CN108809964B - 一种资源访问控制方法及装置 - Google Patents

一种资源访问控制方法及装置 Download PDF

Info

Publication number
CN108809964B
CN108809964B CN201810516279.7A CN201810516279A CN108809964B CN 108809964 B CN108809964 B CN 108809964B CN 201810516279 A CN201810516279 A CN 201810516279A CN 108809964 B CN108809964 B CN 108809964B
Authority
CN
China
Prior art keywords
information
ssh
user
command
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810516279.7A
Other languages
English (en)
Other versions
CN108809964A (zh
Inventor
张小金
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Qizhi Technology Co ltd
Original Assignee
Zhejiang Qizhi Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Qizhi Technology Co ltd filed Critical Zhejiang Qizhi Technology Co ltd
Priority to CN201810516279.7A priority Critical patent/CN108809964B/zh
Publication of CN108809964A publication Critical patent/CN108809964A/zh
Application granted granted Critical
Publication of CN108809964B publication Critical patent/CN108809964B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/143Termination or inactivation of sessions, e.g. event-controlled end of session
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供了一种资源访问控制方法及装置,应用于桌面终端,方法包括:获取用户输入的SSH命令;判断SSH命令是否有执行权限;若是,则将SSH命令发送至桌面终端对应的SSH服务器,以使SSH服务器执行SSH命令,访问目标资源服务器。在本申请中,通过以上方式可以解决通过桌面终端直接访问某些资源的漏洞,从而提高资源信息的安全性。

Description

一种资源访问控制方法及装置
技术领域
本申请涉及计算机技术领域,特别涉及一种资源访问控制方法及装置。
背景技术
访问控制即是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。
目前,一般在服务器端实现访问控制,桌面终端无法进行访问控制,而这种方式存在通过桌面终端直接访问某些资源的漏洞,导致资源信息的安全性差。
发明内容
为解决上述技术问题,本申请实施例提供一种资源访问控制方法及装置,以达到解决通过桌面终端直接访问某些资源的漏洞,从而提高资源信息的安全性的目的,技术方案如下:
一种资源访问控制方法,应用于桌面终端,所述方法包括:
获取用户输入的安全外壳协议SSH命令;
判断所述SSH命令是否有执行权限;
若是,则将所述SSH命令发送至所述桌面终端对应的SSH服务器,以使所述SSH服务器执行所述SSH命令,访问目标资源服务器。
优选的,所述方法还包括:
接收所述SSH命令的响应信息;
从所述SSH命令的响应信息中获取所述用户有权限查看的信息;
展示所述用户有权限查看的信息。
优选的,所述方法还包括:
从所述目标资源服务器获取会话唯一性标识,作为目标会话唯一性标识;
比较所述目标会话唯一性标识与所述桌面终端预先存储的会话唯一性标识是否一致;
若不一致,则确定所述SSH命令为跳转命令,并将包含所述SSH命令的跳转信息发送至系统管理员,并获取所述目标资源服务器的IP地址、端口信息及所述用户的信息;
对所述目标资源服务器的IP地址、端口信息及所述用户的信息进行权限检查;
若权限检查结果为无权限跳转或访问,则断开与所述目标资源服务器的连接,并发送告警提示信息至所述系统管理员;
若权限检查结果为有权限跳转或访问,则将所述桌面终端预先存储的会话唯一性标识替换为所述目标会话唯一性标识。
优选的,所述SSH命令包括:跳转命令;
所述将所述SSH命令发送至所述桌面终端对应的SSH服务器之前,还包括:
判断所述用户是否有权限访问所述目标资源服务器;
若是,则执行将所述SSH命令发送至所述桌面终端对应的SSH服务器的步骤。
优选的,所述获取用户输入的SSH命令之前,还包括:
获取所述用户的登录信息;
通过HOOK技术获取所述目标资源服务器的信息;
根据所述用户的登录信息,从权限配置系统获取所述用户的权限信息,以及根据所述目标资源服务器的信息,从所述权限配置系统获取所述目标资源服务器的权限信息;
存储所述用户的权限信息及所述目标资源服务器的权限信息。
一种资源访问控制装置,应用于桌面终端,所述装置包括:
第一获取模块,用于获取用户输入的安全外壳协议SSH命令;
第一判断模块,用于判断所述SSH命令是否有执行权限,若是,执行第一发送模块;
所述第一发送模块,用于将所述SSH命令发送至所述桌面终端对应的SSH服务器,以使所述SSH服务器执行所述SSH命令,访问目标资源服务器。
优选的,所述装置还包括:
接收模块,用于接收所述SSH命令的响应信息;
第二获取模块,用于从所述SSH命令的响应信息中获取所述用户有权限查看的信息;
展示模块,用于展示所述用户有权限查看的信息。
优选的,所述装置还包括:
第三获取模块,用于从所述目标资源服务器获取会话唯一性标识,作为目标会话唯一性标识;
比较模块,用于比较所述目标会话唯一性标识与所述桌面终端预先存储的会话唯一性标识是否一致,若不一致,则执行第一确定模块;
所述第一确定模块,用于确定所述SSH命令为跳转命令;
第二发送模块,用于将包含所述SSH命令的跳转信息发送至系统管理员;
第四获取模块,用于获取所述目标资源服务器的IP地址、端口信息及所述用户的信息;
权限检查模块,用于对所述目标资源服务器的IP地址、端口信息及所述用户的信息进行权限检查,若权限检查结果为无权限跳转或访问,则执行断开模块,若权限检查结果为有权限跳转或访问,则执行替换模块;
所述断开模块,用于断开与所述目标资源服务器的连接,并发送告警提示信息至所述系统管理员;
所述替换模块,用于将所述桌面终端预先存储的会话唯一性标识替换为所述目标会话唯一性标识。
优选的,所述SSH命令包括:跳转命令;
所述装置还包括:
第二判断模块,用于判断所述用户是否有权限访问所述目标资源服务器,若是,执行所述第一发送模块。
优选的,所述装置还包括:
第五获取模块,用于获取所述用户的登录信息;
第六获取模块,用于通过HOOK技术获取所述目标资源服务器的信息;
第七获取模块,用于根据所述用户的登录信息,从权限配置系统获取所述用户的权限信息,以及根据所述目标资源服务器的信息,从所述权限配置系统获取所述目标资源服务器的权限信息;
存储模块,用于存储所述用户的权限信息及所述目标资源服务器的权限信息。
与现有技术相比,本申请的有益效果为:
在本申请中,桌面终端可以获取用户输入的SSH命令,并判断所述SSH命令是否有执行权限,在判断出所述SSH命令有执行权限的情况下,将所述SSH命令发送至所述桌面终端对应的SSH服务器,以使所述SSH服务器执行所述SSH命令,访问目标资源服务器。桌面终端通过检查SSH命令是否有执行权限,实现对资源的访问控制,防止通过桌面终端执行无权限的操作,解决了通过桌面终端直接访问某些资源的漏洞,从而提高了资源信息的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请提供的资源访问控制方法的一种流程图;
图2是本申请提供的资源访问控制方法的另一种流程图;
图3是本申请提供的资源访问控制方法的再一种流程图;
图4是本申请提供的资源访问控制方法的再一种流程图;
图5是本申请提供的资源访问控制方法的再一种流程图;
图6是本申请提供的资源访问控制装置的一种逻辑结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例公开了一种资源访问控制方法,应用于桌面终端,所述方法包括:获取用户输入的SSH命令;判断所述SSH命令是否有执行权限;若是,则将所述SSH命令发送至所述桌面终端对应的SSH服务器,以使所述SSH服务器执行所述SSH命令,访问目标资源服务器。在本申请中,可以解决通过桌面终端直接访问某些资源的漏洞,从而提高资源信息的安全性。
接下来对本申请实施例公开的资源访问控制方法进行介绍,需要说明的是,本申请实施例公开的资源访问控制方法应用于桌面终端,具体实现请参见图1,可以包括:
步骤S11、获取用户输入的SSH命令。
本实施例中,用户可以在桌面终端上安装的SSH(安全外壳协议,Secure Shell)工具中输入命令,桌面终端则从SSH工具中获取用户输入的命令即SSH命令。
SSH工具可以理解为:访问SSH服务器的一种软件,例如Xshell,SecureCRT,iTerm等。
桌面终端,可以理解为:提供远程访问的图形界面、字符操作台,例如Windows PC,Linux PC。
步骤S12、判断所述SSH命令是否有执行权限。
若是,执行步骤S13,若否,可以展示所述SSH命令无权限的提示信息,并丢弃所述SSH命令。
优选的,桌面终端可以调用并执行DLL文件,来判断所述SSH命令是否有执行权限。
需要说明的是,DLL内存中预先存储有各类SSH命令的执行权限,基于此,判断所述SSH命令是否有执行权限的过程,可以包括:查找DLL内存中是否存在于所述SSH命令匹配的SSH命令的执行权限信息,若存在,说明所述SSH命令具备执行权限,进而可以执行步骤S13。
步骤S13、将所述SSH命令发送至所述桌面终端对应的SSH服务器,以使所述SSH服务器执行所述SSH命令,访问目标资源服务器。
在前述步骤判断出所述SSH命令有执行权限后,可以允许所述SSH命令被执行,具体可以将所述SSH命令发送至所述桌面终端对应的SSH服务器,以使所述SSH服务器执行所述SSH命令,访问目标资源服务器,进而可以访问目标资源服务器中的资源。
在本申请中,桌面终端可以获取用户输入的SSH命令,并判断所述SSH命令是否有执行权限,在判断出所述SSH命令有执行权限的情况下,将所述SSH命令发送至所述桌面终端对应的SSH服务器,以使所述SSH服务器执行所述SSH命令,访问目标资源服务器。桌面终端通过检查SSH命令是否有执行权限,实现对资源的访问控制,防止通过桌面终端执行无权限的操作,解决了通过桌面终端直接访问某些资源的漏洞,从而提高了资源信息的安全性。
在本申请的另一个实施例中,介绍另外一种资源访问控制方法,请参见图2,可以包括:
步骤S21、获取用户输入的SSH命令。
步骤S22、判断所述SSH命令是否有执行权限。
若是,执行步骤S23,若否,可以展示所述SSH命令无权限的提示信息,并丢弃所述SSH命令。
步骤S23、将所述SSH命令发送至所述桌面终端对应的SSH服务器,以使所述SSH服务器执行所述SSH命令,访问目标资源服务器。
步骤S21-S23与前述实施例中的步骤S11-S13相同,步骤S21-S23的详细过程可以参见步骤S11-S13的相关介绍,在此不再赘述。
步骤S24、接收所述SSH命令的响应信息。
所述SSH命令的响应信息可以包括:SSH服务器响应所述SSH命令的反馈信息或木板资源服务器响应所述SSH命令的反馈信息。
步骤S25、从所述SSH命令的响应信息中获取所述用户有权限查看的信息。
需要说明的是,DLL内存中预先存储有用户的权限信息。因此,可以根据DLL内存中的用户的权限信息,判断用户是否有权限查看所述SSH命令的响应信息中的哪些信息。
本实施例中,可以将所述SSH命令的响应信息中所述用户无权限查看的信息丢弃,以节约内存。
步骤S26、展示所述用户有权限查看的信息。
在前述步骤获取所述用户有权限查看的信息的基础上,展示所述用户有权限查看的信息,防止通过桌面终端执行无权限查看的操作。
在本申请的另一个实施例中,介绍另外一种资源访问控制方法,请参见图3,可以包括:
步骤S31、获取用户输入的SSH命令。
步骤S32、判断所述SSH命令是否有执行权限。
若是,执行步骤S33,若否,可以展示所述SSH命令无权限的提示信息,并丢弃所述SSH命令。
步骤S33、将所述SSH命令发送至所述桌面终端对应的SSH服务器,以使所述SSH服务器执行所述SSH命令,访问目标资源服务器。
步骤S31-S33与前述实施例中的步骤S11-S13相同,步骤S31-S33的详细过程可以参见步骤S11-S13的相关介绍,在此不再赘述。
步骤S34、从所述目标资源服务器获取会话唯一性标识,作为目标会话唯一性标识。
步骤S35、比较所述目标会话唯一性标识与所述桌面终端预先存储的会话唯一性标识是否一致。
若不一致,则执行步骤S36;若一致,则可以确定所述SSH命令为非跳转命令。
步骤S36、确定所述SSH命令为跳转命令,并将包含所述SSH命令的跳转信息发送至系统管理员,并获取所述目标资源服务器的IP地址、端口信息及所述用户的信息。
需要说明的是,所述SSH命令本身可能是跳转命令,但是在被篡改等外部行为的影响下,步骤S31-S33无法正确识别出所述SSH命令为跳转命令,无法正确的判断出SSH命令的执行权限,同样也检测不出SSH命令执行后所发生的跳转。但是经过步骤S34-S36可以进一步确定所述SSH命令是否为跳转命令,准确记录所有登录信息、跳转信息,避免遗漏跳转命令的访问控制,实现全方位的轨迹跟踪,进一步提高资源信息的安全性。
步骤S37、对所述目标资源服务器的IP地址、端口信息及所述用户的信息进行权限检查。
在前述步骤确定出所述SSH命令为跳转命令的基础上,可以继续对所述目标资源服务器的IP地址、端口信息及所述用户的信息进行权限检查,进一步提高资源信息的安全性。
若权限检查结果为无权限跳转或访问,则执行步骤S38,若权限检查结果为有权限跳转或访问,则执行步骤S39。
步骤S38、断开与所述目标资源服务器的连接,并发送告警提示信息至所述系统管理员。
步骤S39、将所述桌面终端预先存储的会话唯一性标识替换为所述目标会话唯一性标识。
在本申请的另一个实施例中,介绍另外一种资源访问控制方法,请参见图4,可以包括:
步骤S41、获取用户输入的跳转命令。
本实施例中,跳转命令为前述实施例中步骤S11中所述SSH命令的一种具体实现。
步骤S42、判断所述跳转命令是否有执行权限。
若是,执行步骤S43。
步骤S43、判断所述用户是否有权限访问所述目标资源服务器。
若是,执行步骤S44。
步骤S44、将所述跳转命令发送至所述桌面终端对应的SSH服务器,以使所述SSH服务器执行所述跳转命令,访问目标资源服务器。
本实施例中,在所述跳转命令有执行权限,且所述用户有权限访问所述目标资源服务器的基础上,将所述跳转命令发送至所述桌面终端对应的SSH服务器,以使所述SSH服务器执行所述跳转命令,访问目标资源服务器,可以提高跳转命令执行的可靠性,从而进一步提高资源信息的安全性。
在本申请的另一个实施例中,介绍另外一种资源访问控制方法,请参见图5,可以包括:
步骤S51、获取用户的登录信息。
本实施例中,可以在桌面终端安装Agent,由Agent监控用户登录,并保存用户的登录信息。用户的登录信息可以包括:用户名、本机IP地址、远程IP地址及本机计算机名。
桌面终端可以从Agent中获取用户的登录信息。
Agent,可以理解为:代理,运行在终端或服务器的一个软件程序。
步骤S52、通过HOOK技术获取所述目标资源服务器的信息。
具体地,可以在SSH工具打开后,由Agent将DLL文件注入打开的SSH工具进程中,在DLL文件完成加载至进程后,通过HOOK技术建立连接、认证、发送数据、接收数据的内部调用。其中,在用户发送数据时,通过HOOK技术获取所述目标资源服务器的信息。
HOOK,可以理解为:钩子,用于截取消息、API调用的技术。
本实施例中,无需关注SSH工具的认证过程和交互方式,无中间代理,用户无感知。
步骤S53、根据所述用户的登录信息,从权限配置系统获取所述用户的权限信息,以及根据所述目标资源服务器的信息,从所述权限配置系统获取所述目标资源服务器的权限信息。
步骤S54、存储所述用户的权限信息及所述目标资源服务器的权限信息。
步骤S55、获取用户输入的SSH命令。
步骤S56、判断所述SSH命令是否有执行权限。
若是,执行步骤S57。
步骤S57、将所述SSH命令发送至所述桌面终端对应的SSH服务器,以使所述SSH服务器执行所述SSH命令,访问目标资源服务器。
步骤S55-S57与前述实施例中步骤S11-S 13相同,步骤S55-S57的详细过程可以参见步骤S11-S13的相关介绍,在此不再赘述。
接下来对本申请提供的资源访问控制装置进行介绍,下文介绍的资源访问控制装置与上文介绍的资源访问控制方法可相互对应参照。
请参见图6,其示出了本申请提供的资源访问控制装置的一种逻辑结构示意图,资源访问控制装置包括:第一获取模块11、第一判断模块12和第一发送模块13。
第一获取模块11,用于获取用户输入的SSH命令。
第一判断模块12,用于判断所述SSH命令是否有执行权限,若是,执行第一发送模块13。
所述第一发送模块13,用于将所述SSH命令发送至所述桌面终端对应的SSH服务器,以使所述SSH服务器执行所述SSH命令,访问目标资源服务器。
本实施例中,上述资源访问控制装置还可以包括:接收模块、第二获取模块和展示模块。
接收模块,用于接收所述SSH命令的响应信息。
第二获取模块,用于从所述SSH命令的响应信息中获取所述用户有权限查看的信息。
展示模块,用于展示所述用户有权限查看的信息。
本实施例中,上述资源访问控制装置还可以包括:
第三获取模块,用于从所述目标资源服务器获取会话唯一性标识,作为目标会话唯一性标识;
比较模块,用于比较所述目标会话唯一性标识与所述桌面终端预先存储的会话唯一性标识是否一致,若不一致,则执行第一确定模块;
所述第一确定模块,用于确定所述SSH命令为跳转命令;
第二发送模块,用于将包含所述SSH命令的跳转信息发送至系统管理员;
第四获取模块,用于获取所述目标资源服务器的IP地址、端口信息及所述用户的信息;
权限检查模块,用于对所述目标资源服务器的IP地址、端口信息及所述用户的信息进行权限检查,若权限检查结果为无权限跳转或访问,则执行断开模块,若权限检查结果为有权限跳转或访问,则执行替换模块;
所述断开模块,用于断开与所述目标资源服务器的连接,并发送告警提示信息至所述系统管理员;
所述替换模块,用于将所述桌面终端预先存储的会话唯一性标识替换为所述目标会话唯一性标识。
本实施例中,所述SSH命令可以包括:跳转命令。
相应地,上述资源访问控制装置还可以包括:第二判断模块,用于判断所述用户是否有权限访问所述目标资源服务器,若是,执行所述第一发送模块。
本实施例中,上述资源访问控制装置还可以包括:
第五获取模块,用于获取所述用户的登录信息;
第六获取模块,用于通过HOOK技术获取所述目标资源服务器的信息;
第七获取模块,用于根据所述用户的登录信息,从权限配置系统获取所述用户的权限信息,以及根据所述目标资源服务器的信息,从所述权限配置系统获取所述目标资源服务器的权限信息;
存储模块,用于存储所述用户的权限信息及所述目标资源服务器的权限信息。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
以上对本申请所提供的一种资源访问控制方法及装置进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (8)

1.一种资源访问控制方法,其特征在于,应用于桌面终端,其中,所述桌面终端安装有用于监控用户登录以及保存用户登录信息的代理Agent,以使所述桌面终端可从所述Agent中获取用户的登录信息,所述方法包括:
获取用户输入的安全外壳协议SSH命令;
判断所述SSH命令是否有执行权限;
若是,则将所述SSH命令发送至所述桌面终端对应的SSH服务器,以使所述SSH服务器执行所述SSH命令,访问目标资源服务器;
从所述目标资源服务器获取会话唯一性标识,作为目标会话唯一性标识;
比较所述目标会话唯一性标识与所述桌面终端预先存储的会话唯一性标识是否一致;
若不一致,则确定所述SSH命令为跳转命令,并将包含所述SSH命令的跳转信息发送至系统管理员,并获取所述目标资源服务器的IP地址、端口信息及所述用户的信息;
对所述目标资源服务器的IP地址、端口信息及所述用户的信息进行权限检查;
若权限检查结果为无权限跳转或访问,则断开与所述目标资源服务器的连接,并发送告警提示信息至所述系统管理员;
若权限检查结果为有权限跳转或访问,则将所述桌面终端预先存储的会话唯一性标识替换为所述目标会话唯一性标识。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述SSH命令的响应信息;
从所述SSH命令的响应信息中获取所述用户有权限查看的信息;
展示所述用户有权限查看的信息。
3.根据权利要求1所述的方法,其特征在于,所述SSH命令包括:跳转命令;
所述将所述SSH命令发送至所述桌面终端对应的SSH服务器之前,还包括:
判断所述用户是否有权限访问所述目标资源服务器;
若是,则执行将所述SSH命令发送至所述桌面终端对应的SSH服务器的步骤。
4.根据权利要求1所述的方法,其特征在于,所述获取用户输入的SSH命令之前,还包括:
获取所述用户的登录信息;
通过HOOK技术获取所述目标资源服务器的信息;
根据所述用户的登录信息,从权限配置系统获取所述用户的权限信息,以及根据所述目标资源服务器的信息,从所述权限配置系统获取所述目标资源服务器的权限信息;
存储所述用户的权限信息及所述目标资源服务器的权限信息。
5.一种资源访问控制装置,其特征在于,应用于桌面终端,其中,所述桌面终端安装有用于监控用户登录以及保存用户登录信息的代理Agent,以使所述桌面终端可从所述Agent中获取用户的登录信息,所述装置包括:
第一获取模块,用于获取用户输入的安全外壳协议SSH命令;
第一判断模块,用于判断所述SSH命令是否有执行权限,若是,执行第一发送模块;
所述第一发送模块,用于将所述SSH命令发送至所述桌面终端对应的SSH服务器,以使所述SSH服务器执行所述SSH命令,访问目标资源服务器;
第三获取模块,用于从所述目标资源服务器获取会话唯一性标识,作为目标会话唯一性标识;
比较模块,用于比较所述目标会话唯一性标识与所述桌面终端预先存储的会话唯一性标识是否一致,若不一致,则执行第一确定模块;
所述第一确定模块,用于确定所述SSH命令为跳转命令;
第二发送模块,用于将包含所述SSH命令的跳转信息发送至系统管理员;
第四获取模块,用于获取所述目标资源服务器的IP地址、端口信息及所述用户的信息;
权限检查模块,用于对所述目标资源服务器的IP地址、端口信息及所述用户的信息进行权限检查,若权限检查结果为无权限跳转或访问,则执行断开模块,若权限检查结果为有权限跳转或访问,则执行替换模块;
所述断开模块,用于断开与所述目标资源服务器的连接,并发送告警提示信息至所述系统管理员;
所述替换模块,用于将所述桌面终端预先存储的会话唯一性标识替换为所述目标会话唯一性标识。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
接收模块,用于接收所述SSH命令的响应信息;
第二获取模块,用于从所述SSH命令的响应信息中获取所述用户有权限查看的信息;
展示模块,用于展示所述用户有权限查看的信息。
7.根据权利要求5所述的装置,其特征在于,所述SSH命令包括:跳转命令;
所述装置还包括:
第二判断模块,用于判断所述用户是否有权限访问所述目标资源服务器,若是,执行所述第一发送模块。
8.根据权利要求5所述的装置,其特征在于,所述装置还包括:
第五获取模块,用于获取所述用户的登录信息;
第六获取模块,用于通过HOOK技术获取所述目标资源服务器的信息;
第七获取模块,用于根据所述用户的登录信息,从权限配置系统获取所述用户的权限信息,以及根据所述目标资源服务器的信息,从所述权限配置系统获取所述目标资源服务器的权限信息;
存储模块,用于存储所述用户的权限信息及所述目标资源服务器的权限信息。
CN201810516279.7A 2018-05-25 2018-05-25 一种资源访问控制方法及装置 Active CN108809964B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810516279.7A CN108809964B (zh) 2018-05-25 2018-05-25 一种资源访问控制方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810516279.7A CN108809964B (zh) 2018-05-25 2018-05-25 一种资源访问控制方法及装置

Publications (2)

Publication Number Publication Date
CN108809964A CN108809964A (zh) 2018-11-13
CN108809964B true CN108809964B (zh) 2021-11-09

Family

ID=64089060

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810516279.7A Active CN108809964B (zh) 2018-05-25 2018-05-25 一种资源访问控制方法及装置

Country Status (1)

Country Link
CN (1) CN108809964B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109672665B (zh) * 2018-11-14 2021-10-15 北京奇艺世纪科技有限公司 一种访问控制方法、装置、系统及计算机可读存储介质
CN112926050B (zh) * 2021-02-05 2024-02-09 北京亿赛通网络安全技术有限公司 基于hook技术获取ssh加密内容的方法及其应用
CN114465766B (zh) * 2021-12-27 2023-08-04 天翼云科技有限公司 基于ssh的远程访问方法、装置、电子设备和存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103179135A (zh) * 2013-04-19 2013-06-26 网宿科技股份有限公司 基于ssh中转机的远程管理方法
CN103391198A (zh) * 2013-07-22 2013-11-13 三珠数码软件开发(上海)有限公司 一种Linux服务器集群账户数据处理方法
CN106709283A (zh) * 2016-11-17 2017-05-24 上海斐讯数据通信技术有限公司 一种防止程序误操作的方法及系统
CN106936817A (zh) * 2017-02-16 2017-07-07 上海帝联信息科技股份有限公司 操作执行方法、跳板机、集群认证服务器和堡垒机系统
CN107592314A (zh) * 2017-09-20 2018-01-16 郑州云海信息技术有限公司 一种命令行权限控制方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9515999B2 (en) * 2011-12-21 2016-12-06 Ssh Communications Security Oyj Automated access, key, certificate, and credential management
CN106527353A (zh) * 2016-12-12 2017-03-22 北京兰光创新科技有限公司 基于多种协议的数控机床加工的远程控制方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103179135A (zh) * 2013-04-19 2013-06-26 网宿科技股份有限公司 基于ssh中转机的远程管理方法
CN103391198A (zh) * 2013-07-22 2013-11-13 三珠数码软件开发(上海)有限公司 一种Linux服务器集群账户数据处理方法
CN106709283A (zh) * 2016-11-17 2017-05-24 上海斐讯数据通信技术有限公司 一种防止程序误操作的方法及系统
CN106936817A (zh) * 2017-02-16 2017-07-07 上海帝联信息科技股份有限公司 操作执行方法、跳板机、集群认证服务器和堡垒机系统
CN107592314A (zh) * 2017-09-20 2018-01-16 郑州云海信息技术有限公司 一种命令行权限控制方法及装置

Also Published As

Publication number Publication date
CN108809964A (zh) 2018-11-13

Similar Documents

Publication Publication Date Title
EP3013086B1 (en) Method, apparatus and electronic device for connection management
CN110324338B (zh) 数据交互方法、装置、堡垒机与计算机可读存储介质
CN108809964B (zh) 一种资源访问控制方法及装置
US20130111586A1 (en) Computing security mechanism
US10542044B2 (en) Authentication incident detection and management
CN104767713B (zh) 账号绑定的方法、服务器及系统
CN111490981B (zh) 访问管理方法、装置、堡垒机及可读存储介质
US9049253B2 (en) Resetting / restarting SIP endpoint devices
WO2014172956A1 (en) Login method,apparatus, and system
WO2017008581A1 (zh) 应用程序的测试方法、客户端及系统
US20140325628A1 (en) Login method, apparatus, and system
US10498760B1 (en) Monitoring system for detecting and preventing a malicious program code from being uploaded from a client computer to a webpage computer server
CN114417335A (zh) 一种恶意文件检测方法、装置、电子设备及存储介质
US20100058441A1 (en) Information processing limitation system and information processing limitation device
WO2019037521A1 (zh) 安全检测的方法、装置、系统以及服务器
CN112929388B (zh) 网络身份跨设备应用快速认证方法和系统、用户代理设备
CN107766068B (zh) 应用系统补丁安装方法、装置、计算机设备和存储介质
CN109922471A (zh) 应用数据远程删除方法、装置、计算机设备和存储介质
CN113486277A (zh) Web应用访问方法、装置、电子设备及存储介质
CN109992298B (zh) 审批平台扩充方法、装置、审批平台及可读存储介质
CN112347436A (zh) 一种安全资源池内安全组件的权限管理方法及相关组件
CN107172082B (zh) 一种文件共享方法及系统
CN114257451B (zh) 验证界面更换方法、装置、存储介质及计算机设备
US10019582B1 (en) Detecting application leaks
CN114039779A (zh) 一种安全接入网络的方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant