CN101764742A - 一种网络资源访问控制系统及方法 - Google Patents
一种网络资源访问控制系统及方法 Download PDFInfo
- Publication number
- CN101764742A CN101764742A CN 200910215820 CN200910215820A CN101764742A CN 101764742 A CN101764742 A CN 101764742A CN 200910215820 CN200910215820 CN 200910215820 CN 200910215820 A CN200910215820 A CN 200910215820A CN 101764742 A CN101764742 A CN 101764742A
- Authority
- CN
- China
- Prior art keywords
- authentication
- security domain
- information
- security
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明涉及信息安全领域,具体涉及一种网络资源访问控制系统及方法,该系统包括:交换机,接收客户端请求访问网络资源时发起的登录认证请求并转发,根据接收的针对所述登录认证请求的访问控制信息,对发起所述登录认证请求的客户端进行网络资源访问控制;安全服务器,接收所述交换机转发的登录认证请求,对所述登录认证请求所包括的身份认证信息进行认证,认证通过后根据预先设置的不同身份认证信息对应可访问的安全域及安全域下的网络资源列表,向交换机下发针对该登录认证请求的访问控制信息。本发明是针对用户而非计算机来进行网络资源访问控制,避免了现有ACL策略基于IP地址进行网络资源访问控制所存在的各种缺陷。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种保证网络资源访问安全的网络资源访问控制系统及方法。
背景技术
随着信息化发展的逐步深入,我们对信息系统的依赖越来越强,国家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全和社会秩序。但是大型信息系统的安全保障体系建设是一个极为复杂的工作,为大型信息系统建立一套完整和有效的安全保障体系一直是个世界性的难题。一些行业性机构或大型企业的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多,因此信息系统面临着各种性质的安全威胁,如间谍、黑客、病毒蠕虫、木后门、非法的合作伙伴等。信息系统安全保障要求的内容极为广泛,从物理安全、网络安全、系统安全、应用安全到安全管理、安全组织建设等等,凡是涉及到影响正常运行和业务连续性的都可以认为是信息安全问题。
对于如何解决信息系统的信息安全问题,美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁,制定了一系列强化信息网络安全建设的政策和标准,其中一个很重要思想就是按照安全保护强度划分不同的安全等级,以指导不同领域的信息安全工作。
经过我国信息安全领域有关部门和专家学者的多年研究,在借鉴国外先进经验和结合我国国情的基础上,提出了分等级保护的策略来解决我国信息网络安全问题,即针对信息系统建设和使用单位,根据其使用单位的重要程度、信息系统承载业务的重要程度、信息内容的重要程度、系统遭到攻击破坏后造成的危害程度等安全需求以及安全成本等因素,依据国家规定的等级划分标准,设定其保护等级,自主进行信息系统安全建设和安全管理,提高安全保护的科学性、整体性、实用性。
等级保护中,将由实施共同安全策略的主体和客体组成的集合定义为安全域。安全域可以理解为同一信息系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络。
依据等级保护的规定,在政务内网划分不同部门、机关的物理安全域,不同的部门、机关应该各自隶属不同的安全域,安全域之间需要通过专用安全硬件(防火墙等)实施隔离,严格限制互访;依据分级保护的规定,在同一安全域内的各种应用,依据密级不同需要划分高密、低密等不同的权限等级,不同的终端接入用户对不同密级的应用的访问权限不同,如高权限的用户允许访问高密、低密应用;低权限的用户仅允许访问低密应用。同一用户所拥有的权限由管理员指定。
为了保证信息系统的信息安全,目前最常用的方法是通过部署防火墙设备来实现安全域间的隔离及同一安全域下不同权限等级用户的权限限制,防火墙的原理为基于IP地址来对终端接入用户和信息系统进行分别标识,在防火墙设备上配置访问控制表(Access Control List,ACL)策略来达到终端接入用户访问权限的控制,ACL使用包过滤技术,在路由器上或交换机上读取报文头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。因此可以通过手动配置防火墙设备上的ACL来隔离不同的安全域,及设定终端接入用户拥有哪些信息系统的访问权限。
通过在防火墙设备上配置ACL策略来保证信息系统的信息安全具有以下缺陷:1)因为ACL策略是基于IP地址来对终端接入用户和信息系统进行标识,在防火墙设备上配置ACL策略来达到访问权限的控制,当出现IP地址变更时(如终端接入用户的IP变更等),需要手动进行配置调整,难于使用;2)通过手动配置ACL策略,策略直接同终端接入计算机的IP关联,同一个用户想要访问不同权限的系统,需要跑到不同的计算机上去访问,不符合现实中的权限分配模式;3)因为手动配置ACL策略,策略直接同终端接入计算机的IP关联,这样终端接入计算机可以通过修改IP的方式来使得防火墙的控制失效;4)虽然安全域间互相隔离,但是终端接入用户可以同时访问多个安全域,这样会导致中间人攻击,例如没有安全域A访问权限的用户,可以通过控制有安全域A访问权限的计算机,来达到对安全域A中网络资源的访问,造成了安全隐患。
发明内容
本发明提供一种网络资源访问控制系统及方法,用以解决现有技术中基于IP建立的ACL控制策略进行网络资源访问权限设置所存在的问题。
本发明提供一种网络资源访问控制系统,包括:
交换机,接收客户端请求访问网络资源时发起的登录认证请求并转发,根据接收的针对所述登录认证请求的访问控制信息,对发起所述登录认证请求的客户端进行网络资源访问控制;
安全服务器,接收所述交换机转发的登录认证请求,对所述登录认证请求所包括的身份认证信息进行认证,认证通过后根据预先设置的不同身份认证信息对应可访问的安全域及安全域下的网络资源列表,向所述交换机下发针对该登录认证请求的访问控制信息。
本发明还提供了一种网络资源访问控制方法,包括:
交换机接收客户端请求访问网络资源时发起的登录认证请求并转发;
所述安全服务器接收所述交换机转发的登录认证请求,对所述登录认证请求所包括的身份认证信息进行认证;
认证通过后根据预先设置的不同身份认证信息对应可访问的安全域及安全域下的网络资源列表,向交换机下发针对该登录认证请求的访问控制信息;
所述交换机根据所述安全服务器下发的访问控制信息,对发起所述登录认证请求的客户端进行网络资源访问控制。
利用本发明提供的网络资源访问控制系统及方法,具有以下有益效果:
由于采用发起登录认证请求,及根据预先设置的不同身份认证信息对应可访问的网络资源的方式进行网络资源访问限制,因此是针对用户而非计算机来进行网络资源访问控制,避免了现有ACL策略基于IP地址进行网络资源访问控制所存在的各种缺陷。
附图说明
图1为本发明实施例中网络资源访问控制系统结构框图;
图2为本发明网络资源访问控制方法的流程图;
图3为本发明实施例中采用用户名和密码认证时的网络资源访问控制方法流程图;
图4为本发明实施例中采用数字证书认证时对应的网络资源访问控制方法流程图。
具体实施方式
下面结合附图和实施例对本发明提供的网络资源访问控制系统及方法进行更详细的说明。
如图1所示,本发明提供的网络资源访问控制系统包括:
交换机20,接收客户端10请求访问网络资源时发起的登录认证请求,并将其转发给安全服务器30,根据所述安全服务器30下发的针对该登录认证请求的访问控制信息,对发起所述登录认证请求的客户端10进行网络资源访问控制。因此,用户在个人计算机上利用登录认证的方式进行上网;
所述安全服务器30,接收所述交换机20转发的登录认证请求,对所述登录认证请求所包括的身份认证信息进行认证,认证通过后根据预先设置的不同身份认证信息对应可访问的安全域及安全域下的网络资源列表,向所述交换机20下发针对该登录认证请求的访问控制信息。
本发明在原有交换机功能的基础上,增加了安全管理服务器及交换机同安全管理服务器交互的一些功能。在本发明中,所述交换机包括:访问权限获取单元,用于根据所述访问控制信息获取发起所述登录认证请求的客户端可访问的安全域及安全域下的网络资源列表;访问控制单元,用于允许发起所述登陆请求的客户端访问属于所述安全域及安全域下的网络资源列表中网络资源,因此,交换机根据安全管理服务器下发的访问控制信息,可以生成发起认证登录请求的客户端可以访问的安全域及安全域下的网络资源列表,进而获得ACL列表,所生成的ACL是与认证登录请求对应,而不是像现有技术那样与IP地址对应的。针对用户而非计算机来进行安全域控制,符合日常应用中的权限分配方式。
安全管理服务器作为整个访问控制的核心服务器,在本发明中,它通过预先设置的不同身份认证信息对应可访问的安全域及安全域下的网络资源列表,可以控制采用认证方式上网的PC能够访问的网络权限;能够指定不同身份认证信息对应用户拥有哪些安全域下哪些网络资源(具体为信息系统)的访问权限,用户在个人PC上的使用客户端进行认证上网,选择认证方式以及要访问的安全域后认证上网,安全管理服务器通过下发访问控制信息给交换机,能够保证用户通过认证后只能接入有权限访问的网络。
所述登录认证请求还包括请求访问的安全域,优选地,该安全服务器还包括:安全域确定单元,用于根据接收的登陆认证请求确定请求访问的安全域;安全域访问控制单元,用于确定所述登录认证请求中的身份认证信息对请求访问的安全域的访问权限,向所述交换机下发访问控制信息进行请求访问安全域的访问控制。这样可以实现用户针对某个安全域发出的登录认证请求进行请求安全域的访问控制,只允许用户访问其请求的那个安全域。
进一步地,为了实现用户在同一时刻只能访问一个安全域,实现对于同一用户对不同安全域之间的隔离,所述安全还服务器包括:
访问记录获取单元,用于获取不同身份认证信息正在访问的安全域信息,如针对某个身份认证信息,若之前向交换机下发过某个安全域下的网络资源列表时,表示该身份认证信息对应用户正在访问该安全域,若之前没有向交换机下发过某个安全域下的网络资源列表,或是向交换机下发过某个安全域下的网络资源列表后又向交换机下发删除针对该身份认证信息的该安全域下的网络资源列表时,表示该用户没有正在访问该安全域;
所述安全域访问控制单元,在确定所述身份认证信息对请求访问的安全域具有访问权限时,向交换机下发请求访问的安全域下的网络资源列,且根据所述访问记录获取单元获取的信息确定该身份认证信息有正在访问的其它安全域时,向交换机下发针对该身份认证信息的删除其它安全域下网络资源列表的隔离指令;
所述交换机在接收到所述隔离指令时,删除针对该身份认证信息的其它安全域下网络资源列表。从而实现用户只能访问其请求访问的安全域而与其它安全域隔离。
认证作为一种准入网络的控制方式,用户只有认证通过后才能访问网络,未认证或认证未通过时无法访问网络。本发明可以采用现有的各种认证方式。如可以采用用户名加密码的认证方式,也可以采用数字证书认证方式。优选地,该系统还包括:认证方式确定单元,用于确定所接收的登录认证请求所采用的认证方式;认证单元,用于以所述确定的认证方式,对所述登录认证请求所包括的身份认证信息进行认证;权限查询单元,用于在认证通过后,查询根据不同认证方式对应不同级别的网络资源访问权限,所设置的采用不同认证方式认证时,不同身份认证信息对应可访问的安全域及安全域下网络资源列表。该系统还包括:数字证书鉴权单元,用于在所述认证方式确定单元所确定的认证方式为数字证书方式时,对数字证书形式的身份认证信息进行鉴权,并将鉴权结果返回给所述认证单元;所述认证单元在接收到鉴权通过的鉴权结果后,对所述数字证书形式的身份认证信息进行认证。
公钥基础设施(Public Key Infrastructure,PKI)是利用公开密钥理论和技术建立的提供安全服务的在线基础设施。公钥系统中的用户都有一对相关的密钥,其中一个密钥加密的信息只能被相应的另一个密钥解密。用户保存其中一个密钥作为私钥,而把另一个密钥与拥有者的信息捆绑后公开发布为公钥。这样,可以用别人的公钥加密信息,而只有私钥持有者才能读懂该信息;还可以用自己的私钥签名信息,其他人利用公钥就可鉴别信息发送者的身份。公钥加密需要解决一个问题:加密信息的发送者需要认定公钥确实是接收者的,如果他用第三者的公钥去加密,他希望的接收者无法解密该信息,而拥有私钥的第三者却可以做到。这实际上就涉及到应用公钥技术的关键:如何确认某个人真正拥有的公钥。
在PKI中,为了确保用户的身份及他所持有密钥的正确匹配,公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证中心(CertificationAuthority,CA),来确认声称拥有公开密钥的人的真正身份。认证中心发放一个叫数字证书的身份证明。这个数字证书包含了用户身份的部分信息及用户所持有的公开密钥。认证中心利用本身的私钥为数字证书加盖上数字签名。
任何想发放自己公钥的用户,可以去认证中心申请自己的数字证书。认证中心在鉴定该用户的真实身份后,颁发包含用户公钥的数字证书。其他用户只要能验证数字证书是真实的,并且信任颁发证书的认证中心,就可以确认用户的公钥。
鉴于此,所述交换机20所接收的登陆认证请求采用多种认证方式中的一种,如采用用户加密码的认证方式,或采用数字证书认证方式;所述安全服务器30对采用不同认证方式的登陆认证请求,分配不同级别的网络资源访问权限,如可以为不需要认证的用户能够访问最低密的网络资源,使用用户名加密码认证的用户能够访问较为低密的网络资源,使用数字证书认证的用户可以访问高密的网络资源。安全服务器根据所分配的网络资源访问权限级别,设置采用不同认证方式认证时,不同身份认证信息对应可访问的安全域及安全域下网络资源列表。
登陆认证请求采用的认证方式为数字证书认证方式时,所述登陆认证请求所包括的身份认证信息采用数字证书方式,该系统还包括:
数字证书鉴权单元40,用于对所述安全服务器30接收的数字证书方式的身份认证信息进行鉴权,并将鉴权结果返回给所述安全服务器30。安全服务器30对经鉴权有效的数字证书所包括的身份认证信息进行认证。即数字证书中所包括的身份认证信息经客户端的私钥加密,经数字证书鉴权单元40鉴权后,得出公钥是客户端的公钥,因此,安全服务器30利用客户端的公钥解密得到身份认证信息并进行认证。
本实施例中的数字证书鉴权单元40作为CA基础设施,包括了RA(RegisterAuthority)、CA(Certificate Authority)、LDAP(Lightweight Directory AccessProtocol)服务器等设施,数字证书鉴权单元40通过公钥密码体制中用户私钥的机密性来提供用户身份的唯一性验证,并通过公钥数字证书的方式为每个合法用户的公钥提供一个合法性的证明,从而建立了从用户公钥到数字证书ID号之间的唯一映射关系。
本发明提供的网络资源访问控制系统中由安全管理服务器下发给安全交换机来达到对安全交换机下接入用户的访问控制,提供了一种简便、灵活的访问控制方法,进行网络资源如信息系统的安全域划分和管理,整个安全域访问控制过程自动完成,即使客户端的IP发生更改也无需管理员手动管理;可以针对用户来进行安全域及安全域下网络资源设置,而不再是使用计算机来进行设置,有效的解决了通过手动修改计算机的一些配置(如IP地址)来绕开控制的问题。
本发明可以进行细粒度的安全域设置,对于一个用户,通过安全服务器的预先设置,可以拥有多个安全域的权限。在同一个安全域中的各个信息系统,又可以依据密级不同划分成高密、低密等不同的权限等级,不同的用户对不同密级的应用的访问权限不同。
本实施例中所述访问控制信息具体为发起所述登录认证请求的客户端可访问的安全域及安全域下的网络资源列表,所述交换机进行网络资源访问控制具体为,允许发起所述登陆请求的客户端访问属于所述安全域及安全域下的网络资源列表中网络资源。交换机还用于将所述安全域列表及安全域下的网络资源列表,发送到发起所述登录认证请求的客户端。这样用户在客户端可以直接获取到该用户本身可以访问的安全域列表及安全域下的网络资源列表,从而有针对性访问这些网络资源,提高了访问的效率。另外,由于用户同一时刻只能访问一个安全域,这样可以避免网内其它安全域的用户通过访问这台计算机来操作这个安全域中信息系统的安全问题,有效的避免了中间人攻击,保障了信息系统的安全。
本实施例中所述交换机还用于接收客户端发起的退出认证请求,并将该退出认证请求转发到安全服务器,在接收到安全服务下发的卸载指令后,将卸载指令所针对的访问控制信息删除;所述安全服务器还用于根据交换机转发的退出认证请求所包括的身份认证信息,确定与包括该身份认证信息的登陆认证请求对应的访问控制信息及对应的记录,将所述对应的记录删除,并将针对所述确定的访问控制信息的卸载指令发送到交换机。
如图2所示,本发明提供的网络资源访问控制方法包括步骤:
S201,交换机接收客户端请求访问网络资源时发起的登录认证请求,并将其转发给安全服务器;S202,所述安全服务器接收所述交换机转发的登录认证请求,对所述登录认证请求所包括的身份认证信息进行认证;S203,认证通过后,安全服务器根据预先设置的不同身份认证信息对应可访问的安全域及安全域下的网络资源列表,向交换机下发针对该登录认证请求的访问控制信息;S204,所述交换机根据所述安全服务器下发的针对该登录认证请求的访问控制信息,对发起所述登录认证请求的客户端进行网络资源访问控制。
依照本发明的实施例中,步骤S201中交换机所接收的登陆认证请求采用多种认证方式中的一种,登陆认证请求优选包括请求访问的安全域、身份认证信息等;步骤S203中预先设置的不同认证信息对应可访问的安全域及安全域下的网络资源列表,采用如下方式设置:对采用不同认证方式的登陆认证请求,分配不同级别的网络资源访问权限;根据所分配的网络资源访问权限级别,设置采用不同认证方式认证时,不同认证信息对应可访问的安全域及安全域下的网络资源列表。另外,所述登录认证请求还包括请求访问的安全域,为了实现对请求访问的安全域的访问控制,所述安全服务器根据接收的登陆认证请求确定请求访问的安全域;根据所述请求访问的安全域,确定请求访问安全域的访问权限,向所述交换机下发访问控制信息进行请求访问安全域的访问控制。这样实现了用户只能访问其请求的那个安全域。
为了实现同一时刻只允许用户访问一个安全域的目的,该方法还包括获取不同身份认证信息正在访问的安全域信息的步骤;所述安全服务器在确定具有对所请求访问的安全域的访问权限时,向交换机下发请求访问的安全域下的网络资源列,且根据确定获取不同身份认证信息正在访问的安全域信息确定有正在访问的其它安全域时,还用于向交换机下发删除所述其它安全域下网络资源列表的隔离指令;所述交换机在接收到所述隔离指令时,删除其它安全域下网络资源列表。
下面给出以用户名和密码的认证方式,及以数字证书的认证方式进行网络资源访问控制的详细过程。
管理员在安全服务器上为用户开户,支持用户名、密码认证和数字证书认证两种认证方式,对这两种认证方式对应以下两种不同的开户方式:
A.用户名、密码认证:在安全管理服务器上直接开户,开户内容包括用户名和密码等,将用户名、密码信息告知用户;
B.在CA中心申请数字证书,将其分发给用户(可以采用USB-KEY作为存储介质)。
如图3所示,用于以用户名、密码的认证方式在客户端登录时,网络资源访问控制具体过程为:
S301,用户在客户端输入用户名和密码发送登录认证请求,以请求接入网络资源;优选地,客户端还具有认证方式选择列表,用户可以选择使用用户名、密码或是数字证书认证的方式来认证上网;安全域选择列表,用户认证前可以选择要访问的安全域进行认证;
S302,交换机接收客户端请求访问网络资源时发起的登录认证请求,并将其转发给安全服务器;
S303,安全服务器接收所述交换机转发的登录认证请求,对所述登录认证请求所包括的用户名和密码进行认证,若认证通过,根据预先设置的不同用户名和密码对应可访问的安全域及安全域下的网络资源列表,向交换机下发针对该登录认证请求的网络资源列表,若登录认证请求包括请求访问的安全域,在确定请求访问的安全域有访问权限时,向交换机下发请求访问的安全域下的网络资源列表,同时确定该登录认证请求的身份认证信息是否正在访问其它安全域,若是,则向交换机下发针对该身份认证信息的删除其它安全域下网络资源的隔离指令。
管理员在安全管理服务器上针对需要进行访问控制的网络资源,按现有标准划分不同的安全域,不同安全域之间的网络资源在网络中是被严格隔离的;并配置安全域中的网络资源,本实施例中具体为信息系统。安全管理服务器将安全域和信息系统存储到数据库表中;数据库表结构如下:
表1安全域表
| 字段 | 属性 | 长度 | 是否可为空 | 描述 |
| securityDomainIndex | bigint | 16 | No | 索引,唯一主键 |
| securityDomainName | varchar | 32 | No | 安全域名称 |
| securityDomainDesc | varchar | 256 | Yes | 安全域描述 |
表2信息系统表
| 字段 | 属性 | 长度 | 是否可为空 | 描述 |
| infoSystemIndex | bigint | No | 索引,唯一主键 | |
| infoSystemName | varchar | 64 | No | 信息系统名称 |
| ip | varchar | 15 | No | 信息系统的IP地址 |
| url | varchar | 256 | No | 信息系统的访问URL地址 |
| securityDomianIndex | bigint | No | 标识信息系统属于哪个安全域 |
经过以上设置后,为开户的用户分配拥有哪些安全域下的哪些信息系统的访问权限,得到经过认证的用户可访问的安全域及安全域下网络资源列表。
优选地,在用户发起的登录认证请求包含请求访问的安全域时,也可以只下发该安全域下的网络资源列表,上述客户端发送的登录认证请求和后续退出认证请求还优选包括客户端IP、介质访问控制MAC地址等信息。安全服务器对用户认证后向交换机下发打开端口的通知,并获取用户登录的安全域下有访问权限的信息系统,根据用户IP、用户MAC、信息系统IP,生成对应的ACL,并向这个用户所接入的交换机端口下发这个ACL,以限制用户只能访问这些有权限的信息系统。
S304,交换机接收的安全服务器下发的发起所述登录认证请求的客户端可访问的安全域及安全域下的网络资源列表,进行发起所述登录认证请求的客户端网络资源访问控制:允许发起所述登陆请求的客户端访问属于所述安全域及安全域下的网络资源列表中网络资源;交换机在接收到所述隔离指令时,删除其它安全域下网络资源列表
S305,若在步骤S303中,安全服务器只下发了用户请求登录的安全域下的网络资源列表,在该步骤,优选地,安全服务器还将用户对应可以访问的安全域列表及安全下网络资源列表下发给交换机,由交换机将其下发给发起登录认证请求的客户端,这样可以在客户端将用户可以访问的安全域及安全域下网络资源列表展示给用户。
S306,客户端在访问结束后发出退出认证请求,该退出认证请求中也携带身份认证信息;
S307,所述交换机在接收客户端发起的退出认证请求时,将该退出认证请求转发到安全服务器;
S308,安全服务器根据该退出认证请求所包括的身份认证信息,确定与包括该身份认证信息的登陆认证请求对应的网络资源列表,删除与该身份认证信息对应的正在访问某个安全域的记录,并将针对所述确定的网络资源列表的卸载指令发送到交换机;
S309,交换机在接收到安全服务下发的卸载指令后,将卸载指令所针对的网络资源列表删除。
如图4所示为以数字证书的认证方式进行网络资源访问控制的详细过程,与采用用户名加密码不同的是,增加了步骤S403,安全服务器需要将接收的登录认证请求中的数字认证发送到数字证书鉴权单元进行鉴权,在鉴权通过后执行步骤S404。
本实施例中安全管理服务器向客户端发送用户当前有权限访问的安全域列表(包括安全域名称)和信息系统列表(包括信息系统名称和访问URL地址);认证客户端将立即将信息系统列表展示给用户,用户通过点击列表上的链接可以直接访问信息系统;用户退出认证后,再次认证时,将只能选择自己有访问权限的安全域来认证。
用户通过客户端退出认证时,客户端会将用户名上报给安全管理服务器,安全管理服务器向接入安全交换机下发关闭端口的通知,并向接入安全交换机下发删除这个用户所有相关ACL的命令,交换机将会删除将相应的ACL。
具体实施时,按照图1结构搭建网络,在网络中的任意位置搭建安全管理服务器,在个人PC上安装认证客户端,个人PC直接连接到安全接入交换机。优选地,本实施例中在安全管理服务器上,配置未认证上网的PC机可以访问哪些网络资源,即有些用户在不需要认证的情况下也可以访问一些密级较低的网络资源。配置访问控制模板,只允许计算机访问某台指定的修复服务器;配置访问控制策略,指定刚才配置的访问控制模板在哪些交换机上生效;在安全管理服务器上,按照等分级保护的要求,配置安全域:在安全管理服务器上,配置信息系统,并为信息系统指派安全域:在安全管理服务器上,为用户分配安全域和信息系统的访问权限。
举例说明,用户可以登录行政司和财务司两个安全域,并且拥有行政司下日志系统和财务司下工资查询系统的访问权限,没有其它系统的访问权限;经过以上配置,当用户未认证上网时,只能访问指定的那台修复服务器资源,当用户认证上网时,选择登录行政司后认证,将弹出可以访问的信息系统列表(这里只有日志系统的链接),用户点击日志系统的链接,可以访问日志系统;用户这时候只能访问这个信息系统,访问不了其它信息系统。
经过以上配置,当用户认证上网时,选择登录财务司后认证,将弹出可以访问的信息系统列表(这里只有工资查询系统的链接),用户点击工资查询系统的链接,可以访问工资查询系统;用户这时候只能访问这个信息系统,访问不了其它信息系统;用户退出认证后,将无法访问任何网络。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (14)
1.一种网络资源访问控制系统,其特征在于,包括:
交换机,接收客户端请求访问网络资源时发起的登录认证请求并转发,根据接收的针对所述登录认证请求的访问控制信息,对发起所述登录认证请求的客户端进行网络资源访问控制;
安全服务器,接收所述交换机转发的登录认证请求,对所述登录认证请求所包括的身份认证信息进行认证,认证通过后根据预先设置的不同身份认证信息对应可访问的安全域及安全域下的网络资源列表,向所述交换机下发针对该登录认证请求的访问控制信息。
2.如权利要求1所述的系统,其特征在于,
所述登录认证请求还包括请求访问的安全域,所述安全服务器包括:
安全域确定单元,用于根据接收的登陆认证请求确定请求访问的安全域;
安全域访问控制单元,用于确定所述登录认证请求中的身份认证信息对请求访问的安全域的访问权限,向所述交换机下发访问控制信息进行请求访问安全域的访问控制。
3.如权利要求2所述的系统,其特征在于,所述安全还服务器包括:
访问记录获取单元,用于获取不同身份认证信息正在访问的安全域信息;
所述安全域访问控制单元,还用于根据所述访问记录获取单元获取的信息确定该身份认证信息有正在访问的其它安全域时,向交换机下发针对该身份认证信息的删除其它安全域下网络资源列表的隔离指令;
所述交换机在接收到所述隔离指令时,删除针对该身份认证信息的其它安全域下网络资源列表。
4.如权利要求1或2所述的系统,其特征在于,所述安全服务器包括:
认证方式确定单元,用于确定所接收的登录认证请求所采用的认证方式;
认证单元,用于以所述确定的认证方式,对所述登录认证请求所包括的身份认证信息进行认证;
权限查询单元,用于在认证通过后,查询根据不同认证方式对应不同级别的网络资源访问权限,所设置的采用不同认证方式认证时,不同身份认证信息对应可访问的安全域及安全域下网络资源列表。
5.如权利要求4所述的系统,其特征在于,
该系统还包括:
数字证书鉴权单元,用于在所述认证方式确定单元所确定的认证方式为数字证书方式时,对数字证书形式的身份认证信息进行鉴权,并将鉴权结果返回给所述认证单元;
所述认证单元在接收到鉴权通过的鉴权结果后,对所述数字证书形式的身份认证信息进行认证。
6.如权利要求1或2所述的系统,其特征在于,
所述交换机包括:
访问权限获取单元,用于根据所述访问控制信息获取发起所述登录认证请求的客户端可访问的安全域及安全域下的网络资源列表;
访问控制单元,用于允许发起所述登陆请求的客户端访问属于所述安全域及安全域下的网络资源列表中网络资源。
7.如权利要求6所述的系统,其特征在于,
所述交换机还包括权限反馈单元,用于将所述安全域列表及安全域下的网络资源列表,发送到发起所述登录认证请求的客户端。
8.如权利要求1或2所述的系统,其特征在于,
所述交换机还用于接收客户端发起的退出认证请求并转发,根据接收的卸载指令,将所述卸载指令所针对的访问控制信息删除;
所述安全服务器还用于接收所述交换机转发的退出认证请求,根据所述退出认证请求所包括的身份认证信息,确定与包括该身份认证信息的登陆认证请求对应的访问控制信息,向所述交换机下发针对所述确定的访问控制信息的卸载指令。
9.一种网络资源访问控制方法,其特征在于,包括:
交换机接收客户端请求访问网络资源时发起的登录认证请求并转发;
所述安全服务器接收所述交换机转发的登录认证请求,对所述登录认证请求所包括的身份认证信息进行认证;
认证通过后根据预先设置的不同身份认证信息对应可访问的安全域及安全域下的网络资源列表,向交换机下发针对该登录认证请求的访问控制信息;
所述交换机根据所述安全服务器下发的访问控制信息,对发起所述登录认证请求的客户端进行网络资源访问控制。
10.如权利要求9所述的方法,其特征在于,
所述登录认证请求还包括请求访问的安全域,所述安全服务器根据接收的登陆认证请求确定请求访问的安全域;
确定所述登录认证请求中的身份认证信息对请求访问的安全域的访问权限,向所述交换机下发访问控制信息进行请求访问安全域的访问控制。
11.如权利要求10所述的方法,其特征在于,
该方法还包括获取不同身份认证信息正在访问的安全域信息的步骤;
所述安全服务器还根据所述访问记录获取单元获取的信息确定该身份认证信息有正在访问的其它安全域时,向交换机下发针对该身份认证信息的删除其它安全域下网络资源列表的隔离指令;
所述交换机在接收到所述隔离指令时,删除针对该身份认证信息的其它安全域下网络资源列表。
12.如权利要求9~11任一所述的方法,其特征在于,
所述交换机所接收的登陆认证请求采用多种认证方式中的一种;
所述预先设置的不同认证信息对应可访问的安全域及安全域下的网络资源列表,具体通过如下方式设置:
对采用不同认证方式的登陆认证请求,分配不同级别的网络资源访问权限;
根据所分配的网络资源访问权限级别,设置采用不同认证方式认证时,不同认证信息对应可访问的安全域及安全域下的网络资源列表。
13.如权利要求9~11任一所述的方法,其特征在于,
所述交换机接收的访问控制信息为发起所述登录认证请求的客户端可访问的安全域及安全域下的网络资源列表;
所述交换机进行网络资源访问控制具体为,允许发起所述登陆请求的客户端访问属于所述安全域及安全域下的网络资源列表中网络资源。
14.如权利要求9~11任一所述的方法,其特征在于,
所述交换机在接收客户端发起的退出认证请求时,将该退出认证请求转发到安全服务器;
所述安全服务器根据该退出认证请求所包括的身份认证信息,确定与包括该身份认证信息的登陆认证请求对应的访问控制信息,并将针对所述确定的访问控制信息的卸载指令发送到交换机;
所述交换机在接收到安全服务下发的卸载指令后,将卸载指令所针对的访问控制信息删除。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910215820.1A CN101764742B (zh) | 2009-12-30 | 2009-12-30 | 一种网络资源访问控制系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910215820.1A CN101764742B (zh) | 2009-12-30 | 2009-12-30 | 一种网络资源访问控制系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101764742A true CN101764742A (zh) | 2010-06-30 |
| CN101764742B CN101764742B (zh) | 2015-09-23 |
Family
ID=42495735
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910215820.1A Active CN101764742B (zh) | 2009-12-30 | 2009-12-30 | 一种网络资源访问控制系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101764742B (zh) |
Cited By (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102185840A (zh) * | 2011-04-22 | 2011-09-14 | 上海华为技术有限公司 | 一种认证方法、设备及系统 |
| CN102340541A (zh) * | 2011-10-13 | 2012-02-01 | 深圳市江波龙电子有限公司 | 一种云量产系统及方法 |
| CN102387150A (zh) * | 2011-10-31 | 2012-03-21 | 北京天地融科技有限公司 | 移动存储器的访问控制方法、系统及移动存储器 |
| CN102457377A (zh) * | 2011-08-08 | 2012-05-16 | 中标软件有限公司 | 基于角色的Web远程认证与授权方法及系统 |
| CN102497272A (zh) * | 2011-12-26 | 2012-06-13 | 苏州风采信息技术有限公司 | 安全交换机的动态可控方法 |
| WO2012126432A2 (zh) * | 2012-05-29 | 2012-09-27 | 华为技术有限公司 | 数据传输的方法、设备和系统 |
| CN102724208A (zh) * | 2011-06-28 | 2012-10-10 | 卡巴斯基实验室封闭式股份公司 | 用于控制对网络资源的访问的系统和方法 |
| CN102833226A (zh) * | 2012-06-19 | 2012-12-19 | 浪潮(北京)电子信息产业有限公司 | 一种信息访问系统及其安全控制方法 |
| CN102882711A (zh) * | 2012-09-13 | 2013-01-16 | 无锡华御信息技术有限公司 | 网络权限的管控方法及系统 |
| CN103036906A (zh) * | 2012-12-28 | 2013-04-10 | 福建星网锐捷网络有限公司 | 网络设备的认证方法、装置、接入设备和可控设备 |
| CN103067372A (zh) * | 2012-12-26 | 2013-04-24 | 广州杰赛科技股份有限公司 | 云终端登录云服务器的方法及登录系统 |
| CN103109510A (zh) * | 2012-10-16 | 2013-05-15 | 华为技术有限公司 | 一种资源安全访问方法及装置 |
| CN103119907A (zh) * | 2010-07-21 | 2013-05-22 | 思杰系统有限公司 | 提供用于访问控制的智能组的系统和方法 |
| CN103138920A (zh) * | 2011-11-22 | 2013-06-05 | 中兴通讯股份有限公司 | 身份识别方法、系统及业务处理服务器、识别信息采集终端 |
| CN103200188A (zh) * | 2013-03-19 | 2013-07-10 | 汉柏科技有限公司 | 不同用户划分不同访问权限的方法 |
| CN103269268A (zh) * | 2013-04-28 | 2013-08-28 | 苏州亿倍信息技术有限公司 | 一种信息安全的管理方法及系统 |
| CN103312670A (zh) * | 2012-03-12 | 2013-09-18 | 西安西电捷通无线网络通信股份有限公司 | 一种认证方法及系统 |
| CN103634271A (zh) * | 2012-08-21 | 2014-03-12 | 腾讯科技(深圳)有限公司 | 一种权限控制系统、装置及网络请求的权限控制方法 |
| CN103685134A (zh) * | 2012-08-30 | 2014-03-26 | 中兴通讯股份有限公司 | Wlan网络资源访问控制方法及装置 |
| CN104378231A (zh) * | 2014-11-06 | 2015-02-25 | 四川传世科技有限公司 | 企业无线路由器的控制系统和控制方法 |
| CN104410644A (zh) * | 2014-12-15 | 2015-03-11 | 北京国双科技有限公司 | 数据配置方法及装置 |
| CN105429998A (zh) * | 2015-01-06 | 2016-03-23 | 李先志 | 网络安全区登录方法及装置 |
| CN105808987A (zh) * | 2014-12-30 | 2016-07-27 | 中国移动通信集团公司 | 一种移动数据交互方法及设备 |
| CN106060087A (zh) * | 2016-07-26 | 2016-10-26 | 中国南方电网有限责任公司信息中心 | 一种多因素主机安全准入控制系统和方法 |
| CN103718527B (zh) * | 2013-03-30 | 2017-01-18 | 华为技术有限公司 | 一种通信安全处理方法、装置及系统 |
| CN107852603A (zh) * | 2015-09-25 | 2018-03-27 | 广东欧珀移动通信有限公司 | 终端认证的方法及设备 |
| CN109246078A (zh) * | 2018-08-02 | 2019-01-18 | 平安科技(深圳)有限公司 | 一种数据交互方法及服务器 |
| US10291614B2 (en) | 2012-03-12 | 2019-05-14 | China Iwncomm Co., Ltd. | Method, device, and system for identity authentication |
| CN110197075A (zh) * | 2018-04-11 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 资源访问方法、装置、计算设备以及存储介质 |
| CN110266666A (zh) * | 2019-06-05 | 2019-09-20 | 瀚云科技有限公司 | 一种基于工业互联网的安全管理方法及系统 |
| CN110311929A (zh) * | 2019-08-01 | 2019-10-08 | 江苏芯盛智能科技有限公司 | 一种访问控制方法、装置及电子设备和存储介质 |
| CN110351298A (zh) * | 2019-07-24 | 2019-10-18 | 中国移动通信集团黑龙江有限公司 | 访问控制方法、装置、设备及存储介质 |
| WO2019201080A1 (zh) * | 2018-04-19 | 2019-10-24 | 深圳市联软科技股份有限公司 | 一种识别网络中用户身份的系统 |
| CN110620782A (zh) * | 2019-09-29 | 2019-12-27 | 深圳市珍爱云信息技术有限公司 | 账户认证方法、装置、计算机设备和存储介质 |
| CN110971570A (zh) * | 2018-09-29 | 2020-04-07 | 北京奇虎科技有限公司 | 网络访问权限控制方法、装置及计算设备 |
| CN111431928A (zh) * | 2020-04-07 | 2020-07-17 | 国电南瑞科技股份有限公司 | 一种基于vpn的智能变电站网络安全管理方法及系统 |
| CN112041838A (zh) * | 2018-04-30 | 2020-12-04 | 谷歌有限责任公司 | 安全区交互 |
| CN112615829A (zh) * | 2020-12-08 | 2021-04-06 | 北京北信源软件股份有限公司 | 一种终端接入认证方法及系统 |
| CN112688969A (zh) * | 2021-03-12 | 2021-04-20 | 成都云智天下科技股份有限公司 | 一种基于端口复用和tcp加密技术的内网穿透方法 |
| CN113111337A (zh) * | 2021-03-29 | 2021-07-13 | 青岛海尔科技有限公司 | 用于分享访问控制列表的方法及装置、设备 |
| CN113239397A (zh) * | 2021-05-11 | 2021-08-10 | 鸬鹚科技(深圳)有限公司 | 信息访问方法、装置、计算机设备及介质 |
| CN113407983A (zh) * | 2020-03-16 | 2021-09-17 | 北京国双科技有限公司 | 一种安全策略的下发方法及装置 |
| CN113688364A (zh) * | 2021-08-24 | 2021-11-23 | 山东友大慧成科技有限公司 | 一种大数据资源精准访问控制系统 |
| CN114006739A (zh) * | 2021-10-25 | 2022-02-01 | 恒安嘉新(北京)科技股份公司 | 资源请求处理方法、装置、设备及存储介质 |
| CN115208652A (zh) * | 2022-07-07 | 2022-10-18 | 广州市大周电子科技有限公司 | 一种动态网络资源访问管控方法 |
| CN117155704A (zh) * | 2023-10-26 | 2023-12-01 | 西安热工研究院有限公司 | 一种可信dcs上位机节点快速添加方法、系统、设备及介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039213A (zh) * | 2006-03-14 | 2007-09-19 | 华为技术有限公司 | 一种通信网络中对用户的接入访问进行控制的方法 |
| CN101163336B (zh) * | 2007-11-15 | 2010-06-16 | 中兴通讯股份有限公司 | 一种手机终端访问权限认证的实现方法 |
| CN101425903A (zh) * | 2008-07-16 | 2009-05-06 | 冯振周 | 一种基于身份的可信网络架构 |
| CN101552784A (zh) * | 2009-04-30 | 2009-10-07 | 浙江大学 | 一种Web服务链的联合身份认证方法 |
-
2009
- 2009-12-30 CN CN200910215820.1A patent/CN101764742B/zh active Active
Cited By (62)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103119907A (zh) * | 2010-07-21 | 2013-05-22 | 思杰系统有限公司 | 提供用于访问控制的智能组的系统和方法 |
| US9363292B2 (en) | 2010-07-21 | 2016-06-07 | Citrix Systems, Inc. | Systems and methods for providing a smart group |
| CN103119907B (zh) * | 2010-07-21 | 2016-06-15 | 思杰系统有限公司 | 提供用于访问控制的智能组的系统和方法 |
| CN102185840A (zh) * | 2011-04-22 | 2011-09-14 | 上海华为技术有限公司 | 一种认证方法、设备及系统 |
| CN102185840B (zh) * | 2011-04-22 | 2015-08-19 | 上海华为技术有限公司 | 一种认证方法、设备及系统 |
| CN102724208A (zh) * | 2011-06-28 | 2012-10-10 | 卡巴斯基实验室封闭式股份公司 | 用于控制对网络资源的访问的系统和方法 |
| CN102724208B (zh) * | 2011-06-28 | 2016-04-20 | 卡巴斯基实验室封闭式股份公司 | 用于控制对网络资源的访问的系统和方法 |
| CN102457377A (zh) * | 2011-08-08 | 2012-05-16 | 中标软件有限公司 | 基于角色的Web远程认证与授权方法及系统 |
| CN102340541A (zh) * | 2011-10-13 | 2012-02-01 | 深圳市江波龙电子有限公司 | 一种云量产系统及方法 |
| CN102340541B (zh) * | 2011-10-13 | 2013-10-23 | 深圳市江波龙电子有限公司 | 一种云量产系统及方法 |
| CN102387150A (zh) * | 2011-10-31 | 2012-03-21 | 北京天地融科技有限公司 | 移动存储器的访问控制方法、系统及移动存储器 |
| CN103138920A (zh) * | 2011-11-22 | 2013-06-05 | 中兴通讯股份有限公司 | 身份识别方法、系统及业务处理服务器、识别信息采集终端 |
| CN102497272A (zh) * | 2011-12-26 | 2012-06-13 | 苏州风采信息技术有限公司 | 安全交换机的动态可控方法 |
| US9716707B2 (en) | 2012-03-12 | 2017-07-25 | China Iwncomm Co., Ltd. | Mutual authentication with anonymity |
| US10291614B2 (en) | 2012-03-12 | 2019-05-14 | China Iwncomm Co., Ltd. | Method, device, and system for identity authentication |
| CN103312670A (zh) * | 2012-03-12 | 2013-09-18 | 西安西电捷通无线网络通信股份有限公司 | 一种认证方法及系统 |
| WO2013135172A1 (zh) * | 2012-03-12 | 2013-09-19 | 西安西电捷通无线网络通信股份有限公司 | 一种认证方法、装置及系统 |
| WO2012126432A3 (zh) * | 2012-05-29 | 2013-05-02 | 华为技术有限公司 | 数据传输的方法、设备和系统 |
| WO2012126432A2 (zh) * | 2012-05-29 | 2012-09-27 | 华为技术有限公司 | 数据传输的方法、设备和系统 |
| CN102833226A (zh) * | 2012-06-19 | 2012-12-19 | 浪潮(北京)电子信息产业有限公司 | 一种信息访问系统及其安全控制方法 |
| CN102833226B (zh) * | 2012-06-19 | 2016-03-23 | 浪潮(北京)电子信息产业有限公司 | 一种信息访问系统及其安全控制方法 |
| CN103634271A (zh) * | 2012-08-21 | 2014-03-12 | 腾讯科技(深圳)有限公司 | 一种权限控制系统、装置及网络请求的权限控制方法 |
| CN103634271B (zh) * | 2012-08-21 | 2018-07-06 | 腾讯科技(深圳)有限公司 | 一种权限控制系统、装置及网络请求的权限控制方法 |
| CN103685134A (zh) * | 2012-08-30 | 2014-03-26 | 中兴通讯股份有限公司 | Wlan网络资源访问控制方法及装置 |
| CN102882711A (zh) * | 2012-09-13 | 2013-01-16 | 无锡华御信息技术有限公司 | 网络权限的管控方法及系统 |
| CN103109510A (zh) * | 2012-10-16 | 2013-05-15 | 华为技术有限公司 | 一种资源安全访问方法及装置 |
| CN103067372A (zh) * | 2012-12-26 | 2013-04-24 | 广州杰赛科技股份有限公司 | 云终端登录云服务器的方法及登录系统 |
| CN103067372B (zh) * | 2012-12-26 | 2015-09-30 | 广州杰赛科技股份有限公司 | 云终端登录云服务器的方法及登录系统 |
| CN103036906A (zh) * | 2012-12-28 | 2013-04-10 | 福建星网锐捷网络有限公司 | 网络设备的认证方法、装置、接入设备和可控设备 |
| CN103036906B (zh) * | 2012-12-28 | 2016-03-30 | 福建星网锐捷网络有限公司 | 网络设备的认证方法、装置、接入设备和可控设备 |
| CN103200188A (zh) * | 2013-03-19 | 2013-07-10 | 汉柏科技有限公司 | 不同用户划分不同访问权限的方法 |
| CN103200188B (zh) * | 2013-03-19 | 2017-04-19 | 汉柏科技有限公司 | 不同用户划分不同访问权限的方法 |
| CN103718527B (zh) * | 2013-03-30 | 2017-01-18 | 华为技术有限公司 | 一种通信安全处理方法、装置及系统 |
| CN103269268A (zh) * | 2013-04-28 | 2013-08-28 | 苏州亿倍信息技术有限公司 | 一种信息安全的管理方法及系统 |
| CN104378231A (zh) * | 2014-11-06 | 2015-02-25 | 四川传世科技有限公司 | 企业无线路由器的控制系统和控制方法 |
| CN104410644A (zh) * | 2014-12-15 | 2015-03-11 | 北京国双科技有限公司 | 数据配置方法及装置 |
| CN105808987A (zh) * | 2014-12-30 | 2016-07-27 | 中国移动通信集团公司 | 一种移动数据交互方法及设备 |
| CN105429998A (zh) * | 2015-01-06 | 2016-03-23 | 李先志 | 网络安全区登录方法及装置 |
| CN107852603A (zh) * | 2015-09-25 | 2018-03-27 | 广东欧珀移动通信有限公司 | 终端认证的方法及设备 |
| CN106060087A (zh) * | 2016-07-26 | 2016-10-26 | 中国南方电网有限责任公司信息中心 | 一种多因素主机安全准入控制系统和方法 |
| CN110197075A (zh) * | 2018-04-11 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 资源访问方法、装置、计算设备以及存储介质 |
| WO2019201080A1 (zh) * | 2018-04-19 | 2019-10-24 | 深圳市联软科技股份有限公司 | 一种识别网络中用户身份的系统 |
| CN112041838A (zh) * | 2018-04-30 | 2020-12-04 | 谷歌有限责任公司 | 安全区交互 |
| US11962576B2 (en) | 2018-04-30 | 2024-04-16 | Google Llc | Enclave interactions |
| CN109246078A (zh) * | 2018-08-02 | 2019-01-18 | 平安科技(深圳)有限公司 | 一种数据交互方法及服务器 |
| CN110971570A (zh) * | 2018-09-29 | 2020-04-07 | 北京奇虎科技有限公司 | 网络访问权限控制方法、装置及计算设备 |
| CN110266666A (zh) * | 2019-06-05 | 2019-09-20 | 瀚云科技有限公司 | 一种基于工业互联网的安全管理方法及系统 |
| CN110351298A (zh) * | 2019-07-24 | 2019-10-18 | 中国移动通信集团黑龙江有限公司 | 访问控制方法、装置、设备及存储介质 |
| CN110311929A (zh) * | 2019-08-01 | 2019-10-08 | 江苏芯盛智能科技有限公司 | 一种访问控制方法、装置及电子设备和存储介质 |
| CN110620782A (zh) * | 2019-09-29 | 2019-12-27 | 深圳市珍爱云信息技术有限公司 | 账户认证方法、装置、计算机设备和存储介质 |
| CN113407983A (zh) * | 2020-03-16 | 2021-09-17 | 北京国双科技有限公司 | 一种安全策略的下发方法及装置 |
| CN111431928A (zh) * | 2020-04-07 | 2020-07-17 | 国电南瑞科技股份有限公司 | 一种基于vpn的智能变电站网络安全管理方法及系统 |
| CN112615829A (zh) * | 2020-12-08 | 2021-04-06 | 北京北信源软件股份有限公司 | 一种终端接入认证方法及系统 |
| CN112688969A (zh) * | 2021-03-12 | 2021-04-20 | 成都云智天下科技股份有限公司 | 一种基于端口复用和tcp加密技术的内网穿透方法 |
| CN113111337A (zh) * | 2021-03-29 | 2021-07-13 | 青岛海尔科技有限公司 | 用于分享访问控制列表的方法及装置、设备 |
| CN113239397A (zh) * | 2021-05-11 | 2021-08-10 | 鸬鹚科技(深圳)有限公司 | 信息访问方法、装置、计算机设备及介质 |
| CN113688364A (zh) * | 2021-08-24 | 2021-11-23 | 山东友大慧成科技有限公司 | 一种大数据资源精准访问控制系统 |
| CN113688364B (zh) * | 2021-08-24 | 2024-01-19 | 山东友大慧成科技有限公司 | 一种大数据资源精准访问控制系统 |
| CN114006739A (zh) * | 2021-10-25 | 2022-02-01 | 恒安嘉新(北京)科技股份公司 | 资源请求处理方法、装置、设备及存储介质 |
| CN115208652A (zh) * | 2022-07-07 | 2022-10-18 | 广州市大周电子科技有限公司 | 一种动态网络资源访问管控方法 |
| CN117155704A (zh) * | 2023-10-26 | 2023-12-01 | 西安热工研究院有限公司 | 一种可信dcs上位机节点快速添加方法、系统、设备及介质 |
| CN117155704B (zh) * | 2023-10-26 | 2024-01-16 | 西安热工研究院有限公司 | 一种可信dcs上位机节点快速添加方法、系统、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101764742B (zh) | 2015-09-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101764742A (zh) | 一种网络资源访问控制系统及方法 | |
| US11063928B2 (en) | System and method for transferring device identifying information | |
| US9948619B2 (en) | System and method for encryption key management in a mixed infrastructure stream processing framework | |
| KR100969241B1 (ko) | 네트워크 상의 데이터 관리 방법 및 시스템 | |
| CN109587101B (zh) | 一种数字证书管理方法、装置及存储介质 | |
| JP5619019B2 (ja) | 認証のための方法、システム、およびコンピュータ・プログラム(1次認証済み通信チャネルによる2次通信チャネルのトークンベースのクライアント・サーバ認証) | |
| KR101518526B1 (ko) | 서로 다른 조직에 속하는 사용자들에 대한 증명물 복제 없는 인증 방법 | |
| JPH10269184A (ja) | ネットワークシステムのセキュリティ管理方法 | |
| CN102420836A (zh) | 业务信息系统的登录方法以及登录管理系统 | |
| US20170279807A1 (en) | Safe method to share data and control the access to these in the cloud | |
| JP2009514072A (ja) | コンピュータ資源への安全なアクセスを提供する方法 | |
| CN108173827B (zh) | 基于区块链思维的分布式sdn控制平面安全认证方法 | |
| AU2012201489B2 (en) | Authorized data access based on the rights of a user and a location | |
| US20110030042A1 (en) | Ldapi communication across os instances | |
| CN101321064A (zh) | 一种基于数字证书技术的信息系统的访问控制方法及装置 | |
| CN106533693B (zh) | 轨道车辆监控检修系统的接入方法和装置 | |
| US20180367308A1 (en) | User authentication in a dead drop network domain | |
| Murala et al. | Secure dynamic groups data sharing with modified revocable attribute-based encryption in cloud | |
| CN111614664A (zh) | 基于区块链的社区矫正信息共享方法 | |
| US8132245B2 (en) | Local area network certification system and method | |
| CN202059438U (zh) | 一种企业计算机终端信息保护系统 | |
| Basu et al. | Strengthening Authentication within OpenStack Cloud Computing System through Federation with ADDS System | |
| Holstein | Wi-Fi protected access for protection and automation a work in progress by CIGRE working group B5. 22 | |
| US20170012995A1 (en) | Security system | |
| KR100842014B1 (ko) | 다수의 장치로부터 네트워크 저장 장치상의 보호 데이터에대한 접근 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park building 19# Patentee after: RUIJIE NETWORKS CO., LTD. Address before: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park building 19# Patentee before: Fujian Xingwangruijie Network Co., Ltd. |