技術領域

本發明涉及網絡通信技術領域，尤其涉及訪問權限控制的系統及方法。

背景技術

伴隨著網絡技術日益發展成熟及企業網絡業務的不斷發展，各種企業業務系統的數量不斷增多，用戶數量增加，對各業務系統的WEB訪問不僅僅局限于局域網內，在廣域網內的遠程訪問需求日益迫切，由此所引發的企業業務系統網絡安全問題愈加受到企業用戶的重視。用戶訪問各種WEB應用業務系統，必須采用一定的網絡安全解決方案，保證各種系統的安全性，以防止WEB應用業務系統的信息不會被泄露。

對于WEB應用業務系統的網絡安全管理需求，現有針對用戶訪問的WEB應用業務系統的安全控制解決方案主要為：在企業網絡中部署帶有權限控制的反向透明代理，從網絡上實現對WEB業務系統的單點訪問，以解決WEB應用業務系統的網絡保護問題。用戶終端通過反向透明代理與他有權限訪問的業務系統相連，不但避免了業務系統與用戶終端直接相連，也避免了業務系統暴露給非法用戶。

目前反向透明代理的權限控制有兩種方式：1、基于用戶名控制；2、基于終端IP控制。第一種方式-基于用戶名控制，用戶可以從任意終端受控地訪問合法WEB應用。但是反向透明代理使用用戶名控制權限后，需要在轉發HTTP數據包時，將HTTP數據包與用戶名關聯，再與權限關聯，效率較低，使得用戶訪問WEB應用的響應速度變慢，用戶感受度下降，甚至會導致用戶無法忍受而放棄訪問WEB應用。第二種方式-基于終端IP控制，反向透明代理在轉發HTTP數據包時將HTTP數據包直接與權限關聯，效率較高，不會影響用戶訪問WEB應用的響應速度，但是該方式要求一個用戶始終只使用一個終端，或者必須更改網絡配置，操作不便并且繁瑣，用戶感受度下降。

在實現本發明過程中，發明人發現現有技術訪問權限控制方式中存在如下問題：不能在保證用戶訪問WEB應用響應速度的前提下方便用戶使用，無法保障用戶的感受度。

發明內容

本發明的目的是解決WEB應用訪問權限管理中，不能保證用戶訪問WEB應用響應速度的前提下方便用戶使用，無法保障用戶的感受度的缺陷，提出一種訪問權限控制的系統及方法，使得不降低用戶訪問WEB應用響應速度前提下方便用戶使用，保障了用戶感受度。

為實現上述目的，根據本發明的一個方面，提供了一種訪問權限控制系統，包括：登錄管理單元，用于獲取用戶終端的網絡地址，接收用戶賬戶的登錄請求，根據登錄請求，獲取用戶的訪問權限信息，將用戶終端的網絡地址和訪問權限信息發送至代理轉發單元；代理轉發單元，與登錄管理單元相連，用于根據用戶終端的網絡地址和訪問權限信息進行用戶終端的WEB應用數據包的轉發。

本技術方案中，登錄管理單元進一步包括：監測模塊，用于獲取用戶終端的網絡地址；信息存儲模塊，用于預存用戶賬戶信息及WEB應用網絡地址；登錄模塊，用于接收用戶賬戶的登錄請求，根據預存的用戶賬戶信息對登錄請求進行鑒權，獲取用戶賬戶的訪問權限；發送模塊，用于將用戶終端的網絡地址、用戶賬戶，及訪問權限對應的WEB應用網絡地址進行關聯，并發送至代理轉發單元。

本技術方案中，代理轉發單元進一步包括接收模塊、權限存儲單元、權限加載模塊和數據包轉發模塊，其中：接收模塊，用于接收用戶終端的網絡地址、用戶賬戶及訪問權限對應的WEB應用網絡地址；權限存儲模塊，用于根據用戶賬戶，存儲用戶終端的網絡地址及訪問權限對應的WEB應用網絡地址，并通知權限加載模塊進行用戶終端的網絡地址及訪問權限對應WEB應用網絡地址的更新；權限加載模塊，用于將權限存儲單元中用戶終端的網絡地址及訪問權限對應的WEB應用網絡地址，加載至數據包轉發模塊；數據包轉發模塊，用于根據用戶終端的網絡地址及訪問權限對應的WEB應用網絡地址，對用戶終端的WEB應用數據包進行轉發。

優選地，本技術方案中，登錄管理單元還包括：資源呈現模塊，用于根據向數據包轉發模塊加載用戶終端的網絡地址及訪問權限對應的WEB應用網絡地址成功的消息，將訪問權限對應的WEB應用網絡地址的界面推送給用戶終端。