本申请涉及一种应用安全管理技术领域,特别是涉及一种应用文件访问凭证动态配置方法、装置、计算机设备、存储介质和计算机程序产品。所述方法包括:监测发出自目标应用的系统指令,系统指令用于指向系统文件,系统文件中配置有目标文件;筛选出系统指令中指向目标文件的目标系统指令,基于目标系统指令获取取密系统响应的动态访问凭证,取密系统用于管理动态访问凭证;基于目标系统指令访问目标文件,将目标文件中的访问凭证替换为动态访问凭证,得到替换后的重构目标文件;以重构目标文件响应目标应用发出的目标系统指令。采用本方法能够消除配置文件中特权账号信息硬编码的安全隐患,提高应用系统文件的安全性。提高应用系统文件的安全性。提高应用系统文件的安全性。
【技术实现步骤摘要】
一种应用文件访问凭证动态配置方法以及装置
[0001]本申请涉及应用安全管理
,特别是涉及一种应用文件访问凭证动态配置方法、装置、计算机设备、存储介质和计算机程序产品。
技术介绍
[0002]特权账户是指分布在IT环境中的各种特权账户,例如 UNIX的Root账户、Windows的administrator账户、数据库管理账户等等,也可以包括业务应用程序账户。这些账户通常由信息和通信团队用于设置IT基础架构、安装新硬件和软件、运行关键服务以及执行维护操作。此外,特权账户还是可以访问组织关键IT资产以及存储在其中的敏感信息的主密钥、IT基础架构的底层系统账户以及应用内嵌账户等。
[0003]硬编码是指将数据直接嵌入到程序或其他可执行对象的源代码中的软件开发方法,与从外部获取数据或在运行时生成数据不同。硬编码数据通常只能通过编辑源代码和重新编译可执行文件来修改。因此,硬编码的数据通常用于表示相对不变的信息,例如物理常量、版本号和静态文本元素。基于特权账户的不变性,特权账户信息通常也可以通过硬编码的方式存储在应用的配置文件中。但作为数据信息的最后一道防线,特权账户密码长期不变,容易导致泄露后作为系统后门,使得攻击者可以直接通过技术手段进入应用内部网络中,因此存在较大的安全隐患。
[0004]目前,为了克服特权账户信息长期静态存储在配置文件中带来的安全隐患,通常可以配置特权账户管理系统,应用通过调用API接口的方式动态地从特权账户管理系统中获得密码,并更新配置文件中的密码。
[0005]然而,目前的特权账户信息配置方法,存在如下的技术问题:由特权账户管理系统提供的密码依然通过硬编码的方式存储在配置文件中,应用仍然需要通过读取配置文件来获取密码,安全性较低。
技术实现思路
[0006]基于此,有必要针对上述技术问题,提供一种能够消除配置文件中特权账号信息硬编码的安全隐患,提高应用系统文件的安全性的一种应用文件访问凭证动态配置方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
[0007]第一方面,本申请提供了一种应用文件访问凭证动态配置方法。所述方法包括:监测从目标应用发出的系统指令,所述系统指令用于指向系统文件,所述系统文件中配置有目标文件;筛选出所述系统指令中指向所述目标文件的目标系统指令,基于所述目标系统指令获取取密系统响应的动态访问凭证,所述取密系统用于生成所述动态访问凭证;基于所述目标系统指令访问所述目标文件,将所述目标文件中的访问凭证替换为所述动态访问凭证,得到替换后的重构目标文件,所述重构目标文件的编码内容动态响应程序内存变量;
以所述重构目标文件响应所述目标应用发出的所述目标系统指令。
[0008]在其中一个实施例中,所述监测从目标应用发出的系统指令,所述系统指令用于指向系统文件,所述系统文件中配置有目标文件之前包括:在所述取密系统中创建所述目标应用的应用管理账号,对所述应用管理账号进行授权,生成所述访问凭证;将所述目标应用的配置文件中原有的硬编码凭证替换为所述访问凭证。
[0009]在其中一个实施例中,所述基于所述目标系统指令获取取密系统响应的动态访问凭证之前,还包括:基于所述目标系统指令获取与所述目标应用对应的应用验证信息;通过所述取密系统中的所述应用管理账号验证所述应用验证信息。
[0010]在其中一个实施例中,所述筛选出所述系统指令中指向所述目标文件的目标系统指令,基于所述目标系统指令获取取密系统响应的动态访问凭证,所述取密系统用于生成所述动态访问凭证包括:解析所述系统指令得到所述目标应用的系统内核中包括的系统函数表指针;将所述目标系统指令对应的目标函数指针指向的地址修改为所述取密系统中的取密函数地址。
[0011]在其中一个实施例中,所述基于所述目标系统指令获取取密系统响应的动态访问凭证包括:通过标准应用接口和/或插件接口调用所述取密系统。
[0012]在其中一个实施例中,所述方法还包括:执行所述目标系统指令以外的第一系统指令,基于所述第一系统指令向所述目标应用响应常规系统文件。
[0013]第二方面,本申请还提供了一种应用文件访问凭证动态配置装置。所述装置包括:指令监听模块,用于监测从目标应用发出的系统指令,所述系统指令用于指向系统文件,所述系统文件中配置有目标文件;凭证获取模块,用于筛选出所述系统指令中指向所述目标文件的目标系统指令,基于所述目标系统指令获取取密系统响应的动态访问凭证,所述取密系统用于生成所述动态访问凭证;凭证替换模块,用于基于所述目标系统指令访问所述目标文件,将所述目标文件中的访问凭证替换为所述动态访问凭证,得到替换后的重构目标文件,所述重构目标文件的编码内容动态响应程序内存变量;动态响应模块,用于以所述重构目标文件响应所述目标应用发出的所述目标系统指令。
[0014]在其中一个实施例中,所述指令监听模块之前包括:应用授权模块,用于在所述取密系统中创建所述目标应用的应用管理账号,对所述应用管理账号进行授权,生成所述访问凭证;硬编码凭证替换模块,用于将所述目标应用的配置文件中原有的硬编码凭证替换为所述访问凭证。
[0015]在其中一个实施例中,所述凭证获取模块之前,还包括:
验证信息获取模块,用于基于所述目标系统指令获取与所述目标应用对应的应用验证信息;验证信息验证模块,用于通过所述取密系统中的所述应用管理账号验证所述应用验证信息。
[0016]在其中一个实施例中,所述凭证获取模块包括:内核函数指针模块,用于解析所述系统指令得到所述目标应用的系统内核中包括的系统函数表指针;函数指针重定向模块,用于将所述目标系统指令对应的目标函数指针指向的地址修改为所述取密系统中的取密函数地址。
[0017]在其中一个实施例中,所述凭证获取模块包括:接口调用模块,用于通过标准应用接口和/或插件接口调用所述取密系统。
[0018]在其中一个实施例中,所述装置还包括:常规指令处理模块,用于执行所述目标系统指令以外的第一系统指令,基于所述第一系统指令向所述目标应用响应常规系统文件。
[0019]第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现如第一方面中任一实施例所述的一种应用文件访问凭证动态配置方法。
[0020]第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面中任一实施例所述的一种应用文件访问凭证动态配置方法。
[0021]第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现如第一方面中任一实施例所述的一种应用文件访问凭证动态配置方法。
[0022]上述一种应用文件访问凭证动态配置方法、装置、计算机设备、存储介质和计算机程序产品,通过权利要求中记载的技术特征进行推导,能够达到如下的有益效果:在应用启动后对应本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种应用文件访问凭证动态配置方法,其特征在于,所述方法包括:监测从目标应用发出的系统指令,所述系统指令用于指向系统文件,所述系统文件中配置有目标文件;筛选出所述系统指令中指向所述目标文件的目标系统指令,基于所述目标系统指令获取取密系统响应的动态访问凭证,所述取密系统用于生成所述动态访问凭证;基于所述目标系统指令访问所述目标文件,将所述目标文件中的访问凭证替换为所述动态访问凭证,得到替换后的重构目标文件,所述重构目标文件的编码内容动态响应程序内存变量;以所述重构目标文件响应所述目标应用发出的所述目标系统指令。2.根据权利要求1所述的方法,其特征在于,所述监测从目标应用发出的系统指令,所述系统指令用于指向系统文件,所述系统文件中配置有目标文件之前包括:在所述取密系统中创建所述目标应用的应用管理账号,对所述应用管理账号进行授权,生成所述访问凭证;将所述目标应用的配置文件中原有的硬编码凭证替换为所述访问凭证。3.根据权利要求2所述的方法,其特征在于,所述基于所述目标系统指令获取取密系统响应的动态访问凭证之前,还包括:基于所述目标系统指令获取与所述目标应用对应的应用验证信息;通过所述取密系统中的所述应用管理账号验证所述应用验证信息。4.根据权利要求1所述的方法,其特征在于,所述筛选出所述系统指令中指向所述目标文件的目标系统指令,基于所述目标系统指令获取取密系统响应的动态访问凭证,所述取密系统用于生成所述动态访问凭证包括:解析所述系统指令得到所述目标应用的系统内核中包括的系统函数表指针;将所述目标系统指令对应的目标函数指针指向的地址修改为所...
【专利技术属性】
技术研发人员:龚强,杨海涛,史晓婧,赵洪岩,曾明,高原,谢坚,
申请(专利权)人:深圳竹云科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。