網絡接入的認證方法及裝置製造方法
2023-10-06 00:33:59 1
網絡接入的認證方法及裝置製造方法
【專利摘要】本發明公開一種網絡接入的認證方法及裝置,通過接收用戶觸發的以訪客身份訪問網絡的操作請求;識別所述訪客身份未得到認證時,將所述操作請求重定向至訪客認證頁面並顯示,供用戶基於顯示的所述訪客認證頁面輸入對應包含責任人特徵信息的認證信息;識別用戶輸入的認證信息是否合法;在識別用戶輸入的認證信息合法時,返回驗證信息至所述責任人特徵信息所指向的終端,供用戶輸入終端顯示的所述驗證信息;識別用戶輸入的所述終端顯示的所述驗證信息正確時,允許用戶以所述訪客身份按照預設的訪客權限訪問網絡;具有簡單、快捷地實現訪客基於企業終端訪問網絡的有益效果;同時,設置了訪客接入網絡的訪問權限,提高了企業信息的安全性。
【專利說明】網絡接入的認證方法及裝置
【技術領域】
[0001]本發明涉及網際網路領域,尤其涉及一種網絡接入的認證方法及裝置。
【背景技術】
[0002]目前企業出於防止內部重要信息洩露等方面的考慮,對於來訪人員訪問網際網路設置了一定的訪問權限;比如甲方重要客戶、廠商維護人員、應聘者、員工家屬等訪客進入一個企事業單位辦公場所,臨時需要上網時,訪客需申請上網權限;因為企事業單位基於防止信息洩密等方面的考慮,默認情況下是拒絕外來訪客上網的。而目前對於訪客申請上網權限的流程非常繁瑣,比如訪客需要內部員工協助,通過企業內部的辦公系統申請流程甚至直接到公司的網絡管理部門才能申請到上網帳號,且網絡管理人員也十分擔心訪客因訪問內網伺服器而獲取到內部機密數據信息的情況發生。
【發明內容】
[0003]鑑於此,有必要提供一種網絡接入的認證方法及裝置,以便捷地解決訪客申請上網權限的問題。
[0004]本發明實施例公開了一種網絡接入的認證方法,包括以下步驟:
[0005]接收用戶觸發的以訪客身份訪問網絡的操作請求;
[0006]識別所述訪客身份未得到認證時,將所述操作請求重定向至訪客認證頁面並顯示,供用戶基於顯示的所述訪客認證頁面輸入對應包含責任人特徵信息的認證信息;
[0007]識別用戶輸入的認證信息是否合法;
[0008]在識別用戶輸入的認證信息合法時,返回驗證信息至所述責任人特徵信息所指向的終端,供用戶輸入終端顯示的所述驗證信息;
[0009]識別所述驗證信息正確時,允許用戶以所述訪客身份按照預設的訪客權限訪問網絡。
[0010]優選地,所述允許用戶以所述訪客身份按照預設的訪客權限訪問網絡,包括:
[0011]允許用戶以所述訪客身份訪問網際網路,同時禁止用戶以所述訪客身份訪問區域網。
[0012]優選地,所述認證信息包括:
[0013]訪客姓名和訪客手機號碼,以及有權限訪問網際網路及所述區域網的責任人特徵信息;所述責任人特徵信息包括責任人姓名和責任人手機號碼。
[0014]優選地,所述識別用戶輸入的認證信息是否合法,包括:
[0015]識別是否能夠在已存儲的白名單中找到所述認證信息中的責任人姓名;
[0016]若能夠在已存儲的白名單中找到所述認證信息中的責任人姓名,則識別所述認證信息中責任人手機號碼與所述白名單中存儲的該責任人姓名對應的手機號碼是否一致;
[0017]若所述認證信息中的責任人手機號碼與所述白名單中該責任人姓名對應的手機號碼一致,則識別用戶輸入的所述認證信息合法。[0018]優選地,所述接收用戶觸發的以訪客身份訪問網絡的操作請求,之前還包括:
[0019]部署安全網關,配置用戶訪問網絡的所述訪客權限及所述白名單。
[0020]本發明實施例還公開一種網絡接入的認證裝置,包括:
[0021]請求獲取模塊,用於接收用戶觸發的以訪客身份訪問網絡的操作請求;
[0022]身份認證模塊,用於識別所述訪客身份未得到認證時,將所述操作請求重定向至訪客認證頁面並顯示,供用戶基於顯示的所述訪客認證頁面輸入對應包含責任人特徵信息的認證信息;識別用戶輸入的認證信息是否合法;在識別用戶輸入的認證信息合法時,返回驗證信息至所述責任人特徵信息所指向的終端,供用戶輸入終端顯示的所述驗證信息;並識別所述驗證信息的正確性;
[0023]網絡接入模塊,用於識別所述驗證信息正確時,允許用戶以所述訪客身份按照預設的訪客權限訪問網絡。
[0024]優選地,所述網絡接入模塊用於:
[0025]允許用戶以所述訪客身份訪問網際網路,同時禁止用戶以所述訪客身份訪問區域網。
[0026]優選地,所述認證信息包括:
[0027]訪客姓名和訪客手機號碼,以及有權限訪問網際網路及所述區域網的責任人特徵信息;所述責任人特徵信息包括責任人姓名和責任人手機號碼。
[0028]優選地,所述身份認證模塊用於:
[0029]識別是否能夠在已存儲的白名單中找到所述認證信息中的責任人姓名;
[0030]若能夠在已存儲的白名單中找到所述認證信息中的責任人姓名,則識別所述認證信息中責任人手機號碼與所述白名單中存儲的該責任人姓名對應的手機號碼是否一致;
[0031]若所述認證信息中的責任人手機號碼與所述白名單中該責任人姓名對應的手機號碼一致,則識別用戶輸入的所述認證信息合法。
[0032]優選地,本發明實施例網絡接入的認證裝置還包括:
[0033]信息配置模塊,用於部署安全網關,配置用戶訪問網絡的所述訪客權限及所述白名單。
[0034]本發明實施例接收用戶觸發的以訪客身份訪問網絡的操作請求;識別所述訪客身份未得到認證時,將所述操作請求重定向至訪客認證頁面並顯示,供用戶基於顯示的所述訪客認證頁面輸入對應包含責任人特徵信息的認證信息;識別用戶輸入的認證信息是否合法;在識別用戶輸入的認證信息合法時,返回驗證信息至所述責任人特徵信息所指向的終端,供用戶輸入終端顯示的所述驗證信息;識別用戶輸入的所述終端顯示的所述驗證信息正確時,允許用戶以所述訪客身份按照預設的訪客權限訪問網絡;相較於現有技術中,需要對訪客進行一系列的繁瑣手續才能允許訪客訪問網絡,本發明實施例具有簡單、快捷地實現訪客基於企業終端訪問網絡的有益效果;同時,設置了訪客接入網絡的訪問權限,提高了企業信息的安全性;進一步地,由於訪客基於企業內部責任人訪問網絡,因此具備了責任具體到個人的制度,提高了企業內部信息的防範強度;即使後續出現信息洩露的情況,也做到了有根可尋,更進一步地提高了企業內部信息的安全。
【專利附圖】
【附圖說明】[0035]圖1是本發明網絡接入的認證方法第一實施例流程示意圖;
[0036]圖2是本發明網絡接入的認證方法中顯示的認證頁面一實施例UI界面示意圖;
[0037]圖3是本發明網絡接入的認證方法第二實施例流程示意圖;
[0038]圖4是本發明網絡接入的認證方法中白名單一實施例UI界面示意圖;
[0039]圖5是本發明網絡接入的認證方法一具體應用環境中硬體部署結構示意圖;
[0040]圖6是本發明網絡接入的認證裝置第一實施例功能模塊示意圖;
[0041]圖7是本發明網絡接入的認證裝置第二實施例功能模塊示意圖。
[0042]本發明實施例目的的實現、功能特點及優點將結合實施例,參照附圖做進一步說明。
【具體實施方式】
[0043]以下結合說明書附圖及具體實施例進一步說明本發明的技術方案。應當理解,此處所描述的具體實施例僅僅用以解釋本發明,並不用於限定本發明。
[0044]圖1是本發明網絡接入的認證方法第一實施例流程示意圖;如圖1所示,本發明網絡接入的認證方法包括以下步驟:
[0045]步驟S01、接收用戶觸發的以訪客身份訪問網絡的操作請求;
[0046]安全網關接收用戶基於終端發送的接入網絡的操作請求時,識別發送該操作請求的用戶身份。以企業內部署的伺服器為例,當識別發送接入網絡的操作請求為員工身份且識別該員工身份合法時,允許該員工訪問對應權限的網絡。當識別發送接入網絡的操作請求為訪客時,對該用戶的訪客身份進行認證。比如,當某企業的訪客需要臨時上網時,接入到該企業的公司網絡,打開瀏覽器,輸入任何網址時,安全網關先判斷該用戶的訪客身份是否已得到認證。
[0047]步驟S02、識別訪客身份未得到認證時,將操作請求重定向至訪客認證頁面並顯
/Jn o
[0048]在安全網關識別所述訪客身份沒有得到認證時,安全網關將用戶發送的訪問網絡的操作請求重定向至認證頁面,並基於用戶發送訪問網絡操作請求的終端上將該認證頁面進行顯示,供用戶基於顯示的所述訪客認證頁面輸入對應的認證信息。本實施例中,所述認證信息包括訪客姓名和訪客手機號碼,以及有權限訪問網際網路及所述區域網的責任人姓名和責任人手機號碼。本實施例中,所述責任人可以理解為企業內部的員工,或者其他具有一定權限的管理人員。
[0049]在一優選的實施例中,所述認證頁面提供以下兩個選項供用戶選擇:「我是員工」和「我是訪客」。當用戶點擊「我是訪客」時,安全網關顯示訪客認證頁面並顯示。圖2是本發明網絡接入的認證方法中顯示的認證頁面一實施例n界面示意圖;在圖2所示的訪客認證界面上,用戶需在手機號碼輸入框中,輸入自己有效的手機號碼;如圖2所示的訪客認證界面上,若只有一個「用戶名」輸入框,則只需輸入責任人的姓名即可;若訪客認證界面上有兩個姓名輸入框「用戶名」、「訪客名」,則用戶需在用戶名輸入框中,輸入責任人的姓名後,對應在訪客名輸入框中,再輸入自己的姓名;同時,用戶需在「擔保人手機號碼」輸入框,輸入責任人的有效手機號碼;在用戶完成上述認證信息的輸入後,點擊「獲取驗證碼」控制項,等待接收安全網關返回的驗證碼信息。[0050]步驟S03、識別用戶輸入的認證信息是否合法;若是,則執行步驟S04 ;若否,則執行步驟S05 ;
[0051]步驟S04、返回驗證信息至責任人特徵信息所指向的終端;並繼續執行步驟S06 ;
[0052]步驟S05、發出認證信息錯誤的提示信息;
[0053]步驟S06、允許用戶以訪客身份按照預設的訪客權限訪問網絡。
[0054]在安全網關接收到用戶基於圖2顯示的UI界面點擊「獲取驗證碼」控制項所觸發的操作指令時,驗證用戶輸入的認證信息是否合法。在安全網關驗證用戶輸入的認證信息合法時,隨機生成驗證碼作為驗證信息發送至責任人特徵信息所指向的終端;用戶獲取所述終端顯示的驗證信息,並將所述驗證信息輸入圖2所示的「輸入收到的簡訊驗證碼」的信息輸入框,點擊「登錄」控制項;安全網關識別用戶輸入的驗證信息與自身發出的驗證信息是否一致,若二者一致,則允許用戶以訪客身份按照預設的訪客權限訪問網絡。若安全網絡識別用戶輸入的驗證信息與自身發出的驗證信息不一致,則提示用戶重新輸入。在一優選的實施例中,若安全網關檢測到在預設時長(如60秒)內,用戶仍未輸入正確的驗證信息或者未輸入任何驗證信息,則本次發送的驗證信息自動失效;同時,安全網關允許認證信息合法的用戶再次獲取驗證碼,並再次輸入獲取到的驗證碼。
[0055]若安全網關驗證用戶輸入的認證信息不合法,則發出認證信息錯誤的提示信息,以提示用戶輸入的認證信息不正確;此時,用戶可選擇重新輸入認證信息。
[0056]在一優選的實施例中,安全網關識別用戶輸入的驗證信息正確時,允許用戶以所述訪客身份按照預設的訪客權限訪問網絡,包括:僅允許用戶以合法的所述訪客身份訪問企業外網,同時禁止用戶訪問企業區域網即企業內網。
[0057]在一優選的實施例中,安全網關識別用戶輸入的認證信息是否合法,包括:
[0058]在安全網絡接收到用戶基於認證頁面輸入的認證信息時,查找預先存儲的責任人白名單;識別是否能夠在已存儲的白名單中找到所述認證信息中的責任人姓名及對應的責任人手機號碼;若能夠在白名單中找到所述認證信息中的責任人姓名和對應的責任人手機號碼,則識別用戶輸入的認證信息合法。
[0059]進一步地,為了保證信息的安全性,防止用戶隨意輸入的責任人姓名和隨意輸入的手機號碼恰好在白名單中一起出現,但二者不是配對的,即該責任人姓名對應的手機號碼並非白名單中存儲的該責任人對應的手機號碼;在驗證用戶輸入的認證信息是否合法時,安全網關還可以採用下述方式:
[0060]在已存儲的白名單中能夠找到所述認證信息中的責任人姓名時,同時識別所述認證信息中責任人手機號碼與所述白名單中存儲的該責任人姓名對應的手機號碼是否一致;若所述認證信息中的責任人手機號碼與所述白名單中該責任人姓名對應的手機號碼一致,則識別用戶輸入的所述認證信息合法。這樣,降低了用戶隨機輸入信息的巧合性,提高了對認證信息進行驗證的準確性。
[0061]基於本實施例的描述,步驟S04、返回驗證信息至責任人特徵信息所指向的終端,其中,責任人特徵信息所指向的終端可以理解為責任人手機號碼所對應的終端,即安全網關在驗證用戶輸入的認證信息合法時,將隨機生成的驗證信息發送至認證信息中責任人的手機號碼對應的終端上;用戶可以向責任人索取該驗證信息,並輸入獲取的驗證信息,以訪問網絡。[0062]本發明實施例接收用戶觸發的以訪客身份訪問網絡的操作請求;識別所述訪客身份未得到認證時,將所述操作請求重定向至訪客認證頁面並顯示,供用戶基於顯示的所述訪客認證頁面輸入對應包含責任人特徵信息的認證信息;識別用戶輸入的認證信息是否合法;在識別用戶輸入的認證信息合法時,返回驗證信息至責任人特徵信息所指向的終端,供用戶輸入終端顯示的所述驗證信息;識別用戶輸入的所述終端顯示的所述驗證信息正確時,允許用戶以所述訪客身份按照預設的訪客權限訪問網絡;具有簡單、快捷地實現訪客基於企業終端訪問網絡的有益效果;同時,設置了訪客接入網絡的訪問權限,提高了企業信息的安全性;進一步地,由於訪客基於企業內部責任人訪問網絡,因此具備了責任具體到個人的制度,提高了企業內部信息的防範強度;即使後續出現信息洩露的情況,也做到了有根可尋,更進一步地提高了企業內部信息的安全。
[0063]圖3是本發明網絡接入的認證方法第二實施例流程示意圖;本實施例與圖1所述實施例的區別是,在步驟S01、接收用戶觸發的以訪客身份訪問網絡的操作請求,之前增加了:
[0064]步驟S11、部署安全網關,配置用戶訪問網絡的訪客權限及白名單。
[0065]本實施例僅對步驟Sll進行具體描述,有關本發明網絡接入的認證方法所涉及的其它步驟請參照相關實施例的具體描述,在此不再贅述。
[0066]在網絡管理員部署完成安全網關後,安全網關設置用戶訪問網絡的訪客權限,同時設置白名單。圖4是本發明網絡接入的認證方法中白名單一實施例n界面示意圖;本實施例中,設置的白名單包括:責任人姓名、責任人的有效手機號碼及責任人所在部門。本實施例中,所述責任人即企業內部員工。
[0067]本實施例中,在網絡出口處部署安全網關裝置,部署安全網關可以以路由或者網橋的方式進行部署。如圖5所示,圖5是本發明網絡接入的認證方法一具體應用環境中硬體部署結構示意圖;本實施例中,將涉密內網伺服器放置於安全網關的DMZ(DemilitariZedZone,隔離區),同時配置訪客身份的用戶組不能訪問DMZ區,且認證通過的訪客身份的用戶只能訪問外網權限,然後在安全網關上配置企業信任的且有資格有能力為外來訪客申請上網權限的內部員工名單即白名單,白名單需包含該內部員工姓名、所在部門和手機號(如圖4所示)。然後外來訪客需要上網時接入內網,無內網伺服器訪問權限,輸入任何外網網頁均會重定向到認證頁面(如圖2所示);外來訪客基於圖2所示的認證界面輸入自己的用戶名和手機號與擔保人的用戶名和手機號之後,安全網關判斷該擔保人在系統預先設置的白名單中,則會將簡訊驗證碼發到擔保人手機中,訪客找擔保人獲取驗證碼,正確輸入後即可上網。
[0068]本實施例中,所述DMZ可以理解為是一個過濾的子網,DMZ在內部網絡和外部網絡之間構造了一個安全地帶。DMZ區則是為了解決安裝防火牆後外部網絡不能訪問內部網絡伺服器的問題,而設立的一個非安全系統與安全系統之間的緩衝區,這個緩衝區位於企業內部網絡和外部網絡之間的小網絡區域內。DMZ防火牆方案為要保護的內部網絡增加了一道安全防線,通常認為是非常安全的。同時它提供了一個區域放置公共伺服器,從而又能有效地避免一些互聯應用需要公開而與內部安全策略相矛盾的情況發生。
[0069]本實施例部署安全網關並設置訪客的訪問權限和白名單,為訪客提供了便捷的訪問通道。[0070]圖6是本發明網絡接入的認證裝置第一實施例功能模塊示意圖;如圖6所示,本發明網絡接入的認證裝置包括:請求獲取模塊01、身份認證模塊02和網絡接入模塊03。
[0071]請求獲取模塊01接收用戶基於終端發送的接入網絡的操作請求時,識別發送該操作請求的用戶身份。以企業內部署的伺服器為例,當請求獲取模塊01識別發送接入網絡的操作請求為員工身份且識別該員工身份合法時,允許該員工訪問對應權限的網絡。當請求獲取模塊01識別發送接入網絡的操作請求為訪客時,對該用戶的訪客身份進行認證。比如,當某企業的訪客需要臨時上網時,接入到該企業的公司網絡,打開瀏覽器,輸入任何網址時,請求獲取模塊01先判斷該用戶的訪客身份是否已得到認證。
[0072]在請求獲取模塊01識別所述訪客身份沒有得到認證時,身份認證模塊02將用戶發送的訪問網絡的操作請求重定向至認證頁面,並基於用戶發送訪問網絡操作請求的終端上將該認證頁面進行顯示,供用戶基於顯示的所述訪客認證頁面輸入對應的認證信息。本實施例中,所述認證信息包括訪客姓名和訪客手機號碼,以及有權限訪問網際網路及所述區域網的責任人姓名和責任人手機號碼。本實施例中,所述責任人可以理解為企業內部的員工,或者其他具有一定權限的管理人員。
[0073]在一優選的實施例中,所述認證頁面提供以下兩個選項供用戶選擇:「我是員工」和「我是訪客」。當用戶點擊「我是訪客」時,身份認證模塊02顯示訪客認證頁面並顯示。在圖2所示的訪客認證界面上,用戶需在手機號碼輸入框中,輸入自己有效的手機號碼;如圖2所示的訪客認證界面上,若只有一個「用戶名」輸入框,則只需輸入責任人的姓名即可;若訪客認證界面上有兩個姓名輸入框「用戶名」、「訪客名」,則用戶需在用戶名輸入框中,輸入責任人的姓名後,對應在訪客名輸入框中,再輸入自己的姓名;同時,用戶需在「擔保人手機號碼」輸入框,輸入責任人的有效手機號碼;在用戶完成上述認證信息的輸入後,點擊「獲取驗證碼」控制項,等待接收身份認證模塊02返回的驗證碼信息。
[0074]在身份認證模塊02接收到用戶基於圖2顯示的UI界面點擊「獲取驗證碼」控制項所觸發的操作指令時,驗證用戶輸入的認證信息是否合法。在身份認證模塊02驗證用戶輸入的認證信息合法時,隨機生成驗證碼作為驗證信息發送至責任人特徵信息所指向的終端;用戶獲取所述終端顯示的驗證信息,並將所述驗證信息輸入圖2所示的「輸入收到的簡訊驗證碼」的信息輸入框,點擊「登錄」控制項;身份認證模塊02識別用戶輸入的驗證信息與自身發出的驗證信息是否一致,若二者一致,則允許用戶以訪客身份按照預設的訪客權限訪問網絡。若身份認證模塊02識別用戶輸入的驗證信息與自身發出的驗證信息不一致,則提示用戶重新輸入。在一優選的實施例中,若身份認證模塊02檢測到在預設時長(如60秒)內,用戶仍未輸入正確的驗證信息或者未輸入任何驗證信息,則本次發送的驗證信息自動失效;同時,身份認證模塊02允許認證信息合法的用戶再次獲取驗證碼,並再次輸入獲取到的驗證碼。
[0075]若身份認證模塊02驗證用戶輸入的認證信息不合法,則發出認證信息錯誤的提示信息,以提示用戶輸入的認證信息不正確;此時,用戶可選擇重新輸入認證信息。
[0076]在一優選的實施例中,身份認證模塊02識別用戶輸入的驗證信息正確時,網絡接入模塊03允許用戶以所述訪客身份按照預設的訪客權限訪問網絡,包括:僅允許用戶以合法的所述訪客身份訪問企業外網,同時禁止用戶訪問企業區域網即企業內網。
[0077]在一優選的實施例中,身份認證模塊02識別用戶輸入的認證信息是否合法,包括:
[0078]在身份認證模塊02接收到用戶基於認證頁面輸入的認證信息時,查找預先存儲的責任人白名單;識別是否能夠在已存儲的白名單中找到所述認證信息中的責任人姓名及對應的責任人手機號碼;若能夠在白名單中找到所述認證信息中的責任人姓名和對應的責任人手機號碼,身份認證模塊02則識別用戶輸入的認證信息合法。
[0079]進一步地,為了保證信息的安全性,防止用戶隨意輸入的責任人姓名和隨意輸入的手機號碼恰好在白名單中一起出現,但二者不是配對的,即該責任人姓名對應的手機號碼並非白名單中存儲的該責任人對應的手機號碼;在驗證用戶輸入的認證信息是否合法時,身份認證模塊02還可以採用下述方式:
[0080]在已存儲的白名單中能夠找到所述認證信息中的責任人姓名時,同時識別所述認證信息中責任人手機號碼與所述白名單中存儲的該責任人姓名對應的手機號碼是否一致;若所述認證信息中的責任人手機號碼與所述白名單中該責任人姓名對應的手機號碼一致,則識別用戶輸入的所述認證信息合法。這樣,降低了用戶隨機輸入信息的巧合性,提高了對認證信息進行驗證的準確性。
[0081]基於本實施例的描述,身份認證模塊02返回驗證信息至責任人特徵信息所指向的終端,其中,責任人特徵信息所指向的終端可以理解為責任人手機號碼所對應的終端,即身份認證模塊02在驗證用戶輸入的認證信息合法時,將隨機生成的驗證信息發送至認證信息中責任人的手機號碼對應的終端上;用戶可以向責任人索取該驗證信息,並輸入獲取的驗證信息,以訪問網絡。
[0082]本發明實施例接收用戶觸發的以訪客身份訪問網絡的操作請求;識別所述訪客身份未得到認證時,將所述操作請求重定向至訪客認證頁面並顯示,供用戶基於顯示的所述訪客認證頁面輸入對應包含責任人特徵信息的認證信息;識別用戶輸入的認證信息是否合法;在識別用戶輸入的認證信息合法時,返回驗證信息至責任人特徵信息所指向的終端,供用戶輸入終端顯示的所述驗證信息;識別用戶輸入的所述終端顯示的所述驗證信息正確時,允許用戶以所述訪客身份按照預設的訪客權限訪問網絡;具有簡單、快捷地實現訪客基於企業終端訪問網絡的有益效果;同時,設置了訪客接入網絡的訪問權限,提高了企業信息的安全性;進一步地,由於訪客基於企業內部責任人訪問網絡,因此具備了責任具體到個人的制度,提高了企業內部信息的防範強度;即使後續出現信息洩露的情況,也做到了有根可尋,更進一步地提高了企業內部信息的安全。
[0083]圖7是本發明網絡接入的認證裝置第二實施例功能模塊示意圖。本實施例與圖6所述實施例的區別是,增加了信息配置模塊04 ;本實施例僅對信息配置模塊04進行具體描述,有關本發明網絡接入的認證裝置所涉及的其他模塊請參照相關實施例的具體描述,在此不再贅述。
[0084]如圖7所示,本發明網絡接入的認證裝置還包括:
[0085]信息配置模塊04,用於部署安全網關,配置用戶訪問網絡的訪客權限及白名單。
[0086]在信息配置模塊04基於網絡管理員的操作指令部署完成安全網關後,信息配置模塊04設置用戶訪問網絡的訪客權限,同時設置白名單,設置白名單的界面如圖4所示。本實施例中,信息配置模塊04設置的白名單包括:責任人姓名、責任人的有效手機號碼及責任人所在部門。本實施例中,所述責任人即企業內部員工。[0087]本實施例中,信息配置模塊04在網絡出口處部署安全網關裝置,信息配置模塊04部署安全網關可以以路由或者網橋的方式進行部署。如圖5所示,本實施例中,信息配置模塊04將涉密內網伺服器放置於安全網關的DMZ,同時配置訪客身份的用戶組不能訪問DMZ區,且認證通過的訪客身份的用戶只能訪問外網權限,然後在安全網關上配置企業信任的且有資格有能力為外來訪客申請上網權限的內部員工名單即白名單,白名單需包含該內部員工姓名、所在部門和手機號(如圖4所示)。然後外來訪客需要上網時接入內網,無內網伺服器訪問權限,輸入任何外網網頁均會重定向到認證頁面(如圖2所示);外來訪客基於圖2所示的認證界面輸入自己的用戶名和手機號與擔保人的用戶名和手機號之後,身份認證模塊02判斷該擔保人在系統預先設置的白名單中,則會將簡訊驗證碼發到擔保人手機中,訪客找擔保人獲取驗證碼,正確輸入後即可上網。有關DMZ區的具體描述請參照上述相關實施例的具體描述,在此不再贅述。
[0088]在一優選的實施例中,信息配置模塊04可以實時或者定時更新已存儲的白名單,以保證責任人及該責任人對應的手機號碼保持最新且有效。
[0089]本實施例部署安全網關並設置訪客的訪問權限和白名單,為訪客提供了便捷的訪問通道。
[0090]需要說明的是,在本文中,術語「包括」、「包含」或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者裝置不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者裝置所固有的要素。在沒有更多限制的情況下,由語句「包括一個……」限定的要素,並不排除在包括該要素的過程、方法、物品或者裝置中還存在另外的相同要素。
[0091 ] 上述本發明實施例序號僅僅為了描述,不代表實施例的優劣。
[0092]以上所述僅為本發明的優選實施例,並非因此限制其專利範圍,凡是利用本發明說明書及附圖內容所作的等效結構或等效流程變換,直接或間接運用在其他相關的【技術領域】,均同理包括在本發明的專`利保護範圍內。
【權利要求】
1.一種網絡接入的認證方法,其特徵在於,包括以下步驟: 接收用戶觸發的以訪客身份訪問網絡的操作請求; 識別所述訪客身份未得到認證時,將所述操作請求重定向至訪客認證頁面並顯示,供用戶基於顯示的所述訪客認證頁面輸入對應包含責任人特徵信息的認證信息; 識別用戶輸入的認證信息是否合法; 在識別用戶輸入的認證信息合法時,返回驗證信息至所述責任人特徵信息所指向的終端,供用戶輸入終端顯示的所述驗證信息; 識別所述驗證信息正確時,允許用戶以所述訪客身份按照預設的訪客權限訪問網絡。
2.如權利要求1所述的方法,其特徵在於,所述允許用戶以所述訪客身份按照預設的訪客權限訪問網絡,包括: 允許用戶以所述訪客身份訪問網際網路,同時禁止用戶以所述訪客身份訪問區域網。
3.如權利要求1或2所述的方法,其特徵在於,所述認證信息包括: 訪客姓名和訪客手機號碼,以及有權限訪問網際網路及所述區域網的責任人特徵信息;所述責任人特徵信息包括責任人姓名和責任人手機號碼。
4.如權利要求3所述的方法,其特徵在於,所述識別用戶輸入的認證信息是否合法,包括: 識別是否能夠在已存儲的白名單中找到所述認證信息中的責任人姓名; 若能夠在已存儲的白名單中找到所述認證信息中的責任人姓名,則識別所述認證信息中責任人手機號碼與所述白名單中存儲的該責任人姓名對應的手機號碼是否一致; 若所述認證信息中的責任人手機號碼與所述白名單中該責任人姓名對應的手機號碼一致,則識別用戶輸入的所述認證信息合法。
5.如權利要求1或2所述的方法,其特徵在於,所述接收用戶觸發的以訪客身份訪問網絡的操作請求,之前還包括: 部署安全網關,配置用戶訪問網絡的所述訪客權限及白名單。
6.一種網絡接入的認證裝置,其特徵在於,包括: 請求獲取模塊,用於接收用戶觸發的以訪客身份訪問網絡的操作請求; 身份認證模塊,用於識別所述訪客身份未得到認證時,將所述操作請求重定向至訪客認證頁面並顯示,供用戶基於顯示的所述訪客認證頁面輸入對應包含責任人特徵信息的認證信息;識別用戶輸入的認證信息是否合法;在識別用戶輸入的認證信息合法時,返回驗證信息至所述責任人特徵信息所指向的終端,供用戶輸入終端顯示的所述驗證信息;並識別所述驗證信息的正確性; 網絡接入模塊,用於識別所述驗證信息正確時,允許用戶以所述訪客身份按照預設的訪客權限訪問網絡。
7.如權利要求6所述的裝置,其特徵在於,所述網絡接入模塊用於: 允許用戶以所述訪客身份訪問網際網路,同時禁止用戶以所述訪客身份訪問區域網。
8.如權利要求6或7所述的裝置,其特徵在於,所述認證信息包括: 訪客姓名和訪客手機號碼,以及有權限訪問網際網路及所述區域網的責任人特徵信息;所述責任人特徵信息包括責任人姓名和責任人手機號碼。
9.如權利要求8所述的裝置,其特徵在於,所述身份認證模塊用於:識別是否能夠在已存儲的白名單中找到所述認證信息中的責任人姓名; 若能夠在已存儲的白名單中找到所述認證信息中的責任人姓名,則識別所述認證信息中責任人手機號碼與所述白名單中存儲的該責任人姓名對應的手機號碼是否一致; 若所述認證信息中的責任人手機號碼與所述白名單中該責任人姓名對應的手機號碼一致,則識別用戶輸入的所述認證信息合法。
10.如權利 要求6或7所述的裝置,其特徵在於,還包括: 信息配置模塊,用於部署安全網關,配置用戶訪問網絡的所述訪客權限及白名單。
【文檔編號】H04L9/32GK103607372SQ201310363032
【公開日】2014年2月26日 申請日期:2013年8月19日 優先權日:2013年8月19日
【發明者】張武健 申請人:深信服網絡科技(深圳)有限公司