CN107172038A - 一种用于提供安全服务的信息处理方法以及安全服务平台 - Google Patents

一种用于提供安全服务的信息处理方法以及安全服务平台 Download PDF

Info

Publication number
CN107172038A
CN107172038A CN201710329875.XA CN201710329875A CN107172038A CN 107172038 A CN107172038 A CN 107172038A CN 201710329875 A CN201710329875 A CN 201710329875A CN 107172038 A CN107172038 A CN 107172038A
Authority
CN
China
Prior art keywords
service
security component
tenant
information
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710329875.XA
Other languages
English (en)
Other versions
CN107172038B (zh
Inventor
刘溥选
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN201710329875.XA priority Critical patent/CN107172038B/zh
Publication of CN107172038A publication Critical patent/CN107172038A/zh
Application granted granted Critical
Publication of CN107172038B publication Critical patent/CN107172038B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/562Brokering proxy services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明实施例公开了一种用于提供安全服务的信息处理方法以及安全服务平台,用于解决租户使用多个安全设备时需要进行多次认证的问题。本发明实施例方法包括:安全组件向安全服务平台发布安全服务信息,安全服务信息包括安全组件提供的服务的地址信息和安全组件的租户信息;安全服务平台接收租户终端发送的登录请求,登录请求包括租户的身份认证信息;安全服务平台根据安全服务信息和登录请求,代理租户终端对目标安全组件提供的目标服务的访问请求,租户对目标安全组件具有访问权限;目标安全组件向安全服务平台发送服务页面信息,服务页面信息对应于目标安全组件发布的目标服务的地址信息;安全服务平台将服务页面信息发送至租户终端。

Description

一种用于提供安全服务的信息处理方法以及安全服务平台
技术领域
本发明涉及网络技术领域,具体涉及一种用于提供安全服务的信息处理方法以及安全服务平台。
背景技术
物联网设备除提供功能服务的组件、负责信息采集的感知组件、负责数据传递的网络组件外,还有提供安全保障的组件——安全组件,它属于物联网设备的控制部分。
云平台提供的云计算,是今年来最为热门的话题之一,业务迁移云平台,是新一代信息技术运用集约化发展的必然趋势,随之而来的是云平台的安全及合规问题。现有技术通常在云平台出口堆叠各种硬件安全设备,供安全设备的租户使用,以解决云平台的安全及合规问题。为了进一步解决安全在云计算环境中的适用性问题,现有技术提出,通过软件定义的方式,把各个安全设备虚拟化,集中部署在一个资源池平台中。
但是,由于多个安全设备各自为政,同时使用多个安全设备的租户需要记忆多套用户名和密码,每次需要进行多次认证过程,才能使用相应的多个安全设备,过程繁琐,降低用户体验。
发明内容
本发明提供一种用于提供安全服务的信息处理方法以及安全服务平台,用于解决现有技术中租户使用多个安全设备时需要进行多次认证的问题。
本发明实施例的一方面提供了一种用于提供安全服务的信息处理方法,包括:
安全组件向安全服务平台发布安全服务信息,所述安全服务信息包括所述安全组件提供的服务的地址信息和所述安全组件的租户信息;
所述安全服务平台接收租户终端发送的登录请求,所述登录请求包括租户的身份认证信息;
所述安全服务平台根据所述安全服务信息和所述登录请求,代理所述租户终端对目标安全组件提供的目标服务的访问请求,所述租户对所述目标安全组件具有访问权限;
所述目标安全组件向所述安全服务平台发送服务页面信息,所述服务页面信息对应于所述目标安全组件发布的目标服务的地址信息;
所述安全服务平台将所述服务页面信息发送至所述租户终端。
结合第一方面,在第一方面的第一种可能的实现方式中,所述安全服务平台根据所述安全服务信息和所述登录请求,代理所述租户终端对目标安全组件提供的目标服务的访问请求包括:
所述安全服务平台向所述租户终端返回安全组件的选择页面;
所述安全服务平台接收所述租户终端发送的对所述目标安全组件的选择指令;
所述安全服务平台根据所述目标安全组件发布的安全服务信息判断所述租户是否有权访问所述目标安全组件;
若是,则所述安全服务平台根据所述目标安全组件发布的目标服务的地址信息访问所述目标安全组件。
结合第一方面,在第一方面的第二种可能的实现方式中,所述安全服务平台根据所述安全服务信息和所述登录请求,代理所述租户终端对目标安全组件提供的目标服务的访问请求包括:
所述安全服务平台根据所述安全组件发布的安全服务信息确定所述租户有权访问的安全组件集;
所述安全服务平台向所述租户终端返回所述安全组件集中各安全组件的选择页面;
所述安全服务平台接收所述租户终端发送的对所述安全组件集中所述目标安全组件的选择指令;
所述安全服务平台根据所述目标安全组件发布的目标服务的地址信息访问所述目标安全组件。
结合第一方面、第一方面的第一种可能的实现方式和第一方面的第二种可能的实现方式中任意一种可能的实现方式,在第一方面的第三种可能的实现方式中,在所述安全服务平台接收租户终端发送的登录请求之后,在所述安全服务平台根据所述安全服务信息和所述登录请求,代理所述租户终端对目标安全组件提供的目标服务的访问请求之前,所述方法还包括:
所述安全服务平台利用网站应用级入侵防御系统WAF判断所述登录请求是否存在风险;
若否,则触发根据所述安全服务信息和所述登录请求,代理所述租户终端对目标安全组件提供的目标服务的访问请求的步骤。
结合第一方面、第一方面的第一种可能的实现方式、第一方面的第二种可能的实现方式和第一方面的第三种可能的实现方式中任意一种可能的实现方式,在第一方面的第四种可能的实现方式中,在所述安全服务平台根据所述安全服务信息和所述登录请求,代理所述租户终端对目标安全组件提供的目标服务的访问请求之后,在所述目标安全组件向所述安全服务平台发送服务页面信息之前,所述方法还包括:
所述目标安全组件判断所述访问请求是否来自所述安全服务平台;
若是,则触发向所述安全服务平台发送服务页面信息的步骤。
本发明实施例的第二方面提供了一种安全服务平台,包括:
第一接收模块,用于接收安全组件发布的安全服务信息,所述安全服务信息包括所述安全组件提供的服务的地址信息和所述安全组件的租户信息;
第二接收模块,用于接收租户终端发送的登录请求,所述登录请求包括租户的身份认证信息;
代理模块,用于根据所述安全服务信息和所述登录请求,代理所述租户终端对目标安全组件提供的目标服务的访问请求,所述租户对所述目标安全组件具有访问权限;
第三接收模块,用于接收所述目标安全组件发送的服务页面信息,所述服务页面信息对应于所述目标安全组件发布的目标服务的地址信息;
发送模块,用于将所述服务页面信息发送至所述租户终端。
结合第二方面,在第二方面的第一种可能的实现方式中,所述代理模块包括:
第一发送单元,用于向所述租户终端返回安全组件的选择页面;
第一接收单元,用于接收所述租户终端发送的对所述目标安全组件的选择指令;
判断单元,用于根据所述目标安全组件发布的安全服务信息判断所述租户是否有权访问所述目标安全组件;
第一访问单元,用于当所述判断单元判定所述租户有权访问所述目标安全组件时,根据所述目标安全组件发布的目标服务的地址信息访问所述目标安全组件。
结合第二方面,在第二方面的第二种可能的实现方式中,所述代理模块包括:
确定单元,用于根据所述安全组件发布的安全服务信息确定所述租户有权访问的安全组件集;
第二发送单元,用于向所述租户终端返回所述安全组件集中各安全组件的选择页面;
第二接收单元,用于接收所述租户终端发送的对所述安全组件集中所述目标安全组件的选择指令;
第二访问单元,用于根据所述目标安全组件发布的目标服务的地址信息访问所述目标安全组件。
结合第二方面、第二方面的第一种可能的实现方式和第二方面的第二种可能的实现方式中任意一种可能的实现方式,在第二方面的第三种可能的实现方式中,所述安全服务平台还包括:
判断模块,用于利用网站应用级入侵防御系统WAF判断所述登录请求是否存在风险;
触发模块,用于当所述判断模块判定所述登录请求不存在风险时,触发所述代理模块。
本发明实施例的第三方面提供了一种安全组件,包括:
发布模块,用于向安全服务平台发布安全服务信息,所述安全服务信息包括所述安全组件提供的服务的地址信息和所述安全组件的租户信息;
接收模块,用于接收对提供的服务的访问请求;
发送模块,用于向访问来源发送服务页面信息,所述服务页面信息对应于所述安全服务信息中服务的地址信息。
结合第三方面,在第三方面的第一种可能的实现方式中,所述安全组件还包括:
判断模块,用于在所述接收模块接收到对提供的服务的访问请求时,判断所述访问请求是否来自所述安全服务平台;
若是,则触发所述发送模块向访问来源发送服务页面信息。
本发明实施例的第四方面提供了一种用于提供安全服务的信息处理系统,包括如第二方面中任一种可能的安全服务平台以及如第三方面中任一种可能的安全组件。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明的安全组件可以向安全服务平台发布安全服务信息,安全服务平台接收租户终端发送的登录请求之后,可以根据安全服务信息和登录请求,代理租户终端对目标安全组件的访问请求,将安全组件返回的服务页面信息发送至租户终端,这样,即使租户希望访问多个安全组件,租户只需通过租户终端登录安全服务平台,便可以通过安全服务平台访问其有权访问的全部目标安全组件,通过安全服务平台实现了多个安全组件的统一认证,过程简便,提高用户体验。
附图说明
图1是本发明用于提供安全服务的信息处理方法一个实施例示意图;
图2是本发明用于提供安全服务的信息处理方法另一个实施例示意图;
图3是本发明用于提供安全服务的信息处理方法另一个实施例示意图;
图4是本发明用于提供安全服务的信息处理方法另一个实施例示意图;
图5是本发明安全服务平台一个实施例示意图;
图6是本发明安全服务平台另一个实施例示意图;
图7是本发明安全服务平台另一个实施例示意图;
图8是本发明安全组件一个实施例示意图;
图9是本发明信息处理系统一个实施例示意图。
具体实施方式
本发明实施例提供了一种用于提供安全服务的信息处理方法以及安全服务平台,用于简化租户使用多个安全设备时的认证流程。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
安全组件是可以提供安全服务,并能以软件形式部署到云平台中的虚拟机,常见的安全组件可以包括:
AF,是防火墙的虚拟化版本,可以提供IPS、杀毒、WAF、网页防篡改、应用控制、僵尸网络、实时漏洞分析等安全服务;
SSL,是SSLVPN的虚拟化版本,可以提供安全接入服务;
DAS,是数据库审计的虚拟化版本,可以提供数据库审计服务;
vBLJ,是堡垒机的虚拟化版本,可以提供运维审计服务。
为便于理解,下面对本发明实施例中的具体流程进行描述,请参阅图1,本发明实施例中用于提供安全服务的信息处理方法一个实施例包括:
101、安全组件向安全服务平台发布安全服务信息;
安全服务平台提供API接口,安全组件可以通过调用API接口,将安全服务信息发布到安全服务平台。安全服务信息可以包括安全组件提供的服务的地址信息、安全组件的租户信息等。安全服务平台可以存储多个安全组件发布的安全服务信息。
102、安全服务平台接收租户终端发送的登录请求;
安全服务平台的租户可以通过租户终端,比如手机、电脑等登录安全服务平台,此时,安全服务平台可以接受租户终端发送的登录请求,登录请求包括租户的身份认证信息,比如用户名、密码等。
103、安全服务平台根据安全服务信息和登录请求,代理租户终端对目标安全组件的访问请求,租户对目标安全组件具有访问权限;
安全服务平台获取到安全组件发布的安全服务信息和租户终端发送的登录请求之后,可以代理租户终端对目标安全组件的访问请求,其中,目标安全组件为租户具有访问权限的安全组件。
104、目标安全组件向安全服务平台发送服务页面信息;
目标安全组件接收到安全服务平台发送的访问请求之后,可以向安全服务平台发送服务页面信息,服务页面信息对应于目标安全组件发布的目标服务的地址信息。
105、安全服务平台将服务页面信息发送至租户终端。
安全服务平台接收到目标安全组件发送的服务页面信息之后,可以将服务页面信息发送至租户终端,租户通过租户终端可以查看目标安全组件的服务页面,并在服务页面上进行相关操作,比如进行服务配置,查看服务状态等。
安全组件可以向安全服务平台发布安全服务信息,安全服务平台接收租户终端发送的登录请求之后,可以根据安全服务信息和登录请求,代理租户终端对目标安全组件的访问请求,将安全组件返回的服务页面信息发送至租户终端,这样,即使租户希望访问多个安全组件,租户只需通过租户终端登录安全服务平台,便可以通过安全服务平台访问其有权访问的全部目标安全组件,通过安全服务平台实现了多个安全组件的统一认证,过程简便,提高用户体验。
安全服务平台根据安全服务信息和登录请求,代理租户终端对目标安全组件的访问请求,租户对目标安全组件具有访问权限,也就是说,安全服务平台可以代理租户对有权访问的目标安全组件的访问请求,并拒绝代理租户对无权访问的安全组件的访问请求,具体的实现方式可以有以下两种:
一、请参阅图2,本发明实施例中用于提供安全服务的信息处理方法另一个实施例包括:
201、安全组件向安全服务平台发布安全服务信息;
安全服务平台提供API接口,安全组件可以通过调用API接口,将安全服务信息发布到安全服务平台。安全服务信息可以包括安全组件提供的服务的地址信息、安全组件的租户信息等。安全服务平台可以缓存多个安全组件发布的安全服务信息。
202、安全服务平台接收租户终端发送的登录请求;
安全服务平台的租户可以通过租户终端,比如手机、电脑等登录安全服务平台,此时,安全服务平台可以接受租户终端发送的登录请求,登录请求包括租户的身份认证信息,比如用户名、密码等。
203、安全服务平台判断登录请求是否存在风险,若是,则执行步骤204,若否,则执行步骤205;
安全服务平台可以安装网站应用级入侵防御系统WAF防火墙,接收租户终端发送的登录请求之后,可以判断租户的访问是否存在风险。
204、安全服务平台拒绝登录请求;
若安全服务平台判定登录请求存在风险,则安全服务平台可以拒绝登录请求。
205、安全服务平台对租户的身份认证信息进行验证;
若安全服务平台判定登录请求不存在风险,则安全服务平台对租户的身份认证信息进行验证。
206、安全服务平台向租户终端返回安全组件的选择页面;
若安全服务平台对租户的身份认证信息验证通过,则安全服务平台可以向租户终端返回安全组件的选择页面,供租户选择所需的安全组件。
207、安全服务平台接收租户终端发送的对目标安全组件的选择指令;
租户终端接收到安全服务平台发送的安全组件的选择页面之后,可以看到多个安全组件的选项,租户从中选择所需的安全组件,为了描述方便,将租户选择的安全组件称作目标安全组件。租户终端可以向安全服务平台发送租户对目标安全组件的选择指令,之后,安全服务平台能够接收租户终端发送的对目标安全组件的选择指令。
208、安全服务平台根据目标安全组件发布的安全服务信息判断租户是否有权访问目标安全组件,若否,则执行步骤209,若是,则执行步骤210;
目标安全组件发布到安全服务平台的安全服务信息可以包括目标安全组件提供的目标服务的地址信息和目标安全组件的租户信息等,安全服务平台接收租户终端发送的对目标安全组件的选择指令之后,可以根据目标安全组件发布的安全服务信息判断租户是否有权访问目标安全组件,若目标安全组件的租户包括该租户,则可以判定该租户有权访问目标安全组件,否则,可以判定该租户无权访问目标安全组件。若判定租户有权访问目标安全组件,则执行步骤210,若判定租户无权访问目标安全组件,则执行步骤209。
在实际使用中,安全服务平台也可以缓存租户的认证信息,将唯一标识租户的身份认证信息作为后缀,更新到各个安全组件的服务页面的链接中,并将此链接作为代理规则,安全服务平台向租户终端返回的安全组件的选择页面可以包括各个安全组件的服务页面的链接,当租户通过租户终端点击某个链接时,安全服务平台可以判断该选择指令是否匹配上代理规则,若匹配,则判定该租户有权访问目标安全组件,否则,判定该租户无权访问目标安全组件。
209、安全服务平台向租户终端返回该租户无权访问目标安全组件的提示界面;
若安全服务平台判定该租户无权访问目标安全组件,则安全服务平台可以向租户终端返回该租户无权访问目标安全组件的提示界面,比如“很抱歉,您未购买此安全组件”,在实际使用中,安全服务平台也可以向租户终端返回目标安全组件的购买链接,以方便租户直接通过安全服务平台购买目标安全组件的使用权。
210、安全服务平台根据目标安全组件发布的目标服务的地址信息访问目标安全组件;
若安全服务平台判定该租户有权访问目标安全组件,则安全服务平台可以根据目标安全组件发布的安全服务信息访问目标安全组件,具体的,可以根据目标安全组件提供的目标服务的地址信息访问目标服务。
211、目标安全组件向安全服务平台返回访问请求对应的服务页面信息;
目标安全组件接收到安全服务平台发送的访问请求之后,可以向安全服务平台发送服务页面信息,服务页面信息对应于目标安全组件发布的目标服务的地址信息。
212、安全服务平台将服务页面信息发送给租户终端。
安全服务平台接收到目标安全组件发送的服务页面信息之后,可以将服务页面信息发送至租户终端,租户通过租户终端可以查看目标安全组件的服务页面,并在服务页面上进行相关操作,比如进行服务配置,查看服务状态等。
二、请参阅图3,本发明实施例中用于提供安全服务的信息处理方法另一个实施例包括:
301、安全组件向安全服务平台发布安全服务信息;
安全服务平台提供API接口,安全组件可以通过调用API接口,将安全服务信息发布到安全服务平台。安全服务信息可以包括安全组件提供的服务的地址信息、安全组件的租户信息等。安全服务平台可以存储多个安全组件发布的安全服务信息。
302、安全服务平台接收租户终端发送的登录请求;
安全服务平台的租户可以通过租户终端,比如手机、电脑等登录安全服务平台,此时,安全服务平台可以接受租户终端发送的登录请求,登录请求包括租户的身份认证信息,比如用户名、密码等。
303、安全服务平台利用WAF判断登录请求是否存在风险,若是,则执行步骤304,若否,则执行步骤305;
安全服务平台可以安装网站应用级入侵防御系统WAF,接收租户终端发送的登录请求之后,可以判断租户的访问是否存在风险。
304、安全服务平台拒绝登录请求;
若安全服务平台判定登录请求存在风险,则安全服务平台可以拒绝登录请求。
305、安全服务平台对租户的身份认证信息进行验证;
若安全服务平台判定登录请求不存在风险,则安全服务平台对租户的身份认证信息进行验证。
306、若验证通过,则安全服务平台根据安全组件发布的安全服务信息确定该租户有权访问的安全组件集;
若安全服务平台对租户的身份认证信息验证通过,则安全服务平台可以根据安全组件发布的安全服务信息来确定该租户有权访问的安全组件集,假设安全服务平台存储有安全组件1、安全组件2、安全组件3、……、安全组件10发布的安全服务信息,安全服务平台可以根据安全服务信息中安全组件的租户信息以及该租户的身份认证信息确定该租户有权访问的安全组件有哪些,假设安全组件1、安全组件2、安全组件5以及安全组件8的租户均包括该租户,那么该租户有权访问的安全组件集包括安全组件1、安全组件2、安全组件5以及安全组件8。
307、安全服务平台向租户终端返回安全组件集中各安全组件的选择页面;
安全服务平台确定该租户有权访问的安全组件集之后,可以向租户终端返回安全组件集中各安全组件的选择页面,即提供安全组件1、安全组件2、安全组件5以及安全组件8的选项供该租户选择。
308、安全服务平台接收租户终端发送的对安全组件集中目标安全组件的选择指令;
租户终端接收到安全服务平台发送的安全组件集中各安全组件的选择页面之后,租户可以从中选择所需的安全组件,为了描述方便,将租户选择的安全组件称作目标安全组件。租户终端可以向安全服务平台发送租户对目标安全组件的选择指令,之后,安全服务平台能够接收租户终端发送的对目标安全组件的选择指令。可见,目标安全组件为该租户有权访问的安全组件。
309、安全服务平台根据目标安全组件发布的目标服务的地址信息访问目标安全组件;
目标安全组件发布到安全服务平台的安全服务信息可以包括目标安全组件提供的目标服务的地址信息和目标安全组件的租户信息等,安全服务平台接收到租户终端发送的对目标安全组件的选择指令之后,可以根据目标安全组件发布的安全服务信息访问目标安全组件,具体的,可以根据目标安全组件提供的目标服务的地址信息访问目标服务。
310、目标安全组件向安全服务平台返回访问请求对应的服务页面;
目标安全组件接收到安全服务平台发送的访问请求之后,可以向安全服务平台返回访问请求对应的服务页面信息,服务页面信息对应于目标安全组件发布的目标服务的地址信息。
311、安全服务平台将服务页面信息发送给租户终端。
安全服务平台接收到目标安全组件发送的服务页面信息之后,可以将服务页面信息发送至租户终端,租户通过租户终端可以查看目标安全组件的服务页面,并在服务页面上进行相关操作,比如进行服务配置,查看服务状态等。
在实际使用时,上述实施例中,为了提高安全组件的安全性,可以将安全组件部署于安全服务平台,租户终端无法直接访问安全组件,只能通过安全服务平台间接访问安全组件,这样可以提高安全组件的安全性,减少了来自外部的安全风险。但是,即使将安全组件部署于安全服务平台,由于多个安全组件部署于同一安全服务平台,因此难以避免平台内的安全组件间的相互攻击,为了进一步提高安全组件的安全性,安全组件需要验证访问请求是否来自安全服务平台,请参阅图4,本发明实施例中用于提供安全服务的信息处理方法另一个实施例包括:
401、安全组件向安全服务平台发布安全服务信息;
安全服务平台提供API接口,安全组件可以通过调用API接口,将安全服务信息发布到安全服务平台。安全服务信息可以包括安全组件提供的服务的地址信息、安全组件的租户信息等。安全服务平台可以存储多个安全组件发布的安全服务信息。
402、安全服务平台配置内部管理IP地址,并将该IP地址发送给安全组件;
安全服务平台可以配置内部管理IP地址,并下发该IP地址到各个安全组件。
403、安全组件将该IP地址作为特权IP地址进行存储;
安全组件接受到安全服务平台发送的IP地址后,可以将该IP地址作为特权IP地址进行存储。
404、安全服务平台接收租户终端发送的登录请求;
安全服务平台的租户可以通过租户终端,比如手机、电脑等登录安全服务平台,此时,安全服务平台可以接受租户终端发送的登录请求,登录请求包括租户的身份认证信息,比如用户名、密码等。
405、安全服务平台根据安全服务信息和登录请求,代理租户终端对目标安全组件的访问请求,租户对目标安全组件具有访问权限;
安全服务平台获取到安全组件发布的安全服务信息和租户终端发送的登录请求之后,可以代理租户终端对目标安全组件的访问请求,其中,目标安全组件为租户具有访问权限的安全组件。
406、目标安全组件判断接收到的访问请求对应的IP地址是否为特权IP地址,若是,则执行步骤407,若否,则执行步骤409;
目标安全组件接收到访问请求之后,可以判断访问请求对应的IP地址是否为特权IP地址,若是,则执行步骤407,若否,则执行步骤409。
407、目标安全组件向安全服务平台发送服务页面信息;
若目标安全组件判定访问请求对应的IP地址为特权IP地址,则可以向安全服务平台发送服务页面信息,服务页面信息对应于目标安全组件发布的目标服务的地址信息,而免于用户名和密码验证。
408、安全服务平台将服务页面信息发送至租户终端;
安全服务平台接收到目标安全组件发送的服务页面信息之后,可以将服务页面信息发送至租户终端,租户通过租户终端可以查看目标安全组件的服务页面,并在服务页面上进行相关操作,比如进行服务配置,查看服务状态等。
409、执行其他操作。
若目标安全组件判定访问请求对应的IP地址不是特权IP地址,则可以执行其他操作,比如发送验权界面。
在实际使用中,安全组件还可以通过其他方法来判断访问请求是否来自安全服务平台,比如,安全服务平台可以和安全组件约定密钥,安全服务平台用约定的密钥与安全组件进行通信。
上面对本发明实施例中用于提供安全服务的信息处理方法进行了描述,下面对本发明实施例中的装置进行描述。
请参阅图5,本发明实施例中安全服务平台的一个实施例包括:
第一接收模块501,用于接收安全组件发布的安全服务信息,安全服务信息包括安全组件提供的服务的地址信息和安全组件的租户信息;
第二接收模块502,用于接收租户终端发送的登录请求,登录请求包括租户的身份认证信息;
代理模块503,用于根据安全服务信息和登录请求,代理租户终端对目标安全组件提供的目标服务的访问请求,租户对目标安全组件具有访问权限;
第三接收模块504,用于接收目标安全组件发送的服务页面信息,服务页面信息对应于目标安全组件发布的目标服务的地址信息;
发送模块505,用于将服务页面信息发送至租户终端。
请参阅图6,安全服务平台的另一个实施例包括:
第一接收模块601,用于接收安全组件发布的安全服务信息,安全服务信息包括安全组件提供的服务的地址信息和安全组件的租户信息;
第二接收模块602,用于接收租户终端发送的登录请求,登录请求包括租户的身份认证信息;
代理模块603,用于根据安全服务信息和登录请求,代理租户终端对目标安全组件提供的目标服务的访问请求,租户对目标安全组件具有访问权限;
第三接收模块604,用于接收目标安全组件发送的服务页面信息,服务页面信息对应于目标安全组件发布的目标服务的地址信息;
发送模块605,用于将服务页面信息发送至租户终端;
代理模块603包括:
第一发送单元6031,用于向租户终端返回安全组件的选择页面;
第一接收单元6032,用于接收租户终端发送的对目标安全组件的选择指令;
判断单元6033,用于根据目标安全组件发布的安全服务信息判断租户是否有权访问目标安全组件;
第一访问单元6034,用于当判断单元判定租户有权访问目标安全组件时,根据目标安全组件发布的目标服务的地址信息访问目标安全组件。
请参阅图7,安全服务平台的另一个实施例包括:
第一接收模块701,用于接收安全组件发布的安全服务信息,安全服务信息包括安全组件提供的服务的地址信息和安全组件的租户信息;
第二接收模块702,用于接收租户终端发送的登录请求,登录请求包括租户的身份认证信息;
判断模块703,用于利用网站应用级入侵防御系统WAF判断登录请求是否存在风险;
代理模块704,用于当判断模块706判定登录请求不存在风险时,根据安全服务信息和登录请求,代理租户终端对目标安全组件提供的目标服务的访问请求,租户对目标安全组件具有访问权限;
第三接收模块705,用于接收目标安全组件发送的服务页面信息,服务页面信息对应于目标安全组件发布的目标服务的地址信息;
发送模块706,用于将服务页面信息发送至租户终端;
代理模块704包括:
确定单元7041,用于根据安全组件发布的安全服务信息确定租户有权访问的安全组件集;
第二发送单元7042,用于向租户终端返回安全组件集中各安全组件的选择页面;
第二接收单元7043,用于接收租户终端发送的对安全组件集中目标安全组件的选择指令;
第二访问单元7044,用于根据目标安全组件发布的目标服务的地址信息访问目标安全组件。
请参阅图8,安全组件的一个实施例包括:
发布模块801,用于向安全服务平台发布安全服务信息,安全服务信息包括安全组件提供的服务的地址信息和安全组件的租户信息;
接收模块802,用于接收对提供的服务的访问请求;
发送模块803,用于向访问来源发送服务页面信息,服务页面信息对应于安全服务信息中服务的地址信息。
优选的,安全组件还包括:
判断模块804,用于在接收模块接收到对提供的服务的访问请求时,判断访问请求是否来自安全服务平台,当判定访问请求来自安全服务平台时,触发发送模块803向访问来源发送服务页面信息。
请参阅图9,本发明还提供一种用于提供安全服务的信息处理系统,信息处理系统包括图5至图7中任一图对应的实施例中的安全服务平台901以及图8对应的实施例中的安全组件902,一般情况下,信息处理系统中包括多个安全组件,图9中以信息处理系统包括4个安全组件为例。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所述的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (12)

1.一种用于提供安全服务的信息处理方法,其特征在于,包括:
安全组件向安全服务平台发布安全服务信息,所述安全服务信息包括所述安全组件提供的服务的地址信息和所述安全组件的租户信息;
所述安全服务平台接收租户终端发送的登录请求,所述登录请求包括租户的身份认证信息;
所述安全服务平台根据所述安全服务信息和所述登录请求,代理所述租户终端对目标安全组件提供的目标服务的访问请求,所述租户对所述目标安全组件具有访问权限;
所述目标安全组件向所述安全服务平台发送服务页面信息,所述服务页面信息对应于所述目标安全组件发布的目标服务的地址信息;
所述安全服务平台将所述服务页面信息发送至所述租户终端。
2.根据权利要求1所述的信息处理方法,其特征在于,所述安全服务平台根据所述安全服务信息和所述登录请求,代理所述租户终端对目标安全组件提供的目标服务的访问请求包括:
所述安全服务平台向所述租户终端返回安全组件的选择页面;
所述安全服务平台接收所述租户终端发送的对所述目标安全组件的选择指令;
所述安全服务平台根据所述目标安全组件发布的安全服务信息判断所述租户是否有权访问所述目标安全组件;
若是,则所述安全服务平台根据所述目标安全组件发布的目标服务的地址信息访问所述目标安全组件。
3.根据权利要求1所述的信息处理方法,其特征在于,所述安全服务平台根据所述安全服务信息和所述登录请求,代理所述租户终端对目标安全组件提供的目标服务的访问请求包括:
所述安全服务平台根据所述安全组件发布的安全服务信息确定所述租户有权访问的安全组件集;
所述安全服务平台向所述租户终端返回所述安全组件集中各安全组件的选择页面;
所述安全服务平台接收所述租户终端发送的对所述安全组件集中所述目标安全组件的选择指令;
所述安全服务平台根据所述目标安全组件发布的目标服务的地址信息访问所述目标安全组件。
4.根据权利要求1至3中任一项所述的信息处理方法,其特征在于,在所述安全服务平台接收租户终端发送的登录请求之后,在所述安全服务平台根据所述安全服务信息和所述登录请求,代理所述租户终端对目标安全组件提供的目标服务的访问请求之前,所述方法还包括:
所述安全服务平台利用网站应用级入侵防御系统WAF判断所述登录请求是否存在风险;
若否,则触发根据所述安全服务信息和所述登录请求,代理所述租户终端对目标安全组件提供的目标服务的访问请求的步骤。
5.根据权利要求4所述的信息处理方法,其特征在于,在所述安全服务平台根据所述安全服务信息和所述登录请求,代理所述租户终端对目标安全组件提供的目标服务的访问请求之后,在所述目标安全组件向所述安全服务平台发送服务页面信息之前,所述方法还包括:
所述目标安全组件判断所述访问请求是否来自所述安全服务平台;
若是,则触发向所述安全服务平台发送服务页面信息的步骤。
6.一种安全服务平台,其特征在于,包括:
第一接收模块,用于接收安全组件发布的安全服务信息,所述安全服务信息包括所述安全组件提供的服务的地址信息和所述安全组件的租户信息;
第二接收模块,用于接收租户终端发送的登录请求,所述登录请求包括租户的身份认证信息;
代理模块,用于根据所述安全服务信息和所述登录请求,代理所述租户终端对目标安全组件提供的目标服务的访问请求,所述租户对所述目标安全组件具有访问权限;
第三接收模块,用于接收所述目标安全组件发送的服务页面信息,所述服务页面信息对应于所述目标安全组件发布的目标服务的地址信息;
发送模块,用于将所述服务页面信息发送至所述租户终端。
7.根据权利要求6所述的安全服务平台,其特征在于,所述代理模块包括:
第一发送单元,用于向所述租户终端返回安全组件的选择页面;
第一接收单元,用于接收所述租户终端发送的对所述目标安全组件的选择指令;
判断单元,用于根据所述目标安全组件发布的安全服务信息判断所述租户是否有权访问所述目标安全组件;
第一访问单元,用于当所述判断单元判定所述租户有权访问所述目标安全组件时,根据所述目标安全组件发布的目标服务的地址信息访问所述目标安全组件。
8.根据权利要求6所述的安全服务平台,其特征在于,所述代理模块包括:
确定单元,用于根据所述安全组件发布的安全服务信息确定所述租户有权访问的安全组件集;
第二发送单元,用于向所述租户终端返回所述安全组件集中各安全组件的选择页面;
第二接收单元,用于接收所述租户终端发送的对所述安全组件集中所述目标安全组件的选择指令;
第二访问单元,用于根据所述目标安全组件发布的目标服务的地址信息访问所述目标安全组件。
9.根据权利要求6至8中任一项所述的安全服务平台,其特征在于,所述安全服务平台还包括:
判断模块,用于利用网站应用级入侵防御系统WAF判断所述登录请求是否存在风险;
触发模块,用于当所述判断模块判定所述登录请求不存在风险时,触发所述代理模块。
10.一种安全组件,其特征在于,包括:
发布模块,用于向安全服务平台发布安全服务信息,所述安全服务信息包括所述安全组件提供的服务的地址信息和所述安全组件的租户信息;
接收模块,用于接收对提供的服务的访问请求;
发送模块,用于向访问来源发送服务页面信息,所述服务页面信息对应于所述安全服务信息中服务的地址信息。
11.根据权利要求10所述的安全组件,其特征在于,所述安全组件还包括:
判断模块,用于在所述接收模块接收到对提供的服务的访问请求时,判断所述访问请求是否来自所述安全服务平台;
若是,则触发所述发送模块向访问来源发送服务页面信息。
12.一种用于提供安全服务的信息处理系统,其特征在于,包括如权利要求6至9中任一项所述的安全服务平台以及如权利要求10或11所述的安全组件。
CN201710329875.XA 2017-05-11 2017-05-11 一种用于提供安全服务的信息处理方法、平台、组件及系统 Active CN107172038B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710329875.XA CN107172038B (zh) 2017-05-11 2017-05-11 一种用于提供安全服务的信息处理方法、平台、组件及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710329875.XA CN107172038B (zh) 2017-05-11 2017-05-11 一种用于提供安全服务的信息处理方法、平台、组件及系统

Publications (2)

Publication Number Publication Date
CN107172038A true CN107172038A (zh) 2017-09-15
CN107172038B CN107172038B (zh) 2020-04-28

Family

ID=59814948

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710329875.XA Active CN107172038B (zh) 2017-05-11 2017-05-11 一种用于提供安全服务的信息处理方法、平台、组件及系统

Country Status (1)

Country Link
CN (1) CN107172038B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109040066A (zh) * 2018-08-01 2018-12-18 杭州安恒信息技术股份有限公司 一种云安全管理平台与云安全产品的对接方法及装置
CN109286630A (zh) * 2018-10-15 2019-01-29 深信服科技股份有限公司 等保处理方法、装置、设备及存储介质
CN109688162A (zh) * 2019-02-19 2019-04-26 山东浪潮通软信息科技有限公司 一种多租户的数据分库实现方法和系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104067265A (zh) * 2012-01-23 2014-09-24 国际商业机器公司 用于支持在云中的安全应用部署的系统和方法
US20160021196A1 (en) * 2014-07-17 2016-01-21 Microsoft Corporation Processing changes in a multi-tenant system
CN106534179A (zh) * 2016-12-08 2017-03-22 用友网络科技股份有限公司 安全通信方法及装置和安全通信系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104067265A (zh) * 2012-01-23 2014-09-24 国际商业机器公司 用于支持在云中的安全应用部署的系统和方法
US20160021196A1 (en) * 2014-07-17 2016-01-21 Microsoft Corporation Processing changes in a multi-tenant system
CN106534179A (zh) * 2016-12-08 2017-03-22 用友网络科技股份有限公司 安全通信方法及装置和安全通信系统

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109040066A (zh) * 2018-08-01 2018-12-18 杭州安恒信息技术股份有限公司 一种云安全管理平台与云安全产品的对接方法及装置
CN109040066B (zh) * 2018-08-01 2021-04-23 杭州安恒信息技术股份有限公司 一种云安全管理平台与云安全产品的对接方法及装置
CN109286630A (zh) * 2018-10-15 2019-01-29 深信服科技股份有限公司 等保处理方法、装置、设备及存储介质
CN109286630B (zh) * 2018-10-15 2021-11-19 深信服科技股份有限公司 等保处理方法、装置、设备及存储介质
CN109688162A (zh) * 2019-02-19 2019-04-26 山东浪潮通软信息科技有限公司 一种多租户的数据分库实现方法和系统
CN109688162B (zh) * 2019-02-19 2021-12-21 浪潮通用软件有限公司 一种多租户的数据分库实现方法和系统

Also Published As

Publication number Publication date
CN107172038B (zh) 2020-04-28

Similar Documents

Publication Publication Date Title
Xue et al. Benefits and challenges of the adoption of cloud computing in business
TWI227986B (en) Device independent authentication system and method
CN103607385B (zh) 基于浏览器进行安全检测的方法和装置
CN103944890B (zh) 基于客户端/服务器模式的虚拟交互系统及方法
CN104660557B (zh) 操作处理方法和装置
CN104734849A (zh) 对第三方应用进行鉴权的方法及系统
CN105207775B (zh) 验证信息的读取方法及装置
CN103501344B (zh) 多应用实现单点登录的方法及系统
CN104158818B (zh) 一种单点登录方法及系统
CN109510849A (zh) 云存储的帐号鉴权方法和装置
CN110351228A (zh) 远程登录方法、装置和系统
WO2014130141A1 (en) Methods and apparatus for selecting an authentication mode at time of issuance of an access token
CA2884775C (en) Method for phone authentication in e-business transactions and computer-readable recording medium having program for phone authentication in e-business transactions recorded thereon
CN111614673A (zh) 一种基于cas的权限认证系统的工作方法
CN106878250B (zh) 跨应用的单态登录方法及装置
US10574699B1 (en) Load balancer request processing
CN108696490A (zh) 账号权限的识别方法及装置
CN105323253A (zh) 一种身份验证方法及装置
CN104580112B (zh) 一种业务认证方法、系统及服务器
WO2016188335A1 (zh) 用户数据的访问控制方法、装置及系统
CN111177672A (zh) 一种页面访问控制方法、装置和电子设备
CN107016074A (zh) 一种网页加载方法及装置
CN106529952A (zh) 数据转移中的验证实现方法及系统
CN109257321A (zh) 安全登录方法和装置
US20150067772A1 (en) Apparatus, method and computer-readable storage medium for providing notification of login from new device

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant