專利名稱:一種應(yīng)用系統(tǒng)用戶認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)���,具體涉及一種應(yīng)用系統(tǒng)用戶認(rèn)證方法����。
背景技術(shù):
隨著寬帶Internet網(wǎng)絡(luò)的普及和電子商務(wù)的蓬勃發(fā)展��,越來越多的 企業(yè)都在逐步依靠計(jì)算機(jī)網(wǎng)絡(luò)�����、應(yīng)用系統(tǒng)來開展業(yè)務(wù)���,同時(shí)利用Internet 來開展更多的商務(wù)活動�����;稍具規(guī)模的企業(yè)都不會只有一個(gè)辦公應(yīng)用系 統(tǒng)����,而由于一些歷史問題,導(dǎo)致很多的應(yīng)用系統(tǒng)都只是利用用戶名�、 密碼來保證系統(tǒng)的安全性,認(rèn)證強(qiáng)度不夠大��,存在訪問安全漏洞�,加 上這些系統(tǒng)都已經(jīng)成型已久,絕大部分的系統(tǒng)都不可能再利用第2次 開發(fā)來提升應(yīng)用系統(tǒng)的安全性�����。
另 一方面����,SSL VPN是采用SSL(Security Socket Layer,安全套接 字層)協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN(Virtual private Network,虛 擬專用網(wǎng)絡(luò))技術(shù),SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全 協(xié)議�,它包括服務(wù)器認(rèn)證、客戶認(rèn)證(可選)���、SSL鏈路上的數(shù)據(jù)完 整性和SSL鏈路上的數(shù)據(jù)保密性�,對于內(nèi)、外部應(yīng)用來說����,使用SSL 可保證信息的真實(shí)性、完整性和保密性�����,但目前SSL VPN只能做到對 某用戶能用哪些應(yīng)用做權(quán)限限制��,還不夠
發(fā)明內(nèi)容
本發(fā)明需要解決的技術(shù)問題是����,如何提供一種應(yīng)用系統(tǒng)用戶認(rèn)證 方法����,能防止用戶使用別人的帳號密碼再登陸應(yīng)用系統(tǒng)。
本發(fā)明的第一個(gè)技術(shù)問題這樣解決構(gòu)建一種應(yīng)用系統(tǒng)用戶認(rèn)證 方法��,在SSLVPN設(shè)備設(shè)置客戶端對應(yīng)應(yīng)用系統(tǒng)的指定用戶名密碼����, 包括以下步驟
1.1) 通過SSL VPN設(shè)備截取用戶登陸應(yīng)用系統(tǒng)的信息數(shù)據(jù)���;
1.2) 判斷該信息數(shù)據(jù)中用戶名密碼是否是與其來源客戶端對應(yīng) 的指定用戶名密碼,是轉(zhuǎn)發(fā)該信息數(shù)據(jù)����,否則不轉(zhuǎn)發(fā)。
按照本發(fā)明提供的認(rèn)證方法��,所述指定用戶名密碼存儲于SSL VPN設(shè)備的數(shù)據(jù)文件或數(shù)據(jù)庫中��。
按照本發(fā)明提供的認(rèn)證方法���,所述步驟l.l)中截取是通過獲取接收 數(shù)據(jù)流的報(bào)頭來具體識別的�����。
按照本發(fā)明提供的認(rèn)證方法�,所述步驟1.2)中不轉(zhuǎn)發(fā)進(jìn)一步還包括 給所述信息數(shù)據(jù)來源客戶端一個(gè)"拒絕登陸"的提示���。
按照本發(fā)明提供的認(rèn)證方法���,所述步驟1.2)中不轉(zhuǎn)發(fā)進(jìn)一步還包括 將不轉(zhuǎn)發(fā)記錄日志。
按照本發(fā)明4是供的認(rèn)證方法,該認(rèn)證方法還包括步驟1.3):應(yīng)用系 統(tǒng)根據(jù)所述信息數(shù)據(jù)對用戶進(jìn)行認(rèn)證����。
本發(fā)明提供的應(yīng)用系統(tǒng)用戶認(rèn)證方法,采用SSLVPN增強(qiáng)應(yīng)用系 統(tǒng)用戶認(rèn)證的安全�,使用戶登陸SSLVPN后必須使用指定的用戶名密 碼登陸應(yīng)用系統(tǒng),而不能盜用別人的帳號使用應(yīng)用系統(tǒng)��,這樣防止用 戶使用別人的帳號密碼再登陸應(yīng)用系統(tǒng)����,提高了現(xiàn)有基于用戶名密碼 的應(yīng)用系統(tǒng)的安全性。
下面結(jié)合附圖和具體實(shí)施例進(jìn)一步對本發(fā)明進(jìn)行詳細(xì)說明�。
圖l是本發(fā)明用戶登陸應(yīng)用系統(tǒng)流程示意圖; 圖2是本發(fā)明SSLVPN設(shè)備工作流程示意圖���; 圖3是現(xiàn)有技術(shù)用戶登陸效果示意圖; 圖4是本發(fā)明用戶登陸效果示意圖�����。
具體實(shí)施例方式
首先�,說明本發(fā)明思想
此發(fā)明跟把普通的SSL VPN設(shè)備直接部署到應(yīng)用系統(tǒng)前面,即 SSL VPN可以通過過濾應(yīng)用系統(tǒng)的^t據(jù)流來綁定登陸應(yīng)用系統(tǒng)的用 戶���, 一方面加強(qiáng)應(yīng)用系統(tǒng)的認(rèn)證安全���, 一方面方Y(jié)更SSL VPN系統(tǒng)3艮應(yīng) 用系統(tǒng)實(shí)現(xiàn)單點(diǎn)登陸����。這樣SSL VPN的加強(qiáng)的用戶認(rèn)i正就可以應(yīng)用到 其他系統(tǒng)上��。
第二�,說明本發(fā)明方法
如圖1所示,用戶登陸應(yīng)用系統(tǒng)流程具體包括用戶登陸應(yīng)用系 統(tǒng)的數(shù)據(jù)���,先經(jīng)過SSLVPN, SSLVPN過濾用戶登陸的數(shù)據(jù)流����,對數(shù) 據(jù)流進(jìn)行分析���,判斷該用戶是否可以在該系統(tǒng)上登陸應(yīng)用系統(tǒng)����。如果 SSL VPN允許用戶登陸��,則用戶可以成功登陸應(yīng)用系統(tǒng)�,否則,用戶 會得到一個(gè)"拒絕登陸"的提示,并記錄曰志�����。
如圖2所示����,SSLVPN設(shè)備工作流程具體包括SSLVPN等待數(shù) 據(jù),如果數(shù)據(jù)是用戶登陸信息的數(shù)據(jù)�����,則對數(shù)據(jù)流中的用戶名進(jìn)行分 析��,判斷是否允許該用戶在該系統(tǒng)上登陸應(yīng)用系統(tǒng)���。如果允許���,轉(zhuǎn)發(fā)數(shù)據(jù)流至應(yīng)用系統(tǒng),否則拋棄數(shù)據(jù)�����。如果SSLVPN接收到非用戶登陸 的數(shù)據(jù)流���,則執(zhí)行原有的流程���。 第三,說明本發(fā)明效果
如圖3所示�����,應(yīng)用本發(fā)明之前PC1�、 PC2可以使用任何應(yīng)用系統(tǒng) 識別的用戶名登陸,如
1. PC1可以使用用戶A�����、用戶B登陸應(yīng)用系統(tǒng)�;
2. PC2可以使用用戶C、用戶D登陸應(yīng)用系統(tǒng)���。 如圖4所示�,應(yīng)用本發(fā)明之后PC1�、 PC2只可以使用任何應(yīng)用系
統(tǒng)識別并且在SSL VPN設(shè)備上被綁定,如
1. PC1可以使用用戶A登陸應(yīng)用系統(tǒng)��;
2. PC1不可以^f吏用用戶B登陸應(yīng)用系統(tǒng)�����;
3. PC2不可以使用用戶C登陸應(yīng)用系統(tǒng);
4. PC2可以-使用用戶D登陸應(yīng)用系統(tǒng)���。
最后�����,在本領(lǐng)域普通技術(shù)人員理解范圍內(nèi)�����,在本發(fā)明權(quán)利要求范 圍內(nèi)���,各種變化都屬于本發(fā)明的保護(hù)范圍。
權(quán)利要求
1�、一種應(yīng)用系統(tǒng)用戶認(rèn)證方法,其特征在于�,在SSL VPN設(shè)備設(shè)置客戶端對應(yīng)應(yīng)用系統(tǒng)的指定用戶名密碼,包括以下步驟1. 1)通過SSL VPN設(shè)備截取用戶登陸應(yīng)用系統(tǒng)的信息數(shù)據(jù)����;1. 2)判斷該信息數(shù)據(jù)中用戶名密碼是否是與其來源客戶端對應(yīng)的指定用戶名密碼,是轉(zhuǎn)發(fā)該信息數(shù)據(jù)�����,否則不轉(zhuǎn)發(fā)���。
2���、 根據(jù)權(quán)利要求1所述認(rèn)證方法,其特征在于����,所述指定用戶名 密碼存儲于SSL VPN設(shè)備的數(shù)據(jù)文件中。
3���、 根據(jù)權(quán)利要求1所述認(rèn)證方法����,其特征在于�����,所述指定用戶名 密碼存儲于SSL VPN設(shè)備的數(shù)據(jù)庫中���。
4���、 根據(jù)權(quán)利要求1所述認(rèn)證方法�����,其特征在于���,所述步驟l.l)中 截取是通過獲取接收數(shù)據(jù)流的報(bào)頭來具體識別的。
5�、 根據(jù)權(quán)利要求1所述認(rèn)證方法,其特征在于�����,所述步驟1.2)中 不轉(zhuǎn)發(fā)還包括給所述信息數(shù)據(jù)來源客戶端一個(gè)"拒絕登陸"的提示��。
6����、 根據(jù)權(quán)利要求1或5所述認(rèn)證方法,其特征在于�,所述步驟1.2) 中不轉(zhuǎn)發(fā)還包括將不轉(zhuǎn)發(fā)記錄日志。
7�、 根據(jù)權(quán)利要求1所述認(rèn)證方法,其特征在于��,該認(rèn)證方法還包 括步驟1.3):應(yīng)用系統(tǒng)根據(jù)所述信息數(shù)據(jù)對用戶進(jìn)行認(rèn)證。
全文摘要
本發(fā)明涉及了一種應(yīng)用系統(tǒng)用戶認(rèn)證方法���,在SSL VPN設(shè)備設(shè)置客戶端對應(yīng)應(yīng)用系統(tǒng)的指定用戶名密碼,包括通過SSL VPN設(shè)備截取用戶登陸應(yīng)用系統(tǒng)的信息數(shù)據(jù)�����;判斷該信息數(shù)據(jù)中用戶名密碼是否是與其來源客戶端對應(yīng)的指定用戶名密碼��,是轉(zhuǎn)發(fā)該信息數(shù)據(jù)��,否則不轉(zhuǎn)發(fā)����。這種方法,采用SSL VPN增強(qiáng)應(yīng)用系統(tǒng)用戶認(rèn)證安全��,使用戶登陸SSL VPN后必須使用指定的用戶名密碼登陸應(yīng)用系統(tǒng)�����,防止了用戶使用別人的帳號密碼再登陸應(yīng)用系統(tǒng)��,提高了現(xiàn)有基于用戶名密碼的應(yīng)用系統(tǒng)的安全性��。
文檔編號H04L9/32GK101447875SQ20081024141
公開日2009年6月3日 申請日期2008年12月19日 優(yōu)先權(quán)日2008年12月19日
發(fā)明者徐清木 申請人:深圳市深信服電子科技有限公司