CN114745145A - 业务数据访问方法、装置和设备及计算机存储介质 - Google Patents
业务数据访问方法、装置和设备及计算机存储介质 Download PDFInfo
- Publication number
- CN114745145A CN114745145A CN202110017660.0A CN202110017660A CN114745145A CN 114745145 A CN114745145 A CN 114745145A CN 202110017660 A CN202110017660 A CN 202110017660A CN 114745145 A CN114745145 A CN 114745145A
- Authority
- CN
- China
- Prior art keywords
- service
- application
- access
- verification
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种业务数据访问方法、装置和设备及计算机存储介质,涉及安全技术领域,该方法在截获到业务应用的业务访问请求时,一方面通过安全管理客户端进行本地安全校验,在安全校验通过时,则为该业务访问请求分发目标校验凭证,以使得可以根据目标校验凭证实现快速的业务访问,另一方面安全管理客户端还会请求安全管理服务器对业务应用进行深度安全校验,在执行业务访问流程的过程中,一旦接收到安全管理服务器指示业务应用为恶意应用的指示,则阻断业务访问流程,从而避免恶意应用访问到受保护的业务资源,进而,在提升业务访问的响应速度的同时,还能够保证业务访问的安全性。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及安全技术领域,提供一种业务数据访问方法、装置和设备及计算机存储介质。
背景技术
大数据环境下,网络安全威胁比以往任何时候都更加复杂,数据的集中造成了目标和风险的集中,数据成为最主要的攻击目标。传统的网络安全架构理念是基于边界的安全架构,默认内网是安全的,但是当采用非法手段突破边界后,往往能够轻易实现内网渗透,造成数据泄露。
随着数据资源的互联互通和共享开放,消除了物理界限,提出了更为严格和创新的安全防护技术,即零信任技术。零信任技术遵循“永不信任且始终验证”原则,其策略是不信任任何人、事或者物,打破了旧式的网络边界防护思维,对边界内部或外部的网络统统采取不信任的态度,必须经过验证才能完成授权,实现访问。
但是,对于安全性要求较高时,零信任实施需要实现授权和访问控制的高度统一管理,任何的网络访问都需要后台进行鉴权,对于网络的依赖程度较高,在网络质量不稳定或者弱网络的场景下容易出现验证和授权超时或失败的问题,导致网络访问出现频繁失败的问题,可用性差,网络延迟高,并且,在***用户量呈一定量级时,高并发量的授权和访问控制处理也桎梏于后台的处理能力。
因此,如何在安全性以及***性能之间进行平衡是目前亟待解决的问题。
发明内容
本申请实施例提供一种业务数据访问方法、装置和设备及计算机存储介质,用于提升业务访问的响应速度,并且保证业务访问的安全性。
一方面,提供一种业务数据访问方法,所述方法应用于终端设备中,所述方法包括:
在截获到业务应用的业务访问请求时,根据预设的零信任访问策略,对所述业务访问请求进行本地安全校验;
向安全管理服务器发送所述业务应用的深度安全校验请求;
在本地安全校验通过时,根据所述业务访问请求指示的所述业务应用请求访问的目标可达区域,从本地缓存的凭证集合中确定相匹配的目标校验凭证,并根据所述目标校验凭证针对所述目标可达区域执行业务访问流程;
在所述业务访问流程执行过程中,若接收到所述安全管理服务器响应所述深度安全校验请求返回的深度安全校验结果,且根据所述深度安全校验结果确定所述业务应用为恶意应用,则阻断所述业务访问流程。
一方面,提供一种业务数据访问方法,所述方法应用于安全管理服务器中,所述方法包括:
接收安全管理客户端发送的业务应用的深度安全校验请求;其中,所述深度安全校验请求为所述安全管理客户端截获到所述业务应用的业务访问请求时触发的;
根据所述深度安全校验请求携带的应用特征信息进行深度安全校验;
在进行安全校验的过程中,若接收到智能网关发送的携带目标校验凭证的凭证校验请求,对所述目标校验凭证进行校验;所述凭证校验请求为所述智能网关基于所述安全管理客户端发送的所述目标校验凭证触发的,所述目标校验凭证为所述安全管理客户端截获到所述业务应用访问目标可达区域的业务访问请求,且对所述业务访问请求进行本地校验通过时发送给所述智能网关的;
将所述目标校验凭证的校验结果返回给所述智能网关,以使得所述智能网关根据所述校验结果针对所述目标可达区域执行业务访问流程;
在确定所述业务应用为恶意应用时,向所述安全管理客户端返回所述业务应用为恶意应用的深度安全校验结果,以使得所述安全管理客户端根据所述深度安全校验结果阻断所述业务访问流程。
一方面,提供一种业务数据访问装置,所述装置应用于终端设备中,所述装置包括:
本地校验单元,用于在截获到业务应用的业务访问请求时,根据预设的零信任访问策略,对所述业务访问请求进行本地安全校验;
收发单元,用于向安全管理服务器发送所述业务应用的深度安全校验请求;
匹配单元,用于在本地安全校验通过时,根据所述业务访问请求指示的所述业务应用请求访问的目标可达区域,从本地缓存的凭证集合中确定相匹配的目标校验凭证,并根据所述目标校验凭证针对所述目标可达区域执行业务访问流程;
阻断单元,用于在所述业务访问流程执行过程中,若接收到所述安全管理服务器响应所述深度安全校验请求返回的深度安全校验结果,且根据所述深度安全校验结果确定所述业务应用为恶意应用,则阻断所述业务访问流程。
一方面,提供一种业务数据访问装置,所述装置应用于安全管理服务器中,所述装置包括:
收发单元,用于接收安全管理客户端发送的业务应用的深度安全校验请求;其中,所述深度安全校验请求为所述安全管理客户端截获到所述业务应用的业务访问请求时触发的;
深度校验单元,用于根据所述深度安全校验请求携带的应用特征信息进行深度安全校验;
凭证校验单元,用于在进行安全校验的过程中,若接收到智能网关发送的携带目标校验凭证的凭证校验请求,对所述目标校验凭证进行校验;所述凭证校验请求为所述智能网关基于所述安全管理客户端发送的所述目标校验凭证触发的,所述目标校验凭证为所述安全管理客户端截获到所述业务应用访问目标可达区域的业务访问请求,且对所述业务访问请求进行本地校验通过时发送给所述智能网关的;
收发单元,用于将所述目标校验凭证的校验结果返回给所述智能网关,以使得所述智能网关根据所述校验结果针对所述目标可达区域执行业务访问流程;以及在确定所述业务应用为恶意应用时,向所述安全管理客户端返回所述业务应用为恶意应用的深度安全校验结果,以使得所述安全管理客户端根据所述深度安全校验结果阻断所述业务访问流程。
一方面,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一种方法的步骤。
一方面,提供一种计算机存储介质,其上存储有计算机程序指令,该计算机程序指令被处理器执行时实现上述任一种方法的步骤。
一方面,提供一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述任一种方法的步骤。
本申请实施例中,在截获到业务应用的业务访问请求时,一方面通过安全管理客户端进行本地安全校验,在安全校验通过时,则为该业务访问请求分发目标校验凭证,以使得可以根据目标校验凭证实现快速的业务访问,另一方面安全管理客户端还会请求安全管理服务器对业务应用进行深度安全校验,在执行业务访问流程的过程中,一旦接收到安全管理服务器指示业务应用为恶意应用的指示,则阻断业务访问流程,从而避免恶意应用访问到受保护的业务资源,进而,在提升业务访问的响应速度的同时,还能够保证业务访问的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的零信任访问安全服务的架构示意图;
图2为本申请实施例提供的安全管理***的架构示意图;
图3为本申请实施例提供的制定零信任访问策略的过程的流程示意图;
图4为本申请实施例提供的管理用户配置零信任访问策略的界面示意图;
图5为本申请实施例提供的可信应用的详情信息示意图;
图6为本申请实施例提供的管理用户配置业务***的一种界面示意图;
图7为本申请实施例提供的管理用户配置业务***的另一种界面示意图;
图8a~图8c为本申请实施例提供的用户使用安全管理客户端时的界面示意图;
图9为本申请实施例提供的业务访问方法的一种流程示意图;
图10为本申请实施例提供的业务访问方法的另一流程示意图;
图11为本申请实施例提供的安全管理服务器向安全管理客户端下发校验凭证的示意图;
图12为本申请实施例提供的票据加密缓存的结构示意图;
图13为本申请实施例提供的安全管理组件进行本地安全校验的流程示意图;
图14为本申请实施例提供的非可信设备阻断访问的途径示意图;
图15为本申请实施例提供的本地风险进程库的构建流程示意图;
图16为本申请实施例提供的一种业务访问装置的一种结构示意图;
图17为本申请实施例提供的另一种业务访问装置的一种结构示意图;
图18为本申请实施例提供的计算机设备的一种结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例中涉及的方法可以基于云技术,对本申请实施例所提及的与业务访问请求相匹配的校验凭证进行合法性校验,并在合法性校验通过时,可以通过智能网关从业务应用对应的业务服务器中,获取该业务访问请求对应的业务响应结果;并且,还可以对用户终端上运行的业务应用进行远端的深度安全校验,在深度安全校验结果指示业务应用为恶意进程时,指示用户终端阻断业务应用的业务访问,适用于云技术中的云安全领域。
云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。
云技术(Cloud technology)基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络***的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台***进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的***后盾支撑,只能通过云计算来实现。
其中,云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
具体而言,云安全主要研究方向包括:
1、云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机***安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;
2、安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;
3、云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
为便于理解本申请实施例提供的技术方案,这里先对本申请实施例使用的一些关键名词进行解释:
可信应用:业务应用客户端管理端授信的用户终端可访问内部业务***的应用载体,可以包括可在用户终端安装的任一应用,包括操作***的应用以及用户可自行安装的应用,如Outlook、微信或者office等等,可信应用的应用特征信息包括应用名、应用的信息摘要算法(Message-Digest Algorithm,MD5)值以及签名信息等信息。例如,可信应用可以为社交客户端、办公客户端、检索客户端(例如,浏览器客户端)、多媒体客户端(例如,视频客户端)、娱乐客户端(例如,游戏客户端)、教育客户端、直播客户端、新闻客户端或者购物客户端(例如,电商客户端)等应用客户端。
可达区域:用户可以通过零信任网络访问企业设置的内部站点列表,根据为用户配置的零信任访问策略,该用户所能够访问的内部站点列表中的内部站点即为该用户的可达区域。
登录凭证:用户成功登录安全管理客户端,如iOA客户端后,安全管理客户端对应的安全管理服务器,如iOA服务端为该用户指定的一个加密串,表示该用户的登录授权信息,包括用户信息和授权有效期,并加密存储在安全管理客户端。
校验凭证:或称网络请求凭证或者票据等,安全管理服务器为单个业务访问请求发放的授权信息,用于标识该网络请求的授权状态,在截获到业务访问请求,安全管理客户端或者安全管理服务器为其发放校验凭证,网络访问代理携带该校验凭证向智能网关发起访问,智能网关在业务访问请求对应的校验凭证在安全管理服务器校验通过后,才转发业务访问请求到相应的业务服务器。
零信任访问策略:由用户可使用的可信应用以及可访问的可达区域组成,在用户零信任访问策略范围内的可信应用和可达区域,用户可通过任何一个可信应用访问到任一个可达区域。零信任访问策略的粒度为登录用户,允许为不同的登录用户制定不同的零信任策略。
智能网关:或称零信任网关,部署在企业应用程序和数据资源的入口,负责对每一个访问企业资源的业务访问请求进行验证和请求转发。
访问代理组件:访问代理是部署于受控终端设备的发起安全访问的终端代理,负责访问主体可信身份验证的请求发起,验证身份可信,即可与访问网关建立加密的访问连接,同时也是访问控制的策略执行点。
访问主体:在网络中,发起访问的一方,访问内网业务资源的人/设备/应用。
访问客体:在网络中,被访问的一方,即企业内网业务资源、数据、开发测试环境以及运维环境等等。
零信任访问安全服务:为访问安全需求方提供的一种服务,其中,如图1所示,本申请实施例中提供的安全管理***为零信任网络安全服务提供方,安全管理***中包括安全管理客户端(包括安全管理组件和访问代理组件)、安全管理服务器和智能网关,通过设置于用户终端的访问代理组件和智能网关为访问主体通过网络请求访问客体的资源提供统一入口,安全管理组件和安全管理服务器为统一入口提供鉴权操作,只有通过鉴权的业务访问请求才能由访问代理组件转发给智能网关,通过智能网关代理实际业务***的访问。
服务寻址:在分布式级联部署方式中,各不同的业务部署在不同的服务器中,寻找客户端不同的业务模块关心的后台服务所部署的服务器连接地址的过程即为服务寻址。
随着数据资源的互联互通和共享开放,零信任技术逐渐被应用。
目前,使用零信任网络进行业务访问时,每次在网络质量不稳定,弱网络的场景下容易出现票据获取超时或失败的问题,导致网络访问出现频繁失败的问题,可用性差,网络延迟高。
对于安全性要求较高时,零信任实施需要实现授权和访问控制的高度统一管理,业务访问请求均需要通过网络向服务端同步申请校验凭证,业务应用在实际访问业务站点之前,需要同步等待服务端生成和响应校验凭证,对于网络的依赖程度较高,在网络质量不稳定或者弱网络的场景下容易出现验证和授权超时或失败的问题,导致网络访问出现频繁失败的问题,可用性差,网络延迟高,并且,在***用户量呈一定量级时,高并发量的授权和访问控制处理也桎梏于后台的处理能力。
为了减少对于网络性能的依赖,可以将校验凭证的申请下沉到用户终端中,即可以预先在用户终端中缓存一批校验凭证,进而由用户终端自行进行安全校验以及校验凭证,实现校验凭证的快速发放,以此优化弱网络环境下网络访问问题。此外,为了安全性的考虑,仍然需要服务器端对用户终端中的业务应用进行更为全面的安全校验,因而用户终端可以异步上报业务应用的特征信息,有服务器进行深度安全校验,在存在异常时,即使通知用户终端阻断业务访问,以保证数据安全。
鉴于此,本申请实施例提供一种业务数据访问方法,在该方法中,在截获到业务应用的业务访问请求时,一方面通过安全管理客户端进行本地安全校验,在安全校验通过时,则为该业务访问请求分发目标校验凭证,以使得可以根据目标校验凭证实现快速的业务访问,另一方面安全管理客户端还会请求安全管理服务器对业务应用进行深度安全校验,在执行业务访问流程的过程中,一旦接收到安全管理服务器指示业务应用为恶意应用的指示,则阻断业务访问流程,从而避免恶意应用访问到受保护的业务资源,进而,在提升业务访问的响应速度的同时,还能够保证业务访问的安全性。
此外,在该方法中,在本地预缓存了每一业务访问组合的多个校验凭证,在对触发业务访问请求的业务应用的本地校验通过之后,则为其分发相应的校验凭证,避免每一次业务访问请求都需要向服务器端申请校验凭证,导致网络访问卡顿、时延高以及不稳定的问题,在降低网络访问时延的同时提高网络访问的稳定性。
本申请实施例中,安全管理服务器可以根据为各个用户配置的零信任网络访问策略或者用户的网络访问行为来为用户预下发校验凭证,例如为用户的零信任网络访问策略对应的各个业务访问组合下发校验凭证,或者为用户使用频率较高的多个业务访问组合下发校验凭证,从而在安全管理客户端缓存校验凭证,以提升在业务访问时的访问速度。
在介绍完本申请实施例的设计思想之后,下面对本申请实施例的技术方案能够适用的应用场景做一些简单介绍,需要说明的是,以下介绍的应用场景仅用于说明本申请实施例而非限定。在具体实施过程中,可以根据实际需要灵活地应用本申请实施例提供的技术方案。
本申请实施例提供的方案可以适用于零信任网络访问场景中,如图2所示,为本申请实施例提供的一种基于安全管理***的架构示意图,在该场景中可以包括多个用户终端10,如图2所示的用户终端10~1至用户终端10~n,还可以包括终端管理服务器20、智能网关30、业务服务器40和云查杀服务器50。
用户终端10可以为智能手机、平板电脑、笔记本电脑、桌上型电脑、可穿戴设备、智能家居以及头戴设备等具有业务数据访问功能的智能终端。其中,各个用户终端10可以为受控于一用户群体的终端设备,例如可以为企业内各个员工所使用的终端设备,或者某个团体组织内的成员所使用的终端设备。
如图2所示,每个用户终端10均可以安装有业务应用102以及安全管理客户端101。其中,业务应用102可以包括可信应用,也可以包括非可信应用。
终端管理服务器20可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器,但并不局限于此。
智能网关30可以为任何能够实现业务访问请求验证和请求转发的网关,在一种可能的实现方式中,终端管理服务器20与智能网关30可以通过相同的设备实现,例如可以部署于同一服务器,当然,也可以部署于不同的设备,本申请实施例对此不做限制。
业务服务器40为业务访问请求所请求访问的访问客体,例如可以为企业的内部站点,业务服务器40上的业务数据等内容是受保护的访问客体,只有在授权验证通过时才能够允许访问。
云查杀服务器50用于实现云查杀功能,用于检测业务应用的应用进程是否安全,例如是否有漏洞,是否有病毒木马,从而给出应用进程是否为恶意进程的结果。例如可以为威胁情报云查服务安知或者TAV杀毒引擎等。
在具体应用时,用户可以预先在用户终端上安装安全管理客户端101,安全管理客户端101可以包括安全管理组件(也可以称为安全管理客户端)和访问代理组件(也可以称为访问代理客户端),其中,安全管理组件为安装在终端设备上的安全代理(Agent),用于与安全管理服务器20对接,负责安全校验方面的功能,例如可以负责验证用户终端上的用户可信身份,验证用户终端是否可信以及业务应用是否可信,将未知的进程向服务器申请进程送检等。访问代理组件可以通过虚拟网卡(如TUN/TAP虚拟网卡)劫持设备流量以获取业务访问请求,以及与智能网关30对接,用于实现业务访问请求的转发等功能。安全管理组件鉴权通过后,访问代理组件负责将业务访问请求转发给智能网关,如果没有通过鉴权则走直连或中断连接。
当用户在安全管理客户端101上登录自己的账号时,则安全管理组件可以从安全管理服务器20获取管理员为该用户配置的零信任访问策略,从而在用户使用用户终端10上的业务应用102发起网络访问时,则访问代理组件可以截获到该次网络访问所触发的业务访问请求,并请求安全管理组件对业务访问请求进行安全校验。
一方面,当安全管理组件判断发起访问的业务应用和访问站点是否符合零信任访问策略,若不符合零信任访问策略,则安全管理组件向访问代理组件响应直连结果,访问代理组件收到直连结果后,会直接将业务访问请求转发到需要连接的目标业务站点,如果安全管理组件判断符合零信任策略,则安全管理组件需要搜集业务应用的特征信息,判断业务应用是否为风险进程,若是,则给访问代理组件发送拒绝票据响应,如果不是风险进程,则安全管理组件从本地缓存的凭证列表中获取一个校验凭证,响应给访问代理组件。
访问代理组件首先向智能网关30发起携带校验凭证的请求,智能网关30收到访问代理组件的请求后,向安全管理服务器20校验上述校验凭证,如果校验成功,则智能网关30跟访问代理组件成功建立连接,之后访问代理组件将原始的业务访问请求发送给智能网关30,由智能网关30转发至到对应的业务服务器,代理实际的应用网络访问;如果校验凭证校验未通过,则访问代理组件与智能网关30的连接中断。
另一方面,安全管理组件还会搜集业务应用更为详细的特征信息,异步向安全管理服务器20发起深度安全校验,安全管理服务器20可以对该业务应用进行安全校验,或者,还可以向云查杀服务器50发起送检请求,以对业务应用进行深度安全校验,当安全管理服务器20或者云查杀服务器50确定业务应用的应用进程为恶意进程时,则安全管理服务器20通知安全管理组件,实行对已有***的阻断操作。
当然,本申请实施例提供的方法并不限用于图2所示的应用场景中,还可以用于其他可能的应用场景,本申请实施例并不进行限制。对于图2所示的应用场景的各个设备所能实现的功能将在后续的方法实施例中一并进行描述,在此先不过多赘述。
本申请实施例中,在进行基于零信任访问策略的业务访问之前,首先需要为各个用户制定零信任访问策略,因而下面首先对制定零信任访问策略的过程进行介绍。如图3所示,为制定零信任访问策略的过程的流程示意图。
步骤301:安全管理服务器向安全管理客户端下发开放的零信任访问策略。
本申请实施例中,在初始设置零信任访问策略时,由于缺乏策略设置基础,例如对于一个企业而言,企业可能包括不同的部门,不同的部门所使用的应用或者资源可能有所不同,因而企业管理员可能并不知道要为哪些用户配置哪些可信应用或者可达区域。因此,管理用户可以放开策略,即将各个用户的可信应用集合为任意应用,可达区域集合为任意区域,也就是说用户可以以任意的应用访问任意区域。
管理用户为一个用户群体中具有管理权限的用户,例如企业中的企业管理员,登录了管理用户账号的安全管理客户端所在的用户终端为管理用户终端。如图4所示,为管理用户配置零信任访问策略的界面示意图,其中,该界面可以为登录了管理用户账号的安全管理客户端在运行时的界面。在该界面中,管理用户可以选择需要配置策略的用户,如可以在图4所示的界面中选择对账户树中的“全网账户”进行配置,那么则是指对一个用户集体(如企业)内的所有用户进行策略配置,或者,管理用户也可以选择对某一用户或者某一用户群组进行策略配置,那么管理用户可以选中需要配置的用户或者群组的账号。
一个零信任访问策略是用户-应用-业务站点的粒度,因而在选定了用户之后,则需要对该用户的应用和业务站点进行配置,如图4所示,具体包括“可信应用配置”和“业务***配置”,其中,可信应用配置则是用于为用户配置该用户对应的可信应用,业务***配置则是用于为用户配置该用户对应的业务站点,即该用户的可达区域,也就是可访问的内部站点区域,当配置了可信应用和业务站点之后,则该用户可以通过任一可信应用访问到任一业务站点。
具体的,在管理用户进行可信应用配置时,可以选择***预设的配置,也可以自行编辑配置,如图4所示,由于初始配置时管理用户并不清楚要为哪些用户配置哪些应用,因而管理用户可以放开策略,为了方便管理用户的初始配置,设置了“任意应用”的应用分组,即可信应用集合,管理用户则可以选择任意应用,这样,用户可以使用任意应用访问可达区域。针对于不同的操作***,可以设置不同的应用分组,那么,即使是同一用户,可以针对不同的操作***配置不同的可信应用集合,从而该用户在使用不同操作***的设备登录安全管理客户端时可以拥有不同的零信任访问策略。
如图5所示,为可信应用的详情信息示意图。其中,管理用户在为用户配置可信应用时,可以查看应用的详情信息,以确定是否将该应用配置为可信应用,如图5所示,应用的详情信息可以包括应用的进程名、应用名、签名信息、版本信息、送检结果、进程MD5和安全散列算法(Secure Hash Algorithm,SHA)256值等信息。
具体的,具体的,在管理用户进行业务***配置时,也可以选择***预设的配置,也可以自行编辑配置,如图4所示,由于初始配置时管理用户并不清楚要为哪些用户配置哪些业务***较好,因而管理用户可以放开策略,为了方便管理用户的初始配置,设置了“所有url”的业务***分组,即可达区域集合,管理用户则可以选择所有url,这样,用户可以使用应用访问任意可达区域。
在放开策略之后,可以搜集到企业内所有用户的业务访问情况,进而后续在进行应用或者业务***配置时,则可以根据历史的业务访问情况来进行配置。例如,在为某一用户或者群组配置零信任访问权限时,可以在配置页面上展示该用户或者该企业的历史访问频次较高的应用,供管理用户进行勾选,被选中的应用即为该用户或者群组配置的可信应用。
如图6和图7所示,为管理用户配置业务***的界面示意图。如图6和者图7所示,在可访问业务***的编辑页面中,管理用户可以选择业务***的表示类型,如可以选择互联网协议地址(Internet Protocol Address,IP地址)或者域名,图6为以IP地址为例的编辑页面示例,图7为以域名为例的编辑页面示例。
如图6所示,在选择IP地址类型时,则管理用户可以编辑用户可访问的指定IP地址或者IP段以及访问的具体端口等内容,如图7所示,在选择域名类型时,则管理用户可以编辑用户可访问的域名名称以及访问的具体端口等内容。
步骤302:安全管理客户端收集用户终端的网络访问采集信息。
在用户使用时,用户需要在用户终端上安装安全管理客户端,并登录自己的账户,以通过安全管理客户端开启零信任办公。如图8a~8c所示,为用户使用安全管理客户端时的界面示意图。
由于零信任访问策略是基于用户身份的,因而用户需要在安全管理客户端中登录自己的账号,当用户未进行登录时的界面如图8a所示,其中,“XXXX”为安全管理客户端的名称,当用户未登录时,仅能实现安全管理客户端的离线功能,进而可以提示用户“账号未登录”“可信软件未配置”等项目,并显示如图8a所示的登录页面,用户可以选择扫码登录或者账号密码形式进行登录。用户成功登录安全管理客户端后,安全管理服务端为该用户下发一个登录凭证,表示该用户的登录授权信息,包括用户信息和授权有效期,安全管理客户端将登录凭证加密存储在客户端,在后续的身份校验中可以使用该登录凭证进行校验。
用户成功登录安全管理客户端后,则界面上的“账号未登录”则变更为“账号已登录”,其由于用户登录后,则安全管理服务端可以基于用户的身份为其下发零信任访问策略,因而该用户的可信软件也进行了配置,因而界面上的“可信软件未配置”也会变更为“可信软件已配置”。
用户可以针对界面上的各个控件进行操作,以查看各选项对应的详情,例如,在开启零信任办公的情况下,用户可以通过登录安全管理客户端,实现零信任办公功能,用户可以对“办公安全实时防护中”进行操作,进而进入如图8b所示的办公安全实时防护的详情页面,在该页面中,用户可以知晓具体防护的项目类别,如“实时防护策略”、“杀毒防护引擎”和“安全加固策略”类别,并可查看每一类别对应的详细项目,如图8b为“实时防护策略”对应的详细项目,包括“应用入口防护”方面的防护以及“***底层防护”方面的防护。此外,用户还可对“可信软件已配置”进行操作,进而进入如图8c所示的可信应用的详情页面,在该页面中,用户可以知晓自己对应的可信应用,如图8c所示,当管理用户放开策略时,用户的可信应用为任意应用。
在用户具体使用用户终端上的应用访问内部站点时,则安全管理客户端可以收集该用户的网络访问采集信息,网络访问采集信息包括发起网络访问的应用路径、应用执行文件的版本信息、应用执行文件的MD5、应用执行文件的签名信息和证书链信息等应用相关的信息以及访问的目的URL。
步骤303:安全管理客户端将收集的网络访问采集信息上报给安全管理服务器。
步骤304:安全管理服务器基于各个用户的网络访问采集信息生成策略辅助信息。
安全管理服务端收到安全管理客户端发送过来的网络访问采集信息后,则可以对网络访问采集信息进行解析,进而针对解析得到的内容生成辅助管理用户制定管理策略的策略辅助信息。
具体的,由于用户在使用时可能会使用某些应用频繁访问内部站点,进而上报的网络访问采集信息可能包括重复内容,因而安全管理服务器可以执行缓存去重操作,以降低安全管理服务器的处理负担。然后,安全管理服务器审核执行文件的证书链信息,例如判断是否含有黑名单的证书信息,并将安全管理客户端上报的应用执行文件的特征信息发送给云查杀服务器检查该文件是否为恶意进程,最终根据证书的审核结果和云查杀服务器的应用检查结果生成辅助策略信息,进而企业管理员可基于辅助策略信息,指定符合本企业特点的零信任访问策略。
步骤305:管理用户从安全管理服务器拉取策略辅助信息。
步骤306:管理用户根据策略辅助信息制定零信任访问策略。
其中,辅助策略信息可以包括常用的安全的应用名称和应用特征信息、访问的企业内部站点以及应用访问内部站点的映射关系等,进而管理用户在为某个用户或者群组编辑零信任访问策略时,则可以基于站点网络访问信息库中常用的应用和内部站点中进行选择,以形成相应的零信任访问策略。
本申请实施例中,在各个用户的零信任访问策略配置之后,则可以依据各个用户的零信任访问策略进行业务访问。如图9所示,为本申请实施例提供的业务访问方法的一种流程示意图。
步骤901:安全管理客户端截获到业务应用的业务访问请求。
步骤902:安全管理客户端根据预设的零信任访问策略,对业务访问请求进行本地安全校验。
步骤903:在本地安全校验通过时,安全管理客户端根据业务访问请求指示的业务应用请求访问的目标可达区域,从本地缓存的凭证集合中确定相匹配的目标校验凭证。
步骤904:安全管理客户端向智能网关发起业务访问流程.
具体的,安全管理客户端根据目标校验凭证向智能网关发起针对目标可达区域的业务访问流程。
步骤905:智能网关向安全管理服务器发起携带目标校验凭证的凭证校验请求。
步骤906:安全管理服务器校验目标校验凭证。
步骤907:安全管理服务器向智能网关返回校验结果。
步骤908:智能网关根据校验结果针对目标可达区域执行业务访问流程。
步骤909:安全管理客户端向安全管理服务器发送业务应用的深度安全校验请求。
步骤910:全管理服务器根据深度安全校验请求携带的应用特征信息进行深度安全校验。
步骤911:安全管理服务器向安全管理客户端返回的深度安全校验结果。
步骤912:安全管理客户端根据深度安全校验结果确定业务应用为恶意应用时,阻断业务访问流程。
在上述流程中,步骤902~908的过程为本地校验快速访问流程,即本地校验成功后,快速发送校验凭证,实现业务应用的快速访问的过程,步骤909~912的过程为异步送检流程,其中,步骤902~908的过程与步骤909~912的过程可以是异步并行进行的,且当步骤909~912的过程中一旦确定业务应用为恶意应用,则立即中断步骤902~908的过程。
因而,本申请实施例中在截获到业务应用的业务访问请求时,一方面通过安全管理客户端进行本地安全校验,在安全校验通过时,则为该业务访问请求分发目标校验凭证,以使得可以根据目标校验凭证实现快速的业务访问,另一方面安全管理客户端还会请求安全管理服务器对业务应用进行深度安全校验,在执行业务访问流程的过程中,一旦接收到安全管理服务器指示业务应用为恶意应用的指示,则阻断业务访问流程,从而避免恶意应用访问到受保护的业务资源,进而,在提升业务访问的响应速度的同时,还能够保证业务访问的安全性。
如图10所示,为本申请实施例提供的业务访问方法的另一流程示意图。
步骤1001:安全管理服务器向安全管理组件下发的至少一个业务访问组合的校验凭证。
本申请实施例中,零信任技术的思想是永不信任且始终验证,因而在具体的业务访问过程中进行验证时则需要使用到校验凭证。通常而言,可以在每一次存在业务访问事件时,安全管理客户端向安全管理服务器请求本次所需的校验凭证,但是,在***并发量很大时,安全管理服务器的处理压力很高,因而为了降低安全管理服务器的负担,安全管理服务器可以向安全管理客户端提前下发校验凭证。
如图10所示,安全管理客户端具体可以包括安全管理组件和访问代理组件,安全管理组件与安全管理客户端进行交互,用于实现安全管理相关的功能,例如负责验证设备上的用户可信身份,验证设备是否可信以及应用是否可信以及将未知的进程向服务器申请进程送检等,访问代理组件与智能网关进行交互,用于实现请求转发相关的功能。
具体的,安全管理服务器可以根据零信任访问策略或者历史业务访问情况确定为需要下发校验凭证的业务访问组合。
其中,零信任访问策略是指企业管理员指定的可允许用户使用的可信应用访问特定业务站点(可达区域)的映射关系,如下所示,为一种零信任访问策略的示例。
在上述示例中,每一个"accessiblearea"节点是可达区域,每一个"trustedapp"节点是可信应用。
本申请实施例中,可以根据零信任访问策略的可达区域和可信应用来确定业务访问组合,一个业务访问组合包括一个可信应用与一个可达区域,进而安全管理服务器为确定的业务访问组合分别生成至少一个校验凭证,并下发给安全管理客户端,提前给客户端下发一批符合可达区域和可信应用的校验凭证,作为校验凭证加密缓存的初始版本。
例如,对于用户A而言,用户A的零信任访问策略中的可信应用集合包括应用1和应用2,以及可达区域集合包括可达区域1和可达区域2,那么可组成的业务访问组合为4个,即应用1-可达区域1、应用1-可达区域2、应用2-可达区域1以及应用2-可达区域2,则安全管理服务器可以为每个组合分发多张票据,并下发给用户A登录的安全管理客户端。
本申请实施例中,通过图3所示的实施例中的放开策略之后,可以收集得到企业内各个用户使用应用访问内部站点的频次信息,包括应用访问站点的映射关系,以及某个进程访问某个站点的频次信息,并做排序,进而安全管理服务器可以为频次较高的业务访问组合下发校验凭证,例如可以按照频次高低,按照设定的排名范围(例如,取前500个)提前给安全管理客户端下发对应站点和应用的校验凭证。
其中,上述的频次信息可以包括单个用户的频次信息、也可以包括用户所在群组的频次信息,或者还可以包括用户所在企业的频次信息。
在实际应用时,可以根据零信任访问策略中的可达区域和可信应用,提前给客户端下发一批符合可达区域和可信应用的校验凭证,作为校验凭证加密缓存的初始版本,在后续的使用过程中,可以根据企业内用户使用应用访问站点的频次信息,来批量下发对应站点和应用的校验凭证。
如图11所示,为安全管理服务器向安全管理客户端下发校验凭证的示意图,其中,票据即为校验凭证。安全管理服务器包括实现校验凭证相关功能的票据中心,票据中心生成校验凭证之后,则可以给不同设备的安全管理客户端响应多组“应用-url-设备”信息,其中,每一票据为用户使用特定应用访问特定URL所需的凭证,如图11所示,每一票据对应一个应用-URL的组合,设备为登录了用户账户的安全管理客户端所在的设备。
步骤1002:安全管理组件对校验凭证进行加密缓存。
本申请实施例中,安全管理组件可以基于安全管理服务器下发的校验凭证更新至自身缓存的凭证集合。此外,为了保证校验凭证的安全性,安全管理客户端可以对校验凭证进行加密缓存。
具体的,安全管理客户端构建票据缓存时,以可信应用和访问站点url作为唯一key,一个校验凭证对应一个缓存条目,一个缓存条目由key和value组成,其中,缓存条目中的key包括可信应用和访问站点url,可信应用除了存储应用名,还可以包括应用的详细特征信息,例如md5、执行文件的签名信息以及最近修改时间等信息,安全管理服务器发放的校验凭证则作为缓存中与该key对应的value。
如图12所示,为票据加密缓存的结构示意图,其中,图12示出了一个可信应用为例的票据加密缓存的结构,访问应用1为一个可信应用,针对可达区域集合中的每一个访问站点,即图12所示的访问站点url1~urln,可以构建得到多个业务访问组合,每一业务访问组合可以对应的多个校验凭证,如图12所示的访问应用1对访问站点url1进行业务访问的业务访问组合可以对应校验凭证A1~An,访问应用1对访问站点url2进行业务访问的业务访问组合可以对应校验凭证B1~Bn,以此类推。
步骤1003:访问代理组件截获业务访问请求。
具体的,当用户通过用户终端上的应用进行业务访问时,则访问代理组件则可以截获到相应的业务访问请求。其中,访问代理组件可以通过TUN/TAP虚拟网卡劫持用户终端上的流量,进而对用户终端上触发的业务访问请求进行截获。
步骤1004:访问代理组件向安全管理组件发起鉴权请求。
本申请实施例中,基于零信任技术的思想,在每一次业务访问时,均需要进行校验,因而访问代理组件需要向安全管理组件申请校验所需的校验凭证,那么访问代理组件可以向安全管理组件发起鉴权请求,鉴权请求可以携带本次业务访问请求的源IP或者域名、源端口、目的IP或者域名、目的端口以及应用对应的进程(Process Identification,PID)等信息。
步骤1005:安全管理组件向安全管理服务器发送业务应用的深度安全校验请求。
因而安全管理组件可以根据鉴权请求携带的进程PID,获知具体为哪个应用进行业务访问,进而安全管理组件可以根据采集该应用对应的MD5、进程路径、进程最近修改时间、版权信息以及签名信息等应用特征信息。其中,安全管理组件可以从设备缓存中捞取应用特征信息,当缓存中没有应用特征信息或者特征信息不完整时,则安全管理组件可以从业务应用的绝对路径中获取相应的应用特征信息。
进而,安全管理组件将收集到的应用特征信息连同访问代理组件传递过来的业务访问请求的源IP或者域名、源端口、目的IP或者域名、目的端口以及本地验签结果、进程可执行文件的签名信息、登录凭证、设备信息等信息一同发送给安全管理服务器,以向安全管理服务器发起异步送检请求。其中,证书链详细信息可以包括摘要算法、根证书名称、根证书序列号、根证书到期时间、中级证书名称、中级证书序列号、中级证书到期时间、签名证书名称、签名证书序列号、签名证书到期时间、签名状态、签名人姓名、时间戳以及签名验证错误信息等信息。
一般而言,在安全管理组件未缓存有校验凭证时,那么安全管理组件是需要向安全管理服务器请求校验凭证的,因而安全管理组件向安全管理服务器发送上述信息,以向安全管理服务器申请校验凭证,安全管理服务器检测业务应用是否是高危应用,如果是高危应用,则拒绝响应票据,如果不是高危应用,是可信应用或者未知应用,判断当前设备是否是可信设备,在检测出可信设备且业务应用具备访问目标可达区域的权限时,则安全管理服务器正常响应校验凭证给安全管理组件。其中,可信设备的验证用于验证设备是否满足管控条件,例如病毒查杀是否能够通过以及是否满足管理用户的配置条件等等。
而当安全管理组件自身已缓存有校验凭证时,那么安全管理组件可以进行本地安全校验,并在本地安全校验通过时,匹配业务访问请求的目标校验凭证,实现校验凭证快速下发,但是,为了提升安全管理组件的目标校验凭证的下发速度,安全管理组件通常只是针对能够快速获取的应用特征信息进行本地校验,例如对进程MD5、进程路径以及哈希(hash)等进行校验,而证书链详细信息等的采集耗时较多,不利于校验凭证的快速下发,并且安全管理组件自身存储的本地风险进程库可能存在不是最新版本的情况,因而为了保证业务访问的安全性,充分检验进程是否是恶意进程,安全管理组件仍然需要向安全管理服务器异步发起检测应用的深度安全校验请求,从而请求安全管理服务器进行深度安全校验。
步骤1006:安全管理组件在本地安全校验通过时,将业务访问请求匹配的目标校验凭证发送给访问代理组件。
本申请实施例中,安全管理组件在接收到鉴权请求之后,会对业务访问请求进行本地安全校验,以确定是否为本次业务访问请求响应校验凭证。如上所述,本地安全校验可以依据能够快速获取的业务应用的特征信息进行,进而降低本地安全校验所需的时间,实现校验凭据的快速下发。
如图13所示,为安全管理组件进行本地安全校验的流程示意图。
S10061:安全管理组件校验业务访问请求是否符合零信任访问策略。
具体的,安全管理组件需要校验业务访问请求中涉及的业务应用和访问的业务站点是否符合零信任访问策略,也就是校验业务应用是否为位于可信应用集合中的可信应用,以及请求访问的业务站点是否为可达区域集合中的可达区域。
S10062:若S10061的校验结果为是,则安全管理组件校验业务应用的风险程度是否大于或者等于预设风险阈值。
当业务应用为位于可信应用集合中的可信应用,以及请求访问的业务站点为可达区域集合中的可达区域时,则业务访问请求符合零信任访问策略,需要按照零信任场景的业务访问流程执行,那么进一步对业务应用的风险程度进行评估,即确定业务应用的风险程度是否大于或者等于预设风险阈值。
具体的,安全管理组件可以基于自身维护的本地风险进程库来确定业务应用的风险程度,本地风险进程库的构建将在后续详细进行介绍,因而在此先不过多赘述。其中,安全管理组件可以根据收集的应用特征信息与本地风险进程库中风险进程的特征信息进行过滤,从而确定进程信息是否能够通过过滤,若能够通过过滤,则表明业务应用的风险程度较低,可以响应校验凭证,而若是不能够通过过滤,则表明业务应用的风险程度较高,不能响应校验凭证。或者,安全管理组件也可以根据本地风险进程库确定业务应用是否为恶意应用。
S10063:若S10061的校验结果为否,则安全管理组件向访问代理组件发送直连指示信息。
而若是业务应用不是位于可信应用集合中的可信应用,或者请求访问的业务站点不是可达区域集合中的可达区域时,则业务访问请求不符合零信任访问策略,那么本次访问请求按照直连方式执行,即安全管理组件向访问代理组件发送直连指示信息,根据直连指示信息,访问代理组件则会将业务访问请求发送给业务访问请求所访问的目标站点,以实现直连。
S10064:若S10062的校验结果为否,则安全管理组件匹配目标校验凭证。
若安全管理组件确定业务应用的应用特征信息能够通过过滤,或者业务应用未位于本地风险进程库中,那么业务应用的风险程度小于预设风险阈值,安全管理组件可以向访问代理组件响应校验凭证。
具体的,安全管理组件可以根据图12所示的票据缓存结构,从本地缓存的凭证集合中匹配本次业务访问请求相匹配的目标校验凭证,即将业务访问请求中业务应用请求访问的目标可达区域作为匹配所用的key,获取相应的目标校验凭证。同时,在票据缓存结构中将该票据删除,避免该票据重复使用。
S10065:若S10062的校验结果为是,则安全管理组件向访问代理组件发送凭证拒绝响应。
若安全管理组件确定业务应用的应用特征信息不能够通过过滤,或者业务应用位于本地风险进程库中,那么业务应用的风险程度大于或者等于预设风险阈值,即业务应用为恶意应用,或者其对应的进程未风险进程,那么安全管理组件可以向访问代理组件发送凭证拒绝响应,以拒绝响应校验凭证,进而访问代理组件接收到凭证拒绝响应,则可以进行相应的处理,例如可以中断业务应用的业务访问。
S10066:安全管理组件将目标校验凭证发送给访问代理组件。
在获取目标校验凭证之后,则安全管理组件可以将目标校验凭证发送给访问代理组件,以使得访问代理组件根据目标校验凭证针对目标可达区域执行业务访问流程。
具体的,安全管理组件可以将目标校验凭证通过本地进程通信的方式发送给访问代理组件。
步骤1007:访问代理组件向智能网关发送携带目标校验凭证的连接建立请求。
访问代理组件向智能网关发起连接建立请求,以在访问代理组件与智能网关之间建立超文本传输安全协议(Hyper Text Transfer Protocol over Secure Socket Layer,Https)通道。
具体的,可以在连接建立请求中的授权(Authorization)首部字段中携带目标校验凭证。
步骤1008:智能网关向安全管理服务器发起凭证校验请求。
具体的,智能网关在接收到连接建立请求后,可以解析出首部字段中的目标校验凭证,并将携带校验凭证的凭证校验请求发送给安全管理服务器的票据中心,以请求票据中心对目标校验凭证进行校验。其中,由于目标校验凭证是由票据中心下发给安全管理组件的,因而票据中心可以将凭证校验请求中携带的目标校验凭证与自身下发的校验凭证进行比较,以校验该目标校验凭证是否正确。
步骤1009:安全管理服务器向智能网关返回校验结果。
校验凭证校验完成时,安全管理服务器向智能网关返回校验结果,当校验凭证校验成功时,安全管理服务器返回的校验结果指示目标校验凭证校验通过,当校验凭证校验失败时,安全管理服务器返回的校验结果指示目标校验凭证校验未通过。
步骤1010:智能网关向访问代理组件返回连接建立成功响应。
如图10所示,当安全管理服务器指示校验通过时,则智能网关向访问代理组件返回连接建立成功响应,以跟访问代理组件成功建立连接。
而若安全管理服务器指示校验失败,则智能网关与智能网关的连接中断,针对零信任访问策略以外的应用访问特定站点的流量,则通过访问代理组件直接向目标业务服务器发起网络访问请求实现直连。
步骤1011:访问代理组件向智能网关发送业务访问请求。
具体的,访问代理组件与智能网关建立连接后,则访问代理组件可以利用与智能网关的连接通道将业务访问请求发送给智能网关。
步骤1012:智能网关将业务访问请求转发给目标业务服务器。
其中,智能网关将业务访问请求转发至目标可达区域对应的目标业务服务器。
步骤1013:目标业务服务器向智能网关返回业务响应结果。
步骤1014:智能网关向访问代理组件返回业务响应结果。
步骤1015:访问代理组件向业务应用返回业务响应结果。
步骤1016:安全管理服务器向安全管理组件返回深度安全校验结果。
本申请实施例中,在安全管理组件接收到鉴权请求之后,则安全管理组件执行两套流程,一套流程为上述步骤906~1015的过程,另一套为步骤905的过程,这两个过程可以是并行进行的,因而在执行步骤906~1015的过程中,后台的安全管理服务器同时也在对业务应用进行深度安全校验。
具体的,安全管理服务器接收到安全管理组件发送的携带应用特征信息的深度安全校验请求后,则会定期向威胁情报云查服务安知或者tav等云查杀服务器发起文件送检请求,云查杀服务器返回送检结果后,则安全管理服务器根据送检结果向安全管理组件返回深度安全校验结果。例如,当送检结果指示业务应用是恶意应用,则安全管理服务器将指示业务应用是恶意应用的深度安全校验结果通知给安全管理组件,或者,送检结果指示业务应用是其他类型应用,则安全管理服务器将指示业务应用是其他类型应用的深度安全校验结果通知给安全管理组件。
如图10所示,安全管理服务器包括策略中心、票据中心和送检服务,其中,策略中心用于实现零信任访问策略相关的功能,票据中心用于实现校验凭证相关的功能,送检服务与云查杀服务器进行交互,用于实现业务应用的进程文件送检。安全管理服务器通过策略控制引擎,对业务流量进行安全调度,按照用户-设备-软件-应用颗粒度授权。其中,安全管理服务器还可以包括身份验证模块、应用检测模块以及设备可信模块,身份验证模块对用户身份进行验证,设备可信模块验证设备硬件信息和设备安全状态,应用检测模块检测应用进程是否安全,如是否有漏洞以及是否有病毒木马等。安全管理服务器可以定期向威胁情报云查服务安知或tav等云查杀服务器定期发起文件送检,识别出恶意进程则通知客户端执行异步阻断操作。
步骤1016:安全管理组件根据深度安全校验结果确定业务应用时,则阻断业务应用的业务访问流程。
具体的,当安全管理组件根据深度安全校验结果确定业务应用是恶意应用时,则安全管理组件阻断业务应用的业务访问流程,即在上述步骤906~1015的过程中,一旦安全管理组件确定业务应用是恶意应用,则立即中断业务应用的业务访问流程。或者,当安全管理组件根据深度安全校验结果确定业务应用是某种类型的应用时,则安全管理组件在相应类型的应用库中添加该业务应用的信息。
本申请实施例中,若深度安全校验结果指示业务应用为恶意应用时,则安全管理组件可以删除凭证集合中业务应用相关联的校验凭证,和/或,将业务应用添加至应用黑名单,在票据加密缓存中标识符合特征的进程是恶意进程,避免后续该业务应用在申请校验凭证时匹配到了缓存。
示例性的,票据加密缓存中缓存了进程e访问站点1、站点2、站点3以及站点4这4个站点的校验凭证,当安全管理服务器检测到发起网络访问的进程e是恶意进程后,安全管理服务器则推送到安全管理组件,安全管理组件会自动删除进程e访问所有站点(即站点1、站点2、站点3和站点4)的校验凭证缓存,同时在缓存中表示进程e是恶意进程,后续客户端校验凭证申请过程中,如果进程e再来申请校验凭证,通过票据加密缓存中的进程e的特征匹配即可获知当前校验凭证申请的进程是恶意进程,安全管理组件直接发拒绝票据响应即可。
如图14所示,为非可信设备阻断访问的途径示意图,其中标叉所表示的为阻断途径,包括安全管理组件与安全管理服务器之间的路径(1)、安全管理组件与访问代理组件之间的路径(2)以及访问代理组件与智能网关之间的路径(3),根据实际的情况,可以选择适当的路径。
(1)访问主体必须符合访问控制策略,才能对业务***发起访问,否则可以拒绝校验凭证的响应,例如可以通过图14中的途径(1)和(2)阻断业务访问。
(2)管理用于可以主动发起设备级的零信任访问服务中断命令,即阻断某个设备的所有业务访问。
(3)设备安全合规检测不合格时,可自动发起设备级的中断零信任访问服务,阻断高风险设备的所有业务访问。
(4)异步送检识别进程异常时,可自动发起阻断任务,阻断风险进程的业务访问。
下面,对本地风险进程库的构建过程进行介绍,如图15所示,为本地风险进程库的构建流程示意图。
其中,ring0和ring3分别为操作***的驱动层和应用层,在应用启动时,需要为该应用创建进程,因而可以在ring0层通过进程创建应用程序接口(ApplicationProgramming Interface,API)监控进程的创建过程,例如可以通过PsSetCreateProcessNotifyRoutine监控。
当有新进程创建时,ring3层获知到进程的创建信息,例如进程的PID和进程名称。进而安全管理客户端则可以根据进程PID计算得到进程的绝对路径(procpath)和进程可执行文件的最近修改时间(updatetime),根据进程的绝对路径(procpath),可以获取进程的版本号(filever)、进程可执行文件的描述信息(filedesc)、进程可执行文件的大小(filesize)以及版本信息(copyright),同时,还可以根据进程的绝对路径(procpath)并行计算进程的md5、进程可执行文件的数字签名中的签名者姓名(sign_issuer)以及本地验签结果(sign_check_rst)等,进而得到如图15所示的应用特征信息。
其中,本地验签名结果包括:数字签名验证通过(SIGN_CHECK_PASS)、数字签名验证失败(SIGN_CHECk_FAILED)、数字签名验证超时(SIGN_CHECK_TIMEOUT)、进程无数字签名(PROC_NO_SIGN_INFO)。
默认情况下进程都认定是未知应用,安全管理客户端还将该业务应用添加至本地的未知应用库中。
同时,安全管理客户端将应用特征信息异步发送给安全管理服务器进行送检,安全管理服务器通过推送应用特征信息到云查杀服务器探测进程文件的安全性,如果识别是恶意进程,则由云查杀服务器响应给安全管理服务器,安全管理服务器再将恶意进程的名单推送到安全管理客户端中,安全管理客户端收到恶意进程列表后,将恶意进程的特征信息存入风险进程库,同时从未知应用库中删除。
本申请实施例中,安全管理组件对当前用户的零信任访问策略进行监测,当安全管理服务器的零信任访问策略发生变动时,安全管理组件则会监测到零信任访问控制策略的变动,会自动调整票据加密缓存中的条目。
若监测到零信任访问策略中增加了可信应用或者可达区域时,根据增加的可信应用或者可达区域向安全管理服务器发送凭证申请请求,并根据安全管理服务器返回的校验凭证更新本次缓存的凭证集合。也就是说,针对新增的可信应用和url信息,通过异步向安全管理服务器批量申请校验凭证,自动在票据加密缓存中增加条目。
若监测到登录用户的零信任访问策略中移除了可信应用或者可达区域时,从凭证集合中删除被移除的可信应用或者可达区域关联的校验凭证。也就是说,针对零信任访问策略中已删除的条目,则自动清除对应的进程访问对应站点的条目即可。
示例性的,票据加密缓存中存在进程c、进程f访问站点1、站点2以及站点3这3个站点的校验凭证,安全管理服务器下发的零信任访问策略在中间某个时刻发生变动,可信应用集合去除了进程c,增加了进程a和进程b,可达区域删除了站点1,增加了站点4,那么安全管理组件将进行如下的变动:
(1)因为零信任访问策略中已删除了进程c,删除进程c访问所有当前站点(站点1,站点2和站点3)的校验凭证缓存。
(2)因为零信任访问策略中已删除了站点1,那么安全管理组件将删除进程f访问站点1的校验凭证缓存。
(3)因为零信任访问策略中增加了站点4,安全管理组件则会异步向安全管理服务器申请进程f访问站点4的校验凭证,并增加进程f对应访问站点4的校验凭证缓存条目。
(4)因为零信任访问策略中增加了进程a和进程b,安全管理组件则会异步向安全管理服务器申请进程a和进程b访问站点2,站点3和站点4的校验凭证,收到安全管理服务器批量下发的校验凭证后,增加至校验凭证加密缓存中。
本申请实施例中,由于校验凭证是存在有效期的,且随着校验凭证的组件消耗,校验凭证逐渐减少,安全管理组件可以对还在有效期内的校验凭证数量进行监控,当安全管理组件定期检查校验凭证缓存中某个节点的校验凭证剩余达到一定阈值时,会自动触发安全管理组件对于校验凭证的异步申请。也就是说,当监测到任一业务访问组合关联的校验凭证的数量小于或者等于预设数量阈值时,向安全管理服务器发送凭证申请请求;或者,监测到任一业务访问组合关联的校验凭证的有效期小于或者等于预设时间阈值时,向安全管理服务器发送凭证申请请求,进而当安全管理服务器响应凭证申请请求返回校验凭证后,将校验凭证更新至凭证集合。
这样,避免访问代理组件来申请校验凭证时,本地缓存中不存在对应的缓存,从而避免需要同步向安全管理服务器申请校验凭证,从而引起安全管理服务器发生阻塞的问题。
本申请实施例中,安全管理组件和访问代理组件都会进行校验凭证的缓存,在安全管理服务器下发校验凭证后,安全管理组件来维护票据加密缓存结构,当访问代理组件来申请校验凭证,并向其发送校验凭证后,安全管理组件在票据加密缓存结构中删除相应的校验凭证,此时,访问代理组件对安全管理组件发送过来的校验凭证进行缓存,由于校验凭证存在一定的有效期,在有效期内,该校验凭证所对应的业务应用访问站点时访问代理组件都无需向安全管理组件请求校验凭证,而当该校验凭证临近有效期结束时间时,访问代理组件还可以提前向安全管理组件申请校验凭证,从而实现校验凭证的自动续期。
综上所述,本申请实施例中,通过用户终端访问站点的情况批量申请校验凭证,并根据进程检测的结果和零信任访问控制策略的变动调整本地校验凭证加密缓存,避免每次网络请求均需同步向安全管理服务器申请网络访问校验凭证导致网络访问卡顿,时延高,不稳定的问题,此种方案在降低网络访问时延的同时提高网络访问的稳定性。通过收集企业内终端用户的网络访问行为,形成企业内的站点网络访问信息库,包括常用的进程名称、进程特征信息、访问的企业内站点、以及进程访问站点的映射关系。基于站点网络访问信息库,制定符合企业特点的零信任策略信息。
安全管理组件从安全管理服务器定期批量地申请校验凭证,在安全管理客户端实现加密存储,形成以可信应用和可达区域作为key存储的票据缓存结构。当用户终端侧的访问代理组件劫持到业务访问请求,向安全管理组件发起校验凭证申请时,安全管理客户端通过对应用本身以及应用访问特定站点的权限进行检查,从本地缓存中取相应的校验凭证作为新的网络访问凭证,实现校验凭证在用户终端上的自动续期。一方面降低每次的校验凭证申请过程时延长的同时,另一方面可以根据进程访问站点的凭次针对性地向网络进行校验凭证申请,避免了等待安全管理服务器检查环境,生成校验凭证,并通过网络响应延迟高的问题及弱网络条件下校验凭证申请失败的问题,使得安全管理服务器某个节点的故障不会影响网络访问的正常使用,提高了校验凭证申请的效率,增强了***的可用性。
安全管理组件在每次网络访问的同时,将网络访问行为异步上报给安全管理服务器,由安全管理服务器自动识别异常访问行为,一旦识别出异常访问行为,即推送至安全管理组件,以阻断业务访问流程,同时调整票据缓存结构的相应条目,从而自动影响后续的校验凭证申请过程。
请参见图16,基于同一发明构思,本申请实施例还提供了一种业务数据访问装置160,该装置应用于终端设备中,该装置包括:
本地校验单元1601,用于在截获到业务应用的业务访问请求时,根据预设的零信任访问策略,对业务访问请求进行本地安全校验;
收发单元1602,用于向安全管理服务器发送业务应用的深度安全校验请求;
匹配单元1603,用于在本地安全校验通过时,根据业务访问请求指示的业务应用请求访问的目标可达区域,从本地缓存的凭证集合中确定相匹配的目标校验凭证,并根据目标校验凭证针对目标可达区域执行业务访问流程;
阻断单元1604,用于在业务访问流程执行过程中,若接收到安全管理服务器响应所述深度安全校验请求返回的深度安全校验结果,且根据深度安全校验结果确定业务应用为恶意应用,则阻断业务访问流程。
可选的,该装置还包括本地缓存单元1605;
收发单元1602,还用于接收安全管理服务器根据零信任访问策略或者历史业务访问情况下发的至少一个业务访问组合的校验凭证;其中,一个可信应用与一个可达区域组成一个业务访问组合,一个业务访问组合关联至少一个校验凭证;
本地缓存单元1605,用于基于安全管理服务器下发的校验凭证更新至凭证集合。
可选的,安全管理客户端包括安全管理组件和访问代理组件;
则本地校验单元1601,具体用于:
在访问代理组件截获业务访问请求时,向安全管理组件发送鉴权请求;
通过安全管理组件根据鉴权请求,确定业务访问请求是否符合零信任访问策略;
在安全管理组件确定业务访问请求符合零信任访问策略时,确定业务应用的风险程度是否大于或者等于预设风险阈值;
可选的,匹配单元1603,具体用于:
在安全管理组件确定业务应用的风险程度不大于预设风险阈值时,从凭证集合中确定与业务应用与目标可达区域相匹配的目标校验凭证;
通过安全管理组件将目标校验凭证发送给访问代理组件;
通过访问代理组件使用目标校验凭证执行业务访问流程。
可选的,该装置还包括访问执行单元1606,用于:
通过访问代理组件向智能网关发送携带目标校验凭证的连接建立请求;
通过访问代理组件接收智能网关返回的连接建立成功响应;连接建立成功响应为智能网关在安全管理服务器对目标校验凭证的校验通过时发送的;
通过访问代理组件利用与智能网关的连接通道将业务访问请求发送给智能网关;
通过访问代理组件接收智能网关返回的业务响应结果;业务响应结果为智能网关将业务访问请求转发至目标可达区域对应的目标业务服务器,目标业务服务器返回给智能网关的。
可选的,本地校验单元1601,还用于:
在安全管理组件确定业务访问请求不符合零信任访问策略时,向访问代理组件发送直连指示信息;
根据直连指示信息,通过访问代理组件将业务访问请求发送给业务访问请求所访问的目标站点的目标业务服务器。
可选的,阻断单元1604,还用于:
删除凭证集合中业务应用相关联的校验凭证;和/或,
将业务应用添加至应用黑名单。
可选的,该装置还包括监测单元1607,用于监测零信任访问策略是否发生变化;
本地缓存单元1605,还用于若监测到零信任访问策略中增加了可信应用或者可达区域时,根据增加的可信应用或者可达区域向安全管理服务器发送凭证申请请求,并根据安全管理服务器返回的校验凭证更新凭证集合;以及,若监测到登录用户的零信任访问策略中移除了可信应用或者可达区域时,从凭证集合中删除被移除的可信应用或者可达区域关联的校验凭证。
可选的,监测单元1607,还用于监测到任一业务访问组合关联的校验凭证的数量小于或者等于预设数量阈值时,向安全管理服务器发送凭证申请请求;或者,监测到任一业务访问组合关联的校验凭证的有效期小于或者等于预设时间阈值时,向安全管理服务器发送凭证申请请求;
本地缓存单元1605,还用于根据安全管理服务器响应凭证申请请求返回的校验凭证更新凭证集合。
该装置可以用于执行图3~图15所示的实施例中安全管理客户端所执行的方法,因此,对于该装置的各功能模块所能够实现的功能等可参考图3~图15所示的实施例的描述,不多赘述。其中,需要说明的是,本地缓存单元1605~监测单元1607为可选的功能单元,因而在图16中以虚线示出。
请参见图17,基于同一发明构思,本申请实施例一种业务数据访问装置,该装置应用于安全管理服务器中,该装置包括:
收发单元1701,用于接收安全管理客户端发送的业务应用的深度安全校验请求;其中,深度安全校验请求为安全管理客户端截获到业务应用的业务访问请求时触发的;
深度校验单元1702,用于根据深度安全校验请求携带的应用特征信息进行深度安全校验;
凭证校验单元1703,用于在进行安全校验的过程中,若接收到智能网关发送的携带目标校验凭证的凭证校验请求,对目标校验凭证进行校验;凭证校验请求为智能网关基于安全管理客户端发送的目标校验凭证触发的,目标校验凭证为安全管理客户端截获到业务应用访问目标可达区域的业务访问请求,且对业务访问请求进行本地校验通过时发送给智能网关的;
收发单元1701,用于将目标校验凭证的校验结果返回给智能网关,以使得智能网关根据校验结果针对目标可达区域执行业务访问流程;以及在确定业务应用为恶意应用时,向安全管理客户端返回业务应用为恶意应用的深度安全校验结果,以使得安全管理客户端根据深度安全校验结果阻断业务访问流程。
可选的,该装置还包括凭证预配置单元1704,用于:
根据每一用户的零信任访问策略或者历史业务访问情况确定为每一用户下发校验凭证的业务访问组合;其中,一个可信应用与一个可达区域组成一个业务访问组合;
为每个业务访问组合生成至少一个校验凭证,并将每个业务访问组合的至少一个校验凭证下发给每一用户。
该装置可以用于执行图3~图15所示的实施例中安全管理服务器所执行的方法,因此,对于该装置的各功能模块所能够实现的功能等可参考图3~图15所示的实施例的描述,不多赘述。
请参见图18,基于同一技术构思,本申请实施例还提供了一种计算机设备180,可以包括存储器1801和处理器1802。
所述存储器1801,用于存储处理器1802执行的计算机程序。存储器1801可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序等;存储数据区可存储根据计算机设备的使用所创建的数据等。处理器1802,可以是一个中央处理单元(central processing unit,CPU),或者为数字处理单元等等。本申请实施例中不限定上述存储器1801和处理器1802之间的具体连接介质。本申请实施例在图18中以存储器1801和处理器1802之间通过总线1803连接,总线1803在图18中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线1803可以分为地址总线、数据总线、控制总线等。为便于表示,图18中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器1801可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器1801也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器1801是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1801可以是上述存储器的组合。
处理器1802,用于调用所述存储器1801中存储的计算机程序时执行如图3~图15所示的实施例中安全管理客户端或者安全管理服务器所执行的方法。
在一些可能的实施方式中,本申请提供的方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在计算机设备上运行时,所述程序代码用于使所述计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的方法中的步骤,例如,所述计算机设备可以执行如图3~图15所示的实施例中安全管理客户端或者安全管理服务器所执行的方法。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (15)
1.一种业务数据访问方法,其特征在于,所述方法应用于终端设备中,所述方法包括:
在截获到业务应用的业务访问请求时,根据预设的零信任访问策略,对所述业务访问请求进行本地安全校验;
向安全管理服务器发送所述业务应用的深度安全校验请求;
在本地安全校验通过时,根据所述业务访问请求指示的所述业务应用请求访问的目标可达区域,从本地缓存的凭证集合中确定相匹配的目标校验凭证,并根据所述目标校验凭证针对所述目标可达区域执行业务访问流程;
在所述业务访问流程执行过程中,若接收到所述安全管理服务器响应所述深度安全校验请求返回的深度安全校验结果,且根据所述深度安全校验结果确定所述业务应用为恶意应用,则阻断所述业务访问流程。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述安全管理服务器根据所述零信任访问策略或者历史业务访问情况下发的至少一个业务访问组合的校验凭证;其中,一个可信应用与一个可达区域组成一个业务访问组合,一个业务访问组合关联至少一个校验凭证;
基于所述安全管理服务器下发的校验凭证更新至所述凭证集合。
3.如权利要求1所述的方法,其特征在于,所述终端设备上安装有安全管理组件和访问代理组件,则在截获到业务应用的业务访问请求时,根据预设的零信任访问策略,对所述业务访问请求进行本地安全校验,包括:
在所述访问代理组件截获所述业务访问请求时,向所述安全管理组件发送鉴权请求;
通过所述安全管理组件根据所述鉴权请求,确定所述业务访问请求是否符合所述零信任访问策略;
在所述安全管理组件确定所述业务访问请求符合所述零信任访问策略时,确定所述业务应用的风险程度是否大于或者等于预设风险阈值;其中,在所述业务应用的风险程度不大于所述预设风险阈值时本地安全校验通过,或者,在所述业务应用的风险程度大于所述预设风险阈值时本地安全校验失败。
4.如权利要求3所述的方法,其特征在于,所述在本地安全校验通过时,根据所述业务访问请求指示的所述业务应用请求访问的目标可达区域,从本地缓存的凭证集合中确定相匹配的目标校验凭证,并根据所述目标校验凭证执行业务访问流程,包括:
在所述安全管理组件确定所述业务应用的风险程度不大于所述预设风险阈值时,从所述凭证集合中确定与所述业务应用与所述目标可达区域相匹配的目标校验凭证;
通过所述安全管理组件将所述目标校验凭证发送给所述访问代理组件;
通过所述访问代理组件使用所述目标校验凭证执行所述业务访问流程。
5.如权利要求4所述的方法,其特征在于,所述通过所述访问代理组件使用所述目标校验凭证执行所述业务访问流程,包括:
通过所述访问代理组件向智能网关发送携带所述目标校验凭证的连接建立请求;
通过所述访问代理组件接收所述智能网关返回的连接建立成功响应;所述连接建立成功响应为所述智能网关在所述安全管理服务器对所述目标校验凭证的校验通过时发送的;
通过所述访问代理组件利用与所述智能网关的连接通道将所述业务访问请求发送给所述智能网关;
通过所述访问代理组件接收所述智能网关返回的业务响应结果;所述业务响应结果为所述智能网关将所述业务访问请求转发至所述目标可达区域对应的目标业务服务器,所述目标业务服务器返回给所述智能网关的。
6.如权利要求3所述的方法,其特征在于,在通过所述安全管理组件根据所述鉴权请求,确定所述业务访问请求是否符合所述零信任访问策略之后,所述方法还包括:
在所述安全管理组件确定所述业务访问请求不符合所述零信任访问策略时,向所述访问代理组件发送直连指示信息;
根据所述直连指示信息,通过所述访问代理组件将所述业务访问请求发送给所述业务访问请求所访问的目标站点的目标业务服务器。
7.如权利要求1~6任一所述的方法,其特征在于,若接收到所述安全管理服务器返回的深度安全校验结果,且根据所述深度安全校验结果确定所述业务应用为恶意应用时,所述方法还包括:
删除所述凭证集合中所述业务应用相关联的校验凭证;和/或,
将所述业务应用添加至应用黑名单。
8.如权利要求1~6任一所述的方法,其特征在于,所述方法还包括:
监测所述零信任访问策略是否发生变化;
若监测到所述零信任访问策略中增加了可信应用或者可达区域时,根据增加的可信应用或者可达区域向所述安全管理服务器发送凭证申请请求,并根据所述安全管理服务器返回的校验凭证更新所述凭证集合;
若监测到登录用户的零信任访问策略中移除了可信应用或者可达区域时,从所述凭证集合中删除被移除的可信应用或者可达区域关联的校验凭证。
9.如权利要求1~6任一所述的方法,其特征在于,所述方法还包括:
监测到任一业务访问组合关联的校验凭证的数量小于或者等于预设数量阈值时,向所述安全管理服务器发送凭证申请请求;或者,监测到任一业务访问组合关联的校验凭证的有效期小于或者等于预设时间阈值时,向所述安全管理服务器发送凭证申请请求;
根据所述安全管理服务器响应所述凭证申请请求返回的校验凭证更新所述凭证集合。
10.一种业务数据访问方法,其特征在于,所述方法应用于安全管理服务器中,所述方法包括:
接收安全管理客户端发送的业务应用的深度安全校验请求;其中,所述深度安全校验请求为所述安全管理客户端截获到所述业务应用的业务访问请求时触发的;
根据所述深度安全校验请求携带的应用特征信息进行深度安全校验;
在进行安全校验的过程中,若接收到智能网关发送的携带目标校验凭证的凭证校验请求,对所述目标校验凭证进行校验;所述凭证校验请求为所述智能网关基于所述安全管理客户端发送的所述目标校验凭证触发的,所述目标校验凭证为所述安全管理客户端截获到所述业务应用访问目标可达区域的业务访问请求,且对所述业务访问请求进行本地校验通过时发送给所述智能网关的;
将所述目标校验凭证的校验结果返回给所述智能网关,以使得所述智能网关根据所述校验结果针对所述目标可达区域执行业务访问流程;
在确定所述业务应用为恶意应用时,向所述安全管理客户端返回所述业务应用为恶意应用的深度安全校验结果,以使得所述安全管理客户端根据所述深度安全校验结果阻断所述业务访问流程。
11.如权利要求10所述的方法,其特征在于,所述方法还包括:
根据每一用户的零信任访问策略或者历史业务访问情况确定为每一用户下发校验凭证的业务访问组合;其中,一个可信应用与一个可达区域组成一个业务访问组合;
为每个业务访问组合生成至少一个校验凭证,并将每个业务访问组合的至少一个校验凭证下发给所述每一用户。
12.一种业务数据访问装置,其特征在于,所述装置应用于终端设备中,所述装置包括:
本地校验单元,用于在截获到业务应用的业务访问请求时,根据预设的零信任访问策略,对所述业务访问请求进行本地安全校验;
收发单元,用于向安全管理服务器发送所述业务应用的深度安全校验请求;
匹配单元,用于在本地安全校验通过时,根据所述业务访问请求指示的所述业务应用请求访问的目标可达区域,从本地缓存的凭证集合中确定相匹配的目标校验凭证,并根据所述目标校验凭证针对所述目标可达区域执行业务访问流程;
阻断单元,用于在所述业务访问流程执行过程中,若接收到所述安全管理服务器响应所述深度安全校验请求返回的深度安全校验结果,且根据所述深度安全校验结果确定所述业务应用为恶意应用,则阻断所述业务访问流程。
13.一种业务数据访问装置,其特征在于,所述装置应用于安全管理服务器中,所述装置包括:
收发单元,用于接收安全管理客户端发送的业务应用的深度安全校验请求;其中,所述深度安全校验请求为所述安全管理客户端截获到所述业务应用的业务访问请求时触发的;
深度校验单元,用于根据所述深度安全校验请求携带的应用特征信息进行深度安全校验;
凭证校验单元,用于在进行安全校验的过程中,若接收到智能网关发送的携带目标校验凭证的凭证校验请求,对所述目标校验凭证进行校验;所述凭证校验请求为所述智能网关基于所述安全管理客户端发送的所述目标校验凭证触发的,所述目标校验凭证为所述安全管理客户端截获到所述业务应用访问目标可达区域的业务访问请求,且对所述业务访问请求进行本地校验通过时发送给所述智能网关的;
收发单元,用于将所述目标校验凭证的校验结果返回给所述智能网关,以使得所述智能网关根据所述校验结果针对所述目标可达区域执行业务访问流程;以及在确定所述业务应用为恶意应用时,向所述安全管理客户端返回所述业务应用为恶意应用的深度安全校验结果,以使得所述安全管理客户端根据所述深度安全校验结果阻断所述业务访问流程。
14.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,
所述处理器执行所述计算机程序时实现权利要求1~9或者10~11任一项所述方法的步骤。
15.一种计算机存储介质,其上存储有计算机程序指令,其特征在于,
该计算机程序指令被处理器执行时实现权利要求1~9或者10~11任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110017660.0A CN114745145B (zh) | 2021-01-07 | 2021-01-07 | 业务数据访问方法、装置和设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110017660.0A CN114745145B (zh) | 2021-01-07 | 2021-01-07 | 业务数据访问方法、装置和设备及计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114745145A true CN114745145A (zh) | 2022-07-12 |
| CN114745145B CN114745145B (zh) | 2023-04-18 |
Family
ID=82273968
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110017660.0A Active CN114745145B (zh) | 2021-01-07 | 2021-01-07 | 业务数据访问方法、装置和设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114745145B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220210173A1 (en) * | 2020-12-31 | 2022-06-30 | Fortinet, Inc. | Contextual zero trust network access (ztna) based on dynamic security posture insights |
| CN115134175A (zh) * | 2022-09-01 | 2022-09-30 | 北京辰尧科技有限公司 | 一种基于授权策略的安全通讯方法及装置 |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050278775A1 (en) * | 2004-06-09 | 2005-12-15 | Ross Alan D | Multifactor device authentication |
| CN101335626A (zh) * | 2008-08-06 | 2008-12-31 | ***集团宽带业务应用国家工程实验室有限公司 | 多级认证方法和多级认证*** |
| CN102694772A (zh) * | 2011-03-23 | 2012-09-26 | 腾讯科技(深圳)有限公司 | 一种访问互联网网页的装置、***及方法 |
| US20140020072A1 (en) * | 2012-07-13 | 2014-01-16 | Andrew J. Thomas | Security access protection for user data stored in a cloud computing facility |
| US20140189808A1 (en) * | 2012-12-28 | 2014-07-03 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
| CN109815656A (zh) * | 2018-12-11 | 2019-05-28 | 平安科技(深圳)有限公司 | 登录认证方法、装置、设备及计算机可读存储介质 |
| CN110213223A (zh) * | 2019-03-21 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 业务管理方法、装置、***、计算机设备和存储介质 |
| CN111131310A (zh) * | 2019-12-31 | 2020-05-08 | 奇安信科技集团股份有限公司 | 访问控制方法、装置、***、计算机设备和存储介质 |
| CN111488598A (zh) * | 2020-04-09 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 访问控制方法、装置、计算机设备和存储介质 |
| CN111510453A (zh) * | 2020-04-15 | 2020-08-07 | 深信服科技股份有限公司 | 业务***访问方法、装置、***及介质 |
| CN111898124A (zh) * | 2020-08-05 | 2020-11-06 | 腾讯科技(深圳)有限公司 | 进程访问控制方法和装置、存储介质及电子设备 |
| CN111935169A (zh) * | 2020-08-20 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 一种业务数据访问方法、装置、设备及存储介质 |
| CN112073400A (zh) * | 2020-08-28 | 2020-12-11 | 腾讯科技(深圳)有限公司 | 一种访问控制方法、***、装置及计算设备 |
| CN112104625A (zh) * | 2020-09-03 | 2020-12-18 | 腾讯科技(深圳)有限公司 | 一种进程访问的控制方法及装置 |
| CN112153032A (zh) * | 2020-09-15 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 一种信息处理方法、装置、计算机可读存储介质及*** |
| CN112149105A (zh) * | 2020-10-21 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 数据处理***、方法、相关设备及存储介质 |
-
2021
- 2021-01-07 CN CN202110017660.0A patent/CN114745145B/zh active Active
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050278775A1 (en) * | 2004-06-09 | 2005-12-15 | Ross Alan D | Multifactor device authentication |
| CN101335626A (zh) * | 2008-08-06 | 2008-12-31 | ***集团宽带业务应用国家工程实验室有限公司 | 多级认证方法和多级认证*** |
| CN102694772A (zh) * | 2011-03-23 | 2012-09-26 | 腾讯科技(深圳)有限公司 | 一种访问互联网网页的装置、***及方法 |
| US20140020072A1 (en) * | 2012-07-13 | 2014-01-16 | Andrew J. Thomas | Security access protection for user data stored in a cloud computing facility |
| US20140189808A1 (en) * | 2012-12-28 | 2014-07-03 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
| CN109815656A (zh) * | 2018-12-11 | 2019-05-28 | 平安科技(深圳)有限公司 | 登录认证方法、装置、设备及计算机可读存储介质 |
| CN110213223A (zh) * | 2019-03-21 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 业务管理方法、装置、***、计算机设备和存储介质 |
| CN111131310A (zh) * | 2019-12-31 | 2020-05-08 | 奇安信科技集团股份有限公司 | 访问控制方法、装置、***、计算机设备和存储介质 |
| CN111488598A (zh) * | 2020-04-09 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 访问控制方法、装置、计算机设备和存储介质 |
| CN111510453A (zh) * | 2020-04-15 | 2020-08-07 | 深信服科技股份有限公司 | 业务***访问方法、装置、***及介质 |
| CN111898124A (zh) * | 2020-08-05 | 2020-11-06 | 腾讯科技(深圳)有限公司 | 进程访问控制方法和装置、存储介质及电子设备 |
| CN111935169A (zh) * | 2020-08-20 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 一种业务数据访问方法、装置、设备及存储介质 |
| CN112073400A (zh) * | 2020-08-28 | 2020-12-11 | 腾讯科技(深圳)有限公司 | 一种访问控制方法、***、装置及计算设备 |
| CN112104625A (zh) * | 2020-09-03 | 2020-12-18 | 腾讯科技(深圳)有限公司 | 一种进程访问的控制方法及装置 |
| CN112153032A (zh) * | 2020-09-15 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 一种信息处理方法、装置、计算机可读存储介质及*** |
| CN112149105A (zh) * | 2020-10-21 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 数据处理***、方法、相关设备及存储介质 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220210173A1 (en) * | 2020-12-31 | 2022-06-30 | Fortinet, Inc. | Contextual zero trust network access (ztna) based on dynamic security posture insights |
| CN115134175A (zh) * | 2022-09-01 | 2022-09-30 | 北京辰尧科技有限公司 | 一种基于授权策略的安全通讯方法及装置 |
| CN115134175B (zh) * | 2022-09-01 | 2022-11-15 | 北京辰尧科技有限公司 | 一种基于授权策略的安全通讯方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114745145B (zh) | 2023-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10574698B1 (en) | Configuration and deployment of decoy content over a network | |
| US10326730B2 (en) | Verification of server name in a proxy device for connection requests made using domain names | |
| US8214899B2 (en) | Identifying unauthorized access to a network resource | |
| US9055093B2 (en) | Method, system and computer program product for detecting at least one of security threats and undesirable computer files | |
| EP3264720B1 (en) | Using dns communications to filter domain names | |
| US8756697B2 (en) | Systems and methods for determining vulnerability to session stealing | |
| US20200067989A1 (en) | Hostname validation and policy evasion prevention | |
| CN112261172B (zh) | 服务寻址访问方法、装置、***、设备及介质 | |
| JP5396051B2 (ja) | 承認済みファイルと信頼されたドメインのデータベースを作成及び更新する方法及びシステム | |
| Bortolameotti et al. | Decanter: Detection of anomalous outbound http traffic by passive application fingerprinting | |
| EP3169039B1 (en) | Method and system for managing security certificates in a networked application environment | |
| US8769128B2 (en) | Method for extranet security | |
| US20120151565A1 (en) | System, apparatus and method for identifying and blocking anomalous or improper use of identity information on computer networks | |
| CN112149105A (zh) | 数据处理***、方法、相关设备及存储介质 | |
| US8555365B2 (en) | Directory authentication method for policy driven web filtering | |
| CN114902612A (zh) | 基于边缘网络的帐户保护服务 | |
| CN111898124B (zh) | 进程访问控制方法和装置、存储介质及电子设备 | |
| US10904274B2 (en) | Signature pattern matching testing framework | |
| CN114745145B (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
| US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
| CN115189897A (zh) | 零信任网络的访问处理方法、装置、电子设备及存储介质 | |
| RU2601147C2 (ru) | Система и способ выявления целевых атак | |
| US20180316697A1 (en) | Method of aiding the detection of infection of a terminal by malware | |
| CN116996238A (zh) | 一种网络异常访问的处理方法以及相关装置 | |
| CN115913583A (zh) | 业务数据访问方法、装置和设备及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |