用于安全網(wǎng)絡(luò)的用戶管控方法及系統(tǒng)的制作方法
【專利摘要】一種用于安全網(wǎng)絡(luò)的用戶管控方法��,包括如下步驟:對(duì)安全網(wǎng)絡(luò)的防火墻配置用戶-服務(wù)器二維表����;防火墻在檢測(cè)到有用戶請(qǐng)求通過(guò)防火墻進(jìn)入內(nèi)網(wǎng)時(shí)����,對(duì)用戶進(jìn)行內(nèi)網(wǎng)準(zhǔn)入認(rèn)證���;防火墻在判斷用戶通過(guò)內(nèi)網(wǎng)準(zhǔn)入認(rèn)證后,允許用戶登錄到內(nèi)網(wǎng)應(yīng)用服務(wù)器���,并檢測(cè)是否接收到認(rèn)證信息�;如果是���,則查詢用戶-服務(wù)器二維表以判斷用戶是否具有權(quán)限訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器����;如果防火墻通過(guò)認(rèn)證服務(wù)器判斷用戶具有權(quán)限訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器�����,則通知內(nèi)網(wǎng)應(yīng)用服務(wù)器用戶認(rèn)證通過(guò)��;內(nèi)網(wǎng)應(yīng)用服務(wù)器允許用戶進(jìn)行訪問(wèn)���。本發(fā)明還提出一種用于安全網(wǎng)絡(luò)的用戶管控系統(tǒng)�。本發(fā)明不僅可以調(diào)高網(wǎng)絡(luò)監(jiān)控的精細(xì)度,提高網(wǎng)絡(luò)安全��,而且可以降低組網(wǎng)成本���。
【專利說(shuō)明】用于安全網(wǎng)絡(luò)的用戶管控方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】���,特別涉及一種用于安全網(wǎng)絡(luò)的用戶管控方法及用于安全網(wǎng)絡(luò)的用戶管控系統(tǒng)。
【背景技術(shù)】
[0002]當(dāng)前網(wǎng)絡(luò)中對(duì)用戶身份進(jìn)行認(rèn)證通常采用多級(jí)認(rèn)證方式����,對(duì)于人員工控采用交叉無(wú)序認(rèn)證,也就是第一個(gè)用戶認(rèn)證通過(guò)后�����,后續(xù)的認(rèn)證完全獨(dú)立進(jìn)行認(rèn)證�,與第一個(gè)用戶無(wú)法進(jìn)行關(guān)聯(lián),此種情況的出現(xiàn)會(huì)給管理監(jiān)控帶來(lái)漏洞�����。例如第一個(gè)人獲取了訪問(wèn)內(nèi)網(wǎng)的用戶權(quán)限,但是此用戶并沒(méi)有訪問(wèn)內(nèi)網(wǎng)指定服務(wù)器的權(quán)限�����,但是此人通過(guò)其他手段獲取了訪問(wèn)此指定服務(wù)器的權(quán)限后���,就可以繼續(xù)登錄此服務(wù)器���,此種情況在生活中非常常見。例如有的時(shí)候有些人需要臨時(shí)登錄一下服務(wù)器��,則在另一個(gè)人的監(jiān)視下��,指定的用戶登錄認(rèn)證是可以的�����,但如果這個(gè)人到另一個(gè)人地方�����,不在有權(quán)限的人的監(jiān)視下自己利用之前了解到的賬號(hào)登錄服務(wù)器����,則會(huì)導(dǎo)致安全問(wèn)題�。
[0003]為解決上述問(wèn)題�,現(xiàn)有技術(shù)采用以下解決方案:
[0004]現(xiàn)有技術(shù)一:每個(gè)認(rèn)證網(wǎng)絡(luò)層獨(dú)立的對(duì)用戶進(jìn)行認(rèn)證���,認(rèn)證都是無(wú)序的���,只需要用戶在需要認(rèn)證的時(shí)候輸入正確的用戶名密碼就可以通過(guò)認(rèn)證。
[0005]現(xiàn)有技術(shù)二:對(duì)用戶進(jìn)行私有IP地址綁定���,采用路由的方式進(jìn)行用戶訪問(wèn)的控制��,物理層面禁止其對(duì)指定物理服務(wù)器進(jìn)行訪問(wèn)����。
[0006]上述現(xiàn)有技術(shù)存在以下缺陷:用戶實(shí)現(xiàn)單體認(rèn)證��,此方式的認(rèn)證也就是對(duì)用戶進(jìn)行交叉無(wú)序管理���,安全隱患不言而喻��。并且無(wú)法聯(lián)動(dòng)監(jiān)控����,對(duì)設(shè)備進(jìn)行路由隔離的方式,缺點(diǎn)在于對(duì)用戶不同級(jí)別的同一個(gè)路由用戶無(wú)法區(qū)分和引導(dǎo)����,這是因?yàn)樗膶訕I(yè)務(wù)的不同不能通過(guò)路由簡(jiǎn)單的區(qū)分開來(lái),所以當(dāng)前的兩種方式都存在一定問(wèn)題���,其中包括安全問(wèn)題和應(yīng)用場(chǎng)景問(wèn)題��。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的一個(gè)目的是提供一種用于安全網(wǎng)絡(luò)的用戶管控方法����,該方法對(duì)用戶在防火墻上經(jīng)過(guò)兩層認(rèn)證��,包括用戶通過(guò)防火墻進(jìn)入內(nèi)網(wǎng)時(shí)的內(nèi)網(wǎng)準(zhǔn)入認(rèn)證����,以及在用戶登錄到內(nèi)網(wǎng)后�,如果內(nèi)網(wǎng)應(yīng)用服務(wù)器需要認(rèn)證,則內(nèi)網(wǎng)應(yīng)用服務(wù)器將認(rèn)證信息轉(zhuǎn)發(fā)至防火墻��,由防火墻代理到認(rèn)證服務(wù)器進(jìn)行認(rèn)證��。該方法不僅可以調(diào)高網(wǎng)絡(luò)監(jiān)控的精細(xì)度���,提高網(wǎng)絡(luò)安全����,而且可以降低組網(wǎng)成本。
[0008]本發(fā)明的另一個(gè)目的是提供一種用于安全網(wǎng)絡(luò)的用戶管控系統(tǒng)��,該系統(tǒng)通過(guò)防火墻���、內(nèi)網(wǎng)應(yīng)用服務(wù)器和認(rèn)證服務(wù)器的協(xié)同工作����,對(duì)用戶在防火墻上經(jīng)過(guò)兩層認(rèn)證����,從而可以調(diào)高網(wǎng)絡(luò)監(jiān)控的精細(xì)度、網(wǎng)絡(luò)安全性�,而且可以降低組網(wǎng)成本。
[0009]為實(shí)現(xiàn)上述目的���,本發(fā)明一方面的實(shí)施例提供一種用于安全網(wǎng)絡(luò)的用戶管控方法��,包括如下步驟:
[0010]對(duì)所述安全網(wǎng)絡(luò)的防火墻配置用戶-服務(wù)器二維表����,其中,所述用戶-服務(wù)器二維表存儲(chǔ)有多組用戶名屬性功能列表�����;
[0011]所述防火墻在檢測(cè)到有用戶請(qǐng)求通過(guò)所述防火墻進(jìn)入內(nèi)網(wǎng)時(shí)�����,對(duì)所述用戶進(jìn)行內(nèi)網(wǎng)準(zhǔn)入認(rèn)證����;
[0012]所述防火墻在判斷所述用戶通過(guò)內(nèi)網(wǎng)準(zhǔn)入認(rèn)證后,允許所述用戶登錄到內(nèi)網(wǎng)應(yīng)用服務(wù)器�,并檢測(cè)是否接收到來(lái)自所述內(nèi)網(wǎng)應(yīng)用服務(wù)器的所述用戶的認(rèn)證信息;
[0013]如果所述防火墻接收到所述內(nèi)網(wǎng)應(yīng)用服務(wù)器轉(zhuǎn)發(fā)的所述用戶的認(rèn)證信息���,則查詢所述用戶-服務(wù)器二維表以判斷所述用戶是否具有權(quán)限訪問(wèn)所述內(nèi)網(wǎng)應(yīng)用服務(wù)器�;
[0014]如果所述防火墻通過(guò)認(rèn)證服務(wù)器判斷所述用戶具有權(quán)限訪問(wèn)所述內(nèi)網(wǎng)應(yīng)用服務(wù)器�����,則通知所述內(nèi)網(wǎng)應(yīng)用服務(wù)器所述用戶認(rèn)證通過(guò)���;
[0015]所述內(nèi)網(wǎng)應(yīng)用服務(wù)器允許所述用戶進(jìn)行訪問(wèn)�。
[0016]根據(jù)本發(fā)明的一個(gè)方面�����,所述內(nèi)網(wǎng)應(yīng)用服務(wù)器轉(zhuǎn)發(fā)的所述用戶的所述認(rèn)證信息包括所述用戶當(dāng)前使用的用戶名�。
[0017]根據(jù)本發(fā)明的另一個(gè)方面,每組所述用戶名屬性功能列表包括用戶名和所述用戶名有權(quán)限訪問(wèn)的服務(wù)器名稱����。
[0018]根據(jù)本發(fā)明的又一方面,所述防火墻查詢所述用戶-服務(wù)器二維表以判斷所述用戶是否具有權(quán)限訪問(wèn)所述內(nèi)網(wǎng)應(yīng)用服務(wù)器���,包括如下步驟:
[0019]所述防火墻查詢所述用戶-服務(wù)器二維表���,判斷所述用戶的當(dāng)前使用的用戶名是否正確;
[0020]如果是�,則將所述用戶名和對(duì)應(yīng)的密碼轉(zhuǎn)發(fā)至認(rèn)證服務(wù)器;
[0021]所述認(rèn)證服務(wù)器對(duì)所述用戶名和對(duì)應(yīng)的密碼進(jìn)行認(rèn)證以判斷所述用戶是否具有權(quán)限訪問(wèn)所述內(nèi)網(wǎng)應(yīng)用服務(wù)器�。
[0022]根據(jù)本發(fā)明的一個(gè)方面,所述防火墻判斷所述用戶的當(dāng)前使用的用戶名是否正確�����,包括如下步驟:判斷所述內(nèi)網(wǎng)應(yīng)用服務(wù)器的名稱與所述用戶當(dāng)前使用的用戶名是否對(duì)應(yīng)�,如果是���,則判斷當(dāng)前使用的用戶名正確。
[0023]根據(jù)本發(fā)明的另一個(gè)方面����,還包括如下步驟:
[0024]所述認(rèn)證服務(wù)器在判斷所述用戶名和對(duì)應(yīng)的密碼認(rèn)證失敗后,取消所述用戶認(rèn)證并通知所述防火墻認(rèn)證失?。?br>
[0025]所述防火墻進(jìn)一步通知所述內(nèi)網(wǎng)應(yīng)用服務(wù)器所述用戶的認(rèn)證失敗����,所述內(nèi)網(wǎng)應(yīng)用服務(wù)器禁止所述用戶進(jìn)行訪問(wèn)。
[0026]根據(jù)本發(fā)明的用于安全網(wǎng)絡(luò)的用戶管控方法�����,該方法在防火墻上將兩個(gè)認(rèn)證進(jìn)行關(guān)聯(lián)�����,即將用戶可以認(rèn)證的內(nèi)網(wǎng)應(yīng)用服務(wù)器與用戶進(jìn)行綁定�����,對(duì)用戶進(jìn)行二次認(rèn)證�。本發(fā)明將用戶的內(nèi)網(wǎng)登錄賬戶和內(nèi)網(wǎng)應(yīng)用服務(wù)器登錄賬戶進(jìn)行綁定,即在不是此人授權(quán)的情況下登錄內(nèi)網(wǎng)應(yīng)用服務(wù)器��,即使用戶名密碼正確����,也會(huì)返回授權(quán)錯(cuò)誤,從而不僅可以調(diào)高網(wǎng)絡(luò)監(jiān)控的精細(xì)度�,提高網(wǎng)絡(luò)安全,而且可以達(dá)到安全可控的目的并且降低了組網(wǎng)成本�。
[0027]本發(fā)明另一方面的實(shí)施例提出一種用于安全網(wǎng)絡(luò)的用戶管控系統(tǒng),包括:防火墻����、內(nèi)網(wǎng)應(yīng)用服務(wù)器和認(rèn)證服務(wù)器,所述防火墻用于在檢測(cè)到有用戶請(qǐng)求通過(guò)所述防火墻進(jìn)入內(nèi)網(wǎng)時(shí)���,對(duì)所述用戶進(jìn)行內(nèi)網(wǎng)準(zhǔn)入認(rèn)證�����,以及在判斷所述用戶通過(guò)內(nèi)網(wǎng)準(zhǔn)入認(rèn)證后���,允許所述用戶登錄到內(nèi)網(wǎng)應(yīng)用服務(wù)器,并檢測(cè)是否接收到來(lái)自所述內(nèi)網(wǎng)應(yīng)用服務(wù)器的所述用戶的認(rèn)證信息���,如果接收到所述認(rèn)證信息����,則查詢所述用戶-服務(wù)器二維表,判斷所述用戶的當(dāng)前使用的用戶名是否正確�����,如果正確����,則向所述認(rèn)證服務(wù)器發(fā)送所述用戶名和對(duì)應(yīng)的密碼,以及將所述認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果通知所述內(nèi)網(wǎng)應(yīng)用服務(wù)器�,其中所述防火墻上配置有用戶-服務(wù)器二維表,其中����,所述用戶-服務(wù)器二維表存儲(chǔ)有多組用戶名屬性功能列表;所述內(nèi)網(wǎng)應(yīng)用服務(wù)器用于在檢測(cè)到所述用戶的訪問(wèn)請(qǐng)求時(shí)�,向所述防火墻發(fā)送所述用戶的認(rèn)證信息,以及在接收到所述防火墻發(fā)送的認(rèn)證通過(guò)消息時(shí)���,允許所述用戶進(jìn)行訪問(wèn)�����;所述認(rèn)證服務(wù)器用于對(duì)所述用戶名和對(duì)應(yīng)的密碼進(jìn)行認(rèn)證以判斷所述用戶是否具有權(quán)限訪問(wèn)所述內(nèi)網(wǎng)應(yīng)用服務(wù)器�����,并將認(rèn)證結(jié)果通知所述防火墻����。
[0028]根據(jù)本發(fā)明的一個(gè)方面�����,所述內(nèi)網(wǎng)應(yīng)用服務(wù)器轉(zhuǎn)發(fā)的所述用戶的所述認(rèn)證信息包括所述用戶當(dāng)前使用的用戶名���。
[0029]根據(jù)本發(fā)明的另一個(gè)方面����,每組所述用戶名屬性功能列表包括用戶名和所述用戶名有權(quán)限訪問(wèn)的服務(wù)器名稱����。
[0030]根據(jù)本發(fā)明的又一個(gè)方面,所述防火墻判斷所述內(nèi)網(wǎng)應(yīng)用服務(wù)器的名稱與所述用戶當(dāng)前使用的用戶名是否對(duì)應(yīng)����,如果是則判斷所述當(dāng)前使用的用戶名正確��。
[0031]根據(jù)本發(fā)明的用于安全網(wǎng)絡(luò)的用戶管控系統(tǒng)�����,該系統(tǒng)在防火墻上將兩個(gè)認(rèn)證進(jìn)行關(guān)聯(lián)�,即將用戶可以認(rèn)證的內(nèi)網(wǎng)應(yīng)用服務(wù)器與用戶進(jìn)行綁定�����,對(duì)用戶進(jìn)行二次認(rèn)證�����。本發(fā)明將用戶的內(nèi)網(wǎng)登錄賬戶和內(nèi)網(wǎng)應(yīng)用服務(wù)器登錄賬戶進(jìn)行綁定���,即在不是此人授權(quán)的情況下登錄內(nèi)網(wǎng)應(yīng)用服務(wù)器����,即使用戶名密碼正確�,也會(huì)返回授權(quán)錯(cuò)誤,從而不僅可以調(diào)高網(wǎng)絡(luò)監(jiān)控的精細(xì)度����,提高網(wǎng)絡(luò)安全��,而且可以達(dá)到安全可控的目的并且降低了組網(wǎng)成本�����。
【專利附圖】
【附圖說(shuō)明】
[0032]圖1是根據(jù)本發(fā)明第一實(shí)施方式的用于安全網(wǎng)絡(luò)的用戶管控方法的流程圖;
[0033]圖2是根據(jù)本發(fā)明第二實(shí)施方式的用于安全網(wǎng)絡(luò)的用戶管控方法的流程圖����;
[0034]圖3示意性地示出用于安全網(wǎng)絡(luò)的用戶管控系統(tǒng)的示意圖。
【具體實(shí)施方式】
[0035]為使本發(fā)明的目的�����、技術(shù)方案和優(yōu)點(diǎn)更加清楚明了��,下面結(jié)合【具體實(shí)施方式】并參照附圖���,對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明�。應(yīng)該理解����,這些描述只是示例性的,而并非要限制本發(fā)明的范圍。此外���,在以下說(shuō)明中�,省略了對(duì)公知結(jié)構(gòu)和技術(shù)的描述���,以避免不必要地混淆本發(fā)明的概念��。
[0036]本發(fā)明的第一實(shí)施方式提出一種用于安全網(wǎng)絡(luò)的用戶管控方法的流程圖��。需要說(shuō)明的是�,在本發(fā)明的用于安全網(wǎng)絡(luò)的用戶管控方法中�����,在下一代防火墻上設(shè)置一個(gè)認(rèn)證服務(wù)器的認(rèn)證代理功能����,從而將內(nèi)網(wǎng)應(yīng)用服務(wù)器需要進(jìn)行用戶第三方服務(wù)器認(rèn)證的認(rèn)證設(shè)備均掛接在下一代防火墻的DMZ (Demilitarized Zone,隔離區(qū))區(qū)域。
[0037]圖1是根據(jù)本發(fā)明第一實(shí)施方式的用于安全網(wǎng)絡(luò)的用戶管控方法的流程圖��。
[0038]如圖1所示���,本發(fā)明第一實(shí)施方式提供的用于安全網(wǎng)絡(luò)的用戶管控方法��,包括如下步驟:
[0039]步驟S1:對(duì)安全網(wǎng)絡(luò)的防火墻配置用戶-服務(wù)器二維表�����。
[0040]具體地�,用戶-服務(wù)器二維表中存儲(chǔ)有多組用戶名屬性功能列表。其中���,每組用戶名屬性功能列表包括用戶名和用戶名有權(quán)限訪問(wèn)的服務(wù)器名稱���。[0041]步驟S2:防火墻在檢測(cè)到有用戶請(qǐng)求通過(guò)防火墻進(jìn)入內(nèi)網(wǎng)時(shí)��,對(duì)上述用戶進(jìn)行內(nèi)網(wǎng)準(zhǔn)入認(rèn)證���。
[0042]具體地�����,用戶請(qǐng)求通過(guò)防火墻進(jìn)入內(nèi)網(wǎng)時(shí)�,防火墻需要對(duì)請(qǐng)求的用戶進(jìn)行一次內(nèi)網(wǎng)準(zhǔn)入認(rèn)證���,這是防火墻對(duì)用戶的第一次認(rèn)證�。
[0043]步驟S3:防火墻在判斷用戶通過(guò)內(nèi)網(wǎng)準(zhǔn)入認(rèn)證后,允許用戶登錄到內(nèi)網(wǎng)應(yīng)用服務(wù)器���,并檢測(cè)是否接收到來(lái)自上述內(nèi)網(wǎng)應(yīng)用服務(wù)器的用戶的認(rèn)證信息���。
[0044]防火墻在判斷用戶通過(guò)步驟S2中的內(nèi)網(wǎng)準(zhǔn)入認(rèn)證后,則允許用戶登錄到內(nèi)網(wǎng)應(yīng)用服務(wù)器�����。其中���,內(nèi)網(wǎng)應(yīng)用服務(wù)器可以為郵件服務(wù)器����。
[0045]用戶登錄到內(nèi)網(wǎng)應(yīng)用服務(wù)器后��,內(nèi)網(wǎng)應(yīng)用服務(wù)器如果需要對(duì)用戶進(jìn)行認(rèn)證����,則內(nèi)網(wǎng)應(yīng)用服務(wù)器會(huì)向防火墻發(fā)送該用戶的認(rèn)證信息。
[0046]在本發(fā)明的一個(gè)實(shí)施例中�,內(nèi)網(wǎng)應(yīng)用服務(wù)器轉(zhuǎn)發(fā)的用戶的認(rèn)證信息包括請(qǐng)求登錄的用戶當(dāng)前使用的用戶名。
[0047]防火墻檢測(cè)是否接收到來(lái)自上述內(nèi)網(wǎng)應(yīng)用服務(wù)器的用戶的認(rèn)證信息�。
[0048]換言之���,當(dāng)防火墻的內(nèi)網(wǎng)應(yīng)用服務(wù)器需要認(rèn)證時(shí),則需要將認(rèn)證的路由引入回到防火墻上��。
[0049]步驟S4:如果防火墻接收到內(nèi)網(wǎng)應(yīng)用服務(wù)器轉(zhuǎn)發(fā)的用戶的認(rèn)證信息��,則查詢步驟Si中配置的用戶-服務(wù)器二維表以判斷用戶是否具有權(quán)限訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器��。
[0050]如果防火墻檢測(cè)到內(nèi)網(wǎng)應(yīng)用服務(wù)器轉(zhuǎn)發(fā)的用戶的認(rèn)證信息���,則由防火墻代理到認(rèn)證服務(wù)器進(jìn)行認(rèn)證��。即���,防火墻對(duì)內(nèi)網(wǎng)應(yīng)用服務(wù)器的認(rèn)證信息再次進(jìn)行認(rèn)證轉(zhuǎn)發(fā)�����,此時(shí)會(huì)對(duì)認(rèn)證進(jìn)行二元匹配�����。
[0051]具體地����,防火墻查詢用戶-服務(wù)器二維表以判斷用戶是否具有權(quán)限訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器��,包括如下步驟:
[0052]步驟S41:防火墻查詢用戶-服務(wù)器二維表����,根據(jù)上述用戶-服務(wù)器二維表判斷用戶的當(dāng)前使用的用戶名是否正確�����。
[0053]具體地�,防火墻根據(jù)用戶-服務(wù)器二維表判斷內(nèi)網(wǎng)應(yīng)用服務(wù)器的名稱與用戶當(dāng)前使用的用戶名是否對(duì)應(yīng)。
[0054]步驟S42:如果是����,則防火墻判斷當(dāng)前使用的用戶名正確,將用戶名和對(duì)應(yīng)的密碼轉(zhuǎn)發(fā)至認(rèn)證服務(wù)器��。
[0055]步驟S43:認(rèn)證服務(wù)器對(duì)用戶名和對(duì)應(yīng)的密碼進(jìn)行認(rèn)證以判斷用戶是否具有權(quán)限訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器��。
[0056]具體地��,認(rèn)證服務(wù)器對(duì)用戶名和對(duì)應(yīng)的密碼進(jìn)行匹配�����,如果匹配成功,則判斷用戶具有權(quán)限訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器�,否則判斷用戶不具有權(quán)限訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器。認(rèn)證服務(wù)器將上述認(rèn)證結(jié)果反饋給防火墻�。
[0057]步驟S5:如果防火墻通過(guò)認(rèn)證服務(wù)器判斷用戶具有權(quán)限訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器,則通知內(nèi)網(wǎng)應(yīng)用服務(wù)器用戶認(rèn)證通過(guò)���。
[0058]防火墻在接收到認(rèn)證服務(wù)器的認(rèn)證結(jié)果后�,對(duì)認(rèn)證結(jié)果進(jìn)行分析�����,如果判斷用戶具有權(quán)限訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器�,則通知內(nèi)網(wǎng)應(yīng)用服務(wù)器用戶認(rèn)證通過(guò)。
[0059]步驟S6:內(nèi)網(wǎng)應(yīng)用服務(wù)器允許用戶進(jìn)行訪問(wèn)�����。
[0060]內(nèi)網(wǎng)應(yīng)用服務(wù)器在接收到防火墻發(fā)出的認(rèn)證通過(guò)的通知后�,則允許用戶對(duì)內(nèi)網(wǎng)應(yīng)用服務(wù)器進(jìn)行訪問(wèn)��。
[0061]圖2是根據(jù)本發(fā)明第二實(shí)施方式的用于安全網(wǎng)絡(luò)的用戶管控方法的流程圖�����。
[0062]如圖2所示,在認(rèn)證服務(wù)器在判斷用戶不具有權(quán)限登錄內(nèi)網(wǎng)應(yīng)用服務(wù)器時(shí)�,在步驟S4之后進(jìn)一步包括如下步驟:
[0063]步驟S7:認(rèn)證服務(wù)器在判斷用戶名和對(duì)應(yīng)的密碼認(rèn)證失敗后,取消用戶認(rèn)證并通知防火墻認(rèn)證失敗����。
[0064]認(rèn)證服務(wù)器在判斷用戶名和對(duì)應(yīng)的密碼認(rèn)證失敗后,取消用戶認(rèn)證�����,并向防火墻發(fā)出認(rèn)證失敗的認(rèn)證結(jié)果�����。
[0065]步驟S8:防火墻進(jìn)一步通知內(nèi)網(wǎng)應(yīng)用服務(wù)器用戶的認(rèn)證失敗��,內(nèi)網(wǎng)應(yīng)用服務(wù)器禁止用戶進(jìn)行訪問(wèn)�����。
[0066]防火墻在接收到上述認(rèn)證結(jié)果后����,分析出用戶的認(rèn)證失敗,則將該認(rèn)證失敗的消息進(jìn)一步通知給內(nèi)網(wǎng)應(yīng)用服務(wù)器。
[0067]內(nèi)網(wǎng)應(yīng)用服務(wù)器在接收到防火墻的認(rèn)證失敗通知后����,禁止用戶訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器。
[0068]綜上��,在本發(fā)明提供的用于安全網(wǎng)絡(luò)的用戶管控方法中��,用戶在防火墻上共會(huì)經(jīng)過(guò)兩層認(rèn)證:
[0069]第一層:用戶通過(guò)防火墻進(jìn)入內(nèi)網(wǎng)時(shí)�����,需要一次用戶的內(nèi)網(wǎng)準(zhǔn)入認(rèn)證��。
[0070]第二層:用戶登錄到內(nèi)網(wǎng)后�����,如果內(nèi)網(wǎng)應(yīng)用服務(wù)器需要認(rèn)證����,則內(nèi)網(wǎng)應(yīng)用服務(wù)器將認(rèn)證信息轉(zhuǎn)發(fā)至防火墻,由防火墻代理到認(rèn)證服務(wù)器進(jìn)行認(rèn)證�。
[0071]這兩次認(rèn)證均經(jīng)過(guò)了防火墻,則在防火墻上將兩個(gè)認(rèn)證進(jìn)行關(guān)聯(lián)�,即將用戶可以認(rèn)證的內(nèi)網(wǎng)應(yīng)用服務(wù)器與用戶進(jìn)行綁定。具體地�,當(dāng)用戶第一次認(rèn)證通過(guò)后,內(nèi)網(wǎng)應(yīng)用服務(wù)器向防火墻發(fā)送二次認(rèn)證信息�����,如果防火墻發(fā)現(xiàn)此用戶并沒(méi)有該內(nèi)網(wǎng)應(yīng)用服務(wù)器的認(rèn)證權(quán)限���,則在二次認(rèn)證的認(rèn)證服務(wù)器前就可以將用戶認(rèn)證取消���,從而達(dá)到二次認(rèn)證安全防護(hù)的目的。
[0072]下面結(jié)合具體示例對(duì)本發(fā)明的用于安全網(wǎng)絡(luò)的用戶管控方法進(jìn)行描述�。
[0073]具體地,在下一代網(wǎng)絡(luò)防火墻上對(duì)訪問(wèn)內(nèi)網(wǎng)用戶配置用戶-服務(wù)器二維表����,該表記錄了指定用戶可以訪問(wèn)的用戶名屬性功能列表。例如����,用戶aaa,可以訪問(wèn)郵件服務(wù)器S�����。用戶aaa在訪問(wèn)郵件服務(wù)器S時(shí),只能使用bbb這個(gè)用戶名��。
[0074]如果用戶aaa訪問(wèn)了后臺(tái)的郵件服務(wù)器��,且使用用戶名ccc�,則防火墻判斷該用戶當(dāng)前使用的用戶名錯(cuò)誤,則認(rèn)證失敗����。如果使用用戶名bbb,則防火墻判斷該用戶當(dāng)前使用的用戶名正確���,則將此用戶名密碼轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器進(jìn)行認(rèn)證�����。如果認(rèn)證服務(wù)器判斷用戶名密碼匹配�����,認(rèn)證通過(guò)�����,則防火墻通知郵件服務(wù)器S認(rèn)證通過(guò)��,郵件服務(wù)器S允許用戶訪問(wèn)�。如果認(rèn)證服務(wù)器判斷用戶名密碼不匹配,認(rèn)證失敗����,則防火墻通知郵件服務(wù)器S認(rèn)證失敗�����,郵件服務(wù)器S禁止用戶訪問(wèn)���。
[0075]本發(fā)明旨在保護(hù)一種用于安全網(wǎng)絡(luò)的用戶管控方法����,該方法將用戶的內(nèi)網(wǎng)登錄賬戶和內(nèi)網(wǎng)應(yīng)用服務(wù)器登錄賬戶進(jìn)行綁定�����,即在不是此人授權(quán)的情況下登錄內(nèi)網(wǎng)應(yīng)用服務(wù)器����,即使用戶名密碼正確,也會(huì)返回授權(quán)錯(cuò)誤���,從而達(dá)到安全可控的目的�。本發(fā)明在防火墻上將兩個(gè)認(rèn)證進(jìn)行關(guān)聯(lián),即將用戶可以認(rèn)證的內(nèi)網(wǎng)應(yīng)用服務(wù)器與用戶進(jìn)行綁定�����,對(duì)用戶進(jìn)行二次認(rèn)證�����,從而不僅可以調(diào)高網(wǎng)絡(luò)監(jiān)控的精細(xì)度�����,提高網(wǎng)絡(luò)安全�,而且可以降低組網(wǎng)成本。
[0076]本發(fā)明還提出一種用于安全網(wǎng)絡(luò)的用戶管控系統(tǒng)���。
[0077]圖3示意性地示出用于安全網(wǎng)絡(luò)的用戶管控系統(tǒng)的示意圖��。
[0078]如圖3所示����,本發(fā)明實(shí)施例提供的用于安全網(wǎng)絡(luò)的用戶管控系統(tǒng)���,包括:防火墻
10�、內(nèi)網(wǎng)應(yīng)用服務(wù)器11和認(rèn)證服務(wù)器12,其中���,防火墻10分別與內(nèi)網(wǎng)應(yīng)用服務(wù)器11和認(rèn)證服務(wù)器11相連��。并且,認(rèn)證服務(wù)器12可以設(shè)置在防火墻10上���。
[0079]具體地�����,防火墻10上配置有用戶-服務(wù)器二維表����,其中�,用戶-服務(wù)器二維表中存儲(chǔ)有多組用戶名屬性功能列表。每組用戶名屬性功能列表包括用戶名和用戶名有權(quán)限訪問(wèn)的服務(wù)器名稱�����。
[0080]防火墻10可以在檢測(cè)到有用戶請(qǐng)求通過(guò)防火墻進(jìn)入內(nèi)網(wǎng)時(shí)����,對(duì)上述用戶進(jìn)行內(nèi)網(wǎng)準(zhǔn)入認(rèn)證���。
[0081]具體地,用戶請(qǐng)求通過(guò)防火墻10進(jìn)入內(nèi)網(wǎng)時(shí)�����,防火墻10需要對(duì)請(qǐng)求的用戶進(jìn)行一次內(nèi)網(wǎng)準(zhǔn)入認(rèn)證��,這是防火墻對(duì)用戶的第一次認(rèn)證��。防火墻10在判斷用戶通過(guò)內(nèi)網(wǎng)準(zhǔn)入認(rèn)證后���,允許用戶登錄到內(nèi)網(wǎng)應(yīng)用服務(wù)器11���,并檢測(cè)是否接收到來(lái)自上述內(nèi)網(wǎng)應(yīng)用服務(wù)器11的用戶的認(rèn)證信息。
[0082]如果防火墻10判斷用戶內(nèi)網(wǎng)準(zhǔn)入認(rèn)證����,則允許用戶登錄到內(nèi)網(wǎng)應(yīng)用服務(wù)器11。其中�,內(nèi)網(wǎng)應(yīng)用服務(wù)器11可以為郵件服務(wù)器。
[0083]用戶登錄到內(nèi)網(wǎng)應(yīng)用服務(wù)器11后�����,內(nèi)網(wǎng)應(yīng)用服務(wù)器11如果需要對(duì)用戶進(jìn)行認(rèn)證,則內(nèi)網(wǎng)應(yīng)用服務(wù)器11會(huì)向防火墻10發(fā)送該用戶的認(rèn)證信息����。
[0084]在本發(fā)明的一個(gè)實(shí)施例中,內(nèi)網(wǎng)應(yīng)用服務(wù)器11轉(zhuǎn)發(fā)的用戶的認(rèn)證信息包括請(qǐng)求登錄的用戶當(dāng)前使用的用戶名����。防火墻10檢測(cè)是否接收到來(lái)自上述內(nèi)網(wǎng)應(yīng)用服務(wù)器11的用戶的認(rèn)證信息。換言之���,當(dāng)防火墻10的內(nèi)網(wǎng)應(yīng)用服務(wù)器11需要認(rèn)證時(shí),則需要將認(rèn)證的路由引入回到防火墻10上��。
[0085]防火墻10在接收到內(nèi)網(wǎng)應(yīng)用服務(wù)器11轉(zhuǎn)發(fā)的用戶的認(rèn)證信息��,則查詢用戶-服務(wù)器二維表以判斷用戶是否具有權(quán)限訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器11�����。
[0086]如果防火墻10檢測(cè)到內(nèi)網(wǎng)應(yīng)用服務(wù)器11轉(zhuǎn)發(fā)的用戶的認(rèn)證信息����,則由防火墻10代理到認(rèn)證服務(wù)器12進(jìn)行認(rèn)證���。即,防火墻10對(duì)內(nèi)網(wǎng)應(yīng)用服務(wù)器11的認(rèn)證信息再次進(jìn)行認(rèn)證轉(zhuǎn)發(fā)����,此時(shí)會(huì)對(duì)認(rèn)證進(jìn)行二元匹配。
[0087]具體地����,防火墻10查詢用戶-服務(wù)器二維表,根據(jù)上述用戶-服務(wù)器二維表判斷用戶的當(dāng)前使用的用戶名是否正確����。其中,防火墻10可以根據(jù)用戶-服務(wù)器二維表判斷內(nèi)網(wǎng)應(yīng)用服務(wù)器11的名稱與用戶當(dāng)前使用的用戶名是否對(duì)應(yīng)�。如果是,則防火墻10判斷當(dāng)前使用的用戶名正確��,將用戶名和對(duì)應(yīng)的密碼轉(zhuǎn)發(fā)至認(rèn)證服務(wù)器12�����。
[0088]認(rèn)證服務(wù)器12可以對(duì)用戶名和對(duì)應(yīng)的密碼進(jìn)行認(rèn)證以判斷用戶是否具有權(quán)限訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器11��。
[0089]具體地,認(rèn)證服務(wù)器12對(duì)用戶名和對(duì)應(yīng)的密碼進(jìn)行匹配�����,如果匹配成功�,則判斷用戶具有權(quán)限訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器11,否則判斷用戶不具有權(quán)限訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器11��。然后�����,認(rèn)證服務(wù)器12將上述認(rèn)證結(jié)果反饋給防火墻10����。
[0090]防火墻10在接收到認(rèn)證服務(wù)器12的認(rèn)證結(jié)果后,對(duì)認(rèn)證結(jié)果進(jìn)行分析�����,如果判斷用戶具有權(quán)限訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器11�,則通知內(nèi)網(wǎng)應(yīng)用服務(wù)器11用戶認(rèn)證通過(guò)�����。[0091]內(nèi)網(wǎng)應(yīng)用服務(wù)器11在接收到防火墻發(fā)出的認(rèn)證通過(guò)的通知后,則允許用戶對(duì)內(nèi)網(wǎng)應(yīng)用服務(wù)器11進(jìn)行訪問(wèn)����。
[0092]在本發(fā)明的又一個(gè)實(shí)施例中,如果認(rèn)證服務(wù)器11判斷用戶名和對(duì)應(yīng)的密碼認(rèn)證失敗����,則取消用戶認(rèn)證并向防火墻10發(fā)出認(rèn)證失敗的認(rèn)證結(jié)果。
[0093]防火墻10在接收到上述認(rèn)證結(jié)果后��,分析出用戶的認(rèn)證失敗��,則將該認(rèn)證失敗的消息進(jìn)一步通知給內(nèi)網(wǎng)應(yīng)用服務(wù)器11��。
[0094]內(nèi)網(wǎng)應(yīng)用服務(wù)器11在接收到防火墻的認(rèn)證失敗通知后����,禁止用戶訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器11。
[0095]綜上���,在本發(fā)明提供的用于安全網(wǎng)絡(luò)的用戶管控系統(tǒng)中�,用戶在防火墻10上共會(huì)經(jīng)過(guò)兩層認(rèn)證:
[0096]第一層:用戶通過(guò)防火墻10進(jìn)入內(nèi)網(wǎng)時(shí)�,需要一次用戶的內(nèi)網(wǎng)準(zhǔn)入認(rèn)證。
[0097]第二層:用戶登錄到內(nèi)網(wǎng)后�,如果內(nèi)網(wǎng)應(yīng)用服務(wù)器11需要認(rèn)證�,則內(nèi)網(wǎng)應(yīng)用服務(wù)器11將認(rèn)證信息轉(zhuǎn)發(fā)至防火墻10�����,由防火墻10代理到認(rèn)證服務(wù)器12進(jìn)行認(rèn)證�����。
[0098]這兩次認(rèn)證均經(jīng)過(guò)了防火墻10��,則在防火墻10上將兩個(gè)認(rèn)證進(jìn)行關(guān)聯(lián)��,即將用戶可以認(rèn)證的內(nèi)網(wǎng)應(yīng)用服務(wù)器11與用戶進(jìn)行綁定���。具體地����,當(dāng)用戶第一次認(rèn)證通過(guò)后���,內(nèi)網(wǎng)應(yīng)用服務(wù)器11向防火墻發(fā)送二次認(rèn)證信息�����,如果防火墻10發(fā)現(xiàn)此用戶并沒(méi)有該內(nèi)網(wǎng)應(yīng)用服務(wù)器11的認(rèn)證權(quán)限,則在二次認(rèn)證的認(rèn)證服務(wù)器11前就可以將用戶認(rèn)證取消,從而達(dá)到二次認(rèn)證安全防護(hù)的目的��。
[0099]下面結(jié)合具體示例對(duì)本發(fā)明的用于安全網(wǎng)絡(luò)的用戶管控系統(tǒng)進(jìn)行描述�。
[0100]具體地,在下一代網(wǎng)絡(luò)防火墻10上對(duì)訪問(wèn)內(nèi)網(wǎng)用戶配置用戶-服務(wù)器二維表���,該表記錄了指定用戶可以訪問(wèn)的用戶名屬性功能列表���。例如,用戶aaa�,可以訪問(wèn)郵件服務(wù)器
S。用戶aaa在訪問(wèn)郵件服務(wù)器S時(shí)���,只能使用bbb這個(gè)用戶名�。
[0101]如果用戶aaa訪問(wèn)了后臺(tái)的郵件服務(wù)器����,且使用用戶名CCC,則防火墻10判斷該用戶當(dāng)前使用的用戶名錯(cuò)誤��,則認(rèn)證失敗�。如果使用用戶名bbb,則防火墻判斷該用戶當(dāng)前使用的用戶名正確�����,則將此用戶名密碼轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器12進(jìn)行認(rèn)證。如果認(rèn)證服務(wù)器12判斷用戶名密碼匹配����,認(rèn)證通過(guò),則防火墻10通知郵件服務(wù)器S認(rèn)證通過(guò)���,郵件服務(wù)器S允許用戶訪問(wèn)�。如果認(rèn)證服務(wù)器12判斷用戶名密碼不匹配�,認(rèn)證失敗,則防火墻10通知郵件服務(wù)器S認(rèn)證失敗����,郵件服務(wù)器S禁止用戶訪問(wèn)。
[0102]本發(fā)明旨在保護(hù)一種用于安全網(wǎng)絡(luò)的用戶管控系統(tǒng)�����,該系統(tǒng)將用戶的內(nèi)網(wǎng)登錄賬戶和內(nèi)網(wǎng)應(yīng)用服務(wù)器登錄賬戶進(jìn)行綁定�����,即在不是此人授權(quán)的情況下登錄內(nèi)網(wǎng)應(yīng)用服務(wù)器���,即使用戶名密碼正確���,也會(huì)返回授權(quán)錯(cuò)誤,從而達(dá)到安全可控的目的���。本發(fā)明在防火墻上將兩個(gè)認(rèn)證進(jìn)行關(guān)聯(lián)����,即將用戶可以認(rèn)證的內(nèi)網(wǎng)應(yīng)用服務(wù)器與用戶進(jìn)行綁定���,對(duì)用戶進(jìn)行二次認(rèn)證�����,從而不僅可以調(diào)高網(wǎng)絡(luò)監(jiān)控的精細(xì)度��,提高網(wǎng)絡(luò)安全�,而且可以降低組網(wǎng)成本��。
[0103]應(yīng)當(dāng)理解的是�����,本發(fā)明的上述【具體實(shí)施方式】?jī)H僅用于示例性說(shuō)明或解釋本發(fā)明的原理,而不構(gòu)成對(duì)本發(fā)明的限制���。因此�,在不偏離本發(fā)明的精神和范圍的情況下所做的任何修改����、等同替換、改進(jìn)等����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。此外���,本發(fā)明所附權(quán)利要求旨在涵蓋落入所附權(quán)利要求范圍和邊界�����、或者這種范圍和邊界的等同形式內(nèi)的全部變化和修改例��。
【權(quán)利要求】
1.一種用于安全網(wǎng)絡(luò)的用戶管控方法���,其特征在于,包括如下步驟: 對(duì)所述安全網(wǎng)絡(luò)的防火墻配置用戶-服務(wù)器二維表,其中���,所述用戶-服務(wù)器二維表存儲(chǔ)有多組用戶名屬性功能列表�; 所述防火墻在檢測(cè)到有用戶請(qǐng)求通過(guò)所述防火墻進(jìn)入內(nèi)網(wǎng)時(shí)�����,對(duì)所述用戶進(jìn)行內(nèi)網(wǎng)準(zhǔn)入認(rèn)證����; 所述防火墻在判斷所述用戶通過(guò)內(nèi)網(wǎng)準(zhǔn)入認(rèn)證后���,允許所述用戶登錄到內(nèi)網(wǎng)應(yīng)用服務(wù)器�,并檢測(cè)是否接收到來(lái)自所述內(nèi)網(wǎng)應(yīng)用服務(wù)器的所述用戶的認(rèn)證信息����; 如果所述防火墻接收到所述內(nèi)網(wǎng)應(yīng)用服務(wù)器轉(zhuǎn)發(fā)的所述用戶的認(rèn)證信息,則查詢所述用戶-服務(wù)器二維表以判斷所述用戶是否具有權(quán)限訪問(wèn)所述內(nèi)網(wǎng)應(yīng)用服務(wù)器����; 如果所述防火墻通過(guò)認(rèn)證服務(wù)器判斷所述用戶具有權(quán)限訪問(wèn)所述內(nèi)網(wǎng)應(yīng)用服務(wù)器,則通知所述內(nèi)網(wǎng)應(yīng)用服務(wù)器所述用戶認(rèn)證通過(guò)���; 所述內(nèi)網(wǎng)應(yīng)用服務(wù)器允許所述用戶進(jìn)行訪問(wèn)�����。
2.根據(jù)權(quán)利要求1所述的用于安全網(wǎng)絡(luò)的用戶管控方法����,其特征在于,所述內(nèi)網(wǎng)應(yīng)用服務(wù)器轉(zhuǎn)發(fā)的所述用戶的所述認(rèn)證信息包括所述用戶當(dāng)前使用的用戶名��。
3.根據(jù)權(quán)利要求1所述的用于安全網(wǎng)絡(luò)的用戶管控方法���,其特征在于�,每組所述用戶名屬性功能列表包括用戶名和所述用戶名有權(quán)限訪問(wèn)的服務(wù)器名稱�����。
4.根據(jù)權(quán)利要求3所述的用于安全網(wǎng)絡(luò)的用戶管控方法�,其特征在于,所述防火墻查詢所述用戶-服務(wù)器二維表以判斷所述用戶是否具有權(quán)限訪問(wèn)所述內(nèi)網(wǎng)應(yīng)用服務(wù)器���,包括如下步驟: 所述防火墻查詢所述用戶-服務(wù)器二維表�,判斷所述用戶的當(dāng)前使用的用戶名是否正`確���; 如果是��,則將所述用戶名和對(duì)應(yīng)的密碼轉(zhuǎn)發(fā)至認(rèn)證服務(wù)器����; 所述認(rèn)證服務(wù)器對(duì)所述用戶名和對(duì)應(yīng)的密碼進(jìn)行認(rèn)證以判斷所述用戶是否具有權(quán)限訪問(wèn)所述內(nèi)網(wǎng)應(yīng)用服務(wù)器。
5.根據(jù)權(quán)利要求4所述的用于安全網(wǎng)絡(luò)的用戶管控方法����,其特征在于�,所述防火墻判斷所述用戶的當(dāng)前使用的用戶名是否正確,包括如下步驟:判斷所述內(nèi)網(wǎng)應(yīng)用服務(wù)器的名稱與所述用戶當(dāng)前使用的用戶名是否對(duì)應(yīng)���,如果是��,則判斷當(dāng)前使用的用戶名正確����。
6.根據(jù)權(quán)利要求3所述的用于安全網(wǎng)絡(luò)的用戶管控方法����,其特征在于,還包括如下步驟: 所述認(rèn)證服務(wù)器在判斷所述用戶名和對(duì)應(yīng)的密碼認(rèn)證失敗后���,取消所述用戶認(rèn)證并通知所述防火墻認(rèn)證失?��?����; 所述防火墻進(jìn)一步通知所述內(nèi)網(wǎng)應(yīng)用服務(wù)器所述用戶的認(rèn)證失敗��,所述內(nèi)網(wǎng)應(yīng)用服務(wù)器禁止所述用戶進(jìn)行訪問(wèn)����。
7.一種用于安全網(wǎng)絡(luò)的用戶管控系統(tǒng)��,其特征在于����,包括:防火墻、內(nèi)網(wǎng)應(yīng)用服務(wù)器和認(rèn)證服務(wù)器�����,其中�,所述防火墻分別與所述內(nèi)網(wǎng)應(yīng)用服務(wù)器和所述認(rèn)證服務(wù)器相連, 所述防火墻用于在檢測(cè)到有用戶請(qǐng)求通過(guò)所述防火墻進(jìn)入內(nèi)網(wǎng)時(shí)��,對(duì)所述用戶進(jìn)行內(nèi)網(wǎng)準(zhǔn)入認(rèn)證,以及在判斷所述用戶通過(guò)內(nèi)網(wǎng)準(zhǔn)入認(rèn)證后�����,允許所述用戶登錄到內(nèi)網(wǎng)應(yīng)用服務(wù)器�����,并檢測(cè)是否接收到來(lái)自所述內(nèi)網(wǎng)應(yīng)用服務(wù)器的所述用戶的認(rèn)證信息���,如果接收到所述認(rèn)證信息��,則查詢所述用戶-服務(wù)器二維表�,判斷所述用戶的當(dāng)前使用的用戶名是否正確�,如果正確�,則向所述認(rèn)證服務(wù)器發(fā)送所述用戶名和對(duì)應(yīng)的密碼,以及將所述認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果通知所述內(nèi)網(wǎng)應(yīng)用服務(wù)器��,其中所述防火墻上配置有用戶-服務(wù)器二維表�����,其中���,所述用戶-服務(wù)器二維表存儲(chǔ)有多組用戶名屬性功能列表�; 所述內(nèi)網(wǎng)應(yīng)用服務(wù)器用于在檢測(cè)到所述用戶的訪問(wèn)請(qǐng)求時(shí),向所述防火墻發(fā)送所述用戶的認(rèn)證信息����,以及在接收到所述防火墻發(fā)送的認(rèn)證通過(guò)消息時(shí),允許所述用戶進(jìn)行訪問(wèn)����; 所述認(rèn)證服務(wù)器用于對(duì)所述用戶名和對(duì)應(yīng)的密碼進(jìn)行認(rèn)證以判斷所述用戶是否具有權(quán)限訪問(wèn)所述內(nèi)網(wǎng)應(yīng)用服務(wù)器,并將認(rèn)證結(jié)果通知所述防火墻��。
8.根據(jù)權(quán)利要求7所述的用于安全網(wǎng)絡(luò)的用戶管控系統(tǒng)���,其特征在于��,所述內(nèi)網(wǎng)應(yīng)用服務(wù)器轉(zhuǎn)發(fā)的所述用戶的所述認(rèn)證信息包括所述用戶當(dāng)前使用的用戶名��。
9.根據(jù)權(quán)利要求7所述的用于安全網(wǎng)絡(luò)的用戶管控系統(tǒng)����,其特征在于�����,每組所述用戶名屬性功能列表包括用戶名和所述用戶名有權(quán)限訪問(wèn)的服務(wù)器名稱。
10.根據(jù)權(quán)利要求7所述的用于安全網(wǎng)絡(luò)的用戶管控系統(tǒng)��,其特征在于�����,所述防火墻判斷所述內(nèi)網(wǎng)應(yīng)用服務(wù)器的名稱與所述用戶當(dāng)前使用的用戶名是否對(duì)應(yīng)����,如果是則判斷所述當(dāng)前使用的用戶名正確。
【文檔編號(hào)】H04L29/06GK103746995SQ201410007778
【公開日】2014年4月23日 申請(qǐng)日期:2014年1月3日 優(yōu)先權(quán)日:2014年1月3日
【發(fā)明者】郭感應(yīng) 申請(qǐng)人:漢柏科技有限公司