专利名称:一种访问控制系统的制作方法
技术领域:
本实用新型涉及信息安全领域,具体而言,涉及一种访问控制系统。
背景技术:
访问控制技术包括3个要素,即主体、客体和控制策略。主体(Subject):有时也称为用户(User)或访问者(被授权使用计算机的人员),是可以对其他实体施加动作的主动实体。主体的含义是广泛的,可以是用户所在的组织、用户本身,也可以是用户使用的计算机终端、卡机、手持终端(无线)等,甚至可以是应用服务程序或进程。客体(Object):是接受其他实体访问的被动实体。客体的概念也很广泛,凡是可以被操作的信息、资源、对象都可以认为是客体。在信息社会中,客体可以是信息、文件、记录等的集合体,也可以是网络上的硬件设施、无线通信中的终端,甚至一个客体可以包含另外一个客体。控制策略:是主体对客体的操作行为集合约束条件集。简单地讲,控制策略是主体对客体的访问规则集,这个规则集直接定义了主体对客体的作用行为和客体对主体的条件约束。访问策略体现了一种授权行为,也就是客体对主体的权限允许,这种允许不超越规则集。访问控制技术又可分为自主访问控制和强制访问控制两大类。(I)自主访问控制:是指由用户有权对访问对象进行访问,并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。(2)强制访问控制:是指由系统(通过专门设置的系统安全员)对用户所能访问的对象进行统一的强制性控制,按照规定的规则决定哪些用户可以对哪些对象进行什么样操作类型的访问。访问控制技术在针对B/S架构应用程序所能产生的访问控制技术内容中所起作用有:防止非法的用户访问受保护的B/S架构应用程序;允许合法用户访问受保护的B/S架构应用程序;防止合法的用户对受保护的B/S架构应用程序进行非授权的访问。现有强制访问控制技术主要有:(I)入网访问控制技术,能够将非法用户隔离在B/S架构应用系统所处的网络之夕卜,使其无法访问,但不能阻止合法用户非法或越权访问B/S架构应用系统。(2)网络域划分技术,可以将不同B/S架构应用系统划分到不同网络域中,减少非法访问的可能性,但也不能阻止合法用户非法或越权访问B/S架构应用系统。(3)网络设备控制策略技术,通常使用防火墙、交换机等设备本身的安全策略功能,通过管理员设置,可以阻止对B/S架构应用系统的IP地址或端口的访问,减少非法入侵的可能性,但也不能阻止合法用户非法或越权访问B/S架构应用系统。(4)B/S架构应用系统认证技术,除了通常的用户名密码认证方式,还可以用数字证书、短信、动态口令来增强应用系统对用户身份识别的可靠性,阻止非法用户的访问,但只能用于认证过程,一旦经过认证则对用户访问行为无法控制。针对相关技术的对B/S架构应用系统访问控制不安全的问题,目前尚未提出有效的解决方案。
实用新型内容针对相关技术的对B/S架构应用系统访问控制不安全的问题,目前尚未提出有效的解决方案,为此,本实用新型的主要目的在于提供一种访问控制系统,以解决上述问题。为了实现上述目的,本实用新型提供了一种访问控制系统,该系统包括:客户端,用于发出登录用户的访问请求;控制服务器,用于将接收到的访问请求与访问控制策略进行对比,以确认登录用户是否具有访问权限;B/S架构应用服务器,用于在登录用户具有访问权限的情况下,接收客户端的访问请求。进一步地,访问阻断装置,用于拦截IP数据包;访问监控装置,用于将IP数据包与其所对应的访问控制策略进行对比,以确认是否发送该IP数据包至B/S架构应用服务器。进一步地,处理装置,用于将解析IP数据包而得到的URL地址与访问控制策略进行对比,来确认是否允许登录用户访问该URL地址所对应的B/S架构应用服务器。进一步地,存储装置,用于将拦截到的IP数据包按队列进行存储。进一步地,接收装置,用于建立与客户端通讯,以接收访问请求;发送装置,用于将具有访问权限的访问请求发送至B/S架构应用服务器。通过本实用新型,采用阻断模式对B/S架构应用程序的访问控制方法,解决了相关技术的对B/S架构应用系统访问控制不安全的问题,进而实现了对B/S架构应用程序的安全保护的效果。
此处所说明的附图用来提供对本实用新型的进一步理解,构成本申请的一部分,本实用新型的示意性实施例及其说明用于解释本实用新型,并不构成对本实用新型的不当限定。在附图中:图1是根据本实用新型实施例的访问控制系统的框架结构示意图;图2是根据图1所示的实施例的访问控制业务流程架构示意图;以及图3是根据本实用新型实施例的访问控制系统的应用方法的流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本实用新型。图1是根据本实用新型实施例的访问控制系统的框架结构示意图,图2是根据图1所示的实施例的访问控制业务流程架构示意图。如图1和图2所示,该访问控制系统包括:客户端,用于发出登录用户的访问请求;控制服务器,用于将接收到的访问请求与访问控制策略进行对比,以确认登录用户是否具有访问权限;B/S架构应用服务器,用于在登录用户具有访问权限的情况下,接收客户端的访问请求。优选地,该客户端可以是访问控制客户端,控制服务器可以是访问控制服务器。[0029]其中,客户端用于对用户登录进行认证,监测用户在线状态;控制服务器用于存储用户信息,设置用户访问权限,存储用户对B/S应用系统的访问日志,监测用户访问对象,控制用户访问行为。具体地,访问控制服务器将用户策略与用户IP地址进行绑定,对于已经设定B/S架构应用系统访问策略的数据包,在流经系统时,会被访问行为阻断组件拦截,并将数据包放到数据分析队列中,此时用户的访问处于阻断状态。在数据分析队列中的数据包,会被访问行为监控组件进行抓取,在程序中通过HTTP协议解析数据包,解析出用户访问的目的B/S架构应用系统的URL地址,与设定的策略进行比较,确定用户有没有访问权限。如果有访问权限,则对相应的数据包放行,发送到目的B/S架构应用服务器,如果不符合访问策略,则相应的数据包被丢弃,阻止其到达B/S架构应用服务器。本申请的上述实施例,通过控制服务器将接收到的访问请求与访问控制策略进行对比,以确认登录用户是否具有访问权限,然后在登录用户具有访问权限的情况下,接收客户端的访问请求,由于本实用新型采用了阻断模式对B/S架构应用程序的访问控制方法,解决了相关技术中对B/S架构应用系统访问控制不安全的问题,进而实现了对B/S架构应用程序的安全保护的效果。在本申请的上述实施例中,访问请求包括当前客户端的IP数据包。具体地,控制服务器可以包括:访问阻断装置,用于拦截IP数据包;访问监控装置,用于将IP数据包与其所对应的访问控制策略进行对比,以确认是否发送该IP数据包至B/S架构应用服务器。优选地,访问监控装置可以包括:处理装置,用于将解析IP数据包而得到的URL地址与访问控制策略进行对比,来确认是否允许登录用户访问该URL地址所对应的B/S架构应用服务器。在本申请的访问控制系统的实施例中,控制服务器还可以包括:存储装置,用于将拦截到的IP数据包按队列进行存储。优选地,控制服务器还可以包括:接收装置,用于建立与客户端通讯,以接收访问请求;发送装置,用于将具有访问权限的访问请求发送至B/S架构应用服务器。图3是根据本实用新型实施例的访问控制系统的应用方法的流程图,如图3所示该方法包括如下步骤:步骤S102,用户登录访问控制客户端。步骤S104,用户计算机访问B/S架构应用程序,其中,用户在浏览器中发送访问B/S架构应用程序的请求,访问请求发送到访问控制器。步骤S106,访问控制服务器判断用户是否登录客户端,如果用户登录客户端,则进入步骤S108,如果用户未登录客户端,则返回步骤S102,用户登录访问控制客户端。步骤S108,访问控制服务器判断是否具有访问权限。访问控制服务器获取客户端登录信息后,查询数据库获得当前访问用户的控制策略,然后根据控制策略判断用户是否有权访问B/S架构应用系统,如果用户具有权限,则不阻断用户计算机使用B/S架构应用程序;如果用户不具有权限的话,则阻断用户计算机使用B/S架构应用程序,即丢弃用户的访问请求数据包。[0042]从以上的描述中,可以看出,本实用新型实现了如下技术效果:通过控制服务器将接收到的访问请求与访问控制策略进行对比,以确认登录用户是否具有访问权限,然后在登录用户具有访问权限的情况下,接收客户端的访问请求,由于不实用新型采用了阻断模式对B/S架构应用程序的访问控制方法,解决了相关技术中对B/S架构应用系统访问控制不安全的问题,进而实现了对B/S架构应用程序的安全保护的效果。本实用新型提供了对B/S架构应用程序非授权访问的阻断能力,用户访问B/S架构应用程序的强制认证能力、跟踪审计能力,实现了对B/S架构应用程序的安全保护。以上仅为本实用新型的优选实施例而已,并不用于限制本实用新型,对于本领域的技术人员来说,本实用新型可以有各种更改和变化。凡在本实用新型的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本实用新型的保护范围之内。
权利要求1.一种访问控制系统,其特征在于,包括: 客户端,用于发出登录用户的访问请求; 控制服务器,用于将接收到的所述访问请求与访问控制策略进行对比,以确认所述登录用户是否具有访问权限; B/S架构应用服务器,用于在所述登录用户具有访问权限的情况下,接收所述客户端的访问请求。
2.根据权利要求1所述的系统,其特征在于,所述访问请求包括当前客户端的IP数据包,所述控制服务器包括: 访问阻断装置,用于拦截所述IP数据包; 访问监控装置,用于将所述IP数据包与其所对应的访问控制策略进行对比,以确认是否发送该IP数据包至所述B/S架构应用服务器。
3.根据权利要求2所述的系统,其特征在于,所述访问监控装置包括: 处理装置,用于将解析所述IP数据包而得到的URL地址与所述访问控制策略进行对t匕,来确认是否允许登录用户访问该URL地址所对应的B/S架构应用服务器。
4.根据权利要求2所述的系统,其特征在于,所述控制服务器还包括: 存储装置,用于将拦截到的IP数据包按队列进行存储。
5.根据权利要求1所述的系统,其特征在于,所述控制服务器还包括: 接收装置,用于建立与所述客户端通讯,以接收所述访问请求; 发送装置,用于将具有访问权限的访问请求发送至所述B/S架构应用服务器。
专利摘要本实用新型公开了一种访问控制系统。其中,该系统包括客户端,用于发出登录用户的访问请求;控制服务器,用于将接收到的访问请求与访问控制策略进行对比,以确认登录用户是否具有访问权限;B/S架构应用服务器,用于在登录用户具有访问权限的情况下,接收客户端的访问请求。通过本实用新型,采用阻断模式对B/S架构应用程序的访问控制方法,解决了相关技术中对B/S架构应用系统访问控制不安全的问题,能够实现对B/S架构应用程序的安全保护的效果。
文档编号H04L29/08GK202940842SQ20122027680
公开日2013年5月15日 申请日期2012年6月12日 优先权日2012年6月12日
发明者刘福强, 刘嵩, 马琳, 李玉东, 刘鹏, 苑青 申请人:中国人民解放军91655部队