CN102752266A - 访问控制方法及其设备 - Google Patents
访问控制方法及其设备 Download PDFInfo
- Publication number
- CN102752266A CN102752266A CN2011100990582A CN201110099058A CN102752266A CN 102752266 A CN102752266 A CN 102752266A CN 2011100990582 A CN2011100990582 A CN 2011100990582A CN 201110099058 A CN201110099058 A CN 201110099058A CN 102752266 A CN102752266 A CN 102752266A
- Authority
- CN
- China
- Prior art keywords
- access control
- address
- message
- host identities
- control apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种访问控制方法及其设备,应用于访问控制设备,所述访问控制设备中配置有与主机身份标识对应的访问控制信息,该方法包括:所述访问控制设备建立主机身份标识和IP地址的对应关系;当所述访问控制设备接收到IP报文后,解析出所述IP报文的IP地址,根据所述对应关系确定所述IP地址对应的主机身份标识,根据所述主机身份标识确定对应配置的访问控制信息,并根据确定出的访问控制信息对所述IP报文进行相应控制处理。采用本发明对于支持身份、位置标签分离协议的主机,可提高访问安全性。
Description
技术领域
本发明涉及通信领域的互联网技术,尤其涉及访问控制方法及其设备。
背景技术
在传统互联网的TCP/IP协议体系中,IP地址既代表节点的位置标识,又代表节点的主机标识,即,网络层使用IP地址作为节点在网络中的位置标识,用于路由;传输层使用IP地址作为节点的主机标识,用于建立传输层的连接。
目前,在访问控制技术中,基于主机的IP地址设置访问控制策略,网络访问控制设备接收到用户(主机)的网络接入请求或数据访问请求后,根据该用户的IP地址采用对应的访问控制策略对该用户的请求IP报文进行访问控制处理,如,以用户的IP地址作为关键字,滤除来自特定IP地址的报文。
但是对于身份、位置分离的节点和网络,这种传统的访问控制方式带来了很多问题。例如在主机有多个IP地址的情况下,这种基于IP地址的访问控制策略不能有效地防止攻击。主机可以更新自己的IP地址,欺骗网络进行接入。例如,如果主机的初始IP地址(128.1.1.1)被访问控制设备过滤了,但可以通过更新该主机的IP地址,通过新的IP地址与通信对端进行会话,这样就旁路了现有的访问控制机制,带来了很大的安全隐患。
同样,现有的访问控制机制对于多宿主机也会带来安全问题。在移动互联网时代,主机往往有多个连接,各连接使用不同的IP地址,这样使得基于IP地址的网络接入认证不能有效的防范网络攻击,造成潜在的安全威胁。
由此可见,支持身份、位置标签分离协议的主机,能够轻易绕过现有访问控制系统的限制,存在一定的安全隐患。
发明内容
本发明实施例提供了一种访问控制方法及其设备,用以解决对于支持身份、位置标签分离协议的主机,现有访问控制机制安全性低的问题。
本发明实施例提供的访问控制方法,应用于访问控制设备,所述访问控制设备中配置有与主机身份标识对应的访问控制信息,该方法包括:
所述访问控制设备建立主机身份标识和IP地址的对应关系;
当所述访问控制设备接收到IP报文后,解析出所述IP报文的IP地址,根据所述对应关系确定所述IP地址对应的主机身份标识,根据所述主机身份标识确定对应配置的访问控制信息,并根据确定出的访问控制信息对所述IP报文进行相应控制处理。
本发明实施例提供的访问控制设备,包括:
策略存储模块,用于存储与主机身份标识对应的访问控制信息;
关系维护模块,用于建立主机身份标识和IP地址的对应关系;
解析模块,用于接收到IP报文,解析出所述IP报文的IP地址;
策略确定模块,用于根据所述对应关系确定所述IP地址对应的主机身份标识,根据所述主机身份标识确定对应配置的访问控制信息;
策略执行模块,用于根据确定出的访问控制信息对所述IP报文进行相应控制处理。
本发明实施例提供的访问控制方法,应用于访问控制设备,所述访问控制设备中配置有与主机身份标识和端口号对应的访问控制信息,该方法包括:
所述访问控制设备建立主机身份标识、IP地址和端口号的对应关系;
当所述访问控制设备接收到IP报文后,解析出所述IP报文的IP地址和端口号,根据所述对应关系确定所述IP地址对应的主机身份标识,根据所述主机身份标识和解析出的端口号确定对应配置的访问控制信息,并根据确定出的访问控制信息对所述IP报文进行相应控制处理。
本发明实施例提供的访问控制设备,包括:
策略存储模块,用于存储与主机身份标识和端口号对应的访问控制信息;
关系维护模块,用于建立主机身份标识、IP地址和端口号的对应关系;
解析模块,用于接收到IP报文,解析出所述IP报文的IP地址和端口号;
策略确定模块,用于根据所述对应关系确定所述IP地址对应的主机身份标识,根据所述主机身份标识和解析出的端口号确定对应配置的访问控制信息;
策略执行模块,用于根据确定出的访问控制信息对所述IP报文进行相应控制处理。
本发明的上述实施例,对于来自同一主机但不同链路的数据包,虽然这些数据包具有不同的IP地址,但由于访问控制设备已经通过建立了主机身份标识和IP地址的对应关系,又由于访问控制策略是基于主机身份标识建立的,因此只要访问控制设备根据数据包的IP地址、建立的主机身份标识与IP地址的对应关系查询到对应的主机身份标识,就可以采用对应的访问控制策略,从而对于支持身份、位置标签分离协议的主机,可以提高数据访问的安全性。
附图说明
图1为本发明实施例中的主机标识与IP地址的映射关系图之一;
图2为本发明实施例中的主机标识与IP地址的映射关系图之二;
图3为本发明实施例一提供的访问控制流程的示意图;
图4为本发明实施例中的主机标识、IP地址和端口号的映射关系图之一;
图5为本发明实施例中的主机标识、IP地址和端口号的映射关系图之二;
图6为本发明实施例二提供的访问控制流程的示意图;
图7为本发明实施例提供的访问控制设备的结构示意图之一;
图8为本发明实施例提供的访问控制设备的结构示意图之二。
具体实施方式
为解决现有访问控制机制对于支持身份、位置标签分离协议的主机,不能有效进行访问控制,因而存在一定安全隐患的问题,本发明实施例提出了基于主机身份标识进行访问控制的技术方案。该技术方案对现有的访问控制策略的设置方式进行了改进,即,基于主机身份标识设置访问控制策略,建立主机身份标识与IP地址的对应关系,当访问控制设备接收到主机的访问请求后,可根据该主机的IP地址、通过查询该对应关系确定该主机的身份标识,从而根据该主机身份标识采用对应的访问控制策略。
由于本发明实施例涉及身份、位置标签分离协议,下面首先对该协议进行简单介绍。
根据背景技术部分的描述,传统互联网的TCP/IP协议体系中,IP地址既代表节点的位置标识,又代表节点的主机标识,这样不利于支持移动节点的会话连续性。为解决该问题,IETF(Internet Engineering Task Force,互联网工程任务组)和IRTF(Internet Research Task Force,互联网研究任务组)联合提出了主机标识协议(Host Identity Protocol,HIP),将IP地址的主机标识和位置标识进行分离。该协议通过在网络层和传输层之间增加新的主机标识层,引入经过加密的主机标识标签(Host Identity Tag,HIT)作为节点的主机标识;传统IP地址只作为节点在网络中的位置标识,用于路由。由此分离传统IP地址的位置标识与主机标识的双重功能,高层应用通过主机标识识别主机,网络层通过IP地址定位主机,当IP地址改变时,只要主机标识不变,高层应用就不会改变,从而保持了会话的持续性,较好地支持移动性。
HIP中所使用的主机标识(Host Identifier,HI)实质上是一对公私钥对中的公钥,通常存放在DNS(Domain Name System,域名系统)或LDAP(Lightweight Directory Access Protocol,轻量目录访问协议)目录中。由于HI的长度因不同的公钥系统算法而不同,所以在实际协议中通常使用固定长度的主机标识标签(Host Identity Tag,HIT)或区域范围标识符(Local ScopeIdentifier,LSI)。HIT是对HI的128位哈希结果值,与IPv6具有相同的地址长度。LSI是长度为32位的本地化的主机标志,是为了保证与现有的基于IPv4的协议和API兼容而设计的。
除了HIP之外,目前还有其它的一些身份标识和位置标识分离的技术方案,如SHIM6和LISP,这些工作的都致力于区分IP地址的双重属性,只让IP地址作为节点的位置标识,而引入了新的一层标识层,作为节点的身份标识。
根据背景技术部分的描述,HIP主机可以通过更新会话的IP地址来绕过访问控制系统的安全控制,对网络系统造成安全隐患和威胁。下面以HIP网络环境下的访问控制过程为例,对本发明实施例进行详细描述。
实施例一
本发明实施例中,需要在访问控制设备上配置基于主机身份标识的访问控制策略,还需要访问控制设备建立并维护主机身份标识与IP地址的对应关系。
在访问控制设备上基于主机身份标识配置的访问控制策略可如表1所示:
表1
| HIT | 访问控制策略 |
| HIT-1 | 拒绝 |
| HIT-2 | 拒绝 |
表1所示的访问控制策略表表明,HIT为HIT-1和HIT-2的主机所发送的IP报文将被访问控制设备过滤掉,即拒绝相应主机接入网络或进行访问。
访问控制设备可通过报文监控来建立主机身份标识与IP地址的关系。具体的,可在访问控制设备上配置报文监听策略,以使访问控制设备监听HIP通信过程中交互的报文,如,监听HIP协议中的位置更新UPDATE报文,当访问控制设备截获到相应报文后,读取报文内的主机标识信息(HIT),根据其承载的IP地址建立HIT与IP地址的对应关系。该对应关系可以采用对应关系表或对应关系图的方式体现,图1示出了一种关系图。其中,对应于相同的HIT,有可能存在多个对应的IP地址,这是因为根据身份、位置标签分离协议,多宿主主机可以存在多个连接,各个连接使用不同的IP地址,但都使用相同的HIT。
进一步的,在访问控制设备监控网络流量的过程中,还可以更新维护主机标识与IP地址的映射关系。具体的,如果访问控制设备发现HIP控制消息中包含IP地址更新的信息时,则更新如图1所示的关系图。例如,当访问控制设备截获到HIP更新消息(HIP UPDATE)时,检查该更新消息中的具体参数,如果发现某一个HIT对应的IP地址从IPAddr-1更新为IPAddr-2,则更新图1所示的关系图,更新后的关系图可如图2所示。其中,虚线箭头表示对应于同一HIP的IP地址从IP1更新为IP2。
上述表1与图1也可以结合为一个表结构,用于记录基于HIT的访问控制策略以及与HIT对应的IP地址等信息,具体可如表2所示:
表2
访问控制设备根据基于主机身份标识的访问控制策略以及主机身份标识与IP地址的对应关系进行访问控制的流程可如图3所示,包括:
步骤301,访问控制设备接收IP报文,解析出该消息的IP地址。
具体的,访问控制设备接收到主机发送的网络接入请求消息或数据访问请求消息等IP报文后,从该IP报文的IP报头中解析出该主机的IP地址。
步骤302,该访问控制设备根据解析出的IP地址,通过查询其所建立和维护的主机身份标识和IP地址的对应关系,确定与该IP地址对应的主机身份标识。
步骤303,该访问控制设备根据确定出的主机身份标识,通过查询预先配置的主机身份标识与访问控制信息(即访问控制策略)的对应关系,确定该主机身份标识对应的访问控制信息。
步骤304,该访问控制设备根据查询到的访问控制信息,对接收到的该IP报文进行相应控制。
具体的,如果访问控制信息表示为“拒绝”,则访问控制设备过滤掉该IP报文;如果访问控制信息表示“允许”,则访问控制设备转发该IP报文;如果访问控制信息表示需要根据优先级进行处理,则访问控制设备根据该资源访问请求消息的优先级转发该IP报文。具体转发控制的类型和方式可采用现有的数据包转发控制处理机制。
通过以上流程可以看出,对于来自同一主机(具有相同HIT)但不同链路(具有不同IP地址)的数据包,虽然这些数据包具有不同的IP地址,但由于访问控制设备已经通过监听等方式建立了HIT和IP地址的对应关系,又由于访问控制策略是基于HIT建立的,因此只要访问控制设备根据数据包的IP地址、建立的HIT与IP地址的对应关系查询到对应的HIT,就可以采用对应的访问控制策略。即,对于来自同一主机但使用不同IP地址的数据包,都可以采用统一的访问控制策略进行控制,且只要检查数据包中IP报头的内容,而不用检查该IP报头之后的内容(HIT位于IP报头之后)。
由此可见,对于多宿主机使用不同IP地址的情况,或者针对主机更换IP地址的情况,访问控制设备都可以针对该同一主机采用相同的访问控制策略进行处理,从而达到访问控制的目的,同时实现了增量部署,并且不干扰目前基于IP地址的访问控制策略。
实施例二
本实施例在实施例一的基础上进行了优化,即引入端口号从而提高了访问控制粒度。具体的改进包括:
一方面,在访问控制设备上基于主机身份标识和端口号配置访问控制策略,配置的访问控制策略可如表3所示:
表3
| HIT | 端口号 | 访问控制策略 |
| HIT-1 | port-1 | 拒绝 |
| port-2 | 允许通过 | |
| HIT-2 | port-1 | 拒绝 |
表1所示的访问控制策略表表明,HIT为HIT-1主机从port-1端口发送的IP报文被过滤掉,但允许port-2端口发来的IP报文通过该访问控制设备而继续转发,HIT为HIT-2的主机从port-1端口发来的IP报文将被访问控制设备过滤掉。
另一方面,访问控制设备所建立的主机身份标识与IP地址的关系中引入了端口号。具体的,当访问控制设备截获到相应报文后,读取报文内的主机标识信息(HIT),根据其承载的IP地址和端口号建立HIT、IP地址和端口号的对应关系。图4示出了一种关系图。
进一步的,在访问控制设备监控网络流量的过程中,还可以更新维护主机标识、IP地址和端口号的映射关系。具体的,当访问控制设备截获到HIP更新消息(HIP UPDATE)时,检查该更新消息中的具体参数,如果发现某一个HIT对应的IP地址和端口号从<IPAddr-1,port-1>更新为<IPAddr-2,port-2>,则更新图4所示的关系图,更新后的关系图可如图5所示。
上述表3与图4也可以结合为一个表结构,用于记录基于HIT的访问控制策略以及与HIT对应的IP地址等信息,具体可如表4所示:
表4
| HIT | IP地址 | 端口号 | 访问控制策略 |
| HIT-1 | IPAddr-1 | port-1 | 拒绝 |
| IPAddr-2 | port-2 | 允许通过 | |
| HIT-2 | IPAddr-1 | port-1 | 拒绝 |
相应的,访问控制设备根据基于主机身份标识和端口号的访问控制策略以及主机身份标识与IP地址、端口号的对应关系进行访问控制的流程可如图6所示,包括:
步骤601,访问控制设备接收IP报文,解析出该消息的IP地址和端口号。
具体的,访问控制设备接收到主机发送的网络接入请求消息或数据访问请求消息等IP报文后,从该IP报文的IP报头中解析出该主机的IP地址和端口号。
步骤602,该访问控制设备根据解析出的IP地址,通过查询其所建立和维护的主机身份标识、IP地址和端口号的对应关系,确定与该IP地址对应的主机身份标识。
步骤603,该访问控制设备根据确定出的主机身份标识和解析出的端口号,通过查询预先配置的主机身份标识、端口号与访问控制信息(即访问控制策略)的对应关系,确定该主机身份标识对应的访问控制信息。
步骤604,该访问控制设备根据查询到的访问控制信息,对接收到的该IP报文进行相应控制。
通过以上流程可以看出,通过引入端口号,提高了访问控制粒度。由于不同应用可能使用不同的端口,在设置访问控制策略时针对端口来设置对应的访问控制策略,在进行访问控制时,通过IP报文中携带的端口号来对IP报文进行访问控制,因而提高了访问控制粒度。
在实际网络环境中,访问控制设备除了可以采用本发明实施例提供的面向主机身份标识的访问控制机制,还可以采用已有的其他访问控制机制,如,这些访问控制机制可包括:
(1)面向连接的访问控制,即,基于IP地址来执行访问控制。具体的,可基于访问控制设备建立起来的主机身份标识和IP地址的对应关系中的特定的IP地址设置对应的访问控制策略,进行访问控制;
(2)面向数据流的访问控制,即,针对<IP地址,端口号>的对应关系来建立访问控制策略,这种方法能把访问控制策略精确到不用的应用数据流。
其中,面向主机身份标识的访问控制,是这三种访问控制粒度中最强的一种。
基于相同的技术构思,本发明实施例还提供了可应用于上述流程的访问控制设备。
参见图7,为适用于上述实施例一的访问控制设备的结构示意图,如图所示,该设备可包括:
策略存储模块701,用于存储与主机身份标识对应的访问控制信息;
关系维护模块702,用于建立主机身份标识和IP地址的对应关系;
解析模块703,用于接收到IP报文,解析出所述IP报文的IP地址;
策略确定模块704,用于根据所述对应关系确定所述IP地址对应的主机身份标识,根据所述主机身份标识确定对应配置的访问控制信息;
策略执行模块705,用于根据确定出的访问控制信息对所述IP报文进行相应控制处理。
上述设备中,关系维护模块702具体用于,在所述访问控制设备截获到IP报文后,读取所述IP报文内的主机身份标识,根据所述IP报文的IP地址,建立主机身份标识与IP地址的对应关系。
上述设备中,关系维护模块702还可在建立主机身份标识和IP地址的对应关系之后,若根据截获到的IP报文,发现对应于同一主机身份标识的IP地址发生变化,则对应所述主机身份标识记录变化后的IP地址。
参见图8,为适用于上述实施例二的访问控制设备的结构示意图。如图所示,该设备可包括:
策略存储模块801,用于存储与主机身份标识和端口号对应的访问控制信息;
关系维护模块802,用于建立主机身份标识、IP地址和端口号的对应关系;
解析模块803,用于接收到IP报文,解析出所述IP报文的IP地址和端口号;
策略确定模块804,用于根据所述对应关系确定所述IP地址对应的主机身份标识,根据所述主机身份标识和解析出的端口号确定对应配置的访问控制信息;
策略执行模块805,用于根据确定出的访问控制信息对所述IP报文进行相应控制处理。
上述设备中,关系维护模块802具体用于,在所述访问控制设备截获到IP报文后,读取所述IP报文内的主机身份标识,根据所述IP报文的IP地址和端口号,建立主机身份标识、IP地址和端口号的对应关系。
上述设备中,关系维护模块802还可在建立主机身份标识、IP地址和端口号的对应关系之后,若根据截获到的IP报文,发现对应于同一主机身份标识的IP地址或端口号发生变化,则对应所述主机身份标识记录截获到的所述IP报文的IP地址和端口号。
需要说明的是,本发明上述各实施例中的访问控制设备,可包括防火墙设备、IDS(入侵测试系统)设备等,可以是硬件设备,也可以是软件实现的功能模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
Claims (12)
1.一种访问控制方法,应用于访问控制设备,其特征在于,所述访问控制设备中配置有与主机身份标识对应的访问控制信息,该方法包括:
所述访问控制设备建立主机身份标识和IP地址的对应关系;
当所述访问控制设备接收到IP报文后,解析出所述IP报文的IP地址,根据所述对应关系确定所述IP地址对应的主机身份标识,根据所述主机身份标识确定对应配置的访问控制信息,并根据确定出的访问控制信息对所述IP报文进行相应控制处理。
2.如权利要求1所述的方法,其特征在于,所述访问控制设备建立主机身份标识和IP地址的对应关系,具体为:
所述访问控制设备截获到IP报文后,读取所述IP报文内的主机身份标识,根据所述IP报文的IP地址,建立主机身份标识与IP地址的对应关系。
3.如权利要求2所述的方法,其特征在于,所述访问控制设备建立主机身份标识和IP地址的对应关系之后,还包括:
若所述访问控制设备根据截获到的IP报文,发现对应于同一主机身份标识的IP地址发生变化,则对应所述主机身份标识记录变化后的IP地址。
4.一种访问控制设备,其特征在于,包括:
策略存储模块,用于存储与主机身份标识对应的访问控制信息;
关系维护模块,用于建立主机身份标识和IP地址的对应关系;
解析模块,用于接收到IP报文,解析出所述IP报文的IP地址;
策略确定模块,用于根据所述对应关系确定所述IP地址对应的主机身份标识,根据所述主机身份标识确定对应配置的访问控制信息;
策略执行模块,用于根据确定出的访问控制信息对所述IP报文进行相应控制处理。
5.如权利要求4所述的设备,其特征在于,所述关系维护模块具体用于,在所述访问控制设备截获到IP报文后,读取所述IP报文内的主机身份标识,根据所述IP报文的IP地址,建立主机身份标识与IP地址的对应关系。
6.如权利要求5所述的设备,其特征在于,所述关系维护模块还用于,在建立主机身份标识和IP地址的对应关系之后,若根据截获到的IP报文,发现对应于同一主机身份标识的IP地址发生变化,则对应所述主机身份标识记录变化后的IP地址。
7.一种访问控制方法,应用于访问控制设备,其特征在于,所述访问控制设备中配置有与主机身份标识和端口号对应的访问控制信息,该方法包括:
所述访问控制设备建立主机身份标识、IP地址和端口号的对应关系;
当所述访问控制设备接收到IP报文后,解析出所述IP报文的IP地址和端口号,根据所述对应关系确定所述IP地址对应的主机身份标识,根据所述主机身份标识和解析出的端口号确定对应配置的访问控制信息,并根据确定出的访问控制信息对所述IP报文进行相应控制处理。
8.如权利要求7所述的方法,其特征在于,所述访问控制设备建立主机身份标识、IP地址和端口号的对应关系,具体为:
所述访问控制设备截获到IP报文后,读取所述IP报文内的主机身份标识,根据所述IP报文的IP地址和端口号,建立主机身份标识、IP地址和端口号的对应关系。
9.如权利要求8所述的方法,其特征在于,所述访问控制设备建立主机身份标识、IP地址和端口号的对应关系之后,还包括:
若所述访问控制设备根据截获到的IP报文,发现对应于同一主机身份标识的IP地址或端口号发生变化,则对应所述主机身份标识记录截获到的所述IP报文的IP地址和端口号。
10.一种访问控制设备,其特征在于,包括:
策略存储模块,用于存储与主机身份标识和端口号对应的访问控制信息;
关系维护模块,用于建立主机身份标识、IP地址和端口号的对应关系;
解析模块,用于接收到IP报文,解析出所述IP报文的IP地址和端口号;
策略确定模块,用于根据所述对应关系确定所述IP地址对应的主机身份标识,根据所述主机身份标识和解析出的端口号确定对应配置的访问控制信息;
策略执行模块,用于根据确定出的访问控制信息对所述IP报文进行相应控制处理。
11.如权利要求10所述的设备,其特征在于,所述关系维护模块具体用于,在所述访问控制设备截获到IP报文后,读取所述IP报文内的主机身份标识,根据所述IP报文的IP地址和端口号,建立主机身份标识、IP地址和端口号的对应关系。
12.如权利要求11所述的设备,其特征在于,所述关系维护模块还用于,在建立主机身份标识、IP地址和端口号的对应关系之后,若根据截获到的IP报文,发现对应于同一主机身份标识的IP地址或端口号发生变化,则对应所述主机身份标识记录截获到的所述IP报文的IP地址和端口号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110099058.2A CN102752266B (zh) | 2011-04-20 | 2011-04-20 | 访问控制方法及其设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110099058.2A CN102752266B (zh) | 2011-04-20 | 2011-04-20 | 访问控制方法及其设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102752266A true CN102752266A (zh) | 2012-10-24 |
| CN102752266B CN102752266B (zh) | 2015-11-25 |
Family
ID=47032167
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110099058.2A Active CN102752266B (zh) | 2011-04-20 | 2011-04-20 | 访问控制方法及其设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102752266B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603513A (zh) * | 2016-11-30 | 2017-04-26 | 中国人民解放军理工大学 | 基于主机标识的资源访问控制方法以及系统 |
| CN111541792A (zh) * | 2015-07-14 | 2020-08-14 | 华为技术有限公司 | 一种ip地址分配的方法和装置 |
| CN111950000A (zh) * | 2020-07-30 | 2020-11-17 | 新华三技术有限公司 | 一种接入访问控制方法及设备 |
| CN113206852A (zh) * | 2021-05-06 | 2021-08-03 | 深信服科技股份有限公司 | 一种安全防护方法、装置、设备及存储介质 |
| CN115022277A (zh) * | 2022-06-22 | 2022-09-06 | 支付宝(杭州)信息技术有限公司 | 一种双栈网络下的业务处理方法、装置以及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006020516A2 (en) * | 2004-08-09 | 2006-02-23 | Cisco Technology, Inc. | Arrangement for tracking ip address usage based on authenticated link identifier |
| CN1929483A (zh) * | 2006-09-19 | 2007-03-14 | 清华大学 | IPv6接入网真实源地址访问的准入控制方法 |
| CN101895522A (zh) * | 2009-05-22 | 2010-11-24 | 华为技术有限公司 | 主机标识标签获取方法及系统 |
| WO2011041963A1 (zh) * | 2009-10-10 | 2011-04-14 | 中兴通讯股份有限公司 | 控制用户访问网络的方法、装置和系统 |
-
2011
- 2011-04-20 CN CN201110099058.2A patent/CN102752266B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006020516A2 (en) * | 2004-08-09 | 2006-02-23 | Cisco Technology, Inc. | Arrangement for tracking ip address usage based on authenticated link identifier |
| CN1929483A (zh) * | 2006-09-19 | 2007-03-14 | 清华大学 | IPv6接入网真实源地址访问的准入控制方法 |
| CN101895522A (zh) * | 2009-05-22 | 2010-11-24 | 华为技术有限公司 | 主机标识标签获取方法及系统 |
| WO2011041963A1 (zh) * | 2009-10-10 | 2011-04-14 | 中兴通讯股份有限公司 | 控制用户访问网络的方法、装置和系统 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111541792A (zh) * | 2015-07-14 | 2020-08-14 | 华为技术有限公司 | 一种ip地址分配的方法和装置 |
| CN111541792B (zh) * | 2015-07-14 | 2021-10-26 | 华为技术有限公司 | 一种ip地址分配的方法和装置 |
| CN106603513A (zh) * | 2016-11-30 | 2017-04-26 | 中国人民解放军理工大学 | 基于主机标识的资源访问控制方法以及系统 |
| CN111950000A (zh) * | 2020-07-30 | 2020-11-17 | 新华三技术有限公司 | 一种接入访问控制方法及设备 |
| CN111950000B (zh) * | 2020-07-30 | 2022-10-21 | 新华三技术有限公司 | 一种接入访问控制方法及设备 |
| CN113206852A (zh) * | 2021-05-06 | 2021-08-03 | 深信服科技股份有限公司 | 一种安全防护方法、装置、设备及存储介质 |
| CN115022277A (zh) * | 2022-06-22 | 2022-09-06 | 支付宝(杭州)信息技术有限公司 | 一种双栈网络下的业务处理方法、装置以及设备 |
| CN115022277B (zh) * | 2022-06-22 | 2024-05-14 | 支付宝(杭州)信息技术有限公司 | 一种双栈网络下的业务处理方法、装置以及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102752266B (zh) | 2015-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1250791B1 (en) | System and method for using an ip address as a wireless unit identifier | |
| US7735129B2 (en) | Firewall device | |
| JP5470113B2 (ja) | 動的ホスト構成およびネットワークアクセス認証 | |
| JP4664257B2 (ja) | 攻撃検出システム及び攻撃検出方法 | |
| CN1939000B (zh) | 建立遗留与主机标识协议节点之间的主机标识协议连接的标识方法及设备 | |
| EP3720100A1 (en) | Service request processing method and device | |
| US7647623B2 (en) | Application layer ingress filtering | |
| Wu et al. | A source address validation architecture (sava) testbed and deployment experience | |
| WO2005036831A1 (ja) | フレーム中継装置 | |
| ATE381172T1 (de) | Verfahren zum hinzufügen von teilnehmerseitigen geräten zu einem verwaltungssystem | |
| CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
| CN102752266A (zh) | 访问控制方法及其设备 | |
| KR20130005973A (ko) | 네트워크 보안시스템 및 네트워크 보안방법 | |
| CN102546407A (zh) | 报文发送方法及装置 | |
| Kantola | 6G network needs to support embedded trust | |
| WO2014206152A1 (zh) | 一种网络安全监控方法和系统 | |
| CN102546429A (zh) | 基于dhcp监听的isatap隧道的认证方法和系统 | |
| US8990941B2 (en) | Apparatus for detecting and controlling infected mobile terminal | |
| CN106789999B (zh) | 追踪视频源的方法及装置 | |
| Li et al. | SDN-Ti: a general solution based on SDN to attacker traceback and identification in IPv6 networks | |
| RU2272363C2 (ru) | Устройство, способ и система для усовершенствованной маршрутизации в сети мобильного ip | |
| JP4750750B2 (ja) | パケット転送システムおよびパケット転送方法 | |
| US20120072513A1 (en) | Method and system for obtaining host identity tag | |
| JP2014505387A (ja) | Id/ロケータ分離ネットワークのモニタリング方法及びシステム | |
| CN105516377A (zh) | 一种IPv6地址管理方法、装置和终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |