[发明专利]一种基于标签的网络授权管理方法及系统

说明书

本发明公开了一种基于标签的网络授权管理方法及系统，其目的是为解决在动态变化的网络中，实现一种简单方便的网络授权管理方法。依据用户身份认证模块，实时上传用户的身份信息至管理平台，由管理平台生成用户标签数据及用户自定义的应用标签数据，并同步至标签同步模块，转换成可以用于标签匹配模块的二进制标签数据。由操作系统内核模块的标签匹配模块采用区间树(interval‑tree)检索算法和匹配缓存,实现快速对所有数据包进行应用标签和用户标签进行匹配，通过不同的匹配结果执行对应流量操作(封堵或者放行)。

技术领域

本发明涉及IP技术领域，具体涉及一种基于标签的网络授权管理方法及系统。

背景技术

IT的快速发展已改变网络边界的面貌，很多企业采用云、大数据分析和自动化来加速应用的交付，从而推动业务发展。随着访问应用越来越容易，这使得网络变得更复杂，网络安全问题也变得尤为关键，需要更精细化网络授权管理方法。

传统网络使用防火墙设备对入站出站的南北向网络流量进行监管，基于一些自定义的安全规则来放行或者封堵特定流量，此方法管理比较繁杂，无法根据应用、设备直接进行有效的管理，更无法实现企业内部网络的东西向流量进行监管。

总之，现有的网络安全策略规则的管理上，很难达到精细化、动态可调整的方式。为了能实现更高效、更精细化的网络安全策略，我们需要一种基于标签的管理方法，以实现对网络进行灵活、高效管理。

发明内容

本发明提供了一种基于标签的网络授权管理方法，通过网络设备的网络数据包，将匹配到一个或多个已定义的应用标签和用户标签，并执行相应的安全规则，封堵或者放行数据包传输，为网络安全策略提供一种高效、精细化的管理。

一种基于标签的网络授权管理方法，包括以下步骤：

1)管理平台创建应用标签数据；

2)终端用户通过多种接入认证方式接入到部署在网络中的用户身份认证模块，用户身份认证模块对应的终端用户的信息上报到管理平台，由管理平台生成该终端用户的用户标签数据；

3)由标签同步模块向管理平台同步步骤1)的应用标签数据和步骤2)的用户标签数据，并将同步后的应用标签数据和用户标签数据转换成固定格式的应用标签和固定格式的用户标签；

4)标签匹配模块捕获网络数据包，提取网络数据包中的三层网络协议数据，然后标签匹配模块将提取到的三层网络协议数据与步骤3)得到的固定格式的应用标签和固定格式的用户标签进行匹配并根据匹配结果进行封堵或放行，进行网络授权管理。

以下作为本发明的优选技术方案：

步骤1)中，所述的应用标签包括出入站类型、IP地址、端口号、通信协议、应用类型、标签名。

步骤3)中，所述的固定格式的应用标签包括：

标签ID、出入站类型、IP地址、端口号、通信协议、应用类型、授权用户ID或者分组ID的列表。

进一步优选，所述的固定格式的应用标签包括：

8字节标签ID、1字节出入站类型、16字节IP地址、2字节端口号、1字节协议类型、4字节应用类型以及最大512字节的授权用户ID或者最大512字节的分组ID的列表。

所述的固定格式的用户标签包括：

标签ID、用户IP地址、用户ID、用户分组ID。

进一步优选，所述的固定格式的用户标签包括：

8字节标签ID、16字节用户IP地址、4字节用户ID、4字节应用类型、4字节用户分组ID。