CN113472796B - 一种数据中心门户管理方法及系统 - Google Patents

一种数据中心门户管理方法及系统 Download PDF

Info

Publication number
CN113472796B
CN113472796B CN202110764293.0A CN202110764293A CN113472796B CN 113472796 B CN113472796 B CN 113472796B CN 202110764293 A CN202110764293 A CN 202110764293A CN 113472796 B CN113472796 B CN 113472796B
Authority
CN
China
Prior art keywords
portal
user
server
information
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110764293.0A
Other languages
English (en)
Other versions
CN113472796A (zh
Inventor
王琳
宫俊亭
董长竹
李栋
熊凯
徐小锋
郇志浩
郑东升
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Electric Power Engineering Consulting Institute Corp Ltd
Original Assignee
Shandong Electric Power Engineering Consulting Institute Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Electric Power Engineering Consulting Institute Corp Ltd filed Critical Shandong Electric Power Engineering Consulting Institute Corp Ltd
Priority to CN202110764293.0A priority Critical patent/CN113472796B/zh
Publication of CN113472796A publication Critical patent/CN113472796A/zh
Application granted granted Critical
Publication of CN113472796B publication Critical patent/CN113472796B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

本公开提供了一种数据中心门户管理方法及系统,获取数据中心的门户访问信息;当在预设时间段内,某一个或者某几个IP对门户的访问频度大于预设阈值时,生成门户访问超频提醒,在访问频度大于预设阈值的IP地址登录设备进行超频提醒显示或者阻断频度大于预设阈值的IP地址登录门户;本公开在访问频度大于预设阈值的IP地址登录设备进行超频提醒显示或者阻断频度大于预设阈值的IP地址登录门户,解决了门户登录超负荷运行的问题,提高了数据访问的流畅性;对短信息直接使用对方公钥采用RSA算法加密,对长信息采用握手协商密钥,极大的提高了数据交互的安全性。

Description

一种数据中心门户管理方法及系统
技术领域
本公开涉及门户管理技术领域,特别涉及一种数据中心门户管理方法及系统。
背景技术
本部分的陈述仅仅是提供了与本公开相关的背景技术,并不必然构成现有技术。
数据门户是通过菜单形式组织的仪表板、电子表格、数据填报、自助取数、外部链接的集合,通过数据门户可以制作复杂的带导航菜单,用于专题类分析。
发明人发现,现有的常规火力发电项目数据中心门户管理中,大多是通过设置多个防火墙以实现安全管理,或者是实现对门户权限和门户设置方面的配置管理,数据交互访问过程中缺少加密过程或者加密过程单一,使得数据中心的数据安全性低;现有的门户管理方案中,缺少对访问超频用户的管理策略,容易使得门户的登录超负荷运行。
发明内容
为了解决现有技术的不足,本公开提供了一种数据中心门户管理方法及系统,在访问频度大于预设阈值的IP地址登录设备进行超频提醒显示或者阻断频度大于预设阈值的IP地址登录门户,解决了门户登录超负荷运行的问题,提高了数据访问的流畅性;对短信息直接使用对方公钥采用RSA算法加密,对长信息采用握手协商密钥,极大的提高了数据交互的安全性。
为了实现上述目的,本公开采用如下技术方案:
本公开第一方面提供了一种数据中心门户管理方法。
一种数据中心门户管理方法,包括以下过程:
获取数据中心的门户访问信息;
当在预设时间段内,某一个或者某几个IP对门户的访问频度大于预设阈值时,生成门户访问超频提醒,在访问频度大于预设阈值的IP地址登录设备进行超频提醒显示或者阻断频度大于预设阈值的IP地址登录门户。
进一步的,门户网站至少包括核心交换区、DMZ区、安全管理区和后台数据区,其中,心交换区同时连接外部网络和内部不同的功能区,DMZ区域采用单独部署的交换机进行DMZ区域设备的互联互通。
进一步的,对门户访问信息进行敏感关键字词监测,当识别到敏感关键字词时,拒绝访问或者生成并发出告警信息。
进一步的,实时监测门户DNS缓存服务器对域名的解析结果,实时监测客户端DNS授权域服务器对域名的解析结果,当域名解析异常或者无法解析时,生成告警信息。
进一步的,门户包括桌面端门户和移动端门户,新建门户时进行基础信息和门户权限的设置,基础信息包括:门户的语言、是否为匿名门户、名称、排序号、描述和封面,门户权限包括:默认访问者、可访问者和可维护者。
进一步的,门户登录方式,包括:
用户向某应用服务器发送资源请求信息;
应用服务器收到信息后,询问门户服务器该用户是否已登录。为了防止重发攻击,生存一串随机数附在消息中,并对消息签名;
门户服务收到消息后,验证应用服务器是否来自信任域中,如果在信任域中,则向PXI代理服务器请求应用服务器的证书;
PXI代理服务器返回查询结果,并对消息签名;
门户服务器验证消息的可靠性,通过则在票据中心查询用户是否已登录,发现该用户没有登录,向客户端发送登录验证页面;
用户将身份验证信息发送到门户服务器(客户端验证),如果用户采用usBkev模式验证,需要用自己的私钥签名信息;
门户服务器向PXI代理服务器请求用户的证书,用于验证用户的身份;
PKI代理服务器返回用户的证书给门户服务器,并对消息签名;
门户服务器确定用户身份后,生成票据,设置客户端Cookie,并签名消息通知应用服务器,用户已登录。
应用服务器发送消息验证是否为门户发送的即时消息:验证随机数,如果随机数匹配,会向PKI代理服务器请求门户的证书;
PXI代理服务器返回查询结果,并对消息签名;
应用服务器验证收到的消息为门户服务发送的,向用户其发送请求的页面。
更进一步的,对短信息直接使用对方公钥采用RSA算法加密;
对长信息采用握手协商密钥,包括:
服务器A向服务器B发送hello报文,并对消息签名;
服务器B验证信息发送者身份,发送响应请求信息,并对信息签名;
服务器A验证信息发送者身份,生成加密密钥,并用服务器B公钥加密,生成一串随机数附在信息中,并对信息签名;
服务器B验证信息发送者身份,用自己的私钥解密得到会话信息的加密密钥,发送响应信息;
服务器A使用协商的密钥加密信息,发送密文。
更进一步的,用户证书查询,包括:
步骤1:证书用户向代理服务器发送证书有效性查询报文;
步骤2:代理服务器收到消息,首先到撤销证书库查询该证书是否被撤销,是转到步骤3,否转到步骤6;
步骤3:向PKI系统发送证书有效性查询;
步骤4:PKI系统将查询结果签名发送给代理服务器;
步骤5:代理服务器验证签名有效性,有效则继续;
步骤6:代理服务器将要发送的消息签名,发送到客户端;
步骤7:客户端验证签名有效性,并进行相应的处理。
更进一步的,用户采用USB Key登录门户页面,包括:
请求访问指定页面;
返回登录页面,产生随机数;
提供USB Key PIN码;
返回验证结果;
获取用户ID,进行随机数签名;
返回指定信息,提供用户ID和随机数签名;
验证成功,设置登录标识,访问指定页面。
更进一步的,用户未登录门户,访问应用系统时,包括:
用户访问应用系统指定页面;
应用系统跳转到门户指定验证页面,对信息进行签名作为页面参数;
门户系统检测用户是否登录,该情况下为未登录;
门户系统要求用户输入验证信息;
用户提供验证信息;
门户将票据信息加密,写入客户端的cookie中;
门户系统验证通过后,生成票据,保存在门户服务器中,回送随机数.将票据与随机数签名,发送到应用系统;
应用系统验证通过后,将指定页面返回给用户,登录成功。
更进一步的,用户已登录门户,访问应用系统时,包括:
用户访问应用系统指定页面。
应用系统跳转到门户指定验证页面,对信息进行签名作为页面参数;
门户系统检测用户是否登录,该情况下为登录;
门户系统查找对应的票据,将票据与收到的随机数签名,发送到应用系统;
门户系统更新本地票据和客户端票据的对应项;
应用系统验证信息通过后,将指定页面返回给用户,登录成功。
本公开第二方面提供了一种数据中心门户管理系统,包括通信连接的客户端和服务器;服务器获取数据中心的门户访问信息;当在预设时间段内,某一个或者某几个IP对门户的访问频度大于预设阈值时,生成门户访问超频提醒,在访问频度大于预设阈值的客户端进行超频提醒显示或者阻断频度大于预设阈值的IP地址登录门户。
与现有技术相比,本公开的有益效果是:
1、本公开所述的方法及系统,在访问频度大于预设阈值的IP地址登录设备进行超频提醒显示或者阻断频度大于预设阈值的IP地址登录门户,解决了门户登录超负荷运行的问题,提高了数据访问的流畅性。
2、本公开所述的方法及系统,对短信息直接使用对方公钥采用RSA算法加密,对长信息采用握手协商密钥,极大的提高了数据交互的安全性。
3、本公开所述的方法及系统,用户采用USB Key登录门户页面,通过USB Key的交互验证,提高了登录安全性,避免了恶意登录的情况。
4、本公开所述的方法及系统,构建了用户未登录门户和用户登录门户时的应用系统访问策略,针对用户未登录门户时的应用系统访问提高了更高密级的数据交互通道,在保证数据安全的情况下,实现了更全方位的数据交互管理。
本公开附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本公开的实践了解到。
附图说明
构成本公开的一部分的说明书附图用来提供对本公开的进一步理解,本公开的示意性实施例及其说明用于解释本公开,并不构成对本公开的不当限定。
图1为本公开实施例1提供的数据中心门户管理方法的流程示意图。
具体实施方式
下面结合附图与实施例对本公开作进一步说明。
应该指出,以下详细说明都是示例性的,旨在对本公开提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本公开所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本公开的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。
实施例1:
如图1所示,本公开实施例1提供了一种数据中心门户管理方法,包括以下过程:
获取数据中心的门户访问信息;
当在预设时间段内,某一个或者某几个IP对门户的访问频度大于预设阈值时,生成门户访问超频提醒,在访问频度大于预设阈值的IP地址登录设备进行超频提醒显示或者阻断频度大于预设阈值的IP地址登录门户。
门户网站至少包括核心交换区、DMZ区、安全管理区和后台数据区,其中,心交换区同时连接外部网络和内部不同的功能区,DMZ区域采用单独部署的交换机进行DMZ区域设备的互联互通。
对门户访问信息进行敏感关键字词监测,当识别到敏感关键字词时,拒绝访问或者生成并发出告警信息。
实时监测门户DNS缓存服务器对域名的解析结果,实时监测客户端DNS授权域服务器对域名的解析结果,当域名解析异常或者无法解析时,生成告警信息。
门户包括桌面端门户和移动端门户,新建门户时进行基础信息和门户权限的设置,基础信息包括:门户的语言、是否为匿名门户、名称、排序号、描述和封面,门户权限包括:默认访问者、可访问者和可维护者。
门户基本管理策略,包括:
S1:新建门户:门户分为桌面端门户和移动端门户。用户可以新建桌面端门户或者移动端门户,设置门户参数后,进行门户编辑;
S2:选择模版:新建门户时用户需要先选择一个样式模板,样式模板确定了门户的是否可以配置导航,整体的布局,页眉页脚的选择等样式;
选择样式模板后,用户可以再选择一个内容模板,内容模板是系统内根据不同的业务配置好的不同的门户模板,用户可以直接使用,进行少量的修改后,即可生成一个新的门户;
选择模板时,用户可以先预览模板的实际效果再使用,预览模板时可以在不同的模板间进行切换,用户也可以不选择内容模板,选择一个空模板,即可从头开始创建门户。
S3:门户参数设置:可设置门户的基础信息和门户权限。门户的基础信息包括门户的语言、是否为匿名门户、名称、排序号、描述和封面。门户的语言和是否为匿名门户在新建门户时一旦设定好,后续不允许更改。门户权限包括设定门户的默认访问者,门户的可访问者和门户的可维护者。
S4:发布门户:可将一个未发布的门户置为发布状态。新建的门户为“草稿”状态,需发布后普通用户才可使用该门户,同时门户状态会变为“已发布”状态;“已发布”的门户可以取消发布,变为“待发布”状态,普通用户将无法使用,需要再次发布,变为“已发布”状态后,普通用户才可重新使用该门户。
S5:保存门户:用户新建门户的过程中可以随时保存门户,保存的门户为“草稿”状态,需要发布后才能供普通用户使用。
S6:还原门户:将一个发布过的门户还原至最近一次发布时的状态,门户的内容、设置都会变成最近一次发布时的内容和设置,最近一次发布后的修改都将丢失。
S7:置为模板:将一个已存在的门户置为模板,置为模板后在“模板管理”中即可看到该门户模板,方便快捷创建门户使用。
S8:预览门户:实时预览门户配置后的效果。可以选择使用真实数据或样例数据进行预览;页可以选择预览时的角色或人员,根据权限的不同和智能推荐的不同,不同的角色或人员,看到的门户会有所不同。
S9:主题皮肤设置:管理员可以设置门户的主题皮肤,也可以设置让普通用户自定义自己的主题皮肤。
S10:门户排序:可按照“创建时间”和“更新时间”进行正序、倒序的排序,方便快速找到想找的门户。
S11:搜索门户:可按门户名称进行搜索。
S12:设置页眉、页脚:可以设置页眉、页脚的内容和样式。页眉和页脚的样式都可以更换,可以设置背景、高度、内容区宽度,页眉的内容包括logo、搜索、个人信息、应用和快捷方式等。应用的数据源为内容管理中的多级导航,快捷方式的数据源为内容管理中的快捷方式。
S13:编辑门户:编辑门户时,用户可以新建页面、删除页面、隐藏页面和编辑页面。新建页面时,可以新建同级或子级页面,可设置页面的名称、类型、是否开启导航、页面背景、图标和权限;类型包括智能页面、链接、导航组和空白页;图标为显示在页眉上的该页面的图标;页面背景可以为图片也可以为色彩。隐藏页面后,普通用户在使用门户时将看不到该页面,页面隐藏后可以取消隐藏。编辑页面时,用户采用所见即所得的方式进行配置,将组件拖动到页面中进行配置,并可以实时预览;用户可以调整页面布局,在布局中,是通过容器的调整来调整布局;组件包括数据源和呈现,可以更换不同的呈现;组件外面有外观,外观可以更换不同的样式。
S14:模板管理
S141:新建模板:用户可以在“门户管理”中将一个已存在的门户置为模板,置为模板后在“模板管理”中即可看到该门户模板,方便快捷创建门户使用。
S142:使用模板:使用门户模板快速创建一个门户,会将模板中的所有内容复制到新创建的门户中。
S143:删除模板:删除已有的一个门户模板。
S144:设置模板参数:设置门户模板的基础参数,包括名称、描述和封面,封面是进入“模板管理”时所看到的模板的缩略图。
S145:预览模板:门户模板本身就是一个门户,可以实时预览门户模板的展示效果,并可进行门户上可进行的所有交互操作。
S146:模板排序:可按照“创建时间”和“更新时间”进行正序、倒序的排序,方便快速找到想找的门户模板。
S147:筛选模板:可以从PC端或移动端、新建模板时使用的门户样式、创建人三个维度进行模板筛选,快速筛选出想要的模板。
S148:搜索模板:可按模板名称进行搜索。
S15:内容管理
S151:新建内容:内容包括快捷方式、多级导航、自定义页面、推荐专题四种。新建快捷方式为创建多个可点击的链接,链接的承载方式可以为图片也可以为文字;新建多级导航为创建一个多级导航树,导航树的节点可以为超链接也可以为纯文字描述;新建推荐专题为新建一个专题图片,可以为图片配置链接,可从本地或者素材库选取图片,可对图片进行裁剪;新建自定义页面为新建富文本格式的内容。
S152:编辑内容:编辑某条内容的配置参数。
S153:删除内容:删除已有的快捷方式、多级导航、自定义页面或推荐专题。
S154:搜索内容:可按内容名称进行搜索。
S155:内容排序:可按照“创建时间”和“更新时间”进行正序、倒序的排序,方便快速找到想找的内容。
S156:设置内容的可维护者:设置某个内容的可维护者,某用户设置为某内容的可维护者后,如果该用户有“内容管理”的默认权限,则可对该内容进行编辑、删除的操作。
S157:设置内容权限:可设置内容权限,是否允许匿名门户使用。某条内容允许匿名门户使用的话,用户在配置匿名门户,选择数据源时可使用该内容;反之则无法使用该内容。
门户登录方式,包括:
用户向某应用服务器发送资源请求信息;
应用服务器收到信息后,询问门户服务器该用户是否已登录。为了防止重发攻击,生存一串随机数附在消息中,并对消息签名;
门户服务收到消息后,验证应用服务器是否来自信任域中,如果在信任域中,则向PXI代理服务器请求应用服务器的证书;
PXI代理服务器返回查询结果,并对消息签名;
门户服务器验证消息的可靠性,通过则在票据中心查询用户是否已登录,发现该用户没有登录,向客户端发送登录验证页面;
用户将身份验证信息发送到门户服务器(客户端验证),如果用户采用usBkev模式验证,需要用自己的私钥签名信息;
门户服务器向PXI代理服务器请求用户的证书,用于验证用户的身份;
PKI代理服务器返回用户的证书给门户服务器,并对消息签名;
门户服务器确定用户身份后,生成票据,设置客户端Cookie,并签名消息通知应用服务器,用户已登录。
应用服务器发送消息验证是否为门户发送的即时消息:验证随机数,如果随机数匹配,会向PKI代理服务器请求门户的证书;
PXI代理服务器返回查询结果,并对消息签名;
应用服务器验证收到的消息为门户服务发送的,向用户其发送请求的页面。
对短信息直接使用对方公钥采用RSA算法加密;
对长信息采用握手协商密钥,包括:
服务器A向服务器B发送hello报文,并对消息签名;
服务器B验证信息发送者身份,发送响应请求信息,并对信息签名;
服务器A验证信息发送者身份,生成加密密钥,并用服务器B公钥加密,生成一串随机数附在信息中,并对信息签名;
服务器B验证信息发送者身份,用自己的私钥解密得到会话信息的加密密钥,发送响应信息;
服务器A使用协商的密钥加密信息,发送密文。
用户证书查询,包括:
步骤1:证书用户向代理服务器发送证书有效性查询报文;
步骤2:代理服务器收到消息,首先到撤销证书库查询该证书是否被撤销,是转到步骤3,否转到步骤6;
步骤3:向PKI系统发送证书有效性查询;
步骤4:PKI系统将查询结果签名发送给代理服务器;
步骤5:代理服务器验证签名有效性,有效则继续;
步骤6:代理服务器将要发送的消息签名,发送到客户端;
步骤7:客户端验证签名有效性,并进行相应的处理。
用户采用USB Key登录门户页面,包括:
请求访问指定页面;
返回登录页面,产生随机数;
提供USB Key PIN码;
返回验证结果;
获取用户ID,进行随机数签名;
返回指定信息,提供用户ID和随机数签名;
验证成功,设置登录标识,访问指定页面。
用户未登录门户,访问应用系统时,包括:
用户访问应用系统指定页面;
应用系统跳转到门户指定验证页面,对信息进行签名作为页面参数;
门户系统检测用户是否登录,该情况下为未登录;
门户系统要求用户输入验证信息;
用户提供验证信息;
门户将票据信息加密,写入客户端的cookie中;
门户系统验证通过后,生成票据,保存在门户服务器中,回送随机数.将票据与随机数签名,发送到应用系统;
应用系统验证通过后,将指定页面返回给用户,登录成功。
更进一步的,用户已登录门户,访问应用系统时,包括:
用户访问应用系统指定页面。
应用系统跳转到门户指定验证页面,对信息进行签名作为页面参数;
门户系统检测用户是否登录,该情况下为登录;
门户系统查找对应的票据,将票据与收到的随机数签名,发送到应用系统;
门户系统更新本地票据和客户端票据的对应项;
应用系统验证信息通过后,将指定页面返回给用户,登录成功。
实施例2:
本公开实施例2提供了一种数据中心门户管理系统,包括通信连接的客户端和服务器;服务器获取数据中心的门户访问信息;当在预设时间段内,某一个或者某几个IP对门户的访问频度大于预设阈值时,生成门户访问超频提醒,在访问频度大于预设阈值的客户端进行超频提醒显示或者阻断频度大于预设阈值的IP地址登录门户。
所述系统的工作方法与实施例1中的门户管理方法相同,这里不再赘述。
以上所述仅为本公开的优选实施例而已,并不用于限制本公开,对于本领域的技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。

Claims (9)

1.一种数据中心门户管理方法,其特征在于:包括以下过程:
获取数据中心的门户访问信息;
当在预设时间段内,某一个或者某几个IP对门户的访问频度大于预设阈值时,生成门户访问超频提醒,在访问频度大于预设阈值的IP地址登录设备时进行超频提醒显示或者阻断频度大于预设阈值的IP地址登录门户;
门户登录方式,包括:
用户向某应用服务器发送资源请求信息;
应用服务器收到信息后,询问门户服务器该用户是否已登录;为了防止重发攻击,生存一串随机数附在消息中,并对消息签名;
门户服务器收到消息后,验证应用服务器是否来自信任域中,如果在信任域中,则向代理服务器请求应用服务器的证书;
代理服务器返回查询结果,并对消息签名;
门户服务器验证消息的可靠性,通过则在票据中心查询用户是否已登录,发现该用户没有登录,向客户端发送登录验证页面;
用户将身份验证信息发送到门户服务器,如果用户采用USB Key模式验证,需要用自己的私钥签名信息;
门户服务器向代理服务器请求用户的证书,用于验证用户的身份;
代理服务器返回用户的证书给门户服务器,并对消息签名;
门户服务器确定用户身份后,生成票据,设置客户端Cookie,并签名消息通知应用服务器,用户已登录;
应用服务器发送消息验证是否为门户发送的即时消息:验证随机数,如果随机数匹配,会向代理服务器请求门户的证书;
代理服务器返回查询结果,并对消息签名;
应用服务器验证收到的消息为门户服务发送的,向用户其发送请求的页面。
2.如权利要求1所述的数据中心门户管理方法,其特征在于:
门户网站至少包括核心交换区、DMZ区、安全管理区和后台数据区,其中,核心交换区同时连接外部网络和内部不同的功能区,DMZ区域采用单独部署的交换机进行DMZ区域设备的互联互通。
3.如权利要求1所述的数据中心门户管理方法,其特征在于:
对门户访问信息进行敏感关键字词监测,当识别到敏感关键字词时,拒绝访问或者生成并发出告警信息;
或者,
实时监测门户DNS缓存服务器对域名的解析结果,实时监测客户端DNS授权域服务器对域名的解析结果,当域名解析异常或者无法解析时,生成告警信息。
4.如权利要求1所述的数据中心门户管理方法,其特征在于:
门户包括桌面端门户和移动端门户,新建门户时进行基础信息和门户权限的设置,基础信息包括:门户的语言、是否为匿名门户、名称、排序号、描述和封面,门户权限包括:默认访问者、可访问者和可维护者。
5.如权利要求1所述的数据中心门户管理方法,其特征在于:
对短信息直接使用对方公钥采用RSA算法加密;
对长信息采用握手协商密钥,包括:
服务器A向服务器B发送hello报文,并对消息签名;
服务器B验证信息发送者身份,发送响应请求信息,并对信息签名;
服务器A验证信息发送者身份,生成加密密钥,并用服务器B公钥加密,生成一串随机数附在信息中,并对信息签名;
服务器B验证信息发送者身份,用自己的私钥解密得到会话信息的加密密钥,发送响应信息;
服务器A使用协商的密钥加密信息,发送密文。
6.如权利要求1所述的数据中心门户管理方法,其特征在于:
用户证书查询,包括:
步骤1:证书用户向代理服务器发送证书有效性查询报文;
步骤2:代理服务器收到消息,首先到撤销证书库查询该证书是否被撤销,是转到步骤3,否转到步骤6;
步骤3:向PKI系统发送证书有效性查询;
步骤4:PKI系统将查询结果签名发送给代理服务器;
步骤5:代理服务器验证签名有效性,有效则继续;
步骤6:代理服务器将要发送的消息签名,发送到客户端;
步骤7:客户端验证签名有效性,并进行相应的处理。
7.如权利要求1所述的数据中心门户管理方法,其特征在于:
用户采用USB Key登录门户页面,包括:
请求访问指定页面;
返回登录页面,产生随机数;
提供USB Key PIN码;
返回验证结果;
获取用户ID,进行随机数签名;
返回指定信息,提供用户ID和随机数签名;
验证成功,设置登录标识,访问指定页面。
8.如权利要求1所述的数据中心门户管理方法,其特征在于:
用户未登录门户,访问应用系统时,包括:
用户访问应用系统指定页面;
应用系统跳转到门户指定验证页面,对信息进行签名作为页面参数;
门户系统检测用户是否登录,此时用户为未登录;
门户系统要求用户输入验证信息;
用户提供验证信息;
门户将票据信息加密,写入客户端的cookie中;
门户系统验证通过后,生成票据,保存在门户服务器中,回送随机数.将票据与随机数签名,发送到应用系统;
应用系统验证通过后,将指定页面返回给用户,登录成功;
或者,
用户已登录门户,访问应用系统时,包括:
用户访问应用系统指定页面;
应用系统跳转到门户指定验证页面,对信息进行签名作为页面参数;
门户系统检测用户是否登录,此时用户为登录;
门户系统查找对应的票据,将票据与收到的随机数签名,发送到应用系统;
门户系统更新本地票据和客户端票据的对应项;
应用系统验证信息通过后,将指定页面返回给用户,登录成功。
9.一种数据中心门户管理系统,其特征在于:包括通信连接的客户端和服务器;
服务器获取数据中心的门户访问信息;
当在预设时间段内,某一个或者某几个IP对门户的访问频度大于预设阈值时,生成门户访问超频提醒,在访问频度大于预设阈值的IP地址登陆设备时进行超频提醒显示或者阻断频度大于预设阈值的IP地址登录门户;
门户登录方式,包括:
用户向某应用服务器发送资源请求信息;
应用服务器收到信息后,询问门户服务器该用户是否已登录;为了防止重发攻击,生存一串随机数附在消息中,并对消息签名;
门户服务器收到消息后,验证应用服务器是否来自信任域中,如果在信任域中,则向代理服务器请求应用服务器的证书;
代理服务器返回查询结果,并对消息签名;
门户服务器验证消息的可靠性,通过则在票据中心查询用户是否已登录,发现该用户没有登录,向客户端发送登录验证页面;
用户将身份验证信息发送到门户服务器,如果用户采用USB Key模式验证,需要用自己的私钥签名信息;
门户服务器向代理服务器请求用户的证书,用于验证用户的身份;
代理服务器返回用户的证书给门户服务器,并对消息签名;
门户服务器确定用户身份后,生成票据,设置客户端Cookie,并签名消息通知应用服务器,用户已登录;
应用服务器发送消息验证是否为门户发送的即时消息:验证随机数,如果随机数匹配,会向代理服务器请求门户的证书;
代理服务器返回查询结果,并对消息签名;
应用服务器验证收到的消息为门户服务发送的,向用户其发送请求的页面。
CN202110764293.0A 2021-07-06 2021-07-06 一种数据中心门户管理方法及系统 Active CN113472796B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110764293.0A CN113472796B (zh) 2021-07-06 2021-07-06 一种数据中心门户管理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110764293.0A CN113472796B (zh) 2021-07-06 2021-07-06 一种数据中心门户管理方法及系统

Publications (2)

Publication Number Publication Date
CN113472796A CN113472796A (zh) 2021-10-01
CN113472796B true CN113472796B (zh) 2023-05-30

Family

ID=77878652

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110764293.0A Active CN113472796B (zh) 2021-07-06 2021-07-06 一种数据中心门户管理方法及系统

Country Status (1)

Country Link
CN (1) CN113472796B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005011098A (ja) * 2003-06-19 2005-01-13 Fujitsu Ltd 代理認証プログラム、代理認証方法、および代理認証装置
CN103326859A (zh) * 2013-05-31 2013-09-25 国家电网公司 基于目录的安全认证系统及方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7069440B2 (en) * 2000-06-09 2006-06-27 Northrop Grumman Corporation Technique for obtaining a single sign-on certificate from a foreign PKI system using an existing strong authentication PKI system
US10776476B2 (en) * 2010-11-29 2020-09-15 Biocatch Ltd. System, device, and method of visual login
CN103501344B (zh) * 2013-10-10 2017-08-01 瑞典爱立信有限公司 多应用实现单点登录的方法及系统
CN107370719B (zh) * 2016-05-13 2021-02-05 阿里巴巴集团控股有限公司 异常登录识别方法、装置及系统
CN107508796B (zh) * 2017-07-28 2019-01-04 北京明朝万达科技股份有限公司 一种数据通信方法和装置
CN107872455A (zh) * 2017-11-09 2018-04-03 武汉虹旭信息技术有限责任公司 一种跨域单点登录系统及其方法
CN108243183B (zh) * 2017-12-20 2021-07-30 北京车和家信息技术有限公司 门户系统的集成控制方法、系统和计算机设备
CN111143814B (zh) * 2019-12-30 2022-06-21 武汉佰钧成技术有限责任公司 单点登录方法、微服务接入平台及存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005011098A (ja) * 2003-06-19 2005-01-13 Fujitsu Ltd 代理認証プログラム、代理認証方法、および代理認証装置
CN103326859A (zh) * 2013-05-31 2013-09-25 国家电网公司 基于目录的安全认证系统及方法

Also Published As

Publication number Publication date
CN113472796A (zh) 2021-10-01

Similar Documents

Publication Publication Date Title
US9992176B2 (en) Systems and methods for encrypted communication in a secure network
KR102329530B1 (ko) 데이터 처리 디바이스로부터 원격 리소스에 액세스하고 원격 리소스에 대한 액세스를 제공하는 방법들
US9537864B2 (en) Encryption system using web browsers and untrusted web servers
Richer et al. OAuth 2 in action
US8281380B2 (en) Information processing system and computer-readable recording medium
EA003374B1 (ru) Система и способ обеспечения безопасного доступа к сервисам в компьютерной сети
JP2010244432A (ja) ファイル共有システム、共有ファイルサーバ装置、ファイル共有方法、共有ファイルサーバ装置のアクセス制御方法、及びこれらのプログラム
JP2005209181A (ja) ファイル管理システム及び管理方法
JP5966505B2 (ja) サーバ装置、クライアント装置、リクエスト処理方法、サーバ応答処理方法、リクエスト処理プログラム、および、応答処理プログラム
Giannikos et al. Towards secure and context-aware information lookup for the Internet of Things
JP2003114603A (ja) コンピュータ支援による教育訓練のための要守秘情報の外部への漏洩防止システム
JP2007142504A (ja) 情報処理システム
Halpin Semantic insecurity: security and the semantic web
JP6131644B2 (ja) 情報処理装置、情報処理システム
CN113472796B (zh) 一种数据中心门户管理方法及系统
JP2005258855A (ja) 通信履歴監視システム、及び、情報交換方法
JP2002157223A (ja) サービス提供システム
Ferdous et al. Portable personal identity provider in mobile phones
US20220376933A1 (en) Cryptographic services for browser applications
JP2006235743A (ja) アクセス制御装置、アクセス制御方法およびプログラム
JP2016057737A (ja) サービス提供システム及びこれに用いる管理サーバー及び管理方法
JP2005346224A (ja) 調査データ分析システム
JP2016213801A (ja) 通信システム、ゲートウェイサーバ、及びプログラム
Adida FragToken: Secure Web Authentication using the Fragment Identifier
ZORBA et al. Rebuilding services A&A architecture using OAuth2, OIDC and JWT

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant