[发明专利]加密流量的访问控制方法、装置及系统

权利要求书

1.一种加密流量的访问控制方法，其特征在于，所述方法包括：

授权服务器接收来自客户端设备的令牌申请信息，所述令牌申请信息用于申请令牌；

所述授权服务器根据所述令牌申请信息确定第一令牌的令牌描述、目标混淆电路、和初始向量对应的标签集合，所述令牌描述包括授权向量，所述授权向量指示第一信息，所述第一信息包括对第一子信息进行加密后得到的加密信息；所述目标混淆电路用于根据初始向量的标签生成所述第一令牌的授权码，所述初始向量用于加密所述第一子信息；

所述授权服务器向所述客户端设备发送所述令牌描述和指示信息，所述指示信息用于指示初始向量对应的标签集合和所述目标混淆电路。

2.根据权利要求1所述的方法，其特征在于，所述第一信息为待携带在所述客户端设备的请求报文中的信息。

3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

网关设备接收来自所述客户端设备的请求报文，所述请求报文包括所述第一令牌和所述第一信息；

所述网关设备根据所述令牌描述、所述第一信息、以及密码散列函数生成第二授权码；

所述第二授权码与所述第一授权码相同时，所述网关设备向数据服务器转发所述请求报文。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述目标混淆电路由以下至少一项确定：所述令牌描述、所述第一子信息、第二子信息、目标秘钥、目标加密算法、或密码散列函数，所述第二子信息为所述第一信息中的明文信息。

5.根据权利要求4所述的方法，其特征在于，所述第一子信息包括目标资源对应的授权请求起始符和/或请求结束符；所述第一子信息的长度为所述目标加密算法的加密分组长度的整数倍；所述目标资源为所述客户端设备待访问的资源。

6.根据权利要求5所述的方法，其特征在于，所述授权请求起始符包括请求信息和所述目标资源的部分或全部统一资源定位符URL前缀，所述请求信息指示与所述目标资源相关的操作。

7.根据权利要求4-6任一项所述的方法，其特征在于，所述第二子信息包括以下至少一项：目标资源对应的网络层信息、传输层信息、安全传输记录层信息、请求方描述信息、或响应方描述信息。

8.根据权利要求7所述的方法，其特征在于，所述网络层信息包括源互联网协议IP地址和目的IP地址；

所述传输层信息包括目的端口，或者，包括目的端口和源端口；

所述安全传输记录层信息指示负载的类型；

所述请求方描述信息包括以下至少一项：所述请求方的身份信息、所述请求方的状态信息、所述请求方的组标识、所述请求方的安全等级、或所述请求方所处网络的网络类型；

所述响应方描述信息包括以下至少一项：所述响应方的组标识、所述响应方的安全等级、或所述响应方所处网络的网络类型。

9.根据权利要求1-8任一项所述的方法，其特征在于，所述授权向量包括偏移值和长度信息，所述偏移值指示所述第一信息的起始位置，所述长度信息指示所述第一信息的长度；

或者，所述授权向量包括比特位图，所述比特位图指示承载所述第一信息的字段。

10.根据权利要求1-9任一项所述的方法，其特征在于，所述令牌描述还包括有效期和以下至少一项：检查策略、颁发者标识、密码套件、或排除信息；

其中，所述有效期指示所述第一令牌的有效期限；所述检查策略指示是否信任目标资源的请求方；所述颁发者标识指示所述授权服务器；所述密码套件指示所述目标混淆电路对应的密码散列函数的相关信息；所述排除信息指示所述客户端设备的请求报文中禁止携带的信息。