CN113992414A - 数据的访问方法、装置及设备 - Google Patents
数据的访问方法、装置及设备 Download PDFInfo
- Publication number
- CN113992414A CN113992414A CN202111262981.3A CN202111262981A CN113992414A CN 113992414 A CN113992414 A CN 113992414A CN 202111262981 A CN202111262981 A CN 202111262981A CN 113992414 A CN113992414 A CN 113992414A
- Authority
- CN
- China
- Prior art keywords
- target
- address
- verification information
- white list
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 90
- 238000012795 verification Methods 0.000 claims abstract description 187
- 238000001514 detection method Methods 0.000 claims abstract description 95
- 238000012545 processing Methods 0.000 description 43
- 230000008569 process Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 7
- 230000006399 behavior Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 5
- 238000012360 testing method Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005422 blasting Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
本说明书实施例公开了一种数据的访问方法、装置及设备,该方法包括:接收终端设备发送的针对目标数据的访问请求,该访问请求中包括终端设备的目标IP地址,若目标IP地址未处于目标数据对应的IP白名单中,则从终端设备的用户获取向IP白名单中添加目标IP地址所需的目标验证信息,若确定目标验证信息具备向IP白名单中添加IP地址的权限,则对目标IP地址进行风险检测,得到相应的风险检测结果,若该风险检测结果指示目标IP地址不存在风险,则将目标IP地址添加到IP白名单中,以及将目标数据发送给终端设备。通过上述数据的访问方法,可以实现自主向IP白名单中添加指定的IP地址,并提高了工作效率。
Description
技术领域
本文件涉及计算机技术领域,尤其涉及一种数据的访问方法、装置及设备。
背景技术
当前工作形态多种多样,相应的工作场景也各不相同,针对不同工作场景的需要,一些工作人员需要在办公区域之外的区域办公或访问内部办公资源,这样就需要为上述工作人员开通在办公区域之外访问内部办公资源的权限,而一些内部办公资源所在的内网安全性较差,无法快速满足对外开放的需求。
通常,可以通过IP白名单的方式设置内部办公资源的访问,具体地,工作人员提出向某资源的IP白名单中添加IP地址的需求,多个部门负责人进行审批,并在审批通过后,管理人员向IP白名单中手工添加IP地址。若工作人员的上述IP地址发生变化,则需要重复执行上述处理过程以向IP白名单中添加相应的IP地址,显然,申请向IP白名单中添加IP地址所需审批流程较长,并且需要管理人员向IP白名单中手工添加相应的IP地址,当IP白名单中的IP地址发生变化时,需要重新执行上述审批流程,使得工作效率低下。此外,对于演示、测试等场景,由于很难提前获取该IP地址,因此,会严重影响展示效果和测试效率,基于此,需要提供一种工作效率更高,对IP白名单和IP地址进行管控和风险识别的技术方案。
发明内容
本说明书实施例的目的是提供一种工作效率更高,对IP白名单和IP地址进行管控和风险识别的技术方案。
为了实现上述技术方案,本说明书实施例是这样实现的:
第一方面,本说明书实施例提供的一种数据的访问方法,所述方法包括:
接收终端设备发送的针对目标数据的访问请求,所述访问请求中包括所述终端设备的目标IP地址;
若所述目标IP地址未处于所述目标数据对应的IP白名单中,则从所述终端设备获取向所述IP白名单中添加所述目标IP地址所需的目标验证信息;
若确定所述目标验证信息具备向所述IP白名单中添加IP地址的权限,则对所述目标IP地址进行风险检测,得到相应的风险检测结果;
若所述风险检测结果指示所述目标IP地址不存在风险,则将所述目标IP地址添加到所述IP白名单中,以及将所述目标数据发送给所述终端设备。
第二方面,本说明书实施例提供的一种数据的访问装置,所述装置包括:
访问请求模块,被配置为接收终端设备发送的针对目标数据的访问请求,所述访问请求中包括所述终端设备的目标IP地址;
验证信息获取模块,被配置为若所述目标IP地址未处于所述目标数据对应的IP白名单中,则从所述终端设备获取向所述IP白名单中添加所述目标IP地址所需的目标验证信息;
风险检测模块,被配置为若确定所述目标验证信息具备向所述IP白名单中添加IP地址的权限,则对所述目标IP地址进行风险检测,得到相应的风险检测结果;
数据发送模块,被配置为若所述风险检测结果指示所述目标IP地址不存在风险,则将所述目标IP地址添加到所述IP白名单中,以及将所述目标数据发送给所述终端设备。
第三方面,本说明书实施例提供的一种数据的访问设备,所述数据的访问设备包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令被配置由所述处理器执行,所述可执行指令包括用于执行如第一方面中所述的方法中的步骤。
第四方面,本说明书实施例还提供了一种存储介质,其中,所述存储介质用于存储计算机可执行指令,所述可执行指令使得计算机执行如第一方面中所述的方法中的步骤。
可以看出,在本说明书实施例中,通过自主向IP白名单中添加指定的IP地址,以及对待添加的IP地址进行安全检查,从而不需要进行跨部门沟通,且管理人员也不需要通过手工的方式向IP白名单中添加IP地址,从而极大的提高了工作效率,此外,通过对待添加的IP地址进行风险检测,可以降低系统的安全风险。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书一种数据的访问方法实施例;
图2为本说明书一种数据的访问系统架构示意图;
图3为本说明书一种数据的访问过程的示意图;
图4为本说明书又一种数据的访问方法实施例;
图5为本说明书又一种数据的访问方法实施例;
图6为本说明书又一种数据的访问方法实施例;
图7为本说明书又一种数据的访问方法实施例;
图8A为本说明书又一种数据的访问方法实施例;
图8B为本说明书另一种数据的访问过程的示意图;
图9为本说明书一种数据的访问装置实施例;
图10为本说明书一种数据的访问设备实施例。
具体实施方式
为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
本申请的发明构思如下:基于不同工作场景的需要,一些工作人员需要在办公区域之外的区域办公(例如在该工作人员的家中办公等),这样就需要为上述工作人员开通在办公区域之外访问内部办公资源的权限,而一些内部办公资源所在的内网安全性较差,无法快速满足对外开放的需求,为此可以通过IP(Internet Protocol,网络互联协议)白名单的方式设置内部办公资源的访问,但是,申请IP白名单所需审批流程较长(需要跨多个部门进行沟通、审批),并且需要管理人员向IP白名单中手工添加相应的IP地址,当IP白名单中的IP地址发生变化时,需要重新执行上述审批流程,使得工作效率低下,基于上述问题,本技术方案使用方通过验证信息(如秘钥等)直接将指定的IP地址添加到IP白名单中,不需要进行跨部门的沟通、审批,极大提高了工作效率,此外,还可以对添加的IP地址进行有效期管控和风险识别等处理,从而有效的降低IP地址可能存在的安全风险。
如图1所示,本说明书实施例提供一种数据的访问方法,该方法的执行主体可以为服务器,其中,该服务器可以是独立的一个服务器,也可以是由多个不同的服务器构成的服务器集群,该服务器可以是某网站的后台服务器,也可以是提供某数据访问的服务器等,具体可以根据实际情况设定。该方法可以应用于对某数据的访问管控、IP白名单的管控等处理中。
如图2所示,本说明书实施例中的数据的访问方法对应的系统架构中可以包括服务器201和一个或多个终端设备202,服务器201与每个终端设备202之间通信连接,终端设备202可以包括多种,例如,手机、平板电脑等移动终端设备,还可以如笔记本电脑等终端设备,还可以如智能手表、手环等可穿戴设备等。终端设备202可以向服务器201发送某数据的访问请求,服务器201通过预先设定的处理机制对访问请求方的相关信息进行检测后,确定该终端设备202允许访问该数据时,可以将该数据发送给终端设备202。
该方法具体可以包括以下步骤:
在步骤S102中,接收终端设备发送的针对目标数据的访问请求,该访问请求中包括终端设备的目标IP地址。
其中,终端设备可以如上述的终端设备202,该终端设备可以为移动终端设备、可穿戴设备或其它设备等,具体可以根据实际情况设定。目标数据可以是任意数据,例如,可以是某网页的数据,也可以是某文件(如文本文件、图像、视频文件或音频文件等)的数据,还可以是除上述资源类型之外的其它资源类型的数据,具体可以根据实际情况设定。目标IP地址可以是终端设备所使用的IP地址,IP地址可以是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。
在实施中,当前工作形态多种多样,相应的工作场景也各不相同,针对不同工作场景的需要,一些工作人员需要在办公区域之外的区域办公或访问内部办公资源,这样就需要为上述工作人员开通在办公区域之外访问内部办公资源的权限,而一些内部办公资源所在的内网安全性较差,无法快速满足对外开放的需求,为此可以通过IP白名单的方式设置内部办公资源的访问。具体地,工作人员提出向某资源的IP白名单中添加IP地址的需求,多个部门负责人进行审批,并在审批通过后,管理人员向IP白名单中手工添加IP地址,然后,管理人员可以通知工作人员该IP地址已添加到IP白名单中,若工作人员的上述IP地址发生变化,则需要重复执行上述处理过程以向IP白名单中添加相应的IP地址,显然,申请向IP白名单中添加IP地址所需审批流程较长,并且需要管理人员向IP白名单中手工添加相应的IP地址,当IP白名单中的IP地址发生变化时,需要重新执行上述审批流程,使得工作效率低下。此外,对于演示、测试等场景,往往需要固定的IP地址,由于此情况下很难提前获取该IP地址,因此,若在演示或测试现场获取该IP地址,并通过上述审批过程向IP白名单中添加指定IP地址,则会严重影响展示效果和测试效率,而且还可能会使得IP白名单中存在安全风险,基于此,需要提供一种工作效率更高,对IP白名单和IP地址进行管控和风险识别的技术方案。本说明书实施例提供一种可实现的处理方式,具体可以包括以下内容:
在工作人员通过终端设备向服务器发送该数据(即目标数据)的访问请求之前,可以预先向指定的管理方申请向IP白名单中添加指定IP地址的验证信息,该验证信息可以包括多种不同的呈现形式,例如该验证信息可以是秘钥、字符串等,具体可以根据实际情况设定。每个验证信息可以设置有相应的配置参数,例如,可以包括该验证信息对应的IP地址的数量、允许访问的资源的信息或允许访问的域名(或IP地址等)等,除了可以包括上述信息外,还可以包括多种不同的信息,具体可以根据实际情况设定,本说明书实施例对此不做限定。
通过上述方式设定验证信息后,可以将该验证信息发放给具有访问目标数据需求的工作人员,工作人员可以存储该验证信息。当工作人员需要访问目标数据时,终端设备可以获取终端设备当前使用的IP地址(即目标IP地址),并可以基于获取的目标IP地址生成目标数据的访问请求,可以将该访问请求发送给服务器,从而服务器可以获取到目标数据的访问请求。
在步骤S104中,若目标IP地址未处于目标数据对应的IP白名单中,则从终端设备获取向IP白名单中添加目标IP地址所需的目标验证信息。
其中,IP白名单可以用于记录允许访问某资源的IP地址,IP白名单中的IP地址均可以正常访问该资源。目标验证信息可以是终端设备向IP白名单中添加目标IP地址所需的验证信息,目标验证信息可以包括多种不同的呈现方式,例如,目标验证信息可以是秘钥、字符串等,为了保证目标验证信息的安全,目标验证信息可以包括大于预设字符数量阈值或字节数阈值的数量的字符,且目标验证信息中包含的内容可以不具有任何规则,例如,目标验证信息可以是128位的秘钥,且该秘钥中包含大写字母、小写字母和数字,其中的大写字母、小写字母和数字的排列顺序不存在任何排列规则或次序规则等,具体可以根据实际情况设定。
在实施中,服务器接收到目标数据的访问请求后,可以对该访问请求进行分析,并从中提取出终端设备的目标IP地址。可以在目标数据对应的IP白名单中查找目标IP地址,若在IP白名单中查找到目标IP地址,则表明目标IP地址允许访问目标数据,此时,服务器可以获取目标数据,并将该目标数据发送给终端设备。
若在IP白名单中未查找到目标IP地址,则表明目标IP地址当前还不允许访问目标数据,此时,服务器可以从终端设备的用户(即工作人员)获取向IP白名单中添加目标IP地址所需的目标验证信息,具体地,为了保证验证信息的安全性,终端设备可以将目标验证信息存储于可信执行环境TEE(Trusted Execution Environment)中,其中,可信执行环境可以通过预定的编程语言编写的程序来实现(即可以是以软件的形式实现),也可以由指定的硬件设备和相应的软件所构成,该可信执行环境可以为进行数据处理的安全运行环境,可信执行环境可以是安全并与其它环境相隔离的数据处理环境,即在可信执行环境中执行的处理,以及数据处理的过程中产生的数据等无法被可执行环境外的其它执行环境或应用程序所访问。服务器可以向终端设备的可信执行环境TEE中拉取目标验证信息。
需要说明的是,上述目标验证信息是存储于终端设备的可信执行环境中,在实际应用中,目标验证信息也可以是仅存储于终端设备中,此时,还可以将目标验证信息进行加密后存储,具体可以根据实际情况设定,本说明书实施例对此不做限定。
在步骤S106中,若确定目标验证信息具备向IP白名单中添加IP地址的权限,则对目标IP地址进行风险检测,得到相应的风险检测结果。
在实施中,服务器中可以存储有不同验证信息是否有效的标识(为了后续表述方便,可以称为有效标识),基于有效标识,可以确定相应的验证信息是否具备向IP白名单中添加IP地址的权限,为了方便获取有效标识,服务器可以将有效标识与相应的验证信息的标识对应存储。通过上述方式获取到目标验证信息后,可以获取目标验证信息的标识,并可以通过目标验证信息的标识,从上述对应存储的信息中获取目标验证信息的标识对应的有效标识,若获取的有效标识指示目标验证信息已不具备向IP白名单中添加IP地址的权限,则可以拒绝向IP白名单中添加IP地址,同时,可以拒绝终端设备访问目标数据。若获取的有效标识指示目标验证信息具备向IP白名单中添加IP地址的权限,则可以允许向IP白名单中添加IP地址,此时,为了保证加入IP白名单中的IP地址的安全性,可以对目标IP地址进行风险检测,得到相应的风险检测结果,具体地,服务器中可以设置有IP地址的风险检测机制,该风险检测机制可以通过多种方式构建,例如可以预先构建机器学习模型,该机器学习模型可以包括如报文分析识别模型、端口扫描识别模型、模拟代理地方问识别模型、反向DNS查询识别模型中的至少一个,然后,通过该机器学习模型进行风险检测,或者,可以预先构建存在风险的IP地址的数据库,具体如预先设定的风险评估装置可以对指定IP地址在一定历史时间内的风险情况进行检测,若检测到存在风险行为(例如代理、撞库、暴力破解或垃圾邮件等),则可以将该指定IP地址标记为存在风险,并记录该风险行为发生时间(或者进行标记的时间),然后,可以将该指定IP地址及其相关信息存储于数据库中,通过上述方式,可以在数据库中存储多个不同的存在风险的IP地址,然后,通过该数据库中存储的IP地址对目标IP地址进行风险识别等,具体可以根据实际情况设定,本说明书实施例对此不做限定。
在步骤S108中,若上述风险检测结果指示目标IP地址不存在风险,则将目标IP地址添加到IP白名单中,以及将目标数据发送给终端设备。
在实施中,若得到的风险检测结果指示目标IP地址存在风险,则可以拒绝向IP白名单中添加IP地址,同时,可以拒绝终端设备访问目标数据。若得到的风险检测结果指示目标IP地址不存在风险,则可以将目标IP地址添加到IP白名单中,此时,使用目标IP地址的终端设备可以访问目标数据,服务器可以获取上述访问请求对应的目标数据,并可以将目标数据发送给使用目标IP地址的终端设备。后续,若终端设备再次使用目标IP地址访问目标数据,由于目标IP地址已经在IP白名单中,因此,服务器可以直接将目标数据发送给终端设备。
基于上述处理,以如图3所示的具体示例进行说明,目标数据所在的存储设备对应的域名为指定域名,目标验证信息为秘钥,基于此,服务器可以接收终端设备发送的指定域名的访问请求,服务器可以获取用户(即工作人员)通过终端设备输入的秘钥(即目标验证信息),然后,可以判断该秘钥是否具备向IP白名单中添加IP地址的权限,若否,则重新获取秘钥,若是,则对终端设备所使用的目标IP地址进行风险检测,得到相应的风险检测结果,若上述风险检测结果指示目标IP地址存在风险,则返回以重新获取秘钥,若上述风险检测结果指示目标IP地址不存在风险,则将目标IP地址添加到IP白名单中,并允许终端设备访问指定域名的存储设备中的数据。
可以看出,在本说明书实施例中,通过自主向IP白名单中添加指定的IP地址,以及对待添加的IP地址进行安全检查,从而不需要进行跨部门沟通,且管理人员也不需要通过手工的方式向IP白名单中添加IP地址,从而极大的提高了工作效率,此外,通过对待添加的IP地址进行风险检测,可以降低系统的安全风险。
本说明书一个或多个实施例中,服务器可以为不同的验证信息设置相匹配的验证信息配置参数,相应的,如图4所示,在上述步骤S102之前,还可以执行下述步骤S202和步骤S204的处理。
在步骤S202中,接收目标终端发送的验证信息的申请请求。
其中,目标终端可以是申请验证信息的终端设备,具体可以是上述提到的管理人员使用的终端设备,在实际应用中,上述提到的管理人员可以是上述使用验证信息的工作人员中的一个或多个,在此情况下,管理人员可以是工作人员中指定的人员,也可以是工作人员中随机选取的人员等,或者,上述提到的管理人员也可以是与上述使用验证信息的工作人员不同的人员,具体可以根据实际情况设定,本说明书实施例对此不做限定。基于上述内容,目标终端可以与上述终端设备相同,也可以与上述终端设备不同。
在实施中,管理人员可以向负责人申请验证信息,具体地,管理人员可以使用目标终端生成验证信息的申请请求,并可以将该申请请求发送给服务器,服务器可以接收目标终端发送的验证信息的申请请求。
在步骤S204中,基于上述申请请求,确定该申请请求对应的待申请的验证信息的验证信息配置参数,并基于该验证信息配置参数生成相应的验证信息,将该验证信息发送给目标终端。
其中,验证信息配置参数可以与相应的验证信息相匹配,验证信息配置参数可以包括一个或多个不同的参数,例如可访问的资源的标识、验证信息的有效期限、加入IP白名单的时长等,具体可以根据实际情况设定。
在实施中,服务器接收到上述申请请求后,可以对该申请请求进行分析,基于分析结果可以确定待申请的验证信息需要哪些参数,可以将上述确定的参数作为该申请请求对应的待申请的验证信息的验证信息配置参数。然后,可以针对该验证信息配置参数生成相应的验证信息,将该验证信息发送给目标终端。管理人员可以将申请到的验证信息提供给具有访问指定数据需求的工作人员,以便工作人员通过该验证信息访问上述指定数据。
上述步骤S204中基于上述申请请求,确定该申请请求对应的待申请的验证信息的验证信息配置参数的处理可以多种多样,以下提供一种可选的处理方式,如图5所示,具体可以包括以下步骤S2042~步骤S2046的处理。
在步骤S2042中,根据上述申请请求生成相应的验证信息申请单,该验证信息申请单中包括多个不同的字段。
其中,字段可以包括多种,例如可访问的域名(如x1.com等)、验证信息的有效期限(如3个月,若未填写可以默认设置为1个月等)、待添加的IP地址所对应的物理位置(如K城市、P城市等)、验证信息对应的IP地址的数量(如3个,若未填写可以默认设置为1个等)和加入IP白名单的时长(或加入IP白名单的有效期限(如3个月,若未填写可以默认设置为1个月等))等,其中的可访问的域名可以包括一个,也可以包括多个,具体可以根据实际情况设定。此外,通过设置加入IP白名单的有效期限的字段和相应的字段值,可以及时将超过加入IP白名单的有效期限的IP地址剔除,若需要重新对剔除的IP地址加入到IP白名单,则需要重新执行上述相关处理过程,从而降低相应的安全风险。
在实际应用中,上述申请请求中可以包括待申请的验证信息对应的需求信息,上述步骤S2042中根据上述申请请求生成相应的验证信息申请单的处理可以多种多样,以下提供一种可选的处理方式,具体可以包括:生成与待申请的验证信息对应的需求信息相匹配的字段,并基于生成的字段生成验证信息申请单。
其中,待申请的验证信息对应的需求信息可以是申请方所需求的信息,例如,可访问的域名为x1.com、验证信息的有效期限为3个月、待添加的IP地址所对应的物理位置为K城市、验证信息对应的IP地址的数量为3个和加入IP白名单的有效期限为3个月等,或者,也可以是可访问的域名、验证信息的有效期限、待添加的IP地址所对应的物理位置、验证信息对应的IP地址的数量和加入IP白名单的有效期限等,具体可以根据实际情况设定。
在步骤S2044中,将上述验证信息申请单发送给目标终端,以使目标终端的用户为该验证信息申请单中的字段设置相应的字段值,得到验证信息配置参数。
在实施中,服务器可以将上述验证信息申请单发送给目标终端,目标终端接收到该验证信息申请单后,可以显示该验证信息申请单中的多个不同的字段,目标终端的用户(即管理人员)可以针对每个字段填写相应的字段值,最终可以生成验证信息配置参数,生成的验证信息配置参数可以如下表1所示。
表1
生成的验证信息配置参数除了可以如上述表1所示之外,还可以如下表2所示。
表2
生成的验证信息配置参数除了可以如上述表1和表2所示之外,还可以如下表3所示。
表3
在步骤S2046中,接收目标终端发送的上述验证信息配置参数。
上述申请请求中可以包括待申请的验证信息所需使用的场景信息,上述步骤S204中基于上述申请请求,确定该申请请求对应的待申请的验证信息的验证信息配置参数的处理可以多种多样,以下提供一种可选的处理方式,具体可以包括以下内容:生成与待申请的验证信息所需使用的场景信息相匹配的字段和字段值,并基于生成的字段和字段值生成验证信息配置参数。
其中,待申请的验证信息所需使用的场景信息可以是包括多种,例如在家办公、出差、对外演示等,具体可以根据实际情况设定。
在实施中,工作人员申请验证信息,管理人员可以根据工作人员提供的需求填写验证信息的申请流程,内容可以包含以下2个字段,即可访问的域名(如:x1.com)、待申请的验证信息所需使用的场景信息,可以如下表4所示。
表4
负责人审批结束后,可以根据场景自动配置各种字段和字段值,即生成与待申请的验证信息所需使用的场景信息相匹配的字段和字段值,进而基于生成的字段和字段值生成验证信息配置参数,可以如下表5所示。
表5
这样,根据待申请的验证信息所需使用的场景信息进行参数配置,安全性较高,同时也可以降低验证信息的申请难度。
相应的,上述步骤S106的处理可以包括:若基于目标验证信息对应的验证信息配置参数确定目标验证信息具备向IP白名单中添加IP地址的权限,则对目标IP地址进行风险检测,得到相应的风险检测结果。
在实施中,可以基于目标验证信息的标识获取验证信息的有效期限、待添加的IP地址所对应的物理位置、验证信息对应的IP地址的数量和可访问的域名,然后,可以通过上述信息判断目标验证信息是否具备向IP白名单中添加IP地址的权限,具体如,若目标验证信息处于有效期限内、待添加的IP地址所对应的物理位置符合设定的字段值,则确定目标验证信息具备向IP白名单中添加IP地址的权限,然后,可以对目标IP地址进行风险检测,得到相应的风险检测结果。
在实际应用中,上述步骤S104的具体处理方式可以多种多样,以下再提供一种可选的处理方式,如图6所示,具体可以包括以下步骤S1042和步骤S1044的处理。
在步骤S1042中,若目标IP地址未处于目标数据对应的IP白名单中,则向终端设备发送目标验证信息的获取请求。
在实施中,若目标IP地址未处于目标数据对应的IP白名单中,则服务器可以获取需要用户(即工作人员)输入目标验证信息的页面的数据,并可以基于获取的数据生成目标验证信息的获取请求,将目标验证信息的获取请求发送给终端设备,以使终端设备跳转到需要用户输入目标验证信息的页面。
在步骤S1044中,接收终端设备针对上述获取请求而发送的目标验证信息。
在实施中,终端设备的用户可以在需要输入目标验证信息的页面内输入目标验证信息,其中,为了保证目标验证信息的安全性,可以需要工作人员输入128位的目标验证信息,该目标验证信息可以包含大写字母、小写字母、数字等,且大写字母、小写字母、数字的排列无规则,从而可以避免爆破。若输入目标验证信息失败,则可以重新跳转到输入目标验证信息的页面。
上述步骤S106中确定目标验证信息具备向IP白名单中添加IP地址的权限的处理可以多种多样,以下提供一种可选的处理方式,具体可以包括以下步骤A2~步骤A6的处理。
在步骤A2中,判断目标验证信息对应的IP地址是否允许访问目标数据。
在实施中,如上所述,可以在服务器中预先设置可访问域名的信息,可以通过设置的可访问域名的信息,以及目标数据所在的存储设备对应的域名的信息,判断目标验证信息对应的IP地址允许访问目标数据,即若目标数据所在的存储设备对应的域名的信息包含于可访问域名的信息中,则判定目标验证信息对应的IP地址允许访问目标数据,否则,目标验证信息对应的IP地址无法访问目标数据,此时,服务器可以向终端设备发送提示消息,以提示工作人员目标验证信息对应的可访问域名中不包括目标数据对应的域名,若需要访问目标数据,则需要重新执行上述处理过程。
在步骤A4中,若是,则获取目标验证信息的有效期限。
上述步骤A4的具体处理方式可以多种多样,以下再提供一种可选的处理方式,具体可以包括以下步骤A42~步骤A46的处理。
在步骤A42中,若是,则获取与目标验证信息相匹配的IP地址数量。
在步骤A44中,基于获取的IP地址数量,判断目标IP地址是否允许添加到IP白名单中。
上述步骤A44的具体处理方式可以多种多样,以下再提供一种可选的处理方式,具体可以包括以下情况一~情况三。
情况一:若获取的IP地址数量为1,则确定目标IP地址允许添加到IP白名单中。
在实施中,根据申请时填写的目标验证信息对应的IP地址的数量进行判断,当目标验证信息对应的IP地址的数量为1时,在将目标IP地址添加到IP白名单中时,上一次添加的IP地址将会失效,具体如,上一次添加的IP地址为A地址,目标IP地址为B地址,则将B地址添加到IP白名单中时,A地址将会失效,该情况可以应用于安全性较高的域名且目标验证信息为一个人使用的场景。
情况二:若获取的IP地址数量大于1,且基于目标验证信息已向IP白名单中添加的IP地址的数量与目标IP地址的总和不超过获取的IP地址数量,则确定目标IP地址允许添加到所述IP白名单中。
情况三:若获取的IP地址数量大于1,且基于目标验证信息已向IP白名单中添加的IP地址的数量与目标IP地址的总和超过获取的IP地址数量,则确定目标IP地址不允许添加到IP白名单中。
在实施中,根据申请时填写的目标验证信息对应的IP地址的数量进行判断,当目标验证信息对应的IP地址的数量大于1,且基于目标验证信息已向IP白名单中添加的IP地址的数量与目标IP地址的总和超过获取的IP地址数量时,将禁止向IP白名单中添加的IP地址,并可以向终端设备发送提示消息,以提示工作人员当前已超出授权范围,若需要访问目标数据,则需重新执行上述处理过程。
基于上述情况二和情况三,例如,目标验证信息对应的IP地址的数量为3个,之前添加的IP地址包括3个,可以分别为A地址、B地址和C地址,目标IP地址为D地址,则D地址将禁止添加IP白名单中,此情况可以应用于多人共享一个验证信息的场景,避免将一些工作人员强制下线,若目标IP地址变动频繁可以将目标验证信息对应的IP地址的数量调整为一个较大值,具体如,需要将一个某系统给购买方进行测试使用,但不确定购买方参与测试的人数,此时,参与测试的人员通过共享验证信息即可参与测试,非常便捷。再例如,临时需要排查某个系统,需要多个不同部门的参与,此时,若使用共享的验证信息,只需要一个人进行申请,即可使得多个不同的部门参与其中,效率将会很高。
在步骤A46中,若是,则获取目标验证信息的有效期限。
在步骤A6中,若当前时刻处于目标验证信息的有效期限内,则确定目标验证信息具备向IP白名单中添加IP地址的权限。
此外,若当前时刻未处于目标验证信息的有效期限内,则禁止向IP白名单中添加IP地址,并可以向终端设备发送提示消息,以提示工作人员目标验证信息已失效,若需要访问目标数据,则需重新执行上述处理过程。
上述步骤S106的具体处理方式可以多种多样,以下提供一种可选的处理方式,具体可以包括以下步骤B2和步骤B4的处理。
在步骤B2中,若确定目标验证信息具备向IP白名单中添加IP地址的权限,则获取目标IP地址所属的地理位置信息。
在步骤B4中,若目标IP地址所属的地理位置信息与目标验证信息对应的IP地址所属的地理位置信息相匹配,则执行对目标IP地址进行风险检测,得到相应的风险检测结果的步骤。
在实施中,可以对目标IP地址进行地理位置的判断,例如,若目标IP地址所属的地理位置信息为K城市,目标验证信息对应的IP地址所属的地理位置信息为K城市,则可以确定目标IP地址所属的地理位置信息与目标验证信息对应的IP地址所属的地理位置信息相匹配,此时,可以执行对目标IP地址进行风险检测,得到相应的风险检测结果的步骤。若目标IP地址所属的地理位置信息为K城市,目标验证信息对应的IP地址所属的地理位置信息为P城市,则可以确定目标IP地址所属的地理位置信息与目标验证信息对应的IP地址所属的地理位置信息不匹配,此时,可以禁止向IP白名单中添加目标IP地址,并可以向终端设备发送提示消息,以提示工作人员目标IP地址的地理位置匹配失败,若需要访问目标数据,则需重新执行上述处理过程。
上述步骤S106中对目标IP地址进行风险检测,得到相应的风险检测结果的处理可以多种多样,以下提供一种可选的处理方式,具体可以包括以下步骤C2和步骤C4的处理方式,即对目标IP地址进行本地的安全判断,以及步骤D2和步骤D4的处理方式,即通过调用第三方情报接口对目标IP地址进行安全判断。
在步骤C2中,检测预先构建的风险黑名单中是否包括目标IP地址,该风险黑名单是通过预设的防火墙和/或态势感知设备对预先获取的IP地址进行风险识别而得到。
在实施中,可以通过预先构建的防火墙、态势感知设备等识别对目标数据进行安全扫描的IP地址,对恶意扫描的IP地址加入到数据库中,可以周期性(比如3个月)的判断某IP地址是否还存在恶意扫描,若未扫描,将该IP地址从数据库里面删除。若还在扫描,将保留在数据库中,可以基于上述数据库中的IP地址,构建相应的风险黑名单。
在步骤C4中,若上述风险黑名单中包括目标IP地址,则得到的风险检测结果用于指示目标IP地址存在风险。
在实施中,可以将目标IP地址通过请求的方式发送给上述数据库进行查询,若该IP地址存在该风险黑名单内,则返回该IP地址存在于风险黑名单中,此时,可以禁止向IP白名单中添加IP地址,并可以向终端设备发送提示消息,以提示工作人员目标IP地址存在风险,若需要访问目标数据,则需重新执行上述处理过程。若该IP地址不在该风险黑名单内,则可以调用第三方情报接口继续判断。
在步骤D2中,向风险检测设备发送包括目标IP地址的风险检测请求,该风险检测请求用于请求风险检测设备对目标IP地址进行风险检测。
在步骤D4中,接收风险检测设备针对该风险检测请求而发送的风险检测结果,风险检测结果是通过风险检测设备中设置的以下一种或多种方式对目标IP地址进行风险检测而得到:通过预先部署的蜜罐规则捕获的存在风险的IP地址、通过用户提交的存在风险的IP地址和通过与不同风险检测设备之间的数据交换得到的存在风险的IP地址。
在实施中,可以将目标IP地址通过请求的方式发送到开源的或者购买的第三方情报接口,通过调用该第三方情报接口将目标IP地址提供给风险检测设备进行风险检测,其中,风险检测设备一般可以通过以下可选的四种方式来获取与目标IP地址相关的情报:
方式一:通过互联网可以部署大量的蜜罐系统,通过该蜜罐系统中设置的蜜罐规则来捕获恶意IP地址,其中,蜜罐系统中设置的蜜罐规则可以基于一种对攻击方进行欺骗的技术而设置的规则,具体可以通过设置作为诱饵的主机、网络服务或者信息,诱使攻击方对上述诱饵实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与攻击方式,推测攻击意图和动机,从而允许清晰地了解当前所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
通过上述方式捕获到恶意IP地址后,可以判断捕获的恶意IP地址中是否包括目标IP地址,若是,则确定目标IP地址存在风险,否则,目标IP地址不存在风险,或者,也可以直接将目标IP地址输入到蜜罐系统中,通过该蜜罐系统中设置的蜜罐规则来检测目标IP地址是否对其发起攻击,若是,则确定目标IP地址存在风险,否则,目标IP地址不存在风险,具体可以根据实际情况设定,本说明书实施例对此不做限定。
方式二:通过部署在不同的厂商的安全设备中获取到恶意IP地址。
其中,恶意IP地址的获取方式可以参见上述方式一中的实现方式,在此不再赘述。
方式三:通过社区平台等方式获取用户提交的存在风险的IP地址。
在实施中,可以在预先设定的社区平台中设置用户投诉或举报机制,当用户发现存在风险的IP地址后,可以将存在风险的IP地址通过社区平台中设置的用户投诉或举报机制进行信息的提交。通过上述方式获取到恶意IP地址后,可以判断获取的恶意IP地址中是否包括目标IP地址,若是,则确定目标IP地址存在风险,否则,目标IP地址不存在风险。
方式四:通过与不同风险检测设备之间的数据交换得到的存在风险的IP地址。
需要说明的是,对于方式二~方式四的实现方式,获取恶意IP地址可以是通过周期性获取的方式实现,从而保证恶意IP地址或存在风险的IP地址的时效性。此外,第三方情报接口可以向服务器返回目标IP地址的风险值和目标IP地址的行为等相关信息,例如,目标IP地址为1.1.1.1,第三方情报接口返回的信息可以包括:目标IP地址的安全风险为高危,目标IP地址存在木马、恶意扫描行为。若确定目标IP地址存在木马、恶意扫描、蠕虫病毒等行为,则可以禁止终端设备访问目标数据(或相应的域名),并可以向终端设备发送相应的提示消息,这样,第三方的风险检测设备检测到的恶意IP地址或存在风险的IP地址会更加全面,因此,通过第三方的风险检测设备可以进行更加准确的IP地址的风险检测,从而禁止恶意IP地址或存在风险的IP地址添加待IP白名单中,以降低相应的风险。
本说明书一个或多个实施例中,服务器可以目标验证信息的有效期限进行调整,相应的,如图7所示,在上述步骤S108之后,还可以执行下述步骤S110和步骤S112的处理。
在步骤S110中,接收目标终端发送的目标验证信息的有效期限的调整请求,该调整请求中包括目标验证信息的标识和待调整的目标时长。
其中,目标验证信息的标识可以是目标验证信息的名称或编码等。待调整的目标时长可以是需要增加的时长(或延长的时长,具体如将目标验证信息的有效期限延长10个月等),也可以是需要缩减的时长,具体如将目标验证信息的有效期限缩减1个月等,具体可以根据实际情况设定。
在步骤S112中,基于上述标识查找目标验证信息,并基于目标时长对查找到的目标验证信息的有效期限进行调整。
在实施中,例如,目标验证信息的原有的有效期限为3个月,待调整的目标时长为将目标验证信息的有效期限延长10个月,则基于目标时长对查找到的目标验证信息的有效期限进行调整后,最终目标验证信息的有效期限变为13个月,再例如,目标验证信息的原有的有效期限为3个月,待调整的目标时长为将目标验证信息的有效期限缩减1个月,则基于目标时长对查找到的目标验证信息的有效期限进行调整后,最终目标验证信息的有效期限变为2个月等。
可以看出,在本说明书实施例中,通过自主向IP白名单中添加指定的IP地址,以及对待添加的IP地址进行安全检查,从而不需要进行跨部门沟通,且管理人员也不需要通过手工的方式向IP白名单中添加IP地址,从而极大的提高了工作效率,此外,通过对待添加的IP地址进行风险检测,可以降低系统的安全风险。此外,对待添加的IP地址进行本地安全判断和调用第三方情报接口进行安全判断,以便准确的对待添加的IP地址进行风险检测,增强数据访问的目的性。
以下通过具体的应用场景对上述数据的访问进行详细说明,该场景可以包括:目标数据可以目标数据对应的目标域名表示,验证信息以秘钥为例进行说明,如图8A所示,具体可以包括以下内容:
在步骤S802中,接收目标终端发送的秘钥的申请请求。
在步骤S804中,基于上述申请请求,确定该申请请求对应的待申请的秘钥的配置参数,并基于该配置参数生成相应的秘钥,将该秘钥发送给目标终端。
在实施中,生成秘钥和相应的配置参数的方式可以包括多种,以下提供三种方式,具体可以包括以下内容:
方式一:管理人员根据实际需求填写秘钥申请单,其内容可以包含以下字段:访问的内部域名、秘钥的有效期限、通过该秘钥添加的IP地址对应的物理地址、秘钥对应的允许添加到IP白名单中的IP地址的数量(如3个,如未填写,可以设置为默认值,即1个)、IP地址添加到IP白名单中的有效期限。
在实际应用中,可以提供单域名和多域名两种方式进行灵活的配置申请。其中,单域名的情况下,不同的域名,可以设置不同的配置参数,从而保证高灵活性和高安全性。多域名的情况下,不同的域名,可以设置同一个配置参数,从而提高配置效率。通过上述方式提交给负责人后,负责人审批完成后,可以自动完成相应的配置,并生成秘钥发送给目标终端。
方式二:管理人员申请秘钥,负责人审批完成后,服务器自动生成秘钥,并将其发送给申请人。该秘钥的默认权限的配置参数可以如上述表1所示。该方式的优势在于申请人无需要理解各字段的含义及填写相应的字段值,便能够快速申请可用的秘钥。
方式三:管理人员申请秘钥,管理人员根据实际需求填写秘钥申请单,内容包含以下2个字段,即访问的内部域名和场景。负责人审批结束后,服务器可以根据场景自动配置各种参数,比如对外演示场景下的配置参数可以如上述表5所示。生成秘钥后,将秘钥发送给管理人员。该方式能够根据业务场景进行配置,安全性较高,并且能够降低秘钥的申请的难度。
后续的处理过程可以如图8B所示,以及以下的处理步骤:
在步骤S806中,接收终端设备发送的针对目标域名的访问请求,该访问请求中包括终端设备的目标IP地址。
在步骤S808中,若目标IP地址未处于目标域名对应的预设IP白名单中,则向终端设备发送秘钥的获取请求。
在步骤S810中,判断该秘钥对应的IP地址是否允许访问目标域名。
在步骤S812中,若是,则获取与该秘钥相匹配的IP地址数量。
在步骤S814中,基于获取的IP地址数量,判断目标IP地址是否允许添加到IP白名单中。
在步骤S816中,若是,则获取该秘钥的有效期限。
在步骤S818中,若当前时刻处于该秘钥的有效期限内,则确定该秘钥具备向IP白名单中添加IP地址的权限。
在步骤S820中,获取目标IP地址所属的地理位置信息。
在步骤S822中,若目标IP地址所属的地理位置信息与该秘钥对应的IP地址所属的地理位置信息相匹配,则对目标IP地址进行风险检测,得到相应的风险检测结果。
在步骤S824中,若风险检测结果指示目标IP地址不存在风险,则将目标IP地址添加到IP白名单中,并允许终端设备访问目标域名。
在步骤S826中,接收目标终端发送的该秘钥的有效期限的调整请求,该调整请求中包括该秘钥的标识和待调整的目标时长。
在步骤S828中,基于上述标识查找到相应的秘钥,并基于目标时长对查找到的秘钥的有效期限进行调整。
上述各个步骤的具体处理过程可以参见前述相关内容,在此不再赘述。
以上为本说明书实施例提供的数据的访问方法,基于同样的思路,本说明书实施例还提供一种数据的访问装置,该数据的访问装置中包括如上述实施例中的服务器的所有功能单元,如图9所示。
该数据的访问装置包括:访问请求模块901、验证信息获取模块902、风险检测模块903和数据发送模块904,其中:
访问请求模块901,被配置为接收终端设备发送的针对目标数据的访问请求,所述访问请求中包括所述终端设备的目标IP地址;
验证信息获取模块902,被配置为若所述目标IP地址未处于所述目标数据对应的IP白名单中,则从所述终端设备获取向所述IP白名单中添加所述目标IP地址所需的目标验证信息;
风险检测模块903,被配置为若确定所述目标验证信息具备向所述IP白名单中添加IP地址的权限,则对所述目标IP地址进行风险检测,得到相应的风险检测结果;
数据发送模块904,被配置为若所述风险检测结果指示所述目标IP地址不存在风险,则将所述目标IP地址添加到所述IP白名单中,以及将所述目标数据发送给所述终端设备。
本说明书实施例提供的数据的访问装置能够实现上述数据的访问方法对应的实施例中的各个过程,为避免重复,这里不再赘述。
需要说明的是,本说明书实施例提供的数据的访问装置与本说明书实施例提供的数据的访问方法基于同一发明构思,因此该实施例的具体实施可以参见前述数据的访问方法的实施,重复之处不再赘述。
对应上述实施例提供的数据的访问方法,基于相同的技术构思,本说明书实施例还提供了一种数据的访问设备,该数据的访问设备用于执行上述的数据的访问方法,图10为实现本说明书各个实施例的一种数据的访问设备的硬件结构示意图,图10所示的数据的访问设备100包括但不限于:射频单元101、网络模块102、音频输出单元103、输入单元104、传感器105、用户输入单元106、接口单元107、存储器108、处理器109、以及电源110等部件。本领域技术人员可以理解,图7中示出的数据的访问设备结构并不构成对数据的访问设备的限定,数据的访问设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
其中,接口单元107,用于接收终端设备发送的针对目标数据的访问请求,所述访问请求中包括所述终端设备的目标IP地址;
处理器109,用于若所述目标IP地址未处于所述目标数据对应的IP白名单中,则从所述终端设备获取向所述IP白名单中添加所述目标IP地址所需的目标验证信息;
处理器109,还用于若确定所述目标验证信息具备向所述IP白名单中添加IP地址的权限,则对所述目标IP地址进行风险检测,得到相应的风险检测结果;
处理器109,还用于若所述风险检测结果指示所述目标IP地址不存在风险,则将所述目标IP地址添加到所述IP白名单中,以及将所述目标数据发送给所述终端设备。
本说明书实施例中,接口单元107,还用于向所述终端设备发送所述目标验证信息的获取请求;
接口单元107,还用于接收所述终端设备针对所述获取请求而发送的所述目标验证信息。
本说明书实施例中,处理器109,还用于判断所述目标验证信息对应的IP地址是否允许访问所述目标数据;
处理器109,还用于若是,则获取所述目标验证信息的有效期限;
处理器109,还用于若当前时刻处于所述目标验证信息的有效期限内,则确定所述目标验证信息具备向所述IP白名单中添加IP地址的权限。
需要说明的是,本说明书实施例提供的数据的访问设备100能够实现上述数据的访问方法实施例中数据的访问设备实现的各个过程,为避免重复,这里不再赘述。
优选的,本说明书实施例还提供一种数据的访问设备,包括处理器109,存储器108,存储在存储器108上并可在所述处理器109上运行的计算机程序,该计算机程序被处理器109执行时实现上述数据的访问方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
进一步地,基于上述图1到图8B所示的方法,本说明书一个或多个实施例还提供了一种存储介质,用于存储计算机可执行指令信息,一种具体的实施例中,该存储介质可以为U盘、光盘、硬盘等,该存储介质存储的计算机可执行指令信息在被处理器执行时,能实现以下流程:
接收终端设备发送的针对目标数据的访问请求,所述访问请求中包括所述终端设备的目标IP地址;
若所述目标IP地址未处于所述目标数据对应的IP白名单中,则从所述终端设备的用户获取向所述IP白名单中添加所述目标IP地址所需的目标验证信息;
若确定所述目标验证信息具备向所述IP白名单中添加IP地址的权限,则对所述目标IP地址进行风险检测,得到相应的风险检测结果;
若所述风险检测结果指示所述目标IP地址不存在风险,则将所述目标IP地址添加到所述IP白名单中,以及将所述目标数据发送给所述终端设备。
需要说明的是,本说明书实施例提供的存储介质能够实现上述数据的访问方法实施例中数据的访问设备实现的各个过程,为避免重复,这里不再赘述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员应明白,本说明书的实施例可提供为方法、系统或计算机程序产品。因此,本说明书一个或多个实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书一个或多个实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书一个或多个实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书一个或多个实施例,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本说明书的实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。
Claims (15)
1.一种数据的访问方法,其特征在于,所述方法包括:
接收终端设备发送的针对目标数据的访问请求,所述访问请求中包括所述终端设备的目标IP地址;
若所述目标IP地址未处于所述目标数据对应的IP白名单中,则从所述终端设备获取向所述IP白名单中添加所述目标IP地址所需的目标验证信息;
若确定所述目标验证信息具备向所述IP白名单中添加IP地址的权限,则对所述目标IP地址进行风险检测,得到相应的风险检测结果;
若所述风险检测结果指示所述目标IP地址不存在风险,则将所述目标IP地址添加到所述IP白名单中,以及将所述目标数据发送给所述终端设备。
2.根据权利要求1所述的方法,其特征在于,所述确定所述目标验证信息具备向所述IP白名单中添加IP地址的权限,包括:
判断所述目标验证信息对应的IP地址是否允许访问所述目标数据;
若是,则获取所述目标验证信息的有效期限;
若当前时刻处于所述目标验证信息的有效期限内,则确定所述目标验证信息具备向所述IP白名单中添加IP地址的权限。
3.根据权利要求2所述的方法,其特征在于,所述获取所述目标验证信息的有效期限,包括:
获取与所述目标验证信息相匹配的IP地址数量;
基于获取的IP地址数量,判断所述目标IP地址是否允许添加到所述IP白名单中;
若是,则获取所述目标验证信息的有效期限。
4.根据权利要求3所述的方法,其特征在于,所述基于获取的IP地址数量,判断所述目标IP地址是否允许添加到所述IP白名单中,包括:
若获取的IP地址数量为1,则确定所述目标IP地址允许添加到所述IP白名单中;
若获取的IP地址数量大于1,且基于所述目标验证信息已向所述IP白名单中添加的IP地址的数量与所述目标IP地址的总和不超过获取的IP地址数量,则确定所述目标IP地址允许添加到所述IP白名单中;
若获取的IP地址数量大于1,且基于所述目标验证信息已向所述IP白名单中添加的IP地址的数量与所述目标IP地址的总和超过获取的IP地址数量,则确定所述目标IP地址不允许添加到所述IP白名单中。
5.根据权利要求1所述的方法,其特征在于,所述对所述目标IP地址进行风险检测,得到相应的风险检测结果之前,所述方法还包括:
获取所述目标IP地址所属的地理位置信息;
若所述目标IP地址所属的地理位置信息与所述目标验证信息对应的IP地址所属的地理位置信息相匹配,则执行对所述目标IP地址进行风险检测,得到相应的风险检测结果的步骤。
6.根据权利要求1或5所述的方法,其特征在于,所述对所述目标IP地址进行风险检测,得到相应的风险检测结果,包括:
检测预先构建的风险黑名单中是否包括所述目标IP地址,所述风险黑名单是通过预设的防火墙和/或态势感知设备对预先获取的IP地址进行风险识别而得到;
若所述风险黑名单中包括所述目标IP地址,则得到的所述风险检测结果用于指示所述目标IP地址存在风险。
7.根据权利要求1或5所述的方法,其特征在于,所述对所述目标IP地址进行风险检测,得到相应的风险检测结果,包括:
向风险检测设备发送包括所述目标IP地址的风险检测请求,所述风险检测请求用于请求所述风险检测设备对所述目标IP地址进行风险检测;
接收所述风险检测设备针对所述风险检测请求而发送的风险检测结果,所述风险检测结果是通过所述风险检测设备中设置的以下一种或多种方式对所述目标IP地址进行风险检测而得到:通过预先部署的蜜罐规则捕获的存在风险的IP地址、通过用户提交的存在风险的IP地址和通过与不同风险检测设备之间的数据交换得到的存在风险的IP地址。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收目标终端发送的验证信息的申请请求;
基于所述申请请求,确定所述申请请求对应的待申请的验证信息的验证信息配置参数,并基于所述验证信息配置参数生成相应的验证信息,将所述验证信息发送给所述目标终端;
所述确定所述目标验证信息具备向所述IP白名单中添加IP地址的权限,包括:基于所述目标验证信息对应的验证信息配置参数确定所述目标验证信息具备向所述IP白名单中添加IP地址的权限。
9.根据权利要求8所述的方法,其特征在于,所述基于所述申请请求,确定所述申请请求对应的待申请的验证信息的验证信息配置参数,包括:
根据所述申请请求生成相应的验证信息申请单,所述验证信息申请单中包括多个不同的字段;
将所述验证信息申请单发送给所述目标终端,以使所述目标终端的用户为所述验证信息申请单中的字段设置相应的字段值,得到验证信息配置参数;
接收所述目标终端发送的所述验证信息配置参数。
10.根据权利要求9所述的方法,其特征在于,所述申请请求中包括待申请的验证信息对应的需求信息;所述根据所述申请请求生成相应的验证信息申请单,包括:
生成与待申请的验证信息对应的需求信息相匹配的字段,并基于生成的字段生成所述验证信息申请单。
11.根据权利要求8所述的方法,其特征在于,所述申请请求中包括待申请的验证信息所需使用的场景信息;所述基于所述申请请求,确定所述申请请求对应的待申请的验证信息的验证信息配置参数,包括:
生成与待申请的验证信息所需使用的场景信息相匹配的字段和字段值,并基于生成的字段和字段值生成所述验证信息配置参数。
12.根据权利要求1或8所述的方法,其特征在于,所述方法还包括:
接收目标终端发送的所述目标验证信息的有效期限的调整请求,所述调整请求中包括所述目标验证信息的标识和待调整的目标时长;
基于所述标识查找所述目标验证信息,并基于所述目标时长对查找到的所述目标验证信息的有效期限进行调整。
13.一种数据的访问装置,所述装置包括:
访问请求模块,被配置为接收终端设备发送的针对目标数据的访问请求,所述访问请求中包括所述终端设备的目标IP地址;
验证信息获取模块,被配置为若所述目标IP地址未处于所述目标数据对应的IP白名单中,则从所述终端设备获取向所述IP白名单中添加所述目标IP地址所需的目标验证信息;
风险检测模块,被配置为若确定所述目标验证信息具备向所述IP白名单中添加IP地址的权限,则对所述目标IP地址进行风险检测,得到相应的风险检测结果;
数据发送模块,被配置为若所述风险检测结果指示所述目标IP地址不存在风险,则将所述目标IP地址添加到所述IP白名单中,以及将所述目标数据发送给所述终端设备。
14.一种数据的访问设备,其特征在于,所述数据的访问设备包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令被配置由所述处理器执行,所述可执行指令包括用于执行如权利要求1-12任一项所述的方法中的步骤。
15.一种存储介质,其特征在于,所述存储介质用于存储计算机可执行指令,所述可执行指令使得计算机执行如权利要求1-12任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111262981.3A CN113992414A (zh) | 2021-10-28 | 2021-10-28 | 数据的访问方法、装置及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111262981.3A CN113992414A (zh) | 2021-10-28 | 2021-10-28 | 数据的访问方法、装置及设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113992414A true CN113992414A (zh) | 2022-01-28 |
Family
ID=79743407
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111262981.3A Pending CN113992414A (zh) | 2021-10-28 | 2021-10-28 | 数据的访问方法、装置及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113992414A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115987668A (zh) * | 2022-12-29 | 2023-04-18 | 北京深盾科技股份有限公司 | 访问控制方法、系统、电子设备及存储介质 |
CN117037349A (zh) * | 2023-08-28 | 2023-11-10 | 珠海市辰宇智能技术有限公司 | 基于人脸识别技术及数据交互业务管控方法及系统 |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105429933A (zh) * | 2014-09-19 | 2016-03-23 | 中国电信股份有限公司 | 一种局域网中网络设备的访问方法、接入设备及系统 |
CN106102064A (zh) * | 2016-08-10 | 2016-11-09 | 张泽 | 无线网络的认证方法和路由器 |
US20170230373A1 (en) * | 2016-02-10 | 2017-08-10 | Avaya Inc. | Captive portal having dynamic context-based whitelisting |
WO2017206701A1 (zh) * | 2016-06-01 | 2017-12-07 | 中兴通讯股份有限公司 | 访问控制方法及家庭网关 |
CN107682323A (zh) * | 2017-09-20 | 2018-02-09 | 东北大学 | 一种工业控制系统网络访问安全性预警系统及方法 |
WO2018153345A1 (zh) * | 2017-02-23 | 2018-08-30 | 华为技术有限公司 | 一种基于会话迁移的调度方法及服务器 |
CN110875922A (zh) * | 2018-08-31 | 2020-03-10 | K11集团有限公司 | 一站式办公管理系统 |
CN110889132A (zh) * | 2019-11-04 | 2020-03-17 | 中盈优创资讯科技有限公司 | 分布式应用权限校验方法及装置 |
US20200127976A1 (en) * | 2018-10-23 | 2020-04-23 | Akamai Technologies, Inc. | Network security system with enhanced traffic analysis based on feedback loop |
CN111478910A (zh) * | 2020-04-09 | 2020-07-31 | 北京金堤科技有限公司 | 用户身份验证方法和装置、电子设备以及存储介质 |
CN111491281A (zh) * | 2020-03-24 | 2020-08-04 | 支付宝(杭州)信息技术有限公司 | 基于近距离通信信号的信息处理方法、装置和系统 |
CN111614684A (zh) * | 2020-05-25 | 2020-09-01 | 中京天裕科技(北京)有限公司 | 工业设备安全终端认证系统和认证方法 |
CN112583607A (zh) * | 2020-12-22 | 2021-03-30 | 珠海格力电器股份有限公司 | 一种设备访问管理方法、装置、系统及存储介质 |
CN113158169A (zh) * | 2021-03-30 | 2021-07-23 | 北京大米科技有限公司 | 一种基于Hadoop集群的验证方法、装置、存储介质及电子设备 |
CN113312540A (zh) * | 2021-06-16 | 2021-08-27 | 马上消费金融股份有限公司 | 信息处理方法、装置、设备、系统及可读存储介质 |
-
2021
- 2021-10-28 CN CN202111262981.3A patent/CN113992414A/zh active Pending
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105429933A (zh) * | 2014-09-19 | 2016-03-23 | 中国电信股份有限公司 | 一种局域网中网络设备的访问方法、接入设备及系统 |
US20170230373A1 (en) * | 2016-02-10 | 2017-08-10 | Avaya Inc. | Captive portal having dynamic context-based whitelisting |
WO2017206701A1 (zh) * | 2016-06-01 | 2017-12-07 | 中兴通讯股份有限公司 | 访问控制方法及家庭网关 |
CN106102064A (zh) * | 2016-08-10 | 2016-11-09 | 张泽 | 无线网络的认证方法和路由器 |
WO2018153345A1 (zh) * | 2017-02-23 | 2018-08-30 | 华为技术有限公司 | 一种基于会话迁移的调度方法及服务器 |
CN107682323A (zh) * | 2017-09-20 | 2018-02-09 | 东北大学 | 一种工业控制系统网络访问安全性预警系统及方法 |
CN110875922A (zh) * | 2018-08-31 | 2020-03-10 | K11集团有限公司 | 一站式办公管理系统 |
US20200127976A1 (en) * | 2018-10-23 | 2020-04-23 | Akamai Technologies, Inc. | Network security system with enhanced traffic analysis based on feedback loop |
CN110889132A (zh) * | 2019-11-04 | 2020-03-17 | 中盈优创资讯科技有限公司 | 分布式应用权限校验方法及装置 |
CN111491281A (zh) * | 2020-03-24 | 2020-08-04 | 支付宝(杭州)信息技术有限公司 | 基于近距离通信信号的信息处理方法、装置和系统 |
CN111478910A (zh) * | 2020-04-09 | 2020-07-31 | 北京金堤科技有限公司 | 用户身份验证方法和装置、电子设备以及存储介质 |
CN111614684A (zh) * | 2020-05-25 | 2020-09-01 | 中京天裕科技(北京)有限公司 | 工业设备安全终端认证系统和认证方法 |
CN112583607A (zh) * | 2020-12-22 | 2021-03-30 | 珠海格力电器股份有限公司 | 一种设备访问管理方法、装置、系统及存储介质 |
CN113158169A (zh) * | 2021-03-30 | 2021-07-23 | 北京大米科技有限公司 | 一种基于Hadoop集群的验证方法、装置、存储介质及电子设备 |
CN113312540A (zh) * | 2021-06-16 | 2021-08-27 | 马上消费金融股份有限公司 | 信息处理方法、装置、设备、系统及可读存储介质 |
Non-Patent Citations (2)
Title |
---|
丁伟;王力;武秋韵;夏震;: "基于IBR的ShadowServer TCP扫描行为分析", 东南大学学报(自然科学版), no. 1 * |
罗旋;李永忠;: "Modbus TCP安全协议的研究与设计", 数据采集与处理, no. 06 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115987668A (zh) * | 2022-12-29 | 2023-04-18 | 北京深盾科技股份有限公司 | 访问控制方法、系统、电子设备及存储介质 |
CN115987668B (zh) * | 2022-12-29 | 2024-01-02 | 北京深盾科技股份有限公司 | 访问控制方法、系统、电子设备及存储介质 |
CN117037349A (zh) * | 2023-08-28 | 2023-11-10 | 珠海市辰宇智能技术有限公司 | 基于人脸识别技术及数据交互业务管控方法及系统 |
CN117037349B (zh) * | 2023-08-28 | 2024-02-20 | 珠海市辰宇智能技术有限公司 | 基于人脸识别技术及数据交互业务管控方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107612895B (zh) | 一种互联网防攻击方法及认证服务器 | |
Li et al. | Security issues in OAuth 2.0 SSO implementations | |
US10419431B2 (en) | Preventing cross-site request forgery using environment fingerprints of a client device | |
CN105939326A (zh) | 处理报文的方法及装置 | |
CN113992414A (zh) | 数据的访问方法、装置及设备 | |
US10320775B2 (en) | Eliminating abuse caused by password reuse in different systems | |
CN113569263A (zh) | 跨私域数据的安全处理方法、装置及电子设备 | |
English et al. | Towards a metric for recognition-based graphical password security | |
Ali et al. | Security and privacy awareness: A survey for smartphone user | |
Korać et al. | A hybrid XSS attack (HYXSSA) based on fusion approach: Challenges, threats and implications in cybersecurity | |
Hasan et al. | E-Learning systems and their Security | |
US10681066B2 (en) | Intelligent cyber-security help network for student community | |
Klint | Cybersecurity in home-office environments: An examination of security best practices post Covid | |
CN116415810A (zh) | 威胁分析方法、威胁分析装置及电子设备 | |
CN108347411B (zh) | 一种统一安全保障方法、防火墙系统、设备及存储介质 | |
JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
Kienzle et al. | Security patterns template and tutorial | |
CN116074280A (zh) | 应用入侵防御系统识别方法、装置、设备和存储介质 | |
Powell | The Impact of Telework on Organizational Cybersecurity during the COVID-19 Pandemic | |
Lehmoud et al. | Proposing a security system for the VPN through design and implementation of a scheme for android and IOS mobiles based on two-factor authentication | |
István | Possible Classification of Cybersecurity Penetration Test | |
CN117473485B (zh) | 密码检测方法、密码检测设备和计算机可读存储介质 | |
CN114598507B (zh) | 攻击者画像生成方法、装置、终端设备及存储介质 | |
Jonsson et al. | Multi-factor Authentication Mechanism Based on Browser Fingerprinting and Graphical HoneyTokens | |
KR102362320B1 (ko) | 능동형 네트워크 보안용 주소변이 접속 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |