专利名称:访问权限控制的系统及方法
技术领域:
本发明涉及网络通信技术领域,尤其涉及访问权限控制的系统及方法
背景技术:
伴随着网络技术日益发展成熟及企业网络业务的不断发展,各种企业业务系统的 数量不断增多,用户数量增加,对各业务系统的WEB访问不仅仅局限于局域网内,在广域网 内的远程访问需求日益迫切,由此所引发的企业业务系统网络安全问题愈加受到企业用户 的重视。用户访问各种WEB应用业务系统,必须采用一定的网络安全解决方案,保证各种系 统的安全性,以防止WEB应用业务系统的信息不会被泄露。对于WEB应用业务系统的网络安全管理需求,现有针对用户访问的WEB应用业务 系统的安全控制解决方案主要为在企业网络中部署带有权限控制的反向透明代理,从网 络上实现对WEB业务系统的单点访问,以解决WEB应用业务系统的网络保护问题。用户终 端通过反向透明代理与他有权限访问的业务系统相连,不但避免了业务系统与用户终端直 接相连,也避免了业务系统暴露给非法用户。目前反向透明代理的权限控制有两种方式1、基于用户名控制;2、基于终端IP控 制。第一种方式-基于用户名控制,用户可以从任意终端受控地访问合法WEB应用。但是反 向透明代理使用用户名控制权限后,需要在转发HTTP数据包时,将HTTP数据包与用户名关 联,再与权限关联,效率较低,使得用户访问WEB应用的响应速度变慢,用户感受度下降,甚 至会导致用户无法忍受而放弃访问WEB应用。第二种方式_基于终端IP控制,反向透明代 理在转发HTTP数据包时将HTTP数据包直接与权限关联,效率较高,不会影响用户访问WEB 应用的响应速度,但是该方式要求一个用户始终只使用一个终端,或者必须更改网络配置, 操作不便并且繁琐,用户感受度下降。在实现本发明过程中,发明人发现现有技术访问权限控制方式中存在如下问题 不能在保证用户访问WEB应用响应速度的前提下方便用户使用,无法保障用户的感受度。
发明内容
本发明的目的是解决TOB应用访问权限管理中,不能保证用户访问WEB应用响应 速度的前提下方便用户使用,无法保障用户的感受度的缺陷,提出一种访问权限控制的系 统及方法,使得不降低用户访问WEB应用响应速度前提下方便用户使用,保障了用户感受度。为实现上述目的,根据本发明的一个方面,提供了一种访问权限控制系统,包括 登录管理单元,用于获取用户终端的网络地址,接收用户账户的登录请求,根据登录请求, 获取用户的访问权限信息,将用户终端的网络地址和访问权限信息发送至代理转发单元; 代理转发单元,与登录管理单元相连,用于根据用户终端的网络地址和访问权限信息进行 用户终端的WEB应用数据包的转发。本技术方案中,登录管理单元进一步包括监测模块,用于获取用户终端的网络地址;信息存储模块,用于预存用户账户信息及WEB应用网络地址;登录模块,用于接收用户 账户的登录请求,根据预存的用户账户信息对登录请求进行鉴权,获取用户账户的访问权 限;发送模块,用于将用户终端的网络地址、用户账户,及访问权限对应的WEB应用网络地 址进行关联,并发送至代理转发单元。本技术方案中,代理转发单元进一步包括接收模块、权限存储单元、权限加载模块 和数据包转发模块,其中接收模块,用于接收用户终端的网络地址、用户账户及访问权限 对应的TOB应用网络地址;权限存储模块,用于根据用户账户,存储用户终端的网络地址及 访问权限对应的WEB应用网络地址,并通知权限加载模块进行用户终端的网络地址及访问 权限对应WEB应用网络地址的更新;权限加载模块,用于将权限存储单元中用户终端的网 络地址及访问权限对应的WEB应用网络地址,加载至数据包转发模块;数据包转发模块,用 于根据用户终端的网络地址及访问权限对应的WEB应用网络地址,对用户终端的WEB应用 数据包进行转发。
优选地,本技术方案中,登录管理单元还包括资源呈现模块,用于根据向数据包 转发模块加载用户终端的网络地址及访问权限对应的WEB应用网络地址成功的消息,将访 问权限对应的WEB应用网络地址的界面推送给用户终端。优选地,本技术方案的访问权限控制系统中,登录模块,还用于如果用户退出登录 模块或操作超时,将包含去除授权标识和用户账户的去除授权消息发送至接收模块;接收 模块,还用于发送去除授权消息至权限存储单元;权限存储单元,还用于根据去除授权消 息,删除用户账户对应的用户终端的网络地址及访问权限对应的WEB应用网络地址,并通 知权限加载模块进行用户终端的网络地址及访问权限对应WEB应用网络地址的更新;权限 加载模块,还用于将权限存储单元中更新后的用户终端的网络地址及访问权限对应的WEB 应用网络地址,加载至数据包转发模块;数据包转发模块,还用于根据更新后的用户终端的 网络地址及访问权限对应的WEB应用网络地址,对用户终端的WEB应用数据包不进行转发。为实现上述目的,根据本发明的另一个方面,提供了一种访问权限控制方法,包 括获取用户终端的网络地址;接收用户账户的登录请求,根据登录请求,获取用户的访问 权限信息;根据用户账户,存储用户终端的网络地址和访问权限信息;根据用户终端的网 络地址和访问权限信息进行用户终端的WEB应用数据包的转发。优选地,本技术方案中,根据网络地址和访问权限信息进行用户终端的TOB应用 数据包的转发的步骤之后还包括当接收到用户账户退出登录的消息后,根据用户账户,修 改用户账户的访问权限信息,不再进行用户终端的WEB应用数据包的转发。优选地,本技术方案中,根据用户账户,加载用户终端的网络地址和访问权限信息 的步骤之后还包括根据用户终端的网络地址及访问权限对应的WEB应用网络地址加载成 功的消息,将访问权限对应的WEB应用网络地址的界面推送给用户终端。本技术方案中,访问权限信息为用户账户的访问权限对应的WEB应用网络地址。本发明各实施例的访问权限控制的系统及方法,实现了用户在无需更改网络配置 前提下灵活的使用不同终端高效、受控的访问WEB应用业务系统,提高了 TOB应用业务系统 的安全管理水平,保障了用户感受度。本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变 得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。下面通 过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实 施例共同用于解释本发明,并不构成对本发明的限制。在附图中图1为本发明实施例一访问权限控制系统的示意图;图2为本发明实施例四访问权限控制方法的流程图;图3为本发明实施例五访问权限控制方法用户登录的示意图;图4为本发明实施例五访问权限控制方法权限去除的示意图。结合附图在其上标记以下附图标记102-登录管理单元;104-代理转发单元;202-监测模块; 204-信息存储模块;206登录模块;208-发送模块; 210-接收模块;212-权限存储模块;214-权限加载模块;216-数据包转发模块;220-资源呈现模块。
具体实施例方式以下结合附图对本发明的实施例进行说明,应当理解,此处所描述的实施例仅用 于说明和解释本发明,并不用于限定本发明。实施例一 本实施例访问权限控制系统,实现了对WEB业务系统的安全、高效访问。图1为本 发明实施例一访问权限控制系统的示意图。如图1所示,本实施例访问权限控制系统包括登录管理单元102,用于获取用户终端的网络地址;接收用户账户的登录请求,根 据登录请求,获取用户的访问权限信息;将用户终端的网络地址和访问权限信息发送至代 理转发单元;代理转发单元104,与登录管理单元相连,用于根据网络地址和访问权限信息进行 用户终端的WEB应用数据包的转发。本实施例提出的方法在登录管理单元102对用户进行登录请求进行鉴权后,自动 探测用户终端的IP网络地址,并将用户终端的IP网络地址及用户账户对应访问权限信息 发送至代理转发单元104,由代理转发单元进行基于终端IP控制的TOB应用数据包的转发。用户终端在完成登录后,其WEB应用数据包通过代理转发单元进行转发。代理转 发单元在接收到WEB应用数据包后,首先提取TOB应用数据包的源网络地址,判断该源网络 地址是否有权限与TOB应用网络地址进行通信,如果是,则转发该数据包,如果否,则丢弃 该数据包。本实施例中,用户终端的TOB应用数据包具体为用户终端与WEB应用业务系统 间的HTTP协议承载的数据包。访问权限控制系统可以位于代理服务器侧。用户账户登录 的终端IP地址是访问权限控制系统自动探测的,并且在代理转发平台进行基于终端IP控 制的WEB应用数据包的转发,因此用户可以在无需更改网络配置前提下,灵活使用不同终 端高效、受控的访问WEB应用业务系统,提高了 TOB应用业务系统的安全管理水平和工作效率。实施例二如图1所示,本实施例中登录管理单元102包括监测模块202,用于获取用户终端的网络地址;信息存储模块204,用于预存用户账户信息及TOB应用网络地址;登录模块 206,用于接收用户账户的登录请求,根据预存的用户账户信息对登录请求进行鉴权,获取 用户账户的访问权限;发送模块208,用于将用户终端的网络地址、用户账户,及访问权限 对应的TOB应用网络地址进行关联,并发送至代理转发单元。代理转发单元104包括接收模块210,用于接收用户终端的网络地址、用户账户 及访问权限对应的WEB应用网络地址;权限存储模块212,用于根据用户账户,存储用户终 端的网络地址及访问权限对应的WEB应用网络地址,并通知权限加载模块214进行用户终 端的网络地址及访问权限对应WEB应用网络地址的更新;权限加载模块214,用于在接到上 述更新通知后,将权限存储单元中用户终端的网络地址及访问权限对应的WEB应用网络地 址,加载至数据包转发模块;数据包转发模块216,用于根据用户终端的网络地址及访问权 限对应的WEB应用网络地址,转发用户终端的WEB应用数据包,即如果该TOB应用数据包的 源网络IP地址有权限与目的WEB应用网络IP地址通信,则数据包转发模块转发该数据包, 否则丢弃该数据包。本实施例中,也可以由权限加载模块214进行权限存储模块212中用 户权限数据的加载,实现的方法采用本领域常用的技术即可,同样包含在本发明的保护范 围之内。此外,本实施例中,登录管理单元102还可以包括资源呈现模块220,用于根据向 数据包转发模块加载用户终端的网络地址及访问权限对应的WEB应用网络地址成功的消 息,将访问权限对应的WEB应用网络地址的界面推送给用户终端。本实施例中,信息存储模块中预存用户账户信息及TOB应用网络地址主要包括 用户帐户的权限、角色组、应用URL、TOB应用的IP地址端口号、主帐户名、密码等信息。本 实施例及本发明其他各实施例中,用户终端的网络地址及访问权限对应的WEB应用网络地 址中,网络地址均包括相应的IP地址及端口号。本实施例中,权限存储单元根据用户账户,存储用户终端的网络地址及访问权限 对应的TOB应用网络地址的具体为对每一个用户名定义一个数据块,用户访问权限信息 在标i只 #xxxxapplication—permision begin 禾口标i只 #xxxx application—permision end 之间,xxxx标识用户名;用户访问权限控制采用访问控制列表方式。其实现步骤为①定义 用户的主机IP为“acl xxxx src a. b. c. dl”,其中xxxx表示用户名,a. b. c. dl表示用户主 机IP ;②定义各WEB应用的IP地址为“acl YYYY src a. b. c. d2: PortNo”或定义各WEB应 用的 URL 为 “acl YYYY url_regex" (http|https) ://a. b. c. d2:PortNo),其中 YYYY 为应用 名;a. b. c. d2为应用的IP或者URL,PortNo为应用的端口号;③定义用户主机与各WEB应 用可以联通表示为“http_access allow xxxx YYYY” ;或者不能联通表示为“http_access deny xxxx YYYY”,初始的定义为用户主机与所有的WEB应用均不联通“http_access deny xxxx YYYY”。本实施例中,只列举了一种用户访问权限的定义形式,实现以用户为单位的源 IP地址与目标IP地址及端口间的HTTP数据包通信权限数据定义的其他形式,只要不脱离 本发明的思想,同样包含在本发明的保护范围之内。本实施例对访问权限控制系统中的登录管理单元和代理转发单元进行了详细描述,具有实施例一的全部有益效果,可以在保证工作效率的前提下,方便用户使用,提高用 户的感受度,并且可操作性更强。实施例三实施例一、二对访问权限控制系统的权限加载过程进行了描述,当用户退出登录 或者操作超时,需要对其权限进行清除,本实施例将对访问权限控制系统中涉及权限清除 的各部分进行说明。本实施例中,访问权限控制系统中登录模块206,还用于如果用户退出登录管理 单元或操作超时,将包含去除授权标识和用户账户的去除授权消息发送至接收模块;接收 模块210,还用于发送去除授权消息至权限存储单元;权限存储单元212,还用于根据去除 授权消息,删除用户账户对应的用户终端的网络地址及访问权限对应的WEB应用网络地 址,并通知权限加载模块214进行用户终端的网络地址及访问权限对应WEB应用网络地址 的更新;权限加载模块214,还用于接到上述更新消息后,将权限存储单元中更新后的用户 终端的网络地址及访问权限对应的WEB应用网络地址,加载至数据包转发模块;数据包转 发模块,还用于根据更新后的用户终端的网络地址及访问权限对应的WEB应用网络地址, 对用户终端的WEB应用数据包不进行转发。本实施例对访问权限控制系统中涉及权限清除的各部分进行说明,对实施例 一-二的权限控制系统进行了补充与完善,具有其全部有益效果,此处不再重述。实施例四图2为本发明实施例四访问权限控制方法的流程图。如图4所示,本实施例包括步骤S402 获取用户终端的网络地址;步骤S404 接收用户账户的登录请求,根据登录请求,获取用户的访问权限信息;步骤S406 根据用户账户,存储用户终端的网络地址和访问权限信息;步骤S408 根据网络地址和访问权限信息进行用户终端的WEB应用数据包的转 发。本实施例中,用户终端的TOB应用数据包具体为用户终端与TOB应用业务系统间 的数据包。本实施例对访问权限控制方法进行了说明,实现本方法的装置可参照实施例一 的相关装置,并具有实施例的全部有益效果,此处不再重述。实施例五本实施例中,将结合实施例一-二的访问权限控制装置对实现方法进行详细说 明。图3为本发明实施例五访问权限控制方法用户登录的示意图。本实施例包括步骤S502 用户登录到登录管理单元;步骤S504 登录模块对欲登录的用户账户进行鉴权;步骤S506 监测模块获取用户终端的IP地址;步骤S508 获取各TOB应用系统的IP地址、端口以及用户权限信息;步骤S510 发送模块将用户账户、用户终端的IP地址、可登录的WEB应用系统进 行关联,生成授权关系建立消息,发送至代理转发单元的接收模块;步骤S512 转发授权关系建立消息至权限存储模块,根据用户账户,存储用户终 端的网络地址和访问权限信息,并通知权限加载模块进行用户终端的网络地址及访问权限 对应TOB应用网络地址的更新;
步骤S514 权限加载模块向权限存储模块提取用户权限信息;步骤S516 将用户权限信息加载至数据包转发模块,数据包转发模块根据用户权 限信息进行用户终端数据包的转发;步骤S518 向资源呈现模块发送加载成功的消息,将访问权限对应的WEB应用网 络地址的界面推送给用户终端。本实施例中,也可以由权限加载模块接收授权关系建立消息,进行权限存储模块 中用户权限数据的加载,实现的方法采用本领域常用的技术即可,同样包含在本发明的保 护范围之内。图4为本发明实施例五访问权限控制方法权限去除的示意图。本实施例包 括步骤S530 如果用户退出或者操作超时,用户终端向登录模块发送用户退出消 息;步骤S532 登录模块根据用户退出消息向发送模块发送去除授权关系消息,其 中,去除授权关系消息包含去除授权标识和用户账户名;步骤S534 发送模块将上述去除授权关系消息发送至代理转发单元的接收模块;步骤S536 接受模块将上述去除授权关系消息发送至权限存储模块,权限存储模 块根据去除授权关系消息对相关用户账户的可访问WEB应用系统的权限进行更新,并通知 权限加载模块进行用户终端的网络地址及访问权限对应WEB应用网络地址的更新;步骤S538 权限加载模块从权限存储模块获取更新后的用户账户权限;步骤S540 权限加载模块将上述更新后的用户账户权限加载至数据包转发模块, 由于用户账户的相关权限已经被取消,此时,数据包转发模块不再进行相关数据包的转发, 该用户使用的终端与WEB应用业务系统之间不相连。本实施例对访问权限控制方法的权限加载与权限取消的步骤分别进行了说明,具 有实施例二、三的全部有益效果,此处不再重述。实施例六假设某一个用户在访问权限控制系统中对应的用户信息如下主账号为uSerO ; 该主帐号有权限访问WEB应用YYYY1,YYYY2。整个系统管理了5 个 TOB 应用,YYYY1,YYYY2, YYYY3, YYYY4, YYYY5。YYYY1 的 IP 地址为:a.b. c. dl,应用的端口号为PortNol ;YYYY2的IP地址为a. b. c. d2,应用的端口号 为PortNo2 ;YYYY3的IP地址为a. b. c. d3,应用的端口号为PortNo3 ;YYYY4的IP地址为 a. b. c. d4 ;YYYY5 的 IP 地址为a. b. c. d5,应用的端 口号为 PortNo5 ;假设用户以主账号userO从IP为a. b. c. d6的终端登录访问权限控制系统,则建 立授权关系的步骤如下①登录模块进行认证后,调用监测模块得到用户终端的IP地址为a. b. c. d6。②登录模块进行鉴权,得到用户权限信息——用户有权限访问YYYY1,YYYY2,并 将建立授权关系消息通过发送模块发往代理转发单元,建立授权关系消息包含建立授权标 识、用户主账户userO、用户终端的IP地址a. b. c. d6、用户权限信息YYYY1,YYYY2。③代理转发平台的接收模块接收到登录管理单元发送的建立授权关系消息后,发 送给权限存储模块,对用户的权限进行修改。1、找到 userO 的权限数据块-在标识 #userOapplication_permision begin 禾口标i只 #userOapplication_permision end 之|、司。2、修改用户主机信息为"acl userOsrc a. b. c. d6,,3、修改用户权限信息,将"http_access deny userOYYYYl ” 修改为"http_ access allow userOYYYYl,,;将"http_access deny userOYYYY2,,修改为"http_access allowuserOYYYY2,,。④权限加载模块将修改好的用户权限信息加载至数据包转发模块。完成后,权限 加载模块通过通信模块向身份和登录管理单元发送加载完成消息,加载完成消息包括加 载成功标记、userOo⑤登录管理单元接收到加载完成消息后,调用资源呈现模块呈现用户有权访问的 WEB应用业务系统YYYY1、YYYY2。系统呈现用户有权限访问的TOB应用业务系统YYYY1、YYYY2后。如果用户选择 访问目标系统YYYY1时,用户终端以网络地址a. b. c. d6向网络地址a. b. c. dl :PortNol 发送基于HTTP协议的数据包。数据包转发单元接收到数据包后,检测数据包的源地址为 a. b. c. d6,目标地址为a. b. c. dl :P0rtN0l,判断数据包有权限通过,则转发数据包。当目 标系统YYYY1响应用户的访问时,将以网络地址a. b. c. dl PortNo 1向用户终端网络地址 a. b. c. d6发送基于HTTP协议的数据包。数据包转发单元接收到数据包后,检测数据包的源 地址为a. b. c. dl:PortNol,目标地址为a. b. c. d6,判断数据包有权限通过,则转发数据包。如果用户使用TOB浏览器访问YYYY1、YYYY2以外的系统,例如,YYYY3时,则用 户终端以网络地址a. b. c. d6向网络地址a. b. c. d3: PortNo3发送基于HTTP协议的数 据包。数据包转发单元接收到数据包后,检测数据包的源地址为a. b.c.d6,目标地址为 a. b. c. d3:P0rtN03,判断数据包无权限通过,则丢弃数据包。当userO退出登录管理单元或者用户在登录管理单元的Session超时,发起去除 授权关系的流程,步骤如下①登录模块将去除授权关系消息发往代理转发单元,去除授权关系消息包含去除 授权标识、userO。②代理转发单元的接收模块接收到身份和访问管理平台发送的去除授权关系消 息后,发送给权限存储模块。③修改权限存储模块中关于该用户的权限控制数据,数据修改步骤如下1、在权限存储单元中找到userO的权限数据块——在标识#user0application_ permision begin 禾口标识 #userOapplication_permision end 之|、司。2、修改用户权限信息,将“http_access allow userOYYYYl,,修改为 “http_ access deny userOYYYYl,,;将"http_access allow userOYYYY2,,修改为"http_access denyuserOYYYY2”。④权限加载模块将修改好的用户权限信息加载至数据包转发模块,数据包转发模 块对来自这样a. b. c. d6到TOB应用YYYY1、YYYY2的数据包布进行转发,该用户使用的终端 与所有WEB应用业务系统均不相连。当用户退出系统后,如果使用WEB浏览器访问YYYY1、YYYY2以外的某个系统,例 如,YYYY1时,则用户终端以网络地址a. b. c. dl向网络地址a. b. c. dl:PortNo 1发送基于 HTTP协议的数据包。数据包转发单元接收到数据包后,检测数据包的源地址为a. b. c. dl,目标地址为a. b. c. dLPortNol,判断数据包无权限通过,则丢弃数据包。本实施例中,只列举了一种用户访问权限的定义形式,实现以用户为单位的源IP 地址与目标IP地址及端口间的HTTP数据包通信权限数据定义的其他形式,只要不脱离本 发明的思想,同样包含在本发明的保护范围之内。本实施例对实施例四、五的方法进行了细 化,并具有其全部有益效果,此处不再重述。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于可读取存储介质中,该程序在执行时, 执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟、光盘、网络节 点、调度器、代理服务器等各种可以存储程序代码的介质。最后应说明的是以上所述仅为本发明的优选实施例而已,并不用于限制本发明, 尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可 以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。 凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的 保护范围之内。
1权利要求
一种访问权限控制系统,其特征在于,包括登录管理单元和代理转发单元,其中登录管理单元,用于获取用户终端的网络地址;接收用户账户的登录请求,根据所述登录请求,获取所述用户的访问权限信息;将所述用户终端的网络地址和访问权限信息发送至代理转发单元;代理转发单元,与所述登录管理单元相连,用于根据所述用户终端的网络地址和访问权限信息进行所述用户终端的WEB应用数据包的转发。
2.根据权利要求1所述的系统,其特征在于,所述登录管理单元进一步包括 监测模块,用于获取用户终端的网络地址;信息存储模块,用于预存用户账户信息及WEB应用网络地址; 登录模块,用于接收所述用户账户的登录请求,根据所述预存的用户账户信息对登录 请求进行鉴权,获取所述用户账户的访问权限;发送模块,用于将用户终端的网络地址、用户账户,及所述访问权限对应的WEB应用网 络地址进行关联,并发送至所述代理转发单元。
3.根据权利要求2所述的系统,其特征在于,所述代理转发单元进一步包括接收模块、 权限存储单元、权限加载模块和数据包转发模块,其中接收模块,用于接收所述用户终端的网络地址、用户账户及所述访问权限对应的WEB 应用网络地址;权限存储模块,用于根据所述用户账户,存储所述用户终端的网络地址及所述访问权 限对应的WEB应用网络地址,并通知权限加载模块进行用户终端的网络地址及访问权限对 应TOB应用网络地址的更新;权限加载模块,用于将权限存储单元中所述用户终端的网络地址及所述访问权限对应 的TOB应用网络地址,加载至数据包转发模块;数据包转发模块,用于根据所述用户终端的网络地址及访问权限对应的WEB应用网络 地址,对所述用户终端的WEB应用数据包进行转发。
4.根据权利要求3所述的系统,其特征在于,所述登录管理单元还包括资源呈现模块,用于根据向数据包转发模块加载所述用户终端的网络地址及访问权限 对应的WEB应用网络地址成功的消息,将所述访问权限对应的WEB应用网络地址的界面推 送给用户终端。
5.根据权利要求3所述的系统,其特征在于登录模块,还用于如果用户退出登录模块或操作超时,将包含去除授权标识和用户账 户的去除授权消息发送至接收模块;接收模块,还用于发送所述去除授权消息至权限存储单元;权限存储单元,还用于根据所述去除授权消息,删除所述用户账户对应的用户终端的 网络地址及所述访问权限对应的WEB应用网络地址,并通知权限加载模块进行用户终端的 网络地址及访问权限对应WEB应用网络地址的更新;权限加载模块,还用于将权限存储单元中更新后的所述用户终端的网络地址及所述访 问权限对应的WEB应用网络地址,加载至数据包转发模块;数据包转发模块,还用于根据更新后的所述用户终端的网络地址及访问权限对应的 WEB应用网络地址,对所述用户终端的WEB应用数据包不进行转发。
6.一种访问权限控制方法,其特征在于,包括获取用户终端的网络地址;接收用户账户的登录请求,根据所述登录请求,获取所述用户的访问权限信息;根据所述用户账户,存储所述用户终端的网络地址和访问权限信息;根据所述用户终端的网络地址和访问权限信息进行所述用户终端的WEB应用数据包 的转发。
7.根据权利要求5所述的方法,其特征在于,所述根据网络地址和访问权限信息进行 用户终端的WEB应用数据包的转发的步骤之后还包括当接收到所述用户账户退出登录的消息后,根据所述用户账户,修改所述用户账户的 访问权限信息,不再进行所述用户终端的WEB应用数据包的转发。
8.根据权利要求5所述的方法,其特征在于,所述根据用户账户,加载用户终端的网络 地址和访问权限信息的步骤之后还包括根据所述用户终端的网络地址及访问权限对应的WEB应用网络地址加载成功的消息, 将所述访问权限对应的WEB应用网络地址的界面推送给用户终端。
9.根据权利要求5-7中任一项所述的方法,其特征在于,所述访问权限信息为用户账 户的访问权限对应的WEB应用网络地址。
全文摘要
本发明公开了一种访问权限控制的系统及方法。该系统包括登录管理单元,用于获取用户终端的网络地址,接收用户账户的登录请求,根据登录请求,获取用户的访问权限信息,将用户终端的网络地址和访问权限信息发送至代理转发单元;代理转发单元,与登录管理单元相连,用于根据用户终端的网络地址和访问权限信息进行用户终端的WEB应用数据包的转发。本发明各实施例的访问权限控制的系统及方法,实现了用户在无需更改网络配置前提下灵活的使用不同终端高效、受控的访问WEB应用业务系统,提高了WEB应用业务系统的安全管理水平,保障了用户感受度。
文档编号H04L29/08GK101877695SQ20091013589
公开日2010年11月3日 申请日期2009年4月30日 优先权日2009年4月30日
发明者唐建萍, 廖武峰, 朱礼局, 李小宏, 江峰, 田直, 郑峰, 黄建东 申请人:中国移动通信集团江西有限公司;亿阳安全技术有限公司