技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)，尤其涉及一種信息系統(tǒng)的訪問管理方法、裝置、系統(tǒng)和接入設(shè)備。

背景技術(shù)

隨著科技的不斷發(fā)展和進步，計算機在辦公系統(tǒng)中逐漸普及化，各大公司企業(yè)對計算機的依賴性也越來越高，而企業(yè)規(guī)模越大，其內(nèi)部的信息系統(tǒng)越復(fù)雜。此處的信息系統(tǒng)即可以訪問的網(wǎng)絡(luò)資源，如政府部門的財務(wù)系統(tǒng)、資產(chǎn)管理系統(tǒng)和人事系統(tǒng)。在整個網(wǎng)絡(luò)中，各個訪問網(wǎng)絡(luò)的用戶的權(quán)限各不相同，通過將具有相同權(quán)限的用戶劃分為一個組，來減少網(wǎng)絡(luò)管理員的負擔，即只要對一個用戶組賦予一定的權(quán)力，則該組內(nèi)的用戶便具有相同的權(quán)力。如財政司、行政司和人事司的工作人員分別只能訪問財務(wù)系統(tǒng)、資產(chǎn)管理系統(tǒng)和人事系統(tǒng)，即將工作人員劃分為財政組、行政組和人事組，并分別賦予可訪問財政系統(tǒng)、資產(chǎn)管理系統(tǒng)和人事系統(tǒng)的權(quán)力。

在現(xiàn)有技術(shù)中，最常用的用戶組劃分控制方法為通過部署防火墻設(shè)備來實現(xiàn)，通過基于IP地址對終端接入用戶和信息系統(tǒng)進行標識，在防火墻設(shè)備上配置訪問控制列表(Access?Control?List；以下簡稱：ACL)策略設(shè)定終端接入用戶擁有哪些信息系統(tǒng)的訪問權(quán)限，來實現(xiàn)訪問權(quán)限的控制。

然而，在現(xiàn)有技術(shù)中的訪問管理方法中，當出現(xiàn)IP地址變更時，需要手動進行配置調(diào)整，且同一用戶訪問不同權(quán)限的系統(tǒng)需要通過不同的計算機訪問，而修改終端接入計算機的IP地址則使得防火墻的控制失效。因此，現(xiàn)有技術(shù)的方法難于使用，不符合現(xiàn)實中的權(quán)限分配模式，且控制容易失效。

發(fā)明內(nèi)容

本發(fā)明提供一種信息系統(tǒng)的訪問管理方法、裝置、系統(tǒng)和接入設(shè)備，解決現(xiàn)有技術(shù)中的訪問控制方法難于使用、控制容易失效等缺陷，實現(xiàn)簡便、靈活的訪問管理，易于使用和管理。

本發(fā)明提供一種信息系統(tǒng)的訪問管理方法，包括：

根據(jù)來自客戶端的域名系統(tǒng)DNS請求報文中攜帶的域名進行校驗處理，并將校驗通過的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器；

根據(jù)來自所述DNS服務(wù)器的DNS響應(yīng)報文將所述校驗通過的DNS請求報文中攜帶的域名對應(yīng)的IP地址添加到可訪問IP列表中；

根據(jù)來自所述客戶端的IP報文和所述可訪問IP列表進行校驗處理，并允許校驗通過的IP報文訪問信息系統(tǒng)服務(wù)器中的信息系統(tǒng)資源。

本發(fā)明提供一種信息系統(tǒng)的訪問管理裝置，包括：

第一校驗?zāi)K，用于根據(jù)來自客戶端的域名系統(tǒng)DNS請求報文中攜帶的域名進行校驗處理，并將校驗通過的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器；

第一添加模塊，用于根據(jù)來自所述DNS服務(wù)器的DNS響應(yīng)報文將所述校驗通過的DNS請求報文中攜帶的域名對應(yīng)的IP地址添加到可訪問IP列表中；

第二校驗?zāi)K，用于根據(jù)來自所述客戶端的IP報文和所述可訪問IP列表進行校驗處理，并允許校驗通過的IP報文訪問信息系統(tǒng)服務(wù)器中的信息系統(tǒng)資源。

本發(fā)明提供一種接入設(shè)備，包括上述信息系統(tǒng)的訪問管理裝置。

本發(fā)明提供一種信息系統(tǒng)的訪問管理系統(tǒng)，包括域名系統(tǒng)DNS服務(wù)器、信息服務(wù)器和信息系統(tǒng)的訪問管理裝置，其中：所述接入設(shè)備用于根據(jù)來自客戶端的DNS請求報文中攜帶的域名進行校驗處理，并將校驗通過的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器；根據(jù)來自所述DNS服務(wù)器的DNS響應(yīng)報文將所述校驗通過的DNS請求報文中攜帶的域名對應(yīng)的IP地址添加到可訪問IP列表中；并根據(jù)來自所述客戶端的IP報文和所述可訪問IP列表進行校驗處理，并允許校驗通過的IP報文訪問所述信息系統(tǒng)服務(wù)器中的信息系統(tǒng)資源；所述DNS服務(wù)器用于接收到所述校驗通過的DNS請求報文后，向所述接入設(shè)備返回DNS響應(yīng)報文。

本發(fā)明的信息系統(tǒng)的訪問管理方法、裝置、系統(tǒng)和接入設(shè)備，通過對來自客戶端的DNS請求報文進行截包處理，對該DNS請求報文中攜帶的域名進行校驗處理，將校驗通過的域名對應(yīng)的DNS請求報文轉(zhuǎn)發(fā)到DNS服務(wù)器；再對來自DNS服務(wù)器的DNS響應(yīng)報文進行截包處理，將對應(yīng)的IP地址添加到可訪問IP列表中；再對來自客戶端的IP報文進行截包處理，對IP報文進行校驗處理，并允許校驗通過的IP報文對其中的信息系統(tǒng)資源進行訪問處理；本實施例中整個信息系統(tǒng)的訪問管理過程由接入交換機、客戶端、DNS服務(wù)器和信息系統(tǒng)服務(wù)器自動完成，無需管理員手動管理，易于使用和管理，解決了現(xiàn)有技術(shù)中的訪問控制方法難于使用、控制容易失效等缺陷，且解決了現(xiàn)有技術(shù)中手動修改計算機配置便可繞開控制的問題，實現(xiàn)了簡便、靈活的訪問管理。

附圖說明