CN108768979B - 企业内网访问的方法、用于企业内网访问的装置及其系统 - Google Patents
企业内网访问的方法、用于企业内网访问的装置及其系统 Download PDFInfo
- Publication number
- CN108768979B CN108768979B CN201810471620.1A CN201810471620A CN108768979B CN 108768979 B CN108768979 B CN 108768979B CN 201810471620 A CN201810471620 A CN 201810471620A CN 108768979 B CN108768979 B CN 108768979B
- Authority
- CN
- China
- Prior art keywords
- target
- enterprise
- cdn node
- client
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Abstract
本发明公开了一种企业内网访问的方法、用于企业内网访问的装置及其系统,属于网络连接访问技术领域。方法包括:目标CDN节点与目标客户端建立通信连接并进行SSL握手;目标CDN节点确定目标客户端访问的目标企业服务器,通过管理平台预先下发的目标企业服务器的SSL证书与目标客户端进行SSL双向认证;如果认证通过,目标CDN节点则将目标客户端对应的企业用户信息发送给鉴权服务器,以使鉴权服务器根据企业用户信息对目标客户端进行身份鉴权;如果接收到鉴权服务器反馈的鉴权成功消息,目标CDN节点则向目标企业服务器转发目标客户端对于目标企业服务器的访问请求,否则向目标客户端反馈访问失败消息。本发明能提高内网访问效率。
Description
技术领域
本发明涉及网络连接访问技术领域,尤其涉及一种企业内网访问的方法、用于企业内网访问的装置及其系统。
背景技术
当下大部分企业将企业内部的计算机、服务器、打印机、扫描仪等网络设备互相联接起来构成企业内网,企业用户可以通过企业内部的网络设备访问企业内网中的其他网络设备。企业内网一般无法由外网直接访问,通过部署VPN是一种较为常见的实现企业内网远程接入的方式。
通过VPN实现用户远程访问企业内网时,首先需要在企业内网的各个网络设备上分别设置VPN网关。当网络设备A处于外网时,在向企业内网中的网络设备B发送访问请求后,网络设备A可以通过其上设置的VPN网关将访问请求封装成为VPN数据包,并将VPN数据包的目标地址修改为企业内网中网络设备B的VPN网关,之后网络设备A可以通过公共网络将VPN数据包发送至网络设备B的VPN网关。网络设备B通过VPN网关可以接收到VPN数据包,并对其进行解包处理,还原并处理相应的访问请求。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
一方面,VPN网关配置复杂,部署时需要改动内网构架,耗费大量时间和金钱;另一方面VPN网关之间基于公共网络传输数据,容易受公共网络的网络质量影响,无法长时间保持较高传输速度和稳定性,故而,访问企业内网的效率比较低,成本比较高。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种企业内网访问的方法、用于企业内网访问的装置及其系统。所述技术方案如下:
第一方面,提供了一种企业内网访问的方法,所述方法包括:
目标CDN节点与目标客户端建立通信连接并进行SSL握手;
目标CDN节点确定目标客户端访问的目标企业服务器,通过管理平台预先下发的目标企业服务器的SSL证书与目标客户端进行SSL双向认证;
如果认证通过,目标CDN节点则将目标客户端对应的企业用户信息发送给鉴权服务器,以使鉴权服务器根据企业用户信息对目标客户端进行身份鉴权;
如果接收到鉴权服务器反馈的鉴权成功消息,目标CDN节点则向目标企业服务器转发目标客户端对于目标企业服务器的访问请求,否则向目标客户端反馈访问失败消息。
第二方面,一种企业内网访问的方法,所述方法包括:
在接收目标企业服务器的访问指令之后,目标客户端与目标CDN节点建立通信连接并进行SSL握手;
目标客户端通过预先安装的用户SSL证书与目标CDN节点进行SSL双向认证;
如果认证通过,目标客户端则向目标CDN节点发送对于目标企业服务器的访问请求。
第三方面,一种企业内网访问的方法,所述方法包括:
管理平台获取目标企业的企业信息,并根据企业信息生成目标企业的所有企业服务器的SSL证书;
管理平台获取目标企业的企业用户信息,并根据每个企业用户信息生成对应的用户SSL证书;
管理平台将所有企业服务器的SSL证书发送给预设CDN节点,并向每个企业用户提供对应的用户SSL证书,以使企业用户在客户端上安装用户SSL证书。
第四方面,一种用于企业内网访问的CDN节点,所述CDN节点包括:
连接模块,用于与目标客户端建立通信连接并进行SSL握手;
认证模块,用于确定目标客户端访问的目标企业服务器,通过管理平台预先下发的目标企业服务器的SSL证书与目标客户端进行SSL双向认证;
鉴权模块,用于如果认证通过,则将目标客户端对应的企业用户信息发送给鉴权服务器,以使鉴权服务器根据企业用户信息对目标客户端进行身份鉴权;
处理模块,用于如果接收到鉴权服务器反馈的鉴权成功消息,则向目标服务器转发目标客户端对于目标企业服务器的访问请求,否则向目标客户端反馈访问失败消息。
第五方面,一种用于企业内网访问的客户端,所述客户端包括:
连接模块,用于在接收目标企业服务器的访问指令之后,与目标CDN节点建立通信连接并进行SSL握手;
认证模块,用于通过预先安装的用户SSL证书与目标CDN节点进行SSL双向认证;
访问模块,用于如果认证通过,则向目标CDN节点发送对于目标企业服务器的访问请求。
第六方面,一种用于企业内网访问的管理平台,所述管理平台包括:
证书生成模块,用于获取目标企业的企业信息,并根据企业信息生成目标企业的所有企业服务器的SSL证书,获取目标企业的企业用户信息,并根据每个企业用户信息生成对应的用户SSL证书;
收发模块,用于将所有企业服务器的SSL证书发送给预设CDN节点,并向每个企业用户提供对应的用户SSL证书,以使企业用户在客户端上安装用户SSL证书。
第七方面,一种用于企业内网访问的系统,包括上述的CDN节点、上述的客户端、上述的管理平台和鉴权服务器;
鉴权服务器,用于接收管理平台发来的企业用户信息和CDN节点发来的目标客户端对应的企业用户信息,根据目标客户端对应的企业用户信息和企业用户信息对目标客户端进行身份鉴权,并向CDN节点反馈鉴权结果。
本发明实施例提供的技术方案带来的有益效果是:
本发明实施例中,管理平台生成企业客户端SSL证书和用户SSL证书,目标客户端和目标CDN节点分别获取后,目标客户端可以与目标CDN节点建立通信连接并进行SSL双向认证,之后,CDN节点可以接收到上述客户端发送的访问请求,再由鉴权服务器对客户端鉴权,鉴权成功后CDN节点将访问请求转发给企业内网中的企业服务器,从而实现用户对应企业内网的访问。这样,通过SSL双向认证加独享证书方式提供专业安全的数据加密和访问权限控制,构建企业用户与企业服务器的安全通信网络。本发明实施例中,可以直接利用CDN网络实现用户远程访问企业内网,无需额外设置VPN网关,部署时无需修改内网构架,进而,在用户访问企业内网时,数据使用CDN网络加速传输,传输速度快,传输稳定,故而,可以提高访问企业内网效率,降低成本。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种企业内网访问的方法流程图;
图2是本发明实施例提供的一种管理平台配置SSL证书的方法流程图;
图3是本发明实施例提供的一种用于企业内网访问的CDN节点的结构示意图;
图4是本发明实施例提供的一种用于企业内网访问的CDN节点的结构示意图;
图5是本发明实施例提供的一种用于企业内网访问的CDN节点的结构示意图;
图6是本发明实施例提供的一种用于企业内网访问的客户端的结构示意图;
图7是本发明实施例提供的一种用于企业内网访问的客户端的结构示意图;
图8是本发明实施例提供的一种用于企业内网访问的管理平台的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本发明实施例提供了一种企业内网访问的方法,该方法可以由CDN集群和客户端共同实现,CDN集群可以包括CDN节点、管理平台和鉴权服务器。其中,客户端可以是个人计算机、智能手机等终端设备,客户端可以通过CDN节点访问企业内网的HR系统、OA系统;CDN节点可以是CDN集群的任意节点服务器,用于和客户端建立通信连接并转发客户端的访问请求;管理平台用于生成企业服务器的SSL证书和用户SSL证书,企业服务器的SSL证书和用户SSL证书可以用于CDN节点和客户端的双向认证;鉴权服务器可以用于对客户端进行身份鉴权。本实施例应用场景可以是:在客户端发出对企业内网中的企业服务器的访问请求后,经DNS系统的域名转换,客户端可以与CDN节点建立通信连接和SSL双向认证,之后,CDN节点可以接收到上述客户端发送的访问请求,再由鉴权服务器对客户端鉴权,鉴权成功后CDN节点将访问请求转发给企业内网中的企业服务器,从而实现用户对企业内网的访问。
下面将结合具体实施方式,对图1所示的一种企业内网访问的处理流程进行详细的说明,内容可以如下:
步骤101,在接收目标企业服务器的访问指令之后,目标客户端与目标CDN节点建立通信连接并进行SSL握手。
在实施中,用户在目标客户端输入对目标企业服务器的访问指令,可以触发目标客户端向目标CDN节点发送连接请求,建立基于TCP/IP协议的通信连接,通信连接建立完成之后,目标客户端再向目标CDN节点发送消息,进行SSL握手,具体过程在步骤102详述。
可选的,在接收目标企业服务器的访问指令之前,目标客户端接收管理平台发送的目标客户端对应的用户SSL证书的证书存储地址和证书安装密钥;目标客户端根据证书存储地址和证书安装密钥下载并安装目标客户端对应的用户SSL证书。
在实施中,企业用户可以从管理平台获取用户SSL证书的证书存储地址和证书安装密钥,企业用户从证书存储地址下载用户SSL证书到客户端,再使用证书安装密钥将下载的用户SSL证书安装在客户端。
可选的,在目标客户端与目标CDN节点建立通信连接并进行SSL握手之前,目标客户端向DNS系统发送对于目标企业服务器的域名信息;目标客户端接收DNS系统反馈的目标CDN节点的IP地址;目标客户端根据目标CDN节点的IP地址向目标CDN节点发送通信连接建立请求。
在实施中,客户端在接收目标企业服务器的访问指令之后,从访问请求中获得目标企业服务器的域名信息,然后,将目标企业服务器的域名信息发送给DNS系统进行解析,DNS系统对域名信息解析后得到目标CDN节点的IP地址,并将目标CDN节点的IP地址发送给客户端,客户端接收到DNS系统反馈的目标CDN节点的IP地址后,根据目标CDN节点的IP地址向目标CDN节点发送通信连接建立请求。
步骤102,目标CDN节点与目标客户端建立通信连接并进行SSL握手。
在实施中,在目标客户端向目标CDN节点发送连接请求后,目标CDN节点接收连接请求,并回复客户端,最终与目标客户端建立基于TCP/IP协议的通信连接。具体的,在目标客户端接收对目标企业服务器的访问指令后,向目标CDN节点发送SYN数据包,目标CDN节点接收目标客户端发来的SYN数据包,然后向目标客户端返回SYN+ACK数据包,目标客户端接收目标CDN节点返回的SYN+ACK数据包后,再向目标CDN节点反馈ACK数据包,当目标CDN接收到目标客户端反馈的ACK数据包之后,目标客户端与目标CDN节点建立通信连接。在目标客户端与目标CDN节点与建立通信连接之后,目标客户端与目标CDN节点进行SSL握手,首先,目标客户端向目标CDN节点发送Client Hello消息,在目标CDN节点接收来自目标客户来的Client Hello消息后,目标客户端与目标CDN节点完成SSL握手。Client Hello消息以明文传输,消息内容包括:用户SSL证书对应的企业服务器的SSL证书的证书标识,目标客户端支持的最高SSL协议的版本、随机数A、扩展字段、加密套件候选列表和压缩算法候选列表等信息。加密套件候选列表中,每个加密套件对应SSL协议中的四个功能的组合:认证算法(身份验证)、密钥交换算法(密钥协商)、对称加密算法(信息加密)和信息摘要(完整性校验);压缩算法列表用于后续传输过程中的信息压缩传输;随机数A用于后续传输过程中密钥的生成;扩展字段支持协议与算法的相关参数以及其它辅助信息等,常见扩展字段包括SNI等。
可选的,目标CDN节点接收并安装管理平台下发的目标企业服务器的SSL证书;目标CDN节点向DNS系统发送域名添加请求,域名添加请求为在DNS系统中添加目标企业服务器的域名到目标CDN节点的IP地址,以使DNS系统将企业服务器的域名解析至目标CDN节点。
在实施中,管理平台预先向CDN节点下发所有企业服务器的SSL证书,目标CDN节点在接收到所有企业服务器的SSL证书之后,将其安装在目标CDN节点上,之后,CDN节点向DNS系统发送域名添加请求,在DNS系统中添加目标企业服务器的域名到目标CDN节点的IP地址,使发送至DNS系统的目标企业服务器的访问请求,被DNS系统解析至目标CDN节点。
步骤103,目标客户端通过预先安装的用户SSL证书与目标CDN节点进行SSL双向认证。
在实施中,在目标CDN节点接收到目标客户端发来的Client Hello消息,目标客户端与目标CDN节点完成SSL握手之后,目标客户端一方面接收目标CDN节点反馈的消息对目标CDN节点进行认证,另一方面向目标CDN节点发送消息,使目标CDN节点认证目标客户端自身,认证的具体过程在步骤104详述。
步骤104,目标CDN节点确定目标客户端访问的目标企业服务器,通过管理平台预先下发的目标企业服务器的SSL证书与目标客户端进行SSL双向认证。
在实施中,在目标CDN节点接收到目标客户端发来的Client Hello消息,目标客户端与目标CDN节点完成SSL握手之后,目标CDN节点通过接收到的Client Hello消息,从管理平台预先下发的所有企业服务器SSL证书中确定用户SSL证书对应的目标企业服务器的SSL证书,然后使用目标企业服务器的SSL证书与目标客户端对应的用户SSL证书进行SSL双向认证。
SSL双向认证的过程可以分为目标客户端对目标CDN节点认证和目标CDN节点对目标客户端认证两部分。其一,目标CDN节点向目标客户端发送目标企业服务器的SSL证书,用于目标客户端对目标CDN节点认证,认证的处理可以如下:目标CDN节点依次向目标客户端发送Server Hello消息、Server Certificates消息和Server Hello Done消息,将目标企业服务器的SSL证书发送给目标客户端进行认证。Server Hello消息用于向目标客户端返回协商信息,包括选择使用的协议版本,选择的加密套件,选择的压缩算法、随机数B等,其中随机数B用于后续的密钥协商;Server Certificates消息包含目标企业服务器的SSL证书以及证书链,目标企业服务器的SSL证书里有目标企业服务器公钥;Server Hello Done消息用于指示目标CDN节点处理结束,等待目标客户端响应。在接收到上述消息后,目标客户端对目标企业服务器的SSL证书进行认证,检查证书链的可信性、证书是否吊销、证书是否在有效时间范围内和证书域名是否与当前的访问域名匹配。其二,目标客户端向目标CDN节点发送目标客户端对应的用户SSL证书,用于目标节点CDN对目标客户端认证,认证的处理可以如下:目标客户端依次向目标客户端发送Client Key Exchange消息、ChangeCipher Space消息和Finish消息,将目标客户端对应的用户SLL证书发送给目标节点CDN进行认证。目标客户端计算产生随机数字C,并用目标企业服务器的SSL证书的公钥加密,通过Client Key Exchange消息发送给目标CDN节点;此时,目标客户端已经获取全部的计算协商密钥需要的信息:两个明文随机数A和B与自己计算产生的C,可以通过计算得到协商密钥;然后目标客户端使用Change Cipher Space消息通知目标CDN节点,后续的通信都采用协商密钥和加密算法进行加密通信。目标CDN节点在收到返回的消息后对目标客户端对应的用户SSL证书进行认证。至此,目标企业服务的SSL证书与目标客户端的用户SSL证书双向认证完成。
步骤105,如果认证通过,目标客户端则向目标CDN节点发送对于目标企业服务器的访问请求。
在实施中,如果认证通过,目标客户端通过之前建立的通信连接,利用协商好的密钥与目标CDN节点进行通信,发送对于目标企业服务器的访问请求给目标CDN节点。
可选的,如果目标客户端对目标CDN节点认证不通过,目标客户端则确定新CDN节点,并与新CDN节点建立通信连接和进行SSL握手。
在实施中,如果目标客户端对目标CDN节点认证不通过,说明目标CDN节点存在问题,是不安全的设备,比如伪装节点,此时,为了保护数据安全,目标客户端中断与目标CDN节点的连接,重新向DNS系统发送对于目标企业服务器的域名信息,确定新CDN节点,然后重复步骤101-104,与新CDN节点建立通信连接和进行SSL握手,重新进行双向认证。
可选的,如果目标CDN节点对目标客户端认证不通过,目标客户端则向管理平台发送携带有目标客户端的标识信息的证书更新请求;目标客户端获取管理平台重新提供的最新用户SSL证书。
在实施中,如果目标CDN节点对目标客户端认证不通过,说明目标客户端对应的用户SSL证书可能存在问题,目标客户端向管理平台发送证书更新请求,证书更新请求中携带有目标客户端的标识信息,请求管理平台重新向企业用户提供最新用户SSL证书,然后,企业用户在目标客户端安装管理平台重新提供的最新用户SSL证书。目标客户端在安装最新用户SSL证书后,重复步骤101-104的内容,重新与CDN节点建立通信连接和进行SSL握手,重新进行双向认证。
步骤106,如果认证通过,目标CDN节点则将目标客户端对应的企业用户信息发送给鉴权服务器,以使鉴权服务器根据企业用户信息对目标客户端进行身份鉴权。
在实施中,如果认证通过,目标CDN节点通过之前建立的连接,利用协商好的密钥与客户端进行通信,目标CDN节点获得目标客户端对应的企业用户信息,并将目标客户端对应的企业用户信息发送给鉴权服务器。鉴权服务器中预先存储了管理平台在生成用户SSL证书时获取的企业用户信息,在收到目标客户端发来的企业用户信息后,鉴权服务器将存储的企业用户信息与收到的企业用户信息进行比对,如果完全一致,则鉴权成功,如果不一致,则鉴权失败。
可选的,在目标CDN节点将目标客户端对应的企业用户信息发送给鉴权服务器之前,目标CDN节点接收目标客户端对于目标企业服务器的访问请求,提取访问请求中包含的目标客户端对应的企业用户信息。
在实施中,在认证通过后,目标客户端向目标CDN节点发送对于目标企业服务器的访问请求,目标CDN节点接收访问请求后,对访问请求进行解析,提取访问请求中包含的目标客户端对应的企业用户信息。
可选的,如果目标客户端对目标CDN节点认证不通过,目标CDN节点则向管理平台发送携带有目标企业服务器的标识信息的证书更新请求;目标CDN节点接收并安装管理平台下发的目标企业服务器的最新SSL证书。
在实施中,对于目标CDN节点,认证不通过一般也有两种情况,目标客户端对目标CDN节点认证不通过或者目标CDN节点对目标客户端认证不通过。一方面,如果是目标客户端对目标CDN节点认证不通过,说明目标CDN节点的目标企业服务器的SSL证书可能存在问题,比如证书损坏或者证书需要更新,此时,目标CDN节点向管理平台发送证书更新请求,证书更新请求中携带有目标企业服务器的标识信息,要求管理平台重新将目标企业服务器的最新SSL证书下发给目标CDN节点,之后,目标CDN节点接收并安装目标企业服务器的最新SSL证书。目标CDN节点后续使用目标企业服务器的最新SSL证书与目标企业用户的客户端进行SSL双向认证,认证过程参考步骤103-104。另一方面,如果是目标CDN节点对目标客户端认证不通过,说明目标客户端对应的用户SSL证书可能存在问题,是不安全的设备,目标CDN节点不能继续与目标客户端传输数据,目标CDN节点中断与目标客户端的连接。
步骤107,如果接收到鉴权服务器反馈的鉴权成功消息,目标CDN节点则向目标企业服务器转发目标客户端对于目标企业服务器的访问请求,否则向目标客户端反馈访问失败消息。
在实施中,在鉴权成功后,鉴权服务器发送鉴权成功消息给目标CDN节点,目标CDN节点收到鉴权成功消息后,将上一步收到的目标客户端发来的访问请求转发给目标企业服务器。这样,目标企业服务器收到访问请求后,根据访问请求将反馈信息发送给目标CDN节点,然后目标CDN节点再将反馈信息发送给目标客户端,使目标客户端完成企业内网的访问。如果鉴权失败,表示目标客户端虽然是安全可靠的,但目标客户端要访问的目标企业服务器已经超过其访问权限,目标客户端不能够访问目标企业服务器。鉴权服务器发送鉴权失败消息给目标CDN节点,目标CDN节点根据鉴权失败消息生成访问失败消息反馈给目标客户端。
可选的,如果接收到鉴权服务器反馈的鉴权成功消息,目标CDN节点存储目标客户端对应的企业用户信息;当再次接收到目标客户端对于目标企业服务器的访问请求时,目标CDN节点使用本地存储的目标客户端对应的企业用户信息对目标客户端进行鉴权。
在实施中,目标CDN节点接收到鉴权服务器反馈的鉴权成功消息后,将发送给鉴权服务器的企业用户信息存储在目标CDN节点本地,如果目标CDN节点再次接收到来自目标客户端的访问请求,可以直接使用目标CDN节点本地存储的目标客户端对应的企业用户信息,在目标CDN节点本地对目标客户端进行鉴权,而不再将从访问请求中提取的目标客户端对应的企业用户信息发往鉴权服务器,这样可以降低鉴权服务器的负载,减少反馈时间。除此以外,如果其他客户端对应的用户SSL证书,与目标客户端对应的用户SSL证书相同,那么对于该客户端也可以采用上述方法进行鉴权。然而,由于目标CDN节点无法主动从鉴权服务器获取最新的企业用户信息,对目标CDN节点本地存储的企业用户信息更新,或者目标CDN节点对本地存储的企业用户信息更新具有延迟,当鉴权服务器上存储的企业用户信息更新之后,会导致目标CDN节点对目标客户端鉴权失败,此时,目标CDN节点会将从访问请求中提取的目标客户端对应的企业用户信息发送给鉴权服务器,由鉴权服务器再次对目标客户端鉴权。
下面将结合具体实施方式,对图2所示的一种管理平台配置SSL证书的处理流程进行详细的说明,内容可以如下:
企业在通过CDN网络实现企业内网访问前,需要在CDN网络上对企业内网进行设置,比如:选择接入CDN网络的企业服务器、添加可使用CDN网络访问企业服务器的企业用户、修改企业用户可访问的企业服务器等。这些设置可以通过CDN集群中的管理平台实现,工作人员可以在管理平台添加企业名称、企业编号和企业服务器域名等企业信息,添加企业用户名称、企业用户编号、企业用户级别和企业用户权限等企业用户信息,从而实现对企业用户和企业服务器方便直接的可视化管理。
步骤201,管理平台获取目标企业的企业信息,并根据企业信息生成目标企业的所有企业服务器的SSL证书。
在实施中,管理人员在管理平台输入目标企业的企业信息,管理平台获取目标企业的企业信息后,将目标企业的企业信息存储在管理平台,同时,根据企业信息生成目标企业的所有企业服务器的SSL证书,其中,不同企业服务器的SSL证书可以是相同的,也可以是不同的。所有企业服务器的SSL证书均包含有授权时间、证书签发机构和企业专有加密特征等内容。
步骤202,管理平台获取目标企业的企业用户信息,并根据每个企业用户信息生成对应的用户SSL证书。
在实施中,管理人员在管理平台输入目标企业的企业用户信息,管理平台获取目标企业的企业用户信息后,将目标企业的企业用户信息存储在管理平台,同时,根据每个企业用户信息生成对应的用户SSL证书,用户SSL证书包含有授权时间、证书加密方式和用户SSL证书对应的企业服务器的SSL证书的证书标识等内容。
步骤203,管理平台将所有企业服务器的SSL证书发送给预设CDN节点,并向每个企业用户提供对应的用户SSL证书,以使企业用户在客户端上安装用户SSL证书。
在实施中,在所有企业服务器的SSL证书生成之后,管理平台将所有企业服务器的SSL证书分别发送给预设CDN节点,在此,预设CDN节点可以是一个或多个CDN节点,也可以是全部的CDN节点;可以是中心节点,也可以是边缘节点。预设CDN节点在接收到所有企业服务器的SSL证书之后,将其安装在本地。管理平台同时还向每个企业用户提供对应的用户SSL证书,以使企业用户在客户端上安装用户SSL证书。
具体的,管理平台存储用户SSL证书,并生成用户SSL证书的证书安装密钥;管理平台将用户SSL证书的证书存储地址和证书安装密钥提供给用户SSL证书对应的企业用户,以使企业用户在客户端下载并安装用户SSL证书。
在实施中,在用户SSL证书生成之后,管理平台将用户SSL证书存储在特定的地址中,如客户名称/用户标识/证书名称.p12,同时,管理平台生成证书安装密钥。之后,管理平台将证书存储地址和证书安装密钥通过邮件提供给用户SSL证书对应的企业用户,企业用户可以在客户端上根据证书存储地址和证书安装密钥下载并安装用户SSL证书。
可选的,管理平台将获取的企业用户信息发送给鉴权服务器,以使鉴权服务器基于企业用户信息对所有企业服务器的访问端进行身份鉴权。
在实施中,在管理平台根据企业用户信息生成对应的用户SSL证书之后,管理平台将用户SSL证书对应的企业用户信息发送给鉴权服务器,鉴权服务器可以基于企业用户信息对所有企业服务器的访问端进行身份鉴权,鉴权过程可参考步骤106。
可选的,当接收到目标客户端发送的携带有目标客户端的标识信息的证书更新请求时,管理平台根据标识信息确定目标客户端对应的目标企业用户信息;管理平台根据目标企业用户信息重新生成最新用户SSL证书,将最新用户SSL证书提供给目标客户端。
在实施中,参考步骤105可知,当SSL双向认证不通过时,管理平台可能会接收到目标客户端发送的携带有目标客户端的标识信息的证书更新请求。此时,管理平台从证书更新请求中获得目标客户端的标识信息,然后,根据目标客户端的标识信息确定目标客户端对应的目标企业用户,管理平台从本地存储中获取目标企业用户的目标企业用户信息,根据目标企业用户信息重新生成最新用户SSL证书,并将最新用户SSL证书提供给目标客户端。
可选的,当接收到目标CDN节点发送的携带有目标企业服务器的标识信息的证书更新请求时,管理平台根据标识信息确定目标企业服务器所属的目标企业;管理平台根据目标企业的企业信息重新生成目标企业服务器的最新SSL证书,并向目标CDN节点发送最新SSL证书。
在实施中,参考步骤106可知,当SSL双向认证不通过时,管理平台可能会接收到目标CDN节点发送的携带有目标企业服务器的标识信息的证书更新请求。此时,管理平台从证书更新请求中获得目标企业服务器的标识信息,然后,根据目标企业服务器的标识信息确定目标企业服务器所属目标企业,管理平台从本地存储中获取目标企业的企业信息,根据目标企业的企业信息重新生成目标企业服务器的最新SSL证书,并向目标CDN节点发送最新SSL证书。
本发明实施例中,管理平台生成企业客户端SSL证书和用户SSL证书,目标客户端和目标CDN节点分别获取后,目标客户端可以与目标CDN节点建立通信连接并进行SSL双向认证,之后,CDN节点可以接收到上述客户端发送的访问请求,再由鉴权服务器对客户端鉴权,鉴权成功后CDN节点将访问请求转发给企业内网中的企业服务器,从而实现用户对应企业内网的访问。这样,通过SSL双向认证加独享证书方式提供专业安全的数据加密和访问权限控制,构建企业用户与企业服务器的安全通信网络。本发明实施例中,可以直接利用CDN网络实现用户远程访问企业内网,无需额外设置VPN网关,部署时无需修改内网构架,进而,在用户访问企业内网时,数据使用CDN网络加速传输,传输速度快,传输稳定,故而,可以提高访问企业内网效率,降低成本。
基于相同的技术构思,本发明实施例还提供了一种用于企业内网访问的CDN节点,如图3所示,所述CDN节点包括:
连接模块301,用于与目标客户端建立通信连接并进行SSL握手。
认证模块302,用于确定所述目标客户端访问的目标企业服务器,通过管理平台预先下发的所述目标企业服务器的SSL证书与所述目标客户端进行SSL双向认证。
鉴权模块303,用于如果认证通过,则将所述目标客户端对应的企业用户信息发送给鉴权服务器,以使所述鉴权服务器根据所述企业用户信息对所述目标客户端进行身份鉴权。
处理模块304,用于如果接收到所述鉴权服务器反馈的鉴权成功消息,则向所述目标服务器转发所述目标客户端对于所述目标企业服务器的访问请求,否则向所述目标客户端反馈访问失败消息。
可选的,如图4所示,所述CDN节点还包括:
提取模块305,用于接收所述目标客户端对于所述目标企业服务器的访问请求,提取所述访问请求中包含的所述目标客户端对应的企业用户信息。
可选的,所述鉴权模块303,还用于:
如果接收到所述鉴权服务器反馈的鉴权成功消息,存储所述目标客户端对应的企业用户信息;
当再次接收到所述目标客户端对于所述目标企业服务器的访问请求时,使用本地存储的所述目标客户端对应的企业用户信息对所述目标客户端进行鉴权。
可选的,如图5所示,所述CDN节点还包括:
证书安装模块306,用于接收并安装所述管理平台下发的所述目标企业服务器的SSL证书。
域名添加模块307,用于向DNS系统发送携带有所述目标企业服务器的域名和所述目标CDN节点的IP地址的域名添加请求。
可选的,所述认证模块302,还用于如果所述目标客户端对所述目标CDN节点认证不通过,则向所述管理平台发送携带有目标企业服务器的标识信息的证书更新请求;所述证书安装模块306,还用于接收并安装所述管理平台下发的所述目标企业服务器的最新SSL证书。
基于相同的技术构思,本发明实施例还提供了一种用于企业内网访问的客户端,如图6所示,所述客户端包括:
连接模块601,用于在接收目标企业服务器的访问指令之后,与目标CDN节点建立通信连接并进行SSL握手。
认证模块602,用于通过预先安装的用户SSL证书与所述目标CDN节点进行SSL双向认证。
访问模块603,用于如果认证通过,则向所述目标CDN节点发送对于所述目标企业服务器的访问请求。
可选的,如图7所示,所述客户端还包括:
证书安装模块604,用于接收管理平台发送的所述目标客户端对应的用户SSL证书的证书存储地址和证书安装密钥;根据所述证书存储地址和所述证书安装密钥下载并安装所述目标客户端对应的用户SSL证书。
可选的,所述认证模块602,还用于如果所述目标客户端对所述目标CDN节点认证不通过,则确定新CDN节点,并与所述新CDN节点建立通信连接和进行SSL握手。
可选的,所述证书安装模块604,还用于如果所述目标CDN节点对所述目标客户端认证不通过,向所述管理平台发送携带有所述目标客户端的标识信息的证书更新请求;获取所述管理平台重新提供的最新用户SSL证书。
可选的,所述连接模块601,还用于向DNS系统发送对于所述目标企业服务器的域名信息;接收所述DNS系统反馈的所述目标CDN节点的IP地址;根据所述目标CDN节点的IP地址向所述目标CDN节点发送通信连接建立请求。
基于相同的技术构思,本发明实施例还提供了一种用于企业内网访问的管理平台,如图8所示,所述管理平台包括:
证书生成模块801,用于获取目标企业的企业信息,并根据所述企业信息生成所述目标企业的所有企业服务器的SSL证书,获取所述目标企业的企业用户信息,并根据每个所述企业用户信息生成对应的用户SSL证书。
收发模块802,用于将所述所有企业服务器的SSL证书发送给预设CDN节点,并向每个企业用户提供对应的用户SSL证书,以使所述企业用户在客户端上安装所述用户SSL证书。
可选的,所述收发模块802,还用于将获取的企业用户信息发送给鉴权服务器,以使所述鉴权服务器基于所述企业用户信息对所述所有企业服务器的访问端进行身份鉴权。
可选的,所述收发模块802,具体用于:存储所述用户SSL证书,并生成所述用户SSL证书的证书安装密钥;将所述用户SSL证书的证书存储地址和所述证书安装密钥提供给所述用户SSL证书对应的企业用户,以使所述企业用户在客户端下载并安装所述用户SSL证书。
可选的,所述收发模块802,还用于当接收到目标CDN节点发送的携带有目标企业服务器的标识信息的证书更新请求时,根据所述标识信息确定所述目标企业服务器所属的目标企业;所述证书生成模块801,还用于根据所述目标企业的企业信息重新生成所述目标企业服务器的最新SSL证书;所述收发模块802,还用于向所述目标CDN节点发送所述最新SSL证书。
可选的,所述收发模块802,还用于当接收到目标客户端发送的携带有所述目标客户端的标识信息的证书更新请求时,根据所述标识信息确定所述目标客户端对应的目标企业用户信息;所述证书生成模块801,还用于根据所述目标企业用户信息重新生成最新用户SSL证书;所述收发模块802,还用于将所述最新用户SSL证书提供给所述目标客户端。
需要说明的是:上述实施例提供的用于企业内网访问的CDN节点、客户端和管理平台在访问企业内网时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的CDN节点、客户端和管理平台与企业内网访问的方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于相同的技术构思,本发明实施例还提供了一种用于企业内网访问的系统,包括上述的CDN节点、客户端、管理平台和鉴权服务器;所述鉴权服务器,用于接收管理平台发来的企业用户信息和CDN节点发来的目标客户端对应的企业用户信息,根据所述目标客户端对应的企业用户信息和企业用户信息对所述目标客户端进行身份鉴权,并向CDN节点反馈鉴权结果。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务端,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (31)
1.一种企业内网访问的方法,其特征在于,所述方法包括:
目标CDN节点与目标客户端建立通信连接并进行SSL握手;
所述目标CDN节点确定所述目标客户端访问的目标企业服务器,通过管理平台预先下发的所述目标企业服务器的SSL证书与所述目标客户端进行SSL双向认证;
如果认证通过,所述目标CDN节点则将所述目标客户端对应的企业用户信息发送给鉴权服务器,以使所述鉴权服务器根据所述企业用户信息对所述目标客户端进行身份鉴权;
如果接收到所述鉴权服务器反馈的鉴权成功消息,所述目标CDN节点则向所述目标企业服务器转发所述目标客户端对于所述目标企业服务器的访问请求,否则向所述目标客户端反馈访问失败消息。
2.根据权利要求1所述的企业内网访问的方法,其特征在于,所述目标CDN节点将所述目标客户端对应的企业用户信息发送给鉴权服务器之前,还包括:
所述目标CDN节点接收所述目标客户端对于所述目标企业服务器的访问请求,提取所述访问请求中包含的所述目标客户端对应的企业用户信息。
3.根据权利要求2所述的企业内网访问的方法,其特征在于,所述方法还包括:
如果接收到所述鉴权服务器反馈的鉴权成功消息,所述目标CDN节点存储所述目标客户端对应的企业用户信息;
当再次接收到所述目标客户端对于所述目标企业服务器的访问请求时,所述目标CDN节点使用本地存储的所述目标客户端对应的企业用户信息对所述目标客户端进行鉴权。
4.根据权利要求1所述的企业内网访问的方法,其特征在于,所述目标CDN节点与目标客户端建立通信连接并进行SSL握手之前,还包括:
所述目标CDN节点接收并安装所述管理平台下发的所述目标企业服务器的SSL证书;
所述目标CDN节点向DNS系统发送携带有所述目标企业服务器的域名和所述目标CDN节点的IP地址的域名添加请求。
5.根据权利要求4所述的企业内网访问的方法,其特征在于,所述方法还包括:
如果所述目标客户端对所述目标CDN节点认证不通过,所述目标CDN节点则向所述管理平台发送携带有目标企业服务器的标识信息的证书更新请求;
所述目标CDN节点接收并安装所述管理平台下发的所述目标企业服务器的最新SSL证书。
6.一种企业内网访问的方法,其特征在于,所述方法包括:
在接收目标企业服务器的访问指令之后,目标客户端与目标CDN节点建立通信连接并进行SSL握手;
所述目标客户端通过预先安装的用户SSL证书与所述目标CDN节点进行SSL双向认证;
如果认证通过,所述目标客户端则向所述目标CDN节点发送对于所述目标企业服务器的访问请求,以使所述目标CDN节点将所述目标客户端对应的企业用户信息发送给鉴权服务器对所述目标客户端进行身份鉴权,并在接收到所述鉴权服务器反馈的鉴权成功消息后,向所述目标企业服务器转发所述目标客户端对于所述目标企业服务器的访问请求。
7.根据权利要求6所述的企业内网访问的方法,其特征在于,在接收目标企业服务器的访问指令之前,所述方法还包括:
所述目标客户端接收管理平台发送的所述目标客户端对应的用户SSL证书的证书存储地址和证书安装密钥;
所述目标客户端根据所述证书存储地址和所述证书安装密钥下载并安装所述目标客户端对应的用户SSL证书。
8.根据权利要求6所述的企业内网访问的方法,其特征在于,所述方法还包括:
如果所述目标客户端对所述目标CDN节点认证不通过,所述目标客户端则确定新CDN节点,并与所述新CDN节点建立通信连接和进行SSL握手。
9.根据权利要求6所述的企业内网访问的方法,其特征在于,所述方法还包括:
如果所述目标CDN节点对所述目标客户端认证不通过,所述目标客户端则向管理平台发送携带有所述目标客户端的标识信息的证书更新请求;
所述目标客户端获取所述管理平台重新提供的最新用户SSL证书。
10.根据权利要求6所述的企业内网访问的方法,其特征在于,所述目标客户端与目标CDN节点建立通信连接并进行SSL握手之前,还包括:
所述目标客户端向DNS系统发送对于所述目标企业服务器的域名信息;
所述目标客户端接收所述DNS系统反馈的所述目标CDN节点的IP地址;
所述目标客户端根据所述目标CDN节点的IP地址向所述目标CDN节点发送通信连接建立请求。
11.一种企业内网访问的方法,其特征在于,所述方法包括:
管理平台获取目标企业的企业信息,并根据所述企业信息生成所述目标企业的所有企业服务器的SSL证书;
所述管理平台获取所述目标企业的企业用户信息,并根据每个所述企业用户信息生成对应的用户SSL证书;
所述管理平台将所述所有企业服务器的SSL证书发送给预设CDN节点,并向每个企业用户提供对应的用户SSL证书,以使所述企业用户在客户端上安装所述用户SSL证书,并在所述客户端与所述预设CDN节点建立通信连接后进行SSL双向认证,在认证通过后,所述预设CDN节点接收所述客户端对于所述企业服务器的访问请求,将所述客户端对应的企业用户信息发送给鉴权服务器对所述客户端进行身份鉴权,并在接收到所述鉴权服务器反馈的鉴权成功消息后,向所述企业服务器转发所述客户端对于所述企业服务器的访问请求。
12.根据权利要求11所述的企业内网访问的方法,其特征在于,所述方法还包括:
所述管理平台将获取的企业用户信息发送给鉴权服务器,以使所述鉴权服务器基于所述企业用户信息对所述所有企业服务器的访问端进行身份鉴权。
13.根据权利要求11所述的企业内网访问的方法,其特征在于,所述向每个企业用户提供对应的用户SSL证书,以使所述企业用户在客户端上安装所述用户SSL证书,包括:
所述管理平台存储所述用户SSL证书,并生成所述用户SSL证书的证书安装密钥;
所述管理平台将所述用户SSL证书的证书存储地址和所述证书安装密钥提供给所述用户SSL证书对应的企业用户,以使所述企业用户在客户端下载并安装所述用户SSL证书。
14.根据权利要求11所述的企业内网访问的方法,其特征在于,其特征在于,所述方法还包括:
当接收到目标CDN节点发送的携带有目标企业服务器的标识信息的证书更新请求时,所述管理平台根据所述标识信息确定所述目标企业服务器所属的目标企业;
所述管理平台根据所述目标企业的企业信息重新生成所述目标企业服务器的最新SSL证书,并向所述目标CDN节点发送所述最新SSL证书。
15.根据权利要求11所述的企业内网访问的方法,其特征在于,其特征在于,所述方法还包括:
当接收到目标客户端发送的携带有所述目标客户端的标识信息的证书更新请求时,所述管理平台根据所述标识信息确定所述目标客户端对应的目标企业用户信息;
所述管理平台根据所述目标企业用户信息重新生成最新用户SSL证书,将所述最新用户SSL证书提供给所述目标客户端。
16.一种用于企业内网访问的CDN节点,其特征在于,所述CDN节点包括:
连接模块,用于与目标客户端建立通信连接并进行SSL握手;
认证模块,用于确定所述目标客户端访问的目标企业服务器,通过管理平台预先下发的所述目标企业服务器的SSL证书与所述目标客户端进行SSL双向认证;
鉴权模块,用于如果认证通过,则将所述目标客户端对应的企业用户信息发送给鉴权服务器,以使所述鉴权服务器根据所述企业用户信息对所述目标客户端进行身份鉴权;
处理模块,用于如果接收到所述鉴权服务器反馈的鉴权成功消息,则向所述目标服务器转发所述目标客户端对于所述目标企业服务器的访问请求,否则向所述目标客户端反馈访问失败消息。
17.根据权利要求16所述的用于企业内网访问的CDN节点,其特征在于,所述CDN节点还包括:
提取模块,用于接收所述目标客户端对于所述目标企业服务器的访问请求,提取所述访问请求中包含的所述目标客户端对应的企业用户信息。
18.根据权利要求17所述的用于企业内网访问的CDN节点,其特征在于,所述鉴权模块,还用于:
如果接收到所述鉴权服务器反馈的鉴权成功消息,存储所述目标客户端对应的企业用户信息;
当再次接收到所述目标客户端对于所述目标企业服务器的访问请求时,使用本地存储的所述目标客户端对应的企业用户信息对所述目标客户端进行鉴权。
19.根据权利要求16所述的用于企业内网访问的CDN节点,其特征在于,所述CDN节点还包括:
证书安装模块,用于接收并安装所述管理平台下发的所述目标企业服务器的SSL证书;
域名添加模块,用于向DNS系统发送携带有所述目标企业服务器的域名和所述目标CDN节点的IP地址的域名添加请求。
20.根据权利要求19所述的用于企业内网访问的CDN节点,其特征在于:
所述认证模块,还用于如果所述目标客户端对所述目标CDN节点认证不通过,则向所述管理平台发送携带有目标企业服务器的标识信息的证书更新请求;
所述证书安装模块,还用于接收并安装所述管理平台下发的所述目标企业服务器的最新SSL证书。
21.一种用于企业内网访问的客户端,其特征在于,所述客户端包括:
连接模块,用于在接收目标企业服务器的访问指令之后,与目标CDN节点建立通信连接并进行SSL握手;
认证模块,用于通过预先安装的用户SSL证书与所述目标CDN节点进行SSL双向认证;
访问模块,用于如果认证通过,则向所述目标CDN节点发送对于所述目标企业服务器的访问请求,以使所述目标CDN节点将所述目标客户端对应的企业用户信息发送给鉴权服务器对所述目标客户端进行身份鉴权,并在接收到所述鉴权服务器反馈的鉴权成功消息后,向所述目标企业服务器转发所述目标客户端对于所述目标企业服务器的访问请求。
22.根据权利要求21所述的用于企业内网访问的客户端,其特征在于,所述客户端还包括:
证书安装模块,用于接收管理平台发送的所述目标客户端对应的用户SSL证书的证书存储地址和证书安装密钥;根据所述证书存储地址和所述证书安装密钥下载并安装所述目标客户端对应的用户SSL证书。
23.根据权利要求21所述的用于企业内网访问的客户端,其特征在于:
所述认证模块,还用于如果所述目标客户端对所述目标CDN节点认证不通过,则确定新CDN节点,并与所述新CDN节点建立通信连接和进行SSL握手。
24.根据权利要求21所述的用于企业内网访问的客户端,其特征在于,
所述证书安装模块,还用于如果所述目标CDN节点对所述目标客户端认证不通过,向管理平台发送携带有所述目标客户端的标识信息的证书更新请求;获取所述管理平台重新提供的最新用户SSL证书。
25.根据权利要求21所述的用于企业内网访问的客户端,其特征在于,所述连接模块,还用于:
向DNS系统发送对于所述目标企业服务器的域名信息;
接收所述DNS系统反馈的所述目标CDN节点的IP地址;
根据所述目标CDN节点的IP地址向所述目标CDN节点发送通信连接建立请求。
26.一种用于企业内网访问的管理平台,其特征在于,所述管理平台包括:
证书生成模块,用于获取目标企业的企业信息,并根据所述企业信息生成所述目标企业的所有企业服务器的SSL证书,获取所述目标企业的企业用户信息,并根据每个所述企业用户信息生成对应的用户SSL证书;
收发模块,用于将所述所有企业服务器的SSL证书发送给预设CDN节点,并向每个企业用户提供对应的用户SSL证书,以使所述企业用户在客户端上安装所述用户SSL证书,并在所述客户端与所述预设CDN节点建立通信连接后进行SSL双向认证,在认证通过后,所述预设CDN节点接收所述客户端对于所述企业服务器的访问请求,将所述客户端对应的企业用户信息发送给鉴权服务器对所述客户端进行身份鉴权,并在接收到所述鉴权服务器反馈的鉴权成功消息后,向所述企业服务器转发所述客户端对于所述企业服务器的访问请求。
27.根据权利要求26所述的用于企业内网访问的管理平台,其特征在于,所述收发模块,还用于:
将获取的企业用户信息发送给鉴权服务器,以使所述鉴权服务器基于所述企业用户信息对所述所有企业服务器的访问端进行身份鉴权。
28.根据权利要求26所述的用于企业内网访问的管理平台,其特征在于,所述收发模块,具体用于:
存储所述用户SSL证书,并生成所述用户SSL证书的证书安装密钥;
将所述用户SSL证书的证书存储地址和所述证书安装密钥提供给所述用户SSL证书对应的企业用户,以使所述企业用户在客户端下载并安装所述用户SSL证书。
29.根据权利要求26所述的用于企业内网访问的管理平台,其特征在于:
所述收发模块,还用于当接收到目标CDN节点发送的携带有目标企业服务器的标识信息的证书更新请求时,根据所述标识信息确定所述目标企业服务器所属的目标企业;
所述证书生成模块,还用于根据所述目标企业的企业信息重新生成所述目标企业服务器的最新SSL证书;
所述收发模块,还用于向所述目标CDN节点发送所述最新SSL证书。
30.根据权利要求26所述的用于企业内网访问的管理平台,其特征在于:
所述收发模块,还用于当接收到目标客户端发送的携带有所述目标客户端的标识信息的证书更新请求时,根据所述标识信息确定所述目标客户端对应的目标企业用户信息;
所述证书生成模块,还用于根据所述目标企业用户信息重新生成最新用户SSL证书;
所述收发模块,还用于将所述最新用户SSL证书提供给所述目标客户端。
31.一种用于企业内网访问的系统,其特征在于,包括权利要求16-20任一项所述的CDN节点、权利要求21-25任一项所述的客户端、权利要求26-30任一项所述的管理平台和鉴权服务器;
所述鉴权服务器,用于接收管理平台发来的企业用户信息和CDN节点发来的目标客户端对应的企业用户信息,根据所述目标客户端对应的企业用户信息和企业用户信息对所述目标客户端进行身份鉴权,并向CDN节点反馈鉴权结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810471620.1A CN108768979B (zh) | 2018-05-17 | 2018-05-17 | 企业内网访问的方法、用于企业内网访问的装置及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810471620.1A CN108768979B (zh) | 2018-05-17 | 2018-05-17 | 企业内网访问的方法、用于企业内网访问的装置及其系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108768979A CN108768979A (zh) | 2018-11-06 |
| CN108768979B true CN108768979B (zh) | 2021-04-16 |
Family
ID=64006834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810471620.1A Active CN108768979B (zh) | 2018-05-17 | 2018-05-17 | 企业内网访问的方法、用于企业内网访问的装置及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108768979B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111193692A (zh) * | 2018-11-15 | 2020-05-22 | 北京金山云网络技术有限公司 | 请求响应方法、装置、边缘节点和鉴权系统 |
| CN109818946B (zh) * | 2019-01-11 | 2022-07-26 | 网宿科技股份有限公司 | Ca证书申请和部署的方法和系统 |
| CN109889625B (zh) * | 2019-03-19 | 2021-09-10 | 全链通有限公司 | 访问服务器的方法、记账节点、服务器及计算机可读存储介质 |
| CN110213249A (zh) * | 2019-05-20 | 2019-09-06 | 网宿科技股份有限公司 | 基于请求粒度的证书动态加载方法、装置和服务器 |
| CN110708301B (zh) * | 2019-09-24 | 2022-06-24 | 贝壳找房(北京)科技有限公司 | 一种用户请求处理方法、装置、电子设备和存储介质 |
| CN111224952B (zh) * | 2019-12-24 | 2022-06-03 | 中移(杭州)信息技术有限公司 | 用于定向流量的网络资源获取方法、装置及存储介质 |
| CN111935169B (zh) * | 2020-08-20 | 2021-10-26 | 腾讯云计算(北京)有限责任公司 | 一种业务数据访问方法、装置、设备及存储介质 |
| CN111818100B (zh) * | 2020-09-04 | 2021-02-02 | 腾讯科技(深圳)有限公司 | 一种跨网配置通道的方法、相关设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101094057A (zh) * | 2006-06-20 | 2007-12-26 | 国际商业机器公司 | 内容分发方法、装置及系统 |
| CN106464485A (zh) * | 2014-02-11 | 2017-02-22 | 爱立信股份有限公司 | 用于保护在清单文件中输送的内容密钥的系统和方法 |
| CN106464739A (zh) * | 2014-06-19 | 2017-02-22 | 微软技术许可有限责任公司 | 保护与增强的媒体平台的通信 |
| CN106961451A (zh) * | 2017-05-25 | 2017-07-18 | 网宿科技股份有限公司 | Cdn中的鉴权方法、鉴权系统、边缘节点及鉴权服务器 |
| WO2018048759A1 (en) * | 2016-09-09 | 2018-03-15 | Microsoft Technology Licensing, Llc | Interchangeable retrieval of sensitive content via private content distribution networks |
-
2018
- 2018-05-17 CN CN201810471620.1A patent/CN108768979B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101094057A (zh) * | 2006-06-20 | 2007-12-26 | 国际商业机器公司 | 内容分发方法、装置及系统 |
| CN106464485A (zh) * | 2014-02-11 | 2017-02-22 | 爱立信股份有限公司 | 用于保护在清单文件中输送的内容密钥的系统和方法 |
| CN106464739A (zh) * | 2014-06-19 | 2017-02-22 | 微软技术许可有限责任公司 | 保护与增强的媒体平台的通信 |
| WO2018048759A1 (en) * | 2016-09-09 | 2018-03-15 | Microsoft Technology Licensing, Llc | Interchangeable retrieval of sensitive content via private content distribution networks |
| CN106961451A (zh) * | 2017-05-25 | 2017-07-18 | 网宿科技股份有限公司 | Cdn中的鉴权方法、鉴权系统、边缘节点及鉴权服务器 |
Non-Patent Citations (1)
| Title |
|---|
| 阿里云 CDN HTTPS 最佳实践——客户端证书认证;阿里云云栖社区;《https://developer.aliyun.com/article/272484》;20171127;第一页到第第三页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108768979A (zh) | 2018-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108768979B (zh) | 企业内网访问的方法、用于企业内网访问的装置及其系统 | |
| CN106357649B (zh) | 用户身份认证系统和方法 | |
| US8527762B2 (en) | Method for realizing an authentication center and an authentication system thereof | |
| US11303431B2 (en) | Method and system for performing SSL handshake | |
| US8438614B2 (en) | Communication system, relay apparatus, terminal apparatus and computer readable medium | |
| CN102833253A (zh) | 建立客户端与服务器安全连接的方法及服务器 | |
| US8707418B2 (en) | System and methods for web-application communication | |
| CN102315945A (zh) | 基于私有协议的统一身份认证方法 | |
| CN111212429A (zh) | 一种移动终端的安全接入系统及方法 | |
| CN112468442B (zh) | 双因子认证方法、装置、计算机设备及存储介质 | |
| WO2022100356A1 (zh) | 身份认证系统、方法、装置、设备及计算机可读存储介质 | |
| CN110933084A (zh) | 一种跨域共享登录态方法、装置、终端及存储介质 | |
| US10979750B2 (en) | Methods and devices for checking the validity of a delegation of distribution of encrypted content | |
| US10791119B1 (en) | Methods for temporal password injection and devices thereof | |
| CN114553480B (zh) | 跨域单点登录方法、装置、电子设备及可读存储介质 | |
| CN103716280A (zh) | 数据传输方法、服务器及系统 | |
| CN102611683B (zh) | 一种用于执行第三方认证的方法、装置、设备和系统 | |
| CN110581829A (zh) | 通信方法及装置 | |
| US10931662B1 (en) | Methods for ephemeral authentication screening and devices thereof | |
| WO2016000473A1 (zh) | 一种业务访问方法、系统及装置 | |
| US11095460B2 (en) | Certificate application operations | |
| CN108900584B (zh) | 内容分发网络的数据传输方法和系统 | |
| CN108809927B (zh) | 身份认证方法及装置 | |
| CN112235320B (zh) | 一种基于密码的视联网组播通信方法及装置 | |
| CN114553957A (zh) | 兼容国密和国际https传输的业务系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |