CN112311768B - 非http协议应用的策略中心、控制***、方法、介质及设备 - Google Patents
非http协议应用的策略中心、控制***、方法、介质及设备 Download PDFInfo
- Publication number
- CN112311768B CN112311768B CN202011052740.1A CN202011052740A CN112311768B CN 112311768 B CN112311768 B CN 112311768B CN 202011052740 A CN202011052740 A CN 202011052740A CN 112311768 B CN112311768 B CN 112311768B
- Authority
- CN
- China
- Prior art keywords
- user
- access control
- authentication
- control system
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000011217 control strategy Methods 0.000 claims abstract description 4
- 230000008569 process Effects 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 4
- 239000000284 extract Substances 0.000 claims description 3
- 230000015654 memory Effects 0.000 description 34
- 239000004065 semiconductor Substances 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 235000014510 cooky Nutrition 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 239000011541 reaction mixture Substances 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 239000002904 solvent Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本公开提供了非http协议应用的策略中心、控制***、方法、介质及设备,其中,所述***包括:外网用户设备以及业务***主机,还包括:策略中心和可信访问控制***;所述策略中心用于生成用户的访问控制策略,对用户的访问请求进行鉴权,将所述鉴权结果发送给所述可信访问控制***;所述策略中心与所述可信访问控制***相连接;所述可信访问控制***用于对用户的访问请求,进行可信访问控制;所述外网用户设备通过路由设备连接所述可信访问控制***,通过所述可信访问控制***的可信访问控制的外网设备连接内网的所述业务***主机。通过本公开的方案,可以为企业、互联网、政务网的所有IP业务,实现可信访问控制,提高了整个应用业务***的安全性。
Description
技术领域
本公开涉及互联网技术领域,更为具体来说,本公开涉及非http协议应用的策略中心、控制***、方法、介质及设备。
背景技术
随着零信任防护体系逐步进入落地实施化,对多种协议的应用访问进行可信访问控制,有着越来越多的需求。由于对用户报文进行可信访问控制,通过报文识别报文的用户的身份,因此,当前可信访问控制,支持的主要应用为http应用,对其他的非http应用的可信访问控制,存在一些技术困难。
当前,对应用的可信访问控制,主要集中在对http应用的可信访问控制,主要通过cooike来标识用户的身份,在业务请求报文中,通过带cooike来传递用户的身份。
现有技术,主要存在如下缺点:
现有技术主要支持web业务,对其他协议的应用业务,缺乏有效的技术手段来支持可信访问控制;同时,非web应用业务,很多业务也有很强的安全防护需求,需要基于零信任防护架构,实现实时的可信访问控制。
发明内容
为解决现有技术的不能满足非http应用的可信访问控制的技术问题。
为实现上述技术目的,本公开提供了一种非http协议应用策略中心,包括:
身份认证单元,用于对用户进行认证,认证通过后生成用户token;
传输单元,用于将用户token发送到可信访问控制***。
进一步,身份认证单元具体通过生物识别认证和/或用户口令认证和/或电子签名认证对用户的身份进行认证。
进一步,生物识别认证具体包括:指纹认证和/或人脸识别认证。
为实现上述技术目的,本公开提供了一种非http协议应用的访问控制***,包括:外网用户设备以及业务***主机,还包括:
策略中心和可信访问控制***;
策略中心用于生成用户的访问控制策略,对用户的访问请求进行鉴权,将鉴权结果发送给可信访问控制***;
策略中心与可信访问控制***相连接;
可信访问控制***用于对用户的访问请求,进行可信访问控制;
外网用户设备通过路由设备连接所述可信访问控制***,通过可信访问控制***的可信访问控制的外网设备连接内网的业务***主机。
进一步,所述可信访问控制***具体用于:
当用户访问非http应用业务的业务请求到达后,提取源IP地址;
使用源IP地址做用户名查询身份ID信息,并进行判断是否有身份ID信息,若没有身份ID信息,重新定向到认证页面。
进一步,
策略中心还用于用户认证,当用户认证通过后,为用户生成用户令牌并发送给可信访问控制***;
可信访问控制***还用于获取所述用户令牌后,建立用户身份ID表项。
进一步,用户身份ID表项具体包括:
用户名、用户IP地址和用户token。
为实现上述技术目的,本公开还能够提供一种非http协议应用的可信访问控制方法,应用于上述的非http协议应用的访问控制***上,包括:
用户访问非http协议的IP应用,将请求送达可信访问控制***;
可信访问控制***提取请求报文的源IP,根据源IP查询所述用户身份ID表项,并在用户身份ID表项中进行有无匹配项的查询判断;
若有则获取用户身份ID表项,提取其中的用户token;
若没有则重新定向到用户认证界面,对用户进行认证。
进一步,
提取其中的用户token之后,还包括:
可信访问控制***将用户访问资源标识发送到所述策略中心进行权限鉴权,其中,用户访问资源标识具体包括:目的IP地址、端口号和/或用户token的信息;
所述策略中心根据用户token和所述用户访问资源标识对用户进行鉴权,若鉴权通过则对所述请求报文放行;若不通过则将请求报文丢弃。
进一步,对用户进行认证的过程具体包括:
策略中心对用户进行认证,认证通过后生成用户token;
策略中心将用户token发送到可信访问控制***;
可信访问控制***创建用户身份ID表项。
为实现上述技术目的,本公开还能够提供一种计算机存储介质,其上存储有计算机程序指令,所述计算机指令具体包括:
利用身份认证单元对用户的身份进行认证,认证通过后生成用户token;
当认证通过后生成的所述用户token发送到可信访问控制***。
进一步,所述利用身份认证单元对用户的身份进行认证具体包括:
通过生物识别认证和/或用户口令认证和/或电子签名认证对用户的身份进行认证。
进一步,所述生物识别认证具体包括:指纹认证和/或人脸识别认证。
为实现上述技术目的,本公开还提供了一种电子设备,包括存储器以及处理器,还包括上述的非http协议应用策略中心。
本公开的有益效果为:
提供了一种对非Http协议的应用的可信安全防护方法。实现了对访问非web应用的实时鉴权,
本公开的方案无需安装客户端,对原有流程和报文没有改动,易于实现,很强的可实施性。
通过本公开的方案,可以为企业、互联网、政务网的所有IP业务,实现可信访问控制,提高了整个应用业务***的安全性。
附图说明
图1示出了本公开的实施例2的结构示意图;
图2示出了本公开的实施例3的流程示意图;
图3示出了本公开的实施例5的结构示意图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在附图中示出了根据本公开实施例的各种结构示意图。这些图并非是按比例绘制的,其中为了清楚表达的目的,放大了某些细节,并且可能省略了某些细节。图中所示出的各种区域、层的形状以及它们之间的相对大小、位置关系仅是示例性的,实际中可能由于制造公差或技术限制而有所偏差,并且本领域技术人员根据实际所需可以另外设计具有不同形状、大小、相对位置的区域/层。
本公开涉及的术语解释:
零信任安全防护架构:是指基于***的物理或网络位置(即局域网或因特网)不存在授予***的默认信任的策略。当用户需要资源时才授予对数据资源的访问权,并在建立连接之前执行身份验证(用户和设备)。零信任架构,需要对网络业务***、用户终端、用户行为进行安全风险监测,评估出其可信度。根据可信度,实时调整用户的访问权限,同时对用户的每一访问请求都进行鉴权,确保用户访问权限的实时最小化。
可信访问控制:通过可信访问控制网关(零信任安全防护***中的访问控制执行***),对用户的每个访问请求,都要到零信任安全防护架构的策略中心进行鉴权,策略中心根据用户的可信等级以及访问业务的安全敏感等级,确认用户是否有权限访问该业务请求。策略中心将鉴权结果发送给可信访问控制网关,可信访问控制网关根据鉴权结果,决定是否放行该请求报文。
实施例一:
本公开提供了一种非http协议应用策略中心,包括:
身份认证单元,用于对用户进行认证,认证通过后生成用户token;
传输单元,用于将用户token发送到可信访问控制***。
具体地,身份认证单元具体通过生物识别认证和/或用户口令认证和/或电子签名认证对用户的身份进行认证。
优选地,生物识别认证具体包括:指纹认证和/或人脸识别认证。
本公开所用的身份认证单元可根据具体的用户身份类型灵活选用现有技术中常用的指纹识别模块或人脸识别模块。具体选用何种型号的指纹识别模块或人脸识别模块本领域技术人员可根据实际的认证需要进行选择,在此不做赘述。
实施例二:
如图1所示:
本公开提供了一种非http协议应用的访问控制***,包括:外网用户设备、路由设备以及业务***主机,还包括:
上述实施例一中的策略中心和可信访问控制***;
策略中心用于生成用户的访问控制策略,对用户的访问请求进行鉴权,将鉴权结果发送给可信访问控制***;
策略中心与可信访问控制***相连接;
可信访问控制***用于对用户的访问请求,进行可信访问控制;
其中,所述可信访问控制具体是指对用户的访问请求进行动态鉴权:
例如对用户访问请求进行风险评估,动态划分为高、中和低三级风险等级,对于高风险的访问请求,给予访问限制,只能访问少部分内网业务***主机;对于低风险的访问请求就可以给予较宽的访问限制,允许访问绝大部分内网业务***主机。
具体地,可信访问控制***具体用于:
当用户访问非http应用业务的业务请求到达后,提取源IP地址;
使用源IP地址做用户名查询身份ID信息,并进行判断是否有所述身份ID信息,若没有所述身份ID信息,重新定向到认证页面。
外网用户设备通过所述路由设备连接所述可信访问控制***,通过可信访问控制***的可信访问控制的外网设备连接内网的业务***主机。
本公开所指的鉴权(authentication)是指验证用户是否拥有访问***的权利。传统的鉴权是通过密码来验证的。这种方式的前提是,每个获得密码的用户都已经被授权。在建立用户时,就为此用户分配一个密码,用户的密码可以由管理员指定,也可以由用户自行申请。
本公开所使用的鉴权方式为token鉴权的方式:
token鉴权方式流程:
客户端使用账密登录;
服务端验证账密;
账密验证通过,服务端生成一个token,再把token发送给客户端;
客户端通过cookie或者其他方式将token存储起来;
客户端以后发送请求都需要带上token;
服务端验证token的合法性,校验通过则返回资源,不通过则返回401状态码。
其中,401状态码表示当前请求需要用户进行认证或验证。
使用token验证比较灵活,适用于大部分场景。
常用的token鉴权方式的解决方案是JWT,JWT是通过对带有相关用户信息的json进行加密,加密的方式比较灵活,可以根据需求具体设计。
本公开所指的JWT是指JSON Web Token(缩写JWT),是目前最流行的跨域认证解决方案。
JWT的原理是,服务器认证以后,生成一个JSON格式的对象,发回给客户端,例如:
{
"用户名":"admin",
"角色":"超级管理员",
"到期时间":"2020-08-13 00:00:00"
}
以后,客户端与服务端通信的时候,都要发回这个JSON对象。服务器完全只靠这个对象认定用户身份。
为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名。
服务器不再保存任何session数据,也就是服务器变成无状态了,从而比较容易实现扩展。
策略中心还用于用户认证,当用户认证通过后,为用户生成用户令牌并发送给所述可信访问控制***;
可信访问控制***还用于获取所述用户令牌后,建立用户身份ID表项。
具体地,用户身份ID表项具体包括:
用户名、用户IP地址和用户token。
实施例三:
如图2所示:
本公开还提供了一种非http协议应用的可信访问控制方法,应用于上述的非http协议应用的访问控制***上,包括:
S201:用户访问非http协议的IP应用,将请求送达所述可信访问控制***;
其中,所述IP应用是指非外网的程序应用,非外网的程序应用可以是常规的应用了TCP/IP协议的应用程序。
S202:所述可信访问控制***提取请求报文的源IP,根据所述源IP查询所述用户身份ID表项,并在所述用户身份ID表项中进行有无匹配项的查询判断;
S2021:若有则获取所述用户身份ID表项,提取其中的用户token;或者,
S2022:若没有则重新定向到用户认证界面,对用户进行认证。
进一步,
所述S2021中所述提取其中的用户token之后,还包括:
所述可信访问控制***将用户访问资源标识发送到所述策略中心进行权限鉴权;
具体地,
所述策略中心根据所述用户token和所述用户访问资源标识对用户进行鉴权,若鉴权通过则对所述请求报文放行;若不通过则将所述请求报文丢弃。
具体地,所述用户访问资源标识具体包括:目的IP地址、端口号和/或用户token的信息;
所述策略中心根据所述用户token和所述用户访问资源标识对用户进行鉴权,若鉴权通过则对所述请求报文放行;若不通过则将所述请求报文丢弃。
进一步,所述对用户进行认证的过程具体包括:
所述策略中心对用户进行认证,认证通过后生成用户token;
所述策略中心将用户token发送到所述可信访问控制***;
所述可信访问控制***创建用户身份ID表项。
在认证之后,若用户需要再次进行访问,则用户访问请求到达所述可信访问控制***后,根据所述用户身份ID表项,启动访问鉴权的流程。
实施例四:
本公开还能够提供
一种计算机存储介质,其上存储有计算机程序指令,所述计算机指令具体包括:
利用身份认证单元对用户的身份进行认证,认证通过后生成用户token;
当认证通过后生成的所述用户token发送到可信访问控制***。
具体地,上述利用身份认证单元对用户的身份进行认证具体包括:
通过生物识别认证和/或用户口令认证和/或电子签名认证对用户的身份进行认证。
进一步地,上述生物识别认证具体包括:指纹认证和/或人脸识别认证。
本公开的计算机存储介质可以采用半导体存储器、磁芯存储器、磁鼓存储器或磁盘存储器实现。
半导体存储器,主要用于计算机的半导体存储元件主要有Mos和双极型两种。Mos元件集成度高、工艺简单但速度较慢。双极型元件工艺复杂、功耗大、集成度低但速度快。NMos和CMos问世后,使Mos存储器在半导体存储器中开始占主要地位。NMos速度快,如英特尔公司的1K位静态随机存储器的存取时间为45ns。而CMos耗电省,4K位的CMos静态存储器存取时间为300ns。上述半导体存储器都是随机存取存储器(RAM),即在工作过程中可随机进行读出和写入新内容。而半导体只读存储器(ROM)在工作过程中可随机读出但不能写入,它用来存放已固化好的程序和数据。ROM又分为不可改写的熔断丝式只读存储器──PROM和可改写的只读存储器EPROM两种。
磁芯存储器,具有成本低,可靠性高的特点,且有20多年的实际使用经验。70年代中期以前广泛使用磁芯存储器作为主存储器。其存储容量可达10位以上,存取时间最快为300ns。国际上典型的磁芯存储器容量为4MS~8MB,存取周期为1.0~1.5μs。在半导体存储快速发展取代磁芯存储器作为主存储器的位置之后,磁芯存储器仍然可以作为大容量扩充存储器而得到应用。
磁鼓存储器,一种磁记录的外存储器。由于其信息存取速度快,工作稳定可靠,虽然其容量较小,正逐渐被磁盘存储器所取代,但仍被用作实时过程控制计算机和中、大型计算机的外存储器。为了适应小型和微型计算机的需要,出现了超小型磁鼓,其体积小、重量轻、可靠性高、使用方便。
磁盘存储器,一种磁记录的外存储器。它兼有磁鼓和磁带存储器的优点,即其存储容量较磁鼓容量大,而存取速度则较磁带存储器快,又可脱机贮存,因此在各种计算机***中磁盘被广泛用作大容量的外存储器。磁盘一般分为硬磁盘和软磁盘存储器两大类。
硬磁盘存储器的品种很多。从结构上,分可换式和固定式两种。可换式磁盘盘片可调换,固定式磁盘盘片是固定的。可换式和固定式磁盘都有多片组合和单片结构两种,又都可分为固定磁头型和活动磁头型。固定磁头型磁盘的容量较小,记录密度低存取速度高,但造价高。活动磁头型磁盘记录密度高(可达1000~6250位/英寸),因而容量大,但存取速度相对固定磁头磁盘低。磁盘产品的存储容量可达几百兆字节,位密度为每英寸6250位,道密度为每英寸475道。其中多片可换磁盘存储器由于盘组可以更换,具有很大的脱体容量,而且容量大,速度高,可存储大容量情报资料,在联机情报检索***、数据库管理***中得到广泛应用。
实施例五:
本公开还提供了一种电子设备,包括存储器以及处理器,还包括上述的非http协议应用策略中心。
图3为一个实施例中电子设备的内部结构示意图。如图3所示,该电子设备包括通过***总线连接的处理器、存储介质、存储器和网络接口。其中,该计算机设备的存储介质存储有操作***、数据库和计算机可读指令,数据库中可存储有控件信息序列,该计算机可读指令被处理器执行时,可使得处理器实现一种非http协议应用的可信访问控制方法。该电设备的处理器用于提供计算和控制能力,支撑整个计算机设备的运行。该计算机设备的存储器中可存储有计算机可读指令,该计算机可读指令被处理器执行时,可使得处理器执行一种非http协议应用的可信访问控制方法。该计算机设备的网络接口用于与终端连接通信。本领域技术人员可以理解,图3中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
所述策略中心具体为本公开实施例一所提供开的非http协议应用策略中心,具体包括:
身份认证单元,用于对用户进行认证,认证通过后生成用户token;
传输单元,用于将用户token发送到可信访问控制***。
具体地,身份认证单元具体通过生物识别认证和/或用户口令认证和/或电子签名认证对用户的身份进行认证。
优选地,生物识别认证具体包括:指纹认证和/或人脸识别认证。
本公开所用的身份认证单元可根据具体的用户身份类型灵活选用现有技术中常用的指纹识别模块或人脸识别模块。具体选用何种型号的指纹识别模块或人脸识别模块本领域技术人员可根据实际的认证需要进行选择,在此不做赘述。
所述处理器在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Centra lProcessing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器是所述电子设备的控制核心(Contro lUnit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器内的程序或者模块(例如执行远端数据读写程序等),以及调用存储在所述存储器内的数据,以执行电子设备的各种功能和处理数据。
所述总线可以是外设部件互连标准(periphera lcomponent interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器以及至少一个处理器等之间的连接通信。
图3仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图3示出的结构并不构成对所述电子设备的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,所述电子设备还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
进一步地,所述电子设备还可以包括网络接口,可选地,所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备与其他电子设备之间建立通信连接。
可选地,该电子设备还可以包括用户接口,用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(OrganicLight-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。
进一步地,所述计算机可用存储介质可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序等;存储数据区可存储根据区块链节点的使用所创建的数据等。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
本公开提供了一种对非Http协议的应用的可信安全防护***及方法。实现了对访问非web应用的实时鉴权,
本公开的方案无需安装客户端,对原有流程和报文没有改动,易于实现,很强的可实施性。
通过本公开的方案,可以为企业、互联网、政务网的所有IP业务,实现可信访问控制,提高了整个应用业务***的安全性。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。本公开的范围由所附权利要求及其等价物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (8)
1.一种非http协议应用的访问控制***,包括:外网用户设备以及业务***主机,其特征在于,还包括:
可信访问控制***和策略中心;
所述策略中心用于生成用户的访问控制策略,对用户的访问请求进行鉴权,将鉴权结果发送给所述可信访问控制***;
所述策略中心与所述可信访问控制***相连接;
所述可信访问控制***用于对用户的访问请求,进行可信访问控制;
所述外网用户设备通过路由设备连接所述可信访问控制***,通过所述可信访问控制***的可信访问控制的外网用户设备连接内网的所述业务***主机;
所述策略中心,包括:
身份认证单元,用于对用户进行认证,认证通过后生成用户token;
传输单元,用于将用户token发送到可信访问控制***;
所述身份认证单元具体通过生物识别认证和/或用户口令认证和/或电子签名认证对用户的身份进行认证;
所述生物识别认证具体包括:指纹认证和/或人脸识别认证。
2.根据权利要求1所述的***,其特征在于,所述可信访问控制***具体用于:
当用户访问非http应用业务的业务请求到达后,提取源IP地址;
使用所述源IP地址做用户名查询身份ID信息,进行判断是否有所述身份ID信息,若没有所述身份ID信息,重新定向到认证页面。
3.根据权利要求1所述的***,其特征在于,
所述策略中心还用于用户认证,当用户认证通过后,为用户生成用户令牌并发送给所述可信访问控制***;
所述可信访问控制***还用于获取所述用户令牌后,建立用户身份ID表项。
4.根据权利要求3所述的***,其特征在于,所述用户身份ID表项具体包括:
用户名、用户IP地址和用户token。
5.一种非http协议应用的可信访问控制方法,应用于权利要求1~4任一项中所述的非http协议应用的访问控制***上,其特征在于,包括:
用户访问非http协议的IP应用,将请求送达所述可信访问控制***;
所述可信访问控制***提取请求报文的源IP,根据所述源IP查询所述用户身份ID表项,并在所述用户身份ID表项中进行有无匹配项的查询判断;
若有则获取所述用户身份ID表项,提取其中的用户token;
若没有则重新定向到用户认证界面,对用户进行认证。
6.根据权利要求5所述的方法,其特征在于,
所述提取其中的用户token之后,还包括:
所述可信访问控制***将用户访问资源标识发送到所述策略中心进行权限鉴权,其中,所述用户访问资源标识具体包括:目的IP地址、端口号和/或用户token的信息;
所述策略中心根据所述用户token和所述用户访问资源标识对用户进行鉴权,若鉴权通过则对所述请求报文放行;若不通过则将所述请求报文丢弃。
7.根据权利要求5所述的方法,其特征在于,所述对用户进行认证的过程具体包括:
所述策略中心对用户进行认证,认证通过后生成用户token;
所述策略中心将用户token发送到所述可信访问控制***;
所述可信访问控制***创建用户身份ID表项。
8.根据权利要求7所述的方法,其特征在于,所述策略中心对用户进行认证具体包括:
利用所述身份认证单元通过生物识别认证和/或用户口令认证和/或电子签名认证对用户的身份进行认证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011052740.1A CN112311768B (zh) | 2020-09-29 | 2020-09-29 | 非http协议应用的策略中心、控制***、方法、介质及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011052740.1A CN112311768B (zh) | 2020-09-29 | 2020-09-29 | 非http协议应用的策略中心、控制***、方法、介质及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112311768A CN112311768A (zh) | 2021-02-02 |
CN112311768B true CN112311768B (zh) | 2022-06-28 |
Family
ID=74489218
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011052740.1A Active CN112311768B (zh) | 2020-09-29 | 2020-09-29 | 非http协议应用的策略中心、控制***、方法、介质及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112311768B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113783844A (zh) * | 2021-08-13 | 2021-12-10 | 中国光大银行股份有限公司 | 零信任访问控制方法、装置及电子设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102884517A (zh) * | 2009-05-28 | 2013-01-16 | 卡金公司 | 提供对于使用非http通信协议的网络应用的无状态安全管理的***和方法 |
US8752140B1 (en) * | 2012-09-11 | 2014-06-10 | Sprint Communications Company L.P. | System and methods for trusted internet domain networking |
CN109861968A (zh) * | 2018-12-13 | 2019-06-07 | 平安科技(深圳)有限公司 | 资源访问控制方法、装置、计算机设备及存储介质 |
CN110401672A (zh) * | 2019-08-06 | 2019-11-01 | 郑州信大捷安信息技术股份有限公司 | 一种基于虚拟网卡的网络访问控制***及方法 |
CN110535884A (zh) * | 2019-09-26 | 2019-12-03 | 招商局金融科技有限公司 | 跨企业***间访问控制的方法、装置及存储介质 |
CN110730174A (zh) * | 2019-10-16 | 2020-01-24 | 东软集团股份有限公司 | 一种网络访问控制方法、装置、设备及介质 |
-
2020
- 2020-09-29 CN CN202011052740.1A patent/CN112311768B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102884517A (zh) * | 2009-05-28 | 2013-01-16 | 卡金公司 | 提供对于使用非http通信协议的网络应用的无状态安全管理的***和方法 |
US8752140B1 (en) * | 2012-09-11 | 2014-06-10 | Sprint Communications Company L.P. | System and methods for trusted internet domain networking |
CN109861968A (zh) * | 2018-12-13 | 2019-06-07 | 平安科技(深圳)有限公司 | 资源访问控制方法、装置、计算机设备及存储介质 |
CN110401672A (zh) * | 2019-08-06 | 2019-11-01 | 郑州信大捷安信息技术股份有限公司 | 一种基于虚拟网卡的网络访问控制***及方法 |
CN110535884A (zh) * | 2019-09-26 | 2019-12-03 | 招商局金融科技有限公司 | 跨企业***间访问控制的方法、装置及存储介质 |
CN110730174A (zh) * | 2019-10-16 | 2020-01-24 | 东软集团股份有限公司 | 一种网络访问控制方法、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112311768A (zh) | 2021-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109361517B (zh) | 一种基于云计算的虚拟化云密码机***及其实现方法 | |
US10834086B1 (en) | Hybrid cloud-based authentication for flash storage array access | |
US8141138B2 (en) | Auditing correlated events using a secure web single sign-on login | |
US9100398B2 (en) | Enhancing directory service authentication and authorization using contextual information | |
KR101076911B1 (ko) | 애플리케이션에 보안을 제공하기 위한 시스템 및 방법 | |
Sehgal et al. | A cross section of the issues and research activities related to both information security and cloud computing | |
CN111869179B (zh) | 基于位置访问受控访问资源 | |
CN106452772B (zh) | 终端认证方法和装置 | |
JP2015501996A (ja) | リモートサーバーに対するセキュアなユーザ認証および証明 | |
CN110268406B (zh) | 密码安全性 | |
CN108111473A (zh) | 混合云统一管理方法、装置和*** | |
CN101155112B (zh) | 虚拟专用终端、网络服务***、以及服务接入方法 | |
Ai et al. | A smart collaborative authentication framework for multi-dimensional fine-grained control | |
KR20230027241A (ko) | 공유 자원 식별 | |
US10033732B1 (en) | Systems and methods for detecting cloning of security tokens | |
CN112311768B (zh) | 非http协议应用的策略中心、控制***、方法、介质及设备 | |
CN114244568B (zh) | 基于终端访问行为的安全接入控制方法、装置和设备 | |
JP2003208269A (ja) | セキュリティ機構を備えた二次記憶装置およびそのアクセス制御方法 | |
CN111488597A (zh) | 一种适用于跨网络安全区域的安全审计*** | |
US20220417020A1 (en) | Information processing device, information processing method, and non-transitory computer readable storage medium | |
CN109639695A (zh) | 基于互信架构的动态身份认证方法、电子设备及存储介质 | |
CN114780327A (zh) | 一种服务器监控方法、资产管理方法和pcie卡 | |
CN115664686A (zh) | 一种登录方法、装置、计算机设备和存储介质 | |
JP2008276806A (ja) | 記憶装置 | |
CN113961970B (zh) | 跨网段网盘登录身份验证方法、装置、网盘及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |