本申请涉及网络通信,特别是涉及一种数据请求的访问控制方法。
背景技术:
1、随着大数据时代的到来,数据成为企业重要的资产,数据安全问题也是企业面临的重要难题之一。企业数据平台通常部署在内网环境,仅允许内网用户通过内网的客户端进行访问,而外网则访问不了,从而确保内网的数据安全。然而,在一些情况下存在外网访问的需求,需要将数据访问通道开放给外网客户端,但是这也导致了更高的数据风险,容易造成数据的泄露或者对数据非法操作。在另一些情况下,内网客户端的访问请求也需要区别处理,以降低数据风险、造成数据的泄露或者对数据非法操作。
2、现有技术中,虽然存在基于ip黑名单和白名单的访问控制方法,但这些方法往往只能对特定的ip地址进行简单的阻止或允许操作,缺乏对数据请求的灵活处理,导致内部敏感数据泄露或者合法用户也可能因ip地址问题而无法访问内网资源。
技术实现思路
1、基于此,本申请的目的在于提出一种数据请求的访问控制方法,基于数据请求的风险等级实现更为安全和灵活的访问控制,以确保内网资源的安全性和可用性。
2、本申请实施例所述的一种数据请求的访问控制方法,应用于内网服务端,所述方法包括以下步骤:
3、获取访问客户端发送的数据请求;所述数据请求包括访问标识信息以及用户标识;
4、确定所述数据请求的风险等级;
5、若所述数据请求的风险等级为预设的第一风险等级,判断预设的访问白名单和访问黑名单是否存在所述数据请求的访问标识信息;
6、若所述访问白名单存在所述数据请求的访问标识信息,执行所述数据请求;
7、若所述访问白名单以及所述访问黑名单均不存在所述数据请求的访问标识信息,发起访问鉴权;若访问鉴权通过,执行所述数据请求,否则,不执行所述数据请求;
8、若所述访问黑名单存在所述数据请求的访问标识信息,判断所述用户标识对应的用户身份是否为授权用户;若所述用户标识对应的用户身份为授权用户,发起访问鉴权;若访问鉴权通过,执行所述数据请求,否则,不执行所述数据请求;若所述用户标识对应的用户身份不是授权用户,不执行所述数据请求。
9、本申请实施例所述的数据请求的访问控制方法,首先,接收来自访问客户端的数据请求,这些请求包含了关键的访问标识信息(如ip地址、请求类型等)以及用户标识(如用户名、账号等)。接下来,确定数据请求的风险等级,对于高风险等级的数据请求,进一步检查预设的访问白名单和访问黑名单。位于白名单中的请求被认为是安全且可信的,如果请求的访问标识信息出现在白名单中,那么直接允许该请求的执行。相反,如果请求的访问标识信息出现在黑名单中,则根据用户身份的不同采取不同的措施——对于授权用户,通过发起访问鉴权来验证用户的真实身份和权限。如果鉴权通过,则允许请求执行;如果鉴权失败或用户身份不是授权用户,则直接拒绝请求的执行。此外,如果数据请求的访问标识信息既不在白名单中也不在黑名单中,同样会发起访问鉴权流程,以确保请求的真实性和合法性。这一步骤是对所有未明确归类为安全或危险的请求的一种通用处理方式,旨在通过额外的验证步骤来增强系统的安全性。综上所述,本申请的技术方案通过引入风险评估、白名单和黑名单检查以及基于用户身份的访问鉴权等多个环节,构建了一个全面而精细的访问控制体系。这一体系不仅能够有效抵御恶意请求的攻击,保护内网资源的安全,还能够根据用户身份和请求特点灵活调整访问权限,提升用户体验。同时,该技术方案还具有良好的可扩展性和适应性,能够轻松应对不同场景下的访问控制需求。
10、为了更好的理解和实施,下面结合附图详细说明本申请。
1.一种数据请求的访问控制方法,其特征在于,应用于内网服务端,所述方法包括以下步骤:
2.根据权利要求1所述的数据请求的访问控制方法,其特征在于,所述确定所述数据请求的风险等级的步骤之后,还包括步骤:
3.根据权利要求1所述的数据请求的访问控制方法,其特征在于,所述若所述访问白名单以及所述访问黑名单均不存在所述数据请求的访问标识信息,发起访问鉴权的步骤,包括:
4.根据权利要求1所述的数据请求的访问控制方法,其特征在于,所述若所述用户标识对应的用户身份为授权用户,发起访问鉴权的步骤,包括:
5.根据权利要求1所述的数据请求的访问控制方法,其特征在于,所述数据请求包括访问接口信息;所述访问接口信息包括数据请求路径信息以及数据操作信息;
6.根据权利要求5所述的数据请求的访问控制方法,其特征在于,所述获取访问客户端发送的数据请求的步骤之前,还包括步骤:
7.根据权利要求6所述的数据请求的访问控制方法,其特征在于,所述获取管理客户端发送的配置信息的步骤之前,还包括步骤:
8.根据权利要求1所述的数据请求的访问控制方法,其特征在于,所述获取访问客户端发送的数据请求的步骤之前,还包括以下步骤:
9.根据权利要求1所述的数据请求的访问控制方法,其特征在于,所述访问客户端包括内网客户端和外网客户端;所述数据请求包括内网客户端通过内网发送的数据请求以及代理服务端通过内网发送的数据请求;其中,所述代理服务端发送的数据请求由所述代理服务端通过外网接收外网客户端发送的数据请求得到;
10.根据权利要求9所述的数据请求的访问控制方法,其特征在于,所述内网客户端发送的数据请求包括所述内网客户端的第一访问标识信息,所述代理服务端发送的数据请求包括所述代理服务端的第二访问标识信息;
