应用的访问控制方法、装置、终端设备及介质与流程

1.本发明涉及终端设备技术领域，尤其是涉及一种应用的访问控制方法、装置、终端设备以及计算机可读存储介质。


背景技术：

2.访问控制是一种基础的网络安全机制，通过在防火墙上配置acl(访问控制列表)，以限制非法访问，达到保护目的网络的方法。传统的acl基于源ip、源端口、协议号、目的ip、目的端口(简称五元组)进行配置，在早期网络环境中，可以根据端口识别出应用。近年来随着移动互联网的发展，传统的acl已经无法满足日益复杂的网络安全需求。在当今的网络环境中，有海量应用都是基于知名端口，已无法根据端口来精准的识别应用。因此，基于应用的访问控制技术应运而生。
3.如图1所示，基于应用的访问控制技术原理是基于特征匹配或流匹配的方法，根据报文内容的特征与应用特征库匹配，识别出应用后再根据应用访问控制策略进行阻断或放行。这种方法一定程度上可以解决应用控制的问题，但是也带来了新的隐患。互联网应用多数是基于连接的，需要客户端与服务器建立连接，并在进行数据交互之后才能识别出是哪种应用，导致在识别出应用种类之前已有一些未经授权的报文穿过防火墙，造成一定的安全隐患，也与防火墙“默认禁止”的原则相悖。另外，应用代理技术也是一种应用层安全技术，如图2所示，通过完整的应用层解析与过滤，实现对应用的控制。在安全性方面高过五元组和特征匹配。但是应用代理技术需要为每一种应用开发专门的软件，应用代理产品通常针对单一应用，如邮件代理、web代理等，另外由于应用代理需要做到完整的应用层解析，因此性能开销较大且应用场景十分有限。
4.综上所述，现有针对应用的访问控制技术存在准确度低、性能开销大和应用场景有限等问题，进而降低了用户体验。


技术实现要素：

5.本发明的主要目的在于提供一种应用的访问控制方法、装置、终端设备以及计算机可读存储介质，旨在提升针对应用的访问控制安全性。
6.为实现上述目的，本发明提供一种应用的访问控制方法，所述应用的访问控制包括：
7.在接收到预设客户端发送的连接交互请求后，根据所述连接交互请求对预设应用行为库进行查询；
8.在查询成功后通过所述防火墙对所述连接交互请求进行代理应答，同时基于所述连接交互请求进行应用特征匹配，以对应用进行识别，并在识别成功后根据预设执行策略对所述应用进行访问控制。
9.可选地，所述根据所述连接交互请求对预设应用行为库进行查询的步骤，包括：
10.获取所述连接交互请求中的报文信息，并根据所述报文信息对预设应用行为库进
行查询。
11.可选地，所述预设应用行为库中包括防火墙进行代理应答时所需的应用行为特征信息。
12.可选地，在所述根据所述连接交互请求对预设应用行为库进行查询的步骤之后，还包括：
13.在查询失败时按照预设应用控制方式继续对应用进行访问控制。
14.可选地，所述预设执行策略包括：允许访问策略，所述在识别成功后根据预设执行策略对所述应用进行访问控制的步骤，包括：
15.在识别成功后根据所述允许访问策略，允许所述应用对预设的服务器端进行访问。
16.可选地，在所述允许所述应用对预设的服务器端进行访问的步骤之后，还包括：
17.重建所述防火墙与预设的服务器端之间的连接，使得所述应用对所述服务器端进行访问。
18.可选地，所述预设执行策略包括：拒绝访问策略，所述在识别成功后基于预设执行策略控制所述应用对所述服务器端的访问的步骤，还包括：
19.在识别成功后根据所述拒绝访问策略，拒绝所述应用对预设的服务器端进行访问。
20.为实现上述目的，本发明还提供一种应用的访问控制装置，所述应用的访问控制装置，包括：
21.防火墙，所述防火墙用于通过代理应答和应用特征匹配的方式对应用进行访问控制。
22.其中，本发明应用的访问控制装置的防火墙在运行时均实现如上所述的应用的访问控制方法的步骤。
23.为实现上述目的，本发明还提供一种终端设备，所述终端设备包括：存储器、处理器和存储在所述存储器上并可在所述处理器上运行的应用的访问控制程序，所述应用的访问控制程序被所述处理器执行时实现如上所述的应用的访问控制方法的步骤。
24.此外，为实现上述目的，本发明还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有应用的访问控制程序，所述应用的访问控制程序被处理器执行时实现如上所述的应用的访问控制方法的步骤。
25.此外，为实现上述目的，本发明还提供计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现如上所述的应用的访问控制方法的步骤。
26.本发明提供一种应用的访问控制方法、装置、终端设备、计算机可读存储介质以及计算机程序产品，应用的访问控制方法包括以下步骤：在接收到预设客户端发送的连接交互请求后，根据所述连接交互请求对预设应用行为库进行查询；在查询成功后通过所述防火墙对所述连接交互请求进行代理应答，同时基于所述连接交互请求进行应用特征匹配，以对应用进行识别，并在识别成功后根据预设执行策略对所述应用进行访问控制。
27.相比于现有技术中采用特征匹配或者应用代理的方式对应用的访问进行控制，在本发明中，防火墙根据客户端发起的连接交互请求对预设应用行为库进行查询，并在查询
成功后直接进行代理应答，建立防火墙与客户端的连接，同时对应用进行识别，在识别出应用之前不放行任何未经授权的报文，避免了未经授权的报文穿过防火墙到达服务器端，因此，本发明通过防火墙代理应答的方式，实现了精准的应用的访问控制，并且性能开销小，且该应用的访问控制方法适用于各种场景，提升了用户体验。
附图说明
28.图1为本发明背景技术中所涉及的传统应用控制处理方式第一示意图；
29.图2为本发明背景技术中所涉及的传统应用控制处理方式第二示意图；
30.图3为本发明实施例方案涉及的硬件运行环境的结构示意图；
31.图4为本发明应用的访问控制方法一实施例的流程示意图；
32.图5为本发明应用的访问控制方法一实施例的三端交互示意图。
33.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
34.应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
35.如图3所示，图3是本发明实施例方案涉及的硬件运行环境的设备结构示意图。
36.需要说明的是，本发明实施例终端设备可以是用于实现多类型数据源的数据抽取的终端设备，该终端设备具体可以是智能手机、个人计算机和服务器等。
37.如图3所示，该设备可以包括：处理器1001，例如cpu，网络接口1004，用户接口1003，存储器1005，通信总线1002。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如wi-fi接口)。存储器1005可以是高速ram存储器，也可以是稳定的存储器(non-volatile memory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储系统。
38.本领域技术人员可以理解，图3中示出的设备结构并不构成对设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
39.如图3所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及应用的访问控制程序。操作系统是管理和控制设备硬件和软件资源的程序，支持应用的访问控制程序以及其它软件或程序的运行。在图3所示的设备中，用户接口1003主要用于与客户端进行数据通信；网络接口1004主要用于与服务器建立通信连接；而处理器1001可以用于调用存储器1005中存储的应用的访问控制程序，并执行以下操作：
40.在接收到预设客户端发送的连接交互请求后，根据所述连接交互请求对预设应用行为库进行查询；
41.在查询成功后通过所述防火墙对所述连接交互请求进行代理应答，同时基于所述连接交互请求进行应用特征匹配，以对应用进行识别，并在识别成功后根据预设执行策略对所述应用进行访问控制。
42.进一步地，处理器1001还可以用于调用存储器1005中存储的应用的访问控制程
序，还执行以下操作：
43.获取所述连接交互请求中的报文信息，并根据所述报文信息对预设应用行为库进行查询。
44.进一步地，所述预设应用行为库中包括防火墙进行代理应答时所需的应用行为特征信息。
45.进一步地，在所述根据所述连接交互请求对预设应用行为库进行查询的步骤之后，处理器1001还可以用于调用存储器1005中存储的应用的访问控制程序，还执行以下操作：
46.在查询失败时按照预设应用控制方式继续对应用进行访问控制。
47.进一步地，所述预设执行策略包括：允许访问策略，处理器1001还可以用于调用存储器1005中存储的应用的访问控制程序，还执行以下操作：
48.在识别成功后根据所述允许访问策略，允许所述应用对预设的服务器端进行访问。
49.进一步地，在所述允许所述应用对预设的服务器端进行访问的步骤之后，处理器1001还可以用于调用存储器1005中存储的应用的访问控制程序，还执行以下操作：
50.重建所述防火墙与预设的服务器端之间的连接，使得所述应用对所述服务器端进行访问。
51.进一步地，所述预设执行策略包括：拒绝访问策略，处理器1001还可以用于调用存储器1005中存储的应用的访问控制程序，还执行以下操作：
52.在识别成功后根据所述拒绝访问策略，拒绝所述应用对预设的服务器端进行访问。
53.参照图4，图4为本发明应用的访问控制方法第一实施例的流程示意图。
54.在本实施例中，提供了应用的访问控制方法的实施例，需要说明的是，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以不同于此处的顺序执行所示出或描述的步骤。
55.步骤s10，在接收到预设客户端发送的连接交互请求后，根据所述连接交互请求对预设应用行为库进行查询；
56.防火墙构成了应用的访问控制系统，防火墙接收通过客户端向服务器端发起的连接请求，并在接收到该连接交互请求后，将基于该连接交互请求对预设应用行为库进行查询，以根据查询结果确定是否通过防火墙进行代理应答。
57.需要说明的是，在本实施例中，查询结果可以分为查询失败或者查询成功，只有在查询成功后防火墙才会进行防火墙代理应答，避免在识别出应用之前放过任何一个报文。
58.步骤s20，在查询成功后通过所述防火墙对所述连接交互请求进行代理应答，同时基于所述连接交互请求进行应用特征匹配，以对应用进行识别，并在识别成功后根据预设执行策略对所述应用进行访问控制。
59.防火墙在根据连接交互请求对预设应用行为库进行查询，并在查询成功后，将针对该连接交互请求进行代理应答，以实现在识别出应用之前不放行任何一个报文。同时，根据该连接交互请求进行应用特征匹配，以实现对应用的识别，并在识别成功后根据预设执行策略确定是否允许应用对服务器端进行访问。
60.需要说明的是，在本实施例中，不同的应用通常会采用不同的协议，而不同的应用协议具有各自的特征。防火墙对应用进行识别时，可先提取报文中的特征信息，然后根据提取到的特征信息进行应用特征匹配，确定业务流量所承载的应用，以实现对应用的识别，进而对流量进行应用控制。除了基于预设执行策略控制所述应用对所述服务器端的访问，还可以对应用的带宽进行管理，包括限制用户访问某些应用的带宽，还可以对应用的智能选路进行管理，比如，办公相关应用的访问走高速链路，视频/游戏类应用的访问走低速链路。
61.进一步地，在上述步骤s10中，“根据所述连接交互请求对预设应用行为库进行查询”，可以包括：
62.步骤s101，获取所述连接交互请求中的报文信息，并根据所述报文信息对预设应用行为库进行查询。
63.连接交互请求中包含多个报文信息，防火墙在接收到包含多个报文的交互请求后，将通过报文中所包含的行为特征对预设应用行为库进行查询，以在查询成功后建立防火墙与客户端的连接，并在通过防火墙识别出应用重建防火墙与服务端连接，以实现不在识别出应用之前放行任何一个报文。
64.需要说明的是，在本实施例中，报文中所包含的某些特定字段和行为特征可以包括特定的端口、特定的字符串、特定的比特序列、下行流量比例、报文发送频率和报文长度变化规律等。
65.需要说明的是，在本实施例中，如图5所示，客户端可与防火墙进行1至n次交互，若是在n次内都未识别出应用，则将拒绝该应用对服务器端的访问。在本实施例中不对n做具体限定。
66.进一步地，所述预设应用行为库中包括防火墙进行代理应答时所需的应用行为特征信息。
67.传统的“应用识别特征库”中仅包含识别应用的必要信息，包括：特定的端口、特定的字符串或者特定的比特序列等。而“应用行为特征库”中，也包含由代理应答所需的信息，包括下行流量比例、报文发送频率和报文长度变化规律等应用行为特征。
68.在本实施例中，防火墙接收通过客户端向服务器端发起的连接请求，并在接收到该连接交互请求后，将基于该连接交互请求对预设应用行为库进行查询，以根据查询结果确定是否进行代理应答。防火墙在根据连接交互请求对预设应用行为库进行查询，并在查询成功后，将针对该连接交互请求进行代理应答，以实现在识别出应用之前不放行任何一个报文。同时，根据该连接交互请求进行应用特征匹配，以实现对应用的识别，并在识别成功后根据预设执行策略确定是否允许应用对服务器端进行访问。
69.相比于现有技术中采用特征匹配或者应用代理的方式对应用的访问进行控制，在本发明中，防火墙根据客户端发起的连接交互请求对预设应用行为库进行查询，并在查询成功后直接进行代理应答，建立防火墙与客户端的连接，同时对应用进行识别，在识别出应用之前不放行任何未经授权的报文，避免了未经授权的报文穿过防火墙到达服务器端，因此，本发明通过防火墙代理应答的方式，实现了精准的应用的访问控制，提升了访问控制安全性，并且性能开销小，且该应用的访问控制方法适用于各种场景，提升了用户体验。
70.进一步地，基于上述本发明应用的访问控制方法的第一实施例，提出本发明应用的访问控制方法的第二实施例。
71.本实施例与第一实施例的区别在于，在本实施例中，上述步骤s20中，“在识别成功后根据预设执行策略对所述应用进行访问控制”，包括：
72.步骤s201，在识别成功后根据所述允许访问策略，允许所述应用对预设的服务器端进行访问。
73.需要说明的是，在本实施例中，为了实现了各个应用的针对性管理，可针对不同的应用设置不同的执行策略，在本实施例中针对应用对服务器端的访问进行控制，执行策略可以包括：允许访问策略和拒绝访问策略。
74.具体地，例如，防火墙在识别出应用后，为了实现对应用访问的精准控制，将进一步基于预设执行策略对应用的访问权限进行管理，比如，若是执行策略为允许访问策略，那么防火墙在对已识别出的应用执行相应策略后将允许该应用对服务器端进行访问。
75.进一步地，在上述步骤s201，“允许所述应用对所述服务器端进行访问”之后，还包括：
76.步骤s202，重建所述防火墙与预设的服务器端的连接，使得所述应用对所述服务器端进行访问。
77.防火墙在识别出应用，并基于预设执行策略允许该应用对服务器端进行访问之后，将重建防火墙与服务器端的连接，使得应用可以对服务器端发起访问，并进行数据的传输。
78.需要说明的是，在本实施例中，如图5所示，防火墙在与服务器端建立连接后，防火墙会把与客户端的交互信息全部发送至服务器端，使得应用可与服务器端进行信息交互和数据传输。
79.进一步地，上述步骤s20中，“在识别成功后基于预设执行策略控制所述应用对所述服务器端的访问”，还包括：
80.步骤s203，在识别成功后根据所述拒绝访问策略，拒绝所述应用对预设的服务器端进行访问。
81.需要说明的是，在本实施例中，在针对不同的应用设置不同的执行策略时，执行策略为拒绝访问策略。
82.具体地，例如，防火墙在识别出应用后，为了实现对应用访问的精准控制，将进一步基于预设执行策略对应用的访问权限进行管理，比如，若是执行策略为拒绝访问策略，那么防火墙在对已识别出的应用执行相应策略后将拒绝该应用对服务器端进行访问，即意味着该应用不具备访问服务器端的权限，此时，防火墙也不再与服务器端重新建立连接。
83.进一步地，在上述步骤s10，“根据所述连接交互请求对预设应用行为库进行查询”之后，还包括：
84.步骤s30，在查询失败时按照预设应用控制方式继续对应用进行访问控制。
85.需要说明的是，在本实施例中，预设应用控制方式可以包括：传统特征匹配控制方式。如图1所示，传统特征匹配控制方式包括；防火墙对连接与交互进行特征匹配并放行报文；如果识别出应用，并根据策略配置放行或阻断后续报文；如果在指定交互次数之内没有识别出应用，则阻断连接。在此种控制方式中，防火墙只起到了特征匹配的作用。
86.具体地，例如，防护墙在基于交互请求对预设应用行为库进行查询时，若是查询失败或者查询出现冲突，则将按照传统特征匹配控制方式或者应用层代理控制方式对应用访
问进行管理和控制，实现了针对应用的精准控制。
87.在本实施例中，防火墙在识别出应用后，为了实现对应用访问的精准控制，将进一步基于预设执行策略对应用的访问权限进行管理，比如，若是执行策略为允许访问策略，那么防火墙在对已识别出的应用执行相应策略后将允许该应用对服务器端进行访问，并重建与服务器端的连接，使得应用可以通过客户端对服务器端发起访问，并进行数据的传输。若是执行策略为拒绝访问策略，那么防火墙在对已识别出的应用执行相应策略后将拒绝该应用对服务器端进行访问。另外，防护墙在基于交互请求对预设应用行为库进行查询时出现是查询失败或者查询出现冲突的情况，则按照传统特征匹配控制方式或者应用层代理控制方式对应用访问进行管理和控制。
88.在本发明中优先采用防火墙进行代理应答和应用特征匹配，并在基于交互请求对预设应用行为库进行查询时出现查询失败的情况下，继续采用传统特征匹配控制方式或者应用层代理控制方式对应用访问进行控制。因此，本发明通过防火墙代理应答的方式，在未识别出应用之前将不会放行任何应用，实现了针对应用访问服务器端的高精度管控，既节省了系统性能消耗，也提升了应用的访问控制安全性，进而提升了用户体验。
89.此外，本发明实施例还提出一种应用的访问控制装置，本发明应用的访问控制装置，包括：
90.防火墙，所述防火墙用于通过代理应答和应用特征匹配的方式对应用进行访问控制。
91.本发明应用的访问控制装置的防火墙的具体实施方式与上述应用的访问控制方法各实施例基本相同，在此不做赘述。
92.此外，本发明实施例还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有应用的访问控制程序，所述应用的访问控制程序被处理器执行时实现如上所述的应用的访问控制方法的步骤。
93.本发明应用的访问控制装置和计算机可读存储介质的各实施例，均可参照本发明应用的访问控制方法各个实施例，此处不再赘述。
94.此外，本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现如以上应用的访问控制方法的任一项实施例所述的应用的访问控制方法的步骤。
95.本发明计算机程序产品的具体实施例与上述应用的访问控制方法的各实施例基本相同，在此不作赘述。
96.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
97.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
98.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做
出贡献的部分可以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是智能手机、个人计算机和服务器等)执行本发明各个实施例所述的方法。
99.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。