一種基于權限管控的網絡安全準入認證系統及方法技術方案

本發明專利技術公開了一種基于權限管控的網絡安全準入認證系統及方法，該系統包括：身份識別設備采集預對數據進行操作的用戶的身份特征信息；終端與身份識別設備相連，上傳用戶的身份特征信息及用戶的網絡權限信息；數據采集中心存儲有全部用戶的身份特征信息及其權限；數據處理中心與數據采集中心相連，判斷用戶是否有權限接入相應的網絡；若有則允許用戶訪問相應的網絡；否則令身份識別設備重新采集用戶的身份特征信息。本發明專利技術采用身份識別設備搜集用戶的信息，在接入網絡前進行操作用戶的權限判定，符合權限要求的用戶才可以接入相應的網絡進行操作，填補了傳統準入設備靠簡單的用戶名密碼以及IP\MAC綁定可能存在的漏洞。

【技術實現步驟摘要】

本專利技術屬于網絡準入安全領域，尤其涉及一種基于權限管控的網絡安全準入認證系統及方法。
技術介紹
隨著接入網絡設備數量和種類的急劇增加，網絡管理問題和安全問題日趨嚴，而網絡用戶對接入網絡需求各異，傳統的安全接入系統越來越難以適應網絡規模增大和用戶需求多樣性的要求，使得傳統網絡接入的弊端日益突顯?，F有技術主要存在以下缺點與不足：1、由于沒有對通過Web認證的用戶IP報文進行的源MAC地址、源IP地址的合法性檢查，因而可能產生虛假地址欺騙及相關網絡攻擊，并且這類網絡欺騙和攻擊行為難以追蹤，使得網絡管理人員越來越難以對網絡實行有效管。2、由于IP報文的DSCP值主要由用戶終端在發送報文時設置，網絡接入系統沒有對IP報文的DSCP值進行合法性檢查，因而導致網絡中出現某些IP報文的DSCP值不規范或DSCP值欺騙等問題，網絡服務提供商難以根據IP報文的DSCP值對各種業務提供差分服務。因此，現有技術有待于改進。
技術實現思路
本專利技術為了解決現有技術的不足，提供一種基于權限管控的網絡安全準入認證系統及方法，用以實現對用戶入網權限管控的功能。為解決上述技術問題，本專利技術實施例提供的一種基于權限管控的網絡安全準入認證系統及方法，采用如下技術方案：一種基于權限管控的網絡安全準入認證系統，其特征在于，包括：身份錄入設備，用以錄入與網絡接入的合法用戶的身份特征信息；身份識別設備，與所有終端設備相連，用以上采集用戶的身份特征信息及數據上傳；準入交換設備，存儲有全部用戶的身份特征信息及其權限；與身份錄入設備以及終端相連，接收身份識別設備上傳的信息并進行信息比對入網權限，若有則允許所述用戶通過終端接入網絡；否則拒絕入網并提示重新采集用戶的身份特征信息。具體地，所述身份錄入設備包括指紋錄入設備、臉部錄入設備和視網膜錄入設備。具體地，所述指紋識別設備為指紋錄入機。一種基于權限管控的網絡安全準入認證方法，其特征在于，包括如下步驟：步驟一：終端上傳用戶預入網信息；步驟二：準入交換設備判斷所述用戶信息是否需要權限判定；若不需要則命令終端直接接入網絡；若需要則執行步驟三；步驟三：身份識別設備采集預入網用戶的身份特征信息；步驟四：準入交換設備判斷所述用戶是否存在；若存在則調取所述用戶的權限；若不存在，則返回執行步驟三；步驟五：準入交換設備判斷所述用戶是否有權限入網操作的信息；如有則令終端開放所述入網權限，并做標記；若沒有則返回執行步驟三。具體地，所述步驟三還包括：判斷所述身份設備采集針對所述用戶入網權限的信息是否已經采集3次用戶的身份特征信息；若是則終止終端繼續入網；否則由身份采集設備繼續采集。具體地，所述身份識別設備包括指紋識別設備、臉部識別設備和視網膜識別設備；所述身份特征信息包括指紋、臉部特征信息和視網膜特征信息。具體地，所述指紋識別設備為一鼠標，所述鼠標上設有指紋掃描模塊。具體地，所述認證方法還包括：步驟六，準入交換設備將對數據的處理時間、上網操作、操作用戶、處理結果以日志的方式保存。本專利技術提供的一種基于權限管控的網絡安全準入認證系統及方法，采用身份識別設備搜集用戶的信息，在對入網前進行用戶的權限判定，符合權限要求的用戶才可以訪問響應權限的網絡并以日志形式記錄，既不要輸入繁瑣的用戶名密碼，也無需擔心這些信息丟失可能造成的準入漏洞。附圖說明圖1為本專利技術實施例所述的一種基于權限管控的網絡安全準入認證系統的結構示意圖。圖2為本專利技術實施例所述的一種基于權限管控的網絡安全準入認證系統的工作流程圖。具體實施方式下面結合附圖對本專利技術實施例提供給的基于權限管控的網絡安全準入認證系統及方法進行詳細描述。如圖1、2所示，本專利技術實施例提供的一種基于權限管控的網絡安全準入認證系統，其特征在于，包括：身份錄入設備，用以錄入與網絡接入的合法用戶的身份特征信息；身份識別設備，與所有終端設備相連，用以上采集用戶的身份特征信息及數據上傳；準入交換設備，存儲有全部用戶的身份特征信息及其權限；與身份錄入設備以及終端相連，接收身份識別設備上傳的信息并進行信息比對入網權限，若有則允許所述用戶通過終端接入網絡；否則拒絕入網并提示重新采集用戶的身份特征信息。具體地，所述身份錄入設備包括指紋錄入設備、臉部錄入設備和視網膜錄入設備。具體地，所述指紋識別設備為指紋錄入機。一種基于權限管控的網絡安全準入認證方法，其特征在于，包括如下步驟：步驟一：終端上傳用戶預入網信息；步驟二：準入交換設備判斷所述用戶信息是否需要權限判定；若不需要則命令終端直接接入網絡；若需要則執行步驟三；步驟三：身份識別設備采集預入網用戶的身份特征信息；步驟四：準入交換設備判斷所述用戶是否存在；若存在則調取所述用戶的權限；若不存在，則返回執行步驟三；步驟五：準入交換設備判斷所述用戶是否有權限入網操作的信息；如有則令終端開放所述入網權限，并做標記；若沒有則返回執行步驟三。具體地，所述步驟三還包括：判斷所述身份設備采集針對所述用戶入網權限的信息是否已經采集3次用戶的身份特征信息；若是則終止終端繼續入網；否則由身份采集設備繼續采集。具體地，所述身份識別設備包括指紋識別設備、臉部識別設備和視網膜識別設備；所述身份特征信息包括指紋、臉部特征信息和視網膜特征信息。具體地，所述指紋識別設備為一鼠標，所述鼠標上設有指紋掃描模塊。具體地，所述認證方法還包括：步驟六，準入交換設備將對數據的處理時間、上網操作、操作用戶、處理結果以日志的方式保存。本專利技術提供的一種基于權限管控的網絡安全準入認證系統及方法，采用身份識別設備搜集用戶的信息，在對入網前進行用戶的權限判定，符合權限要求的用戶才可以訪問響應權限的網絡并以日志形式記錄，既不要輸入繁瑣的用戶名密碼，也無需擔心這些信息丟失可能造成的準入漏洞。以上所述，僅為本專利技術的具體實施方式，但本專利技術的保護范圍并不局限于此，任何熟悉本
的技術人員在本專利技術揭露的技術范圍內，可輕易想到變化或替換，都應涵蓋在本專利技術的保護范圍之內。因此，本專利技術的保護范圍應所述以權利要求的保護范圍為準。本文檔來自技高網...

【技術保護點】
一種基于權限管控的網絡安全準入認證系統，其特征在于，包括：身份錄入設備，用以錄入與網絡接入的合法用戶的身份特征信息；身份識別設備，與所有終端設備相連，用以上采集用戶的身份特征信息及數據上傳；準入交換設備，存儲有全部用戶的身份特征信息及其權限；與身份錄入設備以及終端相連，接收身份識別設備上傳的信息并進行信息比對入網權限，若有則允許所述用戶通過終端接入網絡；否則拒絕入網并提示重新采集用戶的身份特征信息。

【技術特征摘要】
1.一種基于權限管控的網絡安全準入認證系統，其特征在于，包括：
身份錄入設備，用以錄入與網絡接入的合法用戶的身份特征信息；
身份識別設備，與所有終端設備相連，用以上采集用戶的身份特征信息及數據上傳；
準入交換設備，存儲有全部用戶的身份特征信息及其權限；與身份錄入設備以及終端相連，接收身份識別設備上傳的信息并進行信息比對入網權限，若有則允許所述用戶通過終端接入網絡；否則拒絕入網并提示重新采集用戶的身份特征信息。
2.根據權利要求1所述的基于權限管控的網絡安全準入認證系統，其特征在于，所述身份錄入設備包括指紋錄入設備、臉部錄入設備和視網膜錄入設備。
3.根據權利要求1所述的基于權限管控的網絡安全準入認證系統，其特征在于，所述指紋識別設備為指紋錄入機。
4.一種基于權限管控的網絡安全準入認證方法，其特征在于，包括如下步驟：
步驟一：終端上傳用戶預入網信息；
步驟二：準入交換設備判斷所述用戶信息是否需要權限判定；若不需要則命令終端直接接入網絡；若需要則執行步驟三；
步驟三：身份識別設備采集預入網用戶的身份特征信息；
步驟四...

【專利技術屬性】
技術研發人員：蔣斐，汪亮，
申請(專利權)人：江蘇威盾網絡科技有限公司，
類型：發明
國別省市：江蘇;32