訪問控制方法、系統(tǒng)和介質(zhì)。所述方法包括：攔截對訪問客體進(jìn)行訪問的至少一個(gè)訪問請求；對所述訪問請求的訪問主體進(jìn)行身份認(rèn)證；當(dāng)所述身份認(rèn)證通過后，對所述訪問請求按照訪問規(guī)則進(jìn)行判定，若判定通過，將所述訪問請求轉(zhuǎn)發(fā)至與所述訪問請求對應(yīng)的訪問客體，否則，拒絕所述訪問請求或?qū)λ鲈L問請求重新按照所述訪問規(guī)則進(jìn)行判定，其中所述按照訪問規(guī)則進(jìn)行判定包括依據(jù)所述訪問請求的訪問請求的訪問主體、訪問客體、訪問操作、或所述訪問請求的上下文信息中的至少一個(gè)進(jìn)行判定。實(shí)現(xiàn)了形成統(tǒng)一的面向多應(yīng)用，多系統(tǒng)的應(yīng)用訪問控制，增強(qiáng)應(yīng)用訪問的安全性。

技術(shù)領(lǐng)域

本公開涉及一種應(yīng)用訪問控制方法、系統(tǒng)和介質(zhì)。

背景技術(shù)

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和廣泛應(yīng)用，給人們的生活帶來了諸多便利，網(wǎng)絡(luò)已經(jīng)和人們的生活息息相關(guān)，因此網(wǎng)絡(luò)使用安全受到了越來越多的關(guān)注和重視。由此出現(xiàn)了很多的應(yīng)用訪問控制系統(tǒng)，例如自主訪問控制系統(tǒng)，根據(jù)用戶的身份及允許訪問權(quán)限決定其訪問操作，再例如角色訪問控制系統(tǒng)，通過賦予角色不同的權(quán)限，實(shí)現(xiàn)根據(jù)角色訪問權(quán)限決定其訪問操作。通過這些應(yīng)用訪問控制系統(tǒng)以保證被訪問客體的安全。

但現(xiàn)有技術(shù)中的應(yīng)用訪問控制系統(tǒng)，大多是基于靜態(tài)權(quán)限的訪問策略控制，例如通過在應(yīng)用程序或網(wǎng)站中設(shè)置訪問策略控制，當(dāng)用戶需要訪問該應(yīng)用程序或網(wǎng)站時(shí)，通過應(yīng)用程序或網(wǎng)站自身進(jìn)行判斷是否具有訪問權(quán)限，可以進(jìn)行何種操作。沒有形成統(tǒng)一的面向多應(yīng)用，多系統(tǒng)的應(yīng)用訪問控制，并且當(dāng)訪問主體的屬性變化時(shí)，很難及時(shí)感知，做出相應(yīng)的響應(yīng)。此處的訪問主體的屬性變化包括主體的環(huán)境屬性，例如主體訪問客體的時(shí)間、空間等因素。

發(fā)明內(nèi)容

本公開的一個(gè)方面提供了一種應(yīng)用訪問控制方法，所述方法包括：攔截對訪問客體進(jìn)行訪問的訪問請求；對所述訪問請求的訪問主體進(jìn)行身份認(rèn)證；以及當(dāng)所述身份認(rèn)證通過后，對所述訪問請求按照訪問規(guī)則進(jìn)行判定，若判定通過，將所述訪問請求轉(zhuǎn)發(fā)至與所述訪問請求對應(yīng)的訪問客體，否則，拒絕所述訪問請求或?qū)λ鲈L問請求重新按照所述訪問規(guī)則進(jìn)行判定，其中所述按照訪問規(guī)則進(jìn)行判定包括依據(jù)所述訪問請求的訪問主體、訪問客體、訪問操作、或訪問請求的上下文信息中的至少一個(gè)進(jìn)行判定。

可選地，所述攔截對訪問客體進(jìn)行訪問的訪問請求，包括將所述訪問請求進(jìn)行接管，所述接管包括DNS攔截、瀏覽器攔截、基于端口的攔截、基于IP的攔截中的至少一種。

可選地，所述對所述訪問請求的訪問主體進(jìn)行身份認(rèn)證包括：對所述訪問請求進(jìn)行合法性檢測；以及當(dāng)所述訪問請求通過所述合法性檢測后，對所述訪問主體進(jìn)行身份認(rèn)證。

可選地，所述當(dāng)所述身份認(rèn)證通過后，對所述訪問請求按照訪問規(guī)則進(jìn)行判定包括：生成判定請求；將所述判定請求轉(zhuǎn)發(fā)至訪問判定代理，以通過所述訪問判定代理按照所述訪問規(guī)則進(jìn)行判定；以及獲取所述訪問判定代理的響應(yīng)結(jié)果，其中，將所述響應(yīng)結(jié)果作為對所述訪問請求按照訪問規(guī)則進(jìn)行判定的結(jié)果。

可選地，在所述生成判定請求之前還包括：獲取所述訪問請求中所攜帶的訪問令牌；以及識(shí)別所述訪問令牌以獲取所述訪問請求的訪問主體、訪問客體、訪問操作、或訪問請求的上下文信息中的至少之一。

可選地，所述將所述判定請求轉(zhuǎn)發(fā)至訪問判定代理之后，還包括當(dāng)接收到所述訪問判定代理發(fā)送的數(shù)據(jù)傳輸安全狀態(tài)變更的通知時(shí)，強(qiáng)制撤銷對所述訪問請求的處理。

可選地，所述將所述訪問請求轉(zhuǎn)發(fā)至與所述訪問請求對應(yīng)的訪問客體，包括將所述訪問請求以及所述訪問令牌轉(zhuǎn)發(fā)至與所述訪問請求對應(yīng)的訪問客體。

可選地，所述方法還包括：記錄對所述訪問請求按照訪問規(guī)則進(jìn)行判定的日志；統(tǒng)計(jì)對所述訪問客體進(jìn)行訪問的訪問流量；以及發(fā)送所述日志和流量。