(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111382663.0 (22)申请日 2021.11.22 (71)申请人 北京计算机技 术及应用研究所 地址 100854 北京市海淀区永定路51号 (72)发明人 王润高　任艳慧　祝连海　李景　 郑煦　汪嫱　张智慧　 (74)专利代理 机构 中国兵器 工业集团公司专利 中心 11011 代理人 刘瑞东 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于身份认证和数据包过滤技术的网络资 源访问控制方法 (57)摘要 本发明涉及一种基于身份认证和数据包过 滤技术的网络资源访问控制方法， 属于计算机网 络领域。 本发 明在客户端上拦截用户发起的网络 请求， 并要 求用户完成身份认证， 认证成功后， 客 户端将用户身份信息和访问请求转发给服务端； 服务端拦截网络请求， 验证该请求是否通过身份 认证， 如果该请求已经通过身份认证， 则允许该 用户访问指定的网络资源。 通过Windows   Sockets提供的SPI编程接口， 在Socket中插入 一 层， 过滤网络数据包， 实现网络连接请求过滤的 目标； 结合第三方身份认证系统， 通过其提供的 接口， 实现身份认证等功能。 本发明能够快速、 低 成本实现身份认 证， 以及细粒度的网络资源访问 控制， 能够快速与第三方身份认证适配， 满足不 同场景下的身份认证需求。 权利要求书2页 说明书4页 附图3页 CN 113965411 A 2022.01.21 CN 113965411 A 1.一种基于身份认证和数据包过滤技术的网络资源访问控制方法， 其特征在于， 该方 法包括如下步骤： 步骤1： 用户通过客户端请求访问服 务端的指定资源； 步骤2： 客户端拦截用户请求， 要求用户进行身份认证， 通过身份认证后， 客户端转发用 户身份信息和用户请求； 步骤3： 服务端拦截用户请求， 并与身份认证服务器交互， 验证该用户是否通过身份认 证， 如果已经通过认证， 结合网络 资源访问控制规则， 允许其访问指 定的网络 资源； 否则， 不 允许该用户访问网络资源。 2.如权利要求1所述的基于身份认证和数据包过滤技术的网络资源访问控制方法， 其 特征在于， 所述 步骤2具体包括： 步骤2.1： 客户端拦截用户的请求； 步骤2.2： 进行身份认证； 步骤2.3： 客户端转发用户身份信息和访问请求。 3.如权利要求2所述的基于身份认证和数据包过滤技术的网络资源访问控制方法， 其 特征在于， 所述步骤2.2具体包括： 客户端集成第三方身份认证软件， 通过其开放的开发接 口完成身份认证。 4.如权利要求2所述的基于身份认证和数据包过滤技术的网络资源访问控制方法， 其 特征在于， 所述步骤2.3具体包括： 如果用户身份认证成功， 在WSPConnect函数中调用系统 基础提供者的WSPConnect函数完成用户身份信息和访问请求的中转； 否则， 通知用户身份 认证失败， 不能访问指定的网络资源。 5.如权利要求1 ‑4任一项所述的基于身份认证和数据包过滤技术的网络资源访问控制 方法， 其特 征在于， 所述 步骤3具体包括： 步骤3.1： 服 务端拦截用户请求； 步骤3.2： 验证该用户是否已经通过身份认证； 步骤3.3： 根据设置的网络资源访问控制规则， 判断该用户是否能够访问指定的网络资 源。 6.如权利要求5所述的基于身份认证和数据包过滤技术的网络资源访问控制方法， 其 特征在于， 所述步骤3.2具体包括： 服务端与第三方身份认证软件交互， 验证该用户是否已 经通过身份认证。 7.如权利要求5所述的基于身份认证和数据包过滤技术的网络资源访问控制方法， 其 特征在于， 所述步骤3.3具体包括： 如果该用户已经通过身份认证， 且符合设置的网络资源 访问控制规则， 则允许该用户访问指 定的网络 资源； 如果该用户没有通过身份认证， 或者通 过身份认证， 但不符合设置的访问控制规则， 都不能访问指定的网络资源。 8.如权利要求1所述的基于身份认证和数据包过滤技术的网络资源访问控制方法， 其 特征在于， 通过Windows  Sockets提供的SPI编程接口， 在Socket中插入一层， 过滤网络数据 包。 9.如权利要求8所述的基于身份认证和数据包过滤技术的网络资源访问控制方法， 其 特征在于， 所述 客户端的处 理流程包括： S21、 用户通过客户端发出网络资源访问请求；权　利　要　求　书 1/2 页 2 CN 113965411 A 2S22、 客户端调用WSAStar tup函数， 启动身份认证； S23、 客户端调用自定义的WSPConnect函数连接身份认证服务器， 到身份认证服务器进 行身份认证； S24、 如果身份认证成功， 则调用系统基础提供者的WSPConnect函数完成用户身份信息 和访问请求的中转； 否则， 通知用户身份认证失败， 拒绝网络请求， 不能访问指定的网络资 源。 10.如权利要求9所述的基于身份认证和数据包过滤技术的网络资源访问控制方法， 其 特征在于， 所述 服务端的处 理流程包括： S31、 服务端等待客户端的用户请求； S32、 服务端收到用户请求时， 调用WSAStar tup函数， 启动身份认证； S33、 服务端调用自定义的WSPAccept函数连接身份认证服务器， 到身份认证服务器验 证该用户是否已经通过身份认证； S34、 如果该用户已经通过身份认证， 则执行步骤S35， 如果没有通过身份认证， 则执行 步骤S37； S35、 判断该用户是否符合设置的网络资源访问控制规则， 如果是， 则调用系统基础提 供者的WS PAccept函数完成用户请求连接， 允许访问指定资源； 否则执 行步骤S37； S37、 拒绝用户请求， 不能访问指定的网络资源。权　利　要　求　书 2/2 页 3 CN 113965411 A 3