专利名称:信息系统的访问管理方法、装置、系统和接入设备的制作方法
技术领域:
本发明涉及通信技术,尤其涉及一种信息系统的访问管理方法、装置、系统和接入 设备。
背景技术:
随着科技的不断发展和进步,计算机在办公系统中逐渐普及化,各大公司企业对 计算机的依赖性也越来越高,而企业规模越大,其内部的信息系统越复杂。此处的信息系统 即可以访问的网络资源,如政府部门的财务系统、资产管理系统和人事系统。在整个网络 中,各个访问网络的用户的权限各不相同,通过将具有相同权限的用户划分为一个组,来减 少网络管理员的负担,即只要对一个用户组赋予一定的权力,则该组内的用户便具有相同 的权力。如财政司、行政司和人事司的工作人员分别只能访问财务系统、资产管理系统和人 事系统,即将工作人员划分为财政组、行政组和人事组,并分别赋予可访问财政系统、资产 管理系统和人事系统的权力。在现有技术中,最常用的用户组划分控制方法为通过部署防火墙设备来实现,通 过基于IP地址对终端接入用户和信息系统进行标识,在防火墙设备上配置访问控制列表 (Access Control List ;以下简称ACL)策略设定终端接入用户拥有哪些信息系统的访问 权限,来实现访问权限的控制。然而,在现有技术中的访问管理方法中,当出现IP地址变更时,需要手动进行配 置调整,且同一用户访问不同权限的系统需要通过不同的计算机访问,而修改终端接入计 算机的IP地址则使得防火墙的控制失效。因此,现有技术的方法难于使用,不符合现实中 的权限分配模式,且控制容易失效。
发明内容
本发明提供一种信息系统的访问管理方法、装置、系统和接入设备,解决现有技术 中的访问控制方法难于使用、控制容易失效等缺陷,实现简便、灵活的访问管理,易于使用
和管理。本发明提供一种信息系统的访问管理方法,包括根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理,并将校验 通过的DNS请求报文转发到DNS服务器;根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带 的域名对应的IP地址添加到可访问IP列表中;根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理,并允许校验 通过的IP报文访问信息系统服务器中的信息系统资源。本发明提供一种信息系统的访问管理装置,包括第一校验模块,用于根据来自客户端的域名系统DNS请求报文中携带的域名进行 校验处理,并将校验通过的DNS请求报文转发到DNS服务器;
第一添加模块,用于根据来自所述DNS服务器的DNS响应报文将所述校验通过的 DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中;第二校验模块,用于根据来自所述客户端的IP报文和所述可访问IP列表进行校 验处理,并允许校验通过的IP报文访问信息系统服务器中的信息系统资源。本发明提供一种接入设备,包括上述信息系统的访问管理装置。本发明提供一种信息系统的访问管理系统,包括域名系统DNS服务器、信息服务 器和信息系统的访问管理装置,其中所述接入设备用于根据来自客户端的DNS请求报文 中携带的域名进行校验处理,并将校验通过的DNS请求报文转发到DNS服务器;根据来自所 述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地 址添加到可访问IP列表中;并根据来自所述客户端的IP报文和所述可访问IP列表进行校 验处理,并允许校验通过的IP报文访问所述信息系统服务器中的信息系统资源;所述DNS 服务器用于接收到所述校验通过的DNS请求报文后,向所述接入设备返回DNS响应报文。本发明的信息系统的访问管理方法、装置、系统和接入设备,通过对来自客户端的 DNS请求报文进行截包处理,对该DNS请求报文中携带的域名进行校验处理,将校验通过的 域名对应的DNS请求报文转发到DNS服务器;再对来自DNS服务器的DNS响应报文进行截 包处理,将对应的IP地址添加到可访问IP列表中;再对来自客户端的IP报文进行截包处 理,对IP报文进行校验处理,并允许校验通过的IP报文对其中的信息系统资源进行访问处 理;本实施例中整个信息系统的访问管理过程由接入交换机、客户端、DNS服务器和信息系 统服务器自动完成,无需管理员手动管理,易于使用和管理,解决了现有技术中的访问控制 方法难于使用、控制容易失效等缺陷,且解决了现有技术中手动修改计算机配置便可绕开 控制的问题,实现了简便、灵活的访问管理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发 明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以 根据这些附图获得其他的附图。图1为本发明信息系统的访问管理方法实施例一的流程图;图2为本发明信息系统的访问管理方法实施例二中认证过程的信令图;图3为本发明信息系统的访问管理方法实施例二中的网络拓扑示意图;图4为本发明信息系统的访问管理方法实施例二中的用户组划分的示意图;图5为本发明信息系统的访问管理方法实施例二中访问管理过程的信令图;图6为本发明信息系统的访问管理装置实施例一的结构示意图;图7为本发明信息系统的访问管理装置实施例二的结构示意图;图8为本发明信息系统的访问管理系统实施例一的结构示意图;图9为本发明信息系统的访问管理系统实施例二的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图1为本发明信息系统的访问管理方法实施例一的流程图,如图1所示,本实施例 提供了一种信息系统的访问管理方法,可以具体包括如下步骤步骤101,接入交换机根据来自客户端的域名系统(Domain Name System;以下简 称DNS)请求报文中携带的域名进行校验处理,并将校验通过的DNS请求报文转发到DNS 服务器。在本实施例中,客户端与安全管理服务器进行认证之后,用户可以通过客户端进 行信息系统资源的访问。客户端向DNS服务器发送DNS请求时,接入交换机对该DNS请求 报文进行截包处理,即来自客户端的DNS请求报文先发送到接入交换机,该DNS请求报文中 携带用户将要访问的信息系统的域名。接入交换机根据该域名进行校验处理,将校验通过 的域名所对应的DNS请求报文转发到DNS服务器,而校验未通过的域名所对应的DNS请求 则直接丢弃处理,不再执行后续的流程。本实施例中对域名进行校验处理可以具体为根据 允许解析域名表进行校验处理,即判断该域名是否包含在允许解析域名中,该允许解析域 名表可以通过也可以通过预先从安全管理服务器获取的方式来得到,也可以由本领域技术 人员根据经验来手工配置。步骤102,接入交换机根据来自所述DNS服务器的DNS响应报文将所述校验通过的 DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中。当完成上述步骤后,如果用户将要访问的信息系统对应的域名通过校验时,其发 起的DNS请求报文转发到DNS服务器,则DNS服务器向客户端返回DNS响应报文。接入交 换机对该DNS响应报文进行截包处理,即该DNS响应报文先发送到接入交换机。接入交换 机对该DNS响应报文进行解析处理,提取其中携带的对应的域名的IP地址,即用户所要访 问的信息系统的域名的IP地址,接入交换机将该IP地址添加到可访问IP列表中。步骤103,接入交换机根据来自所述客户端的IP报文和所述可访问IP列表进行校 验处理,并允许校验通过的IP报文访问所述信息系统服务器中的信息系统资源。接入交换机在对DNS响应报文进行解析处理后,还将该DNS响应报文转发到客户 端,客户端可以根据该DNS响应报文中携带的IP地址访问对应的信息系统,即客户端向信 息系统服务器发送IP报文,该IP报文中可以携带用户将要访问的信息系统对应的IP地 址。接入交换机对该IP报文进行截包处理,即客户端发出的IP报文先发送到接入交换机 上,接入交换机根据该IP报文和本地保存的可访问IP列表进行校验处理,并允许校验通过 的IP报文访问信息系统服务器中的信息系统资源,即实现用户对其中的信息系统资源进 行访问处理。如果IP报文未通过校验,则直接将其丢弃处理,不再执行后续的步骤。进一步地,在本实施例中,在步骤101之前,还可以包括如下步骤在所述客户端 通过安全管理服务器的合法性认证后,接入交换机接收所述安全管理服务器获取的用户有 访问权限的信息系统对应的域名;接入交换机将所述用户有访问权限的信息系统对应的域 名添加到允许解析域名表中。本实施例中对信息系统进行访问管理前,可以先对客户端进 行合法性认证,用户只有认证通过之后才能访问网络,未认证或认证未通过时无法访问网 络。在进行认证之后,接入交换机可以从安全管理服务器获取该用户可以访问的信息系统对应的域名,然后将该域名添加到本地保存的允许解析域名表中。本实施例提供了一种信息系统的访问管理方法,接入交换机对来自客户端的DNS 请求报文进行截包处理,对该DNS请求报文中携带的域名进行校验处理,将校验通过的域 名对应的DNS请求报文转发到DNS服务器;再对来自DNS服务器的DNS响应报文进行截包 处理,将对应的IP地址添加到可访问IP列表中;再对来自客户端的IP报文进行截包处理, 对IP报文进行校验处理,并允许校验通过的IP报文访问信息系统服务器中的信息系统资 源;本实施例中整个信息系统的访问管理过程由接入交换机、客户端、DNS服务器和信息系 统服务器自动完成,无需管理员手动管理,易于使用和管理,解决了现有技术中的访问控制 方法难于使用、控制容易失效等缺陷,且解决了现有技术中手动修改计算机配置便可绕开 控制的问题,实现了简便、灵活的访问管理。图2为本发明信息系统的访问管理方法实施例二中认证过程的信令图,如图2所 示,本实施例提供了一种信息系统的访问管理方法,此处具体对其中的认证过程进行解释 说明,可以具体包括如下步骤步骤201,客户端获取用户输入的用户名和密码。在本实施例中,对信息系统进行访问管理前,可以先对客户端进行合法性认证,用 户只有认证通过之后才能访问网络,未认证或认证未通过时无法访问网络。具体地,本步骤 可以为用户在个人计算机上运行客户端,通过输入用户名和密码进行认证,客户端可以获 取到用户输入的用户名和密码。本实施例中的客户端可以具体为认证客户端,用户可以通 过该客户端进行认证上网,以及显示可访问的信息系统列表,用户点击信息系统的链接打 开浏览器来访问信息系统资源。步骤202,客户端向安全管理服务器发送认证请求。本实施例中的认证方式可以具体为Ix认证,具体通过客户端、接入交换机和安全 管理服务器三个组件的配合来共同完成认证过程。本步骤为客户端向安全管理服务器发送 认证请求,该认证请求中可以携带之前获取的用户名和密码,具体为通过接入交换机向安 全管理服务器发送认证请求。步骤203,安全管理服务器对客户端进行合法性认证。安全管理服务器在接收到客户端发送的认证请求后,根据其中携带的用户名和密 码对客户端进行合法性认证,即检查该用户名和密码的合法性等。本实施例中的安全管理 服务器为整个安全方案的核心服务器,其可以指定用户属于哪个用户组及用户组可访问的 信息系统列表、信息系统对应的域名等。在本实施例中,在对客户端进行认证之前,可以先搭建网络拓扑,如图3所示为本 发明信息系统的访问管理方法实施例二中的网络拓扑示意图,可以在网络中的任意位置搭 建安全管理服务器,在个人计算机上安装客户端,将个人计算机直接连接到加入交换机上。 以图3为例,本实施例中的信息系统可以包括财务系统、资产管理系统、人事系统及共用系 统,其中,作为普通员的用户可以访问共用系统的资源,作为领导的用户可以访问所有的信 息系统,财政司的用户只能访问财务系统,行政司的用户只能访问资产管理系统,人事司的 用户只能访问人事系统。管理员可以在安全管理服务器上对信息系统进行配置,配置的信 息具体可以包括信息系统的名称、信息系统的域名和访问信息系统的端口。安全管理服务 器先将信息系统存储到数据库表中,本实施例中的数据库表的结构可以如下表1所示,如下表2所示为信息系统的示例表1安全管理服务器中数据库表的结构
字段属性长度是否可为空描述infoSystemlndexbigintNo索引,唯一主键infoSystemNamevarchar64No信息系统的名称domainNamevarchar64No信息系统的域名porttinyintNo访问信息系统的端口表2信息系统的示例
信息系统信息系统名称域名端口财务系统www. financial ,com2578资产管现系统www.asset.com4569人事系统www.personiiel.com9872公用系统www.public .com3567然后,管理员可以在安全管理服务器上创建用户组,对用户组进行划分,并配置用 户组可访问的信息系统列表。如图4所示为本发明信息系统的访问管理方法实施例二中的 用户组划分的示意图,可以具体建立领导组、财政司组、行政司组和人事司组。其中,领导组 与信息系统中的财务系统、资产管理系统、人事系统和共用系统相关联,即领导组中的用户 可访问的信息系统列表包括财务系统、资产管理系统、人事系统和共用系统,后续类似;财 政司组与信息系统中的财务系统和共用系统相关联,行政司组与信息系统中的资产管理系 统和共用系统相关联,人事司组与信息系统中的人事系统和共用系统相关联。接着,管理员 在安全管理服务器上为用户开户,开户的内容包括用户名、密码及用户所属的用户组等,将 用户名和密码信息告知各用户,此处为将财政司员工开的户加入财政司组,将行政司员工 开的户加入行政司组,将人事司员工开的户加入人事司组,将领导加入领导组。步骤204,当客户端通过认证后,安全管理服务器获取当前用户有访问权限的信息 系统。在客户端通过安全管理服务器的认证之后,安全管理服务器根据用户名查找该用 户所属的用户组,由于用户名和用户组均为管理员配置的,则可以很容易获取到其所属的用户组,安全管理服务器再根据该用户组获取该用户有访问权限的信息系统,即获取该用 户可访问的信息系统,并获取各信息系统的域名以及访问各信息系统的端口。步骤205,安全管理服务器向客户端下发当前用户有访问权限的信息系统列表。安全管理服务器将获取到的当前用户有访问权限的各信息系统的名称、信息系统 的域名及访问该信息系统的端口分别组合为一个链接,并将生成的当前用户有访问权限的 信息系统列表下发到客户端。步骤206,客户端将信息系统列表展示给用户。客户端在接收到信息系统列表后,将该信息系统列表展示给用户,方便用户通过 点击某个信息系统对应的连接来选择访问该信息系统。步骤207,安全管理服务器向接入交换机下发当前用户有访问权限的信息系统对 应的域名。安全管理服务器在向客户端下发用户可访问的信息系统列表的同时,还向接入交 换机下发当前用户有访问权限的信息系统对应的域名。步骤208,接入交换机将信息系统对应的域名添加到允许解析域名表中。接入交换机将接收到的各信息系统对应的域名添加到本地的允许解析域名表中, 以备后续校验使用。步骤209,客户端退出认证。步骤210,接入交换机清空允许解析域名表和可访问IP列表。当用户退出该客户端的程序时,接入交换机需要清空本地的允许解析域名表和可 访问IP列表,下次再启动该客户端的程序时,再重新进行上述认证过程。需要指出的是,本 实施例中的步骤209和210的执行顺序并非一定在步骤208之后,这两个步骤只有在客户 端退出时才执行;也并非执行步骤210之后才执行后续步骤501,通常,后续步骤501-510 是在步骤208与步骤209之间执行。图5为本发明信息系统的访问管理方法实施例二中访问管理过程的信令图,如图 5所示,本实施例提供的信息系统的访问管理方法在上述图2所示的基础之上,完成客户端 的认证之后,还可以具体包括如下步骤步骤501,客户端获取用户通过信息系统列表选择的信息系统的链接地址。当客户端完成认证之后,用户可以通过客户端展示的信息系统列表来访问相应的 信息系统资源,用户在客户端展示的信息系统列表中选择点击其中一个信息系统对应的链 接,客户端获取到用户选择的信息系统的链接地址。步骤502,客户端向接入交换机发送DNS请求报文。用户在通过客户端点击一个链接后,触发一个发往DNS服务器的DNS请求,本实施 例中接入交换机对客户端发往DNS服务器的DNS请求报文进行截包处理,则该DNS请求报 文先发送到接入交换机上,该DNS请求报文中携带用户将要访问的信息系统的域名。步骤503,接入交换机校验DNS请求报文中携带的域名是否在允许解析域名表中, 如果是,则执行步骤504,否则直接丢弃该DNS请求报文。接入交换机在接收到DNS请求报文后,对该DNS请求报文进行解析处理,获取其中 携带的用户将要访问的信息系统的域名,并判断该域名是否在本地保存的允许解析域名表 中,如果是,则表明该DNS请求报文通过校验,将校验通过的DNS请求报文转发到DNS服务器;否则如果该域名不在允许解析域名表中,则直接丢弃该DNS请求报文,不再执行后续的 流程,用户则无法访问对应的信息系统资源。步骤504,接入交换机将该DNS请求报文转发到DNS服务器。步骤505,DNS服务器根据DNS请求报文获取其中携带的域名对应的IP地址。DNS服务器接收到DNS请求报文后,从该DNS请求报文中获取其中携带的用户将要 访问的信息系统的域名,并根据该域名获取其对应的IP地址。步骤506,DNS服务器向接入交换机发送DNS响应报文。DNS服务器向客户端返回DNS响应报文,在该DNS响应报文中携带用户将要访问的 信息系统的域名对应的IP地址,本实施例中接入交换机对来自DNS服务器的DNS响应报文 进行截包处理,则该DNS响应报文先发送到接入交换机上。步骤507,接入交换机解析该DNS响应报文,将其中携带的域名的IP地址添加到可 访问IP列表中。接入交换机接收到DNS响应报文后,对该报文进行解析处理,获取其中携带的用 户将要访问的信息系统的域名对应的IP地址,接入交换机将该IP地址添加到本地保存的 可访问IP列表中,以备后续校验使用。步骤508,接入交换机将DNS响应报文转发到客户端。步骤509,客户端向接入交换机发送IP报文。客户端在接收到DNS响应报文后,从该DNS响应报文中解析获取用户将要访问的 信息系统的域名对应的IP地址,利用该IP地址进行信息系统资源的访问。客户端向信息 系统服务器发送IP报文,在IP报文中携带该IP地址,本实施例中接入服务器对客户端发 往信息系统服务器的IP报文进行截包处理,则该IP报文先发送到接入交换机。步骤510,接入交换机判断IP报文中携带的IP地址是否在可访问IP列表中,如果 是,则执行步骤511,否则丢弃该IP报文。接入交换机在接收到IP报文后,提取其中携带的IP地址,判断该IP地址是否在 本地保存的可访问IP列表中,如果是,则将该IP报文转发到信息系统服务器,以实现客户 端对信息系统服务器中相应的信息系统资源的访问处理。否则如果该IP地址不在可访问 IP列表中,则直接丢弃该IP报文,不再执行后续的流程,用户则无法访问对应的信息系统 资源。步骤511,接入交换机将IP报文转发到信息系统服务器。接入交换机将校验通过的IP报文转发到信息系统服务器,并利用该IP报文对信 息系统服务器中相应的信息系统资源进行访问,即允许该用户访问其请求访问的信息系统 资源。具体可以为信息系统服务器接收到该校验通过的IP报文后,从该IP报文中提取其 中携带的用户的相关信息,可以为其请求访问的信息系统的标识信息等,以访问对应的信 息系统资源。本实施例提供了一种信息系统的访问管理方法,接入交换机对来自客户端的DNS 请求报文进行截包处理,对该DNS请求报文中携带的域名进行校验处理,将校验通过的域 名对应的DNS请求报文转发到DNS服务器;再对来自DNS服务器的DNS响应报文进行截包 处理,将对应的IP地址添加到可访问IP列表中;再对来自客户端的IP报文进行截包处理, 对IP报文进行校验处理,并将校验通过的IP报文转发到信息系统服务器,以对其中的信息系统资源进行访问处理;本实施例中整个信息系统的访问管理过程由接入交换机、客户端、 DNS服务器和信息系统服务器自动完成,无需管理员手动管理,易于使用和管理,解决了现 有技术中的访问控制方法难于使用、控制容易失效等缺陷,且解决了现有技术中手动修改 计算机配置便可绕开控制的问题,实现了简便、灵活的访问管理。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序 在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者 光盘等各种可以存储程序代码的介质。图6为本发明信息系统的访问管理装置实施例一的结构示意图,如图6所示,本 实施例提供了一种信息系统的访问管理装置,可以具体执行上述方法实施例一中的各个步 骤,此处不再赘述。本实施例提供的信息系统的访问管理装置可以具体包括第一校验模块 601、第一添加模块602和第二校验模块603。其中,第一校验模块601用于根据来自客户端 的域名系统DNS请求报文中携带的域名进行校验处理,并将校验通过的DNS请求报文转发 到DNS服务器。第一添加模块602用于根据来自所述DNS服务器的DNS响应报文将所述校 验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中。第二校验模 块603用于根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理,并允许校 验通过的IP报文访问信息系统服务器中的信息系统资源。图7为本发明信息系统的访问管理装置实施例二的结构示意图,如图7所示,本 实施例提供了一种信息系统的访问管理装置,可以具体执行上述方法实施例二中的各个步 骤,此处不再赘述。本实施例提供的信息系统的访问管理装置在上述图6所示的基础之上, 还可以包括接收模块701和第二添加模块702。接收模块701用于在所述客户端通过安全 管理服务器的合法性认证后,接收所述安全管理服务器获取的用户有访问权限的信息系统 对应的域名。第二添加模块702用于将所述信息系统对应的域名添加到允许解析域名表 中。具体地,本实施例提供的信息系统的访问管理装置中的第一校验模块601可以具 体包括获取单元611和第一校验单元621。获取单元611用于获取客户端发往DNS服务器 的DNS请求报文,所述DNS请求报文中携带所访问的信息系统的域名。第一校验单元621 用于校验所述信息系统的域名是否在所述允许解析域名表中,如果是,则将所述DNS请求 报文转发到DNS服务器。具体地,本实施例提供的信息系统的访问管理装置中的第二校验模块603可以具 体包括第二校验单元613和访问单元623。其中,第二校验单元613用于判断来自所述客户 端的IP报文中携带的IP地址是否在所述可访问IP列表中,如果是,则将所述IP报文转发 到信息系统服务器。访问单元623用于利用所述IP报文对所述信息系统服务器中的信息 系统资源进行访问处理。进一步地,本实施例提供的信息系统的访问管理装置还可以包括清除模块703,清 除模块703用于在所述客户端退出后,清空所述允许解析域名表和所述可访问IP列表。本实施例提供了一种信息系统的访问管理装置,通过对来自客户端的DNS请求报 文进行截包处理,对该DNS请求报文中携带的域名进行校验处理,将校验通过的域名对应 的DNS请求报文转发到DNS服务器;再对来自DNS服务器的DNS响应报文进行截包处理,将对应的IP地址添加到可访问IP列表中;再对来自客户端的IP报文进行截包处理,对IP报 文进行校验处理,并将校验通过的IP报文转发到信息系统服务器,以对其中的信息系统资 源进行访问处理;本实施例中整个信息系统的访问管理过程由接入交换机、客户端、DNS服 务器和信息系统服务器自动完成,无需管理员手动管理,易于使用和管理,解决了现有技术 中的访问控制方法难于使用、控制容易失效等缺陷,且解决了现有技术中手动修改计算机 配置便可绕开控制的问题,实现了简便、灵活的访问管理。本实施例还提供了一种接入设备,可以具体为接入交换机,其可以包括上图6或 图7所示的信息系统的访问管理装置。图8为本发明信息系统的访问管理系统实施例一的结构示意图,如图8所示,本 实施例提供了一种信息系统的访问管理系统,可以具体执行上述方法实施例一中的各个步 骤,此处不再赘述。本实施例提供的信息系统的访问管理系统可以具体包括DNS服务器1、 信息系统服务器2和接入设备3。其中,接入设备3用于根据来自客户端的域名系统DNS请 求报文中携带的域名进行校验处理,并将校验通过的DNS请求报文转发到DNS服务器1 ;根 据来自DNS服务器1的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的 IP地址添加到可访问IP列表中;并根据来自所述客户端的IP报文和所述可访问IP列表 进行校验处理,并允许校验通过的IP报文访问信息系统服务器2中的信息系统资源。DNS 服务器1用于接收到所述校验通过的DNS请求报文后,向接入设备3返回DNS响应报文。图9为本发明信息系统的访问管理系统实施例二的结构示意图,如图9所示,本 实施例提供了一种信息系统的访问管理系统,可以具体执行上述方法实施例二中的各个步 骤,此处不再赘述。本实施例提供的信息系统的访问管理系统在上述图8所示的基础之上, 还可以包括安全管理服务器4。其中,安全管理服务器4用于对所述客户端进行合法性认 证,获取用户有访问权限的信息系统对应的域名,并将所述用户有访问权限的信息系统对 应的域名发送到接入设备3。接入设备3还用于将接收到的所述用户有访问权限的信息系 统对应的域名添加到允许解析域名表中。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽 管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然 可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替 换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
权利要求
1.一种信息系统的访问管理方法,其特征在于,包括根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理,并将校验通过 的DNS请求报文转发到DNS服务器;根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域 名对应的IP地址添加到可访问IP列表中;根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理,并允许校验通过 的IP报文访问信息系统服务器中的信息系统资源。
2.根据权利要求1所述的方法,其特征在于,在所述根据来自客户端的域名系统DNS请 求报文中携带的域名进行校验处理之前,还包括在客户端通过安全管理服务器的合法性认证后,接收所述安全管理服务器获取的用户 有访问权限的信息系统对应的域名;将所述用户有访问权限的信息系统对应的域名添加到允许解析域名表中。
3.根据权利要求2所述的方法,其特征在于,所述根据来自客户端的域名系统DNS请求 报文中携带的域名进行校验处理,并将校验通过的DNS请求报文转发到DNS服务器包括获取客户端发往DNS服务器的DNS请求报文,所述DNS请求报文中携带所访问的信息 系统的域名;校验所述信息系统的域名是否在所述允许解析域名表中,如果是,则校验通过,并将所 述DNS请求报文转发到DNS服务器。
4.根据权利要求1所述的方法,其特征在于,所述根据来自所述客户端的IP报文和所 述可访问IP列表进行校验处理,并允许校验通过的IP报文访问信息系统服务器中的信息 系统资源包括判断来自所述客户端的IP报文中携带的IP地址是否在所述可访问IP列表中,如果 是,则校验通过,并将所述IP报文转发到信息系统服务器;利用所述IP报文对所述信息系统服务器中的信息系统资源进行访问处理。
5.根据权利要求2所述的方法,其特征在于,还包括在所述客户端退出后,清空所述允许解析域名表和所述可访问IP列表。
6.一种信息系统的访问管理装置,其特征在于,包括第一校验模块,用于根据来自客户端的域名系统DNS请求报文中携带的域名进行校验 处理,并将校验通过的DNS请求报文转发到DNS服务器;第一添加模块,用于根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS 请求报文中携带的域名对应的IP地址添加到可访问IP列表中;第二校验模块,用于根据来自所述客户端的IP报文和所述可访问IP列表进行校验处 理,并允许校验通过的IP报文访问信息系统服务器中的信息系统资源。
7.根据权利要求6所述的装置,其特征在于,还包括接收模块,用于在客户端通过安全管理服务器的合法性认证后,接收所述安全管理服 务器获取的用户有访问权限的信息系统对应的域名;第二添加模块,用于将所述用户有访问权限的信息系统对应的域名添加到允许解析域 名表中。
8.根据权利要求7所述的装置,其特征在于,所述第一校验模块包括获取单元,用于获取客户端发往DNS服务器的DNS请求报文,所述DNS请求报文中携带 所访问的信息系统的域名;第一校验单元,用于校验所述信息系统的域名是否在所述允许解析域名表中,如果是, 则校验通过,并将所述DNS请求报文转发到DNS服务器。
9.根据权利要求6所述的装置,其特征在于,所述第二校验模块包括第二校验单元,用于判断来自所述客户端的IP报文中携带的IP地址是否在所述可访 问IP列表中,如果是,则校验通过,并将所述IP报文转发到信息系统服务器;访问单元,用于利用所述IP报文对所述信息系统服务器中的信息系统资源进行访问 处理。
10.根据权利要求7所述的装置,其特征在于,还包括清除模块,用于在所述客户端退出后,清空所述允许解析域名表和所述可访问IP列表。
11.一种接入设备,其特征在于,包括上述权利要求6-10中任一项所述的信息系统的访问管理装置。
12.一种信息系统的访问管理系统,其特征在于,包括域名系统DNS服务器、信息系统 服务器和接入设备,其中所述接入设备用于根据来自客户端的DNS请求报文中携带的域名进行校验处理,并将 校验通过的DNS请求报文转发到DNS服务器;根据来自所述DNS服务器的DNS响应报文将 所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中;并根 据来自所述客户端的IP报文和所述可访问IP列表进行校验处理,并允许校验通过的IP报 文访问所述信息系统服务器中的信息系统资源;所述DNS服务器用于接收到所述校验通过的DNS请求报文后,向所述接入设备返回DNS 响应报文。
13.根据权利要求12所述的系统,其特征在于,还包括安全管理服务器,其中,所述安 全管理服务器用于对所述客户端进行合法性认证,获取用户有访问权限的信息系统对应的 域名,并将所述用户有访问权限的信息系统对应的域名发送到所述接入设备;所述接入设备还用于将接收到的所述用户有访问权限的信息系统对应的域名添加到 允许解析域名表中。
全文摘要
本发明提供一种信息系统的访问管理方法、装置、系统和接入设备,其中方法包括根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理,并将校验通过的DNS请求报文转发到DNS服务器;根据来自DNS服务器的DNS响应报文将校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中;根据来自客户端的IP报文和可访问IP列表进行校验处理,并允许校验通过的IP报文访问信息系统服务器中的信息系统资源。装置包括第一校验模块、第一添加模块和第二校验模块。接入设备包括信息系统的访问管理装置。本发明还提供了一种信息系统的访问管理系统。本发明实现了简便、灵活的访问管理。
文档编号H04L29/06GK102006286SQ20101053203
公开日2011年4月6日 申请日期2010年10月29日 优先权日2010年10月29日
发明者刘福能, 叶金龙, 吴吉朋, 杨红飞 申请人:北京星网锐捷网络技术有限公司