一种业务数据访问方法、装置、设备及存储介质
技术领域
本申请涉及计算机技术领域,尤其涉及一种业务数据访问方法、装置、设备及存储介质。
背景技术
传统基于区域的授信控制方式是用基于用户所在的网络位置(例如,企业内网或者企业外网),对用户可以访问的业务应用进行划分信任区域,例如,在用户处于企业内网时可以允许该用户直接访问某一类业务应用对应的业务服务器。因此,由于严重依赖网络位置的边界划分,从而导致无法解决边界被突破后的安全问题。例如,某些非法人员可以非法攻击处于企业内网的用户(例如,用户1)所发送的业务访问请求,从而导致在攻击成功时,该非法人员能够轻易取代用户1,非法获取到该用户1的业务访问请求所访问的业务数据信息,容易造成该用户1所在企业的隐私数据信息的泄露,从而提高了数据泄露的安全风险,进而降低了访问的安全性。
发明内容
本申请实施例提供一种业务数据访问方法、装置、设备及存储介质,可以提高访问的安全性。
本申请实施例一方面提供一种业务数据访问方法,该方法由运行有安全管理客户端的用户终端执行,包括:
在截获到与业务应用相关联的业务访问请求时,基于安全管理客户端对应的安全管理服务器所下发的第一零信任访问策略,通过安全管理客户端确定与业务访问请求相匹配的第一校验凭证;
将第一校验凭证通过与安全管理客户端相关联的智能网关,转发至安全管理服务器,以使安全管理服务器基于第一校验凭证对应的校验辅助参数,对第一校验凭证进行合法性校验,得到合法校验结果;
在合法校验结果指示第一校验凭证具备合法性时,通过智能网关获取业务访问请求对应的业务响应结果,将业务响应结果输出至业务应用对应的应用显示界面。
本申请实施例一方面提供一种业务数据访问方法,该方法由安全管理服务器执行,包括:
通过与安全管理客户端相关联的智能网关,获取业务访问请求对应的第一校验凭证;第一校验凭证是由安全管理客户端基于安全管理服务器所下发的第一零信任访问策略所确定的;第一零信任访问策略用于指示安全管理客户端在截获到与业务应用相关联的业务访问请求时,查找与业务访问请求相匹配的第一校验凭证;
从第一校验凭证中提取与业务应用相关联的校验辅助参数;
基于校验辅助参数,对第一校验凭证进行合法性校验,得到合法校验结果,将合法校验结果返回至智能网关;
若合法校验结果指示第一校验凭证具备合法性,则通知智能网关将业务访问请求转发至业务应用对应的业务服务器,以使业务服务器将业务访问请求对应的业务响应结果输出至安全管理客户端对应的用户终端。
本申请实施例一方面提供一种业务数据访问装置,该装置运行于用户终端,包括:
匹配凭证确定模块,用于在截获到与业务应用相关联的业务访问请求时,基于安全管理客户端对应的安全管理服务器所下发的第一零信任访问策略,通过安全管理客户端确定与业务访问请求相匹配的第一校验凭证;
转发模块,用于将第一校验凭证通过与安全管理客户端相关联的智能网关,转发至安全管理服务器,以使安全管理服务器基于第一校验凭证对应的校验辅助参数,对第一校验凭证进行合法性校验,得到合法校验结果;
业务结果获取模块,用于在合法校验结果指示第一校验凭证具备合法性时,通过智能网关获取业务访问请求对应的业务响应结果,将业务响应结果输出至业务应用对应的应用显示界面。
其中,该装置还包括:
设备信息确定模块,用于在访问用户通过用户终端访问安全管理客户端时,通过安全管理客户端确定用户终端的终端设备信息;
设备信息发送模块,用于通过管理客户端的界面进程,将终端设备信息发送至安全管理服务器,以使安全管理服务器对访问用户的访问权限进行鉴权,得到鉴权结果;鉴权结果用于指示安全管理服务器在确定访问用户具备访问权限时,基于管理用户为访问用户配置的用户账户信息,为访问用户配置登录凭证;
加密存储模块,用于获取安全管理服务器返回的登录凭证以及用户账户信息,将登录凭证和用户账户信息进行加密存储。
其中,安全管理客户端包括主服务进程;
该装置还包括:
同步指令发送模块,用于在获取到用户账户信息时,基于界面进程和主服务进程,生成用于发送至安全管理服务器的策略同步指令;策略同步指令用于指示安全管理服务器生成与访问用户相关联的策略标识列表;策略标识列表中包括Y个第一标识信息;Y为正整数;
比对模块,用于接收安全管理服务器返回的策略标识列表,通过主服务进程将第一标识信息与安全管理客户端中的本地标识列表的第二标识信息进行比对,得到比对结果;比对结果中包括在策略标识列表中所确定的与第二标识信息相同的第一标识信息;
目标标识发送模块,用于在策略标识列表中获取目标标识信息,将目标标识信息发送至安全管理服务器,以使安全管理服务器获取与目标标识信息对应的第二零信任访问策略;目标标识信息为在策略标识列表中,除与第二标识信息相同的第一标识信息之外所剩余的第一标识信息;
策略返回模块,用于通过主服务进程接收安全管理服务器返回的第二零信任访问策略,将第二零信任访问策略对应的目标标识信息添加至本地标识列表,且将第二零信任访问策略通过界面进程进行显示。
其中,该同步指令发送模块包括:
拉取指令触发单元,用于在获取到用户账户信息时,通过界面进程,触发用于获取访问用户的第一零信任访问策略的策略拉取指令;
同步指令生成单元,用于将策略拉取指令传输至主服务进程,控制主服务进程响应策略拉取指令,生成用于发送至安全管理服务器的策略同步指令。
其中,安全管理客户端包括具有请求截获功能的代理组件;
该匹配凭证确定模块包括:
解析处理单元,用于在通过代理组件截获到与业务应用相关联的业务访问请求时,通过安全管理客户端对业务访问请求进行解析处理,得到业务访问请求中的访问辅助参数;访问辅助参数包括在业务应用中所录入的业务访问站点、业务应用中的访问进程以及业务访问请求的请求生成时间戳;
策略查找单元,用于基于安全管理客户端对应的安全管理服务器所下发的第一零信任访问策略,查找与业务访问站点相匹配的第一零信任访问策略;
目标节点确定单元,用于在查找到与业务访问站点相匹配的第一零信任访问策略时,通过安全管理客户端,将业务访问站点对应的缓存节点作为目标缓存节点;目标缓存节点包括Z个与业务访问站点相关联的子节点;一个子节点对应一个校验凭证,且一个校验凭证对应一个有效时长;Z为正整数;
时间间隔值确定单元,用于基于每个校验凭证分别对应的有效时长,从Z个子节点中获取第一子节点,将第一子节点对应的校验凭证确定为第一待匹配凭证,确定请求生成时间戳与第一待匹配凭证对应的存储时间戳之间的时间间隔值;
匹配凭证确定单元,用于基于时间间隔值,将与业务访问请求相匹配的第一待匹配凭证确定为第一校验凭证。
其中,第一待匹配凭证包括与存储时间戳相关联的第一阈值以及第二阈值,且第二阈值大于第一阈值;
该匹配凭证确定单元包括:
时间阈值范围确定子单元,用于确定包括第一阈值和第二阈值的时间阈值范围;
缓存数据确定子单元,用于若时间间隔值属于时间阈值范围,则对第一待匹配凭证进行解析,得到第一待匹配凭证对应的缓存数据;缓存数据包括业务缓存站点以及业务缓存站点对应的缓存进程;
删除子单元,用于在业务缓存站点与业务访问站点相同,且缓存进程与业务辅助信息中的访问进程相同时,从安全管理客户端中删除第一待匹配校验凭证;
匹配凭证确定子单元,用于将第一待匹配凭证作为与业务访问请求相匹配的第一校验凭证。
其中,匹配凭证确定单元还包括:
第一确定子单元,用于若时间间隔值不属于时间阈值范围,且时间间隔值小于第一阈值,则确定安全管理客户端未查找到与业务访问请求相匹配的第一校验凭证。
其中,匹配凭证确定单元还包括:
失效凭证删除子单元,用于若时间间隔值不属于时间阈值范围,且时间间隔值大于第二阈值,则将第一待匹配凭证确定为失效校验凭证,且删除失效校验凭证;
第二确定子单元,用于在目标缓存节点中存在第一子节点的下一子节点时,将第一子节点的下一子节点确定为第二子节点,且获取第二子节点对应的第二待匹配凭证,在第二待匹配凭证与业务访问请求相匹配时,将第二待匹配凭证确定为第一校验凭证;
第三确定子单元,用于在目标缓存节点中不存在第一子节点的下一子节点时,确定安全管理客户端未查找到与业务访问请求相匹配的第一校验凭证。
本申请一方面提供了一种计算机设备,包括:处理器、存储器、网络接口;
该处理器与存储器、网络接口相连,其中,网络接口用于提供数据通信功能,该存储器用于存储计算机程序,该处理器用于调用该计算机程序,以执行本申请实施例中上述一方面中的方法。
本申请一方面提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序包括程序指令,该程序指令当被处理器执行时,执行本申请实施例中上述一方面中的方法。
本申请一方面提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述一方面中的方法。
本申请实施例一方面提供一种业务数据访问装置,该装置运行于安全管理服务器,包括:
获取模块,用于通过与安全管理客户端相关联的智能网关,获取业务访问请求对应的第一校验凭证;第一校验凭证是由安全管理客户端基于安全管理服务器所下发的第一零信任访问策略所确定的;第一零信任访问策略用于指示安全管理客户端在截获到与业务应用相关联的业务访问请求时,查找与业务访问请求相匹配的第一校验凭证;
参数提取模块,用于从第一校验凭证中提取与业务应用相关联的校验辅助参数;
合法性校验模块,用于基于校验辅助参数,对第一校验凭证进行合法性校验,得到合法校验结果,将合法校验结果返回至智能网关;
业务请求转发模块,用于若合法校验结果指示第一校验凭证具备合法性,则通知智能网关将业务访问请求转发至业务应用对应的业务服务器,以使业务服务器将业务访问请求对应的业务响应结果输出至安全管理客户端对应的用户终端。
其中,该装置还包括:
设备信息获取模块,用于在访问用户通过用户终端访问安全管理客户端时,获取通过安全管理客户端中的界面进程发送的用户终端的终端设备信息;
鉴权模块,用于基于终端设备信息,对访问用户的访问权限进行鉴权,得到鉴权结果;
登录凭证配置模块,用于在鉴权结果指示访问用户具备访问权限时,获取管理用户为访问用户配置的用户账户信息,基于用户账户信息为访问用户配置登录凭证;
发送模块,用于将登录凭证与用户账户信息发送至用户终端,以使用户终端通过安全管理客户端将登录凭证和用户账户信息进行加密存储;用户账户信息用于指示用户终端通过安全管理客户端获取访问用户对应的第一零信任访问策略。
其中,业务访问请求中包括访问辅助参数;访问辅助参数包括在业务应用中所录入的业务访问站点;
该装置还包括:
凭证申请请求获取模块,用于当安全管理客户端基于第一零信任访问策略未查找到与业务访问请求相匹配的第一校验凭证时,获取安全管理客户端发送用于申请第二校验凭证的凭证申请请求;凭证申请请求包括登录凭证以及业务应用中的访问进程对应的访问进程特征;
校验凭证配置模块,用于基于登录凭证以及访问进程特征,为安全管理客户端配置与访问进程相关联的X个校验凭证;X为正整数;每个校验凭证均包括彼此互不交叠的时间阈值范围;
校验凭证返回模块,用于将X个校验凭证返回至安全管理客户端,以使安全管理客户端基于X个校验凭证中的时间阈值范围以及存储X个校验凭证的存储时间戳,确定X个校验凭证分别对应的有效时长,且将每个有效时长对应的校验凭证缓存至业务访问站点的缓存节点中。
本申请一方面提供了一种计算机设备,包括:处理器、存储器、网络接口;
该处理器与存储器、网络接口相连,其中,网络接口用于提供数据通信功能,该存储器用于存储计算机程序,该处理器用于调用该计算机程序,以执行本申请实施例中上述一方面中的方法。
本申请一方面提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序包括程序指令,该程序指令当被处理器执行时,执行本申请实施例中上述一方面中的方法。
本申请一方面提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述一方面中的方法。
在本申请实施例中,运行有安全管理客户端(例如,iOA客户端)的用户终端可以截获与业务应用相关联的业务访问请求,进而可以在截获到该业务访问请求时,基于安全管理客户端对应的安全管理服务器(例如,iOA后台服务器)所下发的第一零信任访问策略,通过安全管理客户端确定与业务访问请求相匹配的第一校验凭证。这里的第一零信任访问策略可以为该安全管理客户端对应的管理用户所配置的。进一步地,该用户终端可以将第一校验凭证,通过与安全管理客户端相关联的智能网关转发至安全管理服务器,以使安全管理服务器可以基于第一校验凭证对应的校验辅助参数,对第一校验凭证进行合法性校验,得到合法校验结果。应当理解,在合法校验结果指示第一校验凭证具备合法性时,该安全管理服务器可以通知智能网关,获取业务访问请求对应的业务响应结果,此时,该用户终端可以通过该智能网关将业务响应结果输出至业务应用对应的应用显示界面。由此可见,由于本申请实施例中的安全管理客户端可以默认所有业务访问请求均不被信任,所以业务访问请求无法直接获取业务响应结果,而是需要通过安全管理服务器的合法性校验。可以理解的是,当用户终端发起业务访问请求时,可以通过安全管理客户端获取与业务访问请求相匹配的第一校验凭证,使得安全管理服务器对第一校验凭证进行合法性校验,得到合法校验结果。在合法校验结果指示第一校验凭证具备合法性时,允许业务访问请求通过智能网关获取业务响应结果,从而提高了访问的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种网络架构的结构示意图;
图2是本申请实施例提供的一种进行数据交互的场景示意图;
图3是本申请实施例提供的一种业务数据访问方法的流程示意图;
图4是本申请实施例提供的一种访问用户访问安全管理客户端的时序图;
图5是本申请实施例提供的一种管理用户配置零信任访问策略的场景示意图;
图6a是本申请实施例提供的一种访问用户访问安全管理客户端的场景示意图;
图6b是本申请实施例提供的一种访问用户查看零信任访问策略的场景示意图;
图7是本申请实施例提供的一种用户终端通过安全管理客户端确定第一校验凭证的流程示意图;
图8是本申请实施例提供的一种业务数据访问方法的流程示意图;
图9是本申请实施例提供的一种业务数据访问方法的时序图;
图10是本申请实施例提供的一种业务数据访问装置的结构示意图;
图11是本申请实施例提供的一种计算机设备的示意图;
图12是本申请实施例提供的一种业务数据访问装置的结构示意图;
图13是本申请实施例提供的一种计算机设备的示意图;
图14是本申请实施例提供的一种数据处理系统的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
其中,本申请实施例中的业务数据访问方法可以基于云技术,对本申请实施例所提及的与业务访问请求相匹配的校验凭证(即第一校验凭证)进行合法性校验,得到合法性校验结果。在合法性校验结果指示该第一校验凭证具备合法性时,可以通过智能网关从业务应用对应的业务服务器中,获取该业务访问请求对应的业务响应结果,适用于云技术中的云安全领域。
其中,云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。云技术(Cloudtechnology)基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。
其中,云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
应当理解,云安全主要研究方向包括:
1、云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;
2、安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;
3、云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
请参见图1,图1是本申请实施例提供的一种网络架构的结构示意图。如图1所示,该网络架构可以包括服务器100、管理用户终端300和用户终端集群。该用户终端集群可以包括一个或者多个用户终端,这里将不对用户终端的数量进行限制。该用户终端集群具体可以包括用户终端200a、用户终端200b、用户终端200c、…、用户终端200n。如图1所示,用户终端200a、用户终端200b、用户终端200c、…、用户终端200n可以分别与上述服务器100进行网络连接,以便于每个用户终端可以通过该网络连接与服务器100进行数据交互。
其中,该用户终端集群每个用户终端均可以包括:智能手机、平板电脑、笔记本电脑、桌上型电脑、可穿戴设备、智能家居、头戴设备等具有业务数据访问功能的智能终端。应当理解,如图1所示的用户终端集群中的每个用户终端均可以安装有业务应用以及目标应用(即安全管理客户端,例如,iOA客户端),当该安全管理客户端运行于各用户终端中时,可以分别与上述图1所示的服务器100之间进行数据交互。这里的安全管理客户端可以包括用有请求截获功能的代理组件。
这里的业务应用(即业务应用客户端)可以为社交客户端,办公客户端、检索客户端(例如,浏览器客户端)、多媒体客户端(例如,视频客户端)、娱乐客户端(例如,游戏客户端)、教育客户端、直播客户端、新闻客户端、购物客户端(例如,电商客户端)等应用客户端。其中,这里的业务应用(即可信应用)是指安全管理客户端对应的管理用户通过图1所示的管理用户终端300所授信的可以访问内部业务系统的应用载体,包括应用名,应用MD5(一种信息摘要算法),签名信息等。
这里的管理用户终端300均可以包括:智能手机、平板电脑、笔记本电脑、桌上型电脑、可穿戴设备、智能家居、头戴设备等具有业务数据访问功能的智能终端。该管理用户终端300可以运行有该安全管理客户端。可以理解的是,本申请实施例可以将在该管理用户终端300中,通过用户账号1访问该安全管理客户端的用户称之为管理用户(例如,用户a)。此时,该管理用户终端300可以通过该安全管理客户端与服务器100之间实现数据交互。这里的管理用户可以通过该管理用户终端300,创建用于访问该安全管理客户端的用户账号,以及根据该用户账号对应的用户账户信息配置零信任访问策略(例如,第一零信任访问策略)。
如图1所示,本申请实施例中的服务器100可以为该安全管理客户端对应的服务器,即安全管理服务器(例如,iOA后台服务器)。该服务器100可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。
可以理解的是,本申请实施例可以将通过管理用户所创建的用户账号(例如,用户账号2)访问该安全管理客户端的用户称之为访问用户(例如,用户b)。本申请实施例可以在图1所示的用户终端集群中任意选择一个用户终端作为访问用户对应的目标用户终端。例如,本申请实施例可以将图1所示的用户终端200a作为目标用户终端。此时,该目标用户终端可以通过该安全管理客户端与服务器100之间实现数据交互。
应当理解,本申请实施例提供的业务数据访问方法可以基于该安全管理客户端,打破了传统基于区域的授信控制方式,采用基于可信身份(Trusted identity)、可信设备(Trusted device)、可信应用(Trusted application)和可信链路(Trusted link)的“4T原则”授予访问权限,并强制所有访问都必须经过认证、授权和加密,真正实践了“零信任”设计理念,从而可以有效保障无论访问用户位于何处、何时使用何设备都可安全访问访问用户所在企业的数据信息,进而可以提高部署的灵活性以及访问用户的访问体验,以提升企业办公的整体安全性。
其中,在可信身份方面,该安全管理客户端可以适配不同企业的身份认证方式,支持企业微信扫码、LDAP认证、HTTP认证、本地身份、域身份等多种验证方式;在可信设备方面,该安全管理客户端可以支持自定义合规基准线和全面的安全防护能力,包括病毒查杀、漏洞修复、系统安全加固、合规检测、数据保护和威胁响应等;在可信应用方面,该安全管理客户端可以允许白名单内的授信应用访问授权业务,发现恶意进程即拦截访问;在可信链路方面,通过前置可信访问网关(即智能网关),隐藏业务应用对应的业务服务器,强制所有访问都必须经过认证、授权和加密,同时结合自研的长短连接方式及全球网络加速服务,解决跨境跨运管商访问卡顿或迟缓的问题,保障链路安全及稳定。本申请实施例中的智能网关可以为在网络层以上实现网络互连,是复杂的网络互连设备(即计算机设备),该计算机设备可以为用户终端,也可以为服务器,还可以为基站等,在此不做限定。
应当理解,本申请实施例的业务数据访问方法可以校验通过传输控制协议(Transmission Control Protocol,简称TCP)传输的业务访问请求,可选的,该方法也可以校验通过用户数据报协议(User Datagram Protocol,简称UDP)传输的业务访问请求。
其中,TCP协议可以串行控制,在用户终端(例如,电脑终端)的Windows操作系统中,可以通过驱动层获取进程和连接,也可以通过虚拟网卡获取进程和连接,并可以对零信任访问策略进行控制;在用户终端(例如,电脑终端)的Mac操作系统中,可以通过系统白名单应用的机制,做隧道的限制;在用户终端(例如,智能手机)中,Android Vpnservice扩展接口(一种虚拟网卡的扩展接口)可以用于添加提供网络流量转发服务的白名单的扩展逻辑。Ios操作系统和macos操作系统中的应用白名单机制,可以用于指示系统描述文件配置白名单应用。
其中,Udp协议的可信进程管理可以通过异步控制。应当理解,Windows操作系统可以异步获取到业务访问请求,异步根据零信任访问策略进行阻断警告。首先,在确定访问用户具备可信身份,且访问用户所使用的目标用户终端的操作系统合法时,可以将该业务访问请求进行转发,然后通过该操作系统运行的安全管理客户端,监控该业务访问请求中的访问进程,在访问进程与零信任访问策略不匹配时,可以警告访问用户或者管理用户,再对该业务访问请求进行自动化审计或者人工审计。其他操作系统的Udp协议的可信进程管理,可以通过系统提供的配置服务来控制,例如,macos操作系统和ios操作系统可以通过系统配置描述文件配置白名单应用。Android vpnservice扩展接口(一种虚拟网卡的扩展接口)可以用于添加提供网络流量转发服务的白名单的控制逻辑。
为便于理解,进一步地,请参见图2,图2是本申请实施例提供的一种进行数据交互的场景示意图。如图2所示,本申请实施例中的用户终端20A可以为访问用户(例如,用户b)对应的用户终端,该用户终端20A可以运行有安全管理客户端,该用户终端20A可以为上述图1所示的用户终端集群中的任意一个用户终端,例如,用户终端200a。图2所示的智能网关20B可以为与该安全管理客户端相关联的网络互连设备。图2所示的安全管理服务器20C可以为该安全管理客户端对应的服务器,该安全管理服务器20C可以为上述图1所示的服务器100。图2所示的业务服务器20D可以为该用户b所访问的业务应用对应的业务服务器。
应当理解,本申请实施例中的用户b可以通过该安全管理客户端的管理用户(例如,用户a)所创建的用户账号(例如,用户账号2),访问该用户终端20A所运行的安全管理客户端。此时,用户终端20A可以确定用户终端20A的终端设备信息,进而可以将终端设备信息发送至安全管理服务器20C,以使安全管理服务器20C对用户b的访问权限进行鉴权,在确定用户b具备访问权限时,可以将为用户b所配置的登录凭证以及用户b的用户账户信息返回至用户终端20A,以使用户终端20A对登录凭证和用户账户信息进行加密存储。在用户终端20A接收到用户账户信息时,可以基于用户账户信息,生成用于发送至安全管理服务器20C的策略同步指令,进而可以使得安全管理服务器20C可以下发与用户b相关联的零信任访问策略。这里的零信任访问策略可以为安全管理客户端的管理用户为用户b所配置的。
应当理解,该用户b可以针对该用户终端20A中所运行的业务应用执行触发操作,从而使得该用户终端20A可以生成与该业务应用(例如,检索应用)相关联的业务访问请求。其中,这里的触发操作可以包括点击、长按等接触性操作,也可以包括语音、手势等非接触性操作,在此不做限定。例如,该业务访问请求可以为与该检索应用(例如,浏览器A)相关联的业务访问请求,换言之,该业务访问请求可以为该用户b在通过浏览器A检索某一业务访问站点时所生成的。
此时,该用户终端20A可以基于该安全管理客户端中的代理组件,截获到该业务访问请求。在截获到与业务应用相关联的业务访问请求时,该用户终端20A可以基于该安全管理服务器20C所下发的第一零信任访问策略,通过该安全管理客户端确定与该业务访问请求相匹配的第一校验凭证。这里的第一零信任访问策略是指管理用户在管理用户终端,以访问用户(例如,用户b)为粒度,为该用户b所配置的零信任策略。
进一步地,该用户终端20A可以将该业务访问请求与该第一校验凭证发送至图2所示的智能网关20B。应当理解,该智能网关可以将接收到的业务访问请求以及第一校验凭证转发至该安全管理服务器20C。此时,该安全管理服务器20C可以从第一校验凭证中提取到与该业务应用相关联的校验辅助参数。这里的校验辅助参数可以包括该第一校验凭证的最大使用次数、有效时长以及错误码。这里的最大使用次数是指该代理组件在有效时长内可以使用的最大次数。这里的错误码可以用于标识该第一校验凭证的使用状态,例如,在数值为0时可以用于标识该第一校验凭证的使用状态为可使用状态,在数值为非零值时,可以用于标识该第一校验凭证的使用状态为不可用状态。该有效时长是基于该第一校验凭证中的存储时间戳以及该第一校验凭证的时间阈值范围(即包括第一阈值和第二阈值的阈值范围)所确定的。这里的存储时间戳可以用unix epoch时间戳进行表示,其中,unix epoch时间戳表示从1970年1月1日0时0分0秒起到现在的秒数。例如,2020年8月19日,12:00:00这一时间戳可以表示为1597809600秒。
例如,若该第一校验凭证中的存储时间戳为1597809600秒(即2020年8月19日,12:00:00),该第一校验凭证的时间阈值范围为[3600秒-7200秒],则该第一校验凭证的有效时长可以为2020年8月19日,13:00:00-14:00:00。
应当理解,该安全管理服务器20C可以基于该校验辅助参数,对该第一校验凭证进行合法性校验,得到合法校验结果。若该合法校验结果指示该第一校验凭证不具备合法性,则该安全管理服务器20C可以通知该智能网关20B中断该业务访问请求,从而使得该用户b无法访问该业务服务器20D,进而无法获取到该业务应用中的数据信息。可以理解的是,该安全管理服务器20C还可以基于第一校验凭证的错误码,生成与错误码对应的异常提示通知,以通过该智能网关20B将该异常提示通知返回至该用户终端20A。例如,该异常提示通知可以为“无法访问此网站。”
若该合法校验结果指示该第一校验凭证具备合法性时,则该安全管理服务器20B可以通过该智能网关,向该业务服务器20D转发获取该业务访问请求,进而可以使得该业务服务器20B确定该业务访问请求对应的业务响应结果。此时,该业务服务器20D可以将该业务响应结果返回至该智能网关20B,从而使得该智能网关20B将该业务响应结果返回至该用户终端20A。进一步地,该用户终端20A可以将该业务响应结果输出至该业务应用对应的应用显示界面。
由此可见,该用户终端20A可以通过安全管理客户端截获与业务应用相关联的业务访问请求,从而可以确定所截获到的业务访问请求的第一校验凭证。进一步地,用户终端20A可以将第一校验凭证通过智能网关20B发送至安全管理服务器20C,以使安全管理服务器20C进行合法性校验。在校验成功时,安全管理服务器20C可以允许该业务访问请求,通过智能网关20B转发至业务服务器20D,在校验失败时,安全管理服务器20C可以通过智能网关20B中断该业务访问请求,拒绝访问该业务服务器20D,从而可以降低数据泄露的安全风险,进而可以提高访问的安全性。
其中,运行有安全管理客户端的用户终端将获取到的与业务访问请求相匹配的第一校验凭证,通过智能网关发送至安全管理服务器,以使安全管理服务器对第一校验凭证进行合法性校验,得到合法校验结果,在合法校验结果指示第一校验凭证具备合法性时,支持该业务访问请求访问业务服务器的具体实现方式可以参见下述图3-图9所对应的实施例。
进一步地,请参见图3,图3是本申请实施例提供的一种业务数据访问方法的流程示意图。如图3所示,该方法可以由运行有安全管理客户端的用户终端执行。该用户终端可以为上述图1所示的用户终端集群中的任意一个用户终端,例如,用户终端200a。该方法至少可以包括以下步骤S101-步骤S103:
步骤S101,在截获到与业务应用相关联的业务访问请求时,基于安全管理客户端对应的安全管理服务器所下发的第一零信任访问策略,通过安全管理客户端确定与业务访问请求相匹配的第一校验凭证。
具体地,该用户终端对应的访问用户可以为通过该安全管理客户端的管理用户(例如,用户a)所创建的用户账号(例如,用户账号2),访问该安全管理客户端的用户(例如,用户b)。应当理解,在该访问用户针对业务应用执行触发操作时,该用户终端可以响应该触发操作,生成与业务应用相关联的业务访问请求。此时,该安全管理客户端中的代理组件可以截获该业务访问请求,进而该用户终端可以基于安全管理客户端对应的安全管理服务器所下发的第一零信任访问策略,通过安全管理客户端确定与业务访问请求相匹配的第一校验凭证。
为便于理解,进一步地,请参见图4,图4是本申请实施例提供的一种访问用户访问安全管理客户端的时序图。如图4所示,本申请实施例中的用户终端可以为访问用户(例如,用户b)对应的用户终端,该用户终端可以运行有安全管理客户端,该用户终端可以为上述图1所示的用户终端集群中的任意一个用户终端,例如,用户终端200a。图4所示的安全管理服务器可以为该安全管理客户端对应的服务器,该安全管理服务器可以为上述图1所示的服务器100。
其中,该安全管理客户端(例如,iOA客户端)可以支持企业微信扫码、LDAP认证、HTTP认证、本地身份、域身份、TOKEN等多种验证方式确定访问该管理客户端的访问用户的可信身份。应当理解,在访问用户通过该用户终端访问该安全管理客户端的过程中,安全管理服务器可以将与该访问用户绑定的零信任访问策略推送到该安全管理客户端,实现以访问用户为粒度的策略控制,进而提升访问的安全性。
可以理解的是,该安全管理客户端可以包括界面进程和主服务进程。例如,该界面进程可以为iOAGUI界面进程,该主服务进程可以为iOAEnt主服务进程。其中,在访问用户通过该用户终端访问该安全管理客户端时,该用户终端可以确定该用户终端的终端设备信息。这里的终端设备信息可以为设备标识信息(例如,deviceid)以及机器信息。其中,该机器信息可以包括系统操作系统类型,操作系统版本号等。
进一步地,该用户终端可以执行图4所示的步骤S410,通过该界面进程,将该终端设备信息提交至该安全管理服务器,以使该安全管理服务器执行步骤S411,对该访问用户的访问权限进行鉴权,从而可以得到鉴权结果。其中,这里的鉴权结果可以用于指示该安全管理服务器在确定该访问用户具备访问权限时,获取该安全管理客户端的管理用户为该访问用户配置的用户账户信息,进而可以基于该用户账户信息为该访问用户配置登录凭证。这里的用户账户信息可以包括访问用户的用户标识信息(例如,用户ID)以及用户姓名(例如,中文名)。进一步地,安全管理服务器可以执行步骤S412,将该登录凭证以及该用户账户信息返回至该用户终端。此时,该用户终端可以执行步骤S413,将接收到的登录凭证以及该用户账户信息进行加密存储。
在获取到该用户账户信息时,该用户终端基于该界面进程和该主服务进程,生成用于发送至该安全管理服务器的策略同步指令。其中,该策略同步指令可以用于指示该安全管理服务器生成与该访问用户相关联的策略标识列表。其中,该策略标识列表中包括Y个第一标识信息;Y可以为正整数。可以理解的是,在获取到该用户账户信息时,用户终端可以通过该界面进程,触发用于获取该访问用户的第一零信任访问策略的策略拉取指令,进而可以执行步骤S414,将该策略拉取指令传输至该主服务进程,控制该主服务进程响应该策略拉取指令,生成策略同步指令。此时,用户终端可以执行步骤S415,将该策略同步指令发送至安全管理服务器。
进一步地,安全管理服务器可以执行步骤S416,基于该策略同步指令,获取管理用户为该访问用户所配置的Y个第一零信任访问策略,进而可以基于获取到的这Y个第一零信任访问策略,生成策略标识列表。此时,该安全管理服务器可以执行步骤S417,将该策略标识列表返回至用户终端。应当理解,该用户终端可以执行步骤S418,通过该主服务进程,将该第一标识信息与该安全管理客户端中的本地标识列表的第二标识信息进行比对,得到比对结果。其中,该比对结果中可以包括在该策略标识列表中所确定的与该第二标识信息相同的第一标识信息。
该用户终端可以在该策略标识列表中获取目标标识信息,进而执行步骤S419,将该目标标识信息发送至该安全管理服务器,以使该安全管理服务器获取与该目标标识信息对应的第二零信任访问策略。其中,该目标标识信息可以为在该策略标识列表中,除与该第二标识信息相同的第一标识信息之外所剩余的第一标识信息。进一步地,该安全管理服务器可以执行步骤S420,将第二零信任访问策略返回至该用户终端。此时,该用户终端将该第二零信任访问策略对应的该目标标识信息添加至该本地标识列表,进而可以执行步骤S421,将该第二零信任访问策略通过该界面进程进行显示。
其中,为便于理解,请参见表1,表1是本申请实施例提供的一种安全管理服务器所生成的策略标识列表。
表1
应当理解,本申请实施例中的策略标识列表可以包括Y个第一标识信息,其中,Y可以为正整数。如上述表1所示,本申请实施例中的可以以Y=5为例,具体可以包括零信任访问策略1对应的标识信息1、零信任访问策略2对应的标识信息2、零信任访问策略3对应的标识信息3、零信任访问策略4对应的标识信息4以及零信任访问策略5对应的标识信息5。
为便于理解,请参见表2,表2是本申请实施例提供的一种安全管理客户端所存储的本地标识列表。
表2
如表2所示,本申请实施例的本地标识列表中可以包括多个第二标识信息,本申请实施例可以以2个为例,具体可以包括零信任访问策略1对应的标识信息1以及零信任访问策略2对应的标识信息2。
应当理解,若访问用户为首次访问安全管理客户端的用户,则该访问用户对应的用户终端所运行的安全管理客户端中还未生成本地标识列表。此时,该用户终端将上述表1所示的策略标识列表中的第一标识信息全部作为目标标识信息(例如,标识信息1、标识信息2、标识信息3、标识信息4以及标识信息5),进而将该目标标识信息发送至安全管理服务器,以使该安全管理服务器可以获取该目标标识信息对应的第二零信任访问策略,例如,标识信息1对应的零信任访问策略1、标识信息2对应的零信任访问策略2、标识信息3对应的零信任访问策略3、标识信息4对应的零信任访问策略4以及标识信息5对应的零信任访问策略5。进一步地,安全管理服务器可以将这5个第二零信任访问策略返回至用户终端,以使该用户终端可以基于这5个第二零信任访问策略对应的目标标识信息生成本地标识列表。
若访问用户对应的用户终端所运行的安全管理客户端中的本地标识列表如上述表2所示,则该用户终端可以通过主服务进程将表1的第一标识信息与表2的第二标识信息进行比对,从而可以得到比对结果,即比对结果可以包括与第二标识信息相同的第一标识信息:标识信息1和标识信息2。此时,该用户终端可以在表1中,获取到除标识信息1和标识信息2之外所剩余的第一标识信息,即标识信息3、标识信息4以及标识信息5。此时,该用户终端可以将这3个标识信息确定为目标标识信息,进而将该目标标识信息发送至安全管理服务器,以使该安全管理服务器可以获取该目标标识信息对应的第二零信任访问策略,例如,标识信息3对应的零信任访问策略3、标识信息4对应的零信任访问策略4以及标识信息5对应的零信任访问策略5。进一步地,安全管理服务器可以将这3个第二零信任访问策略返回至用户终端。此时,该用户终端可以将这3个第二零信任访问策略对应的目标标识信息添加至上述表2所示的本地标识列表,进而可以将这3个零信任访问策略通过界面进程进行显示。
为便于理解,进一步地,请参见图5,图5是本申请实施例提供的一种管理用户配置零信任访问策略的场景示意图。如图5所示,本申请实施例对应的用户a可以为安全管理客户端对应的管理用户,该用户a对应的用户终端可以称之为管理用户终端,该管理用户终端可以为上述图1所示的管理用户终端300。
如图5所示,本申请实施例中的终端界面500可以为管理用户终端所运行的安全管理客户端(例如,iOA客户端)对应的终端界面。其中,该终端界面500中可以包括控件1、控件2以及控件3。其中,控件1(例如,“启用零信任办公”控件)可以用于控制零信任无边界办公功能的开启与关闭;控件2(例如,“策略管理”控件)可以用于指示零信任访问策略(例如,第一零信任访问策略)的配置;控件3(例如,“保存设置”控件)可以用于指示保存相关设置。
应当理解,该用户a可以在该终端界面500中,针对控件1执行触发操作,从而可以控制零信任无边界办公功能的开启,进而可以针对控件3执行触发操作,以保存本次开启零信任无边界办公功能的设置。进一步地,用户a可以针对该终端界面500中的控件2执行触发操作(例如,点击操作),以使该管理用户终端可以响应该触发操作,从终端界面500切换至图5所示的终端界面510。
进一步地,终端界面510中可以显示该管理用户所创建的多个用户账号,该用户账号可以为个人用户账号,也可以为群组用户账号,在此不做限定。可以理解的是,该用户a可以在终端界面510的区域1中,配置与可信应用相关联的零信任访问策略,当然,该用户a还可以在终端界面510的区域2中,配置与业务系统相关联的零信任访问策略。在终端界面510中配置结束后,用户a可以针对该终端界面510中的控件4执行触发操作,以保存本次所配置的零信任访问策略。
进一步地,请参见图6a,图6a是本申请实施例提供的一种访问用户访问安全管理客户端的场景示意图。如图6a所示,本申请实施例中的用户b可以为访问安全管理客户端的访问用户,该用户b对应的用户终端可以上述图1所示的用户终端集群中的任意一个用户终端,例如,用户终端200a。
应当理解,该用户b可以针对该用户终端中的安全管理客户端执行触发操作,从而使得该用户终端可以响应该触发操作,输出该安全管理客户端对应的终端界面(例如,图6a所示的终端界面600)。此时,该用户b可以通过账户登录或者扫码登录的方式,访问该安全管理客户端。在访问成功时,用户终端可以获取该安全管理客户端对应的管理用户通过管理用户终端针对用户b的用户账户信息,所下发的第一零信任访问策略,将用户终端的显示界面由终端界面600可以切换至该终端界面610。如图6a所示,该终端界面610中可以包括控件1。其中,控件1(例如,“办公安全实时防护中”控件)可以用于显示该管理用户所配置的第一零信任访问策略中的防护策略
可以理解的是,用户b可以针对终端界面610中的控件1执行触发操作,从而使得该用户终端可以响应该触发操作,输出独立于该终端界面610的子界面(例如,图6a所示的子界面620)。其中,该子界面620可以为叠加在该终端界面610上的界面,且该子界面620的尺寸小于该终端界面610的尺寸。其中,该子界面610可以显示管理用户所配置的第一零信任访问策略中的防护策略,例如,应用入口防护和系统底层防护。其中,应用入口防护可以包括桌面图标防护、摄像头防护、U盘防护、文件下载防护、网页防火墙。系统底层防护可以包括文件系统防护、注册表防护、进程防护、驱动防护以及黑客入侵防护。
进一步地,请参见图6b,图6b是本申请实施例提供的一种访问用户查看零信任访问策略的场景示意图。如图6b所示,本申请实施例中的用户b可以为访问安全管理客户端的访问用户,该用户b对应的用户终端可以上述图1所示的用户终端集群中的任意一个用户终端,例如,用户终端200a。
如图6b所示,本申请实施例中的终端界面630可以为上述图6a所示的终端界面610,该终端界面630中可以包括控件2。其中,控件2(例如,“可信软件已配置”控件)可以用于显示该管理用户所配置的第一零信任访问策略中的应用策略。
应当理解,用户b可以针对终端界面630中的控件2执行触发操作,从而使得该用户终端可以响应该触发操作,输出独立于该终端界面630的子界面(例如,图6b所示的子界面640)。其中,该子界面640可以为叠加在该终端界面630上的界面,且该子界面640的尺寸小于该终端界面630的尺寸。其中,该子界面640可以显示管理用户所配置的第一零信任访问策略中的应用策略,例如,可信软件和拦截软件。其中,可信软件(即可信应用)可以包括应用类别以及业务应用,比如,应用类别为搜索应用时,业务应用可以为浏览器1(例如,QQ浏览器)、浏览器2(例如,Chrome浏览器)以及浏览器3(例如,IE浏览器)。
进一步地,请参见图7,图7是本申请实施例提供的一种用户终端通过安全管理客户端确定第一校验凭证的流程示意图。如图7所示,本申请实施例中的具有请求截获功能的代理组件,可以获取到该安全管理客户端的管理用户为该代理组件所配置的配置信息。其中,该配置信息可以包括智能网关地址、白名单以及直连名单。该白名单中的业务站点可以为可信应用所访问的业务站点;该直连名单中的业务站点可以为不需要合法性校验,能够直接访问的业务站点。
在该用户终端通过该代理组件,截获到与业务应用相关联的业务访问请求时,可以通过该安全管理客户端对该业务访问请求进行解析处理,从而得到该业务访问请求中的访问辅助参数。其中,该访问辅助参数可以包括在该业务应用中所录入的业务访问站点、该业务应用中的访问进程以及该业务访问请求的请求生成时间戳。
进一步地,该用户终端可以基于该安全管理客户端对应的安全管理服务器所下发的第一零信任访问策略,查找与该业务访问站点相匹配的第一零信任访问策略。在未查找到与该业务访问站点相匹配的第一零信任访问策略时,若该业务访问站点属于该直连名单中的业务站点,则该用户终端可以直接将该业务访问请求,发送至业务应用对应的业务服务器。若该业务访问站点不属于该直连名单中的业务站点,则该用户终端可以中断该业务访问请求。
在查找到与该业务访问站点相匹配的第一零信任访问策略时(即匹配成功时),该用户终端可以通过该安全管理客户端,将该业务访问站点对应的缓存节点作为目标缓存节点。进一步地,该用户终端可以通过安全管理客户端确定该目标缓解节点的缓存是否为空,即确定该目标缓存节点所包括的与业务访问站点相关联的子节点数量是否为零。若目标缓解节点的缓存为空,则删除该目标缓存节点,进而可以确定该安全管理客户端的查找结果指示查找失败,换言之,该安全管理客户端未查找到与业务访问请求相匹配的第一校验凭证。
若目标缓解节点的缓存不为空,即该目标缓存节点可以包括Z个与该业务访问站点相关联的子节点,则用户终端可以基于每个校验凭证分别对应的有效时长,从Z个子节点中获取第一子节点。其中,一个子节点可以对应一个校验凭证,且一个校验凭证可以对应一个有效时长;这里的Z可以为正整数。
例如,该目标缓存节点可以包括3个子节点,具体可以包括子节点1、子节点2以及子节点3。其中,子节点1对应的校验凭证1的有效时长可以为2020年8月19日的13:00:00-13:30:00,子节点2对应的校验凭证2的有效时长可以为2020年8月19日的14:30:00-15:30:00,子节点3对应的校验凭证3的有效时长可以为2020年8月19日的15:00:00-17:00:00。此时,用户终端可以基于获取子节点1作为第一子节点。
进一步地,该用户终端可以将该第一子节点对应的校验凭证确定为第一待匹配凭证,进而可以确定该请求生成时间戳与该第一待匹配凭证对应的存储时间戳之间的时间间隔值。应当理解,该用户终端可以基于该时间间隔值,将与该业务访问请求相匹配的第一待匹配凭证确定为第一校验凭证。例如,本申请实施例所确定的第一待匹配凭证可以为该子节点1对应的校验凭证1,该校验凭证1对应的存储时间戳可以为1597809600秒,即2020年8月19日,12:00:00。时间阈值范围为[3600秒-5400秒]。其中,该校验凭证1的第一阈值可以为3600秒,该校验凭证1的第二阈值可以为5400秒。
其中,可以理解的是,若该时间间隔值属于该时间阈值范围,则该用户终端可以对该第一待匹配凭证进行解析,得到该第一待匹配凭证对应的缓存数据;其中,该缓存数据可以包括业务缓存站点以及该业务缓存站点对应的缓存进程。在该业务缓存站点与该目标站点信息相同,且该缓存进程与该业务辅助信息中的访问进程相同时,用户终端可以从该安全管理客户端中删除该第一待匹配校验凭证,进而可以将该第一待匹配凭证作为与该业务访问请求相匹配的第一校验凭证。
应当理解,本申请实施例中的每个校验凭证的缓存数据均可以通过Key-value分布式存储,其中,每个子节点对应的校验凭证的缓存类型均可以为内存缓存,用map结构存储,其中,key可以为:业务缓存站点(即请求url信息)和缓存进程md5,格式为:"目标域名(IP):端口";value可以为:申请校验凭证时,业务缓存站点是与key对应的业务缓存站点的服务器响应信息。其中,为便于理解,请参见表3,表3是本申请实施例提供的一种校验凭证的缓存参数表。
表3
如上述表3所示,参数url可以为STRING类型,格式:"目标域名(IP):端口";参数ticket是指校验凭证;参数validstartoffset是指校验凭证可重复使用的时间段(代表与存储时间戳之间的差值区间)闭区间左段,例如,0(单位:秒);参数validendoffset是指校验凭证可重复使用的时间段(代表与存储时间戳之间的差值区间)闭区间右段,例如1800(单位:秒),表示30分钟;参数effect_cnt是指校验凭证可缓存的有效次数(发送给代理组件缓存);参数errcode是指错误码,可以标识校验凭证是否可用,可用的情况下该值为0;参数startTime是指存储时间戳,类型为Unix epoch时间戳(代表了从标准世界时1970年1月1日0时0分0秒起到现在的总秒数)。
例如,若业务访问请求的请求生成时间戳为1597813800秒,即2020年8月19日,13:10:00,则该安全管理客户端可以确定该请求生成时间戳与校验凭证1的存储时间戳(例如,1597809600秒)的时间间隔值为4200秒。该用户终端可以通过安全管理客户端,确定该时间间隔值属于该校验凭证1的时间阈值范围(例如,[3600秒-5400秒]),此时,则该用户终端可以对该校验凭证1进行解析,得到该校验凭证1对应的缓存数据;其中,该缓存数据可以包括业务缓存站点以及该业务缓存站点对应的缓存进程。在该业务缓存站点与该业务访问站点相同,且该缓存进程与该业务辅助信息中的访问进程相同时,用户终端可以从该安全管理客户端中删除该校验凭证1,进而可以将该校验凭证1作为与该业务访问请求相匹配的第一校验凭证。
若该时间间隔值不属于该时间阈值范围,且该时间间隔值小于该第一阈值,则该用户终端可以确定该安全管理客户端的查找结果指示查找失败,换言之,该安全管理客户端未查找到与业务访问请求相匹配的第一校验凭证。
例如,若业务访问请求的请求生成时间戳为1597811400秒,即2020年8月19日,12:30:00,则该安全管理客户端可以确定该请求生成时间戳与校验凭证1的存储时间戳(例如,1597809600秒)的时间间隔值为1800秒。该用户终端可以通过安全管理客户端确定该时间间隔值不属于校验凭证1的时间阈值范围(例如,[3600秒-5400秒]),且该时间间隔值小于该第一阈值(例如,3600秒),此时,该用户终端可以确定该安全管理客户端未查找到与该业务访问请求相匹配的第一校验凭证。
若该时间间隔值不属于该时间阈值范围,且该时间间隔值大于该第二阈值,则该用户终端可以将该第一待匹配凭证确定为失效校验凭证,且删除该失效校验凭证。例如,若业务访问请求的请求生成时间戳为1597816800秒,即2020年8月19日,14:00:00,则该安全管理客户端可以确定该请求生成时间戳与校验凭证1的存储时间戳(例如,1597809600秒)的时间间隔值为7200秒。该用户终端可以通过安全管理客户端确定该时间间隔值不属于校验凭证1的时间阈值范围(例如,[3600秒-5400秒]),且该时间间隔值大于该第二阈值(例如,5400秒),此时,该用户终端可以将该校验凭证1确定为失效校验凭证,且删除该失效校验凭证对应的子节点(例如,子节点1)。
进一步地,该用户终端可以确定该目标缓存节点是否存在第一子节点的下一节点。在该目标缓存节点中不存在该第一子节点的下一子节点时,该用户终端可以确定该安全管理客户端未查找到与该业务访问请求相匹配的第一校验凭证。在该目标缓存节点中存在该第一子节点的下一子节点(例如,子节点2)时,该用户终端可以将该第一子节点的下一子节点确定为第二子节点,且获取该第二子节点对应的第二待匹配凭证(例如,校验凭证2),在该第二待匹配凭证与该业务访问请求相匹配时,将该第二待匹配凭证确定为第一校验凭证。其中,第二待匹配凭证与业务访问请求的匹配过程可以参见上述第一待匹配凭证与业务访问请求的匹配过程,在此将不再继续进行赘述。
如图7所示,当该安全管理客户端的查找结果指示查找失败时,即该安全管理客户端基于该第一零信任访问策略,未查找到与该业务访问请求相匹配的第一校验凭证时,该用户终端可以通过该安全管理客户端,生成用于申请第二校验凭证的凭证申请请求。其中,该凭证申请请求可以包括该登录凭证以及该业务应用中的访问进程对应的访问进程特征。这里的访问进程特征是由安全管理客户端所采集到的访问进程对应的访问进程特征,其中,该访问进程特征可以包括进程md5,数字签名信息、路径、版权信息以及进程名称等。
进一步地,该用户终端可以将该凭证申请请求发送至安全管理服务器,此时,为了降低网络延时,有效缓解分布式部署环境中安全管理服务器的请求压力,该安全管理服务器可以基于该登录凭证以及该访问进程特征,为该安全管理客户端配置与该访问进程相关联的X个校验凭证;这里的X可以为正整数;每个校验凭证均可以包括彼此互不交叠的时间阈值范围。此时,该安全管理服务器可以将该X个校验凭证返回至该安全管理客户端,以使该安全管理客户端基于该X个校验凭证中的时间阈值范围以及该X个校验凭证的存储时间戳,确定该X个校验凭证分别对应的有效时长,且将每个有效时长对应的校验凭证缓存至该业务访问站点的缓存节点中,以查找与业务访问请求相匹配的第一校验凭证。
由此可见,在本申请实施例中,通过安全管理客户端中的代理组件,可以截获在该用户终端所发起的业务访问请求,进而可以以访问用户作为粒度,基于与访问用户相关联的第一零信任访问策略,通过安全管理客户端确定与业务访问请求相匹配的第一检验凭证,无需关注访问用户的访问位置、访问时间、所使用的用户终端,后续通过安全管理服务器对第一校验凭证进行合法性校验,以控制访问用户能否访问到业务服务器,从而提高了部署灵活性,进而提高了访问的安全性。
步骤S102,将第一校验凭证通过与安全管理客户端相关联的智能网关,转发至安全管理服务器,以使安全管理服务器基于第一校验凭证对应的校验辅助参数,对第一校验凭证进行合法性校验,得到合法校验结果。
具体地,用户终端可以通过与安全管理客户端相关联的智能网关,将第一校验凭证转发至安全管理服务器。此时,该安全管理服务器可以从第一校验凭证中,提取与业务应用相关联的校验辅助参数。这里的校验辅助参数可以包括该第一校验凭证的最大使用次数、有效时长以及错误码。进一步地,该安全管理服务器可以基于校验辅助参数,对第一校验凭证进行合法性校验,从而可以得到合法校验结果,并且可以将合法校验结果返回至智能网关。
应当理解,安全管理服务器可以从第一校验凭证中,提取与业务应用相关联的校验辅助参数,基于校验辅助参数对该业务访问请求进行合法性校验。例如,该安全管理服务器可以校验该第一校验凭证是否有格式缺失等格式化错误。若第一校验凭证具有格式化错误时,则通知智能网关向用户终端返回参数错误的异常提示通知;若第一校验凭证不具有格式化错误时,则该安全管理服务器可以对该第一校验凭证的有效性进行检测,即检测第一校验凭证是否在有效时长内,是否超过最大使用次数;若检测结果确定第一校验凭证无效,则该安全管理服务器可以通知智能网关向用户终端返回校验凭证失效的异常提示通知。若检测结果确定第一校验凭证有效,则该安全管理服务器可以的合法校验结果可以指示第一校验凭证均具备合法性。
由此可见,本申请实施例中的安全管理服务器可以对与业务访问请求相匹配的第一校验凭证进行合法性校验,得到合法校验结果,该合法校验结果可以指示确定第一校验凭证的合法性,若合法校验结果指示第一校验凭证不具备合法性,安全管理服务器可以基于校验失败的原因,通知智能网关中断业务访问请求,且生成用于向用户终端发送的异常提示通知,以通知该访问用户访问业务服务器失败的原因,从而可以提升该访问用户的访问体验。
步骤S103,在合法校验结果指示第一校验凭证具备合法性时,通过智能网关获取业务访问请求对应的业务响应结果,将业务响应结果输出至业务应用对应的应用显示界面。
应当理解,在合法校验结果指示第一校验凭证具备合法性时,该安全管理服务器可以通知该智能网关将该业务访问请求转发至该业务应用对应的业务服务器。此时,该业务服务器可以获取到该业务访问请求对应的业务响应结果,进而可以将该业务响应结果发送至智能网关,以使该智能网关将该业务响应结果返回至该用户终端。该用户终端在接收到该业务响应结果时,可以将该业务响应结果输出至业务应用对应的应用显示界面。
由此可见,在合法校验结果指示第一校验凭证具备合法性时,安全管理服务器可以允许业务访问请求通过智能网关发送至业务服务器,进而使得该用户终端能够访问该业务服务器,获取业务访问请求对应的业务响应结果,从而提高了访问的安全性。
进一步地,请参见图8,图8是本申请实施例提供的一种业务数据访问方法的流程示意图。如图8所示,该方法可以由运行有安全管理客户端的用户终端、与该安全管理客户端相关联的智能网关、该安全管理客户端对应的安全管理服务器以及业务应用对应的业务服务器共同执行,该用户终端可以为上述图1所示的用户终端集群中的任意一个用户终端,例如,用户终端200a。该安全管理服务器可以为上述图1所示的服务器100。该方法至少可以包括以下步骤S201-步骤S213:
步骤S201,用户终端运行的安全管理客户端的代理组件,向安全管理客户端发送配置信息获取指令;
步骤S202,用户终端通过安全管理客户端向代理组件返回与配置信息获取指令相关联的配置信息;
步骤S203,在代理组件截获到用户终端发送的与业务应用相关联的业务访问请求时,用户终端将业务访问请求发送至安全管理客户端,以使安全管理客户端基于安全管理客户端对应的安全管理服务器所下发的第一零信任访问策略,查找与业务访问请求相匹配的第一校验凭证;
步骤S204,在安全管理客户端基于第一零信任访问策略,未查找到与业务访问请求相匹配的第一校验凭证时,用户终端向安全管理服务器发送凭证申请请求;
步骤S205,安全管理服务器基于凭证申请请求中的登录凭证以及业务应用中的访问进程对应的访问进程特征,为安全管理客户端配置与访问进程相关联的X个校验凭证,将X个校验凭证返回至安全管理客户端;
步骤S206,用户终端通过安全管理客户端从返回的X个校验凭证,获取与业务访问请求相匹配的第一校验凭证;
步骤S207,用户终端通过代理组件将第一校验凭证发送至智能网关;
步骤S208,智能网关将第一校验凭证转发至安全管理服务器;
步骤S209,安全管理服务器基于从第一校验凭证中所提取到的与业务应用相关联的校验辅助参数,对第一校验凭证进行合法性校验,得到合法校验结果;
步骤S210,安全管理服务器将合法校验结果返回至智能网关;
步骤S211,在合法校验结果指示第一校验凭证具备合法性时,智能网关将业务访问请求转发至业务应用对应的业务服务器,以使业务服务器获取业务访问请求对应的业务响应结果;
步骤S212,业务服务器将业务访问请求对应的业务响应结果返回至智能网关;
步骤S213,智能网关将业务响应结果返回至用户终端,以使用户终端基于安全管理客户端将业务响应结果输出至业务应用对应的应用显示界面。
其中,该步骤S201-步骤S213的具体实施方式可参见上述图3所对应实施例中对步骤S101-步骤S103的描述,这里将不再赘述。
进一步地,请参见图9,图9是本申请实施例提供的一种业务数据访问方法的时序图。如图9所示,本申请实施例中的用户终端可以为访问用户对应的用户终端,该用户终端可以运行有安全管理客户端,该安全管理客户端可以包括具有请求截获功能的代理组件,该用户终端可以为上述图1所示的用户终端集群中的任意一个用户终端,例如,用户终端200a。图9所示的智能网关可以为与该安全管理客户端相关联的智能网关,图9所示的安全管理服务器可以为该安全管理客户端对应的服务器,该安全管理服务器可以为上述图1所示的服务器100。图9所示的业务服务器可以为业务应用对应的业务服务器。
用户终端可以通过安全管理客户端执行步骤S910,向安全管理服务器提交用户终端的终端设备信息,此时,安全管理服务器可以执行步骤S911对访问用户的用户权限进行鉴权,并在鉴权成功时,可以执行步骤S912,将为访问用户配置的登录凭证以及获取的用户账户信息返回至用户终端。在用户终端获取到用户账户信息时,可以执行步骤S913,根据用户账户信息向安全管理服务器发送策略同步指令,以使安全管理服务器可以执行步骤S914,获取目标标识信息对应的第二零信任访问策略,进而使得安全管理服务器可以执行步骤S915,将第二零信任访问策略返回至用户终端。
其中,本申请实施例中的步骤S910-步骤S912所对应的访问流程以及步骤S913-S915所对应的策略同步流程的具体实施方式可以参见上述图4所对应实施例中对步骤S410-步骤S421的描述,在此不再继续进行赘述。
用户终端可以通过代理组件执行步骤S916,向安全管理客户端发送配置信息获取指令,进而使得安全管理客户端可以在获取到配置信息时,执行步骤S917,返回配置信息。应当理解,用户终端可以通过代理组件执行步骤S918,将截获到的业务访问请求发送至安全管理客户端。在安全管理客户端未查找到与业务访问请求相匹配的第一校验凭证时,可以执行步骤S919,向安全管理服务器发送凭证申请请求,进而使得该安全管理服务器可以执行步骤S920返回X个校验凭证。进一步地,该用户终端可以通过安全管理客户端执行步骤S921,返回与业务访问请求相匹配的第一校验凭证。该用户终端可以通过代理组件执行步骤S922,将第一校验凭证发送至智能网关,以使智能网关执行步骤S923,将第一校验凭证转发至安全管理服务器。进一步地,安全管理服务器可以执行步骤S924,对第一校验凭证进行合法性校验,得到合法校验结果,进而可以执行步骤S925,将合法校验结果发送至智能网关。在合法校验结果指示第一校验凭证具备合法性时,智能网关可以执行步骤S926,将业务访问请求转发至业务服务器,以使业务服务器执行步骤S927,返回业务访问请求对应的业务响应结果。进一步地,智能网关可以执行步骤S928,将业务响应结果返回至用户终端。
本申请实施例中的步骤S916-步骤S928所对应的代理访问流程可以参见上述图4所对应实施例中对步骤S201-步骤S213的描述,在此不再继续进行赘述。
进一步地,请参见图10,图10是本申请实施例提供的一种业务数据访问装置的结构示意图。该业务数据访问装置1可以是运行于计算机设备中的一个计算机程序(包括程序代码),例如,该业务数据访问装置1为一个应用软件;该业务数据访问装置1可以用于执行本申请实施例提供的方法中的相应步骤。如图10所示,该业务数据访问装置1可以运行于图2所示的用户终端20A。该业务数据访问装置1可以包括:匹配凭证确定模块11,转发模块12,业务结果获取模块13,设备信息确定模块14,设备信息发送模块15,加密存储模块16,同步指令发送模块17,比对模块18,目标标识发送模块19和策略返回模块20。
该匹配凭证确定模块11,用于在截获到与业务应用相关联的业务访问请求时,基于安全管理客户端对应的安全管理服务器所下发的第一零信任访问策略,通过安全管理客户端确定与业务访问请求相匹配的第一校验凭证。
其中,安全管理客户端包括具有请求截获功能的代理组件;
该匹配凭证确定模块11包括:解析处理单元111,策略查找单元112,目标节点确定单元113,时间间隔值确定单元114和匹配凭证确定单元115。
该解析处理单元111,用于在通过代理组件截获到与业务应用相关联的业务访问请求时,通过安全管理客户端对业务访问请求进行解析处理,得到业务访问请求中的访问辅助参数;访问辅助参数包括在业务应用中所录入的业务访问站点、业务应用中的访问进程以及业务访问请求的请求生成时间戳;
该策略查找单元112,用于基于安全管理客户端对应的安全管理服务器所下发的第一零信任访问策略,查找与业务访问站点相匹配的第一零信任访问策略;
该目标节点确定单元113,用于在查找到与业务访问站点相匹配的第一零信任访问策略时,通过安全管理客户端,将业务访问站点对应的缓存节点作为目标缓存节点;目标缓存节点包括Z个与业务访问站点相关联的子节点;一个子节点对应一个校验凭证,且一个校验凭证对应一个有效时长;Z为正整数;
该时间间隔值确定单元114,用于基于每个校验凭证分别对应的有效时长,从Z个子节点中获取第一子节点,将第一子节点对应的校验凭证确定为第一待匹配凭证,确定请求生成时间戳与第一待匹配凭证对应的存储时间戳之间的时间间隔值;
该匹配凭证确定单元115,用于基于时间间隔值,将与业务访问请求相匹配的第一待匹配凭证确定为第一校验凭证。
其中,第一待匹配凭证包括与存储时间戳相关联的第一阈值以及第二阈值,且第二阈值大于第一阈值;
该匹配凭证确定单元115包括:时间阈值范围确定子单元1151,缓存数据确定子单元1152,删除子单元1153,匹配凭证确定子单元1154,第一确定子单元1155,失效凭证删除子单元1156,第二确定子单元1157和第三确定子单元1158。
该时间阈值范围确定子单元1151,用于确定包括第一阈值和第二阈值的时间阈值范围;
该缓存数据确定子单元1152,用于若时间间隔值属于时间阈值范围,则对第一待匹配凭证进行解析,得到第一待匹配凭证对应的缓存数据;缓存数据包括业务缓存站点以及业务缓存站点对应的缓存进程;
该删除子单元1153,用于在业务缓存站点与业务访问站点相同,且缓存进程与业务辅助信息中的访问进程相同时,从安全管理客户端中删除第一待匹配校验凭证;
该匹配凭证确定子单元1154,用于将第一待匹配凭证作为与业务访问请求相匹配的第一校验凭证。
该第一确定子单元1155,用于若时间间隔值不属于时间阈值范围,且时间间隔值小于第一阈值,则确定安全管理客户端未查找到与业务访问请求相匹配的第一校验凭证。
该失效凭证删除子单元1156,用于若时间间隔值不属于时间阈值范围,且时间间隔值大于第二阈值,则将第一待匹配凭证确定为失效校验凭证,且删除失效校验凭证;
该第二确定子单元1157,用于在目标缓存节点中存在第一子节点的下一子节点时,将第一子节点的下一子节点确定为第二子节点,且获取第二子节点对应的第二待匹配凭证,在第二待匹配凭证与业务访问请求相匹配时,将第二待匹配凭证确定为第一校验凭证;
该第三确定子单元1158,用于在目标缓存节点中不存在第一子节点的下一子节点时,确定安全管理客户端未查找到与业务访问请求相匹配的第一校验凭证。
其中,该时间阈值范围确定子单元1151,缓存数据确定子单元1152,删除子单元1153,匹配凭证确定子单元1154,第一确定子单元1155,失效凭证删除子单元1156,第二确定子单元1157和第三确定子单元1158的具体实现方式可以参见上述图7所对应实施例中对业务访问请求匹配第一校验凭证的描述,这里将不再继续进行赘述。
其中,该解析处理单元111,策略查找单元112,目标节点确定单元113,时间间隔值确定单元114和匹配凭证确定单元115的具体实现方式可以参见上述图3所对应实施例中对步骤S101的描述,这里将不再继续进行赘述。
该转发模块12,用于将第一校验凭证通过与安全管理客户端相关联的智能网关,转发至安全管理服务器,以使安全管理服务器基于第一校验凭证对应的校验辅助参数,对第一校验凭证进行合法性校验,得到合法校验结果;
该业务结果获取模块13,用于在合法校验结果指示第一校验凭证具备合法性时,通过智能网关获取业务访问请求对应的业务响应结果,将业务响应结果输出至业务应用对应的应用显示界面。
该设备信息确定模块14,用于在访问用户通过用户终端访问安全管理客户端时,通过安全管理客户端确定用户终端的终端设备信息;
该设备信息发送模块15,用于通过管理客户端的界面进程,将终端设备信息发送至安全管理服务器,以使安全管理服务器对访问用户的访问权限进行鉴权,得到鉴权结果;鉴权结果用于指示安全管理服务器在确定访问用户具备访问权限时,基于管理用户为访问用户配置的用户账户信息,为访问用户配置登录凭证;
该加密存储模块16,用于获取安全管理服务器返回的登录凭证以及用户账户信息,将登录凭证和用户账户信息进行加密存储。
其中,安全管理客户端包括主服务进程;
该同步指令发送模块17,用于在获取到用户账户信息时,基于界面进程和主服务进程,生成用于发送至安全管理服务器的策略同步指令;策略同步指令用于指示安全管理服务器生成与访问用户相关联的策略标识列表;策略标识列表中包括Y个第一标识信息;Y为正整数。
其中,该同步指令发送模块17包括:拉取指令触发单元171和同步指令生成单元172。
该拉取指令触发单元171,用于在获取到用户账户信息时,通过界面进程,触发用于获取访问用户的第一零信任访问策略的策略拉取指令;
该同步指令生成单元172,用于将策略拉取指令传输至主服务进程,控制主服务进程响应策略拉取指令,生成用于发送至安全管理服务器的策略同步指令。
其中,该拉取指令触发单元171和同步指令生成单元172的具体实现方式可以参见上述图4所对应实施例中对步骤S414-步骤S415的描述,这里将不再继续进行赘述。
该比对模块18,用于接收安全管理服务器返回的策略标识列表,通过主服务进程将第一标识信息与安全管理客户端中的本地标识列表的第二标识信息进行比对,得到比对结果;比对结果中包括在策略标识列表中所确定的与第二标识信息相同的第一标识信息;
该目标标识发送模块19,用于在策略标识列表中获取目标标识信息,将目标标识信息发送至安全管理服务器,以使安全管理服务器获取与目标标识信息对应的第二零信任访问策略;目标标识信息为在策略标识列表中,除与第二标识信息相同的第一标识信息之外所剩余的第一标识信息;
该策略返回模块20,用于通过主服务进程接收安全管理服务器返回的第二零信任访问策略,将第二零信任访问策略对应的目标标识信息添加至本地标识列表,且将第二零信任访问策略通过界面进程进行显示。
其中,该匹配凭证确定模块11,转发模块12,业务结果获取模块13,设备信息确定模块14,设备信息发送模块15,加密存储模块16,同步指令发送模块17,比对模块18,目标标识发送模块19和策略返回模块20的具体实现方式可以参见上述图3所对应实施例中对步骤S101-步骤S103的描述,这里将不再继续进行赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。
进一步地,请参见图11,图11是本申请实施例提供的一种计算机设备的示意图。如图11所示,该计算机设备1000可以为上述图2对应实施例中的用户终端20A,该计算机设备1000可以包括:至少一个处理器1001,例如CPU,至少一个网络接口1004,用户接口1003,存储器1005,至少一个通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。其中,用户接口1003可以包括显示屏(Display)、键盘(Keyboard),网络接口1004可选地可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器1005可选地还可以是至少一个位于远离前述处理器1001的存储装置。如图11所示,作为一种计算机存储介质的存储器1005可以包括操作系统、网络通信模块、用户接口模块以及设备控制应用程序。
在图11所示的计算机设备1000中,网络接口1004主要用于与智能网关和安全管理客户端对应的安全管理服务器进行网络通信;而用户接口1003主要用于为用户提供输入的接口;而处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现:
在截获到与业务应用相关联的业务访问请求时,基于安全管理客户端对应的安全管理服务器所下发的第一零信任访问策略,通过安全管理客户端确定与业务访问请求相匹配的第一校验凭证;
将第一校验凭证通过与安全管理客户端相关联的智能网关,转发至安全管理服务器,以使安全管理服务器基于第一校验凭证对应的校验辅助参数,对第一校验凭证进行合法性校验,得到合法校验结果;
在合法校验结果指示第一校验凭证具备合法性时,通过智能网关获取业务访问请求对应的业务响应结果,将业务响应结果输出至业务应用对应的应用显示界面。
应当理解,本申请实施例中所描述的计算机设备1000可执行前文图3和图8所对应实施例中对该业务数据访问方法的描述,也可执行前文图10所对应实施例中对该业务数据访问装置1的描述,在此不再赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。
此外,这里需要指出的是:本申请实施例还提供了一种计算机可读存储介质,且该计算机可读存储介质中存储有前文提及的业务数据访问装置1所执行的计算机程序,且该计算机程序包括程序指令,当该处理器执行该程序指令时,能够执行前文图3或者图8所对应实施例中对该业务数据访问方法的描述,因此,这里将不再进行赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本申请所涉及的计算机可读存储介质实施例中未披露的技术细节,请参照本申请方法实施例的描述。作为示例,程序指令可被部署为在一个计算设备上执行,或者在位于一个地点的多个计算设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算设备上执行,分布在多个地点且通过通信网络互连的多个计算设备可以组成区块链系统。
本申请一方面提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备可执行前文图3或者图8所对应实施例中对业务数据访问方法的描述,在此不再赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。
进一步地,请参见图12,图12是本申请实施例提供的一种业务数据访问装置的结构示意图。该业务数据访问装置2可以是运行于计算机设备中的一个计算机程序(包括程序代码),例如,该业务数据访问装置2为一个应用软件;该业务数据访问装置2可以用于执行本申请实施例提供的方法中的相应步骤。如图12所示,该业务数据访问装置2可以运行于图2所示的安全管理服务器20C。该业务数据访问装置2可以包括:获取模块1000,参数提取模块1100,合法性校验模块1200,业务请求转发模块1300,设备信息获取模块1400,鉴权模块1500,登录凭证配置模块1600,发送模块1700,凭证申请请求获取模块1800,校验凭证配置模块1900和校验凭证返回模块2000。
该获取模块1000,用于通过与安全管理客户端相关联的智能网关,获取业务访问请求对应的第一校验凭证;第一校验凭证是由安全管理客户端基于安全管理服务器所下发的第一零信任访问策略所确定的;第一零信任访问策略用于指示安全管理客户端在截获到与业务应用相关联的业务访问请求时,查找与业务访问请求相匹配的第一校验凭证;
该参数提取模块1100,用于从第一校验凭证中提取与业务应用相关联的校验辅助参数;
该合法性校验模块1200,用于基于校验辅助参数,对第一校验凭证进行合法性校验,得到合法校验结果,将合法校验结果返回至智能网关;
该业务请求转发模块1300,用于若合法校验结果指示第一校验凭证具备合法性,则通知智能网关将业务访问请求转发至业务应用对应的业务服务器,以使业务服务器将业务访问请求对应的业务响应结果输出至安全管理客户端对应的用户终端。
该设备信息获取模块1400,用于在访问用户通过用户终端访问安全管理客户端时,获取通过安全管理客户端中的界面进程发送的用户终端的终端设备信息;
该鉴权模块1500,用于基于终端设备信息,对访问用户的访问权限进行鉴权,得到鉴权结果;
该登录凭证配置模块1600,用于在鉴权结果指示访问用户具备访问权限时,获取管理用户为访问用户配置的用户账户信息,基于用户账户信息为访问用户配置登录凭证;
该发送模块1700,用于将登录凭证与用户账户信息发送至用户终端,以使用户终端通过安全管理客户端将登录凭证和用户账户信息进行加密存储;用户账户信息用于指示用户终端通过安全管理客户端获取访问用户对应的第一零信任访问策略。
其中,业务访问请求中包括访问辅助参数;访问辅助参数包括在业务应用中所录入的业务访问站点;
该凭证申请请求获取模块1800,用于当安全管理客户端基于第一零信任访问策略未查找到与业务访问请求相匹配的第一校验凭证时,获取安全管理客户端发送用于申请第二校验凭证的凭证申请请求;凭证申请请求包括登录凭证以及业务应用中的访问进程对应的访问进程特征;
该校验凭证配置模块1900,用于基于登录凭证以及访问进程特征,为安全管理客户端配置与访问进程相关联的X个校验凭证;X为正整数;每个校验凭证均包括彼此互不交叠的时间阈值范围;
该校验凭证返回模块2000,用于将X个校验凭证返回至安全管理客户端,以使安全管理客户端基于X个校验凭证中的时间阈值范围以及存储X个校验凭证的存储时间戳,确定X个校验凭证分别对应的有效时长,且将每个有效时长对应的校验凭证缓存至业务访问站点的缓存节点中。
其中,该获取模块1000,参数提取模块1100,合法性校验模块1200,业务请求转发模块1300,设备信息获取模块1400,鉴权模块1500,登录凭证配置模块1600,发送模块1700,凭证申请请求获取模块1800,校验凭证配置模块1900和校验凭证返回模块2000的具体实现方式可以参见上述图7所对应实施例中对步骤S201-步骤S213的描述,这里将不再继续进行赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。
进一步地,请参见图13,图13是本申请实施例提供的一种计算机设备的示意图。如图13所示,该计算机设备3000可以为上述图2所对应的安全管理服务器20C,该计算机设备3000可以包括:至少一个处理器3001,例如CPU,至少一个网络接口3004,用户接口3003,存储器3005,至少一个通信总线3002。其中,通信总线3002用于实现这些组件之间的连接通信。其中,用户接口3003可以包括显示屏(Display)、键盘(Keyboard),网络接口3004可选地可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器3005可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储3005可选地还可以是至少一个位于远离前述处理器3001的存储装置。如图13所示,作为一种计算机存储介质的存储器3005可以包括操作系统、网络通信模块、用户接口模块以及设备控制应用程序。
在图13所示的计算机设备3000中,网络接口3004主要用于与智能网卡和运行有安全管理客户端的用户终端进行网络通信;而用户接口3003主要用于为用户提供输入的接口;而处理器3001可以用于调用存储器3005中存储的设备控制应用程序,以实现:
通过与安全管理客户端相关联的智能网关,获取业务访问请求对应的第一校验凭证;第一校验凭证是由安全管理客户端基于安全管理服务器所下发的第一零信任访问策略所确定的;第一零信任访问策略用于指示安全管理客户端在截获到与业务应用相关联的业务访问请求时,查找与业务访问请求相匹配的第一校验凭证;
从第一校验凭证中提取与业务应用相关联的校验辅助参数;
基于校验辅助参数,对第一校验凭证进行合法性校验,得到合法校验结果,将合法校验结果返回至智能网关;
若合法校验结果指示第一校验凭证具备合法性,则通知智能网关将业务访问请求转发至业务应用对应的业务服务器,以使业务服务器将业务访问请求对应的业务响应结果输出至安全管理客户端对应的用户终端。
应当理解,本申请实施例中所描述的计算机设备3000可执行前文图8所对应实施例中对该业务数据访问方法的描述,也可执行前文图12所对应实施例中对该业务数据访问装置2的描述,在此不再赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。
此外,这里需要指出的是:本申请实施例还提供了一种计算机可读存储介质,且该计算机可读存储介质中存储有前文提及的业务数据访问装置2所执行的计算机程序,且该计算机程序包括程序指令,当该处理器执行该程序指令时,能够执行前文图8所对应实施例中对该业务数据访问方法的描述,因此,这里将不再进行赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本申请所涉及的计算机可读存储介质实施例中未披露的技术细节,请参照本申请方法实施例的描述。作为示例,程序指令可被部署为在一个计算设备上执行,或者在位于一个地点的多个计算设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算设备上执行,分布在多个地点且通过通信网络互连的多个计算设备可以组成区块链系统。
本申请一方面提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备可执行前文图3或者图8所对应实施例中对业务数据访问方法的描述,在此不再赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。
进一步的,请参见图14,图14是本申请实施例提供的一种数据处理系统的结构示意图。该数据处理系统3可以包括数据处理装置1a和数据处理装置2a。其中,数据处理装置1a可以为上述图10所对应实施例中的业务数据访问装置1,可以理解的是,该数据处理装置1a可以集成在上述图2所对应实施例中的用户终端20A,因此,这里将不再进行赘述。其中,数据处理装置2a可以为上述图12所对应实施例中的业务数据访问装置2,可以理解的是,该数据处理装置2a可以集成在上述图2所对应实施例中的安全管理服务器20C,因此,这里将不再进行赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本申请所涉及的数据处理系统实施例中未披露的技术细节,请参照本申请方法实施例的描述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,上述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,上述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本申请较佳实施例而已,当然不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,仍属本申请所涵盖的范围。
