导航：首页> 计算；推算；计数>访问控制方法、访问条件配置方法、装置、设备和介质

访问控制方法、访问条件配置方法、装置、设备和介质

文献发布时间：2024-04-18 19:52:40

技术领域

本申请涉及数据安全技术领域，特别是涉及一种访问控制方法、访问条件配置方法、装置、设备和介质。

背景技术

随着信息化技术的不断发展，越来越多的企业用户通过特定的软件程序来实现远程办公，极大地方便了广大企业用户，如利用软件程序远程访问企业内网中的业务资源，该业务资源可以是企业办公软件、企业云和企业数据等。

在对企业内网中的业务资源进行远程访问的过程中，通常是先对需要远程访问的企业用户进行权限判断，即判断该企业用户在企业中所属的岗位或所属的部门，然后准许其访问相应的业务资源。然而，上述对业务资源的访问方案中，权限判断的粒度较粗，而且该访问方式还可能造成业务资源的安全风险。

发明内容

基于此，有必要针对上述技术问题，提供一种访问控制方法、访问条件配置方法、装置、设备和介质，能够细化业务资源的访问粒度，并避免业务资源出现安全风险。

一种访问控制方法，所述方法包括：

接收访问代理发送的第一鉴权请求；所述第一鉴权请求，是所述访问代理在接收到目标应用发起的对业务资源进行访问的网络访问请求时生成的；

基于所述第一鉴权请求中的应用标识和访问方账户信息，确定访问所述业务资源的访问方符合静态访问条件；

获取所述访问方的属性信息和访问时间；

向安全服务端发送携带所述属性信息和所述访问时间的第二鉴权请求；所述第二鉴权请求，用于指示所述安全服务端查找与所述静态访问条件关联的动态访问条件，并当基于所述属性信息和所述访问时间确定所述访问方符合所述动态访问条件时，返回鉴权结果；

当接收到所述安全服务端返回的所述鉴权结果时，基于所述鉴权结果对所述网络访问请求进行访问控制。

在其中的一个实施例中，所述方法还包括：

当命中所述禁止访问子条件时，生成被禁止访问的原因描述信息以及重新申请权限的建议文本；

展示所述原因描述信息和所述建议文本。

在其中的一个实施例中，所述方法还包括：

当基于所述属性信息和所述访问时间确定所述访问方不符合所述动态访问条件时，则将所述网络访问请求发送至所述业务服务器的接入网关，以使所述接入网关对所述网络访问请求进行访问控制。

在其中的一个实施例中，所述基于所述网络访问请求访问所述业务资源包括：

当所述允许访问条件为限制性访问条件、且所述访问时间未超出目标时段时，基于所述网络访问请求对企业内网中的所述业务资源进行访问；

所述方法还包括：当所述允许访问条件为限制性访问条件、且所述访问时间超出所述目标时段时，禁止基于所述网络访问请求访问所述业务资源。

在其中的一个实施例中，所述方法还包括：

当所述目标应用为第三方应用、且被禁止访问所述业务资源时，获取访问失败时记录的访问控制结果；

在触发到预设事件时，以弹窗方式或邮件方式输出所述访问控制结果；或者，

将所述访问控制结果存储于控制流日志；在接收到查看请求时，依据所述查看请求从所述控制流日志中读取访问控制结果，并进行显示；

当所述目标应用为浏览器时，获取访问过程中形成的访问控制信息，通过重定向页面显示所述访问控制信息。

一种访问控制装置，所述装置包括：

接收模块，用于接收访问代理发送的第一鉴权请求；所述第一鉴权请求，是所述访问代理在接收到目标应用发起的对业务资源进行访问的网络访问请求时生成的；

确定模块，用于基于所述第一鉴权请求中的应用标识和访问方账户信息，确定访问所述业务资源的访问方符合静态访问条件；

获取模块，用于获取所述访问方的属性信息和访问时间；

发送模块，用于向安全服务端发送携带所述属性信息和所述访问时间的第二鉴权请求；所述第二鉴权请求，用于指示所述安全服务端查找与所述静态访问条件关联的动态访问条件，并当基于所述属性信息和所述访问时间确定所述访问方符合所述动态访问条件时，返回鉴权结果；

控制模块，用于当接收到所述安全服务端返回的所述鉴权结果时，基于所述鉴权结果对所述网络访问请求进行访问控制。

一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时，执行上述访问控制方法的步骤。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，执行上述访问控制方法的步骤。

一种计算机程序产品，包括计算机程序，其特征在于，所述计算机程序被处理器执行时实现，执行上述访问控制方法的步骤。

上述访问控制方法、装置、计算机设备和存储介质，在目标应用访问业务资源时，会接收到访问代理基于网络访问请求生成的第一鉴权请求，依据该第一鉴权请求中的应用标识和访问方账户信息，对访问业务资源的访问方是否符合静态访问条件进行判断，从多个维度可以确定出该访问方是否具有访问权项，实现了对访问方的初始访问控制，而且还细化了访问权项的控制粒度，有利于业务资源的安全性。此外，在确定访问方符合静态访问条件时，还从其它不同维度和粒度对访问方进行二次鉴权，即获取该访问方的属性信息和访问时间，然向安全服务端发送携带属性信息和访问时间的第二鉴权请求，以使安全服务端查找与静态访问条件关联的动态访问条件，判断属性信息和访问时间是否符合动态访问条件，从而完成第二次鉴权，若符合动态访问条件，则返回鉴权结果，基于第二次鉴权验证的鉴权结果对网络访问请求进行访问控制，有效地避免了权限安全漏洞，进一步提高了业务资源的安全性。

一种访问控制方法，所述方法包括：

在安全客户端基于访问代理发起的第一鉴权请求进行权限验证后，接收所述安全客户端发送的用于请求业务资源访问权限的第二鉴权请求；所述第一鉴权请求，是所述访问代理响应于目标应用发起的网络访问请求而生成的；

基于所述第二鉴权请求中的应用标识和访问方账户信息，确定访问所述业务资源的访问方符合静态访问条件；

查找与所述静态访问条件关联的动态访问条件；

基于所述第二鉴权请求中的属性信息和访问时间，确定所述访问方符合所述动态访问条件；

向所述安全客户端返回鉴权结果；所述鉴权结果，用于指示所述安全客户端基于所述鉴权结果对所述目标应用发起的网络访问请求进行访问控制。

在其中的一个实施例中，所述方法还包括：

若所述静态访问条件为短期访问条件，获取所述静态访问条件的有效时段；

若当前时间超出所述有效时段，对所述静态访问条件进行回收；以及

对所述静态访问条件关联的所述动态访问条件进行回收。

一种访问控制装置，所述装置包括：

接收模块，用于在安全客户端基于访问代理发起的第一鉴权请求进行权限验证后，接收所述安全客户端发送的用于请求业务资源访问权限的第二鉴权请求；所述第一鉴权请求，是所述访问代理响应于目标应用发起的网络访问请求而生成的；

确定模块，用于基于所述第二鉴权请求中的应用标识和访问方账户信息，确定访问所述业务资源的访问方符合静态访问条件；

查找模块，用于查找与所述静态访问条件关联的动态访问条件；

所述确定模块，还用于基于所述第二鉴权请求中的属性信息和访问时间，确定所述访问方符合所述动态访问条件；

返回模块，用于向所述安全客户端返回鉴权结果；所述鉴权结果，用于指示所述安全客户端基于所述鉴权结果对所述目标应用发起的网络访问请求进行访问控制。

一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时，执行上述访问控制方法的步骤。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，执行上述访问控制方法的步骤。

一种计算机程序产品，包括计算机程序，其特征在于，所述计算机程序被处理器执行时实现，执行上述访问控制方法的步骤。

上述访问控制方法、装置、计算机设备和存储介质，在目标应用访问业务资源时，访问代理会响应该目标应用发起的网络请求而生成第一鉴权请求，安全客户端基于该第一鉴权请求进行权限验证，并在完成权限验证后，本端接收安全客户端发送的用于请求业务资源访问权限的第二鉴权请求，基于第二鉴权请求中的应用标识和访问方账户信息，确定访问业务资源的访问方符合静态访问条件，本端从多个维度可以确定出该访问方是否具有访问权项，实现了对访问方的初始访问控制，而且还细化了访问权项的控制粒度，有利于业务资源的安全性。本端在确定访问方符合静态访问条件时，还从其它不同维度和粒度对访问方进行二次鉴权，即先查找与静态访问条件关联的动态访问条件，判断第二鉴权请求中的属性信息和访问时间是否符合动态访问条件，若是，则向安全客户端返回鉴权结果，以使安全客户端基于第二次鉴权验证的鉴权结果对网络访问请求进行访问控制，有效地避免了权限安全漏洞，进一步提高了业务资源的安全性。

一种访问条件配置方法，所述方法应用于安全管控端，所述安全管控端用于对安全服务端进行访问参数配置；所述方法包括：

展示所述安全管控端的配置管理页面；

响应于在所述配置管理页面触发的第一配置操作，进入所述安全管控端的用于配置静态访问条件的第一策略配置页面；

在所述第一策略配置页面中，选取访问方和所述访问方具备静态访问权限的业务资源，以基于所述访问方和所述业务资源生成所述静态访问条件；

显示所述安全管控端的第二策略配置页面；

响应于在所述第二策略配置页面触发的组合操作，在所述第二策略配置页面展示配置于所述安全服务端的、且与所述静态访问条件关联的动态访问条件。

一种访问条件配置装置，所述装置包括：

第一展示模块，用于展示安全管控端的配置管理页面；

第一显示模块，用于响应于在所述配置管理页面触发的第一配置操作，进入所述安全管控端的用于配置静态访问条件的第一策略配置页面；

选中模块，用于在所述第一策略配置页面中，选取访问方和所述访问方具备静态访问权限的业务资源，以基于所述访问方和所述业务资源生成所述静态访问条件；

第二显示模块，用于显示所述安全管控端的第二策略配置页面；

第二展示模块，用于响应于在所述第二策略配置页面触发的组合操作，在所述第二策略配置页面展示配置于所述安全服务端的、且与所述静态访问条件关联的动态访问条件。

一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时，执行上述访问控制方法的步骤。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，执行上述访问控制方法的步骤。

一种计算机程序产品，包括计算机程序，其特征在于，所述计算机程序被处理器执行时实现，执行上述访问控制方法的步骤。

上述访问条件配置方法、装置、计算机设备和存储介质，通过第一策略配置页面配置静态访问条件，从而访问方用对业务资源访问时，确定该访问方可以符合访问权限有利于实现对访问方的初始访问控制，还细化了访问权项的控制粒度，有利于业务资源的安全性。此外，在完成静态访问条件的配置后，还通过第二策略配置页面对安全服务端的动态访问条件进行配置，以便在访问业务资源的过程中，还利用动态访问条件来对访问方进行权限验证，实现了利用静态访问条件和关联的动态访问条件联合对网络访问请求进行访问控制，有效地避免了权限安全漏洞，进一步提高了业务资源的安全性。

附图说明

图1为一个实施例中访问控制方法和访问条件配置方法的应用环境图；

图2为一个实施例中访问控制方法的流程示意图；

图3a为一个实施例中访问控制系统的结构示意图；

图3b为一个实施例中iOA客户端的登录页面示意图；

图3c为一个实施例中iOA客户端完成登录时的页面示意图；

图4为一个实施例中组织架构中关于静态访问列表页面的示意图；

图5为一个实施例中关于动态访问列表页面的示意图；

图6为另一个实施例中访问控制方法的流程示意图；

图7为一个实施例中查看各动态访问条件的示意图；

图8为一个实施例中获取静态访问条件以及验证访问方是否符合静态访问条件的流程示意图；

图9为另一个实施例中访问控制方法的流程示意图；

图10为一个实施例中访问控制方法的时序示意图；

图11为一个实施例中访问条件配置方法的流程示意图；

图12为一个实施例中安全管控端的配置管理页面的页面示意图；

图13为一个实施例中安全管控端的第一策略配置页面的页面示意图；

图14为一个实施例中安全管控端的第二策略配置页面的页面示意图；

图15为一个实施例中安全管控端的新增目录页面的页面示意图；

图16为一个实施例中安全管控端的新增角色页面的页面示意图；

图17为一个实施例中安全管控端的新增用户页面的页面示意图；

图18为一个实施例中安全管控端的角色管理页面的页面示意图；

图19为一个实施例中安全管控端的关于企业用户静态访问条件的页面示意图；

图20为一个实施例中访问控制装置的结构框图；

图21为另一个实施例中访问控制装置的结构框图；

图22为另一个实施例中访问控制装置的结构框图；

图23为另一个实施例中访问控制装置的结构框图；

图24为一个实施例中访问条件配置装置的结构框图；

图25为一个实施例中计算机设备的内部结构图；

图26为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

在对本申请的实施例进行描述之前，对本申请所涉及的技术进行说明，具体如下所述：

云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来，实现数据的计算、储存、处理和共享的一种托管技术，技术网络系统的后台服务需要大量的计算、存储资源，如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用，将来每个物品都有可能存在自己的识别标志，都需要传输到后台系统进行逻辑处理，不同程度级别的数据将会分开处理，各类行业数据皆需要强大的系统后盾支撑，只能通过云技术实现。

云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构和安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，并发送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

云安全主要研究方向包括：1)云计算安全，主要研究如何保障云自身及云上各种应用的安全，包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等；2)安全基础设施的云化，主要研究如何采用云计算新建与整合安全基础设施资源，优化安全防护机制，包括通过云计算技术构建超大规模安全事件、信息采集与处理平台，实现对海量信息的采集与关联分析，提升全网安全事件把控能力及风险控制能力；3)云安全服务，主要研究各种基于云计算平台为用户提供的安全服务，如防病毒服务等。

本申请提供的访问控制方法和访问条件配置方法，可以应用于如图1所示的应用环境中。在该应用环境中，包括终端102、安全服务器104、接入网关106和业务服务器108。其中，终端102、安全服务器104、接入网关106和业务服务器108之间可以通过网络进行连接。

该终端102上安装了安全客户端(如iOA客户端)、与该安全客户端对应的访问代理(proxy)以及其它用来访问企业内网的业务资源的目标应用，如浏览器；该终端102可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱和智能手表等；此外，还可以是智能语音交互设备、智能家电和车载终端等，但并不局限于此。

该安全服务器104为安装了安全服务端(如iOA服务端)的服务器，可用于对终端102对企业内网中业务资源的访问进行动态管控。

接入网关106可以部署在企业内网的入口，用来对来自于终端102的网络访问请求进行验证、授权和转发。

业务服务器108是企业内网中的服务器，用于承载企业的业务资源，该业务资源可以是企业办公软件、企业云和企业数据等。

上述访问控制方法，可以由终端102中的安全客户端和安全服务器中的安全服务端执行，具体如下：

终端102中的安全客户端，接收目标应用发送的用于请求对业务资源进行访问的网络访问请求；基于网络访问请求中的应用标识和访问方账户信息，确定访问方符合业务资源的静态访问条件；获取访问方的属性信息和访问时间；向安全服务端发送携带属性信息和访问时间的第一鉴权请求；安全服务器104中的安全服务端查找与静态访问条件关联的动态访问条件，并在确定属性信息和访问时间符合动态访问条件时，返回鉴权结果；终端102中的安全客户端当接收到安全服务端返回的鉴权结果时，基于鉴权结果对网络访问请求进行访问控制。

需要指出的是，安全服务器104和业务服务器108分别可以是独立的物理服务器，也可以是区块链系统中的服务节点，该区块链系统中的各服务节点之间形成组成点对点(P2P，Peer To Peer)网络，P2P协议是一个运行在传输控制协议(TCP，TransmissionControl Protocol)协议之上的应用层协议。此外，服务器104还可以是多个物理服务器构成的服务器集群，可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network，CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。

在一个实施例中，如图2所示，提供了一种访问控制方法，以该方法应用于图1的终端102中的安全客户端为例进行说明，包括以下步骤：

S202，接收访问代理发送的第一鉴权请求。

其中，第一鉴权请求，是访问代理在接收到目标应用发起的对业务资源进行访问的网络访问请求时生成的，用于请求进行静态访问权限的验证。访问代理可以是部署于终端上的用于发起安全访问的终端代理，是与安全客户端搭配的代理应用或插件，通过TUN/TAP虚拟网卡截取目标应用发送的网络访问请求，在确定访问方的权限后，与业务资源的接入网关建立加密的访问连接。此外，访问代理还可以截取其它应用发送的网络请求。接入网关可以指企业内网的智能网关，访问企业内网中业务资源的网络访问请求，通常先转发到接入网关，然后由接入网关进行验证、转发或禁止转发。

该目标应用可以是安装于终端上的应用程序，用于访问企业内网中业务资源，如安装于终端上的浏览器或远程应用。该远程应用可以是Telnet(远程终端协议)应用和SFTP(文件传输协议)应用等。业务资源可以是企业办公软件、企业云和企业数据等。

在一个实施例中，当目标应用向企业内网的业务服务器发送用于请求对业务资源进行访问的网络访问请求时，访问代理截取该网络访问请求，如访问代理通过虚拟网卡截取目标应用发起的网络访问请求，然后生成第一鉴权请求，并将该第一鉴权请求发送至安全客户端，从而安全客户端获得访问代理发送的第一鉴权请求。

