CN110505262B - 云环境下的动态微分段方法、系统、云服务器及存储介质 - Google Patents
云环境下的动态微分段方法、系统、云服务器及存储介质 Download PDFInfo
- Publication number
- CN110505262B CN110505262B CN201810486085.7A CN201810486085A CN110505262B CN 110505262 B CN110505262 B CN 110505262B CN 201810486085 A CN201810486085 A CN 201810486085A CN 110505262 B CN110505262 B CN 110505262B
- Authority
- CN
- China
- Prior art keywords
- current
- information
- user equipment
- security policy
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种云环境下的动态微分段方法、系统、云服务器及存储介质。本发明中云服务器查找当前用户设备对应的访问权限范围;根据当前用户设备运行环境信息及当前网络环境信息确定当前用户设备的当前访问权限信息;根据访问权限范围及当前访问权限信息,部署当前用户设备的安全策略及安全策略对应的超时时间,记录部署安全策略的部署时刻;当前时刻与部署时刻之间的时间差大于等于超时时间,检测安全策略是否被使用,根据检测结果调整安全策略,实现用户的动态微分段部署。本发明通过根据访问权限信息动态设置安全策略及超时时间,根据超时时间动态调整安全策略,以实现用户的动态微分段部署,从而避免用户设备频繁上下线时的设置风暴问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及云环境下的动态微分段方法、系统、云服务器及存储介质。
背景技术
云环境下的用户资源访问控制一直是个问题,识别用户并给其分配正确的资源访问权限,存在两个技术难点:用户识别和访问权限的设置。对于用户识别,需要做到能唯一识别一个用户,而且用户身份验证方法是安全可靠的,需要尽量避免用户冒认的情况出现。对于访问权限设置,需要通过静态预置或动态生成的方式,来实现用户级别的访问控制。静态预置容易造成资源浪费或力度不细,动态生成则存在用户频繁上下线时的设置风暴问题。目前业界的解决方案如下:
(1)基于IP地址池和静态的预置策略。云平台会管理一个IP地址池,并预先构建每个IP地址段的访问策略。用户通过账号、密码登录后,系统根据用户权限,为其分配IP地址,从而限定用户只有访问对应资源的权限。问题在于:第一,只通过账号及密码的方式来认证用户并不安全,其他人可以通过窃取账号密码等方式,来获得对应的访问权限。第二,静态的预置策略一直存留在设备中,无论用户是否上线访问资源,静态策略都占用着云平台资源,造成一定的资源浪费;第三,为了减缓资源浪费现象,静态的预置策略的控制粒度可以不用太细,基于IP地址段就行,但会存在无法对用户的访问权限进行个性化定制的问题。因为统一地址段内的用户,也会有不同的资源访问权限。静态的预置策略在资源浪费和个性化定制上是存在矛盾的,一般只能在两者间做取舍,无法两者兼顾。
(2)对于唯一认证用户的问题,有通过引入额外机制或设备的方法来解决的,如通过用户认证端与登录者手机的联动(比如短信验证码),上网行为控制设备等,但引入额外机制或设备的代价一般较高。
因此,目前如何合理部署云环境下的用户资源访问控制是亟待解决的技术问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种云环境下的动态微分段方法、系统、云服务器及存储介质,旨在解决如何合理部署云环境下的用户资源访问控制的技术问题。
为实现上述目的,本发明提供一种云环境下的动态微分段方法,所述云环境下的动态微分段方法包括以下步骤:
云服务器响应于当前用户设备发送的当前登录信息,获取当前用户设备运行环境信息及当前网络环境信息;
查找所述当前用户设备对应的访问权限范围;
根据所述当前用户设备运行环境信息及所述当前网络环境信息确定当前用户设备的当前访问权限信息;
根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略及所述安全策略对应的超时时间,并记录部署所述安全策略的部署时刻;
若当前时刻与所述部署时刻之间的时间差大于等于所述超时时间,则检测所述安全策略是否被使用,获得检测结果;
根据所述检测结果调整所述安全策略,以实现用户的动态微分段部署。
优选地,所述根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略及所述安全策略对应的超时时间,具体包括:
根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略;
获取与所述安全策略对应的目标资源的历史访问频度及历史访问时长,根据所述历史访问频度及所述历史访问时长计算所述安全策略对应的超时时间,并部署所述超时时间。
优选地,所述响应于当前用户设备发送的当前登录信息,获取当前用户设备运行环境信息及当前网络环境信息之后,所述云环境下的动态微分段方法还包括:
获取当前用户设备的历史登录信息,将所述当前登录信息与所述历史登录信息进行比对,获得比对结果;
相应地,所述根据所述当前用户设备运行环境信息及所述当前网络环境信息确定用户的当前访问权限信息,具体包括:
根据所述比对结果、所述当前用户设备运行环境信息及所述当前网络环境信息确定用户的当前访问权限信息。
优选地,所述根据所述比对结果、所述当前用户设备运行环境信息及所述当前网络环境信息确定用户的当前访问权限信息,具体包括:
判断所述当前用户设备运行环境信息及所述当前网络环境信息是否安全,获得安全判断结果;
根据所述比对结果及所述安全判断结果确定当前访问权限信息。
优选地,所述根据所述比对结果及所述安全判断结果确定当前访问权限信息,具体包括:
判断所述比对结果是否为所述当前登录信息与所述历史登录信息一致;
在所述比对结果为所述当前登录信息与所述历史登录信息一致时,判断所述安全判断结果是否为所述当前用户设备运行环境信息及所述当前网络环境信息均为安全;
在所述安全判断结果为所述当前用户设备运行环境信息及所述当前网络环境信息均为安全时,将所述访问权限范围作为当前访问权限信息。
优选地,所述在所述比对结果为所述当前登录信息与所述历史登录信息一致时,判断所述安全判断结果是否为所述当前用户设备运行环境信息及所述当前网络环境信息均为安全之后,所述云环境下的动态微分段方法还包括:
在所述安全判断结果为所述当前用户设备运行环境信息及所述当前网络环境信息不均为安全时,按照预设规则设置当前访问权限信息。
优选地,所述根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略及所述安全策略对应的超时时间之后,所述云环境下的动态微分段方法还包括:
将所述安全策略及所述安全策略对应的超时时间发送至安全终端代理,以使所述安全终端代理部署所述安全策略。
优选地,所述根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略及所述安全策略对应的超时时间之后,所述云环境下的动态微分段方法还包括:
将所述安全策略及所述安全策略对应的超时时间发送至分布式防火墙,以使所述分布式防火墙通过设置访问控制列表规则部署所述安全策略。
此外,为实现上述目的,本发明还提供一种云服务器,所述云服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行云环境下的动态微分段程序,所述云环境下的动态微分段程序配置为实现如上文所述云环境下的动态微分段方法的步骤。
此外,为实现上述目的,本发明还提供一种存储介质,所述存储介质上存储有云环境下的动态微分段程序,所述云环境下的动态微分段程序被处理器执行时实现如上文所述的云环境下的动态微分段方法的步骤。
此外,为实现上述目的,本发明还提供一种云环境下的动态微分段系统,所述云环境下的动态微分段系统包括:获取模块、查找模块、确定模块、部署模块、检测模块和调整模块;
所述获取模块,用于响应于当前用户设备发送的当前登录信息,获取当前用户设备运行环境信息及当前网络环境信息;
所述查找模块,用于查找所述当前用户设备对应的访问权限范围;
所述确定模块,用于根据所述当前用户设备运行环境信息及所述当前网络环境信息确定当前用户设备的当前访问权限信息;
所述部署模块,用于根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略及所述安全策略对应的超时时间,并记录部署所述安全策略的部署时刻;
所述检测模块,用于若当前时刻与所述部署时刻之间的时间差大于等于所述超时时间,则检测所述安全策略是否被使用,获得检测结果;
所述调整模块,用于根据所述检测结果调整所述安全策略,以实现用户的动态微分段部署。
优选地,所述部署模块,还用于根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略;
所述部署模块,还用于获取与所述安全策略对应的目标资源的历史访问频度及历史访问时长,根据所述历史访问频度及所述历史访问时长计算所述安全策略对应的超时时间,并部署所述超时时间。
优选地,所述云环境下的动态微分段系统还包括:比对模块;
所述比对模块,用于获取当前用户设备的历史登录信息,将所述当前登录信息与所述历史登录信息进行比对,获得比对结果;
所述确定模块,还用于根据所述比对结果、所述当前用户设备运行环境信息及所述当前网络环境信息确定用户的当前访问权限信息。
本发明通过根据当前用户设备对应的访问权限范围及当前访问权限信息动态设置安全策略及所述安全策略对应的超时时间,根据所述超时时间动态调整所述安全策略,以实现用户的动态微分段部署,从而避免用户设备频繁上下线时的设置风暴问题。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的云服务器结构示意图;
图2为本发明云环境下的动态微分段方法第一实施例的流程示意图;
图3为本发明云环境下的动态微分段方法第二实施例的流程示意图;
图4为本发明云环境下的动态微分段系统第一实施例的功能模块图;
图5为本发明云环境下的动态微分段系统第二实施例的功能模块图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的云服务器结构示意图。
如图1所示,该云服务器可以包括:处理器1001,例如CPU,通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display),可选用户接口1003还可以包括标准的有线接口、无线接口,对于用户接口1003的有线接口在本发明中可为USB接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对云服务器的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及云环境下的动态微分段程序。
在图1所示的云服务器中,网络接口1004主要用于连接后台服务器,与所述后台服务器进行数据通信;用户接口1003主要用于连接用户设备;所述云服务器通过处理器1001调用存储器1005中存储的云环境下的动态微分段程序,并执行以下操作:
响应于当前用户设备发送的当前登录信息,获取当前用户设备运行环境信息及当前网络环境信息;
查找所述当前用户设备对应的访问权限范围;
根据所述当前用户设备运行环境信息及所述当前网络环境信息确定当前用户设备的当前访问权限信息;
根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略及所述安全策略对应的超时时间,并记录部署所述安全策略的部署时刻;
若当前时刻与所述部署时刻之间的时间差大于等于所述超时时间,则检测所述安全策略是否被使用,获得检测结果;
根据所述检测结果调整所述安全策略,以实现用户的动态微分段部署。
进一步地,处理器1001可以调用存储器1005中存储的云环境下的动态微分段程序,还执行以下操作:
根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略;
获取与所述安全策略对应的目标资源的历史访问频度及历史访问时长,根据所述历史访问频度及所述历史访问时长计算所述安全策略对应的超时时间,并部署所述超时时间。
进一步地,处理器1001可以调用存储器1005中存储的云环境下的动态微分段程序,还执行以下操作:
获取当前用户设备的历史登录信息,将所述当前登录信息与所述历史登录信息进行比对,获得比对结果;
相应地,所述根据所述当前用户设备运行环境信息及所述当前网络环境信息确定用户的当前访问权限信息,具体包括:
根据所述比对结果、所述当前用户设备运行环境信息及所述当前网络环境信息确定用户的当前访问权限信息。
进一步地,处理器1001可以调用存储器1005中存储的云环境下的动态微分段程序,还执行以下操作:
判断所述当前用户设备运行环境信息及所述当前网络环境信息是否安全,获得安全判断结果;
根据所述比对结果及所述安全判断结果确定当前访问权限信息。
进一步地,处理器1001可以调用存储器1005中存储的云环境下的动态微分段程序,还执行以下操作:
判断所述比对结果是否为所述当前登录信息与所述历史登录信息一致;
在所述比对结果为所述当前登录信息与所述历史登录信息一致时,判断所述安全判断结果是否为所述当前用户设备运行环境信息及所述当前网络环境信息均为安全;
在所述安全判断结果为所述当前用户设备运行环境信息及所述当前网络环境信息均为安全时,将所述访问权限范围作为当前访问权限信息。
进一步地,处理器1001可以调用存储器1005中存储的云环境下的动态微分段程序,还执行以下操作:
在所述安全判断结果为所述当前用户设备运行环境信息及所述当前网络环境信息不均为安全时,按照预设规则设置当前访问权限信息。
进一步地,处理器1001可以调用存储器1005中存储的云环境下的动态微分段程序,还执行以下操作:
将所述安全策略及所述安全策略对应的超时时间发送至安全终端代理,以使所述安全终端代理部署所述安全策略。
进一步地,处理器1001可以调用存储器1005中存储的云环境下的动态微分段程序,还执行以下操作:
将所述安全策略及所述安全策略对应的超时时间发送至分布式防火墙,以使所述分布式防火墙通过设置访问控制列表规则部署所述安全策略。
本实施例中通过根据当前用户设备对应的访问权限范围及当前访问权限信息动态设置安全策略及所述安全策略对应的超时时间,根据所述超时时间动态调整所述安全策略,以实现用户的动态微分段部署,从而避免用户设备频繁上下线时的设置风暴问题。
基于上述硬件结构,提出本发明云环境下的动态微分段方法的实施例。
参照图2,图2为本发明云环境下的动态微分段方法第一实施例的流程示意图,提出本发明云环境下的动态微分段方法第一实施例。
在第一实施例中,所述云环境下的动态微分段方法包括以下步骤:
步骤S10,云服务器响应于当前用户设备发送的当前登录信息,获取当前用户设备运行环境信息及当前网络环境信息;
应理解的是,所述用户设备指的是用户的主机,所述当前登录信息为用户通过账号及密码登录到云环境中或访问对应资源,为了避免用户冒认问题,除了需要验证登录信息中的账号及密码是否正确,还需要判断当前的主机信息及网络信息是否安全可信,所述当前用户设备运行环境信息包括主机的操作系统信息及主机是否运行着不可信程序等信息,所述当前网络环境信息包括媒体访问控制(Media Access Control,Mac)地址及上网环境是否可信等信息。
需要说明的是,关于如何获取当前用户设备运行环境信息及当前网络环境信息,通常有两种实现方式,一种为基于安全终端代理(agent)的实现方式:通常需要在用户主机侧安装安全终端agent,所述安全终端agent负责终端设备安全策略的实施,所述终端设备包括物理服务器、虚拟机或容器等,在用户主机尝试通过账号和密码登录到云环境中或访问对应资源时,获取当前用户设备运行环境信息和当前网络环境信息;一种为基于虚拟化监控层和分布式防火墙的实现方式:所述虚拟机监控层为所有虚拟化技术的核心,非中断地支持多工作负载迁移的能力是虚拟机监控层的基本功能,当服务器启动并执行虚拟机监控层时,它会给每一台虚拟机分配适量的内存、CPU、网络和磁盘,并加载所有虚拟机的客户操作系统,在用户尝试通过账号和密码登录到云环境中或访问对应资源时,虚拟化监控层获取当前用户设备运行环境信息和当前网络环境信息。
步骤S20,查找所述当前用户设备对应的访问权限范围;
在具体实现中,针对不同的用户设备可预先设置其访问权限范围,可将用户设备的登录信息及用户设备对应的访问权限范围预先存储在映射关系表中,在所述云服务器响应于用户设备发送的当前登录信息,可根据所述当前登录信息从所述映射关系表中查找与所述用户设备对应的访问权限范围。
应理解的是,所述用户设备对应的访问权限范围通常包括用户设备可以访问的资源及每次登陆对应资源的访问频度及访问时长等信息。如果用户设备的权限有变动,则只需修改用户设备对应的访问权限范围。用户设备每次登陆结束后,对应资源的访问时长的平均值会自动更新。
步骤S30,根据所述当前用户设备运行环境信息及所述当前网络环境信息确定当前用户设备的当前访问权限信息;
可理解的是,对于每个用户设备,将收集到的账号、密码、当前用户设备运行环境信息及当前网络环境信息,首先将当前登录信息中的账号及密码与之前的历史登录信息进行比对。账号及密码与历史登录信息中的账号及密码一致,并且所述当前用户设备运行环境信息及所述当前网络环境信息的改变在允许范围内,比如:没有运行不可信程序及上网环境安全等。如果没有不安全因素,给用户设备开放全部权限范围。如果存在安全问题,比如:主机运行着不可信程序或上网环境不可信等,则依据预先定义好的规则,仅开放该用户部分权限,通常还给管理员报警。这样即可以唯一且安全可靠地识别用户,也可以在无法准确判断的情况下,给予用户部分权限,在保证重要资源安全的情况下不影响用户对资源的访问使用。
步骤S40,根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略及所述安全策略对应的超时时间,并记录部署所述安全策略的部署时刻;
应理解的是,根据所述访问权限范围及所述当前访问权限信息,生成用户设备对应的个性化安全策略及各个策略的软超时时间。通常用户设备需要访问的资源为多个,用户设备对应的访问权限范围也针对不同的访问资源有相应的访问权限,根据所述当前访问权限信息可知对应的当前用户设备运行环境信息及当前网络环境信息,则针对所述当前访问权限信息部署当前用户设备的安全策略,通常所述安全策略也为多个。
需要说明的是,所述安全策略对应的超时时长t的计算方法如下:用户设备每次登录对单个资源访问频度f_i及访问时长t_i,单个资源访问频度在所有频度中所占比重为权重,即f_i/(f_1+f_2+…),按照以下公式计算得到所述超时时长:t=(t_1*f_1+t_2*f_2+…)/(f_1+f_2+…)。
可理解的是,为了实现动态微分段,即基于根据用户设备对云中服务器资源访问权限,动态设置安全终端agent或分布式防火墙的安全策略。当用户设备登录时,部署该用户设备对应的资源访问权限策略,并依据用户的历史访问时长,个性化设置每条策略的失效时间,从而用户频繁上下线时的设置风暴问题,本实施例中,所述根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略及所述安全策略对应的超时时间,具体包括:根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略;获取与所述安全策略对应的目标资源的历史访问频度及历史访问时长,根据所述历史访问频度及所述历史访问时长计算所述安全策略对应的超时时间,并部署所述超时时间。
步骤S50,若当前时刻与所述部署时刻之间的时间差大于等于所述超时时间,则检测所述安全策略是否被使用,获得检测结果;
应理解的是,所述超时时间即对应安全策略的失效时间,在部署安全策略时,记录部署所述安全策略的部署时刻,在当前时刻与所述部署时刻之间的时间差大于等于所述超时时间,则检测所述安全策略是否被使用,所述检测结果为所述安全策略被使用或未被使用。在所述检测结果为被使用时,说明在所述超时时间内,对应的资源被访问,则对应的安全策略不需要变动;在所述检测结果为未被使用时,说明在所述超时时间内,对应的资源未被访问,则对应的安全策略可被删除,以免占用云环境中的内存资源。
步骤S60,根据所述检测结果调整所述安全策略,以实现用户的动态微分段部署。
在具体实现中,设置所述安全策略的超时时间,是为了避免两个问题:一,用户设备在频繁上线下线时,只要在所述超时时间内,有重新访问对应资源,对应的安全策略就不会变动,能有效抑制安全策略的设置风暴问题。二,当安全策略经过所述超时时间后都不被使用,则删除对应的安全策略,能有效节省云环境中的内存资源,从而实现用户的动态微分段。
需要说明的是,一旦经过所述超时时间后,若对应的安全策略一直没有被使用,则所述安全策略会被删除,在删除后,若所述用户设备要访问对应资源,则需要重新登录。
应理解的是,在形成安全策略及对应的超时时间之后,为了所述安全策略进行部署,通常有两种实现方式,一种是对于基于安全终端agent的实现方式:形成的安全策略及对应的超时时间下发到安全终端agent,有安全终端agent通过Windows的防火墙或Linux的Iptable,来将安全策略进行部署,本实施例中,所述根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略及所述安全策略对应的超时时间之后,所述云环境下的动态微分段方法还包括:将所述安全策略及所述安全策略对应的超时时间发送至安全终端代理,以使所述安全终端代理部署所述安全策略。一种是对于基于虚拟化监控层和分布式防火墙的实现方式:形成的安全策略及对应的超时时间下发到分布式防火墙,由分布式防火墙设置访问控制列表(access control list,ACL)规则,来将安全策略部署,所述访问控制列表为一种访问控制技术,本实施例中,所述根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略及所述安全策略对应的超时时间之后,所述云环境下的动态微分段方法还包括:将所述安全策略及所述安全策略对应的超时时间发送至分布式防火墙,以使所述分布式防火墙通过设置访问控制列表规则部署所述安全策略。
本实施例中,通过根据当前用户设备对应的访问权限范围及当前访问权限信息动态设置安全策略及所述安全策略对应的超时时间,根据所述超时时间动态调整所述安全策略,以实现用户的动态微分段部署,从而避免用户设备频繁上下线时的设置风暴问题。
参照图3,图3为本发明云环境下的动态微分段方法第二实施例的流程示意图,基于上述图2所示的实施例,提出本发明云环境下的动态微分段方法的第二实施例。
在第二实施例中,在所述步骤S10之后,还包括:
步骤S101,获取当前用户设备的历史登录信息,将所述当前登录信息与所述历史登录信息进行比对,获得比对结果;
相应地,所述步骤S30,具体包括:
步骤S301,根据所述比对结果、所述当前用户设备运行环境信息及所述当前网络环境信息确定用户的当前访问权限信息。
应理解的是,为了可以唯一验证用户设备身份,避免用户设备身份冒认问题,可通过获取当前用户设备的历史登录信息,所述历史登录信息包括用户历史登录到云环境或访问对应资源时使用的账号及密码等,将所述历史登录信息及所述当前登录信息中的账号及密码一一进行比对,判断是否一致,获得比对结果。在所述历史登录信息与所述当前登录信息一致时,则再判断所述当前用户设备运行环境信息及所述当前网络环境信息是否安全,如果均安全,则可开放所有的权限给用户设备,如果不安全,则要根据不安全因素对应开放部分权限,本实施例中,所述根据所述比对结果、所述当前用户设备运行环境信息及所述当前网络环境信息确定用户的当前访问权限信息,具体包括:判断所述当前用户设备运行环境信息及所述当前网络环境信息是否安全,获得安全判断结果;根据所述比对结果及所述安全判断结果确定当前访问权限信息。
在具体实现中,首先判断用户设备身份是否被冒认,即先判断所述当前登录信息与所述历史登录信息是否一致,在两者一致时,在判断所述当前用户设备运行环境信息及所述当前网络环境信息是否安全,本实施例中,所述根据所述比对结果及所述安全判断结果确定当前访问权限信息,具体包括:判断所述比对结果是否为所述当前登录信息与所述历史登录信息一致;在所述比对结果为所述当前登录信息与所述历史登录信息一致时,判断所述安全判断结果是否为所述当前用户设备运行环境信息及所述当前网络环境信息均为安全;在所述安全判断结果为所述当前用户设备运行环境信息及所述当前网络环境信息均为安全时,将所述访问权限范围作为当前访问权限信息。比如:没有运行不可信程序及上网环境安全等。如果没有不安全因素,给用户设备开放全部权限范围,即所述当前访问权限信息为用户设备对应的访问权限范围。
需要说明的是,为了即可以唯一且安全可靠地识别用户,也可以在无法准确判断的情况下,给予用户部分权限,在保证重要资源安全的情况下不影响用户对资源的访问使用。如果存在安全问题,比如:主机运行着不可信程序或上网环境不可信等,则依据预先定义好的规则,仅开放该用户部分权限,本实施例中,所述在所述比对结果为所述当前登录信息与所述历史登录信息一致时,判断所述安全判断结果是否为所述当前用户设备运行环境信息及所述当前网络环境信息均为安全之后,所述云环境下的动态微分段方法还包括:在所述安全判断结果为所述当前用户设备运行环境信息及所述当前网络环境信息不均为安全时,按照预设规则设置当前访问权限信息。
本实施例中,通过当前登录信息及历史登录信息,并结合所述当前用户设备运行环境信息及所述当前网络环境信息来识别用户设备,可以唯一验证用户设备身份,避免用户设备身份冒认问题,并根据预先设置规则设置当前访问权限信息,即可以唯一且安全可靠地识别用户,也可以在无法准确判断的情况下,给予用户设备部分权限,在保证重要资源安全的情况下不影响用户设备对资源的访问使用。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有云环境下的动态微分段程序,所述云环境下的动态微分段程序被处理器执行时实现如下操作:
响应于当前用户设备发送的当前登录信息,获取当前用户设备运行环境信息及当前网络环境信息;
查找所述当前用户设备对应的访问权限范围;
根据所述当前用户设备运行环境信息及所述当前网络环境信息确定当前用户设备的当前访问权限信息;
根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略及所述安全策略对应的超时时间,并记录部署所述安全策略的部署时刻;
若当前时刻与所述部署时刻之间的时间差大于等于所述超时时间,则检测所述安全策略是否被使用,获得检测结果;
根据所述检测结果调整所述安全策略,以实现用户的动态微分段部署。
进一步地,所述云环境下的动态微分段程序被处理器执行时还实现如下操作:
根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略;
获取与所述安全策略对应的目标资源的历史访问频度及历史访问时长,根据所述历史访问频度及所述历史访问时长计算所述安全策略对应的超时时间,并部署所述超时时间。
进一步地,所述云环境下的动态微分段程序被处理器执行时还实现如下操作:
获取当前用户设备的历史登录信息,将所述当前登录信息与所述历史登录信息进行比对,获得比对结果;
相应地,所述根据所述当前用户设备运行环境信息及所述当前网络环境信息确定用户的当前访问权限信息,具体包括:
根据所述比对结果、所述当前用户设备运行环境信息及所述当前网络环境信息确定用户的当前访问权限信息。
进一步地,所述云环境下的动态微分段程序被处理器执行时还实现如下操作:
判断所述当前用户设备运行环境信息及所述当前网络环境信息是否安全,获得安全判断结果;
根据所述比对结果及所述安全判断结果确定当前访问权限信息。
进一步地,所述云环境下的动态微分段程序被处理器执行时还实现如下操作:
判断所述比对结果是否为所述当前登录信息与所述历史登录信息一致;
在所述比对结果为所述当前登录信息与所述历史登录信息一致时,判断所述安全判断结果是否为所述当前用户设备运行环境信息及所述当前网络环境信息均为安全;
在所述安全判断结果为所述当前用户设备运行环境信息及所述当前网络环境信息均为安全时,将所述访问权限范围作为当前访问权限信息。
进一步地,所述云环境下的动态微分段程序被处理器执行时还实现如下操作:
在所述安全判断结果为所述当前用户设备运行环境信息及所述当前网络环境信息不均为安全时,按照预设规则设置当前访问权限信息。
进一步地,所述云环境下的动态微分段程序被处理器执行时还实现如下操作:
将所述安全策略及所述安全策略对应的超时时间发送至安全终端代理,以使所述安全终端代理部署所述安全策略。
进一步地,所述云环境下的动态微分段程序被处理器执行时还实现如下操作:
将所述安全策略及所述安全策略对应的超时时间发送至分布式防火墙,以使所述分布式防火墙通过设置访问控制列表规则部署所述安全策略。
本实施例中通过根据当前用户设备对应的访问权限范围及当前访问权限信息动态设置安全策略及所述安全策略对应的超时时间,根据所述超时时间动态调整所述安全策略,以实现用户的动态微分段部署,从而避免用户设备频繁上下线时的设置风暴问题。
本发明进一步提供一种云环境下的动态微分段系统。
参照图4,图4为为本发明云环境下的动态微分段系统第一实施例的功能模块图。
本发明云环境下的动态微分段系统第一实施例中,该云环境下的动态微分段系统包括:获取模块10、查找模块20、确定模块30、部署模块40、检测模块50和调整模块60;
所述获取模块10,用于响应于当前用户设备发送的当前登录信息,获取当前用户设备运行环境信息及当前网络环境信息;
所述查找模块20,用于查找所述当前用户设备对应的访问权限范围;
所述确定模块30,用于根据所述当前用户设备运行环境信息及所述当前网络环境信息确定当前用户设备的当前访问权限信息;
所述部署模块40,用于根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略及所述安全策略对应的超时时间,并记录部署所述安全策略的部署时刻;
所述检测模块50,用于若当前时刻与所述部署时刻之间的时间差大于等于所述超时时间,则检测所述安全策略是否被使用,获得检测结果;
所述调整模块60,用于根据所述检测结果调整所述安全策略,以实现用户的动态微分段部署。
应理解的是,所述用户设备指的是用户的主机,所述当前登录信息为用户通过账号及密码登录到云环境中或访问对应资源,为了避免用户冒认问题,除了需要验证登录信息中的账号及密码是否正确,还需要判断当前的主机信息及网络信息是否安全可信,所述当前用户设备运行环境信息包括主机的操作系统信息及主机是否运行着不可信程序等信息,所述当前网络环境信息包括媒体访问控制(Media Access Control,Mac)地址及上网环境是否可信等信息。
需要说明的是,关于如何获取当前用户设备运行环境信息及当前网络环境信息,通常有两种实现方式,一种为基于安全终端代理(agent)的实现方式:通常需要在用户主机侧安装安全终端agent,所述安全终端agent负责终端设备安全策略的实施,所述终端设备包括物理服务器、虚拟机或容器等,在用户主机尝试通过账号和密码登录到云环境中或访问对应资源时,获取当前用户设备运行环境信息和当前网络环境信息;一种为基于虚拟化监控层和分布式防火墙的实现方式:所述虚拟机监控层为所有虚拟化技术的核心,非中断地支持多工作负载迁移的能力是虚拟机监控层的基本功能,当服务器启动并执行虚拟机监控层时,它会给每一台虚拟机分配适量的内存、CPU、网络和磁盘,并加载所有虚拟机的客户操作系统,在用户尝试通过账号和密码登录到云环境中或访问对应资源时,虚拟化监控层获取当前用户设备运行环境信息和当前网络环境信息。
在具体实现中,针对不同的用户设备可预先设置其访问权限范围,可将用户设备的登录信息及用户设备对应的访问权限范围预先存储在映射关系表中,在所述云服务器响应于用户设备发送的当前登录信息,可根据所述当前登录信息从所述映射关系表中查找与所述用户设备对应的访问权限范围。
应理解的是,所述用户设备对应的访问权限范围通常包括用户设备可以访问的资源及每次登陆对应资源的访问频度及访问时长等信息。如果用户设备的权限有变动,则只需修改用户设备对应的访问权限范围。用户设备每次登陆结束后,对应资源的访问时长的平均值会自动更新。
可理解的是,对于每个用户设备,将收集到的账号、密码、当前用户设备运行环境信息及当前网络环境信息,首先将当前登录信息中的账号及密码与之前的历史登录信息进行比对。账号及密码与历史登录信息中的账号及密码一致,并且所述当前用户设备运行环境信息及所述当前网络环境信息的改变在允许范围内,比如:没有运行不可信程序及上网环境安全等。如果没有不安全因素,给用户设备开放全部权限范围。如果存在安全问题,比如:主机运行着不可信程序或上网环境不可信等,则依据预先定义好的规则,仅开放该用户部分权限,通常还给管理员报警。这样即可以唯一且安全可靠地识别用户,也可以在无法准确判断的情况下,给予用户部分权限,在保证重要资源安全的情况下不影响用户对资源的访问使用。
应理解的是,根据所述访问权限范围及所述当前访问权限信息,生成用户设备对应的个性化安全策略及各个策略的软超时时间。通常用户设备需要访问的资源为多个,用户设备对应的访问权限范围也针对不同的访问资源有相应的访问权限,根据所述当前访问权限信息可知对应的当前用户设备运行环境信息及当前网络环境信息,则针对所述当前访问权限信息部署当前用户设备的安全策略,通常所述安全策略也为多个。
需要说明的是,所述安全策略对应的超时时长t的计算方法如下:用户设备每次登录对单个资源访问频度f_i及访问时长t_i,单个资源访问频度在所有频度中所占比重为权重,即f_i/(f_1+f_2+…),按照以下公式计算得到所述超时时长:t=(t_1*f_1+t_2*f_2+…)/(f_1+f_2+…)。
可理解的是,为了实现动态微分段,即基于根据用户设备对云中服务器资源访问权限,动态设置安全终端agent或分布式防火墙的安全策略。当用户设备登录时,部署该用户设备对应的资源访问权限策略,并依据用户的历史访问时长,个性化设置每条策略的失效时间,从而用户频繁上下线时的设置风暴问题,本实施例中,所述部署模块40,还用于根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略;所述部署模块40,还用于获取与所述安全策略对应的目标资源的历史访问频度及历史访问时长,根据所述历史访问频度及所述历史访问时长计算所述安全策略对应的超时时间,并部署所述超时时间。
应理解的是,所述超时时间即对应安全策略的失效时间,在部署安全策略时,记录部署所述安全策略的部署时刻,在当前时刻与所述部署时刻之间的时间差大于等于所述超时时间,则检测所述安全策略是否被使用,所述检测结果为所述安全策略被使用或未被使用。在所述检测结果为被使用时,说明在所述超时时间内,对应的资源被访问,则对应的安全策略不需要变动;在所述检测结果为未被使用时,说明在所述超时时间内,对应的资源未被访问,则对应的安全策略可被删除,以免占用云环境中的内存资源。
在具体实现中,设置所述安全策略的超时时间,是为了避免两个问题:一,用户设备在频繁上线下线时,只要在所述超时时间内,有重新访问对应资源,对应的安全策略就不会变动,能有效抑制安全策略的设置风暴问题。二,当安全策略经过所述超时时间后都不被使用,则删除对应的安全策略,能有效节省云环境中的内存资源,从而实现用户的动态微分段。
需要说明的是,一旦经过所述超时时间后,若对应的安全策略一直没有被使用,则所述安全策略会被删除,在删除后,若所述用户设备要访问对应资源,则需要重新登录。
应理解的是,在形成安全策略及对应的超时时间之后,为了所述安全策略进行部署,通常有两种实现方式,一种是对于基于安全终端agent的实现方式:形成的安全策略及对应的超时时间下发到安全终端agent,有安全终端agent通过Windows的防火墙或Linux的Iptable,来将安全策略进行部署,本实施例中,所述根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略及所述安全策略对应的超时时间之后,所述云环境下的动态微分段方法还包括:将所述安全策略及所述安全策略对应的超时时间发送至安全终端代理,以使所述安全终端代理部署所述安全策略。一种是对于基于虚拟化监控层和分布式防火墙的实现方式:形成的安全策略及对应的超时时间下发到分布式防火墙,由分布式防火墙设置访问控制列表(access control list,ACL)规则,来将安全策略部署,所述访问控制列表为一种访问控制技术,本实施例中,所述云环境下的动态微分段系统还包括:发送模块,用于将所述安全策略及所述安全策略对应的超时时间发送至分布式防火墙,以使所述分布式防火墙通过设置访问控制列表规则部署所述安全策略。
本实施例中,通过根据当前用户设备对应的访问权限范围及当前访问权限信息动态设置安全策略及所述安全策略对应的超时时间,根据所述超时时间动态调整所述安全策略,以实现用户的动态微分段部署,从而避免用户设备频繁上下线时的设置风暴问题。
参照图5,图5为为本发明云环境下的动态微分段系统第二实施例的功能模块图。
本发明云环境下的动态微分段系统第二实施例中,所述云环境下的动态微分段系统还包括:比对模块70;
所述比对模块70,用于获取当前用户设备的历史登录信息,将所述当前登录信息与所述历史登录信息进行比对,获得比对结果;
所述确定模块30,还用于根据所述比对结果、所述当前用户设备运行环境信息及所述当前网络环境信息确定用户的当前访问权限信息。
应理解的是,为了可以唯一验证用户设备身份,避免用户设备身份冒认问题,可通过获取当前用户设备的历史登录信息,所述历史登录信息包括用户历史登录到云环境或访问对应资源时使用的账号及密码等,将所述历史登录信息及所述当前登录信息中的账号及密码一一进行比对,判断是否一致,获得比对结果。在所述历史登录信息与所述当前登录信息一致时,则再判断所述当前用户设备运行环境信息及所述当前网络环境信息是否安全,如果均安全,则可开放所有的权限给用户设备,如果不安全,则要根据不安全因素对应开放部分权限,本实施例中,所述确定模块30,还用于判断所述当前用户设备运行环境信息及所述当前网络环境信息是否安全,获得安全判断结果;所述确定模块30,还用于根据所述比对结果及所述安全判断结果确定当前访问权限信息。
在具体实现中,首先判断用户设备身份是否被冒认,即先判断所述当前登录信息与所述历史登录信息是否一致,在两者一致时,在判断所述当前用户设备运行环境信息及所述当前网络环境信息是否安全,本实施例中,所述确定模块30,还用于判断所述比对结果是否为所述当前登录信息与所述历史登录信息一致;所述确定模块30,还用于在所述比对结果为所述当前登录信息与所述历史登录信息一致时,判断所述安全判断结果是否为所述当前用户设备运行环境信息及所述当前网络环境信息均为安全;所述确定模块30,还用于在所述安全判断结果为所述当前用户设备运行环境信息及所述当前网络环境信息均为安全时,将所述访问权限范围作为当前访问权限信息。比如:没有运行不可信程序及上网环境安全等。如果没有不安全因素,给用户设备开放全部权限范围,即所述当前访问权限信息为用户设备对应的访问权限范围。
需要说明的是,为了即可以唯一且安全可靠地识别用户,也可以在无法准确判断的情况下,给予用户部分权限,在保证重要资源安全的情况下不影响用户对资源的访问使用。如果存在安全问题,比如:主机运行着不可信程序或上网环境不可信等,则依据预先定义好的规则,仅开放该用户部分权限,本实施例中,所述云环境下的动态微分段系统还包括:设置模块,用于在所述安全判断结果为所述当前用户设备运行环境信息及所述当前网络环境信息不均为安全时,按照预设规则设置当前访问权限信息。
本实施例中,通过当前登录信息及历史登录信息,并结合所述当前用户设备运行环境信息及所述当前网络环境信息来识别用户设备,可以唯一验证用户设备身份,避免用户设备身份冒认问题,并根据预先设置规则设置当前访问权限信息,即可以唯一且安全可靠地识别用户,也可以在无法准确判断的情况下,给予用户设备部分权限,在保证重要资源安全的情况下不影响用户设备对资源的访问使用。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。词语第一、第二、以及第三等的使用不表示任何顺序,可将这些词语解释为名称。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (13)
1.一种云环境下的动态微分段方法,其特征在于,所述云环境下的动态微分段方法包括以下步骤:
云服务器响应于当前用户设备发送的当前登录信息,获取当前用户设备运行环境信息及当前网络环境信息;
查找所述当前用户设备对应的访问权限范围;
根据所述当前用户设备运行环境信息及所述当前网络环境信息确定当前用户设备的当前访问权限信息;
根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略及所述安全策略对应的超时时间,并记录部署所述安全策略的部署时刻;
若当前时刻与所述部署时刻之间的时间差大于等于所述超时时间,则检测所述安全策略是否被使用,获得检测结果;
在所述检测结果为被使用时,所述安全策略不需要变动,在所述检测结果为未被使用时,删除所述安全策略,以实现用户的动态微分段部署。
2.如权利要求1所述的云环境下的动态微分段方法,其特征在于,所述根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略及所述安全策略对应的超时时间,具体包括:
根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略;
获取与所述安全策略对应的目标资源的历史访问频度及历史访问时长,根据所述历史访问频度及所述历史访问时长计算所述安全策略对应的超时时间,并部署所述超时时间。
3.如权利要求2所述的云环境下的动态微分段方法,其特征在于,所述响应于当前用户设备发送的当前登录信息,获取当前用户设备运行环境信息及当前网络环境信息之后,所述云环境下的动态微分段方法还包括:
获取当前用户设备的历史登录信息,将所述当前登录信息与所述历史登录信息进行比对,获得比对结果;
相应地,所述根据所述当前用户设备运行环境信息及所述当前网络环境信息确定用户的当前访问权限信息,具体包括:
根据所述比对结果、所述当前用户设备运行环境信息及所述当前网络环境信息确定用户的当前访问权限信息。
4.如权利要求3所述的云环境下的动态微分段方法,其特征在于,所述根据所述比对结果、所述当前用户设备运行环境信息及所述当前网络环境信息确定用户的当前访问权限信息,具体包括:
判断所述当前用户设备运行环境信息及所述当前网络环境信息是否安全,获得安全判断结果;
根据所述比对结果及所述安全判断结果确定当前访问权限信息。
5.如权利要求4所述的云环境下的动态微分段方法,其特征在于,所述根据所述比对结果及所述安全判断结果确定当前访问权限信息,具体包括:
判断所述比对结果是否为所述当前登录信息与所述历史登录信息一致;
在所述比对结果为所述当前登录信息与所述历史登录信息一致时,判断所述安全判断结果是否为所述当前用户设备运行环境信息及所述当前网络环境信息均为安全;
在所述安全判断结果为所述当前用户设备运行环境信息及所述当前网络环境信息均为安全时,将所述访问权限范围作为当前访问权限信息。
6.如权利要求5所述的云环境下的动态微分段方法,其特征在于,所述在所述比对结果为所述当前登录信息与所述历史登录信息一致时,判断所述安全判断结果是否为所述当前用户设备运行环境信息及所述当前网络环境信息均为安全之后,所述云环境下的动态微分段方法还包括:
在所述安全判断结果为所述当前用户设备运行环境信息及所述当前网络环境信息不均为安全时,按照预设规则设置当前访问权限信息。
7.如权利要求1至6任一项中所述的云环境下的动态微分段方法,其特征在于,所述根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略及所述安全策略对应的超时时间之后,所述云环境下的动态微分段方法还包括:
将所述安全策略及所述安全策略对应的超时时间发送至安全终端代理,以使所述安全终端代理部署所述安全策略。
8.如权利要求1至6任一项中所述的云环境下的动态微分段方法,其特征在于,所述根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略及所述安全策略对应的超时时间之后,所述云环境下的动态微分段方法还包括:
将所述安全策略及所述安全策略对应的超时时间发送至分布式防火墙,以使所述分布式防火墙通过设置访问控制列表规则部署所述安全策略。
9.一种云服务器,其特征在于,所述云服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的云环境下的动态微分段程序,所述云环境下的动态微分段程序配置为实现如权利要求1至8中任一项所述的云环境下的动态微分段的方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有云环境下的动态微分段程序,所述云环境下的动态微分段程序被处理器执行时实现如权利要求1至8中任一项所述的云环境下的动态微分段方法的步骤。
11.一种云环境下的动态微分段系统,其特征在于,所述云环境下的动态微分段系统包括:获取模块、查找模块、确定模块、部署模块、检测模块和调整模块;
所述获取模块,用于响应于当前用户设备发送的当前登录信息,获取当前用户设备运行环境信息及当前网络环境信息;
所述查找模块,用于查找所述当前用户设备对应的访问权限范围;
所述确定模块,用于根据所述当前用户设备运行环境信息及所述当前网络环境信息确定当前用户设备的当前访问权限信息;
所述部署模块,用于根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略及所述安全策略对应的超时时间,并记录部署所述安全策略的部署时刻;
所述检测模块,用于若当前时刻与所述部署时刻之间的时间差大于等于所述超时时间,则检测所述安全策略是否被使用,获得检测结果;
所述调整模块,用于在所述检测结果为被使用时,所述安全策略不需要变动,在所述检测结果为未被使用时,删除所述安全策略,以实现用户的动态微分段部署。
12.如权利要求11所述的云环境下的动态微分段系统,其特征在于,所述部署模块,还用于根据所述访问权限范围及所述当前访问权限信息,部署当前用户设备的安全策略;
所述部署模块,还用于获取与所述安全策略对应的目标资源的历史访问频度及历史访问时长,根据所述历史访问频度及所述历史访问时长计算所述安全策略对应的超时时间,并部署所述超时时间。
13.如权利要求12所述的云环境下的动态微分段系统,其特征在于,所述云环境下的动态微分段系统还包括:比对模块;
所述比对模块,用于获取当前用户设备的历史登录信息,将所述当前登录信息与所述历史登录信息进行比对,获得比对结果;
所述确定模块,还用于根据所述比对结果、所述当前用户设备运行环境信息及所述当前网络环境信息确定用户的当前访问权限信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810486085.7A CN110505262B (zh) | 2018-05-18 | 2018-05-18 | 云环境下的动态微分段方法、系统、云服务器及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810486085.7A CN110505262B (zh) | 2018-05-18 | 2018-05-18 | 云环境下的动态微分段方法、系统、云服务器及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110505262A CN110505262A (zh) | 2019-11-26 |
| CN110505262B true CN110505262B (zh) | 2022-04-29 |
Family
ID=68584510
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810486085.7A Active CN110505262B (zh) | 2018-05-18 | 2018-05-18 | 云环境下的动态微分段方法、系统、云服务器及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110505262B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111371738A (zh) * | 2020-02-10 | 2020-07-03 | 深信服科技股份有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
| CN113867926A (zh) * | 2020-06-30 | 2021-12-31 | 中兴通讯股份有限公司 | 一种云环境管理方法、云环境管理平台及存储介质 |
| CN111866995B (zh) * | 2020-07-26 | 2021-01-19 | 广云物联网科技(广州)有限公司 | 一种基于微信小程序的智能设备配网方法及系统 |
| CN111935165B (zh) * | 2020-08-14 | 2022-09-20 | 中国工商银行股份有限公司 | 访问控制方法、装置、电子设备及介质 |
| CN115086164B (zh) * | 2021-03-11 | 2024-06-18 | 中国电信股份有限公司 | 策略下发方法、系统、装置及计算机可读存储介质 |
| CN114244555B (zh) * | 2021-11-04 | 2024-01-26 | 华能信息技术有限公司 | 一种安全策略的调整方法 |
| CN114499948A (zh) * | 2021-12-23 | 2022-05-13 | 麒麟软件有限公司 | 一种Linux防火墙动态策略处理方法、装置及存储介质 |
| CN115277100B (zh) * | 2022-06-30 | 2024-10-01 | 新华三技术有限公司合肥分公司 | 一种安全认证方法及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
| CN103561002A (zh) * | 2013-10-22 | 2014-02-05 | 北京神州泰岳软件股份有限公司 | 基于防火墙策略的安全访问方法和系统 |
| CN105227572A (zh) * | 2015-10-19 | 2016-01-06 | 武汉大学 | 一种移动平台上基于情景感知的访问控制系统及方法 |
| CN107911282A (zh) * | 2017-11-15 | 2018-04-13 | 广州百兴网络科技有限公司 | 一种面向社交网络实现第三方应用植入的网络系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9027076B2 (en) * | 2012-03-23 | 2015-05-05 | Lockheed Martin Corporation | Method and apparatus for context aware mobile security |
-
2018
- 2018-05-18 CN CN201810486085.7A patent/CN110505262B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
| CN103561002A (zh) * | 2013-10-22 | 2014-02-05 | 北京神州泰岳软件股份有限公司 | 基于防火墙策略的安全访问方法和系统 |
| CN105227572A (zh) * | 2015-10-19 | 2016-01-06 | 武汉大学 | 一种移动平台上基于情景感知的访问控制系统及方法 |
| CN107911282A (zh) * | 2017-11-15 | 2018-04-13 | 广州百兴网络科技有限公司 | 一种面向社交网络实现第三方应用植入的网络系统 |
Non-Patent Citations (1)
| Title |
|---|
| 基于TNC体系的移动终端可信网络接入模型研究;张忠杰;《信息科技辑》;20110915 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110505262A (zh) | 2019-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110505262B (zh) | 云环境下的动态微分段方法、系统、云服务器及存储介质 | |
| US8832796B2 (en) | Wireless communication terminal, method for protecting data in wireless communication terminal, program for having wireless communication terminal protect data, and recording medium storing the program | |
| JP4628149B2 (ja) | アクセス制御装置及びアクセス制御方法 | |
| US20080009266A1 (en) | Communication Device, Wireless Network, Program, And Storage Medium | |
| JP2010182319A (ja) | コンピュータ装置上の記憶領域へのアプリケーションレベルのアクセス特権 | |
| US8677508B2 (en) | Confidential information leakage prevention system, confidential information leakage prevention method and confidential information leakage prevention program | |
| CN112231726B (zh) | 基于可信验证的访问控制方法、装置和计算机设备 | |
| CN111711631B (zh) | 一种网络访问控制方法、装置、设备及存储介质 | |
| CN102413220B (zh) | 一种控制连接功能的使用权限的方法及移动终端 | |
| CN108763951A (zh) | 一种数据的保护方法及装置 | |
| CN106982430B (zh) | 一种基于用户使用习惯的Portal认证方法及系统 | |
| KR101478801B1 (ko) | 가상 머신을 이용한 클라우드 컴퓨팅 서비스를 제공하는 시스템 및 방법 | |
| EP1643409A2 (en) | Application programming Interface for Access authorization | |
| KR101561167B1 (ko) | 안드로이드 모바일 플랫폼에서의 응용 프로그램 권한 제어 시스템 및 방법 | |
| CN112099904A (zh) | 一种虚拟机的嵌套页表管理方法、装置、处理器芯片及服务器 | |
| CN109672695A (zh) | 一种双因子身份认证方法及装置 | |
| WO2015078247A1 (en) | Method, apparatus and terminal for monitoring phishing | |
| CN108494749B (zh) | Ip地址禁用的方法、装置、设备及计算机可读存储介质 | |
| CN103870761A (zh) | 基于本地虚拟环境的防泄密方法及装置 | |
| CN104850776A (zh) | 控制对api调用的方法、装置与移动终端 | |
| CN110351719B (zh) | 一种无线网络管理方法、系统及电子设备和存储介质 | |
| CN103377055B (zh) | 移动终端中程序运行的方法和装置 | |
| CN113645060B (zh) | 一种网卡配置方法、数据处理方法及装置 | |
| CN112351005A (zh) | 物联网通信方法、装置、可读存储介质及计算机设备 | |
| CN114239001A (zh) | 一种运输平台接入权限控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |