CN102231733B - 访问控制方法、主机设备和标识路由器 - Google Patents
访问控制方法、主机设备和标识路由器 Download PDFInfo
- Publication number
- CN102231733B CN102231733B CN201110167981.5A CN201110167981A CN102231733B CN 102231733 B CN102231733 B CN 102231733B CN 201110167981 A CN201110167981 A CN 201110167981A CN 102231733 B CN102231733 B CN 102231733B
- Authority
- CN
- China
- Prior art keywords
- list item
- service list
- service
- notification packet
- mark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明提供一种访问控制方法、主机设备和标识路由器。其中,一个访问控制方法包括:在主机设备认证通过后,获取所述主机设备的认证用户标识;将所述认证用户标识与服务控制表中各服务表项中的用户实体标识进行匹配处理;若所述认证用户标识与服务控制表中第一服务表项中的用户实体标识相匹配,则向所述主机设备发送第一服务表项通告报文,所述第一服务表项通告报文包含所述第一服务表项信息,以使所述主机设备根据所述第一服务表项信息进行访问控制处理。本发明可以在访问源端即对用户访问进行控制,使得主机设备不会将未通过访问控制审查的报文发送给标识路由器,从根本上杜绝了非法用户的访问,提高了网络安全性。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种访问控制方法、主机设备和标识路由器。
背景技术
随着互联网的不断普及,计算机的网络安全问题也备受人们关注。一般大型网络会配备专业的防火墙等网络防护设备,以阻断外部的非法访问和恶意攻击。而对于小规模的办公网络而言,一般采用在路由器实现访问控制功能。
路由器在网络体系结构中起着非常重要的作用,其主要功能是转发来自不同网络的数据包。目前大部分路由器都具有访问控制功能。具体来说,在路由器上可以配置服务控制表,通过该服务控制表即可配置访问规则,以阻止存在安全风险或者未授权的用户对内部数据进行访问,从而实现防火墙的功能。
但是,采用路由器进行访问控制并不能从根本上控制非法访问等行为,从而导致网络安全性较低。
发明内容
本发明提供一种访问控制方法、主机设备和标识路由器。
本发明提供一种访问控制方法,包括:
在主机设备认证通过后,获取所述主机设备的认证用户标识;
将所述认证用户标识与服务控制表中各服务表项中的用户实体标识进行匹配处理;
若所述认证用户标识与服务控制表中第一服务表项中的用户实体标识相匹配,则向所述主机设备发送第一服务表项通告报文,所述第一服务表项通告报文包含所述第一服务表项信息,以使所述主机设备根据所述第一服务表项信息进行访问控制处理。
本发明提供另一种访问控制方法,包括:
接收标识路由器发送的第一服务表项通告报文,所述第一服务表项通告报文包含与认证用户标识对应的第一服务表项信息;
根据所述第一服务表项信息生成与所述认证用户标识对应的访问控制表;
应用所述访问控制表进行访问控制处理。
本发明提供一种标识路由器,包括:
获取模块,用于在主机设备认证通过后,获取所述主机设备的认证用户标识;
匹配模块,用于将所述认证用户标识与服务控制表中各服务表项中的用户实体标识进行匹配处理;
发送模块,用于若所述认证用户标识与服务控制表中第一服务表项中的用户实体标识相匹配,则向所述主机设备发送第一服务表项通告报文,所述第一服务表项通告报文包含所述第一服务表项信息,以使所述主机设备根据所述第一服务表项信息进行访问控制处理。
本发明提供一种主机设备,包括:
接收模块,用于接收标识路由器发送的第一服务表项通告报文,所述第一服务表项通告报文包含与认证用户标识对应的第一服务表项信息;
生成模块,用于根据所述第一服务表项信息生成与所述认证用户标识对应的访问控制表;
控制模块,用于应用所述访问控制表进行访问控制处理。
本发明访问控制方法、主机设备和标识路由器中,标识路由器可以在确定主机设备上的认证用户标识与存储的用户实体标识相匹配后,将该认证用户标识对应的第一服务表项信息发送给主机设备,从而使得主机设备可以对用户的访问进行控制。因此,本发明可以在访问源端即对用户访问进行控制,使得主机设备不会将未经过认证的报文发送给标识路由器,从根本上杜绝了非法用户的访问,提高了网络安全性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明访问控制方法实施例一的流程图;
图2为本发明访问控制方法实施例二的流程图;
图3为本发明访问控制方法实施例三的流程图;
图4为本发明访问控制方法实施例四的流程图;
图5为本发明标识路由器实施例一的结构示意图;
图6为本发明标识路由器实施例二的结构示意图;
图7为本发明主机设备实施例一的结构示意图;
图8为本发明主机设备实施例二的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明访问控制方法实施例一的流程图,如图1所示,本实施例的方法可以包括:
步骤101、在主机设备认证通过后,获取所述主机设备的认证用户标识。
标识路由器可以定期检测通过认证的主机设备。在主机设备通过认证后,标识路由器即可获取该通过认证的主机设备的认证用户标识。举例来说,该认证用户标识可以为登录信息等。
步骤102、将所述认证用户标识与服务控制表中各服务表项中的用户实体标识进行匹配处理。
标识路由器可以维护一服务控制表,该服务控制表包括多个服务表项。每个服务表项均可以表示与某一类用户对应的服务信息,该用户实体标识即可表示这一类用户的身份信息,用户实体标识即为服务表项中的一个信息。
需要说明的是,该服务控制表可以包括现有技术中的任意服务控制表,例如提供服务的设备标识,IP地址,服务所使用的传输协议、服务端口号等。
标识路由器在获取认证用户标识后,即可将该认证用户标识与服务控制表中各服务表项中的用户实体标识进行匹配处理,从而确定该认证用户标识对应于哪一类用户。
步骤103、若所述认证用户标识与服务控制表中第一服务表项中的用户实体标识相匹配,则向所述主机设备发送第一服务表项通告报文,所述第一服务表项通告报文包含所述第一服务表项信息,以使所述主机设备根据所述第一服务表项信息进行访问控制处理。
若标识路由器匹配的结果是认证用户标识与服务控制表中第一服务表项中的用户实体标识相匹配,则表示与该认证用户标识对应的用户可以使用第一服务表项对应的服务。举例来说,标识路由器可以遍历服务控制表,与服务控制表中的每个服务表项进行匹配处理,从而确定服务控制表中是否存在于该认证用户标识匹配的服务表项。
需要说明的是,服务控制表中可能存在多个服务表项的用户实体标识与该认证用户标识相匹配。因此,该第一服务表项信息并不仅仅限于一个服务表项,而是可以根据具体情况包括多个服务表项。而这多个服务表项的内容可以共同被当作第一服务表项信息。
标识路由器在确定服务控制表中的第一服务表项与该认证用户标识相匹配后,可以向主机设备发送第一服务表项通告报文。通过该第一服务表项通告报文,标识路由器即可将第一服务表项信息发送给主机设备,从而使主机设备可以获知与该认证用户标识对应的用户有权使用的服务信息。因此,主机设备可以根据第一服务表项信息进行访问控制处理。在具体实现时,为了使主机设备可以确定该第一服务表项信息与认证用户标识之间的对应关系,主机设备可以采用认证用户标识对该第一服务表项信息命名。若在主机设备上认证的用户发生变化,则变化后的用户将无法使用该第一服务表项信息。因此,主机设备可以根据该第一服务表项信息进行访问控制,避免非法访问。
本实施例中,标识路由器可以在确定主机设备上的认证用户标识与存储的用户实体标识相匹配后,将该认证用户标识对应的第一服务表项信息发送给主机设备,从而使得主机设备可以对用户的访问进行控制。因此,本实施例可以在访问源端即对用户访问进行控制,使得主机设备不会将未通过访问控制审查的报文发送给标识路由器,从根本上杜绝了非法用户的访问,提高了网络安全性。
在具体实现过程中,若标识路由器可以向用户提供更多的服务信息时,其上的服务控制表将会增加服务表项,而若标识路由器为用户提供的服务信息减少时,其上的服务控制表将会删减对应的服务表项。因此,标识路由器一旦检测到其上的服务控制表发生变化,可以向对应的主机设备发送服务表项通告报文,从而使得主机设备及时更新访问控制信息。
具体来说,若标识路由器检测所述服务控制表增加第二服务表项,则将所述第二服务表项中的用户实体标识与各主机设备的认证用户标识相匹配,并向匹配成功的主机设备发送第二服务表项通告报文,所述第二服务表项通告报文包含第二服务表项信息且所述第二服务表项通告报文的报文类型为增加类型;若标识路由器检测所述服务控制表删除第三服务表项,则将所述第三服务表项中的用户实体标识与各主机设备的认证用户标识相匹配,并向匹配成功的主机设备发送第三服务表项通告报文,所述第三服务表项通告报文包含第三服务表项信息且所述第三服务表项通告报文的报文类型为删除类型。
其中,第一服务表项信息、第二服务表项信息或者第三服务表项信息至少包括:提供服务的设备标识、服务所使用的传输协议以及服务端口号。
下面采用一个具体的实施例,对上述服务控制表增加服务表项或者删除服务表项的技术方案进行详细说明。
图2为本发明访问控制方法实施例二的流程图,如图2所示,本实施例的方法可以包括:
步骤201、标识路由器检测到服务控制表发生变化。
标识路由器可以定期检测其上存储的服务控制表是否发生变化。本领域技术人员可以根据需要自行设定检测周期。
步骤202、标识路由器将发生变化的服务表项中的用户实体标识与各主机设备的认证用户标识相匹配,确定匹配成功的主机设备。
当标识路由器检测到服务控制表发生变化后,即可确定发生变化的服务表项中的用户实体标识。然后,标识路由器即可将该用户实体标识与各主机设备的认证用户标识相匹配。需要说明的是,标识路由器在主机设备首次接入该标识路由器时,该标识路由器即可获知该主机设备的认证用户标识。
举例来说,标识路由器的服务控制表中,每个表项均可以包括:提供服务的设备标识、服务所使用的传输协议、服务端口号、可访问服务的用户实体标识、用户实体标识掩码长度n。其中,若用户实体标识掩码长度为n,就表示标识路由器在匹配时,只需将认证用户标识的前n位与用户实体标识的前n位进行匹配,若前n位均相同,则表示匹配成功。本领域技术人员可以根据需要设定n的值,从而调整安全级别。
需要说明的是,步骤202中确定的匹配成功的主机设备可以包括一个,也可以包括多个。
步骤203、标识路由器判断是表项增加还是表项删除,若增加,则执行步骤204,若删除,则执行步骤205。
标识路由器可以判断该表项变化时表项增加还是表项删除,并根据判断结果向匹配成功的主机设备发送服务表项通告报文,以使匹配成功的主机设备更新其控制信息。
步骤204、向匹配成功的主机设备发送报文类型为增加类型的服务表项通告报文。
若服务控制表的表项增加,则标识路由器可以向匹配成功的主机设备发送报文类型为增加类型的服务表项通告报文,该服务表项通告报文中可以包含变化的服务表项中提供服务的设备标识、服务所使用的传输协议和服务端口号。
步骤205、向匹配成功的主机设备发送报文类型为删除类型的服务表项通告报文。
若服务控制表的表项删除,则标识路由器可以向匹配成功的主机设备发送报文类型为删除类型的服务表项通告报文,该服务表项通告报文中也可以包含变化的服务表项中提供服务的设备标识、服务所使用的传输协议和服务端口号。
对于主机设备来说,不管是接收到删除类型的服务表项通告报文还是增加类型的服务表项通告报文,主机设备均可以更新其控制信息,从而根据这些更新后的控制信息进行访问控制。
本实施例中,标识路由器可以在服务控制表中发生表项变化时,及时将表项变化的相关信息发送给匹配的主机设备,从而使主机设备可以更新控制信息,以使主机设备可以对用户的访问进行控制。因此,本实施例可以在访问源端即对用户访问进行控制,使得主机设备不会将未通过访问控制审查的报文发送给标识路由器,从根本上杜绝了非法用户的访问,提高了网络安全性。
图3为本发明访问控制方法实施例三的流程图,如图3所示,本实施例的方法可以包括:
步骤301、接收标识路由器发送的第一服务表项通告报文,所述第一服务表项通告报文包含与认证用户标识对应的第一服务表项信息。
主机设备可以接收标识路由器发送的第一服务表项通告报文。本实施例中,标识路由器可以采用上述图1所述的方案向主机设备发送第一服务表项通告报文,此处不再赘述。
在本实施例中,该第一服务表项信息可以包括:提供服务的设备标识、服务所使用的传输协议以及服务端口号。
步骤302、根据所述第一服务表项信息生成与所述认证用户标识对应的访问控制表。
主机设备可以根据该第一服务表项信息生成访问控制表,该访问控制表可以采用认证用户标识命名,从而使得该访问控制表与认证用户标识之间具有对应关系。表1为本实施例中的访问控制表的一种示例。
表1
| 字段 | 值 |
| 允许/拒绝 | permit/deny |
| 协议 | 服务所使用的传输协议 |
| 源地址 | 端系统标识 |
| 源地址通配符屏蔽码 | 全0 |
| 目的地址 | 提供服务的设备标识 |
| 目的地址通配符屏蔽码 | 全0 |
| 目的端口号 | 服务端口号 |
本领域技术人员可以根据需要生成任一形式的访问控制表。
步骤303、应用所述访问控制表进行访问控制处理。
生成该访问控制表后,主机设备即可应用该访问控制表进行访问控制处理。该访问控制处理过程可以具体为:在发送报文时,主机设备可以先查询采用该认证用户标识命名的访问控制表,若访问控制表中不存在与待发送报文包含的路由信息匹配的访问表项,协议栈就会直接丢弃待发送的报文。该路由信息可以包括认证用户标识、提供服务的设备标识、服务所使用的传输协议以及服务端口号等。因此,主机设备不会将身份可疑的报文发往标识路由器,从而从源头上控制了网络攻击行为。
本实施例实现了基于认证用户标识的资源访问控制。主机设备根据标识路由器发送的第一服务表项信息可以生成与认证用户标识相关联的访问控制表。只要认证用户身份发生变化,主机设备即可删除访问控制表,从而实现了根据用户的身份信息来确定用户的访问权限。这改变了目前基于IP地址的资源访问控制,更加准确反映用户的情况,也便于用户身份移动条件下的资源访问控制。
具体地,主机设备还可以接收所述标识路由器发送的第二服务表项通告报文,所述第二服务表项通告报文包含第二服务表项信息且所述第二服务表项通告报文的报文类型为增加类型,将所述第二服务表项信息添加到所述访问控制表中;或者,主机设备还可以接收所述标识路由器发送的第三服务表项通告报文,所述第三服务表项通告报文包含第三服务表项信息且所述第三服务表项通告报文的报文类型为删除类型,从所述访问控制表中删除所述第三服务表项信息。
下面采用一个具体实施例,对上述增加服务表项或者删除服务表项的技术方案进行详细说明。
图4为本发明访问控制方法实施例四的流程图,如图4所示,本实施例的方法可以包括:
步骤401、接收标识路由器发送的服务表项通告报文。
主机设备可以接收标识路由器发送的服务表项通告报文。本实施例中,标识路由器可以采用上述图2所述的方案向主机设备发送服务表项通告报文,此处不再赘述。
步骤402、判断该服务表项通告报文的报文类型是增加还是删除,若是增加,则执行步骤403,若是删除,则执行步骤404。
主机设备可以根据该服务表项通告报文中包含的报文类型判断标识路由器上的服务控制表中有增加的服务表项或者删除了服务表项。
步骤403、将服务表项通告报文中包含的服务表项信息添加到访问控制表中。
若标识路由器的服务控制表中增加了服务表项,则主机设备可以将增加的服务表项信息添加到访问控制表中。
步骤404、从访问控制表中删除服务表项通告报文中包含的服务表项信息。
若标识路由器的服务控制表中删除了服务表项,则主机设备可以将删除的服务表项信息从访问控制表中删除。
本实施例中,主机设备可以在标识路由器的服务控制表发生表项变化时,及时更新访问控制表,以使主机设备可以根据更新后的访问控制表对用户的访问进行控制。因此,本实施例可以在访问源端即对用户访问进行控制,使得主机设备不会将未通过访问控制审查的报文发送给标识路由器,从根本上杜绝了非法用户的访问,提高了网络安全性。
图5为本发明标识路由器实施例一的结构示意图,如图5所示,本实施例的标识路由器可以包括:获取模块11、匹配模块12和发送模块13,其中获取模块11用于在主机设备认证通过后,获取所述主机设备的认证用户标识;匹配模块12用于将所述认证用户标识与服务控制表中各服务表项中的用户实体标识进行匹配处理;发送模块13用于若所述认证用户标识与服务控制表中第一服务表项中的用户实体标识相匹配,则向所述主机设备发送第一服务表项通告报文,所述第一服务表项通告报文包含所述第一服务表项信息,以使所述主机设备根据所述第一服务表项信息进行访问控制处理。
本实施例的标识路由器可以用于执行图1所示访问控制方法的技术方案,其实现原理类似,此处不再赘述。
本实施例的标识路由器可以在确定主机设备上的认证用户标识与存储的用户实体标识相匹配后,将该认证用户标识对应的第一服务表项信息发送给主机设备,从而使得主机设备可以对用户的访问进行控制。因此,本实施例可以在访问源端即对用户访问进行控制,使得主机设备不会将未通过访问控制审查的报文发送给标识路由器,从根本上杜绝了非法用户的访问,提高了网络安全性。
图6为本发明标识路由器实施例二的结构示意图,如图6所示,本实施例在图5所示标识路由器的基础上,进一步包括:检测模块14,该检测模块14用于检测所述服务控制表中是否增加或者删除服务表项。匹配模块12,用于若检测所述服务控制表增加第二服务表项,则将所述第二服务表项中的用户实体标识与各主机设备的认证用户标识相匹配;若检测所述服务控制表删除第三服务表项,则将所述第三服务表项中的用户实体标识与各主机设备的认证用户标识相匹配。发送模块13用于向匹配成功的主机设备发送第二服务表项通告报文,所述第二服务表项通告报文包含第二服务表项信息且所述第二服务表项通告报文的报文类型为增加类型;或者向匹配成功的主机设备发送第三服务表项通告报文,所述第三服务表项通告报文包含第三服务表项信息且所述第三服务表项通告报文的报文类型为删除类型。
本实施例的标识路由器可以用于执行图2所示访问控制方法的技术方案,其实现原理类似,此处不再赘述。
本实施例的标识路由器可以在服务控制表中发生表项变化时,及时将表项变化的相关信息发送给匹配的主机设备,从而使主机设备可以更新控制信息,以使主机设备可以对用户的访问进行控制。因此,本实施例可以在访问源端即对用户访问进行控制,使得主机设备不会将未通过访问控制审查的报文发送给标识路由器,从根本上杜绝了非法用户的访问,提高了网络安全性。
图7为本发明主机设备实施例一的结构示意图,如图7所示,本实施例的主机设备可以包括:接收模块21、生成模块22以及控制模块23,其中,接收模块21用于接收标识路由器发送的第一服务表项通告报文,所述第一服务表项通告报文包含与认证用户标识对应的第一服务表项信息;生成模块22用于根据所述第一服务表项信息生成与所述认证用户标识对应的访问控制表;控制模块23用于应用所述访问控制表进行访问控制处理。
本实施例的主机设备可以用于执行图3所示访问控制方法的技术方案,其实现原理类似,此处不再赘述。
本实施例的主机设备实现了基于认证用户标识的资源访问控制。主机设备根据标识路由器发送的第一服务表项信息可以生成与认证用户标识相关联的访问控制表。只要认证用户身份发生变化,主机设备即可删除访问控制表,从而实现了根据用户的身份信息来确定用户的访问权限。这改变了目前基于IP地址的资源访问控制,更加准确反映用户的情况,也便于用户身份移动条件下的资源访问控制。
图8为本发明主机设备实施例二的结构示意图,如图8所示,本实施例的主机设备在图7所示主机设备的基础上,可以进一步包括:更新模块24,该更新模块24用于接收所述标识路由器发送的第二服务表项通告报文,所述第二服务表项通告报文包含第二服务表项信息且所述第二服务表项通告报文的报文类型为增加类型,将所述第二服务表项信息添加到所述访问控制表中;或者,接收所述标识路由器发送的第三服务表项通告报文,所述第三服务表项通告报文包含第三服务表项信息且所述第三服务表项通告报文的报文类型为删除类型,从所述访问控制表中删除所述第三服务表项信息。
本实施例的主机设备可以用于执行图4所示访问控制方法的技术方案,其实现原理类似,此处不再赘述。
本实施例的主机设备可以在标识路由器的服务控制表发生表项变化时,及时更新访问控制表,以使主机设备可以根据更新后的访问控制表对用户的访问进行控制。因此,本实施例可以在访问源端即对用户访问进行控制,使得主机设备不会将未通过访问控制审查的报文发送给标识路由器,从根本上杜绝了非法用户的访问,提高了网络安全性。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (6)
1.一种访问控制方法,其特征在于,包括:
在主机设备认证通过后,获取所述主机设备的认证用户标识,所述认证用户标识为用于标识用户信息的标识;
将所述认证用户标识与服务控制表中各服务表项中的用户实体标识进行匹配处理;
若所述认证用户标识与服务控制表中第一服务表项中的用户实体标识相匹配,则向所述主机设备发送第一服务表项通告报文,所述第一服务表项通告报文包含第一服务表项信息,以使所述主机设备根据所述第一服务表项信息进行访问控制处理;
若检测所述服务控制表增加第二服务表项,则将所述第二服务表项中的用户实体标识与各主机设备的认证用户标识相匹配,并向匹配成功的主机设备发送第二服务表项通告报文,所述第二服务表项通告报文包含第二服务表项信息且所述第二服务表项通告报文的报文类型为增加类型;
若检测所述服务控制表删除第三服务表项,则将所述第三服务表项中的用户实体标识与各主机设备的认证用户标识相匹配,并向匹配成功的主机设备发送第三服务表项通告报文,所述第三服务表项通告报文包含第三服务表项信息且所述第三服务表项通告报文的报文类型为删除类型。
2.根据权利要求1所述的访问控制方法,其特征在于,所述将所述认证用户标识与服务控制表中各服务表项中的用户实体标识进行匹配处理,包括:
根据所述各服务表项中的用户实体标识掩码长度n,对所述认证用户标识和用户实体标识进行匹配处理,若所述认证用户标识的前n位与所述用户实体标识相同,则所述认证用户标识和用户实体标识相匹配。
3.根据权利要求1所述的访问控制方法,其特征在于,所述第一服务表项信息、第二服务表项信息或者第三服务表项信息至少包括:
提供服务的设备标识、服务所使用的传输协议以及服务端口号。
4.一种访问控制方法,其特征在于,包括:
接收标识路由器发送的第一服务表项通告报文,所述第一服务表项通告报文包含与认证用户标识对应的第一服务表项信息,所述认证用户标识为用于标识用户信息的标识;
根据所述第一服务表项信息生成与所述认证用户标识对应的访问控制表;
应用所述访问控制表进行访问控制处理;
接收所述标识路由器发送的第二服务表项通告报文,所述第二服务表项通告报文包含第二服务表项信息且所述第二服务表项通告报文的报文类型为增加类型,将所述第二服务表项信息添加到所述访问控制表中;或者,
接收所述标识路由器发送的第三服务表项通告报文,所述第三服务表项通告报文包含第三服务表项信息且所述第三服务表项通告报文的报文类型为删除类型,从所述访问控制表中删除所述第三服务表项信息。
5.一种标识路由器,其特征在于,包括:
获取模块,用于在主机设备认证通过后,获取所述主机设备的认证用户标识,所述认证用户标识为用于标识用户信息的标识;
匹配模块,用于将所述认证用户标识与服务控制表中各服务表项中的用户实体标识进行匹配处理;
发送模块,用于若所述认证用户标识与服务控制表中第一服务表项中的用户实体标识相匹配,则向所述主机设备发送第一服务表项通告报文,所述第一服务表项通告报文包含第一服务表项信息,以使所述主机设备根据所述第一服务表项信息进行访问控制处理;
检测模块,用于检测所述服务控制表中是否增加或者删除服务表项;
所述匹配模块,用于若检测所述服务控制表增加第二服务表项,则将所述第二服务表项中的用户实体标识与各主机设备的认证用户标识相匹配;若检测所述服务控制表删除第三服务表项,则将所述第三服务表项中的用户实体标识与各主机设备的认证用户标识相匹配;
所述发送模块,用于向匹配成功的主机设备发送第二服务表项通告报文,所述第二服务表项通告报文包含第二服务表项信息且所述第二服务表项通告报文的报文类型为增加类型;或者向匹配成功的主机设备发送第三服务表项通告报文,所述第三服务表项通告报文包含第三服务表项信息且所述第三服务表项通告报文的报文类型为删除类型。
6.一种主机设备,其特征在于,包括:
接收模块,用于接收标识路由器发送的第一服务表项通告报文,所述第一服务表项通告报文包含与认证用户标识对应的第一服务表项信息,所述认证用户标识为用于标识用户信息的标识;
生成模块,用于根据所述第一服务表项信息生成与所述认证用户标识对应的访问控制表;
控制模块,用于应用所述访问控制表进行访问控制处理;
更新模块,用于接收所述标识路由器发送的第二服务表项通告报文,所述第二服务表项通告报文包含第二服务表项信息且所述第二服务表项通告报文的报文类型为增加类型,将所述第二服务表项信息添加到所述访问控制表中;或者,接收所述标识路由器发送的第三服务表项通告报文,所述第三服务表项通告报文包含第三服务表项信息且所述第三服务表项通告报文的报文类型为删除类型,从所述访问控制表中删除所述第三服务表项信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110167981.5A CN102231733B (zh) | 2011-06-21 | 2011-06-21 | 访问控制方法、主机设备和标识路由器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110167981.5A CN102231733B (zh) | 2011-06-21 | 2011-06-21 | 访问控制方法、主机设备和标识路由器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102231733A CN102231733A (zh) | 2011-11-02 |
| CN102231733B true CN102231733B (zh) | 2014-06-11 |
Family
ID=44844266
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110167981.5A Active CN102231733B (zh) | 2011-06-21 | 2011-06-21 | 访问控制方法、主机设备和标识路由器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102231733B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106257876B (zh) * | 2015-06-16 | 2020-09-15 | 中兴通讯股份有限公司 | 标签处理方法、路由信息下发方法及装置 |
| CN109347784B (zh) * | 2018-08-10 | 2021-10-22 | 锐捷网络股份有限公司 | 终端准入控制方法、控制器、管控设备及系统 |
| CN109067755B (zh) * | 2018-08-17 | 2021-06-04 | 深圳市永达电子信息股份有限公司 | 一种安全交换机的访问控制方法和系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101056178A (zh) * | 2007-05-28 | 2007-10-17 | 中兴通讯股份有限公司 | 一种控制用户网络访问权限的方法和系统 |
| CN101707695A (zh) * | 2009-11-13 | 2010-05-12 | 中兴通讯股份有限公司 | 一种网际协议电视业务中控制访问权限的方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7668830B2 (en) * | 2004-11-29 | 2010-02-23 | Nokia Corporation | Access rights |
-
2011
- 2011-06-21 CN CN201110167981.5A patent/CN102231733B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101056178A (zh) * | 2007-05-28 | 2007-10-17 | 中兴通讯股份有限公司 | 一种控制用户网络访问权限的方法和系统 |
| CN101707695A (zh) * | 2009-11-13 | 2010-05-12 | 中兴通讯股份有限公司 | 一种网际协议电视业务中控制访问权限的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102231733A (zh) | 2011-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7945245B2 (en) | Authentication system and authentication method for performing authentication of wireless terminal | |
| KR102321781B1 (ko) | 전자 토큰 프로세싱 | |
| US9774595B2 (en) | Method of authentication by token | |
| CN101534309B (zh) | 节点注册方法、路由更新方法、通讯系统以及相关设备 | |
| CN101345743B (zh) | 防止利用地址解析协议进行网络攻击的方法及其系统 | |
| US20140020067A1 (en) | Apparatus and method for controlling traffic based on captcha | |
| US8990573B2 (en) | System and method for using variable security tag location in network communications | |
| CN107800678B (zh) | 检测终端异常注册的方法及装置 | |
| US9137245B2 (en) | Login method, apparatus, and system | |
| WO2012117253A1 (en) | An authentication system | |
| Hijazi et al. | Address resolution protocol spoofing attacks and security approaches: A survey | |
| CN101540755A (zh) | 一种修复数据的方法、系统和装置 | |
| JP2012034129A (ja) | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム | |
| KR20160055130A (ko) | 데이터 네트워크에 접근하기 위한 사용자의 인증에 관한 방법 및 시스템 | |
| TWI474668B (zh) | 網點之判斷與阻擋之方法 | |
| CN109769249B (zh) | 一种认证方法、系统及其装置 | |
| JP2014527767A (ja) | ネットワークの識別子位置判断システム及びその方法 | |
| CN107046516B (zh) | 一种识别移动终端身份的风控控制方法及装置 | |
| CN102231733B (zh) | 访问控制方法、主机设备和标识路由器 | |
| CA3152253A1 (en) | Network cyber-security platform | |
| KR101212509B1 (ko) | 서비스 제어시스템 및 그 방법 | |
| US10516665B2 (en) | Network management apparatus, network management method, and recording medium | |
| CN112995179B (zh) | 一种应答报文处理方法及设备 | |
| CN107547562A (zh) | 一种portal认证方法和装置 | |
| KR101160903B1 (ko) | 네트워크 식별자 분류 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |