技術(shù)領(lǐng)域

本發(fā)明涉及計算機網(wǎng)絡(luò)，具體涉及一種應(yīng)用系統(tǒng)用戶認證方法。

背景技術(shù)

隨著寬帶Internet網(wǎng)絡(luò)的普及和電子商務(wù)的蓬勃發(fā)展，越來越多的企業(yè)都在逐步依靠計算機網(wǎng)絡(luò)、應(yīng)用系統(tǒng)來開展業(yè)務(wù)，同時利用Internet來開展更多的商務(wù)活動；稍具規(guī)模的企業(yè)都不會只有一個辦公應(yīng)用系統(tǒng)，而由于一些歷史問題，導(dǎo)致很多的應(yīng)用系統(tǒng)都只是利用用戶名、密碼來保證系統(tǒng)的安全性，認證強度不夠大，存在訪問安全漏洞，加上這些系統(tǒng)都已經(jīng)成型已久，絕大部分的系統(tǒng)都不可能再利用第2次開發(fā)來提升應(yīng)用系統(tǒng)的安全性。

另一方面，SSL?VPN是采用SSL(Security?Socket?Layer，安全套接字層)協(xié)議來實現(xiàn)遠程接入的一種新型VPN(Virtual?private?Network，虛擬專用網(wǎng)絡(luò))技術(shù)，SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認證、客戶認證(可選)、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性，對于內(nèi)、外部應(yīng)用來說，使用SSL可保證信息的真實性、完整性和保密性，但目前SSL?VPN只能做到對某用戶能用哪些應(yīng)用做權(quán)限限制，還不夠。

發(fā)明內(nèi)容

本發(fā)明需要解決的技術(shù)問題是，如何提供一種應(yīng)用系統(tǒng)用戶認證方法，能防止用戶使用別人的帳號密碼再登陸應(yīng)用系統(tǒng)。

本發(fā)明的第一個技術(shù)問題這樣解決：構(gòu)建一種應(yīng)用系統(tǒng)用戶認證方法，在SSL?VPN設(shè)備設(shè)置客戶端對應(yīng)應(yīng)用系統(tǒng)的指定用戶名密碼，包括以下步驟：

1.1)通過SSL?VPN設(shè)備截取用戶登陸應(yīng)用系統(tǒng)的信息數(shù)據(jù)；

1.2)判斷該信息數(shù)據(jù)中用戶名密碼是否是與其來源客戶端對應(yīng)的指定用戶名密碼，是轉(zhuǎn)發(fā)該信息數(shù)據(jù)，否則不轉(zhuǎn)發(fā)。

按照本發(fā)明提供的認證方法，所述指定用戶名密碼存儲于SSLVPN設(shè)備的數(shù)據(jù)文件或數(shù)據(jù)庫中。

按照本發(fā)明提供的認證方法，所述步驟1.1)中截取是通過獲取接收數(shù)據(jù)流的報頭來具體識別的。

按照本發(fā)明提供的認證方法，所述步驟1.2)中不轉(zhuǎn)發(fā)進一步還包括給所述信息數(shù)據(jù)來源客戶端一個“拒絕登陸”的提示。

按照本發(fā)明提供的認證方法，所述步驟1.2)中不轉(zhuǎn)發(fā)進一步還包括將不轉(zhuǎn)發(fā)記錄日志。

按照本發(fā)明提供的認證方法，該認證方法還包括步驟1.3)：應(yīng)用系統(tǒng)根據(jù)所述信息數(shù)據(jù)對用戶進行認證。

本發(fā)明提供的應(yīng)用系統(tǒng)用戶認證方法，采用SSL?VPN增強應(yīng)用系統(tǒng)用戶認證的安全，使用戶登陸SSL?VPN后必須使用指定的用戶名密碼登陸應(yīng)用系統(tǒng)，而不能盜用別人的帳號使用應(yīng)用系統(tǒng)，這樣防止用戶使用別人的帳號密碼再登陸應(yīng)用系統(tǒng)，提高了現(xiàn)有基于用戶名密碼的應(yīng)用系統(tǒng)的安全性。

附圖說明

下面結(jié)合附圖和具體實施例進一步對本發(fā)明進行詳細說明。

圖1是本發(fā)明用戶登陸應(yīng)用系統(tǒng)流程示意圖；

圖2是本發(fā)明SSLVPN設(shè)備工作流程示意圖；

圖3是現(xiàn)有技術(shù)用戶登陸效果示意圖；

圖4是本發(fā)明用戶登陸效果示意圖。

具體實施方式

首先，說明本發(fā)明思想：

此發(fā)明跟把普通的SSL?VPN設(shè)備直接部署到應(yīng)用系統(tǒng)前面，即SSL?VPN可以通過過濾應(yīng)用系統(tǒng)的數(shù)據(jù)流來綁定登陸應(yīng)用系統(tǒng)的用戶，一方面加強應(yīng)用系統(tǒng)的認證安全，一方面方便SSL?VPN系統(tǒng)跟應(yīng)用系統(tǒng)實現(xiàn)單點登陸。這樣SSL?VPN的加強的用戶認證就可以應(yīng)用到其他系統(tǒng)上。

第二，說明本發(fā)明方法：

如圖1所示，用戶登陸應(yīng)用系統(tǒng)流程具體包括：用戶登陸應(yīng)用系統(tǒng)的數(shù)據(jù)，先經(jīng)過SSL?VPN，SSL?VPN過濾用戶登陸的數(shù)據(jù)流，對數(shù)據(jù)流進行分析，判斷該用戶是否可以在該系統(tǒng)上登陸應(yīng)用系統(tǒng)。如果SSL?VPN允許用戶登陸，則用戶可以成功登陸應(yīng)用系統(tǒng)，否則，用戶會得到一個“拒絕登陸”的提示，并記錄日志。

如圖2所示，SSL?VPN設(shè)備工作流程具體包括：SSL?VPN等待數(shù)據(jù)，如果數(shù)據(jù)是用戶登陸信息的數(shù)據(jù)，則對數(shù)據(jù)流中的用戶名進行分析，判斷是否允許該用戶在該系統(tǒng)上登陸應(yīng)用系統(tǒng)。如果允許，轉(zhuǎn)發(fā)數(shù)據(jù)流至應(yīng)用系統(tǒng)，否則拋棄數(shù)據(jù)。如果SSL?VPN接收到非用戶登陸的數(shù)據(jù)流，則執(zhí)行原有的流程。

第三，說明本發(fā)明效果：

如圖3所示，應(yīng)用本發(fā)明之前：PCI、PC2可以使用任何應(yīng)用系統(tǒng)識別的用戶名登陸，如：

1.PC1可以使用用戶A、用戶B登陸應(yīng)用系統(tǒng)；

2.PC2可以使用用戶C、用戶D登陸應(yīng)用系統(tǒng)。