[发明专利]加密流量的访问控制方法、装置及系统

说明书

本申请提供一种加密流量的访问控制方法、装置及系统，能够能够高效、灵活地进行加密流量的访问控制，从而减少数据泄露。该方法包括：授权服务器基于客户端设备的申请向客户端设备返回第一令牌的令牌描述、目标混淆电路、初始向量对应的标签集合；令牌描述包括指示第一信息的授权向量，第一信息包括对第一子信息进行加密后得到的加密信息。客户端设备确定第一初始向量的标签，将其输入目标混淆电路得到第一令牌的第一授权码，从而得到第一令牌，并将第一令牌和第一信息携带在请求报文中发送。网关设备收到请求报文后，根据令牌描述、第一信息、和密码散列函数生成第二授权码，在第二授权码和第一授权码相同时，向数据服务器转发该请求报文。

技术领域

本申请实施例涉及通信领域，尤其涉及加密流量的访问控制方法、装置及系统。

背景技术

随着网络的广泛普及，新的软件应用模式层出不穷，极大地影响和改变了人们工作和生活的方式，提高了人们对于网络信息的依赖程度。由于网络自身的复杂性、广泛可接入性等因素，网络面临日益增多的安全威胁，安全问题日益突出。为了防止信息被窃听、篡改、和劫持，目前广泛使用加密流量进行传输，例如，使用安全超文本传输协议(securehypertext transfer protocol，HTTPS)进行加密传输。

然而，在加密流量传输中，仍然存在由于越权访问导致的数据泄露。示例性的，如图1所示，在园区网的场景中，园区内部区域的正常雇员正常访问内部资料，而恶意雇员越权访问数据中心，从而导致数据泄露。此外，园区外部区域的正常用户正常访问公共数据，而恶意黑客越权访问内部资料，从而导致数据泄露。因此，有必要进行合理的访问控制以防止越权访问导致的数据泄露。

发明内容

本申请提供一种加密流量的访问控制方法、装置及系统，能够高效、灵活地进行加密流量的访问控制，从而减少数据泄露。

第一方面，提供了一种访问控制方法，该方法可以由授权服务器执行，也可以由授权服务器的部件，例如处理器、芯片、或芯片系统等执行，还可以由能实现全部或部分授权服务器功能的逻辑模块或软件实现。以该方法由授权服务器执行为例，该方法包括：

授权服务器接收来自客户端设备的用于申请令牌的令牌申请信息，根据该令牌申请信息确定第一令牌的令牌描述、目标混淆电路、和初始向量对应的标签集合，并向客户端设备发送令牌描述和指示信息，该指示信息用于指示初始向量对应的标签集合和目标混淆电路。其中，令牌描述包括授权向量，授权向量指示第一信息，第一信息包括对第一子信息进行加密后得到的加密信息；目标混淆电路用于根据初始向量的标签生成第一令牌的授权码，初始向量用于加密第一子信息。

基于该方案，授权服务器基于客户端设备的申请向客户端设备指示混淆电路和令牌描述，客户端设备在发送请求报文时使用混淆电路生成第一授权码得到令牌，并在请求报文中携带该令牌。该令牌的令牌描述中包括授权向量，该授权向量指示参与授权码计算的第一信息，使得网关设备或数据服务器侧收到请求报文后，可以基于授权向量获取参与授权码计算的信息，并生成第二授权码，根据比较第一授权码和第二授权码是否一致来进行访问控制，例如，在第二授权码和第一授权码一致时允许访问，在第二授权码和第一授权码不一致时拒绝访问，从而防止数据泄露。

结合第一方面，在第一方面的某些实施方式中，第一信息为待携带在客户端设备的请求报文中的信息。

基于该方案，第一信息为请求报文中的信息，即使用请求报文中的信息参与授权码计算，后续进行令牌验证时，可以防止使用第一令牌发送非法请求的发生。例如，非法用户利用第一令牌发送请求时，由于授权码的计算需要请求报文中的信息参与，若想通过令牌验证，需要同时对请求报文中的第一信息进行造假，然而对请求报文中的信息造假可能无法完成非法用户的非法请求，从而本申请的第一令牌可以在授权范围内随意使用而无需担心盗用，能够进一步提升安全性能。