CN113596040A - 安全策略部署方法、访问控制方法及装置、访问控制系统 - Google Patents
安全策略部署方法、访问控制方法及装置、访问控制系统 Download PDFInfo
- Publication number
- CN113596040A CN113596040A CN202110881802.8A CN202110881802A CN113596040A CN 113596040 A CN113596040 A CN 113596040A CN 202110881802 A CN202110881802 A CN 202110881802A CN 113596040 A CN113596040 A CN 113596040A
- Authority
- CN
- China
- Prior art keywords
- access
- security
- request
- policy
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 104
- 238000012795 verification Methods 0.000 claims description 143
- 230000008569 process Effects 0.000 description 14
- 230000006399 behavior Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种安全策略部署方法、访问控制方法及装置、访问控制系统,该安全策略部署方法包括:安全网关提供安全策略配置页面,用户可以通过安全策略配置页面对目标产品进行安全策略配置,即通过安全策略配置页面输入目标产品的安全策略,其中,安全策略至少包括端口策略、IP策略、请求频率策略和请求参数策略中的一种,获取用户输入的安全策略,并将安全策略部署于安全网关中。可见,本申请方案,是在安全网关中部署安全策略,而不是直接在产品中部署安全策略,因此,安全策略的部署不依赖于产品,部署难度较低,从而提高安全策略部署效率。
Description
技术领域
本申请涉及专有云技术领域,尤其涉及一种安全策略部署方法、访问控制方法及装置、访问控制系统。
背景技术
随着计算能力的持续增长,专有云平台的安全问题的重要性呈现逐步上升趋势,已成为企业关注的焦点。专有云平台中包括多个产品,用户可以对专有云平台中的产品进行访问,以获取资源。为了确保专有云中产品被访问的安全性,需要基于安全策略,对用户的访问进行安全校验。
现有技术中,安全策略往往直接部署在专有云的产品中,与产品具有强依赖性,从而导致安全策略部署难度大,不利于安全策略的快速部署,安全策略部署效率低。
发明内容
本申请提供了一种安全策略部署方法、访问控制方法及装置、访问控制系统,目的在于解决现有安全策略直接部署在专有云的产品中,与产品具有强依赖性,导致安全策略部署难度大部署效率低的问题。
为了实现上述目的,本申请提供了以下技术方案:
一种安全策略部署方法,应用于安全网关,所述方法包括:
响应于对目标产品的安全策略配置请求,生成安全策略配置页面;
获取用户通过所述安全策略配置页面输入的安全策略;所述安全策略至少包括端口策略、IP策略、请求频率策略和请求参数策略中的一种;
在所述安全网关中部署所述安全策略。
上述的方法,可选的,应用于安全网关,所述方法包括:
响应于认证网关发送的访问请求,确定所述访问请求对应的待访问产品;
获取预先部署于所述安全网关中的所述待访问产品对应的安全策略;
依据所述安全策略,对所述访问请求进行安全校验,生成安全校验结果;
将所述安全校验结果反馈至所述认证网关,以便于所述认证网关基于所述安全校验结果,对所述访问请求进行访问控制。
上述的方法,可选的,所述确定所述访问请求对应的待访问产品,包括:
对所述访问请求进行解析,得到所述访问请求的解析结果;所述解析结果中包括待访问产品的产品信息;
依据所述解析结果中包括的待访问产品的产品信息,确定所述访问请求对应的待访问产品。
上述的方法,可选的,所述解析结果中还包括访问用户信息、时间戳、请求参数信息、地址信息和端口信息,所述安全策略包括端口策略、IP策略、请求频率策略和请求参数策略,所述依据所述安全策略,对所述访问请求进行安全校验,生成安全校验结果,包括:
对目标计数器进行计数处理;所述目标计数器为所述访问用户信息对应的各个计数器中与所述待访问产品对应的计数器;
依据所述目标计数器的计数结果和所述时间戳,计算访问用户的访问频率;
判断所述请求参数是否满足所述请求参数策略、所述地址信息是否满足所述IP策略、所述端口信息是否满足所述端口策略、所述访问频率是否满足所述请求频率策略;
若所述请求参数满足所述请求参数策略、所述地址信息满足所述IP策略、所述端口信息满足所述端口策略、以及所述访问频率满足所述请求频率策略,则生成表征所述访问请求通过安全校验的安全校验结果,否则,生成表征所述访问请求未通过安全校验的安全校验结果。
上述的方法,可选的,所述判断所述访问频率是否满足所述请求频率策略,包括:
判断所述访问频率是否小于所述请求频率策略中的预设频率阈值;
若所述访问频率小于所述请求频率中的预设频率阈值,则确定出所述访问频率满足所述请求频率策略;
若所述访问频率不小于所述请求频率中的预设频率阈值,则向所述认证网关发送二次认证请求,以便于所述认证网关对所述访问用户进行二次认证,得到二次认证结果;
获取所述认证网关发送的二次认证结果;
若所述认证结果表征通过二次认证,则确定出所述访问频率满足所述请求频率策略;
若所述认证结果表征未通过二次认证,则确定出所述访问频率不满足所述请求频率策略。
一种访问控制方法,应用于认证网关,所述方法包括:
响应于访问用户的访问请求,确定所述访问请求对应的待访问产品;
对所述访问用户进行权限校验;
在所述访问用户通过权限校验后,调用安全网关的应用程序接口API,将所述访问请求转发至所述安全网关,以使所述安全网关利用预先部署于自身中的所述待访问产品对应的安全策略对所述访问请求进行安全校验;
获取所述安全网关反馈的安全校验结果;
若所述安全校验结果表征所述访问请求通过安全校验,则将所述访问请求发送至所述待访问产品,若所述安全校验结果表征所述访问请求未通过安全校验,则输出表征访问失败的提示信息。
上述的方法,可选的,所述对所述访问用户进行权限校验,包括:
获取所述访问用户的用户信息;
依据所述用户信息,对所述访问用户进行身份校验;
在所述访问用户通过所述身份校验后,判断所述访问用户是否具备访问所述待访问产品的访问权限;
若所述访问用户具备访问所述待访问产品的访问权限,则确定出所述访问用户通过权限校验。
上述的方法,可选的,所述判断所述访问用户是否具备访问所述待访问产品的访问权限,包括:
获取预先存储的所述待访问产品的可访问用户名单;
判断所述可访问用户名单中是否存在与所述访问用户的用户信息相匹配的用户信息;
若所述可访问用户名单中存在与所述访问用户的用户信息相匹配的用户信息,则确定出所述访问用户具备访问所述待访问产品的访问权限;
若所述可访问用户名单中不存在与所述访问用户的用户信息相匹配的用户信息,则确定出所述访问用户不具备访问所述待访问产品的访问权限。
上述的方法,可选的,还包括:
若经过预设的时长后,未接收到所述安全网关反馈的安全校验结果,则输出表征访问失败的提示信息。
上述的方法,可选的,还包括:
接收所述安全网关发送的二次认证请求;
向所述访问用户展示预设的二次认证界面;
获取所述访问用户通过所述二次认证界面输入的认证信息;
判断所述认证信息是否正确;
若所述认证信息正确,则生成表征通过二次认证的二次认证结果;
若所述认证信息不正确,则返回执行所述向所述访问用户展示预设的二次认证界面的步骤,直至二次认证界面的展示次数大于预设展示阈值时,生成表征未通过二次认证的二次认证结果;
将所述二次认证结果发送至所述安全网关。
一种安全策略部署装置,应用于安全网关,所述装置包括:
生成单元,用于响应于对目标产品的安全策略配置请求,生成安全策略配置页面;
第一获取单元,用于获取用户通过所述安全策略配置页面输入的安全策略;所述安全策略配置信息至少包括端口策略、IP策略、请求频率策略和请求参数策略中的一种;
部署单元,用于在所述安全网关中部署所述安全策略配置信息。
一种访问控制装置,应用于安全网关,所述装置包括:
第一确定单元,用于响应于认证网关发送的访问请求,确定所述访问请求对应的待访问产品;
第二获取单元,用于获取预先部署于所述安全网关中的所述待访问产品对应的安全策略;
第一校验单元,用于依据所述安全策略,对所述访问请求进行安全校验,生成安全校验结果;
第一发送单元,用于将所述安全校验结果反馈至所述认证网关,以便于所述认证网关基于所述安全校验结果,对所述访问请求进行访问控制。
一种访问控制装置,用于认证网关,所述装置包括:
第二确定单元,用于响应于访问用户的访问请求,确定所述访问请求对应的待访问产品;
第二校验单元,用于对所述访问用户进行权限校验;
第二发送单元,用于在所述访问用户通过权限校验后,调用安全网关的应用程序编程接口API,将所述访问请求转发至所述安全网关,以使所述安全网关利用预先部署于自身中的所述待访问产品对应的安全策略对所述访问请求进行安全校验;
第三获取单元,用于获取所述安全网关反馈的安全校验结果;
第三发送单元,用于若所述安全校验结果表征所述访问请求通过安全校验,则将所述访问请求发送至所述待访问产品,若所述安全校验结果表征所述访问请求未通过安全校验,则输出表征访问失败的提示信息。
一种访问控制系统,包括:
认证网关和安全网关;
所述认证网关用于执行如上述的访问控制方法;
所述安全网关用于执行如上述的访问控制方法。
与现有技术相比,本申请包括以下优点:
本申请提供了一种安全策略部署方法、访问控制方法及装置、访问控制系统,该安全策略部署方法包括:安全网关提供安全策略配置页面,用户可以通过安全策略配置页面对目标产品进行安全策略配置,即通过安全策略配置页面输入目标产品的安全策略,其中,安全策略至少包括端口策略、IP策略、请求频率策略和请求参数策略中的一种,获取用户输入的安全策略,并将安全策略部署于安全网关中。可见,本申请方案,是在安全网关中部署安全策略,而不是直接在产品中部署安全策略,因此,安全策略的部署不依赖于产品,部署难度较低,从而提高安全策略部署效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的一种安全策略部署方法的方法流程图;
图2为本申请提供的一种访问控制方法的方法流程图;
图3为本申请提供的一种访问控制方法的又一方法流程图;
图4为本申请提供的一种访问控制方法的又一方法流程图;
图5为本申请提供的一种访问控制方法的又一方法流程图;
图6为本申请提供的一种访问控制方法的又一方法流程图;
图7为本申请提供的一种访问控制方法的又一方法流程图;
图8为本申请提供的一种访问控制方法的示例图;
图9为本申请提供的一种访问控制方法的又一方法流程图;
图10为本申请提供的一种访问控制系统的结构示意图;
图11为本申请提供的一种访问控制方法的又一示例图;
图12为本申请提供的一种安全策略部署装置的结构示意图;
图13为本申请提供的一种访问控制装置的结构示意图;
图14为本申请提供的一种访问控制装置的又一结构示意图;
图15为本申请提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
需要注意,本申请公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本申请公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本申请实施例提供了一种安全策略部署方法,该方法应用于安全网关,所述安全策略方法的流程图如图1所示,具体包括:
S101、响应于对目标产品的安全策略配置请求,生成安全策略配置页面。
本实施例中,安全网关提供前端页面,前端页面中预设安全策略配置控件。安全策略配置控件,可以是但不限于用于触发安全策略配置的按钮、工具栏中的工具项等。
本实施例中,当接收到对目标产品的安全策略配置请求时,对安全策略配置请求进行响应,生成安全策略配置页面。其中,目标产品为待配置安全策略的产品。
其中,安全策略配置请求为:有安全策略配置需求时,也就是需要对目标产品配置安全策略时,用户通过操作安全网关的前端页面中的安全策略配置控件(如,点击对应的安全策略按钮)发送的请求。
S102、获取用户通过安全策略配置页面输入的安全策略。
本实施例中,安全策略配置页面包括策略配置项,包括但不限于端口策略配置项、IP策略配置项、请求频率策略配置项和请求参数策略配置项中的任意一种或多种;其中,每一个策略配置项可以包括多个属性项,端口策略配置项包括但不限于端口、行为和说明属性项,IP策略配置项包括但不限于IP、行为和说明属性,请求频率配置项包括但不限于类型、请求路径、访问频次和行为属性项,请求参数策略配置项包括但不限于资源名称、对外接口名、参数名、参数策略、参数值和说明属性项。
可选的,每个策略配置项中的各个属性项在安全策略配置页面中可以是以输入框或下单菜单的形式进行显示。
本实施例中,用户通过安全策略配置页面,对每个策略配置项的各个属性项进行配置,例如,参阅表1,表1为端口策略样例表,表1示出了用户对端口配置项中的各个属性项进行配置的结果,用户对端口属性项配置为“3306”,对行为属性项配置为“拒绝”,对说明属性项配置为“数据库模型端口,不可直接对外开放”。
表1端口策略样例
参阅表2,表2为IP策略样例表,表2示出了用户对IP策略配置项的各个属性项进行配置的结果,用户对IP属性项配置为“1.1.1.1”,对行为属性项配置为“允许”,对说明属性项配置为“1.1.1.1”。
IP | 行为 | 说明 |
1.1.1.1 | 允许 | 1.1.1.1 |
表2IP策略样例
参阅表3,表3为请求频率策略样例,表3示出了用户对请求频率策略配置项的各个属性项进行配置的结果,针对请求频率策略样例中的第二行的配置结果,用户对类型属性项配置为“IP”,对请求路径属性项配置为“/login”,对访问频次配置项配置为“60次/60秒”,对行为属性项配置为“允许”;针对请求频率样例中的第三行的配置结果,用户对类型属性项配置为“IP”,对请求路径属性项配置为“/login”,对访问频次配置项配置为“180次/60秒”,对行为属性项配置为“二次验证”。
类型 | 请求路径 | 访问频次 | 行为 |
IP | /login | 60次/60秒 | 允许 |
IP | /login | 180次/60秒 | 二次验证 |
表3请求频率策略样例
参阅表4,表4为请求参数策略样例,表4示出了用户对请求参数策略配置项的各个属性项进行配置的结果,对资源名称属性项配置为“Cvm”,对对外接口名配置为“RunInstancesV3”,对参数名属性项配置为“EnhancedService.SecurityService.Enable”,对参数策略属性项配置为“等于”,对参数值属性项配置为“true”,对说明属性项配置为“创建虚拟机时必须开启龙卫士防护参数”。
表4请求参数策略样例
本实施例中,在用户完成对安全策略配置页面中的每个策略配置项的各个属性项的配置后,也就是在用户通过安全策略配置页面输入安全策略后,获取用户输入的安全策略。
S103、在安全网关中部署安全策略。
本实施例中,将用户所配置的目标产品的安全策略进行部署,也就是在安全网关中部署目标产品的安全策略。
本申请实施例提供的方法中,安全网关提供安全策略配置页面,用户可以通过安全策略配置页面对目标产品进行安全策略配置,即通过安全策略配置页面输入目标产品的安全策略,其中,安全策略至少包括端口策略、IP策略、请求频率策略和请求参数策略中的一种,获取用户输入的安全策略,并将安全策略部署于安全网关中。可见,本申请方案,是在安全网关中部署安全策略,而不是直接在产品中部署安全策略,因此,安全策略的部署不依赖于产品,部署难度较低,从而提高安全策略部署效率。
本申请实施例还提供了一种访问控制方法,该方法应用于安全网关,所述访问控制方法的流程图如图2所示,具体包括:
S201、响应于认证网关发送的访问请求,确定访问请求对应的待访问产品。
本实施例中,认证网关在接收到访问用户的访问请求后,对访问用户进行权限校验,在访问用户通过权限校验的情况下,通过安全网关的API(Application ProgrammingInterface,应用程序接口),将访问请求发送至安全网关。
本实施例中,安全网关在接收到认证网关发送的访问请求后,对访问请求进行响应,确定该访问请求对应的待访问产品,也就是确定待访问产品的产品名称和接口名称。具体的,通过对访问请求进行解析,以确定该访问请求对应的待访问产品。
本实施例中,确定访问请求对应的待访问产品的过程,具体包括以下步骤:
对访问请求进行解析,得到访问请求的解析结果;解析结果中包括待访问产品的产品信息。
依据解析结果中包括的待访问产品的产品信息,确定访问请求对应的待访问产品。
本实施例中,访问请求中携带待访问产品的产品信息、访问用户信息、时间戳、请求参数、地址信息和端口信息,按预设的解析规则,对访问请求进行解析,得到解析结果,解析结果中包括待访问产品的产品信息、访问用户信息、时间戳、请求参数、地址信息和端口信息。基于解析结果中包括的待访问产品的产品信息,确定访问请求对应的待访问产品。
S202、获取预先部署于安全网关中的待访问产品对应的安全策略。
本实施例中,获取预先部署于安全网关中的待访问产品对应的安全策略,其中,安全策略的部署过程如实施例图1的各个步骤所述,此处不再赘述。
S203、依据安全策略,对访问请求进行安全校验,生成安全校验结果。
本实施例中,依据安全策略,对访问请求进行安全校验,若访问请求通过安全校验,则生成表征访问请求通过安全校验的安全校验结果,若访问请求未通过安全校验,则生成表征访问请求未通过安全校验的安全校验结果。
本实施例中,安全策略至少包括端口策略、IP策略、请求频率策略和请求参数策略,参阅图3,依据安全策略,对访问请求进行安全校验,生成安全校验结果的过程,具体包括以下步骤:
S301、对目标计数器进行计数处理。
本实施例中,从访问用户信息对应的各个计数器中确定与待访问产品对应的计数器,将与待访问产品对应的计数器确定为目标计数器,目标计数器用于对访问用户访问待访问产品的行为进行统计,也就是对访问请求的请求次数进行统计。
本实施例中,对目标计数器进行计数处理,可选的,可以是对目标计数器进行计数加一。
S302、依据目标计数器的计数结果和时间戳,计算访问用户的访问频率。
本实施例中,依据目标计数器的计数结果和时间戳,计算访问用户访问待访问产品的访问频率。具体的,确定目标计时器的初始计数的开始时间,依据时间戳和开始时间,计算时间间隔,将时间间隔除以计数结果,得到访问用户的访问频率。
S303、判断请求参数是否满足请求参数策略、地址信息是否满足IP策略、端口信息是否满足端口策略、访问频率是否满足请求频率策略。
本实施例中,需要分别判断请求参数是否满足请求参数策略、判断地址信息是否满足IP策略、判断端口信息是否满足端口策略、以及判断访问频率是否满足请求频率策略。
本实施例中,若均满足,也就是,若请求参数满足请求参数策略,地址信息满足IP策略,端口信息满足端口策略、以及访问频率满足请求频率策略,则执行步骤S304;若任意一项不满足,也就是,若请求参数不满足请求参数策略,地址信息不满足IP策略,端口信息不满足端口策略、或访问频率不满足请求频率策略,则执行步骤S305。
需要说明的是,各个判断的执行过程可以按照不同的顺序执行,和/或并行执行。本申请不对各个判断的执行过程进行限制。
具体的,判断请求参数是否满足请求参数策略的过程,包括:确定请求参数中的关键字段对应的值,其中,关键字段为请求参数策略中的参数名,将所确定的请求参数中的关键字段对应的值与请求参数策略中的参数值进行比对,若比对的结果满足参请求参数策略中的参数策略,则确定出请求参数满足请求参数策略,否则,确定出请求参数不满足请求参数策略。
对判断请求参数是否满足请求参数策略的过程进行举例说明如下:
对访问请求进行解析后得到的请求参数为:{"serviceType":"cvm","action":"RunInstances","regionId":5000010,"data":{"Insta nceChargeType":"POSTPAID_BY_HOUR","Region":"wh","Placement":{"Zone":"wn2","ProjectId":0},"VirtualPrivateCloud":{"VpcId":"vpc-fympfzyf","SubnetId":"subnet-nfaic5g","AsVpcGateway":false,"Ipv6AddressCount":0},"InstanceType":"S3.SMALL1","ImageId":"ig-8tqc6s3","SystemDisk":{"DiskSize":50,"DiskType":"CLOUD_SSD"},"DataDisks":[],"InternetAccessible":{"InternetMaxBandwidthOut":0,"PublicIpAssigned":false,"InternetChargeType":"TRAFFIC_POSTPAID_BY_HOUR"},"LoginSettings":{"Password":"Liuliu@1207"},"SecurityGroupIds":["sg-anjhmhk"],"InstanceCount":1,"EnhancedService":{"SecurityService":{"Enabled":true},"MonitorService":{"Enabled":true}},"PurchaseSource":"MC","Language":"zh-CN","Version":"2017-03-12"}}。
请求参数策略中的参数名为“EnhancedService.SecurityService.Enable”,参数值为“true”,参数策略为“等于”。
从请求参数中确定关键字段为“EnhancedService.SecurityService.Enable”对应的值为“true”,将所确定的请求参数中的关键字段对应的值与请求参数策略中的参数值进行比对,因为请求参数策略中的参数值为“true”,因此,请求参数中的关键字段对应的值与请求参数策略中的参数值是相同的,有因此请求参数策略中的参数策略为“等于”,所以,确定出请求参数满足请求参数策略。
具体的,判断地址信息是否满足IP策略的过程,包括:判断地址信息是否为IP策略中允许请求的地址信息,若是,则确定出地址信息满足IP策略,若不是则确定出地址信息不满足IP策略。
具体的,判断端口信息是否满足端口策略的过程,包括:判断端口信息是否为端口策略中禁止请求的端口信息,若是,则确定出端口信息不满足端口策略,则否,则确定出端口信息满足端口策略。例如,端口策略中禁止请求端口3306,若对访问请求进行解析后得到的端口信息为3306,则确定出端口信息满足端口策略。
具体的,参阅图4,判断访问频率是否满足请求频率策略的过程,包括以下步骤:
S401、判断访问频率是否小于请求频率策略中的预设频率阈值,若是,执行S402,若否,执行S403。
本实施例中,获取请求频率策略中的预设频率阈值,将访问频率和请求频率策略中的预设评率阈值进行比对,判断访问频率是否小于请求频率策略中的预设频率阈值。
S402、确定出访问频率满足请求频率策略。
本实施例中,若访问频率小于请求频率策略中的预设频率阈值,则确定出访问频率满足请求频率策略。
本实施例中,若访问频率不小于请求频率策略中的预设频率阈值,但是认证网关反馈的二次认证结果表征通过二次认证,则确定出访问频率满足请求频率策略。
S403、向认证网关发送二次认证请求,以便于认证网关对访问用户进行二次认证,得到二次认证结果。
本实施例中,若访问频率不小于请求频率中的预设评率阈值,则向认证网关发送二次认证请求。可选的,二次认证请求中携带访问用户的用户信息。
本实施例中,认证网关在接收到安全网关发送的二次认证请求后,对访问用户进行二次认证,得到二次认证结果,具体的,认证网关向访问用户展示预设的二次认证界面,以便于访问用户通过二次认证界面输入认证信息,基于访问用户输入的认证信息,生成二次认证结果。
S404、判断认证网关反馈的二次认证结果是否表征通过二次认证,若是,执行S402,若否,执行S405。
S405、确定出访问频率不满足请求频率策略。
本实施例中,若认证网关反馈的二次认证结果表征未通过二次认证,则确定出访问频率不满足请求频率策略。
S304、生成表征访问请求通过安全校验的安全校验结果。
本实施例中,若请求参数满足请求参数策略,地址信息满足IP策略,端口信息满足端口策略、以及访问频率满足请求频率策略,则生成表征访问请求通过安全校验的安全校验结果。
S305、生成表征所述访问请求未通过安全校验的安全校验结果。
本实施例中,若请求参数不满足请求参数策略,地址信息不满足IP策略,端口信息不满足端口策略、或访问频率不满足请求频率策略,则生成表征所述访问请求未通过安全校验的安全校验结果。
S204、将安全校验结果反馈至认证网关,以便于认证网关基于安全校验结果,对访问请求进行访问控制。
本实施例中,安全网关将安全校验结果反馈至认证网关。
本实施例中,认证网关在接收到安全网关反馈的安全校验结果后,基于安全校验结果,对访问请求进行控制,具体的,当安全校验结果表征访问请求通过安全校验时,将访问请求发送至待访问产品,当安全校验结果表征访问请求未通过安全校验时,输出表征访问失败的提示信息。
本申请实施例提供的访问控制方法中,在安全网关中预先部署待访问产品的安全策略,基于预先部署的安全策略,对访问待访问产品的访问请求进行安全校验,基于安全校验的结果,对访问请求进行控制,从而提高专有云中产品被访问的安全性。
本申请实施例还提供了一种访问控制方法,该方法应用于认证网关,所述访问控制方法的流程图如图5所示,具体包括:
S501、响应于访问用户的访问请求,确定访问请求对应的待访问产品。
本实施例中,当接收到访问用户的访问请求时,对访问请求进行响应,解析该访问请求,获取访问请求中包括的待访问产品信息,依据待访问产品信息确定待访问产品。
S502、对访问用户进行权限校验。
本实施例中,对访问用户进行权限校验,具体的,对访问用户进行身份校验和访问权限校验。
S503、判断访问用户是否通过权限校验,若否,执行S504,否是,执行S505。
S504、输出表征访问失败的提示信息。
本实施例中,若访问用户不通过权限校验,或,访问用户通过权限校验但是访问请求未通过安全校验,则输出表征访问失败的提示信息,也就是对访问请求进行拦截,禁止访问用户访问待访问产品。
S505、调用安全网关的应用程序接口API,将访问请求转发至安全网关。
本实施例中,调用安全网关的应用程序接口API,将访问请求转发至安全网关。
需要说明的是,本实施例中,安全网关是认证网关的旁路,安全网关不直接与专有云中的产品进行通信,认证网关与安全网关之间的消息的传输,是通过调用安全网关的API进行。
本实施例中,安全网关在接收到访问请求后,利用预先部署于自身中的待访问产品对应的安全策略对访问请求进行安全校验,并生成安全校验结果反馈至认证网关,其中,安全策略的部署过程如实施例图1的各个步骤所述,此处不再赘述。安全网关对访问请求进行安全校验的过程如实施例图2至图4的各个步骤所述,此处不再赘述。
S506、获取安全网关反馈的安全校验结果。
S507、判断安全校验结果是否表征访问请求通过安全校验,若否,执行S504,若是,执行S508。
S508、将访问请求发送至待访问产品。
本实施例中,若安全校验结果表征访问请求通过安全校验,则将访问请求发送至待访问产品。
本申请实施例提供的访问控制方法中,对访问用户进行权限校验,在访问用户通过权限校验的情况下,通过安全网关的API将访问用户的访问请求发送安全网关,以便于安全网关利用预先部署的待访问产品的安全策略,对访问请求进行安全校验,从而在访问请求通过安全校验后,将访问请求发送至待访问产品,若访问用户未通过权限校验,或访问用户的访问请求未通过安全校验,则拦截该访问请求,并输出表征访问失败的提示信息。应用本申请实施例提供的访问控制方法,通过对访问用户进行权限校验,以及对访问用户的访问请求进行安全校验,从而将未通过权限校验或未通过安全校验的访问请求进行拦截,实现访问控制,从而提高专有云中产品被访问的安全性。
参阅图6,步骤S502提及的对访问用户进行权限校验的过程,包括以下步骤:
S601、获取访问用户的用户信息。
本实施例中,获取访问用户的用户信息,用户信息包括但不限于用户名和密码。
S602、依据用户信息,对访问用户进行身份校验。
本实施例中,依据访问用户的用户信息,对访问用户进行身份校验,也就是,判断认证网关中预先存储的各个用户信息中是否存在与访问用户的用户信息相匹配的用户信息,若存在,则确定出访问用户通过身份校验,若不存在,则确定出访问用户未通过身份校验。
S603、判断访问用户是否通过身份校验,若否,执行S604,若是,执行S605。
S604、确定出访问用户未通过权限校验。
本实施例中,若所访用户未通过身份校验,或所述访问用户不具备访问待访问产品的访问权限,则确定出访问用户未通过权限校验。
S605、判断访问用户是否具备访问待访问产品的访问权限,若否,执行S604,若是,执行S606。
本实施例中,若访问用户通过身份校验,则进一步判断访问用户是否具备访问待访问产品的访问权限。
参阅图7,判断访问用户是否具备访问待访问产品的访问权限的过程,具体包括:
S701、获取预先存储的待访问产品的可访问用户名单。
本实施例中,预先存储待访问产品的可访问用户名单,可访问用户名单中包括多个可访问用户的用户信息,每一个可访问用户具有访问该待访问产品的访问权限。也就是说,预先对可访问用户进行访问权限配置。
本实施例中,参阅图8,访问权限配置的过程,包括:认证网关中的权限管理模块响应权限配置请求,获取权限配置请求中包括的请求信息,其中,请求信息包括但不限于权限配置信息样例表中的各个数据,权限配置信息样例表如表5所示:
用户名称 | 资源名称 | 对外接口名 | 有效时间 |
xiaoming | cvm | RunInstancesV3 | 2021-08-20 |
判断数据库中是否存在与用户名称对应的用户信息,以及与资源名称和对外接口名均配置的产品信息;若数据库中存在与用户名称对应的用户信息、且存在与资源名称和对外接口名均配置的产品信息,则将用户信息和产品信息进行关联存储至该数据库,认证网关中的同步信息模块将用户信息和产品信息发送至权限认证模块,权限认证模块将用户信息和产品信息关联存储至可访问用户名单中,完成访问权限配置;若数据库中不存在与用户名称对应的用户信息、且不存在与资源名称和对外接口名均配置的产品信息,则输出访问权限配置失败的提示信息。其中,数据库中存储专有云中每个产品的产品信息,产品信息包括但不限于产品接口配置样例表中的各项数据,产品接口配置样例表如表6所示:
本实施例中,获取待访问产品的可访问用户名单。具体的,认证网关中的权限认证模块获取预先存储的待访问产品的可访问用户名单。
S702、判断可访问用户名单中是否存在与访问用户的用户信息相匹配的用户信息,若否,执行S703,若是,执行S704。
本实施例中,将访问用户的用户信息与可访问用户名单包括的各个可访问用户的用户信息进行匹配,以判断可访问用户名单中是否存在与访问用户的用户信息相匹配的用户信息。
S703、确定出访问用户不具备访问待访问产品的访问权限。
本实施例中,若可访问用户名单中不存在与访问用户的用户信息相匹配的用户信息,则确定出访问用户不具备访问待访问产品的访问权限。
S704、确定出访问用户具备访问待访问产品的访问权限。
本实施例中,若可访问用户名单中存在与访问用户的用户信息相匹配的用户信息,则确定出访问用户具备访问待访问产品的访问权限。
本实施例中,通过将认证网关中预先存储的可访问名单包括的各个可访问用户的用户信息与访问用户的用户信息进行匹配,以确定访问用户是否具备访问待访问产品的访问权限。其中,若可访问名单中存在与访问用户的用户信息相匹配的用户信息,则确定出访问用户具备访问待访问产品的访问权限,若可访问名单中不存在与访问用户的用户信息相匹配的用户信息,则确定出访问用户不具备访问待访问产品的访问权限。
S606、确定出访问用户通过权限校验。
本实施例中,在访问用户通过身份校验的情况下,若访问用户具备访问待访问产品的访问权限,则确定出访问用户通过权限校验。
本申请实施例提供的访问控制方法,通过对访问用户进行身份校验和访问权限校验,以实现对访问用户的权限校验。
本申请实施例提供的访问控制方法,在步骤S505之后,还可以包括以下步骤:
若经过预设的时长后,未接收到安全网关反馈的安全校验结果,则输出表征访问失败的提示信息。
本实施例中,认证网关在将访问请求发送至安全网关之后,启动计时器开始计时,在计时器的计时结果大于预设的时长时,也就是从将访问请求发送至安全网关开始,经过预设的时长后,仍未接收到安全网关反馈的访问请求对应的安全校验结果,则输出表征访问失败的提示信息,并对访问请求进行拦截,不将访问请求发送至待访问产品。
参阅图9,本申请实施例提供的访问控制方法,在步骤S505之后,还可以包括以下步骤:
S901、接收安全网关发送的二次认证请求。
本实施例中,安全网关在访问用户的访问频率大于预设频率阈值的情况下,向认证网关发送对访问用户进行二次认证的二次认证请求。
本实施例中,认证网关接收安全网关发送的二次认证请求。
S902、向访问用户展示预设的二次认证界面。
本实施例中,在接收到安全网关发送的二次认证请求的情况下,向访问用户展示预设的二次认证界面,其中,二次认证界面中包括多种认证方式,包括但不限于图像认证和短信认证。
本实施例中,访问用户基于二次认证界面包括的认证方式,选择其中一种认证方式进行二次认证,例如,用户选择短信认证方式,通过点击二次认证界面中的短信认证方式,在二次认证界面中输入所接收到短信验证码,实现二次认证。
本实施例中,首次向访问用户展示二次认证界面时,启动对展示次数的初始计数,并在后续每展示一次二次认证界面,对展示次数进行计数加一。
S903、获取访问用户通过二次认证界面输入的认证信息。
本实施例中,在用户完成认证后,获取访问用户通过二次认证界面输入的认证信息。
S904、判断认证信息是否正确,若是,执行,S905,若否,执行S906。
本实施例中,对认证信息进行校验,若认证信息通过校验,则确定出认证信息正确,若认证信息未通过校验,则确定出认证信息不正确。
S905、生成表征通过二次认证的二次认证结果。
本实施例中,若认证信息正确,则生成表征访问用户通过二次认证的二次认证结果。
S906、判断二次认证界面的展示次数是否大于预设展示阈值,若是,执行S907,若否,返回执行S902。
本实施例中,若认证信息不正确,进一步判断二次认证界面的展示次数是否大于预设展示阈值。
本实施例中,若二次认证界面的展示次数大于预设展示阈值,则执行步骤S907,若二次认证界面的展示次数不大于预设展示阈值,则返回执行步骤S902。
S907、生成表征未通过二次认证的二次认证结果。
本实施例中,若认证信息不正确,且二次认证界面的展示次数大于预设展示阈值,则生成表征访问用户未通过二次认证的二次认证结果。
S908、将二次认证结果发送至安全网关。
本申请实施例提供的访问控制方法,向访问用户展示二次认证界面,以便于访问用户通过二次认证界面进行二次认证,从而进一步提高专有云中产品被访问的安全性。
参阅图10,本申请实施例还提供了一种访问控制系统1000,包括:
认证网关1001和安全网关1002。
认证网关1001,用于响应于访问用户的访问请求,确定访问请求对应的待访问产品,并对访问用户进行权限校验,在访问用户通过权限校验后,调用安全网关1002的应用程序接口API,将访问请求转发至安全网关1002,并接收安全网关10002反馈的安全校验结果,若安全校验结果表征访问请求通过安全校验,则将访问请求发送至待访问产品,若安全校验结果表征访问请求未通过安全校验,则输出表征访问失败的提示信息。
安全网关1002,用于在接收到认证网关1001发送的访问请求后,获取预先部署的待访问产品对应的安全策略,依据安全策略,对访问请求进行安全校验,生成安全校验结果,并将安全校验结果反馈至认证网关1001。
本申请实施例提供的访问控制系统中,认证网关通过对访问用户进行权限校验,以及在访问用户通过权限校验后,将访问请求发送至安全网关,安全网关对访问用户的访问请求进行安全校验,从而将未通过权限校验或未通过安全校验的访问请求进行拦截,实现访问控制,从而提高专有云中产品被访问的安全性。
本实施例中,可选的,访问控制系统还包括:日志管理模块和数据库,其中,日志管理模块用于对认证网关产生的日志进行管理,数据库包括临时数据和永久数据,临时数据的用于临时存储数据,永久数据用于永久存储数据。
本实施例中,参阅图11,认证网关包括认证模块、管理模块、同步模块和前端。
其中,管理模型包括用户管理模块和权限管理模块,用户管理模块提供用户注册、登录、信息修改等功能。一个主账号也可以添加多个子账号给不同的员工使用,实现用户的分类分级管理。权限管理模块提供产品接口注册、产品接口配置管理、用户权限管理等功能。可针对不同的资源给不同的人员配置特定的权限。如某个子账号可申请建立虚机等。
认证模块包括身份认证模块和权限认证模块。身份认证模块可根据账户的用户名、密码或密钥等信息校验此租户是否具有使用云平台的权限。权限认证模块根据已校验通过的用户信息和权限判断此用户是否具有访问具体资源的权限。
同步模块主要是用于配置信息同步,当管理员在管理模块配置了用户或权限信息后,此模块实时将变动的配置及时更新至认证模块。
前端,用于提供前端页面,以便于与用户进行交互。
本实施例中,同样参阅图11,安全网关,包括同步模块、前端、请求拆分模块、请求记录模块、策略校验模块、二次认证模块和策略配置模块。
其中,请求拆分模块用于对每次的请求进行拆分,得到函数名、请求参数、请求值等,用于进行后续的校验。
请求记录模块用于对每次请求进行记录,得到每个用户访问每个资源的统计数据,用于后续的请求频率策略校验。
策略配置模块用于将用户输入抽象为具体的安全访问策略,至少包含端口策略、IP策略、请求频率策略、请求参数策略,可根据实际的安全策略进行扩展。端口策略用于抽象出资源访问时关于端口的参数进行检查,不满足则拒绝。如TCP 3306端口为数据库默认端口,可直接拒绝开通此端口的资源请求。
策略校验模块用于对具体的访问进行策略校验,查看是否满足安全要求,至少包含端口策略、IP策略、请求频率策略、请求参数策略。端口策略用于对抽象出资源访问时关于端口的参数进行检查,不满足则直接拒绝此次访问。如TCP 3306端口为数据库默认端口,可直接拒绝开通此端口的资源请求。IP策略用于对抽象出资源访问时关于IP的参数进行检查,如不在可信IP范围内,则直接拒绝此次访问。请求频率策略针对同一个客户访问相同请求的次数进行计数,如短期内请求次数超过一定阈值,则认为是不正常请求,需进行二次认证。请求参数策略用于对抽象出资源访问时的特定参数进行检查,如果请求参数值不在合理范围之内,则直接拒绝此次访问。
二次认证模块主要是针对部分异常的请求进行二次认证(如图形验证码),此模块与策略校验模块配合,进一步保证了验证结果的可靠性。
同步模块主要是用于配置信息同步,当管理员在策略配置模块更新了配置后,此模块实时将变动的配置及时更新至策略校验模块。
前端,用于提供前端页面,以便于与用户进行交互。
本实施例中,同样参阅图11,对上述提及的访问控制方法进行举例说明如下:
认证网关接收客户的访问请求,认证网关中的认证模块客户进行权限校验,权限校验包括对客户进行身份校验和访问权限校验,在客户通过权限校验后,调用安全网关的API,将访问请求转发至安全网关。
安全网关中的请求拆分模块对访问请求进行拆分,得到拆分结果,安全网关中的请求记录模块对该访问请求进行记录,安全网关中的策略校验模块基于拆分结果和记录的结果,对访问请求进行安全校验,具体的,基于拆分结果和记录的结果,对访问请求进行端口策略校验、IP策略校验、请求频率策略校验和请求参数策略校验,并当访问请求为异常访问时,也就是访问频次超过请求频率策略中的预设频率阈值时,二次认证模块向认证网关发送二次认证请求。安全网关将安全校验的安全校验结果反馈至认证网关。
认证网关接收安全网关发送的安全校验结果,若安全校验结果表征访问请求通过安全校验,则将访问请求发送至对应的云产品,若安全校验结果表征访问请求未通过安全校验,则输出表征访问失败的提示信息。从而实现对访问请求进行控制,提高专有云中产品被访问的安全性。
需要说明的是,虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。
应当理解,本申请公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本申请公开的范围在此方面不受限制。
与图1所述的方法相对应,本申请实施例还提供了一种安全策略部署装置,应用于安全网关,用于对图1中方法的具体实现,其结构示意图如图12所示,具体包括:
生成单元1201,用于响应于对目标产品的安全策略配置请求,生成安全策略配置页面;
第一获取单元1202,用于获取用户通过所述安全策略配置页面输入的安全策略;所述安全策略配置信息至少包括端口策略、IP策略、请求频率策略和请求参数策略中的一种;
存储单元1203,用于在所述安全网关中部署所述安全策略配置信息。
本申请实施例提供的安全策略部署装置,直接在安全网关中部署安全策略,而不是在产品中部署安全策略,因此,安全策略的部署不依赖于产品,部署难度较低,从而提高安全策略部署效率。
与图2所述的方法相对应,本申请实施例还提供了一种访问控制装置,应用于安全网关,用于对图2中方法的具体实现,其结构示意图如图13所示,具体包括:
第一确定单元1301,用于响应于认证网关发送的访问请求,确定所述访问请求对应的待访问产品;
第二获取单元1302,用于获取预先部署于所述安全网关中的所述待访问产品对应的安全策略;
第一校验单元1303,用于依据所述安全策略,对所述访问请求进行安全校验,生成安全校验结果;
第一发送单元1304,用于将所述安全校验结果反馈至所述认证网关,以便于所述认证网关基于所述安全校验结果,对所述访问请求进行访问控制。
本申请实施例提供的访问控制装置中,在安全网关中预先部署待访问产品的安全策略,基于预先部署的安全策略,对访问待访问产品的访问请求进行安全校验,基于安全校验的结果,对访问请求进行控制,从而提高专有云中产品被访问的安全性。
在本申请的一个实施例中,基于前述方案,第一确定单元1301具体用于:
对所述访问请求进行解析,得到所述访问请求的解析结果;所述解析结果中包括待访问产品的产品信息;
依据所述解析结果中包括的待访问产品的产品信息,确定所述访问请求对应的待访问产品。
在本申请的一个实施例中,基于前述方案,所述解析结果中还包括访问用户信息、时间戳、请求参数信息、地址信息和端口信息,所述安全策略包括端口策略、IP策略、请求频率策略和请求参数策略,第一校验单元1303具体用于:
对目标计数器进行计数处理;所述目标计数器为所述访问用户信息对应的各个计数器中与所述待访问产品对应的计数器;
依据所述目标计数器的计数结果和所述时间戳,计算所述访问用户的访问频率;
判断所述请求参数是否满足所述请求参数策略、所述地址信息是否满足所述IP策略、所述端口信息是否满足所述端口策略、所述访问频率是否满足所述请求频率策略;
若所述请求参数满足所述请求参数策略、所述地址信息满足所述IP策略、所述端口信息满足所述端口策略、以及所述访问频率满足所述请求频率策略,则生成表征所述访问请求通过安全校验的安全校验结果,否则,生成表征所述访问请求未通过安全校验的安全校验结果。
在本申请的一个实施例中,基于前述方案,第一校验单元1303在判断所述访问频率是否满足所述请求频率策略具体用于判断所述访问频率是否满足所述请求频率策略时,具体用于:
判断所述访问频率是否小于所述请求频率策略中的预设频率阈值;
若所述访问频率小于所述请求频率中的预设频率阈值,则确定出所述访问频率满足所述请求频率策略;
若所述访问频率不小于所述请求频率中的预设频率阈值,则向所述认证网关发送二次认证请求,以便于所述认证网关对所述访问用户进行二次认证,得到二次认证结果;
获取所述认证网关发送的二次认证结果;
若所述认证结果表征通过二次认证,则确定出所述访问频率满足所述请求频率策略;
若所述认证结果表征未通过二次认证,则确定出所述访问频率不满足所述请求频率策略。
与图5所述的方法相对应,本申请实施例还提供了一种访问控制装置,应用于认证网关,用于对图5中方法的具体实现,其结构示意图如图14所示,具体包括:
第二确定单元1401,用于响应于访问用户的访问请求,确定所述访问请求对应的待访问产品;
第二校验单元1402,用于对所述访问用户进行权限校验;
第二发送单元1403,用于在所述访问用户通过权限校验后,调用安全网关的应用程序编程接口API,将所述访问请求转发至所述安全网关,以使所述安全网关利用预先部署于自身中的所述待访问产品对应的安全策略对所述访问请求进行安全校验;
第三获取单元1404,用于获取所述安全网关反馈的安全校验结果;
第三发送单元1405,用于若所述安全校验结果表征所述访问请求通过安全校验,则将所述访问请求发送至所述待访问产品,若所述安全校验结果表征所述访问请求未通过安全校验,则输出表征访问失败的提示信息。
本申请实施例提供的访问控制装置,通过对访问用户进行权限校验,以及对访问用户的访问请求进行安全校验,从而将未通过权限校验或未通过安全校验的访问请求进行拦截,实现访问控制,从而提高专有云中产品被访问的安全性。
在本申请的一个实施例中,基于前述方案,第二校验单元1402具体用于:
获取所述访问用户的用户信息;
依据所述用户信息,对所述访问用户进行身份校验;
在所述访问用户通过所述身份校验后,判断所述访问用户是否具备访问所述待访问产品的访问权限;
若所述访问用户具备访问所述待访问产品的访问权限,则确定出所述访问用户通过权限校验。
在本申请的一个实施例中,基于前述方案,第二校验单元1402在判断所述访问用户是否具备访问所述待访问产品的访问权限时,具体用于:
获取预先存储的所述待访问产品的可访问用户名单;
判断所述可访问用户名单中是否存在与所述访问用户的用户信息相匹配的用户信息;
若所述可访问用户名单中存在与所述访问用户的用户信息相匹配的用户信息,则确定出所述访问用户具备访问所述待访问产品的访问权限;
若所述可访问用户名单中不存在与所述访问用户的用户信息相匹配的用户信息,则确定出所述访问用户不具备访问所述待访问产品的访问权限。
在本申请的一个实施例中,基于前述方案,还可以配置为:
输出单元,用于若经过预设的时长后,未接收到所述安全网关反馈的安全校验结果,则输出表征访问失败的提示信息。
在本申请的一个实施例中,基于前述方案,还可以配置为:
接收单元,用于接收所述安全网关发送的二次认证请求;
展示单元,用于向所述访问用户展示预设的二次认证界面;
第四获取单元,用于获取所述访问用户通过所述二次认证界面输入的认证信息;
判断单元,用于判断所述认证信息是否正确;
第一生成单元,用于若所述认证信息正确,则生成表征通过二次认证的二次认证结果;
第二生成单元,用于若所述认证信息不正确,则返回执行所述向所述访问用户展示预设的二次认证界面的步骤,直至二次认证界面的展示次数大于预设展示阈值时,生成表征未通过二次认证的二次认证结果;
第四发送单元,用于将所述二次认证结果发送至所述安全网关。
本申请实施例还提供了一种存储介质,所述存储介质存储有指令集,其中,在所述指令集运行时执行如上文任一实施例公开的安全策略部署方法和访问控制方法。
本申请实施例还提供了一种电子设备,其结构示意图如图15所示,具体包括存储器1501,用于存储至少一组指令集;处理器1502,用于执行所述存储器中存储的指令集,通过执行所述指令集实现如上文任一实施例公开的安全策略部署方法和访问控制方法。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本申请公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
以上描述仅为本申请公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请公开中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (14)
1.一种安全策略部署方法,其特征在于,应用于安全网关,所述方法包括:
响应于对目标产品的安全策略配置请求,生成安全策略配置页面;
获取用户通过所述安全策略配置页面输入的安全策略;所述安全策略至少包括端口策略、IP策略、请求频率策略和请求参数策略中的一种;
在所述安全网关中部署所述安全策略。
2.一种访问控制方法,其特征在于,应用于安全网关,所述方法包括:
响应于认证网关发送的访问请求,确定所述访问请求对应的待访问产品;
获取预先部署于所述安全网关中的所述待访问产品对应的安全策略;
依据所述安全策略,对所述访问请求进行安全校验,生成安全校验结果;
将所述安全校验结果反馈至所述认证网关,以便于所述认证网关基于所述安全校验结果,对所述访问请求进行访问控制。
3.根据权利要求2所述的方法,其特征在于,所述确定所述访问请求对应的待访问产品,包括:
对所述访问请求进行解析,得到所述访问请求的解析结果;所述解析结果中包括待访问产品的产品信息;
依据所述解析结果中包括的待访问产品的产品信息,确定所述访问请求对应的待访问产品。
4.根据权利要求3所述的方法,其特征在于,所述解析结果中还包括访问用户信息、时间戳、请求参数信息、地址信息和端口信息,所述安全策略包括端口策略、IP策略、请求频率策略和请求参数策略,所述依据所述安全策略,对所述访问请求进行安全校验,生成安全校验结果,包括:
对目标计数器进行计数处理;所述目标计数器为所述访问用户信息对应的各个计数器中与所述待访问产品对应的计数器;
依据所述目标计数器的计数结果和所述时间戳,计算访问用户的访问频率;
判断所述请求参数是否满足所述请求参数策略、所述地址信息是否满足所述IP策略、所述端口信息是否满足所述端口策略、所述访问频率是否满足所述请求频率策略;
若所述请求参数满足所述请求参数策略、所述地址信息满足所述IP策略、所述端口信息满足所述端口策略、以及所述访问频率满足所述请求频率策略,则生成表征所述访问请求通过安全校验的安全校验结果,否则,生成表征所述访问请求未通过安全校验的安全校验结果。
5.根据权利要求4所述的方法,其特征在于,所述判断所述访问频率是否满足所述请求频率策略,包括:
判断所述访问频率是否小于所述请求频率策略中的预设频率阈值;
若所述访问频率小于所述请求频率中的预设频率阈值,则确定出所述访问频率满足所述请求频率策略;
若所述访问频率不小于所述请求频率中的预设频率阈值,则向所述认证网关发送二次认证请求,以便于所述认证网关对所述访问用户进行二次认证,得到二次认证结果;
获取所述认证网关发送的二次认证结果;
若所述认证结果表征通过二次认证,则确定出所述访问频率满足所述请求频率策略;
若所述认证结果表征未通过二次认证,则确定出所述访问频率不满足所述请求频率策略。
6.一种访问控制方法,其特征在于,应用于认证网关,所述方法包括:
响应于访问用户的访问请求,确定所述访问请求对应的待访问产品;
对所述访问用户进行权限校验;
在所述访问用户通过权限校验后,调用安全网关的应用程序接口API,将所述访问请求转发至所述安全网关,以使所述安全网关利用预先部署于自身中的所述待访问产品对应的安全策略对所述访问请求进行安全校验;
获取所述安全网关反馈的安全校验结果;
若所述安全校验结果表征所述访问请求通过安全校验,则将所述访问请求发送至所述待访问产品,若所述安全校验结果表征所述访问请求未通过安全校验,则输出表征访问失败的提示信息。
7.根据权利要求6所述的方法,其特征在于,所述对所述访问用户进行权限校验,包括:
获取所述访问用户的用户信息;
依据所述用户信息,对所述访问用户进行身份校验;
在所述访问用户通过所述身份校验后,判断所述访问用户是否具备访问所述待访问产品的访问权限;
若所述访问用户具备访问所述待访问产品的访问权限,则确定出所述访问用户通过权限校验。
8.根据权利要求7所述的方法,其特征在于,所述判断所述访问用户是否具备访问所述待访问产品的访问权限,包括:
获取预先存储的所述待访问产品的可访问用户名单;
判断所述可访问用户名单中是否存在与所述访问用户的用户信息相匹配的用户信息;
若所述可访问用户名单中存在与所述访问用户的用户信息相匹配的用户信息,则确定出所述访问用户具备访问所述待访问产品的访问权限;
若所述可访问用户名单中不存在与所述访问用户的用户信息相匹配的用户信息,则确定出所述访问用户不具备访问所述待访问产品的访问权限。
9.根据权利要求6所述的方法,其特征在于,还包括:
若经过预设的时长后,未接收到所述安全网关反馈的安全校验结果,则输出表征访问失败的提示信息。
10.根据权利要求6所述的方法,其特征在于,还包括:
接收所述安全网关发送的二次认证请求;
向所述访问用户展示预设的二次认证界面;
获取所述访问用户通过所述二次认证界面输入的认证信息;
判断所述认证信息是否正确;
若所述认证信息正确,则生成表征通过二次认证的二次认证结果;
若所述认证信息不正确,则返回执行所述向所述访问用户展示预设的二次认证界面的步骤,直至二次认证界面的展示次数大于预设展示阈值时,生成表征未通过二次认证的二次认证结果;
将所述二次认证结果发送至所述安全网关。
11.一种安全策略部署装置,其特征在于,应用于安全网关,所述装置包括:
生成单元,用于响应于对目标产品的安全策略配置请求,生成安全策略配置页面;
第一获取单元,用于获取用户通过所述安全策略配置页面输入的安全策略;所述安全策略配置信息至少包括端口策略、IP策略、请求频率策略和请求参数策略中的一种;
部署单元,用于在所述安全网关中部署所述安全策略配置信息。
12.一种访问控制装置,其特征在于,应用于安全网关,所述装置包括:
第一确定单元,用于响应于认证网关发送的访问请求,确定所述访问请求对应的待访问产品;
第二获取单元,用于获取预先部署于所述安全网关中的所述待访问产品对应的安全策略;
第一校验单元,用于依据所述安全策略,对所述访问请求进行安全校验,生成安全校验结果;
第一发送单元,用于将所述安全校验结果反馈至所述认证网关,以便于所述认证网关基于所述安全校验结果,对所述访问请求进行访问控制。
13.一种访问控制装置,其特征在于,应用于认证网关,所述装置包括:
第二确定单元,用于响应于访问用户的访问请求,确定所述访问请求对应的待访问产品;
第二校验单元,用于对所述访问用户进行权限校验;
第二发送单元,用于在所述访问用户通过权限校验后,调用安全网关的应用程序编程接口API,将所述访问请求转发至所述安全网关,以使所述安全网关利用预先部署于自身中的所述待访问产品对应的安全策略对所述访问请求进行安全校验;
第三获取单元,用于获取所述安全网关反馈的安全校验结果;
第三发送单元,用于若所述安全校验结果表征所述访问请求通过安全校验,则将所述访问请求发送至所述待访问产品,若所述安全校验结果表征所述访问请求未通过安全校验,则输出表征访问失败的提示信息。
14.一种访问控制系统,其特征在于,包括:
认证网关和安全网关;
所述认证网关用于执行如权利要求6~10任意一项所述的访问控制方法;所述安全网关用于执行如权利要求2~5任意一项所述的访问控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110881802.8A CN113596040A (zh) | 2021-08-02 | 2021-08-02 | 安全策略部署方法、访问控制方法及装置、访问控制系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110881802.8A CN113596040A (zh) | 2021-08-02 | 2021-08-02 | 安全策略部署方法、访问控制方法及装置、访问控制系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113596040A true CN113596040A (zh) | 2021-11-02 |
Family
ID=78253845
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110881802.8A Pending CN113596040A (zh) | 2021-08-02 | 2021-08-02 | 安全策略部署方法、访问控制方法及装置、访问控制系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113596040A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114666161A (zh) * | 2022-04-29 | 2022-06-24 | 深信服科技股份有限公司 | 一种组件安全策略管理方法、装置、设备及存储介质 |
CN114938288A (zh) * | 2022-04-08 | 2022-08-23 | 北京指掌易科技有限公司 | 一种数据访问方法、装置、设备以及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102045353A (zh) * | 2010-12-13 | 2011-05-04 | 北京交通大学 | 一种公有云服务的分布式网络安全控制方法 |
CN104618403A (zh) * | 2015-03-10 | 2015-05-13 | 网神信息技术(北京)股份有限公司 | 安全网关的访问控制方法和装置 |
CN107222508A (zh) * | 2017-07-14 | 2017-09-29 | 国家计算机网络与信息安全管理中心 | 安全访问控制方法、设备及系统 |
CN110781476A (zh) * | 2019-10-15 | 2020-02-11 | 南京南瑞信息通信科技有限公司 | 一种柔性微服务安全访问控制方法及系统 |
CN113010911A (zh) * | 2021-02-07 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种数据访问控制方法、装置及计算机可读存储介质 |
-
2021
- 2021-08-02 CN CN202110881802.8A patent/CN113596040A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102045353A (zh) * | 2010-12-13 | 2011-05-04 | 北京交通大学 | 一种公有云服务的分布式网络安全控制方法 |
CN104618403A (zh) * | 2015-03-10 | 2015-05-13 | 网神信息技术(北京)股份有限公司 | 安全网关的访问控制方法和装置 |
CN107222508A (zh) * | 2017-07-14 | 2017-09-29 | 国家计算机网络与信息安全管理中心 | 安全访问控制方法、设备及系统 |
CN110781476A (zh) * | 2019-10-15 | 2020-02-11 | 南京南瑞信息通信科技有限公司 | 一种柔性微服务安全访问控制方法及系统 |
CN113010911A (zh) * | 2021-02-07 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种数据访问控制方法、装置及计算机可读存储介质 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114938288A (zh) * | 2022-04-08 | 2022-08-23 | 北京指掌易科技有限公司 | 一种数据访问方法、装置、设备以及存储介质 |
CN114938288B (zh) * | 2022-04-08 | 2024-04-26 | 北京指掌易科技有限公司 | 一种数据访问方法、装置、设备以及存储介质 |
CN114666161A (zh) * | 2022-04-29 | 2022-06-24 | 深信服科技股份有限公司 | 一种组件安全策略管理方法、装置、设备及存储介质 |
CN114666161B (zh) * | 2022-04-29 | 2024-04-09 | 深信服科技股份有限公司 | 一种组件安全策略管理方法、装置、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106101258B (zh) | 一种混合云的接口调用方法、装置及系统 | |
US10972475B1 (en) | Account access security using a distributed ledger and/or a distributed file system | |
CN108769163B (zh) | 联盟链共识达成方法、设备及计算机可读存储介质 | |
CN109766700A (zh) | 访问文件的控制方法及装置、存储介质、电子装置 | |
CN113596040A (zh) | 安全策略部署方法、访问控制方法及装置、访问控制系统 | |
CN104333556B (zh) | 基于资源服务管理系统安全认证网关分布式配置管理方法 | |
CN109672680B (zh) | 跨域登录方法 | |
CN108469972B (zh) | 支持web页面中显示多窗口的方法和装置 | |
CN103984887A (zh) | 控制用户权限的方法及装置 | |
CN110688643A (zh) | 一种平台身份识别和权限认证的处理方法 | |
CN104980421B (zh) | 一种批量请求处理方法及系统 | |
CN110086813A (zh) | 访问权限控制方法和装置 | |
CN110798446A (zh) | 邮件批量授权方法、装置、计算机设备及存储介质 | |
CN112910904A (zh) | 多业务系统的登录方法及装置 | |
CN106941418B (zh) | Ssl vpn配置信息的同步方法和装置 | |
CN108418679B (zh) | 一种多数据中心下处理密钥的方法、装置及电子设备 | |
CN112579997B (zh) | 一种用户权限配置方法、装置、计算机设备及存储介质 | |
CN111585978B (zh) | 一种拦截虚假请求的方法、客户端、服务端及系统 | |
CN113067802A (zh) | 一种用户标识方法、装置、设备及计算机可读存储介质 | |
CN113922975A (zh) | 一种安全控制方法、服务器、终端、系统和存储介质 | |
CN107517177B (zh) | 接口授权的方法和装置 | |
CN113489714A (zh) | 一种基于多模块的消息智能交叉处理方法及系统 | |
CN112153130A (zh) | 一种业务资源访问方法和装置 | |
CN107305610B (zh) | 访问路径处理的方法和装置、自动机识别的方法、装置和系统 | |
CN110674139B (zh) | 信息处理方法、系统、资源管理系统以及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211102 |