CN105812338A - 一种数据访问管控方法及网络管理设备 - Google Patents
一种数据访问管控方法及网络管理设备 Download PDFInfo
- Publication number
- CN105812338A CN105812338A CN201410854234.2A CN201410854234A CN105812338A CN 105812338 A CN105812338 A CN 105812338A CN 201410854234 A CN201410854234 A CN 201410854234A CN 105812338 A CN105812338 A CN 105812338A
- Authority
- CN
- China
- Prior art keywords
- network equipment
- access request
- data
- data access
- terminal unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种数据访问管控方法及网络管理设备,其中方法包括:接收到来自终端设备通过第一应用发起的针对所述第一网络设备的数据访问请求;其中,所述数据访问请求中携带有账户信息;判断所述数据访问请求是否符合第一预设条件,其中,所述第一预设条件表征发起所述账户信息为合法账户、且所述账户信息中的账户具备针对第一网络设备的访问权限;当确定所述数据访问请求符合第一预设条件时,允许终端设备通过所述第一应用访问所述第一网络设备;其中,所述第一网络设备为所述网络管理设备管理的N个网络设备中的一个。
Description
技术领域
本发明涉及通信领域中的网络架构安全管理技术,尤其涉及一种数据访问管控方法及网络管理设备。
背景技术
在大数据时代,无处不在的智能终端、互动频繁的社交网络和超大容量的数字化存储,大数据已经渗透到各个行业领域。然而,大数据掀起新一轮生产率提高和消费者盈余浪潮的同时,随之而来的是信息安全的挑战。可见,如何提升大数据网络的整体安全防护功能,保护数据安全已经成为针对大数据架构的重要问题。
发明内容
有鉴于此,本发明实施例的目的在于提供一种数据访问管控方法及网络管理设备,能至少解决现有技术中存在的上述问题。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供了一种数据访问管控方法,应用于网络管理设备,所述方法包括:
接收到来自终端设备通过第一应用发起的针对所述第一网络设备的数据访问请求;其中,所述数据访问请求中携带有账户信息;
判断所述数据访问请求是否符合第一预设条件,其中,所述第一预设条件表征发起所述账户信息为合法账户、且所述账户信息中的账户具备针对第一网络设备的访问权限;
当确定所述数据访问请求符合第一预设条件时,允许终端设备通过所述第一应用访问所述第一网络设备;其中,所述第一网络设备为所述网络管理设备管理的N个网络设备中的一个。
上述方案中,所述允许终端设备通过所述第一应用访问所述第一网络设备之前,所述方法包括:
判断所述数据访问请求是否满足第二预设条件,当不满足第二预设条件时,允许终端设备通过所述第一应用访问所述第一网络设备;其中,所述第二预设条件表征所述数据访问请求的源地址和/或源端口为拒绝列表中记录的源地址和/或源端口。
上述方案中,所述所述判断所述数据访问请求是否符合第一预设条件,包括:
根据所述数据访问请求中的地址信息以及第一预设列表判断所述终端设备是否为合法设备;从所述数据访问请求中提取账户信息;
将提取到的账户信息与第一预设列表进行比对,判断所述账户信息是否为合法账户,所述第一预设列表中记录有至少一个合法的账户信息;
当所述账户信息为合法账户时,与预设的权限管理列表进行比对,判断所述账户信息中的账户是否具备对应的访问权限;所述权限管理列表中包含有至少一个账户信息中的账户对应的访问权限;
当所述账户信息具备对应的访问权限时,所述数据访问请求符合第一预设条件。
上述方案中,所述允许终端设备通过所述第一应用访问所述第一网络设备之后,所述方法还包括:根据预设的安全策略,将所述终端设备通过第一应用发来的针对所述第一网络设备的数据信息进行加密,将加密后的数据信息发送至第一网络设备,使得所述第一网络设备对所述加密后的数据信息进行解密,根据预设的安全策略对响应数据进行加密;
当接收到所述第一网络设备返回的响应数据之后,对所述响应数据进行解密,发送解密后的响应数据至所述终端设备。
上述方案中,所述接收到来自终端设备通过第一应用发起的针对所述第一网络设备的数据访问请求,为:当接收到终端设备通过第一应用发出的数据信息之后,提取所述数据信息中的地址信息,当确定所述地址信息为针对自身管理的N个网络设备中的第一网络设备时,确定接收到终端设备通过第一应用发出的针对第一网络设备的访问请求;否则,结束处理流程;N为大于等于1的正整数。
本发明实施例提供了一种网络管理设备,所述网络管理设备包括:
接收单元,用于接收到来自终端设备通过第一应用发起的针对所述第一网络设备的数据访问请求;其中,所述数据访问请求中携带有账户信息;
安全管理单元,用于判断所述数据访问请求是否符合第一预设条件,其中,所述第一预设条件表征发起所述账户信息为合法账户、且所述账户信息中的账户具备针对第一网络设备的访问权限;当确定所述数据访问请求符合第一预设条件时,允许终端设备通过所述第一应用访问所述第一网络设备;其中,所述第一网络设备为所述网络管理设备管理的N个网络设备中的一个。
上述方案中,所述安全管理单元,还用于判断所述数据访问请求是否满足第二预设条件,当不满足第二预设条件时,允许终端设备通过所述第一应用访问所述第一网络设备;其中,所述第二预设条件表征所述数据访问请求的源地址和/或源端口为拒绝列表中记录的源地址和/或源端口。
上述方案中,所述安全管理单元,具体用于根据所述数据访问请求中的地址信息以及第一预设列表判断所述终端设备是否为合法设备;从所述数据访问请求中提取账户信息;将提取到的账户信息与第一预设列表进行比对,判断所述账户信息是否为合法账户,所述第一预设列表中记录有至少一个合法的账户信息;当所述账户信息为合法账户时,与预设的权限管理列表进行比对,判断所述账户信息中的账户是否具备对应的访问权限;所述权限管理列表中包含有至少一个账户信息中的账户对应的访问权限;当所述账户信息具备对应的访问权限时,所述数据访问请求符合第一预设条件。
上述方案中,所述安全管理单元,具体用于根据预设的安全策略,将所述终端设备通过第一应用发来的针对所述第一网络设备的数据信息进行加密,将加密后的数据信息发送至第一网络设备,使得所述第一网络设备对所述加密后的数据信息进行解密,根据设的安全策略对响应数据进行加密;当接收到所述第一网络设备返回的响应数据之后,对所述响应数据进行解密,发送解密后的响应数据至所述终端设备。
上述方案中,所述安全管理单元,具体用于当接收到终端设备通过第一应用发出的数据信息之后,提取所述数据信息中的地址信息,当确定所述地址信息为针对自身管理的N个网络设备中的第一网络设备时,确定接收到终端设备通过第一应用发出的针对第一网络设备的访问请求;否则,结束处理流程;N为大于等于1的正整数。
本发明实施例所提供的数据访问管控方法及网络管理设备,能够通过网络管理设备对终端设备通过第一应用发起的对第一网络设备的访问请求进行合法性以及访问权限进行管理;如此,能够通过在数据访问入口处实施控制管理,提升网络整体安全防护功能,从而保护数据安全。
附图说明
图1为本发明实施例数据访问管控方法流程示意图一;
图2为本发明实施例架构示意图;
图3为本发明实施例数据访问管控方法流程示意图二;
图4为本发明实施例数据访问管控方法流程示意图三;
图5为本发明实施例数据访问管控方法流程示意图四;
图6为本发明实施例网络管理设备组成结构示意图;
图7为本发明实施例网络管理设备功能组成示意图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
实施例一、
本发明实施例提供了一种数据访问管控方法,应用于网络管理设备,如图1所示,包括:
步骤101:接收到来自终端设备通过第一应用发起的针对所述第一网络设备的数据访问请求;其中,所述数据访问请求中携带有账户信息;
步骤102:判断所述数据访问请求是否符合第一预设条件,其中,所述第一预设条件表征发起所述账户信息为合法账户、且所述账户信息中的账户具备针对第一网络设备的访问权限;
步骤103:当确定所述数据访问请求符合第一预设条件时,允许终端设备通过所述第一应用访问所述第一网络设备;其中,所述第一网络设备为所述网络管理设备管理的N个网络设备中的一个。
这里,所述网络管理设备可以设置于大数据网络架构中。
其中,所述第一应用可以为大数据架构提供的N个应用中的一个,N为大于等于1的正整数。
所述账户信息中可以包括用户名以及密码。
优选地,所述接收到来自终端设备通过第一应用发起的针对所述第一网络设备的数据访问请求可以为:当接收到终端设备通过第一应用发出的数据信息之后,提取所述数据信息中的地址信息,当确定所述地址信息为针对自身管理的N个网络设备中的第一网络设备时,确定接收到终端设备通过第一应用发出的针对第一网络设备的访问请求;否则,结束处理流程。
所述终端设备通过第一应用发起的针对所述第一网络设备的数据访问请求,可以为:用户通过终端设备选取开启第一应用,输入账户信息登录所述第一应用,然后对第一应用的输入操作选取第一应用提供的访问大数据架构中的第一网络设备的数据访问请求;比如,当第一应用为报表,那么用户开启第一应用之后,选取从Hadoop分布式文件系统(HDFS)中调用存储数据,就会向对应的HDFS的存储设备发起数据访问请求。
其中,所述判断所述数据访问请求是否符合第一预设条件,可以包括:
根据所述地址信息以及第一预设列表判断所述终端设备是否为合法设备;从所述数据访问请求中提取账户信息;
将提取到的账户信息与第一预设列表进行比对,判断所述账户信息是否为合法账户,所述第一预设列表中记录有至少一个合法的账户信息;
当所述账户信息为合法账户时,与预设的权限管理列表进行比对,判断所述账户信息中的账户是否具备对应的访问权限;所述权限管理列表中包含有至少一个账户信息中的账户对应的访问权限;
当所述账户信息具备对应的访问权限时,所述数据访问请求符合第一预设条件。
优选地,上述步骤101之前,还包括:获取到自身管理的至少一个应用的注册请求,然后针对所述注册请求中的账户信息,对所述账户进行认证,当认证通过之后,确定所述账户信息对应的访问权限。
其中,所述认证的方法可以为判断所述注册请求的账户信息是否正确,可以包括账户信息的格式是否正确。本发明实施例中所述账户信息中的账户可以包括账户名称以及账户密码。
所述确定访问权限的方法可以为:向用户发起提示信息,由用户选择所要获取的访问权限,获取用户的选择信息之后,保存所述账户信息对应的访问权限。
优选地,所述允许终端设备通过所述第一应用所述第一网络设备之前,还可以包括:判断所述数据访问请求是否满足第二预设条件,当不满足第二预设条件时,允许终端设备通过所述第一应用访问所述第一网络设备;当满足第二预设条件时,阻断所述数据访问请求的传输。其中,所述第二预设条件表征所述数据访问请求的源地址和/或源端口为拒绝列表中记录的源地址和/或源端口。
如此,就能够通过所述第二预设条件的判断来防止来自外网的攻击,进一步的提升大数据架构的安全性。
优选地,上述允许终端设备通过所述第一应用所述第一网络设备之后,所述方法还包括:根据预设的安全策略,将所述终端设备通过第一应用发来的针对所述第一网络设备的数据信息进行加密,将加密后的数据信息发送至第一网络设备,使得所述第一网络设备对所述加密后的数据信息进行解密,根据设的安全策略对响应数据进行加密;当接收到所述第一网络设备返回的响应数据之后,对所述响应数据进行解密,发送解密后的响应数据至所述终端设备。其中,所述安全策略可以包括:SSH协议、MQ安全访问协议等。
进一步的,上述根据预设的安全策略对响应数据进行加密之前,所述第一网络设备还可以根据解密之后的数据信息获取到相应的响应数据。
下面以图2的大数据平台架构为例,针对存储数据的场景对本发明提供的数据管理方法进行说明,其中,大数据平台架构中可以包括上层应用、网络管理设备、数据处理、数据存储等功能层次;上层应用可以包括有BT报表类的应用、数据挖掘类的应用、实时计算类的应用、业务统计类的应用;数据处理可以由Strom、基于Hadoop的一个数据仓库工具Hive等等,数据存储可以有HDFS、专用存储等;如图3所示,包括:
步骤301:当通过终端设备的第一应用访问大数据平台底层第一存储设备中存储的数据时,向数据访问管控平台发起针对所述第一存储设备的数据访问请求;
步骤302:所述数据访问管控平台接收到针对所述第一存储设备的数据访问请求;
步骤303:所述数据方法管控平台判断所述数据访问请求是否符合第一预设条件;
步骤304:当所述数据访问管控平台确定所述数据访问请求符合第一预设条件时,确定允许终端设备第一应用访问大数据平台底层的第一存储设备。
其中,所述第一应用可以为大数据架构中上层应用中的一种应用。
这样,在第一应用和底层的数据存储组件之间设置了一道安全屏障,实现对下层各个组件中存储的数据予以保护。另外,数据访问管控平台本身还融合了网络安全、应用安全等功能,为大数据平台的整个网络及相关应用提供安全服务。
下面以系统架构图2为例,本方案中的数据访问管控平台安全功能模块中还具有网络安全和应用安全等功能,可以实现对整个大数据平台网络及应用的安全保护。针对网络及应用的安全管理的场景对本发明提供的数据管理方法进行说明,如图4所示,包括:
步骤401:所述数据访问管控平台检测到针对自身管理的N个网络设备中的第一网络设备的数据信息;
步骤402:判断所述数据信息是否满足第二预设条件,当满足第二预设条件时,阻断所述数据信息的传输;当不满足第二预设条件时,允许终端设备通过所述第一应用访问所述第一网络设备。其中,所述第二预设条件表征所述数据访问请求的源地址和/或源端口为拒绝列表中记录的源地址和/或源端口。
其中,所述确定访问请求的源地址和/或目的地址是否为拒绝列表中的地址之前,还会根据实际情况建立拒绝列表;
所述拒绝列表的建立方法可以为:检测到来自某一个端口的数量超过预设门限值的数据信息,且均没有相应的响应信息时,该端口添加至拒绝列表中;或者,检测到来自某一个地址的数据超过预设门限值的数据信息,均没有相应的响应信息,该地址添加至拒绝列表中。
如此,就能够当大数据平台面临来自第一应用或外部的攻击时,网络及应用安全相关功能可以实现对攻击的检测并阻断,适时保护整个大数据平台整体网络以及相关应用的安全。
下面以系统架构图2为例,本方案中的数据访问管控平台安全功能模块中保护用户相关信息及数据的安全,本方案中除了能够提供对大数据平台本身的数据以及大数据平台整体网络进行保护之外,还可以对用户的相关信息予以保护。如图5所示,包括:
步骤501:数据访问管控平台检测到终端设备通过第一应用发起的访问请求;
步骤502:数据访问管控平台判断所述访问请求是否满足第一预设条件;
步骤503:当所述访问请求满足第一预设条件时,根据预设的安全策略,将所述终端设备通过第一应用发来的针对所述第一网络设备的数据信息进行加密,将加密后的数据信息发送至第一网络设备,使得所述第一网络设备对所述加密后的数据信息进行解密,根据设的安全策略对响应数据进行加密;当接收到所述第一网络设备返回的响应数据之后,对所述响应数据进行解密,发送解密后的响应数据至所述终端设备。
通过其安全模块中的传输加密功能,为该用户建立安全的访问通道。通过该通道用户传输的身份认证等相关信息,以及后续的数据都是加密的,从而可以防止恶意攻击者通过对网络监听或嗅探等攻击而获取用户信息及相关数据。
可见,通过采用上述方案,就能够通过网络管理设备对终端设备通过第一应用发起的对第一网络设备的访问请求进行合法性以及访问权限进行管理;如此,能够通过在数据访问入口处实施控制管理,提升网络整体安全防护功能,从而保护数据安全。
实施例二、
本发明实施例提供了一种网络管理设备,如图6所示,包括:
接收单元61,用于接收到来自终端设备通过第一应用发起的针对所述第一网络设备的数据访问请求;其中,所述数据访问请求中携带有账户信息;
安全管理单元62,用于判断所述数据访问请求是否符合第一预设条件,其中,所述第一预设条件表征发起所述账户信息为合法账户、且所述账户信息中的账户具备针对第一网络设备的访问权限;当确定所述数据访问请求符合第一预设条件时,允许终端设备通过所述第一应用访问所述第一网络设备;其中,所述第一网络设备为所述网络管理设备管理的N个网络设备中的一个。
这里,所述网络管理设备可以设置于大数据网络架构中,所述N个网络设备为所述大数据架构中的网络设备。
其中,所述第一应用可以为大数据架构提供的N个应用中的一个,N为大于等于1的正整数。
所述账户信息中可以包括用户名以及密码。
优选地,所述安全管理单元,具体用于当接收到终端设备通过第一应用发出的数据信息之后,提取所述数据信息中的地址信息,当确定所述地址信息为针对自身管理的N个网络设备中的第一网络设备时,确定接收到终端设备通过第一应用发出的针对第一网络设备的访问请求;否则,结束处理流程。
所述终端设备通过第一应用发起的针对所述第一网络设备的数据访问请求,可以为:用户通过终端设备选取开启第一应用,输入账户信息登录所述第一应用,然后对第一应用的输入操作选取第一应用提供的访问大数据架构中的第一网络设备的数据访问请求;比如,当第一应用为报表,那么用户开启第一应用之后,选取从HDFS中调用存储数据,那么就会向对应的HDFS的存储设备发起数据访问请求。
其中,所述安全管理单元,具体用于根据所述数据访问请求中的地址信息以及第一预设列表判断所述终端设备是否为合法设备;从所述数据访问请求中提取账户信息;将提取到的账户信息与第一预设列表进行比对,判断所述账户信息是否为合法账户,所述第一预设列表中记录有至少一个合法的账户信息;当所述账户信息为合法账户时,与预设的权限管理列表进行比对,判断所述账户信息中的账户是否具备对应的访问权限;所述权限管理列表中包含有至少一个账户信息中的账户对应的访问权限;当所述账户信息具备对应的访问权限时,所述数据访问请求符合第一预设条件。
优选地,所述安全管理单元,具体用于判断所述数据访问请求是否满足第二预设条件,当满足第二预设条件时,阻断所述数据访问请求的传输;当不满足第二预设条件时,允许终端设备通过所述第一应用访问所述第一网络设备。其中,所述第二预设条件表征所述数据访问请求的源地址和/或源端口为拒绝列表中记录的源地址和/或源端口。
如此,就能够通过所述第二预设条件的判断来防止来自外网的攻击,进一步的提升大数据架构的安全性。
优选地,所述安全管理单元,具体用于根据预设的安全策略,将所述终端设备通过第一应用发来的针对所述第一网络设备的数据信息进行加密,将加密后的数据信息发送至第一网络设备,使得所述第一网络设备对所述加密后的数据信息进行解密,根据设的安全策略对响应数据进行加密;当接收到所述第一网络设备返回的响应数据之后,对所述响应数据进行解密,发送解密后的响应数据至所述终端设备。其中,所述安全策略可以包括:SSH协议、MQ安全访问协议等。进一步的,上述根据预设的安全策略对响应数据进行加密之前,所述第一网络设备还可以根据解密之后的数据信息获取到相应的响应数据。
下面以图2的大数据平台架构为例,针对存储数据的场景对本发明提供的数据管理方法进行说明,如图3所示,包括:
步骤301:当通过终端设备的第一应用访问大数据平台底层第一存储设备中存储的数据时,向数据访问管控平台发起针对所述第一存储设备的数据访问请求;
步骤302:所述数据访问管控平台接收到针对所述第一存储设备的数据访问请求;
步骤303:所述数据方法管控平台判断所述数据访问请求是否符合第一预设条件;
步骤304:当所述数据访问管控平台确定所述数据访问请求符合第一预设条件时,确定允许终端设备第一应用访问大数据平台底层的第一存储设备。
其中,所述第一应用可以为大数据架构中上层应用中的一种应用。
这样,在第一应用和底层的数据存储组件之间设置了一道安全屏障,实现对下层各个组件中存储的数据予以保护。另外,数据访问管控平台本身还融合了网络安全、应用安全等功能,为大数据平台的整个网络及相关应用提供安全服务。
下面以系统架构图2为例,本方案中的数据访问管控平台安全功能模块中还具有网络安全和应用安全等功能,可以实现对整个大数据平台网络及应用的安全保护。针对网络及应用的安全管理的场景对本发明提供的数据管理方法进行说明,如图4所示,包括:
步骤401:所述数据访问管控平台检测到针对自身管理的N个网络设备中的第一网络设备的数据信息;
步骤402:判断所述数据信息是否满足第二预设条件,当满足第二预设条件时,阻断所述数据信息的传输;当不满足第二预设条件时,允许终端设备通过所述第一应用访问所述第一网络设备。其中,所述第二预设条件表征所述数据访问请求的源地址和/或源端口为拒绝列表中记录的源地址和/或源端口。
其中,所述确定访问请求的源地址和/或目的地址是否为拒绝列表中的地址之前,还会根据实际情况建立拒绝列表;
所述拒绝列表的建立方法可以为:检测到来自某一个端口的数量超过预设门限值的数据信息,且均没有相应的响应信息时,该端口添加至拒绝列表中;或者,检测到来自某一个地址的数据超过预设门限值的数据信息,均没有相应的响应信息,该地址添加至拒绝列表中。
如此,就能够当大数据平台面临来自第一应用或外部的攻击时,网络及应用安全相关功能可以实现对攻击的检测并阻断,适时保护整个大数据平台整体网络以及相关应用的安全。
下面以系统架构图2为例,本方案中的数据访问管控平台安全功能模块中保护用户相关信息及数据的安全,本方案中除了能够提供对大数据平台本身的数据以及大数据平台整体网络进行保护之外,还可以对用户的相关信息予以保护。如图5所示,包括:
步骤501:数据访问管控平台检测到终端设备通过第一应用发起的访问请求;
步骤502:数据访问管控平台判断所述访问请求是否满足第一预设条件;
步骤503:当所述访问请求满足第一预设条件时,根据预设的安全策略,将所述终端设备通过第一应用发来的针对所述第一网络设备的数据信息进行加密,将加密后的数据信息发送至第一网络设备,使得所述第一网络设备对所述加密后的数据信息进行解密,根据设的安全策略对响应数据进行加密;当接收到所述第一网络设备返回的响应数据之后,对所述响应数据进行解密,发送解密后的响应数据至所述终端设备。
通过其安全模块中的传输加密功能,为该用户建立安全的访问通道。通过该通道用户传输的身份认证等相关信息,以及后续的数据都是加密的,从而可以防止恶意攻击者通过对网络监听或嗅探等攻击而获取用户信息及相关数据。
通过上述实施例提供的对用户通过第一应用的访问请求的控制,可以实现如图7所示的功能,比如,访问控制;以及获取到用户的注册信息,通过注册信息中的账户信息对用户进行认证以及授权;通过管理的密钥对传输进行加密;从而保证了网络安全、应用安全、API安全等等。
可见,通过采用上述方案,就能够通过网络管理设备对终端设备通过第一应用发起的对第一网络设备的访问请求进行合法性以及访问权限进行管理;如此,能够通过在数据访问入口处实施控制管理,提升网络整体安全防护功能,从而保护数据安全。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,实际实现时可以有另外的划分方式,如一些特征可以忽略。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种数据访问管控方法,应用于网络管理设备,其特征在于,所述方法包括:
接收到来自终端设备通过第一应用发起的针对所述第一网络设备的数据访问请求;其中,所述数据访问请求中携带有账户信息;
判断所述数据访问请求是否符合第一预设条件,其中,所述第一预设条件表征发起所述账户信息为合法账户、且所述账户信息中的账户具备针对第一网络设备的访问权限;
当确定所述数据访问请求符合第一预设条件时,允许终端设备通过所述第一应用访问所述第一网络设备;其中,所述第一网络设备为所述网络管理设备管理的N个网络设备中的一个。
2.根据权利要求1所述的方法,其特征在于,所述允许终端设备通过所述第一应用访问所述第一网络设备,所述方法包括:
判断所述数据访问请求是否满足第二预设条件,当不满足第二预设条件时,允许终端设备通过所述第一应用访问所述第一网络设备;其中,所述第二预设条件表征所述数据访问请求的源地址和/或源端口为拒绝列表中记录的源地址和/或源端口。
3.根据权利要求1所述的方法,其特征在于,所述所述判断所述数据访问请求是否符合第一预设条件,包括:
根据所述数据访问请求中的地址信息以及第一预设列表判断所述终端设备是否为合法设备;
从所述数据访问请求中提取账户信息;
将提取到的账户信息与第一预设列表进行比对,判断所述账户信息是否为合法账户,所述第一预设列表中记录有至少一个合法的账户信息;
当所述账户信息为合法账户时,与预设的权限管理列表进行比对,判断所述账户信息中的账户是否具备对应的访问权限;所述权限管理列表中包含有至少一个账户信息中的账户对应的访问权限;
当所述账户信息具备对应的访问权限时,所述数据访问请求符合第一预设条件。
4.根据权利要求1所述的方法,其特征在于,所述允许终端设备通过所述第一应用访问所述第一网络设备之后,所述方法还包括:根据预设的安全策略,将所述终端设备通过第一应用发来的针对所述第一网络设备的数据信息进行加密,将加密后的数据信息发送至第一网络设备,使得所述第一网络设备对所述加密后的数据信息进行解密,根据预设的安全策略对响应数据进行加密;
当接收到所述第一网络设备返回的响应数据之后,对所述响应数据进行解密,发送解密后的响应数据至所述终端设备。
5.根据权利要求1所述的方法,其特征在于,所述接收到来自终端设备通过第一应用发起的针对所述第一网络设备的数据访问请求,为:当接收到终端设备通过第一应用发出的数据信息之后,提取所述数据信息中的地址信息,当确定所述地址信息为针对自身管理的N个网络设备中的第一网络设备时,确定接收到终端设备通过第一应用发出的针对第一网络设备的访问请求;否则,结束处理流程;N为大于等于1的正整数。
6.一种网络管理设备,其特征在于,所述网络管理设备包括:
接收单元,用于接收到来自终端设备通过第一应用发起的针对所述第一网络设备的数据访问请求;其中,所述数据访问请求中携带有账户信息;
安全管理单元,用于判断所述数据访问请求是否符合第一预设条件,其中,所述第一预设条件表征发起所述账户信息为合法账户、且所述账户信息中的账户具备针对第一网络设备的访问权限;当确定所述数据访问请求符合第一预设条件时,允许终端设备通过所述第一应用访问所述第一网络设备;其中,所述第一网络设备为所述网络管理设备管理的N个网络设备中的一个。
7.根据权利要求6所述的网络管理设备,其特征在于,所述安全管理单元,还用于判断所述数据访问请求是否满足第二预设条件,当不满足第二预设条件时,允许终端设备通过所述第一应用访问所述第一网络设备;其中,所述第二预设条件表征所述数据访问请求的源地址和/或源端口为拒绝列表中记录的源地址和/或源端口。
8.根据权利要求6所述的网络管理设备,其特征在于,所述安全管理单元,具体用于根据所述数据访问请求中的地址信息以及第一预设列表判断所述终端设备是否为合法设备;从所述数据访问请求中提取账户信息;将提取到的账户信息与第一预设列表进行比对,判断所述账户信息是否为合法账户,所述第一预设列表中记录有至少一个合法的账户信息;当所述账户信息为合法账户时,与预设的权限管理列表进行比对,判断所述账户信息中的账户是否具备对应的访问权限;所述权限管理列表中包含有至少一个账户信息中的账户对应的访问权限;当所述账户信息具备对应的访问权限时,所述数据访问请求符合第一预设条件。
9.根据权利要求6所述的网络管理设备,其特征在于,所述安全管理单元,具体用于根据预设的安全策略,将所述终端设备通过第一应用发来的针对所述第一网络设备的数据信息进行加密,将加密后的数据信息发送至第一网络设备,使得所述第一网络设备对所述加密后的数据信息进行解密,根据预设的安全策略对响应数据进行加密;当接收到所述第一网络设备返回的响应数据之后,对所述响应数据进行解密,发送解密后的响应数据至所述终端设备。
10.根据权利要求6所述的网络管理设备,其特征在于,所述安全管理单元,具体用于当接收到终端设备通过第一应用发出的数据信息之后,提取所述数据信息中的地址信息,当确定所述地址信息为针对自身管理的N个网络设备中的第一网络设备时,确定接收到终端设备通过第一应用发出的针对第一网络设备的访问请求;否则,结束处理流程;N为大于等于1的正整数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410854234.2A CN105812338B (zh) | 2014-12-31 | 2014-12-31 | 一种数据访问管控方法及网络管理设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410854234.2A CN105812338B (zh) | 2014-12-31 | 2014-12-31 | 一种数据访问管控方法及网络管理设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105812338A true CN105812338A (zh) | 2016-07-27 |
CN105812338B CN105812338B (zh) | 2020-04-21 |
Family
ID=56464930
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410854234.2A Active CN105812338B (zh) | 2014-12-31 | 2014-12-31 | 一种数据访问管控方法及网络管理设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105812338B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107944288A (zh) * | 2016-10-12 | 2018-04-20 | 北京京东尚科信息技术有限公司 | 一种数据访问控制方法和装置 |
CN108574591A (zh) * | 2017-03-10 | 2018-09-25 | 中国移动通信有限公司研究院 | 一种配置方法、网络管理设备、终端设备及网络设备 |
CN109756992A (zh) * | 2017-08-24 | 2019-05-14 | 阿里巴巴集团控股有限公司 | 创建网络连接的方法、装置和系统 |
CN111193754A (zh) * | 2019-12-17 | 2020-05-22 | 杭州海康威视数字技术股份有限公司 | 应用于物联网的数据访问方法及系统、设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020138442A1 (en) * | 2001-03-26 | 2002-09-26 | Sanyo Electric Co., Ltd. | Content provision device and method and license server capable of facilitating circulation of encrypted content data |
US20020138155A1 (en) * | 2001-03-26 | 2002-09-26 | Bristol Guy Scott | Implantable medical device management system |
CN101471774A (zh) * | 2007-12-29 | 2009-07-01 | 中国移动通信集团公司 | 一种通信系统及其管理通信设备的方法 |
CN103297437A (zh) * | 2013-06-20 | 2013-09-11 | 中国软件与技术服务股份有限公司 | 一种移动智能终端安全访问服务器的方法 |
CN103310161A (zh) * | 2012-03-14 | 2013-09-18 | 北京海泰方圆科技有限公司 | 一种用于数据库系统的防护方法及系统 |
CN104166812A (zh) * | 2014-06-25 | 2014-11-26 | 中国航天科工集团第二研究院七〇六所 | 一种基于独立授权的数据库安全访问控制方法 |
-
2014
- 2014-12-31 CN CN201410854234.2A patent/CN105812338B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020138442A1 (en) * | 2001-03-26 | 2002-09-26 | Sanyo Electric Co., Ltd. | Content provision device and method and license server capable of facilitating circulation of encrypted content data |
US20020138155A1 (en) * | 2001-03-26 | 2002-09-26 | Bristol Guy Scott | Implantable medical device management system |
CN101471774A (zh) * | 2007-12-29 | 2009-07-01 | 中国移动通信集团公司 | 一种通信系统及其管理通信设备的方法 |
CN103310161A (zh) * | 2012-03-14 | 2013-09-18 | 北京海泰方圆科技有限公司 | 一种用于数据库系统的防护方法及系统 |
CN103297437A (zh) * | 2013-06-20 | 2013-09-11 | 中国软件与技术服务股份有限公司 | 一种移动智能终端安全访问服务器的方法 |
CN104166812A (zh) * | 2014-06-25 | 2014-11-26 | 中国航天科工集团第二研究院七〇六所 | 一种基于独立授权的数据库安全访问控制方法 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107944288A (zh) * | 2016-10-12 | 2018-04-20 | 北京京东尚科信息技术有限公司 | 一种数据访问控制方法和装置 |
CN108574591A (zh) * | 2017-03-10 | 2018-09-25 | 中国移动通信有限公司研究院 | 一种配置方法、网络管理设备、终端设备及网络设备 |
CN108574591B (zh) * | 2017-03-10 | 2020-04-17 | 中国移动通信有限公司研究院 | 一种配置方法、网络管理设备、终端设备及网络设备 |
CN109756992A (zh) * | 2017-08-24 | 2019-05-14 | 阿里巴巴集团控股有限公司 | 创建网络连接的方法、装置和系统 |
CN109756992B (zh) * | 2017-08-24 | 2022-08-30 | 阿里巴巴集团控股有限公司 | 创建网络连接的方法、装置和系统 |
CN111193754A (zh) * | 2019-12-17 | 2020-05-22 | 杭州海康威视数字技术股份有限公司 | 应用于物联网的数据访问方法及系统、设备 |
CN111193754B (zh) * | 2019-12-17 | 2020-08-04 | 杭州海康威视数字技术股份有限公司 | 应用于物联网的数据访问方法及系统、设备 |
Also Published As
Publication number | Publication date |
---|---|
CN105812338B (zh) | 2020-04-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101217805B (zh) | 一种无线局域网的接入控制方法 | |
CN105376216B (zh) | 一种远程访问方法、代理服务器及客户端 | |
CN104935572B (zh) | 多层级权限管理方法及装置 | |
CN101816165B (zh) | 确定是否授权毫微微蜂窝提供到移动单元的连通性的方法 | |
CN105260663A (zh) | 一种基于TrustZone技术的安全存储服务系统及方法 | |
KR20160114620A (ko) | 동적 네트워크 액세스 관리를 위한 방법들, 디바이스들 및 시스템들 | |
CN101986598B (zh) | 认证方法、服务器及系统 | |
CN110830446B (zh) | 一种spa安全验证的方法和装置 | |
CN104753953A (zh) | 访问控制系统 | |
CN106304264B (zh) | 一种无线网络接入方法及装置 | |
CN105429943B (zh) | 一种信息处理方法及其终端 | |
CN105812338A (zh) | 一种数据访问管控方法及网络管理设备 | |
CN105763517A (zh) | 一种路由器安全接入和控制的方法及系统 | |
CN102333068B (zh) | 一种基于ssh、sftp隧道智能管控系统及方法 | |
CN105162763A (zh) | 通讯数据的处理方法和装置 | |
Sahd et al. | Mobile technology risk management | |
CN102185867A (zh) | 一种实现网络安全的方法和一种星形网络 | |
CN103476025A (zh) | 进程管理方法及系统、移动终端 | |
CN103069767A (zh) | 交付认证方法 | |
CN101951386A (zh) | 一种物联网数据汇聚及信息反馈的安全方法 | |
CN102202291B (zh) | 无卡终端及其业务访问方法及系统、有卡终端及初始化服务器 | |
EP2680180A1 (en) | System and method for securely allocating a virtualised space | |
CN105681352A (zh) | 一种无线网络访问安全管控方法和系统 | |
CN105451225A (zh) | 一种接入认证方法及接入认证设备 | |
KR101404537B1 (ko) | 패스워드 자동 변경을 통한 서버 접근 통제 시스템 및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |