專利名稱:一種應用系統用戶認證方法
技術領域:
本發明涉及計算機網絡,具體涉及一種應用系統用戶認證方法。
背景技術:
隨著寬帶Internet網絡的普及和電子商務的蓬勃發展,越來越多的 企業都在逐步依靠計算機網絡、應用系統來開展業務,同時利用Internet 來開展更多的商務活動;稍具規模的企業都不會只有一個辦公應用系 統,而由于一些歷史問題,導致很多的應用系統都只是利用用戶名、 密碼來保證系統的安全性,認證強度不夠大,存在訪問安全漏洞,加 上這些系統都已經成型已久,絕大部分的系統都不可能再利用第2次 開發來提升應用系統的安全性。
另 一方面,SSL VPN是采用SSL(Security Socket Layer,安全套接 字層)協議來實現遠程接入的一種新型VPN(Virtual private Network,虛 擬專用網絡)技術,SSL協議是網景公司提出的基于WEB應用的安全 協議,它包括服務器認證、客戶認證(可選)、SSL鏈路上的數據完 整性和SSL鏈路上的數據保密性,對于內、外部應用來說,使用SSL 可保證信息的真實性、完整性和保密性,但目前SSL VPN只能做到對 某用戶能用哪些應用做權限限制,還不夠
發明內容
本發明需要解決的技術問題是,如何提供一種應用系統用戶認證 方法,能防止用戶使用別人的帳號密碼再登陸應用系統。
本發明的第一個技術問題這樣解決構建一種應用系統用戶認證 方法,在SSLVPN設備設置客戶端對應應用系統的指定用戶名密碼, 包括以下步驟
1.1) 通過SSL VPN設備截取用戶登陸應用系統的信息數據;
1.2) 判斷該信息數據中用戶名密碼是否是與其來源客戶端對應 的指定用戶名密碼,是轉發該信息數據,否則不轉發。
按照本發明提供的認證方法,所述指定用戶名密碼存儲于SSL VPN設備的數據文件或數據庫中。
按照本發明提供的認證方法,所述步驟l.l)中截取是通過獲取接收 數據流的報頭來具體識別的。
按照本發明提供的認證方法,所述步驟1.2)中不轉發進一步還包括 給所述信息數據來源客戶端一個"拒絕登陸"的提示。
按照本發明提供的認證方法,所述步驟1.2)中不轉發進一步還包括 將不轉發記錄日志。
按照本發明4是供的認證方法,該認證方法還包括步驟1.3):應用系 統根據所述信息數據對用戶進行認證。
本發明提供的應用系統用戶認證方法,采用SSLVPN增強應用系 統用戶認證的安全,使用戶登陸SSLVPN后必須使用指定的用戶名密 碼登陸應用系統,而不能盜用別人的帳號使用應用系統,這樣防止用 戶使用別人的帳號密碼再登陸應用系統,提高了現有基于用戶名密碼 的應用系統的安全性。
下面結合附圖和具體實施例進一步對本發明進行詳細說明。
圖l是本發明用戶登陸應用系統流程示意圖; 圖2是本發明SSLVPN設備工作流程示意圖; 圖3是現有技術用戶登陸效果示意圖; 圖4是本發明用戶登陸效果示意圖。
具體實施例方式
首先,說明本發明思想
此發明跟把普通的SSL VPN設備直接部署到應用系統前面,即 SSL VPN可以通過過濾應用系統的^t據流來綁定登陸應用系統的用 戶, 一方面加強應用系統的認證安全, 一方面方Y更SSL VPN系統3艮應 用系統實現單點登陸。這樣SSL VPN的加強的用戶認i正就可以應用到 其他系統上。
第二,說明本發明方法
如圖1所示,用戶登陸應用系統流程具體包括用戶登陸應用系 統的數據,先經過SSLVPN, SSLVPN過濾用戶登陸的數據流,對數 據流進行分析,判斷該用戶是否可以在該系統上登陸應用系統。如果 SSL VPN允許用戶登陸,則用戶可以成功登陸應用系統,否則,用戶 會得到一個"拒絕登陸"的提示,并記錄曰志。
如圖2所示,SSLVPN設備工作流程具體包括SSLVPN等待數 據,如果數據是用戶登陸信息的數據,則對數據流中的用戶名進行分 析,判斷是否允許該用戶在該系統上登陸應用系統。如果允許,轉發數據流至應用系統,否則拋棄數據。如果SSLVPN接收到非用戶登陸 的數據流,則執行原有的流程。 第三,說明本發明效果
如圖3所示,應用本發明之前PC1、 PC2可以使用任何應用系統 識別的用戶名登陸,如
1. PC1可以使用用戶A、用戶B登陸應用系統;
2. PC2可以使用用戶C、用戶D登陸應用系統。 如圖4所示,應用本發明之后PC1、 PC2只可以使用任何應用系
統識別并且在SSL VPN設備上被綁定,如
1. PC1可以使用用戶A登陸應用系統;
2. PC1不可以^f吏用用戶B登陸應用系統;
3. PC2不可以使用用戶C登陸應用系統;
4. PC2可以-使用用戶D登陸應用系統。
最后,在本領域普通技術人員理解范圍內,在本發明權利要求范 圍內,各種變化都屬于本發明的保護范圍。
權利要求
1、一種應用系統用戶認證方法,其特征在于,在SSL VPN設備設置客戶端對應應用系統的指定用戶名密碼,包括以下步驟1. 1)通過SSL VPN設備截取用戶登陸應用系統的信息數據;1. 2)判斷該信息數據中用戶名密碼是否是與其來源客戶端對應的指定用戶名密碼,是轉發該信息數據,否則不轉發。
2、 根據權利要求1所述認證方法,其特征在于,所述指定用戶名 密碼存儲于SSL VPN設備的數據文件中。
3、 根據權利要求1所述認證方法,其特征在于,所述指定用戶名 密碼存儲于SSL VPN設備的數據庫中。
4、 根據權利要求1所述認證方法,其特征在于,所述步驟l.l)中 截取是通過獲取接收數據流的報頭來具體識別的。
5、 根據權利要求1所述認證方法,其特征在于,所述步驟1.2)中 不轉發還包括給所述信息數據來源客戶端一個"拒絕登陸"的提示。
6、 根據權利要求1或5所述認證方法,其特征在于,所述步驟1.2) 中不轉發還包括將不轉發記錄日志。
7、 根據權利要求1所述認證方法,其特征在于,該認證方法還包 括步驟1.3):應用系統根據所述信息數據對用戶進行認證。
全文摘要
本發明涉及了一種應用系統用戶認證方法,在SSL VPN設備設置客戶端對應應用系統的指定用戶名密碼,包括通過SSL VPN設備截取用戶登陸應用系統的信息數據;判斷該信息數據中用戶名密碼是否是與其來源客戶端對應的指定用戶名密碼,是轉發該信息數據,否則不轉發。這種方法,采用SSL VPN增強應用系統用戶認證安全,使用戶登陸SSL VPN后必須使用指定的用戶名密碼登陸應用系統,防止了用戶使用別人的帳號密碼再登陸應用系統,提高了現有基于用戶名密碼的應用系統的安全性。
文檔編號H04L9/32GK101447875SQ20081024141
公開日2009年6月3日 申請日期2008年12月19日 優先權日2008年12月19日
發明者徐清木 申請人:深圳市深信服電子科技有限公司