CN112115484B - 应用程序的访问控制方法、装置、系统及介质 - Google Patents
应用程序的访问控制方法、装置、系统及介质 Download PDFInfo
- Publication number
- CN112115484B CN112115484B CN202011037158.8A CN202011037158A CN112115484B CN 112115484 B CN112115484 B CN 112115484B CN 202011037158 A CN202011037158 A CN 202011037158A CN 112115484 B CN112115484 B CN 112115484B
- Authority
- CN
- China
- Prior art keywords
- access
- access request
- evaluation
- application
- application program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 69
- 238000003860 storage Methods 0.000 claims abstract description 23
- 230000005540 biological transmission Effects 0.000 claims abstract description 13
- 230000008569 process Effects 0.000 claims abstract description 13
- 238000011156 evaluation Methods 0.000 claims description 155
- 238000004422 calculation algorithm Methods 0.000 claims description 26
- 230000002265 prevention Effects 0.000 claims description 25
- 230000015654 memory Effects 0.000 claims description 12
- 230000006399 behavior Effects 0.000 claims description 8
- 230000002155 anti-virotic effect Effects 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 description 12
- 238000004590 computer program Methods 0.000 description 11
- 238000013475 authorization Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000002159 abnormal effect Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000007726 management method Methods 0.000 description 6
- 238000012986 modification Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 6
- 241000700605 Viruses Species 0.000 description 5
- 230000007613 environmental effect Effects 0.000 description 5
- 230000014509 gene expression Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000009472 formulation Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000000758 substrate Substances 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 108010001267 Protein Subunits Proteins 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000011002 quantification Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本公开提供了一种应用程序的访问控制方法、装置、系统及计算机可读存储介质,属于信息安全技术领域。所述方法包括:接收对所述应用程序的访问请求;响应于所述访问请求,获取所述访问请求从产生到传输至所述应用程序的过程中各个环节的访问特征信息;基于所述访问特征信息对所述访问请求进行评估;以及当评估所述访问请求符合所述应用程序的安全访问条件时,允许基于所述访问请求访问所述应用程序。
Description
技术领域
本公开涉及信息安全技术领域,更具体地,涉及一种应用程序的访问控制方法、装置、系统及介质。
背景技术
远程办公、移动办公成为企业保障生产力的主要方式,且具有长期存在的趋势。如何防止生产业务系统中的敏感信息外泄就显得格外关键,尤其对银行系统而言。
传统安全防控框架主要采用基于网络层进行边界防控,内外网访问控制仅通过虚拟专用网络进行单点内部网络接入控制,而内部网络域可访问的业务服务使用静态的应用访问权限控制机制。然而当虚拟专用网络网关存在漏洞时,攻击者可轻易进入企业内部网络,通过钓鱼、木马、弱密码等攻击方式,可非法访问业务,获取高价值数据。而且一旦单点防控的网关存在漏洞被攻击者攻破,攻击者将可访问内部网络信任区内的、受攻击者已被静态授权的所有业务系统,这时往往仅能通过关闭虚拟访问网络、防火墙访问策略收紧等措施降低风险,技术操作复杂、且灵活性差。
在基于零信任架构的框架下,基于网络层的安全防控框架中默认不信任网络的任何节点,寄希望于在网络层认证和授权的基础上,按照零信任架构理念建设或重构企业网络架构实现。这种方式的实现一般需对企业现有网络架构和分层进行较大调整,增加大量访问控制类网络设备。
发明内容
有鉴于此,本公开实施例提供了一种在应用层实施零信任体系的应用程序的访问控制方法和装置、系统、及介质。
本公开实施例的一个方面提供了一种应用程序的访问控制方法。所述方法包括:接收对所述应用程序的访问请求;响应于所述访问请求,获取所述访问请求从产生到传输至所述应用程序的过程中各个环节的访问特征信息;基于所述访问特征信息对所述访问请求进行评估;以及当评估所述访问请求符合所述应用程序安全访问条件时,允许基于所述访问请求访问所述应用程序。
根据本公开的实施例,所述访问请求从产生到传输至所述应用程序的过程中各个环节的访问特征信息包括以下至少之一:生成所述访问请求的终端设备的终端特征信息;发送所述访问请求的用户的用户特征信息;以及传输所述访问请求的网络环境的环境特征信息。
根据本公开的实施例,所述基于所述访问特征信息对所述访问请求进行评估包括:基于所述应用程序的应用特征信息以及所述访问特征信息,对所述访问请求进行评估。
根据本公开的实施例,所述基于所述访问特征信息评估对所述访问请求进行评估包括:利用外部独立评估单元按照通用评估逻辑评估所述访问特征信息,以得到访问评估指标;以及利用信任评估单元按照专用评估逻辑评估所述访问评估指标。其中,所述通用评估逻辑为针对任意的应用程序均通用的评估逻辑,所述专用评估逻辑为基于所述应用程序的应用特征信息而确定的评估逻辑。
根据本公开的实施例,所述外部独立评估单元包括以下至少之一:终端管控单元、用户行为防控单元、防病毒单元、或者数据防泄漏单元。
根据本公开的实施例,所述利用信任评估单元按照专用评估逻辑评估所述访问评估指标还包括:所述信任评估单元结合通过所述访问请求访问所述应用程序时的身份认证凭证方式、和/或凭证认证通过率,对所述评估指标进行评估。
根据本公开的实施例,所述方法还包括按照所述专用评估逻辑设置所述信任评估单元中的信任算法模型。
根据本公开的实施例,所述应用特征信息包括所述应用程序的业务存储及可访数据等级,所述评估指标包括数据防泄漏指标。所述按照所述专用评估逻辑设置所述信任评估单元中的信任算法模型,包括根据所述业务存储及可访数据等级设置所述信任算法模型中的数据防泄漏指标的权重系数。
根据本公开的实施例,所述应用特征信息包括所述应用程序的安全要求等级,所述评估指标包括用于衡量终端设备的运行安全性的终端环境安全指标。所述按照所述专用评估逻辑设置所述信任评估单元中的信任算法模型,包括根据所述应用程序的安全要求等级,设置所述信任算法模型中的所述终端环境的安全指标的权重系数。
根据本公开的实施例,所述响应于所述访问请求符合所述安全访问条件,允许基于所述访问请求访问所述应用程序,包括控制所述应用程序基于所述访问请求建立应用会话。
本公开实施例的另一方面,提供了一种应用程序的访问控制装置。所述装置包括接收模块、特征获取模块、评估模块、以及访问模块。接收模块用于接收对所述应用程序的访问请求。特征获取模块用于响应于所述访问请求,获取所述访问请求从产生到传输至所述应用程序的过程中各个环节的访问特征信息。评估模块用于基于所述访问特征信息对所述所述访问请求进行评估。访问模块用于当评估所述访问请求符合所述应用程序的安全访问条件时,允许基于所述访问请求访问所述应用程序。
根据本公开的实施例,所述评估模块包括外部独立评估单元和信任评估单元。外部独立评估单元用于按照通用评估逻辑评估所述访问特征信息,以得到访问评估指标。信任评估单元用于按照专用评估逻辑评估所述访问评估指标。其中,所述通用评估逻辑为针对任意的应用程序均通用的评估逻辑,所述专用评估逻辑为基于所述应用程序的应用特征信息而确定的评估逻辑。
根据本公开的实施例,所述信任评估单元还用于按照所述专用评估逻辑设置其中的信任算法模型。
本公开实施例的另一方面,提供了一种应用程序的访问控制系统。所述系统包括一个或多个存储器、以及一个或多个处理器。所述存储器上存储有计算机可执行指令。所述处理器执行所述指令,以实现如上所述的方法。
本公开实施例的另一方面,提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行如上所述的方法。
本公开实施例的另一方面提供了一种计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开的实施例允许符合所访问的应用程序的安全访问条件的访问请求访问应用程序,而不允许不符合所访问的应用程序的安全访问条件的访问请求访问应用程序,以此方式可以保护应用程序中的数据不被不可信的访问获取到。从而实现了在对应用层面提供更细粒度访问控制手段,而且对于不同的应用程序还可以根据各自的特点设置不同的安全访问条件,从而可以实现更为灵活、多样化、且更具针对性的访问控制。而且避免了对硬件设备的大范围改动。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的用于应用程序的访问控制方法和装置的系统架构;
图2示意性示出了根据本公开实施例的应用程序的访问控制方法和装置的应用场景;
图3示意性示出了根据本公开一实施例的应用程序的访问控制方法的流程图;
图4示意性示出了根据本公开另一实施例的应用程序的访问控制方法的流程图;
图5示意性示出了根据本公开另一实施例的应用程序的访问控制方法和装置的应用场景;
图6示意性示出了根据本公开实施例的应用程序的访问控制装置的框图;以及
图7示意性示出了适于实现根据本公开实施例的应用程序的访问控制方法的计算机系统的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
鉴于基于网络层的零信任体系架构往往需要增加大量访问控制类网络设备,改动成本高,而且存在单点登录风险大、访问控制粗粒度、流程时效性长等问题,本公开实施例提供了一种在应用层实施零信任体系的应用程序的访问控制方法、装置、系统、及介质。
本公开实施例的应用程序的访问控制方法可以包括首先接收对应用程序的访问请求。然后响应于访问请求,获取访问请求从产生到传输至应用程序的过程中各个环节的访问特征信息。接着基于访问特征信息对访问请求进行评估。最后当评估到该访问请求符合应用程序的安全访问条件时,允许基于访问请求访问应用程序。
根据本公开的实施例,允许符合所访问的应用程序的安全访问条件的访问请求访问应用程序,而不允许不符合所访问的应用程序的安全访问条件的访问请求访问应用程序,以此方式可以保护应用程序中的数据不被不可信的访问获取到,即使该访问请求突破了网络层的防控漏洞。从而实现了在对应用层面提供更细粒度访问控制手段,而且对于不同的应用程序还可以根据各自的特点设置不同的安全访问条件,从而可以实现更为灵活、多样化、且更具针对性的访问控制。而且,本公开实施例基于应用层的访问控制,对硬件设备的改动成本低,更容易适用于大型的、已具有复杂的网络分层机构的系统中。
需要说明的是,本公开实施例提供的应用程序的访问控制方法和装置可用于金融领域,在满足远程办公需求、数据保护和监管要求下,帮助金融机构提升可信访问和业务数据保护能力。当然可以理解,本公开实施例提供的应用程序的访问控制方法和装置也可用于除金融领域之外的任意领域,本公开对此不做限定。
图1示意性示出了根据本公开实施例的用于应用程序的访问控制方法和装置的系统架构100。
如图1所示,根据该实施例的系统架构100可以包括终端设备101、网络102和服务器103。网络102为用以在终端设备101和服务器103之间提供通信链路的介质。网络102可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
终端设备101可以安装有各类应用程序(例如,各种业务系统)的客户端。服务器103中可以部署各类应用程序的后台服务、处理、以及数据库系统等。用户1可以使用终端设备101通过网络102与服务器103交互,请求访问应用程序。
服务器103接收到访问请求后,可以执行本公开实施例所提供的应用程序的访问控制方法,基于访问请求产生以及传输过程中涉及的用户1的用户特征信息、终端设备101的终端特征信息、和/或传输过程中网络102的环境特征信息等访问特征信息,对访问请求进行评估。当评估结果认为访问请求符合所访问的应用程序的安全访问条件时,则允许访问请求访问该应用程序。
需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
图2示意性示出了根据本公开实施例的应用程序的访问控制方法和装置的应用场景200。
如图2所示,该应用场景200可以包括访问控制装置21和应用程序22。其中,用于访问应用程序22的访问请求201在到达应用程序22之前会被访问控制装置21拦截,经过访问控制装置21的评估后,如果可信则可以访问应用程序22;如果不可信则禁止访问应用程序22。
结合系统架构100,该应用程序22的服务端可以设置于服务器103中。该访问控制装置21也可以设置于服务器103中。或者,该访问控制装置21也可以部分设置于终端设备101,部分设置与服务器103。
不同于基于网络层的访问控制方法,该应用场景200中对到达应用程序22的访问请求201进行拦截和评估,当确定该访问请求201符合应用程序22的安全访问条件时才放行。因此,即使该访问请求201是突破了网络层的漏洞的请求,也会被访问控制装置21给最终拦截,加强了应用程序22的安全性,避免基于网络层的防控手段一刀切的业务体验问题,控制手段更具针对性,极大降低防控影响面,达到安全和体验的平衡。
该访问请求201例如可以是用户1在终端设备101中的操作而发送的。访问控制装置21可以获取用户1的各类特征信息、终端设备101的各类特征信息、和/或网络102的各类特征信息,并结合应用程序22的自身安全要求信息等信息对访问请求201进行评估,以实现本公开实施例的访问控制方法。
该访问控制装置21具体可以实现为如下文所示的装置600,或者计算机系统700,或者也可以被实现为可读存储介质、或者各种程序产品等。
根据本公开的实施例,在应用层进行访问控制,可以基于更详尽的用户、终端设备、网络环境、以及应用程序多层面的信息对访问请求进行评估,可以提高评估的准确性和针对性,更有效的控制对应用程序的访问。
以下以图1和图2的场景为例,结合图3和图4对本公开实施例的方法进行示例性说明。
图3示意性示出了根据本公开一实施例的应用程序的访问控制方法的流程图。
如图3所示,根据该实施例,该应用程序的访问控制方法可以包括操作S310~操作S340。
在操作S310,接收对应用程序22的访问请求201。应用程序22例如可以是各种业务系统。当用户1通过在终端设备101中的操作请求登陆某个业务系统时,终端设备101会产生并对外发送该访问请求201.
在操作S320,响应于访问请求201,获取访问请求201从产生到传输至应用程序22的过程中各个环节的访问特征信息。
根据本公开的实施例,访问请求201从产生到传输至应用程序22的过程中各个环节的访问特征信息包括以下至少之一:生成访问请求201的终端设备101的终端特征信息,发送访问请求201的用户1的用户特征信息,或者传输访问请求201的网络环境的环境特征信息。
终端设备101的终端特征信息的内容例如可以包括但不限于如表1所示的项目:
表1
| 项目 |
| 终端设备所属渠道的身份信息 |
| 终端设备历史使用时间段分布 |
| 终端设备上的补丁安装情况 |
| 终端设备中异常端口的开放情况 |
| 终端设备中病毒特征码更新情况 |
| 终端设备中历史病毒报警数量、类别 |
| 终端设备中异常内外网互联情况 |
| 终端设备中黑灰名单程序运行情况 |
| 终端设备中异常脚本程序使用情况 |
用户1的用户特征信息的内容例如可以包括但不限于如表2所示的项目:
表2
网络环境的环境特征信息例如可以是访问请求201是来从内网发送的还是从外网发送来的,访问请求201的传输使用的是移动通信网络、还是电信网络、还是其他等,以及访问请求201的传输所使用的网络的安全等级等信息。
在操作S330,基于访问特征信息对访问请求201进行评估。
在一个实施例中,操作S330中还可以基于应用程序22的应用特征信息以及访问特征信息,评估访问请求201是否符合安全访问条件。
应用程序22的应用特征信息例如可以包括但不限于应用程序22的安全等级、被访问受众属性、应用存储数据等级等信息。
在操作S340,当评估访问请求201符合应用程序22的安全访问条件时,允许基于访问请求201访问应用程序22。例如,控制应用程序22基于访问请求201建立应用会话。
图4示意性示出了根据本公开另一实施例的应用程序的访问控制方法的流程图。
如图4所示,根据该实施例,该应用程序22的访问控制方法除了操作S310、操作S320、以及操作S340以外,还可以包括操作S431和操作S432。其中,操作S431和操作S432为操作S330的一种具体实施例。
具体地,首先经过操作S310和操作S320接收到访问请求201并获取到访问特征信息。
然后在操作S431,利用外部独立评估单元按照通用评估逻辑评估访问特征信息,以得到访问评估指标。其中,通用评估逻辑为针对任意的应用程序均通用的评估逻辑。
该外部独立评估单元例如可以是已有的评估单元、模块、或设备。可以利用该外部独立评估单元按照已有的通用评估逻辑对访问请求201的访问特征信息进行初步评估。
根据本公开的实施例外部独立评估单元包括以下至少之一:终端管控单元、用户行为防控单元、防病毒单元、或者数据防泄漏单元。
在一个实施例的金融系统中,已部署有终端管控单元、用户行为防控单元、防病毒单元、或者数据防泄漏单元等,从而可以对现有的防病毒单元、终端管控单元、数据防泄漏单元和用户行为防控单元的安防系统数据进行整合,打破各单元风险监测数据自循环,为应用程序22的访问控制提供多维度数据和评估指标。以此方式,可以有效整合企业现有的数据防泄漏、终端安全防控和用户行为防控等已投入成本、能力和数据资源,改动成本低,提升数据利用率,具有实施高可行性。
接下来在操作S432,利用信任评估单元按照专用评估逻辑评估访问评估指标。其中,专用评估逻辑为基于应用程序22的应用特征信息而确定的评估逻辑。对于不同于应用程序22的其他应用程序,其专用评估逻辑则可能不同。
信任评估单元可以按照专用评估逻辑设置信任评估单元中的信任算法模型。例如。在设置信任算法模型时可以根据应用的自身安全等级、被访问受众属性、应用存储数据等级等,对访问评估指标设置不同的权重、或应用不同的数据处理方法等。
例如,在一个实施例中,应用特征信息包括应用程序22的安全要求等级,评估指标包括用于衡量终端设备101、的运行安全性的终端环境安全指标。从而在设置信任算法模型时可以根据应用程序22的安全要求等级,来设置信任算法模型中的终端环境的安全指标的权重系数。
又例如,在另一个实施例中,应用特征信息包括应用程序22的业务存储及可访数据等级,评估指标包括用于衡量终端设备101的数据安全性的数据防泄漏安全指标。从而在设置信任算法模型时可以根据应用程序22的业务存储及可访数据等级,来设置信任算法模型中的数据防泄漏安全指标的权重系数。
在另一些实施中,该信任算法模型还可以是机器学习模型。在训练该信任算法模型时,可以结合应用程序22的自身安全等级、被访问受众属性、应用存储数据等级等特征信息,对访问评估指标进行学习训练。
根据本公开的实施例,操作S432中信任评估单元还可以结合通过访问请求201访问应用程序22时的身份认证凭证方式和/或凭证认证通过率,对评估指标进行评估。身份认证凭证方式例如可以包括动态口令、U盾、短信验证码等方式。凭证认证通过率例如可以是一次认证通过、还是多次输入信息后才通过。不同的身份认证方式和/或不同的凭证认证通过率,可以使信任评估单元在对访问请求201进行评估时适应性调整信任估结果。
之后在操作S340中根据评估结果,允许符合安全访问条件的访问请求201访问应用程序。
图5示意性示出了根据本公开另一实施例的应用程序的访问控制方法的应用场景。该应用场景为本公开实施例的访问控制方法的一个具体应用实例。可以理解该应用实例仅为示例性的,不对本公开构成任何限定。
如图5所示,该应用场景可以包括数据监测采集单元511、外部独立评估单元512、信任评估单元513、动态访问控制单元514、可信身份认证单元515以及应用程序52。应用程序52例如可以是各类业务系统。
用于访问应用程序52的访问请求501需先经过可信身份认证单元515认证才可以访问应用程序52。如果访问请求501可信,则允许访问应用程序52。如果访问请求501不可信,则不允许访问应用程序52。以此方式在应用侧建立了访问控制通道。
可信身份认证单元515在接收到访问请求501后,向动态访问控制单元514申请访问授权信息。动态访问控制单元514根据数据监测采集单元511、外部独立评估单元512、信任评估单元513组合后得到的评估结果,并结合授权策略确定是否对访问请求501进行授权。
数据监测采集单元511、外部独立评估单元512、信任评估单元513、动态访问控制单元514和可信身份认证单元515共同组成了对应用程序52进行访问控制的采集、分析和控制节点。
数据监测采集单元511可以包括终端环境监测模块、用户行为监测模块、病毒监测模块、以及数据防泄漏模块,可以设置在终端设备101或者网络102中,用于采集例如表1所示的终端特征信息、以及例如表2所示的用户特征信息等访问特征信息。
外部独立评估单元512可以设置在服务器103中,对数据监测采集单元511采集得到的访问特征信息,按照各自的通用评估逻辑进行数据预处理和风险评判,得到评估指标。然后将评估指标传送至信任评估单元513。外部独立评估单元512例如可以包括系统中已部署的安全评估装置,例如终端管控单元、用户行为防控单元、防病毒单元、或者数据防泄漏单元等。
信任评估单元513可以设置在服务器103中,可以接收外部独立评估单元512发送的评估指标,结合本次访问的身份认证凭证方式、凭证认证通过率,利用信任评估单元513中设置的信任算法模型生成信任评分,评判本次访问的用户是否属于应用程序52的授权访问用户集合,本次访问的信任评分是否满足该应用程序52允许的最低信任评分。
在一个实施例中,可以预先设置信任算法模型的通用表达式或者通用架构。然后针对不同的应用程序可以根据各个应用程序各自的特性,对信任算法模型进行局部调整。
例如,当该应用程序52的业务存储及可访数据为高等级时,可以在信任算法模型中对数据防泄漏的指标设置较高的权值。其中,数据防泄漏的指标包括但不限于数据保密性异常、下载密级文件频度异常等指标。
当该应用程序52是安全等级为低等级时,可以在信任算法模型中对终端环境安全性指标设置较高的权重,来规避应用程序安全等级低可能产生的漏洞。其中,终端环境安全性指标包括但不限于病毒特征码更新异常、病毒报警异常等指标。最终,将评判结果传送至动态访问控制单元。
动态访问控制单元514接收信任评估单元的评分结果,按照授权策略进行动态授权。将授权指令发送至可信身份认证单元515。
可信身份认证单元515用于接收动态访问控制单元的授权指令,控制所访问应用的应用会话建立及凭证传递等。
从而在应用场景中可以以全面身份化、风险度量化、数据集中智能化、授权动态化和管理自动化五个方面,在应用层实现零信任实现动态应用访问授权。
图6示意性示出了根据本公开实施例的应用程序的访问控制装置600的框图。
如图6所示,根据本公开实施例的应用程序的访问控制装置600可以包括接收模块610、特征获取模块620、评估模块630、以及访问模块640。该装置600可以用于实现参考图3或图4所描述的方法。
接收模块610例如可以执行操作S310,用于接收对应用程序的访问请求。
特征获取模块620例如可以执行操作S320,用于响应于访问请求,获取访问请求从产生到传输至应用程序的过程中各个环节的访问特征信息。
评估模块630例如可以执行操作S330,用于基于访问特征信息对访问请求进行评估。
访问模块640例如可以执行操作S340,用于当评估该访问请求符合应用程序的安全访问条件时,允许基于访问请求访问应用程序。
根据本公开的实施例,评估模块630包括外部独立评估单元和信任评估单元。外部独立评估单元例如可以执行操作S431,用于按照通用评估逻辑评估访问特征信息,以得到访问评估指标。信任评估单元513例如可以执行操作S432,用于按照专用评估逻辑评估访问评估指标。其中,通用评估逻辑为针对任意的应用程序均通用的评估逻辑,专用评估逻辑为基于应用程序的应用特征信息而确定的评估逻辑。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,接收模块610、特征获取模块620、评估模块630、访问模块640、数据监测采集单元511、外部独立评估单元512、信任评估单元513、动态访问控制单元514和可信身份认证单元515中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,接收模块610、特征获取模块620、评估模块630、访问模块640、数据监测采集单元511、外部独立评估单元512、信任评估单元513、动态访问控制单元514和可信身份认证单元515中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,接收模块610、特征获取模块620、评估模块630、访问模块640、数据监测采集单元511、外部独立评估单元512、信任评估单元513、动态访问控制单元514和可信身份认证单元515中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图7示意性示出了适于实现根据本公开实施例的应用程序的访问控制方法的计算机系统700的方框图。图7示出的计算机系统700仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,根据本公开实施例的计算机系统700包括处理器701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。处理器701例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器701还可以包括用于缓存用途的板载存储器。处理器701可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 703中,存储有计算机系统700操作所需的各种程序和数据。处理器701、ROM702以及RAM 703通过总线704彼此相连。处理器701通过执行ROM 702和/或RAM 703中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 702和RAM 703以外的一个或多个存储器中。处理器701也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,计算机系统700还可以包括输入/输出(I/O)接口705,输入/输出(I/O)接口705也连接至总线704。计算机系统700还可以包括连接至I/O接口705的以下部件中的一项或多项:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被处理器701执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 702和/或RAM 703和/或ROM 702和RAM 703以外的一个或多个存储器。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (10)
1.一种应用程序的访问控制方法,包括:
接收对所述应用程序的访问请求;
响应于所述访问请求,获取所述访问请求从产生到传输至所述应用程序的过程中各个环节的访问特征信息;
基于所述访问特征信息对所述访问请求进行评估;以及
当评估所述访问请求符合所述应用程序的安全访问条件时,允许基于所述访问请求访问所述应用程序;
其中,所述基于所述访问特征信息对所述访问请求进行评估包括:
利用外部独立评估单元按照通用评估逻辑评估所述访问特征信息,以得到访问评估指标;以及
利用信任评估单元按照专用评估逻辑评估所述访问评估指标;
其中,所述通用评估逻辑为针对任意的应用程序均通用的评估逻辑;所述专用评估逻辑为基于所述应用程序的应用特征信息而确定的评估逻辑;
其中,所述访问请求从产生到传输至所述应用程序的过程中各个环节的访问特征信息包括以下至少之一:
生成所述访问请求的终端设备的终端特征信息;
发送所述访问请求的用户的用户特征信息;或者
传输所述访问请求的网络环境的环境特征信息。
2.根据权利要求1所述的方法,其中,所述外部独立评估单元包括以下至少之一:
终端管控单元、用户行为防控单元、防病毒单元、或者数据防泄漏单元。
3.根据权利要求1所述的方法,其中,所述利用信任评估单元按照专用评估逻辑评估所述访问评估指标还包括:
所述信任评估单元结合通过所述访问请求访问所述应用程序时的身份认证凭证方式和/或凭证认证通过率,对所述评估指标进行评估。
4.根据权利要求1所述的方法,其中,所述方法还包括:
按照所述专用评估逻辑设置所述信任评估单元中的信任算法模型。
5.根据权利要求4所述的方法,其中,所述应用特征信息包括所述应用程序的业务存储及可访数据等级,所述评估指标包括数据防泄漏指标;其中,所述按照所述专用评估逻辑设置所述信任评估单元中的信任算法模型包括:
根据所述业务存储及可访数据等级设置所述信任算法模型中的数据防泄漏指标的权重系数。
6.根据权利要求4所述的方法,其中,所述应用特征信息包括所述应用程序的安全要求等级,所述评估指标包括用于衡量终端设备的运行安全性的终端环境安全指标;其中,所述按照所述专用评估逻辑设置所述信任评估单元中的信任算法模型包括:
根据所述应用程序的安全要求等级,设置所述信任算法模型中的所述终端环境的安全指标的权重系数。
7.根据权利要求1所述的方法,其中,所述当评估所述访问请求符合所述应用程序的安全访问条件时,允许基于所述访问请求访问所述应用程序包括:
控制所述应用程序基于所述访问请求建立应用会话。
8.一种应用程序的访问控制装置,包括:
接收模块,用于接收对所述应用程序的访问请求;
特征获取模块,用于响应于所述访问请求,获取所述访问请求从产生到传输至所述应用程序的过程中各个环节的访问特征信息;
评估模块,用于基于所述访问特征信息对所述访问请求进行评估;以及
访问模块,用于当评估所述访问请求符合所述应用程序的安全访问条件时,允许基于所述访问请求访问所述应用程序;
其中,所述评估模块包括外部独立评估单元和信任评估单元,其中,
所述外部独立评估单元用于按照通用评估逻辑评估所述访问特征信息,以得到访问评估指标;
所述信任评估单元用于按照专用评估逻辑评估所述访问评估指标;
其中,所述通用评估逻辑为针对任意的应用程序均通用的评估逻辑;所述专用评估逻辑为基于所述应用程序的应用特征信息而确定的评估逻辑;
其中,所述访问请求从产生到传输至所述应用程序的过程中各个环节的访问特征信息包括以下至少之一:
生成所述访问请求的终端设备的终端特征信息;
发送所述访问请求的用户的用户特征信息;或者
传输所述访问请求的网络环境的环境特征信息。
9.一种应用程序的访问控制系统,包括:
一个或多个存储器,其上存储有计算机可执行指令;以及
一个或多个处理器,所述处理器执行所述指令,以实现根据权利要求1~7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011037158.8A CN112115484B (zh) | 2020-09-27 | 2020-09-27 | 应用程序的访问控制方法、装置、系统及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011037158.8A CN112115484B (zh) | 2020-09-27 | 2020-09-27 | 应用程序的访问控制方法、装置、系统及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112115484A CN112115484A (zh) | 2020-12-22 |
| CN112115484B true CN112115484B (zh) | 2023-11-21 |
Family
ID=73798208
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011037158.8A Active CN112115484B (zh) | 2020-09-27 | 2020-09-27 | 应用程序的访问控制方法、装置、系统及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112115484B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113596009B (zh) * | 2021-07-23 | 2023-03-24 | 中国联合网络通信集团有限公司 | 零信任访问方法、系统、零信任安全代理、终端及介质 |
| CN114124556B (zh) * | 2021-11-29 | 2023-12-29 | 深信服科技股份有限公司 | 一种网络访问控制方法、装置、设备及存储介质 |
| CN114157472B (zh) * | 2021-11-29 | 2024-02-23 | 深信服科技股份有限公司 | 一种网络访问控制方法、装置、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107026825A (zh) * | 2016-02-02 | 2017-08-08 | 中国移动通信集团陕西有限公司 | 一种访问大数据系统的方法及系统 |
| CN110069911A (zh) * | 2019-04-19 | 2019-07-30 | 奇安信科技集团股份有限公司 | 访问控制方法、装置、系统、电子设备和可读存储介质 |
| CN110084047A (zh) * | 2019-03-20 | 2019-08-02 | 努比亚技术有限公司 | 一种访问权限控制方法、终端及计算机可读存储介质 |
| CN110300124A (zh) * | 2019-02-02 | 2019-10-01 | 奇安信科技集团股份有限公司 | 一种访问控制方法、系统、电子设备及可读介质 |
| CN110430179A (zh) * | 2019-07-26 | 2019-11-08 | 西安交通大学 | 一种针对内外网安全访问的控制方法与系统 |
| CN111181979A (zh) * | 2019-12-31 | 2020-05-19 | 奇安信科技集团股份有限公司 | 访问控制方法、装置、计算机设备和计算机可读存储介质 |
| CN111371738A (zh) * | 2020-02-10 | 2020-07-03 | 深信服科技股份有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8474018B2 (en) * | 2010-09-03 | 2013-06-25 | Ebay Inc. | Role-based attribute based access control (RABAC) |
-
2020
- 2020-09-27 CN CN202011037158.8A patent/CN112115484B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107026825A (zh) * | 2016-02-02 | 2017-08-08 | 中国移动通信集团陕西有限公司 | 一种访问大数据系统的方法及系统 |
| CN110300124A (zh) * | 2019-02-02 | 2019-10-01 | 奇安信科技集团股份有限公司 | 一种访问控制方法、系统、电子设备及可读介质 |
| CN110084047A (zh) * | 2019-03-20 | 2019-08-02 | 努比亚技术有限公司 | 一种访问权限控制方法、终端及计算机可读存储介质 |
| CN110069911A (zh) * | 2019-04-19 | 2019-07-30 | 奇安信科技集团股份有限公司 | 访问控制方法、装置、系统、电子设备和可读存储介质 |
| CN110430179A (zh) * | 2019-07-26 | 2019-11-08 | 西安交通大学 | 一种针对内外网安全访问的控制方法与系统 |
| CN111181979A (zh) * | 2019-12-31 | 2020-05-19 | 奇安信科技集团股份有限公司 | 访问控制方法、装置、计算机设备和计算机可读存储介质 |
| CN111371738A (zh) * | 2020-02-10 | 2020-07-03 | 深信服科技股份有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112115484A (zh) | 2020-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11936619B2 (en) | Combined security and QOS coordination among devices | |
| CN112115484B (zh) | 应用程序的访问控制方法、装置、系统及介质 | |
| Pal et al. | A new trusted and collaborative agent based approach for ensuring cloud security | |
| CN112765639B (zh) | 基于零信任访问策略的安全微服务架构及实现方法 | |
| Shore et al. | Zero trust: the what, how, why, and when | |
| CN115001870B (zh) | 信息安全防护系统、方法及存储介质 | |
| CN114553540B (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
| CN113114632B (zh) | 一种可插配式智能财务审核平台 | |
| Kumar et al. | Exploring security issues and solutions in cloud computing services–a survey | |
| CN112583810B (zh) | 一种基于上下文的虚拟网络零信任方法 | |
| Pathak et al. | TABI: Trust-based ABAC mechanism for edge-IoT using blockchain technology | |
| Gupta | An edge-computing based Industrial Gateway for Industry 4.0 using ARM TrustZone technology | |
| US20170346837A1 (en) | Real-time security modification and control | |
| Abirami et al. | Crypto-deep reinforcement learning based cloud security for trusted communication | |
| Lee et al. | Assessment of the Distributed Ledger Technology for Energy Sector Industrial and Operational Applications Using the MITRE ATT&CK® ICS Matrix | |
| Madsen | Zero-trust–An Introduction | |
| Ashraf et al. | A Roadmap: Towards Security Challenges, Prevention Mechanisms for Fog Computing | |
| Blasi et al. | Applicability of security metrics for adaptive security management in a universal banking hub system | |
| CN108347411A (zh) | 一种统一安全保障方法、防火墙系统、设备及存储介质 | |
| Cusack et al. | Defining cloud identity security and privacy issues: A Delphi method | |
| CN111555857A (zh) | 一种边缘网络和网络传输方法 | |
| Das et al. | Smart City Vulnerabilities: An Overview | |
| Figueroa et al. | A SOUND approach to security in mobile and cloud-oriented environments | |
| Wang et al. | A Novel Logistics Scheme Based on Zero-Trust Model | |
| US20230385207A1 (en) | Methods and apparatus for communication between processing circuitry and a peripheral device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |