專利名稱:信息系統(tǒng)的訪問管理方法���、裝置����、系統(tǒng)和接入設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)�����,尤其涉及一種信息系統(tǒng)的訪問管理方法�����、裝置、系統(tǒng)和接入 設(shè)備����。
背景技術(shù):
隨著科技的不斷發(fā)展和進步,計算機在辦公系統(tǒng)中逐漸普及化�����,各大公司企業(yè)對 計算機的依賴性也越來越高����,而企業(yè)規(guī)模越大�,其內(nèi)部的信息系統(tǒng)越復(fù)雜。此處的信息系統(tǒng) 即可以訪問的網(wǎng)絡(luò)資源���,如政府部門的財務(wù)系統(tǒng)���、資產(chǎn)管理系統(tǒng)和人事系統(tǒng)。在整個網(wǎng)絡(luò) 中��,各個訪問網(wǎng)絡(luò)的用戶的權(quán)限各不相同����,通過將具有相同權(quán)限的用戶劃分為一個組����,來減 少網(wǎng)絡(luò)管理員的負擔(dān)�����,即只要對一個用戶組賦予一定的權(quán)力�,則該組內(nèi)的用戶便具有相同 的權(quán)力。如財政司�����、行政司和人事司的工作人員分別只能訪問財務(wù)系統(tǒng)����、資產(chǎn)管理系統(tǒng)和人 事系統(tǒng),即將工作人員劃分為財政組���、行政組和人事組�,并分別賦予可訪問財政系統(tǒng)��、資產(chǎn) 管理系統(tǒng)和人事系統(tǒng)的權(quán)力��。在現(xiàn)有技術(shù)中,最常用的用戶組劃分控制方法為通過部署防火墻設(shè)備來實現(xiàn)�����,通 過基于IP地址對終端接入用戶和信息系統(tǒng)進行標(biāo)識�,在防火墻設(shè)備上配置訪問控制列表 (Access Control List ;以下簡稱ACL)策略設(shè)定終端接入用戶擁有哪些信息系統(tǒng)的訪問 權(quán)限��,來實現(xiàn)訪問權(quán)限的控制���。然而����,在現(xiàn)有技術(shù)中的訪問管理方法中��,當(dāng)出現(xiàn)IP地址變更時�����,需要手動進行配 置調(diào)整�,且同一用戶訪問不同權(quán)限的系統(tǒng)需要通過不同的計算機訪問�,而修改終端接入計 算機的IP地址則使得防火墻的控制失效。因此�����,現(xiàn)有技術(shù)的方法難于使用,不符合現(xiàn)實中 的權(quán)限分配模式�����,且控制容易失效��。
發(fā)明內(nèi)容
本發(fā)明提供一種信息系統(tǒng)的訪問管理方法���、裝置���、系統(tǒng)和接入設(shè)備,解決現(xiàn)有技術(shù) 中的訪問控制方法難于使用���、控制容易失效等缺陷��,實現(xiàn)簡便�、靈活的訪問管理�,易于使用
和管理。本發(fā)明提供一種信息系統(tǒng)的訪問管理方法��,包括根據(jù)來自客戶端的域名系統(tǒng)DNS請求報文中攜帶的域名進行校驗處理,并將校驗 通過的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器���;根據(jù)來自所述DNS服務(wù)器的DNS響應(yīng)報文將所述校驗通過的DNS請求報文中攜帶 的域名對應(yīng)的IP地址添加到可訪問IP列表中�;根據(jù)來自所述客戶端的IP報文和所述可訪問IP列表進行校驗處理����,并允許校驗 通過的IP報文訪問信息系統(tǒng)服務(wù)器中的信息系統(tǒng)資源。本發(fā)明提供一種信息系統(tǒng)的訪問管理裝置���,包括第一校驗?zāi)K���,用于根據(jù)來自客戶端的域名系統(tǒng)DNS請求報文中攜帶的域名進行 校驗處理,并將校驗通過的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器�;
第一添加模塊,用于根據(jù)來自所述DNS服務(wù)器的DNS響應(yīng)報文將所述校驗通過的 DNS請求報文中攜帶的域名對應(yīng)的IP地址添加到可訪問IP列表中��;第二校驗?zāi)K�����,用于根據(jù)來自所述客戶端的IP報文和所述可訪問IP列表進行校 驗處理�,并允許校驗通過的IP報文訪問信息系統(tǒng)服務(wù)器中的信息系統(tǒng)資源�����。本發(fā)明提供一種接入設(shè)備,包括上述信息系統(tǒng)的訪問管理裝置�。本發(fā)明提供一種信息系統(tǒng)的訪問管理系統(tǒng),包括域名系統(tǒng)DNS服務(wù)器��、信息服務(wù) 器和信息系統(tǒng)的訪問管理裝置��,其中所述接入設(shè)備用于根據(jù)來自客戶端的DNS請求報文 中攜帶的域名進行校驗處理����,并將校驗通過的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器;根據(jù)來自所 述DNS服務(wù)器的DNS響應(yīng)報文將所述校驗通過的DNS請求報文中攜帶的域名對應(yīng)的IP地 址添加到可訪問IP列表中����;并根據(jù)來自所述客戶端的IP報文和所述可訪問IP列表進行校 驗處理,并允許校驗通過的IP報文訪問所述信息系統(tǒng)服務(wù)器中的信息系統(tǒng)資源��;所述DNS 服務(wù)器用于接收到所述校驗通過的DNS請求報文后����,向所述接入設(shè)備返回DNS響應(yīng)報文。