2. 专利查询
  3. 一种网络访问控制方法、装置、设备及存储介质与流程

一种网络访问控制方法、装置、设备及存储介质与流程

专利查询2024-4-12  69


1.本技术涉及计算机应用技术领域,特别是涉及一种网络访问控制方法、装置、设备及存储介质。


背景技术:

2.近年来,手机、平板电脑、笔记本电脑、台式机等终端的应用范围越来越广泛,给人们的工作和生活带来很多便利。用户使用终端中的应用可以进行网络访问,畅享网络资源,但随之而来的就是终端安全问题。
3.那么,如何对终端中应用的对外访问进行有效控制,保证终端安全性,是目前本领域技术人员急需解决的技术问题。


技术实现要素:

4.本技术的目的是提供一种网络访问控制方法、装置、设备及存储介质,以及时、准确地确定出是否能够将监测到的对外访问请求放通,对终端中应用的对外访问进行有效管控,保证终端安全性。
5.为解决上述技术问题,本技术提供如下技术方案:
6.一种网络访问控制方法,应用于部署在终端上的访问控制客户端,所述网络访问控制方法包括:
7.在监测到用户使用所述终端上的应用发送对外访问请求的情况下,拦截所述对外访问请求,其中,所述当前安全指标信息用于指示所述终端当前环境的安全指标;
8.获取所述终端的当前安全指标信息;
9.基于所述当前安全指标信息和应用防护策略,确定是否放通所述对外访问请求。
10.在本技术的一种具体实施方式中,所述终端上还部署有环境检测客户端,所述获取所述终端的当前安全指标信息,包括:
11.在与所述环境检测客户端成功建立通信连接后,从所述环境检测客户端获取所述终端的当前安全指标信息。
12.在本技术的一种具体实施方式中,所述从所述环境检测客户端获取所述终端的当前安全指标信息,包括:向所述环境检测客户端发送信息获取请求;接收所述环境检测客户端基于所述信息获取请求返回的所述终端的当前安全指标信息。
13.在本技术的一种具体实施方式中,所述信息获取请求中携带验证信息,以指示所述环境检测客户端对所述访问控制客户端进行校验。
14.在本技术的一种具体实施方式中,所述验证信息具体为所述访问控制客户端的进程号参数,以使所述环境检测客户端根据所述进程号参数获取进程签名,并基于所述进程签名对所述访问控制客户端进行安全校验。
15.在本技术的一种具体实施方式中,通过以下步骤确定是否与所述环境检测客户端成功建立通信连接:
16.将预设的初始端口确定为连接端口;
17.通过连接地址及所述连接端口,与所述环境检测客户端建立通信连接,所述连接地址为回送地址、本地主机或者预设的自定义域名;
18.如果未成功建立通信连接,则将所述连接端口更新为所述连接端口与设定的步进值的和,重复执行所述通过连接地址及所述连接端口,与所述环境检测客户端建立通信连接的步骤,直至与所述环境检测客户端成功建立通信连接。
19.在本技术的一种具体实施方式中,在所述拦截所述对外访问请求之后、所述获取所述终端的当前安全指标信息之前,还包括:
20.确定所述对外访问请求中是否携带令牌信息;
21.在所述对外访问请求携带有所述令牌信息时,利用所述令牌信息对所述用户进行合法认证,并在认证未通过时,输出认证登录页面;
22.获取所述用户在所述认证登录页面输入的认证信息;
23.利用所述认证信息对所述用户进行合法认证,并在认证通过时,执行所述获取所述终端的当前安全指标信息的步骤;相应地,在基于所述认证信息,对所述用户进行合法认证通过的情况下,还包括:
24.获取新令牌信息;
25.输出所述新令牌信息,以使所述用户在发起所述对外访问请求时,将所述新令牌信息添加至所述外访问请求中。
26.一种网络访问控制方法,应用于部署在终端上的环境检测客户端,所述终端上还部署有访问控制客户端,所述网络访问控制方法包括:
27.采集所述终端的环境参数;
28.基于所述环境参数,获取当前安全指标信息;其中,所述当前安全指标信息用于指示所述终端当前环境的安全指标;
29.将所述当前安全指标信息发送至所述访问控制客户端,以使所述访问控制客户端基于所述当前安全指标信息和应用防护策略,确定是否放通拦截到的对外访问请求。
30.在本技术的一种具体实施方式中,所述将所述当前安全指标信息发送至所述访问控制客户端,包括:
31.基于预设的http或https服务,将所述当前安全指标信息发送至所述访问控制客户端;
32.相应地,所述方法还包括:
33.从初始端口开始,每间隔设定步进值,创建http或https监听端口,直至所述http或https服务创建成功为止。
34.一种网络访问控制装置,应用于部署在终端上的访问控制客户端,所述网络访问控制装置包括:
35.对外访问请求拦截模块,用于在监测到用户使用所述终端上的应用发送对外访问请求的情况下,拦截所述对外访问请求;
36.当前安全指标信息获取模块,用于获取所述终端的当前安全指标信息,其中,所述当前安全指标信息用于指示所述终端当前环境的安全指标;
37.对外访问请求放通控制模块,用于基于所述当前安全指标信息和应用防护策略,
确定是否放通所述对外访问请求。
38.一种网络访问控制装置,应用于部署在终端上的环境检测客户端,所述终端上还部署有访问控制客户端,所述网络访问控制装置包括:
39.环境参数采集模块,用于采集所述终端的环境参数;
40.当前安全指标信息获取模块,用于基于所述环境参数,获取当前安全指标信息;其中,所述当前安全指标信息用于指示所述终端当前环境的安全指标;
41.当前安全指标信息下发模块,用于将所述当前安全指标信息发送至所述访问控制客户端,以使所述访问控制客户端基于所述当前安全指标信息和应用防护策略,确定是否放通拦截到的对外访问请求。
42.一种网络访问控制设备,包括:
43.存储器,用于存储计算机程序;
44.处理器,用于执行所述计算机程序时实现上述任一项所述的网络访问控制方法的步骤。
45.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的网络访问控制方法的步骤。
46.应用本技术实施例所提供的技术方案,在监测到用户使用终端上的应用发送对外访问请求的情况下,先拦截对外访问请求,然后获取终端的当前安全指标信息,基于终端的当前安全指标信息和应用防护策略,确定是否放通对外访问请求。部署在终端上的访问控制客户端在获取到终端的当前安全指标信息之后,可以直接判定是否具有访问权限,相比于传统的“先将访问请求发送至访问控制服务端,然后访问控制服务端再通过和拥有安全指标信息的设备通信获取安全指标信息,进而再判断是否具备访问权限”的方案相比,可以避免因为网络原因导致当前安全指标信息的获取延迟的情况发生,通过终端的当前安全指标信息和应用防护策略,可以及时、准确地确定出是否能够将监测到的对外访问请求放通,可以对终端中应用的对外访问进行有效管控,保证终端安全性。此外,如果将安全指标信息的计算下放至终端本地,则采用本技术的方案可以更为快速地获取当前安全指标信息,能进一步改善传统的延时问题,并且还能进一步改善网络原因导致安全指标信息获取失败的情况发生。
附图说明
47.为了更清楚地说明本技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
48.图1为本技术实施例中一种网络访问控制方法的实施流程图;
49.图2为本技术实施例中另一种网络访问控制方法的实施流程图;
50.图3为本技术实施例中一种网络访问控制装置的结构示意图;
51.图4为本技术实施例中另一种网络访问控制装置的结构示意图;
52.图5为本技术实施例中一种网络访问控制设备的结构示意图。
具体实施方式
53.本技术的核心是提供一种网络访问控制方法,该方法可以应用于部署在终端上的访问控制客户端,访问控制客户端可以对终端的对外访问请求进行监测,在监测到用户使用终端上的应用发送对外访问请求的情况下,先拦截对外访问请求,然后获取终端的当前安全指标信息,基于终端的当前安全指标信息和应用防护策略,确定是否放通对外访问请求。部署在终端上的访问控制客户端在获取到终端的当前安全指标信息之后,可以直接判定是否具有访问权限,相比于传统的“先将访问请求发送至访问控制服务端,然后访问控制服务端再通过和拥有安全指标信息的设备通信获取安全指标信息,进而再判断是否具备访问权限”的方案相比,可以避免因为网络原因导致当前安全指标信息的获取延迟的情况发生,通过终端的当前安全指标信息和应用防护策略,可以及时、准确地确定出是否能够将监测到的对外访问请求放通,可以对终端中应用的对外访问进行有效管控,保证终端安全性。此外,如果将安全指标信息的计算下放至终端本地,则采用本技术的方案可以更为快速地获取当前安全指标信息,能进一步改善传统的延时问题,并且还能进一步改善网络原因导致安全指标信息获取失败的情况发生。
54.为了使本技术领域的人员更好地理解本技术方案,下面结合附图和具体实施方式对本技术作进一步的详细说明。显然,所描述的实施例仅仅是本技术一部分实施例,而不是全部的实施例。基于本技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本技术保护的范围。
55.参见图1所示,为本技术实施例所提供的一种网络访问控制方法的实施流程图,该方法应用于部署在终端上的访问控制客户端,可以包括以下步骤:
56.s110:在监测到用户使用终端上的应用发送对外访问请求的情况下,拦截对外访问请求。
57.在本技术实施例中,终端可以是手机、平板电脑、笔记本电脑、台式机等可运行应用程序、可连接外部或内部网络的设备。用户可以使用终端上的应用发起对外访问请求。如用户使用终端上的浏览器等应用发起对门户网站的访问请求。所谓对外访问请求是针对于终端本身而言,只要是针对终端外的网络的访问请求均可称为对外访问请求。终端外的网络可以包括局域网和互联网。
58.在监测到用户使用终端上的应用发送对外访问请求的情况下,可以拦截该对外访问请求。
59.可以预先设定待监测的端口,即要对从哪个端口发出的对外访问请求进行管控,当监测到有对外访问请求经过该端口时,可以拦截该对外访问请求。
60.还可以预先设定待监测的应用,即要对使用哪个应用发出的对外访问请求进行管控,当监测到该应用有对外访问请求时,可以拦截该对外访问请求。
61.s120:获取终端的当前安全指标信息,其中,当前安全指标信息用于指示终端当前环境的安全指标。
62.在本技术实施例中,在监测到用户使用终端上的应用发送对外访问请求的情况下,可以先拦截该对外访问请求,然后获取终端的当前安全指标信息,通过终端的当前安全指标信息可以推知终端当前的安全状况。
63.具体的,可以基于终端的安全风险等级、非法外联频率、漏洞数量等多个维度的感
知项确定终端的当前安全指标信息。如可以预先设定终端的环境总分,在终端发生严重风险事件时,按照严重风险事件的次数或频率等,确定严重风险扣分,在终端发生一般风险事件时,按照一般风险事件的次数或频率等,确定一般风险扣分,在终端存在潜在风险事件时,按照潜在风险事件的次数或频率等,确定潜在风险扣分,另外,根据非法外联次数或频率等,可以确定非法外联扣分,根据漏洞数量等,可以确定漏洞扣分,最后将环境总分分别减去严重风险扣分、一般风险扣分、潜在风险扣分、非法外联扣分和流动扣分之后,得到的分数可以作为终端环境感知评分,当前安全指标信息中可以包括终端环境感知评分。
64.终端的当前安全指标信息可以是访问控制客户端基于预先获得的环境感知策略生成,还可以是通过其他客户端基于预先获得的环境感知策略生成,访问控制客户端与该其他客户端通信,获取到相应的当前安全指标信息。
65.s130:基于当前安全指标信息和应用防护策略,确定是否放通对外访问请求。
66.在本技术实施例中,可以预先设定基于终端的安全指标信息的安全防护策略,具体的,可以根据历史数据进行设定。安全防护策略可以指示终端的不同安全指标信息所对应的安全防护手段。如在终端具有某种安全指标信息的情况下,对终端的哪类用户、哪类应用进行怎样的网络访问管控。
67.在获取到终端的当前安全指标信息之后,进一步可以基于当前安全指标信息和应用防护策略,确定是否放通该对外访问请求。
68.如可以依据应用防护策略确定终端具有当前安全指标信息的情况下,要对终端进行怎样的网络访问管控。如果依据应用防护策略确定终端具有当前安全指标信息的情况下,可以允许终端的任何应用对外访问,则可以放通该对外访问请求。如果依据应用防护策略确定终端具有当前安全指标信息的情况下,阻止终端的任何应用或者当前应用的对外访问,则不放通该对外访问请求。
69.一个更具体的示例为:当前安全指标信息中终端环境感知评分大于75分,可以放通对外访问请求,否则拒绝对外访问请求。
70.需要说明的是,上述仅为一些具体示例,在实际应用中,可以设定更多更详细的应用防护策略,以更好地保证终端的安全性。
71.在确定放通对外访问请求的情况下,可以通过重定向访问请求或者转发访问请求的方式实现用户所使用的应用的对外访问。
72.在确定不放通对外访问请求的情况下,可以输出禁止访问等错误提示信息,以使用户根据实际情况进行问题排查。
73.应用本技术实施例所提供的方法,在监测到用户使用终端上的应用发送对外访问请求的情况下,先拦截对外访问请求,然后获取终端的当前安全指标信息,基于终端的当前安全指标信息和应用防护策略,确定是否放通对外访问请求。部署在终端上的访问控制客户端在获取到终端的当前安全指标信息之后,可以直接判定是否具有访问权限,相比于传统的“先将访问请求发送至访问控制服务端,然后访问控制服务端再通过和拥有安全指标信息的设备通信获取安全指标信息,进而再判断是否具备访问权限”的方案相比,可以避免因为网络原因导致当前安全指标信息的获取延迟的情况发生,通过终端的当前安全指标信息和应用防护策略,可以及时、准确地确定出是否能够将监测到的对外访问请求放通,可以对终端中应用的对外访问进行有效管控,保证终端安全性。此外,如果将安全指标信息的计
算下放至终端本地,则采用本技术的方案可以更为快速地获取当前安全指标信息,能进一步改善传统的延时问题,并且还能进一步改善网络原因导致安全指标信息获取失败的情况发生。
74.在本技术的一个实施例中,终端上还部署有环境检测客户端,获取终端的当前安全指标信息,可以包括以下步骤:
75.在与环境检测客户端成功建立通信连接后,从环境检测客户端获取终端的当前安全指标信息。
76.在本技术实施例中,终端上除了部署有访问控制客户端,还可以部署有环境检测客户端。环境检测客户端可以与环境检测服务端连接,获得环境检测服务端下发的环境感知策略。
77.访问控制客户端在监测到用户使用终端上的应用发送对外访问请求的情况下,拦截对外访问请求,同时可以与环境检测客户端建立通信连接。访问控制客户端在与环境检测客户端成功建立通信连接后,即可从环境检测客户端获取终端上的当前安全指标信息。
78.访问控制客户端和环境检测客户端均部署在终端上,可以使用终端模块间通信的机制,可以避免出现服务器端大量并发请求的问题,而且,由于是本地通信,不会出现网络状态较差的情况下,无法获取到终端的当前安全指标信息的问题,具有较好的稳定性、扩展性、并发性。
79.在本技术的一个实施例中,从环境检测客户端获取终端的当前安全指标信息,可以包括以下步骤:
80.步骤一:向环境检测客户端发送信息获取请求;
81.步骤二:接收环境检测客户端基于信息获取请求返回的终端的当前安全指标信息,当前安全指标信息为环境检测客户端基于预设的环境感知策略生成。
82.为便于描述,将上述两个步骤结合起来进行说明。
83.访问控制客户端在与环境检测客户端成功建立通信连接后,可以向环境检测客户端发送信息获取请求。环境检测客户端在接收到信息获取请求后,可以基于环境感知策略对终端的当前环境进行检测,确定终端的当前安全指标信息,并将终端的当前安全指标信息返回给访问控制客户端。
84.访问控制客户端接收到环境检测客户端基于信息获取请求返回的终端的当前安全指标信息后,即可基于当前安全指标信息和应用防护策略,确定是否放通对外访问请求。
85.环境检测客户端和访问控制客户端都部署在终端上,访问控制客户端可以直接与环境检测客户端建立通信连接,获取到终端的当前安全指标信息,不需要通过网络进行信息交互,可以有效避免因为网络原因导致当前安全指标信息的获取延迟或失败的情况发生。
86.在本技术的一个实施例中,信息获取请求中携带验证信息,以指示环境检测客户端对访问控制客户端进行校验。
87.访问客户端可以将验证信息附加于信息获取请求中,并将其发送至环境检测客户端。环境检测客户端在接收到信息获取请求之后,可以通过请求解析获得验证信息,进而可以根据验证信息对访问客户端进行可信校验。环境检测客户端对访问控制客户端进行可信校验,可以保证数据的安全性。
88.在本技术的一个实施例中,验证信息具体为访问控制客户端的进程号参数,以使环境检测客户端根据进程号参数获取进程签名,并基于进程签名对访问控制客户端进行安全校验。
89.访问控制客户端可以将自己的进程号(process identification,pid)作为参数,向环境检测客户端发送信息获取请求。环境检测客户端在接收到信息获取请求后,可以根据进程号获取进程路径,即进程程序exe的全路径,根据进程路径,可以读取到进程签名,进而可以判断进程签名是否为可信签名。在确定进程签名为可信签名的情况下,可以向访问控制客户端返回终端的当前安全指标信息,访问控制客户端基于当前安全指标信息和应用防护策略,可以确定是否放通对外访问请求。如果访问控制客户端没有读取到进程签名,或者判断进程签名非可信签名,则可以拒绝信息获取请求。
90.此外,访问控制客户端还可以将自身的进程路径作为参数,然后可以根据进程路径读取到进程签名,进而判断进程签名是否为可信签名。但是,由于进程号更加不易伪造,因此,通过进程号对访问控制客户端进行可信校验,具有更高的安全性。
91.在本技术的一个实施例中,可以通过以下步骤确定是否与环境检测客户端成功建立通信连接:
92.第一个步骤:将预设的初始端口确定为连接端口;
93.第二个步骤:通过连接地址及连接端口,与环境检测客户端建立通信连接,连接地址为回送地址、本地主机或者预设的自定义域名;
94.第三个步骤:如果未成功建立通信连接,则将连接端口更新为连接端口与设定的步进值的和,重复执行通过连接地址及连接端口,与环境检测客户端建立通信连接的步骤,直至与环境检测客户端成功建立通信连接。
95.为便于描述,将上述几个步骤结合起来进行说明。
96.在本技术实施例中,环境检测客户端可以先创建本地http和https服务器,分别监听本地不同的通信端口,如1000、2000,并且支持回送地址127.0.0.1、本地主机localhost以及自定义域名的访问。环境检测客户端可以采用动态算法的方式,假如监听的连接端口被占用,则加某个固定数值,如20,作为新的连接端口,再次创建http和https服务器,直到创建成功为止,这样可以有效解决http或https服务器端口占用问题。
97.访问控制客户端可以预先获得环境检测客户端预设的初始端口,将预设的初始端口确定为连接端口,通过连接地址,如回送地址127.0.0.1、本地主机localhost或者自定义域名,及连接端口,与环境检测客户端建立通信连接,如果未成功建立通信连接,则可以将连接端口更新为连接端口与设定的步进值的和。访问控制客户端与环境检测客户端所用的步进值相同。更新连接端口后,访问控制客户端重新通过连接地址及连接端口,与环境检测客户端建立通信连接,如果仍未成功建立通信连接,则继续更新连接端口,通过连接地址及连接端口,与环境检测客户端建立通信连接,直至与环境检测客户端成功建立通信连接。这样可以提高访问控制客户端与环境检测客户端的通信连接建立成功率。
98.在实际应用中,访问控制客户端与环境检测客户端可以在同一个模块上进行一体化实现,二者之间不需要通信连接,在生成终端的当前安全指标信息之后,即可直接基于当前安全指标信息和应用防护策略,确定是否放通对外访问请求。提高处理效率。
99.在本技术的一个实施例中,也可以通过以下步骤与环境检测客户端建立通信连
接:
100.第一个步骤:通过访问操作系统获取已占用端口信息;
101.第二个步骤:基于已占用端口信息,在本地保存的系统端口列表中选择任一空闲端口作为连接端口;
102.第三个步骤:通过连接端口与环境检测客户端建立通信连接。
103.为便于描述,将上述几个步骤结合起来进行说明。
104.在本技术实施例中,访问控制客户端可以预先在本地维护一张系统端口列表,该列表中记录有操作系统内所有端口的信息,如端口号、端口id等。当访问控制客户端需要从环境检测客户端获取终端的当前安全指标信息时,可以通过访问操作系统的方式获取当前系统中已经被占用的端口的信息,即上述已占用端口信息,然后基于该已占用端口信息,从系统端口列表中任意选择一个空闲端口作为与环境检测客户端之间的连接端口,以便基于该连接端口从环境检测客户端获取终端的当前安全指标信息。
105.在本技术的一个实施例中,访问控制客户端本地保存有访问控制服务端下发的应用防护策略;基于当前安全指标信息和应用防护策略,确定是否放通对外访问请求,包括:
106.基于当前安全指标信息和本地保存的应用防护策略,确定是否放通对外访问请求。
107.访问控制服务端可以与多个访问控制客户端建立网络连接。访问控制服务端可以依据历史数据或者用户指令等生成或更新应用防护策略,然后下发给各访问控制客户端。访问控制客户端在监测到用户使用终端上的应用发送对外访问请求时,拦截对外访问请求,并获取到终端的当前安全指标信息后,可以基于当前安全指标信息和本地保存的应用防护策略,确定是否放通对外访问请求。
108.访问控制客户端在本地保存应用防护策略,在有需要时可以直接应用,不需要再与访问控制服务端通信,即可完成对外访问请求是否放通的确定,及时进行对外访问请求的处理,提高处理效率。
109.在本技术的一个实施例中,在拦截对外访问请求之后、获取终端的当前安全指标信息之前,该方法还可以包括以下步骤:
110.确定对外访问请求中是否携带令牌信息;
111.在对外访问请求携带有令牌信息时,利用令牌信息对用户进行合法认证,并在认证未通过时,输出认证登录页面;
112.获取用户在认证登录页面输入的认证信息;
113.利用认证信息对用户进行合法认证,并在认证通过时,执行获取终端的当前安全指标信息的步骤;
114.相应地,在基于认证信息,对用户进行合法认证通过的情况下,还包括:
115.获取新令牌信息;
116.输出新令牌信息,以使用户在发起对外访问请求时,将新令牌信息添加至外访问请求中。
117.为便于描述,将上述几个步骤结合起来进行说明。
118.在本技术实施例中,访问控制客户端在监测到用户使用终端上的应用发送对外访问请求,拦截对外访问请求之后,可以先对用户进行合法认证,以确定用户的合法性。如果
认证通过,则获取终端的当前安全指标信息,并基于当前安全指标信息和应用防护策略,确定是否放通对外访问请求。如果认证未通过,则可以输出错误提示信息。
119.具体而言,访问控制客户端在监测到用户使用终端上的应用发送对外访问请求的情况下,拦截对外访问请求,进一步可以通过解析该对外访问请求确定其是否携带有令牌信息,该令牌信息用于对用户进行合法认证,可以包括用户令牌和应用令牌及每种令牌的失效时间等信息。
120.在确定对外访问请求中携带有令牌信息的情况下,可以利用该令牌信息对用户进行合法认证。具体的,可以根据用户令牌和应用令牌的失效时间确定当前是否在有效时间范围内,如果不在有效时间范围内,则可以认为对用户的合法认证未通过,如果在有效时间范围内,则可以根据用户令牌和应用令牌的具体信息,确定对用户的合法认证是否通过。
121.在基于令牌信息,对用户进行合法认证通过的情况下,可以进行当前安全指标信息的获取。在认证不通过的情况下,可以向用户返回认证登录页面,具体可以通过浏览器输出显示认证登录页面,用户可以在该认证登录页面上输入认证信息,如输入账号、密码等认证信息,或者,通过二维码、短信认证、第三方认证等输入认证信息。
122.获得用户在认证登录页面输入的认证信息后,基于该认证信息对用户继续进行合法认证,如果认证通过,则进行当前安全指标信息的获取,如果认证失败,则不进行当前安全指标信息的获取,亦不放行该对外访问请求。
123.当然,如果对外访问请求中未携带有令牌信息,同样可以向用户返回认证登录页面,然后基于用户在认证登录页面上输入的认证信息对用户进行合法认证。
124.此外,在基于用户输入的认证信息,对用户进行合法认证通过的情况下,还可以获得新令牌信息,如可以基于认证信息生成用户令牌、应用令牌等新令牌信息,或者向访问控制服务端发送令牌生成请求,获得访问控制服务端生成的新令牌信息。然后将新令牌信息返回给用户,这样用户在发起新的对外访问请求时,可以将新令牌信息添加至新的对外访问请求中。如果基于新令牌信息可以对用户进行合法认证,则可以减少用户的输入操作,提高认证效率。
125.本技术实施例中,访问控制客户端只要监测到用户使用终端上的应用发送对外访问请求,即可拦截对外访问请求,在基于终端的当前安全指标信息和应用防护策略,确定放通对外访问请求时才会允许相应的访问,实现了零信任访问控制,可以有效保障终端安全、链路安全和访问控制安全。
126.参见图2所示,为本技术实施例所提供的另一种网络访问控制方法的实施流程图,该方法应用于部署在终端上的环境检测客户端,可以包括以下步骤:
127.s210:采集终端的环境参数;
128.s220:基于环境参数,获取当前安全指标信息;其中,当前安全指标信息用于指示终端当前环境的安全指标;
129.s230:将当前安全指标信息发送至访问控制客户端,以使访问控制客户端基于当前安全指标信息和应用防护策略,确定是否放通拦截到的对外访问请求。
130.在本技术实施例中,终端上部署有环境检测客户端和访问控制客户端,两者之间可以通过建立连接实现数据通信。
131.其中,环境检测客户端用于通过采集终端的环境参数确定终端的当前安全指标信
息,并将其下发至访问控制客户端。环境参数可以包括但不限于终端的安全风险等级、非法外联频率、漏洞数量等参数信息,由此,环境检测客户端则可以基于多个维度的感知项确定终端的当前安全指标信息,该当前安全指标信息是指用于指示终端当前环境的安全指标。
132.其中,访问控制客户端用于根据当前安全指标信息和应用防护策略确定是否放通拦截到的对外访问请求,该对外访问请求是指用户使用终端上的应用发起的对外访问请求。访问控制客户端在监测到用户使用终端上的应用发送对外访问请求的情况下,可以直接拦截该对外访问请求。
133.本技术实施例中,环境检测客户端可以采集终端上的当前安全指标信息并下发至访问控制客户端,访问控制客户端在监测到用户使用终端上的应用发送对外访问请求时,可直接拦截对外访问请求,然后在基于环境检测客户端发送的当前安全指标信息和应用防护策略,确定放通对外访问请求时才会允许相应的访问,实现了零信任访问控制,可以有效保障终端安全、链路安全和访问控制安全。
134.在本技术的一个实施例中,将当前安全指标信息发送至访问控制客户端,可以包括以下步骤:
135.基于预设的http或https服务,将当前安全指标信息发送至访问控制客户端;
136.相应地,该方法还可以包括:
137.从初始端口开始,每间隔设定步进值,创建http或https监听端口,直至http或https服务创建成功为止。
138.在本技术实施例中,环境检测客户端可以预先创建本地http和https服务器,分别监听本地不同的通信端口,以便通过该http或https服务将当前安全指标信息发送至访问控制客户端。
139.环境检测客户端可以采用动态算法的方式,假如监听的连接端口被占用,则可以在当前监听接口的基础上,增加某个固定数值,即上述设定步进值,作为新的连接端口,再次创建http和https服务器,直到创建成功为止,这样可以有效解决http或https服务器端口占用问题。在具体实现过程中,可以从初始端口开始,每间隔设定步进值,创建一个http或https监听端口,直至http或https服务创建成功为止。通过叠加固定步进值的方式实现http或https监听端口的创建,程序脚本简单易实现,开发成本较低。
140.相应于上面的方法实施例,本技术实施例还提供了一种网络访问控制装置,应用于部署在终端上的访问控制客户端,下文描述的网络访问控制装置与上文描述的网络访问控制方法可相互对应参照。
141.参见图3所示,该装置可以包括以下模块:
142.对外访问请求拦截模块310,用于在监测到用户使用终端上的应用发送对外访问请求的情况下,拦截对外访问请求;
143.当前安全指标信息获取模块320,用于获取终端的当前安全指标信息,其中,当前安全指标信息用于指示终端当前环境的安全指标;
144.对外访问请求放通控制模块330,用于基于当前安全指标信息和应用防护策略,确定是否放通对外访问请求。
145.应用本技术实施例所提供的装置,在监测到用户使用终端上的应用发送对外访问请求的情况下,先拦截对外访问请求,然后获取终端的当前安全指标信息,基于终端的当前
安全指标信息和应用防护策略,确定是否放通对外访问请求。部署在终端上的访问控制客户端在获取到终端的当前安全指标信息之后,可以直接判定是否具有访问权限,相比于传统的“先将访问请求发送至访问控制服务端,然后访问控制服务端再通过和拥有安全指标信息的设备通信获取安全指标信息,进而再判断是否具备访问权限”的方案相比,可以避免因为网络原因导致当前安全指标信息的获取延迟的情况发生,通过终端的当前安全指标信息和应用防护策略,可以及时、准确地确定出是否能够将监测到的对外访问请求放通,可以对终端中应用的对外访问进行有效管控,保证终端安全性。此外,如果将安全指标信息的计算下放至终端本地,则采用本技术的方案可以更为快速地获取当前安全指标信息,能进一步改善传统的延时问题,并且还能进一步改善网络原因导致安全指标信息获取失败的情况发生。
146.在本技术的一种具体实施方式中,终端上还部署有环境检测客户端,当前安全指标信息获取模块320,用于:
147.在与环境检测客户端成功建立通信连接后,从环境检测客户端获取终端的当前安全指标信息。
148.在本技术的一种具体实施方式中,当前安全指标信息获取模块320,包括:
149.请求发起单元,用于向环境检测客户端发送信息获取请求;
150.信息接收单元,用于接收环境检测客户端基于信息获取请求返回的终端的当前安全指标信息。
151.在本技术的一种具体实施方式中,信息获取请求中携带验证信息,以指示环境检测客户端对访问控制客户端进行校验。
152.在本技术的一种具体实施方式中,验证信息具体为访问控制客户端的进程号参数,以使环境检测客户端根据进程号参数获取进程签名,并基于进程签名对访问控制客户端进行安全校验。
153.在本技术的一种具体实施方式中,还包括通信连接建立模块,用于通过以下步骤确定是否与环境检测客户端成功建立通信连接:
154.将预设的初始端口确定为连接端口;
155.通过连接地址及连接端口,与环境检测客户端建立通信连接,连接地址为回送地址、本地主机或者预设的自定义域名;
156.如果未成功建立通信连接,则将连接端口更新为连接端口与设定的步进值的和,重复执行通过连接地址及连接端口,与环境检测客户端建立通信连接的步骤,直至与环境检测客户端成功建立通信连接。
157.在本技术的一种具体实施方式中,还包括合法认证模块,用于:
158.在拦截对外访问请求之后、获取终端的当前安全指标信息之前,
159.确定对外访问请求中是否携带令牌信息;
160.在对外访问请求携带有令牌信息时,利用令牌信息对用户进行合法认证,并在认证未通过时,输出认证登录页面;
161.获取用户在认证登录页面输入的认证信息;
162.利用认证信息对用户进行合法认证,并在认证通过时,执行获取终端的当前安全指标信息的步骤;
163.相应地,在基于认证信息,对用户进行合法认证通过的情况下,
164.获取新令牌信息;
165.输出新令牌信息,以使用户在发起对外访问请求时,将新令牌信息添加至外访问请求中。
166.相应于上面的方法实施例,本技术实施例还提供了另一种网络访问控制装置,应用于部署在终端上的环境检测客户端,终端上还部署有访问控制客户端,下文描述的网络访问控制装置与上文描述的网络访问控制方法可相互对应参照。
167.参见图4所示,该装置可以包括以下模块:
168.环境参数采集模块410,用于采集所述终端的环境参数;
169.当前安全指标信息获取模块420,用于基于环境参数,获取当前安全指标信息;其中,当前安全指标信息用于指示终端当前环境的安全指标;
170.当前安全指标信息下发模块430,用于将当前安全指标信息发送至访问控制客户端,以使访问控制客户端基于当前安全指标信息和应用防护策略,确定是否放通拦截到的对外访问请求。
171.在本技术的一种具体实施方式中,当前安全指标信息下发模块430具体用于基于预设的http或https服务,将当前安全指标信息发送至访问控制客户端;
172.相应的,该装置还可以包括:
173.服务创建模块,用于从初始端口开始,每间隔设定步进值,创建http或https监听端口,直至http或https服务创建成功为止。
174.相应于上面的方法实施例,本技术实施例还提供了一种网络访问控制设备,包括:
175.存储器,用于存储计算机程序;
176.处理器,用于执行计算机程序时实现上述网络访问控制方法的步骤。
177.如图5所示,为网络访问控制设备的组成结构示意图,网络访问控制设备可以包括:处理器10、存储器11、通信接口12和通信总线13。处理器10、存储器11、通信接口12均通过通信总线13完成相互间的通信。
178.在本技术实施例中,处理器10可以为中央处理器(central processing unit,cpu)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件等。
179.处理器10可以调用存储器11中存储的程序,具体的,处理器10可以执行网络访问控制方法的实施例中的操作。
180.存储器11中用于存放一个或者一个以上程序,程序可以包括程序代码,程序代码包括计算机操作指令,在本技术实施例中,存储器11中至少存储有用于实现以下功能的程序:
181.在监测到用户使用终端上的应用发送对外访问请求的情况下,拦截对外访问请求;
182.获取终端的当前安全指标信息,其中,当前安全指标信息用于指示终端当前环境的安全指标;
183.基于当前安全指标信息和应用防护策略,确定是否放通对外访问请求。
184.在一种可能的实现方式中,存储器11可包括存储程序区和存储数据区,其中,存储
程序区可存储操作系统,以及至少一个功能(比如请求拦截功能、信息获取功能)所需的应用程序等;存储数据区可存储使用过程中所创建的数据,如安全指标数据、应用防护策略数据等。
185.此外,存储器11可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
186.通信接口12可以为通信模块的接口,用于与其他设备或者系统连接。
187.当然,需要说明的是,图5所示的结构并不构成对本技术实施例中网络访问控制设备的限定,在实际应用中网络访问控制设备可以包括比图5所示的更多或更少的部件,或者组合某些部件。
188.相应于上面的方法实施例,本技术实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述网络访问控制方法的步骤。
189.本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
190.专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本技术的范围。
191.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
192.本文中应用了具体个例对本技术的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本技术的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本技术原理的前提下,还可以对本技术进行若干改进和修饰,这些改进和修饰也落入本技术权利要求的保护范围内。

技术特征:
1.一种网络访问控制方法,其特征在于,应用于部署在终端上的访问控制客户端,所述网络访问控制方法包括:在监测到用户使用所述终端上的应用发送对外访问请求的情况下,拦截所述对外访问请求;获取所述终端的当前安全指标信息,其中,所述当前安全指标信息用于指示所述终端当前环境的安全指标;基于所述当前安全指标信息和应用防护策略,确定是否放通所述对外访问请求。2.根据权利要求1所述的网络访问控制方法,其特征在于,所述终端上还部署有环境检测客户端,所述获取所述终端的当前安全指标信息,包括:在与所述环境检测客户端成功建立通信连接后,从所述环境检测客户端获取所述终端的当前安全指标信息。3.根据权利要求2所述的网络访问控制方法,其特征在于,所述从所述环境检测客户端获取所述终端的当前安全指标信息,包括:向所述环境检测客户端发送信息获取请求;接收所述环境检测客户端基于所述信息获取请求返回的所述终端的当前安全指标信息。4.根据权利要求3所述的网络访问控制方法,其特征在于,所述信息获取请求中携带验证信息,以指示所述环境检测客户端对所述访问控制客户端进行校验。5.根据权利要求4所述的网络访问控制方法,其特征在于,所述验证信息具体为所述访问控制客户端的进程号参数,以使所述环境检测客户端根据所述进程号参数获取进程签名,并基于所述进程签名对所述访问控制客户端进行安全校验。6.根据权利要求2所述的网络访问控制方法,其特征在于,通过以下步骤确定是否与所述环境检测客户端成功建立通信连接:将预设的初始端口确定为连接端口;通过连接地址及所述连接端口,与所述环境检测客户端建立通信连接,所述连接地址为回送地址、本地主机或者预设的自定义域名;如果未成功建立通信连接,则将所述连接端口更新为所述连接端口与设定的步进值的和,重复执行所述通过连接地址及所述连接端口,与所述环境检测客户端建立通信连接的步骤,直至与所述环境检测客户端成功建立通信连接。7.根据权利要求1至6之中任一项所述的网络访问控制方法,其特征在于,在所述拦截所述对外访问请求之后、所述获取所述终端的当前安全指标信息之前,还包括:确定所述对外访问请求中是否携带令牌信息;在所述对外访问请求携带有所述令牌信息时,利用所述令牌信息对所述用户进行合法认证,并在认证未通过时,输出认证登录页面;获取所述用户在所述认证登录页面输入的认证信息;利用所述认证信息对所述用户进行合法认证,并在认证通过时,执行所述获取所述终端的当前安全指标信息的步骤;相应地,在基于所述认证信息,对所述用户进行合法认证通过的情况下,还包括:获取新令牌信息;
输出所述新令牌信息,以使所述用户在发起所述对外访问请求时,将所述新令牌信息添加至所述外访问请求中。8.一种网络访问控制方法,其特征在于,应用于部署在终端上的环境检测客户端,所述终端上还部署有访问控制客户端,所述网络访问控制方法包括:采集所述终端的环境参数;基于所述环境参数,获取当前安全指标信息;其中,所述当前安全指标信息用于指示所述终端当前环境的安全指标;将所述当前安全指标信息发送至所述访问控制客户端,以使所述访问控制客户端基于所述当前安全指标信息和应用防护策略,确定是否放通拦截到的对外访问请求。9.根据权利要求8所述的网络访问控制方法,其特征在于,所述将所述当前安全指标信息发送至所述访问控制客户端,包括:基于预设的http或https服务,将所述当前安全指标信息发送至所述访问控制客户端;相应地,所述方法还包括:从初始端口开始,每间隔设定步进值,创建http或https监听端口,直至所述http或https服务创建成功为止。10.一种网络访问控制装置,其特征在于,应用于部署在终端上的访问控制客户端,所述网络访问控制装置包括:对外访问请求拦截模块,用于在监测到用户使用所述终端上的应用发送对外访问请求的情况下,拦截所述对外访问请求;当前安全指标信息获取模块,用于获取所述终端的当前安全指标信息,其中,所述当前安全指标信息用于指示所述终端当前环境的安全指标;对外访问请求放通控制模块,用于基于所述当前安全指标信息和应用防护策略,确定是否放通所述对外访问请求。11.一种网络访问控制装置,其特征在于,应用于部署在终端上的环境检测客户端,所述终端上还部署有访问控制客户端,所述网络访问控制装置包括:环境参数采集模块,用于采集所述终端的环境参数;当前安全指标信息获取模块,用于基于所述环境参数,获取当前安全指标信息;其中,所述当前安全指标信息用于指示所述终端当前环境的安全指标;当前安全指标信息下发模块,用于将所述当前安全指标信息发送至所述访问控制客户端,以使所述访问控制客户端基于所述当前安全指标信息和应用防护策略,确定是否放通拦截到的对外访问请求。12.一种网络访问控制设备,其特征在于,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现如权利要求1至9任一项所述的网络访问控制方法的步骤。13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至9任一项所述的网络访问控制方法的步骤。

技术总结
本申请公开了一种网络访问控制方法,应用于部署在终端上的访问控制客户端,包括:在监测到用户使用终端上的应用发送对外访问请求的情况下,拦截对外访问请求;获取终端的当前安全指标信息,该当前安全指标信息用于指示终端当前环境的安全指标;基于当前安全指标信息和应用防护策略,确定是否放通对外访问请求。本技术方案可以避免因为网络原因导致当前安全指标信息获取延迟或失败的情况发生,通过终端的当前安全指标信息和应用防护策略,可以及时、准确地确定出是否能够将监测到的对外访问请求放通,可以对终端中应用的对外访问进行有效管控,保证终端安全性。本申请还公开了另一种网络访问控制方法、装置、设备及存储介质,具有相应技术效果。有相应技术效果。有相应技术效果。


技术研发人员:王会龙 陈楚明
受保护的技术使用者:深信服科技股份有限公司
技术研发日:2021.11.29
技术公布日:2022/3/8

专利

最新回复(0)