本发明专利技术提供了一种跨多级网络边界的网络资源访问接入控制方法。客户端访问内网服务,接入控制网关检测是否带有有效的已认证信息,如果没有认证,向客户端发起认证请求。客户端从USBKEY中读取用户的公钥证书链和签名,提交给接入控制网关,接入控制网关的认证模块验证请求的合法性后,验证用户签名的真实性。客户端对接入控制网关同样完成认证。有效实现了跨多级网络域进行资源访问的用户和设备的身份鉴别,彻底解决了跨多级网络域边界的接入安全性问题。
【技术实现步骤摘要】
本专利技术涉及一种跨多级网络边界的网络资源访问接入控制方法,特别是涉及一种适用于在WebNat服务技术和PKI身份认证体系的基础上,跨多级网络边界的网络资源访问安全接入控制方法。
技术介绍
WebNat服务主要作用在于告知未认证的应用客户端跳转到Web认证服务完成与接入控制网关的双向身份鉴别。身份认证技术是鉴别用户身份,提取用户身份标识的一种安全技术,是进行权限控制的前提。接入控制技术是用于控制用户访问行为的一种安全手段。跨网接入控制中所有数据都经过接入控制网关,由接入控制网关根据认证通过用户的IP以及相应的访问控制列表对流入内网的数据进行控制。即该接入控制方法通过断路访问控制的方式保护需要加固的应用服务。用户只有通过接入控制网关的身份认证以及相应的授权才能访问受保护的应用服务。
技术实现思路
本专利技术要解决的技术问题是提供一种将接入控制网关服务器部署在两个或者多个网络域的边界,用于对用户从一个网络域访问另一个网络域的行为进行控制的,跨多级网络边界的网络资源访问安全接入控制方法。基于PKI体系的身份认证可以作为第三方公共授权机构,使通信双方能够确认彼此身份和验证交互信息。基于该体系的公钥技术,结合其他加密技术,可以开发出适用于网络应用安全新需求的双强因子认证策略,有效地保证数字签名和数字信封的数据完整性、数据保密性和交易不可否认性。本专利技术采用的技术方案如下: 一种跨多级网络边界的网络资源访问接入控制方法,具体方法步骤为:步骤一、客户端访问内网服务时,接入控制网关检测其是否带有有效的已认证通过信息,有则进入步骤三,无则进入步骤二向客户端发起认证请求,要求客户端进行认证;步骤二,客户端从USBKEY中读取用户的公钥证书链和签名,提交给接入控制网关,发起连接认证请求;三,接入控制网关的认证模块验证请求的合法性后,验证用户签名的真实性;还包括,客户端对接入控制网关进行身份验证。作为优选,所述步骤二中,客户端的认证方法步骤为:A、客户端向服务器发起认证请求;B、服务器下发随机数对客户端产生挑战;C、客户端收到随机数,并用自身私钥对服务挑战进行签名,并连带自身证书发给服务器;D、服务器收到客户端签名数据和证书,并对证书进行有效验证;E、服务器从有效证书中获取用户公钥,验证用户签名,以确定用户身份。作为优选,所述方法还包括:采用路由或网桥模式进行网络部署。作为优选,所述方法还包括:对终端用户和计算机之间进行终端绑定。作为优选,所述方法还包括:采用WebNat服务对http协议重定向。作为优选,所述方法还包括:在接入控制网关内设置防火墙模块。作为优选,所述方法还包括:认证通过后,系统利用用户的IP地址以及基于角色的访问控制策略完成对用户要访问的目标地址、网段服务的访问权限的细粒度控制。作为优选,所述方法还包括:在认证阶段,用户所有操作都在接入控制网关数据库中形成审计日志。与现有技术相比,本专利技术的有益效果是:利用WebNat服务技术实现了终端用户认证行为的自动触发以及终端用户访问远端服务应用通信路由的透明性。依照常规C/S模式,系统由接入控制网关服务器和接入认证客户端软件组成,有效实现了跨多级网络域进行资源访问的用户和设备的身份鉴别,彻底解决了跨多级网络域边界的接入安全性问题。附图说明图1为本专利技术其中一实施例的网关服务器层次示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。如图1所示,接入控制网关服务器分为三个层次:最上层应用服务层(串口服务、证书认证服务、WebNat服务、Web认证服务等),中间内部服务层(管理服务、加密设备服务、策略控制模块),最底层基础服务(数据库与加密设备),三层之间下层为上层提供相应的服务。一种跨多级网络域边界的控制方法,具体方法步骤为:步骤一、客户端访问内网服务时,接入控制网关检测其是否带有有效的已认证通过信息,有则进入步骤三,无则进入步骤二向客户端发起认证请求,要求客户端进行认证;步骤二,客户端从USBKEY中读取用户的公钥证书链和签名,提交给接入控制网关,发起连接认证请求;三,接入控制网关的认证模块验证请求的合法性后(包括验证证书的用途是否正确,公钥是否在有效期内,认证中心的签名是否正确,通过CRL黑表查询验证证书是否已被吊销),验证用户签名的真实性;还包括,客户端对接入控制网关进行身份验证。验证完成后,接入控制网关为用户颁发身份票据。根据用户的IP地址结合管理员设定的访问控制列表决策是否允许客户端计算机接入安全网络中。利用WebNat服务技术实现了终端用户认证行为的自动触发以及终端用户访问远端服务应用通信路由的透明性。依照常规C/S模式,系统由接入控制网关服务器和接入认证客户端软件组成,有效实现了跨多级网络域进行资源访问的用户和设备的身份鉴别,彻底解决了跨多级网络域边界的接入安全性问题。无论终端用户是否已经成功完成身份认证,只要其通过IE对应用服务器的资源进行访问,接入控制网关的WebNat服务将会判断该终端用户是否已经通过认证,若未认证则告知该未认证终端跳转至相应的Web认证服务完成与接入控制网关的双向身份认证。而且,该自动触发认证可以在同系列产品中级联实现。传统的接入控制网关在终端用户访问服务资源的时候就已经假定该终端用户已经通过相应的身份认证,如果该终端用户在成功认证之前就随机访问服务器资源,接入控制网关返回的最有用信息仅仅是“目标地址不可达”,而本专利技术基于WebNat服务的重定向功能可以达到自动触发用户认证行为的目的。双向验证完成后,接入控制网关为用户颁发一个与PKI技术和证书相关的身份票据,用户凭借该票据可以得到其他符合协议标准的认证服务设施的信任,从而实现用户在一个入口登陆后可以无限制地漫游到其它信任域。用户也可以凭借其他认证服务设施获取的身份票据获得接入控制网关的信任。终端用户一旦通过某一个接入控制网关的认证,和远端服务器间成功建立连接,该终端用户就无需关心其和远端服务器之间的通信路径,比如:通信路径上还有多少个接入控制网关、通信路径上临时增加或者减少一个或者几个接入控制网关等情况、网关之间如何完成彼此之间的身份认证。总而言之,终端用户一旦与接入控制网关成功完成身份认证,就无需知晓访问远端服务的详细路由过程,整个认证过程对终端用户来说简单透明。所述步骤二中,客户端的认证方法步骤为:A、客户端向服务器发起认证请求;B、服务器下发随机数对客户端产生挑战;C、客户端收到随机数,并用自身私钥对服务挑战进行签名,并连带自身证书发给服务器;D、服务器收到客户端签名数据和证书,并对证书进行有效验证,验证包本文档来自技高网...
【技术保护点】
一种跨多级网络边界的网络资源访问接入控制方法,具体方法步骤为:步骤一、客户端访问内网服务时,接入控制网关检测其是否带有有效的已认证通过信息,有则进入步骤三,无则进入步骤二向客户端发起认证请求,要求客户端进行认证;步骤二,客户端从USBKEY中读取用户的公钥证书链和签名,提交给接入控制网关,发起连接认证请求;三,接入控制网关的认证模块验证请求的合法性后,验证用户签名的真实性;还包括,客户端对接入控制网关进行身份验证。
【技术特征摘要】
1.一种跨多级网络边界的网络资源访问接入控制方法,具体方法步骤为:步骤一、客户端访问内网服务时,接入控制网关检测其是否带有有效的已认证通过信息,有则进入步骤三,无则进入步骤二向客户端发起认证请求,要求客户端进行认证;步骤二,客户端从USBKEY中读取用户的公钥证书链和签名,提交给接入控制网关,发起连接认证请求;三,接入控制网关的认证模块验证请求的合法性后,验证用户签名的真实性;
还包括,客户端对接入控制网关进行身份验证。
2.根据权利要求1所述的所述的网络资源访问接入控制方法,步骤二中,客户端的认证方法步骤为:A、客户端向服务器发起认证请求;B、服务器下发随机数对客户端产生挑战;C、客户端收到随机数,并用自身私钥对服务挑战进行签名,并连带自身证书发给服务器;D、服务器收到客户端签名数据和证书,并对证书进行有效验证;E、服务器从有效证书中获取用户公钥,验证用户签名,以确定用户身份。
【专利技术属性】
技术研发人员:吴荣政,方鸣睿,汪士兵,杨宇,刘小华,邢朝阳,秦凯,原蓓蓓,
申请(专利权)人:成都卫士通信息安全技术有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。