專利名稱:一種在ssl vpn中對(duì)數(shù)字證書用戶認(rèn)證的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域���,特別涉及在應(yīng)用安全套接層協(xié)議的虛擬專用網(wǎng)絡(luò)中獲取訪問(wèn)權(quán)限的數(shù)字證書認(rèn)證方法���。
背景技術(shù):
作為一種安全通信協(xié)議,“安全套接層(SSL)���,�,協(xié)議通過(guò)對(duì)計(jì)算機(jī)之間整個(gè)會(huì)話進(jìn) 行加密����,保證在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)的保密性和完整性。它可以自動(dòng)應(yīng)用在每一個(gè)瀏覽器上����, 應(yīng)用時(shí)需要提供一個(gè)數(shù)字證書(CA)給網(wǎng)絡(luò)服務(wù)器���,作為認(rèn)證方式�����。而“虛擬專網(wǎng)(VPN) ”是 企業(yè)或其他團(tuán)體在公共網(wǎng)絡(luò)資源中通過(guò)私有的隧道技術(shù)建立點(diǎn)到點(diǎn)的專線�����,可以確保數(shù)據(jù) 的機(jī)密性并且具有一定的訪問(wèn)控制功能����。將兩者結(jié)合起來(lái)形成的“SSL VPN”技術(shù),可以在 公共網(wǎng)絡(luò)中為企業(yè)設(shè)定一個(gè)有明確邊界定義的網(wǎng)絡(luò)�����,并解決以下安全問(wèn)題傳輸安全���、訪問(wèn) 安全��、端點(diǎn)安全����,是一種簡(jiǎn)單、安全的方法來(lái)滿足用戶遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)(以下簡(jiǎn)稱內(nèi) 網(wǎng))資源的需求����。SSL VPN的優(yōu)點(diǎn)是通過(guò)SSL協(xié)議通信,保證了數(shù)據(jù)傳輸?shù)陌踩?;瀏覽 器內(nèi)嵌了對(duì)SSL協(xié)議的支持,所以用戶只要有瀏覽器就可以通過(guò)SSL VPN訪問(wèn)內(nèi)網(wǎng)資源�,不 用維護(hù)特定的客戶端;另外SSL VPN工作在應(yīng)用層�����,能夠?qū)?nèi)網(wǎng)資源實(shí)現(xiàn)更細(xì)粒度的訪問(wèn) 控制����,且能夠靈活配置。圖1表示數(shù)字證書用戶通過(guò)Internet訪問(wèn)內(nèi)網(wǎng)的郵件服務(wù)器��、Web服務(wù)器或文件 服務(wù)器����,其中的SSLVPN設(shè)備是網(wǎng)關(guān),具有相關(guān)的認(rèn)證功能��。為了實(shí)現(xiàn)用戶遠(yuǎn)程訪問(wèn)內(nèi)網(wǎng)資源,現(xiàn)有的SSL VPN產(chǎn)品通過(guò)在SSL VPN網(wǎng)關(guān)上建 立用戶�����、角色����、資源的關(guān)聯(lián)關(guān)系來(lái)實(shí)現(xiàn)單個(gè)用戶通過(guò)認(rèn)證后獲取相應(yīng)訪問(wèn)權(quán)限的功能�����。如果 在SSL VPN網(wǎng)關(guān)上配置大量不同用戶����,都訪問(wèn)相同內(nèi)網(wǎng)資源的場(chǎng)景下,特別是通過(guò)數(shù)字證 書方式訪問(wèn)SSL VPN的時(shí)候�����,形成了一個(gè)用戶組��。管理員需要為每一個(gè)用戶進(jìn)行建立用戶��、 角色��、資源的關(guān)聯(lián)關(guān)系的操作,配置工作特別繁瑣并且耗時(shí)��。
發(fā)明內(nèi)容
本發(fā)明提出在SSL VPN對(duì)數(shù)字證書用戶進(jìn)行認(rèn)證的方法���,解決了高效率地對(duì)數(shù)字 證書用戶組進(jìn)行授權(quán)的問(wèn)題�,尤其是在包含大量用戶的應(yīng)用場(chǎng)景中�����,高效率地對(duì)數(shù)字證書 用戶組進(jìn)行授權(quán)的問(wèn)題����。本發(fā)明的方法把用戶、數(shù)字證書����、角色、資源結(jié)合起來(lái)�,作為一個(gè)整體,通過(guò)配置不 同的數(shù)字證書特征值���、及相互關(guān)系�����,就可以形成不同的用戶組���。使管理員不用配置用戶���,即 可在數(shù)字證書認(rèn)證通過(guò)后,使得基于特征值相匹配的用戶組��,獲取訪問(wèn)內(nèi)網(wǎng)資源的權(quán)限��。具 體步驟如下第一步����、配置用戶組在SSL VPN上建立用戶組���,并與CA的根證書建立關(guān)聯(lián)�,并配置一個(gè)或多個(gè)特征值��、 以及配置特征值之間的關(guān)系����,該特征值用于許可權(quán)限的CA ;配置好的CA根證書和特征值在網(wǎng)關(guān)上具有唯一性;
所述根證書是導(dǎo)入第三方CA根證書或生成本地CA根證書����;所述特征值,包括一個(gè)或多個(gè)0U��,一個(gè)email �;所述特征值之間的關(guān)系,包括“與”���、“或”�����,二者必選其一����;第二步��、關(guān)聯(lián)資源通過(guò)角色�����,把用戶組和資源關(guān)聯(lián)起來(lái)���,建立用戶組和資源之間的對(duì)應(yīng)關(guān)系����;在第二步中,所述資源是指需要提供給用戶使用的內(nèi)網(wǎng)資源��;第三步�、認(rèn)證授權(quán) 在SSL VPN本地,用戶登錄VPN��,通過(guò)證書合法性檢驗(yàn)��,再通過(guò)鑒別特征值�����,通過(guò)相 匹配的用戶組獲取訪問(wèn)內(nèi)網(wǎng)資源的權(quán)限��;在第三步中�����,數(shù)字證書用戶通過(guò)瀏覽器登錄SSL VPN, SSL VPN首先檢驗(yàn)證書的合 法性�,通過(guò)證書合法性檢查后�,與步驟一所述的特征值相對(duì)應(yīng),提取證書上的OU和email 等字段,然后依據(jù)該用戶證書所屬的根證書����,找到所有與該根證書相關(guān)的用戶組,并把其OU 和email字段和用戶證書上的OU和email字段比較��,用戶從OU和email相匹配的用戶組 獲取訪問(wèn)內(nèi)網(wǎng)資源權(quán)限�����。所述用戶��,是沒有配置用戶名的數(shù)字證書用戶����。由于使用了數(shù)字證書特征值,并應(yīng)用上述方法使數(shù)字證書用戶獲取SSLVPN授權(quán)�����, 其好處是管理員不必在SSL VPN上配置具體的用戶����,提高了網(wǎng)絡(luò)應(yīng)用的效率。尤其是在用戶 量特別大時(shí)���,管理員操作對(duì)大批量證書用戶與資源的關(guān)聯(lián)時(shí)由于免于配置用戶����,操作簡(jiǎn)單、 效率提高尤其明顯����。
下面根據(jù)附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明。圖1是本發(fā)明的一個(gè)應(yīng)用場(chǎng)景����,其中的“數(shù)字證書用戶1、數(shù)字證書用戶2��、...數(shù) 字證書用戶N”表示包含1個(gè)或多個(gè)數(shù)字證書用戶��;圖2是本發(fā)明的一個(gè)網(wǎng)關(guān)端配置OU用戶組的流程示意圖�����;圖3是本發(fā)明的一個(gè)證書用戶通過(guò)OU用戶組獲取內(nèi)網(wǎng)資源權(quán)限示意圖���。
具體實(shí)施例方式下面結(jié)合附圖及實(shí)施例對(duì)本發(fā)明作進(jìn)一步說(shuō)明。本發(fā)明的方法把用戶���、數(shù)字證書����、角色、資源結(jié)合起來(lái)�,作為一個(gè)整體,通過(guò)配置不 同的數(shù)字證書特征值��、及相互關(guān)系��,就可以形成不同的用戶組���。使管理員不用配置用戶����,即 可在數(shù)字證書認(rèn)證通過(guò)后��,使得基于特征值相匹配的用戶組���,獲取訪問(wèn)內(nèi)網(wǎng)資源的權(quán)限�。具 體步驟如下第一步����、配置用戶組在SSL VPN上建立用戶組����,并與CA的根證書建立關(guān)聯(lián)��,并配置一個(gè)或多個(gè)特征值��、 以及配置特征值之間的關(guān)系�����,該特征值用于許可權(quán)限的CA �����;配置好的CA根證書和特征值在網(wǎng)關(guān)上具有唯一性��;所述根證書是導(dǎo)入第三方CA根證書或生成本地CA根證書��;所述特征值�,包括一個(gè)或多個(gè)0U,一個(gè)email �����;所述特征值之間的關(guān)系,包括“與”�、“或”�����,二者必選其一�����;
第二步���、關(guān)聯(lián)資源 把用戶組和資源關(guān)聯(lián)起來(lái)��,建立用戶組和資源之間的對(duì)應(yīng)關(guān)系����;在第二步中��,所述資源是指需要提供給用戶使用的內(nèi)網(wǎng)資源�;第三步、認(rèn)證授權(quán)在SSL VPN本地����,用戶登錄VPN,通過(guò)證書合法性檢驗(yàn)����,再通過(guò)鑒別特征值���,通過(guò)相 匹配的用戶組獲取訪問(wèn)內(nèi)網(wǎng)資源的權(quán)限;在第三步中��,數(shù)字證書用戶通過(guò)瀏覽器登錄SSL VPN, SSL VPN首先檢驗(yàn)證書的合 法性���,通過(guò)證書合法性檢查后����,與步驟一所述的特征值相對(duì)應(yīng)���,提取證書上的OU和email 等字段�,然后依據(jù)該用戶證書所屬的根證書�����,找到所有與該根證書相關(guān)的用戶組�,并把其OU 和email字段和用戶證書上的OU和email字段比較,用戶從OU和email相匹配的用戶組 獲取訪問(wèn)內(nèi)網(wǎng)資源權(quán)限�。所述用戶,是沒有配置用戶名的數(shù)字證書用戶。如圖2所示��,它是本發(fā)明的網(wǎng)關(guān)端配置OU用戶組的流程示意圖���。作為上述過(guò)程中 “第一步�����、配置用戶組”的具體實(shí)施例。步驟S101�,在網(wǎng)關(guān)上建立一個(gè)用戶組,其特征還包括不能建立重名的用戶組���。步驟S102���,選擇網(wǎng)關(guān)上已存在的CA根證書,把根證書和用戶組關(guān)聯(lián)����。其特征還包 括CA根證書可以是導(dǎo)入網(wǎng)關(guān)的第三方CA根證書,也可以是網(wǎng)關(guān)內(nèi)置的本地CA根證書�����。步驟S103,靈活選擇用戶組支持的特征值的個(gè)數(shù)���,網(wǎng)關(guān)根據(jù)特征值的個(gè)數(shù)生成相 應(yīng)的配置頁(yè)面����;其特征還包括特征值包括證書中OU字段和email字段�。步驟S104,配置用戶組用做匹配條件的OU和email項(xiàng)�,并對(duì)配置的OU和email項(xiàng) 合法性檢查,如果配置的OU和email項(xiàng)參數(shù)不合法��,配置不生效�,提示管理員重新按照要求 配置。步驟S105����,根據(jù)配置的CA根證書、OU和email項(xiàng)判斷網(wǎng)關(guān)上是不是存在同樣條件 的用戶組��,如果存在�����,配置不生效��,提示管理員重新配置。步驟S106��,選擇網(wǎng)關(guān)上已配置好的角色����,并關(guān)聯(lián)到用戶組。步驟S107����,用戶組的配置完成。如果要配置新的OU用戶組�,重復(fù)以上處理過(guò)程�����。如圖3所示���,它是本發(fā)明中的證書用戶通過(guò)OU用戶組獲取訪問(wèn)內(nèi)網(wǎng)資源權(quán)限的過(guò) 程示意圖�。作為上述方法中“第三步��、認(rèn)證授權(quán)”的實(shí)施例��。步驟S301��,用戶在瀏覽器上輸入要訪問(wèn)網(wǎng)關(guān)的地址,進(jìn)入登錄頁(yè)面��。步驟S302����,選擇使用證書方式登錄網(wǎng)關(guān),其特征還包括����,用戶的登錄請(qǐng)求中攜帶了 用戶證書。步驟S303�����,網(wǎng)關(guān)從登錄請(qǐng)求中獲取到用戶證書���,并根據(jù)用戶證書上的頒發(fā)者在網(wǎng) 關(guān)上尋找頒發(fā)該用戶證書的CA根證書�����,如果找不到則返回登錄失?����?�;如果找到匹配的CA根 證書��,則判斷用戶證書的合法性�。步驟S304,合法性檢查通過(guò)后��,從用戶證書中獲取OU和email字段�。步驟S305,根據(jù)從用戶證書中獲取的頒發(fā)者Cn�、0U、email字段再尋找匹配的用戶 組���。如果找到相應(yīng)的用戶組�����,則把該用戶組關(guān)聯(lián)的內(nèi)網(wǎng)資源關(guān)聯(lián)到該用戶上,從而該用戶就 得到了訪問(wèn)這些內(nèi)網(wǎng)資源的入口 ���;如果找不到相應(yīng)用戶組���,則返回到登錄頁(yè)面,繼續(xù)等待證 書用戶的登錄�����,重復(fù)以上的處理過(guò)程。
以上描述僅是本發(fā)明的優(yōu)選實(shí) 施方式��,應(yīng)當(dāng)指出��,對(duì)于本技術(shù)領(lǐng)域的技術(shù)人員來(lái) 說(shuō)�����,在不脫離本發(fā)明的基本原理下�,所做的一些改進(jìn),也應(yīng)該視為本發(fā)明的保護(hù)范圍��。
權(quán)利要求
一種在SSL VPN中對(duì)數(shù)字證書用戶認(rèn)證的方法����,其特征是,包含以下步驟第一步�����、配置用戶組在SSL VPN上建立用戶組���,并與CA的根證書建立關(guān)聯(lián)�����,并配置一個(gè)或多個(gè)特征值���、以及配置特征值之間的關(guān)系���,該特征值用于許可權(quán)限的CA;配置好的CA根證書和特征值在網(wǎng)關(guān)上具有唯一性���;第二步�、關(guān)聯(lián)資源通過(guò)角色����,把用戶組和資源關(guān)聯(lián)起來(lái),建立用戶組和資源之間的對(duì)應(yīng)關(guān)系����;第三步���、認(rèn)證授權(quán)在SSL VPN本地����,用戶登錄VPN,通過(guò)證書合法性檢驗(yàn)��,再通過(guò)鑒別特征值����,通過(guò)相匹配的用戶組獲取訪問(wèn)內(nèi)網(wǎng)資源的權(quán)限。
2.根據(jù)權(quán)利要求1所述在SSLVPN中對(duì)數(shù)字證書用戶認(rèn)證的方法��,其特征是所述特 征值�,包括一個(gè)或多個(gè)0U,一個(gè)email字段����;所述特征值之間的關(guān)系,包括“與”����、“或”,二者 必選其一���;用戶組所關(guān)聯(lián)的CA根證書既可以是導(dǎo)入網(wǎng)關(guān)的第三方CA根證書�,也可以是網(wǎng)關(guān) 內(nèi)置的本地CA根證書�����。
3.根據(jù)權(quán)利要求2所述在SSLVPN中對(duì)數(shù)字證書用戶認(rèn)證的方法,其特征是在第三 步中鑒別特征值的方法是提取證書上的OU和email等字段����,然后依據(jù)該用戶證書所屬的 根證書,找到所有與該根證書相關(guān)的用戶組��,并把其OU和email字段和用戶證書上的OU和 email字段比較����,用戶從OU和email相匹配的用戶組獲取訪問(wèn)內(nèi)網(wǎng)資源權(quán)限。
4.根據(jù)權(quán)利要求1至3所述的任一種在SSLVPN中對(duì)數(shù)字證書用戶認(rèn)證的方法�����,其特 征是能夠靈活選擇用戶組支持的特征值個(gè)數(shù)��。
全文摘要
本發(fā)明涉及一種在SSL VPN中對(duì)數(shù)字證書用戶認(rèn)證的方法��,將用戶���、數(shù)字證書����、角色���、資源結(jié)合起來(lái)�,作為一個(gè)整體�����,通過(guò)配置不同的數(shù)字證書特征值�����、及相互關(guān)系��,形成不同的用戶組�����。其方法包含以下步驟在SSL VPN網(wǎng)關(guān)上建立用戶組和CA證書及特征值的關(guān)聯(lián)�����,建立該用戶組和內(nèi)網(wǎng)資源的關(guān)聯(lián)��;SSL VPN網(wǎng)關(guān)收到證書用戶的認(rèn)證請(qǐng)求����,并提取證書特征值����;SSL VPN網(wǎng)關(guān)根據(jù)用戶證書特征值匹配已配置的用戶組���,并授予用戶相應(yīng)的訪問(wèn)權(quán)限�。使用本方法管理員不用配置用戶����,即可在數(shù)字證書認(rèn)證通過(guò)后,使得基于特征值相匹配的用戶組��,獲取訪問(wèn)內(nèi)網(wǎng)資源的權(quán)限�,操作簡(jiǎn)單、尤其在包含大量用戶的應(yīng)用場(chǎng)景中����,可解決高效率地對(duì)數(shù)字證書用戶進(jìn)行授權(quán)的問(wèn)題。
文檔編號(hào)H04L9/32GK101964800SQ20101051429
公開日2011年2月2日 申請(qǐng)日期2010年10月21日 優(yōu)先權(quán)日2010年10月21日
發(fā)明者巍元首 申請(qǐng)人:神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司