| 发明名称 | 一种基于用户连接信息的细粒度网络访问控制方法 | ||
| 摘要 | 本发明涉及了一种基于用户连接信息的细粒度网络访问控制方法,其核心思想是通过网关、认证服务器、客户端的三方架构实现基于用户身份和权限对用户发起的连接进行审计的网络访问控制方法。该方法通过将客户端发起的每个连接与用户身份进行绑定实现了一种可以在认证服务器端对客户端所发起的每一个连接,以及发起该连接的网络应用程序进行审计与控制的方案。本发明对局域网内多个用户的网络访问进行控制,具有较高的控制精度和灵活性,能够满足网络访问多层次性的控制要求以及灵活的用户登录方法。 | ||
| 申请公布号 | CN101616076B | 申请公布日期 | 2013.01.23 |
| 申请号 | CN200910063355.4 | 申请日期 | 2009.07.28 |
| 申请人 | 武汉理工大学 | 发明人 | 熊盛武;张立民;刘毅;管坤;秦佳 |
| 分类号 | H04L29/06(2006.01)I;H04L12/911(2013.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 武汉开元知识产权代理有限公司 42104 | 代理人 | 潘杰 |
| 主权项 | 一种基于用户连接信息的细粒度网络访问控制方法,是通过网关、认证服务器、客户端的三方架构实现基于用户身份和权限对用户发起的连接进行审计的网络访问控制方法,其具体步骤为:步骤1:客户端监听:当用户发起新的连接试图访问被网关隔离的外网资源时,客户端收集该连接的相关信息,该相关信息包括:客户端的硬件信息以及系统活动的网络连接信息,将这些信息与用户信息一并发送至认证服务器处理,由认证服务器决定对该连接的下一步操作;步骤2:网关对所述连接的相关信息进行操作:网关接收到步骤1发送的访问外网资源连接,对该连接暂时阻塞,并将其放入待审计连接队列,并开始运行步骤4的操作;步骤3:认证服务器对步骤1发送的所述连接的相关信息进行权限审计,具体包括:第一步:判断内存中是否存在网络访问控制列表以及该连接是否过期:1)如果该连接已过期,则拒绝该连接;否则继续;2)如果认证服务器内存中不存在与该连接相关的网络访问控制列表规则,从数据库服务器获取网络访问控制列表的相关信息,并将其读入内存;第二步:根据内存中的访问控制列表对步骤1的所述连接的相关信息进行权限匹配,如果匹配到该连接所属的权限组,则根据匹配到的访问控制规则对该连接做出相应的决定;否则采取默认策略,丢弃该连接;第三步:将步骤1的所述连接的相关信息以及对该连接的相关信息的匹配过程写入系统日志以备管理;步骤4:网关询问判断:网关向认证服务器询问步骤2中的待审计队列中的所述连接的相关信息的处理结果,等待认证服务器对连接及所属数据包的权限审计决定;步骤5:网关接收认证服务器发送过来的权限审计决定,并应用该决定,对步骤1的连接采取放行/丢弃/拒绝的处理。 | ||
| 地址 | 430070 湖北省武汉市武昌珞狮路122号 | ||