业务数据处理方法、装置、设备及介质与流程

1.本公开涉及计算机领域，尤其涉及一种业务数据处理方法、装置、设备及介质。


背景技术：

2.在对业务系统的数据访问场景，通常是通过静态策略来控制对业务系统的数据访问权限。然而，随着数据规模的增加和业务的不断扩展，在调整控制策略时，需要对这种访问权限控制的静态策略进行整体替换，不仅降低业务访问效率，而且也存在对业务访问的安全性较低的问题。


技术实现要素：

3.本公开提供了一种业务数据处理方法、装置、设备及介质，以解决现有技术中至少一种技术问题。
4.一方面，本公开提供了一种业务数据处理方法，包括：
5.响应于业务访问事件，通过目标业务进程发起业务访问请求；
6.在检测所述业务访问请求用于指示访问第一预设业务对象的情况下，获取与所述业务访问请求相匹配的第一访问凭证；所述第一访问凭证根据搭载业务管理客户端的终端的动态因子数据和静态因子数据所确定；
7.向管理服务端发送用于指示获取第二访问凭证的第一凭证获取请求，所述第一凭证获取请求包括所述第一访问凭证；
8.获取所述管理服务端基于所述第一访问凭证和访问控制策略列表所确定的第一凭证获取结果；
9.基于所述第一凭证获取结果，对所述业务访问请求进行业务访问控制。
10.另一方面还提供一种业务数据处理方法，包括：
11.获取终端发送的用于指示获取第二访问凭证的第一凭证获取请求，所述第一凭证获取请求包括在检测所述业务访问请求用于指示访问第一预设业务对象的情况下，所获取的与业务访问请求相匹配的第一访问凭证，所述业务访问请求是通过目标业务进程响应于业务访问事件所发送的，所述第一访问凭证根据搭载业务管理客户端的终端的动态因子数据和静态因子数据所确定；
12.基于所述第一凭证获取请求中第一访问凭证和访问控制策略列表确定第一凭证获取结果；
13.发送所述第一凭证获取结果，以使得所述终端基于所述第一凭证获取结果，对所述业务访问请求进行业务访问控制。
14.另一方面还提供了一种业务数据处理装置，所述装置包括：
15.第一请求发送模块，用于响应于业务访问事件，通过目标业务进程发起业务访问请求；
16.第一获取模块，用于在检测所述业务访问请求用于指示访问第一预设业务对象的
情况下，获取与所述业务访问请求相匹配的第一访问凭证；所述第一访问凭证根据搭载业务管理客户端的终端的动态因子数据和静态因子数据所确定；
17.第二请求发送模块，用于向管理服务端发送用于指示获取第二访问凭证的第一凭证获取请求，所述第一凭证获取请求包括所述第一访问凭证；
18.第二获取模块，用于获取所述管理服务端基于所述第一访问凭证和访问控制策略列表所确定的第一凭证获取结果；
19.处理模块，用于基于所述第一凭证获取结果，对所述业务访问请求进行业务访问控制。
20.另一方面还提供了一种业务数据处理装置，所述装置包括：
21.第一获取模块，用于获取终端发送的用于指示获取第二访问凭证的第一凭证获取请求，所述第一凭证获取请求包括在检测所述业务访问请求用于指示访问第一预设业务对象的情况下，所获取的与业务访问请求相匹配的第一访问凭证，所述业务访问请求是通过目标业务进程响应于业务访问事件所发送的，所述第一访问凭证根据搭载业务管理客户端的终端的动态因子数据和静态因子数据所确定；
22.结果确定模块，用于基于所述第一凭证获取请求中第一访问凭证和访问控制策略列表确定第一凭证获取结果；
23.发送模块，用于发送所述第一凭证获取结果，以使得所述终端基于所述第一凭证获取结果，对所述业务访问请求进行业务访问控制。
24.另一方面还提供了一种电子设备，所述电子设备包括处理器和存储器，所述存储器中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由所述处理器加载并执行以实现上述任一所述的方法。
25.另一方面还提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由处理器加载并执行以实现上述任一所述的方法。
26.另一方面还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述任一所述的方法。
27.本公开提供的一种业务数据处理方法、装置、设备及介质，具有如下技术效果：
28.本公开实施例通过响应于业务访问事件，通过目标业务进程发起业务访问请求；在检测所述业务访问请求用于指示访问第一预设业务对象的情况下，获取与所述业务访问请求相匹配的第一访问凭证；所述第一访问凭证根据搭载业务管理客户端的终端的动态因子数据和静态因子数据所确定；向管理服务端发送用于指示获取第二访问凭证的第一凭证获取请求，第一凭证获取请求包括所述第一访问凭证；获取管理服务端基于所述第一访问凭证和访问控制策略列表所确定的第一凭证获取结果；基于第一凭证获取结果进行业务访问控制。通过结合终端可变的动态因子数据和静态因子数据所确定的第一访问凭证，并基于该第一访问凭证和访问控制策略列表确定用于获取第二访问凭证的凭证获取结果，并基于该结果进行业务访问控制，使得终端在网络，终端环境和安全状态发生变化时通过命中动态规则项，实现实时的访问控制，将针对疑似异常行为的处理或需要验证后才能访问的
处理逻辑提前到敏感资源访问前实施，而非通过事后异步阻断的方式处理，不仅处理及时，而且灵活性强。此外，还提高了业务访问效率和安全性，能够适用于诸如突发事件处置、需要临时性，指定时间段内的资源访问等多种场景。
附图说明
29.为了更清楚地说明本公开实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。
30.图1是本公开实施例提供的一种业务数据处理方法的应用环境示意图；
31.图2是本公开实施例提供的一种业务数据处理方法的流程示意图；
32.图3是本公开实施例提供的一种业务数据处理方法的部分流程示意图；
33.图4是本公开实施例提供的一种业务数据处理方法的界面示意图；
34.图5是本公开实施例提供的一种业务数据处理方法的流程示意图；
35.图6是本公开实施例提供的一种业务数据处理方法的时序图；
36.图7是本公开实施例提供的一种业务数据处理装置的结构框图；
37.图8是本公开实施例提供的一种业务数据处理装置的结构框图；
38.图9是本公开提供的一种用于实现本公开实施例所提供的方法的设备的硬件结构示意图。
具体实施方式
39.为了使本技术领域的人员更好地理解本公开方案，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分的实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本公开保护的范围。
40.为使本公开的目的、技术方案和优点更加清楚，下面将结合附图对本公开实施方式作进一步地详细描述。
41.为了便于理解本公开实施例上述的技术方案及其产生的技术效果，针对本公开实施例中涉及的名词进行简单介绍：
42.云技术(cloud technology)基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称，可以组成资源池，按需所用，灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源，如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用，将来每个物品都有可能存在自己的识别标志，都需要传输到后台系统进行逻辑处理，不同程度级别的数据将会分开处理，各类行业数据皆需要强大的系统后盾支撑，能通过云计算来实现。
43.云安全(cloud security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意
程序的最新信息，并发送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。
44.云安全主要研究方向包括：1、云计算安全，主要研究如何保障云自身及云上各种应用的安全，包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等；2、安全基础设施的云化，主要研究如何采用云计算新建与整合安全基础设施资源，优化安全防护机制，包括通过云计算技术构建超大规模安全事件、信息采集与处理平台，实现对海量信息的采集与关联分析，提升全网安全事件把控能力及风险控制能力；3、云安全服务，主要研究各种基于云计算平台为用户提供的安全服务，如防病毒服务等。
45.云存储(cloud storage)是在云计算概念上延伸和发展出来的一个新的概念，分布式云存储系统(以下简称存储系统)是指通过集群应用、网格技术以及分布存储文件系统等功能，将网络中大量各种不同类型的存储设备(存储设备也称之为存储节点)通过应用软件或应用接口集合起来协同工作，共同对外提供数据存储和业务访问功能的一个存储系统。
46.目前，存储系统的存储方法为：创建逻辑卷，在创建逻辑卷时，就为每个逻辑卷分配物理存储空间，该物理存储空间可能是某个存储设备或者某几个存储设备的磁盘组成。客户端在某一逻辑卷上存储数据，也就是将数据存储在文件系统上，文件系统将数据分成许多部分，每一部分是一个对象，对象不仅包含数据而且还包含数据标识(id，identity)等额外的信息，文件系统将每个对象分别写入该逻辑卷的物理存储空间，且文件系统会记录每个对象的存储位置信息，从而当客户端请求访问数据时，文件系统能够根据每个对象的存储位置信息让客户端对数据进行访问。
47.存储系统为逻辑卷分配物理存储空间的过程，具体为：按照对存储于逻辑卷的对象的容量估量(该估量往往相对于实际要存储的对象的容量有很大余量)和独立冗余磁盘阵列(raid，redundant array of independent disk)的组别，预先将物理存储空间划分成分条，一个逻辑卷可以理解为一个分条，从而为逻辑卷分配了物理存储空间。
48.数据库(database)，简而言之可视为电子化的文件柜——存储电子文件的处所，用户可以对文件中的数据进行新增、查询、更新、删除等操作。所谓“数据库”是以一定方式储存在一起、能与多个用户共享、具有尽可能小的冗余度、与应用程序彼此独立的数据集合。
49.数据库管理系统(database management system，dbms)是为管理数据库而设计的电脑软件系统，一般具有存储、截取、安全保障、备份等基础功能。数据库管理系统可以依据它所支持的数据库模型来作分类，例如关系式、xml(extensible markup language，可扩展标记语言)；或依据所支持的计算机类型来作分类，例如服务器群集、移动电话；或依据所用查询语言来作分类，例如sql(structured query language，结构化查询语言)、xquery；或依据性能冲量重点来作分类，例如最大规模、最高运行速度；亦或其他的分类方式。不论使用哪种分类方式，一些dbms能够跨类别，例如，同时支持多种查询语言。本公开实施例提供的方案涉及云技术等技术，具体通过如下实施例进行说明。
50.本公开提供的业务数据处理方法可以应用于如图1所示的应用环境中。如图1所示，该硬件环境可以至少包括终端10、管理服务端20、终端30、业务服务端40和网关设备50。
51.上述终端10和终端30可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表、车载终端、智能电视等中至少一种，但并不局限于此。终端10可以是用户端，终端10中可以搭载业务管理客户端和代理组件，通过该业务管理客户端实现与管理服务端20之间的通信，通过该代理组件和网关设备50实现业务管理客户端与业务服务端40之间的通信，进而实现业务系统和数据访问，该终端10的数量可以为多个，本公开对此不作具体限定。终端30可以是管理端，其数量可以为一个或多个，本公开对此不作具体限定。
52.上述管理服务端20可以为终端10和终端30提供业务数据处理的后台服务，业务服务端40可以为终端10提供业务服务，该管理服务端20和业务服务端40可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云计算服务的云服务器。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接，本公开在此不做限制。需要说明的是，上述管理服务端20和业务服务端40可以实现为云端的云服务器。
53.在一些实施例中，上述管理服务端20和业务服务端40还可以实现为区块链系统中的节点。区块链(blockchain)是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。
54.需要说明的是，在实际应用中，上述业务数据处理方法可以在终端10中实现，也可以在管理服务端中实现，或者由至少一个终端和至少一个服务端和网关设备共同实现。
55.当然，本公开实施例提供的方法并不限用于图1所示的硬件环境中，还可以用于其它可能的硬件环境，本公开实施例并不进行限制。对于图1所示的硬件环境的各个设备所能实现的功能将在后续的方法实施例中一并进行描述，在此先不过多赘述。
56.图2是本公开实施例提供的一种业务数据处理方法的流程示意图。本公开提供了如实施例或流程图所述的方法操作步骤，但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。该业务数据处理方法的执行主体可以是本公开实施例提供的业务数据处理装置，或者集成了该业务数据处理装置的服务器，其中，该业务数据处理装置可以采用硬件或者软件的方式实现。以执行主体为上述图1中的终端为例进行说明，如图2所示，该方法可以包括：
57.s201：响应于业务访问事件，通过目标业务进程发起业务访问请求。
58.其中，业务访问事件用于反映访问主体触发对访问客体的访问。仅作为示例，访问主体可以是在网络中，发起访问的一方，访问内网业务资源的用户/设备/应用等，是由用户、设备、应用等因素单一组成或者组合形成的一种数字实体。访问客体可以是在网络中，被访问的一方，即企业内网业务资源，包括应用、系统环境(例如开发测试环境、运维环境、生产环境等)、数据、接口、功能等。可选地，访问客体可以包括业务系统以及业务管理客户端对应的数据资源，该业务访问事件包括但不限于为点击、输入等触发操作。
59.目标业务进程用于反映业务管理客户端在运行过程中的实例。在检测到业务访问事件的情况下，可以调用目标业务进程发起业务访问请求。该业务访问请求可以用于指示
请求访问需要访问的业务对象，该业务对象可以包括敏感业务对象和非敏感业务对象。仅作为示例，敏感业务对象可以包括敏感企业资源或数据；非敏感业务对象可以包括非企业资源的访问(例如公网站点、普通企业资源的访问等。
60.需要说明的是，在响应业务访问事件之前，还可以包括登录业务管理客户端的步骤，通过登录票据来进行身份认证和登录，进而根据该业务管理客户端进行终端中业务安全访问服务。该登录票据(即大票)是终端用户通过身份认证后，管理服务端给终端颁发的一个凭证。终端用户每次通过例如扫码登录，账号密码登录，token登录、iam登录等多种身份认证方式，完成登录操作后即可自动获取一个登录票据，每个登录票据具有登录有效期和使用频次，在注销登录或超出登录票据的有效期后该登录票据将自动失效，进而需要重新进行身份认证和登录。
61.s202：在检测所述业务访问请求用于指示访问第一预设业务对象的情况下，获取与所述业务访问请求相匹配的第一访问凭证。
62.其中，每个业务访问请求用于指示需要访问的业务对象可以包括敏感业务对象和非敏感业务对象。这里的第一预设业务对象包括敏感业务对象，也即敏感业务系统或数据，例如企业资源或数据。在检测到该业务访问请求用于指示需要访问敏感业务对象的情况下，也即确定所述业务访问请求用于指示第一预设业务对象。
63.其中，所述第一访问凭证根据搭载业务管理客户端的终端的动态因子数据和静态因子数据所确定。该业务管理客户端是安装在终端设备上的，其可以用于辅助验证设备上的访问对象的身份是否可信，以及辅助验证设备和设备访问的应用是否可信。
64.动态因子数据是用于表征搭载业务管理客户端的终端的网络环境数据。该动态因子数据可以包括访问应用的应用特征信息、环境感知信息和终端合规信息等。应用特征信息可以包括应用对应的可执行文件的md5、文件版本信息、文件描述、产品名称、进程文件sha256，根证书、签名证书等信息。环境感知信息可以包括终端网络区域信息(例如出口ip信息)、网络环境信息(例如物理网卡ip信息)，终端用户是否正在访问敏感系统等动态因子信息。终端合规信息可以包括病毒查杀信息、漏洞修复信息、安全加固信息、数据保护信息、实时防护信息、心跳检测信息等至少一种。
65.静态因子数据用于表征访问对象的静态因素，该静态因子数据可以包括访问主体的信息、访问应用特征信息、访问对象等。其中，访问主体的信息可以包括访问主体的账户信息、访问主体的权限信息、访问操作数据(例如使用第一访问凭证的使用时间和使用频率)等。访问对象可以包括具体的敏感业务系统或数据等。
66.该第一访问凭证可以是为敏感业务系统或数据访问设置的特殊凭证。当检测访问主体访问敏感业务对象的情况下，管理服务端可以通过下发第一访问凭证限制其权限和使用场景。通过第一访问凭证可以针对敏感业务系统和数据的动态访问，增强访问安全性。
67.当感知终端的状态、访问主体的访问操作数据(例如访问敏感业务系统和数据的频率和时间等)符合动态访问条件时，管理服务端触发终端执行重认证，在终端未完成重认证之前，敏感业务系统和数据将不可被访问。完成重认证后，管理服务端向业务管理客户端针对当前敏感业务系统和数据的访问响应特定的第一访问凭证，包含访问主体针对此目标系统或数据在特定时间内的访问权限和访问频率，由终端存储第一访问凭证，后续针对目标业务系统或数据的访问将自动带上第一访问凭证，管理服务端根据终端发送的第一访问
凭证，结合终端环境状态判定访问主体针对目标系统或数据的访问是否合法。如果终端安全状态不达标或者环境状态命中了访问控制策略中不可访问该敏感业务系统或数据的规则项，则管理服务端即将第一访问凭证置为失效，阻断当前和后续的访问。直到终端网络环境发生变化，管理服务端判定符合访问控制规则后再放通相关目标系统或数据的访问。
68.在实际应用中，业务管理客户端可以获取管理服务端下发的访问控制策略列表，并基于访问控制策略列表确定业务访问请求对应的访问流量是否需要网关设备。如果是针对第一预设业务对象，也即敏感业务对象，则基于访问控制策略列表确定业务访问请求对应的访问流量需要网关设备，通过代理客户端将所述业务访问请求转发至业务服务端对应的网关设备。在将业务访问请求通过网关设备转发至业务服务端之前，终端会检查本地加密持久化存储中是否存储有针对该敏感系统或数据访问的第一访问凭证。如果存在第一访问凭证，则获取该第一访问凭证。当未查找到对应的第一访问凭证时，第一访问凭证可以为空值。
69.s203：向管理服务端发送用于指示获取第二访问凭证的第一凭证获取请求，所述第一凭证获取请求包括所述第一访问凭证。
70.其中，第二访问凭证可以是每一个通过网关设备访问企业资源的访问流量的一个临时访问凭据，这里的第二访问凭证可以是网络访问票据(小票)。
71.可选地，业务管理客户端除了发送发起该网络访问的进程特征信息、终端信息、登录用户信息、登录凭证和流量特征等之外，终端会检查本地加密持久化存储中是否存储有针对该敏感系统或数据访问的第一访问凭证。如果存在第一访问凭证，则业务管理客户端还会带上第一访问凭证，发送至管理服务端执行第二访问凭证(小票)的申请。
72.在第二访问凭证的有效期内访问主体通过同一个应用访问同一个业务站点将复用一个第二访问凭证(小票)。代理客户端劫持流量后，首先检查本地缓存内是否存在与当前应用访问的业务站点相匹配的第二访问凭证，如果存在，校验其是否在有效期内，如果在有效期内，则代理客户端直接用第二访问凭证缓存即可，无需向业务管理客户端申请第二访问凭证，否则代理客户端必须成功向业务管理客户端申请小票后才能将访问流量转发至网关设备。代理客户端完成小票生成后，根据业务管理客户端传递的小票有效期参数将其加入票据缓存，便于后续的访问流量。
73.s204：获取所述管理服务端基于所述第一访问凭证和访问控制策略列表所确定的第一凭证获取结果。
74.其中，访问控制策略列表可以是事先配置的控制策略。示例性的，如图4所示，在业务控制策略配置界面中，访问控制策略列表中包括若干访问控制策略，可以通过该业务控制策略配置界面配置访问控制策略的策略名称、策略类型、命中数量、是否应用以及对应的操作等。每个访问控制策略具有其对应的优先级，例如若优先级较高，则对应的访问控制策略在访问控制策略列表中排序越靠前，相反，则对应的访问控制策略在访问控制策略列表中排序越靠后。继续如图4所示，配置人员可以对访问控制策略的优先级以及访问控制策略进行调整，并按照调整后的访问控制策略的优先级进行控制。
75.应理解，图4仅为示例性的，对于业务控制策略配置界面中的具体内容可以根据实际情况进行调整，本公开对此不作具体限定。
76.可选的，所述第一凭证获取结果可以包括：用于指示对所述业务访问事件进行重
认证的结果、用于指示对所述业务访问事件的访问权限进行调整的结果、用于指示对所述业务访问事件的访问合法的结果，或用于指示对所述业务访问事件的访问不合法的结果。
77.可选的，当基于第一访问凭证确定终端运行时访问决策符合要求，则初步确定访问合法。如果判断终端运行时访问决策认为不符合要求，则到不了管理服务端，则可以根据访问控制策略获得用于指示重认证、拒绝、直连(不通过网关设备)等结果。
78.s205：基于所述第一凭证获取结果，对所述业务访问请求进行业务访问控制。
79.在一可选实施方式中，所述基于所述第一凭证获取结果进行业务访问控制包括：
80.s301：在所述第一凭证获取结果用于指示对所述业务访问事件的访问合法的情况下，获取所述管理服务端确定的第二访问凭证；
81.s302：基于所述获取的第二访问凭证，对所述业务访问请求进行业务访问控制；或者，
82.s303：在所述第一凭证获取结果用于指示对所述业务访问事件的访问不合法的情况下，控制阻断所述业务访问请求。
83.可选地，在所述第一凭证获取结果用于指示对业务访问事件的访问合法的情况下，获取管理服务端确定的第二访问凭证；基于获取的第二访问凭证，对业务访问请求进行业务访问控制。具体的，在第二访问凭证的访问属性满足鉴权的情况下，将业务访问请求对应的访问流量通过代理客户端转发至网关设备，并经该网关设备将访问流量发送至业务服务端，实现业务数据访问。在第一凭证获取结果用于指示对业务访问事件的访问不合法的情况下，控制阻断业务访问请求。
84.在一可选实施方式中，所述基于所述第一凭证获取结果，对所述业务访问请求进行业务访问控制包括：
85.s304：在所述第一凭证获取结果用于指示对所述业务访问事件进行重认证的情况下，生成重认证指令。
86.可选地，重认证可以包括用于指示进行再次认证。重认证指令可以通过重登录、短信验证、人脸识别、指纹识别等方式实现。具体地，可以在用户界面上展示一个需要用户再次认证的验证窗口，该验证窗口可以展示包括扫码登录、token登录、短信验证、人脸识别、指纹识别等验证方式。
87.s305：响应于对所述重认证指令的触发操作，向管理服务端发送用于指示生成第三访问凭证的获取请求。
88.可选地，在响应对重认证指令所指示的其中一种登陆方式进行成功登陆的触发操作的情况下，向管理服务端发送用于指示生成第三访问凭证的获取请求，管理服务端为终端的当前访问进程生成第三访问凭证。
89.s306：基于获取的所述第三访问凭证，对所述业务访问请求进行业务访问控制。
90.在一可选实施方式中，所述基于获取的所述第三访问凭证，对所述业务访问请求进行业务访问控制包括：
91.s3061：向管理服务端发送用于指示获取第二访问凭证的第二凭证获取请求，所述凭证获取请求包括所述第三访问凭证；
92.s3063：获取所述管理服务端基于所述第三访问凭证和访问控制策略列表所确定的第二凭证获取结果；
93.s3065：基于所述第二凭证获取结果，对所述业务访问请求进行业务访问控制。
94.可选地，所述第二凭证获取结果可以包括：用于指示对所述业务访问事件进行重认证的结果、用于指示对所述业务访问事件的访问权限进行调整的结果、用于指示对所述业务访问事件的访问合法的结果，或用于指示对所述业务访问事件的访问不合法的结果。
95.可选的，当基于第三访问凭证确定终端运行时访问决策符合要求，则初步确定访问合法。如果判断终端运行时访问决策认为不符合要求，则到不了服务端，则可以根据访问控制策略获得用于指示重认证、拒绝、直连(不通过网关设备)等结果。
96.在一可选实施方式中，所述基于所述第一凭证获取结果，对所述业务访问请求进行业务访问控制包括：
97.s307：在所述第一凭证获取结果用于指示对所述业务访问事件的访问权限进行调整的情况下，获取经过调整后的目标访问权限；
98.s308：获取所述管理服务端基于所述目标访问权限所确定的第二访问凭证；
99.s309：基于所述获取的第二访问凭证，对所述业务访问请求进行业务访问控制。
100.可选地，对业务访问事件的访问权限进行调整可以包括：对业务访问事件的访问权限进行权限降级调整，通过调整后的目标访问权限确定第二访问凭证，进而通过该第二访问凭证进行业务访问控制，由于该第二访问凭证是限制性访问凭证，可以使得访问主体的访问内容受到部分限制，提高业务处理安全性。
101.本公开实施例通过响应于业务访问事件，通过目标业务进程发起业务访问请求；在检测所述业务访问请求用于指示访问第一预设业务对象的情况下，获取与所述业务访问请求相匹配的第一访问凭证；所述第一访问凭证根据搭载业务管理客户端的终端的动态因子数据和静态因子数据所确定；向管理服务端发送用于指示获取第二访问凭证的第一凭证获取请求，第一凭证获取请求包括所述第一访问凭证；获取管理服务端基于所述第一访问凭证和访问控制策略列表所确定的第一凭证获取结果；基于第一凭证获取结果进行业务访问控制。通过结合终端可变的动态因子数据和静态因子数据所确定的第一访问凭证，并基于该第一访问凭证和访问控制策略列表确定用于获取第二访问凭证的凭证获取结果，并基于该结果进行业务访问控制，使得终端在网络，终端环境和安全状态发生变化时通过命中动态规则项，实现实时的访问控制，将针对疑似异常行为的处理或需要验证后才能访问的处理逻辑提前到敏感资源访问前实施，而非通过事后异步阻断的方式处理，不仅处理及时，而且灵活性强。此外，还提高了业务访问效率和安全性，能够适用于诸如突发事件处置、需要临时性，指定时间段内的资源访问等多种场景。
102.在一可选实施方式中，所述方法还包括：
103.在检测所述业务访问请求用于指示访问第二预设业务对象的情况下，将所述业务访问请求发送至业务服务端。
104.可选地，业务管理客户端可以获取管理服务端下发的访问控制策略列表，并基于访问控制策略列表确定业务访问请求对应的访问流量是否需要网关设备。如果是非企业资源的访问(例如公网站点)，则基于访问控制策略列表确定业务访问请求对应的访问流量无需网关设备，可以直接给代理客户端响应直连业务访问请求对应的业务服务端，从该业务服务端中获取访问信息。
105.在一可选实施方式中，所述方法还包括：
106.在检测所述业务访问请求用于指示访问第三预设业务对象的情况下，向管理服务端发送用于指示获取第二访问凭证的第三凭证获取请求；
107.获取所述管理服务端基于所述第三凭证获取请求和访问控制策略列表所确定的第三凭证获取结果；
108.基于所述第三凭证获取结果，对所述业务访问请求进行业务访问控制。
109.可选地，业务管理客户端可以获取管理服务端下发的访问控制策略列表，并基于访问控制策略列表确定业务访问请求对应的访问流量是否需要网关设备。如果是针对普通企业资源的访问，则基于访问控制策略列表确定业务访问请求对应的访问流量需要网关设备，通过代理客户端将所述业务访问请求转发至业务服务端对应的网关设备。
110.其中，第三凭证获取请求可以包括业务管理客户端采集发起网络访问的进程特征信息、终端信息、登录用户信息、登录凭证以及访问流量特征等。其中，该访问流量特征可以包括需要访问的目标系统，目标端口，源ip，源端口，网络协议等。
111.图5是本公开实施例提供的一种业务数据处理方法的流程示意图。本公开提供了如实施例或流程图所述的方法操作步骤，但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。该业务数据处理方法的执行主体可以是本公开实施例提供的业务数据处理装置，或者集成了该业务数据处理装置的服务器，其中，该业务数据处理装置可以采用硬件或者软件的方式实现。以执行主体为上述图1中的管理服务端为例进行说明，如图5所示，该方法可以包括：
112.s501：获取终端发送的用于指示获取第二访问凭证的第一凭证获取请求，所述第一凭证获取请求包括在检测所述业务访问请求用于指示访问第一预设业务对象的情况下，所获取的与业务访问请求相匹配的第一访问凭证，所述业务访问请求是通过目标业务进程响应于业务访问事件所发送的，所述第一访问凭证根据搭载业务管理客户端的终端的动态因子数据和静态因子数据所确定。
113.s502：基于所述第一凭证获取请求中第一访问凭证确定第一凭证获取结果；
114.s503：发送所述第一凭证获取结果，以使得所述终端基于所述第一凭证获取结果，对所述业务访问请求进行业务访问控制。
115.需要说明的是，这里的具体内容和细节可参见前述实施例，在此不再赘述。
116.在一可选实施方式中，所述方法还包括：
117.获取终端实时监测所得的动态因子数据；
118.在所述动态因子数据指示不满足预设访问条件的情况下，拒绝所述业务访问请求。
119.可选地，动态因子数据可以包括访问应用的应用特征信息、环境感知信息和终端合规信息等。预设访问条件可以包括应用特征信息、环境感知信息和终端合规信息满足对应的预设条件的情况。下面对此具体说明：
120.(1)访问应用的应用特征信息
121.终端用户可以对访问企业资源时的应用特征信息进行应用安全性检测，包括对应用对应的可执行文件的md5，文件版本信息，版权信息，文件描述，产品名称，进程文件sha256，是否已签名以及根证书、中级证书、签名证书等信息进行安全性检测。业务管理客
户端可以通过与管理服务端共同检测应用，并在业务管理客户端设置进程特征缓存，加快应用检测的效率。
122.(2)终端环境感知信息
123.业务管理客户端可以检测终端环境感知信息，包括探测终端网络区域的变化(例如出口ip发生变化)、网络环境变化(例如物理网卡ip变化)，终端用户是否正在访问敏感系统等。管理服务端允许管理员自定义终端执感知策略，可配置多个不同的感知策略并应用到不同终端，并控制终端环境感知的频率和上报规则。
124.管理服务端支持针对业务管理客户端环境感知的结果下发不同的访问控制规则。以下列举场景说明：
125.场景一、当终端识别出即将要访问特殊敏感资源时，强制要求用户完成重认证，加强身份校验。如果重认证成功在有效时间段内完成才允许进行后续的访问鉴权操作，否则自动中断访问。
126.场景二、业务管理客户端识别出网络环境发生变化，需强制进行二次身份验证，以此自动感知异地登录和访问行为。
127.场景三、管理服务端针对部分人员设置与网络区域相关的访问权限。在企业内网可以访问部分资源，在企业网络之外则限制其访问部分敏感资源。当业务管理客户端识别出终端网络区域发生变化后，自动适配访问控制规则中与网络区域相关联的规则子集。实现不同网络区域访问权限不同。用户可以做到根据网络区域的变化自动调整访问权限，或触发二次身份校验重新授权。
128.(3)终端合规信息
129.业务管理客户端常驻在设备终端中，持续周期性地静默执行病毒查杀，漏洞修复，安全加固，数据保护，实时防护，心跳检测等功能，客户端根据管理服务端下发制定的策略执行设备安全性检测、管控加固和异常修复。当识别出安装了业务管理客户端，且经病毒查杀，实时防护等检测安全的设备，才允许执行零信任网络访问，如果经过检测有可自动修复的异常项，则业务管理客户端根据管理服务端策略执行自动修复，如果经检测发现有需要用户手动修复的异常项，则搭载业务管理客户端的终端通过展示异常项，异常原因和修复建议提醒用户，在用户修复这些问题之前，禁止用户登录执行身份认证和零信任访问，或者降权处理。例如，终端员工正在办公，经合规检测查出终端合存在安全基线问题，基于策略设定执行降权处理，并触发相关加强认证策略，而不是直接断网，影响其正常业务办公。业务管理客户端通过终端合规检测，实现在安全设备中使用零信任网络访问功能。
130.业务管理客户端在终端发起网络访问请求时，基于用户访问请求期间计算的终端合规信息和网络环境结果自动生成运行时访问决策，与企业管理员指定的访问控制规则不同的是，运行时访问决策是动态实时的，具有效率高，灵活性强，时延低的优点。当设备终端合规检测结果或环境感知不满足设定要求后，拒绝或终止针对企业资源的访问。如果设备终端合规满足要求，则进行后续的流量鉴权操作。
131.在一可选实施方式中，所述基于所述第一凭证获取请求中第一访问凭证确定第一凭证获取结果包括：
132.在确定所述业务访问请求用于指示访问目标数据的情况下，获取所述第一访问凭证的访问属性信息，以及获取所述业务访问请求对应的业务管理客户端对应的应用特征信
息；
133.基于所述访问属性信息和所述应用特征信息，确定第一凭证获取结果。
134.其中，访问属性信息可以包括访问凭证对应的票据有效期或最大使用次数。应用特征信息可以包括md5，签名信息，应用版权信息等。第一凭证获取结果可以包括：用于指示对所述业务访问事件进行重认证的结果、用于指示对所述业务访问事件的访问权限进行调整的结果、用于指示对所述业务访问事件的访问合法的结果，或用于指示对所述业务访问事件的访问不合法的结果。
135.在一可选实施方式中，所述基于所述访问属性信息和所述应用特征信息，确定第一凭证获取结果包括：
136.在所述访问属性信息满足第一预设条件、以及所述应用特征信息满足第二预设条件的情况下，获取至少一种目标访问控制策略；
137.基于至少一种所述目标访问控制策略以及每种目标访问控制策略对应的优先级，确定第一凭证获取结果。
138.其中，该第一预设条件可以包括在检测所述第一访问凭证满足鉴权条件，例如使用频次和使用时间等符合鉴权条件。第二预设条件可以包括应用特征信息满足要求安全性检测条件。
139.可选地，管理服务端将终端动态因子作为一项核心要素纳入访问控制规则的生成过程，终端实时监测网络、安全级别和环境状态。当识别出访问控制规则或安全策略中关注的动态因子发现变化时自动触发动态规则的匹配逻辑，有如下几种情况：
140.(1)如果命中其中一项动态规则，则依据该动态规则的内容来执行访问控制。继续如图4所示，如果命中调整后的“顺序9”，则按照顺序9对应的控制策略进行访问控制，也即执行验证访问的控制策略。
141.(2)如果命中的动态规则项目不低于两项，则依据管理员设定策略或规则时指定的策略或规则优先级，优先级较高的项自动覆盖优先级较低的项。在企业管理员配置策略时，管控端自动检查策略或规则配置，当项目之间存在冲突或相互覆盖关系时自动提醒管理员执行优先级配置，如果管理员未手动指定，则安全预定算法指定针对规则项作出优先级排序，并将排序规则展示给企业管理员查阅和修改。继续如图4所示，如果同时命中调整后的“顺序6”和“顺序9”，则按照顺序6对应的控制策略进行访问控制，也即执行禁止访问的控制策略。
142.(3)如果未能命中动态规则项，则策略将按照通用基准访问规则来进行，不执行动态控制。
143.在一可选实施方式中，所述目标访问控制策略包括：用于指示对所述业务访问事件进行重认证的第一控制策略、用于指示对所述业务访问事件的访问权限进行调整的第二控制策略、用于指示对所述业务访问事件的访问合法的第三控制策略，或用于指示对所述业务访问事件的访问不合法的第四控制策略。
144.本公开实施例通过获取终端发送的用于指示获取第二访问凭证的第一凭证获取请求，所述第一凭证获取请求包括在检测所述业务访问请求用于指示访问第一预设业务对象的情况下，所获取的与业务访问请求相匹配的第一访问凭证，所述业务访问请求是通过目标业务进程响应于业务访问事件所发送的，所述第一访问凭证根据搭载业务管理客户端
的终端的动态因子数据和静态因子数据所确定；基于所述第一凭证获取请求中第一访问凭证确定第一凭证获取结果；发送所述第一凭证获取结果，以使得所述终端基于所述第一凭证获取结果，对所述业务访问请求进行业务访问控制。通过结合终端可变的动态因子数据和静态因子数据所确定的第一访问凭证，并基于该第一访问凭证和访问控制策略列表确定用于获取第二访问凭证的凭证获取结果，并基于该结果进行业务访问控制，使得终端在网络，终端环境和安全状态发生变化时通过命中动态规则项，实现实时的访问控制，将针对疑似异常行为的处理或需要验证后才能访问的处理逻辑提前到敏感资源访问前实施，而非通过事后异步阻断的方式处理，不仅处理及时，而且灵活性强。此外，还提高了业务访问效率和安全性，能够适用于诸如突发事件处置、需要临时性，指定时间段内的资源访问等多种场景。
145.上述实施例中提供的方法未详尽描述的技术细节，可参见本公开上述任意实施例所提供的方法，在此不再赘述。
146.在一可选实施方式中，本公开还提供一种业务数据处理系统，该业务数据处理系统包括终端、网关设备和管理服务端，其中，终端包括业务管理客户端和代理客户端。下面对业务数据处理系统进行详细描述：
147.业务管理客户端、代理客户端与管理服务端共同构成动态访问控制环境。其中业务管理客户端主要负责终端环境感知，动态合规检测，流量鉴权和应用安全检测等，代理客户端负责流量劫持和流量转发，管理服务端主要负责终端环境感知数据自动分析、访问控制策略生成和下发以及网络访问凭据的发放与校验等。三者之间的交互逻辑主要由以下几方面构成。
148.(a)业务管理客户端可以采集终端环境信息，包括网络区域信息，出口ip，动态合规检测结果，运行中的应用信息，在触发了管理服务端设置的上报条件(例如时间间隔满足周期性上报条件，某个动态因子改变满足变化即上报的条件等)后，即向管理服务端发送终端环境信息，由管理服务端基于历史数据和设定的安全策略判定当前终端的安全环境是否发生变化。
149.(b)管理服务端基于历史数据和设定的安全策略判定当前终端的安全级别降低或者出现与动态访问控制策略相符的变化时，可通过同步响应客户端上报或者直接推送命令给终端的方式，使得业务管理客户端更新本地访问控制策略，或者执行相应处理逻辑影响当前及后续网络访问。例如，当管理服务端基于客户端上报的环境环境数据识别出终端的网络区域由a切换到b后，命中动态访问控制策略中b区域不能访问敏感业务系统的规则。
150.(c)代理客户端成功向业务管理客户端申请网络访问票据(第二访问凭证)后，根据管理服务端下发的票据有效期或最大使用次数构建本地票据缓存，避免高发场景下相同的应用访问相同的业务系统，频繁向业务管理客户端申请票据，造成延迟和流量浪费的弊端。在代理客户端票据缓存存在且有效的情况下，代理客户端将不会向业务管理客户端发起流量鉴权，直接根据票据缓存决定流量的转发和实际代理。
151.(d)当动态访问控制策略发生变化或终端的动态因子变化触发策略命中规则的变化时，由业务管理客户端向代理客户端发送指定访问会话中断或清除指定票据缓存的命令。终端指定的访问会话中断适用于终端当前安全环境和状态已不符合动态访问规则，需要立即中断当前访问的场景。清除指定票据缓存适用于针对后续经由智能网关代理访问企
业资源的会话需要重认证或直连访问的场景，需要代理客户端立即向业务管理客户端重新发起网络访问票据申请，由业务管理客户端作出不同的访问控制行为。
152.业务管理客户端和代理客户端是零信任网络访问控制的关键控制流策略执行点。其中代理客户端主要是劫持访问主体在终端发起的所有网络访问流量，访问流量被劫持后，代理客户端通过解析流量的目标访问地址，将目标访问地址与零信任中的访问控制策略中标识的企业资源信息相比对，识别出劫持的流量需要通过智能网关执行流量代理，则代理客户端需要向业务管理客户端发起流量鉴权请求，通过业务管理客户端鉴权后负责将实际的网络访问流量通过物理网卡发送给智能网关，由智能网关代理实际的业务访问；如果未通过业务管理客户端的网络流量鉴权或者劫持的流量是无需智能网关执行代理的类型，则代理客户端组件将劫持的原始网络访问流量直接通过物理网卡与对应的目的业务站点进行网络访问和响应过程，实现直连访问。
153.代理客户端在识别出劫持的流量需要通过智能网关执行流量代理后，立即向业务管理客户端发起流量鉴权请求。业务管理客户端组件收到流量鉴权请求后，首先针对请求发起方的应用进程进行检测，采集请求方进程pe文件信息(例如进程文件全路径、md5、签名信息、进程修改时间等)，首先与本地加密缓存的应用进程特征缓存进行比对，如果发现异常，则终止访问。如果未未发现异常或未匹配到缓存记录，则在向管理服务端申请访问凭据时，将进程信息缓存起来向管理服务端发起异步送检信息，包括进程文件最近修改时间，md5，sha256，版权信息，进程签名信息(包括摘要算法、根证书信息，中级证书信息、签名证书信息，签名人姓名，签名状态)等。在管理服务端执行进程送检后，将结果回传至客户端更新本地应用进程特征加密缓存。
154.管理服务端策略服务是零信任网络访问控制策略的规则生成和控制中心。负责检测终端发送的访问票据申请请求并生成票据。访问控制过程如下所示：
155.业务管理客户端收到代理客户端的流量鉴权请求后，通过网络向管理服务端申请票据时，采集请求方进程pe文件信息(进程文件全路径、md5、签名信息、进程修改时间等)、操作系统信息、url访问信息、设备信息、用户登录信息代理、当前用户登录票据等相关信息。管理服务端检测网络票据申请请求是否符合对应用户的访问权限和业务系统访问规则。同时从管理服务端送检缓存中识别出对应进程是否是恶意进程。如果缓存中没有进程的相应信息，则向威胁情报云查服务发起应用进程的异步送检。经检测终端发送的访问票据申请请求合规后，管理服务端票据服务将生成对应请求的票据，并响应给业务管理客户端和代理客户端。详情步骤可以如下所示：
156.1)通过客户端异步送检收集企业内应用进程信息，形成应用库。
157.2)管理服务端收到客户端的网络访问票据申请请求后，首先通过管理服务端进程送检缓存检查票据请求中的进程md5是否是可信的md5，如果是可信的md5，然后再检查进程名是否在访问控制策略中的进程名列表内，如果不在，则认为该访问请求无对应应用访问企业资源的权限，拒绝响应票据；如果在列表内，进行下一步。
158.3)根据进程名去应用库中捞取同类进程名的进程签名信息，再对比票据申请请求中的签名是否与同类进程名的签名信息一致，如果一致，则自动将该进程名的md5加入可信应用md5列表中。如果签名不一致，则拒绝响应票据。
159.4)管理服务端针对应用库中的数据定期发起异步送检，将送检结果更新至管理服
务端送检缓存，同时下发客户端更新应用进程特征加密缓存。
160.管理服务端将终端动态因子作为一项核心要素纳入访问控制规则的生成过程，终端实时监测网络、安全级别和环境状态。当识别出访问控制规则或安全策略中关注的动态因子发现变化时自动触发动态规则的匹配逻辑，有如下几种情况。
161.(1)如果命中其中一项动态规则，则依据该动态规则的内容来执行访问控制。
162.(2)如果命中的动态规则项目不低于两项，则依据管理员设定策略或规则时指定的策略或规则优先级，优先级较高的项自动覆盖优先级较低的项。在企业管理员配置策略时，管控端自动检查策略或规则配置，当项目之间存在冲突或相互覆盖关系时自动提醒管理员执行优先级配置，如果管理员未手动指定，则安全预定算法指定针对规则项作出优先级排序，并将排序规则展示给企业管理员查阅和修改。
163.(3)如果未能命中动态规则项，则策略将按照通用基准访问规则来进行，不执行动态控制。
164.在动态规则的生成和动态因子数据发生变化时终端自动尝试匹配的同时，管理服务端通过第一访问凭证(即重认证票据)执行灵活的身份认证和权限控制。说明如下：
165.第一访问凭证(即重认证票据)是为敏感业务系统或数据访问设置的特殊凭证。与登录访问凭证(即大票)和第二访问凭证(即小票)不同，第一访问凭证是专门针对动态访问敏感业务系统和数据，增强访问安全性设置的。接下来依次说明登录票据，网络访问票据和重认证票据：
166.登录访问凭证(即大票)是终端用户通过身份认证后，管理服务端给终端颁发的一个凭证。终端用户每次通过客户端多种身份认证方式完成登录操作后即可自动获取一个登录票据，注销客户端或超出票据的有效期后该大票则自动失效。
167.第二访问凭证(即小票)是零信任功能为每一个通过智能网关访问企业资源的访问流量颁发的一个临时访问凭据，在小票的有效期内访问主体通过同一个应用访问同一个业务站点将复用一个小票。代理客户端劫持流量后，首先检查本地缓存内存在存在与当前应用访问的业务站点相匹配的小票，如果存在，校验其是否在有效期内，如果在有效期内，则代理客户端直接用小票缓存即可，无需向业务管理客户端申请小票，否则代理客户端必须成功向业务管理客户端申请小票后才能将访问流量转发至网关设备。代理客户端完成小票生成后，根据业务管理客户端传递的小票有效期参数将其加入票据缓存，影响后续的访问流量。
168.第一访问凭证(即重认证票据)是针对访问主体访问敏感业务系统和数据的场景。当感知终端的环境状态、访问主体的访问行为(例如访问敏感业务系统和数据的频率和时间等)符合动态访问规则时，管理服务端触发终端执行重认证，在终端未完成重认证之前，敏感业务系统和数据将不可被访问。完成重认证后，管理服务端向客户端针对当前敏感业务系统和数据的访问响应特定的重认证票据，包含访问主体针对此目标系统或数据在特定时间内的访问权限和访问频率，由终端存储重认证票据，后续针对目标业务系统或数据的访问将自动带上重认证票据，管理服务端根据终端发送的重认证票据，结合终端环境状态判定访问主体针对目标系统或数据的访问是否合法。如果终端安全状态不达标或者环境状态命中了访问控制策略中不可访问该敏感业务系统或数据的规则项，则管理服务端即将重认证票据置为失效，阻断当前和后续的访问。直到终端环境发生变化，管理服务端判定符合
访问控制规则后再放通相关目标系统或数据的访问。
169.为了便于理解，图6是本公开实施例提供的一种业务数据处理方法的时序图。如图6所示，说明业务管理客户端、代理客户端、网关设备和管理服务端针对用户访问敏感业务系统或数据时执行动态可信评估和控制的过程。
170.结合上图说明业务管理客户端、代理客户端、访问网关和管理服务端针对用户访问敏感业务系统或数据时执行动态可信评估和控制的过程。
171.业务系统发起对敏感业务站点或数据的访问，流量被客户端全流量代理客户端劫持。代理客户端组件基于流量的目标业务系统、网络协议和发起访问的进程id等信息向业务管理客户端发起流量鉴权。业务管理客户端根据管理服务端下发的动态访问控制策略判定该流量是否应通过访问网关访问。如果是非企业资源的访问(例如公网站点)，则直接给代理客户端响应直连访问信息。如果是针对普通企业资源的访问，则业务管理客户端采集发起网络访问的进程特征信息、终端信息、登录用户信息、登录凭证以及流量特征(例如目标系统，目标端口，源ip，源端口，网络协议等)向管理服务端发起网络访问凭据(小票)。
172.如果基于动态访问控制策略识别是针对敏感企业资源或数据的访问，业务管理客户端在向管理服务端发起网络访问凭据(小票)的过程中，除了发送发起该网络访问的进程特征信息、终端信息、登录用户信息、登录凭证和流量特征外，终端会检查本地加密持久化存储中是否存储有针对该敏感系统或数据访问的重认证票据，如果存在，则业务管理客户端还会带上重认证票据，发送至管理服务端执行网络访问凭据(小票)的申请。
173.业务系统发起对敏感业务站点或数据的访问，流量被全流量代理客户端劫持。代理客户端基于流量的目标业务系统、网络协议和发起访问的进程id等信息向业务管理客户端发起流量鉴权。业务管理客户端根据管理服务端下发的动态访问控制策略判定该流量是否应通过访问网关访问。如果是非企业资源的访问(例如公网站点)，则直接给代理客户端响应直连访问信息。如果是针对普通企业资源的访问，则业务管理客户端采集发起网络访问的进程特征信息、终端信息、登录用户信息、登录凭证以及流量特征(例如目标系统，目标端口，源ip，源端口，网络协议等)向管理服务端发起网络访问凭据(小票)。
174.如果基于动态访问控制策略识别是针对敏感企业资源或数据的访问，业务管理客户端在向管理服务端发起网络访问凭据(小票)的过程中，除了发送发起该网络访问的进程特征信息、终端信息、登录用户信息、登录凭证和流量特征外，终端会检查本地加密持久化存储中是否存储有针对该敏感系统或数据访问的重认证票据，如果存在，则业务管理客户端还会带上重认证票据，发送至管理服务端执行网络访问凭据(小票)的申请。
175.管理服务端收到业务管理客户端发送的小票申请请求后，检查该重认证票据是否过期，基于终端环境感知上报的当前环境和安全状态信息，以及访问主体的历史访问信息(例如访问时间段，频率)和企业管理员指定的动态访问控制规则决定是否正常响应小票。主要的判定流程如下所示：
176.(1).管理服务端首先基于动态访问控制策略判定目标访问业务系统或数据是否是设定的敏感数据，如果是，则直接进入第(2)步；如果不是，则进行第(4)步。
177.(2).管理服务端检查重认证票据是否合法(是否由管理服务端颁发，是否格式正确)，是否在有效期内，如果合法且在有效期内，则进入第(3)步，如果不合法，则进入第(11)步。
178.(3).管理服务端根据重认证票据在当前的时间段内针对当前敏感系统或数据对应的访问权限决定是否放通访问。如果在当前时间段内具备访问权限，则进入第(4)步；否则进入第(11)步。
179.(4).管理服务端根据票据申请请求中的应用特征信息(例如md5，签名信息，应用版权信息等)与应用送检缓存做对比。如果发现是高危应用，则进入第(5)步；否则进入第(11)步。
180.(5).管理服务端将票据申请请求中的应用特征信息(例如md5，签名信息，应用版权信息等)加入送检队列中，按设定策略将队列中的应用信息送到威胁情报云查服务执行进程送检。并根据服务响应的结果更新本地的应用送检缓存。
181.(6).管理服务端基于动态访问控制策略判定指定应用是否具备访问对应业务系统或数据的权限，如果具备权限，则进入第(7)步；否则进入第(11)步。
182.(7).管理服务端基于安全访问策略，结合访问主体所在的对象操作数据、终端网络、安全状态、终端环境等动态因素决定是否直接放通该访问，或者需要调整访问权限后允许访问，或者阻断访问。如果放通，则进入第(9)步；如果需要调整权限，进入第(8)步，否则进入第(11)步。
183.(8).管理服务端调整重认证票据与当前敏感系统或数据对应访问权限之间的对应关系。
184.(9).管理服务端向客户端响应网络访问票据(小票)，同时指定小票最大有效时间和最大使用次数，代理客户端以此作为票据缓存的依据,接下来进入第(10)步。
185.(10).业务管理客户端根据管理服务端的响应信息对流量执行控制，如果管理服务端成功响应网络访问票据(小票)，则业务管理客户端将票据转发至代理客户端，由代理客户端将流量和票据转发至访问网关执行实际的业务代理客户端。
186.(11).管理服务端拒绝向客户端响应网络访问票据(小票)，指定拒绝响应小票的理由为客户端不具备相关业务系统的访问权限(阻断)或需验证后访问(重认证)。
187.(12).如果管理服务端未能成功响应网络访问票据(小票)，且拒绝响应小票的理由是客户端不具备相关业务系统的访问权限(阻断)，则业务管理客户端直接发送流量阻断命令至代理客户端，由代理客户端直接阻断当前流量，不进行转发。
188.(13).如果管理服务端未能成功响应网络访问票据(小票)，且拒绝响应小票的理由是需验证后访问(重认证)，则业务管理客户端直接发送阻断命令至代理客户端，由代理客户端直接阻断当前流量，不进行转发；同时业务管理客户端弹出相关重认证界面，提醒终端用户需再次验证身份后访问敏感业务系统或数据。
189.(14).终端用户完成重认证操作后，客户端将管理服务端响应的重认证票据加密存储在本地的持久化库中。
190.业务管理客户端后续访问敏感业务系统或数据时，均从本地的持久化库中读取重认证票据，并在向管理服务端申请网络访问票据时带上重认证票据。管理服务端负责检查重认证票据的有效期和权限。如果经管理服务端判定重认证票据合法且在管理员设置的有效期内，则访问敏感业务系统或数据无需重复进行重认证；如果重认证票据非法或不在有效期内，则管理服务端要求业务管理客户端重新发起重认证，当前访问会话关闭。与此同时，管理服务端根据重认证票据的访问权限访问相关敏感系统或数据。如果重认证票据权
限经过裁剪或调整，则访问会话以有效的权限访问业务系统。
191.需要说明的是，未在上述实施例中详尽描述的技术细节，可参见本公开任意实施例所提供的方法，在此不再赘述。
192.下述为本公开装置实施例，可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节，请参照本公开方法实施例。
193.请参考图7，其示出了本公开实施例提供的一种业务数据处理装置的结构框图。该装置具有实现上述方法示例中的功能，所述功能可以由硬件实现，也可以由硬件执行相应的软件实现。所述业务数据处理装置可以包括：
194.第一请求发送模块710，用于响应于业务访问事件，通过目标业务进程发起业务访问请求；
195.第一获取模块720，用于在检测所述业务访问请求用于指示访问第一预设业务对象的情况下，获取与所述业务访问请求相匹配的第一访问凭证；所述第一访问凭证根据搭载业务管理客户端的终端的动态因子数据和静态因子数据所确定；
196.第二请求发送模块730，用于向管理服务端发送用于指示获取第二访问凭证的第一凭证获取请求，所述第一凭证获取请求包括所述第一访问凭证；
197.第二获取模块740，用于获取所述管理服务端基于所述第一访问凭证所确定的第一凭证获取结果；
198.处理模块750，用于基于所述第一凭证获取结果，对所述业务访问请求进行业务访问控制。
199.在一可选实施方式中，所述处理模块具体用于：
200.在所述第一凭证获取结果用于指示对所述业务访问事件进行重认证的情况下，生成重认证指令；
201.响应于对所述重认证指令的触发操作，生成第三访问凭证；
202.基于所述第三访问凭证，对所述业务访问请求进行业务访问控制。
203.在一可选实施方式中，所述处理模块进一步具体包括：
204.向管理服务端发送用于指示获取第二访问凭证的第二凭证获取请求，所述凭证获取请求包括所述第三访问凭证；
205.获取所述管理服务端基于所述第三访问凭证和访问控制策略列表所确定的第二凭证获取结果；
206.基于所述第二凭证获取结果，对所述业务访问请求进行业务访问控制。
207.在一可选实施方式中，所述处理模块具体用于：
208.在所述第一凭证获取结果用于指示对所述业务访问事件的访问权限进行调整的情况下，获取经过调整后的目标访问权限；
209.获取所述管理服务端基于所述目标访问权限所确定的第二访问凭证；
210.基于所述获取的第二访问凭证，对所述业务访问请求进行业务访问控制。
211.在一可选实施方式中，所述处理模块具体用于：
212.在所述第一凭证获取结果用于指示对所述业务访问事件的访问合法的情况下，获取所述管理服务端确定的第二访问凭证；
213.基于所述获取的第二访问凭证，对所述业务访问请求进行业务访问控制；或者，
214.在所述第一凭证获取结果用于指示对所述业务访问事件的访问不合法的情况下，控制阻断所述业务访问请求。
215.请参考图8，其示出了本公开实施例提供的一种业务数据处理装置的结构框图。该装置具有实现上述方法示例中的功能，所述功能可以由硬件实现，也可以由硬件执行相应的软件实现。所述业务数据处理装置可以包括：
216.第一获取模块810，用于获取终端发送的用于指示获取第二访问凭证的第一凭证获取请求，所述第一凭证获取请求包括在检测所述业务访问请求用于指示访问第一预设业务对象的情况下，所获取的与业务访问请求相匹配的第一访问凭证，所述业务访问请求是通过目标业务进程响应于业务访问事件所发送的，所述第一访问凭证根据搭载业务管理客户端的终端的动态因子数据和静态因子数据所确定；
217.结果确定模块820，用于基于所述第一凭证获取请求中第一访问凭证确定第一凭证获取结果；
218.发送模块830，用于发送所述第一凭证获取结果，以使得所述终端基于所述第一凭证获取结果，对所述业务访问请求进行业务访问控制。
219.在一可选实施方式中，所述装置还包括：
220.第二获取模块，用于获取终端实时监测所得的网络环境数据；
221.拒绝处理模块，用于在所述网络环境数据指示不满足预设访问条件的情况下，拒绝所述业务访问请求。
222.在一可选实施方式中，所述结果确定模块具体用于：
223.在确定所述业务访问请求用于指示访问目标数据的情况下，获取所述第一访问凭证的访问属性信息，以及获取所述业务访问请求对应的业务管理客户端对应的应用特征信息；
224.基于所述访问属性信息和所述应用特征信息，确定第一凭证获取结果。
225.在一可选实施方式中，所述结果确定模块进一步具体用于：
226.在所述访问属性信息满足第一预设条件、以及所述应用特征信息满足第二预设条件的情况下，获取至少一种目标访问控制策略；
227.基于至少一种所述目标访问控制策略以及每种目标访问控制策略对应的优先级，确定第一凭证获取结果。
228.在一可选实施方式中，所述目标访问控制策略包括：用于指示对所述业务访问事件进行重认证的第一控制策略、用于指示对所述业务访问事件的访问权限进行调整的第二控制策略、用于指示对所述业务访问事件的访问合法的第三控制策略，或用于指示对所述业务访问事件的访问不合法的第四控制策略。
229.上述实施例中提供的装置可执行本公开实施例中的对应方法，具备执行该方法相应的功能模块和有益效果。未在上述实施例中详尽描述的技术细节，可参见本公开任意实施例所提供的方法。
230.本公开实施例提供了一种计算机设备，该设备可以包括处理器和存储器，该存储器中存储有至少一条指令、至少一段程序、代码集或指令集，该至少一条指令、该至少一段程序、该代码集或指令集由该处理器加载并执行以实现如上述方法实施例任一所述的方法。
231.本公开实施例还提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行上述方法实施例任一所述的方法。
232.本公开实施例还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行本实施例上述任一方法。
233.进一步地，图9示出了一种用于实现本公开实施例所提供的方法的设备的硬件结构示意图，所述设备可以为计算机终端、移动终端或其它设备，所述设备还可以参与构成或包含本公开实施例所提供的装置。如图9所示，计算机终端11可以包括一个或多个(图中采用112a、112b，
……
，112n来示出)处理器112(处理器112可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的存储器114、以及用于通信功能的传输装置116。除此以外，还可以包括：显示器、输入/输出接口(i/o接口)、通用串行总线(usb)端口(可以作为i/o接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解，图9所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端11还可包括比图9中所示更多或者更少的组件，或者具有与图9所示不同的配置。
234.应当注意到的是上述一个或多个处理器112和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外，数据处理电路可为单个独立的处理模块，或全部或部分的结合到计算机终端11(或移动设备)中的其他元件中的任意一个内。如本公开实施例中所涉及到的，该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
235.存储器114可用于存储应用软件的软件程序以及模块，如本公开实施例中所述的方法对应的程序指令/数据存储装置，处理器112通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的一种神经网络处理方法。存储器114可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器114可进一步包括相对于处理器112远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端11。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
236.传输装置116用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端11的通信供应商提供的无线网络。在一个实例中，传输装置116包括一个网络适配器(network interface controller，nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置116可以为射频(radio frequency，rf)模块，其用于通过无线方式与互联网进行通讯。
237.显示器可以例如触摸屏式的液晶显示器(lcd)，该液晶显示器可使得用户能够与计算机终端11(或移动设备)的用户界面进行交互。
238.需要说明的是：上述本公开实施例先后顺序仅仅为了描述，不代表实施例的优劣。且上述对本公开特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍
然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
239.本公开中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置和服务器实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
240.本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
241.以上所述仅为本公开的较佳实施例，并不用以限制本公开，凡在本公开的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。

技术特征：
1.一种业务数据处理方法，其特征在于，包括：响应于业务访问事件，通过目标业务进程发起业务访问请求；在检测所述业务访问请求用于指示访问第一预设业务对象的情况下，获取与所述业务访问请求相匹配的第一访问凭证；所述第一访问凭证根据搭载业务管理客户端的终端的动态因子数据和静态因子数据所确定；向管理服务端发送用于指示获取第二访问凭证的第一凭证获取请求，所述第一凭证获取请求包括所述第一访问凭证；获取所述管理服务端基于所述第一访问凭证和访问控制策略列表所确定的第一凭证获取结果；基于所述第一凭证获取结果，对所述业务访问请求进行业务访问控制。2.根据权利要求1所述的方法，其特征在于，所述基于所述第一凭证获取结果，对所述业务访问请求进行业务访问控制包括：在所述第一凭证获取结果用于指示对所述业务访问事件进行重认证的情况下，生成重认证指令；响应于对所述重认证指令的触发操作，生成第三访问凭证；基于所述第三访问凭证，对所述业务访问请求进行业务访问控制。3.根据权利要求2所述的方法，其特征在于，所述基于所述第三访问凭证，对所述业务访问请求进行业务访问控制包括：向管理服务端发送用于指示获取第二访问凭证的第二凭证获取请求，所述第二凭证获取请求包括所述第三访问凭证；获取所述管理服务端基于所述第三访问凭证和访问控制策略列表所确定的第二凭证获取结果；基于所述第二凭证获取结果，对所述业务访问请求进行业务访问控制。4.根据权利要求1-3任一所述的方法，其特征在于，所述基于所述第一凭证获取结果，对所述业务访问请求进行业务访问控制包括：在所述第一凭证获取结果用于指示对所述业务访问事件的访问权限进行调整的情况下，获取经过调整后的目标访问权限；获取所述管理服务端基于所述目标访问权限所确定的第二访问凭证；基于所述获取的第二访问凭证，对所述业务访问请求进行业务访问控制。5.根据权利要求1-3任一所述的方法，其特征在于，所述基于所述第一凭证获取结果，对所述业务访问请求进行进行业务访问控制包括：在所述第一凭证获取结果用于指示对所述业务访问事件的访问合法的情况下，获取所述管理服务端确定的第二访问凭证；基于所述获取的第二访问凭证，对所述业务访问请求进行业务访问控制；或者，在所述第一凭证获取结果用于指示对所述业务访问事件的访问不合法的情况下，控制阻断所述业务访问请求。6.一种业务数据处理方法，其特征在于，包括：获取终端发送的用于指示获取第二访问凭证的第一凭证获取请求，所述第一凭证获取请求包括在检测所述业务访问请求用于指示访问第一预设业务对象的情况下，所获取的与
业务访问请求相匹配的第一访问凭证，所述业务访问请求是通过目标业务进程响应于业务访问事件所发送的，所述第一访问凭证根据搭载业务管理客户端的终端的动态因子数据和静态因子数据所确定；基于所述第一凭证获取请求中第一访问凭证和访问控制策略列表确定第一凭证获取结果；发送所述第一凭证获取结果，以使得所述终端基于所述第一凭证获取结果，对所述业务访问请求进行业务访问控制。7.根据权利要求6所述的方法，其特征在于，所述方法还包括：获取终端实时监测所得的网络环境数据；在所述网络环境数据指示不满足预设访问条件的情况下，拒绝所述业务访问请求。8.根据权利要求6所述的方法，其特征在于，所述基于所述第一凭证获取请求中第一访问凭证和访问控制策略列表确定第一凭证获取结果包括：在确定所述业务访问请求用于指示访问目标数据的情况下，获取所述第一访问凭证的访问属性信息，以及获取所述业务访问请求对应的业务管理客户端对应的应用特征信息；基于所述访问属性信息、所述应用特征信息和访问控制策略列表，确定第一凭证获取结果。9.根据权利要求8所述的方法，其特征在于，所述基于所述访问属性信息、所述应用特征信息和访问控制策略列表，确定第一凭证获取结果包括：在所述访问属性信息满足第一预设条件、以及所述应用特征信息满足第二预设条件的情况下，从访问控制策略列表中确定至少一种目标访问控制策略；基于至少一种所述目标访问控制策略以及每种目标访问控制策略对应的优先级，确定第一凭证获取结果。10.根据权利要求9所述的方法，其特征在于，所述目标访问控制策略包括：用于指示对所述业务访问事件进行重认证的第一控制策略、用于指示对所述业务访问事件的访问权限进行调整的第二控制策略、用于指示对所述业务访问事件的访问合法的第三控制策略，或用于指示对所述业务访问事件的访问不合法的第四控制策略。11.一种业务数据处理装置，其特征在于，所述装置包括：第一请求发送模块，用于响应于业务访问事件，通过目标业务进程发起业务访问请求；第一获取模块，用于在检测所述业务访问请求用于指示访问第一预设业务对象的情况下，获取与所述业务访问请求相匹配的第一访问凭证；所述第一访问凭证根据搭载业务管理客户端的终端的动态因子数据和静态因子数据所确定；第二请求发送模块，用于向管理服务端发送用于指示获取第二访问凭证的第一凭证获取请求，所述第一凭证获取请求包括所述第一访问凭证；第二获取模块，用于获取所述管理服务端基于所述第一访问凭证和访问控制策略列表所确定的第一凭证获取结果；处理模块，用于基于所述第一凭证获取结果，对所述业务访问请求进行业务访问控制。12.一种业务数据处理装置，其特征在于，所述装置包括：第一获取模块，用于获取终端发送的用于指示获取第二访问凭证的第一凭证获取请求，所述第一凭证获取请求包括在检测所述业务访问请求用于指示访问第一预设业务对象
的情况下，所获取的与业务访问请求相匹配的第一访问凭证，所述业务访问请求是通过目标业务进程响应于业务访问事件所发送的，所述第一访问凭证根据搭载业务管理客户端的终端的动态因子数据和静态因子数据所确定；结果确定模块，用于基于所述第一凭证获取请求中第一访问凭证和访问控制策略列表确定第一凭证获取结果；发送模块，用于发送所述第一凭证获取结果，以使得所述终端基于所述第一凭证获取结果，对所述业务访问请求进行业务访问控制。13.一种电子设备，其特征在于，所述电子设备包括处理器和存储器，所述存储器中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由所述处理器加载并执行以实现如权利要求1-5任一项所述的业务数据处理方法，或权利要求6-10任一项所述的业务数据处理方法。14.一种计算机可读存储介质，其特征在于，所述存储介质中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如如权利要求1-5任一项所述的业务数据处理方法，或权利要求6-10任一项所述的业务数据处理方法。15.一种计算机程序产品，其特征在于，所述计算机程序产品包括至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如权利要求1-5任一项所述的业务数据处理方法，或权利要求6-10任一项所述的业务数据处理方法。

技术总结
本公开提供了一种业务数据处理方法、装置、设备及介质，涉及人工智能技术领域，可以应用于云技术、人工智能、智慧交通、辅助驾驶等各种场景。该方法包括在检测业务访问请求用于指示访问第一预设业务对象的情况下，获取与业务访问请求相匹配的第一访问凭证；第一访问凭证根据业务管理客户端的终端的动态因子数据和静态因子数据所确定；向管理服务端发送用于指示获取第二访问凭证的第一凭证获取请求，第一凭证获取请求包括所述第一访问凭证；获取管理服务端基于第一访问凭证和访问控制策略列表所确定的第一凭证获取结果；基于第一凭证获取结果进行业务访问控制。通过该方法提高了业务访问效率和安全性。访问效率和安全性。访问效率和安全性。


技术研发人员：吴岳廷
受保护的技术使用者：腾讯科技（深圳）有限公司
技术研发日：2022.01.28
技术公布日：2023/8/9