(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210897701.4 (22)申请日 2022.07.28 (71)申请人 新华三信息安全技 术有限公司 地址 230001 安徽省合肥市高新区创新大 道2800号创新产业园二期H2栋 541室 (72)发明人 赵志伟　韩小平　梁力文　 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种资源访问方法及装置 (57)摘要 本申请提供了一种资源访问方法及装置， 应 用于配置有网络靶场环境的网络设备中。 该方法 为： 接收用户的资源访问请求； 根据所述用户的 资源访问画像， 确定所述用户的安全等级， 所述 资源访问画像为基于所述用户历史访问所述网 络靶场中的访问情况确定的； 根据所述用户的安 全等级， 确定所述用户能够访问的资源的资源密 级； 若所述 资源访问请求所请求的目标资源的资 源密级与所述用户能够访问的资源的资源密级 不相符， 则阻断所述用户的资源访问请求； 若所 述目标资源的资源密级与所述用户能够访问的 资源的资源密级相符合， 则允许所述用户访问所 述目标资源。 采用上述方法， 在对网络靶场中的 资源进行访问时， 保证 了网络靶场的安全性。 权利要求书2页 说明书9页 附图2页 CN 115459943 A 2022.12.09 CN 115459943 A 1.一种资源访问方法， 其特征在于， 应用于配置有网络靶场环境的网络设备中， 所述方 法， 包括： 接收用户的资源访问请求； 根据所述用户的资源访 问画像， 确定所述用户的安全等级， 所述资源访 问画像为基于 所述用户历史访问所述网络靶场中的访问情况确定的； 根据所述用户的安全等级， 确定所述用户能够 访问的资源的资源密级； 若所述资源访问请求所请求的目标资源的资源密级与所述用户能够访问的资源的资 源密级不相符， 则阻断所述用户的资源访问请求； 若所述目标资源的资源密级与所述用户能够访问的资源的资源密级相符合， 则允许所 述用户访问所述目标资源。 2.根据权利要求1所述的方法， 其特征在于， 在根据所述用户的资源访 问画像， 确定所 述用户的安全等级之前， 还 包括： 根据所述用户的资源访 问画像和/或所述用户的初始资源访 问权限， 确定所述用户具 有访问所述资源访问请求所请求的目标资源的访问权限。 3.根据权利要求2所述的方法， 其特征在于， 根据 所述用户的资源访问画像或所述用户 的初始资源访问权限， 确定所述用户具有访问所述资源访问请求所请求的目标资源的访问 权限， 包括： 若所述资源访 问画像包括所述目标资源， 或， 所述初始资源访 问权限包括所述目标资 源， 则确定所述用户具有访问所述目标资源的访问权限。 4.根据权利要求2所述的方法， 其特征在于， 根据 所述用户的资源访问画像和所述用户 的初始资源访问权限， 确定所述用户具有访问所述资源访问请求所请求的目标资源的访问 权限， 包括： 对所述资源访问画像所包括的资源和所述初始资源访问权限所包括的资源进行合并 处理； 将合并的资源进行输出展示； 接收管理员基于所述 合并的资源确定的最终资源访问权限； 若所述最终访问权限包括所述目标资源的访问权限， 则确定所述用户具有访问所述目 标资源的访问权限。 5.根据权利要求1所述的方法， 其特征在于， 根据所述用户的资源访 问画像， 确定所述 用户的安全等级， 包括： 确定所述用户所访问的目标资源偏离所述资源访问画像的偏离程度； 根据所述偏离程度， 确定所述用户的安全等级。 6.根据权利要求1所述的方法， 其特征在于， 若所述资源访问请求所请求的目标资源的 资源密级与所述用户能够访问的资源的资源密级不相符， 则阻断所述用户的资源访问请 求， 包括： 若所述资源访问请求所请求的目标资源的资源密级与所述用户能够访问的资源的资 源密级不相符， 则确定 本次资源访问请求异常； 若本次资源访问请求异常的异常等级为第 一设定等级， 则阻断所述用户的资源访问请 求；权　利　要　求　书 1/2 页 2 CN 115459943 A 2若所述异常等级为第二设定等级， 则对所述用户进行身份验证； 若验证不通过， 则阻断 所述用户的资源访问请求。 7.一种资源访问装置， 其特征在于， 设置于配置有网络靶场环境的网络设备中， 所述装 置， 包括： 接收模块， 用于 接收用户的资源访问请求； 第一确定模块， 用于根据 所述用户的资源访问画像， 确定所述用户的安全等级， 所述资 源访问画像为基于所述用户历史访问所述网络靶场中的访问情况确定的； 第二确定模块， 用于根据所述用户的安全等级， 确定所述用户能够访 问的资源的资源 密级； 判断模块， 用于判断所述资源访问请求所请求的目标资源的资源密级与所述用户能够 访问的资源的资源密级是否相符； 访问控制模块， 用于若所述判断模块的判断结果为不相符， 则阻断所述用户的资源访 问请求； 若所述判断模块的判断结果 为相符合， 则允许 所述用户访问所述目标资源。 8.根据权利要求7 所述的装置， 其特 征在于， 还 包括： 第三确定模块， 用于在所述第一确定模块根据所述用户的资源访 问画像， 确定所述用 户的安全等级之前， 根据所述用户的资源访问画像和/或所述用户的初始资源访问权限， 确 定所述用户具有访问所述资源访问请求所请求的目标资源的访问权限。 9.根据权利要求8所述的装置， 其特 征在于， 所述第三确定模块， 具体用于若所述资源访问画像包括所述目标资源， 或， 所述初始资 源访问权限包括所述目标资源， 则确定所述用户具有访问所述目标资源的访问权限。 10.根据权利要求8所述的装置， 其特 征在于， 所述第三确定模块， 具体用于对所述资源访问画像所包括的资源和所述初始资源访问 权限所包括的资源进行合并处理； 将合并的资源进行输出展示； 接 收管理员基于所述合并 的资源确定的最终资源访问权限； 若所述最终访问权限包括所述 目标资源的访问权限， 则 确定所述用户具有访问所述目标资源的访问权限。 11.根据权利要求7 所述的装置， 其特 征在于， 所述第一确定模块， 具体用于确定所述用户所访问的目标资源偏离所述资源访问画像 的偏离程度； 根据所述偏离程度， 确定所述用户的安全等级。 12.根据权利要求7 所述的装置， 其特 征在于， 所述访问控制模块， 具体用于若所述判断模块的判断结果为不相符， 则确定本次资源 访问请求异常； 若本次资源访问请求异常的异常等级为第一设定等级， 则阻断所述用户的 资源访问请求； 若 所述异常等级为第二设定等级， 则对所述用户进 行身份验证； 若验证不通 过， 则阻断所述用户的资源访问请求。权　利　要　求　书 2/2 页 3 CN 115459943 A 3