一種基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)準(zhǔn)入安全領(lǐng)域����,尤其涉及一種基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證系統(tǒng)及方法��。
【背景技術(shù)】
[0002]隨著接入網(wǎng)絡(luò)設(shè)備數(shù)量和種類的急劇增加��,網(wǎng)絡(luò)管理問題和安全問題日趨嚴(yán)����,而網(wǎng)絡(luò)用戶對接入網(wǎng)絡(luò)需求各異����,傳統(tǒng)的安全接入系統(tǒng)越來越難以適應(yīng)網(wǎng)絡(luò)規(guī)模增大和用戶需求多樣性的要求����,使得傳統(tǒng)網(wǎng)絡(luò)接入的弊端日益突顯。現(xiàn)有技術(shù)主要存在以下缺點(diǎn)與不足:
1�、由于沒有對通過Web認(rèn)證的用戶IP報文進(jìn)行的源MAC地址、源IP地址的合法性檢查��,因而可能產(chǎn)生虛假地址欺騙及相關(guān)網(wǎng)絡(luò)攻擊���,并且這類網(wǎng)絡(luò)欺騙和攻擊行為難以追蹤�����,使得網(wǎng)絡(luò)管理人員越來越難以對網(wǎng)絡(luò)實行有效管��。
[0003]2����、由于IP報文的DSCP值主要由用戶終端在發(fā)送報文時設(shè)置,網(wǎng)絡(luò)接入系統(tǒng)沒有對IP報文的DSCP值進(jìn)行合法性檢查����,因而導(dǎo)致網(wǎng)絡(luò)中出現(xiàn)某些IP報文的DSCP值不規(guī)范或DSCP值欺騙等問題,網(wǎng)絡(luò)服務(wù)提供商難以根據(jù)IP報文的DSCP值對各種業(yè)務(wù)提供差分服務(wù)����。
[0004]因此,現(xiàn)有技術(shù)有待于改進(jìn)����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明為了解決現(xiàn)有技術(shù)的不足,提供一種基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證系統(tǒng)及方法�����,用以實現(xiàn)對用戶入網(wǎng)權(quán)限管控的功能����。
[0006]為解決上述技術(shù)問題��,本發(fā)明實施例提供的一種基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證系統(tǒng)及方法��,采用如下技術(shù)方案:
一種基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證系統(tǒng)��,其特征在于�,包括:
身份錄入設(shè)備����,用以錄入與網(wǎng)絡(luò)接入的合法用戶的身份特征信息;
身份識別設(shè)備�,與所有終端設(shè)備相連��,用以上采集用戶的身份特征信息及數(shù)據(jù)上傳����;準(zhǔn)入交換設(shè)備,存儲有全部用戶的身份特征信息及其權(quán)限��;與身份錄入設(shè)備以及終端相連��,接收身份識別設(shè)備上傳的信息并進(jìn)行信息比對入網(wǎng)權(quán)限���,若有則允許所述用戶通過終端接入網(wǎng)絡(luò)�����;否則拒絕入網(wǎng)并提示重新采集用戶的身份特征信息�����。
[0007]具體地��,所述身份錄入設(shè)備包括指紋錄入設(shè)備���、臉部錄入設(shè)備和視網(wǎng)膜錄入設(shè)備���。
[0008]具體地,所述指紋識別設(shè)備為指紋錄入機(jī)�。
[0009]—種基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證方法,其特征在于����,包括如下步驟:
步驟一:終端上傳用戶預(yù)入網(wǎng)信息;
步驟二:準(zhǔn)入交換設(shè)備判斷所述用戶信息是否需要權(quán)限判定���;若不需要則命令終端直接接入網(wǎng)絡(luò)�����;若需要則執(zhí)行步驟三���;
步驟三:身份識別設(shè)備采集預(yù)入網(wǎng)用戶的身份特征信息����; 步驟四:準(zhǔn)入交換設(shè)備判斷所述用戶是否存在��;若存在則調(diào)取所述用戶的權(quán)限��;若不存在���,則返回執(zhí)行步驟三���;
步驟五:準(zhǔn)入交換設(shè)備判斷所述用戶是否有權(quán)限入網(wǎng)操作的信息�����;如有則令終端開放所述入網(wǎng)權(quán)限���,并做標(biāo)記���;若沒有則返回執(zhí)行步驟三����。
[0010]具體地�,所述步驟三還包括:判斷所述身份設(shè)備采集針對所述用戶入網(wǎng)權(quán)限的信息是否已經(jīng)采集3次用戶的身份特征信息;若是則終止終端繼續(xù)入網(wǎng)��;否則由身份采集設(shè)備繼續(xù)采集��。
[0011]具體地���,所述身份識別設(shè)備包括指紋識別設(shè)備�����、臉部識別設(shè)備和視網(wǎng)膜識別設(shè)備�;所述身份特征信息包括指紋���、臉部特征信息和視網(wǎng)膜特征信息��。
[0012]具體地����,所述指紋識別設(shè)備為一鼠標(biāo),所述鼠標(biāo)上設(shè)有指紋掃描模塊���。
[0013]具體地��,所述認(rèn)證方法還包括:步驟六�,準(zhǔn)入交換設(shè)備將對數(shù)據(jù)的處理時間��、上網(wǎng)操作��、操作用戶����、處理結(jié)果以日志的方式保存。
[0014]本發(fā)明提供的一種基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證系統(tǒng)及方法��,采用身份識別設(shè)備搜集用戶的信息��,在對入網(wǎng)前進(jìn)行用戶的權(quán)限判定�,符合權(quán)限要求的用戶才可以訪問響應(yīng)權(quán)限的網(wǎng)絡(luò)并以日志形式記錄,既不要輸入繁瑣的用戶名密碼��,也無需擔(dān)心這些信息丟失可能造成的準(zhǔn)入漏洞�����。
【附圖說明】
[0015]圖1為本發(fā)明實施例所述的一種基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖�。
[0016]圖2為本發(fā)明實施例所述的一種基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證系統(tǒng)的工作流程圖。
【具體實施方式】
[0017]下面結(jié)合附圖對本發(fā)明實施例提供給的基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證系統(tǒng)及方法進(jìn)行詳細(xì)描述����。
[0018]如圖1、2所示�����,本發(fā)明實施例提供的一種基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證系統(tǒng)�����,其特征在于�����,包括:
身份錄入設(shè)備�����,用以錄入與網(wǎng)絡(luò)接入的合法用戶的身份特征信息�;
身份識別設(shè)備,與所有終端設(shè)備相連���,用以上采集用戶的身份特征信息及數(shù)據(jù)上傳����;準(zhǔn)入交換設(shè)備,存儲有全部用戶的身份特征信息及其權(quán)限�;與身份錄入設(shè)備以及終端相連,接收身份識別設(shè)備上傳的信息并進(jìn)行信息比對入網(wǎng)權(quán)限����,若有則允許所述用戶通過終端接入網(wǎng)絡(luò);否則拒絕入網(wǎng)并提示重新采集用戶的身份特征信息�����。
[0019]具體地�,所述身份錄入設(shè)備包括指紋錄入設(shè)備、臉部錄入設(shè)備和視網(wǎng)膜錄入設(shè)備����。
[0020]具體地,所述指紋識別設(shè)備為指紋錄入機(jī)�����。
[0021]—種基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證方法,其特征在于�,包括如下步驟:
步驟一:終端上傳用戶預(yù)入網(wǎng)信息�����;
步驟二:準(zhǔn)入交換設(shè)備判斷所述用戶信息是否需要權(quán)限判定�;若不需要則命令終端直接接入網(wǎng)絡(luò);若需要則執(zhí)行步驟三�; 步驟三:身份識別設(shè)備采集預(yù)入網(wǎng)用戶的身份特征信息;
步驟四:準(zhǔn)入交換設(shè)備判斷所述用戶是否存在�����;若存在則調(diào)取所述用戶的權(quán)限�;若不存在,則返回執(zhí)行步驟三���;
步驟五:準(zhǔn)入交換設(shè)備判斷所述用戶是否有權(quán)限入網(wǎng)操作的信息����;如有則令終端開放所述入網(wǎng)權(quán)限���,并做標(biāo)記��;若沒有則返回執(zhí)行步驟三���。
[0022]具體地�,所述步驟三還包括:判斷所述身份設(shè)備采集針對所述用戶入網(wǎng)權(quán)限的信息是否已經(jīng)采集3次用戶的身份特征信息�;若是則終止終端繼續(xù)入網(wǎng);否則由身份采集設(shè)備繼續(xù)采集����。
[0023]具體地,所述身份識別設(shè)備包括指紋識別設(shè)備�����、臉部識別設(shè)備和視網(wǎng)膜識別設(shè)備�;所述身份特征信息包括指紋、臉部特征信息和視網(wǎng)膜特征信息��。
[0024]具體地�,所述指紋識別設(shè)備為一鼠標(biāo),所述鼠標(biāo)上設(shè)有指紋掃描模塊����。
[0025]具體地,所述認(rèn)證方法還包括:步驟六��,準(zhǔn)入交換設(shè)備將對數(shù)據(jù)的處理時間、上網(wǎng)操作��、操作用戶�����、處理結(jié)果以日志的方式保存��。
[0026]本發(fā)明提供的一種基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證系統(tǒng)及方法����,采用身份識別設(shè)備搜集用戶的信息���,在對入網(wǎng)前進(jìn)行用戶的權(quán)限判定��,符合權(quán)限要求的用戶才可以訪問響應(yīng)權(quán)限的網(wǎng)絡(luò)并以日志形式記錄����,既不要輸入繁瑣的用戶名密碼����,也無需擔(dān)心這些信息丟失可能造成的準(zhǔn)入漏洞。
[0027]以上所述�����,僅為本發(fā)明的【具體實施方式】,但本發(fā)明的保護(hù)范圍并不局限于此���,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)�,可輕易想到變化或替換����,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此�,本發(fā)明的保護(hù)范圍應(yīng)所述以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
【主權(quán)項】
1.一種基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證系統(tǒng)�,其特征在于,包括: 身份錄入設(shè)備�,用以錄入與網(wǎng)絡(luò)接入的合法用戶的身份特征信息; 身份識別設(shè)備�,與所有終端設(shè)備相連,用以上采集用戶的身份特征信息及數(shù)據(jù)上傳�����; 準(zhǔn)入交換設(shè)備����,存儲有全部用戶的身份特征信息及其權(quán)限�;與身份錄入設(shè)備以及終端相連�����,接收身份識別設(shè)備上傳的信息并進(jìn)行信息比對入網(wǎng)權(quán)限���,若有則允許所述用戶通過終端接入網(wǎng)絡(luò)�;否則拒絕入網(wǎng)并提示重新采集用戶的身份特征信息�����。2.根據(jù)權(quán)利要求1所述的基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證系統(tǒng)��,其特征在于�����,所述身份錄入設(shè)備包括指紋錄入設(shè)備���、臉部錄入設(shè)備和視網(wǎng)膜錄入設(shè)備。3.根據(jù)權(quán)利要求1所述的基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證系統(tǒng)����,其特征在于�,所述指紋識別設(shè)備為指紋錄入機(jī)�。4.一種基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證方法,其特征在于�,包括如下步驟: 步驟一:終端上傳用戶預(yù)入網(wǎng)信息; 步驟二:準(zhǔn)入交換設(shè)備判斷所述用戶信息是否需要權(quán)限判定���;若不需要則命令終端直接接入網(wǎng)絡(luò)����;若需要則執(zhí)行步驟三��; 步驟三:身份識別設(shè)備采集預(yù)入網(wǎng)用戶的身份特征信息��; 步驟四:準(zhǔn)入交換設(shè)備判斷所述用戶是否存在�;若存在則調(diào)取所述用戶的權(quán)限;若不存在����,則返回執(zhí)行步驟三; 步驟五:準(zhǔn)入交換設(shè)備判斷所述用戶是否有權(quán)限入網(wǎng)操作的信息��;如有則令終端開放所述入網(wǎng)權(quán)限��,并做標(biāo)記�;若沒有則返回執(zhí)行步驟三��。5.根據(jù)權(quán)利要求4所述的基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證方法�,其特征在于��,所述步驟三還包括:判斷所述身份設(shè)備采集針對所述用戶入網(wǎng)權(quán)限的信息是否已經(jīng)采集3次用戶的身份特征信息����;若是則終止終端繼續(xù)入網(wǎng);否則由身份采集設(shè)備繼續(xù)采集��。6.根據(jù)權(quán)利要求4所述的基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證方法�����,其特征在于���,所述身份識別設(shè)備包括指紋識別設(shè)備、臉部識別設(shè)備和視網(wǎng)膜識別設(shè)備�;所述身份特征信息包括指紋、臉部特征信息和視網(wǎng)膜特征信息��。7.根據(jù)權(quán)利要求6所述的基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證方法�,其特征在于,所述指紋識別設(shè)備為一鼠標(biāo)�,所述鼠標(biāo)上設(shè)有指紋掃描模塊�����。8.根據(jù)權(quán)利要求4所述的基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證方法���,其特征在于,所述認(rèn)證方法還包括:步驟六����,準(zhǔn)入交換設(shè)備將對數(shù)據(jù)的處理時間、上網(wǎng)操作����、操作用戶、處理結(jié)果以日志的方式保存�����。
【專利摘要】本發(fā)明公開了一種基于權(quán)限管控的網(wǎng)絡(luò)安全準(zhǔn)入認(rèn)證系統(tǒng)及方法�����,該系統(tǒng)包括:身份識別設(shè)備采集預(yù)對數(shù)據(jù)進(jìn)行操作的用戶的身份特征信息�����;終端與身份識別設(shè)備相連,上傳用戶的身份特征信息及用戶的網(wǎng)絡(luò)權(quán)限信息�;數(shù)據(jù)采集中心存儲有全部用戶的身份特征信息及其權(quán)限;數(shù)據(jù)處理中心與數(shù)據(jù)采集中心相連��,判斷用戶是否有權(quán)限接入相應(yīng)的網(wǎng)絡(luò)�����;若有則允許用戶訪問相應(yīng)的網(wǎng)絡(luò)�;否則令身份識別設(shè)備重新采集用戶的身份特征信息。本發(fā)明采用身份識別設(shè)備搜集用戶的信息�,在接入網(wǎng)絡(luò)前進(jìn)行操作用戶的權(quán)限判定,符合權(quán)限要求的用戶才可以接入相應(yīng)的網(wǎng)絡(luò)進(jìn)行操作���,填補(bǔ)了傳統(tǒng)準(zhǔn)入設(shè)備靠簡單的用戶名密碼以及IP\MAC綁定可能存在的漏洞�����。
【IPC分類】H04L29/06
【公開號】CN105656840
【申請?zhí)枴?br>【發(fā)明人】蔣斐, 汪亮
【申請人】江蘇威盾網(wǎng)絡(luò)科技有限公司
【公開日】2016年6月8日
【申請日】2014年11月11日