一种用户访问控制的实现方法和系统、第三方用户服务器的制造方法
【专利摘要】本发明公开了一种用户访问控制的实现方法,包括:客户端根据需访问的IP地址确定需访问的第三方用户服务器,并发送登录信息到所述第三方用户服务器;所述第三方用户服务器对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端;所述客户端根据所述用户身份在本地网络设备匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。本发明还同时公开了一种用户访问控制的实现系统、第三方用户服务器。
【专利说明】
一种用户访问控制的实现方法和系统、第三方用户服务器
技术领域
[0001]本发明涉及网络信息安全技术领域,尤其涉及一种用户访问控制的实现方法和系统、第三方用户服务器。
【背景技术】
[0002]访问控制是系统保密性、完整性、可用性和合法使用性的重要基础之一,也是网络安全防范和资源保护的关键策略之一。访问控制为系统信息和数据资源的安全提供了基本保障。所谓访问控制,是指系统对用户身份及其所属的预先定义的策略组,限制用户使用数据资源能力的一种手段。而访问控制过程中的用户管理从架构上划分,可以分为用户组织结构、认证服务器和策略控制器三个组成部分;从数据流程上划分,可以分为IP到用户、用户到身份和身份到策略三个转换过程。
[0003]图1给出了现有技术中用户进行访问控制的一般实现方法,如图1所示,在本地网络设备中建立用户树,为每个用户分配认证信息,如IP地址、用户名和密码,并为每个用户制定相应的身份,创建用户身份表,最后再针对用户身份表中用户的各种身份制定相应的策略,形成身份策略表。这样,当有业务流量到来时,就可以在本地实现IP到用户(认证过程)、用户到身份(用户身份表)和身份到策略(身份策略表)的过程,最终根据具体的安全策略进行用户访问控制。然而,上述访问控制过程中,仅采用本地网络设备来维护用户组织结构,基于本地的组织结构提供用户访问控制能力;但是在实际部署中,用户组织结构有时会被维护在第三方用户服务器上,在这种场景下,本地网络设备与第三方用户服务器的组织结构在功能上构成了很大冗余,造成了设备资源的浪费。
[0004]同时,在大型客户实际使用场景中,通常在这种第三方用户服务器上存储的用户量也会很大,一般在万量级;而传统实现方法中,本地组织结构的维护和支持用户上下线动作占用了网络设备大量的资源,成为提高网络设备支持用户数量的一个关键的性能瓶颈。
[0005]综上所述,采用现有技术,对于如何解除本地网络设备与第三方用户服务器之间的功能冗余,以及随着用户数量的不断增大而对网络设备产生性能影响的问题,尚无有效解决方案。
【发明内容】
[0006]有鉴于此,本发明实施例期望提供一种用户访问控制的实现方法和系统、第三方用户服务器,能减少本地网络设备与第三方用户服务器之间的功能冗余,并避免用户数量不断增大对网络设备产生的性能影响,提高设备性能。
[0007]为达到上述目的,本发明实施例的技术方案是这样实现的:
[0008]本发明实施例提供一种用户访问控制的实现方法,所述方法包括:
[0009]客户端根据需访问的IP地址确定需访问的第三方用户服务器,并发送登录信息到所述第三方用户服务器;
[0010]所述第三方用户服务器对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端;
[0011]所述客户端根据所述用户身份在本地网络设备匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。
[0012]上述方案中,所述查询上线信息中上线用户所对应的用户身份,包括:
[0013]根据预设的用户与身份对应关系,通过查询接口查询所述登录信息中的用户名,从所述第三方用户服务器中获取用户对应的用户身份。
[0014]上述方案中,所述方法还包括:所述第三方用户服务器保存所述用户与身份对应关系。
[0015]上述方案中,所述访问控制操作包括:放行、封堵、记录日志、进行入侵防御系统(IPS,Intrus1n Prevent1n System)扫描。
[0016]本发明实施例还提供一种用户访问控制的实现系统,所述系统包括:客户端、第三方用户服务器和本地网络设备;其中,
[0017]所述客户端,用于根据需访问的IP地址确定需访问的第三方用户服务器,并发送登录信息到所述第三方用户服务器;
[0018]所述第三方用户服务器,用于对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端;
[0019]所述本地网络设备,用于为所述客户端根据所述用户身份匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。
[0020]上述方案中,所述第三方用户服务器还用于,根据预设的用户与身份对应关系,通过查询接口查询所述登录信息中的用户名,获取用户对应的用户身份。
[0021]上述方案中,所述第三方用户服务器还用于,保存所述用户与身份对应关系。
[0022]上述方案中,所述访问控制操作包括:放行、封堵、记录日志、进行IPS扫描。
[0023]本发明实施例还提供一种第三方用户服务器,所述第三方用户服务器包括:
[0024]登录信息验证模块,用于在接收到客户端发送的登录信息时,对所述登录信息进行验证;
[0025]用户身份返回模块,用于在所述登录信息验证模块对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端,以供所述客户端根据所述用户身份匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。
[0026]上述方案中,所述第三方用户服务器还包括对应关系存储模块,用于保存所述用户与身份对应关系,并为所述用户身份返回模块提供所述对应关系的查询服务。
[0027]本发明实施例所提供的用户访问控制的实现方法和系统、第三方用户服务器,客户端根据需访问的IP地址确定需访问的第三方用户服务器,并发送登录信息到所述第三方用户服务器;所述第三方用户服务器对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端;所述客户端根据所述用户身份在本地网络设备匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。通过本发明实施例,客户端能够基于第三方用户服务器提供的用户信息,在本地网络设备实现用户访问控制,并取消了本地的用户组织结构和用户的识别认证;如此,通过分离本地网络设备与第三方用户服务器功能重合的部分,能达到提高设备性能、减少本地网络设备与第三方用户服务器之间功能冗余的目的。
[0028]另外,本发明实施例还可以在保持网络设备性能和功能不变的情况下,提高设备支持的用户数量,从而有效避免用户数量不断增大对网络设备产生的性能影响。
【附图说明】
[0029]图1为现有的用户访问控制的实现方法流程示意图;
[0030]图2为本发明实施例用户访问控制的实现方法流程示意图;
[0031]图3为本发明实施例架构组成示意图;
[0032]图4为本发明实施例配置流程示意图;
[0033]图5为本发明实施例用户访问控制流程示意图;
[0034]图6为本发明实施例用户访问控制的实现系统的组成结构示意图;
[0035]图7为本发明实施例的一种第三方用户服务器的组成结构示意图。
【具体实施方式】
[0036]为了能够更加详尽地了解本发明实施例的特点与技术内容,下面结合附图对本发明实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本发明。
[0037]如图2所示,本发明实施例中用户访问控制的实现方法流程,包括以下步骤:
[0038]步骤201:客户端根据需访问的IP地址确定需访问的第三方用户服务器,并发送登录信息到所述第三方用户服务器;
[0039]这里,所述登录信息包括用户名和密码。
[0040]本步骤201中,所述客户端根据需访问的IP地址确定需访问的第三方用户服务器,包括:
[0041 ]获取所述IP地址对应的域名,根据所述IP地址对应的域名拼接出相应第三方用户服务器的域名,以确定需访问的第三方用户服务器。
[0042]步骤202:所述第三方用户服务器对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端;
[0043]这里,所述查询上线信息中上线用户所对应的用户身份,包括:
[0044]根据预设的用户与身份对应关系,通过查询接口查询所述登录信息中的用户名,从所述第三方用户服务器中获取用户对应的用户身份。
[0045]这里,所述对应关系可以采用对应关系表存储,以便后续查询。
[0046]这里,所述第三方用户服务器对所述登录信息验证通过后,首先在第三方用户服务器上生成上线日志,用于记录用户上线情况,然后从上线日志中进一步获取用户上线信息,从而准确、有效地获知哪个用户通过了验证,允许其上线。
[0047]这里,所述第三方用户服务器需要保存所述用户与身份对应关系。
[0048]需要说明的是,当第三方用户服务器对登录信息验证失败时,需向客户端返回验证失败的响应。
[0049]步骤203:所述客户端根据所述用户身份在本地网络设备匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。
[0050]这里,所述访问控制操作包括:放行、封堵、记录日志、进行IPS扫描。
[0051]下面再结合图3、4对本发明的用户访问控制方法做进一步详细阐述。
[0052]图3为本发明实施例的架构组成图解,如图3所示,第三方用户服务器与本地网络设备在功能上实现解耦,也就是说,第三方用户服务器提供用户组织结构和用户认证功能,所述用户认证功能会涉及用户的认证信息和身份信息;而本地网络设备只处理用户策略控制过程,即仅涉及访问控制策略。
[0053]其中,所述认证信息包括:IP地址、用户名和密码,所述身份信息是为每个用户指定的用户身份,如研发人员。
[0054]图4为本发明实施例配置流程示意图,如图4所示,本发明实施例在第三方用户服务器和本地网络设备上分别进行配置,分离两者功能重合的部分,引入一种新的用户控制联动体系,g卩:在第三方用户服务器上新建用户,提供用户组织结构,为新建的用户提供认证信息,包括:配置用户名和密码以及用户身份;在本地网络设备配置用户身份对应的访问控制策略,实现本地设备策略功能。这样,通过和第三方用户服务器联动的方式,仅在本地网络设备上配置访问控制策略,并根据配置的访问控制策略进行用户访问控制操作。
[0055]本发明实施例所涉及的基于第三方用户服务器提供的用户信息进行用户访问控制的实现方法,主要用于减轻用户管理设备在大用户量情况下的性能压力和功能冗余问题。该方法可以作用于防火墙、上网行为管理及统一威胁管理(UTM,Unified ThreatManagement)等有用户访问控制需求的网络设备,用于满足由第三方用户服务器提供用户组织结构和用户认证功能,而本地网络设备只提供访问控制功能的场景。
[0056]在本发明实施例中,访问控制过程中的用户管理从架构上来看,是由第三方用户服务器承担架构中的用户组织结构和认证服务器部分,该部分会随着用户数量的增大而产生性能影响;本地网络设备提供策略控制部分,该部分的性能与用户数量无关联,从而实现本地网络设备性能与用户数量无关联;从数据流程上来看,本地网络设备使用IP到第三方用户服务器进行查询,以获取IP到用户和用户到身份的映射关系,从而在本地网络设备上实现身份策略的转化,最终完成策略控制。
[0057]下面将以本地网络设备为防火墙设备,第三方用户服务器为Windows活动目录(AD,Active Directories),即以防火墙设备与Windows AD的联动过程为例,进一步说明用户访问控制的具体实现过程:
[0058]假设客户设置了一条访问控制策略:研发人员上传文件时,必须启用数据泄露检查。该策略的ID为23,同时有一个用户张三,他的身份为研发人员,使用的用户名为zhang_san,当前使用的IP地址为1.1.1.1。
[0059]若按照现有的实现方式,如图1所示,管理员一般要在本地组织结构中新增一个用户张三,同时为他分配一个用户名(zhang_san)和密码,同时将他的身份设定为研发人员;然后在防火墙上配置一条访问控制策略:所有研发人员在上传文件时,需启动数据泄露检查。
[0000]当张三开始访问互联网时,首先使用zhang_san进行登录,登录认证通过后,防火墙发现用户张三正在上线,且正在使用IP 1.1.1.1,从而实现了IP到用户的映射;然后经过查询发现用户张三属于研发部门,需要匹配策略23,从而获取用户到身份、身份到策略的映射;最后经过策略部分的实现执行数据泄露检查功能。
[0061]按照本发明提供的场景,具体实现流程如图5所示,其用户访问控制过程如下:
[0062]管理员在第三方设备AD服务器上新建一个用户张三,并为他分配用户名(zhang_san)和密码,同时标记他的身份为研发人员;其次管理员和旧逻辑一样,在防火墙上配置一条访问控制策略:对研发人员启动数据泄露检查(策略23)。
[0063]当张三使用IP1.1.1.1开始访问互联网时,首先根据需访问的IP地址确定需访问的AD服务器,并发送登录信息到所述AD服务器,通过AD服务器对登录信息进行验证,验证通过后在AD服务器上生成上线日志;其次防火墙定期从AD服务器上获取用户上线信息和IP与用户的关系,即目前张三正在使用IP 1.1.1.1访问网络;然后防火墙使用标准的轻量目录访问协议(LDAP,Lightweight Directory Access Protocol)查询接口使用用户名,如zhang_san,根据预设的用户与身份对应关系,查询用户身份,即研发人员;最后客户端进行策略匹配,即客户端根据用户身份在防火墙匹配相应的访问控制策略,若发现研发人员需要匹配策略23,至此就完成了从IP到用户和从用户到策略的映射过程。当IP 1.1.1.1的业务流量流经防火墙时,防火墙就可以正确地对该业务流量启动策略23对应的访问控制操作,进而实现用户访问控制策略,即策略生效。
[0064]本发明实施例通过和第三方用户服务器联动的方式,让防火墙在本地场景下剥离用户组织和用户认证,只处理用户策略控制一个功能。同时,网络设备可以通过同步日志和查询方法,基于IP从第三方用户服务器获取用户和身份,然后通过在网络设备上配置的身份到策略对应管理,实现脱离本地用户组织结构的用户访问控制方法,能减少本地网络设备与第三方用户服务器之间的功能冗余,并避免用户数量不断增大对网络设备产生的性能影响,提尚设备性能。
[0065]为实现上述方法,本发明实施例还提供了一种用户访问控制的实现系统,如图6所示,该系统包括客户端61、第三方用户服务器62、本地网络设备63;其中,
[0066]所述客户端61,用于根据需访问的IP地址确定需访问的第三方用户服务器,并发送登录信息到所述第三方用户服务器62;
[0067]所述第三方用户服务器62,用于对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端61;
[0068]所述本地网络设备63,用于为所述客户端61根据所述用户身份匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。
[0069]这里,所述第三方用户服务器62还用于,根据预设的用户与身份对应关系,通过查询接口查询所述登录信息中的用户名,获取用户对应的用户身份。
[0070]所述第三方用户服务器62还用于,保存所述用户与身份对应关系。
[0071]其中,所述访问控制操作包括:放行、封堵、记录日志、进行IPS扫描。
[0072]本发明实施例还提供了一种第三方用户服务器的结构,如图7所示,该第三方用户服务器包括:登录信息验证模块71和用户身份返回模块72;其中,
[0073]所述登录信息验证模块71,用于在接收到客户端发送的登录信息时,对所述登录信息进行验证;
[0074]所述用户身份返回模块72,用于在所述登录信息验证模块71对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端,以供所述客户端根据所述用户身份匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。
[0075]这里,所述第三方用户服务器还包括对应关系存储模块73,用于保存所述用户与身份对应关系,并为所述用户身份返回模块72提供所述对应关系的查询服务。
[0076]其中,所述对应关系存储模块73连接所述用户身份返回模块72。
[0077]在实际应用中,所述对应关系存储模块73既可以作为独立于所述登录信息验证模块71和用户身份返回模块72的模块存在,当然,其功能也可以集成在所述用户身份返回模块72中,由所述用户身份返回模块72实现所述对应关系的存储功能。
[0078]在实际应用中,所述登录信息验证模块71、用户身份返回模块72、对应关系存储模块73均可由第三方用户服务器上的中央处理器(CPU,Central Processing Unit)、微处理器(MPU,Micro Processor Unit)、数字信号处理器(DSP ,Digital Signal Processor)、或现场可编程门阵列(FPGA,Field Programmable Gate Array)等实现。
[0079]本发明实施例客户端根据需访问的IP地址确定需访问的第三方用户服务器,并发送登录信息到所述第三方用户服务器;所述第三方用户服务器对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端;所述客户端根据所述用户身份在本地网络设备匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。通过本发明实施例,客户端能够基于第三方用户服务器提供的用户信息,在本地网络设备实现用户访问控制,并取消了本地的用户组织结构和用户的识别认证;如此,通过分离本地网络设备与第三方用户服务器功能重合的部分,能达到提高设备性能、减少本地网络设备与第三方用户服务器之间功能冗余的目的。
[0080]另外,本发明实施例还可以在保持网络设备性能和功能不变的情况下,提高设备支持的用户数量,从而有效避免用户数量不断增大对网络设备产生的性能影响。
[0081]以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种用户访问控制的实现方法,其特征在于,所述方法包括: 客户端根据需访问的IP地址确定需访问的第三方用户服务器,并发送登录信息到所述第三方用户服务器; 所述第三方用户服务器对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端; 所述客户端根据所述用户身份在本地网络设备匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。2.根据权利要求1所述的方法,其特征在于,所述查询上线信息中上线用户所对应的用户身份,包括: 根据预设的用户与身份对应关系,通过查询接口查询所述登录信息中的用户名,从所述第三方用户服务器中获取用户对应的用户身份。3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:所述第三方用户服务器保存所述用户与身份对应关系。4.根据权利要求1或2所述的方法,其特征在于,所述访问控制操作包括:放行、封堵、记录日志、进行入侵防御系统IPS扫描。5.—种用户访问控制的实现系统,其特征在于,所述系统包括:客户端、第三方用户服务器和本地网络设备;其中, 所述客户端,用于根据需访问的IP地址确定需访问的第三方用户服务器,并发送登录信息到所述第三方用户服务器; 所述第三方用户服务器,用于对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端; 所述本地网络设备,用于为所述客户端根据所述用户身份匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。6.根据权利要求5所述的系统,其特征在于,所述第三方用户服务器还用于,根据预设的用户与身份对应关系,通过查询接口查询所述登录信息中的用户名,获取用户对应的用户身份。7.根据权利要求5或6所述的系统,其特征在于,所述第三方用户服务器还用于,保存所述用户与身份对应关系。8.根据权利要求5或6所述的系统,其特征在于,所述访问控制操作包括:放行、封堵、记录日志、进行入侵防御系统IPS扫描。9.一种第三方用户服务器,其特征在于,所述第三方用户服务器包括: 登录信息验证模块,用于在接收到客户端发送的登录信息时,对所述登录信息进行验证; 用户身份返回模块,用于在所述登录信息验证模块对所述登录信息验证通过后,获取用户上线信息,查询上线信息中上线用户所对应的用户身份,并将所述用户身份返回所述客户端,以供所述客户端根据所述用户身份匹配相应的访问控制策略,并启动所述访问控制策略对应的访问控制操作。10.根据权利要求9所述的第三方用户服务器,其特征在于,所述第三方用户服务器还包括对应关系存储模块,用于保存所述用户与身份对应关系,并为所述用户身份返回模块提供所述对应关系的查询服务。
【文档编号】H04L29/06GK105978866SQ201610281414
【公开日】2016年9月28日
【申请日】2016年4月28日
【发明人】强盛, 陈鑫
【申请人】北京网康科技有限公司