CN115622804A - 安全访问的处理方法、安全访问方法及计算机系统 - Google Patents

安全访问的处理方法、安全访问方法及计算机系统 Download PDF

Info

Publication number
CN115622804A
CN115622804A CN202211545570.XA CN202211545570A CN115622804A CN 115622804 A CN115622804 A CN 115622804A CN 202211545570 A CN202211545570 A CN 202211545570A CN 115622804 A CN115622804 A CN 115622804A
Authority
CN
China
Prior art keywords
access
request
requester
entry
target resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211545570.XA
Other languages
English (en)
Inventor
杨洋
陈凯
丁杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Loop Tengyun Technology Co ltd
Original Assignee
Hangzhou Loop Tengyun Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Loop Tengyun Technology Co ltd filed Critical Hangzhou Loop Tengyun Technology Co ltd
Priority to CN202211545570.XA priority Critical patent/CN115622804A/zh
Publication of CN115622804A publication Critical patent/CN115622804A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

一种安全访问的处理方法,包括:从请求入口接收请求方针对目标资源的访问请求;确定供请求方访问所述目标资源的访问入口,并将该访问入口对应的访问入口信息反馈给请求方;开放与所述访问入口信息对应的访问入口,以支持所述请求方通过所述访问入口访问所述目标资源;所述请求入口的IP地址、域名、端口或路径不同于所述访问入口;在开放所述访问入口之前,所述访问入口拒绝所有访问请求或者对所有访问请求均不做响应。该方式下,安全性更高:访问入口并非如现有技术一样始终对外暴露,在访问入口正式确定前,目标资源的安全性能够得到有效的保障。

Description

安全访问的处理方法、安全访问方法及计算机系统
技术领域
本发明涉及一种安全访问的处理方法、安全访问方法及计算机系统。
背景技术
申请号为201810877759.6的中国发明专利申请,公开一种资源共享方法、装置、设备及计算机可读存储介质,该方法包括接收请求方音响发送的请求信息,请求信息包括目标资源信息和请求方音响信息;依据请求信息判断请求方音响是否具有目标资源的获取权限,若是,则获取目标资源;若否,则进入从具有目标资源获取权限的各个音响中确定出目标音响,并依据目标音响的目标资源获取权限获取相应的目标资源;依据目标资源及请求方音响信息建立与目标资源对应的访问链接,并将访问链接返回至请求方音响,以便请求方音响依据访问链接访问目标资源。在使用过程中不仅能够保证共享方音响的账户和信息安全,还能够使请求方音响在登录自己账户的情况下访问到没有获取权限的资源,提高用户体验。其缺点在于:1、请求方音响由于在第一次访问目标资源时已经获得访问链接,在此之后的访问则可以直接通过访问链接对目标资源进行访问,而不需要再判断请求方音响是否具有目标资源的获取权限,这样将会存在非常大的安全隐患;2、目标资源及目标资源对应的访问链接始终对外暴露,只要有针对该访问链接的访问请求,均能够通过该访问链接访问目标资源,存在一定的安全隐患。
如图1所示,为了提高访问的安全性,一般通过验证访问者(请求方)的权限来保证安全:
1)请求方通过预设的访问入口(例如地址、端口、路径等)请求访问目标资源;
2)访问入口利用权限管理规则对请求方进行身份认证,并确认请求方对目标资源具有合法的访问权限;
3)访问入口允许请求方通过该访问入口访问目标资源。
但是仍然无法解决以下技术问题:访问入口始终对外暴露,一旦访问入口有漏洞,将会导致目标资源存在安全隐患。
发明内容
本发明的目的是针对上述存在的问题,提供一种安全访问的处理方法,能够动态生成访问入口,提高安全性。
本发明还提供一种安全访问方法。
本发明又提供一种计算机系统。
为了达到上述目的,本发明通过以下技术方案来实现:
本发明一个方面,一种安全访问的处理方法,包括:
从请求入口接收请求方针对目标资源的访问请求;
确定供请求方访问所述目标资源的访问入口,并将该访问入口对应的访问入口信息反馈给请求方;
开放与所述访问入口信息对应的访问入口,以支持所述请求方通过所述访问入口访问所述目标资源;
所述请求入口的IP地址、域名、端口或路径不同于所述访问入口;
在开放所述访问入口之前,所述访问入口拒绝所有访问请求或者对所有访问请求均不做响应。
优选的,所述处理方法还包括:
确认所述请求方具有对所述目标资源的访问权限;具体的,在接收请求方针对目标资源的访问请求后、确定所述访问入口信息之前,对请求方进行身份认证,并根据请求方的身份确认所述请求方具有对所述目标资源的访问权限。
优选的,所述处理方法还包括:
在请求方通过所述访问入口对所述目标资源的访问结束后,关闭所述访问入口;所述访问入口关闭状态下,所述访问入口拒绝所有访问请求或者对所有访问请求均不做响应。
优选的,所述访问入口信息包括访问入口的IP地址、域名、端口、URL中的一种或几种。
优选的,所述处理方法还包括:
针对请求方通过访问入口向所述目标资源发起的访问请求进行验证,若该访问请求符合所述访问入口信息的要求,则支持所述请求方通过所述访问入口访问所述目标资源。
优选的,该访问请求符合所述访问入口信息的要求,具体包括:
请求方通过访问入口向所述目标资源发起的访问请求中的请求标识信息与访问入口信息中要求的请求标识信息一致;
或者,请求方通过访问入口向所述目标资源发起的访问请求中的请求验证信息与访问入口信息中要求的请求验证信息一致。
优选的,所述请求标识信息包括请求序号和/或请求令牌。
优选的,所述请求验证信息包括访问请求格式、访问请求来源地址、访问请求发起时间、所携带的请求关联信息中的一种或几种。
优选的,所述请求关联信息包括请求方的身份信息、目标资源信息、预设问题的预设答案、资源访问请求的上下文信息中的一种或几种。
优选的,所述访问入口随机确定。
本发明另一方面,一种计算机系统,包括:通信连接的存储器和处理器,以及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述处理器运行所述计算机程序时执行前述的方法。
本发明又一方面,一种安全访问方法,包括:
请求方向访问处理装置发起针对目标资源的访问请求;
访问处理装置通过访问入口接收所述访问请求,对请求方进行身份认证,并确认所述请求方具有对所述目标资源的访问权限;
访问处理装置确定供请求方访问所述目标资源的访问入口,并将该访问入口对应的访问入口信息反馈给请求方;
访问处理装置开放与所述访问入口信息对应的访问入口;
请求方获得所述访问入口信息后,通过所述访问入口访问所述目标资源;
所述请求入口的IP地址、域名、端口或路径不同于所述访问入口;
在开放所述访问入口之前,所述访问入口拒绝所有访问请求或者对所有访问请求均不做响应。
优选的,所述方法还包括:
在请求方通过所述访问入口对所述目标资源的访问结束后,访问处理装置关闭所述访问入口;所述访问入口关闭状态下,所述访问入口拒绝所有访问请求或者对所有访问请求均不做响应。
优选的,所述访问入口信息包括访问入口的IP地址、域名、端口、URL中的一种或几种。
优选的,所述访问方法还包括:
访问处理装置针对请求方通过访问入口向所述目标资源发起的访问请求进行验证,若该访问请求符合所述访问入口信息的要求,则支持所述请求方通过所述访问入口访问所述目标资源。
优选的,该访问请求符合所述访问入口信息的要求,具体包括:
请求方通过访问入口向所述目标资源发起的访问请求中的请求标识信息与访问入口信息中要求的请求标识信息一致;
或者,请求方通过访问入口向所述目标资源发起的访问请求中的请求验证信息与访问入口信息中要求的请求验证信息一致。
优选的,所述请求标识信息包括请求序号和/或请求令牌。
优选的,所述请求验证信息包括访问请求格式、访问请求来源地址、访问请求发起时间、所携带的请求关联信息中的一种或几种。
优选的,所述请求关联信息包括请求方的身份信息、目标资源信息、预设问题的预设答案、资源访问请求的上下文信息中的一种或几种。
优选的,所述访问入口随机确定。
本发明再一方面,一种计算机系统,包括:通信连接的存储器和处理器,以及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述处理器运行所述计算机程序时执行前述的方法。
本发明的有益效果在于:
1、本发明从请求入口接收请求方针对目标资源的访问请求后,确定供请求方访问所述目标资源的访问入口,并将该访问入口对应的访问入口信息反馈给请求方;开放与所述访问入口信息对应的访问入口,以支持所述请求方通过所述访问入口访问所述目标资源;在开放所述访问入口之前,所述访问入口拒绝所有访问请求或者对所有访问请求均不做响应。该方式下,安全性更高:访问入口并非如现有技术一样始终对外暴露,在访问入口正式确定前,目标资源的安全性能够得到有效的保障。
2、针对请求方通过访问入口向所述目标资源发起的访问请求进行验证,若该访问请求符合所述访问入口信息的要求,则支持所述请求方通过所述访问入口访问所述目标资源。该方式下,先针对请求方是否具有对所述目标资源的访问权限进行验证,然后针对请求方通过访问入口向所述目标资源发起的访问请求再次进行验证,通过两级关联验证,不仅控制粒度更细,而且进一步提高了访问的安全性。
3、当请求方通过访问入口向所述目标资源发起的访问请求中的请求验证信息为目标资源信息(例如名称、标识、别名、ID、类型、特征描述等)时,能够增加该访问入口的承载量。
4、访问入口随机确定,能够进一步提高安全性。
5、在请求方通过所述访问入口对所述目标资源的访问结束后,关闭所述访问入口;所述访问入口关闭状态下,所述访问入口拒绝所有访问请求或者对所有访问请求均不做响应。例如,在请求方A第一次请求访问目标资源a时,随机确定一个访问入口(假设其端口为8000),并开放该访问入口供请求A方发起针对目标资源a的访问,本次访问结束后,关闭该访问入口;在请求方A第二次请求访问目标资源a时,随机确定一个访问入口(其端口可能是8000,也可能是8001等其他端口),并开放该访问入口供请求A方发起针对目标资源a的访问;如此,针对每次访问均会随机确定访问入口,每次确定的访问入口可能与之前的访问入口相同,也可能与之前的访问入口不同,能够进一步提高安全性。
附图说明
图1为本发明背景技术的访问方法示意图。
图2为本发明一种安全访问的处理方法流程图。
图3为本发明一种安全访问方法流程图。
图4为本发明一种安全访问方法示意图。
具体实施方式
为了使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本发明的部分实施例,而不是全部实施例。基于本发明的实施例,本领域普通技术人员在没有付出创造性劳动的前提下所获得的所有其他实施例,都属于本发明的保护范围。
本发明以下示出的实施例,在接收请求方针对目标资源的访问请求后,并非如现有技术一样确认请求方对目标资源具有合法的访问权限后,即允许请求方通过访问入口访问目标资源,而是确定供请求方访问所述目标资源的访问入口,并将该访问入口对应的访问入口信息反馈给请求方,并开放与所述访问入口信息对应的访问入口,以便请求方通过所述访问入口访问所述目标资源;并且在开放所述访问入口之前,所述访问入口拒绝所有访问请求或者对所有访问请求均不做响应。该方式下,安全性更高:访问入口并非如现有技术一样始终对外暴露,在访问入口正式确定前,目标资源的安全性能够得到有效的保障。
如图2所示,示例一种安全访问的处理方法,其执行主体为访问处理装置,该访问处理装置可以为单个装置或设备,也可以为多个装置或设备组成。对于访问处理装置为多个装置或设备组成的情形,本实施例中,所述访问处理装置包括请求入口和权限管理模块。所述处理方法具体包括:
201、从请求入口接收请求方针对目标资源的访问请求。
具体的,当访问处理装置为单个装置或设备时,由访问处理装置的请求入口接收来自于请求方的、针对目标资源的访问请求;所述请求入口集成于访问处理装置中。当访问处理装置为多个装置或设备组成时,由本实施例所述请求入口接收来自于请求方的、针对目标资源的访问请求,并将所接收到的访问请求中的访问请求信息发送至权限管理模块,权限管理模块接收所述访问请求信息。所述访问请求信息包括请求方信息(例如,账号名,所属组织、部门、级别、群组等)和目标资源信息(资源名、所属组织、部门、群组等),还可以包括当前的环境信息(时间、是否工作日等)。
203、确定供请求方访问所述目标资源的访问入口,并将该访问入口对应的访问入口信息反馈给请求方。
具体的,当访问处理装置为单个装置或设备时,由访问处理装置确定供请求方访问所述目标资源的访问入口,并将该访问入口对应的访问入口信息反馈给请求方。当访问处理装置为多个装置或设备组成时,由本实施例所述权限管理模块确定供请求方访问所述目标资源的访问入口,并将该访问入口对应的访问入口信息反馈给请求方。所述访问入口信息包括访问入口的地址信息,例如访问入口的IP地址、域名、端口、URL中的一种或几种。
为了进一步提高安全性,所述访问入口由访问处理装置随机确定,包括但不限于从已存在的多个候选项中随机选择。
205、开放与所述访问入口信息对应的访问入口,以支持所述请求方通过所述访问入口访问所述目标资源。
具体的,当访问处理装置为单个装置或设备时,由访问处理装置开放与所述访问入口信息对应的访问入口。当访问处理装置为多个装置或设备组成时,由本实施例所述权限管理模块开放与所述访问入口信息对应的访问入口。
所述请求入口的IP地址、域名、端口或路径不同于所述访问入口;在开放所述访问入口之前,所述访问入口拒绝所有访问请求或者对所有访问请求均不做响应。例如,在开放所述访问入口之前,所述访问入口并不存在,任何针对访问入口的访问请求均得不到访问入口的响应;也就是说,只有在请求方发起针对目标资源的访问请求之后,访问处理装置才会开放与所述访问入口信息对应的访问入口,此时的访问入口才处于能够被访问的状态,才会针对访问请求做出响应。
所述请求方通过所述访问入口访问所述目标资源,该请求方的用户名可以与步骤201中向目标资源发起访问请求的请求方的用户名相同,也可以不同。例如,请求方用户名为AAA的用户针对目标资源发起访问请求,访问处理装置接收该访问请求后,确定供请求方访问所述目标资源的访问入口,并将该访问入口对应的访问入口信息反馈给请求方,要求请求方用户名为BBB的用户通过所述访问入口访问所述目标资源。当然,在本领域技术人员可选范围内,也可以要求请求方用户名为AAA的用户通过所述访问入口访问所述目标资源。此外,所述请求方通过所述访问入口访问所述目标资源的访问方式,可以与步骤201中请求方针对目标资源的访问请求的访问方式相同,也可以不同。例如,请求方通过Http(HyperText Transfer Protocol)协议针对目标资源发起访问请求,访问处理装置接收该访问请求后,确定供请求方访问所述目标资源的访问入口,并将该访问入口对应的访问入口信息反馈给请求方,要求请求方采用SSh(Secure Shell)协议通过所述访问入口访问所述目标资源。当然,在本领域技术人员可选范围内,也可以要求请求方采用Http协议通过所述访问入口访问所述目标资源。如此,给访问带来了更大的灵活性,而不会像现有技术一样,只能根据预先设置好的方式进行访问。
采用前述处理方法,安全性更高:在开放所述访问入口之前,所述访问入口拒绝所有访问请求或者对所有访问请求均不做响应,例如此时访问入口不存在,访问入口并非如现有技术一样始终对外暴露,而是动态随机生成的,即使请求入口有漏洞,只要不能创建访问入口,也不会对目标资源构成威胁。
作为本实施例的一种优选实施方案,所述处理方法还包括:
确认所述请求方具有对所述目标资源的访问权限。
具体的,访问处理装置在接收请求方针对目标资源的访问请求后、确定所述访问入口信息之前,对请求方进行身份认证,并根据请求方的身份确认所述请求方具有对所述目标资源的访问权限。若请求方未通过身份认证和/或请求方不具有对所述目标资源的访问权限,则拒绝请求方的访问请求;如此,能够将不具备对目标资源的访问权限的请求提前剔除,提高访问处理的效率。若请求方通过身份认证且请求方具有对所述目标资源的访问权限,则执行步骤203。当访问处理装置为多个装置或设备组成时,由本实施例所述权限管理模块对请求方进行身份认证,并根据请求方的身份确认所述请求方具有对所述目标资源的访问权限。
作为本实施例的另一种优选实施方案,为了进一步提高安全性,所述处理方法还包括:
在请求方通过所述访问入口对所述目标资源的访问结束后,访问处理装置关闭所述访问入口;所述访问入口关闭状态下,所述访问入口拒绝所有访问请求或者对所有访问请求均不做响应。如此,针对每次访问均会随机确定访问入口,每次确定的访问入口可能与之前的访问入口相同,也可能与之前的访问入口不同,能够进一步提高安全性。
作为本实施例的又一种优选实施方案,为了进一步提高安全性,提高访问控制粒度,所述处理方法还包括:
访问处理装置针对请求方通过访问入口向所述目标资源发起的访问请求进行验证,若该访问请求符合所述访问入口信息的要求,则支持所述请求方通过所述访问入口访问所述目标资源。该情况下,所述访问入口信息不仅包括前述的访问入口的地址信息,还包括所要求的请求标识信息和/或请求验证信息。其中,所述请求标识信息包括请求序号和/或请求令牌;所述请求验证信息包括访问请求格式、访问请求来源地址、访问请求发起时间、所携带的请求关联信息中的一种或几种。
当所述访问入口信息还包括所要求的请求标识信息时,针对请求方通过访问入口向所述目标资源发起的访问请求进行验证,具体包括:
验证请求方通过访问入口向所述目标资源发起的访问请求中的请求序号,与访问入口信息中要求的请求序号是否一致,若是,则验证通过,支持所述请求方通过所述访问入口访问所述目标资源;或者,验证请求方通过访问入口向所述目标资源发起的访问请求中的请求令牌,与访问入口信息中要求的请求令牌是否一致,若是,则验证通过,支持所述请求方通过所述访问入口访问所述目标资源;或者,验证请求方通过访问入口向所述目标资源发起的访问请求中的请求序号和请求令牌,与访问入口信息中要求的请求序号和请求令牌是否均一致,若是,则验证通过,支持所述请求方通过所述访问入口访问所述目标资源。
当所述访问入口信息还包括所要求的请求验证信息时,针对请求方通过访问入口向所述目标资源发起的访问请求进行验证,具体包括:
验证请求方通过访问入口向所述目标资源发起的访问请求中的访问请求格式,与访问入口信息中要求的访问请求格式是否一致,若是,则验证通过,支持所述请求方通过所述访问入口访问所述目标资源;或者,验证请求方通过访问入口向所述目标资源发起的访问请求中的访问请求来源地址,与访问入口信息中要求的访问请求来源地址是否一致,若是,则验证通过,支持所述请求方通过所述访问入口访问所述目标资源;或者,验证请求方通过访问入口向所述目标资源发起的访问请求中的访问请求发起时间,与访问入口信息中要求的访问请求发起时间是否一致,若是,则验证通过,支持所述请求方通过所述访问入口访问所述目标资源;或者,验证请求方通过访问入口向所述目标资源发起的访问请求中所携带的请求关联信息,与访问入口信息中要求的所携带的请求关联信息是否一致,若是,则验证通过,支持所述请求方通过所述访问入口访问所述目标资源。当然,在本领域技术人员可选范围内,如若所述请求验证信息包括访问请求格式、访问请求来源地址、访问请求发起时间、所携带的请求关联信息中的任意两个或两个以上,则只有在请求方通过访问入口向所述目标资源发起的访问请求中的所有请求验证信息,与访问入口信息中要求的所有请求验证信息均一致,才能够支持所述请求方通过所述访问入口访问所述目标资源。例如,请求验证信息包括访问请求格式和访问请求来源地址,验证请求方通过访问入口向所述目标资源发起的访问请求中的访问请求格式和访问请求来源地址,与访问入口信息中要求的访问请求格式和访问请求来源地址是否都一致,若是,则验证通过,支持所述请求方通过所述访问入口访问所述目标资源。对于请求验证信息所包含内容的其余情况,不再赘述。
所携带的请求关联信息包括请求方的身份信息、目标资源信息、预设问题的预设答案、资源访问请求的上下文信息中的一种或几种。
对于请求方的身份信息,可以是请求方的用户名、所属部门、标识等中的一种或几种。例如,请求方针对目标资源发起访问请求,访问处理装置接收该访问请求后,确定供请求方访问所述目标资源的访问入口,并将该访问入口对应的访问入口信息反馈给请求方,要求请求方用户名为BBB的用户通过所述访问入口访问所述目标资源。即,将用户名BBB作为请求验证信息(请求关联信息),在请求方用户名为BBB的用户通过所述访问入口访问所述目标资源时,才能通过验证。
对于目标资源信息,可以是名称、标识、别名、ID、类型、特征描述等中的一种或几种。例如,请求方针对目标资源发起访问请求,访问处理装置接收该访问请求后,确定供请求方访问所述目标资源的访问入口,并将该访问入口对应的访问入口信息反馈给请求方,要求请求方通过所述访问入口访问所述目标资源时携带目标资源的名称。即,将目标资源的名称作为请求验证信息(请求关联信息),在请求方通过所述访问入口访问所述目标资源时携带该目标资源的名称时,才能通过验证。当所携带的请求关联信息包括目标资源信息时,能够增加访问入口的承载量:例如,若访问处理装置将访问入口信息同时反馈给多个请求方,要求这些请求方在同一时间向访问入口发起访问请求,同时各自携带相应的目标资源信息,从而能够保证各请求方均能通过该访问入口访问各自的目标资源,达到访问入口复用的目的。
对于预设问题的预设答案,可以根据系统或管理员设置。例如,预设问题为:你们公司目前所在的城市,预设答案为:杭州。请求方针对目标资源发起访问请求,访问处理装置接收该访问请求后,确定供请求方访问所述目标资源的访问入口,并将该访问入口对应的访问入口信息(该访问入口信息中携带有预设问题:你们公司目前所在的城市)反馈给请求方,要求请求方通过所述访问入口访问所述目标资源时携带预设问题的预设答案。即,将预设问题的预设答案作为请求验证信息(请求关联信息),在请求方通过所述访问入口访问所述目标资源时携带该预设答案(杭州)时,才能通过验证。
对于资源访问请求的上下文信息,可以是本请求方上一次请求访问的资源名称。例如,请求方第一次请求访问的是目标资源X,第二次请求访问的是目标资源Y,第三次请求访问的是目标资源Z。请求方针对目标资源Y发起访问请求,访问处理装置接收该访问请求后,确定供请求方访问所述目标资源Y的访问入口,并将该访问入口对应的访问入口信息(该访问入口信息中携带有问题:本请求方上一次请求访问的资源名称是什么)反馈给请求方,要求请求方通过所述访问入口访问目标资源Y时携带本请求方上一次请求访问的资源名称,若请求方通过所述访问入口访问目标资源Y时所携带的本请求方上一次请求访问的资源名称为目标资源X,则验证通过。同理,请求方针对目标资源Z发起访问请求,访问处理装置接收该访问请求后,确定供请求方访问目标资源Z的访问入口,并将该访问入口对应的访问入口信息(该访问入口信息中携带有问题:本请求方上一次请求访问的资源名称是什么)反馈给请求方,要求请求方通过所述访问入口访问目标资源Z时携带本请求方上一次请求访问的资源名称,若请求方通过所述访问入口访问目标资源Z时所携带的本请求方上一次请求访问的资源名称为目标资源Y,则验证通过。
假设请求方的用户A的行程安排为:8:30-12:00在上海,访问权限为通过网络访问公司销售部门的销售数据;13:30-15:30乘坐从上海飞往北京的航班;16:00-17:30在北京,访问权限为通过网络访问财务部门的财务数据。假设请求方的用户A针对公司销售部门的销售数据发起访问请求,访问处理装置接收该访问请求后,确定供请求方访问所述目标资源的访问入口,并将该访问入口对应的访问入口信息反馈给请求方,要求请求方的用户A通过所述访问入口访问所述目标资源时携带访问请求来源地址和访问请求发起时间,验证访问请求来源地址是否为上海,验证访问请求时间是否在8:30-12:00之间,若是,则验证通过,允许请求方的用户A通过所述访问入口访问所述目标资源,否则不允许访问。如此,将访问的处理方法与用户行程安排结合,不仅能够进一步提高安全性,而且能够反向验证用户是否按照行程安排出行。
一种计算机系统,可以为单个装置、系统或设备,或者可以以分布式方式被实现为多个装置、系统或设备。具体的,包括通信连接的存储器和处理器,以及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述处理器运行所述计算机程序时执行所述的处理方法。
如图3所示,示例一种安全访问方法,包括:
301、请求方向访问处理装置发起针对目标资源的访问请求。对应于图4中的工作流程1。
303、访问处理装置通过访问入口接收所述访问请求,对请求方进行身份认证,并确认所述请求方具有对所述目标资源的访问权限。
访问处理装置通过访问入口接收所述访问请求,具体实现方式同前述步骤201,不再赘述。
对请求方进行身份认证,并确认所述请求方具有对所述目标资源的访问权限,具体包括:若请求方未通过身份认证和/或请求方不具有对所述目标资源的访问权限,则拒绝请求方的访问请求;如此,能够将不具备对目标资源的访问权限的访问请求提前剔除,提高访问处理的效率。若请求方通过身份认证且请求方具有对所述目标资源的访问权限,则执行步骤305。当访问处理装置为多个装置或设备组成时,由本实施例所述权限管理模块对请求方进行身份认证,并根据请求方的身份确认所述请求方具有对所述目标资源的访问权限。
305、访问处理装置确定供请求方访问所述目标资源的访问入口,并将该访问入口对应的访问入口信息反馈给请求方。具体实现方式同前述步骤203,不再赘述。当访问处理装置为单个装置或设备时,将访问处理装置作为一个整体,该步骤对应于图4中的工作流程4。当访问处理装置为多个装置或设备组成时,该步骤对应于图4中的工作流程2、工作流程3-1和工作流程4,其中工作流程2对应的是请求入口将所接收到的访问请求中的访问请求信息发送至权限管理模块;工作流程3-1和工作流程4对应的是将权限管理模块确定的访问入口所对应的访问入口信息通过请求入口反馈给请求方。所述访问入口信息包括访问入口的地址信息,例如访问入口的IP地址、域名、端口、URL中的一种或几种。
为了进一步提高安全性,所述访问入口由访问处理装置随机确定,包括但不限于从已存在的多个候选项中随机选择。
307、访问处理装置开放与所述访问入口信息对应的访问入口。对应于图4中的工作流程3-2,具体实现方式同前述步骤205,不再赘述。所述请求入口的IP地址、域名、端口或路径不同于所述访问入口;在开放所述访问入口之前,所述访问入口拒绝所有访问请求或者对所有访问请求均不做响应。例如,在开放所述访问入口之前,所述访问入口并不存在,任何针对访问入口的访问请求均得不到访问入口的响应;也就是说,只有在请求方发起针对目标资源的访问请求之后,访问处理装置才会开放与所述访问入口信息对应的访问入口,此时的访问入口才处于能够被访问的状态,才会针对访问请求做出响应。
309、请求方获得所述访问入口信息后,通过所述访问入口访问所述目标资源。对应于图4中的工作流程5和工作流程8。具体来说,请求方获得所述访问入口信息后,向访问入口发送访问请求,访问入口接收该访问请求,并响应请求方的访问请求,支持请求方通过所述访问入口访问所述目标资源。
采用前述访问方法,安全性更高:在开放所述访问入口之前,所述访问入口拒绝所有访问请求或者对所有访问请求均不做响应,例如此时访问入口不存在,访问入口并非如现有技术一样始终对外暴露,而是动态随机生成的,即使请求入口有漏洞,只要不能创建访问入口,也不会对目标资源构成威胁。
请求方通过所述访问入口访问所述目标资源,该请求方的用户名可以与步骤301中向目标资源发起访问请求的请求方的用户名相同,也可以不同。请求方通过所述访问入口访问所述目标资源的访问方式(例如采用Http协议访问还是采用SSh协议访问等),可以与步骤301中请求方针对目标资源的访问请求的访问方式相同,也可以不同。如此,给访问带来了更大的灵活性,而不会像现有技术一样,只能根据预先设置好的方式进行访问。为了便于理解,具体示例可参照本说明书前文所述,此处不再赘述。
作为本实施例的另一种优选实施方案,为了进一步提高安全性,所述访问方法还包括:
在请求方通过所述访问入口对所述目标资源的访问结束后,访问处理装置关闭所述访问入口;所述访问入口关闭状态下,所述访问入口拒绝所有访问请求或者对所有访问请求均不做响应。如此,针对每次访问均会随机确定访问入口,每次确定的访问入口可能与之前的访问入口相同,也可能与之前的访问入口不同,能够进一步提高安全性。
作为本实施例访问方法的一种优选实施方案,为了进一步提高安全性,提高访问控制粒度,所述访问方法还包括:
访问处理装置针对请求方通过访问入口向所述目标资源发起的访问请求进行验证,若该访问请求符合所述访问入口信息的要求,则支持所述请求方通过所述访问入口访问所述目标资源。该情况下,所述访问入口信息不仅包括前述的访问入口的地址信息,还包括所要求的请求标识信息和/或请求验证信息。其中,所述请求标识信息包括请求序号和/或请求令牌;所述请求验证信息包括访问请求格式、访问请求来源地址、访问请求发起时间、所携带的请求关联信息中的一种或几种。所述验证的具体实现方式与前文访问处理方法中的验证方式相同,在此不再赘述,验证过程对应于图4中的工作流程6和工作流程7。
一种计算机系统,可以为单个装置、系统或设备,或者可以以分布式方式被实现为多个装置、系统或设备。具体的,包括通信连接的存储器和处理器,以及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述处理器运行所述计算机程序时执行所述的访问方法。
上述各个实施方案中的举例是为了进一步帮助理解本发明的方案,并非是对本发明技术方案的限制,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (21)

1.一种安全访问的处理方法,其特征在于包括:
从请求入口接收请求方针对目标资源的访问请求;
确定供请求方访问所述目标资源的访问入口,并将该访问入口对应的访问入口信息反馈给请求方;
开放与所述访问入口信息对应的访问入口,以支持所述请求方通过所述访问入口访问所述目标资源;
所述请求入口的IP地址、域名、端口或路径不同于所述访问入口;
在开放所述访问入口之前,所述访问入口拒绝所有访问请求或者对所有访问请求均不做响应。
2.根据权利要求1所述的安全访问的处理方法,其特征在于,所述处理方法还包括:
在接收请求方针对目标资源的访问请求后、确定所述访问入口信息之前,对请求方进行身份认证,并根据请求方的身份确认所述请求方具有对所述目标资源的访问权限。
3.根据权利要求1所述的安全访问的处理方法,其特征在于,所述处理方法还包括:
在请求方通过所述访问入口对所述目标资源的访问结束后,关闭所述访问入口;所述访问入口关闭状态下,所述访问入口拒绝所有访问请求或者对所有访问请求均不做响应。
4.根据权利要求1所述的安全访问的处理方法,其特征在于:所述访问入口信息包括访问入口的IP地址、域名、端口、URL中的一种或几种。
5.根据权利要求1所述的安全访问的处理方法,其特征在于,所述处理方法还包括:
针对请求方通过访问入口向所述目标资源发起的访问请求进行验证,若该访问请求符合所述访问入口信息的要求,则支持所述请求方通过所述访问入口访问所述目标资源。
6.根据权利要求5所述的安全访问的处理方法,其特征在于,该访问请求符合所述访问入口信息的要求,具体包括:
请求方通过访问入口向所述目标资源发起的访问请求中的请求标识信息与访问入口信息中要求的请求标识信息一致;
或者,请求方通过访问入口向所述目标资源发起的访问请求中的请求验证信息与访问入口信息中要求的请求验证信息一致。
7.根据权利要求6所述的安全访问的处理方法,其特征在于,所述请求标识信息包括请求序号和/或请求令牌。
8.根据权利要求6所述的安全访问的处理方法,其特征在于,所述请求验证信息包括访问请求格式、访问请求来源地址、访问请求发起时间、所携带的请求关联信息中的一种或几种。
9.根据权利要求8所述的安全访问的处理方法,其特征在于,所述请求关联信息包括请求方的身份信息、目标资源信息、预设问题的预设答案、资源访问请求的上下文信息中的一种或几种。
10.根据权利要求1所述的安全访问的处理方法,其特征在于:所述访问入口随机确定。
11.一种安全访问方法,其特征在于包括:
请求方向访问处理装置发起针对目标资源的访问请求;
访问处理装置通过访问入口接收所述访问请求,对请求方进行身份认证,并确认所述请求方具有对所述目标资源的访问权限;
访问处理装置确定供请求方访问所述目标资源的访问入口,并将该访问入口对应的访问入口信息反馈给请求方;
访问处理装置开放与所述访问入口信息对应的访问入口;
请求方获得所述访问入口信息后,通过所述访问入口访问所述目标资源;
所述请求入口的IP地址、域名、端口或路径不同于所述访问入口;
在开放所述访问入口之前,所述访问入口拒绝所有访问请求或者对所有访问请求均不做响应。
12.根据权利要求11所述的安全访问方法,其特征在于,所述方法还包括:
在请求方通过所述访问入口对所述目标资源的访问结束后,访问处理装置关闭所述访问入口;所述访问入口关闭状态下,所述访问入口拒绝所有访问请求或者对所有访问请求均不做响应。
13.根据权利要求11所述的安全访问方法,其特征在于:所述访问入口信息包括访问入口的IP地址、域名、端口、URL中的一种或几种。
14.根据权利要求11所述的安全访问方法,其特征在于,所述访问方法还包括:
访问处理装置针对请求方通过访问入口向所述目标资源发起的访问请求进行验证,若该访问请求符合所述访问入口信息的要求,则支持所述请求方通过所述访问入口访问所述目标资源。
15.根据权利要求14所述的安全访问方法,其特征在于,该访问请求符合所述访问入口信息的要求,具体包括:
请求方通过访问入口向所述目标资源发起的访问请求中的请求标识信息与访问入口信息中要求的请求标识信息一致;
或者,请求方通过访问入口向所述目标资源发起的访问请求中的请求验证信息与访问入口信息中要求的请求验证信息一致。
16.根据权利要求15所述的安全访问方法,其特征在于,所述请求标识信息包括请求序号和/或请求令牌。
17.根据权利要求15所述的安全访问方法,其特征在于,所述请求验证信息包括访问请求格式、访问请求来源地址、访问请求发起时间、所携带的请求关联信息中的一种或几种。
18.根据权利要求17所述的安全访问方法,其特征在于,所述请求关联信息包括请求方的身份信息、目标资源信息、预设问题的预设答案、资源访问请求的上下文信息中的一种或几种。
19.根据权利要求11所述的安全访问方法,其特征在于:所述访问入口随机确定。
20.一种计算机系统,包括:通信连接的存储器和处理器,以及存储在所述存储器上并能够在所述处理器上运行的计算机程序,其特征在于:所述处理器运行所述计算机程序时执行权利要求1-10任意一项所述的方法。
21.一种计算机系统,包括:通信连接的存储器和处理器,以及存储在所述存储器上并能够在所述处理器上运行的计算机程序,其特征在于:所述处理器运行所述计算机程序时执行权利要求11-19任意一项所述的方法。
CN202211545570.XA 2022-12-05 2022-12-05 安全访问的处理方法、安全访问方法及计算机系统 Pending CN115622804A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211545570.XA CN115622804A (zh) 2022-12-05 2022-12-05 安全访问的处理方法、安全访问方法及计算机系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211545570.XA CN115622804A (zh) 2022-12-05 2022-12-05 安全访问的处理方法、安全访问方法及计算机系统

Publications (1)

Publication Number Publication Date
CN115622804A true CN115622804A (zh) 2023-01-17

Family

ID=84880600

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211545570.XA Pending CN115622804A (zh) 2022-12-05 2022-12-05 安全访问的处理方法、安全访问方法及计算机系统

Country Status (1)

Country Link
CN (1) CN115622804A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2964815A1 (fr) * 2010-09-14 2012-03-16 France Telecom Gestion de l'acces au statut d'une ressource
CN109450858A (zh) * 2018-10-15 2019-03-08 杭州迪普科技股份有限公司 资源请求的方法、装置、设备及存储介质
CN110351298A (zh) * 2019-07-24 2019-10-18 中国移动通信集团黑龙江有限公司 访问控制方法、装置、设备及存储介质
CN111917900A (zh) * 2020-07-29 2020-11-10 北京天融信网络安全技术有限公司 一种域名代理的请求处理方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2964815A1 (fr) * 2010-09-14 2012-03-16 France Telecom Gestion de l'acces au statut d'une ressource
CN109450858A (zh) * 2018-10-15 2019-03-08 杭州迪普科技股份有限公司 资源请求的方法、装置、设备及存储介质
CN110351298A (zh) * 2019-07-24 2019-10-18 中国移动通信集团黑龙江有限公司 访问控制方法、装置、设备及存储介质
CN111917900A (zh) * 2020-07-29 2020-11-10 北京天融信网络安全技术有限公司 一种域名代理的请求处理方法及装置

Similar Documents

Publication Publication Date Title
CN107948201B (zh) Docker镜像仓库的权限认证方法和系统
US10776786B2 (en) Method for creating, registering, revoking authentication information and server using the same
CN111556006B (zh) 第三方应用系统登录方法、装置、终端及sso服务平台
CN107172054B (zh) 一种基于cas的权限认证方法、装置及系统
US20200360119A1 (en) Securely managing digital assistants that access third-party applications
CN111416822B (zh) 访问控制的方法、电子设备和存储介质
CN111131242A (zh) 一种权限控制方法、装置和系统
CN111314340B (zh) 认证方法及认证平台
CN110049048B (zh) 一种政务公共服务的数据访问方法、设备及可读介质
US20030126441A1 (en) Method and system for single authentication for a plurality of services
CN112788031B (zh) 基于Envoy架构的微服务接口认证系统、方法及装置
US10158628B2 (en) Preventing unauthorized access to secured information systems based on contextual login information
US9332433B1 (en) Distributing access and identification tokens in a mobile environment
US10645079B2 (en) Preventing unauthorized access to secured information systems using authentication tokens and multi-device authentication prompts
CN112583834B (zh) 一种通过网关单点登录的方法和装置
CN113742676B (zh) 一种登录管理方法、装置、服务器、系统及存储介质
CN113341798A (zh) 远程访问应用的方法、系统、装置、设备及存储介质
KR20220019834A (ko) 디바이스로의 보안 자격증명 전송을 인증하는 방법 및 시스템
US11303633B1 (en) Identity security gateway agent
CN103428161A (zh) 一种电话认证服务系统
CN116170234B (zh) 一种基于虚拟账号认证的单点登录方法和系统
CN112653673B (zh) 基于单点登录的多因素认证方法和系统
JP2018055582A (ja) 通信管理プログラム、通信管理方法および通信管理装置
KR102393500B1 (ko) 로그인 시스템 및 인증 방법
US11463426B1 (en) Vaultless authentication

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination