CN112738047B - 一种业务系统的访问控制方法及零信任系统 - Google Patents
一种业务系统的访问控制方法及零信任系统 Download PDFInfo
- Publication number
- CN112738047B CN112738047B CN202011545571.5A CN202011545571A CN112738047B CN 112738047 B CN112738047 B CN 112738047B CN 202011545571 A CN202011545571 A CN 202011545571A CN 112738047 B CN112738047 B CN 112738047B
- Authority
- CN
- China
- Prior art keywords
- user
- sso
- access
- information
- service system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本申请公开了一种业务系统的访问控制方法,包括:零信任系统接收用户对内网系统中任一业务系统的访问请求,根据所述用户的登录状态从单点登录SSO系统获取所述用户的身份信息;根据所述身份信息和预先为各业务系统分别配置的用户许可信息,判断是否允许所述用户访问所述任一业务系统,若允许,则将所述访问请求接入到所述任一业务系统中,否则,向所述用户反馈拒绝访问的信息。本申请还公开了一种零信任系统。应用本申请,能够针对各种应用系统访问进行统一的用户层面的身份认证,认证鉴权后才能访问到应用系统。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种业务系统的访问控制方法及零信任系统、一种计算机可读存储介质以及一种电子设备。
背景技术
传统的企业网络是基于信任边界的,往往在内网中存在大量的无认证服务,通过办公网络可以直接访问到其中,容易导致敏感数据泄漏事件发生,泄漏事件发生后难以溯源审计。
现有的访问控制手段主要是防火墙和WAF(Web Application Firewall,Web应用防火墙)。防火墙串联到网络架构中作为边界的访问控制手段,防火墙根据接口划分不同的安全域,对于不同安全域之间的访问数据会进行数据包的检测和过滤,从而实现跨边界的IP-端口级别4层网络访问控制。WAF通过串联到HTTP业务的处理过程中,能够基于规则对指定的HTTP请求进行异常检测,识别攻击行为,对恶意的请求进行拦截阻断。
但是上述防火墙只能实现IP-端口级别的4层网络访问控制,而不能对HTTP(S)流量进行分析和处理,不能参与到业务的访问流程当中。由于只记录IP端口和协议的5元组信息,不明识别到具体访问者的身份、访问的域名、路径等应用层信息。同时,WAF只能基于规则去识别HTTP流量中的入侵行为,不具有认证和鉴权的访问控制能力。因此通过防火墙和WAF并不能解决内部服务无认证、鉴权以及应用层审计缺失问题。
发明内容
针对上述现有技术,本申请实施例公开一种业务系统的访问控制方法及零信任系统,能够针对各种应用系统访问进行统一的用户层面的身份认证,认证鉴权后才能访问到应用系统。
一种业务系统的访问控制方法,该方法包括:
零信任系统接收用户对内网系统中任一业务系统的访问请求,根据所述用户的登录状态从单点登录SSO系统获取所述用户的身份信息;
根据所述身份信息和预先为各业务系统分别配置的用户许可信息,判断是否允许所述用户访问所述任一业务系统,若允许,则将所述访问请求接入到所述任一业务系统中,否则,向所述用户反馈拒绝访问的信息。
较佳地,所述根据所述用户的登录状态从单点登录SSO系统获取所述用户的身份信息包括:
当所述用户未登录时,引导所述用户转入SSO系统进行用户登录,并在登录完成后从所述SSO系统获取所述用户登录后的身份信息;
当所述用户已登录时,引导所述用户转入SSO系统,并从所述SSO系统获取所述用户登录后的身份信息。
较佳地,在转入所述SSO系统后,SSO颁发针对所述用户本次登录的票据ticket给所述零信任系统,并通过302跳转将所述ticket传递给所述零信任系统;
所述从所述SSO系统获取所述用户登录后的身份信息包括:所述零信任系统通过所述SSO系统颁发的ticket换取所述用户的身份信息。
较佳地,预先为各业务系统分别配置用户许可信息的方式包括:
对应业务系统配置允许访问和/或不允许访问该业务系统的用户信息和/或用户组信息;其中,通过URL前缀区分不同的业务系统。
较佳地,所述判断是否允许所述用户访问所述任一业务系统包括:
根据所述访问请求的URL前缀确定要访问的业务系统,查找相应业务系统的用户许可信息,判断所述用户的身份信息是否属于相应业务系统中允许访问的用户或用户组。
一种零信任系统,该系统包括:网关模块、身份认证模块和权限管理模块;
所述网关模块,用于接收用户对任一业务系统的访问请求;还用于接收所述权限管理模块的判决结果,若允许所述用户访问所述任一业务系统,将所述访问请求接入到所述任一业务系统中,否则,向所述用户反馈拒绝访问的信息;
所述身份认证模块,用于根据所述用户的登录状态从单点登录SSO系统获取所述用户的身份信息;
所述权限管理模块,用于预先为各业务系统分别配置用户许可信息,还用于根据所述身份认证模块获取的身份信息和所述用户许可信息,判断是否允许所述用户访问所述任一业务系统,并将判决结果通知所述网关模块。
较佳地,所述身份认证模块根据所述用户的登录状态从单点登录SSO系统获取所述用户的身份信息包括:
当所述身份认证模块确定用户未登录时,通知所述网关模块将所述访问请求转入SSO系统进行用户登录,所述身份认证模块从所述SSO系统获取所述用户登录后的身份信息;
当所述身份认证模块确定用户已登录时,通知所述网关模块将所述访问请求转入SSO系统,所述身份认证模块从所述SSO系统获取所述用户登录后的身份信息。
较佳地,所述身份认证模块,还用于通过所述SSO系统的302跳转接收转入所述SSO系统后所述SSO系统针对所述用户本次登录颁发的ticket;
所述身份认证模块从所述SSO系统获取所述用户登录后的身份信息包括:所述身份认证模块通过所述SSO系统颁发的ticket换取所述用户的身份信息。
较佳地,所述权限管理模块预先为各业务系统分别配置用户许可信息的方式包括:
对应业务系统配置允许访问和/或不允许访问该业务系统的用户信息和/或用户组信息;其中,通过URL前缀区分不同的业务系统。
较佳地,所述权限管理模块判断是否允许所述用户访问所述任一业务系统包括:
所述权限管理模块根据所述访问请求的URL前缀确定要访问的业务系统,查找相应业务系统的用户许可信息,判断所述用户的身份信息是否属于相应业务系统中允许访问的用户或用户组。
一种计算机可读存储介质,其上存储有计算机指令,所述指令被处理器执行时可实现所述零信任系统的实现方法。
一种电子设备,该电子设备至少包括计算机可读存储介质,还包括处理器;
所述处理器,用于从所述计算机可读存储介质中读取所述可执行指令,并执行所述指令以实现所述零信任系统的实现方法。
由上述可见,本申请中零信任系统接收用户对某业务系统的访问请求,根据该用户的登录状态从单点登录(SSO)系统获取相应用户的身份信息。根据身份信息和预先为各业务系统分别配置的用户许可信息,判断是否允许用户访问相应的业务系统,若允许,则将访问请求接入到相应的业务系统中,否则,向用户反馈拒绝访问的信息。通过上述方式,能够将网络中的各种业务应用统一接入SSO系统进行登录,并在零信任系统中完成对各业务应用的访问请求进行用户级别的鉴权。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请零信任系统的示意图。
图2是本申请零信任系统与SSO系统和其他业务系统的连接关系示意图。
图3是本申请中业务系统访问控制方法的基本流程示意图。
图4是本申请业务系统访问控制方法中用户访问时序示意图。
图5是本申请实施例实现访问控制方法的电子设备结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含。例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其他步骤或单元。
下面以具体实施例对本发明的技术方案进行详细说明。下面几个具体实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
本申请提供一种业务系统的访问控制方法以及零信任系统,用于为内网系统的各个业务应用提供统一的用户登录和用户级别认证,实现用户级别的访问控制。具体地,零信任指的是不存在网络层的默认固有权限,只有在通过了身份验证之后当前用户才具备权限。同时,本申请的零信任系统可以强制控制必须认证鉴权后才能访问到应用系统,并且接入零信任系统可以实现访问控制,不需要对业务系统做代码层面的改造。
图1是本申请零信任系统的结构示意图,图2为零信任系统与SSO系统和其他业务系统的连接关系示意图,图3为本申请中业务系统访问控制方法的流程示意图。如图1所示,零信任系统包括网关模块、身份认证模块和权限管理模块。下面参照图3介绍本申请中提供的业务系统的访问控制方法,其中零信任系统的组成及其与SSO系统和其他业务系统的关联关系以图1和图2为例进行介绍,具体访问控制方法包括:
步骤301,零信任系统接收用户A对内网系统中某业务系统B的访问请求。
本实施例中,以用户A要访问业务系统B为例进行说明。用户A对于业务系统B的访问请求也就是用户A输入的HTTP地址。
本步骤中,用于A的访问请求首先接入零信任系统中进行处理。具体在实现时,当采用如图1所示的零信任系统结构时,可以由网关模块负责对HTTP(S)流量进行接入,对于HTTPS流量可以实现统一的证书验证和TLS卸载,实现证书的统一管理,HTTP流量回源到内部业务系统。
步骤302,根据用户A的登录状态从SSO系统获取用户的身份信息。
本步骤中从SSO系统获取用户的身份信息,用于后续零信任系统对用户进行身份认证。
具体地,当用户未登录时,零信任系统将用户引导到SSO系统进行登录,在登录完成后从SSO系统获取用户A登录后的身份信息;当用户已登录时,零信任系统引导用户转入SSO系统,并从SSO系统获取用户A登录后的身份信息。其中,用户在转入SSO系统后,SSO可以颁发针对用户A本次登录的票据(ticket),并通过“302跳转”将该ticket传递给零信任系统(具体可以是图1所示零信任系统中的身份认证模块);零信任系统通过SSO系统颁发的ticket换取用户A的身份信息。
这里,若用户未登录,则转入SSO系统后首先完成登录操作;若用户已登录,则本次转入SSO系统就可以免登录。其中,已登录用户的免登录在逻辑上仍然被SSO系统认为进行了一次登录,只是没有真正执行登录操作。无论用户A在本次是否真正执行登录操作,SSO系统都会针对用户A的本次登录颁发ticket。也就是说,对于已登录用户,SSO系统仍然会为用户A颁发新的ticket。由于ticket是针对每个用户每次登录颁发的,因此,零信任系统可以通过ticket从SSO系统换取到该ticket所属用户A的身份信息。另外,302是指http协议中状态码为302的代表跳转含义的响应,零信任系统将SSO系统处理后的跳转地址修改为该零信任系统,这样,SSO系统中“302跳转”的目的地就是零信任系统(具体可以是图1所示零信任系统中的身份认证模块),零信任系统也就可以通过SSO系统的“302跳转”接收ticket。
例如,以企业内部典型的CAS(Central Authentication Service,集中式认证服务)形式的SSO系统实现为例,假定登录链接为:https://login.oa.com/login?service=http://target.oa.com/login?gotoURL=%252F。其中service参数为登录完成后的跳转地址(现有技术中通常为要访问的业务地址),本实施例的处理中将该跳转地址修改为身份认证模块的地址,SSO系统会颁发ticket,并通过“302跳转”将该ticket传递至该跳转地址,形如:https://target.oa.com/login?gotoURL=%2F&ticket=ST-4473283- rUDhLKD1JBvAXRSSDKNt5oAnFPs-oa.com。这样可以在身份认证模块继续进行身份认证。
身份认证模块可以通过ticket向SSO换取用户身份信息。零信任系统通过修改跳转地址使得登录完成后先跳转到零信任的身份认证模块进行认证,认证完毕后再跳转到真实业务地址,使得对于未接入SSO的业务,零信任系统可以实现代理接入而不需要业务系统改造或接入SSO。其具体实现方式可以为:强制用户跳转至https://login.oa.com/login? service=http%3A%2F%2Fauth.oa.com%2Fauth%3Fredirect_url%3Dhttp%253A%252F%252Ftarget.oa.com%252F;在完成登录后,会跳转至如http://auth.oa.com/auth? redirect_url=http%3A%2F%2Ftarget.oa.com%2F&ticket=ST-4473283-rUDhLKD1JBvAXRSSDKNt5oAnFPs-oa.com的地址,auth.oa.com为零信任的身份认证模块,再通过ticket换取用户身份信息,并在当前的父域名(即oa.com)种植用户在零信任系统中的身份凭证cookie后,跳转至redirect_url参数地址(即target.oa.com),也就是用户实际要访问的业务系统URL。
通过上述方式可以将对各个业务应用的访问请求转入SSO系统进行登录,不需要各个业务系统各自单独接入SSO系统登录,尽可能多地避免业务系统改造代码实现用户登录。同时,零信任系统能够获取用户的身份信息,以实现用户级别的认证。
步骤303,根据步骤302获取的身份信息和预先为各业务系统分别配置的用户许可信息,判断是否允许用户访问相应的业务系统,若允许,则执行步骤304,否则执行步骤305。
在零信任系统中,预先为各业务系统分别配置用户许可信息,用于作为用户认证的判决基础。其中,具体配置方式可以为:对应业务系统配置允许访问和/或不允许访问该业务系统的用户信息和/或用户组信息;优选地,可以通过URL前缀区分不同的业务系统。
这样就可以在系统中实现访问权限的统一配置功能,下面给出一个简单的例子,配置的访问权限的基本元素可以包括:业务、用户(组)和动作。其中,业务是URL的集合,在后续的判断逻辑中会按照URL的前缀匹配判断当前访问地址是否属于这个业务,如:业务X、URL(https://a.com/),则当访问所有URL前缀为https://a.com/的时候,零信任系统都会认为属于业务X。系统支持用户和用户组的配置,既可以配置单个或多个用户的访问权限,也可以配置一个组织(如企业中一个部门)的访问权限。动作可以包括允许访问和拒绝访问两种形式。
在完成上述配置后,优选地,判断是否允许用户访问某业务系统的处理可以包括:根据访问请求的URL前缀确定要访问的业务系统,查找相应业务系统的用户许可信息,判断用户的身份信息是否属于相应业务系统中允许访问的用户或用户组。
具体到本实施例中,待获取到用户A的身份信息后,就可以根据用户A的访问请求的URL前缀确定其需要访问的业务系统B,然后在配置信息中查找业务系统B的相关配置,确定出业务系统B的用户许可信息,即允许和/或不允许哪些用户或用户组的访问。利用查找到的业务系统B的用户许可信息,比对用户A的身份信息,判断用户A是否属于允许访问的用户,若是,则确定允许用户A访问业务系统B,执行步骤304;否则,确定不允许用户A访问业务系统B,执行步骤305。
上述本步骤的处理可以在图1所示零信任系统中的权限管理模块完成。
步骤304,将访问请求接入到业务系统(例如业务系统B)中。
网关模块也是负责对控制策略进行强制执行的模块,即进行流量的阻断、修改和放行。当确定用户A有权限访问业务系统B时,就可以由图1所示零信任系统中的网关模块将访问请求路由到业务系统B中。网关模块还具备负载均衡的能力,能够将请求负载分流到多个后端服务节点。
步骤305,向用户反馈拒绝访问的信息。
当确定用户A无权访问业务系统B时,可以由图1所示零信任系统中的网关模块向用户反馈拒绝访问的信息,通知用户无权访问。
至此,本申请中业务系统访问控制方法的基本流程结束。下面再结合图1总结一下零信任系统的具体组成结构,该零信任系统可以用于实施上述本申请中业务系统的访问控制方法。
如图1所示,零信任系统中的网关模块,用于接收用户对任一业务系统的访问请求;还用于接收权限管理模块的判决结果,若判决结果为允许用户访问该任一业务系统,将访问请求接入到任一业务系统中,否则,向用户反馈拒绝访问的信息。身份认证模块,用于根据用户的登录状态从SSO系统获取相应用户的身份信息。权限管理模块,用于预先为各业务系统分别配置用户许可信息,还用于根据身份认证模块获取的身份信息和用户许可信息,判断是否允许用户访问任一业务系统,并将判决结果通知网关模块。
更详细地,身份认证模块会和SSO系统对接联动,将用户跳转到SSO系统,根据用户的登录状态从SSO系统获取相应用户的身份信息。其中在身份认证模块中,根据用户的登录状态从SSO系统获取用户身份信息的处理可以具体包括:当用户未登录时,通知网关模块将访问请求转入SSO系统进行用户登录,身份认证模块从SSO系统获取用户登录后的身份信息;当用户已登录时,通知网关模块将访问请求转入SSO系统,身份认证模块从SSO系统获取用户登录后的身份信息。
身份认证模块从SSO系统获取用户登录后的身份信息可以包括:通过SSO系统的302跳转接收用户转入SSO系统后该SSO系统针对用户本次登录颁发的ticket,并通过颁发的ticket换取用户的身份信息。
另外优选地,为实现各业务系统的用户许可信息配置,权限管理模块可以对应业务系统配置允许访问和/或不允许访问该业务系统的用户信息和/或用户组信息;其中,通过URL前缀区分不同的业务系统。
基于上述权限管理模块的配置,在权限管理模块中判断是否允许用户访问任一业务系统的具体处理可以包括:权限管理模块根据访问请求的URL前缀确定要访问的业务系统,查找相应业务系统的用户许可信息,判断用户的身份信息是否属于相应业务系统中允许访问的用户或用户组。
下面给出一个本申请中业务系统访问控制方法的实例,如图4所示,用户的一次具体访问流程可以包括:
1.用户访问内部业务系统时,流量会走到网关模块;
2.网关模块会将请求转发给身份认证模块,身份认证模块返回给网关当前请求中的登录状态。
3.如果用户未登录,身份认证模块会返回给网关模块一个需要跳转的登录URL;
4.由网关模块通过“302响应”返回给用户,引导用户进行登录;
5.用户登录完成后再次访问网关模块;
6.网关模块将ticket(企业内的SSO系统通常为CAS实现,身份信息通过短效ticket获取)传递给身份认证模块进行验证。
7.身份认证模块会将获取到的身份信息返回给网关模块;
8.网关模块将当前访问的URL、用户身份信息发给权限管理模块进行权限判断;
9.权限管理模块进行决策,返回当前网关模块需要执行的动作,包括放行、拒绝等;
10.当动作为放行时,网关模块按照负载均衡策略将请求发给对应的业务系统;
11.业务系统将响应发送给网关模块;
12.网关模块将响应发送给请求的发起方。如果是第一次访问,则种植凭证在cookie当中,后续一定有效期内只需要检查cookie中的凭证即可。
通过上述本申请中业务系统访问控制方法以及零信任系统的具体实现可见,本申请实现一种接入无需代码改造的统一强制基于用户身份的认证鉴权和审计的“零信任”系统。企业内部的业务系统接入零信任系统后,当用户(员工)访问内部业务系统时,零信任系统能够实现对登录状态的判断,会触发统一的登录界面要求登录,在登录完成后即认证了用户身份。零信任系统基于认证后的用户身份判断当前用户有访问权限后,才允许用户访问对应的业务系统,并记录访问日志,在应用层实现了强制的基于用户身份的访问控制,实现统一的认证鉴权和审计而不需要业务系统做代码的改造。在整个处理过程中,内部业务系统只需要将域名解析到网关的IP,即可实现接入,通过在权限管理模块进行配置,即可实现URL级别的用户身份权限控制,接入和配置过程不需要修改业务系统代码,能够有效降低成本,并实现强制认证、鉴权和审计的能力。作为统一接入层接收HTTP(S)流量,能够对流量进行分析、检测、修改和记录,能够将一个完整的HTTP请求加工后转发给后端业务系统,能够给请求的客户端发出响应报文。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储指令,所述指令在由处理器执行时可执行如上所述实现GPU虚拟化的方法中的步骤。实际应用中,所述的计算机可读介质可以是上述实施例各设备/装置/系统所包含的,也可以是单独存在,而未装配入该设备/装置/系统中。其中,在计算机可读存储介质中存储指令,其存储的指令在由处理器执行时可执行如上所述实现GPU虚拟化的方法中的步骤。
根据本申请公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件,或者上述的任意合适的组合,但不用于限制本申请保护的范围。在本申请公开的实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
如图5所示,本发明实施例还提供一种电子设备。如图5所示,其示出了本发明实施例所涉及的电子设备的结构示意图,具体来讲:
该电子设备可以包括一个或一个以上处理核心的处理器601、一个或一个以上计算机可读存储介质的存储器602以及存储在存储器上并可在处理器上运行的计算机程序。在执行所述存储器602的程序时,可以实现GPU虚拟化的方法。
具体的,实际应用中,该电子设备还可以包括电源603、输入输出单元604等部件。本领域技术人员可以理解,图5中示出的电子设备的结构并不构成对该电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器601是该电子设备的控制中心,利用各种接口和线路连接整个电子设备的各个部分,通过运行或执行存储在存储器602内的软件程序和/或模块,以及调用存储在存储器602内的数据,执行服务器的各种功能和处理数据,从而对该电子设备进行整体监控。
存储器602可用于存储软件程序以及模块,即上述计算机可读存储介质。处理器601通过运行存储在存储器602的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器602可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据服务器的使用所创建的数据等。此外,存储器602可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器602还可以包括存储器控制器,以提供处理器601对存储器602的访问。
该电子设备还包括给各个部件供电的电源603,可以通过电源管理系统与处理器601逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源603还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
该电子设备还可包括输入输出单元604,该输入单元输出604可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。该输入单元输出604还可以用于显示由用户输入的信息或提供给用户的信息以及各种图像用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。
本申请附图中的流程图和框图,示出了按照本申请公开的各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或者代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应该注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同附图中所标准的顺序发生。例如,两个连接地表示的方框实际上可以基本并行地执行,它们有时也可以按照相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或者流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本申请中。特别地,在不脱离本申请精神和教导的情况下,本申请的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,所有这些组合和/或结合均落入本申请公开的范围。
本文中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思路,并不用于限制本申请。对于本领域的技术人员来说,可以依据本发明的思路、精神和原则,在具体实施方式及应用范围上进行改变,其所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (6)
1.一种业务系统的访问控制方法,其特征在于,该方法包括:
零信任系统接收用户对内网系统中任一业务系统的访问请求,根据所述用户的登录状态从单点登录SSO系统获取所述用户的身份信息,并在所述任一业务系统的父域名种植所述用户在所述零信任系统中的身份凭证cookie;
根据所述身份信息和预先为多个业务系统中的每一个分别配置的用户许可信息,判断是否允许所述用户访问所述任一业务系统,若允许,则将所述访问请求接入到所述任一业务系统中,否则,向所述用户反馈拒绝访问的信息;
其中,所述根据所述用户的登录状态从单点登录SSO系统获取所述用户的身份信息包括:
当所述用户未登录时,引导所述用户转入SSO系统进行用户登录,并在登录完成后从所述SSO系统获取所述用户登录后的身份信息;
当所述用户已登录时,引导所述用户转入SSO系统,并从所述SSO系统获取所述用户登录后的身份信息;
所述用户许可信息为允许访问和/或不允许访问所述任一业务系统的用户信息和/或用户组信息;
所述从所述SSO系统获取所述用户登录后的身份信息包括:零信任系统将所述SSO系统处理后的跳转地址修改为该零信任系统,SSO颁发针对所述用户本次登录的票据ticket给所述零信任系统,并通过302跳转将所述ticket传递给所述零信任系统,所述零信任系统通过所述SSO系统颁发的ticket换取所述用户的身份信息。
2.根据权利要求1所述的方法,其特征在于,预先为各业务系统分别配置用户许可信息的方式包括:
对应业务系统配置允许访问和/或不允许访问该业务系统的用户信息和/或用户组信息;其中,通过URL前缀区分不同的业务系统。
3.根据权利要求2所述的方法,其特征在于,所述判断是否允许所述用户访问所述任一业务系统包括:
根据所述访问请求的URL前缀确定要访问的业务系统,查找相应业务系统的用户许可信息,判断所述用户的身份信息是否属于相应业务系统中允许访问的用户或用户组。
4.一种零信任系统,其特征在于,该系统包括:网关模块、身份认证模块和权限管理模块;
所述网关模块,用于接收用户对任一业务系统的访问请求;还用于接收所述权限管理模块的判决结果,若允许所述用户访问所述任一业务系统,将所述访问请求接入到所述任一业务系统中,否则,向所述用户反馈拒绝访问的信息;
所述身份认证模块,用于根据所述用户的登录状态从单点登录SSO系统获取所述用户的身份信息,并在所述任一业务系统的父域名种植所述用户在所述零信任系统中的身份凭证cookie;
所述权限管理模块,用于预先为多个业务系统中的每一个分别配置用户许可信息,还用于根据所述身份认证模块获取的身份信息和所述用户许可信息,判断是否允许所述用户访问所述任一业务系统,并将判决结果通知所述网关模块;
其中,所述身份认证模块根据所述用户的登录状态从单点登录SSO系统获取所述用户的身份信息包括:
当所述身份认证模块确定用户未登录时,通知所述网关模块将所述访问请求转入SSO系统进行用户登录,所述身份认证模块从所述SSO系统获取所述用户登录后的身份信息;
当所述身份认证模块确定用户已登录时,通知所述网关模块将所述访问请求转入SSO系统,所述身份认证模块从所述SSO系统获取所述用户登录后的身份信息;
所述身份认证模块从所述SSO系统获取所述用户登录后的身份信息包括:通过所述SSO系统的302跳转接收转入所述SSO系统后所述SSO系统针对所述用户本次登录颁发的ticket,并通过所述SSO系统颁发的ticket换取所述用户的身份信息。
5.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,所述指令被处理器执行时可实现权利要求1~3任一项所述零信任系统的实现方法。
6.一种电子设备,其特征在于,该电子设备至少包括如权利要求5所述的计算机可读存储介质,还包括处理器;
所述处理器,用于从所述计算机可读存储介质中读取所述可执行指令,并执行所述指令以实现上述权利要求1~3任一项所述零信任系统的实现方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011545571.5A CN112738047B (zh) | 2020-12-24 | 2020-12-24 | 一种业务系统的访问控制方法及零信任系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011545571.5A CN112738047B (zh) | 2020-12-24 | 2020-12-24 | 一种业务系统的访问控制方法及零信任系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112738047A CN112738047A (zh) | 2021-04-30 |
| CN112738047B true CN112738047B (zh) | 2023-08-25 |
Family
ID=75605086
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011545571.5A Active CN112738047B (zh) | 2020-12-24 | 2020-12-24 | 一种业务系统的访问控制方法及零信任系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112738047B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113542238B (zh) * | 2021-06-29 | 2023-06-16 | 上海派拉软件股份有限公司 | 一种基于零信任的风险判定方法及系统 |
| CN113824791B (zh) * | 2021-09-23 | 2023-03-21 | 深信服科技股份有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
| CN113904824B (zh) * | 2021-09-28 | 2022-11-04 | 贝壳找房(北京)科技有限公司 | 一种基于零信任策略的访问控制方法及介质 |
| CN113992402B (zh) * | 2021-10-27 | 2023-11-21 | 贝壳找房(北京)科技有限公司 | 一种基于零信任策略的访问控制方法、系统及介质 |
| CN114615328B (zh) * | 2022-01-26 | 2024-03-12 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制系统和方法 |
| CN114866331B (zh) * | 2022-05-31 | 2024-02-09 | 新华三信息安全技术有限公司 | 一种零信任网络下动态访问鉴权方法及设备、存储介质 |
| CN116192497B (zh) * | 2023-02-20 | 2023-08-04 | 大连理工大学 | 一种基于零信任体系的网络准入和用户认证的安全交互方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111143793A (zh) * | 2019-12-13 | 2020-05-12 | 支付宝(杭州)信息技术有限公司 | 访问控制方法和访问控制装置 |
| CN111382421A (zh) * | 2020-03-19 | 2020-07-07 | 深信服科技股份有限公司 | 一种业务访问控制方法、系统及电子设备和存储介质 |
| CN112019560A (zh) * | 2020-09-07 | 2020-12-01 | 长沙誉联信息技术有限公司 | 一种端到端的零信任安全网关系统 |
| CN112100675A (zh) * | 2020-11-05 | 2020-12-18 | 南京云信达科技有限公司 | 一种零信任的数据存储访问方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10944747B2 (en) * | 2016-05-25 | 2021-03-09 | Canon Information And Imaging Solutions, Inc. | Devices, systems, and methods for zero-trust single sign-on |
-
2020
- 2020-12-24 CN CN202011545571.5A patent/CN112738047B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111143793A (zh) * | 2019-12-13 | 2020-05-12 | 支付宝(杭州)信息技术有限公司 | 访问控制方法和访问控制装置 |
| CN111382421A (zh) * | 2020-03-19 | 2020-07-07 | 深信服科技股份有限公司 | 一种业务访问控制方法、系统及电子设备和存储介质 |
| CN112019560A (zh) * | 2020-09-07 | 2020-12-01 | 长沙誉联信息技术有限公司 | 一种端到端的零信任安全网关系统 |
| CN112100675A (zh) * | 2020-11-05 | 2020-12-18 | 南京云信达科技有限公司 | 一种零信任的数据存储访问方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 《零信任研究综述》;张宇等;《信息安全研究》;20200705;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112738047A (zh) | 2021-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112738047B (zh) | 一种业务系统的访问控制方法及零信任系统 | |
| US11677753B2 (en) | Method and system for anti-bot protection | |
| US9398102B2 (en) | Security for network delivered services | |
| CN102859934B (zh) | 网络可接入计算机服务的接入管理和安全保护系统和方法 | |
| US8813225B1 (en) | Provider-arbitrated mandatory access control policies in cloud computing environments | |
| CN104320423B (zh) | 基于Cookie的单点登录轻量级实现方法 | |
| US20160308868A1 (en) | System and Method for Secure Proxy-Based Authentication | |
| CN113067797B (zh) | 支持跨网络区域多终端多凭证的身份认证和鉴权系统 | |
| US10595320B2 (en) | Delegating policy through manufacturer usage descriptions | |
| US9154475B1 (en) | User authentication and authorization in distributed security system | |
| Gómez-Arevalillo et al. | Blockchain-based public key infrastructure for inter-domain secure routing | |
| Liu et al. | DACAS: integration of attribute-based access control for northbound interface security in SDN | |
| CN111212077B (zh) | 主机访问系统及方法 | |
| US20230091851A1 (en) | Techniques for protecting web-access | |
| CN115913583A (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
| DeJonghe et al. | Application Delivery and Load Balancing in Microsoft Azure | |
| US20220150277A1 (en) | Malware detonation | |
| CN112486649B (zh) | 一种顾及空间约束的gis服务网关平台 | |
| TWI470981B (zh) | 企業內網路的應用程序整合登錄方法及其驗證伺服器 | |
| Bailey et al. | Enabling the autonomic management of federated identity providers | |
| Faraji | Identity and access management in multi-tier cloud infrastructure | |
| CN116032500A (zh) | 业务访问流量管控方法、装置、设备和介质 | |
| Chu | Dynamic Role Lease Authorization Protocol for a Distributed Computing System. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |