CN101034981A - 一种网络访问控制系统及其控制方法 - Google Patents
一种网络访问控制系统及其控制方法 Download PDFInfo
- Publication number
- CN101034981A CN101034981A CN 200610024460 CN200610024460A CN101034981A CN 101034981 A CN101034981 A CN 101034981A CN 200610024460 CN200610024460 CN 200610024460 CN 200610024460 A CN200610024460 A CN 200610024460A CN 101034981 A CN101034981 A CN 101034981A
- Authority
- CN
- China
- Prior art keywords
- personal computer
- access
- request
- client personal
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种网络访问控制系统,该系统包括安装在网络服务器上的网络重定向服务单元和网络访问控制代理单元、与网络访问控制代理单元连接的指纹认证及授权服务器以及配备指纹采集器的客户计算机。该系统通过网络访问控制代理单元实现了对网络服务器的访问控制,明显的优点是不需要改变客户的网络环境,不需要二次开发,只须经过简单的配置,即可完成网络浏览器与网络服务器之间交互信息的加密,以及对网络服务器的访问控制。其中通过PKI技术实现了传输和交互信息的保密性、完整性,通过指纹识别技术实现了用户的身份认证,通过统一的访问授权机制实现了对网络服务器的访问控制。
Description
技术领域:
本发明涉及一种网络访问控制系统。
背景技术:
为了控制用户对网络服务器的访问,传统的做法是在网络站点的每个页面中嵌入用户权限代码,该段代码通过访问数据库判断某个用户是否有权限访问该页面,由于每个页面都需要包含额外的代码,需要专门维护,存在着管理复杂,费用高的问题,而且不利于系统的扩展。为了在网络浏览器和网络服务器之间建立安全通信通道,传统的做法是将支持SSL通信的软件与网络服务器捆绑在一起,由于网络服务器的种类较多,配置起来各不相同,实现起来较为麻烦。基于上述技术中存在的问题,一些专门的SSL代理产品应运而生,但这些产品一般只提供SSL安全通信通道和用户的身份认证,极少有提供访问授权服务的,而且这些产品一般是以硬件方式实现,需要安装在网关上,大多时候需要改变客户的网络环境,另外,这些产品使用的身份认证方式主要是用户名/密码方式、动态口令、IC卡或USB Key,实际上这些身份认证方式或多或少都存在一些问题。
现行的身份认证技术主要有:用户名/密码方式、动态口令、IC卡认证、USB Key认证、生物特征认证等。用户名/密码是最简单也是最常用的身份认证方法,但密码容易被忘记,也容易被别人窃取,尽管现行系统通过要求用户及时改变他们的口令来防止盗用口令行为,但这种方法不但增加了用户的记忆负担,也不能从根本上解决问题;动态口令技术采用一次一密的方法,有效保证了用户身份的安全性,但是如果客户端与服务器端的时间或次数不能保持良好的同步,就可能发生合法用户无法登录的问题,并且用户每次登录时需要通过键盘输入一长串无规律的密码,一旦输错就要重新操作,使用起来非常不方便;IC卡是一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,IC卡由合法用户随身携带,登录时必须将IC卡插入专用的读卡器读取其中的信息,以验证用户的身份,然而由于每次从IC卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患;USB Key作为数字证书的存储介质,主要用于PKI环境下的网络身份认证,这类产品是建立在CA认证中心模式下的,需要建立认证证书管理中心、密钥分发和管理中心以及CA认证中心,该方法投入大,日常管理费用高,密钥分发和管理十分繁琐,另外,CA认证中心是区域性的,如果用户出差到其他国家,则CA模式不能为这些用户服务;生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术,具有不被遗忘、防伪性能好、不易伪造或被盗、随身“携带”和随时随地可用等优点。
发明内容:
本发明的一个目的是提供一种能够克服上述缺陷的利用指纹身份进行认证的网络访问控制系统。
为了实现上述目的,本发明的技术方案是:一种网络访问控制系统,包括客户端个人计算机,服务器端的网络服务器,客户端个人计算机通过互联网与服务器端的网络服务器相连接,其特征在于该网络访问控制系统还包括指纹采集器,安装在客户端个人计算机上,用来采集指纹信息;指纹认证及授权服务器,与网络服务器连接,用来存放用户的指纹数据和访问权限列表,并对指纹采集器采集到的指纹信息进行认证;网络访问控制代理单元,安装在网络服务器上,与指纹认证及授权服务器连接;和网络重定向服务单元,安装在网络服务器上,用来迫使客户端个人计算机必须通过网络访问控制代理单元才能访问网络服务器。
本发明的另一目的是提供一种能够克服上述缺陷的利用指纹身份进行认证的网络访问控制方法。
一种网络访问控制方法,它的硬件包括客户端个人计算机,服务器端的网络服务器,其特征在于个人计算机上安装有指纹采集器,网络服务器上安装有网络重定向服务单元和网络访问控制代理单元,网络服务器与指纹认证及授权服务器连接,该网络访问控制方法包含以下步骤:
1)客户端个人计算机向网络服务器提交访问请求;
2)网络重定向服务单元将客户端个人计算机的访问请求重定向至网络访问控制代理单元;
3)客户端个人计算机将指纹采集器现场采集的指纹信息传送给网络服务器,即传送到网络访问控制代理单元;
4)网络访问控制代理单元请求指纹认证及授权服务器验证指纹,指纹认证及授权服务器对指纹采集器采集到的指纹信息进行认证,并将认证结果回复给客户端个人计算机。
本发明通过网络访问控制代理单元实现了对网络服务器的访问控制,明显的优点是不需要改变客户的网络环境,不需要二次开发,只须经过简单的配置,即可完成网络浏览器与网络服务器之间交互信息的加密,以及对网络服务器的访问控制。其中通过PKI技术实现了传输和交互信息的保密性、完整性,通过指纹识别技术实现了用户的身份认证,通过统一的访问授权机制实现了对网络服务器的访问控制。
附图说明:
图1为本发明一实施例的结构框图
图2为用户在个人计算机上访问网络服务器的序列图
图3为网络重定向服务单元的方框图
图4为网络访问控制代理单元的方框图
图5为指纹认证及授权服务器的方框图
具体实施方式:
下面结合附图和实施例对本发明进一步的描述。
一种网络访问控制系统,包括客户端个人计算机1,服务器端的网络服务器2,其特征在于该网络访问控制系统还包括指纹采集器3,该指纹采集器3安装在客户端个人计算机1上,用来采集指纹信息;指纹认证及授权服务器4与网络服务器2连接,用来存放用户的指纹数据和访问权限列表,并对由网络服务器2传送的指纹采集器3新采集到的指纹信息进行认证;网络访问控制代理单元5,安装在网络服务器2上,并与指纹认证及授权服务器4连接;网络重定向服务单元6,安装在网络服务器2上,用来迫使客户端个人计算机1必须通过网络访问控制代理单元5才能访问网络服务器2。
根据本发明的一个实施例,该网络重定向服务单元6是以软件来实现的,图3中示出了网络重定向服务单元6的流程图。网络重定向服务单元6包括以下模块:A、从网络层收到数据(301);B、对数据进行解析,得到目标IP地址和目标TCP地址(302);C、判断是否是到网络服务器2的Http请求(303);D、如C模块的结果为是,则记录下该请求,并构造一个新的数据包(包含一个无效的请求)交给协议层(304);E、协议层将数据包发送到网络服务器2(305);F、网络服务器2得到一个无效的请求,并回复该请求无效(306);G、得到网络协议层传过来的数据(307);H、判断该数据是否是记录的请求回复(308);I、如H模块的结果为是,则构造一个Https的重定向数据包交给网络层发送出去(309);J、如C模块的结果为否或H模块的结果为否,则不作任何处理,直接交给协议层(310)。
根据本发明的一个实施例,该网络访问控制代理单元5是以软件来实现的,图4中示出了网络访问控制代理单元5的流程图。网络访问控制代理单元5包括以下模块:a、将受保护的URI列表、用户权限列表装入到缓存中(401);b、得到客户端个人计算机1的访问请求(402);c、判断客户端个人计算机1的请求是否是登录URI(403);d、如c模块的结果为是,则读登录页面模板文件(404);e、登录页面模板返回给客户端个人计算机1(405);f、如c模块的结果为否,则判断客户端个人计算机1的请求是否为登录请求(406);g、如f模块的结果为是,则得到客户端个人计算机1的登录数据(用户ID和用户的指纹特征数据)(407);h、将用户ID和用户的指纹特征数据发送到指纹认证及授权服务器4进行指纹认证(408);i、判断是否通过指纹身份认证(409);j、如i模块的结果为否,则返回给用户登录失败的信息(410);k、如f模块的结果为否,则判断客户端个人计算机1所请求的URI是否受保护(411);l、如k的结果为是,则判断用户是否已经登录(412);m、如l模块的结果为否,则构造一个重定向到登录页面的数据包(包括客户计算机请求URI模块的Cookie),回复给客户端个人计算机1(413);n、如k的结果为否或l模块的结果为否,则将客户端个人计算机1的请求交给网络服务器2(414);o、得到网络服务器2的回复(415);p、并将网络服务器2的回复信息返回给客户端个人计算机1(416);q、如i模块的结果为是,则判断客户端个人计算机1是否有权访问Cookie中记录的原始请求URI(417);r、如q模块的结果为是,则构造一个重定向到Cookie中指定URI模块的数据包,回复给客户端个人计算机1(418);s、如q模块的结果为否,则返回给客户端个人计算机1用户权限不够的信息(419)。
根据本发明的一个实施例,该指纹认证及授权服务器4是一台独立的计算机,上面安装了一个提供指纹认证及授权服务的软件包,图5中示出了指纹认证及授权服务器4的流程图。指纹认证及授权服务器4包括以下模块:a、得到网络访问控制代理单元5的访问请求(501);b、对请求进行判别(502);c、如b模块的结果是指纹认证请求,则从数据库中得到用户先前注册的指纹(503);d、与用户输入的指纹进行必对(504);e、返回比对结果给网络访问控制代理单元5(505);f、如b模块的结果是装载访问控制列表的请求,则从数据库中得到访问控制列表(506);g、返回访问控制列表给网络访问控制代理单元5(507);h、如b模块的结果是其它请求,则返回请求无效(508)。
图2为用户在客户计算机上访问网络服务器的序列图。a、客户端个人计算机1提交http访问请求(201);b,安装在网络服务器2上的网络重定向服务单元6将http请求重定向到https(202);c、客户端个人计算机1自动提交https访问请求(203);d、安装在网络服务器2上的网络访问控制代理单元5记录访问请求为初始请求,并重定向到登录URI(204);e、客户端个人计算机1访问登录页面(205);f、网络访问控制代理单元5返回登录页面(206);g、客户端个人计算机1通过登录页面提交用户ID、现场采集的指纹特征数据(207);h、网络访问控制代理单元5请求指纹认证及授权服务器4验证指纹(208);i、指纹认证及授权服务器4返回指纹认证的结果(209);j、登录完成,网络访问控制代理单元5返回重定向到初始请求的数据包(210);k、客户端个人计算机1通过https访问初始请求(211);l、网络访问控制代理单元5将初始请求提交到网络服务器2(212);m、网络服务器2返回初始请求的内容(213);n、网络访问控制代理单元5将初始请求的内容回复给客户端个人计算机1(214)。
系统的工作流程是:用户在客户端个人计算机1上,打开浏览器,输入要访问的URI,按回车,这时,客户端个人计算机1会将用户的请求提交到网络服务器2,安装在网络服务器2上的网络重定向服务单元6首先截获客户端个人计算机1的请求,如果该请求不是访问网络服务器的443端口的,则网络重定向服务单元6对客户端个人计算机1的请求产生一个回复,回复要求客户端个人计算机1通过443端口访问该URI,这时,客户端个人计算机1上的浏览器自动将请求转到443端口上,这样,安装在网络服务器2上的网络访问控制代理单元5就得到了客户端个人计算机1的访问请求,如果网络访问控制代理单元5发现该用户没有登录,则网络访问控制代理单元5将客户端个人计算机1的请求URI作为一个Cookie连同一个指纹登录页面一起返回给客户端个人计算机1,指纹登录页面上要求输入用户的ID号和用户的现场指纹特征数据,现场指纹特征数据可以从指纹采集器3上得到(指纹采集器通过USB接口连接在客户计算机上)。当客户端个人计算机1进行指纹登录,网络访问控制代理单元5得到了登录请求后,首先与指纹认证及授权服务器4连接,并请求指纹认证及授权服务器4将用户的登录指纹与先前登记的指纹进行指纹验证,如果指纹认证通过,则从客户端个人计算机1提交的Cookie中得到原始请求URI,并在用户权限列表中判断用户的访问权限,如果用户有权访问该URI,则网络访问控制代理单元5从网络服务器2中将该URI模块的内容取回,由网络访问控制代理单元5将数据回复给客户端个人计算机1。如果在上述认证过程中,有任何的不符合,则网络访问控制代理单元5直接回应客户端个人计算机相应的信息。参见图2,图2为用户在客户计算机上访问网络服务器的序列图。
所述网络重定向服务单元6安装在网络服务器2上,挂接在协议设备对象(包括TCP/IP设备对象)和网卡设备对象之间,任何进出网卡的网络封包,均必须首先经过网络重定向服务单元6的处理。如果客户端个人计算机1请求是通过Http协议防问网络服务器2的特定端口的,例如80或8080等,则网络重定向服务单元6将客户端个人计算机1的请求重定向到443端口,这样客户端个人计算机1便不能直接访问网络服务器2,而是被强制使用SSL协议访问网络访问控制代理单元5了,如此一来,网络访问控制代理单元5就成了客户端个人计算机1与网络服务器2之间的唯一一个桥梁,换句话说,就是客户端个人计算机1必须通过网络访问控制代理单元5才能访问网络服务器2。
网络重定向服务单元6从网卡设备对象得到数据后,首先对得到的数据进行分析,如果该数据使用的不是HTTP协议,则网络重定向服务单元6不作任何处理,直接将数据交给协议层,如果使用的是HTTP协议,则从中分析得到数据包的目标IP地址、目标TCP地址和请求的URI,如果该数据包的目的地是特定网络服务器的特定端口(例如80或8080等),则网络重定向服务单元6记录下该数据包的相关内容(包括源IP地址、源TCP地址和请求的URI),并构造一个包含无效的Http请求的数据包交给协议层,协议层会自动将这个包含无效的Http请求的数据包提交上层设备对象,直到网络服务器2得到了一个无效的请求,网络服务器2会作出一个回应,该回应最终会通过协议层交给网络重定向服务单元6,网络重定向服务单元6对该回应进行解析,如果该回应的目标地址与先前记录的源IP地址和源TCP地址相一致,则网络重定向服务单元6根据网络服务器4回应的Http版本号和先前记录的请求URI构造一个重定向到443端口的Http回应,然后交给网卡设备对象,网卡设备对象会将该回应发送到客户端个人计算机1中,最终,客户端个人计算机1会自动提交同样的请求(只是目标端口变成了443)。
所述网络访问控制代理单元一运行,就与指纹认证及授权服务器4相连接,取回受保护的URI列表和用户权限列表,装入到缓存中,然后在443端口侦听客户端个人计算机1的请求。当网络访问控制代理单元5得到客户端个人计算机1的访问请求后,首先判断客户端个人计算机1请求URI模块的类别,如果是登录URI,则网络访问控制代理单元5读取指纹登录页面的模板文件,然后将登录页面模板文件的内容返回给客户端个人计算机1。如果是指纹登录页面的提交,则网络访问控制代理单元5从客户端个人计算机1提交的数据中分析得到用户ID和用户的指纹特征数据,然后将用户ID和指纹特征数据交给指纹认证及授权服务器4,由指纹认证及授权服务器4根据用户ID从数据库中查询得到该用户先前登记的指纹特征数据,并通过一个特定的算法对两个指纹特征数据进行验证,如果通过了指纹认证,则网络访问控制代理单元5从客户端个人计算机1请求的Cookie中得到原始请求URI,并在缓存中检索该用户是否有权访问该URI,如果有权访问,则构造一个重定向数据包,返回给客户端个人计算机1,客户端个人计算机1会重新提交该请求,不同的是,这次提交的请求中包含了已经登录的Cookie信息。如果客户端个人计算机1的请求既不是登录页面也不是提交登录页面,则判断该URI是否受保护,如果不受保护,网络访问控制代理单元5就将该请求直接提交给网络服务器2,得到网络服务器2的回复后,网络访问控制代理单元5将网络服务器2的回复直接转发给客户端个人计算机1,如果受保护,则从客户端个人计算机1提交的请求中所包含的Cookie信息判断用户是否已经登录,如果用户已经登录,则判断该用户是否有权访问该URI,如果权限允许,则网络访问控制代理单元5就将该请求直接提交给网络服务器2,得到网络服务器2的回复后,网络访问控制代理单元5将网络服务器2的回复直接转发给客户端个人计算机1,如果没有登录,则网络访问控制代理单元5将客户端个人计算机1请求的URI作为一个Cookie连同一个指纹登录页面一起返回给客户端个人计算机1,等待客户端个人计算机1的登录。
本发明作为一种网络访问控制方法,它的硬件包括客户端个人计算机1,服务器端的网络服务器2,其特征在于个人计算机上安装有指纹采集器3,网络服务器3上安装有网络重定向服务单元6和网络访问控制代理单元5,网络服务器与指纹认证及授权服务器4连接,该网络访问控制方法包含以下步骤:
1)客户端个人计算机1向网络服务器2提交访问请求;
2)网络重定向服务单元6将客户端个人计算机1的访问请求重定向至网络访问控制代理单元5;
3)客户端个人计算机1将指纹采集器3现场采集的指纹信息传送给网络服务器2,即传送到网络访问控制代理单元5;
4)网络访问控制代理单元5请求指纹认证及授权服务器4验证指纹,指纹认证及授权服务器4对指纹采集器3采集到的指纹信息进行认证,并将认证结果回复给客户端个人计算机1。
本发明实施例中的步骤3)包括以下步骤:A、从网络层收到数据;B、对数据进行解析,得到目标IP地址和目标TCP地址;C、判断是否是到网络服务器的Http请求;D、如C步骤的结果为是,则记录下该请求,并构造一个新的数据包交给协议层;E、协议层将数据包发送到网络服务器;F、网络服务器得到一个无效的请求,并回复该请求无效;G、得到网络协议层传过来的数据;H、判断该数据是否是记录的请求回复;I、如H步骤的结果为是,则构造一个Https的重定向数据包交给网络层发送出去;J、如C步骤的结果为否或H步骤的结果为否,则不作任何处理,直接交给协议层。
本发明实施例中的步骤4)包括以下步骤:a、将受保护的URI列表、用户权限列表装入到缓存中;b、得到客户端个人计算机的访问请求;c、判断客户端个人计算机的请求是否是登录URI;d、如c步骤的结果为是,则读登录页面模板文件;e、登录页面模板返回给客户端个人计算机;f、如c步骤的结果为否,则判断客户端个人计算机的请求是否为登录请求;g、如步骤f模块的结果为是,则得到客户端个人计算机的登录数据;h、将用户ID和用户的指纹特征数据发送到指纹认证及授权服务器进行指纹认证;i、判断是否通过指纹身份认证;j、如I步骤的结果为否,则返回给用户登录失败的信息;k、如f步骤的结果为否,则判断客户端个人计算机所请求的URI是否受保护;l、如k步骤的结果为是,则判断用户是否已经登录;m、如l步骤的结果为否,则构造一个重定向到登录页面的数据包,回复给客户端个人计算机;n、如k步骤的结果为否或l步骤的结果为否,则将客户端个人计算机的请求交给网络服务器;o、得到网络服务器的回复;p、并将网络服务器的回复信息返回给客户端个人计算机;q、如I步骤的结果为是,则判断客户端个人计算机是否有权访问Cookie中记录的原始请求URI;r、如q步骤的结果为是,则构造一个重定向到Cookie中指定URI模块的数据包,回复给客户端个人计算机;s、如q步骤的结果为否,则返回给客户端个人计算机用户权限不够的信息。
其中步骤h包括以下步骤:I、得到网络访问控制代理单元的访问请求;II、对请求进行判别;III、如II的结果是指纹认证请求,则从数据库中得到用户先前注册的指纹;IV、与用户输入的指纹进行必对;V、返回比对结果给网络访问控制代理单元;VI、如II模块的结果是装载访问控制列表的请求,则从数据库中得到访问控制列表;VII、返回访问控制列表给网络访问控制代理单元; VIII、如II的结果是其它请求,则返回请求无效。
在本发明中,对客户端个人计算机、网络服务器和指纹认证及授权服务器的要求是:
CPU要达到Pentium 500MHz以上;
内存最少需要256MB;
硬盘剩余空间100MB;
装有CD-ROM或DVD-ROM驱动器;
USB插口(连接指纹采集仪);
Windows 2000/XP/2003操作系统。
术语
1、Cookie,一条极为短小的信息,能够被网站服务器自动地放置在一台计算机的硬盘中。通过Cookie网站服务器可以识别用户是否已经登录过。
2、URI,Uniform Resource Identifier的缩写。统一资源标识符,一个用来标识抽象或物理资源的简洁字符串,最常见的形式就是网页地址。
Claims (6)
1、一种网络访问控制系统,包括客户端个人计算机,服务器端的网络服务器,其特征在于该网络访问控制系统还包括:
指纹采集器,安装在客户端个人计算机上,用来采集指纹信息;
指纹认证及授权服务器,与网络服务器连接,用来存放用户的指纹数据和访问权限列表,并对指纹采集器采集到的指纹信息进行认证;
网络访问控制代理单元,安装在网络服务器上,与指纹认证及授权服务器连接;
网络重定向服务单元,安装在网络服务器上,用来迫使客户端个人计算机必须通过网络访问控制代理单元才能访问网络服务器。
2、如权利要求1所述的网络访问控制系统,其特征在于网络访问控制代理单元的接口为443端口。
3、一种网络访问控制方法,它的硬件包括客户端个人计算机,服务器端的网络服务器,其特征在于个人计算机上安装有指纹采集器,网络服务器上安装有网络重定向服务单元和网络访问控制代理单元,网络服务器与指纹认证及授权服务器连接,该网络访问控制方法包含以下步骤:
1)客户端个人计算机向网络服务器提交访问请求;
2)网络重定向服务单元将客户端个人计算机的访问请求重定向至网络访问控制代理单元;
3)客户端个人计算机将指纹采集器现场采集的指纹信息传送给网络服务器,即传送到网络访问控制代理单元;
4)网络访问控制代理单元请求指纹认证及授权服务器验证指纹,指纹认证及授权服务器对指纹采集器采集到的指纹信息进行认证,并将认证结果回复给客户端个人计算机。
4、如权利要求3所述的一种网络访问控制方法,其特征在于步骤4)包括以下步骤:a、将受保护的URI列表、用户权限列表装入到缓存中;b、得到客户端个人计算机的访问请求;c、判断客户端个人计算机的请求是否是登录URI;d、如c步骤的结果为是,则读登录页面模板文件;e、登录页面模板返回给客户端个人计算机;f、如c步骤的结果为否,则判断客户端个人计算机的请求是否为登录请求;g、如步骤f模块的结果为是,则得到客户端个人计算机的登录数据;h、将用户ID和用户的指纹特征数据发送到指纹认证及授权服务器进行指纹认证;i、判断是否通过指纹身份认证;j、如I步骤的结果为否,则返回给用户登录失败的信息;k、如f步骤的结果为否,则判断客户端个人计算机所请求的URI是否受保护;l、如k步骤的结果为是,则判断用户是否已经登录;m、如l步骤的结果为否,则构造一个重定向到登录页面的数据包,回复给客户端个人计算机;n、如k步骤的结果为否或l步骤的结果为否,则将客户端个人计算机的请求交给网络服务器;o、得到网络服务器的回复;p、并将网络服务器的回复信息返回给客户端个人计算机;q、如I步骤的结果为是,则判断客户端个人计算机是否有权访问Cookie中记录的原始请求URI;r、如q步骤的结果为是,则构造一个重定向到Cookie中指定URI模块的数据包,回复给客户端个人计算机;s、如q步骤的结果为否,则返回给客户端个人计算机用户权限不够的信息。
5、如权利要求3或4所述的一种网络访问控制方法,其特征在于步骤2)包括以下步骤:A、从网络层收到数据;B、对数据进行解析,得到目标IP地址和目标TCP地址;C、判断是否是到网络服务器的Http请求;D、如C步骤的结果为是,则记录下该请求,并构造一个新的数据包交给协议层;E、协议层将数据包发送到网络服务器;F、网络服务器得到一个无效的请求,并回复该请求无效;G、得到网络协议层传过来的数据;H、判断该数据是否是记录的请求回复;I、如H步骤的结果为是,则构造一个Https的重定向数据包交给网络层发送出去;J、如C步骤的结果为否或H步骤的结果为否,则不作任何处理,直接交给协议层。
6、如权利要求5所述的一种网络访问控制方法,其特征在于步骤h包括以下步骤:I、得到网络访问控制代理单元的访问请求;II、对请求进行判别;III、如II的结果是指纹认证请求,则从数据库中得到用户先前注册的指纹;IV、与用户输入的指纹进行比对;V、返回比对结果给网络访问控制代理单元;VI、如II模块的结果是装载访问控制列表的请求,则从数据库中得到访问控制列表;VII、返回访问控制列表给网络访问控制代理单元;VIII、如II的结果是其它请求,则返回请求无效。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610024460 CN101034981A (zh) | 2006-03-07 | 2006-03-07 | 一种网络访问控制系统及其控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610024460 CN101034981A (zh) | 2006-03-07 | 2006-03-07 | 一种网络访问控制系统及其控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101034981A true CN101034981A (zh) | 2007-09-12 |
Family
ID=38731301
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200610024460 Pending CN101034981A (zh) | 2006-03-07 | 2006-03-07 | 一种网络访问控制系统及其控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101034981A (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841537A (zh) * | 2010-04-13 | 2010-09-22 | 北京时代亿信科技有限公司 | 一种基于协议代理实现对文件共享访问控制方法及系统 |
| CN102195779A (zh) * | 2010-03-16 | 2011-09-21 | 邵宇 | Ad域管理平台的指纹认证方法 |
| CN101741860B (zh) * | 2009-11-27 | 2012-05-09 | 华中科技大学 | 一种计算机远程安全控制方法 |
| CN102769531A (zh) * | 2012-08-13 | 2012-11-07 | 鹤山世达光电科技有限公司 | 身份认证装置及其方法 |
| CN101616076B (zh) * | 2009-07-28 | 2013-01-23 | 武汉理工大学 | 一种基于用户连接信息的细粒度网络访问控制方法 |
| CN103179128A (zh) * | 2013-03-28 | 2013-06-26 | 国家电网公司 | 安卓平台浏览器与网站服务器间的通信安全增强代理系统 |
| CN103297392A (zh) * | 2012-02-27 | 2013-09-11 | 深圳市嘉乐祥珠宝饰品有限公司 | 指纹身份认证系统及认证方法 |
| CN103404103A (zh) * | 2011-01-28 | 2013-11-20 | F5网络公司 | 将访问控制系统与业务管理系统相结合的系统和方法 |
| CN103414562A (zh) * | 2013-08-02 | 2013-11-27 | 广州菁英信息技术有限公司 | 基于url指纹技术的用户权限控制方法及装置 |
| CN103828291A (zh) * | 2011-06-30 | 2014-05-28 | 深圳市君盛惠创科技有限公司 | 提供应用服务的方法、无线应用协议网关及系统 |
| CN103873446A (zh) * | 2012-12-17 | 2014-06-18 | 中航物联技术(北京)有限公司 | 一种登陆系统的方法 |
| CN104105095A (zh) * | 2011-06-30 | 2014-10-15 | 深圳市君盛惠创科技有限公司 | 一种无线应用协议网关 |
| CN104320399A (zh) * | 2014-10-29 | 2015-01-28 | 上海斐讯数据通信技术有限公司 | 一种服务端自动配置信息的方法 |
| CN105245554A (zh) * | 2015-11-24 | 2016-01-13 | 无锡江南计算技术研究所 | 一种云环境下的动态属性访问控制方法 |
| CN105282153A (zh) * | 2015-09-30 | 2016-01-27 | 北京奇虎科技有限公司 | 一种实现数据传输的方法及终端设备 |
| CN105407068A (zh) * | 2014-06-30 | 2016-03-16 | 优视科技有限公司 | 网络数据获取方法、装置和系统 |
| CN105407100A (zh) * | 2010-09-24 | 2016-03-16 | 维萨国际服务协会 | 使用通用id和生物特征的方法和系统 |
| US20160191522A1 (en) * | 2013-08-02 | 2016-06-30 | Uc Mobile Co., Ltd. | Method and apparatus for accessing website |
| CN106961439A (zh) * | 2017-03-31 | 2017-07-18 | 杭州迪普科技股份有限公司 | 一种https加密传输方法及装置 |
| WO2017124523A1 (zh) * | 2016-01-24 | 2017-07-27 | 何兰 | 访问文件时的信息推送方法以及指纹系统 |
| CN107005400A (zh) * | 2015-08-25 | 2017-08-01 | 华为技术有限公司 | 业务处理方法及装置 |
| CN107104929A (zh) * | 2016-02-23 | 2017-08-29 | 阿里巴巴集团控股有限公司 | 防御网络攻击的方法、装置和系统 |
| CN107113304A (zh) * | 2014-11-07 | 2017-08-29 | 奥兰治 | 加密数据交换上的中介委派 |
| CN107508805A (zh) * | 2017-08-10 | 2017-12-22 | 北京明朝万达科技股份有限公司 | 一种数据包处理方法及系统 |
| CN114967504A (zh) * | 2022-07-07 | 2022-08-30 | 广东长天思源环保科技股份有限公司 | 一种基于标识解析的环境监测运维平台 |
-
2006
- 2006-03-07 CN CN 200610024460 patent/CN101034981A/zh active Pending
Cited By (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616076B (zh) * | 2009-07-28 | 2013-01-23 | 武汉理工大学 | 一种基于用户连接信息的细粒度网络访问控制方法 |
| CN101741860B (zh) * | 2009-11-27 | 2012-05-09 | 华中科技大学 | 一种计算机远程安全控制方法 |
| CN102195779A (zh) * | 2010-03-16 | 2011-09-21 | 邵宇 | Ad域管理平台的指纹认证方法 |
| CN101841537A (zh) * | 2010-04-13 | 2010-09-22 | 北京时代亿信科技有限公司 | 一种基于协议代理实现对文件共享访问控制方法及系统 |
| CN101841537B (zh) * | 2010-04-13 | 2013-01-16 | 北京时代亿信科技有限公司 | 一种基于协议代理实现对文件共享访问控制方法及系统 |
| CN105407100A (zh) * | 2010-09-24 | 2016-03-16 | 维萨国际服务协会 | 使用通用id和生物特征的方法和系统 |
| CN103404103A (zh) * | 2011-01-28 | 2013-11-20 | F5网络公司 | 将访问控制系统与业务管理系统相结合的系统和方法 |
| CN103404103B (zh) * | 2011-01-28 | 2017-02-15 | F5网络公司 | 将访问控制系统与业务管理系统相结合的系统和方法 |
| CN104105095B (zh) * | 2011-06-30 | 2017-10-13 | 东莞市瑞腾电子科技有限公司 | 一种无线应用协议网关 |
| CN103828291A (zh) * | 2011-06-30 | 2014-05-28 | 深圳市君盛惠创科技有限公司 | 提供应用服务的方法、无线应用协议网关及系统 |
| CN104105095A (zh) * | 2011-06-30 | 2014-10-15 | 深圳市君盛惠创科技有限公司 | 一种无线应用协议网关 |
| CN103828291B (zh) * | 2011-06-30 | 2016-10-26 | 东莞市瑞腾电子科技有限公司 | 提供应用服务的方法 |
| CN103297392A (zh) * | 2012-02-27 | 2013-09-11 | 深圳市嘉乐祥珠宝饰品有限公司 | 指纹身份认证系统及认证方法 |
| WO2014026442A1 (zh) * | 2012-08-13 | 2014-02-20 | 鹤山世达光电科技有限公司 | 身份认证装置及其方法 |
| CN102769531A (zh) * | 2012-08-13 | 2012-11-07 | 鹤山世达光电科技有限公司 | 身份认证装置及其方法 |
| CN103873446A (zh) * | 2012-12-17 | 2014-06-18 | 中航物联技术(北京)有限公司 | 一种登陆系统的方法 |
| CN103179128A (zh) * | 2013-03-28 | 2013-06-26 | 国家电网公司 | 安卓平台浏览器与网站服务器间的通信安全增强代理系统 |
| CN103179128B (zh) * | 2013-03-28 | 2016-03-16 | 国家电网公司 | 安卓平台浏览器与网站服务器间的通信安全增强代理系统 |
| US20160191522A1 (en) * | 2013-08-02 | 2016-06-30 | Uc Mobile Co., Ltd. | Method and apparatus for accessing website |
| US11128621B2 (en) | 2013-08-02 | 2021-09-21 | Alibaba Group Holdings Limited | Method and apparatus for accessing website |
| US10778680B2 (en) * | 2013-08-02 | 2020-09-15 | Alibaba Group Holding Limited | Method and apparatus for accessing website |
| CN103414562B (zh) * | 2013-08-02 | 2017-07-11 | 广州市动景计算机科技有限公司 | 基于url指纹技术的用户权限控制方法及装置 |
| CN103414562A (zh) * | 2013-08-02 | 2013-11-27 | 广州菁英信息技术有限公司 | 基于url指纹技术的用户权限控制方法及装置 |
| CN105407068A (zh) * | 2014-06-30 | 2016-03-16 | 优视科技有限公司 | 网络数据获取方法、装置和系统 |
| CN105407068B (zh) * | 2014-06-30 | 2019-02-15 | 优视科技有限公司 | 网络数据获取方法、装置和系统 |
| CN104320399A (zh) * | 2014-10-29 | 2015-01-28 | 上海斐讯数据通信技术有限公司 | 一种服务端自动配置信息的方法 |
| CN107113304A (zh) * | 2014-11-07 | 2017-08-29 | 奥兰治 | 加密数据交换上的中介委派 |
| CN107005400B (zh) * | 2015-08-25 | 2020-08-07 | 华为技术有限公司 | 业务处理方法及装置 |
| CN107005400A (zh) * | 2015-08-25 | 2017-08-01 | 华为技术有限公司 | 业务处理方法及装置 |
| CN105282153A (zh) * | 2015-09-30 | 2016-01-27 | 北京奇虎科技有限公司 | 一种实现数据传输的方法及终端设备 |
| CN105245554B (zh) * | 2015-11-24 | 2018-04-10 | 无锡江南计算技术研究所 | 一种云环境下的动态属性访问控制方法 |
| CN105245554A (zh) * | 2015-11-24 | 2016-01-13 | 无锡江南计算技术研究所 | 一种云环境下的动态属性访问控制方法 |
| WO2017124523A1 (zh) * | 2016-01-24 | 2017-07-27 | 何兰 | 访问文件时的信息推送方法以及指纹系统 |
| CN107104929A (zh) * | 2016-02-23 | 2017-08-29 | 阿里巴巴集团控股有限公司 | 防御网络攻击的方法、装置和系统 |
| CN107104929B (zh) * | 2016-02-23 | 2021-03-09 | 阿里巴巴集团控股有限公司 | 防御网络攻击的方法、装置和系统 |
| CN106961439B (zh) * | 2017-03-31 | 2019-09-17 | 杭州迪普科技股份有限公司 | 一种https加密传输方法及装置 |
| CN106961439A (zh) * | 2017-03-31 | 2017-07-18 | 杭州迪普科技股份有限公司 | 一种https加密传输方法及装置 |
| CN107508805A (zh) * | 2017-08-10 | 2017-12-22 | 北京明朝万达科技股份有限公司 | 一种数据包处理方法及系统 |
| CN114967504A (zh) * | 2022-07-07 | 2022-08-30 | 广东长天思源环保科技股份有限公司 | 一种基于标识解析的环境监测运维平台 |
| CN114967504B (zh) * | 2022-07-07 | 2023-02-17 | 广东长天思源环保科技股份有限公司 | 一种基于标识解析的环境监测运维平台 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101034981A (zh) | 一种网络访问控制系统及其控制方法 | |
| KR100464755B1 (ko) | 이메일 주소와 하드웨어 정보를 이용한 사용자 인증방법 | |
| US8327421B2 (en) | System and method for identity consolidation | |
| US8141138B2 (en) | Auditing correlated events using a secure web single sign-on login | |
| US8955082B2 (en) | Authenticating using cloud authentication | |
| US7660880B2 (en) | System and method for automated login | |
| US7895319B2 (en) | Variable DNS responses based on client identity | |
| US20110314558A1 (en) | Method and apparatus for context-aware authentication | |
| US20090100270A1 (en) | Biometric authentication for remote initiation of actions and services | |
| CN1610292A (zh) | 能共同操作的凭证收集和访问模块度 | |
| CN111654468A (zh) | 免密登录方法、装置、设备及存储介质 | |
| CN1701315A (zh) | 数据库访问控制方法、控制装置及代理处理服务器装置 | |
| WO2001014974A2 (en) | System, method, and article of manufacture for identifying an individual and managing an individual's health records | |
| CN1520090A (zh) | 认证确实性和降低的系统和方法 | |
| CN1507203A (zh) | 用于对网络位置的子位置进行用户验证的方法和系统 | |
| CN1823513A (zh) | 用于升级到基于证书的认证而不打断现有ssl会话的方法和系统 | |
| JP2016523398A (ja) | アプリケーションの受動的セキュリティ | |
| JP4738183B2 (ja) | アクセス制御装置及びアクセス制御方法及びプログラム | |
| CN1929376A (zh) | 建立通用名身份认证系统并存储用户信息的方法 | |
| US8271785B1 (en) | Synthesized root privileges | |
| JPH11219340A (ja) | 認証管理装置及び認証管理システム | |
| WO2010017737A1 (zh) | 报表归一化处理方法、装置和系统 | |
| US20060248578A1 (en) | Method, system, and program product for connecting a client to a network | |
| US6611916B1 (en) | Method of authenticating membership for providing access to a secure environment by authenticating membership to an associated secure environment | |
| JP2008015733A (ja) | ログ管理計算機 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |