CN104506480B - 基于标记与审计结合的跨域访问控制方法及系统 - Google Patents

基于标记与审计结合的跨域访问控制方法及系统 Download PDF

Info

Publication number
CN104506480B
CN104506480B CN201410301101.2A CN201410301101A CN104506480B CN 104506480 B CN104506480 B CN 104506480B CN 201410301101 A CN201410301101 A CN 201410301101A CN 104506480 B CN104506480 B CN 104506480B
Authority
CN
China
Prior art keywords
access
main body
domain
accessed
cross
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410301101.2A
Other languages
English (en)
Other versions
CN104506480A (zh
Inventor
郑伟范
戚建淮
彭华
姚兆东
刘建辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China State Railway Group Co Ltd
Shenzhen Y&D Electronics Information Co Ltd
Original Assignee
China Railway Corp
Shenzhen Y&D Electronics Information Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Railway Corp, Shenzhen Y&D Electronics Information Co Ltd filed Critical China Railway Corp
Priority to CN201410301101.2A priority Critical patent/CN104506480B/zh
Publication of CN104506480A publication Critical patent/CN104506480A/zh
Application granted granted Critical
Publication of CN104506480B publication Critical patent/CN104506480B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及计算机信息安全领域,特别涉及一种基于标记与审计结合的跨域访问控制方法及系统,可以应用于电子交易系统,如铁路客票系统、航空票务系统、电子政务与电子商务系统等大中型企业系统的跨域安全保护与互联互通。本发明通过对访问主体、角色、被访问主体进行安全等级标记与认证,对访问过程和结果进行记录与审计,实现了具有行为可追踪和不否认性的安全访问,达到了跨域边界的应用系统在安全条件下互联互通的目的。

Description

基于标记与审计结合的跨域访问控制方法及系统
技术领域
本发明涉及计算机信息安全领域,特别涉及一种基于标记与审计结合的跨域访问控制方法及系统,可以应用于电子交易系统,如铁路客票系统、航空票务系统、电子政务与电子商务系统等大中型企业系统的跨域安全保护与互联互通。
背景技术
随着计算机与网络技术的不断发展,国内外信息化进程迅速发展,电子商务、电子商务、大中型企业信息系统的应用已经逐渐广泛化和复杂化。伴随着信息化网络系统应用带来的讯息方便快捷的同时,信息的安全问题成为应用发展面临的主要问题。我国在1999年发布及2008年修订了《信息系统安全等级保护定级指南》(GB/22240-2008),要求信息系统的建设需要进行分等级的信息安全保护。而随着系统应用的大型和复杂化,往往一个应用系统中含有不同安全等级域的情况,现有的大中型电子商务、电子政务系统,以及大中型企业的信息化系统就是这样的情况。
在这些信息化的应用系统中,一方面由于信息共享的需要,以及业务协同,提升业务系统效率的需要,要求系统中属于不同安全等级域的子系统等能够互联互通,共享信息;另一方面,在不同的网络系统与子系统之间信息互通,相互访问,需要实施访问控制措施,保证访问的合法性和安全性,以及信息的安全性,系统的可用性。
现有的访问控制措施主要有防火墙、安全网关、信息隔离,以及数据交换网技术,实现了有条件的互联互通,以及在防止内部网络数据机密性的同时,保证数据的完整性和域边界内外数据的一致性。现有方法实现了非法用户的入侵访问,以及合法用户的误操作行为,能够起到一定的安全访问控制效果,但仍然面临合法用户的抵赖行为,不具有抗否认性,以及可能的绕过防护机制的入侵。而用户的行为,特别是合法用户行为的安全管理与控制在业务量大、业务数据机密性高、和实时性要求高的系统中具有重要作用,如银行系统、公安出入境系统等。需要一种能够解决不同的安全域之间的网络应用系统的安全互联互通的同时,保证用户访问的安全性与不可否认性的访问控制方法,保证业务系统的跨域安全性和可用性。
发明内容
本发明所要解决的技术问题是,提供一种基于标记与审计结合的跨域访问控制方法及系统,实现不同安全等级域之间的应用系统在安全条件下的互联互通以及用户访问行为的安全性,可控性和不可否认性。本发明是这样实现的:
一种基于标记与审计结合的跨域访问控制方法,包括如下步骤:
在第一安全等级域中的访问主体向第二安全等级域中的被访问主体发送访问请求时,对所述访问主体与被访问主体的属性进行认证及审查,以判断访问主体与被访问主体的合法性;所述属性包括:角色及所属域的安全标记;
当访问主体与被访问主体的属性均审查为合法时,根据预设的角色映射关系表判断所述访问主体与被访问主体之间是否具有角色映射关系,如果有,则授予访问主体访问权,授予被访问主体被访问权,否则不授予访问主体访问权,不授予被访问主体被访问权;
对域中访问主体的访问行为和过程进行记录检查和统计审计;
根据授权结果及安全审计结果审查访问主体与被访问主体的权限是否与对应的访问控制措施一致,如果一致,则允许访问主体与被访问主体之间进行跨域访问,并生成允许访问消息,否则,不允许访问主体与被访问主体之间进行跨域访问,并生成不允许访问消息;
当允许访问主体与被访问主体之间进行跨域访问时,在访问主体与被访问主体之间建立私密通道,否则,不建立私密通道;
当访问主体与被访问主体之间生成的访问消息为允许访问消息时,基于所建立的私密通道,完成跨域访问;否则,终止跨域访问;
记录访问结果及业务数据的变化信息,并据此对其进行审计。
进一步地,所述属性还包括:
权限、所在安全等级域中的IP地址。
进一步地,所述角色映射关系表中包含了访问主体的角色及安全标记与被访问主体的角色及访问对象之间的映射关系。
进一步地,所述访问主体包括:访问用户、访问终端、接入网络。
进一步地,所述被访问主体包括:业务系统、服务系统、数据库。
进一步地,所述记录访问结果及业务数据的变化信息,并据此对其进行审计的步骤包括:
对访问主体的请求相关的主、被访问主体属性、请求行为发生的时间、域信息、标记信息进行记录和审计检查;
对被访问主体的业务数据的当前状态进行记录以在访问发生后审计验证业务数据的一致性。
进一步地,所述私密通道是由数字信封、SSL加密的通道,用于进行跨域通讯并保证跨域通讯的安全性。
一种基于标记与审计结合的跨域访问控制系统,包括:
安全代理部件,用于在第一安全等级域中的访问主体向第二安全等级域中的被访问主体发送访问请求时,对所述访问主体与被访问主体的属性进行认证及审查,以判断访问主体与被访问主体的合法性;所述属性包括:角色及所属域的安全标记;当访问主体与被访问主体的属性均审查为合法时,根据预设的角色映射关系表判断所述访问主体与被访问主体之间是否具有角色映射关系,如果有,则授予访问主体访问权,授予被访问主体被访问权,否则不授予访问主体访问权,不授予被访问主体被访问权;
安全审计部件,用于对其所属域中访问主体的访问行为和过程进行记录检查和统计审计;
所述安全审计部件还用于根据授权结果及安全审计结果审查访问主体与被访问主体的权限是否与对应的访问控制措施一致,如果一致,则允许访问主体与被访问主体之间进行跨域访问,并生成允许访问消息,否则,不允许访问主体与被访问主体之间进行跨域访问,并生成不允许访问消息;
跨域访问通讯模块,用于当允许访问主体与被访问主体之间进行跨域访问时,在访问主体与被访问主体之间建立私密通道,否则,不建立私密通道;
跨域访问控制模块,用于当访问主体与被访问主体之间生成的访问消息为允许访问消息时,基于所建立的私密通道,完成跨域访问;否则,终止跨域访问;
访问结果记录与审计模块,用于记录访问结果及业务数据的变化信息,并据此对其进行审计。
进一步地,所述安全代理部件包括数字签名验证模块及访问控制措施部署模块;
所述数字签名验证模块用于对访问主体与被访问主体进行认证及验签,以及对安全审计部件进行认证及验签。
进一步地,所述安全审计部件通过访问主体的日志记录、访问域、以及访问的业务数据内容对该访问主体的访问行为和过程进行记录检查和统计审计。
与现有技术相比,本发明通过对访问主体、角色、被访问主体进行安全等级标记与认证,对访问过程和结果进行记录与审计,实现了具有行为可追踪和不否认性的安全访问,达到了跨域边界的应用系统在安全条件下互联互通的目的。
附图说明
图1:本发明实施例提供的基于标记与审计结合的跨域访问控制方法流程示意图;
图2:本发明实施例提供的基于标记与审计结合的跨域访问控制方法原理示意图;
图3:本发明实施例提供的基于标记与审计结合的跨域访问控制系统组成示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。
图1所示为本发明实施例提供的基于标记与审计结合的跨域访问控制方法流程示意图。根据图1所示,所述基于标记与审计结合的跨域访问控制方法包括如下步骤:
步骤S1:在第一安全等级域中的访问主体向第二安全等级域中的被访问主体发送访问请求时,对所述访问主体与被访问主体的属性进行认证及审查,以判断访问主体与被访问主体的合法性;所述属性包括:角色及所属域的安全标记;
步骤S2:当访问主体与被访问主体的属性均审查为合法时,根据预设的角色映射关系表判断所述访问主体与被访问主体之间是否具有角色映射关系,如果有,则授予访问主体访问权,授予被访问主体被访问权,否则不授予访问主体访问权,不授予被访问主体被访问权;
步骤S3:对域中访问主体的访问行为和过程进行记录检查和统计审计;
步骤S4:根据授权结果及安全审计结果审查访问主体与被访问主体的权限是否与对应的访问控制措施一致,如果一致,则允许访问主体与被访问主体之间进行跨域访问,并生成允许访问消息,否则,不允许访问主体与被访问主体之间进行跨域访问,并生成不允许访问消息;
步骤S5:当允许访问主体与被访问主体之间进行跨域访问时,在访问主体与被访问主体之间建立私密通道,否则,不建立私密通道;
步骤S6:当访问主体与被访问主体之间生成的访问消息为允许访问消息时,基于所建立的私密通道,完成跨域访问;否则,终止跨域访问;
步骤S7:记录访问结果及业务数据的变化信息,并据此对其进行审计。
图2示出了本发明实施例提供的基于标记与审计结合的跨域访问控制方法原理示意图。在上述各步骤中,不同的安全等级域中需要部署具有安全代理和安全审计功能的软硬件系统或模块。安全代理部件具有数字认证及验签,以及访问控制策略部署的功能。安全代理部件的数字验签与认证包括两个方面,一方面对访问主体及被访问主体进行认证及验签,保证访问主体及被访问主体的合法性,另一方面对安全审计部件进行认证及验签,保证审计部件的正常工作,以及审计信息的安全性。安全审计部件具有对访问行为和过程进行记录检查和统计审计的功能。安全审计部件通过访问主体的日志记录、访问域、以及访问的业务数据内容对该访问主体的访问行为和过程进行记录检查和统计审计。安全审计部件通过对日志记录的审计可以定位访问行为发生的域对象,时间等信息,使主体的访问行为具有不可否认性,通过对业务数据内容的审计可以发现访问行为结果是否一致,判断是否有非法或误操作,以及绕过安全防护机制的操作。
主体属性包括如下三个方面:
(1)、域中的主体的属性包括角色、权限、所在域IP、所在域的安全标记。主体身份与安全标记具有唯一性,其角色和权限与访问请求域IP的业务对象构成一一对应关系,决定访问对象是否被允许,只有与权限匹配的主体角色才允许访问请求的业务对象。跨域的主体访问是否被允许,主要依赖于主体角色是否具有能够访问请求的被访问主体对象的权限,什么样的权限能够访问什么样的被访问主体对象的对应关系是事先制定好的。
(2)、如果访问发生在低等级域向高等级域请求访问,则低等级中的主体为访问主体,高等级域中的主体为被访问主体,反之亦然。
(3)、主体可以是访问用户、访问终端、接入网络;被访问主体可以是业务系统、服务系统、数据库。
本发明提供的基于标记与审计结合的跨域访问控制方法,其安全代理的访问控制措施部署与授权过程为:安全代理部件根据数字认证和验签结果,判断访问请求主体的角色及安全标记是否与其请求的被访问主体对象的角色与访问对象的对应关系是否一致,以及相互域的安全标记是否一致。如果是,则授权访问主体可以跨域访问,被访问主体可以被域外访问,允许跨域访问被执行;否则,不授权访问主体的跨域访问,被访问主体不可以被域外访问,执行不允许跨域访问。本发明提供的基于标记与审计结合的跨域访问控制方法中,其私密通道的是由数字信封、SSL加密的通道,用于进行跨域通讯并保证跨域通讯的安全性。
基于上述方法,如图3所示,本发明还提供了一种基于标记与审计结合的跨域访问控制系统。根据图3所示,该系统包括:
安全代理部件1,用于在第一安全等级域中的访问主体向第二安全等级域中的被访问主体发送访问请求时,对所述访问主体与被访问主体的属性进行认证及审查,以判断访问主体与被访问主体的合法性;所述属性包括:角色及所属域的安全标记;当访问主体与被访问主体的属性均审查为合法时,根据预设的角色映射关系表判断所述访问主体与被访问主体之间是否具有角色映射关系,如果有,则授予访问主体访问权,授予被访问主体被访问权,否则不授予访问主体访问权,不授予被访问主体被访问权;
安全审计部件2,用于对其所属域中访问主体的访问行为和过程进行记录检查和统计审计;
安全审计部件2还用于根据授权结果及安全审计结果审查访问主体与被访问主体的权限是否与对应的访问控制措施一致,如果一致,则允许访问主体与被访问主体之间进行跨域访问,并生成允许访问消息,否则,不允许访问主体与被访问主体之间进行跨域访问,并生成不允许访问消息;
跨域访问通讯模块3,用于当允许访问主体与被访问主体之间进行跨域访问时,在访问主体与被访问主体之间建立私密通道,否则,不建立私密通道;
跨域访问控制模块4,用于当访问主体与被访问主体之间生成的访问消息为允许访问消息时,基于所建立的私密通道,完成跨域访问;否则,终止跨域访问;
访问结果记录与审计模块5,用于记录访问结果及业务数据的变化信息,并据此对其进行审计。
其中,安全代理部件包括数字签名验证模块及访问控制措施部署模块。数字签名验证模块用于对访问主体与被访问主体进行认证及验签,以及对安全审计部件进行认证及验签。安全审计部件通过访问主体的日志记录、访问域、以及访问的业务数据内容对该访问主体的访问行为和过程进行记录检查和统计审计。
该系统的工作原理及工作过程参照前述方法流程,在此不再赘述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于标记与审计结合的跨域访问控制方法,其特征在于,包括如下步骤:
在第一安全等级域中的访问主体向第二安全等级域中的被访问主体发送访问请求时,对所述访问主体与被访问主体的属性进行认证及审查,以判断访问主体与被访问主体的合法性;所述属性包括:角色及所属域的安全标记;
当访问主体与被访问主体的属性均审查为合法时,根据预设的角色映射关系表判断所述访问主体与被访问主体之间是否具有角色映射关系,如果有,则授予访问主体访问权,授予被访问主体被访问权,否则不授予访问主体访问权,不授予被访问主体被访问权;
对域中访问主体的访问行为和过程进行记录检查和统计审计;
根据授权结果及安全审计结果审查访问主体与被访问主体的权限是否与对应的访问控制措施一致,如果一致,则允许访问主体与被访问主体之间进行跨域访问,并生成允许访问消息,否则,不允许访问主体与被访问主体之间进行跨域访问,并生成不允许访问消息;
当允许访问主体与被访问主体之间进行跨域访问时,在访问主体与被访问主体之间建立私密通道,否则,不建立私密通道;
当访问主体与被访问主体之间生成的访问消息为允许访问消息时,基于所建立的私密通道,完成跨域访问;否则,终止跨域访问;
记录访问结果及业务数据的变化信息,并据此对其进行审计。
2.如权利要求1所述的基于标记与审计结合的跨域访问控制方法,其特征在于,所述属性还包括:
权限、所在安全等级域中的IP地址。
3.如权利要求2所述的基于标记与审计结合的跨域访问控制方法,其特征在于,所述角色映射关系表中包含了访问主体的角色及安全标记与被访问主体的角色及访问对象之间的映射关系。
4.如权利要求1所述的基于标记与审计结合的跨域访问控制方法,其特征在于,所述访问主体包括:访问用户、访问终端、接入网络。
5.如权利要求1所述的基于标记与审计结合的跨域访问控制方法,其特征在于,所述被访问主体包括:业务系统、服务系统、数据库。
6.如权利要求1所述的基于标记与审计结合的跨域访问控制方法,其特征在于,所述记录访问结果及业务数据的变化信息,并据此对其进行审计的步骤包括:
对访问主体的请求相关的访问主体、被访问主体属性、请求行为发生的时间、域信息、标记信息进行记录和审计检查;
对被访问主体的业务数据的当前状态进行记录以便在访问发生后审计验证业务数据的一致性。
7.如权利要求1所述的基于标记与审计结合的跨域访问控制方法,其特征在于,所述私密通道是由数字信封、SSL加密的通道,用于进行跨域通讯并保证跨域通讯的安全性。
8.一种基于标记与审计结合的跨域访问控制系统,其特征在于,包括:
安全代理部件,用于在第一安全等级域中的访问主体向第二安全等级域中的被访问主体发送访问请求时,对所述访问主体与被访问主体的属性进行认证及审查,以判断访问主体与被访问主体的合法性;所述属性包括:角色及所属域的安全标记;当访问主体与被访问主体的属性均审查为合法时,根据预设的角色映射关系表判断所述访问主体与被访问主体之间是否具有角色映射关系,如果有,则授予访问主体访问权,授予被访问主体被访问权,否则不授予访问主体访问权,不授予被访问主体被访问权;
安全审计部件,用于对其所属域中访问主体的访问行为和过程进行记录检查和统计审计;
所述安全审计部件还用于根据授权结果及安全审计结果审查访问主体与被访问主体的权限是否与对应的访问控制措施一致,如果一致,则允许访问主体与被访问主体之间进行跨域访问,并生成允许访问消息,否则,不允许访问主体与被访问主体之间进行跨域访问,并生成不允许访问消息;
跨域访问通讯模块,用于当允许访问主体与被访问主体之间进行跨域访问时,在访问主体与被访问主体之间建立私密通道,否则,不建立私密通道;
跨域访问控制模块,用于当访问主体与被访问主体之间生成的访问消息为允许访问消息时,基于所建立的私密通道,完成跨域访问;否则,终止跨域访问;
访问结果记录与审计模块,用于记录访问结果及业务数据的变化信息,并据此对其进行审计。
9.如权利要求8所述的基于标记与审计结合的跨域访问控制系统,其特征在于,所述安全代理部件包括数字签名验证模块及访问控制措施部署模块;
所述数字签名验证模块用于对访问主体与被访问主体进行认证及验签,以及对安全审计部件进行认证及验签。
10.如权利要求8所述的基于标记与审计结合的跨域访问控制系统,其特征在于,所述安全审计部件通过访问主体的日志记录、访问域、以及访问的业务数据内容对该访问主体的访问行为和过程进行记录检查和统计审计。
CN201410301101.2A 2014-06-27 2014-06-27 基于标记与审计结合的跨域访问控制方法及系统 Active CN104506480B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410301101.2A CN104506480B (zh) 2014-06-27 2014-06-27 基于标记与审计结合的跨域访问控制方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410301101.2A CN104506480B (zh) 2014-06-27 2014-06-27 基于标记与审计结合的跨域访问控制方法及系统

Publications (2)

Publication Number Publication Date
CN104506480A CN104506480A (zh) 2015-04-08
CN104506480B true CN104506480B (zh) 2018-11-23

Family

ID=52948195

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410301101.2A Active CN104506480B (zh) 2014-06-27 2014-06-27 基于标记与审计结合的跨域访问控制方法及系统

Country Status (1)

Country Link
CN (1) CN104506480B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105450660A (zh) * 2015-12-23 2016-03-30 北京安托软件技术有限公司 业务资源安全控制系统
CN107819791A (zh) * 2017-12-11 2018-03-20 迈普通信技术股份有限公司 访客接入网络的认证方法、认证服务器和系统
CN109842626B (zh) * 2019-02-14 2021-07-02 众安信息技术服务有限公司 分配安全区域访问凭证的方法和装置
CN112311823B (zh) * 2019-07-29 2023-01-31 百度(中国)有限公司 审核系统的流量控制方法、装置和服务器
CN112995097B (zh) * 2019-12-13 2023-09-22 中兴通讯股份有限公司 跨域访问系统及方法、装置
CN113676455B (zh) * 2021-07-22 2022-08-19 中国科学院深圳先进技术研究院 一种自适应跨域访问认证方法、系统、终端以及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6728884B1 (en) * 1999-10-01 2004-04-27 Entrust, Inc. Integrating heterogeneous authentication and authorization mechanisms into an application access control system
CN1960255A (zh) * 2006-09-21 2007-05-09 上海交通大学 分布式多级安全访问控制方法
CN101222488A (zh) * 2007-01-10 2008-07-16 华为技术有限公司 控制客户端访问网络设备的方法和网络认证服务器
CN103379009A (zh) * 2012-04-20 2013-10-30 南京易安联网络技术有限公司 基于数据链路层的ssl vpn通信方法
CN103678652A (zh) * 2013-12-23 2014-03-26 山东大学 一种基于Web日志数据的信息个性化推荐方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6728884B1 (en) * 1999-10-01 2004-04-27 Entrust, Inc. Integrating heterogeneous authentication and authorization mechanisms into an application access control system
CN1960255A (zh) * 2006-09-21 2007-05-09 上海交通大学 分布式多级安全访问控制方法
CN101222488A (zh) * 2007-01-10 2008-07-16 华为技术有限公司 控制客户端访问网络设备的方法和网络认证服务器
CN103379009A (zh) * 2012-04-20 2013-10-30 南京易安联网络技术有限公司 基于数据链路层的ssl vpn通信方法
CN103678652A (zh) * 2013-12-23 2014-03-26 山东大学 一种基于Web日志数据的信息个性化推荐方法

Also Published As

Publication number Publication date
CN104506480A (zh) 2015-04-08

Similar Documents

Publication Publication Date Title
CN103310161B (zh) 一种用于数据库系统的防护方法及系统
CN104506480B (zh) 基于标记与审计结合的跨域访问控制方法及系统
CN109787988B (zh) 一种身份加强认证和鉴权方法及装置
CN106888084B (zh) 一种量子堡垒机系统及其认证方法
US8555075B2 (en) Methods and system for storing and retrieving identity mapping information
CN107231346A (zh) 一种云平台身份识别的方法
CN109257209A (zh) 一种数据中心服务器集中管理系统及方法
US8095969B2 (en) Security assertion revocation
CN103975333B (zh) 跨系统安全登录
CN109962890A (zh) 一种区块链的认证服务装置及节点准入、用户认证方法
CN105978855B (zh) 一种实名制下个人信息安全保护系统及方法
CN102571873B (zh) 一种分布式系统中的双向安全审计方法及装置
CN110417820A (zh) 单点登录系统的处理方法、装置及可读存储介质
CN106789029A (zh) 一种基于量子堡垒机的审计系统和审计方法以及量子堡垒机系统
CN106921678A (zh) 一种集成异构舰载信息系统的统一安全认证平台
KR20060032888A (ko) 인터넷 통한 신원정보 관리 장치 및 이를 이용한 서비스제공방법
CN117544322B (zh) 浏览器的辨识方法、装置、设备及存储介质
CN102098313B (zh) 一种防水墙系统及其验证方法
CN111538973A (zh) 基于国密算法的个人授权访问控制系统
CN106685912A (zh) 一种应用系统的安全访问方法
CN105790935A (zh) 基于自主软硬件技术的可信认证服务器
KR100545676B1 (ko) 사용자 단말기의 상태 정보를 이용한 인증 방법 및 시스템
CN114024682A (zh) 跨域单点登录方法、服务设备及认证设备
Mole et al. Digital identity architectures: comparing goals and vulnerabilities
Chryssanthou et al. Security and trust in virtual healthcare communities

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C53 Correction of patent for invention or patent application
CB02 Change of applicant information

Address after: Three D301-309 room, building 518000, building D, Shenzhen Institute of Aerospace Science and technology, No. 6 South ten road, Nanshan District, Shenzhen, Guangdong, China

Applicant after: Shenzhen Yongda electronic Touchplus information Corp

Address before: Three D301-309 room, building 518000, building D, Shenzhen Institute of Aerospace Science and technology, No. 6 South ten road, Nanshan District, Shenzhen, Guangdong, China

Applicant before: Shenzhen Rongda Electronics Co., Ltd.

COR Change of bibliographic data

Free format text: CORRECT: APPLICANT; FROM: SHENZHEN RONGDA ELECTRONICS CO., LTD. TO: SHENZHEN YONGDA ELECTRONIC INFORMATION CO., LTD.

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20151029

Address after: Three D301-309 room, building 518000, building D, Shenzhen Institute of Aerospace Science and technology, No. 6 South ten road, Nanshan District, Shenzhen, Guangdong, China

Applicant after: Shenzhen Yongda electronic Touchplus information Corp

Applicant after: CHINA RAILWAY CORPORATION

Address before: Three D301-309 room, building 518000, building D, Shenzhen Institute of Aerospace Science and technology, No. 6 South ten road, Nanshan District, Shenzhen, Guangdong, China

Applicant before: Shenzhen Yongda electronic Touchplus information Corp

GR01 Patent grant
GR01 Patent grant