例如，如图3a所示，若应用1为浏览器，用户通过该浏览器发起网络访问请求，以访问企业内网中的业务服务器A上的企业数据，此时访问代理截取浏览器发起的网络访问请求，然后从该网络访问请求中读取目标应用的应用标识和访问方账户信息，基于该应用标识和访问方账户信息生成第一鉴权请求，将该第一鉴权请求发送至安全客户端。此外，访问代理也可以截取应用2、应用3和应用4发送的网络访问请求。

在一个实施例中，S202之前，通过扫描登录方式或账号登录方式登录安全客户端，在完成安全客户端的登录之后，可以开启业务资源的安全访问。例如，如图3b所示，访问方可以扫描iOA客户端的二维码进行登录，如利用社交应用扫描iOA客户端的二维码，该社交应用的应用账户可以作为iOA客户端的账户信息，在完成登录之后，显示登录结果，如图3c所示。

S204，基于第一鉴权请求中的应用标识和访问方账户信息，确定访问业务资源的访问方符合静态访问条件。

其中，应用标识可以指目标应用的标识信息。访问方可以包括该企业的企业用户，以及与该企业存在业务交互、且授予相应访问权限的用户。访问方账户信息可以是访问业务资源的访问方的账户信息，包括该访问方在目标应用注册的账号和密码，或者其它标识访问方的用户信息(如身份信息)。

该静态访问条件可以指静态访问规则或静态访问策略，可以用于衡量访问方是否具有访问业务资源的静态访问权限。例如，关于授权应用的静态访问条件、关于用户基本信息的静态访问条件以及关于终端的硬件信息的静态访问条件，第一鉴权请求中的应用标识和访问方账户信息与相应静态访问条件中的应用标识和账户信息匹配，则表示访问方符合静态访问条件，说明该访问方具有访问业务资源的静态访问权限，此时可以继续进行动态访问权限的判断。不同种类的静态访问条件可以存放于对应的静态访问列表中，从而可以进行统一查看和管理，如图4所示，图4的静态访问列表是关于授权应用的静态访问策略。

该静态访问条件是指与业务资源访问相关的业务权限策略，与访问方的个体属性、所属部门、用户关联的角色及用户所属的组织架构紧密相关，包括访问方个体属性的访问规则项、该访问方所属部门的访问规则项、该访问方关联的角色(如在企业所处的级别或所担任的职务，具体如在企业中担任的主管角色)的访问规则项。具体地，该静态访问条件的内容可以包括策略名称、策略类型、描述、权限主体内容和权限的有效时段。若超出有效时段，则自动回收该静态访问条件。

其中，权限主体内容可以包括需要访问业务资源的访问方的账户信息(即访问方账户信息)和访问业务资源所采用目标应用的应用标识；此外，还可以包括访问方所使用终端(即安装了安全客户端的、并通过目标应用发起网络访问请求的硬件设备)的硬件信息，以及该访问方关联的角色、所属部门等。

例如，访问方在访问业务资源时，所采用的目标应用是否与静态访问条件中规定的应用程序匹配，该访问方的访问方账户信息是否与静态访问条件中预留的账户信息匹配，若与静态访问条件中规定的应用程序匹配、且与预留的账户信息匹配，则确定该访问方符合静态访问条件，即该访问方具有访问业务资源的静态访问权限。

在一个实施例中，安全客户端基于第一鉴权请求中的应用标识和访问方账户信息，判断访问业务资源的访问方是否符合静态访问条件；若访问方符合静态访问条件，则执行S206；若访问方不符合静态访问条件，即访问方的应用标识和访问方账户信息未命中静态访问条件，则依据预设兜底访问条件来确定禁止或放通网络访问请求。

其中，禁止网络访问请求可以指：禁止基于网络访问请求访问业务资源；放通网络访问请求可以指：基于网络访问请求直接访问业务资源，或者将该网络访问请求转发至接入网关，由该接入网关对网络访问请求进行访问控制。

因此，对于访问方不符合静态访问条件的情况，可以将上述业务资源的访问控制划分为放通直连访问、放通网关访问和阻断访问，具体访问控制的步骤如下：

方式1：放通直连访问

在一个实施例中，若访问方不符合业务资源的静态访问条件，安全客户端确定预设兜底访问条件所属的类型，当预设兜底访问条件属于放通直连访问类时，基于网络访问请求直接对企业内网中的业务资源进行访问。

具体地，当预设兜底访问条件属于放通直连访问类时，安全客户端向访问代理发送放通直连访问的访问指令，以使访问代理基于终端的物理网卡转发网络请求至企业内网中的业务服务器，不将网络访问请求转发至接入网关，如图3a所示，从而实现对业务资源的访问，如获取企业数据、使用企业云或企业办公软件。

方式2：放通网关访问

在一个实施例中，若访问方不符合业务资源的静态访问条件，安全客户端预设兜底访问条件所属的类型；当预设兜底访问条件属于放通网关访问类时，将网络访问请求发送至业务服务器的接入网关，以使接入网关对网络访问请求进行访问控制。

在一个实施例中，当预设兜底访问条件属于放通网关访问类时，安全客户端向访问代理发送放通网关访问的访问指令，以使访问代理在收到该访问指令时，向安全客户端发送票据申请请求，安全客户端在接收到票据申请请求时，向安全服务端申请访问票据，当安全服务端生成访问票据时，安全服务端一方面保存该访问票据，另一方面发送该访问票据给安全客户端，安全客户端转发该访问票据给访问代理。访问代理将该访问票据发送至接入网关，接入网关验证将接收的访问票据与存储于安全服务端内的访问票据是否相同，若相同，则接入网关与访问代理之间建立加密的网络连接。此时，访问代理将网络访问请求转发至接入网关，以便接入网关将网络访问请求转发至企业内网中的业务服务器，实现对业务资源的访问。

方式3：阻断访问

在一个实施例中，若访问方不符合业务资源的静态访问条件，安全客户端预设兜底访问条件所属的类型；当预设兜底访问条件属于阻断访问类时，禁止基于网络访问请求访问业务资源。

具体地，当预设兜底访问条件属于放通网关访问类时，安全客户端向访问代理发送放阻断访问的访问指令，以使访问代理在收到该访问指令时，停止转发该网络访问请求至接入网关，以及停止直接向企业内网中的业务服务器转发网络访问请求，并且显示终结访问的提示消息。

例如，若访问方不符合业务资源的静态访问条件，则提醒该访问方权限不足，并给出权限不足的理由和权限申请的建议文本。

S206，获取访问方的属性信息和访问时间。

其中，属性信息可以包括访问方的终端所处网络的环境状态、网络位置、历史访问该业务资源的访问频率和终端的安全级别等中的至少一种。访问时间可以是目标应用发起对业务资源进行访问的时间，如访问方在目标应用触发对业务资源进行访问的触发时间，或者是目标应用生成网络访问请求的时间。

S208，向安全服务端发送携带属性信息和访问时间的第二鉴权请求。

其中，该第二鉴权请求，用于指示安全服务端基于应用标识和访问方账户信息，判断访问方是否符合静态访问条件，若符合静态访问条件，则查找与静态访问条件关联的动态访问条件。此外，第二鉴权请求，还用于指示安全服务端在查找到与静态访问条件关联的动态访问条件时，基于属性信息和访问时间确定访问方符合动态访问条件，并当访问方符合动态访问条件时，返回鉴权结果。上述鉴权结果是表示符合动态访问条件的结果信息。

动态访问条件可以指动态访问规则或动态访问策略，可以用于衡量访问方是否具有访问业务资源的动态访问权限，查找到的动态访问条件的数量可以是一个或多个，且每个动态访问条件中可以由一个或多个小规则项组成。例如，根据第二鉴权请求中的属性信息和访问时间与动态访问条件所规定的属性信息和访问时间之间是否匹配，来衡量访问方是否具有访问业务资源的动态访问权限，该动态访问权限随着动态访问条件的调整及终端的安全状态及网络状态的变化而变化。

按照类型可以将动态访问条件分为禁止访问条件和允许访问条件。其中，禁止访问条件，表示禁止访问方访问企业的业务资源；允许访问条件，表示允许访问方访问企业的业务资源，例如允许直接将网络访问请求发送至业务资源对应的业务服务器，或者允许将网络访问请求发送至接入网关，当接入网关完成对网络访问请求的验证后，转发该网络访问请求至业务资源对应的业务服务器。

不同种类的动态访问条件可以存放于对应的动态访问列表中，从而可以进行统一查看和管理，如图5所示，图5的动态访问列表是关于授权应用的动态访问条件，企业的管理员可以查看。动态访问列表中存储了用于实现安全防护相关的动态访问条件，该动态访问条件包括安全防护规则(也即安全防护条件)、动态因素组合条件和处置动作(即管控行为)等因子。其中，安全防护规则通过一条或若干条动态的安全规则组合实现安全防护。需要指出的是，该动态访问条件具有一段时间的有效时段，该有效时段小于或等于静态访问条件。

动态因素组合条件是：通过“AND”(与操作)、“OR”(或操作)和“NOT”(取反操作)等运算关系，将终端、访问代理和接入网关上的影响网络访问的各动态因素组合而成的规则。处置动作表示在符合动态因素组合条件的情况下，对目标应用发起的网络访问请求所执行的行为，如安全警示、二次认证、放通直连访问和阻断访问等行为，实现对企业内网中业务资源的安全访问。

举例来说，针对动态因素a、b和c，预期在符合动态因素a，且符合动态因素b或动态因素c其中之一的情况下，进行二次认证，然后访问业务资源，而其他条件下阻断访问。此时，当访问方符合的动态因素组合条件是a AND(b OR c)时，对应的处置动作是二次认证；当访问方符合的动态因素组合条件是！a OR(！bAND！c)，对应的处置动作是阻断访问。

在一个实施例中，安全客户端在获取到属性信息和访问时间时，生成携带属性信息和访问时间的第二鉴权请求，然后向安全服务端发送该第二鉴权请求。本申请可以采用零信任访问控制策略，因此即时安全客户端在验证了访问方符合静态访问条件，在安全服务端依然需要验证访问方是否符合静态访问条件，具体的验证步骤如下：

安全服务器在接收到第二鉴权请求后，基于应用标识和访问方账户信息，判断访问方是否符合静态访问条件，若符合静态访问条件，则继续判断访问方是否符合动态访问条件。

上述判断访问方是否符合动态访问条件的步骤，具体可以包括：查找与静态访问条件关联的动态访问条件，然后判断属性信息和访问时间是否与该动态访问条件中的属性信息和访问时间相匹配，若匹配，则返回用于表示符合动态访问条件的鉴权结果。

当基于属性信息和访问时间确定访问方不符合动态访问条件时，安全客户端确定预设兜底访问条件的类型，若预设兜底访问条件属于放通网关访问类，可以将网络访问请求发送至业务服务器的接入网关，如安全客户端通过访问代理将网络访问请求发送至业务服务器的接入网关，以使接入网关对网络访问请求进行访问控制。若预设兜底访问条件属于阻断访问类，则禁止基于网络访问请求访问业务资源。

需要指出的是，基于属性信息和访问时间确定访问方不符合动态访问条件，指的是：访问方未命中任何一个动态访问条件，表示该访问方并不具备动态访问权限。至于该访问方是否可以访问业务资源，需要判断预设兜底访问条件是阻断访问类还是放通直连访问类，或是放通网关访问类。

例如，若终端的安全状态为中级，动态访问条件中关于安全状态的要求为高级，那么访问方不符合动态访问条件中关于安全状态的要求。又例如，若访问方的访问时间为非工作时间，而关于访问时间的要求为早上8～12点，以及下午2～6点，那么访问方不符合动态访问条件中关于访问时间的要求。

由于安全防护规则纷繁复杂，且终端、访问代理和接入网关上影响业务资源访问的动态因素随着产品运维和企业用户需求的迭代逐步增多，加上各动态因素通过与操作、或操作和取反操作等运算关系组合而成的多样性和灵活性，动态访问条件可能出现冗余、重叠或冲突的问题，在本申请中引入优先级实现对不同访问条件的优先处置，具体如下所述：

默认设置1，静态访问条件优先级高于动态访问条件，访问方在访问企业的业务资源之前，须先符合针对该业务资源的静态访问条件，若不具备，则忽略动态访问条件。或者，动态访问条件中的小规则项，若未能匹配到该访问方的任一个静态访问条件，则该动态访问条件是失效的，安全管控端可禁止管理员配置动态访问条件，并自动给出详细禁止配置的原因。

默认设置2，静态访问条件与动态访问条件存在关联关系，为降低复杂性，提高可维护性，静态访问条件与动态访问条件的对应关系为1:N(即一对多)，即多个动态访问条件对应一条静态访问条件。或者一条动态访问条件对应一条静态访问条件。

默认设置3，动态访问条件的有效期不超出静态访问条件的有效期。

与静态访问条件不同，动态访问条件的示例如图7所示，重点在于安全层面的权限控制，而非与用户个体属性或角色属性紧密相关的业务权限策略。当iOA客户端检测访问方的各访问数据(如属性信息和访问时间)命中动态访问条件时，才根据动态访问条件规定的处置动作对网络访问请求进行管控。

S210，当接收到安全服务端返回的鉴权结果时，基于鉴权结果对网络访问请求进行访问控制。

其中，进行访问控制可以包括：允许基于网络访问请求访问业务资源，或禁止基于网络访问请求访问业务资源。

在一个实施例中，安全客户端接收安全服务端响应于第二鉴权请求而返回的鉴权结果，然后基于鉴权结果对网络访问请求进行访问控制。

在一个实施例中，由于动态访问条件可以包括禁止访问条件和允许访问条件，因此S210具体可以包括：当鉴权结果是符合禁止访问条件而产生的结果时，安全客户端禁止基于网络访问请求访问业务资源；当鉴权结果是符合允许访问条件而产生的结果时，安全客户端基于网络访问请求访问业务资源。

其中，允许访问条件可以包括限制性访问条件和认证性访问条件。

具体地，当鉴权结果是符合禁止访问条件而产生的结果时，安全客户端向访问代理发送禁止访问的访问指令，以使访问代理在收到该访问指令时，停止转发该网络访问请求至接入网关，以及停止直接向企业内网中的业务服务器转发网络访问请求，并且显示终结访问的提示消息。当鉴权结果是符合允许访问条件而产生的结果时，继续确定该允许访问条件中的管控行为是二次认证，还是放通直连访问，若是二次认证，则需要对访问方进行二次认证，并在二次认证通过后，直接向企业内网中的业务服务器转发网络访问请求；若是放通直连访问，则直接向企业内网中的业务服务器转发网络访问请求。

在一个实施例中，允许访问条件为认证性访问条件，对应的管控行为为二次认证，因此对于需要二次认证的访问步骤，具体可以包括：安全客户端获取响应于认证提示消息而上传的身份信息；获取信息库中与访问方账户信息对应的预留身份信息；当身份信息与预留身份信息匹配时，基于网络访问请求对业务资源进行访问，如安全客户端指示访问代理，通过物理网卡直接将网络访问请求转发至业务资源对应的业务服务器。

在一个实施例中，对于动态访问条件为允许访问条件的情况，上述基于网络访问请求访问业务资源的步骤，具体可以包括：当允许访问条件为限制性访问条件、且访问时间未超出目标时段时，安全客户端基于网络访问请求对企业内网中的业务资源进行访问。例如，访问方在工作日访问企业内网中的业务资源时，可以访问该业务资源。

其中，该目标时段为动态访问条件的有效时段，如工作日，此外还可以具体到工作日的具体时间，如上午8～12点，以及下午14～20点。

在一个实施例中，当允许访问条件为限制性访问条件、且访问时间超出目标时段时，禁止基于网络访问请求访问业务资源。例如，访问方在非工作日访问企业内网中的业务资源时，则无法访问该业务资源，如访问方在非工作日无法访问企业的财务系统。

为了更加直观了解上述实施例的方案，这里结合图6进行描述，具体如下所述：

S602，浏览器发起网络访问请求；

S604，iOA客户端遍历静态访问条件；

S606，iOA客户端判断是否命中静态访问条件；若是，则执行S602；若否，则执行S610；若命中阻断访问子条件，则执行S608；

S608，iOA客户端提醒访问方被禁止访问业务资源；

S610，iOA客户端判断预设兜底条件是否为放通直连访问；若否，则执行S612；若是，则执行S616；

S612，iOA客户端判断预设兜底条件是否为阻断访问条件，若是，则执行S614；若否，则执行618；

S614，iOA客户端提醒访问方无业务资源的访问权限；

S616，iOA客户端指示访问代理基于网络访问请求直连访问业务资源；

S618，iOA客户端指示访问代理进行放通网关访问，即把网络访问请求转发至接入网关；

S620，iOA服务端在动态访问列表中查找是否存在与静态访问条件关联的动态访问条件；若是，则执行S622；若否，则执行S618；

其中，iOA客户端向iOA服务端发起鉴权请求，以使iOA服务端在动态访问列表中查找是否存在与静态访问条件关联的动态访问条件。

S622，iOA服务端判断是否命中动态访问条件。若否，则执行S618；若是，则执行S624；

其中，是否命中动态访问条件可以指访问方是否符合动态访问条件。

S624，iOA客户端执行二次认证、或阻断访问、或安全警示。

由于管控行为包括二次认证、阻断访问和安全警示，因此当满足相应的动态访问条件时，执行二次认证、或阻断访问、或安全警示中的一种。

上述实施例中，在目标应用访问业务资源时，会接收到访问代理基于网络访问请求生成的第一鉴权请求，依据该第一鉴权请求中的应用标识和访问方账户信息，对访问业务资源的访问方是否符合静态访问条件进行判断，从多个维度可以确定出该访问方是否具有访问权项，实现了对访问方的初始访问控制，而且还细化了访问权项的控制粒度，有利于业务资源的安全性。此外，在确定访问方符合静态访问条件时，还从其它不同维度和粒度对访问方进行二次鉴权，即获取该访问方的属性信息和访问时间，然向安全服务端发送携带属性信息和访问时间的第二鉴权请求，以使安全服务端查找与静态访问条件关联的动态访问条件，判断属性信息和访问时间是否符合动态访问条件，从而完成第二次鉴权，若符合动态访问条件，则返回鉴权结果，基于第二次鉴权验证的鉴权结果对网络访问请求进行访问控制，有效地避免了权限安全漏洞，进一步提高了业务资源的安全性。

在一个实施例中，如图8所示，S204具体可以包括：

S802，向安全服务端发送携带访问方账户信息的申请请求。

在一个实施例中，安全客户端在收到访问代理发送的第一授权请求后，生成携带访问方账户信息的申请请求，然后向安全服务端发送申请请求，以便安全服务端依据访问方账户信息获取访问方的静态访问条件。需要指出的是，对于企业中的用户(即企业用户)，管理员通常会为各企业用户配置静态访问条件，在配置时，可以单个进行配置，也可以批量进行配置，如先配置静态访问条件，然后选择匹配该静态访问条件的部门或角色。

S804，接收安全服务端响应于申请请求而返回的、且与访问方账户信息匹配的静态访问条件。

S806，获取安全服务端下发的与访问方账户信息匹配的静态访问条件。

其中，安全客户端获取静态访问条件的方式可以有两种，一种是有访问需求时，向安全服务端请求下发访问方的静态访问条件；另一种是安全服务端周期性的下发静态访问条件。

S808，基于目标应用的应用标识，确定访问方符合静态访问条件。

在一个实施例中，S808具体可以包括：在获取到访问方的静态访问条件时，安全客户端判断目标应用的应用标识是否与静态访问条件中授权应用的应用标识是否相同，若相同，标识该目标应用为授权应用，从而可以确定该访问方符合静态访问条件，因此该访问方具备访问业务资源的静态访问权限。通过本申请的验证方式，既可以确保访问业务资源的访问方是该企业中的用户(或该企业授权的其它企业的用户)，还可以保证使用可信应用访问业务资源，避免该访问方使用其它应用访问业务资源而是业务资源面临安全风险。

在一个实施例中，为了进一步确保业务资源的安全性，在进行静态访问权限的验证时，可以引入终端的硬件信息，如使用特定终端时，访问方符合静态访问条件，若使用其它终端时，访问方不符合静态访问条件。具体地，安全客户端获取目标应用所处硬件环境的硬件信息；S808具体可以包括：安全客户端基于目标应用的应用标识和硬件信息，确定访问方符合静态访问条件。

例如，当访问方在访问业务资源时，首先要确保该访问方为该企业中的用户，且确保使用的是可信应用，而且使用的终端也是特定的终端，如XX系统的手机。

在一个实施例中，静态访问条件包括允许访问子条件和禁止访问子条件。S808具体可以包括：安全客户端基于目标应用的应用标识，确定访问业务资源的访问方命中允许访问子条件，从而该访问方进行下一步动态权限验证。该方法还包括：当基于目标应用的应用标识，确定访问方命中禁止访问子条件时，安全客户端禁止基于网络访问请求访问业务资源。

其中，允许访问子条件可以是静态访问条件中的允许访问的访问规则项。禁止访问子条件可以是静态访问条件中的禁止访问的访问规则项。

在一个实施例中，当命中禁止访问子条件时，安全客户端生成被禁止访问的原因描述信息以及重新申请权限的建议文本；展示原因描述信息和建议文本。例如，若访问方不符合企业资源的静态访问条件，提醒访问方权限不足的理由和权限申请的建议。

上述实施例中，在需要进行静态访问权限的验证时，安全客户端获取服务端下发的关于该访问方的静态访问条件，或者实时请求该访问方的静态访问条件，从而可以在安全客户端侧进行静态访问权限的验证，有利于快速完成静态访问权限的验证过程。

在一个实施例中，可以通过以下方式实现权限控制可视性，具体方式如下：当目标应用为第三方应用、且被禁止访问业务资源时，安全客户端获取访问失败时记录的访问控制结果；在触发到预设事件时，以弹窗方式或邮件方式输出访问控制结果；或者，将访问控制结果存储于控制流日志；在接收到查看请求时，依据查看请求从控制流日志中读取访问控制结果，并进行显示。例如，针对第三方应用访问业务资源失败的情况，iOA客户端记录控制结果，并异步上报iOA服务端的同时，在终端缓存控制流日志，访问方可主动点击查看。或者触发到预设事件后，执行弹框提醒或邮件推送。

在一个实施例中，还可以通过以下方式实现权限控制可视性，具体方式如下：当目标应用为浏览器时，iOA客户端获取访问过程中形成的访问控制信息，通过重定向页面显示访问控制信息。其中，该访问控制信息可以包括访问控制结果和原因。例如，针对浏览器访问业务资源的情况，通过重定向页面显示访问控制结果和原因。

在一个实施例中，可以通过以下方式实现访问控制的回溯能力，具体方式如下：当鉴权结果是符合禁止访问条件而产生的结果时，安全客户端展示用于进行安全修复的修复建议文本，从而在触发动态权限条件中的处置动作(即阻断访问)，则提醒访问方按照修复建议文本进行修复。此外，当鉴权结果是符合认证性访问条件而产生的结果时，展示用于提示进行二次认证的认证提示消息，从而在触发动态条件中的二次认证访问权限，终止当前访问，并提醒访问方须进行认证，并在认证成功后才能访问。其中，不同的访问阻拦类型给予不同的提示，有利于自动化闭环解决访问连续性的问题。因此，通过上述方式可以实现访问控制的回溯能力。

在一个实施例中，如图9所示，提供了一种访问控制方法，以该方法应用于图1的安全服务器104中的安全服务端为例进行说明，包括以下步骤：

S902，在安全客户端基于访问代理发起的第一鉴权请求进行权限验证后，接收安全客户端发送的用于请求业务资源访问权限的第二鉴权请求。

其中，第一鉴权请求，是访问代理响应于目标应用发起的网络访问请求而生成的。安全客户端在接收到访问代理发起的第一鉴权请求时，基于该第一鉴权请求进行静态访问权限的验证。需要指出的是，安全客户端在完成静态访问权限的验证后，本申请采用的是零信任访问控制策略，因此安全服务端还会验证静态访问权限。

访问代理可以是部署于终端上的用于发起安全访问的终端代理，是与安全客户端搭配的代理应用或插件，通过TUN/TAP虚拟网卡截取目标应用发送的网络访问请求，在确定访问方的权限后，与业务资源的接入网关建立加密的访问连接。此外，访问代理还可以截取其它应用发送的网络请求。接入网关可以指企业内网的智能网关，访问企业内网中业务资源的网络访问请求，通常先转发到接入网关，然后由接入网关进行验证、转发或禁止转发。

在一个实施例中，当目标应用向企业内网的业务服务器发送用于请求对业务资源进行访问的网络访问请求时，访问代理截取该网络访问请求，如访问代理通过虚拟网卡截取目标应用发起的网络访问请求，然后生成第一鉴权请求，并将该第一鉴权请求发送至安全客户端，从而安全客户端获得访问代理发送的第一鉴权请求，并在基于访问代理发起的第一鉴权请求进行权限验证后，向安全服务端发送第二鉴权请求。

对于安全客户端基于访问代理发起的第一鉴权请求进行权限验证的过程，可以参考图2实施例中的S204以及附属方案。

S904，基于第二鉴权请求中的应用标识和访问方账户信息，确定访问业务资源的访问方符合静态访问条件。

其中，S904为安全服务端进行静态访问权限的验证，具体可以参考图2实施例中的S204以及附属方案。

S906，查找与静态访问条件关联的动态访问条件。

其中，动态访问条件可以指动态访问规则或动态访问策略，可以用于衡量访问方是否具有访问业务资源的动态访问权限，查找到的动态访问条件的数量可以是一个或多个，且每个动态访问条件中可以由一个或多个小的访问规则项组成。例如，根据第二鉴权请求中的属性信息和访问时间与动态访问条件所规定的属性信息和访问时间之间是否匹配，来衡量访问方是否具有访问业务资源的动态访问权限，该动态访问权限随着动态访问条件的调整及终端的安全状态及网络状态的变化而变化。

不同种类的动态访问条件可以存放于对应的动态访问列表中，从而可以进行统一查看和管理，如图5所示，图5的动态访问列表是关于授权应用的动态访问策略。动态访问列表中存储了用于实现安全防护相关的动态访问条件，该动态访问条件包括安全防护规则(也即安全防护条件)、动态因素组合条件和处置动作(即管控行为)等因子。其中，安全防护规则通过一条或若干条动态的安全规则组合实现安全防护。需要指出的是，该动态访问条件具有一段时间的有效时段，该有效时段小于或等于静态访问条件。

S908，基于第二鉴权请求中的属性信息和访问时间，确定访问方符合动态访问条件。

其中，属性信息可以包括访问方的终端所处网络的环境状态、网络位置和终端的安全级别等。访问时间可以是目标应用发起对业务资源进行访问的时间，如访问方在目标应用触发对业务资源进行访问的触发时间，或者是目标应用生成网络访问请求的时间。

在一个实施例中，S908具体可以包括：安全服务端判断第二鉴权请求中的属性信息和访问时间是否与该动态访问条件中的属性信息和访问时间相匹配，若匹配，则执行S910。

在一个实施例中，当基于属性信息和访问时间确定访问方不符合动态访问条件时，安全服务端确定预设兜底访问条件的类型，若预设兜底访问条件属于放通网关访问类，可以向安全客户端发送放通网关访问的访问指令，并通过安全客户端转发该访问指令至访问代理，以使访问代理将网络访问请求发送至业务服务器的接入网关，以使接入网关对网络访问请求进行访问控制。若预设兜底访问条件属于阻断访问类，则禁止基于网络访问请求访问业务资源。

默认设置3，动态访问条件的有效期不超出静态访问条件的有效期。

S910，向安全客户端返回鉴权结果；鉴权结果，用于指示安全客户端基于鉴权结果对目标应用发起的网络访问请求进行访问控制。

其中，进行访问控制可以包括：允许基于网络访问请求访问业务资源，或禁止基于网络访问请求访问业务资源。

上述基于鉴权结果对目标应用发起的网络访问请求进行访问控制的详细过程，可以参考图2实施例的S210以及附属方案。

上述实施例中，在目标应用访问业务资源时，访问代理会响应该目标应用发起的网络请求而生成第一鉴权请求，安全客户端基于该第一鉴权请求进行权限验证，并在完成权限验证后，本端接收安全客户端发送的用于请求业务资源访问权限的第二鉴权请求，基于第二鉴权请求中的应用标识和访问方账户信息，确定访问业务资源的访问方符合静态访问条件，本端从多个维度可以确定出该访问方是否具有访问权项，实现了对访问方的初始访问控制，而且还细化了访问权项的控制粒度，有利于业务资源的安全性。本端在确定访问方符合静态访问条件时，还从其它不同维度和粒度对访问方进行二次鉴权，即先查找与静态访问条件关联的动态访问条件，判断第二鉴权请求中的属性信息和访问时间是否符合动态访问条件，若是，则向安全客户端返回鉴权结果，以使安全客户端基于第二次鉴权验证的鉴权结果对网络访问请求进行访问控制，有效地避免了权限安全漏洞，进一步提高了业务资源的安全性。

在一个实施例中，该方法还可以包括：安全服务端定期向安全客户端发送访问方账户信息对应的静态访问条件；或，在接收到安全客户端发送携带访问方账户信息的申请请求时，向安全客户端发送访问方账户信息对应的静态访问条件。上述基于访问代理发起的第一鉴权请求进行权限验证的步骤，具体可以包括：安全客户端在访问代理发起的第一鉴权请求中，提取应用标识和访问方账户信息；基于应用标识和访问方账户信息，确定访问方符合静态访问条件。

在一个实施例中，安全服务端还可以定期从威胁情报云检查服务安知，或请求tav定期发起文件送检，若识别出恶意进程(如具有木马的异常应用)，则通知安全客户端执行阻断操作。

上述实施例中，在需要进行静态访问权限的验证时，安全客户端获取服务端下发的关于该访问方的静态访问条件，或者实时请求该访问方的静态访问条件，从而可以在安全客户端侧进行静态访问权限的验证，有利于快速完成静态访问权限的验证过程。此外，在发送第二鉴权请求之前，安全客户端基于第一鉴权请求对静态访问权限进行验证，从而在安全客户端侧完成静态访问权限的验证，避免在零信任安全访问策略中，安全客户端因未对静态访问权限进行验证而导致安全访问控制出现错乱，如访问方不符合静态访问条件而未进行静态访问权限的验证时，导致进入动态访问权限的验证，而实际上应该是依据预设兜底访问策略对网络访问请求进行访问控制，从而避免了安全访问控制出现错乱的问题。

在一个实施例中，S906具体可以包括：在动态访问条件池中，查找与静态访问条件关联的候选动态访问条件；从候选动态访问条件中，依据优先级选取目标的动态访问条件；其中，动态访问条件池中的各动态访问条件对应不同的优先级。

在一个实施例中，安全服务端可以对动态访问条件池中的各动态访问条件进行优先级调整，具体调整方式如下：安全服务端在接收到优先级调整指令时，基于优先级调整指令对述动态访问条件池中动态访问条件的优先级进行调整；或者，依据各动态访问条件的限定范围、是否属于精准匹配条件以及对应的管控行为，对述动态访问条件池中的动态访问条件进行优先级调整。

(1)在对动态访问条件池中的动态访问条件进行优先级调整之前，安全服务端还可以周期性遍历动态访问条件以及关联的静态访问条件，识别出存在冲突、覆盖或重叠关系的动态规则项，并形成层级视图进行展示，以提示提醒管理员进行调整，并给出建议操作。

(2)若管理员未进行调整，在开启自动调整优先级开关的条件下，安全服务端在检测到动态因素组合条件相同的情况下，自动将精准匹配条件的优先级调整为高于模糊匹配条件的优先级。例如，精准域名“www.oa.com”的优先级高于模糊域名“*.oa.com”，目的在于动态因素组合条件相同的情况下，精准匹配条件优先于模糊匹配条件执行，避免精准匹配条件被模糊匹配条件覆盖。若模糊匹配条件优先于精准匹配条件执行，那么精准匹配条件将被覆盖而导致对访问进行误管控的问题，举例来说，假设精准匹配条件“www.oa.com”对应的处置动作为放通网关访问，而模糊匹配条件“*.oa.com”对应的处置动作为阻断访问，访问方对网址为www.oa.com的OA系统进行访问，若优先使用模糊匹配条件进行匹配，那么该访问则被阻断，而实际上该OA系统可以作为特例被访问，从而导致访问出现误管控的问题。

(3)将动态因素组合条件形成的限定范围小的动态访问条件，其优先级高于范围大的动态访问条件。

(4)针对动态因素组合条件相同的动态访问条件，处置动作越紧急，优先级越高。例如“阻断访问”将高于“认证访问”。

(5)针对存在完全覆盖的动态访问条件，则将被覆盖的一方置为失效。

(6)针对剩余的存在冲突、覆盖或重叠关系的动态访问条件，通过自动分析处置动作、资源涵盖范围以及动态因素组合条件，自动计算出重叠或冲突的具体场景并进行显示，有利于管理员分析和手动调整处理。

在一个实施例中，若静态访问条件为短期访问条件，获取静态访问条件的有效时段；若当前时间超出有效时段，对静态访问条件进行回收；以及对静态访问条件关联的动态访问条件进行回收。

针对特权访问和临时访问的场景，根据实际情况配置短期静态权限，为静态访问条件和对应的动态访问条件设置有效时段，一旦过期，iOA服务端自动回收静态访问条件和对应的动态访问条件，从而实现对静态访问权限和对应的动态访问权限的回收，避免权限膨胀。由于多条动态访问条件唯一关联一条静态访问条件，且实现相同安全访问规则下的动态访问条件的优先级和有效时段一致，因此自动回收权限不会影响其他权限，而且能避免因未能及时清除临时访问或特权访问的访问条件引入而带来安全漏洞。

作为一个示例，结合企业业务系统登录的应用场景对上述方法进行进一步描述。安全客户端包括访问控制器，安全服务端包括零信任访问控制引擎，而零信任访问控制引擎由小票服务、规则服务、策略服务和数据归并服务，如图10所示，在进行权限验证和访问管控过程中，可通过访问控制器、小票服务、规则服务、策略服务和数据归并服务联合执行，具体如下：

(一)功能介绍

小票服务，负责发起关于网络访问请求的票据的申请请求；

规则服务，负责校验目标应用的网络访问请求是否符合动态访问条件；

策略服务，负责生成静态访问条件，并同步至终端；

数据归并服务，负责接收终端上报环境状态、安全级别和网络位置等动态因素，并自动统计分析，提供给规则服务作为判定依据。

(二)权限验证和访问管控

(1)iOA客户端的静态访问权限验证

当企业用户通过浏览器访问企业的业务系统，此时该浏览器会生成访问业务系统的网络访问请求，访问代理截取到该网络访问请求，并生成一条鉴权请求发送给iOA客户端，iOA客户端在接收到访问代理发送的鉴权请求时，可以查找该企业用户的静态访问条件，该静态访问条件可以是每次登录时向iOA服务端的策略服务申请的，如图10中所述的向策略服务发送iOA登录账号信息，策略服务返回该企业用户的静态访问条件，或者在需要进行静态访问权限的验证时，向策略服务申请获取该企业用户的静态访问条件，或者策略服务定期向iOA客户端发送该企业用户的静态访问条件。

iOA客户端在查找该企业用户的静态访问条件时，通过访问控制器判断企业用户是否具备静态访问权限，即判断企业用户的账户信息、终端的硬件信息和所采用浏览器的应用标识是否与静态访问条件中的信息匹配，若匹配，则确定企业用户具备静态访问权限。

(2)iOA服务端的静态访问权限验证

由于本实施例采用零信任访问控制策略，iOA服务端在进行动态访问权限验证之前，还会进行静态访问权限的验证，即iOA客户端通过访问控制器向iOA服务端的小票服务发起鉴权请求，小票服务获取静态访问条件，规则服务判断企业用户是否符合静态访问条件，即判断企业用户是否具备静态访问权限，得到静态访问权限的验证结果，判断的过程可参考上述(1)中的静态访问权限验证过程。

(3)iOA服务端的动态访问权限验证

在完成静态访问权限的验证之后，数据归并服务判断企业用户是否符合动态访问条件，即判断企业用户是否匹配动态访问条件规定的授权应用、动态因素和环境状态等，得到动态访问权限的验证结果，最后通过小票服务生成鉴权结果，然后返回鉴权结果给访问控制器。

(4)访问企业的业务系统

将网络访问请求转发至接入网络，然后由接入网关代理访问；或者阻断访问，即禁止基于网络访问请求访问业务系统，或者进行二次验证，在完成验证后访问业务系统；或者，基于兜底访问条件执行相关访问。

例如，当访问代理接收到浏览器发起的网络访问请求后，向iOA客户端的访问控制器发起鉴权请求，根据静态访问条件(由服务端推送或周期性下发至终端)对网络访问请求进行过滤，得到过滤结果；如果未能匹配到静态访问条件中的访问规则项，则基于兜底访问条件执行相关访问；如果匹配到静态访问条件中的禁止访问项，访问代理中止浏览器发起的访问，并提醒企业用户终止的原因；如果匹配到静态访问条件中的允许访问项，则终端根据安全状态、环境状态和访问时间等动态因素尝试命中动态访问条件，如果命中动态访问条件，则根据命中的动态访问条件对应的处置动作进行访问管控，例如由IOA客户端和访问代理共同对企业用户的访问执行包括二次认证和阻断访问等在内的处置动作。

在兜底访问条件是放通网关访问的情况下，当访问代理接收到浏览器发起的网络访问请求后，向iOA客户端的访问控制器发起鉴权请求，根据静态访问条件(由服务端推送或周期性下发至终端)对网络访问请求进行过滤，如果未能匹配到静态访问条件中的访问规则项，则基于兜底访问条件执行放通网关访问，由接入网关执行统一的访问控制；如果匹配到静态访问条件中的禁止访问规则项，访问代理中止本次的访问，并提醒用户终止会话的原因。

需要说明的是，本申请所涉及的用户信息(包括但不限于应用标识、访问方账户信息、访问方的属性信息和访问时间等)和业务资源，均为经用户授权或者经过各方充分授权的信息和数据，且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。

在一个实施例中，如图11所示，提供了一种访问条件配置方法，以该方法应用于图1的终端102中的安全管控端为例进行说明，该安全管控端用于对安全服务端进行访问参数配置；该方法包括以下步骤：

S1102，展示安全管控端的配置管理页面。

其中，安全管控端可以指安全管理平台(iOA管理平台)。配置管理页面可以作为进入静态访问条件的入口页面，还可以用于展示静态访问条件，如图12所示。

S1104，响应于在配置管理页面触发的第一配置操作，进入安全管控端的用于配置静态访问条件的第一策略配置页面。

其中，第一策略配置页面可以是用于配置授权的企业用户和业务资源的页面，即把该企业用户配置为可以访问业务资源的访问方，如图13所示。

S1106，在第一策略配置页面中，选取访问方和访问方具备静态访问权限的业务资源，以基于访问方和业务资源生成静态访问条件。

其中，这里的业务资源可以是企业办公软件、企业云和企业数据等。访问方可以指允许访问业务资源的企业用户。

在一个实施例中，安全管控端可以在第一策略配置页面中显示企业用户群组，然后在企业用户群组中选择一个或多个企业用户作为匹配静态访问条件的访问方，或者选中特定的企业用户群组，从而将该特定的企业用户群组中的所有企业用户作为匹配静态访问条件的访问方。

此外，第一策略配置页面包括应用添加区域，在该应用添加区域可以添加需要访问的业务资源，该业务资源可以是企业的应用(如办公软件)。

S1108，显示安全管控端的第二策略配置页面。

其中，第二策略配置页面可以是用于配置与静态访问条件关联的动态访问条件，如图14所示。

在一个实施例中，在选取访问方以及完成其它配置参数(如图13中的是否启用以及有效期等)后，响应于页面切换操作，进入安全管控端的第二策略配置页面。

S1110，响应于在第二策略配置页面触发的组合操作，在第二策略配置页面展示配置于安全服务端的、且与静态访问条件关联的动态访问条件。

其中，动态访问条件可以指动态访问规则或动态访问策略，可以用于衡量访问方是否具有访问业务资源的动态访问权限，与静态访问条件管理的动态访问条件的数量可以是一个或多个，且每个动态访问条件中可以由一个或多个小规则项组成。例如，根据第二鉴权请求中的属性信息和访问时间与动态访问条件所规定的属性信息和访问时间之间是否匹配，来衡量访问方是否具有访问业务资源的动态访问权限，该动态访问权限随着动态访问条件的调整及终端的安全状态及网络状态的变化而变化。

上述配置的静态访问条件和动态访问条件，用于在企业用户访问业务资源时进行访问权限的验证，具体地验证过程可参考图2、图6、图8、图9和图11的实施例。

此外，通过安全管控端(即iOA管理平台)可以新增目录，以导入用户源，如图15所示；而且还可以在iOA管理平台新建角色，将同一类用户归为一种角色以方便管理，如图15所示。可以在iOA管理平台新建角色，将同一类用户归为一种角色以方便管理，如图16所示。以及，在新增企业用户或编辑已有企业用户时，可以和已有角色关联，如图17所示。此外，还可在角色管理页面调整角色，如图18所示。而且，可以查看具体企业用户的静态访问条件，如图9所示。

上述实施例中，通过第一策略配置页面配置静态访问条件，从而访问方用对业务资源访问时，确定该访问方可以符合访问权限有利于实现对访问方的初始访问控制，还细化了访问权项的控制粒度，有利于业务资源的安全性。此外，在完成静态访问条件的配置后，还通过第二策略配置页面对安全服务端的动态访问条件进行配置，以便在访问业务资源的过程中，还利用动态访问条件来对访问方进行权限验证，实现了利用静态访问条件和关联的动态访问条件联合对网络访问请求进行访问控制，有效地避免了权限安全漏洞，进一步提高了业务资源的安全性。

应该理解的是，虽然图2、图6、图8、图9和图11的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2、图6、图8、图9和图11中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

在一个实施例中，如图20所示，提供了一种访问控制装置，该装置可以采用软件模块或硬件模块，或者是二者的结合成为计算机设备的一部分，该装置具体包括：接收模块2002、确定模块2004、获取模块2006、发送模块2008和控制模块2010，其中：

接收模块2002，用于接收访问代理发送的第一鉴权请求；第一鉴权请求，是访问代理在接收到目标应用发起的对业务资源进行访问的网络访问请求时生成的，用于请求进行静态访问权限的验证；

确定模块2004，用于基于第一鉴权请求中的应用标识和访问方账户信息，确定访问业务资源的访问方符合静态访问条件；

获取模块2006，用于获取访问方的属性信息和访问时间；

发送模块2008，用于向安全服务端发送携带属性信息和访问时间的第二鉴权请求；第二鉴权请求，用于指示安全服务端查找与静态访问条件关联的动态访问条件，并当基于属性信息和访问时间确定访问方符合动态访问条件时，返回鉴权结果；

控制模块2010，用于当接收到安全服务端返回的鉴权结果时，基于鉴权结果对网络访问请求进行访问控制。

在一个实施例中，确定模块2004，还用于向安全服务端发送携带访问方账户信息的申请请求；接收安全服务端响应于申请请求而返回的、且与访问方账户信息匹配的静态访问条件；或者，获取安全服务端下发的与访问方账户信息匹配的静态访问条件；基于目标应用的应用标识，确定访问方符合静态访问条件。

在一个实施例中，静态访问条件包括允许访问子条件和禁止访问子条件；

确定模块2004，还用于基于目标应用的应用标识，确定访问业务资源的访问方命中允许访问子条件；当基于目标应用的应用标识，确定访问方命中禁止访问子条件时，则禁止基于网络访问请求访问业务资源。

在一个实施例中，如图21所示，该装置还可以包括：

生成模块2012，用于当命中禁止访问子条件时，生成被禁止访问的原因描述信息以及重新申请权限的建议文本；

第一展示模块2014，用于展示原因描述信息和建议文本。

在一个实施例中，获取模块2006，还用于获取目标应用所处硬件环境的硬件信息；

确定模块2004，还用于基于目标应用的应用标识和硬件信息，确定访问方符合静态访问条件。

在一个实施例中，第一鉴权请求还携带应用标识和访问方账户信息；

第二鉴权请求，还用于指示安全服务端基于应用标识和访问方账户信息，判断访问方是否符合静态访问条件，若符合静态访问条件，执行查找与静态访问条件关联的动态访问条件的步骤。

在一个实施例中，动态访问条件包括禁止访问条件和允许访问条件；

控制模块2010，还用于当鉴权结果是符合禁止访问条件而产生的结果时，禁止基于网络访问请求访问业务资源；当鉴权结果是符合允许访问条件而产生的结果时，基于网络访问请求访问业务资源。

在一个实施例中，允许访问条件包括认证性访问条件；如图21所示，该装置还包括：

第二展示模块2016，用于当鉴权结果是符合禁止访问条件而产生的结果时，展示用于进行安全修复的修复建议文本；当鉴权结果是符合认证性访问条件而产生的结果时，展示用于提示进行二次认证的认证提示消息。

在一个实施例中，控制模块2010，还用于获取响应于认证提示消息而上传的身份信息；获取信息库中与访问方账户信息对应的预留身份信息；当身份信息与预留身份信息匹配时，基于网络访问请求对业务资源进行访问。

在一个实施例中，控制模块2010，还用于当允许访问条件为限制性访问条件、且访问时间未超出目标时段时，基于网络访问请求对企业内网中的业务资源进行访问；当允许访问条件为限制性访问条件、且访问时间超出目标时段时，禁止基于网络访问请求访问业务资源。

在一个实施例中，控制模块2010，还用于当基于属性信息和访问时间确定访问方不符合动态访问条件时，则将网络访问请求发送至业务服务器的接入网关，以使接入网关对网络访问请求进行访问控制。

在一个实施例中，确定模块2004，还用于基于网络访问请求中的应用标识和访问方账户信息，确定访问方不符合业务资源的静态访问条件；

控制模块2010，还用于当预设兜底访问条件属于放通直连访问类时，基于网络访问请求直接对企业内网中的业务资源进行访问；当预设兜底访问条件属于放通网关访问类时，将网络访问请求发送至业务服务器的接入网关，以使接入网关对网络访问请求进行访问控制；当预设兜底访问条件属于阻断访问类时，禁止基于网络访问请求访问业务资源。

在一个实施例中，如图21所示，该装置还包括：

获取模块2006，还用于当目标应用为第三方应用、且被禁止访问业务资源时，获取访问失败时记录的访问控制结果；

输出模块2018，用于在触发到预设事件时，以弹窗方式或邮件方式输出访问控制结果；将访问控制结果存储于控制流日志；在接收到查看请求时，依据查看请求从控制流日志中读取访问控制结果，并进行显示；当目标应用为浏览器时，获取访问过程中形成的访问控制信息，通过重定向页面显示访问控制信息。

在一个实施例中，如图22所示，提供了一种访问控制装置，该装置可以采用软件模块或硬件模块，或者是二者的结合成为计算机设备的一部分，该装置具体包括：接收模块2202、确定模块2204、查找模块2206和返回模块2208，其中：

接收模块2202，用于在安全客户端基于访问代理发起的第一鉴权请求进行权限验证后，接收安全客户端发送的用于请求业务资源访问权限的第二鉴权请求；第一鉴权请求，是访问代理响应于目标应用发起的网络访问请求而生成的；

确定模块2204，用于基于第二鉴权请求中的应用标识和访问方账户信息，确定访问业务资源的访问方符合静态访问条件；

查找模块2206，用于查找与静态访问条件关联的动态访问条件；

确定模块2204，还用于基于第二鉴权请求中的属性信息和访问时间，确定访问方符合动态访问条件；

返回模块2208，用于向安全客户端返回鉴权结果；鉴权结果，用于指示安全客户端基于鉴权结果对目标应用发起的网络访问请求进行访问控制。

在一个实施例中，如图23所示，该装置还包括：

发送模块2210，用于定期向安全客户端发送访问方账户信息对应的静态访问条件；在接收到安全客户端发送携带访问方账户信息的申请请求时，向安全客户端发送访问方账户信息对应的静态访问条件；安全客户端，用于在访问代理发起的第一鉴权请求中，提取应用标识和访问方账户信息；基于应用标识和访问方账户信息，确定访问方符合静态访问条件。

在一个实施例中，查找模块2206，还用于在动态访问条件池中，查找与静态访问条件关联的候选动态访问条件；从候选动态访问条件中，依据优先级选取目标的动态访问条件；其中，动态访问条件池中的各动态访问条件对应不同的优先级。

在一个实施例中，如图23所示，该装置还包括：

调整模块2212，用于在接收到优先级调整指令时，基于优先级调整指令对述动态访问条件池中动态访问条件的优先级进行调整；依据各动态访问条件的限定范围、是否属于精准匹配条件以及对应的管控行为，对述动态访问条件池中的动态访问条件进行优先级调整。

在一个实施例中，如图23所示，该装置还包括：

获取模块2214，用于若静态访问条件为短期访问条件，获取静态访问条件的有效时段；

回收模块2216，用于若当前时间超出有效时段，对静态访问条件进行回收；以及对静态访问条件关联的动态访问条件进行回收。

在一个实施例中，如图24所示，提供了一种访问条件配置装置，该装置可以采用软件模块或硬件模块，或者是二者的结合成为计算机设备的一部分，该装置具体包括：第一展示模块2402、第一显示模块2404、选中模块2406、第二显示模块2408和第二展示模块2410，其中：

第一展示模块2402，用于展示安全管控端的配置管理页面；

第一显示模块2404，用于响应于在配置管理页面触发的第一配置操作，进入安全管控端的用于配置静态访问条件的第一策略配置页面；

选中模块2406，用于在第一策略配置页面中，选取访问方和访问方具备静态访问权限的业务资源，以基于访问方和业务资源生成静态访问条件；

第二显示模块2408，用于显示安全管控端的第二策略配置页面；

第二展示模块2410，用于响应于在第二策略配置页面触发的组合操作，在第二策略配置页面展示配置于安全服务端的、且与静态访问条件关联的动态访问条件。

关于访问控制装置和访问条件配置装置的具体限定可以参见上文中对于访问控制方法和访问条件配置方法的限定，在此不再赘述。上述访问控制装置和访问条件配置装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图25所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种访问控制或访问条件配置方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是安全服务器，该安全服务器部署了安全服务端(iOA服务端)，该计算机设备的内部结构图可以如图26所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储业务资源数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种访问控制方法。

本领域技术人员可以理解，图25和图26中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，还提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述各方法实施例中的步骤。

在一个实施例中，提供了一种计算机可读存储介质，存储有计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。

在一个实施例中，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各方法实施例中的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory，ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器(Static Random Access Memory，SRAM)或动态随机存取存储器(Dynamic Random Access Memory，DRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
专利发明人：
专利申请人：腾讯科技(深圳)有限公司;

上一篇：用于组织和共享目的地位置的界面
下一篇：内容确定方法、装置、计算机可读存储介质及计算机设备