CN112491902B - 一种基于URL的web应用权限访问控制系统及方法 - Google Patents

一种基于URL的web应用权限访问控制系统及方法 Download PDF

Info

Publication number
CN112491902B
CN112491902B CN202011379174.5A CN202011379174A CN112491902B CN 112491902 B CN112491902 B CN 112491902B CN 202011379174 A CN202011379174 A CN 202011379174A CN 112491902 B CN112491902 B CN 112491902B
Authority
CN
China
Prior art keywords
access
authority
url
user
visitor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011379174.5A
Other languages
English (en)
Other versions
CN112491902A (zh
Inventor
王晓娜
邹自果
郝明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING CS&S HUA-TECH INFORMATION TECHNOLOGY CO LTD
Original Assignee
BEIJING CS&S HUA-TECH INFORMATION TECHNOLOGY CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING CS&S HUA-TECH INFORMATION TECHNOLOGY CO LTD filed Critical BEIJING CS&S HUA-TECH INFORMATION TECHNOLOGY CO LTD
Priority to CN202011379174.5A priority Critical patent/CN112491902B/zh
Publication of CN112491902A publication Critical patent/CN112491902A/zh
Application granted granted Critical
Publication of CN112491902B publication Critical patent/CN112491902B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明公开了一种基于URL的web应用权限访问控制系统,基于该系统的方法为:通过管理中心创建访问者身份,并建立访问者的权限标记;通过访问者账号发出访问请求,通过管理中心进行身份验证,获取访问者账号的权限策略;以通过身份验证的访问者账号触发单点登录,并通过管理中心解析权限策略,获取访问数据;将访问数据传输至URL权限控制器,请求访问;通过URL权限控制器对访问数据进行处理,为访问者进行请求页面或者拦截结果的转发,并对整个请求过程进行操作录像审计,完成web应用权限访问控制。本发明实现了web权限控制功能,可生成策略模板,并用于控制阶段,也可由管理员定制编辑策略模板,有效减少了管理员的工作成本。

Description

一种基于URL的web应用权限访问控制系统及方法
技术领域
本发明属于网络科学领域,具体涉及一种基于URL的web应用权限访问控制系统及方法。
背景技术
随着信息时代的发展以及互联网技术的迅速普及,网络在人们的日常工作和生活中的应用越来越广泛,各个组织、企业为了维护自身WEB环境下的业务系统的安全,对系统内部员工或用户使用互联网的限制越来越高,对员工的WEB访问权限的控制也越来也严格,虽然在一定程度上加强了内部业务系统的安全,但也给业务人员以及用户的工作造成了不变。
发明内容
针对现有技术中的上述不足,本发明提供的一种基于URL的web应用权限访问控制系统及方法解决了现有技术中存在的问题。
为了达到上述发明目的,本发明采用的技术方案为:一种基于URL的web应用权限访问控制系统,包括相互连接的管理中心和URL权限控制器;
所述管理中心用于提供web业务访问入口,并进行业务维护与访问流程的全生命周期管控;所述URL权限控制器用于创建在用户交互接口处的策略拦截点、控制策略解析及响应、用户请求URL解析与判定、策略学习和URL请求审计。
进一步地,所述管理中心包括用户身份管理模块、应用与账号管理模块、权限管理模块、单点登录模块和用户行为审计模块;
所述用户身份管理模块用于建立用户认证接口,建立自然人与web应用权限访问控制系统的唯一绑定关系;所述应用与账号管理模块用于集中托管业务应用与账号,通过业务应用添加接口进行业务应用维护;所述权限管理模块用于用户访问权限管理;所述单点登录模块用于地址请求和用户名密码自动填充;所述用户行为审计模块用于用户操作全过程的操作录像审计。
本发明的有益效果为:提供了一种web访问控制的系统,能够对访问者提出的URL请求进行访问控制,可以对不同人员设置不同的权限,在保证系统数据安全的前提下,方便了工作人员进行访问操作。
一种基于URL的web应用权限访问控制方法,包括以下步骤:
S1、通过管理中心创建访问者身份,并建立访问者的权限标记,得到访问者账号和权限策略;
S2、通过访问者账号发出访问请求,通过管理中心进行身份验证,获取访问者账号的权限策略;
S3、以通过身份验证的访问者账号触发单点登录,并通过管理中心解析权限策略,获取访问数据;
S4、将访问数据传输至URL权限控制器,请求访问;
S5、通过URL权限控制器对访问数据进行处理,为访问者进行请求页面或者拦截结果的转发,并对整个请求过程进行操作录像审计,完成web应用权限访问控制。
进一步地,所述步骤S1具体为:
S1.1、通过标记访问者的电话号码、邮箱和USB-KEY数据,建立自然人与业务账号的唯一绑定关系,得到访问者身份;
S1.2、建立访问者的权限标记,获取权限策略;
所述访问者身份还包括动态令牌,所述权限策略包括访问者能够获取的资源信息、用以访问业务的账号信息、能够访问的业务数据、访问模式、访问业务的时间范围和访问业务的地址范围信息。
进一步地,所述步骤S2中通过管理中心进行身份验证的具体方法为:对访问者的登录密码、动态令牌和USB-KEY数据进行验证;
所述步骤S2获取访问者账号的权限策略的具体方法为:获取权限策略中的访问时间和访问地址范围信息,根据权限策略进行业务资源和业务账号的动态加载。
进一步地,所述步骤S3中访问数据包括访问者信息、资源信息、访问模式和访问权限信息。
进一步地,所述步骤S5具体为:
S5.1、根据访问模式并通过URL权限控制器进行策略重组,生成控制策略与学习策略;
S5.1、根据控制策略与学习策略,为访问者进行请求页面或者拦截结果的转发,并对整个请求过程进行操作录像审计,完成web应用权限访问控制。
进一步地,所述控制策略具体为:通过URL权限控制器获取运维用户当前请求访问的URL地址信息,并与权限策略进行匹配,将策略匹配结果作为控制决策的依据;若匹配成功,则通过URL权限控制器为运维用户转发实际请求的页面数据;若策略匹配失败,则通过URL权限控制器拦截运维用户的访问请求,并为运维用户返回权限错误。
进一步地,所述学习策略具体为:通过URL权限控制器对访问者的access_url访问请求进行标记,待访问者进行访问后,根据访问结果对标记的access_url访问请求进行整合,获取符合访问者的访问习惯的权限策略,并记录访问者的访问轨迹,生成访问审计。
本发明的有益效果为:
(1)本发明采用了数据库权限控制应用代理技术,对业务系统URL访问者进行身份认证,动态授权,口令校验,对用户的身份以及权限进行多重校验。
(2)本发明能够生成所有用户在业务系统中的URL访问行为的审计信息,并上传至业务管理中心的用户行为审计模块,方便进行权限管理。
(3)本发明可通过数据库权限控制器中的学习模式,自主根据角色设置构建权限列表,方便灵活。
附图说明
图1为本发明提出的一种基于URL的web应用权限访问控制系统示意图。
图2为本发明提出的一种基于URL的web应用权限访问控制方法流程图。
具体实施方式
下面对本发明的具体实施方式进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
下面结合附图详细说明本发明的实施例。
如图1所示,一种基于URL的web应用权限访问控制系统,包括相互连接的管理中心和URL权限控制器;
所述管理中心用于提供web业务访问入口,并进行业务维护与访问流程的全生命周期管控;所述URL权限控制器用于创建在用户交互接口处的策略拦截点、控制策略解析及响应、用户请求URL解析与判定、策略学习和URL请求审计。
所述管理中心包括用户身份管理模块、应用与账号管理模块、权限管理模块、单点登录模块和用户行为审计模块;
所述用户身份管理模块用于建立用户认证接口,建立自然人与web应用权限访问控制系统的唯一绑定关系;所述应用与账号管理模块用于集中托管业务应用与账号,通过业务应用添加接口进行业务应用维护;所述权限管理模块用于用户访问权限管理;所述单点登录模块用于地址请求和用户名密码自动填充;所述用户行为审计模块用于用户操作全过程的操作录像审计。
在本实施例中,本发明采用了B/S架构,建立了一整套完善的Web应用访问权限控制机制,用以保障业务系统的数据安全。
该机制主要包含:业务管理中心和URL权限控制器,两者落地用户使用场景,通过正向代理的模式,介入应用访问流程,实现了业务系统中针对用户的URL访问控制功能。
各功能模块的作用与工作原理如下:
管理中心:集成身份认证、数据托管、权限控制、单点登录、行为审计五大功能模块,形成业务访问唯一入口,建立贯穿业务维护与访问流程的全生命周期管控能力;
用户身份管理模块:建立用户统一认证接口,实现自然人与平台账号的唯一绑定关系。
应用与账号管理模块:集中托管业务应用与账号,通过业务应用添加接口进行业务应用维护,添加时,需指定应用名称(ServiceName)、应用地址(domain)、用户名称(Account)、登录密码(Passwd)、描述信息(Desc),进行绑定,提交应用托管,此时管理中心分配唯一应用标识(ServiceId),并完成入库,进行集中存储。
权限管理模块:包含用户访问权限管理与URL控制权限管理,权限中标注了用户是否具备业务应用的访问权限,是在入口层进行了控制;URL控制权限管理表示用户登录业务应用时,能够完成哪些URL请求,是在访问交户层进行了控制。
在URL权限控制管理时,管理中心通过应用ID(ServiceId)关联PowerId实现控制权限策略的添加,PowerId指向一条有效的权限控制策略;策略通过添加控制权限接口进行维护,其内容包含用户策略名称(PowerName)、URL地址池(一组允许或禁止用户访问的URL资源,地址池可通过人工维护的方式添加或删除,也可通过URL权限控制器自动学习),管理中心对用户提交的策略添加请求,分配权限ID(PowerId),完成入库,进行集中存储;
在创建用户访问权限时,管理中心完成用户ID(UserId)与访问权限ID(OpereteEventID)的绑定,OpereteEventID指向了一条有效的访问策略,策略通过访问策略添加接口进行维护,策略由应ID(ServiceId)、用户ID(UserId)、应用账号(Account)、有效期(TimeRange)、控制权限ID(powerId)、控制模式(status)组成,建立完整的业务应用访问权限。
单点登录模块:单点登录由地址请求与用户名密码自动填充两部分组成;
在地址请求过程中,主要完成了用户对目标应用的访问并将访问重定向到URL权限控制中;用户触发单点登录时,携带用户ID、请求地址、访问目标,管理中心依据用户ID(UserId)查询关联到此的访问权限策略(operateEventId),解析TimeRange、PowerId、ServiceId的对应关系,策略匹配时,调用单点登录(SSO)接口,SSO模块通过RemoteApp模式连接至正确配置了指向URL权限控制器的正向代理浏览器(应用发布服务器),完成业务应用(domain)的自动访问并返回用户交互接口;
用户名密码自动代填功能:通过浏览器插件实现,浏览器插件解析单点登录策略,读取Account与Passwd,并填充到请求页面的用户名与密码<input>标签中,实现自动登录。
用户行为审计模块:管理中心基于RDP协议,实现用户操作全过程的操作录像审计;
URL权限控制器:创建在用户交互接口处的策略拦截点,负责控制策略解析及响应、用户请求URL解析与判定(access_url_handle)、策略学习、URL请求审计。
本发明提供了一种web访问控制的系统,能够对访问者提出的URL请求进行访问控制,可以对不同人员设置不同的权限,在保证系统数据安全的前提下,方便了工作人员进行访问操作。
如图2所示,一种基于URL的web应用权限访问控制方法,包括以下步骤:
S1、通过管理中心创建访问者身份,并建立访问者的权限标记,得到访问者账号和权限策略;
S2、通过访问者账号发出访问请求,通过管理中心进行身份验证,获取访问者账号的权限策略;
S3、以通过身份验证的访问者账号触发单点登录,并通过管理中心解析权限策略,获取访问数据;
S4、将访问数据传输至URL权限控制器,请求访问;
S5、通过URL权限控制器对访问数据进行处理,为访问者进行请求页面或者拦截结果的转发,并对整个请求过程进行操作录像审计,完成web应用权限访问控制。
所述步骤S1具体为:
S1.1、通过标记访问者的电话号码、邮箱和USB-KEY数据,建立自然人与业务账号的唯一绑定关系,得到访问者身份;
S1.2、建立访问者的权限标记,获取权限策略;
所述访问者身份还包括动态令牌,所述权限策略包括访问者能够获取的资源信息、用以访问业务的账号信息、能够访问的业务数据、访问模式、访问业务的时间范围和访问业务的地址范围信息。
所述步骤S2中通过管理中心进行身份验证的具体方法为:对访问者的登录密码、动态令牌和USB-KEY数据进行验证;
所述步骤S2获取访问者账号的权限策略的具体方法为:获取权限策略中的访问时间和访问地址范围信息,根据权限策略进行业务资源和业务账号的动态加载。
所述步骤S3中访问数据包括访问者信息、资源信息、访问模式和访问权限信息。
所述步骤S5具体为:
S5.1、根据访问模式并通过URL权限控制器进行策略重组,生成控制策略与学习策略;
S5.1、根据控制策略与学习策略,为访问者进行请求页面或者拦截结果的转发,并对整个请求过程进行操作录像审计,完成web应用权限访问控制。
所述控制策略具体为:通过URL权限控制器获取运维用户当前请求访问的URL地址信息,并与权限策略进行匹配,将策略匹配结果作为控制决策的依据;若匹配成功,则通过URL权限控制器为运维用户转发实际请求的页面数据;若策略匹配失败,则通过URL权限控制器拦截运维用户的访问请求,并为运维用户返回权限错误。
所述学习策略具体为:通过URL权限控制器对访问者的access_url访问请求进行标记,待访问者进行访问后,根据访问结果对标记的access_url访问请求进行整合,获取符合访问者的访问习惯的权限策略,并记录访问者的访问轨迹,生成访问审计。
(1)本发明采用了数据库权限控制应用代理技术,对业务系统URL访问者进行身份认证,动态授权,口令校验,对用户的身份以及权限进行多重校验。
(2)本发明能够生成所有用户在业务系统中的URL访问行为的审计信息,并上传至业务管理中心的用户行为审计模块,方便进行权限管理。
(3)本发明可通过数据库权限控制器中的学习模式,自主根据角色设置构建权限列表,方便灵活。

Claims (5)

1.一种基于URL的web应用权限访问控制系统,其特征在于,包括相互连接的管理中心和URL权限控制器;
所述管理中心用于提供web业务访问入口,并进行业务维护与访问流程的全生命周期管控;所述URL权限控制器用于创建在用户交互接口处的策略拦截点、控制策略解析及响应、用户请求URL解析与判定、策略学习和URL请求审计;
根据访问模式并通过URL权限控制器进行策略重组,生成控制策略与学习策略;
所述控制策略具体为:通过URL权限控制器获取运维用户当前请求访问的URL地址信息,并与权限策略进行匹配,将策略匹配结果作为控制决策的依据;若匹配成功,则通过URL权限控制器为运维用户转发实际请求的页面数据;若策略匹配失败,则通过URL权限控制器拦截运维用户的访问请求,并为运维用户返回权限错误;
所述学习策略具体为:通过URL权限控制器对访问者的access_url访问请求进行标记,待访问者进行访问后,根据访问结果对标记的access_url访问请求进行整合,获取符合访问者的访问习惯的权限策略,并记录访问者的访问轨迹,生成访问审计;
根据控制策略与学习策略,为访问者进行请求页面或者拦截结果的转发,并对整个请求过程进行操作录像审计,完成web应用权限访问控制;
所述管理中心包括用户身份管理模块、应用与账号管理模块、权限管理模块、单点登录模块和用户行为审计模块;
所述用户身份管理模块用于建立用户认证接口,建立自然人与web应用权限访问控制系统的唯一绑定关系;所述应用与账号管理模块用于集中托管业务应用与账号,通过业务应用添加接口进行业务应用维护;所述权限管理模块用于用户访问权限管理;所述单点登录模块用于地址请求和用户名密码自动填充;所述用户行为审计模块用于用户操作全过程的操作录像审计;
所述应用与帐号管理模块,集中托管应用业务与帐号,通过业务应用添加接口进行业务应用维护,添加时,指定应用名称、应用地址、用户名称、登陆密码、描述信息进行绑定,提交应用托管,此时管理中心分配唯一应用标识,并完成入库,进行集中存储;
所述权限管理模块,包括用户访问权限管理与URL控制权限管理,用户访问权限中标了用户是否具备业务应用的访问权限,是入口层进行了控制,URL控制权限管理表示用户登陆业务应用时,完成URL请求,在访问交互层进行控制;
在URL权限控制管理时,管理中心通过应用ID关联控制权限ID实现控制权限策略的添加,控制权限ID指向一条有效的权限控制策略,权限控制策略通过添加控制权限接口进行维护,其内容包含用户策略名称、URL地址池,管理中心对用户提交的策略添加请求,分配权限ID,完成入库,进行集中存储;
在创建用户访问权限时,管理中心完成用户ID与访问权限ID的绑定,访问权限ID指向了一条有效的访问策略,通过访问策略添加接口进行维护,访问策略由应ID、用户ID、应用帐号、有效期、控制权限ID、控制式组成,建立完整的业务访问权限;
在地址请求中,完成用户对目标应用的访问并将访问重定向至URL权限控制中,用户触发单点登录时,携带用户ID、请求地址、访问目标,管理中心依据用户ID查询关联到此访问权限策略、解析有效期、控制权限ID、应ID的对应关系,策略匹配时,调用单点登录接口,单点登录接口通过连接至正确配置了指向URP权限控制器的正向代理浏览器,完成业务应用的自动访问并返回用户交互接口;
用户密码自动填充通过浏览器插件实现,浏览器插件解析单点登录策略,读取应用账号与登录密码,并填充至请求页面的用户名与密码标签中,实现自动登。
2.如权利要求1所述的一种基于URL的web应用权限访问控制系统的控制方法,其特征在于,包括以下步骤:
S1、通过管理中心创建访问者身份,并建立访问者的权限标记,得到访问者账号和权限策略;
S2、通过访问者账号发出访问请求,通过管理中心进行身份验证,获取访问者账号的权限策略;
S3、以通过身份验证的访问者账号触发单点登录,并通过管理中心解析权限策略,获取访问数据;
S4、将访问数据传输至URL权限控制器,请求访问;
S5、通过URL权限控制器对访问数据进行处理,为访问者进行请求页面或者拦截结果的转发,并对整个请求过程进行操作录像审计,完成web应用权限访问控制;
所述步骤S5具体为:
S5.1、根据访问模式并通过URL权限控制器进行策略重组,生成控制策略与学习策略;
所述控制策略具体为:通过URL权限控制器获取运维用户当前请求访问的URL地址信息,并与权限策略进行匹配,将策略匹配结果作为控制决策的依据;若匹配成功,则通过URL权限控制器为运维用户转发实际请求的页面数据;若策略匹配失败,则通过URL权限控制器拦截运维用户的访问请求,并为运维用户返回权限错误;
所述学习策略具体为:通过URL权限控制器对访问者的access_url访问请求进行标记,待访问者进行访问后,根据访问结果对标记的access_url访问请求进行整合,获取符合访问者的访问习惯的权限策略,并记录访问者的访问轨迹,生成访问审计;
S5.2、根据控制策略与学习策略,为访问者进行请求页面或者拦截结果的转发,并对整个请求过程进行操作录像审计,完成web应用权限访问控制。
3.根据权利要求2所述的基于URL的web应用权限访问控制方法,其特征在于,所述步骤S1具体为:
S1.1、通过标记访问者的电话号码、邮箱和USB-KEY数据,建立自然人与业务账号的唯一绑定关系,得到访问者身份;
S1.2、建立访问者的权限标记,获取权限策略;
所述访问者身份还包括动态令牌,所述权限策略包括访问者能够获取的资源信息、用以访问业务的账号信息、能够访问的业务数据、访问模式、访问业务的时间范围和访问业务的地址范围信息。
4.根据权利要求3所述的基于URL的web应用权限访问控制方法,其特征在于,所述步骤S2中通过管理中心进行身份验证的具体方法为:对访问者的登录密码、动态令牌和USB-KEY数据进行验证;
所述步骤S2获取访问者账号的权限策略的具体方法为:获取权限策略中的访问时间和访问地址范围信息,根据权限策略进行业务资源和业务账号的动态加载。
5.根据权利要求4所述的基于URL的web应用权限访问控制方法,其特征在于,所述步骤S3中访问数据包括访问者信息、资源信息、访问模式和访问权限信息。
CN202011379174.5A 2020-12-01 2020-12-01 一种基于URL的web应用权限访问控制系统及方法 Active CN112491902B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011379174.5A CN112491902B (zh) 2020-12-01 2020-12-01 一种基于URL的web应用权限访问控制系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011379174.5A CN112491902B (zh) 2020-12-01 2020-12-01 一种基于URL的web应用权限访问控制系统及方法

Publications (2)

Publication Number Publication Date
CN112491902A CN112491902A (zh) 2021-03-12
CN112491902B true CN112491902B (zh) 2023-05-30

Family

ID=74937879

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011379174.5A Active CN112491902B (zh) 2020-12-01 2020-12-01 一种基于URL的web应用权限访问控制系统及方法

Country Status (1)

Country Link
CN (1) CN112491902B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112948884B (zh) * 2021-03-25 2022-12-09 中国电子科技集团公司第三十研究所 一种对应用级用户实施大数据访问控制的方法和系统
CN113448587B (zh) * 2021-05-08 2023-11-03 北京中数创新科技股份有限公司 一种基于标识解析架构的信息路由系统及方法
CN115065529B (zh) * 2022-06-13 2023-11-03 北京寰宇天穹信息技术有限公司 一种基于融合主客体关键信息的可信标签的访问控制方法
WO2024011101A1 (en) * 2022-07-05 2024-01-11 Capital One Services, Llc Validation of a network operation related to use of a token via token-request-triggered storage of snapshot url data

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6092196A (en) * 1997-11-25 2000-07-18 Nortel Networks Limited HTTP distributed remote user authentication system
US7243369B2 (en) * 2001-08-06 2007-07-10 Sun Microsystems, Inc. Uniform resource locator access management and control system and method
US20040010710A1 (en) * 2002-07-10 2004-01-15 Wen-Hao Hsu Method and system for filtering requests to a web site
US8365271B2 (en) * 2008-02-27 2013-01-29 International Business Machines Corporation Controlling access of a client system to access protected remote resources supporting relative URLs
CN202737911U (zh) * 2012-06-12 2013-02-13 中国人民解放军91655部队 一种权限控制系统
CN202940842U (zh) * 2012-06-12 2013-05-15 中国人民解放军91655部队 一种访问控制系统
CN102868738A (zh) * 2012-08-30 2013-01-09 福建富士通信息软件有限公司 基于Web代理的HTTP/HTTPS行为管控的审计方法
CN104852830A (zh) * 2015-06-01 2015-08-19 广东电网有限责任公司信息中心 基于机器学习的业务访问模型及其实现方法
CN104994076A (zh) * 2015-06-01 2015-10-21 广东电网有限责任公司信息中心 一种基于机器学习的日常访问模型实现方法及系统
CN105704120B (zh) * 2016-01-05 2019-03-19 中云网安科技(北京)有限公司 一种基于自学习形式的安全访问网络的方法
CN105653725A (zh) * 2016-01-22 2016-06-08 湖南大学 基于条件随机场的mysql数据库强制访问控制自适应优化方法
CN107454055B (zh) * 2017-05-17 2020-08-28 中云网安科技(北京)有限公司 一种通过安全学习保护网站的方法、装置和系统
CN107276986B (zh) * 2017-05-17 2020-12-18 中云网安科技(北京)有限公司 一种通过机器学习保护网站的方法、装置和系统
CN109167780B (zh) * 2018-08-28 2021-08-24 下一代互联网重大应用技术(北京)工程研究中心有限公司 一种控制资源访问的方法、设备、系统和介质

Also Published As

Publication number Publication date
CN112491902A (zh) 2021-03-12

Similar Documents

Publication Publication Date Title
CN112491902B (zh) 一种基于URL的web应用权限访问控制系统及方法
CN102638454B (zh) 一种面向http身份鉴别协议的插件式单点登录集成方法
CN104320423B (zh) 基于Cookie的单点登录轻量级实现方法
US8281374B2 (en) Attested identities
US6892307B1 (en) Single sign-on framework with trust-level mapping to authentication requirements
CN107786571A (zh) 一种用户统一认证的方法
EP1830512B1 (en) A method and system for realizing the domain authentication and network authority authentication
CN110891060A (zh) 一种基于多业务系统集成的统一认证系统
CN107277049A (zh) 一种应用系统的访问方法及装置
CN111147526B (zh) 一种跨公网实现多云管控的安全认证方法
CN103404103A (zh) 将访问控制系统与业务管理系统相结合的系统和方法
CN107426174A (zh) 一种可信执行环境的访问控制系统及方法
CN106209726A (zh) 一种移动应用单点登录方法及装置
JP5342020B2 (ja) グループ定義管理システム
CN107770192A (zh) 在多系统中身份认证的方法和计算机可读存储介质
CN105141580B (zh) 一种基于ad域的资源访问控制方法
CN109150800A (zh) 一种登录访问方法、系统和存储介质
US20090260066A1 (en) Single Sign-On To Administer Target Systems with Disparate Security Models
US7428748B2 (en) Method and system for authentication in a business intelligence system
CN113259357A (zh) 一种基于OAuth2的单点登录方法
EP1517510B1 (en) Moving principals across security boundaries without service interruptions
US20230306103A1 (en) Pre-registration of authentication devices
CN109905402B (zh) 基于ssl vpn的sso登录方法和装置
CN107819610A (zh) 一种电网运行管理系统单点集成的方法
Brachmann et al. Simplified authentication and authorization for restful services in trusted environments

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant