技术领域
[0001] 本
发明涉及信息安全领域,尤其涉及一种具有敏感数据的web应用的安全访问方法及系统。
背景技术
[0002] 目前,伴随着互联网技术的发展,大量基于web的应用应运而生,这些基于web的应用方便了用户的衣食住行。适用于企业用户的web的应用也提高了企业的运转效率,降低了运营成本。
[0003] web应用的广泛使用,方便各类用户的同时,也带来了一些安全方面的问题,例如个人隐私的泄露、企业用户的敏感数据被窃取等。特别是企事业团体、国家机关,其内部的web应用上流转的敏感数据,一但被非授权人员窃取,有可能造成不可估量的损失。因此,需要一种具有敏感数据的web应用的安全访问方法,以防止非授权访问。
[0004] 图1说明了
现有技术中基于VPN的web应用访问方法,它使用用户名、密码或者结合证书的方式验证用户的合法性,通过VPN访问web应用,从而保证终端到
服务器之间的链路安全,防止通讯过程被监听。但该方法中没有保证终端环境的安全及合法性,并且VPN也无法侦测异常访问,无法做到在有异常访问时,自动断开VPN,以降低损失。
发明内容
[0005] 为解决上述技术问题,本发明提出了一种具有敏感数据的web应用的安全访问方法及系统,所述方法及系统,用以解决现有技术中无法保证终端环境的安全及侦测到链路出现异常时的安全防护的技术问题。
[0006] 根据本发明的第一方面,提供一种具有敏感数据的web应用的安全访问系统,包括:
[0007] 所述系统包括用户侧单元、https代理网关、CA中心;
[0008] 所述用户侧单元包括专用浏览器和用户
硬件证书usbkey,也称为用户证书;所述专用浏览器用于检测
软件运行环境、用户证书及校验用户绑定的计算机硬件的合法性、访问具有敏感数据的web应用、上传计算机硬件信息及安全防护专用浏览器本地的缓存数据;所述专用浏览器运行前检测运行环境,检查用户硬件证书usbkey是否与当前硬件环境相匹配,若不匹配会禁止访问web应用;所述专用浏览器向所述https代理网关上传计算机硬件信息;所述专用浏览器对浏览器本地的缓存数据进行加密处理,以安全防护专用浏览器本地的缓存数据;
[0009] 所述https代理网关,用于验证所述专用浏览器的连接
请求、web应用代理、记录所述用户侧单元的硬件信息、监测用户端上传的计算机硬件信息、监测异常访问及记录日志;所述https代理网关与所述专用浏览器之间采用https双向认证技术保证链路安全;所述https代理网关,在监测到用户端上传的计算机硬件信息异常时,断开网络连接;
[0010] 所述CA中心用于负责用户证书的
申请、签发及用户证书的过程管理。
[0011] 进一步地,所述专用浏览器包括运行环境检测模
块、硬件信息采集模块、web引擎及显示模块、上传信息封装模块、缓存数据加密模块;
[0012] 所述运行环境检测模块用于专用浏览器运行前检测运行环境,检查用户硬件证书usbkey是否与当前硬件环境相匹配,若不匹配会禁止访问web应用;并检查所述专用浏览器当前运行的软件环境是否安全,若安全验证用户证书是否合法、检验用户绑定的计算机硬件是否合法;
[0013] 所述硬件信息采集模块用于获取计算机的硬件信息;
[0014] 所述web引擎及显示模块,用于实现https双向认证及具有敏感数据的web应用的信息请求,并将结果呈现给用户,同时利用web引擎的扩展技术,调用上传信息封装模块,将计算机硬件信息上报给https代理网关;
[0015] 所述上传信息封装模块,用于封装所述硬件信息采集模块获取的硬件信息;
[0016] 所述缓存数据加密模块,用于对浏览器本地的缓存数据进行加密处理,以安全防护专用浏览器本地的缓存数据。
[0017] 进一步地,所述计算机的硬件信息包括网卡MAC地址及IP地址。
[0018] 进一步地,所述https代理网关包括https代理认证模块、终端上报信息记录模块、异常访问监测模块、日志模块、代理服务模块;
[0019] 所述https代理认证模块,用于认证所述专用浏览器的连接请求的合法性;
[0020] 所述终端上报信息记录模块,用于记录并校验专用浏览器上报的计算机硬件信息;
[0021] 所述异常访问监测模块,用于监测专用浏览器的访问情况,一旦侦测到计算机硬件信息异常,则断开网络连接;
[0022] 所述日志模块,用于记录所述专用浏览器的正常及异常访问记录,以备查验;
[0023] 所述代理服务模块,用于作web应用代理,响应web应用的各项请求。
[0024] 进一步地,所述CA中心包括证书申请模块、证
书签发模块、证书管理模块、日志记录模块;
[0025] 所述证书申请模块,用于申请证书,收集申请用户证书的用户信息及要绑定的计算机硬件信息;
[0026] 所述证书签发模块,用于签发用户硬件证书usbkey;
[0027] 所述证书管理模块,用于对证书的生命周期进行管理,维护证书吊销列表;
[0028] 所述日志记录模块,用于对证书申请模块、证书签发模块、证书管理模块的操作进行记录,用于审计。
[0029] 根据本发明第二方面,提供一种具有敏感数据的web应用的安全访问方法,所述具有敏感数据的web应用的安全访问方法基于如前所述的web应用的安全访问系统,执行以下步骤:
[0030] 步骤S601:启动专用浏览器,通过运行环境检查、用户硬件证书usbkey绑定的计算机硬件与当前运行硬件匹配检查后,通过https双向连接访问
指定URL,并实时上传计算机硬件信息,加密专用浏览器的缓存数据;标记浏览器状态;
[0031] 步骤S602:若为退出浏览器,方法结束;否则,进入步骤S603;
[0032] 步骤S603:启动https代理网关,通过https双向认证连接请求后,记录专用浏览器上传的计算机硬件信息,并代理访问具有敏感数据的web应用,监测专用浏览器的web应用访问情况,出现异常时断开连接。
[0033] 根据本发明第三方面,提供一种基于具有敏感数据的web应用的安全访问系统的专用浏览器使用方法,基于如前所述的具有敏感数据的web应用的安全访问系统,所述方法还包括:
[0034] 步骤S701:开机启动专用浏览器;
[0035] 步骤S702:检查运行环境是否安全,若安全,进入步骤S703;否则,进入步骤S707;
[0036] 步骤S703:检查用户硬件证书usbkey绑定的计算机硬件是否与当前运行的计算机硬件相匹配,若匹配,进入步骤S704;否则,进入步骤S707;
[0037] 步骤S704:通过https双向连接访问指定URL;
[0038] 步骤S705:实时上传计算机硬件信息,加密专用浏览器的缓存数据;
[0039] 步骤S706:是否退出专用浏览器,如果是,进入步骤S707;否则,进入步骤S704;
[0040] 步骤S707:清理环境,退出专用浏览器。
[0041] 根据本发明第四方面,提供一种基于具有敏感数据的web应用的安全访问系统的https代理网关使用方法,基于如前所述的具有敏感数据的web应用的安全访问系统,所述方法还包括:
[0042] 步骤S801:开机启动https代理网关;
[0043] 步骤S802:检查https双向认证连接请求验证是否通过;若是,进入步骤S803;否则,进入步骤S807;
[0044] 步骤S803:记录专用浏览器上传的计算机硬件信息;
[0045] 步骤S804:代理访问具有敏感数据的web应用;
[0046] 步骤S805:监测专用浏览器的敏感数据web应用的访问情况;
[0047] 步骤S806:判断专用浏览器的访问是否存在异常,若是,进入步骤S807;若否,进入步骤S803;
[0048] 步骤S807:记录异常日志,断开连接
[0049] 根据本发明第五方面,提供一种具有敏感数据的web应用的安全访问系统,包括:
[0050] 处理器,用于执行多条指令;
[0052] 其中,所述多条指令,用于由所述存储器存储,并由所述处理器加载并执行如前所述的具有敏感数据的web应用的安全访问方法。
[0053] 根据本发明第六方面,提供一种计算机可读存储介质,所述存储介质中存储有多条指令;所述多条指令,用于由处理器加载并执行如前所述的具有敏感数据的web应用的安全访问方法。
[0054] 根据本发明的上述方案,在浏览器端对运行环境、访问web应用的硬件、用户均进行了检验,对终端信息进行了安全防护;使用https代理网关保证了接入的合法性、安全性,以及紧急情况下的异常保护。实现了全程的数据安全防护。
[0055] 上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,并可依照
说明书的内容予以实施,以下以本发明的较佳
实施例并配合
附图详细说明如后。
附图说明
[0056] 构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明提供如下附图进行说明。在附图中:
[0057] 图1为现有技术基于VPN的web应用访问方法的
流程图;
[0058] 图2为本发明一个实施方式的具有敏感数据的web应用的安全访问系统的总体架构图;
[0059] 图3为本发明一个实施方式的根据本发明的一个实施方式的专用浏览器的组成
框图;
[0060] 图4为本发明的一个实施方式的https代理网关的组成框图;
[0061] 图5为本发明一个实施方式的CA中心的组成框图;
[0062] 图6为本发明的具有敏感数据的web应用的安全访问方法流程图;
[0063] 图7为本发明的基于具有敏感数据的web应用的安全访问系统的专用浏览器使用方法流程图;
[0064] 图8为本发明的基于具有敏感数据的web应用的安全访问系统的https代现网关使用方法流程图;
[0065] 图9为本发明的企业内部对具有敏感数据的web应用的安全访问方法流程图。
具体实施方式
[0066] 为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明具体实施例及相应的附图对本发明技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0067] 定义:
[0068] VPN:即Virtual Private Network,虚拟专用网络。
[0069] WEB:即全球广域网(World Wide Web),也称
万维网,它是一种基于超文本和HTTP的、全球性的、动态交互的、跨平台的分布式图形信息系统,是建立在Internet上的一种网络服务,为浏览者在Internet上查找和浏览信息提供了图形化的、易于访问的直观界面,其中的文档及超级链接将Internet上的信息
节点组织成一个互为关联的网状结构。
[0070] Web应用:是一种可以通过Web访问的应用程序,优势是用户可以很容易的访问应用程序,用户只需要有浏览器即可以访问应用程序,而无需再安装其他软件。
[0071] 首先结合图2说明本发明的实现具有敏感数据的web应用的安全访问系统的总体架构,图2示出了根据本发明的一个实施方式的具有敏感数据的web应用的安全访问系统的总体架构图。如图2所示:
[0072] 所述具有敏感数据的web应用的安全访问系统包括用户侧单元、https代理网关、CA中心。
[0073] 所述用户侧单元包括专用浏览器和用户硬件证书usbkey(以下也称为用户证书),所述专用浏览器用于检测软件运行环境、用户证书及校验用户绑定的计算机硬件的合法性、访问具有敏感数据的web应用、上传计算机硬件信息及安全防护专用浏览器本地的缓存数据;所述专用浏览器运行前检测运行环境,检查用户硬件证书usbkey是否与当前硬件环境相匹配,若不匹配会禁止访问web应用;所述专用浏览器向所述https代理网关上传计算机硬件信息;所述专用浏览器对浏览器本地的缓存数据进行加密处理,以安全防护专用浏览器本地的缓存数据;
[0074] 所述https代理网关,用于验证所述专用浏览器的连接请求、web应用代理、记录所述用户侧单元的硬件信息、监测用户端上传的计算机硬件信息、监测异常访问及记录日志;所述https代理网关与所述专用浏览器之间采用https双向认证技术保证链路安全;所述https代理网关,在监测到用户端上传的计算机硬件信息异常时,断开网络连接;
[0075] 所述CA中心用于负责用户证书的申请、签发及用户证书的过程管理。
[0076] 具体地,
[0077] 所述用户侧单元包括专用浏览器和用户硬件证书usbkey,所述专用浏览器用于检测软件运行环境、用户证书及校验用户绑定的计算机硬件的合法性、访问具有敏感数据的web应用、上传计算机硬件信息及安全防护专用浏览器本地的缓存数据;所述专用浏览器运行前检测运行环境,检查用户硬件证书usbkey是否与当前硬件环境相匹配,若不匹配会禁止访问web应用;所述专用浏览器向所述https代理网关上传计算机硬件信息;所述专用浏览器对浏览器本地的缓存数据进行加密处理,以安全防护专用浏览器本地的缓存数据;
[0078] 所述计算机硬件信息包括网卡MAC地址及IP地址。
[0079] 所述专用浏览器对浏览器本地的缓存数据进行加密处理,可以安全防护专用浏览器本地的缓存数据,保证缓存数据的落地安全。
[0080] 图3示出了根据本发明的一个实施方式的专用浏览器的组成框图。如图3所示:
[0081] 所述专用浏览器包括运行环境检测模块、硬件信息采集模块、web引擎及显示模块、上传信息封装模块、缓存数据加密模块;
[0082] 所述运行环境检测模块用于专用浏览器运行前检测运行环境,检查用户硬件证书usbkey是否与当前硬件环境相匹配,若不匹配会禁止访问web应用;并检查所述专用浏览器当前运行的软件环境是否安全,若安全验证用户证书是否合法、检验用户绑定的计算机硬件是否合法;
[0083] 所述硬件信息采集模块用于获取计算机的硬件信息;
[0084] 所述计算机的硬件信息包括但不限于网卡MAC地址及IP地址。
[0085] 所述web引擎及显示模块,用于实现https双向认证及具有敏感数据的web应用的信息请求,并将结果呈现给用户,同时利用web引擎的扩展技术,调用上传信息封装模块,将计算机硬件信息上报给https代理网关;
[0086] 所述上传信息封装模块,用于封装所述硬件信息采集模块获取的硬件信息;
[0087] 所述缓存数据加密模块,用于对浏览器本地的缓存数据进行加密处理,以安全防护专用浏览器本地的缓存数据。
[0088] 所述https代理网关,用于验证所述专用浏览器的连接请求、web应用代理、记录所述用户侧单元的硬件信息、监测用户端上传的计算机硬件信息、监测异常访问及记录日志;所述https代理网关与所述专用浏览器之间采用https双向认证技术保证链路安全;所述https代理网关,在监测到用户端上传的计算机硬件信息异常时,断开网络连接;
[0089] 具体地,所述https代理网关,通过验证所述专用浏览器的连接请求,允许合法用户访问web应用,并监测用户端上传的计算机硬件信息,发现异常即可断开连接。
[0090] 图4示出了根据本发明的一个实施方式的https代理网关的组成框图。如图4所示:
[0091] 所述https代理网关包括https代理认证模块、终端上报信息记录模块、异常访问监测模块、日志模块、代理服务模块;
[0092] 所述https代理认证模块,用于认证所述专用浏览器的连接请求的合法性;
[0093] 所述终端上报信息记录模块,用于记录并校验专用浏览器上报的计算机硬件信息;
[0094] 所述异常访问监测模块,用于监测专用浏览器的访问情况,一旦侦测到计算机硬件信息异常,则断开网络连接;
[0095] 所述日志模块,用于记录所述专用浏览器的正常及异常访问记录,以备查验;
[0096] 所述代理服务模块,用于作web应用代理,响应web应用的各项请求。
[0097] 所述CA中心用于负责用户证书的申请、签发及用户证书的过程管理。
[0098] 具体地,图5示出了根据本发明的一个实施方式的CA中心的组成框图。如图5所示:
[0099] 所述CA中心包括证书申请模块、证书签发模块、证书管理模块、日志记录模块;
[0100] 所述证书申请模块,用于申请证书,收集申请用户证书的用户信息及要绑定的计算机硬件信息;
[0101] 所述证书签发模块,用于签发用户硬件证书usbkey;
[0102] 所述证书管理模块,用于对证书的生命周期进行管理,维护证书吊销列表;
[0103] 所述日志记录模块,用于对证书申请模块、证书签发模块、证书管理模块的操作进行记录,用于审计。
[0104] 以下结合图6说明本发明的具有敏感数据的web应用的安全访问方法,图6示出了根据本发明的具有敏感数据的web应用的安全访问方法流程图。所述方法基于如前所述的具有敏感数据的web应用的安全访问系统。如图6所示:
[0105] 步骤S601:启动专用浏览器,通过运行环境检查、用户硬件证书usbkey绑定的计算机硬件与当前运行硬件匹配检查后,通过https双向连接访问指定URL,并实时上传计算机硬件信息,加密专用浏览器的缓存数据;标记浏览器状态;
[0106] 步骤S602:若为退出浏览器,方法结束;否则,进入步骤S603;
[0107] 步骤S603:启动https代理网关,通过https双向认证连接请求后,记录专用浏览器上传的计算机硬件信息,并代理访问具有敏感数据的web应用,监测专用浏览器的web应用访问情况,出现异常时断开连接。
[0108] 以下结合图7说明本发明的基于具有敏感数据的web应用的安全访问系统的专用浏览器使用方法,所述具有敏感数据的web应用的安全访问系统为如前所述的具有敏感数据的web应用的安全访问系统。如图7所示,所述方法包括:
[0109] 步骤S701:开机启动专用浏览器;
[0110] 步骤S702:检查运行环境是否安全,若安全,进入步骤S703;否则,进入步骤S707;
[0111] 步骤S703:检查用户硬件证书usbkey绑定的计算机硬件是否与当前运行的计算机硬件相匹配,若匹配,进入步骤S704;否则,进入步骤S707;
[0112] 步骤S704:通过https双向连接访问指定URL;
[0113] 步骤S705:实时上传计算机硬件信息,加密专用浏览器的缓存数据;
[0114] 步骤S706:是否退出专用浏览器,如果是,进入步骤S707;否则,进入步骤S704;
[0115] 步骤S707:清理环境,退出专用浏览器。
[0116] 以下结合图8说明本发明的基于具有敏感数据的web应用的安全访问系统的https代理网关使用方法,所述具有敏感数据的web应用的安全访问系统为如前所述的具有敏感数据的web应用的安全访问系统。如图8所示,所述方法包括:
[0117] 步骤S801:开机启动https代理网关;
[0118] 步骤S802:检查https双向认证连接请求验证是否通过;若是,进入步骤S803;否则,进入步骤S807;
[0119] 步骤S803:记录专用浏览器上传的计算机硬件信息;
[0120] 步骤S804:代理访问具有敏感数据的web应用;
[0121] 步骤S805:监测专用浏览器的敏感数据web应用的访问情况;
[0122] 步骤S806:判断专用浏览器的访问是否存在异常,若是,进入步骤S807;若否,进入步骤S803;
[0123] 步骤S807:记录异常日志,断开连接。
[0124] 以下实施例结合图9说明企业内部对具有敏感数据的web应用的安全访问方法。
[0125] 采用如上所述的具有敏感数据的web应用的安全访问系统。
[0126] 所述方法包括:
[0127] 步骤S901:建立自有CA中心,部署https代理网关;
[0128] 步骤S902:提供计算机MAC地址及用户信息申请硬件证书;
[0129] 步骤S903:计算机终端安装专用浏览器;
[0130] 步骤S904:使用专用浏览器访问OA系统;
[0131] 步骤S905:验证用户硬件证书;若通过,进入步骤S906;否则,方法结束;
[0132] 步骤S906:正常访问OA系统。
[0133] 本发明实施例进一步给出一种具有敏感数据的web应用的安全访问系统,包括:
[0134] 处理器,用于执行多条指令;
[0135] 存储器,用于存储多条指令;
[0136] 其中,所述多条指令,用于由所述存储器存储,并由所述处理器加载并执行如前所述的具有敏感数据的web应用的安全访问方法。
[0137] 本发明实施例进一步给出一种计算机可读存储介质,所述存储介质中存储有多条指令;所述多条指令,用于由处理器加载并执行如前所述的具有敏感数据的web应用的安全访问方法。
[0138] 需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
[0139] 在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些
接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
[0140] 所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0141] 另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
[0142] 上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,实体机服务器,或者网络
云服务器等,需安装Windows或者Windows Server
操作系统)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动
硬盘、
只读存储器(Read-Only Memory,ROM)、
随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
[0143] 以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,依据本发明的技术实质对以上实施例所作的任何简单
修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
