CN110401666A - 一种基于用户身份的网络权限分配方法 - Google Patents

一种基于用户身份的网络权限分配方法 Download PDF

Info

Publication number
CN110401666A
CN110401666A CN201910695665.1A CN201910695665A CN110401666A CN 110401666 A CN110401666 A CN 110401666A CN 201910695665 A CN201910695665 A CN 201910695665A CN 110401666 A CN110401666 A CN 110401666A
Authority
CN
China
Prior art keywords
client
server
user identity
authentication
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910695665.1A
Other languages
English (en)
Other versions
CN110401666B (zh
Inventor
娄举
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Hongmagic Cube Network Technology Co ltd
Original Assignee
Sichuan Hongmagic Cube Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Hongmagic Cube Network Technology Co ltd filed Critical Sichuan Hongmagic Cube Network Technology Co ltd
Priority to CN201910695665.1A priority Critical patent/CN110401666B/zh
Publication of CN110401666A publication Critical patent/CN110401666A/zh
Application granted granted Critical
Publication of CN110401666B publication Critical patent/CN110401666B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于用户身份的网络权限分配方法,包括:客户端和服务端进行双向认证,认证通过后,进入下一步;唤起用户身份认证接口,通过后,进入下一步;服务端调用地址分配接口为客户端分配匹配地址;客户端发送网络请求,路由器收到请求后根据路由策略对报文信息进行过滤,匹配成功后按照路由策略进行报文转发。本发明相比现有技术中仅使用用户名密码认证的方法,在进行用户名密码认证之前引入了服务端与客户端双向认证,进一步提高了安全性,相比现有技术通过路由表方式进行网络隔离,本方案使用客户端地址分配加策略路由的方式进行网络隔离,使企业内部网络及服务器访问权限分离配置更简单灵活。

Description

一种基于用户身份的网络权限分配方法
技术领域
本发明涉及互联网通信技术领域,具体的说,是一种基于用户身份的网络权限方法。
背景技术
现有技术中对网络隔离一般采用路由表方式,以及在服务器端对客户端进行认证时一般采用用户名和密码认证的方式,其安全性不高且企业内部网络以及服务器访问权限的分离配置不够灵活。
发明内容
本发明的目的在于提供一种基于用户身份的网络权限方法,用于解决现有技术中服务器访问权限分离配置不够灵活的问题。
本发明通过下述技术方案解决上述问题:
一种基于用户身份的网络权限分配方法,包括:
步骤S100:客户端和服务端进行双向认证,认证通过后,进入下一步;
步骤S200:唤起用户身份认证接口,通过后,进入下一步;
步骤S300:服务端调用地址分配接口为客户端分配匹配地址;
步骤S400:客户端发送网络请求,路由器收到请求后根据路由策略对报文信息进行过滤,匹配成功后按照路由策略进行报文转发。
进一步地,所述步骤S100具体包括:
步骤S110:服务器安装用户认证服务端,生成服务端证书、客户端证书和配置文件;
步骤S120:客户端安装用户认证客户端,导入所述配置文件和客户端证书;
步骤S130:客户端向服务器发起请求,客户端先出具客户端证书,服务端使用服务端证书认证客户端证书后,出具服务端证书;
步骤S140:客户端使用客户端证书认证所述服务端证书,双向认证后确认对方是否为合法的连接对象,如果是,完成服务端/客户端认证,进入下一步;否则,双向认证失败,返回步骤S130。
进一步地,所述步骤S200具体包括:
步骤S210:客户端唤起用户身份认证接口,用户身份认证接口将用户输入的用户名、密码信息传递至数据库进行匹配,如果匹配失败,用户身份认证接口将失败信息返还至客户端并自行关闭,返回步骤S210;若匹配成功,进入下一步;
步骤S220:服务端记录用户登录信息。
进一步地,所述步骤S300具体包括:服务端调用客户端地址分配接口,根据存储的地址分配信息,客户端地址分配接口分配对应的虚拟地址给客户端。
进一步地,所述服务器采用RSA非对称算法生成所述服务端证书和客户端证书。
本发明与现有技术相比,具有以下优点及有益效果:
(1)本发明提出了一种用户信息认证服务器结合路由策略的方法,相比现有技术中仅使用用户名密码认证的方法,本方案在进行用户名密码认证之前引入了服务端与客户端双向认证,进一步提高了安全性,相比现有技术通过路由表方式进行网络隔离,本方案使用客户端地址分配加策略路由的方式进行网络隔离,使企业内部网络及服务器访问权限分离配置更简单灵活。
附图说明
图1为本发明的原理框图。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
实施例1:
结合附图1所示,一种基于用户身份的网络权限分配方法,包括:
步骤S110:服务器安装用户认证服务端,生成服务端证书、客户端证书和配置文件;
用户及权限信息都在用户认证服务器中统一配置,包括服务端/客户端双向认证证书信息,用户身份信息,地址分配信息,路由策略信息;用户身份信息保存于数据库中,包含有用户名/密码/用户信息/账号过期时间信息,可通过web页面添加、修改、删除;地址分配信息保存于地址分配表中,包含有用户名与地址匹配信息;路由策略信息保存于路由表中,包含有报文规则、报文转发规则信息;
步骤S120:客户端安装用户认证客户端,导入所述配置文件和客户端证书;
步骤S130:客户端向服务器发起请求,客户端先出具客户端证书,服务端使用服务端证书认证客户端证书后,出具服务端证书;
步骤S140:客户端使用客户端证书认证所述服务端证书,双向认证后确认对方是否为合法的连接对象,如果是,完成服务端/客户端认证,进入下一步;否则,双向认证失败,返回步骤S130。
步骤S210:客户端唤起用户身份认证接口,用户身份认证接口将用户输入的用户名、密码信息传递至数据库进行匹配,如果匹配失败,用户身份认证接口将失败信息返还至客户端并自行关闭,返回步骤S210;若匹配成功,进入下一步;
步骤S220:服务端记录用户登录信息。
根据证书校验结果决定是否建立链接、唤起用户身份认证接口,如果是,则传递客户端输入的用户名和密码到数据库,确认用户信息是否正确,用户是否到期,若用户信息与数据库认证失败,关闭用户身份认证接口,通知客户端,客户端将再次唤起用户身份认证接口;若数据库认证成功,根据存储的地址分配信息,客户端地址分配接口分配对应的虚拟地址给客户端;
地址分配成功后,客户端发送网络请求,路由器收到该请求后根据路由策略信息对报文进行过滤,匹配成功后按照路由策略进行报文转发。
尽管这里参照本发明的解释性实施例对本发明进行了描述,上述实施例仅为本发明较佳的实施方式,本发明的实施方式并不受上述实施例的限制,应该理解,本领域技术人员可以设计出很多其他的修改和实施方式,这些修改和实施方式将落在本申请公开的原则范围和精神之内。

Claims (5)

1.一种基于用户身份的网络权限分配方法,其特征在于,包括:
步骤S100:客户端和服务端进行双向认证,认证通过后,进入下一步;
步骤S200:唤起用户身份认证接口,通过后,进入下一步;
步骤S300:服务端调用地址分配接口为客户端分配匹配地址;
步骤S400:客户端发送网络请求,路由器收到请求后根据路由策略对报文信息进行过滤,匹配成功后按照路由策略进行报文转发。
2.根据权利要求1所述的一种基于用户身份的网络权限分配方法,其特征在于,所述步骤S100具体包括:
步骤S110:服务器安装用户认证服务端,生成服务端证书、客户端证书和配置文件;
步骤S120:客户端安装用户认证客户端,导入所述配置文件和客户端证书;
步骤S130:客户端向服务器发起请求,客户端先出具客户端证书,服务端使用服务端证书认证客户端证书后,出具服务端证书;
步骤S140:客户端使用客户端证书认证所述服务端证书,双向认证后确认对方是否为合法的连接对象,如果是,完成服务端/客户端认证,进入下一步;否则,双向认证失败,返回步骤S130。
3.根据权利要求2所述的一种基于用户身份的网络权限分配方法,其特征在于,所述步骤S200具体包括:
步骤S210:客户端唤起用户身份认证接口,用户身份认证接口将用户输入的用户名、密码信息传递至数据库进行匹配,如果匹配失败,用户身份认证接口将失败信息返还至客户端并自行关闭,返回步骤S210;若匹配成功,进入下一步;
步骤S220:服务端记录用户登录信息。
4.根据权利要求3所述的一种基于用户身份的网络权限分配方法,其特征在于,所述步骤S300具体包括:服务端调用客户端地址分配接口,根据存储的地址分配信息,客户端地址分配接口分配对应的虚拟地址给客户端。
5.根据权利要求2所述的一种基于用户身份的网络权限分配方法,其特征在于,所述服务器采用RSA非对称算法生成所述服务端证书和客户端证书。
CN201910695665.1A 2019-07-30 2019-07-30 一种基于用户身份的网络权限分配方法 Active CN110401666B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910695665.1A CN110401666B (zh) 2019-07-30 2019-07-30 一种基于用户身份的网络权限分配方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910695665.1A CN110401666B (zh) 2019-07-30 2019-07-30 一种基于用户身份的网络权限分配方法

Publications (2)

Publication Number Publication Date
CN110401666A true CN110401666A (zh) 2019-11-01
CN110401666B CN110401666B (zh) 2022-05-13

Family

ID=68326673

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910695665.1A Active CN110401666B (zh) 2019-07-30 2019-07-30 一种基于用户身份的网络权限分配方法

Country Status (1)

Country Link
CN (1) CN110401666B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114785761A (zh) * 2022-03-22 2022-07-22 杭州指令集智能科技有限公司 物联网操作系统中一种先进的k8s集群互相通信方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1372292A1 (en) * 2002-06-10 2003-12-17 Microsoft Corporation Secure key exchange with mutual authentication
CN101515882A (zh) * 2008-02-20 2009-08-26 深圳华为通信技术有限公司 一种局域网与公网通信的方法、设备及系统
CN101674304A (zh) * 2009-10-15 2010-03-17 浙江师范大学 一种网络身份认证系统及方法
CN102075522A (zh) * 2010-12-22 2011-05-25 北京航空航天大学 一种结合数字证书和动态密码的安全认证与交易方法
CN106936790A (zh) * 2015-12-30 2017-07-07 上海格尔软件股份有限公司 基于数字证书实现客户端和服务器端进行双向认证的方法
CN107005603A (zh) * 2016-08-30 2017-08-01 深圳前海达闼云端智能科技有限公司 用于ip地址分配的方法、装置、系统和计算机程序产品
US20170237716A1 (en) * 2016-02-17 2017-08-17 Electronics And Telecommunications Research Institute System and method for interlocking intrusion information
CN108834146A (zh) * 2018-06-22 2018-11-16 武汉彤科电力科技有限公司 一种终端与认证网关之间的双向身份认证方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1372292A1 (en) * 2002-06-10 2003-12-17 Microsoft Corporation Secure key exchange with mutual authentication
CN101515882A (zh) * 2008-02-20 2009-08-26 深圳华为通信技术有限公司 一种局域网与公网通信的方法、设备及系统
CN101674304A (zh) * 2009-10-15 2010-03-17 浙江师范大学 一种网络身份认证系统及方法
CN102075522A (zh) * 2010-12-22 2011-05-25 北京航空航天大学 一种结合数字证书和动态密码的安全认证与交易方法
CN106936790A (zh) * 2015-12-30 2017-07-07 上海格尔软件股份有限公司 基于数字证书实现客户端和服务器端进行双向认证的方法
US20170237716A1 (en) * 2016-02-17 2017-08-17 Electronics And Telecommunications Research Institute System and method for interlocking intrusion information
CN107005603A (zh) * 2016-08-30 2017-08-01 深圳前海达闼云端智能科技有限公司 用于ip地址分配的方法、装置、系统和计算机程序产品
CN108834146A (zh) * 2018-06-22 2018-11-16 武汉彤科电力科技有限公司 一种终端与认证网关之间的双向身份认证方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
孟祥宏,刘晓燕: "一种基于软令牌的企业即时通信双向认证方案", 《贵州大学学报(自然科学版)》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114785761A (zh) * 2022-03-22 2022-07-22 杭州指令集智能科技有限公司 物联网操作系统中一种先进的k8s集群互相通信方法
CN114785761B (zh) * 2022-03-22 2023-07-18 杭州指令集智能科技有限公司 物联网操作系统中一种先进的k8s集群互相通信方法

Also Published As

Publication number Publication date
CN110401666B (zh) 2022-05-13

Similar Documents

Publication Publication Date Title
CN102638454B (zh) 一种面向http身份鉴别协议的插件式单点登录集成方法
CN100563248C (zh) 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和系统
CN101785276B (zh) 用于执行资源委托的方法和系统
US20160105410A1 (en) OMA DM Based Terminal Authentication Method, Terminal and Server
CN109815656A (zh) 登录认证方法、装置、设备及计算机可读存储介质
CN110535851A (zh) 一种基于oauth2协议的用户认证系统
JP2005339093A (ja) 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体
CN109684867A (zh) 一种网盘文件协同与访问的控制方法、装置及系统
CN103780580B (zh) 提供能力访问策略的方法、服务器和系统
CN112468481B (zh) 一种基于CAS的单页和多页web应用身份集成认证方法
CN107172054A (zh) 一种基于cas的权限认证方法、装置及系统
CN103220259A (zh) Oauth API的使用、调用方法、设备及系统
CN101540757A (zh) 网络认证方法、系统和认证设备
CN110493237A (zh) 身份管理方法、装置、计算机设备及存储介质
CN111277549A (zh) 一种采用区块链的安全服务方法与系统
CN109150800A (zh) 一种登录访问方法、系统和存储介质
CN109495486A (zh) 一种基于JWT的单页Web应用集成CAS的方法
US8650392B2 (en) Ticket authorization
CN103546290B (zh) 具有用户组的第三方认证系统或方法
CN107493293A (zh) 一种sip终端接入鉴权的方法
CN107819766B (zh) 安全认证方法、系统及计算机可读存储介质
CN103379093B (zh) 一种实现账号互通的方法及装置
CN108875004A (zh) 资源访问方法及装置
CN103618605B (zh) 时变访问令牌的生成方法及服务器
CN103873585B (zh) 一种Radius认证装置和方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant