CN111885031B - 一种基于会话过程的细粒度访问控制方法及系统 - Google Patents
一种基于会话过程的细粒度访问控制方法及系统 Download PDFInfo
- Publication number
- CN111885031B CN111885031B CN202010670724.2A CN202010670724A CN111885031B CN 111885031 B CN111885031 B CN 111885031B CN 202010670724 A CN202010670724 A CN 202010670724A CN 111885031 B CN111885031 B CN 111885031B
- Authority
- CN
- China
- Prior art keywords
- request message
- module
- protected area
- security
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/565—Conversion or adaptation of application format or content
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明给出了一种基于会话过程的细粒度访问控制方法和系统,系统包括代理模块、通信模块、安全模块和接入模块,通过代理模块对请求报文进行安全鉴别,并根据请求报文的主客体信息在请求报文中增加会话信息;通过通信模块识别请求报文中的会话信息,并根据目标方的位置进行传输;通过防护模块识别请求报文的传输路径和安全级别,判断所述请求报文是否需要跨受保护区域进行传输;接入模块对请求报文进行会话信息处理、访问请求的认证和权限分配等操作,将满足授权的请求报文传输至对应的I/O接口。本发明有效简化了安全策略的逻辑,仅采用一种访问控制逻辑实现对整个系统的部署。
Description
技术领域
本发明涉及网络安全领域中的访问控制技术领域,尤其是一种基于会话过程的细粒度访问控制方法及系统。
背景技术
访问控制技术是网络安全的核心技术之一,访问控制技术实现所保护网络内的数据、指令都可以按照既定的设计通过规定的方式进入网络,经过网络中规定的正确途径,而不会形成指令流、数据流失控情况,不会流向本不应该到达的网络或者计算节点。传统的访问控制技术使用访问控制网关实现,比如传统的防火墙,安全隔离与信息交换系统等,此类产品部署在具体的网络节点,实现了通过该网络节点的数据和指令的管控,从而实现对后端资源的防护,但是这些产品都是节点覆盖类的,没有办法实现全网的统一安全策略。所以在目前的安全方案中,会通过一定的可实现的覆盖全网的安全策略作为补充,其中比较知名的有强制访问安全策略、可信安全策略和零信任安全策略。
强制访问控制系统基于标记进行访问控制,在信息网络的哪一层具有标记,那么就可以对哪一层信息进行访问控制,标记信息通过部署在网络中的统一管理系统实现统一管理,标记覆盖的程度决定了强制访问控制技术的覆盖程度,标记信息需要独立在网络资产信息之外,但是又需要和每个资产产生关联,用于标识每个资产的可被读写的权限,这样就导致了整个系统实施起来非常复杂。在实际的工作中,很多工程简化了这一过程,仅在一部分信息层面体现标记信息和强访策略,但是带来的问题就是要么降低了整个系统的安全强度,要么需要通过复杂的映射关系将其他层面的安全特性映射到这个层面来,比如通用的做法在网络层的IP报文上进行标记信息表示,这样需要将会话层、应用层的权限关系也映射到IP层来,那么这个标记设计就很复杂;如果不映射,那么这个强制访问就只能覆盖网络层,对于其他层实施不了相应的访问控制策略,也就失去了它的意义。
可信计算技术基于一个强制白名单的思路,核心在于计算系统中建设强制的信任链,信任链始于一个可信根,可信根工作范围决定了整个可信计算的安全特性,比如可信基于操作系统,那么这个可信是实现操作系统之上的信任链,在操作系统之前引导的程序都无法就进行管理和控制。为此,可信计算需要在CPU、主板级别就开始进行进程的鉴别,具有一定的局限性,很难适合多种应用场景的需求。
零信任安全技术是一个比较新的全局访问控制策略,零信任的核心思想在于任何一次访问都需要被安全控制,这种控制包含很多层含义,由于网络中存在大量的数据通路,所以零信任技术采用分段的概念,将网络尽可能划分成可以承受损失的足够小的片段,每个片段之间采用较强的安全管控设备,该设备可以实现所有通信协议的过滤,而段内则采用较弱的逻辑控制。零信任力求不改变现有网络的结构,所以需要很多额外技术实现其全局安全的目标。比如随时的认证,所有访问的日志,所有客体和所有主体的基础和动态的权限分配。在落地实施过程中,非常复杂,而且主客体环境的动态变化,将这个复杂的模型更以指数级上升。
发明内容
本发明提出了一种基于会话过程的细粒度访问控制方法及系统,以解决上文提到的现有技术的缺陷。
在一个方面,本发明提出了一种基于会话过程的细粒度访问控制方法,该方法包括以下步骤:
S1:通过部署在发起方所在或周边的服务器内的代理模块对发送自发起方的请求报文进行安全鉴别,根据所述发起方请求访问的目标方信息,在请求报文中增加会话属性信息,所述会话信息标识该请求报文应该到达的目标方应用,并将更新后的所述请求报文传输至当前受保护区域的通信模块;
S2:通过部署在代理模块所在的受保护区域内的通信模块识别接收到的请求报文中的所述会话信息,根据请求报文目标方的位置进行传输和缓存;
S3:通过部署在不同受保护区域之间的防护模块,根据请求报文中的所述会话信息,识别请求报文的传输路径和安全级别,判断所述请求报文是否需要跨受保护区域进行传输,若是,则将请求报文传输到目标方所在的受保护区域的通信模块,若否,则通过当前受保护区域的通信模块与目标方进行数据交换;
S4:通过部署在目标方所在服务器的操作系统内的接入模块对接收到的请求报文进行会话信息处理、访问请求的认证和权限分配,以及I/O的控制和监控,将满足授权的请求报文传输至对应的I/O接口。
在具体的实施例中,根据安全级别的不同将网络划分为多个独立的受保护区域,在不同受保护区域之间部署防护模块,所述防护模块包括两个独立的子模块,并分别连接两个不同的受保护区域,对不同的受保护区域之间的数据交换进行防护。将网络划分成多个足够小的不同受保护区域,便于确保每个受保护区域内发生的安全事件都处于可控的影响范围内,不至于引起整个系统的安全风险。
在具体的实施例中,请求报文在同等级受保护区域内传输时,所述代理模块和所述通信模块将对请求报文进行安全过滤,对每一个请求报文数据进行安全鉴别。区别于传统的安全方式对同等级安全域的请求不做过滤的情况,提升系统的安全性。
在具体的实施例中,所述会话信息由所述代理模块基于应用之间的指令和数据交互内容进行确定,所述会话信息包括:安全级别、发起方信息、目标方信息、对象信息和认证信息。将请求报文转换为固定格式,使得所有的应用之间的通信可以被相同的策略进行处理,有效简化了安全策略的逻辑。
在具体的实施例中,在所述步骤S3中,若所述请求报文需要跨受保护区域进行传输,所述请求报文传输的具体步骤包括:
S301:当前受保护区域的防护模块对所述请求报文的应用层还原并做安全检查;
S302:通过检查所述会话信息,判断所述请求报文是否可以通过防护模块进入目标方所在的受保护区域,若是,则执行步骤S303;
S303:将请求报文传输至目标方所在的受保护区域的防护模块;
S304:目标方所在的受保护区域的防护模块将请求报文进行重新组包,发送到当前受保护区域的通信模块。
根据本发明的第二方面,提出了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被计算机处理器执行时上述方法。
根据本发明的第三方面,提出一种基于会话过程的细粒度访问控制系统,该系统包括:
代理模块:配置用于对发送自发起方的请求报文进行安全鉴别,根据所述发起方请求访问的目标方信息,在请求报文中增加会话信息,所述会话信息标识该请求报文应该到达的目标方应用,并将更新后的所述请求报文传输至当前受保护区域的通信模块;
通信模块:配置用于识别接收到的请求报文中的所述会话信息,根据请求报文目标方的位置进行传输和缓存;
防护模块:配置用于根据请求报文中的所述会话信息,识别请求报文的传输路径和安全级别,判断所述请求报文是否需要跨受保护区域进行传输,若是,则将请求报文传输到目标方所在的受保护区域的通信模块,若否,则通过当前受保护区域的通信模块与目标方进行数据交换;
接入模块:配置用于对接收到的请求报文进行会话信息处理、访问请求的认证和权限分配,以及I/O的控制和监控,将满足授权的请求报文传输至对应的I/O接口。
在具体的实施例中,代理模块包括:对应用的交互部分和对通信模块的调用部分。
在具体的实施例中,接入模块本身可以承担所述代理模块的作用,为应用提供安全服务。
在具体的实施例中,通信模块是一个消息服务程序,为各个应用需要交互的数据提供基础安全接口。
在具体的实施例中,当安装应用的服务器内部没有部署接入模块时,应用通过调用最近的代理,作为代理模块,为应用提供安全服务。
在具体的实施例中,防护模块可以接收的请求报文包括:应用直接发来的代理请求报文和通信模块发来的请求报文。
本发明利用统一的主客体描述标识实现对全网的统一安全策略实施和控制,提出一种新的安全访问模型,这个控制模型重点关注应用之间的指令和数据交互,将应用的访问转换为固定格式,使得所有的应用之间的通信可以用相同策略进行处理,有效简化了安全策略的逻辑。根据这个访问模型,提出了一种安全总线的解决方案,该方案由代理模块、通信模块、防护模块和接入模块四个模块构成,这四个模块组成了应用间通信的访问控制模块。利用分布式部署的方式,在主机操作系统上部署专用代理和接入模块,用来判断总线的传输过程是否正确和有效,利用防护模块实现多个数据之间的安全交互,解决了数据流交互控制的核心问题,确保系统总体安全策略在各层面和各部分的映射关系实现语义一体化,安全路由、安全隔离策略能够正确实施,满足整体的访问控制安全需求。解决了在网络安全部署中实现全局安全策略的问题,使得整个网络的安全可以更有序的进行。
附图说明
包括附图以提供对实施例的进一步理解并且附图被并入本说明书中并且构成本说明书的一部分。附图图示了实施例并且与描述一起用于解释本发明的原理。将容易认识到其它实施例和实施例的很多预期优点,因为通过引用以下详细描述,它们变得被更好地理解。通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本发明的一个实施例的基于会话过程的细粒度访问控制方法的流程图;
图2是本发明的一个具体的实施例的增加会话信息后的请求报文结构图;
图3是本发明的一个具体的实施例的防护模块接收到需要跨受保护区域进行传输的请求报文时,所进行的传输流程图;
图4是本发明的一个实施例的基于会话过程的细粒度访问控制系统的框架图;
图5是本发明的一个具体实施例的代理模块结构图;
图6是本发明的一个具体实施例的通信模块结构图;
图7是本发明的一个具体实施例的接入模块结构图;
图8是本发明的一个具体实施例的基于会话过程的细粒度访问控制系统的通信过程架构图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
根据本发明的一个实施例的基于会话过程的细粒度访问控制方法,图1示出了根据本发明的实施例的基于会话过程的细粒度访问控制方法的流程图。如图1所示,该方法包括以下步骤:
S101:通过部署在发起方所在或周边的服务器内的代理模块对发送自发起方的请求报文进行安全鉴别,根据所述发起方请求访问的目标方信息,在请求报文中增加会话信息,所述会话信息标识该请求报文应该到达的目标方应用,并将更新后的所述请求报文传输至当前受保护区域的通信模块。通过代理模块将应用发起的请求报文转换为固定格式,使得所有的应用之间的通信可以用相同的策略进行处理,有效简化了安全策略的逻辑。
在具体的实施例中,代理模块本身具有安全鉴别功能,其中包括对请求报文进行认证和对请求报文发起方与接收方的应用进行识别。
在具体的实施例中,所述会话信息由所述代理模块基于应用之间的指令和数据交互内容进行确定,图2示出了本发明的一个具体的实施例的增加会话信息后的请求报文结构图,会话信息201包括:安全级别202、发起方信息203、目标方信息204、对象信息205和认证信息206。安全级别202包括该数据报文所能被执行的操作级别;发起方信息203包括发起方应用所在的位置、应用的类型;目标方信息204包括目标方应用的位置、目标方应用的类型以及所需要对目标应用采取的动作;对象信息205包括需要读取的具体对象、需要写入的具体对象;认证信息206包括秘钥、认证证书等。
S102:通过部署在代理模块所在的受保护区域内的通信模块识别接收到的请求报文中的所述会话信息,根据请求报文目标方的位置进行传输和缓存。
在具体的实施例中,请求报文在同等级受保护区域内传输时,所述代理模块和所述通信模块将对请求报文进行安全过滤。区别于传统的安全方式对同等级安全域的请求不做过滤的情况,提升系统的安全性。
在具体的实施例中,通信模块具有独立缓存区域,根据数据报文中的缓存信息提供缓存服务,使应用可以从缓存区域快速获得所需的数据,提高响应速率。
S103:通过部署在不同受保护区域之间的防护模块,根据请求报文中的所述会话信息,识别请求报文的传输路径和安全级别,判断所述请求报文是否需要跨受保护区域进行传输,若是,则将请求报文传输到目标方所在的受保护区域的通信模块,若否,则通过当前受保护区域的通信模块与目标方进行数据交换。
在具体的实施例中,根据安全级别的不同将网络划分为多个独立的受保护区域,在不同受保护区域之间部署防护模块,所述防护模块包括两个独立的子模块,并分别连接两个不同的受保护区域,对不同的受保护区域之间的数据交换进行防护。将网络划分成多个足够小的不同受保护区域,便于确保每个受保护区域内发生的安全事件都处于可控的影响范围内,不至于引起整个系统的安全风险。
图3示出了本发明的一个具体的实施例的防护模块接收到需要跨受保护区域进行传输的请求报文时,所进行的传输流程图。该流程的具体步骤包括:
S301:当前受保护区域的防护模块对所述请求报文的应用层还原并做安全检查;
S302:通过检查所述会话信息,判断所述请求报文是否可以通过防护模块进入目标方所在的受保护区域,若是,则执行步骤S303;
S303:将请求报文传输至目标方所在的受保护区域的防护模块;
S304:目标方所在的受保护区域的防护模块将请求报文进行重新组包,发送到当前受保护区域的通信模块。
应当认识到,图3所示的请求报文传输情况为防护模块接收到通信模块发来的请求报文时,防护模块对请求报文进行的传输,当应用在当前受保护区域内没有找到对应的代理时,防护模块可以直接接收来自应用的请求报文。此时,防护模块判断该请求报文是否需要跨受保护区域进行传输,若是,防护模块会根据具体的业务需求进行跨受保护区域的传输操作,若否,则当前受保护区域的防护模块将通过通信模块和目标方进行数据交换,且两端的应用代理都在网关上运行。
S104:通过部署在目标方所在服务器的操作系统内的接入模块对接收到的请求报文进行会话信息处理、访问请求的认证和权限分配,以及I/O的控制和监控,将满足授权的请求报文传输至对应的I/O接口。
图4示出了根据本发明的一个实施例的基于会话过程的细粒度访问控制系统的框架图。该系统包括代理模块401、通信模块402、防护模块403、接入模块404。
在具体的实施例中,代理模块被配置用于对发送自发起方的请求报文进行安全鉴别,根据所述发起方请求访问的目标方信息,在请求报文中增加会话信息,所述会话信息标识该请求报文应该到达的目标方应用,并将更新后的所述请求报文传输至当前受保护区域的通信模块。通信模块被配置用于识别接收到的请求报文中的所述会话信息,根据请求报文目标方的位置进行传输和缓存。防护模块被配置用于根据请求报文中的所述会话信息,识别请求报文的传输路径和安全级别,判断所述请求报文是否需要跨受保护区域进行传输,若是,则将请求报文传输到目标方所在的受保护区域的通信模块,若否,则通过当前受保护区域的通信模块与目标方进行数据交换。接入模块被配置用于对接收到的请求报文进行会话信息处理、访问请求的认证和权限分配,以及I/O的控制和监控,将满足授权的请求报文传输至对应的I/O接口。通过代理模块401、通信模块402、防护模块403和接入模块404对应用间的访问控制进行协同管理,使得应用之间的通信可以被相同策略进行处理,有效简化了安全策略的逻辑,同时为数据提供了基础安全接口以及隔离防护,为应用间交互的数据提供了安全保障。
图5示出了本发明的一个具体实施例的代理模块结构图。代理模块是一个用来模拟对端服务或客户端的程序,当本地应用程序意图和远端程序进行通信时,两端通过各自的代理模块进行交互。代理模块包括:对应用的交互部分501-504和对通信模块的调用部分505。代理模块支持多个协议的接入,将不同应用的不同请求转化成标准通信协议进行通信。
图6示出了本发明的一个具体实施例的通信模块结构图。通信模块是一个消息服务程序,包括对接代理子模块601、对接接入子模块602、认证子模块603、缓存子模块604以及通信主体子模块605,这些子模块共同作用,为各个应用需要交互的数据提供基础安全接口。实现了代理和代理模块之间,代理和接入模块之间的统一通信。
在具体的实施例中,防护模块由分别部署在两个独立的主机或者虚拟机上的两个计算系统组成,是一套软件或者硬件组成的成对系统,这两个独立的计算系统分别连接两个不同的受保护区域。防护模块具有认证、基于地址的过滤、流量分析、恶意代码扫描、流量特征识别等功能,用于实现不同受保护区域之间的数据交换。
在具体的实施例中,接入模块本身可以承担代理模块的作用,为应用提供安全服务。
在具体的实施例中,当安装应用的服务器内部没有部署所述接入模块时,应用通过调用最近的代理,作为所述代理模块,为应用提供安全服务。
在具体的实施例中,防护模块可以接收的请求报文包括:应用直接发来的代理请求报文和通信模块发来的请求报文。
图7示出了本发明的一个具体实施例的接入模块结构图。接入模块701包括I/O管理子模块702、认证子模块703、标识处理子模块704,接入模块701可以与代理模块705合成一个模块,用于直接接收应用程序707发来的请求报文,也可以接收代理模块705发来的添加会话信息后的请求报文。
图8示出了本发明的一个具体实施例的基于会话过程的细粒度访问控制系统的通信过程架构图。若应用802内部部署有代理模块801,代理模块801根据应用802发出的请求报文中的应用交互数据信息,通过标识处理子模块803,在请求报文中增加会话信息字段;若应用内部没有代理模块,应用通过外部的代理804根据请问报文中的应用交互数据信息,在请求报文中增加会话信息字段。通信模块809接收到来自代理模块的增加会话信息字段后的请求报文,对请求报文的会话信息进行标识识别805,同时对请求报文的安全性进行认证,根据目标方位置将请求报文传输至应用802所在的受保护区域内的防护模块806,并根据需要进行缓存807。通过防护模块806和目标方所在受保护区域内的防护模块808对接收到的请求报文进行安全交换操作,包括安全认证、标识处理、地址过滤、流量分析、恶意代码扫描以及流量特征识别,将符合安全策略的请求报文传输至通信模块810。再由通信模块810传输至目标方应用812的代理模块813,完成一次应用的访问通信。
本发明的实施例还涉及一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被计算机处理器执行时实施上文中的方法。该计算机程序包含用于执行流程图所示的方法的程序代码。需要说明的是,本申请的计算机可读介质可以是计算机可读信号介质或者计算机可读介质或者是上述两者的任意组合。
本发明利用统一的主客体描述标识实现对全网的统一安全策略实施和控制,提出一种新的访问控制模型,这个控制模型重点关注应用之间的指令和数据交互,将应用的访问转换为固定格式,使得所有的应用之间的通信可以用相同策略进行处理,有效简化了安全策略的逻辑。根据这个访问模型,提出了一种安全通信总线的解决方案,该方案由代理模块、通信模块、防护模块和接入模块四个模块构成,这四个模块组成了应用间通信的访问控制模块。利用分布式部署的方式,在主机操作系统上部署专用代理和接入模块,用来判断总线的传输过程是否正确和有效,利用防护模块实现多个数据之间的安全交互,解决了数据流交互控制的核心问题,确保系统总体安全策略在各层面和各部分的映射关系实现语义一体化,安全路由、安全隔离策略能够正确实施,满足整体的访问控制安全需求。解决了在网络安全部署中实现全局安全策略的问题,使得整个网络的安全可以更有序的进行。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (11)
1.一种基于会话过程的细粒度访问控制方法,其特征在于,包括以下步骤:
S1:通过部署在发起方所在或周边的服务器内的代理模块对发送自发起方的请求报文进行安全鉴别,根据所述发起方请求访问的目标方信息,在请求报文中增加会话信息,所述会话信息标识该请求报文应该到达的目标方应用,并将更新后的所述请求报文传输至当前受保护区域的通信模块;
S2:通过部署在代理模块所在的受保护区域内的通信模块识别接收到的请求报文中的所述会话信息,根据请求报文目标方的位置进行传输和缓存;
S3:通过部署在不同受保护区域之间的防护模块,根据请求报文中的所述会话信息,识别请求报文的传输路径和安全级别,判断所述请求报文是否需要跨受保护区域进行传输,若是,则将请求报文传输到目标方所在的受保护区域的通信模块,若否,则通过当前受保护区域的通信模块与目标方进行数据交换;
在所述步骤S3中,若所述请求报文需要跨受保护区域进行传输,所述请求报文传输的具体步骤包括:
S301:当前受保护区域的防护模块对所述请求报文的应用层还原并做安全检查;
S302:通过检查所述会话信息,判断所述请求报文是否可以通过防护模块进入目标方所在的受保护区域,若是,则执行步骤S303;
S303:将请求报文传输至目标方所在的受保护区域的防护模块;
S304:目标方所在的受保护区域的防护模块将请求报文进行重新组包,发送到当前受保护区域的通信模块;
S4:通过部署在目标方所在服务器的操作系统内的接入模块对接收到的请求报文进行会话信息处理、访问请求的认证和权限分配,以及I/O的控制和监控,将满足授权的请求报文传输至对应的I/O接口。
2.根据权利要求1所述的一种基于会话过程的细粒度访问控制方法,其特征在于,根据安全级别的不同将网络划分为多个独立的受保护区域,在不同受保护区域之间部署防护模块,所述防护模块包括两个独立的子模块,并分别连接两个不同的受保护区域,对不同的受保护区域之间的数据交换进行防护。
3.根据权利要求1所述的一种基于会话过程的细粒度访问控制方法,其特征在于,请求报文在同等级受保护区域内传输时,所述代理模块和所述通信模块将对请求报文进行安全过滤。
4.根据权利要求1所述的一种基于会话过程的细粒度访问控制方法,其特征在于,所述会话信息由所述代理模块基于应用之间的指令和数据交换内容确定,所述会话信息包括:安全级别、发起方信息、目标方信息、对象信息和认证信息。
5.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被计算机处理器执行时实施权利要求1至4中任一项所述的方法。
6.一种基于会话过程的细粒度访问控制系统,其特征在于,包括:
代理模块:配置用于对发送自发起方的请求报文进行安全鉴别,根据所述发起方请求访问的目标方信息,在请求报文中增加会话信息,所述会话信息标识该请求报文应该到达的目标方应用,并将更新后的所述请求报文传输至当前受保护区域的通信模块;
通信模块:配置用于识别接收到的请求报文中的所述会话信息,根据请求报文目标方的位置进行传输和缓存;
防护模块:配置用于根据请求报文中的所述会话信息,识别请求报文的传输路径和安全级别,判断所述请求报文是否需要跨受保护区域进行传输,若是,则将请求报文传输到目标方所在的受保护区域的通信模块,若否,则通过当前受保护区域的通信模块与目标方进行数据交换;
在所述防护模块中,若所述请求报文需要跨受保护区域进行传输,所述请求报文传输的具体步骤包括:
S301:当前受保护区域的防护模块对所述请求报文的应用层还原并做安全检查;
S302:通过检查所述会话信息,判断所述请求报文是否可以通过防护模块进入目标方所在的受保护区域,若是,则执行步骤S303;
S303:将请求报文传输至目标方所在的受保护区域的防护模块;
S304:目标方所在的受保护区域的防护模块将请求报文进行重新组包,发送到当前受保护区域的通信模块;接入模块:配置用于对接收到的请求报文进行会话信息处理、访问请求的认证和权限分配,以及I/O的控制和监控,将满足授权的请求报文传输至对应的I/O接口。
7.根据权利要求6所述的一种基于会话过程的细粒度访问控制系统,其特征在于,所述代理模块包括:对应用的交互部分和对通信模块的调用部分。
8.根据权利要求6所述的一种基于会话过程的细粒度访问控制系统,其特征在于,所述接入模块本身可以承担所述代理模块的作用,为应用提供安全服务。
9.根据权利要求6所述的一种基于会话过程的细粒度访问控制系统,其特征在于,所述通信模块是一个消息服务程序,为各个应用需要交互的数据提供基础安全接口。
10.根据权利要求6所述的一种基于会话过程的细粒度访问控制系统,其特征在于,当安装应用的服务器内部没有部署所述接入模块时,应用通过调用最近的代理,作为所述代理模块,为应用提供安全服务。
11.根据权利要求6所述的一种基于会话过程的细粒度访问控制系统,其特征在于,所述防护模块可以接收的请求报文包括:应用直接发来的代理请求报文和通信模块发来的请求报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010670724.2A CN111885031B (zh) | 2020-07-13 | 2020-07-13 | 一种基于会话过程的细粒度访问控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010670724.2A CN111885031B (zh) | 2020-07-13 | 2020-07-13 | 一种基于会话过程的细粒度访问控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111885031A CN111885031A (zh) | 2020-11-03 |
| CN111885031B true CN111885031B (zh) | 2023-03-31 |
Family
ID=73150954
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010670724.2A Active CN111885031B (zh) | 2020-07-13 | 2020-07-13 | 一种基于会话过程的细粒度访问控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111885031B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111786831B (zh) * | 2020-06-30 | 2021-12-24 | 赛韵网络科技(上海)有限公司 | 一种用于实时优化通信会话的通信系统及方法 |
| CN115694862A (zh) * | 2021-07-31 | 2023-02-03 | 华为技术有限公司 | 访问控制方法、客户端代理装置、网关设备及相关系统 |
| CN117336101B (zh) * | 2023-11-29 | 2024-02-23 | 南京中孚信息技术有限公司 | 一种细粒度网络接入控制方法、系统、设备及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108989265A (zh) * | 2017-05-31 | 2018-12-11 | 西门子公司 | 访问控制方法、装置和系统 |
| CN110290060A (zh) * | 2019-07-15 | 2019-09-27 | 腾讯科技(深圳)有限公司 | 一种跨网络通信方法、装置及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7370351B1 (en) * | 2001-03-22 | 2008-05-06 | Novell, Inc. | Cross domain authentication and security services using proxies for HTTP access |
| CN103581156B (zh) * | 2012-08-09 | 2018-02-06 | 中铁信弘远(北京)信息软件开发有限公司 | 一种可信网络和可信网络的工作方法 |
| CN103458003B (zh) * | 2013-08-15 | 2016-11-16 | 中电长城网际系统应用有限公司 | 一种自适应云计算环境虚拟安全域访问控制方法和系统 |
| CN110401946A (zh) * | 2019-08-08 | 2019-11-01 | 广州爱浦路网络技术有限公司 | 5g核心网的网络切片方法和网络切片装置 |
-
2020
- 2020-07-13 CN CN202010670724.2A patent/CN111885031B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108989265A (zh) * | 2017-05-31 | 2018-12-11 | 西门子公司 | 访问控制方法、装置和系统 |
| CN110290060A (zh) * | 2019-07-15 | 2019-09-27 | 腾讯科技(深圳)有限公司 | 一种跨网络通信方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111885031A (zh) | 2020-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111885031B (zh) | 一种基于会话过程的细粒度访问控制方法及系统 | |
| RU2707717C2 (ru) | Мобильная аутентификация в мобильной виртуальной сети | |
| US10397352B2 (en) | Network infrastructure management | |
| US11848854B1 (en) | Method, apparatus, and computer program product for dynamic security based grid routing | |
| US10944758B1 (en) | Computer resource vulnerability assessment and remediation | |
| CN103404103A (zh) | 将访问控制系统与业务管理系统相结合的系统和方法 | |
| JPH103420A (ja) | アクセス制御システムおよびその方法 | |
| CN110650216B (zh) | 云服务请求方法和装置 | |
| WO1999044115A2 (en) | Per-method designation of security requirements | |
| CN113596009B (zh) | 零信任访问方法、系统、零信任安全代理、终端及介质 | |
| CN110554927A (zh) | 基于区块链的微服务调用方法 | |
| KR102463051B1 (ko) | 선박 네트워크 접근제어 방법 및 장치 | |
| CN115996122A (zh) | 访问控制方法、装置及系统 | |
| CN110933048A (zh) | 一种基于报文识别异常应用操作的方法和设备 | |
| CN111641607A (zh) | 代理系统及访问请求转发方法 | |
| CN113472820A (zh) | 一种基于零信任模型的云资源安全隔离控制方法及系统 | |
| CN115664693A (zh) | 资源访问系统、方法、电子设备和存储介质 | |
| US11166147B2 (en) | Roaming among different types of networks | |
| US8087066B2 (en) | Method and system for securing a commercial grid network | |
| CN114070637B (zh) | 基于属性标签的访问控制方法、系统、电子设备及存储介质 | |
| CN109428863B (zh) | 容器服务的安全防护方法、数据处理方法、装置及设备 | |
| CN115185637A (zh) | PaaS组件管理端和虚拟机代理的通信方法及装置 | |
| CN114125039A (zh) | 服务之间访问关系的发现与控制方法和装置 | |
| WO2012163587A1 (en) | Distributed access control across the network firewalls | |
| CN113179285A (zh) | 视频物联网高性能密码服务方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |