CN116996305A - 一种多层次安全认证方法、系统、设备、存储介质及入口网关 - Google Patents

一种多层次安全认证方法、系统、设备、存储介质及入口网关 Download PDF

Info

Publication number
CN116996305A
CN116996305A CN202311010451.9A CN202311010451A CN116996305A CN 116996305 A CN116996305 A CN 116996305A CN 202311010451 A CN202311010451 A CN 202311010451A CN 116996305 A CN116996305 A CN 116996305A
Authority
CN
China
Prior art keywords
authentication
network
user terminal
server
security authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311010451.9A
Other languages
English (en)
Inventor
徐文耀
黄益彬
郭子昕
郑卫波
李昱
朱孟江
徐项帅
孙圣武
颜涛
纪元
张宏杰
尹亮
贺建伟
郑铁军
彭嘉宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nari Information and Communication Technology Co
State Grid Ningxia Electric Power Co Ltd
Electric Power Research Institute of State Grid Ningxia Electric Power Co Ltd
State Grid Electric Power Research Institute
Original Assignee
Nari Information and Communication Technology Co
State Grid Ningxia Electric Power Co Ltd
Electric Power Research Institute of State Grid Ningxia Electric Power Co Ltd
State Grid Electric Power Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nari Information and Communication Technology Co, State Grid Ningxia Electric Power Co Ltd, Electric Power Research Institute of State Grid Ningxia Electric Power Co Ltd, State Grid Electric Power Research Institute filed Critical Nari Information and Communication Technology Co
Priority to CN202311010451.9A priority Critical patent/CN116996305A/zh
Publication of CN116996305A publication Critical patent/CN116996305A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种多层次安全认证方法、系统、设备、存储介质及入口网关,所述方法包括以下步骤:入口网关接收用户终端发送的入网认证请求,根据入网认证请求规则确定请求是否有效;第一网络中的安全认证服务器通过入口网关接收用户终端发送的身份认证信息请求,第一网络中的安全认证服务器根据身份认证校验规则确定用户身份信息;第一网络中的安全认证服务器接收第一网络中的应用服务器向发送的服务认证请求,第一网络中的安全认证服务器根据服务认证校验规则确定请求是否有效;本发明可以有效避免未被认证的终端占用安全认证服务器资源,降低了安全认证服务受到攻击的风险,提升了系统的安全性;避免了访问多个网络时的重复认证。

Description

一种多层次安全认证方法、系统、设备、存储介质及入口网关
技术领域
本发明涉及计算机技术技术领域,具体涉及一种多层次安全认证方法、系统、设备、存储介质及入口网关。
背景技术
随着网络技术的发展,越来越多的信息系统体系架构逐渐向云计算架构体系演进,这之中包括基础设施信息系统、大型企业信息系统等。在此背景下,需要远程共享的重要数据和业务应用资源的数量更多、共享范围更大,因此信息系统所面临的数据泄漏、网络攻击等风险也更高。为消除这些网络安全风险,使用远程访问控制系统是一个有效的手段。
当前普遍使用的基于角色的身份认证访问控制系统,用户终端在访问应用服务器时,首先访问身份认证服务器进行身份认证,通过身份认证后再访问应用服务器。有些系统的实现中,用户直接访问应用服务器,之后由应用服务器向身份认证服务器提出身份认证申请;但是该流程主要存在以下缺点:(1)任意远程用户终端均可以向身份认证服务器发送身份认证请求,而身份认证服务器在进行身份认证前缺少对用户终端的合法性认证;(2)身份认证服务器通常只负责自身所在网络的身份认证与访问控制,当出现单点故障时,该网络的应用服务可能都无法正常访问;(3)身份认证与服务器与应用服务器通常需要部署在同一网络内,部署缺乏灵活性,当存在多个服务器网络时,每个网络都需要对用户进行身份认证,但是在多数情况下这种重复认证是不必要的;(4)缺乏对应用服务器主动对外访问的合法性认证。
发明内容
发明目的:本发明的目的是在于提供一种多层次安全认证方法、系统、设备、存储介质及入口网关以解决当前广泛使用的身份认证访问控制系统缺少对用户终端本身合法性验证,缺少对应用服务器之间相互访问的认证与访问控制,认证服务器单点故障造成整个认证服务不可用等问题。
技术方案:本发明所述的一种多层次安全认证方法,包括以下步骤:
入口网关接收用户终端发送的入网认证请求,根据入网认证请求规则确定请求是否有效;若有效,入口网关告知用户终端认证通过并允许进行后续认证流程;若无效,认证失败;
第一网络中的安全认证服务器通过入口网关接收用户终端发送的身份认证信息请求,第一网络中的安全认证服务器根据身份认证校验规则确定用户身份信息;若有效,通知入口网关所述用户终端通过认证可以访问应用服务器;若无效,则返回入口网关,入口网关将认证失败信息反馈用户终端,并对该用户终端的后续访问进行拦截;
第一网络中的安全认证服务器接收第一网络中的应用服务器向发送的服务认证请求,第一网络中的安全认证服务器根据服务认证校验规则确定请求是否有效;若有效,第一网络中的安全认证服务器将应用服务器的身份信息发送给入口网关;若无效,认证失败。
进一步的,还包括以下步骤:
用户终端向第一网络中的安全认证服务器请求响应超时后,入口网关请求访问第二网络中的安全认证服务器;第二网络中的安全认证服务器根据身份认证校验规则确定用户身份信息;若有效,则访问第一网络中的应用服务器;若无效,则返回入口网关,入口网关将认证失败信息反馈用户终端;并对该用户终端的后续访问进行拦截;
应用服务器向第一网络中的安全认证服务器请求响应超时后,应用服务器请求访问第二网络中的安全认证服务器;第二网络中的安全认证服务器根据服务认证校验规则确定身份信息;若有效,则访问第一网络中的应用服务器;若无效,则返回第二网络中的安全认证服务器,第二网络中的安全认证服务器将认证失败信息反馈应用服务器;
进一步的,所述入网认证规则:用户终端的MAC地址、IP地址、硬件主板序列号、硬盘序列号、操作系统版本、客户端版本、是否安装安全防护软件中的两个以上。
进一步的,身份认证校验规则用户终端的用户名口令、证书、指纹、人脸、角色标签中的两个以上。
进一步的,服务认证校验规则:应用服务器的应用服务名称、应用服务器的MAC地址、应用服务IP地址、应用服务端口号、应用程序关键文件Hash值、完整性标签、业务功能标签、操作系统版本、业务软件版本中的两个以上。
本发明所述的一种多层次安全认证系统,包括以下模块:
请求模块:用于入口网关接收用户终端发送的入网认证请求,根据入网认证请求规则确定请求是否有效;若有效,入口网关告知用户终端认证通过并允许进行后续认证流程;若无效,认证失败;
身份认证模块:用于第一网络中的安全认证服务器通过入口网关接收用户终端发送的身份认证信息请求,第一网络中的安全认证服务器根据身份认证校验规则确定用户身份信息;若有效,通知入口网关所述用户终端通过认证可以访问应用服务器;若无效,则返回入口网关,入口网关将认证失败信息反馈用户终端,并对该用户终端的后续访问进行拦截;
服务认证模块:用于第一网络中的安全认证服务器接收第一网络中的应用服务器向发送的服务认证请求,第一网络中的安全认证服务器根据服务认证校验规则确定请求是否有效;若有效,第一网络中的安全认证服务器将应用服务器的身份信息发送给入口网关;若无效,认证失败。
进一步的,身份认证模块还用于:用户终端向第一网络中的安全认证服务器请求响应超时后,入口网关请求访问第二网络中的安全认证服务器;第二网络中的安全认证服务器根据身份认证校验规则确定用户身份信息;若有效,则访问第一网络中的应用服务器;若无效,则返回入口网关,入口网关将认证失败信息反馈用户终端;并对该用户终端的后续访问进行拦截;
服务认证模块还用于:应用服务器向第一网络中的安全认证服务器请求响应超时后,应用服务器请求访问第二网络中的安全认证服务器;第二网络中的安全认证服务器根据服务认证校验规则确定身份信息;若有效,则访问第一网络中的应用服务器;若无效,则返回第二网络中的安全认证服务器,第二网络中的安全认证服务器将认证失败信息反馈应用服务器;
本发明所述的一种设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的程序,其特征在于,所述处理器执行所述程序时实现如任一项所述的一种多层次安全认证方法中的步骤。
本发明所述的一种存储介质,存储有计算机程序,其特征在于,所述计算机程序被设计为运行时实现根据任一项所述的一种多层次安全认证方法中的步骤。
本发明所述的一种入口网关,请求模块、验证模块、接收模块;请求模块用于接收用户终端发送的入网认证请求;验证模块用于验证用户终端发送的入网认证请求是否有效;若有效,入口网关告知用户终端认证通过并允许进行后续认证流程;若无效,认证失败;接收模块用于接收应用服务器的身份信息。进一步的,还包括拦截模块,用于将认证失败信息反馈用户终端,并对该用户终端的后续访问进行拦截。。
有益效果:与现有技术相比,本发明具有如下显著优点:(1)经过入网认证的用户终端才能访问安全认证服务器,这样可以有效避免未被认证的终端占用安全认证服务器资源,从而降低了安全认证服务受到攻击的风险,提升了认证系统健壮性;(2)对应服务器访问其他应用服务器的流程进行安全认证与访问控制,提升了业务系统的安全性;(3)可以部署多个安全认证服务器,它们之间互为热备,在其中一台出现故障时其他安全认证服务器依然可用;(4)访问控制下沉至源端进行,一次用户终端认证后可对多个目标网络进行访问控制,避免了访问多个网络时的重复认证。
附图说明
图1为本发明网络拓扑图;
图2为本发明用户终端访问应用服务器的安全认证流程图;
图3为本发明用户终端访问应用服务器第一网络安全认证服务器故障时的安全认证流程图;
图4为本发明应用服务器访问应用服务器的安全认证流程图。
具体实施方式
下面结合附图对本发明的技术方案作进一步说明。
如图1的网络拓扑图所示,本发明实施例提供了一种多层次安全认证方法,包括以下步骤:
入口网关接收用户终端发送的入网认证请求,根据入网认证请求规则确定请求是否有效;若有效,入口网关告知用户终端认证通过并允许进行后续认证流程;若无效,认证失败;
第一网络中的安全认证服务器通过入口网关接收用户终端发送的身份认证信息请求,第一网络中的安全认证服务器根据身份认证校验规则确定用户身份信息;若有效,通知入口网关所述用户终端通过认证可以访问应用服务器;若无效,则返回入口网关,入口网关将认证失败信息反馈用户终端,并对该用户终端的后续访问进行拦截;用户终端向第一网络中的安全认证服务器请求响应超时后,入口网关请求访问第二网络中的安全认证服务器;第二网络中的安全认证服务器根据身份认证校验规则确定用户身份信息;若有效,则访问第一网络中的应用服务器;若无效,则返回入口网关,入口网关将认证失败信息反馈用户终端;并对该用户终端的后续访问进行拦截;
第一网络中的安全认证服务器接收第一网络中的应用服务器向发送的服务认证请求,第一网络中的安全认证服务器根据服务认证校验规则确定请求是否有效;若有效,第一网络中的安全认证服务器将应用服务器的身份信息发送给入口网关;若无效,认证失败。应用服务器向第一网络中的安全认证服务器请求响应超时后,应用服务器请求访问第二网络中的安全认证服务器;第二网络中的安全认证服务器根据服务认证校验规则确定身份信息;若有效,则访问第一网络中的应用服务器;若无效,则返回第二网络中的安全认证服务器,第二网络中的安全认证服务器将认证失败信息反馈应用服务器;
所述入网认证规则:用户终端的MAC地址、IP地址、硬件主板序列号、硬盘序列号、操作系统版本、客户端版本、是否安装安全防护软件中的两个以上。
身份认证校验规则用户终端的用户名口令、证书、指纹、人脸、角色标签中的两个以上。
服务认证校验规则:应用服务器的应用服务名称、应用服务器的MAC地址、应用服务IP地址、应用服务端口号、应用程序关键文件Hash值、完整性标签、业务功能标签、操作系统版本、业务软件版本中的两个以上。
具体实施例如下:
实施例1:
如图2所示,用户终端访问应用服务器时,一个完整的典型流程如下:
A1:应用服务器向通过安全认证代理向安全认证服务器提交服务认证请求;
A2:身份认证服务器验证服务认证请求,生成服务认证结果并返回给安全认证代理;A3:用户终端接入访问控制网关申请入网;
A4:访问控制网关根据预置规则对用户终端设备进行入网认证,保存用户终端设备信息,对于未通过入网认证的终端拦截此后所有报文,对于通过入网认证的终端允许后续报文通过;
A5:用户终端向的安全认证服务器发送身份认证请求;
A6:安全认证服务器根据预置规则对用户身份信息进行认证,将认证结果返回给用户终端与访问控制网关;
A7:访问控制网关收到该用户身份认证结果后更新用户认证结果,若身份认证未通过则将拦截该终端后续所有报文;
A8:用户终端访问应用服务器。
实施例2:
如图3所示,当用户终端希望访问应用服务器所在网络的安全认证服务器发生故障时,可以通过其他网络的安全认证服务器完成身份认证,具体流程如下:
B1:用户终端接入访问控制网关申请入网;
B2:访问控制网关根据预置规则对用户终端设备进行入网认证,保存用户终端设备信息,对于未通过入网认证的终端拦截此后所有报文,对于通过入网认证的终端允许后续报文通过;
B3:用户终端向服务器网络1的安全认证服务器发送身份认证请求;
B4:服务器网络1的安全认证服务器故障,无法响应用户终端的身份认证请求;
B5:用户终端未收到服务器网络1的安全认证服务器请求响应,超时后向访问控制网关请求安全认证服务器列表;
B6:用户终端遍历安全认证服务器列表,依次发送身份认证请求,服务器网络2的安全认证服务器根据预置规则对用户身份信息进行认证,将认证结果返回给用户终端与访问控制网关;
B7:访问控制网关收到该用户身份认证结果后更新用户认证结果,若身份认证未通过则将拦截该终端后续所有报文;
B8:用户终端访问应用服务器。
实施例3:
如图4所示,应用服务器访问其他网络的应用服务器时,一个完整的典型流程如下:
S1:网络1的应用服务器向通过其安全认证代理向网络1的安全认证服务器提交服务认证请求;
S2:网络1的安全认证服务器验证服务认证请求,生成服务认证结果并返回给安全认证代理,同时发送给网络1的访问控制网关;
S3:网络2的应用服务器向通过其安全认证代理向网络2的安全认证服务器提交服务认证请求;
S4:网络2的安全认证服务器验证服务认证请求,生成服务认证结果并返回给安全认证代理,同时发送给网络2的访问控制网关;
S5:网络2的应用服务器通过安全认证代理接入访问控制网关申请入网;
S6:网络2的访问控制网关根据预置规则对应用服务器进行入网认证,保存应用服务器的设备信息;
S7:网络2的应用服务器通过安全认证代理向网络1的安全认证服务器发送身份认证请求;
S8:网络1的安全认证服务器根据预置规则对网络2的应用服务器身份信息进行认证,将认证结果返回给网络2的应用服务器安全认证代理和网络2的访问控制网关;
S9:网络2的访问控制网关收到该用户身份认证结果后更新用户认证结果,若身份认证未通过则将拦截该终端后续所有报文;
S10:网络2的应用服务器访问网络1的应用服务器。
本发明实施例还提供一种多层次安全认证系统,包括以下模块:
请求模块:用于入口网关接收用户终端发送的入网认证请求,根据入网认证请求规则确定请求是否有效;若有效,入口网关告知用户终端认证通过并允许进行后续认证流程;若无效,认证失败;
身份认证模块:用于第一网络中的安全认证服务器通过入口网关接收用户终端发送的身份认证信息请求,第一网络中的安全认证服务器根据身份认证校验规则确定用户身份信息;若有效,通知入口网关所述用户终端通过认证可以访问应用服务器;若无效,则返回入口网关,入口网关将认证失败信息反馈用户终端,并对该用户终端的后续访问进行拦截;还用于:用户终端向第一网络中的安全认证服务器请求响应超时后,入口网关请求访问第二网络中的安全认证服务器;第二网络中的安全认证服务器根据身份认证校验规则确定用户身份信息;若有效,则访问第一网络中的应用服务器;若无效,则返回入口网关,入口网关将认证失败信息反馈用户终端;并对该用户终端的后续访问进行拦截;
服务认证模块:用于第一网络中的安全认证服务器接收第一网络中的应用服务器向发送的服务认证请求,第一网络中的安全认证服务器根据服务认证校验规则确定请求是否有效;若有效,第一网络中的安全认证服务器将应用服务器的身份信息发送给入口网关;若无效,认证失败。还用于:应用服务器向第一网络中的安全认证服务器请求响应超时后,应用服务器请求访问第二网络中的安全认证服务器;第二网络中的安全认证服务器根据服务认证校验规则确定身份信息;若有效,则访问第一网络中的应用服务器;若无效,则返回第二网络中的安全认证服务器,第二网络中的安全认证服务器将认证失败信息反馈应用服务器;
本发明实施例还提供一种设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的程序,其特征在于,所述处理器执行所述程序时实现任一项所述的一种多层次安全认证方法中的步骤。
本发明实施例还提供一种存储介质,存储有计算机程序,其特征在于,所述计算机程序被设计为运行时实现任一项所述的一种多层次安全认证方法中的步骤。
本发明实施例还提供一种入口网关,请求模块、验证模块、接收模块、拦截模块;请求模块用于接收用户终端发送的入网认证请求;验证模块用于验证用户终端发送的入网认证请求是否有效;若有效,入口网关告知用户终端认证通过并允许进行后续认证流程;若无效,认证失败;接收模块用于接收应用服务器的身份信息;拦截模块用于将认证失败信息反馈用户终端,并对该用户终端的后续访问进行拦截。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请实施例中的方案可以采用各种计算机语言实现,例如,面向对象的程序设计语言Java和直译式脚本语言JavaScript等。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

Claims (11)

1.一种多层次安全认证方法,其特征在于,包括以下步骤:
入口网关接收用户终端发送的入网认证请求,根据入网认证请求规则确定请求是否有效;若有效,入口网关告知用户终端认证通过并允许进行后续认证流程;若无效,认证失败;
第一网络中的安全认证服务器通过入口网关接收用户终端发送的身份认证信息请求,第一网络中的安全认证服务器根据身份认证校验规则确定用户身份信息;若有效,通知入口网关所述用户终端通过认证可以访问应用服务器;若无效,则返回入口网关,入口网关将认证失败信息反馈用户终端,并对该用户终端的后续访问进行拦截;
第一网络中的安全认证服务器接收第一网络中的应用服务器向发送的服务认证请求,第一网络中的安全认证服务器根据服务认证校验规则确定请求是否有效;若有效,第一网络中的安全认证服务器将应用服务器的身份信息发送给入口网关;若无效,认证失败。
2.根据权利要求1所述的一种多层次安全认证方法,其特征在于,还包括以下步骤:
用户终端向第一网络中的安全认证服务器请求响应超时后,入口网关请求访问第二网络中的安全认证服务器;第二网络中的安全认证服务器根据身份认证校验规则确定用户身份信息;若有效,则访问第一网络中的应用服务器;若无效,则返回入口网关,入口网关将认证失败信息反馈用户终端;并对该用户终端的后续访问进行拦截;
应用服务器向第一网络中的安全认证服务器请求响应超时后,应用服务器请求访问第二网络中的安全认证服务器;第二网络中的安全认证服务器根据服务认证校验规则确定身份信息;若有效,则访问第一网络中的应用服务器;若无效,则返回第二网络中的安全认证服务器,第二网络中的安全认证服务器将认证失败信息反馈应用服务器。
3.根据权利要求1所述的一种多层次安全认证方法,其特征在于,所述入网认证规则包括:用户终端的MAC地址、IP地址、硬件主板序列号、硬盘序列号、操作系统版本、客户端版本、是否安装安全防护软件中的两个以上。
4.根据权利要求1所述的一种多层次安全认证方法,其特征在于,身份认证校验规则包括用户终端的用户名口令、证书、指纹、人脸、角色标签中的两个以上。
5.根据权利要求1所述的一种多层次安全认证方法,其特征在于,服务认证校验规则包括:应用服务器的应用服务名称、应用服务器的MAC地址、应用服务IP地址、应用服务端口号、应用程序关键文件Hash值、完整性标签、业务功能标签、操作系统版本、业务软件版本中的两个以上。
6.一种多层次安全认证系统,其特征在于,包括以下模块:
请求模块:用于入口网关接收用户终端发送的入网认证请求,根据入网认证请求规则确定请求是否有效;若有效,入口网关告知用户终端认证通过并允许进行后续认证流程;若无效,认证失败;
身份认证模块:用于第一网络中的安全认证服务器通过入口网关接收用户终端发送的身份认证信息请求,第一网络中的安全认证服务器根据身份认证校验规则确定用户身份信息;若有效,通知入口网关所述用户终端通过认证可以访问应用服务器;若无效,则返回入口网关,入口网关将认证失败信息反馈用户终端,并对该用户终端的后续访问进行拦截;
服务认证模块:用于第一网络中的安全认证服务器接收第一网络中的应用服务器向发送的服务认证请求,第一网络中的安全认证服务器根据服务认证校验规则确定请求是否有效;若有效,第一网络中的安全认证服务器将应用服务器的身份信息发送给入口网关;若无效,认证失败。
7.根据权利要求6所述的一种多层次安全认证系统,其特征在于,身份认证模块还用于:用户终端向第一网络中的安全认证服务器请求响应超时后,入口网关请求访问第二网络中的安全认证服务器;第二网络中的安全认证服务器根据身份认证校验规则确定用户身份信息;若有效,则访问第一网络中的应用服务器;若无效,则返回入口网关,入口网关将认证失败信息反馈用户终端;并对该用户终端的后续访问进行拦截;
服务认证模块还用于:应用服务器向第一网络中的安全认证服务器请求响应超时后,应用服务器请求访问第二网络中的安全认证服务器;第二网络中的安全认证服务器根据服务认证校验规则确定身份信息;若有效,则访问第一网络中的应用服务器;若无效,则返回第二网络中的安全认证服务器,第二网络中的安全认证服务器将认证失败信息反馈应用服务器。
8.一种设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-5任一项所述的一种多层次安全认证方法中的步骤。
9.一种存储介质,存储有计算机程序,其特征在于,所述计算机程序被设计为运行时实现根据权利要求1至5任一项所述的一种多层次安全认证方法中的步骤。
10.一种入口网关,其特征在于,包括以下模块:请求模块、验证模块、接收模块;请求模块用于接收用户终端发送的入网认证请求;验证模块用于验证用户终端发送的入网认证请求是否有效;若有效,入口网关告知用户终端认证通过并允许进行后续认证流程;若无效,认证失败;接收模块用于接收应用服务器的身份信息。
11.根据权利要求10所述的一种入口网关,其特征在于,还包括拦截模块,用于将认证失败信息反馈用户终端,并对该用户终端的后续访问进行拦截。
CN202311010451.9A 2023-08-11 2023-08-11 一种多层次安全认证方法、系统、设备、存储介质及入口网关 Pending CN116996305A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311010451.9A CN116996305A (zh) 2023-08-11 2023-08-11 一种多层次安全认证方法、系统、设备、存储介质及入口网关

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311010451.9A CN116996305A (zh) 2023-08-11 2023-08-11 一种多层次安全认证方法、系统、设备、存储介质及入口网关

Publications (1)

Publication Number Publication Date
CN116996305A true CN116996305A (zh) 2023-11-03

Family

ID=88528158

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311010451.9A Pending CN116996305A (zh) 2023-08-11 2023-08-11 一种多层次安全认证方法、系统、设备、存储介质及入口网关

Country Status (1)

Country Link
CN (1) CN116996305A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117411733A (zh) * 2023-12-15 2024-01-16 北京从云科技有限公司 基于用户身份的内网访问保护系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117411733A (zh) * 2023-12-15 2024-01-16 北京从云科技有限公司 基于用户身份的内网访问保护系统
CN117411733B (zh) * 2023-12-15 2024-03-01 北京从云科技有限公司 基于用户身份的内网访问保护系统

Similar Documents

Publication Publication Date Title
CN112422532B (zh) 业务通信方法、系统、装置及电子设备
US11165579B2 (en) Decentralized data authentication
US10135828B2 (en) Technologies for secure server access using a trusted license agent
US20200106610A1 (en) System and method for decentralized identity management, authentication and authorization of applications
US8863257B2 (en) Securely connecting virtual machines in a public cloud to corporate resource
CN107124431B (zh) 鉴权方法、装置、计算机可读存储介质和鉴权系统
US20190020646A1 (en) Federated login for password vault
CN112000951B (zh) 一种访问方法、装置、系统、电子设备及存储介质
CN109388937B (zh) 一种多因子身份认证的单点登录方法及登录系统
CN116458117A (zh) 安全数字签名
CN114553540A (zh) 基于零信任的物联网系统、数据访问方法、装置及介质
US10771462B2 (en) User terminal using cloud service, integrated security management server for user terminal, and integrated security management method for user terminal
CN113678131A (zh) 使用区块链保护在线应用程序和网页
CN114301617A (zh) 多云应用网关的身份认证方法、装置、计算机设备及介质
US11977620B2 (en) Attestation of application identity for inter-app communications
CN116996305A (zh) 一种多层次安全认证方法、系统、设备、存储介质及入口网关
CN113114464A (zh) 统一安全管理系统及身份认证方法
CN115190483B (zh) 一种访问网络的方法及装置
US11177958B2 (en) Protection of authentication tokens
CN112738005A (zh) 访问处理方法、装置、系统、第一认证服务器及存储介质
US10375056B2 (en) Providing a secure communication channel during active directory disaster recovery
CN114024682A (zh) 跨域单点登录方法、服务设备及认证设备
US20230370455A1 (en) Process level authentication for client device access to a server system
Ayyub et al. An analysis of security attacks on cloud wrt saas
US20240291803A1 (en) Zero Trust Support for Secure Networks Via Modified Virtual Private Network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination