CN117155716A - 访问校验方法和装置、存储介质及电子设备 - Google Patents

访问校验方法和装置、存储介质及电子设备 Download PDF

Info

Publication number
CN117155716A
CN117155716A CN202311427543.7A CN202311427543A CN117155716A CN 117155716 A CN117155716 A CN 117155716A CN 202311427543 A CN202311427543 A CN 202311427543A CN 117155716 A CN117155716 A CN 117155716A
Authority
CN
China
Prior art keywords
access
policy
request
strategy
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202311427543.7A
Other languages
English (en)
Other versions
CN117155716B (zh
Inventor
吴岳廷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202311427543.7A priority Critical patent/CN117155716B/zh
Publication of CN117155716A publication Critical patent/CN117155716A/zh
Application granted granted Critical
Publication of CN117155716B publication Critical patent/CN117155716B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种访问校验方法和装置、存储介质及电子设备。该方法包括:获取用于请求访问目标应用站点的访问请求;确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略;在第一访问策略指示允许目标用户账号访问目标应用站点,且第一访问策略满足定期校验条件的情况下,利用第一访问策略的策略特征生成与访问请求相匹配的访问票据申请请求,并将访问票据申请请求发送给协同***服务器;接收协同***服务器返回的访问票据校验结果;根据访问票据校验结果访问目标应用站点。本申请解决了由于访问策略受到客户端所在终端设备自身关联的各个因素的影响,使得验证操作的难度增加,从而导致访问校验准确性降低的技术问题。

Description

访问校验方法和装置、存储介质及电子设备
技术领域
本申请涉及计算机领域,具体而言,涉及一种访问校验方法和装置、存储介质及电子设备。
背景技术
如今协同办公***基本已经在各个企业的办公环境中得到广泛普及,但协同办公***却常常会受到攻击者发起的各种各样的恶意攻击。比如,攻击者会尝试篡改上述***所在终端设备本地写入的访问策略,再配合对终端内组件的逆向分析,来寻找上述***内可利用的访问安全弱点。进一步,攻击者会利用篡改后的访问策略和获取的关键数据,对用于访问上述***的访问票据进行伪造,以绕过***内配置的访问安全验证,从而实现对企业资源进行非授权的违规访问。
目前为了克服上述问题,服务器常常会定期变更下发给客户端的访问策略。但由于访问策略还受到客户端所在终端设备自身关联的各个因素的影响,服务器在对上述访问策略进行是否被恶意篡改的安全验证时,操作难度会大大增加,使得验证结果出现误判,从而导致访问校验的准确性降低的问题。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种访问校验方法和装置、存储介质及电子设备,以至少解决由于访问策略受到客户端所在终端设备自身关联的各个因素的影响,使得验证操作的难度增加,从而导致访问校验准确性降低的技术问题。
根据本申请实施例的一个方面,提供了一种访问校验方法,包括:获取用于请求访问目标应用站点的访问请求;响应于上述访问请求,确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略,其中,上述第一访问策略是从上述协同***客户端对应的协同***服务器接收到的访问策略,且被加密处理后存储在内存中;在上述第一访问策略指示允许上述目标用户账号访问上述目标应用站点,且上述第一访问策略满足定期校验条件的情况下,利用上述第一访问策略的策略特征生成与上述访问请求相匹配的访问票据申请请求,并将上述访问票据申请请求发送给上述协同***服务器;接收上述协同***服务器返回的访问票据校验结果,其中,上述访问票据校验结果为上述协同***服务器利用本地存储的第二访问策略对上述访问票据申请请求所指示的上述第一访问策略进行校验后得到的;根据上述访问票据校验结果访问上述目标应用站点。
根据本申请实施例的另一方面,还提供了一种访问校验装置,包括:第一获取单元,用于获取用于请求访问目标应用站点的访问请求;第一确定单元,用于响应于上述访问请求,确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略,其中,上述第一访问策略是从上述协同***客户端对应的协同***服务器接收到的访问策略,且被加密处理后存储在内存中;校验单元,用于在上述第一访问策略指示允许上述目标用户账号访问上述目标应用站点,且上述第一访问策略满足定期校验条件的情况下,利用上述第一访问策略的策略特征生成与上述访问请求相匹配的访问票据申请请求,并将上述访问票据申请请求发送给上述协同***服务器;接收单元,用于接收上述协同***服务器返回的访问票据校验结果,其中,上述访问票据校验结果为上述协同***服务器利用本地存储的第二访问策略对上述访问票据申请请求所指示的上述第一访问策略进行校验后得到的;访问单元,用于根据上述访问票据校验结果访问上述目标应用站点。
根据本申请实施例的又一方面,还提供了一种计算机可读的存储介质,该计算机可读的存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述访问校验方法。
根据本申请实施例的又一个方面,提供一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行如以上访问校验方法。
根据本申请实施例的又一方面,还提供了一种电子设备,包括存储器和处理器,上述存储器中存储有计算机程序,上述处理器被设置为通过上述计算机程序执行上述的访问校验方法。
在本申请实施例中,获取用于请求访问目标应用站点的访问请求。然后,响应于访问请求,确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略,其中,第一访问策略是从协同***客户端对应的协同***服务器接收到的访问策略,且被加密处理后存储在内存中。进而,在第一访问策略指示允许目标用户账号访问目标应用站点,且第一访问策略满足定期校验条件的情况下,利用第一访问策略的策略特征生成与访问请求相匹配的访问票据申请请求,并将访问票据申请请求发送给协同***服务器。接着,接收协同***服务器返回的访问票据校验结果,其中,访问票据校验结果为协同***服务器利用本地存储的第二访问策略对访问票据申请请求所指示的第一访问策略进行校验后得到的。从而,根据访问票据校验结果访问目标应用站点。换言之,采用本申请实施例,通过采用协同***客户端与协同***服务器,对目标用户账号登录的协同***客户端所缓存的第一访问策略进行二次认证的方式,解决了由于访问策略受到客户端所在终端设备自身关联的各个因素的影响,使得验证操作的难度增加,从而导致访问校验准确性降低的技术问题。实现了降低访问校验的难度、提升访问校验准确性的技术效果。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种可选的访问校验方法的网络架构图;
图2是根据本申请实施例的一种可选的访问校验方法的示意图;
图3是根据本申请实施例的一种可选的访问校验方法的流程图;
图4是根据本申请实施例的一种可选的访问校验方法的示意图;
图5是根据本申请实施例的一种可选的访问校验方法的示意图;
图6是根据本申请实施例的一种可选的访问校验方法的示意图;
图7是根据本申请实施例的一种可选的访问校验方法的示意图;
图8是根据本申请实施例的一种可选的访问校验方法的流程图;
图9是根据本申请实施例的一种可选的访问校验方法的流程图;
图10是根据本申请实施例的一种可选的访问校验装置的结构示意图;
图11是根据本申请实施例的一种可选的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
进一步需要说明的是,本申请的说明书和权利要求书及上述附图中的相关数据收集处理在实例应用时应该严格根据相关国家法律法规的要求,获取个人信息主体的知情同意或单独同意,并在法律法规及个人信息主体的授权范围内,开展后续数据使用及处理行为。
根据本申请实施例的一个方面,提供了一种访问校验方法,可选地,作为一种可选的实施方式,上述访问校验方法可以但不限于应用于如图1所示的网络架构中。如图1所示,上述访问校验方法可以包括以下步骤:S102,发送请求;S104,请求鉴权;S106,发送进程特征,即,协同***客户端将进程特征发送给访问主体;S108,发送访问票据申请请求;S110,进程送检(即,协同***客户端向协同***服务器发送进程校验请求);S112,鉴权响应(即,协同***客户端向访问代理发送鉴权结果);S114,票据请求转发;S116,票据校验请求;S118,发送校验结果;S120,转发访问请求;S122,发送业务资源(即,业务服务器将业务资源发送给智能网关);S124,发送业务资源(即,智能网关将业务资源发送给访问代理);S126,发送业务资源(即,访问代理将业务资源发送给访问主体)。
进一步地,上述访问校验方法所对应的详细执行步骤可以如图2所示,包括:
为了便于对本实施例的理解,首先对网络架构中包括的主体进行介绍:1)协同***客户端202,可以但不限于安装在用户侧所使用的终端设备中,用于验证用户侧的可信度,即将用户侧请求的进程发送给服务器侧,以申请进程检验。2)访问代理204,用于通过TUN/TAP虚拟网卡劫持设备流量。3)协同***服务器206,用于通过访问策略控制引擎对业务流量进行安全调度,按照用户侧-设备侧-软件侧-应用颗粒度授权。其中,协同***服务器中还包括:身份验证模块、设备可信模块以及应用检测模块。具体地,身份验证模块用于对用户侧身份进行验证;设备可信模块用于验证设备硬件信息和设备安全状态;应用检测模块用于检测应用进程是否安全,如,是否存在漏洞、病毒木马等。协同***服务器会向威胁情报云查服务定期发起文件送检,如果识别出恶意进程则通知协同***客户端执行异步阻断操作。4)智能网关208,可以但不限于部署在企业应用程序和数据资源的入口,用于对每个访问企业资源的会话请求进行验证、授权和转发。5)业务服务器210,用于存储企业应用程序和数据资源。6)访问主体212,用于指示在网络中,发起访问的一方,如,访问企业内部资源的请求方。是由用户侧、设备侧、应用侧中的任一个元素组成,或,由用户侧、设备侧、应用侧组合形成的一种数字实体。
步骤S202,(对应于图1中:“S102,发送请求”)访问主体212向访问代理204发送由目标用户账号发送的用于请求访问目标应用站点的访问请求。
步骤S204,(对应于图1中:“S104,请求鉴权”)访问代理204在接收到访问请求的情况下,向协同***客户端202发送访问请求所对应的鉴权请求。
具体而言,访问代理204向协同***客户端202申请当次网络请求的访问凭证。请求参数包括源访问IP(或者域名)、源端口、目的IP(或者域名)、目的端口以及会话原应用进程对应的进程PID。
步骤S206,协同***客户端202在接收到鉴权请求的情况下,确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略,其中,第一访问策略是从协同***客户端对应的协同***服务器接收到的访问策略,且被加密处理后存储在内存中。
步骤S208,(对应于图1中:“S108,发送访问票据申请请求”)协同***客户端202在第一访问策略指示允许目标用户账号访问目标应用站点,且第一访问策略满足定期校验条件的情况下,利用第一访问策略的策略特征生成与访问请求相匹配的访问票据申请请求,并基于流量鉴权时的请求参数(即,原始应用进程PID,应用进程的哈希,进程路径,应用进程可执行文件的最近修改时间,版权信息,数字签名信息等应用特征信息,连同请求参数中的网络请求的源IP或者域名,源端口,目的IP或者域名,目的端口等参数)将访问票据申请请求发送给协同***服务器206。
步骤S210,协同***服务器206对第一访问策略的策略特征及第二访问策略的策略特征进行比对,得到比对结果。
步骤S212,协同***服务器206在比对结果指示第一访问策略与第二访问策略匹配的情况下,获取与访问请求对应的授权访问票据。
步骤S214,协同***服务器206利用授权访问票据生成用于指示访问请求通过访问校验的访问票据校验结果,其中,访问票据校验结果中包括:访问票据、以及访问票据的最大使用次数及有效时间。
步骤S216,协同***服务器206将访问票据校验结果发送给访问代理204。
步骤S218,(对应于是图1中:“S114,票据请求转发”)访问代理204将向智能网关208发送HTTPS网络请求,其中,在网络请求的授权首部字段中携带有访问票据校验结果。
步骤S220,智能网关208在收到网络请求的情况下,对网络请求进行解析,得到访问票据校验结果。
步骤S222,(对应于是图1中:“S116,票据校验请求”)智能网关208将携带有访问票据校验结果的校验请求发送给协同***服务器206。
步骤S224,(对应于是图1中:“S118,发送校验结果”)在协同***服务器206对访问票据校验结果校验成功的情况下,将用于指示校验成功的校验结果发送给智能网关208。
步骤S226,智能网关208在接收到用于指示校验成功的校验结果的情况下,建立与访问代理204之间的网络连接。
步骤S228,智能网关208将用于指示网络连接建立成功的通知消息发送给访问代理204。
步骤S230,(对应于是图1中:“S120,转发访问请求”)在访问代理204接收到用于指示网络连接建立成功的通知消息的情况下,将访问请求通过智能网关208发送给业务服务器210。
步骤S232,(对应于是图1中:“S122,发送业务资源”、“S124,发送业务资源”、“S126,发送业务资源”)在业务服务器210接收到访问请求的情况下,根据访问请求确定目标应用站点,并确定目标用户账号所请求的目标应用站点中的业务资源,进而将业务资源通过智能网关208和访问代理204发送给访问主体212。
在本申请实施例中,获取用于请求访问目标应用站点的访问请求。然后,响应于访问请求,确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略,其中,第一访问策略是从协同***客户端对应的协同***服务器接收到的访问策略,且被加密处理后存储在内存中。进而,在第一访问策略指示允许目标用户账号访问目标应用站点,且第一访问策略满足定期校验条件的情况下,利用第一访问策略的策略特征生成与访问请求相匹配的访问票据申请请求,并将访问票据申请请求发送给协同***服务器。接着,接收协同***服务器返回的访问票据校验结果,其中,访问票据校验结果为协同***服务器利用本地存储的第二访问策略对访问票据申请请求所指示的第一访问策略进行校验后得到的。从而,根据访问票据校验结果访问目标应用站点。换言之,采用本申请实施例,通过采用协同***客户端与协同***服务器,对目标用户账号登录的协同***客户端所缓存的第一访问策略进行二次认证的方式,解决了由于访问策略受到客户端所在终端设备自身关联的各个因素的影响,使得验证操作的难度增加,从而导致访问校验准确性降低的技术问题。实现了降低访问校验的难度、提升访问校验准确性的技术效果。
可选地,在本实施例中,所涉及的终端设备可以是配置有目标客户端的终端设备,可以包括但不限于以下至少之一:手机(如Android手机、iOS手机等)、笔记本电脑、平板电脑、掌上电脑、MID(Mobile Internet Devices,移动互联网设备)、PAD、台式电脑、智能电视等。目标客户端可以是视频客户端、即时通信客户端、浏览器客户端、教育客户端等。上述网络可以包括但不限于:有线网络,无线网络,其中,该有线网络包括:局域网、城域网和广域网,该无线网络包括:蓝牙、WIFI及其他实现无线通信的网络。所涉及的服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
可选地,作为一种可选方案,如图3所示,上述访问校验方法包括:
S302,获取用于请求访问目标应用站点的访问请求。
需要说明的是,上述访问校验方法可以但不限于应用于在用户账号在登录协同***客户端后,对与协同***客户端所对接的企业、机构等任一单位内部的资源进行访问的访问校验场景中。如,用户账号在登录协同***客户端后,通过协同***客户端请求访问某企业内部的应用站点所对应的资源的访问验证场景。
需要说明的是,在上述获取用于请求访问目标应用站点的访问请求之前,上述方法可以但不限于还包括:响应于用于指示目标用户账号登录协同***客户端的登录请求,对登录请求中携带的目标用户账号以及目标用户账号所对应的账号密码进行校验;在上述校验通过的情况下,允许目标用户账号登录协同***客户端;在目标用户账号登录协同***客户端后,从协同***服务器获取与目标用户账号匹配的目标访问策略。其中,在目标用户账号登录至协同***客户端后,如图4所示,在协同***客户端中显示用于提示可以通过协同***客户端访问内部资源的提示信息(即,“欢迎登录协同***客户端!您可通过协同***客户端访问内部资源!”)。
可选地,在本实施例中在上述获取用于请求访问目标应用站点的访问请求之前,上述方法可以但不限于还包括:建立协同***客户端与协同***服务器之间的安全套接层协议(Secure Socket Layer,简称SSL)或传输层安全协议(Transport Layer Security,简称TLS)双向认证;在协同***客户端与协同***服务器分别通过了SSL或TLS双向认证的情况下,确定协同***客户端与协同***服务器之间可以的通信通道被打通。
进一步地,假设上述访问校验方法应用于在用户账号在登录协同***客户端后,对与协同***客户端所对接的企业、机构等任一单位内部的资源进行访问的访问校验场景中。上述目标应用站点可以但不限于用于指示与协同***客户端所对接的企业、机构等任一单位内部的网络站点,在该网络站点中包括上述企业、机构等任一单位的内部资源。
S304,响应于访问请求,确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略,其中,第一访问策略是从协同***客户端对应的协同***服务器接收到的访问策略,且被加密处理后存储在内存中。
需要说明的是,在本实施例中,上述第一访问策略中可以但不限于包括目标用户账号有权限访问的单位内部的应用站点、在该应用站点中有权限访问的单位内部资源、可以访问上述单位内部的应用站点和单位内部资源的时效、可以访问上述单位内部的应用站点和单位内部资源的次数等任一关键信息。在本实施例中对上述第一访问策略的结构并不进行任何限定,具体结构可以由管理侧进行灵活的配置。
可选地,在本实施例中访问策略可以但不限于在指定的策略配置平台中进行配置。策略项中可以但不限于包括可信应用、指定的用户账号分组(可以是单个用户账号或多个用户账号构成的单分组,也可以是由多个单分组构成的大分组)与可访问的资源分组(可以是单个企业资源,也可以是多个企业资源的集合)的对应关系,以及规则生效的限制条件(即指定策略的执行条件,包括网络区域限制、终端环境状态,安全级别、用户账号的访问时间和频率等动态因子)。可以通过策略配置平台中如图5中(a)所示的策略主页中新增访问策略。具体而言,在如图5中(a)中所示的添加访问策略控件被触控的情况下,显示如图5中(b)所示的新增访问策略配置界面,进而通过组合用户账号、应用和资源三个要素实现策略的制定。此外,在策略的配置过程中,还以配置指定的动态因子,例如指定的网络位置或者网络位置切换。还可以是对指定的用户账号组对指定的业务***设置执行访问,禁止或者验证后访问的权限。
进一步地,第一访问策略可以但不限于是利用与协同***客户端所在终端设备匹配的密钥信息进行加密处理后,存储在协同***客户端的内存中的。其中,上述密钥信息可以但不限于包括:协同***客户端当前所在终端设备的软件信息和硬件信息、目标用户账号在协同***客户端中所对应进程的启动时间等信息。在本实施例中,通过将加密后的第一访问策略存储在内存中的方式。避免了由于将访问策略存储在本地存储空间中,导致访问策略被篡改的问题,从而提升了访问校验的准确性。
S306,在第一访问策略指示允许目标用户账号访问目标应用站点,且第一访问策略满足定期校验条件的情况下,利用第一访问策略的策略特征生成与访问请求相匹配的访问票据申请请求,并将访问票据申请请求发送给协同***服务器。
需要说明的是,在本实施例中,上述第一访问策略的策略特征可以但不限于唯一标识第一访问策略。具体而言,上述策略特征可以但不限于包括:第一访问策略的策略ID、第一访问策略的策略版本、第一访问策略的更新时间、第一访问策略的内容哈希值等信息。
可选地,在本实施例中,上述定期校验条件可以但限于用于指示在预定时间间隔,并未接收到目标用户账号所发起的历史访问请求。具体而言,协同***服务器预先向协同***客户端下发定期校验条件,命令协同***客户端在接收到当前用户账号所发起的当前访问请求后,获取当前用户账号发起当前访问请求的时间t1以及当前用户账号最近一次发起访问请求的时间t0。进而确定t0到t1之间的时间间隔,在该时间间隔大于预定时间间隔的情况下,确定第一访问策略满足定期校验条件。在该时间间隔小于预定时间间隔的情况下,确定第一访问策略不满足定期校验条件。
需要说明的是,在上述响应于访问请求,确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略之后,在第一访问策略指示允许目标用户账号访问目标应用站点,且第一访问策略不满足定期校验条件的情况下,生成与访问请求相匹配的访问票据申请请求,并将访问票据申请请求发送给协同***服务器,其中,在访问票据申请请求中并不包括第一访问策略的策略特征。接着,在协同***服务器之后,默认允许本次访问请求。
进一步地,上述定期校验条件还可以用于指示第一访问策略距离上一次被动执行策略更新的时间间隔,大于目标阈值。具体而言,在响确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略之后,获取当前缓存的第一访问策略距离上一次被动执行策略更新的时间间隔;在时间间隔大于目标阈值的情况下,确定第一访问策略满足定期校验条件。
可选地,在上述将访问票据申请请求发送给协同***服务器之后,上述方法还包括:协同***服务器对第一访问策略的策略特征及第二访问策略的策略特征进行比对,得到比对结果;在比对结果指示第一访问策略与第二访问策略匹配的情况下,协同***服务器获取与访问请求对应的授权访问票据;协同***服务器将利用授权访问票据生成用于指示访问请求通过访问校验的访问票据校验结果。
S308,接收协同***服务器返回的访问票据校验结果,其中,访问票据校验结果为协同***服务器利用本地存储的第二访问策略对访问票据申请请求所指示的第一访问策略进行校验后得到的。
需要说明的是,上述授权访问票据可以但不限于用于指示一种访问凭证。具体而言,在授权访问票据的当前使用次数未达到最大使用次数,且授权访问票据还在有效使用时间之内的情况下,目标用户账号可以基于授权访问票据合法地访问目标应用站点。进一步地,上述访问票据校验结果中可以但不限于包括:授权访问票据、授权访问票据的最大使用次数、以及授权访问票据的有效时间等内容。
可选地,在本实施例中,上述第二访问策略可以但不限于用于指示协同***服务器在本地存储的目标用户账号所对应的访问策略。换言之,由于第一访问策略是由协同***服务器分发给协同***客户端的,那么在第一访问策略并未被篡改的情况下,第一访问策略与第二访问策略应当是完全一致的。
S310,根据访问票据校验结果访问目标应用站点。
可选地,作为一种可选的实施方式,假设上述访问校验方法可以但不限于应用于在用户账号在登录协同***客户端后,对企业A内部的资源进行访问的访问校验场景中,由如图6所示的以下步骤对上述方法进行举例说明:
执行步骤S602-S606,协同***客户端602获取用于请求访问企业A内部的网络站点606的访问请求。协同***客户端602响应于访问请求,确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略,其中,第一访问策略是从协同***客户端对应的协同***服务器接收到的访问策略,且被加密处理后存储在内存中。协同***客户端602在第一访问策略指示允许目标用户账号访问网络站点606且第一访问策略满足定期校验条件的情况下,生成携带有第一访问策略的策略ID、第一访问策略的策略版本、第一访问策略的更新时间、第一访问策略的内容哈希值等信息的访问票据申请请求。
接着执行步骤S608,协同***客户端602将访问票据申请请求发送给协同***服务器604。
进而执行步骤S610-S612,协同***服务器604在接收到访问票据申请请求的情况下,对第一访问策略的策略特征及第二访问策略的策略特征进行比对,得到比对结果。进而在比对结果指示第一访问策略与第二访问策略匹配的情况下,协同***服务器获取与访问请求对应的授权访问票据。从而利用授权访问票据生成用于指示访问请求通过访问校验的访问票据校验结果。协同***服务器604将访问票据校验结果发送给协同***客户端602。
然后执行步骤S614-S616,协同***客户端602将携带有访问票据校验结果的访问请求发送给网络站点606。网络站点606在接收到携带有访问票据校验结果的访问请求的情况下,在解析出访问请求中的访问票据校验结果后,将网络站点中包括的有关企业A的内部资源发送给协同***客户端602。
在本申请实施例中,获取用于请求访问目标应用站点的访问请求。然后,响应于访问请求,确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略,其中,第一访问策略是从协同***客户端对应的协同***服务器接收到的访问策略,且被加密处理后存储在内存中。进而,在第一访问策略指示允许目标用户账号访问目标应用站点,且第一访问策略满足定期校验条件的情况下,利用第一访问策略的策略特征生成与访问请求相匹配的访问票据申请请求,并将访问票据申请请求发送给协同***服务器。接着,接收协同***服务器返回的访问票据校验结果,其中,访问票据校验结果为协同***服务器利用本地存储的第二访问策略对访问票据申请请求所指示的第一访问策略进行校验后得到的。从而,根据访问票据校验结果访问目标应用站点。换言之,采用本申请实施例,通过采用协同***客户端与协同***服务器,对目标用户账号登录的协同***客户端所缓存的第一访问策略进行二次认证的方式,解决了由于访问策略受到客户端所在终端设备自身关联的各个因素的影响,使得验证操作的难度增加,从而导致访问校验准确性降低的技术问题。实现了降低访问校验的难度、提升访问校验准确性的技术效果。
可选地,作为一种可选方案,响应于访问请求,确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略包括:
S1,响应于访问请求,在内存中协同***客户端对应的存储空间内查找与目标用户账号匹配的第一访问策略;
可选地,上述在内存中协同***客户端对应的存储空间内查找与目标用户账号匹配的第一访问策略可以但不限于包括:通过目标用户账号的账号标识(如,账号ID)在内存中协同***客户端对应的存储空间内查找携带有目标用户账号的账号标识的访问策略,并将该访问策略确定为第一访问策略。
S2,在查找出第一访问策略的情况下,利用与协同***客户端所在终端设备匹配的密钥信息对第一访问策略进行解密,得到第一访问策略的策略内容及策略特征;
需要说明的是,上述密钥信息中可以但不限于包括:协同***客户端所在终端设备的软件信息和硬件信息、目标用户账号在协同***客户端中所对应进程的启动时间等。
可选地,上述第一访问策略中可以但不限于包括目标用户账号有权限访问的单位内部的应用站点、在该应用站点中有权限访问的单位内部资源、可以访问上述单位内部的应用站点和单位内部资源的时效、可以访问上述单位内部的应用站点和单位内部资源的次数等任一关键信息。在本实施例中对上述第一访问策略的结构并不进行任何限定,具体结构可以由管理侧进行灵活的配置。
进一步地,上述第一访问策略的策略特征可以但不限于唯一标识第一访问策略。具体而言,上述策略特征可以但不限于包括:第一访问策略的策略ID、第一访问策略的策略版本、第一访问策略的更新时间、第一访问策略的内容哈希值等信息。
S3,在并未查找出第一访问策略的情况下,提示拒绝访问请求。
可选地,上述提示拒绝访问请求可以但不限于包括,在协同***客户端中显示用于提示目标应用站点拒绝被目标用户账号访问的提示信息,如,抱歉,您没有权限访问目标应用站点。
可选地,作为一种可选的实施方式,由以下步骤对上述方法进行举例解释说明:
如图7中(a)所示,在协同***客户端中的应用站点列表中的目标应用站点所对应的控件被触控的情况下,获取到目标用户账号所对应的用于请求访问目标应用站点的访问请求。进而响应于访问请求,在内存中协同***客户端对应的存储空间内查找携带有目标用户账号的账号标识的访问策略。
在查找到携带有目标用户账号的账号标识的访问策略的情况下,将该访问策略确定为第一访问策略。进而利用与协同***客户端所在终端设备匹配的密钥信息对第一访问策略进行解密,得到第一访问策略的策略内容及策略特征。
在并未查找出带有目标用户账号的账号标识的访问策略的情况下,确认并未查找出第一访问策略,进而如图7中(b)所示在协同***客户端中显示用于提示目标应用站点拒绝被目标用户账号访问的提示信息(即,抱歉,您没有权限访问目标应用站点)。
在本申请实施例中,响应于访问请求,在内存中协同***客户端对应的存储空间内查找与目标用户账号匹配的第一访问策略。然后,在查找出第一访问策略的情况下,利用与协同***客户端所在终端设备匹配的密钥信息对第一访问策略进行解密,得到第一访问策略的策略内容及策略特征。进而,在并未查找出第一访问策略的情况下,提示拒绝访问请求。换言之,采用本申请实施例,通过将第一访问策略加密后存储在内存中的方式。避免了由于将访问策略存储在本地存储空间中,导致访问策略被篡改的问题,从而提升了访问校验的准确性。
可选地,作为一种可选方案,在利用与协同***客户端所在终端设备对应的密钥信息对第一访问策略进行解密,得到第一访问策略的策略内容及策略特征之后,还包括:
S1,获取当前缓存的第一访问策略距离上一次被动执行策略更新的时间间隔;
S2,在时间间隔大于目标阈值的情况下,确定第一访问策略满足定期校验条件。
需要说明的是,上述被动执行策略更新可以但不限于用于指示,在协同***客户端接收到协同***服务器发送的更新后的第一访问策略后,将内存中存储的第一访问策略更新为更新后的第一访问策略。
作为一种可选的实施方式,假设当前时间为t1,第一访问策略最近依次被动执行可策略的更新的时间为t0,由以下步骤对上述方法进行举例说明:获取当前缓存的第一访问策略上一次被动执行策略更新的时间t0,以及当前t1。进而确定t0到t1之间的时间间隔为t2。进而,确定t2是否大于目标阈值,并在t2大于目标阈值的情况下,确定第一访问策略满足定期校验条件。
在本申请实施例中,利用与协同***客户端所在终端设备对应的密钥信息对第一访问策略进行解密,得到第一访问策略的策略内容及策略特征之后获取当前缓存的第一访问策略距离上一次被动执行策略更新的时间间隔。进而,在时间间隔大于目标阈值的情况下,确定第一访问策略满足定期校验条件。从而利用第一访问策略的策略特征生成与访问请求相匹配的访问票据申请请求,并将访问票据申请请求发送给协同***服务器。换言之,采用本申请实施例,在第一访问策略很久没有被更新的情况下,将第一访问策略的策略特征发送给协同***服务器,进而使得协同***服务器通过第一访问策略的策略特征确定第一访问策略是否被篡改。在第一访问策略近期刚被更新过的情况下,第一访问策略被篡改的几率较小,那么则无需将第一访问策略的策略特征发送给协同***服务器,协同***服务器也无需校验第一访问策略是否被篡改。从而在保证了访问校验准确性的基础上,还大大提升了访问校验的效率。
可选地,作为一种可选方案,利用第一访问策略的策略特征生成与访问请求相匹配的访问票据申请请求包括:
S1,获取访问请求的请求参数;
S2,基于请求参数和第一访问策略的策略特征生成访问票据申请请求。
可选地,在本实施例中,上述请求参数中包括有关上述访问请求的网络参数。具体而言,上述请求参数中可以但不限于包括:访问请求的源IP、访问请求的源域名,访问请求的源端口,访问请求的目的IP、域名,访问请求的目的端口等参数。
在本申请实施例中,获取访问请求的请求参数,基于请求参数和第一访问策略的策略特征生成访问票据申请请求。从而使得协同***服务器通过第一访问策略的策略特征确定第一访问策略是否被篡改。进而实现了提升访问校验准确性的技术效果。
可选地,作为一种可选方案,在获取用于请求访问目标应用站点的访问请求之前,还包括:
S1,从协同***服务器获取与目标用户账号匹配的目标访问策略;
S2,利用与协同***客户端所在终端设备匹配的密钥信息对目标访问策略进行加密,得到第一访问策略;
S3,将第一访问策略存储到内存中,并对第一访问策略进行压缩保护处理。
可选地,上述从协同***服务器获取与目标用户账号匹配的目标访问策略可以但不限于包括:在目标用户账号登录的协同***客户端时,从协同***服务器获取与目标用户账号匹配的目标访问策略;或,在接收到协同***服务器所发送的目标访问策略更新通知提示信息后,从协同***服务器获取与目标用户账号匹配的目标访问策略。其中,上述通知提示信息用于提示协同***服务器已将目标访问策略更新,协同***客户端需获取最新的目标访问策略。
进一步地,上述利用与协同***客户端所在终端设备匹配的密钥信息对目标访问策略进行加密,得到第一访问策略可以但不限于包括:利用协同***客户端当前所在终端设备的软件信息和硬件信息、目标用户账号在协同***客户端中所对应进程的启动时间等信息,对目标访问策略进行加密,得到第一访问策略。
需要说明的是,上述将第一访问策略存储到内存中,并对第一访问策略进行压缩保护处理可以但不限于包括:将第一访问策略存储到内存中,并对第一访问策略进行加壳保护处理,其中,加壳处理用于指示通过在原始可执行程序上添加额外的保护层,来实现对可执行程序进行保护的一种程序保护措施。上述保护层会将原程序的代码和数据进行加密、压缩或者混淆,以增加攻击者分析程序逻辑和挖掘软件漏洞的难度。
在本申请实施例中,从协同***服务器获取与目标用户账号匹配的目标访问策略。然后,利用与协同***客户端所在终端设备匹配的密钥信息对目标访问策略进行加密,得到第一访问策略。进而,将第一访问策略存储到内存中,并对第一访问策略进行压缩保护处理。换言之,在本申请实施例中,通过采用将第一访问策略加密后存储在内存中的方式,避免了由于将访问策略存储在本地存储空间中,导致访问策略被篡改的问题,从而提升了访问校验的准确性。
可选地,作为一种可选方案,在从协同***服务器获取与目标用户账号匹配的目标访问策略之后,还包括:
S1,确定与目标访问策略相适配的存储空间大小;
S2,按照存储空间大小在协同***客户端本地生成与目标访问策略对应的伪策略文件,其中,伪策略文件用于干扰非授权用户账号对目标访问策略执行的策略修改操作。
需要说明的是,上述伪策略文件中可以但不限于包括:与目标访问策略相关的伪造信息(如,目标用户账号可以访问的伪造企业内部资源列表等) 、协同***服务器下发非关键企业资源(如,公开的企业资源等)。
作为一种可选的实施方式,由以下步骤对上述方法进行举例解释说明:确定目标访问策略所对应的文件占用存储大小。按照存储空间大小在协同***客户端本地,生成与目标访问策略相关的伪造信息以及协同***服务器下发非关键企业资源。进而,将上述与目标访问策略相关的伪造信息以及协同***服务器下发非关键企业资源进行加密处理,得到与目标访问策略对应的伪策略文件。然后,将与目标访问策略对应的伪策略文件存储在协同***客户端本地的存储空间中。
在本申请实施例中,确定与目标访问策略相适配的存储空间大小。按照存储空间大小在协同***客户端本地生成与目标访问策略对应的伪策略文件,其中,伪策略文件用于干扰非授权用户账号对目标访问策略执行的策略修改操作。换言之,在本申请实施例中,通过采用在协同***客户端本地存储与目标访问策略的大小相当的伪策略文件的方式,达到了干扰非授权用户账号对目标访问策略执行的策略修改操作。从而实现了提升访问校验准确性的技术效果。
可选地,作为一种可选方案,按照存储空间大小在协同***客户端本地生成与目标访问策略对应的伪策略文件包括:
S1,按照存储空间大小生成缺省内容的伪策略文件;
S2,从目标访问策略中识别出第一策略信息,其中,第一策略信息用于指示允许直接访问的资源信息列表;
S3,将第一策略信息按照第一内容写入方式写入伪策略文件,其中,第一内容写入方式包括:将第一策略信息以明文内容写入,或者,将第一策略信息按照第一加密级别的加密方式加密处理后写入。
可选地,上述按照存储空间大小生成缺省内容的伪策略文件可以但不限于包括:按照存储空间大小随机生成默认的伪策略文件。需要说明的是,上述允许直接访问的资源信息列表可以但不限于用于指示目标访问策略中包括的公开的资源列表。上述按照第一加密级别的加密方式可以但不限于包括:电子密码本(Electric Codebook,简称ECB)加密方式,或,其他的简单的对称加密方式,在本实施例中对此并不进行任何限定。
进一步地,上述将第一策略信息按照第一内容写入方式写入伪策略文件可以但不限于包括:直接将第一策略信息确定为第一类文件,进而将第一类文件写入伪策略文件中;或者,将第一策略信息按照第一加密级别的加密方式加密处理得到第一类文件,进而将第一类文件写入伪策略文件中。
在本申请实施例中,按照存储空间大小生成缺省内容的伪策略文件。然后,从目标访问策略中识别出第一策略信息,其中,第一策略信息用于指示允许直接访问的资源信息列表。进而,将第一策略信息按照第一内容写入方式写入伪策略文件,其中,第一内容写入方式包括:将第一策略信息以明文内容写入,或者,将第一策略信息按照第一加密级别的加密方式加密处理后写入。换言之,在本申请实施例中,通过采用在协同***客户端本地存储与目标访问策略的大小相当的伪策略文件的方式,达到了干扰非授权用户账号对目标访问策略执行的策略修改操作。从而实现了提升访问校验准确性的技术效果。
可选地,作为一种可选方案,在按照存储空间大小生成缺省内容的伪策略文件之后,还包括:
在按照目标访问策略中的第一策略信息进行访问但访问失败的情况下,获取第二策略信息,其中,第二策略信息用于指示允许尝试访问但并未授权访问的资源信息列表;
对第二策略信息按照第二内容写入方式写入伪策略文件,其中,第二内容写入方式包括:在第二策略信息中添加干扰字符后写入,或者,将第二策略信息按照第二加密级别的加密方式加密处理后写入;其中,第一加密级别低于第二加密级别。
举例而言,在非授权用户账号在通过对伪策略文件中包括的第一类文件进行解析得到第一策略信息,并访问第一策略信息中包括的资源列表但访问失败的情况下,将上述资源类表确定为第二策略信息。进而在第二策略信息中添加干扰字符后写入,或者,将第二策略信息按照第二加密级别的加密方式加密处理后写入伪策略文件。
在本申请实施例中,在按照目标访问策略中的第二策略信息进行访问但访问失败的情况下,获取第二策略信息,其中,第二策略信息用于指示允许尝试访问但并未授权访问的资源信息列表。然后,对第二策略信息按照第二内容写入方式写入伪策略文件,其中,第二内容写入方式包括:在第二策略信息中添加干扰字符后写入,或者,将第二策略信息按照第二加密级别的加密方式加密处理后写入;其中,第一加密级别低于第二加密级别。换言之,在本申请实施例中,通过采用在协同***客户端本地存储与目标访问策略的大小相当的伪策略文件的方式,达到了干扰非授权用户账号对目标访问策略执行的策略修改操作。从而实现了提升访问校验准确性的技术效果。
可选地,作为一种可选方案,在按照存储空间大小在协同***客户端本地生成与目标访问策略对应的伪策略文件之后,还包括:
获取文件操作请求;
在文件操作请求指示对伪策略文件执行读写操作的情况下,确定触发文件操作请求的目标处理进程的进程标识;
在进程标识位于第一访问策略中包含的访问白名单的情况下,允许对伪策略文件执行读写操作。
需要说明的是,上述第一访问策略中包含的访问白名单中可以但不限于包括:已授权用户账号的账号标识(如,用户账号的账号ID等)、协同***客户端的客户端标识(如,协同***客户端的客户端ID等)。
进一步地,上述在进程标识位于第一访问策略中包含的访问白名单的情况下,允许对伪策略文件执行读写操作可以但不限于包括:在文件操作请求的发起方为用户账号的情况下,通过进程标识确定发起进程的用户账号的账号标识。进而,在确定上述账号标识位于访问白名单中的情况下,允许对伪策略文件执行读写操作;或,在文件操作请求的发起方为客户端的情况下,通过进程标识确定发起进程的客户端所对应的客户端标识。进而,在确定上述客户端标识位于访问白名单中的情况下,允许对伪策略文件执行读写操作。
在本申请实施例中,获取文件操作请求。然后,在文件操作请求指示对伪策略文件执行读写操作的情况下,确定触发文件操作请求的目标处理进程的进程标识。在进程标识位于第一访问策略中包含的访问白名单的情况下,允许对伪策略文件执行读写操作。换言之,在本申请实施例中,通过提供访问白名单的方式,使得已授权用户账号或协同***客户端自身能够对伪策略文件执行读写操作。从而达到进一步干扰非授权用户账号,使得非授权用户账号将伪策略文件确定为第一访问策略的文件的目的。进而避免第一访问策略被非授权用户账号篡改的问题,实现了提升访问校验准确性的技术效果。
可选地,作为一种可选方案,在确定触发文件操作请求的处理进程的进程标识之后,还包括:
在进程标识并非位于访问白名单的情况下,按照与目标处理进程相匹配的干预操作优先级,对目标处理进程执行干预操作,其中,干预操作用于中止目标处理进程对伪策略文件执行的读写操作。
需要说明的是,上述干预操作优先级可以但不限于与目标处理进程所对应的文件操作请求的请求类型有关,具体而言,请求对伪策略文件执行读取操作的目标处理进程的干预操作优先级,低于对伪策略文件执行写入操作的目标处理进程的干预操作优先级。不同干预操作优先级下所对应干预操作,中止目标处理进程对伪策略文件执行的读写操作的所采用的方式也不同。
举例而言,假设请求对伪策略文件执行读取操作的目标处理进程A的干预操作优先级为一级;对伪策略文件执行写入操作的目标处理进程B的干预操作优先级为二级。那么对目标处理进程A的干预操作可以为告警,对目标处理进程B的干预操作可以为断网。
在本申请实施例中,在进程标识并非位于访问白名单的情况下,按照与目标处理进程相匹配的干预操作优先级,对目标处理进程执行干预操作,其中,干预操作用于中止目标处理进程对伪策略文件执行的读写操作。换言之,在本申请实施例中,通过在检测到未授权的进程访问伪策略文件的情况下,对该进程进行敢于操作的方式,达到了在非授权用户账号还未对访问策略造成威胁的情况下,及时确定非授权用户账号。从而源头上避免了非授权用户账号对访问策略篡改的问题,从而实现了提升访问校验准确性的技术效果。
可选地,作为一种可选方案,根据访问票据校验结果访问目标应用站点包括:
在访问票据校验结果中携带有与访问请求对应的授权访问票据的情况下,确定访问请求通过访问校验,并利用授权访问票据访问目标应用站点;
在访问票据校验结果中并未携带有与访问请求对应的授权访问票据的情况下,确定访问请求并未通过访问校验,并提示拒绝访问请求。
需要说明的是,在本申请实施例中,上述授权访问票据可以但不限于为一种由协同***服务器所提供的访问凭证。具体而言,在授权访问票据的当前使用次数未达到最大使用次数,且授权访问票据还在有效使用时间之内的情况下,目标用户账号可以基于授权访问票据合法地访问目标应用站点。进一步地,上述访问票据校验结果中可以但不限于包括:授权访问票据、授权访问票据的最大使用次数、以及授权访问票据的有效时间等内容。
在申请实施例中,在访问票据校验结果中携带有与访问请求对应的授权访问票据的情况下,确定访问请求通过访问校验,并利用授权访问票据访问目标应用站点。然后,在访问票据校验结果中并未携带有与访问请求对应的授权访问票据的情况下,确定访问请求并未通过访问校验,并提示拒绝访问请求。换言之,采用本申请实施例,通过协同***客户端与协同***服务器,对目标用户账号登录的协同***客户端所缓存的第一访问策略进行二次认证。在协同***服务器对第一访问策略未验证通过,且并未向协同***客户端提供授权访问票据的情况下,拒绝目标用户账号的访问。在协同***服务器对第一访问策略的验证通过,且向协同***客户端提供了授权访问票据的情况下,允许目标用户账号的访问目标应用站点。进而解决了由于访问策略受到客户端所在终端设备自身关联的各个因素的影响,使得验证操作的难度增加,从而导致访问校验准确性降低的技术问题。实现了降低访问校验的难度、提升访问校验准确性的技术效果。
可选地,作为一种可选方案,在将访问票据申请请求发送给协同***服务器之后,还包括:
协同***服务器对第一访问策略的策略特征及第二访问策略的策略特征进行比对,得到比对结果;
在比对结果指示第一访问策略与第二访问策略匹配的情况下,协同***服务器获取与访问请求对应的授权访问票据;
协同***服务器将利用授权访问票据生成用于指示访问请求通过访问校验的访问票据校验结果。
可选地,在本实施例中,上述第二访问策略可以但不限于用于指示协同***服务器在本地存储的目标用户账号所对应的访问策略。换言之,由于第一访问策略是由协同***服务器分发给协同***客户端的,那么在第一访问策略并未被篡改的情况下,第一访问策略与第二访问策略应当是完全一致的。
进一步地,上述第一访问策略的策略特征可以但不限于唯一标识第一访问策略。具体而言,上述策略特征可以但不限于包括:第一访问策略的策略ID、第一访问策略的策略版本、第一访问策略的更新时间、第一访问策略的内容哈希值等信息。
相应地,上述第二访问策略的策略特征可以但不限于唯一标识第二访问策略。具体而言,上述策略特征可以但不限于包括:第二访问策略的策略ID、第二访问策略的策略版本、第二访问策略的更新时间、第二访问策略的内容哈希值等信息。
需要说明的是,上述协同***服务器将利用授权访问票据生成用于指示访问请求通过访问校验的访问票据校验结果可以但不限于包括:协同***服务器将利用授权访问票据、授权访问票据的最大使用次数、以及授权访问票据的有效时间生成用于指示访问请求通过访问校验的访问票据校验结果。
可选地,在本申请实施例中,在上述协同***服务器对第一访问策略的策略特征及第二访问策略的策略特征进行比对,得到比对结果之后,上述方法还包括:在协同***服务器在确定协同***客户端当前缓存的第一访问策略距离上一次被动执行策略更新的时间间隔小于第一阈值的情况下,将用于指示第一访问策略的版本ID低于第二访问策略的版本ID(即,第一访问策略为第二访问策略的旧版本)的比对结果,确定为第一访问策略与第二访问策略是相互匹配的。换言之,在本实施例中,通过在协同***服务器中设置容错机制,避免了由于协同***客户端还未及时将更新后的第一访问策略写入内存,所导致的策略特征进行比对存在误差的技术问题。
作为一种可选的实施方式,由如图8所示的以下步骤对上述方法进行举例解释说明:
执行步骤S802,协同***服务器在本地查找目标用户账号所对应的访问策略,并将该访问策略确定为第二访问策略,进而得到第二访问策略的策略特征,其中包括:第二访问策略的策略ID、第二访问策略的策略版本、第二访问策略的更新时间、第二访问策略的内容哈希值。
然后执行步骤S804,通过解析协同***客户端所发送的访问票据申请请求,得到第一问策略的策略特征,其中包括:第一访问策略的策略ID、第一访问策略的策略版本、第一访问策略的更新时间、第一访问策略的内容哈希值。
接着执行步骤S806,对第一访问策略的策略特征与第二访问策略的策略特征进行比对,确定第一访问策略的策略特征与第二访问策略的策略特征是否一致。具体而言,分别对第一访问策略的策略ID与第二访问策略的策略ID进行比对,对第一访问策略的策略版本与第二访问策略的策略版本进行比对,对第一访问策略的更新时间于第二访问策略的更新时间进行比对,对第一访问策略的内容哈希值与第二访问策略的内容哈希值进行比对。
在第一访问策略的策略特征与第二访问策略的策略特征一致的情况下,执行步骤S808-1,获取与访问请求对应的授权访问票据,并利用授权访问票据、授权访问票据的最大使用次数、以及授权访问票据的有效时间生成用于指示访问请求通过访问校验的访问票据校验结果。
在第一访问策略的策略特征与第二访问策略的策略特征不一致的情况下,执行步骤S808-2,生成用于指示访问请求未通过访问校验的访问票据校验结果。
在本申请实施例中,协同***服务器对第一访问策略的策略特征及第二访问策略的策略特征进行比对,得到比对结果。然后,在比对结果指示第一访问策略与第二访问策略匹配的情况下,协同***服务器获取与访问请求对应的授权访问票据。接着,协同***服务器将利用授权访问票据生成用于指示访问请求通过访问校验的访问票据校验结果。换言之,在本申请实施例中,通过协同***服务器对第一访问策略进行二次校验的方式,避免了由于将第一访问策略被篡改,所导致访问校验不准确的技术问题。从而实现了提升访问校验准确性的技术效果。
作为一种可选的实施方式,假设上述访问校验方法应用于在用户账号在登录协同***客户端后,对与协同***客户端所对接的企业内部资源进行访问的访问校验场景中,由如图9所示的以下步骤对上述方法进行整体的举例解释说明:
需要说明的是,本实施例的实施例可以但不限于基于以下两个前提:
前提一:在协同***客户端基于零信任访问策略(从协同***服务器而来)针对访问会话进行过滤后,筛选出针对企业资源的访问会话。然后,向后端服务器发起访问票据申请。后端服务器在响应访问票据之前,会确保基于最新零信任访问策略对申请访问票据的访问会话的相关参数(包括五元组,设备信息,用户信息等)执行严格的安全策略验证和身份授权检查。
具体而言,零信任访问策略由管理员在管理端生成后,经由协同***服务器同步到协同***客户端。在具体策略的执行时不是由协同***客户端进行访问流量的判定,而是由协同***客户端与后端配合进行零信任访问策略的过滤与校验。当访问代理劫持到访问主体发起的流量后,协同***客户端根据服务端下发的最新访问策略对流量的特征(主要是五元组,即网络会话相关的源IP地址,源端口,目的IP地址,目的端口和传输层协议)进行比对,确定当前用户和发起流量的应用具备指定企业资源的访问权限后,才会将向协同***服务器发起票据申请。协同***服务器在接收到票据申请请求时,会基于管理员配置的访问策略执行严格的完整策略验证和身份授权检查以验证访问主体的权限,确认无误后才会响应访问票据。通过这种方式,即使协同***客户端判定错误,协同***服务器也能基于最新的访问策略进行权限判定。也就是说,在这个过程中,协同***客户端与协同***服务器均校验了访问策略。
前提二:建立协同***客户端与协同***服务器之间的安全套接层协议(SecureSocket Layer,简称SSL)或传输层安全协议(Transport Layer Security,简称TLS)双向认证;在协同***客户端与协同***服务器分别通过了SSL或TLS双向认证的情况下,确定协同***客户端与协同***服务器之间可以的通信通道被打通。
步骤S902,协同***客户端通过安全的通信链路从协同***服务器拉取到当前最新的零信任访问策略(即,目标访问策略)后不将真实的访问策略存储在本地,而是将零信任访问策略加密加壳处理后得到的第一访问策略存储在协同***客户端的内存中。
需要说明的是,在将第一访问策略存储在协同***客户端的内存的同时,协同***客户端还会将与第一访问策略的策略特征(如,策略ID,版本、更新时间,内容哈希等)加密加壳处理后存储在内存中。其中,针对零信任访问策略(目标访问策略)的关键处理逻辑加壳处理推荐带有反调试和反逆向的功能,这样在运行时会检测并阻止调试器和逆向工程等工具的使用,提高应用程序的安全性,增加分析程序逻辑和挖掘软件漏洞的难度。
进一步地,对目标访问策略以及策略特征进行加密处理所使用的密钥信息包括当前设备的软硬件信息,以及进程的启动时间。相应地,在对第一访问策略和策略特征进行解密时所采用的密钥信息也包括当前设备的软硬件信息,以及进程的启动时间。在第一访问策略使用完毕后,应当将第一访问策略和策略特征在内存中删除。
步骤S904,在协同***客户端接收到目标用户账号发起的用于请求访问目标应用站点的访问请求的情况下,确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略。
步骤S906,在第一访问策略指示允许目标用户账号访问目标应用站点,且第一访问策略满足定期校验条件的情况下, 利用第一访问策略的策略特征生成与访问请求相匹配的访问票据申请请求。
需要说明的是,访问票据申请请求中除了包括第一访问策略的策略特征外,还包括上述访问请求所对应的请求参数。其中,上述请求参数包括:访问请求对应的五元组(如,源IP或域名、源端口、目的IP或域名、目的端口以及会话应用进程对应的进程的特征信息等)、目的端口以及会话应用进程对应的进程的特征信息(如,应用进程的哈希、进程路径、应用进程可执行文件的最近修改时间、版权信息、数字签名信息等)。
步骤S908,协同***客户端将访问票据申请请求发送给协同***服务器。
步骤S910,根据访问票据校验结果访问目标应用站点。
需要说明的是,在本实施例中,协同***服务器会预先向协同***客户端下发规则,具体而言,该规则要求协同***客户端,在当前时间与上一次向协同***服务器发送了携带有策略特征的访问票据申请请求的时间之间的时间间隔大于阈值的情况下,在本次请求中需要携带策略特征。如果协同***客户端发送的请求中没有携带策略特征信息,则协同***服务端认证请求不合法,且不响应访问票据。
进一步地,在协同***服务器收到请求中携带策略特征后,会对该策略特征与本地存储的目标用户账号所对应的策略特征进行比对。如果发现不一致,协同***服务端将拒绝访问票据的申请。需要说明的是,在本实施例中存在一种容错机制,具体而言,假设协同***服务器在时间点T1对目标访问策略进行了更新后,将最新的目标访问策略同步给假设协同***客户端,上述同步的过程将耗费一定的时间。协同***客户端可能在时间T2(T2>T1)是才能同步拉取到最新的策略,[T1,T2)这个区间段内,协同***服务端会启用容错机制。具体而言,在[T1,T2)内,协同***服务端会将协同***客户端报的策略特征信息中是旧的策略ID,版本等也是合法的,只有超出一定时间后,若协同***客户端上报的策略与协同***服务端下发的策略不一致,才认定异常。
需要说明的是,在协同***客户端负责零信任访问策略的进程启动时,或,零信任策略发生变更时,均由协同***客户端通过可信的网络链路向服务端拉取到最新的零信任策略。只有零信任策略拉取成功,在内存中存在一份可用的策略,零信任网络访问才有可能正常运行,否则零信任策略拉取失败后,不会执行正确的零信任网络访问。进而,零信任策略拉取成功后,协同***服务端则可以由协同***客户端上报的策略特征信息判定客户端执行的策略版本与实际下发至当前登录用户的策略版本是否一致(ID和版本,以及内容哈希均一致),如果不一致,即使协同***客户端负责执行零信任访问策略的进程内存中存在一份可用的零信任策略,也会被服务端拒绝响应合法的访问票据。
进一步地,在本实施例中,还提供了一种主动防御策略篡改的干预机制,该机制的具体内容如下所示:
当向协同***客户端下发新的零信任访问策略,将真实的策略内容及策略特征信息加密存储在内存中,不执行本地文件的落地(即使执行加密文件的刷入。攻击者通过监测协同***客户端进程的读写,也会检测到文件的写入操作,进而对策略文件进行各种形式的攻击)。因而,协同***客户端在接收到协同***服务器的访问策略后,可以适配真实策略的内容大小基于协同***服务器下发的特定低敏感度的企业资源(或者直接是伪造的企业的资源列表)生成若干用明文存储,或采用简单密钥,结合低保密级别的加密算法或简单对称加密模式(例如ECB模式)对企业资源进行加密后存储。
特别地,这类文件中存储一些低敏感资源或伪造数据的访问权限规则,可以区分出不同的文件分别存储“有权访问”的企业资源信息,以及“尝试访问但无权访问”的企业资源信息。例如,有权访问的文件(简称A类文件)这类数据表示允许访问的确定的企业资源列表,而无权访问的文件(简称B类文件)则表示当前用户账号尝试访问但是访问失败的列表。除此之外,这类文件包括一部分无法解密或分析的乱码二进制内容用于迷惑攻击者,目的是让攻击者可以拿到其中一部分信息,而另外一些(其实是无用)信息特意隐藏,增强迷惑性的同时,也避免因为内容过于简单明显而暴露出这类文件的真实目的。
接着,协同***客户端的内核驱动服务将持续监测设备内所有进程对这些本地文件的读取和写入操作,其中协同***客户端自身的进程对这些文件的读写操作默认是合法的。除了协同***客户端自身的进程外协同***服务器还可以通过下发安全策略指定对这类文件读写的进程白名单。除了协同***客户端自身的进程外,在进程白名单中的进程列表对这类文件的读写操作默认是合法的。进程白名单指定了读写这类文件视为合法的进程特征信息,包括数字签名,进程所在目录特征,版权信息等。
进一步地,当策略发生变更,访问主体发起网络访问或者协同***客户端相关进程启动时,均会有读取上述本地文件的操作。特别地,当协同***客户端识别出访问主体尝试发出的无权访问的企业资源时,会读取上述B类文件(类似地,当识别出有权访问企业资源时,协同***客户端会选择随机读取A类文件),并事后写入相关信息,可以是更新文件中的无法解密或分析的乱码二进制内容。让攻击者以为此类文件直接影响到网络访问的结果。当协同***客户端的内核驱动服务检测到这类文件被除进程白名单之外的进程读取或者写入,则会基于协同***服务器下发的安全规则执行告警上报,或包括退登,要求终端用户账号二次登录、设备断网等干预措施。
在本实施例中,通过将第一访问策略加密后存储在内存中的方式。避免了由于将访问策略存储在本地存储空间中,导致访问策略被篡改的问题。通过采用协同***客户端与协同***服务器,对目标用户账号登录的协同***客户端所缓存的第一访问策略进行二次认证的方式,解决了由于访问策略受到客户端所在终端设备自身关联的各个因素的影响,使得验证操作的难度增加,从而导致访问校验准确性降低的技术问题。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
根据本申请实施例的另一个方面,还提供了一种用于实施上述访问校验方法的访问校验装置。如图10所示,该装置包括:
第一获取单元1002,用于获取用于请求访问目标应用站点的访问请求;
第一确定单元1004,用于响应于访问请求,确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略,其中,第一访问策略是从协同***客户端对应的协同***服务器接收到的访问策略,且被加密处理后存储在内存中;
校验单元1006,用于在第一访问策略指示允许目标用户账号访问目标应用站点,且第一访问策略满足定期校验条件的情况下,利用第一访问策略的策略特征生成与访问请求相匹配的访问票据申请请求,并将访问票据申请请求发送给协同***服务器;
接收单元1008,用于接收协同***服务器返回的访问票据校验结果,其中,访问票据校验结果为协同***服务器利用本地存储的第二访问策略对访问票据申请请求所指示的第一访问策略进行校验后得到的;
访问单元1010,用于根据访问票据校验结果访问目标应用站点。
可选地,在本实施例中,上述第一确定单元包括:第一查找模块,用于响应于访问请求,在内存中协同***客户端对应的存储空间内查找与目标用户账号匹配的第一访问策略;第一解密模块,用于在查找出第一访问策略的情况下,利用与协同***客户端所在终端设备匹配的密钥信息对第一访问策略进行解密,得到第一访问策略的策略内容及策略特征;第一提示模块,用于在并未查找出第一访问策略的情况下,提示拒绝访问请求。
可选地,在本实施例中,上述装置还包括:第二获取单元,用于获取当前缓存的第一访问策略距离上一次被动执行策略更新的时间间隔;第二确定单元,用于在时间间隔大于目标阈值的情况下,确定第一访问策略满足定期校验条件。
可选地,在本实施例中,上述校验单元包括:第一获取模块,用于获取访问请求的请求参数;第一生成单元,用于基于请求参数和第一访问策略的策略特征生成访问票据申请请求。
可选地,在本实施例中,上装置还包括:第三获取单元,用于从协同***服务器获取与目标用户账号匹配的目标访问策略;第一加密单元,用于利用与协同***客户端所在终端设备匹配的密钥信息对目标访问策略进行加密,得到第一访问策略;第一存储单元,用于将第一访问策略存储到内存中,并对第一访问策略进行压缩保护处理。
可选地,在本实施例中,上述装置还包括:第三确定单元,用于确定与目标访问策略相适配的存储空间大小;第二生成单元,按照存储空间大小在协同***客户端本地生成与目标访问策略对应的伪策略文件,其中,伪策略文件用于干扰非授权用户账号对目标访问策略执行的策略修改操作。
可选地,在本实施例中,上述第二生成单元还用于利按照存储空间大小生成缺省内容的伪策略文件;从目标访问策略中识别出第一策略信息,其中,第一策略信息用于指示允许直接访问的资源信息列表;将第一策略信息按照第一内容写入方式写入伪策略文件,其中,第一内容写入方式包括:将第一策略信息以明文内容写入,或者,将第一策略信息按照第一加密级别的加密方式加密处理后写入。
可选地,在本实施例中,上述装置还包括: 第四获取单元,用于在按照目标访问策略中的第一策略信息进行访问但访问失败的情况下,获取第二策略信息,其中,第二策略信息用于指示允许尝试访问但并未授权访问的资源信息列表;第一写入单元,用于对第二策略信息按照第二内容写入方式写入伪策略文件,其中,第二内容写入方式包括:在第二策略信息中添加干扰字符后写入,或者,将第二策略信息按照第二加密级别的加密方式加密处理后写入;其中,第一加密级别低于第二加密级别。
可选地,在本实施例中,上述装置还包括:第五获取单元,用于获取文件操作请求;第四确定单元,用于在文件操作请求指示对伪策略文件执行读写操作的情况下,确定触发文件操作请求的目标处理进程的进程标识;在进程标识位于第一访问策略中包含的访问白名单的情况下,允许对伪策略文件执行读写操作。
可选地,在本实施例中,上述装置还包括:第一操作单元,用于在进程标识并非位于访问白名单的情况下,按照与目标处理进程相匹配的干预操作优先级,对目标处理进程执行干预操作,其中,干预操作用于中止目标处理进程对伪策略文件执行的读写操作。
可选地,在本实施例中,上述访问单元包括:第五确定单元,用于在访问票据校验结果中携带有与访问请求对应的授权访问票据的情况下,确定访问请求通过访问校验,并利用授权访问票据访问目标应用站点;第六确定单元,用于在访问票据校验结果中并未携带有与访问请求对应的授权访问票据的情况下,确定访问请求并未通过访问校验,并提示拒绝访问请求。
可选地,在本实施例中,上述装置还包括:第一比对单元,用于对第一访问策略的策略特征及第二访问策略的策略特征进行比对,得到比对结果;第六获取单元,用于在比对结果指示第一访问策略与第二访问策略匹配的情况下,获取与访问请求对应的授权访问票据;第三生成单元,用于利用授权访问票据生成用于指示访问请求通过访问校验的访问票据校验结果。
需要说明的是,本实施例中的具体示例请参考以上访问校验方法中所示示例,在此处不再进行赘述。
根据本申请实施例的又一个方面,还提供了一种用于实施上述访问校验方法的电子设备,本实施例以该电子设备为终端为例来说明。如图11所示,该电子设备包括存储器1102和处理器1104,该存储器1102中存储有计算机程序,该处理器1104被设置为通过计算机程序执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述电子设备可以位于计算机网络的多个网络设备中的至少一个网络设备。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,获取用于请求访问目标应用站点的访问请求;
S2,响应于访问请求,确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略,其中,第一访问策略是从协同***客户端对应的协同***服务器接收到的访问策略,且被加密处理后存储在内存中;
S3,在第一访问策略指示允许目标用户账号访问目标应用站点,且第一访问策略满足定期校验条件的情况下,利用第一访问策略的策略特征生成与访问请求相匹配的访问票据申请请求,并将访问票据申请请求发送给协同***服务器;
S4,接收协同***服务器返回的访问票据校验结果,其中,访问票据校验结果为协同***服务器利用本地存储的第二访问策略对访问票据申请请求所指示的第一访问策略进行校验后得到的;
S5,根据访问票据校验结果访问目标应用站点。
可选地,本领域普通技术人员可以理解,图11所示的结构仅为示意,电子设备也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile Internet Devices,MID)、PAD等终端设备。图11其并不对上述电子设备的结构造成限定。例如,电子设备还可包括比图11中所示更多或者更少的组件(如网络接口等),或者具有与图11所示不同的配置。
其中,存储器1102可用于存储软件程序以及模块,如本申请实施例中的访问校验方法和装置对应的程序指令/模块,处理器1104通过运行存储在存储器1102内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的访问校验方法。存储器1102可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器1102可进一步包括相对于处理器1104远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。其中,存储器1102具体可以但不限于用于存储访问请求。作为一种示例,如图11所示,上述存储器1102中可以但不限于包括上述访问校验装置中的第一获取单元1002、第一确定单元1004、校验单元1006、接收单元1008以及访问单元1010。此外,还可以包括但不限于上述访问校验装置中的其他模块单元,本示例中不再赘述。
可选地,上述的传输装置1106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置1106包括一个网络适配器(Network Interface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置1106为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
此外,上述电子设备还包括:连接总线1108,用于连接上述电子设备中的各个模块部件。
在其他实施例中,上述终端设备或者服务器可以是一个分布式***中的一个节点,其中,该分布式***可以为区块链***,该区块链***可以是由该多个节点通过网络通信的形式连接形成的分布式***。其中,节点之间可以组成点到点的网络,任意形式的计算设备,比如服务器、终端等电子设备都可以通过加入该点到点的网络而成为该区块链***中的一个节点。
根据本申请实施例的又一个方面,提供一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行如以上访问校验方法。
根据本申请实施例的又一方面,还提供了一种电子设备,包括存储器和处理器,上述存储器中存储有计算机程序,上述处理器被设置为通过所述计算机程序执行上述的访问校验方法。
可选地,在本实施例中,上述计算机可读存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,获取用于请求访问目标应用站点的访问请求;
S2,响应于访问请求,确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略,其中,第一访问策略是从协同***客户端对应的协同***服务器接收到的访问策略,且被加密处理后存储在内存中;
S3,在第一访问策略指示允许目标用户账号访问目标应用站点,且第一访问策略满足定期校验条件的情况下,利用第一访问策略的策略特征生成与访问请求相匹配的访问票据申请请求,并将访问票据申请请求发送给协同***服务器;
S4,接收协同***服务器返回的访问票据校验结果,其中,访问票据校验结果为协同***服务器利用本地存储的第二访问策略对访问票据申请请求所指示的第一访问策略进行校验后得到的;
S5,根据访问票据校验结果访问目标应用站点。
可选地,在本实施例中,本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(Random Access Memory,RAM)、磁盘或光盘等。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (16)

1.一种访问校验方法,其特征在于,包括:
获取用于请求访问目标应用站点的访问请求;
响应于所述访问请求,确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略,其中,所述第一访问策略是从所述协同***客户端对应的协同***服务器接收到的访问策略,且被加密处理后存储在内存中;
在所述第一访问策略指示允许所述目标用户账号访问所述目标应用站点,且所述第一访问策略满足定期校验条件的情况下,利用所述第一访问策略的策略特征生成与所述访问请求相匹配的访问票据申请请求,并将所述访问票据申请请求发送给所述协同***服务器;
接收所述协同***服务器返回的访问票据校验结果,其中,所述访问票据校验结果为所述协同***服务器利用本地存储的第二访问策略对所述访问票据申请请求所指示的所述第一访问策略进行校验后得到的;
根据所述访问票据校验结果访问所述目标应用站点。
2.根据权利要求1所述的方法,其特征在于,所述响应于所述访问请求,确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略包括:
响应于所述访问请求,在所述内存中所述协同***客户端对应的存储空间内查找与所述目标用户账号匹配的所述第一访问策略;
在查找出所述第一访问策略的情况下,利用与所述协同***客户端所在终端设备匹配的密钥信息对所述第一访问策略进行解密,得到所述第一访问策略的策略内容及策略特征;
在并未查找出所述第一访问策略的情况下,提示拒绝所述访问请求。
3.根据权利要求2所述的方法,其特征在于,在所述利用与所述协同***客户端所在终端设备对应的密钥信息对所述第一访问策略进行解密,得到所述第一访问策略的策略内容及策略特征之后,还包括:
获取当前缓存的所述第一访问策略距离上一次被动执行策略更新的时间间隔;
在所述时间间隔大于目标阈值的情况下,确定所述第一访问策略满足所述定期校验条件。
4.根据权利要求1所述的方法,其特征在于,所述利用所述第一访问策略的策略特征生成与所述访问请求相匹配的访问票据申请请求包括:
获取所述访问请求的请求参数;
基于所述请求参数和所述第一访问策略的策略特征生成所述访问票据申请请求。
5.根据权利要求1所述的方法,其特征在于,在所述获取用于请求访问目标应用站点的访问请求之前,还包括:
从所述协同***服务器获取与所述目标用户账号匹配的目标访问策略;
利用与所述协同***客户端所在终端设备匹配的密钥信息对所述目标访问策略进行加密,得到所述第一访问策略;
将所述第一访问策略存储到所述内存中,并对所述第一访问策略进行压缩保护处理。
6.根据权利要求5所述的方法,其特征在于,在所述从所述协同***服务器获取与所述目标用户账号匹配的目标访问策略之后,还包括:
确定与所述目标访问策略相适配的存储空间大小;
按照所述存储空间大小在所述协同***客户端本地生成与所述目标访问策略对应的伪策略文件,其中,所述伪策略文件用于干扰非授权用户账号对所述目标访问策略执行的策略修改操作。
7.根据权利要求6所述的方法,其特征在于,所述按照所述存储空间大小在所述协同***客户端本地生成与所述目标访问策略对应的伪策略文件包括:
按照所述存储空间大小生成缺省内容的所述伪策略文件;
从所述目标访问策略中识别出第一策略信息,其中,所述第一策略信息用于指示允许直接访问的资源信息列表;
将所述第一策略信息按照第一内容写入方式写入所述伪策略文件,其中,所述第一内容写入方式包括:将所述第一策略信息以明文内容写入,或者,将所述第一策略信息按照第一加密级别的加密方式加密处理后写入。
8.根据权利要求7所述的方法,其特征在于,在所述按照所述存储空间大小生成缺省内容的所述伪策略文件之后,还包括:
在按照所述目标访问策略中的第一策略信息进行访问但访问失败的情况下,获取第二策略信息,其中,所述第二策略信息用于指示允许尝试访问但并未授权访问的资源信息列表;
对所述第二策略信息按照第二内容写入方式写入所述伪策略文件,其中,所述第二内容写入方式包括:在所述第二策略信息中添加干扰字符后写入,或者,将所述第二策略信息按照第二加密级别的加密方式加密处理后写入;
其中,所述第一加密级别低于所述第二加密级别。
9.根据权利要求6所述的方法,其特征在于,在所述按照所述存储空间大小在所述协同***客户端本地生成与所述目标访问策略对应的伪策略文件之后,还包括:
获取文件操作请求;
在所述文件操作请求指示对所述伪策略文件执行读写操作的情况下,确定触发所述文件操作请求的目标处理进程的进程标识;
在所述进程标识位于所述第一访问策略中包含的访问白名单的情况下,允许对所述伪策略文件执行读写操作。
10.根据权利要求9所述的方法,其特征在于,在所述确定触发所述文件操作请求的处理进程的进程标识之后,还包括:
在所述进程标识并非位于所述访问白名单的情况下,按照与所述目标处理进程相匹配的干预操作优先级,对所述目标处理进程执行干预操作,其中,所述干预操作用于中止所述目标处理进程对所述伪策略文件执行的读写操作。
11.根据权利要求1至10中任一项所述的方法,其特征在于,根据所述访问票据校验结果访问所述目标应用站点包括:
在所述访问票据校验结果中携带有与所述访问请求对应的授权访问票据的情况下,确定所述访问请求通过访问校验,并利用所述授权访问票据访问所述目标应用站点;
在所述访问票据校验结果中并未携带有与所述访问请求对应的授权访问票据的情况下,确定所述访问请求并未通过访问校验,并提示拒绝所述访问请求。
12.根据权利要求11所述的方法,其特征在于,在所述将所述访问票据申请请求发送给所述协同***服务器之后,还包括:
所述协同***服务器对所述第一访问策略的策略特征及所述第二访问策略的策略特征进行比对,得到比对结果;
在所述比对结果指示所述第一访问策略与所述第二访问策略匹配的情况下,所述协同***服务器获取与所述访问请求对应的授权访问票据;
所述协同***服务器将利用所述授权访问票据生成用于指示所述访问请求通过访问校验的所述访问票据校验结果。
13.一种访问校验装置,其特征在于,包括:
第一获取单元,用于获取用于请求访问目标应用站点的访问请求;
第一确定单元,用于响应于所述访问请求,确定使用目标用户账号登录的协同***客户端所缓存的第一访问策略,其中,所述第一访问策略是从所述协同***客户端对应的协同***服务器接收到的访问策略,且被加密处理后存储在内存中;
校验单元,用于在所述第一访问策略指示允许所述目标用户账号访问所述目标应用站点,且所述第一访问策略满足定期校验条件的情况下,利用所述第一访问策略的策略特征生成与所述访问请求相匹配的访问票据申请请求,并将所述访问票据申请请求发送给所述协同***服务器;
接收单元,用于接收所述协同***服务器返回的访问票据校验结果,其中,所述访问票据校验结果为所述协同***服务器利用本地存储的第二访问策略对所述访问票据申请请求所指示的所述第一访问策略进行校验后得到的;
访问单元,用于根据所述访问票据校验结果访问所述目标应用站点。
14.一种计算机可读的存储介质,其特征在于,所述计算机可读的存储介质包括存储的程序,其中,所述程序被处理器运行时执行所述权利要求1至12任一项中所述的方法。
15.一种计算机程序产品,包括计算机程序/指令,其特征在于,该计算机程序/指令被处理器执行时实现权利要求1至12任一项所述方法的步骤。
16.一种电子设备,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序执行所述权利要求1至12任一项中所述的方法。
CN202311427543.7A 2023-10-31 2023-10-31 访问校验方法和装置、存储介质及电子设备 Active CN117155716B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311427543.7A CN117155716B (zh) 2023-10-31 2023-10-31 访问校验方法和装置、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311427543.7A CN117155716B (zh) 2023-10-31 2023-10-31 访问校验方法和装置、存储介质及电子设备

Publications (2)

Publication Number Publication Date
CN117155716A true CN117155716A (zh) 2023-12-01
CN117155716B CN117155716B (zh) 2024-02-09

Family

ID=88901195

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311427543.7A Active CN117155716B (zh) 2023-10-31 2023-10-31 访问校验方法和装置、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN117155716B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117909941A (zh) * 2024-03-20 2024-04-19 建信金融科技有限责任公司 代码文件的处理方法和装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106663154A (zh) * 2014-07-22 2017-05-10 惠普发展公司,有限责任合伙企业 授权bios策略改变用于存储
CN113468188A (zh) * 2020-03-30 2021-10-01 华为技术有限公司 一种SELinux策略库更新的方法及装置
CN114650154A (zh) * 2020-12-17 2022-06-21 腾讯科技(深圳)有限公司 网页权限行为控制方法、装置、计算机设备和存储介质
CN114844656A (zh) * 2021-01-14 2022-08-02 腾讯科技(深圳)有限公司 网络访问方法、装置、***、设备及存储介质
CN115623013A (zh) * 2021-07-12 2023-01-17 腾讯科技(深圳)有限公司 一种策略信息同步方法、***及相关产品
CN115795493A (zh) * 2021-09-10 2023-03-14 腾讯科技(深圳)有限公司 访问控制策略部署方法和相关装置、以及访问控制***
CN116015695A (zh) * 2021-10-20 2023-04-25 腾讯科技(深圳)有限公司 资源访问方法、***、装置、终端及存储介质
US20230247003A1 (en) * 2014-06-20 2023-08-03 Zscaler, Inc. Zero trust private application access for government applications

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230247003A1 (en) * 2014-06-20 2023-08-03 Zscaler, Inc. Zero trust private application access for government applications
CN106663154A (zh) * 2014-07-22 2017-05-10 惠普发展公司,有限责任合伙企业 授权bios策略改变用于存储
CN113468188A (zh) * 2020-03-30 2021-10-01 华为技术有限公司 一种SELinux策略库更新的方法及装置
CN114650154A (zh) * 2020-12-17 2022-06-21 腾讯科技(深圳)有限公司 网页权限行为控制方法、装置、计算机设备和存储介质
CN114844656A (zh) * 2021-01-14 2022-08-02 腾讯科技(深圳)有限公司 网络访问方法、装置、***、设备及存储介质
CN115623013A (zh) * 2021-07-12 2023-01-17 腾讯科技(深圳)有限公司 一种策略信息同步方法、***及相关产品
CN115795493A (zh) * 2021-09-10 2023-03-14 腾讯科技(深圳)有限公司 访问控制策略部署方法和相关装置、以及访问控制***
CN116015695A (zh) * 2021-10-20 2023-04-25 腾讯科技(深圳)有限公司 资源访问方法、***、装置、终端及存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117909941A (zh) * 2024-03-20 2024-04-19 建信金融科技有限责任公司 代码文件的处理方法和装置

Also Published As

Publication number Publication date
CN117155716B (zh) 2024-02-09

Similar Documents

Publication Publication Date Title
US10057282B2 (en) Detecting and reacting to malicious activity in decrypted application data
US9866566B2 (en) Systems and methods for detecting and reacting to malicious activity in computer networks
US8904558B2 (en) Detecting web browser based attacks using browser digest compute tests using digest code provided by a remote source
US8762731B2 (en) Multi-system security integration
CN111510453B (zh) 业务***访问方法、装置、***及介质
US8949995B2 (en) Certifying server side web applications against security vulnerabilities
CN114553540B (zh) 基于零信任的物联网***、数据访问方法、装置及介质
CN117155716B (zh) 访问校验方法和装置、存储介质及电子设备
CN114629719A (zh) 资源访问控制方法和资源访问控制***
CN111131303A (zh) 一种请求数据的校验***和方法
CN115701019A (zh) 零信任网络的访问请求处理方法、装置及电子设备
Moniruzzaman et al. Measuring vulnerabilities of bangladeshi websites
CN114745202A (zh) 一种主动防御web攻击的方法及基于主动防御的web安全网关
CN108900595B (zh) 访问云存储服务器数据的方法、装置、设备及计算介质
US20150172310A1 (en) Method and system to identify key logging activities
CN109587134B (zh) 接口总线的安全认证的方法、装置、设备和介质
CN111611620A (zh) 一种访问平台的访问请求处理方法及相关装置
CN114978544A (zh) 一种访问认证方法、装置、***、电子设备及介质
CN116996238A (zh) 一种网络异常访问的处理方法以及相关装置
CN112769731B (zh) 一种进程控制方法、装置、服务器及存储介质
CN112437923A (zh) 信息处理装置、信息处理方法、信息处理程序及信息处理***
KR102534012B1 (ko) 컨텐츠 제공자의 보안등급을 인증하는 시스템 및 그 방법
CN113556365B (zh) 认证结果数据传输***、方法及装置
CN114157503A (zh) 访问请求的认证方法及装置、api网关设备、存储介质
Strandberg Avoiding Vulnerabilities in Connected Cars a methodology for finding vulnerabilities

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant