访问控制方法、装置、电子设备及介质
技术领域
本公开涉及网络安全技术领域,特别是涉及一种访问控制方法、装置、电子设备及介质。
背景技术
随着云计算、大数据、物联网等新技术的广泛应用,企业逐渐将业务迁移到云进行数据中心的建设,IT基础设施正在发生变革,使得传统的网络边界概念逐渐模糊,给企业身份认证和授权带来了新的挑战。
传统的身份认证体系往往存在如下问题:
第一,传统的网络安全防护方式采用基于网络访问控制列表(ACL)进行静态授权,静态授权模式无法对访问者行为合法性进行实时的权限管控和动态调整,难以满足最小权限原则。
第二,云计算、微服务、容器编排等技术已经随环境变化变得越来越动态和异构,传统基于四层网络控制策略的访问控制的安全实践在这种复杂性下难以扩展。
第三,企业的各应用拥有者管理方式的差异导致用户权限粒度不同,管控策略不同,从而形成各自独立“权限管控”孤岛,难以统一管控。
第四,无法防御身份伪装、权限滥用、终端多样、网络复杂等带来的安全风险。
发明内容
本公开的一个方面提供了一种访问控制方法,包括:根据访问用户的历史行为数据建立上述访问用户的第一行为基线;根据上述第一行为基线对上述访问用户进行身份认证;以及对于认证通过的访问用户,进行风险动态评估,对于存在风险的访问用户,阻断该访问用户的访问或降低访问权限。
可选地,上述第一行为基线包括上述访问用户的日常访问的操作时间段、地理位置、操作频次、使用设备中的至少一个;上述根据上述第一行为基线对上述访问用户进行身份认证,包括:判断上述访问用户当前访问的操作时间段或地理位置或使用设备或操作频次与上述第一行为基线包括的上述访问用户的日常访问的操作时间段或地理位置、或使用设备或操作频次是否一致;若一致,并且静态口令及动态口令校验成功,则身份认证通过。
可选地,在根据访问用户的历史行为数据建立上述访问用户的第一行为基线之后,上述方法还包括:感知及分析上述访问用户使用的访问终端设备的环境的安全状态;根据上述安全状态及上述第一行为基线对上述访问用户进行身份认证。
可选地,上述感知及分析上述访问用户使用的访问终端设备的环境的安全状态,包括:对上述访问终端设备进行基础安全感知;和/或对上述访问终端设备进行系统安全感知;和/或对上述访问终端设备进行应用合规感知;和/或对上述访问终端设备进行健康状况感知;其中,上述基础安全感知包括病毒APT环境感知或系统漏洞环境感知;上述系统安全感知包括登录失败限制或系统更新事件审核或账户访问控制;上述应用合规感知软件环境感知或服务环境感知;上述健康状况感知包括组策略感知。
可选地,上述第一行为基线包括上述访问用户的日常访问的操作时间段、地理位置、操作频次、使用设备中的至少一个;上述根据上述安全状态及上述第一行为基线对上述访问用户进行身份认证,包括:根据上述安全状态确定上述访问终端设备的环境是否安全;判断上述访问用户当前访问的操作时间段或地理位置或使用设备或操作频次与上述第一行为基线包括的上述访问用户的日常访问的操作时间段或地理位置、或使用设备或操作频次是否一致;若一致,上述访问终端的环境安全,并且静态口令及动态口令校验成功,则身份认证通过。
可选地,上述对于认证通过的访问用户,进行风险动态评估包括:计算上述访问用户当前访问过程的第二行为基线,其中,上述第二行为基线用于表征当前访问过程上述访问用户的访问行为;将上述第二行为基线与上述第一行为基线进行对比,若一致,则不存在访问风险,若不一致,则存在访问风险。
可选地,上述对于认证通过的访问用户,进行风险动态评估包括:计算上述访问用户当前访问过程的第二行为基线,其中,上述第二行为基线用于表征当前访问过程上述访问用户的访问行为;计算与上述访问用户同类型的访问用户当前访问过程的第三行为基线,其中,上述第三行为基线用于表征与上述访问用户同类型的访问用户的访问行为;将上述第三行为基线与上述第二行为基线进行对比,若一致,则不存在访问风险,若不一致,则存在访问风险。
可选地,上述方法还包括:向上述访问用户提供特权用户密码,以使得上述访问用户根据上述特权用户密码直接访问。
可选地,在上述根据上述第一行为基线对上述访问用户进行身份认证之后,上述方法还包括:将上述访问用户当前的访问行为与上述访问用户的历史访问行为或与上述访问用户同类型的访问用户的访问行为进行对比,以确定上述访问用户当前访问操作是否完成;若在与当前时刻对应的历史时刻,上述访问用户已完成访问操作,或者在当前时刻,与上述访问用户同类型的访问用户已完成访问操作,则认为上述访问用户当前的访问操作已经完成;若上述访问操作已经完成,但当前时刻距离开始访问的时刻的时长小于授予上述访问用户的权限的时长,向上述访问用户发送告警信息或降低访问权限或直接阻断上述访问用户的访问。
可选地,在上述根据访问用户的历史行为数据建立上述访问用户的第一行为基线之前,上述方法还包括:根据业务敏感级别对上述访问用户访问的业务进行分级;在远程接入访问过程中,上述访问用户通过不同的访问终端根据上述方法访问不同级别的业务。
可选地,上述业务敏感级别分为高敏级别、中敏级别及低敏级别;上述在远程接入访问过程中,上述访问用户通过不同的访问终端根据上述方法访问不同级别的业务,包括:对于高敏级别的业务,只允许通过远程终端登录云桌面进行访问;对于中敏级别的业务,允许通过远程终端登录云桌面或内网终端进行访问;对于低敏级别的业务,允许通过远程终端登录云桌面或内网终端或BYOD设备进行访问。本公开的另一方面提供了一种身份认证及授权访问控制装置,包括:建立模块,用于根据访问用户的历史行为数据建立上述访问用户的第一行为基线;认证模块,用于根据上述第一行为基线对上述访问用户进行身份认证;以及评估模块,对于认证通过的访问用户,进行风险动态评估,对于存在风险的访问用户,阻断该访问用户的访问或降低访问权限。
可选地,上述装置还包括:特权模块,用于向上述访问用户提供特权用户密码,以使得上述访问用户根据上述特权用户密码直接访问。
可选地,上述装置还包括:判断模块,用于根据上述访问用户当前的访问行为,判断上述访问用户的访问操作是否完成;若上述访问操作已经完成,但上述访问用户申请的权限时限未到期,向上述访问用户发送告警信息或降低访问权限或直接阻断上述访问用户的访问。
可选地,上述装置还包括:分级管理模块,用于根据业务敏感级别对上述访问用户访问的业务进行分级;在远程接入访问过程中,上述访问用户通过不同的访问终端访问不同级别的业务。
本公开的另一方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当上述一个或多个程序被上述一个或多个处理器执行时,使得上述一个或多个处理器实现上述根据本公开实施例的方法。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,上述指令在被执行时用于实现根据本公开实施例上述的方法。
本公开的另一方面提供了一种计算机程序,上述计算机程序包括计算机可执行指令,上述指令在被执行时用于实现根据本公开实施例上述的方法。
附图说明
为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
图1示意性示出了根据本公开实施例的适于访问控制方法及装置的系统架构;
图2示意性示出了根据本公开实施例的访问控制方法的流程图;
图3示意性示出了根据本公开又一个实施例的访问控制方法的流程图;
图4示意性示出了根据本公开又一个实施例的访问控制方法的流程图;
图5示意性示出了根据本公开又一个实施例的访问控制方法的流程图;
图6示意性示出了根据本公开实施例的生产运维的应用场景下应用访问控制方法的系统架构图;
图7示意性示出了根据本公开又一个实施例的访问控制方法的流程图;
图8示意性示出了根据本公开实施例的分级别访问的应用场景下应用访问控制方法的系统架构图;
图9示意性示出了根据本公开实施例的访问控制装置的框图;
图10示意性示出了根据本公开实施例的电子设备的框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。
本公开的实施例提供了一种访问控制方法以及能够应用该方法的访问控制装置。该方法例如可以包括以下操作。根据访问用户的历史行为数据建立所述访问用户的第一行为基线。根据所述第一行为基线对所述访问用户进行身份认证。对于认证通过的访问用户,进行风险动态评估,对于存在风险的访问用户,阻断该访问用户的访问或降低访问权限。
图1示意性示出了根据本公开实施例的适于访问控制方法及装置的系统架构。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据该实施例的系统架构100可以包括访问终端101、网络102、身份认证及授权服务器103以及应用服务器104。网络102用于在访问终端101与服务器身份认证及授权服务器103之间以及身份认证及授权服务器103与应用服务器104之间提供通信链路。
访问终端101例如可以是服务器,其接入身份认证及授权服务器103的方式可以是直接接入,也可以是远程接入,在远程接入时,访问终端例如可以是云桌面。网络102可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。身份认证及授权服务器103可以是提供身份认证及授权以及允许用户访问应用服务器104相关业务的服务器。
根据本公开实施例,当用户通过访问终端101登录进行访问相应的应用时,身份认证及授权服务器103获取该用户的历史行为数据,根据该行为数据建立该用户的第一行为基线,并根据第一行为基线对访问用户进行身份认证,对身份认证通过的用户授予相应的访问权限,以使用户访问相应的业务。身份认证及授权服务器103还用于在用户访问业务的过程中,对当前访问的用户进行风险动态评估,对于存在风险的访问用户,阻断该访问用户的访问或降低访问权限。当运维人员需要对应用服务器中的相应业务进行运维操作,而此时又处于生产应急(例如可以是大量用户通过访问应用服务器104进行工作)的情况下,身份认证及授权服务器103还可以直接向访问用户提供特权用户密码,以使得运维人员根据特权用户密码直接访问应用服务器104进行运维操作。身份认证及授权服务器103还可以根据访问业务的敏感级别使得用户通过不同类类型的访问终端在不同的环境下访问不同的业务。
需要说明的是,本公开实施例所提供的访问控制方法可以由身份认证及授权服务器103执行。相应地,本公开实施例所提供的身份认证及授权装置可以设置于身份认证及授权服务器103中。或者,本公开实施例所提供的检测方法也可以由不同于身份认证及授权服务器103且能够与访问终端101和/或身份认证及授权服务器103通信的服务器或服务器集群执行。相应地,本公开实施例所提供的身份认证及授权装置也可以设置于不同于身份认证及授权服务器103且能够与访问终端101和/或身份认证及授权服务器103通信的服务器或服务器集群中。
应该理解,图1中的访问终端、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的访问终端、网络和服务器。
图2示意性示出了根据本公开实施例的访问控制方法的流程图。
如图2所示,本公开实施例的防问控制方法例如可以包括操作S201~操作S203。
在操作S201,根据访问用户的历史行为数据建立访问用户的第一行为基线。
当访问用户登录通过终端进行业务访问时,需要输入相应的身份信息,例如用户名、密码或验证码等,此时便可以根据身份信息获取该用户的历史行为数据。该历史行为数据例如可以包括用户通常的操作时间、常用的地理位置、操作次数、设备使用分布等,该些数据可以用于评估用户日常访问发起的时间段、频次、经常访问的地理位置、经常采用的设备等维度。基于该些历史行为数据,便可建立该用户的第一行为基线,对于用户组来说,基于配置的用户组,对该用户组中各用户的第一行为基线相加即可构成该用户组的行为基线。
在操作S202,根据第一行为基线对访问用户进行身份认证。
由于建立的用户的第一行为基线可以很好地评估用户日常的访问行为习惯,因此,根据访问用户的第一行为基线对该访问用户进行多因素认证,可避免访问用户相互之间冒用、混用账户,保证业务数据访问的安全性。
在本公开一实施例中,采用的是口令验证结合第一行为基线进行验证的方式。具体地,由于建立的第一行为基线包括访问用户的日常访问的操作时间段、地理位置、操作频次、使用设备中的至少一个,因此,在身份认证的过程中,判断访问用户当前访问的操作时间段或地理位置或使用设备或操作频次与所述第一行为基线包括的所述访问用户的日常访问的操作时间段或地理位置、或使用设备或操作频次是否一致,若一致,并且,静态口令及动态口令校验成功,则身份认证通过。
例如,对于某银行的员工,当其采用同事的账号进行相关业务的处理时,由于其访问的设备与该账号日常访问的设备不一样,便可判定存在账号冒用的情况,该用户的访问存在风险。又例如,某员工每天登陆访问的时间是上午九点至下午六点,突然某段时间登陆时间变为晚上八点,且登陆的设备不一样,可能存在账号被盗风险。
在操作S203,对于认证通过的防问用户,进行风险动态评估,对于存在风险的访问用户,阻断该访问用户的访问或降低访问权限。
现有技术中,对于授予访问权限的用户,一般都是在预先申请的时间到期后进行访问权限回收,在用户访问的过程中无法进行动态回收。但是,在实际应用中,由于访问用户的主观或客观原因,会导致该访问过程存在风险,若此时仍旧授予当前访问用户访问业务的权限,可能造成网络安全事件,使得业务数据被盗,从而对企业造成重大经济损失。因此,需要对用户访问的过程进行动态风险评估,具体可以结合访问用户或与该访问用户同类型的用户的访问行为对访问用户持续进行风险动态评估。当发现访问的用户存在风险时(不一致),向用户发送告警或及时地阻断该访问用户的访问或降低访问权限,以保证业务数据访问的安全性。
在本公开一实施例中,对于认证通过的访问用户,进行风险动态评估包括:首先,计算访问用户当前访问过程的第二行为基线,具体地,可以根据访问用户当前访问的身份信息或设备信息或访问目标中的至少一个建立第二行为基线,也即,第二行为基线可用于表征当前访问过程访问用户的访问行为。然后,将第二行为基线与第一行为基线进行对比,若两者一致,即表明用户当前访问的行为与历史行为一致,可以判定当前时刻不存在风险。例如,某一用户通常访问业务采用的设备是第一终端,而在当前访问过程中的某一时刻或某一段时间,该用户访问业务采用的设备变成了第二终端(可能是访问过程中非法人员窃取了用户的账号在第二终端进行访问),那么分别基于第一终端与第二终端建立第一行为基线及第二行为基线就会不一致,此时有可能存在账户冒用或账户被盗的风险等,因此,此时向用户发送告警或及时地阻断该访问用户的访问或降低访问权限。在本公开一实施例中,对于认证通过的访问用户,进行风险动态评估还可以包括:首先,计算与该访问用户同类型的访问用户当前访问过程的第三行为基线,其中,第三行为基线用于表征与该访问用户同类型的访问用户的访问行为。然后,将第三行为基线与第二行为基线进行对比,若一致,则不存在访问风险,若不一致,则存在访问风险。例如,对于某行来说,生产运维的时间通常是每周五晚的七点到九点,在一次生产运维的过程中,对于一生产运维人员,在其进行生产运维的访问过程中,同时有其它运维人员也在进行同类型的生产运维,而其他运维人员在此次的运维时,在九点以前均完成了运维操作,而该运维人员在九点半还在进行运维操作,则此时基于运维时间建立的第二行为基线与第三行为不一致,此时,对于该运维人员的访问,便判定可能存在运维风险(账户冒用或账户被盗的风险等),因此,此时向用户发送告警或及时地阻断该访问用户的访问或降低访问权限。
在本公开一实施例中,动态风险评估的方法例如可以为:利用大数据分析、机器学习、偏离度算法等多项核心技术,对用户在持续访问过程中的行为安全构建信任评估模型进行持续风险评估,为动态访问控制提供信任等级评估。其中,评估模型例如可以包括用户访问行为分析模型、输入行为分析模型、对等组离群分析模型等。在建设期还可基于风险和数据进行模型扩展,结合业务安全的实际风险和安全需求,通过方法及参数的调整验证不同场景的分析效果进而确定模型。
通过本公开实施例,由于根据访问用户历史行为数据建立的行为基线对用户的身份进行多因素认证,可以避免访问用户之间冒用、混用账号等情况。并且,在访问的过程中对用户持续进行风险动态评估,可在访问存在风险时,及时阻断该访问用户的访问或降低访问权限,保证业务数据访问的安全性。
图3示意性示出了根据本公开又一个实施例的访问控制方法的流程图。
进一步地,如图3所示,上述访问控制方法例如还可以包括操作S301。
在操作S301,向访问用户提供特权用户密码,以使得访问用户根据特权用户密码直接访问。
当访问用户为运维人员时,运维人员需要对运维应用进行运维操作,一般情况下,需要尽可能保证运维操作与生产应急不冲突。现有技术中,为了克服生产应急与运维权限收紧的冲突问题,一般采用在已建立的用户身份认证和授权体系外预留可以直接访问生产服务器的“通路”,该种方式一方面增加开发成本,另一方面存在安全隐患。而在本公开一个实施例中,为运维人员设置了专门的特权用户密码,在生产应急与运维权限收紧的冲突的情况下,直接将该特权用户密码提供给运维人员,实现生产服务器特权用户登录。
通过本公开的实施例,在生产应急的情况下,为运维人员提供特权用户密码,运维人员可以依据该特权用户密码直接实现服务器特权用户登录,无需预留例外途径,从而降低了开发成本及安全隐患。
图4示意性示出了根据本公开又一个实施例的访问控制方法的流程图。
进一步地,如图4所示,在上述操作S202之后,上述访问控制方法例如还可以包括操作S401~S402。
在操作S401,根据访问用户当前的访问行为,判断访问用户的访问操作是否完成。
在访问期间,持续对用户行为进行统计分析,根据分析结果判断用户的操作是否完成,当用户操作完成但用户申请权限的时间窗口还未关闭时,则执行操作S402。
具体地,将访问用户当前的访问行为与访问用户的历史访问行为或与访问用户同类型的访问用户的访问行为进行对比,以确定访问用户当前访问操作是否完成;若在与当前时刻对应的历史时刻,访问用户已完成访问操作,或者在当前时刻,与访问用户同类型的访问用户已完成访问操作,则认为访问用户当前的访问操作已经完成。
例如,对于某行来说,生产运维的时间都是每周五晚的七点到九点。对于一运维人员而言,在以往的运维过程中,每次都是九点以前完成了运维操作,而当前进行运维时,运维的时间已超过九点,便可认为该运维人员当前的访问操作已经完成。又例如,在当前生产运维时,同时有十个运维人员进行同类型的运维操作,而在九点时,有九个运维人员申请的权限均已被收回,表明九个运维人员已完成了当前的运维操作,则便可认为剩余的一个运维人员也应完成相应的运维操作。此外,若运维认为未在规定的权限时限内完成操作,可重新进行认证申请运维权限。
当判断用户操作已完成时,但当前时刻距离开始访问的时刻的时长小于授予所述访问用户的权限的时长,则执行操作S402。
例如,运维人员在进行运维操作时,申请运维权限的时间是两小时,但在一个半小时,运维人员完成了运维操作,剩余半小时,处于空闲期。现有技术中,一般是满两小时后,再收回运维人员的访问权限,但后续的半小时,由于运维人员并没有进行相关操作,持续的开放权限会存在安全隐患。而本公开实施例可通过持续分形析运维人员的行为,判断用户是否已完成运维操作。当在一个半小时运维操作完成时,可直接向运维人员发出告警信息提醒运维人员退出访问,或直接阻断用户的访问或降低访问权限,避免了空闲期存在的安全隐患。
在操作S402,向访问用户发送告警信息或降低访问权限或直接阻断访问用户的访问。
通过本公开实施例,在用户操作已完成,而权限时限未到时,收回权限,可进一步实现权限的动态回收。
图5示意性示出了根据本公开又一个实施例的访问控制方法的流程图。
进一步地,如图5所示,在上述操作S201之后,上述访问控制方法例如还可以包括操作S501~S502。
在操作S501,感知及分析访问用户使用的访问终端设备的环境的安全状态。
在本公开一实施例中,主要感知的风险项目例如可以包括:对访问终端设备进行基础安全感知(病毒APT环境感知、系统漏洞环境感知)、对访问终端设备进行系统安全感知(登录失败限制、系统更事件审核、账户访问控制等)、对访问终端设备进行应用合规感知(软件环境感知、服务环境感知等)、对访问终端设备进行健康状况感知(组策略等)等。
在操作S502,根据安全状态及第一行为基线对访问用户进行身份认证。
此操作中,在根据历史行为数据建立的第一行为基线的基础上,进一步结合防问终端设备的安全状态进行身份认证,以进一步提高认证的强度等级。
具体的认证过程例如可以为:根据安全状态确定所述访问终端设备的环境是否安全。判断访问用户当前访问的操作时间段或地理位置或使用设备或操作频次与第一行为基线包括的访问用户的日常访问的操作时间段或地理位置、或使用设备或操作频次是否一致。若一致,并且访问终端的环境安全以及静态口令及动态口令校验成功,则身份认证通过。
相应的,对用户持续访问过程中的风险评估可以包括:利用大数据分析、机器学习、偏离度算法等多项核心技术,对用户在持续访问过程中访问终端的环境安全状态及行为安全构建信任评估模型进行持续风险评估,为动态访问控制提供信任等级评估。
通过本公开实施例,在身份认证与风险评估的过程中,在基于用户历史行为数据的基础上,结合访问终端的环境安全状态进行身份认证及风险评估,进一步提高用户访问控制的安全等级。
下面以一个具体的生产运维的应用场景,更清楚地阐述如图2~图5所示的访问控制方法。
图6示意性示出了根据本公开实施例的生产运维的应用场景下应用访问控制方法的系统架构图。
如图6所示,图1中所示的身份认证服务器103中例如可以设置可信环境感知模块、可信访问控制代理模块、特权账号访问与分析模块、特权保护模块,应用服务器104可以包括Linux服务器、Unix服务器、Windows服务器、带外设备、网络设备、主机(IBM大型机)、数据库服务器及LDAP服务器等。
可信环境感知模块可以包括客户端Agent和服务端TESS,用于感知和分析终端环境的安全状态,为可信访问控制代理模块提供风险感知结果。Agent可在PC终端云桌面终端安装,丰富终端侧环境感知、准入控制、终端信息收集等能力。
可信访问控制代理模块例如可以包括控制模块和访问代理模块。控制模块联动各逻辑模块的控制中心,提供动态访问控制和集中管理能力,为特权账号访问与分析模块提供日志等信息,能够对于高风险指令提供细粒度控制及二次授权。
访问代理模块是访问控制策略的执行点,用于运维用户/内网终端和运维业务之间的安全访问,可用于服务器的安全接入,通过可信运维代理可以完成对后端Linux服务器、Unix服务器、Windows服务器、带外设备、网络设备、主机等的运维操作,为特权账号访问与分析组件提供日志等信息。
特权账号访问与分析模块,用于提供用户异常行为检测、密码输入异常检测等功能。对于可信环境感知模块上报的风险、可信访问控制代理模块上报的访问日志及其他搜集的多源数据进行综合风险关联判定,利用大数据分析、机器学习、偏离度算法等多项核心技术,对用户在持续访问过程中的环境安全及行为安全构建信任评估模型进行持续风险评估,为动态访问控制提供信任等级评估。
特权保护模块,用于提供用户名和动态密码功能,运维人员在生产运维期间可通过调用特权保护模块提供的动态密码替换原本需要在脚本或配置文件中写入的明文用户名密码,并且周期性的对密码进行替换,防止用户名密码被泄露后带来的权限滥用问题。
基于上述架构,运维人员在进行运维操作时,通过可信访问控制代理模块访问后端被保护的运维应用。可信访问控制代理模块将与现有的口令校验、OTP(动态口令)、运维人员的历史行为数据等联动,完成用户名/账号/动态口令认证。可信访问控制代理模块将产生的运维操作和操作记录(也即用户行为)至特权账号访问与分析模块,进行持续的评估。运维人员通过可信访问控制模块提供的代理访问后端应用,进行相关运维操作。运维人员通过需要使用服务器特权用户的场景下(包括特权用户登陆服务器进行操作、需要特权用户权限进行生产应急等情况),通过可信访问控制模块调用特权保护模块获得指定服务器的特权用户权限,无需了解实际特权用户密码,以避免行业内因为应急需求而导致无法对用户收紧特权用户密码的问题。当终端可信环境感知模块检测到风险时、当特权账号防问与分析模块实施进行用户行为分析检测到风险时(例如非常用时间段登录、疑似账户冒用等),将风险感知结果报送给可信访问控制代理模块进行动态访问控制,实时、动态的根据风险,直接阻断用户的访问或降低访问权限。在访问期间,特权账号访问与分析模块将持续对用户行为进行分析,当分析模型判断用户运维操作已经完成、但用户申请权限的时间窗口还未关闭时,可提供实时告警或直接阻断用户的访问或降低访问权限。
至此,基于上述场景设置的系统架构,通过图2~图5所示的访问控制方法,使得运维人员在生产运维期间,能够根据运维人员的行为基线实时判断冒用、混用行为,产生告警并动态调整权限,实时根据运维人员行为基线进行访问判断,发现权限使用完毕、使用期间超范围使用则告警并动态调整,应急期间利用特权保护模块动态分发密钥的方式实现服务器特权用户登陆,无需例外途径。
应当理解,上述各模块的名称及设置仅仅是示例性的,并不用于限制本公开。
图7示意性示出了根据本公开又一个实施例的访问控制方法的流程图。
进一步地,在诸如金融业等实际访问应用的常规业务访问中,以通过远程接入来访问业务系统的场景最为复杂,为了保证复杂环境下访问的安全性,如图7所示,在上述操作S201之前,上述访问控制方法例如还可以包括操作S701~S702。
在操作S701,根据业务敏感级别对访问用户访问的业务进行分级。
在操作S702,在远程接入访问过程中,访问用户通过不同的访问终端利用上述图2-图5所示的访问控制方法访问不同级别的业务。
通过本公开实施例,根据不同的业务敏感级别选择不同的访问终端远程接入,可提高访问的效率及安全性。
下面以一个具体的分级别访问的应用场景,更清楚地阐述如图7所示的访问控制方法。
图8示意性示出了根据本公开实施例的分级别访问的应用场景下应用访问控制方法的系统架构图。
如图8所示,图1中所示的身份认证服务器继续沿用图6所示的模块设置,此处不再赘述。
在远程接入的场景下,根据远程接入需要访问的业务敏感度不同进行划分。基于图8所示的架构,对于不同的应用配置不同的访问控制强度:高敏级别的业务只允许采用通过行内终端通过云桌面方式进行访问,中敏级别的业务允许采用通过通过行内终端通过云桌面方式或行内终端进行认证后访问,低敏级别的业务允许通过行内终端通过云桌面方式或行内终端或BYOD设备认证后访问。
对于高敏级别的业务,具体的访问流程可以为:
远程接入人员通过远程终端登录云桌面。远程接入人员在云桌面内向可信访问控制代理模块控制发起用户/设备双重认证。认证通过后(包括用户认证、设备安全检查),远程接入人员可通过云桌面内访问高敏业务。访问流量通过可信访问控制代理模块时,可信访问控制代理模块验证该用户的访问权限,验证通过后创建用户会话。可信访问控制代理模块转发访问请求至高敏业务。可信环境感知模块持续感知远程终端、云桌面的环境风险,并实时上报终端环境数据给特权账号访问与分析模块,特权账号访问与分析模块采用大数据分析和人工智能技术,构建信任评估模型进行持续风险评估,为动态访问控制提供信任等级评估,将评估结果下发可信访问控制代理模块,进行动态的权限控制。
基于上述流程可以看出,在远程办公业务场景下,用户无法使用自己的终端直接访问其他互联网,所有访问互联网的操作均需要通过安全访问控制区(身份认证服务器103)进行持续的信任评估和权限动态调整后,在具备权限的情况下,通过远程应用区的互联网代理类应用进行互联网访问,从而提高了高敏级别业务访问的安全性。
对于中敏、低敏业务的访问流程一致,具体如下:
用户访问应用域名,DNS服务器对域名解析重定向至可信访问控制代理模块。可信访问控制代理模块检测到访问请求没有进行认证,前去可信访问控制代理台发起认证请求。可信访问控制代理模块收到认证请求,去现有的用户名/密码/OTP口令校验系统认证。可信防问控制代理模块认证完成转发请求到应用系统,完成中敏/低敏业务访问。可信环境感知模块实时感知终端环境安全风险,并将感知结果及事件上报给特权账号访问与分析模块。模块分析系统持续对访问情况和终端环境情况计算,发现异常后,动态下发权限调整指令至可信访问控制代理模块,判断当前方式是授权访问还是进行二次身份认证,或者是立即阻断,最终达到动态访问控制效果。
对于中敏业务,无需经过云桌面接入,用户通过可信环境感知模块感知风险、通过可信访问控制代理模块完成用户、口令、动态口令的校验、特权账号访问与分析模块持续动态评估,完成接入和权限的实施调整。低敏业务访问逻辑和中敏业务一致,但使用BYOD设备接入,通过可信环境感知模块感知风险、通过可信访问控制代理模块完成用户、口令、动态口令的校验、特权账号访问与分析模块持续动态评估后访问低敏业务。
图9示意性示出了根据本公开实施例的访问控制装置的框图。
如图9所示,应用于访问控制的装置900包括建立模块910、认证模块920、评估模块930、特权模块940、判断模块950及分级管理模块960。该访问控制的装置可以执行上面参考方法实施例部分描述的方法,在此不再赘述。
具体地,建立模块910,用于根据访问用户的历史行为数据建立访问用户的第一行为基线。
认证模块920,用于根据第一行为基线对访问用户进行身份认证。
评估模块930,对于认证通过的访问用户,进行风险动态评估,对于存在风险的访问用户,阻断该访问用户的访问或降低访问权限。
特权模块940,用于向访问用户提供特权用户密码,以使得访问用户根据特权用户密码直接访问。
判断模块950,用于根据访问用户当前的访问行为,判断访问用户的访问操作是否完成。若访问操作已经完成,但访问用户申请的权限时限未到期,向访问用户发送告警信息或降低访问权限或直接阻断访问用户的访问。
分级管理模块960,用于根据业务敏感级别对访问用户访问的业务进行分级,在远程接入访问过程中,访问用户通过不同的访问终端访问不同级别的业务。
需要说明的是,装置部分的实施例方式与方法部分的实施例方式对应类似,并且所达到的技术效果也对应类似,在此不再赘述。
根据本公开的实施例的模块中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,建立模块910、认证模块920、评估模块930、特权模块940、判断模块950及分级管理模块960中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块建立模块910、认证模块920、评估模块930、特权模块940、判断模块950及分级管理模块960中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,建立模块910、认证模块920、评估模块930、特权模块940、判断模块950及分级管理模块960中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图10示意性示出了根据本公开实施例的电子设备的框图。图10示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图10所示,电子设备1000包括处理器1010、计算机可读存储介质1020。该电子设备1000可以执行根据本公开实施例的方法。
具体地,处理器1010例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器1010还可以包括用于缓存用途的板载存储器。处理器1010可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
计算机可读存储介质1020,例如可以是非易失性的计算机可读存储介质,具体示例包括但不限于:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;等等。
计算机可读存储介质1020可以包括计算机程序1021,该计算机程序1021可以包括代码/计算机可执行指令,其在由处理器1010执行时使得处理器1010执行根据本公开实施例的方法或其任何变形。
计算机程序1021可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序1021中的代码可以包括一个或多个程序模块,例如包括1021A、模块1021B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器1010执行时,使得处理器1010可以执行根据本公开实施例的方法或其任何变形。
根据本公开的实施例,建立模块910、认证模块920、评估模块930、特权模块940、判断模块950及分级管理模块960中的至少一个可以实现为参考图10描述的计算机程序模块,其在被处理器1010执行时,可以实现上面描述的相应操作。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。
