CN114915427B - 访问控制方法、装置、设备及存储介质 - Google Patents
访问控制方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114915427B CN114915427B CN202210628757.XA CN202210628757A CN114915427B CN 114915427 B CN114915427 B CN 114915427B CN 202210628757 A CN202210628757 A CN 202210628757A CN 114915427 B CN114915427 B CN 114915427B
- Authority
- CN
- China
- Prior art keywords
- sdp
- access
- client
- sdp client
- intranet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种访问控制方法、装置、设备及存储介质。该方法包括:接收SDP客户端的第一访问请求,所述访问请求用于请求访问内网资源,对所述SDP客户端进行身份验证。若所述SDP客户端的身份验证通过,则获取所述SDP客户端的历史访问可信度。所述历史访问可信度用于表征所述SDP客户端访问所述内网资源时的安全性。根据所述SDP客户端的历史访问可信度,对所述SDP客户端通过SDP网关进行内网资源访问控制。本申请的方法,提高了远程访问内网资源的安全性,提高了网络的拓展能力。
Description
技术领域
本申请涉及通信技术,尤其涉及一种访问控制方法、装置、设备及存储介质。
背景技术
随着远程办公需求的增长,用户经常需要使用终端设备远程访问企业内网中的资源,例如内网中的应用,数据等。在该场景下,基于企业内网的传统安全边界变得模糊,企业的信息技术(Information Technology,IT)架构从“有边界”向“无边界”进行转变。目前,终端设备通常使用虚拟专用网络(Virtual Private Network,VPN)技术远程访问企业内网中的资源。
然而,基于目前的远程访问手段,网络攻击者可以通过扫描企业内网暴露在公网中的VPN网关,以及破解用户账号的方式,从而非法入侵到企业内网中。因此,使用VPN技术远程访问企业内网中的资源存在安全性较低的问题。
发明内容
本申请提供一种访问控制方法、装置、设备及存储介质,用以解决远程访问内网存在的安全性较低的问题。
第一方面,本申请提供一种访问控制方法,所述方法应用于SDP控制器,包括:
接收SDP客户端的第一访问请求,所述访问请求用于请求访问内网资源;
对所述SDP客户端进行身份验证;
若所述SDP客户端的身份验证通过,则获取所述SDP客户端的历史访问可信度;所述历史访问可信度用于表征所述SDP客户端访问所述内网资源时的安全性;
根据所述SDP客户端的历史访问可信度,对所述SDP客户端通过SDP网关进行内网资源访问控制。
可选地,所述获取所述SDP客户端的历史访问可信度,包括:
若所述SDP客户端之前未通过SDP网关访问过所述内网资源,则将预设访问可信度作为所述SDP客户端的历史访问可信度;
若所述SDP客户端之前至少一次通过SDP网关访问过所述内网资源,则读取记录的所述SDP客户端的历史访问可信度,所述历史访问可信度为基于所述SDP客户端上一次访问内网资源时所连接的SDP网关上报的第一日志审计信息,以及,所述SDP客户端上报的第二日志审计信息得到的;所述第一日志审计信息和所述第二日志审计信息用于记录所述SDP客户端上一次访问内网资源的信息。
可选地,所述根据所述SDP客户端的历史访问可信度,对所述SDP客户端通过SDP网关进行内网资源访问控制,包括:
根据所述SDP客户端的历史访问可信度,确定所述SDP客户端的内网资源访问权限;
向所述SDP客户端发送访问响应,所述访问响应用于指示允许所述SDP客户端接入访问内网资源时连接的SDP网关,以及,所述SDP客户端的内网资源访问权限。
可选地,所述根据所述SDP客户端的历史访问可信度,确定所述SDP客户端的内网资源访问权限,包括:
根据所述SDP客户端的历史访问可信度,确定所述SDP客户端的可信等级;
根据所述SDP客户端的可信等级,以及,可信等级与内网访问权限的映射关系,确定所述SDP客户端的内网资源访问权限。
可选地,所述对所述SDP客户端通过SDP网关进行内网资源访问控制之后,所述方法还包括:
接收来自所述SDP客户端当前所连接的SDP网关的第三日志审计信息,以及,所述SDP客户端的第四日志审计信息;所述第三日志审计信息和所述第四日志审计信息用于记录所述SDP客户端当前访问内网资源的信息;
根据所述第三日志审计信息和所述第四日志审计信息,更新所述SDP客户端的历史访问可信度。
可选地,所述根据所述第三日志审计信息和所述第四日志审计信息,更新所述SDP客户端的历史访问可信度,包括:
根据所述第三日志审计信息和所述第四日志审计信息,提取访问可信度函数中的至少一个历史访问可信度向量的取值;
根据所述访问可信度函数,以及,提取到的至少一个历史访问可信度向量的取值,更新所述SDP客户端的历史访问可信度。
可选地,所述更新所述SDP客户端的历史访问可信度之后,所述方法还包括:
若根据更新后的所述SDP客户端的历史访问可信度,确定所述SDP客户端的内网资源访问权限发生变化、且所述SDP客户端当前还在访问所述内网资源,则根据更新所述SDP客户端的历史访问可信度,对所述SDP客户端通过SDP网关进行内网资源访问控制。
第二方面,本申请提供一种访问控制装置,所述装置应用于SDP控制器,包括:
接收模块,用于接收SDP客户端的第一访问请求,所述访问请求用于请求访问内网资源;
验证模块,用于对所述SDP客户端进行身份验证;
获取模块,用于若所述SDP客户端的身份验证通过,则获取所述SDP客户端的历史访问可信度;所述历史访问可信度用于表征所述SDP客户端访问所述内网资源时的安全性;
控制模块,用于根据所述SDP客户端的历史访问可信度,对所述SDP客户端通过SDP网关进行内网资源访问控制。
第三方面,本申请提供一种访问控制装置,所述装置应用于SDP客户端,包括:
发送模块,用于向SDP控制器发送第一访问请求,所述第一访问请求用于请求访问内网资源。
接收模块,用于接收所述SDP控制器发送的控制信息,所述控制信息用于对所述SDP客户端通过SDP网关进行所述内网资源的访问控制。
访问模块,用于向所述SDP网关发起连接请求,连接成功后,通过与所述SDP网关建立的连接,访问所述内网资源。
第四方面,本申请提供一种访问控制装置,所述装置应用于SDP网关,包括:
接收模块,用于接收SDP控制器发送的指示信息,所述指示信息用于指示所述SDP网关允许SDP客户端的接入。
连接模块,用于接受所述SDP客户端的连接请求,与所述SDP客户端建立连接。
第五方面,本申请提供一种SDP控制器,包括:处理器、通信接口,以及存储器;所述处理器分别与所述通信接口和所述存储器通信连接;
所述存储器存储计算机执行指令;
所述通信接口与外部设备进行通信交互;
所述处理器执行所述存储器存储的计算机执行指令,以实现如第一方面中任一项所述的方法。
第六方面,本申请提供一种SDP客户端,包括:处理器、通信接口,以及存储器;所述处理器分别与所述通信接口和所述存储器通信连接;
所述存储器存储计算机执行指令;
所述通信接口与外部设备进行通信交互;
所述处理器执行所述存储器存储的计算机执行指令,以实现如第一方面中任一项所述的方法。
第七方面,本申请提供一种SDP网关,包括:处理器、通信接口,以及存储器;所述处理器分别与所述通信接口和所述存储器通信连接;
所述存储器存储计算机执行指令;
所述通信接口与外部设备进行通信交互;
所述处理器执行所述存储器存储的计算机执行指令,以实现如第一方面中任一项所述的方法。
第八方面,本申请提供一种访问控制***,所述***包括:如第五方面所述的SDP控制器、如第六方面所述的SDP客户端、如第七方面所述的SDP网关。
第九方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如第一方面中任一项所述的访问控制方法。
第十方面,本申请提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现如第一方面中任一项所述的方法。
本申请提供的访问控制方法、装置、设备及存储介质,通过对发出访问请求的SDP客户端进行身份验证、以及、历史访问可信度验证两层验证,确定该SDP客户端能够访问的内网资源对应的SDP网关,以及,内网资源访问权限,使得该SDP客户端仅能够访问与其历史访问可信度对应的内网资源,从而提高了远程访问场景下,内网资源的安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的一种通过VPN技术远程访问企业内网的架构示意图;
图2为本申请实施例提供的一种可能的访问控制方法的架构示意图;
图3为本申请实施例提供的一种访问控制方法的流程示意图;
图4为本申请实施例提供的另一种访问控制方法的流程示意图;
图5为本申请实施例提供的一种访问控制装置的结构示意图;
图6为本申请实施例提供的另一种访问控制装置的结构示意图;
图7为本申请实施例提供的再一种访问控制装置的结构示意图;
图8为本申请实施例提供的一种访问控制设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
目前,企业内网中的资源例如可以包括数据库中的数据,企业内网中的应用等资源。上述数据库中的数据例如可以包括企业的财务数据、行政数据等内容;应用例如可以是用于满足企业各类需求、以信息技术为主的***或者软件,可以是通过网页(Web)端在线使用,或者通过安装在终端设备上的应用程序使用;上述所说的***例如可以是企业的OA***,流程***等。用户需要通过连接了企业内网的终端设备,才能访问上述的企业内网中的资源,例如,该终端设备部署在企业的实***置中,通过有线或无限的方式连接到企业的内网。
然而,基于远程办公需求的快速增长,用户对于使用终端设备远程访问企业内网中的资源的需求也越来越大。例如,当用户居家办公,或者出差办公时,有时也需要访问企业内网中的资源才能够完成工作。因此,需要打破传统中以企业的内网为边界的企业IT架构,使其从“有边界”向“无边界”进行转变。
现有技术中的远程访问手段是,用户将终端设备连接到该用户所属的企业部署的VPN,从而通过该VPN远程连接到对应企业的内网中,达到访问企业内网中的资源的目的。下面,对通过VPN技术远程访问企业内网中的资源的场景进行说明。
图1为本申请实施例提供的一种通过VPN技术远程访问企业内网的架构示意图。如图1所示,该架构包括:
VPN客户端:安装在终端设备上,用于使用VPN技术实现终端设备的远程访问功能。例如,当企业用户并不在企业内网对应的实***置内时,可以通过在终端设备上安装VPN客户端,远程访问企业内网中的资源。这里所说的终端设备例如可以是计算机、智能手机等。
VPN网关:指上述终端设备通过VPN技术连接到企业内网中时对应的网关,从而实现外部终端设备远程连接到内网的功能。
在该架构下,用户通过VPN的客户端,连接到企业内网暴露在公网中的VPN网关,从而使得该终端设备接入企业内网。在完成连接后,该终端设备能够根据实际需要访问企业内网中的资源。该资源例如可以是该企业内网中的数据,或者企业内网中的应用等。该企业内网中的数据例如可以是存储在数据库中的。该企业内网中的应用例如可以是基于数据资源,提供的具有各类功能的应用,例如,基于数据库中的企业员工信息,提供的具有人员管理功能的应用;基于数据库中的财务数据,提供的具有财务分析功能的应用等。
然而,通过VPN技术远程访问企业内网存在以下问题:
问题1:易被攻击。由于企业内网的VPN网关是直接暴露在公网中的,公网中的所有用户都可以获取到该企业内网的VPN网关,因此攻击者可以根据获取到的该企业内网的VPN网关,连接到该VPN网关,从而进入到该企业的内网中。又因为通过VPN技术连接到企业内网,就可以广泛访问企业内网上的资源,因此这种广泛访问的方法会使得内网中的资源暴露给攻击者,从而导致攻击者能够获取该企业内网中的资源。因此,VPN技术具有过度信任、访问广泛的问题,基于这些问题,使用VPN技术远程访问企业内网容易被非法用户入侵或攻击。
问题2:网络拓展能力差。当企业存在多个处于不同网络下的数据中心时,例如处于北京的数据中心对应的内网网络,以及,处于上海的数据中心对应的内网网络,企业需要针对每个网络不同的数据中心对应的内网网络分别配置VPN网关的防火墙的策略。该防火墙是VPN网关上用于保护内网中资源安全的保护屏障,及时发现并处理网络访问时可能存在的安全风险,防火墙的策略可以根据实际需要进行设置。因此,在该场景下,企业需要多次配置VPN网关的防火墙的策略,网络拓展的方法较为麻烦。
问题3:对VPN账户的可信度判断方式所需的相关数据单一。目前VPN的网关是暴露在公网中的,攻击者可以在公网上通过端口扫描的方式获取到该VPN网关。VPN的可信度判断方式主要是通过已授权的用户账号与密码来判断该用户是否为合法用户,缺乏其他角度的可信度判断方式。若攻击者通过端口扫描获取该端口,且破解了合法用户的用户账号与密码,即可以很容易的获取授权,从而非法访问或修改企业数据资源。
综上所述,现有技术通过VPN远程访问内网的方法,存在安全性低,网络拓展能力差的问题,无法满足远程办公场景的安全防护需求。
软件定义边界(Software-Defined-Perimeter,SDP)是由云安全联盟(CloudSecurity Alliance,CSA)开发的一种安全框架。SDP技术基于零信任的网络安全防护理念,通过多种可信度判断方式,对网络访问业务活动进行持续监控,不断更新使用SDP服务的终端设备的信任评分,动态的调整控制策略和访问权限来应对网络攻击,有效保护企业的数据资源的安全。其中,零信任的网络安全防护理念指,默认不信任任何人、任何设备或任何***,对所有的访问者进行持续验证,永不信任的防护方式。
有鉴于此,本申请提供了一种基于SDP技术的访问控制方法,可以采用SDP客户端的身份以及历史访问可信度的双重认证的方式,对SDP客户端针对内网的访问进行控制,从而提高用户远程访问企业内网中的资源的安全性。此外,基于SDP技术的访问控制方法,是通过SDP控制器控制SDP客户端与SDP网关之间的连接,以及,SDP客户端访问内网中的资源时的资源访问权限。即,用户只需用对SDP控制器进行配置,或者,更新,就可以通过SDP客户端的配置对所有SDP网关的安全策略进行管控,无需像VPN架构下需要对不同地理位置、不同网络配置VPN的防火墙策略进行分别配置,因此该方法能够提高其网络拓展能力。
图2为本申请实施例提供的一种可能的访问控制方法的架构示意图。如图2所示,该架构包括:
SDP控制器:例如可以是服务器或服务器集群,用于对所有SDP客户端、SDP网关进行管理,并向SDP客户端,以及,SDP网关下发控制信息,例如,确定哪些SDP客户端可以与哪些SDP网关进行通信,指示SDP客户端的资源访问权限,或者,将从SDP客户端、SDP网关中获取的信息中继到外部认证服务,例如4A认证,地理位置和/或身份服务器等,从而实现对SDP客户端的验证,该验证例如可以是对使用该SDP客户端的用户的身份信息进行验证,对该SDP客户端所在的终端设备的合法性进行验证等。
SDP客户端:安装在用户终端设备上,用于向SDP控制器请求该SDP客户端能够连接的SDP网关列表及该SDP客户端的内网资源访问权限,从而访问其能够连接的SDP网关对应的内网中的资源。
SDP网关:可以是具备路由功能的网络设备或是主机设备,例如路由器、网络交换机、开启了路由功能的主机等,用于接收SDP控制器的指示,并根据指示与对应的SDP客户端连接,从而为该SDP客户端提供相应的内网中的资源。
下面结合具体地实施例对本申请实施例的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或者相似的概念或者过程可能在某些实施例不再赘述。
图3为本申请实施例提供的一种访问控制方法的流程示意图。如图3所示,该方法包括:
S301、SDP客户端向SDP控制器发送第一访问请求。
相应地,SDP控制器接收该第一访问请求,该第一访问请求用于请求访问内网资源。
用户通过操作SDP客户端,可以向SDP控制器发起上述第一访问请求,以请求访问其能够访问的内网资源。
其中,SDP控制器开启了网络隐身功能,其服务端口是默认关闭的,使其他设备从网络上无法连接、无法扫描到SDP控制器的服务端口。此时,上述第一访问请求例如可以是基于单包授权认证(Single Packet Authorization,SPA)的方式,发送给SDP控制器的。使用单包授权认证的方式,能够使得SDP客户端将第一访问请求发送至默认关闭了服务端口的SDP控制器。该第一访问请求是以特定的认证报文形式发送给SDP控制器的,该特定的认证报文形式会使得SDP控制器针对该SDP客户端的IP地址开放服务。
使用上述实施方式,能够降低SDP控制器被攻击者通过端口扫描的方法,攻击SDP控制器的可能性,从而提高该访问控制方法的安全性。
S302、对该SDP客户端进行身份验证。若验证通过,说明该SDP客户端登陆的用户的身份信息是合法的,则执行步骤S303进一步确定该SDP客户端的可信度。若验证失败,则说明该SDP客户端登陆的用户的身份信息是非法的,直接拒绝该SDP客户端的访问请求。
SDP控制器在接收到SDP客户端的第一访问请求后,首先要通过该第一访问请求所在的数据包中包括的用户的身份信息,对SDP客户端进行验证。这里所说的用户的身份的验证,可以是通过获取该使用SDP客户端的用户的身份信息进行验证,例如,通过账号密码,和/或,面部识别,和/或,指纹识别,和/或,语音识别等方法进行验证,以确定该用户的身份是否合法。
可选地,该第一访问请求所在的数据包中还可以包括硬件信息,对SDP客户端的验证还可以包括对该SDP客户端所在的终端设备的硬件信息进行验证,以验证该终端设备是否合法。例如,该硬件信息可以包括终端设备的标识、媒体存取控制位址(Media AccessControl Address,MAC)等内容。
S303、获取该SDP客户端的历史访问可信度,该历史访问可信度用于表征该SDP客户端访问上述内网资源时的安全性。
上述SDP客户端的历史访问可信度指,SDP控制器通过该SDP客户端的历史访问次数、以及、历史访问的行为确定的该SDP客户端访问上述内网资源时的安全性。
情况1:若该SDP客户端之前未通过SDP网关访问过上述内网资源。
一种可能的实施方式,将预设访问可信度作为该SDP客户端的历史访问可信度,该预设访问可信度可以是根据实际需要设定的,本申请对此不做限制。
另一种可能的实施方式,SDP控制器先对该SDP客户端进行访问可信度的初步判断,将该初步判断结果作为该SDP客户端的历史访问可信度。
情况2:若该SDP客户端之前至少一次通过SDP网关访问过上述内网资源:
一种可能的实施方式,读取记录的该SDP客户端的历史访问可信度,该历史访问可信度为基于该SDP客户端上一次访问内网资源时所连接的SDP网关上报的第一日志审计信息,以及,该SDP客户端上报的第二日志审计信息得到的。上述第一日志审计信息和上述第二日志审计信息用于记录所述SDP客户端上一次访问内网资源的信息。
另一种可能的实施方式,该历史访问可信度为基于该SDP客户端历史多次访问内网资源时的多个历史访问可信度获得的。每个历史访问可信度均是根据所连接的SDP网关上报的第一日志审计信息,以及,该SDP客户端上报的第二日志审计信息得到的。例如,通过该SDP客户端历史访问的所有次数对应的历史访问可信度,求其历史访问可信度的平均值作为本次访问对应的历史访问可信度。应了解,本申请仅以平均值为例,对于如何处理多个历史访问可信度的方法不做限制。
S304、根据该SDP客户端的历史访问可信度,对该SDP客户端通过SDP网关进行内网资源访问控制。
SDP控制器根据该SDP客户端的历史访问可信度,对该SDP客户端能否进行内网访问,如何进行内网访问,能够访问哪些内网资源进行控制。
其中,SDP控制器根据SDP客户端的历史访问可信度,向SDP客户端下发其对应的能够访问的SDP网关的列表,以及,该SDP客户端访问每个SDP网关时,该SDP客户端的内网资源访问权限。SDP客户端接收到上述信息后,向上述SDP网关的列表中的SDP网关发出网络连接申请。
SDP控制器根据SDP客户端的历史访问可信度,向SDP网关指示其需要接受连接的SDP客户端,以及,SDP客户端的内网资源访问权限。SDP网关接收到上述SDP客户端发出的网络连接申请后,接受该SDP客户端的网络连接申请,从而建立连接。在完成连接后,SDP网关根据从SDP控制器获取的SDP客户端的内网资源访问权限,对该SDP客户端能够访问的资源进行控制,使得该SDP客户端仅能够访问在其内网资源访问权限内的资源,从而保证内网资源的安全性。
本申请实施例提供的访问控制方法,通过对发出访问请求的SDP客户端进行身份验证、以及、历史访问可信度验证两层验证,确定该SDP客户端能够访问的内网资源对应的SDP网关,以及,内网资源访问权限,使得该SDP客户端仅能够访问与其历史访问可信度对应的内网资源,从而提高了远程访问场景下,内网资源的安全性。
下面针对之前至少一次通过SDP网关访问过上述内网资源的SDP客户端,如何在其发送访问请求时获取该SDP客户端的历史访问可信度进行详细的介绍。
该方法是通过获取SDP客户端的历史访问可信度向量,根据每个历史访问可信度向量中的元素,获取该向量对应的可信值。根据获取的该SDP客户端的所有历史访问可信度向量对应的可信值,以及,对应的加权系数,获取该SDP客户端的历史访问可信度。
其中,SDP客户端的历史访问可信度向量可以是SDP控制器历史上报的,和/或,SDP网关历史上报的日志审计信息,和/或,第三方分析***上报的日志审计信息,该日志审计信息又可以分为多个审计信息类别,每个审计信息类别中包括多个审计信息项目,每个审计信息项目为该历史访问可信度向量中的元素。
上述的日志审计信息至少包括以下审计信息类别中的一项或者多项:
(1)用户行为分析信息。该审计信息类别下,至少包括高频查询、高频下载、多次尝试登录、多次拷贝邮件等审计信息项目中的一项或多项。
(2)网络行为分析信息。该审计信息类别下,至少包括流量异常、协议异常等审计信息项目中的一项或多项。
(3)综合审计分析信息。该审计信息类别下,至少包括日志关联分析、安全***异常等审计信息项目中的一项或多项。
(4)***运行环境信息。该审计信息类别下,至少包括杀毒软件关闭、高危端口开放、***漏洞爆发、注册表被修改等审计信息项目中的一项或多项。
(5)终端操作环境信息。该审计信息类别下,至少包括授权人离席、多人围观等审计信息项目中的一项或多项。
(6)新增突发安全信息。该审计信息类别下,至少包括突发行业风险、紧急封堵防护等审计信息项目中的一项或多项。
本申请通过上述多个审计信息类别,从用户行为、网络行为、***运行环境、终端操作环境、新增突发安全信息、以及、综合审计的角度,全面地对SDP客户端的历史访问可信度进行了计算与判断,从而解决了现有技术中对VPN账户的可信度判断方式所需的相关数据单一的问题,提高了SDP客户端访问内网资源的安全性。
下面,以上述的审计信息类别为例,通过多种实施方式对上述如何获取该SDP客户端的历史访问可信度进行详细介绍。
实施方式1:通过第一日志审计信息,以及,第二日志审计信息,获取该SDP客户端的历史访问可信度。
S3031、获取第一日志审计信息,以及,第二日志审计信息。
其中,第一日志审计信息是SDP客户端上一次访问内网时所连接的SDP网关上报的。该第一日志审计信息例如可以包括:用户行为分析信息。该用户行为分析信息例如可以是该SDP客户端在上一次通过该SDP网关时访问内网时,所产生的用户行为。上述这些用户行为例如可以是对部分资源的高频查询行为,这些资源例如可以使预设的某个保密等级以上的资源,或者对敏感信息的高频下载行为,或者多次尝试登录内网中某***或某应用的行为等。上述第一日志审计信息例如可以如下表1所示:
表1
| 审计信息类别 | 审计信息项目 | 项目对应的变量符号 |
| 用户行为分析信息 | 高频查询 | A1 |
| 用户行为分析信息 | 高频下载 | A2 |
| 用户行为分析信息 | 多次尝试登陆 | A3 |
| 用户行为分析信息 | 多次拷贝邮件 | A4 |
其中,高频查询例如可以是SDP网关对于其对应的内网中的预设的至少一个敏感信息进行监控,若存在SDP客户端在预设时间内对某一个敏感信息,或对于所有的敏感信息的查询次数超出预设阈值,则记录该SDP客户端的查询行为。上述查询行为例如可以包括该SDP客户端的标识,查询的敏感信息标识,以及,查询敏感信息的次数等信息,需了解,记录的查询行为的内容可以根据实际需求进行调整,本申请对此不做限制。
高频下载例如可以是对如上述的敏感信息的下载行为,其获取方式与上述高频查询的获取方式相似,此处不再赘述。
多次尝试登陆例如可以是在预设时间内,该SDP客户端多次尝试登陆内网中的某***或某应用的次数超出预设的登陆次数阈值。例如,可以设定该SDP客户端无论是否最终登陆成功,但只要超出预设的登陆次数阈值,就需要对其进行记录;也可以设定只有当该SDP客户端只有在最终没有登陆成功时,才对其进行记录。
多次拷贝邮件例如可以是对内网的邮件***/邮件应用中的历史邮件进行拷贝的行为超出预设的拷贝次数阈值,则记录其拷贝次数。
第二日志审计信息是SDP客户端上一次访问内网时自己上报的。该第二日志审计信息例如可以包括:网络异常分析信息、***环境分析信息。上述第二日志审计信息例如可以如下表2所示:
表2
上述网络异常分析信息是对于SDP客户端所在的终端设备的网络状况的监控,可以是该SDP客户端上集成了网络状况监控模块,从而对该终端设备的网络状况进行监控,也可以是该SDP客户端获取该终端设备上的网络监控软件的监控结果,从而获取该终端设备的网络状况的。其中,流量异常可以指该终端设备的网络流量在短时间内发生剧烈波动,从而可能造成网络的拥塞、丢包、延时等情况。协议异常指该终端设备的网络协议配置出现异常。
上述***环境分析信息是对SDP客户端所在的终端设备的***安全状况的监控,可以是该SDP客户端上集成了***安全监控模块,从而对该终端设备的***安全状况进行监控,也可以是该SDP客户端获取该终端设备上的***安全监控软件的监控结果,例如该终端设备上的杀毒软件的监控结果,从而获取该终端设备的***安全状况的。其中,高危端口例如可以是根据实际需求确定的至少一个网络端口。***漏洞爆发例如可以是指当前该终端设备存在的***漏洞的个数是否超过预设的***漏洞个数,以及超过预设的个数的范围。注册表被修改指该终端设备中的注册表是否被修改,若被修改,则表征该终端设备可能遭受了攻击者的攻击,存在安全隐患。
S3032、在获取了第一日志审计信息,以及,第二日志审计信息后,将每个审计信息项目对应的信息映射为可信值。
例如,可以通过将每个审计信息项目对应的信息输入到训练好的机器学习模型中,例如卷积神经网络模型,对输入的信息进行分析,获取每个审计信息项目对应的分值。该分值即为每个审计信息项目对应的信息映射成的可信值。
S3033、基于审计信息类别,获取每个审计信息类别对应的类别可信值。
根据审计信息类别下的每个审计信息项目的可信值,获得该审计信息类别对应的类别可信值。
一种可能的实施方式,将每个审计信息类别对应的所有审计信息项目的可信值的求和平均值、或、加权平均值,作为该审计信息类别对应的类别可信值。以求和平均值方法处理用户行为分析信息为例,该实施方式对应的公式例如可以是:
其中,A为用户行为分析信息对应的类别可信值,n为用户行为分析信息下对应的审计信息项目个数,Ai为每个审计信息项目对应的可信值,例如A1为上述高频查询对应的可信值,A2为上述高频下载对应的可信值等。
另一种可能的实施方式,将每个审计信息类别对应的所有审计信息项目的可信值的最小值作为该审计信息类别对应的类别可信值。由于可信值越小,表征该审计信息项目的可信度越低,来自该终端设备的攻击风险越高,因此,使用此实施方式,能够确保每个审计信息类别的可信度判断方式是以风险最高的审计信息项目作为判断标准,从而更严格的控制内网资源的被攻击风险的,进一步提高该方法的安全性。
S3034、基于每个审计信息类别对应的类别可信值,获取该SDP客户端的历史访问可信度。
其中,该SDP客户端的历史访问可信度ZTD的值处于区间[0,1]之间。
一种可能的实施方式,仅根据存在上述风险的审计信息类别对应的类别可信值,获取该SDP客户端的历史访问可信度。
在该实施方式下,通过各类审计信息类别之间的相关性分析、和/或、重要性分析,获取每类审计信息类别的权重值,通过存在上述的审计信息类别,以及其对应的权重值,进行加权平均,从而获得该SDP客户端的历史访问可信度。上述的相关性分析、和/或、重要性分析的过程可以使用现有技术中的同类方法,此处不作赘述。
其中,每类审计信息类别的权重值可以是预设的固定不变的,也可以是根据每次获取的日志审计信息的不同,例如风险行为的出现频次不同,危险程度不同等,导致的相关性分析、和/或、重要性分析的结果的不同,从而发生调整的权重值。
另一种可能的实施方式,根据所有的审计信息类别对应的类别可信值,获取该SDP客户端的历史访问可信度。
在该实施方式下,获取该SDP客户端的历史访问可信度的方法与前一种实施方式相似,此处不再赘述。
实施方式2:通过与SDP控制器连接的第三方分析***获取的第五日志审计信息,获取该SDP客户端的历史访问可信度。
该第五日志审计信息为必须通过第三方分析***才能获取的日志审计信息,例如可以包括终端操作环境分析信息、综合审计分析信息、新增突发安全风险信息等。
其中,终端操作环境分析信息例如可以包括通过监控该终端设备摄像头画面的视频监控***获取的授权人离席项目、多人围观项目等。示例性的,第三方的视频监控***与SDP客户端所在的终端设备之间存在通信连接,可以实施监控该终端设备的摄像头中的画面。当用户连接到内网时,若摄像头中的画面显示,授权用户离开该终端设备,则认为其存在因授权人离席导致的资源泄露风险。若摄像头中的画面显示,该授权用户的周围存在多人围观行为,则表示在该授权用户的周围,可能存在未授权用户能够从该终端设备获取到内网中的资源,例如围观的未授权用户可以通过该终端设备的显示器,看到内网中的资源。因此,认为该情况存在因多人围观导致的内网中的资源泄露的风险。
根据上述视频监控***获得的终端操作环境分析信息可以通过该视频监控***发送至SDP控制器,也可以通过安装了该视频监控***的终端设备发送至SDP控制器,以便该SDP控制器能够通过前述的方法对终端操作环境分析信息进行处理,计算该SDP客户端的历史访问可信度。
综合审计分析信息例如可以包括通过审计分析***获取的日志关联分析项目、安全***异常项目等。审计分析***与SDP客户端所在的终端设备相连接,通过获取该终端设备的***日志,审计该终端设备是否存在问题。然后将审计结果发送至SDP控制器,用于对该SDP客户端的可信度进行判断。示例性的,日志关联分析项目可以是对多个终端设备的***日志存在的关联性异常进行分析,该异常例如可以是***日志中显示存在非法登录的情况等。安全***异常项目指通过获取该SDP客户端的安全日志,通过安全日志获取该SDP客户端的安全***异常信息。
根据上述审计分析***获得的综合审计分析信息可以通过该审计分析***发送至SDP控制器,也可以通过与该审计分析***连接的SDP客户端发送至SDP控制器,以便该SDP控制器能够通过前述的方法对综合审计分析信息进行处理,计算该SDP客户端的历史访问可信度。
新增突发安全风险信息例如可以包括通过威胁情报***获取的突发行业风险项目、紧急封堵防护项目等。示例性的,威胁情报***能够实时获取行业内的突发风险信息,并监控该SDP客户端所在的终端设备是否存在符合该突发风险的特征。紧急封堵防护指例如企业发现了需要紧急封堵的漏洞,威胁情报***监控该SDP客户端所在的终端设备存在符合该漏洞的特征。
根据上述威胁情报***获得的新增突发安全风险信息可以通过该威胁情报***发送至SDP控制器,也可以通过与该威胁情报***连接的SDP网关发送至SDP控制器,以便该SDP控制器能够通过前述的方法对新增突发安全风险信息进行处理,计算该SDP客户端的历史访问可信度。
在实施方式2下,其后续根据第五日志审计信息,获取该SDP客户端的历史访问可信度的具体方法与实施方式1相似,此处不再赘述。
通过上述所说的第一日志审计信息、第二日志审计信息、第五日志审计信息,获取该SDP客户端的历史访问可信度的方法,可以是通过上述三类日志审计信息获取该SDP客户端的历史访问可信度,也可以是根据上述三类日志审计信息中的至少一类日志审计信息获取的,本申请对此不做限制。
本申请实施例提供的获取该SDP客户端的历史访问可信度的方法,通过多种获取手段,获取用户远程访问内网过程中可能存在的多种风险信息,从而对这些风险信息数值化,以及,均衡考虑风险信息之间的相关性与重要性,全面地获取该SDP客户端的历史访问可信度,从而提高该访问控制方法的安全性。
下面,针对前述步骤S304中,如何“根据该SDP客户端的历史访问可信度,对该SDP客户端进行内网资源访问控制”进行详细说明。
图4为本申请实施例提供的另一种访问控制方法的流程示意图,如图4所示,该方法包括:
S401、根据该SDP客户端的历史访问可信度,确定该SDP客户端的内网资源访问权限。
其中,该SDP客户端的历史访问可信度为通过上述步骤S303获取的。该SDP客户端的内网访问权限例如可以指,该SDP客户端能够通过哪些SDP网关访问内网,以及,该SDP客户端通过不同的SDP网关访问内网后能够访问该SDP网关对应的哪些资源,以及,该SDP客户端可以用什么样的方式访问内网资源,例如可以是查看,修改,删除等不同权限级别的操作等。
一种可能的实施方式,根据该SDP客户端的历史访问可信度,确定该SDP客户端的可信等级。根据该SDP客户端的可信等级,以及,可信等级与内网访问权限的映射关系,确定该SDP客户端的内网访问权限。
示例性的,例如可以将该SDP客户端的历史访问可信度ZTD的取值范围[0,1]划分为四个可信等级,如下表3所示:
表3
| 可信等级名称 | ZTD取值范围 |
| 可信(Trust) | [0.85,1] |
| 中级可信(Midtrust) | [0.7,0.85] |
| 低级可信(Lowtrust) | [0.6,0.7] |
| 不可信(Untrust) | [0,0.6] |
针对上述四个可信等级,
当该SDP客户端的历史访问可信度为Trust时,用户可以通过该SDP客户端访问内网中已授权给该用户账号的应用。
当该SDP客户端的历史访问可信度为Midtrust时,限制该SDP客户端的访问权限,例如用户仅能访问已授权应用Web端,不能访问该应用的数据库等。其中,限制该SDP客户端的访问权限的控制功能,可以是SDP网关通过SDP控制器向SDP网关发送的访问权限的内容实现的。例如,该SDP网关对于历史访问可信度为Trust的SDP客户端,允许该SDP客户端访问其访问权限内的应用,以及该应用的数据库;该SDP网关对于历史访问可信度为Midtrust的SDP客户端,仅允许该SDP客户端访问其访问权限内的应用的Web端,不允许其访问该应用的数据库等。上述的允许方式例如可以是,对于历史访问可信度为Midtrust的SDP客户端,当SDP客户端发出对于应用的数据库的访问请求时,SDP网关拒绝接受该SDP客户端的访问请求;当SDP客户端发出对于应用的Web端的访问请求时,SDP网关接受该SDP客户端的访问请求,并向允许SDP客户端登陆该应用的Web端。
当该SDP客户端的历史访问可信度为Lowtrust时,用户账号锁定,无法使用该用户账号访问内网资源,用户需要申请自助解锁或联系网络管理员解除账号锁定。或者,使该SDP客户端进入服务器的隔离区(demilitarized zone,DMZ),该服务器的DMZ区域引导使用该SDP客户端的用户进行进一步零信任强认证,若该SDP客户端的历史访问可信不能够被修复或修复后仍然不能通过认证,则拒绝此次该SDP客户端的接入请求。
当该SDP客户端的历史访问可信度为Untrust时,SDP控制器将该用户账号、该SDP客户端拉入黑名单,该SDP客户端后续发出的基于单包授权认证的访问请求将不被SDP控制器接收,用户必须联系网络管理员解除黑名单。
应理解,本申请仅以上述四个可信等级的划分为例,实际操作中对于可信等级的划分可以根据实际需求进行调整,本申请对此不做限制。
另一种可能的实施方式,根据该SDP客户端的历史访问可信度,确定该SDP客户端的内网访问权限。
在该实施方式下,可以根据该SDP客户端的历史访问可信度对应的值,直接获取该SDP客户端的内网访问权限。例如,当SDP控制器获取到该SDP客户端的历史访问可信度对应的值后,可以根据该值与内网访问权限对应的映射关系确定该SDP客户端的内网访问权限;或者,可以将该值输入访问权限的处理模型中,根据模型计算该值对应的内网访问权限等。
S402、向该SDP客户端发送访问响应,所述访问响应用于指示允许该SDP客户端访问内网资源时连接的SDP网关,以及,该SDP客户端的内网资源访问权限。
相应的,SDP客户端接收SDP控制器发送的访问响应,根据该访问响应,确定其访问内网资源时连接的SDP网关,以及,该SDP客户端的内网资源访问权限。
若根据步骤S401中的判断,该SDP客户端具备内网访问权限,则SDP控制器与该SDP客户端之间建立双向的安全传输层协议(Transport Layer Security,TLS)连接。通过该双向TLS连接,SDP控制器向该SDP客户端发送访问响应。
其中,该访问响应例如可以包括允许该SDP客户端访问内网资源时连接的SDP网关的列表,以及,该SDP客户端对于每个可连接的SDP网关的访问权限范围。
同时,SDP控制器还需要向上述SDP网关列表中的SDP网关发送指示信息,该指示信息用于指示SDP网关允许上述SDP客户端的接入,以及,上述SDP客户端的内网资源访问权限信息。其中,SDP控制器与SDP网关之间的连接可以是在部署SDP架构时预建立的,也可以是在维护SDP架构时预建立的。上述维护SDP架构例如可以是,增加新的SDP网关。
在SDP控制器完成上述操作的执行后,SDP客户端向所述SDP网关发出连接请求,SDP网关回应该SDP客户端的连接请求,然后建立SDP客户端与SDP网关之间的双向TLS连接,从而通过该双向TLS连接,达成远程访问内网资源的功能。
本申请上述实施例提供的访问控制方法,通过SDP客户端的历史访问可信度,获取不同历史访问可信度对应的不同访问权限,然后拒绝不可信的SDP客户端的访问请求,并对不同可信度的SDP客户端的授权不同的访问权限,从而降低内网被攻击的危险。
可选地,在SDP客户端与SDP网关建立连接之后,该方法还可以包括:
S403、接收来自该SDP客户端当前所连接的SDP网关的第三日志审计信息,以及,该SDP客户端的第四日志审计信息。根据该第三日志审计信息和该第四日志审计信息,更新所述SDP客户端的历史访问可信度。
其中,该第三日志审计信息和该第四日志审计信息用于记录该SDP客户端当前访问内网的信息。第三日志审计信息与前述的第一日志审计信息包括的类别,以及,项目一致,区别仅在于第三日志审计信息是基于当前的访问行为,该SDP客户端当前所连接的SDP网关反馈的日志审计信息。第四日志审计信息与前述的第二日志审计信息包括的类别,以及,项目一致,区别仅在于第四日志审计信息是基于当前的访问行为,该SDP客户端反馈的日志审计信息。
一种可能的实施方式,根据该第三日志审计信息和该第四日志审计信息,提取访问可信度函数中的至少一个历史访问可信度向量的取值。根据该访问可信度函数,以及,提取到的至少一个历史访问可信度向量的取值,更新该SDP客户端的历史访问可信度。
其中,历史访问可信度向量如前述步骤S3031中所说,每个审计信息类别均为一个历史访问可信度向量。访问可信度函数是由多个历史访问可信度向量,以及,每个历史访问可信度向量的权重值获取的,用于计算SDP客户端的访问可信度。
SDP控制器根据上述的可信度函数,以及,至少一个历史访问可信度向量的取值,从第三日志审计信息,和/或,第四日志审计信息中的信息,更新历史访问可信度向量的取值,从而获取基于当前访问行为的访问可信度向量,从而完成对SDP客户端的历史访问可信度的更新。其中,对SDP客户端的历史访问可信度的计算方式与前述步骤S303中的一致,本申请不再赘述。
在根据上述第三日志审计信息和上述第四日志审计信息,更新该SDP客户端的历史访问可信度之后,上述方法还包括:
若根据更新后的SDP客户端的历史访问可信度,确定该SDP客户端的内网访问权限发生变化、且该SDP客户端当前还在访问上述内网,则根据更新该SDP客户端的历史访问可信度,对该SDP客户端通过SDP网关进行内网访问进行控制。
示例性的,若更新前的SDP客户端的历史访问可信度对应的可信等级为Trust,更新后的SDP客户端的历史访问可信度对应的可信等级为Midtrust,且该SDP客户端还未结束本次的内网访问,则SDP控制器根据更新后的SDP客户端的历史访问可信度,向该SDP网关下发新的关于该SDP客户端的可信等级对应的访问策略。然后,SDP网关根据该访问策略,改变与该SDP控制器的访问交互行为,比如断开该SDP客户端与正在访问的应用程序之间的连接,提示该SDP客户端,当前仅能使用Web应用等。
本申请上述实施例提供的访问控制方法,通过在SDP客户端访问内网期间,实时根据该SDP客户端的状态、操作环境、以及与SDP网关的访问行为等内容,更新该SDP客户端的历史访问可信度,并且基于历史访问可信度的变化,实时改变该SDP客户端的访问权限,从而即使在同一次访问内网的行为中,也能实时根据该SDP客户端的访问可信度的变化,控制该SDP客户端通过SDP网关进行的内网访问行为,进一步提高安全防护的实时性,减小在内网访问过程中,攻击者利用已授权的SDP客户端攻击内网资源的危险。
图5为本申请实施例提供的一种访问控制装置的结构示意图。如图5所示,该访问控制装置应用于SDP控制器,包括:接收模块11,验证模块12,获取模块13,控制模块14。在一种可能的实施方式中,还包括:更新模块15。
接收模块11,用于接收SDP客户端的第一访问请求,该访问请求用于请求访问内网资源;
验证模块12,用于对该SDP客户端进行身份验证;
获取模块13,用于若该SDP客户端的身份验证通过,则获取该SDP客户端的历史访问可信度;该历史访问可信度用于表征该SDP客户端访问该内网资源时的安全性;
控制模块14,用于根据该SDP客户端的历史访问可信度,对该SDP客户端通过SDP网关进行内网资源访问控制。
一种可能的实施方式,若所述SDP客户端之前未通过SDP网关访问过所述内网资源,获取模块13,具体用于将预设访问可信度作为所述SDP客户端的历史访问可信度。若所述SDP客户端之前至少一次通过SDP网关访问过所述内网资源,获取模块13,具体用于读取记录的所述SDP客户端的历史访问可信度,所述历史访问可信度为基于所述SDP客户端上一次访问内网资源时所连接的SDP网关上报的第一日志审计信息,以及,所述SDP客户端上报的第二日志审计信息得到的。所述第一日志审计信息和所述第二日志审计信息用于记录所述SDP客户端上一次访问内网资源的信息。
一种可能的实施方式,控制模块14,具体用于根据该SDP客户端的历史访问可信度,确定该SDP客户端的内网资源访问权限,向该SDP客户端发送访问响应,该访问响应用于指示允许该SDP客户端接入访问内网资源时连接的SDP网关,以及,该SDP客户端的内网资源访问权限。
一种可能的实施方式,控制模块14,具体用于根据该SDP客户端的历史访问可信度,确定该SDP客户端的可信等级,根据该SDP客户端的可信等级,以及,可信等级与内网访问权限的映射关系,确定该SDP客户端的内网资源访问权限。
一种可能的实施方式,控制模块14对该SDP客户端通过SDP网关进行内网资源访问控制之后,更新模块15,用于接收来自该SDP客户端当前所连接的SDP网关的第三日志审计信息,以及,该SDP客户端的第四日志审计信息,根据该第三日志审计信息和该第四日志审计信息,更新该SDP客户端的历史访问可信度。该第三日志审计信息和该第四日志审计信息用于记录该SDP客户端当前访问内网资源的信息。
一种可能的实施方式,更新模块15,具体用于根据该第三日志审计信息和该第四日志审计信息,提取访问可信度函数中的至少一个历史访问可信度向量的取值。根据该访问可信度函数,以及,提取到的至少一个历史访问可信度向量的取值,更新该SDP客户端的历史访问可信度。
一种可能的实施方式,更新模块15更新该SDP客户端的历史访问可信度之后,控制模块14,还用于若根据更新后的该SDP客户端的历史访问可信度,确定该SDP客户端的内网资源访问权限发生变化、且该SDP客户端当前还在访问该内网资源,则根据更新该SDP客户端的历史访问可信度,对该SDP客户端通过SDP网关进行内网资源访问控制。
本申请实施例提供的访问控制装置,可以执行上述方法实施例中的访问控制方法,其实现原理和技术效果类似,在此不再赘述。
图6为本申请实施例提供的一种访问控制装置的结构示意图。如图6所示,该访问控制装置应用于SDP客户端,包括:发送模块21,接收模块22,访问模块23。
发送模块21,用于向SDP控制器发送第一访问请求,该访问请求用于请求访问内网资源。
接收模块22,用于接收SDP控制器发送的控制信息,该控制信息用于对该SDP客户端通过SDP网关进行内网资源访问控制。
访问模块23,用于向上述SDP网关发起连接请求,连接成功后,通过与上述SDP网关建立的连接,访问内网资源。
一种可能的实施方式,在SDP客户端上一次访问内网资源时,发送模块21,还用于向SDP控制器上报第二日志审计信息,该第二日志审计信息用于记录该SDP客户端上一次访问内网资源的信息。
一种可能的实施方式,在SDP客户端当前访问内网资源时,发送模块21,还用于向SDP控制器上报第四日志审计信息,该第四日志审计信息用于记录该SDP客户端当前访问内网资源的信息。
本申请实施例提供的访问控制装置,可以执行上述方法实施例中的访问控制方法,其实现原理和技术效果类似,在此不再赘述。
图7为本申请实施例提供的一种访问控制装置的结构示意图。如图7所示,该访问控制装置应用于SDP网关,包括:接收模块31,连接模块32。在一种可能的实施方式中,还包括:发送模块33。
接收模块31,用于接收SDP控制器发送的指示信息,该指示信息用于指示SDP网关允许上述SDP客户端的接入。
连接模块32,用于接受上述SDP客户端的连接请求,与上述SDP客户端建立连接。
一种可能的实施方式,在SDP客户端上一次访问内网资源时,发送模块33,还用于向SDP控制器上报第一日志审计信息,该第一日志审计信息用于记录该SDP客户端上一次访问内网资源的信息。
一种可能的实施方式,在SDP客户端当前访问内网资源时,发送模块33,还用于向SDP控制器上报第三日志审计信息,该第三日志审计信息用于记录该SDP客户端当前访问内网资源的信息。
本申请实施例提供的访问控制装置,可以执行上述方法实施例中的访问控制方法,其实现原理和技术效果类似,在此不再赘述。
图8为本申请实施例提供的一种访问控制设备的结构示意图。其中,该访问控制设备用于执行前述所说的访问控制方法。该访问控制设备例如可以是前述所说的SDP控制器,或者,SDP客户端,或者,SDP网关。如图8所示,该访问控制设备800可以包括:至少一个处理器801、存储器802,通信接口803。
存储器802,用于存放程序。具体地,程序可以包括程序代码,程序代码包括计算机操作指令。
存储器802可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
处理器801用于执行存储器802存储的计算机执行指令,以实现前述方法实施例所描述的方法。其中,处理器801可能是一个CPU,或者是特定集成电路(ApplicationSpecific Integrated Circuit,简称为ASIC),或者是被配置成实施本申请实施例的一个或多个集成电路。
处理器801通过通信接口803可以与外部设备进行通信交互。当该访问控制设备为SDP控制器时,此处所说的外部设备例如可以是SDP客户端,或者,SDP网关。当该访问控制设备为SDP客户端时,此处所说的外部设备例如可以是SDP客户端,或者,SDP网关。当该访问控制设备为SDP网关时,此处所说的外部设备例如可以是SDP客户端,或者,SDP控制器,或者,内网资源对应的设备。
在具体实现上,如果通信接口803、存储器802以及处理器801独立实现,则通信接口803、存储器802以及处理器801可以通过总线相互连接并完成相互间的通信。总线可以是工业标准体系结构(Industry Standard Architecture,简称为ISA)总线、外部设备互连(Peripheral Component,简称为PCI)总线或扩展工业标准体系结构(Extended IndustryStandard Architecture,简称为EISA)总线等。总线可以分为地址总线、数据总线、控制总线等,但并不表示仅有一根总线或一种类型的总线。
可选的,在具体实现上,如果通信接口803、存储器802和处理器801集成在一块芯片上实现,则通信接口803、存储器802和处理器801可以通过内部接口完成通信。
本申请还提供一种如图2的访问控制***,该***包括:SDP客户端、SDP控制器、SDP网关。其中,SDP客户端用于执行上述方法实施例所描述的SDP客户端的动作,SDP控制器用于执行上述方法实施例所描述的SDP控制器的动作,SDP网关用于执行上述方法实施例所描述的SDP网关的动作,以使用户能够通过终端设备实现远程访问内网的功能,其实现原理和技术效果与上述方法实施例类似,对此不再赘述。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random AccessMemory)、磁盘或者光盘等各种可以存储程序代码的介质,具体的,该计算机可读存储介质中存储有程序指令,程序指令用于上述实施例中的方法。
本申请还提供一种程序产品,该程序产品包括执行指令,该执行指令存储在可读存储介质中。访问控制设备的至少一个处理器可以从可读存储介质读取该执行指令,至少一个处理器执行该执行指令使得访问控制设备实施上述各种实施方式提供的访问控制方法。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (9)
1.一种访问控制方法,其特征在于,所述方法应用于SDP控制器,所述方法包括:
接收SDP客户端的第一访问请求,所述访问请求用于请求访问内网资源;
对所述SDP客户端进行身份验证;
若所述SDP客户端的身份验证通过,则获取所述SDP客户端的历史访问可信度;所述历史访问可信度用于表征所述SDP客户端访问所述内网资源时的安全性;
根据所述SDP客户端的历史访问可信度,对所述SDP客户端通过SDP网关进行内网资源访问控制;
所述获取所述SDP客户端的历史访问可信度,包括:
若所述SDP客户端之前未通过SDP网关访问过所述内网资源,则将预设访问可信度作为所述SDP客户端的历史访问可信度;
若所述SDP客户端之前至少一次通过SDP网关访问过所述内网资源,则读取记录的所述SDP客户端的历史访问可信度,所述历史访问可信度为基于所述SDP客户端上一次访问内网资源时所连接的SDP网关上报的第一日志审计信息,以及,所述SDP客户端上报的第二日志审计信息得到的;所述第一日志审计信息和所述第二日志审计信息用于记录所述SDP客户端上一次访问内网资源的信息。
2.根据权利要求1所述的方法,其特征在于,所述根据所述SDP客户端的历史访问可信度,对所述SDP客户端通过SDP网关进行内网资源访问控制,包括:
根据所述SDP客户端的历史访问可信度,确定所述SDP客户端的内网资源访问权限;
向所述SDP客户端发送访问响应,所述访问响应用于指示允许所述SDP客户端接入访问内网资源时连接的SDP网关,以及,所述SDP客户端的内网资源访问权限。
3.根据权利要求2所述的方法,其特征在于,所述根据所述SDP客户端的历史访问可信度,确定所述SDP客户端的内网资源访问权限,包括:
根据所述SDP客户端的历史访问可信度,确定所述SDP客户端的可信等级;
根据所述SDP客户端的可信等级,以及,可信等级与内网访问权限的映射关系,确定所述SDP客户端的内网资源访问权限。
4.根据权利要求2所述的方法,其特征在于,所述对所述SDP客户端通过SDP网关进行内网资源访问控制之后,所述方法还包括:
接收来自所述SDP客户端当前所连接的SDP网关的第三日志审计信息,以及,所述SDP客户端的第四日志审计信息;所述第三日志审计信息和所述第四日志审计信息用于记录所述SDP客户端当前访问内网资源的信息;
根据所述第三日志审计信息和所述第四日志审计信息,更新所述SDP客户端的历史访问可信度。
5.根据权利要求4所述的方法,其特征在于,所述根据所述第三日志审计信息和所述第四日志审计信息,更新所述SDP客户端的历史访问可信度,包括:
根据所述第三日志审计信息和所述第四日志审计信息,提取访问可信度函数中的至少一个历史访问可信度向量的取值;
根据所述访问可信度函数,以及,提取到的至少一个历史访问可信度向量的取值,更新所述SDP客户端的历史访问可信度。
6.根据权利要求4所述的方法,其特征在于,所述更新所述SDP客户端的历史访问可信度之后,所述方法还包括:
若根据更新后的所述SDP客户端的历史访问可信度,确定所述SDP客户端的内网资源访问权限发生变化、且所述SDP客户端当前还在访问所述内网资源,则根据更新所述SDP客户端的历史访问可信度,对所述SDP客户端通过SDP网关进行内网资源访问控制。
7.一种访问控制装置,其特征在于,所述装置应用于SDP控制器,包括:
接收模块,用于接收SDP客户端的第一访问请求,所述访问请求用于请求访问内网资源;
验证模块,用于对所述SDP客户端进行身份验证;
获取模块,用于若所述SDP客户端的身份验证通过,则获取所述SDP客户端的历史访问可信度;所述历史访问可信度用于表征所述SDP客户端访问所述内网资源时的安全性;
控制模块,用于根据所述SDP客户端的历史访问可信度,对所述SDP客户端通过SDP网关进行内网资源访问控制;
若所述SDP客户端之前未通过SDP网关访问过所述内网资源,所述获取模块,具体用于将预设访问可信度作为所述SDP客户端的历史访问可信度;
若所述SDP客户端之前至少一次通过SDP网关访问过所述内网资源,所述获取模块,具体用于读取记录的所述SDP客户端的历史访问可信度,所述历史访问可信度为基于所述SDP客户端上一次访问内网资源时所连接的SDP网关上报的第一日志审计信息,以及,所述SDP客户端上报的第二日志审计信息得到的;所述第一日志审计信息和所述第二日志审计信息用于记录所述SDP客户端上一次访问内网资源的信息。
8.一种SDP控制器,其特征在于,包括:处理器、通信接口,以及存储器;所述处理器分别与所述通信接口和所述存储器通信连接;
所述存储器存储计算机执行指令;
所述通信接口与外部设备进行通信交互;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1至6中任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至6任一项所述的访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210628757.XA CN114915427B (zh) | 2022-06-06 | 2022-06-06 | 访问控制方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210628757.XA CN114915427B (zh) | 2022-06-06 | 2022-06-06 | 访问控制方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114915427A CN114915427A (zh) | 2022-08-16 |
| CN114915427B true CN114915427B (zh) | 2023-10-13 |
Family
ID=82770860
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210628757.XA Active CN114915427B (zh) | 2022-06-06 | 2022-06-06 | 访问控制方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114915427B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116318912A (zh) * | 2023-03-01 | 2023-06-23 | 华能信息技术有限公司 | 一种动态隐藏网络接口方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102668501A (zh) * | 2009-10-15 | 2012-09-12 | 交互数字专利控股公司 | 用于接入基于订阅的服务的注册和凭证转出 |
| US8812482B1 (en) * | 2009-10-16 | 2014-08-19 | Vikas Kapoor | Apparatuses, methods and systems for a data translator |
| CN104615765A (zh) * | 2015-02-13 | 2015-05-13 | 中国联合网络通信集团有限公司 | 一种移动用户上网记录的数据处理方法及装置 |
| CN106850509A (zh) * | 2015-12-07 | 2017-06-13 | 中国电信股份有限公司 | 网络访问控制方法及装置 |
| CN107005442A (zh) * | 2014-10-31 | 2017-08-01 | 华为技术有限公司 | 用于远程接入的方法和装置 |
| CN104640114B (zh) * | 2015-01-04 | 2018-09-11 | 中国联合网络通信集团有限公司 | 一种访问请求的验证方法及装置 |
| CN110213215A (zh) * | 2018-08-07 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种资源访问方法、装置、终端和存储介质 |
| US10860115B1 (en) * | 2019-09-19 | 2020-12-08 | Bao Tran | Air transportation systems and methods |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10541992B2 (en) * | 2016-12-30 | 2020-01-21 | Google Llc | Two-token based authenticated session management |
| WO2019084524A1 (en) * | 2017-10-27 | 2019-05-02 | Cleverdome, Inc. | NETWORK DEFINED BY SOFTWARE TO CREATE A TRUSTED NETWORK SYSTEM |
| US11128479B2 (en) * | 2018-05-02 | 2021-09-21 | Arizona Board Of Regents On Behalf Of Arizona State University | Method and apparatus for verification of social media information |
-
2022
- 2022-06-06 CN CN202210628757.XA patent/CN114915427B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102668501A (zh) * | 2009-10-15 | 2012-09-12 | 交互数字专利控股公司 | 用于接入基于订阅的服务的注册和凭证转出 |
| CN105306480A (zh) * | 2009-10-15 | 2016-02-03 | 交互数字专利控股公司 | 在包括设备的***中的方法及设备 |
| US8812482B1 (en) * | 2009-10-16 | 2014-08-19 | Vikas Kapoor | Apparatuses, methods and systems for a data translator |
| CN107005442A (zh) * | 2014-10-31 | 2017-08-01 | 华为技术有限公司 | 用于远程接入的方法和装置 |
| US10681010B2 (en) * | 2014-10-31 | 2020-06-09 | Huawei Technologies Co., Ltd. | Establishing a connection between a user device and an access zone |
| CN104640114B (zh) * | 2015-01-04 | 2018-09-11 | 中国联合网络通信集团有限公司 | 一种访问请求的验证方法及装置 |
| CN104615765A (zh) * | 2015-02-13 | 2015-05-13 | 中国联合网络通信集团有限公司 | 一种移动用户上网记录的数据处理方法及装置 |
| CN106850509A (zh) * | 2015-12-07 | 2017-06-13 | 中国电信股份有限公司 | 网络访问控制方法及装置 |
| CN110213215A (zh) * | 2018-08-07 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种资源访问方法、装置、终端和存储介质 |
| US10860115B1 (en) * | 2019-09-19 | 2020-12-08 | Bao Tran | Air transportation systems and methods |
Non-Patent Citations (2)
| Title |
|---|
| Securing Trajectory based Operations Through a Zero Trust Framework in the NAS;Larry Nace ect.;《2020 Integrated Communications Navigation and Surveillance Conference (ICNS)》;全文 * |
| 基于零信任打造封闭访问空间;王刚;张英涛;杨正权;;信息安全与通信保密(08);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114915427A (zh) | 2022-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8407462B2 (en) | Method, system and server for implementing security access control by enforcing security policies | |
| CN114598540B (zh) | 访问控制***、方法、装置及存储介质 | |
| EP2545680B1 (en) | Behavior-based security system | |
| US7360237B2 (en) | System and method for secure network connectivity | |
| US9003476B2 (en) | Communications security systems | |
| CN111917714B (zh) | 一种零信任架构***及其使用方法 | |
| US20070157313A1 (en) | Autonomic self-healing network | |
| US20060026679A1 (en) | System and method of characterizing and managing electronic traffic | |
| US20120151565A1 (en) | System, apparatus and method for identifying and blocking anomalous or improper use of identity information on computer networks | |
| CN115001870B (zh) | 信息安全防护***、方法及存储介质 | |
| US7594268B1 (en) | Preventing network discovery of a system services configuration | |
| CN114915427B (zh) | 访问控制方法、装置、设备及存储介质 | |
| CN111526150A (zh) | 关于单集群或多集群云电脑远程运维端口零信任自动化规则放行平台及放行方法 | |
| CN110830444A (zh) | 一种单包增强安全验证的方法和装置 | |
| US10298588B2 (en) | Secure communication system and method | |
| KR20100117338A (ko) | 네트워크 기반 단말인증 및 보안방법 | |
| CN114254352A (zh) | 一种数据安全传输***、方法和装置 | |
| KR102664208B1 (ko) | 사용자 네트워크 프로파일 기반 서비스 제공 방법 | |
| RU2722393C2 (ru) | Телекоммуникационная система для осуществления в ней защищенной передачи данных и устройство, связанное с этой системой | |
| KR20130101665A (ko) | 전산망 보안 관리 시스템, 격실 서버, 및 보안 방법 | |
| KR20240108010A (ko) | 일회성 사용자 접근 토큰을 이용한 서비스 제공 시스템 | |
| CN118118184A (zh) | 一种基于零信任安全的医疗设备远程运维方法、***及装置 | |
| WO2023187310A1 (en) | Applying network access control configurations with a network switch based on device health | |
| CN117768137A (zh) | 远程办公***和在远程办公***中提供安全机制的方法 | |
| CN118157967A (zh) | 远程访问***及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |