本发明专利技术提供一种信息系统的访问管理方法、装置、系统和接入设备,其中方法包括:根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理,并将校验通过的DNS请求报文转发到DNS服务器;根据来自DNS服务器的DNS响应报文将校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中;根据来自客户端的IP报文和可访问IP列表进行校验处理,并允许校验通过的IP报文访问信息系统服务器中的信息系统资源。装置包括第一校验模块、第一添加模块和第二校验模块。接入设备包括信息系统的访问管理装置。本发明专利技术还提供了一种信息系统的访问管理系统。本发明专利技术实现了简便、灵活的访问管理。
【技术实现步骤摘要】
本专利技术涉及通信技术,尤其涉及一种信息系统的访问管理方法、装置、系统和接入 设备。
技术介绍
随着科技的不断发展和进步,计算机在办公系统中逐渐普及化,各大公司企业对 计算机的依赖性也越来越高,而企业规模越大,其内部的信息系统越复杂。此处的信息系统 即可以访问的网络资源,如政府部门的财务系统、资产管理系统和人事系统。在整个网络 中,各个访问网络的用户的权限各不相同,通过将具有相同权限的用户划分为一个组,来减 少网络管理员的负担,即只要对一个用户组赋予一定的权力,则该组内的用户便具有相同 的权力。如财政司、行政司和人事司的工作人员分别只能访问财务系统、资产管理系统和人 事系统,即将工作人员划分为财政组、行政组和人事组,并分别赋予可访问财政系统、资产 管理系统和人事系统的权力。在现有技术中,最常用的用户组划分控制方法为通过部署防火墙设备来实现,通 过基于IP地址对终端接入用户和信息系统进行标识,在防火墙设备上配置访问控制列表 (Access Control List ;以下简称ACL)策略设定终端接入用户拥有哪些信息系统的访问 权限,来实现访问权限的控制。然而,在现有技术中的访问管理方法中,当出现IP地址变更时,需要手动进行配 置调整,且同一用户访问不同权限的系统需要通过不同的计算机访问,而修改终端接入计 算机的IP地址则使得防火墙的控制失效。因此,现有技术的方法难于使用,不符合现实中 的权限分配模式,且控制容易失效。
技术实现思路
本专利技术提供一种信息系统的访问管理方法、装置、系统和接入设备,解决现有技术 中的访问控制方法难于使用、控制容易失效等缺陷,实现简便、灵活的访问管理,易于使用和管理。本专利技术提供一种信息系统的访问管理方法,包括根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理,并将校验 通过的DNS请求报文转发到DNS服务器;根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带 的域名对应的IP地址添加到可访问IP列表中;根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理,并允许校验 通过的IP报文访问信息系统服务器中的信息系统资源。本专利技术提供一种信息系统的访问管理装置,包括第一校验模块,用于根据来自客户端的域名系统DNS请求报文中携带的域名进行 校验处理,并将校验通过的DNS请求报文转发到DNS服务器;第一添加模块,用于根据来自所述DNS服务器的DNS响应报文将所述校验通过的 DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中;第二校验模块,用于根据来自所述客户端的IP报文和所述可访问IP列表进行校 验处理,并允许校验通过的IP报文访问信息系统服务器中的信息系统资源。本专利技术提供一种接入设备,包括上述信息系统的访问管理装置。本专利技术提供一种信息系统的访问管理系统,包括域名系统DNS服务器、信息服务 器和信息系统的访问管理装置,其中所述接入设备用于根据来自客户端的DNS请求报文 中携带的域名进行校验处理,并将校验通过的DNS请求报文转发到DNS服务器;根据来自所 述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地 址添加到可访问IP列表中;并根据来自所述客户端的IP报文和所述可访问IP列表进行校 验处理,并允许校验通过的IP报文访问所述信息系统服务器中的信息系统资源;所述DNS 服务器用于接收到所述校验通过的DNS请求报文后,向所述接入设备返回DNS响应报文。本专利技术的信息系统的访问管理方法、装置、系统和接入设备,通过对来自客户端的 DNS请求报文进行截包处理,对该DNS请求报文中携带的域名进行校验处理,将校验通过的 域名对应的DNS请求报文转发到DNS服务器;再对来自DNS服务器的DNS响应报文进行截 包处理,将对应的IP地址添加到可访问IP列表中;再对来自客户端的IP报文进行截包处 理,对IP报文进行校验处理,并允许校验通过的IP报文对其中的信息系统资源进行访问处 理;本实施例中整个信息系统的访问管理过程由接入交换机、客户端、DNS服务器和信息系 统服务器自动完成,无需管理员手动管理,易于使用和管理,解决了现有技术中的访问控制 方法难于使用、控制容易失效等缺陷,且解决了现有技术中手动修改计算机配置便可绕开 控制的问题,实现了简便、灵活的访问管理。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发 明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以 根据这些附图获得其他的附图。图1为本专利技术信息系统的访问管理方法实施例一的流程图;图2为本专利技术信息系统的访问管理方法实施例二中认证过程的信令图;图3为本专利技术信息系统的访问管理方法实施例二中的网络拓扑示意图;图4为本专利技术信息系统的访问管理方法实施例二中的用户组划分的示意图;图5为本专利技术信息系统的访问管理方法实施例二中访问管理过程的信令图;图6为本专利技术信息系统的访问管理装置实施例一的结构示意图;图7为本专利技术信息系统的访问管理装置实施例二的结构示意图;图8为本专利技术信息系统的访问管理系统实施例一的结构示意图;图9为本专利技术信息系统的访问管理系统实施例二的结构示意图。具体实施例方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。图1为本专利技术信息系统的访问管理方法实施例一的流程图,如图1所示,本实施例 提供了一种信息系统的访问管理方法,可以具体包括如下步骤步骤101,接入交换机根据来自客户端的域名系统(Domain Name System;以下简 称DNS)请求报文中携带的域名进行校验处理,并将校验通过的DNS请求报文转发到DNS 服务器。在本实施例中,客户端与安全管理服务器进行认证之后,用户可以通过客户端进 行信息系统资源的访问。客户端向DNS服务器发送DNS请求时,接入交换机对该DNS请求 报文进行截包处理,即来自客户端的DNS请求报文先发送到接入交换机,该DNS请求报文中 携带用户将要访问的信息系统的域名。接入交换机根据该域名进行校验处理,将校验通过 的域名所对应的DNS请求报文转发到DNS服务器,而校验未通过的域名所对应的DNS请求 则直接丢弃处理,不再执行后续的流程。本实施例中对域名进行校验处理可以具体为根据 允许解析域名表进行校验处理,即判断该域名是否包含在允许解析域名中,该允许解析域 名表可以通过也可以通过预先从安全管理服务器获取的方式来得到,也可以由本领域技术 人员根据经验来手工配置。步骤102,接入交换机根据来自所述DNS服务器的DNS响应报文将所述校验通过的 DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中。当完成上述步骤后,如果用户将要访问的信息系统对应的域名通过校验时,其发 起的DNS请求报文转发到DNS服务器,则DNS服务器向客户端返回DNS响本文档来自技高网...
【技术保护点】
一种信息系统的访问管理方法,其特征在于,包括: 根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理,并将校验通过的DNS请求报文转发到DNS服务器; 根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中; 根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理,并允许校验通过的IP报文访问信息系统服务器中的信息系统资源。
【技术特征摘要】
1.一种信息系统的访问管理方法,其特征在于,包括根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理,并将校验通过 的DNS请求报文转发到DNS服务器;根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域 名对应的IP地址添加到可访问IP列表中;根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理,并允许校验通过 的IP报文访问信息系统服务器中的信息系统资源。2.根据权利要求1所述的方法,其特征在于,在所述根据来自客户端的域名系统DNS请 求报文中携带的域名进行校验处理之前,还包括在客户端通过安全管理服务器的合法性认证后,接收所述安全管理服务器获取的用户 有访问权限的信息系统对应的域名;将所述用户有访问权限的信息系统对应的域名添加到允许解析域名表中。3.根据权利要求2所述的方法,其特征在于,所述根据来自客户端的域名系统DNS请求 报文中携带的域名进行校验处理,并将校验通过的DNS请求报文转发到DNS服务器包括获取客户端发往DNS服务器的DNS请求报文,所述DNS请求报文中携带所访问的信息 系统的域名;校验所述信息系统的域名是否在所述允许解析域名表中,如果是,则校验通过,并将所 述DNS请求报文转发到DNS服务器。4.根据权利要求1所述的方法,其特征在于,所述根据来自所述客户端的IP报文和所 述可访问IP列表进行校验处理,并允许校验通过的IP报文访问信息系统服务器中的信息 系统资源包括判断来自所述客户端的IP报文中携带的IP地址是否在所述可访问IP列表中,如果 是,则校验通过,并将所述IP报文转发到信息系统服务器;利用所述IP报文对所述信息系统服务器中的信息系统资源进行访问处理。5.根据权利要求2所述的方法,其特征在于,还包括在所述客户端退出后,清空所述允许解析域名表和所述可访问IP列表。6.一种信息系统的访问管理装置,其特征在于,包括第一校验模块,用于根据来自客户端的域名系统DNS请求报文中携带的域名进行校验 处理,并将校验通过的DNS请求报文转发到DNS服务器;第一添加模块,用于根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS 请求报文中携带的域名对应的IP地址添加到可访问IP列表中;第二校验模块,用于根据来自所述客户端的IP报文和所述可访问IP列表进行校验处 理,并允许校验通过的IP报文访问信息系...
【专利技术属性】
技术研发人员:杨红飞,吴吉朋,刘福能,叶金龙,
申请(专利权)人:北京星网锐捷网络技术有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。