本发明专利技术实施例提供了一种用户访问的控制方法及系统。通过接收已认证的来自源安全域的用户发送的对目的安全域访问的请求报文;根据所述报文确定所述报文所属的源安全域和要访问的目的安全域;比较所述源安全域是否等于所述目的安全域;当所述源安全域不等于所述目的安全域时,确定为域间访问,根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求;当所述源安全域等于所述目的安全域时,确定为域内访问,根据所述报文所访问的目的安全域是否使能允许所述报文访问,处理所述报文的访问请求。在认证系统的基础上引入安全域,把一个大规模的认证系统的安全问题,转化为更小区域的安全保护问题,实现精细化的安全认证管理的解决方案。
【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种用户访问的控制方法及系统。
技术介绍
近年来,随着信息化的飞速发展,信息化建设的触角也深入到教育行业,学校校园网络迅猛发展,数字化校园建设如火如荼的开展起来,然而随着教、学模式的转变,随时、随地、随需,无所不在的全新学习环境成为大势所趋。在新需求驱动下,高校校园网中的应用类型大大增加,对交互体验提出更高要求,视频流量激增,安全认证与Qos保证日益复杂……面对全新的网络挑战,精细化管理成为高校校园网络的必然选择。精细化体现在运维、安全、业务策略、认证、计费等多个层面。其核心思想是通过全新的网络架构设计以实现高校网络的精准、高效运营。众所周知,网络安全是精细化管理的前提条件。目前使用最多的认证技术有802.1x技术、Web认证。如何实现网络安全和精细化运营是本专利技术核心技术所在。附图1是一个典型的Web认证组网图,在核心设备的接口上开启Web认证,将全网用户的管理集中到核心设备上,方便整网部署,降低后续监控维护的代价。核心设备作为全网用户的网关,下联用户只有通过身份认证之后才能正常的访问网络。其中,开启认证的设备被我们称为NAS(NetworkAccessSecurity)设备。附图2所示,为用户认证上线的基本流程图,主要包括TCP报文的拦截,TCP伪连接的建立,HTTP报文的重定向及用户的认证上线。未认证用户发出的任何TCP请求报文都会被设备拦截,并充当目的网址与用户建立伪连接,将用户重定向到认证服务器,完成认证过程。现有技术的缺陷在于:现有认证系统架构对所有用户一刀切进行安全管理,无法灵活地根据不同用户类型、职位角色设置不同等级角色权限来满足不同层次用户的不同需求。
技术实现思路
本专利技术的实施例提供了一种用户访问的控制方法及系统,本专利技术提供了如下方案:接收已认证的来自源安全域的用户发送的对目的安全域访问的请求报文;根据所述报文确定所述报文所属的源安全域和要访问的目的安全域;比较所述源安全域是否等于所述目的安全域;当所述源安全域不等于所述目的安全域时,确定为域间访问,根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求;当所述源安全域等于所述目的安全域时,确定为域内访问,根据所述报文所访问的目的安全域是否使能允许所述报文访问,处理所述报文的访问请求。根据本专利技术的上述方法,所述根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求,包括:比较源安全域和目的安全域的优先级,如果源安全域的优先级高于目的安全域的优先级则允许所述用户请求报文访问所述目的安全域,如果源安全域的优先级低于目的安全域的优先级则不允许所述用户请求报文访问所述目的安全域,如果源安全域的优先级等于目的安全域的优先级则根据第一全局变量判断是否使能允许所述用户请求报文访问所述目的安全域。根据本专利技术的上述方法,所述根据所述报文所访问的目的安全域是否使能允许所述报文访问,处理所述报文的访问请求,包括:当所访问的安全域使能允许所述用户请求报文访问,则允许所述用户请求报文访问所述目的安全域;当所访问的安全域未使能允许所述用户请求报文访问,则根据第二全局变量判断是否使能允许所述用户请求报文访问所述目的安全域。根据本专利技术的上述方法,在确定所述报文所属的源安全域和目的安全域之前,包括:基于IP地址集合识别所述用户请求报文的源IP地址和目的IP地址,将源IP地址和源安全域对应建立关联的访问控制列表ACL;将目的IP地址和目的安全域对应建立关联的访问控制列表ACL;基于网络接口识别所述用户请求报文的源接口和目的接口,将所述报文的源接口和源安全域建立关联,将所述报文的目的接口和目的安全域建立关联。根据本专利技术的上述方法,确定所述报文所属的源安全域和目的安全域,包括:根据所述报文的源IP地址和目的IP地址,将源IP地址和目的IP地址分别和源安全域与目的安全域各自关联的ACL进行匹配,确定所述报文所属的源安全域和访问的目的安全域;或,根据所述报文的源接口和目的接口,将所述报文的源接口和目的接口分别和源安全域与目的安全域各自关联的网络接口进行匹配,确定所述报文所属的源安全域和访问的目的安全域。根据本专利技术的上述方法,在允许所述用户请求报文访问之后,包括:当检测到用户不在线时,通知安全管理平台SMP将用户状态标记为下线,并下发回收权限的命令,卸载所述用户安全域关联的ACL。根据本专利技术的另一方面,还提供一种用户访问的控制系统,其特征在于,包括:接收模块:接收已认证的来自源安全域的用户发送的对目的安全域访问的请求报文;确定模块:其用于根据所述报文确定所述报文所属的源安全域和要访问的目的安全域;比较模块:其用于比较所述源安全域是否等于所述目的安全域;执行模块:其用于当所述源安全域不等于所述目的安全域时,确定为域间访问,根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求;当所述源安全域等于所述目的安全域时,确定为域内访问,根据所述报文所访问的目的安全域是否使能允许所述报文访问,处理所述报文的访问请求。根据本专利技术的另一方面,所述执行模块具体用于:比较源安全域和目的安全域的优先级,如果源安全域的优先级高于目的安全域的优先级则允许所述用户请求报文访问所述目的安全域,如果源安全域的优先级低于目的安全域的优先级则不允许所述用户请求报文访问所述目的安全域,如果源安全域的优先级等于目的安全域的优先级则根据第一全局变量判断是否使能允许所述用户请求报文访问所述目的安全域。根据本专利技术的另一方面,所述执行模块具体用于:在确定所述报文所属的源安全域和目的安全域之前,当所访问的目的安全域使能允许所述用户请求报文访问,则允许所述用户请求报文访问所述目的安全域;当所访问的安全域未使能允许所述用户请求报文访问,则根据第二全局变量判断是否使能允许所述用户请求报文访问所述目的安全域。根据本专利技术的另一方面,上述的一种用户访问的控制系统包括,关联模块,其用于:基于IP地址集合识别所述用户请求报文的源IP地址和目的IP地址,将源IP地址和源安全域对应建立关联的访问控制列表ACL;将目的IP地址和目的安全域对应建立关联的访问控制列表ACL;基于网络接口识别所述用户请求报文的源接口和目的接口,将所述报文的源接口和源安全域建立关联,将所述报文的目的接口和目的安全域建立关联。根据本专利技术的另一方面,所述确定模块具体用于:根据所述报文的源IP地址和目的IP地址,将源IP地址和目的IP地址分别和源安全域与目的安全域各自关联的ACL进行匹配,确定所述报文所属的源安全域和访问的目的安全域;或,根据所述报文的源接口和目的接口,将所述报文的源接口和目的接口分别和源安全域与目的安全域各自关联的网络接口进行匹配,确定所述报文所属的源安全域和访问的目的安全域。根据本专利技术的另一方面,上述的一种用户访问的控制系统,包括,回收模块,其用于在允许所述用户请求报文访问之后,当检测到用户不在线时,通知安全管理平台SMP将用户状态标记为下线,并下发回收权限的命令,卸载所述用户安全域关联的ACL。由上述本专利技术的实施例提供的技术方案可以看出,本专利技术实施例接收已认证的来自源安全域的用户发送的对目的安全域访问的请求报文;根据所述报文确定所述报文所属的源安全域和要访问的目的安全域;比较所述源安全本文档来自技高网...
【技术保护点】
一种用户访问的控制方法,其特征在于,包括:接收已认证的来自源安全域的用户发送的对目的安全域访问的请求报文;根据所述报文确定所述报文所属的源安全域和要访问的目的安全域;比较所述源安全域是否等于所述目的安全域;当所述源安全域不等于所述目的安全域时,确定为域间访问,根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求;当所述源安全域等于所述目的安全域时,确定为域内访问,根据所述报文所访问的目的安全域是否使能允许所述报文访问,处理所述报文的访问请求。
【技术特征摘要】
1.一种用户访问的控制方法,其特征在于,包括:接收已认证的来自源安全域的用户发送的对目的安全域访问的请求报文;根据所述报文确定所述报文所属的源安全域和要访问的目的安全域;比较所述源安全域是否等于所述目的安全域;当所述源安全域不等于所述目的安全域时,确定为域间访问,根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求;当所述源安全域等于所述目的安全域时,确定为域内访问,根据所述报文所访问的目的安全域是否使能允许所述报文访问,处理所述报文的访问请求。2.根据权利要求1所述的一种用户访问的控制方法,其特征在于,所述根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求,包括:比较源安全域和目的安全域的优先级,如果源安全域的优先级高于目的安全域的优先级则允许所述用户请求报文访问所述目的安全域,如果源安全域的优先级低于目的安全域的优先级则不允许所述用户请求报文访问所述目的安全域,如果源安全域的优先级等于目的安全域的优先级则根据第一全局变量判断是否使能允许所述用户请求报文访问所述目的安全域。3.根据权利要求1所述的一种用户访问的控制方法,其特征在于,所述根据所述报文所访问的目的安全域是否使能允许所述报文访问,处理所述报文的访问请求,包括:当所访问的目的安全域使能允许所述用户请求报文访问,则允许所述用户请求报文访问所述目的安全域;当所访问的目的安全域未使能允许所述用户请求报文访问,则根据第二全局变量判断是否使能允许所述用户请求报文访问所述目的安全域。4.根据权利要求1所述的一种用户访问的控制方法,其特征在于,在确定所述报文所属的源安全域和要访问的目的安全域之前,包括:基于IP地址集合识别所述用户请求报文的源IP地址和目的IP地址,将源IP地址和源安全域对应建立关联的访问控制列表ACL;将目的IP地址和目的安全域对应建立关联的访问控制列表ACL;基于网络接口识别所述用户请求报文的源接口和目的接口,将所述报文的源接口和源安全域建立关联,将所述报文的目的接口和目的安全域建立关联。5.根据权利要求4所述的一种用户访问的控制方法,其特征在于,确定所述报文所属的源安全域和要访问的目的安全域,包括:根据所述报文的源IP地址和目的IP地址,将源IP地址和目的IP地址分别和源安全域与目的安全域各自关联的ACL进行匹配,确定所述报文所属的源安全域和访问的目的安全域;或,根据所述报文的源接口和目的接口,将所述报文的源接口和目的接口分别和源安全域与目的安全域各自关联的网络接口进行匹配,确...
【专利技术属性】
技术研发人员:吴世奇,
申请(专利权)人:锐捷网络股份有限公司,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。