专利名称:一种应用系统用户认证方法
技术领域:
本发明涉及计算机网络,具体涉及一种应用系统用户认证方法。
背景技术:
随着宽带Internet网络的普及和电子商务的蓬勃发展,越来越多的 企业都在逐步依靠计算机网络、应用系统来开展业务,同时利用Internet 来开展更多的商务活动;稍具规模的企业都不会只有一个办公应用系 统,而由于一些历史问题,导致很多的应用系统都只是利用用户名、 密码来保证系统的安全性,认证强度不够大,存在访问安全漏洞,加 上这些系统都已经成型已久,绝大部分的系统都不可能再利用第2次 开发来提升应用系统的安全性。
另 一方面,SSL VPN是采用SSL(Security Socket Layer,安全套接 字层)协议来实现远程接入的一种新型VPN(Virtual private Network,虚 拟专用网络)技术,SSL协议是网景公司提出的基于WEB应用的安全 协议,它包括服务器认证、客户认证(可选)、SSL链路上的数据完 整性和SSL链路上的数据保密性,对于内、外部应用来说,使用SSL 可保证信息的真实性、完整性和保密性,但目前SSL VPN只能做到对 某用户能用哪些应用做权限限制,还不够
发明内容
本发明需要解决的技术问题是,如何提供一种应用系统用户认证 方法,能防止用户使用别人的帐号密码再登陆应用系统。
本发明的第一个技术问题这样解决构建一种应用系统用户认证 方法,在SSLVPN设备设置客户端对应应用系统的指定用户名密码, 包括以下步骤
1.1) 通过SSL VPN设备截取用户登陆应用系统的信息数据;
1.2) 判断该信息数据中用户名密码是否是与其来源客户端对应 的指定用户名密码,是转发该信息数据,否则不转发。
按照本发明提供的认证方法,所述指定用户名密码存储于SSL VPN设备的数据文件或数据库中。
按照本发明提供的认证方法,所述步骤l.l)中截取是通过获取接收 数据流的报头来具体识别的。
按照本发明提供的认证方法,所述步骤1.2)中不转发进一步还包括 给所述信息数据来源客户端一个"拒绝登陆"的提示。
按照本发明提供的认证方法,所述步骤1.2)中不转发进一步还包括 将不转发记录日志。
按照本发明4是供的认证方法,该认证方法还包括步骤1.3):应用系 统根据所述信息数据对用户进行认证。
本发明提供的应用系统用户认证方法,采用SSLVPN增强应用系 统用户认证的安全,使用户登陆SSLVPN后必须使用指定的用户名密 码登陆应用系统,而不能盗用别人的帐号使用应用系统,这样防止用 户使用别人的帐号密码再登陆应用系统,提高了现有基于用户名密码 的应用系统的安全性。
下面结合附图和具体实施例进一步对本发明进行详细说明。
图l是本发明用户登陆应用系统流程示意图; 图2是本发明SSLVPN设备工作流程示意图; 图3是现有技术用户登陆效果示意图; 图4是本发明用户登陆效果示意图。
具体实施例方式
首先,说明本发明思想
此发明跟把普通的SSL VPN设备直接部署到应用系统前面,即 SSL VPN可以通过过滤应用系统的^t据流来绑定登陆应用系统的用 户, 一方面加强应用系统的认证安全, 一方面方Y更SSL VPN系统3艮应 用系统实现单点登陆。这样SSL VPN的加强的用户认i正就可以应用到 其他系统上。
第二,说明本发明方法
如图1所示,用户登陆应用系统流程具体包括用户登陆应用系 统的数据,先经过SSLVPN, SSLVPN过滤用户登陆的数据流,对数 据流进行分析,判断该用户是否可以在该系统上登陆应用系统。如果 SSL VPN允许用户登陆,则用户可以成功登陆应用系统,否则,用户 会得到一个"拒绝登陆"的提示,并记录曰志。
如图2所示,SSLVPN设备工作流程具体包括SSLVPN等待数 据,如果数据是用户登陆信息的数据,则对数据流中的用户名进行分 析,判断是否允许该用户在该系统上登陆应用系统。如果允许,转发数据流至应用系统,否则抛弃数据。如果SSLVPN接收到非用户登陆 的数据流,则执行原有的流程。 第三,说明本发明效果
如图3所示,应用本发明之前PC1、 PC2可以使用任何应用系统 识别的用户名登陆,如
1. PC1可以使用用户A、用户B登陆应用系统;
2. PC2可以使用用户C、用户D登陆应用系统。 如图4所示,应用本发明之后PC1、 PC2只可以使用任何应用系
统识别并且在SSL VPN设备上被绑定,如
1. PC1可以使用用户A登陆应用系统;
2. PC1不可以^f吏用用户B登陆应用系统;
3. PC2不可以使用用户C登陆应用系统;
4. PC2可以-使用用户D登陆应用系统。
最后,在本领域普通技术人员理解范围内,在本发明权利要求范 围内,各种变化都属于本发明的保护范围。
权利要求
1、一种应用系统用户认证方法,其特征在于,在SSL VPN设备设置客户端对应应用系统的指定用户名密码,包括以下步骤1. 1)通过SSL VPN设备截取用户登陆应用系统的信息数据;1. 2)判断该信息数据中用户名密码是否是与其来源客户端对应的指定用户名密码,是转发该信息数据,否则不转发。
2、 根据权利要求1所述认证方法,其特征在于,所述指定用户名 密码存储于SSL VPN设备的数据文件中。
3、 根据权利要求1所述认证方法,其特征在于,所述指定用户名 密码存储于SSL VPN设备的数据库中。
4、 根据权利要求1所述认证方法,其特征在于,所述步骤l.l)中 截取是通过获取接收数据流的报头来具体识别的。
5、 根据权利要求1所述认证方法,其特征在于,所述步骤1.2)中 不转发还包括给所述信息数据来源客户端一个"拒绝登陆"的提示。
6、 根据权利要求1或5所述认证方法,其特征在于,所述步骤1.2) 中不转发还包括将不转发记录日志。
7、 根据权利要求1所述认证方法,其特征在于,该认证方法还包 括步骤1.3):应用系统根据所述信息数据对用户进行认证。
全文摘要
本发明涉及了一种应用系统用户认证方法,在SSL VPN设备设置客户端对应应用系统的指定用户名密码,包括通过SSL VPN设备截取用户登陆应用系统的信息数据;判断该信息数据中用户名密码是否是与其来源客户端对应的指定用户名密码,是转发该信息数据,否则不转发。这种方法,采用SSL VPN增强应用系统用户认证安全,使用户登陆SSL VPN后必须使用指定的用户名密码登陆应用系统,防止了用户使用别人的帐号密码再登陆应用系统,提高了现有基于用户名密码的应用系统的安全性。
文档编号H04L9/32GK101447875SQ20081024141
公开日2009年6月3日 申请日期2008年12月19日 优先权日2008年12月19日
发明者徐清木 申请人:深圳市深信服电子科技有限公司