一種基于vpn網(wǎng)關(guān)的單點(diǎn)登錄系統(tǒng)及方法
【專利摘要】本發(fā)明提供了一種基于VPN網(wǎng)關(guān)的單點(diǎn)登錄系統(tǒng)及方法。VPN網(wǎng)關(guān)提供用戶自主配置單點(diǎn)登錄用戶信息的引導(dǎo),并驗(yàn)證其正確性的基礎(chǔ)上自動(dòng)綁定用戶信息,實(shí)現(xiàn)用戶對資源單點(diǎn)登錄請求的方法。該方法彌補(bǔ)了普通單點(diǎn)登錄的不足,減少管理員相關(guān)配置與管理工作量的同時(shí),確保用戶對其單點(diǎn)登錄信息配置與綁定的正確性,保證單點(diǎn)登錄的完備性。
【專利說明】一種基于VPN網(wǎng)關(guān)的單點(diǎn)登錄系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種基于VPN網(wǎng)關(guān)的單點(diǎn)登錄系統(tǒng)及方法,特別是涉及一種適用于基于VPN網(wǎng)關(guān)的終端用戶對資源發(fā)起單點(diǎn)登錄請求的單點(diǎn)登錄系統(tǒng)及方法。
【背景技術(shù)】
[0002]單點(diǎn)登錄技術(shù)是在通過VPN客戶端認(rèn)證成功后,用戶請求訪問受VPN網(wǎng)關(guān)保護(hù)且支持單點(diǎn)登錄的后臺(tái)應(yīng)用時(shí),VPN網(wǎng)關(guān)通過匹配的單點(diǎn)登錄用戶信息重新組裝用戶訪問請求數(shù)據(jù)包,以實(shí)現(xiàn)對后臺(tái)應(yīng)用的自動(dòng)認(rèn)證,而無需用戶再次填寫用戶信息。
[0003]自動(dòng)綁定用戶信息技術(shù)是當(dāng)未配置后臺(tái)應(yīng)用認(rèn)證信息的用戶初次請求單點(diǎn)登錄資源時(shí),VPN網(wǎng)關(guān)在引導(dǎo)用戶填寫其資源認(rèn)證信息并以此信息作為單點(diǎn)登錄認(rèn)證信息驗(yàn)證信息正確性后,將其用戶信息與匹配的單點(diǎn)登錄資源進(jìn)行綁定,實(shí)現(xiàn)用戶對其單點(diǎn)登錄信息的自動(dòng)配置。
[0004]身份認(rèn)證技術(shù)是鑒別用戶身份,提取用戶身份標(biāo)識的一種安全技術(shù),是進(jìn)行權(quán)限控制的前提。VPN網(wǎng)關(guān)利用身份認(rèn)證技術(shù)對用戶身份進(jìn)行鑒別,從認(rèn)證信息中提取用戶身份標(biāo)識用于網(wǎng)關(guān)對用戶訪問應(yīng)用的權(quán)限控制。
[0005]訪問控制技術(shù)是用于控制用戶訪問行為的一種安全手段。
[0006]VPN網(wǎng)關(guān)系統(tǒng)通過斷路訪問控制的方式保護(hù)需要加固的應(yīng)用系統(tǒng)。用戶只有通過網(wǎng)關(guān)的身份認(rèn)證才能訪問受VPN網(wǎng)關(guān)保護(hù)的應(yīng)用服務(wù)。支持單點(diǎn)登錄的普通VPN網(wǎng)關(guān)系統(tǒng)只有在管理員為用戶配置了資源訪問的單點(diǎn)登錄認(rèn)證信息后,當(dāng)用戶請求匹配資源能實(shí)現(xiàn)用戶對其的單點(diǎn)登錄。但是,對于未配置用戶信息的單點(diǎn)登錄請求則無法引導(dǎo)用戶對其認(rèn)證信息進(jìn)行配置,進(jìn)而不支持用戶在此種應(yīng)用情景的單點(diǎn)登錄。
【發(fā)明內(nèi)容】
[0007]本發(fā)明要解決的技術(shù)問題是提供一種基于VPN網(wǎng)關(guān)的,未配置認(rèn)證信息的用戶實(shí)現(xiàn)資源單點(diǎn)登錄的系統(tǒng)及方法。
[0008]本發(fā)明采用的技術(shù)方案如下:一種基于VPN網(wǎng)關(guān)的單點(diǎn)登錄系統(tǒng),其特征在于:包括
VPN網(wǎng)關(guān)身份認(rèn)證模塊,對用戶進(jìn)行身份認(rèn)證;
后臺(tái)資源訪問請求模塊,接收用戶的訪問請求;
單點(diǎn)登錄認(rèn)證信息配置判斷模塊,判斷管理員是否為該用戶配置了針對請求資源的單點(diǎn)登錄認(rèn)證信息;
資源單點(diǎn)登錄信息輸入模塊,接收用戶針對該資源輸入的登錄信息并提交至VPN網(wǎng)關(guān);
用戶信息解析模塊,解析用戶輸入的登錄信息;
單點(diǎn)登錄請求模塊,利用捕獲的用戶信息對該資源發(fā)起單點(diǎn)登錄請求;
單點(diǎn)登錄業(yè)務(wù)跳轉(zhuǎn)模塊,單點(diǎn)登錄請求不成功時(shí),將頁面跳轉(zhuǎn)至資源單點(diǎn)登錄信息輸入頁面的模塊;
用戶信息記錄模塊,單點(diǎn)登錄請求成功時(shí),將單點(diǎn)登錄請求成功的用戶信息填寫至相關(guān)表單中。
[0009]一種基于VPN網(wǎng)關(guān)的單點(diǎn)登錄方法,其方法為:當(dāng)未配置后臺(tái)應(yīng)用認(rèn)證信息的用戶初次請求單點(diǎn)登錄資源時(shí),VPN網(wǎng)關(guān)在引導(dǎo)用戶填寫其資源認(rèn)證信息并以此作為單點(diǎn)登錄認(rèn)證信息來驗(yàn)證信息配置正確后,將其用戶信息保存至單點(diǎn)登錄用戶信息表單中,實(shí)現(xiàn)用戶對其單點(diǎn)登錄用戶信息的自動(dòng)配置與綁定。
[0010]作為優(yōu)選,具體方法步驟為:步驟一、用戶啟動(dòng)VPN客戶端,出示用于認(rèn)證的憑證并與VPN網(wǎng)關(guān)進(jìn)行身份認(rèn)證,身份認(rèn)證通過則進(jìn)入下一步;步驟二、用戶通過網(wǎng)頁瀏覽器對支持后臺(tái)資源發(fā)起訪問請求;步驟三、VPN網(wǎng)關(guān)判斷管理員是否為其配置針對該資源的單點(diǎn)登錄信息,是則用配置的用戶信息實(shí)現(xiàn)對請求資源的單點(diǎn)登錄,否則執(zhí)行下一步;步驟四、用戶向VPN網(wǎng)關(guān)提交針對該資源的單點(diǎn)登錄認(rèn)證信息;步驟五、解析步驟四中的提交的單點(diǎn)登錄信息,并通過填充捕獲的用戶信息對該資源發(fā)起單點(diǎn)登錄請求,請求成功則將單點(diǎn)登錄信息轉(zhuǎn)發(fā)至瀏覽器,并將該用戶信息填寫至相關(guān)表單中,否則返回步驟四提示用戶繼續(xù)輸入正確的用戶信息。
[0011]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是:不僅支持普通單點(diǎn)登錄的,更能以自動(dòng)綁定用戶認(rèn)證信息的方法實(shí)現(xiàn)未配置認(rèn)證信息的用戶對資源的單點(diǎn)登錄的請求。
【具體實(shí)施方式】
[0012]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合實(shí)施例,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
[0013]本說明書(包括任何附加權(quán)利要求、摘要)中公開的任一特征,除非特別敘述,均可被其他等效或者具有類似目的的替代特征加以替換。即,除非特別敘述,每個(gè)特征只是一系列等效或類似特征中的一個(gè)例子而已。
[0014]本發(fā)明公開了安全網(wǎng)關(guān)展現(xiàn)在管理員未配置用戶單點(diǎn)登錄信息情況下,VPN網(wǎng)關(guān)提供用戶自主配置單點(diǎn)登錄用戶信息的引導(dǎo),并驗(yàn)證其正確性的基礎(chǔ)上自動(dòng)綁定用戶信息,實(shí)現(xiàn)用戶對資源單點(diǎn)登錄請求的方法。該方法彌補(bǔ)了普通單點(diǎn)登錄的不足,減少管理員相關(guān)配置與管理工作量的同時(shí),確保用戶對其單點(diǎn)登錄信息配置與綁定的正確性,保證單點(diǎn)登錄的完備性。VPN網(wǎng)關(guān)部署在支持單點(diǎn)登錄后臺(tái)應(yīng)用系統(tǒng)與VPN客戶端之間,起斷路式訪問控制的作用。
[0015]在本具體實(shí)施例中,用戶請求單點(diǎn)登錄資源訪問的流程及方法如下:
一、用戶啟動(dòng)VPN客戶端軟件;二、用戶出示用于認(rèn)證的憑證,并與VPN網(wǎng)關(guān)進(jìn)行身份認(rèn)證;三、用戶通過網(wǎng)頁瀏覽器對支持后臺(tái)資源發(fā)起訪問請求;四、VPN網(wǎng)關(guān)判斷是否為其配置針對該資源的單點(diǎn)登錄信息,如果未配置則順序執(zhí)行,否則用配置的用戶信息實(shí)現(xiàn)對請求資源的單點(diǎn)登錄;五、在終端上彈出用戶賬號及口令輸入框,提示用戶輸入針對該資源的單點(diǎn)登錄信息,并提交至VPN網(wǎng)關(guān);六、VPN網(wǎng)關(guān)利用捕獲的用戶信息對該資源發(fā)起單點(diǎn)登錄請求,如請求成功則將其請求結(jié)果轉(zhuǎn)發(fā)至客戶端,并將該用戶信息填寫至相關(guān)表單中;否則跳轉(zhuǎn)至第五步提醒用戶輸入正確的用戶信息。
[0016]本發(fā)明不限定VPN網(wǎng)關(guān)系統(tǒng)具體形式。在本發(fā)明中,不限定具體的單點(diǎn)登錄發(fā)起方式。VPN網(wǎng)關(guān)利用用戶的身份標(biāo)識根據(jù)訪問控制對支持單點(diǎn)登錄資源訪問請求進(jìn)行權(quán)限裁決。當(dāng)用戶訪問請求通過權(quán)限裁決后,若未為其配置單點(diǎn)登錄認(rèn)證信息時(shí),VPN網(wǎng)關(guān)則采用自動(dòng)綁定用戶信息的方式引導(dǎo)用戶對其進(jìn)行正確地配置,然后再利用其認(rèn)證信息實(shí)現(xiàn)對訪問資源的單點(diǎn)登錄。
[0017]本發(fā)明不僅支持普通單點(diǎn)登錄的,更能以自動(dòng)綁定用戶信息的方法實(shí)現(xiàn)未配置認(rèn)證信息的用戶對資源的單點(diǎn)登錄的請求。自動(dòng)綁定用戶信息模塊在確保了用戶信息的正確性后,再對其進(jìn)行保存與綁定。既支持用戶通過VPN客戶端以C/S模式認(rèn)證后發(fā)起對資源的單點(diǎn)登錄請求,也支持以B/S的方式通過認(rèn)證后發(fā)起單點(diǎn)登錄請求。支持HTTP協(xié)議的Post、Get、Basic的三種認(rèn)證方法的單點(diǎn)登錄。減少管理員對用戶單點(diǎn)登錄綁定信息的配置與管理工作量。
[0018]可基于不同的認(rèn)證因子、不同的認(rèn)證協(xié)議、不同的認(rèn)證場景(B/S或C/S)實(shí)現(xiàn)對用戶身份的認(rèn)證;能夠基于VPN安全通道代理用戶訪問部署在VPN網(wǎng)關(guān)后的應(yīng)用系統(tǒng);能夠?qū)τ脩粼L問應(yīng)用系統(tǒng)的權(quán)限進(jìn)行控制;集成單點(diǎn)登錄程序和自動(dòng)綁定用戶信息模塊,能夠支持配置有單點(diǎn)登錄認(rèn)證信息的用戶發(fā)起對支持單點(diǎn)登錄的后臺(tái)應(yīng)用的正常認(rèn)證與訪問的同時(shí),還能支持未配置認(rèn)證信息的用戶通過自動(dòng)綁定用戶信息的方法實(shí)現(xiàn)其對單點(diǎn)登錄后臺(tái)應(yīng)用的認(rèn)證與訪問。所述的VPN網(wǎng)關(guān)接收來自于VPN網(wǎng)關(guān)客戶端軟件的認(rèn)證請求,根據(jù)客戶端出示的不同認(rèn)證因子對用戶進(jìn)行身份認(rèn)證。認(rèn)證成功后VPN網(wǎng)關(guān)與VPN網(wǎng)關(guān)客戶端軟件建立安全通道。當(dāng)用戶通過VPN客戶端訪問應(yīng)用系統(tǒng)時(shí),VPN網(wǎng)關(guān)根據(jù)用戶的身份標(biāo)識和所需訪問應(yīng)用系統(tǒng)標(biāo)識的匹配關(guān)系判斷用戶是否有訪問應(yīng)用系統(tǒng)的權(quán)限,如果有權(quán)訪問,則基于VPN安全通道代理用戶訪問應(yīng)用系統(tǒng),反之則拒絕用戶的訪問請求。當(dāng)用戶訪問請求的是VPN網(wǎng)關(guān)端配置的單點(diǎn)登錄資源時(shí),若未為其配置單點(diǎn)登錄認(rèn)證信息時(shí),VPN網(wǎng)關(guān)則采用自動(dòng)綁定用戶信息的方式引導(dǎo)用戶對其進(jìn)行配置,然后再利用其認(rèn)證信息實(shí)現(xiàn)對訪問資源的單點(diǎn)登錄。
【權(quán)利要求】
1.一種基于VPN網(wǎng)關(guān)的單點(diǎn)登錄系統(tǒng),其特征在于:包括 VPN網(wǎng)關(guān)身份認(rèn)證模塊,對用戶進(jìn)行身份認(rèn)證; 后臺(tái)資源訪問請求模塊,接收用戶的訪問請求; 單點(diǎn)登錄認(rèn)證信息配置判斷模塊,判斷管理員是否為該用戶配置了針對請求資源的單點(diǎn)登錄認(rèn)證信息; 資源單點(diǎn)登錄信息輸入模塊,接收用戶針對該資源輸入的登錄信息并提交至VPN網(wǎng)關(guān); 用戶信息解析模塊,解析用戶輸入的登錄信息; 單點(diǎn)登錄請求模塊,利用捕獲的用戶信息對該資源發(fā)起單點(diǎn)登錄請求; 單點(diǎn)登錄業(yè)務(wù)跳轉(zhuǎn)模塊,單點(diǎn)登錄請求不成功時(shí),將頁面跳轉(zhuǎn)至資源單點(diǎn)登錄信息輸入頁面的模塊; 用戶信息記錄模塊,單點(diǎn)登錄請求成功時(shí),將單點(diǎn)登錄請求成功的用戶信息填寫至相關(guān)表單中。
2.基于權(quán)利要求1所述的基于VPN網(wǎng)關(guān)的單點(diǎn)登錄系統(tǒng)的單點(diǎn)登錄方法,其方法為:當(dāng)未配置后臺(tái)應(yīng)用認(rèn)證信息的用戶初次請求單點(diǎn)登錄資源時(shí),VPN網(wǎng)關(guān)在引導(dǎo)用戶填寫其資源認(rèn)證信息并以此作為單點(diǎn)登錄認(rèn)證信息來驗(yàn)證信息配置正確后,將其用戶信息保存至單點(diǎn)登錄用戶信息表單中,實(shí)現(xiàn)用戶對其單點(diǎn)登錄用戶信息的自動(dòng)配置與綁定。
3.根據(jù)權(quán)利要求2所述的單點(diǎn)登錄方法,具體方法步驟為:步驟一、用戶啟動(dòng)VPN客戶端,出示用于認(rèn)證的憑證并與VPN網(wǎng)關(guān)進(jìn)行身份認(rèn)證,身份認(rèn)證通過則進(jìn)入下一步;步驟二、用戶通過網(wǎng)頁瀏覽器對支持后臺(tái)資源發(fā)起訪問請求;步驟三、VPN網(wǎng)關(guān)判斷管理員是否為其配置針對該資源的單點(diǎn)登錄信息,是則用配置的用戶信息實(shí)現(xiàn)對請求資源的單點(diǎn)登錄,否則執(zhí)行下一步;步驟四、用戶向VPN網(wǎng)關(guān)提交針對該資源的單點(diǎn)登錄信息;步驟五、解析步驟四中的提交的單點(diǎn)登錄信息,并通過填充捕獲的用戶信息對該資源發(fā)起單點(diǎn)登錄請求,請求成功則將單點(diǎn)登錄信息轉(zhuǎn)發(fā)至瀏覽器,并將該用戶信息填寫至相關(guān)表單中,否則返回步驟四提示用戶繼續(xù)輸入正確的用戶信息。
【文檔編號】H04L29/08GK104333557SQ201410659382
【公開日】2015年2月4日 申請日期:2014年11月19日 優(yōu)先權(quán)日:2014年11月19日
【發(fā)明者】邢朝陽, 方鳴睿, 汪仕兵, 楊宇, 劉小華, 秦凱 申請人:成都衛(wèi)士通信息安全技術(shù)有限公司