本發(fā)明的信息系統(tǒng)的訪問管理方法��、裝置���、系統(tǒng)和接入設(shè)備�����,通過對來自客戶端的 DNS請求報文進行截包處理��,對該DNS請求報文中攜帶的域名進行校驗處理����,將校驗通過的 域名對應(yīng)的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器;再對來自DNS服務(wù)器的DNS響應(yīng)報文進行截 包處理���,將對應(yīng)的IP地址添加到可訪問IP列表中���;再對來自客戶端的IP報文進行截包處 理,對IP報文進行校驗處理�,并允許校驗通過的IP報文對其中的信息系統(tǒng)資源進行訪問處 理;本實施例中整個信息系統(tǒng)的訪問管理過程由接入交換機����、客戶端、DNS服務(wù)器和信息系 統(tǒng)服務(wù)器自動完成���,無需管理員手動管理,易于使用和管理,解決了現(xiàn)有技術(shù)中的訪問控制 方法難于使用����、控制容易失效等缺陷,且解決了現(xiàn)有技術(shù)中手動修改計算機配置便可繞開 控制的問題����,實現(xiàn)了簡便、靈活的訪問管理��。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對實施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作一簡單地介紹,顯而易見地��,下面描述中的附圖是本發(fā) 明的一些實施例�,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下���,還可以 根據(jù)這些附圖獲得其他的附圖����。圖1為本發(fā)明信息系統(tǒng)的訪問管理方法實施例一的流程圖�����;圖2為本發(fā)明信息系統(tǒng)的訪問管理方法實施例二中認證過程的信令圖;圖3為本發(fā)明信息系統(tǒng)的訪問管理方法實施例二中的網(wǎng)絡(luò)拓撲示意圖�;圖4為本發(fā)明信息系統(tǒng)的訪問管理方法實施例二中的用戶組劃分的示意圖;圖5為本發(fā)明信息系統(tǒng)的訪問管理方法實施例二中訪問管理過程的信令圖���;圖6為本發(fā)明信息系統(tǒng)的訪問管理裝置實施例一的結(jié)構(gòu)示意圖�;圖7為本發(fā)明信息系統(tǒng)的訪問管理裝置實施例二的結(jié)構(gòu)示意圖�;圖8為本發(fā)明信息系統(tǒng)的訪問管理系統(tǒng)實施例一的結(jié)構(gòu)示意圖;圖9為本發(fā)明信息系統(tǒng)的訪問管理系統(tǒng)實施例二的結(jié)構(gòu)示意圖�。
具體實施例方式為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚����,下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚���、完整地描述��,顯然����,所描述的實施例是 本發(fā)明一部分實施例���,而不是全部的實施例�?��;诒景l(fā)明中的實施例�,本領(lǐng)域普通技術(shù)人員 在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例��,都屬于本發(fā)明保護的范圍���。圖1為本發(fā)明信息系統(tǒng)的訪問管理方法實施例一的流程圖�,如圖1所示�,本實施例 提供了一種信息系統(tǒng)的訪問管理方法,可以具體包括如下步驟步驟101��,接入交換機根據(jù)來自客戶端的域名系統(tǒng)(Domain Name System;以下簡 稱DNS)請求報文中攜帶的域名進行校驗處理���,并將校驗通過的DNS請求報文轉(zhuǎn)發(fā)到DNS 服務(wù)器���。在本實施例中,客戶端與安全管理服務(wù)器進行認證之后��,用戶可以通過客戶端進 行信息系統(tǒng)資源的訪問�����。客戶端向DNS服務(wù)器發(fā)送DNS請求時����,接入交換機對該DNS請求 報文進行截包處理,即來自客戶端的DNS請求報文先發(fā)送到接入交換機�,該DNS請求報文中 攜帶用戶將要訪問的信息系統(tǒng)的域名。接入交換機根據(jù)該域名進行校驗處理���,將校驗通過 的域名所對應(yīng)的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器�����,而校驗未通過的域名所對應(yīng)的DNS請求 則直接丟棄處理���,不再執(zhí)行后續(xù)的流程。本實施例中對域名進行校驗處理可以具體為根據(jù) 允許解析域名表進行校驗處理��,即判斷該域名是否包含在允許解析域名中���,該允許解析域 名表可以通過也可以通過預(yù)先從安全管理服務(wù)器獲取的方式來得到���,也可以由本領(lǐng)域技術(shù) 人員根據(jù)經(jīng)驗來手工配置。步驟102,接入交換機根據(jù)來自所述DNS服務(wù)器的DNS響應(yīng)報文將所述校驗通過的 DNS請求報文中攜帶的域名對應(yīng)的IP地址添加到可訪問IP列表中�����。當(dāng)完成上述步驟后�,如果用戶將要訪問的信息系統(tǒng)對應(yīng)的域名通過校驗時���,其發(fā) 起的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器���,則DNS服務(wù)器向客戶端返回DNS響應(yīng)報文。接入交 換機對該DNS響應(yīng)報文進行截包處理�����,即該DNS響應(yīng)報文先發(fā)送到接入交換機����。接入交換 機對該DNS響應(yīng)報文進行解析處理,提取其中攜帶的對應(yīng)的域名的IP地址����,即用戶所要訪 問的信息系統(tǒng)的域名的IP地址,接入交換機將該IP地址添加到可訪問IP列表中��。步驟103����,接入交換機根據(jù)來自所述客戶端的IP報文和所述可訪問IP列表進行校 驗處理�,并允許校驗通過的IP報文訪問所述信息系統(tǒng)服務(wù)器中的信息系統(tǒng)資源���。接入交換機在對DNS響應(yīng)報文進行解析處理后��,還將該DNS響應(yīng)報文轉(zhuǎn)發(fā)到客戶 端�����,客戶端可以根據(jù)該DNS響應(yīng)報文中攜帶的IP地址訪問對應(yīng)的信息系統(tǒng)���,即客戶端向信 息系統(tǒng)服務(wù)器發(fā)送IP報文,該IP報文中可以攜帶用戶將要訪問的信息系統(tǒng)對應(yīng)的IP地 址�����。接入交換機對該IP報文進行截包處理����,即客戶端發(fā)出的IP報文先發(fā)送到接入交換機 上,接入交換機根據(jù)該IP報文和本地保存的可訪問IP列表進行校驗處理�����,并允許校驗通過 的IP報文訪問信息系統(tǒng)服務(wù)器中的信息系統(tǒng)資源,即實現(xiàn)用戶對其中的信息系統(tǒng)資源進 行訪問處理����。如果IP報文未通過校驗,則直接將其丟棄處理����,不再執(zhí)行后續(xù)的步驟。進一步地��,在本實施例中��,在步驟101之前�����,還可以包括如下步驟在所述客戶端 通過安全管理服務(wù)器的合法性認證后����,接入交換機接收所述安全管理服務(wù)器獲取的用戶有 訪問權(quán)限的信息系統(tǒng)對應(yīng)的域名�����;接入交換機將所述用戶有訪問權(quán)限的信息系統(tǒng)對應(yīng)的域 名添加到允許解析域名表中。本實施例中對信息系統(tǒng)進行訪問管理前�,可以先對客戶端進 行合法性認證,用戶只有認證通過之后才能訪問網(wǎng)絡(luò)����,未認證或認證未通過時無法訪問網(wǎng) 絡(luò)。在進行認證之后�,接入交換機可以從安全管理服務(wù)器獲取該用戶可以訪問的信息系統(tǒng)對應(yīng)的域名,然后將該域名添加到本地保存的允許解析域名表中��。本實施例提供了一種信息系統(tǒng)的訪問管理方法���,接入交換機對來自客戶端的DNS 請求報文進行截包處理�,對該DNS請求報文中攜帶的域名進行校驗處理�,將校驗通過的域 名對應(yīng)的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器;再對來自DNS服務(wù)器的DNS響應(yīng)報文進行截包 處理���,將對應(yīng)的IP地址添加到可訪問IP列表中�;再對來自客戶端的IP報文進行截包處理��, 對IP報文進行校驗處理��,并允許校驗通過的IP報文訪問信息系統(tǒng)服務(wù)器中的信息系統(tǒng)資 源���;本實施例中整個信息系統(tǒng)的訪問管理過程由接入交換機����、客戶端、DNS服務(wù)器和信息系 統(tǒng)服務(wù)器自動完成���,無需管理員手動管理��,易于使用和管理����,解決了現(xiàn)有技術(shù)中的訪問控制 方法難于使用����、控制容易失效等缺陷�����,且解決了現(xiàn)有技術(shù)中手動修改計算機配置便可繞開 控制的問題����,實現(xiàn)了簡便、靈活的訪問管理�。圖2為本發(fā)明信息系統(tǒng)的訪問管理方法實施例二中認證過程的信令圖��,如圖2所 示�,本實施例提供了一種信息系統(tǒng)的訪問管理方法����,此處具體對其中的認證過程進行解釋 說明,可以具體包括如下步驟步驟201���,客戶端獲取用戶輸入的用戶名和密碼�。在本實施例中����,對信息系統(tǒng)進行訪問管理前,可以先對客戶端進行合法性認證�����,用 戶只有認證通過之后才能訪問網(wǎng)絡(luò)��,未認證或認證未通過時無法訪問網(wǎng)絡(luò)���。具體地��,本步驟 可以為用戶在個人計算機上運行客戶端��,通過輸入用戶名和密碼進行認證����,客戶端可以獲 取到用戶輸入的用戶名和密碼。本實施例中的客戶端可以具體為認證客戶端�����,用戶可以通 過該客戶端進行認證上網(wǎng)��,以及顯示可訪問的信息系統(tǒng)列表�,用戶點擊信息系統(tǒng)的鏈接打 開瀏覽器來訪問信息系統(tǒng)資源。步驟202���,客戶端向安全管理服務(wù)器發(fā)送認證請求��。本實施例中的認證方式可以具體為Ix認證���,具體通過客戶端��、接入交換機和安全 管理服務(wù)器三個組件的配合來共同完成認證過程�。本步驟為客戶端向安全管理服務(wù)器發(fā)送 認證請求,該認證請求中可以攜帶之前獲取的用戶名和密碼���,具體為通過接入交換機向安 全管理服務(wù)器發(fā)送認證請求����。步驟203,安全管理服務(wù)器對客戶端進行合法性認證�。安全管理服務(wù)器在接收到客戶端發(fā)送的認證請求后,根據(jù)其中攜帶的用戶名和密 碼對客戶端進行合法性認證��,即檢查該用戶名和密碼的合法性等�。本實施例中的安全管理 服務(wù)器為整個安全方案的核心服務(wù)器,其可以指定用戶屬于哪個用戶組及用戶組可訪問的 信息系統(tǒng)列表���、信息系統(tǒng)對應(yīng)的域名等�。在本實施例中�����,在對客戶端進行認證之前����,可以先搭建網(wǎng)絡(luò)拓撲,如圖3所示為本 發(fā)明信息系統(tǒng)的訪問管理方法實施例二中的網(wǎng)絡(luò)拓撲示意圖���,可以在網(wǎng)絡(luò)中的任意位置搭 建安全管理服務(wù)器�����,在個人計算機上安裝客戶端�����,將個人計算機直接連接到加入交換機上�����。 以圖3為例�,本實施例中的信息系統(tǒng)可以包括財務(wù)系統(tǒng)、資產(chǎn)管理系統(tǒng)����、人事系統(tǒng)及共用系 統(tǒng),其中���,作為普通員的用戶可以訪問共用系統(tǒng)的資源�����,作為領(lǐng)導(dǎo)的用戶可以訪問所有的信 息系統(tǒng),財政司的用戶只能訪問財務(wù)系統(tǒng)���,行政司的用戶只能訪問資產(chǎn)管理系統(tǒng)����,人事司的 用戶只能訪問人事系統(tǒng)。管理員可以在安全管理服務(wù)器上對信息系統(tǒng)進行配置�����,配置的信 息具體可以包括信息系統(tǒng)的名稱�����、信息系統(tǒng)的域名和訪問信息系統(tǒng)的端口��。安全管理服務(wù) 器先將信息系統(tǒng)存儲到數(shù)據(jù)庫表中�,本實施例中的數(shù)據(jù)庫表的結(jié)構(gòu)可以如下表1所示,如下表2所示為信息系統(tǒng)的示例表1安全管理服務(wù)器中數(shù)據(jù)庫表的結(jié)構(gòu)
字段屬性長度是否可為空描述infoSystemlndexbigintNo索引�,唯一主鍵infoSystemNamevarchar64No信息系統(tǒng)的名稱domainNamevarchar64No信息系統(tǒng)的域名porttinyintNo訪問信息系統(tǒng)的端口表2信息系統(tǒng)的示例
信息系統(tǒng)信息系統(tǒng)名稱域名端口財務(wù)系統(tǒng)www. financial ,com2578資產(chǎn)管現(xiàn)系統(tǒng)www.asset.com4569人事系統(tǒng)www.personiiel.com9872公用系統(tǒng)www.public .com3567然后,管理員可以在安全管理服務(wù)器上創(chuàng)建用戶組��,對用戶組進行劃分�����,并配置用 戶組可訪問的信息系統(tǒng)列表。如圖4所示為本發(fā)明信息系統(tǒng)的訪問管理方法實施例二中的 用戶組劃分的示意圖����,可以具體建立領(lǐng)導(dǎo)組、財政司組���、行政司組和人事司組���。其中,領(lǐng)導(dǎo)組 與信息系統(tǒng)中的財務(wù)系統(tǒng)���、資產(chǎn)管理系統(tǒng)�����、人事系統(tǒng)和共用系統(tǒng)相關(guān)聯(lián)�,即領(lǐng)導(dǎo)組中的用戶 可訪問的信息系統(tǒng)列表包括財務(wù)系統(tǒng)����、資產(chǎn)管理系統(tǒng)、人事系統(tǒng)和共用系統(tǒng)��,后續(xù)類似�;財 政司組與信息系統(tǒng)中的財務(wù)系統(tǒng)和共用系統(tǒng)相關(guān)聯(lián),行政司組與信息系統(tǒng)中的資產(chǎn)管理系 統(tǒng)和共用系統(tǒng)相關(guān)聯(lián),人事司組與信息系統(tǒng)中的人事系統(tǒng)和共用系統(tǒng)相關(guān)聯(lián)�。接著,管理員 在安全管理服務(wù)器上為用戶開戶�����,開戶的內(nèi)容包括用戶名����、密碼及用戶所屬的用戶組等�����,將 用戶名和密碼信息告知各用戶����,此處為將財政司員工開的戶加入財政司組,將行政司員工 開的戶加入行政司組�����,將人事司員工開的戶加入人事司組��,將領(lǐng)導(dǎo)加入領(lǐng)導(dǎo)組����。步驟204����,當(dāng)客戶端通過認證后���,安全管理服務(wù)器獲取當(dāng)前用戶有訪問權(quán)限的信息 系統(tǒng)����。在客戶端通過安全管理服務(wù)器的認證之后�,安全管理服務(wù)器根據(jù)用戶名查找該用 戶所屬的用戶組,由于用戶名和用戶組均為管理員配置的��,則可以很容易獲取到其所屬的用戶組����,安全管理服務(wù)器再根據(jù)該用戶組獲取該用戶有訪問權(quán)限的信息系統(tǒng),即獲取該用 戶可訪問的信息系統(tǒng)�,并獲取各信息系統(tǒng)的域名以及訪問各信息系統(tǒng)的端口。步驟205�,安全管理服務(wù)器向客戶端下發(fā)當(dāng)前用戶有訪問權(quán)限的信息系統(tǒng)列表。安全管理服務(wù)器將獲取到的當(dāng)前用戶有訪問權(quán)限的各信息系統(tǒng)的名稱�����、信息系統(tǒng) 的域名及訪問該信息系統(tǒng)的端口分別組合為一個鏈接,并將生成的當(dāng)前用戶有訪問權(quán)限的 信息系統(tǒng)列表下發(fā)到客戶端�。步驟206,客戶端將信息系統(tǒng)列表展示給用戶�。客戶端在接收到信息系統(tǒng)列表后���,將該信息系統(tǒng)列表展示給用戶,方便用戶通過 點擊某個信息系統(tǒng)對應(yīng)的連接來選擇訪問該信息系統(tǒng)�����。步驟207�,安全管理服務(wù)器向接入交換機下發(fā)當(dāng)前用戶有訪問權(quán)限的信息系統(tǒng)對 應(yīng)的域名。安全管理服務(wù)器在向客戶端下發(fā)用戶可訪問的信息系統(tǒng)列表的同時����,還向接入交 換機下發(fā)當(dāng)前用戶有訪問權(quán)限的信息系統(tǒng)對應(yīng)的域名。步驟208�,接入交換機將信息系統(tǒng)對應(yīng)的域名添加到允許解析域名表中。接入交換機將接收到的各信息系統(tǒng)對應(yīng)的域名添加到本地的允許解析域名表中�, 以備后續(xù)校驗使用。步驟209�,客戶端退出認證。步驟210�����,接入交換機清空允許解析域名表和可訪問IP列表。當(dāng)用戶退出該客戶端的程序時����,接入交換機需要清空本地的允許解析域名表和可 訪問IP列表,下次再啟動該客戶端的程序時��,再重新進行上述認證過程�����。需要指出的是����,本 實施例中的步驟209和210的執(zhí)行順序并非一定在步驟208之后,這兩個步驟只有在客戶 端退出時才執(zhí)行�;也并非執(zhí)行步驟210之后才執(zhí)行后續(xù)步驟501,通常��,后續(xù)步驟501-510 是在步驟208與步驟209之間執(zhí)行��。圖5為本發(fā)明信息系統(tǒng)的訪問管理方法實施例二中訪問管理過程的信令圖���,如圖 5所示�����,本實施例提供的信息系統(tǒng)的訪問管理方法在上述圖2所示的基礎(chǔ)之上�,完成客戶端 的認證之后,還可以具體包括如下步驟步驟501�,客戶端獲取用戶通過信息系統(tǒng)列表選擇的信息系統(tǒng)的鏈接地址。當(dāng)客戶端完成認證之后���,用戶可以通過客戶端展示的信息系統(tǒng)列表來訪問相應(yīng)的 信息系統(tǒng)資源��,用戶在客戶端展示的信息系統(tǒng)列表中選擇點擊其中一個信息系統(tǒng)對應(yīng)的鏈 接,客戶端獲取到用戶選擇的信息系統(tǒng)的鏈接地址�。步驟502,客戶端向接入交換機發(fā)送DNS請求報文��。用戶在通過客戶端點擊一個鏈接后��,觸發(fā)一個發(fā)往DNS服務(wù)器的DNS請求���,本實施 例中接入交換機對客戶端發(fā)往DNS服務(wù)器的DNS請求報文進行截包處理����,則該DNS請求報 文先發(fā)送到接入交換機上���,該DNS請求報文中攜帶用戶將要訪問的信息系統(tǒng)的域名���。步驟503���,接入交換機校驗DNS請求報文中攜帶的域名是否在允許解析域名表中, 如果是�����,則執(zhí)行步驟504��,否則直接丟棄該DNS請求報文�。接入交換機在接收到DNS請求報文后,對該DNS請求報文進行解析處理��,獲取其中 攜帶的用戶將要訪問的信息系統(tǒng)的域名��,并判斷該域名是否在本地保存的允許解析域名表 中�����,如果是����,則表明該DNS請求報文通過校驗����,將校驗通過的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器����;否則如果該域名不在允許解析域名表中,則直接丟棄該DNS請求報文��,不再執(zhí)行后續(xù)的 流程���,用戶則無法訪問對應(yīng)的信息系統(tǒng)資源�����。步驟504,接入交換機將該DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器����。步驟505,DNS服務(wù)器根據(jù)DNS請求報文獲取其中攜帶的域名對應(yīng)的IP地址�����。DNS服務(wù)器接收到DNS請求報文后��,從該DNS請求報文中獲取其中攜帶的用戶將要 訪問的信息系統(tǒng)的域名,并根據(jù)該域名獲取其對應(yīng)的IP地址�����。步驟506��,DNS服務(wù)器向接入交換機發(fā)送DNS響應(yīng)報文����。DNS服務(wù)器向客戶端返回DNS響應(yīng)報文,在該DNS響應(yīng)報文中攜帶用戶將要訪問的 信息系統(tǒng)的域名對應(yīng)的IP地址���,本實施例中接入交換機對來自DNS服務(wù)器的DNS響應(yīng)報文 進行截包處理�,則該DNS響應(yīng)報文先發(fā)送到接入交換機上�。步驟507,接入交換機解析該DNS響應(yīng)報文���,將其中攜帶的域名的IP地址添加到可 訪問IP列表中�。接入交換機接收到DNS響應(yīng)報文后�����,對該報文進行解析處理,獲取其中攜帶的用 戶將要訪問的信息系統(tǒng)的域名對應(yīng)的IP地址�����,接入交換機將該IP地址添加到本地保存的 可訪問IP列表中����,以備后續(xù)校驗使用。步驟508�,接入交換機將DNS響應(yīng)報文轉(zhuǎn)發(fā)到客戶端。步驟509�����,客戶端向接入交換機發(fā)送IP報文�����?�?蛻舳嗽诮邮盏紻NS響應(yīng)報文后���,從該DNS響應(yīng)報文中解析獲取用戶將要訪問的 信息系統(tǒng)的域名對應(yīng)的IP地址,利用該IP地址進行信息系統(tǒng)資源的訪問�。客戶端向信息 系統(tǒng)服務(wù)器發(fā)送IP報文,在IP報文中攜帶該IP地址�,本實施例中接入服務(wù)器對客戶端發(fā) 往信息系統(tǒng)服務(wù)器的IP報文進行截包處理,則該IP報文先發(fā)送到接入交換機����。步驟510,接入交換機判斷IP報文中攜帶的IP地址是否在可訪問IP列表中���,如果 是��,則執(zhí)行步驟511����,否則丟棄該IP報文���。接入交換機在接收到IP報文后��,提取其中攜帶的IP地址���,判斷該IP地址是否在 本地保存的可訪問IP列表中,如果是�����,則將該IP報文轉(zhuǎn)發(fā)到信息系統(tǒng)服務(wù)器,以實現(xiàn)客戶 端對信息系統(tǒng)服務(wù)器中相應(yīng)的信息系統(tǒng)資源的訪問處理�。否則如果該IP地址不在可訪問 IP列表中,則直接丟棄該IP報文���,不再執(zhí)行后續(xù)的流程��,用戶則無法訪問對應(yīng)的信息系統(tǒng) 資源�����。步驟511����,接入交換機將IP報文轉(zhuǎn)發(fā)到信息系統(tǒng)服務(wù)器�。接入交換機將校驗通過的IP報文轉(zhuǎn)發(fā)到信息系統(tǒng)服務(wù)器,并利用該IP報文對信 息系統(tǒng)服務(wù)器中相應(yīng)的信息系統(tǒng)資源進行訪問�����,即允許該用戶訪問其請求訪問的信息系統(tǒng) 資源�����。具體可以為信息系統(tǒng)服務(wù)器接收到該校驗通過的IP報文后��,從該IP報文中提取其 中攜帶的用戶的相關(guān)信息��,可以為其請求訪問的信息系統(tǒng)的標(biāo)識信息等�����,以訪問對應(yīng)的信 息系統(tǒng)資源����。本實施例提供了一種信息系統(tǒng)的訪問管理方法,接入交換機對來自客戶端的DNS 請求報文進行截包處理�,對該DNS請求報文中攜帶的域名進行校驗處理,將校驗通過的域 名對應(yīng)的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器���;再對來自DNS服務(wù)器的DNS響應(yīng)報文進行截包 處理��,將對應(yīng)的IP地址添加到可訪問IP列表中��;再對來自客戶端的IP報文進行截包處理�����, 對IP報文進行校驗處理���,并將校驗通過的IP報文轉(zhuǎn)發(fā)到信息系統(tǒng)服務(wù)器�����,以對其中的信息系統(tǒng)資源進行訪問處理����;本實施例中整個信息系統(tǒng)的訪問管理過程由接入交換機����、客戶端、 DNS服務(wù)器和信息系統(tǒng)服務(wù)器自動完成��,無需管理員手動管理���,易于使用和管理�,解決了現(xiàn) 有技術(shù)中的訪問控制方法難于使用����、控制容易失效等缺陷,且解決了現(xiàn)有技術(shù)中手動修改 計算機配置便可繞開控制的問題��,實現(xiàn)了簡便���、靈活的訪問管理��。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可以通過 程序指令相關(guān)的硬件來完成���,前述的程序可以存儲于一計算機可讀取存儲介質(zhì)中,該程序 在執(zhí)行時��,執(zhí)行包括上述方法實施例的步驟�;而前述的存儲介質(zhì)包括R0M、RAM���、磁碟或者 光盤等各種可以存儲程序代碼的介質(zhì)�����。圖6為本發(fā)明信息系統(tǒng)的訪問管理裝置實施例一的結(jié)構(gòu)示意圖����,如圖6所示��,本 實施例提供了一種信息系統(tǒng)的訪問管理裝置���,可以具體執(zhí)行上述方法實施例一中的各個步 驟�,此處不再贅述���。本實施例提供的信息系統(tǒng)的訪問管理裝置可以具體包括第一校驗?zāi)K 601���、第一添加模塊602和第二校驗?zāi)K603�����。其中�,第一校驗?zāi)K601用于根據(jù)來自客戶端 的域名系統(tǒng)DNS請求報文中攜帶的域名進行校驗處理�,并將校驗通過的DNS請求報文轉(zhuǎn)發(fā) 到DNS服務(wù)器。第一添加模塊602用于根據(jù)來自所述DNS服務(wù)器的DNS響應(yīng)報文將所述校 驗通過的DNS請求報文中攜帶的域名對應(yīng)的IP地址添加到可訪問IP列表中���。第二校驗?zāi)?塊603用于根據(jù)來自所述客戶端的IP報文和所述可訪問IP列表進行校驗處理����,并允許校 驗通過的IP報文訪問信息系統(tǒng)服務(wù)器中的信息系統(tǒng)資源����。圖7為本發(fā)明信息系統(tǒng)的訪問管理裝置實施例二的結(jié)構(gòu)示意圖,如圖7所示����,本 實施例提供了一種信息系統(tǒng)的訪問管理裝置,可以具體執(zhí)行上述方法實施例二中的各個步 驟��,此處不再贅述。本實施例提供的信息系統(tǒng)的訪問管理裝置在上述圖6所示的基礎(chǔ)之上����, 還可以包括接收模塊701和第二添加模塊702。接收模塊701用于在所述客戶端通過安全 管理服務(wù)器的合法性認證后�,接收所述安全管理服務(wù)器獲取的用戶有訪問權(quán)限的信息系統(tǒng) 對應(yīng)的域名。第二添加模塊702用于將所述信息系統(tǒng)對應(yīng)的域名添加到允許解析域名表 中�����。具體地���,本實施例提供的信息系統(tǒng)的訪問管理裝置中的第一校驗?zāi)K601可以具 體包括獲取單元611和第一校驗單元621。獲取單元611用于獲取客戶端發(fā)往DNS服務(wù)器 的DNS請求報文����,所述DNS請求報文中攜帶所訪問的信息系統(tǒng)的域名。第一校驗單元621 用于校驗所述信息系統(tǒng)的域名是否在所述允許解析域名表中����,如果是,則將所述DNS請求 報文轉(zhuǎn)發(fā)到DNS服務(wù)器���。具體地�,本實施例提供的信息系統(tǒng)的訪問管理裝置中的第二校驗?zāi)K603可以具 體包括第二校驗單元613和訪問單元623。其中���,第二校驗單元613用于判斷來自所述客戶 端的IP報文中攜帶的IP地址是否在所述可訪問IP列表中�����,如果是���,則將所述IP報文轉(zhuǎn)發(fā) 到信息系統(tǒng)服務(wù)器。訪問單元623用于利用所述IP報文對所述信息系統(tǒng)服務(wù)器中的信息 系統(tǒng)資源進行訪問處理��。進一步地���,本實施例提供的信息系統(tǒng)的訪問管理裝置還可以包括清除模塊703���,清 除模塊703用于在所述客戶端退出后,清空所述允許解析域名表和所述可訪問IP列表�。本實施例提供了一種信息系統(tǒng)的訪問管理裝置,通過對來自客戶端的DNS請求報 文進行截包處理�,對該DNS請求報文中攜帶的域名進行校驗處理,將校驗通過的域名對應(yīng) 的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器��;再對來自DNS服務(wù)器的DNS響應(yīng)報文進行截包處理,將對應(yīng)的IP地址添加到可訪問IP列表中�;再對來自客戶端的IP報文進行截包處理,對IP報 文進行校驗處理�����,并將校驗通過的IP報文轉(zhuǎn)發(fā)到信息系統(tǒng)服務(wù)器�����,以對其中的信息系統(tǒng)資 源進行訪問處理����;本實施例中整個信息系統(tǒng)的訪問管理過程由接入交換機��、客戶端�����、DNS服 務(wù)器和信息系統(tǒng)服務(wù)器自動完成�,無需管理員手動管理,易于使用和管理����,解決了現(xiàn)有技術(shù) 中的訪問控制方法難于使用、控制容易失效等缺陷,且解決了現(xiàn)有技術(shù)中手動修改計算機 配置便可繞開控制的問題��,實現(xiàn)了簡便��、靈活的訪問管理�。本實施例還提供了一種接入設(shè)備,可以具體為接入交換機�����,其可以包括上圖6或 圖7所示的信息系統(tǒng)的訪問管理裝置����。圖8為本發(fā)明信息系統(tǒng)的訪問管理系統(tǒng)實施例一的結(jié)構(gòu)示意圖,如圖8所示���,本 實施例提供了一種信息系統(tǒng)的訪問管理系統(tǒng)�,可以具體執(zhí)行上述方法實施例一中的各個步 驟�,此處不再贅述。本實施例提供的信息系統(tǒng)的訪問管理系統(tǒng)可以具體包括DNS服務(wù)器1����、 信息系統(tǒng)服務(wù)器2和接入設(shè)備3。其中���,接入設(shè)備3用于根據(jù)來自客戶端的域名系統(tǒng)DNS請 求報文中攜帶的域名進行校驗處理�����,并將校驗通過的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器1 �;根 據(jù)來自DNS服務(wù)器1的DNS響應(yīng)報文將所述校驗通過的DNS請求報文中攜帶的域名對應(yīng)的 IP地址添加到可訪問IP列表中;并根據(jù)來自所述客戶端的IP報文和所述可訪問IP列表 進行校驗處理����,并允許校驗通過的IP報文訪問信息系統(tǒng)服務(wù)器2中的信息系統(tǒng)資源。DNS 服務(wù)器1用于接收到所述校驗通過的DNS請求報文后�,向接入設(shè)備3返回DNS響應(yīng)報文。圖9為本發(fā)明信息系統(tǒng)的訪問管理系統(tǒng)實施例二的結(jié)構(gòu)示意圖�����,如圖9所示��,本 實施例提供了一種信息系統(tǒng)的訪問管理系統(tǒng)�,可以具體執(zhí)行上述方法實施例二中的各個步 驟����,此處不再贅述。本實施例提供的信息系統(tǒng)的訪問管理系統(tǒng)在上述圖8所示的基礎(chǔ)之上����, 還可以包括安全管理服務(wù)器4���。其中,安全管理服務(wù)器4用于對所述客戶端進行合法性認 證�,獲取用戶有訪問權(quán)限的信息系統(tǒng)對應(yīng)的域名,并將所述用戶有訪問權(quán)限的信息系統(tǒng)對 應(yīng)的域名發(fā)送到接入設(shè)備3��。接入設(shè)備3還用于將接收到的所述用戶有訪問權(quán)限的信息系 統(tǒng)對應(yīng)的域名添加到允許解析域名表中���。最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案���,而非對其限制;盡 管參照前述實施例對本發(fā)明進行了詳細的說明����,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然 可以對前述各實施例所記載的技術(shù)方案進行修改,或者對其中部分技術(shù)特征進行等同替 換���;而這些修改或者替換��,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精 神和范圍��。
權(quán)利要求
1.一種信息系統(tǒng)的訪問管理方法���,其特征在于�����,包括根據(jù)來自客戶端的域名系統(tǒng)DNS請求報文中攜帶的域名進行校驗處理�,并將校驗通過 的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器���;根據(jù)來自所述DNS服務(wù)器的DNS響應(yīng)報文將所述校驗通過的DNS請求報文中攜帶的域 名對應(yīng)的IP地址添加到可訪問IP列表中�����;根據(jù)來自所述客戶端的IP報文和所述可訪問IP列表進行校驗處理����,并允許校驗通過 的IP報文訪問信息系統(tǒng)服務(wù)器中的信息系統(tǒng)資源�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�,在所述根據(jù)來自客戶端的域名系統(tǒng)DNS請 求報文中攜帶的域名進行校驗處理之前,還包括在客戶端通過安全管理服務(wù)器的合法性認證后�,接收所述安全管理服務(wù)器獲取的用戶 有訪問權(quán)限的信息系統(tǒng)對應(yīng)的域名��;將所述用戶有訪問權(quán)限的信息系統(tǒng)對應(yīng)的域名添加到允許解析域名表中�����。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于�,所述根據(jù)來自客戶端的域名系統(tǒng)DNS請求 報文中攜帶的域名進行校驗處理,并將校驗通過的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器包括獲取客戶端發(fā)往DNS服務(wù)器的DNS請求報文�����,所述DNS請求報文中攜帶所訪問的信息 系統(tǒng)的域名�;校驗所述信息系統(tǒng)的域名是否在所述允許解析域名表中,如果是�,則校驗通過,并將所 述DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器��。
4.根據(jù)權(quán)利要求1所述的方法��,其特征在于���,所述根據(jù)來自所述客戶端的IP報文和所 述可訪問IP列表進行校驗處理����,并允許校驗通過的IP報文訪問信息系統(tǒng)服務(wù)器中的信息 系統(tǒng)資源包括判斷來自所述客戶端的IP報文中攜帶的IP地址是否在所述可訪問IP列表中�,如果 是,則校驗通過��,并將所述IP報文轉(zhuǎn)發(fā)到信息系統(tǒng)服務(wù)器;利用所述IP報文對所述信息系統(tǒng)服務(wù)器中的信息系統(tǒng)資源進行訪問處理��。
5.根據(jù)權(quán)利要求2所述的方法�����,其特征在于�,還包括在所述客戶端退出后,清空所述允許解析域名表和所述可訪問IP列表�����。
6.一種信息系統(tǒng)的訪問管理裝置����,其特征在于,包括第一校驗?zāi)K��,用于根據(jù)來自客戶端的域名系統(tǒng)DNS請求報文中攜帶的域名進行校驗 處理��,并將校驗通過的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器�;第一添加模塊,用于根據(jù)來自所述DNS服務(wù)器的DNS響應(yīng)報文將所述校驗通過的DNS 請求報文中攜帶的域名對應(yīng)的IP地址添加到可訪問IP列表中����;第二校驗?zāi)K��,用于根據(jù)來自所述客戶端的IP報文和所述可訪問IP列表進行校驗處 理,并允許校驗通過的IP報文訪問信息系統(tǒng)服務(wù)器中的信息系統(tǒng)資源����。
7.根據(jù)權(quán)利要求6所述的裝置,其特征在于��,還包括接收模塊����,用于在客戶端通過安全管理服務(wù)器的合法性認證后,接收所述安全管理服 務(wù)器獲取的用戶有訪問權(quán)限的信息系統(tǒng)對應(yīng)的域名���;第二添加模塊�����,用于將所述用戶有訪問權(quán)限的信息系統(tǒng)對應(yīng)的域名添加到允許解析域 名表中����。
8.根據(jù)權(quán)利要求7所述的裝置�,其特征在于,所述第一校驗?zāi)K包括獲取單元�,用于獲取客戶端發(fā)往DNS服務(wù)器的DNS請求報文����,所述DNS請求報文中攜帶 所訪問的信息系統(tǒng)的域名�;第一校驗單元,用于校驗所述信息系統(tǒng)的域名是否在所述允許解析域名表中�����,如果是��, 則校驗通過�����,并將所述DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器���。
9.根據(jù)權(quán)利要求6所述的裝置�,其特征在于�����,所述第二校驗?zāi)K包括第二校驗單元����,用于判斷來自所述客戶端的IP報文中攜帶的IP地址是否在所述可訪 問IP列表中�����,如果是����,則校驗通過����,并將所述IP報文轉(zhuǎn)發(fā)到信息系統(tǒng)服務(wù)器����;訪問單元,用于利用所述IP報文對所述信息系統(tǒng)服務(wù)器中的信息系統(tǒng)資源進行訪問 處理����。
10.根據(jù)權(quán)利要求7所述的裝置,其特征在于�,還包括清除模塊,用于在所述客戶端退出后�����,清空所述允許解析域名表和所述可訪問IP列表。
11.一種接入設(shè)備��,其特征在于��,包括上述權(quán)利要求6-10中任一項所述的信息系統(tǒng)的訪問管理裝置�。
12.一種信息系統(tǒng)的訪問管理系統(tǒng),其特征在于�,包括域名系統(tǒng)DNS服務(wù)器、信息系統(tǒng) 服務(wù)器和接入設(shè)備��,其中所述接入設(shè)備用于根據(jù)來自客戶端的DNS請求報文中攜帶的域名進行校驗處理����,并將 校驗通過的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器;根據(jù)來自所述DNS服務(wù)器的DNS響應(yīng)報文將 所述校驗通過的DNS請求報文中攜帶的域名對應(yīng)的IP地址添加到可訪問IP列表中�����;并根 據(jù)來自所述客戶端的IP報文和所述可訪問IP列表進行校驗處理�����,并允許校驗通過的IP報 文訪問所述信息系統(tǒng)服務(wù)器中的信息系統(tǒng)資源�;所述DNS服務(wù)器用于接收到所述校驗通過的DNS請求報文后,向所述接入設(shè)備返回DNS 響應(yīng)報文���。
13.根據(jù)權(quán)利要求12所述的系統(tǒng)�,其特征在于,還包括安全管理服務(wù)器�,其中,所述安 全管理服務(wù)器用于對所述客戶端進行合法性認證�,獲取用戶有訪問權(quán)限的信息系統(tǒng)對應(yīng)的 域名,并將所述用戶有訪問權(quán)限的信息系統(tǒng)對應(yīng)的域名發(fā)送到所述接入設(shè)備��;所述接入設(shè)備還用于將接收到的所述用戶有訪問權(quán)限的信息系統(tǒng)對應(yīng)的域名添加到 允許解析域名表中����。
全文摘要
本發(fā)明提供一種信息系統(tǒng)的訪問管理方法��、裝置��、系統(tǒng)和接入設(shè)備�,其中方法包括根據(jù)來自客戶端的域名系統(tǒng)DNS請求報文中攜帶的域名進行校驗處理,并將校驗通過的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器���;根據(jù)來自DNS服務(wù)器的DNS響應(yīng)報文將校驗通過的DNS請求報文中攜帶的域名對應(yīng)的IP地址添加到可訪問IP列表中����;根據(jù)來自客戶端的IP報文和可訪問IP列表進行校驗處理��,并允許校驗通過的IP報文訪問信息系統(tǒng)服務(wù)器中的信息系統(tǒng)資源。裝置包括第一校驗?zāi)K�、第一添加模塊和第二校驗?zāi)K。接入設(shè)備包括信息系統(tǒng)的訪問管理裝置����。本發(fā)明還提供了一種信息系統(tǒng)的訪問管理系統(tǒng)。本發(fā)明實現(xiàn)了簡便����、靈活的訪問管理。
文檔編號H04L29/06GK102006286SQ20101053203
公開日2011年4月6日 申請日期2010年10月29日 優(yōu)先權(quán)日2010年10月29日
發(fā)明者劉福能, 葉金龍, 吳吉朋, 楊紅飛 申請人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司