基于终端环境的访问控制方法及访问控制装置
技术领域
本发明涉及安全检测技术领域,特别涉及一种基于终端环境的访问控制方法、装置、计算机设备及计算机可读存储介质。
背景技术
现有技术中,对于网络访问控制一般是基于边界策略的。所谓基于边界的网络访问策略是指通过防火墙将内网和外网隔离开,只要拥有了内网的访问权限就认为时安全的,不再对其他项目进行安全检测。除此之外,当用户通过外网访问内网中的应用时,通过VPN开通专用隧道来访问内网。随着通信技术的不断发展,越来越多的用户利用智能终端通过连接VPN的方式访问内网中的应用业务系统。由于内网防火墙并不对智能终端采取隔离措施,因此当终端本身具有威胁时,就可能将威胁从外网传入到内网中,造成风险。因此,如何对终端进行访问控制,成为本领域技术人员亟待解决的技术问题。
发明内容
本发明的目的是提供一种基于终端环境的访问控制方法、装置、计算机设备及计算机可读存储介质,以解决现有技术中存在的问题。
为实现上述目的,本发明提供一种基于终端环境的访问控制方法,包括以下步骤:
接收客户端发送的设备标识和环境感知信息,其中,所述设备标识用于唯一标识当前运行所述客户端的终端设备,所述环境感知信息包括与所述终端设备相关的多个安全检测项目;
基于所述环境感知信息,计算并存储所述终端设备的环境评分;
将所述设备标识和所述环境评分发送给控制中心,以便所述控制中心根据所述环境评分确定所述终端设备对于应用的访问权限。
根据本发明提供的基于终端环境的访问控制方法,其中,所述接收并存储客户端发送的设备标识和环境感知信息的步骤包括:
接收所述客户端按照预设的执行频率多次发送的设备标识和环境感知信息;其中,所述预设的执行频率包括以下至少一项:开机执行、间隔执行、定时执行;
所述基于所述环境感知信息,计算所述终端设备的环境评分的步骤包括:
基于最新接收到的环境感知信息计算所述终端设备的最新环境评分;
当所述终端设备的最新环境评分与历史环境评分不同时,用所述最新环境评分替换历史环境评分。
根据本发明提供的基于终端环境的访问控制方法,其中,所述将所述设备标识信息和所述环境评分发送给控制中心,以便所述控制中心根据所述环境评分确定所述终端设备的访问权限的步骤之后,还包括:
接收所述控制中心发送的包含目标设备标识的查询请求,基于所述查询请求向所述控制中心返回与所述目标设备标识相对应的目标环境评分。
根据本发明提供的访问控制方法,其中,在所述接收并存储客户端发送的设备标识信息和环境感知信息的步骤之前,还包括:
与所述客户端进行相互认证,以确认彼此的合法性。
根据本发明提供的访问控制方法,其中,所述基于环境感知信息计算评分结果的步骤包括:
将所述环境感知信息划分为多个不同的感知项目,分别为每个感知项目设置权重值;
计算每个所述感知项目的得分,并基于每个所述感知项目的权重值计算所有感知项目的加权平均得分,以得到所述环境评分。
为实现上述目的,本发明还提供一种基于终端环境的访问控制装置,包括:
信息接收模块,适用于接收客户端发送的设备标识和环境感知信息,其中,所述设备标识用于唯一标识当前运行所述客户端的终端设备,所述环境感知信息包括与所述终端设备相关的多个安全检测项目;
评分计算模块,适用于基于所述环境感知信息,计算并存储所述终端设备的环境评分;
评分发送模块,适用于将所述设备标识和所述环境评分发送给控制中心,以便所述控制中心根据所述环境评分确定所述终端设备对于应用的访问权限。
根据本发明提供的访问控制装置,其中,还包括:
认证模块,适用于与所述客户端进行相互认证,以确认彼此的合法性。
根据本发明提供的访问控制装置,其中,还包括:
查询模块,适用于接收所述控制中心发送的包含目标设备标识的查询请求,基于所述查询请求向所述控制中心返回与所述目标设备标识相对应的目标环境评分。
为实现上述目的,本发明还提供一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
为实现上述目的,本发明还提供计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
本发明提供的基于终端环境的访问控制方法、装置、计算机设备和计算机可读存储介质,为用户通过终端访问内网中的业务系统提供了一种安全有效的控制策略,通过感知终端设备有关的环境感知信息来确认是否允许该终端设备访问业务系统。本发明通过设备标识信息来唯一确定一台终端设备,在此基础上通过环境感知信息来收集与该终端设备相关联的多个安全检测项目。本发明通过预设的评分模型来根据环境感知信息计算终端设备的评分,进而根据评分确定该终端设备是否具有访问内网中业务系统的权限。本发明收集的与终端设备相关的环境感知信息包括多种感知内容,除了传统的病毒感知、漏洞感知之外,还增加了多项个性化的感知内容,例如软件感知、USBKey感知、IE浏览器感知、授权人离席感知等,可以为不同的企业用户制定个性化的安全感知项目,从而提供更加完整全面的安全保护策略。
附图说明
图1为本发明的访问控制方法实施例一的流程图;
图2为本发明的访问控制装置实施例一的程序模块示意图;
图3为本发明的访问控制装置实施例一的硬件结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供的基于终端环境的访问控制方法、装置、计算机设备和计算机可读存储介质,为用户通过终端访问内网中的业务系统提供了一种安全有效的控制策略,通过感知终端设备有关的环境感知信息来确认是否允许该终端设备访问业务系统。本发明通过设备标识信息来唯一确定一台终端设备,在此基础上通过环境感知信息来收集与该终端设备相关联的多个安全检测项目。本发明通过预设的评分模型来根据环境感知信息计算终端设备的评分,进而根据评分确定该终端设备是否具有访问内网中业务系统的权限。本发明收集的与终端设备相关的环境感知信息包括多种感知内容,除了传统的病毒感知、漏洞感知之外,还增加了多项个性化的感知内容,例如软件感知、USBKey感知、IE浏览器感知、授权人离席感知等,可以为不同的企业用户制定个性化的安全感知项目,从而提供更加完整全面的安全保护策略。
实施例一
请参阅图1,本实施例提出一种基于终端环境的访问控制方法,适用于服务端,具体包括以下步骤:
S1:与客户端进行相互认证,以确认彼此的合法性。
本发明通过客户端和服务端来实现对于终端设备环境的感知和评分,从而供远程控制中心根据评分来确定是否允许终端设备访问内网中的业务系统。本发明中的客户端是安装在终端设备上的,通过运行本发明的客户端,可以获取到与该终端设备相关的环境感知信息。本发明的服务端独立于所述终端设备,用于接收从客户端发送的该终端设备的环境感知信息,并且对环境感知信息进行评分。
为了建立可信的通信环境,本发明在感知终端设备的环境感知信息之前,需要对客户端和服务端相互认证,以确认彼此是安全合法的。具体认证过程包括:客户端首先通过单向SSL认证来验证服务端是合法有效的,防止其它中间设备截取从客户端发出的信息;然后服务端通过下发的可信证书来认证客户端,即客户端通过私钥对可信证书进行签名之后发送给服务端,服务端通过公钥对经过签名的可信证书进行解密后验证是否正确,只有当验证正确后才允许客户端的接入。
S2:接收客户端发送的设备标识和环境感知信息,其中,所述设备标识用于唯一标识当前运行所述客户端的终端设备,所述环境感知信息包括与所述终端设备相关的多个安全检测项目。
相互认证通过后,服务端可以与客户端进行通信,接收客户端按照预设的执行频率发送的感知消息。本发明所述预设的执行频率,是指预先设置好的客户端向服务端发送感知消息的频率,例如可以设置为开机执行、按照固定间隔时间执行或者定时执行等。通过设置执行频率,可以保证客户端有规律地向服务端上报感知消息,以便服务端及时掌握最新的与终端设备相关的数据。
考虑到感知消息的时效性以及存储空间的有限,本发明中的服务端每次只存储最新接收到的感知消息。
本发明中的感知消息具体包括设备标识和环境感知信息。所述设备标识是经过加密的一系列字符串,用于唯一标识当前运行客户端的终端设备。所述环境感知信息是指与所述终端设备相关的多个安全检测项目,具体的,该环境感知信息可以包括基础安全感知信息、系统安全感知信息、系统应用感知信息、健康状态感知信息和物理状态感知信息等五大类。其中,上述基础安全感知信息包括病毒APT环境感知、系统漏洞感知等内容,上述系统安全感知包括账号锁定阈值、账户锁定时间等内容,系统应用感知包括软件感知、服务感知、注册表感知、USBKey感知等内容,健康状态感知包括IE主页、IE菜单等内容,物理状态感知包括授权人离席、多人围观等内容。
相对于现有技术中仅包含病毒感知和漏洞感知,本发明进一步增加了多种感知项目,不仅能够检测对计算机网络具有威胁的恶意信息,也能够检测对计算机网络不具有威胁的非恶意信息。上述非恶意信息可能是本身没有危险但是不被允许使用的信息,例如系统应用感知中的软件感知,用于检测某些不允许安装的软件,例如聊天软件、视频播放软件等;又例如物理状态感知中的授权人离席检测,适用于某些安全性较高不允许无人值守的岗位。本发明通过增加对非恶意信息的感知功能,提高了对终端设备环境的安全检测级别,适用于为不同的企业用户定制更加完善灵活的安全控制方案,有利于减轻企业中网络管理员的工作负担,提高管理效率。
S3:基于所述环境感知信息,计算并存储所述终端设备的环境评分。
本步骤中,服务端根据客户端发送的环境感知信息进行评分,以确定所述终端设备的整体安全情况。
计算环境评分的标准可以根据用户的不同情况区别定制。例如,当环境感知信息中包含基础安全感知信息、系统安全感知信息、系统应用感知信息、健康状态感知信息和物理状态感知信息等五个种类的感知信息时,根据不同的侧重点为这五类感知信息设置不同的权重,再分别计算得到每一类感知信息的分类得分之后,再根据每一类得到对应的权重值计算出加权平均得分,此时该加权平均得分即为所述终端设备的环境评分。
前文中提到,本发明中的客户端按照预设的执行频率向服务端发送设备标识和感知信息,服务端只保存最新接收到的设备标识和感知信息。因此本步骤中,服务端也只对最新接收到的感知信息计算环境评分。对应于同一个设备标识,当检测到新的环境评分与原有的环境评分不同时,用新的环境评分替换原有的环境评分。
S4:将所述设备标识和所述环境评分发送给控制中心,以便所述控制中心根据所述环境评分确定所述终端设备对于应用的访问权限。
本步骤中,服务端将设备标识和环境评分发送给控制中心,以便控制中心对于所述终端设备是否具有应用的访问权限进行决策。其中,所述应用的访问权限具体可包括对数据库中数据的读写、对服务接口的调用以及对业务系统的访问等内容。
实施时,当服务端每次接收到客户端发送的最新的环境感知信息时,对该最新的环境感知信息进行计算得到新的环境评分,根据该最新的环境评分是否与原有的环境评分相同来确定是否需要推送给控制中心。当所述最新的环境评分与原有的环境评分不相同时,服务端会将新的环境评分推送给控制中心,同时发送评分更新的提醒。当所述最新的环境评分与原有的环境评分相同时,服务端可以将新的环境评分推送给控制中心,也可以不将新的环境评分推送给控制中心,以节省网络资源。
在服务端将所述设备标识和所述环境评分发送给控制中心之后,控制中心会将所述设备标识和所述环境评分存储到本地,以便当终端设备请求访问内网中的业务系统时,根据该终端设备的环境评分确定该终端设备是否具有访问权限。
S5:接收所述控制中心发送的包含目标设备标识的查询请求,基于所述查询请求向所述控制中心返回与所述目标设备标识相对应的目标环境评分。
在需要的情况下,本发明的服务端可以接收控制中心发送的查询请求,根据查询请求向所述控制中心返回最新的环境评分。
本发明所述需要的情况下,指的是距离控制中心上一次存储环境评分的时间已经超过预设的时间阈值。由于服务端每次只向控制中心发送最新的环境评分,相应的,控制中心中对于特定的设备标识也只存储有一个环境评分,当服务端计算出新的环境评分与原有的环境评分不相同时,会将新的环境评分推送给控制中心,以便控制中心对原有的环境评分进行更新。
理论上来说,控制中心中存储的环境评分与服务端中存储的环境评分应当是一致的,但也不排除由于网络故障、信号时延等原因造成服务端的环境评分已更新,而控制中心存储的环境评分仍未更新的情况。因此为了获取到最准确的环境信息,控制中心会为本地保存的环境评分设置一个时间阈值,超过该时间阈值后,控制中心不再信任其本地存储的环境评分,而是向服务端发送查询请求。具体的该查询请求中包含需要查询的终端设备的目标设备标识。服务端接收到查询请求后,从查询请求中解析出该目标设备标识,并向控制中心返回与该目标设备标识相对应的目标环境评分,以便控制中心根据该目标环境评分确认终端设备的访问权限。
请继续参阅图2,示出了一种基于终端环境的访问控制装置,在本实施例中,访问控制装置10可以包括或被分割成一个或多个程序模块,一个或者多个程序模块被存储于存储介质中,并由一个或多个处理器所执行,以完成本发明,并可实现上述访问控制方法。本发明所称的程序模块是指能够完成特定功能的一系列计算机程序指令段,比程序本身更适合于描述访问控制装置10在存储介质中的执行过程。以下描述将具体介绍本实施例各程序模块的功能:
认证模块11,适用于所述服务端与所述客户端进行相互认证,以确认彼此的合法性。为了建立可信的通信环境,本发明在感知终端设备的环境感知信息之前,需要对客户端和服务端相互认证,以确认彼此是安全合法的。具体认证过程包括:客户端首先通过单向SSL认证来验证服务端是合法有效的,防止其它中间设备截取从客户端发出的信息;然后服务端通过下发的可信证书来认证客户端,即客户端通过私钥对可信证书进行签名之后发送给服务端,服务端通过公钥对经过签名的可信证书进行解密后验证是否正确,只有当验证正确后才允许客户端的接入。
信息接收模块12,适用于服务端接收客户端发送的设备标识和环境感知信息,其中,所述设备标识用于唯一标识当前运行所述客户端的终端设备,所述环境感知信息包括与所述终端设备相关的多个安全检测项目。所述设备标识是经过加密的一系列字符串,用于唯一标识当前运行客户端的终端设备。所述环境感知信息是指与所述终端设备相关的多个安全检测项目,具体的,该环境感知信息可以包括基础安全感知信息、系统安全感知信息、系统应用感知信息、健康状态感知信息和物理状态感知信息等五大类。其中,上述基础安全感知信息包括病毒APT环境感知、系统漏洞感知等内容,上述系统安全感知包括账号锁定阈值、账户锁定时间等内容,系统应用感知包括软件感知、服务感知、注册表感知、USBKey感知等内容,健康状态感知包括IE主页、IE菜单等内容,物理状态感知包括授权人离席、多人围观等内容。
评分计算模块13,适用于所述服务端基于所述环境感知信息,计算并存储所述终端设备的环境评分。计算环境评分的标准可以根据用户的不同情况区别定制。例如,当环境感知信息中包含基础安全感知信息、系统安全感知信息、系统应用感知信息、健康状态感知信息和物理状态感知信息等五个种类的感知信息时,根据不同的侧重点为这五类感知信息设置不同的权重,再分别计算得到每一类感知信息的分类得分之后,再根据每一类得到对应的权重值计算出加权平均得分,此时该加权平均得分即为所述终端设备的环境评分。
评分发送模块14,所述服务端将所述设备标识和所述环境评分发送给控制中心,以便所述控制中心根据所述环境评分确定所述终端设备对于应用的访问权限。
查询模块15,适用于所述服务端接收所述控制中心发送的包含目标设备标识的查询请求,基于所述查询请求向所述控制中心返回与所述目标设备标识相对应的目标环境评分。理论上来说,控制中心中存储的环境评分与服务端中存储的环境评分应当是一致的,但也不排除由于网络故障、信号时延等原因造成服务端的环境评分已更新,而控制中心存储的环境评分仍未更新的情况。因此为了获取到最准确的环境信息,控制中心会为本地保存的环境评分设置一个时间阈值,超过该时间阈值后,控制中心不再信任其本地存储的环境评分,而是向服务端发送查询请求以获得最新的环境评分,从而根据该最新的环境评分确认终端设备的访问权限。
本实施例还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。本实施例的计算机设备20至少包括但不限于:可通过系统总线相互通信连接的存储器21、处理器22,如图3所示。需要指出的是,图3仅示出了具有组件21-22的计算机设备20,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器21(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器21可以是计算机设备20的内部存储单元,例如该计算机设备20的硬盘或内存。在另一些实施例中,存储器21也可以是计算机设备20的外部存储设备,例如该计算机设备20上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(FlashCard)等。当然,存储器21还可以既包括计算机设备20的内部存储单元也包括其外部存储设备。本实施例中,存储器21通常用于存储安装于计算机设备20的操作系统和各类应用软件,例如实施例一的访问控制装置10的程序代码等。此外,存储器21还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器22在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器22通常用于控制计算机设备20的总体操作。本实施例中,处理器22用于运行存储器21中存储的程序代码或者处理数据,例如运行访问控制装置10,以实现实施例一的访问控制方法。
本实施例还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储访问控制装置10,被处理器执行时实现实施例一的访问控制方法。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
流程图中或在此以其它方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
本技术领域的普通技术人员可以理解,实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
