一种跨多级网络边界的网络资源访问接入控制方法

文档序号:7819997阅读:294来源:国知局
一种跨多级网络边界的网络资源访问接入控制方法
【专利摘要】本发明提供了一种跨多级网络边界的网络资源访问接入控制方法。客户端访问内网服务,接入控制网关检测是否带有有效的已认证信息,如果没有认证,向客户端发起认证请求。客户端从USBKEY中读取用户的公钥证书链和签名,提交给接入控制网关,接入控制网关的认证模块验证请求的合法性后,验证用户签名的真实性。客户端对接入控制网关同样完成认证。有效实现了跨多级网络域进行资源访问的用户和设备的身份鉴别,彻底解决了跨多级网络域边界的接入安全性问题。
【专利说明】一种跨多级网络边界的网络资源访问接入控制方法

【技术领域】
[0001]本发明涉及一种跨多级网络边界的网络资源访问接入控制方法,特别是涉及一种适用于在WebNat服务技术和PKI身份认证体系的基础上,跨多级网络边界的网络资源访问安全接入控制方法。

【背景技术】
[0002]WebNat服务主要作用在于告知未认证的应用客户端跳转到Web认证服务完成与接入控制网关的双向身份鉴别。
[0003]身份认证技术是鉴别用户身份,提取用户身份标识的一种安全技术,是进行权限控制的前提。
[0004]接入控制技术是用于控制用户访问行为的一种安全手段。跨网接入控制中所有数据都经过接入控制网关,由接入控制网关根据认证通过用户的IP以及相应的访问控制列表对流入内网的数据进行控制。即该接入控制方法通过断路访问控制的方式保护需要加固的应用服务。用户只有通过接入控制网关的身份认证以及相应的授权才能访问受保护的应用服务。


【发明内容】

[0005]本发明要解决的技术问题是提供一种将接入控制网关服务器部署在两个或者多个网络域的边界,用于对用户从一个网络域访问另一个网络域的行为进行控制的,跨多级网络边界的网络资源访问安全接入控制方法。
[0006]基于PKI体系的身份认证可以作为第三方公共授权机构,使通信双方能够确认彼此身份和验证交互信息。基于该体系的公钥技术,结合其他加密技术,可以开发出适用于网络应用安全新需求的双强因子认证策略,有效地保证数字签名和数字信封的数据完整性、数据保密性和交易不可否认性。
[0007]本发明采用的技术方案如下:一种跨多级网络边界的网络资源访问接入控制方法,具体方法步骤为:步骤一、客户端访问内网服务时,接入控制网关检测其是否带有有效的已认证通过信息,有则进入步骤三,无则进入步骤二向客户端发起认证请求,要求客户端进行认证;步骤二,客户端从USBKEY中读取用户的公钥证书链和签名,提交给接入控制网关,发起连接认证请求;三,接入控制网关的认证模块验证请求的合法性后,验证用户签名的真实性;
还包括,客户端对接入控制网关进行身份验证。
[0008]作为优选,所述步骤二中,客户端的认证方法步骤为:A、客户端向服务器发起认证请求;B、服务器下发随机数对客户端产生挑战;C、客户端收到随机数,并用自身私钥对服务挑战进行签名,并连带自身证书发给服务器;D、服务器收到客户端签名数据和证书,并对证书进行有效验证;E、服务器从有效证书中获取用户公钥,验证用户签名,以确定用户身份。
[0009]作为优选,所述方法还包括:采用路由或网桥模式进行网络部署。
[0010]作为优选,所述方法还包括:对终端用户和计算机之间进行终端绑定。
[0011]作为优选,所述方法还包括:采用WebNat服务对http协议重定向。
[0012]作为优选,所述方法还包括:在接入控制网关内设置防火墙模块。
[0013]作为优选,所述方法还包括:认证通过后,系统利用用户的IP地址以及基于角色的访问控制策略完成对用户要访问的目标地址、网段服务的访问权限的细粒度控制。
[0014]作为优选,所述方法还包括:在认证阶段,用户所有操作都在接入控制网关数据库中形成审计日志。
[0015]与现有技术相比,本发明的有益效果是:利用WebNat服务技术实现了终端用户认证行为的自动触发以及终端用户访问远端服务应用通信路由的透明性。依照常规C/S模式,系统由接入控制网关服务器和接入认证客户端软件组成,有效实现了跨多级网络域进行资源访问的用户和设备的身份鉴别,彻底解决了跨多级网络域边界的接入安全性问题。

【专利附图】

【附图说明】
[0016]图1为本发明其中一实施例的网关服务器层次示意图。

【具体实施方式】
[0017]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0018]本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
[0019]如图1所示,接入控制网关服务器分为三个层次:最上层应用服务层(串口服务、证书认证服务、WebNat服务、Web认证服务等),中间内部服务层(管理服务、加密设备服务、策略控制模块),最底层基础服务(数据库与加密设备),三层之间下层为上层提供相应的服务。
[0020]一种跨多级网络域边界的控制方法,具体方法步骤为:步骤一、客户端访问内网服务时,接入控制网关检测其是否带有有效的已认证通过信息,有则进入步骤三,无则进入步骤二向客户端发起认证请求,要求客户端进行认证;步骤二,客户端从USBKEY中读取用户的公钥证书链和签名,提交给接入控制网关,发起连接认证请求;三,接入控制网关的认证模块验证请求的合法性后(包括验证证书的用途是否正确,公钥是否在有效期内,认证中心的签名是否正确,通过CRL黑表查询验证证书是否已被吊销),验证用户签名的真实性;
还包括,客户端对接入控制网关进行身份验证。验证完成后,接入控制网关为用户颁发身份票据。根据用户的IP地址结合管理员设定的访问控制列表决策是否允许客户端计算机接入安全网络中。
[0021]利用WebNat服务技术实现了终端用户认证行为的自动触发以及终端用户访问远端服务应用通信路由的透明性。依照常规C/S模式,系统由接入控制网关服务器和接入认证客户端软件组成,有效实现了跨多级网络域进行资源访问的用户和设备的身份鉴别,彻底解决了跨多级网络域边界的接入安全性问题。
[0022]无论终端用户是否已经成功完成身份认证,只要其通过IE对应用服务器的资源进行访问,接入控制网关的WebNat服务将会判断该终端用户是否已经通过认证,若未认证则告知该未认证终端跳转至相应的Web认证服务完成与接入控制网关的双向身份认证。而且,该自动触发认证可以在同系列产品中级联实现。传统的接入控制网关在终端用户访问服务资源的时候就已经假定该终端用户已经通过相应的身份认证,如果该终端用户在成功认证之前就随机访问服务器资源,接入控制网关返回的最有用信息仅仅是“目标地址不可达”,而本发明基于WebNat服务的重定向功能可以达到自动触发用户认证行为的目的。
[0023]双向验证完成后,接入控制网关为用户颁发一个与PKI技术和证书相关的身份票据,用户凭借该票据可以得到其他符合协议标准的认证服务设施的信任,从而实现用户在一个入口登陆后可以无限制地漫游到其它信任域。用户也可以凭借其他认证服务设施获取的身份票据获得接入控制网关的信任。
[0024]终端用户一旦通过某一个接入控制网关的认证,和远端服务器间成功建立连接,该终端用户就无需关心其和远端服务器之间的通信路径,比如:通信路径上还有多少个接入控制网关、通信路径上临时增加或者减少一个或者几个接入控制网关等情况、网关之间如何完成彼此之间的身份认证。总而言之,终端用户一旦与接入控制网关成功完成身份认证,就无需知晓访问远端服务的详细路由过程,整个认证过程对终端用户来说简单透明。
[0025]所述步骤二中,客户端的认证方法步骤为:A、客户端向服务器发起认证请求;B、服务器下发随机数对客户端产生挑战;C、客户端收到随机数,并用自身私钥对服务挑战进行签名,并连带自身证书发给服务器;D、服务器收到客户端签名数据和证书,并对证书进行有效验证,验证包含证书是否在有效期、证书是否被吊销、证书签名是否合法、证书颁发者是否合法等;E、服务器从有效证书中获取用户公钥,验证用户签名,以确定用户身份。
[0026]在网络部署方面,支持路由方式部署,也支持网桥模式部署,且网桥模式部署不会改变网络拓扑结构。
[0027]在本具体实施例中,对终端用户和计算机之间进行终端绑定,提供终端绑定功能,以确保终端用户和计算机之间的一一对应关系。
[0028]在本具体实施例中,采用WebNat服务对http协议重定向,实现用户的访问行为自动触发身份认证的过程。WebNat服务通过IP地址伪装和认证页面跳转技术,可以即时告知未认证的应用客户端跳转到Web认证服务完成与接入控制网关的双向身份鉴别。
[0029]在本具体实施例中:在接入控制网关内设置防火墙模块,认证过程对终端用户简单透明,用户感觉不到一级或者多级接入控制网关的存在。普通的路由技术要求设备两端的网络必须位于不同的网段,带来的问题是每添加一台路由设备,网络拓扑都要发生变化,也即相应网络中终端用户机需要更改网关、路由器要更改路由配置等等。透明接入技术完全克服了上述种种缺陷,实现一个防火墙,对经过该防火墙的数据进行过滤,而且对终端用户和路由器是完全透明的。
[0030]认证通过后,系统利用用户的IP地址以及基于角色的访问控制策略完成对用户要访问的目标地址、网段服务的访问权限的细粒度控制。
[0031]系统管理方面,采用职责明确的“三员分立”(系统管理员,安全员和审计员,三者职责分明)管理模式,同时,在认证阶段,用户所有操作都在接入控制网关数据库中形成审计日志,对用户的接入访问行为和管理员的管理行为进行必要的审计,为事后的审计提供必要的依据。
【权利要求】
1.一种跨多级网络边界的网络资源访问接入控制方法,具体方法步骤为:步骤一、客户端访问内网服务时,接入控制网关检测其是否带有有效的已认证通过信息,有则进入步骤三,无则进入步骤二向客户端发起认证请求,要求客户端进行认证;步骤二,客户端从USBKEY中读取用户的公钥证书链和签名,提交给接入控制网关,发起连接认证请求;三,接入控制网关的认证模块验证请求的合法性后,验证用户签名的真实性; 还包括,客户端对接入控制网关进行身份验证。
2.根据权利要求1所述的所述的网络资源访问接入控制方法,步骤二中,客户端的认证方法步骤为:A、客户端向服务器发起认证请求;B、服务器下发随机数对客户端产生挑战;C、客户端收到随机数,并用自身私钥对服务挑战进行签名,并连带自身证书发给服务器;D、服务器收到客户端签名数据和证书,并对证书进行有效验证;E、服务器从有效证书中获取用户公钥,验证用户签名,以确定用户身份。
3.根据权利要求2所述的所述的网络资源访问接入控制方法,所述方法还包括:采用路由或网桥模式进行网络部署。
4.根据权利要求2所述的所述的网络资源访问接入控制方法,所述方法还包括:对终端用户和计算机之间进行终端绑定。
5.根据权利要求2所述的所述的网络资源访问接入控制方法,所述方法还包括:采用WebNat服务对http协议重定向。
6.根据权利要求2所述的所述的网络资源访问接入控制方法,所述方法还包括:在接入控制网关内设置防火墙模块。
7.根据权利要求2所述的所述的网络资源访问接入控制方法,所述方法还包括:认证通过后,系统利用用户的IP地址以及基于角色的访问控制策略完成对用户要访问的目标地址、网段服务的访问权限的细粒度控制。
8.根据权利要求2所述的所述的网络资源访问接入控制方法,所述方法还包括:在认证阶段,用户所有操作都在接入控制网关数据库中形成审计日志。
【文档编号】H04L29/06GK104468532SQ201410659774
【公开日】2015年3月25日 申请日期:2014年11月19日 优先权日:2014年11月19日
【发明者】吴荣政, 方鸣睿, 汪士兵, 杨宇, 刘小华, 邢朝阳, 秦凯, 原蓓蓓 申请人:成都卫士通信息安全技术有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1