[发明专利]访问权限控制的系统及方法

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及访问权限控制的系统及方法。

背景技术

伴随着网络技术日益发展成熟及企业网络业务的不断发展，各种企业业务系统的数量不断增多，用户数量增加，对各业务系统的WEB访问不仅仅局限于局域网内，在广域网内的远程访问需求日益迫切，由此所引发的企业业务系统网络安全问题愈加受到企业用户的重视。用户访问各种WEB应用业务系统，必须采用一定的网络安全解决方案，保证各种系统的安全性，以防止WEB应用业务系统的信息不会被泄露。

对于WEB应用业务系统的网络安全管理需求，现有针对用户访问的WEB应用业务系统的安全控制解决方案主要为：在企业网络中部署带有权限控制的反向透明代理，从网络上实现对WEB业务系统的单点访问，以解决WEB应用业务系统的网络保护问题。用户终端通过反向透明代理与他有权限访问的业务系统相连，不但避免了业务系统与用户终端直接相连，也避免了业务系统暴露给非法用户。

目前反向透明代理的权限控制有两种方式：1、基于用户名控制；2、基于终端IP控制。第一种方式-基于用户名控制，用户可以从任意终端受控地访问合法WEB应用。但是反向透明代理使用用户名控制权限后，需要在转发HTTP数据包时，将HTTP数据包与用户名关联，再与权限关联，效率较低，使得用户访问WEB应用的响应速度变慢，用户感受度下降，甚至会导致用户无法忍受而放弃访问WEB应用。第二种方式-基于终端IP控制，反向透明代理在转发HTTP数据包时将HTTP数据包直接与权限关联，效率较高，不会影响用户访问WEB应用的响应速度，但是该方式要求一个用户始终只使用一个终端，或者必须更改网络配置，操作不便并且繁琐，用户感受度下降。

在实现本发明过程中，发明人发现现有技术访问权限控制方式中存在如下问题：不能在保证用户访问WEB应用响应速度的前提下方便用户使用，无法保障用户的感受度。

发明内容

本发明的目的是解决WEB应用访问权限管理中，不能保证用户访问WEB应用响应速度的前提下方便用户使用，无法保障用户的感受度的缺陷，提出一种访问权限控制的系统及方法，使得不降低用户访问WEB应用响应速度前提下方便用户使用，保障了用户感受度。

为实现上述目的，根据本发明的一个方面，提供了一种访问权限控制系统，包括：登录管理单元，用于获取用户终端的网络地址，接收用户账户的登录请求，根据登录请求，获取用户的访问权限信息，将用户终端的网络地址和访问权限信息发送至代理转发单元；代理转发单元，与登录管理单元相连，用于根据用户终端的网络地址和访问权限信息进行用户终端的WEB应用数据包的转发。

本技术方案中，登录管理单元进一步包括：监测模块，用于获取用户终端的网络地址；信息存储模块，用于预存用户账户信息及WEB应用网络地址；登录模块，用于接收用户账户的登录请求，根据预存的用户账户信息对登录请求进行鉴权，获取用户账户的访问权限；发送模块，用于将用户终端的网络地址、用户账户，及访问权限对应的WEB应用网络地址进行关联，并发送至代理转发单元。

本技术方案中，代理转发单元进一步包括接收模块、权限存储单元、权限加载模块和数据包转发模块，其中：接收模块，用于接收用户终端的网络地址、用户账户及访问权限对应的WEB应用网络地址；权限存储模块，用于根据用户账户，存储用户终端的网络地址及访问权限对应的WEB应用网络地址，并通知权限加载模块进行用户终端的网络地址及访问权限对应WEB应用网络地址的更新；权限加载模块，用于将权限存储单元中用户终端的网络地址及访问权限对应的WEB应用网络地址，加载至数据包转发模块；数据包转发模块，用于根据用户终端的网络地址及访问权限对应的WEB应用网络地址，对用户终端的WEB应用数据包进行转发。

优选地，本技术方案中，登录管理单元还包括：资源呈现模块，用于根据向数据包转发模块加载用户终端的网络地址及访问权限对应的WEB应用网络地址成功的消息，将访问权限对应的WEB应用网络地址的界面推送给用户终端。