一种行为管理的方法和装置的制造方法
【技术领域】
[0001] 本发明涉及通信技术领域,尤其涉及一种行为管理的方法和装置。
【背景技术】
[0002] 身份防火墙收到来自用户设备的报文时,利用报文的源IP地址(即用户设备的IP 地址)查询用户认证表,该用户认证表用于记录已通过认证的用户设备的IP地址。如果用 户认证表中没有对应的记录,说明用户设备还没有通过认证,身份防火墙触发用户设备进 行认证,用户设备发送携带用户名和密码等信息的认证请求报文。身份防火墙在收到认证 请求报文后,将认证请求报文发送给认证服务器,认证服务器利用认证请求报文中携带的 用户名和密码等信息对用户设备进行认证。如果用户设备认证通过,认证服务器向身份防 火墙发送认证成功报文,身份防火墙在收到认证成功报文后,确定用户设备认证通过,在用 户认证表中记录用户设备的IP地址。如果用户认证表中有对应的记录,说明用户设备已通 过认证,身份防火墙将报文发送给审计设备。
[0003] 审计设备在接收到来自用户设备的报文时,利用报文的源IP地址查询用户认证 表,该用户认证表用于记录已通过认证的用户设备的IP地址和行为管理策略的对应关系。 如果用户认证表中没有对应的记录,则说明用户设备还没有通过认证,审计设备触发用户 设备进行认证,由用户设备发送携带用户名和密码等信息的认证请求报文。审计设备在收 到认证请求报文后,将认证请求报文发送给认证服务器,由认证服务器利用认证请求报文 中携带的用户名和密码等信息对用户设备进行认证。如果用户设备认证通过,则认证服务 器向审计设备发送认证成功报文,审计设备在收到认证成功报文后,确定用户设备认证通 过,配置用户设备对应的行为管理策略,并在用户认证表中记录用户设备的IP地址和行为 管理策略的对应关系。如果用户认证表中有对应的记录,则说明用户设备已经通过认证,审 计设备利用该用户认证表中记录的行为管理策略对匹配到该用户设备的IP地址的报文进 行行为管理。
[0004] 在上述过程中,用户设备需要进行两次认证,分别为身份防火墙和审计设备触发 的认证,对用户设备重复认证,影响用户使用感受。需要手工在审计设备上为每个通过认证 的用户设备配置行为管理策略,配置工作量很大。
【发明内容】
[0005] 本发明提供一种行为管理的方法,所述方法包括以下步骤:
[0006] 审计设备接收身份防火墙在确定用户设备通过认证时发送的认证通知报文,所述 认证通知报文中携带所述用户设备的地址信息;
[0007] 所述审计设备根据所述地址信息确定所述用户设备对应的用户属性;
[0008] 所述审计设备利用所述用户属性查询预先配置的用户属性与行为管理策略的第 一对应关系,得到所述用户属性对应的行为管理策略;
[0009] 若所述审计设备未保存所述地址信息与所述行为管理策略的第二对应关系,则所 述审计设备生成所述第二对应关系;
[0010] 所述审计设备在接收到源地址与所述地址信息匹配的报文时,根据所述第二对应 关系找到所述行为管理策略,并根据所述行为管理策略对所述报文进行行为管理。
[0011] 本发明提供一种行为管理的装置,所述行为管理的装置应用在审计设备上,且所 述行为管理的装置具体包括:
[0012] 接收模块,用于接收身份防火墙在确定用户设备通过认证时发送的认证通知报 文,所述认证通知报文中携带所述用户设备的地址信息;
[0013] 确定模块,用于根据所述地址信息确定所述用户设备对应的用户属性;
[0014] 获得模块,用于利用所述用户属性查询预先配置的用户属性与行为管理策略的第 一对应关系,得到所述用户属性对应的行为管理策略;
[0015] 处理模块,用于当所述审计设备上未保存所述地址信息与所述行为管理策略的第 二对应关系时,则生成所述第二对应关系;
[0016] 行为管理模块,用于在接收到源地址与所述地址信息匹配的报文时,则根据所述 第二对应关系找到所述行为管理策略,并根据所述行为管理策略对所述报文进行行为管 理。
[0017] 基于上述技术方案,本发明实施例中,身份防火墙在确定用户设备通过认证时,向 审计设备发送认证通知报文,由审计设备利用该认证通知报文确定用户设备通过认证,而 不需要再次触发用户设备进行认证过程。上述方式通过在身份防火墙与审计设备之间进 行联动,使得用户设备只需要进行一次认证,并且审计设备上维护用户设备的地址信息和 行为管理策略的对应关系,并利用该行为管理策略对匹配到该地址信息的报文进行行为管 理,不需要在审计设备上触发对用户设备的重复认证,减少重复认证的开销,整个系统的运 作效率会大大提高,并且提高用户使用感受。而且,不需要手工在审计设备上为用户设备配 置行为管理策略,减轻用户配置的工作量,降低系统管理员手工干预的频率,优化用户上线 体验。
【附图说明】
[0018] 图1是本发明实施例的应用场景示意图;
[0019] 图2是本发明一种实施方式中行为管理的方法的流程图;
[0020] 图3是本发明一种实施方式中审计设备的逻辑结构图;
[0021] 图4是本发明一种实施方式中行为管理的装置的逻辑结构图。
【具体实施方式】
[0022] 针对现有技术中存在的问题,本发明实施例中提出一种行为管理的方法,该方法 可以应用于包括用户设备、身份防火墙、审计设备和认证服务器的系统中。以图1为本发 明实施例的应用场景示意图,各用户设备均与身份防火墙连接,身份防火墙与审计设备连 接,身份防火墙与认证服务器连接,审计设备与认证服务器连接,且审计设备与IP网络连 接。基于此,所有用户设备的报文均需要通过身份防火墙和审计设备后,才能够传输到IP 网络。
[0023] 在本发明实施例中,身份防火墙上预先配置有第一用户认证表,且该第一用户认 证表用于记录已经通过认证的用户设备的地址信息。审计设备上预先配置有第二用户认证 表,且该第二用户认证表用于记录已经通过认证的用户设备的地址信息和行为管理策略之 间的对应关系,而且,该第二用户认证表中记录的对应关系中还可以包括行为管理策略对 应的用户属性。
[0024] 基于第一用户认证表和第二用户认证表,身份防火墙在接收到来自用户设备的报 文时,利用用户设备的地址信息查询本身份防火墙维护的第一用户认证表,如果第一用户 认证表中有对应的记录,则说明用户设备已经通过认证,身份防火墙将报文发送给审计设 备。审计设备在接收到来自用户设备的报文时,利用用户设备的地址信息查询本审计设备 维护的第二用户认证表,如果第二用户认证表中有对应的记录,则说明用户设备已经通过 认证,审计设备利用第二用户认证表中记录的行为管理策略对报文进行行为管理。