1.本技术涉及云技术领域中的安全技术,尤其涉及一种零信任网络的访问请求处理方法、装置、电子设备及计算机可读存储介质。
背景技术:
2.零信任网络中授权用户可通过任何一个可信应用访问到任一个可达区域,为了保证零信任网络中的数据访问请求的安全性以及可信任,相关技术中采取基于客户端周期性上报信息的静态合规检测方案对零信任网络进行安全防护。
3.然而,相关技术提供的静态合规检测方案中,仅依赖于客户端的周期性检测进行被动的安全防护,无法有效防御复杂多样的网络攻击。
技术实现要素:
4.本技术实施例提供一种零信任网络的访问请求处理方法、装置、电子设备及计算机可读存储介质,能够通过动态合规检测策略提高响应数据访问请求的安全性。
5.本技术实施例的技术方案是这样实现的:
6.本技术实施例提供一种零信任网络的访问请求处理方法,包括:
7.接收合规检查数据,其中,所述合规检查数据是基于针对零信任网络的数据访问请求生成的;
8.将所述合规检查数据与所述零信任网络的动态合规检测策略进行匹配处理,得到所述动态合规检测策略中表征异常数据访问请求的异常动态评估因子;
9.当所述异常动态评估因子满足动态验证条件时,发起对应所述动态合规检测策略的动态验证;
10.根据所述动态验证的结果,针对所述数据访问请求执行符合所述动态合规检测策略的操作。
11.本技术实施例提供一种零信任网络的访问请求处理装置,包括:
12.接收模块,用于接收合规检查数据,其中,所述合规检查数据是基于针对零信任网络的数据访问请求生成的;
13.匹配模块,用于将所述合规检查数据与所述零信任网络的动态合规检测策略进行匹配处理,得到所述动态合规检测策略中表征异常数据访问请求的异常动态评估因子;
14.验证模块,用于当所述异常动态评估因子满足动态验证条件时,发起对应所述动态合规检测策略的动态验证;
15.响应模块,用于根据所述动态验证的结果,针对所述数据访问请求执行符合所述动态合规检测策略的操作。
16.在上述方案中,所述匹配模块,还用于将所述合规检查数据与所述零信任网络的动态合规检测策略进行匹配处理,得到所述动态合规检测策略中表征异常数据访问请求的异常动态评估因子之前,响应于针对至少一个动态评估因子的配置操作,获取每个所述动
态评估因子的优先级以及异常条件;将至少一个所述动态评估因子的优先级以及异常条件确定为所述动态合规检测策略。
17.在上述方案中,所述验证模块,还用于发起对应所述动态合规检测策略的动态验证之前,响应于针对所述动态验证的配置操作,获取对应所述动态验证的固定动态验证规则以及非固定动态验证规则;将对应所述动态验证的固定动态验证规则以及非固定动态验证规则封装至所述动态合规检测策略,并将所述动态合规检测策略下发至接收所述数据访问请求的零信任网络客户端;获取与所述固定动态验证规则匹配的基准数据,其中,所述基准数据用于在所述动态验证的过程中作为验证依据。
18.在上述方案中,所述验证模块,还用于当所述固定的动态验证规则为安装有所述零信任网络客户端的终端的硬件属性时,获取以下基准数据至少之一:所述终端的设备标识、所述终端的资产编号、所述终端的系统盘序列号、所述终端的基本输入输出系统的版本;当所述固定的动态验证规则为对应所述零信任网络客户端的软件属性时,获取以下基准数据至少之一:所述零信任网络客户端的二进制文件的签名信息、所述零信任网络客户端的二进制文件的哈希信息、所述零信任网络客户端的二进制文件的内存信息、所述零信任网络客户端的二进制文件的版本信息;当所述固定的动态验证规则为所述零信任网络客户端的关键服务时,获取以下基准数据中至少之一:所述关键服务的运行状态,所述关键服务的活跃度、所述关键服务对应的可执行文件、所述关键服务的加载组件;当所述固定的动态验证规则为所述零信任网络客户端的关键线程时,获取以下基准数据中至少之一:所述关键线程的线程起始函数,所述关键线程的组件、所述关键线程的堆栈信息;当所述固定的动态验证规则为所述零信任网络客户端的终端的真实性数据时,获取以下所述基准数据中至少之一:所述零信任网络客户端以及对应的零信任网络服务器配置的协议数据、所述零信任网络客户端向所述零信任网络服务器发送的历史心跳数据。
19.在上述方案中,所述接收模块,还用于:当所述数据访问请求是针对零信任网络客户端的登录请求时,接收安装有所述零信任网络客户端的终端的硬件属性,并作为所述合规检查数据;当所述数据访问请求是针对目标业务地址的访问请求时,接收零信任网络客户端的登录信息、用户位置、硬件属性、对应所述访问请求的票据信息以及所述目标业务地址对应的应用信息,并作为所述合规检查数据。
20.在上述方案中,所述动态合规检测策略中配置的动态评估因子为用户位置因子,所述匹配模块,还用于:获取所述数据访问请求的用户位置;将所述用户位置与所述用户位置因子的异常位置条件进行匹配处理;当所述匹配结果表征所述用户位置满足所述用户位置因子的异常位置条件时,将所述用户位置因子确定为表征异常数据访问请求的异常动态评估因子;其中,所述异常位置条件包括以下至少之一:查询到与所述数据访问请求对应的多个所述用户位置;对应所述数据访问请求的用户位置与历史基准位置之间的距离大于距离阈值。
21.在上述方案中,所述动态合规检测策略中配置的动态评估因子为应用因子,所述匹配模块,还用于:获取所述数据访问请求对应的进程数据;将所述进程数据与所述应用因子的异常进程条件进行匹配处理;当所述匹配结果表征所述进程数据满足所述应用因子的异常进程条件时,将所述应用因子确定为表征异常数据访问请求的异常动态评估因子;其中,所述异常进程条件包括以下至少之一:对应所述数据访问请求的业务应用客户端的应
用进程经检测存在异常;对应所述数据访问请求的零信任网络客户端的组件进程经检测存在异常。
22.在上述方案中,所述动态合规检测策略中配置的动态评估因子为访问行为因子,所述匹配模块,还用于:获取所述数据访问请求的访问行为数据;将所述访问行为数据与所述访问行为因子的异常行为条件进行匹配处理;当所述匹配结果表征所述访问行为数据满足所述访问行为因子的异常行为条件时,将所述访问行为因子确定为表征异常数据访问请求的异常动态评估因子;其中,所述异常行为条件包括以下至少之一:所述数据访问请求的时间与历史基准时间的第一时间间隔大于第一时间间隔阈值;对应所述数据访问请求的网络地址与历史网络地址不同;针对所述数据访问请求的用户账号,确定所述数据访问请求与所述用户账号针对所述网络地址的最近历史数据访问请求的第二时间间隔,所述第二时间间隔小于第二时间间隔阈值。
23.在上述方案中,所述动态合规检测策略中配置的动态评估因子为终端因子,所述匹配模块,还用于:获取所述数据访问请求的终端数据;将所述终端数据与所述终端因子的异常终端条件进行匹配处理;当所述匹配结果表征所述终端数据满足所述终端因子的异常终端条件时,将所述终端因子确定为表征异常数据访问请求的异常动态评估因子;其中,所述异常终端条件包括以下至少之一:发起所述数据访问请求的用户账号在多个终端同时登录;对应所述数据访问请求的终端信息与活跃终端信息不匹配。
24.在上述方案中,所述验证模块,还用于:当所述异常动态评估因子为终端因子时,向对应所述数据访问请求的终端发送基于硬件属性的第一动态验证请求;当在第一动态验证时间阈值内所述终端返回的用于响应所述第一动态验证请求的硬件属性响应数据与对应所述第一动态验证请求的基准硬件数据相同,且针对每次所述第一动态验证请求每个所述终端收到一次所述硬件属性响应数据时,确定通过对应所述第一动态验证请求的第一动态验证,并继续响应所述数据访问请求;当在所述第一动态验证时间阈值内所述终端返回的用于响应所述第一动态验证请求的硬件属性响应数据与对应所述第一动态验证请求的基准硬件数据不相同,或者,针对每次所述第一动态验证请求,当每个所述终端多次收到所述硬件属性响应数据时,确定对应所述第一动态验证请求的第一动态验证失败。
25.在上述方案中,所述验证模块,还用于:当所述异常动态评估因子为访问行为因子或者用户位置因子时,向对应所述数据访问请求的终端发送基于多个维度的身份属性第二动态验证请求;当在第二动态验证时间阈值内,所述终端返回的多个维度的身份属性响应数据与对应所述第二动态验证请求的基准身份数据相同时,确定通过对应所述第二动态验证请求的第二动态验证,并继续响应所述数据访问请求,其中,所述多个维度的身份属性响应数据用于响应所述第二动态验证;当在所述第二动态验证时间阈值内,所述终端返回的至少一个维度的身份属性响应数据与对应所述第二动态验证请求的基准身份数据不相同时,确定对应所述第二动态验证请求的第二动态验证失败,其中,所述至少一个维度的身份属性响应数据用于响应所述第二动态验证。
26.在上述方案中,所述验证模块,还用于:当所述异常动态评估因子为应用因子时,向对应所述数据访问请求的终端发送基于进程数据的第三动态验证请求;当在第三动态验证时间阈值内,所述终端返回的用于响应所述第三动态验证的进程响应数据与对应所述第三动态验证请求的基准进程数据相同时,确定通过对应所述第三动态验证请求的第三动态
验证并继续响应所述数据访问请求;当在所述第三动态验证时间阈值内,所述终端返回的用于响应所述第三动态验证的进程响应数据与对应所述第三动态验证请求的基准进程数据不相同时,确定对应所述第三动态验证请求的第三动态验证失败。
27.在上述方案中,所述验证模块,还用于:向对应所述数据访问请求的终端发送携带密文的第四动态验证请求;当在第四动态验证时间阈值内,所述终端返回的用于响应所述第四动态验证请求的明文与对应所述第四动态验证请求的基准明文相同时,确定通过对应所述第四动态验证请求的第四动态验证,并继续响应所述数据访问请求;其中,所述明文是基于所述终端的解密密钥得到的,所述解密密钥是所述终端基于加解密映射表生成的;当在所述第四动态验证时间阈值内,所述终端返回的用于响应所述第四动态验证请求的明文与对应所述第四动态验证请求的基准明文不相同时,确定对应所述第四动态验证请求的第四动态验证失败。
28.在上述方案中,所述响应模块,还用于:当所述异常动态评估因子满足限制响应条件时,从所述动态合规检测策略中查询对应所述异常动态评估因子的响应限制操作,并针对所述数据访问请求执行所述响应限制操作;其中,所述响应限制操作包括以下至少之一:屏蔽响应所述数据访问请求对应的终端;屏蔽响应所述数据访问请求对应的用户账号;屏蔽响应所述数据访问请求;其中,所述限制响应条件对应的异常动态评估因子的风险级别程度高于所述动态验证条件对应的异常动态评估因子的风险级别程度。
29.在上述方案中,所述响应模块,还用于:从所述动态合规检测策略中查询对应所述异常动态评估因子的响应限制操作,并针对所述数据访问请求执行所述响应限制操作;其中,所述响应限制操作包括以下至少之一:屏蔽响应所述数据访问请求对应的终端;屏蔽响应所述数据访问请求对应的用户账号;屏蔽响应所述数据访问请求。
30.本技术实施例提供一种电子设备,包括:
31.存储器,用于存储可执行指令;
32.处理器,用于执行所述存储器中存储的可执行指令时,实现本技术实施例提供的零信任网络的访问请求处理方法。
33.本技术实施例提供一种计算机可读存储介质,存储有可执行指令,用于被处理器执行时,实现本技术实施例提供的零信任网络的访问请求处理方法。
34.本技术实施例具有以下有益效果:
35.以数据访问请求为触发识别异常访问行为并发起相应的验证,从而主动检测到异常访问行为的发生,以提高异常行为发现的效率和准确率,并且在满足动态验证条件时才进行主动验证,可以减少过多频繁的全量安全检测所导致的带宽占用,还可以提高安全防护的精准度,增强了零信任网络的可用性和安全性。
附图说明
36.图1是本技术实施例提供的零信任网络的访问请求处理系统的结构示意图;
37.图2是本技术实施例提供的电子设备的结构示意图;
38.图3a-3d是本技术实施例提供的零信任网络的访问请求处理方法的流程示意图;
39.图4a-4g是本技术实施例提供的合规检测界面示意图;
40.图5是本技术实施例提供的零信任网络的访问过程示意图;
41.图6是本技术实施例提供的零信任网络的访问处理系统的架构示意图;
42.图7是本技术实施例提供的零信任网络的访问处理系统的架构示意图;
43.图8是本技术实施例提供的编译打包流程图;
44.图9是相关技术中静态合规检测的功能示意图;
45.图10是本技术实施例提供的零信任网络的访问处理系统的架构示意图。
具体实施方式
46.为了使本技术的目的、技术方案和优点更加清楚,下面将结合附图对本技术作进一步地详细描述,所描述的实施例不应视为对本技术的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本技术保护的范围。
47.在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
48.在以下的描述中,所涉及的术语“第一\第二\第三”仅仅是是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本技术实施例能够以除了在这里图示或描述的以外的顺序实施。
49.除非另有定义,本文所使用的所有的技术和科学术语与属于本技术的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本技术实施例的目的,不是旨在限制本技术。
50.对本技术实施例进行进一步详细说明之前,对本技术实施例中涉及的名词和术语进行说明,本技术实施例中涉及的名词和术语适用于如下的解释。
51.1)零信任网络:用于供访问主体与访问客体之间的通信架构,以身份认证为基础,具有业务安全访问、持续信任评估和动态访问控制的能力,通过零信任网络客户端(例如智能办公自动化系统(ioa,intelligent office automation)客户端)使用零信任网络的功能。
52.2)访问主体:在零信任网络中,发起访问的一方,例如可以是访问内网业务资源的人、设备或者应用等。
53.3)访问客体:在零信任网络中,被访问的一方,例如可以是企业内网的业务资源、数据、开发测试环境和运维环境等。
54.4)直连访问:在零信任网络架构中,当某个应用对目标站点发起网络访问请求时,由零信任网络代理端(例如全流量代理)劫持到请求后,经由全流量代理直接向目标站点发起网络访问请求,即发起直接连接的访问,并由全流量代理将该目标站点的网络响应发送给该应用,这种访问模式称为直连访问。
55.5)代理访问:在零信任网络架构中,某个应用对目标站点发起网络访问请求,由全流量代理劫持到请求后,由全流量代理向零信任网络网关(例如智能网关)发起请求转发,经由智能网关代理针对目标站点的访问,访问后由智能网关将该目标站点的网络响应发送给全流量代理,由全流量代理将目标站点的网络响应转发至该应用,这种访问模式称为代理访问。
56.7)零信任网络网关:部署在企业应用程序和数据资源的入口,负责对每一个访问企业资源的会话请求进行验证和请求转发。
57.8)可信应用:管理端授信的、终端可访问内部业务系统的应用载体,包括应用名,应用的md5值,签名信息等。
58.9)可达区域:终端用户可以通过零信任网络访问企业设置的内部站点列表。
59.10)登录凭证:用户成功登录ioa客户端后,ioa服务器为该用户指定的一个加密串,表示该用户的登录授权信息,包括用户信息和授权有效期,加密存储在客户端。
60.11)网络请求凭证:ioa服务器为单个网络请求发放的授权信息,用于标识该网络请求的授权状态。
61.12)零信任访问控制策略:由用户可使用的进程信息(可信应用)以及可访问的业务站点(可达区域)组成,在权限开通的情况下,用户可通过任何一个可信应用访问到任一个可达区域。零信任访问控制策略的粒度为登录用户,允许为不同的登录用户制定不同的零信任策略。
62.13)访问代理:终端访问代理是部署于受控设备的发起安全访问的终端代理,负责发起请求验证访问主体可信身份,验证身份可信,即可与访问网关建立加密的访问连接,同时也是访问控制的策略执行点。
63.14)服务寻址:在分布式级联部署方式中,各不同的业务部署在不同的服务器中,寻找客户端不同的业务模块关心的后台服务所部署的服务器连接地址的过程即为服务寻址。
64.15)cache颠簸:在当前任务被抢占时,当前cache中的内容需要被接下来获得运行权的进程覆盖,接下来待运行的进程需要花费时间将cache预热才能达到良好的运行效率,同时,在保存和恢复上下文的过程中cache中的数据会失效,在此期间缓存从失效状态到最后可用状态之间的过程被称为cache颠簸。
65.16)白盒密码技术:白盒密码技术是一项能够抵抗白盒攻击的密码技术,白盒密码技术从实现方式上可以分为两类:静态白盒和动态白盒。
66.17)动态验证:由服务器自动或者由管理端手动下发的针对真实客户端的动态检测。通过下发动态指令校验运行上下文和有没有正确返回验证信息来判断否是真实客户端。
67.19)静态密钥白盒:将算法的密钥和指定的加密算法绑定混淆,生成密钥白盒,一个密钥对应一个密钥白盒,以文件形式存在,在开发应用程序时需集成到工程里编译生成二进制文件。
68.20)敏感信息:包括用户id,密码等在内的用户的登录信息,以及登录凭证和网络访问凭据。
69.21)ci系统:持续集成(continuous integration)系统提供持续集成功能,持续集成(ci)是在软件产品源代码变更后自动环境检测、拉取代码、代码扫描、编译构建(在某些情况下包括单元测试)的自动化处理过程。提供针对软件产品的包括代码安全扫描、全量编译构建、出包、单元测试、自动部署等流程在内的自动化系统。
70.22)业务模块:由多个文件组成的完成某些特定功能的集合,模块的概念除了可以更清晰的描述产品,还可以更方便的指定要安装卸载的内容,如可以指定仅安装一个“威胁
响应”模块或“应用软件管理”模块。
71.23)策略:管理员在管理端下发的用于企业终端管理的一系列规则集合。包括补丁修复、零信任网络管控、安全加固策略等,策略包括票据、时效、有效次数等敏感信息。
72.相关技术中提供基于客户端周期性上报信息的静态合规检测方案,即客户端周期性将设备相关的信息上报到ioa服务器,ioa服务器通过上报数据检查设备信息是否与设定的列表信息相符,以此检查设备是否合规。参见图9,图9是相关技术中静态合规检测的功能示意图,ioa客户端周期性检测静态合规规则,并上报ioa服务器,ioa客户端常驻在终端中,持续周期性地静默执行病毒查杀,漏洞修复,安全加固,数据保护,实时防护,心跳检测等功能,ioa客户端根据ioa服务器下发制定的策略执行终端安全性检测、终端管控加固和终端异常修复,当识别出安装了ioa客户端且经病毒查杀,实时防护等检测表征安全的终端,才允许执行ioa零信任网络访问,如果经过检测有可自动修复的异常项,则ioa客户端根据ioa服务器的策略执行自动修复,如果经检测发现有需要用户手动修复的异常项,则ioa客户端通过展示异常项,异常原因和修复建议提醒用户,在用户修复这些问题之前,禁止用户登录执行身份认证和零信任访问,通过上述过程实现静态合规检测。
73.相关技术的缺陷在于:第一、严重依赖ioa客户端的上报数据和上报周期,因为终端易受攻击者的逆向和破解,敏感信息容易被冒用从而进行企业网络的违规访问,上报周期设置过长易导致安全检测低效,而上报周期设置过短会占用较多的企业网络带宽和流量,同时因为网络连接增多增加业务服务器压力;第二、合规检测项被硬线到终端,没有或较少做分级和自动触发处理,不能主动发现和应对风险,且无法对用户行为作持续动态的评估,对异常行为和攻击行为识别能力不强,没有利用敏感因子进行联动处理,当攻击行为发生时,不能快速识别和应对。
74.本技术实施例提供一种零信任网络的访问请求处理方法、装置、电子设备和计算机可读存储介质,能够通过动态合规检测策略提高响应数据访问请求的安全性。
75.下面说明本技术实施例提供的电子设备的示例性应用,本技术实施例提供的设备可以实施为服务器。下面,将说明电子设备实施为服务器时示例性应用。
76.参见图1,图1是本技术实施例提供的零信任网络的访问请求处理系统的结构示意图,如图1所示,终端400是用户所关联的终端,在终端400上运行有应用程序410、零信任网络代理端402和零信任网络客户端403,其中,应用程序410可以是各种类型的应用程序,例如视频播放类应用程序、在线会议类应用程序、直播类应用程序、新闻类应用程序以及即时通信类应用程序等。需要说明的是,应用程序410是指经过零信任网络服务器200授信的可以访问内部业务系统(例如业务服务器500)的应用程序。
77.零信任网络代理端402用于劫持应用程序410发送的访问请求,当零信任网络代理端402劫持到应用程序410发送的数据访问请求时,首先向零信任网络客户端403发起鉴权请求(即零信任网络代理端402向零信任网络客户端403申请本次访问请求的凭证),零信任网络客户端403在接收到零信任网络代理端402发送的鉴权请求后,向零信任网络服务器200发送合规检查数据,零信任网络服务器200接收合规检查数据,将合规检查数据与零信任网络的动态合规检测策略进行匹配处理,得到动态合规检测策略中表征异常数据访问请求的异常动态评估因子,当异常动态评估因子满足动态验证条件时,零信任网络服务器200向零信任网络客户端403发起对应动态合规检测策略的动态验证,零信任网络服务器200根
据动态验证的结果,针对数据访问请求执行符合动态合规检测策略的操作。
78.在一些实施例中,零信任网络服务器200和业务服务器500可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、cdn、以及大数据和人工智能平台等基础云计算服务的云服务器。终端400可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端400与零信任网络服务器200、业务服务器500之间可以通过有线或无线通信方式进行直接或间接地连接,本技术实施例中不做限制。
79.参见图2,图2是本技术实施例提供的电子设备的结构示意图,图2所示的服务器200包括:至少一个处理器210、存储器250、至少一个网络接口220和用户接口230。服务器200中的各个组件通过总线系统240耦合在一起。可理解,总线系统240用于实现这些组件之间的连接通信。总线系统240除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图2中将各种总线都标为总线系统240。
80.处理器210可以是一种集成电路芯片,具有信号的处理能力,例如通用处理器、数字信号处理器(dsp,digital signal processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,其中,通用处理器可以是微处理器或者任何常规的处理器等。
81.存储器250可以是可移除的,不可移除的或其组合。示例性的硬件设备包括固态存储器,硬盘驱动器,光盘驱动器等。存储器250可选地包括在物理位置上远离处理器210的一个或多个存储设备。
82.存储器250包括易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。非易失性存储器可以是只读存储器(rom,read only memory),易失性存储器可以是随机存取存储器(ram,random access memory)。本技术实施例描述的存储器250旨在包括任意适合类型的存储器。
83.在一些实施例中,存储器250能够存储数据以支持各种操作,这些数据的示例包括程序、模块和数据结构或者其子集或超集,下面示例性说明。
84.操作系统251,包括用于处理各种基本系统服务和执行硬件相关任务的系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理根据硬件的任务;
85.网络通信模块252,用于经由一个或多个(有线或无线)网络接口220到达其他计算设备,示例性的网络接口220包括:蓝牙、无线相容性认证(wifi)、和通用串行总线(usb,universal serial bus)等。
86.在一些实施例中,本技术实施例提供的零信任网络的访问请求处理装置可以采用软件方式实现,图2示出了存储在存储器250中的零信任网络的访问请求处理装置255,其可以是程序和插件等形式的软件,包括以下软件模块:接收模块2551、匹配模块2552、验证模块2553和响应模块2554,这些模块是逻辑上的,因此根据所实现的功能可以进行任意的组合或进一步拆分。
87.将结合本技术实施例提供的服务器200的示例性应用和实施,说明本技术实施例提供的零信任网络的访问请求处理方法。
88.参见图3a,图3a是本技术实施例提供的零信任网络的访问请求处理方法的流程示
意图,将结合图3a示出的步骤进行说明。
89.在步骤101中,接收合规检查数据。
90.作为示例,合规检查数据是基于针对零信任网络的数据访问请求生成的。
91.作为示例,数据访问请求包括两种情形,第一种情形是身份登录数据访问请求,第二种情形是登录之后访问某个业务系统时的数据访问请求。
92.在一些实施例中,参见图3b,图3b是本技术实施例提供的零信任网络的访问请求处理方法的流程示意图,步骤101中接收合规检查数据,可以通过步骤1011-步骤1012实现。
93.在步骤1011中,当数据访问请求是针对零信任网络客户端的登录请求时,接收安装有零信任网络客户端的终端的硬件属性,并作为合规检查数据。
94.作为示例,以登录身份为例进行说明,ioa客户端通过驱动服务采集ioa客户端所在的终端的硬件属性并发送给ioa服务器,终端的硬件属性包括基础输入输出系统,系统盘序列号,通用唯一识别码,资产号,设备标识等等。
95.在步骤1012中,当数据访问请求是针对目标业务地址的访问请求时,接收零信任网络客户端的登录信息、用户位置、硬件属性、对应访问请求的票据信息以及目标业务地址对应的应用信息,并作为合规检查数据。
96.作为示例,以登录之后访问某个业务系统时的数据访问请求为例进行说明,在每次ioa客户端执行零信任网络访问功能时,ioa客户端组件采集登录用户信息,网络位置(用户位置)、终端的硬件属性,身份票据和访问应用信息,从而ioa服务器接收包括登录用户信息,网络位置、终端的硬件属性,身份票据和访问应用信息的合规检查数据。
97.在步骤102中,将合规检查数据与零信任网络的动态合规检测策略进行匹配处理,得到动态合规检测策略中表征异常数据访问请求的异常动态评估因子。
98.在一些实施例中,参见图3c,图3c是本技术实施例提供的零信任网络的访问请求处理方法的流程示意图,步骤102中将合规检查数据与零信任网络的动态合规检测策略进行匹配处理,得到动态合规检测策略中表征异常数据访问请求的异常动态评估因子之前,执行步骤105-步骤106。
99.在步骤105中,响应于针对至少一个动态评估因子的配置操作,获取每个动态评估因子的优先级以及异常条件。
100.在步骤106中,将至少一个动态评估因子的优先级以及异常条件确定为动态合规检测策略。
101.作为示例,ioa服务端提供管理员针对动态评估因子的配置功能,经过配置的动态评估因子确定为动态合规检测策略,动态评估因子包括设备、用户访问行为、应用、用户位置等等,每个动态评估因子具备默认的优先级,管理员可根据企业需求调整各动态评估因子优先级,同时管理员可组合多个动态评估因子,形成能适用于不同场景的动态合规检测策略,例如,动态合规检测策略包括用户访问行为因子以及用户位置因子的组合,且用户访问行为因子的优先级高于用户位置因子的优先级,优先级越高则对应的动态验证(动态验证)的结果重要程度越高,即动态验证(动态验证)的结果重要程度与对应的动态评估因子的优先级正相关。
102.在一些实施例中,动态合规检测策略中配置的动态评估因子为用户位置因子,步骤102中将合规检查数据与零信任网络的动态合规检测策略进行匹配处理,得到动态合规
检测策略中表征异常数据访问请求的异常动态评估因子,可以通过以下技术方案实现:获取数据访问请求的用户位置;将用户位置与用户位置因子的异常位置条件进行匹配处理;当匹配结果表征用户位置满足用户位置因子的异常位置条件时,将用户位置因子确定为表征异常数据访问请求的异常动态评估因子;其中,异常位置条件包括以下至少之一:查询到与数据访问请求对应的多个用户位置;对应数据访问请求的用户位置与历史基准位置之间的距离大于距离阈值。
103.作为示例,获取数据访问请求的用户位置,当终端用户同时在不同的网络位置访问企业资源或者当次访问企业资源的位置与历史高频访问的网络位置(历史基准位置)有差异时,用户位置满足用户位置因子的异常位置条件,将用户位置因子确定为表征异常数据访问请求的异常动态评估因子,用户在访问企业资源时所处网络位置的变化是零信任网络访问安全性的一个重要参考因素。
104.在一些实施例中,动态合规检测策略中配置的动态评估因子为应用因子,步骤102中将合规检查数据与零信任网络的动态合规检测策略进行匹配处理,得到动态合规检测策略中表征异常数据访问请求的异常动态评估因子,可以通过以下技术方案实现:获取数据访问请求对应的进程数据;将进程数据与应用因子的异常进程条件进行匹配处理;当匹配结果表征进程数据满足应用因子的异常进程条件时,将应用因子确定为表征异常数据访问请求的异常动态评估因子;其中,异常进程条件包括以下至少之一:对应数据访问请求的业务应用客户端的应用进程经检测存在异常;对应数据访问请求的零信任网络客户端的组件进程经检测存在异常。
105.作为示例,针对应用因子的异常进程条件涉及到通过零信任网络功能访问企业业务系统的应用进程和ioa客户端的组件进程,获取数据访问请求对应的进程数据,当终端用户访问企业资源的应用经送检存在异常或者经检测ioa客户端的组件存在异常加载模块或者异常线程执行时,进程数据满足应用因子的异常进程条件,将应用因子确定为表征异常数据访问请求的异常动态评估因子,ioa服务器的合规检测服务需要及时识别并干预。
106.在一些实施例中,动态合规检测策略中配置的动态评估因子为访问行为因子,步骤102中将合规检查数据与零信任网络的动态合规检测策略进行匹配处理,得到动态合规检测策略中表征异常数据访问请求的异常动态评估因子,可以通过以下技术方案实现:获取数据访问请求的访问行为数据;将访问行为数据与访问行为因子的异常行为条件进行匹配处理;当匹配结果表征访问行为数据满足访问行为因子的异常行为条件时,将访问行为因子确定为表征异常数据访问请求的异常动态评估因子;其中,异常行为条件包括以下至少之一:数据访问请求的时间与历史基准时间的第一时间间隔大于第一时间间隔阈值;对应数据访问请求的网络地址与历史网络地址不同;针对数据访问请求的用户账号,确定数据访问请求与用户账号针对网络地址的最近历史数据访问请求的第二时间间隔,第二时间间隔小于第二时间间隔阈值。
107.作为示例,获取数据访问请求的访问行为数据,当终端用户访问企业资源的时间与日常习惯差异较大(数据访问请求的时间与历史基准时间的第一时间间隔大于第一时间间隔阈值,例如凌晨访问企业资源)、或者访问的业务系统与该用户的历史记录差异较大(对应数据访问请求的网络地址与历史网络地址不同)、或者业务系统访问的频率与该用户的历史记录差异较大(针对数据访问请求的用户账号,确定数据访问请求与用户账号针对
网络地址的最近历史数据访问请求的第二时间间隔,第二时间间隔小于第二时间间隔阈值)时,被认为存在账号盗用的可能性,访问行为数据满足访问行为因子的异常行为条件,将访问行为因子确定为表征异常数据访问请求的异常动态评估因子。
108.作为示例,针对数据访问请求的用户账号,确定数据访问请求与用户账号针对网络地址的最近历史数据访问请求的第二时间间隔,即获取用户账号上一次访问该网络地址的历史时间,并将历史时间与本次时间计算第二时间间隔,第二时间间隔小于第二时间间隔阈值表征业务系统访问的频率大于与该用户的历史记录。
109.在一些实施例中,动态合规检测策略中配置的动态评估因子为终端因子,步骤102中将合规检查数据与零信任网络的动态合规检测策略进行匹配处理,得到动态合规检测策略中表征异常数据访问请求的异常动态评估因子,可以通过以下技术方案实现:获取数据访问请求的终端数据;将终端数据与终端因子的异常终端条件进行匹配处理;当匹配结果表征终端数据满足终端因子的异常终端条件时,将终端因子确定为表征异常数据访问请求的异常动态评估因子;其中,异常终端条件包括以下至少之一:发起数据访问请求的用户账号在多个终端同时登录;对应数据访问请求的终端信息与活跃终端信息不匹配。
110.作为示例,获取数据访问请求的终端数据,当终端数据表证用户账号同时在不同设备登录户,或者申请票据时上传的设备信息不在已有的活跃设备列表中,或者设备信息在活跃设备列表中但是关键信息不相符时,终端数据满足终端因子的异常终端条件,将终端因子确定为表征异常数据访问请求的异常动态评估因子。
111.在步骤103中,当异常动态评估因子满足动态验证条件时,发起对应动态合规检测策略的动态验证。
112.作为示例,动态验证条件时对异常动态评估因子的约束,例如,当异常动态评估因子为用户位置因子时,数据访问请求对应的用户位置不属于历史用户位置,但是用户位置与历史用户位置之间的距离在距离阈值以内,则确定异常动态评估因子满足动态验证条件,发起对应动态合规检测策略的动态验证,当数据访问请求对应的用户位置不属于历史用户位置,且用户位置与历史用户位置之间的距离在距离阈值以外,则确定异常动态评估因子满足限制响应条件,可以跳过动态验证直接进行相应限制。
113.在一些实施例中,在一些实施例中,参见图3d,图3d是本技术实施例提供的零信任网络的访问请求处理方法的流程示意图,步骤103中发起对应动态合规检测策略的动态验证之前,执行步骤107-109。
114.在步骤107中,响应于针对动态验证的配置操作,获取对应动态验证的固定动态验证规则以及非固定动态验证规则。
115.在步骤108中,将对应动态验证的固定动态验证规则以及非固定动态验证规则封装至动态合规检测策略,并将动态合规检测策略下发至接收数据访问请求的零信任网络客户端。
116.作为示例,零信任网络客户端内置的动态验证规则包括固定的动态验证规则和基于设定模板的规则,其中,固定的动态验证规则包括:终端硬件属性检测、ioa客户端组件随机采样检测、关键服务运行检测、关键线程检测以及设备真实性检测等。固定的动态验证规则包括:终端硬件属性检测,ioa客户端采集终端的硬件属性,例如,基础输入输出系统,系统盘序列号,通用唯一识别码,资产号,设备标识等等。固定的动态验证规则包括:ioa客户
端组件随机采样检测,ioa服务器指示ioa客户端随机采集安装目录下的至少一个二进制文件的签名信息、哈希(md5或者sha256)值、文件大小、版本信息等。固定的动态验证规则包括:关键服务运行检测,ioa服务器指示ioa客户端随机采集ioa客户端的关键服务的运行状态信息,运行状态信息包括服务运行状态、服务探活信息、服务对应的可执行文件检测信息、服务加载模块信息等;固定的动态验证规则包括:关键线程检测,ioa客户端在关键组件中内置遍历采集本进程中的所有线程信息的逻辑,包括线程起始函数名,线程所在的模块、线程堆栈信息等等;固定的动态验证规则包括:设备真实性检测,ioa服务器下发设备真实性检测到指定终端,强制终端发送心跳信息,同时根据与ioa服务器约定的协议上报若干计算数据。
117.在步骤109中,获取与固定动态验证规则匹配的基准数据,其中,基准数据用于在动态验证的过程中作为验证依据。
118.在一些实施例中,上述获取与固定的动态验证规则匹配的基准数据,可以通过以下技术方案实现:当固定的动态验证规则为安装有零信任网络客户端的终端的硬件属性时,获取以下基准数据至少之一:终端的设备标识、终端的资产编号、终端的系统盘序列号、终端的基本输入输出系统的版本;当固定的动态验证规则为对应零信任网络客户端的软件属性时,获取以下基准数据至少之一:零信任网络客户端的二进制文件的签名信息、零信任网络客户端的二进制文件的哈希信息、零信任网络客户端的二进制文件的内存信息、零信任网络客户端的二进制文件的版本信息;当固定的动态验证规则为零信任网络客户端的关键服务时,获取以下基准数据中至少之一:关键服务的运行状态,关键服务的活跃度、关键服务对应的可执行文件、关键服务的加载组件;当固定的动态验证规则为零信任网络客户端的关键线程时,获取以下基准数据中至少之一:关键线程的线程起始函数,关键线程的组件、关键线程的堆栈信息;当固定的动态验证规则为零信任网络客户端的终端的真实性数据时,获取以下基准数据中至少之一:零信任网络客户端以及对应的零信任网络服务器配置的协议数据、零信任网络客户端向零信任网络服务器发送的历史心跳数据。
119.作为示例,针对硬件属性,ioa服务器的动态验证的基准数据来源是终端用户在登录以获取身份票据时上报至ioa服务器的硬件属性,或者开启设备标准化功能时由设备标准化功能上报给ioa服务器的硬件属性,针对软件属性、关键服务、关键线程,ioa服务器动态验证的基准数据来源是ioa版本在ci系统中编译打包时由代码扫描生成的信息;针对终端的真实性数据,ioa服务器动态验证的基准数据来源是ioa前后台约定的协议数据、历史心跳上报的设备和进程信息。
120.在一些实施例中,步骤103中当异常动态评估因子满足动态验证条件时,发起对应动态合规检测策略的动态验证,可以通过以下技术方案实现:当异常动态评估因子为终端因子时,向对应数据访问请求的终端发送基于硬件属性的第一动态验证请求;当在第一动态验证时间阈值内终端返回的用于响应第一动态验证请求的硬件属性响应数据与对应第一动态验证请求的基准硬件数据相同,且针对每次第一动态验证请求每个终端收到一次硬件属性响应数据时,确定通过对应第一动态验证请求的第一动态验证,并继续响应数据访问请求;当在第一动态验证时间阈值内终端返回的用于响应第一动态验证请求的硬件属性响应数据与对应第一动态验证请求的基准硬件数据不相同,或者,针对每次第一动态验证请求,当每个终端多次收到硬件属性响应数据时,确定对应第一动态验证请求的第一动态
验证失败。
121.作为示例,当异常动态评估因子为终端因子时,向对应数据访问请求的终端发送基于硬件属性的第一动态验证请求,如果单次验证任务存在至少两次的信息采集和数据上报,则认为验证任务异常(验证失败),终端响应服务器动态验证,但是需要响应内容与基准数据一致,若存在多次验证任务时,所响应内容相同,只有这样才认为动态验证成功,如果某台终端验证任务存在等于或者超出两次的信息采集和数据上报,则验证任务异常,禁止该终端连入企业资源,如果某台终端连续两次验证任务结果不一致,或者每次的终端软硬件验证结果与基准数据存在差异,则同样认为验证任务异常,终止对应终端的账号认证和网络访问。
122.在一些实施例中,当异常动态评估因子为终端因子时,向对应数据访问请求的终端发送基于硬件属性的第一动态验证请求,检测多次第一动态验证请求的响应内容与基准数据一致,且多次响应内容相同,这样才认为动态验证成功,否则动态验证失败,被限制进行身份认证和网络访问;若是存在多个终端,则针对未响应内容或响应内容错误的终端,ioa服务器的合规检测服务在下发第一动态验证请求时增加验证随机数,同时同步至ioa服务器的零信任业务服务中的票据服务,终端发起网络访问,向服务器申请网络访问票据时,携带第一动态验证请求中的验证随机数,如果票据服务检测随机数不一致,则认为终端验证不可信,拒绝小票申请,因此这类未响应或响应内容错误的设备将自动被零信任网络隔离。
123.在一些实施例中,步骤103中当异常动态评估因子满足动态验证条件时,发起对应动态合规检测策略的动态验证,可以通过以下技术方案实现:当异常动态评估因子为访问行为因子或者用户位置因子时,向对应数据访问请求的终端发送基于多个维度的身份属性第二动态验证请求;当在第二动态验证时间阈值内,终端返回的多个维度的身份属性响应数据与对应第二动态验证请求的基准身份数据相同时,确定通过对应第二动态验证请求的第二动态验证,并继续响应数据访问请求,其中,多个维度的身份属性响应数据用于响应第二动态验证;当在第二动态验证时间阈值内,终端返回的至少一个维度的身份属性响应数据与对应第二动态验证请求的基准身份数据不相同时,确定对应第二动态验证请求的第二动态验证失败,其中,至少一个维度的身份属性响应数据用于响应第二动态验证。
124.作为示例,终端用户同时在不同的网络位置访问企业资源,或者当次访问企业资源的位置与历史高频访问的网络位置有差异,ioa服务器立即中断对应设备的零信任网络访问,并暂时拉黑设备,暂时禁止身份认证和网络访问,向对应数据访问请求的终端发送基于多个维度的身份属性第二动态验证请求,即发起多因子身份认证,同时进行终端动态验证,如果在限定时间或限定次数未能成功完成多因子身份认证(令牌登录,人脸识别,员工手机短信验证码等方式),则认为验证失败。
125.作为示例,终端用户访问企业资源的时间与日常习惯差异较大(例如凌晨访问企业资源)、访问的业务系统和业务系统访问的频率与该用户的历史记录差异较大的情况,ioa服务器可立即下发强制注销指令,并向对应数据访问请求的终端发送基于多个维度的身份属性第二动态验证请求,即强制下发多因子认证进行身份验证,如果在限定时间或限定次数未能成功完成多因子身份认证(令牌登录,人脸识别,员工手机短信验证码等方式),则认为验证失败。
126.在一些实施例中,步骤103中当异常动态评估因子满足动态验证条件时,发起对应动态合规检测策略的动态验证,可以通过以下技术方案实现:当异常动态评估因子为应用因子时,向对应数据访问请求的终端发送基于进程数据的第三动态验证请求;当在第三动态验证时间阈值内,终端返回的用于响应第三动态验证的进程响应数据与对应第三动态验证请求的基准进程数据相同时,确定通过对应第三动态验证请求的第三动态验证并继续响应数据访问请求;当在第三动态验证时间阈值内,终端返回的用于响应第三动态验证的进程响应数据与对应第三动态验证请求的基准进程数据不相同时,确定对应第三动态验证请求的第三动态验证失败。
127.作为示例,第三动态验证请求的核心是终端用户通过第三方应用访问企业资源的应用进程信息和ioa核心组件的进程信息,包括组件加载的模块信息和实时采集的线程信息,向对应数据访问请求的终端发送基于进程数据的第三动态验证请求,客户端响应服务器的动态验证指令,采集频繁访问业务系统的应用进程名称,进程路径、进程文件最近修改时间、进程文件md5、进程文件版本号、进程文件的sha256、版权信息和进程签名信息,向威胁云查服务发起集中送检,终端返回的用于响应第三动态验证的进程响应数据与对应第三动态验证请求的基准进程数据不相同时,确定为存在异常,确定对应第三动态验证请求的第三动态验证失败,经检查异常率低于设备参数的执行异常进程的零信任网络访问中断处理,异常率高于设定参数则执行设备级的零信任网络访问断网处理。
128.在一些实施例中,步骤103中当异常动态评估因子满足动态验证条件时,发起对应动态合规检测策略的动态验证,可以通过以下技术方案实现:向对应数据访问请求的终端发送携带密文的第四动态验证请求;当在第四动态验证时间阈值内,终端返回的用于响应第四动态验证请求的对应密文的明文与对应第四动态验证请求的基准明文相同时,确定通过对应第四动态验证请求的第四动态验证,并继续响应数据访问请求;其中,明文是基于终端的解密密钥得到的,解密密钥是终端基于加解密映射表生成的;当在第四动态验证时间阈值内,终端返回的用于响应第四动态验证请求的对应密文的明文与对应第四动态验证请求的基准明文不相同时,确定对应第四动态验证请求的第四动态验证失败。
129.作为示例,ioa服务器提供基于对应ioa版本的加解密映射表生成加解密密钥的算法,向对应数据访问请求的终端发送携带密文的第四动态验证请求,附带一个随机密文信息,要求ioa客户端基于对应ioa版本的加解密映射表生成加解密密钥,解密出随机密文,并在发送服务器的数据中以规定的格式附带密文解密出的明文,在第四动态验证时间阈值内,终端返回的用于响应第四动态验证请求的对应密文的明文与对应第四动态验证请求的基准明文不相同时,确定对应第四动态验证请求的第四动态验证失败。
130.在步骤104中,根据动态验证的结果,针对数据访问请求执行符合动态合规检测策略的操作。
131.在一些实施例中,当异常动态评估因子满足限制响应条件时,从动态合规检测策略中查询对应异常动态评估因子的响应限制操作,并针对数据访问请求执行响应限制操作;其中,响应限制操作包括以下至少之一:屏蔽响应数据访问请求对应的终端;屏蔽响应数据访问请求对应的用户账号;屏蔽响应数据访问请求;其中,限制响应条件对应的异常动态评估因子的风险级别程度高于动态验证条件对应的异常动态评估因子的风险级别程度。
132.作为示例,基于动态合规检测策略识别出风险行为发生后,基于动态合规检测策
略进行分级处理,针对设定级别(严重或必须强制干预)的风险行为,执行断网处置,同时下发限制操作指令,在终端用户解除风险行为之前,不允许执行零信任网络访问,例如,如果同一个登录票据同时出现在至少两个不同的设备,则认为是高危场景(身份票据盗用),立即中断对应设备的零信任网络访问,并拉黑设备,禁止身份认证和网络访问,本技术实施例针对终端用户可能出现触发规则的正常操作,ioa服务器发起对终端、用户和主要进程的动态验证,自动下发多因子认证和终端认证,以主动收集用户的安全状态,从而阻止威胁行为的扩散,针对异常场景,ioa服务器可自动针对指定终端进行断网或强制注销处理,中断零信任网络访问功能。
133.在一些实施例中,步骤104中针对数据访问请求执行符合动态合规检测策略的操作,可以通过以下技术方案实现:从动态合规检测策略中查询对应异常动态评估因子的响应限制操作,并针对数据访问请求执行响应限制操作;其中,响应限制操作包括以下至少之一:屏蔽响应数据访问请求对应的终端;屏蔽响应数据访问请求对应的用户账号;屏蔽响应数据访问请求。
134.作为示例,参见图10,图10是本技术实施例提供的零信任网络的访问处理系统的架构示意图,图10中存在与图7中相同的部分,可以直接参考针对图7的说明,ioa服务器对ioa客户端发起动态验证失败的情况下,根据合规检测策略下发相应的阻断措施,如图10所示,ioa服务器的合规检测服务下发阻断指令(图示的步骤1),同时与ioa服务器的零信任业务服务交互数据,执行设备拉黑和服务阻断任务,即不给指定设备响应票据,拒绝后续的票据校验,禁止设备再次登录进行身份认证等(如图10中步骤2和步骤3),ioa客户端收到阻断指令后,一方面ioa客户端拒绝代理客户端的本地票据申请请求(如图10中步骤4和步骤5),一方面ioa服务器拒绝给指定设备的ioa客户端响应网络申请票据(如图10中步骤6和步骤7),同时ioa服务器拒绝智能网关的票据校验(如图10中步骤8和步骤9),直到ioa客户端对异常项进行修复完毕并经过合规检测服务验证通过之前,设备被ioa服务器拒绝在零信任合规设备列表之外,禁止使用零信任网络访问功能。
135.下面,将说明本技术实施例在一个实际的应用场景中的示例性应用。
136.在一些实施例中,参见图4a,图4a是本技术实施例提供的合规检测界面示意图,在使用零信任网络的过程中会提示用户进行定期检测,以确保办公环境安全,响应于针对控件的触发操作,开始进行合规检测,参见图4b,图4b是本技术实施例提供的合规检测界面示意图,针对终端发起合规检测,在合规检测中会检测办公环境,进行软件安全基线检测,进行违规进程检测以及进行违规服务检测,参见图4c,图4c是本技术实施例提供的合规检测界面示意图,图4c显示了合规检测风险结果,提示发现1项合规检测风险,是在违规进程检测的过程中检测到终端存在违规进程。合规检测是动态可配置的,管理员可以在管理端定制安全加固策略从而在零信任网络服务器配置安全加固策略,参见图4d,图4d是本技术实施例提供的合规检测界面示意图,图4d中显示设备未通过合规检测,暂时无法访问内网资源,并显示弹窗以提示通过安全加固策略进行设备环境安全防护,参见图4e,图4e是本技术实施例提供的合规检测界面示意图,图4e中显示设备未通过合规检测,暂时无法访问内网资源,并显示弹窗以提示用户异常项并提供修复建议,参见图4f,图4f是本技术实施例提供的合规检测界面示意图,图4f中显示设备未通过合规检测,暂时无法访问内网资源,并提示用户在异常项目修复之前,用户不允许登录零信任网络并使用零信任网络访问功能,响应
于针对控件的触发操作,对风险进行修复。
137.示例的,参见图5,图5是本技术实施例提供的零信任网络的访问过程示意图,如图5所示,零信任网络客户端(例如ioa客户端)充当零信任网络安全服务提供方,通过零信任网络代理端和零信任网络网关(例如智能网关)为访问主体通过网络请求访问客体的资源提供统一入口,ioa客户端为统一入口提供鉴权操作,只有通过鉴权的网络请求才能由零信任网络代理端转发至智能网关,通过智能网关代理实际业务系统的访问。
138.示例的,参见图6,图6是本技术实施例提供的零信任网络的访问处理系统的架构示意图,如图6所示,零信任网络的访问处理系统的核心模块主要包括:零信任网络客户端(例如ioa客户端)、零信任网络服务器(例如ioa服务器)、零信任网络代理端(例如全流量代理)和零信任网络网关(例如智能网关),下面分别进行说明。
139.ioa客户端是安装在访问用户(例如公司员工)的工作设备上的安全代理(agent),负责验证设备上的用户可信身份、验证设备是否可信以及应用是否可信;同时,还用于将未知的进程向ioa服务器申请进程送检。
140.零信任网络代理端(proxy)主要用于通过tun/tap虚拟网卡劫持设备流量(例如应用程序发送的访问请求),通过ioa客户端鉴权后负责将应用发送的网络请求转发至智能网关,如果没有鉴权通过,则走直连或者中断连接。
141.智能网关部署在企业应用程序和数据资源的入口,负责对每一个访问企业资源的会话请求进行验证、授权和转发。
142.ioa服务器主要用于通过策略控制引擎,对业务流量进行安全调度,按照人-设备-业务系统-应用的颗粒度进行授权,其中,ioa服务器包括的身份验证模块用于对访问用户的身份进行验证;设备可信模块用于对设备的硬件信息和设备的安全信息进行验证;应用检测模块用于检测应用进程是否安全,例如是否存在漏洞、是否存在病毒木马等。此外,ioa服务器还会定期向威胁情报云查服务安知或者杀毒引擎(例如tav杀毒引擎)发起文件送检,当识别出恶意进程时,则会通过客户端执行异步阻断操作。
143.总体流程如下:当访问主体通过应用程序发起针对访问客体的网络访问请求时,在步骤1中,ioa客户端首先通过零信任网络代理端劫持到应用程序发起的网络访问请求(pid-url),在步骤2中,零信任网络代理端向ioa客户端发起鉴权请求(即零信任网络代理端向ioa客户端申请本次网络访问请求的凭证),其中,请求参数包括源ip或者域名、源端口、目的ip或者域名、目的端口以及应用程序对应的进程标识符(pid,process identification)。在步骤3中,ioa客户端获取进程特征,在步骤4中,ioa客户端通过零信任网络代理端发送的pid采集进程的md5、进程路径、进程最近修改时间、版权信息以及签名信息等,连同零信任网络代理端发送的网络访问请求中携带的源ip或者域名、源端口、目的ip或者域名以及目的端口,向ioa服务器申请票据置换,在步骤5中,ioa客户端将进程特征发送至ioa服务端进行进程送检,如果申请票据成功,在步骤6中,ioa客户端将票据、票据的最大使用次数以及票据的有效时间作为响应返回给零信任网络代理端。在步骤7中,零信任网络代理端可以向智能网关发起https请求,在请求的授权(authorization)首部字段中携带了ioa客户端返回的网络请求凭证(即票据),在步骤8中,智能网关在接收到零信任网络代理端发送的https请求后,解析出首部字段中的票据,并向ioa服务器请求校验票据,如果校验成功,则在步骤9中,智能网关与零信任网络代理端之间成功建立连接,智能网关接收到
ioa服务端返回的校验结果,随后零信任网络代理端可以将劫持到的应用程序发起的网络访问请求发送给智能网关,在步骤10中,智能网关将请求转发至对应的业务服务器,代理实际的应用网络访问,在步骤11中,业务服务器返回响应结果到智能网关,在步骤12中,智能网关返回响应结果到零信任网络代理端,在步骤13中,零信任网络代理端返回响应结果到应用程序;如果ioa服务器校验票据失败,则零信任网络代理端与智能网关之间的连接中断,针对访问控制策略以外的应用程序访问特定站点的流量,则通过零信任网络代理端向目标业务服务器发起网络访问请求,以实现直连访问。
144.零信任网络的访问控制策略的粒度为终端用户级,ioa根据管理端配置的访问控制策略,可以将不同类型的访问控制策略下发至指定的企业事业群、部门、组织或个人(粒度最小为用户级),零信任访问控制策略包括终端用户能够访问的业务系统域名(或网络协议地址)、终端用户能够访问的业务系统端口以及访问该业务系统的限定应用,业务系统可支持模糊匹配和ip段设置,如下所示是访问控制策略的一个示例,以及字段的说明(下面的内容中//后面的内容表示对左侧字段的解释说明):
145.[0146][0147]
参见图4g,图4g是本技术实施例提供的合规检测界面示意图,首先企业管理员在管理端将零信任策略全放开,即允许用户通过任意应用访问任意地址,零信任网络客户端通过异步送检的方式将应用信息上报给零信任网络服务器,通过送检服务检测应用的安全性,达到初步筛选应用的目的,形成可信应用集,管理员可在可信应用集中选择符合本企业规定的应用,自动生成针对特定用户的零信任访问控制策略,界面是基于管理员的账号登录零信任网络客户端(例如ioa客户端)时对应的界面,管理员可以在界面呈现的可信应用配置区域中,配置与可信应用相关联的访问控制策略;当然,管理员也可以在界面呈现的业
务系统配置区域中,配置与业务系统相关联的访问控制策略。终端用户通过某个应用访问url的同时,零信任网络客户端采集进程信息,访问的目标资源,设备信息和登录用户信息,通过异步送检的方式将这些信息发送到零信任网络服务器。零信任网络服务器从应用库中取出应用信息,通过送检服务调用云端接口送检,送检完成后,保存送检结果,标识数据集,形成可供管理员使用的应用库,管理员从中勾选若干维度,包括进程文件路径,进程版本,进程md5,进程sha256,签名信息等,自动生成零信任策略中的可信应用信息,下发到指定登录用户的终端环境中。
[0148]
参见图7,图7是本技术实施例提供的零信任网络的访问处理系统的架构示意图,通过服务器和终端联动引入动态的合规检测方案,图7中存在与图6中相同的部分,可以直接参考针对图6的说明,如图7所示,当访问主体通过应用程序发起针对访问客体的网络访问请求时,在步骤1中,ioa客户端首先通过零信任网络代理端劫持到应用程序发起的网络访问请求(pid-url),在步骤2中,零信任网络代理端向ioa客户端发起鉴权请求(即零信任网络代理端向ioa客户端申请本次网络访问请求的凭证),其中,请求参数包括源ip或者域名、源端口、目的ip或者域名、目的端口以及应用程序对应的进程标识符(pid,process identification)。在步骤3中,ioa客户端获取进程特征,在步骤4中,ioa客户端通过零信任网络代理端发送的pid采集进程的md5、进程路径、进程最近修改时间、版权信息以及签名信息等,连同零信任网络代理端发送的网络访问请求中携带的源ip或者域名、源端口、目的ip或者域名以及目的端口,向ioa服务器申请票据置换,在步骤5中,ioa客户端将进程特征发送至ioa服务端进行进程送检,如果申请票据成功,在步骤6中,ioa客户端将票据、票据的最大使用次数以及票据的有效时间作为响应返回给零信任网络代理端。在步骤7中,零信任网络代理端可以向智能网关发起https请求,在请求的授权(authorization)首部字段中携带了ioa客户端返回的网络请求凭证(即票据),在步骤8中,智能网关在接收到零信任网络代理端发送的https请求后,解析出首部字段中的票据,并向ioa服务器请求校验票据,如果校验成功,则在步骤9中,智能网关与零信任网络代理端之间成功建立连接,智能网关接收到ioa服务端返回的校验结果,随后零信任网络代理端可以将劫持到的应用程序发起的网络访问请求发送给智能网关,在步骤10中,智能网关将请求转发至对应的业务服务器,代理实际的应用网络访问,在步骤11中,业务服务器返回响应结果到智能网关,在步骤12中,智能网关返回响应结果到零信任网络代理端,在步骤13中,零信任网络代理端返回响应结果到应用程序,ioa零信任网络的访问处理系统中除了包括步骤1到步骤13的正常零信任访问流程之外,引入了ioa合规检测服务,ioa合规检测服务和ioa零信任业务服务是ioa服务器的两个核心组件,其中,ioa零信任业务服务的目的是实现业务功能,并且与ioa客户端,智能网关配合实现零信任网络访问功能,ioa零信任业务服务包括账号认证、票据中心、送检服务、策略中心等核心功能,通过策略控制引擎对业务流量进行安全调度,ioa合规检测服务可以实现本技术实施例提出的动态合规检测方案,在终端用户开启零信任网络访问功能的期间,对终端用户的行为作持续动态的评估,包括设备动态评估、进程(ioa终端相关进程以及用户环境中用来进行网络访问的应用进程)动态评估、用户行为动态评估和业务系统动态评估,进一步还包括基于动态验证规则的动态评估,对终端下发动态验证(基于固定的规则或者基于特定模板的规则),在设定的时间阈内收集终端上报的处理结果,一方面接收ioa客户端上报数据(步骤14),识别出异常行为后对ioa客户端下发动态验证或其他指令
(步骤15),另一方面与ioa零信任业务服务进行交互以查询、更新与零信任网络功能相关的数据(步骤16和步骤17),相关的数据包括与用户关联的活跃设备、票据信息、合规检测结果以及ioa客户端组件信息等。
[0149]
通过本技术实施例除了对设备终端进行必要软件安装、漏洞补丁、关闭高危服务和端口以及是否安装杀软或安全管理软件等静态合规检测外,管理员可以对风险因子进行动态配置和分级处置从而定制合适的合规安全检测策略,ioa客户端上报登录或者访问请求的数据,根据合规安全检测策略识别出风险行为发生后,ioa服务器根据风险等级进行分级处理,例如,针对设定级别(严重或必须强制干预)的风险行为,执行断网处置,同时下发限制操作指令,在终端用户解除风险行为之前,不允许执行零信任网络访问,例如,针对终端用户可能出现触发规则的正常操作(对应有设定级别),服务器发起对终端、用户和主要进程的动态验证,自动下发多因子认证和设备认证的验证请求,从而主动收集到用户的安全状态,阻止威胁行为的扩散,针对异常行为场景,ioa服务器可自动针对指定设备进行断网或强制注销处理,中断零信任网络访问功能。
[0150]
作为示例,动态验证是指ioa服务器针对ioa客户端的主动检测形式,通过对终端下发固定的动态验证规则或者基于特定模板的规则,在设定的时间阈内收集终端上报的处理结果,如果终端上报结果与预期(具体是客户端上报信息与服务器动态验证的基准数据来源相比)相符,则验证成功,ioa服务器正常给ioa客户端提供服务,如果验证失败或者指定时间内未收到ioa客户端上报的信息,则验证失败,ioa服务器根据设定算法执行相关指令,例如告警、下发强制升级或者强制终端注销并禁止登陆等。
[0151]
作为示例,ioa服务器动态验证的方式,时机和频率可以在管理端设置,可以根据既定规则,针对有可能异常的设备终端自动发起验证,或者通过控制验证时机和验证频率,保证每台设备每台均可以被验证到,ioa服务器支持管理员在管理端手动强制对某台设备进行动态验证。
[0152]
下面对动态合规检测方案进行详细阐述。
[0153]
第一、客户端内置固定的动态验证规则的应答机制,同时内置基于设定模板的动态验证规则的应答机制。
[0154]
客户端内置的动态验证规则包括固定的动态验证规则和基于设定模板的规则,其中,固定的动态验证规则包括:终端硬件属性检测、ioa客户端组件随机采样检测、关键服务运行检测、关键线程检测以及设备真实性检测等。
[0155]
固定的动态验证规则包括:终端硬件属性检测,ioa客户端采集终端的硬件属性,例如,基础输入输出系统,系统盘序列号,通用唯一识别码,资产号,设备标识等等,ioa服务器的动态验证的基准数据来源是终端用户在登录以获取身份票据时上报至ioa服务器的硬件属性,或者开启设备标准化功能时由设备标准化功能上报给ioa服务器的硬件属性。
[0156]
固定的动态验证规则包括:ioa客户端组件随机采样检测,ioa服务器指示ioa客户端随机采集安装目录下的至少一个二进制文件的签名信息、哈希(md5或者sha256)值、文件大小、版本信息等,ioa客户端采集这些信息后,将信息上报给ioa服务器比对,ioa服务器动态验证的基准数据来源是ioa版本在ci系统中编译打包时生成的数据。
[0157]
固定的动态验证规则包括:关键服务运行检测,ioa服务器指示ioa客户端随机采集ioa客户端的关键服务的运行状态信息,运行状态信息包括服务运行状态、服务探活信
息、服务对应的可执行文件检测信息(防止伪造)、服务加载模块信息(例如,动态链接库,检测这些文件是否是系统文件或者ioa组件,检测签名信息,哈希列表)等,ioa客户端采集这些信息后,将信息上报给ioa服务器比对,ioa服务器动态验证的基准数据来源是ioa版本在ci系统中编译打包时生成的数据以及ioa客户端历史上报至ioa服务器的信息。
[0158]
固定的动态验证规则包括:关键线程检测,ioa客户端在关键组件中内置遍历采集本进程中的所有线程信息的逻辑,当收到ioa服务器的动态验证指令后,ioa客户端触发采集线程信息的逻辑,采集到线程起始函数名,线程所在的模块、线程堆栈信息后,将信息上报给ioa服务器比对,ioa服务器动态验证的基准数据来源是ioa版本在ci系统中编译打包时由代码扫描生成的信息。
[0159]
固定的动态验证规则包括:设备真实性检测,ioa服务器下发设备真实性检测到指定终端,强制终端发送心跳信息,同时根据与ioa服务器约定的协议上报若干计算数据,ioa服务器动态验证的基准数据来源是ioa前后台约定的协议数据、历史心跳上报的设备和进程信息。
[0160]
客户端内置的动态验证规则包括基于设定模板的规则,为丰富动态验证的数据类型,增加黑客调试破解难度,ioa服务器可发起基于设定模板的动态验证,例如,ioa服务器针对特定设备,基于设备中安装的ioa客户端版本的加解密映射表和设备硬件属性生成加解密密钥的算法,并附带随机密文信息,要求ioa客户端基于对应ioa版本的加解密映射表和设备硬件属性信息生成加解密密钥,解密出随机密文,并在发送ioa服务器的数据中以规定的格式附带密文解密出的明文,因为只有特定的设备安装了指定版本的ioa组件才能成功解密ioa服务器随机生成的密文,才能够验证成功,因此可以验证特定设备中的ioa客户端的组件是合规的,而非伪造的。
[0161]
作为示例,编译打包时通过代码扫描等工具采集客户端组件列表(名称、可移植的可执行的文件、哈希值等)、带关键标记的线程信息(模块、线程名称)生成数据,作为服务器基准数据。参见图8,图8是本技术实施例提供的编译打包流程图,当手动或自动触发ci系统的自动编译打包过程后,在执行全量代码编译前,在步骤801中,执行ci系统编译工程前期步骤,例如,进行网络检查与参数检查,在步骤802中,由代码扫描工具扫描ioa客户端组件标记的线程信息,作为服务器动态验证的关键线程检测基准数据来源,在步骤803中,自动调用静态白盒映射表生成工具,生成加解密映射表,编译时与加解密相关的模块或组件均会内置加解密映射表,使得每个不同版本的ioa组件加解密映射表(白盒库)不同,图8示出的白盒加解密映射表在产品在ci系统中编译打包时自动生成,ci系统可以确保不同的ioa产品版本对应不同的映射表,ioa服务器存储版本与映射表的对应关系,在步骤804中,进行全量代码编译,ci系统内置白盒密钥映射表执行全量服务器代码编译构建过程,各平台版本的ioa客户端使用白盒加解密映射表执行全量客户端代码编译构建过程,白盒加解密映射表则被打包进ioa服务器的相关服务组件和各平台版本的ioa客户端的二进制文件中,客户端各平台版本在归档前,在步骤805中,自动采集客户端组件的哈希信息并归档,在步骤806中,在安装包的二进制文件中内置映射表,扫描自动编译签名后的二进制文件并采集组件的哈希信息,从而打包生成默认数据,将ioa版本与客户端组件的哈希信息的对应关系存储在服务器部署包中,作为基准数据为后续ioa客户端组件的校验提供依据,归档的ioa服务器和ioa客户端构成ioa安装部署包,经过测试验收,逐步灰度后,可部署至企业中正式使
用。
[0162]
第二、提供管理员针对动态评估因子的分级和组合的功能,配置完成后下发动态合规检测策略至ioa客户端。
[0163]
ioa服务端提供管理员动态评估因子,从而能灵活下发用于持续风险评估的动态合规检测策略,从而实时评估用户访问行为、实时设备变化的设备风险评估,动态评估因子包括设备、用户访问行为、应用、用户位置等等,每个动态评估因子具备默认的优先级,管理员可根据企业需求调整各动态评估因子优先级,同时管理员可组合多个动态评估因子,形成能适用于不同场景的动态合规检测策略。
[0164]
作为示例,用户位置因子指用户在执行零信任网络访问时所在网络的出口ip,通过如下方式获取:第一步,ioa服务器维护业务服务配置,配置是响应于企业管理员的操作完成,配置内容是各ip段对应访问的服务器ip、域名列表以及服务器部署的业务服务信息;第二步,ioa客户端定期向ioa服务器拉取业务服务配置,当ioa服务器中的业务服务配置发生变化时,将变化主动推送至ioa客户端,以触发ioa客户端从ioa服务器拉取最新配置;第三步,ioa服务器开启ip地址查询服务,用于接收ioa客户端查询自身出口ip的请求,从http header中获取出口ip,将出口ip作为响应的主体发送给ioa客户端;第四步,配置周期频率,ioa客户端定期向ioa服务器发送本设备ip地址查询服务的请求,查询到出口ip后,ioa客户端进行缓存处理。操作系统可以利用notifyroutechange、notifyaddrchange等应用程序接口监听网络环境的变化,一旦ip路由表发生改变,某个网卡被禁用或者某个网卡的地址发生变化,则立即触发ioa客户端对ioa服务器发送本设备ip地址查询服务的请求,获取最新的出口ip,如果用户发起零信任网络访问的位置经常发生变化且变化频率较大(变化频率高于频域阈值),则ioa服务器中的合规检测服务认为访问异常。会发起告警并限制网络访问行为,并通知管理员核实。
[0165]
作为示例,终端因子主要指终端硬件属性和终端软件信息,其中,终端硬件属性包括基础输入输出系统,系统盘序列号,通用唯一识别码,资产号,设备标识等等,终端软件信息包括操作系统版本号,系统软件,企业规定必备软件(例如企业要求员工必须安装的某类管控或内部实时通信软件)等等。
[0166]
作为示例,用户访问行为因子主要是指用户的日常访问时间、日常访问的业务系统和业务系统访问的频率,引入该因子主要是针对用户这一薄弱点(用户在零信任架构中是最容易被突破的因素)进行动态检测,在制定的零信任访问策略时可以为不同岗位不同级别的企业员工制定不同的企业资源访问策略,当系统识别出用户在与该用户访问习惯不一致的时间点访问企业资源,或者经常访问与零信任访问策略不相符的业务系统(虽然不会响应但是也会记录此类异常访问),或者业务系统访问频率与用户习惯相差较大,则ioa服务器的合规检测服务认为这是一种异常行为,有必要发起特定设备的动态验证,核对设备的真实性以及是否属于企业员工的合规访问。
[0167]
作为示例,应用因子主要包括用户访问企业资源的应用进程和ioa客户端组件信息,ioa客户端向ioa服务器发起票据申请时,通过异步检测获取网络访问的进程名称,进程路径、进程文件最近修改时间、进程文件md5、进程文件版本号、进程文件的sha256、版权信息和进程签名信息,而ioa客户端组件信息包括组件可执行文件加载的模块信息是否合规(是否包含正常签名,md5经检测是否正常等)以及是否存在异常的线程,因为恶意代码如果
在用户无感知的情况下通过注入ioa核心组件实现敏感信息盗用,网络违规访问或破坏活动等经常会以创建线程的方式进行,否则会影响ioa正常功能的执行,通过实时采集网络访问关键组件的线程与基准数据对比发现有异常线程,则认为有恶意代码注入或干扰,ioa服务器的合规检测服务认为这是一种异常行为,有必要发起特定设备的动态验证。
[0168]
在一些实施例中,每个动态评估因子具备默认的优先级,响应于管理员的配置操作,可根据企业实需求调整各因子优先级,同时响应于管理员的配置操作,可组合多个动态评估因子,形成能适用于不同场景的动态合规检测策略。
[0169]
下面举例若干场景,以说明评估因子的组合和不同优先级的配置。
[0170]
在一些实施例中,动态合规检测策略包括用户行为因子、用户位置因子和终端因子组合,其中,用户所在的网络位置变化以及访问的业务系统范围的优先级设置最高,此种场景中当用户位置变化或访问的业务系统超出设定的零信网络的访问策略时,ioa服务器自动对设备进行动态验证或执行注销断网处理。
[0171]
在一些实施例中,动态合规检测策略包括终端因子和应用因子组合,其中,终端因子优先级设置最高,当申请票据时,同一个用户有多台设备同时在线,或者新的接入设备不在已有的活跃设备名单中,ioa服务器下发针对相关设备的动态验证,会自动触发动态认证和多因子身份认证(例如,令牌登录、人脸识别,短信验证码验证),同时持续校验ioa组件加载模块的合法性、并同时校验是否存在异常线程,并针对访问企业资源的应用发起持续异步校验以加强验证。
[0172]
下面逐步说明服务器针对相关设备动态验证的过程。
[0173]
第一步:客户端将合规检查数据上报至ioa服务器的合规检测服务,ioa服务器的零信任业务服务以及智能网关向ioa服务器的合规检测服务上报更新得到的数据。
[0174]
参见图7,在ioa客户端进行登录开始身份认证时,ioa客户端通过驱动服务采集ioa客户端所在的设备的硬件属性并发送给ioa服务器,在每次ioa客户端执行零信任网络访问功能时,ioa客户端组件采集登录用户信息,网络位置、设备信息,身份票据和访问应用信息,向ioa服务器发起票据置换(身份票据置换网络访问票据),ioa服务器将ioa客户端的请求参数转发至合规检测服务。智能网关和ioa服务器的零信任业务服务上报至合规检测服务的数据是与用户关联的活跃设备、票据信息、合规检测结果以及ioa组件信息等,这些数据区别于ioa客户端触发合规检测服务时上报的与本次访问请求相关的数据,而是在后续作为基准数据。
[0175]
第二步、根据ioa服务器下发的动态合规检测策略(包括至少一个动态评估因子),识别出用户的身份认证或者票据申请是否异常。
[0176]
在一些实施例中,ioa服务器的合规检测服务以管理员在管理端下发的动态合规检测策略为依据,针对动态评估因子(设备、用户访问行为、应用、用户位置等)对访问请求进行风险识别,下面说明判定为异常行为的场景。
[0177]
作为示例,关于终端因子,同一用户同时在不同设备登录,用户登录或申请票据时上传的设备信息不在已有的活跃设备列表中,用户登录或申请票据时上传的设备信息在活跃设备列表中但是关键信息不相符,这些情况均由ioa合规检测服务判定为异常,发起动态验证。如果同一个登录票据同时出现在至少两个不同的设备,则认为是高危场景(身份票据盗用),立即中断对应设备的零信任网络访问,并拉黑设备,禁止身份认证和网络访问。
[0178]
作为示例,关于用户访问行为因子,终端用户访问企业资源的时间与日常习惯差异较大(例如凌晨访问企业资源)、访问的业务系统和业务系统访问的频率与该用户的历史记录差异较大,这种情况被认为存在账号盗用的可能性。
[0179]
作为示例,关于用户位置因子,终端用户同时在不同的网络位置访问企业资源,或者当次访问企业资源的位置与历史高频访问的网络位置有差异。用户在访问企业资源时所处网络位置的变化是零信任网络访问安全性的一个重要参考因素,可用以检测账号被调用异地登录的场景。
[0180]
作为示例,关于应用因子,涉及到通过零信任网络功能访问企业业务系统的应用进程和ioa客户端的组件进程。应用因子异常场景包括终端用户访问企业资源的应用经送检存在异常或者经检测ioa零信任网络访问组件存在异常加载模块或者异常线程执行,服务器的合规检测服务需要及时识别并干预。
[0181]
第三步、针对可能存在异常的访问行为,ioa服务器自动对终端发起动态验证。
[0182]
作为示例,针对终端因子的动态验证过程如下,针对终端因子发起验证发生在攻击者使用未注册的设备进行零信任网络访问或企业员工的身份票据被盗用的场景中,同一用户同时在不同设备登录,用户登录或申请票据时上传的设备信息不在已有的活跃设备列表中,用户登录或申请票据时上传的设备信息在活跃设备列表中但是关键信息不相符,这些情况下ioa服务器的合规检测服务均会针对登录或者申请票据的设备发起动态验证,如果合规检测服务检测到相同的登录票据在票据的有效期内出现在至少两个不同的设备上,则认为是高危场景(身份票据盗用),立即中断对应设备的零信任网络的访问,并拉黑设备、禁止身份认证和网络访问,经过动态验证识别为异常的机器将从活跃设备列表中剔除,同时禁止后续接入零信任网络。
[0183]
在场景1中,同一用户在至少两台设备均活跃,且均在指定时间范围内响应服务端动态验证。针对活跃设备均下发至少两次设备软硬件信息验证任务,每次验证任务的输出预期相同,且每次验证任务只能上报一次,即如果单次验证任务存在至少2次的信息采集和数据上报,则认为验证任务异常,设备响应服务器动态验证,但是需要响应内容与基准数据一致,且多次验证响应内容相同,只有这样才认为动态验证成功,如果某台设备验证任务存在等于或者超出两次的信息采集和数据上报,则验证任务异常,禁止该设备连入企业资源,如果某台设备连续两次验证任务结果不一致,或者每次的设备软硬件验证结果与基准数据存在差异,则同样认为验证任务异常,终止对应设备的账号认证和网络访问。
[0184]
在场景2中,同一用户在至少两台设备均活跃,其中一些设备响应动态验证内容,一些设备未响应或响应验证内容错误。针对响应动态验证内容的设备,与场景1类似的处理过程,检测多次动态验证的响应内容与基准数据一致,且多次验证响应内容相同,这样才认为动态验证成功,否则动态验证失败,被限制进行身份认证和网络访问;针对未响应验证内容或响应验证内容错误的设备,ioa服务器的合规检测服务在下发验证任务时增加验证随机数,发送至终端,同时同步至ioa服务器的零信任业务服务中的票据服务,终端发起网络访问,向服务器申请网络访问票据时,携带验证任务中的验证随机数,如果票据服务检测随机数不一致,则认为终端验证不可信,拒绝小票申请,因此这类未响应或响应内容错误的设备将自动被零信任网络隔离。
[0185]
作为示例,针对用户访问行为因子的动态验证过程如下:针对终端用户访问企业
资源的时间与日常习惯差异较大(例如凌晨访问企业资源)、访问的业务系统和业务系统访问的频率与该用户的历史记录差异较大的情况,服务器立即下发强制注销指令,并强制下发多因子认证进行身份验证,如果在限定时间或限定次数未能成功完成多因子身份认证(token,人脸识别,员工手机短信验证码等方式),则认为验证失败。
[0186]
作为示例,针对用户位置因子的动态验证过程如下:终端用户同时在不同的网络位置访问企业资源,或者当次访问企业资源的位置与历史高频访问的网络位置有差异,根据策略中设定的参数,服务器立即中断对应设备的零信任网络访问,并拉黑设备,禁止身份认证和网络访问。同时发起多因子身份认证,同时进行终端动态验证。如果在限定时间或限定次数未能成功完成多因子身份认证(token,人脸识别,员工手机短信验证码等方式),则认为验证失败。
[0187]
作为示例,针对应用因子的动态验证过程如下:涉及到通过零信任网络功能访问企业业务系统的应用进程和ioa客户端的组件进程。服务器下发针对终端应用的动态验证。其中动态验证的目标是终端用户通过第三方应用访问企业资源的应用进程信息和ioa核心组件的进程信息,包括组件加载的模块信息和实时采集的线程信息。客户端响应服务器的动态验证指令,采集频繁访问业务系统的应用进程名称,进程路径、进程文件最近修改时间、进程文件md5、进程文件版本号、进程文件的sha256、版权信息和进程签名信息,向威胁云查服务发起集中送检,经检查异常率低于设备参数的执行异常进程的零信任网络访问中断处理,高于设定参数则执行设备级的零信任网络访问断网处理。
[0188]
同时,客户端在收到服务器针对ioa关键组件检测的动态验证后,触发关键组件内的模块加载和线程信息采集逻辑的运行。一方面采集服务加载的模块的信息(包括模块二进制文件路径,模块文件md5,签名信息,模块文件版权信息、进程文件sha256等)发往送检服务执行送检,一方面在执行票据申请和与代理客户端的票据传递期间采集线程信息,并将线程信息发送至安全检测服务的基准数据对比。如经检测ioa零信任网络访问组件存在异常加载模块或者异常线程执行,立即中断对应设备的零信任网络访问,并拉黑设备,禁止身份认证和网络访问。直到问题修复完毕才允许接入企业内部资源,以此有效识别恶意进程针对ioa核心组件的注入操作(通过模块注入或者恶意代码注入),盗用敏感信息或“搭便车”违规访问企业资源的问题。
[0189]
作为示例,ioa服务器还可以发起设定模板的动态验证,例如,服务器提供基于对应ioa版本的加解密映射表生成加解密密钥的算法,并附带一个随机密文信息,要求客户端基于对应ioa版本的加解密映射表生成加解密密钥,解密出随机密文,并在发送服务器的数据中以规定的格式附带密文解密出的明文。以此丰富验证的数据类型,增加黑客调试破解难度。
[0190]
第四、根据动态验证结果,确定高危行为,从而ioa服务器触发零信任网络执行拒绝访问以及登录禁止指令。
[0191]
在一些实施例中,参见图10,ioa服务器对ioa客户端发起动态验证失败的情况下,根据合规检测策略下发相应的阻断措施,如图10所示,ioa服务器的合规检测服务下发阻断指令(图示的步骤1),同时与ioa服务器的零信任业务服务交互数据,执行设备拉黑和服务阻断任务,即不给指定设备响应票据,拒绝后续的票据校验,禁止设备再次登录进行身份认证等(如图10中步骤2和步骤3),ioa客户端收到阻断指令后,一方面ioa客户端拒绝代理客
户端的本地票据申请请求(如图10中步骤4和步骤5),一方面ioa服务器拒绝给指定设备的ioa客户端响应网络申请票据(如图10中步骤6和步骤7),同时ioa服务器拒绝智能网关的票据校验(如图10中步骤8和步骤9),直到ioa客户端对异常项进行修复完毕并经过合规检测服务验证通过之前,设备被ioa服务器拒绝在零信任合规设备列表之外,禁止使用零信任网络访问功能。
[0192]
本技术实施例通过ioa服务器和ioa客户端结合存储和使用敏感信息方式,可以在提高破解者攻击成本的同时及时识别和修复敏感信息盗用等问题,增强零信任网络控制系统的可用性和安全性。本技术实施例在零信任网络架构下,通过ioa服务器和ioa客户端联动引入动态的合规检测方案,除了对设备终端进行必要软件安装、漏洞补丁、关闭高危服务和端口以及是否安装杀软或安全管理软件等静态合规检测外,针对动态评估因子进行动态配置和分级处置得到合规检测策略,基于合规检测策略识别出风险行为发生后,ioa服务器针对特定设备发起动态验证,根据动态验证的结果基于合规检测安全策略进行分级处理,针对设定级别(严重或必须强制干预)的风险行为,执行断网处置,同时下发限制操作指令,在终端用户解除风险行为之前,不允许执行零信任网络访问。本技术实施例针对终端用户可能出现触发规则的正常操作,服务器发起对终端、用户和主要进程的动态验证,自动下发多因子认证和设备认证,以主动收集用户的安全状态,从而阻止威胁行为的扩散,针对异常场景,ioa服务器可自动针对指定设备进行断网或强制注销处理,中断零信任网络访问功能。
[0193]
本技术实施例通过持续检测传播对企业安全造成威胁的异常行为,阻止恶意攻击行为在企业范围的扩大,与周期性等待ioa客户端上报数据再作出安全状态判定的方式相比,可以在提高破解者攻击成本的同时及时检测到异常行为的发生,提高异常行为发现的效率和准确率;还可以基于分级原则主动触发对部分设备的主动态验证,在减少过多频繁的全量安全检测对企业带宽占用的同时,提高针对威胁攻击的识别精准度;并且可以在提高破解者攻击成本的同时有效修复敏感信息盗用等问题,增强了零信任网络控制系统的可用性和安全性。
[0194]
下面继续说明本技术实施例提供的零信任网络的访问请求处理装置255的实施为软件模块的示例性结构,在一些实施例中,如图2所示,存储在存储器250的零信任网络的访问请求处理装置255中的软件模块可以包括:接收模块2551,用于接收合规检查数据,其中,合规检查数据是基于针对零信任网络的数据访问请求生成的;匹配模块2552,用于将合规检查数据与零信任网络的动态合规检测策略进行匹配处理,得到动态合规检测策略中表征异常数据访问请求的异常动态评估因子;验证模块2553,用于当异常动态评估因子满足动态验证条件时,发起对应动态合规检测策略的动态验证;响应模块2554,用于根据动态验证的结果,针对数据访问请求执行符合动态合规检测策略的操作。
[0195]
在一些实施例中,匹配模块2552,还用于将合规检查数据与零信任网络的动态合规检测策略进行匹配处理,得到动态合规检测策略中表征异常数据访问请求的异常动态评估因子之前,响应于针对至少一个动态评估因子的配置操作,获取每个动态评估因子的优先级以及异常条件;将至少一个动态评估因子的优先级以及异常条件确定为动态合规检测策略。
[0196]
在一些实施例中,验证模块2553,还用于发起对应动态合规检测策略的动态验证
之前,响应于针对动态验证的配置操作,获取对应动态验证的固定动态验证规则以及非固定动态验证规则;将对应动态验证的固定动态验证规则以及非固定动态验证规则封装至动态合规检测策略,并将动态合规检测策略下发至接收数据访问请求的零信任网络客户端;获取与固定动态验证规则匹配的基准数据,其中,基准数据用于在动态验证的过程中作为验证依据。
[0197]
在一些实施例中,验证模块2553,还用于当固定的动态验证规则为安装有零信任网络客户端的终端的硬件属性时,获取以下基准数据至少之一:终端的设备标识、终端的资产编号、终端的系统盘序列号、终端的基本输入输出系统的版本;当固定的动态验证规则为对应零信任网络客户端的软件属性时,获取以下基准数据至少之一:零信任网络客户端的二进制文件的签名信息、零信任网络客户端的二进制文件的哈希信息、零信任网络客户端的二进制文件的内存信息、零信任网络客户端的二进制文件的版本信息;当固定的动态验证规则为零信任网络客户端的关键服务时,获取以下基准数据中至少之一:关键服务的运行状态,关键服务的活跃度、关键服务对应的可执行文件、关键服务的加载组件;当固定的动态验证规则为零信任网络客户端的关键线程时,获取以下基准数据中至少之一:关键线程的线程起始函数,关键线程的组件、关键线程的堆栈信息;当固定的动态验证规则为零信任网络客户端的终端的真实性数据时,获取以下基准数据中至少之一:零信任网络客户端以及对应的零信任网络服务器配置的协议数据、零信任网络客户端向零信任网络服务器发送的历史心跳数据。
[0198]
在一些实施例中,接收模块2551,还用于:当数据访问请求是针对零信任网络客户端的登录请求时,接收安装有零信任网络客户端的终端的硬件属性,并作为合规检查数据;当数据访问请求是针对目标业务地址的访问请求时,接收零信任网络客户端的登录信息、用户位置、硬件属性、对应访问请求的票据信息以及目标业务地址对应的应用信息,并作为合规检查数据。
[0199]
在一些实施例中,动态合规检测策略中配置的动态评估因子为用户位置因子,匹配模块2552,还用于:获取数据访问请求的用户位置;将用户位置与用户位置因子的异常位置条件进行匹配处理;当匹配结果表征用户位置满足用户位置因子的异常位置条件时,将用户位置因子确定为表征异常数据访问请求的异常动态评估因子;其中,异常位置条件包括以下至少之一:查询到与数据访问请求对应的多个用户位置;对应数据访问请求的用户位置与历史基准位置之间的距离大于距离阈值。
[0200]
在一些实施例中,动态合规检测策略中配置的动态评估因子为应用因子,匹配模块2552,还用于:获取数据访问请求对应的进程数据;将进程数据与应用因子的异常进程条件进行匹配处理;当匹配结果表征进程数据满足应用因子的异常进程条件时,将应用因子确定为表征异常数据访问请求的异常动态评估因子;其中,异常进程条件包括以下至少之一:对应数据访问请求的业务应用客户端的应用进程经检测存在异常;对应数据访问请求的零信任网络客户端的组件进程经检测存在异常。
[0201]
在一些实施例中,动态合规检测策略中配置的动态评估因子为访问行为因子,匹配模块2552,还用于:获取数据访问请求的访问行为数据;将访问行为数据与访问行为因子的异常行为条件进行匹配处理;当匹配结果表征访问行为数据满足访问行为因子的异常行为条件时,将访问行为因子确定为表征异常数据访问请求的异常动态评估因子;其中,异常
行为条件包括以下至少之一:数据访问请求的时间与历史基准时间的第一时间间隔大于第一时间间隔阈值;对应数据访问请求的网络地址与历史网络地址不同;针对数据访问请求的用户账号,确定数据访问请求与用户账号针对网络地址的最近历史数据访问请求的第二时间间隔,第二时间间隔小于第二时间间隔阈值。
[0202]
在一些实施例中,动态合规检测策略中配置的动态评估因子为终端因子,匹配模块2552,还用于:获取数据访问请求的终端数据;将终端数据与终端因子的异常终端条件进行匹配处理;当匹配结果表征终端数据满足终端因子的异常终端条件时,将终端因子确定为表征异常数据访问请求的异常动态评估因子;其中,异常终端条件包括以下至少之一:发起数据访问请求的用户账号在多个终端同时登录;对应数据访问请求的终端信息与活跃终端信息不匹配。
[0203]
在一些实施例中,验证模块2553,还用于:当异常动态评估因子为终端因子时,向对应数据访问请求的终端发送基于硬件属性的第一动态验证请求;当在第一动态验证时间阈值内终端返回的用于响应第一动态验证请求的硬件属性响应数据与对应第一动态验证请求的基准硬件数据相同,且针对每次第一动态验证请求每个终端收到一次硬件属性响应数据时,确定通过对应第一动态验证请求的第一动态验证,并继续响应数据访问请求;当在第一动态验证时间阈值内终端返回的用于响应第一动态验证请求的硬件属性响应数据与对应第一动态验证请求的基准硬件数据不相同,或者,针对每次第一动态验证请求,当每个终端多次收到硬件属性响应数据时,确定对应第一动态验证请求的第一动态验证失败。
[0204]
在一些实施例中,验证模块2553,还用于:当异常动态评估因子为访问行为因子或者用户位置因子时,向对应数据访问请求的终端发送基于多个维度的身份属性第二动态验证请求;当在第二动态验证时间阈值内,终端返回的多个维度的身份属性响应数据与对应第二动态验证请求的基准身份数据相同时,确定通过对应第二动态验证请求的第二动态验证,并继续响应数据访问请求,其中,多个维度的身份属性响应数据用于响应第二动态验证;当在第二动态验证时间阈值内,终端返回的至少一个维度的身份属性响应数据与对应第二动态验证请求的基准身份数据不相同时,确定对应第二动态验证请求的第二动态验证失败,其中,至少一个维度的身份属性响应数据用于响应第二动态验证。
[0205]
在一些实施例中,验证模块2553,还用于:当异常动态评估因子为应用因子时,向对应数据访问请求的终端发送基于进程数据的第三动态验证请求;当在第三动态验证时间阈值内,终端返回的用于响应第三动态验证的进程响应数据与对应第三动态验证请求的基准进程数据相同时,确定通过对应第三动态验证请求的第三动态验证并继续响应数据访问请求;当在第三动态验证时间阈值内,终端返回的用于响应第三动态验证的进程响应数据与对应第三动态验证请求的基准进程数据不相同时,确定对应第三动态验证请求的第三动态验证失败。
[0206]
在一些实施例中,验证模块2553,还用于:当异常动态评估因子为应用因子时,向对应数据访问请求的终端发送携带密文的第四动态验证请求;当在第四动态验证时间阈值内,终端返回的用于响应第四动态验证请求的明文与对应第四动态验证请求的基准明文相同时,确定通过对应第四动态验证请求的第四动态验证,并继续响应数据访问请求;其中,明文是基于终端的解密密钥得到的,解密密钥是终端基于加解密映射表生成的;当在第四动态验证时间阈值内,终端返回的用于响应第四动态验证请求的明文与对应第四动态验证
请求的基准明文不相同时,确定对应第四动态验证请求的第四动态验证失败。
[0207]
在一些实施例中,响应模块2554,还用于:当异常动态评估因子满足限制响应条件时,从动态合规检测策略中查询对应异常动态评估因子的响应限制操作,并针对数据访问请求执行响应限制操作;其中,响应限制操作包括以下至少之一:屏蔽响应数据访问请求对应的终端;屏蔽响应数据访问请求对应的用户账号;屏蔽响应数据访问请求;其中,限制响应条件对应的异常动态评估因子的风险级别程度高于动态验证条件对应的异常动态评估因子的风险级别程度。
[0208]
在一些实施例中,响应模块2554,还用于:从动态合规检测策略中查询对应异常动态评估因子的响应限制操作,并针对数据访问请求执行响应限制操作;其中,响应限制操作包括以下至少之一:屏蔽响应数据访问请求对应的终端;屏蔽响应数据访问请求对应的用户账号;屏蔽响应数据访问请求。
[0209]
本技术实施例提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该电子设备执行本技术实施例上述的零信任网络的访问请求处理方法。
[0210]
本技术实施例提供一种存储有可执行指令的计算机可读存储介质,其中存储有可执行指令,当可执行指令被处理器执行时,将引起处理器执行本技术实施例提供的零信任网络的访问请求处理方法,例如,如图3a-3d示出的零信任网络的访问请求处理方法。
[0211]
在一些实施例中,计算机可读存储介质可以是fram、rom、prom、eprom、eeprom、闪存、磁表面存储器、光盘、或cd-rom等存储器;也可以是包括上述存储器之一或任意组合的各种设备。
[0212]
在一些实施例中,可执行指令可以采用程序、软件、软件模块、脚本或代码的形式,按任意形式的编程语言(包括编译或解释语言,或者声明性或过程性语言)来编写,并且其可按任意形式部署,包括被部署为独立的程序或者被部署为模块、组件、子例程或者适合在计算环境中使用的其它单元。
[0213]
作为示例,可执行指令可以但不一定对应于文件系统中的文件,可以可被存储在保存其它程序或数据的文件的一部分,例如,存储在超文本标记语言(html,hyper text markup language)文档中的一个或多个脚本中,存储在专用于所讨论的程序的单个文件中,或者,存储在多个协同文件(例如,存储一个或多个模块、子程序或代码部分的文件)中。
[0214]
作为示例,可执行指令可被部署为在一个电子设备上执行,或者在位于一个地点的多个电子设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个电子设备上执行。
[0215]
综上所述,通过本技术实施例以数据访问请求为触发识别异常访问行为并发起相应的验证,从而主动检测到异常访问行为的发生,以提高异常行为发现的效率和准确率,并且在满足动态验证条件时才进行主动验证,可以减少过多频繁的全量安全检测所导致的带宽占用,还可以提高安全防护的精准度,增强了零信任网络的可用性和安全性。
[0216]
以上所述,仅为本技术的实施例而已,并非用于限定本技术的保护范围。凡在本技术的精神和范围之内所作的任何修改、等同替换和改进等,均包含在本技术的保护范围之内。
再多了解一些
本文用于创业者技术爱好者查询,仅供学习研究,如用于商业用途,请联系技术所有人。
