域控网关的认证访问方法
【专利摘要】本发明公开了一种域控网关的认证访问方法,该方法为:未认证的终端设备提交认证请求到控制端,所述控制端将所述认证请求发送给认证服务器进行认证,所述认证服务器查询数据库后将认证结果发送给控制端,如果所述认证结果为认证成功,所述控制端添加关于该终端设备的访问控制策略,所述终端设备允许通过域控网关访问目的安全域,反之,如果所述认证结果为认证失败,所述控制端返回认证失败页面给终端设备。本发明将多个边界网关设备用户认证功能通过专门认证服务器来集中管理,消除多网关设备用户认证冗余,充分利用现有网络架构以及基础设施,降低了边界网关配置复杂度,为企业节约大量用户认证管理成本。
【专利说明】
域控网关的认证访问方法
技术领域
[0001]本发明涉及网络安全领域,尤其涉及一种域控网关的认证访问方法。
【背景技术】
[0002]随着互联网技术的发展,网络安全问题日益严重。传统网络中,为了安全管理的需要,往往进行安全域的划分,即将具有相同的安全访问控制和边界控制策略的子网或网络划分为一个安全域集合。而在不同的安全域之间需要设置网关以进行安全保护。但两个安全域间的数据传输是非常不安全的。如何对安全域之间的访问进行更严格的控制,成为一个亟待解决的问题。
【发明内容】
[0003]有鉴于此,本发明的主要目的在于提供一种域控网关的认证访问方法。
[0004]为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供一种域控网关的认证访问方法,该方法为:未认证的终端设备提交认证请求到控制端,所述控制端将所述认证请求发送给认证服务器进行认证,所述认证服务器查询数据库后将认证结果发送给控制端,如果所述认证结果为认证成功,所述控制端添加关于该终端设备的访问控制策略,所述终端设备允许通过域控网关访问目的安全域,反之,如果所述认证结果为认证失败,所述控制端返回认证失败页面给终端设备。
[0005]上述方案中,该方法之前还包括:当未认证的终端设备从一个安全域通过web浏览器访问目的安全域时,所述控制端不开启网关服务,所述终端设备无法访问目的安全域,所述控制端提示所述终端设备进行认证。
[0006]上述方案中,所述如果所述认证结果为认证失败,所述控制端返回认证失败页面给终端设备,之后,该方法还包括:未认证的终端设备重新提交认证请求到控制端,所述控制端将所述认证请求重新发送给认证服务器进行认证,所述认证服务器查询数据库后将认证结果重新发送给控制端,如果所述认证结果为认证成功,所述控制端添加关于该终端设备的访问控制策略,所述终端设备允许通过域控网关访问目的安全域,反之,如果所述认证结果为认证失败,所述控制端返回认证失败页面给终端设备,并且所述终端设备重复进行认证。
[0007]上述方案中,所述认证请求包括认证服务器地址、认证数据库类型、数据库用户名、用户密码、数据库端口、认证角色。
[0008]上述方案中,所述认证服务器对应若干个控制端进行认证。
[0009]与现有技术相比,本发明的有益效果:
本发明将多个边界网关设备用户认证功能通过专门认证服务器来集中管理,消除多网关设备用户认证冗余,充分利用现有网络架构以及基础设施,降低了边界网关配置复杂度,为企业节约大量用户认证管理成本。
【具体实施方式】
[0010]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0011]本发明实施例提供一种域控网关的认证访问方法,该方法通过以下步骤实现:步骤101:未认证的终端设备提交认证请求到控制端。
[0012]具体地,所述认证请求包括认证服务器地址、认证数据库类型、数据库用户名、用户密码、数据库端口、认证角色。
[0013]步骤102:所述控制端将所述认证请求发送给认证服务器进行认证,所述认证服务器查询数据库后将认证结果发送给控制端。
[0014]具体地,所述认证服务器查询数据库内是否有对应的用户名和密码,如果有则发送认证成功的认证结果到所述控制端,反之,发送认证失败的认证结果到所述控制端
步骤103:如果所述认证结果为认证成功,所述控制端添加关于该终端设备的访问控制策略,所述终端设备允许通过域控网关访问目的安全域,反之,如果所述认证结果为认证失败,所述控制端返回认证失败页面给终端设备。
[0015]具体地,如果认证成功,添加所述终端设备的IP到认证角色,开启安全策略。
[0016]步骤101之前还包括:当未认证的终端设备从一个安全域通过web浏览器访问目的安全域时,所述控制端不开启网关服务,所述终端设备无法访问目的安全域,所述控制端提示所述终端设备进行认证。
[0017]具体地,所述未认证的终端设备设置认证服务器地址、认证数据库类型、数据库用户名、用户密码、数据库端口、认证角色等认证信息,所述控制端将认证信息发送到认证服务器进行认证。
[0018]步骤103之后还包括:未认证的终端设备重新提交认证请求到控制端,所述控制端将所述认证请求重新发送给认证服务器进行认证,所述认证服务器查询数据库后将认证结果重新发送给控制端,如果所述认证结果为认证成功,所述控制端添加关于该终端设备的访问控制策略,所述终端设备允许通过域控网关访问目的安全域,反之,如果所述认证结果为认证失败,所述控制端返回认证失败页面给终端设备,并且所述终端设备重复进行认证。
[0019]对于已经认证的终端设备,该终端设备的IP地址已经存在于域控网关的访问控制策略中,不需要再进行认证,可以直接访问目标安全域。如果终端超时下线或主动下线,其IP地址将自动从域控网关的访问控制策略中删除,下次访问目标安全域时需要重新进行认证。
[0020]所述认证服务器能够对应若干个控制端进行认证。
[0021]本发明适用于用户网络已存在认证服务器,平台接入网络时,不改变已有的网络拓扑基础上,提供认证和策略管理服务,避免手动导入用户认证信息,通过代理方式将认证请求发送到认证服务器进行认证,根据认证结果动态调整访问控制策略。基于代理方式认证用户身份,方便由认证服务器统一管理用户身份,不再局限于某个平台设备,而是接管多台设备认证管理功能;管理方式更集中,便捷。
[0022]以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
【主权项】
1.一种域控网关的认证访问方法,其特征在于,该方法为:未认证的终端设备提交认证请求到控制端,所述控制端将所述认证请求发送给认证服务器进行认证,所述认证服务器查询数据库后将认证结果发送给控制端,如果所述认证结果为认证成功,所述控制端添加关于该终端设备的访问控制策略,所述终端设备允许通过域控网关访问目的安全域,反之,如果所述认证结果为认证失败,所述控制端返回认证失败页面给终端设备。2.根据权利要求1所述的域控网关的认证访问方法,其特征在于,该方法之前还包括:当未认证的终端设备从一个安全域通过web浏览器访问目的安全域时,所述控制端不开启网关服务,所述终端设备无法访问目的安全域,所述控制端提示所述终端设备进行认证。3.根据权利要求1或2所述的域控网关的认证访问方法,其特征在于,所述如果所述认证结果为认证失败,所述控制端返回认证失败页面给终端设备,之后,该方法还包括:未认证的终端设备重新提交认证请求到控制端,所述控制端将所述认证请求重新发送给认证服务器进行认证,所述认证服务器查询数据库后将认证结果重新发送给控制端,如果所述认证结果为认证成功,所述控制端添加关于该终端设备的访问控制策略,所述终端设备允许通过域控网关访问目的安全域,反之,如果所述认证结果为认证失败,所述控制端返回认证失败页面给终端设备,并且所述终端设备重复进行认证。4.根据权利要求3所述的域控网关的认证访问方法,其特征在于:所述认证请求包括认证服务器地址、认证数据库类型、数据库用户名、用户密码、数据库端口、认证角色。5.根据权利要求4所述的域控网关的认证访问方法,其特征在于:所述认证服务器对应若干个控制端进行认证。
【文档编号】H04L29/06GK105915530SQ201610342605
【公开日】2016年8月31日
【申请日】2016年5月23日
【发明人】刘亚轩, 何建锋, 陈宏伟, 王平, 郭曾晖, 左凯
【申请人】西安交大捷普网络科技有限公司