CN106790082B

CN106790082B - 一种云应用访问控制方法及系统

Info

Publication number: CN106790082B
Application number: CN201611199019.9A
Authority: CN
Inventors: 张爱武; 张如辉; 郭春梅
Original assignee: Beijing Venus Information Security Technology Co Ltd; Venustech Group Inc
Current assignee: Beijing Venus Information Security Technology Co Ltd; Venustech Group Inc
Priority date: 2016-12-22
Filing date: 2016-12-22
Publication date: 2019-10-01
Anticipated expiration: 2036-12-22
Also published as: CN106790082A

Abstract

本发明公开了一种云应用访问控制方法及系统，该方法包括：当认证服务器接收到携带有云应用地址的SAML请求时，判断预先加载的云应用映射表中是否存在云应用地址，其中，云应用映射表包含至少一个预设云应用地址及其对应的预设云应用标识；当认证服务器判定云应用映射表中存在云应用地址时，从云应用映射表中获取云应用地址对应的云应用标识，生成携带有云应用标识的SAML响应，并将SAML响应发送至云应用地址对应的代理服务器；代理服务器从预先加载的云应用映射表中获取云应用标识对应的云应用地址，并将SAML响应发送至云应用地址，以实现访问云应用地址对应的云应用。基于本发明公开的方法，实现了代理服务器对至少一个云应用的全流量监控。

Description

一种云应用访问控制方法及系统

技术领域

本发明涉及通信安全技术领域，更具体地说，涉及一种云应用访问控制方法及系统。

背景技术

云计算是一种动态的、易扩展的、基于虚拟化的资源计算方式，通常是由互联网提供，因此用户也就不需要了解云内部的细节。

云应用在云计算环境下主要采用应用服务托管的方式。而用户在访问云上的应用过程中，可能存在敏感信息泄露的问题或者访问异常、越权访问的情况。

有鉴于此，如何对多个云应用进行全流量控制，是本领域技术人员亟需解决的问题。

发明内容

有鉴于此，本发明提供云应用访问控制方法及系统，以解决用户在访问云上的应用过程中，可能存在敏感信息泄露的问题或者访问异常、越权访问的问题。技术方案如下：

一种云应用访问控制方法，包括：

当认证服务器接收到携带有云应用地址的SAML请求时，判断预先加载的云应用映射表中是否存在所述云应用地址，其中，所述云应用映射表包含至少一个预设云应用地址及其对应的预设云应用标识；

当所述认证服务器判定所述云应用映射表中存在所述云应用地址时，从所述云应用映射表中获取所述云应用地址对应的云应用标识，生成携带有所述云应用标识的SAML响应，并将所述SAML响应发送至所述云应用地址对应的代理服务器；

所述代理服务器从预先加载的所述云应用映射表中获取所述云应用标识对应的所述云应用地址，并将所述SAML响应发送至所述云应用地址，以实现访问所述云应用地址对应的云应用。

优选的，还包括：

管理服务器预先构建所述云应用映射表，并向所述认证服务器和所述代理服务器分别发送加载通知，使得所述认证服务器和所述代理服务器分别根据所述加载通知对所述云应用映射表进行加载。

优选的，所述管理服务器预先构建所述云应用映射表的过程，包括：

所述管理服务器判断当前网络环境中是否存在域名解析服务器；

当不存在所述域名解析服务器时，为接收到的各个所述预设云应用地址随机生成端口形式的云应用标识，所述端口为代理服务器端口；

当存在所述域名解析服务器时，判断是否有添加泛域名解析规则的权限；

当有添加所述泛域名解析规则的权限时，为接收到的各个所述预设云应用地址随机生成字符串形式的云应用标识，所述字符串的长度为预先设定的；

当没有添加所述泛域名解析规则的权限时，为接收到的各个所述预设云应用地址随机生成端口形式的云应用标识，所述端口为代理服务器端口。

优选的，当所述认证服务器判定所述云应用映射表中不存在所述云应用地址时，生成用于表征云应用不存在的提示信息。

一种云应用访问控制系统，包括：认证服务器和代理服务器；

所述认证服务器，用于当接收到携带有云应用地址的SAML请求时，判断预先加载的云应用映射表中是否存在所述云应用地址，其中，所述云应用映射表包含至少一个预设云应用地址及其对应的预设云应用标识，以及，当判定所述云应用映射表中存在所述云应用地址时，从所述云应用映射表中获取所述云应用地址对应的云应用标识，生成携带有所述云应用标识的SAML响应，并将所述SAML响应发送至所述云应用地址对应的代理服务器；

所述代理服务器，用于从预先加载的所述云应用映射表中获取所述云应用标识对应的所述云应用地址，并将所述SAML响应发送至所述云应用地址，以实现访问所述云应用地址对应的云应用。

优选的，还包括：管理服务器；

所述管理服务器，用于预先构建所述云应用映射表，并向所述认证服务器和所述代理服务器分别发送加载通知，使得所述认证服务器和所述代理服务器分别根据所述加载通知对所述云应用映射表进行加载。

优选的，所述认证服务器，还用于：

当判定所述云应用映射表中不存在所述云应用地址时，生成用于表征云应用不存在的提示信息。

相较于现有技术，本发明实现的有益效果为：

以上本发明提供的一种云应用访问控制方法及系统，认证服务器根据预先加载的云应用映射表将携带有云应用标识的SAML响应发送给代理服务器，使得代理服务器根据预先加载的云应用映射表查找云应用标识对应的云应用地址，并将SAML响应发送至云应用地址，这就实现了代理服务器对至少一个云应用的全流量监控，从而降低甚至避免了信息泄露的风险。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例一公开的一种云应用访问控制方法流程图；

图2为本发明实施例二公开的一种云应用访问控制方法流程图；

图3为本发明实施例三公开的一种云应用访问控制方法部分流程图；

图4为本发明实施例四公开的一种云应用访问控制系统结构示意图；

图5为本发明实施例五公开的一种云应用访问控制系统结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

SAML(Secure Assertion Markup Language，安全断言标记语言)是一个基于XML(Extensible Markup Language，可扩展标记语言)的标准，用于在不同安全域之间交换认证与授权数据。

实施例一

本发明实施例一公开了一种云应用访问控制方法，该方法应用于云应用访问控制系统中，方法流程图如图1所示，包括如下步骤：

S101，当认证服务器接收到携带有云应用地址的SAML请求时，判断预先加载的云应用映射表中是否存在云应用地址，其中，云应用映射表包含至少一个预设云应用地址及其对应的预设云应用标识；

在执行步骤S101的过程中，例如，当认证服务器接收到的SAML请求中包含“百度”这个云应用的地址“https://www.baidu.com/”时，查找预先存储的云应用映射表中是否存在该地址，其中SAML请求可由百度服务器生成，即当用户在用户浏览器的地址栏中输入“https://www.baidu.com/”时，百度服务器生成SAML请求并将SAML请求反馈至用户浏览器，使得用户浏览器将SAML请求发送至认证服务器。

S102，当认证服务器判定云应用映射表中存在云应用地址时，从云应用映射表中获取云应用地址对应的云应用标识，生成携带有云应用标识的SAML响应，并将SAML响应发送至云应用地址对应的代理服务器；

在执行步骤S102的过程中，假设云应用映射表中预先存储的百度地址标识为“d53rb”，认证服务器可从云应用映射表中获取该百度地址标识，并且，还可根据预先设置好的云应用地址与代理服务器的映射关系，获取该百度地址对应的代理服务器域名，假设该代理服务器域名为“idpserver.com”，因此，生成的SAML响应包含有代理地址“d53rb.idpserver.com”，其中，认证服务器将该SAML响应发送至代理服务器时，可由用户浏览器进行转发。

S103，代理服务器从预先加载的云应用映射表中获取云应用标识对应的云应用地址，并将SAML响应发送至云应用地址，以实现访问云应用地址对应的云应用；

在执行步骤S103的过程中，当代理服务器接收到SAML响应时，根据SAML响应中的云应用标识从云应用映射表中查找相应的云应用地址，并将该SAML响应发送至该云应用地址。例如，当代理服务器接收到携带有百度地址标识为“d53rb”的SAML响应时，从预先存储的云应用映射表中获取该百度地址标识为“d53rb”对应的百度地址“https://www.baidu.com/”，并将SAML响应发送至“https://www.baidu.com/”，以此实现访问百度。

需要说明的是，认证服务器和代理服务器中预先加载的云应用映射表是一致的。

还需要说明的是，当认证服务器判定云应用映射表中不存在云应用地址时，生成用于表征云应用不存在的提示信息。

本发明实施例公开的云应用访问控制方法，认证服务器根据预先加载的云应用映射表将携带有云应用标识的SAML响应发送给代理服务器，使得代理服务器根据预先加载的云应用映射表查找云应用标识对应的云应用地址，并将SAML响应发送至云应用地址，这就实现了代理服务器对至少一个云应用的全流量监控，从而降低甚至避免了信息泄露的风险。

实施例二

基于上述本发明实施例一公开的云应用访问控制方法，本实施例二还公开一种云应用访问控制方法，方法流程图如图2所示，包括如下步骤：

S201，管理服务器预先构建云应用映射表，并向认证服务器和代理服务器分别发送加载通知，使得认证服务器和代理服务器分别根据加载通知对云应用映射表进行加载；

S103，代理服务器从预先加载的云应用映射表中获取云应用标识对应的云应用地址，并将SAML响应发送至云应用地址，以实现访问云应用地址对应的云应用。

本发明实施例二公开的云应用访问控制方法中，步骤S101～S103的执行过程与上述实施例一公开的步骤S101～S103一致，在此不再赘述，请参见本发明实施例一公开的部分。

本发明实施例公开的云应用访问控制方法，管理服务器预先构建云应用映射表，认证服务器根据预先加载的云应用映射表将携带有云应用标识的SAML响应发送给代理服务器，使得代理服务器根据预先加载的云应用映射表查找云应用标识对应的云应用地址，并将SAML响应发送至云应用地址，这就实现了代理服务器对至少一个云应用的全流量监控，从而降低甚至避免了信息泄露的风险。

实施例三

基于本发明实施例二公开的云应用访问控制方法，如图2所示出的步骤S201中，管理服务器预先构建云应用映射表的具体执行过程，如图3所示，包括如下步骤：

S301，管理服务器判断当前网络环境中是否存在域名解析服务器；

S302，当不存在域名解析服务器时，为接收到的各个预设云应用地址随机生成端口形式的云应用标识，端口为代理服务器端口；

在执行步骤S302的过程中，当前网络环境中不存在域名解析服务器时，以在代理服务器上开启不同端口的方式为各个预设云应用地址生成云应用标识，例如，为百度地址“https://www.baidu.com/”随机生成的代理服务器端口为“6443”，并且假设代理服务器的IP地址为“192.168.1.101”，则生成的SAML响应中包含有代理地址“192.168.1.101：6443”。

S303，当存在域名解析服务器时，判断是否有添加泛域名解析规则的权限；

S304，当有添加泛域名解析规则的权限时，为接收到的各个预设云应用地址随机生成字符串形式的云应用标识，字符串的长度为预先设定的；

在执行步骤S304的过程中，当前网络环境中存在域名解析服务器且管理服务器有添加泛域名解析规则的权限时，以子域名方式为各个预设云应用地址随机生成云应用标识，例如，为百度地址“https://www.baidu.com/”随机生成的定长字符串为“d53rb”，并且假设代理服务器的域名为“idpserver.com”，则生成的SAML响应中包含有代理地址“d53rb.idpserver.com”。

S305，当没有添加泛域名解析规则的权限时，为接收到的各个预设云应用地址随机生成端口形式的云应用标识，端口为代理服务器端口。

实施例四

基于上述发明各实施例公开的云应用访问控制方法，本实施例四则对应公开执行上述云应用访问控制方法的云应用访问控制系统，其结构示意图如图4所示，云应用访问控制系统400包括：认证服务器401和代理服务器402；

认证服务器401，用于当接收到携带有云应用地址的SAML请求时，判断预先加载的云应用映射表中是否存在云应用地址，其中，云应用映射表包含至少一个预设云应用地址及其对应的预设云应用标识，以及，当判定云应用映射表中存在云应用地址时，从云应用映射表中获取云应用地址对应的云应用标识，生成携带有云应用标识的SAML响应，并将SAML响应发送至云应用地址对应的代理服务器；

代理服务器402，用于从预先加载的云应用映射表中获取云应用标识对应的云应用地址，并将SAML响应发送至云应用地址，以实现访问云应用地址对应的云应用。

需要说明的是，认证服务器402，还用于当判定云应用映射表中不存在云应用地址时，生成用于表征云应用不存在的提示信息。

本发明实施例公开的云应用访问控制系统，认证服务器根据预先加载的云应用映射表将携带有云应用标识的SAML响应发送给代理服务器，使得代理服务器根据预先加载的云应用映射表查找云应用标识对应的云应用地址，并将SAML响应发送至云应用地址，这就实现了代理服务器对至少一个云应用的全流量监控，从而降低甚至避免了信息泄露的风险。

实施例五

结合上述本发明实施例四公开的云应用访问控制系统和图4，本实施例五还公开一种云应用访问控制系统，其结构示意图如图5所示，云应用访问控制系统400还包括：管理服务器403；

管理服务器403，用于预先构建云应用映射表，并向认证服务器和代理服务器分别发送加载通知，使得认证服务器和所述代理服务器分别根据加载通知对云应用映射表进行加载。

本发明实施例公开的云应用访问控制系统，管理服务器预先构建云应用映射表，认证服务器根据预先加载的云应用映射表将携带有云应用标识的SAML响应发送给代理服务器，使得代理服务器根据预先加载的云应用映射表查找云应用标识对应的云应用地址，并将SAML响应发送至云应用地址，这就实现了代理服务器对至少一个云应用的全流量监控，从而降低甚至避免了信息泄露的风险。

以上对本发明所提供的一种云应用访问控制方法及系统进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备所固有的要素，或者是还包括为这些过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

1.一种云应用访问控制方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，还包括：

3.根据权利要求2所述的方法，其特征在于，所述管理服务器预先构建所述云应用映射表的过程，包括：

4.根据权利要求1所述的方法，其特征在于，还包括：

当所述认证服务器判定所述云应用映射表中不存在所述云应用地址时，生成用于表征云应用不存在的提示信息。

5.一种云应用访问控制系统，其特征在于，包括：认证服务器和代理服务器；

6.根据权利要求5所述的系统，其特征在于，还包括：管理服务器；

7.根据权利要求6所述的系统，其特征在于，所述认证服务器，还用于：