CN115878214B - 应用软件的访问方法、装置、设备及存储介质 - Google Patents
应用软件的访问方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115878214B CN115878214B CN202211521466.7A CN202211521466A CN115878214B CN 115878214 B CN115878214 B CN 115878214B CN 202211521466 A CN202211521466 A CN 202211521466A CN 115878214 B CN115878214 B CN 115878214B
- Authority
- CN
- China
- Prior art keywords
- target
- user terminal
- access request
- application software
- target user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 92
- 230000004044 response Effects 0.000 claims abstract description 30
- 238000001514 detection method Methods 0.000 claims description 38
- 230000002159 abnormal effect Effects 0.000 claims description 36
- 230000008520 organization Effects 0.000 claims description 20
- 230000008859 change Effects 0.000 claims description 11
- 238000010586 diagram Methods 0.000 description 14
- 238000004891 communication Methods 0.000 description 8
- 239000000284 extract Substances 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000002411 adverse Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Landscapes
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种应用软件的访问方法、装置、设备及存储介质。应用于策略执行设备,包括:向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求,用于指示策略控制节点对目标用户终端访问目标应用软件的目标用户终端进行鉴权;响应于接收到策略控制节点发送的目标用户终端鉴权通过消息,根据首个访问请求生成目标用户终端对目标应用软件进行访问的目标会话信息,目标会话信息包括目标协议五元组;响应于接收到目标用户终端发送的关于目标应用软件的至少一个非首个访问请求,若确定非首个访问请求中包括的待匹配的协议五元组与目标协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器。
Description
技术领域
本申请涉及移动互联网技术,尤其涉及一种应用软件的访问方法、装置、设备及存储介质。
背景技术
近几年,用户想要通过用户终端访问应用软件,则会生成访问请求,并将访问请求发送至应用软件服务器,为了保证用户终端能够安全访问应用软件,需要对访问请求进行鉴权。
现有技术中各访问请求发送至策略执行设备,由策略执行设备发送至策略服务器,接着策略服务器获取自身存储的鉴权工单,接着策略服务器确定鉴权工单中任一预设应用软件标识与访问请求中目标应用软件标识是否一致,若一致,则鉴权通过,接着策略服务器将鉴权通过消息发送至策略执行设备,进而策略执行设备将该访问请求发送至目标应用软件。
目标用户终端会持续向策略执行设备发送访问请求,现有技术中策略服务器需要对目标用户终端发送的所有访问请求依次鉴权,由于每次鉴权都要从策略执行设备发送至策略服务器,且鉴权过程繁琐,因此需要花费时间,所以造成目标用户终端对目标应用软件的访问有一定时延,进而降低用户对目标应用软件使用的体验感;同时,由于每一个访问请求都需要进行鉴权,所以策略服务器会持续处于工作中,产生大量的功耗。
发明内容
本申请提供一种应用软件的访问方法、装置、设备及存储介质,用以解决用户访问应用软件具有一定时延,以及产生大量功耗的问题。
第一方面,本申请提供一种应用软件的访问方法,所述方法应用于策略执行设备,所述方法包括:
向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求,首个访问请求用于指示所述策略控制节点对目标用户终端访问目标应用软件的目标用户终端进行鉴权;
响应于接收到所述策略控制节点发送的目标用户终端鉴权通过消息,根据所述首个访问请求生成目标用户终端对目标应用软件进行访问的目标会话信息,所述目标会话信息包括目标协议五元组;
响应于接收到目标用户终端发送的关于目标应用软件的至少一个非首个访问请求,若确定所述非首个访问请求中包括的待匹配的协议五元组与所述目标协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器,以实现对目标应用软件进行访问。
在一种方式中,所述根据所述首个访问请求生成目标用户终端对目标应用软件进行访问的目标会话信息,包括:
从所述首个访问请求中提取目标协议五元组,所述目标协议五元组包括:目标用户终端的网际协议IP地址及端口信息、目标应用软件服务器的IP地址及端口信息以及传输层协议;
根据所述目标协议五元组生成目标会话信息。
在一种方式中,所述根据所述首个访问请求生成目标用户终端对目标应用软件进行访问的目标会话信息之后,还包括:
为所述目标会话信息配置对应的匹配时间段;
若确定所述非首个访问请求中包括的待匹配的协议五元组与所述目标协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器之前,还包括:
判断所述非首个访问请求对应的访问时间是否在所述对应的匹配时间段内;
若确定在所述对应的匹配时间段内,则将非首个访问请求中包括的待匹配的协议五元组与所述目标协议五元组进行匹配。
在一种方式中,所述响应于接收到所述策略控制节点发送的目标用户终端鉴权通过消息之后,还包括:
根据所述首个访问请求生成目标用户终端对目标应用软件进行访问的目标鉴权相关信息;
所述判断所述非首个访问请求对应的访问时间是否在所述对应的匹配时间段内之后,还包括:
若确定不在所述对应的匹配时间段内,则将所述非首个访问请求中包括的待匹配的鉴权相关信息与所述目标鉴权相关信息进行匹配;
若确定待匹配的鉴权相关信息与所述目标鉴权相关信息相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器,以实现对目标应用软件进行访问。
在一种方式中,所述根据所述首个访问请求生成目标用户终端对目标应用软件进行访问的目标鉴权相关信息,包括:
从所述首个访问请求中提取目标用户身份信息、目标应用软件统一资源定位符URL以及目标用户终端的IP地址;
根据所述目标用户身份信息、目标应用软件统一资源定位符URL以及目标用户终端的IP地址生成所述目标鉴权相关信息。
在一种方式中,所述向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求之前,还包括:
接收目标用户终端发送的认证请求;所述认证请求中包含目标用户标识、目标用户认证时间以及目标用户所属组织信息;
将所述认证请求发送至所述策略控制节点,所述认证请求指示策略控制节点基于所述目标用户标识、所述目标用户认证时间以及所述目标用户所属组织信息对目标用户进行认证;
所述向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求,包括:
响应于接收到所述策略控制节点发送的目标用户认证通过消息,向所述策略控制节点发送所述首个访问请求。
在一种方式中,所述方法还包括:
响应于监测到目标用户终端下线或接收到策略控制节点发送的鉴权工单变更消息,删除所述目标鉴权项目信息以及目标会话信息;所述鉴权工单中存储有预设用户终端标识及对应的具有访问权限的应用软件标识的映射关系,所述鉴权工单用于所述策略控制节点对目标用户终端访问目标应用软件进行鉴权。
在一种方式中,所述方法还包括:
接收策略控制节点发送的异常用户终端的标识;所述异常用户终端的标识是策略控制节点基于策略检测节点确定出的用户终端的安全系数筛选出的用户终端;
响应于接收到所述非首个访问请求,提取目标用户终端的标识;
响应于所述目标用户终端的标识与所述异常用户终端的标识相匹配,禁止将所述非首个访问请求发送至目标应用软件服务器。
第二方面,本申请提供一种应用软件的访问方法,所述方法应用于策略控制节点,所述策略控制节点位于策略服务器中,所述方法包括:
接收策略执行设备发送的目标用户终端对目标应用软件进行访问的首个访问请求;
根据所述首个访问请求对目标用户终端访问目标应用软件的目标用户终端进行鉴权;
响应于鉴权通过,生成鉴权通过消息并发送至所述策略执行设备,鉴权通过消息用于指示所述策略执行设备生成目标用户终端对目标应用软件进行访问的目标会话信息,所述目标会话信息包括目标协议五元组,并响应于接收到至少一个非首个访问请求后,若确定非首个访问请求中待匹配的协议五元组和目标协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器。
第三方面,本申请提供一种应用软件的访问装置,该装置位于策略执行设备,所述装置包括:
发送模块,用于向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求,首个访问请求用于指示所述策略控制节点对目标用户终端访问目标应用软件的目标用户终端进行鉴权;
生成模块,用于响应于接收到所述策略控制节点发送的目标用户终端鉴权通过消息,根据所述首个访问请求生成目标用户终端对目标应用软件进行访问的目标会话信息,所述目标会话信息包括目标协议五元组;
确定模块,用于响应于接收到目标用户终端发送的关于目标应用软件的至少一个非首个访问请求,若确定所述非首个访问请求中包括的待匹配的协议五元组与所述目标协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器,以实现对目标应用软件进行访问。
第四方面,本申请提供一种应用软件的访问装置,所述装置位于策略控制节点,所述策略控制节点位于策略服务器中,所述装置包括:
接收模块,用于接收策略执行设备发送的目标用户终端对目标应用软件进行访问的首个访问请求;
鉴权模块,用于根据所述首个访问请求对目标用户终端访问目标应用软件的目标用户终端进行鉴权;
发送模块,用于响应于鉴权通过,生成鉴权通过消息并发送至所述策略执行设备,鉴权通过消息用于指示所述策略执行设备生成目标用户终端对目标应用软件进行访问的目标会话信息,所述目标会话信息包括目标协议五元组,并响应于接收到至少一个非首个访问请求后,若确定非首个访问请求中待匹配的协议五元组和目标协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器。
第五方面,本申请提供一种电子设备,包括:处理器,以及与所述处理器通信连接的存储器和收发器;
所述存储器存储计算机执行指令;所述收发器,用于收发数据;
所述处理器执行所述存储器存储的计算机执行指令,以实现如上述第一方面、第二方面或任一方式中所述的方法。
第六方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上述第一方面、第二方面或任一方式中所述的方法。
本申请提供的一种应用软件的访问方法、装置、设备及存储介质,该方法应用于策略执行设备,具体包括:向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求,首个访问请求用于指示策略控制节点对目标用户终端访问目标应用软件的目标用户终端进行鉴权;响应于接收到策略控制节点发送的目标用户终端鉴权通过消息,根据首个访问请求生成目标用户终端对目标应用软件进行访问的目标会话信息,目标会话信息包括目标协议五元组;响应于接收到目标用户终端发送的关于目标应用软件的至少一个非首个访问请求,若确定非首个访问请求中包括的待匹配的协议五元组与目标协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器,以实现对目标应用软件进行访问。本实施例策略执行设备首先向策略控制阶段发送目标用户终端对目标应用软件进行访问的首个访问请求,该首个访问请求用于指示策略控制阶段对目标用户终端访问目标应用软件的目标用户终端进行鉴权,然后策略执行设备将接收到鉴权通过消息,从而策略执行设备根据首个访问请求生成目标会话信息,由于该目标会话信息中包括目标协议五元组,因此当至少一个非首个访问请求发送至策略执行设备时,策略执行设备只需要将至少一个非首个访问请求中包括的待匹配的协议五元组与目标协议五元组进行匹配,并响应于待匹配的协议五元组与目标协议五元组相匹配,从而将至少一个非首个访问请求发送至目标应用软件服务器中,由此可见,对于至少一个非首个访问请求,只需要通过策略执行设备进行目标协议五元组与待匹配的协议五元组的匹配,因为在目标协议五元组中包含的内容可以反映该目标用户终端相关信息以及该目标用户终端能访问的目标应用软件的相关信息,所以将待匹配的协议五元组与目标协议五元组进行匹配,就能确定该非首个访问请求是否有权限发送至目标应用软件中,从而不需要发送至策略控制节点进行鉴权就能确定出该非首个访问请求是否可以发送至目标应用软件服务器中,从而减少了策略执行设备与策略控制节点之间的交互时间,同时,也减少了策略控制节点对访问请求进行鉴权的时间,所以能够节约时间,减少时延;进一步的,由于现有技术中策略控制节点需要对所有访问请求进行鉴权,所以现有技术中策略控制节点会持续处于工作中,进而策略服务器产生大量功耗,而本实施例中策略控制节点只进行首个访问请求的鉴权,非首个访问请求依赖策略执行设备通过对目标协议五元组的存储来实现对待匹配的协议五元组的匹配,所以本实施例减少了策略服务器的功耗。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请提供的一种应用软件的访问方法的应用场景图;
图2为本申请实施例一提供的一种应用软件的访问方法的流程示意图;
图3为本申请实施例三提供的一种应用软件的访问方法的流程示意图;
图4为本申请实施例四提供的一种应用软件的访问方法的流程示意图;
图5为本申请实施例五提供的一种应用软件的访问方法的流程示意图;
图6为本申请实施例七提供的一种应用软件的访问方法的流程示意图;
图7为本申请实施例七提供的一种网络架构示意图;
图8为本申请实施例八提供的一种应用软件的访问方法的流程示意图;
图9为本申请实施例九提供的一种应用软件的访问交互流程示意图;
图10为本申请实施例十提供的一种应用软件的访问装置示意图;
图11为本申请实施例十一提供的一种应用软件的访问装置示意图;
图12为本申请实施例十二提供的一种电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
现有技术中目标用户终端持续向目标应用软件发起访问请求时,各访问请求发送至策略执行设备,由策略执行设备发送至策略服务器,接着策略服务器获取自身存储的鉴权工单,从访问请求中确定出目标用户终端标识以及目标应用软件标识,接着从鉴权工单中确定出与目标用户终端标识一致的预设用户终端标识,并确定出与该一致的预设用户终端标识对应的具有访问权限的预设应用软件标识,接着确定该预设应用软件标识与目标应用软件标识是否一致,若一致,则鉴权通过,接着策略服务器将鉴权通过消息发送至策略执行设备,进而策略执行设备将该访问请求发送至目标应用软件。
目标用户终端会持续向策略执行设备发送访问请求,现有技术中策略服务器需要对目标用户终端发送的所有访问请求依次鉴权,由于每次鉴权都要从策略执行设备发送至策略服务器,且鉴权过程繁琐,因此需要花费时间,所以造成目标用户终端对目标应用软件的访问有一定时延,进而降低用户对目标应用软件使用的体验感;同时,由于每一个访问请求都需要进行鉴权,所以策略服务器会持续处于工作中,产生大量的功耗。
为了解决现有技术的缺陷,本方案发明人经过创造性研究,设计一种新的方案。本方案提供一种应用软件的访问方法,为了解决用户访问应用软件具有一定时延的问题,本申请策略执行设备向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求,从而策略控制节点将对目标用户终端进行鉴权,主要是鉴别出目标用户终端是否有权限访问目标应用软件,若策略控制节点确定出目标用户终端具有权限访问目标应用软件,则鉴权通过。在鉴权通过后,策略执行设备接收目标用户终端鉴权通过消息,然后基于首个访问请求生成目标会话信息,在目标会话信息中包括目标协议五元组,目标用户终端会持续向策略执行设备发送非首个访问请求,由于在目标协议五元组中包含的内容可以反映该目标用户终端相关信息以及该目标用户终端能访问的目标应用软件的相关信息,所以将至少一个非首个访问请求中包括的待匹配的协议五元组与目标协议五元组进行匹配,就能确定该非首个访问请求是否有权限发送至目标应用软件中。接着策略执行设备响应于至少一个非首个访问请求中包括的待匹配的协议五元组与目标协议五元组相匹配,从而将至少一个非首个访问请求发送至目标应用软件服务器,本方案中由于对于至少一个非首个访问请求不需要发送至策略控制节点进行鉴权,所以减少了策略执行设备与策略控制节点之间的交互,同时,鉴权的过程相较于只匹配协议五元组来说更加繁琐,因此总体来说花费的时间比现有技术更少,所以时延小;为了解决策略服务器会持续处于工作中,产生大量的功耗的问题,本方案对于非首个访问请求不再使用策略服务器进行鉴权,从而策略服务器将不处于持续工作状态,而是采用策略执行设备简单地对待匹配的协议五元组和目标协议五元组进行匹配,这样就能减小功耗。
下面对本申请提供一种应用软件的访问方法、装置、设备及存储介质的应用场景进行介绍。
图1为本申请提供的一种应用软件的访问方法的应用场景图。如图1所示,该应用场景图包括目标用户终端101、策略执行设备102、策略服务器103以及目标应用软件服务器104,其中,策略服务器103中包含策略控制节点。
其中,目标用户终端101与策略执行设备102通信连接,策略执行设备102与策略服务器103通信连接,其中,通信连接可以是有线连接,也可以是无线连接,此处不做限制。
其中,目标应用软件服务器104中包含目标应用软件105。
其中,目标用户终端101可以为多个。
具体的,目标用户通过目标用户终端101向目标应用软件105发送访问请求时,具体如下:目标用户终端101向策略执行设备102发送首个访问请求,策略执行设备102根据自身是否存储该目标用户终端101的对应的目标会话信息确定出该访问请求是否为首个访问请求,若策略执行设备102中无目标用户终端101对应的目标会话信息,则策略执行设备102将向策略服务器103发送该首个访问请求,接着策略服务器103将首个访问请求发送至策略控制节点105,从而策略控制节点根据首个访问请求对目标用户终端进行鉴权,响应于鉴权通过,将生成鉴权通过消息并发送至策略执行设备102。策略执行设备102将基于首个访问请求生成会话表,在会话表中包含目标协议五元组。策略执行设备102从目标用户终端101接收至少一个非首个访问请求,接着策略执行设备102将接收至少一个非首个访问请求,由策略执行设备102依次将各非首个访问请求中包括的待匹配的协议五元组与目标协议五元组匹配,若匹配,则策略执行设备102向目标应用软件服务器104发送将匹配成功的非首个访问请求,从而实现对目标应用软件进行访问。
需要说明的是,本申请中首先是策略控制节点对首个访问请求进行鉴权,当目标用户鉴权通过后,对于后续的至少一个非首个访问请求发送至策略执行设备102时,则由策略执行设备102对至少一个非首个访问请求进行待匹配的协议五元组与目标协议五元组的匹配,只有当匹配成功,则策略执行设备102才会将非首个访问请求发送至目标应用软件服务器104,接着目标应用软件104向目标应用软件105发送非首个访问请求。
需要说明的是,目标用户终端101发送的访问请求是具有时间先后顺序的,因此,策略执行设备102对后续的至少一个非首个访问请求进行匹配时,按照非首个访问请求的先后顺序进行匹配。
本申请提供的应用软件的访问的方法,旨在解决现有技术的如上技术问题。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几条具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
实施例一
图2为本申请实施例一提供的一种应用软件的访问方法的流程示意图。本实施例方法的执行主体为应用软件的访问装置(以下简称访问装置),该方法应用于策略执行设备,如图2所示,具体步骤如下。
S201,向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求,首个访问请求用于指示策略控制节点对目标用户终端访问目标应用软件的目标用户终端进行鉴权。
其中,策略控制节点是一种做控制决定的软件。目标用户终端可以是手机或电脑等,此处不做限制。目标应用软件是任一种可下载至目标用户终端的软件。首个访问请求是目标用户终端向目标应用软件在一段时间内发送的第一个访问请求,访问请求中包含协议五元组等信息。鉴权是指对目标用户终端是否有权限访问目标应用软件的鉴别,只有鉴权通过,目标用户才能通过目标用户终端实现对目标应用软件的访问。
具体的,目标用户终端向策略执行设备发送首个访问请求,接着策略执行设备响应于自身不存在该目标用户终端对应的目标会话信息等,接着策略执行设备将首个访问请求发送至策略服务器中的策略控制节点。其中,目标会话信息具体描述参考S202。
进一步的,策略控制节点将根据首个访问请求对目标用户终端访问的目标应用软件的目标用户终端进行鉴权。
S202,响应于接收到策略控制节点发送的目标用户终端鉴权通过消息,根据首个访问请求生成目标用户终端对目标应用软件进行访问的目标会话信息,目标会话信息包括目标协议五元组。
其中,鉴权通过消息是表征目标用户终端有权限访问目标应用软件的消息。
其中,目标会话信息是鉴权通过后,策略执行设备根据首个访问请求生成的一种表征信息,目标会话信息包含协议五元组,其中,协议五元组中包含目标用户终端以及目标应用软件的基本信息。
S203,响应于接收到目标用户终端发送的关于目标应用软件的至少一个非首个访问请求,若确定非首个访问请求中包括的待匹配的协议五元组与目标协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器,以实现对目标应用软件进行访问。
其中,非首个访问请求是指在首个访问请求之后的访问请求。可以理解的是,由于目标用户通过目标用户终端对目标应用软件进行访问,在目标用户终端中的目标应用软件客户端每做一个动作,就会生成一个访问请求,并发送至策略执行设备,因此,访问请求是有时间先后顺序。
其中,待匹配的协议五元组中包含待匹配用户终端的信息以及待匹配目标应用软件的信息。
具体的,目标用户终端向策略执行设备发送非首个访问请求,接着策略执行设备按照时间先后顺序接收至少一个非首个访问请求,然后策略执行设备响应于非首个访问请求中包括的待匹配的协议五元组与目标协议五元组相匹配,接着策略执行设备将非首个访问请求发送至目标应用服务器中,从而实现对目标应用软件的访问。
本实施例提供一种应用软件的访问方法,该方法应用于策略执行设备,具体包括:向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求,首个访问请求用于指示策略控制节点对目标用户终端访问目标应用软件的目标用户终端进行鉴权;响应于接收到策略控制节点发送的目标用户终端鉴权通过消息,根据首个访问请求生成目标用户终端对目标应用软件进行访问的目标会话信息,目标会话信息包括目标协议五元组;响应于接收到目标用户终端发送的关于目标应用软件的至少一个非首个访问请求,若确定非首个访问请求中包括的待匹配的协议五元组与目标协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器,以实现对目标应用软件进行访问。本实施例策略执行设备首先向策略控制阶段发送目标用户终端对目标应用软件进行访问的首个访问请求,该首个访问请求用于指示策略控制阶段对目标用户终端访问目标应用软件的目标用户终端进行鉴权,然后策略执行设备将接收到鉴权通过消息,从而策略执行设备根据首个访问请求生成目标会话信息,由于该目标会话信息中包括目标协议五元组,因此当至少一个非首个访问请求发送至策略执行设备时,策略执行设备只需要将至少一个非首个访问请求中包括的待匹配的协议五元组与目标协议五元组进行匹配,并响应于待匹配的协议五元组与目标协议五元组相匹配,从而将至少一个非首个访问请求发送至目标应用软件服务器中,由此可见,对于至少一个非首个访问请求,只需要通过策略执行设备进行目标协议五元组与待匹配的协议五元组的匹配,因为在目标协议五元组中包含的内容可以反映该目标用户终端相关信息以及该目标用户终端能访问的目标应用软件的相关信息,所以将待匹配的协议五元组与目标协议五元组进行匹配,就能确定该非首个访问请求是否有权限发送至目标应用软件中,从而不需要发送至策略控制节点进行鉴权就能确定出该非首个访问请求是否可以发送至目标应用软件服务器中,从而减少了策略执行设备与策略控制节点之间的交互时间,同时,也减少了策略控制节点对访问请求进行鉴权的时间,所以能够节约时间,减少时延;进一步的,由于现有技术中策略控制节点需要对所有访问请求进行鉴权,所以现有技术中策略控制节点会持续处于工作中,进而策略服务器产生大量功耗,而本实施例中策略控制节点只进行首个访问请求的鉴权,非首个访问请求依赖策略执行设备通过对目标协议五元组的存储来实现对待匹配的协议五元组的匹配,所以本实施例减少了策略服务器的功耗。
实施例二
本实施例是上述实施例一的进一步细化,本实施例是根据首个访问请求生成目标用户终端对目标应用软件进行访问的目标会话信息的一种可行方式,具体内容如下。
从首个访问请求中提取目标协议五元组,目标协议五元组包括:目标用户终端的网际协议IP地址及端口信息、目标应用软件服务器的IP地址及端口信息以及传输层协议。
其中,传输层协议是指首个访问在网络中传输的标准协议。
具体的,策略执行设备从首个访问请求中提取出目标用户终端的网际协议IP地址及端口信息、目标应用软件服务器的IP地址及端口信息以及传输层协议。
根据目标协议五元组生成目标会话信息。
在一种方式中,目标会话信息可以用表格形式展现,如表1所示。其中,IP地址非真实IP地址,此处只用于举例说明。
表1:目标会话信息的一种表现形式
具体的,策略执行设备根据目标协议五元组生成目标会话信息。
进一步的,将目标会话信息存储在自身存储区域中。
在一种方式中,目标会话信息也可以用于判断从目标用户终端发送至策略执行设备的访问请求是否为首个访问请求。具体的,当任一访问请求从目标用户终端发送至策略执行设备,策略执行设备将提取出该访问请求中的待匹配的用户终端IP地址以及待匹配的应用软件服务器IP地址,接着根据该目标用户终端IP地址在自身存储的至少一个目标会话信息中找到是否有任一目标用户终端IP地址与待匹配的用户终端IP地址相匹配,如果匹配,则表明策略执行设备中包含该目标用户终端访问目标应用软件的目标会话信息,则表明该访问请求是非首个访问请求;若不匹配,则表明该访问请求是首个访问请求。
在另一种方式中,策略执行设备可以利用目标会话信息中目标协议五元组与非首个访问请求中的待匹配的协议五元组进行匹配,从而确定是否将非首个访问请求发送至目标应用软件服务器中。
本实施例提供一种应用软件的访问方法,在根据首个访问请求生成目标用户终端对目标应用软件进行访问的目标会话信息时,具体包括:从首个访问请求中提取目标协议五元组,目标协议五元组包括:目标用户终端的网际协议IP地址及端口信息、目标应用软件服务器的IP地址及端口信息以及传输层协议;根据目标协议五元组生成目标会话信息。本实施例策略执行设备首先从首个访问请求中提取出目标协议五元组,从而生成目标会话信息,其中,目标协议五元组包含目标用户终端的IP地址及端口信息、目标应用软件服务器的IP地址及端口信息以及传输层协议,由此可见,目标会话信息涉及到目标用户终端以及目标应用软件服务器,因此目标会话信息内容全面。
实施例三
本实施例是上述任一实施例的进一步细化,本实施例是根据首个访问请求生成目标用户终端对目标应用软件进行访问的目标会话信息之后的一种可选方式,具体内容如下。
为目标会话信息配置对应的匹配时间段。
其中,匹配时间段是指目标会话信息能够进行匹配的时间段。示例性的,目标会话信息对应的匹配时间段可以是短时间,例如10分钟。目标会话信息对应的匹配时间段可以根据实际需求配置。
图3为本申请实施例三提供的一种应用软件的访问方法的流程示意图。本实施例是若确定非首个访问请求中包括的待匹配的协议五元组与目标协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器之前的一种可选方式,如图3所示,具体步骤如下。
S301,判断非首个访问请求对应的访问时间是否在对应的匹配时间段内。
其中,非首个访问请求中包含从目标用户终端发送至策略执行设备的时间,即为发送时间。
具体的,策略执行设备将根据非首个访问请求确定出非首个访问请求发送时间,接着确定该发送时间是否在对应的匹配时间段内。
示例性的,假设对应的匹配时间段为10分钟,该非首个访问请求的发送时间为生成目标会话信息后的第5分钟,由于5分钟是在对应的匹配时间段(10分钟)内,因此,策略执行设备判断出该非首个访问请求在对应的匹配时间段内。
S302,若确定在对应的匹配时间段内,则将非首个访问请求中包括的待匹配的协议五元组与目标协议五元组进行匹配。
其中,待匹配的协议五元组中包含待匹配的用户终端的IP地址及端口信息、待匹配的应用软件服务器的IP地址及端口信息以及待匹配的传输层协议。
进一步的,策略执行设备确定出该非首个访问请求在对应的匹配时间段内,则将从非首个访问请求中提取出待匹配的协议五元组,又从自身存储区域中获取目标协议五元组,将待匹配的协议五元组与目标协议五元组进行匹配。
需要说明的是,待匹配的协议五元组与目标协议五元组进行匹配是说明待匹配的协议五元组中包含的内容与目标协议五元组包含的内容都匹配。
本实施例提供一种应用软件的访问方法,在根据首个访问请求生成目标用户终端对目标应用软件进行访问的目标会话信息之后,具体包括:为目标会话信息配置对应的匹配时间段;在若确定非首个访问请求中包括的待匹配的协议五元组与目标协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器之前,还包括:判断非首个访问请求对应的访问时间是否在对应的匹配时间段内;若确定在对应的匹配时间段内,则将非首个访问请求中包括的待匹配的协议五元组与目标协议五元组进行匹配。本实施例策略执行设备在生成目标会话信息之后,则为目标会话信息配置对应的匹配时间段,对于非首个访问请求,则确定其访问时间是否在对应的匹配时间段内,如果在匹配时间段内,从而将待匹配的协议五元组与目标协议五元组进行匹配,由于给目标会话信息配置对应的匹配时间段,进而就能在实现对于在匹配时间段内的非首个访问请求,可以快速的进行匹配,从而也节约了时间;同时,由于将至少一个非首个访问请求中待匹配的协议五元组与目标协议五元组进行匹配后,只有当匹配成功后才将至少一个非首个访问请求发送至目标应用软件服务器中,所以保证了发送至目标应用软件服务器的访问请求的安全性,减少了目标应用软件被攻击的可能性。
实施例四
本实施例是上述任一实施例的进一步细化,本实施例是响应于接收到策略控制节点发送的目标用户终端鉴权通过消息之后的一种可选方式,具体内容如下。
根据首个访问请求生成目标用户终端对目标应用软件进行访问的目标鉴权相关信息。
其中,目标鉴权项目信息包含目标用户、目标应用软件以及目标用户终端的信息。
进一步的,当策略执行设备接收到策略控制节点发送的目标用户终端鉴权通过消息之后,策略执行设备将根据首个访问请求中的内容生成目标用户终端对目标应用软件进行访问的目标鉴权相关信息。
在一种方式中,本方式是根据首个访问请求生成目标用户终端对目标应用软件进行访问的目标鉴权相关信息的一种可选方式,具体内容如下。
从首个访问请求中提取目标用户身份信息、目标应用软件统一资源定位符URL以及目标用户终端的IP地址。
其中,目标用户身份信息是关于目标终端用户身份的信息。
其中,统一资源定位系统(Uniform Resource Locator,简称URL)是因特网的万维网服务程序上用于指定信息位置的表示方法,也被称为网页地址。
根据目标用户身份信息、目标应用软件统一资源定位符URL以及目标用户终端的IP地址生成目标鉴权相关信息。
具体的,将目标用户身份信息、目标应用软件统一资源定位符URL以及目标用户终端的IP地址进行打包,从而生成目标鉴权相关信息。
进一步的,将目标鉴权相关信息存储在自身存储区域中。
在一种方式中,目标鉴权相关信息可以通过表格形式展现。
本方式在根据首个访问请求生成目标用户终端对目标应用软件进行访问的目标鉴权相关信息时,具体包括:从首个访问请求中提取目标用户身份信息、目标应用软件统一资源定位符URL以及目标用户终端的IP地址;根据目标用户身份信息、目标应用软件统一资源定位符URL以及目标用户终端的IP地址生成目标鉴权相关信息。本实施例策略执行设备从首个访问请求中提取出目标用户身份信息、目标应用软件统一资源定位符URL以及目标用户终端的IP地址,然后基于上述三种信息生成目标鉴权相关信息,由此可见目标鉴权相关信息中包含多种信息,涉及到关于目标用户、目标用户终端以及目标应用软件的信息,因此目标鉴权相关信息更全面。
图4为本申请实施例四提供的一种应用软件的访问方法的流程示意图。本实施例是判断非首个访问请求对应的访问时间是否在对应的匹配时间段内之后的一种可选方式,如图4所示,具体步骤如下。
S401,若确定不在对应的匹配时间段内,则将非首个访问请求中包括的待匹配的鉴权相关信息与目标鉴权相关信息进行匹配。
其中,待匹配的鉴权相关信息中包含待匹配的用户身份信息、待匹配的应用软件统一资源定位符URL以及待匹配的用户终端的IP地址。
具体的,策略执行设备若确定出非首个访问请求不在对应的匹配时间段内,则从非首个访问请求中提取出待匹配的鉴权相关信息,接着又从自身存储区域中获取目标鉴权相关信息,将待匹配的鉴权相关信息与目标鉴权相关信息进行匹配。
S402,若确定待匹配的鉴权相关信息与目标鉴权相关信息相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器,以实现对目标应用软件进行访问。
具体的,策略执行设备确定出待匹配的鉴权相关信息中包含的内容与目标鉴权相关信息中的内容都相匹配,则策略执行设备将至少一个非首个访问请求发送至目标应用软件服务器,从而实现对目标应用软件的访问。
需要说明的是,策略执行设备可以根据目标应用软件服务器相关信息确定出对应的目标应用软件服务器,其中,目标应用软件服务器相关信息可以包含目标应用软件服务器的IP地址以及端口信息等,此处不做限制。
本实施例提供一种应用软件的访问方法,在响应于接收到策略控制节点发送的目标用户终端鉴权通过消息之后,具体包括:根据首个访问请求生成目标用户终端对目标应用软件进行访问的目标鉴权相关信息;在判断非首个访问请求对应的访问时间是否在对应的匹配时间段内之后,具体还包括:若确定不在对应的匹配时间段内,则将非首个访问请求中包括的待匹配的鉴权相关信息与目标鉴权相关信息进行匹配;若确定待匹配的鉴权相关信息与目标鉴权相关信息相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器,以实现对目标应用软件进行访问。本实施例策略执行设备同样根据首个访问请求生成目标鉴权信息,对于非首个访问请求判断其不在对应的匹配时间段内,为了确保能够非首个访问请求能够顺利发送至目标应用软件服务器,若确定非首个访问请求中包括的待匹配的鉴权相关信息与目标鉴权相关信息相匹配,才可以将至少一个非首个访问请求发送至目标应用软件服务器中,由于目标鉴权相关信息更全面,所以对于不在匹配时间段内的非首个访问请求将更加严格地执行匹配工作,进而确定后续的至少一个非首个访问请求中待匹配的鉴权相关信息与目标鉴权相关信息相匹配,从而也保证了发送至目标应用软件服务器的非首个访问请求更加安全,进一步确保了目标应用服务器不被攻击。
实施例五
图5为本申请实施例五提供的一种应用软件的访问方法的流程示意图。本实施例是上述任一实施例的进一步细化,本实施例是向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求之前的一种可选方式,如图5所示,具体步骤如下。
S501,接收目标用户终端发送的认证请求;认证请求中包含目标用户标识、目标用户认证时间以及目标用户所属组织信息。
其中,认证请求是目标用户的身份认证。
其中,目标用户标识可以是目标用户名称。目标用户是操作目标用户终端的个人或企业。
其中,目标用户认证时间是指目标用户进行认证的时间。
其中,目标用户所属组织信息是指目标用户所属部门信息,例如,目标用户所属财务部门。
具体的,目标用户通过目标用户终端输入目标用户标识以及目标用户所属组织信息,接着目标用户点击认证请求,响应于点击认证请求,目标用户终端生成一个目标用户认证时间,接着将目标用户标识、目标用户所属组织信息以及目标用户认证时间作为认证请求发送至策略执行设备,从而策略执行设备接收认证请求。
S502,将认证请求发送至策略控制节点,认证请求指示策略控制节点基于目标用户标识、目标用户认证时间以及目标用户所属组织信息对目标用户进行认证。
具体的,策略执行设备将认证请求通过有线或无线通信方式发送至策略控制节点,从而策略控制节点将基于认证请求对目标用户进行认证。
在一种方式中,策略控制节点会读取目标用户所属组织信息,确定该组织信息是否能够发送访问请求至策略执行设备,若策略控制节点确定该目标用户所属组织信息能够发送访问请求至策略执行设备,则认证通过;若确定该目标用户所属组织信息不能够发送发送访问请求至策略执行设备,则认证不通过。同样的,也可以基于目标用户标识来确定认证是否通过。
进一步的,策略控制节点认证通过后将目标用户标识、目标用户认证时间以及目标用户所属组织信息进行加密处理,然后将加密后的目标用户标识、目标用户认证时间以及目标用户所属组织信息作为目标用户身份信息发送至策略执行设备。
需要说明的是,该目标用户身份信息是目标用户唯一标识。
在一种方式中,认证请求还可以包含目标用户账号及密码等信息。
向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求,包括:
响应于接收到策略控制节点发送的目标用户认证通过消息,向策略控制节点发送首个访问请求。
具体的,策略控制节点认证通过后,也会生成目标用户认证通过消息,接着策略控制节点将目标用户认证通过消息发送至策略执行设备,从而策略执行设备接收目标用户认证通过消息,从而策略执行设备向策略控制节点发送首个访问请求。
可以理解的是,在进行对首个访问请求进行鉴权时,需要对目标用户进行认证。
本实施例提供一种应用软件的访问方法,在向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求之前,具体还包括:接收目标用户终端发送的认证请求;认证请求中包含目标用户标识、目标用户认证时间以及目标用户所属组织信息;将认证请求发送至策略控制节点,认证请求指示策略控制节点基于目标用户标识、目标用户认证时间以及目标用户所属组织信息对目标用户进行认证;在向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求时,具体包括:响应于接收到策略控制节点发送的目标用户认证通过消息,向策略控制节点发送首个访问请求。本实施例策略执行设备在接收首个访问请求之前会接收到目标用户重点发送的认证请求,然后将认证请求发送至策略控制节点,由于认证请求中包含目标用户标识、目标用户认证时间以及目标用户所属组织信息,这些信息都是关于目标用户的,所以便于策略控制节点对目标用户进行认证,且由于认证请求中包含内容较为全面,因此认证结果较为准确。接着策略执行设备接收策略控制节点发送的目标用户认证通过消息,从而将首个访问请求发送至策略控制节点,由于进行认证,能够保证目标用户的安全性,确保目标用户所属组织信息等是可以向策略执行设备发送访问请求的。
实施例六
本实施例是上述任一实施例的进一步细化,本实施例方法还包括:响应于监测到目标用户终端下线或接收到策略控制节点发送的鉴权工单变更消息,删除目标鉴权项目信息以及目标会话信息;鉴权工单中存储有预设用户终端标识及对应的具有访问权限的应用软件标识的映射关系,鉴权工单用于策略控制节点对目标用户终端访问目标应用软件进行鉴权。
其中,目标用户终端下线是指目标用户终端暂时性不使用目标应用软件,退出目标应用软件。
其中,鉴权工单是预先存储在策略控制节点中的一种用于对目标用户终端访问目标应用软件进行鉴权的映射关系。
可以理解的是,鉴权工单中包含多个预设用户终端标识和多个具有权限的应用软件标识。其中,一个预设用户终端标识可以对应多个具有权限的应用软件标识,这就意味着该预设用户终端有权限访问多个应用软件。示例性的,预设用户终端1对应应用软件1、应用软件2以及应用软件3,这就意味着预设用户终端1具有权限访问应用软件1、应用软件2以及应用软件3。
其中,鉴权工单变更是指对其中至少一个预设用户终端标识对应的具有权限的应用软件标识进行变更。示例性的,变更前预设用户终端1对应应用软件1、应用软件2以及应用软件3;变更后,预设用户终端1对应应用软件4。
具体的,当目标用户终端下线时,目标用户终端发送一条下线通知至策略执行设备或策略执行设备预设下线时间段阈值,若在一段静止时间内,该一段静止时间大于或等于预设下线时间段阈值,且在该一段静止时间内目标用户终端并没有发送任何一个访问请求至策略执行设备,则认为目标用户终端下线。
在另一种方式中,在一段静止时间内,该一段静止时间小于预设下线时间段阈值,则认为目标用户终端未下线。
进一步的,当策略控制节点接收到新的鉴权工单,则生成一个鉴权工单变更消息,接着策略控制节点将鉴权工单变更消息发送至策略执行设备,从而策略执行设备接收到该鉴权工单变更消息。
进一步的,策略执行设备接收到目标用户终端下线或接收到策略控制阶段发送的鉴权工单变更消息,则删除目标鉴权项目信息以及目标会话信息。
需要说明的是,当新的鉴权工单中变更的是非目标用户终端对应的具有权限的应用软件,则策略执行设备可以不用对该目标用户终端对应的目标鉴权项目信息以及目标会话信息进行删除。
需要说明的是,本申请中目标会话信息和目标鉴权项目信息都是基于首个访问请求生成的,目标会话信息和目标鉴权项目信息是同时存在及同时删除。
可以理解的是,本申请是基于目标会话信息与目标鉴权项目信息协同机制实现对非首个访问请求的匹配,从而确定出出至少一个非首个访问请求是否能够发送至目标应用软件服务器。
本实施例提供一种应用软件访问的方法,具体还包括:响应于监测到目标用户终端下线或接收到策略控制节点发送的鉴权工单变更消息,删除目标鉴权项目信息以及目标会话信息;鉴权工单中存储有预设用户终端标识及对应的具有访问权限的应用软件标识的映射关系,鉴权工单用于策略控制节点对目标用户终端访问目标应用软件进行鉴权。本实施例策略执行设备响应于监测到目标用户终端下线或接收到鉴权工单变更消息,则删除目标鉴权项目信息以及目标会话信息,由于当目标用户终端下线后将在一段时间内不再向目标应用软件发送访问请求,故策略执行设备可以将其对应的目标鉴权项目信息以及目标会话信息删除;同样的,当鉴权工单发生变更,则目标用户终端对应的目标鉴权项目信息以及目标会话信息可能发生改变,因此为了确保访问请求能够访问至目标应用服务器,所以策略执行设备将目标鉴权项目信息以及目标会话信息删除。由于对目标鉴权项目信息以及目标会话信息的删除,可以减少策略执行设备的存储,当目标鉴权项目信息以及目标会话信息已经不再适用或暂时不再需要时,则将其删除,减轻策略执行设备的压力,且释放更多的存储空间。
实施例七
图6为本申请实施例七提供的一种应用软件的访问方法的流程示意图。本实施例是上述任一实施例的进一步细化,如图6所示,具体步骤如下。
S601,接收策略控制节点发送的异常用户终端的标识;异常用户终端的标识是策略控制节点基于策略检测节点确定出的用户终端的安全系数筛选出的用户终端。
其中,策略检测节点位于策略服务器中,策略检测节点是用于目标用户终端进行安全系数评分的一种软件。
其中,安全系数是表征用户终端安全性能的指标,若安全系数大于或等于预设安全系数阈值,则代表该用户终端为正常用户终端;若安全系数小于预设安全系数阈值,则代表该用户终端为异常用户终端。
其中,异常用户终端表明用户终端可为危险性用户终端。示例性的,异常用户终端可能被不法份子占用。
具体的,预先对策略检测节点配置检测任务,该检测任务为周期性向用户终端发送检测请求,在该检测请求中包含获取用户终端的标识的请求。
其中,周期性是指每隔一段时间向用户终端发送检测请求,例如,十分钟发送一次检测请求。
进一步的,策略检测节点获取自身存储的预设异常用户终端标识信息,然后策略检测节点确定出获取到的用户终端标识是否存在于预设异常用户终端标识信息中,若存在,则策略检测节点为该用户终端评上低安全系数,例如,该用户终端的安全系数为50分;若不存在,则策略检测节点为该用户终端评上高安全系数,例如,该用户终端的安全系数为90分。
进一步的,策略检测节点将该用户终端的安全系数评分结果发送至策略控制节点。
进一步的,策略控制节点基于该用户终端的安全系数评分结果确定出该用户终端是否为异常用户终端。
具体的,策略控制节点获取预设安全系数阈值,接着将该用户终端的安全系数与预设安全阈值进行对比,若该用户终端的安全系数大于或等于预设安全阈值,则表明该用户终端为正常用户终端;若该用户终端的安全系数小于预设安全阈值,则表明该用户终端为异常用户终端。
进一步的,策略控制节点将筛选出的异常用户终端标识发送至策略执行设备。
需要说明的是,由于策略检测点是周期性向用户终端发送检测请求,进而也会周期性向策略控制节点发送用户终端安全系数评分结果。其中,在同一段时间内,可能有多个用户终端向策略执行设备发送访问请求,因而策略检测节点可以对该多个用户终端周期性发送检测请求,进而从多个用户终端中筛选出异常用户终端的标识。
S602,响应于接收到非首个访问请求,提取目标用户终端的标识。
其中,非首个访问请求中包含目标用户终端的标识。
具体的,策略执行设备从接收到的非首个访问请求提取出目标用户终端的标识。
S603,响应于目标用户终端的标识与异常用户终端的标识相匹配,禁止将非首个访问请求发送至目标应用软件服务器。
具体的,策略执行设备将目标用户终端的标识与异常用户终端的标识匹配,若匹配,则策略执行设备禁止将非首个访问请求发送至目标应用软件服务器。
在另一种情况下,策略执行设备确定出目标用户终端的标识与异常用户终端的标识不匹配,则按照上述实施例的描述,若策略执行设备确定非首个访问请求与自身存储的目标会话表或目标鉴权项目信息相匹配,则将非首个访问请求发送至目标应用软件服务器。
需要说明的是,当策略执行设备在某一时刻下确定出目标用户终端的标识与异常用户终端的标识相匹配,则策略执行设备会禁止将该目标用户终端后续发送的至少一个非首个访问请求发送至目标应用软件服务器中。
本实施例还提供一种网络架构示意图。图7为本申请实施例七提供的一种网络架构示意图。如图7所示,其中,包含目标用户终端701、策略执行设备702、策略服务器703以及目标应用软件服务器704,其中,策略服务器中包含策略检测节点705以及策略控制节点706。
其中,目标用户终端分别与策略执行设备以及策略服务通信连接,策略执行设备分别与目标应用软件服务器以及策略服务器通信连接,策略服务器中策略检测节点与策略控制节点通信连接。其中,通信连接可以是有线连接,也可以是无线连接。
其中,用户终端将向策略检测节点发送用户终端标识,策略检测节点对用户终端安全系数进行评分,然后将安全系数评分结果发送至策略控制节点,接着策略控制节点基于安全系数确定出异常用户终端的标识,并将其发送至策略执行设备,从而策略执行设备将确定出目标用户终端发送的非首个访问请求是否要禁止发送至目标应用软件服务器中。
本实施例提供一种应用软件的访问方法,具体还包括:接收策略控制节点发送的异常用户终端的标识;异常用户终端的标识是策略控制节点基于策略检测节点确定出的用户终端的安全系数筛选出的用户终端;响应于接收到非首个访问请求,提取目标用户终端的标识;响应于目标用户终端的标识与异常用户终端的标识相匹配,禁止将非首个访问请求发送至目标应用软件服务器。本实施例策略执行设备接收策略控制节点基于策略检测节点筛选出的异常用户终端的标识,异常用户终端是带有危险性的用户终端,所以当策略执行设备响应于接收到的非首个访问请求中的目标用户终端的标识与异常用户终端的标识相匹配,则禁止将非首个访问请求发送至目标应用软件服务器,从而就能保证发送至目标应用软件服务器中的非首个访问请求是正常用户终端发送过去的,从而保证了安全性。由于异常用户终端可能会给目标应用软件服务器带来不利,所以本实施例能够保证安全,减少发生不利的可能,保证目标用户终端与目标应用软件服务器之间的交互是安全的。
实施例八
图8为本申请实施例八提供的一种应用软件的访问方法的流程示意图。本实施例方法的执行主体为应用软件的访问装置(以下简称访问装置),该方法应用于方法应用于策略控制节点,策略控制节点位于策略服务器中,如图8所示,具体步骤如下。
S801,接收策略执行设备发送的目标用户终端对目标应用软件进行访问的首个访问请求。
具体的,策略控制节点接收策略执行设备发送的首个访问请求。
S802,根据首个访问请求对目标用户终端访问目标应用软件的目标用户终端进行鉴权。
具体的,策略控制节点获取自身存储的鉴权工单,鉴权工单中存储有预设用户终端标识及对应的具有权限的应用软件标识的映射关系。
进一步的,策略控制节点从首个访问请求中获取目标用户终端标识以及目标应用软件标识,接着根据目标用户终端标识以及鉴权工单对目标用户终端进行鉴权。
在一种方式中,策略控制节点从鉴权工单的映射关系中确定出与目标用户终端标识一致的预设用户终端标识,然后在鉴权工单中确定出该一致的预设用户终端标识对应的具有权限的应用软件标识。
进一步的,策略控制节点将上述对应的具有权限的应用软件标识与目标应用软件标识进行匹配,若匹配成功,则鉴权通过;若匹配不成功,则鉴权不通过。
S803,响应于鉴权通过,生成鉴权通过消息并发送至策略执行设备,鉴权通过消息用于指示策略执行设备生成目标用户终端对目标应用软件进行访问的目标会话信息,目标会话信息包括目标协议五元组,并响应于接收到至少一个非首个访问请求后,若确定非首个访问请求中待匹配的协议五元组和目标协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器。
具体的,策略控制节点确定出鉴权通过后,将生成鉴权通过消息,然后发送至策略执行设备,从而用鉴权通过消息指示策略执行设备生成目标用户终端对目标应用软件进行访问的目标会话信息,进而策略执行设备确定目标会话信息中包含的目标协议五元组与至少一个非首个访问请求中的待匹配的协议五元组相匹配,从而将至少一个非首个访问请求发送至目标应用软件服务器。
本实施例提供一种应用软件的方法,具体包括:接收策略执行设备发送的目标用户终端对目标应用软件进行访问的首个访问请求;根据首个访问请求对目标用户终端访问目标应用软件的目标用户终端进行鉴权;响应于鉴权通过,生成鉴权通过消息并发送至策略执行设备,鉴权通过消息用于指示策略执行设备生成目标用户终端对目标应用软件进行访问的目标会话信息,目标会话信息包括目标协议五元组,并响应于接收到至少一个非首个访问请求后,若确定非首个访问请求中待匹配的协议五元组和目标协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器。本实施例策略控制节点接收策略执行设备发送的首个访问请求,然后再基于首个访问请求进行鉴权,响应于鉴权通过,生成鉴权通过消息并发送至策略执行设备,从而指示策略执行设备若确定目标会话信息中包括的目标协议五元组与至少一个非首个访问请求中包括的待匹配的协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器,由此可见,本实施例只需要对首个访问请求进行鉴权,对于非首个访问请求只需要通过策略执行设备进行待匹配的协议五元组与目标协议五元组的匹配,因为在目标协议五元组中包含的内容可以反映该目标用户终端相关信息以及该目标用户终端能访问的目标应用软件的相关信息,所以将待匹配的协议五元组与目标协议五元组进行匹配,就能确定该非首个访问请求是否有权限发送至目标应用软件中,从而不需要发送至策略控制节点进行鉴权就能确定出是否将至少一个非首个访问请求发送至目标应用软件服务器中,由于鉴权过程是需要策略执行设备将访问请求发送至策略控制节点,所以本实施例相较于现有技术而言,不需要对所有访问请求都进行鉴权,从而减少了策略执行设备与策略控制节点之间的交互时间,所有减小了时延;进一步的,由于现有技术中策略控制节点需要对所有访问请求进行鉴权,所以现有技术中策略控制节点会持续处于工作中,进而策略服务器产生大量功耗,而本实施例中策略控制节点只进行首个访问请求的鉴权,非首个访问请求依赖策略执行设备通过对目标协议五元组的存储来实现对待匹配的协议五元组的匹配,所以本实施例减少了策略服务器的功耗,而本实施例中策略控制节点只进行首个访问请求的鉴权,非首个访问请求依赖策略执行设备通过对目标协议五元组的存储来实现对待匹配的协议五元组的匹配,所以本实施例减少了策略服务器的功耗。
实施例九
图9为本申请实施例九提供的一种应用软件的访问交互流程示意图。本实施例方法的执行主体为应用软件的访问系统,本实施例是在对目标用户认证通过之后的方法步骤,如图9所示,具体步骤如下。
S901,目标用户终端向策略执行设备发送首个访问请求。
S902,策略执行设备确定自身不存在该目标用户终端的目标会话信息。
S903,策略执行设备向策略服务器中策略控制节点发送首个访问请求。
S904,策略控制节点基于首个访问请求对目标用户终端进行鉴权,鉴权通过并生成鉴权通过消息。
S905,策略控制节点将向策略执行设备发送鉴权通过消息。
S906,策略执行设备将基于首个访问请求生成目标会话信息和目标鉴权项目;目标会话信息中包含目标协议五元组。
S907,目标用户终端向策略执行设备发送至少一个非首个访问请求。
S908,策略执行设备将判断至少一个非首个访问请求是否在目标会话信息对应匹配时间段内,若是,则执行S909;若否,则执行S910。
S909,策略执行设备将确定至少一个非首个访问请求中包括的待匹配的协议五元组与目标协议五元组是否匹配若是,则执行S911;若否,则执行S912。S910,策略执行设备将确定至少一个非首个访问请求中的待匹配的鉴权项目信息与目标鉴权项目信息是否匹配,若是,则执行S911;若否,则执行S912。
S911,策略执行设备将向目标应用软件服务器发送至少一个非首个访问请求。
S912,策略执行设备将不会向目标应用软件服务发送至少一个非首个访问请求。
本实施例中,策略服务器中包含的策略检测节点周期性向应用软件的访问系统中各用户终端发送检测请求,各用户终端接收到检测请求后将自身的用户终端标识发送至策略检测节点,接着策略检测节点获取预设异常用户终端标识信息,从而策略检测节点将确定出各用户终端标识是否存在于异常用户终端标识信息中,从而获得各用户终端安全系数评分结果,然后策略检测节点将各用户终端安全系数评分结果发送至策略控制节点。
进一步的,策略控制节点将基于各用户终端安全系数评分结果确定出异常用户终端标识,然后将异常用户终端标识发送至策略执行设备,从而策略执行设备将从任一非首个访问请求中提取出目标用户终端标识,策略执行设备若确定出目标用户终端标识与异常用户终端标识相匹配,策略执行设备禁止将非首个访问请求阿婶至目标应用软件服务器中。
实施例十
下面是本申请的装置实施例,图10为本申请实施例十提供的一种应用软件的访问装置示意图,该装置位于策略执行设备,如图10所示,该装置1000包括以下模块。
发送模块1001,用于向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求,首个访问请求用于指示策略控制节点对目标用户终端访问目标应用软件的目标用户终端进行鉴权;
生成模块1002,用于响应于接收到策略控制节点发送的目标用户终端鉴权通过消息,根据首个访问请求生成目标用户终端对目标应用软件进行访问的目标会话信息,目标会话信息包括目标协议五元组;
确定模块1003,用于响应于接收到目标用户终端发送的关于目标应用软件的至少一个非首个访问请求,若确定非首个访问请求中包括的待匹配的协议五元组与目标协议五元组进行匹配,则将至少一个非首个访问请求发送至目标应用软件服务器,以实现对目标应用软件进行访问。
在一种方式中,生成模块1002,在根据首个访问请求生成目标用户终端对目标应用软件进行访问的目标会话信息时,具体用于:
从首个访问请求中提取目标协议五元组,目标协议五元组包括:目标用户终端的网际协议IP地址及端口信息、目标应用软件服务器的IP地址及端口信息以及传输层协议;
根据目标协议五元组生成目标会话信息。
在一种方式中,在根据首个访问请求生成目标用户终端对目标应用软件进行访问的目标会话信息之后,本实施例提供一种应用软件的访问装置,还包括:配置模块。
其中,配置模块,用于为目标会话信息配置对应的匹配时间段;在若确定非首个访问请求中包括的待匹配的协议五元组与目标协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器之前,本实施例提供一种应用软件的访问装置,还包括:判断模块和匹配模块。
其中,判断模块,用于判断非首个访问请求对应的访问时间是否在对应的匹配时间段内;匹配模块,用于若确定在对应的匹配时间段内,则将非首个访问请求中包括的待匹配的协议五元组与目标协议五元组进行匹配。
在一种方式中,生成模块1002,在响应于接收到策略控制节点发送的目标用户终端鉴权通过消息之后,具体还用于:根据首个访问请求生成目标用户终端对目标应用软件进行访问的目标鉴权相关信息;在判断非首个访问请求对应的访问时间是否在对应的匹配时间段内之后,匹配模块,还用于若确定不在对应的匹配时间段内,则将非首个访问请求中包括的待匹配的鉴权相关信息与目标鉴权相关信息进行匹配;确定模块1003,还用于若确定待匹配的鉴权相关信息与目标鉴权相关信息相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器,以实现对目标应用软件进行访问。
在一种方式中,生成模块1002,在根据首个访问请求生成目标用户终端对目标应用软件进行访问的目标鉴权相关信息时,具体用于:
从首个访问请求中提取目标用户身份信息、目标应用软件统一资源定位符URL以及目标用户终端的IP地址;根据目标用户身份信息、目标应用软件统一资源定位符URL以及目标用户终端的IP地址生成目标鉴权相关信息。
在一种方式中,在向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求之前,本实施例提供一种应用软件的访问装置,还包括:接收模块。
其中,接收模块,用于接收目标用户终端发送的认证请求;认证请求中包含目标用户标识、目标用户认证时间以及目标用户所属组织信息;发送模块1001,还用于将认证请求发送至策略控制节点,认证请求指示策略控制节点基于目标用户标识、目标用户认证时间以及目标用户所属组织信息对目标用户进行认证;
发送模块1001,在向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求时,具体用于:响应于接收到策略控制节点发送的目标用户认证通过消息,向策略控制节点发送首个访问请求。
在一种方式中,本实施例提供一种应用软件的访问装置,还包括:删除模块。
删除模块,用于响应于监测到目标用户终端下线或接收到策略控制节点发送的鉴权工单变更消息,删除目标鉴权项目信息以及目标会话信息;鉴权工单中存储有预设用户终端标识及对应的具有访问权限的应用软件标识的映射关系,鉴权工单用于策略控制节点对目标用户终端访问目标应用软件进行鉴权。
在一种方式中,本实施例提供一种应用软件的访问装置,还包括:提取模块和禁止模块。
接收模块,还用于接收策略控制节点发送的异常用户终端的标识;异常用户终端的标识是策略控制节点基于策略检测节点确定出的用户终端的安全系数筛选出的用户终端;提取模块,用于响应于接收到非首个访问请求,提取目标用户终端的标识;禁止模块,用于响应于目标用户终端的标识与异常用户终端的标识相匹配,禁止将非首个访问请求发送至目标应用软件服务器。
实施例十一
下面是本申请的装置实施例,图11为本申请实施例十一提供的一种应用软件的访问装置示意图,该装置位于策略控制节点,策略控制节点位于策略服务器中,如图11所示,该装置1100包括以下模块。
接收模块1101,用于接收策略执行设备发送的目标用户终端对目标应用软件进行访问的首个访问请求;
鉴权模块1102,用于根据首个访问请求对目标用户终端访问目标应用软件的目标用户终端进行鉴权;
发送模块1103,用于响应于鉴权通过,生成鉴权通过消息并发送至策略执行设备,鉴权通过消息用于指示策略执行设备生成目标用户终端对目标应用软件进行访问的目标会话信息,目标会话信息包括目标协议五元组,并响应于接收到至少一个非首个访问请求后,若确定非首个访问请求中待匹配的协议五元组和目标协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器。
实施例十二
图12为本申请实施例十二提供的一种电子设备的结构示意图。如图11所示,该电子设备1200可以包括:处理器1201,以及与处理器1201通信连接的存储器1202和收发器1203。其中,存储器1202存储计算机执行指令;收发器1203,用于收发数据;处理器1201执行存储器1202存储的计算机执行指令,若电子设备为策略执行设备,则策略执行设备以实现如上述实施例一至实施例七及实施例九任一个方法实施例,若电子设备为策略服务器,则策略服务器以实现如上述实施例八至实施例九任一个方法实施例,具体实现方式和技术效果类似,这里不再赘述。
其中,本实施例中,存储器1202和处理器1201通过总线连接。总线可以是工业标准体系结构(Industry Standard Architecture,简称为ISA)总线、外部设备互连(Peripheral Component Interconnect,简称为PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,简称为EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图12中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在图12对应的实施例中,程序可以包括程序代码,程序代码包括计算机执行指令。存储器1202可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
实施例十三
本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现如上述实施例一至实施例九任一个方法实施例,具体实现方式和技术效果类似,这里不再赘述。
实施例十四
本申请还提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现如上述实施例一至实施例九任意一个方法实施例,具体实现方式和技术效果类似,这里不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
用于实施本发明的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。
Claims (9)
1.一种应用软件的访问方法,其特征在于,所述方法应用于策略执行设备,所述方法包括:
向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求,首个访问请求用于指示所述策略控制节点对目标用户终端访问目标应用软件的目标用户终端进行鉴权,所述首个访问请求中包括目标协议五元组;
根据所述首个访问请求生成所述目标用户终端对所述目标应用软件进行访问的目标鉴权相关信息;
响应于接收到所述策略控制节点发送的目标用户终端鉴权通过消息,向目标应用软件服务器发送所述首个访问请求,以及从所述首个访问请求中提取所述目标协议五元组,根据所述目标协议五元组生成目标用户终端对目标应用软件进行访问的目标会话信息,所述目标会话信息包括所述目标协议五元组;所述目标会话信息配置有匹配时间段;
响应于接收到目标用户终端发送的关于目标应用软件的至少一个非首个访问请求,若所述非首个访问请求对应的访问时间在所述匹配时间段内,则将非首个访问请求中包括的待匹配的协议五元组与所述目标协议五元组进行匹配,若确定所述待匹配的协议五元组与所述目标协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器,以实现对目标应用软件进行访问;
若所述非首个访问请求对应的访问时间不在所述匹配时间段内,则将所述非首个访问请求中包括的待匹配的鉴权相关信息与所述目标鉴权相关信息进行匹配;若确定所述待匹配的鉴权相关信息与所述目标鉴权相关信息相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器,以实现对目标应用软件进行访问;所述目标鉴权相关信息包括:目标用户身份信息、目标应用软件统一资源定位符URL。
2.根据权利要求1所述的方法,其特征在于,所述目标协议五元组包括:目标用户终端的网际协议IP地址及端口信息、目标应用软件服务器的IP地址及端口信息以及传输层协议。
3.根据权利要求1所述的方法,其特征在于,所述根据所述首个访问请求生成目标用户终端对目标应用软件进行访问的目标会话信息之后,还包括:
为所述目标会话信息配置对应的匹配时间段;
若确定所述非首个访问请求中包括的待匹配的协议五元组与所述目标协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器之前,还包括:
判断所述非首个访问请求对应的访问时间是否在所述匹配时间段内。
4.根据权利要求1所述的方法,其特征在于,所述根据所述首个访问请求生成目标用户终端对目标应用软件进行访问的目标鉴权相关信息,包括:
从所述首个访问请求中提取目标用户身份信息、目标应用软件统一资源定位符URL以及目标用户终端的IP地址;
根据所述目标用户身份信息、目标应用软件统一资源定位符URL以及目标用户终端的IP地址生成所述目标鉴权相关信息。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求之前,还包括:
接收目标用户终端发送的认证请求;所述认证请求中包含目标用户标识、目标用户认证时间以及目标用户所属组织信息;
将所述认证请求发送至所述策略控制节点,所述认证请求指示策略控制节点基于所述目标用户标识、所述目标用户认证时间以及所述目标用户所属组织信息对目标用户进行认证;
所述向策略服务器中的策略控制节点发送目标用户终端对目标应用软件进行访问的首个访问请求,包括:
响应于接收到所述策略控制节点发送的目标用户认证通过消息,向所述策略控制节点发送所述首个访问请求。
6.根据权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:
响应于监测到目标用户终端下线或接收到策略控制节点发送的鉴权工单变更消息,删除所述目标鉴权相关信息以及目标会话信息;所述鉴权工单中存储有预设用户终端标识及对应的具有访问权限的应用软件标识的映射关系,所述鉴权工单用于所述策略控制节点对目标用户终端访问目标应用软件进行鉴权。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收策略控制节点发送的异常用户终端的标识;所述异常用户终端的标识是策略控制节点基于策略检测节点确定出的用户终端的安全系数筛选出的用户终端;
响应于接收到所述非首个访问请求,提取目标用户终端的标识;
响应于所述目标用户终端的标识与所述异常用户终端的标识相匹配,禁止将所述非首个访问请求发送至目标应用软件服务器。
8.一种应用软件的访问方法,其特征在于,所述方法应用于策略控制节点,所述策略控制节点位于策略服务器中,所述方法包括:
接收策略执行设备发送的目标用户终端对目标应用软件进行访问的首个访问请求,所述首个访问请求中包括目标协议五元组;
根据所述首个访问请求对目标用户终端访问目标应用软件的目标用户终端进行鉴权;
响应于鉴权通过,生成鉴权通过消息并发送至所述策略执行设备,鉴权通过消息用于指示所述策略执行设备向目标应用软件服务器发送所述首个访问请求,根据所述首个访问请求生成所述目标用户终端对所述目标应用软件进行访问的目标鉴权相关信息,以及从所述首个访问请求中提取所述目标协议五元组,根据所述目标协议五元组生成目标用户终端对目标应用软件进行访问的目标会话信息,所述目标会话信息配置有匹配时间段,所述目标会话信息包括所述目标协议五元组,并响应于接收到至少一个非首个访问请求后,若所述非首个访问请求对应的访问时间在所述对应的匹配时间段内,确定非首个访问请求中待匹配的协议五元组和目标协议五元组相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器;若所述非首个访问请求对应的访问时间不在所述对应的匹配时间段内,则将所述非首个访问请求中包括的待匹配的鉴权相关信息与所述目标鉴权相关信息进行匹配;若确定所述待匹配的鉴权相关信息与所述目标鉴权相关信息相匹配,则将至少一个非首个访问请求发送至目标应用软件服务器,以实现对目标应用软件进行访问;所述目标鉴权相关信息包括:目标用户身份信息、目标应用软件统一资源定位符URL。
9.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器和收发器;
所述存储器存储计算机执行指令;所述收发器,用于收发数据;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1-8中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211521466.7A CN115878214B (zh) | 2022-11-30 | 2022-11-30 | 应用软件的访问方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211521466.7A CN115878214B (zh) | 2022-11-30 | 2022-11-30 | 应用软件的访问方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115878214A CN115878214A (zh) | 2023-03-31 |
CN115878214B true CN115878214B (zh) | 2023-10-27 |
Family
ID=85764992
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211521466.7A Active CN115878214B (zh) | 2022-11-30 | 2022-11-30 | 应用软件的访问方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115878214B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110266728A (zh) * | 2019-07-17 | 2019-09-20 | 杨鲲 | 基于mqtt消息队列的安全防御及异常检测方法、装置及系统 |
CN111079104A (zh) * | 2019-11-21 | 2020-04-28 | 腾讯科技(深圳)有限公司 | 一种权限控制方法、装置、设备及存储介质 |
CN111209578A (zh) * | 2019-12-31 | 2020-05-29 | 网联清算有限公司 | 应用服务访问方法和装置 |
CN112099871A (zh) * | 2020-09-03 | 2020-12-18 | 中国联合网络通信集团有限公司 | 一种服务质量配置方法及装置 |
CN114297708A (zh) * | 2021-12-27 | 2022-04-08 | 奇安信科技集团股份有限公司 | 访问控制方法、装置、设备和存储介质 |
CN114979236A (zh) * | 2022-05-12 | 2022-08-30 | 山石网科通信技术股份有限公司 | 数据传输方法、装置、存储介质以及电子设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10057239B2 (en) * | 2009-12-17 | 2018-08-21 | Pulse Secure, Llc | Session migration between network policy servers |
-
2022
- 2022-11-30 CN CN202211521466.7A patent/CN115878214B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110266728A (zh) * | 2019-07-17 | 2019-09-20 | 杨鲲 | 基于mqtt消息队列的安全防御及异常检测方法、装置及系统 |
CN111079104A (zh) * | 2019-11-21 | 2020-04-28 | 腾讯科技(深圳)有限公司 | 一种权限控制方法、装置、设备及存储介质 |
CN111209578A (zh) * | 2019-12-31 | 2020-05-29 | 网联清算有限公司 | 应用服务访问方法和装置 |
CN112099871A (zh) * | 2020-09-03 | 2020-12-18 | 中国联合网络通信集团有限公司 | 一种服务质量配置方法及装置 |
CN114297708A (zh) * | 2021-12-27 | 2022-04-08 | 奇安信科技集团股份有限公司 | 访问控制方法、装置、设备和存储介质 |
CN114979236A (zh) * | 2022-05-12 | 2022-08-30 | 山石网科通信技术股份有限公司 | 数据传输方法、装置、存储介质以及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN115878214A (zh) | 2023-03-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110851274A (zh) | 资源访问控制方法、装置、设备及存储介质 | |
CN110855709A (zh) | 安全接入网关的准入控制方法、装置、设备和介质 | |
WO2016188335A1 (zh) | 用户数据的访问控制方法、装置及系统 | |
CN113347072B (zh) | Vpn资源访问方法、装置、电子设备和介质 | |
CN113341798A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
EP2790354A1 (en) | Security management system having multiple relay servers, and security management method | |
EP2320622B1 (en) | Report form normalization processing method, apparatus and system | |
CN109729000B (zh) | 一种即时通信方法及装置 | |
CN113726774A (zh) | 客户端登录认证方法、系统和计算机设备 | |
CN113364800A (zh) | 资源访问控制方法、装置、电子设备和介质 | |
CN107645474B (zh) | 登录开放平台的方法及登录开放平台的装置 | |
CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
CN112804222B (zh) | 基于云部署的数据传输方法、装置、设备及存储介质 | |
CN117155716B (zh) | 访问校验方法和装置、存储介质及电子设备 | |
CN112073366B (zh) | 一种用于铁路财务系统的数据处理方法及数据中台 | |
CN112417407A (zh) | 数据授权的处理方法、装置、设备和存储介质 | |
CN115878214B (zh) | 应用软件的访问方法、装置、设备及存储介质 | |
CN109379344B (zh) | 访问请求的鉴权方法及鉴权服务器 | |
CN104883341A (zh) | 应用管理装置、终端及应用管理方法 | |
CN111581616A (zh) | 一种多端登录控制的方法及装置 | |
CN114338132B (zh) | 免密登录方法、客户端应用、运营商服务器及电子设备 | |
KR101404537B1 (ko) | 패스워드 자동 변경을 통한 서버 접근 통제 시스템 및 그 방법 | |
CN112395586A (zh) | 文件访问的控制方法及装置、系统、存储介质、电子装置 | |
CN112351048B (zh) | 一种接口访问控制方法、装置、设备和存储介质 | |
CN113987445A (zh) | Usb-key的用户登录方法、装置、计算机设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |