CN115766067A - 一种函数服务管理方法及装置 - Google Patents

Abstract

本申请实施例提供了一种函数服务管理方法及装置，应用于信任控制中心，该方法包括：接收信任安全代理转发来自终端的访问请求，信任安全代理部署在函数服务的载体上，访问请求包括目标访问信息；确定目标访问信息对应的目标访问权限级别；将目标访问权限级别下发给信任安全代理，以使信任安全代理按照目标访问权限级别对应的目标安全策略，控制终端访问载体上的函数服务。应用本申请实施例提供的技术方案，能够提高函数服务中的应用和数据的安全性。

Description

一种函数服务管理方法及装置

技术领域

本申请涉及通信技术领域，特别是涉及一种函数服务管理方法及装置。

背景技术

函数服务为一种新型的云计算模式，为无服务器(ServerLess)架构。函数服务会被赋予相应的权限，函数服务只能在被赋予的权限范围内，对数据库进行CRUD(Create/Read/Update/Delete，创建/读/更新/删除)操作。然而，函数服务的权限可能面向几十种甚至更多的功能，这使得权限成为函数服务的安全弱点。

发明内容

本申请实施例的目的在于提供一种函数服务管理方法及装置，以提高函数服务中的应用和数据的安全性。具体技术方案如下：

在本申请实施例的第一方面，提供了一种函数服务管理方法，应用于信任控制中心，所述方法包括：

接收信任安全代理转发来自终端的访问请求，所述信任安全代理部署在函数服务的载体上，所述访问请求包括目标访问信息；

确定所述目标访问信息对应的目标访问权限级别；

将所述目标访问权限级别下发给所述信任安全代理，以使所述信任安全代理按照所述目标访问权限级别对应的目标安全策略，控制所述终端访问所述载体上的函数服务。

在一些实施例中，所述确定所述目标访问信息对应的目标访问权限级别的步骤，包括：

从所述目标访问信息中，提取目标访问类别；

根据预先存储的访问类别与访问权限级别的对应关系，确定所述目标访问类别对应的目标访问权限级别。

在一些实施例中，当所述访问类别包括多种访问类型的类别，所述目标访问类别包括多个访问类型的访问类别时，所述根据预先存储的访问类别与访问权限级别的对应关系，确定所述目标访问类别对应的目标访问权限级别的步骤，包括：

据预先存储的访问类别与访问权限级别的对应关系，确定每个目标访问类别对应的分访问权限级别；

根据多个分访问权限级别，确定目标访问权限级别。

在一些实施例中，所述根据多个分访问权限级别，确定目标访问权限级别的步骤，包括：

计算所述多个分访问权限级别的和值；

根据预设存储的候选级别区间与访问权限级别的对应关系，确定所述和值所在的候选级别区间对应的目标访问权限级别。

在一些实施例中，所述访问类别包括用户类型、终端类型和环境类型中的一种或多种访问类型的类别；

每个函数服务对应的访问权限级别根据所述函数服务的基本信息确定，或者，根据每个函数服务对应的访问权限级别根据所述函数服务的基本信息以及访问信息确定，所述基本信息包括所述函数服务的编号、类型、重要性和隐私程度中对一种或多种信息。

在一些实施例中，所述方法还包括：

基于所述访问类别，以及所述访问类别下每个函数服务对应的访问权限级别，生成所述访问类别下所述访问权限级别对应的安全策略；

将所述访问类别下所述访问权限级别与所述安全策略的对应关系下发给所述信任安全代理。

在一些实施例中，所述基本信息为所述信任安全代理在函数服务启动时所记录的信息。

在一些实施例中，所述方法还包括：

对所述访问请求所访问的目标函数服务中的数据进行识别，得到所访问的数据类型；

若所访问的数据类型为敏感数据，则将所述访问请求与所述目标函数服务关联，并记录所访问的数据的去向和用途。

在一些实施例中，所述对所述访问请求所访问的目标函数服务中的数据进行识别，得到所访问的数据类型的步骤，包括：

提取所述访问请求所访问的目标函数服务中的数据的中的敏感信息，所述敏感信息包括数据所属网段、运行环境、以及数据中的预设字段中的一种或多种信息；

将所提取的敏感信息与预设敏感信息进行匹配，得到所访问的数据类型。

在一些实施例中，所述方法还包括：

基于所述信任控制中心的日志，监控所述终端的访问行为；

将所述访问行为的意图与所述目标安全策略和历史访问行为对比，得到对比结果，所述对比结果指示所述终端是否异常；

当所述对比结果指示所述终端异常时，输出告警信息。

在一些实施例中，所述函数服务间采用微服务框架和/或全链路双向安全传输层协议TLS加密进行通信。

在一些实施例中，所述信任控制中心与分布式认证数据库连接；

所述分布式认证数据库中存储有所述信任控制中心收集的信息。

在本申请实施例的第二方面，提供了一种函数服务管理装置，应用于信任控制中心，所述装置包括：

接收单元，用于接收信任安全代理转发来自终端的访问请求，所述信任安全代理部署在函数服务的载体上，所述访问请求包括目标访问信息；

确定单元，用于确定所述目标访问信息对应的目标访问权限级别；

下发单元，用于将所述目标访问权限级别下发给所述信任安全代理，以使所述信任安全代理按照所述目标访问权限级别对应的目标安全策略，控制所述终端访问所述载体上的函数服务。

在一些实施例中，所述确定单元，具体用于：

从所述目标访问信息中，提取目标访问类别；

根据预先存储的访问类别与访问权限级别的对应关系，确定所述目标访问类别对应的目标访问权限级别。

在一些实施例中，当所述访问类别包括多种访问类型的类别，所述目标访问类别包括多个访问类型的访问类别时，所述确定单元，具体用于：

据预先存储的访问类别与访问权限级别的对应关系，确定每个目标访问类别对应的分访问权限级别；

根据多个分访问权限级别，确定目标访问权限级别。

在一些实施例中，所述确定单元，具体用于：

计算所述多个分访问权限级别的和值；

根据预设存储的候选级别区间与访问权限级别的对应关系，确定所述和值所在的候选级别区间对应的目标访问权限级别。

在一些实施例中，所述访问类别包括用户类型、终端类型和环境类型中的一种或多种访问类型的类别；

每个函数服务对应的访问权限级别根据所述函数服务的基本信息确定，或者，根据每个函数服务对应的访问权限级别根据所述函数服务的基本信息以及访问信息确定，所述基本信息包括所述函数服务的编号、类型、重要性和隐私程度中对一种或多种信息。

在一些实施例中，所述装置还包括：

生成单元，用于基于所述访问类别，以及所述访问类别下每个函数服务对应的访问权限级别，生成所述访问类别下所述访问权限级别对应的安全策略；

所述下发单元，还用于将所述访问类别下所述访问权限级别与所述安全策略的对应关系下发给所述信任安全代理。

在一些实施例中，所述基本信息为所述信任安全代理在函数服务启动时所记录的信息。

在一些实施例中，所述装置还包括：

识别单元，用于对所述访问请求所访问的目标函数服务中的数据进行识别，得到所访问的数据类型；

记录单元，用于若所访问的数据类型为敏感数据，则将所述访问请求与所述目标函数服务关联，并记录所访问的数据的去向和用途。

在一些实施例中，所述识别单元，具体用于：

提取所述访问请求所访问的目标函数服务中的数据的中的敏感信息，所述敏感信息包括数据所属网段、运行环境、以及数据中的预设字段中的一种或多种信息；

将所提取的敏感信息与预设敏感信息进行匹配，得到所访问的数据类型。

在一些实施例中，所述装置还包括：

监控单元，用于基于所述信任控制中心的日志，监控所述终端的访问行为；

对比单元，用于将所述访问行为的意图与所述目标安全策略和历史访问行为进行对比，得到对比结果，所述对比结果指示所述终端是否异常；

输出单元，用于当所述对比结果指示所述终端异常时，输出告警信息。

在一些实施例中，所述函数服务间采用微服务框架和/或全链路双向安全传输层协议TLS加密进行通信。

在一些实施例中，所述信任控制中心与分布式认证数据库连接；

所述分布式认证数据库中存储有所述信任控制中心收集的信息。

在本申请实施例的第三方面，提供了一种信任控制中心，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现上述任一所述的方法步骤。

在本申请实施例的第四方面，提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一所述的方法步骤。

本申请实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述任一所述的函数服务管理方法。

本申请实施例有益效果：

本申请实施例提供的技术方案，在函数服务的载体上部署了信任安全代理，对函数服务的访问要经过信任安全代理才能实现，即信任安全代理从信任控制中心获取相应的访问权限级别后，按照该访问权限级别对应的安全策略，控制终端访问载体上的函数服务。这实现对函数服务的代理和隐藏，使得函数服务的对外端口和应用不会被暴露，提高了函数服务中的应用和数据的安全性。

当然，实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的实施例。

图1为本申请实施例提供的函数服务管理系统的第一种结构示意图；

图2a为本申请实施例提供的函数服务管理系统的第二种结构示意图；

图2b为本申请实施例提供的函数服务管理系统的第三种结构示意图；

图3为本申请实施例提供的函数服务管理方法的一种信令流程示意图；

图4为本申请实施例提供的步骤S33的一种细化示意图；

图5为本申请实施例提供的数据监控方法的一种流程示意图；

图6为本申请实施例提供的异常处理方法的一种流程示意图；

图7为本申请实施例提供的函数服务管理装置的一种结构示意图；

图8为本申请实施例提供的信任控制中心的一种结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员基于本申请所获得的所有其他实施例，都属于本申请保护的范围。

云计算诞生的初衷以及要解决的最大的一点问题是：算力资源的合理化分配。云在初始阶段主要解决了硬件资源的分配问题，发展到当前阶段，出现了一些新的需求，如下。

1、按需付费

目前开发者对服务运行的实例，即便是没有调用，也依然需要占用资源，并对资源付费，与服务的请求并发数并没有明确的关系。无服务器(ServerLess)架构的理念可以更优的发挥计算资源的效能。

2、面向应用

本质上用户对云的期望是应用的运行环境，并最好只关心业务逻辑，而不需要关心其他技术和底层资源，如监控、弹性、高可用和日志追踪等，ServerLess架构的理念可以使用户无需再分散精力。

软件环境的攻击面包括所有未经授权的用户可以进入或提取数据的点，而ServerLess架构的攻击面具有流动性，因为ServerLess架构是由几百个甚至几千个点一起组成的，每一个被集成到生态系统中的服务或平台都会有新的未经授权的用户进入点，每当的点中的服务扩展和修改时，攻击面就会发生变化。另外，由于ServerLess架构的多进入点和复杂的拓扑结构，ServerLess的攻击面是多层次、多维度的。ServerLess架构的高复杂性和波动性，使得攻击面变大。因此，ServerLess架构能够解决以上两点需求，具有较大优势，但ServerLess架构也面临着重大的威胁。

函数服务为一种新型的云计算模式，为ServerLess架构。函数服务并不需要开发者去管理服务器，其责任划分模式为云厂商提供对服务器的全面托管，开发者只需专注于应用程序设计，并按应用程序的执行次数向云厂商付费。

函数服务以及整个生态系统应该遵循“最小权限”的原则，具体为，函数服务会被赋予相应的权限，函数服务只能在被赋予的权限范围内，对数据库进行CRUD(Create/Read/Update/Delete，创建/读/更新/删除)操作。然而，函数服务的权限可能面向几十种甚至更多的功能，这使得权限成为函数服务的安全弱点，使得函数服务面临着超权限许可的风险。

例如：函数服务执行业务逻辑时，对数据库进行CRUD操作；在此期间，函数服务被赋予对数据库的读写权限。在不对数据库进行CRUD操作时，应当赋予函数服务只读权限或关闭该函数服务的权限，如果此时开发者未更改函数服务器的权限，即函数服务的权限被错误的设置为读写操作，攻击者会利用此漏洞对数据库展开攻击，从而增加了攻击面。

为解决上述问题，本申请实施例提供了一种函数服务管理系统，如图1所示，包括信任控制中心11和信任安全代理12。

本申请实施例中，信任控制中心11为实现安全策略控制和配置用户规则的组件，并信任控制中心11下发安全策略给信任安全代理12。信任控制中心11是终端的权限的唯一签发处，所有终端14的访问请求都需要通过信任控制中心11进行认证和授权，签发相应的权限。信任控制中心11可以通过软件实现，也可以通过硬件实现。

安全策略为进行流量拦截的策略，可以包括但不限终端14可以访问的函数服务、不可以访问的函数服务、丢弃访问请求等信息。终端14可以为函数服务13，也可以为函数服务外的其他设备，如手机、个人电脑、平板电脑、服务器、交换机、路由器等。

当终端14为函数服务13时，实现的是函数服务间的通信。为了对通信过程提供一个较好的保障，函数服务间可以采用微服务框架等通用架构进行通信，实现函数服务间的访问鉴权。为了进一步对通信过程提供一个较好的保障，函数服务间同时还可以采用全链路双向TLS(Transport Layer Security，安全传输层协议)加密进行通信。对此不进行限定。

用户规则可以包括用户访问函数服务的权限信息，如访问信息与访问权限级别的对应关系、访问类别与访问权限级别的对应关系、访问信息与安全策略的对应关系等。

信任安全代理12为实现流量拦截的组件，拦截的安全策略由信任控制中心11下发。信任安全代理12部署在函数服务13的载体上。该信任安全代理12可以通过软件实现，也可以通过硬件实现。函数服务13的载体可以为容器或独立的物理机。本申请实施例中，网络中可以部署多个载体，一个载体上可以部署一个或多个函数服务13，图1中仅示出了一个函数服务13进行说明，并不起限定作用。

上述函数服务管理系统为一个信任体系，在该信任体系下，可以以容器层级的ServerLess架构的实现方式来实现上述函数服务管理系统。

本申请实施例中，可以在Kubernetes集群环境下，部署容器级的函数服务场景，如图2a所示，此时函数服务器的载体为容器。函数服务运行在Pod(容器组)的容器中，Pod由Kubernetes集群管理。Kubernetes集群由容器网络组件+流量管控平台构成，流量管控平台对Pod层流量进行访问控制，容器网络组件对容器层流量进行访问控制。收发数据过程的权限由信任控制中心11决定。信任安全代理可以通过协助代理的模式实现，其中加入了安全策略，以控制对函数服务的访问；信任控制中心可以通过流量管控平台中的控制平面的组件策略进行实现。

在一些实施例中，为便于对来自其他设备的访问请求进行处理，上述函数服务管理系统还可以包括网关代理15，如图2a所示。网关代理15与各个信任安全代理12和信任控制中心11连接。网关代理15接收信任控制中心11下发的转发路由等信息，并基于转发路由信息，将来自终端14的访问请求转发给容器中的信任安全代理12。网关代理15可以通过软件实现，如图2a所示，也可以通过硬件实现，如图2b所示的网关。终端通过外部防火墙和网关等，将访问请求发送给信任安全代理。

在一些实施例中，为便于对安全策略进行更新，及时发现异常访问行为，上述函数服务管理系统还可以包括分布式认证数据库16，如图2a所示。信任控制中心11与分布式认证数据库16连接；分布式认证数据库16为非关系型数据库，用于存储各个过程中的认证信息、认证结果等信任控制中心11收集的信息，如安全策略、用户规则和信任控制中心11收集的日志等信息。所有接收与发送数据的请求认证信息，都需要进行收集，由信任控制中心11进行分析，然后存入分布式认证数据库16。

其中，请求认证信息可以包括但不限于访问函数服务的终端的IP(InternetProtocol，网际协议)地址、访问函数服务的用户类型、登录地点、访问时间段、访问的持续时间、访问函数服务的终端类型、账号密码登录方式、指示信任控制中心是否正常运行的信息、生物识别和授权证书等。其中，账号密码登录方式可以包括但不限于以静态密码、动态密码，令牌和授权卡等登录方式，生物识别为验证是否为生物访问函数服务的信息，授权证书为一种权限信息的表项形式。

分布式认证数据库16采用多节点的方式部署，保存各个过程中的数据，对持续信任评估的数据进行记录，为后台的动态分析提供数据基础。

本申请实施例中，信任控制中心11可以定时对分布式认证数据库16进行安全审查，对分布式认证数据库16的操作和的访问、执行的脚本、命令进行记录，按期进行记录的分析，这利于进行数据追溯和查询，以对疑似违规的访问发出相应的告警，执行安全策略中的措施，使内部数据出问题的风险降到最低。

基于上述函数服务管理系统，本申请实施例提供了一种函数服务管理方法，如图3所示，包括如下步骤：

步骤S31，终端向函数服务发送访问请求，其中，访问请求包括目标访问信息。

本申请实施例中，目标访问信息即为访问请求包括的访问信息。访问信息可以包括但不限于终端的IP地址、用户类型、登录地点、终端类型、账号、密码、环境类型等。

步骤S32，信任安全代理拦截访问请求，并将访问请求发送给信任控制中心。

本申请实施例中，为了提高函数服务器的安全性，信任安全代理可以将拦截的所有访问请求均发送给信任控制中心。

为了降低信任控制中心的负担，提高访问效率，信任安全代理可以将通过指定端口接收的访问请求发送给信任控制中心。其中，指定端口可以为攻击概率较大的端口。

在一些实施例中，信任控制中心可以下发转发策略给网关代理，转发策略指示将通过指定端口接收的访问请求发送给信任安全代理，丢弃通过其他端口接收的访问请求。这种情况下，网关代理会将所有通过指定端口接收的访问请求发送信任安全代理，进而信任安全代理将接收的所有访问请求发送给信任控制中心。

在另外一些实施例中，信任控制中心可以下发转发策略给信任安全代理，转发策略指示将通过指定端口接收的访问请求发送给信任控制中心。这种情况下，信任安全代理从接收的所有访问请求中，筛选出通过指定端口接收的访问请求，进而将通过指定端口接收的访问请求发送给信任控制中心。

步骤S33，信任控制中心确定目标访问信息对应的目标访问权限级别。

本申请实施例中，不同的访问权限级别对应不同的访问方式，相应的，对应不同的安全策略。一个示例中，访问权限级别的设置可以参见表1所示。

表1

访问权限级别	访问方式
		1	完全访问
2	部分访问
		3	拒绝访问

表1中，访问权限级别的数值越大，访问权限级别越低。这些访问权限级别的设置信息可以存储在分布式认证数据库中。

每个终端的访问权限级别可以随时改变。信任控制中心可以从访问请求中提取目标访问信息，基于目标访问信息，查询分布式认证数据库中存储的系统的安全性、特定的访问设备的访问方式、访问地点、访问时间的规律、访问的地理位置等数据，动态推断出分配给终端的访问权限等级，即目标访问权限等级。

在一些实施例中，预先存储了访问信息与访问权限级别的对应关系。这种情况下，上述步骤S33可以为：根据预先存储的访问信息与访问权限级别的对应关系，确定目标访问信息对应的目标访问权限级别。

在另一些实施例中，预先存储了访问类别与访问权限级别的对应关系。其中，访问类别包括用户类型、终端类型和环境类型中的一种或多种访问类型的类别。本申请实施例中，用户类型的访问类别可以包括客户、工程师、运维人员、管理人员等，终端类型的访问类别可以包括手机端、电脑端、服务器端等，环境类型的访问类别可以包括访问的地理位置、网络类型等。基于预先存储的访问类别与访问权限级别的对应关系，信任控制中心确定目标访问信息对应的目标访问权限级别。后续会进行详细说明，此处不做展开介绍。

步骤S34，信任控制中心将目标访问权限级别下发给信任安全代理。

在获得目标访问权限级别后，信任控制中心将目标访问权限级别下发给信任安全代理。信任安全代理上可以运行一个授权引擎，该授权引擎在运行时授权访问请求，例如，接收信任控制中心下发的目标访问权限级别，获取目标访问权限级别对应的安全策略，作为目标安全策略，按照目标安全策略，控制终端访问载体上的函数服务。

例如，目标安全策略指示可以访问函数服务1-3，不可以访问函数服务4。授权引擎评估访问请求的上下文，确定终端访问函数服务4，则基于目标安全策略，获得授权结果为拒绝访问。此时，授权引擎可以丢弃访问请求，或者，向终端反馈指示访问失败的访问响应。

步骤S35，信任安全代理按照目标访问权限级别对应的目标安全策略，控制终端访问载体上的函数服务。

在一些实施例中，信任安全代理中存储有访问权限级别与安全策略的对应关系。安全策略指示了可以访问的函数服务和不可以访问的函数服务等，每个函数服务对应着相应的访问权限级别，当目标访问权限级别大于或等于一个函数服务对应的访问权限级别时，终端可以访问该函数服务。这种情况下，每个函数服务对应的访问权限级别可以根据函数服务的基本信息确定，基本信息包括函数服务的编号、类型、重要性和隐私程度中对一种或多种信息。在获取到目标访问权限级别后，信任安全代理可以根据预先存储的访问权限级别与安全策略的对应关系，确定目标访问权限级别对应的安全策略，作为目标安全策略。

基于上述函数服务对应的访问权限级别的确定，信任控制中心可以基于每个函数服务对应的访问权限级别，生成访问权限级别对应的安全策略；将访问权限级别与安全策略的对应关系下发给信任安全代理。此时，信任安全代理记录访问权限级别与安全策略的对应关系，便于后续对不同访问权限级别的终端进行访问控制。

在另一些实施例中，信任安全代理中存储有访问类别、访问权限级别与安全策略的对应关系。这种情况下，每个函数服务对应的访问权限级别可以根据函数服务的基本信息，以及访问类别确定，基本信息包括函数服务的编号、类型、重要性和隐私程度中对一种或多种信息。在获取到目标访问权限级别后，信任安全代理可以根据预先存储的访问类别、访问权限级别与安全策略的对应关系，确定目标访问类别和目标访问权限级别对应的安全策略，作为目标安全策略。本申请实施例中，信任安全代理按照访问类别，对终端的访问进行精细的控制。

基于上述函数服务对应的访问权限级别的确定，信任控制中心可以基于访问类别，以及访问类别下每个函数服务对应的访问权限级别，生成访问类别下访问权限级别对应的安全策略；将访问类别下访问权限级别与安全策略的对应关系下发给信任安全代理。此时，信任安全代理记录访问类别、访问权限级别与安全策略的对应关系，便于后续对不同访问类别不同访问权限级别的终端进行访问控制。

本申请实施例中，信任控制中心可以周期性的生成访问权限级别与安全策略的对应关系或者访问类别、访问权限级别与安全策略的对应关系，并将生成的对应关系下发给信任安全代理，以及将生成的对应关系存储在分布式认证数据库，以便于后续对终端的访问进行控制，以便于分析更新访问信息、访问类别、访问权限级别等的对应关系。

本申请实施例中，函数服务的基本信息可以为信任安全代理在函数服务启动时所记录的信息。具体可以为：当函数服务启动时，信任安全代理记录函数服务的基本信息，并为该函数服务分配编号，并将编号添加至函数服务的基本信息中，然后将函数服务的基本信息上报给信任控制中心，以便于生成安全策略，以及对函数服务进行监控，动态调整访问权限级别对应的安全策略。

函数服务的基本信息也可以管理人员在信任控制中心侧进行配置和调整，对此不进行限定。

本申请实施例提供的技术方案，在函数服务的载体上部署了信任安全代理，对函数服务的访问要经过信任安全代理才能实现，即信任安全代理从信任控制中心获取相应的访问权限级别后，按照该访问权限级别对应的安全策略，控制终端访问载体上的函数服务。这实现对函数服务的代理和隐藏，使得函数服务的对外端口和应用不会被暴露，提高了函数服务中的应用和数据的安全性。

另外，本申请实施例提供的技术方案中，将信任安全防护的执行端下沉到函数服务的载体中，让威胁或可疑的踩点活动更为容易被发现，进一步提高了函数服务中的应用和数据的安全性。

在一些实施例中，预先存储有访问类别与访问权限级别的对应关系。这些预先存储的信息可以记录在分布式认证数据库中，也可以存储在信任控制中心内部。基于预先存储的信息，如图4所示，上述步骤S33可以为步骤S41-S42。

步骤S41，从目标访问信息中，提取目标访问类别。

目标访问信息可以包括但不限于终端的IP地址、用户类型、登录地点、终端类型、账号、密码、环境类型等。在获得目标访问信息之后，信任控制中心可以从目标访问信息中，提取目标访问类别。例如，信任控制中心从目标访问信息中，提取用户类型的目标访问类别为客户，或者，从目标访问信息中，提取终端类型的目标访问类别为电脑端。

步骤S42，根据预先存储的访问类别与访问权限级别的对应关系，确定目标访问类型对应的目标访问权限级别。

在获得目标访问类别之后，信任控制中心可以从预先存储的访问类别与访问权限级别的对应关系中，查找包括目标访问类别的对应关系，将查找到的对应关系中的访问权限级别作为目标访问权限级别。

在一些实施例中，当访问类别包括多种访问类型的类别，目标访问类别包括多个访问类型的访问类别时，上述步骤S42可以为：根据预先存储的访问类别与访问权限级别的对应关系，确定每个目标访问类别对应的访问权限级别，即分访问权限级别；根据多个分访问权限级别，确定目标访问权限级别。

一个示例中，信任控制中心可以计算多个分访问权限级别的和值，根据预设存储的候选级别区间与访问权限级别的对应关系，确定计算得到的和值所在的候选级别区间对应的访问权限级别，作为目标访问权限级别。

例如，信任控制中心确定目标访问类别包括用户类型的客户和终端类型的手机端。信任控制中心确定用户类型的客户对应的分访问权限级别为2，终端类型的手机端对应的分访问权限级别为3，计算多个分访问权限级别的和值为2+3＝5，确定5所在的候选级别区间对应的访问权限级别，作为目标访问权限级别。

另一个示例中，信任控制中心可以计算多个分访问权限级别的均值，根据预设存储的候选级别区间与访问权限级别的对应关系，确定计算得到的均值所在的候选级别区间对应的访问权限级别，作为目标访问权限级别。

本申请实施例中，信任控制中心还可以采用其他方式确定目标访问权限级别，例如，从多个分访问权限级别中，选择级别最低的分访问权限级别作为目标访问权限级别。

一种访问权限级别配置一种权限，并且大量访问请求可以对应同一种访问类别。基于此，本申请实施例提供的技术方案中，信任控制中心按照访问类别划分访问权限级别，相对于基于函数服务的权限配置方式，本申请实施例提供的技术方案增大了权限配置的粒度，降低了错误、不当配置的可能性，进而降低了攻击者获得访问超出自身权限范围之外的服务的机会的可能性。

在一些实施例中，本申请实施例还提供了一种数据监控方法，如图5所示，可以包括如下步骤。

步骤S51，对访问请求所访问的目标函数服务中的数据进行识别，得到所访问的数据类型。

在终端访问函数服务的过程中，信任控制中心对访问请求所访问的目标函数服务中的数据进行识别，确定所访问的数据的类型。其中，数据类型可以分为敏感数据和非敏感数据。

在一些实施例中，上述步骤S51可以为：提取访问请求所访问的目标函数服务中的数据的中的敏感信息，敏感信息可以包括数据所属网段、运行环境、以及数据中的预设字段中的一种或多种信息；将所提取的敏感信息与预设敏感信息进行匹配，得到所访问的数据类型。其中，若所提取的敏感信息与预设敏感信息匹配，则得到所访问的数据类型为敏感数据；若所提取的敏感信息与预设敏感信息不匹配，则得到所访问的数据类型为非敏感数据。

步骤S52，若所访问的数据类型为敏感数据，则将访问请求与目标函数服务关联，并记录所访问的数据的去向和用途。

当所访问的数据类型为敏感数据时，信任控制中心将访问请求与目标函数服务关联，实现敏感数据的流量与业务对应的目标函数服务关联，这可以明确获知哪些业务经常会对敏感数据进行访问、传输。

另外，信任控制中心记录所访问的敏感数据的去向和用途。

本申请实施例中，访问请求与目标函数服务关联，以及所访问的数据的去向和用途可以记录在分布式认证数据库中。这有助于信任控制中心进行安全审查，更新符合实际需求的安全策略以及访问权限级别等信息，进而提高访问控制的准确性，进一步解决了超权限许可的问题。

本申请实施例中，上述分布式认证数据库中记录的信息可以作为信任控制中心的日志。基于此，本申请实施例还提供了一种异常处理方法，如图6所示，可以包括如下步骤。

步骤S61，基于信任控制中心的日志，监控终端的访问行为。

本申请实施例中，信任控制中心的日志可以分为以下3个方面的数据。

1)用户数据

用户的网络登陆时间、IP信息、用户的环境信息、操作系统信息、杀毒软件信息、用户的验证信息、访问请求信息等；

2)服务端数据

信任控制中心会记录用户的每一次访问信息，同时记录下每一次用户的访问权限级别、访问情况、告警信息等。

3)控制中心数据

操作日志，包含内部/外部人员的访问行为的日志等。

信任控制中心对信任控制中心的日志进行分析，获得终端的访问行为，如频繁更换账号登录、登录地点变更、多次更换登录设备、登录失败次数超过阈值、非正常时间段访问、密码暴力破解、端口扫描等。

步骤S62，将访问行为的意图与目标安全策略和历史访问行为对比，得到对比结果，对比结果指示终端是否异常。

异常情况包括用户访问行为异常、网络入侵异常和内部威胁异常等。

在获得终端的访问行为之后，信任控制中心对访问行为进行意图分析，进而将访问行为的意图与目标安全策略和历史访问行为对比，确定是否符合用户规则，是否符合历史访问特点，进而确定终端是否异常，是否放行访问请求。

在确定终端异常时，信任控制中心可以指示信任安全代理拒绝放行访问请求；在确定终端正常时，信任控制中心可以指示信任安全代理放行访问请求。通过上述步骤S61-S62，信任控制中心可以实现动态的执行安全策略。例如，针对内部的开发人员，在访问数据中心时，每次均需要提交申请，获得权限许可后才能访问数据中心。

步骤S63，在对比结果指示终端异常时，输出告警信息。

本申请实施例中，输出告警信息可以包括但不限于采用短信、邮件、提示框等方式输出告警信息。

本申请实施例提供的技术方案中，通过权限授权的方法，对函数服务进行管理，解决函数服务的安全访问问题，降低了来自函数服务外部和内部的权限滥用、越界访问的风险。

与上述函数服务管理方法对应，本申请实施例还提供了一种函数服务管理装置，如图7所示，应用于信任控制中心，包括：

接收单元71，用于接收信任安全代理转发来自终端的访问请求，信任安全代理部署在函数服务的载体上，访问请求包括目标访问信息；

确定单元72，用于确定目标访问信息对应的目标访问权限级别；

下发单元73，用于将目标访问权限级别下发给信任安全代理，以使信任安全代理按照目标访问权限级别对应的目标安全策略，控制终端访问载体上的函数服务。

在一些实施例中，确定单元72，具体可以用于：

从所述目标访问信息中，提取目标访问类别；

根据预先存储的访问类别与访问权限级别的对应关系，确定目标访问类别对应的目标访问权限级别。

在一些实施例中，当访问类别包括多种访问类型的类别，目标访问类别包括多个访问类型的访问类别时，确定单元72，具体可以用于：

据预先存储的访问类别与访问权限级别的对应关系，确定每个目标访问类别对应的分访问权限级别；

根据多个分访问权限级别，确定目标访问权限级别。

在一些实施例中，确定单元72，具体可以用于：

计算多个分访问权限级别的和值；

根据预设存储的候选级别区间与访问权限级别的对应关系，确定和值所在的候选级别区间对应的目标访问权限级别。

在一些实施例中，访问类别可以包括用户类型、终端类型和环境类型中的一种或多种访问类型的类别；

每个函数服务对应的访问权限级别可以根据函数服务的基本信息确定，或者，根据每个函数服务对应的访问权限级别根据函数服务的基本信息以及访问信息确定，基本信息包括函数服务的编号、类型、重要性和隐私程度中对一种或多种信息。

在一些实施例中，上述函数服务管理装置还可以包括：

生成单元，用于基于访问类别，以及访问类别下每个函数服务对应的访问权限级别，生成访问类别下访问权限级别对应的安全策略；

下发单元，还用于将访问类别下访问权限级别与安全策略的对应关系下发给信任安全代理。

在一些实施例中，基本信息可以为信任安全代理在函数服务启动时所记录的信息。

在一些实施例中，上述函数服务管理装置还可以包括：

识别单元，用于对访问请求所访问的目标函数服务中的数据进行识别，得到所访问的数据类型；

记录单元，用于若所访问的数据类型为敏感数据，则将访问请求与目标函数服务关联，并记录所访问的数据的去向和用途。

在一些实施例中，识别单元，具体可以用于：

提取访问请求所访问的目标函数服务中的数据的中的敏感信息，敏感信息包括数据所属网段、运行环境、以及数据中的预设字段中的一种或多种信息；

将所提取的敏感信息与预设敏感信息进行匹配，得到所访问的数据类型。

在一些实施例中，上述函数服务管理装置还可以包括：

监控单元，用于基于信任控制中心的日志，监控终端的访问行为；

对比单元，用于将访问行为的意图与目标安全策略和历史访问行为进行对比，得到对比结果，对比结果指示终端是否异常；

输出单元，用于当对比结果指示终端异常时，输出告警信息。

在一些实施例中，函数服务间可以采用微服务框架和/或全链路双向TLS加密进行通信。

本申请实施例提供的技术方案，在函数服务的载体上部署了信任安全代理，对函数服务的访问要经过信任安全代理才能实现，即信任安全代理从信任控制中心获取相应的访问权限级别后，按照该访问权限级别对应的安全策略，控制终端访问载体上的函数服务。这实现对函数服务的代理和隐藏，使得函数服务的对外端口和应用不会被暴露，提高了函数服务中的应用和数据的安全性。

与上述函数服务管理方法对应，本申请实施例还提供了一种信任控制中心，如图8所示，包括处理器81和机器可读存储介质82，所述机器可读存储介质82存储有能够被所述处理器81执行的机器可执行指令，所述处理器81被所述机器可执行指令促使：实现图3-6任一所述的方法步骤。

机器可读存储介质可以包括随机存取存储器(Random Access Memory，RAM)，也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如至少一个磁盘存储器。可选的，机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。

处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital SignalProcessor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

在本申请提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述图3-6任一所述的方法步骤。

在本申请提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述图3-6任一所述的方法步骤。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、信任控制中心、存储介质、计算机程序产品实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的较佳实施例，并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本申请的保护范围内。

Claims (13)

1.一种函数服务管理方法，其特征在于，应用于信任控制中心，所述方法包括：

接收信任安全代理转发的来自终端的访问请求，所述信任安全代理部署在函数服务的载体上，所述访问请求包括目标访问信息；

确定所述目标访问信息对应的目标访问权限级别；

将所述目标访问权限级别下发给所述信任安全代理，以使所述信任安全代理按照所述目标访问权限级别对应的目标安全策略，控制所述终端访问所述载体上的函数服务。

2.根据权利要求1所述的方法，其特征在于，所述确定所述目标访问信息对应的目标访问权限级别的步骤，包括：

从所述目标访问信息中，提取目标访问类别；

根据预先存储的访问类别与访问权限级别的对应关系，确定所述目标访问类别对应的目标访问权限级别。

3.根据权利要求2所述的方法，其特征在于，当所述访问类别包括多种访问类型的类别，所述目标访问类别包括多个访问类型的访问类别时，所述根据预先存储的访问类别与访问权限级别的对应关系，确定所述目标访问类别对应的目标访问权限级别的步骤，包括：

据预先存储的访问类别与访问权限级别的对应关系，确定每个目标访问类别对应的分访问权限级别；

根据多个分访问权限级别，确定目标访问权限级别。

4.根据权利要求3所述的方法，其特征在于，所述根据多个分访问权限级别，确定目标访问权限级别的步骤，包括：

计算所述多个分访问权限级别的和值；

根据预设存储的候选级别区间与访问权限级别的对应关系，确定所述和值所在的候选级别区间对应的目标访问权限级别。

5.根据权利要求2所述的方法，其特征在于，所述访问类别包括用户类型、终端类型和环境类型中的一种或多种访问类型的类别；

每个函数服务对应的访问权限级别根据所述函数服务的基本信息确定，或者，根据每个函数服务对应的访问权限级别根据所述函数服务的基本信息以及访问信息确定，所述基本信息包括所述函数服务的编号、类型、重要性和隐私程度中对一种或多种信息。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

基于所述访问类别，以及所述访问类别下每个函数服务对应的访问权限级别，生成所述访问类别下所述访问权限级别对应的安全策略；

将所述访问类别下所述访问权限级别与所述安全策略的对应关系下发给所述信任安全代理。

7.根据权利要求5所述的方法，其特征在于，所述基本信息为所述信任安全代理在函数服务启动时所记录的信息。

8.根据权利要求1所述的方法，其特征在于，所述方法还包括：

对所述访问请求所访问的目标函数服务中的数据进行识别，得到所访问的数据类型；

若所访问的数据类型为敏感数据，则将所述访问请求与所述目标函数服务关联，并记录所访问的数据的去向和用途。

9.根据权利要求8所述的方法，其特征在于，所述对所述访问请求所访问的目标函数服务中的数据进行识别，得到所访问的数据类型的步骤，包括：

提取所述访问请求所访问的目标函数服务中的数据的中的敏感信息，所述敏感信息包括数据所属网段、运行环境、以及数据中的预设字段中的一种或多种信息；

将所提取的敏感信息与预设敏感信息进行匹配，得到所访问的数据类型。

10.根据权利要求1所述的方法，其特征在于，所述方法还包括：

基于所述信任控制中心的日志，监控所述终端的访问行为；

将所述访问行为的意图与所述目标安全策略和历史访问行为对比，得到对比结果，所述对比结果指示所述终端是否异常；

当所述对比结果指示所述终端异常时，输出告警信息。

11.根据权利要求1-10任一项所述的方法，其特征在于，所述函数服务间采用微服务框架和/或全链路双向安全传输层协议TLS加密进行通信。

12.根据权利要求1-10任一项所述的方法，其特征在于，所述信任控制中心与分布式认证数据库连接；

所述分布式认证数据库中存储有所述信任控制中心收集的信息。

13.一种函数服务管理装置，其特征在于，应用于信任控制中心，所述装置包括：

接收单元，用于接收信任安全代理转发来自终端的访问请求，所述信任安全代理部署在函数服务的载体上，所述访问请求包括目标访问信息；

确定单元，用于确定所述目标访问信息对应的目标访问权限级别；

下发单元，用于将所述目标访问权限级别下发给所述信任安全代理，以使所述信任安全代理按照所述目标访问权限级别对应的目标安全策略，控制所述终端访问所述载体上的函数服务。

Images