[发明专利]一种对用户进行访问控制的方法和系统

权利要求书

1.一种对用户进行访问控制的方法，其特征在于，在接入网络中预先设置 报文分析装置和策略管理装置，且所述策略管理装置中配置有用户信息与访问 控制策略之间的对应关系；该方法包括：

所述报文分析装置在用户登录过程中获取用户信息和用户所使用终端的IP 地址信息，并将获取的用户信息和用户所使用终端的IP地址信息发送给所述策 略管理装置；

所述策略管理装置根据所述用户信息与访问控制策略之间的对应关系，确 定与接收到的用户信息对应的访问控制策略信息，并将确定的访问控制策略信 息和所述用户所使用终端的IP地址信息发送给控制网关，以便控制网关利用所 述访问控制策略信息对所述用户所使用终端进行访问控制。

2.根据权利要求1所述的方法，其特征在于，所述报文分析装置在用户登 录过程中获取用户信息和用户所使用终端的IP地址信息具体包括：所述接入网 络中前端交换机将认证设备在用户登录过程中发送给远程用户拨号认证系统 RADIUS服务器的认证计费报文镜像发送给所述报文分析装置，所述报文分析 装置通过所述认证计费报文获取所述用户信息和用户所使用终端的IP地址信 息；或者，

所述接入网络中的前端交换机将所述用户所使用终端在用户登录过程中发 送给域控制器的域登录报文重定向到所述报文分析装置；所述报文分析装置通 过所述域登录报文获取所述用户信息和用户所使用终端的IP地址信息。

3.根据权利要求2所述的方法，其特征在于，所述认证计费报文包括： RADIUS认证请求、计费请求或计费更新请求。

4.根据权利要求1所述的方法，其特征在于，该方法还包括：所述策略管 理装置存储接收到的用户信息和用户所使用终端的IP地址信息之间的对应关 系；

当控制网关中存储访问控制策略与用户终端的IP地址的对应关系时，在所 述确定与接收到的用户信息对应的访问控制策略信息之前还包括：所述策略管 理装置判断自身存储的所述用户信息和用户所使用终端的IP地址信息之间的 对应关系中是否已经包含所述接收到的用户信息，如果否，则继续执行所述确 定与接收到的用户信息对应的访问控制策略信息；如果是，则进一步判断存储 的所述用户信息和用户所使用终端的IP地址信息之间的对应关系中所述接收 到的用户信息对应的IP地址信息是否与接收到的所述用户所使用终端的IP地 址信息相同，如果是，则结束流程；否则，继续执行所述确定与接收到的用户 信息对应的访问控制策略信息，并利用接收到的所述用户所使用终端的IP地址 信息更新所述策略管理装置存储的所述用户信息和用户所使用终端的IP地址 信息之间的对应关系。

5.根据权利要求1至4任一权项所述的方法，其特征在于，该方法还包括： 所述控制网关存储接收到的所述访问控制策略信息和所述用户所使用终端的IP 地址信息之间的对应关系，所述用户所使用终端对互联网进行访问时，所述控 制网关根据所述用户所使用终端的IP地址确定对应的访问控制策略，并利用确 定的访问控制策略对所述用户所使用终端进行访问控制。

6.一种对用户进行访问控制的系统，其特征在于，该系统包括：报文分析 装置和策略管理装置，且所述策略管理装置中配置有用户信息与访问控制策略 之间的对应关系；

所述报文分析装置，用于在用户登录过程中获取用户信息和用户所使用终 端的IP地址信息，并将获取的用户信息和用户所使用终端的IP地址信息发送 给所述策略管理装置；

所述策略管理装置，用于根据所述用户信息与访问控制策略之间的对应关 系，确定与接收到的用户信息对应的访问控制策略信息，并将确定的访问控制 策略信息和接收到的所述用户所使用终端的IP地址信息发送给控制网关，以便 控制网关利用所述访问控制策略信息对所述用户所使用终端进行访问控制。

7.根据权利要求6所述的系统，其特征在于，该系统还包括：第一前端交 换机，用于将认证设备在用户登录过程中发送给RADIUS服务器的认证计费报 文镜像发送给所述报文分析装置；

所述报文分析装置用于通过所述认证计费报文获取所述用户信息和用户所 使用终端的IP地址信息。