WO2024183779A1

WO2024183779A1 - 资源访问控制方法及装置、计算机可读介质和电子设备

Info

Publication number: WO2024183779A1
Application number: PCT/CN2024/080454
Authority: WO
Inventors: 钟诗航
Original assignee: Beijing Volcano Engine Technology Co Ltd
Current assignee: Beijing Volcano Engine Technology Co Ltd
Priority date: 2023-03-07
Filing date: 2024-03-07
Publication date: 2024-09-12
Anticipated expiration: 2025-09-07
Also published as: CN116821869A; US20240305639A1; EP4557132A4; EP4557132A1; CN116821869B

Abstract

本公开涉及一种资源访问控制方法及装置、计算机可读介质和电子设备，本公开的实施例提供的资源访问控制方法，通过根据目标对象的身份信息，从业务系统中获取目标对象的历史资源访问信息以及历史安全状态信息，并根据历史资源访问信息以及历史安全状态信息，确定目标对象针对目标资源的访问权限信息，然后向业务系统发送访问权限信息，以使业务系统根据访问权限信息确定针对资源访问请求的操作，从而能够动态判断目标对象访问属于目标类型的目标资源的权限，以在终端设备的安全状态信息不支持目标对象访问目标资源的情况下，禁止目标对象访问目标资源，保护业务系统不受到破坏。

Description

资源访问控制方法及装置、计算机可读介质和电子设备

本申请要求于2023年3月7日递交的中国专利申请第202310238262.0号的优先权，在此全文引用上述中国专利申请公开的内容以作为本申请的一部分。

技术领域

本公开涉及一种资源访问控制方法及装置、计算机可读介质和电子设备。

背景技术

业务系统一般通过用户名和密码来设置用户访问业务系统的资源的权限。但是，这种简单的认证方法无法在用户的权限发生变更时，动态调整用户的访问权限。

发明内容

提供该发明内容部分以便以简要的形式介绍构思，这些构思将在后面的具体实施方式部分被详细描述。该发明内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征，也不旨在用于限制所要求的保护的技术方案的范围。

第一方面，本公开提供一种资源访问控制方法，应用于网络控制设备，所述方法包括：

接收业务系统发送的认证请求，其中所述认证请求是所述业务系统在根据目标对象发送的资源访问请求，确定到所述目标对象将要访问的目标资源属于目标类型的资源的情况下发送的，所述认证请求包括所述目标对象的身份信息以及所述目标对象将要访问的所述目标资源；

响应于所述认证请求，根据所述目标对象的身份信息，从所述业务系统中获取所述目标对象的历史资源访问信息以及历史安全状态信息；

根据所述历史资源访问信息以及所述历史安全状态信息，确定所述目标对象针对所述目标资源的访问权限信息；

向所述业务系统发送所述访问权限信息，其中所述访问权限信息用于使得所述业务系统根据所述访问权限信息确定针对所述资源访问请求的操作。

第二方面，本公开提供一种资源访问控制方法，应用于业务系统，所述方法包括：

接收目标对象发送的资源访问请求，其中所述资源访问请求用于请求访问目标资源；

在所述目标资源属于目标类型的资源的情况下，向网络控制设备发送认证请求，其中所述认证请求包括所述目标对象的身份信息以及所述目标对象将要访问的所述目标资源，所述认证请求用于使得所述网络控制设备根据所述目标对象的身份信息，从所述业务系统中获取所述目标对象的历史资源访问信息以及历史安全状态信息，并根据所述历史资源访问信息以及所述历史安全状态信息，确定所述目标对象针对所述目标资源的访问权限信息，以及向所述业务系统发送所述访问权限信息；

在接收到所述网络安全设备发送的所述访问权限信息的情况下，根据所述访问权限信息确定针对所述资源访问请求的操作。

第三方面，本公开提供一种资源访问控制装置，应用于网络控制设备，所述装置包括：

第一接收模块，被配置为接收业务系统发送的认证请求，其中所述认证请求是所述业务系统在根据目标对象发送的资源访问请求，确定到所述目标对象将要访问的目标资源属于目标类型的资源的情况下发送的，所述认证请求包括所述目标对象的身份信息以及所述目标对象将要访问的所述目标资源；

获取模块，被配置为响应于所述认证请求，根据所述目标对象的身份信息，从所述业务系统中获取所述目标对象的历史资源访问信息以及历史安全状态信息；

确定模块，被配置为根据所述历史资源访问信息以及所述历史安全状态信息，确定所述目标对象针对所述目标资源的访问权限信息；

第一发送模块，被配置为向所述业务系统发送所述访问权限信息，其中所述访问权限信息用于使得所述业务系统根据所述访问权限信息确定针对所述资源访问请求的操作。

第四方面，本公开提供一种资源访问控制装置，应用于业务系统，所述装置包括：

第二接收模块，被配置为接收目标对象发送的资源访问请求，其中所述资源访问请求用于请求访问目标资源；

第二发送模块，被配置为在所述目标资源属于目标类型的资源的情况下，向网络控制设备发送认证请求，其中所述认证请求包括所述目标对象的身份信息以及所述目标对象将要访问的所述目标资源，所述认证请求用于使得所述网络控制设备根据所述目标对象的身份信息，从所述业务系统中获取所述目标对象的历史资源访问信息以及历史安全状态信息，并根据所述历史资源访问信息以及所述历史安全状态信息，确定所述目标对象针对所述目标资源的访问权限信息，以及向所述业务系统发送所述访问权限信息；

第三接收模块，被配置为在接收到所述网络安全设备发送的所述访问权限信息的情况下，根据所述访问权限信息确定针对所述资源访问请求的操作。

第五方面，本公开提供一种计算机可读介质，其上存储有计算机程序，该程序被处理装置执行时实现第一方面所述方法的步骤，或者实现第二方面所述方法的步骤。

第六方面，本公开提供一种电子设备，包括：

存储装置，其上存储有计算机程序；

处理装置，用于执行所述存储装置中的所述计算机程序，以实现第一方面所述方法的步骤，或者实现第二方面所述方法的步骤。

本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

结合附图并参考以下具体实施方式，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中，相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的，原件和元素不一定按照比例绘制。在附图中：

图1是根据一示例性实施例提供的资源访问控制方法的应用场景示意图。

图2是根据一示例性实施例提供的资源访问控制方法的流程示意图。

图3是根据又一示例性实施例提供的资源访问控制方法的流程示意图。

图4是根据又一示例性实施例提供的资源访问控制方法的流程示意图。

图5是根据另一示例性实施例提供的资源访问控制方法的流程示意图。

图6是根据一示例性实施例提供的资源访问控制装置的结构示意图。

图7是根据又一示例性实施例提供的资源访问控制装置的结构示意图。以及

图8是根据一示例性实施例提供的电子设备的结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例，然而应当理解的是，本公开可以通过各种形式来实现，而且不应该被解释为限于这里阐述的实施例，相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是，本公开的附图及实施例仅用于示例性作用，并非用于限制本公开的保护范围。

应当理解，本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行，和/或并行执行。此外，方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。

本文使用的术语“包括”及其变形是开放性包括，即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”；术语“另一实施例”表示“至少一个另外的实施例”；术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。

需要注意，本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分，并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。

需要注意，本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的，本领域技术人员应当理解，除非在上下文另有明确指出，否则应该理解为“一个或多个”。

本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的，而并不是用于对这些消息或信息的范围进行限制。

可以理解的是，在使用本公开各实施例公开的技术方案之前，均应当依据相关法律法规通过恰当的方式对本公开所涉及个人信息的类型、使用范围、使用场景等告知用户并获得用户的授权。

例如，在响应于接收到用户的主动请求时，向用户发送提示信息，以明确地提示用户，其请求执行的操作将需要获取和使用到用户的个人信息。从而，使得用户可以根据提示信息来自主地选择是否向执行本公开技术方案的操作的电子设备、应用程序、服务器或存储介质等软件或硬件提供个人信息。

作为一种可选的但非限定性的实现方式，响应于接收到用户的主动请求，向用户发送提示信息的方式例如可以是弹窗的方式，弹窗中可以以文字的方式呈现提示信息。此外，弹窗中还可以承载供用户选择“同意”或者“不同意”向电子设备提供个人信息的选择控件。

可以理解的是，上述通知和获取用户授权过程仅是示意性的，不对本公开的实现方式构成限定，其它满足相关法律法规的方式也可应用于本公开的实现方式中。

同时，可以理解的是，本技术方案所涉及的数据(包括但不限于数据本身、数据的获取或使用)应当遵循相应法律法规及相关规定的要求。

图1是根据一示例性实施例提供的资源访问控制方法的应用场景示意图。如图1所示，本公开实施例提供的资源访问控制方法适用于图1所示的应用场景。在该应用场景中包括终端设备101、业务系统102以及网络控制设备103。其中，终端设备101与业务系统102通信连接，业务系统102与网络控制设备103通信连接。应当理解的是，通信连接可以是指通过有线连接或无线连接的方式进行数据交互。

终端设备101向业务系统102发送目标对象的资源访问请求，该资源访问请求可以包括目标对象的安全状态信息以及目标对象将要访问的目标资源，其中，安全状态信息包括目标对象的身份信息。业务系统102响应于资源访问请求，在目标资源属于目标类型的资源的情况下，向网络控制设备103发送认证请求，其中，认证请求包括目标对象的身份信息以及将要访问的目标资源。网络控制设备103响应于认证请求，根据目标对象的身份信息，从业务系统102中获取目标对象的历史资源访问信息以及历史安全状态信息，并根据历史资源访问信息以及历史安全状态信息，确定目标对象针对目标资源的访问权限信息。其中，历史资源访问信息是业务系统102记录到的目标对象每一次访问业务系统102时访问过的资源，历史安全状态信息是业务系统102记录到的目标对象每一次访问业务系统102时的安全状态信息。在获得访问权限信息之后，网络控制设备103向业务系统102发送访问权限信息。业务系统102接收网络控制设备103放的访问权限信息，并根据访问权限信息确定针对资源访问请求的操作。例如，当访问权限信息表征允许目标对象访问目标资源时，则业务系统102可以将目标对象的资源访问请求转发至目标业务，以使目标对象能够访问目标业务的目标资源。

值得说明的是，终端设备101可以是移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。目标对象可以通过安装在终端设备101中的客户端向业务系统102发送资源访问请求，该客户端可以是网页客户端或者应用程序。业务系统102可以包括认证服务以及用于部署应用系统的后台服务器，其中，认证服务用于验证目标对象的访问权限并将资源访问请求转发至应用系统，以使目标对象能够访问应用系统中的资源。例如，在VPN(Virtual Private Network，虚拟专用网络)单点登录场景中，终端设备101通过输入目标对象的账号和密码登录认证服务，认证服务认证成功后，创建会话。目标对象通过认证服务器向后台服务器的应用系统发起资源访问请求，以访问应用系统中的资源。网络控制设备103则作为用于验证目标对象针对目标资源的访问权限信息的服务器，在该网络控制设备103中可以通过部署动态控制引擎来实现本公开实施例提供的资源访问控制方法由网络控制设备103执行的方法。应当理解的是，由于企业使用的业务系统102数量较多，所以与网络控制设备103连接的业务系统102可以包括多个。

下面结合附图对本公开实施例提供的资源访问控制方法进行详细说明。

图2是根据一示例性实施例提供的资源访问控制方法的流程示意图。如图2所示，本公开实施例提供的资源访问控制方法可以应用于图1所示的网络控制设备103。如图2所示，该资源访问控制方法可以包括以下步骤。

在步骤210中，接收业务系统发送的认证请求，其中认证请求是业务系统在根据目标对象发送的资源访问请求，确定到目标对象将要访问的目标资源属于目标类型的资源的情况下发送的，认证请求包括目标对象的身份信息以及目标对象将要访问的目标资源。

这里，网络控制设备通过与业务系统的通信连接，接收业务系统发送的认证请求。其中，认证请求可以包括目标对象的身份信息以及目标对象将要访问的目标资源。该目标对象是指在终端设备中登录的账户，目标对象的身份信息可以是指目标对象的账户、密码、验证码等等用于验证身份的信息，当然，身份信息也可以是指人脸信息、指纹信息等等用于验证身份的生物特征。目标对象将要访问的目标资源是指目标对象本次发送的资源访问请求需要访问的业务系统中的某一特定资源。例如，该目标资源可以是指应用系统中的某一资源，可以是指网络资源，如VPN、Wi-Fi(Wireless Fidelity，无线局域网)等等网络资源。

应当理解的是，认证请求是业务系统接收到目标对象通过终端设备向业务系统发送的资源访问请求，并在根据该资源访问请求确定到目标对象将要访问的目标资源属于目标类型的资源的情况下，向网络控制设备发送的。该认证请求用于请求网络控制设备判断是否允许目标对象访问目标资源。

其中，属于目标类型的资源表征该资源属于业务系统中的敏感资源，目标对象在访问该资源时需要较高的安全等级。因此，在目标对象将要访问的目标资源为属于目标类型的资源的情况下，需要网络控制设备评估目标对象在当前安全状态下访问目标资源是否存在风险。对于业务系统中不属于目标类型的其他资源，业务系统则可以通过数据访问策略来控制目标对象的访问。例如，数据访问策略包括目标对象能够访问的资源以及不能访问的资源。

值得说明的是，关于安全状态信息的相关含义将在后续实施例中进行详细说明。

在步骤220中，响应于认证请求，根据目标对象的身份信息，从业务系统中获取目标对象的历史资源访问信息以及历史安全状态信息。

这里，网络控制设备响应于业务系统发送的认证请求，访问业务系统，并从业务系统中获取与目标对象的身份信息相匹配的历史资源访问信息以及历史安全状态信息。

历史资源访问信息是指目标对象在历史时间访问过的资源的信息，例如目标对象最近访问过的业务系统的资源信息。示例性地，目标对象每一次访问业务系统的资源时，业务系统均可以记录目标对象访问该资源的访问时间、地理位置、访问的资源的名称信息以及针对该资源的操作行为等等，形成历史资源访问信息。应当理解的是，针对资源的操作行为可以是查看、修改以及向外网发送等等行为。

历史安全状态信息是指目标对象在历史时间访问业务系统时的安全状态信息。示例性地，目标对象每一次访问业务系统的资源时，目标对象发送的资源访问请求中可以携带有目标对象的安全状态信息，业务系统接收到该资源访问请求时，记录该资源访问请求携带的安全状态信息，形成历史安全状态信息。其中，安全状态信息可以包括目标对象的身份信息以及用于表征目标对象所在的网络环境的安全状态的网络安全信息。该网络安全信息可以包括目标对象对应的终端设备的设备信息、软件环境信息以及地理位置信息中的至少一种。设备信息可以是指终端设备的IP(Internet Protocol，互联网协议)地址、MAC(Media Access Control，介质访问控制)地址等信息。软件环境信息可以是指用于表征终端设备在访问业务系统时的网络环境的安全状态的信息。例如，软件环境信息可以包括终端设备安装的应用程序、终端设备开启的端口、使用的网络类型等等。其中，软件环境信息可以用于判断终端设备在访问业务系统时是否处于安全状态。例如，在终端设备安装的应用程序包括存在风险的应用程序时，表示终端设备处于不安全状态。在终端设备安装的应用程序不包括杀毒类型的应用程序时，表示终端设备处于不安全状态。例如，在终端设备开启了具有风险的端口时，表示终端设备处于不安全状态。又例如，在终端设备使用的网络类型为公用网络时，表示终端设备处于不安全状态。

在一些实施例中，网络控制设备可以从业务系统的日志数据库中读取目标对象的历史资源访问信息以及历史安全状态信息。其中，业务系统可以以日志的方式将目标对象每一次访问业务系统时的资源访问信息以及安全状态信息存储在日志数据库中，形成历史资源访问信息以及历史安全状态信息。当网络控制设备接收到认证请求时，则网络控制设备响应于认证请求，从业务系统的日志数据库中读取与目标对象的身份信息相匹配的日志数据，获得目标对象的历史资源访问信息以及历史安全状态信息。

在步骤230中，根据历史资源访问信息以及历史安全状态信息，确定目标对象针对目标资源的访问权限信息。

这里，网络控制设备从业务系统获取到目标对象的历史资源访问信息以及历史安全状态信息之后，网络控制设备根据该历史资源访问信息以及历史安全状态信息，判断目标对象是否能够访问目标资源，获得访问权限信息。

在一些实施例中，可以在历史资源访问信息以及历史安全状态信息与访问目标资源所需的资源访问信息和安全状态信息均匹配的情况下，确定目标对象能够访问目标资源。

例如，当目标对象的历史资源访问信息表示目标对象过去访问过风险网站时，则目标对象不能访问目标资源。又例如，在目标对象的历史安全状态信息表示目标对象的终端设备安装有具有风险的应用程序时，则目标对象不能访问目标资源。

在另一些实施例中，可以将历史资源访问信息以及历史安全状态信息输入访问策略模型，获得访问策略模型输出的访问权限信息。

其中，该访问策略模型可以是利用标记有访问权限信息的样本资源访问信息以及样本安全状态信息对神经网络模型进行训练获得的。

值得说明的是，针对业务系统中的属于目标类型的不同资源，访问该资源所需的历史资源访问信息以及历史安全状态信息可以是不同的。例如，针对业务系统中最敏感的资源或者具有最高权限才能访问的资源，则需要保证目标对象处于最高的安全级别下访问该资源，则需要目标对象的历史资源访问信息以及历史安全状态信息符合更高的要求。

在步骤240中，向业务系统发送访问权限信息，其中，访问权限信息用于使得业务系统根据访问权限信息确定针对资源访问请求的操作。

这里，网络控制设备在获得访问权限信息之后，可以通过与业务系统的通信连接向业务系统发送访问权限信息，以使业务系统根据访问权限信息确定针对资源访问请求的操作。其中，针对资源访问请求的操作可以是确定是否允许目标对象访问目标资源和/或是否需要对目标对象进行更高级别的认证。

例如，在访问权限信息表征不允许目标对象访问目标资源时，业务系统阻断目标对象对目标资源的资源访问请求。在访问权限信息表征允许目标对象访问目标资源时，业务系统放行目标对象对目标资源的资源访问请求，以使目标对象能够访问目标资源。在访问权限信息表征需要对目标对象进行更高级别的认证的情况下，业务系统向目标对象的终端设备发送身份认证请求，以使目标对象执行更高级别的身份认证。

以VPN单点登录场景举例，VPN业务系统接收到目标对象发送的资源访问请求之后，在业务系统确定到该资源访问请求将要访问的目标资源属于目标类型的资源的情况下，向网络控制设备发送认证请求，获得网络控制设备响应于认证请求而发送的访问权限信息。在访问权限信息表征不允许目标对象访问目标资源的情况下，VPN业务系统阻断对目标资源的转发，以使目标对象无法访问目标资源。在访问权限信息表征允许目标对象访问目标资源的情况下，VPN业务系统向目标对象的终端设备转发目标资源，以使目标对象能够访问目标资源。

由此，通过响应于业务系统发送的认证请求，根据目标对象的身份信息，从业务系统中获取目标对象的历史资源访问信息以及历史安全状态信息，并根据历史资源访问信息以及历史安全状态信息，确定目标对象针对目标资源的访问权限信息，然后向业务系统发送访问权限信息，以使业务系统根据访问权限信息确定针对资源访问请求的操作，从而能够动态判断目标对象访问属于目标类型的目标资源的权限，以在终端设备的实时安全状态不支持目标对象访问目标资源的情况下，禁止目标对象访问目标资源，保护业务系统不受到破坏。而且，通过上述资源访问控制方法，能够在不影响业务系统的工作性能的情况下，实现在终端设备的实时安全状态不支持目标对象访问目标资源的情况下，禁止目标对象访问目标资源。

在一些实施例中，网络控制设备可以将访问权限信息存储在处置日志数据库中，以在后续的溯源审计过程中，能够根据处置日志数据库中的数据进行溯源。

在一些可以实现的实施方式中，可以根据历史资源访问信息以及历史安全状态信息，结合预设的映射关系，确定目标对象触发的目标风险项，其中映射关系包括不同的历史资源访问信息和历史安全状态信息的组合与不同的风险项之间的对应关系，并根据目标风险项，确定目标对象针对目标资源的访问权限信息。

这里，映射关系是指不同的风险项与不同的历史资源访问信息和历史安全状态信息的组合之间的对应关系。在网络控制设备中可以预先存储多个对应关系，用于判断目标对象访问业务系统时是否存在风险。

例如，历史资源访问信息包括资源的访问时间、地理位置、访问的资源的名称信息以及针对资源的操作行为，安全状态信息可以包括目标对象的身份信息以及用于表征目标对象所在的网络环境的安全状态的网络安全信息。则当历史资源访问信息中的地理位置信息表征目标对象请求访问目标资源时的地理位置不是目标对象访问业务系统的常用位置时，则触发地理位置变更风险项。相应地，地理位置变更风险项对应的访问权限信息可以是，对目标对象进行多重认证，并在认证通过后允许访问目标资源。

又例如，当目标对象的历史安全状态信息表征目标对象即将离职、且目标对象的历史资源访问信息标准目标对象存在超过预设次数的数据外发事件时，则触发数据外发风险项。相应地，数据外发风险项对应的访问权限信息可以是，禁止目标对象访问目标资源。

还例如，当目标对象的历史安全状态信息表征目标对象请求访问目标资源时的终端设备相较于之前访问业务系统的终端设备发送变更、且历史安全状态信息表征目标对象开启远程登录权限、弱密码等具有风险的端口时，则触发设备安全风险项。相应地，设备安全风险项对应的访问权限信息可以是，禁止目标对象访问目标资源和/或禁止目标对象访问业务系统。

值得说明的是，映射关系是用于计算历史资源访问信息和历史安全状态信息是否存在风险项的计算规则，若根据所有映射关系确定到目标对象未触发任何风险项，则可以允许目标对象访问目标资源。

应当理解的是，历史安全状态信息能够反映终端设备在历史时间段内的安全状态信息的变化情况。例如，通过历史安全状态信息可以判断目标对象用于访问业务系统的终端设备是否发生变化、网络环境是否发生变化等等。历史资源访问信息则能够反映目标对象在历史时间段内访问业务系统中的资源的行为习惯的变化情况。例如，通过历史资源访问信息可以判断目标对象访问的资源的类型是否发生变化、针对资源的操作行为是否发生变化等等。通过历史资源访问信息和历史安全状态信息，结合映射关系，可以对目标对象历史访问业务系统的行为进行分析，以根据行为的变化动态调整目标对象访问业务系统中的敏感资源的权限，从而保护业务系统中的敏感资源不受损害。

图3是根据又一示例性实施例提供的资源访问控制方法的流程示意图。如图3所示，在一些可以实现的实施方式中，该资源访问控制方法可以包括以下步骤。

在步骤310中，在访问业务系统的目标对象的安全状态信息发生变更的情况下，根据安全状态信息，确定目标对象的数据访问策略，其中数据访问策略包括目标对象能够访问的资源以及不能访问的资源。

这里，网络控制设备在访问业务系统的目标对象的安全状态信息发生变更的情况下，根据目标对象最新到的安全状态信息，重新确定目标对象的数据访问策略。其中，包括目标对象能够访问的资源以及不能访问的资源。

应当理解的是，数据访问策略是指目标对象访问业务系统时，针对业务系统中的不属于目标类型的资源的访问权限。例如，数据访问策略可以包括目标对象不可访问的第一资源集以及目标对象能够访问的第二资源集。第一资源集和第二资源集包括的资源可以是业务系统能够提供的所有不属于目标类型的其他资源。

每一目标对象具有默认数据访问策略，该默认数据访问策略可以是根据目标对象本身的权限等级为目标对象配置的初始数据访问策略。在目标对象第一次访问业务系统时，业务系统根据默认数据访问策略为目标对象提供能够对象能够访问的资源。在目标对象的安全状态信息发生变更时，网络控制设备根据目标对象的安全状态信息，重新计算目标对象的数据访问策略，使得业务系统能够根据重新计算得到的数据访问策略来调整目标系统对业务系统中的资源的访问权限。

值得说明的是，根据安全状态信息确定目标对象的数据访问策略可以是根据安全状态信息计算终端设备的安全等级，并根据安全等级来确定数据访问策略。例如，在第一安全状态信息下，该第一安全状态信息对应第一安全等级，在目标对象的身份等级以及第一安全等级下，目标对象能够访问资源A、资源B、资源C、资源D以及资源E。当目标对象的安全等级变更为第二安全等级时，由于第二安全等级低于第一安全级别，且第二安全等级无法达到访问资源D以及资源E所需的最低安全等级，则在目标对象的身份等级以及第二安全等级下，目标对象能够访问资源A、资源B、资源C。

在一些实施例中，网络控制设备可以接收安全信息数据源发送的信息变更事件，其中信息变更事件是安全信息数据源在检测到目标对象的安全状态信息发生变更的情况下，向网络控制设备发送的。

其中，信息变更事件用于通知网络控制设备访问业务系统的目标对象的安全状态信息发生变更。例如，在目标对象每一次访问业务系统时，安全信息数据源会记录目标对象最新的安全状态信息，并在最新的安全状态信息与上一次记录到的安全状态信息发生变更时，生成信息变更事件。网络控制设备则订阅信息变更事件，在检测到信息变更事件的情况下，确定访问业务系统的目标对象的安全状态信息发生变更，开始重新根据目标对象最新的安全状态信息，计算目标对象针对业务系统的数据访问策略。

值得说明的是，安全信息数据源可以设置在业务系统中。例如，在业务系统每一次接收到终端设备发送的资源访问请求时，业务系统通过安全信息数据源记录资源访问请求中携带的安全状态信息。当然，安全信息数据源也可以设置在网络控制设备中。例如，网络控制设备中可以存储有目标对象的安全状态信息，管理人员或者终端设备可以更新网络控制设备存储的目标对象的安全状态信息。

在步骤320中，向业务系统发送数据访问策略，其中数据访问策略用于使得业务系统根据数据访问策略，确定目标对象针对业务系统中除目标类型的资源外的其他资源的访问权限。

这里，网络控制设备在获得数据访问策略之后，向业务系统发送数据访问策略，以使业务系统根据数据访问策略调整目标对象针对业务系统的访问权限。例如，目标对象能够访问的资源，业务系统允许目标对象访问，针对目标对象不能访问的资源，业务系统拒绝目标对象访问。

值得说明的是，数据访问策略是针对业务系统中除目标类型的资源外的其他资源的访问权限。在目标对象需要访问业务系统中属于目标类型的资源的情况下，可以根据上述步骤210至240来确定目标对象针对属于目标类型的资源的访问权限。

在一些实施例中，网络控制设备可以创建权限变更任务，并将权限变更任务保存在任务队列中，执行任务队列中的权限变更任务，将数据访问策略存储在数据访问表中，其中数据访问表用于供业务系统从数据访问表中拉取数据访问策略。

其中，网络控制设备响应于信息变更事件，根据安全状态信息确定数据访问策略，创建权限变更任务，并将权限变更任务投递至任务队列中。然后，网络控制设备执行任务队列中的权限变更任务，将对应的数据访问策略存储在数据访问表中。其中，该数据访问表用于供业务系统从数据访问表中拉取数据访问策略。例如，业务系统可以定期从数据访问表中拉取数据访问策略，并更新业务系统中的数据访问策略。

值得说明的是，任务队列中的权限变更任务在对应的数据访问策略被业务系统成功拉取之后才会被完成，若数据访问策略一直未被业务系统成功拉取，则任务队列中的权限变更任务不会被完成，而是可以多次执行该权限变更任务，以使数据访问策略能够被业务系统成功拉取。

应当理解的是，上述数据访问策略可以用于控制业务系统针对目标对象对除目标资源外的其他资源的访问权限，也可以用于控制目标资源的访问权限，在实际应用过程中，可以根据需要进行设置。

由此，在目标对象的安全状态信息发生变更的情况下，通过根据目标对象的安全状态信息，确定目标对象的数据访问策略，并将该数据访问策略发送至业务系统，使得业务系统根据数据访问策略调整目标对象针对业务系统的访问权限，从而使得业务系统无需对目标对象的每一次访问都进行评估，而是直接根据数据访问策略来确定目标对象的资源访问权限，从而不影响业务系统的性能，特别是对于大流量的业务系统，如果对目标对象的每一次访问都进行评估，会降低业务系统的性能。而且，将确定数据访问策略的过程放在网络控制设备中，使得目标对象的权限变更行为不会侵入业务系统的功能，从而保证业务系统的正常运行。

在一些可以实现的实施方式中，网络控制设备可以根据数据访问策略，获得权限变更消息，并向业务系统发送权限变更消息，其中权限变更消息用于使得业务系统通过与目标对象的终端设备之间的长连接通道向终端设备发送权限变更消息，以在终端设备中展示权限变更消息。

这里，网络控制设备在获得数据访问策略之后，可以根据数据访问策略生成权限变更消息。其中，权限变更消息用于表征目标对象针对业务系统的资源访问权限已发生变更。例如，在数据访问策略表征目标对象针对业务系统的访问权限发生降级的情况下，可以生成用于指示目标对象访问业务系统的访问权限已降级的权限变更消息。

在生成权限变更消息之后，网络控制设备向业务系统发送权限变更消息。业务系统接收权限变更消息，并通过与目标对象的终端设备之间的长连接通道向终端设备发送权限变更消息，以在终端设备中展示权限变更消息，以使目标对象能够根据权限变更消息消除风险信息。

其中，长连接通道可以是指终端设备与业务系统通过WebSocket(一种在单个TCP(Transmission Control Protocol，传输控制协议)连接上进行全双工通信的协议)进行长连接。

示例性地，网络控制设备可以将权限变更消息保存在消息队列中，其中消息队列用于供业务系统从消息队列中拉取权限变更消息。

值得说明的是，业务系统从消息队列中拉取权限变更消息之后，通过WebSocket向终端设备发送权限变更消息，终端设备则将接收到的WebSocket消息在客户端中以提醒或者通知的方式进行展示，以提醒目标对象修复其存在的风险。

应当理解的是，当目标对象已经修复存在的风险的情况下，目标对象的安全状态信息会发生变更，相应地，网络控制设备会更新业务系统中的关于目标对象的数据访问策略，从而使得目标对象能够恢复访问业务系统。

由此，通过向业务系统发送权限变更消息，能够使得目标对象根据该权限变更消息感知访问权限发生变更，并引导目标对象修复存在的风险项。

图4是根据又一示例性实施例提供的资源访问控制方法的流程示意图。如图4所示，本公开实施例提供的资源访问控制方法可以应用于图1所示的业务系统102。如图4所示，该资源访问控制方法可以包括以下步骤。

在步骤410中，接收目标对象发送的资源访问请求，其中资源访问请求用于请求访问目标资源。

这里，业务系统通过与终端设备之间的通信连接，接收目标对象通过终端设备向业务系统发送的资源访问请求。该资源访问请求用于请求访问业务系统中的目标资源。

值得说明的是，关于资源访问请求的详细说明可以参照上述实施方式，在此不再赘述。

在步骤420中，在目标资源属于目标类型的资源的情况下，响应于目标对象发送的资源访问请求，向网络控制设备发送认证请求，其中认证请求包括目标对象的身份信息以及目标对象将要访问的目标资源，认证请求用于使得网络控制设备根据目标对象的身份信息，从业务系统中获取目标对象的历史资源访问信息以及历史安全状态信息，并根据历史资源访问信息以及历史安全状态信息，确定目标对象针对目标资源的访问权限信息，以及向业务系统发送访问权限信息。

这里，业务系统接收目标对象发送的资源访问请求，并响应于该资源访问请求，在确定到目标对象将要访问的目标资源是属于目标类型的资源的情况下，通过与网络控制设备之间的通信连接，向网络控制设备发送认证请求。其中，认证请求可以包括目标对象的身份信息以及目标对象将要访问的目标资源。该目标对象是指在终端设备中登录的账户，目标对象的身份信息可以是指目标对象的账户、密码、验证码等等用于验证身份的信息，当然，身份信息也可以是指人脸信息、指纹信息等等用于验证身份的生物特征。目标对象将要访问的目标资源是指目标对象本次发送的资源访问请求需要访问的业务系统中的某一特定资源。例如，该目标资源可以是指应用系统中的某一资源，可以是指网络资源，如VPN、Wi-Fi等等网络资源。

值得说明的是，关于网络控制设备如何响应于认证请求获得访问权限信息可以参见上述实施例的相关描述，在此不再赘述。

在步骤430中，在接收到网络安全设备发送的访问权限信息的情况下，根据访问权限信息确定针对资源访问请求的操作。

这里，业务系统接收网络控制设备发送的访问权限信息，并在接收到网络安全设备发送的访问权限信息的情况下，根据访问权限信息确定针对资源访问请求的操作。

由此，通过向网络控制设备发送认证请求，并接收网络控制设备响应于该认证请求而发送的访问权限信息，并根据访问权限信息确定针对资源访问请求的操作，从而实现在终端设备的安全状态发生变化时，能够动态判断目标对象访问目标资源的权限，以在终端设备的实时安全状态不支持目标对象访问目标资源的情况下，禁止目标对象访问目标资源，保护业务系统不受到破坏。而且，通过上述资源访问控制方法，能够在不影响业务系统的工作性能的情况下，实现在终端设备的实时安全状态不支持目标对象访问目标资源的情况下，禁止目标对象访问目标资源。

在一些可以实现的实施方式中，业务系统还可以在接收到网络控制设备发送的目标对象的数据访问策略的情况下，根据数据访问策略，确定目标对象针对业务系统中除目标类型的资源外的其他资源的访问权限。

这里，数据访问策略是指目标对象访问业务系统时，针对业务系统中的不属于目标类型的资源的访问权限。例如，数据访问策略可以包括目标对象不可访问的第一资源集以及目标对象能够访问的第二资源集。第一资源集和第二资源集包括的资源可以是业务系统能够提供的所有不属于目标类型的其他资源。

数据访问策略是针对业务系统中除目标类型的资源外的其他资源的访问权限。在目标对象需要访问业务系统中属于目标类型的资源的情况下，业务系统可以根据上述步骤410至430来确定目标对象针对属于目标类型的资源的访问权限。

数据访问策略是网络控制设备在访问业务系统的目标对象的安全状态信息发生变更的情况下，根据安全状态信息确定到的，数据访问策略包括目标对象能够访问的资源以及不能访问的资源。

值得说明的是，关于如何确定数据访问策略以及如何接收数据访问策略，可以参照上述实施例，在此不再赘述。

由此，通过数据访问策略，业务系统无需对目标对象的每一次访问都进行评估，而是直接根据数据访问策略来确定目标对象的资源访问权限，从而不影响业务系统的性能，特别是对于大流量的业务系统，如果对目标对象的每一次访问都进行评估，会降低业务系统的性能。而且，将确定数据访问策略的过程放在网络控制设备中，使得目标对象的权限变更行为不会侵入业务系统的功能，从而保证业务系统的正常运行。

在一些可以实现的实施方式中，业务系统在接收到网络控制设备发送的权限变更消息的情况下，可以通过与目标对象的终端设备之间的长连接通道，向终端设备发送权限变更消息，以在终端设备中展示权限变更消息，其中权限变更消息是网络控制设备根据数据访问策略生成的，权限变更消息用于表征目标对象针对业务系统的资源访问权限已发生变更。

这里，关于权限变更消息的生成过程、业务系统如何获取权限变更消息以及业务系统如何向终端设备发送权限变更消息的相关说明，可以参照上述实施例的相关描述，在此不再赘述。

由此，通过权限变更消息，能够使得目标对象根据该权限变更消息感知访问权限发生变更，并引导目标对象修复存在的风险项。

图5是根据另一示例性实施例提供的资源访问控制方法的流程示意图。如图5所示，资源控制方法可以包括以下步骤。

S501，终端设备向业务系统发送资源访问请求；

S502，业务系统接收资源访问请求；

S503，业务系统向网络控制设备发送认证请求；

S504，网络控制设备接收认证请求；

S505，网络控制设备向业务系统请求目标对象的历史资源访问信息以及历史安全状态信息；

S506，业务系统向网络控制设备发送目标对象的历史资源访问信息以及历史安全状态信息；

S507，网络控制设备接收目标对象的历史资源访问信息以及历史安全状态信息；

S508，网络控制设备根据历史资源访问信息以及历史安全状态信息，确定访问权限信息；

S509，网络控制设备向业务系统发送访问权限信息；

S510，业务系统接收访问权限信息。

值得说明的是，关于S501至S510的具体实现过程可以参照上述实施例的相关描述，在此不再详细说明。

图6是根据一示例性实施例提供的资源访问控制装置的结构示意图。如图6所示，本公开实施例提供一种资源访问控制装置，应用于网络控制设备，该资源访问控制装置600可以包括：

第一接收模块601，被配置为接收业务系统发送的认证请求，其中认证请求是业务系统在根据目标对象发送的资源访问请求，确定到目标对象将要访问的目标资源属于目标类型的资源的情况下发送的，认证请求包括目标对象的身份信息以及目标对象将要访问的目标资源；

获取模块602，被配置为响应于认证请求，根据目标对象的身份信息，从业务系统中获取目标对象的历史资源访问信息以及历史安全状态信息；

确定模块603，被配置为根据历史资源访问信息以及历史安全状态信息，确定目标对象针对目标资源的访问权限信息；

第一发送模块604，被配置为向业务系统发送访问权限信息，其中访问权限信息用于使得业务系统根据访问权限信息确定针对资源访问请求的操作。

可选地，确定模块603具体被配置为：

根据历史资源访问信息以及历史安全状态信息，结合预设的映射关系，确定目标对象触发的目标风险项，其中映射关系包括不同的历史资源访问信息和历史安全状态信息的组合与不同的风险项之间的对应关系；

根据目标风险项，确定目标对象针对目标资源的访问权限信息。

可选地，装置600还包括：

策略调整模块，被配置为在访问业务系统的目标对象的安全状态信息发生变更的情况下，根据安全状态信息，确定目标对象的数据访问策略，其中数据访问策略包括目标对象能够访问的资源以及不能访问的资源；

策略发送模块，被配置为向业务系统发送数据访问策略，其中数据访问策略用于使得业务系统根据数据访问策略，确定目标对象针对业务系统中除目标类型的资源外的其他资源的访问权限。

可选地，装置600还包括：

消息生成模块，被配置为根据数据访问策略，获得权限变更消息，其中权限变更消息用于表征目标对象针对业务系统的资源访问权限已发生变更；

消息发送模块，被配置为向业务系统发送权限变更消息，其中权限变更消息用于使得业务系统通过与目标对象的终端设备之间的长连接通道向终端设备发送权限变更消息，以在终端设备中展示权限变更消息。

关于上述实施中的资源访问装置600中的各个功能模块执行的逻辑，已在关于方法的部分进行了详细说明，在此不再赘述。

图7是根据又一示例性实施例提供的资源访问控制装置的结构示意图。如图7所示，本公开实施例提供一种资源访问控制装置，应用于业务系统，该资源访问控制装置700可以包括：

第二接收模块701，被配置为接收目标对象发送的资源访问请求，其中资源访问请求用于请求访问目标资源；

第二发送模块702，被配置为在目标资源属于目标类型的资源的情况下，向网络控制设备发送认证请求，其中认证请求包括目标对象的身份信息以及目标对象将要访问的目标资源，认证请求用于使得网络控制设备根据目标对象的身份信息，从业务系统中获取目标对象的历史资源访问信息以及历史安全状态信息，并根据历史资源访问信息以及历史安全状态信息，确定目标对象针对目标资源的访问权限信息，以及向业务系统发送访问权限信息；

第三接收模块703，被配置为在接收到网络安全设备发送的访问权限信息的情况下，根据访问权限信息确定针对资源访问请求的操作。

可选地，装置700还包括：

策略接收模块，被配置为在接收到网络控制设备发送的目标对象的数据访问策略的情况下，根据数据访问策略，确定目标对象针对业务系统中除目标类型的资源外的其他资源的访问权限；

其中，数据访问策略是网络控制设备在访问业务系统的目标对象的安全状态信息发生变更的情况下，根据安全状态信息确定到的，数据访问策略包括目标对象能够访问的资源以及不能访问的资源。

可选地，装置700还包括：

消息接收模块，被配置为在接收到网络控制设备发送的权限变更消息的情况下，通过与目标对象的终端设备之间的长连接通道，向终端设备发送权限变更消息，以在终端设备中展示权限变更消息，其中权限变更消息是网络控制设备根据数据访问策略生成的，权限变更消息用于表征目标对象针对业务系统的资源访问权限已发生变更。

关于上述实施中的资源访问装置700中的各个功能模块执行的逻辑，已在关于方法的部分进行了详细说明，在此不再赘述。

下面参考图8，其示出了适于用来实现本公开实施例的电子设备800(例如图1中的业务系统102或网络控制设备103)的结构示意图。本公开实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图8示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图8所示，电子设备800可以包括处理装置(例如中央处理器、图形处理器等)801，其可以根据存储在只读存储器(ROM)802中的程序或者从存储装置808加载到随机访问存储器(RAM)803中的程序而执行各种适当的动作和处理。在RAM 803中，还存储有电子设备800操作所需的各种程序和数据。处理装置801、ROM 802以及RAM 803通过总线804彼此相连。输入/输出(I/O)接口805也连接至总线804。

通常，以下装置可以连接至I/O接口805：包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置806；包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置807；包括例如磁带、硬盘等的存储装置808；以及通信装置809。通信装置809可以允许电子设备800与其他设备进行无线或有线通信以交换数据。虽然图8示出了具有各种装置的电子设备800，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在非暂态计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信装置809从网络上被下载和安装，或者从存储装置808被安装，或者从ROM 802被安装。在该计算机程序被处理装置801执行时，执行本公开实施例的方法中限定的上述功能。

需要说明的是，本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、RF(射频)等等，或者上述的任意合适的组合。

在一些实施方式中，终端设备、业务系统、网络控制设备可以利用诸如HTTP(HyperText Transfer Protocol，超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信，并且可以与任意形式或介质的数字数据通信(例如，通信网络)互连。通信网络的示例包括局域网(“LAN”)，广域网(“WAN”)，网际网(例如，互联网)以及端对端网络(例如，ad hoc端对端网络)，以及任何当前已知或未来研发的网络。

上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。

上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：接收业务系统发送的认证请求，其中认证请求是业务系统响应于目标对象发送的资源访问请求而发送的，认证请求包括目标对象的身份信息以及目标对象将要访问的目标资源；响应于认证请求，根据目标对象的身份信息，从业务系统中获取目标对象的历史资源访问信息以及历史安全状态信息；根据历史资源访问信息以及历史安全状态信息，确定目标对象针对目标资源的访问权限信息；向业务系统发送访问权限信息，其中访问权限信息用于使得业务系统根据访问权限信息确定针对资源访问请求的操作。

或者，使得该电子设备：响应于目标对象发送的资源访问请求，向网络控制设备发送认证请求，其中认证请求包括目标对象的身份信息以及目标对象将要访问的目标资源，认证请求用于使得网络控制设备根据目标对象的身份信息，从业务系统中获取目标对象的历史资源访问信息以及历史安全状态信息，并根据历史资源访问信息以及历史安全状态信息，确定目标对象针对目标资源的访问权限信息，以及向业务系统发送访问权限信息；在接收到网络安全设备发送的访问权限信息的情况下，根据访问权限信息确定针对资源访问请求的操作。

可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言——诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，模块的名称在某种情况下并不构成对该模块本身的限定。

本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。

在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开中所涉及的公开范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述公开构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

此外，虽然采用特定次序描绘了各操作，但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下，多任务和并行处理可能是有利的。同样地，虽然在上面论述中包含了若干具体实现细节，但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地，在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。

尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题，但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反，上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

Claims

一种资源访问控制方法，应用于网络控制设备，包括：

接收业务系统发送的认证请求，其中，所述认证请求是所述业务系统在根据目标对象发送的资源访问请求，确定到所述目标对象将要访问的目标资源属于目标类型的资源的情况下发送的，所述认证请求包括所述目标对象的身份信息以及所述目标对象将要访问的所述目标资源；

响应于所述认证请求，根据所述目标对象的身份信息，从所述业务系统中获取所述目标对象的历史资源访问信息以及历史安全状态信息；

根据所述历史资源访问信息以及所述历史安全状态信息，确定所述目标对象针对所述目标资源的访问权限信息；

向所述业务系统发送所述访问权限信息，其中，所述访问权限信息用于使得所述业务系统根据所述访问权限信息确定针对所述资源访问请求的操作。
根据权利要求1所述的方法，其中，所述根据所述历史资源访问信息以及所述历史安全状态信息，确定所述目标对象针对所述目标资源的访问权限信息，包括：

根据所述历史资源访问信息以及所述历史安全状态信息，结合预设的映射关系，确定所述目标对象触发的目标风险项，其中，所述映射关系包括不同的所述历史资源访问信息和所述历史安全状态信息的组合与不同的风险项之间的对应关系；

根据所述目标风险项，确定所述目标对象针对所述目标资源的访问权限信息。
根据权利要求1或2所述的方法，还包括：

在访问所述业务系统的目标对象的安全状态信息发生变更的情况下，根据所述安全状态信息，确定所述目标对象的数据访问策略，其中，所述数据访问策略包括所述目标对象能够访问的资源以及不能访问的资源；

向所述业务系统发送所述数据访问策略，其中，所述数据访问策略用于使得所述业务系统根据所述数据访问策略，确定所述目标对象针对所述业务系统中除所述目标类型的资源外的其他资源的访问权限。
根据权利要求3所述的方法，还包括：

根据所述数据访问策略，获得权限变更消息，其中，所述权限变更消息用于表征所述目标对象针对所述业务系统的资源访问权限已发生变更；

向所述业务系统发送所述权限变更消息，其中，所述权限变更消息用于使得所述业务系统通过与所述目标对象的终端设备之间的长连接通道向所述终端设备发送所述权限变更消息，以在所述终端设备中展示所述权限变更消息。
一种资源访问控制方法，应用于业务系统，包括：

接收目标对象发送的资源访问请求，其中，所述资源访问请求用于请求访问目标资源；

在所述目标资源属于目标类型的资源的情况下，向网络控制设备发送认证请求，其中，所述认证请求包括所述目标对象的身份信息以及所述目标对象将要访问的所述目标资源，所述认证请求用于使得所述网络控制设备根据所述目标对象的身份信息，从所述业务系统中获取所述目标对象的历史资源访问信息以及历史安全状态信息，并根据所述历史资源访问信息以及所述历史安全状态信息，确定所述目标对象针对所述目标资源的访问权限信息，以及向所述业务系统发送所述访问权限信息；

在接收到所述网络安全设备发送的所述访问权限信息的情况下，根据所述访问权限信息确定针对所述资源访问请求的操作。
根据权利要求5所述的方法，还包括：

在接收到所述网络控制设备发送的所述目标对象的数据访问策略的情况下，根据所述数据访问策略，确定所述目标对象针对所述业务系统中除所述目标类型的资源外的其他资源的访问权限；

其中，所述数据访问策略是所述网络控制设备在访问所述业务系统的目标对象的安全状态信息发生变更的情况下，根据所述安全状态信息确定到的，所述数据访问策略包括所述目标对象能够访问的资源以及不能访问的资源。
根据权利要求6所述的方法，还包括：

在接收到所述网络控制设备发送的权限变更消息的情况下，通过与所述目标对象的终端设备之间的长连接通道，向所述终端设备发送所述权限变更消息，以在所述终端设备中展示所述权限变更消息，其中，所述权限变更消息是所述网络控制设备根据所述数据访问策略生成的，所述权限变更消息用于表征所述目标对象针对所述业务系统的资源访问权限已发生变更。
一种资源访问控制装置，应用于网络控制设备，包括：

第一接收模块，被配置为接收业务系统发送的认证请求，其中，所述认证请求是所述业务系统在根据目标对象发送的资源访问请求，确定到所述目标对象将要访问的目标资源属于目标类型的资源的情况下发送的，所述认证请求包括所述目标对象的身份信息以及所述目标对象将要访问的所述目标资源；

获取模块，被配置为响应于所述认证请求，根据所述目标对象的身份信息，从所述业务系统中获取所述目标对象的历史资源访问信息以及历史安全状态信息；

确定模块，被配置为根据所述历史资源访问信息以及所述历史安全状态信息，确定所述目标对象针对所述目标资源的访问权限信息；以及

第一发送模块，被配置为向所述业务系统发送所述访问权限信息，其中，所述访问权限信息用于使得所述业务系统根据所述访问权限信息确定针对所述资源访问请求的操作。
一种资源访问控制装置，应用于业务系统，包括：

第二接收模块，被配置为接收目标对象发送的资源访问请求，其中，所述资源访问请求用于请求访问目标资源；

第二发送模块，被配置为在所述目标资源属于目标类型的资源的情况下，向网络控制设备发送认证请求，其中，所述认证请求包括所述目标对象的身份信息以及所述目标对象将要访问的所述目标资源，所述认证请求用于使得所述网络控制设备根据所述目标对象的身份信息，从所述业务系统中获取所述目标对象的历史资源访问信息以及历史安全状态信息，并根据所述历史资源访问信息以及所述历史安全状态信息，确定所述目标对象针对所述目标资源的访问权限信息，以及向所述业务系统发送所述访问权限信息；以及

第三接收模块，被配置为在接收到所述网络安全设备发送的所述访问权限信息的情况下，根据所述访问权限信息确定针对所述资源访问请求的操作。
一种计算机可读介质，其上存储有计算机程序，其中，所述计算机程序被处理装置执行时实现权利要求1-4中任一项所述的资源访问控制方法，或者实现权利要求5-7中任一项所述的资源访问控制方法。
一种电子设备，其特征在于，包括：

存储装置，其上存储有计算机程序；以及

处理装置，被配置为执行所述存储装置中的所述计算机程序，以实现权利要求1-4中任一项所述的资源访问控制方法，或者实现权利要求5-7中任一项所述的资源访问控制方法。