CN115529156A - 接入认证方法及装置、存储介质、计算机设备 - Google Patents
接入认证方法及装置、存储介质、计算机设备 Download PDFInfo
- Publication number
- CN115529156A CN115529156A CN202210943428.4A CN202210943428A CN115529156A CN 115529156 A CN115529156 A CN 115529156A CN 202210943428 A CN202210943428 A CN 202210943428A CN 115529156 A CN115529156 A CN 115529156A
- Authority
- CN
- China
- Prior art keywords
- access
- policy
- application
- strategy
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种接入认证方法及装置、存储介质、计算机设备,该方法包括:终端设备接收对目标应用的接入请求后,将所述接入请求和所述终端设备的终端用户身份信息打包成请求数据包,并通过统一接入网关将所述请求数据包发送至统一接入系统;统一接入系统依据所述终端用户身份信息,对所述终端设备进行身份认证,以及对所述终端设备进行策略匹配,确定所述终端设备的应用策略;在身份认证通过后建立数据通道,并通过所述数据通道向所述应用策略对应的应用发送所述接入请求,以赋予所述终端设备对所述目标应用在所述应用策略范围内的访问权限。有助于提升应用的接入效率和访问安全性。
Description
技术领域
本申请涉及网络安全技术领域,尤其是涉及到一种接入认证方法及装置、存储介质、计算机设备。
背景技术
目前,通过终端设备访问企业应用时,通常是由企业应用服务器对终端设备进行身份验证,若终端设备命中白名单,则允许设备接入。这种接入方式在企业应用被恶意大量访问等情况下,常会造成网络拥堵,接入效率低、容易导致访问失败,并且这种接入方式下访问数据容易被劫持、侦听,安全性低。
发明内容
有鉴于此,本申请提供了一种接入认证方法及装置、存储介质、计算机设备,有助于提升应用的接入效率和访问安全性。
根据本申请的一个方面,提供了一种接入认证方法,所述方法包括:
终端设备接收对目标应用的接入请求后,将所述接入请求和所述终端设备的终端用户身份信息打包成请求数据包,并通过统一接入网关将所述请求数据包发送至统一接入系统;
统一接入系统依据所述终端用户身份信息,对所述终端设备进行身份认证,以及对所述终端设备进行策略匹配,确定所述终端设备的应用策略;
在身份认证通过后建立数据通道,并通过所述数据通道向所述应用策略对应的应用发送所述接入请求,以赋予所述终端设备对所述目标应用在所述应用策略范围内的访问权限。
可选地,所述通过所述数据通道向所述应用策略对应的应用发送所述接入请求之后,所述方法还包括:
获取所述终端设备的实时流量数据,并对所述实时流量数据进行访问行为和位置行为分析;
基于分析结果,动态变更所述应用策略,并按照变更后的应用策略调整所述终端设备对所述目标应用的接入权限。
可选地,所述基于分析结果,动态变更所述应用策略,具体包括:
若所述分析结果指示所述终端设备存在威胁行为,则断开所述数据通道;
否则,依据所述分析结果,动态变更所述应用策略。
可选地,所述统一接入系统包括信息存储模块;
所述统一接入系统依据所述终端用户身份信息,对所述终端设备进行身份认证,以及对所述终端设备进行策略匹配,确定所述终端设备的应用策略,具体包括:
读取所述信息存储模块中存储的授权身份信息以及配置策略;
依据所述授权身份信息对所述终端用户身份信息进行匹配,以及依据所述配置策略对所述终端设备进行策略匹配,确定所述终端设备的应用策略。
可选地,所述统一接入系统包括定时器;所述信息存储模块中的授权身份信息以及配置策略来源于策略管控中心;所述方法还包括:
所述策略管控中心将最新授权身份信息以及最新配置策略下发至共享内存中,通过所述共享内存存储所述最新授权身份信息和所述最新配置策略;
所述统一接入系统中的所述定时器计时结束时,获取所述共享内存中的所述最新授权身份信息和所述最新配置策略,并将所述最新授权身份信息写入所述授权身份信息存储模块中以及将所述最新配置策略写入所述配置策略存储模块中。
可选地,所述方法还包括:
所述策略管控中心接收目标应用管理者通过策略配置UI界面输入的管控策略配置信息,其中,所述策略配置UI界面由所述策略管控中心提供,所述管控策略配置信息包括授权身份信息以及配置策略;
所述策略管控中心设置所述管控策略配置信息的版本号,并通过策略同步线程,将所述管控策略配置信息及其对应的版本号下发至共享内存中进行存储;
所述统一接入系统中的所述定时器计时结束时,获取所述共享内存中的所述最新授权身份信息和所述最新配置策略,具体包括:
所述统一接入系统中的所述定时器计时结束时,获取所述共享内存中管控策略配置信息的最新版本号,并在所述最新版本号与所述信息存储模块内存储信息的版本号不一致时,获取所述共享内存中的所述最新授权身份信息和所述最新配置策略。
可选地,所述通过所述数据通道向所述应用策略对应的应用发送所述接入请求之后,所述方法还包括:
统一接入系统收集对所述目标应用的访问日志,并向所述策略管控中心上传所述访问日志;
所述策略管控中心依据所述访问日志,动态调整管控策略配置信息。
可选地,所述方法还包括:
所述终端设备退出对所述目标应用的访问后,销毁所述数据通道。
根据本申请的另一方面,提供了一种接入认证装置,所述装置包括:
请求发送模块,用于终端设备接收对目标应用的接入请求后,将所述接入请求和所述终端设备的终端用户身份信息打包成请求数据包,并通过统一接入网关将所述请求数据包发送至统一接入系统;
策略匹配模块,用于统一接入系统依据所述终端用户身份信息,对所述终端设备进行身份认证,以及对所述终端设备进行策略匹配,确定所述终端设备的应用策略;
接入模块,用于在身份认证通过后建立数据通道,并通过所述数据通道向所述应用策略对应的应用发送所述接入请求,以赋予所述终端设备对所述目标应用在所述应用策略范围内的访问权限。
可选地,所述策略匹配模块,还用于:
所述通过所述数据通道向所述应用策略对应的应用发送所述接入请求之后,获取所述终端设备的实时流量数据,并对所述实时流量数据进行访问行为和位置行为分析;
基于分析结果,动态变更所述应用策略,并按照变更后的应用策略调整所述终端设备对所述目标应用的接入权限。
可选地,所述策略匹配模块,还用于:
若所述分析结果指示所述终端设备存在威胁行为,则断开所述数据通道;
否则,依据所述分析结果,动态变更所述应用策略。
可选地,所述统一接入系统包括信息存储模块;所述策略匹配模块,还用于:
读取所述信息存储模块中存储的授权身份信息以及配置策略;
依据所述授权身份信息对所述终端用户身份信息进行匹配,以及依据所述配置策略对所述终端设备进行策略匹配,确定所述终端设备的应用策略。
可选地,所述统一接入系统包括定时器;所述信息存储模块中的授权身份信息以及配置策略来源于策略管控中心;所述装置还包括:策略存储模块,用于:
所述策略管控中心将最新授权身份信息以及最新配置策略下发至共享内存中,通过所述共享内存存储所述最新授权身份信息和所述最新配置策略;
所述统一接入系统中的所述定时器计时结束时,获取所述共享内存中的所述最新授权身份信息和所述最新配置策略,并将所述最新授权身份信息写入所述授权身份信息存储模块中以及将所述最新配置策略写入所述配置策略存储模块中。
可选地,所述装置还包括:策略配置模块,用于:
所述策略管控中心接收目标应用管理者通过策略配置UI界面输入的管控策略配置信息,其中,所述策略配置UI界面由所述策略管控中心提供,所述管控策略配置信息包括授权身份信息以及配置策略;
所述策略管控中心设置所述管控策略配置信息的版本号,并通过策略同步线程,将所述管控策略配置信息及其对应的版本号下发至共享内存中进行存储;
所述统一接入系统中的所述定时器计时结束时,获取所述共享内存中的所述最新授权身份信息和所述最新配置策略,具体包括:
所述统一接入系统中的所述定时器计时结束时,获取所述共享内存中管控策略配置信息的最新版本号,并在所述最新版本号与所述信息存储模块内存储信息的版本号不一致时,获取所述共享内存中的所述最新授权身份信息和所述最新配置策略。
可选地,所述策略配置模块,还用于:
统一接入系统收集对所述目标应用的访问日志,并向所述策略管控中心上传所述访问日志;
所述策略管控中心依据所述访问日志,动态调整管控策略配置信息。
可选地,所述接入模块,还用于:
所述终端设备退出对所述目标应用的访问后,销毁所述数据通道。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述接入认证方法。
依据本申请再一个方面,提供了一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述接入认证方法。
借由上述技术方案,本申请提供的一种接入认证方法及装置、存储介质、计算机设备,为目标应用提供了一种统一接入方案,终端设备请求接入目标应用时,通过统一接入网关将接入请求和终端用户身份信息打包发送至统一接入系统中,通过统一接入系统对终端设备进行身份验证和策略匹配,并在身份验证通过后建立数据通道,通过数据通道向目标应用转发接入请求,以实现终端设备对目标应用的访问。本申请实施例有助于实现对目标应用的统一接入管理,终端设备每次访问应用时先身份验证再建立专属的数据通道实现终端设备向目标应用的访问,有助于避免访问数据被劫持、侦听,避免网络拥堵,并且同一设备在不同场景下差异化接入,提升了目标应用的安全性。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种接入认证方法的流程示意图;
图2示出了本申请实施例提供的另一种接入认证方法的流程示意图;
图3示出了本申请实施例提供的一种接入认证装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种接入认证方法,如图1所示,该方法包括:
步骤101,终端设备接收对目标应用的接入请求后,将所述接入请求和所述终端设备的终端用户身份信息打包成请求数据包,并通过统一接入网关将所述请求数据包发送至统一接入系统。
本申请实施例中,目标应用可以为企业应用,各终端设备通过本申请提供统一接入系统接入目标应用,为四层、七层网络结构接入提供统一接入流程,如图2所示,终端设备可以通过物联网、5G、web等形式向目标应用请求访问。终端设备请求访问目标应用时,对外建立短时TCP连接,将带有终端设备的终端用户身份信息(例如用户属性、设备指纹)和该接入请求,发送至目标应用的统一接入网关,通过统一接入系统对各类型终端设备进行统一接入。
步骤102,统一接入系统依据所述终端用户身份信息,对所述终端设备进行身份认证,以及对所述终端设备进行策略匹配,确定所述终端设备的应用策略。
在该实施例中,统一接入系统获得请求数据包后,首先对请求数据包中的终端用户身份信息进行身份验证,以识别终端用户是否具有使用目标应用的权限,同时对终端设备进行策略匹配,确定终端用户对目标应用的应用策略,例如应用策略可以包括允许终端用户访问的目标应用功能、允许终端用户访问的目标应用数据等。
本申请实施例中,可选地,所述统一接入系统包括信息存储模块;步骤102包括:读取所述信息存储模块中存储的授权身份信息以及配置策略;依据所述授权身份信息对所述终端用户身份信息进行匹配,以及依据所述配置策略对所述终端设备进行策略匹配,确定所述终端设备的应用策略。
其中,统一接入系统中包括信息存储模块,用于存储授权身份信息以及配置策略,进行身份验证和策略匹配时,可以从信息存储模块中读取出授权身份信息,对终端用户身份信息进行匹配,若终端用户身份命中授权身份信息,则可以认为通过身份验证,否则拒绝终端用户访问。配置策略中预存了不同情况下终端用户对目标应用的访问权限,同时从信息存储模块中读取配置策略,对终端设备进行策略匹配。
本申请实施例中,支持配置策略的动态变更,可选地,所述统一接入系统包括定时器;所述信息存储模块中的授权身份信息以及配置策略来源于策略管控中心;所述方法还包括:所述策略管控中心将最新授权身份信息以及最新配置策略下发至共享内存中,通过所述共享内存存储所述最新授权身份信息和所述最新配置策略;所述统一接入系统中的所述定时器计时结束时,获取所述共享内存中的所述最新授权身份信息和所述最新配置策略,并将所述最新授权身份信息写入所述授权身份信息存储模块中以及将所述最新配置策略写入所述配置策略存储模块中。
在该实施例中,授权身份信息和配置策略由策略管控中心下发,策略管控中心将最新的授权身份信息和配置策略下发到共享内存中。统一接入系统还包括定时器,定时器用于周期性计时,例如每一分钟报时一次。当定时器一次计时结束时,统一接入系统可以在共享内存中读取一次授权身份信息和配置策略,如果共享内存中存储的信息与信息存储模块中存储的信息一致,那么保持信息存储模块中存储内容不变,如果不一致,那么将信息存储模块中的信息替换为共享内存中的最新信息,以使统一接入系统可以按最新的配置信息管理终端接入。
在本申请实施例中,可选地,所述策略管控中心接收目标应用管理者通过策略配置UI界面输入的管控策略配置信息,其中,所述策略配置UI界面由所述策略管控中心提供,所述管控策略配置信息包括授权身份信息以及配置策略;所述策略管控中心设置所述管控策略配置信息的版本号,并通过策略同步线程,将所述管控策略配置信息及其对应的版本号下发至共享内存中进行存储;所述统一接入系统中的所述定时器计时结束时,获取所述共享内存中管控策略配置信息的最新版本号,并在所述最新版本号与所述信息存储模块内存储信息的版本号不一致时,获取所述共享内存中的所述最新授权身份信息和所述最新配置策略。
在该实施例中,策略管控中心提供策略配置可视化UI界面,目标应用管理者可以通过策略配置UI界面进行授权用户身份、应用策略、用户策略等管控策略的配置,在策略配置UI界面中输入的管控策略配置信息,会通过预设的策略同步线程下发到共享内存中,同时为了方便统一接入系统更新管控策略配置信息,每次下发管控策略配置信息时,都会生成一个信息的版本号,将版本号连同管控策略配置信息一起下发到共享内存中,并且统一接入系统的信息存储模块中也存储信息的版本号。当统一接入系统的定时器定时结束时,先读取共享内存中管控策略配置信息的最新版本号,如果与本地管控策略配置信息的版本号一致,则保持不变,如果不一致,再从共享内存中获取最新的管控策略配置信息,替换本地信息存储模块内存储的信息,以使统一接入系统中的管控策略配置信息保持最新。
步骤103,在身份认证通过后建立数据通道,并通过所述数据通道向所述应用策略对应的应用发送所述接入请求,以赋予所述终端设备对所述目标应用在所述应用策略范围内的访问权限。
在该实施例中,如果对终端设备的身份验证通过,建立数据通道,从而通过该数据通道实现终端设备向目标应用接入,并且,将终端设备对目标应用的访问权限约束在应用策略范围内。保证认证数据一体化接入,通过统一接入系统实现终端设备对目标应用的访问,并且为不同终端设备建立不同时数据通道实现应用访问,避免数据通道被劫持、侦听,另外,终端设备的每次接入都按上述方式进行验证,同一设备在不同场景下差异化接入,进一步提升了目标应用的安全性。
步骤104,获取所述终端设备的实时流量数据,并对所述实时流量数据进行访问行为和位置行为分析;基于分析结果,动态变更所述应用策略,并按照变更后的应用策略调整所述终端设备对所述目标应用的接入权限。
在本申请实施例中,终端设备访问目标应用后,为了保证目标应用的使用安全,还可以实时的获取终端设备的流量,并对流量进行分析,识别终端设备的访问行为和位置行为,判断终端设备是否存在异常访问行为,例如大量下载数据,高频访问业务等,以及判断终端设备的访问位置是否异常,例如短时间内异地访问等。进一步,基于对访问行为和位置行为的分析结果,动态的变更终端设备对目标应用的访问权限,具体先通过分析结果动态变更应用策略,再按变更后的应用策略去调整终端设备对目标应用的接入权限,对终端设备的访问行为进行动态约束。实现对终端访问的持续跟踪、动态干预,提高目标应用的安全性。
本申请实施例中,可选地,步骤104中“基于分析结果,动态变更所述应用策略”包括:若所述分析结果指示所述终端设备存在威胁行为,则断开所述数据通道;否则,依据所述分析结果,动态变更所述应用策略。
其中,如果识别到终端设备存在威胁行为,为了保证目标应用的访问安全、数据安全,可以断开数据通道,以断开终端设备对目标应用的访问,另外,为了避免对终端设备行为的误识别导致用户无法正常进行应用访问,数据通道断开后,终端设备可以向统一接入网关发送申诉请求,如果统一接入系统判断允许恢复访问,则可以恢复数据通道,以使终端设备可以继续对目标应用进行访问。
本申请实施例中,可选地,该方法还包括:统一接入系统收集对所述目标应用的访问日志,并向所述策略管控中心上传所述访问日志;所述策略管控中心依据所述访问日志,动态调整管控策略配置信息。
在该实施例中,还可以对管控策略配置信息进行实时、自动的优化,在具体应用场景中,终端设备通过数据通道对目标应用进行访问的过程中,统一接入系统可以对终端设备向目标应用访问时产生的访问日志收集起来,收集不同终端设备对目标应用的访问日志,汇总并上报到策略管控中心,策略管控中心通过预设的策略调整模型学习访问日志后对管控策略配置信息进行自动调整,或者目标应用管理者根据访问日志人为对管控策略配置信息进行动态调整。
通过应用本实施例的技术方案,为目标应用提供了一种统一接入方案,终端设备请求接入目标应用时,通过统一接入网关将接入请求和终端用户身份信息打包发送至统一接入系统中,通过统一接入系统对终端设备进行身份验证和策略匹配,并在身份验证通过后建立数据通道,通过数据通道向目标应用转发接入请求,以实现终端设备对目标应用的访问。本申请实施例有助于实现对目标应用的统一接入管理,终端设备每次访问应用时先身份验证再建立专属的数据通道实现终端设备向目标应用的访问,有助于避免访问数据被劫持、侦听,避免网络拥堵,并且同一设备在不同场景下差异化接入,提升了目标应用的安全性。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种接入认证装置,如图3所示,该装置包括:
请求发送模块,用于终端设备接收对目标应用的接入请求后,将所述接入请求和所述终端设备的终端用户身份信息打包成请求数据包,并通过统一接入网关将所述请求数据包发送至统一接入系统;
策略匹配模块,用于统一接入系统依据所述终端用户身份信息,对所述终端设备进行身份认证,以及对所述终端设备进行策略匹配,确定所述终端设备的应用策略;
接入模块,用于在身份认证通过后建立数据通道,并通过所述数据通道向所述应用策略对应的应用发送所述接入请求,以赋予所述终端设备对所述目标应用在所述应用策略范围内的访问权限。
可选地,所述策略匹配模块,还用于:
所述通过所述数据通道向所述应用策略对应的应用发送所述接入请求之后,获取所述终端设备的实时流量数据,并对所述实时流量数据进行访问行为和位置行为分析;
基于分析结果,动态变更所述应用策略,并按照变更后的应用策略调整所述终端设备对所述目标应用的接入权限。
可选地,所述策略匹配模块,还用于:
若所述分析结果指示所述终端设备存在威胁行为,则断开所述数据通道;
否则,依据所述分析结果,动态变更所述应用策略。
可选地,所述统一接入系统包括信息存储模块;所述策略匹配模块,还用于:
读取所述信息存储模块中存储的授权身份信息以及配置策略;
依据所述授权身份信息对所述终端用户身份信息进行匹配,以及依据所述配置策略对所述终端设备进行策略匹配,确定所述终端设备的应用策略。
可选地,所述统一接入系统包括定时器;所述信息存储模块中的授权身份信息以及配置策略来源于策略管控中心;所述装置还包括:策略存储模块,用于:
所述策略管控中心将最新授权身份信息以及最新配置策略下发至共享内存中,通过所述共享内存存储所述最新授权身份信息和所述最新配置策略;
所述统一接入系统中的所述定时器计时结束时,获取所述共享内存中的所述最新授权身份信息和所述最新配置策略,并将所述最新授权身份信息写入所述授权身份信息存储模块中以及将所述最新配置策略写入所述配置策略存储模块中。
可选地,所述装置还包括:策略配置模块,用于:
所述策略管控中心接收目标应用管理者通过策略配置UI界面输入的管控策略配置信息,其中,所述策略配置UI界面由所述策略管控中心提供,所述管控策略配置信息包括授权身份信息以及配置策略;
所述策略管控中心设置所述管控策略配置信息的版本号,并通过策略同步线程,将所述管控策略配置信息及其对应的版本号下发至共享内存中进行存储;
所述统一接入系统中的所述定时器计时结束时,获取所述共享内存中的所述最新授权身份信息和所述最新配置策略,具体包括:
所述统一接入系统中的所述定时器计时结束时,获取所述共享内存中管控策略配置信息的最新版本号,并在所述最新版本号与所述信息存储模块内存储信息的版本号不一致时,获取所述共享内存中的所述最新授权身份信息和所述最新配置策略。
可选地,所述策略配置模块,还用于:
统一接入系统收集对所述目标应用的访问日志,并向所述策略管控中心上传所述访问日志;
所述策略管控中心依据所述访问日志,动态调整管控策略配置信息。
可选地,所述接入模块,还用于:
所述终端设备退出对所述目标应用的访问后,销毁所述数据通道。
需要说明的是,本申请实施例提供的一种接入认证装置所涉及各功能单元的其他相应描述,可以参考图1至图2方法中的对应描述,在此不再赘述。
基于上述如图1至图2所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述如图1至图2所示的接入认证方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1至图2所示的方法,以及图3所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种计算机设备,具体可以为个人计算机、服务器、网络设备等,该计算机设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1至图2所示的接入认证方法。
可选地,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种计算机设备结构并不构成对该计算机设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现为目标应用提供了一种统一接入方案,终端设备请求接入目标应用时,通过统一接入网关将接入请求和终端用户身份信息打包发送至统一接入系统中,通过统一接入系统对终端设备进行身份验证和策略匹配,并在身份验证通过后建立数据通道,通过数据通道向目标应用转发接入请求,以实现终端设备对目标应用的访问。本申请实施例有助于实现对目标应用的统一接入管理,终端设备每次访问应用时先身份验证再建立专属的数据通道实现终端设备向目标应用的访问,有助于避免访问数据被劫持、侦听,并且同一设备在不同场景下差异化接入,提升了目标应用的安全性。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (11)
1.一种接入认证方法,其特征在于,所述方法包括:
终端设备接收对目标应用的接入请求后,将所述接入请求和所述终端设备的终端用户身份信息打包成请求数据包,并通过统一接入网关将所述请求数据包发送至统一接入系统;
统一接入系统依据所述终端用户身份信息,对所述终端设备进行身份认证,以及对所述终端设备进行策略匹配,确定所述终端设备的应用策略;
在身份认证通过后建立数据通道,并通过所述数据通道向所述应用策略对应的应用发送所述接入请求,以赋予所述终端设备对所述目标应用在所述应用策略范围内的访问权限。
2.根据权利要求1所述的方法,其特征在于,所述通过所述数据通道向所述应用策略对应的应用发送所述接入请求之后,所述方法还包括:
获取所述终端设备的实时流量数据,并对所述实时流量数据进行访问行为和位置行为分析;
基于分析结果,动态变更所述应用策略,并按照变更后的应用策略调整所述终端设备对所述目标应用的接入权限。
3.根据权利要求2所述的方法,其特征在于,所述基于分析结果,动态变更所述应用策略,具体包括:
若所述分析结果指示所述终端设备存在威胁行为,则断开所述数据通道;
否则,依据所述分析结果,动态变更所述应用策略。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述统一接入系统包括信息存储模块;
所述统一接入系统依据所述终端用户身份信息,对所述终端设备进行身份认证,以及对所述终端设备进行策略匹配,确定所述终端设备的应用策略,具体包括:
读取所述信息存储模块中存储的授权身份信息以及配置策略;
依据所述授权身份信息对所述终端用户身份信息进行匹配,以及依据所述配置策略对所述终端设备进行策略匹配,确定所述终端设备的应用策略。
5.根据权利要求4所述的方法,其特征在于,所述统一接入系统包括定时器;所述信息存储模块中的授权身份信息以及配置策略来源于策略管控中心;所述方法还包括:
所述策略管控中心将最新授权身份信息以及最新配置策略下发至共享内存中,通过所述共享内存存储所述最新授权身份信息和所述最新配置策略;
所述统一接入系统中的所述定时器计时结束时,获取所述共享内存中的所述最新授权身份信息和所述最新配置策略,并将所述最新授权身份信息写入所述授权身份信息存储模块中以及将所述最新配置策略写入所述配置策略存储模块中。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述策略管控中心接收目标应用管理者通过策略配置UI界面输入的管控策略配置信息,其中,所述策略配置UI界面由所述策略管控中心提供,所述管控策略配置信息包括授权身份信息以及配置策略;
所述策略管控中心设置所述管控策略配置信息的版本号,并通过策略同步线程,将所述管控策略配置信息及其对应的版本号下发至共享内存中进行存储;
所述统一接入系统中的所述定时器计时结束时,获取所述共享内存中的所述最新授权身份信息和所述最新配置策略,具体包括:
所述统一接入系统中的所述定时器计时结束时,获取所述共享内存中管控策略配置信息的最新版本号,并在所述最新版本号与所述信息存储模块内存储信息的版本号不一致时,获取所述共享内存中的所述最新授权身份信息和所述最新配置策略。
7.根据权利要求6所述的方法,其特征在于,所述通过所述数据通道向所述应用策略对应的应用发送所述接入请求之后,所述方法还包括:
统一接入系统收集对所述目标应用的访问日志,并向所述策略管控中心上传所述访问日志;
所述策略管控中心依据所述访问日志,动态调整管控策略配置信息。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述终端设备退出对所述目标应用的访问后,销毁所述数据通道。
9.一种接入认证装置,其特征在于,所述装置包括:
请求发送模块,用于终端设备接收对目标应用的接入请求后,将所述接入请求和所述终端设备的终端用户身份信息打包成请求数据包,并通过统一接入网关将所述请求数据包发送至统一接入系统;
策略匹配模块,用于统一接入系统依据所述终端用户身份信息,对所述终端设备进行身份认证,以及对所述终端设备进行策略匹配,确定所述终端设备的应用策略;
接入模块,用于在身份认证通过后建立数据通道,并通过所述数据通道向所述应用策略对应的应用发送所述接入请求,以赋予所述终端设备对所述目标应用在所述应用策略范围内的访问权限。
10.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述接入认证的方法。
11.一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述接入认证的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210943428.4A CN115529156B (zh) | 2022-08-08 | 2022-08-08 | 接入认证方法及装置、存储介质、计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210943428.4A CN115529156B (zh) | 2022-08-08 | 2022-08-08 | 接入认证方法及装置、存储介质、计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115529156A true CN115529156A (zh) | 2022-12-27 |
| CN115529156B CN115529156B (zh) | 2023-08-01 |
Family
ID=84696139
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210943428.4A Active CN115529156B (zh) | 2022-08-08 | 2022-08-08 | 接入认证方法及装置、存储介质、计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115529156B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105656903A (zh) * | 2016-01-15 | 2016-06-08 | 国家计算机网络与信息安全管理中心 | 一种Hive平台的用户安全管理系统及应用 |
| CN109428870A (zh) * | 2017-08-31 | 2019-03-05 | 阿里巴巴集团控股有限公司 | 基于物联网的网络攻击处理方法、装置及系统 |
| CN111209582A (zh) * | 2020-01-03 | 2020-05-29 | 平安科技(深圳)有限公司 | 请求认证方法、装置、设备及存储介质 |
| CN113542214A (zh) * | 2021-05-31 | 2021-10-22 | 新华三信息安全技术有限公司 | 一种访问控制方法、装置、设备及机器可读存储介质 |
| CN113572738A (zh) * | 2021-06-29 | 2021-10-29 | 中孚安全技术有限公司 | 一种零信任网络架构及构建方法 |
| CN114254352A (zh) * | 2021-12-22 | 2022-03-29 | 恒安嘉新(北京)科技股份公司 | 一种数据安全传输系统、方法和装置 |
-
2022
- 2022-08-08 CN CN202210943428.4A patent/CN115529156B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105656903A (zh) * | 2016-01-15 | 2016-06-08 | 国家计算机网络与信息安全管理中心 | 一种Hive平台的用户安全管理系统及应用 |
| CN109428870A (zh) * | 2017-08-31 | 2019-03-05 | 阿里巴巴集团控股有限公司 | 基于物联网的网络攻击处理方法、装置及系统 |
| CN111209582A (zh) * | 2020-01-03 | 2020-05-29 | 平安科技(深圳)有限公司 | 请求认证方法、装置、设备及存储介质 |
| CN113542214A (zh) * | 2021-05-31 | 2021-10-22 | 新华三信息安全技术有限公司 | 一种访问控制方法、装置、设备及机器可读存储介质 |
| CN113572738A (zh) * | 2021-06-29 | 2021-10-29 | 中孚安全技术有限公司 | 一种零信任网络架构及构建方法 |
| CN114254352A (zh) * | 2021-12-22 | 2022-03-29 | 恒安嘉新(北京)科技股份公司 | 一种数据安全传输系统、方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115529156B (zh) | 2023-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11936619B2 (en) | Combined security and QOS coordination among devices | |
| CN107211016B (zh) | 会话安全划分和应用程序剖析器 | |
| WO2019100605A1 (zh) | 平台即服务paas容器平台的构建方法、服务器、系统及存储介质 | |
| US9769266B2 (en) | Controlling access to resources on a network | |
| US20160212100A1 (en) | Transparent proxy system with automated supplemental authentication for protected access resources | |
| US9374372B2 (en) | Systems and methods for profiling client devices | |
| CN107666460B (zh) | 基于移动互联网的远程智能取证系统及方法 | |
| CN113536258A (zh) | 终端访问的控制方法及装置、存储介质及电子设备 | |
| US20170085567A1 (en) | System and method for processing task resources | |
| US8869234B2 (en) | System and method for policy based privileged user access management | |
| CN110855709A (zh) | 安全接入网关的准入控制方法、装置、设备和介质 | |
| CN111970261B (zh) | 网络攻击的识别方法、装置及设备 | |
| CN112887287A (zh) | 堡垒机、运维审计方法、电子装置和存储介质 | |
| CN109783316B (zh) | 系统安全日志篡改行为的识别方法及装置、存储介质、计算机设备 | |
| CN108123961A (zh) | 信息处理方法、装置及系统 | |
| CN106254312B (zh) | 一种通过虚拟机异构实现服务器防攻击的方法及装置 | |
| CN115242546A (zh) | 一种基于零信任架构的工业控制系统访问控制方法 | |
| CN116319024A (zh) | 零信任系统的访问控制方法、装置及零信任系统 | |
| US9432357B2 (en) | Computer network security management system and method | |
| CN109905352B (zh) | 一种基于加密协议审计数据的方法、装置和存储介质 | |
| KR102020488B1 (ko) | IoT 디바이스의 인터넷 접근 제어를 위한 장치 및 이를 위한 방법 | |
| CN115529156B (zh) | 接入认证方法及装置、存储介质、计算机设备 | |
| CN113472545B (zh) | 设备入网方法、装置、设备、存储介质和通信系统 | |
| CN110830465A (zh) | 一种访问UKey的安全防护方法、服务器和客户端 | |
| Saifan et al. | A Lightweight Log-Monitoring-Based Mitigation Tool Against WLAN Attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |