一种网络用户管理的方法及设备.pdf

《一种网络用户管理的方法及设备.pdf》由会员分享，可在线阅读，更多相关《一种网络用户管理的方法及设备.pdf（7页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 103036726 A (43)申请公布日 2013.04.10 CN 103036726 A *CN103036726A* (21)申请号 201210548381.8 (22)申请日 2012.12.17 H04L 12/24(2006.01) H04L 29/06(2006.01) (71)申请人 北京网康科技有限公司 地址 100190 北京市海淀区中关村东路 66 号长城大厦 3 层 (72)发明人 刘卫 李红顺 (74)专利代理机构 北京亿腾知识产权代理事务 所 11309 代理人 陈霁 (54) 发明名称 一种网络用户管理的方法及设备 (57) 摘要 本。

2、发明公开了一种网络用户管理的方法及设 备， 所述方法包括以下步骤 ： 在网络用户登入时， 根据网络用户的用户信息查找对应的用户属性信 息， 用户属性包括一个或多个属性值 ； 将用户属 性信息中的一个或多个属性值与权限集进行匹 配， 确定一个或多个属性值可访问的功能模块的 权限， 并缓存匹配结果， 权限集是根据属性组预先 配制的由一个或多个权限记录构成的权限集合， 属性组是具有相同属性的网络用户集合 ； 将匹配 结果发送给具备访问权限的功能模块 ； 所述设备 包括查找单元、 匹配单元和发送单元。 本发明的方 法及其设备通过对属性组的管理， 实现了网络用 户的策略管理、 查询和统计。 (51)In。

3、t.Cl. 权利要求书 1 页 说明书 3 页 附图 2 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书 1 页 说明书 3 页 附图 2 页 1/1 页 2 1. 一种网络用户管理的方法， 其特征在于包括以下步骤 ： 在网络用户登入时， 根据所述网络用户的用户信息查找对应的用户属性信息， 所述用 户属性包括一个或多个属性值 ； 将所述用户属性信息中的一个或多个属性值与权限集进行匹配， 确定所述一个或多个 属性值可访问的功能模块的权限， 并缓存匹配结果， 所述权限集是根据属性组预先配制的 由一个或多个权限记录构成的权限集合， 所述属性组是具有相同属性的网络用户集合 。

4、； 将所述匹配结果发送给具备访问权限的功能模块。 2. 根据权利要求 1 所述的方法， 其特征在于 ： 当所述网络用户退出时， 清除所述用户属 性信息中的一个或多个属性值与所述权限集的匹配结果， 并将所述匹配结果发送给所述具 备访问权限的功能模块。 3. 一种网络用户管理设备， 其特征在于包括 ： 查找模块， 根据所述网络用户的用户信息查找对应的用户属性信息， 所述用户属性包 括一个或多个属性值 ； 匹配模块， 将所述用户属性信息中的一个或多个属性值与权限集进行匹配， 确定所述 一个或多个属性值可访问的功能模块的权限， 并缓存匹配结果， 所述权限集是根据属性组 预先配制的由一个或多个权限记录构。

5、成的权限集合， 所述属性组是具有相同属性的网络用 户集合 ； 发送模块， 用于将所述匹配结果发送给具备访问权限的功能模块。 4. 根据权利要求 3 所述的设备， 其特征在于还包括 ： 删除模块， 用于当所述网络用户退出时， 清除所述用户属性信息中的一个或多个属性 值与所述权限集的匹配结果。 权 利 要 求 书 CN 103036726 A 2 1/3 页 3 一种网络用户管理的方法及设备 技术领域 0001 本发明涉及计算机网络安全技术， 尤其涉及一种网络用户管理的方法及设备。 背景技术 0002 网络用户在网络行为管理系统或网络流控系统中， 具有非常重要的作用。但是网 络行为管理系统或网络流。

6、控系统对网络用户的管理， 只能基于结构组或单个用户， 在策略 管理、 查询、 统计等使用上很不方便。 0003 目前， 大型企业的用户组织关系通常是平面结构的， 并不是针对用户进行分组， 而 是通过用户的属性来分类用户， 这导致了传统以组为单位的用户管理方式完全失效， 并且 由于用户的属性的匹配过程较组或者用户的匹配过程复杂， 导致传统的处理逻辑失效。 发明内容 0004 本发明的目的是提供一种快速、 便捷的网络用户管理方法及其设备， 用于解决在 传统方式中用户的属性在匹配过程中导致处理逻辑失效的问题。 0005 为实现上述目的， 一方面， 本发明提供了一种网络用户管理的方法， 该方法包括以 。

7、下步骤 ： 在网络用户登入时， 根据网络用户的用户信息查找对应的用户属性信息， 用户属性 包括一个或多个属性值 ； 将用户属性信息中的一个或多个属性值与权限集进行匹配， 确定 一个或多个属性值可访问的功能模块的权限， 并缓存匹配结果， 其中权限集是根据属性组 预先配制的由一个或多个权限记录构成的权限集合， 属性组是具有相同属性的网络用户集 合 ； 将一个或多个属性值与权限集的匹配结果发送给具备访问权限的功能模块。 0006 另一方面， 本发明提供了一种网络用户管理的设备。该设备包括 ： 查找单元、 匹 配单元和发送单元， 其中查找单元用于在网络用户登入时， 根据网络用户的用户信息查找 对应的用。

8、户属性信息， 用户属性包括一个或多个属性值 ； 匹配单元用于将用户属性信息中 的一个或多个属性值与权限集进行匹配， 并确定一个或多个属性值可访问的功能模块的权 限， 并缓存匹配结果， 其中权限集是根据属性组预先配制的由一个或多个权限记录构成的 权限集合， 属性组是具有相同属性的网络用户集合 ； 发送单元用于将一个或多个属性值与 权限集的匹配结果发送给具备访问权限的功能模块。 0007 本发明的方法及其设备通过对网络用户属性组的管理， 实现了网络用户的策略管 理、 查询和统计。 附图说明 0008 本发明的示例性实施例将从下文中给出的详细说明和本发明不同实施例的附图 中被更完全地理解， 然而这不。

9、应该被视为将本发明限制于具体的实施例， 而应该只是为了 解释和理解。 0009 图 1 为本发明实施例提供的一种网络用户管理的方法应用场景图 ； 0010 图 2 为本发明实施例提供的一种网络用户管理的方法流程图 ； 说 明 书 CN 103036726 A 3 2/3 页 4 0011 图 3 为本发明实施例提供的一种网络用户管理设备的示意结构图。 具体实施方式 0012 本领域的普通技术人员将意识到， 所述示例性实施例的下述详细说明仅仅是说明 性的， 并且不是意在以任何方式加以限制。 0013 下面首先介绍本发明实施例一种网络用户管理的方法所应用的场景图， 如图 1 所 示， 网络用户管理。

10、备 12 用于接收网络用户 11（用户 A、 用户 B， 用户 N） 的用户信息， 并根据网络用户 11 的属性信息确定该网络用户所能访问功能模块的权限， 从而连接因特 网 13。 0014 图 2 为本发明实施提供的一种网络用户管理的方法流程图。该方法流程图包括步 骤 201- 步骤 203。 0015 在步骤 201， 在网络用户登入时， 根据网络用户的用户信息查找对应的用户属性信 息， 用户属性信息包括一个或多个属性值。 0016 具体地， 网络用户管理设备在网络用户登入时， 根据该网络用户的用户信息， 例如 用户的 IP 地址从用户信息数据库的用户信息表 （参见表 1） 中查找对应的用。

11、户名， 并根据该 用户名确定该网络用户的属性信息， 上述属性信息可包括一个或多个属性值。 0017 在一个例子中， 如表 1 所示， 一个 IP 地址对应一个用户， 每个用户有三个属性， 分 别为性别、 入学年份和所属系， 每个属性对应一个属性值。如表 1 所示， 用户名为 “张三” 的 用户的属性值分别为 “男” 、“2010” 和 “计算机系” 。用户的属性可以添加或从第三方服务器 导入。当 IP 地址为 192.168.1.3 的网络用户登入网络时， 网络用户管理设备根据该 IP 地 址查找到对应的用户名为 “张三” 的用户信息， 该用户的属性信息为 “性别 = 男” 、“入学年份 =2。

12、010” 和 “所属系 = 计算机系” 。 0018 表 1 0019 IP 地址用户名性别入学年份所属系 192.168.1.1王二女2011计算机系 192.168.1.2李四男2010物理系 192.168.1.3张三男2010计算机系 0020 在步骤 102， 将用户属性信息中的一个或多个属性值与权限集进行匹配， 确定一个 或多个属性值可访问的功能模块的权限， 并缓存匹配结果， 所述权限集是根据属性组预先 配制的由一个或多个权限记录构成的权限集合， 所述属性组是具有相同属性的网络用户集 合。 0021 具体地， 网络用户管理设备将用户属性信息中的一个或多个属性值与权限集进行 匹配， 。

13、从而确定一个或多个属性值可访问的功能模块的权限， 权限集是根据属性组预先配 制的由一个或多个权限记录构成的权限集合， 上述属性组是具有相同属性网络用户集合。 0022 以上一个例子为例， 网络用户管理设备预先创建了 2 个属性组， 即计算机系 （所属 系 = 计算机系） 和 2010 年入学学生 （入学年份 =2010） ， 根据上述属性组配制两种权限集 ： 1、 说 明 书 CN 103036726 A 4 3/3 页 5 所属系为 “计算机系” 学生可以访问 FTP 资源 ； 2、 入学年份为 “2010” 学生能够访问图书馆 资源。 网络用户管理设备将用户属性组中的一个或多个属性值与预先。

14、配制的权限集进行匹 配， 通过匹配确定一个或多个属性值可访问的功能模块的权限， 例如， 用户名为 “张三” 的网 络用户其属性值 （所属系和入学年分） 可命中权限集， 因此用户名为 “张三” 的网络用户具备 访问 FTP 资源和访问图书馆资源的权限， 并将该匹配结果进行缓存。 0023 在步骤 103， 将所述匹配结果发送给具备访问权限的功能模块。 0024 具体地， 网络用户管理设备将缓存中的匹配结果发送给具备访问权限的功能模 块， 例如， 将用户名为 “张三” 的网络用户可以访问 FTP 资源的匹配结果发送给 FTP 控制模 块， 将用户名为 “张三” 的网络用户可以访问访问图书馆资源的匹。

15、配结果发送给图书馆控制 模块。当用户名为 “张三” 的网络用户在后续使用 FTP 资源时， FTP 控制模块通过其缓存中 缓存的匹配结果， 允许其访问 FTP 资源。 0025 需要说明的是， 当网络用户退出网络时， 网络用户管理设备将清除缓存中所保存 的用户属性信息中的一个或多个属性值与权限集的匹配结果。 同时将修改后的匹配结果发 送给相应的功能模块。例如， 用户名为 “张三” 的网络用户在退出网络时， 网络用户管理设 备将清除缓存中 “张三” 的属性组匹配结果， 同时将修改后的缓存信息发送给 FTP 控制模块 和图书馆控制模块。用户名为 “张三” 的网络用户的后续访问则不能被 FTP 控制。

16、模块和图 书馆控制模块允许。 0026 本发明实施例通过对属性组的管理， 实现了网络用户的策略管理、 查询和统计。 网 络用户在对某个资源的访问过程中， 只需要进行一次权限匹配， 即可实现多次访问。 0027 图 3 为本发明实施例提供的一种网络用户管理设备结构示意图。所图 3 所示， 该 设备包括中心管理模块30、 用户信息数据库40， 以及多个功能模块 （功能模块1功能模块 N） ， 其中中心管理模块 30 包括查找单元 31、 匹配单元 32、 发送单元 33 和删除单元 34。 0028 查找模块31用于根据网络用户的用户信息通过用户信息数据库40查找对应的用 户属性信息， 所述用户属。

17、性包括一个或多个属性值。 0029 匹配模块 32 用于将所述用户属性信息中的一个或多个属性值与权限集进行匹 配， 确定所述一个或多个属性值可访问的功能模块的权限， 并缓存匹配结果， 所述权限集是 根据属性组预先配制的由一个或多个权限记录构成的权限集合， 所述属性组是具有相同属 性的网络用户集合 ； 0030 发送模块 33 用于将所述匹配结果发送给具备访问权限的功能模块， 例如功能模 块 1 功能模块 N， 每个功能模块都包含有缓存器， 缓存器用于缓存属性值与权限集的匹配 结果。 0031 删除模块 34 用于当所述网络用户退出时， 清除缓存中用户属性信息中的一个或 多个属性值与所述权限集的。

18、匹配结果。 0032 需要说明的是， 该网络用户管理的设备可以是一个独立的网络设备， 也可以是以 一个模块形式存储在于网关、 上网行为管理等网络设备中。 0033 尽管已经示出并描述了本发明的特殊实施例， 然而在不背离本发明的示例性实施 例及其更宽广方面的前提下， 本领域技术人员显然可以基于此处的教学做出变化和修改。 因此， 所附的权利要求意在将所有这类不背离本发明的示例性实施例的真实精神和范围的 变化和更改包含在其范围内。 说 明 书 CN 103036726 A 5 1/2 页 6 图 1 图 2 说 明 书 附 图 CN 103036726 A 6 2/2 页 7 图 3 说 明 书 附 图 CN 103036726 A 7 。