[发明专利]用户的识别方法及装置、系统

说明书

本申请公开了一种用户的识别方法及装置、系统。其中，该方法包括：接收服务器发送的用户信息，其中，用户信息至少包括源端口段，源端口段是服务器检测到登录事件后为用户分配的，用户通过源端口段包括的多个源端口访问互联网，登录事件用于表征用户成功连接服务器；依据用户信息确定经过防火墙的流量所对应的用户。本申请解决了Terminal Server多用户办公环境下用户上网流量的源IP是相同的，防火墙不能识别特定的用户，不能只根据流量源IP对每个用户的流量进行控制的技术问题。

技术领域

本申请涉及通信领域，具体而言，涉及一种用户的识别方法及装置、系统。

背景技术

防火墙是网络安全的基础设备，无论是在网络的出口还是网络内部，都有大量的防火墙设备来保证网络的安全。

单点登录(Single Sign On，SSO)：是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录机制。它是目前比较流行的企业业务整合的解决方案之一。

AAA：Authentication(认证)、Authorization(授权)、Accouting(计费)的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。AAA一般采用C/S结构，客户端运行于网络接入服务器(Network Access Server，NAS，如防火墙、路由器等)上，服务器上则集中管理用户信息。NAS对于用户来讲是服务器端，对服务器来说是客户端。AAA服务器的三种安全服务功能具体如下：

1)认证：确认远端访问用户的身份，判断访问者是否为合法的网络用户。确保只有受信的用户可以访问网络资源，同时对用户行为进行管理和审计。

2)授权：对不同用户赋予不同的权限，限制用户可以使用的服务。

3)计费：记录用户使用网络服务中的所有操作，包括使用的服务类型、起始时间、数据流量等，它不仅是一种计费手段，也对网络安全起到了监视作用。

传统的网络设备，管理的基本单位是IP地址，而现代防火墙设备管理的基本单位是用户，支持基于用户的流量管理和监控功能。防火墙必须能够根据流量的某些特征(如IP地址)识别出该流量所属的用户。用户识别是防火墙的基础功能，可应用于多种场景，如用户的监控，策略的控制等。为了实现基于用户的管理，防火墙需要对上网用户的身份进行AAA认证。AAA认证就是一个将网络流量的某些特征(如IP地址)与一个具体用户建立映射关系的过程。防火墙支持的常见认证方式有以下几种：

1)本地认证：防火墙上预先配置存储了授权用户的用户名和密码。访问用户通过web认证页面等方式将标识其身份的用户名和密码发送给防火墙。防火墙使用本地存储的用户名和密码做比对和验证。整个认证过程在防火墙上进行，故称为本地认证。

2)外部认证服务器认证：访问用户通过web认证页面等将标识其身份的用户名和密码发送给防火墙。防火墙将接收到的用户名和密码发送到第三方认证服务器，验证过程在外部认证服务器上进行。常见的外部认证服务器有radius服务器、LDAP服务器和AD服务器等。

3)单点登录认证：访问用户将标识其身份的用户名和密码发送给第三方认证服务器，认证通过后，第三方认证服务器将标识该认证用户的身份信息(如IP地址与用户的映射关系)发送给防火墙。防火墙只负责记录认证用户的身份信息而不参与认证过程，该方式即为防火墙的单点登录认证，典型的单点登录方式有AD单点登录等。