CN101877695A - 访问权限控制的系统及方法 - Google Patents
访问权限控制的系统及方法 Download PDFInfo
- Publication number
- CN101877695A CN101877695A CN2009101358910A CN200910135891A CN101877695A CN 101877695 A CN101877695 A CN 101877695A CN 2009101358910 A CN2009101358910 A CN 2009101358910A CN 200910135891 A CN200910135891 A CN 200910135891A CN 101877695 A CN101877695 A CN 101877695A
- Authority
- CN
- China
- Prior art keywords
- network address
- user terminal
- web application
- module
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种访问权限控制的系统及方法。该系统包括:登录管理单元,用于获取用户终端的网络地址,接收用户账户的登录请求,根据登录请求,获取用户的访问权限信息,将用户终端的网络地址和访问权限信息发送至代理转发单元;代理转发单元,与登录管理单元相连,用于根据用户终端的网络地址和访问权限信息进行用户终端的WEB应用数据包的转发。本发明各实施例的访问权限控制的系统及方法,实现了用户在无需更改网络配置前提下灵活的使用不同终端高效、受控的访问WEB应用业务系统,提高了WEB应用业务系统的安全管理水平,保障了用户感受度。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及访问权限控制的系统及方法。
背景技术
伴随着网络技术日益发展成熟及企业网络业务的不断发展,各种企业业务系统的数量不断增多,用户数量增加,对各业务系统的WEB访问不仅仅局限于局域网内,在广域网内的远程访问需求日益迫切,由此所引发的企业业务系统网络安全问题愈加受到企业用户的重视。用户访问各种WEB应用业务系统,必须采用一定的网络安全解决方案,保证各种系统的安全性,以防止WEB应用业务系统的信息不会被泄露。
对于WEB应用业务系统的网络安全管理需求,现有针对用户访问的WEB应用业务系统的安全控制解决方案主要为:在企业网络中部署带有权限控制的反向透明代理,从网络上实现对WEB业务系统的单点访问,以解决WEB应用业务系统的网络保护问题。用户终端通过反向透明代理与他有权限访问的业务系统相连,不但避免了业务系统与用户终端直接相连,也避免了业务系统暴露给非法用户。
目前反向透明代理的权限控制有两种方式:1、基于用户名控制;2、基于终端IP控制。第一种方式-基于用户名控制,用户可以从任意终端受控地访问合法WEB应用。但是反向透明代理使用用户名控制权限后,需要在转发HTTP数据包时,将HTTP数据包与用户名关联,再与权限关联,效率较低,使得用户访问WEB应用的响应速度变慢,用户感受度下降,甚至会导致用户无法忍受而放弃访问WEB应用。第二种方式-基于终端IP控制,反向透明代理在转发HTTP数据包时将HTTP数据包直接与权限关联,效率较高,不会影响用户访问WEB应用的响应速度,但是该方式要求一个用户始终只使用一个终端,或者必须更改网络配置,操作不便并且繁琐,用户感受度下降。
在实现本发明过程中,发明人发现现有技术访问权限控制方式中存在如下问题:不能在保证用户访问WEB应用响应速度的前提下方便用户使用,无法保障用户的感受度。
发明内容
本发明的目的是解决WEB应用访问权限管理中,不能保证用户访问WEB应用响应速度的前提下方便用户使用,无法保障用户的感受度的缺陷,提出一种访问权限控制的系统及方法,使得不降低用户访问WEB应用响应速度前提下方便用户使用,保障了用户感受度。
为实现上述目的,根据本发明的一个方面,提供了一种访问权限控制系统,包括:登录管理单元,用于获取用户终端的网络地址,接收用户账户的登录请求,根据登录请求,获取用户的访问权限信息,将用户终端的网络地址和访问权限信息发送至代理转发单元;代理转发单元,与登录管理单元相连,用于根据用户终端的网络地址和访问权限信息进行用户终端的WEB应用数据包的转发。
本技术方案中,登录管理单元进一步包括:监测模块,用于获取用户终端的网络地址;信息存储模块,用于预存用户账户信息及WEB应用网络地址;登录模块,用于接收用户账户的登录请求,根据预存的用户账户信息对登录请求进行鉴权,获取用户账户的访问权限;发送模块,用于将用户终端的网络地址、用户账户,及访问权限对应的WEB应用网络地址进行关联,并发送至代理转发单元。
本技术方案中,代理转发单元进一步包括接收模块、权限存储单元、权限加载模块和数据包转发模块,其中:接收模块,用于接收用户终端的网络地址、用户账户及访问权限对应的WEB应用网络地址;权限存储模块,用于根据用户账户,存储用户终端的网络地址及访问权限对应的WEB应用网络地址,并通知权限加载模块进行用户终端的网络地址及访问权限对应WEB应用网络地址的更新;权限加载模块,用于将权限存储单元中用户终端的网络地址及访问权限对应的WEB应用网络地址,加载至数据包转发模块;数据包转发模块,用于根据用户终端的网络地址及访问权限对应的WEB应用网络地址,对用户终端的WEB应用数据包进行转发。
优选地,本技术方案中,登录管理单元还包括:资源呈现模块,用于根据向数据包转发模块加载用户终端的网络地址及访问权限对应的WEB应用网络地址成功的消息,将访问权限对应的WEB应用网络地址的界面推送给用户终端。
优选地,本技术方案的访问权限控制系统中,登录模块,还用于如果用户退出登录模块或操作超时,将包含去除授权标识和用户账户的去除授权消息发送至接收模块;接收模块,还用于发送去除授权消息至权限存储单元;权限存储单元,还用于根据去除授权消息,删除用户账户对应的用户终端的网络地址及访问权限对应的WEB应用网络地址,并通知权限加载模块进行用户终端的网络地址及访问权限对应WEB应用网络地址的更新;权限加载模块,还用于将权限存储单元中更新后的用户终端的网络地址及访问权限对应的WEB应用网络地址,加载至数据包转发模块;数据包转发模块,还用于根据更新后的用户终端的网络地址及访问权限对应的WEB应用网络地址,对用户终端的WEB应用数据包不进行转发。
为实现上述目的,根据本发明的另一个方面,提供了一种访问权限控制方法,包括:获取用户终端的网络地址;接收用户账户的登录请求,根据登录请求,获取用户的访问权限信息;根据用户账户,存储用户终端的网络地址和访问权限信息;根据用户终端的网络地址和访问权限信息进行用户终端的WEB应用数据包的转发。
优选地,本技术方案中,根据网络地址和访问权限信息进行用户终端的WEB应用数据包的转发的步骤之后还包括:当接收到用户账户退出登录的消息后,根据用户账户,修改用户账户的访问权限信息,不再进行用户终端的WEB应用数据包的转发。
优选地,本技术方案中,根据用户账户,加载用户终端的网络地址和访问权限信息的步骤之后还包括:根据用户终端的网络地址及访问权限对应的WEB应用网络地址加载成功的消息,将访问权限对应的WEB应用网络地址的界面推送给用户终端。
本技术方案中,访问权限信息为用户账户的访问权限对应的WEB应用网络地址。
本发明各实施例的访问权限控制的系统及方法,实现了用户在无需更改网络配置前提下灵活的使用不同终端高效、受控的访问WEB应用业务系统,提高了WEB应用业务系统的安全管理水平,保障了用户感受度。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例共同用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例一访问权限控制系统的示意图;
图2为本发明实施例四访问权限控制方法的流程图;
图3为本发明实施例五访问权限控制方法用户登录的示意图;
图4为本发明实施例五访问权限控制方法权限去除的示意图。
结合附图在其上标记以下附图标记:
102-登录管理单元;104-代理转发单元;
202-监测模块; 204-信息存储模块; 206登录模块;
208-发送模块; 210-接收模块; 212-权限存储模块;
214-权限加载模块;216-数据包转发模块;220-资源呈现模块。
具体实施方式
以下结合附图对本发明的实施例进行说明,应当理解,此处所描述的实施例仅用于说明和解释本发明,并不用于限定本发明。
实施例一
本实施例访问权限控制系统,实现了对WEB业务系统的安全、高效访问。图1为本发明实施例一访问权限控制系统的示意图。如图1所示,本实施例访问权限控制系统包括:
登录管理单元102,用于获取用户终端的网络地址;接收用户账户的登录请求,根据登录请求,获取用户的访问权限信息;将用户终端的网络地址和访问权限信息发送至代理转发单元;
代理转发单元104,与登录管理单元相连,用于根据网络地址和访问权限信息进行用户终端的WEB应用数据包的转发。
本实施例提出的方法在登录管理单元102对用户进行登录请求进行鉴权后,自动探测用户终端的IP网络地址,并将用户终端的IP网络地址及用户账户对应访问权限信息发送至代理转发单元104,由代理转发单元进行基于终端IP控制的WEB应用数据包的转发。
用户终端在完成登录后,其WEB应用数据包通过代理转发单元进行转发。代理转发单元在接收到WEB应用数据包后,首先提取WEB应用数据包的源网络地址,判断该源网络地址是否有权限与WEB应用网络地址进行通信,如果是,则转发该数据包,如果否,则丢弃该数据包。
本实施例中,用户终端的WEB应用数据包具体为:用户终端与WEB应用业务系统间的HTTP协议承载的数据包。访问权限控制系统可以位于代理服务器侧。用户账户登录的终端IP地址是访问权限控制系统自动探测的,并且在代理转发平台进行基于终端IP控制的WEB应用数据包的转发,因此用户可以在无需更改网络配置前提下,灵活使用不同终端高效、受控的访问WEB应用业务系统,提高了WEB应用业务系统的安全管理水平和工作效率。
实施例二
如图1所示,本实施例中登录管理单元102包括:监测模块202,用于获取用户终端的网络地址;信息存储模块204,用于预存用户账户信息及WEB应用网络地址;登录模块206,用于接收用户账户的登录请求,根据预存的用户账户信息对登录请求进行鉴权,获取用户账户的访问权限;发送模块208,用于将用户终端的网络地址、用户账户,及访问权限对应的WEB应用网络地址进行关联,并发送至代理转发单元。
代理转发单元104包括:接收模块210,用于接收用户终端的网络地址、用户账户及访问权限对应的WEB应用网络地址;权限存储模块212,用于根据用户账户,存储用户终端的网络地址及访问权限对应的WEB应用网络地址,并通知权限加载模块214进行用户终端的网络地址及访问权限对应WEB应用网络地址的更新;权限加载模块214,用于在接到上述更新通知后,将权限存储单元中用户终端的网络地址及访问权限对应的WEB应用网络地址,加载至数据包转发模块;数据包转发模块216,用于根据用户终端的网络地址及访问权限对应的WEB应用网络地址,转发用户终端的WEB应用数据包,即如果该WEB应用数据包的源网络IP地址有权限与目的WEB应用网络IP地址通信,则数据包转发模块转发该数据包,否则丢弃该数据包。本实施例中,也可以由权限加载模块214进行权限存储模块212中用户权限数据的加载,实现的方法采用本领域常用的技术即可,同样包含在本发明的保护范围之内。
此外,本实施例中,登录管理单元102还可以包括:资源呈现模块220,用于根据向数据包转发模块加载用户终端的网络地址及访问权限对应的WEB应用网络地址成功的消息,将访问权限对应的WEB应用网络地址的界面推送给用户终端。
本实施例中,信息存储模块中预存用户账户信息及WEB应用网络地址主要包括:用户帐户的权限、角色组、应用URL、WEB应用的IP地址端口号、主帐户名、密码等信息。本实施例及本发明其他各实施例中,用户终端的网络地址及访问权限对应的WEB应用网络地址中,网络地址均包括相应的IP地址及端口号。
本实施例中,权限存储单元根据用户账户,存储用户终端的网络地址及访问权限对应的WEB应用网络地址的具体为:对每一个用户名定义一个数据块,用户访问权限信息在标识#xxxxapplication_permision begin和标识#xxxx application_permision end之间,xxxx标识用户名;用户访问权限控制采用访问控制列表方式。其实现步骤为:①定义用户的主机IP为“acl xxxx src a.b.c.d1”,其中xxxx表示用户名,a.b.c.d1表示用户主机IP;②定义各WEB应用的IP地址为“acl YYYY src a.b.c.d2:PortNo”或定义各WEB应用的URL为“acl YYYY url_regex^(http|https)://a.b.c.d2:PortNo),其中YYYY为应用名;a.b.c.d2为应用的IP或者URL,PortNo为应用的端口号;③定义用户主机与各WEB应用可以联通表示为“http_access allow xxxx YYYY”;或者不能联通表示为“http_access deny xxxx YYYY”,初始的定义为用户主机与所有的WEB应用均不联通“http_access deny xxxx YYYY”。本实施例中,只列举了一种用户访问权限的定义形式,实现以用户为单位的源IP地址与目标IP地址及端口间的HTTP数据包通信权限数据定义的其他形式,只要不脱离本发明的思想,同样包含在本发明的保护范围之内。
本实施例对访问权限控制系统中的登录管理单元和代理转发单元进行了详细描述,具有实施例一的全部有益效果,可以在保证工作效率的前提下,方便用户使用,提高用户的感受度,并且可操作性更强。
实施例三
实施例一、二对访问权限控制系统的权限加载过程进行了描述,当用户退出登录或者操作超时,需要对其权限进行清除,本实施例将对访问权限控制系统中涉及权限清除的各部分进行说明。
本实施例中,访问权限控制系统中:登录模块206,还用于如果用户退出登录管理单元或操作超时,将包含去除授权标识和用户账户的去除授权消息发送至接收模块;接收模块210,还用于发送去除授权消息至权限存储单元;权限存储单元212,还用于根据去除授权消息,删除用户账户对应的用户终端的网络地址及访问权限对应的WEB应用网络地址,并通知权限加载模块214进行用户终端的网络地址及访问权限对应WEB应用网络地址的更新;权限加载模块214,还用于接到上述更新消息后,将权限存储单元中更新后的用户终端的网络地址及访问权限对应的WEB应用网络地址,加载至数据包转发模块;数据包转发模块,还用于根据更新后的用户终端的网络地址及访问权限对应的WEB应用网络地址,对用户终端的WEB应用数据包不进行转发。
本实施例对访问权限控制系统中涉及权限清除的各部分进行说明,对实施例一-二的权限控制系统进行了补充与完善,具有其全部有益效果,此处不再重述。
实施例四
图2为本发明实施例四访问权限控制方法的流程图。如图4所示,本实施例包括:
步骤S402:获取用户终端的网络地址;
步骤S404:接收用户账户的登录请求,根据登录请求,获取用户的访问权限信息;
步骤S406:根据用户账户,存储用户终端的网络地址和访问权限信息;
步骤S408:根据网络地址和访问权限信息进行用户终端的WEB应用数据包的转发。
本实施例中,用户终端的WEB应用数据包具体为:用户终端与WEB应用业务系统间的数据包。本实施例对访问权限控制方法进行了说明,实现本方法的装置可参照实施例一的相关装置,并具有实施例的全部有益效果,此处不再重述。
实施例五
本实施例中,将结合实施例一-二的访问权限控制装置对实现方法进行详细说明。图3为本发明实施例五访问权限控制方法用户登录的示意图。本实施例包括:
步骤S502:用户登录到登录管理单元;
步骤S504:登录模块对欲登录的用户账户进行鉴权;
步骤S506:监测模块获取用户终端的IP地址;
步骤S508:获取各WEB应用系统的IP地址、端口以及用户权限信息;
步骤S510:发送模块将用户账户、用户终端的IP地址、可登录的WEB应用系统进行关联,生成授权关系建立消息,发送至代理转发单元的接收模块;
步骤S512:转发授权关系建立消息至权限存储模块,根据用户账户,存储用户终端的网络地址和访问权限信息,并通知权限加载模块进行用户终端的网络地址及访问权限对应WEB应用网络地址的更新;
步骤S514:权限加载模块向权限存储模块提取用户权限信息;
步骤S516:将用户权限信息加载至数据包转发模块,数据包转发模块根据用户权限信息进行用户终端数据包的转发;
步骤S518:向资源呈现模块发送加载成功的消息,将访问权限对应的WEB应用网络地址的界面推送给用户终端。
本实施例中,也可以由权限加载模块接收授权关系建立消息,进行权限存储模块中用户权限数据的加载,实现的方法采用本领域常用的技术即可,同样包含在本发明的保护范围之内。图4为本发明实施例五访问权限控制方法权限去除的示意图。本实施例包括:
步骤S530:如果用户退出或者操作超时,用户终端向登录模块发送用户退出消息;
步骤S532:登录模块根据用户退出消息向发送模块发送去除授权关系消息,其中,去除授权关系消息包含去除授权标识和用户账户名;
步骤S534:发送模块将上述去除授权关系消息发送至代理转发单元的接收模块;
步骤S536:接受模块将上述去除授权关系消息发送至权限存储模块,权限存储模块根据去除授权关系消息对相关用户账户的可访问WEB应用系统的权限进行更新,并通知权限加载模块进行用户终端的网络地址及访问权限对应WEB应用网络地址的更新;
步骤S538:权限加载模块从权限存储模块获取更新后的用户账户权限;
步骤S540:权限加载模块将上述更新后的用户账户权限加载至数据包转发模块,由于用户账户的相关权限已经被取消,此时,数据包转发模块不再进行相关数据包的转发,该用户使用的终端与WEB应用业务系统之间不相连。
本实施例对访问权限控制方法的权限加载与权限取消的步骤分别进行了说明,具有实施例二、三的全部有益效果,此处不再重述。
实施例六
假设某一个用户在访问权限控制系统中对应的用户信息如下:主账号为:user0;该主帐号有权限访问WEB应用YYYY1,YYYY2。
整个系统管理了5个WEB应用,YYYY1,YYYY2,YYYY3,YYYY4,YYYY5。YYYY1的IP地址为:a.b.c.d1,应用的端口号为PortNo1;YYYY2的IP地址为:a.b.c.d2,应用的端口号为PortNo2;YYYY3的IP地址为:a.b.c.d3,应用的端口号为PortNo3;YYYY4的IP地址为:a.b.c.d4;YYYY5的IP地址为:a.b.c.d5,应用的端口号为PortNo5;
假设用户以主账号user0从IP为a.b.c.d6的终端登录访问权限控制系统,则建立授权关系的步骤如下:
①登录模块进行认证后,调用监测模块得到用户终端的IP地址为a.b.c.d6。
②登录模块进行鉴权,得到用户权限信息——用户有权限访问YYYY1,YYYY2,并将建立授权关系消息通过发送模块发往代理转发单元,建立授权关系消息包含建立授权标识、用户主账户user0、用户终端的IP地址a.b.c.d6、用户权限信息YYYY1,YYYY2。
③代理转发平台的接收模块接收到登录管理单元发送的建立授权关系消息后,发送给权限存储模块,对用户的权限进行修改:。
1、找到user0的权限数据块——在标识#user0application_permision begin和标识#user0application_permision end之间。
2、修改用户主机信息为“acl user0src a.b.c.d6”
3、修改用户权限信息,将“http_access deny user0YYYY1”修改为“http_access allow user0YYYY1”;将“http_access deny user0YYYY2”修改为“http_access allowuser0YYYY2”。
④权限加载模块将修改好的用户权限信息加载至数据包转发模块。完成后,权限加载模块通过通信模块向身份和登录管理单元发送加载完成消息,加载完成消息包括:加载成功标记、user0。
⑤登录管理单元接收到加载完成消息后,调用资源呈现模块呈现用户有权访问的WEB应用业务系统YYYY1、YYYY2。
系统呈现用户有权限访问的WEB应用业务系统YYYY1、YYYY2后。如果用户选择访问目标系统YYYY1时,用户终端以网络地址a.b.c.d6向网络地址a.b.c.d1:PortNo1发送基于HTTP协议的数据包。数据包转发单元接收到数据包后,检测数据包的源地址为a.b.c.d6,目标地址为a.b.c.d1:PortNo1,判断数据包有权限通过,则转发数据包。当目标系统YYYY1响应用户的访问时,将以网络地址a.b.c.d1:PortNo1向用户终端网络地址a.b.c.d6发送基于HTTP协议的数据包。数据包转发单元接收到数据包后,检测数据包的源地址为a.b.c.d1:PortNo1,目标地址为a.b.c.d6,判断数据包有权限通过,则转发数据包。
如果用户使用WEB浏览器访问YYYY1、YYYY2以外的系统,例如,YYYY3时,则用户终端以网络地址a.b.c.d6向网络地址a.b.c.d3:PortNo3发送基于HTTP协议的数据包。数据包转发单元接收到数据包后,检测数据包的源地址为a.b.c.d6,目标地址为a.b.c.d3:PortNo3,判断数据包无权限通过,则丢弃数据包。
当user0退出登录管理单元或者用户在登录管理单元的Session超时,发起去除授权关系的流程,步骤如下:
①登录模块将去除授权关系消息发往代理转发单元,去除授权关系消息包含去除授权标识、user0。
②代理转发单元的接收模块接收到身份和访问管理平台发送的去除授权关系消息后,发送给权限存储模块。
③修改权限存储模块中关于该用户的权限控制数据,数据修改步骤如下:
1、在权限存储单元中找到user0的权限数据块——在标识#user0application_permision begin和标识#user0application_permision end之间。
2、修改用户权限信息,将“http_access allow user0YYYY1”修改为“http_access deny user0YYYY1”;将“http_access allow user0YYYY2”修改为“http_access denyuser0YYYY2”。
④权限加载模块将修改好的用户权限信息加载至数据包转发模块,数据包转发模块对来自这样a.b.c.d6到WEB应用YYYY1、YYYY2的数据包布进行转发,该用户使用的终端与所有WEB应用业务系统均不相连。
当用户退出系统后,如果使用WEB浏览器访问YYYY1、YYYY2以外的某个系统,例如,YYYY1时,则用户终端以网络地址a.b.c.d1向网络地址a.b.c.d1:PortNo1发送基于HTTP协议的数据包。数据包转发单元接收到数据包后,检测数据包的源地址为a.b.c.d1,目标地址为a.b.c.d1:PortNo1,判断数据包无权限通过,则丢弃数据包。
本实施例中,只列举了一种用户访问权限的定义形式,实现以用户为单位的源IP地址与目标IP地址及端口间的HTTP数据包通信权限数据定义的其他形式,只要不脱离本发明的思想,同样包含在本发明的保护范围之内。本实施例对实施例四、五的方法进行了细化,并具有其全部有益效果,此处不再重述。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟、光盘、网络节点、调度器、代理服务器等各种可以存储程序代码的介质。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种访问权限控制系统,其特征在于,包括登录管理单元和代理转发单元,其中:
登录管理单元,用于获取用户终端的网络地址;接收用户账户的登录请求,根据所述登录请求,获取所述用户的访问权限信息;将所述用户终端的网络地址和访问权限信息发送至代理转发单元;
代理转发单元,与所述登录管理单元相连,用于根据所述用户终端的网络地址和访问权限信息进行所述用户终端的WEB应用数据包的转发。
2.根据权利要求1所述的系统,其特征在于,所述登录管理单元进一步包括:
监测模块,用于获取用户终端的网络地址;
信息存储模块,用于预存用户账户信息及WEB应用网络地址;
登录模块,用于接收所述用户账户的登录请求,根据所述预存的用户账户信息对登录请求进行鉴权,获取所述用户账户的访问权限;
发送模块,用于将用户终端的网络地址、用户账户,及所述访问权限对应的WEB应用网络地址进行关联,并发送至所述代理转发单元。
3.根据权利要求2所述的系统,其特征在于,所述代理转发单元进一步包括接收模块、权限存储单元、权限加载模块和数据包转发模块,其中:
接收模块,用于接收所述用户终端的网络地址、用户账户及所述访问权限对应的WEB应用网络地址;
权限存储模块,用于根据所述用户账户,存储所述用户终端的网络地址及所述访问权限对应的WEB应用网络地址,并通知权限加载模块进行用户终端的网络地址及访问权限对应WEB应用网络地址的更新;
权限加载模块,用于将权限存储单元中所述用户终端的网络地址及所述访问权限对应的WEB应用网络地址,加载至数据包转发模块;
数据包转发模块,用于根据所述用户终端的网络地址及访问权限对应的WEB应用网络地址,对所述用户终端的WEB应用数据包进行转发。
4.根据权利要求3所述的系统,其特征在于,所述登录管理单元还包括:
资源呈现模块,用于根据向数据包转发模块加载所述用户终端的网络地址及访问权限对应的WEB应用网络地址成功的消息,将所述访问权限对应的WEB应用网络地址的界面推送给用户终端。
5.根据权利要求3所述的系统,其特征在于:
登录模块,还用于如果用户退出登录模块或操作超时,将包含去除授权标识和用户账户的去除授权消息发送至接收模块;
接收模块,还用于发送所述去除授权消息至权限存储单元;
权限存储单元,还用于根据所述去除授权消息,删除所述用户账户对应的用户终端的网络地址及所述访问权限对应的WEB应用网络地址,并通知权限加载模块进行用户终端的网络地址及访问权限对应WEB应用网络地址的更新;
权限加载模块,还用于将权限存储单元中更新后的所述用户终端的网络地址及所述访问权限对应的WEB应用网络地址,加载至数据包转发模块;
数据包转发模块,还用于根据更新后的所述用户终端的网络地址及访问权限对应的WEB应用网络地址,对所述用户终端的WEB应用数据包不进行转发。
6.一种访问权限控制方法,其特征在于,包括:
获取用户终端的网络地址;
接收用户账户的登录请求,根据所述登录请求,获取所述用户的访问权限信息;
根据所述用户账户,存储所述用户终端的网络地址和访问权限信息;
根据所述用户终端的网络地址和访问权限信息进行所述用户终端的WEB应用数据包的转发。
7.根据权利要求5所述的方法,其特征在于,所述根据网络地址和访问权限信息进行用户终端的WEB应用数据包的转发的步骤之后还包括:
当接收到所述用户账户退出登录的消息后,根据所述用户账户,修改所述用户账户的访问权限信息,不再进行所述用户终端的WEB应用数据包的转发。
8.根据权利要求5所述的方法,其特征在于,所述根据用户账户,加载用户终端的网络地址和访问权限信息的步骤之后还包括:
根据所述用户终端的网络地址及访问权限对应的WEB应用网络地址加载成功的消息,将所述访问权限对应的WEB应用网络地址的界面推送给用户终端。
9.根据权利要求5-7中任一项所述的方法,其特征在于,所述访问权限信息为用户账户的访问权限对应的WEB应用网络地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101358910A CN101877695A (zh) | 2009-04-30 | 2009-04-30 | 访问权限控制的系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101358910A CN101877695A (zh) | 2009-04-30 | 2009-04-30 | 访问权限控制的系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101877695A true CN101877695A (zh) | 2010-11-03 |
Family
ID=43020158
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101358910A Pending CN101877695A (zh) | 2009-04-30 | 2009-04-30 | 访问权限控制的系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101877695A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103491200A (zh) * | 2012-06-13 | 2014-01-01 | 中国移动通信集团贵州有限公司 | 一种虚拟终端服务器传递ip地址的方法、装置及系统 |
| CN103634271A (zh) * | 2012-08-21 | 2014-03-12 | 腾讯科技(深圳)有限公司 | 一种权限控制系统、装置及网络请求的权限控制方法 |
| CN104156640A (zh) * | 2014-08-01 | 2014-11-19 | 浪潮软件股份有限公司 | 一种数据访问权限控制方法 |
| CN104751030A (zh) * | 2013-12-31 | 2015-07-01 | 中国科学院信息工程研究所 | 一种用户访问权限控制方法及装置 |
| CN105657033A (zh) * | 2016-02-02 | 2016-06-08 | 明博教育科技股份有限公司 | 一种隔离用户的资源访问方法和系统 |
| CN108173838A (zh) * | 2017-12-26 | 2018-06-15 | 福建星瑞格软件有限公司 | 一种对网络设备访问的控制审计方法 |
| CN108632238A (zh) * | 2017-09-18 | 2018-10-09 | 北京视联动力国际信息技术有限公司 | 一种权限控制的方法和装置 |
| CN109120722A (zh) * | 2018-10-24 | 2019-01-01 | 北京计算机技术及应用研究所 | 一种基于反向代理模式的访问控制方法 |
| CN110770731A (zh) * | 2017-06-28 | 2020-02-07 | 苹果公司 | 授权系统 |
| CN113794692A (zh) * | 2021-08-24 | 2021-12-14 | 杭州迪普科技股份有限公司 | 攻击溯源装置、方法与系统及代理链路表学习装置和方法 |
| CN115189943A (zh) * | 2022-07-08 | 2022-10-14 | 北京天融信网络安全技术有限公司 | 一种基于网络地址的权限管理方法及系统 |
| CN115941316A (zh) * | 2022-12-05 | 2023-04-07 | 广州力麒智能科技有限公司 | 一种智能自助终端中间件调用方法及装置 |
-
2009
- 2009-04-30 CN CN2009101358910A patent/CN101877695A/zh active Pending
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103491200A (zh) * | 2012-06-13 | 2014-01-01 | 中国移动通信集团贵州有限公司 | 一种虚拟终端服务器传递ip地址的方法、装置及系统 |
| CN103634271B (zh) * | 2012-08-21 | 2018-07-06 | 腾讯科技(深圳)有限公司 | 一种权限控制系统、装置及网络请求的权限控制方法 |
| CN103634271A (zh) * | 2012-08-21 | 2014-03-12 | 腾讯科技(深圳)有限公司 | 一种权限控制系统、装置及网络请求的权限控制方法 |
| CN104751030A (zh) * | 2013-12-31 | 2015-07-01 | 中国科学院信息工程研究所 | 一种用户访问权限控制方法及装置 |
| CN104156640A (zh) * | 2014-08-01 | 2014-11-19 | 浪潮软件股份有限公司 | 一种数据访问权限控制方法 |
| CN104156640B (zh) * | 2014-08-01 | 2017-04-12 | 浪潮软件股份有限公司 | 一种数据访问权限控制方法 |
| CN105657033A (zh) * | 2016-02-02 | 2016-06-08 | 明博教育科技股份有限公司 | 一种隔离用户的资源访问方法和系统 |
| CN110770731A (zh) * | 2017-06-28 | 2020-02-07 | 苹果公司 | 授权系统 |
| US11663310B2 (en) | 2017-06-28 | 2023-05-30 | Apple Inc. | Entitlement system |
| CN110770731B (zh) * | 2017-06-28 | 2023-11-28 | 苹果公司 | 授权系统 |
| CN108632238A (zh) * | 2017-09-18 | 2018-10-09 | 北京视联动力国际信息技术有限公司 | 一种权限控制的方法和装置 |
| CN108173838A (zh) * | 2017-12-26 | 2018-06-15 | 福建星瑞格软件有限公司 | 一种对网络设备访问的控制审计方法 |
| CN109120722A (zh) * | 2018-10-24 | 2019-01-01 | 北京计算机技术及应用研究所 | 一种基于反向代理模式的访问控制方法 |
| CN109120722B (zh) * | 2018-10-24 | 2021-12-07 | 北京计算机技术及应用研究所 | 一种基于反向代理模式的访问控制方法 |
| CN113794692A (zh) * | 2021-08-24 | 2021-12-14 | 杭州迪普科技股份有限公司 | 攻击溯源装置、方法与系统及代理链路表学习装置和方法 |
| CN113794692B (zh) * | 2021-08-24 | 2023-06-27 | 杭州迪普科技股份有限公司 | 攻击溯源装置、方法与系统及代理链路表学习装置和方法 |
| CN115189943A (zh) * | 2022-07-08 | 2022-10-14 | 北京天融信网络安全技术有限公司 | 一种基于网络地址的权限管理方法及系统 |
| CN115189943B (zh) * | 2022-07-08 | 2024-04-19 | 北京天融信网络安全技术有限公司 | 一种基于网络地址的权限管理方法及系统 |
| CN115941316A (zh) * | 2022-12-05 | 2023-04-07 | 广州力麒智能科技有限公司 | 一种智能自助终端中间件调用方法及装置 |
| CN115941316B (zh) * | 2022-12-05 | 2023-08-08 | 广州力麒智能科技有限公司 | 一种智能自助终端中间件调用方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101877695A (zh) | 访问权限控制的系统及方法 | |
| CN1988489B (zh) | 一种智能家居监控的系统和方法 | |
| US6170057B1 (en) | Mobile computer and method of packet encryption and authentication in mobile computing based on security policy of visited network | |
| KR101093902B1 (ko) | 사용자가 ip 망에 접속시 로컬 관리 도메인에서 사용자를 위한 접속 인증을 관리하는 방법 및 시스템 | |
| CN101964901B (zh) | 一种视频监控设备的权限管理方法及设备 | |
| CN101340444B (zh) | 防火墙和服务器策略同步方法、系统和设备 | |
| CN101399853B (zh) | 用户标识服务器、数据业务处理系统及方法 | |
| CN101309272B (zh) | 认证服务器及虚拟专用网的移动通信终端接入控制方法 | |
| CN101860534B (zh) | 网络切换方法、系统及接入设备、认证服务器 | |
| US20020147819A1 (en) | Method of wireless LAN parameter setting by direct contact or proximity connection between communication devices | |
| JP2004072766A (ja) | プライベートネットワークにアクセス制御プラットフォームサービスを提供するためのシステム | |
| CN101188557B (zh) | 管理用户上网行为的方法、客户端、服务器和系统 | |
| CN101277308A (zh) | 一种隔离内外网络的方法、认证服务器及接入交换机 | |
| JP2013041370A (ja) | エネルギー管理装置および電力管理システム | |
| CN106789527A (zh) | 一种专线网络接入的方法及系统 | |
| CN105307152A (zh) | 一种多任务sim/usim管理方法及系统 | |
| CN114205815A (zh) | 一种5g专网认证控制的方法和系统 | |
| CN102333099B (zh) | 一种安全控制方法和设备 | |
| CN102752752B (zh) | 基站维护方法和设备 | |
| CN101729310A (zh) | 实现业务监控的方法、系统以及信息获取设备 | |
| CN103475491A (zh) | 一种无密码安全登录的远程维护系统和实现方法 | |
| CN102546552B (zh) | 认证方法、设备和系统 | |
| JP2008535422A (ja) | 認証方法および認証ユニット | |
| CN115296866B (zh) | 一种边缘节点的访问方法及装置 | |
| CN101296196B (zh) | 一种鉴权方法及鉴权装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20101103 |