CN115130116A - 业务资源访问方法、装置、设备、可读存储介质及系统 - Google Patents
业务资源访问方法、装置、设备、可读存储介质及系统 Download PDFInfo
- Publication number
- CN115130116A CN115130116A CN202110326651.XA CN202110326651A CN115130116A CN 115130116 A CN115130116 A CN 115130116A CN 202110326651 A CN202110326651 A CN 202110326651A CN 115130116 A CN115130116 A CN 115130116A
- Authority
- CN
- China
- Prior art keywords
- access
- service resource
- server
- request
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例公开了一种业务资源访问方法、装置、设备、可读存储介质及系统;通过在在检测到应用生成业务资源访问请求时,基于访问控制策略,确定业务资源访问请求对应的访问类型;当访问类型为代理访问类型时,拦截向服务器发送的生成访问凭证的请求指令;在拦截生成访问凭证的请求指令后,生成业务资源访问请求对应的访问凭证;将访问凭证对应的验证请求发送至服务器进行验证;在接收到服务器通过业务资源数据通道返回的验证通过指令时,将业务资源访问请求转发至服务器进行业务资源访问。本方案避免由于网络不稳定而影响云服务器下发访问凭证以及终端访问业务资源时卡顿的现象,提高了终端对业务资源的访问效率。
Description
技术领域
本发明涉及计算机技术领域,具体涉及一种业务资源访问方法、装置、设备、可读存储介质及系统。
背景技术
近年来,随着互联网技术的飞速发展,互联网中的资源也越来越多。终端在请求访问业务资源时,为了保证业务资源被访问时的安全性,往往需要验证终端的权限。在相关技术中,在终端对业务资源进行请求访问时,需要服务器根据业务资源访问请求生成对应的访问凭证,并颁发至终端,终端在接收到服务器下发的访问凭证后,得到对业务资源的访问权限,从而实现对业务资源进行访问。
在对现有技术的研究和实践过程中,本发明的发明人发现对于在验证终端的权限时,需要服务器根据业务资源访问请求生成对应的访问凭证,在网络不稳定时,服务器无法及时的下发访问凭证,使得终端对业务资源的访问卡顿,影响业务资源的访问效率。
发明内容
本申请实施例提供一种业务资源访问方法、装置、设备、可读存储介质及系统,可以解决在服务器生成业务资源访问请求对应的访问凭证,在网络不稳定时,服务器无法及时的下发访问凭证,使得访问主体对业务资源的访问卡顿,影响业务资源的访问效率的技术问题。
本申请实施例提供一种业务资源访问方法,包括:
在检测到应用生成业务资源访问请求时,基于访问控制策略,确定所述业务资源访问请求对应的访问类型;
当所述访问类型为代理访问类型时,拦截向服务器发送的生成访问凭证的请求指令;
在拦截所述生成访问凭证的请求指令后,生成所述业务资源访问请求对应的访问凭证;
将所述访问凭证对应的验证请求发送至所述服务器进行验证;
在接收到所述服务器通过业务资源数据通道返回的验证通过指令时,将所述业务资源访问请求转发至所述服务器进行业务资源访问;所述业务资源数据通道为所述服务器对所述访问凭证通过时所建立。
相应的,本申请实施例提供一种业务资源访问装置,包括:
确定单元,用于在检测到生成业务资源访问请求时,基于访问控制策略,确定所述业务资源访问请求对应的访问类型;
拦截单元,用于当所述访问类型为代理访问类型时,拦截向服务器发送的生成访问凭证的请求指令;
生成单元,用于在拦截所述生成访问凭证的请求指令后,生成所述业务资源访问请求对应的访问凭证;
验证单元,用于将所述访问凭证对应的验证请求发送至所述服务器进行验证;
转发单元,用于在接收到所述服务器通过业务资源数据通道返回的验证通过指令时,将所述业务资源访问请求转发至所述服务器进行业务资源访问;所述业务资源数据通道为所述服务器对所述访问凭证通过时所建立。
相应的,本申请还提供一种计算机设备,包括存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现本申请实施例提供的任一种业务资源访问方法中的步骤。
相应的,本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现本申请实施例提供的任一种业务资源访问方法中的步骤。
此外,本申请实施例还提供一种计算机程序,所述计算机程序包括计算机指令,所述计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行本申请实施例所提供的任一种业务资源访问方法中的步骤。
此外,本申请还提供一种业务资源访问系统,所述系统包括:终端和服务器,所述终端与所述服务器之间通信连接;
所述终端包括上述实施例提供的所述业务资源访问装置;
所述服务器,用于接收所述终端发送的访问凭证对应的验证请求;响应于所述验证请求,对所述访问凭证进行验证;在验证通过时,建立与所述终端的业务资源数据通道,并将验证通过指令返回所述终端;接收来自所述终端发送的业务资源访问请求,并响应于所述业务资源访问请求。
本申请实施例可以在检测到应用生成业务资源访问请求时,基于访问控制策略,确定业务资源访问请求对应的访问类型;当访问类型为代理访问类型时,拦截向服务器发送的生成访问凭证的请求指令;在拦截所述生成访问凭证的请求指令后,生成业务资源访问请求对应的访问凭证;将访问凭证对应的验证请求发送至服务器进行验证;在接收到服务器通过业务资源数据通道返回的验证通过指令时,将业务资源访问请求转发至服务器进行业务资源访问;业务资源数据通道为服务器对访问凭证通过时所建立。
进而通过访问控制策略确定业务资源访问请求为代理访问类型,通过终端生成业务资源访问请求对应的访问凭证,并由服务器对访问凭证进行验证,在验证通过时,通过服务器建立终端的业务资源数据通道,从而将业务资源访问请求转发至服务器,由服务器转发至业务资源站点,实现对业务资源的访问;本方案避免由于网络不稳定而影响服务器下发访问凭证以及终端对业务资源的访问卡顿的现象,提高了终端对业务资源的访问效率。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1a是本申请实施例提供的业务资源访问系统的场景示意图;
图1b是本申请实施例提供的业务资源访问系统的另一场景示意图;
图2是本申请实施例提供的业务资源访问方法的流程示意图;
图3是本申请实施例提供的访问控制策略的策略管理页面的示意图;
图4是本申请实施例提供的策略管理页面内的业务资源站点配置页面的示意图;
图5是本申请实施例提供的策略管理页面内的应用配置页面的示意图;
图6a是本申请实施例提供的业务资源访问方法的时序示意图;
图6b为本申请实施例提供的业务资源访问方法中获取本地时间差的时序示意图;
图7是本申请实施例提供的业务资源访问装置的结构示意图;
图8是本申请实施例提供的计算机设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请实施例提供一种业务资源访问方法、装置、设备、可读存储介质及系统。具体地,本申请实施例的业务资源访问方法可以由计算机设备执行,其中,该计算机设备可以为终端和/或者服务器等设备。其中,终端可以包括目标客户端,该目标客户端可以与其他客户端之间进行数据交互,以识别其他客户端的业务访问需求,实现协助其他客户端进行业务访问。该服务器与终端(或终端上的客户端)之间是为供应服务与被供应服务关系,如手机终端与网络运营商之间具有数据服务关系;如在一些实施方式中,后端服务器提供一种软件、程序或应用等客户端,可通过在终端上安装该客户端,以实现终端与后端服务器之间的数据交互,以实现相应的提供服务与被提供服务的关系。以上仅为本申请所列举的部分实施方式,其他上述实现方式相同或相似的方式仍属于本申请的可实施范围内。
本申请实施例提供了一种业务资源访问方法,该方法可以由终端或服务器执行,也可以由终端和服务器分别执行或共同执行。
以该业务资源访问方法被终端和服务器分别执行为例。
具体的,参见图1a,图1a为本申请实施例所提供的业务资源访问系统的场景示意图,包括:终端10和服务器20,终端10与服务器20之间通信连接,该通信连接方式不限于包括无线网络连接和有线网络连接。在一些实现方式中,还可包括路由器或智能网关等网络装置,通过借助路由器、智能网关等实体网络装置实现终端10与服务器20之间的通信连接,本实施例的场景示意图未示出网络装置。进一步,终端10与服务器20之间通过数据交互,以实现下载客户端、客户端与服务器之间的信息传输等功能。
具体的,该终端10可以为支付设备、手机、平板电脑、笔记本电脑、智能电视、穿戴式智能设备、个人计算机(PC,Personal Computer)等设备。以上终端设备可安装一些应用或客户端,如安装安全访问客户端,以用于确保终端安全访问目标业务系统上的业务应用、数据资源等。具体的,如该终端安装安全访问客户端后,可实现以下步骤:在检测到应用生成业务资源访问请求时,基于访问控制策略,确定业务资源访问请求对应的访问类型;当访问类型为代理访问类型时,拦截向服务器20发送的生成访问凭证的请求指令;在拦截生成访问凭证的请求指令后,生成业务资源访问请求对应的访问凭证;将访问凭证对应的验证请求发送至服务器20进行验证;在接收到服务器20通过业务资源数据通道返回的验证通过指令时,将业务资源访问请求转发至服务器20进行业务资源访问;业务资源数据通道为服务器20对访问凭证通过时所建立。
具体的,服务器20可以是后端的单台服务器,也可以是由后端的多个服务器组成的服务器集群或分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。该服务器20可以实现以下步骤:接收终端10发送的访问凭证对应的验证请求;响应于验证请求,对访问凭证进行验证;在验证通过时,建立与终端10的业务资源数据通道,并将验证通过指令返回终端10;接收来自终端10发送的业务资源访问请求,并响应于业务资源访问请求。
进一步的,结合图1b所示,图1b为本申请实施例提供的业务资源访问系统的另一场景示意图,包括终端10和服务器20。其中,该终端10包括安全访问客户端和一个或多个应用。如该应用可为浏览器、邮箱、即时通讯等;该安全访问客户端包括多个组件,如该安全访问客户端的组件包括安全监控组件和proxy(访问代理组件)。而服务器20包括安全监控服务端、智能网关、业务服务器等。
安全监控组件,安装在员工工作设备上的安全Agent(代理),负责验证设备上的用户可信身份,验证设备是否可信以及应用是否可信;将未知的进程向服务器申请进程送检。
访问代理组件,通过TUN/TAP虚拟网卡劫持设备流量,通过安全监控组件鉴权后负责将请求转发给智能网关,如果没有通过鉴权则走直连或中断连接。
安全监控服务端:通过策略控制引擎:对业务流量进行安全调度,按照人-设备-软件-应用颗粒度授权。用于对用户身份进行验证、设备硬件信息和设备安全状态验证和应用进程是否安全验证,如是否有漏洞,是否有病毒木马等。服务器定期向威胁情报云查服务或tav杀毒引擎定期发起文件送检,该威胁情报云查服务也可以作为病毒查杀引擎,识别出恶意进程则通知客户端执行异步阻断操作。
智能网关,部署在企业应用程序和数据资源的入口,负责每一个访问企业资源的会话请求的验证,授权和转发。
业务服务器,为企业应用程序和数据资源的分布式存储空间。
需要说明的是,图1a和图1b所示的业务资源访问系统的场景示意图仅是一个示例,本申请实施例描述的业务资源访问系统以及场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着业务资源访问系统的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
以下分别进行详细说明。需说明的是,以下实施例的描述顺序不作为对实施例优选顺序的限定。
本申请实施例提供了一种业务资源访问方法,该方法可以由终端或服务器执行,也可以由终端和服务器共同执行。
本申请实施例以业务资源访问方法由终端执行为例来进行说明。
如图2所示,图2为本申请实施例提供的业务资源访问方法的流程示意图,终端上的处理器执行业务资源访问方法对应的程序时,该业务资源访问方法的具体流程可以如下:
步骤210,在检测到应用生成业务资源访问请求时,基于访问控制策略,确定业务资源访问请求对应的访问类型。
其中,该业务访问请求为访问主体对业务资源进行访问时发出的请求,以等待业务资源站点的响应。
该访问控制策略为终端已存储的策略,其包含用户、应用和业务站点之间的权限映射关系,还可包含用户、设备、应用和业务站点之间的权限映射关系;该访问控制策略的粒度可为用户,通过获取用户对应的访问控制策略,从而根据访问控制策略包含权限映射关系确定应用发出的业务资源访问请求的访问类型。需要说明的是,不同用户对应的访问控制策略不同,则不同用户对特定业务资源站点的访问权限不同,如在设定访问控制策略时,可根据用户信息对应的信用权重,根据该信用权重来设定对应用户的访问控制策略,从而限定用户对特定业务资源的访问权限,具有可靠性。
因此,在用户发送业务访问请求之前,需要通过策略管理页面预先为用户设定对应的访问控制策略。该策略管理页面可以图3为例,该策略管理页面内包括账户树,该账户树包含全网账户,即所有具有登录权限的用户账户,在选定某一账户的后,即可对相关的用户设定访问控制策略,如选定账户为“lemon”后,可以先配置可信应用(可访问业务资源站的应用),如可以为该账户设置任意应用作为可信应用,也可以设置部分应用作为可信应用,此处不做限定;此外,还可以限定可信应用的操作系统,如,当电子设备的操作系统为windows操作系统时,则基于该操作系统的任意应用可以作为可信应用,对业务资源站点进行访问。进一步的,对该账户下的可信应用可访问的业务资源站点(业务系统)进行配置,如可以配置可信应用可访问的业务资源站地址为所有的业务资源目的地址(url,UniformResource Locator),也可以配置部分业务资源目的地址,具体根据实际需求进行配置,此处不做限定。
具体的,如图4所示的业务资源站点配置页面示意图,在对可访问的业务资源站点(业务系统)进行配置时,需要配置业务资源站点(业务系统)的地址,如配置业务资源站点的地址可为“*.com”。还需要配置业务资源站点的类别,如配置业务资源站点类别为IP类别时,可以通过配置“指定IP”或“IP段”来选择对IP地址的配置方式;另一方面,当配置业务资源站点类别为域名类别时,可通过手动输入配置的域名,也可通过其他方式配置域名。此外,还可通过配置业务资源站点的端口,如端口类型可以配置为“所有端口”或“指定端口”。通过以上方式对业务资源站点信息进行配置,实现基于用户-应用-业务资源系统的组合策略控制,实现流量过滤、支持泛域名、IP段、多端口,并基于用户组织架构实现继承和扩展。以及通过以上方式对业务资源站点信息进行配置,可以加强业务资源系统的安全性,从而提高业务资源被访问时的安全性。
具体的,如图5所示的应用配置页面示意图,在对可信应用(可访问业务资源站点的应用)进行配置时,还可设置该可信应用的进程名、操作系统、签名信息、版本号,此外该可信应用的配置还可包括加密指纹字符串以及哈希值,其中,该加密指纹字符串由信息摘要算法(MD5,Message-Digest Algorithm)计算得到,哈希值由SHA256计算生成。
此外,管理人员还可根据白名单机制和/或黑名单机制来设定一个或多个应用,只有满足白名单机制和/或黑名单机制条件的应用才可访问企业内特定业务资源。如,针对Android系统,可以采集发起业务资源访问请求的应用的安装包名和签名信息是否符合设定的应用白名单,如果符合则认为该应用可安全通过访问控制策略访问企业内部站点,若不符合,则不允许该应用访问企业业务资源站点;而针对IOS系统,可以结合移动设备管理(MDM)来实现对应用的判定,当发起访问请求的应用为MDM策略中的应用,则可以访问企业内部站点,否则无法访问。此外,还可提前设定好禁止访问的应用列表,作为黑名单,只有为非黑名单的应用才允许访问企业内特定的业务资源站点。
在一些实施方式中,该访问控制策略的内容可表示如下:
通过生成业务资源访问请求对应的访问凭证来确保业务资源被访问时的安全性。在应用对业务资源进行访问时,为了降低访问凭证的生成频次,减少终端资源的占用,本实施例仅在访问较为重要的业务资源站点时生成访问凭证。因此,需要预先对业务资源站点进行重要级别的划分,以及确定对该重要级别的业务资源站点具有访问权限的应用,从而设定对应的访问控制策略,在检测到应用生成业务资源访问请求时,通过访问控制策略确定该业务资源访问请求对应的访问类型。
与相关技术不同的是,本步骤通过访问控制策略来确定业务资源访问请求对应的访问类型,以确定是否生成当前访问请求的访问凭证,降低访问凭证的生成频次,减少终端理资源的占用,提高用户的业务资源访问体验。
在一些实施方式中,步骤210包括:
步骤211、解析访问控制策略,得到访问应用与预设的业务资源站点列表中各业务资源站点之间的访问权限映射关系;
步骤212、根据访问权限映射关系确定业务资源访问请求对应的访问类型。
具体的,该访问控制策略为预先为用户设定的策略,并存储在服务器中,其中,该访问控制策略包含一个或多个应用与业务资源站点之间的访问权限映射关系。终端在接收到访问控制策略后,可解析该用户对应的访问控制策略,从而得到该用户可访问的业务资源站点以及用户在访问相应的业务资源站点时可使用的应用。当业务资源访问请求满足访问权限映射关系时,则确定该业务资源访问请求对应的访问类型为代理访问类型,在不满足时,则确定对应的访问类型为直连访问类型。
进一步的,“步骤212、根据访问权限映射关系确定业务资源访问请求对应的访问类型”具体包括以下步骤:
步骤2121、确定业务资源访问请求关联的业务资源站点及应用;
步骤2122、根据业务资源站点匹配预设的业务资源站点列表中的目标业务资源站点;
步骤2123、在匹配到与业务资源站点对应的目标业务资源站点时,根据访问权限关系确定目标业务资源站点对应的访问应用集;
步骤2124、在检测到访问应用集包含与应用匹配的目标访问应用时,确定业务资源访问请求对应的访问类型为代理访问类型。
可以理解的是,在确定业务资源访问请求的访问类型时,需要确定业务资源访问请求的发起端,如本实施例的发起者为终端上的应用,以及确定该业务资源访问请求所要访问的业务资源站点,从而确定该业务资源站点和应用是否满足访问控制策略对应的访问权限映射关系,在满足时,确定该业务资源访问请求对应的访问类型应该为代理访问类型。
进一步的,当业务资源访问请求对应的访问类型为直连访问类型时,建立终端与业务资源站点之间数据连接,并将业务资源访问请求发送至业务资源站点。可用理解的是,当业务资源访问请求对应业务资源为普通或常规的业务资源时,如请求播放新闻、视频等,则该业务资源可以不设为访问控制策略的限定范畴内,在对该类型的业务资源进行访问时,可判定其访问类型为直连访问类型,通过建立终端与业务资源站点之间的数据连接,以使得终端直接与业务资源系统或业务资源供应平台进行直接访问,无需生成访问凭证,提高终端用户对业务资源的访问效率。
通过以上实施方式,通过用户对应的访问控制策略来限定用户在访问相应业务资源站点时的访问权限,以及访问方式,可确保部分较为重要的业务资源被访问时的安全性,具有可靠性。
在一些实施方式中,在步骤210之前,还包括:
(1)在检测到用户登录请求时,将用户登录请求发送至服务器,使得服务器验证用户登录请求对应的用户登录信息,并在验证通过时发出登录结果至终端;
(2)在接收到来自服务器的登录结果时,发送用户对应的访问策略获取请求至服务器,使得服务器响应于访问策略获取请求,将用户的身份信息对应的访问控制策略发送至客户端;
(3)接收来自服务器发送的访问控制策略。
具体的,在通过终端的安全访问客户端的登录界面进行登录时,用户可通过输入账号密码或扫码登录的方式执行登录操作,以生成用户登录请求。终端在检测到用户登录请求后,将该用户登录请求发送至服务器。而服务器接收来自终端的用户登录请求,解析该用户登录请求,得到登录请求对应的用户信息,并对用户信息进行验证,其验证过程可为:获取预注册的用户信息集,根据用户信息查找预注册的用户信息集,在预注册的用户信息集中查找到与用户信息匹配的目标用户信息时,则验证通过;此时,服务器正常响应用户登录请求,并将响应用户登录请求的登录结果发给终端。
终端在接收到来自服务器的登录结果时,向服务器请求获取该登录用户的业务访问策略;使得服务器接收到请求后,根据该用户信息查找预设的访问策略集合,从预设访问策略集合中找到该用户对应的访问控制策略,并发送至终端。从而,终端接收服务器发出的访问控制策略。通过以上实施方式,可使得任意用户在进行相关业务资源访问时,均需要通过执行用户登录操作,确定业务访问用户的合法性;且针对不同用户设立不同的访问控制策略,提高业务资源访问的安全性。
在一些实施方式中,在上述的“(1)在检测到用户登录请求时”之前,还可包括:
读取预设的终端设备安全规则;
解析终端设备安全规则,得到终端设备安全阈值;
获取当前终端的设备安全值;
若当前终端的设备安全值大于或等于终端设备安全阈值,则建立用户登录界面的连接;
若当前终端的设备安全值小于终端设备安全阈值,则切断用户登录界面的连接。
为了提高访问业务资源是的安全性,可先对终端设备的安全性进行判断,防止用户在安全访问客户端的登录界面的登录信息被窃取,影响用户登录时安全性。具体的,首先,设定终端设备安全规则,该终端设备安全规则包含终端设备状态的安全阈值,该安全阈值可为一项设备状态的安全阈值,也可指多项设备状态的综合安全阈值,此处不做限定。如,以一项设备状态的终端设备安全阈值为例,该设备状态可为是否刷入第三方ROM或越狱机器后的设备状态,若终端被刷入第三方ROM或越狱机器,其对应的设备安全至为50,否则为100,将终端设备安全阈值设定为100。然后,通过终端设备安全阈值判定终端的设备状态是否符合安全标准。当终端的设备状态不符合安全标准时,则不允许该终端接入登录界面。
进一步的,还可以结合移动设备管理(MDM)来判定终端设备的合法性,通过在数据中心的MDM服务端下发相关策略,通过部署在终端的MDM代理客户端将策略应用在终端中,以加强判断终端设备的安全性。
进一步的,一方面,终端在得到当前用户的访问控制策略后,根据访问控制策略进行配置;在配置完成时,检测当前应用是否生成业务资源访问请求。由于该访问控制策略是用于确定业务资源访问请求对应的访问类型,因此,需要预先根据访问控制策略对终端进行配置。且终端在进行配置后,可以检测终端上的任意一款应用是否生成业务资源访问请求。
其中,该访问控制策略还包括凭证生成指令,则步骤210之前可包括:提取访问控制策略中的凭证生成指令;根据该凭证生成指令进行设置,并在配置完成时,检测当前应用是否生成业务资源访问请求。需要说明的是,根据该凭证生成指令进行设置,主要是对终端上生成访问凭证的装置、组件或客户端进行设置,以实现在终端上生成访问凭证。
在另一方面,在步骤210之前还可包括:
在接收来自服务器的登录结果后,解析登录结果,得到登录票据,并将登录票据进行储存;
间隔单位时间,将已储存的登录票据发送至服务器,使得服务器对登录票据进行校验,并返回票据校验结果;
在检测回票据校验结果为验证通过时,向服务器请求重新下发访问控制策略;
接收重新下发的访问控制策略,并根据重新下发的访问控制策略配置客户端,使得配置后的客户端检测终端上的目标应用是否生成业务资源访问请求。
具体的,终端的用户登录请求在服务器上验证通过后,即可接收到来自服务器的登录结果,并解析该登录结果得到登录票据,该登录票据为用户信息通过服务器验证的登录凭证,用于后续定期对登录用户身份进行验证,其可为间隔预设的单位时间,对登录用户身份进行验证,以确保用户在业务资源访问过程中的一致性。
需要说明的是,用户在初始登录成功后,终端可向服务器拉取访问控制策略,以实现对用户在初始登录的预设时段(单位时间)内的访问控制。在间隔预设的单位时间后,终端上的登录票据在服务器验证通过后,向服务器请求重新下发访问控制策略,该重新下发的访问控制策略可与初始的访问控制策略相同,也可以不同,此处不做限定。具体的,服务器可根据平台管理者调整或更新的访问控制策略来更新储存在服务器中的访问策略,因此,在本实施方式,终端通过定期重新获取新的访问控制策略,确保用户的访问控制策略的符合访问安全性。
步骤220,当访问类型为代理访问类型时,拦截向服务器发送的生成访问凭证的请求指令。
在本实施例中,通过访问控制策略来判定业务资源访问请求的访问类型,其中,若访问类型为代理访问类型时,则所访问的业务资源属于较为重要的业务资源,对于该类业务资源站点,在访问时需要生成访问凭证,以验证用户的访问权限,确保该业务资源被访问时的安全性。
为了提高验证用户权限时的效率,需要确保访问凭证的速度。在本实施例中,通过引入终端颁发访问凭证机制,以在终端上生成访问凭证,在到服务器进行验证。
在一些实施方式中,步骤220包括:
当业务资源访问请求对应的访问类型为代理访问类型时,获取终端的硬件设备参数,该硬件设备参数可包含运行内存可用率和/或处理器可用率;
将硬件设备参数与预设的硬件设备参数阈值对比;
在硬件设备参数大于预设的硬件设备参数阈值时,拦截向服务器生成访问凭证的请求指令。
可以理解的是,访问凭证一般是由服务器生成,下发到终端加载用户标识,并由服务器验证。然而,为了提高终端对访问凭证的获取效率,本实施通过计算终端的硬件设备参数,在终端设备参数达到预设的硬件设备参数阈值时,可在终端上直接生成当前业务资源访问请求对应的访问凭证,以避免由服务器生成访问凭证时由于网络不稳定影响终端获取访问凭证的效率。
在一些实施方式中,步骤220包括:
当业务资源访问请求对应的访问类型为代理访问类型时,发送测试指令至服务器,使得服务器响应测试指令,并返回测试结果至终端;
在接收来自服务器的测试结果时,根据发出测试指令的时间及接收测试结果的时间计算测试时间;
在测试时间大于预设的响应时间阈值时,拦截向服务器生成访问凭证的请求指令。
为了获悉网络的情况,在本实施例中,通过测试终端与服务器之间的响应时间来确定网络的性能,如终端发送一个测试指令至服务器,使得服务器立即响应该测试指令,并快速返回测试结果,从而计算该测试过程所花费的时间,即测试时间,通过该测试时间的长短可确定网络的性能。如根据常规的网络传输速率计算终端与服务器之间的指令响应时间,并作为预设的响应时间阈值,如0.1秒、0.5秒等,此处不做限定,当该测试时间大于预设的响应时间阈值时,则表示当前网络性能较差。为了避免为了不稳定时由服务器生成和下发访问凭证,影响终端得到访问凭证,本实施例通过拦截向服务器生成访问凭证的请求指令,直接在终端上生成当前业务资源访问请求对应的访问凭证,提高终端对访问凭证的获取效率。
在一些实施方式中,步骤220包括:
当业务资源访问请求对应的访问类型为代理访问类型时,发送测试指令至服务器,使得服务器响应测试指令,并返回测试结果至终端;
在预设的响应时间阈值内未收到来自服务器的测试结果,则拦截向服务器生成访问凭证的请求指令。
具体的,根据常规的网络传输速率计算终端与服务器之间的指令响应时间,并作为预设的响应时间阈值,如0.1秒、0.5秒等,此处不做限定,当在预设的响应时间阈值内不能收到来自服务器的测试结果,则表示当前网络性能较差。为了避免为了不稳定时由服务器生成和下发访问凭证,影响终端得到访问凭证,本实施例通过拦截向服务器生成访问凭证的请求指令,直接在终端上生成当前业务资源访问请求对应的访问凭证,提高终端对访问凭证的获取效率。
步骤230,在拦截生成访问凭证的请求指令后,生成业务资源访问请求对应的访问凭证。
为了提高终端对服务凭证的获取效率,本实施例通过进入终端生成访问凭证机制,在终端上生成访问凭证,以确保终端获得访问凭证的效率。
在一些实施方式中,步骤230包括:
(1)获取与服务器的之间的本地时间差值以及获取业务资源访问请求关联的应用信息、登录全局标识、本地用户标识、用户信息、终端标识、业务资源站点信息和凭证有效时间;
(2)将应用信息、登录全局标识、本地用户标识、业务资源站点信息、凭证有效时间及本地时间差值进行编码,得到第一凭证内容;
(3)将应用信息、登录全局标识、本地用户标识、用户信息、终端标识、业务资源站点信息、凭证有效时间和本地时间差值进行加密,并计算哈希值,得到第二凭证内容;
(4)获取访问凭证的算法版本信息,并根据算法版本信息、第一凭证内容及第二凭证内容生成访问凭证。
具体的,该本地时间差值为终端的本地时间与服务器的本地时间之间的差值。可以理解的是,每个计算机设备都有各自的内部时钟,该内部时钟用于指示所在的计算机设备的本地时间,终端和服务器也是如此。具体的,通过获取终端的本地时间,与服务器的本地时间,从而计算终端与服务器之间的本地时间差值。
该应用信息为终端上发起业务资源访问请求的应用对应的信息,该应用信息包括应用名或应用包名。例如,在Android系统中,应用信息包括应用名和应用包名。
该业务资源站点信息可为需要服务的业务资源的目的地址(url,UniformResource Locator)和端口信息。
该登录全局标识是一种由算法生成的二进制长度为128位的数字标识符,该登录全局标识在所有的节点、多台计算机的网络或系统中,是当前设备或登录环境唯一的标识。需要说明的是,任何计算机和计算机集群都不会生成两个相同的标识。
该终端标识是当前终端的设备唯一标识(mid,Mobile Equipment IDentifier,或Mobile IDentifier,),如终端的序列号等标识。该设备唯一标识是全球唯一的56bit移动终端标识号,该标识号会被烧入终端里,并且不能被修改,可用来对移动式设备进行身份识别。
该本地用户标识(luid,locally unique identifier)是指该终端上当前用户在登录用户信息时的唯一标识,该本地用户标识与登录全局标识不同,只要求保证局部唯一即可,即在用户在终端的每一次登录时保证标识是唯一的。
该用户信息为用于登录的用户信息、用户身份信息或验证信息,如账号密码、名称信息等。
该凭证有效时间为访问凭证在生成后的有效期限,其限定了一个访问凭证的持续有效时间。可以理解的是,在访问凭证生成的有效时间内,该访问凭证可用于终端请求访问业务资源时的凭证。通过设定凭证的有效时间,可确保的每个访问凭证在有效时间内可使用,当超出该有效时间,则需要重新生成访问凭证;通过以上方式可防止访问凭证被第三方侵入或更改,从而使得服务器收到威胁。
在本实施例中,在终端的生成访问凭证的逻辑为:
Header(访问凭证的抬头或标头):固定是1;
Payload(访问凭证的有效载荷):Base64(登录全局标识、应用信息、本地用户标识、业务资源站点信息、凭证有效时间及本地时间差值);
Secret(访问凭证的密文):SHA256(应用信息、登录全局标识、本地用户标识、用户信息、终端标识、业务资源站点信息、凭证有效时间和本地时间差值)。
具体的,该访问凭证包括至少三部分凭证内容,如凭证内容包括A、B、C三部分凭证内容,访问凭证(Ticket)=A|B|C。其中,A表示访问凭证(算法)生成算法的版本信息,如版本号v1、v2等;B部分是一个Base64值,该Base64是用于传输8Bit字节码的编码方式,是基于64个可打印字符来表示二进制数据的方法,在本实施例中,在B部分对应第一凭证内容,具体的,通过将应用信息、登录全局标识、本地用户标识、业务资源站点信息、凭证有效时间及本地时间差值进行编码,得到第一凭证内容;C部分对应的是第二凭证内容,该部分为哈希值,具体的,以应用信息、登录全局标识、本地用户标识、用户信息、终端标识、业务资源站点信息、凭证有效时间和本地时间差值进行待加密明文,通过加密秘钥对待加密明文进行加密,得到加密密文,然后对该密文直行SHA256(哈希值算法),生成哈希值,得到第二凭证内容。通过以上的访问凭证的算法版本信息、第一凭证内容和第二凭证内容生成访问凭证。
进一步,“获取与服务器的之间的本地时间差值”具体包括以下步骤:
间隔单位时间,发送设备心跳请求至服务器;
接收来自服务器的心跳响应请求,根据心跳响应请求确定服务器的本地时间;
根据终端的本地时间与服务器的本地时间计算终端与服务器之间的本地时间差值。
具体的,终端周期性向服务器发送设备心跳,该发生的频率可以在web管理端配置,例如每1分钟发送一次设备心跳,服务器在收到心跳请求后,立即响应,并返回消息请求至终端。终端在接收到服务器的响应请求后,计算出移动终端本地时间与服务器本地时间的时间差值,并在终端加密存储。
进一步的,该加密秘钥的生成方式为:从服务器预先下发的配置信息中获取加密盐值,根据加密验证和储存的登录票据生成加密密钥。该加密盐值(salt值)属于随机值,是用户注册时,服务器通过用户密码进行组合而生成的随机数值;该登录票据为服务器在用户登录后返回的票据。通过登录票据和加密盐值进行组成加密密钥,以提高加密密钥的可靠性,并基于该加密密钥,对待加密明文进行加密,并计算哈希值,得到访问凭证的第二凭证内容。通过以上方式计算各参数的哈希值,以得到各参数的唯一凭证,以确保后续在终端生成的访问凭证的唯一性,有效杜绝其他人员通过伪造的访问凭证,确保生成访问凭证的安全性,从而提高业务资源被访问时的安全性。
步骤240,将访问凭证对应的验证请求发送至服务器进行验证。
为了使得终端得到访问权限,在终端生成访问凭证后,需要将该访问凭证发送至服务器,可以包括访问凭证、访问凭证的最大使用次数以及访问凭证的有效时间,使得服务器对访问凭证进行验证,并在验证通过时建立业务资源数据通道。具体的,终端向服务器发起Https请求,在鉴权字段或鉴权内容(Authorization)的首部加上访问凭证或访问票据。
该服务器接收到访问凭证的验证请求后,解析鉴权字段首部中的访问凭证或凭证票据,并对票据的进行校验,该校验过程如下:
第一步:服务器的校验计算节点收到终端发过来的访问凭证的验证请求后,解析校验请求参数。
第二步:从请求参数中读取出当前终端的终端标识(mid)。
第三步:从请求参数中获取待验证的访问凭证,从服务器的缓存中获取该访问凭证对应的登录票据。如果从缓存中未找到,则根据终端标识(mid)从服务器的总控节点中获取对应的登录票据。需要说明的是,在用户执行登录操作时,如果调用的是某个计算节点的登录服务,则由该计算节点生成登录票据,并将登录票据存储到本节点,以及将登录票据同步到总控节点中,以实现存储终端标识与登录票据之间的对应关系。因此,服务器的总控节点中存储了计算节点的登录票据信息。
第四步:从待验证的访问凭证中分离出A、B和C这三部分数据,从A中取出访问凭证生成算法的版本信息,且检查服务器中是否存在该版本信息对应的处理逻辑,如果没有,则忽略处理,如果有,则进入第五步。
第五步:针对第四步分离的B部分数据执行Base64解码得到登录全局标识、本地用户标识、预生成的凭证有效时间、发起访问请求的应用信息,访问的业务资源站点信息和本地时间差值。
第六步:从服务器的数据库中读取出指定的加密盐值(salt),加上第三步获取的登录票据,组合成加密密钥。
第七步:根据以上步骤获取得到的终端标识、登录票据、登录全局标识、本地用户标识、预生成的凭证有效时间、应用信息、业务资源站点信息和本地时间差值,得到待加密的明文:登录票据+终端标识符+登录全局标识+本地用户标识+凭证有效时间+应用信息+业务资源站点信息+本地时间差值。
第八步:根据第六步生成的加密密钥,针对第七步生成的待加密的明文进行加密,生成加密密文。
第九步:针对第八步生成的加密密文执行SHA256,生成HASH值。
第十步:根据第九步生成HASH值与第四步从待验证的网络请求凭证中分离出来的C部分进行比较,如果两个值相等,则访问凭证验证通过,如果不相等,则访问凭证验证失败。
在验证通过时,建立服务器与业务资源站点之间的连接,同时,建立终端与服务器之间的加密隧道,使得终端与业务资源站点之间具有业务资源数据通道,通过该数据通道可以实现业务资源访问。
在验证失败时,返回验证失败指令至终端。一方面,终端在接收到验证失败指令时,重新获取用户登录请求,并将用户登录请求发到服务器,是重新验证,接收服务器返回的登录结果,并解析登录结果得到登录票据,根据终端标识、登录票据、登录全局标识、本地用户标识、预生成的凭证有效时间、应用信息、业务资源站点信息和本地时间差值等重新生成访问凭证;并将重新生成的访问凭证发送到服务器进行验证。另一方面,终端在接收到验证失败指令时,不建立终端的业务资源数据通道,业务资源访问中断;而对于其他直连访问类型的业务资源访问请求,则终端直接访问对应的业务资源。
与相关技术不同,本申请实施例通过在终端生成访问凭证后,将终端生成的访问凭证发往服务器进行验证,使得终端生成的访问凭证得到服务器的验证,降低了服务器了的运算压力,且确保访问凭证的安全性,防止其他人员伪造访问凭证的现象,提高业务资源访问的安全性。
步骤250,在接收到服务器通过业务资源数据通道返回的验证通过指令时,将业务资源访问请求转发至服务器进行业务资源访问;业务资源数据通道为服务器对访问凭证通过时所建立。
具体的,将终端上应用发起的业务资源访问请求转发至服务器,使得服务器响应业务资源访问请求,将该业务资源访问请求转发至业务资源站点,实现对业务资源的访问。
在本实施例中,通过以上方式实现对特定或较为重要的业务资源进行代理访问,以代理的方式实现应用对业务资源的访问,确保较为重要的业务资源被访问时的安全性。
由上可知,本申请实施例可以检测到应用生成业务资源访问请求时,基于访问控制策略,确定业务资源访问请求对应的访问类型;当访问类型为代理访问类型时,拦截向服务器发送的生成访问凭证的请求指令;在拦截生成访问凭证的请求指令后,生成业务资源访问请求对应的访问凭证;将访问凭证对应的验证请求发送至服务器进行验证;在接收到服务器通过业务资源数据通道返回的验证通过指令时,将业务资源访问请求转发至服务器进行业务资源访问;业务资源数据通道为服务器对访问凭证通过时所建立。进而通过访问控制策略确定业务资源访问请求为代理访问类型,通过终端生成业务资源访问请求对应的访问凭证,并由服务器对访问凭证进行验证,在验证通过时,通过服务器建立终端的业务资源数据通道,从而将业务资源访问请求转发至服务器,由服务器转发至业务资源站点,实现对业务资源的访问,确保了较为重要的业务资源被访问时的安全性;本方案避免由于网络不稳定而影响服务器下发访问凭证以及终端对业务资源的访问卡顿的现象,提高了终端对业务资源的访问效率。
根据上述实施例所描述的方法,以下将举例作进一步详细说明。
在本实施例中,提供了一种业务资源访问方法,该方法可以由终端或服务器来执行,也可以由终端和服务器共同执行,本实施例以该方法由终端和服务器分别执行为例来进行说明。其中,终端包括发起业务资源访问请求的目标应用、安全访问客户端,该安全访问客户端的组件包括安全监控组件和访问代理组件;服务器包括安全监控服务端、智能网关及业务服务端,该业务服务端为业务资源站点对应的服务平台。
如图6a所示,图6a为本申请实施例提供的业务资源访问方法的时序示意图,终端和服务器上的处理器执行业务资源访问方法对应的程序时,该业务资源访问方法的具体流程可以如下:
301、用户通过安全访问客户端的安全监控组件进行用户登录时,安全监控组件将用户登录请求发送至安全监控服务端。
首先iOA移动终端向安全监控服务端发起登录请求,终端用户在iOA移动终端输入账号密码,或者采用扫码登陆的方式登录。
302、安全监控服务端响应接收的用户登录请求,验证用户登录请求对应的用户登录信息,并在验证通过时发出登录结果至安全监控组件。
安全监控服务端收到安全监控组件发送过来的登录请求后,解析请求数据,验证登录用户的合法性,如果通过认证,则安全监控服务端正常响应登录结果,返回登录结果至安全监控组件。
303、安全监控组件发送用户对应的访问策略获取请求至安全监控服务端,以对服务控制策略的拉取。
安全监控组件自动触发对与当前登录用户对应的访问控制策略的拉取。
304、安全监控服务端根据安全监控组件发送的访问策略获取请求,返回访问控制策略至安全监控组件。
需要说明的是,管理人员还可根据白名单机制和/或黑名单机制来设定一个或多个应用,只有满足白名单机制和/或黑名单机制条件的应用才可访问企业内特定业务资源。如,针对Android系统,可以采集发起业务资源访问请求的应用的安装包名和签名信息是否符合设定的应用白名单,如果符合则认为该应用可安全通过访问控制策略访问企业内部站点,若不符合,则不允许该应用访问企业业务资源站点;而针对IOS系统,可以结合移动设备管理(MDM)来实现对应用的判定,当发起访问请求的应用为MDM策略中的应用,则可以访问企业内部站点,否则无法访问。此外,还可提前设定好禁止访问的应用列表,作为黑名单,只有为非黑名单的应用才允许访问企业内特定的业务资源站点需要说明的是,该白名单/黑名单可根据实际情况进行实时调整,可根据实际增加用户信息至白名单和/或黑名单,具有可靠性。
根据每个用户信息确定对应用户的对业务资源站点的访问权限,从而根据用户的访问权限设置确定用户通过目标应用能够访问的业务资源站点(业务服务端),根据用户、应用和业务站点之间的权限映射关系建立访问控制策略。此外,还可根据上述的白名单和/黑名单来实时调整每个用户的访问控制策略。
305、安全监控组件解析登录结果,得到登录票据,并对该登录票据进行加密存储。
306、安全监控组件储存访问控制策略,并根据访问控制策略启动访问代理组件,对访问代理组件进行配置。
iOA移动终端检测零信任策略的合法性,如果策略合法,下一步则启动访问代理组件,安全监控组件启动访问代理组件成功后,会调用访问代理客户度的软件开发工具(Software Development Kit,SDK)将访问控制策略设置进访问代理组件中,以实现对访问代理组件进行配置。
由于访问控制策略的粒度是用户级的,不同用户可以配置不同的零信任策略,可以结合组织架构来生成零信任策略,不同层级的零信任策略可以配置继承和派生的关系,例如A层级是B层级的父层级,则B层级自动继承A层级的零信任策略,并在此基础上可以扩充其他的策略项。零信任策略内容如下所示:
307、间隔单位时间,安全监控组件发送登录票据校验请求至安全监控服务端;使得安全监控服务端根据登录票据校验请求进行校验,并返回登录票据校验结果返回至安全监控组件;安全监控组件在检测到登录票据校验结果为验证通过时,向安全监控服务端重新获取访问控制策略;安全监控服务端返回访问控制策略;安全监控组件根据重新获取的访问控制策略配置访问代理组件,并接受访问代理组件返回的配置结果,并在配置结果为配置成功时,发送日志获取请求至访问代理组件,以获取访问代理组件的日志;将该访问代理组件的日志上报至安全监控服务端,以接收安全监控服务端返回的上报结果。步骤307主要是定期向安全监控服务端重新获取访问控制策略,以及上报配置后的访问代理组件的日志,使得后台管理人员可获悉各业务资源访问请求和访问代理组件的详情,以便对服务控制策略进行更新,提高业务资源站点的安全性。
安全监控组件在调用访问代理组件的SDK将访问控制策略设置进访问代理组件后,周期性从代理客户端中获取代理日志,代理日志包括如下内容:
发起业务资源访问请求的目标应用、发起业务资源访问请求的时间、当前终端的名称、目标应用源端口、访问代理组件的端口、终端IP地址、远程目标IP地址(智能网关IP地址、代理访问类型的IP地址或直连访问类型的IP地址)、远程目标端口(业务服务端的端口)、业务资源访问请求对应的网址(URL)、当前登录用户信息。
安全监控组件将获取到的代理日志周期性上报给安全监控服务端,使得管理员可以从管理端直接看到各移动端的网络访问详情。
308、访问代理组件劫持终端上的目标应用的流量,检测当前目标应用发起业务资源访问请求。
309、访问代理组件在检测到目标应用发起的业务资源访问请求是通过域名形式进行请求访问时,根据自身的本地域名系统(Domain Name System,DNS)解析出对应的业务资源站点的IP地址,该业务资源站点的IP地址为业务资源站点信息。
当终端的任意目标应用发起业务资源访问请求时,由访问代理组件(NGN Agent)劫持到访问流量,在检测到业务资源访问请求是通过域名访问形式时,根据上游DNS服务器或访问代理组件自身的本地DNS解析逻辑解析出对应的IP地址。
310、访问代理组件根据访问控制策略判断该业务资源访问请求对应的访问类型。
解析访问控制策略,得到访问应用与预设的业务资源站点列表中各业务资源站点之间的访问权限映射关系;根据访问权限映射关系确定业务资源访问请求对应的访问类型。
311、当访问代理组件判断该业务资源访问请求对应的访问类型为访问代理类型时,发送访问凭证生成请求至安全监控组件。
如果访问类型是代理访问类型,则访问代理组件拦截向服务器发送的生成访问凭证的请求指令,并在拦截发送的生成访问凭证的请求指令后,访问代理组件通过本地进程通信的方式向安全监控组件发起访问凭证获取申请。该本地进程通信的方式为一款软件内部的数据传输方式,即安全访问客户端内的安全监控组件与访问代理组件之间的通信方式。
如果访问类型是直连访问类型,则直接由访问代理组件访问业务资源访问请求对应的业务服务端,并将业务服务端的返回信息中转到终端上的目标应用,实现业务资源访问,无需生成访问凭证。
312、安全监控组件根据目标应用信息、登录全局标识、本地用户标识、用户信息、终端标识、业务资源站点信息、凭证有效时间和本地时间差值生成访问凭证,并将访问凭证返回访问代理组件。
其中,安全监控组件生成访问凭证的算法如下所示:
第一步:参见图6b,图6b为本申请实施例提供的业务资源访问方法中获取本地时间差的时序示意图。具体的,安全监控组件周期性向安全监控服务端发送设备心跳请求(频率可以在web管理端配置,例如每1分钟发送一次设备心跳),安全监控服务端收到心跳请求后,立即响应,并返回心跳响应请求。安全监控组件在接收到安全监控服务端的响应请求后,解析得到安全监控服务端的心跳内容,根据心跳内容计算出安全监控组件本地时间与安全监控服务端本地时间的时间差值。并在客户端加密存储。需要说明的是,在本申请实施例中,间隔单位时间,需要计算一次安全监控组件本地时间与安全监控服务端本地时间差。其中,可在用户通过安全访问客户端的安全监控组件进行用户登录之前,计算得到安全监控组件本地时间与安全监控服务端本地时间差,并在间隔单位时间后,继续计算本地时间差,此处不做限定。
第二步:安全监控组件接收到来自访问代理组件发送过来的票据请求后,从请求参数中获取:目标应用的应用信息(例如Android系统包括应用名,应用包名,在ios系统包括应用名等)、业务资源站点信息(包括访问请求的目的地址url和端口信息)。
第三步:安全监控组件从本地加密配置中获取当前登录的登录全局标识(uid)、本地用户标识(luid)、终端标识(mid)。
第四步:安全监控组件从安全监控服务端拉取的配置信息中获取管理员配置的凭证有效时间(单位时间是秒)。
第五步:安全监控组件根据凭证生成逻辑生成访问凭证,访问凭证的生成逻辑如下:
Header(访问凭证的抬头或标头):固定是1;
Payload(访问凭证的有效载荷):Base64(登录全局标识、应用信息、本地用户标识、业务资源站点信息、凭证有效时间及本地时间差值);
Secret(访问凭证的密文):SHA256(应用信息、登录全局标识、本地用户标识、用户信息、终端标识、业务资源站点信息、凭证有效时间和本地时间差值)。
具体的,该访问凭证包括至少三部分凭证内容,如凭证内容包括A、B、C三部分凭证内容,访问凭证(Ticket)=A|B|C。其中,A表示访问凭证(算法)生成算法的版本信息,如版本号v1、v2等。
B部分是一个Base64值,该Base64是用于传输8Bit字节码的编码方式,是基于64个可打印字符来表示二进制数据的方法,在本实施例中,在B部分对应第一凭证内容,具体的,通过将应用信息、登录全局标识、本地用户标识、业务资源站点信息、凭证有效时间及本地时间差值进行编码,得到第一凭证内容。
C部分对应的是第二凭证内容,该部分为哈希值,具体的,以应用信息、登录全局标识、本地用户标识、用户信息、终端标识、业务资源站点信息、凭证有效时间和本地时间差值进行待加密明文,通过加密秘钥对待加密明文进行加密,得到加密密文,然后对该密文直行SHA256(哈希值算法),生成哈希值,得到第二凭证内容。
进一步的,通过以上的访问凭证的算法版本信息、第一凭证内容和第二凭证内容生成访问凭证。当安全监控组件根据访问代理组件发过来的访问凭证获取申请,响应请求,成功生成访问凭证后,将访问凭证返给访问代理组件。
313、访问代理组件在接收到访问凭证后,将访问凭证的验证请求发送至智能网关,以尝试建立业务资源的数据通道。
访问代理组件向智能网关发起Https请求,其中在鉴权字段(Authorization)首部字段中带上安全监控组件传递过来的访问凭证,将鉴权字段发送至智能网关。
314、智能网关解析出鉴权字段的首部字段中的访问凭证,并发送访问凭证的验证请求到安全监控服务端。
智能网关向安全监控服务端发起访问凭证的验证请求,请求参数中包括访问代理移动端所在的终端的终端标识和访问凭证。
315、安全监控服务端接收到的访问凭证进行验证,并将验证结果返回智能网关。
具体的,该服务器接收到访问凭证的验证请求后,解析鉴权字段首部中的访问凭证或凭证票据,并对票据的进行校验,该校验过程如下:
第一步:服务器的校验计算节点收到终端发过来的访问凭证的验证请求后,解析校验请求参数。
第二步:从请求参数中读取出当前终端的终端标识(mid)。
第三步:从请求参数中获取待验证的访问凭证,从服务器的缓存中获取该访问凭证对应的登录票据。如果从缓存中未找到,则根据终端标识(mid)从服务器的总控节点中获取对应的登录票据。需要说明的是,在用户执行登录操作时,如果调用的是某个计算节点的登录服务,则由该计算节点生成登录票据,并将登录票据存储到本节点,以及将登录票据同步到总控节点中,以实现存储终端标识与登录票据之间的对应关系。因此,服务器的总控节点中存储了计算节点的登录票据信息。
第四步:从待验证的访问凭证中分离出A、B和C这三部分数据,从A中取出访问凭证生成算法的版本信息,且检查服务器中是否存在该版本信息对应的处理逻辑,如果没有,则忽略处理,如果有,则进入第五步。
第五步:针对第四步分离的B部分数据执行Base64解码得到登录全局标识、本地用户标识、预生成的凭证有效时间、发起访问请求的应用信息,访问的业务资源站点信息和本地时间差值。
第六步:从服务器的数据库中读取出指定的加密盐值(salt),加上第三步获取的登录票据,组合成加密密钥。
第七步:根据以上步骤获取得到的终端标识、登录票据、登录全局标识、本地用户标识、预生成的凭证有效时间、应用信息、业务资源站点信息和本地时间差值,得到待加密的明文:登录票据+终端标识符+登录全局标识+本地用户标识+凭证有效时间+应用信息+业务资源站点信息+本地时间差值。
第八步:根据第六步生成的加密密钥,针对第七步生成的待加密的明文进行加密,生成加密密文。
第九步:针对第八步生成的加密密文执行SHA256,生成HASH值。
第十步:根据第九步生成HASH值与第四步从待验证的网络请求凭证中分离出来的C部分进行比较,如果两个值相等,则访问凭证验证通过,如果不相等,则访问凭证验证失败。
进一步的,安全监控服务端返回验证结果至智能网关。
316、智能网关在识别到验证结果为验证通过时,发送数据连接请求至业务服务端。
317、业务服务端响应于智能网关发送的数据连接请求,建立智能网关与业务服务器之间的数据连接,并将数据连接结果返回智能网关。
318、智能网关在接收到业务服务端返回的数据连接结果时,通知访问代理组件已建立业务资源的数据通道。
该业务资源数据通道用于终端上的目标应用与业务服务端之间业务资源访问。
319、访问代理组件接收到通知后,将目标应用发起的业务资源访问请求转发至智能网关。
访问代理组件将终端上的目标应用发起的业务资源访问请求分成单个或多个数据包转发至智能网关,使得智能网关实际代理这些针对企业内部业务服务端中业务资源的访问操作。
320、智能网关将接收到的业务资源访问请求转发至业务服务端。
321、业务服务端响应于业务资源访问请求,将对业务资源的响应结果返回智能网关。
322、智能网关将业务资源的响应结果返回访问代理组件。
323、访问代理组件转发业务资源的响应结果至目标应用。
本申请实施例提供的业务资源访问方法,将目标应用与业务资源站点的访问权限映射关系进行聚类,对外提供调用SDK。在用户执行业务资源访问请求前,将访问控制策略同步至终端上安全访问客户端的访问代理组件侧,使得需要通过智能网关代理访问的业务资源站点的链接,访问代理组件才去向安全监控组件请求鉴权;而不需要代理的业务资源访问请求,则直接从访问代理组件直接访问具体的业务资源站点(业务服务端),降低无效的访问凭证申请量,减少网络通信流量。同时,通过引入终端颁发票据,服务端同步校验票据的机制,无需在服务端生成访问凭证,且无需通过网络下发至终端,克服了终端获取访问凭证时易受网络波动和服务稳定性干扰的弊端。通过实施本申请实施例,可以解决在服务器生成业务资源访问请求对应的访问凭证,在网络不稳定时,服务器无法及时的下发访问凭证,使得访问主体对业务资源的访问卡顿,影响业务资源的访问效率的问题;降低业务资源访问的时延,同时提高访问业务资源站点时的稳定性和效率。
本实施例提供的业务资源访问方法的具体实施可参见前面的实施例,在此不再赘述。
为便于更好地实施以上方法,本申请实施例还提供了一种业务资源访问装置,该业务资源访问装置可以具体可以集成在终端中。其中名词的含义与上述业务资源访问方法中相同,具体实现细节可以参考方法实施例中的说明。
例如,如图7所示,图7是本申请实施例提供的业务资源访问装置的结构示意图,该业务资源访问装置可以包括确定单元401、拦截单元402、生成单元403、验证单元404及转发单元405,如下:
确定单元401,用于在检测到生成业务资源访问请求时,基于访问控制策略,确定业务资源访问请求对应的访问类型;
拦截单元402,用于当访问类型为代理访问类型时,拦截向服务器发送的生成访问凭证的请求指令;
生成单元403,用于在拦截生成访问凭证的请求指令后,生成业务资源访问请求对应的访问凭证;
验证单元404,用于将访问凭证对应的验证请求发送至服务器进行验证;
转发单元405,用于在接收到服务器通过业务资源数据通道返回的验证通过指令时,将业务资源访问请求转发至服务器进行业务资源访问;业务资源数据通道为服务器对访问凭证通过时所建立。
在一些实施例中,还包括发送单元;
发送单元,用于当业务资源访问请求对应的访问类型为直连访问类型时,建立终端与业务资源站点之间数据连接,并将业务资源访问请求发送至业务资源站点。
在一些实施例中,确定单元401,包括:
解析子单元,用于解析访问控制策略,得到访问应用与预设的业务资源站点列表中各业务资源站点之间的访问权限映射关系;
确定子单元,用于根据访问权限映射关系确定业务资源访问请求对应的访问类型。
在一些实施例中,确定子单元还具体用于:确定业务资源访问请求关联的业务资源站点及应用;根据业务资源站点匹配预设的业务资源站点列表中的目标业务资源站点;在匹配到与业务资源站点对应的目标业务资源站点时,根据访问权限关系确定目标业务资源站点对应的访问应用集;在检测到访问应用集包含与应用匹配的目标访问应用时,确定业务资源访问请求对应的访问类型为代理访问类型。
在一些实施例中,还包括:
登录信息发送单元,用于在检测到用户登录请求时,将用户登录请求发送至服务器,使得服务器验证用户登录请求对应的用户登录信息,并在验证通过时发出登录结果至终端;
第一策略获取单元,用于在接收到来自服务器的登录结果时,发送用户对应的访问策略获取请求至服务器,使得服务器响应于访问策略获取请求,将用户的身份信息对应的访问控制策略发送至客户端;
策略接收单元,用于接收来自服务器发送的访问控制策略。
在一些实施例中,还包括:登录安全监测单元,具体用于:读取预设的终端设备安全规则;解析终端设备安全规则,得到终端设备安全阈值;获取当前终端的设备安全值;若当前终端的设备安全值大于或等于终端设备安全阈值,则建立用户登录界面的连接;若当前终端的设备安全值小于终端设备安全阈值,则切断用户登录界面的连接。
在一些实施例中,还包括设置单元,具体用于提取访问控制策略中的凭证生成指令;根据该凭证生成指令进行设置,并在配置完成时,检测当前应用是否生成业务资源访问请求。
在一些实施例中,还包括第二策略获取单元,具体用于在接收来自服务器的登录结果后,解析登录结果,得到登录票据,并将登录票据进行储存;间隔单位时间,将已储存的登录票据发送至服务器,使得服务器对登录票据进行校验,并返回票据校验结果;在检测回票据校验结果为验证通过时,向服务器请求重新下发访问控制策略;接收重新下发的访问控制策略,并根据重新下发的访问控制策略配置客户端,使得配置后的客户端检测终端上的目标应用是否生成业务资源访问请求。
在一些实施例中,拦截单元包括:
获取子单元,用于当业务资源访问请求对应的访问类型为代理访问类型时,获取终端的硬件设备参数,该硬件设备参数可包含运行内存可用率和/或处理器可用率;
对比子单元,用于将硬件设备参数与预设的硬件设备参数阈值对比;
拦截子单元,用于在硬件设备参数大于预设的硬件设备参数阈值时,拦截向服务器生成访问凭证的请求指令。
在一些实施例中,拦截单元还可包括:
发送子单元,用于当业务资源访问请求对应的访问类型为代理访问类型时,发送测试指令至服务器,使得服务器响应测试指令,并返回测试结果至终端;
计算子单元,用于在接收来自服务器的测试结果时,根据发出测试指令的时间及接收测试结果的时间计算测试时间;
拦截子单元,用于在测试时间大于预设的响应时间阈值时,拦截向服务器生成访问凭证的请求指令。
在一些实施例中,拦截单元,可具体用于:当业务资源访问请求对应的访问类型为代理访问类型时,发送测试指令至服务器,使得服务器响应测试指令,并返回测试结果至终端;在预设的响应时间阈值内未收到来自服务器的测试结果,则拦截向服务器生成访问凭证的请求指令。
在一些实施例中,生成单元403包括:
获取子单元,用于获取与服务器的之间的本地时间差值以及获取业务资源访问请求关联的应用信息、登录全局标识、本地用户标识、用户信息、终端标识、业务资源站点信息和凭证有效时间;
编码子单元,用于将应用信息、登录全局标识、本地用户标识、业务资源站点信息、凭证有效时间及本地时间差值进行编码,得到第一凭证内容;
计算子单元,用于将应用信息、登录全局标识、本地用户标识、用户信息、终端标识、业务资源站点信息、凭证有效时间和本地时间差值进行加密,并计算哈希值,得到第二凭证内容;
生成子单元,用于获取访问凭证的算法版本信息,并根据算法版本信息、第一凭证内容及第二凭证内容生成访问凭证。
由上可知,本申请实施例提供业务资源访问装置,可以通过确定单元401在检测到应用生成业务资源访问请求时,基于访问控制策略,确定业务资源访问请求对应的访问类型;拦截单元402用于当访问类型为代理访问类型时,拦截向服务器发送的生成访问凭证的请求指令;通过生成单元403在拦截生成访问凭证的请求指令后,生成业务资源访问请求对应的访问凭证;通过验证单元404将访问凭证对应的验证请求发送至服务器进行验证;转发单元405用于在接收到服务器通过业务资源数据通道返回的验证通过指令时,将业务资源访问请求转发至服务器进行业务资源访问;业务资源数据通道为服务器对访问凭证通过时所建立。进而通过访问控制策略确定业务资源访问请求为代理访问类型,通过终端生成业务资源访问请求对应的访问凭证,并由服务器对访问凭证进行验证,在验证通过时,通过服务器建立终端的业务资源数据通道,从而将业务资源访问请求转发至服务器,由服务器转发至业务资源站点,实现对业务资源的访问,确保了较为重要的业务资源被访问时的安全性;本方案避免由于网络不稳定而影响服务器下发访问凭证以及终端对业务资源的访问卡顿的现象,提高了终端对业务资源的访问效率。
以上各个单元的具体实施可参见前面的实施例,在此不再赘述。
本申请实施例提供了一种业务资源访问系统,该业务资源访问方法由终端和服务器分别执行或共同执行。
本申请实施例提供的业务资源访问系统,该系统包括:终端与服务器。
其中,前述实施例提供的该业务资源访问装置可以集成在终端中,该终端可用于:检测到应用生成业务资源访问请求时,基于访问控制策略,确定业务资源访问请求对应的访问类型;当访问类型为代理访问类型时,拦截向服务器发送的生成访问凭证的请求指令;在拦截生成访问凭证的请求指令后,生成业务资源访问请求对应的访问凭证;将访问凭证对应的验证请求发送至服务器进行验证;在接收到服务器通过业务资源数据通道返回的验证通过指令时,将业务资源访问请求转发至服务器进行业务资源访问;业务资源数据通道为服务器对访问凭证通过时所建立。
该服务器,用于接收终端发送的访问凭证对应的验证请求;响应于验证请求,对访问凭证进行验证;在验证通过时,建立与终端的业务资源数据通道,并将验证通过指令返回终端;接收来自终端发送的业务资源访问请求,并响应于业务资源访问请求。
由于该业务资源访问系统可以包括本申请实施例所提供的任一种业务资源访问装置,因此,可以实现本申请实施例所提供的任一种业务资源访问装置所能实现的有益效果,详见前面的实施例,在此不再赘述。
本申请实施例提供一种计算机设备,具体参考图8,其示出了本申请实施例所涉及的计算机设备的结构示意图,该计算机设备的结构具体如下:
该计算机设备可以包括一个或者一个以上处理核心的处理器501、一个或一个以上计算机可读存储介质的存储器502、电源503和输入单元504等部件。本领域技术人员可以理解,图8中示出的计算机设备结构并不构成对计算机设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器501是该计算机设备的控制中心,利用各种接口和线路连接整个计算机设备的各个部分,通过运行或执行存储在存储器502内的软件程序和/或单元,以及调用存储在存储器502内的数据,执行计算机设备的各种功能和处理数据,从而对计算机设备进行整体监控。可选的,处理器501可包括一个或多个处理核心;优选的,处理器501可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器501中。
存储器502可用于存储软件程序以及单元,处理器501通过运行存储在存储器502的软件程序以及单元,从而执行各种功能应用以及数据处理。存储器502可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、影像播放功能等)等;存储数据区可存储根据计算机设备的使用所创建的数据等。此外,存储器502可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器502还可以包括存储器控制器,以提供处理器501对存储器502的访问。
计算机设备还包括给各个部件供电的电源503,优选的,电源503可以通过电源管理系统与处理器501逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源503还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
该计算机设备还可包括输入单元504,该输入单元504可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
尽管未示出,计算机设备还可以包括显示单元等,在此不再赘述。具体在本实施例中,计算机设备中的处理器501会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器502中,并由处理器501来运行存储在存储器502中的应用程序,从而实现各种功能,如下:
当计算机设备为终端时,处理器501可以执行:在检测到应用生成业务资源访问请求时,基于访问控制策略,确定业务资源访问请求对应的访问类型;当访问类型为代理访问类型时,拦截向服务器发送的生成访问凭证的请求指令;在拦截生成访问凭证的请求指令后,生成业务资源访问请求对应的访问凭证;将访问凭证对应的验证请求发送至服务器进行验证;在接收到服务器通过业务资源数据通道返回的验证通过指令时,将业务资源访问请求转发至服务器进行业务资源访问;业务资源数据通道为服务器对访问凭证通过时所建立。
当计算机设备为服务器时,处理器501可以执行:接收终端发送的访问凭证对应的验证请求;响应于验证请求,对访问凭证进行验证;在验证通过时,建立与终端的业务资源数据通道,并将验证通过指令返回终端;接收来自终端发送的业务资源访问请求,并响应于业务资源访问请求。
以上各个操作具体可参见前面的实施例,在此不作赘述。
本申请还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述实施例中各种可选实现方式中提供的业务资源访问方法。
本申请实施例提供一种计算机可读存储介质,其中存储有计算机程序,该计算机程序能够被处理器进行加载,以执行本申请实施例所提供的任一种业务资源访问方法中的步骤。例如,该计算机程序可以执行如下步骤:
在检测到应用生成业务资源访问请求时,基于访问控制策略,确定业务资源访问请求对应的访问类型;当访问类型为代理访问类型时,拦截向服务器发送的生成访问凭证的请求指令;在拦截生成访问凭证的请求指令后,生成业务资源访问请求对应的访问凭证;将访问凭证对应的验证请求发送至服务器进行验证;在接收到服务器通过业务资源数据通道返回的验证通过指令时,将业务资源访问请求转发至服务器进行业务资源访问;业务资源数据通道为服务器对访问凭证通过时所建立。
或者,接收终端发送的访问凭证对应的验证请求;响应于验证请求,对访问凭证进行验证;在验证通过时,建立与终端的业务资源数据通道,并将验证通过指令返回终端;接收来自终端发送的业务资源访问请求,并响应于业务资源访问请求。
其中,该计算机可读存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该计算机可读存储介质中所存储的指令,可以执行本申请实施例所提供的任一种业务资源访问方法中的步骤,因此,可以实现本申请实施例所提供的任一种业务资源访问方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上对本申请实施例所提供的一种业务资源访问方法、装置、设备、可读存储介质及系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。
Claims (13)
1.一种业务资源访问方法,其特征在于,包括:
在检测到应用生成业务资源访问请求时,基于访问控制策略,确定所述业务资源访问请求对应的访问类型;
当所述访问类型为代理访问类型时,拦截向服务器发送的生成访问凭证的请求指令;
在拦截所述生成访问凭证的请求指令后,生成所述业务资源访问请求对应的访问凭证;
将所述访问凭证对应的验证请求发送至所述服务器进行验证;
在接收到所述服务器通过业务资源数据通道返回的验证通过指令时,将所述业务资源访问请求转发至所述服务器进行业务资源访问;所述业务资源数据通道为所述服务器对所述访问凭证通过时所建立。
2.根据权利要求1所述的方法,其特征在于,所述生成所述业务资源访问请求对应的访问凭证,包括:
获取与所述服务器的之间的本地时间差值以及获取所述业务资源访问请求关联的应用信息、登录全局标识、本地用户标识、用户信息、终端标识、业务资源站点信息和凭证有效时间;
将所述应用信息、登录全局标识、本地用户标识、业务资源站点信息、凭证有效时间及本地时间差值进行编码,得到第一凭证内容;
将所述应用信息、登录全局标识、本地用户标识、用户信息、终端标识、业务资源站点信息、凭证有效时间和本地时间差值进行加密,并计算哈希值,得到第二凭证内容;
获取所述访问凭证的算法版本信息,并根据所述算法版本信息、第一凭证内容及第二凭证内容生成所述访问凭证。
3.根据权利要求2所述的方法,其特征在于,所述获取与所述服务器的之间的本地时间差值,包括:
间隔单位时间,发送设备心跳请求至所述服务器;
接收来自所述服务器的心跳响应请求,根据所述心跳响应请求确定所述服务器的本地时间;
根据所述终端的本地时间与所述服务器的本地时间计算所述终端与所述服务器之间的本地时间差值。
4.根据权利要求1所述的方法,其特征在于,还包括:
在检测到用户登录请求时,将用户登录请求发送至所述服务器,使得所述服务器验证所述用户登录请求对应的用户登录信息,并在验证通过时发出登录结果至所述终端;
在接收到来自所述服务器的登录结果时,发送所述用户对应的访问策略获取请求至所述服务器,使得所述服务器响应于所述访问策略获取请求,将所述用户的身份信息对应的访问控制策略发送至所述客户端;
接收来自所述服务器发送的访问控制策略。
5.根据权利要求1所述的方法,其特征在于,还包括:
根据所述访问控制策略进行配置;
在配置完成时,检测当前应用是否生成业务资源访问请求。
6.根据权利要求1所述的方法,其特征在于,所述基于访问控制策略,确定所述业务资源访问请求对应的访问类型,包括:
解析所述访问控制策略,得到访问应用与预设的业务资源站点列表中各业务资源站点之间的访问权限映射关系;
根据所述访问权限映射关系确定所述业务资源访问请求对应的访问类型。
7.根据权利要求6所述的方法,其特征在于,所述根据所述访问权限映射关系确定所述业务资源访问请求对应的访问类型,包括:
确定所述业务资源访问请求关联的业务资源站点及应用;
根据所述业务资源站点匹配预设的业务资源站点列表中的目标业务资源站点;
在匹配到与所述业务资源站点对应的目标业务资源站点时,根据所述访问权限关系确定所述目标业务资源站点对应的访问应用集;
在检测到所述访问应用集包含与所述应用匹配的目标访问应用时,确定所述业务资源访问请求对应的访问类型为代理访问类型。
8.根据权利要求4所述的方法,其特征在于,还包括:
在接收来自所述服务器的登录结果后,解析所述登录结果,得到登录票据,并将所述登录票据进行储存;
间隔单位时间,将已储存的登录票据发送至所述服务器,使得所述服务器对所述登录票据进行校验,并返回票据校验结果;
在检测所述回票据校验结果为验证通过时,向所述服务器请求重新下发访问控制策略;
接收重新下发的访问控制策略,并根据重新下发的访问控制策略配置所述客户端,使得配置后的所述客户端检测所述终端上的目标应用是否生成业务资源访问请求。
9.根据权利要求1所述的方法,其特征在于,还包括:
当所述业务资源访问请求对应的访问类型为直连访问类型时,建立与所述业务资源站点之间数据连接,并将所述业务资源访问请求发送至所述业务资源站点。
10.一种业务资源访问装置,其特征在于,包括:
确定单元,用于在检测到生成业务资源访问请求时,基于访问控制策略,确定所述业务资源访问请求对应的访问类型;
拦截单元,用于当所述访问类型为代理访问类型时,拦截向服务器发送的生成访问凭证的请求指令;
生成单元,用于在拦截所述生成访问凭证的请求指令后,生成所述业务资源访问请求对应的访问凭证;
验证单元,用于将所述访问凭证对应的验证请求发送至所述服务器进行验证;
转发单元,用于在接收到所述服务器通过业务资源数据通道返回的验证通过指令时,将所述业务资源访问请求转发至所述服务器进行业务资源访问;所述业务资源数据通道为所述服务器对所述访问凭证通过时所建立。
11.一种计算机设备,包括存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现权利要求1-9任一项所述业务资源访问方法中的步骤。
12.一种计算机可读存储介质,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1-9任一项所述业务资源访问方法的步骤。
13.一种业务资源访问系统,其特征在于,包括:终端和服务器,所述终端与所述服务器之间通信连接;
所述终端包括如权利要求10所述的业务资源访问装置;
所述服务器,用于接收所述终端发送的访问凭证对应的验证请求;响应于所述验证请求,对所述访问凭证进行验证;在验证通过时,建立与所述终端的业务资源数据通道,并将验证通过指令返回所述终端;接收来自所述终端发送的业务资源访问请求,并响应于所述业务资源访问请求。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110326651.XA CN115130116A (zh) | 2021-03-26 | 2021-03-26 | 业务资源访问方法、装置、设备、可读存储介质及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110326651.XA CN115130116A (zh) | 2021-03-26 | 2021-03-26 | 业务资源访问方法、装置、设备、可读存储介质及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115130116A true CN115130116A (zh) | 2022-09-30 |
Family
ID=83374719
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110326651.XA Pending CN115130116A (zh) | 2021-03-26 | 2021-03-26 | 业务资源访问方法、装置、设备、可读存储介质及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115130116A (zh) |
-
2021
- 2021-03-26 CN CN202110326651.XA patent/CN115130116A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10298610B2 (en) | Efficient and secure user credential store for credentials enforcement using a firewall | |
US11949656B2 (en) | Network traffic inspection | |
US10425387B2 (en) | Credentials enforcement using a firewall | |
US20220294830A1 (en) | Distributed cloud-based security systems and methods | |
CN112073400B (zh) | 一种访问控制方法、系统、装置及计算设备 | |
US10574698B1 (en) | Configuration and deployment of decoy content over a network | |
CN112422532B (zh) | 业务通信方法、系统、装置及电子设备 | |
US11570203B2 (en) | Edge network-based account protection service | |
CN114679293A (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
US8656462B2 (en) | HTTP authentication and authorization management | |
Yassin et al. | SQLIIDaaS: A SQL injection intrusion detection framework as a service for SaaS providers | |
Chandra et al. | Authentication and authorization mechanism for cloud security | |
US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
CN114745145B (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
CN109040225A (zh) | 一种动态端口桌面接入管理方法和系统 | |
CN116996238A (zh) | 一种网络异常访问的处理方法以及相关装置 | |
CN115664686A (zh) | 一种登录方法、装置、计算机设备和存储介质 | |
CN115623013A (zh) | 一种策略信息同步方法、系统及相关产品 | |
CN115913583A (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
CN115130116A (zh) | 业务资源访问方法、装置、设备、可读存储介质及系统 | |
US20150215130A1 (en) | Providing secure access to computing resources in a cloud computing environment | |
US20200244646A1 (en) | Remote access computer security | |
CN112511565B (zh) | 请求响应方法、装置、计算机可读存储介质及电子设备 | |
CN115834252B (zh) | 一种服务访问方法及系统 | |
CN111031075B (zh) | 网络服务安全访问方法、终端、系统和可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |