專利名稱：非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法
技術領域：
本發(fā)明涉及計算機網(wǎng)絡安全控制技術領域，尤其涉及一種非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法。
背景技術：
對于現(xiàn)有的網(wǎng)絡計算機系統(tǒng)，安全訪問機制是必須的。隨著數(shù)據(jù)整合平臺越來越多的應用于校園，企業(yè)，政府，信息機構，傳統(tǒng)的通過單一，分散式應用服務器上的訪問控制機制已經(jīng)不能滿足要求。計算機信息發(fā)展是一個逐漸發(fā)展的過程，隨著分布式服務器的逐漸增多，企業(yè)級信息共享面臨解決信息孤島的問題，當幾大IT公司和國際組織推出了安全產(chǎn)品的時候，數(shù)據(jù)整合平臺之上的數(shù)據(jù)整合成為可能并且蓬勃發(fā)展?，F(xiàn)有的安全訪問控制方法往往只利用駐留本地防火墻和應用服務器進行本地的安全訪問控制，不適合在分布式系統(tǒng)和云計算系統(tǒng)中進行復雜的控制。這是因為數(shù)據(jù)整合平臺越來越復雜，將要面臨如下問題:①用戶活動復雜用戶活動地點不確定用戶在服務器之間跳轉(zhuǎn)頻繁；④防火墻分散，孤立等。

發(fā)明內(nèi)容
本發(fā)明的目的是為了克服現(xiàn)有的應用于數(shù)據(jù)整合平臺的安全訪問控制方法不適應在分布式系統(tǒng)和云計算系統(tǒng)中進行復雜的控制的不足，提出的非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法。為實現(xiàn)上述目的，本發(fā)明采取以下技術方案:非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法，包括以下步驟:步驟1:用戶通過認證服務器登錄數(shù)據(jù)整合平臺并且獲得全局令牌并接收全局令牌判定；步驟2:用戶通過步驟I中的全局令牌判定后，進入應用服務器的數(shù)據(jù)訪問階段，對于一般數(shù)據(jù)直接進行訪問，對于高安全級別的數(shù)據(jù)，進行一次性令牌判定后決定是否有權訪問；步驟3:在步驟2結(jié)束并進入中心策略防火墻聯(lián)動階段后利用應用服務器上的DRM模塊和中心策略防火墻對非法操作進行控制。優(yōu)選方案:步驟I的詳細過程包括如下步驟:步驟11:用戶訪問應用服務器時，首先登錄認證服務器，用戶端發(fā)送第一消息Info(I)給認證服務器；步驟12:認證服務器將本地存儲的用戶信息列表和第一消息Info(I)進行比對，比對的結(jié)果表示為第一結(jié)果Result (I)，如果第一結(jié)果合法，則判定用戶可以登錄，并且將全局令牌以第二消息Info (2)的形式發(fā)送給用戶端；否則，阻止用戶登錄；步驟13:用戶端帶著第二消息Info(2)訪問應用服務器，并將第二消息Info (2)發(fā)送給應用服務器以求訪問；步驟14:應用服務器從用戶攜帶的第二消息Info (2)中獲取全局令牌，并將全局令牌傳給認證服務器，以求比對；認證服務器用本地存儲的本地全局令牌信息來和應用服務器提取的全局令牌進行比對得到第二結(jié)果Result(2)，如果結(jié)果匹配，則判定該用戶屬于已經(jīng)合法登錄的用戶，并將該第二結(jié)果發(fā)送給應用服務器，應用服務器收到消息之后，為用戶提供服務；如果結(jié)果不匹配，則判定該用戶不屬于已經(jīng)合法登錄的用戶，并將該第二結(jié)果發(fā)送給應用服務器，應用服務器收到消息之后，應用服務器阻止該用戶訪問。優(yōu)選方案:步驟2的詳細過程包括如下步驟:步驟21:用戶進入應用服務器的數(shù)據(jù)訪問階段，應用服務器為了請求一次性令牌，應用服務器會記錄下用戶的操作信息并將這些操作信息記錄為第一記錄Record(I)；步驟22:將步驟21中得到的第一記錄RecorcKl)與認證服務器中存儲的本地表格進行比對，并將比對結(jié)果表示為第三結(jié)果Result (3)，從而得到用戶權限；步驟23:認證服務器根據(jù)第三結(jié)果Result (3)得到用戶權限進行判定，如果認證服務器判定為用戶進行的是合法操作，那么認證服務器就將一次性令牌發(fā)送給應用服務器，所述一次性令牌中包含有第一記錄Record(I)，以及一次性令牌的有效時間，應用服務器根據(jù)一次性令牌中的第一記錄和有效時間為該用戶提供服務；步驟24:認證服務器根據(jù)第三結(jié)果Result (3)得到用戶權限進行判定，如果認證服務器判定為用戶進行的是非法操作，數(shù)據(jù)整合平臺進入中心策略防火墻聯(lián)動階段。優(yōu)選方案:步驟3的詳細過程包括如下步驟:步驟31:在步驟2結(jié)束并進入中心策略防火墻聯(lián)動階段后，該應用服務器記錄下該用戶信息，并將該信息表示為第二記錄Record (2),并將該第二記錄Record (2)傳送給部署在本應用服務器上的DRM模塊；步驟32:DRM模塊通過與中心策略防火墻的接口通知中心策略防火墻，DRM模塊發(fā)送警報信息給中心策略防火墻和部署在認證服務器上的CAM模塊；步驟33:中心策略防火墻從警報信息中解析出用戶所在的應用服務器的地址，然后調(diào)動應用服務器上的駐留本地防火墻阻斷用戶訪問。優(yōu)選方案:步驟11所述的第一消息Info (I)包含賬號和密碼信息。優(yōu)選方案:步驟21的操作信息包括全局令牌信息、用戶的角色、用戶試圖進行的操作和欲操作的資源。優(yōu)選方案:步驟22的本地表格包括角色——動作表和動作——資源表。優(yōu)選方案:步驟12中認證服務器在比對賬號和密碼的過程中使用輕量級目錄訪問協(xié)議。優(yōu)選方案:步驟22在用表格進行比對所使用的機制為基于角色的訪問控制。優(yōu)選方案:步驟33后還包括步驟34 =CAM模塊收到警報信息之后，從警報信息中解析出該非法操作用戶的賬號，認證服務器根據(jù)用戶賬號讓用戶退出數(shù)據(jù)整合平臺系統(tǒng)。綜上所述，由于采用了上述技術方案，本發(fā)明的具體有益效果是:本發(fā)明對數(shù)據(jù)整合平臺的數(shù)據(jù)訪問進行整體控制，采用令牌(Token)比對來完成的身份認證，然后對于已經(jīng)登錄數(shù)據(jù)整合平臺的用戶端，用中心策略防火墻對非法行為進行阻斷并記錄。本發(fā)明闡述的控制方法，將用戶登錄，令牌比對，應用服務訪問，防火墻機制聯(lián)系為了一個整體，與原有的數(shù)據(jù)整合平臺思想達成一致，將用戶在數(shù)據(jù)平臺中的活動包括在控制之下，對非法用戶，非法操作都起到了控制防護作用。因此本發(fā)明可以較為完善地保護數(shù)據(jù)整合平臺的安全性，解決了以往單一應用服務器下的安全策略無法滿足企業(yè)級數(shù)據(jù)整合平臺的安全訪問的要求。


圖1為部署好CAM模塊和DRM模塊的數(shù)據(jù)整合平臺的結(jié)構圖；圖2為非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法的流程圖。
具體實施例方式本說明書中公開的所有特征，或公開的所有方法或過程中的步驟，除了互相排斥的特征和/或步驟以外，均可以以任何方式組合。本說明書(包括任何附加權利要求、摘要和附圖)中公開的任一特征，除非特別敘述，均可被其他等效或具有類似目的的替代特征加以替換。即，除非特別敘述，每個特征只是一系列等效或類似特征中的一個例子而已。在對本發(fā)明的具體實施例進行詳細說明前，有必要對本發(fā)明的方法所應用的數(shù)據(jù)整合平臺進行說明，如圖1所示，該數(shù)據(jù)整合平臺包括至少一個認證服務器以及與該認證服務器配套的CAM模塊(Center Assurance Module),還包括若干應用服務器以及與每個應用服務器配套的DRM模塊(Distribute Recording Module)以及駐留本地防火墻,還包括一個中心策略防火墻。為了避免對現(xiàn)有的應用服務器程序進行修改，本發(fā)明采用非侵入式方式，即:CAM模塊和DRM模塊部署上之后不影響現(xiàn)有的應用服務器和防火墻結(jié)構。上述CAM中心保障模塊(Center Assurance Module)的功能:部署于認證服務器端，整個系統(tǒng)中數(shù)量唯一。具有和認證服務器的接口，可以向認證服務器發(fā)送數(shù)據(jù)，也可以從認證服務器接收數(shù)據(jù)。并且，可以從DRM模塊接收和發(fā)送數(shù)據(jù)。上述DRM分布式記錄模塊(Distribute Recording Module)的功能:每一個應用服務器端部署一個。具有和應用服務器、中心策略防火墻的接口?？梢詮恼J證服務器接收數(shù)據(jù)，也可以從CAM模塊接收和發(fā)送數(shù)據(jù)，并且可以向中心策略防火墻發(fā)送數(shù)據(jù)。上述認證服務器和應用服務器可以直接進行通信(圖中未示出)，也可以通過CAM模塊和DRM模塊進行通信。所述中心策略防火墻和駐留本地防火墻之間也可以直接進行通信(圖中未示出)。非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法，包括如下步驟:步驟1:用戶通過認證服務器登錄數(shù)據(jù)整合平臺并且獲得全局令牌并接收全局令牌判定。該步驟的詳細過程包括如下步驟:步驟11:用戶訪問應用服務器時， 首先登錄認證服務器，用戶端發(fā)送包含賬號(UserName)和密碼(PassWord)的第一消息Info(I)給認證服務器；該第一消息的偽代碼表達式為:Info (I) =Username I !password。
步驟12:認證服務器將本地存儲的用戶信息列表(LocaInfo)和第一消息Info (I)進行比對，比對的結(jié)果表示為第一結(jié)果Result (I)，如果第一結(jié)果合法(True)，則判定用戶可以登錄，并且將全局令牌(GlobalToken)以第二消息Info (2)的形式發(fā)送給用戶端；否貝U，阻止用戶登錄；本步驟過程的偽代碼表示為:Result(I)=Compare[Info (I) | Localnfo]If(Result(I))=True;Info (2) =GlobalToken---------------*■用戶端；說明:認證服務器在比對賬號(UserName)和密碼(PassWord)的過程中使用的技術為LDAP (輕量級目錄訪問協(xié)議)，該技術為現(xiàn)有技術。步驟13:用戶端帶著第二消息Info(2)訪問應用服務器，并將第二消息Info (2)發(fā)送給應用服務器以求訪問。步驟14:應用服務器從用戶攜帶的第二消息Info⑵中獲取全局令牌(GlobalToken),并將全局令牌(GlobalToken)傳給認證服務器(應用服務器和認證服務器直接通信)，以求比對。認證服務器用本地存儲的本地全局令牌信息(LocalGlobalToken)來和應用服務器提取的全局令牌(GlobalToken)進行比對得到第二結(jié)果Result (2)，如果結(jié)果匹配，則判定該用戶屬于已經(jīng)合法登錄的用戶，并將該第二結(jié)果發(fā)送給應用服務器，應用服務器收到消息之后，為用戶提供服務；如果結(jié)果不匹配，則判定該用戶不屬于已經(jīng)合法登錄的用戶，并將該第二結(jié)果發(fā)送給應用服務器，應用服務器收到消息之后，應用服務器阻止該用戶訪問。本步驟過程的偽代碼表不為:Result(2) =Compare [LocalGlobalToken GlobalToken]；步驟2:用戶通過步驟I中的全局令牌判定后，進入應用服務器的數(shù)據(jù)訪問階段，對于一般數(shù)據(jù)直接進行訪問，對于高安全級別的數(shù)據(jù)，再次進行一次性令牌判定后決定是否有權訪問。其具體過程為:步驟21:用戶進入應用服務器的數(shù)據(jù)訪問階段，對于一般數(shù)據(jù)直接進行訪問，對于高安全級別的數(shù)據(jù)，應用服務器就需要從認證服務器得到一次性令牌，此時，應用服務器為了請求一次性令牌，應用服務器會記錄下用戶的全局令牌(GlobalToken)信息、用戶的角色、用戶試圖進行的操作和欲操作的資源，并將這些用戶信息記錄為第一記錄Record(I)。本步驟過程的偽代碼表示為:Record(I)=GlobalToken Role Action Resource ；步驟22:將步驟21中得到的第一記錄RecorcKl)與認證服務器中存儲的本地表格(Table)進行比對，本地表格(Table)包括角色——動作(Role——Action)表和動
作-資源(Action-Resource)表,并將比對結(jié)果表示為第三結(jié)果Result (3),從而得
到用戶權限；本步驟過程的偽代碼表示為:Result (3) = Compare [Record(I) | Table]；說明:在用表格進行比對所使用的機制為基于角色的訪問控制(RBAC)，該技術為目前主流的權限控制方式。
步驟23:認證服務器根據(jù)第三結(jié)果Result (3)得到用戶權限進行判定，如果認證服務器判定為用戶進行的是合法操作，那么認證服務器就將一次性令牌(InstantToken)發(fā)送給應用服務器，所述一次性令牌中包含有第一記錄Record(I)，以及一次性令牌的有效時間(TimeValidation)，應用服務器根據(jù)一次性令牌中的第一記錄和有效時間為該用戶提供服務；本步驟過程的偽代碼表示為:InstantToken=Record(I) | TimeValidation ；步驟24:認證服務器根據(jù)第三結(jié)果Result (3)得到用戶權限進行判定，如果認證服務器判定為用戶進行的是非法操作，數(shù)據(jù)整合平臺進入中心策略防火墻聯(lián)動階段；步驟3:在步驟2結(jié)束并進入中心策略防火墻聯(lián)動階段后利用應用服務器上的DRM模塊和中心策略防火墻對非法操作進行控制。步驟31:在步驟2結(jié)束并進入中心策略防火墻聯(lián)動階段后，該應用服務器記錄下該用戶信息，并將該信息表示為第二記錄Record (2),所述第二記錄Record (2)包括:用戶賬號(UserName)、全局令牌(GlobalToken)、動作(Action)和該用戶所在應用服務器的位置(Location)，并將該第二記錄Record (2)傳送給部署在本應用服務器上的DRM模塊；本步驟過程的偽代碼表示為:Record(2)=UserName GlobalToken Action Location;步驟32:DRM模塊通過與中心策略防火墻的接口通知中心策略防火墻，DRM模塊發(fā)送警報信息Alert給中心策略防火墻和部署在認證服務器上的CAM模塊，所述警報信息的偽代石馬表不為:Alert=UserName I | GlobalToken | !Action | | Location;
步驟33:中心策略防火墻從警報信息中解析出用戶所在的應用服務器的地址，然后調(diào)動應用服務器上的駐留本地防火墻阻斷用戶訪問。步驟34:CAM模塊收到警報信息之后，從警報信息中解析出該非法操作用戶的賬號(UserName)，認證服務器根據(jù)用戶賬號(UserName)讓用戶退出數(shù)據(jù)整合平臺系統(tǒng)。以上顯示和描述了本發(fā)明的基本原理、主要特征和優(yōu)點。以上實施實例僅用以描述本發(fā)明的技術方案而不是對技術方法進行限制，本發(fā)明在應用上可延伸為其他的修改、變化和應用，并且認為所有這樣的修改、變化和應用都落入要求保護的本發(fā)明范圍內(nèi)。
權利要求
1.一種非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法，其特征在于:包括以下步驟: 步驟1:用戶通過認證服務器登錄數(shù)據(jù)整合平臺并且獲得全局令牌并接收全局令牌判定; 步驟2:用戶通過步驟I中的全局令牌判定后，進入應用服務器的數(shù)據(jù)訪問階段，對于一般數(shù)據(jù)直接進行訪問，對于高安全級別的數(shù)據(jù)，進行一次性令牌判定后決定是否有權訪問； 步驟3:在步驟2結(jié)束并進入中心策略防火墻聯(lián)動階段后利用應用服務器上的DRM模塊和中心策略防火墻對非法操作進行控制。
2.根據(jù)權利要求1所述的非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法，其特征在于:步驟I的詳細過 程包括如下步驟: 步驟11:用戶訪問應用服務器時，首先登錄認證服務器，用戶端發(fā)送第一消息Info(I)給認證服務器； 步驟12:認證服務器將本地存儲的用戶信息列表和第一消息Info(I)進行比對，比對的結(jié)果表示為第一結(jié)果Result (I)，如果第一結(jié)果合法，則判定用戶可以登錄，并且將全局令牌以第二消息Info (2)的形式發(fā)送給用戶端；否則，阻止用戶登錄； 步驟13:用戶端帶著第二消息Info(2)訪問應用服務器，并將第二消息Info(2)發(fā)送給應用服務器以求訪問； 步驟14:應用服務器從用戶攜帶的第二消息Info (2)中獲取全局令牌，并將全局令牌傳給認證服務器，以求比對；認證服務器用本地存儲的本地全局令牌信息來和應用服務器提取的全局令牌進行比對得到第二結(jié)果Result(2)，如果結(jié)果匹配，則判定該用戶屬于已經(jīng)合法登錄的用戶，并將該第二結(jié)果發(fā)送給應用服務器，應用服務器收到消息之后，為用戶提供服務；如果結(jié)果不匹配，則判定該用戶不屬于已經(jīng)合法登錄的用戶，并將該第二結(jié)果發(fā)送給應用服務器，應用服務器收到消息之后，應用服務器阻止該用戶訪問。
3.根據(jù)權利要求1或2所述的非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法，其特征在于:步驟2的詳細過程包括如下步驟: 步驟21:用戶進入應用服務器的數(shù)據(jù)訪問階段，應用服務器為了請求一次性令牌，應用服務器會記錄下用戶的操作信息并將這些操作信息記錄為第一記錄Record(I)； 步驟22:將步驟21中得到的第一記錄RecorcKl)與認證服務器中存儲的本地表格進行比對，并將比對結(jié)果表示為第三結(jié)果Result (3)，從而得到用戶權限； 步驟23:認證服務器根據(jù)第三結(jié)果Result (3)得到用戶權限進行判定，如果認證服務器判定為用戶進行的是合法操作，那么認證服務器就將一次性令牌發(fā)送給應用服務器，所述一次性令牌中包含有第一記錄Record(I)，以及一次性令牌的有效時間，應用服務器根據(jù)一次性令牌中的第一記錄和有效時間為該用戶提供服務； 步驟24:認證服務器根據(jù)第三結(jié)果Result (3)得到用戶權限進行判定，如果認證服務器判定為用戶進行的是非法操作，數(shù)據(jù)整合平臺進入中心策略防火墻聯(lián)動階段。
4.根據(jù)權利要求1或2所述的非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法，其特征在于:步驟3的詳細過程包括如下步驟: 步驟31:在步驟2結(jié)束并進入中心策略防火墻聯(lián)動階段后，該應用服務器記錄下該用戶信息，并將該信息表示為第二記錄Record (2),并將該第二記錄Record (2)傳送給部署在本應用服務器上的DRM模塊； 步驟32 =DRM模塊通過與中心策略防火墻的接口通知中心策略防火墻，DRM模塊發(fā)送警報信息給中心策略防火墻和部署在認證服務器上的CAM模塊； 步驟33:中心策略防火墻從警報信息中解析出用戶所在的應用服務器的地址，然后調(diào)動應用服務器上的駐留本地防火墻阻斷用戶訪問。
5.根據(jù)權利要求2所述的非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法，其特征在于:步驟11所述的第一消息Info(I)包含賬號和密碼信息。
6.根據(jù)權利要求3所述的非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法，其特征在于:步驟21的操作信息包括全局令牌信息、用戶的角色、用戶試圖進行的操作和欲操作的資源。
7.根據(jù)權利要求6所述的非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法，其特征在于:步驟22的本地表格包括角色——動作表和動作——資源表。
8.根據(jù)權利要求5所述的非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法，其特征在于:步驟12中認證服務器在比對賬號和密碼的過程中使用輕量級目錄訪問協(xié)議。
9.根據(jù)權利要求7所述的非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法，其特征在于:步驟22在用表格進行比對所使用的機制為基于角色的訪問控制。
10.根據(jù)權利要求4所述的非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法，其特征在于:步驟33后還包括步驟34 =CAM模塊收到警報信息之后，從警報信息中解析出該非法操作用戶的賬號，認證 服務器根據(jù)用戶賬號讓用戶退出數(shù)據(jù)整合平臺系統(tǒng)。
全文摘要
本發(fā)明公開了一種非侵入式數(shù)據(jù)整合平臺安全訪問聯(lián)動控制方法，涉及計算機網(wǎng)絡安全控制技術領域，包括以下步驟步驟1用戶通過認證服務器登錄數(shù)據(jù)整合平臺并且獲得全局令牌并接收全局令牌判定；步驟2用戶通過步驟1中的全局令牌判定后，進入應用服務器的數(shù)據(jù)訪問階段，對于一般數(shù)據(jù)直接進行訪問，對于高安全級別的數(shù)據(jù)，進行一次性令牌判定后決定是否有權訪問；步驟3在步驟2結(jié)束并進入中心策略防火墻聯(lián)動階段后利用應用服務器上的DRM模塊和中心策略防火墻對非法操作進行控制。本發(fā)明可以較為完善地保護數(shù)據(jù)整合平臺的安全性，解決了以往單一應用服務器下的安全策略無法滿足企業(yè)級數(shù)據(jù)整合平臺的安全訪問要求。
文檔編號H04L29/06GK103152349SQ20131008171
公開日2013年6月12日 申請日期2013年3月14日 優(yōu)先權日2013年3月14日
發(fā)明者唐雪飛, 陳科, 郭一錡 申請人:成都康賽電子科大信息技術有限責任公司