本發(fā)明專利技術(shù)公開了一種非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法,涉及計(jì)算機(jī)網(wǎng)絡(luò)安全控制技術(shù)領(lǐng)域,包括以下步驟:步驟1:用戶通過認(rèn)證服務(wù)器登錄數(shù)據(jù)整合平臺并且獲得全局令牌并接收全局令牌判定;步驟2:用戶通過步驟1中的全局令牌判定后,進(jìn)入應(yīng)用服務(wù)器的數(shù)據(jù)訪問階段,對于一般數(shù)據(jù)直接進(jìn)行訪問,對于高安全級別的數(shù)據(jù),進(jìn)行一次性令牌判定后決定是否有權(quán)訪問;步驟3:在步驟2結(jié)束并進(jìn)入中心策略防火墻聯(lián)動階段后利用應(yīng)用服務(wù)器上的DRM模塊和中心策略防火墻對非法操作進(jìn)行控制。本發(fā)明專利技術(shù)可以較為完善地保護(hù)數(shù)據(jù)整合平臺的安全性,解決了以往單一應(yīng)用服務(wù)器下的安全策略無法滿足企業(yè)級數(shù)據(jù)整合平臺的安全訪問要求。
【技術(shù)實(shí)現(xiàn)步驟摘要】
本專利技術(shù)涉及計(jì)算機(jī)網(wǎng)絡(luò)安全控制
,尤其涉及一種。
技術(shù)介紹
對于現(xiàn)有的網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng),安全訪問機(jī)制是必須的。隨著數(shù)據(jù)整合平臺越來越多的應(yīng)用于校園,企業(yè),政府,信息機(jī)構(gòu),傳統(tǒng)的通過單一,分散式應(yīng)用服務(wù)器上的訪問控制機(jī)制已經(jīng)不能滿足要求。計(jì)算機(jī)信息發(fā)展是一個(gè)逐漸發(fā)展的過程,隨著分布式服務(wù)器的逐漸增多,企業(yè)級信息共享面臨解決信息孤島的問題,當(dāng)幾大IT公司和國際組織推出了安全產(chǎn)品的時(shí)候,數(shù)據(jù)整合平臺之上的數(shù)據(jù)整合成為可能并且蓬勃發(fā)展。現(xiàn)有的安全訪問控制方法往往只利用駐留本地防火墻和應(yīng)用服務(wù)器進(jìn)行本地的安全訪問控制,不適合在分布式系統(tǒng)和云計(jì)算系統(tǒng)中進(jìn)行復(fù)雜的控制。這是因?yàn)閿?shù)據(jù)整合平臺越來越復(fù)雜,將要面臨如下問題:①用戶活動復(fù)雜用戶活動地點(diǎn)不確定用戶在服務(wù)器之間跳轉(zhuǎn)頻繁;④防火墻分散,孤立等。
技術(shù)實(shí)現(xiàn)思路
本專利技術(shù)的目的是為了克服現(xiàn)有的應(yīng)用于數(shù)據(jù)整合平臺的安全訪問控制方法不適應(yīng)在分布式系統(tǒng)和云計(jì)算系統(tǒng)中進(jìn)行復(fù)雜的控制的不足,提出的。為實(shí)現(xiàn)上述目的,本專利技術(shù)采取以下技術(shù)方案:,包括以下步驟:步驟1:用戶通過認(rèn)證服務(wù)器登錄數(shù)據(jù)整合平臺并且獲得全局令牌并接收全局令牌判定;步驟2:用戶通過步驟I中的全局令牌判定后,進(jìn)入應(yīng)用服務(wù)器的數(shù)據(jù)訪問階段,對于一般數(shù)據(jù)直接進(jìn)行訪問,對于高安全級別的數(shù)據(jù),進(jìn)行一次性令牌判定后決定是否有權(quán)訪問;步驟3:在步驟2結(jié)束并進(jìn)入中心策略防火墻聯(lián)動階段后利用應(yīng)用服務(wù)器上的DRM模塊和中心策略防火墻對非法操作進(jìn)行控制。優(yōu)選方案:步驟I的詳細(xì)過程包括如下步驟:步驟11:用戶訪問應(yīng)用服務(wù)器時(shí),首先登錄認(rèn)證服務(wù)器,用戶端發(fā)送第一消息Info(I)給認(rèn)證服務(wù)器;步驟12:認(rèn)證服務(wù)器將本地存儲的用戶信息列表和第一消息Info(I)進(jìn)行比對,比對的結(jié)果表示為第一結(jié)果Result (I),如果第一結(jié)果合法,則判定用戶可以登錄,并且將全局令牌以第二消息Info (2)的形式發(fā)送給用戶端;否則,阻止用戶登錄;步驟13:用戶端帶著第二消息Info(2)訪問應(yīng)用服務(wù)器,并將第二消息Info (2)發(fā)送給應(yīng)用服務(wù)器以求訪問;步驟14:應(yīng)用服務(wù)器從用戶攜帶的第二消息Info (2)中獲取全局令牌,并將全局令牌傳給認(rèn)證服務(wù)器,以求比對;認(rèn)證服務(wù)器用本地存儲的本地全局令牌信息來和應(yīng)用服務(wù)器提取的全局令牌進(jìn)行比對得到第二結(jié)果Result(2),如果結(jié)果匹配,則判定該用戶屬于已經(jīng)合法登錄的用戶,并將該第二結(jié)果發(fā)送給應(yīng)用服務(wù)器,應(yīng)用服務(wù)器收到消息之后,為用戶提供服務(wù);如果結(jié)果不匹配,則判定該用戶不屬于已經(jīng)合法登錄的用戶,并將該第二結(jié)果發(fā)送給應(yīng)用服務(wù)器,應(yīng)用服務(wù)器收到消息之后,應(yīng)用服務(wù)器阻止該用戶訪問。優(yōu)選方案:步驟2的詳細(xì)過程包括如下步驟:步驟21:用戶進(jìn)入應(yīng)用服務(wù)器的數(shù)據(jù)訪問階段,應(yīng)用服務(wù)器為了請求一次性令牌,應(yīng)用服務(wù)器會記錄下用戶的操作信息并將這些操作信息記錄為第一記錄Record(I);步驟22:將步驟21中得到的第一記錄RecorcKl)與認(rèn)證服務(wù)器中存儲的本地表格進(jìn)行比對,并將比對結(jié)果表示為第三結(jié)果Result (3),從而得到用戶權(quán)限;步驟23:認(rèn)證服務(wù)器根據(jù)第三結(jié)果Result (3)得到用戶權(quán)限進(jìn)行判定,如果認(rèn)證服務(wù)器判定為用戶進(jìn)行的是合法操作,那么認(rèn)證服務(wù)器就將一次性令牌發(fā)送給應(yīng)用服務(wù)器,所述一次性令牌中包含有第一記錄Record(I),以及一次性令牌的有效時(shí)間,應(yīng)用服務(wù)器根據(jù)一次性令牌中的第一記錄和有效時(shí)間為該用戶提供服務(wù);步驟24:認(rèn)證服務(wù)器根據(jù)第三結(jié)果Result (3)得到用戶權(quán)限進(jìn)行判定,如果認(rèn)證服務(wù)器判定為用戶進(jìn)行的是非法操作,數(shù)據(jù)整合平臺進(jìn)入中心策略防火墻聯(lián)動階段。優(yōu)選方案:步驟3的詳細(xì)過程包括如下步驟:步驟31:在步驟2結(jié)束并進(jìn)入中心策略防火墻聯(lián)動階段后,該應(yīng)用服務(wù)器記錄下該用戶信息,并將該信息表示為第二記錄Record (2),并將該第二記錄Record (2)傳送給部署在本應(yīng)用服務(wù)器上的DRM模塊;步驟32:DRM模塊通過與中心策略防火墻的接口通知中心策略防火墻,DRM模塊發(fā)送警報(bào)信息給中心策略防火墻和部署在認(rèn)證服務(wù)器上的CAM模塊;步驟33:中心策略防火墻從警報(bào)信息中解析出用戶所在的應(yīng)用服務(wù)器的地址,然后調(diào)動應(yīng)用服務(wù)器上的駐留本地防火墻阻斷用戶訪問。優(yōu)選方案:步驟11所述的第一消息Info (I)包含賬號和密碼信息。優(yōu)選方案:步驟21的操作信息包括全局令牌信息、用戶的角色、用戶試圖進(jìn)行的操作和欲操作的資源。優(yōu)選方案:步驟22的本地表格包括角色——動作表和動作——資源表。優(yōu)選方案:步驟12中認(rèn)證服務(wù)器在比對賬號和密碼的過程中使用輕量級目錄訪問協(xié)議。優(yōu)選方案:步驟22在用表格進(jìn)行比對所使用的機(jī)制為基于角色的訪問控制。優(yōu)選方案:步驟33后還包括步驟34 =CAM模塊收到警報(bào)信息之后,從警報(bào)信息中解析出該非法操作用戶的賬號,認(rèn)證服務(wù)器根據(jù)用戶賬號讓用戶退出數(shù)據(jù)整合平臺系統(tǒng)。綜上所述,由于采用了上述技術(shù)方案,本專利技術(shù)的具體有益效果是:本專利技術(shù)對數(shù)據(jù)整合平臺的數(shù)據(jù)訪問進(jìn)行整體控制,采用令牌(Token)比對來完成的身份認(rèn)證,然后對于已經(jīng)登錄數(shù)據(jù)整合平臺的用戶端,用中心策略防火墻對非法行為進(jìn)行阻斷并記錄。本專利技術(shù)闡述的控制方法,將用戶登錄,令牌比對,應(yīng)用服務(wù)訪問,防火墻機(jī)制聯(lián)系為了一個(gè)整體,與原有的數(shù)據(jù)整合平臺思想達(dá)成一致,將用戶在數(shù)據(jù)平臺中的活動包括在控制之下,對非法用戶,非法操作都起到了控制防護(hù)作用。因此本專利技術(shù)可以較為完善地保護(hù)數(shù)據(jù)整合平臺的安全性,解決了以往單一應(yīng)用服務(wù)器下的安全策略無法滿足企業(yè)級數(shù)據(jù)整合平臺的安全訪問的要求。附圖說明圖1為部署好CAM模塊和DRM模塊的數(shù)據(jù)整合平臺的結(jié)構(gòu)圖;圖2為的流程圖。具體實(shí)施例方式本說明書中公開的所有特征,或公開的所有方法或過程中的步驟,除了互相排斥的特征和/或步驟以外,均可以以任何方式組合。本說明書(包括任何附加權(quán)利要求、摘要和附圖)中公開的任一特征,除非特別敘述,均可被其他等效或具有類似目的的替代特征加以替換。即,除非特別敘述,每個(gè)特征只是一系列等效或類似特征中的一個(gè)例子而已。在對本專利技術(shù)的具體實(shí)施例進(jìn)行詳細(xì)說明前,有必要對本專利技術(shù)的方法所應(yīng)用的數(shù)據(jù)整合平臺進(jìn)行說明,如圖1所示,該數(shù)據(jù)整合平臺包括至少一個(gè)認(rèn)證服務(wù)器以及與該認(rèn)證服務(wù)器配套的CAM模塊(Center Assurance Module),還包括若干應(yīng)用服務(wù)器以及與每個(gè)應(yīng)用服務(wù)器配套的DRM模塊(Distribute Recording Module)以及駐留本地防火墻,還包括一個(gè)中心策略防火墻。為了避免對現(xiàn)有的應(yīng)用服務(wù)器程序進(jìn)行修改,本專利技術(shù)采用非侵入式方式,即:CAM模塊和DRM模塊部署上之后不影響現(xiàn)有的應(yīng)用服務(wù)器和防火墻結(jié)構(gòu)。上述CAM中心保障模塊(Center Assurance Module)的功能:部署于認(rèn)證服務(wù)器端,整個(gè)系統(tǒng)中數(shù)量唯一。具有和認(rèn)證服務(wù)器的接口,可以向認(rèn)證服務(wù)器發(fā)送數(shù)據(jù),也可以從認(rèn)證服務(wù)器接收數(shù)據(jù)。并且,可以從DRM模塊接收和發(fā)送數(shù)據(jù)。上述DRM分布式記錄模塊(Distribute Recording Module)的功能:每一個(gè)應(yīng)用服務(wù)器端部署一個(gè)。具有和應(yīng)用服務(wù)器、中心策略防火墻的接口。可以從認(rèn)證服務(wù)器接收數(shù)據(jù),也可以從CAM模塊接收和發(fā)送數(shù)據(jù),并且可以向中心策略防火本文檔來自技高網(wǎng)...
【技術(shù)保護(hù)點(diǎn)】
一種非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法,其特征在于:包括以下步驟:步驟1:用戶通過認(rèn)證服務(wù)器登錄數(shù)據(jù)整合平臺并且獲得全局令牌并接收全局令牌判定;步驟2:用戶通過步驟1中的全局令牌判定后,進(jìn)入應(yīng)用服務(wù)器的數(shù)據(jù)訪問階段,對于一般數(shù)據(jù)直接進(jìn)行訪問,對于高安全級別的數(shù)據(jù),進(jìn)行一次性令牌判定后決定是否有權(quán)訪問;步驟3:在步驟2結(jié)束并進(jìn)入中心策略防火墻聯(lián)動階段后利用應(yīng)用服務(wù)器上的DRM模塊和中心策略防火墻對非法操作進(jìn)行控制。
【技術(shù)特征摘要】
1.一種非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法,其特征在于:包括以下步驟: 步驟1:用戶通過認(rèn)證服務(wù)器登錄數(shù)據(jù)整合平臺并且獲得全局令牌并接收全局令牌判定; 步驟2:用戶通過步驟I中的全局令牌判定后,進(jìn)入應(yīng)用服務(wù)器的數(shù)據(jù)訪問階段,對于一般數(shù)據(jù)直接進(jìn)行訪問,對于高安全級別的數(shù)據(jù),進(jìn)行一次性令牌判定后決定是否有權(quán)訪問; 步驟3:在步驟2結(jié)束并進(jìn)入中心策略防火墻聯(lián)動階段后利用應(yīng)用服務(wù)器上的DRM模塊和中心策略防火墻對非法操作進(jìn)行控制。2.根據(jù)權(quán)利要求1所述的非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法,其特征在于:步驟I的詳細(xì)過 程包括如下步驟: 步驟11:用戶訪問應(yīng)用服務(wù)器時(shí),首先登錄認(rèn)證服務(wù)器,用戶端發(fā)送第一消息Info(I)給認(rèn)證服務(wù)器; 步驟12:認(rèn)證服務(wù)器將本地存儲的用戶信息列表和第一消息Info(I)進(jìn)行比對,比對的結(jié)果表示為第一結(jié)果Result (I),如果第一結(jié)果合法,則判定用戶可以登錄,并且將全局令牌以第二消息Info (2)的形式發(fā)送給用戶端;否則,阻止用戶登錄; 步驟13:用戶端帶著第二消息Info(2)訪問應(yīng)用服務(wù)器,并將第二消息Info(2)發(fā)送給應(yīng)用服務(wù)器以求訪問; 步驟14:應(yīng)用服務(wù)器從用戶攜帶的第二消息Info (2)中獲取全局令牌,并將全局令牌傳給認(rèn)證服務(wù)器,以求比對;認(rèn)證服務(wù)器用本地存儲的本地全局令牌信息來和應(yīng)用服務(wù)器提取的全局令牌進(jìn)行比對得到第二結(jié)果Result(2),如果結(jié)果匹配,則判定該用戶屬于已經(jīng)合法登錄的用戶,并將該第二結(jié)果發(fā)送給應(yīng)用服務(wù)器,應(yīng)用服務(wù)器收到消息之后,為用戶提供服務(wù);如果結(jié)果不匹配,則判定該用戶不屬于已經(jīng)合法登錄的用戶,并將該第二結(jié)果發(fā)送給應(yīng)用服務(wù)器,應(yīng)用服務(wù)器收到消息之后,應(yīng)用服務(wù)器阻止該用戶訪問。3.根據(jù)權(quán)利要求1或2所述的非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法,其特征在于:步驟2的詳細(xì)過程包括如下步驟: 步驟21:用戶進(jìn)入應(yīng)用服務(wù)器的數(shù)據(jù)訪問階段,應(yīng)用服務(wù)器為了請求一次性令牌,應(yīng)用服務(wù)器會記錄下用戶的操作信息并將這些操作信息記錄為第一記錄Record(I); 步驟22:將步驟21中得到的第一記錄RecorcKl)與認(rèn)證服務(wù)器中存儲的本地表格進(jìn)行比對,并將比對結(jié)果表示為第三結(jié)果Result (3),從而得到用戶權(quán)限; 步驟23:認(rèn)證服務(wù)器根據(jù)第三結(jié)...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:唐雪飛,陳科,郭一錡,
申請(專利權(quán))人:成都康賽電子科大信息技術(shù)有限責(zé)任公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。