访问控制策略的制定方法、装置及系统与流程

本发明涉及网络技术领域，特别涉及一种访问控制策略的制定方法、装置及系统。

背景技术：

访问控制策略是指资源服务器中预先存储的，用于限制终端对该资源服务器中的资源进行访问时所依据的策略，该访问控制策略可以保证资源服务器的资源只能被指定的终端所获取，以确保访问的安全性。

相关技术中，控制终端(即云计算租户，或资源服务器的安全管理员)可以在资源服务器中注册用户账号，以租用该资源服务器的资源。在制定针对该用户账号的访问控制策略时，资源服务器可以根据控制终端所选定的互联网协议(英文：Internet Protocol；简称：IP)网段进行制定，即资源服务器中可以在该访问控制策略中存储该用户账号与该选定的IP网段的对应关系，并根据该访问控制策略中存储的对应关系，对访问该资源服务器的终端进行验证。

但是，在根据IP网段制定访问控制策略时，控制终端需要先获取各个接入终端所在地的IP网段，然后再将该获取到的各个IP网段上报至资源服务器，在该访问控制策略的制定过程中，控制终端的操作较为复杂。

技术实现要素：

为了解决相关技术中访问控制策略的制定过程中控制终端操作较为复杂的问题，本发明提供了一种访问控制策略的制定方法、装置及系统。所述技术方案如下：

第一方面，提供了一种访问控制策略的制定方法，该方法可以应用于资源服务器，该方法包括：接收控制终端发送的针对目标账号的策略制定请求；根据该策略制定请求，向该控制终端提供可选的地理区域；接收该控制终端在该可选的地理区域中所选定的安全地理区域；制定访问控制策略，该访问控制策 略中记录有该目标账号与该安全地理区域的对应关系。

本发明提供的访问控制策略的制定方法中，资源服务器可以向控制终端提供可选的地理区域，因此控制终端可以直接根据各个接入终端所在地的地理位置，在该可选的地理区域内选定安全地理区域，而无需再确定IP网段，该访问控制策略的制定过程中，控制终端的操作较为简单，访问控制策略的制定效率较高。并且相对于抽象的IP网段，地理位置的选定更为直观。

可选的，在该接收控制终端发送的针对目标账号的策略制定请求之后，该方法还可以包括：接收该控制终端发送的验证终端的标识以及安全距离范围，并在该访问控制策略中记录该目标账号、该验证终端的标识以及该安全距离范围的对应关系。因此该资源服务器还可以根据该验证终端的标识以及该安全距离范围对接入终端进行验证，进一步提高了验证的灵活性和安全性。

可选的，资源服务器向该控制终端提供可选的地理区域具体可以包括：从定位服务器中获取可选的地理区域的地图；向该控制终端发送该可选的地理区域的地图，以便该控制终端在显示屏上显示该地图，并在该地图上选定安全地理区域。由于地图显示较为直观，可以提高控制终端选定安全地理区域的效率，从而提高了该访问控制策略的制定效率。

可选的，在该制定访问控制策略之后，该方法还可以包括：当接收到接入终端发送的针对该目标账号的访问请求时，向定位服务器发送定位请求，该定位请求中携带有该接入终端的标识；接收该定位服务器发送的该接入终端的地理位置，该地理位置是由该定位服务器根据该接入终端的标识对该接入终端进行定位后获取的；根据该访问控制策略，判断该接入终端的地理位置是否满足安全访问条件；当该接入终端的地理位置满足安全访问条件时，允许该接入终端访问该资源服务器。

可选的，该安全访问条件可以包括：该接入终端的地理位置位于该安全地理区域内。

可选的，该定位请求中还携带有该目标账号所对应的验证终端的标识，在该向定位服务器发送定位请求之后，该方法还包括：接收该定位服务器发送的该验证终端的地理位置；该安全访问条件还包括：该接入终端的地理位置与该验证终端的地理位置之间的距离位于该安全距离范围内。根据该验证终端与接入终端之间的地理位置进行进一步验证，提高了验证的安全性。

可选的，该资源服务器中预先存储有该目标账号与该目标密钥的对应关系，当该接入终端的地理位置满足安全访问条件时，允许该接入终端访问该资源服务器具体可以包括：当该接入终端的地理位置满足安全访问条件时，向该接入终端发送第一验证请求，该第一验证请求用于请求该接入终端提供密钥信息；接收该接入终端发送的密钥信息；当该密钥信息与该目标密钥相同时，允许该接入终端访问该资源服务器。

可选的，在判断该接入终端的地理位置是否满足安全访问条件之后，该方法还包括：当该接入终端的地理位置不满足安全访问条件时，生成目标验证信息；向该接入终端发送第二验证请求，该第二验证请求用于请求该接入终端提供验证信息；接收该接入终端发送的验证信息；当该验证信息与该目标验证信息相同时，允许该接入终端访问该资源服务器。

当该接入终端的地理位置满足安全访问条件时，接入终端只需要通过简单的密钥验证，即可对该资源服务器进行访问；当该接入终端的地理位置不满足安全访问条件时，该接入终端还需要通过复杂度较高的验证码验证才能对该资源服务器进行访问。也即是，该资源服务器可以根据接入终端的地理位置灵活调整访问控制策略，该访问控制的过程较为灵活。

第二方面，本发明提供了一种访问控制策略的制定方法，应用于控制终端，所述方法可以包括：

向资源服务器发送针对目标账号的策略制定请求；接收该资源服务器提供的可选的地理区域；在该可选的地理区域中选定安全地理区域；向该资源服务器发送该选定的安全地理区域，以便该资源服务器根据该安全地理区域制定访问控制策略。

可选的，在向资源服务器发送针对目标账号的策略制定请求之后，该方法还可以包括：向资源服务器发送验证终端的标识以及安全距离范围，以便该资源服务器将该目标账号、该验证终端的标识以及该安全距离范围的对应关系记录在该访问控制策略中。

可选的，该资源服务器提供的可选的地理区域是该资源服务器从定位服务器中获取可选的地理区域的地图；控制终端可以在显示屏上显示该地图，并在该地图上选定该安全地理区域。

第三方面，本发明提供了一种访问控制策略的制定装置，该装置可以应用于资源服务器中，该访问控制策略的制定装置包括至少一个模块，该至少一个模块用于实现上述第一方面所提供的访问控制策略的制定方法。

第四方面，本发明提供了一种访问控制策略的制定装置，该装置可以应用于控制终端中，该访问控制策略的制定装置包括至少一个模块，该至少一个模块用于实现上述第二方面所提供的访问控制策略的制定方法。

第五方面，提供了另一种访问控制策略的制定装置，该装置可以包括：处理器，存储器和总线；该总线用于连接该处理器和该存储器，该处理器用于执行该存储器中存储的程序，该程序可以包括第一方面所提供的访问控制策略的制定方法。

第六方面，提供了另一种访问控制策略的制定装置，该装置可以包括：处理器，存储器和总线；该总线用于连接该处理器和该存储器，该处理器用于执行该存储器中存储的程序，该程序可以包括第二方面所提供的访问控制策略的制定方法。

第七方面，提供了一种计算机存储介质，用于储存为上述访问控制策略的制定装置所用的计算机软件指令，其包含用于执行第五方面为访问控制策略的制定装置所设计的程序。

第八方面，提供了一种计算机存储介质，用于储存为上述访问控制策略的制定装置所用的计算机软件指令，其包含用于执行第六方面为访问控制策略的制定装置所设计的程序。

第九方面，提供了一种访问控制策略的制定系统，该系统可以包括：资源服务器、控制终端和定位服务器；其中，该资源服务器可以包括如第三方面或第五方面所述的访问控制策略的制定装置；该控制终端可以包括如第四方面或 第六方面所述的访问控制策略的制定装置。

上述本发明实施例第二到第九方面所获得的技术效果与第一方面中对应的技术手段所获得的技术效果近似，在这里不再赘述。

本发明提供的技术方案带来的有益效果是：

本发明提供了一种访问控制策略的制定方法、装置及系统，在该访问控制策略的制定方法中，资源服务器可以向控制终端提供可选的地理区域，因此控制终端可以直接根据各个接入终端所在地的地理位置，在该可选的地理区域内选定安全地理区域，而无需再确定IP网段，该访问控制策略的制定过程中，控制终端的操作较为简单，访问控制策略的制定效率较高。并且相对于抽象的IP网段，地理位置的选定更为直观。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种访问控制策略的制定系统的架构图；

图2是本发明实施例提供的一种访问控制策略的制定装置的结构示意图；

图3是本发明实施例提供的另一种访问控制策略的制定装置的结构示意图；

图4是本发明实施例提供的一种访问控制策略的制定方法的流程图；

图5-1是本发明实施例提供的另一种访问控制策略的制定方法的流程图；

图5-2是本发明实施例提供的一种可选的地理区域的地图；

图6-1是本发明实施例提供的又一种访问控制策略的制定装置的结构示意图；

图6-2是本发明实施例提供的再一种访问控制策略的制定装置的结构示意图；

图7是本发明实施例提供的再一种访问控制策略的制定装置的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明 实施方式作进一步地详细描述。

图1是本发明实施例提供的一种访问控制策略的制定系统的架构图，如图1所示，该系统可以包括资源服务器10、控制终端20和定位服务器30。其中，该控制终端20可以为智能手机或者电脑等；资源服务器10和该定位服务器30中的每个服务器，可以为是一台服务器，也可以是由若干台服务器组成的服务器集群，或者是一个云计算服务中心。该资源服务器10、控制终端20和定位服务器30之间可以通过有线网络或无线网络建立连接，控制终端20可以在该资源服务器10中注册用户账号，以获取该资源服务器10的资源，该资源服务器10可以通过定位服务器30获取该控制终端20或者其他接入终端的地理位置。

请参考图2，其示出了本发明示例性实施例涉及的一种访问控制策略的制定装置的结构示意图。该装置可以应用于图1所示的资源服务器10中。如图2所示，该访问控制策略的制定装置可以包括：至少一个处理器201(例如CPU)，至少一个网络接口202或者其他通信接口，存储器203和至少一个通信总线204，该通信总线204用于实现这些装置之间的连接通信。处理器201用于执行存储器203中存储的可执行模块，例如计算机程序。存储器203可能包含高速随机存取存储器(RAM：Random Access Memory)，也可能还包括非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。通过至少一个网络接口202(可以是有线或者无线)实现该智能设备与至少一个其他网元之间的通信连接，例如可以使用互联网，广域网，本地网，城域网等。

在一些实施方式中，存储器203存储了程序2031，处理器201可以执行程序2031来实现下述图4所示的访问控制策略的制定方法或下述图5-1所示实施例中资源服务器所执行的方法。

请参考图3，其示出了本发明示例性实施例涉及的一种访问控制策略的制定装置的结构示意图。该装置可以应用于图1所示的控制终端20中。如图3所示，该访问控制策略的制定装置可以包括：至少一个处理器301(例如CPU)，至少一个网络接口302或者其他通信接口，存储器303和至少一个通信总线304，该通信总线304用于实现这些装置之间的连接通信。处理器301用于执行存储器303中存储的可执行模块，例如计算机程序。存储器303可能包含高速随机 存取存储器(RAM：Random Access Memory)，也可能还包括非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。通过至少一个网络接口302(可以是有线或者无线)实现该智能设备与至少一个其他网元之间的通信连接，例如可以使用互联网，广域网，本地网，城域网等。

在一些实施方式中，存储器303存储了程序3031，处理器301可以执行该程序3031来实现下述附图5-1所示实施例中控制终端所执行的方法。

图4是本发明实施例提供的一种访问控制策略的制定方法的流程图，该方法可以应用于如图1所示的资源服务器10中，参考图4，该方法可以包括：

步骤101、接收控制终端发送的针对目标账号的策略制定请求。

该控制终端可以在该资源服务器中注册有用户账号，以租用该资源服务器中的资源，或者使用该资源服务器提供的服务。为了保证访问的安全性，该控制终端可以向资源服务器发送针对目标账号的策略制定请求，以便该资源服务器制定针对该目标账号的访问控制策略。

步骤102、根据该策略制定请求，向该控制终端提供可选的地理区域。

资源服务器接收到该策略指定请求后，可以从定位服务器中获取可选的地理区域的地图，并将该地图提供至控制终端。

步骤103、接收该控制终端在该可选的地理区域中所选定的安全地理区域。

控制终端接收到该可选的地理区域的地图后，可以根据接入终端所在的位置，在该地图上选定一个或多个区域作为安全地理区域，并将该选定的安全地理区域发送至资源服务器。

步骤104、制定访问控制策略，该访问控制策略中记录有该目标账号与该安全地理区域的对应关系。

资源服务器接收到控制终端发送的安全地理区域后，即可根据该目标账号和该选定的安全地理区域制定访问控制策略。具体的，资源服务器可以在该访问控制策略中记录该目标账号与该安全地理区域的对应关系。当资源服务器接收到接入终端发送的针对该目标账号的访问请求时，可以获取该接入终端当前的地理位置，并根据获取到的地理位置以及该访问控制策略中记录的对应关系，对该接入终端进行验证。

综上所述，本发明提供的访问控制策略的制定方法中，资源服务器可以向 控制终端提供可选的地理区域，因此控制终端可以直接根据各个接入终端所在地的地理位置，在该可选的地理区域内选定安全地理区域，而无需再确定IP网段，该访问控制策略的制定过程中，控制终端的操作较为简单，访问控制策略的制定效率较高。并且相对于抽象的IP网段，地理位置的选定更为直观。

图5-1是本发明实施例提供的另一种访问控制策略的制定方法的流程图，该方法可以应用于如图1所示的系统中，参考图5-1，该方法包括：

步骤201、控制终端向资源服务器发送针对目标账号的策略制定请求。

在本发明实施例中，该资源服务器可以为任意一种能够提供资源的服务器，例如云服务器或者应用服务器等。当该资源服务器为云服务器时，租户可以通过控制终端在该云服务器中注册用户账号，以租用该云服务器的计算能力、存储空间和各种软件服务等资源；当该资源服务器为应用服务器时，普通用户可以通过控制终端(也即是接入终端)在该应用服务器中注册账号，以使用该应用服务器提供的功能，例如即时通讯、转账或者流媒体播放等功能。

为了保证接入终端访问资源服务器中目标账号对应的资源时的安全性，控制终端可以在注册目标账号时，向该资源服务器发送针对目标账号的策略制定请求。或者，当该控制终端需要对该目标账号的访问控制策略进行修改时，也可以随时向该资源服务器发送针对目标账号的策略制定请求。

步骤202、资源服务器从定位服务器中获取可选的地理区域的地图。

资源服务器接收到控制终端发送的针对目标账号的策略制定请求后，可以根据该策略制定请求，调用定位服务器提供的地图接口，并通过该地图接口从定位服务器中获取可选的地理区域的地图。其中，该可选的地理区域的地图可以为该资源服务器所能够服务的区域的地图。示例的，假设该资源服务器的服务区域为中国境内，则如图5-2所示，该可选的地理区域的地图可以为中国行政区示意性地图。

步骤203、资源服务器向该控制终端发送该可选的地理区域的地图。

步骤204、控制终端在显示屏上显示该地图，并在该地图上选定安全地理区域。

在本发明实施例中，控制终端接收到该可选的地理区域的地图后，为了便于租户或用户选定安全地理区域，可以在显示屏上显示该地图，然后通过接收到的租户(例如租户的安全管理员)或用户的预设操作，在该地图上选定安全 地理区域。具体的，租户可以在该地图上接入终端所在地绘制一个或多个预设形状的图形框，然后控制终端即可将该图形框所包围的区域作为安全地理区域，示例的，如图5-2所示，假设某银行租用了云服务，该银行的办事处位于北京，则该银行的安全管理员可以采用椭圆形的图形框在该地图上北京所在区域绘制一个椭圆形框01，控制终端即可将该椭圆形框01包围的区域确定为安全地理区域。或者，租户还可以直接在该地图上通过预设操作(例如双击操作)选定某个省份或者城市，然后控制终端即可将该预设操作指定的省份或者城市所在的区域确定为安全地理区域。示例的，如图5-2所示，假设该银行在广东省也有办事点，则安全管理员还可以通过双击操作点击该地图上广东省所在区域02，之后控制终端即可将该广东省所在区域02选定为安全地理区域。相对于选定抽象的IP网段，由于地图显示更为直观，控制终端直接在地图上选定安全地理区域的效率较高，不仅可以降低误配和错配的概率，还可以有效提高该访问控制策略的制定效率。

需要说明的是，在实际应用中，租户还可以通过其他方式在该控制终端显示的地图上选定安全地理区域。例如，租户可以直接在控制终端中输入多个坐标，控制终端可以将该多个坐标依次连线，并将线条包围的区域确定为安全地理区域；或者租户还可以直接在控制终端中输入省份或者城市的名称，由控制终端将该名称对应的省份或者城市所在的区域确定为安全地理区域。本发明实施例对控制终端在地图上选定安全地理区域的具体实现方式不做限定。

步骤205、控制终端向资源服务器发送所选定的安全地理区域。

控制终端通过租户或者用户选定安全地理区域后，可以将该选定的安全地理区域发送至资源服务器，以便该资源服务器根据该安全地理区域制定访问控制策略。具体的，控制终端可以直接将标记有安全地理区域的地图发送至资源服务器，例如可以将图5-2所示的地图发送至资源服务器；或者，可以将该选定的安全地理区域的各个顶点的坐标发送至资源服务器；又或者，当该安全地理区域为某个省会或者城市时，控制终端还可以直接将省会或者城市的标识(例如名称、区号或者邮编等)发送至该资源服务器。

步骤206、控制终端向资源服务器发送验证终端的标识以及安全距离范围。

在本发明实施例中，为了进一步提高访问的安全性，控制终端除了可以选定安全地理区域外，还可以向资源服务器发送验证终端的标识以及安全距离范 围，以保证当接入终端与该验证终端之间的距离处于安全距离范围内时，才能够对该资源服务器进行访问。其中，该验证终端可以租户或用户的手机，也可以为该控制终端本身。该验证终端的标识可以为手机号或者国际移动设备识别码(英文：International Mobile EquipmentIdentification Number；简称：IMEI)等。该安全距离范围可以是由租户或者用户自主设置的，且该安全距离范围可以为具体的数值范围，例如0至100米，也可以是区域范围，例如，位于同一个省份或者城市。示例的，假设该验证终端的标识为用户的手机号：134xxxx9518，该安全距离范围为大于等于0米，且小于等于50米。则控制终端可以将该手机号：134xxxx9518以及安全距离范围[0，50]发送至资源服务器。

步骤207、资源服务器制定访问控制策略。

资源服务器接收到控制终端发送的安全地理区域后，即可根据该安全地理区域制定访问控制策略，该访问控制策略中可以记录有该目标账号与该安全地理区域的对应关系。进一步的，若该资源服务器还接收到了控制终端发送的验证终端的标识以及安全距离范围，则还可以在该访问控制策略中记录该目标账号、该验证终端的标识以及该安全距离范围的对应关系。

示例的，该资源服务器根据接收到的信息所制定的访问控制策略可以如表1所示，其中目标账号1234所对应的安全地理区域为：广东省和北京市，对应的该验证终端的标识为134xxxx9518，对应的安全距离范围为0至50米。

表1

步骤208、资源服务器接收接入终端发送的针对该目标账号的访问请求。

当用户或者租户在该资源服务器中注册目标账号后，该用户或者该租户的普通业务用户即可通过接入终端，向该资源服务器发送针对目标账号的访问请求，以访问该资源服务器中的资源。示例的，当该资源服务器为云服务器时，该接入终端可以在云服务器提供的网页(英文：portal)上请求登录目标账号：1234，以访问该云服务器中该目标账号1234所租用的资源。

需要说明的是，在实际应用中，该接入终端与该控制终端可以为不同终端，也可以为同一终端。

步骤209、资源服务器根据该访问请求，向定位服务器发送定位请求。

资源服务器接收到接入终端发送的访问请求后，可以获取该接入终端的标识，并在向该定位服务器发送的定位请求中携带该接入终端的标识。其中，该接入终端的标识可以为该接入终端的IP地址或者物理地址(英文：MediaAccess Control；简称：MAC)等，或者，当该接入终端为手机时，该接入终端的标识也可以为手机号。

进一步的，若该资源服务器制定的针对该目标账号的访问控制策略中还记录该目标账号、验证终端的标识以及安全距离范围的对应关系，则该资源服务器向定位服务器发送的该定位请求中还可以携带有该目标账号所对应的验证终端的标识。

示例的，若该资源服务器中存储的访问控制策略如表1所示，则该资源服务器接收到针对目标账号1234的访问请求后，向定位服务器发送的定位请求中可以携带有接入终端的IP地址：47.153.191.255，以及该目标账号1234所对应的验证终端的标识：134xxxx0000。

步骤210、定位服务器获取该接入终端的地理位置。

定位服务器接收到定位请求后，可以根据该定位请求中携带的接入终端的标识，对该接入终端进行定位后获取该接入终端的地理位置。具体的，定位服务器获取接入终端的地理位置的方式可以包括免交互获取模式和交互获取模式两种。

其中，免交互获取模式是指定位服务器通过互联网服务提供商(英文：Internet Service Provider；简称：ISP)提供的IP地址查询接口，匹配接入终端的IP地址，从而确定该接入终端的地理位置；或者定位服务器通过移动运营商的LBS服务接口获取接入终端的地理位置(通过LBS服务接口获取地理位置需有隐私声明)。

交互式获取模式是指当定位服务器无法自动获取接入终端的IP地址或地理位置记录时，由接入终端主动上报地理位置。例如，用户可以控制接入终端主动上传该接入终端的地理位置，或者，当用户的手机与该接入终端位于同一地 点时，用户可以直接使用手机中安装的地理位置验证应用程序(英文：Application；简称：APP)获取该手机的地理位置，并将该手机的地理位置作为接入终端的地理位置进行上传。

上述定位服务器获取接入终端的地理位置的具体实现过程和原理可以参考相关技术，本发明实施例对此不做赘述。

步骤211、定位服务器获取该验证终端的地理位置。

若上述步骤209中，控制终端发送的定位请求中还携带有验证终端的标识，则该定位服务器还可以根据该验证终端的标识，获取该验证终端的地理位置。该获取验证终端的地理位置的具体过程可以参考上述步骤210，本发明实施例对此不再赘述。

步骤212、定位服务器向该资源服务器发送该接入终端的地理位置。

示例的，假设定位服务器根据该接入终端的IP地址47.153.191.255所确定的该接入终端的地理位置为北纬39°26′30″，东经115°25′，则可以将该接入终端的地理位置：北纬39°26′30″，东经115°25′发送至资源服务器。

步骤213、定位服务器向该资源服务器发送该验证终端的地理位置。

示例的，假设定位服务器根据该验证终端的手机号134xxxx0000所确定的该验证终端的地理位置为北纬39°26′31″，东经115°25′，则可以将该验证终端的地理位置：北纬39°26′31″，东经115°25′发送至资源服务器。

需要说明的是，在实际应用中，资源服务器可以通过调用定位服务器提供的基于位置的服务(英文：Location Based Service；简称：LBS)接口来实现上述步骤209至步骤213所示的方法。

步骤214、资源服务器根据该访问控制策略，判断该接入终端的地理位置是否满足安全访问条件。

在本发明实施例中，该安全访问条件可以包括：该接入终端的地理位置位于该安全地理区域内。示例的，假设该资源服务器接收到的接入终端的地理位置为北纬39°26′30″，东经115°25′，根据表1所示的访问控制策略可知，该安全地理区域包括广东省和北京市。由于资源服务器根据该地理位置：北纬39°26′30″，东经115°25′可以判断出该接入终端位于北京，处于安全地理区域内，因此资源服务器可以确定该接入终端的地理位置满足安全访问条件，并执行步骤214。

进一步的，在本发明实施例中，该安全访问条件还可以包括：该接入终端的地理位置与该验证终端的地理位置之间的距离位于该安全距离范围内。因此，在本发明实施例中，资源服务器接收到接入终端和验证终端的地理位置后，还可以计算该两个终端之间的距离，并判断该距离是否位于该目标账号所对应的安全距离范围内。示例的，假设接入终端的地理位置为北纬39°26′30″，东经115°25′，该验证终端的地理位置为北纬39°26′31″，东经115°25′，则资源服务器可以根据该两个终端的经纬度，计算得到该接入终端与该验证终端之间的距离为30.8米。再根据表1所示的访问控制策略可知，该目标账号1234所对应的安全距离范围为[0，50]，由于该接入终端的地理位置与该验证终端的地理位置之间的距离30.8米位于该安全距离范围[0，50]内，因此，资源服务器可以确定该接入终端的的地理位置满足安全访问条件，并执行步骤214。

需要说明的是，在本发明实施例中，该安全访问条件可以为：该接入终端的地理位置位于该安全地理区域内，或者该接入终端的地理位置与该验证终端的地理位置之间的距离位于该安全距离范围内。也即是，该接入终端的地理位置只要满足位于安全地理区域或者与验证终端的距离位于安全距离范围内中的一种即可。因此在实际应用中，当用户出差或旅游的过程中，当需要通过位于安全地理区域之外的接入终端获取资源服务器中的资源时，只要保证该接入终端与验证终端(例如用户的手机)之间的距离处于该安全距离范围内，也能够通过该资源服务器的验证，从而有效提高了该访问控制策略的灵活性，改善了用户体验。

或者，该安全访问条件还可以为：该接入终端的地理位置位于该安全地理区域内，且该接入终端的地理位置与该验证终端的地理位置之间的距离位于该安全距离范围内。也即是，该接入终端的地理位置需同时满足上述两个条件时才能通过资源服务器的验证，此时该访问控制策略的安全性较高。

步骤215、当该接入终端的地理位置满足安全访问条件时，允许该接入终端访问该资源服务器。

在本发明实施例中，该资源服务器中可以存储有目标账号与目标密钥的对应关系。当该接入终端的地理位置满足安全访问条件时，资源服务器还可以向该接入终端发送第一验证请求，该第一验证请求用于请求该接入终端提供密钥信息。当资源服务器接收到该接入终端发送的密钥信息后，若该密钥信息与该 存储的目标密钥相同，则允许该接入终端访问该资源服务器；若该密钥信息与目标密钥不同，则拒绝该接入终端访问该资源服务器。

其中，该目标密钥可以为租户或者用户注册目标账号时设置的密码，或者，也可以为个人识别密码(英文：Personal Identification Number；简称：PIN)等较为简单的且预先设置好的密钥。

进一步的，在上述步骤214中之后，当该接入终端的地理位置不满足安全访问条件时，资源服务器还可以生成目标验证信息，并向该接入终端发送第二验证请求，该第二验证请求用于请求该接入终端提供验证信息。资源服务器接收该接入终端发送的验证信息后，若该验证信息与该目标验证信息相同，则允许该接入终端访问该资源服务器；若该验证信息与该目标验证信息不同，则拒绝该接入终端访问该资源服务器。

其中，该目标验证信息可以是资源服务器根据预设的编码算法实时生成的，同时，该接入终端需要通过电子钥匙(英文：USB Key；简称：Ukey)等验证码生成设备获取验证信息，并向该资源服务器发送该验证信息。该验证码生成设备生成验证信息时采用的编码算法与该资源服务器中的编码算法相同。

根据上述分析可知，当该接入终端的地理位置满足安全访问条件时，接入终端只需要通过简单的密钥验证，即可对该资源服务器进行访问；当该接入终端的地理位置不满足安全访问条件时，该接入终端还需要通过复杂度较高的验证信息验证(例如U盾验证、口令验证或者令牌验证等)才能对该资源服务器进行访问。也即是，该资源服务器可以根据接入终端的地理位置灵活调整访问控制策略，该访问控制的过程较为灵活。

需要说明的是，本发明实进行施例提供的访问控制策略的制定方法的步骤的先后顺序可以进行适当调整，步骤也可以根据情况进行相应增减。示例的，步骤206还可以在步骤205之前执行，或者步骤206、步骤211和步骤213还可以根据情况进行删除。任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化的方法，都应涵盖在本发明的保护范围之内，因此不再赘述。

综上所述，本发明实施例提供的访问控制策略的制定方法中，资源服务器可以向控制终端提供可选的地理区域，因此控制终端可以直接根据各个接入终端所在地的地理位置，在该可选的地理区域内选定安全地理区域，而无需再确 定IP网段，该访问控制策略的制定过程中，控制终端的操作较为简单，访问控制策略的制定效率较高。并且相对于抽象的IP网段，地理位置的选定更为直观，因此访问控制策略的制定效率更高。

图6-1是本发明实施例提供的一种访问控制策略的制定装置的结构示意图，如图6-1所示，该装置可以包括：

第一接收模块401，可以用于执行图4所示实施例中步骤101所示的方法。

第一发送模块402，可以用于执行图4所示实施例中步骤102所示的方法。

第二接收模块403，可以用于执行图4所示实施例中步骤103所示的方法。

制定模块404，可以用于执行图4所示实施例中步骤104所示的方法。

图6-2是本发明实施例提供的另一种访问控制策略的制定装置的结构示意图，如图6-2所示，该装置还可以包括：

第三接收模块405，用于接收该控制终端发送的验证终端的标识以及安全距离范围。

记录模块406，用于在该访问控制策略中记录该目标账号、该验证终端的标识以及该安全距离范围的对应关系。

可选的，该第一发送模块402，还可以用于执行图5-1所示实施例中步骤202和步骤203所示的方法，以便该控制终端在显示屏上显示该地图，并在该地图上选定安全地理区域。

可选的，参考图6-2，该装置还包括：

第二发送模块407，可以用于执行图5-1所示实施例中步骤208和步骤209所示的方法。

第四接收模块408，用于接收该定位服务器发送的该接入终端的地理位置，该地理位置是由该定位服务器根据该接入终端的标识对该接入终端进行定位后获取的。

判断模块409，可以用于执行图5-1所示实施例中步骤214所示的方法。

接入模块410，可以用于执行图5-1所示实施例中步骤215所示的方法。

可选的，该安全访问条件包括：该接入终端的地理位置位于该安全地理区域内。

可选的，该定位请求中还携带有该目标账号所对应的验证终端的标识，该 装置还可以包括：

第五接收模块411，用于接收该定位服务器发送的该验证终端的地理位置。

该安全访问条件还包括：该接入终端的地理位置与该验证终端的地理位置之间的距离位于该安全距离范围内。

可选的，该接入模块410，还用于：

当该接入终端的地理位置满足安全访问条件时，向该接入终端发送第一验证请求，该第一验证请求用于请求该接入终端提供密钥信息；

接收该接入终端发送的密钥信息；

当该密钥信息与目标密钥相同时，允许该接入终端访问该资源服务器，该资源服务器中预先存储有该目标账号与该目标密钥的对应关系。

可选的，该接入模块410，还用于：

当该接入终端的地理位置不满足安全访问条件时，生成目标验证信息；

向该接入终端发送第二验证请求，该第二验证请求用于请求该接入终端提供验证信息；

接收该接入终端发送的验证信息；

当该验证信息与该目标验证信息相同时，允许该接入终端访问该资源服务器。

综上所述，本发明实施例提供的访问控制策略的的制定装置，资源服务器可以向控制终端提供可选的地理区域，因此控制终端可以直接根据各个接入终端所在地的地理位置，在该可选的地理区域内选定安全地理区域，而无需再确定IP网段，该访问控制策略的制定过程中，控制终端的操作较为简单，访问控制策略的制定效率较高。并且相对于抽象的IP网段，地理位置的选定更为直观。

图7是本发明实施例提供的又一种访问控制策略的制定装置的结构示意图，该装置可以应用于控制终端中，参考图7，该装置可以包括：

第一发送模块501，可以用于执行图5-1所示实施例中步骤201所示的方法。

接收模块502，用于接收该资源服务器提供的可选的地理区域。

选定模块503，可以用于执行图5-1所示实施例中步骤204所示的方法。

第二发送模块504，可以用于执行图5-1所示实施例中步骤205所示的方法。

可选的，如图7所示，该装置还可以包括：

第三发送模块505，可以用于执行图5-1所示实施例中步骤206所示的方法，以便该资源服务器将该目标账号、该验证终端的标识以及该安全距离范围的对应关系记录在该访问控制策略中。

综上所述，本发明实施例提供了一种访问控制策略的制定装置，由于资源服务器可以向控制终端提供可选的地理区域，因此控制终端可以直接根据各个接入终端所在地的地理位置，在该可选的地理区域内选定安全地理区域，而无需再确定IP网段，该访问控制策略的制定过程中，控制终端的操作较为简单，访问控制策略的制定效率较高。并且相对于抽象的IP网段，地理位置的选定更为直观。

参考图1，本发明实施例提供了一种访问控制策略的制定系统，该系统可以包括：资源服务器10、控制终端20和定位服务器30。

其中，该资源服务器10可以包括如图2、图6-1或图6-2所示的访问控制策略的制定装置，该控制终端20可以包括如图3或图7所示的访问控制策略的制定装置。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置和模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。