一种基于vpn网关的单点登录系统及方法

一种基于vpn网关的单点登录系统及方法
【专利摘要】本发明提供了一种基于VPN网关的单点登录系统及方法。VPN网关提供用户自主配置单点登录用户信息的引导，并验证其正确性的基础上自动绑定用户信息，实现用户对资源单点登录请求的方法。该方法弥补了普通单点登录的不足，减少管理员相关配置与管理工作量的同时，确保用户对其单点登录信息配置与绑定的正确性，保证单点登录的完备性。
【专利说明】一种基于VPN网关的单点登录系统及方法

【技术领域】
[0001]本发明涉及一种基于VPN网关的单点登录系统及方法，特别是涉及一种适用于基于VPN网关的终端用户对资源发起单点登录请求的单点登录系统及方法。

【背景技术】
[0002]单点登录技术是在通过VPN客户端认证成功后，用户请求访问受VPN网关保护且支持单点登录的后台应用时，VPN网关通过匹配的单点登录用户信息重新组装用户访问请求数据包，以实现对后台应用的自动认证，而无需用户再次填写用户信息。
[0003]自动绑定用户信息技术是当未配置后台应用认证信息的用户初次请求单点登录资源时，VPN网关在引导用户填写其资源认证信息并以此信息作为单点登录认证信息验证信息正确性后，将其用户信息与匹配的单点登录资源进行绑定，实现用户对其单点登录信息的自动配置。
[0004]身份认证技术是鉴别用户身份，提取用户身份标识的一种安全技术，是进行权限控制的前提。VPN网关利用身份认证技术对用户身份进行鉴别，从认证信息中提取用户身份标识用于网关对用户访问应用的权限控制。
[0005]访问控制技术是用于控制用户访问行为的一种安全手段。
[0006]VPN网关系统通过断路访问控制的方式保护需要加固的应用系统。用户只有通过网关的身份认证才能访问受VPN网关保护的应用服务。支持单点登录的普通VPN网关系统只有在管理员为用户配置了资源访问的单点登录认证信息后，当用户请求匹配资源能实现用户对其的单点登录。但是，对于未配置用户信息的单点登录请求则无法引导用户对其认证信息进行配置，进而不支持用户在此种应用情景的单点登录。


【发明内容】

[0007]本发明要解决的技术问题是提供一种基于VPN网关的，未配置认证信息的用户实现资源单点登录的系统及方法。
[0008]本发明采用的技术方案如下:一种基于VPN网关的单点登录系统，其特征在于:包括
VPN网关身份认证模块，对用户进行身份认证；
后台资源访问请求模块，接收用户的访问请求；
单点登录认证信息配置判断模块，判断管理员是否为该用户配置了针对请求资源的单点登录认证信息；
资源单点登录信息输入模块，接收用户针对该资源输入的登录信息并提交至VPN网关;
用户信息解析模块，解析用户输入的登录信息；
单点登录请求模块，利用捕获的用户信息对该资源发起单点登录请求；
单点登录业务跳转模块，单点登录请求不成功时，将页面跳转至资源单点登录信息输入页面的模块；
用户信息记录模块，单点登录请求成功时，将单点登录请求成功的用户信息填写至相关表单中。
[0009]一种基于VPN网关的单点登录方法，其方法为:当未配置后台应用认证信息的用户初次请求单点登录资源时，VPN网关在引导用户填写其资源认证信息并以此作为单点登录认证信息来验证信息配置正确后，将其用户信息保存至单点登录用户信息表单中，实现用户对其单点登录用户信息的自动配置与绑定。
[0010]作为优选，具体方法步骤为:步骤一、用户启动VPN客户端，出示用于认证的凭证并与VPN网关进行身份认证，身份认证通过则进入下一步；步骤二、用户通过网页浏览器对支持后台资源发起访问请求；步骤三、VPN网关判断管理员是否为其配置针对该资源的单点登录信息，是则用配置的用户信息实现对请求资源的单点登录，否则执行下一步；步骤四、用户向VPN网关提交针对该资源的单点登录认证信息；步骤五、解析步骤四中的提交的单点登录信息，并通过填充捕获的用户信息对该资源发起单点登录请求，请求成功则将单点登录信息转发至浏览器，并将该用户信息填写至相关表单中，否则返回步骤四提示用户继续输入正确的用户信息。
[0011]与现有技术相比，本发明的有益效果是:不仅支持普通单点登录的，更能以自动绑定用户认证信息的方法实现未配置认证信息的用户对资源的单点登录的请求。

【具体实施方式】
[0012]为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
[0013]本说明书(包括任何附加权利要求、摘要)中公开的任一特征，除非特别叙述，均可被其他等效或者具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。
[0014]本发明公开了安全网关展现在管理员未配置用户单点登录信息情况下，VPN网关提供用户自主配置单点登录用户信息的引导，并验证其正确性的基础上自动绑定用户信息，实现用户对资源单点登录请求的方法。该方法弥补了普通单点登录的不足，减少管理员相关配置与管理工作量的同时，确保用户对其单点登录信息配置与绑定的正确性，保证单点登录的完备性。VPN网关部署在支持单点登录后台应用系统与VPN客户端之间，起断路式访问控制的作用。
[0015]在本具体实施例中，用户请求单点登录资源访问的流程及方法如下:
一、用户启动VPN客户端软件；二、用户出示用于认证的凭证，并与VPN网关进行身份认证；三、用户通过网页浏览器对支持后台资源发起访问请求；四、VPN网关判断是否为其配置针对该资源的单点登录信息，如果未配置则顺序执行，否则用配置的用户信息实现对请求资源的单点登录；五、在终端上弹出用户账号及口令输入框，提示用户输入针对该资源的单点登录信息，并提交至VPN网关；六、VPN网关利用捕获的用户信息对该资源发起单点登录请求，如请求成功则将其请求结果转发至客户端，并将该用户信息填写至相关表单中；否则跳转至第五步提醒用户输入正确的用户信息。
[0016]本发明不限定VPN网关系统具体形式。在本发明中，不限定具体的单点登录发起方式。VPN网关利用用户的身份标识根据访问控制对支持单点登录资源访问请求进行权限裁决。当用户访问请求通过权限裁决后，若未为其配置单点登录认证信息时，VPN网关则采用自动绑定用户信息的方式引导用户对其进行正确地配置，然后再利用其认证信息实现对访问资源的单点登录。
[0017]本发明不仅支持普通单点登录的，更能以自动绑定用户信息的方法实现未配置认证信息的用户对资源的单点登录的请求。自动绑定用户信息模块在确保了用户信息的正确性后，再对其进行保存与绑定。既支持用户通过VPN客户端以C/S模式认证后发起对资源的单点登录请求，也支持以B/S的方式通过认证后发起单点登录请求。支持HTTP协议的Post、Get、Basic的三种认证方法的单点登录。减少管理员对用户单点登录绑定信息的配置与管理工作量。
[0018]可基于不同的认证因子、不同的认证协议、不同的认证场景(B/S或C/S)实现对用户身份的认证；能够基于VPN安全通道代理用户访问部署在VPN网关后的应用系统；能够对用户访问应用系统的权限进行控制；集成单点登录程序和自动绑定用户信息模块，能够支持配置有单点登录认证信息的用户发起对支持单点登录的后台应用的正常认证与访问的同时，还能支持未配置认证信息的用户通过自动绑定用户信息的方法实现其对单点登录后台应用的认证与访问。所述的VPN网关接收来自于VPN网关客户端软件的认证请求，根据客户端出示的不同认证因子对用户进行身份认证。认证成功后VPN网关与VPN网关客户端软件建立安全通道。当用户通过VPN客户端访问应用系统时，VPN网关根据用户的身份标识和所需访问应用系统标识的匹配关系判断用户是否有访问应用系统的权限，如果有权访问，则基于VPN安全通道代理用户访问应用系统，反之则拒绝用户的访问请求。当用户访问请求的是VPN网关端配置的单点登录资源时，若未为其配置单点登录认证信息时，VPN网关则采用自动绑定用户信息的方式引导用户对其进行配置，然后再利用其认证信息实现对访问资源的单点登录。
【权利要求】
1.一种基于VPN网关的单点登录系统，其特征在于:包括 VPN网关身份认证模块，对用户进行身份认证； 后台资源访问请求模块，接收用户的访问请求； 单点登录认证信息配置判断模块，判断管理员是否为该用户配置了针对请求资源的单点登录认证信息； 资源单点登录信息输入模块，接收用户针对该资源输入的登录信息并提交至VPN网关; 用户信息解析模块，解析用户输入的登录信息； 单点登录请求模块，利用捕获的用户信息对该资源发起单点登录请求； 单点登录业务跳转模块，单点登录请求不成功时，将页面跳转至资源单点登录信息输入页面的模块； 用户信息记录模块，单点登录请求成功时，将单点登录请求成功的用户信息填写至相关表单中。
2.基于权利要求1所述的基于VPN网关的单点登录系统的单点登录方法，其方法为:当未配置后台应用认证信息的用户初次请求单点登录资源时，VPN网关在引导用户填写其资源认证信息并以此作为单点登录认证信息来验证信息配置正确后，将其用户信息保存至单点登录用户信息表单中，实现用户对其单点登录用户信息的自动配置与绑定。
3.根据权利要求2所述的单点登录方法，具体方法步骤为:步骤一、用户启动VPN客户端，出示用于认证的凭证并与VPN网关进行身份认证，身份认证通过则进入下一步；步骤二、用户通过网页浏览器对支持后台资源发起访问请求；步骤三、VPN网关判断管理员是否为其配置针对该资源的单点登录信息，是则用配置的用户信息实现对请求资源的单点登录，否则执行下一步；步骤四、用户向VPN网关提交针对该资源的单点登录信息；步骤五、解析步骤四中的提交的单点登录信息，并通过填充捕获的用户信息对该资源发起单点登录请求，请求成功则将单点登录信息转发至浏览器，并将该用户信息填写至相关表单中，否则返回步骤四提示用户继续输入正确的用户信息。
【文档编号】H04L29/08GK104333557SQ201410659382
【公开日】2015年2月4日 申请日期:2014年11月19日 优先权日:2014年11月19日
【发明者】邢朝阳, 方鸣睿, 汪仕兵, 杨宇, 刘小华, 秦凯 申请人:成都卫士通信息安全技术有限公司