本发明专利技术公开了一种用户访问控制的实现方法,包括:客户端根据需访问的IP地址确定需访问的第三方用户服务器,并发送登录信息到所述第三方用户服务器;所述第三方用户服务器对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端;所述客户端根据所述用户身份在本地网络设备匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。本发明专利技术还同时公开了一种用户访问控制的实现系统、第三方用户服务器。
【技术实现步骤摘要】
本专利技术涉及网络信息安全
,尤其涉及一种用户访问控制的实现方法和系统、第三方用户服务器。
技术介绍
访问控制是系统保密性、完整性、可用性和合法使用性的重要基础之一,也是网络安全防范和资源保护的关键策略之一。访问控制为系统信息和数据资源的安全提供了基本保障。所谓访问控制,是指系统对用户身份及其所属的预先定义的策略组,限制用户使用数据资源能力的一种手段。而访问控制过程中的用户管理从架构上划分,可以分为用户组织结构、认证服务器和策略控制器三个组成部分;从数据流程上划分,可以分为IP到用户、用户到身份和身份到策略三个转换过程。图1给出了现有技术中用户进行访问控制的一般实现方法,如图1所示,在本地网络设备中建立用户树,为每个用户分配认证信息,如IP地址、用户名和密码,并为每个用户制定相应的身份,创建用户身份表,最后再针对用户身份表中用户的各种身份制定相应的策略,形成身份策略表。这样,当有业务流量到来时,就可以在本地实现IP到用户(认证过程)、用户到身份(用户身份表)和身份到策略(身份策略表)的过程,最终根据具体的安全策略进行用户访问控制。然而,上述访问控制过程中,仅采用本地网络设备来维护用户组织结构,基于本地的组织结构提供用户访问控制能力;但是在实际部署中,用户组织结构有时会被维护在第三方用户服务器上,在这种场景下,本地网络设备与第三方用户服务器的组织结构在功能上构成了很大冗余,造成了设备资源的浪费。同时,在大型客户实际使用场景中,通常在这种第三方用户服务器上存储的用户量也会很大,一般在万量级;而传统实现方法中,本地组织结构的维护和支持用户上下线动作占用了网络设备大量的资源,成为提高网络设备支持用户数量的一个关键的性能瓶颈。综上所述,采用现有技术,对于如何解除本地网络设备与第三方用户服务器之间的功能冗余,以及随着用户数量的不断增大而对网络设备产生性能影响的问题,尚无有效解决方案。
技术实现思路
有鉴于此,本专利技术实施例期望提供一种用户访问控制的实现方法和系统、第三方用户服务器,能减少本地网络设备与第三方用户服务器之间的功能冗余,并避免用户数量不断增大对网络设备产生的性能影响,提高设备性能。为达到上述目的,本专利技术实施例的技术方案是这样实现的:本专利技术实施例提供一种用户访问控制的实现方法,所述方法包括:客户端根据需访问的IP地址确定需访问的第三方用户服务器,并发送登录信息到所述第三方用户服务器;所述第三方用户服务器对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端;所述客户端根据所述用户身份在本地网络设备匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。上述方案中,所述查询上线信息中上线用户所对应的用户身份,包括:根据预设的用户与身份对应关系,通过查询接口查询所述登录信息中的用户名,从所述第三方用户服务器中获取用户对应的用户身份。上述方案中,所述方法还包括:所述第三方用户服务器保存所述用户与身份对应关系。上述方案中,所述访问控制操作包括:放行、封堵、记录日志、进行入侵
防御系统(IPS,Intrusion Prevention System)扫描。本专利技术实施例还提供一种用户访问控制的实现系统,所述系统包括:客户端、第三方用户服务器和本地网络设备;其中,所述客户端,用于根据需访问的IP地址确定需访问的第三方用户服务器,并发送登录信息到所述第三方用户服务器;所述第三方用户服务器,用于对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端;所述本地网络设备,用于为所述客户端根据所述用户身份匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。上述方案中,所述第三方用户服务器还用于,根据预设的用户与身份对应关系,通过查询接口查询所述登录信息中的用户名,获取用户对应的用户身份。上述方案中,所述第三方用户服务器还用于,保存所述用户与身份对应关系。上述方案中,所述访问控制操作包括:放行、封堵、记录日志、进行IPS扫描。本专利技术实施例还提供一种第三方用户服务器,所述第三方用户服务器包括:登录信息验证模块,用于在接收到客户端发送的登录信息时,对所述登录信息进行验证;用户身份返回模块,用于在所述登录信息验证模块对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端,以供所述客户端根据所述用户身份匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。上述方案中,所述第三方用户服务器还包括对应关系存储模块,用于保存所述用户与身份对应关系,并为所述用户身份返回模块提供所述对应关系的查询服务。本专利技术实施例所提供的用户访问控制的实现方法和系统、第三方用户服务
器,客户端根据需访问的IP地址确定需访问的第三方用户服务器,并发送登录信息到所述第三方用户服务器;所述第三方用户服务器对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端;所述客户端根据所述用户身份在本地网络设备匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。通过本专利技术实施例,客户端能够基于第三方用户服务器提供的用户信息,在本地网络设备实现用户访问控制,并取消了本地的用户组织结构和用户的识别认证;如此,通过分离本地网络设备与第三方用户服务器功能重合的部分,能达到提高设备性能、减少本地网络设备与第三方用户服务器之间功能冗余的目的。另外,本专利技术实施例还可以在保持网络设备性能和功能不变的情况下,提高设备支持的用户数量,从而有效避免用户数量不断增大对网络设备产生的性能影响。附图说明图1为现有的用户访问控制的实现方法流程示意图;图2为本专利技术实施例用户访问控制的实现方法流程示意图;图3为本专利技术实施例架构组成示意图;图4为本专利技术实施例配置流程示意图;图5为本专利技术实施例用户访问控制流程示意图;图6为本专利技术实施例用户访问控制的实现系统的组成结构示意图;图7为本专利技术实施例的一种第三方用户服务器的组成结构示意图。具体实施方式为了能够更加详尽地了解本专利技术实施例的特点与
技术实现思路
,下面结合附图对本专利技术实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本专利技术。如图2所示,本专利技术实施例中用户访问控制的实现方法流程,包括以下步
骤:步骤201:客户端根据需访问的IP地址确定需访问的第三方用户服务器,并发送登录信息到所述第三方用户服务器;这里,所述登录信息包括用户名和密码。本步骤201中,所述客户端根据需访问的IP地址确定需访问的第三方用户服务器,包括:获取所述IP地址对应的域名,根据所述IP地址对应的域名拼接出相应第三方用户服务器的域名,以确定需访问的第三方用户服务器。步骤202:所述第三方用户服务器对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端;这里,所述查询上线信息中上线用户所对应的用户身份,包括:根据预设的用户与身份对应关系,通过查询接口查询所述登录信息中的用户名,从所述第三方用户服务器中获取用户对本文档来自技高网...
【技术保护点】
一种用户访问控制的实现方法,其特征在于,所述方法包括:客户端根据需访问的IP地址确定需访问的第三方用户服务器,并发送登录信息到所述第三方用户服务器;所述第三方用户服务器对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端;所述客户端根据所述用户身份在本地网络设备匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。
【技术特征摘要】
1.一种用户访问控制的实现方法,其特征在于,所述方法包括:客户端根据需访问的IP地址确定需访问的第三方用户服务器,并发送登录信息到所述第三方用户服务器;所述第三方用户服务器对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端;所述客户端根据所述用户身份在本地网络设备匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。2.根据权利要求1所述的方法,其特征在于,所述查询上线信息中上线用户所对应的用户身份,包括:根据预设的用户与身份对应关系,通过查询接口查询所述登录信息中的用户名,从所述第三方用户服务器中获取用户对应的用户身份。3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:所述第三方用户服务器保存所述用户与身份对应关系。4.根据权利要求1或2所述的方法,其特征在于,所述访问控制操作包括:放行、封堵、记录日志、进行入侵防御系统IPS扫描。5.一种用户访问控制的实现系统,其特征在于,所述系统包括:客户端、第三方用户服务器和本地网络设备;其中,所述客户端,用于根据需访问的IP地址确定需访问的第三方用户服务器,并发送登录信息到所述第三方用户服务器;所述第三方用户服务器,用于对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户...
【专利技术属性】
技术研发人员:强盛,陈鑫,
申请(专利权)人:北京网康科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。