[发明专利]一种基于标签的网络授权管理方法及系统

权利要求书

1.一种基于标签的网络授权管理方法，其特征在于，包括以下步骤：

1)管理平台创建应用标签数据；

2)终端用户使用多种接入认证方式，通过部署在网络中的用户身份认证模块接入到网络中，用户身份认证模块对应的终端用户的信息上报到管理平台，由管理平台生成该终端用户的用户标签数据；

3)由标签同步模块向管理平台同步步骤1)的应用标签数据和步骤2)的用户标签数据，并将同步后的应用标签数据和用户标签数据转换成固定格式的应用标签和固定格式的用户标签；

4)标签匹配模块捕获网络数据包，提取网络数据包中的三层网络协议数据，其中，所述三层网络协议数据包括：源地址IP、源端口号、目的地址IP、目的端口号；然后标签匹配模块将提取到的三层网络协议数据与步骤3)得到的固定格式的应用标签和固定格式的用户标签进行匹配并根据匹配结果进行封堵或放行，进行网络授权管理；

其中，步骤4)中进行匹配并根据匹配结果进行封堵或放行具体包括：

如果三层网络协议数据匹配到应用标签，则根据应用标签类型进行区分；

如果应用标签类型是出站类型，即源地址IP和源端口号是应用标签的IP地址和端口号，则使用目的地址IP去匹配用户标签；如果匹配不到用户标签则采用默认封堵数据包的操作，如果匹配到了用户标签，则将用户标签中的用户ID或者用户分组ID去进一步匹配应用标签的授权用户ID；如果匹配不上，则采用默认封堵数据包的操作，如果匹配上了应用标签的授权用户ID，进行放行操作；以及

如果应用标签类型是入站类型，即目的地址IP和目的端口号是应用标签的IP地址和端口号，则将使用源地址IP去匹配用户标签；如果匹配不到用户标签则采用默认封堵数据包的操作，如果匹配到了用户标签，则将用户标签中的用户ID或者用户分组ID去进一步匹配应用标签的授权用户ID；如果匹配不上，则采用默认封堵数据包的操作，如果匹配上了应用标签的授权用户ID，进行放行操作。

2.根据权利要求1所述的基于标签的网络授权管理方法，其特征在于，步骤1)中，所述的应用标签包括出入站类型、IP地址、端口号、通信协议、标签名。

3.根据权利要求1所述的基于标签的网络授权管理方法，其特征在于，步骤3)中，所述的固定格式的应用标签包括：

标签ID、出入站类型、IP地址、端口号、通信协议、应用类型、授权用户ID或者分组ID的列表。

4.根据权利要求3所述的基于标签的网络授权管理方法，其特征在于，步骤3)中，所述的固定格式的应用标签包括：

8字节标签ID、1字节出入站类型、16字节IP地址、2字节端口号、1字节协议类型、4字节应用类型以及最大512字节的授权用户ID或者最大512字节的分组ID的列表。

5.根据权利要求1所述的基于标签的网络授权管理方法，其特征在于，步骤3)中，所述的固定格式的用户标签包括：

标签ID、用户IP地址、用户ID、用户分组ID。

6.根据权利要求5所述的基于标签的网络授权管理方法，其特征在于，步骤3)中，所述的固定格式的用户标签包括：

8字节标签ID、16字节用户IP地址、4字节应用类型、4字节用户ID、4字节用户分组ID。

7.根据权利要求1所述的基于标签的网络授权管理方法，其特征在于，步骤4)中，所述的三层网络协议数据包括通信协议、应用类型。