【技术实现步骤摘要】
一种业务数据访问方法、装置、设备及存储介质
本申请涉及计算机
,尤其涉及一种业务数据访问方法、装置、设备及存储介质。
技术介绍
传统基于区域的授信控制方式是用基于用户所在的网络位置(例如,企业内网或者企业外网),对用户可以访问的业务应用进行划分信任区域,例如,在用户处于企业内网时可以允许该用户直接访问某一类业务应用对应的业务服务器。因此,由于严重依赖网络位置的边界划分,从而导致无法解决边界被突破后的安全问题。例如,某些非法人员可以非法攻击处于企业内网的用户(例如,用户1)所发送的业务访问请求,从而导致在攻击成功时,该非法人员能够轻易取代用户1,非法获取到该用户1的业务访问请求所访问的业务数据信息,容易造成该用户1所在企业的隐私数据信息的泄露,从而提高了数据泄露的安全风险,进而降低了访问的安全性。
技术实现思路
本申请实施例提供一种业务数据访问方法、装置、设备及存储介质,可以提高访问的安全性。本申请实施例一方面提供一种业务数据访问方法,该方法由运行有安全管理客户端的用户终端执行,包括:...
【技术保护点】
1.一种业务数据访问方法,其特征在于,所述方法由运行有安全管理客户端的用户终端执行,包括:/n在截获到与业务应用相关联的业务访问请求时,基于所述安全管理客户端对应的安全管理服务器所下发的第一零信任访问策略,通过所述安全管理客户端确定与所述业务访问请求相匹配的第一校验凭证;/n将所述第一校验凭证通过与所述安全管理客户端相关联的智能网关,转发至所述安全管理服务器,以使所述安全管理服务器基于所述第一校验凭证对应的校验辅助参数,对所述第一校验凭证进行合法性校验,得到合法校验结果;/n在所述合法校验结果指示所述第一校验凭证具备合法性时,通过所述智能网关获取所述业务访问请求对应的业务响...
【技术特征摘要】
1.一种业务数据访问方法,其特征在于,所述方法由运行有安全管理客户端的用户终端执行,包括:
在截获到与业务应用相关联的业务访问请求时,基于所述安全管理客户端对应的安全管理服务器所下发的第一零信任访问策略,通过所述安全管理客户端确定与所述业务访问请求相匹配的第一校验凭证;
将所述第一校验凭证通过与所述安全管理客户端相关联的智能网关,转发至所述安全管理服务器,以使所述安全管理服务器基于所述第一校验凭证对应的校验辅助参数,对所述第一校验凭证进行合法性校验,得到合法校验结果;
在所述合法校验结果指示所述第一校验凭证具备合法性时,通过所述智能网关获取所述业务访问请求对应的业务响应结果,将所述业务响应结果输出至所述业务应用对应的应用显示界面。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在访问用户通过所述用户终端访问所述安全管理客户端时,通过所述安全管理客户端确定所述用户终端的终端设备信息;
通过所述管理客户端的界面进程,将所述终端设备信息发送至所述安全管理服务器,以使所述安全管理服务器对所述访问用户的访问权限进行鉴权,得到鉴权结果;所述鉴权结果用于指示所述安全管理服务器在确定所述访问用户具备访问权限时,基于管理用户为所述访问用户配置的用户账户信息,为所述访问用户配置登录凭证;
获取所述安全管理服务器返回的所述登录凭证以及所述用户账户信息,将所述登录凭证和所述用户账户信息进行加密存储。
3.根据权利要求2所述的方法,其特征在于,所述安全管理客户端包括主服务进程;
所述方法还包括:
在获取到所述用户账户信息时,基于所述界面进程和所述主服务进程,生成用于发送至所述安全管理服务器的策略同步指令;所述策略同步指令用于指示所述安全管理服务器生成与所述访问用户相关联的策略标识列表;所述策略标识列表中包括Y个第一标识信息;所述Y为正整数;
接收所述安全管理服务器返回的所述策略标识列表,通过所述主服务进程将所述第一标识信息与所述安全管理客户端中的本地标识列表的第二标识信息进行比对,得到比对结果;所述比对结果中包括在所述策略标识列表中所确定的与所述第二标识信息相同的第一标识信息;
在所述策略标识列表中获取目标标识信息,将所述目标标识信息发送至所述安全管理服务器,以使所述安全管理服务器获取与所述目标标识信息对应的第二零信任访问策略;所述目标标识信息为在所述策略标识列表中,除与所述第二标识信息相同的第一标识信息之外所剩余的第一标识信息;
通过所述主服务进程接收所述安全管理服务器返回的所述第二零信任访问策略,将所述第二零信任访问策略对应的所述目标标识信息添加至所述本地标识列表,且将所述第二零信任访问策略通过所述界面进程进行显示。
4.根据权利要求3所述的方法,其特征在于,所述在获取到所述用户账户信息时,基于所述界面进程和所述主服务进程,生成用于发送至所述安全管理服务器的策略同步指令,包括:
在获取到所述用户账户信息时,通过所述界面进程,触发用于获取所述访问用户的第一零信任访问策略的策略拉取指令;
将所述策略拉取指令传输至所述主服务进程,控制所述主服务进程响应所述策略拉取指令,生成用于发送至所述安全管理服务器的策略同步指令。
5.根据权利要求1所述的方法,其特征在于,所述安全管理客户端包括具有请求截获功能的代理组件;
所述在截获到与业务应用相关联的业务访问请求时,基于所述安全管理客户端对应的安全管理服务器所下发的第一零信任访问策略,通过所述安全管理客户端确定与所述业务访问请求相匹配的第一校验凭证,包括:
在通过所述代理组件截获到与业务应用相关联的业务访问请求时,通过所述安全管理客户端对所述业务访问请求进行解析处理,得到所述业务访问请求中的访问辅助参数;所述访问辅助参数包括在所述业务应用中所录入的业务访问站点、所述业务应用中的访问进程以及所述业务访问请求的请求生成时间戳;
基于所述安全管理客户端对应的安全管理服务器所下发的第一零信任访问策略,查找与所述业务访问站点相匹配的第一零信任访问策略;
在查找到与所述业务访问站点相匹配的第一零信任访问策略时,通过所述安全管理客户端,将所述业务访问站点对应的缓存节点作为目标缓存节点;所述目标缓存节点包括Z个与所述业务访问站点相关联的子节点;一个子节点对应一个校验凭证,且一个校验凭证对应一个有效时长;所述Z为正整数;
基于每个校验凭证分别对应的有效时长,从Z个子节点中获取第一子节点,将所述第一子节点对应的校验凭证确定为第一待匹配凭证,确定所述请求生成时间戳与所述第一待匹配凭证对应的存储时间戳之间的时间间隔值;
基于所述时间间隔值,将与所述业务访问请求相匹配的第一待匹配凭证确定为第一校验凭证。
6.根据权利要求5所述的方法,其特征在于,所述第一待匹配凭证包括与所述存储时间戳相关联的第一阈值以及第二阈值,且所述第二阈值大于所述第一阈值;
所述基于所述时间间隔值,将与所述业务访问请求相匹配的第一待匹配凭证确定为第一校验凭证,包括:
确定包括所述第一阈值和所述第二阈值的时间阈值范围,若所述时间间隔值属于所述时间阈值范围,则对所述第一待匹配凭证进行解析,得到所述第一待匹配凭证对应的缓存数据;所述缓存数据包括业务缓存站点以及所述业务缓存站点对应的缓存进程;
在所述业务缓存站点与所述业务访问站点相同,且所述缓存进程与所述业务辅助信息中的访问进程相同时,从所述安全管理客户端中删除所述第一待匹配校验凭证;
将所述第一待匹配凭证作为与所述业务访问请求相匹配的第一校验凭证。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
若所述时间间隔值不属于所述时间阈值范围,且所述时间间隔值小于所述第一阈值,则确定所述安全管理客户端未查找到与所述业务访问请求相匹配的第一校验凭证。
...
【专利技术属性】
技术研发人员:蔡东赟,吴岳廷,朱祁林,马晓敏,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。