一種跨多級網(wǎng)絡邊界的網(wǎng)絡資源訪問接入控制方法
【專利摘要】本發(fā)明提供了一種跨多級網(wǎng)絡邊界的網(wǎng)絡資源訪問接入控制方法??蛻舳嗽L問內(nèi)網(wǎng)服務,接入控制網(wǎng)關檢測是否帶有有效的已認證信息,如果沒有認證,向客戶端發(fā)起認證請求??蛻舳藦腢SBKEY中讀取用戶的公鑰證書鏈和簽名,提交給接入控制網(wǎng)關,接入控制網(wǎng)關的認證模塊驗證請求的合法性后,驗證用戶簽名的真實性??蛻舳藢尤肟刂凭W(wǎng)關同樣完成認證。有效實現(xiàn)了跨多級網(wǎng)絡域進行資源訪問的用戶和設備的身份鑒別,徹底解決了跨多級網(wǎng)絡域邊界的接入安全性問題。
【專利說明】一種跨多級網(wǎng)絡邊界的網(wǎng)絡資源訪問接入控制方法
【技術領域】
[0001]本發(fā)明涉及一種跨多級網(wǎng)絡邊界的網(wǎng)絡資源訪問接入控制方法,特別是涉及一種適用于在WebNat服務技術和PKI身份認證體系的基礎上,跨多級網(wǎng)絡邊界的網(wǎng)絡資源訪問安全接入控制方法。
【背景技術】
[0002]WebNat服務主要作用在于告知未認證的應用客戶端跳轉到Web認證服務完成與接入控制網(wǎng)關的雙向身份鑒別。
[0003]身份認證技術是鑒別用戶身份,提取用戶身份標識的一種安全技術,是進行權限控制的前提。
[0004]接入控制技術是用于控制用戶訪問行為的一種安全手段??缇W(wǎng)接入控制中所有數(shù)據(jù)都經(jīng)過接入控制網(wǎng)關,由接入控制網(wǎng)關根據(jù)認證通過用戶的IP以及相應的訪問控制列表對流入內(nèi)網(wǎng)的數(shù)據(jù)進行控制。即該接入控制方法通過斷路訪問控制的方式保護需要加固的應用服務。用戶只有通過接入控制網(wǎng)關的身份認證以及相應的授權才能訪問受保護的應用服務。
【發(fā)明內(nèi)容】
[0005]本發(fā)明要解決的技術問題是提供一種將接入控制網(wǎng)關服務器部署在兩個或者多個網(wǎng)絡域的邊界,用于對用戶從一個網(wǎng)絡域訪問另一個網(wǎng)絡域的行為進行控制的,跨多級網(wǎng)絡邊界的網(wǎng)絡資源訪問安全接入控制方法。
[0006]基于PKI體系的身份認證可以作為第三方公共授權機構,使通信雙方能夠確認彼此身份和驗證交互信息?;谠擉w系的公鑰技術,結合其他加密技術,可以開發(fā)出適用于網(wǎng)絡應用安全新需求的雙強因子認證策略,有效地保證數(shù)字簽名和數(shù)字信封的數(shù)據(jù)完整性、數(shù)據(jù)保密性和交易不可否認性。
[0007]本發(fā)明采用的技術方案如下:一種跨多級網(wǎng)絡邊界的網(wǎng)絡資源訪問接入控制方法,具體方法步驟為:步驟一、客戶端訪問內(nèi)網(wǎng)服務時,接入控制網(wǎng)關檢測其是否帶有有效的已認證通過信息,有則進入步驟三,無則進入步驟二向客戶端發(fā)起認證請求,要求客戶端進行認證;步驟二,客戶端從USBKEY中讀取用戶的公鑰證書鏈和簽名,提交給接入控制網(wǎng)關,發(fā)起連接認證請求;三,接入控制網(wǎng)關的認證模塊驗證請求的合法性后,驗證用戶簽名的真實性;
還包括,客戶端對接入控制網(wǎng)關進行身份驗證。
[0008]作為優(yōu)選,所述步驟二中,客戶端的認證方法步驟為:A、客戶端向服務器發(fā)起認證請求;B、服務器下發(fā)隨機數(shù)對客戶端產(chǎn)生挑戰(zhàn);C、客戶端收到隨機數(shù),并用自身私鑰對服務挑戰(zhàn)進行簽名,并連帶自身證書發(fā)給服務器;D、服務器收到客戶端簽名數(shù)據(jù)和證書,并對證書進行有效驗證;E、服務器從有效證書中獲取用戶公鑰,驗證用戶簽名,以確定用戶身份。
[0009]作為優(yōu)選,所述方法還包括:采用路由或網(wǎng)橋模式進行網(wǎng)絡部署。
[0010]作為優(yōu)選,所述方法還包括:對終端用戶和計算機之間進行終端綁定。
[0011]作為優(yōu)選,所述方法還包括:采用WebNat服務對http協(xié)議重定向。
[0012]作為優(yōu)選,所述方法還包括:在接入控制網(wǎng)關內(nèi)設置防火墻模塊。
[0013]作為優(yōu)選,所述方法還包括:認證通過后,系統(tǒng)利用用戶的IP地址以及基于角色的訪問控制策略完成對用戶要訪問的目標地址、網(wǎng)段服務的訪問權限的細粒度控制。
[0014]作為優(yōu)選,所述方法還包括:在認證階段,用戶所有操作都在接入控制網(wǎng)關數(shù)據(jù)庫中形成審計日志。
[0015]與現(xiàn)有技術相比,本發(fā)明的有益效果是:利用WebNat服務技術實現(xiàn)了終端用戶認證行為的自動觸發(fā)以及終端用戶訪問遠端服務應用通信路由的透明性。依照常規(guī)C/S模式,系統(tǒng)由接入控制網(wǎng)關服務器和接入認證客戶端軟件組成,有效實現(xiàn)了跨多級網(wǎng)絡域進行資源訪問的用戶和設備的身份鑒別,徹底解決了跨多級網(wǎng)絡域邊界的接入安全性問題。
【專利附圖】
【附圖說明】
[0016]圖1為本發(fā)明其中一實施例的網(wǎng)關服務器層次示意圖。
【具體實施方式】
[0017]為了使本發(fā)明的目的、技術方案及優(yōu)點更加清楚明白,以下結合附圖及實施例,對本發(fā)明進行進一步詳細說明。應當理解,此處所描述的具體實施例僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
[0018]本說明書(包括任何附加權利要求、摘要和附圖)中公開的任一特征,除非特別敘述,均可被其他等效或者具有類似目的的替代特征加以替換。即,除非特別敘述,每個特征只是一系列等效或類似特征中的一個例子而已。
[0019]如圖1所示,接入控制網(wǎng)關服務器分為三個層次:最上層應用服務層(串口服務、證書認證服務、WebNat服務、Web認證服務等),中間內(nèi)部服務層(管理服務、加密設備服務、策略控制模塊),最底層基礎服務(數(shù)據(jù)庫與加密設備),三層之間下層為上層提供相應的服務。
[0020]一種跨多級網(wǎng)絡域邊界的控制方法,具體方法步驟為:步驟一、客戶端訪問內(nèi)網(wǎng)服務時,接入控制網(wǎng)關檢測其是否帶有有效的已認證通過信息,有則進入步驟三,無則進入步驟二向客戶端發(fā)起認證請求,要求客戶端進行認證;步驟二,客戶端從USBKEY中讀取用戶的公鑰證書鏈和簽名,提交給接入控制網(wǎng)關,發(fā)起連接認證請求;三,接入控制網(wǎng)關的認證模塊驗證請求的合法性后(包括驗證證書的用途是否正確,公鑰是否在有效期內(nèi),認證中心的簽名是否正確,通過CRL黑表查詢驗證證書是否已被吊銷),驗證用戶簽名的真實性;
還包括,客戶端對接入控制網(wǎng)關進行身份驗證。驗證完成后,接入控制網(wǎng)關為用戶頒發(fā)身份票據(jù)。根據(jù)用戶的IP地址結合管理員設定的訪問控制列表決策是否允許客戶端計算機接入安全網(wǎng)絡中。
[0021]利用WebNat服務技術實現(xiàn)了終端用戶認證行為的自動觸發(fā)以及終端用戶訪問遠端服務應用通信路由的透明性。依照常規(guī)C/S模式,系統(tǒng)由接入控制網(wǎng)關服務器和接入認證客戶端軟件組成,有效實現(xiàn)了跨多級網(wǎng)絡域進行資源訪問的用戶和設備的身份鑒別,徹底解決了跨多級網(wǎng)絡域邊界的接入安全性問題。
[0022]無論終端用戶是否已經(jīng)成功完成身份認證,只要其通過IE對應用服務器的資源進行訪問,接入控制網(wǎng)關的WebNat服務將會判斷該終端用戶是否已經(jīng)通過認證,若未認證則告知該未認證終端跳轉至相應的Web認證服務完成與接入控制網(wǎng)關的雙向身份認證。而且,該自動觸發(fā)認證可以在同系列產(chǎn)品中級聯(lián)實現(xiàn)。傳統(tǒng)的接入控制網(wǎng)關在終端用戶訪問服務資源的時候就已經(jīng)假定該終端用戶已經(jīng)通過相應的身份認證,如果該終端用戶在成功認證之前就隨機訪問服務器資源,接入控制網(wǎng)關返回的最有用信息僅僅是“目標地址不可達”,而本發(fā)明基于WebNat服務的重定向功能可以達到自動觸發(fā)用戶認證行為的目的。
[0023]雙向驗證完成后,接入控制網(wǎng)關為用戶頒發(fā)一個與PKI技術和證書相關的身份票據(jù),用戶憑借該票據(jù)可以得到其他符合協(xié)議標準的認證服務設施的信任,從而實現(xiàn)用戶在一個入口登陸后可以無限制地漫游到其它信任域。用戶也可以憑借其他認證服務設施獲取的身份票據(jù)獲得接入控制網(wǎng)關的信任。
[0024]終端用戶一旦通過某一個接入控制網(wǎng)關的認證,和遠端服務器間成功建立連接,該終端用戶就無需關心其和遠端服務器之間的通信路徑,比如:通信路徑上還有多少個接入控制網(wǎng)關、通信路徑上臨時增加或者減少一個或者幾個接入控制網(wǎng)關等情況、網(wǎng)關之間如何完成彼此之間的身份認證。總而言之,終端用戶一旦與接入控制網(wǎng)關成功完成身份認證,就無需知曉訪問遠端服務的詳細路由過程,整個認證過程對終端用戶來說簡單透明。
[0025]所述步驟二中,客戶端的認證方法步驟為:A、客戶端向服務器發(fā)起認證請求;B、服務器下發(fā)隨機數(shù)對客戶端產(chǎn)生挑戰(zhàn);C、客戶端收到隨機數(shù),并用自身私鑰對服務挑戰(zhàn)進行簽名,并連帶自身證書發(fā)給服務器;D、服務器收到客戶端簽名數(shù)據(jù)和證書,并對證書進行有效驗證,驗證包含證書是否在有效期、證書是否被吊銷、證書簽名是否合法、證書頒發(fā)者是否合法等;E、服務器從有效證書中獲取用戶公鑰,驗證用戶簽名,以確定用戶身份。
[0026]在網(wǎng)絡部署方面,支持路由方式部署,也支持網(wǎng)橋模式部署,且網(wǎng)橋模式部署不會改變網(wǎng)絡拓撲結構。
[0027]在本具體實施例中,對終端用戶和計算機之間進行終端綁定,提供終端綁定功能,以確保終端用戶和計算機之間的一一對應關系。
[0028]在本具體實施例中,采用WebNat服務對http協(xié)議重定向,實現(xiàn)用戶的訪問行為自動觸發(fā)身份認證的過程。WebNat服務通過IP地址偽裝和認證頁面跳轉技術,可以即時告知未認證的應用客戶端跳轉到Web認證服務完成與接入控制網(wǎng)關的雙向身份鑒別。
[0029]在本具體實施例中:在接入控制網(wǎng)關內(nèi)設置防火墻模塊,認證過程對終端用戶簡單透明,用戶感覺不到一級或者多級接入控制網(wǎng)關的存在。普通的路由技術要求設備兩端的網(wǎng)絡必須位于不同的網(wǎng)段,帶來的問題是每添加一臺路由設備,網(wǎng)絡拓撲都要發(fā)生變化,也即相應網(wǎng)絡中終端用戶機需要更改網(wǎng)關、路由器要更改路由配置等等。透明接入技術完全克服了上述種種缺陷,實現(xiàn)一個防火墻,對經(jīng)過該防火墻的數(shù)據(jù)進行過濾,而且對終端用戶和路由器是完全透明的。
[0030]認證通過后,系統(tǒng)利用用戶的IP地址以及基于角色的訪問控制策略完成對用戶要訪問的目標地址、網(wǎng)段服務的訪問權限的細粒度控制。
[0031]系統(tǒng)管理方面,采用職責明確的“三員分立”(系統(tǒng)管理員,安全員和審計員,三者職責分明)管理模式,同時,在認證階段,用戶所有操作都在接入控制網(wǎng)關數(shù)據(jù)庫中形成審計日志,對用戶的接入訪問行為和管理員的管理行為進行必要的審計,為事后的審計提供必要的依據(jù)。
【權利要求】
1.一種跨多級網(wǎng)絡邊界的網(wǎng)絡資源訪問接入控制方法,具體方法步驟為:步驟一、客戶端訪問內(nèi)網(wǎng)服務時,接入控制網(wǎng)關檢測其是否帶有有效的已認證通過信息,有則進入步驟三,無則進入步驟二向客戶端發(fā)起認證請求,要求客戶端進行認證;步驟二,客戶端從USBKEY中讀取用戶的公鑰證書鏈和簽名,提交給接入控制網(wǎng)關,發(fā)起連接認證請求;三,接入控制網(wǎng)關的認證模塊驗證請求的合法性后,驗證用戶簽名的真實性; 還包括,客戶端對接入控制網(wǎng)關進行身份驗證。
2.根據(jù)權利要求1所述的所述的網(wǎng)絡資源訪問接入控制方法,步驟二中,客戶端的認證方法步驟為:A、客戶端向服務器發(fā)起認證請求;B、服務器下發(fā)隨機數(shù)對客戶端產(chǎn)生挑戰(zhàn);C、客戶端收到隨機數(shù),并用自身私鑰對服務挑戰(zhàn)進行簽名,并連帶自身證書發(fā)給服務器;D、服務器收到客戶端簽名數(shù)據(jù)和證書,并對證書進行有效驗證;E、服務器從有效證書中獲取用戶公鑰,驗證用戶簽名,以確定用戶身份。
3.根據(jù)權利要求2所述的所述的網(wǎng)絡資源訪問接入控制方法,所述方法還包括:采用路由或網(wǎng)橋模式進行網(wǎng)絡部署。
4.根據(jù)權利要求2所述的所述的網(wǎng)絡資源訪問接入控制方法,所述方法還包括:對終端用戶和計算機之間進行終端綁定。
5.根據(jù)權利要求2所述的所述的網(wǎng)絡資源訪問接入控制方法,所述方法還包括:采用WebNat服務對http協(xié)議重定向。
6.根據(jù)權利要求2所述的所述的網(wǎng)絡資源訪問接入控制方法,所述方法還包括:在接入控制網(wǎng)關內(nèi)設置防火墻模塊。
7.根據(jù)權利要求2所述的所述的網(wǎng)絡資源訪問接入控制方法,所述方法還包括:認證通過后,系統(tǒng)利用用戶的IP地址以及基于角色的訪問控制策略完成對用戶要訪問的目標地址、網(wǎng)段服務的訪問權限的細粒度控制。
8.根據(jù)權利要求2所述的所述的網(wǎng)絡資源訪問接入控制方法,所述方法還包括:在認證階段,用戶所有操作都在接入控制網(wǎng)關數(shù)據(jù)庫中形成審計日志。
【文檔編號】H04L29/06GK104468532SQ201410659774
【公開日】2015年3月25日 申請日期:2014年11月19日 優(yōu)先權日:2014年11月19日
【發(fā)明者】吳榮政, 方鳴睿, 汪士兵, 楊宇, 劉小華, 邢朝陽, 秦凱, 原蓓蓓 申請人:成都衛(wèi)士通信息安全技術有限公司