本申请属于信息系统安全领域,特别涉及一种应用系统跨单位安全共享方法及系统。该方法包括:步骤S1、获取异地用户自异地客户端发起的对本地服务器特定系统的交换认证凭证请求;步骤S2、校验所述异地用户在本地身份库中的访问权限;步骤S3、若所述异地用户具有对特定系统的访问权限,则向所述异地客户端发送凭证查证请求,确定所述异地用户身份是否合法;步骤S4、若所述异地用户身份合法,则将所述特定系统访问链接发送至异地客户端。本申请实现了跨单位的用户信息自动同步、应用系统自动或半自动的权限管理,实现对信息系统共享的高效运行及维护。及维护。
【技术实现步骤摘要】
一种应用系统跨单位安全共享方法及系统
[0001]本申请属于信息系统安全领域,特别涉及一种应用系统跨单位安全共享方法及系统。
技术介绍
[0002]由于军工行业的特殊性,军工单位的信息化建设,既要考虑对武器装备研制业务需求的支撑,又要考虑对系统中涉密信息的安全保密防护。经过多年的信息化建设,目前国内各军工集团成员单位大多建立了基于内部园区网的涉密信息系统,并配备了PKI/CA数字证书身份认证等信息系统安全防护体系,基本满足了单位内部各项业务的信息化需求。随着新一代武器装备复杂度的提升,多家单位联合研制成为一种必然趋势,而各单位独自建设的涉密信息系统因身份认证体系不兼容、技术架构异构、数据标准不一致、跨单位涉密信息难控制等原因,缺少有效的跨单位应用系统安全共享方法,实现进行跨单位的应用共享和集成。
[0003]为满足多单位协作的研制模式的急切需求,各成员单位不得不采用放宽网络层防火墙控制、降低身份鉴别强度要求(如将“生物特征识别”强身份鉴别方式换成“用户名/密码”认证方式)等方式实现应用互访。一方面,打破了单位内部园区网的网络层安全防护体系;另一方面,采用用户名/密码的身份认证方式,无法对系统的实际访问用户进行有效的身份鉴别,存在泄密隐患;此外,用户权限信息的变更需要跨单位沟通协调,依赖系统管理员人工调整,增加了大量的系统运行维护和管理成本。
技术实现思路
[0004]为了解决上述问题,本申请提供了一种应用系统跨单位安全共享方法及系统,解决当前跨单位应用互访过程中存在的安全性低、管理维护困难等实际问题。
[0005]本申请第一方面提供了一种应用系统跨单位安全共享方法,主要包括:
[0006]步骤S1、获取异地用户自异地客户端发起的对本地服务器特定系统的交换认证凭证请求,所述异地客户端中集成有本地身份认证系统反向代理的应用地址;
[0007]步骤S2、校验所述异地用户在本地身份库中的访问权限,所述本地身份库与所述异地用户所属的异地身份库通过同步技术实现用户身份的同步更新;
[0008]步骤S3、若所述异地用户具有对特定系统的访问权限,则向所述异地客户端发送凭证查证请求,确定所述异地用户身份是否合法;
[0009]步骤S4、若所述异地用户身份合法,则将所述特定系统访问链接发送至异地客户端。
[0010]优选的是,步骤S1中,所述交换认证凭证请求由异地客户端通过其数字证书系统对登录用户校验后,自动生成。
[0011]优选的是,步骤S2中同步更新本地身份库与异地身份库的步骤包括:
[0012]对允许访问的系统以及在系统内的角色建立对应关系,形成权限模型;
[0013]基于所述权限模型对新增角色完成身份接收和角色赋予,并同步本地身份库与异地身份库。
[0014]优选的是,步骤S2中同步更新本地身份库与异地身份库的步骤包括:
[0015]获取本地用户或异地用户对特定系统的访问请求,以及获取对所述访问请求的审批结果;
[0016]基于对所述访问请求的审批结果完成身份接收和角色赋予,并同步本地身份库与异地身份库。
[0017]优选的是,基于LDAP目录服务技术,以及具有同步标识字段的用户表,同步所述本地身份库与异地身份库。
[0018]优选的是,将所述特定系统访问链接发送至异地客户端之前进一步包括:
[0019]通过双向认证配置完成本地服务器与异地客户端的身份认证系统的识别与信任;
[0020]将双方的身份认证系统分别与各自的数字证书系统集成。
[0021]本申请第二方面提供了一种应用系统跨单位安全共享系统,主要包括:
[0022]访问请求监听模块,用于获取异地用户自异地客户端发起的对本地服务器特定系统的交换认证凭证请求,所述异地客户端中集成有本地身份认证系统反向代理的应用地址;
[0023]用户识别模块,用于校验所述异地用户在本地身份库中的访问权限,所述本地身份库与所述异地用户所属的异地身份库通过同步技术实现用户身份的同步更新;
[0024]身份校验模块,用于当所述异地用户具有对特定系统的访问权限时,向所述异地客户端发送凭证查证请求,确定所述异地用户身份是否合法;
[0025]链接发送模块,用于当所述异地用户身份合法时,将所述特定系统访问链接发送至异地客户端。
[0026]优选的是,所述访问请求监听模块中,所述交换认证凭证请求由异地客户端通过其数字证书系统对登录用户校验后,自动生成。
[0027]优选的是,基于LDAP目录服务技术,以及具有同步标识字段的用户表,同步所述本地身份库与异地身份库。
[0028]优选的是,所述系统还包括:
[0029]双向认证配置模块,用于通过双向认证配置完成本地服务器与异地客户端的身份认证系统的识别与信任;
[0030]系统集成模块,用于将双方的身份认证系统分别与各自的数字证书系统集成。
[0031]本申请实现了跨单位的用户信息自动同步、应用系统自动或半自动的权限管理,实现对信息系统共享的高效运行及维护。
附图说明
[0032]图1是本申请应用系统跨单位安全共享方法的一优选实施例的流程图。
[0033]图2是用户端访问异地系统的流程图。
具体实施方式
[0034]为使本申请实施的目的、技术方案和优点更加清楚,下面将结合本申请实施方式
中的附图,对本申请实施方式中的技术方案进行更加详细的描述。在附图中,自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。所描述的实施方式是本申请一部分实施方式,而不是全部的实施方式。下面通过参考附图描述的实施方式是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。基于本申请中的实施方式,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式,都属于本申请保护的范围。下面结合附图对本申请的实施方式进行详细说明。
[0035]本申请第一方面提供了一种应用系统跨单位安全共享方法,如图1所示,主要包括:
[0036]步骤S1、获取异地用户自异地客户端发起的对本地服务器特定系统的交换认证凭证请求,所述异地客户端中集成有本地身份认证系统反向代理的应用地址;
[0037]步骤S2、校验所述异地用户在本地身份库中的访问权限,所述本地身份库与所述异地用户所属的异地身份库通过同步技术实现用户身份的同步更新;
[0038]步骤S3、若所述异地用户具有对特定系统的访问权限,则向所述异地客户端发送凭证查证请求,确定所述异地用户身份是否合法;
[0039]步骤S4、若所述异地用户身份合法,则将所述特定系统访问链接发送至异地客户端。
[0040]在一些可选实施方式中,步骤S1中,所述交换认证凭证请求由异地客户端通过其数字证书系统对登录用户校验后,自动生成。
[0041]通过图2对本申请的技术方案进一步说明,图2是站在用户侧访问异地服务器的具体案例,其中,左本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种应用系统跨单位安全共享方法,其特征在于,包括:步骤S1、获取异地用户自异地客户端发起的对本地服务器特定系统的交换认证凭证请求,所述异地客户端中集成有本地身份认证系统反向代理的应用地址;步骤S2、校验所述异地用户在本地身份库中的访问权限,所述本地身份库与所述异地用户所属的异地身份库通过同步技术实现用户身份的同步更新;步骤S3、若所述异地用户具有对特定系统的访问权限,则向所述异地客户端发送凭证查证请求,确定所述异地用户身份是否合法;步骤S4、若所述异地用户身份合法,则将所述特定系统访问链接发送至异地客户端。2.如权利要求1所述的应用系统跨单位安全共享方法,其特征在于,步骤S1中,所述交换认证凭证请求由异地客户端通过其数字证书系统对登录用户校验后,自动生成。3.如权利要求1所述的应用系统跨单位安全共享方法,其特征在于,步骤S2中同步更新本地身份库与异地身份库的步骤包括:对允许访问的系统以及在系统内的角色建立对应关系,形成权限模型;基于所述权限模型对新增角色完成身份接收和角色赋予,并同步本地身份库与异地身份库。4.如权利要求1所述的应用系统跨单位安全共享方法,其特征在于,步骤S2中同步更新本地身份库与异地身份库的步骤包括:获取本地用户或异地用户对特定系统的访问请求,以及获取对所述访问请求的审批结果;基于对所述访问请求的审批结果完成身份接收和角色赋予,并同步本地身份库与异地身份库。5.如权利要求3或4任一项所述的应用系统跨单位安全共享方法,其特征在于,基于LDAP目录服务技术,以及具有同步标识字段的用户表,同步所述本地身份库与异地身份库。6.如...
【专利技术属性】
技术研发人员:满志福,吴平,于洁,
申请(专利权)人:中国航空工业集团公司沈阳飞机设计研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。