CN103746995A - 用于安全网络的用户管控方法及系统 - Google Patents
用于安全网络的用户管控方法及系统 Download PDFInfo
- Publication number
- CN103746995A CN103746995A CN201410007778.5A CN201410007778A CN103746995A CN 103746995 A CN103746995 A CN 103746995A CN 201410007778 A CN201410007778 A CN 201410007778A CN 103746995 A CN103746995 A CN 103746995A
- Authority
- CN
- China
- Prior art keywords
- user
- application server
- server
- compartment wall
- intranet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 230000005540 biological transmission Effects 0.000 claims description 2
- 238000001514 detection method Methods 0.000 claims description 2
- 238000012544 monitoring process Methods 0.000 abstract description 9
- 230000006855 networking Effects 0.000 abstract description 7
- 238000013475 authorization Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 4
- 238000010168 coupling process Methods 0.000 description 4
- 238000005859 coupling reaction Methods 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000000178 monomer Substances 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
一种用于安全网络的用户管控方法,包括如下步骤:对安全网络的防火墙配置用户-服务器二维表;防火墙在检测到有用户请求通过防火墙进入内网时,对用户进行内网准入认证;防火墙在判断用户通过内网准入认证后,允许用户登录到内网应用服务器,并检测是否接收到认证信息;如果是,则查询用户-服务器二维表以判断用户是否具有权限访问内网应用服务器;如果防火墙通过认证服务器判断用户具有权限访问内网应用服务器,则通知内网应用服务器用户认证通过;内网应用服务器允许用户进行访问。本发明还提出一种用于安全网络的用户管控系统。本发明不仅可以调高网络监控的精细度,提高网络安全,而且可以降低组网成本。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种用于安全网络的用户管控方法及用于安全网络的用户管控系统。
背景技术
当前网络中对用户身份进行认证通常采用多级认证方式,对于人员工控采用交叉无序认证,也就是第一个用户认证通过后,后续的认证完全独立进行认证,与第一个用户无法进行关联,此种情况的出现会给管理监控带来漏洞。例如第一个人获取了访问内网的用户权限,但是此用户并没有访问内网指定服务器的权限,但是此人通过其他手段获取了访问此指定服务器的权限后,就可以继续登录此服务器,此种情况在生活中非常常见。例如有的时候有些人需要临时登录一下服务器,则在另一个人的监视下,指定的用户登录认证是可以的,但如果这个人到另一个人地方,不在有权限的人的监视下自己利用之前了解到的账号登录服务器,则会导致安全问题。
为解决上述问题,现有技术采用以下解决方案:
现有技术一:每个认证网络层独立的对用户进行认证,认证都是无序的,只需要用户在需要认证的时候输入正确的用户名密码就可以通过认证。
现有技术二:对用户进行私有IP地址绑定,采用路由的方式进行用户访问的控制,物理层面禁止其对指定物理服务器进行访问。
上述现有技术存在以下缺陷:用户实现单体认证,此方式的认证也就是对用户进行交叉无序管理,安全隐患不言而喻。并且无法联动监控,对设备进行路由隔离的方式,缺点在于对用户不同级别的同一个路由用户无法区分和引导,这是因为四层业务的不同不能通过路由简单的区分开来,所以当前的两种方式都存在一定问题,其中包括安全问题和应用场景问题。
发明内容
本发明的一个目的是提供一种用于安全网络的用户管控方法,该方法对用户在防火墙上经过两层认证,包括用户通过防火墙进入内网时的内网准入认证,以及在用户登录到内网后,如果内网应用服务器需要认证,则内网应用服务器将认证信息转发至防火墙,由防火墙代理到认证服务器进行认证。该方法不仅可以调高网络监控的精细度,提高网络安全,而且可以降低组网成本。
本发明的另一个目的是提供一种用于安全网络的用户管控系统,该系统通过防火墙、内网应用服务器和认证服务器的协同工作,对用户在防火墙上经过两层认证,从而可以调高网络监控的精细度、网络安全性,而且可以降低组网成本。
为实现上述目的,本发明一方面的实施例提供一种用于安全网络的用户管控方法,包括如下步骤:
对所述安全网络的防火墙配置用户-服务器二维表,其中,所述用户-服务器二维表存储有多组用户名属性功能列表;
所述防火墙在检测到有用户请求通过所述防火墙进入内网时,对所述用户进行内网准入认证;
所述防火墙在判断所述用户通过内网准入认证后,允许所述用户登录到内网应用服务器,并检测是否接收到来自所述内网应用服务器的所述用户的认证信息;
如果所述防火墙接收到所述内网应用服务器转发的所述用户的认证信息,则查询所述用户-服务器二维表以判断所述用户是否具有权限访问所述内网应用服务器;
如果所述防火墙通过认证服务器判断所述用户具有权限访问所述内网应用服务器,则通知所述内网应用服务器所述用户认证通过;
所述内网应用服务器允许所述用户进行访问。
根据本发明的一个方面,所述内网应用服务器转发的所述用户的所述认证信息包括所述用户当前使用的用户名。
根据本发明的另一个方面,每组所述用户名属性功能列表包括用户名和所述用户名有权限访问的服务器名称。
根据本发明的又一方面,所述防火墙查询所述用户-服务器二维表以判断所述用户是否具有权限访问所述内网应用服务器,包括如下步骤:
所述防火墙查询所述用户-服务器二维表,判断所述用户的当前使用的用户名是否正确;
如果是,则将所述用户名和对应的密码转发至认证服务器;
所述认证服务器对所述用户名和对应的密码进行认证以判断所述用户是否具有权限访问所述内网应用服务器。
根据本发明的一个方面,所述防火墙判断所述用户的当前使用的用户名是否正确,包括如下步骤:判断所述内网应用服务器的名称与所述用户当前使用的用户名是否对应,如果是,则判断当前使用的用户名正确。
根据本发明的另一个方面,还包括如下步骤:
所述认证服务器在判断所述用户名和对应的密码认证失败后,取消所述用户认证并通知所述防火墙认证失败;
所述防火墙进一步通知所述内网应用服务器所述用户的认证失败,所述内网应用服务器禁止所述用户进行访问。
根据本发明的用于安全网络的用户管控方法,该方法在防火墙上将两个认证进行关联,即将用户可以认证的内网应用服务器与用户进行绑定,对用户进行二次认证。本发明将用户的内网登录账户和内网应用服务器登录账户进行绑定,即在不是此人授权的情况下登录内网应用服务器,即使用户名密码正确,也会返回授权错误,从而不仅可以调高网络监控的精细度,提高网络安全,而且可以达到安全可控的目的并且降低了组网成本。
本发明另一方面的实施例提出一种用于安全网络的用户管控系统,包括:防火墙、内网应用服务器和认证服务器,所述防火墙用于在检测到有用户请求通过所述防火墙进入内网时,对所述用户进行内网准入认证,以及在判断所述用户通过内网准入认证后,允许所述用户登录到内网应用服务器,并检测是否接收到来自所述内网应用服务器的所述用户的认证信息,如果接收到所述认证信息,则查询所述用户-服务器二维表,判断所述用户的当前使用的用户名是否正确,如果正确,则向所述认证服务器发送所述用户名和对应的密码,以及将所述认证服务器返回的认证结果通知所述内网应用服务器,其中所述防火墙上配置有用户-服务器二维表,其中,所述用户-服务器二维表存储有多组用户名属性功能列表;所述内网应用服务器用于在检测到所述用户的访问请求时,向所述防火墙发送所述用户的认证信息,以及在接收到所述防火墙发送的认证通过消息时,允许所述用户进行访问;所述认证服务器用于对所述用户名和对应的密码进行认证以判断所述用户是否具有权限访问所述内网应用服务器,并将认证结果通知所述防火墙。
根据本发明的一个方面,所述内网应用服务器转发的所述用户的所述认证信息包括所述用户当前使用的用户名。
根据本发明的另一个方面,每组所述用户名属性功能列表包括用户名和所述用户名有权限访问的服务器名称。
根据本发明的又一个方面,所述防火墙判断所述内网应用服务器的名称与所述用户当前使用的用户名是否对应,如果是则判断所述当前使用的用户名正确。
根据本发明的用于安全网络的用户管控系统,该系统在防火墙上将两个认证进行关联,即将用户可以认证的内网应用服务器与用户进行绑定,对用户进行二次认证。本发明将用户的内网登录账户和内网应用服务器登录账户进行绑定,即在不是此人授权的情况下登录内网应用服务器,即使用户名密码正确,也会返回授权错误,从而不仅可以调高网络监控的精细度,提高网络安全,而且可以达到安全可控的目的并且降低了组网成本。
附图说明
图1是根据本发明第一实施方式的用于安全网络的用户管控方法的流程图;
图2是根据本发明第二实施方式的用于安全网络的用户管控方法的流程图;
图3示意性地示出用于安全网络的用户管控系统的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
本发明的第一实施方式提出一种用于安全网络的用户管控方法的流程图。需要说明的是,在本发明的用于安全网络的用户管控方法中,在下一代防火墙上设置一个认证服务器的认证代理功能,从而将内网应用服务器需要进行用户第三方服务器认证的认证设备均挂接在下一代防火墙的DMZ(Demilitarized Zone,隔离区)区域。
图1是根据本发明第一实施方式的用于安全网络的用户管控方法的流程图。
如图1所示,本发明第一实施方式提供的用于安全网络的用户管控方法,包括如下步骤:
步骤S1:对安全网络的防火墙配置用户-服务器二维表。
具体地,用户-服务器二维表中存储有多组用户名属性功能列表。其中,每组用户名属性功能列表包括用户名和用户名有权限访问的服务器名称。
步骤S2:防火墙在检测到有用户请求通过防火墙进入内网时,对上述用户进行内网准入认证。
具体地,用户请求通过防火墙进入内网时,防火墙需要对请求的用户进行一次内网准入认证,这是防火墙对用户的第一次认证。
步骤S3:防火墙在判断用户通过内网准入认证后,允许用户登录到内网应用服务器,并检测是否接收到来自上述内网应用服务器的用户的认证信息。
防火墙在判断用户通过步骤S2中的内网准入认证后,则允许用户登录到内网应用服务器。其中,内网应用服务器可以为邮件服务器。
用户登录到内网应用服务器后,内网应用服务器如果需要对用户进行认证,则内网应用服务器会向防火墙发送该用户的认证信息。
在本发明的一个实施例中,内网应用服务器转发的用户的认证信息包括请求登录的用户当前使用的用户名。
防火墙检测是否接收到来自上述内网应用服务器的用户的认证信息。
换言之,当防火墙的内网应用服务器需要认证时,则需要将认证的路由引入回到防火墙上。
步骤S4:如果防火墙接收到内网应用服务器转发的用户的认证信息,则查询步骤S1中配置的用户-服务器二维表以判断用户是否具有权限访问内网应用服务器。
如果防火墙检测到内网应用服务器转发的用户的认证信息,则由防火墙代理到认证服务器进行认证。即,防火墙对内网应用服务器的认证信息再次进行认证转发,此时会对认证进行二元匹配。
具体地,防火墙查询用户-服务器二维表以判断用户是否具有权限访问内网应用服务器,包括如下步骤:
步骤S41:防火墙查询用户-服务器二维表,根据上述用户-服务器二维表判断用户的当前使用的用户名是否正确。
具体地,防火墙根据用户-服务器二维表判断内网应用服务器的名称与用户当前使用的用户名是否对应。
步骤S42:如果是,则防火墙判断当前使用的用户名正确,将用户名和对应的密码转发至认证服务器。
步骤S43:认证服务器对用户名和对应的密码进行认证以判断用户是否具有权限访问内网应用服务器。
具体地,认证服务器对用户名和对应的密码进行匹配,如果匹配成功,则判断用户具有权限访问内网应用服务器,否则判断用户不具有权限访问内网应用服务器。认证服务器将上述认证结果反馈给防火墙。
步骤S5:如果防火墙通过认证服务器判断用户具有权限访问内网应用服务器,则通知内网应用服务器用户认证通过。
防火墙在接收到认证服务器的认证结果后,对认证结果进行分析,如果判断用户具有权限访问内网应用服务器,则通知内网应用服务器用户认证通过。
步骤S6:内网应用服务器允许用户进行访问。
内网应用服务器在接收到防火墙发出的认证通过的通知后,则允许用户对内网应用服务器进行访问。
图2是根据本发明第二实施方式的用于安全网络的用户管控方法的流程图。
如图2所示,在认证服务器在判断用户不具有权限登录内网应用服务器时,在步骤S4之后进一步包括如下步骤:
步骤S7:认证服务器在判断用户名和对应的密码认证失败后,取消用户认证并通知防火墙认证失败。
认证服务器在判断用户名和对应的密码认证失败后,取消用户认证,并向防火墙发出认证失败的认证结果。
步骤S8:防火墙进一步通知内网应用服务器用户的认证失败,内网应用服务器禁止用户进行访问。
防火墙在接收到上述认证结果后,分析出用户的认证失败,则将该认证失败的消息进一步通知给内网应用服务器。
内网应用服务器在接收到防火墙的认证失败通知后,禁止用户访问内网应用服务器。
综上,在本发明提供的用于安全网络的用户管控方法中,用户在防火墙上共会经过两层认证:
第一层:用户通过防火墙进入内网时,需要一次用户的内网准入认证。
第二层:用户登录到内网后,如果内网应用服务器需要认证,则内网应用服务器将认证信息转发至防火墙,由防火墙代理到认证服务器进行认证。
这两次认证均经过了防火墙,则在防火墙上将两个认证进行关联,即将用户可以认证的内网应用服务器与用户进行绑定。具体地,当用户第一次认证通过后,内网应用服务器向防火墙发送二次认证信息,如果防火墙发现此用户并没有该内网应用服务器的认证权限,则在二次认证的认证服务器前就可以将用户认证取消,从而达到二次认证安全防护的目的。
下面结合具体示例对本发明的用于安全网络的用户管控方法进行描述。
具体地,在下一代网络防火墙上对访问内网用户配置用户-服务器二维表,该表记录了指定用户可以访问的用户名属性功能列表。例如,用户aaa,可以访问邮件服务器S。用户aaa在访问邮件服务器S时,只能使用bbb这个用户名。
如果用户aaa访问了后台的邮件服务器,且使用用户名ccc,则防火墙判断该用户当前使用的用户名错误,则认证失败。如果使用用户名bbb,则防火墙判断该用户当前使用的用户名正确,则将此用户名密码转发给认证服务器进行认证。如果认证服务器判断用户名密码匹配,认证通过,则防火墙通知邮件服务器S认证通过,邮件服务器S允许用户访问。如果认证服务器判断用户名密码不匹配,认证失败,则防火墙通知邮件服务器S认证失败,邮件服务器S禁止用户访问。
本发明旨在保护一种用于安全网络的用户管控方法,该方法将用户的内网登录账户和内网应用服务器登录账户进行绑定,即在不是此人授权的情况下登录内网应用服务器,即使用户名密码正确,也会返回授权错误,从而达到安全可控的目的。本发明在防火墙上将两个认证进行关联,即将用户可以认证的内网应用服务器与用户进行绑定,对用户进行二次认证,从而不仅可以调高网络监控的精细度,提高网络安全,而且可以降低组网成本。
本发明还提出一种用于安全网络的用户管控系统。
图3示意性地示出用于安全网络的用户管控系统的示意图。
如图3所示,本发明实施例提供的用于安全网络的用户管控系统,包括:防火墙10、内网应用服务器11和认证服务器12,其中,防火墙10分别与内网应用服务器11和认证服务器11相连。并且,认证服务器12可以设置在防火墙10上。
具体地,防火墙10上配置有用户-服务器二维表,其中,用户-服务器二维表中存储有多组用户名属性功能列表。每组用户名属性功能列表包括用户名和用户名有权限访问的服务器名称。
防火墙10可以在检测到有用户请求通过防火墙进入内网时,对上述用户进行内网准入认证。
具体地,用户请求通过防火墙10进入内网时,防火墙10需要对请求的用户进行一次内网准入认证,这是防火墙对用户的第一次认证。防火墙10在判断用户通过内网准入认证后,允许用户登录到内网应用服务器11,并检测是否接收到来自上述内网应用服务器11的用户的认证信息。
如果防火墙10判断用户内网准入认证,则允许用户登录到内网应用服务器11。其中,内网应用服务器11可以为邮件服务器。
用户登录到内网应用服务器11后,内网应用服务器11如果需要对用户进行认证,则内网应用服务器11会向防火墙10发送该用户的认证信息。
在本发明的一个实施例中,内网应用服务器11转发的用户的认证信息包括请求登录的用户当前使用的用户名。防火墙10检测是否接收到来自上述内网应用服务器11的用户的认证信息。换言之,当防火墙10的内网应用服务器11需要认证时,则需要将认证的路由引入回到防火墙10上。
防火墙10在接收到内网应用服务器11转发的用户的认证信息,则查询用户-服务器二维表以判断用户是否具有权限访问内网应用服务器11。
如果防火墙10检测到内网应用服务器11转发的用户的认证信息,则由防火墙10代理到认证服务器12进行认证。即,防火墙10对内网应用服务器11的认证信息再次进行认证转发,此时会对认证进行二元匹配。
具体地,防火墙10查询用户-服务器二维表,根据上述用户-服务器二维表判断用户的当前使用的用户名是否正确。其中,防火墙10可以根据用户-服务器二维表判断内网应用服务器11的名称与用户当前使用的用户名是否对应。如果是,则防火墙10判断当前使用的用户名正确,将用户名和对应的密码转发至认证服务器12。
认证服务器12可以对用户名和对应的密码进行认证以判断用户是否具有权限访问内网应用服务器11。
具体地,认证服务器12对用户名和对应的密码进行匹配,如果匹配成功,则判断用户具有权限访问内网应用服务器11,否则判断用户不具有权限访问内网应用服务器11。然后,认证服务器12将上述认证结果反馈给防火墙10。
防火墙10在接收到认证服务器12的认证结果后,对认证结果进行分析,如果判断用户具有权限访问内网应用服务器11,则通知内网应用服务器11用户认证通过。
内网应用服务器11在接收到防火墙发出的认证通过的通知后,则允许用户对内网应用服务器11进行访问。
在本发明的又一个实施例中,如果认证服务器11判断用户名和对应的密码认证失败,则取消用户认证并向防火墙10发出认证失败的认证结果。
防火墙10在接收到上述认证结果后,分析出用户的认证失败,则将该认证失败的消息进一步通知给内网应用服务器11。
内网应用服务器11在接收到防火墙的认证失败通知后,禁止用户访问内网应用服务器11。
综上,在本发明提供的用于安全网络的用户管控系统中,用户在防火墙10上共会经过两层认证:
第一层:用户通过防火墙10进入内网时,需要一次用户的内网准入认证。
第二层:用户登录到内网后,如果内网应用服务器11需要认证,则内网应用服务器11将认证信息转发至防火墙10,由防火墙10代理到认证服务器12进行认证。
这两次认证均经过了防火墙10,则在防火墙10上将两个认证进行关联,即将用户可以认证的内网应用服务器11与用户进行绑定。具体地,当用户第一次认证通过后,内网应用服务器11向防火墙发送二次认证信息,如果防火墙10发现此用户并没有该内网应用服务器11的认证权限,则在二次认证的认证服务器11前就可以将用户认证取消,从而达到二次认证安全防护的目的。
下面结合具体示例对本发明的用于安全网络的用户管控系统进行描述。
具体地,在下一代网络防火墙10上对访问内网用户配置用户-服务器二维表,该表记录了指定用户可以访问的用户名属性功能列表。例如,用户aaa,可以访问邮件服务器S。用户aaa在访问邮件服务器S时,只能使用bbb这个用户名。
如果用户aaa访问了后台的邮件服务器,且使用用户名ccc,则防火墙10判断该用户当前使用的用户名错误,则认证失败。如果使用用户名bbb,则防火墙判断该用户当前使用的用户名正确,则将此用户名密码转发给认证服务器12进行认证。如果认证服务器12判断用户名密码匹配,认证通过,则防火墙10通知邮件服务器S认证通过,邮件服务器S允许用户访问。如果认证服务器12判断用户名密码不匹配,认证失败,则防火墙10通知邮件服务器S认证失败,邮件服务器S禁止用户访问。
本发明旨在保护一种用于安全网络的用户管控系统,该系统将用户的内网登录账户和内网应用服务器登录账户进行绑定,即在不是此人授权的情况下登录内网应用服务器,即使用户名密码正确,也会返回授权错误,从而达到安全可控的目的。本发明在防火墙上将两个认证进行关联,即将用户可以认证的内网应用服务器与用户进行绑定,对用户进行二次认证,从而不仅可以调高网络监控的精细度,提高网络安全,而且可以降低组网成本。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (10)
1.一种用于安全网络的用户管控方法,其特征在于,包括如下步骤:
对所述安全网络的防火墙配置用户-服务器二维表,其中,所述用户-服务器二维表存储有多组用户名属性功能列表;
所述防火墙在检测到有用户请求通过所述防火墙进入内网时,对所述用户进行内网准入认证;
所述防火墙在判断所述用户通过内网准入认证后,允许所述用户登录到内网应用服务器,并检测是否接收到来自所述内网应用服务器的所述用户的认证信息;
如果所述防火墙接收到所述内网应用服务器转发的所述用户的认证信息,则查询所述用户-服务器二维表以判断所述用户是否具有权限访问所述内网应用服务器;
如果所述防火墙通过认证服务器判断所述用户具有权限访问所述内网应用服务器,则通知所述内网应用服务器所述用户认证通过;
所述内网应用服务器允许所述用户进行访问。
2.根据权利要求1所述的用于安全网络的用户管控方法,其特征在于,所述内网应用服务器转发的所述用户的所述认证信息包括所述用户当前使用的用户名。
3.根据权利要求1所述的用于安全网络的用户管控方法,其特征在于,每组所述用户名属性功能列表包括用户名和所述用户名有权限访问的服务器名称。
4.根据权利要求3所述的用于安全网络的用户管控方法,其特征在于,所述防火墙查询所述用户-服务器二维表以判断所述用户是否具有权限访问所述内网应用服务器,包括如下步骤:
所述防火墙查询所述用户-服务器二维表,判断所述用户的当前使用的用户名是否正确;
如果是,则将所述用户名和对应的密码转发至认证服务器;
所述认证服务器对所述用户名和对应的密码进行认证以判断所述用户是否具有权限访问所述内网应用服务器。
5.根据权利要求4所述的用于安全网络的用户管控方法,其特征在于,所述防火墙判断所述用户的当前使用的用户名是否正确,包括如下步骤:判断所述内网应用服务器的名称与所述用户当前使用的用户名是否对应,如果是,则判断当前使用的用户名正确。
6.根据权利要求3所述的用于安全网络的用户管控方法,其特征在于,还包括如下步骤:
所述认证服务器在判断所述用户名和对应的密码认证失败后,取消所述用户认证并通知所述防火墙认证失败;
所述防火墙进一步通知所述内网应用服务器所述用户的认证失败,所述内网应用服务器禁止所述用户进行访问。
7.一种用于安全网络的用户管控系统,其特征在于,包括:防火墙、内网应用服务器和认证服务器,其中,所述防火墙分别与所述内网应用服务器和所述认证服务器相连,
所述防火墙用于在检测到有用户请求通过所述防火墙进入内网时,对所述用户进行内网准入认证,以及在判断所述用户通过内网准入认证后,允许所述用户登录到内网应用服务器,并检测是否接收到来自所述内网应用服务器的所述用户的认证信息,如果接收到所述认证信息,则查询所述用户-服务器二维表,判断所述用户的当前使用的用户名是否正确,如果正确,则向所述认证服务器发送所述用户名和对应的密码,以及将所述认证服务器返回的认证结果通知所述内网应用服务器,其中所述防火墙上配置有用户-服务器二维表,其中,所述用户-服务器二维表存储有多组用户名属性功能列表;
所述内网应用服务器用于在检测到所述用户的访问请求时,向所述防火墙发送所述用户的认证信息,以及在接收到所述防火墙发送的认证通过消息时,允许所述用户进行访问;
所述认证服务器用于对所述用户名和对应的密码进行认证以判断所述用户是否具有权限访问所述内网应用服务器,并将认证结果通知所述防火墙。
8.根据权利要求7所述的用于安全网络的用户管控系统,其特征在于,所述内网应用服务器转发的所述用户的所述认证信息包括所述用户当前使用的用户名。
9.根据权利要求7所述的用于安全网络的用户管控系统,其特征在于,每组所述用户名属性功能列表包括用户名和所述用户名有权限访问的服务器名称。
10.根据权利要求7所述的用于安全网络的用户管控系统,其特征在于,所述防火墙判断所述内网应用服务器的名称与所述用户当前使用的用户名是否对应,如果是则判断所述当前使用的用户名正确。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410007778.5A CN103746995B (zh) | 2014-01-03 | 2014-01-03 | 用于安全网络的用户管控方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410007778.5A CN103746995B (zh) | 2014-01-03 | 2014-01-03 | 用于安全网络的用户管控方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103746995A true CN103746995A (zh) | 2014-04-23 |
| CN103746995B CN103746995B (zh) | 2017-09-26 |
Family
ID=50503982
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410007778.5A Active CN103746995B (zh) | 2014-01-03 | 2014-01-03 | 用于安全网络的用户管控方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103746995B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104158879A (zh) * | 2014-08-18 | 2014-11-19 | 浪潮(北京)电子信息产业有限公司 | 一种分布式数据中心云管理平台架构系统及方法 |
| CN105429998A (zh) * | 2015-01-06 | 2016-03-23 | 李先志 | 网络安全区登录方法及装置 |
| CN107124390A (zh) * | 2016-02-25 | 2017-09-01 | 阿里巴巴集团控股有限公司 | 计算设备的安全防御、实现方法、装置及系统 |
| CN109547397A (zh) * | 2017-09-22 | 2019-03-29 | 台众电脑股份有限公司 | 网络安全管理系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101056179A (zh) * | 2007-06-13 | 2007-10-17 | 中兴通讯股份有限公司 | 控制用户只能在特定区域上网的方法及系统 |
| CN101087187A (zh) * | 2007-05-22 | 2007-12-12 | 网御神州科技(北京)有限公司 | 一种基于用户的安全访问控制的方法及装置 |
| US20080083018A1 (en) * | 2001-07-16 | 2008-04-03 | Rudy Prokupets | System for integrating security and access for facilities and information systems |
| CN102624724A (zh) * | 2012-03-06 | 2012-08-01 | 深信服网络科技(深圳)有限公司 | 安全网关及利用网关安全登录服务器的方法 |
-
2014
- 2014-01-03 CN CN201410007778.5A patent/CN103746995B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080083018A1 (en) * | 2001-07-16 | 2008-04-03 | Rudy Prokupets | System for integrating security and access for facilities and information systems |
| CN101087187A (zh) * | 2007-05-22 | 2007-12-12 | 网御神州科技(北京)有限公司 | 一种基于用户的安全访问控制的方法及装置 |
| CN101056179A (zh) * | 2007-06-13 | 2007-10-17 | 中兴通讯股份有限公司 | 控制用户只能在特定区域上网的方法及系统 |
| CN102624724A (zh) * | 2012-03-06 | 2012-08-01 | 深信服网络科技(深圳)有限公司 | 安全网关及利用网关安全登录服务器的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 张立,余丛彬等: "基于访问控制的内网安全模型研究", 《后勤工程学院学报》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104158879A (zh) * | 2014-08-18 | 2014-11-19 | 浪潮(北京)电子信息产业有限公司 | 一种分布式数据中心云管理平台架构系统及方法 |
| CN104158879B (zh) * | 2014-08-18 | 2018-02-23 | 浪潮(北京)电子信息产业有限公司 | 一种分布式数据中心云管理平台架构系统及方法 |
| CN105429998A (zh) * | 2015-01-06 | 2016-03-23 | 李先志 | 网络安全区登录方法及装置 |
| CN107124390A (zh) * | 2016-02-25 | 2017-09-01 | 阿里巴巴集团控股有限公司 | 计算设备的安全防御、实现方法、装置及系统 |
| CN109547397A (zh) * | 2017-09-22 | 2019-03-29 | 台众电脑股份有限公司 | 网络安全管理系统 |
| CN109547397B (zh) * | 2017-09-22 | 2021-09-28 | 台众电脑股份有限公司 | 网络安全管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103746995B (zh) | 2017-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12074872B2 (en) | Universal digital identity authentication service | |
| CN108881232B (zh) | 业务系统的登录访问方法、装置、存储介质和处理器 | |
| CN112073400B (zh) | 一种访问控制方法、系统、装置及计算设备 | |
| CN107005442B (zh) | 用于远程接入的方法和装置 | |
| US9374369B2 (en) | Multi-factor authentication and comprehensive login system for client-server networks | |
| CN101227468B (zh) | 用于认证用户到网络的方法、设备和系统 | |
| US9521139B2 (en) | System for managing multi-user sign-on in a segmented network | |
| CN104335546A (zh) | 使用邻居发现来为其它应用创建信任信息 | |
| US9992606B2 (en) | Segmented network mobile device provisioning system | |
| CN105024975A (zh) | 账号登录的方法、装置及系统 | |
| JP2007310512A (ja) | 通信システム、サービス提供サーバおよびユーザ認証サーバ | |
| CN103546419A (zh) | 一种登录方法 | |
| CN109951485A (zh) | 一种基于sdn的物联网访问控制方法 | |
| CN103746995A (zh) | 用于安全网络的用户管控方法及系统 | |
| CN106161361A (zh) | 一种跨域资源的访问方法及装置 | |
| CN105162763A (zh) | 通讯数据的处理方法和装置 | |
| CN115150830B (zh) | 5g专网接入认证失败时保障终端公网访问的方法和系统 | |
| KR20180039037A (ko) | 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템 | |
| CN102215211B (zh) | 通信方法、支持可信网络接入的安全策略协商方法及系统 | |
| JP2016533107A (ja) | 有害動作体の自動ブロッキング | |
| CN105959251A (zh) | 一种防止nat穿越认证的方法及装置 | |
| JP6925296B2 (ja) | ネットワークシステム | |
| US20210306301A1 (en) | Relay apparatus, relay system, and non-transitory computer readable medium | |
| Melo Jr et al. | Security Requirements for Vehicular Cyber-Physical Systems | |
| Houng et al. | Security model for Microsoft based mobile sales management application in private cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20180528 Granted publication date: 20170926 |
|
| PP01 | Preservation of patent right | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20240528 Granted publication date: 20170926 |
|
| PD01 | Discharge of preservation of patent | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20240528 Granted publication date: 20170926 |
|
| PP01 | Preservation of patent right |