[发明专利]网络业务的管理方法和系统

说明书

技术领域

本发明涉及网络技术领域，尤其涉及一种网络业务的管理方法和系统。 

背景技术

随着标准化且易扩展的网络技术和IP(Internet Protocol，因特网协议)技术不断发展，基于IP和网络的智能监控技术得到快速发展，IP监控已经成为目前监控的主流。但是IP网络是一个开放式的网络，对监控系统存在安全威胁，只要接入了该网络的用户或者PC(Personal Computer，个人电脑)就能对监控服务器进行业务攻击，可能会导致监控系统瘫痪，形成安全黑洞；或者监听网络中的他人监控数据流，窃取自己没有权限访问的数据资料。譬如说某授权用户接入到监控网络中后，当其正常地访问某路摄像头时，就会将该视频流引入到网络中；这时其他不授权的用户也可以通过在网络中进行欺骗或者扫描等办法，将视频流引到自己的PC上，盗窃监控数据。 

现有技术中提出了一种基于EAD(Endpoint Admission Defense，端点准入防御)的监控方法。EAD的基本功能是通过安全客户端、安全联动设备(如交换机、路由器)、安全策略服务器以及防病毒服务器、补丁服务器的联动实现的，其基本原理如图1所示。 

用户终端试图接入网络时，首先通过安全客户端进行用户身份认证，非法用户将被拒绝接入网络。 

对于合法用户，将被要求进行安全状态认证，由安全策略服务器验证补丁版本、病毒库版本是否合格，不合格用户将被安全联动设备隔离到隔离区。 

进入隔离区的用户可以进行补丁、病毒库的升级，直到安全状态合格。 

安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全联动设备提供基于身份的网络服务。 

从EAD的主要功能和基本原理可以看出，EAD将终端防病毒、补丁修复 等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 

EAD主要是对接入到网络中的用户进行身份认证，并根据用户的权限下发相应的访问策略，这些访问策略是管理员之前人为指定的。但是在实际的业务系统中的业务资源很多是实时分配的。以监控系统为例，监控系统的IP地址与端口号非常多，并且部分端口号是临时分配的，不可能通过人为预先指定。因此该方法无法对监控系统的访问做出全面有效的控制。譬如对于1个编码器，它可能有16个摄像头，这16路摄像头的视频流源IP地址是相同的，只是码流的端口号不同，而端口号又是监控系统临时确定的，使用EAD系统就无法控制用户仅能获取其中某个摄像头的视频流。只能都允许用户获取，或者都不允许用户获取。 

发明内容

本发明提供一种网络业务的管理方法和系统，用于对用户终端访问业务资源的权限进行灵活控制。 

为达到上述目的，本发明提供了一种网络监控业务的管理方法，应用于包括安全策略服务器、业务管理服务器以及安全联动设备的网络中，所述网络中的用户终端通过所述安全联动设备接入网络，所述方法包括： 

所述安全策略服务器在所述业务管理服务器对用户终端的认证通过时，向所述安全联动设备下发第一访问控制策略，允许所述用户终端不受限制的访问所述业务管理服务器； 

所述安全策略服务器接收所述业务管理服务器发送的通知，所述通知中携带所述用户终端访问业务资源对应的数据流所需的信息； 

所述安全策略服务器根据所述通知向所述安全联动设备下发第二访问控制策略，允许所述用户终端访问所述业务资源对应的数据流。 

其中，所述安全策略服务器在所述业务管理服务器对用户终端的认证通 过时，向所述安全联动设备下发第一访问控制策略前，还包括： 

所述安全策略服务器检测到用户终端接入网络时，向所述安全联动设备下发第三访问控制策略，禁止所述用户终端访问除所述业务管理服务器之外的其他地址，并向所述安全联动设备下发QoS，对所述用户终端与所述业务管理服务器之间的报文交互带宽进行限制； 

所述安全策略服务器向所述安全联动设备下发第一访问控制策略后，还包括： 

所述安全策略服务器撤销向所述安全联动设备下发的QoS，允许所述用户终端与所述业务管理服务器之间进行不受带宽限制的报文交互。 

其中，所述业务管理服务器对用户终端的认证包括：