CN117527393A - 访问方法和相关设备 - Google Patents
访问方法和相关设备 Download PDFInfo
- Publication number
- CN117527393A CN117527393A CN202311576221.9A CN202311576221A CN117527393A CN 117527393 A CN117527393 A CN 117527393A CN 202311576221 A CN202311576221 A CN 202311576221A CN 117527393 A CN117527393 A CN 117527393A
- Authority
- CN
- China
- Prior art keywords
- client
- access
- target gateway
- module
- sending
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000012795 verification Methods 0.000 claims abstract description 54
- 238000012790 confirmation Methods 0.000 claims abstract description 19
- 238000004891 communication Methods 0.000 claims description 21
- 238000001514 detection method Methods 0.000 claims description 17
- 230000006399 behavior Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 8
- 238000010276 construction Methods 0.000 claims description 2
- 238000012545 processing Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- RWSOTUBLDIXVET-UHFFFAOYSA-N Dihydrogen sulfide Chemical compound S RWSOTUBLDIXVET-UHFFFAOYSA-N 0.000 description 2
- 241000700605 Viruses Species 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种访问方法和相关设备,属于网络安全技术领域。该方法包括:接收客户端发送的认证请求,并根据认证请求获取客户端的设备标识、访问程序标识以及第一密钥;根据设备标识、访问程序标识以及第一密钥对客户端进行验证;在客户端通过验证时,向客户端发送网关列表;接收客户端基于网关列表的确认信息,并根据确认信息确定客户端选定的目标网关;将客户端的标识信息发送至目标网关,并向客户端发送连接指令。本申请中,客户端启动访问程序时发送认证请求,从而对客户端进行认证,也即客户端每次进行访问时,均需要通过设备标识、访问程序标识以及密钥进行验证,提高了用户财产的安全性。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种访问方法和相关设备。
背景技术
随着互联网技术的发展,多个行业逐渐开启并发展线上的业务。线上的业务是架设在互联网服务器上面向公众开放的服务网站,用户通过认证进入服务网站办理业务。但网络上面向服务网站的攻击频发,假冒网站,或者网站遭受攻击被植入恶意代码和面向浏览器的网络攻击使得用户的个人利益与个人信息遭受危害。
示例性技术中,用户在访问业务时,对用户的终端信息验证,若是验证通过则允许用户通过终端访问业务。
但这种方式是在检测到用户的终端通过认证后,将用户的终端的设备标识放入白名单,后续进行验证时,仅检测终端的设备标识及是否位于白名单。然后,但用户的终端可能会被盗取,通过盗取的终端能够获取用户的财产信息,导致用户的财产受到损害,也即现有的访问认证对用户的财产的保护成都较低。
发明内容
本申请提供一种访问方法和相关设备,用以解决现有的访问认证对用户的财产的保护成都较低的问题。
一方面,本申请提供一种访问方法,包括:
接收客户端发送的认证请求,并根据所述认证请求获取所述客户端的设备标识、访问程序标识以及第一密钥,其中,所述客户端启动访问程序时向所述控制装置发送所述认证请求;
根据所述设备标识、所述访问程序标识以及所述第一密钥对所述客户端进行验证;
在所述客户端通过验证时,向所述客户端发送网关列表,所述网关列表包括多个网关的信息;
接收所述客户端基于所述网关列表的确认信息,并根据所述确认信息确定所述客户端选定的目标网关;
将所述客户端的标识信息发送至所述目标网关,并向所述客户端发送连接指令,所述标识信息用于授权所述目标网关连接所述目标网关进行业务访问,所述连接指令用于指示所述客户端建立与所述目标网关的通信连接。
另一方面,本申请还提供一种访问方法,包括:
在客户端通过控制装置的认证,且所述控制装置授权所述客户端与目标网关通信连接后,接收所述目标网关发送的所述客户端的访问请求,其中,所述客户端启动访问程序时向所述控制装置发送所述认证请求;
构建所述客户端对应的容器,并在所述容器中设置访问模块;
控制所述访问模块对所述访问请求对应的业务进行访问,以获取所述业务对应的业务数据;
将所述业务数据通过所述目标网关发送至所述客户端。
另一方面,本申请还提供一种控制装置,包括:
第一接收模块,用于接收客户端发送的认证请求,并根据所述认证请求获取所述客户端的设备标识、访问程序标识以及第一密钥,其中,所述客户端启动访问程序时向所述控制装置发送所述认证请求;
验证模块,用于根据所述设备标识、所述访问程序标识以及所述第一密钥对所述客户端进行验证;
第一发送模块,用于在所述客户端通过验证时,向所述客户端发送网关列表,所述网关列表包括多个网关的信息;
第二接收模块,用于接收所述客户端基于所述网关列表的确认信息,并根据所述确认信息确定所述客户端选定的目标网关;
第二发送模块,用于将所述客户端的标识信息发送至所述目标网关,并向所述客户端发送连接指令,所述标识信息用于授权所述目标网关连接所述目标网关进行业务访问,所述连接指令用于指示所述客户端建立与所述目标网关的通信连接。
另一方面,本申请还提供一种访问装置,包括:
第三接收模块,用于在客户端通过控制装置的认证,且所述控制装置授权所述客户端与目标网关通信连接后,接收所述目标网关发送的所述客户端的访问请求,其中,所述客户端启动访问程序时向所述控制装置发送所述认证请求;
构建模块,用于构建所述客户端对应的容器,并在所述容器中设置访问模块;
控制模块,用于控制所述访问模块对所述访问请求对应的业务进行访问,以获取所述业务对应的业务数据;
第三发送模块,用于将所述业务数据通过所述目标网关发送至所述客户端。
另一方面,本申请还提供一种电子设备,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如上所述的方法。
另一方面,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上所述的方法。
另一方面,本申请还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上所述的方法。
本申请提供的访问方法和相关设备,接收客户端发送的认证请求,并根据认证请求获取客户端的设备标识、访问程序标识以及第一密钥,基于设备标识以及访问程序标识以及第一密钥对客户端进行验证,并在客户端通过验证时,向客户端发送网关列表,接收客户端基于网关列表的确认信息,并基于确认信息确定客户端选定的目标网关,将标识信息发送至目标网关,且向客户端发送连接指令使得客户端连接目标网关进行业务的访问。本申请中,客户端启动访问程序时发送认证请求,从而对客户端进行认证,也即客户端每次进行访问时,均需要通过设备标识、访问程序标识以及密钥进行验证,提高了用户财产的安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请涉及访问方法的场景示意图;
图2为本申请提供的访问方法的第一实施例的流程示意图;
图3为本申请提供的访问方法的第二实施例的流程示意图;
图4为本申请提供的访问方法的第三实施例的流程示意图;
图5为本申请提供的访问方法的第四实施例的流程示意图;
图6为本申请控制装置的模块示意图;
图7为本申请访问装置的模块示意图;
图8为本申请访问设备/控制设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,并且相关数据的收集、使用和处理需要遵守相关法律法规和标准,并提供有相应的操作入口,供用户选择授权或者拒绝。
需要说明的是,本申请访问方法和相关设备可用于网络安全领域,也可用于除网络安全领域之外的任意领域,本申请访问方法和相关设备的应用领域不做限定。
随着互联网技术的发展,多个行业逐渐开启并发展线上的业务。线上的业务是架设在互联网服务器上面向公众开放的服务网站,用户通过认证进入服务网站办理业务。但网络上面向服务网站的攻击频发,假冒网站,或者网站遭受攻击被植入恶意代码和面向浏览器的网络攻击使得用户的个人利益与个人信息遭受危害。
示例性技术中,用户在访问业务时,对用户的终端信息验证,若是验证通过则允许用户通过终端访问业务。
本申请发明人发现,上述方式是在检测到用户的终端通过认证后,将用户的终端的设备标识放入白名单,后续进行验证时,仅检测终端的设备标识及是否位于白名单。然后,但用户的终端可能会被盗取,通过盗取的终端能够获取用户的财产信息,导致用户的财产受到损害,也即现有的访问认证对用户的财产的保护成都较低。
本申请发明人因此想到,客户端启动访问程序时发送认证请求,从而对客户端进行认证,也即客户端每次进行访问时,均需要通过设备标识、访问程序标识以及密钥进行验证,提高了用户财产的安全性。
参照图1,图1为本申请访问方法的场景示意图。客户端100中设置有访问程序(未标示),客户端100在每次启动访问程序进行业务的访问时,客户端100向控制装置200发送认证请求,认证请求中至少包括客户端100的设备标识、访问程序标识以及密钥。控制装置200基于认证请求对客户端100进行认证,若客户端100认证通过,控制装置200向客户端100发送网关列表。客户端100从网关列表中选择目标网关300,并向控制装置200发送目标网关300的确认信息,控制装置200基于确认信息确定目标网关300,并将客户端100的设备标识等信息发送至目标网关300,使得目标网关300基于设备标识与客户端100通信连接。客户端100基于目标网关300向代理装置400发送访问请求,代理装置300将访问请求发送至控制装置100,若控制装置100确定访问请求对应的访问行为在客户端100的权限范围内,控制装置100向代理装置发送代理装置400发送同意信息,代理装置400则将访问请求转发至访问装置500。访问装置500创建容器510,并在容器510中设置远程访问模块511,通过远程访问模块511对访问请求对应的业务进行访问获得业务数据。访问装置500再将业务数据通过代理装置400、目标网关300发送至客户端100。
上述采用控制装置以及访问装置对访问方法的场景示意进行说明,而本申请实施例方法的执行主体不限定是控制装置以及访问装置,还可以是任一具有数据处理能力的电子设备,也可以是数据处理系统。需说明,数据处理系统可以单独部署在任意环境中的一个电子设备上(例如:单独部署在边缘环境的一个边缘服务器上),也可以全部部署在云环境中,还可以分布式地部署在不同的环境中。
例如,数据处理系统可以在逻辑上分成多个部分,每个部分具有不同的功能。数据处理系统中的各部分可以分别部署在电子设备(位于用户侧)、边缘环境和云环境中的任意两个或三个中。边缘环境为包括距离电子设备较近的边缘电子设备集合的环境,边缘电子设备包括:边缘服务器、拥有计算力的边缘小站等。部署在不同环境或设备的数据处理系统的各个部分协同实现数据处理系统的功能。
应理解,本申请不对数据处理系统的哪些部分部署具体部署在什么环境进行限制性的划分,实际应用时可根据电子设备的计算能力、边缘环境和云环境的资源占有情况或具体应用需求进行适应性的部署。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
参照图2,图2为本申请访问方法第一实施例的流程示意图,访问方法包括以下步骤:
步骤S201,接收客户端发送的认证请求,并根据认证请求获取客户端的设备标识、访问程序标识以及第一密钥,其中,客户端启动访问程序时向控制装置发送认证请求。
在本实施例中,客户端中设置有访问程序,客户端可以通过访问程序对业务进行访问,从而获取业务数据。客户端在启动访问程序时,客户端会向控制装置发送认证请求。认证请求中携带有客户端的设备标识、访问程序标识以及密钥,该密钥定义为第一密钥。控制装置解析认证请求即可获得客户端的设备标识、访问程序标识以及第一密钥。
需要说明的是,控制装置对客户端开放预设端口进行认证。预设端口例如为UDP(User Datagram Protocol,用户数据协议)端口,也即客户端通过UDP协议封装的报文向控制装置的UDP端口发送认证请求。
步骤S202,根据设备标识、访问程序标识以及第一密钥对客户端进行验证。
在获得设备标识、访问程序标识以及第一密钥后,控制装置基于设备标识、访问程序标识以及第一密钥对客户端进行认证。
在一示例中,控制装置确定设备标识以及访问应用程序是否位于白名单内,若是设备标识以及应用程序位于白名单内,则生成认证密钥,并判断认证密钥是否与第一密钥匹配,若是认证密钥与第一密钥相同,则客户端通过认证。第一密钥以及认证密钥所采用的生成方式相同,示例性的,两者采用相同的时间戳生成的,时间戳可以通过客户端进行发送,客户端通过时间戳生成第一密钥,控制装置通过认证请求中的时间戳生成认证密钥。
在另一示例中,客户端在装载访问程序时,会将访问程序的访问程序标识以及客户端的设备标识进行关联得到关联关系,且该关联关系会下发到控制装置进行存储。装置再获得客户端的设备标识以及访问程序标识后,确定设备标识与访问程序标识是否具有关联关系,也即控制装置确定存储的关联关系中是否包括设备标识以及访问程序标识的关联关系,若包括,则可确定设备标识与访问程序标识具有关联关系,控制装置基于认证请求携带的目标时间点生成第二密钥,目标时间点用于客户端生成第一密钥。控制装置确定第一密钥与第二密钥是否匹配,若是第一密钥与第二密钥相同,两者则匹配,则确定客户端通过验证。
步骤S203,在客户端通过验证时,向客户端发送网关列表,网关列表包括多个网关的信息。
客户端通过验证后,控制装置基于访问请求中的源IP地址以及端口信息,新建防火墙白名单策略,并打开源IP地址对应的服务端口,使得客户端基于服务端口成功登录访问程序。
另外,控制装置会向客户端发送网关列表,网关列表中包括有多个网关的信息,以供客户端进行网关的选择。
步骤S204,接收客户端基于网关列表的确认信息,并根据确认信息确定客户端选定的目标网关。
客户端基于网关列表选定网关后,向控制装置发送确认信息,确认信息包括有客户端选定的网关的信息,选定的网关定义为目标网关。控制装置解析确认信息即可确定客户端选定的目标网关。
步骤S205,将客户端的标识信息发送至目标网关,并向客户端发送连接指令,标识信息用于授权目标网关连接目标网关进行业务访问,连接指令用于指示客户端建立与目标网关的通信连接。
控制装置将客户端的标识信息发送至目标网关,且控制装置向客户端发送连接指令。标识信息包括客户端的设备标识,标识信息用于授权目标网关连接目标网关进行业务访问,连接指令用于指示客户端建立与目标网关的通信连接;也即客户端接收到连接指令时,向目标网关发送连接请求,目标网关基于标识信息获取了客户端的设备标识,链接请求中携带有客户端的设备标识,因而目标网关允许客户端连接目标网关。
在本实施例中,目标网关会对线上业务的所有访问进行限制过滤,也即仅允许控制装置认证通过的客户端进行线上业务的访问,而不对其他客户端开放,保障接入业务的隐身性。可以理解的是,目标网关拒绝来自控制装置以外的所有通信,只有获得了控制装置的指示后,才接受客户端的连接,客户端与目标网关建立连接后通过加密的TSL(TransportLayer Security,安全传输协议)隧道进行通信。
在本实施例中,接收客户端发送的认证请求,并根据认证请求获取客户端的设备标识、访问程序标识以及第一密钥,基于设备标识以及访问程序标识以及第一密钥对客户端进行验证,并在客户端通过验证时,向客户端发送网关列表,接收客户端基于网关列表的确认信息,并基于确认信息确定客户端选定的目标网关,将标识信息发送至目标网关,且向客户端发送连接指令使得客户端连接目标网关进行业务的访问。本实施例中,客户端启动访问程序时发送认证请求,从而对客户端进行认证,也即客户端每次进行访问时,均需要通过设备标识、访问程序标识以及密钥进行验证,提高了用户财产的安全性。
参照图3,图3为本申请访问方法第二实施例的流程示意图,基于第一实施例,步骤S205之后,还包括:
步骤S301,在当前时间点达到检测时间点和/或基于目标网关发送的访问警示信息时,向客户端发送的验证指令。
在本实施例中,控制装置还具备监控客户端与目标网关之间的风险的功能,若是监测到客户端与目标网关之间出现风险,则通知目标网关关闭连接,也即控制目标网关断开与客户端之间的连接。
在一示例中,控制装置可以定时对客户端与目标网关之间的通信进行定时监测,也即当前时间点达到检测时间点时,控制装置向客户端发送验证指令。在另一示例中,目标网关可以对客户端的流量进行风险检测,若是检测到存在风险,则向控制装置已发生访问警示信息,控制装置向客户端发送验证指令。可以理解的是,在当前时间点到达检测时间点和/或基于目标网关发送的访问警示信息时,控制装置向客户端发送验证指令。
步骤S302,接收客户端基于验证指令发送的验证数据包。
客户端接收到验证指令后,向控制装置已发生验证数据包,验证数据包中包括有随机字段以及验证密码。若是客户端是未被攻击的客户端,则客户端的随机字段是符合一定格式的字段,且验证密钥是基于客户端的时间计时器生成的一次性密码。
控制装置在获得验证数据包后,确定验证数据包是否包括有符合预设格式的随机字段、且确定是否包括验证密码。当验证数据包中未包括随机字段。
步骤S303,在验证数据包中未包括随机字段、验证数据包中包括的随机字段的格式不匹配预设格式和/或验证数据库未包括验证密码时,确定客户端与目标网关存在连接风险,并向目标网关发送断开指令,断开指令用于指示目标网关断开与客户端之间的通信连接。
当验证数据包中包括的随机字段的格式不匹配预设格式和/或验证数据库未包括验证密码时,确定客户端与目标网关存在连接风险,控制装置并向目标网关发送断开指令,断开指令用于指示目标网关断开与客户端之间的通信连接。
而在当验证数据包包括预设格式的随机字段以及验证密码时,则可说明客户端向目标网关发送的流量是有效的,目标网关不会断开与客户端的通信连接。需要说明的是,目标网关发送给控制的访问警示信息中包括有风险等级,若是风险等级低于预设等级,控制装置则向客户端发送验证指令;若是风险等级高于或等于预设等级,控制装置直接向目标网关发送断开指令,使得目标网关断开与客户端之间的通信连接。
在本实施例中,控制装置实时或定时监控客户端与目标网关之间的流量,从而在发现访问风险时,断开目标网关与客户端的连接,保证了线上业务不会受到攻击。
参照图4,图4为本申请访问方法第三实施例的流程示意图,基于第一或第二实施例,步骤205之后,还包括:
步骤S401,获取代理装置发送的客户端的访问请求,其中,目标网关将客户端的访问请求转发至代理装置。
在本实施例中,目标网关会将客户端的访问请求转发至代理装置。控制装置基于客户端的访问请求确定客户端的访问行为。
步骤S402,确定访问请求对应的访问行为的目标权限。
控制装置能够监控访问行为的变化,并对行为进行威胁等级的判定,从而基于威胁等级作出访问权限控制,并下发到代理装置进行执行,从而分层控制客户端的分层级访问。示例性的,装置确定访问请求对应的访问行为的目标权限,目标权限指示访问行为的实际威胁等级。
步骤S403,在目标权限位于客户端关联的权限范围时,向代理装置发送访问指令,访问指令用于代理装置将访问请求发送至访问装置,以供访问装置将访问请求对应的业务数据反馈至客户端。
当目标权限位于客户端管理的权限范围内,也即访问行为的威胁等级低于预设定级时,控制装置向代理装置发送访问指令,访问指令用于代理装置将访问请求发送至访问装置,以供访问装置将访问请求对应的业务数据反馈至客户端。
在本实施例中,目标网关将客户端的访问请求发送至代理装置,代理装置将访问请求发送至控制装置,控制装置则基于访问请求监控客户端的访问是否合规。
参照图5,图5为本申请访问方法第四实施例,应用于访问装置,访问方法包括:
步骤S501,在客户端通过控制装置的认证,且控制装置授权客户端与目标网关通信连接后,接收目标网关发送的客户端的访问请求,其中,客户端启动访问程序时向控制装置发送认证请求。
在本实施例中,当客户端通过控制装置的认证,且控制装置授权客户端与目标网关通信连接,客户端向目标网关发送访问请求,目标网关再将访问请求发送至代理装置,代理装置将访问请求转发至控制装置,若是控制装置允许客户端进行访问,代理装置则将访问请求发送至访问装置。
步骤S502,构建客户端对应的容器,并在容器中设置访问模块。
访问装置在接收到访问请求后,构建客户端对应的容器,并将容器中设置访问模块。访问模块式客户端中访问程序的远程访问程序,两者的功能相同。另外,代理装置会提供通信协议至访问模块,使得实例化的容器中的访问模块能够进行正常的工作,也即确保访问模块能进行业务的访问。
步骤S503,控制访问模块对访问请求对应的业务进行访问,以获取业务对应的业务数据。
访问装置控制访问模块对访问请求对应的业务进行访问。示例性的,访问请求是对金融机构的某个业务进行访问,则访问模块将访问请求发送金融机构对应的终端设备进行该业务的访问。访问模块在进行业务的访问后,即可获取返回的业务数据。
步骤S504,将业务数据通过目标网关发送至客户端。
访问装置将获得业务数据通过目标网关发送至客户端,也即通过代理装置、目标网关将业务数据发送至客户端。
在本实施例中,客户端在每次启动访问程序时,需要向控制装置进行验证,也即本实施例是基于零信任的网络访问。此外,访问装置设置容器,实现了客户端远程隔离的线上业务的访问,使得用户侧在使用线上业务时安全的访问业务的服务站点,避免站点被攻击后进而在用户访问时对用户实施攻击,确保了用户信息和财产安全。
另外,控制装置对客户端进行认证,也即控制装置具有对接入访问的客户端进行授权控制和访问管理,禁止不信任的客户端接入,只有通过验证的客户端才允许接入访问,遵循了先验证后访问的策略。控制装置还监控客户端与目标网关之间的流量、且监控发送至代理装置的访问请求对应的访问行为是否具有威胁并对客户端进行持续动态验证,从而监控跟踪客户端后续的访问行为,确保了业务侧的业务服务站点的安全。
此外,通过在访问装置上使用虚拟化技术构建出容器,使得各容器之间的互不影响,且虚拟化技术能够提高访问装置的硬件利用率,节约了访问装置的资源。
在一实施例中,访问装置在容器中设置访问模块,还设置了像素推送模块。像素推送模块可以将业务数据进行可视化,再将可视化的数据转化为压缩的图像数据,且将图像数据传输至客户端进行解码与渲染操作,从而还原原始的可视化内容,可视化内容包括文字、图像、视频、动画以及链接等。对此,将业务数据通过目标网关发送至客户端的步骤包括:控制像素推送模块对业务数据进行转换得到可视化的业务数据,再将可视化的业务数据通过目标网关发送至客户端。可视化的业务数据可以进行压缩,再进行传输。
在本实施例中,通过像素推送模块将业务数据进行可视化,从而将可视化的业务数据发送至客户端,使得用户能够能加直观的看到业务数据,提高了用户体验。
在一实施例中,访问装置在容器中设置访问模块以及检测模块,当然也可在容器中设置访问模块、像素推送模块以及检测模块。
检测模块用于进行文件交互,也即对上传以及下载的文件等数据进行恶意检测拦截,对于拦截的数据进行病毒检测,若是数据不是含有病毒等恶意数据时,则允许用户上传数据或下载文件。
对此,访问装置在将业务数据通过目标网关发送至客户端时,控制检测模块对业务数据进行检测,若检测业务数据不是恶意数据,则将业务数据发送至客户端。
进一步的,访问装置在检测到客户端结束对业务的访问时,删除容器。示例性的,当客户端退出访问程序,即可确定结束对业务的访问,此时,控制装置指示目标网关与客户端断开,目标网关将断开的信息通过代理装置发送至访问装置,访问装置则可确定客户端结束对业务的访问。
在本实施例中,访问装置在容器中设置检测模块,在获得业务数据后,检测业务数据是否为恶意数据,若不是,则将业务数据发送至客户端,避免恶意数据对客户端进行攻击,提高了用户的财产安全。
本发明还提供一种控制装置,参照图6,控制装置600包括:
第一接收模块610,用于接收客户端发送的认证请求,并根据认证请求获取客户端的设备标识、访问程序标识以及第一密钥,其中,客户端启动访问程序时向控制装置发送认证请求;
验证模块620,用于根据设备标识、访问程序标识以及第一密钥对客户端进行验证;
第一发送模块630,用于在客户端通过验证时,向客户端发送网关列表,网关列表包括多个网关的信息;
第二接收模块640,用于接收客户端基于网关列表的确认信息,并根据确认信息确定客户端选定的目标网关;
第二发送模块650,用于将客户端的标识信息发送至目标网关,并向客户端发送连接指令,标识信息用于授权目标网关连接目标网关进行业务访问,连接指令用于指示客户端建立与目标网关的通信连接。
在一实施例中,验证模块620包括:
第一确定单元,用于确定设备标识与访问程序标识是否具有关联关系;
生成单元,用于在设备标识与访问程序标识具有关联关系时,基于认证请求携带的目标时间点生成第二密钥,目标时间点用于客户端生成第一密钥;
第二确定单元,用于确定第一密钥与第二密钥是否匹配;
第三确定单元,用于在第一密钥与第二密钥匹配时,确定客户端通过验证。
在一实施例中,控制装置600包括:
第四发送模块,用于在当前时间点达到检测时间点和/或基于目标网关发送的访问警示信息时,向客户端发送的验证指令;
第四接收模块,用于接收客户端基于验证指令发送的验证数据包;
第一确定模块,用于在验证数据包中未包括随机字段、验证数据包中包括的随机字段的格式不匹配预设格式和/或验证数据库未包括验证密码时,确定客户端与目标网关存在连接风险,并向目标网关发送断开指令,断开指令用于指示目标网关断开与客户端之间的通信连接。
在一实施例中,控制装置600还包括:
获取模块,用于获取代理装置发送的客户端的访问请求,其中,目标网关将客户端的访问请求转发至代理装置;
第二确定模块,用于确定访问请求对应的访问行为的目标权限;
第五发送模块,用于在目标权限位于客户端关联的权限范围时,向代理装置发送访问指令,访问指令用于代理装置将访问请求发送至访问装置,以供访问装置将访问请求对应的业务数据反馈至客户端。
本发明还提供一种访问装置,参照图7,访问装置700包括:
第三接收模块710,用于在客户端通过控制装置的认证,且控制装置授权客户端与目标网关通信连接后,接收目标网关发送的客户端的访问请求,其中,客户端启动访问程序时向控制装置发送认证请求;
构建模块720,用于构建客户端对应的容器,并在容器中设置访问模块;
控制模块730,用于控制访问模块对访问请求对应的业务进行访问,以获取业务对应的业务数据;
第三发送模块740,用于将业务数据通过目标网关发送至客户端。
在一实施例中,构建模块720包括:
第一设置单元,用于在容器中设置访问模块以及像素推送模块;
第二发送模块740包括:
第一控制单元,用于控制像素推送模块对业务数据进行转换,得到可视化的业务数据;
第一发送单元,用于将可视化的业务数据通过目标网关发送至客户端。
在一实施例中,构建模块720包括:
第二设置单元,用于在容器中设置访问模块以及检测模块;;
第二发送模块740包括:
第二控制单元,用于控制检测模块对业务数据进行检测;
第二发送单元,用于在检测业务数据不是恶意数据时,将业务数据发送至客户端。
在一实施例中,访问装置700还包括:
删除模块,用于在检测到客户端结束对业务的访问时,删除容器。
图8是根据一示例性实施例示出的一种访问设备/控制设备的硬件结构图。
访问设备/控制设备800可以包括:处理器81,例如CPU,存储器82,收发器83。本领域技术人员可以理解,图8中示出的结构并不构成对访问设备以及控制设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。存储器82可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
处理器81可以调用存储器82内存储的计算机程序或计算机执行执行指令,以完成上述的访问方法的全部或部分步骤。
收发器83用于接收外部设备发送的信息以及向外部设备发送信息。
一种电子设备,包括:处理器,以及与处理器通信连接的存储器;
存储器存储计算机执行指令;
处理器执行存储器存储的计算机执行指令,以实现如上任一实施例的访问方法。
一种非临时性计算机可读存储介质,当该存储介质中的指令(计算机执行指令)由访问设备的处理器执行时,使得访问设备/控制设备能够执行上述访问方法。
一种计算机程序产品,包括计算机程序,当该计算机程序由访问设备的处理器执行时,使得访问设备/控制设备能够执行上述访问方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本发明旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求书指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求书来限制。
Claims (13)
1.一种访问方法,其特征在于,应用于控制装置,所述访问方法包括:
接收客户端发送的认证请求,并根据所述认证请求获取所述客户端的设备标识、访问程序标识以及第一密钥,其中,所述客户端启动访问程序时向所述控制装置发送所述认证请求;
根据所述设备标识、所述访问程序标识以及所述第一密钥对所述客户端进行验证;
在所述客户端通过验证时,向所述客户端发送网关列表,所述网关列表包括多个网关的信息;
接收所述客户端基于所述网关列表的确认信息,并根据所述确认信息确定所述客户端选定的目标网关;
将所述客户端的标识信息发送至所述目标网关,并向所述客户端发送连接指令,所述标识信息用于授权所述目标网关连接所述目标网关进行业务访问,所述连接指令用于指示所述客户端建立与所述目标网关的通信连接。
2.根据权利要求1所述的访问方法,其特征在于,所述根据所述设备标识、所述访问程序标识以及所述密钥对所述客户端进行验证的包括:
确定所述设备标识与所述访问程序标识是否具有关联关系;
在所述设备标识与所述访问程序标识具有关联关系时,基于所述认证请求携带的目标时间点生成第二密钥,所述目标时间点用于所述客户端生成第一密钥;
确定所述第一密钥与所述第二密钥是否匹配;
在所述第一密钥与所述第二密钥匹配时,确定所述客户端通过验证。
3.根据权利要求1所述的访问方法,其特征在于,所述向所述客户端发送连接指令的步骤之后,还包括:
在当前时间点达到检测时间点和/或基于所述目标网关发送的访问警示信息时,向所述客户端发送的验证指令;
接收所述客户端基于验证指令发送的验证数据包;
在所述验证数据包中未包括随机字段、所述验证数据包中包括的随机字段的格式不匹配预设格式和/或所述验证数据库未包括验证密码时,确定所述客户端与所述目标网关存在连接风险,并向所述目标网关发送断开指令,所述断开指令用于指示所述目标网关断开与所述客户端之间的通信连接。
4.根据权利要求1-3任一项所述的访问方法,其特征在于,所述向所述客户端发送连接指令的步骤之后,还包括:
获取代理装置发送的所述客户端的访问请求,其中,所述目标网关将所述客户端的访问请求转发至所述代理装置;
确定所述访问请求对应的访问行为的目标权限;
在所述目标权限位于所述客户端关联的权限范围时,向所述代理装置发送访问指令,所述访问指令用于所述代理装置将所述访问请求发送至访问装置,以供所述访问装置将所述访问请求对应的业务数据反馈至所述客户端。
5.一种访问方法,其特征在于,应用于访问装置,所述访问方法包括:
在客户端通过控制装置的认证,且所述控制装置授权所述客户端与目标网关通信连接后,接收所述目标网关发送的所述客户端的访问请求,其中,所述客户端启动访问程序时向所述控制装置发送所述认证请求;
构建所述客户端对应的容器,并在所述容器中设置访问模块;
控制所述访问模块对所述访问请求对应的业务进行访问,以获取所述业务对应的业务数据;
将所述业务数据通过所述目标网关发送至所述客户端。
6.根据权利要求5所述的访问方法,其特征在于,所述在所述容器中设置访问模块的步骤包括:
在所述容器中设置访问模块以及像素推送模块;
所述将所述业务数据通过所述目标网关发送至所述客户端的步骤包括:
控制所述像素推送模块对所述业务数据进行转换,得到可视化的业务数据;
将所述可视化的业务数据通过所述目标网关发送至所述客户端。
7.根据权利要求5所述的访问方法,其特征在于,所述在所述容器中设置访问模块的步骤包括:
在所述容器中设置访问模块以及检测模块;;
所述将所述业务数据通过所述目标网关发送至所述客户端的步骤包括:
控制所述检测模块对所述业务数据进行检测;
在检测所述业务数据不是恶意数据时,将所述业务数据发送至所述客户端。
8.根据权利要求5-7中任一项所述的访问方法,其特征在于,所述将所述可视化的业务数据通过所述目标网关发送至所述客户端的步骤之后,还包括:
在检测到所述客户端结束对所述业务的访问时,删除所述容器。
9.一种控制装置,其特征在于,包括:
第一接收模块,用于接收客户端发送的认证请求,并根据所述认证请求获取所述客户端的设备标识、访问程序标识以及第一密钥,其中,所述客户端启动访问程序时向所述控制装置发送所述认证请求;
验证模块,用于根据所述设备标识、所述访问程序标识以及所述第一密钥对所述客户端进行验证;
第一发送模块,用于在所述客户端通过验证时,向所述客户端发送网关列表,所述网关列表包括多个网关的信息;
第二接收模块,用于接收所述客户端基于所述网关列表的确认信息,并根据所述确认信息确定所述客户端选定的目标网关;
第二发送模块,用于将所述客户端的标识信息发送至所述目标网关,并向所述客户端发送连接指令,所述标识信息用于授权所述目标网关连接所述目标网关进行业务访问,所述连接指令用于指示所述客户端建立与所述目标网关的通信连接。
10.一种访问装置,其特征在于,包括:
第三接收模块,用于在客户端通过控制装置的认证,且所述控制装置授权所述客户端与目标网关通信连接后,接收所述目标网关发送的所述客户端的访问请求,其中,所述客户端启动访问程序时向所述控制装置发送所述认证请求;
构建模块,用于构建所述客户端对应的容器,并在所述容器中设置访问模块;
控制模块,用于控制所述访问模块对所述访问请求对应的业务进行访问,以获取所述业务对应的业务数据;
第三发送模块,用于将所述业务数据通过所述目标网关发送至所述客户端。
11.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1-8中任一项所述的方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至8任一项所述的方法。
13.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-8中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311576221.9A CN117527393A (zh) | 2023-11-23 | 2023-11-23 | 访问方法和相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311576221.9A CN117527393A (zh) | 2023-11-23 | 2023-11-23 | 访问方法和相关设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117527393A true CN117527393A (zh) | 2024-02-06 |
Family
ID=89756484
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311576221.9A Pending CN117527393A (zh) | 2023-11-23 | 2023-11-23 | 访问方法和相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117527393A (zh) |
-
2023
- 2023-11-23 CN CN202311576221.9A patent/CN117527393A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107113319B (zh) | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 | |
US9003519B2 (en) | Verifying transactions using out-of-band devices | |
CN107579991B (zh) | 一种对客户端进行云端防护认证的方法、服务器和客户端 | |
CN109413201B (zh) | Ssl通信方法、装置及存储介质 | |
CN110198297B (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
CN104135494A (zh) | 一种基于可信终端的同账户非可信终端登录方法及系统 | |
US10715547B2 (en) | Detecting “man-in-the-middle” attacks | |
US11595385B2 (en) | Secure controlled access to protected resources | |
CN114995214A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
CN112073969A (zh) | 5g网络安全防护方法及系统 | |
CN115001870A (zh) | 信息安全防护系统、方法及存储介质 | |
US8844056B2 (en) | Service provision | |
CN116346375A (zh) | 访问控制方法、访问控制系统、终端及存储介质 | |
CN104821951A (zh) | 一种安全通信的方法和装置 | |
CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
CN114726513A (zh) | 数据传输方法、设备、介质及产品 | |
CN113645115B (zh) | 虚拟专用网络接入方法和系统 | |
CN117527393A (zh) | 访问方法和相关设备 | |
CN114254352A (zh) | 一种数据安全传输系统、方法和装置 | |
CN115623013A (zh) | 一种策略信息同步方法、系统及相关产品 | |
CN113596823A (zh) | 切片网络保护方法及装置 | |
Affia et al. | Securing an MQTT-based Traffic Light Perception System for Autonomous Driving | |
CN114567479B (zh) | 一种智能设备安全管控加固及监测预警方法 | |
KR102150484B1 (ko) | 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템 | |
CN115378622A (zh) | 访问控制方法、装置、设备及计算机程序产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |