CN115842642A - 网络访问管理方法、装置及电子设备 - Google Patents
网络访问管理方法、装置及电子设备 Download PDFInfo
- Publication number
- CN115842642A CN115842642A CN202111113330.8A CN202111113330A CN115842642A CN 115842642 A CN115842642 A CN 115842642A CN 202111113330 A CN202111113330 A CN 202111113330A CN 115842642 A CN115842642 A CN 115842642A
- Authority
- CN
- China
- Prior art keywords
- network access
- management
- behavior
- authority
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本申请提供了一种网络访问管理方法、装置、电子设备、计算机可读存储介质及计算机程序产品,相关实施例可应用于云技术、人工智能、智慧交通等各种场景。其中,网络访问管理方法包括:获取针对目标对象配置的权限管理策略;根据权限管理策略触发驱动层对网络协议栈进行数据监控处理,并对监控到的网络访问数据进行行为识别处理,得到网络访问行为;根据权限管理策略对网络访问行为进行安全检验处理,得到用于表示是否拦截网络访问行为的检验结果;根据检验结果执行针对网络访问行为的控制操作。通过本申请,能够通过驱动层实现透明的网络访问管理,在各种场景下提升网络访问管理的安全性。
Description
技术领域
本申请涉及网络技术,尤其涉及一种网络访问管理方法、装置、电子设备、计算机可读存储介质及计算机程序产品。
背景技术
互联网(Internet)是指网络与网络之间所串连成的庞大网络,电子设备可以通过接入互联网从而执行网络访问行为,例如获取网络资讯、游玩网络游戏等。然而,网络访问行为存在高不确定性、高风险性的特点,容易对使用电子设备的用户的日常工作产生干扰。
在相关技术提供的方案中,通常是利用分层服务提供者(Layered ServiceProvider,LSP)提供的接口,将用于网络访问管理的动态链接库(Dynamic Link Library,DLL)注入至用于执行网络访问行为的进程中,从而实现网络访问管理。然而,该方案对于用户来说不透明,导致用户容易绕过网络访问管理的限制,即网络访问管理的安全性低。
发明内容
本申请实施例提供一种网络访问管理方法、装置、电子设备、计算机可读存储介质及计算机程序产品,能够通过驱动层实现透明的网络访问管理,提升网络访问管理的安全性。
本申请实施例的技术方案是这样实现的:
本申请实施例提供一种网络访问管理方法,包括:
获取针对目标对象配置的权限管理策略;
根据所述权限管理策略向驱动层发送监控指令,以使所述驱动层根据所述监控指令对网络协议栈进行数据监控处理,并对监控到的网络访问数据进行行为识别处理,得到网络访问行为;
根据所述权限管理策略对所述网络访问行为进行安全检验处理,得到用于表示是否拦截所述网络访问行为的检验结果;
根据所述检验结果执行针对所述网络访问行为的控制操作。
本申请实施例提供一种网络访问管理装置,包括:
策略获取模块,用于获取针对目标对象配置的权限管理策略;
行为监控模块,用于根据所述权限管理策略向驱动层发送监控指令,以使所述驱动层根据所述监控指令对网络协议栈进行数据监控处理,并对监控到的网络访问数据进行行为识别处理,得到网络访问行为;
安全检验模块,用于根据所述权限管理策略对所述网络访问行为进行安全检验处理,得到用于表示是否拦截所述网络访问行为的检验结果;
执行模块,用于根据所述检验结果执行针对所述网络访问行为的控制操作。
本申请实施例提供一种电子设备,包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现本申请实施例提供的网络访问管理方法。
本申请实施例提供一种计算机可读存储介质,存储有可执行指令,可执行指令被处理器执行时实现本申请实施例提供的网络访问管理方法。
本申请实施例提供一种计算机程序产品,包括可执行指令,可执行指令被处理器执行时实现本申请实施例提供的网络访问管理方法。
本申请实施例具有以下有益效果:
在获取到针对目标对象配置的权限管理策略后,根据该权限管理策略触发驱动层,以使驱动层对网络协议栈进行数据监控处理,并对监控到的网络访问数据进行行为识别处理得到网络访问行为。然后,根据权限管理策略对网络访问行为进行安全检验处理,并根据检验结果执行针对网络访问行为的控制操作。如此,能够通过驱动层实现透明的网络访问管理,提升网络访问管理的安全性,有效避免用户绕过网络访问管理的限制。
附图说明
图1是本申请实施例提供的网络访问管理系统的架构示意图;
图2是本申请实施例提供的终端设备的架构示意图;
图3A是本申请实施例提供的网络访问管理方法的一种流程示意图;
图3B是本申请实施例提供的网络访问管理方法的另一种流程示意图;
图3C是本申请实施例提供的网络访问管理方法的另一种流程示意图;
图4是本申请实施例提供的网络访问管理方法的另一种流程示意图;
图5是本申请实施例提供的网络访问管理界面的一种示意图;
图6是本申请实施例提供的网络访问管理界面的另一种示意图;
图7是本申请实施例提供的看板界面的一种示意图;
图8是本申请实施例提供的看板界面的另一种示意图;
图9是本申请实施例提供的浏览器界面的示意图;
图10是本申请实施例提供的网络访问管理方法的另一种流程示意图;
图11A是本申请实施例提供的账号树的一种示意图;
图11B是本申请实施例提供的账号树的另一种示意图;
图11C是本申请实施例提供的账号树的另一种示意图;
图12是本申请实施例提供的根据管理时间段进行网络访问管理的示意图;
图13是本申请实施例提供的白名单策略的组成成分示意图;
图14是本申请实施例提供的权限申请过程的示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,所描述的实施例不应视为对本申请的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。在以下的描述中,所涉及的术语“多个”是指至少两个。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
对本申请实施例进行进一步详细说明之前,对本申请实施例中涉及的名词和术语进行说明,本申请实施例中涉及的名词和术语适用于如下的解释。
1)网络服务:通过网络提供的服务,如网络资讯服务、网络游戏服务等。网络服务的提供者可以是特定的电子设备,如服务器或服务器集群等。在本申请实施例中,权限管理服务是一种特殊的网络服务,用于提供权限管理的功能,权限管理服务可以将电子设备作为管理单位进行管理,也可以将团队作为管理单位进行管理,其中,每个团队包括至少一个电子设备。其中,对权限管理服务的类型不做限定,例如可以是软件服务化(Software as aService,SaaS)服务。
2)团队:又称组织,是指待管理的电子设备所构成的集合,一个团队包括至少一个电子设备。例如,一个团队可以是指一个家庭、一个学校或一个公司。在本申请实施例中,为了便于区分不同的团队,可以为不同的团队设定不同的团队标识信息,团队标识信息如个人密码(Personal Identification Number,PIN)。
3)驱动层:又称内核层,主要为电子设备的各种硬件提供底层的驱动。驱动是与操作系统同级的运行空间,用户无法感知到驱动的具体操作,即驱动等同于操作系统提供的能力。
4)应用层:用于以进程形式运行各种应用程序。
5)网络协议栈:又称协议堆叠,是计算机网络协议套件的软件实现,是网络中各层协议的总和,反映了网络中数据传输的过程。例如,网络协议栈可以是传输控制协议/网际协议(Transmission Control Protocol/Internet Protocol,TCP/IP)协议栈。
6)网络访问行为:用于访问网络服务,可以在网络协议栈中以数据形式体现。
7)权限管理策略:由权限管理服务进行配置,例如在以团队为管理单位的情况下,可由权限管理服务针对管理的各个团队的特点进行配置。对于一个团队来说,可以对应一个或多个权限管理策略。不同团队分别对应的权限管理策略可以相同,也可以不同,以电子设备为管理单位的情况同理。
8)云技术(Cloud Technology):在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。本申请实施例可以结合云技术实现,例如,涉及的电子设备可以是用于提供云服务的云设备,如云服务器。
9)人工智能(Artificial Intelligence,AI):利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。本申请实施例可以结合人工智能实现,例如,可以通过人工智能技术来生成针对目标对象的权限管理策略,实现权限管理策略的自动配置;又例如,可以通过人工智能技术对补充权限请求进行审批处理,实现智能审批。
10)智能交通系统(Intelligent Traffic System,ITS):又称智能运输系统(Intelligent Transportation System),是将先进的科学技术(信息技术、计算机技术、数据通信技术、传感器技术、电子控制技术、自动控制理论、运筹学、人工智能等)有效地综合运用于交通运输、服务控制和车辆制造,加强车辆、道路、使用者三者之间的联系,从而形成一种保障安全、提高效率、改善环境、节约能源的综合运输系统。本申请实施例可以应用于智能交通系统中,实现智慧交通,例如可以针对车载终端进行网络访问管理,以提升车载终端的安全性。
对于网络访问管理,相关技术提供了以下三种方案。
1)应用层LSP Hook方案,该方案利用LSP提供的接口将网络访问管理模块(如用于网络访问管理的DLL)注入到用于执行网络访问行为的进程中,以在被注入的进程中运行网络访问管理模块,从而达到网络访问管理的目的。然而,该方案属于应用层的网络访问管理,至少存在以下问题:①对于每一个用于执行网络访问管理的进程都需要把网络访问管理模块注入进去,对用户来说做不到透明,导致用户容易绕过网络访问管理的机制进行违规网络访问;②无法实现批量的网络访问管理,即网络访问管理的效率低;③由于网络在应用层上有多套输入/输出(Input/Output,I/O)模型,因此负责网络访问管理的DLL需要相应地进行多套I/O模型的适配,从开发成本上来说工作量很大,并且也很容易对进程本身造成不良影响,从而影响用户的正常办公使用。
2)浏览器辅助对象(Browser Helper Object,BHO)插件注入方案。该方案采用的是浏览器插件扩展的技术,即是将网络访问管理模块注入到特定的浏览器进程中去,从而对基于浏览器的网络访问行为进行监控和拦截。然而,该方案仅能对浏览器进程进行网络访问管理,无法对非浏览器进程进行网络访问管理;另外一方面,由于有些浏览器针对BHO方案通常有防止注入的逻辑,因此难以保证注入成功率,即网络访问管理的成功率低。
3)网关AP方案。该方案通过硬件部署,从而在物理网络的进站和入站处处理网络的访问信息,从而对物理网络拓扑结构下的电子设备进行网络访问管理。然而,该方案的设备采购成本非常大,硬件部署也较为麻烦,特别不适合于中小团队(如中小企业)。
本申请实施例提供一种网络访问管理方法、装置、电子设备、计算机可读存储介质及计算机程序产品,能够通过驱动层实现透明的网络访问管理,提升网络访问管理的安全性,同时还可实现针对团队的批量网络访问管理,提升网络访问管理效率。下面说明本申请实施例提供的电子设备的示例性应用,本申请实施例提供的电子设备可以实施为各种类型的终端设备,也可以实施为服务器。
参见图1,图1是本申请实施例提供的网络访问管理系统100的架构示意图,终端设备400通过网络300连接服务器200,或者,服务器500通过网络300连接服务器200,其中,服务器200连接数据库600,网络300可以是广域网或者局域网,又或者是二者的组合。
在一些实施例中,以电子设备是终端设备为例,本申请实施例提供的网络访问管理方法可以由终端设备实现。例如,终端设备400将权限请求发送至权限管理服务,以获取权限管理服务针对目标对象(指终端设备400或终端设备400所属的团队)配置的权限管理策略;根据权限管理策略向终端设备400的驱动层发送监控指令,以使驱动层根据监控指令对网络协议栈进行数据监控处理,并对监控到的网络访问数据进行行为识别处理,得到网络访问行为;根据权限管理策略对网络访问行为进行安全检验处理,得到用于表示是否拦截网络访问行为的检验结果;根据检验结果执行针对网络访问行为的控制操作。其中,权限管理服务可以是由服务器200所提供的,对于该情况,服务器200在接收到终端设备400发送的权限请求时,从数据库600中获取目标对象对应的权限管理策略,并将该权限管理策略发送至终端设备400。
在一些实施例中,以电子设备是服务器为例,本申请实施例提供的网络访问管理方法可以由服务器实现。例如,服务器500将权限请求发送至权限管理服务,以获取权限管理服务针对目标对象(指服务器500本身或服务器500所属的团队)配置的权限管理策略;根据权限管理策略向服务器500的驱动层发送监控指令,以使驱动层根据监控指令对网络协议栈进行数据监控处理,并对监控到的网络访问数据进行行为识别处理,得到网络访问行为;根据权限管理策略对网络访问行为进行安全检验处理,得到用于表示是否拦截网络访问行为的检验结果;根据检验结果执行针对网络访问行为的控制操作。其中,权限管理服务可以是服务器200提供的,服务器200区别于服务器500。
在一些实施例中,可以将网络访问管理过程中涉及到的各种结果(如权限管理策略等)存储至区块链中,由于区块链具有不可篡改的特性,因此能够保证区块链中的数据的准确性。电子设备可以向区块链发送查询请求,以查询区块链中存储的数据。
在一些实施例中,终端设备400或服务器500可以通过运行计算机程序来实现本申请实施例提供的网络访问管理方法,例如,计算机程序可以是操作系统中的原生程序或软件模块;可以是本地(Native)应用程序(APP,Application),即需要在操作系统中安装才能运行的程序,如用于维护设备安全的网络访问管理APP;也可以是小程序,即只需要下载到浏览器环境中就可以运行的程序;还可以是能够嵌入至任意APP中的小程序。总而言之,上述计算机程序可以是任意形式的应用程序、模块或插件。
在一些实施例中,服务器(如服务器200或服务器500)可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端设备400可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能电视、智能手表、车载终端等,但并不局限于此。终端设备400与服务器200之间、以及服务器500与服务器200之间均可以通过有线或无线通信方式进行直接或间接地连接,本申请实施例中不做限制。
在一些实施例中,数据库600和服务器200可以独立设置。在一些实施例中,数据库600和服务器200也可以集成在一起,即数据库600可以视为存在于服务器200内部,与服务器200一体化,服务器200可以提供数据库600的数据管理功能。
以本申请实施例提供的电子设备是终端设备为例说明,可以理解的,对于电子设备是服务器的情况,图2中示出的结构中的部分(例如用户接口、呈现模块和输入处理模块)可以缺省。参见图2,图2是本申请实施例提供的终端设备400的结构示意图,图2所示的终端设备400包括:至少一个处理器410、存储器450、至少一个网络接口420和用户接口430。终端设备400中的各个组件通过总线系统440耦合在一起。可理解,总线系统440用于实现这些组件之间的连接通信。总线系统440除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图2中将各种总线都标为总线系统440。
处理器410可以是一种集成电路芯片,具有信号的处理能力,例如通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,其中,通用处理器可以是微处理器或者任何常规的处理器等。
用户接口430包括使得能够呈现媒体内容的一个或多个输出装置431,包括一个或多个扬声器和/或一个或多个视觉显示屏。用户接口430还包括一个或多个输入装置432,包括有助于用户输入的用户接口部件,比如键盘、鼠标、麦克风、触屏显示屏、摄像头、其他输入按钮和控件。
存储器450可以是可移除的,不可移除的或其组合。示例性的硬件设备包括固态存储器,硬盘驱动器,光盘驱动器等。存储器450可选地包括在物理位置上远离处理器410的一个或多个存储设备。
存储器450包括易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。非易失性存储器可以是只读存储器(ROM,Read Only Memory),易失性存储器可以是随机存取存储器(RAM,Random Access Memory)。本申请实施例描述的存储器450旨在包括任意适合类型的存储器。
在一些实施例中,存储器450能够存储数据以支持各种操作,这些数据的示例包括程序、模块和数据结构或者其子集或超集,下面示例性说明。
操作系统451,包括用于处理各种基本系统服务和执行硬件相关任务的系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务;
网络通信模块452,用于经由一个或多个(有线或无线)网络接口420到达其他电子设备,示例性的网络接口420包括:蓝牙、无线相容性认证(WiFi)、和通用串行总线(USB,Universal Serial Bus)等;
呈现模块453,用于经由一个或多个与用户接口430相关联的输出装置431(例如,显示屏、扬声器等)使得能够呈现信息(例如,用于操作外围设备和显示内容和信息的用户接口);
输入处理模块454,用于对一个或多个来自一个或多个输入装置432之一的一个或多个用户输入或互动进行检测以及翻译所检测的输入或互动。
在一些实施例中,本申请实施例提供的网络访问管理装置可以采用软件方式实现,图2示出了存储在存储器450中的网络访问管理装置455,其可以是程序和插件等形式的软件,包括以下软件模块:策略获取模块4551、行为监控模块4552、安全检验模块4553以及执行模块4554,这些模块是逻辑上的,因此根据所实现的功能可以进行任意的组合或进一步拆分。将在下文中说明各个模块的功能。
将结合本申请实施例提供的电子设备的示例性应用和实施,说明本申请实施例提供的网络访问管理方法。
参见图3A,图3A是本申请实施例提供的网络访问管理方法的流程示意图,该方法可以由电子设备执行,将结合图3A示出的步骤进行说明。
在步骤101中,获取针对目标对象配置的权限管理策略。
这里,电子设备可以获取针对目标对象配置的权限管理策略,其中,目标对象可以是电子设备自身,也可以是电子设备所属的团队。其中,目标对象对应的权限管理策略可以是一个或多个,一个权限管理策略可以对应一个网络服务。
值得说明的是,可以根据目标对象的特点来配置对应的权限管理策略,权限管理策略可以包括白名单和/或黑名单。以白名单为例,对于家庭内部的目标对象来说,对应的权限管理策略可以用于限制仅能访问教育相关的网络服务;对于企业内部的目标对象来说,对应的权限管理策略可以用于限制仅能访问企业内部相关的网络服务。
在一些实施例中,步骤101之前,还包括:获取针对权限管理策略配置的管理设备参数;其中,管理设备参数包括管理时间段、管理设备以及管理账号中的至少之一;可以通过这样的方式来实现上述的获取针对目标对象配置的权限管理策略:周期性地进行设备参数监控处理得到实时设备参数,并将实时设备参数与管理设备参数进行匹配处理;当实时设备参数与管理设备参数匹配成功时,获取针对目标对象配置的权限管理策略。
这里,电子设备可以首先获取针对目标对象对应的权限管理策略配置的管理设备参数,其中,管理设备参数包括管理时间段、管理设备以及管理账号中的至少之一。在获取到管理设备参数后,电子设备可以周期性地对自身进行设备参数监控处理,得到实时设备参数,并将实时设备参数与管理设备参数进行匹配处理。
其中,实时设备参数包括实时时间、实时设备(即电子设备本身)以及实时账号中的至少之一,且实时设备参数中的元素与管理设备参数中的元素相对应。举例来说,管理设备参数仅包括管理时间段,则实时设备参数同样仅包括实时时间;管理设备参数仅包括管理时间段及管理设备,则实时设备参数同样仅包括实时时间及实时设备,以此类推。值得说明的是,管理设备以及实时设备可以通过电子设备的设备标识信息来体现,设备标识信息如全局唯一标识符(Globally Unique IDentifier,GUID);实时账号可以是指操作系统中处于登录态的账号,也可以是指计算机程序(如用于访问权限管理服务的计算机程序)中处于登录态的账号,对此不做限定;账号可以通过账号标识信息来体现。
当监控到的实时设备参数与管理设备参数匹配成功时,电子设备获取目标对象对应的权限管理策略;当监控到的实时设备参数与管理设备参数匹配失败时,电子设备可以不获取目标对象对应的权限管理策略,即不进行网络访问管理。例如,管理设备参数仅包括管理时间段,具体为上午9点~下午5点,实时设备参数仅包括实时时间,具体为下午1点,则由于实时时间与管理时间段匹配成功(下午1点落入了上午9点~下午5点的范围内),因此确定实时设备参数与管理设备参数匹配成功;又例如,管理设备参数仅包括管理设备,具体包括设备1、设备2以及设备3,实时设备参数仅包括实时设备,具体为设备1,则由于实时设备与管理设备匹配成功(实时设备落入管理设备的范围内),因此确定实时设备参数与管理设备参数匹配成功;又例如,管理设备参数仅包括管理账号,具体包括账号1、账号2以及账号3,实时设备参数仅包括实时账号,具体为账号1,则由于实时账号与管理账号匹配成功(实时账号落入管理账号的范围内),因此确定实时设备参数与管理设备参数匹配成功。当然,当管理设备参数包括多个元素(如同时包括管理时间段及管理设备)时,只有在管理设备参数中的每个元素均与实时设备参数中相应的元素匹配成功的情况下,才确定实时设备参数与管理设备参数匹配成功。
通过上述方式,能够提升网络访问管理的必要性和准确性,即在需要进行网络访问管理时才获取权限管理策略。
在一些实施例中,权限管理策略包括临时权限管理策略以及固定权限管理策略;步骤101之后,还包括:当清理周期到达时,对临时权限管理策略进行清理处理,并禁止清理固定权限管理策略。
这里,目标对象对应的权限管理策略可以包括临时权限管理策略以及固定权限管理策略,其中,临时权限管理策略用于临时使用,固定权限管理策略用于在整个网络访问管理过程中使用。因此,考虑到网络访问管理的时效性和准确性,可以在清理周期到达时,对临时权限管理策略进行清理处理,并禁止清理固定权限管理策略,即保持固定权限管理策略不变,其中,清理处理可以是通过驱动层实现的。如此,可以实现差异化的网络访问管理,同时也可以节省电子设备的存储空间。
举例来说,临时权限管理策略可以是用于管理目标对象的管理员通过权限管理服务配置的、目标对象可以访问的网络服务对应的权限管理策略,固定权限管理策略可以包括权限管理服务自身对应的权限管理策略和/或权限管理服务在运行过程中需要访问的网络服务对应的权限管理策略。
在一些实施例中,可以通过这样的方式来实现上述的获取针对目标对象配置的权限管理策略:执行以下任意一种处理:将包括设备标识信息的权限请求发送至权限管理服务,以获取权限管理服务针对目标对象配置的权限管理策略;其中,权限管理服务用于管理至少一个电子设备,目标对象为至少一个电子设备中与设备标识信息对应的电子设备;将包括团队标识信息的权限请求发送至权限管理服务,以获取权限管理服务针对目标对象配置的权限管理策略;其中,权限管理服务用于管理至少一个团队,目标对象为至少一个团队中与团队标识信息对应的团队,至少一个团队中的每个团队包括至少一个电子设备。
这里,电子设备可以向权限管理服务请求权限管理策略,其中,权限管理服务可以将电子设备作为管理单位进行管理,也可以将团队作为管理单位进行管理,以下将分别说明这两种情况。
第一种情况是,权限管理服务将电子设备作为管理单位进行管理,且权限管理服务管理有至少一个电子设备。针对该情况,电子设备可以将包括自身的设备标识信息的权限请求发送至权限管理服务,以使权限管理服务在管理的至少一个电子设备中筛选出与接收到的设备标识信息对应的电子设备,为了便于区分,将这里筛选出的电子设备命名为目标对象。然后,权限管理服务将针对目标对象配置的权限管理策略发送至电子设备(指发送权限请求的电子设备)。
这里,电子设备可以呈现网络访问管理界面,并通过网络访问管理界面获取设备标识信息。例如,网络访问管理界面包括输入框,则电子设备可以将用户在输入框中输入的信息作为设备标识信息,并根据该设备标识信息向权限管理服务发起权限请求。当然,设备标识信息也可以预先存储在电子设备本地,无需用户输入。此外,电子设备在获取到权限管理策略时,可以在网络访问管理界面中呈现开始进行网络访问管理的提示,以便用户获知。
第二种情况是,权限管理服务管理有至少一个团队,其中每个团队包括至少一个电子设备,且每个团队对应一个团队标识信息。针对该情况,电子设备可以获取自身所在的团队(为了便于区分,后文称为目标团队)的团队标识信息,并将该团队标识信息发送至权限管理服务。权限管理服务根据接收到的团队标识信息,在管理的至少一个团队中筛选出目标对象(此时的目标对象即为目标团队),并将目标团队对应的权限管理策略发送至电子设备。
这里,电子设备可以呈现网络访问管理界面,并通过网络访问管理界面获取团队标识信息。例如,网络访问管理界面包括输入框,则电子设备可以将用户在输入框中输入的信息作为团队标识信息,并根据该团队标识信息向权限管理服务发起权限请求。若权限管理服务根据该团队标识信息在管理的至少一个团队中确定出目标团队,则权限管理服务可以向电子设备发送已加入通知。电子设备在获取到已加入通知时,在网络访问管理界面中呈现加入团队成功的提示(相当于开始进行网络访问管理的提示),以提示已经加入目标团队。
值得说明的是,可以在网络访问管理界面中呈现网络访问管理过程中的各种结果,例如呈现监控到的网络访问数据以及网络访问行为,又例如呈现针对网络访问行为的检验结果。
通过上述方式,提升了网络访问管理的灵活性,此外,能够基于网络访问管理界面实现对权限管理服务的有效访问,同时也可以使用户清楚了解网络访问管理的相关情况。
在步骤102中,根据权限管理策略向驱动层发送监控指令,以使驱动层根据监控指令对网络协议栈进行数据监控处理,并对监控到的网络访问数据进行行为识别处理,得到网络访问行为。
本申请实施例基于驱动层来实现透明化的网络访问管理,电子设备在接收到权限管理策略时,可以根据权限管理策略向驱动层发送监控指令,实现对驱动层的触发。驱动层在接收到监控指令时,对电子设备的网络协议栈进行数据监控处理得到网络访问数据,并对该网络访问数据进行行为识别处理,得到网络访问行为,该网络访问行为用于访问网络服务。例如,当网络访问数据包括TCP握手时需要发送的数据包时,识别出对应的网络访问行为是基于TCP的连接建立行为(即TCP握手行为);当网络访问数据包括超文本传输协议(Hyper Text Transfer Protocol,HTTP)数据时,识别出对应的网络访问行为是基于HTTP的数据发送行为。其中,网络协议栈用于支持网络中的数据传输,网络协议栈的类型根据电子设备而定,例如可以是TCP/IP协议栈。
在一些实施例中,步骤102之前,还包括:获取针对权限管理策略配置的管理设备参数;其中,管理设备参数包括管理时间段、管理设备以及管理账号中的至少之一;可以通过这样的方式来实现上述的根据权限管理策略向驱动层发送监控指令:周期性地进行设备参数监控处理得到实时设备参数,并将实时设备参数与管理设备参数进行匹配处理;当实时设备参数与管理设备参数匹配成功时,根据权限管理策略向驱动层发送监控指令。
这里,电子设备除了获取权限管理策略之外,还可以获取针对该权限管理策略配置的管理设备参数,管理设备参数包括管理时间段、管理设备以及管理账号中的至少之一。电子设备可以周期性地对自身进行设备参数监控处理,得到实时设备参数,并将实时设备参数与管理设备参数进行匹配处理。当实时设备参数与管理设备参数匹配成功时,根据权限管理策略向驱动层发送监控指令;当实时设备参数与管理设备参数匹配失败时,可以不向驱动层发送监控指令,即停止网络访问管理。通过上述方式,能够从另一角度提升网络访问管理的必要性和有效性,减少计算资源的无谓浪费。
在一些实施例中,可以通过这样的方式来实现上述的获取针对目标对象配置的权限管理策略:将权限请求发送至权限管理服务,以获取权限管理服务针对目标对象配置的权限管理策略;步骤102之后,还包括:对网络访问行为进行信息统计处理得到行为信息;将行为信息发送至权限管理服务,以使权限管理服务根据行为信息进行行为预警处理。
对于监控到的网络访问行为,电子设备可以对其进行信息统计处理得到行为信息,并将行为信息发送至权限管理服务,以使权限管理服务根据行为信息进行行为预警处理。举例来说,权限管理服务可以对行为信息进行画像分析处理得到用户画像,并根据用户画像判断是否向目标对象的管理员发送预警提示,例如,当用户画像表示工作效率低下(如网络访问行为的出现频率大于频率阈值和/或鼠标固定不动的时长大于时长阈值)和/或存在离职风险(如网络访问行为用于访问招聘网站所提供的网络服务)时,向用于管理目标对象的管理员发送预警提示,以提示该用户画像对应用户可能存在的风险。
在底层实现上,可以通过电子设备的驱动层对网络访问行为进行信息统计处理得到行为信息,其中,行为信息包括但不限于网络访问行为所要访问的网络服务、网络访问行为的执行结果(即是否被拦截)、网络访问行为在成功执行后的网络访问时长、网络访问行为相关的界面停留时长、网络访问行为相关的鼠标操作信息。驱动层可以将行为信息发送至应用层,并由应用层将行为信息发送至权限管理服务,以使权限管理服务根据行为信息进行行为预警处理。其中,应用层可以对行为信息进行数据结构化操作,再发送至权限管理服务,以便权限管理服务从机器视角更清楚地理解行为信息,从而提升行为预警处理的准确性。
通过上述方式,能够基于网络访问管理实现能力扩展,实现准确有效的行为预警。
在一些实施例中,可以通过这样的方式来实现上述的获取针对目标对象配置的权限管理策略:将权限请求发送至权限管理服务,以获取权限管理服务针对目标对象配置的权限管理策略;步骤102之后,还包括:当网络访问行为用于访问权限管理服务时,为网络访问行为分配执行权限;其中,执行权限用于表示允许执行网络访问行为。
由于权限管理服务也是网络服务的一种,因此,为了保证对权限管理服务的访问正常进行,可以为用于访问权限管理服务的网络访问行为分配执行权限,即用于访问权限管理服务的网络访问行为并不纳入网络访问管理的范围之内,并不受权限管理策略的约束,如此,保证与权限管理服务之间的数据传输可以顺利进行。
在步骤103中,根据权限管理策略对网络访问行为进行安全检验处理,得到用于表示是否拦截网络访问行为的检验结果。
这里,根据目标对象对应的权限管理策略对网络访问行为进行安全检验处理,得到检验结果。检验结果可以包括检验成功和检验失败两种,其中,检验成功用于表示不拦截网络访问行为,检验失败用于表示拦截网络访问行为,拦截网络访问行为即为禁止执行网络访问行为。
值得说明的是,权限管理策略可以包括白名单地址信息和/或黑名单地址信息,其中,白名单地址信息即为能够访问的网络服务的地址信息,黑名单地址信息即为禁止访问的网络服务的地址信息。相应地,可以根据权限管理策略中的白名单地址信息和/或黑名单地址信息进行安全检验处理。
在一些实施例中,权限管理策略包括白名单地址信息,白名单地址信息包括白名单网际协议地址以及白名单域名地址;可以通过这样的方式来实现上述的根据权限管理策略对网络访问行为进行安全检验处理:当网络访问行为为基于网际协议地址的连接建立行为时,根据白名单网际协议地址对连接建立行为进行安全检验处理;当网络访问行为为基于域名地址的数据发送行为时,根据白名单域名地址对数据发送行为进行安全检验处理。
这里,可以通过白名单的方式来实现有效的网络访问管理,即权限管理策略包括白名单地址信息,白名单地址信息包括白名单网际协议(Internet Protocol,IP)地址以及白名单域名地址。值得说明的是,本申请实施例涉及的域名地址也可以替换为统一资源定位器(Uniform Resource Locator,URL)地址。
在该情况下,当网络访问行为为基于网际协议地址的连接建立行为时,根据白名单网际协议地址对连接建立行为进行安全检验处理,其中,连接建立行为如TCP握手行为;当网络访问行为为基于域名地址的数据发送行为时,根据白名单域名地址对数据发送行为进行安全检验处理,其中,数据发送行为如代理环境下的基于超文本传输协议(Hyper TextTransfer Protocol,HTTP)的数据发送行为。通过上述方式,能够针对网络访问行为的特点进行针对性的安全检验处理,提升安全检验处理的有效性。
在步骤104中,根据检验结果执行针对网络访问行为的控制操作。
在得到检验结果之后,根据检验结果执行针对网络访问行为的控制操作。例如,可以由电子设备的驱动层根据检验结果执行针对网络访问行为的控制操作,由于驱动是与操作系统同级的运行空间,因此网络访问管理处理对于用户来说无感知,类似于操作系统自身所实现的网络访问管理,如此,能够提升网络访问管理的透明度和安全性,有效避免用户绕过网络访问管理的限制。
在一些实施例中,可以通过这样的方式来实现上述的获取针对目标对象配置的权限管理策略:将权限请求发送至权限管理服务,以获取权限管理服务针对目标对象配置的权限管理策略;在任意步骤之间,还包括:将对应目标网络服务的补充权限请求发送至权限管理服务,以使权限管理服务对补充权限请求进行审批处理;其中,目标网络服务表示区别于权限管理服务的网络服务;获取权限管理服务发送的补充权限管理策略;其中,补充权限管理策略是权限管理服务在对补充权限请求审批通过时发送的,补充权限管理策略用于提供目标网络访问行为的执行权限,目标网络访问行为用于访问目标网络服务。
由于目标对象对应的权限管理策略是预先配置的,可能并不符合电子设备的用户的实时访问需求,因此,在本申请实施例中还可以支持对目标对象对应的权限管理策略进行补充(扩展)。例如,电子设备可以将对应目标网络服务的补充权限请求发送至权限管理服务,以使权限管理服务对补充权限请求进行审批处理,其中,目标网络服务是区别于权限管理服务的网络服务。
这里,对审批处理的方式不做限定,例如可以是人工审批或者基于人工智能的自动审批。权限管理服务在对补充权限请求审批通过时,向电子设备发送补充权限管理策略,如此,电子设备在基于补充权限管理策略的网络访问管理下,能够顺利执行目标网络访问行为以访问目标网络服务。其中,基于补充权限管理策略的网络访问管理过程与基于目标对象对应的权限管理策略的网络访问管理过程类似,对于补充权限管理策略来说,同样可以配置对应的管理设备参数。通过上述方式,能够提升网络访问管理的灵活性,满足用户的实时访问需求。
如图3A所示,本申请实施例通过驱动层来捕捉网络访问行为,进而实现针对网络访问行为的网络访问管理,能够提升网络访问管理的透明度,实现用户无感知,从而提升网络访问管理的安全性。
在一些实施例中,参见图3B,图3B是本申请实施例提供的网络访问管理方法的流程示意图,该方法可以由电子设备执行。在图3B中,图3A示出的步骤103可以通过步骤201至步骤202实现,将结合各步骤进行说明。
在步骤201中,根据白名单地址信息对网络访问行为进行安全检验处理,得到白名单检验结果。
这里,权限管理策略可以包括白名单地址信息以及灰名单地址信息,其中,灰名单地址信息对应有使用限额,用于提供基于使用限额的网络访问管理。相较于灰名单地址信息,白名单地址信息的优先级更高,因此,可以首先根据白名单地址信息对网络访问行为进行安全检验处理,得到白名单检验结果。
值得说明的是,使用限额可以是使用时长或者使用次数,当然形式并不限于此。
在一些实施例中,白名单地址信息包括白名单域名地址,灰名单地址信息包括灰名单域名地址;步骤102之后,还包括:对网络访问数据中的域名系统数据进行解析处理,得到访问网际协议地址以及对应的访问域名地址;将访问域名地址与白名单域名地址进行匹配处理;当访问域名地址与白名单域名地址匹配成功时,将访问网际协议地址作为白名单网际协议地址,并添加至白名单地址信息中;当访问域名地址与白名单域名地址匹配失败时,将访问域名地址与灰名单域名地址进行匹配处理,并当访问域名地址与灰名单域名地址匹配成功时,将访问网际协议地址作为灰名单网际协议地址,并添加至灰名单地址信息中。
这里,当白名单地址信息包括白名单域名地址时,可以通过域名系统(DomainName System,DNS)解析的方式来得到对应的白名单网际协议地址。例如,对网络访问数据中的域名系统数据(即DNS流量数据)进行解析处理,得到访问网际协议地址以及对应的访问域名地址,并将访问域名地址与白名单域名地址进行匹配处理。当访问域名地址与白名单域名地址匹配成功(如相同)时,将访问网际协议地址作为与白名单域名地址对应的白名单网际协议地址,并添加至白名单地址信息中。
在权限管理策略包括灰名单地址信息,且灰名单地址信息包括灰名单域名地址的情况下,还可以进行进一步解析以得到灰名单网际协议地址。例如,当访问域名地址与白名单域名地址匹配失败时,将访问域名地址与灰名单域名地址进行匹配处理。当访问域名地址与灰名单域名地址匹配成功(如相同)时,将访问网际协议地址作为灰名单网际协议地址,并添加至灰名单地址信息中。通过上述方式,能够在仅有域名地址的情况下实现对对应的网际协议地址的补充,从而提升权限管理策略的完整性。
在步骤202中,当白名单检验结果为检验失败时,根据灰名单地址信息对网络访问行为进行安全检验处理,得到灰名单检验结果;其中,灰名单检验结果用于表示是否拦截网络访问行为。
当白名单检验结果为检验成功时,即可根据白名单检验结果执行针对网络访问行为的控制操作,这里的控制操作即不拦截网络访问行为。
当白名单检验结果为检验失败时,根据优先级较低的灰名单地址信息对网络访问行为进行安全检验处理,得到灰名单检验结果,在该情况下,灰名单检验结果即用于表示是否拦截网络访问行为。
在图3B中,图3A示出的步骤104可以通过步骤203或者步骤204实现,将结合各步骤进行说明。
在步骤203中,当灰名单检验结果为检验成功、且灰名单地址信息对应的使用限额大于零时,为网络访问行为分配执行权限,并对使用限额进行扣除处理;其中,执行权限用于表示允许执行网络访问行为。
当灰名单检验结果为检验成功、且灰名单地址信息对应的使用限额大于零时,为网络访问行为分配执行权限,例如由驱动层进行分配,该执行权限用于表示允许执行网络访问行为,即不拦截网络访问行为,如此,可以保证网络访问行为的顺利执行。
同时,还对使用限额进行扣除处理,如由驱动层进行扣除处理。例如,当使用限额为使用时长时,可以将使用时长减去本次网络访问行为在成功执行后的网络访问时长,得到新的使用时长(即扣除后的使用时长);当使用限额为使用次数时,可以将使用次数减1,得到新的使用次数(即扣除后的使用次数)。
在步骤204中,当灰名单检验结果为检验失败、或者灰名单地址信息对应的使用限额等于零时,拦截网络访问行为。
这里,当灰名单检验结果为检验失败、或者灰名单地址信息对应的使用限额等于零时,证明网络访问行为带有一定的安全风险,因此拦截网络访问行为,如由驱动层进行拦截。
如图3B所示,本申请实施例通过灰名单地址信息来实现限额的网络访问管理,能够提升网络访问管理的灵活性。
在一些实施例中,参见图3C,图3C是本申请实施例提供的网络访问管理方法的流程示意图,该方法可以由电子设备执行。在图3C中,图3A示出的步骤103可以通过步骤301至步骤303实现,将结合各步骤进行说明。
在步骤301中,将网络访问行为所要访问的访问地址信息与白名单地址信息进行匹配处理。
这里,在权限管理策略包括白名单地址信息的情况下,提供了安全检验处理的一种示例方式。首先,将网络访问行为所要访问的访问地址信息与白名单地址信息进行匹配处理,其中,访问地址信息包括访问网际协议地址以及访问域名地址中的至少之一,同理,白名单地址信息包括白名单网际协议地址以及白名单域名地址中的至少之一。其中,访问地址信息可位于网络访问数据内。
在步骤302中,当访问地址信息与白名单地址信息匹配成功时,确定检验结果为检验成功。
例如,当访问地址信息是白名单地址信息的子集时,确定访问地址信息与白名单地址信息匹配成功,并确定检验结果为检验成功。
在步骤303中,当访问地址信息与白名单地址信息匹配失败时,确定检验结果为检验失败。
例如,当访问地址信息并非是白名单地址信息的子集时,确定访问地址信息与白名单地址信息匹配失败,并确定检验结果为检验失败。
值得说明的是,步骤302以及步骤303中的检验结果是指白名单检验结果,在权限管理策略还包括灰名单地址信息的情况下,可以通过与步骤301至步骤303类似的方式来得到灰名单检验结果。
在一些实施例中,可以通过这样的方式来实现上述的将网络访问行为所要访问的访问地址信息与白名单地址信息进行匹配处理:通过驱动层将访问地址信息与白名单地址信息进行匹配处理;可以通过这样的方式来实现上述的根据检验结果执行针对网络访问行为的控制操作:当检验结果为检验成功时,通过驱动层为网络访问行为分配执行权限;其中,执行权限用于表示允许执行网络访问行为;当检验结果为检验失败时,通过驱动层拦截网络访问行为。
这里,将访问地址信息与白名单地址信息进行匹配处理的操作可以由驱动层实现,在该情况下,当检验结果为检验成功时,通过驱动层为网络访问行为分配执行权限,即不拦截网络访问行为;当检验结果为检验失败时,通过驱动层拦截网络访问行为。上述方式将匹配处理的逻辑集成在驱动层内,可以避免应用层容易出现的I/O阻塞问题。
在一些实施例中,可以通过这样的方式来实现上述的将网络访问行为所要访问的访问地址信息与白名单地址信息进行匹配处理:通过应用层将访问地址信息与白名单地址信息进行匹配处理;步骤303之后,还包括:当检验结果为检验成功时,通过应用层将检验结果发送至驱动层,以使驱动层根据检验结果为网络访问行为分配执行权限;其中,执行权限用于表示允许执行网络访问行为;当检验结果为检验失败时,通过应用层将检验结果发送至驱动层,以使驱动层根据检验结果拦截网络访问行为。
这里,驱动层在得到网络访问行为所要访问的访问地址信息后,也可以将访问地址信息发送至应用层,并由应用层将访问地址信息与白名单地址信息进行匹配处理。应用层可以将得到的检验结果发送至驱动层,以使驱动层根据接收到的检验结果执行针对网络访问行为的控制操作,例如,当检验结果为检验成功时,通过驱动层为网络访问行为分配执行权限;当检验结果为检验失败时,通过驱动层拦截网络访问行为。上述方式将匹配处理的逻辑集成在应用层内实现,可以降低驱动层的逻辑复杂度。在此基础上,可以在应用层部署完成端口模型或其他的I/O模型,从而尽量避免应用层的I/O阻塞问题,防止出现卡顿。
如图3C所示,本申请实施例提供了安全检验处理的示例方式,能够基于白名单模式提升网络访问的安全性。
参见图4,图4是本申请实施例提供的网络访问管理方法的流程示意图,该方法可以由终端设备(如图1示出的终端设备400)以及服务器(如图1示出的服务器200)协同实现,将结合图4示出的步骤进行说明。
在步骤401中,终端设备将权限请求发送至服务器。
这里,服务器可以用于提供权限管理服务,终端设备可以将权限请求发送至服务器,以实现对权限管理服务的访问。
在步骤402中,服务器根据接收到的权限请求,在管理的至少一个对象中筛选出目标对象。
这里,服务器根据接收到的权限请求,在管理的至少一个对象中筛选出目标对象。其中,对象可以是电子设备,也可以是团队。
以对象为团队的情况为例,权限管理服务管理有至少一个团队,其中每个团队对应一个团队标识信息。服务器可以将接收到的权限请求中的团队标识信息与各个团队对应的团队标识信息分别进行匹配,并将匹配成功(如团队对应的团队标识信息与服务器接收到的团队标识信息相同)的团队作为目标对象(目标团队),如此实现对目标对象的筛选。
在步骤403中,服务器将目标对象对应的权限管理策略发送至终端设备。
这里,服务器管理的每个对象都对应有权限管理策略,在筛选出目标对象后,服务器将目标对象对应的权限管理策略发送至终端设备。其中,权限管理策略可以存储于数据库、服务器的分布式文件系统或者区块链等处,对此不做限定。
在一些实施例中,步骤403之前,还包括:服务器获取针对目标对象配置的地址信息,对地址信息进行地址探测处理得到探测地址信息,将地址信息和探测地址信息组合为目标对象对应的权限管理策略。
例如,用于管理目标对象的管理员可以在服务器中针对目标对象配置地址信息,该地址信息对应一个网络服务,该地址信息可以是白名单地址信息或黑名单地址信息。由于一个网络服务通常包括多个地址信息,例如一个网站的主站下还存在很多子链接,因此,服务器可以根据接收到的地址信息进行地址探测处理,得到多个探测地址信息,并将接收到的地址信息与多个探测地址信息组合为目标对象对应的权限管理策略,如此,能够提升权限管理策略的全面性和完整性。其中,对地址探测处理的方式不做限定,例如可以通过BHO的浏览器钩子来实现。
在步骤404中,终端设备根据权限管理策略向驱动层发送监控指令,以使驱动层根据监控指令对网络协议栈进行数据监控处理,并对监控到的网络访问数据进行行为识别处理,得到网络访问行为。
由于网络中的数据传输需要由网络协议栈进行支持,因此,终端设备在接收到权限管理策略时,可以触发驱动层对网络协议栈进行数据监控处理,并对监控到的网络访问数据进行行为识别处理,得到网络访问行为。
在步骤405中,终端设备根据权限管理策略对网络访问行为进行安全检验处理,得到用于表示是否拦截网络访问行为的检验结果。
终端设备根据目标对象对应的权限管理策略对网络访问行为进行安全检验处理,得到用于表示是否拦截网络访问行为的检验结果,该检验结果也体现了网络访问行为的安全风险。
在步骤406中,终端设备根据检验结果执行针对网络访问行为的控制操作。
在得到检验结果之后,终端设备即可根据检验结果执行针对网络访问行为的控制操作。对于终端设备自身而言,可以通过驱动层提升网络访问管理的透明度,从而提升安全性。对于对象是团队的情况,服务器可以通过下发策略的方式实现批量的网络访问管理(例如对于团队内的所有终端设备的批量网络访问管理)。
下面,将说明本申请实施例在实际的应用场景中的示例性应用,为了便于理解,以对象为团队的情况进行示例说明。本申请实施例可以针对于需要进行受限网络访问(即网络访问管理)的各种团队(如家庭、学校或者公司)使用,通过设定白名单地址信息、管理时间段控制、权限申请、动机预警(行为预警)、限额控制等手段,以提升小孩、学生或者企业员工对任务(如学习任务、工作任务)的投入度,防止无关信息干扰,来达到提升效率的目的。此外,本申请实施例可以实现透明的网络访问管理,被控端(如上文的终端设备)可以在无感知的情况下被控制端(如上文的服务器)的权限管理服务所控制,在实施上,只要被控端安装了网络访问管理APP,该网络访问管理APP的管理员便可在后台下发权限管理策略,配置简单高效,无需特殊的硬件介入。
相较于相关技术提供的方案,本申请实施例至少从以下两个方面进行了优化。
1)网络感知方面。本申请实施例采用驱动层方案实现,能够针对TCP/IP协议栈中的各层数据进行监控和修改,对被控端的用户来说是一种透明的网络访问管理方案,即在体验上做到了用户无感知,让用户感觉到是操作系统自身实现的网络访问管理。
2)网络访问管理方面。本申请实施例实现了能力的可伸缩性,至少包括以下几点。
a)识别登录账号(对应上文的实时账号),以进行有区分的时间段控制。本申请实施例可以根据登录账号来进行网络访问管理,另外针对不同账号的网络访问管理可以实现区分时间段的控制。例如,在家庭团队中的小孩通过自己的账号(可以是指操作系统的账号)进行登录后,根据权限管理策略,可以控制其在学习时间段只能访问教育相关的网络服务,其余的视频、娱乐和游戏类的网络服务在该学习时间段是被阻止访问的,而在周末,可以通过调整管理时间段来更多满足学生的娱乐需求;如果是家长通过自己的账户登录,则可以不设置权限管理策略。如此,可以区分用户和/或时间段来控制用户的网络访问场景,做到了灵活可伸缩。
b)针对无权访问的网络服务提供智能授权管理能力。对于一般的网络访问管理APP来说,在策略设定后,被控端只能在此策略下进行工作或学习,如果想访问无权访问的网络服务的话,只能请求改变策略,无法满足应急场景的需求。比如,在公司环境下设置了只能访问公司内部的网络服务的策略,如果公司内的某台终端设备有临时外网访问需求,则一般的网络访问管理APP是满足不了的。针对于此,本申请实施例提供了临时授权访问的能力,被控端可以通过授权入口(如网络访问管理界面中的授权入口)提出访问某个网络服务的补充权限请求,比如申请在某个时间段内访问域名地址为xx.com的界面,控制端在接收到补充权限请求时进行审批,并在审批通过时下发该网络服务对应的补充权限管理策略(可以通过白名单地址信息的形式体现),如此,被控端便可访问所申请的网络服务。
c)控制端下发权限管理策略时提供子链探测能力,以提升权限管理策略的全面性。
以白名单域名地址为例,一般一个网站的主站下还存在很多子链接,因此在针对网站设置白名单域名地址的时候需要把该网站下的所有子链接域名地址都配置完全,才能够使被控端在权限管理策略下正常访问该网站。针对于此,本申请实施例提供了子链自动聚合的功能,对于控制端来说,可以通过主站域名地址来自动抓取到子链信息,并通过聚合后得到白名单策略(即白名单地址信息),这种方式非常快捷高效,使用门槛也较低,对小白用户非常友好。
d)通过限额访问来实现网络访问的时长控制/次数控制。
通常来说,权限管理策略要么是黑名单要么是白名单,表现给用户的要么是能够访问某个网络服务要么是不能访问某个网络服务,灵活性较差。针对于此,本申请实施例加入了灰名单策略(对应上文的灰名单地址信息),该策略可以实现限额访问,比如针对域名地址为v.xx.com的视频网站,对应配置为灰名单策略后,可以根据访问次数或者访问时长进行限额访问。限额访问可以用在家庭网络访问管理的场景,向家长提供对小孩上网的一种守护功能,保证小孩的上网时长可以被控制。
e)通过对网络访问行为进行统计,从而对被控用户(即被控端的用户)进行行为预警。
本申请实施例可以统计被控用户的网络访问时长、界面停留时长、被阻止访问的界面等信息,后台可以根据这些统计信息对被控用户进行用户画像,从而根据用户画像判断被控用户是否存在工作效率是否低下、是否有离职风险(如是否尝试访问招聘网站)、是否在“摸鱼“(如根据界面停留时长和/或鼠标固定不动的时长进行判断)等行为风险,如果存在行为风险,则可以向用于管理团队的管理员(如企业的管理员)发送预警提示,从而提升人员管理效率。
接下来,将从可视化层面说明本申请实施例提供的网络访问管理方案。
对于终端设备来说,首先需要加入团队,这样终端设备就会成为被控端,即被该团队对应的权限管理策略所管理。网络访问管理APP的管理员可以在看板界面(即后台界面)中看到团队内的终端设备,并且可以针对团队内的终端设备下发权限管理策略。在权限管理策略下发成功后,被控端即可根据接收到的权限管理策略,对后续产生的网络访问行为进行网络访问管理。将通过以下几个方面进行说明。
1)终端设备需要通过PIN码(对应上文的团队标识信息)加入团队,每个团队的PIN码是唯一的。作为示例,提供了如图5所示的网络访问管理界面的示意图,用户在终端设备中安装并启动网络访问管理APP后,便可在网络访问管理APP提供的网络访问管理界面中输入PIN码,以加入团队。例如,终端设备可以将接收到的PIN码发送至控制端,以使控制端在管理的至少一个团队中筛选出目标团队,该目标团队即为终端设备所加入的团队。值得说明的是,网络访问管理APP除了提供网络访问管理功能外,还可以集成病毒查杀、垃圾清理、电脑加速等功能,对此不做限定。
2)加入团队后,在网络访问管理界面呈现加入团队成功的提示。作为示例,提供了如图6所示的网络访问管理界面的示意图,在图6中示出了加入团队成功的提示61。
3)对于控制端来说,可以通过看板界面配置所需下发的权限管理策略。作为示例,提供了如图7所示的看板界面的示意图,图7示出的上网策略即为权限管理策略,具体可以支持配置白名单策略或黑名单策略,为了便于理解,后文以白名单策略为例进行说明。图7示出了策略列表包括策略1至策略4,其中每一个策略对应一个网络服务,例如策略1对应某个网络聊天服务,策略2对应某个网络搜索服务,策略3对应某个网络视频服务,策略4对应另一个网络视频服务。控制端的管理员可以在策略列表中选择至少一个策略进行下发。
4)对于控制端来说,可以通过看板界面配置白名单策略的管理时间段,进行区分时间段的网络访问管理。如图8所示,可以将管理时间段配置为8:00至11:59、以及14:00至18:00。
5)子链探测自动抓取(对应上文的地址探测处理),可以提供给管理员非常方便的策略设置体验。例如,某个网络搜索服务对应的网站主站的域名地址为www.xx.com,则进行子链探测后,可以得到t.xx.com以及a.b.c.xx.com等子站的域名地址,将www.xx.com、t.xx.com以及a.b.c.xx.com进行聚合,即可得到该网络搜索服务对应的白名单策略。
6)白名单策略下发后,如果被控端的网络访问行为所要访问的访问地址信息没有在白名单策略内(即匹配失败),则被控端拦截该网络访问行为。以被控端通过浏览器实施网络访问行为(如访问某个网站)为例,提供了如图9所示的拦截该网络访问行为后的浏览器界面。
下面,将从底层实现层面说明本申请实施例提供的网络访问管理方案。相较于相关技术提供的方案,本申请实施例至少在以下方面进行了改进:1)基于团队的群控方案,属于团队内的电子设备都会受控于权限管理策略,将原本需要通过物理网络拓扑进行设备控制的场景,转换为完全通过软件的逻辑结构所控制的场景,降低了对群控场景的投入成本;2)通过驱动的方式进行透明的网络访问管理,驱动方案可以避免用户绕过,而且由于是将逻辑嵌入到TCP/IP协议栈的,所以系统的稳定性很高,另外,拦截方式通过直接丢弃数据包,拦截表现上跟系统禁用网络相似;3)设计了一套灵活的决策链,用来支撑可伸缩的网络访问管理场景,该决策链支持时间段管理、权限管理策略扩展、灰名单限额控制、行为预警等场景的运用,从而可以支持到家庭、学校组织或企业的网络访问管理,提升网络访问管理的个性化体验,另外决策链是一套可以扩展的插件逻辑系统,后续可以根据场景需求插入定制化的逻辑模块。
为了便于理解,提供了如图10所示的网络访问管理方法的流程示意图,将结合图10,通过步骤形式进行说明。
1)终端设备在启动网络访问管理APP后,网络访问管理APP在该终端设备已加入团队的基础上,从后台拉取该团队对应的基础配置(对应上文的管理设备参数),基础配置用于表示该终端设备是否需要进行网络访问管理。如果需要进行网络访问管理,则网络访问管理APP会进一步从后台拉取白名单策略。另外,在配置有管理时间段的情况下,如果未在管理时间段内拉取白名单策略,则会停止网络访问管理。
值得说明的是,网络访问管理APP可以将终端设备的GUID以及登录账号的账号名(对应上文的账号标识信息)发送至后台,后台可以根据终端设备的GUID和账号名来形成一个以终端设备为根的账号树,如图11A、图11B及图11C所示。如此,管理员可以针对终端设备的不同账号针对性地配置管理时间段,并下发到被控端,被控端收到管理时间段后,根据实时时间是否在管理时间段(指与实时的终端设备与登录账号对应的管理时间段)内,来判断是否进行网络访问管理,如图12所示,其中,图12示出的定时器轮询线程用于周期性地获取实时时间。当然,在本申请实施例中,也可以不基于管理时间段进行网络访问管理,例如可以进行持久性的网络访问管理。
2)拉取白名单策略后,会在终端设备的应用层进行解析,同时应用层会唤起驱动层中的驱动模块,其中,驱动模块是指驱动层中用于实现网络访问管理的软件模块,应用层所做的解析是用于将白名单策略解析为驱动模块能够理解的数据。以白名单策略包括白名单域名地址为例,应用层在解析完成后,将白名单域名地址发送至驱动模块。值得说明的是,受决策链能力的控制,如果需要做限额控制,则在策略下发的过程中同时下发一份灰名单策略,这份灰名单策略会在整个策略决策过程中影响网络访问管理逻辑。
3)驱动模块启动后,会针对TCP/IP协议栈进行监控,即每个经过TCP/IP协议栈的数据包流量都会流经驱动模块。
4)对于监控到的用户数据报协议(User Datagram Protocol,UDP)流量,驱动模块监听UDP流量中处于53号端口的DNS协议流量(对应上文的域名系统数据),如果监听到DNS协议流量,则对DNS协议流量进行DNS协议解析,得到访问IP地址以及访问域名地址。驱动模块将访问域名地址与白名单域名地址进行匹配处理,如果匹配成功(即访问域名地址位于白名单策略中),则将访问IP地址作为白名单IP地址,并存放到白名单IP地址列表中,以备后续使用。
5)本申请实施例是采用驱动来实现网络访问管理,因此拦截效果是针对应用层的所有进程均有效的,这样就会产生一个问题,即需要保证网络访问管理APP自身的网络访问和策略传输流程不被拦截。针对于此,本申请实施例提供了以下两种方式来保证网络访问管理APP自身的网络访问正常进行。
a)策略下发方面,如图13所示,应用层接收到的白名单策略可以包括白名单域名地址+默认域名地址+默认IP地址,其中,白名单域名地址是指管理员在看板界面中配置的可以访问的域名地址,默认域名地址是网络访问管理APP后台需要访问的域名地址,默认IP地址是指网络访问管理APP内部进程需要访问的IP地址。
应用层在进行策略下发时,将白名单域名地址和默认域名地址进行并集处理(在该过程中将默认域名地址也视为白名单域名地址),如此,下发到驱动模块的信息包括默认IP地址以及并集处理得到的白名单域名地址列表。然后,驱动模块在进行DNS协议解析后,将默认IP地址以及解析得到的白名单IP地址进行并集处理(在该过程中将默认IP地址也视为白名单IP地址),得到白名单IP地址列表。如此,便于基于白名单域名地址列表及白名单IP地址列表进行后续拦截。
b)驱动层感知方面,例如,驱动模块可以感知TCP连接所属的进程,当该进程是网络访问管理APP自身的进程时,不将该进程纳入管理逻辑;当该进程不是网络访问管理APP自身的进程时,将该进程纳入管理逻辑。
6)在进行拦截时分为两种情况,其一是针对TCP的握手拦截;另外一个是针对代理环境下的HTTP的数据流量发送时的拦截,将进行分别说明。
a)在应用层进行TCP握手时,驱动模块可以获取要进行连接的远程网络服务的访问IP地址,并根据白名单IP地址列表来判断是否拦截本次连接。当访问IP地址位于白名单IP地址列表中时,就不进行拦截,保证TCP握手的顺利进行;当访问IP地址不位于白名单IP地址列表中时,就对TCP握手进行拦截。
b)针对HTTP数据,驱动模块解析HTTP数据的协议头,以从协议头中获取需要连接的访问域名地址。然后,驱动模块将访问域名地址与白名单域名地址列表进行匹配处理,当访问域名地址位于白名单域名地址列表中时,不拦截HTTP数据;当访问域名地址不位于白名单域名地址列表中时,拦截HTTP数据,例如可以直接丢弃HTTP数据。
7)在TCP握手和HTTP数据发送两个部分的拦截决策中,如果没有命中白名单策略(即与白名单IP地址列表或白名单域名地址列表匹配失败),则会进一步进入灰名单条件限额决策。如果命中灰名单策略,则会根据该灰名单策略还剩的使用限额来决定是否做进一步的拦截动作,从而实现条件限额的网络访问管理。
值得说明的是,对于存在灰名单策略的情况,在步骤4)的DNS协议解析后,如果访问域名地址与白名单域名地址匹配失败,则可以将访问域名地址与灰名单策略中的灰名单域名地址进行匹配处理。当访问域名地址与灰名单域名地址匹配成功时,将访问IP地址作为灰名单IP地址,并存放到灰名单IP地址列表中。如此,在进行TCP握手时,如果访问IP地址与白名单IP地址列表匹配失败,则将该访问IP地址与灰名单IP地址列表进行匹配处理。当该访问IP地址与灰名单IP地址列表匹配成功时,查询该灰名单IP地址列表对应的使用限额(即灰名单策略对应的使用限额),如果使用限额大于零,则不拦截本次TCP握手;如果使用限额为零,则拦截本次TCP握手。针对HTTP数据的拦截过程同理。
8)另外,在重复进行DNS解析后,驱动层会不断地存储白名单IP地址,由于DNS解析存在时效性,因此驱动模块会周期性地进行白名单IP地址的清理。其中,对于应用层下发的默认IP地址,驱动模块在系统的生命周期内并不会进行清理。
9)如果管理员在后台关闭了网络访问管理功能,则应用层在重新拉取到基础配置(表示已关闭网络访问管理功能)后,会关闭驱动模块,这样,终端设备的用户就能够正常进行网络访问了。另外一方面,如果管理员修改了白名单策略的话,应用层也会收到后台发送的修改通知,从而重新拉取修改后的白名单策略,并清理掉驱动层的所有白名单策略,将修改后的白名单策略下发至驱动层,这样一轮新的网络访问管理就会继续进行。
10)驱动模块可以将每一个网络访问行为的行为信息上抛给应用层,由应用层进行解析后将结构化的数据发送至后台。后台可以对行为信息进行行为预警处理,例如进行用户画像处理,并根据得到的用户画像判断相应用户是否存在行为风险,如果存在行为风险,则向管理员发送预警提示。
值得说明的是,本申请实施例还可提供应急申请访问的入口,如图14所示,当被控端向管理员机器(即后台)发送针对某个网站的补充权限请求时,管理员可以对该补充权限请求进行审批。当管理员对该补充权限请求审批通过时,权限管理服务将该补充权限请求所请求访问的网站的地址信息作为补充白名单策略(对应上文的补充权限管理策略),并下发给被控端。如此,被控端便可成功访问该网站。
值得说明的是,驱动模块也可以将监控到的流量信息上抛到应用层,并由应用层根据白名单策略判断是否拦截相应流量,应用层可以将是否拦截的决策信息通知到驱动模块,以使驱动模块进行拦截或不拦截,如此,可以简化驱动层的逻辑复杂度。其中,可以在应用层部署完成端口模型或其他I/O模型,以减少I/O出现的可能性,防止系统卡顿。
本申请实施例至少具有以下技术效果:实现了针对团队的群控方案,以纯软件的形式将团队内的终端设备组成一个逻辑的网络拓扑结构,能够对不同地域的终端设备做到有效的网络访问管理;提供了可伸缩的决策控制链,可以针对不同的网络访问管理场景进行个性化的需求定制;实现成本低,适用范围广,例如可以适应家庭型的学习网络访问管理场景、学校团体的教学及娱乐限额控制的场景、公司级别的强网络限制访问场景等,本申请实施例可以适应各种规模的设备环境,从几台设备到几千台以上规模的公司级设备都是能够适应的。
下面继续说明本申请实施例提供的网络访问管理装置455实施为软件模块的示例性结构,在一些实施例中,如图2所示,存储在存储器450的网络访问管理装置455中的软件模块可以包括:策略获取模块4551,用于获取针对目标对象配置的权限管理策略;行为监控模块4552,用于根据权限管理策略向驱动层发送监控指令,以使驱动层根据监控指令对网络协议栈进行数据监控处理,并对监控到的网络访问数据进行行为识别处理,得到网络访问行为;安全检验模块4553,用于根据权限管理策略对网络访问行为进行安全检验处理,得到用于表示是否拦截网络访问行为的检验结果;执行模块4554,用于根据检验结果执行针对网络访问行为的控制操作。
在一些实施例中,权限管理策略包括白名单地址信息以及灰名单地址信息;安全检验模块4553,还用于:根据白名单地址信息对网络访问行为进行安全检验处理,得到白名单检验结果;当白名单检验结果为检验失败时,根据灰名单地址信息对网络访问行为进行安全检验处理,得到灰名单检验结果;其中,灰名单检验结果用于表示是否拦截网络访问行为;执行模块4554,还用于:当灰名单检验结果为检验成功、且灰名单地址信息对应的使用限额大于零时,为网络访问行为分配执行权限,并对使用限额进行扣除处理;其中,执行权限用于表示允许执行网络访问行为;当灰名单检验结果为检验失败、或者灰名单地址信息对应的使用限额等于零时,拦截网络访问行为。
在一些实施例中,白名单地址信息包括白名单域名地址,灰名单地址信息包括灰名单域名地址;网络访问管理装置455还包括解析模块,用于:对网络访问数据中的域名系统数据进行解析处理,得到访问网际协议地址以及对应的访问域名地址;将访问域名地址与白名单域名地址进行匹配处理;当访问域名地址与白名单域名地址匹配成功时,将访问网际协议地址作为白名单网际协议地址,并添加至白名单地址信息中;当访问域名地址与白名单域名地址匹配失败时,将访问域名地址与灰名单域名地址进行匹配处理,并当访问域名地址与灰名单域名地址匹配成功时,将访问网际协议地址作为灰名单网际协议地址,并添加至灰名单地址信息中。
在一些实施例中,权限管理策略包括白名单地址信息;安全检验模块4553,还用于:将网络访问行为所要访问的访问地址信息与白名单地址信息进行匹配处理;当访问地址信息与白名单地址信息匹配成功时,确定检验结果为检验成功;当访问地址信息与白名单地址信息匹配失败时,确定检验结果为检验失败。
在一些实施例中,安全检验模块4553,还用于:通过驱动层将访问地址信息与白名单地址信息进行匹配处理;执行模块4554,还用于:当检验结果为检验成功时,通过驱动层为网络访问行为分配执行权限;其中,执行权限用于表示允许执行网络访问行为;当检验结果为检验失败时,通过驱动层拦截网络访问行为。
在一些实施例中,安全检验模块4553,还用于通过应用层将访问地址信息与白名单地址信息进行匹配处理;执行模块4554,还用于通过应用层将检验结果发送至驱动层,以使驱动层根据检验结果执行针对网络访问行为的控制操作。
在一些实施例中,网络访问管理装置455还包括参数获取模块,用于获取针对权限管理策略配置的管理设备参数;其中,管理设备参数包括管理时间段、管理设备以及管理账号中的至少之一;行为监控模块4552,还用于:周期性地进行设备参数监控处理得到实时设备参数,并将实时设备参数与管理设备参数进行匹配处理;当实时设备参数与管理设备参数匹配成功时,根据权限管理策略向驱动层发送监控指令。
在一些实施例中,网络访问管理装置455还包括参数获取模块,用于获取针对权限管理策略配置的管理设备参数;其中,管理设备参数包括管理时间段、管理设备以及管理账号中的至少之一;策略获取模块4551,还用于:周期性地进行设备参数监控处理得到实时设备参数,并将实时设备参数与管理设备参数进行匹配处理;当实时设备参数与管理设备参数匹配成功时,获取针对目标对象配置的权限管理策略。
在一些实施例中,策略获取模块4551,还用于:将权限请求发送至权限管理服务,以获取权限管理服务针对目标对象配置的权限管理策略;网络访问管理装置455还包括补充模块,用于:将对应目标网络服务的补充权限请求发送至权限管理服务,以使权限管理服务对补充权限请求进行审批处理;其中,目标网络服务表示区别于权限管理服务的网络服务;获取权限管理服务发送的补充权限管理策略;其中,补充权限管理策略是权限管理服务在对补充权限请求审批通过时发送的,补充权限管理策略用于提供目标网络访问行为的执行权限,目标网络访问行为用于访问目标网络服务。
在一些实施例中,权限管理策略包括白名单地址信息,白名单地址信息包括白名单网际协议地址以及白名单域名地址;安全检验模块4553,还用于:当网络访问行为为基于网际协议地址的连接建立行为时,根据白名单网际协议地址对连接建立行为进行安全检验处理;当网络访问行为为基于域名地址的数据发送行为时,根据白名单域名地址对数据发送行为进行安全检验处理。
在一些实施例中,权限管理策略包括临时权限管理策略以及固定权限管理策略;网络访问管理装置455还包括清理模块,用于:当清理周期到达时,对临时权限管理策略进行清理处理,并禁止清理固定权限管理策略。
在一些实施例中,策略获取模块4551,还用于:将权限请求发送至权限管理服务,以获取权限管理服务针对目标对象配置的权限管理策略;网络访问管理装置455还包括预警模块,用于:对网络访问行为进行信息统计处理得到行为信息;将行为信息发送至权限管理服务,以使权限管理服务根据行为信息进行行为预警处理。
在一些实施例中,策略获取模块4551,还用于:将权限请求发送至权限管理服务,以获取权限管理服务针对目标对象配置的权限管理策略;网络访问管理装置455还包括允许执行模块,用于当网络访问行为用于访问权限管理服务时,为网络访问行为分配执行权限;其中,执行权限用于表示允许执行网络访问行为。
在一些实施例中,策略获取模块4551,还用于执行以下任意一种处理:将包括设备标识信息的权限请求发送至权限管理服务,以获取权限管理服务针对目标对象配置的权限管理策略;其中,权限管理服务用于管理至少一个电子设备,目标对象为至少一个电子设备中与设备标识信息对应的电子设备;将包括团队标识信息的权限请求发送至权限管理服务,以获取权限管理服务针对目标对象配置的权限管理策略;其中,权限管理服务用于管理至少一个团队,目标对象为至少一个团队中与团队标识信息对应的团队,至少一个团队中的每个团队包括至少一个电子设备。
本申请实施例提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令(即可执行指令),该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该电子设备执行本申请实施例上述的网络访问管理方法。
本申请实施例提供一种计算机可读存储介质,其中存储有可执行指令,当可执行指令被处理器执行时,将引起处理器执行本申请实施例提供的网络访问管理方法。
在一些实施例中,计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、闪存、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备。
在一些实施例中,可执行指令可以采用程序、软件、软件模块、脚本或代码的形式,按任意形式的编程语言(包括编译或解释语言,或者声明性或过程性语言)来编写,并且其可按任意形式部署,包括被部署为独立的程序或者被部署为模块、组件、子例程或者适合在计算环境中使用的其它单元。
作为示例,可执行指令可以但不一定对应于文件系统中的文件,可以可被存储在保存其它程序或数据的文件的一部分,例如,存储在超文本标记语言(HTML,Hyper TextMarkup Language)文档中的一个或多个脚本中,存储在专用于所讨论的程序的单个文件中,或者,存储在多个协同文件(例如,存储一个或多个模块、子程序或代码部分的文件)中。
作为示例,可执行指令可被部署为在一个电子设备上执行,或者在位于一个地点的多个电子设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个电子设备上执行。
以上,仅为本申请的实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和范围之内所作的任何修改、等同替换和改进等,均包含在本申请的保护范围之内。
Claims (18)
1.一种网络访问管理方法,其特征在于,所述方法包括:
获取针对目标对象配置的权限管理策略;
根据所述权限管理策略向驱动层发送监控指令,以使所述驱动层根据所述监控指令对网络协议栈进行数据监控处理,并对监控到的网络访问数据进行行为识别处理,得到网络访问行为;
根据所述权限管理策略对所述网络访问行为进行安全检验处理,得到用于表示是否拦截所述网络访问行为的检验结果;
根据所述检验结果执行针对所述网络访问行为的控制操作。
2.根据权利要求1所述的方法,其特征在于,所述权限管理策略包括白名单地址信息以及灰名单地址信息;所述根据所述权限管理策略对所述网络访问行为进行安全检验处理,得到用于表示是否拦截所述网络访问行为的检验结果,包括:
根据所述白名单地址信息对所述网络访问行为进行安全检验处理,得到白名单检验结果;
当所述白名单检验结果为检验失败时,根据所述灰名单地址信息对所述网络访问行为进行安全检验处理,得到灰名单检验结果;其中,所述灰名单检验结果用于表示是否拦截所述网络访问行为;
所述根据所述检验结果执行针对所述网络访问行为的控制操作,包括:
当所述灰名单检验结果为检验成功、且所述灰名单地址信息对应的使用限额大于零时,为所述网络访问行为分配执行权限,并对所述使用限额进行扣除处理;其中,所述执行权限用于表示允许执行所述网络访问行为;
当所述灰名单检验结果为检验失败、或者所述灰名单地址信息对应的使用限额等于零时,拦截所述网络访问行为。
3.根据权利要求2所述的方法,其特征在于,所述白名单地址信息包括白名单域名地址,所述灰名单地址信息包括灰名单域名地址;所述根据所述白名单地址信息对所述网络访问行为进行安全检验处理之前,所述方法还包括:
对所述网络访问数据中的域名系统数据进行解析处理,得到访问网际协议地址以及对应的访问域名地址;
将所述访问域名地址与所述白名单域名地址进行匹配处理;
当所述访问域名地址与所述白名单域名地址匹配成功时,将所述访问网际协议地址作为白名单网际协议地址,并添加至所述白名单地址信息中;
当所述访问域名地址与所述白名单域名地址匹配失败时,将所述访问域名地址与所述灰名单域名地址进行匹配处理,并
当所述访问域名地址与所述灰名单域名地址匹配成功时,将所述访问网际协议地址作为灰名单网际协议地址,并添加至所述灰名单地址信息中。
4.根据权利要求1所述的方法,其特征在于,所述权限管理策略包括白名单地址信息;所述根据所述权限管理策略对所述网络访问行为进行安全检验处理,得到用于表示是否拦截所述网络访问行为的检验结果,包括:
将所述网络访问行为所要访问的访问地址信息与所述白名单地址信息进行匹配处理;
当所述访问地址信息与所述白名单地址信息匹配成功时,确定检验结果为检验成功;
当所述访问地址信息与所述白名单地址信息匹配失败时,确定检验结果为检验失败。
5.根据权利要求4所述的方法,其特征在于,所述将所述网络访问行为所要访问的访问地址信息与所述白名单地址信息进行匹配处理,包括:
通过所述驱动层将所述访问地址信息与所述白名单地址信息进行匹配处理;
所述根据所述检验结果执行针对所述网络访问行为的控制操作,包括:
当所述检验结果为检验成功时,通过所述驱动层为所述网络访问行为分配执行权限;其中,所述执行权限用于表示允许执行所述网络访问行为;
当所述检验结果为检验失败时,通过所述驱动层拦截所述网络访问行为。
6.根据权利要求4所述的方法,其特征在于,所述将所述网络访问行为所要访问的访问地址信息与所述白名单地址信息进行匹配处理,包括:
通过应用层将所述访问地址信息与所述白名单地址信息进行匹配处理;
所述方法还包括:
通过所述应用层将所述检验结果发送至所述驱动层,以使所述驱动层根据所述检验结果执行针对所述网络访问行为的控制操作。
7.根据权利要求1至6任一项所述的方法,其特征在于,所述方法还包括:
获取针对所述权限管理策略配置的管理设备参数;其中,所述管理设备参数包括管理时间段、管理设备以及管理账号中的至少之一;
所述根据所述权限管理策略向驱动层发送监控指令,包括:
周期性地进行设备参数监控处理得到实时设备参数,并将所述实时设备参数与所述管理设备参数进行匹配处理;
当所述实时设备参数与所述管理设备参数匹配成功时,根据所述权限管理策略向所述驱动层发送监控指令。
8.根据权利要求1至6任一项所述的方法,其特征在于,所述获取针对目标对象配置的权限管理策略之前,所述方法还包括:
获取针对所述权限管理策略配置的管理设备参数;其中,所述管理设备参数包括管理时间段、管理设备以及管理账号中的至少之一;
所述获取针对目标对象配置的权限管理策略,包括:
周期性地进行设备参数监控处理得到实时设备参数,并将所述实时设备参数与所述管理设备参数进行匹配处理;
当所述实时设备参数与所述管理设备参数匹配成功时,获取针对所述目标对象配置的所述权限管理策略。
9.根据权利要求1至6任一项所述的方法,其特征在于,所述获取针对目标对象配置的权限管理策略,包括:
将权限请求发送至权限管理服务,以获取所述权限管理服务针对目标对象配置的权限管理策略;
所述方法还包括:
将对应目标网络服务的补充权限请求发送至所述权限管理服务,以使所述权限管理服务对所述补充权限请求进行审批处理;其中,所述目标网络服务表示区别于所述权限管理服务的网络服务;
获取所述权限管理服务发送的补充权限管理策略;其中,所述补充权限管理策略是所述权限管理服务在对所述补充权限请求审批通过时发送的,所述补充权限管理策略用于提供目标网络访问行为的执行权限,所述目标网络访问行为用于访问所述目标网络服务。
10.根据权利要求1至6任一项所述的方法,其特征在于,所述权限管理策略包括白名单地址信息,所述白名单地址信息包括白名单网际协议地址以及白名单域名地址;
所述根据所述权限管理策略对所述网络访问行为进行安全检验处理,包括:
当所述网络访问行为为基于网际协议地址的连接建立行为时,根据所述白名单网际协议地址对所述连接建立行为进行安全检验处理;
当所述网络访问行为为基于域名地址的数据发送行为时,根据所述白名单域名地址对所述数据发送行为进行安全检验处理。
11.根据权利要求1至6任一项所述的方法,其特征在于,所述权限管理策略包括临时权限管理策略以及固定权限管理策略;所述获取针对目标对象配置的权限管理策略之后,所述方法还包括:
当清理周期到达时,对所述临时权限管理策略进行清理处理,并禁止清理所述固定权限管理策略。
12.根据权利要求1至6任一项所述的方法,其特征在于,所述获取针对目标对象配置的权限管理策略,包括:
将权限请求发送至权限管理服务,以获取所述权限管理服务针对目标对象配置的权限管理策略;
所述方法还包括:
对所述网络访问行为进行信息统计处理得到行为信息;
将所述行为信息发送至所述权限管理服务,以使所述权限管理服务根据所述行为信息进行行为预警处理。
13.根据权利要求1至6任一项所述的方法,其特征在于,所述获取针对目标对象配置的权限管理策略,包括:
将权限请求发送至权限管理服务,以获取所述权限管理服务针对目标对象配置的权限管理策略;
所述方法还包括:
当所述网络访问行为用于访问所述权限管理服务时,为所述网络访问行为分配执行权限;其中,所述执行权限用于表示允许执行所述网络访问行为。
14.根据权利要求1至6任一项所述的方法,其特征在于,所述获取针对目标对象配置的权限管理策略,包括:
执行以下任意一种处理:
将包括设备标识信息的权限请求发送至权限管理服务,以获取所述权限管理服务针对目标对象配置的权限管理策略;其中,所述权限管理服务用于管理至少一个电子设备,所述目标对象为所述至少一个电子设备中与所述设备标识信息对应的电子设备;
将包括团队标识信息的权限请求发送至权限管理服务,以获取所述权限管理服务针对目标对象配置的权限管理策略;其中,所述权限管理服务用于管理至少一个团队,所述目标对象为所述至少一个团队中与所述团队标识信息对应的团队,所述至少一个团队中的每个团队包括至少一个电子设备。
15.一种网络访问管理装置,其特征在于,所述装置包括:
策略获取模块,用于获取针对目标对象配置的权限管理策略;
行为监控模块,用于根据所述权限管理策略向驱动层发送监控指令,以使所述驱动层根据所述监控指令对网络协议栈进行数据监控处理,并对监控到的网络访问数据进行行为识别处理,得到网络访问行为;
安全检验模块,用于根据所述权限管理策略对所述网络访问行为进行安全检验处理,得到用于表示是否拦截所述网络访问行为的检验结果;
执行模块,用于根据所述检验结果执行针对所述网络访问行为的控制操作。
16.一种电子设备,其特征在于,所述电子设备包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现权利要求1至14任一项所述的网络访问管理方法。
17.一种计算机可读存储介质,存储有可执行指令,其特征在于,所述可执行指令被处理器执行时实现权利要求1至14任一项所述的网络访问管理方法。
18.一种计算机程序产品,包括可执行指令,其特征在于,所述可执行指令被处理器执行时实现权利要求1至14任一项所述的网络访问管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111113330.8A CN115842642A (zh) | 2021-09-18 | 2021-09-18 | 网络访问管理方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111113330.8A CN115842642A (zh) | 2021-09-18 | 2021-09-18 | 网络访问管理方法、装置及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115842642A true CN115842642A (zh) | 2023-03-24 |
Family
ID=85574503
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111113330.8A Pending CN115842642A (zh) | 2021-09-18 | 2021-09-18 | 网络访问管理方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115842642A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116095683A (zh) * | 2023-04-11 | 2023-05-09 | 微网优联科技(成都)有限公司 | 无线路由器的网络安全防护方法及装置 |
-
2021
- 2021-09-18 CN CN202111113330.8A patent/CN115842642A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116095683A (zh) * | 2023-04-11 | 2023-05-09 | 微网优联科技(成都)有限公司 | 无线路由器的网络安全防护方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3111433B1 (en) | Wireless sensor network | |
| CN107273748B (zh) | 一种基于漏洞poc实现安卓系统漏洞检测的方法 | |
| US9003552B2 (en) | Online privacy management | |
| CN112187825A (zh) | 一种基于拟态防御的蜜罐防御方法、系统、设备及介质 | |
| US20150287307A1 (en) | Wireless Sensor Network | |
| CN105553999B (zh) | 应用程序用户行为分析和安全控制方法及其相应的装置 | |
| CN103686226B (zh) | 基于云计算的机顶盒上网监控方法、监控系统和机顶盒 | |
| CN110912876A (zh) | 面向信息系统的拟态防御系统、方法及介质 | |
| US20150244585A1 (en) | Dynamic extensible application server management | |
| Lindqvist et al. | eXpert-BSM: A host-based intrusion detection solution for Sun Solaris | |
| WO2012088905A1 (zh) | 一种通讯网络系统及通讯设备的巡检子系统和巡检方法 | |
| CN107809383A (zh) | 一种基于mvc的路径映射方法及装置 | |
| CN110011875A (zh) | 拨测方法、装置、设备及计算机可读存储介质 | |
| CN112994958A (zh) | 一种网络管理系统、方法、装置及电子设备 | |
| CN115842642A (zh) | 网络访问管理方法、装置及电子设备 | |
| CN115941224A (zh) | 一种网络访问信息管理方法、装置和计算机可读存储介质 | |
| EP2973192A1 (en) | Online privacy management | |
| CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
| US20080072321A1 (en) | System and method for automating network intrusion training | |
| CN113704765A (zh) | 基于人工智能的操作系统识别方法、装置及电子设备 | |
| CN103368783A (zh) | 一种网络通信过程的监听方法、系统和设备 | |
| US20050241000A1 (en) | Security hole diagnostic system | |
| CN105721481B (zh) | 一种基于透明计算的网络接入系统及方法 | |
| CN110362309A (zh) | 前端项目开发方法、装置、设备及计算机可读存储介质 | |
| CN114257614A (zh) | 一种多业务模式的医院大数据平台系统及资源调度方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |