【技术实现步骤摘要】
一种数据连接方法、系统及装置
本专利技术涉及通信领域,具体涉及一种数据连接方法、系统及装置。
技术介绍
如图1所示,在某些大型的跨地域的企业或行业,其内部存在成百上千个用户网络和多个信息中心,各用户网络和信息中心通过专用广域网连接,网络中均为对等节点,不存在网络地址转换(NAT)。位于用户网络内的客户端经常需要同时访问多个不同的信息中心。通常,各信息中心分属不同的主管部门,对于来访的不同用户需要独特的授权,并且这种授权管理通常由各自的信息中心主管部门自行决定,无法进行全行业统一授权管理。这类企业一般已经拥有相对统一的账户身份颁发或标识系统(如员工编号、数字证书等)。此外,这类行业用户的信息中心内的服务器历史悠久、种类繁多,既有传统的基于C/S构架的服务,也有新建的基于B/S构架的服务,同时,还可能存在基于UDP协议的应用,如何实现一个统一又独立、简单又强大、灵活又高效的基于用户身份的认证授权与访问控制系统,是网络安全业面临的长久难题。现存有如下两个类型的解决方案:第一种如图2所示,采用认证网关加防火墙的技术方案,该方案中,在用户网络的出口部署认证网关,在信息中心的入口部署防火墙。客户主机在用户网络的出口网关完成身份认证后,用户网络网关负责维护客户端的IP地址与身份标识的映射,并将该映射发送到信息中心的防火墙,在信息中心的防火墙上将该该用户的权限转化为基于IP地址的访问规则。第二种如图3所示,采用VPN隧道技术方案,该方案中,仅在信息中心的入口部署支持VPN隧道(如IPSEC、L2TP、SSLVPN等)的防火墙,在用户网络的每台主机安装VPN客户端。对于上述 ...
【技术保护点】
一种数据连接方法,其特征在于,所述方法包括:认证接入网关获取到终端设备发送的数据连接报文后,判断所述终端设备是否通过认证;所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关;所述授权控制网关根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器。
【技术特征摘要】
1.一种数据连接方法,其特征在于,所述方法包括:认证接入网关获取到终端设备发送的数据连接报文后,判断所述终端设备是否通过认证;所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关;所述授权控制网关根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器。2.如权利要求1所述的方法,其特征在于:所述判断所述终端设备是否通过认证包括:将所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对;当在所述映射关系中查找到所述源地址对应的身份标识时,则判断所述终端设备通过认证;所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关包括:当判断所述终端设备通过认证时,将根据所述数据连接报文确定的身份标识插入所述数据连接报文头部后发送给所述授权控制网关;所述授权控制网关根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器包括:当所述授权控制网关从所述数据连接报文中获取到身份标识时,将所述身份标识与所述授权控制网关的授权策略进行匹配,当所述授权策略允许时,则在连接会话表中记录所述身份标识,并将所述数据连接报文发送给所述服务器。3.如权利要求1所述的方法,其特征在于:所述判断所述终端设备是否通过认证包括:将所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对;当在所述映射关系中未查找到所述源地址对应的身份标识时,则判断所述终端设备未通过认证;所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关包括:当判断所述终端设备未通过认证时,将所述数据连接报文直接发送给所述授权控制网关;所述授权控制网关根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器包括:当所述授权控制网关从所述数据连接报文中未获取到身份标识时,如果未认证用户配置的策略允许时,则将所述数据连接报文发送给所述服务器。4.如权利要求1至3任一所述的方法,其特征在于,所述方法还包括:所述认证接入网关接收到所述终端设备上的认证客户端发送的认证信息和身份标识后,所述认证接入网关对所述认证信息进行验证;当所述认证信息验证通过时,保存所述身份标识与源地址的映射关系。5.如权利要求4所述的方法,其特征在于:当所述认证接入网关对所述认证信息验证通过后,所述方法还包括:所述认证接入网关将所述身份标识和认证信息发送给所述授权控制网关。6.如权利要求5所述的方法,其特征在于:所述认证接入网关将所述身份标识和认证信息发送给所述授权控制网关后,所述方法还包括:所述授权控制网关接收到所述身份标识和认证信息后,根据所述认证信息的属性生成所述身份标识对应的授权策略。7.一种数据连接方法,应用于认证接入网关,其特征在于,所述方法包括:认证接入网关获取到终端设备发送的数据连接报文后,判断所述终端设备是否通过认证;所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关。8.如权利要求7所述的方法,其特征在于:所述判断所述终端设备是否通过认证包括:所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对;当在所述映射关系中查找到所述源地址对应的身份标识时,则判断所述终端设备通过认证;所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关包括:当判断所述终端设备通过认证时,将根据所述数据连接报文确定的身份标识插入所述数据连接报文头部后发送给所述授权控制网关。9.如权利要求7所述的方法,其特征在于:所述判断所述终端设备是否通过认证包括:所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对;当在所述映射关系中未查找到所述源地址对应的身份标识时,则判断所述终端设备未通过认证;所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关包括:当判断所述终端设备未通过认证时,将所述数据连接报文直接发送给所述授权控制网关。10.如权利要求7至9任一所述的方法,其特征在于,所述方法还包括:所述认证接入网关接收到所述终端设备上的认证客户端发送的认证信息和身份标识后,所述认证接入网关对所述认证信息进行验证;当所述认证信息验证通过时,保存所述身份标识与源地址的映射关系。11.如权利要求10所述的方法,其特征在于:当所述认证接入网关对所述认证信息验证通过后,所述方法还包括:所述认证接入网关将所述身份标识和认证信息发送给所述授...
【专利技术属性】
技术研发人员:谭锋,孟庆森,
申请(专利权)人:北京网御星云信息技术有限公司,启明星辰信息技术集团股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。