技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是一種網(wǎng)絡(luò)登錄系統(tǒng)及其配置方法以及登錄應(yīng)用系統(tǒng)的方法。

背景技術(shù)

伴隨著網(wǎng)絡(luò)技術(shù)日益發(fā)展成熟及企業(yè)網(wǎng)絡(luò)業(yè)務(wù)的不斷發(fā)展，各種企業(yè)業(yè)務(wù)的應(yīng)用軟件系統(tǒng)的數(shù)量不斷增多，用戶數(shù)量增加，客戶/服務(wù)器(C/S)結(jié)構(gòu)的應(yīng)用軟件不僅局限于局域網(wǎng)內(nèi)使用，在廣域網(wǎng)內(nèi)的遠(yuǎn)程網(wǎng)絡(luò)登錄使用需求日益迫切，由此所引發(fā)的企業(yè)應(yīng)用軟件的網(wǎng)絡(luò)安全問題愈加受到企業(yè)用戶的重視。用戶登錄企業(yè)業(yè)務(wù)網(wǎng)訪問各種應(yīng)用軟件，必須采用一定的網(wǎng)絡(luò)安全解決方案，保證網(wǎng)絡(luò)登錄的安全，以防止應(yīng)用軟件的信息不會(huì)泄露。對(duì)于所述的應(yīng)用軟件的網(wǎng)絡(luò)安全管理需求，現(xiàn)有針對(duì)網(wǎng)絡(luò)用戶訪問的應(yīng)用系統(tǒng)的安全控制解決方案主要分為兩類：

第一種方案是在企業(yè)網(wǎng)絡(luò)中提供統(tǒng)一的身份管理機(jī)制，對(duì)企業(yè)內(nèi)部的各個(gè)業(yè)務(wù)應(yīng)用軟件支撐系統(tǒng)的登錄賬號(hào)進(jìn)行管理。所述統(tǒng)一的身份管理機(jī)制在一般的情況下均需要在每一臺(tái)客戶終端上安裝全部目標(biāo)應(yīng)用系統(tǒng)的資源(如環(huán)境變量、客戶端軟件等)。在這種情況下，需要所述客戶終端必須與所述全部目標(biāo)應(yīng)用系統(tǒng)的資源兼容，同時(shí)，所安裝的各目標(biāo)應(yīng)用系統(tǒng)之間的資源也必須相互兼容，若出現(xiàn)不兼容的情況，則必須通過在不同的客戶終端上安裝互不兼容的系統(tǒng)資源，以實(shí)現(xiàn)對(duì)不同應(yīng)用系統(tǒng)的訪問。同時(shí)，若所述目標(biāo)應(yīng)用系統(tǒng)需要進(jìn)行升級(jí)，則可能會(huì)涉及到數(shù)量巨大的客戶終端均需要進(jìn)行升級(jí)，因此客戶終端的維護(hù)工作量十分繁重。

第二種方案是在企業(yè)網(wǎng)絡(luò)中提供統(tǒng)一的用戶入口服務(wù)器，也即基于服務(wù)器計(jì)算架構(gòu)(Application?Serving，A/S架構(gòu))的應(yīng)用接入平臺(tái)，所有用戶訪問的目標(biāo)應(yīng)用系統(tǒng)的客戶端軟件均集中安裝部署在所述用戶入口服務(wù)器(群)上，用戶通過遠(yuǎn)程應(yīng)用協(xié)議或遠(yuǎn)程桌面協(xié)議訪問所述用戶入口服務(wù)器，再通過所述服務(wù)器上目標(biāo)應(yīng)用系統(tǒng)的客戶端軟件訪問各個(gè)目標(biāo)應(yīng)用系統(tǒng)。用戶不再受客戶端和連接性能的限制，任何時(shí)間、任何地點(diǎn)、任何設(shè)備、任何網(wǎng)絡(luò)連接方式，都能高效安全地訪問服務(wù)器(群)上的應(yīng)用程序和關(guān)鍵資源。這種方案雖然解決了第一種方案中每臺(tái)客戶端升級(jí)目標(biāo)應(yīng)用系統(tǒng)所帶來的軟件維護(hù)壓力，但是卻不能夠?qū)崿F(xiàn)用戶的訪問權(quán)限控制。所述統(tǒng)一的用戶入口服務(wù)器不能夠根據(jù)登錄目標(biāo)應(yīng)用系統(tǒng)的用戶的不同，提供不同的系統(tǒng)資源；同時(shí)，由于用戶登錄到目標(biāo)應(yīng)用系統(tǒng)的賬號(hào)和密碼是由各用戶自行管理和輸入的，這種賬號(hào)分散的人工管理方式即帶來賬號(hào)更新的麻煩又容易造成密碼遺失和泄露，給應(yīng)用系統(tǒng)的安全性帶來隱患，不符合安全管理的需要。

發(fā)明內(nèi)容

本發(fā)明基于以上第二種方案，所要解決的是克服當(dāng)前人工管理賬號(hào)帶來的安全隱患問題，為遠(yuǎn)程用戶提供登錄多應(yīng)用系統(tǒng)的賬號(hào)和權(quán)限的統(tǒng)一管理，實(shí)現(xiàn)對(duì)用戶訪問應(yīng)用系統(tǒng)權(quán)限的控制，以提高應(yīng)用系統(tǒng)的安全管理水平。

為解決上述問題，本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)登錄系統(tǒng)，包括應(yīng)用接入平臺(tái)和身份和訪問管理平臺(tái)，其中，所述應(yīng)用接入平臺(tái)用于安裝應(yīng)用系統(tǒng)并發(fā)布所述應(yīng)用系統(tǒng)，用戶可以登錄到應(yīng)用接入平臺(tái)上實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的登錄，所述應(yīng)用接入平臺(tái)能夠預(yù)先配置合法用戶訪問所述應(yīng)用系統(tǒng)的登錄信息和資源信息并存儲(chǔ)；

所述身份和訪問管理平臺(tái)用于從所述應(yīng)用接入平臺(tái)獲取所述應(yīng)用系統(tǒng)的登錄信息和資源信息，配置網(wǎng)絡(luò)用戶與所述登錄應(yīng)用系統(tǒng)的用戶的對(duì)應(yīng)關(guān)系以及相對(duì)應(yīng)可訪問的資源內(nèi)容，接收網(wǎng)絡(luò)用戶的登錄并鑒權(quán)，確定網(wǎng)絡(luò)用戶對(duì)應(yīng)用系統(tǒng)的可訪問資源內(nèi)容。

所述應(yīng)用接入平臺(tái)與所述身份和訪問管理平臺(tái)之間通過支持相同的通訊協(xié)議進(jìn)行所述應(yīng)用系統(tǒng)的登錄信息和資源信息的交互。

優(yōu)選地，所述應(yīng)用接入平臺(tái)包括：

應(yīng)用系統(tǒng)發(fā)布單元，用于發(fā)布所述應(yīng)用系統(tǒng)；

通訊單元，用于實(shí)現(xiàn)身份訪問管理平臺(tái)與應(yīng)用接入平臺(tái)之間的信息通訊，從身份訪問管理平臺(tái)接收當(dāng)前用戶選定的目標(biāo)應(yīng)用系統(tǒng)的標(biāo)識(shí)、登錄賬號(hào)和密碼以及選定訪問應(yīng)用系統(tǒng)的資源內(nèi)容，保存到應(yīng)用接入平臺(tái)的共享存儲(chǔ)單元，實(shí)現(xiàn)將共享存儲(chǔ)單元中保存的合法用戶訪問應(yīng)用系統(tǒng)的登錄信息和資源信息發(fā)送給身份訪問管理平臺(tái)，并將以該登錄賬號(hào)登錄標(biāo)識(shí)所對(duì)應(yīng)的應(yīng)用系統(tǒng)是否成功，或者訪問應(yīng)用系統(tǒng)的資源是否成功的信息反饋給身份和訪問管理平臺(tái)；

偵聽登錄單元，用于當(dāng)共享存儲(chǔ)單元獲取到當(dāng)前網(wǎng)絡(luò)用戶登錄目標(biāo)應(yīng)用系統(tǒng)的標(biāo)識(shí)、賬號(hào)和密碼后，將所述賬號(hào)和密碼發(fā)送至標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)應(yīng)用系統(tǒng)，實(shí)現(xiàn)對(duì)所述目標(biāo)應(yīng)用系統(tǒng)的自動(dòng)登錄；

共享存儲(chǔ)單元，用于保存合法用戶訪問所述應(yīng)用系統(tǒng)的登錄信息和資源信息，并存儲(chǔ)通訊單元與偵聽登錄單元共享的當(dāng)前用戶數(shù)據(jù)。

優(yōu)選地，所述身份和訪問管理平臺(tái)包括：