CN111416826B - 一种应用服务安全发布及访问的系统及方法 - Google Patents

一种应用服务安全发布及访问的系统及方法 Download PDF

Info

Publication number
CN111416826B
CN111416826B CN202010215464.XA CN202010215464A CN111416826B CN 111416826 B CN111416826 B CN 111416826B CN 202010215464 A CN202010215464 A CN 202010215464A CN 111416826 B CN111416826 B CN 111416826B
Authority
CN
China
Prior art keywords
application
user
security
gateway
publishing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010215464.XA
Other languages
English (en)
Other versions
CN111416826A (zh
Inventor
杨正权
张晓东
秦益飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Yianlian Network Technology Co ltd
Original Assignee
Jiangsu Yianlian Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Yianlian Network Technology Co ltd filed Critical Jiangsu Yianlian Network Technology Co ltd
Priority to CN202010215464.XA priority Critical patent/CN111416826B/zh
Publication of CN111416826A publication Critical patent/CN111416826A/zh
Application granted granted Critical
Publication of CN111416826B publication Critical patent/CN111416826B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Abstract

本发明提供了一种应用服务安全发布及访问的系统及方法,将用户的应用部署在应用安全发布网关,增强用户应用系统的安全性,同时不会暴露用户应用系统的真实域名、IP、端口等信息,防止了黑客利用业务系统或业务系统所在的服务器自身的安全漏洞而发起入侵攻击等安全威胁。同时对于用户的访问做到了更精细化的权限控制,可以将用户权限划分到每个应用系统,极大增强用户应用系统及数据安全。同时,能解决用户在B/S和C/S架构的应用安全发布及访问的需求。

Description

一种应用服务安全发布及访问的系统及方法
技术领域
本发明涉及了一种应用服务安全发布及访问的系统及方法。
背景技术
现有的方案,用户组织通常将应用系统部署在服务器上,通过端口映射技术将应用系统映射到互联网,例如图1中的应用系统A、应用系统B、应用系统C,用户访问B/S架构应用或C/S架构应用时,通过向应用系统发送请求,包含目标应用的域名或输入IP地址、端口等信息,输入单个应用系统的用户名和密码,再由应用系统对用户访问请求进行判断,包括鉴定用户权限及访问控制,从而达到应用发布和用户访问的目标。
由于现有的技术方案对于应用发布采用端口映射或搭建VPN隧道访问的方式,两种方式都过于依靠组织内部网络的可靠性、安全性以及应用系统自身来实现对应用保护、数据保护及对用户的访问控制。同时现有访问应用系统是通过域名的方式,省去用户记忆繁琐的IP地址,用户通过DNS来完成域名到IP地址的解析,但域名是面向所有用户,黑客可以利用业务系统的真实域名获取应用系统的真实IP,从而发起网络攻击。
利用端口映射技术,虽然保证用户可以通过互联网访问应用系统,但是黑客可以利用端口漏洞获取到应用系统服务进程,从而发起渗透攻击,危害整个用户内部网络。另外利用VPN来实现应用系统的远程访问,对用户权限管理过于宽松,且没有分割内网,导致用户的账号一旦泄露或终端设备遭到入侵,将暴露所有网络资源。
发明内容
为了解决背景技术中所存在的问题,本发明提出了一种应用服务安全发布及访问的系统及方法。
一种应用服务安全发布及访问的系统,包括
客户端,包括浏览器和代理服务端,用于在用户侧进行登录及与安全中枢建立链接;
安全中枢,用于对用户进行鉴权,配置用户发布的应用服务,并根据用户请求下发相应的应用服务配置文件到应用安全发布网关;
应用安全发布网关,用于执行安全中枢下发的应用服务配置文件,并对用户开放应用服务。
基于上述,所述安全中枢包括:
SSO单点登录模块,用于提供交互界面;
设备管理模块,用于进行设备校验;
用户管理模块,用于进行用户账户校验,并与应用安全发布网关连接进行用户数据更新同步;
应用管理模块,用于获取和返回用户应用列表数据,并与应用安全发布网关连接进行用户应用列表数据更新同步;
配置中心模块,用于更新SESSION信息。
一种应用服务安全发布及访问的方法,使用权利要求1所述的应用服务安全发布及访问的系统,用户通过客户端对安全中枢发送应用服务访问请求;安全中枢对用户进行鉴权,包括判断访问请求对应的账号信息、设备信息及流量是否可信;鉴权成功后,用户可进行应用服务发布或访问;发布时,用户管理员将应用服务在安全中枢中进行配置,配置内容包括应用服务的名称、域名地址、协议及对应的应用安全发布网关,并指定应用安全发布网关上受保护的应用服务,应用安全发布网关接收安全中枢下发的服务配置后,将待保护的应用服务加入服务侦听列表。
基于上述,对于B/S架构的应用系统的访问,用户完成鉴权后,通过浏览器将访问请求发送至安全中枢,安全中枢将用户具备访问权限的应用服务配置下发给应用安全发布网关,并由应用安全发布网关对该应用服务进行保护;此时,用户通过安全中枢与应用安全发布网关建立双向连接,由应用安全发布网关代理实际的B/S应用与用户进行数据交互。
基于上述,用户通过安全中枢与应用安全发布网关建立的双向连接为双向TLS连接,安全中枢根据用户发送的数据请求消息向应用安全发布网关下发服务请求消息,应用安全发布网关根据服务请求消息返回服务应答消息。
基于上述,对于C/S架构的应用系统的访问,用户完成鉴权后,通过代理服务端将访问请求发送至安全中枢,安全中枢将用户具备访问权限的应用服务配置下发给应用安全发布网关,并由应用安全发布网关对该应用服务进行保护;此时,用户通过安全中枢与应用安全发布网关建立访问通道,由应用安全发布网关代理实际的C/S应用与用户进行数据交互。
基于上述,用户通过安全中枢与应用安全发布网关建立的访问通道为Tunnel通道,代理服务端识别用户访问请求的数据包,对数据包进行解析并加上特定的包头后,再将请求消息发送至应用安全发布网关,应用安全发布网关对请求数据包进行解析并将请求转向真实目标地址服务器。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体的说,在本发明中通过应用安全发布网关对应用系统进行统一代理,隐藏业务系统真实IP、端口及域名等信息,用户访问业务系统所用到的域名、IP等信息实则为应用安全发布网关提供服务;同时,通过对用户进行“预验证、预授权”的方式单次访问为用户分配最小访问权限,即单次的访问请求仅能打开单一应用系统,对用户访问进行细颗粒度控制,从而不暴露整个网络。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术中的映射结构示意图。
图2是本发明客户端与安全中枢的交互示意流程图。
图3是本发明安全中枢与应用安全发布网关的交互示意流程图。
图4是本发明应用服务发布的流程示意图。
图5是本发明应用服务发布的保护逻辑流程示意图。
图6是本发明用户访问B/S架构应用和C/S架构应用的交互逻辑示意图。
图7是本发明用户访问B/S架构应用的流程示意图。
图8是本发明用户访问C/S架构应用的流程示意图。
图9是本发明的整体流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种应用服务安全发布及访问的系统,包括:客户端(Enclient),包括浏览器(Enbrowser)和代理服务端(Enagent),用于在用户侧进行登录及与安全中枢建立链接;安全中枢(EnBrain),用于对用户进行鉴权,配置用户发布的应用服务,并根据用户请求下发相应的应用服务配置文件到应用安全发布网关;应用安全发布网关(Engateway),用于执行安全中枢(EnBrain)下发的应用服务配置文件,并对用户开放应用服务。具体的,所述安全中枢(EnBrain)包括:SSO单点登录模块,用于提供交互界面;设备管理模块,用于进行设备校验;用户管理模块,用于进行用户账户校验,并与应用安全发布网关(Engateway)连接进行用户数据更新同步;应用管理模块,用于获取和返回用户应用列表数据,并与应用安全发布网关(Engateway)连接进行用户应用列表数据更新同步;配置中心模块,用于更新SESSION信息。
在用户侧使用企业级浏览器(Enbrowser)或代理服务端(Enagent)来实现对B/S架构应用及C/S架构应用的访问,通过安全中枢(EnBrain)来对用户身份及终端设备ID进行验证,确保账号合法及访问设备可信,同时根据用户请求下发相应的应用系统配置文件到应用安全发布网关(Engateway)。应用安全发布网关(Engateway)执行安全中枢(EnBrain)下发的配置文件对用户开放应用系统,从而形成单一应用系统的访问通道。此时用户通过代理服务端(Enagent)访问应用系统,用户的访问请求通过安全中枢(EnBrain)进行解析和处理,由安全中枢(EnBrain)对用户进行权限控制及应用网关调度,从而达到保护用户应用系统的目的。
在系统部署完成后进行应用发布,用户将所有应用系统在安全中枢(EnBrain)中进行配置,配置内容包括应用系统的名称、域名地址、协议以及对应应用安全发布网关(Engateway)信息。在配置完成后,用户即可通过客户端进行应用系统的访问,需要强调的是用户并不是直接与业务系统建立TCP或HTTP连接而是先访问本发明的安全中枢(EnBrain),由安全中枢(EnBrain)对于用户的请求判断其账号是否可信、设备是否可信以及流量是否可信,同时将所有非授权的流量阻隔在应用安全发布网关(Engateway)之前,在有效的阻挡了非授权的请求和攻击流量,规避应用系统自身漏洞带来的风险。
下面就从用户/设备认证、应用发布、B/S应用访问以及C/S应用访问四个方面来进行详细说明。
交互流程如图2和图3所示,用户通过①-④步骤完成身份及设备的鉴权认证,用户通过HTTPS请求访问安全中枢(EnBrain),通过步骤③完成访问设备的认证,识别访问设备是否可信或已注册设备,设备可信后则通过步骤④进行用户认证,此时系统对用户名、密码与用户管理组件中的统一认证中心进行认证,如果认证成功,记录登录SESSION(会话控制信息)到配置中心,返回用户登录成功信息;实际中本发明支持二次登录校验,包括短信验证、邮箱验证、社交账号二维码验证等方式。再通过安全中枢(EnBrain)获取用户应用列表,向用户返回鉴权信息及应用列表,从而完成整个用户及访问设备的认证鉴权的过程。
如图4所示,用户身份及访问设备认证过程完毕后,则是应用服务发布的过程。用户管理员使用浏览器(Enbrowser)通过步骤
Figure BDA0002423401590000061
进入控制器的WebUI,通过步骤
Figure BDA0002423401590000062
配置指定应用安全发布网关(Engateway)上受保护的应用服务(比如HTTP,HTTPs,SSH等),并通过步骤
Figure BDA0002423401590000063
将配置下发给置顶应用安全发布网关(Engateway)。步骤
Figure BDA0002423401590000064
应用安全发布网关(Engateway)接收服务配置,将待保护的服务加入服务侦听列表。所有在服务侦听列表中的服务,不接受任何用户发起的服务请求,待保护服务已经存在服务侦听列表中,等待安全中枢(EnBrain)通知后,可以接受来自浏览器(Enbrowser)的连接。
此处对应用保护的逻辑进行补充说明,如图5所示。由安全中枢(EnBrain)判断用户及设备是否可信,对于认证通过的用户,安全中枢(EnBrain)下发被保护的应用系统配置文件给应用安全发布网关(Engateway),应用安全发布网关(Engateway)对认证过后的流量进行识别和转发,完成用户的访问,对于没有授权的访问请求则拒绝转发,从而实现应用安全发布的功能。
应用服务发布过程完毕后,则是用户访问应用服务的通信过程,这里对于B/S架构的系统和C/S架构的系统有所不同,下面分开描述。
针对B/S架构的应用系统,用户通过浏览器(Enbrowser)进行①-⑦步骤完成鉴权,并获得可访问的应用列表信息,此时步骤
Figure BDA0002423401590000071
通过安全中枢(EnBrain)将用户身份及所访问的单个B/S应用的配置下发给应用安全发布网关(Engateway),步骤⑨用户通过浏览器(Enbrowser)与应用安全发布网关(Engateway)建立双向TLS连接,最后通过步骤
Figure BDA0002423401590000072
完成对B/S应用的访问。交互逻辑如图6所示。
此处为了便于理解,补充用户访问B/S应用的流程图加以说明,如图7所示。通过步骤A1-A4完成用户身份及访问设备的认证,通过A6、A7步骤由安全中枢(EnBrain)将用户具备访问权限的应用配置下发给应用安全发布网关(Engateway),并由应用安全发布网关(Engateway)进行保护,同时通过步骤A2将用户权限对应的应用系统列表反馈给用户。此时通过步骤A8建立浏览器(Enbrowser)与应用安全发布网关(Engateway)的通道,通过步骤A9由应用安全发布网关(Engateway)代理实际的B/S应用与用户完成数据交互。
针对C/S架构的应用系统,鉴权过程与B/S架构的一样,用户通过浏览器(Enbrowser)进行①-⑦步骤完成鉴权并获得可访问的应用列表信息。用户通过步骤①代理服务端(Enagent)向安全中枢(EnBrain)发送访问请求,由安全中枢(EnBrain)进行获取和策略下发,通过步骤⑩建立访问隧道,代理服务端(Enagent)识别C/S应用相应系统进程的数据包,通过对数据包的解析,加上特定的包头(含应用类型、IP、端口等信息),通过
Figure BDA0002423401590000081
步骤完成对C/S应用的访问。交互逻辑如图6所示。
此处为了便于理解,补充用户访问C/S应用的流程图加以说明,如图8所示。用户及访问设备的认证步骤与B/S应用一致,这里不再赘述。区别在于通过步骤A8建立代理服务端(Enagent)与应用安全发布网关(Engateway)的是Tunnel通道,步骤A2由代理服务端(Enagent)负责识别用户请求,并将报文进行组装后发往应用安全发布网关(Engateway),通过步骤A9由应用安全发布网关(Engateway)将C/S应用系统的端口进行DNAT转换,从而完成用户与C/S应用系统的访问。
本发明的整体说明流程图,如图9所示:用户首先通过客户端发送访问请求至安全中枢(EnBrain),由安全中枢(EnBrain)中的用户管理模块和设备管理模块对用户及访问设备进行认证,如果认证成功,即返回相应的鉴权信息至客户端,B/S类型的应用访问则通过浏览器(Enbrowser)将请求发送至安全中枢(EnBrain),由安全中枢(EnBrain)进行解析并下发对应应用系统的参数配置到应用安全发布网关(Engateway),由应用安全发布网关(Engateway)将实际应用数据代理转发。C/S类型的应用访问则通过代理服务端(Enagent)进行通道的建立,同样现将请求发送至安全中枢(EnBrain)进行策略下发,代理服务端(Enagent)服务识别相应进程的数据包,通过对数据包的解析,加上特定的包头(含应用类型、IP、端口等信息),将请求发送至应用安全发布网关(Engateway),由应用安全发布网关(Engateway)对请求数据包进行解析并将请求转向真实目标地址服务器。通过企业级的浏览器(Enbrowser)和代理服务端(Enagent),将组织网络边界前移至用户侧,在用户访问业务系统之前预先进行认证和授权,保护针对业务系统的接触式网络攻击如DDoS、注入攻击等;收敛用户的互联网暴露面,将所有应用系统隐藏在应用安全发布网关(Engateway)之后,所有的访问控制策略通过安全中枢(EnBrain)下发,从而增强应用系统的安全性。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

Claims (7)

1.一种应用服务安全发布及访问的系统,其特征在于:包括
客户端,包括浏览器和代理服务端,用于在用户侧进行登录及与安全中枢建立链接;
安全中枢,用于对用户进行鉴权,配置用户发布的应用服务,并根据用户请求下发相应的应用服务配置文件到应用安全发布网关;其中用户请求为单次的访问请求;
应用安全发布网关,用于执行安全中枢下发的应用服务配置文件,并对用户开放应用服务;其中应用服务包括根据单次的访问请求开放的单一应用系统。
2.根据权利要求1所述的应用服务安全发布及访问的系统,其特征在于,所述安全中枢包括:
SSO单点登录模块,用于提供交互界面;设备管理模块,用于进行设备校验;
用户管理模块,用于进行用户账户校验,并与应用安全发布网关连接进行用户数据更新同步;
应用管理模块,用于获取和返回用户应用列表数据,并与应用安全发布网关连接进行用户应用列表数据更新同步;配置中心模块,用于更新SESSION信息。
3.一种应用服务安全发布及访问的方法,使用权利要求1所述的应用服务安全发布及访问的系统,其特征在于:
用户通过客户端对安全中枢发送应用服务访问请求;安全中枢对用户进行鉴权,包括判断访问请求对应的账号信息、设备信息及流量是否可信;
鉴权成功后,用户可进行应用服务发布或访问;
发布时,用户管理员将应用服务在安全中枢中进行配置,配置内容包括应用服务的名称、域名地址、协议及对应的应用安全发布网关,并指定应用安全发布网关上受保护的应用服务,应用安全发布网关接收安全中枢下发的服务配置后,将待保护的应用服务加入服务侦听列表。
4.根据权利要求3所述的应用服务安全发布及访问的方法,其特征在于:对于B/S架构的应用系统的访问,用户完成鉴权后,通过浏览器将访问请求发送至安全中枢,安全中枢将用户具备访问权限的应用服务配置下发给应用安全发布网关,并由应用安全发布网关对该应用服务进行保护;此时,用户通过安全中枢与应用安全发布网关建立双向连接,由应用安全发布网关代理实际的B/S应用与用户进行数据交互。
5.根据权利要求4所述的应用服务安全发布及访问的方法,其特征在于:用户通过安全中枢与应用安全发布网关建立的双向连接为双向TLS连接,安全中枢根据用户发送的数据请求消息向应用安全发布网关下发服务请求消息,应用安全发布网关根据服务请求消息返回服务应答消息。
6.根据权利要求3所述的应用服务安全发布及访问的方法,其特征在于:对于C/S架构的应用系统的访问,用户完成鉴权后,通过代理服务端将访问请求发送至安全中枢,安全中枢将用户具备访问权限的应用服务配置下发给应用安全发布网关,并由应用安全发布网关对该应用服务进行保护;此时,用户通过安全中枢与应用安全发布网关建立访问通道,由应用安全发布网关代理实际的C/S应用与用户进行数据交互。
7.根据权利要求6所述的应用服务安全发布及访问的方法,其特征在于:用户通过安全中枢与应用安全发布网关建立的访问通道为Tunnel通道,代理服务端识别用户访问请求的数据包,对数据包进行解析并加上特定的包头后,再将请求消息发送至应用安全发布网关,应用安全发布网关对请求数据包进行解析并将请求转向真实目标地址服务器。
CN202010215464.XA 2020-03-24 2020-03-24 一种应用服务安全发布及访问的系统及方法 Active CN111416826B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010215464.XA CN111416826B (zh) 2020-03-24 2020-03-24 一种应用服务安全发布及访问的系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010215464.XA CN111416826B (zh) 2020-03-24 2020-03-24 一种应用服务安全发布及访问的系统及方法

Publications (2)

Publication Number Publication Date
CN111416826A CN111416826A (zh) 2020-07-14
CN111416826B true CN111416826B (zh) 2020-12-29

Family

ID=71493240

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010215464.XA Active CN111416826B (zh) 2020-03-24 2020-03-24 一种应用服务安全发布及访问的系统及方法

Country Status (1)

Country Link
CN (1) CN111416826B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112039849B (zh) * 2020-08-06 2022-03-29 成都安恒信息技术有限公司 一种基于ssh的双网安全同步系统及方法
CN112073400A (zh) * 2020-08-28 2020-12-11 腾讯科技(深圳)有限公司 一种访问控制方法、系统、装置及计算设备
CN112650480A (zh) * 2020-12-21 2021-04-13 上海多维度网络科技股份有限公司 代码发布方法以及相装置
CN114024755A (zh) * 2021-11-09 2022-02-08 北京天融信网络安全技术有限公司 服务访问控制方法、装置、设备及计算机可读存储介质
CN114143056B (zh) * 2021-11-24 2024-04-05 上海派拉软件股份有限公司 一种终端访问方法、装置、电子设备及存储介质
CN116361753B (zh) * 2023-03-17 2024-03-22 深圳市东信时代信息技术有限公司 权限认证方法、装置、设备及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101247391A (zh) * 2007-12-28 2008-08-20 上海电力学院 Opc安全代理系统及其代理方法
CN101404630A (zh) * 2008-11-25 2009-04-08 中国网络通信集团公司 互联网业务接入网关的实现方法和系统
CN102255924A (zh) * 2011-08-29 2011-11-23 浙江中烟工业有限责任公司 基于可信计算的多级安全互联平台及其处理流程
CN108667761A (zh) * 2017-03-27 2018-10-16 上海格尔软件股份有限公司 一种利用安全套接字层会话保护单点登录的方法

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8520850B2 (en) * 2006-10-20 2013-08-27 Time Warner Cable Enterprises Llc Downloadable security and protection methods and apparatus
CN102571817B (zh) * 2012-02-15 2014-12-10 华为技术有限公司 访问应用服务器的方法及装置
CN102904895A (zh) * 2012-10-23 2013-01-30 深圳市汇智集信息科技有限公司 安全认证机制的系统及其安全认证的方法
CN108234383B (zh) * 2016-12-09 2021-01-08 中国电信股份有限公司 信息访问方法及安全访问服务器
CN206878870U (zh) * 2017-06-28 2018-01-12 杭州帕拉迪网络科技有限公司 一种安全的单点登录访问系统
CN107395762A (zh) * 2017-08-30 2017-11-24 四川长虹电器股份有限公司 一种基于Docker容器的应用服务访问系统及方法
CN107862502A (zh) * 2017-11-23 2018-03-30 武汉湖滨电器有限公司 基于b/s与c/s架构的仓库安全管理系统
CN108834146A (zh) * 2018-06-22 2018-11-16 武汉彤科电力科技有限公司 一种终端与认证网关之间的双向身份认证方法
CN109040069B (zh) * 2018-08-06 2020-09-18 江苏易安联网络技术有限公司 一种云应用程序的发布方法、发布系统及访问方法
CN110417820A (zh) * 2019-09-05 2019-11-05 曙光信息产业(北京)有限公司 单点登录系统的处理方法、装置及可读存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101247391A (zh) * 2007-12-28 2008-08-20 上海电力学院 Opc安全代理系统及其代理方法
CN101404630A (zh) * 2008-11-25 2009-04-08 中国网络通信集团公司 互联网业务接入网关的实现方法和系统
CN102255924A (zh) * 2011-08-29 2011-11-23 浙江中烟工业有限责任公司 基于可信计算的多级安全互联平台及其处理流程
CN108667761A (zh) * 2017-03-27 2018-10-16 上海格尔软件股份有限公司 一种利用安全套接字层会话保护单点登录的方法

Also Published As

Publication number Publication date
CN111416826A (zh) 2020-07-14

Similar Documents

Publication Publication Date Title
CN111416826B (zh) 一种应用服务安全发布及访问的系统及方法
US10116663B2 (en) Identity proxy to provide access control and single sign on
US20210176061A1 (en) Providing Single Sign-On (SSO) in disjoint networks with non-overlapping authentication protocols
US9729514B2 (en) Method and system of a secure access gateway
US8364957B2 (en) System and method of providing credentials in a network
US11190493B2 (en) Concealing internal applications that are accessed over a network
CN112019560B (zh) 一种端到端的零信任安全网关系统
CA2689847C (en) Network transaction verification and authentication
US8683607B2 (en) Method of web service and its apparatus
US8181010B1 (en) Distributed authentication user interface system
US10356612B2 (en) Method of authenticating a terminal by a gateway of an internal network protected by an access security entity providing secure access
US20090025080A1 (en) System and method for authenticating a client to a server via an ipsec vpn and facilitating a secure migration to ssl vpn remote access
US20140189839A1 (en) Single sign-on methods and apparatus therefor
CN114615328A (zh) 一种安全访问控制系统和方法
IL194962A (en) Intentional policy of delegating single-signal powers over secure access to communications network resources
CN112468481A (zh) 一种基于CAS的单页和多页web应用身份集成认证方法
CN116032533A (zh) 基于零信任的远程办公访问方法及系统
CN113434836A (zh) 一种身份认证方法、装置、设备及介质
CN112039873A (zh) 一种单点登录访问业务系统的方法
CN111800402B (zh) 一种利用事件证书实现全链路加密代理的方法
Sadqi et al. Web oauth-based sso systems security
JP2017537546A (ja) コンピュータ・ネットワーク・インフラストラクチャーにおいて外部コンピュータ・システムをブロック解除する方法、かかるコンピュータ・ネットワーク・インフラストラクチャーをもつ分散コンピュータ・ネットワークおよびコンピュータ・プログラム・プロダクト
Lazarev et al. Analysis of applicability of open single sign-on protocols in distributed information-computing environment
CN114374529A (zh) 资源访问方法、装置、系统、电子设备、介质及程序
Mittal et al. Enabling trust in single sign-on using DNS based authentication of named entities

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant