CN110401666B - 一种基于用户身份的网络权限分配方法 - Google Patents
一种基于用户身份的网络权限分配方法 Download PDFInfo
- Publication number
- CN110401666B CN110401666B CN201910695665.1A CN201910695665A CN110401666B CN 110401666 B CN110401666 B CN 110401666B CN 201910695665 A CN201910695665 A CN 201910695665A CN 110401666 B CN110401666 B CN 110401666B
- Authority
- CN
- China
- Prior art keywords
- client
- server
- authentication
- certificate
- user identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种基于用户身份的网络权限分配方法,包括:客户端和服务端进行双向认证,认证通过后,进入下一步;唤起用户身份认证接口,通过后,进入下一步;服务端调用地址分配接口为客户端分配匹配地址;客户端发送网络请求,路由器收到请求后根据路由策略对报文信息进行过滤,匹配成功后按照路由策略进行报文转发。本发明相比现有技术中仅使用用户名密码认证的方法,在进行用户名密码认证之前引入了服务端与客户端双向认证,进一步提高了安全性,相比现有技术通过路由表方式进行网络隔离,本方案使用客户端地址分配加策略路由的方式进行网络隔离,使企业内部网络及服务器访问权限分离配置更简单灵活。
Description
技术领域
本发明涉及互联网通信技术领域,具体的说,是一种基于用户身份的网络权限方法。
背景技术
现有技术中对网络隔离一般采用路由表方式,以及在服务器端对客户端进行认证时一般采用用户名和密码认证的方式,其安全性不高且企业内部网络以及服务器访问权限的分离配置不够灵活。
发明内容
本发明的目的在于提供一种基于用户身份的网络权限方法,用于解决现有技术中服务器访问权限分离配置不够灵活的问题。
本发明通过下述技术方案解决上述问题:
一种基于用户身份的网络权限分配方法,包括:
步骤S100:客户端和服务端进行双向认证,认证通过后,进入下一步;
步骤S200:唤起用户身份认证接口,通过后,进入下一步;
步骤S300:服务端调用地址分配接口为客户端分配匹配地址;
步骤S400:客户端发送网络请求,路由器收到请求后根据路由策略对报文信息进行过滤,匹配成功后按照路由策略进行报文转发。
进一步地,所述步骤S100具体包括:
步骤S110:服务器安装用户认证服务端,生成服务端证书、客户端证书和配置文件;
步骤S120:客户端安装用户认证客户端,导入所述配置文件和客户端证书;
步骤S130:客户端向服务器发起请求,客户端先出具客户端证书,服务端使用服务端证书认证客户端证书后,出具服务端证书;
步骤S140:客户端使用客户端证书认证所述服务端证书,双向认证后确认对方是否为合法的连接对象,如果是,完成服务端/客户端认证,进入下一步;否则,双向认证失败,返回步骤S130。
进一步地,所述步骤S200具体包括:
步骤S210:客户端唤起用户身份认证接口,用户身份认证接口将用户输入的用户名、密码信息传递至数据库进行匹配,如果匹配失败,用户身份认证接口将失败信息返还至客户端并自行关闭,返回步骤S210;若匹配成功,进入下一步;
步骤S220:服务端记录用户登录信息。
进一步地,所述步骤S300具体包括:服务端调用客户端地址分配接口,根据存储的地址分配信息,客户端地址分配接口分配对应的虚拟地址给客户端。
进一步地,所述服务器采用RSA非对称算法生成所述服务端证书和客户端证书。
本发明与现有技术相比,具有以下优点及有益效果:
(1)本发明提出了一种用户信息认证服务器结合路由策略的方法,相比现有技术中仅使用用户名密码认证的方法,本方案在进行用户名密码认证之前引入了服务端与客户端双向认证,进一步提高了安全性,相比现有技术通过路由表方式进行网络隔离,本方案使用客户端地址分配加策略路由的方式进行网络隔离,使企业内部网络及服务器访问权限分离配置更简单灵活。
附图说明
图1为本发明的原理框图。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
实施例1:
结合附图1所示,一种基于用户身份的网络权限分配方法,包括:
步骤S110:服务器安装用户认证服务端,生成服务端证书、客户端证书和配置文件;
用户及权限信息都在用户认证服务器中统一配置,包括服务端/客户端双向认证证书信息,用户身份信息,地址分配信息,路由策略信息;用户身份信息保存于数据库中,包含有用户名/密码/用户信息/账号过期时间信息,可通过web页面添加、修改、删除;地址分配信息保存于地址分配表中,包含有用户名与地址匹配信息;路由策略信息保存于路由表中,包含有报文规则、报文转发规则信息;
步骤S120:客户端安装用户认证客户端,导入所述配置文件和客户端证书;
步骤S130:客户端向服务器发起请求,客户端先出具客户端证书,服务端使用服务端证书认证客户端证书后,出具服务端证书;
步骤S140:客户端使用客户端证书认证所述服务端证书,双向认证后确认对方是否为合法的连接对象,如果是,完成服务端/客户端认证,进入下一步;否则,双向认证失败,返回步骤S130。
步骤S210:客户端唤起用户身份认证接口,用户身份认证接口将用户输入的用户名、密码信息传递至数据库进行匹配,如果匹配失败,用户身份认证接口将失败信息返还至客户端并自行关闭,返回步骤S210;若匹配成功,进入下一步;
步骤S220:服务端记录用户登录信息。
根据证书校验结果决定是否建立链接、唤起用户身份认证接口,如果是,则传递客户端输入的用户名和密码到数据库,确认用户信息是否正确,用户是否到期,若用户信息与数据库认证失败,关闭用户身份认证接口,通知客户端,客户端将再次唤起用户身份认证接口;若数据库认证成功,根据存储的地址分配信息,客户端地址分配接口分配对应的虚拟地址给客户端;
地址分配成功后,客户端发送网络请求,路由器收到该请求后根据路由策略信息对报文进行过滤,匹配成功后按照路由策略进行报文转发。
尽管这里参照本发明的解释性实施例对本发明进行了描述,上述实施例仅为本发明较佳的实施方式,本发明的实施方式并不受上述实施例的限制,应该理解,本领域技术人员可以设计出很多其他的修改和实施方式,这些修改和实施方式将落在本申请公开的原则范围和精神之内。
Claims (4)
1.一种基于用户身份的网络权限分配方法,其特征在于,包括:
步骤S100:客户端和服务端进行双向认证,认证通过后,进入下一步;
步骤S200:唤起用户身份认证接口,通过后,进入下一步;
步骤S300:服务端调用地址分配接口为客户端分配匹配地址;
步骤S400:客户端发送网络请求,路由器收到请求后根据路由策略对报文信息进行过滤,匹配成功后按照路由策略进行报文转发;
所述步骤S100具体包括:
步骤S110:服务器安装用户认证服务端,生成服务端证书、客户端证书和配置文件;
步骤S120:客户端安装用户认证客户端,导入所述配置文件和客户端证书;
步骤S130:客户端向服务器发起请求,客户端先出具客户端证书,服务端使用服务端证书认证客户端证书后,出具服务端证书;
步骤S140:客户端使用客户端证书认证所述服务端证书,双向认证后确认对方是否为合法的连接对象,如果是,完成服务端/客户端认证,进入下一步;否则,双向认证失败,返回步骤S130。
2.根据权利要求1所述的一种基于用户身份的网络权限分配方法,其特征在于,所述步骤S200具体包括:
步骤S210:客户端唤起用户身份认证接口,用户身份认证接口将用户输入的用户名、密码信息传递至数据库进行匹配,如果匹配失败,用户身份认证接口将失败信息返还至客户端并自行关闭,返回步骤S210;若匹配成功,进入下一步;
步骤S220:服务端记录用户登录信息。
3.根据权利要求2所述的一种基于用户身份的网络权限分配方法,其特征在于,所述步骤S300具体包括:服务端调用客户端地址分配接口,根据存储的地址分配信息,客户端地址分配接口分配对应的虚拟地址给客户端。
4.根据权利要求1所述的一种基于用户身份的网络权限分配方法,其特征在于,所述服务器采用RSA非对称算法生成所述服务端证书和客户端证书。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910695665.1A CN110401666B (zh) | 2019-07-30 | 2019-07-30 | 一种基于用户身份的网络权限分配方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910695665.1A CN110401666B (zh) | 2019-07-30 | 2019-07-30 | 一种基于用户身份的网络权限分配方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110401666A CN110401666A (zh) | 2019-11-01 |
CN110401666B true CN110401666B (zh) | 2022-05-13 |
Family
ID=68326673
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910695665.1A Active CN110401666B (zh) | 2019-07-30 | 2019-07-30 | 一种基于用户身份的网络权限分配方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110401666B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114785761B (zh) * | 2022-03-22 | 2023-07-18 | 杭州指令集智能科技有限公司 | 物联网操作系统中一种先进的k8s集群互相通信方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7565537B2 (en) * | 2002-06-10 | 2009-07-21 | Microsoft Corporation | Secure key exchange with mutual authentication |
CN101515882B (zh) * | 2008-02-20 | 2012-05-23 | 华为终端有限公司 | 一种局域网与公网通信的方法、设备及系统 |
CN101674304B (zh) * | 2009-10-15 | 2013-07-10 | 浙江师范大学 | 一种网络身份认证系统及方法 |
CN102075522B (zh) * | 2010-12-22 | 2012-07-04 | 北京航空航天大学 | 一种结合数字证书和动态密码的安全认证与交易方法 |
CN106936790A (zh) * | 2015-12-30 | 2017-07-07 | 上海格尔软件股份有限公司 | 基于数字证书实现客户端和服务器端进行双向认证的方法 |
KR20170096780A (ko) * | 2016-02-17 | 2017-08-25 | 한국전자통신연구원 | 침해사고 정보 연동 시스템 및 방법 |
CN107005603A (zh) * | 2016-08-30 | 2017-08-01 | 深圳前海达闼云端智能科技有限公司 | 用于ip地址分配的方法、装置、系统和计算机程序产品 |
CN108834146A (zh) * | 2018-06-22 | 2018-11-16 | 武汉彤科电力科技有限公司 | 一种终端与认证网关之间的双向身份认证方法 |
-
2019
- 2019-07-30 CN CN201910695665.1A patent/CN110401666B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN110401666A (zh) | 2019-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
US10652226B2 (en) | Securing communication over a network using dynamically assigned proxy servers | |
CN103117987B (zh) | 数字证书更新方法 | |
CN101986598B (zh) | 认证方法、服务器及系统 | |
US10873497B2 (en) | Systems and methods for maintaining communication links | |
WO2005074188A1 (fr) | Procede d'obtention d'une identification utilisateur pour entite d'application du reseau | |
CN107634973B (zh) | 一种服务接口安全调用方法 | |
WO2022001474A1 (zh) | 网络切片连接管理方法、终端及计算机可读存储介质 | |
CN107493293A (zh) | 一种sip终端接入鉴权的方法 | |
CN114553592A (zh) | 一种设备身份验证的方法、设备及存储介质 | |
CN110401666B (zh) | 一种基于用户身份的网络权限分配方法 | |
CN114221959A (zh) | 服务共享方法、装置和系统 | |
US11575667B1 (en) | System and method for secure communications | |
KR20090014625A (ko) | 사설 네트워크를 갖는 네트워크에서의 인증 시스템 및 방법 | |
CN103873585A (zh) | 一种Radius认证装置和方法 | |
CN115834127A (zh) | 一种基于临时授权的边缘计算网关数据分发方法及系统 | |
US10447688B1 (en) | System for secure communications | |
US20190208489A1 (en) | Registration management method and device | |
JP3645844B2 (ja) | 中継接続方式およびネットワークレベル認証サーバおよびゲートウェイ装置および情報サーバおよびプログラム | |
CN112367188A (zh) | 一种基于零信任模型的私有化安全系统及实现方法 | |
CN114024755B (zh) | 服务访问控制方法、装置、设备及计算机可读存储介质 | |
WO2017020546A1 (zh) | 验证网络接入设备的方法及装置 | |
WO2023284549A1 (zh) | 一种用户数据管理方法以及相关设备 | |
JP3706350B2 (ja) | コンテンツフィルタリング装置及び方法 | |
KR100472926B1 (ko) | 네트웍을 이용한 소프트웨어 플로팅 라이센스 관리 방법및 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |