CN117938465A - 请求处理方法以及系统 - Google Patents
请求处理方法以及系统 Download PDFInfo
- Publication number
- CN117938465A CN117938465A CN202311844979.6A CN202311844979A CN117938465A CN 117938465 A CN117938465 A CN 117938465A CN 202311844979 A CN202311844979 A CN 202311844979A CN 117938465 A CN117938465 A CN 117938465A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- information
- access request
- verification
- resource access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 31
- 238000012795 verification Methods 0.000 claims abstract description 180
- 230000004044 response Effects 0.000 claims abstract description 112
- 238000013475 authorization Methods 0.000 claims abstract description 96
- 238000012545 processing Methods 0.000 claims abstract description 53
- 238000000034 method Methods 0.000 claims abstract description 46
- 238000011156 evaluation Methods 0.000 claims abstract description 41
- 238000012502 risk assessment Methods 0.000 claims abstract description 34
- 230000001960 triggered effect Effects 0.000 claims abstract description 12
- 238000001514 detection method Methods 0.000 claims description 100
- 238000013507 mapping Methods 0.000 claims description 21
- 230000008569 process Effects 0.000 claims description 15
- 238000003860 storage Methods 0.000 claims description 8
- 230000003068 static effect Effects 0.000 abstract description 18
- 230000000694 effects Effects 0.000 abstract description 6
- 238000004590 computer program Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 230000006399 behavior Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000036541 health Effects 0.000 description 2
- 230000003862 health status Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 241001536352 Fraxinus americana Species 0.000 description 1
- 241000565357 Fraxinus nigra Species 0.000 description 1
- RJKFOVLPORLFTN-LEKSSAKUSA-N Progesterone Chemical compound C1CC2=CC(=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H](C(=O)C)[C@@]1(C)CC2 RJKFOVLPORLFTN-LEKSSAKUSA-N 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书实施例提供请求处理方法以及系统,其中所述方法包括:接收用户终端上部署的目标应用触发的资源访问请求;响应于资源访问请求获取用户终端的安全信息;通过代理网关基于授权凭证信息和访问许可信息对资源访问请求进行访问验证,以及基于安全信息对用户终端进行风险评估;通过代理网关根据验证结果和评估结果确定资源访问请求对应的响应策略,并按照响应策略处理资源访问请求。根据用户终端的授权凭证信息和访问许可信息进行静态校验维度的访问验证,基于安全信息进行风险评估,从多个维度进行不同验证,在整个资源访问链路中,通过控制中心和代理网关分别进行验证,使得验证信息透传访问链路,提高资源安全保护效果。
Description
技术领域
本说明书实施例涉及计算机通信技术领域,特别涉及一种请求处理方法。
背景技术
随着计算机、网络技术的不断发展,网络关联着生产生活的众多领域,因此用户资源访问时的网络安全问题变得越来越重要。传统的网络安全结构是基于网络的物理边界,攻击者一旦攻破了网络边界,则该网络则容易受到攻击者的破坏。目前形成了一种新型网络安全模式即零信任模式,零信任架构下,认为网络无时无刻不处于危险环境中,所有访问者都要进行身份认证。但是目前的零信任架构中还是存在安全问题,因此亟需一种安全可靠的请求验证方法。
发明内容
有鉴于此,本说明书实施例提供了一种请求处理方法。本说明书一个或者多个实施例同时涉及一种请求处理系统、一种请求处理装置,一种计算设备,一种计算机可读存储介质以及一种计算机程序,以解决现有技术中存在的技术缺陷。
根据本说明书实施例的第一方面,提供了一种请求处理方法,应用于验证服务器,包括:
接收用户终端上部署的目标应用触发的资源访问请求,其中,所述资源访问请求携带有由控制中心响应于所述用户终端的认证请求返回的授权凭证信息,和由所述控制中心响应于所述用户终端上部署的目标应用的访问请求返回的访问许可信息;
响应于所述资源访问请求获取所述用户终端的安全信息;
通过代理网关基于所述授权凭证信息和所述访问许可信息对所述资源访问请求进行访问验证,以及基于所述安全信息对所述用户终端进行风险评估;
通过所述代理网关根据验证结果和评估结果确定所述资源访问请求对应的响应策略,并按照所述响应策略处理所述资源访问请求。
根据本说明书实施例的第二方面,提供了一种请求处理系统,所述系统包括用户终端、控制中心和代理网关,其中,
所述控制中心,响应于所述用户终端的认证请求发送授权凭证信息至所述用户终端,以及响应于所述用户终端上部署的目标应用的访问请求发送访问许可信息至所述用户终端;
所述用户终端,通过部署的目标应用触发初始资源访问请求,将所述授权凭证信息和访问许可信息添加至所述初始资源访问请求,获得资源访问请求并发送至所述代理网关;
所述代理网关,响应于所述资源访问请求获取所述用户终端的安全信息,基于所述授权凭证信息和所述访问许可信息对所述资源访问请求进行访问验证,以及基于所述安全信息对所述用户终端进行风险评估,根据验证结果和评估结果确定所述资源访问请求对应的响应策略,并按照所述响应策略处理所述资源访问请求。
根据本说明书实施例的第三方面,提供了一种请求处理装置,应用于验证服务器,包括:
接收模块,被配置为接收用户终端上部署的目标应用触发的资源访问请求,其中,所述资源访问请求携带有由控制中心响应于所述用户终端的认证请求返回的授权凭证信息,和由所述控制中心响应于所述用户终端上部署的目标应用的访问请求返回的访问许可信息;
获取模块,被配置为响应于所述资源访问请求获取所述用户终端的安全信息;
验证模块,被配置为通过代理网关基于所述授权凭证信息和所述访问许可信息对所述资源访问请求进行访问验证,以及基于所述安全信息对所述用户终端进行风险评估;
处理模块,被配置为通过所述代理网关根据验证结果和评估结果确定所述资源访问请求对应的响应策略,并按照所述响应策略处理所述资源访问请求。
根据本说明书实施例的第四方面,提供了一种计算设备,包括:
存储器和处理器;
所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现上述请求处理方法的步骤。
根据本说明书实施例的第五方面,提供了一种计算机可读存储介质,其存储有计算机可执行指令,该指令被处理器执行时实现上述请求处理方法的步骤。
根据本说明书实施例的第六方面,提供了一种计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行上述请求处理方法的步骤。
本说明书提供一种请求处理方法,应用于验证服务器,包括接收用户终端上部署的目标应用触发的资源访问请求,其中,所述资源访问请求携带有由控制中心响应于所述用户终端的认证请求返回的授权凭证信息,和由所述控制中心响应于所述用户终端上部署的目标应用的访问请求返回的访问许可信息;响应于所述资源访问请求获取所述用户终端的安全信息;通过代理网关基于所述授权凭证信息和所述访问许可信息对所述资源访问请求进行访问验证,以及基于所述安全信息对所述用户终端进行风险评估;通过所述代理网关根据验证结果和评估结果确定所述资源访问请求对应的响应策略,并按照所述响应策略处理所述资源访问请求。
本说明书一个实施例实现了在用户终端发出资源访问之前,通过控制中心对用户终端进行授权凭证和访问许可的验证,在验证通过的情况下向用户终端返回授权凭证信息和访问许可信息。在验证服务器接收到用户终端基于目标应用发出的资源访问请求之后,获取到用户终端的安全信息,通过代理网关根据用户终端的授权凭证信息和访问许可信息对资源访问请求进行静态校验维度的访问验证,以及基于安全信息对用户终端进行动态评估维度的风险评估,实现了从多个维度进行不同验证,并且在整个资源访问链路中,通过控制中心和代理网关分别进行验证,使得验证信息透传访问链路,提高资源安全保护效果。此外,根据相应的验证结果和评估结果确定资源访问请求对应的响应策略,能够实现基于通过配置不同情况下的响应策略,用于不同情况下针对资源访问请求的处理,保证了用户使用体验的同时,能够提高资源安全性。
附图说明
图1是本说明书一个实施例提供的一种请求处理方法的架构示意图;
图2是本说明书一个实施例提供的一种请求处理方法的流程图;
图3是本说明书一个实施例提供的一种请求处理系统的流程图;
图4是本说明书一个实施例提供的一种请求处理方法的处理过程流程图;
图5是本说明书一个实施例提供的一种请求处理装置的结构示意图;
图6是本说明书一个实施例提供的一种计算设备的结构框图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本说明书内涵的情况下做类似推广,因此本说明书不受下面公开的具体实施的限制。
在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书一个或多个实施例范围的情况下,第一也可以被称为第二,类似地,第二也可以被称为第一。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
此外,需要说明的是,本说明书一个或多个实施例所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准,并提供有相应的操作入口,供用户选择授权或者拒绝。
首先,对本说明书一个或多个实施例涉及的名词术语进行解释。
TUN/TAP:TUN(Tunnel Network Device,虚拟网络设备),TAP(Network TapDevice,虚拟网络适配器)TUN/TAP是在操作系统层面上创建的虚拟网络设备,分别工作在网络层和数据链路层,通常用于构建虚拟私有网络(VPN),或实现其他网络层仿真如虚拟交换机。
DUID:DUID(Device Unique Identifier,设备唯一标识符),一般是综合硬件特性(如MAC地址、序列号和主板号等)的映射值。
TLS/mTLS:TLS(Transport Layer Security,传输层安全协议),mTLS(MutualTransport Layer Security,相互传输层安全协议),用于解决数据通信的传输和身份安全问题,其中TLS仅验证服务器身份,而mTLS在TLS基础上,增加对客户端身份验证。
PKI:PKI(Public Key Infrastructure,公钥基础设施),用于解决数字身份认证、数据加密和安全通信等领域问题。
MFA:MFA(Multi Factor Authentication,多因素认证),用于降低因设备丢失或账密泄露等场景,导致的身份冒用风险,比如短信和邮件,还包括一些指纹和面容等生物认证。
BYOD:BYOD(Bring Your Owner Device,自带设备办公),一般用于区别公司统一采购的配发设备。
SSO:SSO(Single sign-on,单点登录),用于解决跨多应用程序,身份验证和登录的安全和体验问题。它允许用户使用同一组凭据,登录IdP(Identity Provider,身份提供者),然后在不需要重新输入相关凭据情况下,访问其他关联应用程序。
AP/AC:AP(Access Point,接入点),AC(Access Controller,接入控制器),用于解决无线网络中的管理和控制问题。接入点负责无线终端设备的连接和数据转发,接入控制器则用于集中管理和控制多个接入点。
DMZ:DMZ(DemilitarizedZone,隔离区),隔离区或称边界网络,是一种在内部网络和外部网络之间创建的区域。一般将公网服务或代理服务放置DMZ,通过区隔以保护内部网络安全。
SPA:SPA(Single Packet Authorization,单包验证),在进行网络连接前,通过发送一个特定的验证请求,以认证客户端身份。通常这个验证请求会包含有关客户端一些信息,例如预共享密钥(PSK)和运行环境信息等。服务器端会对接收到的验证请求进行验证,如果验证通过,则允许客户端进行后续的网络连接。
RADIUS:RADIUS(Remote AuthenticationDial inUser Service,远程用户拨号认证服务),解决网络访问控制和身份验证问题。它提供一种集中管理和控制用户访问网络资源的方式,通过事先认证用户身份,提高网络准入安全基线。
VPN:VPN(Virtual Private Network,虚拟私有网络),用于解决如何在公共网络上,通过创建加密隧道,以便更安全地访问特定内容,不会被窃听或篡改。
目前传统网络访问控制往往切入在网络边界,侧重于如何建墙以及分析网络报文特征,识别黑白灰流量并进行相应处理。同时随着云计算、5G和大模型等技术不断发展,导致项目部署形态从单一机房和私有云转变成多云、混合云形态,使得网络边界越来越难以定义。除常见手机和电脑外,还包括一些电视机、打印机和门禁等入网设备,而其中手机和电脑,除统一采购外,还存在大量BYOD,这也导致这些设备安全基线参差不齐。入网方式也趋于多样,有通过特权网络直接入网,也有通过VPN远程入网等场景。而针对以上挑战,在终端、云和数据等不同领域的安全产。品层出不穷,但往往这些产品相互独立,形成一个个数据孤岛,不能形成有效合力,以应对越来越复杂的网络安全问题。
基于此在本说明书中,提供了一种请求处理方法,本说明书同时涉及一种请求处理系统、一种请求处理装置,一种计算设备,以及一种计算机可读存储介质,在下面的实施例中逐一进行详细说明。
参见图1,图1示出了根据本说明书一个实施例提供的一种请求处理方法的架构示意图,其中,验证服务器中包括控制中心和代理网关,用户终端在通过目标应用访问对应的应用资源之前,需要提前向控制中心发送认证请求和访问请求,认证请求用于使用户终端进行登录认证以及网络准入认证等相关认证,访问请求用于使用户终端针对特定的应用资源具有访问许可。在控制中心对于用户终端进行静态验证通过之后,会向用户终端下发授权凭证信息,在控制中心对于用户终端进行动态评估通过之后,会向用户终端下发访问许可信息。此时用户终端发出访问请求之后,可以通过用户终端上部署的安全检测应用拦截用户请求,转发至代理网关进行评估,因此可以发送携带有授权凭证信息和访问许可信息的资源访问请求给代理网关,代理网关需要根据访问链路中透传的可信信息对用户终端发送的资源访问请求进行静态验证以及动态评估,从而实现在链路中的多节点验证,提高资源访问链路的可靠性,保证资源的安全性。在验证与评估均通过的情况下,则会将资源访问请求转发至目标应用对应的资源服务器,从而由资源服务器为用户终端提供相应服务。相较于原先的终端直接访问资源服务器,通过增加检测链路即可信通道,校验用户、用户终端以及终端所使用的网络是否安全可信,出现任何不可信问题,后续都会以相应的处理策略响应该访问请求。
参见图2,图2示出了根据本说明书一个实施例提供的一种请求处理方法的流程图,具体包括以下步骤。
步骤202:接收用户终端上部署的目标应用触发的资源访问请求,其中,所述资源访问请求携带有由控制中心响应于所述用户终端的认证请求返回的授权凭证信息,和由所述控制中心响应于所述用户终端上部署的目标应用的访问请求返回的访问许可信息。
其中,所述用户终端可以理解为用户使用的终端设备,用户终端上部署有目标应用,用户通过用户终端上部署的目标应用可以操作相关服务或者获取到关联目标应用的相关资源,如目标应用为网购应用时,通过目标应用可以获取用户的购买记录。在实际应用中,为了保证资源的安全性,需要确保访问请求的身份符合、设备安全等条件,从而使得资源并不会被攻击者获取造成资源泄露的情况。所以当验证服务器接收到用户终端上部署的目标应用触发的资源访问请求之后,则需要对用户终端及其资源访问请求进行验证,具体的对用户终端以及资源访问请求进行验证可以通过目标应用来实现,如目标应用为网购应用时,应用内置有安全检测功能;也可以通过用户终端上部署的其他安全检测应用来实现,如杀毒应用内置有安全检测功能。而资源访问请求中携带有授权凭证信息和访问许可信息,用户终端可以通过流量代理模块选择合适代理方式,将授权凭证信息和访问许可信息添加至访问请求中,生成代理后的资源访问请求并发送给验证服务器。用户终端中也可以包括有访问控制模块用于决策是否转发当前的资源访问请求,是前置控制切换,可以根据控制中心下发的控制规则判断当前资源访问请求是否合规,例如依据黑白名单判断当前资源访问请求的账户是否是合规账户。需要说明的是,申请许可与实际转发是解耦的,相互不具有依赖关系。用户终端有责任一直持有有效许可并支持主动更新,在用户具有访问需求的情况下,用户终端才会发出访问请求。
验证服务器可以由控制中心和代理网关组成,控制中心可以理解为为用户终端下发授权凭证和访问许可的验证端,使用户终端及其部署的目标应用为可信终端和可信应用,代理网关用于接收资源访问请求时,针对用户终端和目标应用进行相关验证包括静态凭证验证和设备动态评估,根据验证结果输出相应的处理策略来处理资源访问请求,从而进一步保证目标资源的安全性。
具体实施时,在本说明书提供的一种请求处理方法中,用户终端发起连接请求时所处的网络,不能直接决定可访问资源,需要对账户、设备以及所处环境进行校验,且需要对流量进行加密和加签,其基本原则包括不再以网络边界为中心,而改为以身份为中心包括身份、认证和凭证,在请求链路中进行透传实现多节点协同验证。身份包括账户和终端设备的主体身份,以及被保护资源的客体身份。认证是为建立账户和用户之间的映射关系、终端和账户之间的映射关系,是获得相应资源访问许可的前提。凭证是认证通过后,由控制中心平台下发给访问主体,用于后续访问相应资源的证明,包括签名密钥以及由PKI颁发的证书等,且需要关注防伪造、防篡改、防盗用和可追溯等问题。需要说明的是,认证包括网络准入认证和登录认证,两者具有前后认证关系,如在通过网络准入认证之后才可以进行登录认证。用户终端会预埋一份通用临时静态凭证,当用户通过登录验证之后,会从控制中心换取获得正式的静态凭证。
在实际应用中,还可以对访问行为进行持续评估,评估包括主体、客体和上下文,管理者可以基于名单、角色以及组织架构等账户维度配置授权访问策略,也可以针对应用程序、来源IP、访问时间和操作系统类型等设备和访问环境维度配置授权访问策略。只有符合以上策略条件,才具有资源访问许可从而访问相应资源,访问许可需要从控制终端进行申请,在代理网关进行校验。动态评估会实时抛出安全事件,每个安全事件对应有相应的处置行为,会提前在控制中心配置。当出现这些事件时,控制中心会自动进行预定的处置。同时为在终端不同客户端之间,以及云端不同安全组件之间共享身份问题,一方面可以通过在不同客户端即应用程序中集成相同DUID SDK,或者通过本地通信机制直接共享机制解决终端身份共享问题,而在资源侧的不同安全组件中,可以通过引入安全上下文机制实现身份共享,从而保证同一个用户在不同终端使用对应的应用访问资源时,只要保证身份验证通过,即可正常访问应用资源。用户终端会定期携带环境、网络等信息去控制终端换取动态凭证即访问许可,并且访问许可会定期更新,本质是授权给用户终端用于访问特定资源或一组资源的动态凭证。需要说明的是,访问许可强调动态是因为用户终端的环境会发生变化,包括网络环境变化如从有线网络切换到无线网络、在A地登录切换到B地登录等,系统环境变化如终端上安装的软件变化等,通过动态的访问许可可以实时检测变化、风险,如果发现风险就可以不再访问新的访问许可,同时后续可以下发指令至代理网关,掐断当前用户发送的资源访问请求或对用户终端进行二次验证等。
在本说明书一具体实施例中,用户想要查看自己的商品购买记录,通过终端上安装的购物应用触发资源访问请求,资源访问请求用于获取该用户的商品购买记录数据,资源访问请求中携带有用户终端对应的授权凭证信息以及访问许可信息。
进一步的,为了实现对用户终端的身份认证,在接受资源访问请求之后还需要通过相应用户终端的认证请求向用户终端下发授权凭证,具体的接收用户终端上部署的目标应用触发的资源访问请求之前,所述方法还包括:通过控制中心响应于所述用户终端的认证请求确定所述用户终端的认证信息;基于所述认证信息对所述用户终端进行登录验证,在登录验证通过的情况下根据所述认证信息生成所述用户终端对应的授权凭证信息。
其中,控制中心具有认证服务模块,认证服务模块包括终端登录认证、SSO认证和RADIUS网络准入认证三部分。用户通过终端设备使用目标应用时,需要通过登录认证,如账号密码和三方认证,必要时还可以叠加MFA进行多重认证,才可以正式使用终端设备上部署的应用程序。若用户需要访问内网资源,还需要进行一次网络准入认证以及SSO认证。相应的,为了能够使用户通过用户终端发送认证请求,用户终端需要具有登录组件,通过登录组件发送认证请求至控制中心,以使控制中心响应于认证请求确定用户终端的认证信息,认证信息可以理解为用户提交的用于进行认证的信息包括用户账号密码、网络账号密码等信息。授权凭证信息即为控制中心在对用户终端进行登录验证通过之后,向用户终端下发的凭证信息,该凭证可以是静态设备凭证如证书以及签名密钥等,然后用户终端可以通过凭证保管模块安全存放本地。
具体实施时,任何终端以及应用均需提前通过认证并完成注册,从而成为可信终端和可信应用。在请求流量到达可信代理网关前,需通过网络准入认证,在HTTP场景下还需要通过SSO认证。非HTTP场景,需要借助外部认证器辅助完成SSO认证。
在本说明书一具体实施例中,通过控制中心响应于用户终端的认证请求,确定用户终端的认证信息,认证信息中包括用户提交的关联目标应用的账号密码等信息,基于认证信息对用户终端进行登录验证,在验证通过的情况下,生成用户终端对应的授权凭证信息如签名密钥,并将授权凭证信息发送至用户终端,使得用户具有在用户终端上可以使用目标应用的权限。
基于此,通过在控制中心对用户终端进行身份认证,实现了用户在用户终端上使用目标应用之前的节点对其进行身份验证,在验证通过的情况下发送授权凭证信息至用户终端,使得用户终端可以在后续请求控制中心服务以及转发资源访问请求时使用授权凭证信息进行相关验证,保证在整个访问链路中以身份串联每个验证节点。
进一步的,为了能够使控制中心成功向用户终端下发授权凭证信息,需要根据认证信息生成用户终端对应的授权凭证信息,具体的根据所述认证信息生成所述用户终端对应的授权凭证信息,包括:根据所述认证信息确定所述用户终端对应的登录账户;建立所述用户终端与所述登录账户之间的映射关系,并根据所述映射关系生成所述用户终端对应的授权凭证信息。
其中,登录账户可以理解为用户通过终端使用目标应用时登录的账户,建立用户终端与登录账户之间的映射关系可以理解为将用户终端与登录账户进行绑定,以及将用户与账户进行绑定。建立好映射关系之后则可以基于映射关系生成用户终端对应的授权凭证信息,如将映射关系以签名方式存储在对应的密钥中。
在实际应用中,控制中心基于认证信息对用户设备进行验证可以包括根据账号密码进行设备与账号之间的认证,还可以包括人脸识别、语音识别等进行账号与用户之间的认证。在验证通过之后,则可以认为当前的用户、设备和账号之间具有映射关系,可以正常使用目标应用,此时可以将生成相应的设备证书以及签名密钥并作为授权凭证信息发送给用户终端。
在本说明书一具体实施例中,根据认证信息确定用户终端对应的登录账户,即用户在使用目标应用时输入的登录账号,建立用户终端与登录账户之间的映射关系,其中包括用户与账号之间的映射关系以及设备与账号之间的映射关系,基于映射关系生成授权凭证信息并下发给用户终端,使得用户终端后续可以基于授权凭证信息证明自己具有使用目标应用的权限。
基于此,通过根据映射关系生成授权凭证信息可以确保授权凭证信息的可靠性与追溯性,确保在整个访问链路中基于授权凭证信息可以验证用户终端相应的身份,提高资源保护安全性。
进一步的,为了防止通过登录认证后的用户终端获取到其他用户的资源,还需要对其进行安全检测并下发相应的访问许可,具体的根据所述认证信息生成所述用户终端对应的授权凭证信息之后,所述方法还包括:发送访问配置信息至所述用户终端,接收所述用户终端基于所述访问配置信息上传的设备状态信息;通过所述控制中心按照预设检测策略根据所述设备状态信息对所述用户终端进行安全检测;通过所述控制中心在所述登录验证和所述安全检测均通过的情况下,响应于所述用户终端上部署的目标应用的访问请求,生成并发送访问许可信息至所述用户终端。
其中,访问配置信息可以理解为设备维度访问配置,包括应用层域名代理列表、DNS、内网CIDR、环境信息上报规则和终端控制策略等配置。用户终端基于访问配置信息可以上报设备状态信息例如终端运行环境信息中的心跳信息、硬件信息、进程信息以及网络信息等,用于控制中心结合其他数据感知终端运行风险即对用户终端进行安全检测,在安全检测通过的情况下生成访问许可信息并发送至用户终端。控制中心中的配置服务模块可以在用户终端登录验证完成后,向用户终端下发访问配置信息。
具体实施时,为了能够采集到用户终端的相关状态信息,用户终端上可设置有环境采集模块,用于上报终端运行环境信息,除了上报心跳数据外,用户终端还会根据访问配置信息中的上报规则触发终端环境信息异步上报,包括主动定时触发和被动命令触发两种类型。环境信息包括设备基本信息、应用程序信息、设备健康状态和网络连接信息等,设备基本信息如设备类型、型号、操作系统版本(含安全补丁和更新版本号)、设备唯一标识符(如MAC地址、序列号等)等信息;应用程序信息包括已安装应用程序列表、应用程序版本号和来源,并标识是否来自官方应用商店或第三方平台;设备健康状态包括防病毒软件、是否被越狱以及防火墙和恶意软件检测工具等状态和版本;网络连接信息包括网络连接类型、IP地址以及设备所处位置等。通过用户终端上报的心跳以及设备环境信息,控制中心可以对用户终端进行安全检测,并在安全检测通过的情况下,响应于用户终端上部署的目标应用的访问请求,生成并发送访问许可信息至用户终端,访问许可信息时由控制中心根据静态授权规则校验以及针对设备的动态评估结果下发给特定设备,用于访问特定资源的访问凭证。
在本说明书一具体实施例中,控制中心与用户终端通过推拉结合的方式,同步设备维度方位配置,用户终端根据访问配置信息上传设备状态信息,包括心跳数据和设备环境信息等,控制中心可以基于评估中心模块根据终端上报的信息对用户终端进行安全验证,在用户终端的登录认证和安全验证均通过的情况下,可以生成访问请求对应的访问许可信息并发送至用户终端。
基于此,通过在控制中心基于设备上报信息对用户终端进行安全验证,可以保证用户终端的相关环境安全,从而下发相应的访问许可凭证至用户终端,使得用户终端具有访问相应应用资源的许可权限。
进一步的,为了能够实现对用户终端的安全检测,可以通过计算安全检测分值的方式进行检测,具体的通过所述控制中心按照预设检测策略根据所述设备状态信息对所述用户终端进行安全检测,包括:通过所述控制中心按照预设检测策略根据所述设备状态信息计算所述用户终端的安全检测分值;将所述安全检测分值与所述预设检测策略中的预设安全检测阈值进行比较,作为对所述用户终端的安全检测。
其中,预设检测策略可以理解为对用户终端进行安全检测时使用的策略,预设检测策略可以基于名单、角色以及组织架构等账户维度确定,也可以基于应用程序、来源IP、访问时间和操作系统类型等设备和访问环境确定,按照预设检测策略可以计算出用户终端的安全检测分值即当前设备健康分值。具体实施时,控制中心的评估中心模块可以结合用户终端上报的心跳信息、设备环境信息以及行为活动信息如登录时间、登录位置、访问资源以及具体操作等信息,利用预设检测策略中的算法计算用户终端的设备健康分,并将安全检测分值与预设安全检测阈值进行比较,对于分值较低的设备可以在后续访问中增加进一步验证挑战,对于分值极低的设备也可以及时阻断请求,并触发报警提醒安全运营人员介入处理。
在实际应用中,评估中心模块可以汇聚用户访问链路上所有相关日志信息,包括设备、用户、资源、历史行为等,并对这些多源异构数据进行过滤、格式化、归并和存储操作,同时提供模式匹配、风险分析、异常检测等能力,最终对各种安全事件进行分析、统计和关联,并最终归属到具体账户或设备,后续也可以依据检测分析结果更新安全上下文,使得相关控制切入点及时感知,在其他检测环节实施相应处理策略。相应的,控制中心中也可以包括有安全事件模块,用于在与用户终端出现安全检测问题时输出相对应的处理策略。安全事件模块时安全检测风险的输出载体,通过策略实现关联,最终作用到各个访问控制切面。安全事件不仅和终端相关,比如安装违规软件、异地登录、数据泄露等,也和网络相关例如请求来源IP是非法IP等。在其他验证环节中也可以设置有安全事件模块用于实现协同网络访问验证控制,从而在整个访问链路中从多个不同节点进行访问验证并以相同的策略进行处理。
在本说明书一具体实施例中,通过控制中心按照预设检测策略根据用户终端上报的设备状态信息计算用户终端的安全检测分值,并将安全检测分值与预设安全检测阈值进行比较,从而实现对用户终端的安全检测。
基于此,通过控制中心对用户终端进行安全检测,从而后续在用户终端通过安全检测的情况下向其下发访问许可信息,使得用户终端具有访问相应资源的权限,也保证了资源访问的安全性。
步骤204:响应于所述资源访问请求获取所述用户终端的安全信息。
其中,用户终端的安全信息可以理解为用户终端对应的安全上下文信息,安全信息中可以包括公司组织架构信息、资源授权信息、设备运行环境信息、安全情报信息、病毒库信息以及终端历史行为信息等。
在实际应用中,当控制中心对用户终端进行安全检测之后,可以获得相应的检测结果,并将检测结果归属到对应的账户或设备,更新其安全上下文,使得后续代理网关或其他相关控制切入点可以依据更新后的安全上下文对当前用户终端进行风险动态评估,实现了访问链路中的多节点的协同认证。因此在验证服务器接收到用户终端发送的资源访问请求之后,可以获取用户终端的安全信息,用于后续对其进行动态评估。
在本说明书一具体实施例中,验证服务器可以通过代理网关获取到用户终端的安全上下文,用于后续的风险评估验证。
进一步的,在响应于所述资源访问请求获取所述用户终端的安全信息之前,还包括:通过所述控制中心确定所述用户终端对应的初始安全信息;基于安全检测结果对所述初始安全信息进行更新,获得所述用户终端对应的安全信息。
其中,初始安全信息可以理解为用户终端初始的安全上下文,在基于安全检测对初始安全信息更新之后,获得用户终端当前的安全上下文。在实际应用中,在控制中心对用户终端进行安全检测之后,都会基于检测结果更新用户终端的安全上下文,从而保证用户终端的安全上下文处于当前更新状态,保证的用户终端在访问过程中时,能够在安全环境下进行访问,避免出现安全上下文未更新,而用户终端在风险环境中进行访问,导致资源出现泄露的情况。
在本说明书一具体实施例中,控制中心确定当前用户终端的初始安全上下文,并基于检测结果对初始安全上下文进行更新,从而获得用户终端的当前状态下的安全上下文,用于后续基于安全上下文可以对用户终端进行当前状态的风险评估。
进一步的,为了能够准确地获得用户终端的安全信息,可以根据用户终端的标识信息进行选择,具体的响应于所述资源访问请求获取所述用户终端的安全信息,包括:基于所述资源访问请求确定所述用户终端的终端标识信息;基于所述终端标识信息获取所述用户终端的安全信息。
其中,终端标识信息可以理解为用户终端的设备标识信息如设备唯一标识符,根据终端标识信息可以筛选出用户终端对应的安全信息。
在本说明书一具体实施例中,根据资源能访问请求确定用户终端的终端标识信息,终端标识信息为用户设备的MAC地址,基于终端标识信息获取到用户终端的安全信息。
步骤206:通过代理网关基于所述授权凭证信息和所述访问许可信息对所述资源访问请求进行访问验证,以及基于所述安全信息对所述用户终端进行风险评估。
其中,对资源访问请求进行访问验证可以理解为确定授权凭证信息和访问许可信息是否符合要求,对用户终端进行风险评估可以理解为确定当前用户终端是否存在风险事件。
在实际应用中,代理网关中设置有安全网关模块,安全网关模块是接入层应用安全网关,用来处理HTTPS或HTTP请求,在代理网关接收到用户终端的资源访问请求之后,需要基于安全网关模块对其进行验证和评估,并决策是否将资源访问请求转发至源服务器。安全网关模块包括三部分职责:一是基础安全规则校验例如证书校验、签名校验以及终端版本白名单校验等;二是基于凭证进行访问控制策略校验;三是转发请求至源服务器,只有基础安全规则以及访问控制策略校验均通过的情况下,才会进行源服务转发。
具体实施时,代理网关会进行设备证书校验和验证数据负载签名,验证通过后再校验源服务访问许可,在校验过程中查看安全上下文进行动态评估时,若发现用户终端存在风险事件,也可以依据提前配置好的策略对资源访问请求进行相应处理,只有在校验和评估均通过的情况下,才会将资源访问请求转发至对应的源服务器。
进一步的,通过代理网关基于所述授权凭证信息和所述访问许可信息对所述资源访问请求进行访问验证,包括:通过所述代理网关从所述控制中心获取所述用户终端对应的可信凭证信息和可信许可信息;比对所述授权凭证信息和所述可信凭证信息、所述访问许可信息和可信许可信息,作为对所述资源访问请求的访问验证。
其中,可信凭证信息和可信许可信息可以理解为用户终端在控制中心提前注册认证以及经过动态评估之后获得的凭证信息和许可信息,可信凭证信息中可以包括设备证书、签名密钥等信息,可信许可信息中可以包括用户终端使用目标应用访问特定资源的许可证明。通过比对授权凭证信息和可信凭证信息,以及比对访问许可信息和可信许可信息,从而实现对资源访问请求的访问验证。
在本说明书一具体实施例中,代理网关从控制中心获取到用户终端之前注册认证后下发的可信凭证信息,以及经过控制中心的动态评估下发的可信许可信息,将可信凭证信息与用户终端在资源访问请求中携带的授权凭证信息进行比对,将可信许可信息与资源访问请求中携带的授权凭证信息进行比对,判断当前用户终端的身份验证是否合规,以及是否具有访问特定资源的权限,从而实现对资源访问请求的访问验证。
基于此,通过在代理网关节点对资源访问请求进行访问验证,可以保证在代理网关节点实现基础规则的静态校验,保证在整个访问链路中,以身份信息串联验证方式。
进一步的,基于所述安全信息对所述用户终端进行风险评估,包括:按照预设风险评估策略根据安全信息计算所述用户终端的至少一个风险分值;根据所述至少一个风险分值对所述用户终端进行风险事件检测,作为对所述用户终端的风险评估。
其中,预设风险评估策略可以理解为代理网关在对用户终端进行风险评估时使用的策略,基于预设风险评估策略可以根据安全信息计算用户终端在多个维度的事件对应的风险分值,然后根据每个风险分值对用户终端进行风险事件检测,在用户终端存在风险事件的情况下,依据相应的策略对资源访问请求进行处理。
在实际应用中,代理网关可以基于预设风险评估策略查看用户终端的安全上下文,并计算安全上下文中各个维度下信息对应的风险分值,根据每个信息对应的风险分值判断该信息是否为风险事件,若用户终端存在风险事件,则可以依据预设配置好的处理策略处理资源访问请求。
在本说明书一具体实施例中,代理网关按照预设风险评估策略根据安全信息计算用户终端的多个维度信息对应的风险分值,如设备关键信息对应的风险分值、网络环境信息对应的风险分值,根据每个信息对应的风险分值判断是否为风险事件,从而实现对用户终端的风险动态评估。
步骤208:通过所述代理网关根据验证结果和评估结果确定所述资源访问请求对应的响应策略,并按照所述响应策略处理所述资源访问请求。
其中,响应策略可以理解为处理资源访问请求的策略,响应策略可以是提前设置好的处理策略,响应策略需要根据验证结果和评估结果来选择。
具体的,通过所述代理网关根据验证结果和评估结果确定所述资源访问请求对应的响应策略,包括:在验证结果不通过的情况下,通过所述代理网关确定所述资源访问请求对应的响应策略为访问中断策略;在验证结果通过且评估结果不通过的情况下,通过所述代理网关确定所述资源访问请求对应的响应策略为所述访问中断策略或二次验证策略;在验证结果和评估结果均通过的情况下,通过所述代理网关确定所述资源访问请求对应的响应策略为访问转发策略。
其中,访问中断策略可以理解为中断资源访问请求的策略,如策略可以是拒绝本次资源访问请求的访问,并反馈访问失败信息至用户终端。二次验证策略可以理解为对资源访问请求进行二次验证的策略,如对当前用户进行人脸验证、对设备进行账户验证等。访问转发策略可以理解为验证通过情况下,将资源访问请求转发给资源服务器的策略。
在实际应用中,流量到达可信代理网关时,首先需要校验可信通信参数如设备证书校验和数据负载签名校验,然后再通过静态授权校验,以及基于安全上下文的动态评估,前面所有认证和校验均通过后,才会将请求流量转发至资源服务器。在验证不通过的情况下,则可以选择访问中断或二次验证的策略进行处理。
在本说明书一具体实施例中,在用户终端的静态授权验证不通过的情况下,选择访问中断策略为响应策略。
在本说明书另一具体实施例中,在用户终端的静态授权验证通过,但是动态评估验证不通过的情况下,选择访问中断策略或二次验证策略为响应策略。
在本说明书另一具体实施例中,在用户终端的静态授权验证和动态评估验证均通过的情况下,选择访问转发策略为响应策略。
进一步的,按照所述响应策略处理所述资源访问请求,包括:在所述响应策略为所述访问中断策略的情况下,通过所述代理网关反馈所述资源访问请求对应的访问失败信息至所述用户终端;在所述响应策略为所述二次验证策略的情况下,通过所述代理网关按照所述二次验证策略对所述用户终端进行二次验证;在所述响应策略为访问转发策略的情况下,通过所述代理网关转发所述资源访问请求至资源服务器,其中,所述资源服务器用于响应于所述资源访问请求发送目标资源至所述用户终端。
在实际应用中,针对访问中断策略处理资源访问请求时,可以拒绝资源访问请求的资源访问并反馈访问失败信息至用户终端,访问失败信息可以理解为向用户终端反馈的资源访问失败的反馈信息。针对二次验证策略处理资源访问请求时,可以按照二次验证策略中的验证方式对用户终端进行二次验证,例如进行用户人脸识别、重新登录账号等。针对访问转发策略处理资源访问请求时,则可以将资源访问请求转发至目标应用对应的资源服务器,以使资源服务器响应于资源访问请求返回相应的应用资源至用户终端。
具体实施时,代理网关可以通过VPN模块建立安全加密通信通道,让用户可以安全远程访问内部网络,使得终端可以在不可信的网络环境下,例如通过公共网络访问互联网服务时,通过VPN链路实现转发,实现安全访问特定资源的目标。
在本说明书一具体实施例中,响应策略为访问中断策略,此时代理网关会拒绝将资源访问请求转发至资源服务器,并且会返回访问失败信息至用户终端,以提示用户当前不能访问相应的应用资源,并告知访问失败的具体原因信息。
在实际应用中,为了增强对用户终端及访问请求的安全检测能力、支持被集成、实现能力开放,可以通过多检测应用方式进行联动处理,如用户终端上可以部署有多个安全检测应用,将用户终端的设备信息、数据上下文等信息在各个安全检测应用之间进行共享,从而实现多个安全检测应用联动检测。也可以是多种不同安全检测服务集成至同一个安全检测应用中,在多个不同安全检测服务之间进行信息共享,实现能力开放以及服务集成。相应的,在资源侧的不同安全组件中,可以通过引入安全上下文机制实现身份共享,从而保证同一个用户在不同终端使用对应的应用访问资源时,只要保证身份验证通过,即可正常访问应用资源。
本说明书提供的请求处理方法,应用于验证服务器,包括接收用户终端上部署的目标应用触发的资源访问请求,其中,所述资源访问请求携带有由控制中心响应于所述用户终端的认证请求返回的授权凭证信息,和由所述控制中心响应于所述用户终端上部署的目标应用的访问请求返回的访问许可信息;响应于所述资源访问请求获取所述用户终端的安全信息;通过代理网关基于所述授权凭证信息和所述访问许可信息对所述资源访问请求进行访问验证,以及基于所述安全信息对所述用户终端进行风险评估;通过所述代理网关根据验证结果和评估结果确定所述资源访问请求对应的响应策略,并按照所述响应策略处理所述资源访问请求。实现了在用户终端发出资源访问之前,通过控制中心对用户终端进行授权凭证和访问许可的验证,在验证通过的情况下向用户终端返回授权凭证信息和访问许可信息。在验证服务器接收到用户终端基于目标应用发出的资源访问请求之后,获取到用户终端的安全信息,通过代理网关根据用户终端的授权凭证信息和访问许可信息对资源访问请求进行静态校验维度的访问验证,以及基于安全信息对用户终端进行动态评估维度的风险评估,实现了从多个维度进行不同验证,并且在整个资源访问链路中,通过控制中心和代理网关分别进行验证,使得验证信息透传访问链路,提高资源安全保护效果。此外,根据相应的验证结果和评估结果确定资源访问请求对应的响应策略,能够实现基于通过配置不同情况下的响应策略,用于不同情况下针对资源访问请求的处理,保证了用户使用体验的同时,能够提高资源安全性。
参见图3,图3示出了根据本说明书一个实施例提供的一种请求处理系统的结构示意图,其中,所述系统包括用户终端302、控制中心304和代理网关306,其中,
所述控制中心304,响应于所述用户终端的认证请求发送授权凭证信息至所述用户终端,以及响应于所述用户终端上部署的目标应用的访问请求发送访问许可信息至所述用户终端;
在本说明书一具体实施例中,控制中心可以基于用户终端的认证请求对用户终端进行登录验证,在验证通过的情况下发送授权凭证信息至用户终端。基于用户终端发送的访问请求对用户终端进行动态评估,在评估通过的情况下发送访问许可信息至用户终端。
所述用户终端302,通过部署的目标应用触发初始资源访问请求,将所述授权凭证信息和访问许可信息添加至所述初始资源访问请求,获得资源访问请求并发送至所述代理网关。
在本说明书一具体实施例中,用户终端可以对流量进行拦截,并且检测本地是否已经持有相应的访问许可,若以持有许可,则需要在代理请求时,将授权凭证信息和访问许可信息添加至初始资源访问请求中,生成代理后的资源访问请求并发送至代理网关。
所述代理网关306,响应于所述资源访问请求获取所述用户终端的安全信息,基于所述授权凭证信息和所述访问许可信息对所述资源访问请求进行访问验证,以及基于所述安全信息对所述用户终端进行风险评估,根据验证结果和评估结果确定所述资源访问请求对应的响应策略,并按照所述响应策略处理所述资源访问请求。
在本说明书一具体实施例中,代理网关获取用户终端的安全信息,并对用户终端进行访问验证和风险评估,在验证结果和评估结果都通过的情况下,转发资源访问请求至对应的资源服务器。
本说明书提供的一种请求处理系统,所述系统包括用户终端、控制中心和代理网关,其中,所述控制中心,响应于所述用户终端的认证请求发送授权凭证信息至所述用户终端,以及响应于所述用户终端上部署的目标应用的访问请求发送访问许可信息至所述用户终端;所述用户终端,通过部署的目标应用触发初始资源访问请求,将所述授权凭证信息和访问许可信息添加至所述初始资源访问请求,获得资源访问请求并发送至所述代理网关;所述代理网关,响应于所述资源访问请求获取所述用户终端的安全信息,基于所述授权凭证信息和所述访问许可信息对所述资源访问请求进行访问验证,以及基于所述安全信息对所述用户终端进行风险评估,根据验证结果和评估结果确定所述资源访问请求对应的响应策略,并按照所述响应策略处理所述资源访问请求。实现了在用户终端发出资源访问之前,通过控制中心对用户终端进行授权凭证和访问许可的验证,在验证通过的情况下向用户终端返回授权凭证信息和访问许可信息。在验证服务器接收到用户终端基于目标应用发出的资源访问请求之后,获取到用户终端的安全信息,通过代理网关根据用户终端的授权凭证信息和访问许可信息对资源访问请求进行静态校验维度的访问验证,以及基于安全信息对用户终端进行动态评估维度的风险评估,实现了从多个维度进行不同验证,并且在整个资源访问链路中,通过控制中心和代理网关分别进行验证,使得验证信息透传访问链路,提高资源安全保护效果。此外,根据相应的验证结果和评估结果确定资源访问请求对应的响应策略,能够实现基于通过配置不同情况下的响应策略,用于不同情况下针对资源访问请求的处理,保证了用户使用体验的同时,能够提高资源安全性。
下述结合附图4,以本说明书提供的请求处理方法在游戏场景的应用为例,对所述请求处理方法进行进一步说明。其中,图4示出了本说明书一个实施例提供的一种请求处理方法的处理过程流程图,具体包括以下步骤。
步骤402:通过控制中心响应于所述用户终端的认证请求确定所述用户终端的认证信息。
在一种可实现的方式中,用户终端为用户使用的电脑,用户想要通过电脑登录某游戏应用,并查看该游戏中用户账号对应的账号资源。用户会通过用户终端提前向控制中心发送认证请求,即在控制中心提交相关游戏账号,控制中心基于认证请求确定用户终端的认证信息包括账号密码等。
步骤404:基于所述认证信息对所述用户终端进行登录验证,在登录验证通过的情况下根据所述认证信息生成所述用户终端对应的授权凭证信息。
在一种可实现的方式中,根据认证信息对用户终端进行登录验证,确定用户终端本次登录的登录账户,并建立用户终端与登录账户之间的映射关系,根据映射关系生成用户终端对应的授权凭证信息,即确定用户可以在当前电脑上登录该游戏账号。
步骤406:发送访问配置信息至所述用户终端,接收所述用户终端基于所述访问配置信息上传的设备状态信息。
在一种可实现的方式中,发送设备配置信息至用户终端,用户终端基于设备配置信息上传心跳信息、设备环境信息等至控制中心。
步骤408:通过所述控制中心按照预设检测策略根据所述设备状态信息对所述用户终端进行安全检测。
在一种可实现的方式中,通过控制中心按照预设检测策略根据设备状态信息计算用户终端的安全检测分值,将安全检测分值与预设检测策略中的预设安全检测阈值进行比较,作为对所述用户终端的安全检测。通过控制中心在登录验证和安全检测均通过的情况下,响应于用户终端上部署的目标应用的访问请求,生成并发送访问许可信息至所述用户终端。具体实施时,用户登录完零信任客户端,则会获得静态授权凭证。后续会实时更新动态许可。在用户针对游戏账号资源发起访问请求时,会在生成的访问请求中添加上授权和许可信息,从而生成最终发送给代理网关的资源访问请求。后续代理网关会对资源访问请求进行校验,校验通过的情况下,才会将资源访问请求转发至对应的资源服务器。
步骤410:基于资源访问请求确定用户终端的终端标识信息,基于终端标识信息获取用户终端的安全信息。
步骤412:通过代理网关基于授权凭证信息和访问许可信息对资源访问请求进行访问验证。
步骤414:基于安全信息对所述用户终端进行风险评估。
步骤416:通过代理网关根据验证结果和评估结果确定资源访问请求对应的响应策略。
在一种可实现的方式中,验证结果和评估结果均为验证通过,此时通过代理网关确定响应策略为访问转发策略。
步骤418:按照响应策略处理所述资源访问请求。
在一种可实现的方式中,按照访问转发策略将资源访问请求转发至资源服务器,资源服务器为游戏服务器,此时游戏服务器响应于资源访问请求将用户登录的游戏账户对应的游戏资源返回至用户设备。
本说明书一个实施例实现了在用户终端发出资源访问之前,通过控制中心对用户终端进行授权凭证和访问许可的验证,在验证通过的情况下向用户终端返回授权凭证信息和访问许可信息。在验证服务器接收到用户终端基于目标应用发出的资源访问请求之后,获取到用户终端的安全信息,通过代理网关根据用户终端的授权凭证信息和访问许可信息对资源访问请求进行静态校验维度的访问验证,以及基于安全信息对用户终端进行动态评估维度的风险评估,实现了从多个维度进行不同验证,并且在整个资源访问链路中,通过控制中心和代理网关分别进行验证,使得验证信息透传访问链路,提高资源安全保护效果。此外,根据相应的验证结果和评估结果确定资源访问请求对应的响应策略,能够实现基于通过配置不同情况下的响应策略,用于不同情况下针对资源访问请求的处理,保证了用户使用体验的同时,能够提高资源安全性。
与上述方法实施例相对应,本说明书还提供了请求处理装置实施例,图5示出了本说明书一个实施例提供的一种请求处理装置的结构示意图。如图5所示,该装置应用于验证服务器,包括:
接收模块502,被配置为接收用户终端上部署的目标应用触发的资源访问请求,其中,所述资源访问请求携带有由控制中心响应于所述用户终端的认证请求返回的授权凭证信息,和由所述控制中心响应于所述用户终端上部署的目标应用的访问请求返回的访问许可信息;
获取模块504,被配置为响应于所述资源访问请求获取所述用户终端的安全信息;
验证模块506,被配置为通过代理网关基于所述授权凭证信息和所述访问许可信息对所述资源访问请求进行访问验证,以及基于所述安全信息对所述用户终端进行风险评估;
处理模块508,被配置为通过所述代理网关根据验证结果和评估结果确定所述资源访问请求对应的响应策略,并按照所述响应策略处理所述资源访问请求。
可选的,所述装置还包括验证模块,被配置为通过控制中心响应于所述用户终端的认证请求确定所述用户终端的认证信息;基于所述认证信息对所述用户终端进行登录验证,在登录验证通过的情况下根据所述认证信息生成所述用户终端对应的授权凭证信息。
可选的,所述认证模块,进一步被配置为根据所述认证信息确定所述用户终端对应的登录账户;建立所述用户终端与所述登录账户之间的映射关系,并根据所述映射关系生成所述用户终端对应的授权凭证信息。
可选的,所述验证模块,进一步被配置为发送访问配置信息至所述用户终端,接收所述用户终端基于所述访问配置信息上传的设备状态信息;通过所述控制中心按照预设检测策略根据所述设备状态信息对所述用户终端进行安全检测;通过所述控制中心在所述登录验证和所述安全检测均通过的情况下,响应于所述用户终端上部署的目标应用的访问请求,生成并发送访问许可信息至所述用户终端。
可选的,所述装置还包括检测模块,被配置为发送访问配置信息至所述用户终端,接收所述用户终端基于所述访问配置信息上传的设备状态信息;通过所述控制中心按照预设检测策略根据所述设备状态信息对所述用户终端进行安全检测;通过所述控制中心在所述登录验证和所述安全检测均通过的情况下,响应于所述用户终端上部署的目标应用的访问请求,生成并发送访问许可信息至所述用户终端。
可选的,所述检测模块,进一步被配置为通过所述控制中心按照预设检测策略根据所述设备状态信息计算所述用户终端的安全检测分值;将所述安全检测分值与所述预设检测策略中的预设安全检测阈值进行比较,作为对所述用户终端的安全检测。
可选的,所述检测模块,进一步被配置为通过所述控制中心确定所述用户终端对应的初始安全信息;基于安全检测结果对所述初始安全信息进行更新,获得所述用户终端对应的安全信息。
可选的,所述验证模块506,进一步被配置为通过所述代理网关从所述控制中心获取所述用户终端对应的可信凭证信息和可信许可信息;比对所述授权凭证信息和所述可信凭证信息、所述访问许可信息和可信许可信息,作为对所述资源访问请求的访问验证。
可选的,所述验证模块506,进一步被配置为按照预设风险评估策略根据安全信息计算所述用户终端的至少一个风险分值;根据所述至少一个风险分值对所述用户终端进行风险事件检测,作为对所述用户终端的风险评估。
可选的,所述处理模块508,进一步被配置为在验证结果不通过的情况下,通过所述代理网关确定所述资源访问请求对应的响应策略为访问中断策略;在验证结果通过且评估结果不通过的情况下,通过所述代理网关确定所述资源访问请求对应的响应策略为所述访问中断策略或二次验证策略;在验证结果和评估结果均通过的情况下,通过所述代理网关确定所述资源访问请求对应的响应策略为访问转发策略。
可选的,所述处理模块508,进一步被配置为在所述响应策略为所述访问中断策略的情况下,通过所述代理网关反馈所述资源访问请求对应的访问失败信息至所述用户终端;在所述响应策略为所述二次验证策略的情况下,通过所述代理网关按照所述二次验证策略对所述用户终端进行二次验证;在所述响应策略为访问转发策略的情况下,通过所述代理网关转发所述资源访问请求至资源服务器,其中,所述资源服务器用于响应于所述资源访问请求发送目标资源至所述用户终端。
可选的,所述获取模块504,进一步被配置为基于所述资源访问请求确定所述用户终端的终端标识信息;基于所述终端标识信息获取所述用户终端的安全信息。
本说明书提供的一种请求处理装置,应用于验证服务器,包括:接收模块,被配置为接收用户终端上部署的目标应用触发的资源访问请求,其中,所述资源访问请求携带有由控制中心响应于所述用户终端的认证请求返回的授权凭证信息,和由所述控制中心响应于所述用户终端上部署的目标应用的访问请求返回的访问许可信息;获取模块,被配置为响应于所述资源访问请求获取所述用户终端的安全信息;验证模块,被配置为通过代理网关基于所述授权凭证信息和所述访问许可信息对所述资源访问请求进行访问验证,以及基于所述安全信息对所述用户终端进行风险评估;处理模块,被配置为通过所述代理网关根据验证结果和评估结果确定所述资源访问请求对应的响应策略,并按照所述响应策略处理所述资源访问请求。
上述为本实施例的一种请求处理装置的示意性方案。需要说明的是,该请求处理装置的技术方案与上述的请求处理方法的技术方案属于同一构思,请求处理装置的技术方案未详细描述的细节内容,均可以参见上述请求处理方法的技术方案的描述。
图6示出了根据本说明书一个实施例提供的一种计算设备600的结构框图。该计算设备600的部件包括但不限于存储器610和处理器620。处理器620与存储器610通过总线630相连接,数据库650用于保存数据。
计算设备600还包括接入设备640,接入设备640使得计算设备600能够经由一个或多个网络660通信。这些网络的示例包括公用交换电话网(PSTN,Public SwitchedTelephone Network)、局域网(LAN,LocalAreaNetwork)、广域网(WAN,WideAreaNetwork)、个域网(PAN,PersonalAreaNetwork)或诸如因特网的通信网络的组合。接入设备640可以包括有线或无线的任何类型的网络接口(例如,网络接口卡(NIC,network interfacecontroller))中的一个或多个,诸如IEEE802.11无线局域网(WLAN,WirelessLocalAreaNetwork)无线接口、全球微波互联接入(Wi-MAX,Worldwide Interoperabilityfor MicrowaveAccess)接口、以太网接口、通用串行总线(USB,Universal Serial Bus)接口、蜂窝网络接口、蓝牙接口、近场通信(NFC,Near Field Communication)。
在本说明书的一个实施例中,计算设备600的上述部件以及图6中未示出的其他部件也可以彼此相连接,例如通过总线。应当理解,图6所示的计算设备结构框图仅仅是出于示例的目的,而不是对本说明书范围的限制。本领域技术人员可以根据需要,增添或替换其他部件。
计算设备600可以是任何类型的静止或移动计算设备,包括移动计算机或移动计算设备(例如,平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如,智能手机)、可佩戴的计算设备(例如,智能手表、智能眼镜等)或其他类型的移动设备,或者诸如台式计算机或个人计算机(PC,Personal Computer)的静止计算设备。计算设备600还可以是移动式或静止式的服务器。
其中,处理器620用于执行如下计算机可执行指令,该计算机可执行指令被处理器执行时实现上述请求处理方法的步骤。
上述为本实施例的一种计算设备的示意性方案。需要说明的是,该计算设备的技术方案与上述的请求处理方法的技术方案属于同一构思,计算设备的技术方案未详细描述的细节内容,均可以参见上述请求处理方法的技术方案的描述。
本说明书一实施例还提供一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现上述请求处理方法的步骤。
上述为本实施例的一种计算机可读存储介质的示意性方案。需要说明的是,该存储介质的技术方案与上述的请求处理方法的技术方案属于同一构思,存储介质的技术方案未详细描述的细节内容,均可以参见上述请求处理方法的技术方案的描述。
本说明书一实施例还提供一种计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行上述请求处理方法的步骤。
上述为本实施例的一种计算机程序的示意性方案。需要说明的是,该计算机程序的技术方案与上述的请求处理方法的技术方案属于同一构思,计算机程序的技术方案未详细描述的细节内容,均可以参见上述请求处理方法的技术方案的描述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
所述计算机指令包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据专利实践的要求进行适当的增减,例如在某些地区,根据专利实践,计算机可读介质不包括电载波信号和电信信号。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本说明书实施例并不受所描述的动作顺序的限制,因为依据本说明书实施例,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本说明书实施例所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书实施例的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本说明书实施例的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。
Claims (14)
1.一种请求处理方法,应用于验证服务器,包括:
接收用户终端上部署的目标应用触发的资源访问请求,其中,所述资源访问请求携带有由控制中心响应于所述用户终端的认证请求返回的授权凭证信息,和由所述控制中心响应于所述用户终端上部署的目标应用的访问请求返回的访问许可信息;
响应于所述资源访问请求获取所述用户终端的安全信息;
通过代理网关基于所述授权凭证信息和所述访问许可信息对所述资源访问请求进行访问验证,以及基于所述安全信息对所述用户终端进行风险评估;
通过所述代理网关根据验证结果和评估结果确定所述资源访问请求对应的响应策略,并按照所述响应策略处理所述资源访问请求。
2.根据权利要求1所述的方法,接收用户终端上部署的目标应用触发的资源访问请求之前,所述方法还包括:
通过控制中心响应于所述用户终端的认证请求确定所述用户终端的认证信息;
基于所述认证信息对所述用户终端进行登录验证,在登录验证通过的情况下根据所述认证信息生成所述用户终端对应的授权凭证信息。
3.根据权利要求2所述的方法,根据所述认证信息生成所述用户终端对应的授权凭证信息,包括:
根据所述认证信息确定所述用户终端对应的登录账户;
建立所述用户终端与所述登录账户之间的映射关系,并根据所述映射关系生成所述用户终端对应的授权凭证信息。
4.根据权利要求2所述的方法,根据所述认证信息生成所述用户终端对应的授权凭证信息之后,所述方法还包括:
发送访问配置信息至所述用户终端,接收所述用户终端基于所述访问配置信息上传的设备状态信息;
通过所述控制中心按照预设检测策略根据所述设备状态信息对所述用户终端进行安全检测;
通过所述控制中心在所述登录验证和所述安全检测均通过的情况下,响应于所述用户终端上部署的目标应用的访问请求,生成并发送访问许可信息至所述用户终端。
5.根据权利要求4所述的方法,通过所述控制中心按照预设检测策略根据所述设备状态信息对所述用户终端进行安全检测,包括:
通过所述控制中心按照预设检测策略根据所述设备状态信息计算所述用户终端的安全检测分值;
将所述安全检测分值与所述预设检测策略中的预设安全检测阈值进行比较,作为对所述用户终端的安全检测。
6.根据权利要求4所述的方法,响应于所述资源访问请求获取所述用户终端的安全信息之前,还包括:
通过所述控制中心确定所述用户终端对应的初始安全信息;
基于安全检测结果对所述初始安全信息进行更新,获得所述用户终端对应的安全信息。
7.根据权利要求1所述的方法,通过代理网关基于所述授权凭证信息和所述访问许可信息对所述资源访问请求进行访问验证,包括:
通过所述代理网关从所述控制中心获取所述用户终端对应的可信凭证信息和可信许可信息;
比对所述授权凭证信息和所述可信凭证信息、所述访问许可信息和可信许可信息,作为对所述资源访问请求的访问验证。
8.根据权利要求1所述的方法,基于所述安全信息对所述用户终端进行风险评估,包括:
按照预设风险评估策略根据安全信息计算所述用户终端的至少一个风险分值;
根据所述至少一个风险分值对所述用户终端进行风险事件检测,作为对所述用户终端的风险评估。
9.根据权利要求1所述的方法,通过所述代理网关根据验证结果和评估结果确定所述资源访问请求对应的响应策略,包括:
在验证结果不通过的情况下,通过所述代理网关确定所述资源访问请求对应的响应策略为访问中断策略;
在验证结果通过且评估结果不通过的情况下,通过所述代理网关确定所述资源访问请求对应的响应策略为所述访问中断策略或二次验证策略;
在验证结果和评估结果均通过的情况下,通过所述代理网关确定所述资源访问请求对应的响应策略为访问转发策略。
10.根据权利要求9所述的方法,按照所述响应策略处理所述资源访问请求,包括:
在所述响应策略为所述访问中断策略的情况下,通过所述代理网关反馈所述资源访问请求对应的访问失败信息至所述用户终端;
在所述响应策略为所述二次验证策略的情况下,通过所述代理网关按照所述二次验证策略对所述用户终端进行二次验证;
在所述响应策略为访问转发策略的情况下,通过所述代理网关转发所述资源访问请求至资源服务器,其中,所述资源服务器用于响应于所述资源访问请求发送目标资源至所述用户终端。
11.根据权利要求1所述的方法,响应于所述资源访问请求获取所述用户终端的安全信息,包括:
基于所述资源访问请求确定所述用户终端的终端标识信息;
基于所述终端标识信息获取所述用户终端的安全信息。
12.一种请求处理系统,所述系统包括用户终端、控制中心和代理网关,其中,
所述控制中心,响应于所述用户终端的认证请求发送授权凭证信息至所述用户终端,以及响应于所述用户终端上部署的目标应用的访问请求发送访问许可信息至所述用户终端;
所述用户终端,通过部署的目标应用触发初始资源访问请求,将所述授权凭证信息和访问许可信息添加至所述初始资源访问请求,获得资源访问请求并发送至所述代理网关;
所述代理网关,响应于所述资源访问请求获取所述用户终端的安全信息,基于所述授权凭证信息和所述访问许可信息对所述资源访问请求进行访问验证,以及基于所述安全信息对所述用户终端进行风险评估,根据验证结果和评估结果确定所述资源访问请求对应的响应策略,并按照所述响应策略处理所述资源访问请求。
13.一种计算设备,包括:
存储器和处理器;
所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至11任意一项所述方法的步骤。
14.一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至11任意一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311844979.6A CN117938465A (zh) | 2023-12-28 | 2023-12-28 | 请求处理方法以及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311844979.6A CN117938465A (zh) | 2023-12-28 | 2023-12-28 | 请求处理方法以及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117938465A true CN117938465A (zh) | 2024-04-26 |
Family
ID=90769515
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311844979.6A Pending CN117938465A (zh) | 2023-12-28 | 2023-12-28 | 请求处理方法以及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117938465A (zh) |
-
2023
- 2023-12-28 CN CN202311844979.6A patent/CN117938465A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11134058B1 (en) | Network traffic inspection | |
US10958662B1 (en) | Access proxy platform | |
Grammatikis et al. | Securing the Internet of Things: Challenges, threats and solutions | |
Karmakar et al. | SDN-enabled secure IoT architecture | |
Conti et al. | A survey of man in the middle attacks | |
CN112260995B (zh) | 接入认证方法、装置及服务器 | |
US11457040B1 (en) | Reverse TCP/IP stack | |
EP3574621B1 (en) | Rogue access point detection using multi-path verification | |
US20050111466A1 (en) | Method and apparatus for content based authentication for network access | |
WO2020174121A1 (en) | Inter-mobile network communication authorization | |
CN115001870B (zh) | 信息安全防护系统、方法及存储介质 | |
Patwary et al. | Authentication, access control, privacy, threats and trust management towards securing fog computing environments: A review | |
Javanmardi et al. | An SDN perspective IoT-Fog security: A survey | |
CN114697963A (zh) | 终端的身份认证方法、装置、计算机设备和存储介质 | |
Esiner et al. | Message authentication and provenance verification for industrial control systems | |
CN117938465A (zh) | 请求处理方法以及系统 | |
Narula et al. | Novel Defending and Prevention Technique for Man‐in‐the‐Middle Attacks in Cyber‐Physical Networks | |
Latah et al. | CWT-DPA: Component-wise waiting time for BC-enabled data plane authentication | |
Mutaher et al. | ZKPAUTH: an authentication scheme based zero-knowledge proof for software defined network | |
Thompson et al. | A Secured System for Internet Enabled Host Devices | |
David et al. | A framework for secure single sign-on | |
Choi | IoT (Internet of Things) based Solution Trend Identification and Analysis Research | |
US11784973B2 (en) | Edge-based enterprise network security appliance and system | |
Luna | Man-in-the–Middle Attack | |
US20240214350A1 (en) | Network traffic inspection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |