一种数据连接方法、系统及装置制造方法及图纸

本发明专利技术提供一种数据连接方法，所述方法包括：认证接入网关获取到终端设备发送的数据连接报文后，判断所述终端设备是否通过认证；所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关；所述授权控制网关根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器。上述方案通过将认证与授权完全分离，提供了更加有效安全的网络访问控制及授权方法，同时可有效防止IP地址伪装攻击。

【技术实现步骤摘要】
一种数据连接方法、系统及装置
本专利技术涉及通信领域，具体涉及一种数据连接方法、系统及装置。
技术介绍
如图1所示，在某些大型的跨地域的企业或行业，其内部存在成百上千个用户网络和多个信息中心，各用户网络和信息中心通过专用广域网连接，网络中均为对等节点，不存在网络地址转换(NAT)。位于用户网络内的客户端经常需要同时访问多个不同的信息中心。通常，各信息中心分属不同的主管部门，对于来访的不同用户需要独特的授权，并且这种授权管理通常由各自的信息中心主管部门自行决定，无法进行全行业统一授权管理。这类企业一般已经拥有相对统一的账户身份颁发或标识系统(如员工编号、数字证书等)。此外，这类行业用户的信息中心内的服务器历史悠久、种类繁多，既有传统的基于C/S构架的服务，也有新建的基于B/S构架的服务，同时，还可能存在基于UDP协议的应用，如何实现一个统一又独立、简单又强大、灵活又高效的基于用户身份的认证授权与访问控制系统，是网络安全业面临的长久难题。现存有如下两个类型的解决方案：第一种如图2所示，采用认证网关加防火墙的技术方案，该方案中，在用户网络的出口部署认证网关，在信息中心的入口部署防火墙。客户主机在用户网络的出口网关完成身份认证后，用户网络网关负责维护客户端的IP地址与身份标识的映射，并将该映射发送到信息中心的防火墙，在信息中心的防火墙上将该该用户的权限转化为基于IP地址的访问规则。第二种如图3所示，采用VPN隧道技术方案，该方案中，仅在信息中心的入口部署支持VPN隧道(如IPSEC、L2TP、SSLVPN等)的防火墙，在用户网络的每台主机安装VPN客户端。对于上述现有的技术方案，存在以下问题：1)从安全方面看：a.传统认证网关方案由于仅在接入认证时验证用户身份，认证完成后，客户端的所有访问控制均转化为基于IP地址的策略，通常用户网络和信息中心之间存在较大的开放网络，其地址很容易被伪装或假冒。b.VPN隧道封装方案由于减少了用户网络的出口网关，缺少了基本的接入认证过滤，信息中心的入口网关成为访问的瓶颈，可能面临大量的未认证的非法接入，容易受到拒绝服务攻击。2)从性能方面看：对于隧道封装方案，隧道的建立和报文的重组都需要耗用较多的时间和资源，可能导致网络吞吐性能的大幅下降，信息中心的入口网关需要较强的处理能力，否则很难维持大量的并发用户访问。同样道理，对于用户网络内大量的老旧客户端主机，其硬件配置有时无法胜任。3)从部署方面看：对于VPN隧道方案，按照封装方式，通常会不同程度地改变网络报文的源地址、目的地址或访问路径，可能需要对原有信息中心内的服务器或应用程序进行改造或改写。同时，该类方案需要在每个客户主机安装VPN客户端程序，除了增加部署工作外，还会导致大量的兼容问题。
技术实现思路
：本专利技术提供一种数据连接方法及系统，以实现更加有效安全的网络访问控制及授权。为解决上述技术问题，本专利技术提供一种检测方法，所述方法包括：认证接入网关获取到终端设备发送的数据连接报文后，判断所述终端设备是否通过认证；所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关；所述授权控制网关根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器。可选地，所述判断所述终端设备是否通过认证包括：将所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对；当在所述映射关系中查找到所述源地址对应的身份标识时，则判断所述终端设备通过认证；所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关包括：当判断所述终端设备通过认证时，将根据所述数据连接报文确定的身份标识插入所述数据连接报文头部后发送给所述授权控制网关；所述授权控制网关根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器包括：当所述授权控制网关从所述数据连接报文中获取到身份标识时，将所述身份标识与所述授权控制网关的授权策略进行匹配，当所述授权策略允许时，则在连接会话表中记录所述身份标识，并将所述数据连接报文发送给所述服务器。可选地，所述判断所述终端设备是否通过认证包括：将所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对；当在所述映射关系中未查找到所述源地址对应的身份标识时，则判断所述终端设备未通过认证；所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关包括：当判断所述终端设备未通过认证时，将所述数据连接报文直接发送给所述授权控制网关；所述授权控制网关根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器包括：当所述授权控制网关从所述数据连接报文中未获取到身份标识时，如果未认证用户配置的策略允许时，则将所述数据连接报文发送给所述服务器。可选地，所述方法还包括：所述认证接入网关接收到所述终端设备上的认证客户端发送的认证信息和身份标识后，所述认证接入网关对所述认证信息进行验证；当所述认证信息验证通过时，保存所述身份标识与源地址的映射关系。可选地，当所述认证接入网关对所述认证信息验证通过后，所述方法还包括：所述认证接入网关将所述身份标识和认证信息发送给所述授权控制网关。可选地，所述认证接入网关将所述身份标识和认证信息发送给所述授权控制网关后，所述方法还包括：所述授权控制网关接收到所述身份标识和认证信息后，根据所述认证信息的属性生成所述身份标识对应的授权策略。本专利技术还提供一种数据连接方法，应用于认证接入网关，所述方法包括：认证接入网关获取到终端设备发送的数据连接报文后，判断所述终端设备是否通过认证；所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关。可选地，所述判断所述终端设备是否通过认证包括：所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对；当在所述映射关系中查找到所述源地址对应的身份标识时，则判断所述终端设备通过认证；所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关包括：当判断所述终端设备通过认证时，将根据所述数据连接报文确定的身份标识插入所述数据连接报文头部后发送给所述授权控制网关。可选地，所述判断所述终端设备是否通过认证包括：所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对；当在所述映射关系中未查找到所述源地址对应的身份标识时，则判断所述终端设备未通过认证；所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关包括：当判断所述终端设备未通过认证时，将所述数据连接报文直接发送给所述授权控制网关。可选地，所述方法还包括：所述认证接入网关接收到所述终端设备上的认证客户端发送的认证信息和身份标识后，所述认证接入网关对所述认证信息进行验证；当所述认证信息验证通过时，保存所述身份标识与源地址的映射关系。可选地，当所述认证接入网关对所述认证信息验证通过后，所述方法还包括：所述认证接入网关将所述身份标识和认证信息发送给所述授权控制网关。本专利技术还提供一种数据连接系统，本文档来自技高网...

【技术保护点】
一种数据连接方法，其特征在于，所述方法包括：认证接入网关获取到终端设备发送的数据连接报文后，判断所述终端设备是否通过认证；所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关；所述授权控制网关根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器。

【技术特征摘要】
1.一种数据连接方法，其特征在于，所述方法包括：认证接入网关获取到终端设备发送的数据连接报文后，判断所述终端设备是否通过认证；所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关；所述授权控制网关根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器。2.如权利要求1所述的方法，其特征在于：所述判断所述终端设备是否通过认证包括：将所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对；当在所述映射关系中查找到所述源地址对应的身份标识时，则判断所述终端设备通过认证；所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关包括：当判断所述终端设备通过认证时，将根据所述数据连接报文确定的身份标识插入所述数据连接报文头部后发送给所述授权控制网关；所述授权控制网关根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器包括：当所述授权控制网关从所述数据连接报文中获取到身份标识时，将所述身份标识与所述授权控制网关的授权策略进行匹配，当所述授权策略允许时，则在连接会话表中记录所述身份标识，并将所述数据连接报文发送给所述服务器。3.如权利要求1所述的方法，其特征在于：所述判断所述终端设备是否通过认证包括：将所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对；当在所述映射关系中未查找到所述源地址对应的身份标识时，则判断所述终端设备未通过认证；所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关包括：当判断所述终端设备未通过认证时，将所述数据连接报文直接发送给所述授权控制网关；所述授权控制网关根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器包括：当所述授权控制网关从所述数据连接报文中未获取到身份标识时，如果未认证用户配置的策略允许时，则将所述数据连接报文发送给所述服务器。4.如权利要求1至3任一所述的方法，其特征在于，所述方法还包括：所述认证接入网关接收到所述终端设备上的认证客户端发送的认证信息和身份标识后，所述认证接入网关对所述认证信息进行验证；当所述认证信息验证通过时，保存所述身份标识与源地址的映射关系。5.如权利要求4所述的方法，其特征在于：当所述认证接入网关对所述认证信息验证通过后，所述方法还包括：所述认证接入网关将所述身份标识和认证信息发送给所述授权控制网关。6.如权利要求5所述的方法，其特征在于：所述认证接入网关将所述身份标识和认证信息发送给所述授权控制网关后，所述方法还包括：所述授权控制网关接收到所述身份标识和认证信息后，根据所述认证信息的属性生成所述身份标识对应的授权策略。7.一种数据连接方法，应用于认证接入网关，其特征在于，所述方法包括：认证接入网关获取到终端设备发送的数据连接报文后，判断所述终端设备是否通过认证；所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关。8.如权利要求7所述的方法，其特征在于：所述判断所述终端设备是否通过认证包括：所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对；当在所述映射关系中查找到所述源地址对应的身份标识时，则判断所述终端设备通过认证；所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关包括：当判断所述终端设备通过认证时，将根据所述数据连接报文确定的身份标识插入所述数据连接报文头部后发送给所述授权控制网关。9.如权利要求7所述的方法，其特征在于：所述判断所述终端设备是否通过认证包括：所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对；当在所述映射关系中未查找到所述源地址对应的身份标识时，则判断所述终端设备未通过认证；所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关包括：当判断所述终端设备未通过认证时，将所述数据连接报文直接发送给所述授权控制网关。10.如权利要求7至9任一所述的方法，其特征在于，所述方法还包括：所述认证接入网关接收到所述终端设备上的认证客户端发送的认证信息和身份标识后，所述认证接入网关对所述认证信息进行验证；当所述认证信息验证通过时，保存所述身份标识与源地址的映射关系。11.如权利要求10所述的方法，其特征在于：当所述认证接入网关对所述认证信息验证通过后，所述方法还包括：所述认证接入网关将所述身份标识和认证信息发送给所述授...

【专利技术属性】
技术研发人员：谭锋，孟庆森，
申请(专利权)人：北京网御星云信息技术有限公司，启明星辰信息技术集团股份有限公司，
类型：发明
国别省市：北京,11