信息系统的访问管理方法、装置、系统和接入设备.pdf

摘要
申请专利号：	CN201010532033.2	申请日：	2010.10.29
公开号：	CN102006286A	公开日：	2011.04.06
当前法律状态：	驳回	有效性：	无权
法律详情：	发明专利申请公布后的驳回IPC(主分类):H04L 29/06申请公布日:20110406\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20101029\|\|\|公开
IPC分类号：	H04L29/06; H04L12/56	主分类号：	H04L29/06
申请人：	北京星网锐捷网络技术有限公司
发明人：	杨红飞; 吴吉朋; 刘福能; 叶金龙
地址：	100036 北京市海淀区复兴路33号翠微大厦东1106
优先权：
专利代理机构：	北京同立钧成知识产权代理有限公司 11205	代理人：	刘芳
PDF下载：	PDF下载

内容摘要

本发明提供一种信息系统的访问管理方法、装置、系统和接入设备，其中方法包括：根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器；根据来自DNS服务器的DNS响应报文将校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中；根据来自客户端的IP报文和可访问IP列表进行校验处理，并允许校验通过的IP报文访问信息系统服务器中的信息系统资源。装置包括第一校验模块、第一添加模块和第二校验模块。接入设备包括信息系统的访问管理装置。本发明还提供了一种信息系统的访问管理系统。本发明实现了简便、灵活的访问管理。

权利要求书

1.一种信息系统的访问管理方法，其特征在于，包括：根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器；根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中；根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问信息系统服务器中的信息系统资源。2.根据权利要求1所述的方法，其特征在于，在所述根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理之前，还包括：在客户端通过安全管理服务器的合法性认证后，接收所述安全管理服务器获取的用户有访问权限的信息系统对应的域名；将所述用户有访问权限的信息系统对应的域名添加到允许解析域名表中。3.根据权利要求2所述的方法，其特征在于，所述根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器包括：获取客户端发往DNS服务器的DNS请求报文，所述DNS请求报文中携带所访问的信息系统的域名；校验所述信息系统的域名是否在所述允许解析域名表中，如果是，则校验通过，并将所述DNS请求报文转发到DNS服务器。4.根据权利要求1所述的方法，其特征在于，所述根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问信息系统服务器中的信息系统资源包括：判断来自所述客户端的IP报文中携带的IP地址是否在所述可访问IP列表中，如果是，则校验通过，并将所述IP报文转发到信息系统服务器；利用所述IP报文对所述信息系统服务器中的信息系统资源进行访问处理。5.根据权利要求2所述的方法，其特征在于，还包括：在所述客户端退出后，清空所述允许解析域名表和所述可访问IP列表。6.一种信息系统的访问管理装置，其特征在于，包括：第一校验模块，用于根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器；第一添加模块，用于根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中；第二校验模块，用于根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问信息系统服务器中的信息系统资源。7.根据权利要求6所述的装置，其特征在于，还包括：接收模块，用于在客户端通过安全管理服务器的合法性认证后，接收所述安全管理服务器获取的用户有访问权限的信息系统对应的域名；第二添加模块，用于将所述用户有访问权限的信息系统对应的域名添加到允许解析域名表中。8.根据权利要求7所述的装置，其特征在于，所述第一校验模块包括：获取单元，用于获取客户端发往DNS服务器的DNS请求报文，所述DNS请求报文中携带所访问的信息系统的域名；第一校验单元，用于校验所述信息系统的域名是否在所述允许解析域名表中，如果是，则校验通过，并将所述DNS请求报文转发到DNS服务器。9.根据权利要求6所述的装置，其特征在于，所述第二校验模块包括：第二校验单元，用于判断来自所述客户端的IP报文中携带的IP地址是否在所述可访问IP列表中，如果是，则校验通过，并将所述IP报文转发到信息系统服务器；访问单元，用于利用所述IP报文对所述信息系统服务器中的信息系统资源进行访问处理。10.根据权利要求7所述的装置，其特征在于，还包括：清除模块，用于在所述客户端退出后，清空所述允许解析域名表和所述可访问IP列表。11.一种接入设备，其特征在于，包括上述权利要求6-10中任一项所述的信息系统的访问管理装置。12.一种信息系统的访问管理系统，其特征在于，包括域名系统DNS服务器、信息系统服务器和接入设备，其中：所述接入设备用于根据来自客户端的DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器；根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中；并根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问所述信息系统服务器中的信息系统资源；所述DNS服务器用于接收到所述校验通过的DNS请求报文后，向所述接入设备返回DNS响应报文。13.根据权利要求12所述的系统，其特征在于，还包括安全管理服务器，其中，所述安全管理服务器用于对所述客户端进行合法性认证，获取用户有访问权限的信息系统对应的域名，并将所述用户有访问权限的信息系统对应的域名发送到所述接入设备；所述接入设备还用于将接收到的所述用户有访问权限的信息系统对应的域名添加到允许解析域名表中。

说明书

信息系统的访问管理方法、装置、系统和接入设备

技术领域

本发明涉及通信技术，尤其涉及一种信息系统的访问管理方法、装置、系统和接入设备。

背景技术

随着科技的不断发展和进步，计算机在办公系统中逐渐普及化，各大公司企业对计算机的依赖性也越来越高，而企业规模越大，其内部的信息系统越复杂。此处的信息系统即可以访问的网络资源，如政府部门的财务系统、资产管理系统和人事系统。在整个网络中，各个访问网络的用户的权限各不相同，通过将具有相同权限的用户划分为一个组，来减少网络管理员的负担，即只要对一个用户组赋予一定的权力，则该组内的用户便具有相同的权力。如财政司、行政司和人事司的工作人员分别只能访问财务系统、资产管理系统和人事系统，即将工作人员划分为财政组、行政组和人事组，并分别赋予可访问财政系统、资产管理系统和人事系统的权力。

在现有技术中，最常用的用户组划分控制方法为通过部署防火墙设备来实现，通过基于IP地址对终端接入用户和信息系统进行标识，在防火墙设备上配置访问控制列表(Access Control List；以下简称：ACL)策略设定终端接入用户拥有哪些信息系统的访问权限，来实现访问权限的控制。

然而，在现有技术中的访问管理方法中，当出现IP地址变更时，需要手动进行配置调整，且同一用户访问不同权限的系统需要通过不同的计算机访问，而修改终端接入计算机的IP地址则使得防火墙的控制失效。因此，现有技术的方法难于使用，不符合现实中的权限分配模式，且控制容易失效。

发明内容

本发明提供一种信息系统的访问管理方法、装置、系统和接入设备，解决现有技术中的访问控制方法难于使用、控制容易失效等缺陷，实现简便、灵活的访问管理，易于使用和管理。

本发明提供一种信息系统的访问管理方法，包括：

根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器；

根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中；

根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问信息系统服务器中的信息系统资源。

本发明提供一种信息系统的访问管理装置，包括：

第一校验模块，用于根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器；

第一添加模块，用于根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中；

第二校验模块，用于根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问信息系统服务器中的信息系统资源。

本发明提供一种接入设备，包括上述信息系统的访问管理装置。

本发明提供一种信息系统的访问管理系统，包括域名系统DNS服务器、信息服务器和信息系统的访问管理装置，其中：所述接入设备用于根据来自客户端的DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器；根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中；并根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问所述信息系统服务器中的信息系统资源；所述DNS服务器用于接收到所述校验通过的DNS请求报文后，向所述接入设备返回DNS响应报文。

本发明的信息系统的访问管理方法、装置、系统和接入设备，通过对来自客户端的DNS请求报文进行截包处理，对该DNS请求报文中携带的域名进行校验处理，将校验通过的域名对应的DNS请求报文转发到DNS服务器；再对来自DNS服务器的DNS响应报文进行截包处理，将对应的IP地址添加到可访问IP列表中；再对来自客户端的IP报文进行截包处理，对IP报文进行校验处理，并允许校验通过的IP报文对其中的信息系统资源进行访问处理；本实施例中整个信息系统的访问管理过程由接入交换机、客户端、DNS服务器和信息系统服务器自动完成，无需管理员手动管理，易于使用和管理，解决了现有技术中的访问控制方法难于使用、控制容易失效等缺陷，且解决了现有技术中手动修改计算机配置便可绕开控制的问题，实现了简便、灵活的访问管理。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明信息系统的访问管理方法实施例一的流程图；

图2为本发明信息系统的访问管理方法实施例二中认证过程的信令图；

图3为本发明信息系统的访问管理方法实施例二中的网络拓扑示意图；

图4为本发明信息系统的访问管理方法实施例二中的用户组划分的示意图；

图5为本发明信息系统的访问管理方法实施例二中访问管理过程的信令图；

图6为本发明信息系统的访问管理装置实施例一的结构示意图；

图7为本发明信息系统的访问管理装置实施例二的结构示意图；

图8为本发明信息系统的访问管理系统实施例一的结构示意图；

图9为本发明信息系统的访问管理系统实施例二的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明信息系统的访问管理方法实施例一的流程图，如图1所示，本实施例提供了一种信息系统的访问管理方法，可以具体包括如下步骤：

步骤101，接入交换机根据来自客户端的域名系统(Domain Name System；以下简称：DNS)请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器。

在本实施例中，客户端与安全管理服务器进行认证之后，用户可以通过客户端进行信息系统资源的访问。客户端向DNS服务器发送DNS请求时，接入交换机对该DNS请求报文进行截包处理，即来自客户端的DNS请求报文先发送到接入交换机，该DNS请求报文中携带用户将要访问的信息系统的域名。接入交换机根据该域名进行校验处理，将校验通过的域名所对应的DNS请求报文转发到DNS服务器，而校验未通过的域名所对应的DNS请求则直接丢弃处理，不再执行后续的流程。本实施例中对域名进行校验处理可以具体为根据允许解析域名表进行校验处理，即判断该域名是否包含在允许解析域名中，该允许解析域名表可以通过也可以通过预先从安全管理服务器获取的方式来得到，也可以由本领域技术人员根据经验来手工配置。

步骤102，接入交换机根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中。

当完成上述步骤后，如果用户将要访问的信息系统对应的域名通过校验时，其发起的DNS请求报文转发到DNS服务器，则DNS服务器向客户端返回DNS响应报文。接入交换机对该DNS响应报文进行截包处理，即该DNS响应报文先发送到接入交换机。接入交换机对该DNS响应报文进行解析处理，提取其中携带的对应的域名的IP地址，即用户所要访问的信息系统的域名的IP地址，接入交换机将该IP地址添加到可访问IP列表中。

步骤103，接入交换机根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问所述信息系统服务器中的信息系统资源。

接入交换机在对DNS响应报文进行解析处理后，还将该DNS响应报文转发到客户端，客户端可以根据该DNS响应报文中携带的IP地址访问对应的信息系统，即客户端向信息系统服务器发送IP报文，该IP报文中可以携带用户将要访问的信息系统对应的IP地址。接入交换机对该IP报文进行截包处理，即客户端发出的IP报文先发送到接入交换机上，接入交换机根据该IP报文和本地保存的可访问IP列表进行校验处理，并允许校验通过的IP报文访问信息系统服务器中的信息系统资源，即实现用户对其中的信息系统资源进行访问处理。如果IP报文未通过校验，则直接将其丢弃处理，不再执行后续的步骤。

进一步地，在本实施例中，在步骤101之前，还可以包括如下步骤：在所述客户端通过安全管理服务器的合法性认证后，接入交换机接收所述安全管理服务器获取的用户有访问权限的信息系统对应的域名；接入交换机将所述用户有访问权限的信息系统对应的域名添加到允许解析域名表中。本实施例中对信息系统进行访问管理前，可以先对客户端进行合法性认证，用户只有认证通过之后才能访问网络，未认证或认证未通过时无法访问网络。在进行认证之后，接入交换机可以从安全管理服务器获取该用户可以访问的信息系统对应的域名，然后将该域名添加到本地保存的允许解析域名表中。

本实施例提供了一种信息系统的访问管理方法，接入交换机对来自客户端的DNS请求报文进行截包处理，对该DNS请求报文中携带的域名进行校验处理，将校验通过的域名对应的DNS请求报文转发到DNS服务器；再对来自DNS服务器的DNS响应报文进行截包处理，将对应的IP地址添加到可访问IP列表中；再对来自客户端的IP报文进行截包处理，对IP报文进行校验处理，并允许校验通过的IP报文访问信息系统服务器中的信息系统资源；本实施例中整个信息系统的访问管理过程由接入交换机、客户端、DNS服务器和信息系统服务器自动完成，无需管理员手动管理，易于使用和管理，解决了现有技术中的访问控制方法难于使用、控制容易失效等缺陷，且解决了现有技术中手动修改计算机配置便可绕开控制的问题，实现了简便、灵活的访问管理。

图2为本发明信息系统的访问管理方法实施例二中认证过程的信令图，如图2所示，本实施例提供了一种信息系统的访问管理方法，此处具体对其中的认证过程进行解释说明，可以具体包括如下步骤：

步骤201，客户端获取用户输入的用户名和密码。

在本实施例中，对信息系统进行访问管理前，可以先对客户端进行合法性认证，用户只有认证通过之后才能访问网络，未认证或认证未通过时无法访问网络。具体地，本步骤可以为用户在个人计算机上运行客户端，通过输入用户名和密码进行认证，客户端可以获取到用户输入的用户名和密码。本实施例中的客户端可以具体为认证客户端，用户可以通过该客户端进行认证上网，以及显示可访问的信息系统列表，用户点击信息系统的链接打开浏览器来访问信息系统资源。

步骤202，客户端向安全管理服务器发送认证请求。

本实施例中的认证方式可以具体为1x认证，具体通过客户端、接入交换机和安全管理服务器三个组件的配合来共同完成认证过程。本步骤为客户端向安全管理服务器发送认证请求，该认证请求中可以携带之前获取的用户名和密码，具体为通过接入交换机向安全管理服务器发送认证请求。

步骤203，安全管理服务器对客户端进行合法性认证。

安全管理服务器在接收到客户端发送的认证请求后，根据其中携带的用户名和密码对客户端进行合法性认证，即检查该用户名和密码的合法性等。本实施例中的安全管理服务器为整个安全方案的核心服务器，其可以指定用户属于哪个用户组及用户组可访问的信息系统列表、信息系统对应的域名等。

在本实施例中，在对客户端进行认证之前，可以先搭建网络拓扑，如图3所示为本发明信息系统的访问管理方法实施例二中的网络拓扑示意图，可以在网络中的任意位置搭建安全管理服务器，在个人计算机上安装客户端，将个人计算机直接连接到加入交换机上。以图3为例，本实施例中的信息系统可以包括财务系统、资产管理系统、人事系统及共用系统，其中，作为普通员的用户可以访问共用系统的资源，作为领导的用户可以访问所有的信息系统，财政司的用户只能访问财务系统，行政司的用户只能访问资产管理系统，人事司的用户只能访问人事系统。管理员可以在安全管理服务器上对信息系统进行配置，配置的信息具体可以包括信息系统的名称、信息系统的域名和访问信息系统的端口。安全管理服务器先将信息系统存储到数据库表中，本实施例中的数据库表的结构可以如下表1所示，如下表2所示为信息系统的示例：

表1安全管理服务器中数据库表的结构

  字段
  属性
  长度
  是否可为空
  描述
  infoSystemIndex
  bigint

  No
  索引，唯一主键
  infoSystemName
  varchar
  64
  No
  信息系统的名称
  domainName
  varchar
  64
  No
  信息系统的域名
  port
  tinyint

  No
  访问信息系统的端口

表2信息系统的示例

然后，管理员可以在安全管理服务器上创建用户组，对用户组进行划分，并配置用户组可访问的信息系统列表。如图4所示为本发明信息系统的访问管理方法实施例二中的用户组划分的示意图，可以具体建立领导组、财政司组、行政司组和人事司组。其中，领导组与信息系统中的财务系统、资产管理系统、人事系统和共用系统相关联，即领导组中的用户可访问的信息系统列表包括财务系统、资产管理系统、人事系统和共用系统，后续类似；财政司组与信息系统中的财务系统和共用系统相关联，行政司组与信息系统中的资产管理系统和共用系统相关联，人事司组与信息系统中的人事系统和共用系统相关联。接着，管理员在安全管理服务器上为用户开户，开户的内容包括用户名、密码及用户所属的用户组等，将用户名和密码信息告知各用户，此处为将财政司员工开的户加入财政司组，将行政司员工开的户加入行政司组，将人事司员工开的户加入人事司组，将领导加入领导组。

步骤204，当客户端通过认证后，安全管理服务器获取当前用户有访问权限的信息系统。

在客户端通过安全管理服务器的认证之后，安全管理服务器根据用户名查找该用户所属的用户组，由于用户名和用户组均为管理员配置的，则可以很容易获取到其所属的用户组，安全管理服务器再根据该用户组获取该用户有访问权限的信息系统，即获取该用户可访问的信息系统，并获取各信息系统的域名以及访问各信息系统的端口。

步骤205，安全管理服务器向客户端下发当前用户有访问权限的信息系统列表。

安全管理服务器将获取到的当前用户有访问权限的各信息系统的名称、信息系统的域名及访问该信息系统的端口分别组合为一个链接，并将生成的当前用户有访问权限的信息系统列表下发到客户端。

步骤206，客户端将信息系统列表展示给用户。

客户端在接收到信息系统列表后，将该信息系统列表展示给用户，方便用户通过点击某个信息系统对应的连接来选择访问该信息系统。

步骤207，安全管理服务器向接入交换机下发当前用户有访问权限的信息系统对应的域名。

安全管理服务器在向客户端下发用户可访问的信息系统列表的同时，还向接入交换机下发当前用户有访问权限的信息系统对应的域名。

步骤208，接入交换机将信息系统对应的域名添加到允许解析域名表中。

接入交换机将接收到的各信息系统对应的域名添加到本地的允许解析域名表中，以备后续校验使用。

步骤209，客户端退出认证。

步骤210，接入交换机清空允许解析域名表和可访问IP列表。

当用户退出该客户端的程序时，接入交换机需要清空本地的允许解析域名表和可访问IP列表，下次再启动该客户端的程序时，再重新进行上述认证过程。需要指出的是，本实施例中的步骤209和210的执行顺序并非一定在步骤208之后，这两个步骤只有在客户端退出时才执行；也并非执行步骤210之后才执行后续步骤501，通常，后续步骤501-510是在步骤208与步骤209之间执行。

图5为本发明信息系统的访问管理方法实施例二中访问管理过程的信令图，如图5所示，本实施例提供的信息系统的访问管理方法在上述图2所示的基础之上，完成客户端的认证之后，还可以具体包括如下步骤：

步骤501，客户端获取用户通过信息系统列表选择的信息系统的链接地址。

当客户端完成认证之后，用户可以通过客户端展示的信息系统列表来访问相应的信息系统资源，用户在客户端展示的信息系统列表中选择点击其中一个信息系统对应的链接，客户端获取到用户选择的信息系统的链接地址。

步骤502，客户端向接入交换机发送DNS请求报文。

用户在通过客户端点击一个链接后，触发一个发往DNS服务器的DNS请求，本实施例中接入交换机对客户端发往DNS服务器的DNS请求报文进行截包处理，则该DNS请求报文先发送到接入交换机上，该DNS请求报文中携带用户将要访问的信息系统的域名。

步骤503，接入交换机校验DNS请求报文中携带的域名是否在允许解析域名表中，如果是，则执行步骤504，否则直接丢弃该DNS请求报文。

接入交换机在接收到DNS请求报文后，对该DNS请求报文进行解析处理，获取其中携带的用户将要访问的信息系统的域名，并判断该域名是否在本地保存的允许解析域名表中，如果是，则表明该DNS请求报文通过校验，将校验通过的DNS请求报文转发到DNS服务器；否则如果该域名不在允许解析域名表中，则直接丢弃该DNS请求报文，不再执行后续的流程，用户则无法访问对应的信息系统资源。

步骤504，接入交换机将该DNS请求报文转发到DNS服务器。

步骤505，DNS服务器根据DNS请求报文获取其中携带的域名对应的IP地址。

DNS服务器接收到DNS请求报文后，从该DNS请求报文中获取其中携带的用户将要访问的信息系统的域名，并根据该域名获取其对应的IP地址。

步骤506，DNS服务器向接入交换机发送DNS响应报文。

DNS服务器向客户端返回DNS响应报文，在该DNS响应报文中携带用户将要访问的信息系统的域名对应的IP地址，本实施例中接入交换机对来自DNS服务器的DNS响应报文进行截包处理，则该DNS响应报文先发送到接入交换机上。

步骤507，接入交换机解析该DNS响应报文，将其中携带的域名的IP地址添加到可访问IP列表中。

接入交换机接收到DNS响应报文后，对该报文进行解析处理，获取其中携带的用户将要访问的信息系统的域名对应的IP地址，接入交换机将该IP地址添加到本地保存的可访问IP列表中，以备后续校验使用。

步骤508，接入交换机将DNS响应报文转发到客户端。

步骤509，客户端向接入交换机发送IP报文。

客户端在接收到DNS响应报文后，从该DNS响应报文中解析获取用户将要访问的信息系统的域名对应的IP地址，利用该IP地址进行信息系统资源的访问。客户端向信息系统服务器发送IP报文，在IP报文中携带该IP地址，本实施例中接入服务器对客户端发往信息系统服务器的IP报文进行截包处理，则该IP报文先发送到接入交换机。

步骤510，接入交换机判断IP报文中携带的IP地址是否在可访问IP列表中，如果是，则执行步骤511，否则丢弃该IP报文。

接入交换机在接收到IP报文后，提取其中携带的IP地址，判断该IP地址是否在本地保存的可访问IP列表中，如果是，则将该IP报文转发到信息系统服务器，以实现客户端对信息系统服务器中相应的信息系统资源的访问处理。否则如果该IP地址不在可访问IP列表中，则直接丢弃该IP报文，不再执行后续的流程，用户则无法访问对应的信息系统资源。

步骤511，接入交换机将IP报文转发到信息系统服务器。

接入交换机将校验通过的IP报文转发到信息系统服务器，并利用该IP报文对信息系统服务器中相应的信息系统资源进行访问，即允许该用户访问其请求访问的信息系统资源。具体可以为信息系统服务器接收到该校验通过的IP报文后，从该IP报文中提取其中携带的用户的相关信息，可以为其请求访问的信息系统的标识信息等，以访问对应的信息系统资源。

本实施例提供了一种信息系统的访问管理方法，接入交换机对来自客户端的DNS请求报文进行截包处理，对该DNS请求报文中携带的域名进行校验处理，将校验通过的域名对应的DNS请求报文转发到DNS服务器；再对来自DNS服务器的DNS响应报文进行截包处理，将对应的IP地址添加到可访问IP列表中；再对来自客户端的IP报文进行截包处理，对IP报文进行校验处理，并将校验通过的IP报文转发到信息系统服务器，以对其中的信息系统资源进行访问处理；本实施例中整个信息系统的访问管理过程由接入交换机、客户端、DNS服务器和信息系统服务器自动完成，无需管理员手动管理，易于使用和管理，解决了现有技术中的访问控制方法难于使用、控制容易失效等缺陷，且解决了现有技术中手动修改计算机配置便可绕开控制的问题，实现了简便、灵活的访问管理。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

图6为本发明信息系统的访问管理装置实施例一的结构示意图，如图6所示，本实施例提供了一种信息系统的访问管理装置，可以具体执行上述方法实施例一中的各个步骤，此处不再赘述。本实施例提供的信息系统的访问管理装置可以具体包括第一校验模块601、第一添加模块602和第二校验模块603。其中，第一校验模块601用于根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器。第一添加模块602用于根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中。第二校验模块603用于根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问信息系统服务器中的信息系统资源。

图7为本发明信息系统的访问管理装置实施例二的结构示意图，如图7所示，本实施例提供了一种信息系统的访问管理装置，可以具体执行上述方法实施例二中的各个步骤，此处不再赘述。本实施例提供的信息系统的访问管理装置在上述图6所示的基础之上，还可以包括接收模块701和第二添加模块702。接收模块701用于在所述客户端通过安全管理服务器的合法性认证后，接收所述安全管理服务器获取的用户有访问权限的信息系统对应的域名。第二添加模块702用于将所述信息系统对应的域名添加到允许解析域名表中。

具体地，本实施例提供的信息系统的访问管理装置中的第一校验模块601可以具体包括获取单元611和第一校验单元621。获取单元611用于获取客户端发往DNS服务器的DNS请求报文，所述DNS请求报文中携带所访问的信息系统的域名。第一校验单元621用于校验所述信息系统的域名是否在所述允许解析域名表中，如果是，则将所述DNS请求报文转发到DNS服务器。

具体地，本实施例提供的信息系统的访问管理装置中的第二校验模块603可以具体包括第二校验单元613和访问单元623。其中，第二校验单元613用于判断来自所述客户端的IP报文中携带的IP地址是否在所述可访问IP列表中，如果是，则将所述IP报文转发到信息系统服务器。访问单元623用于利用所述IP报文对所述信息系统服务器中的信息系统资源进行访问处理。

进一步地，本实施例提供的信息系统的访问管理装置还可以包括清除模块703，清除模块703用于在所述客户端退出后，清空所述允许解析域名表和所述可访问IP列表。

本实施例提供了一种信息系统的访问管理装置，通过对来自客户端的DNS请求报文进行截包处理，对该DNS请求报文中携带的域名进行校验处理，将校验通过的域名对应的DNS请求报文转发到DNS服务器；再对来自DNS服务器的DNS响应报文进行截包处理，将对应的IP地址添加到可访问IP列表中；再对来自客户端的IP报文进行截包处理，对IP报文进行校验处理，并将校验通过的IP报文转发到信息系统服务器，以对其中的信息系统资源进行访问处理；本实施例中整个信息系统的访问管理过程由接入交换机、客户端、DNS服务器和信息系统服务器自动完成，无需管理员手动管理，易于使用和管理，解决了现有技术中的访问控制方法难于使用、控制容易失效等缺陷，且解决了现有技术中手动修改计算机配置便可绕开控制的问题，实现了简便、灵活的访问管理。

本实施例还提供了一种接入设备，可以具体为接入交换机，其可以包括上图6或图7所示的信息系统的访问管理装置。

图8为本发明信息系统的访问管理系统实施例一的结构示意图，如图8所示，本实施例提供了一种信息系统的访问管理系统，可以具体执行上述方法实施例一中的各个步骤，此处不再赘述。本实施例提供的信息系统的访问管理系统可以具体包括DNS服务器1、信息系统服务器2和接入设备3。其中，接入设备3用于根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器1；根据来自DNS服务器1的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中；并根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问信息系统服务器2中的信息系统资源。DNS服务器1用于接收到所述校验通过的DNS请求报文后，向接入设备3返回DNS响应报文。

图9为本发明信息系统的访问管理系统实施例二的结构示意图，如图9所示，本实施例提供了一种信息系统的访问管理系统，可以具体执行上述方法实施例二中的各个步骤，此处不再赘述。本实施例提供的信息系统的访问管理系统在上述图8所示的基础之上，还可以包括安全管理服务器4。其中，安全管理服务器4用于对所述客户端进行合法性认证，获取用户有访问权限的信息系统对应的域名，并将所述用户有访问权限的信息系统对应的域名发送到接入设备3。接入设备3还用于将接收到的所述用户有访问权限的信息系统对应的域名添加到允许解析域名表中。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

资源描述

《信息系统的访问管理方法、装置、系统和接入设备.pdf》由会员分享，可在线阅读，更多相关《信息系统的访问管理方法、装置、系统和接入设备.pdf（17页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN102006286A43申请公布日20110406CN102006286ACN102006286A21申请号201010532033222申请日20101029H04L29/06200601H04L12/5620060171申请人北京星网锐捷网络技术有限公司地址100036北京市海淀区复兴路33号翠微大厦东110672发明人杨红飞吴吉朋刘福能叶金龙74专利代理机构北京同立钧成知识产权代理有限公司11205代理人刘芳54发明名称信息系统的访问管理方法、装置、系统和接入设备57摘要本发明提供一种信息系统的访问管理方法、装置、系统和接入设备，其中方法包括根据来自客户端的域名系统DN。

2、S请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器；根据来自DNS服务器的DNS响应报文将校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中；根据来自客户端的IP报文和可访问IP列表进行校验处理，并允许校验通过的IP报文访问信息系统服务器中的信息系统资源。装置包括第一校验模块、第一添加模块和第二校验模块。接入设备包括信息系统的访问管理装置。本发明还提供了一种信息系统的访问管理系统。本发明实现了简便、灵活的访问管理。51INTCL19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书9页附图5页CN102006299A1/2页2。

3、1一种信息系统的访问管理方法，其特征在于，包括根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器；根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中；根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问信息系统服务器中的信息系统资源。2根据权利要求1所述的方法，其特征在于，在所述根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理之前，还包括在客户端通过安全管理服务器的合法性认证后，接收所述安全管理服务器获取的用户有访问。

4、权限的信息系统对应的域名；将所述用户有访问权限的信息系统对应的域名添加到允许解析域名表中。3根据权利要求2所述的方法，其特征在于，所述根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器包括获取客户端发往DNS服务器的DNS请求报文，所述DNS请求报文中携带所访问的信息系统的域名；校验所述信息系统的域名是否在所述允许解析域名表中，如果是，则校验通过，并将所述DNS请求报文转发到DNS服务器。4根据权利要求1所述的方法，其特征在于，所述根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问信息系统服务器。

5、中的信息系统资源包括判断来自所述客户端的IP报文中携带的IP地址是否在所述可访问IP列表中，如果是，则校验通过，并将所述IP报文转发到信息系统服务器；利用所述IP报文对所述信息系统服务器中的信息系统资源进行访问处理。5根据权利要求2所述的方法，其特征在于，还包括在所述客户端退出后，清空所述允许解析域名表和所述可访问IP列表。6一种信息系统的访问管理装置，其特征在于，包括第一校验模块，用于根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器；第一添加模块，用于根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域。

6、名对应的IP地址添加到可访问IP列表中；第二校验模块，用于根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问信息系统服务器中的信息系统资源。7根据权利要求6所述的装置，其特征在于，还包括接收模块，用于在客户端通过安全管理服务器的合法性认证后，接收所述安全管理服务器获取的用户有访问权限的信息系统对应的域名；第二添加模块，用于将所述用户有访问权限的信息系统对应的域名添加到允许解析域名表中。8根据权利要求7所述的装置，其特征在于，所述第一校验模块包括权利要求书CN102006286ACN102006299A2/2页3获取单元，用于获取客户端发往DNS服务器的D。

7、NS请求报文，所述DNS请求报文中携带所访问的信息系统的域名；第一校验单元，用于校验所述信息系统的域名是否在所述允许解析域名表中，如果是，则校验通过，并将所述DNS请求报文转发到DNS服务器。9根据权利要求6所述的装置，其特征在于，所述第二校验模块包括第二校验单元，用于判断来自所述客户端的IP报文中携带的IP地址是否在所述可访问IP列表中，如果是，则校验通过，并将所述IP报文转发到信息系统服务器；访问单元，用于利用所述IP报文对所述信息系统服务器中的信息系统资源进行访问处理。10根据权利要求7所述的装置，其特征在于，还包括清除模块，用于在所述客户端退出后，清空所述允许解析域名表和所述可访问IP。

8、列表。11一种接入设备，其特征在于，包括上述权利要求610中任一项所述的信息系统的访问管理装置。12一种信息系统的访问管理系统，其特征在于，包括域名系统DNS服务器、信息系统服务器和接入设备，其中所述接入设备用于根据来自客户端的DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器；根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中；并根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问所述信息系统服务器中的信息系统资源；所述DNS服务器用于接收到所述校验通。

9、过的DNS请求报文后，向所述接入设备返回DNS响应报文。13根据权利要求12所述的系统，其特征在于，还包括安全管理服务器，其中，所述安全管理服务器用于对所述客户端进行合法性认证，获取用户有访问权限的信息系统对应的域名，并将所述用户有访问权限的信息系统对应的域名发送到所述接入设备；所述接入设备还用于将接收到的所述用户有访问权限的信息系统对应的域名添加到允许解析域名表中。权利要求书CN102006286ACN102006299A1/9页4信息系统的访问管理方法、装置、系统和接入设备技术领域0001本发明涉及通信技术，尤其涉及一种信息系统的访问管理方法、装置、系统和接入设备。背景技术0002随着科技。

10、的不断发展和进步，计算机在办公系统中逐渐普及化，各大公司企业对计算机的依赖性也越来越高，而企业规模越大，其内部的信息系统越复杂。此处的信息系统即可以访问的网络资源，如政府部门的财务系统、资产管理系统和人事系统。在整个网络中，各个访问网络的用户的权限各不相同，通过将具有相同权限的用户划分为一个组，来减少网络管理员的负担，即只要对一个用户组赋予一定的权力，则该组内的用户便具有相同的权力。如财政司、行政司和人事司的工作人员分别只能访问财务系统、资产管理系统和人事系统，即将工作人员划分为财政组、行政组和人事组，并分别赋予可访问财政系统、资产管理系统和人事系统的权力。0003在现有技术中，最常用的用户组。

11、划分控制方法为通过部署防火墙设备来实现，通过基于IP地址对终端接入用户和信息系统进行标识，在防火墙设备上配置访问控制列表ACCESSCONTROLLIST；以下简称ACL策略设定终端接入用户拥有哪些信息系统的访问权限，来实现访问权限的控制。0004然而，在现有技术中的访问管理方法中，当出现IP地址变更时，需要手动进行配置调整，且同一用户访问不同权限的系统需要通过不同的计算机访问，而修改终端接入计算机的IP地址则使得防火墙的控制失效。因此，现有技术的方法难于使用，不符合现实中的权限分配模式，且控制容易失效。发明内容0005本发明提供一种信息系统的访问管理方法、装置、系统和接入设备，解决现有技术中。

12、的访问控制方法难于使用、控制容易失效等缺陷，实现简便、灵活的访问管理，易于使用和管理。0006本发明提供一种信息系统的访问管理方法，包括0007根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器；0008根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中；0009根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问信息系统服务器中的信息系统资源。0010本发明提供一种信息系统的访问管理装置，包括0011第一校验模块，用于根据来自客。

13、户端的域名系统DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器；说明书CN102006286ACN102006299A2/9页50012第一添加模块，用于根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中；0013第二校验模块，用于根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问信息系统服务器中的信息系统资源。0014本发明提供一种接入设备，包括上述信息系统的访问管理装置。0015本发明提供一种信息系统的访问管理系统，包括域名系统DNS服务器、信息。

14、服务器和信息系统的访问管理装置，其中所述接入设备用于根据来自客户端的DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器；根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中；并根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问所述信息系统服务器中的信息系统资源；所述DNS服务器用于接收到所述校验通过的DNS请求报文后，向所述接入设备返回DNS响应报文。0016本发明的信息系统的访问管理方法、装置、系统和接入设备，通过对来自客户端的DNS请求报文进行截包处。

15、理，对该DNS请求报文中携带的域名进行校验处理，将校验通过的域名对应的DNS请求报文转发到DNS服务器；再对来自DNS服务器的DNS响应报文进行截包处理，将对应的IP地址添加到可访问IP列表中；再对来自客户端的IP报文进行截包处理，对IP报文进行校验处理，并允许校验通过的IP报文对其中的信息系统资源进行访问处理；本实施例中整个信息系统的访问管理过程由接入交换机、客户端、DNS服务器和信息系统服务器自动完成，无需管理员手动管理，易于使用和管理，解决了现有技术中的访问控制方法难于使用、控制容易失效等缺陷，且解决了现有技术中手动修改计算机配置便可绕开控制的问题，实现了简便、灵活的访问管理。附图说明0。

16、017为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。0018图1为本发明信息系统的访问管理方法实施例一的流程图；0019图2为本发明信息系统的访问管理方法实施例二中认证过程的信令图；0020图3为本发明信息系统的访问管理方法实施例二中的网络拓扑示意图；0021图4为本发明信息系统的访问管理方法实施例二中的用户组划分的示意图；0022图5为本发明信息系统的访问管理方法实施例二中访问管理过程。

17、的信令图；0023图6为本发明信息系统的访问管理装置实施例一的结构示意图；0024图7为本发明信息系统的访问管理装置实施例二的结构示意图；0025图8为本发明信息系统的访问管理系统实施例一的结构示意图；0026图9为本发明信息系统的访问管理系统实施例二的结构示意图。具体实施方式0027为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例说明书CN102006286ACN102006299A3/9页6中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动。

18、前提下所获得的所有其他实施例，都属于本发明保护的范围。0028图1为本发明信息系统的访问管理方法实施例一的流程图，如图1所示，本实施例提供了一种信息系统的访问管理方法，可以具体包括如下步骤0029步骤101，接入交换机根据来自客户端的域名系统DOMAINNAMESYSTEM；以下简称DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器。0030在本实施例中，客户端与安全管理服务器进行认证之后，用户可以通过客户端进行信息系统资源的访问。客户端向DNS服务器发送DNS请求时，接入交换机对该DNS请求报文进行截包处理，即来自客户端的DNS请求报文先发送到接入交换机，。

19、该DNS请求报文中携带用户将要访问的信息系统的域名。接入交换机根据该域名进行校验处理，将校验通过的域名所对应的DNS请求报文转发到DNS服务器，而校验未通过的域名所对应的DNS请求则直接丢弃处理，不再执行后续的流程。本实施例中对域名进行校验处理可以具体为根据允许解析域名表进行校验处理，即判断该域名是否包含在允许解析域名中，该允许解析域名表可以通过也可以通过预先从安全管理服务器获取的方式来得到，也可以由本领域技术人员根据经验来手工配置。0031步骤102，接入交换机根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中。0032当完。

20、成上述步骤后，如果用户将要访问的信息系统对应的域名通过校验时，其发起的DNS请求报文转发到DNS服务器，则DNS服务器向客户端返回DNS响应报文。接入交换机对该DNS响应报文进行截包处理，即该DNS响应报文先发送到接入交换机。接入交换机对该DNS响应报文进行解析处理，提取其中携带的对应的域名的IP地址，即用户所要访问的信息系统的域名的IP地址，接入交换机将该IP地址添加到可访问IP列表中。0033步骤103，接入交换机根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问所述信息系统服务器中的信息系统资源。0034接入交换机在对DNS响应报文进行解析处理后，。

21、还将该DNS响应报文转发到客户端，客户端可以根据该DNS响应报文中携带的IP地址访问对应的信息系统，即客户端向信息系统服务器发送IP报文，该IP报文中可以携带用户将要访问的信息系统对应的IP地址。接入交换机对该IP报文进行截包处理，即客户端发出的IP报文先发送到接入交换机上，接入交换机根据该IP报文和本地保存的可访问IP列表进行校验处理，并允许校验通过的IP报文访问信息系统服务器中的信息系统资源，即实现用户对其中的信息系统资源进行访问处理。如果IP报文未通过校验，则直接将其丢弃处理，不再执行后续的步骤。0035进一步地，在本实施例中，在步骤101之前，还可以包括如下步骤在所述客户端通过安全管理。

22、服务器的合法性认证后，接入交换机接收所述安全管理服务器获取的用户有访问权限的信息系统对应的域名；接入交换机将所述用户有访问权限的信息系统对应的域名添加到允许解析域名表中。本实施例中对信息系统进行访问管理前，可以先对客户端进行合法性认证，用户只有认证通过之后才能访问网络，未认证或认证未通过时无法访问网络。在进行认证之后，接入交换机可以从安全管理服务器获取该用户可以访问的信息系统说明书CN102006286ACN102006299A4/9页7对应的域名，然后将该域名添加到本地保存的允许解析域名表中。0036本实施例提供了一种信息系统的访问管理方法，接入交换机对来自客户端的DNS请求报文进行截包处理。

23、，对该DNS请求报文中携带的域名进行校验处理，将校验通过的域名对应的DNS请求报文转发到DNS服务器；再对来自DNS服务器的DNS响应报文进行截包处理，将对应的IP地址添加到可访问IP列表中；再对来自客户端的IP报文进行截包处理，对IP报文进行校验处理，并允许校验通过的IP报文访问信息系统服务器中的信息系统资源；本实施例中整个信息系统的访问管理过程由接入交换机、客户端、DNS服务器和信息系统服务器自动完成，无需管理员手动管理，易于使用和管理，解决了现有技术中的访问控制方法难于使用、控制容易失效等缺陷，且解决了现有技术中手动修改计算机配置便可绕开控制的问题，实现了简便、灵活的访问管理。0037图。

24、2为本发明信息系统的访问管理方法实施例二中认证过程的信令图，如图2所示，本实施例提供了一种信息系统的访问管理方法，此处具体对其中的认证过程进行解释说明，可以具体包括如下步骤0038步骤201，客户端获取用户输入的用户名和密码。0039在本实施例中，对信息系统进行访问管理前，可以先对客户端进行合法性认证，用户只有认证通过之后才能访问网络，未认证或认证未通过时无法访问网络。具体地，本步骤可以为用户在个人计算机上运行客户端，通过输入用户名和密码进行认证，客户端可以获取到用户输入的用户名和密码。本实施例中的客户端可以具体为认证客户端，用户可以通过该客户端进行认证上网，以及显示可访问的信息系统列表，用户。

25、点击信息系统的链接打开浏览器来访问信息系统资源。0040步骤202，客户端向安全管理服务器发送认证请求。0041本实施例中的认证方式可以具体为1X认证，具体通过客户端、接入交换机和安全管理服务器三个组件的配合来共同完成认证过程。本步骤为客户端向安全管理服务器发送认证请求，该认证请求中可以携带之前获取的用户名和密码，具体为通过接入交换机向安全管理服务器发送认证请求。0042步骤203，安全管理服务器对客户端进行合法性认证。0043安全管理服务器在接收到客户端发送的认证请求后，根据其中携带的用户名和密码对客户端进行合法性认证，即检查该用户名和密码的合法性等。本实施例中的安全管理服务器为整个安全方案。

26、的核心服务器，其可以指定用户属于哪个用户组及用户组可访问的信息系统列表、信息系统对应的域名等。0044在本实施例中，在对客户端进行认证之前，可以先搭建网络拓扑，如图3所示为本发明信息系统的访问管理方法实施例二中的网络拓扑示意图，可以在网络中的任意位置搭建安全管理服务器，在个人计算机上安装客户端，将个人计算机直接连接到加入交换机上。以图3为例，本实施例中的信息系统可以包括财务系统、资产管理系统、人事系统及共用系统，其中，作为普通员的用户可以访问共用系统的资源，作为领导的用户可以访问所有的信息系统，财政司的用户只能访问财务系统，行政司的用户只能访问资产管理系统，人事司的用户只能访问人事系统。管理员。

27、可以在安全管理服务器上对信息系统进行配置，配置的信息具体可以包括信息系统的名称、信息系统的域名和访问信息系统的端口。安全管理服务器先将信息系统存储到数据库表中，本实施例中的数据库表的结构可以如下表1所示，如说明书CN102006286ACN102006299A5/9页8下表2所示为信息系统的示例0045表1安全管理服务器中数据库表的结构0046字段属性长度是否可为空描述INFOSYSTEMINDEXBIGINTNO索引，唯一主键INFOSYSTEMNAMEVARCHAR64NO信息系统的名称DOMAINNAMEVARCHAR64NO信息系统的域名PORTTINYINTNO访问信息系统的端口00。

28、47表2信息系统的示例00480049然后，管理员可以在安全管理服务器上创建用户组，对用户组进行划分，并配置用户组可访问的信息系统列表。如图4所示为本发明信息系统的访问管理方法实施例二中的用户组划分的示意图，可以具体建立领导组、财政司组、行政司组和人事司组。其中，领导组与信息系统中的财务系统、资产管理系统、人事系统和共用系统相关联，即领导组中的用户可访问的信息系统列表包括财务系统、资产管理系统、人事系统和共用系统，后续类似；财政司组与信息系统中的财务系统和共用系统相关联，行政司组与信息系统中的资产管理系统和共用系统相关联，人事司组与信息系统中的人事系统和共用系统相关联。接着，管理员在安全管理服。

29、务器上为用户开户，开户的内容包括用户名、密码及用户所属的用户组等，将用户名和密码信息告知各用户，此处为将财政司员工开的户加入财政司组，将行政司员工开的户加入行政司组，将人事司员工开的户加入人事司组，将领导加入领导组。0050步骤204，当客户端通过认证后，安全管理服务器获取当前用户有访问权限的信息系统。0051在客户端通过安全管理服务器的认证之后，安全管理服务器根据用户名查找该用户所属的用户组，由于用户名和用户组均为管理员配置的，则可以很容易获取到其所属的说明书CN102006286ACN102006299A6/9页9用户组，安全管理服务器再根据该用户组获取该用户有访问权限的信息系统，即获取该。

30、用户可访问的信息系统，并获取各信息系统的域名以及访问各信息系统的端口。0052步骤205，安全管理服务器向客户端下发当前用户有访问权限的信息系统列表。0053安全管理服务器将获取到的当前用户有访问权限的各信息系统的名称、信息系统的域名及访问该信息系统的端口分别组合为一个链接，并将生成的当前用户有访问权限的信息系统列表下发到客户端。0054步骤206，客户端将信息系统列表展示给用户。0055客户端在接收到信息系统列表后，将该信息系统列表展示给用户，方便用户通过点击某个信息系统对应的连接来选择访问该信息系统。0056步骤207，安全管理服务器向接入交换机下发当前用户有访问权限的信息系统对应的域名。。

31、0057安全管理服务器在向客户端下发用户可访问的信息系统列表的同时，还向接入交换机下发当前用户有访问权限的信息系统对应的域名。0058步骤208，接入交换机将信息系统对应的域名添加到允许解析域名表中。0059接入交换机将接收到的各信息系统对应的域名添加到本地的允许解析域名表中，以备后续校验使用。0060步骤209，客户端退出认证。0061步骤210，接入交换机清空允许解析域名表和可访问IP列表。0062当用户退出该客户端的程序时，接入交换机需要清空本地的允许解析域名表和可访问IP列表，下次再启动该客户端的程序时，再重新进行上述认证过程。需要指出的是，本实施例中的步骤209和210的执行顺序并非。

32、一定在步骤208之后，这两个步骤只有在客户端退出时才执行；也并非执行步骤210之后才执行后续步骤501，通常，后续步骤501510是在步骤208与步骤209之间执行。0063图5为本发明信息系统的访问管理方法实施例二中访问管理过程的信令图，如图5所示，本实施例提供的信息系统的访问管理方法在上述图2所示的基础之上，完成客户端的认证之后，还可以具体包括如下步骤0064步骤501，客户端获取用户通过信息系统列表选择的信息系统的链接地址。0065当客户端完成认证之后，用户可以通过客户端展示的信息系统列表来访问相应的信息系统资源，用户在客户端展示的信息系统列表中选择点击其中一个信息系统对应的链接，客户端。

33、获取到用户选择的信息系统的链接地址。0066步骤502，客户端向接入交换机发送DNS请求报文。0067用户在通过客户端点击一个链接后，触发一个发往DNS服务器的DNS请求，本实施例中接入交换机对客户端发往DNS服务器的DNS请求报文进行截包处理，则该DNS请求报文先发送到接入交换机上，该DNS请求报文中携带用户将要访问的信息系统的域名。0068步骤503，接入交换机校验DNS请求报文中携带的域名是否在允许解析域名表中，如果是，则执行步骤504，否则直接丢弃该DNS请求报文。0069接入交换机在接收到DNS请求报文后，对该DNS请求报文进行解析处理，获取其中携带的用户将要访问的信息系统的域名，并。

34、判断该域名是否在本地保存的允许解析域名表中，如果是，则表明该DNS请求报文通过校验，将校验通过的DNS请求报文转发到DNS服务说明书CN102006286ACN102006299A7/9页10器；否则如果该域名不在允许解析域名表中，则直接丢弃该DNS请求报文，不再执行后续的流程，用户则无法访问对应的信息系统资源。0070步骤504，接入交换机将该DNS请求报文转发到DNS服务器。0071步骤505，DNS服务器根据DNS请求报文获取其中携带的域名对应的IP地址。0072DNS服务器接收到DNS请求报文后，从该DNS请求报文中获取其中携带的用户将要访问的信息系统的域名，并根据该域名获取其对应的I。

35、P地址。0073步骤506，DNS服务器向接入交换机发送DNS响应报文。0074DNS服务器向客户端返回DNS响应报文，在该DNS响应报文中携带用户将要访问的信息系统的域名对应的IP地址，本实施例中接入交换机对来自DNS服务器的DNS响应报文进行截包处理，则该DNS响应报文先发送到接入交换机上。0075步骤507，接入交换机解析该DNS响应报文，将其中携带的域名的IP地址添加到可访问IP列表中。0076接入交换机接收到DNS响应报文后，对该报文进行解析处理，获取其中携带的用户将要访问的信息系统的域名对应的IP地址，接入交换机将该IP地址添加到本地保存的可访问IP列表中，以备后续校验使用。007。

36、7步骤508，接入交换机将DNS响应报文转发到客户端。0078步骤509，客户端向接入交换机发送IP报文。0079客户端在接收到DNS响应报文后，从该DNS响应报文中解析获取用户将要访问的信息系统的域名对应的IP地址，利用该IP地址进行信息系统资源的访问。客户端向信息系统服务器发送IP报文，在IP报文中携带该IP地址，本实施例中接入服务器对客户端发往信息系统服务器的IP报文进行截包处理，则该IP报文先发送到接入交换机。0080步骤510，接入交换机判断IP报文中携带的IP地址是否在可访问IP列表中，如果是，则执行步骤511，否则丢弃该IP报文。0081接入交换机在接收到IP报文后，提取其中携带。

37、的IP地址，判断该IP地址是否在本地保存的可访问IP列表中，如果是，则将该IP报文转发到信息系统服务器，以实现客户端对信息系统服务器中相应的信息系统资源的访问处理。否则如果该IP地址不在可访问IP列表中，则直接丢弃该IP报文，不再执行后续的流程，用户则无法访问对应的信息系统资源。0082步骤511，接入交换机将IP报文转发到信息系统服务器。0083接入交换机将校验通过的IP报文转发到信息系统服务器，并利用该IP报文对信息系统服务器中相应的信息系统资源进行访问，即允许该用户访问其请求访问的信息系统资源。具体可以为信息系统服务器接收到该校验通过的IP报文后，从该IP报文中提取其中携带的用户的相关信。

38、息，可以为其请求访问的信息系统的标识信息等，以访问对应的信息系统资源。0084本实施例提供了一种信息系统的访问管理方法，接入交换机对来自客户端的DNS请求报文进行截包处理，对该DNS请求报文中携带的域名进行校验处理，将校验通过的域名对应的DNS请求报文转发到DNS服务器；再对来自DNS服务器的DNS响应报文进行截包处理，将对应的IP地址添加到可访问IP列表中；再对来自客户端的IP报文进行截包处理，对IP报文进行校验处理，并将校验通过的IP报文转发到信息系统服务器，以对其中的信息说明书CN102006286ACN102006299A8/9页11系统资源进行访问处理；本实施例中整个信息系统的访问管。

39、理过程由接入交换机、客户端、DNS服务器和信息系统服务器自动完成，无需管理员手动管理，易于使用和管理，解决了现有技术中的访问控制方法难于使用、控制容易失效等缺陷，且解决了现有技术中手动修改计算机配置便可绕开控制的问题，实现了简便、灵活的访问管理。0085本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。0086图6为本发明信息系统的访问管理装置实施例一的结构示意图，如图6所示，本实施。

40、例提供了一种信息系统的访问管理装置，可以具体执行上述方法实施例一中的各个步骤，此处不再赘述。本实施例提供的信息系统的访问管理装置可以具体包括第一校验模块601、第一添加模块602和第二校验模块603。其中，第一校验模块601用于根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器。第一添加模块602用于根据来自所述DNS服务器的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中。第二校验模块603用于根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问信息系。

41、统服务器中的信息系统资源。0087图7为本发明信息系统的访问管理装置实施例二的结构示意图，如图7所示，本实施例提供了一种信息系统的访问管理装置，可以具体执行上述方法实施例二中的各个步骤，此处不再赘述。本实施例提供的信息系统的访问管理装置在上述图6所示的基础之上，还可以包括接收模块701和第二添加模块702。接收模块701用于在所述客户端通过安全管理服务器的合法性认证后，接收所述安全管理服务器获取的用户有访问权限的信息系统对应的域名。第二添加模块702用于将所述信息系统对应的域名添加到允许解析域名表中。0088具体地，本实施例提供的信息系统的访问管理装置中的第一校验模块601可以具体包括获取单元。

42、611和第一校验单元621。获取单元611用于获取客户端发往DNS服务器的DNS请求报文，所述DNS请求报文中携带所访问的信息系统的域名。第一校验单元621用于校验所述信息系统的域名是否在所述允许解析域名表中，如果是，则将所述DNS请求报文转发到DNS服务器。0089具体地，本实施例提供的信息系统的访问管理装置中的第二校验模块603可以具体包括第二校验单元613和访问单元623。其中，第二校验单元613用于判断来自所述客户端的IP报文中携带的IP地址是否在所述可访问IP列表中，如果是，则将所述IP报文转发到信息系统服务器。访问单元623用于利用所述IP报文对所述信息系统服务器中的信息系统资源进。

43、行访问处理。0090进一步地，本实施例提供的信息系统的访问管理装置还可以包括清除模块703，清除模块703用于在所述客户端退出后，清空所述允许解析域名表和所述可访问IP列表。0091本实施例提供了一种信息系统的访问管理装置，通过对来自客户端的DNS请求报文进行截包处理，对该DNS请求报文中携带的域名进行校验处理，将校验通过的域名对应的DNS请求报文转发到DNS服务器；再对来自DNS服务器的DNS响应报文进行截包处理，将说明书CN102006286ACN102006299A9/9页12对应的IP地址添加到可访问IP列表中；再对来自客户端的IP报文进行截包处理，对IP报文进行校验处理，并将校验通过。

44、的IP报文转发到信息系统服务器，以对其中的信息系统资源进行访问处理；本实施例中整个信息系统的访问管理过程由接入交换机、客户端、DNS服务器和信息系统服务器自动完成，无需管理员手动管理，易于使用和管理，解决了现有技术中的访问控制方法难于使用、控制容易失效等缺陷，且解决了现有技术中手动修改计算机配置便可绕开控制的问题，实现了简便、灵活的访问管理。0092本实施例还提供了一种接入设备，可以具体为接入交换机，其可以包括上图6或图7所示的信息系统的访问管理装置。0093图8为本发明信息系统的访问管理系统实施例一的结构示意图，如图8所示，本实施例提供了一种信息系统的访问管理系统，可以具体执行上述方法实施例。

45、一中的各个步骤，此处不再赘述。本实施例提供的信息系统的访问管理系统可以具体包括DNS服务器1、信息系统服务器2和接入设备3。其中，接入设备3用于根据来自客户端的域名系统DNS请求报文中携带的域名进行校验处理，并将校验通过的DNS请求报文转发到DNS服务器1；根据来自DNS服务器1的DNS响应报文将所述校验通过的DNS请求报文中携带的域名对应的IP地址添加到可访问IP列表中；并根据来自所述客户端的IP报文和所述可访问IP列表进行校验处理，并允许校验通过的IP报文访问信息系统服务器2中的信息系统资源。DNS服务器1用于接收到所述校验通过的DNS请求报文后，向接入设备3返回DNS响应报文。0094图。

46、9为本发明信息系统的访问管理系统实施例二的结构示意图，如图9所示，本实施例提供了一种信息系统的访问管理系统，可以具体执行上述方法实施例二中的各个步骤，此处不再赘述。本实施例提供的信息系统的访问管理系统在上述图8所示的基础之上，还可以包括安全管理服务器4。其中，安全管理服务器4用于对所述客户端进行合法性认证，获取用户有访问权限的信息系统对应的域名，并将所述用户有访问权限的信息系统对应的域名发送到接入设备3。接入设备3还用于将接收到的所述用户有访问权限的信息系统对应的域名添加到允许解析域名表中。0095最后应说明的是以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行。

47、了详细的说明，本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。说明书CN102006286ACN102006299A1/5页13图1图2说明书附图CN102006286ACN102006299A2/5页14图3说明书附图CN102006286ACN102006299A3/5页15图4说明书附图CN102006286ACN102006299A4/5页16图5图6说明书附图CN102006286ACN102006299A5/5页17图7图8图9说明书附图CN102006286A。

展开阅读全文