CN114124556B - 一种网络访问控制方法、装置、设备及存储介质 - Google Patents
一种网络访问控制方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114124556B CN114124556B CN202111436436.1A CN202111436436A CN114124556B CN 114124556 B CN114124556 B CN 114124556B CN 202111436436 A CN202111436436 A CN 202111436436A CN 114124556 B CN114124556 B CN 114124556B
- Authority
- CN
- China
- Prior art keywords
- terminal
- access request
- access control
- index information
- external access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 73
- 238000004364 calculation method Methods 0.000 claims abstract description 13
- 238000001514 detection method Methods 0.000 claims description 93
- 238000004891 communication Methods 0.000 claims description 51
- 230000008569 process Effects 0.000 claims description 33
- 238000012795 verification Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 9
- 230000003111 delayed effect Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 4
- 230000008447 perception Effects 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000007613 environmental effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本申请公开了一种网络访问控制方法,应用于部署在终端上的访问控制客户端,包括在监测到用户使用终端上的应用发送对外访问请求的情况下,拦截对外访问请求;获取终端的当前安全指标信息,当前安全指标信息用于指示终端当前环境的安全指标,由终端本地计算产生;在对外访问请求中嵌入安全指标信息;将对外访问请求发送至访问控制服务端,以指示访问控制服务端基于当前安全指标信息确定是否放通对外访问请求。本技术方案可以通过当前安全指标信息及时、准确地确定出是否能够将监测到的对外访问请求放通,可以对终端中应用的对外访问进行有效管控,保证终端安全性。本申请还公开了另一种网络访问控制方法、装置、设备及存储介质,具有相应技术效果。
Description
技术领域
本申请涉及计算机应用技术领域,特别是涉及一种网络访问控制方法、装置、设备及存储介质。
背景技术
近年来,手机、平板电脑、笔记本电脑、台式机等终端的应用范围越来越广泛,给人们的工作和生活带来很多便利。用户使用终端中的应用可以进行网络访问,畅享网络资源,但随之而来的就是终端安全问题。
那么,如何对终端中应用的对外访问进行有效控制,保证终端安全性,是目前本领域技术人员急需解决的技术问题。
发明内容
本申请的目的是提供一种网络访问控制方法、装置、设备及存储介质,以及时、准确地确定出是否能够将监测到的对外访问请求放通,对终端中应用的对外访问进行有效管控,保证终端安全性。
为解决上述技术问题,本申请提供如下技术方案:
一种网络访问控制方法,应用于部署在终端上的访问控制客户端,所述网络访问控制方法包括:
在监测到用户使用所述终端上的应用发送对外访问请求的情况下,拦截所述对外访问请求;
获取所述终端的当前安全指标信息,其中,所述当前安全指标信息用于指示所述终端当前环境的安全指标,所述当前安全指标信息由所述终端本地计算产生;
在所述对外访问请求中嵌入所述当前安全指标信息;
将所述对外访问请求发送至访问控制服务端,以指示所述访问控制服务端基于所述当前安全指标信息和应用防护策略确定是否放通所述对外访问请求。
在本申请的一种具体实施方式中,所述终端上还部署有环境检测客户端,所述当前安全指标信息由所述环境检测客户端计算生成,所述获取所述终端的当前安全指标信息,包括:
在与所述环境检测客户端成功建立通信连接后,从所述环境检测客户端获取所述终端的当前安全指标信息。
在本申请的一种具体实施方式中,所述从所述环境检测客户端获取所述终端的当前安全指标信息,包括:
向所述环境检测客户端发送信息获取请求;
接收所述环境检测客户端基于所述信息获取请求返回的所述终端的当前安全指标信息。
在本申请的一种具体实施方式中,所述信息获取请求中携带验证信息,以指示所述环境检测客户端对所述访问控制客户端进行校验。
在本申请的一种具体实施方式中,所述验证信息具体为所述访问控制客户端的进程号参数,以使所述环境检测客户端根据所述进程号参数获取进程签名,并基于所述进程签名对所述访问控制客户端进行安全校验。
在本申请的一种具体实施方式中,通过以下步骤确定是否与所述环境检测客户端成功建立通信连接:
将预设的初始端口确定为连接端口;
通过连接地址及所述连接端口,与所述环境检测客户端建立通信连接,所述连接地址为回送地址、本地主机或者预设的自定义域名;
如果未成功建立通信连接,则将所述连接端口更新为所述连接端口与设定的步进值的和,重复执行所述通过连接地址及所述连接端口,与所述环境检测客户端建立通信连接的步骤,直至与所述环境检测客户端成功建立通信连接。
在本申请的一种具体实施方式中,在所述拦截所述对外访问请求之后、所述获取所述终端的当前安全指标信息之前,还包括:
确定所述对外访问请求中是否携带令牌信息;
在所述对外访问请求携带有所述令牌信息时,利用所述令牌信息对所述用户进行合法认证,并在认证未通过时,输出认证登录页面;
获取所述用户在所述认证登录页面输入的认证信息;
利用所述认证信息对所述用户进行合法认证,并在认证通过时,执行所述获取所述终端的当前安全指标信息的步骤;相应地,在基于所述认证信息,对所述用户进行合法认证通过的情况下,还包括:
获取新令牌信息;
输出所述新令牌信息,以使所述用户在发起所述对外访问请求时,将所述新令牌信息添加至所述外访问请求中。
在本申请的一种具体实施方式中,所述在所述对外访问请求中嵌入所述当前安全指标信息,包括:
在所述对外访问请求的IP头部的预设字段中,嵌入所述当前安全指标信息。
一种网络访问控制装置,应用于部署在终端上的访问控制客户端,所述网络访问控制装置包括:
对外访问请求拦截模块,用于在监测到用户使用所述终端上的应用发送对外访问请求的情况下,拦截所述对外访问请求;
当前安全指标信息获取模块,用于获取所述终端的当前安全指标信息,其中,所述当前安全指标信息用于指示所述终端当前环境的安全指标;
当前安全指标信息嵌入模块,用于在所述对外访问请求中嵌入所述当前安全指标信息,所述当前安全指标信息由所述终端本地计算产生;
对外访问请求发送模块,用于将所述对外访问请求发送至访问控制服务端,以指示所述访问控制服务端基于所述当前安全指标信息和应用防护策略确定是否放通所述对外访问请求。
一种网络访问控制设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任一项所述的网络访问控制方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的网络访问控制方法的步骤。
应用本申请实施例所提供的技术方案,在监测到用户使用终端上的应用发送对外访问请求的情况下,先拦截对外访问请求,然后获取终端的当前安全指标信息,并嵌入至对外访问请求,最后发送至访问控制服务端,由访问控制服务端基于当前安全指标信息和应用防护策略确定是否放通对外访问请求。由于当前安全指标信息由终端本地计算产生,可以避免因为网络原因导致当前安全指标信息获取延迟或失败的情况发生,通过终端的当前安全指标信息和应用防护策略,可以及时、准确地确定出是否能够将监测到的对外访问请求放通,可以对终端中应用的对外访问进行有效管控,保证终端安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中一种网络访问控制方法的实施流程图;
图2为本申请实施例中一种网络访问控制装置的结构示意图;
图3为本申请实施例中一种网络访问控制设备的结构示意图。
具体实施方式
本申请的核心是提供一种网络访问控制方法,该方法可以应用于部署在终端上的访问控制客户端,访问控制客户端可以对终端的对外访问请求进行监测,在监测到用户使用终端上的应用发送对外访问请求的情况下,先拦截对外访问请求,然后获取终端的当前安全指标信息,并嵌入至对外访问请求,最后发送至访问控制服务端,由访问控制服务端基于当前安全指标信息和应用防护策略确定是否放通对外访问请求。由于当前安全指标信息由终端本地计算产生,可以避免因为网络原因导致当前安全指标信息获取延迟或失败的情况发生,通过终端的当前安全指标信息和应用防护策略,可以及时、准确地确定出是否能够将监测到的对外访问请求放通,可以对终端中应用的对外访问进行有效管控,保证终端安全性。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1所示,为本申请实施例所提供的一种网络访问控制方法的实施流程图,该方法应用于部署在终端上的访问控制客户端,可以包括以下步骤:
S110:在监测到用户使用终端上的应用发送对外访问请求的情况下,拦截对外访问请求。
在本申请实施例中,终端可以是手机、平板电脑、笔记本电脑、台式机等可运行应用程序、可连接外部或内部网络的设备。用户可以使用终端上的应用发起对外访问请求。如用户使用终端上的浏览器等应用发起对门户网站的访问请求。所谓对外访问请求是针对于终端本身而言,只要是针对终端外的网络的访问请求均可称为对外访问请求。终端外的网络可以包括局域网和互联网。
在监测到用户使用终端上的应用发送对外访问请求的情况下,可以拦截该对外访问请求。
可以预先设定待监测的端口,即要对从哪个端口发出的对外访问请求进行管控,当监测到有对外访问请求经过该端口时,可以拦截该对外访问请求。
还可以预先设定待监测的应用,即要对使用哪个应用发出的对外访问请求进行管控,当监测到该应用有对外访问请求时,可以拦截该对外访问请求。
S120:获取终端的当前安全指标信息,其中,当前安全指标信息用于指示终端当前环境的安全指标,当前安全指标信息由终端本地计算产生。
在本申请实施例中,在监测到用户使用终端上的应用发送对外访问请求的情况下,可以先拦截该对外访问请求,然后获取终端的当前安全指标信息,通过终端的当前安全指标信息可以推知终端当前的安全状况。
具体的,可以基于终端的安全风险等级、非法外联频率、漏洞数量等多个维度的感知项确定终端的当前安全指标信息。如可以预先设定终端的环境总分,在终端发生严重风险事件时,按照严重风险事件的次数或频率等,确定严重风险扣分,在终端发生一般风险事件时,按照一般风险事件的次数或频率等,确定一般风险扣分,在终端存在潜在风险事件时,按照潜在风险事件的次数或频率等,确定潜在风险扣分,另外,根据非法外联次数或频率等,可以确定非法外联扣分,根据漏洞数量等,可以确定漏洞扣分,最后将环境总分分别减去严重风险扣分、一般风险扣分、潜在风险扣分、非法外联扣分和流动扣分之后,得到的分数可以作为终端环境感知评分,当前安全指标信息中可以包括终端环境感知评分。
终端的当前安全指标信息可以是访问控制客户端基于预先获得的环境感知策略生成,还可以是通过其他客户端基于预先获得的环境感知策略生成,访问控制客户端与该其他客户端通信,获取到相应的当前安全指标信息。当然,各客户端均部署于终端,即当前安全指标信息在终端本地计算产生,可以避免因为网络原因导致当前安全指标信息获取延迟或失败的情况发生。
S130:在对外访问请求中嵌入当前安全指标信息。
在本申请实施例中,访问控制客户端在拦截对外访问请求、获得当前安全指标信息之后,可以将当前安全指标信息嵌入至对外访问请求中,以便一同发送至访问控制服务端,由访问控制服务端对对外访问请求进行放通控制。
具体的,访问控制客户端可以将终端的当前安全指标信息嵌入到IP(InternetProtocol,网际互连协议)报文或者TCP(Transmission Control Protocol,传输控制协议)报文的头部设定字段中,然后将嵌入当前安全指标信息的对外访问请求发送给访问控制服务端。
S140:将对外访问请求发送至访问控制服务端,以指示访问控制服务端基于当前安全指标信息和应用防护策略确定是否放通对外访问请求。
在本申请实施例中,访问控制服务端可以预先设定基于终端的安全指标信息的安全防护策略,具体的,访问控制服务端可以依据历史数据或者用户指令等生成或更新应用防护策略,对应用防护策略进行维护。安全防护策略可以指示终端的不同安全指标信息所对应的安全防护手段,如在终端具有某种安全指标信息的情况下,对终端的哪类用户、哪类应用进行怎样的网络访问管控。
访问控制客户端可以与访问控制服务端网络连接,访问控制客户端在将终端的当前安全指标信息嵌入至对外访问请求之后,可以通过该网络连接将其发送至访问控制服务端。
访问控制服务端在接收到对外访问请求之后,可以获取到对外访问请求中携带的当前安全指标信息,进而可以基于当前安全指标信息和自身维护的应用防护策略,确定是否放通对外访问请求。
如可以依据应用防护策略确定终端具有当前安全指标信息的情况下,要对终端进行怎样的网络访问管控。如果依据应用防护策略确定终端具有当前安全指标信息的情况下,可以允许终端的任何应用对外访问,则可以放通该对外访问请求。如果依据应用防护策略确定终端具有当前安全指标信息的情况下,阻止终端的任何应用或者当前应用的对外访问,则不放通该对外访问请求。
一个更具体的示例为:当前安全指标信息中终端环境感知评分大于75分,可以放通对外访问请求,否则拒绝对外访问请求。
需要说明的是,上述仅为一些具体示例,在实际应用中,可以设定更多更详细的应用防护策略,以更好地保证终端的安全性。
在确定放通对外访问请求的情况下,可以通过重定向访问请求或者转发访问请求的方式实现用户所使用的应用的对外访问。
在确定不放通对外访问请求的情况下,可以输出禁止访问等错误提示信息,以使用户根据实际情况进行问题排查。
应用本申请实施例所提供的方法,在监测到用户使用终端上的应用发送对外访问请求的情况下,先拦截对外访问请求,然后获取终端的当前安全指标信息,并嵌入至对外访问请求,最后发送至访问控制服务端,由访问控制服务端基于当前安全指标信息和应用防护策略确定是否放通对外访问请求。由于当前安全指标信息由终端本地计算产生,可以避免因为网络原因导致当前安全指标信息获取延迟或失败的情况发生,通过终端的当前安全指标信息和应用防护策略,可以及时、准确地确定出是否能够将监测到的对外访问请求放通,可以对终端中应用的对外访问进行有效管控,保证终端安全性。
在本申请的一个实施例中,终端上还部署有环境检测客户端,当前安全指标信息由环境检测客户端计算生成,获取终端的当前安全指标信息,可以包括以下步骤:
在与环境检测客户端成功建立通信连接后,从环境检测客户端获取终端的当前安全指标信息。
在本申请实施例中,终端上除了部署有访问控制客户端,还可以部署有环境检测客户端。环境检测客户端可以与环境检测服务端连接,获得环境检测服务端下发的环境感知策略。
访问控制客户端在监测到用户使用终端上的应用发送对外访问请求的情况下,拦截对外访问请求,同时可以与环境检测客户端建立通信连接。访问控制客户端在与环境检测客户端成功建立通信连接后,即可从环境检测客户端获取终端上的当前安全指标信息。
访问控制客户端和环境检测客户端均部署在终端上,可以使用终端模块间通信的机制,可以避免出现服务器端大量并发请求的问题,而且,由于是本地通信,不会出现网络状态较差的情况下,无法获取到终端的当前安全指标信息的问题,具有较好的稳定性、扩展性、并发性。
在本申请的一个实施例中,从环境检测客户端获取终端的当前安全指标信息,可以包括以下步骤:
步骤一:环境检测客户端发送信息获取请求;
步骤二:接收环境检测客户端基于信息获取请求返回的终端的当前安全指标信息,当前安全指标信息为环境检测客户端基于预设的环境感知策略生成。
为便于描述,将上述两个步骤结合起来进行说明。
在本申请实施例中,终端上除了部署有访问控制客户端,还可以部署有环境检测客户端。环境检测客户端可以与环境检测服务端连接,获得环境检测服务端下发的环境感知策略。
访问控制客户端在监测到用户使用终端上的应用发送对外访问请求的情况下,拦截对外访问请求,同时可以与环境检测客户端建立通信连接。访问控制客户端在与环境检测客户端成功建立通信连接后,可以向环境检测客户端发送信息获取请求。环境检测客户端在接收到信息获取请求后,可以基于环境感知策略对终端的当前环境进行检测,确定终端的当前安全指标信息,并将终端的当前安全指标信息返回给访问控制客户端。
访问控制客户端接收到环境检测客户端基于信息获取请求返回的终端的当前安全指标信息后,即可基于当前安全指标信息和应用防护策略,确定是否放通对外访问请求。
环境检测客户端和访问控制客户端都部署在终端上,访问控制客户端可以直接与环境检测客户端建立通信连接,获取到终端的当前安全指标信息,不需要通过网络进行信息交互,可以有效避免因为网络原因导致当前安全指标信息的获取延迟或失败的情况发生。
在本申请的一个实施例中,信息获取请求中携带验证信息,以指示环境检测客户端对访问控制客户端进行校验。
访问客户端可以将验证信息附加于信息获取请求中,并将其发送至环境检测客户端。环境检测客户端在接收到信息获取请求之后,可以通过请求解析获得验证信息,进而可以根据验证信息对访问客户端进行可信校验。环境检测客户端对访问控制客户端进行可信校验,可以保证数据的安全性。
在本申请的一个实施例中,验证信息具体为访问控制客户端的进程号参数,以使环境检测客户端根据进程号参数获取进程签名,并基于进程签名对访问控制客户端进行安全校验。
访问控制客户端可以将自己的进程号(Process Identification,PID)作为参数,向环境检测客户端发送信息获取请求。环境检测客户端在接收到信息获取请求后,可以根据进程号获取进程路径,即进程程序exe的全路径,根据进程路径,可以读取到进程签名,进而可以判断进程签名是否为可信签名。在确定进程签名为可信签名的情况下,可以向访问控制客户端返回终端的当前安全指标信息,访问控制客户端基于当前安全指标信息和应用防护策略,可以确定是否放通对外访问请求。如果访问控制客户端没有读取到进程签名,或者判断进程签名非可信签名,则可以拒绝信息获取请求。
此外,访问控制客户端还可以将自身的进程路径作为参数,然后可以根据进程路径读取到进程签名,进而判断进程签名是否为可信签名。但是,由于进程号更加不易伪造,因此,通过进程号对访问控制客户端进行可信校验,具有更高的安全性。
在本申请的一个实施例中,可以通过以下步骤确定是否与环境检测客户端成功建立通信连接:
第一个步骤:将预设的初始端口确定为连接端口;
第二个步骤:通过连接地址及连接端口,与环境检测客户端建立通信连接,连接地址为回送地址、本地主机或者预设的自定义域名;
第三个步骤:如果未成功建立通信连接,则将连接端口更新为连接端口与设定的步进值的和,重复执行通过连接地址及连接端口,与环境检测客户端建立通信连接的步骤,直至与环境检测客户端成功建立通信连接。
为便于描述,将上述几个步骤结合起来进行说明。
在本申请实施例中,环境检测客户端可以先创建本地http和https服务器,分别监听本地不同的通信端口,如1000、2000,并且支持回送地址127.0.0.1、本地主机localhost以及自定义域名的访问。环境检测客户端可以采用动态算法的方式,假如监听的连接端口被占用,则加某个固定数值,如20,作为新的连接端口,再次创建http和https服务器,直到创建成功为止,这样可以有效解决http或https服务器端口占用问题。
访问控制客户端可以预先获得环境检测客户端预设的初始端口,将预设的初始端口确定为连接端口,通过连接地址,如回送地址127.0.0.1、本地主机localhost或者自定义域名,及连接端口,与环境检测客户端建立通信连接,如果未成功建立通信连接,则可以将连接端口更新为连接端口与设定的步进值的和。访问控制客户端与环境检测客户端所用的步进值相同。更新连接端口后,访问控制客户端重新通过连接地址及连接端口,与环境检测客户端建立通信连接,如果仍未成功建立通信连接,则继续更新连接端口,通过连接地址及连接端口,与环境检测客户端建立通信连接,直至与环境检测客户端成功建立通信连接。这样可以提高访问控制客户端与环境检测客户端的通信连接建立成功率。
在实际应用中,访问控制客户端与环境检测客户端可以在同一个模块上进行一体化实现,二者之间不需要通信连接,在生成终端的当前安全指标信息之后,即可直接基于当前安全指标信息和应用防护策略,确定是否放通对外访问请求。提高处理效率。
在本申请的一个实施例中,也可以通过以下步骤与环境检测客户端建立通信连接:
第一个步骤:通过访问操作系统获取已占用端口信息;
第二个步骤:基于已占用端口信息,在本地保存的系统端口列表中选择任一空闲端口作为连接端口;
第三个步骤:通过连接端口与环境检测客户端建立通信连接。
为便于描述,将上述几个步骤结合起来进行说明。
在本申请实施例中,访问控制客户端可以预先在本地维护一张系统端口列表,该列表中记录有操作系统内所有端口的信息,如端口号、端口ID等。当访问控制客户端需要从环境检测客户端获取终端的当前安全指标信息时,可以通过访问操作系统的方式获取当前系统中已经被占用的端口的信息,即上述已占用端口信息,然后基于该已占用端口信息,从系统端口列表中任意选择一个空闲端口作为与环境检测客户端之间的连接端口,以便基于该连接端口从环境检测客户端获取终端的当前安全指标信息。
在本申请的一个实施例中,在拦截对外访问请求之后、获取终端的当前安全指标信息之前,该方法还可以包括以下步骤:
确定对外访问请求中是否携带令牌信息;
在对外访问请求携带有令牌信息时,利用令牌信息对用户进行合法认证,并在认证未通过时,输出认证登录页面;
获取用户在认证登录页面输入的认证信息;
利用认证信息对用户进行合法认证,并在认证通过时,执行获取终端的当前安全指标信息的步骤;相应地,在基于认证信息,对用户进行合法认证通过的情况下,还包括:
获取新令牌信息;
输出新令牌信息,以使用户在发起对外访问请求时,将新令牌信息添加至外访问请求中。
为便于描述,将上述几个步骤结合起来进行说明。
在本申请实施例中,访问控制客户端在监测到用户使用终端上的应用发送对外访问请求,拦截对外访问请求之后,可以先对用户进行合法认证,以确定用户的合法性。如果认证通过,则获取终端的当前安全指标信息,并基于当前安全指标信息和应用防护策略,确定是否放通对外访问请求。如果认证未通过,则可以输出错误提示信息。
具体而言,访问控制客户端在监测到用户使用终端上的应用发送对外访问请求的情况下,拦截对外访问请求,进一步可以通过解析该对外访问请求确定其是否携带有令牌信息,该令牌信息用于对用户进行合法认证,可以包括用户令牌和应用令牌及每种令牌的失效时间等信息。
在确定对外访问请求中携带有令牌信息的情况下,可以利用该令牌信息对用户进行合法认证。具体的,可以根据用户令牌和应用令牌的失效时间确定当前是否在有效时间范围内,如果不在有效时间范围内,则可以认为对用户的合法认证未通过,如果在有效时间范围内,则可以根据用户令牌和应用令牌的具体信息,确定对用户的合法认证是否通过。
在基于令牌信息,对用户进行合法认证通过的情况下,可以进行当前安全指标信息的获取。在认证不通过的情况下,可以向用户返回认证登录页面,具体可以通过浏览器输出显示认证登录页面,用户可以在该认证登录页面上输入认证信息,如输入账号、密码等认证信息,或者,通过二维码、短信认证、第三方认证等输入认证信息。
获得用户在认证登录页面输入的认证信息后,基于该认证信息对用户继续进行合法认证,如果认证通过,则进行当前安全指标信息的获取,如果认证失败,则不进行当前安全指标信息的获取,亦不放行该对外访问请求。
当然,如果对外访问请求中未携带有令牌信息,同样可以向用户返回认证登录页面,然后基于用户在认证登录页面上输入的认证信息对用户进行合法认证。
此外,在基于用户输入的认证信息,对用户进行合法认证通过的情况下,还可以获得新令牌信息,如可以基于认证信息生成用户令牌、应用令牌等新令牌信息,或者向访问控制服务端发送令牌生成请求,获得访问控制服务端生成的新令牌信息。然后将新令牌信息返回给用户,这样用户在发起新的对外访问请求时,可以将新令牌信息添加至新的对外访问请求中。如果基于新令牌信息可以对用户进行合法认证,则可以减少用户的输入操作,提高认证效率。
在本申请的一个实施例中,在对外访问请求中嵌入当前安全指标信息,可以包括:
在对外访问请求的IP头部的预设字段中,嵌入当前安全指标信息。
将当前安全指标信息嵌入至对外访问请求的IP头部的预设字段中,可以实现对UDP协议(User Datagram Protocol,用户数据报协议)的支持,进而实现访问控制客户端与访问控制服务端之间的数据通信。
本申请实施例中,访问控制客户端只要监测到用户使用终端上的应用发送对外访问请求,即可拦截对外访问请求,在访问控制服务端基于当前安全指标信息和应用防护策略,确定放通对外访问请求时才会允许相应的访问,实现了零信任访问控制,可以有效保障终端安全、链路安全和访问控制安全。
相应于上面的方法实施例,本申请实施例还提供了一种网络访问控制装置,应用于部署在终端上的访问控制客户端,下文描述的网络访问控制装置与上文描述的网络访问控制方法可相互对应参照。
参见图2所示,该装置可以包括以下模块:
对外访问请求拦截模块210,用于在监测到用户使用终端上的应用发送对外访问请求的情况下,拦截对外访问请求;
当前安全指标信息获取模块220,用于获取终端的当前安全指标信息,其中,当前安全指标信息用于指示终端当前环境的安全指标,当前安全指标信息由终端本地计算产生;
当前安全指标信息嵌入模块230,用于在对外访问请求中嵌入当前安全指标信息;
对外访问请求发送模块240,用于将对外访问请求发送至访问控制服务端,以指示访问控制服务端基于当前安全指标信息和应用防护策略确定是否放通对外访问请求。
应用本申请实施例所提供的装置,在监测到用户使用终端上的应用发送对外访问请求的情况下,先拦截对外访问请求,然后获取终端的当前安全指标信息,并嵌入至对外访问请求,最后发送至访问控制服务端,由访问控制服务端基于当前安全指标信息和应用防护策略确定是否放通对外访问请求。由于当前安全指标信息由终端本地计算产生,可以避免因为网络原因导致当前安全指标信息获取延迟或失败的情况发生,通过终端的当前安全指标信息和应用防护策略,可以及时、准确地确定出是否能够将监测到的对外访问请求放通,可以对终端中应用的对外访问进行有效管控,保证终端安全性。
在本申请的一种具体实施方式中,终端上还部署有环境检测客户端,当前安全指标信息由环境检测客户端计算生成,当前安全指标信息获取模块220,用于:
在与环境检测客户端成功建立通信连接后,从环境检测客户端获取终端的当前安全指标信息。
在本申请的一种具体实施方式中,当前安全指标信息获取模块120,包括:
请求发起单元,用于向环境检测客户端发送信息获取请求;
信息接收单元,用于接收环境检测客户端基于信息获取请求返回的终端的当前安全指标信息,当前安全指标信息为环境检测客户端基于预设的环境感知策略生成。
在本申请的一种具体实施方式中,信息获取请求中携带验证信息,以指示环境检测客户端对访问控制客户端进行校验。
在本申请的一种具体实施方式中,验证信息具体为访问控制客户端的进程号参数,以使环境检测客户端根据进程号参数获取进程签名,并基于进程签名对访问控制客户端进行安全校验。
在本申请的一种具体实施方式中,还包括通信连接建立模块,用于通过以下步骤确定是否与环境检测客户端成功建立通信连接:
将预设的初始端口确定为连接端口;
通过连接地址及连接端口,与环境检测客户端建立通信连接,连接地址为回送地址、本地主机或者预设的自定义域名;
如果未成功建立通信连接,则将连接端口更新为连接端口与设定的步进值的和,重复执行通过连接地址及连接端口,与环境检测客户端建立通信连接的步骤,直至与环境检测客户端成功建立通信连接。
在本申请的一种具体实施方式中,还包括合法认证模块,用于:
在拦截对外访问请求之后、获取终端的当前安全指标信息之前,
确定对外访问请求中是否携带令牌信息;
在对外访问请求携带有令牌信息时,利用令牌信息对用户进行合法认证,并在认证未通过时,输出认证登录页面;
获取用户在认证登录页面输入的认证信息;
利用认证信息对用户进行合法认证,并在认证通过时,执行获取终端的当前安全指标信息的步骤;
相应地,在基于认证信息,对用户进行合法认证通过的情况下,
获取新令牌信息;
输出新令牌信息,以使用户在发起对外访问请求时,将新令牌信息添加至外访问请求中。
在本申请的一种具体实施方式中,当前安全指标信息嵌入模块230可具体用于:
在对外访问请求的IP头部的预设字段中,嵌入当前安全指标信息。
相应于上面的方法实施例,本申请实施例还提供了一种网络访问控制设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现上述网络访问控制方法的步骤。
如图3所示,为网络访问控制设备的组成结构示意图,网络访问控制设备可以包括:处理器10、存储器11、通信接口12和通信总线13。处理器10、存储器11、通信接口12均通过通信总线13完成相互间的通信。
在本申请实施例中,处理器10可以为中央处理器(Central Processing Unit,CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件等。
处理器10可以调用存储器11中存储的程序,具体的,处理器10可以执行网络访问控制方法的实施例中的操作。
存储器11中用于存放一个或者一个以上程序,程序可以包括程序代码,程序代码包括计算机操作指令,在本申请实施例中,存储器11中至少存储有用于实现以下功能的程序:
在监测到用户使用终端上的应用发送对外访问请求的情况下,拦截对外访问请求;
获取终端的当前安全指标信息,其中,当前安全指标信息用于指示终端当前环境的安全指标,当前安全指标信息由终端本地计算产生;
在对外访问请求中嵌入当前安全指标信息;
将对外访问请求发送至访问控制服务端,以指示访问控制服务端基于当前安全指标信息和应用防护策略确定是否放通对外访问请求。
在一种可能的实现方式中,存储器11可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及至少一个功能(比如请求拦截功能、信息获取功能)所需的应用程序等;存储数据区可存储使用过程中所创建的数据,如安全指标数据、应用防护策略数据等。
此外,存储器11可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
通信接口12可以为通信模块的接口,用于与其他设备或者系统连接。
当然,需要说明的是,图3所示的结构并不构成对本申请实施例中网络访问控制设备的限定,在实际应用中网络访问控制设备可以包括比图3所示的更多或更少的部件,或者组合某些部件。
相应于上面的方法实施例,本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述网络访问控制方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
Claims (10)
1.一种网络访问控制方法,其特征在于,应用于部署在终端上的访问控制客户端,所述网络访问控制方法包括:
在监测到用户使用所述终端上的应用发送对外访问请求的情况下,拦截所述对外访问请求;
获取所述终端的当前安全指标信息,其中,所述当前安全指标信息用于指示所述终端当前环境的安全指标,所述当前安全指标信息由所述终端本地计算产生;
在所述对外访问请求中嵌入所述当前安全指标信息;
将所述对外访问请求发送至访问控制服务端,以指示所述访问控制服务端基于所述当前安全指标信息和应用防护策略确定是否放通所述对外访问请求;
其中,在所述拦截所述对外访问请求之后、所述获取所述终端的当前安全指标信息之前,还包括:
确定所述对外访问请求中是否携带令牌信息;
在所述对外访问请求携带有所述令牌信息时,利用所述令牌信息对所述用户进行合法认证,并在认证未通过时,输出认证登录页面;
获取所述用户在所述认证登录页面输入的认证信息;
利用所述认证信息对所述用户进行合法认证,并在认证通过时,执行所述获取所述终端的当前安全指标信息的步骤;
相应地,在基于所述认证信息,对所述用户进行合法认证通过的情况下,还包括:
获取新令牌信息;
输出所述新令牌信息,以使所述用户在发起所述对外访问请求时,将所述新令牌信息添加至所述外访问请求中。
2.根据权利要求1所述的网络访问控制方法,其特征在于,所述终端上还部署有环境检测客户端,所述当前安全指标信息由所述环境检测客户端计算生成,所述获取所述终端的当前安全指标信息,包括:
在与所述环境检测客户端成功建立通信连接后,从所述环境检测客户端获取所述终端的当前安全指标信息。
3.根据权利要求2所述的网络访问控制方法,其特征在于,所述从所述环境检测客户端获取所述终端的当前安全指标信息,包括:
向所述环境检测客户端发送信息获取请求;
接收所述环境检测客户端基于所述信息获取请求返回的所述终端的当前安全指标信息。
4.根据权利要求3所述的网络访问控制方法,其特征在于,所述信息获取请求中携带验证信息,以指示所述环境检测客户端对所述访问控制客户端进行校验。
5.根据权利要求4所述的网络访问控制方法,其特征在于,所述验证信息具体为所述访问控制客户端的进程号参数,以使所述环境检测客户端根据所述进程号参数获取进程签名,并基于所述进程签名对所述访问控制客户端进行安全校验。
6.根据权利要求2所述的网络访问控制方法,其特征在于,通过以下步骤确定是否与所述环境检测客户端成功建立通信连接:
将预设的初始端口确定为连接端口;
通过连接地址及所述连接端口,与所述环境检测客户端建立通信连接,所述连接地址为回送地址、本地主机或者预设的自定义域名;
如果未成功建立通信连接,则将所述连接端口更新为所述连接端口与设定的步进值的和,重复执行所述通过连接地址及所述连接端口,与所述环境检测客户端建立通信连接的步骤,直至与所述环境检测客户端成功建立通信连接。
7.根据权利要求1至6中任一项所述的网络访问控制方法,其特征在于,所述在所述对外访问请求中嵌入所述当前安全指标信息,包括:
在所述对外访问请求的IP头部的预设字段中,嵌入所述当前安全指标信息。
8.一种网络访问控制装置,其特征在于,应用于部署在终端上的访问控制客户端,所述网络访问控制装置包括:
对外访问请求拦截模块,用于在监测到用户使用所述终端上的应用发送对外访问请求的情况下,拦截所述对外访问请求;
当前安全指标信息获取模块,用于获取所述终端的当前安全指标信息,其中,所述当前安全指标信息用于指示所述终端当前环境的安全指标,所述当前安全指标信息由所述终端本地计算产生;
当前安全指标信息嵌入模块,用于在所述对外访问请求中嵌入所述当前安全指标信息;
对外访问请求发送模块,用于将所述对外访问请求发送至访问控制服务端,以指示所述访问控制服务端基于所述当前安全指标信息和应用防护策略确定是否放通所述对外访问请求;
合法认证模块,用于在所述拦截所述对外访问请求之后、所述获取所述终端的当前安全指标信息之前,确定所述对外访问请求中是否携带令牌信息;在所述对外访问请求携带有所述令牌信息时,利用所述令牌信息对所述用户进行合法认证,并在认证未通过时,输出认证登录页面;获取所述用户在所述认证登录页面输入的认证信息;利用所述认证信息对所述用户进行合法认证,并在认证通过时,执行所述获取所述终端的当前安全指标信息的步骤;
相应地,在基于所述认证信息,对所述用户进行合法认证通过的情况下,获取新令牌信息;输出所述新令牌信息,以使所述用户在发起所述对外访问请求时,将所述新令牌信息添加至所述外访问请求中。
9.一种网络访问控制设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的网络访问控制方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的网络访问控制方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111436436.1A CN114124556B (zh) | 2021-11-29 | 2021-11-29 | 一种网络访问控制方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111436436.1A CN114124556B (zh) | 2021-11-29 | 2021-11-29 | 一种网络访问控制方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114124556A CN114124556A (zh) | 2022-03-01 |
| CN114124556B true CN114124556B (zh) | 2023-12-29 |
Family
ID=80367727
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111436436.1A Active CN114124556B (zh) | 2021-11-29 | 2021-11-29 | 一种网络访问控制方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114124556B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114615055A (zh) * | 2022-03-10 | 2022-06-10 | 中国建设银行股份有限公司 | 访问请求的处理方法、数据上传方法和装置 |
| CN117098134B (zh) * | 2023-10-17 | 2024-01-26 | 湖北星纪魅族集团有限公司 | 安全控制方法、终端及非暂时性计算机可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111726366A (zh) * | 2020-06-30 | 2020-09-29 | 成都卫士通信息产业股份有限公司 | 设备通信方法、装置、系统、介质和电子设备 |
| CN111935169A (zh) * | 2020-08-20 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 一种业务数据访问方法、装置、设备及存储介质 |
| CN112073400A (zh) * | 2020-08-28 | 2020-12-11 | 腾讯科技(深圳)有限公司 | 一种访问控制方法、系统、装置及计算设备 |
| CN112115484A (zh) * | 2020-09-27 | 2020-12-22 | 中国工商银行股份有限公司 | 应用程序的访问控制方法、装置、系统及介质 |
| CN112165461A (zh) * | 2020-09-10 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 一种零信任动态授权方法、装置和计算机设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106034104B (zh) * | 2015-03-07 | 2021-02-12 | 华为技术有限公司 | 用于网络应用访问的验证方法、装置和系统 |
| US11363022B2 (en) * | 2016-03-28 | 2022-06-14 | Zscaler, Inc. | Use of DHCP for location information of a user device for automatic traffic forwarding |
| US11863588B2 (en) * | 2019-08-07 | 2024-01-02 | Cisco Technology, Inc. | Dynamically tailored trust for secure application-service networking in an enterprise |
-
2021
- 2021-11-29 CN CN202111436436.1A patent/CN114124556B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111726366A (zh) * | 2020-06-30 | 2020-09-29 | 成都卫士通信息产业股份有限公司 | 设备通信方法、装置、系统、介质和电子设备 |
| CN111935169A (zh) * | 2020-08-20 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 一种业务数据访问方法、装置、设备及存储介质 |
| CN112073400A (zh) * | 2020-08-28 | 2020-12-11 | 腾讯科技(深圳)有限公司 | 一种访问控制方法、系统、装置及计算设备 |
| CN112165461A (zh) * | 2020-09-10 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 一种零信任动态授权方法、装置和计算机设备 |
| CN112115484A (zh) * | 2020-09-27 | 2020-12-22 | 中国工商银行股份有限公司 | 应用程序的访问控制方法、装置、系统及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114124556A (zh) | 2022-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10515232B2 (en) | Techniques for facilitating secure, credential-free user access to resources | |
| US8365258B2 (en) | Multi factor authentication | |
| CN109815656A (zh) | 登录认证方法、装置、设备及计算机可读存储介质 | |
| CN109547458B (zh) | 登录验证方法、装置、计算机设备及存储介质 | |
| CN114124556B (zh) | 一种网络访问控制方法、装置、设备及存储介质 | |
| CN113536258A (zh) | 终端访问的控制方法及装置、存储介质及电子设备 | |
| US9118619B2 (en) | Prevention of cross site request forgery attacks by conditional use cookies | |
| US11770385B2 (en) | Systems and methods for malicious client detection through property analysis | |
| US8694993B1 (en) | Virtualization platform for secured communications between a user device and an application server | |
| CN112491776B (zh) | 安全认证方法及相关设备 | |
| CN110830516B (zh) | 一种网络访问方法、装置、网络控制设备及存储介质 | |
| CN114995214A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| CN112468442B (zh) | 双因子认证方法、装置、计算机设备及存储介质 | |
| JP2009003559A (ja) | シングルサインオンサーバ用コンピュータシステム及びプログラム | |
| CN115333828A (zh) | 基于UKEY硬件的web访问安全加密验证方法和设备 | |
| CN114157472B (zh) | 一种网络访问控制方法、装置、设备及存储介质 | |
| CN109361639A (zh) | 动态共享https请求鉴权方法、存储介质及移动终端 | |
| CN112560006A (zh) | 一种多应用系统下的单点登录方法和系统 | |
| CN115022047B (zh) | 基于多云网关的账户登录方法、装置、计算机设备及介质 | |
| CN112929388B (zh) | 网络身份跨设备应用快速认证方法和系统、用户代理设备 | |
| US20080022004A1 (en) | Method And System For Providing Resources By Using Virtual Path | |
| EP2575316A1 (en) | Controlled access | |
| CN107045603A (zh) | 一种应用的调用控制方法和装置 | |
| KR20130055116A (ko) | 자동 로그인 기능을 제공하는 방법 및 서버 | |
| CN113225348A (zh) | 请求防重放校验方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |