一种在SSL VPN中对数字证书用户认证的方法

摘要

本发明涉及一种在SSL VPN中对数字证书用户认证的方法，将用户、数字证书、角色、资源结合起来，作为一个整体，通过配置不同的数字证书特征值、及相互关系，形成不同的用户组。其方法包含以下步骤：在SSL VPN网关上建立用户组和CA证书及特征值的关联，建立该用户组和内网资源的关联；SSL VPN网关收到证书用户的认证请求，并提取证书特征值；SSL VPN网关根据用户证书特征值匹配已配置的用户组，并授予用户相应的访问权限。使用本方法管理员不用配置用户，即可在数字证书认证通过后，使得基于特征值相匹配的用户组，获取访问内网资源的权限，操作简单、尤其在包含大量用户的应用场景中，可解决高效率地对数字证书用户进行授权的问题。

主权项

一种在SSL VPN中对数字证书用户认证的方法，其特征是，包含以下步骤：第一步、配置用户组：在SSL VPN上建立用户组，并与CA的根证书建立关联，并配置一个或多个特征值、以及配置特征值之间的关系，该特征值用于许可权限的CA；配置好的CA根证书和特征值在网关上具有唯一性；第二步、关联资源：通过角色，把用户组和资源关联起来，建立用户组和资源之间的对应关系；第三步、认证授权：在SSL VPN本地，用户登录VPN，通过证书合法性检验，再通过鉴别特征值，通过相匹配的用户组获取访问内网资源的权限；其中，所述特征值，包括一个或多个OU字段，一个email字段；所述鉴别特征值的方法是：提取用户证书上的OU字段和email字段，然后依据该用户证书所属的根证书，找到所有与该根证书相关的用户组，并把其OU字段和email字段与用户证书上的OU字段和email字段比较，用户从OU字段和email字段相匹配的用户组获取访问内网资源权限。