摘要:安全接入网关向身份引擎申请应用令牌。此种场景下,由网关提供安全接入代理功能。用户向控制器发送,单包授权认证请求,控制器收到请求后向身份引擎请求认证。
企业应用为敏感应用时,企业一般会禁止用户从互联网访问企业应用,且要求将业务应用拆分成应用前端和应用后端(API 服务),以实现 API 或服务级别的权限控制。此种场景下,由安全接入网关和 API 网关提供安全接入代理功能。
安全接入网关和 API 网关提供的安全接入代理功能主要体现在以下几点:
l 网络隐身:隐藏业务 IP,所有应用前端对外暴露一个虚拟地址(使用端口区分不同的应用前端)以减少资源暴露面。
l 用户和终端认证:联动身份引擎、环境感知代理对用户和终端进行认证,确保用户和终端的合法性。
l SSL 解密:用户加密访问应用,安全接入网关和 API 网关拦截到用户访问请求时, 能够解密 HTTPS 报文并读取报文中的信息,进而根据读取的信息判断用户请求是否合法。
此场景下的安全接入代理技术具体实现过程如下图所示。
1. 用户通过虚拟地址加密访问应用前端。
2. 安全接入网关接收到请求后,先解密 HTTPS 报文,然后检查报文中是否含有用户令牌,如果有,则继续后续步骤;如果没有,则将用户请求重定向到身份引擎进行用户认证。如果认证通过,则获取到用户令牌;如果认证失败,则中断用户请求。
3. 安全接入网关从请求报文中获取 DeviceID,并请求环境感知代理验证 DeviceID 的合法性,如果验证通过,则继续后续步骤;如果验证失败,则中断用户请求。
4. 安全接入网关向身份引擎申请应用令牌。
5. 安全接入网关根据“虚拟地址:端口”获取对应的应用前端地址,并将请求转发给应用前端。
6. 应用前端接收到请求后,先执行用户应用鉴权。如果鉴权通过,应用前端向 API网关转发用户的 API 访问请求,用户可以继续访问 API 服务;如果鉴权失败,则中断用户请求。
7. API 网关向身份引擎请求验证用户令牌、应用令牌的合法性。如果验证通过,则继续后续步骤;如果验证失败,则中断用户请求。
8. API 网关将用户的 API 访问请求转发到应用后端,由应用后端执行用户 API 鉴权, 如果鉴权通过,则响应用户请求。
非敏感应用场景
企业应用为非敏感应用时,企业一般允许用户从互联网访问企业应用,存在大量 移动办公场景,且没有 API 或服务级别的细粒度控制需求,因此无需进行应用拆分。 此种场景下,由 SDP 网关提供安全接入代理功能。
SDP 网关提供的安全接入代理功能主要体现在以下几点:
l 网络隐身:隐藏业务 IP,所有应用对外暴露一个虚拟地址(使用端口区分不同的应用)以减少资源暴露面,且必须通过认证的客户端才能连接 SDP 网关,屏蔽绝大多数非法用户的网络攻击。
l 预认证:SDP 网关要求用户在访问企业应用前,必须提前进行认证以确保用户合法性。
l 预授权:根据用户不同的职能及工作需求,依据最小化权限原则,在用户接入前, SDP 网关可授予此用户完成工作所需的最小访问权限。
l SSL 解密:用户加密访问应用,SDP 网关拦截到用户访问请求时,能够解密HTTPS 报文并读取报文中的信息,进而根据读取的信息判断用户请求是否合法。
此场景下的安全接入代理技术具体实现过程如下图所示。
1. 用户向 SDP 控制器发送 SPA(Single Packet Authorization,单包授权)认证请 求,SDP 控制器收到请求后向身份引擎请求认证。如果认证通过,则继续后续步骤;如果验证失败,则中断用户请求。
2. SDP 控制器依据最小化权限原则,向客户端、SDP 网关下发“用户源 IP:目的端口”,表示只对特定的源地址用户放开特定的业务端口。
3. 用户向 SDP 控制器发送用户认证请求,SDP 控制器收到请求后向身份引擎请求认证。如果认证通过,则继续后续步骤;如果认证失败,则中断用户请求。
4. 用户通过虚拟地址加密访问应用服务器,SDP 网关拦截到请求后,解密 HTTPS 报文,判断是否是特定的源地址用户访问特定的业务端口,如果是,则继续后续步骤;如果不是,则中断用户请求。
5. SDP 网关向身份引擎请求应用鉴权,如果鉴权通过,则继续后续步骤;如果鉴权失败,则中断用户请求。
6. SDP 网关根据“访问虚拟地址+端口”获取对应的应用地址,并将请求转发给应用。
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/125010.html
摘要:云计算十大关键词分别是云原生高性能混沌工程混合云边缘计算零信任优化治理数字政府低碳云企业数字化转型。当前,云原生与云安全呈加速融合趋势。 7月27日,由中国信息通信研究院、中国通信标准化协会主办的2021年可信云大会在京召开。中国信息通信研究院云计算与大数据研究所所长何宝宏在会上正式发布2021云计算十大关键词以及对应的重要发展趋势。 ...
摘要:于年成立移动边缘计算规范工作组,正式宣布推动移动边缘计算标准化工作。其基本思想是把云计算平台从移动核心网络内部迁移到移动接入网边缘,实现计算及存储资源的弹性利用。 本文选自最近人民邮电出版社新书《从云端到边缘:边缘计算的产业链与行业应用》第一章第二节5G时代的边缘计算,作者吴冬升,5G产...
摘要:最早是由谷歌设计,现在作为一个开源平台免费提供给用户。根据联合主席兼谷歌云平台倡导者的说法,拥有一个真正成功的生态系统,利用技术的云原生初创公司肯定能够蓬勃发展。技术领域又一个动荡之年即将结束,如果没有关注企业领域最重要的主题:云计算,你就很难做出关于未来一年的任何预测。企业模式是公有的、私有的、还是多云的?容器扮演什么角色?像Cloud Native Computing Foundatio...
摘要:究竟区块链具有多大的魔力能让人如此信任,或者说,我们在说信的时候究竟信的是什么。那么我们说信区块链时,信的是什么呢信密码学算法区块链是用算法达成信任的,其中最重要的算法之一,就是密码学。信博弈论区块链中最玄妙的部分是共识算法。 FISCOBCOS是完全开源的联盟区块链底层技术平台,由金融区块链合作联盟(深圳)(简称金链盟)成立开源工作组通力打造。开源工作组成员包括博彦科技、华为、深证通...
摘要:导言近日,京东区块链底层引擎正式对外开源并同步上线开源社区,旨在为企业级用户和开发者提供开源服务,帮助他们提高研发效率,加速技术创新。白皮书指出,京东区块链的技术架构分为和两部分。 导言 近日,京东区块链底层引擎JD Chain正式对外开源并同步上线开源社区,旨在为企业级用户和开发者提供开源服务,帮助他们提高研发效率,加速技术创新。3月30日,国家互联网信息办公室公布了第一批区块链信息...
阅读 2782·2021-11-25 09:43
阅读 3274·2021-11-25 09:43
阅读 1299·2021-11-24 11:15
阅读 2171·2021-11-22 15:25
阅读 3322·2021-11-11 16:55
阅读 3009·2021-11-04 16:10
阅读 3354·2021-09-29 09:32
阅读 2614·2021-09-14 18:02
