本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域，特別是涉及一種應(yīng)用系統(tǒng)的安全訪問方法。

背景技術(shù)：

如今的網(wǎng)絡(luò)時(shí)代，ERP、OA、CRM等等應(yīng)用系統(tǒng)已經(jīng)組成企業(yè)辦公不可缺少的的一大部分，但是因?yàn)檐浖娜菀资芄粜?，泄密事件頻頻發(fā)生，應(yīng)用系統(tǒng)安全也成為企業(yè)極為關(guān)注的難題。

現(xiàn)有技術(shù)的實(shí)現(xiàn)方式包括限制進(jìn)入應(yīng)用系統(tǒng)的終端的IP地址和限制進(jìn)入應(yīng)用系統(tǒng)需要賬號和口令等方式。

但是，現(xiàn)有的方法或產(chǎn)品存在以下缺陷：

一、只限制進(jìn)入應(yīng)用系統(tǒng)的終端的IP地址，無法確認(rèn)訪問者的身份，IP地址也容易被盜用，以及限制以后對于方便訪問有很大的局限性。

二、因?yàn)闃I(yè)務(wù)需要，很多應(yīng)用系統(tǒng)不得不把地址和端口暴露在外網(wǎng)，很容易受黑客惡意攻擊。

三、只限制進(jìn)入應(yīng)用系統(tǒng)需要賬號和口令，會使應(yīng)用系統(tǒng)暴露出來，賬號跟口令容易被破解，并且如果應(yīng)用系統(tǒng)有漏洞也容易被攻擊或繞過驗(yàn)證直接進(jìn)入應(yīng)用系統(tǒng)。

四、很多應(yīng)用系統(tǒng)都有記住密碼的功能，方便用戶的同時(shí)也容易被其他人輕而易舉的進(jìn)入應(yīng)用系統(tǒng)。

五、用戶登入應(yīng)用系統(tǒng)后，因事離開或沒有完整退出應(yīng)用系統(tǒng)，也容易產(chǎn)生泄密的隱患。

有鑒于此，本發(fā)明人專門設(shè)計(jì)了一種應(yīng)用系統(tǒng)的安全訪問方法，本案由此產(chǎn)生。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于提供一種應(yīng)用系統(tǒng)的安全訪問方法，其通過多重保障訪問：終端認(rèn)證、用戶登錄、權(quán)限驗(yàn)證以及數(shù)據(jù)加密交互，能夠有效地限制使用該應(yīng)用系統(tǒng)的計(jì)算機(jī)，防止非法訪問，確保應(yīng)用系統(tǒng)的安全性，保障數(shù)據(jù)的安全性。

為了實(shí)現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案為：

一種應(yīng)用系統(tǒng)的安全訪問方法，所述方法提供一個(gè)網(wǎng)關(guān)服務(wù)器LdNetServer.exe、一個(gè)配置服務(wù)器LdDataServer.exe以及復(fù)數(shù)個(gè)安全終端，安全訪問方法包括以下步驟：

S01：設(shè)置配置服務(wù)器的配置數(shù)據(jù)，通過配置數(shù)據(jù)對安全終端的用戶身份進(jìn)行驗(yàn)證，若用戶身份驗(yàn)證通過，則執(zhí)行步驟S02，若用戶身份驗(yàn)證不通過，則安裝或登錄失?。?/p>

S02：用戶通過安全終端向網(wǎng)關(guān)服務(wù)器發(fā)出加密后的請求數(shù)據(jù)包；

S03：網(wǎng)關(guān)服務(wù)器解密請求數(shù)據(jù)包，解析出安全終端的識別碼及訪問的應(yīng)用系統(tǒng)名稱，并且調(diào)用配置服務(wù)器對安全終端訪問該應(yīng)用系統(tǒng)的權(quán)限進(jìn)行驗(yàn)證，若權(quán)限驗(yàn)證通過，則執(zhí)行步驟S04，若權(quán)限驗(yàn)證不通過，則網(wǎng)關(guān)服務(wù)器拒絕請求，直接丟掉請求數(shù)據(jù)并關(guān)閉連接；

S04：網(wǎng)關(guān)服務(wù)器將解密后的請求數(shù)據(jù)包轉(zhuǎn)發(fā)給應(yīng)用系統(tǒng)，并負(fù)責(zé)把應(yīng)用系統(tǒng)返回的數(shù)據(jù)包加密后返回給安全終端。

優(yōu)選地，所述配置數(shù)據(jù)包括安全終端列表、用戶信息列表以及安全終端訪問應(yīng)用系統(tǒng)的權(quán)限列表。

優(yōu)選地，所述安全終端列表和用戶信息列表均用于供配置服務(wù)器對安全終端的用戶身份進(jìn)行驗(yàn)證，若安全終端與安全終端列表相匹配，則安裝成功，否則安裝失??；安裝成功后，若安全終端的用戶身份和口令與用戶信息列表相匹配，則登錄成功，否則登錄失敗。

優(yōu)選地，所述安全終端訪問應(yīng)用系統(tǒng)的權(quán)限列表用于供網(wǎng)關(guān)服務(wù)器驗(yàn)證安全終端訪問應(yīng)用系統(tǒng)的權(quán)限。

本發(fā)明能夠有效地限制使用該應(yīng)用系統(tǒng)的計(jì)算機(jī)，防止非法訪問，未授權(quán)的計(jì)算機(jī)即使獲得相應(yīng)應(yīng)用系統(tǒng)的登陸帳號和密碼，也無法訪問；有效限制訪問應(yīng)用系統(tǒng)的用戶的身份，防止非法訪問；應(yīng)用系統(tǒng)真實(shí)的地址無需對外開放，避免不必要的惡意攻擊；安全終端具有可控制性，當(dāng)安全終端電腦丟失時(shí)，可以馬上取消該安全終端的合法身份，避免被非法登錄應(yīng)用系統(tǒng)而引起資料泄露；數(shù)據(jù)加密傳輸，有效防止機(jī)密數(shù)據(jù)傳輸過程被非法攔截；無需改變用戶操作習(xí)慣，整個(gè)過濾過程對用戶操作完全透明。

附圖說明

此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解，構(gòu)成本發(fā)明的一部分，本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中：

圖1是本發(fā)明安全終端身份驗(yàn)證流程示意圖；

圖2是本發(fā)明用戶訪問應(yīng)用系統(tǒng)流程示意圖。

具體實(shí)施方式

為了使本發(fā)明所要解決的技術(shù)問題、技術(shù)方案及有益效果更加清楚、明白，以下結(jié)合附圖和實(shí)施例，對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

如圖1至圖2所示，本發(fā)明提供一種應(yīng)用系統(tǒng)的安全訪問方法，所述方法提供一個(gè)網(wǎng)關(guān)服務(wù)器LdNetServer.exe、一個(gè)配置服務(wù)器LdDataServer.exe以及復(fù)數(shù)個(gè)安全終端，安全訪問方法包括以下步驟：

S01：設(shè)置配置服務(wù)器的配置數(shù)據(jù)，通過配置數(shù)據(jù)對安全終端的用戶身份進(jìn)行驗(yàn)證，若用戶身份驗(yàn)證通過，則執(zhí)行步驟S02，若用戶身份驗(yàn)證不通過，則安裝或登錄失??；

S02：用戶通過安全終端向網(wǎng)關(guān)服務(wù)器發(fā)出加密后的請求數(shù)據(jù)包；

S03：網(wǎng)關(guān)服務(wù)器解密請求數(shù)據(jù)包，解析出安全終端的識別碼及訪問的應(yīng)用系統(tǒng)名稱，并且調(diào)用配置服務(wù)器對安全終端訪問該應(yīng)用系統(tǒng)的權(quán)限進(jìn)行驗(yàn)證，若權(quán)限驗(yàn)證通過，則執(zhí)行步驟S04，若權(quán)限驗(yàn)證不通過，則網(wǎng)關(guān)服務(wù)器拒絕請求，直接丟掉請求數(shù)據(jù)并關(guān)閉連接；

S04：網(wǎng)關(guān)服務(wù)器將解密后的請求數(shù)據(jù)包轉(zhuǎn)發(fā)給應(yīng)用系統(tǒng)，并負(fù)責(zé)把應(yīng)用系統(tǒng)返回的數(shù)據(jù)包加密后返回給安全終端。

所述配置服務(wù)器任務(wù)是管理和存儲系統(tǒng)的配置數(shù)據(jù)，所述配置數(shù)據(jù)包括安全終端列表、用戶信息列表(包括用戶賬號和密碼等)以及安全終端訪問應(yīng)用系統(tǒng)的權(quán)限列表，所述安全終端列表和用戶信息列表均用于供配置服務(wù)器對安全終端的用戶身份進(jìn)行驗(yàn)證，若安全終端與安全終端列表相匹配，則安裝成功，否則安裝失敗；安裝成功后，若安全終端的用戶身份和口令與用戶信息列表相匹配，則登錄成功，否則登錄失敗；所述安全終端訪問應(yīng)用系統(tǒng)的權(quán)限列表用于供網(wǎng)關(guān)服務(wù)器驗(yàn)證安全終端訪問應(yīng)用系統(tǒng)的權(quán)限，即網(wǎng)關(guān)服務(wù)器調(diào)用配置服務(wù)器驗(yàn)證安全終端訪問應(yīng)用系統(tǒng)的權(quán)限。

具體的，用戶輸入要保護(hù)的應(yīng)用系統(tǒng)地址請求打開應(yīng)用系統(tǒng)時(shí)，若沒有安裝安全終端，即非法接入，網(wǎng)關(guān)服務(wù)器拒絕請求，用戶打開應(yīng)用系統(tǒng)失??；若安裝了安全終端，則其需要通過多重保障訪問：終端認(rèn)證、用戶登錄、權(quán)限驗(yàn)證以及數(shù)據(jù)加密交互，才能成功訪問應(yīng)用系統(tǒng)，確保應(yīng)用系統(tǒng)的安全性。以下分別對終端認(rèn)證、用戶登錄、權(quán)限驗(yàn)證以及數(shù)據(jù)加密交互進(jìn)行詳細(xì)說明：

終端認(rèn)證即安裝負(fù)責(zé)攔截和轉(zhuǎn)發(fā)數(shù)據(jù)包的安全終端時(shí)，需由負(fù)責(zé)驗(yàn)證和中轉(zhuǎn)數(shù)據(jù)包的配置服務(wù)器對其進(jìn)行審批，只有被配置服務(wù)器允許的安全終端才能驗(yàn)證通過并安裝成功；

用戶登錄即安裝成功的安全終端，使用時(shí)需要用戶身份和口令驗(yàn)證，只有驗(yàn)證通過才允許正常打開安全終端；

權(quán)限驗(yàn)證即用戶在安全終端登錄成功后，通過安全終端訪問應(yīng)用系統(tǒng)時(shí)，安全終端把數(shù)據(jù)加密后發(fā)給網(wǎng)關(guān)服務(wù)器，網(wǎng)關(guān)服務(wù)器解密請求數(shù)據(jù)包，解析出安全終端的識別碼及訪問的應(yīng)用系統(tǒng)名稱，然后網(wǎng)關(guān)服務(wù)器調(diào)用配置服務(wù)器對安全終端訪問該應(yīng)用系統(tǒng)的權(quán)限進(jìn)行驗(yàn)證，如果安全終端對該應(yīng)用系統(tǒng)沒有訪問權(quán)限，網(wǎng)關(guān)服務(wù)器拒絕請求，直接丟掉請求數(shù)據(jù)并關(guān)閉連接，如果安全終端對該應(yīng)用系統(tǒng)有訪問權(quán)限則執(zhí)行數(shù)據(jù)加密交互；

數(shù)據(jù)加密交互即網(wǎng)關(guān)服務(wù)器將解密后的請求數(shù)據(jù)包發(fā)送給應(yīng)用系統(tǒng)，并把應(yīng)用系統(tǒng)返回的數(shù)據(jù)轉(zhuǎn)給安全終端，用戶打開應(yīng)用系統(tǒng)成功，且整個(gè)過程對用戶來說完全透明，用戶無法感知過程變化，因?yàn)橄拗茟?yīng)用系統(tǒng)無法直接訪問。

另外，需要說明的是，管理員可以靈活授權(quán)或取消授權(quán)安全終端使用應(yīng)用系統(tǒng)的范圍，使得安全終端具有可控制性，當(dāng)安全終端電腦丟失時(shí)，可以馬上取消該安全終端的合法身份，避免被非法登錄應(yīng)用系統(tǒng)而引起資料泄露。

上述說明示出并描述了本發(fā)明的優(yōu)選實(shí)施例，如前所述，應(yīng)當(dāng)理解本發(fā)明并非局限于本文所披露的形式，不應(yīng)看作是對其他實(shí)施例的排除，而可用于各種其他組合、修改和環(huán)境，并能夠在本文所述發(fā)明構(gòu)想范圍內(nèi)，通過上述教導(dǎo)或相關(guān)領(lǐng)域的技術(shù)或知識進(jìn)行改動。而本領(lǐng)域人員所進(jìn)行的改動和變化不脫離本發(fā)明的精神和范圍，則都應(yīng)在本發(fā)明所附權(quán)利要求的保護(hù)范圍內(nèi)。