一種應用系統的安全訪問方法與流程

本發明涉及數據安全領域，特別是涉及一種應用系統的安全訪問方法。

背景技術：

如今的網絡時代，ERP、OA、CRM等等應用系統已經組成企業辦公不可缺少的的一大部分，但是因為軟件的容易受攻擊性，泄密事件頻頻發生，應用系統安全也成為企業極為關注的難題。

現有技術的實現方式包括限制進入應用系統的終端的IP地址和限制進入應用系統需要賬號和口令等方式。

但是，現有的方法或產品存在以下缺陷：

一、只限制進入應用系統的終端的IP地址，無法確認訪問者的身份，IP地址也容易被盜用，以及限制以后對于方便訪問有很大的局限性。

二、因為業務需要，很多應用系統不得不把地址和端口暴露在外網，很容易受黑客惡意攻擊。

三、只限制進入應用系統需要賬號和口令，會使應用系統暴露出來，賬號跟口令容易被破解，并且如果應用系統有漏洞也容易被攻擊或繞過驗證直接進入應用系統。

四、很多應用系統都有記住密碼的功能，方便用戶的同時也容易被其他人輕而易舉的進入應用系統。

五、用戶登入應用系統后，因事離開或沒有完整退出應用系統，也容易產生泄密的隱患。

有鑒于此，本發明人專門設計了一種應用系統的安全訪問方法，本案由此產生。

技術實現要素：

本發明的目的在于提供一種應用系統的安全訪問方法，其通過多重保障訪問：終端認證、用戶登錄、權限驗證以及數據加密交互，能夠有效地限制使用該應用系統的計算機，防止非法訪問，確保應用系統的安全性，保障數據的安全性。

為了實現上述目的，本發明采用的技術方案為：

一種應用系統的安全訪問方法，所述方法提供一個網關服務器LdNetServer.exe、一個配置服務器LdDataServer.exe以及復數個安全終端，安全訪問方法包括以下步驟：

S01：設置配置服務器的配置數據，通過配置數據對安全終端的用戶身份進行驗證，若用戶身份驗證通過，則執行步驟S02，若用戶身份驗證不通過，則安裝或登錄失敗；

S02：用戶通過安全終端向網關服務器發出加密后的請求數據包；

S03：網關服務器解密請求數據包，解析出安全終端的識別碼及訪問的應用系統名稱，并且調用配置服務器對安全終端訪問該應用系統的權限進行驗證，若權限驗證通過，則執行步驟S04，若權限驗證不通過，則網關服務器拒絕請求，直接丟掉請求數據并關閉連接；

S04：網關服務器將解密后的請求數據包轉發給應用系統，并負責把應用系統返回的數據包加密后返回給安全終端。

優選地，所述配置數據包括安全終端列表、用戶信息列表以及安全終端訪問應用系統的權限列表。

優選地，所述安全終端列表和用戶信息列表均用于供配置服務器對安全終端的用戶身份進行驗證，若安全終端與安全終端列表相匹配，則安裝成功，否則安裝失敗；安裝成功后，若安全終端的用戶身份和口令與用戶信息列表相匹配，則登錄成功，否則登錄失敗。

優選地，所述安全終端訪問應用系統的權限列表用于供網關服務器驗證安全終端訪問應用系統的權限。

本發明能夠有效地限制使用該應用系統的計算機，防止非法訪問，未授權的計算機即使獲得相應應用系統的登陸帳號和密碼，也無法訪問；有效限制訪問應用系統的用戶的身份，防止非法訪問；應用系統真實的地址無需對外開放，避免不必要的惡意攻擊；安全終端具有可控制性，當安全終端電腦丟失時，可以馬上取消該安全終端的合法身份，避免被非法登錄應用系統而引起資料泄露；數據加密傳輸，有效防止機密數據傳輸過程被非法攔截；無需改變用戶操作習慣，整個過濾過程對用戶操作完全透明。

附圖說明

此處所說明的附圖用來提供對本發明的進一步理解，構成本發明的一部分，本發明的示意性實施例及其說明用于解釋本發明，并不構成對本發明的不當限定。在附圖中：

圖1是本發明安全終端身份驗證流程示意圖；

圖2是本發明用戶訪問應用系統流程示意圖。

具體實施方式

為了使本發明所要解決的技術問題、技術方案及有益效果更加清楚、明白，以下結合附圖和實施例，對本發明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅用以解釋本發明，并不用于限定本發明。

如圖1至圖2所示，本發明提供一種應用系統的安全訪問方法，所述方法提供一個網關服務器LdNetServer.exe、一個配置服務器LdDataServer.exe以及復數個安全終端，安全訪問方法包括以下步驟：

S01：設置配置服務器的配置數據，通過配置數據對安全終端的用戶身份進行驗證，若用戶身份驗證通過，則執行步驟S02，若用戶身份驗證不通過，則安裝或登錄失敗；

S02：用戶通過安全終端向網關服務器發出加密后的請求數據包；

S03：網關服務器解密請求數據包，解析出安全終端的識別碼及訪問的應用系統名稱，并且調用配置服務器對安全終端訪問該應用系統的權限進行驗證，若權限驗證通過，則執行步驟S04，若權限驗證不通過，則網關服務器拒絕請求，直接丟掉請求數據并關閉連接；

S04：網關服務器將解密后的請求數據包轉發給應用系統，并負責把應用系統返回的數據包加密后返回給安全終端。

所述配置服務器任務是管理和存儲系統的配置數據，所述配置數據包括安全終端列表、用戶信息列表(包括用戶賬號和密碼等)以及安全終端訪問應用系統的權限列表，所述安全終端列表和用戶信息列表均用于供配置服務器對安全終端的用戶身份進行驗證，若安全終端與安全終端列表相匹配，則安裝成功，否則安裝失敗；安裝成功后，若安全終端的用戶身份和口令與用戶信息列表相匹配，則登錄成功，否則登錄失敗；所述安全終端訪問應用系統的權限列表用于供網關服務器驗證安全終端訪問應用系統的權限，即網關服務器調用配置服務器驗證安全終端訪問應用系統的權限。

具體的，用戶輸入要保護的應用系統地址請求打開應用系統時，若沒有安裝安全終端，即非法接入，網關服務器拒絕請求，用戶打開應用系統失敗；若安裝了安全終端，則其需要通過多重保障訪問：終端認證、用戶登錄、權限驗證以及數據加密交互，才能成功訪問應用系統，確保應用系統的安全性。以下分別對終端認證、用戶登錄、權限驗證以及數據加密交互進行詳細說明：

終端認證即安裝負責攔截和轉發數據包的安全終端時，需由負責驗證和中轉數據包的配置服務器對其進行審批，只有被配置服務器允許的安全終端才能驗證通過并安裝成功；

用戶登錄即安裝成功的安全終端，使用時需要用戶身份和口令驗證，只有驗證通過才允許正常打開安全終端；

權限驗證即用戶在安全終端登錄成功后，通過安全終端訪問應用系統時，安全終端把數據加密后發給網關服務器，網關服務器解密請求數據包，解析出安全終端的識別碼及訪問的應用系統名稱，然后網關服務器調用配置服務器對安全終端訪問該應用系統的權限進行驗證，如果安全終端對該應用系統沒有訪問權限，網關服務器拒絕請求，直接丟掉請求數據并關閉連接，如果安全終端對該應用系統有訪問權限則執行數據加密交互；

數據加密交互即網關服務器將解密后的請求數據包發送給應用系統，并把應用系統返回的數據轉給安全終端，用戶打開應用系統成功，且整個過程對用戶來說完全透明，用戶無法感知過程變化，因為限制應用系統無法直接訪問。

另外，需要說明的是，管理員可以靈活授權或取消授權安全終端使用應用系統的范圍，使得安全終端具有可控制性，當安全終端電腦丟失時，可以馬上取消該安全終端的合法身份，避免被非法登錄應用系統而引起資料泄露。

上述說明示出并描述了本發明的優選實施例，如前所述，應當理解本發明并非局限于本文所披露的形式，不應看作是對其他實施例的排除，而可用于各種其他組合、修改和環境，并能夠在本文所述發明構想范圍內，通過上述教導或相關領域的技術或知識進行改動。而本領域人員所進行的改動和變化不脫離本發明的精神和范圍，則都應在本發明所附權利要求的保護范圍內。