CN114844656A - 网络访问方法、装置、***、设备及存储介质 - Google Patents
网络访问方法、装置、***、设备及存储介质 Download PDFInfo
- Publication number
- CN114844656A CN114844656A CN202110050890.7A CN202110050890A CN114844656A CN 114844656 A CN114844656 A CN 114844656A CN 202110050890 A CN202110050890 A CN 202110050890A CN 114844656 A CN114844656 A CN 114844656A
- Authority
- CN
- China
- Prior art keywords
- network access
- server
- request
- application
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例提供一种网络访问方法、装置、***、设备及存储介质,涉及云技术和安全领域。方法包括:当拦截到任一应用发送的网络访问请求时,终端获取所述网络访问请求对应的进程特征信息;根据所述进程特征信息生成票据申请,并将所述票据申请发送给服务器;当在预设时间段内,未成功接收到所述服务器基于所述票据申请所返回的网络请求凭证时,根据所述网络访问请求对应的访问信息,生成虚拟访问凭证;将所述网络访问请求和所述虚拟访问凭证发送至所述服务器,以使得所述服务器根据所述虚拟访问凭证对所述网络访问请求进行鉴权。通过本申请,能够让终端用户获取持续、稳定且高质量的网络访问体验,提高安全管理***的稳定性和可用性。
Description
技术领域
本申请实施例涉及互联网技术领域,涉及但不限于一种网络访问方法、装置、***、设备及存储介质。
背景技术
零信任安全管理***(iOA)是一种基于可信身份、可信设备、可信应用和可信链路授予访问权限,并强制所有访问都必须经过认证、授权和加密,助力企业工位于何处、何时使用何设备都可安全地访问授权资源以处理任何业务的新型“4A办公”方式。
目前,在包括iOA***在内的任意一种安全管理***中,对于用户的每一次网络访问请求,均会通过网络向服务端同步申请票据,即请求服务器返回网络请求凭证。
但是,每次网络访问请求均通过网络向服务端同步申请票据,应用在实际访问业务站点之前,则需要同步等待服务端生成和响应票据。那么,在网络质量不稳定、弱网络的场景下,容易出现票据获取超时或失败的问题,导致网络访问出现频繁失败的问题,可用性差,网络延迟高。
发明内容
本申请实施例提供一种网络访问方法、装置、***、设备及存储介质,涉及云技术和安全领域。由于在未成功接收到网络请求凭证时,会生成虚拟访问凭证,并采用虚拟访问凭证对网络访问请求进行鉴权,如此,在兼顾安全性的基础上,通过引入虚拟访问凭证可以让终端用户获取持续、稳定且高质量的网络访问体验,提高安全管理***的稳定性和可用性。
本申请实施例的技术方案是这样实现的:
本申请实施例提供一种网络访问方法,所述方法包括:
当拦截到任一应用发送的网络访问请求时,终端获取所述网络访问请求对应的进程特征信息;
根据所述进程特征信息生成票据申请,并将所述票据申请发送给服务器;
当在预设时间段内,未成功接收到所述服务器基于所述票据申请所返回的网络请求凭证时,根据所述网络访问请求对应的访问信息,生成虚拟访问凭证;
将所述网络访问请求和所述虚拟访问凭证发送至所述服务器,以使得所述服务器根据所述虚拟访问凭证对所述网络访问请求进行鉴权,实现对所述网络访问请求的网络访问响应。
本申请实施例提供一种网络访问***,所述***包括:业务处理客户端、管理客户端、服务器和访问网关;其中,
所述业务处理客户端,用于拦截任一应用发送的网络访问请求,并响应于所述网络访问请求向所述管理客户端发送鉴权请求;
所述管理客户端,用于响应于所述鉴权请求,获取所述网络访问请求对应的进程特征信息;并根据所述进程特征信息生成票据申请,将所述票据申请发送给所述服务器;
所述服务器,用于响应于所述票据申请,生成网络请求凭证;
所述业务处理客户端,还用于当在预设时间段内,未成功接收到所述服务器返回的所述网络请求凭证时,根据所述网络访问请求对应的访问信息,生成虚拟访问凭证;并将所述网络访问请求和所述虚拟访问凭证发送至所述访问网关;
所述访问网关,用于将所述网络访问请求和所述虚拟访问凭证发送给所述服务器,以使得所述服务器根据所述虚拟访问凭证对所述网络访问请求进行鉴权,实现对所述网络访问请求的网络访问响应。
本申请实施例提供一种网络访问装置,所述装置包括:
获取模块,用于当拦截到任一应用发送的网络访问请求时,获取所述网络访问请求对应的进程特征信息;
第一生成模块,用于根据所述进程特征信息生成票据申请,并将所述票据申请发送给服务器;
第二生成模块,当在预设时间段内,未成功接收到所述服务器基于所述票据申请所返回的网络请求凭证时,根据所述网络访问请求对应的访问信息,生成虚拟访问凭证;
发送模块,用于将所述网络访问请求和所述虚拟访问凭证发送至所述服务器,以使得所述服务器根据所述虚拟访问凭证对所述网络访问请求进行鉴权,实现对所述网络访问请求的网络访问响应。
本申请实施例提供一种计算机程序产品或计算机程序,所述计算机程序产品或计算机程序包括计算机指令,所述计算机指令存储在计算机可读存储介质中;其中,计算机设备的处理器从所述计算机可读存储介质中读取所述计算机指令,所述处理器用于执行所述计算机指令,实现上述的网络访问方法。
本申请实施例提供一种网络访问设备,包括:存储器,用于存储可执行指令;处理器,用于执行所述存储器中存储的可执行指令时,实现上述的网络访问方法。
本申请实施例提供一种计算机可读存储介质,存储有可执行指令,用于引起处理器执行所述可执行指令时,实现上述的网络访问方法。
本申请实施例具有以下有益效果:当拦截到任一应用发送的网络访问请求时,终端获取网络访问请求对应的进程特征信息;并根据进程特征信息生成票据申请以申请网络请求凭证;当在预设时间段内,未成功接收到服务器基于票据申请所返回的网络请求凭证时,根据网络访问请求对应的访问信息,生成虚拟访问凭证;并采用虚拟访问凭证对应用的网络访问请求进行鉴权,如此,在兼顾安全性的基础上,通过引入虚拟访问凭证可以让终端用户获取持续、稳定且高质量的网络访问体验,提高安全管理***的稳定性和可用性。
附图说明
图1是本申请实施例提供的网络访问方法的应用场景示意图;
图2是本申请实施例提供的网络访问***的一个可选的架构示意图;
图3是本申请实施例提供的网络访问设备的结构示意图;
图4是本申请实施例提供的网络访问方法的一个可选的流程示意图;
图5是本申请实施例提供的网络访问方法的一个可选的流程示意图;
图6是本申请实施例提供的网络访问方法的一个可选的流程示意图;
图7是本申请实施例提供的iOA***的配置界面图;
图8是本申请实施例提供的业务***配置界面图;
图9是本申请实施例提供的可信应用配置界面图;
图10是本申请实施例提供的登陆界面图;
图11是本申请实施例提供的防护策略和可信软件详情界面图;
图12是本申请实施例提供的管理员配置的业务***界面图;
图13是本申请实施例提供的iOA为统一入口提供鉴权操作的示意图;
图14是本申请实施例提供的网络访问方法的总体流程示意图;
图15是本申请实施例提供的用户登陆流程示意图;
图16是本申请实施例提供的策略同步流程示意图;
图17是本申请实施例提供的客户端和服务端共同针对单一网络访问请求进行鉴权的过程示意图;
图18是本申请实施例提供的客户端和服务端共同对网络访问请求执行鉴权的时序图;
图19是本申请实施例提供的终端本地生成和调整进程特征库的过程示意图;
图20是本申请实施例提供的虚拟访问凭证的生成和校验过程示意图;
图21是本申请实施例提供的虚拟票据的结构示意图;
图22是本申请实施例提供的方案3的流程图;
图23是本申请实施例提供的策略3的流程图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,所描述的实施例不应视为对本申请的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。除非另有定义,本申请实施例所使用的所有的技术和科学术语与属于本申请实施例的技术领域的技术人员通常理解的含义相同。本申请实施例所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
在解释本申请实施例之前,首先对本申请中涉及的名词及关键术语进行解释:
1)可信应用:是指管理端授信的、终端可访问内部业务***的应用载体,包括应用名、应用MD5和签名信息等。
2)可达区域:是指终端用户可以通过零信任网络访问企业设置的内部站点的列表。
3)登录凭证:是指用户成功登录管理客户端(这里的管理客户端是指安全管理***中的管理客户端,例如,可以是iOA***中的iOA客户端)后,安全管理***中的管理服务器(例如,可以是iOA***中的iOA服务器)为该用户指定的一个加密串,表示该用户的登录授权信息,包括用户信息和授权有效期。该登陆凭证加密存储在客户端,可以称为大票。
4)网络请求凭证:是指管理服务器为单个网络请求发放的授权信息,用于标识该网络请求的授权状态,可以称为小票或票据。
5)虚拟访问凭证:是指非服务器生成的,由业务处理客户端侧生成,旨在兼顾安全性的基础上,提升终端用户网络访问稳定性的访问票据,可以称为虚拟票据或虚拟小票。
6)零信任访问控制策略:是指由用户可使用的进程信息(可信应用)以及可访问的业务站点(可达区域)组成,在权限开通的情况下,用户可通过任何一个可信应用访问到任一个可达区域。零信任访问控制策略的粒度为登录用户,允许为不同的登录用户制定不同的零信任策略。
7)零信任网关:是指部署在企业应用程序和数据资源的入口,负责对每一个访问企业资源的会话请求进行验证和请求转发。
8)业务处理客户端:是一种访问代理或代理客户端,即终端访问代理,是部署于受控设备的发起安全访问的终端访问代理,主要负责主体可信的身份验证的访问请求发起,验证身份可信时,即可与访问网关建立加密的访问连接,同时也是访问控制的策略执行点。
9)访问主体:是指在网络中发起访问的一方,访问内网业务资源的人/设备/应用。
10)访问客体:是指在网络中被访问的一方,即企业内网业务资源、数据、开发测试环境和运维环境等等。
11)服务寻址:是指在分布式级联部署方式中,各不同的业务部署在不同的服务器中,寻找客户端不同的业务模块关心的后台服务所部署的服务器连接地址的过程。
本申请实施例提供一种网络访问方法,能够解决弱网络、管理客户端出现异常、不能及时响应业务处理客户端的请求或者因网络原因和管理服务器票据服务出现异常等原因,不能及时响应客户端的票据申请请求等场景下,终端用户的网络使用问题。通用环境下由终端和服务器共同对网络请求进行鉴权,结合零信任访问控制策略,针对设备可信度、访问的目的地址、进程特征及应用访问站点的权限执行鉴权,鉴权成功后才能访问企业设置的内部站点。在因网络原因或者服务器票据服务故障导致终端申请票据失败时,或管理客户端出现异常,不能及时响应业务处理客户端请求时,业务处理客户端可以创建虚拟凭证发往访问网关,由访问网关向管理服务端发起票据校验。服务端通过虚拟票据校验的策略实现安全高效的票据校验逻辑。在部分服务失效或网络出现抖动时,能够保证网络访问的正常进行,实现高可用网络访问,在兼顾安全性的基础上,通过服务调整的方式获取终端用户的可持续、稳定且高质量的网络访问体验。
本申请实施例提供的网络访问方法,应用于网络访问设备(网络访问设备可以是任意一种终端,网络访问设备包括业务处理客户端和管理客户端),首先,当拦截到任一应用发送的网络访问请求时,终端获取网络访问请求对应的进程特征信息;根据进程特征信息生成票据申请,并将票据申请发送给服务器;然后,当在预设时间段内,未成功接收到服务器基于票据申请所返回的网络请求凭证时,根据网络访问请求对应的访问信息,生成虚拟访问凭证;最后,将网络访问请求和虚拟访问凭证发送至服务器,以使得服务器根据虚拟访问凭证对网络访问请求进行鉴权,实现对网络访问请求的网络访问响应。本申请实施例中,采用虚拟访问凭证对应用的网络访问请求进行鉴权,如此,在兼顾安全性的基础上,通过引入虚拟访问凭证可以让终端用户获取持续、稳定且高质量的网络访问体验,提高安全管理***的稳定性和可用性。
下面说明本申请实施例的网络访问设备的示例性应用,在一种实现方式中,本申请实施例提供的网络访问设备可以实施为笔记本电脑,平板电脑,台式计算机,移动设备(例如,移动电话,便携式音乐播放器,个人数字助理,专用消息设备,便携式游戏设备)、智能机器人等任意的具备计算功能的终端,在另一种实现方式中,本申请实施例提供的网络访问设备还可以实施为服务器。下面,将说明网络访问设备实施为服务器时的示例性应用。
参见图1,图1是本申请实施例提供的网络访问方法的应用场景示意图。为实现对网络访问请求的网络访问响应,本申请实施例中的网络访问方法对应的应用场景10中至少包括终端11、安全管理***12和目标业务服务器13。用户通过终端100上的任一应用发起网络访问请求,安全管理***12(即网络访问***)中的客户端拦截到该网络访问请求,并执行对该网络访问请求的鉴权过程。在鉴权过程中,首先,获取网络访问请求对应的进程特征信息;根据进程特征信息生成票据申请,并将票据申请发送给管理服务器;当在预设时间段内,未成功接收到管理服务器基于票据申请所返回的网络请求凭证时,根据网络访问请求对应的访问信息,生成虚拟访问凭证;将网络访问请求和虚拟访问凭证发送至管理服务器,以使得管理服务器根据虚拟访问凭证对网络访问请求进行鉴权。如果管理服务器对网络访问请求鉴权通过,则将网络访问请求转发至目标业务服务器13,实现对网络访问请求的网络访问响应。
下面说明本申请实施例提供的网络访问***,参见图2,图2是本申请实施例提供的网络访问***的一个可选的架构示意图,其中,网络访问***包括:业务处理客户端121、管理客户端122、服务器123和访问网关124。业务处理客户端121,用于拦截任一应用发送的网络访问请求,并响应于网络访问请求向管理客户端122发送鉴权请求;管理客户端122,用于响应于鉴权请求,获取网络访问请求对应的进程特征信息;并根据进程特征信息生成票据申请,将票据申请发送给服务器;服务器123,用于响应于票据申请,生成网络请求凭证;业务处理客户端121,还用于当在预设时间段内,未成功接收到服务器返回的网络请求凭证时,根据网络访问请求对应的访问信息,生成虚拟访问凭证;并将网络访问请求和虚拟访问凭证发送至访问网关;访问网关124,用于将网络访问请求和虚拟访问凭证发送给服务器,以使得服务器根据虚拟访问凭证对网络访问请求进行鉴权,实现对网络访问请求的网络访问响应。在一些实施例中,上述管理客户端122可以是iOA***中的iOA客户端,上述服务器123可以是iOA***中的iOA服务器。
本申请实施例所提供的网络访问方法还可以基于云平台并通过云技术来实现,例如,上述服务器可以是云端服务器。或者,还可以具有云端存储器,将网络访问过程中的访问请求、访问信息和业务的配置信息等,存储在云端存储器中,这样在鉴权或者校验的过程中,即可以直接从云端存储器中获取相应的信息。
云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。云技术基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络***的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台***进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的***后盾支撑,只能通过云计算来实现。
图3是本申请实施例提供的网络访问设备的结构示意图,图3所示的网络访问设备包括:至少一个处理器310、存储器350、至少一个网络接口320和用户接口330。网络访问设备中的各个组件通过总线***340耦合在一起。可理解,总线***340用于实现这些组件之间的连接通信。总线***340除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图3中将各种总线都标为总线***340。
处理器310可以是一种集成电路芯片,具有信号的处理能力,例如通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,其中,通用处理器可以是微处理器或者任何常规的处理器等。
用户接口330包括使得能够呈现媒体内容的一个或多个输出装置331,包括一个或多个扬声器和/或一个或多个视觉显示屏。用户接口330还包括一个或多个输入装置332,包括有助于用户输入的用户接口部件,比如键盘、鼠标、麦克风、触屏显示屏、摄像头、其他输入按钮和控件。
存储器350可以是可移除的,不可移除的或其组合。示例性的硬件设备包括固态存储器,硬盘驱动器,光盘驱动器等。存储器350可选地包括在物理位置上远离处理器310的一个或多个存储设备。存储器350包括易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。非易失性存储器可以是只读存储器(ROM,Read Only Memory),易失性存储器可以是随机存取存储器(RAM,Random Access Memory)。本申请实施例描述的存储器350旨在包括任意适合类型的存储器。在一些实施例中,存储器350能够存储数据以支持各种操作,这些数据的示例包括程序、模块和数据结构或者其子集或超集,下面示例性说明。
操作***351,包括用于处理各种基本***服务和执行硬件相关任务的***程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务;
网络通信模块352,用于经由一个或多个(有线或无线)网络接口320到达其他计算设备,示例性的网络接口320包括:蓝牙、无线相容性认证(WiFi)、和通用串行总线(USB,Universal Serial Bus)等;
输入处理模块353,用于对一个或多个来自一个或多个输入装置332之一的一个或多个用户输入或互动进行检测以及翻译所检测的输入或互动。
在一些实施例中,本申请实施例提供的装置可采用软件方式实现,图3示出了存储在存储器350中的一种网络访问装置354,该网络访问装置354可以是网络访问设备中的网络访问装置,其可以是程序和插件等形式的软件,包括以下软件模块:获取模块3541、第一生成模块3542、第二生成模块3543和发送模块3544,这些模块是逻辑上的,因此根据所实现的功能可以进行任意的组合或进一步拆分。将在下文中说明各个模块的功能。
在另一些实施例中,本申请实施例提供的装置可以采用硬件方式实现,作为示例,本申请实施例提供的装置可以是采用硬件译码处理器形式的处理器,其被编程以执行本申请实施例提供的网络访问方法,例如,硬件译码处理器形式的处理器可以采用一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,Programmable Logic Device)、复杂可编程逻辑器件(CPLD,ComplexProgrammable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable GateArray)或其他电子元件。
下面将结合本申请实施例提供的网络访问设备的示例性应用和实施,说明本申请实施例提供的网络访问方法,其中,该网络访问设备可以是网络访问***中的终端,其中,终端上包括业务处理客户端和管理客户端,其中管理客户端是终端上所安装的安全管理***对应的客户端,用于与安全管理***中的管理服务器进行交互,以实现对终端上的网络访问请求执行基于可信身份、可信设备、可信应用、可信链路的访问权限授权,进而实现安全的网络访问。本申请实施例中的服务器可以是安全管理***中的管理服务器。
下面,将以安全管理***为iOA***为例,对本申请实施例的网络访问方法进行说明,其中,管理客户端可以是iOA客户端,管理服务器可以是iOA服务器,由业务处理客户端、iOA客户端和iOA服务器共同形成网络访问***。参见图4,图4是本申请实施例提供的网络访问方法的一个可选的流程示意图,下面将结合图4示出的步骤进行说明。
步骤S401,当拦截到任一应用发送的网络访问请求时,终端获取网络访问请求对应的进程特征信息。
这里,当终端上安装有iOA***时,对于终端上的应用,可以基于iOA***进行安全管控,因此,当应用通过应用客户端发送网络访问请求,以请求对目标网络进行网络访问时,iOA***中的客户端会拦截该应用发送的网络访问请求,以对网络访问请求进行鉴权,确定该网络访问请求是否能够被转发至目标网络的目标业务服务器。
本申请实施例中,当终端拦截到任一应用发送的网络访问请求时,终端获取网络访问请求对应的进程特征信息,这里的进程特征信息包括但不限于以下至少之一:进程文件最近修改时间、MD5、SHA256、版权信息、进程签名信息(包括摘要算法、根证书信息、中级证书信息、签名证书信息、签名人姓名、签名状态)等。
步骤S402,根据进程特征信息生成票据申请,并将票据申请发送给服务器。
这里,在获取到进程特征信息之后,带上网络访问请求所请求访问的目标站点信息、当前设备信息和登陆用户信息等,生成票据申请,以请求服务器生成本次网络访问请求的网络请求凭证(即票据)。
步骤S403,当在预设时间段内,未成功接收到服务器基于票据申请所返回的网络请求凭证时,根据网络访问请求对应的访问信息,生成虚拟访问凭证。
在一些实施例中,当服务器能够成功接收到票据申请时,则响应于票据申请生成网络请求凭证,该网络请求凭证是为该网络访问请求发送的授权信息,用于标识该网络访问请求的授权状态。当服务器不能成功接收到票据申请,即客户端向服务器申请票据失败,或者,客户端出现异常不能正常接收到服务器返回的网络请求凭证,或者,服务器异常,不能有效响应票据申请,或者由于网络原因而响应超时等情况时,则在预设时间段内,客户端不能成功接收到服务器基于票据申请所返回的网络请求凭证,因此,为了保证能够继续有效的对网络访问请求进行访问,则客户端可以生成一虚拟访问凭证。虚拟访问凭证是由客户端生成的,旨在兼顾安全性的基础上,提升终端用户网络访问稳定性的访问票据。虚拟访问凭证可以仅适用于本次的网络访问请求。
步骤S404,将网络访问请求和虚拟访问凭证发送至服务器,以使得服务器根据虚拟访问凭证对网络访问请求进行鉴权,实现对网络访问请求的网络访问响应。
本申请实施例中,当客户端生成虚拟访问凭证之后,可以将虚拟访问凭证发送至服务器进行访问鉴权,服务器根据虚拟访问凭证对本次的网络访问请求进行鉴权,确定本次网络访问请求是否合法,如果合法的话,正常对网络访问请求的网络访问进行响应。在对网络访问请求进行响应时,可以是通过iOA***中的访问网关将该网络访问请求转发至对应的目标业务服务器,通过目标业务服务器对网络访问请求进行响应。
在一些实施例中,虚拟访问凭证至少包括票据头和票据主体;票据主体处于加密状态,其中,对票据主体进行加密的秘钥可以是登陆凭证(即登陆票据),这样,由于服务器中也存储有登陆凭证,因此,服务器可以基于登陆凭证对加密的票据主体进行解密;步骤S404可以是将网络访问请求和虚拟访问凭证发送至服务器,以使得服务器根据票据头识别出虚拟访问凭证,并对处于加密状态的票据主体进行解析,通过解析结果中的设备标识或MD5值,对虚拟访问凭证进行校验,实现对网络访问请求的鉴权。
这里,服务器根据票据头识别出虚拟访问凭证,然后对处于加密状态的票据主体进行解析,解析结果至少包括的设备标识和进程的MD5值。当解析结果包括设备标识时,对虚拟访问凭证进行校验过程可以是:服务器首先根据设备标识获取到设备的登陆票据,并以登陆票据作为关键信息(key),与登陆票据对应的虚拟访问凭证的使用次数作为value值,通过登陆票据和使用次数形成键值对,维护登陆票据中虚拟访问凭证的使用次数,检查该虚拟访问凭证使用次数是否超出设定值,如果超出,则校验不通过,如果未超出设定值,则校验通过。
当解析结果包括MD5值时,对虚拟访问凭证进行校验过程可以是:获取进程的MD5值,从服务端的进程缓存和安全探测服务中查找进程是否是风险应用,如果不是,则校验通过,如果是则校验不通过。
本申请实施例提供的网络访问方法,当拦截到任一应用发送的网络访问请求时,终端获取网络访问请求对应的进程特征信息;并根据进程特征信息生成票据申请以申请网络请求凭证;当在预设时间段内,未成功接收到服务器基于票据申请所返回的网络请求凭证时,根据网络访问请求对应的访问信息,生成虚拟访问凭证;并采用虚拟访问凭证对应用的网络访问请求进行鉴权,如此,在兼顾安全性的基础上,通过引入虚拟访问凭证可以让终端用户获取持续、稳定且高质量的网络访问体验,提高安全管理***的稳定性和可用性。
在一些实施例中,当用户的终端上安装有安全管理***时,则用于实现本申请实施例的网络访问方法的网络访问***中,可以包括业务处理客户端、安全管理***中的管理客户端、安全管理***中的管理服务器和访问网关,因此,对于用户的网络访问请求,均会通过安全管理***进行安全鉴权,以确定是否能够在安全管理***内进行网络访问。下面,基于本申请实施例提供的安全管理***,对本申请实施例的网络访问方法进行说明。
图5是本申请实施例提供的网络访问方法的一个可选的流程示意图,如图5所示,方法包括以下步骤:
步骤S501,当用户通过任一应用发送网络访问请求时,业务处理客户端拦截该网络访问请求。
步骤S502,业务处理客户端在拦截到网络访问请求时,响应于网络访问请求向管理客户端发送鉴权请求。
这里,鉴权请求用于请求对网络访问请求进行鉴权,从而实现对网络访问请求的网络访问响应。
步骤S503,管理客户端响应于鉴权请求,获取网络访问请求对应的进程特征信息。
步骤S504,管理客户端根据进程特征信息生成票据申请。
这里,在获取到进程特征信息之后,可以带上网络访问请求所请求访问的目标站点信息、当前设备信息和登陆用户信息等,生成票据申请。
步骤S505,管理客户端将票据申请发送给管理服务器。
步骤S506,管理服务器响应于该票据申请,生成网络请求凭证。
步骤S507,管理服务器将生成的网络请求凭证发送给管理客户端。
步骤S508,管理客户端将网络请求凭证返回给业务处理客户端。
当上述步骤S504至步骤S508中任意一步发生异常时,均会造成业务处理客户端不能成功接收到服务器基于票据申请所返回的网络请求凭证。因此,方法还包括以下步骤:
步骤S509,业务处理客户端判断在预设时间段内是否成功接收到服务器基于票据申请所返回的网络请求凭证。如果判断结果为否,则执行步骤S510,如果判断结果为是,则执行步骤S516。
步骤S510,业务处理客户端根据网络访问请求对应的访问信息,生成虚拟访问凭证。
本申请实施例中,为了保证能够继续有效的对网络访问请求进行访问,则业务处理客户端可以生成虚拟访问凭证。虚拟访问凭证是由业务处理客户端生成的,旨在兼顾安全性的基础上,提升终端用户网络访问稳定性的访问票据。虚拟访问凭证可以仅适用于本次的网络访问请求,或者虚拟访问凭证具有一定的使用次数或使用期限,在该使用次数内或者该使用期限内,该虚拟访问凭证有效。
在一些实施例中,将网络访问请求和虚拟访问凭证发送至服务器,以使得服务器根据虚拟访问凭证对网络访问请求进行鉴权的过程,可以通过以下步骤S511至步骤S515实现:
步骤S511,业务处理客户端将网络访问请求和虚拟访问凭证发送至访问网关。
步骤S512,访问网关将虚拟访问凭证发送给管理服务器,进行票据验证。
步骤S513,管理服务器对虚拟访问凭证进行验证,并判断是否验证通过。
如果验证通过,则执行步骤S514,如果验证不通过,则执行步骤S515。
步骤S514,访问网关将网络访问请求转发至目标业务服务器,以使得目标业务服务器对网络访问请求进行响应。
步骤S515,访问网关与业务处理客户端之间的连接中断。
本申请实施例中,当在预设时间段内成功接收到服务器返回的网络请求凭证时,向访问网关发送网络请求凭证,以使得访问网关向服务器发送票据校验请求,且当服务器响应票据校验请求,对网络请求凭证校验通过时,客户端与访问网关建立连接通道;业务处理客户端通过连接通道将网络访问请求发送给访问网关,以使得访问网关将网络访问请求转发至目标业务服务器;当管理服务器响应票据校验请求,对网络请求凭证校验不通过时,控制客户端与访问网关的连接中断。请继续参照图5,当在预设时间段内成功接收到服务器返回的网络请求凭证时所执行的步骤,可以通过以下步骤S516至步骤S520实现:
步骤S516,业务处理客户端将网络访问请求和网络请求凭证发送至访问网关。
步骤S517,访问网关将网络请求凭证发送给管理服务器,进行票据验证。
步骤S518,管理服务器对网络请求凭证进行验证,并判断是否验证通过。
如果验证通过,则执行步骤S519,如果验证不通过,则执行步骤S520。
步骤S519,访问网关将网络访问请求转发至目标业务服务器,以使得目标业务服务器对网络访问请求进行响应。
步骤S520,访问网关与业务处理客户端之间的连接中断。
在一些实施例中,安全管理***中配置有网络访问控制策略,该网络访问控制策略可以是预先配置的策略,也可以是实时更新的策略,其中,网络访问控制策略包括以下至少之一:可信用户、可信应用、可信业务***;可信用户用于限定在该安全管理***中哪些用户是可信的,可以发起网络访问请求;可信应用用于限定在该安全管理***中哪些应用是可信的,可以通过该应用发起网络访问请求或者向该应用发起网络访问请求;可信业务***,用于限定在安全管理***中哪些业务***是可信的,可以通过向该业务***发起网络访问请求。
基于图4,图6本申请实施例提供的网络访问方法的一个可选的流程示意图,如图6所示,当拦截到任一应用发送的网络访问请求时,方法还包括以下步骤:
步骤S601,当拦截到任一应用发送的网络访问请求时,获取预先配置的网络访问控制策略或者当前发生更新后的网络访问控制策略。
需要说明的是,在安全管理***中,可以在安全管理***开始使用之前对进行策略预配置,形成预先配置的网络访问控制策略,并且,在安全管理***的使用过程中,也可以在任意时刻对安全管理***进行策略配置和更新,形成更新后的网络访问控制策略。当网络访问控制策略存在更新时,获取更新后的网络访问控制策略,并采用更新后的网络访问控制策略进行安全管理***控制。
步骤S602,判断网络访问请求是否符合网络访问控制策略。
当判断结果为是时,执行步骤S401中获取网络访问请求对应的进程特征信息的步骤,当判断结果为否时,执行步骤S603。
步骤S603,终端控制应用的应用客户端与目标业务服务器直连,以响应网络访问请求。
在一些实施例中,在终端向服务器发送票据申请的同时,可以对应用的网络访问请求进行校验,以判断该网络访问请求对应的进程是否为恶意进程,包括以下步骤:
步骤S11,根据进程特征信息,通过预设风险进程库,对网络访问请求对应的进程进行识别。
这里,通过预设风险进程库对网络访问请求对应的进程进行过滤,在过滤的时候,可以是根据进程特征信息进行过滤,确定进程特征信息是否与预设风险进程库中存储的具有风险的特征信息相同,如果相同,则表明网络访问请求对应的进程为恶意进程。
步骤S12,当识别结果表明网络访问请求对应的进程为恶意进程时,断开与恶意进程建立的网络访问连接。
在另一些实施例中,在终端向服务器发送票据申请的同时,还可以对应用进行校验,以判断该应用是否为高危应用,包括以下步骤:
步骤S13,根据进程特征信息生成异步送检请求,异步送检请求用于请求服务器检测应用是否为高危应用。
步骤S14,接收服务器响应于异步送检请求,返回的检测结果。
步骤S15,当检测结果表明应用不是高危应用时,则服务器正常响应票据申请。
在一些实施例中,对于一些新创建的进程,还可以从预设进程特征库中匹配该进程的进程特征信息,如果能匹配到,则可以无需在获取该进程的进程特征信息,而直接采用匹配到的进程特征信息。在该情况下,步骤S401中客户端获取所述网络访问请求对应的进程特征信息,可以通过以下步骤实现:
步骤S21,当网络访问请求对应的进程为新创建的进程时,获取进程的创建信息。这里,创建信息包括进程的ID和进程名称。
步骤S22,根据创建信息确定进程的绝对路径和进程可执行文件的修改时间。这里,可以根据进程的ID计算进程的绝对路径和进程可执行文件的最近修改时间。
步骤S23,以绝对路径和修改时间为匹配信息,从预设进程特征库中匹配缓存项。
这里的匹配过程可以是,根据绝对路径和修改时间,确定预设进程特征库中是否存储有与绝对路径和修改时间对应的缓存项。
步骤S24,当从预设进程特征库中能够匹配到缓存项时,将所匹配到的缓存项确定为进程特征信息。
这里,可以将缓存项中的进程特征作为该进程的进程特征信息,其中,缓存项中的进程特征包括但不限于以下至少之一:进程的版本号、进程可执行文件的描述信息、进程可执行文件的大小、版本信息、进程可执行文件的MD5以及签名信息等。
步骤S25,当从预设进程特征库中未能匹配到缓存项时,并行采集进程的特征信息。
步骤S26,将采集到的特征信息作为进程特征信息缓存至预设进程特征库中。
步骤S27,在采集到进程的特征信息之后,将特征信息异步发送给服务器,以使得服务器将特征信息推送至安全探测服务中,以通过安全探测服务实现对进程的安全识别。
这里,安全探测服务可以是例如安知和tav等服务。
步骤S28,当安全识别结果表明特征信息对应的进程为恶意进程时,客户端将恶意进程存储至预设风险进程库。
需要说明的是,预设进程特征库和预设风险进程库是在终端本地加密存储的数据库,该数据库的加密秘钥由本地硬件码和硬盘序列号以及额外的加盐数据构成,以此保证每台设备的秘钥不同,进而增强安全性。
下面,将说明本申请实施例在一个实际的应用场景中的示例性应用。本申请实施例提供一种网络访问方法,该方法是一种通过引入虚拟访问凭证实现高可用网络访问的方案,解决了在网络请求凭证获取失败场景下终端用户不能访问业务站点的问题,同时兼顾安全性。在iOA产品对外作为零信任网络访问能力的背景下,由业务处理客户端劫持到访问流量,向IOA客户端申请票据,正常场景下由iOA***中的iOA客户端和服务端(即iOA服务器)共同对网络访问请求执行鉴权。在弱网络环境、服务端服务不稳定,发生故障或iOA客户端出现异常的情况下,由于从服务端申请票据(即网络请求凭证)失败,终端用户在使用应用软件的过程中,访问业务站点会出现中断的情况。在从服务端不能申请到票据,或业务处理客户端不能从iOA客户端获取鉴权结果后,可在业务处理客户端侧引入虚拟访问凭证解决网络访问的鉴权问题。以此实现高可用的网络访问,在兼顾安全管控的同时,提高***的稳定性和可用性。
终端机器安装业务处理客户端和iOA客户端,服务端部署iOA后台服务和访问网关。正常场景下,当业务处理客户端劫持到应用访问站点的流量后,业务处理客户端通过本地通信的方式向iOA客户端发起鉴权请求,即请求iOA客户端对当前进程访问当前站点的网络行为执行安全鉴定,判断该请求行为是否符合零信任网络访问策略以及访问站点的进程是否是恶意进程。当iOA客户端收到业务处理客户端的鉴权请求后,采集发起网络访问的进程特征信息,带上访问的目的站点信息、当前设备信息、登录用户信息,向iOA服务器发起票据申请,iOA服务器成功响应票据后,iOA客户端将票据通过进程通信的方式发送给业务处理客户端,业务处理客户端带着票据向访问网关发起验证。访问网关通过向iOA服务器发起票据校验,以验证业务处理客户端发送过来的票据的有效性,在验证通过后,业务处理客户端即将网络访问请求的流量转发至访问网关,由访问网关实际代理应用的站点访问。这种情况下,网络请求凭证是由iOA客户端和服务端共同完成的。iOA在为网络访问执行鉴权的同时,会自动为终端的应用创建本地加密进程特征库及风险进程库,以此作为后续网络请求凭证生成和校验的重要依据。
客户端在每次成功进行网络访问访问的同时,会将网络访问的行为异步上报给服务端,由服务端自动识别异常访问行为,一旦识别出异常访问行为,即推送至终端,终端生成并更新本地的风险应用库。
在弱网络环境、服务端的票据服务不稳定或发生故障等场景下,iOA客户端通过网络向iOA服务端申请票据失败,或iOA客户端出现异常,不能及时响应业务处理客户端的票据申请或者响应时间超出设定阈值的场景下,业务处理客户端针对当前的网络访问单元(某个应用进程访问某个站点)基于设备信息、登录用户信息、进程信息、目的站点等信息自动生成虚拟凭证,用作网络访问请求的凭证。业务处理客户端将虚拟访问凭证带到访问网关,访问网关将虚拟访问凭证发送给iOA服务端进行票据校验。iOA服务端识别出业务处理客户端颁发的虚拟访问凭证,会按照合理的虚拟访问凭证的校验策略来校验凭证是否有效。以此来解决网络访问票据申请失败的场景下网络访问鉴权的处理问题。在兼顾安全性的基础上,通过引入虚拟访问凭证可以让终端用户获取持续、稳定且高质量的网络访问体验。
本申请实施例的网络访问方法,解决了弱网络、iOA客户端出现异常、不能及时响应业务处理客户端的请求或者因网络原因和iOA服务端票据服务出现异常等原因,不能及时响应客户端的票据申请请求等场景下终端用户的网络使用问题。通用环境下,由终端和服务端共同对网络请求进行鉴权,结合零信任访问控制策略,针对设备可信度、访问的目的地址、进程特征及应用访问站点的权限执行鉴权,鉴权成功后才能访问企业设置的内部站点。在因网络原因或者服务端票据服务故障导致终端申请票据失败时,或iOA客户端出现异常,不能及时响应业务处理客户端请求时,业务处理客户端可以创建虚拟访问凭证发往访问网关,由访问网关向iOA服务端发起票据校验。服务端通过虚拟访问凭证校验的策略实现安全高效的票据校验逻辑。在部分服务失效或网络出现抖动时,能够保证网络访问的正常进行,实现高可用网络访问。
在产品侧,本申请实施例的网络访问方法可以应用于iOA***,iOA***能够保障高效、稳定的远程协同办公体验,推动零信任技术在数字化产业中的应用落地。
如图7所示,是本申请实施例提供的iOA***的配置界面图,管理员可以在iOA***的配置界面701上进行信息配置,以实现策略管理,形成网络访问控制策略。在进行网络访问控制策略的配置过程中,如图7所示,可以进行全网账户配置702、可信应用配置703和业务***配置704,以此来配置可信用户、可信应用和可信业务***。
本申请实施例中的基于人(即用户身份)-应用-目标业务***的组合策略控制,实现流量过滤,支持泛域名、IP段、多端口,并且基于用户组织架构可实现继承和扩展。其中,业务***配置,即业务站点配置,如图8所示,在业务***配置界面801中,包括业务***、类别(域名或IP)、域名(支持通配符,例如“*”表示所有,“*.***.com”表示可以访问二级域名“***.com”下的所有页面)、端口(可以指定部分端口列表,也可以指定所有端口)、可访问该办公***的网关列表等。
可信应用配置如图9所示,在可信应用配置界面901中,可以包括进程名、应用名、操作***、厂家、签名、送检结果、版本、进程MD5和sha256等。
本申请实施例中,在开启零信任办公的情况下,终端用户可以通过登录iOA,实现零信任办公功能,如图10所示的登陆界面,用户可以在该登陆界面进行登陆。
登陆后,用户可以看到管理员配置的防护策略和可信软件详情,如图11所示,当前界面上显示有防护策略和可信软件详情1101。依据管理员下发的用户级策略,终端用户可以访问指定的可信应用访问管理员配置的业务***,如图12所示。
本申请实施例中,iOA充当零信任网络安全服务提供方,通过零信任代理和访问网关为访问主体通过网络请求访问客体的资源提供统一入口,iOA***为统一入口提供鉴权操作,只有通过鉴权的网络请求才能由零信任代理转发给访问网关,通过访问网关代理实际业务***的访问。如图13所示,是本申请实施例提供的iOA为统一入口提供鉴权操作的示意图,零信任网络安全服务提供方1301(即零信任代理)为统一入口1302提供鉴权操作,访问主体1303可以通过统一入口1302访问访问客体1304。
在实现的过程中,核心模块主要有业务处理客户端、iOA客户端、iOA服务端和访问网关。
iOA客户端:是安装在员工工作设备上的安全代理,负责验证设备上的用户可信身份,验证设备是否可信以及应用是否可信;将未知的进程向服务器申请进程送检。
业务处理客户端:即访问代理,可以通过TUN/TAP虚拟网卡劫持设备流量,通过iOA客户端鉴权后负责将请求转发给访问网关,如果没有通过鉴权则走直连或中断连接。
访问网关:部署在企业应用程序和数据资源的入口,负责每一个访问企业资源的会话请求的验证、授权和转发。
iOA服务端:通过策略控制引擎,对业务流量进行安全调度,按照人-设备-软件-应用颗粒度授权,其中,身份验证模块对用户身份进行验证,设备可信模块验证设备硬件信息和设备安全状态,应用检测模块检测应用进程是否安全,如是否有漏洞、是否有病毒木马等。iOA服务端定期向威胁情报云查服务定期发起文件送检,识别出恶意进程则通知客户端执行异步阻断操作。
本申请实施例的网络访问方法,总体流程如图14所示,包括以下步骤:
步骤S1,任一应用通过应用客户端向业务处理客户端发送网络访问请求。
该网络访问请求可以是基于统一资源定位***的进程ID(PID-URL,process ID-Uniform Resource Locator)请求。
步骤S2,业务处理客户端向iOA客户端发送票据申请,以请求票据。
步骤S3,iOA客户端获取应用的进程特征信息。
步骤S4,iOA客户端与iOA服务端进行票据置换。
步骤S5,iOA客户端向iOA服务端发送进程送检请求,请求对网络访问请求对应的进程进行风险检测,实现进程送检。
步骤S6,iOA客户端向业务处理客户端发送票据响应结果。
步骤S7,业务处理客户端向访问网关发送票据和网络访问请求。
步骤S8,访问网关请求iOA服务端对票据进行校验,形成票据校验结果。
步骤S9,iOA服务端向访问网关返回票据校验结果。
步骤S10,访问网关基于票据校验结果,向目标业务服务器转发网络访问请求。
步骤S11,目标业务服务器(可以是业务服务器A、B或C中的任意一个)向访问网关返回网络访问请求的响应结果。
步骤S12,访问网关将响应结果返回给业务处理客户端。
步骤S13,业务处理客户端将响应结果返回给应用客户端。
本申请实施例中,当终端用户登录成功后,服务器会返回登录票据(即大票),存储在客户端。如图15所示,是本申请实施例提供的用户登陆流程示意图,包括以下步骤:
步骤S151,终端向服务器提交设备ID和机器信息,以请求登陆。
步骤S152,服务器对终端提交的信息进行校验。
步骤S153,服务器根据校验结果,返回大票和用户信息。
本申请实施例中,客户端根据当前登录的用户ID向服务器拉取与该登录用户ID对应的零信任网络访问控制策略(即网络访问控制策略),如果服务端的零信任网络访问控制策略发生变动,会及时同步到终端。如图16所示,是本申请实施例提供的策略同步流程示意图,包括以下步骤:
步骤S161,终端向服务器提交用户信息,以请求拉取零信任网络访问控制策略。
步骤S162,服务器下发零信任网络访问控制策略。
步骤S163,服务器将零信任网络访问控制策略返回给终端。
本申请实施例中,访问主体通过应用发起针对访问客体的网络访问请求,客户端通过业务处理客户端劫持到网络请求,业务处理客户端向iOA客户端发起鉴权请求(即代理向iOA客户端申请当次网络访问请求的凭证),请求参数包括源IP或者域名、源端口、目的IP或者域名、目的端口、应用对应的进程ID(PID,process ID)。
iOA客户端接收到代理人客户端发送的鉴权请求后,采集发起网络访问请求的请求方的进程PE文件信息(例如,进程文件全路径、MD5、签名信息、进程修改时间等)、操作***信息、URL访问信息、设备信息、iOA用户登录信息代理、登录票据等相关信息,连同业务处理客户端传递过来的网络访问请求的源IP或者域名、源端口、目的IP或者域名、目的端口,向iOA服务端申请票据,如果申请成功,则将票据、票据最大使用次数、票据有效时间作为响应发送给业务处理客户端。业务处理客户端首先向访问网关发起Https请求授权认证,其中在授权信息的首部字段中带上iOA客户端传递过来的网络请求凭证(即票据)。访问网关收到业务处理客户端的验证请求后,解析出首部字段中的票据,向iOA服务端校验票据,如果校验成功,则访问网关跟业务处理客户端成功建立连接,之后业务处理客户端将原始的网络访问请求发送给访问网关,由访问网关转发至到对应的目标业务服务器,由目标业务服务器代理实际的应用网络访问。如果访问网关校验票据失败,则业务处理客户端与访问网关的连接中断,针对零信任网络访问控制策略以外的其他应用访问特定站点的流量,则通过应用客户端直接向目标业务服务器发起网络访问请求实现直连。
在一些实施例中,iOA客户端在同步申请票据的同时,根据实际执行网络访问的进程特征信息,向服务器发起异步送检请求,发送的异步送检请求包括进程文件最近修改时间、MD5、SHA256、版权信息、进程签名信息(包括摘要算法、根证书信息、中级证书信息、签名证书信息、签名人姓名、签名状态)等。服务端如果检测出进程是恶意进程,则推送给客户端,断开已恶意进程建立的网络访问。
图17是本申请实施例提供的客户端和服务端共同针对单一网络访问请求进行鉴权的过程示意图,如图17所示,鉴权过程包括以下步骤:
步骤S1701,终端应用发送网络访问请求。
步骤S1702,终端采集网络访问请求对应的进程特征信息。
步骤S1703,终端根据进程特征信息进行本地黑进程过滤。
步骤S1704,终端判断进程特征信息是否通过过滤。
如果判断结果为是,则执行步骤S1705,如果判断结果为否,则中断网络。
步骤S1705,业务处理客户端向服务器申请票据。
步骤S1706,服务器根据进程特征信息,判断软件签名、MD5和本地验签结果是否符合指定规则。
如果判断结果为是,则执行步骤S1709,如果判断结果为否,则执行步骤S1707。
步骤S1707,服务器确定终端应用为高危应用。
步骤S1708,服务器拒绝响应票据申请。
步骤S1709,服务器确定终端应用为可信应用或未知应用。
步骤S1710,服务器如果确定设备可信,则进行权限判定。
步骤S1711,在权限判定之后,返回票据。
本申请实施例中,在应用要发起网络访问时,iOA客户端同步采集进程特征信息,并根据本地的黑进程库执行一遍过滤,如果根据本地黑进程库识别出网络访问请求对应的进程是一个恶意进程,则中断访问。如果不是,则iOA客户端同步采集进程信息,包括本地验签结果、进程可执行文件的签名信息、进程特征信息、登录凭证、URL、设备、登录凭证(即大票),向iOA服务端(即服务器)发起票据申请。iOA服务端检测该应用是否是高危应用,如果是高危应用,则拒绝响应票据,如果不是高危应用,则确定该应用是可信应用或者未知应用,因此继续判断当前设备是否是可信设备,在检测出可信设备且该应用具备访问当前URL的权限,则iOA服务端正常响应票据给iOA客户端。由iOA客户端将iOA服务端响应的票据通过本地进程通信的方式发送给业务处理客户端。
iOA客户端在向iOA服务端申请票据时,为了充分检验进程是否是恶意进程,iOA客户端会向iOA服务端发起异步进程送检请求,请求的参数包括要访问的目的URL、进程MD5、哈希值(HASH)、进程路径、证书链详细信息等。其中,证书链详细信息包括:摘要算法、根证书名称、根证书序列号、根证书到期时间、中级证书名称、中级证书序列号、中级证书到期时间、签名证书名称、签名证书序列号、签名证书到期时间、签名状态、签名人姓名、时间戳、签名验证错误信息等。iOA服务端收到这些信息后,定期向安全探测服务(例如,安知或tav等)发起文件送检请求,如果安全探测服务检测到文件是恶意进程文件,则iOA服务端会通知iOA客户端,实行对已有***的中断操作。
图18是本申请实施例提供的客户端和服务端共同对网络访问请求执行鉴权的时序图,如图18所示,正常场景下由客户端和服务端共同对网络访问请求执行鉴权,包括代理访问阶段和进程送检与异步阻断阶段:
在代理访问阶段,包括:
步骤S1801,业务处理客户端向iOA客户端发送配置信息请求,以请求配置信息。
步骤S1802,iOA客户端向业务处理客户端返回相关配置信息。
步骤S1803,业务处理客户端向iOA客户端申请小票。
步骤S1804,iOA客户端向iOA服务器提交大票,请求业务小票(即网络请求凭证)。
步骤S1805,iOA服务器向iOA客户端返回小票。需要说明的是,为了降低网络延时,可能会一次返回多个小票。
步骤S1806,iOA客户端向业务处理客户端返回小票。
步骤S1807,业务处理客户端向访问网关发送业务请求(即网络访问请求)和小票。
步骤S1808,访问网关请求iOA服务器对小票进行票据校验。
步骤S1809,iOA服务器向访问网关返回校验结果。
步骤S1810,访问网关根据校验结果,向目标业务服务器转发业务请求。
步骤S1811,目标业务服务器对业务请求进行向量,并向访问网关返回响应结果。
步骤S1812,访问网关将响应结果返回给业务处理客户端。
在进程送检与异步阻断阶段,包括:
步骤S1813,业务处理客户端向iOA客户端发送进程PID和端口。
步骤S1814,iOA客户端采集进程信息。
步骤S1815,iOA客户端将进程信息中的MD5、签名信息和证书链发送给iOA服务器。
步骤S1816,iOA服务器进行进程判定。
步骤S1817,根据判定结果,向iOA客户端返回需要阻断连接的进程信息。
步骤S1818,iOA客户端将需要阻断的链接信息发送给业务处理客户端。
步骤S1819,业务处理客户端进行链接阻断。
下面,说明本申请实施例中的本地加密的进程特征库(即预设进程特征库)及风险进程库(即预设风险进程库、黑进程库)的构建和调整过程。
在使用iOA***进行零信任网络访问的同时,终端本地生成和调整进程特征库的过程如图19所示,***在ring0层通过PsSetCreateProcessNotifyRoutine监控进程的创建过程,当有新进程创建时,ring3层获知到进程的创建信息,例如,进程ID和进程名称。接着iOA客户端会根据进程PID去计算得到进程的绝对路径(procpath)和进程可执行文件的最近修改时间(updatetime),然后,iOA客户端会以该进程的绝对路径和最近修改时间作为key,去查找本地的加密进程特征库是否存在该缓存项,如果查找成功,则直接以缓存项中的进程特征作为该进程的特征,包括进程的版本号(filever)、进程可执行文件的描述信息(filedesc)、进程可执行文件的文件大小(filesize)、版本信息(copyright),进程可执行文件的MD5以及签名信息等。如果查找失败,则根据进程的绝对路径(procpath)实际采集进程的特征信息,获取进程的版本号(filever)、进程可执行文件的描述信息(filedesc)、进程可执行文件的大小(filesize)和版本信息(copyright),同时根据进程的绝对路径(procpath)并行计算进程的MD5、进程可执行文件的数字签名中的签名者姓名(sign_issuer)以及本地验签结果(sign_check_rst)。实际获取进程特征完毕后,会将这些实际采集的进程特征加入到进程特征库中。因为进程对应的可执行文件的MD5和签名信息计算耗时,因此通过并行采集进程特征(例如,MD5、签名信息)可以缩短采集时间。
当进程对应的可执行文件路径没有变化,而最近修改时间发生变化,则表示该进程有更新,iOA客户端会实际计算该进程文件的特征信息,同时相应调整进程特征库的特征值。
总结来讲,进程特征库1901的构建和调整逻辑是:引入进程特征缓存,优先尝试命中缓存,避免频繁的特征采集。如果成功命中缓存,则以缓存项作为当前进程的特征集;如果未能成功命中缓存,则通过并行采集进程MD5和进程签名信息缩短采集时间,采集完毕后新增缓存项或刷新已有缓存项的值。
默认情况下进程都认定是未知应用,不放入图19中的风险进程库1902。当检测到有进程创建时,iOA客户端通过以上步骤采集到进程的特征信息,然后将进程的特征信息异步发送给iOA服务端,iOA服务端通过推送这些进程特征信息到任意一种安全探测服务中,以通过该安全探测服务探测进程信息的安全性,如果识别是恶意进程,则由安全探测服务响应给iOA服务端,iOA服务端将恶意进程的名单推送到客户端中,iOA客户端收到恶意进程列表后,将恶意进程的特征信息存入风险进程库1902中。
进程特征库1901和风险进程库1902是在终端本地加密存储的,加密密钥由本地硬件码、硬盘序列号以及额外的加盐数据构成,以此保证每台设备密钥不同,增强安全性。
下面说明虚拟访问凭证(即虚拟票据)的生成和校验过程。
当业务处理客户端劫持到应用流量后,向iOA客户端发送票据申请,iOA客户端首先检查应用访问的目的站点是否符合零信任网络访问控制策略,如果不符合,则iOA客户端给业务处理客户端响应直连结果。业务处理客户端收到直连结果后,会直接将流量转发到应用需要连接的目标业务站点,如果应用访问的目标站点符合零信任访问控制策略,则业务处理客户端期望iOA客户端响应票据。
iOA客户端在检测出应用访问目标站点符合零信任访问控制策略后,首先采集根据进程的PID(业务处理客户端发送过来的票据请求中包括进程PID、进程名称、源IP、源端口、目标IP和目标端口),获取进程对应的可执行文件的绝对路径,并采集进程对应的可执行文件的最近修改时间。采集完成后,尝试去查找本地加密的进程特征库中是否存在对应的缓存项,如果存在,则以匹配的缓存项作为进程特征,如果不存在,则去并行采集进程特征。然后带着进程的特征信息、访问的目标地址和端口、设备ID和用户登录信息,向服务端发起票据申请。如果因为网络问题申请票据失败,或者由于服务端票据服务出现故障导致在设定的时间内服务端没有响应票据,则iOA客户端响应空票据和对应的错误码给业务处理客户端,表示因为网络问题或者因为服务端没有及时响应票据导致票据申请失败,业务处理客户端收到iOA客户端响应的空票据和相应错误码之后,会根据设定的方案执行虚拟票据的生成和校验过程。如图20所示,是本申请实施例提供的虚拟访问凭证的生成和校验过程,其中,代理访问阶段包括:
步骤S2001,业务处理客户端向iOA客户端发送配置信息请求,以请求配置信息。
步骤S2002,iOA客户端向业务处理客户端返回相关配置信息。
步骤S2003,业务处理客户端向iOA客户端申请小票。
步骤S2004,iOA客户端向iOA服务器提交大票,请求业务小票(即网络请求凭证)。
步骤S2005,iOA服务器向iOA客户端返回小票。需要说明的是,为了降低网络延时,可能会一次返回多个小票。
步骤S2006,iOA客户端向业务处理客户端返回错误码及空票据。
步骤S2007,业务处理客户端生成虚拟票据。
步骤S2008,业务处理客户端将虚拟票据发送给访问网关。
步骤S2009,访问网关解析虚拟票据。
步骤S2010,访问网关将虚拟票据发送给iOA服务器。
步骤S2011,iOA服务器校验虚拟票据。
步骤S2012,iOA服务器向访问网关返回校验结果。
步骤S2013,访问网关向目标业务服务器转发业务请求。
步骤S2014,目标业务服务器对业务请求进行响应生成响应结果,将响应结果发送给访问网关。
步骤S2015,访问网关将响应结果返回给业务处理客户端。
本申请实施例中,虚拟票据由虚拟票据标识头(例如“DET_”)、版本号、当前时间戳、客户端错误码(例如代表服务端在规定时间内没有响应票据,网络不通等原因)、设备唯一标识符、iOA客户端版本号、进程MD5、访问的目的站点和端口构成。如图21所示,是本申请实施例提供的虚拟票据的结构示意图,虚拟票据由票据头2101和票据主体2102两部分构成,其中票据主体2102是加密状态,票据头2101由虚拟票据固定标识(例如“DET_”)、版本号(图示的Version)、票据ID(UID)、当前时间戳(Timestamp)和票据主体长度(BodyLen)这几部分构成,加密票据主体即CipherBody,由客户端错误码(ErrCode)、设备唯一标识符(DeviceID)、iOA客户端版本号(iOAClientVersion)、进程MD5(ProcessMD5)、访问的目的站点和端口(DestAddr)构成,票据主体加密的秘钥是登录票据(终端用户登录iOA后,客户端从服务端获取到登录票据,并在本地加密存储,登录票据在服务端设定的时间段内是有效地,超出时间段登录票据失效),在服务端和iOA客户端均有存储,因此虚拟票据的加密票据主体部分在服务端可以实现解密。
在一些实施例中,根据企业制定的策略和安全级别的不同,提供如下方案在业务处理客户端侧使用虚拟票据:方案1:根据错误码识别出网络质量差或者服务端票据服务故障原因,服务端未能在设定时间内成功响应票据,则拒绝网络访问,网络访问中断,并记录运营数据。
方案2:根据错误码识别出网络质量差或者服务端票据服务故障原因,服务端未能在设定时间内成功响应票据,业务处理客户端立即生成虚拟票据,响应给业务处理客户端。
方案3:因网络原因或者服务端票据服务故障原因,服务端未能在设定时间内成功响应票据,业务处理客户端首先根据发起网络访问的进程PID采集该进程对应的可执行文件的绝对路径和最近修改时间,然后根据这两个值从本地加密的进程特征库中查找特征。如果查到则以查找成功地缓存项作为进程特征项,如果未查到则并行地采集进程特征。根据进程特征向本地的风险进程库查找应用是否是恶意进程。如果不是恶意进程,再根据终端的零信任访问策略判定对应应用是否具备对应站点的网络访问权限。如果有对应的访问权限则立即生成虚拟票据。如果是恶意进程或者应用没有对应的站点访问权限则iOA客户端直接拒绝网络访问,网络访问中断,并记录运营数据。
其中,方案1比较严格,但是针对使用环境下网络环境和服务端的票据服务稳定性要求较高,方案2忽略进程的检查,直接生成虚拟票据。相当于是一种降级方案,为了保证终端用户网络访问的稳定性,暂由业务处理客户端创建票据,而非由服务端颁***据,暂时忽略安全性。对于安全性要求较低的站点访问是可以采用的,但是针对安全性要求较高的企业不推荐此方案。方案3兼顾安全性,在检查进程的安全性,且检查进程访问站点权限的基础上由业务处理客户端生成虚拟票据,同时又避免了方案1在网络质量差,或者服务端的票据服务出现问题时终端用户断网的弊端。因此推荐此方案。其中,方案3的流程如图22所示,包括:
步骤S221,客户端向服务端票据申请失败。步骤S222,根据进程特征信息判定风险应用。步骤S223,根据零信任访问策略判定访问权限。步骤S224,判定应用是否是风险应用。步骤S225,根据判定结果生成虚拟票据。
业务处理客户端生成虚拟票据后,将票据发送至访问网关,访问网关将票据发往iOA服务端请求验证,服务端收到访问网关发送的虚拟票据后,可根据企业制定的策略校验票据,有如下几种策略。
策略1:服务端根据票据的Header识别出虚拟票据,一律放行,不进行使用次数和使用时效的检测。
策略2:服务端接收网关发过来的票据后,根据Header,识别出虚拟票据,解析出加密body中的设备ID,首先根据设备ID获取到登录票据,服务端以登录票据作为关键信息,与登录票据对应的虚拟票据使用次数作为value,维护登录票据中虚拟票据的使用次数,首先检查该虚拟票据使用次数是否超出设定值,如果超出,则校验不通过,如果未超出设定值,则校验通过,如果同时记录使用次数和使用期限。次数和期限达到上限即拒绝放通;
策略3:服务端识别出虚拟票据,根据登录票据解析出虚拟票据的加密body,获取进程MD5,从服务端的进程缓存和安全探测服务中查找进程是否是风险应用,如果不是,则校验通过,如果是则校验不通过。
其中,策略1安全风险较高,策略2是基于登录票据的使用次数来决定是否访问虚拟票据,可结合对访问用户的行为方式探测来决定虚拟票据的校验结果。如果登录用户的行为经过持续的检测出现异常访问行为,则可以限制该用户对应的虚拟票据的使用次数和使用时效。策略3通过解析票据的加密body,获取进程MD5,从服务端的进程缓存和安全探测服务中查找进程是否是风险应用,检查了进程是否是恶意进程,因此安全系数较高,推荐策略3。整体过程如图23所示,包括:
步骤S231,服务端接收到票据校验请求。步骤S232,解析票据,识别出虚拟票据。步骤S233,获取进程MD5。步骤S234,判定应用是否是风险应用。步骤S235,根据判定结果返回票据校验结果。
通用环境下由终端和服务端共同对网络请求进行鉴权,鉴权成功才能访问企业设置的内部站点,在因网络原因或者服务端票据服务故障导致终端申请票据失败时,或iOA客户端出现异常,不能及时响应业务处理客户端请求时,业务处理客户端侧可以创建虚拟凭证。并在服务端提供针对虚拟凭证的校验,在兼顾安全性的基础上,通过服务调整的方式获取终端用户的可持续、稳定且高质量的网络访问体验,避免网络访问阻塞导致时延长,弱网络环境下因iOA客户端与iOA后台票据申请票据导致或iOA客户端针对业务处理客户端响应不及时导致的网络访问不通的问题。
本申请实施例提供的网络访问方法,通过在业务处理客户端侧引入虚拟票据,实现高可用网络访问的方案,解决在网络访问凭证获取失败场景下终端用户网络不能访问业务站点的问题,同时兼顾安全性。业务处理客户端劫持到流量后,向IOA客户端申请票据,由iOA客户端和服务端共同对网络请求执行鉴权。iOA在为网络访问执行鉴权的同时,会自动为终端的应用创建本地加密进程特征库及风险进程库,以此作为后续虚拟票据生成和校验的重要依据。在服务端的异步送检服务或票据服务出现问题后,针对已出现过的风险应用的访问可起到识别和禁止网络访问的效果。
在弱网络环境、服务端服务不稳定或发生故障或iOA客户端出现异常的情况下,因为通过网络向服务端申请票据失败,导致应用访问业务站点出现中断的情况。通过在业务处理客户端侧引入虚拟凭证可解决iOA客户端响应不了agent通信,从服务端申请票据失败的问题。以此高可用的网络访问,在兼顾安全管控的同时,提高***的稳定性和可用性。
下面继续说明本申请实施例提供的网络访问装置354实施为软件模块的示例性结构,在一些实施例中,如图3所示,存储在存储器350的网络访问装置354中的软件模块可以是网络访问设备中的网络访问装置,所述装置包括:
获取模块,用于当拦截到任一应用发送的网络访问请求时,获取所述网络访问请求对应的进程特征信息;第一生成模块,用于根据所述进程特征信息生成票据申请,并将所述票据申请发送给服务器;第二生成模块,当在预设时间段内,未成功接收到所述服务器基于所述票据申请所返回的网络请求凭证时,根据所述网络访问请求对应的访问信息,生成虚拟访问凭证;发送模块,用于将所述网络访问请求和所述虚拟访问凭证发送至所述服务器,以使得所述服务器根据所述虚拟访问凭证对所述网络访问请求进行鉴权,实现对所述网络访问请求的网络访问响应。
在一些实施例中,所述获取模块还用于:当业务处理客户端拦截到任一应用发送的网络访问请求时,向管理客户端发送鉴权请求;所述管理客户端响应于所述鉴权请求,获取所述网络访问请求对应的进程特征信息;所述第一生成模块还用于:由所述管理客户端根据所述进程特征信息生成所述票据申请,并将所述票据申请发送给服务器。
在一些实施例中,所述发送模块还用于:将所述网络访问请求和所述虚拟访问凭证发送至访问网关,由所述访问网关将所述网络访问请求和所述虚拟访问凭证发送给服务器,以使得所述服务器根据所述虚拟访问凭证对所述网络访问请求进行鉴权。
在一些实施例中,所述装置还包括:策略获取模块,用于获取预先配置的网络访问控制策略或者当前发生更新后的网络访问控制策略,其中,所述网络访问控制策略包括以下至少之一:可信用户、可信应用、可信业务***;进程特征信息获取模块,用于当所述网络访问请求符合所述网络访问控制策略时,获取所述网络访问请求对应的进程特征信息;控制模块,用于当所述网络访问请求不符合所述网络访问控制策略时,控制所述应用的应用客户端与目标业务服务器直连,以响应所述网络访问请求。
在一些实施例中,所述装置还包括:第二发送模块,用于当在所述预设时间段内成功接收到所述服务器返回的网络请求凭证时,向访问网关发送所述网络请求凭证,以使得所述访问网关向所述服务器发送票据校验请求,且当所述服务器响应所述票据校验请求,对所述网络请求凭证校验通过时,与所述访问网关建立连接通道;通过所述连接通道将所述网络访问请求发送给所述访问网关,以使得所述访问网关将所述网络访问请求转发至目标业务服务器;当所述服务器响应所述票据校验请求,对所述网络请求凭证校验不通过时,控制与所述访问网关的连接中断。
在一些实施例中,所述装置还包括:进程识别模块,用于在向所述服务器发送票据申请的同时,根据所述进程特征信息,通过预设风险进程库,对所述网络访问请求对应的进程进行识别;断开连接模块,用于当识别结果表明所述网络访问请求对应的进程为恶意进程时,断开与所述恶意进程建立的网络访问连接。
在一些实施例中,所述装置还包括:异步送检请求生成模块,用于在向所述服务器发送票据申请的同时,根据所述进程特征信息生成异步送检请求,所述异步送检请求用于请求所述服务器检测所述应用是否为高危应用;接收模块,用于接收所述服务器响应于所述异步送检请求,返回的检测结果;正常响应模块,用于当所述检测结果表明所述应用不是高危应用时,则正常响应所述票据申请。
在一些实施例中,所述获取模块还用于:当所述网络访问请求对应的进程为新创建的进程时,获取所述进程的创建信息;根据所述创建信息确定所述进程的绝对路径和进程可执行文件的修改时间;以所述绝对路径和所述修改时间为匹配信息,从预设进程特征库中匹配缓存项;当从所述预设进程特征库中能够匹配到缓存项时,将所匹配到的缓存项确定为所述进程特征信息。
在一些实施例中,所述装置还包括:并行采集模块,用于当从所述预设进程特征库中未能匹配到缓存项时,并行采集所述进程的特征信息;缓存模块,用于将采集到的特征信息作为所述进程特征信息缓存至所述预设进程特征库中。
在一些实施例中,所述装置还包括:异步发送模块,用于在采集到所述进程的特征信息之后,将所述特征信息异步发送给所述服务器,以使得所述服务器将所述特征信息推送至安全探测服务中,以通过所述安全探测服务实现对所述进程的安全识别;存储模块,用于当安全识别结果表明所述特征信息对应的进程为恶意进程时,将所述恶意进程存储至预设风险进程库。
在一些实施例中,所述虚拟访问凭证至少包括票据头和票据主体;所述票据主体处于加密状态;所述发送模块还用于:将所述网络访问请求和所述虚拟访问凭证发送至所述服务器,以使得所述服务器根据所述票据头识别出所述虚拟访问凭证,并对处于所述加密状态的所述票据主体进行解析,通过解析结果中的设备标识或MD5值,对所述虚拟访问凭证进行校验,实现对所述网络访问请求的鉴权。
需要说明的是,本申请实施例装置的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果,因此不做赘述。对于本装置实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
本申请实施例提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行本申请实施例上述的方法。
本申请实施例提供一种存储有可执行指令的存储介质,其中存储有可执行指令,当可执行指令被处理器执行时,将引起处理器执行本申请实施例提供的方法,例如图4示出的方法。在一些实施例中,存储介质可以是计算机可读存储介质,例如,铁电存储器、只读存储器、可编程只读存储器、可擦除可编程只读存储器、带电可擦可编程只读存储器、闪存、磁表面存储器、光盘、或光盘只读存储器等存储器;也可以是包括上述存储器之一或任意组合的各种设备。
在一些实施例中,可执行指令可以采用程序、软件、软件模块、脚本或代码的形式,按任意形式的编程语言(包括编译或解释语言,或者声明性或过程性语言)来编写,并且其可按任意形式部署,包括被部署为独立的程序或者被部署为模块、组件、子例程或者适合在计算环境中使用的其它单元。
作为示例,可执行指令可以但不一定对应于文件***中的文件,可以可被存储在保存其它程序或数据的文件的一部分,例如,存储在超文本标记语言(HTML,Hyper TextMarkup Language)文档中的一个或多个脚本中,存储在专用于所讨论的程序的单个文件中,或者,存储在多个协同文件(例如,存储一个或多个模块、子程序或代码部分的文件)中。作为示例,可执行指令可被部署为在一个计算设备上执行,或者在位于一个地点的多个计算设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算设备上执行。
以上所述,仅为本申请的实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和范围之内所作的任何修改、等同替换和改进等,均包含在本申请的保护范围之内。
Claims (15)
1.一种网络访问方法,其特征在于,所述方法包括:
当拦截到任一应用发送的网络访问请求时,终端获取所述网络访问请求对应的进程特征信息;
根据所述进程特征信息生成票据申请,并将所述票据申请发送给服务器;
当在预设时间段内,未成功接收到所述服务器基于所述票据申请所返回的网络请求凭证时,根据所述网络访问请求对应的访问信息,生成虚拟访问凭证;
将所述网络访问请求和所述虚拟访问凭证发送至所述服务器,以使得所述服务器根据所述虚拟访问凭证对所述网络访问请求进行鉴权,实现对所述网络访问请求的网络访问响应。
2.根据权利要求1所述的方法,其特征在于,所述终端上包括业务处理客户端和管理客户端,所述当拦截到任一应用发送的网络访问请求时,终端获取所述网络访问请求对应的进程特征信息,包括:
当所述业务处理客户端拦截到任一应用发送的网络访问请求时,所述业务处理客户端向所述管理客户端发送鉴权请求;
所述管理客户端响应于所述鉴权请求,获取所述网络访问请求对应的进程特征信息;
所述根据所述进程特征信息生成票据申请,并将所述票据申请发送给服务器,包括:
由所述管理客户端根据所述进程特征信息生成所述票据申请,并将所述票据申请发送给服务器。
3.根据权利要求2所述的方法,其特征在于,所述将所述网络访问请求和所述虚拟访问凭证发送至所述服务器,以使得所述服务器根据所述虚拟访问凭证对所述网络访问请求进行鉴权,包括:
所述业务处理客户端将所述网络访问请求和所述虚拟访问凭证发送至访问网关,由所述访问网关将所述网络访问请求和所述虚拟访问凭证发送给服务器,以使得所述服务器根据所述虚拟访问凭证对所述网络访问请求进行鉴权。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取预先配置的网络访问控制策略或者当前发生更新后的网络访问控制策略,其中,所述网络访问控制策略包括以下至少之一:可信用户、可信应用、可信业务***;
当所述网络访问请求符合所述网络访问控制策略时,获取所述网络访问请求对应的进程特征信息;
当所述网络访问请求不符合所述网络访问控制策略时,控制所述应用的应用客户端与目标业务服务器直连,以响应所述网络访问请求。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当在所述预设时间段内成功接收到所述服务器返回的网络请求凭证时,向访问网关发送所述网络请求凭证,以使得所述访问网关向所述服务器发送票据校验请求,且
当所述服务器响应所述票据校验请求,对所述网络请求凭证校验通过时,所述终端与所述访问网关建立连接通道;
所述终端通过所述连接通道将所述网络访问请求发送给所述访问网关,以使得所述访问网关将所述网络访问请求转发至目标业务服务器;
当所述服务器响应所述票据校验请求,对所述网络请求凭证校验不通过时,控制所述终端与所述访问网关的连接中断。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述终端向所述服务器发送票据申请的同时,根据所述进程特征信息,通过预设风险进程库,对所述网络访问请求对应的进程进行识别;
当识别结果表明所述网络访问请求对应的进程为恶意进程时,断开与所述恶意进程建立的网络访问连接。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
在所述终端向所述服务器发送票据申请的同时,根据所述进程特征信息生成异步送检请求,所述异步送检请求用于请求所述服务器检测所述应用是否为高危应用;
接收所述服务器响应于所述异步送检请求,返回的检测结果;
当所述检测结果表明所述应用不是高危应用时,则所述服务器正常响应所述票据申请。
8.根据权利要求1所述的方法,其特征在于,所述终端获取所述网络访问请求对应的进程特征信息,包括:
当所述网络访问请求对应的进程为新创建的进程时,获取所述进程的创建信息;
根据所述创建信息确定所述进程的绝对路径和进程可执行文件的修改时间;
以所述绝对路径和所述修改时间为匹配信息,从预设进程特征库中匹配缓存项;
当从所述预设进程特征库中能够匹配到缓存项时,将所匹配到的缓存项确定为所述进程特征信息。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
当从所述预设进程特征库中未能匹配到缓存项时,并行采集所述进程的特征信息;
将采集到的特征信息作为所述进程特征信息缓存至所述预设进程特征库中。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
在采集到所述进程的特征信息之后,将所述特征信息异步发送给所述服务器,以使得所述服务器将所述特征信息推送至安全探测服务中,以通过所述安全探测服务实现对所述进程的安全识别;
当安全识别结果表明所述特征信息对应的进程为恶意进程时,将所述恶意进程存储至预设风险进程库。
11.根据权利要求1至10任一项所述的方法,其特征在于,所述虚拟访问凭证至少包括票据头和票据主体;所述票据主体处于加密状态;
所述将所述网络访问请求和所述虚拟访问凭证发送至所述服务器,以使得所述服务器根据所述虚拟访问凭证对所述网络访问请求进行鉴权,包括:
将所述网络访问请求和所述虚拟访问凭证发送至所述服务器,以使得所述服务器根据所述票据头识别出所述虚拟访问凭证,并对处于所述加密状态的所述票据主体进行解析,通过解析结果中的设备标识或MD5值,对所述虚拟访问凭证进行校验,实现对所述网络访问请求的鉴权。
12.一种网络访问***,其特征在于,所述***包括:业务处理客户端、管理客户端、服务器和访问网关;其中,
所述业务处理客户端,用于拦截任一应用发送的网络访问请求,并响应于所述网络访问请求向所述管理客户端发送鉴权请求;
所述管理客户端,用于响应于所述鉴权请求,获取所述网络访问请求对应的进程特征信息;并根据所述进程特征信息生成票据申请,将所述票据申请发送给所述服务器;
所述服务器,用于响应于所述票据申请,生成网络请求凭证;
所述业务处理客户端,还用于当在预设时间段内,未成功接收到所述服务器返回的所述网络请求凭证时,根据所述网络访问请求对应的访问信息,生成虚拟访问凭证;并将所述网络访问请求和所述虚拟访问凭证发送至所述访问网关;
所述访问网关,用于将所述网络访问请求和所述虚拟访问凭证发送给所述服务器,以使得所述服务器根据所述虚拟访问凭证对所述网络访问请求进行鉴权,实现对所述网络访问请求的网络访问响应。
13.一种网络访问装置,其特征在于,所述装置包括:
获取模块,用于当拦截到任一应用发送的网络访问请求时,获取所述网络访问请求对应的进程特征信息;
第一生成模块,用于根据所述进程特征信息生成票据申请,并将所述票据申请发送给服务器;
第二生成模块,当在预设时间段内,未成功接收到所述服务器基于所述票据申请所返回的网络请求凭证时,根据所述网络访问请求对应的访问信息,生成虚拟访问凭证;
发送模块,用于将所述网络访问请求和所述虚拟访问凭证发送至所述服务器,以使得所述服务器根据所述虚拟访问凭证对所述网络访问请求进行鉴权,实现对所述网络访问请求的网络访问响应。
14.一种网络访问设备,其特征在于,包括:
存储器,用于存储可执行指令;处理器,用于执行所述存储器中存储的可执行指令时,实现权利要求1至11任一项所述的网络访问方法。
15.一种计算机可读存储介质,其特征在于,存储有可执行指令,用于引起处理器执行所述可执行指令时,实现权利要求1至11任一项所述的网络访问方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110050890.7A CN114844656A (zh) | 2021-01-14 | 2021-01-14 | 网络访问方法、装置、***、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110050890.7A CN114844656A (zh) | 2021-01-14 | 2021-01-14 | 网络访问方法、装置、***、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114844656A true CN114844656A (zh) | 2022-08-02 |
Family
ID=82561283
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110050890.7A Pending CN114844656A (zh) | 2021-01-14 | 2021-01-14 | 网络访问方法、装置、***、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114844656A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117155716A (zh) * | 2023-10-31 | 2023-12-01 | 腾讯科技(深圳)有限公司 | 访问校验方法和装置、存储介质及电子设备 |
| CN117692258A (zh) * | 2024-02-02 | 2024-03-12 | 新亿成科技(江苏)有限公司 | 安全访问管控方法、***和可读存储介质 |
-
2021
- 2021-01-14 CN CN202110050890.7A patent/CN114844656A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117155716A (zh) * | 2023-10-31 | 2023-12-01 | 腾讯科技(深圳)有限公司 | 访问校验方法和装置、存储介质及电子设备 |
| CN117155716B (zh) * | 2023-10-31 | 2024-02-09 | 腾讯科技(深圳)有限公司 | 访问校验方法和装置、存储介质及电子设备 |
| CN117692258A (zh) * | 2024-02-02 | 2024-03-12 | 新亿成科技(江苏)有限公司 | 安全访问管控方法、***和可读存储介质 |
| CN117692258B (zh) * | 2024-02-02 | 2024-06-07 | 新亿成科技(江苏)有限公司 | 安全访问管控方法、***和可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7011709B2 (ja) | 単一の産業ネットワーク上の多テナント・データアクセスを可能にすること | |
| US9860249B2 (en) | System and method for secure proxy-based authentication | |
| EP2973166B1 (en) | Systems and methods for identifying a secure application when connecting to a network | |
| US20150188779A1 (en) | Split-application infrastructure | |
| US10498734B2 (en) | Policy service authorization and authentication | |
| US8220032B2 (en) | Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith | |
| US10356071B2 (en) | Automatic log-in and log-out of a session with session sharing | |
| KR20040049272A (ko) | 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템 | |
| EA003374B1 (ru) | Система и способ обеспечения безопасного доступа к сервисам в компьютерной сети | |
| CN112231692A (zh) | 安全认证方法、装置、设备及存储介质 | |
| CN103685204A (zh) | 基于物联网资源共享平台的资源鉴权方法 | |
| US20210083881A1 (en) | Dynamically analyzing third-party application website certificates across users to detect malicious activity | |
| CN113341798A (zh) | 远程访问应用的方法、***、装置、设备及存储介质 | |
| CN114844656A (zh) | 网络访问方法、装置、***、设备及存储介质 | |
| US11451517B2 (en) | Secure and auditable proxy technology using trusted execution environments | |
| JP2009003559A (ja) | シングルサインオンサーバ用コンピュータシステム及びプログラム | |
| CN114745145B (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
| US20150281281A1 (en) | Identification of unauthorized application data in a corporate network | |
| GB2481426A (en) | Use of a resource access proxy for efficient access to sensor resources | |
| WO2022151736A1 (zh) | 一种确定信任终端的方法及相关装置 | |
| CN112769731B (zh) | 一种进程控制方法、装置、服务器及存储介质 | |
| Arya et al. | An authentication approach for data sharing in cloud environment for dynamic group | |
| KR20210123811A (ko) | 토큰 기반 계층적 접속 제어 장치 및 방법 | |
| TWI696932B (zh) | 多租戶管理之系統與方法 | |
| US20230143395A1 (en) | Protecting sensitive information based on authentication factors |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |