CN101465856A - 一种对用户进行访问控制的方法和系统 - Google Patents
一种对用户进行访问控制的方法和系统 Download PDFInfo
- Publication number
- CN101465856A CN101465856A CNA2008102474539A CN200810247453A CN101465856A CN 101465856 A CN101465856 A CN 101465856A CN A2008102474539 A CNA2008102474539 A CN A2008102474539A CN 200810247453 A CN200810247453 A CN 200810247453A CN 101465856 A CN101465856 A CN 101465856A
- Authority
- CN
- China
- Prior art keywords
- user
- terminal
- access control
- user profile
- address information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供了一种对用户进行访问控制的方法和系统,在接入网络中预先设置报文分析装置和策略管理装置,且策略管理装置中配置有用户信息与访问控制策略之间的对应关系;报文分析装置在用户登录过程中获取用户信息和用户所使用终端的IP地址信息,并将获取的用户信息和用户所使用终端的IP地址信息发送给策略管理装置;策略管理装置根据配置的对应关系,确定与接收到的用户信息对应的访问控制策略信息,并将确定的访问控制策略信息和用户所使用终端的IP地址信息发送给控制网关,以便控制网关利用访问控制策略信息对用户所使用终端进行访问控制。本发明能够更加简单地实现对用户的访问控制,且不会对控制网关造成压力。
Description
技术领域
本发明涉及网络通信技术,特别涉及一种对用户进行访问控制的方法和系统。
背景技术
随着互联网技术的迅猛发展,各种互联网应用层出不穷,为我们的工作和生活带来极大便利,但与此同时也带来一些负面影响。例如:在企业网络中员工使用点对点(P2P,Point to Point)应用会占用大量的网络资源,不但对企业网络的容量造成压力,也对其他员工的合法应用造成严重影响;即时通讯、网上炒股、网上购物等上网行为虽然占用的网络资源不大,但是会使得员工的工作效率下降;对非法网站的访问容易感染病毒和蠕虫,对企业网络造成破坏;使用Email等应用向外部随意发送文件会造成内部信息的泄漏对企业造成重大损失等等。可以看出,通过访问控制策略实时地对用户进行访问控制成为目前一个重要的需求。
现有技术中通过在汇聚交换机与出口路由器之间部署一台控制网关来实现对用户的访问控制,如图1所示,用户上线访问互联网时,控制网关通过预先配置的访问控制策略对用户进行访问控制并根据控制结果输出审计报表。但是,由于控制网关无法获取用户信息,只能基于用户终端的IP地址进行访问控制,无法与具体的用户相结合,由于用户所采用用户终端的IP地址会发生变化,因此,基于IP地址的访问控制方式并不能够满足实际的访问控制需求。
针对上述情况,目前提出了一种方法在控制网关上实现简单的认证功能,在对用户进行认证后获取用户信息,从而结合用户信息和用户终端的IP地址实现对用户的访问控制。但这种方法需要在控制网关上配置用户的认证信息对用户进行管理,但通常网络设备的CPU处理能力较弱,当控制网关需要管理的用户数量较大时,会对控制网关造成较大的压力,会造成控制网关配置复杂,故障率提高,严重时会控制网关的正常控制处理;并且,由于用户在登录过程中也需要在用户网络中进行认证,这种方式显然会带来两次登录的问题,实现起来较为麻烦。
发明内容
有鉴于此,本发明提供了一种对用户进行访问控制的方法和系统,以便于,简单地实现对用户的访问控制,且不会对控制网关造成压力。
一种对用户进行访问控制的方法,在接入网络中预先设置报文分析装置和策略管理装置,且所述策略管理装置中配置有用户信息与访问控制策略之间的对应关系;该方法包括:
所述报文分析装置在用户登录过程中获取用户信息和用户所使用终端的IP地址信息,并将获取的用户信息和用户所使用终端的IP地址信息发送给所述策略管理装置;
所述策略管理装置根据所述用户信息与访问控制策略之间的对应关系,确定与接收到的用户信息对应的访问控制策略信息,并将确定的访问控制策略信息和所述用户所使用终端的IP地址信息发送给控制网关,以便控制网关利用所述访问控制策略信息对所述用户所使用终端进行访问控制。
一种对用户进行访问控制的系统,该系统包括:报文分析装置和策略管理装置,且所述策略管理装置中配置有用户信息与访问控制策略之间的对应关系;
所述报文分析装置,用于在用户登录过程中获取用户信息和用户所使用终端的IP地址信息,并将获取的用户信息和用户所使用终端的IP地址信息发送给所述策略管理装置;
所述策略管理装置,用于根据所述用户信息与访问控制策略之间的对应关系,确定与接收到的用户信息对应的访问控制策略信息,并将确定的访问控制策略信息和接收到的所述用户所使用终端的IP地址信息发送给控制网关,以便控制网关利用所述访问控制策略信息对所述用户所使用终端进行访问控制。
由以上技术方案可以看出,本发明通过在接入网中设置报文分析装置和策略管理装置,其中报文分析装置在用户登录过程获取用户信息和用户所使用终端的IP地址信息,并将获取的用户信息和用户所使用终端的IP地址信息发送给策略管理装置,策略管理装置根据预先配置的用户信息与访问控制策略之间的对应关系,确定与接收到的用户信息对应的访问控制策略信息,并将确定的访问控制策略信息和所述用户所使用终端的IP地址信息发送给控制网关,以便控制网关利用访问控制策略信息对用户所使用终端进行访问。即通过报文分析装置和策略管理装置的配合,实现基于用户信息的访问控制策略下发,使得控制网关能够基于用户实现访问控制;并且,在策略管理装置中实现各用户的管理,控制网关仅用于进行访问控制,将用户管理和访问控制分离,减小了对控制网关造成的压力,使得控制网关的配置更加简单。
并且,本发明基于用户的访问控制实现,只需要在用户登录过程中进行一次认证处理,报文分析装置和策略管理装置在用户登录过程的一次认证处理中获取用户信息并确定用户信息对应的访问控制策略,并提供给控制网关,使得控制网关不需要通过二次认证来获取用户信息,避免了实现过程的麻烦。
附图说明
图1为现有技术中实现用户访问控制的示意图;
图2为本发明实施例提供的应用于远程用户拨号认证系统的组网结构图;
图3为本发明实施例提供的基于图2所示组网的方法流程图;
图4为本发明实施例提供的应用于域登录认证组网的结构图;
图5为本发明实施例提供的基于图4所示组网的方法流程图;
图6a为本发明实施例提供的第一种系统结构图;
图6b为本发明实施例提供的第二种系统结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明提供的方法在接入网络中设置报文分析装置和策略管理装置,且该策略管理装置中配置有用户信息与访问控制策略之间的对应关系;该方法主要包括:报文分析装置在用户登录过程中获取用户信息和用户所使用终端的IP地址信息,并将获取的用户信息和用户所使用终端的IP地址发送给策略管理装置;策略管理装置确定与该用户信息对应的访问控制策略信息,并将该访问控制策略信息和用户所使用终端的IP地址发送给控制网关。
下面分别举两个实施例对上述方法进行详细描述。
实施例一:对于如图2所示的远程用户拨号认证系统(RADIUS,RemoteAuthentication Dial In User Service)的组网结构时,可以在该组网中设置报文分析装置和策略管理装置,其中,策略管理装置中预先配置了用户信息与访问控制策略之间的对应关系。该方法的实现流程可以如图3所示,包括以下步骤:
步骤301:用户通过所使用的终端向认证设备发送认证请求。
本步骤中终端发送的认证请求可以是802.1X认证请求或者入口(Portal)认证请求,该认证请求中可以包含用户信息和终端的IP地址信息。例如,用户可以通过认证设备推送的Portal页面输入用户名、登录标识或用户密码等用户信息。
或者,认证请求中仅包含用户信息和终端的MAC地址信息,认证设备利用终端的MAC地址信息进行地址解析协议(ARP,Address ResolutionProtocol)侦听或动态主机配置协议(DHCP,Dynamic Host ConfigurationProtocol)侦听,从而获取用户所使用终端的IP地址信息。
步骤302:认证设备接收到用户发送的认证请求后,将终端的IP地址信息和用户信息携带在RADIUS认证请求中发送给RADIUS服务器。
上述两步骤与现有技术中相同,在此不再赘述。
步骤303:认证设备发送的RADIUS认证请求被前端交换机镜像发送给报文分析装置。
可以在认证设备和RADIUS服务器所连接的前端交换机上预先配置镜像端口,并配置一条命令,使得认证设备将终端的IP地址信息和用户信息携带在RADIUS认证请求中后,除了发送给RADIUS服务器之外,还镜像发送给报文分析装置。将RADIUS认证请求发送给RADIUS服务器和报文分析装置不存在限定的先后顺序,可以先后发送,也可以同时发送。
步骤304:RADIUS服务器接收到RADIUS认证请求后,根据其中携带的用户信息对用户进行认证,并在认证成功后,向RADIUS服务器发送认证成功响应。
步骤305:报文分析装置从接收到的RADIUS认证请求中分析出用户信息和用户所使用终端的IP地址。
步骤301、302和304是用户在接入网络之前的登录过程,报文分析装置在该登录过程中采用抓包的形式获取RADIUS认证请求来分析用户信息和用户所使用终端的IP地址。或者,报文分析装置还可以在登录过程中通过获取计费请求报文或计费更新报文等来分析用户信息和用户所使用终端的IP地址。通常将认证请求、计费请求或计费更新请求等在登录过程中的报文统称为认证计费报文。
步骤306:将分析出的用户信息和用户所使用终端的IP地址发送给策略管理装置。
步骤307:策略管理装置存储接收到的用户信息和用户所使用终端的IP地址之间的对应关系,并确定用户信息对应的访问控制策略。
步骤308:策略管理装置将确定的访问控制策略与用户所使用的终端的IP地址发送给控制网关,以便控制网关根据该访问控制策略对用户所使用的终端对互联网的访问进行控制。
在本发明中涉及的访问控制策略可以包括但不限于:URL过滤策略、应用控制策略、关键字过滤策略等。在策略管理装置中配置的用户信息和访问控制策略之间的对应关系中,访问控制策略可以采用策略类型和策略标识对(type,ID)等形式标识,在确定用户信息对应的访问控制策略后,将该策略的(type,ID)发送给控制网关。在策略管理装置上可以不配置各访问控制策略的具体内容,而仅配置(type,ID),而在控制网关上配置各(type,ID)所对应访问控制策略的具体内容,控制网关接收到(type,ID)后可以确定采用的具体访问控制策略内容。
由于对于一个用户可能会通式采用多个访问控制策略,因此,策略管理装置在发送给控制网关的一个IP地址可能会对应多个(type,ID)的集合。
控制网关接收到访问控制策略与用户所使用的终端的IP地址后,将两者的对应关系存储在控制网关的数据库中,用户使用终端对互联网进行访问时,控制网关可以根据该终端的IP地址采用该IP地址对应的访问控制策略对该用户所使用的终端进行访问控制。
另外,如果用户初次登录,则按照上述流程执行。用户下线后,策略管理装置保留存储的用户信息和IP地址之间的对应关系。如果用户下线后再次登录,如果用户所使用终端的IP地址发生变化,则策略管理装置重新下发控制策略和用户所使用终端的IP地址给控制网关;如果用户所使用终端的IP地址不发生变化,则策略管理装置可以不下发控制策略和用户所使用终端的IP地址给控制网关。即在步骤306和步骤307之间,还可以进一步包括:策略管理装置判断接收到的用户信息是否已经包含在自身存储的对应关系中,如果否,则继续执行步骤307;如果是,则进一步判断自身存储的该用户信息对应的IP地址是否和接收到的IP地址相同,如果是,则不执行步骤307和步骤308,否则,策略管理装置利用接收到的用户信息和IP地址信息更新存储的对应关系,并向控制网关发送访问控制策略和当前的IP地址信息。
实施例二:对于图4所示的域登录认证组网结构中,同样在该组网中设置报文分析装置和策略管理装置。其中,策略管理装置中预先配置了用户信息与访问控制策略之间的对应关系。该方法的实现流程可以如图5所示,包括以下步骤:
步骤501:用户通过所使用的终端向域控制器发送包含用户信息和终端IP地址信息的域登录请求。
步骤502:域控制器接收到域登录请求后,利用该域登录请求中的用户信息进行认证,并且该域登录请求被前端交换机重定向到报文分析装置。
可以在域控制器和报文分析装置连接的前端交换机上预先配置镜像端口,并配置一条命令,接收到域登录请求后将该登录请求通过预先配置的镜像端口重定向到报文分析装置。
步骤503:域控制器在认证成功后向用户所使用的终端回复认证成功响应。
以上过程是用户在接入网络之前的登录过程,与现有技术相同,在此不再赘述。
步骤504:报文分析装置从接收到的域登录请求中分析出用户信息和用户所使用终端的IP地址。
步骤505:报文分析装置将分析出的用户信息和用户所使用的终端的IP地址发送策略管理装置。
步骤506:策略管理装置存储接收到的用户信息和用户所使用终端的IP地址之间的对应关系,并确定用户信息对应的访问控制策略。
步骤507:策略管理装置将确定的访问控制策略与用户所使用的终端的IP地址发送给控制网关,以便控制网关根据该访问控制策略对用户所使用的终端对互联网的访问进行控制。
同样,在本发明中涉及的访问控制策略可以包括但不限于:URL过滤策略、应用控制策略、关键字过滤策略等。在策略管理装置中配置的用户信息和访问控制策略之间的对应关系中,访问控制策略可以采用策略类型和策略标识对(type,ID)等形式标识,在确定用户信息对应的访问控制策略后,将该策略的(type,ID)发送给控制网关。在策略管理装置上可以不配置各访问控制策略的具体内容,而仅配置(type,ID),而在控制网关上配置各(type,ID)所对应访问控制策略的具体内容,控制网关接收到(type,ID)后可以确定采用的具体访问控制策略内容。
由于对于一个用户可能会通式采用多个访问控制策略,因此,策略管理装置在发送给控制网关的一个IP地址可能会对应多个(type,ID)的集合。
控制网关接收到访问控制策略与用户所使用的终端的IP地址后,将两者的对应关系存储在控制网关的数据库中,用户使用终端对互联网进行访问时,控制网关可以根据该终端的IP地址采用该IP地址对应的访问控制策略对该用户所使用的终端进行访问控制。
同样,如果用户初次登录,则按照上述流程执行。用户下线后,策略管理装置保留存储的用户信息和IP地址之间的对应关系。如果用户下线后再次登录,如果用户所使用终端的IP地址发生变化,则策略管理装置重新下发控制策略和用户所使用终端的IP地址给控制网关;如果用户所使用终端的IP地址不发生变化,则策略管理装置可以不下发控制策略和用户所使用终端的IP地址给控制网关。即在步骤505和步骤506之间,还可以进一步包括:策略管理装置判断接收到的用户信息是否已经包含在自身存储的对应关系中,如果否,则继续执行步骤307;如果是,则进一步判断自身存储的该用户信息对应的IP地址是否和接收到的IP地址相同,如果是,则不执行步骤506和步骤507,否则,策略管理装置利用接收到的用户信息和IP地址信息更新存储的对应关系,并向控制网关发送新的访问控制策略和IP地址信息。
本发明除了可以应用于以上两个实施例的认证协议之外,还可以应用于轻量目录访问协议(LDAP,Lightweight Directory Access Protocol)等其他认证协议。
以上是对本发明所提供的方法进行的详细描述,下面对本发明所提供的系统进行详细描述。图6a为本发明实施例提供的系统结构图,如图6所示,该系统包括:报文分析装置601和策略管理装置602,且策略管理装置602中配置有用户信息与访问控制策略之间的对应关系。
其中,报文分析装置601,用于在用户登录过程中获取用户信息和用户所使用终端的IP地址信息,并将获取的用户信息和用户所使用终端的IP地址信息发送给策略管理装置602。
策略管理装置602,用于根据用户信息与访问控制策略之间的对应关系,确定与接收到的用户信息对应的访问控制策略信息,并将确定的访问控制策略信息和接收到的用户所使用终端的IP地址信息发送给控制网关,以便控制网关利用访问控制策略信息对用户所使用终端进行访问控制。
对应于不同的认证协议,该系统可以包括不同的组成结构,对应于RADIUS认证协议,该系统还可以包括:第一前端交换机603,用于将认证设备在用户登录过程中发送给RADIUS服务器的认证计费报文镜像发送给报文分析装置601。
报文分析装置601用于通过认证计费报文获取用户信息和用户所使用终端的IP地址信息。
此时对应的组网结构可以如图2所示。其中的认证计费报文可以是认证设备603发送给RADIUS服务器的RADIUS认证请求、计费请求或计费更新请求。
当对应于域登录认证协议时,该系统的结构可以如图6b所示,此时该系统还可以包括:第二前端交换机604,用于将将用户所使用终端在用户登录过程中发送的域登录报文重定向到报文分析装置601。
报文分析装置601通过域登录报文获取用户信息和用户所使用终端的IP地址信息。
此时的组网结构可以如图4所示。
另外,策略管理装置602,还可以用于存储接收到的用户信息和用户所使用终端的IP地址信息之间的对应关系,并在接收到用户信息和用户所使用终端的IP地址信息之后,判断自身存储的用户信息和用户所使用终端的IP地址信息之间的对应关系中是否已经包含接收到的用户信息,如果否,则继续执行确定与接收到的用户信息对应的访问控制策略信息的操作;如果是,则进一步判断存储的对应关系中,接收到的用户信息对应的IP地址信息是否与接收到的用户所使用终端的IP地址信息相同,如果是,则结束操作;否则,继续执行确定与接收到的用户信息对应的访问控制策略信息的操作,并利用接收到的用户所使用终端的IP地址信息更新策略管理装置存储的用户信息和用户所使用终端的IP地址信息之间的对应关系。
另外,该系统还可以包括:控制网关605,用于存储接收到的访问控制策略信息和用户所使用终端的IP地址信息之间的对应关系,并在用户所使用终端对互联网进行访问时,根据用户所使用终端的IP地址确定对应的访问控制策略,并利用确定的访问控制策略对用户所使用终端进行访问控制。
上述系统中的报文分析装置601和策略管理装置602可以分别设置为独立的装置,也可以设置在RADIUS服务器或域控制器中。
由以上描述可以看出,本发明提供的方法和系统与现有技术相比,具有以下优点:
1)本发明通过在接入网中设置报文分析装置和策略管理装置,其中报文分析装置在用户登录过程获取用户信息和用户所使用终端的IP地址信息,并将获取的用户信息和用户所使用终端的IP地址信息发送给策略管理装置,策略管理装置根据预先配置的用户信息与访问控制策略之间的对应关系,确定与接收到的用户信息对应的访问控制策略信息,并将确定的访问控制策略信息和所述用户所使用终端的IP地址信息发送给控制网关,以便控制网关利用访问控制策略信息对用户所使用终端进行访问。即通过报文分析装置和策略管理装置的配合,实现基于用户信息的访问控制策略下发,使得控制网关能够基于用户实现访问控制;并且,在策略管理装置中实现各用户的管理,控制网关仅用于进行访问控制,将用户管理和访问控制分离,减小了对控制网关造成的压力,使得控制网关的配置更加简单。
2)本发明基于用户的访问控制实现,只需要在用户登录过程中进行一次认证处理,报文分析装置和策略管理装置在用户登录过程的一次认证处理中获取用户信息并确定用户信息对应的访问控制策略,并提供给控制网关,使得控制网关不需要通过二次认证来获取用户信息,避免了实现过程的麻烦。
3)由于控制网关无需参与认证过程,使得控制网关可以按照原有的位置进行部署,避免了给网络部署带来的麻烦。
4)由于控制网关仅需要根据接收到的访问控制策略和用户所使用终端的IP地址进行访问控制操作,无需在控制网关上进行大量访问控制策略管理信息的配置,因此,可以实现策略管理装置对控制网关的统一管理,而不需登录到每台控制网关上进行逐一配置。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1、一种对用户进行访问控制的方法,其特征在于,在接入网络中预先设置报文分析装置和策略管理装置,且所述策略管理装置中配置有用户信息与访问控制策略之间的对应关系;该方法包括:
所述报文分析装置在用户登录过程中获取用户信息和用户所使用终端的IP地址信息,并将获取的用户信息和用户所使用终端的IP地址信息发送给所述策略管理装置;
所述策略管理装置根据所述用户信息与访问控制策略之间的对应关系,确定与接收到的用户信息对应的访问控制策略信息,并将确定的访问控制策略信息和所述用户所使用终端的IP地址信息发送给控制网关,以便控制网关利用所述访问控制策略信息对所述用户所使用终端进行访问控制。
2、根据权利要求1所述的方法,其特征在于,所述报文分析装置在用户登录过程中获取用户信息和用户所使用终端的IP地址信息具体包括:所述接入网络中前端交换机将认证设备在用户登录过程中发送给远程用户拨号认证系统RADIUS服务器的认证计费报文镜像发送给所述报文分析装置,所述报文分析装置通过所述认证计费报文获取所述用户信息和用户所使用终端的IP地址信息;或者,
所述接入网络中的前端交换机将所述用户所使用终端在用户登录过程中发送给域控制器的域登录报文重定向到所述报文分析装置;所述报文分析装置通过所述域登录报文获取所述用户信息和用户所使用终端的IP地址信息。
3、根据权利要求2所述的方法,其特征在于,所述认证计费报文包括:RADIUS认证请求、计费请求或计费更新请求。
4、根据权利要求1所述的方法,其特征在于,该方法还包括:所述策略管理装置存储接收到的用户信息和用户所使用终端的IP地址信息之间的对应关系;
在所述确定与接收到的用户信息对应的访问控制策略信息之前还包括:所述策略管理装置判断自身存储的所述用户信息和用户所使用终端的IP地址信息之间的对应关系中是否已经包含所述接收到的用户信息,如果否,则继续执行所述确定与接收到的用户信息对应的访问控制策略信息;如果是,则进一步判断存储的所述对应关系中所述接收到的用户信息对应的IP地址信息是否与接收到的所述用户所使用终端的IP地址信息相同,如果是,则结束流程;否则,继续执行所述确定与接收到的用户信息对应的访问控制策略信息,并利用接收到的所述用户所使用终端的IP地址信息更新所述策略管理装置存储的所述用户信息和用户所使用终端的IP地址信息之间的对应关系。
5、根据权利要求1至4任一权项所述的方法,其特征在于,该方法还包括:所述控制网关存储接收到的所述访问控制策略信息和所述用户所使用终端的IP地址信息之间的对应关系,所述用户所使用终端对互联网进行访问时,所述控制网关根据所述用户所使用终端的IP地址确定对应的访问控制策略,并利用确定的访问控制策略对所述用户所使用终端进行访问控制。
6、一种对用户进行访问控制的系统,其特征在于,该系统包括:报文分析装置和策略管理装置,且所述策略管理装置中配置有用户信息与访问控制策略之间的对应关系;
所述报文分析装置,用于在用户登录过程中获取用户信息和用户所使用终端的IP地址信息,并将获取的用户信息和用户所使用终端的IP地址信息发送给所述策略管理装置;
所述策略管理装置,用于根据所述用户信息与访问控制策略之间的对应关系,确定与接收到的用户信息对应的访问控制策略信息,并将确定的访问控制策略信息和接收到的所述用户所使用终端的IP地址信息发送给控制网关,以便控制网关利用所述访问控制策略信息对所述用户所使用终端进行访问控制。
7、根据权利要求6所述的系统,其特征在于,该系统还包括:第一前端交换机,用于将认证设备在用户登录过程中发送给RADIUS服务器的认证计费报文镜像发送给所述报文分析装置;
所述报文分析装置用于通过所述认证计费报文获取所述用户信息和用户所使用终端的IP地址信息。
8、根据权利要求6所述的系统,其特征在于,该系统还包括:第二前端交换机,用于将所述用户所使用终端在用户登录过程中发送给域控制器的域登录报文重定向到所述报文分析装置;
所述报文分析装置通过所述域登录报文获取所述用户信息和用户所使用终端的IP地址信息。
9、根据权利要求6所述的系统,其特征在于,所述策略管理装置,还用于存储接收到的所述用户信息和所述用户所使用终端的IP地址信息之间的对应关系,并在接收到所述用户信息和所述用户所使用终端的IP地址信息之后,判断自身存储的所述用户信息和用户所使用终端的IP地址信息之间的对应关系中是否已经包含所述接收到的用户信息,如果否,则继续执行所述确定与接收到的用户信息对应的访问控制策略信息的操作;如果是,则进一步判断存储的所述对应关系中,所述接收到的用户信息对应的IP地址信息是否与接收到的所述用户所使用终端的IP地址信息相同,如果是,则结束操作;否则,继续执行所述确定与接收到的用户信息对应的访问控制策略信息的操作,并利用接收到的所述用户所使用终端的IP地址信息更新所述策略管理装置存储的所述用户信息和用户所使用终端的IP地址信息之间的对应关系。
10、根据权利要求6至9任一权项所述的系统,其特征在于,该系统还包括:控制网关,用于存储接收到的所述访问控制策略信息和所述用户所使用终端的IP地址信息之间的对应关系,并在所述用户所使用终端对互联网进行访问时,根据所述用户所使用终端的IP地址确定对应的访问控制策略,并利用确定的访问控制策略对所述用户所使用终端进行访问控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810247453A CN101465856B (zh) | 2008-12-31 | 2008-12-31 | 一种对用户进行访问控制的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810247453A CN101465856B (zh) | 2008-12-31 | 2008-12-31 | 一种对用户进行访问控制的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101465856A true CN101465856A (zh) | 2009-06-24 |
| CN101465856B CN101465856B (zh) | 2012-09-05 |
Family
ID=40806218
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810247453A Expired - Fee Related CN101465856B (zh) | 2008-12-31 | 2008-12-31 | 一种对用户进行访问控制的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101465856B (zh) |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010145309A1 (zh) * | 2009-09-25 | 2010-12-23 | 中兴通讯股份有限公司 | 接入因特网控制装置及其方法、网关 |
| CN102136938A (zh) * | 2010-12-29 | 2011-07-27 | 华为技术有限公司 | 向cgn设备提供用户信息的方法及装置 |
| CN102238543A (zh) * | 2010-04-27 | 2011-11-09 | 杭州华三通信技术有限公司 | 一种无线Portal认证的方法及无线控制器 |
| CN101674587B (zh) * | 2009-10-14 | 2012-12-19 | 成都市华为赛门铁克科技有限公司 | 实现业务监控的方法和系统及认证代理服务器 |
| CN103167000A (zh) * | 2011-12-15 | 2013-06-19 | 深圳市金蝶中间件有限公司 | 实现页面访问的方法及系统 |
| CN103458062A (zh) * | 2013-08-26 | 2013-12-18 | 杭州华三通信技术有限公司 | 一种网络协议ip地址获取方法及设备 |
| CN104253798A (zh) * | 2013-06-27 | 2014-12-31 | 中兴通讯股份有限公司 | 一种网络安全监控方法和系统 |
| CN104683315A (zh) * | 2013-12-03 | 2015-06-03 | 华为技术有限公司 | 数据报文传输方法和设备 |
| CN104994108A (zh) * | 2015-07-14 | 2015-10-21 | 中国联合网络通信集团有限公司 | 一种url的过滤方法、装置和系统 |
| CN105049446A (zh) * | 2015-08-20 | 2015-11-11 | 中国联合网络通信集团有限公司 | 一种url过滤方法及系统 |
| CN105187413A (zh) * | 2015-08-20 | 2015-12-23 | 中国联合网络通信集团有限公司 | 一种url过滤方法及系统 |
| CN105744002A (zh) * | 2016-04-12 | 2016-07-06 | 深圳森格瑞通信有限公司 | 一种实现向客户端策略性的推送页面的方法 |
| CN105933333A (zh) * | 2016-06-20 | 2016-09-07 | 锐捷网络股份有限公司 | 一种企业网认证计费的方法和出口网关 |
| CN105939357A (zh) * | 2016-06-13 | 2016-09-14 | 杭州迪普科技有限公司 | 获取用户ip地址与用户组信息对应关系的方法及装置 |
| CN105978866A (zh) * | 2016-04-28 | 2016-09-28 | 北京网康科技有限公司 | 一种用户访问控制的实现方法和系统、第三方用户服务器 |
| CN106301914A (zh) * | 2016-08-16 | 2017-01-04 | 上海斐讯数据通信技术有限公司 | 一种配置数据方法 |
| CN106535189A (zh) * | 2016-11-16 | 2017-03-22 | 迈普通信技术股份有限公司 | 网络访问控制信息配置方法、装置及出口网关 |
| CN106790147A (zh) * | 2016-12-28 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种访问控制方法及其装置 |
| CN107480540A (zh) * | 2017-07-25 | 2017-12-15 | 中国工商银行股份有限公司 | 数据访问控制系统及方法 |
| CN110311926A (zh) * | 2019-02-02 | 2019-10-08 | 奇安信科技集团股份有限公司 | 一种应用访问控制方法、系统和介质 |
| CN110971569A (zh) * | 2018-09-29 | 2020-04-07 | 北京奇虎科技有限公司 | 网络访问权限管理方法、装置及计算设备 |
| CN110968848A (zh) * | 2018-09-29 | 2020-04-07 | 北京奇虎科技有限公司 | 基于用户的权限管理方法、装置及计算设备 |
| CN111654464A (zh) * | 2015-12-31 | 2020-09-11 | 华为技术有限公司 | 访问控制方法、认证设备及系统 |
| CN113055397A (zh) * | 2021-03-29 | 2021-06-29 | 郑州中科集成电路与信息系统产业创新研究院 | 一种安全访问控制策略的配置方法和装置 |
| CN113132303A (zh) * | 2019-12-30 | 2021-07-16 | 奇安信科技集团股份有限公司 | 由防火墙执行的信息处理方法和装置 |
| CN114079971A (zh) * | 2021-11-17 | 2022-02-22 | 中国电信股份有限公司 | 业务流量管控方法、系统、dpi节点及存储介质 |
| CN114338139A (zh) * | 2021-12-27 | 2022-04-12 | 北京安博通科技股份有限公司 | 一种上网行为管理支持终端类型控制的方法 |
| CN114826956A (zh) * | 2022-03-30 | 2022-07-29 | 杭州迪普科技股份有限公司 | 用于dpi测试设备的dpi策略库文件自动生成方法和装置 |
| CN115277400A (zh) * | 2022-07-15 | 2022-11-01 | 浪潮思科网络科技有限公司 | 一种基于园区网环境的终端入网方法、设备及介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2243319T3 (es) * | 1999-10-22 | 2005-12-01 | Nomadix, Inc. | Sistema y procedimiento para redireccionar a usuarios que intentan acceder a un destino de red. |
| CN1671096A (zh) * | 2004-03-17 | 2005-09-21 | 中国科学技术大学 | 基于策略控制的组播接入控制方法 |
| CN101232509A (zh) * | 2008-02-26 | 2008-07-30 | 杭州华三通信技术有限公司 | 支持隔离模式的网络接入控制方法、系统及设备 |
| CN101242272B (zh) * | 2008-03-11 | 2010-10-06 | 南京邮电大学 | 基于移动代理和断言的网格跨域安全平台的实现方法 |
-
2008
- 2008-12-31 CN CN200810247453A patent/CN101465856B/zh not_active Expired - Fee Related
Cited By (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010145309A1 (zh) * | 2009-09-25 | 2010-12-23 | 中兴通讯股份有限公司 | 接入因特网控制装置及其方法、网关 |
| AU2010262572B2 (en) * | 2009-09-25 | 2014-05-01 | Zte Corporation | Internet access control apparatus, method and gateway thereof |
| CN101674587B (zh) * | 2009-10-14 | 2012-12-19 | 成都市华为赛门铁克科技有限公司 | 实现业务监控的方法和系统及认证代理服务器 |
| CN102238543A (zh) * | 2010-04-27 | 2011-11-09 | 杭州华三通信技术有限公司 | 一种无线Portal认证的方法及无线控制器 |
| CN102136938A (zh) * | 2010-12-29 | 2011-07-27 | 华为技术有限公司 | 向cgn设备提供用户信息的方法及装置 |
| WO2012089039A1 (zh) * | 2010-12-29 | 2012-07-05 | 华为技术有限公司 | 向运营商级网络地址转换cgn设备提供用户信息的方法及装置 |
| CN103167000A (zh) * | 2011-12-15 | 2013-06-19 | 深圳市金蝶中间件有限公司 | 实现页面访问的方法及系统 |
| CN103167000B (zh) * | 2011-12-15 | 2016-08-31 | 深圳市金蝶中间件有限公司 | 实现页面访问的方法及系统 |
| CN104253798A (zh) * | 2013-06-27 | 2014-12-31 | 中兴通讯股份有限公司 | 一种网络安全监控方法和系统 |
| CN103458062A (zh) * | 2013-08-26 | 2013-12-18 | 杭州华三通信技术有限公司 | 一种网络协议ip地址获取方法及设备 |
| CN104683315B (zh) * | 2013-12-03 | 2018-07-20 | 华为技术有限公司 | 数据报文传输方法和设备 |
| CN104683315A (zh) * | 2013-12-03 | 2015-06-03 | 华为技术有限公司 | 数据报文传输方法和设备 |
| CN104994108A (zh) * | 2015-07-14 | 2015-10-21 | 中国联合网络通信集团有限公司 | 一种url的过滤方法、装置和系统 |
| CN105187413A (zh) * | 2015-08-20 | 2015-12-23 | 中国联合网络通信集团有限公司 | 一种url过滤方法及系统 |
| CN105049446A (zh) * | 2015-08-20 | 2015-11-11 | 中国联合网络通信集团有限公司 | 一种url过滤方法及系统 |
| CN111654464A (zh) * | 2015-12-31 | 2020-09-11 | 华为技术有限公司 | 访问控制方法、认证设备及系统 |
| CN105744002A (zh) * | 2016-04-12 | 2016-07-06 | 深圳森格瑞通信有限公司 | 一种实现向客户端策略性的推送页面的方法 |
| CN105744002B (zh) * | 2016-04-12 | 2019-03-01 | 深圳森格瑞通信有限公司 | 一种实现向客户端策略性的推送页面的方法 |
| CN105978866A (zh) * | 2016-04-28 | 2016-09-28 | 北京网康科技有限公司 | 一种用户访问控制的实现方法和系统、第三方用户服务器 |
| CN105978866B (zh) * | 2016-04-28 | 2019-04-23 | 北京网康科技有限公司 | 一种用户访问控制的实现方法和系统、第三方用户服务器 |
| CN105939357A (zh) * | 2016-06-13 | 2016-09-14 | 杭州迪普科技有限公司 | 获取用户ip地址与用户组信息对应关系的方法及装置 |
| CN105933333A (zh) * | 2016-06-20 | 2016-09-07 | 锐捷网络股份有限公司 | 一种企业网认证计费的方法和出口网关 |
| CN106301914A (zh) * | 2016-08-16 | 2017-01-04 | 上海斐讯数据通信技术有限公司 | 一种配置数据方法 |
| CN106301914B (zh) * | 2016-08-16 | 2019-10-25 | 上海斐讯数据通信技术有限公司 | 一种配置数据方法 |
| CN106535189A (zh) * | 2016-11-16 | 2017-03-22 | 迈普通信技术股份有限公司 | 网络访问控制信息配置方法、装置及出口网关 |
| CN106535189B (zh) * | 2016-11-16 | 2019-12-31 | 迈普通信技术股份有限公司 | 网络访问控制信息配置方法、装置及出口网关 |
| CN106790147A (zh) * | 2016-12-28 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种访问控制方法及其装置 |
| CN107480540B (zh) * | 2017-07-25 | 2019-10-01 | 中国工商银行股份有限公司 | 数据访问控制系统及方法 |
| CN107480540A (zh) * | 2017-07-25 | 2017-12-15 | 中国工商银行股份有限公司 | 数据访问控制系统及方法 |
| CN110971569A (zh) * | 2018-09-29 | 2020-04-07 | 北京奇虎科技有限公司 | 网络访问权限管理方法、装置及计算设备 |
| CN110968848A (zh) * | 2018-09-29 | 2020-04-07 | 北京奇虎科技有限公司 | 基于用户的权限管理方法、装置及计算设备 |
| CN110968848B (zh) * | 2018-09-29 | 2023-12-05 | 北京奇虎科技有限公司 | 基于用户的权限管理方法、装置及计算设备 |
| CN110311926A (zh) * | 2019-02-02 | 2019-10-08 | 奇安信科技集团股份有限公司 | 一种应用访问控制方法、系统和介质 |
| CN113132303A (zh) * | 2019-12-30 | 2021-07-16 | 奇安信科技集团股份有限公司 | 由防火墙执行的信息处理方法和装置 |
| CN113055397A (zh) * | 2021-03-29 | 2021-06-29 | 郑州中科集成电路与信息系统产业创新研究院 | 一种安全访问控制策略的配置方法和装置 |
| CN114079971A (zh) * | 2021-11-17 | 2022-02-22 | 中国电信股份有限公司 | 业务流量管控方法、系统、dpi节点及存储介质 |
| CN114338139A (zh) * | 2021-12-27 | 2022-04-12 | 北京安博通科技股份有限公司 | 一种上网行为管理支持终端类型控制的方法 |
| CN114338139B (zh) * | 2021-12-27 | 2023-03-24 | 北京安博通科技股份有限公司 | 一种上网行为管理支持终端类型控制的方法 |
| CN114826956A (zh) * | 2022-03-30 | 2022-07-29 | 杭州迪普科技股份有限公司 | 用于dpi测试设备的dpi策略库文件自动生成方法和装置 |
| CN114826956B (zh) * | 2022-03-30 | 2023-05-26 | 杭州迪普科技股份有限公司 | 用于dpi测试设备的dpi策略库文件自动生成方法和装置 |
| CN115277400A (zh) * | 2022-07-15 | 2022-11-01 | 浪潮思科网络科技有限公司 | 一种基于园区网环境的终端入网方法、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101465856B (zh) | 2012-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101465856B (zh) | 一种对用户进行访问控制的方法和系统 | |
| US9954868B2 (en) | System and method to associate a private user identity with a public user identity | |
| CN100437550C (zh) | 一种以太网认证接入的方法 | |
| EP1987629B1 (en) | Techniques for authenticating a subscriber for an access network using dhcp | |
| US10305856B2 (en) | System and method for logging communications | |
| US7308706B2 (en) | Associative policy model | |
| Wu et al. | Source address validation: Architecture and protocol design | |
| CN101217482B (zh) | 一种穿越nat下发策略的方法和一种通信装置 | |
| CA2419853A1 (en) | Location-independent packet routing and secure access in a short-range wireless networking environment | |
| US11838269B2 (en) | Securing access to network devices utilizing authentication and dynamically generated temporary firewall rules | |
| JP2009163546A (ja) | ゲートウェイ、中継方法及びプログラム | |
| US8769623B2 (en) | Grouping multiple network addresses of a subscriber into a single communication session | |
| CN108200039B (zh) | 基于动态创建临时账号密码的无感知认证授权系统和方法 | |
| US20090271852A1 (en) | System and Method for Distributing Enduring Credentials in an Untrusted Network Environment | |
| CN101599834B (zh) | 一种认证部署方法和一种管理设备 | |
| WO2011032471A1 (zh) | 身份位置分离网络中用户登录icp网站的方法、系统及登录装置 | |
| CN1235382C (zh) | 一种基于802.1x协议的客户端认证方法 | |
| CN1889465A (zh) | 接入控制设备、接入控制系统和接入控制方法 | |
| CN1223155C (zh) | 一种基于集群管理的802.1x通信实现方法 | |
| CN1265579C (zh) | 一种对网络接入用户进行认证的方法 | |
| CN102164041A (zh) | 一种基于网页的网络会议的方法及系统 | |
| Ventura | Diameter: Next generations AAA protocol | |
| CN114499965B (zh) | 一种基于pop3协议的上网认证方法及系统 | |
| CN1681243B (zh) | 一种实现宽带网络专线用户认证的方法 | |
| Sultana et al. | Secure multicast communication: end user identification and accounting |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120905 Termination date: 20191231 |