CN111917713A - 一种基于软件定义网络认证的无边界控制介入方法及装置 - Google Patents

一种基于软件定义网络认证的无边界控制介入方法及装置 Download PDF

Info

Publication number
CN111917713A
CN111917713A CN202010555882.3A CN202010555882A CN111917713A CN 111917713 A CN111917713 A CN 111917713A CN 202010555882 A CN202010555882 A CN 202010555882A CN 111917713 A CN111917713 A CN 111917713A
Authority
CN
China
Prior art keywords
user side
access
authentication
access instruction
instruction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010555882.3A
Other languages
English (en)
Inventor
李翔宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Group Guangdong Co Ltd
Original Assignee
China Mobile Group Guangdong Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Group Guangdong Co Ltd filed Critical China Mobile Group Guangdong Co Ltd
Priority to CN202010555882.3A priority Critical patent/CN111917713A/zh
Publication of CN111917713A publication Critical patent/CN111917713A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • G06F21/128Restricting unauthorised execution of programs involving web programs, i.e. using technology especially used in internet, generally interacting with a web browser, e.g. hypertext markup language [HTML], applets, java
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Multimedia (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Technology Law (AREA)
  • Power Engineering (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开一种基于软件定义网络认证的无边界控制介入方法及装置,所述方法包括以下步骤:当获取到访问指令时,获取发送访问指令的用户端,并从访问指令中读取目标服务;通过安全认证网关对用户端进行可信接入分析,得到可信接入分析结果;当可信接入分析结果指示用户端通过可信接入分析时,将用户端在身份认证平台进行授权;向应用服务模块发送访问指令,访问指令用于使应用服务模块向身份认证平台认证用户端的权限,并在用户端的权限认证通过之后,控制用户端对目标服务进行介入。可见,实施本发明实施例,能够提升软件系统的安全性。

Description

一种基于软件定义网络认证的无边界控制介入方法及装置
技术领域
本发明属于网络安全技术领域,尤其涉及一种基于软件定义网络(SoftwareDefined Network,SDN)认证的无边界控制介入方法及装置。
背景技术
随着互联网技术的发展,越来越多的企业会利用互联网构建能够处理企业内部事务或外部事务的软件系统。企业通过使用专门构建的软件系统辅助工作,可以提高工作效率。然而,在实践中发现,企业内部账号以及与软件系统联系较为密切的账号对于软件系统来说存在一定的风险,软件系统可能会遭遇到来自企业内部账号或与软件系统联系较为密切的账号的攻击,从而导致软件系统无法正常运行,可见,如何提升软件系统的安全性成为了亟需解决的问题。
发明内容
本发明针对现有技术中存在的问题,提供一种基于软件定义网络认证的无边界控制介入方法及装置,该方法能够提升软件系统的安全性。
本申请第一方面公开一种基于软件定义网络认证的无边界控制介入方法,所述方法包括:
当获取到访问指令时,获取发送所述访问指令的用户端,并从所述访问指令中读取目标服务;
通过安全认证网关对所述用户端进行可信接入分析,得到可信接入分析结果;
当所述可信接入分析结果指示所述用户端通过所述可信接入分析时,将所述用户端在身份认证平台进行授权;
向应用服务模块发送所述访问指令,所述访问指令用于使所述应用服务模块向所述身份认证平台认证所述用户端的权限,并在所述用户端的权限认证通过之后,控制所述用户端对所述目标服务进行介入。
作为一种可选的实施方式,在本发明实施例第一方面中,所述获取发送所述访问指令的用户端,并从所述访问指令中读取目标服务之后,所述方法还包括:
对所述用户端进行可信环境感知分析,得到可信环境感知分析结果;
向身份认证平台发送调整指令,所述调整指令用于使所述身份认证平台获取所述调整指令中包含的所述可信环境感知分析结果,并根据所述可信环境感知分析结果对所述身份认证平台存储的所述用户端的权限进行调整。
作为一种可选的实施方式,在本发明实施例第一方面中,所述访问指令为业务访问指令或应用程序接口调用指令。
作为一种可选的实施方式,在本发明实施例第一方面中,所述访问指令为所述业务访问指令,所述将所述用户端在身份认证平台进行授权之后,所述方法还包括:
通过应用防护系统对所述业务访问指令进行防护检测,得到防护检测结果;
当所述防护检测结果指示所述业务访问指令通过所述防护检测时,执行所述的向应用服务模块发送所述访问指令。
作为一种可选的实施方式,在本发明实施例第一方面中,所述通过安全认证网关对所述用户端进行可信接入分析,得到可信接入分析结果,包括:
获取所述用户端的账号信息和代理地址;
通过安全认证网关对所述账号信息进行身份安全认证,得到身份安全认证结果;
通过所述安全认证网关对所述代理地址进行代理地址认证,得到地址认证结果;
将所述身份安全认证结果和所述地址认证结果进行结合,得到可信接入分析结果。
本申请第二方面公开一种基于软件定义网络认证的无边界控制介入装置,其特征在于,包括:
获取单元,用于当获取到访问指令时,获取发送所述访问指令的用户端,并从所述访问指令中读取目标服务;
第一分析单元,用于通过安全认证网关对所述用户端进行可信接入分析,得到可信接入分析结果;
授权单元,用于当所述可信接入分析结果指示所述用户端通过所述可信接入分析时,将所述用户端在身份认证平台进行授权;
第一发送单元,用于向应用服务模块发送所述访问指令,所述访问指令用于使所述应用服务模块向所述身份认证平台认证所述用户端的权限,并在所述用户端的权限认证通过之后,控制所述用户端对所述目标服务进行介入。
作为一种可选的实施方式,在本发明实施例第二方面中,所述装置还包括:
第二分析单元,用于在所述获取单元获取发送所述访问指令的用户端,并从所述访问指令中读取目标服务之后,对所述用户端进行可信环境感知分析,得到可信环境感知分析结果;
第二发送单元,用于向身份认证平台发送调整指令,所述调整指令用于使所述身份认证平台获取所述调整指令中包含的所述可信环境感知分析结果,并根据所述可信环境感知分析结果对所述身份认证平台存储的所述用户端的权限进行调整。
作为一种可选的实施方式,在本发明实施例第二方面中,所述访问指令为业务访问指令或应用程序接口调用指令。
作为一种可选的实施方式,在本发明实施例第二方面中,所述访问指令为所述业务访问指令,所述装置包括:
检测单元,用于在所述授权单元将所述用户端在身份认证平台进行授权之后,通过应用防护系统对所述业务访问指令进行防护检测,得到防护检测结果;
所述第一发送单元,具体用于当所述防护检测结果指示所述业务访问指令通过所述防护检测时,向应用服务模块发送所述访问指令。
作为一种可选的实施方式,在本发明实施例第二方面中,所述第一分析单元包括:
获取子单元,用于获取所述用户端的账号信息和代理地址;
认证子单元,用于通过安全认证网关对所述账号信息进行身份安全认证,得到身份安全认证结果;
所述认证子单元,还用于通过所述安全认证网关对所述代理地址进行代理地址认证,得到地址认证结果;
结合子单元,用于将所述身份安全认证结果和所述地址认证结果进行结合,得到可信接入分析结果。
本发明实施例第三方面公开一种电子设备,包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行第一方面的任意一种方法的部分或全部步骤。
本发明实施例第四方面公开一种计算机可读存储介质,所述计算机可读存储介质存储了程序代码,其中,所述程序代码包括用于执行第一方面的任意一种方法的部分或全部步骤的指令。
本发明实施例第五方面公开一种计算机程序产品,当所述计算机程序产品在计算机上运行时,使得所述计算机执行第一方面的任意一种方法的部分或全部步骤。
本发明实施例第六方面公开一种应用发布平台,所述应用发布平台用于发布计算机程序产品,其中,当所述计算机程序产品在计算机上运行时,使得所述计算机执行第一方面的任意一种方法的部分或全部步骤。
与现有技术相比,本发明实施例具有以下有益效果:
本发明实施例中,当获取到访问指令时,获取发送访问指令的用户端,并从访问指令中读取目标服务;通过安全认证网关对用户端进行可信接入分析,得到可信接入分析结果;当可信接入分析结果指示用户端通过可信接入分析时,将用户端在身份认证平台进行授权;向应用服务模块发送访问指令,访问指令用于使应用服务模块向身份认证平台认证用户端的权限,并在用户端的权限认证通过之后,控制用户端对目标服务进行介入。可见,实施本发明实施例,能够对发送的访问指令的用户端进行可信接入分析,且在可信接入分析通过后,需要访问的目标服务所在的应用服务模块还可以对用户端的权限在此进行验证,只有在用户端的权限验证通过后,才能控制用户端对目标服务进行介入,从而提升了软件系统的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例公开的一种基于软件定义网络认证的无边界控制介入方法的流程示意图;
图2是本发明实施例公开的另一种基于软件定义网络认证的无边界控制介入方法的流程示意图;
图3是本发明实施例公开的一种基于软件定义网络认证的无边界控制介入装置的流程示意图;
图4是本发明实施例公开的另一种基于软件定义网络认证的无边界控制介入装置的结构示意图;
图5是本发明实施例公开的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明实施例及附图中的术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例公开一种基于软件定义网络认证的无边界控制介入方法及装置,能够使电子设备避免获取到输入错误的错题信息,进而提升了电子设备获取的错题信息的准确性。以下分别进行详细说明。
实施例一
请参阅图1,图1是本发明实施例公开的一种基于软件定义网络认证的无边界控制介入方法的流程示意图。如图1所示,该基于软件定义网络认证的无边界控制介入方法可以包括以下步骤:
101、当获取到访问指令时,获取发送访问指令的用户端,并从访问指令中读取目标服务。
102、通过安全认证网关对用户端进行可信接入分析,得到可信接入分析结果。
本发明实施例中,安全认证网关(Security Authentication Gateway,SAG)。
103、当可信接入分析结果指示用户端通过可信接入分析时,将用户端在身份认证平台进行授权。
104、向应用服务模块发送访问指令,访问指令用于使应用服务模块向身份认证平台认证用户端的权限,并在用户端的权限认证通过之后,控制用户端对目标服务进行介入。
在图1所描述的方法中,能够使电子设备避免获取到输入错误的错题信息,进而提升了电子设备获取的错题信息的准确性。
实施例二
请参阅图2,图2是本发明实施例公开的另一种基于软件定义网络认证的无边界控制介入方法的流程示意图。如图2所示,该基于软件定义网络认证的无边界控制介入方法可以包括以下步骤:
201、当获取到访问指令时,获取发送访问指令的用户端,并从访问指令中读取目标服务。
本发明实施例中,访问指令为业务访问指令或应用程序接口调用指令,丰富了访问指令的类型。
作为一种可选的实施方式,步骤201之后,还可以执行以下步骤:
对用户端进行可信环境感知分析,得到可信环境感知分析结果;
向身份认证平台发送调整指令,调整指令用于使身份认证平台获取调整指令中包含的可信环境感知分析结果,并根据可信环境感知分析结果对身份认证平台存储的用户端的权限进行调整。
其中,实施这种实施方式,可以对发送访问指令的环境进行可信环境感知分析,进而根据可信环境感知分析结果调整身份认证平台中用户端的权限,提高了用户端的权限确定的准确性。
202、获取用户端的账号信息和代理地址。
203、通过安全认证网关对账号信息进行身份安全认证,得到身份安全认证结果。
204、通过安全认证网关对代理地址进行代理地址认证,得到地址认证结果。
205、将身份安全认证结果和地址认证结果进行结合,得到可信接入分析结果。
本发明实施例中,实施上述的步骤202~步骤205,可以通过对账号信息和代理地址进行验证,并根据身份安全认证结果和地址认证结果,综合得到可信接入分析结果,提高了可信接入分析结果的可信度。
206、当可信接入分析结果指示用户端通过可信接入分析时,将用户端在身份认证平台进行授权。
作为一种可选的实施方式,执行步骤206之后,还可以执行以下步骤:
通过应用防护系统对业务访问指令进行防护检测,得到防护检测结果;
当防护检测结果指示业务访问指令通过防护检测时,执行步骤207。
其中,实施这种实施方式,可以在可信接入分析通过之后再次对通过应用防护系统对业务访问指令进行防护检测,提高了访问指令的安全性。
207、向应用服务模块发送访问指令,访问指令用于使应用服务模块向身份认证平台认证用户端的权限,并在用户端的权限认证通过之后,控制用户端对目标服务进行介入。
在图2所描述的方法中,能够使电子设备避免获取到输入错误的错题信息,进而提升了电子设备获取的错题信息的准确性。此外,实施图2所描述的方法,丰富了访问指令的类型。此外,实施图2所描述的方法,提高了用户端的权限确定的准确性。此外,实施图2所描述的方法,提高了可信接入分析结果的可信度。此外,实施图2所描述的方法,提高了访问指令的安全性。
实施例三
请参阅图3,图3是本发明实施例公开的一种基于软件定义网络认证的无边界控制介入装置的结构示意图。如图3所示,该系装置统可以包括:
获取单元301,用于当获取到访问指令时,获取发送访问指令的用户端,并从访问指令中读取目标服务。
本发明实施例中,访问指令为业务访问指令或应用程序接口调用指令,丰富了访问指令的类型。
第一分析单元302,用于通过安全认证网关对获取单元301获取的用户端进行可信接入分析,得到可信接入分析结果。
授权单元303,用于当第一分析单元302得到的可信接入分析结果指示用户端通过可信接入分析时,将获取单元301获取的用户端在身份认证平台进行授权。
第一发送单元304,用于向应用服务模块发送获取单元301获取的访问指令,访问指令用于使应用服务模块向身份认证平台认证用户端的权限,并在用户端的权限认证通过之后,控制用户端对目标服务进行介入。
可见,实施图3所描述的装置,能够使电子设备避免获取到输入错误的错题信息,进而提升了电子设备获取的错题信息的准确性。此外,实施图3所描述的装置,丰富了访问指令的类型。
实施例四
请参阅图4,图4是本发明实施例公开的另一种基于软件定义网络认证的无边界控制介入装置的结构示意图。其中,图4所示的装置是由图3所示的装置进行优化得到的。图4所示的装置还可以包括:
第二分析单元305,用于在获取单元301获取发送访问指令的用户端,并从访问指令中读取目标服务之后,对用户端进行可信环境感知分析,得到可信环境感知分析结果。
第二发送单元306,用于向身份认证平台发送调整指令,调整指令用于使身份认证平台获取调整指令中包含的第二分析单元305得到的可信环境感知分析结果,并根据可信环境感知分析结果对身份认证平台存储的用户端的权限进行调整。
本发明实施例中,可以对发送访问指令的环境进行可信环境感知分析,进而根据可信环境感知分析结果调整身份认证平台中用户端的权限,提高了用户端的权限确定的准确性。
作为一种可选的实施方式,访问指令为业务访问指令,图4所示的装置还可以包括:
检测单元307,用于在授权单元303将用户端在身份认证平台进行授权之后,通过应用防护系统对业务访问指令进行防护检测,得到防护检测结果;
第一发送单元304,具体用于当检测单元307得到的防护检测结果指示业务访问指令通过防护检测时,向应用服务模块发送访问指令。
其中,实施这种实施方式,可以在可信接入分析通过之后再次对通过应用防护系统对业务访问指令进行防护检测,提高了访问指令的安全性。
作为一种可选的实施方式,图4所示的装置的第一分析单元302可以包括:
获取子单元3021,用于获取用户端的账号信息和代理地址;
认证子单元3022,用于通过安全认证网关对获取子单元3021获取的账号信息进行身份安全认证,得到身份安全认证结果;
认证子单元3022,还用于通过安全认证网关对获取子单元3021获取的代理地址进行代理地址认证,得到地址认证结果;
结合子单元3023,用于将认证子单元3022得到的身份安全认证结果和地址认证结果进行结合,得到可信接入分析结果。
其中,实施这种实施方式,可以通过对账号信息和代理地址进行验证,并根据身份安全认证结果和地址认证结果,综合得到可信接入分析结果,提高了可信接入分析结果的可信度。
可见,实施图4所描述的装置,能够使电子设备避免获取到输入错误的错题信息,进而提升了电子设备获取的错题信息的准确性。此外,实施图4所描述的装置,提高了用户端的权限确定的准确性。此外,实施图4所描述的装置,提高了可信接入分析结果的可信度。此外,实施图4所描述的装置,提高了访问指令的安全性。
实施例五
请参阅图5,图5是本发明实施例公开的一种电子设备的结构示意图。如图5所示,该电子设备可以包括:
存储有可执行程序代码的存储器501;
与存储器501耦合的处理器502;
其中,处理器502调用存储器501中存储的可执行程序代码,执行以上各方法实施例中的方法的部分或全部步骤。
本发明实施例还公开一种计算机可读存储介质,其中,计算机可读存储介质存储了程序代码,其中,程序代码包括用于执行以上各方法实施例中的方法的部分或全部步骤的指令。
本发明实施例还公开一种计算机程序产品,其中,当计算机程序产品在计算机上运行时,使得计算机执行如以上各方法实施例中的方法的部分或全部步骤。
本发明实施例还公开一种应用发布平台,其中,应用发布平台用于发布计算机程序产品,其中,当计算机程序产品在计算机上运行时,使得计算机执行如以上各方法实施例中的方法的部分或全部步骤。
应理解,说明书通篇中提到的“本发明实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在本发明实施例中”未必一定指相同的实施例。此外,这些特定特征、结构或特性可以以任意适合的方式结合在一个或多个实施例中。本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在本发明的各种实施例中,应理解,上述各过程的序号的大小并不意味着执行顺序的必然先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
另外,本文中术语“系统”和“网络”在本文中常可互换使用。应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
在本发明所提供的实施例中,应理解,“与A对应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其他信息确定B。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质包括只读存储器(Read-Only Memory,ROM)、随机存储器(Random Access Memory,RAM)、可编程只读存储器(Programmable Read-only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、一次可编程只读存储器(One-time Programmable Read-Only Memory,OTPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可位于一个地方,或者也可以分布到多个网络单元上。可根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述集成的单元若以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可获取的存储器中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或者部分,可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储器中,包括若干请求用以使得一台计算机设备(可以为个人计算机、服务器或者网络设备等,具体可以是计算机设备中的处理器)执行本发明的各个实施例上述方法的部分或全部步骤。
以上对本发明实施例公开的一种基于软件定义网络认证的无边界控制介入方法及装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种基于软件定义网络认证的无边界控制介入方法,其特征在于,所述方法包括:
当获取到访问指令时,获取发送所述访问指令的用户端,并从所述访问指令中读取目标服务;
通过安全认证网关对所述用户端进行可信接入分析,得到可信接入分析结果;
当所述可信接入分析结果指示所述用户端通过所述可信接入分析时,将所述用户端在身份认证平台进行授权;
向应用服务模块发送所述访问指令,所述访问指令用于使所述应用服务模块向所述身份认证平台认证所述用户端的权限,并在所述用户端的权限认证通过之后,控制所述用户端对所述目标服务进行介入。
2.根据权利要求2所述的基于软件定义网络认证的无边界控制介入方法,其特征在于,所述获取发送所述访问指令的用户端,并从所述访问指令中读取目标服务之后,所述方法还包括:
对所述用户端进行可信环境感知分析,得到可信环境感知分析结果;
向身份认证平台发送调整指令,所述调整指令用于使所述身份认证平台获取所述调整指令中包含的所述可信环境感知分析结果,并根据所述可信环境感知分析结果对所述身份认证平台存储的所述用户端的权限进行调整。
3.根据权利要求1或2所述的基于软件定义网络认证的无边界控制介入方法,其特征在于,所述访问指令为业务访问指令或应用程序接口调用指令。
4.根据权利要求3所述的基于软件定义网络认证的无边界控制介入方法,其特征在于,所述访问指令为所述业务访问指令,所述将所述用户端在身份认证平台进行授权之后,所述方法还包括:
通过应用防护系统对所述业务访问指令进行防护检测,得到防护检测结果;
当所述防护检测结果指示所述业务访问指令通过所述防护检测时,执行所述的向应用服务模块发送所述访问指令。
5.根据权利要求1~4任一项所述的基于软件定义网络认证的无边界控制介入方法,其特征在于,所述通过安全认证网关对所述用户端进行可信接入分析,得到可信接入分析结果,包括:
获取所述用户端的账号信息和代理地址;
通过安全认证网关对所述账号信息进行身份安全认证,得到身份安全认证结果;
通过所述安全认证网关对所述代理地址进行代理地址认证,得到地址认证结果;
将所述身份安全认证结果和所述地址认证结果进行结合,得到可信接入分析结果。
6.一种基于软件定义网络认证的无边界控制介入装置,其特征在于,包括:
获取单元,用于当获取到访问指令时,获取发送所述访问指令的用户端,并从所述访问指令中读取目标服务;
第一分析单元,用于通过安全认证网关对所述用户端进行可信接入分析,得到可信接入分析结果;
授权单元,用于当所述可信接入分析结果指示所述用户端通过所述可信接入分析时,将所述用户端在身份认证平台进行授权;
第一发送单元,用于向应用服务模块发送所述访问指令,所述访问指令用于使所述应用服务模块向所述身份认证平台认证所述用户端的权限,并在所述用户端的权限认证通过之后,控制所述用户端对所述目标服务进行介入。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二分析单元,用于在所述获取单元获取发送所述访问指令的用户端,并从所述访问指令中读取目标服务之后,对所述用户端进行可信环境感知分析,得到可信环境感知分析结果;
第二发送单元,用于向身份认证平台发送调整指令,所述调整指令用于使所述身份认证平台获取所述调整指令中包含的所述可信环境感知分析结果,并根据所述可信环境感知分析结果对所述身份认证平台存储的所述用户端的权限进行调整。
8.根据权利要求6或7所述的装置,其特征在于,所述访问指令为业务访问指令或应用程序接口调用指令。
9.根据权利要求8所述的装置,其特征在于,所述访问指令为所述业务访问指令,所述装置包括:
检测单元,用于在所述授权单元将所述用户端在身份认证平台进行授权之后,通过应用防护系统对所述业务访问指令进行防护检测,得到防护检测结果;
所述第一发送单元,具体用于当所述防护检测结果指示所述业务访问指令通过所述防护检测时,向应用服务模块发送所述访问指令。
10.根据权利要求6~9任一项所述的装置,其特征在于,所述第一分析单元包括:
获取子单元,用于获取所述用户端的账号信息和代理地址;
认证子单元,用于通过安全认证网关对所述账号信息进行身份安全认证,得到身份安全认证结果;
所述认证子单元,还用于通过所述安全认证网关对所述代理地址进行代理地址认证,得到地址认证结果;
结合子单元,用于将所述身份安全认证结果和所述地址认证结果进行结合,得到可信接入分析结果。
CN202010555882.3A 2020-06-17 2020-06-17 一种基于软件定义网络认证的无边界控制介入方法及装置 Pending CN111917713A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010555882.3A CN111917713A (zh) 2020-06-17 2020-06-17 一种基于软件定义网络认证的无边界控制介入方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010555882.3A CN111917713A (zh) 2020-06-17 2020-06-17 一种基于软件定义网络认证的无边界控制介入方法及装置

Publications (1)

Publication Number Publication Date
CN111917713A true CN111917713A (zh) 2020-11-10

Family

ID=73237791

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010555882.3A Pending CN111917713A (zh) 2020-06-17 2020-06-17 一种基于软件定义网络认证的无边界控制介入方法及装置

Country Status (1)

Country Link
CN (1) CN111917713A (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018036314A1 (zh) * 2016-08-22 2018-03-01 中兴通讯股份有限公司 一种单点登录认证方法及装置、存储介质
CN109462601A (zh) * 2018-12-13 2019-03-12 中国联合网络通信集团有限公司 基于eSIM的多平台访问方法及装置
CN110417776A (zh) * 2019-07-29 2019-11-05 大唐高鸿信安(浙江)信息科技有限公司 一种身份认证方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018036314A1 (zh) * 2016-08-22 2018-03-01 中兴通讯股份有限公司 一种单点登录认证方法及装置、存储介质
CN109462601A (zh) * 2018-12-13 2019-03-12 中国联合网络通信集团有限公司 基于eSIM的多平台访问方法及装置
CN110417776A (zh) * 2019-07-29 2019-11-05 大唐高鸿信安(浙江)信息科技有限公司 一种身份认证方法及装置

Similar Documents

Publication Publication Date Title
CN111478910B (zh) 用户身份验证方法和装置、电子设备以及存储介质
CN110445769B (zh) 业务系统的访问方法及装置
CN107682336B (zh) 一种基于地理位置的身份验证方法及装置
CN110535884B (zh) 跨企业系统间访问控制的方法、装置及存储介质
CN110691085B (zh) 登录方法、装置、密码管理系统及计算机可读介质
CN113132402B (zh) 单点登录方法和系统
CN111177672A (zh) 一种页面访问控制方法、装置和电子设备
CN112560009A (zh) 一种鉴权方法、终端、客户端及计算机存储介质
CN112434054A (zh) 一种审计日志的更新方法及装置
CN114385995B (zh) 一种基于Handle的标识解析微服务接入工业互联网的方法及标识服务系统
CN115022047A (zh) 基于多云网关的账户登录方法、装置、计算机设备及介质
CN113268716A (zh) 一种应用的授权验证系统、方法、装置及存储介质
CN111259368A (zh) 一种登录系统的方法及设备
CN113014576A (zh) 一种服务权限控制方法、装置、服务器及存储介质
CN111917713A (zh) 一种基于软件定义网络认证的无边界控制介入方法及装置
CN114500091A (zh) 登录方法及装置
CN111949363A (zh) 业务访问的管理方法、计算机设备、存储介质及系统
CN114006735A (zh) 一种数据保护方法、装置、计算机设备和存储介质
CN114692118A (zh) 用于跨域单点登录的方法、装置及设备
CN111988336A (zh) 访问请求的处理方法、装置、系统和计算机设备
CN117768150B (zh) 基于身份认证的业务系统接入方法及业务系统接入平台
CN111787008B (zh) 访问控制方法、装置、电子设备和计算机可读存储介质
CN116170174B (zh) 一种登录认证方法、装置、电子设备及存储介质
CN115348116B (zh) 工业互联网的网页登录方法和装置、设备和介质
CN115174181B (zh) 一种单点登录的实现方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination