[实用新型]一种企业局域网中的应用服务器访问系统

说明书

技术领域

本实用新型是关于计算机安全管理技术，特别是关于计算机访问认证技术，具体的讲是关于一种企业局域网中的应用服务器访问系统。

背景技术

在金融、电信、税务等信息化程度比较高的行业中，往往群集了大量服务器，每天有大量的管理维护及业务人员访问这些服务器。为了满足安全内控的要求，需要对用户进行认证与授权。

现在的计算机设备一般都通过操作系统向设备访问者提供了功能丰富、友好的人机接口界面，支持复杂业务运营环境下的多用户访问，并提供了特定的用户认证与授权方法。对用户进行认证与授权的常用方法是在操作系统中建立不同的用户组，为设备访问者分配唯一的身份标识USER_ID和认证口令，将设备访问者的身份标识存储到操作系统相关用户组，在操作系统本地建立用户权限数据库。操作系统根据设备访问者输入的USER_ID及口令进行认证，搜索用户权限数据库，如果搜索到用户的USER_ID且口令核验结果正确，则从用户权限数据中检索出该用户的权限并将权限赋予该用户。

实用新型人在实现本实用新型的过程中，发现现有技术中至少存在如下不足：

用户组的类型一般是由操作系统根据访问资源定义，用户组的类型固定且数量较少(大多数操作系统只提供系统管理员组、普通用户组等几种粗粒度的用户组类型)，无法根据企业业务运营需求进行用户组类型的自定义。当某些业务只能由某些用户访问时，目前的认证与授权方式无法实现，只能将所有业务向访问用户提供访问，难以保证服务器信息的安全性。

用户认证时，采用一次性认证方式对访问者身份进行认证，使用单一的认证算法，认证的安全性不高；并且需要在整个用户权限数据库中进行搜索与比对，资源消耗较高，执行效率较低。

用户权限数据保存在计算机设备本地，需要分散管理与维护，成本较高。

实用新型内容

本实用新型实施例提供一种企业局域网中的应用服务器访问系统，采用分步递进认证方法，每步认证可采用不同认证方法，以克服现有技术一般采用的一次性身份认证的局限。

为了实现上述目的，在一个实施例中，提供一种企业局域网中的应用服务器访问系统，所述的系统包括：应用服务器，数据库服务器，服务器访问终端，身份认证装置及策略控制服务器；

所述的数据库服务器，身份认证装置，策略控制服务器通过企业局域网相互连接，所述的身份认证装置通过企业局域网与服务器访问终端相连接，所述的身份认证装置与应用服务器相连接；其中，

所述的数据库服务器包括：

用于存储用户标识的用户标识存储装置；

用于存储应用服务器分组标识的应用服务器分组标识存储装置；

用于存储用户口令的用户口令存储装置；及

用于存储业务分组标识的业务分组标识存储装置；

所述的服务器访问终端包括：

用于输入包含用户标识、用户口令、应用服务器分组标识、应用服务器标识及业务分组标识的应用服务器访问请求信息的请求信息输入装置；

用于访问应用服务器的应用服务器访问装置；

所述的身份认证装置包括：

用于接收所述服务器访问终端的发来的访问请求信息的信息接收装置；

用于将所述访问请求信息中的用户标识发送到所述的数据库服务器进行认证的用户标识认证装置；

用于根据所述的数据库服务器反馈的用户标识信息生成应用服务器分组认证开关查询状态信息的应用服务器开关查询信息生成装置；

用于将所述的应用服务器开关状态查询信息发送到所述策略控制服务器的应用服务器开关查询信息发送装置；

用于根据所述的策略控制服务器反馈的应用服务器分组认证开关开启信息将所述访问请求信息中的应用服务器分组标识发送到所述的数据库服务器进行认证的应用服务器分组认证装置；

用于根据所述的数据库服务器反馈的应用服务器分组信息将所述访问请求信息中的用户口令发送到所述的策略控制服务器进行口令信息转换的信息转换请求装置；

用于将所述的策略控制服务器反馈的口令转换信息发送到所述数据库服务器进行认证的口令认证装置；

用于根据所述的数据库服务器反馈的用户口令信息生成业务分组认证开关状态查询信息的业务开关状态查询信息生成装置；

用于将所述的业务开关状态查询信息发送到所述的策略控制服务器业务开关状态查询信息发送装置；

用于根据所述的策略控制服务器反馈的业务分组认证开关开启信息将所述访问请求信息中的业务分组标识发送到所述的数据库服务器进行认证的业务分组标识认证装置；