CN113297595A - 提权处理方法、装置、存储介质与电子设备 - Google Patents
提权处理方法、装置、存储介质与电子设备 Download PDFInfo
- Publication number
- CN113297595A CN113297595A CN202110642228.0A CN202110642228A CN113297595A CN 113297595 A CN113297595 A CN 113297595A CN 202110642228 A CN202110642228 A CN 202110642228A CN 113297595 A CN113297595 A CN 113297595A
- Authority
- CN
- China
- Prior art keywords
- user
- account
- domain control
- control server
- lifting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开提供一种提权处理方法、装置、存储介质与电子设备,涉及计算机技术领域,其中,所述提权处理方法包括:将用户设备的设备标识发送给域控服务器,以使域控服务器基于设备标识判断用户设备是否为可信任设备;接收域控服务器在判断用户设备为可信任设备时发送的域控管理员账号,并基于域控管理员账号为用户设备创建用户提权账号;响应于获取到目标权限所对应的提权触发操作的提权请求,向域控服务器发送校验请求,并接收域控服务器返回校验请求对应的校验结果;如果校验结果为通过,则允许通过用户提权账号进行目标权限对应的操作。本公开通过构建用户提权账号实现自动提权,以提升用户提权操作的便捷性。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种提权处理方法、提权处理装置、计算机可读存储介质与电子设备。
背景技术
当用户设备处于域控制场景中,即需要通过域控服务器控制网络中的用户设备进行访问时,用户设备有时需要使用域控管理员权限执行某些操作,此时需要执行提权操作。
相关技术中,用户设备在域控状态下,需要人工手动输入域控管理员账号来进行提权操作。由于域控服务器存在脱域的状况,用户设备在脱域状态下,想要继续进行提权操作,需要重新输入域控管理员账号,使得域控服务器重新加入域控网络后,再进行提权操作,提权方式不够便捷。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开提供了一种提权处理方法、提权处理装置、计算机可读存储介质与电子设备,进而至少在一定程度上解决相关技术中在提权不够便捷的问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的第一方面,提供一种提权处理方法,包括:将用户设备的设备标识发送给域控服务器,以使所述域控服务器基于所述设备标识判断所述用户设备是否为可信任设备;接收所述域控服务器在判断所述用户设备为可信任设备时发送的域控管理员账号,并基于所述域控管理员账号为所述用户设备创建用户提权账号;响应于获取到目标权限所对应的提权触发操作的提权请求,向所述域控服务器发送校验请求,并接收所述域控服务器返回所述校验请求对应的校验结果;如果所述校验结果为通过,则允许通过所述用户提权账号进行所述目标权限对应的操作。
在本公开的一种示例性实施例中,所述获取到目标权限所对应的提权触发操作的提权请求,包括:检测到用户请求所述目标权限所对应的提权触发操作。
在本公开的一种示例性实施例中,所述响应于获取到目标权限所对应的提权触发操作的提权请求,向所述域控服务器发送校验请求,使所述域控服务器根据所述校验请求对所述目标权限所对应的提权触发操作进行校验,并接收所述域控服务器返回所述校验请求对应的校验结果,包括:当检测到用户在目标软件内发起所述提权触发操作时,基于所述目标软件所对应的特征参数生成密文参数,并将所述密文参数添加至所述校验请求中,所述特征参数包括所述用户提权账号的信息;将所述校验请求发送给所述域控服务器,以使所述域控服务器对所述校验请求中的所述密文参数进行校验;接收所述域控服务器返回的校验结果,所述校验结果包括所述用户提权账号是否被允许执行提权操作以及所述目标软件是否合法。
在本公开的一种示例性实施例中,所述方法,还包括:在创建所述用户提权账号后,将所述用户提权账号的信息发送给所述域控服务器,使所述域控服务器根据所述用户提权账号的信息对所述密文参数进行校验。
在本公开的一种示例性实施例中,所述方法,还包括:根据从域控服务器所获取的提权状态信息,对所述用户提权账号进行维护。
在本公开的一种示例性实施例中,所述根据从域控服务器所获取的提权状态信息,对所述用户提权账号进行维护,包括:如果所述提权状态信息为所述用户设备被禁止执行提权操作,则删除所述用户提权账号。
在本公开的一种示例性实施例中,所述根据从域控服务器所获取的提权状态信息,对所述用户提权账号进行维护,还包括:如果所述提权状态信息为所述用户提权账号被禁止执行提权操作,则删除所述用户提权账号,为所述用户设备创建新的用户提权账号。
在本公开的一种示例性实施例中,所述根据从域控服务器所获取的提权状态信息,对所述用户提权账号进行维护,还包括:如果所述提权状态信息为所述用户提权账号被允许执行提权操作,以预设时间周期重置所述用户提权账号的密码,并对所述密码进行加密存储。
根据本公开的第二方面,提供一种提权处理装置,包括:交互模块,用于将用户设备的设备标识发送给域控服务器,以使所述域控服务器基于所述设备标识判断所述用户设备是否为可信任设备;账号创建模块,用于接收所述域控服务器在判断所述用户设备为可信任设备时发送的域控管理员账号,并基于所述域控管理员账号为所述用户设备创建用户提权账号;校验发起模块,用于响应于获取到目标权限所对应的提权触发操作的提权请求,向所述域控服务器发起校验请求,使所述域控服务器根据所述校验请求对所述目标权限所对应的提权触发操作进行校验,并接收所述域控服务器返回所述校验请求对应的校验结果;提权执行模块,用于如果所述校验结果为通过,则允许通过所述用户提权账号进行所述目标权限对应的操作。
根据本公开的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述提权处理方法。
根据本公开的第四方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述提权处理方法。
本公开的技术方案具有以下有益效果:
上述提权处理过程中,采用域控管理员的账号创建用户提权账号,通过维护用户提权账号实现用户设备自动提权的功能,无需每次通过手动输入域控管理员密码来提权,能够减少手动操作的工作量,同时提高提权的便捷性。此外,通过对用户设备可信性的判断以及用户提权触发操作的校验,还可以确保提权操作的安全性和合法性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施方式,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本示例性实施方式运行环境的系统架构图;
图2示出本示例性实施方式中一种提权处理方法的流程图;
图3示出本示例性实施方式中一种创建用户提权账号的系统架构图;
图4示出本示例性实施方式中一种对目标权限所对应的提权触发操作进行校验的流程图;
图5示出本示例性实施方式中一种基于用户提权账号进行提权的系统架构图;
图6示出本示例性实施方式中一种对用户提权账号进行维护的系统架构图;
图7示出本示例性实施方式中一种提权处理装置的结构框图;
图8示出本示例性实施方式中一种用于实现上述方法的电子设备。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
相关技术中,长时间没有连接域控网络时,域控服务器可能会存在脱域的状况,一旦域控服务器发生脱域,域控管理员账号就没有办法提权了,需要重新手动输入域控管理员账号,使得域控服务器重新加入域控网络,然后再进行提权操作,无法实现自动提权。
鉴于上述一个或多个问题,本公开的示例性实施方式提供一种提权处理方法,该处理方法可适用于企业内部在域控环境下的受控设备,域控指的是由网络上的用户和计算机设备组成的一个逻辑集合,一个网络可以建立一个或多个域,每个域都是一个安全界限,各种权限的设置不能跨越不同的域。此外,可以将该处理方法以软件工具包的形式部署于用户设备上,以通过启动该软件工具包来执行该处理方法。
图1示出了该方法运行环境的系统架构图,包括用户设备110与域控服务器120。其中,用户设备110可以是域控环境下的电脑、手机等用户终端设备,用于执行上述处理方法;域控服务器120可以是后台的域控计算机或服务器,用于负责连入域控网络的用户设备的一系列验证工作。
图2示出了本示例性实施方式中提权处理方法的示意性流程,包括以下步骤S210至S240:
步骤S210,将用户设备的设备标识发送给域控服务器,以使域控服务器基于设备标识判断用户设备是否为可信任设备;
步骤S220,接收域控服务器在判断用户设备为可信任设备时发送的域控管理员账号,并基于域控管理员账号为用户设备创建用户提权账号;
步骤S230,响应于获取到目标权限所对应的提权触发操作的提权请求,向域控服务器发送校验请求,并接收域控服务器返回校验请求对应的校验结果;
步骤S240,如果校验结果为通过,则允许通过用户提权账号进行目标权限对应的操作。
上述提权处理过程中,采用域控管理员的账号创建用户提权账号,通过维护用户提权账号实现用户设备自动提权的功能,无需手动输入域控管理员密码来提权,能够减少手动操作的工作量,同时提高提权的便捷性。此外,通过对用户设备可信性的判断以及用户提权触发操作的校验,还可以确保提权操作的安全性和合法性。
下面分别对图1中的每个步骤进行具体说明。
步骤S210,将用户设备的设备标识发送给域控服务器,以使域控服务器基于设备标识判断用户设备是否为可信任设备。
用户设备具有一个唯一的设备标识,该设备标识可用以区分其他设备。可信任设备指的是合法可用设备,可以被允许创建本地提权账户。域控服务器主要是用来对用户设备进行集中管理,按照企业要求使得特定的用户设备能够运行特定的软件功能,需要对连入域控网络的用户设备的合法性进行验证,这里可以基于设备标识来判断用户设备是否为可信任设备。
在基于用户设备的设备标识判断用户设备是否为可信任设备时,域控服务器可以通过维护设备白名单/设备黑名单来实现。设备白名单/设备黑名单中包含有各种设备的标识信息,通过检测用户设备标识是否包含于设备白名单/设备黑名单中来判断用户设备是否可信。
以域控服务器配置设备白名单为例,由域控服务器根据设备标识判断用户设备是否包含于域控服务器的设备白名单中,当用户设备包含于域控服务器的设备白名单中时,则认为该用户设备为可信任设备,是能够进一步创建用户提权账号设备。域控服务器对设备白名单进行维护,将可信任的用户设备添加至设备白名单中,当用户设备被禁止提权或为不可信任设备时,则从设备白名单中将该用户设备删除。
以域控服务器配置设备黑名单为例,由域控服务器根据设备标识判断用户设备是否包含于域控服务器的设备黑名单中,当用户设备不包含于域控服务器的设备黑名单中时,则认为该用户设备为可信任设备,是能够进一步创建用户提权账号设备。域控服务器对设备黑名单进行维护,当用户设备被禁止提权或为不可信任设备时,则将该用户设备添加至设备名黑单中。
上述过程通过与域控服务器进行交互判断用户设备是否可信,能够实现对用户设备合法性的统一管理,操作简单且容易维护。
步骤S220,接收域控服务器在判断用户设备为可信任设备时发送的域控管理员账号,并基于域控管理员账号为用户设备创建用户提权账号。
用户提权账号指的是用户设备用来提权的账号。域控管理员账号是能够执行更高权限的账号,可以被用于创建用户提权账号。当用户设备为可信任设备时,可以通过调用域控服务器被加密的接口获取域控管理员账号,确保域控管理员账号的安全性,并利用域控管理员账号的账号名称和账号密码去封装一个用户提取账号的账号名称和账号密码,以程序进行管理,实现自动提权。
需要说明的是,在执行上述步骤S210和步骤S220之前,可以预先判断用户所使用的当前设备是否具有相应的用户提权账号,当具有用户提权账号时,则无需再创建新的用户提权账号,可以基于该用户提权账号进行后续提权操作;当不具有用户提权账号时,则需创建用户提权账号。
另外,当用户设备的登录人没有域控管理员账号时,可以通过上述步骤S110至步骤S120自动创建用户提权账号。当用户设备的登录人具有域控管理员账号时,可以直接通过该用户设备当前登录人的域控管理员账号创建用户提权账号。如图3所示,给出了一种创建用户提权账号的系统框架图,包含两种模式:登录人没有域控管理员账号301和登录人具有域控管理员账号302。在登录人没有域控管理员账号301模式下,将用户设备的设备标识发送至域控服务器,由域控服务器判断用户设备是否在设备白名单/设备黑名单中,以确定该用户设备是否为可信任设备,域控服务器将判断结果返回至用户设备,在用户设备为可信任设备时,从域控服务器获取域控管理员账号,创建用户提权账号;在登录人具有域控管理员账号302模式下,直接创建用户提权账号。
步骤S230,响应于获取到目标权限所对应的提权触发操作的提权请求,向域控服务器发送校验请求,并接收域控服务器返回校验请求对应的校验结果。
提权指的是设备当前用户权限提升的过程,即从普通用户权限提升至系统管理员权限。目标权限指的是用户提权后所能访问的更高的权限,提权触发操作可以是用户对软件或程序的启动操作。这里的提权请求指的是由用户在用户设备通过执行提权触发操作所生成的请求。这里的校验请求指的是针对是否能够访问目标权限生成的校验请求。从而确保访问目标权限的操作是在被允许的前提下进行的。
在一种可选的实施方式中,获取到目标权限所对应的提权触发操作的提权请求,包括:检测到用户请求目标权限所对应的提权触发操作。
上述过程中当检测到提权触发操作时,自动触发生成相应的提权请求,以用户的操作来触发提权请求,进而实现提权流程自动化,可以避免每次通过手动输入域控管理员密码来进行提权。
在一种可选的实施方式中,响应于获取到目标权限所对应的提权触发操作的提权请求,向域控服务器发送校验请求,使域控服务器根据校验请求对目标权限所对应的提权触发操作进行校验,并接收域控服务器返回校验请求对应的校验结果,可以通过如图4所示的步骤来实现,具体包括以下步骤S410至步骤S430:
步骤S410,当检测到用户在目标软件内发起提权触发操作时,基于目标软件所对应的特征参数生成密文参数,并将密文参数添加至校验请求中,特征参数包括用户提权账号的信息;
步骤S420,将校验请求发送给域控服务器,以使域控服务器对校验请求中的密文参数进行校验;
步骤S430,接收域控服务器返回的校验结果,校验结果包括用户提权账号是否被允许执行提权操作以及目标软件是否合法。
目标软件指的是所访问的目标权限的用户端载体,该目标软件可以是从域控服务器上下载的软件,安装于用户设备上。特征参数可以包括用户提权账号的信息,还可以包括用户设备标识、目标软件的标识信息、会话标识等参数。密文参数指的是特征参数的密文相关信息,可以包括目标软件的标识信息的哈希值,以及由所述用户提权账号、用户设备标识、会话标识等特征参数所生成的密文字段,以使域控服务器校验密文参数的合法性。校验结果指的是域控服务器对密文参数进行校验的结果。
可以预先在域控服务器中设置用户设备所对应的能够提权的软件,并以软件白名单的形式配置于域控服务器。域控服务器可以通过校验目标软件标识信息的哈希值确定所述目标软件的真实性,并验证所述目标软件是否在软件白名单中。当该目标软件在软件白名单中时,则域控服务器可以判断该目标软件是合法的。
此外,域控服务器可以通过密文字段验证当前用户设备上所采用的用户提权账号是否具有权限执行提权操作。
在图4所示的步骤中,通过域控服务器校验密文参数的合法性,以便判断提权操作是否被允许执行,从而确保用户提权操作的合法性。
在一种可选的实施方式中,在创建用户提权账号后,将用户提权账号的信息发送给域控服务器,使域控服务器根据用户提权账号的信息对密文参数进行校验。
在创建用户提权账号后,可以将创建用户提权账号过程中所产生的相关信息生成账号创建日志信息,并将该日志发送给域控服务器,由域控服务器对该账号创建日志信息进行存储,使得域控服务器能够对用户提权账号进行管控,以及对提权请求所对应的用户提权账号进行核对。
步骤S240,如果校验结果为通过,则允许通过用户提权账号进行目标权限对应的操作。
若校验结果未通过,则提权请求失败,放弃本次提权请求。
如图5所示,提供了一种使用用户提权账号进行提权的系统框架图,当检测到用户在目标软件内发起提权触发操作时,包含了两种执行模式:登录人没有域控管理员账号501和登录人具有域控管理员账号502。在登录人没有域控管理员账号模式501下,首先根据目标软件的特征信息确定密文参数,并将密文参数添加至校验请求中;并校验请求发送给域控服务器,由域控服务器进行校验。当校验结果通过后,基于用户提权账号进行目标权限对应的操作;在登录人具有域控管理员账号502模式下,则能够直接基于域控管理员账号进行目标权限对应的操作。
在一种可选的实施方式中,在执行目标权限所对应的操作后,可以生成提权日志信息,并将提权日志信息发送给域控服务器。
提权日志信息指的是针对提权的时间、对象、设备、用户等提权相关信息所生成日志信息,可由域控服务器进行记录保存,以便域控服务器对用户提权操作进行监控和管理,有利于问题的查找和维护。
在一种可选的实施方式中,还可以根据从域控服务器所获取的提权状态信息,对用户提权账号进行维护。
提权允许状态指的是用户设备以及所对应的用户提权账号是否被允许执行提权操作的状态。可以在执行维护操作后,生成账号维护日志信息,并将账号维护日志信息发送给域控服务器。这里的账号维护日志信息指的是针对用户提权账号的创建、删除、密码更换等操作生成的日志信息,可由域控服务器进行记录保存。这里进行账号维护主要是为了便于确保用户提权账号的有效性和安全性。
在一种可选的实施方式中,上述根据从域控服务器所获取的提权状态信息,对用户提权账号进行维护,可以包括:如果提权状态信息为用户设备被禁止执行提权操作,则删除用户提权账号。
域控服务器可以将该用户设备被加入设备黑名单或移出设备白名单,使得该用户设备被禁止执行提权操作,在这种情况下,可以删除该用户设备所对应的用户提权账号,以及时清理无用账号信息。
在一种可选的实施方式中,根据从域控服务器所获取的提权状态信息,对用户提权账号进行维护,还可以包括:如果提权状态信息为用户提权账号被禁止执行提权操作,则删除用户提权账号,为用户设备创建新的用户提权账号。
域控服务器可以将该用户提权账号加入域控服务器的账号黑名单或移出账号白名单,加入账号黑名单或移出账号白名单的用户提权账号被禁止执行提权操作。在这种情况下,将该用户提权账号删除,并创建新的用户提权账号,能够实现对用户提权账号的管理,及时更新失效、无用、被禁的账号。
在一种可选的实施方式中,根据从域控服务器所获取的提权状态信息,对用户提权账号进行维护,还可以包括:如果提权状态信息为用户提权账号被允许执行提权操作,以预设时间周期重置用户提权账号的密码,并对密码进行加密存储。
可以将创建的用户提权账号的密码通过加密存储手段,将其存储于用户数据库中,并通过数据库定期重置用户提权账号的密码,以确保账号信息的安全性。
如图6所示,提供了一种对用户提权账号进行维护的系统架构图,包含了用户设备被禁止提权601、用户提权账号被禁止提权602以及用户提权账号被允许提权603这三种提权状态模式下的账号维护方式。
在用户设备被禁止提权601模式下,删除用户提权账号;在用户提权账号被禁止提权602模式下,删除用户提权账号,创建新的用户提权账号;在用户提权账号被允许提权603模式下,使用用户提权账号定期重置账号密码。
需要说明的是当上述维护过程中网络请求失败时,则对用户提权账号不进行任何处理。
在实际执行的过程中,可通过自动研发两个程序来实现上述提权处理方法。第一个程序用来负责用户提权账户体系的创建以及维护;第二个程序用来负责提权操作,可以利用第一个程序创建的用户提权账号进行提权。这两个程序可以安装于用户设备上。
第一个程序具体可进行以下操作:通过与域控服务器通信,以确定当前设备是否是可信任设备,如果是可信设备,那么通过域控管理员账号创建用户提权账号,账号名称可以为当前设备的唯一设备标识,也可以为一个随机的用户标识,并将账号密码进行加密存储,保存至用户数据库中。通过数据库中的创建时间周期,由该程序定期对密码进行更新,例如一个月重置一次密码。
当用户在目标软件内发起提权触发操作时,可以启动第二个程序,由第二个程序通过与域控服务器交互获取校验结果,校验结果可以包含两部分内容:该用户是否有权限申请提权操作;该目标软件是否包含在软件白名单中,如果两者均通过则进行提权操作,如果不满足则放弃本次操作,并将提权执行结果返回给域控服务器,最后进行日志记录。
本公开的示例性实施方式还提供一种提权处理装置,如图7所示,该提权处理装置700可以包括:
交互模块710,用于将用户设备的设备标识发送给域控服务器,以使域控服务器基于设备标识判断用户设备是否为可信任设备;
账号创建模块720,用于接收域控服务器在判断用户设备为可信任设备时发送的域控管理员账号,并基于域控管理员账号为用户设备创建用户提权账号;
校验发起模块730,用于响应于获取到目标权限所对应的提权触发操作的提权请求,向域控服务器发起校验请求,使域控服务器根据校验请求对目标权限所对应的提权触发操作进行校验,并接收域控服务器返回校验请求对应的校验结果;
提权执行模块740,用于如果校验结果为通过,则允许通过用户提权账号进行目标权限对应的操作。
在一种可选的实施方式中,校验发起模块730中获取到目标权限所对应的提权触发操作的提权请求,可以被配置为:检测到用户请求目标权限所对应的提权触发操作。
在一种可选的实施方式中,校验发起模块730,还可以被配置为:当检测到用户在目标软件内发起提权触发操作时,基于目标软件所对应的特征参数生成密文参数,并将密文参数添加至校验请求中,特征参数包括用户提权账号的信息;将校验请求发送给域控服务器,以使域控服务器对校验请求中的密文参数进行校验;接收域控服务器返回的校验结果,校验结果包括用户提权账号是否被允许执行提权操作以及目标软件是否合法。
在一种可选的实施方式中,提权处理装置700还包括:信息发送模块,用于在创建用户提权账号后,将用户提权账号的信息发送给域控服务器,使域控服务器根据用户提权账号的信息对密文参数进行校验。
在一种可选的实施方式中,提权处理装置700还包括:账号维护模块,用于根据从域控服务器所获取的提权状态信息,对用户提权账号进行维护。
在一种可选的实施方式中,账号维护模块,还可以被配置为:如果提权状态信息为用户设备被禁止执行提权操作,则删除用户提权账号。
在一种可选的实施方式中,账号维护模块,还可以被配置为:如果提权状态信息为用户提权账号被禁止执行提权操作,则删除用户提权账号,为用户设备创建新的用户提权账号。
在一种可选的实施方式中,账号维护模块,还可以被配置为:如果提权状态信息为用户提权账号被允许执行提权操作,以预设时间周期重置用户提权账号的密码,并对密码进行加密存储。
上述提权处理装置700中各部分的具体细节在方法部分实施方式中已经详细说明,未披露的细节内容可以参见方法部分的实施方式内容,因而不再赘述。
本公开的示例性实施方式还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述提权处理方法的程序产品。在一些可能的实施方式中,本公开的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在电子设备上运行时,程序代码用于使电子设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。该程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在电子设备,例如个人电脑上运行。然而,本公开的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
本公开的示例性实施方式还提供了一种能够实现上述提权处理方法的电子设备。下面参照图8来描述根据本公开的这种示例性实施方式的电子设备800。图8显示的电子设备800仅仅是一个示例,不应对本公开实施方式的功能和使用范围带来任何限制。
如图8所示,电子设备800可以以通用计算设备的形式表现。电子设备800的组件可以包括但不限于:至少一个处理单元810、至少一个存储单元820、连接不同系统组件(包括存储单元820和处理单元810)的总线830和显示单元840。
存储单元820存储有程序代码,程序代码可以被处理单元810执行,使得处理单元810执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。例如,处理单元810可以执行图1、图2、图4中任意一个或多个方法步骤。
存储单元820可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)821和/或高速缓存存储单元822,还可以进一步包括只读存储单元(ROM)823。
存储单元820还可以包括具有一组(至少一个)程序模块825的程序/实用工具824,这样的程序模块825包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线830可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备800也可以与一个或多个外部设备900(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备800交互的设备通信,和/或与使得该电子设备800能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口850进行。并且,电子设备800还可以通过网络适配器860与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器860通过总线830与电子设备800的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备800使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开示例性实施方式的方法。
此外,上述附图仅是根据本公开示例性实施方式的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的示例性实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其他实施方式。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施方式仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限定。
Claims (11)
1.一种提权处理方法,其特征在于,包括:
将用户设备的设备标识发送给域控服务器,以使所述域控服务器基于所述设备标识判断所述用户设备是否为可信任设备;
接收所述域控服务器在判断所述用户设备为可信任设备时发送的域控管理员账号,并基于所述域控管理员账号为所述用户设备创建用户提权账号;
响应于获取到目标权限所对应的提权触发操作的提权请求,向所述域控服务器发送校验请求,并接收所述域控服务器返回所述校验请求对应的校验结果;
如果所述校验结果为通过,则允许通过所述用户提权账号进行所述目标权限对应的操作。
2.根据权利要求1所述的方法,其特征在于,所述获取到目标权限所对应的提权触发操作的提权请求,包括:
检测到用户请求所述目标权限所对应的提权触发操作。
3.根据权利要求2所述的方法,其特征在于,所述响应于获取到目标权限所对应的提权触发操作的提权请求,向所述域控服务器发送校验请求,使所述域控服务器根据所述校验请求对所述目标权限所对应的提权触发操作进行校验,并接收所述域控服务器返回所述校验请求对应的校验结果,包括:
当检测到用户在目标软件内发起所述提权触发操作时,基于所述目标软件所对应的特征参数生成密文参数,并将所述密文参数添加至所述校验请求中,所述特征参数包括所述用户提权账号的信息;
将所述校验请求发送给所述域控服务器,以使所述域控服务器对所述校验请求中的所述密文参数进行校验;
接收所述域控服务器返回的校验结果,所述校验结果包括所述用户提权账号是否被允许执行提权操作以及所述目标软件是否合法。
4.根据权利要求3所述的方法,其特征在于,所述方法,还包括:
在创建所述用户提权账号后,将所述用户提权账号的信息发送给所述域控服务器,使所述域控服务器根据所述用户提权账号的信息对所述密文参数进行校验。
5.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
根据从域控服务器所获取的提权状态信息,对所述用户提权账号进行维护。
6.根据权利要求5所述的方法,其特征在于,所述根据从域控服务器所获取的提权状态信息,对所述用户提权账号进行维护,包括:
如果所述提权状态信息为所述用户设备被禁止执行提权操作,则删除所述用户提权账号。
7.根据权利要求5所述的方法,其特征在于,所述根据从域控服务器所获取的提权状态信息,对所述用户提权账号进行维护,还包括:
如果所述提权状态信息为所述用户提权账号被禁止执行提权操作,则删除所述用户提权账号,为所述用户设备创建新的用户提权账号。
8.根据权利要求5所述的方法,其特征在于,所述根据从域控服务器所获取的提权状态信息,对所述用户提权账号进行维护,还包括:
如果所述提权状态信息为所述用户提权账号被允许执行提权操作,以预设时间周期重置所述用户提权账号的密码,并对所述密码进行加密存储。
9.一种提权处理装置,其特征在于,包括:
交互模块,用于将用户设备的设备标识发送给域控服务器,以使所述域控服务器基于所述设备标识判断所述用户设备是否为可信任设备;
账号创建模块,用于接收所述域控服务器在判断所述用户设备为可信任设备时发送的域控管理员账号,并基于所述域控管理员账号为所述用户设备创建用户提权账号;
校验发起模块,用于响应于获取到目标权限所对应的提权触发操作的提权请求,向所述域控服务器发起校验请求,使所述域控服务器根据所述校验请求对所述目标权限所对应的提权触发操作进行校验,并接收所述域控服务器返回所述校验请求对应的校验结果;
提权执行模块,用于如果所述校验结果为通过,则允许通过所述用户提权账号进行所述目标权限对应的操作。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8任一项所述的方法。
11.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至8任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110642228.0A CN113297595A (zh) | 2021-06-09 | 2021-06-09 | 提权处理方法、装置、存储介质与电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110642228.0A CN113297595A (zh) | 2021-06-09 | 2021-06-09 | 提权处理方法、装置、存储介质与电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113297595A true CN113297595A (zh) | 2021-08-24 |
Family
ID=77327703
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110642228.0A Pending CN113297595A (zh) | 2021-06-09 | 2021-06-09 | 提权处理方法、装置、存储介质与电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113297595A (zh) |
-
2021
- 2021-06-09 CN CN202110642228.0A patent/CN113297595A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10735472B2 (en) | Container authorization policies for network trust | |
US8839354B2 (en) | Mobile enterprise server and client device interaction | |
US10505983B2 (en) | Enforcing enterprise requirements for devices registered with a registration service | |
CN107408172B (zh) | 从用户信任的设备安全地引导计算机 | |
CN108289098B (zh) | 分布式文件系统的权限管理方法和装置、服务器、介质 | |
CN110661831B (zh) | 一种基于可信第三方的大数据试验场安全初始化方法 | |
CN103747433B (zh) | 一种通过厂商服务器实现root请求管理的方法及移动终端 | |
EP3356978B1 (en) | Applying rights management policies to protected files | |
CN111079091A (zh) | 一种软件的安全管理方法、装置、终端及服务器 | |
US9509672B1 (en) | Providing seamless and automatic access to shared accounts | |
KR101832535B1 (ko) | 서비스로서 신뢰할 수 있는 장치 클레임 제공 기법 | |
US11005847B2 (en) | Method, apparatus and computer program product for executing an application in clouds | |
CN111414612B (zh) | 操作系统镜像的安全保护方法、装置及电子设备 | |
US20140282876A1 (en) | Method and system for restricting the operation of applications to authorized domains | |
US20140317704A1 (en) | Method and system for enabling the federation of unrelated applications | |
US20070294530A1 (en) | Verification System and Method for Accessing Resources in a Computing Environment | |
CN106685955B (zh) | 一种基于Radius的视频监控平台安全认证方法 | |
WO2023072817A1 (en) | Control of access to computing resources implemented in isolated environments | |
US9906510B2 (en) | Virtual content repository | |
US11170080B2 (en) | Enforcing primary and secondary authorization controls using change control record identifier and information | |
CN114117372A (zh) | 一种用户访问控制方法、装置、存储介质及电子设备 | |
US10158623B2 (en) | Data theft deterrence | |
CN114553571A (zh) | 服务器管理方法、装置、电子设备及存储介质 | |
KR102430882B1 (ko) | 클라우드 환경 내 이벤트 스트림 방식의 컨테이너 워크로드 실행 제어 방법, 장치 및 컴퓨터-판독 가능 기록 매체 | |
US11777938B2 (en) | Gatekeeper resource to protect cloud resources against rogue insider attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |