CN111510453B - 业务系统访问方法、装置、系统及介质 - Google Patents

业务系统访问方法、装置、系统及介质 Download PDF

Info

Publication number
CN111510453B
CN111510453B CN202010295133.1A CN202010295133A CN111510453B CN 111510453 B CN111510453 B CN 111510453B CN 202010295133 A CN202010295133 A CN 202010295133A CN 111510453 B CN111510453 B CN 111510453B
Authority
CN
China
Prior art keywords
authentication
access
service system
user
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010295133.1A
Other languages
English (en)
Other versions
CN111510453A (zh
Inventor
郭炳梁
卢艺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202010295133.1A priority Critical patent/CN111510453B/zh
Publication of CN111510453A publication Critical patent/CN111510453A/zh
Application granted granted Critical
Publication of CN111510453B publication Critical patent/CN111510453B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Abstract

本发明公开了一种业务系统访问方法,该方法调用安全网关进行访问请求的响应端,不需要在各个分支机构去部署设备,可以适应灵活多变的网络环境;网关可以解开加密流量,实现对于加密流量的识别;本方案通过安全网关保护业务系统,当访问业务系统时,如果流量未认证会被阻断并要求认证,认证后获取身份才能访问业务系统的全面身份化机制,实现了用户身份的安全性保障;另外,本方案通过持续、动态的综合行为以及身份评估信息实现动态的访问控制,进行访问阻断处理,集身份化威胁防护和动态访问控制为一体,可以全方面解决业务系统访问安全问题。本发明还提供了一种业务系统访问装置、系统及可读存储介质,具有上述有益效果。

Description

业务系统访问方法、装置、系统及介质
技术领域
本发明涉及网络安全领域,特别涉及一种业务系统访问方法、装置、系统及可读存储介质。
背景技术
目前,企业将自身的越来越多的内部办公系统放在企业内网中,企业内网中的数据资产价值变得越来越高,一旦内部办公系统被破或者、窃取将引发重大损失。
而随着信息技术的发展,企业内部网络环境也变得复杂,内网不再纯粹,比如办公PC(Personal Computer,个人计算机或个人电脑)可以同时访问互联网和内网,如笔记本能通过办公区WIFI(Wireless FidelityWireless Fidelity,无线局域网)连接到内网、外部网络可以通过SSLVPN(指采用安全套接字层协议来实现远程接入的一种新型新型虚拟专用网络技术技术)接入访问内网业务系统、大量分支机构的办公PC能远程接入到总部数据中心等,在复杂的网络安全形势下,即使是企业内网访问的业务系统面临安全性挑战。
传统方式下主要通过NAC(网络准入控制)、IPS(入侵防御系统)/IDS(入侵检测系统)以及防火墙等来实现安全控制,而其中NAC需要在办公PC的局域网络处额外部署专用的设备,设备环境要求较高,不能适应灵活多变的网络环境;IPS/IDS在业务系统HTTPS(超文本传输协议通道)化的情况下,无法识别HTTPS加密的访问流量,同时,IPS/IDS的威胁分析识别缺少身份上下文,识别效果存在不足;防火墙无法对应访问员工的身份,系统安全管理实现较为复杂,且在ACL(Access Control List,访问控制列表)规则较多的情况下,难以变更和维护。
因此,如何解决内部业务系统HTTPS化后复杂网络情况下的业务系统访问安全问题,同时简化安全管理的实现,是本领域技术人员需要解决的技术问题。
发明内容
本发明的目的是提供一种业务系统访问方法,该方法可以实现精准的非法业务系统行为分析;本发明的另一目的是提供一种业务系统访问装置、系统及可读存储介质。
为解决上述技术问题,本发明提供一种业务系统访问方法,包括:
当目标业务系统接收到用户的访问请求时,安全网关识别当前会话是否经过认证;
若未经认证,将当前会话发送至控制器进行会话信息认证,并获取所述会话信息认证生成的认证信息;
当所述认证信息认证通过后,代理访问所述目标业务系统以响应所述访问请求;
对代理访问的用户行为进行异常行为识别分析,生成威胁分析结果;
将所述威胁分析结果发送至所述控制器,以便所述控制器根据所述威胁分析结果进行访问阻断处理。
可选地,所述将当前会话发送至控制器进行会话信息认证,包括:将当前会话发送至控制器进行用户身份安全性认证以及多源信任等级评估;
则相应地,当所述认证通过后,代理访问所述目标业务系统以响应所述访问请求,包括:
当所述用户身份安全性认证通过后,根据所述多源信任等级评估的结果匹配相应的安全策略,并调用所述安全策略代理访问所述目标业务系统。
可选地,在代理访问所述目标业务系统以响应所述访问请求之前,还包括:
读取所述认证信息并校验所述认证信息的合法性;
若合法性校验通过,且所述认证信息显示认证通过,执行代理访问所述目标业务系统以响应所述访问请求的步骤。
为实现上述目的,本申请还提供了一种业务系统访问装置,应用于安全网关,包括:
认证判断单元,用于当目标业务系统接收到用户的访问请求时,识别当前会话是否经过认证;若未经认证,跳转至认证信息获取单元;
所述认证信息获取单元,用于将当前会话发送至控制器进行会话信息认证,并获取所述会话信息认证生成的认证信息;
系统访问单元,用于当所述认证信息认证通过后,代理访问所述目标业务系统以响应所述访问请求;
行为分析单元,用于对代理访问的用户行为进行异常行为识别分析,生成威胁分析结果;
访问阻断处理单元,用于将所述威胁分析结果发送至所述控制器,以便所述控制器根据所述威胁分析结果进行访问阻断处理。
为实现上述目的,本申请还提供了一种业务系统访问方法,包括:
控制器接收到安全网关对于目标业务系统的用户访问会话认证请求后,获取会话信息进行会话信息认证,生成认证信息;
将所述认证信息反馈至所述安全网关,以便当所述认证信息认证通过后,所述安全网关代理访问所述目标业务系统进行异常行为识别分析,生成威胁分析结果;
获取所述威胁分析结果以及所述认证信息,进行访问阻断处理。
可选地,所述获取会话信息进行会话信息认证,包括:
对访问用户进行身份认证,生成身份认证结果;
当所述身份认证通过后,获取用户身份、终端环境、用户请求行为信息以及所述身份认证结果,作为会话信息。
可选地,所述对访问用户进行身份认证,包括:
基于用户名密码和短信验证码双重认证方式进行用户身份认证。
为实现上述目的,本申请还提供了一种业务系统访问装置,应用于控制器,包括:
信息认证单元,用于控制器接收到安全网关对于目标业务系统的用户访问会话认证请求后,获取会话信息进行会话信息认证,生成认证信息;
认证反馈单元,用于将所述认证信息反馈至所述安全网关,以便当所述认证信息认证通过后,所述安全网关代理访问所述目标业务系统进行异常行为识别分析,生成威胁分析结果;
阻断分析单元,用于获取所述异常行为识别分析生成的威胁分析结果,,进行访问阻断处理。
为实现上述目的,本申请还提供了一种业务系统访问系统,包括:安全网关以及与所述安全网关连接的控制器;
其中,所述安全网关用于执行所述程序时实现所述基于安全网关的业务系统访问方法的步骤;所述控制器用于执行所述程序时实现上述基于控制器的业务系统访问方法的步骤。
为实现上述目的,本申请还提供了一种可读存储介质,所述可读存储介质上存储有程序,所述程序被处理器执行时实现所述基于安全网关的业务系统访问方法的步骤和/或所述基于控制器的业务系统访问方法的步骤。
本发明提出一种业务系统访问方法,该方法调用安全网关进行访问请求的响应端,网关架设于业务系统前,不需要在各个分支机构去部署设备,对于设备环境要求较低,可以适应灵活多变的网络环境;网关中部署有ssl证书,确保了其可以解开HTTPS加密流量,实现对于HTTPS加密流量的识别,解决了内部业务系统HTTPS化后复杂网络情况下的业务系统访问安全问题;本方案通过安全网关保护业务系统,当访问业务系统时,如果流量未认证会被阻断并要求认证,认证后获取身份才能访问业务系统的全面身份化机制,实现了用户身份的安全性保障,从而保障了更有效的威胁识别、分析和防护;另外,本方案通过持续、动态的综合行为以及身份评估信息实现动态的访问控制,进行访问阻断处理,集身份化威胁防护和动态访问控制为一体,可以全方面解决业务系统访问安全问题。
本发明还提供了一种业务系统访问装置、系统及可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种业务系统访问方法的流程图;
图2为本发明实施例提供的一种业务系统访问装置的结构框图;
图3为本发明实施例提供的另一种业务系统访问方法的流程图;
图4为本发明实施例提供的另一种业务系统访问装置的结构框图;
图5为本发明实施例提供的一种交互连接示意图;
图6为本发明实施例提供的一种实现信令图。
具体实施方式
本发明的核心是提供一种业务系统访问方法,该方法可以实现精准的非法业务系统行为分析;本发明的另一核心是提供一种业务系统访问装置、系统及可读存储介质。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
传统方式下主要通过NAC(网络准入控制)、IPS(入侵防御系统)/IDS(入侵检测系统)以及防火墙等来实现安全控制。
其中,NAC即网络准入控制,可以实现只允许合法的、值得信任的终端设备(例如PC、服务器、PDA(Personal Digital Assistant,掌上电脑))接入网络,而不允许其它设备接入。当终端接入网络时,需要通过认证才能获取到网络IP(Internet Protocol网际互连协议)地址,用于避免未经认证的终端接入内网,降低不可信终端接入内网的安全威胁,但需要在办公PC的局域网络处额外部署专用的设备,设备环境要求较高,不能适应灵活多变的网络环境。
IPS/IDS通过分析网络流量,检测入侵,并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害。当终端访问业务系统时,识别、分析、记录并阻断有威胁的访问请求,从而保护业务系统安全。但IPS/IDS在业务系统HTTPS化的情况下,无法识别HTTPS加密的访问流量,威胁防护面临失效。同时,IPS/IDS的威胁分析识别缺少身份上下文,识别效果存在不足。
防火墙基于ACL访问控制规则,过滤并限制网段到网段之间的访问。而防火墙的静态ACL规则,是以五元组(源IP、源端口、目标IP、目标端口、协议号)进行表示的,无法对应访问员工的身份,管理复杂;且在ACL规则较多的情况下,难以变更和维护。
本申请提供一种业务系统访问方法,该方法可以解决静态ACL无法身份化导致的管理变更复杂问题、解决内部业务系统HTTPS化后的威胁防护效果问题,同时解决复杂网络情况下的业务系统访问安全问题。
请参考图1,图1为本实施例提供的一种业务系统访问方法的流程图,本实施例的执行主体为安全网关,该方法主要包括:
步骤s110、当目标业务系统接收到用户的访问请求时,安全网关识别当前会话是否经过认证;
目前传统的网络准入控制是在二层或三层做的,效果上能做到如果不完成准入认证,就无法获取到内网IP。相当于网络准入的控制点,是在设备入网(获取IP),为了控制设备入网,需要在局域网内部署设备。
而本实施例中访问网关产生的准入效果,和网络准入有差异,是属于可以正常获取到内网IP,但是在访问业务系统时,要求准入认证,零信任的准入控制点,是在设备入网之后,放在了访问业务系统时,此时,由于访问网关是架设在业务系统前的,所以只需要在有业务系统的数据中心部署即可,不需要在各个分支机构去部署设备,对于设备环境要求较低,可以适应灵活多变的网络环境。
同时,从技术上来看,HTTPS是加密的,本身是防中间人解密窃取的,在没有获得私钥SSL(安全套接字层)证书的前提下,IPS/IDS等设备都是不可解密的。
本实施例中调用访问代理网关进行加密流量的处理,而访问代理网关在部署上作为7层代理,部署有SSL证书,部署形态确保了其可以解开HTTPS加密流量。
目前,传统的IPS/WAF(Web Application Firewall,应用防护系统)自身是没有用户登录这一过程的,只知道有一个源IP、源端口,访问了目标的一个路径或IP端口,不知道访问者到底是张三,还是李四。即使IPS/WAF做一些身份识别,也是基于访问行为、五元组(源IP源端口,目标IP目标端口,协议号)进行的粗粒度识别出来的一个虚拟的人,缺少身份上下文,识别效果差,难以实现精准的用户身份区分,导致敏感信息容易受到来自非法用户的安全威胁。
而本实施例中主张访问流量身份化,身份化的第一步就是认证登录,目标业务系统(其中,目标业务系统指接受本实施例提供的业务系统访问方法进行业务处理的系统,可以为任意类型的业务系统,在此不做限定)接收到用户的访问请求时,识别当前会话是否经过认证,若当前会话已经经过会话信息的认证,说明业务系统允许当前用户实现业务访问,如果流量未认证会被阻断并要求认证,认证后获取身份才能访问业务系统。
而其中,识别当前会话是否经过认证的具体实现方式不做限定,可以通过检测是否有认证信息来实现,也可以通过设置认证标识来确定。
步骤s120、若未经认证,安全网关将当前会话发送至控制器进行会话信息认证,并获取会话信息认证生成的认证信息;
当用户试图访问零信任保护的业务系统时,第一步就是强制流量必须认证过(用户登录,输入用户名密码或扫脸等认证方式,本实施例对此不做限定),此时,在认证时就能得到用户身份。本实施例中通过零信任访问代理网关保护所有的业务系统,当访问业务系统时,如果流量未认证会被阻断并要求认证,认证后获取身份才能访问业务系统的全面身份化机制,通过对业务系统访问流量进行全面身份化,从而进行更有效的威胁识别、分析和防护。
本实施例中调用控制器进行会话信息的认证工作,而具体地,控制器可以为单独执行回话信息认证工作的设备,也可以为多功能设备,也可以为安全网关,在此对控制器的设备类型不做限定,而其中,本实施例中对于具体的控制器进行会话信息认证中认证的会话信息种类以及认证方式不做限定,可以根据业务系统的安全等级进行相应配置。
另外,本实施例中对经过认证的会话的处理方式不做限定,可以直接跳过该会话验证步骤,直接执行代理访问所述目标业务系统以响应所述访问请求的步骤。
步骤s130、当认证信息认证通过后,安全网关代理访问目标业务系统以响应访问请求;
当认证信息认证通过后,安全网关代理访问业务系统域名的真实业务服务器,通过代理访问从而便于在不影响业务系统本身的前提下实现对于业务系统的访问控制,同时方便行为数据的采集。
另外,由于会话信息认证在控制器执行,将认证信息传输至安全网关的过程中可能存在恶意篡改认证信息的情况,为保障认证信息的安全可靠性,在代理访问目标业务系统以响应访问请求之前,可以进一步读取认证信息并校验认证信息的合法性;若合法性校验通过,且认证信息显示认证通过,执行代理访问目标业务系统以响应访问请求的步骤,若合法性校验未通过,本实施例对此不做限定,可以要求控制器重新反馈认证信息,或者直接输出认证失败。当然,也可以不执行认证信息的校验步骤,在此不作限定。
而当认证信息认证未通过时,指示当前会话可能存在不安全因素,可以直接对该会话进行拦截处理。
步骤s140、安全网关对代理访问的用户行为进行异常行为识别分析,生成威胁分析结果;
在用户通过安全网关进行目标业务系统的操作时,安全网关对代理访问的用户行为进行分析,比如可以识别其中的SQL(结构化查询语言)注入等入侵攻击,分析异常的访问行为(如同时异地访问等),具体的行为识别分析手段可以根据业务系统常见的威胁类型进行相应设置,本实施例中仅以上述两种识别分析方式为例进行介绍,其他识别分析方式均可参照本实施例的介绍,在此不再赘述。
步骤s150、安全网关将威胁分析结果发送至控制器,以便控制器根据威胁分析结果进行访问阻断处理。
得到威胁分析结果后,集身份化威胁防护和动态访问控制为一体,全方面分析用户行为是否会对业务系统造成威胁,具体结合多方面信息进行综合访问阻断分析的过程不做限定,可以包括判断当前用户身份下是否存在超越权限的用户行为,判断是否出现异常的访问行为,以及判断是否出现预先设定的业务系统危险行为等,而控制器具体可以根据威胁分析结果进行访问阻断处理,比如威胁分析结果异常时,即在用户通过安全网关进行目标业务系统的操作过程中出现异常行为时,阻断当前访问,以全面综合分析解决业务系统访问安全问题。
基于上述介绍,本实施例介绍的业务系统访问方法调用安全网关进行访问请求的响应端,网关架设于业务系统前,不需要在各个分支机构去部署设备,对于设备环境要求较低,可以适应灵活多变的网络环境;网关中部署有ssl证书,确保了其可以解开HTTPS加密流量,实现对于HTTPS加密流量的识别,解决了内部业务系统HTTPS化后复杂网络情况下的业务系统访问安全问题;本方案通过安全网关保护业务系统,当访问业务系统时,如果流量未认证会被阻断并要求认证,认证后获取身份才能访问业务系统的全面身份化机制,实现了用户身份的安全性保障,从而保障了更有效的威胁识别、分析和防护;另外,本方案通过持续、动态的综合行为以及身份评估信息实现动态的访问控制,进行访问阻断处理,集身份化威胁防护和动态访问控制为一体,可以全方面解决业务系统访问安全问题。
基于上述实施例,为进一步实现用户身份等级的差异性业务系统访问机制,保证不同用户身份下的业务系统安全访问,可选地,可以基于多源信任等级评估实现业务系统的访问。
在会话信息认证中会确定用户身份,可以根据用户身份信息设置相应的信任等级,则相应地,将当前会话发送至控制器进行会话信息认证,包括:将当前会话发送至控制器进行用户身份安全性认证以及多源信任等级评估;
则相应地,当认证通过后,代理访问目标业务系统以响应访问请求,包括:
当用户身份安全性认证通过后,根据多源信任等级评估的结果匹配相应的安全策略,并调用安全策略代理访问目标业务系统。
其中,具体的身份等级确定中所需获取的信息种类不做限定,可以通过多源信息(包括但不限于身份、行为、环境等)实现信任等级评估,从而实现动态访问控制。
请参考图2,图2为本实施例提供的一种业务系统访问装置的结构框图;该装置应用于安全网关,主要包括:认证判断单元110、认证信息获取单元120、系统访问单元130、行为分析单元140以及访问阻断处理单元150。本实施例提供的业务系统访问装置可与上述业务系统访问方法相互对照。
其中,认证判断单元110主要用于当目标业务系统接收到用户的访问请求时,识别当前会话是否经过认证;若未经认证,跳转至认证信息获取单元120;
认证信息获取单元120主要用于将当前会话发送至控制器进行会话信息认证,并获取会话信息认证生成的认证信息;
系统访问单元130主要用于当认证信息认证通过后,代理访问目标业务系统以响应访问请求;
行为分析单元140主要用于对代理访问的用户行为进行异常行为识别分析,生成威胁分析结果;
访问阻断处理单元150主要用于将威胁分析结果发送至控制器,以便控制器根据威胁分析结果进行访问阻断处理。
本实施例介绍的业务系统访问装置可以实现精准的非法业务系统行为分析。
请参考图3,图3为本实施例提供的一种业务系统访问方法的流程图;该方法的执行主体为控制器,该方法主要包括:
步骤s210、控制器接收到安全网关对于目标业务系统的用户访问会话认证请求后,获取会话信息进行会话信息认证,生成认证信息;
会话信息认证指对用户发起的系统访问会话进行会话合法性认证,认证过程中具体获取的信息种类不做限定。
会话信息认证会生成认证信息,认证信息中包括用户身份结果,当然,也可以进一步包含其他信息种类,在此不作限定。
步骤s220、将认证信息反馈至安全网关,以便当认证信息认证通过后,安全网关代理访问目标业务系统进行异常行为识别分析,生成威胁分析结果;
将认证信息反馈至安全网关后,安全网关代理访问目标业务系统进行异常行为识别分析,具体的异常行为识别分析过程可以参照上述实施例的介绍,在此不再赘述。
步骤s230、获取威胁分析结果,进行访问阻断处理。
获取威胁分析结果,存在威胁访问时进行访问阻断,以实现访问阻断处理。
需要说明的是,本实施例介绍的基于控制器的业务系统访问方法可以与上述实施例中介绍的基于安全网关的业务系统访问方法相互对照,在此不再赘述。
基于上述实施例,会话信息除了可以确认当前会话的认证结果外,还可以用来后续的用户行为分析,为保障用户行为分析的精准性,保证信息的全面性,可选地,获取会话信息进行会话信息认证的过程具体可以包括以下步骤:
(1)对访问用户进行身份认证,生成身份认证结果;
(2)当身份认证通过后,获取用户身份、终端环境、用户请求行为信息以及身份认证结果,作为会话信息。
通过多源信息(包括但不限于身份、行为、环境等)实现用户行为分析,保证了分析信息的全面性,根据威胁分析结果以及终端环境、身份等综合信息,判断是否阻断访问或注销用户会话,可以显著提升分析的精准度。
而本实施例中对于具体的用户身份认证方式不做限定,可选地,一种对访问用户进行身份认证的方式包括:基于用户名密码和短信验证码双重认证方式进行用户身份认证。该种双重验证方式实现较为简单,且可以有效保障用户身份的合法性。
请参考图4,图4为本实施例提供的一种业务系统访问装置的结构框图;该装置应用于控制器,主要包括:信息认证单元210、认证反馈单元220以及阻断分析单元230。本实施例提供的业务系统访问装置可与上述基于控制器的业务系统访问方法相互对照。
其中,信息认证单元210主要用于控制器接收到安全网关对于目标业务系统的用户访问会话认证请求后,获取会话信息进行会话信息认证,生成认证信息;
认证反馈单元220主要用于将认证信息反馈至安全网关,以便当认证信息认证通过后,安全网关代理访问目标业务系统进行异常行为识别分析,生成威胁分析结果;
阻断分析单元230主要用于获取威胁分析结果,进行访问阻断处理。
本实施例介绍的业务系统访问装置可以解决内部业务系统HTTPS化后复杂网络情况下的业务系统访问安全问题,同时简化安全管理的实现。
为加深对于以安全网关为执行主体与以控制器为执行主体的业务系统访问方法的理解,本实施例中以一种整体实现方案为例进行介绍,图5所示为交互连接示意图,图6所示为本实施例提供的实现信令图,主要包括以下步骤:
1、用户在终端上运行的浏览器中输入业务系统的域名,如https://oa.example.com;
2、Oa.example.com的DNS(Domain Name Syste,域名系统)解析指向可信代理网关(Gateway),Gateway检查到该会话未经认证,跳转到控制器进行认证https://controller.example.com;
3、控制器(Controller)根据安全策略,对用户进行相应的多因素认证,如用户名密码+短信验证码。同时,根据终端环境、用户请求行为等综合信息,判断是否通过认证或执行相关安全策略;
4、认证完成后,控制器携带一次性认证票据信息作为参数,跳转回业务系统域名,https://oa.example.com;
5、Gateway读取一次性认证票据信息并后台向Controller校验票据信息的合法性,校验通过后,在oa.example.com的cookie中保存会话信息;
6、Gateway代理访问oa.example.com的真实业务服务器;
7、Gateway中的威胁分析模块,对代理访问的用户行为进行分析,识别其中的SQL(Structured Query Language,结构化查询语言)注入等入侵攻击,分析异常的访问行为(如同时异地访问等),反馈给Controller;
8、Controller根据威胁分析结果以及终端环境、身份等综合信息,判断是否阻断访问或注销用户会话。
本实施例介绍的上述实现方式集身份化的集动态访问控制和威胁防护为一体,通过多源信息的信任等级评估实现动态访问控制,通过对业务系统的访问代理解决HTTPS加密问题实现访问行为分析,通过身份化的访问行为和流量分析进行威胁防护,通过对业务系统访问流量进行身份化分析,基于身份的上下文进行威胁分析,从而提高威胁分析的有效性,记录并及时阻断风险访问,可以全方面解决业务系统访问安全问题。
本实施例提供一种业务系统访问系统,包括:安全网关以及与安全网关连接的控制器;
安全网关用于执行程序时实现如上述基于安全网关的业务系统访问方法的步骤,具体可参照上述实施例中对业务系统访问方法的介绍,在此不再赘述。
控制器用于执行程序时实现如上述基于控制器的业务系统访问方法的步骤,具体可参照上述实施例中对业务系统访问方法的介绍,在此不再赘述。
本实施例提供的业务系统访问系统中,用户在任何终端上,对业务系统的访问请求都由安全网关进行认证,完成访问的身份化,并对访问流量进行加密和授权,授权通过后方可代理访问对应业务系统;同时,安全网关和控制器通过对代理的访问请求进行威胁分析和入侵识别,实现业务系统的入侵检测和威胁防护。
上面图1所描述的业务系统访问方法中的步骤可以由本实施例中业务系统访问系统的结构实现,具体的系统运行流转过程可以参照实施例七的介绍,在此不再赘述。
本实施例公开一种可读存储介质,其上存储有程序,程序被处理器执行时实现如业务系统访问方法的步骤,具体可参照上述实施例中对业务系统访问方法的介绍。
该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(RandomAccessMemory,RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的业务系统访问方法、装置、系统及可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (8)

1.一种业务系统访问方法,其特征在于,包括:
当目标业务系统接收到用户的访问请求时,安全网关识别当前会话是否经过认证;
若未经认证,将当前会话发送至控制器进行会话信息认证,并获取所述会话信息认证生成的认证信息;
当所述认证信息认证通过后,代理访问所述目标业务系统以响应所述访问请求;
对代理访问的用户行为进行异常行为识别分析,生成威胁分析结果;
将所述威胁分析结果发送至所述控制器,以便所述控制器根据所述威胁分析结果进行访问阻断处理;其中:
所述对代理访问的用户行为进行异常行为识别分析,生成威胁分析结果,包括:
判断当前用户身份下是否存在超越权限的用户行为,或判断是否出现异常的访问行为,或判断是否出现预先设定的业务系统危险行为,并根据判断结果生成威胁分析结果;
所述将当前会话发送至控制器进行会话信息认证,包括:将当前会话发送至控制器进行用户身份安全性认证以及多源信任等级评估;
则相应地,当所述认证通过后,代理访问所述目标业务系统以响应所述访问请求,包括:
当所述用户身份安全性认证通过后,根据所述多源信任等级评估的结果匹配相应的安全策略,并调用所述安全策略代理访问所述目标业务系统;
所述多源信任等级评估为基于用户身份、终端环境、用户请求行为信息实现的。
2.如权利要求1所述的业务系统访问方法,其特征在于,在代理访问所述目标业务系统以响应所述访问请求之前,还包括:
读取所述认证信息并校验所述认证信息的合法性;
若合法性校验通过,且所述认证信息显示认证通过,执行代理访问所述目标业务系统以响应所述访问请求的步骤。
3.一种业务系统访问装置,其特征在于,应用于安全网关,包括:
认证判断单元,用于当目标业务系统接收到用户的访问请求时,识别当前会话是否经过认证;若未经认证,跳转至认证信息获取单元;
所述认证信息获取单元,用于将当前会话发送至控制器进行会话信息认证,并获取所述会话信息认证生成的认证信息;
系统访问单元,用于当所述认证信息认证通过后,代理访问所述目标业务系统以响应所述访问请求;
行为分析单元,用于对代理访问的用户行为进行异常行为识别分析,生成威胁分析结果;
访问阻断处理单元,用于将所述威胁分析结果发送至所述控制器,以便所述控制器根据所述威胁分析结果进行访问阻断处理;其中:
行为分析单元,用于:
判断当前用户身份下是否存在超越权限的用户行为,或判断是否出现异常的访问行为,或判断是否出现预先设定的业务系统危险行为,并根据判断结果生成威胁分析结果;
所述认证信息获取单元,用于将当前会话发送至控制器进行用户身份安全性认证以及多源信任等级评估;
则相应地,系统访问单元,用于:
当所述用户身份安全性认证通过后,根据所述多源信任等级评估的结果匹配相应的安全策略,并调用所述安全策略代理访问所述目标业务系统;
所述多源信任等级评估为基于用户身份、终端环境、用户请求行为信息实现的。
4.一种业务系统访问方法,其特征在于,包括:
控制器接收到安全网关对于目标业务系统的用户访问会话认证请求后,获取会话信息进行会话信息认证,生成认证信息;
将所述认证信息反馈至所述安全网关,以便当所述认证信息认证通过后,所述安全网关代理访问所述目标业务系统进行异常行为识别分析,生成威胁分析结果;
获取所述威胁分析结果,进行访问阻断处理;其中:
所述安全网关代理访问所述目标业务系统进行异常行为识别分析,生成威胁分析结果,包括:
判断当前用户身份下是否存在超越权限的用户行为,或判断是否出现异常的访问行为,或判断是否出现预先设定的业务系统危险行为,并根据判断结果生成威胁分析结果;
所述获取会话信息进行会话信息认证,包括:
对访问用户进行身份认证,生成身份认证结果;
当所述身份认证通过后,获取用户身份、终端环境、用户请求行为信息以及所述身份认证结果,作为会话信息。
5.如权利要求4所述的业务系统访问方法,其特征在于,所述对访问用户进行身份认证,包括:
基于用户名密码和短信验证码双重认证方式进行用户身份认证。
6.一种业务系统访问装置,其特征在于,应用于控制器,包括:
信息认证单元,用于控制器接收到安全网关对于目标业务系统的用户访问会话认证请求后,获取会话信息进行会话信息认证,生成认证信息;
认证反馈单元,用于将所述认证信息反馈至所述安全网关,以便当所述认证信息认证通过后,所述安全网关代理访问所述目标业务系统进行异常行为识别分析,生成威胁分析结果;
阻断分析单元,用于获取所述异常行为识别分析生成的威胁分析结果,进行访问阻断处理;其中:
所述安全网关代理访问所述目标业务系统进行异常行为识别分析,生成威胁分析结果,包括:
判断当前用户身份下是否存在超越权限的用户行为,或判断是否出现异常的访问行为,或判断是否出现预先设定的业务系统危险行为,并根据判断结果生成威胁分析结果;
所述获取会话信息进行会话信息认证,包括:
对访问用户进行身份认证,生成身份认证结果;
当所述身份认证通过后,获取用户身份、终端环境、用户请求行为信息以及所述身份认证结果,作为会话信息。
7.一种业务系统访问系统,其特征在于,包括:安全网关以及与所述安全网关连接的控制器;
其中,所述安全网关用于执行程序时实现如权利要求1至2任一项所述业务系统访问方法的步骤;所述控制器用于执行程序时实现如权利要求4至5任一项所述业务系统访问方法的步骤。
8.一种可读存储介质,其特征在于,所述可读存储介质上存储有程序,所述程序被处理器执行时实现如权利要求1至2任一项所述业务系统访问方法的步骤和/或如权利要求4至5任一项所述业务系统访问方法的步骤。
CN202010295133.1A 2020-04-15 2020-04-15 业务系统访问方法、装置、系统及介质 Active CN111510453B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010295133.1A CN111510453B (zh) 2020-04-15 2020-04-15 业务系统访问方法、装置、系统及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010295133.1A CN111510453B (zh) 2020-04-15 2020-04-15 业务系统访问方法、装置、系统及介质

Publications (2)

Publication Number Publication Date
CN111510453A CN111510453A (zh) 2020-08-07
CN111510453B true CN111510453B (zh) 2023-02-03

Family

ID=71877574

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010295133.1A Active CN111510453B (zh) 2020-04-15 2020-04-15 业务系统访问方法、装置、系统及介质

Country Status (1)

Country Link
CN (1) CN111510453B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112165488A (zh) * 2020-09-28 2021-01-01 杭州安恒信息安全技术有限公司 一种风险评估方法、装置、设备及可读存储介质
CN112257042A (zh) * 2020-10-22 2021-01-22 国网辽宁省电力有限公司信息通信分公司 基于可信身份认证的电网核心业务系统接入方法及系统
CN112653689B (zh) * 2020-12-16 2023-03-24 北京观数科技有限公司 一种终端零信任安全控制方法及系统
CN114745145B (zh) * 2021-01-07 2023-04-18 腾讯科技(深圳)有限公司 业务数据访问方法、装置和设备及计算机存储介质
CN113206852B (zh) * 2021-05-06 2023-03-24 深信服科技股份有限公司 一种安全防护方法、装置、设备及存储介质
CN114500005A (zh) * 2022-01-05 2022-05-13 上海安几科技有限公司 ModbusTcp指令的保护方法、装置、终端及存储介质
CN115514583B (zh) * 2022-11-21 2023-03-24 北京长亭未来科技有限公司 一种流量采集及阻断方法、系统、设备及存储介质
CN115720171A (zh) * 2022-11-30 2023-02-28 国网山东省电力公司信息通信公司 一种安全智能网关系统、数据传输方法
CN117201092A (zh) * 2023-08-29 2023-12-08 江南信安(北京)科技有限公司 一种内网dns安全防护方法、装置、存储介质及电子设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104618403A (zh) * 2015-03-10 2015-05-13 网神信息技术(北京)股份有限公司 安全网关的访问控制方法和装置
CN107493280A (zh) * 2017-08-15 2017-12-19 中国联合网络通信集团有限公司 用户认证的方法、智能网关及认证服务器
CN108667761A (zh) * 2017-03-27 2018-10-16 上海格尔软件股份有限公司 一种利用安全套接字层会话保护单点登录的方法
CN108712425A (zh) * 2018-05-21 2018-10-26 南京南瑞集团公司 一种面向工业控制系统网络安全威胁事件的分析监管方法
CN110138568A (zh) * 2019-07-02 2019-08-16 云深互联(北京)科技有限公司 内网访问方法和系统
CN110855709A (zh) * 2019-11-26 2020-02-28 中国建设银行股份有限公司 安全接入网关的准入控制方法、装置、设备和介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104618403A (zh) * 2015-03-10 2015-05-13 网神信息技术(北京)股份有限公司 安全网关的访问控制方法和装置
CN108667761A (zh) * 2017-03-27 2018-10-16 上海格尔软件股份有限公司 一种利用安全套接字层会话保护单点登录的方法
CN107493280A (zh) * 2017-08-15 2017-12-19 中国联合网络通信集团有限公司 用户认证的方法、智能网关及认证服务器
CN108712425A (zh) * 2018-05-21 2018-10-26 南京南瑞集团公司 一种面向工业控制系统网络安全威胁事件的分析监管方法
CN110138568A (zh) * 2019-07-02 2019-08-16 云深互联(北京)科技有限公司 内网访问方法和系统
CN110855709A (zh) * 2019-11-26 2020-02-28 中国建设银行股份有限公司 安全接入网关的准入控制方法、装置、设备和介质

Also Published As

Publication number Publication date
CN111510453A (zh) 2020-08-07

Similar Documents

Publication Publication Date Title
CN111510453B (zh) 业务系统访问方法、装置、系统及介质
CN109787988B (zh) 一种身份加强认证和鉴权方法及装置
US9866567B2 (en) Systems and methods for detecting and reacting to malicious activity in computer networks
US11223480B2 (en) Detecting compromised cloud-identity access information
US8959650B1 (en) Validating association of client devices with sessions
CN112019560B (zh) 一种端到端的零信任安全网关系统
US8943599B2 (en) Certifying server side web applications against security vulnerabilities
KR100835820B1 (ko) 통합 인터넷 보안 시스템 및 방법
US20100306816A1 (en) Authentication via monitoring
CN114598540A (zh) 访问控制系统、方法、装置及存储介质
CN103117998A (zh) 一种基于JavaEE应用系统的安全加固方法
CN114629719A (zh) 资源访问控制方法和资源访问控制系统
Rani et al. Cyber security techniques, architectures, and design
CN116708210A (zh) 一种运维处理方法和终端设备
US11979395B2 (en) Application security through deceptive authentication
CN116319024A (zh) 零信任系统的访问控制方法、装置及零信任系统
CN117155716B (zh) 访问校验方法和装置、存储介质及电子设备
Moniruzzaman et al. Measuring vulnerabilities of bangladeshi websites
Khandelwal et al. Frontline techniques to prevent web application vulnerability
JP6842951B2 (ja) 不正アクセス検出装置、プログラム及び方法
CN111064731B (zh) 一种浏览器请求的访问权限的识别方法、识别装置及终端
CN113468591A (zh) 数据访问方法、系统、电子设备及计算机可读存储介质
Alanazi et al. The history of web application security risks
Choi IoT (Internet of Things) based Solution Trend Identification and Analysis Research
CN117544322B (zh) 浏览器的辨识方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant