CN114900336B

CN114900336B - 一种应用跨单位安全共享方法及

Info

Publication number: CN114900336B
Application number: CN202210405619.5A
Authority: CN
Inventors: 满志福; 吴平; 于洁
Original assignee: Shenyang Aircraft Design and Research Institute Aviation Industry of China AVIC
Current assignee: Shenyang Aircraft Design and Research Institute Aviation Industry of China AVIC
Priority date: 2022-04-18
Filing date: 2022-04-18
Publication date: 2023-07-07
Anticipated expiration: 2042-04-18
Also published as: CN114900336A

Abstract

本申请属于信息***安全领域，特别涉及一种应用***跨单位安全共享方法及***。该方法包括：步骤S1、获取异地用户自异地客户端发起的对本地服务器特定***的交换认证凭证请求；步骤S2、校验所述异地用户在本地身份库中的访问权限；步骤S3、若所述异地用户具有对特定***的访问权限，则向所述异地客户端发送凭证查证请求，确定所述异地用户身份是否合法；步骤S4、若所述异地用户身份合法，则将所述特定******发送至异地客户端。本申请实现了跨单位的用户信息自动同步、应用***自动或半自动的权限管理，实现对信息***共享的高效运行及维护。

Description

一种应用***跨单位安全共享方法及***

技术领域

本申请属于信息***安全领域，特别涉及一种应用***跨单位安全共享方法及***。

背景技术

由于军工行业的特殊性，军工单位的信息化建设，既要考虑对武器装备研制业务需求的支撑，又要考虑对***中涉密信息的安全保密防护。经过多年的信息化建设，目前国内各军工集团成员单位大多建立了基于内部园区网的涉密信息***，并配备了PKI/CA数字证书身份认证等信息***安全防护体系，基本满足了单位内部各项业务的信息化需求。随着新一代武器装备复杂度的提升，多家单位联合研制成为一种必然趋势，而各单位独自建设的涉密信息***因身份认证体系不兼容、技术架构异构、数据标准不一致、跨单位涉密信息难控制等原因，缺少有效的跨单位应用***安全共享方法，实现进行跨单位的应用共享和集成。

为满足多单位协作的研制模式的急切需求，各成员单位不得不采用放宽网络层防火墙控制、降低身份鉴别强度要求(如将“生物特征识别”强身份鉴别方式换成“用户名/密码”认证方式)等方式实现应用互访。一方面，打破了单位内部园区网的网络层安全防护体系；另一方面，采用用户名/密码的身份认证方式，无法对***的实际访问用户进行有效的身份鉴别，存在泄密隐患；此外，用户权限信息的变更需要跨单位沟通协调，依赖***管理员人工调整，增加了大量的***运行维护和管理成本。

发明内容

为了解决上述问题，本申请提供了一种应用***跨单位安全共享方法及***，解决当前跨单位应用互访过程中存在的安全性低、管理维护困难等实际问题。

本申请第一方面提供了一种应用***跨单位安全共享方法，主要包括：

步骤S1、获取异地用户自异地客户端发起的对本地服务器特定***的交换认证凭证请求，所述异地客户端中集成有本地身份认证***反向代理的应用地址；

步骤S2、校验所述异地用户在本地身份库中的访问权限，所述本地身份库与所述异地用户所属的异地身份库通过同步技术实现用户身份的同步更新；

步骤S3、若所述异地用户具有对特定***的访问权限，则向所述异地客户端发送凭证查证请求，确定所述异地用户身份是否合法；

步骤S4、若所述异地用户身份合法，则将所述特定******发送至异地客户端。

优选的是，步骤S1中，所述交换认证凭证请求由异地客户端通过其数字证书***对登录用户校验后，自动生成。

优选的是，步骤S2中同步更新本地身份库与异地身份库的步骤包括：

对允许访问的***以及在***内的角色建立对应关系，形成权限模型；

基于所述权限模型对新增角色完成身份接收和角色赋予，并同步本地身份库与异地身份库。

获取本地用户或异地用户对特定***的访问请求，以及获取对所述访问请求的审批结果；

基于对所述访问请求的审批结果完成身份接收和角色赋予，并同步本地身份库与异地身份库。

优选的是，基于LDAP目录服务技术，以及具有同步标识字段的用户表，同步所述本地身份库与异地身份库。

优选的是，将所述特定******发送至异地客户端之前进一步包括：

通过双向认证配置完成本地服务器与异地客户端的身份认证***的识别与信任；

将双方的身份认证***分别与各自的数字证书***集成。

本申请第二方面提供了一种应用***跨单位安全共享***，主要包括：

访问请求监听模块，用于获取异地用户自异地客户端发起的对本地服务器特定***的交换认证凭证请求，所述异地客户端中集成有本地身份认证***反向代理的应用地址；

用户识别模块，用于校验所述异地用户在本地身份库中的访问权限，所述本地身份库与所述异地用户所属的异地身份库通过同步技术实现用户身份的同步更新；

身份校验模块，用于当所述异地用户具有对特定***的访问权限时，向所述异地客户端发送凭证查证请求，确定所述异地用户身份是否合法；

链接发送模块，用于当所述异地用户身份合法时，将所述特定******发送至异地客户端。

优选的是，所述访问请求监听模块中，所述交换认证凭证请求由异地客户端通过其数字证书***对登录用户校验后，自动生成。

优选的是，所述***还包括：

双向认证配置模块，用于通过双向认证配置完成本地服务器与异地客户端的身份认证***的识别与信任；

***集成模块，用于将双方的身份认证***分别与各自的数字证书***集成。

本申请实现了跨单位的用户信息自动同步、应用***自动或半自动的权限管理，实现对信息***共享的高效运行及维护。

附图说明

图1是本申请应用***跨单位安全共享方法的一优选实施例的流程图。

图2是用户端访问异地***的流程图。

具体实施方式

为使本申请实施的目的、技术方案和优点更加清楚，下面将结合本申请实施方式中的附图，对本申请实施方式中的技术方案进行更加详细的描述。在附图中，自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。所描述的实施方式是本申请一部分实施方式，而不是全部的实施方式。下面通过参考附图描述的实施方式是示例性的，旨在用于解释本申请，而不能理解为对本申请的限制。基于本申请中的实施方式，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式，都属于本申请保护的范围。下面结合附图对本申请的实施方式进行详细说明。

本申请第一方面提供了一种应用***跨单位安全共享方法，如图1所示，主要包括：

在一些可选实施方式中，步骤S1中，所述交换认证凭证请求由异地客户端通过其数字证书***对登录用户校验后，自动生成。

通过图2对本申请的技术方案进一步说明，图2是站在用户侧访问异地服务器的具体案例，其中，左上角为本地客户端，右上角为异地服务器，跨单位访问流程如下：

1)用户通过访问本地的身份服务器来请求访问异地的文档管理***。此过程中使用自己的数字证书，经过本单位内的PKI/CA数字证书***认证访问到门户***，之后，用户点击门户***中植入的按钮或链接(链接地址为单位A身份认证***反向代理的应用地址)。

2)用户点击按钮之后，首先本地的身份服务器联合PKI/CA数字证书***对该用户进行证书认证，认证通过后发给客户端一个合法凭证，执行图2中的链路(1)。

3)客户端拿着这个凭证去异地的身份认证***的换取新的凭证，执行链路(2)，异地的身份认证***向本地身份认证***求证，确定用户身份，执行链路(3)，经确认后，认证客户端提供的凭证后颁发给客户端一个新的凭证，执行链路(4)。

4)客户端拿着新的凭证去访问异地的文档管理***，异地的访问网关拦***问请求并重定向到异地身份服务器认证，客户端提交新的凭证认证通过后返回到访问网关，访问网关向客户端返回代理的应用(文档管理***)地址，最终用户成功访问到异地的目标***了执行链路(5)及(6)。

需要说明的是，本地客户端与异地服务器采用同等级别配置，本地用户访问异地***，则登录本地客户端，异地***作为服务器，反之，异地用户访问本地***，则由异地用户登录其客户端，本地***作为服务器。

在一些可选实施方式中，步骤S2中同步更新本地身份库与异地身份库的步骤包括：对允许访问的***以及在***内的角色建立对应关系，形成权限模型；基于所述权限模型对新增角色完成身份接收和角色赋予，并同步本地身份库与异地身份库。

权限控制管理模块作为各应用***的权限控制中心，基于业务规则或管理要求，控制身份库向各应用***同步的身份信息和角色信息，达到统一对各应用***进行权限控制的目标，该实施例提供一种基于权限模型的自动控制方案。根据业务规则或管理要求，按照人员类型、职务、岗位、部门等基本身份信息，对允许访问的***以及在***内的角色建立对应关系，形成权限模型，即对每个应用***以及每个角色，均规定了明确身份的用户群体。某个用户新增或信息变化时，如符合某***的权限模型，则控制身份库自动向该***同步此用户身份信息和角色信息，***完成身份接收和角色赋予；如不符合，则不予同步或将已有的用户禁用。

在一些可选实施方式中，步骤S2中同步更新本地身份库与异地身份库的步骤包括：获取本地用户或异地用户对特定***的访问请求，以及获取对所述访问请求的审批结果；基于对所述访问请求的审批结果完成身份接收和角色赋予，并同步本地身份库与异地身份库。

该实施例提供一种基于审批流程的半自动控制。按照管理要求，建设权限申请电子流程，配置可选择访问***以及***角色的流程表单。用户提出申请并经审批通过后，通过身份信息同步接口自动将申请的用户信息、角色信息同步至申请访问的***，***完成身份接收和角色赋予。相关过程如下：

1)提交申请(选择申请的用户标识(如601101)、用户姓名(如张三锋)、等用户信息，选择申请使用的***和角色信息，如***A、角色003)；

2)流程审批(各级领导审批，填写审批意见，同意则转至下一审批环节或审批完成)；

3)流程通过(身份库自动将用户“张三锋”的信息“A***访问权限”置为“是”，将“A***角色”置为“002”，身份库按照同步规则将张三丰的信息自动同步至A***)；

4)***自动授权(A***接收用户信息，并配置代码为“002”的角色)。

在一些可选实施方式中，基于LDAP目录服务技术，以及具有同步标识字段的用户表，同步所述本地身份库与异地身份库。

需要说明的是，该实施例中，本申请采用LDAP等目录服务技术，基于统一的身份数据标准(目录schema)，分别建立两单位的身份库，存储两单位的用户身份信息。身份目录中除了存储“用户标识”、“姓名”、“职务”、“密级”等用户基本信息属性外，还包括“同步标识”、“XX***访问权限”、“XX***角色”等属性。“用户标识”确保双方单位能唯一标识用户的稳定编码。“同步标识”用于标识是否相对方单位进行同步该用户身份信息；“XX***访问权限”和“XX***角色”成组设计，组数与双方需要共享的***数量相一致，亦可适当预留。“XX***访问权限”用于标识是否访问“XX***”代表的应用***；“XX***角色”用于存储该用户在XX***中的角色代码。身份目录schema设计示意图见附表1。

表1身份目录schema设计示意

本实施例利用目录同步技术配置两个身份库的自动同步，“同步标识”为“是”的用户信息为新建或变动时，向对方单位身份库同步该条用户身份信息。备选实施方式中，也可升级为集团模式下多家成员单位之间的身份同步。定义和发布集团统一的身份目录数据标准。采用集团员工编码作为员工身份信息的唯一标识。例如在集团公司层面规划建设一级目录中心，存储全集团的用户身份信息，在各成员单位规划建设二级身份库，存储和管理成员单位内部和协同单位的身份信息。二级身份库与一级目录中心集成，基于目录同步技术进行信息自动同步，确保各成员单位的二级身份库及时存储最新的协同单位身份信息。

在一些可选实施方式中，将所述特定******发送至异地客户端之前进一步包括：通过双向认证配置完成本地服务器与异地客户端的身份认证***的识别与信任；将双方的身份认证***分别与各自的数字证书***集成。

本实施例主要描述跨单位信息***身份认证体系对接，基于统一的联盟认证协议，建立协同单位身份认证平台的互信关系，实现两单位身份认证平台能够互认、互信。

(1)双方身份认证平台联盟认证配置，以用户标识属性为标识用户身份的唯一信息，通过配置双方身份认证***的Service Provider和Identity Provider，基于联盟认证协议，配置双方身份认证***，建立互信关联，使得一个单位的用户身份信息能被对方单位的身份认证***所识别和信任。联盟认证配置双向都需配置，以从单位A至单位B为例，配置示意图见附表2：

表2：联盟认证配置过程

(2)PKI/CA数字证书***集成及应用链接配置，双方的身份认证***分别与单位内部的PKI/CA数字证书***集成，将PKI/CA***中的用户身份与身份认证***中的用户身份打通，实现用户身份信息统一管理，并在身份认证***的访问网关模块配置反向代理应用***链接，实现用户仅使用本单位的Key/数字证书访问另一方应用***。

(3)从单位B至单位A完成同样的操作，最终完成双向的联盟认证配置。配置完成后，即可实现应用***的跨单位访问。

另一方面，还需要对需要共享的应用***进行集成。包括应用***身份信息同步集成和单点登录认证集成，身份信息同步集成是实现身份库向各应用***同步用户身份信息(含角色信息)的通道，可设计多种身份同步集成方案，满足不同场景和不同***的接入需求。主要的接口集成方式包括：基于关系型数据库的接口集成，基于Webservice服务的接口集成，或者基于LADP等目录协议的接口集成。单点登录认证集成是指应用***与身份认证平台单点登录集成，实现单点登录功能，以确保认证***登录的安全性和便捷性，与门户***和数字证书配合，实现基于数字证书的“一次登录、全站访问”。集成方法为：***与身份认证平台基于反向代理的单点登录认证，认证的技术原理是身份认证平台从身份库中获取用户身份信息，经过认证后，通过HTTP Header传给应用***，应用***从HTTP Header中截取用户信息，对比***数据库中用户身份信息，确认有效性后，允许登录，从而实现单点登录。单点登录集成需要应用***认证登录代码进行相应的修改，即应用***在验证用户身份时，直接识别HTTP Header中的iv-user用户信息,并作为已经通过认证的用户请求处理。

本发明建立的军工集团涉密应用***跨单位集成共享方法，面向军工领域，为武器装备跨单位协同研制，提供了一种安全、通用、高效、经济的技术方法，可有力支撑军工集团的资源整合和业务协同。与现有技术相比，具有优点如下：

1)安全保密性：取代现有的网络防火墙开放、用户名/密码认证等低安全性方式，保留了应用服务器严格的防火墙控制和基于PKI/CA数字证书的强身份认证，极大提升了跨单位应用***的安全保密防护水平。

2)通用易扩展：本发明建立了一个跨单位的通用身份认证平台，提供了统一的用户身份数据标准、规范的应用集成接口和通用的权限控制方法，方便的扩展至多个成员单位、也易于集成多个应用***。

3)经济低成本：身份同步接口、身份认证集成实现标准化，简化***功能改造，大大降低***集成成本和人工运维成本。***间建立了统一标准的集成认证平台，大幅节省项目成本。

4)自动、高效：实现了跨单位的用户信息自动同步、应用***自动或半自动的权限管理，实现高效运行维护。

本申请第二方面提供了一种与上述方法对应的应用***跨单位安全共享***，主要包括：访问请求监听模块，用于获取异地用户自异地客户端发起的对本地服务器特定***的交换认证凭证请求，所述异地客户端中集成有本地身份认证***反向代理的应用地址；用户识别模块，用于校验所述异地用户在本地身份库中的访问权限，所述本地身份库与所述异地用户所属的异地身份库通过同步技术实现用户身份的同步更新；身份校验模块，用于当所述异地用户具有对特定***的访问权限时，向所述异地客户端发送凭证查证请求，确定所述异地用户身份是否合法；链接发送模块，用于当所述异地用户身份合法时，将所述特定******发送至异地客户端。

在一些可选实施方式中，所述访问请求监听模块中，所述交换认证凭证请求由异地客户端通过其数字证书***对登录用户校验后，自动生成。

在一些可选实施方式中，所述***还包括：双向认证配置模块，用于通过双向认证配置完成本地服务器与异地客户端的身份认证***的识别与信任；***集成模块，用于将双方的身份认证***分别与各自的数字证书***集成。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

1.一种应用***跨单位安全共享方法，其特征在于，包括：

2.如权利要求1所述的应用***跨单位安全共享方法，其特征在于，步骤S1中，所述交换认证凭证请求由异地客户端通过其数字证书***对登录用户校验后，自动生成。

3.如权利要求1所述的应用***跨单位安全共享方法，其特征在于，步骤S2中同步更新本地身份库与异地身份库的步骤包括：

4.如权利要求1所述的应用***跨单位安全共享方法，其特征在于，步骤S2中同步更新本地身份库与异地身份库的步骤包括：

5.如权利要求3或4任一项所述的应用***跨单位安全共享方法，其特征在于，基于LDAP目录服务技术，以及具有同步标识字段的用户表，同步所述本地身份库与异地身份库。

6.如权利要求1所述的应用***跨单位安全共享方法，其特征在于，将所述特定******发送至异地客户端之前进一步包括：

将双方的身份认证***分别与各自的数字证书***集成。

7.一种应用***跨单位安全共享***，其特征在于，包括：

8.如权利要求7所述的应用***跨单位安全共享***，其特征在于，所述访问请求监听模块中，所述交换认证凭证请求由异地客户端通过其数字证书***对登录用户校验后，自动生成。

9.如权利要求7所述的应用***跨单位安全共享***，其特征在于，基于LDAP目录服务技术，以及具有同步标识字段的用户表，同步所述本地身份库与异地身份库。

10.如权利要求7所述的应用***跨单位安全共享***，其特征在于，所述***还包括：