CN114745162A - 一种访问控制方法、装置、终端设备及存储介质 - Google Patents
一种访问控制方法、装置、终端设备及存储介质 Download PDFInfo
- Publication number
- CN114745162A CN114745162A CN202210287238.1A CN202210287238A CN114745162A CN 114745162 A CN114745162 A CN 114745162A CN 202210287238 A CN202210287238 A CN 202210287238A CN 114745162 A CN114745162 A CN 114745162A
- Authority
- CN
- China
- Prior art keywords
- information
- access information
- access
- determining
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 72
- 238000003860 storage Methods 0.000 title claims abstract description 14
- 238000012795 verification Methods 0.000 claims abstract description 110
- 238000004088 simulation Methods 0.000 claims abstract description 51
- 230000008569 process Effects 0.000 claims abstract description 38
- 238000004590 computer program Methods 0.000 claims description 22
- 238000012545 processing Methods 0.000 claims description 8
- 230000000903 blocking effect Effects 0.000 claims description 4
- 239000002131 composite material Substances 0.000 claims description 3
- 230000006870 function Effects 0.000 description 10
- 230000004044 response Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本申请适用于访问控制技术领域,提供了一种访问控制方法、装置、终端设备及存储介质。本申请实施例中获取访问信息,确定上述访问信息中的关键参数;当上述关键参数符合预设裁决条件时,将上述访问信息发送给预设的仿真服务器,上述仿真服务器用于根据上述访问信息执行对应操作;获取上述仿真服务器发送的执行过程信息和执行结果信息,根据上述执行过程信息和上述执行结果信息对上述访问信息进行安全验证,确定验证结果;当上述验证结果为信息安全时,将上述访问信息发送给上述访问信息对应的目标服务器,从而提高了工控现场数据的安全性。
Description
技术领域
本申请属于访问控制技术领域,尤其涉及一种访问控制方法、装置、终端设备及存储介质。
背景技术
随着社会的发展,PLC、DCS等工控设备越来越受到人们的重视,工控设备可以使工厂的生产和制造过程更加自动化、效率化、精确化。通常通过工控设备来访问并控制工控现场数据,但由于现有的工控设备的安全漏洞,导致工控现场数据的安全性较低。
发明内容
本申请实施例提供了一种访问控制方法、装置、终端设备及存储介质,可以解决工控现场数据的安全性较低的问题。
第一方面,本申请实施例提供了一种访问控制方法,包括:
获取访问信息,确定所述访问信息中的关键参数;
当所述关键参数符合预设裁决条件时,将所述访问信息发送给预设的仿真服务器,所述仿真服务器用于根据所述访问信息执行对应操作;
获取所述仿真服务器发送的执行过程信息和执行结果信息,根据所述执行过程信息和所述执行结果信息对所述访问信息进行安全验证,确定验证结果;
当所述验证结果为信息安全时,将所述访问信息发送给所述访问信息对应的目标服务器。
第二方面,本申请实施例提供了一种访问控制装置,包括:
信息获取模块,用于获取访问信息,确定所述访问信息中的关键参数;
执行模块,用于当所述关键参数符合预设裁决条件时,将所述访问信息发送给预设的仿真服务器,所述仿真服务器用于根据所述访问信息执行对应操作;
安全验证模块,用于获取所述仿真服务器发送的执行过程信息和执行结果信息,根据所述执行过程信息和所述执行结果信息对所述访问信息进行安全验证,确定验证结果;
信息发送模块,用于当所述验证结果为信息安全时,将所述访问信息发送给所述访问信息对应的目标服务器。
第三方面,本申请实施例提供了一种终端设备,包括存储器、处理器以及存储在上述存储器中并可在上述处理器上运行的计算机程序,上述处理器执行上述计算机程序时实现上述任一种访问控制方法的步骤。
第四方面,本申请实施例提供了一种计算机可读存储介质,上述计算机可读存储介质存储有计算机程序,上述的计算机程序被处理器执行时实现上述任一种访问控制方法的步骤。
第五方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述第一方面中任一种访问控制方法。
本申请实施例中获取访问信息,确定上述访问信息中的关键参数,从而依据关键参数进行判断,当上述关键参数符合预设裁决条件时,将上述访问信息发送给预设的用于根据上述访问信息执行对应操作的仿真服务器,以促使上述仿真服务器执行相应操作,从而产生对应的执行过程信息和执行结果信息,再获取上述仿真服务器发送的执行过程信息和执行结果信息,并根据上述执行过程信息和上述执行结果信息对上述访问信息进行安全验证,以确定验证结果,从而依据验证结果进行判断,当上述验证结果为信息安全时,说明上述访问信息是安全的,最后将上述访问信息发送给上述访问信息对应的目标服务器,从而通过仿真服务器的仿真执行,来验证访问信息是否安全,提高了工控现场数据的安全性,并且在后续出现相同或相似的访问时无需发送到仿真服务器,而是依据之前仿真服务器得到的验证结果进行相应处理即可,提升了访问的性能。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的访问控制方法的第一种流程示意图;
图2是本申请实施例提供的访问控制方法的第二种流程示意图;
图3是本申请实施例提供的访问控制装置的结构示意图;
图4是本申请实施例提供的终端设备的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定***结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的***、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
图1所示为本申请实施例中一种访问控制方法的流程示意图,该方法的执行主体可以是终端设备,如图1所示,上述访问控制方法可以包括如下步骤:
步骤S101、获取访问信息,确定访问信息中的关键参数。
在本实施例中,终端设备获取访问方对工控现场数据对应的目标服务器进行访问时的访问信息,以根据所获取的访问信息判断该访问信息是否安全,具体可通过访问信息中的关键参数进行判断,其中,上述访问信息可以是关于工控设备的设备方面进行访问时的访问信息、数据库方面进行访问时的访问信息以及文件方面进行访问时的访问信息等;上述关键参数包括但不限于是协议、端口、源IP、目标IP、功能码、寄存器地址、寄存器值、命令值、用户名、表名、列名等。上述源IP为访问方的地址信息,该访问方可以是终端设备本身,也可以是与终端设备连接的设备,本实施例以访问方是终端设备为例进行说明。上述目标IP是目标服务器对应的地址信息,可以理解的是,对工控现场数据进行访问的访问信息由目标服务器接收,该服务器根据所接收的访问信息执行相应操作。
在一个实施例中,可通过终端设备中预设的导流模块获取上述访问信息,为便于数据处理与数据传输,终端设备中的导流模块可对其所获取的访问信息进行封装,并对该封装后的访问信息进行信息标识,即将终端设备的身份信息作为标签对封装后的访问信息进行信息标识处理。
步骤S102、当关键参数符合预设裁决条件时,将访问信息发送给预设的仿真服务器,仿真服务器用于根据访问信息执行对应操作。
在本实施例中,由于访问信息中的部分关键参数对数据安全的影响很大,而不同的目标服务器面对相同关键参数的安全性不同,所以面对访问信息中的部分关键参数时并不能得到对应的裁决规则,为验证包含该部分关键参数的访问信息的安全性,可基于该部分关键参数设置裁决条件,以便于当关键参数符合裁决条件时,对包含该关键参数的访问信息进行仿真验证,例如,当关键参数符合裁决条件中的关键参数,或者关键参数的参数条件符合裁决条件中的关键参数条件时,确定关键参数符合预设裁决条件,从而通过将访问信息发送给仿真服务器,以便于仿真服务器根据该访问信息执行对应操作,并验证访问信息的安全性。其中,上述仿真服务器与目标服务器对应。
示例地,若采用dnp3协议时,并不能根据该访问信息中的命令值来清晰定义访问信息的危险和安全,则只需在裁决条件中设定协议的条件为dnp3,当终端设备检测到访问信息中存在该协议时,可通过引流***将存在该协议的访问信息引流到目标服务器对应的仿真服务器,促使该仿真服务器执行对应操作。
步骤S103、获取仿真服务器发送的执行过程信息和执行结果信息,根据执行过程信息和执行结果信息对访问信息进行安全验证,确定验证结果。
在本实施例中,终端设备通过获取仿真服务器执行对应操作时的执行过程产生的执行过程信息,以及仿真服务器执行完成对应操作时的执行结果信息对访问信息进行安全验证,即验证访问信息是否会影响数据安全,从而确定验证结果为信息安全或信息不安全。
具体地,可通过终端设备中的裁决模块根据上述执行过程信息和执行结果信息对访问信息进行安全验证,即对访问信息是否会影响数据安全进行裁决判定,例如是否为漏洞利用执行、执行后是否返回异常码、是否会有无响应问题或响应速度变慢、是否返回为无效功能码、执行后是否会引起***重启关机、执行后是否引起目标设备的服务异常、执行后内存、CPU、程序状态等影响数据安全的状况;也可以通过人工根据经验进行裁决。
在一个实施例中,为了提高访问信息验证的速度,在步骤S103中确定出访问信息的验证结果后,可以根据关键参数和验证结果生成对应的裁决规则,以便于后期终端设备中再次检测到存在该关键参数的访问信息时,直接依据裁决规则确定访问信息对应的验证结果,而更进一步地,为了缩小裁决规则的范围,以及增强访问信息对应的验证结果的准确度,终端设备还可以确定目标服务器的地址信息,即上述目标IP,再根据关键参数、地址信息和验证结果生成裁决规则。
示例性地,根据关键参数、地址信息和验证结果可以设定裁决规则包括目标IP为192.168.5.100,协议为modbus协议,命令值为05,验证结果为信息安全,即需对访问信息进行放行处理,从而当访问信息中的关键参数匹配到该裁决规则时,终端设备需对访问信息进行放行处理,即发送给对应的目标服务器。
在一个实施例中,在步骤S103之后还可以包括:当验证结果为信息不安全时,对访问信息进行阻断处理。
示例性地,基于上述dnp3协议对应的示例,根据关键参数、地址信息和验证结果可以设定裁决规则包括协议为dnp3协议,命令值对应重启,目标IP为192.168.6.109的,验证结果为信息不安全,即需对访问信息进行阻断处理,从而当访问信息中的关键参数匹配到该裁决规则时,终端设备需对访问信息进行阻断处理。
步骤S104、当验证结果为信息安全时,将访问信息发送给访问信息对应的目标服务器。
在本实施例中,终端设备通过仿真服务器的仿真执行,来验证访问信息的信息是否安全,并在信息安全时,将访问信息发送给访问信息对应的目标服务器,提高了工控现场数据的安全性,保证了工控现场以及虚拟化云环境的工控设备安全。
在一个实施例中,如图2所示,在步骤S101之后还可以包括:
步骤S201、通过预设的导流网关确定访问信息的访问对象,并将访问信息发送给访问对象对应的安全验证模块;
在本实施例中,可通过终端设备中的导流模块改变数据流向,将信息标识后的访问信息发送给终端设备中的预设的导流网关。该导流网关可确定该访问信息中的访问对象,其中,该访问对象包括但不限于是设备方面的、数据库方面的、文件方面的等,从而根据所确定的访问对象对其所获取的访问信息进行分流或导流至对应的安全验证模块,例如,将设备方面的访问信息导流到设备安全验证模块,将数据库方面的访问信息导流到数据库安全验证模块,将文件方面的访问信息导流到文件安全验证模块,从而通过不同验证模块对应进行验证,提高了验证结果的准确性,保障了PLC、SCADA、DCS等工控设备的设备数据安全、数据库安全、文件访问安全等。
在一个实施例中,上述步骤S201可以包括:终端设备确定访问对象对应的数据通道,从而通过数据通道将访问信息发送给访问对象对应的安全验证模块。
具体地,终端设备中的导流网关可以通过端口的配置、协议、动态端口等信息确定访问信息对应的至少一个数据通道,从而将访问信息分别由至少一个数据通道同时发送给终端设备中的安全验证模块,安全验证模块可以根据其所获取的信息标识,将信息标识相同的信息整合在一起,即得到上述访问信息,从而提高了访问信息的获取速度。例如FTP访问,可以将访问信息分流到安全验证模块,在分流过程中通过信息传输的协商端口进行正确导流,实现了应用层的分流以及应用层动态连接的分流。
步骤S202、通过安全验证模块确定关键参数对应的裁决规则,并根据裁决规则对访问信息进行安全验证,确定验证结果。
在本实施例中,可以通过终端设备中的安全验证模块从终端设备中的规则管理模块中对关键参数进行解析,从而确定关键参数对应的裁决规则,并进行安全验证,即判断访问信息中的各个关键参数是否符合裁决规则中的参数条件,若符合,则确定裁决规则中对应的验证结果。
在一个实施例中,上述裁决规则可以根据关键参数和验证结果生成对应的规则,该验证结果可以通过上述裁决模块得到,也可以通过人工裁决得到,例如根据协议、端口、源IP、目标IP、字段等至少一个关键参数生成不同的参数条件,确定不同参数条件对应的验证结果,根据参数条件和验证结果确定对应的裁决规则。
在一个实施例中,终端设备还可以根据不同访问对象对应的至少一个关键参数进一步生成不同访问对象分别对应的裁决规则,并将该裁决规则与访问对象对应的安全验证模块关联,以提高通过安全验证模块确定验证结果的速度。例如设备方面的关键参数包括但不限于是访问的功能码、寄存器地址、寄存器阈值或阈值范围等,根据该关键参数生成设备方面对应的裁决规则;数据库方面的关键参数包括但不限于是表名、列名、用户名、客户端等,根据该关键参数生成数据库方面对应的裁决规则;文件方面的关键参数包括但不限于是上传动作、下载动作等,根据该关键参数生成文件方面对应的裁决规则。此外,终端设备还可以进一步对裁决规则中的协议进行配置,例如配置私有协议的特征选项。
在一个实施例中,步骤S202可以包括:终端设备对裁决规则进行判断,若裁决规则为复合类型规则时,终端设备确定访问信息的标签,获取与标签一致的目标访问信息,即将不同时间段获取的访问信息关联,并将关联后的目标访问信息和访问信息进行判断,当目标访问信息和访问信息符合裁决规则时,确定验证结果,即该验证结果为裁决规则中对应的验证结果。
示例性地,设定当前访问信息的访问对象为数据库方面,则获取的目标访问信息或访问信息包括但不限于是用户名、登录密码、访问数据库、访问表等,从而通过裁决规则中的用户名、客户端、表名等信息对当前访问信息进行安全验证。
在一个实施例中,步骤S202可以包括:终端设备对裁决规则进行判断,若裁决规则为统计类型规则时,终端设备确定访问信息的标签,再确定预设时间内标签出现的次数,当次数小于或等于裁决规则中的次数阈值时,验证结果为信息安全。
可以理解的是,若同一个IP或者同一个用户以特定的访问信息进行访问或接收特定的访问信息的频次过高,例如,大于上述次数阈值,则说明当前可能存在危险,所以通过标签次数和次数阈值进行比较,以判断访问信息是否安全。
在一个实施例中,终端设备可以记录每次获取访问信息所对应的访问日志,并对预设时间内的访问日志进行数据分析,得到分析结果,终端设备再将该分析结果和预设的告警规则进行对比,当该分析结果符合预设的告警规则时,终端设备进行告警处理。
本申请实施例中获取访问信息,确定上述访问信息中的关键参数,从而依据关键参数进行判断,当上述关键参数符合预设裁决条件时,将上述访问信息发送给预设的用于根据上述访问信息执行对应操作的仿真服务器,以促使上述仿真服务器执行相应操作,从而产生对应的执行过程信息和执行结果信息,再获取上述仿真服务器发送的执行过程信息和执行结果信息,并根据上述执行过程信息和上述执行结果信息对上述访问信息进行安全验证,以确定验证结果,从而依据验证结果进行判断,当上述验证结果为信息安全时,说明上述访问信息是安全的,最后将上述访问信息发送给上述访问信息对应的目标服务器,从而通过仿真服务器的仿真执行,来验证访问信息是否安全,提高了工控现场数据的安全性。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
对应于上文所述的一种访问控制方法,图3所示为本申请实施例中一种访问控制装置的结构示意图,如图3所示,上述访问控制装置可以包括:
信息获取模块301,用于获取访问信息,确定访问信息中的关键参数。
执行模块302,用于当关键参数符合预设裁决条件时,将访问信息发送给预设的仿真服务器,仿真服务器用于根据访问信息执行对应操作。
安全验证模块303,用于获取仿真服务器发送的执行过程信息和执行结果信息,根据执行过程信息和执行结果信息对访问信息进行安全验证,确定验证结果。
信息发送模块304,用于当验证结果为信息安全时,将访问信息发送给访问信息对应的目标服务器。
在一个实施例中,上述访问控制装置还可以包括:
信息确定模块,用于确定目标服务器的地址信息。
规则生成模块,用于根据关键参数、地址信息和验证结果生成裁决规则。
在一个实施例中,上述访问控制装置还可以包括:
访问对象确定模块,用于通过预设的导流网关确定访问信息的访问对象,并将访问信息发送给访问对象对应的安全验证模块。
规则确定模块,用于通过安全验证模块确定关键参数对应的裁决规则,并根据裁决规则对访问信息进行安全验证,确定验证结果。
在一个实施例中,上述规则确定模块可以包括:
第一标签确定单元,用于若裁决规则为复合类型规则时,确定访问信息的标签。
信息获取单元,用于获取与标签一致的目标访问信息。
第一结果确定单元,用于当目标访问信息和访问信息符合裁决规则时,确定裁决规则对应的验证结果。
在一个实施例中,上述规则确定模块还可以包括:
第二标签确定单元,用于若裁决规则为统计类型规则时,确定访问信息的标签。
次数确定单元,用于确定预设时间内标签出现的次数。
第二结果确定单元,用于当次数小于或等于裁决规则中的次数阈值时,确定验证结果为信息安全。
在一个实施例中,上述访问对象确定可以包括:
通道确定单元,用于确定访问对象对应的数据通道。
信息发送单元,用于通过数据通道将访问信息发送给访问对象对应的安全验证模块。
在一个实施例中,上述访问控制装置还可以包括:
阻断模块,用于当验证结果为信息不安全时,对访问信息进行阻断处理。
本申请实施例中获取访问信息,确定上述访问信息中的关键参数,从而依据关键参数进行判断,当上述关键参数符合预设裁决条件时,将上述访问信息发送给预设的用于根据上述访问信息执行对应操作的仿真服务器,以促使上述仿真服务器执行相应操作,从而产生对应的执行过程信息和执行结果信息,再获取上述仿真服务器发送的执行过程信息和执行结果信息,并根据上述执行过程信息和上述执行结果信息对上述访问信息进行安全验证,以确定验证结果,从而依据验证结果进行判断,当上述验证结果为信息安全时,说明上述访问信息是安全的,最后将上述访问信息发送给上述访问信息对应的目标服务器,从而通过仿真服务器的仿真执行,来验证访问信息是否安全,提高了工控现场数据的安全性。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和模块的具体工作过程,可以参考前述***实施例以及方法实施例中的对应过程,在此不再赘述。
图4为本申请实施例提供的终端设备的结构示意图。为了便于说明,仅示出了与本申请实施例相关的部分。
如图4所示,该实施例的终端设备4包括:至少一个处理器400(图4中仅示出一个),与上述处理器400连接的存储器401,以及存储在上述存储器401中并可在上述至少一个处理器400上运行的计算机程序402,例如访问控制程序。上述处理器400执行上述计算机程序402时实现上述各个访问控制方法实施例中的步骤,例如图1所示的步骤S101至S104。或者,上述处理器400执行上述计算机程序402时实现上述各装置实施例中各模块的功能,例如图3所示模块301至304的功能。
示例性的,上述计算机程序402可以被分割成一个或多个模块,上述一个或者多个模块被存储在上述存储器401中,并由上述处理器400执行,以完成本申请。上述一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述上述计算机程序402在上述终端设备4中的执行过程。例如,上述计算机程序402可以被分割成信息获取模块301、执行模块302、安全验证模块303、信息发送模块304,各模块具体功能如下:
信息获取模块301,用于获取访问信息,确定访问信息中的关键参数;
执行模块302,用于当关键参数符合预设裁决条件时,将访问信息发送给预设的仿真服务器,仿真服务器用于根据访问信息执行对应操作;
安全验证模块303,用于获取仿真服务器发送的执行过程信息和执行结果信息,根据执行过程信息和执行结果信息对访问信息进行安全验证,确定验证结果;
信息发送模块304,用于当验证结果为信息安全时,将访问信息发送给访问信息对应的目标服务器。
上述终端设备4可包括,但不仅限于,处理器400、存储器401。本领域技术人员可以理解,图4仅仅是终端设备4的举例,并不构成对终端设备4的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如还可以包括输入输出设备、网络接入设备、总线等。
所称处理器400可以是中央处理单元(Central Processing Unit,CPU),该处理器400还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
上述存储器401在一些实施例中可以是上述终端设备4的内部存储单元,例如终端设备4的硬盘或内存。上述存储器401在另一些实施例中也可以是上述终端设备4的外部存储设备,例如上述终端设备4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,上述存储器401还可以既包括上述终端设备4的内部存储单元也包括外部存储设备。上述存储器401用于存储操作***、应用程序、引导装载程序(Boot Loader)、数据以及其他程序等,例如上述计算机程序的程序代码等。上述存储器401还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将上述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述***中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,上述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
上述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,上述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,上述计算机程序包括计算机程序代码,上述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。上述计算机可读介质至少可以包括:能够将计算机程序代码携带到拍照装置/终端设备的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区,根据立法和专利实践,计算机可读介质不可以是电载波信号和电信信号。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种访问控制方法,其特征在于,包括:
获取访问信息,确定所述访问信息中的关键参数;
当所述关键参数符合预设裁决条件时,将所述访问信息发送给预设的仿真服务器,所述仿真服务器用于根据所述访问信息执行对应操作;
获取所述仿真服务器发送的执行过程信息和执行结果信息,根据所述执行过程信息和所述执行结果信息对所述访问信息进行安全验证,确定验证结果;
当所述验证结果为信息安全时,将所述访问信息发送给所述访问信息对应的目标服务器。
2.如权利要求1所述的访问控制方法,其特征在于,在确定验证结果之后,还包括:
确定所述目标服务器的地址信息;
根据所述关键参数、所述地址信息和所述验证结果生成裁决规则。
3.如权利要求1或2所述的访问控制方法,其特征在于,在确定所述访问信息中的关键参数之后,还包括:
通过预设的导流网关确定所述访问信息的访问对象,并将所述访问信息发送给所述访问对象对应的安全验证模块;
通过所述安全验证模块确定所述关键参数对应的裁决规则,并根据所述裁决规则对所述访问信息进行安全验证,确定验证结果。
4.如权利要求3所述的访问控制方法,其特征在于,所述根据所述裁决规则对所述访问信息进行安全验证,确定验证结果,包括:
若所述裁决规则为复合类型规则时,确定所述访问信息的标签;
获取与所述标签一致的目标访问信息;
当所述目标访问信息和所述访问信息符合所述裁决规则时,确定所述裁决规则对应的验证结果。
5.如权利要求3所述的访问控制方法,其特征在于,所述根据所述裁决规则对所述访问信息进行安全验证,确定验证结果,包括:
若所述裁决规则为统计类型规则时,确定所述访问信息的标签;
确定预设时间内所述标签出现的次数;
当所述次数小于或等于所述裁决规则中的次数阈值时,确定所述验证结果为信息安全。
6.如权利要求3所述的访问控制方法,其特征在于,所述将所述访问信息发送给所述访问对象对应的安全验证模块,包括:
确定所述访问对象对应的数据通道;
通过所述数据通道将所述访问信息发送给所述访问对象对应的安全验证模块。
7.如权利要求1所述的访问控制方法,其特征在于,在确定验证结果之后,还包括:
当所述验证结果为信息不安全时,对所述访问信息进行阻断处理。
8.一种访问控制装置,其特征在于,包括:
信息获取模块,用于获取访问信息,确定所述访问信息中的关键参数;
执行模块,用于当所述关键参数符合预设裁决条件时,将所述访问信息发送给预设的仿真服务器,所述仿真服务器用于根据所述访问信息执行对应操作;
安全验证模块,用于获取所述仿真服务器发送的执行过程信息和执行结果信息,根据所述执行过程信息和所述执行结果信息对所述访问信息进行安全验证,确定验证结果;
信息发送模块,用于当所述验证结果为信息安全时,将所述访问信息发送给所述访问信息对应的目标服务器。
9.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的一种访问控制方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的一种访问控制方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210287238.1A CN114745162B (zh) | 2022-03-23 | 2022-03-23 | 一种访问控制方法、装置、终端设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210287238.1A CN114745162B (zh) | 2022-03-23 | 2022-03-23 | 一种访问控制方法、装置、终端设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114745162A true CN114745162A (zh) | 2022-07-12 |
| CN114745162B CN114745162B (zh) | 2023-11-03 |
Family
ID=82276562
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210287238.1A Active CN114745162B (zh) | 2022-03-23 | 2022-03-23 | 一种访问控制方法、装置、终端设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114745162B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161451A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及*** |
| CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
| CN107332823A (zh) * | 2017-06-06 | 2017-11-07 | 北京明朝万达科技股份有限公司 | 一种基于机器学习的服务器伪装方法和*** |
| CN107508838A (zh) * | 2017-09-28 | 2017-12-22 | 北京云衢科技有限公司 | 一种访问控制方法、装置和*** |
| CN107888546A (zh) * | 2016-09-29 | 2018-04-06 | 腾讯科技(深圳)有限公司 | 网络攻击防御方法、装置以及*** |
| US9996688B1 (en) * | 2009-10-30 | 2018-06-12 | Quest Software Inc. | Systems and methods for controlling access to computer applications or data |
| CN110472414A (zh) * | 2019-07-23 | 2019-11-19 | 中国平安人寿保险股份有限公司 | ***漏洞的检测方法、装置、终端设备及介质 |
| CN111756729A (zh) * | 2020-06-23 | 2020-10-09 | 北京网瑞达科技有限公司 | 网络资源访问方法、装置、计算机设备和存储介质 |
| CN113014571A (zh) * | 2021-02-22 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种访问请求处理的方法、装置及存储介质 |
| US20210266338A1 (en) * | 2020-02-24 | 2021-08-26 | Bank Of America Corporation | Scanning of Content in Weblink |
-
2022
- 2022-03-23 CN CN202210287238.1A patent/CN114745162B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9996688B1 (en) * | 2009-10-30 | 2018-06-12 | Quest Software Inc. | Systems and methods for controlling access to computer applications or data |
| CN106161451A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及*** |
| CN107888546A (zh) * | 2016-09-29 | 2018-04-06 | 腾讯科技(深圳)有限公司 | 网络攻击防御方法、装置以及*** |
| CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
| CN107332823A (zh) * | 2017-06-06 | 2017-11-07 | 北京明朝万达科技股份有限公司 | 一种基于机器学习的服务器伪装方法和*** |
| CN107508838A (zh) * | 2017-09-28 | 2017-12-22 | 北京云衢科技有限公司 | 一种访问控制方法、装置和*** |
| CN110472414A (zh) * | 2019-07-23 | 2019-11-19 | 中国平安人寿保险股份有限公司 | ***漏洞的检测方法、装置、终端设备及介质 |
| US20210266338A1 (en) * | 2020-02-24 | 2021-08-26 | Bank Of America Corporation | Scanning of Content in Weblink |
| CN111756729A (zh) * | 2020-06-23 | 2020-10-09 | 北京网瑞达科技有限公司 | 网络资源访问方法、装置、计算机设备和存储介质 |
| CN113014571A (zh) * | 2021-02-22 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种访问请求处理的方法、装置及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 马思峻;肖荣;成江伟;: "基于沙盒技术的企业移动应用安全平台", 计算机***应用, no. 09 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114745162B (zh) | 2023-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| KR20200085899A (ko) | 아이덴티티 검증 방법 및 장치 | |
| CN111556059A (zh) | 异常检测方法、异常检测装置及终端设备 | |
| CN111131221A (zh) | 接口校验的装置、方法及存储介质 | |
| CN112073374B (zh) | 信息拦截方法、装置及设备 | |
| CN111464513A (zh) | 数据检测方法、装置、服务器及存储介质 | |
| CN112491930A (zh) | ***风险动态监控方法、***、计算机设备及存储介质 | |
| CN114598512A (zh) | 一种基于蜜罐的网络安全保障方法、装置及终端设备 | |
| CN114500039A (zh) | 基于安全管控的指令下发方法及*** | |
| CN109699030B (zh) | 无人机认证方法、装置、设备和计算机可读存储介质 | |
| CN109756483B (zh) | 一种针对melsec协议的安全防护方法 | |
| CN114745162A (zh) | 一种访问控制方法、装置、终端设备及存储介质 | |
| CN114567678B (zh) | 一种云安全服务的资源调用方法、装置及电子设备 | |
| CN111459899B (zh) | 日志共享方法、装置及终端设备 | |
| CN113992366A (zh) | 一种网络数据传输方法、装置、设备及存储介质 | |
| CN113792285A (zh) | 一种核电站业务权限控制方法、装置及终端设备 | |
| CN116828404B (zh) | 行业短信准确发送方法、装置、电子设备和介质 | |
| CN117579336A (zh) | 一种基于无线协议的电力***的访问控制方法和*** | |
| CN112995803B (zh) | 认证信息的修改方法、光网络单元及无源光网络*** | |
| CN111310131B (zh) | so库调用处理方法、装置、电子装置及存储介质 | |
| CN111917575B (zh) | 网关离线配置方法、***、终端设备及存储介质 | |
| CN109145586B (zh) | 一种ssr集中管理平台特性动态授权方法 | |
| CN114297617A (zh) | 密码访问控制方法、装置、服务器及存储介质 | |
| CN115484058A (zh) | 网络空间防护方法、装置及终端设备 | |
| CN114510689A (zh) | 气象数据传输方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |