CN105592043B - 一种行为管理的方法和装置 - Google Patents
一种行为管理的方法和装置 Download PDFInfo
- Publication number
- CN105592043B CN105592043B CN201510501761.XA CN201510501761A CN105592043B CN 105592043 B CN105592043 B CN 105592043B CN 201510501761 A CN201510501761 A CN 201510501761A CN 105592043 B CN105592043 B CN 105592043B
- Authority
- CN
- China
- Prior art keywords
- behavior management
- correspondence
- user equipment
- address information
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Abstract
本发明提供一种行为管理的方法和装置,该方法包括:在身份防火墙确定用户设备通过认证时,审计设备接收身份防火墙发送的认证通知报文,所述认证通知报文中携带所述用户设备的地址信息;所述审计设备根据所述地址信息确定所述用户设备对应的用户属性;所述审计设备得到所述用户属性对应的行为管理策略;所述审计设备生成所述地址信息与所述行为管理策略的第二对应关系;所述审计设备在接收到与所述地址信息匹配的报文时,根据所述第二对应关系找到所述行为管理策略,并根据所述行为管理策略对所述报文进行行为管理。通过本发明的技术方案,减少重复认证的开销,提高系统运作效率,提高用户使用感受,减轻用户配置工作量。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种行为管理的方法和装置。
背景技术
身份防火墙收到来自用户设备的报文时,利用报文的源IP地址(即用户设备的IP地址)查询用户认证表,该用户认证表用于记录已通过认证的用户设备的IP地址。如果用户认证表中没有对应的记录,说明用户设备还没有通过认证,身份防火墙触发用户设备进行认证,用户设备发送携带用户名和密码等信息的认证请求报文。身份防火墙在收到认证请求报文后,将认证请求报文发送给认证服务器,认证服务器利用认证请求报文中携带的用户名和密码等信息对用户设备进行认证。如果用户设备认证通过,认证服务器向身份防火墙发送认证成功报文,身份防火墙在收到认证成功报文后,确定用户设备认证通过,在用户认证表中记录用户设备的IP地址。如果用户认证表中有对应的记录,说明用户设备已通过认证,身份防火墙将报文发送给审计设备。
审计设备在接收到来自用户设备的报文时,利用报文的源IP地址查询用户认证表,该用户认证表用于记录已通过认证的用户设备的IP地址和行为管理策略的对应关系。如果用户认证表中没有对应的记录,则说明用户设备还没有通过认证,审计设备触发用户设备进行认证,由用户设备发送携带用户名和密码等信息的认证请求报文。审计设备在收到认证请求报文后,将认证请求报文发送给认证服务器,由认证服务器利用认证请求报文中携带的用户名和密码等信息对用户设备进行认证。如果用户设备认证通过,则认证服务器向审计设备发送认证成功报文,审计设备在收到认证成功报文后,确定用户设备认证通过,配置用户设备对应的行为管理策略,并在用户认证表中记录用户设备的IP地址和行为管理策略的对应关系。如果用户认证表中有对应的记录,则说明用户设备已经通过认证,审计设备利用该用户认证表中记录的行为管理策略对匹配到该用户设备的IP地址的报文进行行为管理。
在上述过程中,用户设备需要进行两次认证,分别为身份防火墙和审计设备触发的认证,对用户设备重复认证,影响用户使用感受。需要手工在审计设备上为每个通过认证的用户设备配置行为管理策略,配置工作量很大。
发明内容
本发明提供一种行为管理的方法,所述方法包括以下步骤:
审计设备接收身份防火墙在确定用户设备通过认证时发送的认证通知报文,所述认证通知报文中携带所述用户设备的地址信息;
所述审计设备根据所述地址信息确定所述用户设备对应的用户属性;
所述审计设备利用所述用户属性查询预先配置的用户属性与行为管理策略的第一对应关系,得到所述用户属性对应的行为管理策略;
若所述审计设备未保存所述地址信息与所述行为管理策略的第二对应关系,则所述审计设备生成所述第二对应关系;
所述审计设备在接收到源地址与所述地址信息匹配的报文时,根据所述第二对应关系找到所述行为管理策略,并根据所述行为管理策略对所述报文进行行为管理。
本发明提供一种行为管理的装置,所述行为管理的装置应用在审计设备上,且所述行为管理的装置具体包括:
接收模块,用于接收身份防火墙在确定用户设备通过认证时发送的认证通知报文,所述认证通知报文中携带所述用户设备的地址信息;
确定模块,用于根据所述地址信息确定所述用户设备对应的用户属性;
获得模块,用于利用所述用户属性查询预先配置的用户属性与行为管理策略的第一对应关系,得到所述用户属性对应的行为管理策略;
处理模块,用于当所述审计设备上未保存所述地址信息与所述行为管理策略的第二对应关系时,则生成所述第二对应关系;
行为管理模块,用于在接收到源地址与所述地址信息匹配的报文时,则根据所述第二对应关系找到所述行为管理策略,并根据所述行为管理策略对所述报文进行行为管理。
基于上述技术方案,本发明实施例中,身份防火墙在确定用户设备通过认证时,向审计设备发送认证通知报文,由审计设备利用该认证通知报文确定用户设备通过认证,而不需要再次触发用户设备进行认证过程。上述方式通过在身份防火墙与审计设备之间进行联动,使得用户设备只需要进行一次认证,并且审计设备上维护用户设备的地址信息和行为管理策略的对应关系,并利用该行为管理策略对匹配到该地址信息的报文进行行为管理,不需要在审计设备上触发对用户设备的重复认证,减少重复认证的开销,整个系统的运作效率会大大提高,并且提高用户使用感受。而且,不需要手工在审计设备上为用户设备配置行为管理策略,减轻用户配置的工作量,降低系统管理员手工干预的频率,优化用户上线体验。
附图说明
图1是本发明实施例的应用场景示意图;
图2是本发明一种实施方式中行为管理的方法的流程图;
图3是本发明一种实施方式中审计设备的逻辑结构图;
图4是本发明一种实施方式中行为管理的装置的逻辑结构图。
具体实施方式
针对现有技术中存在的问题,本发明实施例中提出一种行为管理的方法,该方法可以应用于包括用户设备、身份防火墙、审计设备和认证服务器的系统中。以图1为本发明实施例的应用场景示意图,各用户设备均与身份防火墙连接,身份防火墙与审计设备连接,身份防火墙与认证服务器连接,审计设备与认证服务器连接,且审计设备与IP网络连接。基于此,所有用户设备的报文均需要通过身份防火墙和审计设备后,才能够传输到IP网络。
在本发明实施例中,身份防火墙上预先配置有第一用户认证表,且该第一用户认证表用于记录已经通过认证的用户设备的地址信息。审计设备上预先配置有第二用户认证表,且该第二用户认证表用于记录已经通过认证的用户设备的地址信息和行为管理策略之间的对应关系,而且,该第二用户认证表中记录的对应关系中还可以包括行为管理策略对应的用户属性。
基于第一用户认证表和第二用户认证表,身份防火墙在接收到来自用户设备的报文时,利用用户设备的地址信息查询本身份防火墙维护的第一用户认证表,如果第一用户认证表中有对应的记录,则说明用户设备已经通过认证,身份防火墙将报文发送给审计设备。审计设备在接收到来自用户设备的报文时,利用用户设备的地址信息查询本审计设备维护的第二用户认证表,如果第二用户认证表中有对应的记录,则说明用户设备已经通过认证,审计设备利用第二用户认证表中记录的行为管理策略对报文进行行为管理。
身份防火墙在利用用户设备的地址信息查询本身份防火墙维护的第一用户认证表之后,如果第一用户认证表中没有对应的记录,则说明用户设备还没有通过认证,身份防火墙触发用户设备进行认证,由用户设备发送携带用户名和密码等信息的认证请求报文。身份防火墙在收到认证请求报文后,将认证请求报文发送给认证服务器,由认证服务器利用认证请求报文中携带的用户名和密码等信息对用户设备进行认证。如果用户设备认证通过,则认证服务器向身份防火墙发送认证成功报文,身份防火墙在收到认证成功报文后,确定用户设备认证通过。在此基础上,本发明实施例中,身份防火墙在确定用户设备认证通过时,如图2所示,该行为管理的方法可以包括以下步骤:
步骤201,身份防火墙在确定用户设备认证通过时,向审计设备发送认证通知报文。
其中,该认证通知报文中携带通过认证的用户设备的地址信息。
步骤202,审计设备接收身份防火墙在确定用户设备通过认证时发送的认证通知报文。
步骤203,审计设备根据地址信息(即认证通知报文中携带通过认证的用户设备的地址信息)确定用户设备对应的用户属性。
本发明实施例中,审计设备根据用户设备的地址信息确定用户设备对应的用户属性的过程,具体包括但不限于:审计设备确定用户设备的地址信息所属的地址信息组,并利用地址信息所属的地址信息组,查询预先配置的地址信息组与用户属性的对应关系,得到用户设备对应的用户属性。
本发明实施例中,地址信息具体可以包括但不限于IP地址和/或MAC(MediaAccess Control,介质访问控制)地址,相应的,地址信息组具体可以包括但不限于IP地址组和/或MAC地址组。为了方便描述,以地址信息为IP地址,且地址信息组为IP地址组为例进行后续说明。
在审计设备上可以预先配置IP地址组与用户属性的对应关系,如:当研发部的用户设备使用IP网段1,市场部的用户设备使用IP网段2时,则在审计设备上预先配置IP地址组1(如IP网段1中包括的IP地址1-IP地址100)与研发部(用户属性)的对应关系,并预先配置IP地址组2(如IP网段2中包括的IP地址101-IP地址500)与市场部(用户属性)的对应关系。基于此对应关系,假设用户设备的IP地址为IP地址10,则审计设备确定IP地址10所属的IP地址组为IP地址组1,利用IP地址组1查询预先配置的IP地址组与用户属性的对应关系,得到用户设备对应的用户属性为研发部。
步骤204,审计设备利用用户设备对应的用户属性查询预先配置的用户属性与行为管理策略的第一对应关系,得到用户属性对应的行为管理策略。
本发明实施例中,在审计设备上可以预先配置用户属性与行为管理策略的第一对应关系,如:预先配置研发部(用户属性)与行为管理策略1的对应关系,并预先配置市场部(用户属性)与行为管理策略2的对应关系。基于此对应关系,审计设备在得到用户设备对应的用户属性为研发部时,则可以利用研发部查询预先配置的用户属性与行为管理策略的第一对应关系,得到该用户设备对应的行为管理策略为行为管理策略1。
步骤205,若审计设备未保存地址信息(即认证通知报文中携带通过认证的用户设备的地址信息)与行为管理策略(即步骤204中获得的用户属性对应的行为管理策略)的第二对应关系,则审计设备生成第二对应关系。
其中,审计设备在生成地址信息与行为管理策略的第二对应关系之后,还可以将该第二对应关系记录到审计设备维护的第二用户认证表中,且审计设备还可以在该第二对应关系中记录步骤203中获得的用户属性。
如表1所示,为审计设备维护的第二用户认证表的一种示例,假设用户设备对应的用户属性为研发部,研发部对应的行为管理策略为行为管理策略1,用户设备的地址信息为地址信息1,则审计设备在第二用户认证表中记录研发部、行为管理策略1和地址信息1的对应关系,如表1所示。
表1
| 用户属性 | 行为管理策略 | 地址信息 |
| 研发部 | 行为管理策略1 | 地址信息1 |
步骤206,审计设备在接收到源地址与地址信息匹配的报文时,根据第二对应关系找到行为管理策略,并根据行为管理策略对报文进行行为管理。
本发明实施例中,审计设备在接收到报文时,利用该报文的源地址查询第二用户认证表中记录的第二对应关系,找到记录有该报文的源地址的第二对应关系,并可以从该第二对应关系中找到该报文的源地址所对应的行为管理策略,继而可以利用该行为管理策略对报文进行行为管理。
例如,基于表1所示的第二用户认证表,审计设备在接收到报文后,如果报文的源IP地址为地址信息1,则报文匹配到的地址信息1对应的行为管理策略为行为管理策略1,并利用行为管理策略1对报文进行行为管理。
本发明实施例中,该行为管理策略具体包括但不限于以下之一或者任意组合:即时通讯审计策略、垃圾邮件策略、流量控制策略。
在审计设备利用即时通讯审计策略对报文进行行为管理时,如果报文为即时通讯报文,则审计设备可以检查报文中是否包含敏感词,是否携带违法信息等,如果是,则直接丢弃报文,如果否,则向IP网络转发报文;或者,在特定时间段(如工作时间)内,可以检查报文是否为即时通讯报文,如果是,则直接丢弃报文,如果否,则向IP网络转发报文。在审计设备利用垃圾邮件策略对报文进行行为管理时,如果报文为邮件报文,则审计设备可以检查报文是否为垃圾邮件,如果是,则直接丢弃报文,如果否,则向IP网络转发报文。在审计设备利用流量控制策略对报文进行行为管理时,可以控制报文的传输速率,如报文的传输速率不超过3MB,也可以控制访问内容,如访问A网站的报文被直接丢弃,访问B网站的报文被转发给IP网络等。
当然,上述应用只是即时通讯审计策略、垃圾邮件策略、流量控制策略的部分应用,即时通讯审计策略、垃圾邮件策略、流量控制策略还可以有其它应用,在此不再赘述。而且,行为管理策略并不局限于即时通讯审计策略、垃圾邮件策略、流量控制策略,还可以有其它策略,在此不再赘述。
本发明实施例中,在审计设备生成第二对应关系之后,审计设备还可以将该第二对应关系设置为使用状态。在审计设备利用用户属性查询预先配置的用户属性与行为管理策略的第一对应关系,得到用户属性对应的行为管理策略之后,在审计设备在接收到源地址与地址信息匹配的报文时,根据第二对应关系找到行为管理策略,并根据行为管理策略对报文进行行为管理之前,若审计设备保存有地址信息与行为管理策略的第二对应关系,且第二对应关系为非使用状态,则审计设备还可以将第二对应关系设置为使用状态;或者,若审计设备保存有地址信息与行为管理策略的第二对应关系,且第二对应关系为使用状态,则审计设备继续保留该第二对应关系的使用状态。
本发明实施例中,身份防火墙在确定用户设备下线时,向审计设备发送下线通知报文,审计设备接收身份防火墙在确定用户设备下线时发送的下线通知报文,该下线通知报文中携带用户设备的地址信息。进一步的,审计设备根据地址信息查找到第二对应关系,并将第二对应关系设置为非使用状态。
本发明实施例中,审计设备在利用报文的源地址查询第二用户认证表中记录的第二对应关系,并找到记录有该报文的源地址的第二对应关系后,如果该第二对应关系被设置为使用状态,则可以利用该第二对应关系中的行为管理策略对报文进行行为管理,如果该第二对应关系被设置为非使用状态,则不需要利用该第二对应关系中的行为管理策略对报文进行行为管理。
本发明实施例中,审计设备在第二用户认证表中记录地址信息、行为管理策略与用户属性的第二对应关系之后,还可以在第二用户认证表中为该第二对应关系设置状态项,该状态项具体可以为使用状态或者非使用状态,审计设备可以利用上述方式将第二对应关系的状态项调整为使用状态或者非使用状态。其中,如表2所示,为包括状态项的第二用户认证表的一种示例。
表2
其中,通过为第二对应关系设置状态项,并设置该状态项为使用状态或者非使用状态,从而在地址信息对应的用户设备短暂下线时,不需要删除该用户设备对应的第二对应关系,可以继续保留该第二对应关系,在该用户设备重新上线时,可以继续使用该第二对应关系。基于上述方式,在用户设备反复上线下线时,审计设备不需要反复的生成第二对应关系、删除第二对应关系,从而节省审计设备的工作量,减轻审计设备的工作负担。
本发明实施例中,在审计设备接收身份防火墙在确定用户设备下线时发送的下线通知报文之后,审计设备还可以对用户设备的下线时间进行计时;若审计设备确定用户设备的下线时间大于预设时间阈值,则审计设备将第二对应关系(即该用户设备的地址信息对应的第二对应关系)删除。
其中,该预设时间阈值可以根据实际需要进行选择。
基于上述技术方案,本发明实施例中,身份防火墙在确定用户设备通过认证时,向审计设备发送认证通知报文,由审计设备利用该认证通知报文确定用户设备通过认证,而不需要再次触发用户设备进行认证过程。上述方式通过在身份防火墙与审计设备之间进行联动,使得用户设备只需要进行一次认证,并且审计设备上维护用户设备的地址信息和行为管理策略的对应关系,并利用该行为管理策略对匹配到该地址信息的报文进行行为管理,不需要在审计设备上触发对用户设备的重复认证,减少重复认证的开销,整个系统的运作效率会大大提高,并且提高用户使用感受。而且,不需要手工在审计设备上为用户设备配置行为管理策略,减轻用户配置的工作量,降低系统管理员手工干预的频率,优化用户上线体验。
本发明提出的行为管理的装置,可以应用在审计设备中,该行为管理的装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在的审计设备的处理器,将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本发明提出的行为管理的装置所在的审计设备的一种硬件结构图,除了图3所示的处理器、网络接口、内存以及非易失性存储器外,审计设备还可以包括其他硬件,如负责处理报文的转发芯片等;从硬件结构上来讲,该审计设备还可能是分布式设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种行为管理的装置,所述行为管理的装置应用在审计设备上,如图4所示,所述行为管理的装置具体包括:
接收模块11,用于接收身份防火墙在确定用户设备通过认证时发送的认证通知报文,所述认证通知报文中携带所述用户设备的地址信息;
确定模块12,用于根据所述地址信息确定用户设备对应的用户属性;
获得模块13,用于利用所述用户属性查询预先配置的用户属性与行为管理策略的第一对应关系,得到所述用户属性对应的行为管理策略;
处理模块14,用于当所述审计设备上未保存所述地址信息与行为管理策略的第二对应关系时,则生成所述第二对应关系;
行为管理模块15,用于在接收到源地址与地址信息匹配的报文时,根据第二对应关系找到行为管理策略,并根据行为管理策略对报文进行行为管理。
所述处理模块14,还用于在所述处理模块14生成所述第二对应关系之后,将所述第二对应关系设置为使用状态。
所述处理模块14,还用于在所述获得模块13利用所述用户属性查询预先配置的用户属性与行为管理策略的第一对应关系,得到所述用户属性对应的行为管理策略之后,在所述行为管理模块15在接收到源地址与地址信息匹配的报文时,根据所述第二对应关系找到所述行为管理策略,并根据所述行为管理策略对所述报文进行行为管理之前,当所述审计设备上保存有所述地址信息与所述行为管理策略的第二对应关系,且所述第二对应关系为非使用状态时,则将所述第二对应关系设置为使用状态。
所述接收模块11,还用于接收所述身份防火墙在确定所述用户设备下线时发送的下线通知报文,所述下线通知报文中携带用户设备的地址信息;
所述处理模块14,还用于根据所述地址信息查找到所述第二对应关系,并将所述第二对应关系设置为非使用状态。
处理模块14,还用于在所述接收模块11接收所述身份防火墙在确定所述用户设备下线时发送的下线通知报文之后,对用户设备的下线时间进行计时;若确定用户设备的下线时间大于预设时间阈值,则将第二对应关系删除。
本发明实施例中,所述地址信息具体包括IP地址和/或介质访问控制MAC地址;所述行为管理策略具体包括以下之一或者任意组合:即时通讯审计策略、垃圾邮件策略、流量控制策略。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (12)
1.一种行为管理的方法,其特征在于,所述方法包括以下步骤:
审计设备接收身份防火墙在接收到认证成功报文且确定用户设备通过认证时发送的认证通知报文,所述认证通知报文中携带所述用户设备的地址信息;
所述审计设备根据所述地址信息确定所述用户设备对应的用户属性;
所述审计设备利用所述用户属性查询预先配置的用户属性与行为管理策略的第一对应关系,得到所述用户属性对应的行为管理策略;
若所述审计设备未保存所述地址信息与所述行为管理策略的第二对应关系,则所述审计设备生成所述第二对应关系;
所述审计设备在接收到源地址与所述地址信息匹配的报文时,根据所述第二对应关系找到所述行为管理策略,并根据所述行为管理策略对所述报文进行行为管理。
2.根据权利要求1所述的方法,其特征在于,在所述审计设备生成所述第二对应关系之后,所述方法还包括:
所述审计设备将所述第二对应关系设置为使用状态。
3.根据权利要求1所述的方法,其特征在于,在所述审计设备利用所述用户属性查询预先配置的用户属性与行为管理策略的第一对应关系,得到所述用户属性对应的行为管理策略之后,在所述审计设备在接收到源地址与所述地址信息匹配的报文时,根据所述第二对应关系找到所述行为管理策略,并根据所述行为管理策略对所述报文进行行为管理之前,所述方法还包括:
若所述审计设备保存有所述地址信息与所述行为管理策略的第二对应关系,且所述第二对应关系为非使用状态,则所述审计设备将所述第二对应关系设置为使用状态。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述审计设备接收所述身份防火墙在确定所述用户设备下线时发送的下线通知报文,所述下线通知报文中携带所述用户设备的地址信息;
所述审计设备根据所述地址信息查找到所述第二对应关系,并将所述第二对应关系设置为非使用状态。
5.根据权利要求4所述的方法,其特征在于,在所述审计设备接收所述身份防火墙在确定所述用户设备下线时发送的下线通知报文之后,所述方法还包括:
所述审计设备对所述用户设备的下线时间进行计时;
若所述审计设备确定所述用户设备的下线时间大于预设时间阈值,则所述审计设备将所述第二对应关系删除。
6.根据权利要求1-5任一所述的方法,其特征在于,所述地址信息具体包括IP地址和/或介质访问控制MAC地址;所述行为管理策略具体包括以下之一或者任意组合:即时通讯审计策略、垃圾邮件策略、流量控制策略。
7.一种行为管理的装置,其特征在于,所述行为管理的装置应用在审计设备上,且所述行为管理的装置具体包括:
接收模块,用于接收身份防火墙在接收到认证成功报文且确定用户设备通过认证时发送的认证通知报文,所述认证通知报文中携带所述用户设备的地址信息;
确定模块,用于根据所述地址信息确定所述用户设备对应的用户属性;
获得模块,用于利用所述用户属性查询预先配置的用户属性与行为管理策略的第一对应关系,得到所述用户属性对应的行为管理策略;
处理模块,用于当所述审计设备上未保存所述地址信息与所述行为管理策略的第二对应关系时,则生成所述第二对应关系;
行为管理模块,用于在接收到源地址与所述地址信息匹配的报文时,则根据所述第二对应关系找到所述行为管理策略,并根据所述行为管理策略对所述报文进行行为管理。
8.根据权利要求7所述的装置,其特征在于,
所述处理模块,还用于在所述处理模块生成所述第二对应关系之后,将所述第二对应关系设置为使用状态。
9.根据权利要求7所述的装置,其特征在于,
所述处理模块,还用于在所述获得模块利用所述用户属性查询预先配置的用户属性与行为管理策略的第一对应关系,得到所述用户属性对应的行为管理策略之后,在所述行为管理模块在接收到源地址与所述地址信息匹配的报文时,根据所述第二对应关系找到所述行为管理策略,并根据所述行为管理策略对所述报文进行行为管理之前,当所述审计设备上保存有所述地址信息与所述行为管理策略的第二对应关系,且所述第二对应关系为非使用状态时,则将所述第二对应关系设置为使用状态。
10.根据权利要求7所述的装置,其特征在于,
所述接收模块,还用于接收所述身份防火墙在确定所述用户设备下线时发送的下线通知报文,所述下线通知报文中携带所述用户设备的地址信息;
所述处理模块,还用于根据所述地址信息查找到所述第二对应关系,并将所述第二对应关系设置为非使用状态。
11.根据权利要求10所述的装置,其特征在于,
所述处理模块,还用于在所述接收模块接收所述身份防火墙在确定所述用户设备下线时发送的下线通知报文之后,对所述用户设备的下线时间进行计时;若确定所述用户设备的下线时间大于预设时间阈值,则将所述第二对应关系删除。
12.根据权利要求7-11任一所述的装置,其特征在于,所述地址信息具体包括IP地址和/或介质访问控制MAC地址;所述行为管理策略具体包括以下之一或者任意组合:即时通讯审计策略、垃圾邮件策略、流量控制策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510501761.XA CN105592043B (zh) | 2015-08-14 | 2015-08-14 | 一种行为管理的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510501761.XA CN105592043B (zh) | 2015-08-14 | 2015-08-14 | 一种行为管理的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105592043A CN105592043A (zh) | 2016-05-18 |
| CN105592043B true CN105592043B (zh) | 2018-08-24 |
Family
ID=55931260
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510501761.XA Active CN105592043B (zh) | 2015-08-14 | 2015-08-14 | 一种行为管理的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105592043B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107124424A (zh) * | 2017-05-22 | 2017-09-01 | 迈普通信技术股份有限公司 | 实名审计方法、设备和系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103634119A (zh) * | 2013-12-13 | 2014-03-12 | 北京星网锐捷网络技术有限公司 | 认证方法、应用客户端、应用服务器及认证服务器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7346923B2 (en) * | 2003-11-21 | 2008-03-18 | International Business Machines Corporation | Federated identity management within a distributed portal server |
-
2015
- 2015-08-14 CN CN201510501761.XA patent/CN105592043B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103634119A (zh) * | 2013-12-13 | 2014-03-12 | 北京星网锐捷网络技术有限公司 | 认证方法、应用客户端、应用服务器及认证服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105592043A (zh) | 2016-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110995702B (zh) | 一种基于分布式微服务的用户认证方法 | |
| US9654480B2 (en) | Systems and methods for profiling client devices | |
| US20190342289A1 (en) | Network Authentication Method and Apparatus | |
| CN105049410B (zh) | 一种账号登录方法、装置及系统 | |
| CN102739684B (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| CN102420836A (zh) | 业务信息系统的登录方法以及登录管理系统 | |
| CN105592180B (zh) | 一种Portal认证的方法和装置 | |
| Crossman et al. | Study of authentication with IoT testbed | |
| CN102006286A (zh) | 信息系统的访问管理方法、装置、系统和接入设备 | |
| CN102271133A (zh) | 认证方法、装置和系统 | |
| CN104468552B (zh) | 一种接入控制方法和装置 | |
| US9674195B1 (en) | Use of highly authenticated operations to detect network address translation | |
| CN101986598A (zh) | 认证方法、服务器及系统 | |
| CN101202737B (zh) | 一种实现第三方邮件账户管理的方法及系统 | |
| CN104796383A (zh) | 一种终端信息防篡改的方法和装置 | |
| CN102769629B (zh) | 客户端密码存储方法及服务系统 | |
| CN104735050B (zh) | 一种融合mac认证和web认证的认证方法 | |
| CN105592043B (zh) | 一种行为管理的方法和装置 | |
| CN108123955A (zh) | 安全表项的管理方法、装置、设备及机器可读存储介质 | |
| CN101741568A (zh) | 上网方法、客户端、安全网关及上网系统 | |
| CN104009999B (zh) | 防止arp欺骗的方法、装置及网络接入服务器 | |
| CN102546552B (zh) | 认证方法、设备和系统 | |
| CN103179089A (zh) | 在不同软件开发平台之间访问验证身份的系统及方法 | |
| CN105227422B (zh) | 一种基于聚合网口的视频数据传输方法和装置 | |
| US20170264624A1 (en) | Method of mitigating cookie-injection and cookie-replaying attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |