一种访问控制方法、***、装置及计算设备
技术领域
本申请涉及云技术领域,特别涉及云安全技术领域,具体涉及一种访问控制方法、***、装置及计算设备。
背景技术
随着互联网技术的快速发展,访问控制技术作为确保网络信息安全的核心手段之一,目前已广泛应用于各类应用场景,如云计算、云安全等应用场景。
以访问控制场景为例,相关技术中一般采用的是基于区域的授信控制机制,也就是,基于用户所在的网络位置(例如IP(Internet Protocol,网络介意)地址)划分信任区域,在进行访问控制时,是通过判断用户所在的网络位置是否可信来确定是拦截还是放行用户的访问请求。
在上述访问控制方式中,在确认用户的网络位置可信后则允许设备进入网络,一旦进入网络,该设备就可以通过该设备中的任意应用进行内部网络服务的访问,包括一些恶意代码都具有了渗透网络以入侵业务***的能力,从而导致业务***出现安全隐患。也就是说,相关技术中的访问控制机制存在较大的网络安全风险,访问控制的有效性较低。
发明内容
本申请实施例提供一种访问控制方法、***、装置及计算设备,用于提高访问控制的有效性,降低网络安全风险,增强网络安全。
一方面,提供一种访问控制方法,所述方法包括:
响应于访问触发操作,通过目标应用进程发起业务访问请求;
获取所述目标应用进程的进程特征信息,所述进程特征信息用于标识所述目标应用进程;
在所述进程特征信息通过可信验证时,获得所述目标应用进程对应的授权信息;
将所述业务访问请求和所述授权信息发送给准入网关,以通过所述准入网关根据所述业务访问请求的鉴权结果放行或者拦截所述业务访问请求,其中,通过所述授权信息对所述业务访问请求进行鉴权。
可选的,所述方法还包括:
在用户确认结果与进程特征信息的可信验证结果不同时,将所述用户确认结果发送给访问控制单元。
一方面,提供一种访问控制方法,所述方法包括:
接收终端发送的进程特征信息,所述进程特征信息用于标识所述终端中发起业务访问请求的目标应用进程;
在确定所述进程特征信息通过可信验证时,确定与所述目标应用进程对应的授权信息,并将所述授权信息发送给所述终端;
接收准入网关发送的所述业务访问请求和所述授权信息;
根据所述授权信息对所述业务访问请求进行鉴权,并将鉴权结果发送给所述准入网关,以通过所述准入网关根据所述鉴权结果放行或者拦截所述业务访问请求。
可选的,确定所述进程特征信息是否通过可信验证,包括:
根据所述进程特征信息是否存在第二进程名单中的匹配结果,确定所述进程特征信息是否通过可信验证;或者,
调用云查询接口,将所述进程特征信息发送给所述云查询接口对应的云验证平台,并根据所述验证平台发送的第三验证结果信息确定所述进程特征信息是否通过可信验证;或者,
将所述进程特征信息发送到安全检测分析平台,以通过所述安全检测分析平台根据所述进程特征信息对所述目标应用进程的运行行为进行安全检测,并根据所述安全检测分析平台输出的检测结果确定所述进程特征信息是否通过可信验证。
可选的,所述方法还包括:
接收所述终端发送的用户账号信息和所述业务访问请求对应的***信息;
则,确定所述进程特征信息是否通过可信验证,包括:
确定以所述用户账号信息对应的关联账号信息登录的关联终端;
将所述进程特征信息和所述***信息发送给所述关联终端,并根据所述关联终端发送的用户决策信息确定所述进程特征通过可信验证或未通过可信验证。
可选的,将所述进程特征信息和所述***信息发送给所述关联终端,包括:
确定所述进程特征信息是否通过可信验证,得到第四验证结果信息;
将所述第四验证结果信息、所述进程特征信息、所述***信息发送给所述关联终端。
一方面,提供一种访问控制***,所述***包括访问控制单元和准入网关,其中:
所述访问控制单元,用于接收终端发送的进程特征信息,并在确定所述进程特征信息通过可信验证时,确定与目标应用进程对应的授权信息,以及将所述授权信息发送给所述终端,其中,所述进程特征信息用于标识所述终端中发起业务访问请求的所述目标应用进程;
所述准入网关,用于接收所述终端发送的所述业务访问请求和所述授权信息,并将所述业务访问请求和所述授权信息发送给所述访问控制单元,以及获得所述访问控制单元发送的鉴权结果;
所述访问控制单元,还用于接收所述准入网关发送的所述业务访问请求和所述授权信息,并根据所述授权信息对所述业务访问请求进行鉴权,以及将鉴权结果发送给所述准入网关;
所述准入网关,还用于根据所述鉴权结果放行或者拦截所述业务访问请求。
一方面,提供一种访问控制装置,所述装置包括:
访问模块,用于响应于访问触发操作,通过目标应用进程发起业务访问请求;
获取模块,用于获取所述目标应用进程的进程特征信息,所述进程特征信息用于标识所述目标应用进程;
验证模块,用于在所述进程特征信息通过可信验证时,获得所述目标应用进程对应的授权信息;
发送模块,用于将所述业务访问请求和所述授权信息发送给准入网关,以通过所述准入网关根据所述业务访问请求的鉴权结果放行或者拦截所述业务访问请求,其中,通过所述授权信息对所述业务访问请求进行鉴权。
一方面,提供一种访问控制装置,所述装置包括:
接收模块,用于接收终端发送的进程特征信息,所述进程特征信息用于标识终端发起业务访问请求的目标应用进程;
确定模块,用于在确定所述进程特征信息通过可信验证时,确定与所述目标应用进程对应的授权信息;
发送模块,用于将所述授权信息发送给所述终端;
所述接收模块,还用于接收准入网关发送的所述业务访问请求和所述授权信息;
访问控制模块,用于根据所述授权信息对所述业务访问请求进行鉴权,并将鉴权结果发送给所述准入网关,以通过所述准入网关根据所述鉴权结果放行或者拦截所述业务访问请求。
一方面,提供一种计算设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述任一方面的访问控制方法包括的步骤。
一方面,提供一种存储介质,所述存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行上述任一方面的访问控制方法包括的步骤。
一方面,提供一种包含指令的计算机程序产品,当所述计算机程序产品在计算机上运行时,使得计算机执行上述各种可能的实现方式中所描述的访问控制方法包括的步骤。
本申请实施例中,终端在发起业务访问请求时,可以获得用于发起该业务访问请求的应用进程(例如称作目标应用进程)的进程特征信息,然后对该进程特征信息进行可信验证,对该进程特征信息进行可信验证相当于就是对目标应用进程进行可信验证,只有在用于标识目标应用进程的进程特征信息通过可信验证时,才为目标应用进程颁发授权凭证,即终端才可以获得目标应用进程对应的授权信息。进一步地,访问控制单元可以利用该授权信息对终端发起的业务访问请求进行鉴权,并将鉴结果发送给准入网关,以便准入网关根据鉴权结果放行或者拦截通过目标业务进程发起的业务访问请求,从而实现对业务访问请求的有效控制。本申请实施例中,增加了对应用进程的授权和验证管理机制,提供了对应用进程的强管理策略和安全送检能力,访问控制粒度细化到了设备中的各个应用进程,可以对发起访问的进程来源的合法性进行验证,在该强管理的验证策略下,可以对由于应用进程被篡改而导致的一些高级威胁或者病毒木马渗透业务***的安全威胁进行有效检测和防范,从而阻断其像业务网络渗透,这样可以大大减少恶意代码的执行,提高了访问控制的有效性,从而可以降低业务***的安全风险,增强了网络安全。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1a为本申请实施例中的一种应用场景的示意图;
图1b为本申请实施例中的一种应用场景的另一示意图;
图2为本申请实施例中的访问控制方法的流程示意图;
图3为本申请实施例中的进程特征信息的示意图;
图4为本申请实施例中的访问控制方法的另一流程示意图;
图5为本申请实施例中的访问控制方法的另一流程示意图;
图6为本申请实施例中的访问控制方法的另一流程示意图;
图7为本申请实施例中的访问控制方法的另一流程示意图;
图8为本申请实施例中的访问控制方法的另一流程示意图;
图9为本申请实施例中的访问控制***的架构示意图;
图10为本申请实施例中的访问控制装置的结构框图;
图11为本申请实施例中的访问控制装置的另一结构框图;
图12为本申请实施例中的计算设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于申请保护的范围。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请的说明书和权利要求书及上述附图中的术语“第一”和“第二”是用于区别不同对象,而非用于描述特定顺序。此外,术语“包括”以及它们任何变形,意图在于覆盖不排他的保护。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请中的“多个”可以表示至少两个,例如可以是两个、三个或者更多个,本申请实施例不做限制。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,在不做特别说明的情况下,一般表示前后关联对象是一种“或”的关系。
以下对本文中涉及的部分用语进行说明,以便于本领域技术人员理解。
1、进程,从狭义定义来说,进程是指正在运行的应用程序的实例,例如又可以称作应用进程,从广义上理解,进程是一个具有一定独立功能的程序关于某个数据集合的一次运行活动。
进程的概念主要有两点:
(1)进程是一个实体。每一个进程都有它自己的地址空间,一般情况下,包括文本区域、数据区域和堆栈。其中,文本区域存储处理器执行的代码;数据区域存储变量和进程执行期间使用的动态分配的内存;堆栈区域存储着活动过程调用的指令和本地变量。
(2)进程是一个“执行中的程序”,其中的程序例如是后缀名为.exe的可执行程序,程序是一个没有生命的实体,只有处理器赋予程序生命时(操作***执行),它才能成为一个活动的实体,此时可以将其称之为进程。
2、零信任,是一种安全理念,本质上和传统安全产品/设备并不是同一个维度的概念,但是由于零信任架构落地的时候,会和传统安全产品/设备产生协作,甚至可能存在替代某些传统安全产品/设备的情况。
零信任,可以按照字面理解,即对任何对象都不可信,具体到访问控制***中,假定人(用户)、终端、资源等都是不可信的,通过建立人到终端到资源的信任链,并动态实时校验信任链,来实现对资源安全可信请求,阻断网络攻击,提高网络安全。
以下介绍本申请的设计思想。
如前所述的,在目前的业务访问控制中,相关技术中一般采用的是基于区域的授信控制机制,在确认用户的网络位置可信后则允许设备进入网络,而设备一旦进入到网络,就可以通过该设备中的任意应用进行内部网络服务的访问,也就是说,一旦设备被授信而进入到网络中,意味着该设备执行的任意代码都具有了业务***的访问权限,而在此过程中,应用进程的执行代码可能被恶意篡改,一些恶意代码也具有了渗透网络以入侵业务***的能力,而此时内网服务访问关注的仅是发起访问的设备,而并没有细化到设备上的应用进程,所以相关技术中的访问控制机制并无法检测应用进程被篡改而导致一些高级威胁或者病毒木马渗透业务***,故相关技术中的访问控制机制存在较大的网络安全风险,访问控制的有效性较低。
鉴于此,本申请实施例提供一种访问控制方法,具体来说,终端在发起业务访问请求时,可以获得用于发起该业务访问请求的应用进程(例如称作目标应用进程)的进程特征信息,然后对该进程特征信息进行可信验证,对该进程特征信息进行可信验证相当于就是对目标应用进程进行可信验证,只有在用于标识目标应用进程的进程特征信息通过可信验证时,才为目标应用进程颁发授权凭证,即终端才可以获得目标应用进程对应的授权信息。进一步地,访问控制单元可以利用该授权信息对终端发起的业务访问请求进行鉴权,并将鉴结果发送给准入网关,以便准入网关根据鉴权结果放行或者拦截通过目标业务进程发起的业务访问请求,从而实现对业务访问请求的有效控制。
相对于相关技术中的访问控制机制,上述方案融入了零信任机制,即对发起业务访问请求的应用进程默认都是不信任的,基于此,增加了对应用进程的授权和验证管理机制,提供了对应用进程的强管理策略和安全送检能力,访问控制粒度细化到了设备中的各个应用进程,可以对发起访问的进程来源的合法性进行验证,在该强管理的验证策略下,可以对由于应用进程被篡改而导致的一些高级威胁或者病毒木马渗透业务***的安全威胁进行有效检测和防范,从而阻断其像业务网络渗透,这样可以大大减少恶意代码的执行,提高了访问控制的有效性,从而可以降低业务***的安全风险,增强了网络安全。
需要说明的是,本申请实施例提供的访问控制方法,主要涉及云技术(Cloudtechnology),该技术是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。同样地,该技术是基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络***的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台***进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的***后盾支撑,只能通过云计算来实现。
进一步地,在云技术领域中,本申请实施例所提供的访问控制方法主要应用于云计算(cloud computing)、云安全(Cloud Security)和云存储(cloud storage)。以下对涉及到的相关技术进行介绍说明。
(1)云计算(cloud computing),是一种计算模式,它将计算任务分布在大量计算机构成的资源池上,使各种应用***能够根据需要获取计算力、存储空间和信息服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的,并且可以随时获取,按需使用,随时扩展,按使用付费。作为云计算的基础能力提供商,会建立云计算资源池,云计算资源池简称云平台,一般称为基础设施即服务(Infrastructure as a Service,IaaS)平台,在资源池中部署多种类型的虚拟资源,供外部客户选择使用。云计算资源池中主要包括:计算设备(为虚拟化机器,包含操作***)、存储设备、网络设备。云计算是网格计算(Grid Computing)、分布式计算(Distributed Computing)、并行计算(ParallelComputing)、效用计算(Utility Computing)、网络存储(Network StorageTechnologies)、虚拟化(Virtualization)、负载均衡(Load Balance)等传统计算机和网络技术发展融合的产物。随着互联网、实时数据流、连接设备多样化的发展,以及搜索服务、社会网络、移动商务和开放协作等需求的推动,云计算迅速发展起来。不同于以往的并行分布式计算,云计算的产生从理念上将推动整个互联网模式、企业管理模式发生革命性的变革。
(2)云安全(Cloud Security),云安全是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网络计算、未知病行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:①云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机***安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;②安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;③云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
(3)云存储(cloud storage),其是在云计算概念上延伸和发展出来的一个新的概念,分布式云存储***(以下简称存储***)是指通过集群应用、网格技术以及分布存储文件***等功能,将网络中大量各种不同类型的存储设备(存储设备也称之为存储节点)通过应用软件或应用接口集合起来协同工作,共同对外提供数据存储和业务访问功能的一个存储***。目前,存储***的存储方法为:创建逻辑卷,在创建逻辑卷时,就为每个逻辑卷分配物理存储空间,该物理存储空间可能是某个存储设备或者某几个存储设备的磁盘组成。
为更好地理解本申请实施例提供的技术方案,下面对本申请实施例提供的技术方案适用的应用场景做一些简单介绍,需要说明的是,以下介绍的应用场景仅用于说明本申请实施例而非限定。在具体实施时,可以根据实际需要灵活地应用本申请实施例提供的技术方案。
请参见图1a,图1a示出了本申请实施例的技术方案适用的一种访问控制***,该访问控制***包括访问控制单元和准入网关,访问控制单元包括有认证模块和访问控制模块,在具体网络拓扑中,访问控制单元和准入网关可以集成在一台服务器上,或者也可以分别集成在不同的服务器,也就是说,访问控制单元和准入网关可以理解为是两个逻辑功能单元,其具体物理实现本申请实施例不做限制。
其中,访问控制单元的主要功能包括:对用户、终端身份进行认证和授权,以及可以进行持续的访问控制,其中的访问控制包括访问控制策略的建立和部署、动态安全检测和动态防护响应。访问控制管理后台可提供集中化管理能力,主要功能包括:用户管理、终端管理、资源管理和策略管理等等。
准入网关,是暴露在外部可被用户(即终端)直接访问的***,主要功能包括转发用户请求和拦截用户请求。其中,转发用户请求是指对来访未经授权的请求进行认证授权转发,以及对已正确授权的用户请求进行资源访问转发,拦截是指对禁止访问的用户请求进行拦截阻断,以阻止其向网络后端继续访问。
访问控制单元位于控制层,位于控制平面的访问控制单元可以实现对访问控制中进行有关认证、授权、验证、鉴权等控制功能,准入网关位于数据层,位于数据层面的准入网关可以对用户请求实现转发或者拦截的决策。这样,控制通道和数据通道相分离,可以尽量防止堵塞后的互相影响,并且可以更合理化地实现各个逻辑功能模块在访问控制中所起的作用。
结合图1a所示的,再参见图1b,图1b为本申请实施例中的技术方案适用的一种应用场景,即本申请实施例中的访问控制方法可以应用于如图1a和图1b所示的应用环境中。如图1b所示,该应用场景由终端***、访问控制***和业务***组成。其中,终端***包括企业内终端(图1b中以终端110-1、终端110-2为例)和企业外终端(图1b中以终端110-3、终端110-4为例);访问控制***包括访问控制单元120和准入网关121;业务***由多个业务服务器(图1b中是以业务服务器130-1、业务服务器130-2、业务服务器130-3为例)组成,通过业务***可以实现企业公有云业务、企业私有云业务、企业本地业务,也就是说,业务***可以提供公有云服务、私有云服务和本地业务服务,以及还可以提供混合云服务(图1b中未示出)。
访问控制***部署于终端***和业务***之间,访问控制单元120可以对各个终端进行认证和授权,并且可以对向业务***发起的业务访问请求进行鉴权,准入网关121根据访问控制单元102的鉴权结果放行或者拦截由终端发送的业务访问请求,相当于是在终端和业务***之间添加了一层准入控制机制,这样可以避免终端和业务***之间的直接耦合,从而可以对终端发起的业务访问请求进行有效控制。各个终端与访问控制单元100和准入网关121之间可以通信,以及,准入网关121可以与业务***中的各个业务服务器通信,各个终端与访问控制单元100和准入网关121之间的通信网络,以及准入网关121与各个业务服务器之间的通信网络,包括但不限于广域网、城域网或局域网。
其中,公有云(Public Cloud)通常指第三方提供商为用户提供的能够使用的云,公有云一般可通过Internet使用,可能是免费或成本低廉的,公有云的核心属性是共享资源服务,这种云有许多实例,可在当今整个开放的公有网络中提供服务。
私有云(Private Cloud)是将云基础设施与软硬件资源创建在防火墙内,以供机构或企业内各部门共享数据中心内的资源。创建私有云,除了硬件资源外,一般还有云设备(IaaS,Infrastructure as a Service,基础设施即服务)软件。私有云计算同样包含云硬件、云平台、云服务三个层次。不同的是,云硬件是用户自己的个人电脑或服务器,而非云计算厂商的数据中心。私有云计算,对个人来说只服务于亲朋好友,对企业来说只服务于本企业员工以及本企业的客户和供应商,因此个人或企业自己的个人电脑或服务器已经足够用来提供云服务。
混合云(Hybrid Cloud)融合了公有云和私有云,是近年来云计算的主要模式和发展方向。私有云主要是面向企业用户,出于安全考虑,企业更愿意将数据存放在私有云中,但是同时又希望可以获得公有云的计算资源,在这种情况下混合云被越来越多的采用,它将公有云和私有云进行混合和匹配,以获得最佳的效果,这种个性化的解决方案,达到了既省钱又安全的目的。
基于图1b所示的应用场景,以终端110-1为例,在本申请实施例中,用户使用终端110-1向业务***发起业务访问请求时,终端110-1获取用于发起该业务访问请求的应用进程的进程特征信息,然后对该进程特征信息进行可信验证,一种可能的验证方式是异步送检验证,具体来说,是将该进程特征信息发送给访问控制单元120,以通过访问控制单元120对该进程特征信息进行可信验证,另一种可能的验证方式是本地验证,即,终端110-1可以使用预先从访问控制单元120处缓存的可信进程名单(又称作进程白名单)对进程特征信息进行匹配以实现对进程特征信息的可信验证。在进程特征信息通过可信验证时,可以获得其对应的授权信息,授权信息是用于表示发起的前述的业务访问请求的应用进程是通过***认证的可信应用进程,通过授权信息可以表示该应用进程是通过授信的进程,表明是其安全的。
进一步地,终端110-1在向准入网关121发送业务访问请求时可以将颁发的授权信息一并发送给准入网关121,准入网关121可以将业务访问请求(具体例如是业务访问请求中的***信息)和授权信息一起发送给访问控制单元120,以使访问控制单元120根据该授权控制信息对一并发送的业务访问请求进行鉴权,其实相当于是对发起该业务访问请求的应用进程进行鉴权,在鉴权通过时,表明发起该业务访问请求的应用进程确实是经过授信验证的安全进程,从而可以将该业务访问请求转发给业务***中对应的业务服务器以实现对业务***的安全访问,在鉴权未通过时,表明发起该业务访问请求的应用进程存在安全风险,此时则可以将业务访问请求拦截(例如丢弃),并且可以向终端110-1返回危险提示信息,以告知终端110-1当前发起业务访问请求的应用进程可能出现了安全隐患,便于终端用户能够及时发现潜在的网络安全并进行处理。
在上述对业务访问请求的处理过程中,是以发起业务访问请求的应用进程为检测和控制粒度,这种细粒度的访问控制机制提供了对应用进程的安全送检的强管理策略,通过对发起访问的进程来源的合法性进行验证,可以提高访问控制的有效性,从而降低业务***的安全风险,增强了业务***的安全性能。
基于上述应用场景的业务访问控制,打破了传统的基于区域的授信控制方式,基于对应用进程的强管理策略,强制访问必须经过认证和授权,这样,保证用户(例如企业员工)无论位于何处、何时使用何设备都可安全访问企业内的业务资源,对业务访问能够有效地进行检测和控制,灵活性和访问体验都较好,降低了数据泄露等安全风险,提高了企业办公整体的安全性。
其中,访问控制单元120、准入网关121以及业务***中的各个业务服务器(即业务服务器130-1、业务服务器130-2、业务服务器130-3)可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(ContentDelivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端设备110-1、终端设备110-2、终端设备110-3、终端设备110-4可以是笔记本电脑、台式计算机、一体机、智能手机、平板电脑等,但并不局限于此。
为进一步说明本申请实施例提供的技术方案,下面结合附图以及具体实施方式对此进行详细的说明。虽然本申请实施例提供了如下述实施例或附图所示的方法操作步骤,但基于常规或者无需创造性的劳动在所述方法中可以包括更多或者更少的操作步骤。在逻辑上不存在必要因果关系的步骤中,这些步骤的执行顺序不限于本申请实施例提供的执行顺序。所述方法在实际的处理过程中或者装置执行时,可按照实施例或者附图所示的方法顺序执行或者并行执行。
本申请实施例提供的访问控制方法,主要涉及到发起业务访问请求的终端以及对业务访问请求进行鉴权的访问控制单元,该访问控制方法可以在如图1a或图1b所示的应用场景下实现,以下分别从终端和访问控制单元的角度来描述本申请实施例所提供的访问控制方法。
请参见图2所示的访问控制方法,其中的终端例如是图1b所示应用场景中的任意一个企业内终端或者企业外终端。图2所示的流程描述如下。
步骤201:响应于访问触发操作,通过目标应用进程发起业务访问请求。
用户需要向业务***请求资源时,即用户需要访问业务***时,可以在终端上进行特定的触发操作,例如将该触发操作称作访问触发操作,例如访问触发操作是用户进行的输入指定URL(Uniform Resource Locator,统一资源定位符)地址的输入操作,或者例如访问触发操作是用户进行的点击企业内部的指定文件夹的点击操作,等等。
在具体实施过程中,用户一般是对终端中安装的应用进行访问触发操作,该应用例如是企业内部使用的办公应用或者是其它应用,在检测到访问触发操作之后,可以调用应用对应的应用进程发起业务访问请求,例如将发起业务访问请求的应用进程称作目标应用进程,可以理解的是,不同的应用可以有不同的应用进程,以及同一个应用也可以包括不同的应用进程。其中,应用的“应用进程”也可称作进程,是应用处于运行过程中的实例。
步骤202:获取目标应用进程的进程特征信息。
每个应用进程有其对应的进程特征信息,一个应用进程的进程特征信息是用于标识该应用进程的信息,并且是唯一标识该应用进程,也就是说,应用进程对应的进程特征信息具有唯一性。在具体实施过程中,应用进程的进程特征信息可以包括进程标识(例如进程名)、进程签名信息、进程MD5(Message Digest Algorithm 5,消息摘要算法第五版)、进程sha256(一种算法)、进程版本号等信息中的一种或多种组合。例如,进程名为“wehaha.exe”的应用进程的进程特征信息如图3所示的,图3中示出了该应用进程的进程名、所属应用的应用名、适用的操作***、进程签名信息、进程MD5、进程版本、进程sha256等信息。
步骤203:在进程特征信息通过可信验证时,获得目标应用进程对应的授权信息。
其中,目标应用进程对应的授权信息用于指示对应的目标应用进程是通过***验证的可信应用进程,通过授权信息可以表示对应的应用进程是通过授信的进程,表明是其安全的,也就是说,可以将授权信息看作是应用进程是可信应用进程的身份凭证,所以授权信息又可以称作授权信息、进程授权凭证,或者还可以将进程的授权信息称作“票据”或者“进程票据”,进程的授权信息相当于是应用进程在访问业务***过程中的通行证。
本申请实施例中,需要对发起业务访问请求的目标应用进程的进程特征信息进行可信验证,对进程特征信息进行可信认证,相当于是对其对应的目标应用进程进行可信验证,所以,当进程特征信息通过可信验证时,相当于是其对应的目标应用进程通过了可信验证。可信验证例如也可以称作安全验证或者安全认证,就是通过进程特征信息对目标应用进程的安全性进行校验。
在具体实施过程中,可以采用多种方式对进程特征信息进行可信验证,对于终端来说,一种可能的验证方式是异步送检验证,另一种可能的验证方式是本地验证,以下结合图4对这两种验证方式进行说明。请参见图4所示的,其中的步骤401~步骤404(即步骤401、步骤402、步骤403、步骤404)示出了异步送检验证的过程,以及步骤401、步骤405、步骤406示出了本地验证的过程。以下具体说明。
步骤401:获得目标应用进程的进程特征信息。
该步骤与上述介绍的步骤202的实施一样,此处不再重复说明。
步骤402:将进程特征信息发送给访问控制单元,以通过访问控制单元对该进程特征信息进行可信验证。
所谓的异步送检验证,就是终端将进程特征信息发送给其它设备(例如访问控制单元)进行异地验证,访问控制单元在收到进程特征信息之后,可以采用一些可能的方式对该进程特征信息进行可信验证,以下提供几种可能的验证方式。
方式1:
访问控制单元本地存储第二进程名单,第二进程名单可以是可信进程名单,例如将该可信进程名单称作白名单,对应的,第二进程名单还可以是不可信进程名单,例如将不可信进程名单称作黑名单。访问控制单元可以将进程特征信息与本地存储的可信进程名单和不可信进程名单进行匹配,若确定进程特征信息存在于白名单中,则可以认为其是可信进程,即表明通过了可信验证,若确定进程特征信息存在于黑名单中,则可以认为其是不可信进程,即表明未能通过可信验证。
在另一种可能情形中,进程特征信息均不存在于白名单和黑名单中,此时可以将其称作是“灰进程”,即***不明确其到底是可信的白进程还是不可信的黑进程,此时访问控制单元可以将“灰进程”的识别结果输出给用户,例如返回给终端或者直接显示给管理员,让用户自行确定。或者,在一些强安全需求的场景下,例如在银行***、金融***、涉密***等强安全需求的场景下,***可以直接将“灰进程”认为是不可信进程,即将“灰进程”和黑进程按照相同的方式处理,这样可以尽量确保***安全性。
在方式1中,访问控制单元通过本地存储的进程名单对进程特征信息进行本地验证,这样的验证效率较高,并且本地存储的进程名单例如是管理员预先根据企业性质和企业需求设置的,所以这样的过滤验证方式能够尽量满足实际的业务场景的需求,验证的有效性较高。
方式2:
访问控制单元可以购买一些第三方验证平台的云验证服务,或者可以与其建立合作关系,基于此,访问控制单元可以调用云查询接口,将进程特征信息发送给该云查询接口对应的云验证平台,并根据云验证平台发送的第二验证结果信息确定该进程特征信息是否通过可信验证。也就是说,访问控制单元可以通过第三方验证平台进行远程的辅助验证,这样可以减少访问控制单元自身的验证工作,降低访问控制单元的处理负荷,并且第三方验证平台一般是专业性较强的验证结构,这样可以在一定程度上提高对进程特征信息的可信验证的有效性。
方式3:
访问控制单元将进程特征信息发送到安全检测分析平台,以通过安全检测分析平台根据进程特征信息对目标应用进程的运行行为进行安全检测,并根据安全检测分析平台输出的检测结果确定进程特征信息是否通过可信验证。其中的安全检测分析平台例如是SOC(Security Operations Center,安全运营中心)、SIEM(Security Information EventManagement,安全信息和事件管理)、MSS(Managing security services,管理安全服务)等提供安全管理的服务***,该安全检测分析平台可以集成在访问控制单元中,或者也可以分布式地集成在其它服务器中,或者也可以是一个独立的分析平台。也就是说,安全检测分析平台可以根据进程特征信息确定目标应用进程,进而对目标应用进程的运行过程动态地进行检测,例如根据目标应用进程最近一段时间内的运行日志数据对其进行安全相关可信验证,如此,可以对目标应用进程进行有效地可信验证。
访问控制单元无论采用哪种方式对进程特征信息进行可信验证之后,可以得到最终的验证结果,将该验证结果以第一验证结果信息表示,第一验证结果信息用于指示进程特征信息是否通过可信验证,例如,第一验证结果信息用于指示进程特征信息通过了可信验证,或者,第一验证结果信息用于指示进程特征信息未通过可信验证。进而,可以将该第一验证结果信息返回给终端。
步骤403:接收访问控制单元发送的第一验证结果信息。
终端在接收到访问控制单元发送的第一验证结果信息之后,根据其指示可以明确当前发起业务访问请求的目标应用进程是否是安全可信的。
步骤404:接收访问控制单元发送的与进程特征信息对应的授权信息。
访问控制单元在确定进程特征信息通过了可信验证时,还可以为目标应用进程颁发对应的授权凭证,在一种可能的实施方式中,访问控制单元可以根据进程特征信息生成对应的授权凭证信息,并将生成的授权凭证信息发送给终端,从而实现对目标应用进程的验证和授信,例如将该授权凭证信息称作授权信息。
步骤405:将进程特征信息与本地存储的第一进程名单进行匹配。
其中,终端中存储的第一进程名单可以是预先从访问控制单元处下载缓存的,第一进程名单可以是进程白名单或者进程黑名单,终端利用第一进程名单验证进程特征信息的可信性的实施方式与上述介绍的访问控制单元通过本地存储的第二进程名单进行可信验证的实施方式是相似的,所以步骤405的实施可以参照上述方式1的介绍,此处就不再重复说明了。
步骤406:若匹配结果表明进程特征信息属于白进程,即位于可信进程名单中,则生成与进程特征信息对应的授权信息。
若进程特征信息是可信的,则表明目标应用进程是安全可信的,此时,终端可以自行为其颁布授权信息,当然,终端是按照与访问控制单元之间约定的授信方式为目标应用进程生成对应的授权信息,例如按照与访问控制单元约定的加密算法对进程特征信息进行加密处理即得到对应的授权信息。
上述介绍了异步送检验证和终端本地验证两种方式,在具体实施过程中,这两种方式可以择一实施进行单一验证,或者也可以同时实施进行双重验证,本申请实施例不做限制。
对于上述介绍的异步送检验证和终端本地验证两种方式,在由终端或者访问控制单元得到了针对进程特征信息的可信验证结果之后,可以将验证结果输出给用户,以便于用户进行最终的人工确认。举例来说:
对于终端本地验证和由访问控制单元进行验证的方式,终端在得到了设备对进程特征信息的可信验证结果之后,可以显示结果确认界面,在该结果确认界面中包括进程特征信息的可信验证结果。进一步地,用户可以根据自己的实际认知和理解选择是否认同设备的验证结果,具体地,用户可以针对结果确认界面进行确认操作(例如称作第一确认操作),终端响应于该第一确认操作即可得到用户确认结果,再将用户确认结果作为最终的验证结果,即以用户确认结果更新前述的由设备得到的进程特征信息的可信验证结果。通过终端用户二次确认的方式,可以尽量满足终端用户对应用进程的实际了解情况,进一步地提高验证的有效性。
对于由访问控制单元进行异步验证的方式,访问控制单元在得到针对进程特征信息的可信验证结果之后,可以显示管理操作界面,该管理操作界面中包括进程特征信息的可信验证结果,访问控制单元的管理员可以通过人工确认的方式对访问控制单元的验证结果进行二次确认,如此,管理员可以针对管理操作界面进行确认操作(例如称作第二确认操作),访问控制单元响应该第二确认操作即可得到管理员确认结果,然后再以管理员确认结果更新前述的由控制网关验证得到的进程特征信息的可信验证结果。通过管理端二次验证的方式,也是为了进一步地提高验证的有效性。
上述通过图4说明了两种对进程特征信息进行可信认证的方式,在具体实施过程中,还可以通过双终端验证的方式对进程特征信息进行可信验证。
首先,除了前述向访问控制单元发送的进程特征信息之外,终端还可以将自身登录的用户账号信息和业务访问请求对应的***信息发送给进程特征信息。
进一步地,访问控制单元可以采用前面介绍的方法对进程特征信息进行可信验证并得到验证结果,在另一种实施方式中,访问控制单元也可以并不对进程特征信息进行可信验证。
然后,访问控制单元再根据用户账号信息确定与其关联的账号信息所登录的终端,本申请后实施例中将与终端的用户账号信息关联的账号信息称作关联账号信息,以及将关联账号信息登录的终端称作关联终端。进而,访问控制单元再将进程特征信息和***信息一并发送给关联终端,或者,如果前述访问控制单元对进程特征信息进行了验证,还可以再将验证结果与进程特征信息和***信息一起发送给关联终端。
而后,关联终端在收到进程特征信息和***信息(还可以包括访问控制单元对进程特征信息的验证结果)之后,可以将其展示给用户,关联终端的用户可以自行选择是否将进程特征信息确定为是可信的,进而触发关联终端产生用户决策信息并将其返回给访问控制单元,可见,用户决策信息是用于指示进程特征信息是否通过可信验证的。在此过程中,访问控制单元将自己的验证结果一并发送给用户,相当于是对用户进行了一定的风险提示,如若用户并不遵从访问控制单元的验证结果而自行相反决策的话,后期针对该用户出现的安全问题则可以由该用户自行承担,所以在一种实施例中,若用户决策信息与访问控制单元的验证结果相反,访问控制单元可以将用户决策信息与其对应的用户账号信息、***信息关联保存,一方面可以在后续再遇到这类校验时可以直接采用,另一方面可以记录以便于后续发生安全事故时分析原因并划分责任,等等。
上述实施例中,与用户账号信息对应的关联账号信息可以该用户账号信息自身,例如用户在电脑端和手机端同时登录了自己的用户账号信息,当在电脑端发起业务访问请求时,访问控制单元还可以将相关的进程特征信息和***信息发送给手机端,以便用户在手机端进行二次验证,也就是通过具有同样登录身份的另一终端来进行二次验证,这样通过双终端验证的方式可以进一步地提高访问控制的有效性和安全性。
在另一种实施方式中,与用户账号信息对应的关联账号信息是不同于该用户账号信息的其它用户账号信息,例如是用和用户同组的其他用户的账号信息例如是公司管理员的账号信息,或者例如是用户的上司的账号管理信息,等等,这样,相当于是通过关联终端增加了一个审核角色,通过双终端验证的方式可以进一步地提高访问控制的有效性和安全性。
步骤204:将业务访问请求和授权信息发送给准入网关,以通过准入网关根据业务访问请求的鉴权结果放行或者拦截所述业务访问请求,其中,通过授权信息对业务访问请求进行鉴权。
在获得了授权信息之后,终端可以将业务访问请求和授权信息组装后发送给准入网关,例如按照终端与准入网关之间的传输协议将业务访问请求和授权信息重新组装成一条信息后发送给准入网关,以便于准入网关能够正确接收到终端发送的业务访问请求和对应的授权信息。
准入网关在接收到业务访问请求和对应的授权信息后,可以将其发送给访问控制单元进行鉴权处理,具体来说,例如是将业务访问请求所对应的访问连接信息和授权信息发送给了访问控制单元,进一步,访问控制单元利用授权信息对业务访问请求进行鉴权,例如按照约定的解密算法对授权信息进行解密,其次,还需判断授权信息是否是在有效期内,若这两重验证均符合,则可以认为当前的业务访问请求是安全的,即对业务访问请求的鉴权通过,进而可以将鉴权结果告知准入网关。
准入网关根据访问控制单元返回的鉴权结果,可以对业务访问请求进行相应处理。具体来说,在鉴权通过时,准入网关可以将业务访问请求分发给对应的业务服务器,以从业务服务器处获得相应的资源后再转发给终端,或者直接由业务服务器将相应的资源发送给终端。当鉴权未通过时,则可以拦截业务访问请求,例如直接丢弃该业务访问请求,同时可以向终端返回危险提示信息,以告知终端的用户当前发起业务访问请求的目标应用进程存在安全风险或者是不合法的。
在本申请实施例中,以应用进程作为访问控制的粒度,通过这种细粒度的访问控制机制,可以确保各个应用的可用性,从访问的进程源头进行风险管控,这样可以有效提高访问控制的有效性,提高整个业务***的安全性。
本申请实施例中,在上述介绍的通过对应用进程进行访问控制的基础上,还可以对用户进行权限验证,以下举例说明。
在一种实施方式中,将用户账号信息和目标应用进程所属应用的应用标识发送给访问控制单元,以通过访问控制单元确定用户账号信息对应的账号是否有权限使用应用标识所指示的应用,并接收访问控制单元发送的第一权限匹配结果,再根据第一权限匹配结果确定用户账户信息对应的账号有权限使用应用标识所指示的应用。也就是说,可以对用户的权限对应可使用的应用先进行判定,对于用户没有权限使用的应用是不支持其发起业务访问请求的,这样可以对用户权限进行验证,避免资源泄露,提高访问的安全性。
在另一种实施方式中,将用户账号信息和业务访问请求对应待访问的目标资源的资源标识信息发送给访问控制单元关,以通过访问控制单元确定用户账号信息对应的账号是否有权限访问目标资源,并接收访问控制单元发送的第二权限匹配结,再根据第二权限匹配结果确定所述用户账户信息对应的账号有权限访问目标资源。也就是说,可以对用户有权限访问的资源进行验证,这样可以对用户权限进行验证,避免资源泄露,提高访问的安全性。
为便于本领域技术人员理解,以下再结合附图对本申请实施例提供的技术方案进行说明。
请参见图5所示的一种具体实施方案,图5描述的是通过访问控制***中的访问控制单元对终端中的进程特征信息异步送检的过程,图5所示的流程描述如下。
步骤501:终端通过目标应用进程发起业务访问请求,并获得目标应用进程的进程特征信息。
步骤502:终端将进程特征信息发送给访问控制单元,以通过网络控制单元对进程特征信息进行异步验证。
步骤503:访问控制单元对进程特征信息进行可信验证。
步骤504:在确定进程特征信息经过可信验证时,访问控制单元生成与目标应用进程对应的授权信息,例如可以将该授权信息称作“票据”。
步骤505:访问控制单元将生成的授权信息发送给终端。
步骤506:终端将业务访问请求和授权信息发送给业务控制***中的准入网关。
步骤507:准入网关将收到的业务访问请求和授权信息发送给访问控制单元进行鉴权。
准入网关在收到终端发送的业务访问请求和授权信息之后,需要对其进行鉴权,具体来说是请求访问控制单元对其进行鉴权。
步骤508:访问控制单元根据授权信息对业务访问请求进行鉴权,得到鉴权结果,鉴权结果表明鉴权通过或者鉴权未通过。
步骤509:访问控制单元将鉴权结果发送给准入网关。
准入网关在根据鉴权结果确定鉴权通过时,将业务访问请求转发给业务服务器,以向业务服务器请求对应的资源。
另一方面,若准入网关在根据鉴权结果确定鉴权未通过时,则直接将业务访问请求拦截在本地,实现对网络访问的安全控制。
步骤510:准入网关在根据鉴权结果确定鉴权通过时,将业务访问请求转发给业务服务器,以向业务服务器请求对应的资源。
再参见图6所示的一种具体实施方案,图6描述的是通过访问控制***中的访问控制单元和终端对进程特征信息进行联合验证的过程,图6所示的流程描述如下。
步骤601:终端通过目标应用进程发起业务访问请求,并获得目标应用进程的进程特征信息。
步骤602:终端对进程特征信息在本地进行可信验证。
例如,终端可以将进程特征信息与本地的第一进程名单(进程白名单或者黑名单)进行匹配,以确定进程特征信息位于进程白名单或者进程黑名单中,以此判定其是否通过可信验证。
在本地验证时,进程特征信息可能既不在白名单中也不在黑名单中,此时可以将其看作是“灰进程”,对于“灰进程”,可以向用户弹窗出提示信息让用户手动确认其可信验证结果,或者在一些强安全的业务场景下,也可以直接将“灰进程”当作是黑进程处理。
步骤603:终端在本地验证通过时,再将进程特征信息发送给访问控制单元,以通过网络控制单元进行二次验证,从而实现联合验证的目的。
步骤604:访问控制单元对进程特征信息进行可信验证。
步骤605:在确定进程特征信息经过可信验证时,访问控制单元生成与目标应用进程对应的授权信息,例如可以将该授权信息称作“票据”。
步骤606:访问控制单元将生成的授权信息发送给终端。
步骤607:终端将业务访问请求和授权信息发送给业务控制***中的准入网关。
步骤608:准入网关将收到的业务访问请求和授权信息发送给访问控制单元进行鉴权。
准入网关在收到终端发送的业务访问请求和授权信息之后,需要对其进行鉴权,具体来说是请求访问控制单元对其进行鉴权。
步骤609:访问控制单元根据授权信息对业务访问请求进行鉴权,得到鉴权结果,解劝结果表明鉴权通过或者鉴权未通过。
步骤610:访问控制单元将鉴权结果发送给准入网关。
步骤611:准入网关在根据鉴权结果确定鉴权通过时,将业务访问请求转发给业务服务器,以向业务服务器请求对应的资源。
另一方面,若准入网关在根据鉴权结果确定鉴权未通过时,则直接将业务访问请求拦截在本地,实现对网络访问的安全控制。
再请参见图7所示的另一种具体实施方案,图7描述的是由终端独立对进程特征信息进行验证的过程,图7所示的流程描述如下。
步骤701:终端通过目标应用进程发起业务访问请求,并获得目标应用进程的进程特征信息。
步骤702:终端对进程特征信息在本地进行可信验证。
例如,终端可以将进程特征信息与本地的第一进程名单(进程白名单或者黑名单)进行匹配,以确定进程特征信息位于进程白名单或者进程黑名单中,以此判定其是否通过可信验证。
在本地验证时,进程特征信息可能既不在白名单中也不在黑名单中,此时可以将其看作是“灰进程”,对于“灰进程”,可以向用户弹窗出提示信息让用户手动确认其可信验证结果,或者在一些强安全的业务场景下,也可以直接将“灰进程”当作是黑进程处理。
步骤703:在本地验证通过时,终端生成与目标应用进程对应的授权信息。
需要说明的是,终端生成授权信息的方式需要提前与访问控制单元之间进行约定,这样以便于访问控制单元后续根据授权信息对终端发起的业务访问请求进行鉴权。
步骤704:终端将业务访问请求和授权信息发送给业务控制***中的准入网关。
步骤705:准入网关将收到的业务访问请求和授权信息发送给访问控制单元进行鉴权。
准入网关在收到终端发送的业务访问请求和授权信息之后,需要对其进行鉴权,具体来说是请求访问控制单元对其进行鉴权。
步骤706:访问控制单元根据授权信息对业务访问请求进行鉴权,得到鉴权结果,解劝结果表明鉴权通过或者鉴权未通过。
步骤707:访问控制单元将鉴权结果发送给准入网关。
步骤708:准入网关在根据鉴权结果确定鉴权通过时,将业务访问请求转发给业务服务器,以向业务服务器请求对应的资源。
再请参见图8所示的另一种具体实施方案,图8描述的是由终端和与该终端关联的关联终端对进程特征信息进行双终端验证的过程,图8所示的流程描述如下。
步骤801:终端通过目标应用进程发起业务访问请求,并获得目标应用进程的进程特征信息。
步骤802:终端将进程特征信息、用户账号信息和业务访问请求对应的***信息发送给访问控制单元。
步骤803:访问控制单元对进程特征信息进行可信验证,得到验证结果。
在具体实施过程中,步骤803是可选的步骤,即可执行或者也可不执行。
步骤804:访问控制单元根据用户账号信息确定与其对应的关联账号信息所登录的终端,称作关联终端。
步骤805:访问控制单元将进程特征信息和***信息发送给关联终端。
在另一种实施方式中,若前面执行了步骤803,在步骤805中可以一并将验证结果发送给关联终端。
步骤806:关联终端输出(例如向用户展示)进程特征信息和***信息,并获得用户决策信息。
其中,用户决策信息用于指示进程特征信息是否通过可信验证,用户决策信息是用户人工所做的决策,表明的是用户的实际选择结果,可知的是,用户的选择结果与访问控制单元得到的验证结果可能相同或者也可能不同。
步骤807:关联终端将用户决策信息发送给访问控制单元。
步骤808:访问控制单元根据用户决策信息确定进程特征信息是否通过可信验证。
步骤809:访问控制单元在确定进程特征信息通过可信验证时,生成授权信息,并将其发送给终端。
步骤810:终端向准入网关发送业务访问请求和授权信息。
步骤811:准入网关在确定鉴权通过时,将业务访问请求转发给业务服务器,以请求对应的资源。
上述图5~图8的具体实施过程中可以参见前述图2~图4的实施例描述部分,这里就没有再重复说明了。
本申请实施例提供了多种对进程特征信息进行可信验证的方式,灵活性较好,在具体实施过程中,可以采用其中的一种进行独立验证或者采用多种及逆行联合验证,本申请实施例不做限制。
基于同一发明构思,本申请实施例提供一种访问控制***,如图9所示的,包括访问控制单元901和准入网关902,其中:
访问控制单元901,用于接收终端发送的进程特征信息,并在确定进程特征信息通过可信验证时,确定与目标应用进程对应的授权信息,以及将授权信息发送给终端,其中,进程特征信息用于标识终端中发起业务访问请求的目标应用进程;
准入网关902,用于接收终端发送的业务访问请求和授权信息,并将业务访问请求和授权信息发送给访问控制单元,以及获得访问控制单元发送的鉴权结果;
访问控制单元901,还用于接收准入网关发送的业务访问请求和授权信息,并根据授权信息对业务访问请求进行鉴权,以及将鉴权结果发送给准入网关;
准入网关902,还用于根据鉴权结果放行或者拦截业务访问请求。
本申请实施例中的访问控制单元901的具体实施可以参见前面方法实施例中对于访问控制单元的介绍,一级,准入网关902的具体实施可以参见前面方法实施例中对于准入网关的介绍,此处就不再重复说明了。
基于同一发明构思,本申请实施例提供一种访问控制装置,该访问控制装置可以是硬件结构、软件模块、或硬件结构加软件模块。该访问控制装置例如是前述图1b中的任意一个终端,或者可以是设置于任意一个终端内的功能装置,该访问控制装置可以由芯片***实现,芯片***可以由芯片构成,也可以包含芯片和其他分立器件。参见图10所示,本申请实施例中的访问控制装置包括访问模块1001、获取模块1002、验证模块1003和发送模块1004,其中:
访问模块1001,用于响应于访问触发操作,通过目标应用进程发起业务访问请求;
获取模块1002,用于获取所述目标应用进程的进程特征信息,所述进程特征信息用于标识所述目标应用进程;
验证模块1003,用于在所述进程特征信息通过可信验证时,获得所述目标应用进程对应的授权信息;
发送模块1004,用于将所述业务访问请求和所述授权信息发送给准入网关,以通过所述准入网关根据所述业务访问请求的鉴权结果放行或者拦截所述业务访问请求,其中,通过授权信息对业务访问请求进行鉴权。
在一种可能的实施方式中,验证模块1003用于:
将进程特征信息发送给访问控制单元,以通过访问控制单元对进程特征信息进行可信验证;
接收访问控制单元发送的第一验证结果信息;
根据第一验证结果信息确定进程特征信息通过可信验证或未通过可信验证。
在一种可能的实施方式中,验证模块1003用于:
将进程特征信息与第一进程名单进行匹配;
根据与第一进程名单的匹配结果,确定进程特征信息是否通过可信验证。
在一种可能的实施方式中,验证模块1003用于:
根据匹配结果确定进程特征信息未通过可信验证;或者,
根据匹配结果确定进程特征信息通过可信验证;或者,
在根据匹配结果确定进程特征信息通过可信验证时,将进程特征信息发送给访问控制单元,并根据访问控制单元发送的第二验证结果信息确定进程特征信息是否通过可信验证。
在一种可能的实施方式中,验证模块1003用于:
显示结果确认界面,结果确认界面中包括进程特征信息的可信验证结果;
响应于针对结果确认界面的第一确认操作,获得用于表征进程特征信息是否通过可信验证的用户确认结果;
以用户确认结果更新进程特征信息的可信验证结果。
在一种可能的实施方式中,验证模块1003还用于:
在用户确认结果与进程特征信息的可信验证结果不同时,将用户确认结果发送给访问控制单元。
在一种可能的实施方式中,验证模块1003用于:
在进程特征信息通过可信验证时,接收访问控制单元生成并发送的授权信息;或者,
在进程特征信息通过可信验证时,生成授权信息。
在一种可能的实施方式中,验证模块1003用于:
将用户账号信息和目标应用进程所属应用的应用标识发送给访问控制单元,以通过访问控制单元确定用户账号信息对应的账号是否有权限使用应用标识所指示的应用;
接收访问控制单元发送的第一权限匹配结果;
根据第一权限匹配结果确定用户账户信息对应的账号有权限使用应用标识所指示的应用。
在一种可能的实施方式中,验证模块1003用于:
将用户账号信息和业务访问请求对应待访问的目标资源的资源标识信息发送给访问控制单元,以通过访问控制单元确定用户账号信息对应的账号是否有权限访问目标资源;
接收控制网关发送的第二权限匹配结果;
根据第二权限匹配结果确定用户账户信息对应的账号有权限访问目标资源。
前述的访问控制方法的实施例中涉及的各步骤的所有相关内容均可以援引到本申请施例中的访问控制装置所对应的功能模块的功能描述,在此不再赘述。
基于同一发明构思,本申请实施例提供一种访问控制装置,该访问控制装置可以是硬件结构、软件模块、或硬件结构加软件模块。该访问控制装置例如是前述图1b中的访问控制单120,或者可以是设置于访问控制单元内的功能装置,该访问控制装置可以由芯片***实现,芯片***可以由芯片构成,也可以包含芯片和其他分立器件。请参见图11所示,本申请实施例中的访问控制装置包括接收模块1101、确定模块1102、发送模块1103和访问控制模块1104,其中:
接收模块1101,用于接收终端发送的进程特征信息,进程特征信息用于标识终端发起业务访问请求的目标应用进程;
确定模块1102,用于在确定进程特征信息通过可信验证时,确定与目标应用进程对应的授权信息;
发送模块1103,用于将授权信息发送给终端;
接收模块1101,还用于接收准入网关发送的业务访问请求和授权信息;
访问控制模块1104,用于根据授权信息对业务访问请求进行鉴权,并将鉴权结果发送给准入网关,以通过准入网关根据鉴权结果放行或者拦截业务访问请求。
在一种可能的实施方式中,访问控制模块1104还用于:
显示管理操作界面,管理操作界面中包括进程特征信息的可信验证结果;
响应于针对管理操作界面的第二确认操作,获得用于表征进程特征信息是否通过可信验证的管理员确认结果;
以管理员确认结果更新进程特征信息的可信验证结果。
在一种可能的实施方式中,接收模块1101还用于接收终端发送的用户账号信息和业务访问请求对应的***信息;
则,访问控制模块1104用于:
确定以用户账号信息对应的关联账号信息登录的关联终端;
将进程特征信息和***信息发送给关联终端,并根据关联终端发送的用户决策信息确定进程特征通过可信验证或未通过可信验证。
在一种可能的实施方式中,确定模块1102用于:
根据所述进程特征信息是否存在第二进程名单中的匹配结果,确定所述进程特征信息是否通过可信验证;或者,
调用云查询接口,将进程特征信息发送给云查询接口对应的云验证平台,并根据验证平台发送的第三验证结果信息确定进程特征信息是否通过可信验证;或者,
将进程特征信息发送到安全检测分析平台,以通过安全检测分析平台根据进程特征信息对目标应用进程的运行行为进行安全检测,并根据安全检测分析平台输出的检测结果确定进程特征信息是否通过可信验证。
在一种可能的实施方式中,接收终端发送的用户账号信息和业务访问请求对应的***信息;
则,确定进程特征信息是否通过可信验证,包括:
确定以用户账号信息对应的关联账号信息登录的关联终端;
将进程特征信息和***信息发送给关联终端,并根据关联终端发送的用户决策信息确定进程特征通过可信验证或未通过可信验证。
可选的,访问控制模块1104用于:
确定进程特征信息是否通过可信验证,得到第四验证结果信息;
将第四验证结果信息、进程特征信息、***信息发送给关联终端。
前述的访问控制方法的实施例中涉及的各步骤的所有相关内容均可以援引到本申请施例中的访问控制装置所对应的功能模块的功能描述,在此不再赘述。
本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能模块可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
基于同一发明构思,本申请实施例提供一种计算设备,该计算设备例如是前述图1b中的任一终端或者是访问控制单元120,该计算设备能够执行本申请实施例提供的访问控制方法,如图12所示,本申请实施例中的计算设备包括至少一个处理器1201,以及与至少一个处理器1201连接的存储器1202和通信接口1203,本申请实施例中不限定处理器1201与存储器1202之间的具体连接介质,图12中是以处理器1201和存储器1202之间通过总线1200连接为例,总线1200在图12中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线1200可以分为地址总线、数据总线、控制总线等,为便于表示,图12中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在本申请实施例中,存储器1202存储有可被至少一个处理器1201执行的计算机程序,至少一个处理器1201通过执行存储器1202存储的计算机程序,可以执行前述的推荐内容的方法中所包括的步骤。
其中,处理器1201是计算设备的控制中心,可以利用各种接口和线路连接整个计算设备的各个部分,通过运行或执行存储在存储器1202内的指令以及调用存储在存储器1202内的数据,计算设备的各种功能和处理数据,从而对计算设备进行整体监控。可选的,处理器1201可包括一个或多个处理模块,处理器1201可集成应用处理器和调制解调处理器,其中,处理器1201主要处理操作***、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器1201中。在一些实施例中,处理器1201和存储器1202可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器1201可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器1202作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器1202可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、RAM(Random Access Memory,随机访问存储器)、SRAM(Static Random Access Memory,静态随机访问存储器)、PROM(ProgrammableRead Only Memory,可编程只读存储器)、ROM(Read Only Memory,只读存储器)、EEPROM(Electrically Erasable Programmable Read-Only Memory,带电可擦除可编程只读存储器)、磁性存储器、磁盘、光盘等等。存储器1202是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器1202还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
通信接口1203是能够用于进行通信的传输接口,可以通过通信接口1203接收数据或者发送数据,例如可以通过通信接口1203与其它设备进行数据交互以实现通信的目的。
进一步地,该计算设备还包括帮助计算设备内的各个器件之间传输信息的基本输入/输出***(I/O***)1204、用于存储操作***1205、应用程序1206和其他程序模块1207的大容量存储设备1208。
基本输入/输出***1204包括有用于显示信息的显示器1209和用于用户输入信息的诸如鼠标、键盘之类的输入设备1210。其中显示器1209和输入设备1210都通过连接到***总线1200的基本输入/输出***1204连接到处理器1201。所述基本输入/输出***1204还可以包括输入输出控制器以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入输出控制器还提供输出到显示屏、打印机或其他类型的输出设备。
所述大容量存储设备1208通过连接到***总线1200的大容量存储控制器(未示出)连接到处理器1201。所述大容量存储设备1208及其相关联的计算机可读介质为该服务器包提供非易失性存储。也就是说,大容量存储设备1208可以包括诸如硬盘或者CD-ROM驱动器之类的计算机可读介质(未示出)。
根据本申请的各种实施例,该计算设备包还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即该计算设备可以通过连接在所述***总线1200上的通信接口1203连接到网络1211,或者说,也可以使用通信接口1203来连接到其他类型的网络或远程计算机***(未示出)。
基于同一发明构思,本申请实施例还提供一种存储介质,该存储介质可以是计算机可读存储介质,该存储介质中存储有计算机指令,当该计算机指令在计算机上运行时,使得计算机执行如前述的访问控制方法的步骤。
基于同一发明构思,本申请实施例还提供一种芯片***,该芯片***包括处理器,还可以包括存储器,用于实现如前述的访问控制方法的步骤。该芯片***可以由芯片构成,也可以包含芯片和其他分立器件。
在一些可能的实施方式中,本申请实施例提供的访问控制方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在计算机上运行时,所述程序代码用于使所述计算机执行前文所描述的根据本申请各种示例性实施方式的访问控制方法中的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。