[发明专利]一种对用户进行访问控制的方法和系统

说明书

技术领域

本发明涉及网络通信技术，特别涉及一种对用户进行访问控制的方法和 系统。

背景技术

随着互联网技术的迅猛发展，各种互联网应用层出不穷，为我们的工作 和生活带来极大便利，但与此同时也带来一些负面影响。例如：在企业网络 中员工使用点对点(P2P，Point to Point)应用会占用大量的网络资源，不但 对企业网络的容量造成压力，也对其他员工的合法应用造成严重影响；即时 通讯、网上炒股、网上购物等上网行为虽然占用的网络资源不大，但是会使 得员工的工作效率下降；对非法网站的访问容易感染病毒和蠕虫，对企业网 络造成破坏；使用Email等应用向外部随意发送文件会造成内部信息的泄漏 对企业造成重大损失等等。可以看出，通过访问控制策略实时地对用户进行 访问控制成为目前一个重要的需求。

现有技术中通过在汇聚交换机与出口路由器之间部署一台控制网关来 实现对用户的访问控制，如图1所示，用户上线访问互联网时，控制网关通 过预先配置的访问控制策略对用户进行访问控制并根据控制结果输出审计 报表。但是，由于控制网关无法获取用户信息，只能基于用户终端的IP地 址进行访问控制，无法与具体的用户相结合，由于用户所采用用户终端的IP 地址会发生变化，因此，基于IP地址的访问控制方式并不能够满足实际的 访问控制需求。

针对上述情况，目前提出了一种方法在控制网关上实现简单的认证功 能，在对用户进行认证后获取用户信息，从而结合用户信息和用户终端的IP 地址实现对用户的访问控制。但这种方法需要在控制网关上配置用户的认证 信息对用户进行管理，但通常网络设备的CPU处理能力较弱，当控制网关 需要管理的用户数量较大时，会对控制网关造成较大的压力，会造成控制网 关配置复杂，故障率提高，严重时会控制网关的正常控制处理；并且，由于 用户在登录过程中也需要在用户网络中进行认证，这种方式显然会带来两次 登录的问题，实现起来较为麻烦。

发明内容

有鉴于此，本发明提供了一种对用户进行访问控制的方法和系统，以便 于，简单地实现对用户的访问控制，且不会对控制网关造成压力。

一种对用户进行访问控制的方法，在接入网络中预先设置报文分析装置 和策略管理装置，且所述策略管理装置中配置有用户信息与访问控制策略之 间的对应关系；该方法包括：

所述报文分析装置在用户登录过程中获取用户信息和用户所使用终端的IP 地址信息，并将获取的用户信息和用户所使用终端的IP地址信息发送给所述策 略管理装置；

所述策略管理装置根据所述用户信息与访问控制策略之间的对应关系， 确定与接收到的用户信息对应的访问控制策略信息，并将确定的访问控制策 略信息和所述用户所使用终端的IP地址信息发送给控制网关，以便控制网 关利用所述访问控制策略信息对所述用户所使用终端进行访问控制。

一种对用户进行访问控制的系统，该系统包括：报文分析装置和策略管理 装置，且所述策略管理装置中配置有用户信息与访问控制策略之间的对应关系；

所述报文分析装置，用于在用户登录过程中获取用户信息和用户所使用终 端的IP地址信息，并将获取的用户信息和用户所使用终端的IP地址信息发送 给所述策略管理装置；

所述策略管理装置，用于根据所述用户信息与访问控制策略之间的对应 关系，确定与接收到的用户信息对应的访问控制策略信息，并将确定的访问 控制策略信息和接收到的所述用户所使用终端的IP地址信息发送给控制网 关，以便控制网关利用所述访问控制策略信息对所述用户所使用终端进行访 问控制。