CN102227115A - 一种限制用户访问的方法和装置 - Google Patents
一种限制用户访问的方法和装置 Download PDFInfo
- Publication number
- CN102227115A CN102227115A CN2011101579821A CN201110157982A CN102227115A CN 102227115 A CN102227115 A CN 102227115A CN 2011101579821 A CN2011101579821 A CN 2011101579821A CN 201110157982 A CN201110157982 A CN 201110157982A CN 102227115 A CN102227115 A CN 102227115A
- Authority
- CN
- China
- Prior art keywords
- access
- control policy
- access control
- equipment
- request information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供了一种限制用户访问的方法和装置,其中,该方法包括:代理设备接收用户设备发送的访问请求信息,其中,访问请求信息用于指示需要访问的访问设备;代理设备判断访问请求信息是否符合访问控制策略;若代理设备判断出访问请求信息符合访问控制策略,则标记访问请求信息指示的访问设备可以通过预先设置的全局地址访问;代理设备接收用户设备发送的目的地址为预先设置的全局地址的设备访问信息;代理设备判断设备访问信息是否符合访问控制策略;若代理设备判断出设备访问信息符合访问控制策略,则与标记的访问请求信息指示的访问设备连接,允许用户设备通过预先设置的全局地址访问访问设备。本发明达到了防止用户越权访问,保证访问机制安全的效果。
Description
技术领域
本发明涉及通信领域,特别是一种限制用户访问的方法和装置。
背景技术
随着计算机网络特别是互联网技术的发展,网络考试已逐渐成为传统考试的有效补充。它高效、灵活、适应性强,可以提供一种全新的、开放的考试模式,满足各类课程考试的需要。这种快速高效的网络考试系统需要以考试数据的安全和系统稳定运行为保障,要求考试系统要有足够的安全性,防止出现网络欺骗、网上作弊甚至蓄意破坏考试系统等行为。
目前,国内对于考试系统安全性的关注主要侧重在系统本身的安全,如访问控制模块的设计、系统的安全风险防范和数据库加密策略等,一般可以通过及时更新安全补丁,进行安全设置等降低此类风险。为更好地确保考试的公平性和公正性,网络考试系统的安全研究仍需要侧重于防范考试作弊。为了实现在线考试系统的远程监管,保证考试的公平、公正性,一个有效的视频实时监控系统显得非常重要,但是Web在线考试不同于传统的具有固定考场的考试,考生在任何有网络的地方都可以登录系统参加考试。因此,在线考试系统不能通过在固定场地安装摄像头等手段来实现视频监控,只有通过考生参加考试时所使用的计算机来实现监控。因此,有必要在在线考试系统中集成实时监控系统来保证考试的有效性。
Web在线考试监控系统概括起来大致可以分为以下两类:
一类是在线监控系统独立于在线考试系统,即考生在参加考试应同时启动相应的监控程序来实现监控。此类系统的优点是功能强大,缺点是需要在客户端和服务器端需要安装相应的软件或者组件,部署复杂,此外还需要价格不菲的软、硬件购置费用。
另一类是浏览器插件技术,也就是Object ActiveX技术,即通过在客户端浏览器上安装相应插件来实现,这种技术可能也需要服务端组件或者中间件来支持。这类系统的优点是部署方便,对客户端没有过多限制,缺点是功能会相对减弱,如果使用第三方插件,也需要软件或者硬件费用。
首先给出几个典型的作弊场景,在这些场景中考生利用了几种不同的方式实现了作弊。
场景一:某机房内正在进行在线考试,监考老师和天花板上的摄像头正巡视着考场。某考生有题目不会做,他打开QQ,轻松地将题目发给考场外的一个人或几个人(事先密谋好的),这些人可以是另外一个考场内的考生,或者是互联网上不参加考试的用户,这样他很快就收到了答案。
场景二:同样的地点和环境,该考生的几个同学也在同一个考场内参加考试,他用同样的方法把题目发给其中的一个人或几个人,这样他同样可以得到答案。
场景三:同样的环境,他打开QQ发现不能登录,可能这是一个封闭的局域网或者被屏蔽了与外界的联系,他并不着急,把题目粘贴在一个文件中,然后打开计算机的文件共享,向对方发了一个信息,对方打开了他的共享文件,等一会他又得到了他想要的答案,或者将随身携带的U盘作为与其他人进行资料、答案传递的介质。
场景四:同样的环境,他做了各种尝试后,也没有办法和外界联系,同样也不能和同考场的其它人通信,他的各种尝试引发了监控机报警,在审计日志中记录了他的行为,并在他的屏幕上显示了警告信息,没有办法他只好安静地考试了,但是由于当前考试涉及设备配置,此时他通过猜测或IP遍历的方式获取到其他人的考试设备访问权,从而进行作弊。
因此,根据信息传递的方向把网络作弊分为:
(1)同一个考场局域网内两个考生之间,如场景二、三;
(2)一个考场局域网内的考生和互联网用户之间,如场景一;
(3)两个不同考场局域网的考生之间,如场景一;
(4)多个局域网或者互联网之间,考试内容涉及设备配置,如场景四。
从网络监控的角度,进一步地,网络作弊可分为两类:
一类是基于互联网的,如场景一、二。这方式需要借助互联网才能完成,考生可以利用各种互联网工具进行信息传递,如:QQ,MSN,Email等等。
另一类是基于局域网的,如场景三。这种方式不需借助互联网,用户仅依靠LAN进行信息传递,如:文件共享,P2PMessage或者通过U盘等介质进行资料传递等等。第四种场景比较特殊,涉及考试设备的实操,目前已知的反作弊解决方案中,主要都是围绕网络理论考试的场景,而且解决方案基本上不适用于考试设备的网络考试。
从考试阶段来看,目前在线考试防作弊的解决方案,主要是从考前、考中、考后这三个方面着手,大致可以归纳为:
方案1:通过试卷变换和随机抽选相结合的试卷生成方案,加大考生作弊的难度;
方案2:通过限制考生屏幕,通过记录考生登录IP等方式,监控考生过程;
方案3:通过数字隐藏和加密技术,保证考生答案的一致和完整性。
由于网络考试规模日趋扩大,考试涵盖的范围也越来越广,单纯的理论考试已经无法满足需要,一些需要动手实践的考试内容已经开始崭露头角,比如目前的网络认证考试,除了考试理论外,设备配置也作为其中很重要的部分,这样,如何在涉及设备配置的网络考试中,实现防作弊也成为一个重要的课题。
目前网络考试防作弊主要视点还是将考生进行隔离,最常用的方式是局域网通过划分Vlan隔离,在不同考生之间形成逻辑隔离,如果需要因特网,就需要更多的防作弊手段,如下载客户端,限制考生屏幕等一系列手段,如果考试涉及设备操作,一般只能在单个地方举行,考生与设备之间也进行物理隔离,考生一般需要在考试设备上进行配置,如删除配置,修改IP等操作,如果通过全网VLAN隔离考生和设备不但工作量巨大,也难以起到实际效果。
发明内容
本发明的主要目的在于提供一种限制用户访问的方法和装置,以解决现有技术中用户通过猜测或IP遍历等方式获取访问设备的访问权限,并对访问设备进行越权访问,从而导致访问机制不安全的问题。
根据本发明的一个方面,提供了一种限制用户访问的方法,该方法包括:代理设备接收用户设备发送的访问请求信息,其中,访问请求信息用于指示需要访问的访问设备;代理设备判断访问请求信息是否符合访问控制策略;若代理设备判断出访问请求信息符合访问控制策略,则标记访问请求信息指示的访问设备可以通过预先设置的全局地址访问;代理设备接收用户设备发送的目的地址为预先设置的全局地址的设备访问信息;代理设备判断设备访问信息是否符合访问控制策略;若代理设备判断出设备访问信息符合访问控制策略,则与标记的访问请求信息指示的访问设备连接,允许用户设备通过预先设置的全局地址访问访问设备。
访问控制策略包括用户账号、与用户账号匹配的用户地址以及可用的访问设备的集合。
代理设备判断访问请求信息是否符合访问控制策略的步骤包括:判断用户账号、与用户账号匹配的用户地址以及访问请求信息指示的需要访问的访问设备是否包括在访问控制策略中;若包括,则判断出访问请求信息符合访问控制策略;代理设备判断设备访问信息是否符合访问控制策略的步骤包括:判断用户地址、与用户地址匹配的用户账号是否包括在访问控制策略中;若包括,则判断出设备访问信息符合访问控制策略。
若代理设备判断出设备访问信息符合访问控制策略,则与标记的访问请求信息指示的访问设备连接,允许用户设备通过预先设置的全局地址访问访问设备的步骤之后,限制用户访问的方法还包括:代理设备将用户设备发送的设备访问信息转发给访问设备;代理设备将访问设备发送的响应设备访问信息的响应信息转发给用户设备。
代理设备接收用户设备发送的访问请求信息的步骤之前,限制用户访问的方法还包括:代理设备接收用户设备发送的登录请求;代理设备查询是否存在访问控制策略;若代理设备查询到不存在访问控制策略,则将登录请求发送给权限设备;权限设备根据登录请求生成访问控制策略,并将访问控制策略下发给代理设备。
根据本发明的另一方面,提供了一种限制用户访问的装置,该装置包括:第一接收单元,用于接收用户设备发送的访问请求信息,其中访问请求信息用于指示需要访问的访问设备;第一判断单元,用于判断访问请求信息是否符合访问控制策略;标记单元,用于在判断出访问请求信息符合访问控制策略时,标记访问请求信息指示的访问设备可以通过预先设置的全局地址访问;第二接收单元,用于接收用户设备发送的目的地址为预先设置的全局地址的设备访问信息;第二判断单元,用于判断设备访问信息是否符合访问控制策略;连接单元,用于在判断出设备访问信息符合访问控制策略时,与标记的访问请求信息指示的访问设备连接,允许用户设备通过预先设置的全局地址访问访问设备。
访问控制策略包括用户账号、与用户账号匹配的用户地址以及可用的访问设备的集合。
第一判断单元具体用于判断用户账号、与用户账号匹配的用户地址以及访问请求信息指示的需要访问的访问设备是否包括在访问控制策略中;在包括时,判断出访问请求信息符合访问控制策略;第二判断单元具体用于判断用户地址、与用户地址匹配的用户账号是否包括在访问控制策略中;在包括时,判断出设备访问信息符合访问控制策略。
限制用户访问的装置还包括:转发单元,用于将用户设备发送的设备访问信息转发给访问设备;并将访问设备发送的响应设备访问信息的响应信息转发给用户设备。
限制用户访问的装置还包括:第三接收单元,用于接收用户设备发送的登录请求;查询单元,用于查询是否存在访问控制策略;
发送单元,用于在查询到不存在访问控制策略,则将登录请求发送给权限设备;第四接收单元,用于在权限设备根据登录请求生成访问控制策略后,接收权限设备下发的访问控制策略。
通过本发明,采用代理设备通过预先设置的全局地址接收用户设备的请求,并在用户设备的请求符合访问控制策略时,连接访问设备,允许用户设备通过该全局地址访问访问设备,解决了现有技术中用户通过猜测或IP遍历等方式获取访问设备的访问权限,并对访问设备进行越权访问,从而导致访问机制不安全的问题,进而达到了防止用户越权访问,保证访问机制安全的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的限制用户访问的装置的一种优选结构框图;
图2是根据本发明实施例的限制用户访问的装置的另一种结构框图;
图3是根据本发明实施例的限制用户访问的装置的又一种结构框图;
图4是根据本发明实施例的考生首次登录考试系统的流程图;
图5是根据本发明实施例的考生访问考试设备的流程图;
图6是根据本发明实施例的限制用户访问的方法的一种优选流程图;
图7是根据本发明实施例的限制用户访问的方法的另一种流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
实施例1
图1出示了限制用户访问的装置的一种优选结构框图,参见图1,该装置包括:依次连接的第一接收单元102、第一判断单元104以及标记单元106,以及依次连接的第二接收单元108、第二判断单元110以及连接单元112,连接单元112还连接标记单元106,其中:
第一接收单元102接收用户设备发送的访问请求信息,其中,访问请求信息用于指示需要访问的访问设备;
第一判断单元104判断访问请求信息是否符合访问控制策略;
标记单元106在判断出访问请求信息符合访问控制策略时,标记访问请求信息指示的访问设备可以通过预先设置的全局地址访问;
第二接收单元108接收用户设备发送的目的地址为预先设置的全局地址的设备访问信息;
第二判断单元110判断设备访问信息是否符合访问控制策略;
连接单元112在判断出设备访问信息符合访问控制策略时,与标记的访问请求信息指示的访问设备连接,允许用户设备通过预先设置的全局地址访问访问设备。
其中,访问请求信息指的是用户设备需要访问哪个访问设备而发送请求访问该访问设备的信息,其中包含用户账号、与用户账号匹配的用户地址以及指示需要访问的访问设备的标识等信息;
设备访问信息指的是用户设备告知代理设备与用户设备需要访问的访问设备连接的信息,其中包含用户地址、与该用户地址匹配的用户账号信息。
其中,预先设置的全局地址是限制用户访问装置为用户设备提供的访问该装置的地址,该全局地址可以允许任何一个用户设备通过该地址访问。
上述访问控制策略包括用户账号、与用户账号匹配的用户地址以及可用的访问设备的集合,其中,与每个用户账号和与用户账号匹配的用户地址对应的可用的访问设备互不重叠。
在本优选实施例中,采用代理设备通过预先设置的全局地址接收用户设备的请求,并在用户设备的请求符合访问控制策略时,连接访问设备,允许用户设备通过该全局地址访问访问设备,解决了现有技术中用户通过猜测或IP遍历等方式获取访问设备的访问权限,并对访问设备进行越权访问,从而导致访问机制不安全的问题,进而达到了防止用户越权访问,保证访问机制安全的效果。
其中,第一判断单元104具体用于判断用户账号、与用户账号匹配的用户地址以及访问请求信息指示的需要访问的访问设备是否包括在访问控制策略中;在包括时,判断出访问请求信息符合访问控制策略;第二判断单元110具体用于判断用户地址、与所述用户地址匹配的用户账号是否包括在所述访问控制策略中;在包括时,判断出所述设备访问信息符合所述访问控制策略。在实际应用中,用户设备请求访问设备时,向第一接收单元102发送访问请求信息,该访问请求信息告知限制用户访问的装置用户设备需要访问哪个访问设备,此时,第一判断单元104会判断该访问请求信息指示的访问设备是否包括在访问控制策略中的可用的访问设备的集合中,同时验证该用户设备的用户账号以及用户地址是否符合访问控制策略中包括的该用户账号以及与该用户账号匹配的用户地址,如果均符合,标记单元106会标记访问请求信息指示的访问设备可以通过限制用户访问的装置提供的全局地址访问;这时,用户设备可以通过该全局地址访问想要访问的访问设备,在用户设备访问访问设备时,第二判断单元110接收到用户设备发送的设备访问信息的时候采用的用户地址,告知用户设备发送与该用户地址匹配的用户账号信息,并判断该用户地址和用户账号信息是否符合访问控制策略,在符合访问控制策略时,连接单元112在访问控制策略中查找是否存在标记过的用户需要访问的访问设备,如果存在,则连接该访问设备,用户设备通过限制用户访问装置提供的全局地址与第二接收单元108相连的通道进行通信,连接单元112与访问请求信息指示的访问设备进行通信,从而保证用户设备无法得知访问设备的地址,无法直接访问访问设备。
基于图1,图2出示了限制用户访问的装置的另一种结构框图,参见图2,限制用户访问的装置还包括:连接连接单元112的转发单元114,转发单元114将用户设备发送的设备访问信息转发给访问设备;并将访问设备发送的响应设备访问信息的响应信息转发给用户设备。
同时,限制用户访问的装置还包括:第三接收单元116、连接第三接收单元116的查询单元118,连接查询单元118的发送单元120和第四接收单元122,第四接收单元122还连接第一判断单元104,其中:
第三接收单元116接收用户设备发送的登录请求;
查询单元118查询是否存在与该登陆请求配合的访问控制策略;
发送单元120在查询到不存在与该登陆请求配合的访问控制策略,则将该登录请求发送给权限设备;
第四接收单元122在权限设备根据该登录请求生成访问控制策略后,接收权限设备下发的访问控制策略。
值得说明的是,上述的第一、第二、第三和第四仅仅用来区分不同的主体,并不用于限定该主体。
同时,本实施例的限制用户访问的装置可以设置在代理设备中以实现限制用户访问的功能。
下面通过针对防止考试时考生通过猜测或IP遍历等方式获取访问设备的访问权限,并对访问设备进行越权访问为例,进行进一步的说明。图3出示了限制用户访问的装置又一种结构框图,该结构框图出示了网络考试防作弊系统的部署关系,该系统包括:考生机(用户设备)、防作弊代理服务器(代理设备)以、考试系统(权限设备)和考试设备(访问设备)。
在考生在首次访问考试系统进行考试时,考试系统会动态分配考试设备给考生,并将考生和考试设备的关系下发给防作弊代理服务器。
考生对考试系统以及考试设备的访问都需要通过防作弊代理服务器的检测,只有通过检测的考试行为才可能被放行。
在图3的基础上,图4出示了考生首次登录考试系统的流程图,具体包括:
S402,考生使用帐号X登录系统(HTTP访问);
S404,防作弊代理服务器查找是否存在与该考生账号X和考生IP地址相适应的访问控制策略,如果未查询到,则将该考生账号X和考生IP地址发送给考试系统;
S406,考试系统判断该考生的账号X和IP是否是首次登录,如果是,则记录考生帐号X以及该考生的IP地址;
S408,考试系统根据该考生的账号X和IP地址分配可用的考试设备A、B;
S410,考试系统向防作弊代理服务器下发访问控制策略,该访问控制策略包含绑定关系(帐号X+访问IP+可用的考试设备A/B)。
此时,完成了考生首次登陆,考试系统向防作弊代理服务器下发访问控制策略的过程。
此后,如果考生再次登陆,则防作弊代理服务器将会根据访问控制策略检测该考生是否可以登陆。如果考生再次登录系统时,采用帐号Y使用与帐号X相同IP登录,则防作弊代理服务器不允许登录,当考生采用帐号X使用其他IP地址登录,则防作弊代理服务器同样不允许登录。
在图3的基础上,图5出示了考生访问考试设备的流程图,具体包括:
S502,考生访问考试系统,使用账号Y访问考试设备;
S504,防作弊代理服务器接收到访问请求,检查该访问请求是否符合考试系统下发访问控制策略,如校验考生的IP地址是否符合访问控制策略中与该账号Y绑定允许访问的IP地址相符,如果不相符,则拒绝该考生访问考试设备;如果相符,则标记该考生要访问的考试设备;
S506,防作弊代理服务为考生提供全局地址,例如所有考生访问设备直接使用telnet://172.16.1.1地址访问,考生通过全局地址访问防作弊代理服务器,防作弊代理服务器接收考生使用账号Y访问考试设备的访问信息,检测该考生的账号Y和IP地址是否符合访问控制策略;此时,如果考生并非通过全局地址访问防作弊代理服务器,防作弊代理服务器则不允许考生访问。
S508,若符合访问控制策略,则防作弊代理服务器查询到考生要访问的考试设备的地址,并与该考试设备相连,即防作弊代理服务器连接考试设备的真实地址,将全局地址与该考试设备A的真实地址连接,建立考生和考试设备的配置通道,将考生发送的指令传送到考试设备上;否则拒绝访问考试设备。
其中,考生请求考试设备时,防作弊代理服务器判断出考生的访问请求信息符合访问控制策略,则标记考生请求访问的考试设备的地址,并在考生发送设备访问信息时,判断出考生发送的设备访问信息符合访问控制策略,则建立防作弊代理服务器与考试设备的连接地址,这样,考生可以通过全局地址向防作弊代理服务器发送设备访问信息,防作弊代理服务器将该设备访问信息转发给考试设备,考试设备将响应信息发送给防作弊代理服务器,防作弊代理服务器将响应信息转发给考生,从而完成考生对考试设备的访问。
由于考生访问系统和设备的行为被防作弊代理服务器接管,通过考试系统下发的设备访问策略,对考生的考试行为进行诊断,符合条件的则允许访问,否则无法访问。比如考生x使用考生y账号访问考试系统,防作弊代理服务器检测IP与账号不符,则拒绝访问;而考生y无法得知考生x的考试设备,即使通过穷举来访问设备,也会被防作弊代理服务器的访问策略拒绝,从而达到防作弊的目的,实现考试系统的全网安全。
由此可见,考生之间无法得知自己当前访问的考试设备的情况,无法通过查找考试设备的地址实现考试作弊,所有考生对考试设备的访问均通过防作弊代理服务器暴露的接口(即全局地址)进行访问,再与考试系统返回的设备真实地址与设备建立通信,考生看到的只是防作弊代理服务器的地址,真正设备地址被防作弊代理服务器隐藏了,从而起到防作弊的作用。
实施例2
图6出示了限制用户访问的方法的一种优选流程图,参见图6,该方法包括:
S602,代理设备接收用户设备发送的访问请求信息,其中,访问请求信息用于指示需要访问的访问设备;
S604,代理设备判断访问请求信息是否符合访问控制策略;
S606,若代理设备判断出访问请求信息符合访问控制策略,则标记访问请求信息指示的访问设备可以通过预先设置的全局地址访问;
S608,代理设备接收用户设备发送的目的地址为预先设置的全局地址的设备访问信息;
S610,代理设备判断设备访问信息是否符合访问控制策略;
S612,若代理设备判断出设备访问信息符合访问控制策略,则与标记的访问请求信息指示的访问设备连接,允许用户设备通过预先设置的全局地址访问访问设备。
上述访问控制策略包括用户账号、与用户账号匹配的用户地址以及可用的访问设备的集合,其中,与每个用户账号和与用户账号匹配的用户地址对应的可用的访问设备互不重叠。
在本优选实施例中,采用代理设备通过预先设置的全局地址接收用户设备的请求,并在用户设备的请求符合访问控制策略时,连接访问设备,允许用户设备通过该全局地址访问访问设备,解决了现有技术中用户通过猜测或IP遍历等方式获取访问设备的访问权限,并对访问设备进行越权访问,从而导致访问机制不安全的问题,进而达到了防止用户越权访问,保证访问机制安全的效果。
基于图6,图7出示了检测堆叠聚合链路连线错误的方法的另一种流程图,其中步骤S604,代理设备判断访问请求信息是否符合访问控制策略的步骤包括:
S6041,判断用户账号、与用户账号匹配的用户地址以及访问请求信息指示的需要访问的访问设备是否包括在访问控制策略中;
S6042,若包括,则判断出访问请求信息符合访问控制策略。
其中步骤S610,代理设备判断设备访问信息是否符合访问控制策略的步骤包括:
S6101,判断用户地址、与用户地址匹配的用户账号是否包括在访问控制策略中;
S6102,若包括,则判断出设备访问信息符合访问控制策略。
在步骤S612,若代理设备判断出设备访问信息符合访问控制策略,则与标记的访问请求信息指示的访问设备连接,允许用户设备通过预先设置的全局地址访问访问设备的步骤之后,限制用户访问的方法还包括:
S614,代理设备将用户设备发送的设备访问信息转发给访问设备;代理设备将访问设备发送的响应设备访问信息的响应信息转发给用户设备。
在步骤S602,代理设备接收用户设备发送的访问请求信息的步骤之前,限制用户访问的方法还包括:
S0611,代理设备接收用户设备发送的登录请求;
S6012,代理设备查询是否存在与该登陆请求配合的访问控制策略;
S6013,若代理设备查询到不存在与该登陆请求配合的访问控制策略,则将该登录请求发送给权限设备;
S6014,权限设备根据该登录请求生成访问控制策略,并将访问控制策略下发给代理设备。
当然,本发明的限制用户考试的方法和装置还可以通过代理服务器可以实现设备配置过程的监控,并可以实现设备配置过程的危险命令的过滤。
因而本发明的实施例解决了在线考试内容涉及设备操作时的防作弊方案,在监控考生考试行为的同时,可以实时监控考生对设备配置的过程,增强了网络考试防作弊领域应对策略。同时,本发明的实施例部署简单,不需要网络外设如PC摄像头等支撑,同样可以解决监控考生行为的需要,成本低廉。
从以上的描述中,可以看出,本发明实现了如下技术效果:采用代理设备通过预先设置的全局地址接收用户设备的请求,并在用户设备的请求符合访问控制策略时,连接访问设备,允许用户设备通过该全局地址访问访问设备,解决了现有技术中用户通过猜测或IP遍历等方式获取访问设备的访问权限,并对访问设备进行越权访问,从而导致访问机制不安全的问题,进而达到了防止用户越权访问,保证访问机制安全的效果。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种限制用户访问的方法,其特征在于,包括:
代理设备接收用户设备发送的访问请求信息,其中,所述访问请求信息用于指示需要访问的访问设备;
所述代理设备判断所述访问请求信息是否符合访问控制策略;
若所述代理设备判断出所述访问请求信息符合所述访问控制策略,则标记所述访问请求信息指示的访问设备可以通过预先设置的全局地址访问;
所述代理设备接收用户设备发送的目的地址为所述预先设置的全局地址的设备访问信息;
所述代理设备判断所述设备访问信息是否符合所述访问控制策略;
若所述代理设备判断出所述设备访问信息符合访问控制策略,则与标记的所述访问请求信息指示的访问设备连接,允许用户设备通过所述预先设置的全局地址访问所述访问设备。
2.根据权利要求1所述的方法,其特征在于,所述访问控制策略包括用户账号、与所述用户账号匹配的用户地址以及可用的所述访问设备的集合。
3.根据权利要求2所述的方法,其特征在于,
所述代理设备判断所述访问请求信息是否符合访问控制策略的步骤包括:
判断用户账号、与所述用户账号匹配的用户地址以及所述访问请求信息指示的需要访问的访问设备是否包括在所述访问控制策略中;
若包括,则判断出所述访问请求信息符合所述访问控制策略;
所述代理设备判断所述设备访问信息是否符合所述访问控制策略的步骤包括:
判断用户地址、与所述用户地址匹配的用户账号是否包括在所述访问控制策略中;
若包括,则判断出所述设备访问信息符合所述访问控制策略。
4.根据权利要求1所述的方法,其特征在于,若所述代理设备判断出所述设备访问信息符合访问控制策略,则与标记的所述访问请求信息指示的访问设备连接,允许用户设备通过所述预先设置的全局地址访问所述访问设备的步骤之后,还包括:
所述代理设备将所述用户设备发送的设备访问信息转发给所述访问设备;
所述代理设备将所述访问设备发送的响应所述设备访问信息的响应信息转发给所述用户设备。
5.根据权利要求1所述的方法,其特征在于,代理设备接收用户设备发送的访问请求信息的步骤之前,还包括:
所述代理设备接收用户设备发送的登录请求;
所述代理设备查询是否存在所述访问控制策略;
若所述代理设备查询到不存在所述访问控制策略,则将所述登录请求发送给权限设备;
所述权限设备根据所述登录请求生成所述访问控制策略,并将所述访问控制策略下发给所述代理设备。
6.一种限制用户访问的装置,其特征在于,包括:
第一接收单元,用于接收用户设备发送的访问请求信息,其中所述访问请求信息用于指示需要访问的访问设备;
第一判断单元,用于判断所述访问请求信息是否符合访问控制策略;
标记单元,用于在判断出所述访问请求信息符合所述访问控制策略时,标记所述访问请求信息指示的访问设备可以通过预先设置的全局地址访问;
第二接收单元,用于接收用户设备发送的目的地址为所述预先设置的全局地址的设备访问信息;
第二判断单元,用于判断所述设备访问信息是否符合所述访问控制策略;
连接单元,用于在判断出所述设备访问信息符合访问控制策略时,与标记的所述访问请求信息指示的访问设备连接,允许用户设备通过所述预先设置的全局地址访问所述访问设备。
7.根据权利要求6所述的装置,其特征在于,所述访问控制策略包括用户账号、与所述用户账号匹配的用户地址以及可用的所述访问设备的集合。
8.根据权利要求7所述的装置,其特征在于,所述第一判断单元具体用于判断用户账号、与所述用户账号匹配的用户地址以及所述访问请求信息指示的需要访问的访问设备是否包括在所述访问控制策略中;在包括时,判断出所述访问请求信息符合所述访问控制策略;所述第二判断单元具体用于判断用户地址、与所述用户地址匹配的用户账号是否包括在所述访问控制策略中;在包括时,判断出所述设备访问信息符合所述访问控制策略。
9.根据权利要求6所述的装置,其特征在于,还包括:
转发单元,用于将所述用户设备发送的设备访问信息转发给所述访问设备;并将所述访问设备发送的响应所述设备访问信息的响应信息转发给所述用户设备。
10.根据权利要求6所述的装置,其特征在于,还包括:
第三接收单元,用于接收用户设备发送的登录请求;
查询单元,用于查询是否存在所述访问控制策略;
发送单元,用于在查询到不存在所述访问控制策略,则将所述登录请求发送给权限设备;
第四接收单元,用于在所述权限设备根据所述登录请求生成所述访问控制策略后,接收所述权限设备下发的访问控制策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110157982.1A CN102227115B (zh) | 2011-06-13 | 2011-06-13 | 一种限制用户访问的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110157982.1A CN102227115B (zh) | 2011-06-13 | 2011-06-13 | 一种限制用户访问的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102227115A true CN102227115A (zh) | 2011-10-26 |
| CN102227115B CN102227115B (zh) | 2014-04-02 |
Family
ID=44808073
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110157982.1A Expired - Fee Related CN102227115B (zh) | 2011-06-13 | 2011-06-13 | 一种限制用户访问的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102227115B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102427522A (zh) * | 2011-12-27 | 2012-04-25 | 浙江省电力公司 | 一种视频监控系统与智能调控操作系统联动的设备与方法 |
| CN105162763A (zh) * | 2015-07-29 | 2015-12-16 | 网神信息技术(北京)股份有限公司 | 通讯数据的处理方法和装置 |
| CN105376107A (zh) * | 2014-08-29 | 2016-03-02 | 腾讯科技(深圳)有限公司 | 终端测试方法和代理服务器 |
| CN105637542A (zh) * | 2014-01-07 | 2016-06-01 | 富士施乐株式会社 | 信息处理装置、信息处理程序、存储介质及信息处理方法 |
| CN106710343A (zh) * | 2017-01-11 | 2017-05-24 | 北京瑞星信息技术股份有限公司 | 计算机实操考试方法和系统 |
| CN108769278A (zh) * | 2018-04-11 | 2018-11-06 | 北京中科闻歌科技股份有限公司 | 一种社交媒体账号管理方法及系统 |
| CN109492376A (zh) * | 2018-11-07 | 2019-03-19 | 浙江齐治科技股份有限公司 | 设备访问权限的控制方法、装置及堡垒机 |
| CN110688659A (zh) * | 2019-09-10 | 2020-01-14 | 深圳开源互联网安全技术有限公司 | 基于iast测试工具动态检测水平越权的方法及系统 |
| CN113079165A (zh) * | 2021-04-02 | 2021-07-06 | 北京天空卫士网络安全技术有限公司 | 一种访问处理方法和装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070180086A1 (en) * | 2006-02-01 | 2007-08-02 | Samsung Electronics Co., Ltd. | Authentication and authorization for simple network management protocol (SNMP) |
| CN101436954A (zh) * | 2007-11-13 | 2009-05-20 | 中国电信股份有限公司 | 业务策略请求验证系统、业务策略申请和撤销方法 |
-
2011
- 2011-06-13 CN CN201110157982.1A patent/CN102227115B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070180086A1 (en) * | 2006-02-01 | 2007-08-02 | Samsung Electronics Co., Ltd. | Authentication and authorization for simple network management protocol (SNMP) |
| CN101436954A (zh) * | 2007-11-13 | 2009-05-20 | 中国电信股份有限公司 | 业务策略请求验证系统、业务策略申请和撤销方法 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102427522A (zh) * | 2011-12-27 | 2012-04-25 | 浙江省电力公司 | 一种视频监控系统与智能调控操作系统联动的设备与方法 |
| CN105637542A (zh) * | 2014-01-07 | 2016-06-01 | 富士施乐株式会社 | 信息处理装置、信息处理程序、存储介质及信息处理方法 |
| US10380080B2 (en) | 2014-01-07 | 2019-08-13 | Fuji Xerox Co., Ltd. | Information processing apparatus, storage medium, and information processing method |
| CN105637542B (zh) * | 2014-01-07 | 2019-10-11 | 富士施乐株式会社 | 信息处理装置及信息处理方法 |
| CN105376107B (zh) * | 2014-08-29 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 终端测试方法和代理服务器 |
| CN105376107A (zh) * | 2014-08-29 | 2016-03-02 | 腾讯科技(深圳)有限公司 | 终端测试方法和代理服务器 |
| CN105162763A (zh) * | 2015-07-29 | 2015-12-16 | 网神信息技术(北京)股份有限公司 | 通讯数据的处理方法和装置 |
| CN106710343A (zh) * | 2017-01-11 | 2017-05-24 | 北京瑞星信息技术股份有限公司 | 计算机实操考试方法和系统 |
| CN108769278A (zh) * | 2018-04-11 | 2018-11-06 | 北京中科闻歌科技股份有限公司 | 一种社交媒体账号管理方法及系统 |
| CN109492376A (zh) * | 2018-11-07 | 2019-03-19 | 浙江齐治科技股份有限公司 | 设备访问权限的控制方法、装置及堡垒机 |
| CN110688659A (zh) * | 2019-09-10 | 2020-01-14 | 深圳开源互联网安全技术有限公司 | 基于iast测试工具动态检测水平越权的方法及系统 |
| CN110688659B (zh) * | 2019-09-10 | 2020-10-16 | 深圳开源互联网安全技术有限公司 | 基于iast测试工具动态检测水平越权的方法及系统 |
| CN113079165A (zh) * | 2021-04-02 | 2021-07-06 | 北京天空卫士网络安全技术有限公司 | 一种访问处理方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102227115B (zh) | 2014-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102227115B (zh) | 一种限制用户访问的方法和装置 | |
| CN106096343B (zh) | 消息访问控制方法及设备 | |
| CN101201727B (zh) | 通过网络的打印机选择支持装置及系统 | |
| CN105069880B (zh) | 一种基于融合通信的移动终端控制门禁的方法和系统 | |
| CN107342984A (zh) | 一种用于设备绑定的系统、方法及装置 | |
| CN110311899A (zh) | 多业务系统访问方法、装置及服务器 | |
| CN106657068A (zh) | 登录授权方法和装置、登录方法和装置 | |
| CN106034104A (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| CN108259432A (zh) | 一种api调用的管理方法、设备及系统 | |
| CN103888459B (zh) | 网络内网入侵的检测方法及装置 | |
| CN105933353A (zh) | 安全登录的实现方法及系统 | |
| Maiwald | Fundamentals of network security | |
| CN110417820A (zh) | 单点登录系统的处理方法、装置及可读存储介质 | |
| CN108429638A (zh) | 一种服务器运维方法、装置、系统及电子设备 | |
| CN105427203A (zh) | 一种租房信息管理方法和系统 | |
| CN107464121A (zh) | 电子账户的挂失、解挂、业务管理方法、装置及设备 | |
| CN110099129A (zh) | 一种数据传输方法以及设备 | |
| CN108123961A (zh) | 信息处理方法、装置及系统 | |
| CN108966216A (zh) | 一种应用于配电网的移动通信方法及装置 | |
| KR20150026587A (ko) | 신규 기기로부터의 로그인 알림 기능 제공 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| CN102143492A (zh) | Vpn连接建立方法、移动终端、服务器 | |
| CN110191131A (zh) | 一种文件共享方法、装置、系统、服务器及存储介质 | |
| CN105162763A (zh) | 通讯数据的处理方法和装置 | |
| CN107480530A (zh) | 安全检测的方法、装置、系统以及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140402 Termination date: 20210613 |