[发明专利]一种网络访问控制策略管理系统

权利要求书

1.一种网络访问控制策略管理系统，其特征在于，包括：

部署在访问控制设备中的策略辅助服务软件；

部署在业务终端的业务终端代理软件；

部署在管理员终端的策略审批管理软件；

所述访问控制设备、业务终端和管理员终端之间通过网络通信连接；

所述网络访问控制策略管理系统的运行流程包括：

S1，业务终端发起访问，生成业务访问IP包，该业务访问IP包通过网络到达访问控制设备；

S2，访问控制设备捕获业务访问IP包，由策略辅助服务软件提取业务访问IP包的信息，并根据提取的信息检查访问控制设备自身的访问控制策略集中是否存在对应的访问控制策略，根据结果选择不同的方式来生成网络访问控制策略辅助请求，并将网络访问控制策略辅助请求封装为IP包，然后将封装的IP包发送给发起访问的业务终端的业务终端代理软件；

S3，业务终端代理软件收到请求IP包后，解析请求IP包获得业务访问IP包的信息并呈现给用户进行确认；用户审查请求业务访问IP包的信息，确认许可或者禁止，其中确认的许可包含有效期信息；业务终端代理软件将业务访问IP包的信息、用户确认结果和有效期信息进行组装，生成策略辅助请求回执，并将策略辅助请求回执封装为回执IP包，再将回执IP包发送给访问控制设备的策略辅助服务软件；

S4，策略辅助服务软件收到回执IP包后，将回执IP包以及访问控制设备IP地址转发至策略审批管理软件；

S5，策略审批管理软件收到回执IP包后，解析回执IP包获得业务访问IP包的信息、用户确认结果和有效期信息，并获得访问控制设备IP地址，将业务访问IP包的信息、用户确认结果、有效期信息和访问控制设备IP地址呈现给管理员进行审批，管理员审批完成后，策略审批管理软件将业务访问IP包的信息、用户确认结果和有效期信息进行组装，生成策略执行指令，并将策略执行指令封装为执行IP包，然后将执行IP包发送给访问控制设备的策略辅助服务软件；

S6，策略辅助服务软件收到执行IP包后，解析执行IP包获得业务访问IP包的信息、用户确认结果和有效期信息，并进行如下操作：

(1)若用户确认结果为许可，且访问控制设备自身的访问控制策略集中不存在对应的访问控制策略，则利用业务访问IP包的信息和有效期信息生成访问控制策略，并将生成的访问控制策略添加到访问控制策略集中，并加载生效，放行业务访问IP包；

(2)若用户确认结果为许可，且访问控制设备自身的访问控制策略集中已存在对应的访问控制策略，则利用业务访问IP包的信息和有效期信息生成访问控制策略集的访问控制策略，更新访问控制策略集中已存在的对应的访问控制策略，并加载生效，放行业务访问IP包；

(3)若用户确认结果为禁止，且访问控制设备自身的访问控制策略集中不存在对应的访问控制策略，则不进行任何操作，丢弃业务访问IP包；

(4)若用户确认结果为禁止，且访问控制设备自身的访问控制策略集中已存在对应的访问控制策略，则删除访问控制策略集中对应的该访问控制策略，并加载生效，丢弃业务访问IP包；

步骤S2中根据结果选择不同的方式来生成网络访问控制策略辅助请求的方法包括：

(1)若不存在对应的访问控制策略，则将业务访问IP包的信息组装，生成网络访问控制策略辅助请求，并将网络访问控制策略辅助请求封装为IP包，然后将封装的IP包发送给发起访问的业务终端的业务终端代理软件；

(2)若已经存在对应的访问控制策略，进一步检查该访问控制策略的有效期，若有效期临近结束，则将业务访问IP包的信息组装，生成网络访问控制策略辅助请求，并将网络访问控制策略辅助请求封装为请求IP包，然后将请求IP包发送给发起访问的业务终端的业务终端代理软件。

2.根据权利要求1所述的网络访问控制策略管理系统，其特征在于，步骤S2中策略辅助服务软件提取的业务访问IP包的信息包括IP地址、端口和协议类型。

3.根据权利要求1所述的网络访问控制策略管理系统，其特征在于，步骤S5中管理员审批的操作包括：

(1)管理员若认可用户确认结果，则直接审批通过；

(2)管理员若不认可用户确认结果，则修改用户确认结果。