CN106341399A - 一种用户访问的控制方法及系统 - Google Patents
一种用户访问的控制方法及系统 Download PDFInfo
- Publication number
- CN106341399A CN106341399A CN201610754124.8A CN201610754124A CN106341399A CN 106341399 A CN106341399 A CN 106341399A CN 201610754124 A CN201610754124 A CN 201610754124A CN 106341399 A CN106341399 A CN 106341399A
- Authority
- CN
- China
- Prior art keywords
- security domain
- source
- message
- access
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种用户访问的控制方法及系统。通过接收已认证的来自源安全域的用户发送的对目的安全域访问的请求报文;根据所述报文确定所述报文所属的源安全域和要访问的目的安全域;比较所述源安全域是否等于所述目的安全域;当所述源安全域不等于所述目的安全域时,确定为域间访问,根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求;当所述源安全域等于所述目的安全域时,确定为域内访问,根据所述报文所访问的目的安全域是否使能允许所述报文访问,处理所述报文的访问请求。在认证系统的基础上引入安全域,把一个大规模的认证系统的安全问题,转化为更小区域的安全保护问题,实现精细化的安全认证管理的解决方案。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种用户访问的控制方法及系统。
背景技术
近年来,随着信息化的飞速发展,信息化建设的触角也深入到教育行业,学校校园网络迅猛发展,数字化校园建设如火如荼的开展起来,然而随着教、学模式的转变,随时、随地、随需,无所不在的全新学习环境成为大势所趋。在新需求驱动下,高校校园网中的应用类型大大增加,对交互体验提出更高要求,视频流量激增,安全认证与Qos保证日益复杂……面对全新的网络挑战,精细化管理成为高校校园网络的必然选择。
精细化体现在运维、安全、业务策略、认证、计费等多个层面。其核心思想是通过全新的网络架构设计以实现高校网络的精准、高效运营。
众所周知,网络安全是精细化管理的前提条件。目前使用最多的认证技术有802.1x技术、Web认证。如何实现网络安全和精细化运营是本发明核心技术所在。
附图1是一个典型的Web认证组网图,在核心设备的接口上开启Web认证,将全网用户的管理集中到核心设备上,方便整网部署,降低后续监控维护的代价。核心设备作为全网用户的网关,下联用户只有通过身份认证之后才能正常的访问网络。其中,开启认证的设备被我们称为NAS(Network Access Security)设备。
附图2所示,为用户认证上线的基本流程图,主要包括TCP报文的拦截,TCP伪连接的建立,HTTP报文的重定向及用户的认证上线。未认证用户发出的任何TCP请求报文都会被设备拦截,并充当目的网址与用户建立伪连接,将用户重定向到认证服务器,完成认证过程。
现有技术的缺陷在于:
现有认证系统架构对所有用户一刀切进行安全管理,无法灵活地根据不同用户类型、职位角色设置不同等级角色权限来满足不同层次用户的不同需求。
发明内容
本发明的实施例提供了一种用户访问的控制方法及系统,本发明提供了如下方案:
接收已认证的来自源安全域的用户发送的对目的安全域访问的请求报文;
根据所述报文确定所述报文所属的源安全域和要访问的目的安全域;
比较所述源安全域是否等于所述目的安全域;
当所述源安全域不等于所述目的安全域时,确定为域间访问,根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求;
当所述源安全域等于所述目的安全域时,确定为域内访问,根据所述报文所访问的目的安全域是否使能允许所述报文访问,处理所述报文的访问请求。
根据本发明的上述方法,所述根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求,包括:
比较源安全域和目的安全域的优先级,如果源安全域的优先级高于目的安全域的优先级则允许所述用户请求报文访问所述目的安全域,如果源安全域的优先级低于目的安全域的优先级则不允许所述用户请求报文访问所述目的安全域,如果源安全域的优先级等于目的安全域的优先级则根据第一全局变量判断是否使能允许所述用户请求报文访问所述目的安全域。
根据本发明的上述方法,所述根据所述报文所访问的目的安全域是否使能允许所述报文访问,处理所述报文的访问请求,包括:
当所访问的安全域使能允许所述用户请求报文访问,则允许所述用户请求报文访问所述目的安全域;
当所访问的安全域未使能允许所述用户请求报文访问,则根据第二全局变量判断是否使能允许所述用户请求报文访问所述目的安全域。
根据本发明的上述方法,在确定所述报文所属的源安全域和目的安全域之前,包括:
基于IP地址集合识别所述用户请求报文的源IP地址和目的IP地址,将源IP地址和源安全域对应建立关联的访问控制列表ACL;将目的IP地址和目的安全域对应建立关联的访问控制列表ACL;
基于网络接口识别所述用户请求报文的源接口和目的接口,将所述报文的源接口和源安全域建立关联,将所述报文的目的接口和目的安全域建立关联。
根据本发明的上述方法,确定所述报文所属的源安全域和目的安全域,包括:
根据所述报文的源IP地址和目的IP地址,将源IP地址和目的IP地址分别和源安全域与目的安全域各自关联的ACL进行匹配,确定所述报文所属的源安全域和访问的目的安全域;或,
根据所述报文的源接口和目的接口,将所述报文的源接口和目的接口分别和源安全域与目的安全域各自关联的网络接口进行匹配,确定所述报文所属的源安全域和访问的目的安全域。
根据本发明的上述方法,在允许所述用户请求报文访问之后,包括:
当检测到用户不在线时,通知安全管理平台SMP将用户状态标记为下线,并下发回收权限的命令,卸载所述用户安全域关联的ACL。
根据本发明的另一方面,还提供一种用户访问的控制系统,其特征在于,包括:
接收模块:接收已认证的来自源安全域的用户发送的对目的安全域访问的请求报文;
确定模块:其用于根据所述报文确定所述报文所属的源安全域和要访问的目的安全域;
比较模块:其用于比较所述源安全域是否等于所述目的安全域;
执行模块:其用于当所述源安全域不等于所述目的安全域时,确定为域间访问,根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求;
当所述源安全域等于所述目的安全域时,确定为域内访问,根据所述报文所访问的目的安全域是否使能允许所述报文访问,处理所述报文的访问请求。
根据本发明的另一方面,所述执行模块具体用于:
比较源安全域和目的安全域的优先级,如果源安全域的优先级高于目的安全域的优先级则允许所述用户请求报文访问所述目的安全域,如果源安全域的优先级低于目的安全域的优先级则不允许所述用户请求报文访问所述目的安全域,如果源安全域的优先级等于目的安全域的优先级则根据第一全局变量判断是否使能允许所述用户请求报文访问所述目的安全域。
根据本发明的另一方面,所述执行模块具体用于:在确定所述报文所属的源安全域和目的安全域之前,
当所访问的目的安全域使能允许所述用户请求报文访问,则允许所述用户请求报文访问所述目的安全域;
当所访问的安全域未使能允许所述用户请求报文访问,则根据第二全局变量判断是否使能允许所述用户请求报文访问所述目的安全域。
根据本发明的另一方面,上述的一种用户访问的控制系统包括,关联模块,其用于:
基于IP地址集合识别所述用户请求报文的源IP地址和目的IP地址,将源IP地址和源安全域对应建立关联的访问控制列表ACL;将目的IP地址和目的安全域对应建立关联的访问控制列表ACL;
基于网络接口识别所述用户请求报文的源接口和目的接口,将所述报文的源接口和源安全域建立关联,将所述报文的目的接口和目的安全域建立关联。
根据本发明的另一方面,所述确定模块具体用于:
根据所述报文的源IP地址和目的IP地址,将源IP地址和目的IP地址分别和源安全域与目的安全域各自关联的ACL进行匹配,确定所述报文所属的源安全域和访问的目的安全域;或,
根据所述报文的源接口和目的接口,将所述报文的源接口和目的接口分别和源安全域与目的安全域各自关联的网络接口进行匹配,确定所述报文所属的源安全域和访问的目的安全域。
根据本发明的另一方面,上述的一种用户访问的控制系统,包括,回收模块,其用于在允许所述用户请求报文访问之后,
当检测到用户不在线时,通知安全管理平台SMP将用户状态标记为下线,并下发回收权限的命令,卸载所述用户安全域关联的ACL。
由上述本发明的实施例提供的技术方案可以看出,本发明实施例接收已认证的来自源安全域的用户发送的对目的安全域访问的请求报文;根据所述报文确定所述报文所属的源安全域和要访问的目的安全域;比较所述源安全域是否等于所述目的安全域;当所述源安全域不等于所述目的安全域时,确定为域间访问,根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求;当所述源安全域等于所述目的安全域时,确定为域内访问,根据所述报文所访问的目的安全域是否使能允许所述报文访问,处理所述报文的访问请求。在认证系统的基础上引入安全域,把一个大规模的认证系统的安全问题,转化为更小区域的安全保护问题,实现精细化、细粒度的安全认证管理的解决方案。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中典型的Web认证组网图;
图2为现有技术中用户认证上线的基本流程;
图3为本发明实施例一提供的一种用户访问的控制方法的处理流程图;
图4为本发明实施例二提供的一种用户访问的控制系统的系统模块图。
具体实施方式
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
实施例一
本实施例中,需要预先在认证服务器上针对不同用户划分安全域,本实施例中,基于IP地址集和网络接口划分安全域;
基于IP地址集合识别所述用户请求报文的源IP地址和目的IP地址,将源IP地址和源安全域对应建立关联的访问控制列表ACL;将目的IP地址和目的安全域对应建立关联的访问控制列表ACL;
基于网络接口识别所述用户请求报文的源接口和目的接口,将所述报文的源接口和源安全域建立关联,将所述报文的目的接口和目的安全域建立关联;具体地,将所述报文的源接口和源安全域关联的网络接口建立关联,将所述报文的目的接口和目的安全域关联的网络接口建立关联。
将无法和安全域建立关联的ACL的IP地址划入default安全域,其中,所述default安全域默认存在且不删除。服务器划分安全域权限划分之后,对安全域进行管理,具体地,对服务器上的信息系统划入相应的安全域,每个信息系统只能属于一个安全域,为已有的用户或用户组分配安全域的访问权限,以使用户可通过选择需要登陆的安全域而拥有该安全域指定的网络访问权限,此外,为每个安全域配置一个安全域优先级,它控制安全域间的互访规则:高优先级安全域允许访问低优先级安全域,低优先级安全域不允许访问高优先级安全域。
此外本实施例中,还可以预先将认证接口的用户流量全部引流到防火墙进行处理,同时,对于NAS设备上设置免认证直通功能,并将免认证直通策略同步到防火墙。当NAS开启认证接口收到认证用户的http报文引流到防火墙,防火墙根据报文的目的IP地址判断是否满足免认证直通策略是否直接放行。
同时对于认证系统进行改造,在用户认证前,访问任意网址(有互联网安全域的情况下),均被重定向到认证页面;用户可在认证页面上输入指定的帐号和密码,完成网络身份校验;在用户认证成功后,向用户推送用户访问权限范围内的安全域对应的业务系统列表网页,用户可通过选择需要登陆的安全域而拥有该安全域指定的网络访问权限,后台根据用户的选择与服务器上为用户划分安全域的配置信息进行匹配,获取用户访问权限范围内的安全域;用户在进入一个安全域后,对于超出此安全域规定的网络范围的访问无法实现。
对于用户对对应的安全域的访问,本实施例中具体执行以下步骤:
步骤11、接收已认证的来自源安全域的用户发送的对目的安全域访问的请求报文;本实施例将安全域应用在认证系统中,用户访问安全域之前是需要进行认证的,由于预先在认证服务器上针对不同用户划分安全域,那么用户发送请求报文的源IP以及源端口都作为源安全域的标识,请求报文的目的IP以及目的端口都作为目的安全域的标识。
步骤12、根据所述报文确定所述报文所属的源安全域和要访问的目的安全域;
具体地,上述已预先对服务器划分安全域,根据所述报文确定所述报文所属的源安全域和目的安全域;
根据所述报文的源IP地址和目的IP地址,将源IP地址和目的IP地址分别和源安全域与目的安全域各自关联的ACL进行匹配,确定所述报文所属的源安全域和访问的目的安全域;或,
根据所述报文的源接口和目的接口,将所述报文的源接口和目的接口分别和源安全域与目的安全域各自关联的网络接口进行匹配,确定所述报文所属的源安全域和访问的目的安全域。
步骤13、比较所述源安全域是否等于所述目的安全域;
步骤14、当所述源安全域不等于所述目的安全域时,确定为域间访问,根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求;
其中,所述根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求,包括:
比较源安全域和目的安全域的优先级,如果源安全域的优先级高于目的安全域的优先级则允许所述用户请求报文访问所述目的安全域,如果源安全域的优先级低于目的安全域的优先级则不允许所述用户请求报文访问所述目的安全域,如果源安全域的优先级等于目的安全域的优先级则根据第一全局变量判断是否使能允许所述用户请求报文访问所述目的安全域。此处的第一全局变量是本实施例中,为了保证任何状况下可以实现域间访问,所配置的一个全局命令。
如果源安全域的优先级等于目的安全域的优先级则根据第一全局变量判断是否使能允许所述用户请求报文访问所述目的安全域,本实施例中具体实现可以存在两种形式:
根据是否存在预设的第一全局变量判断是否使能允许所述用户请求报文访问,若存在预设第一全局变量,则允许所述用户请求报文访问所述目的安全域,若不存在预设第一全局变量,则不允许所述用户请求报文访问所述目的安全域;或,
根据第一全局变量的赋值判断是否使能允许所述用户请求报文访问所述目的安全域,比如当全局变量赋值为1,则允许用户请求报文访问所述目的安全域,当全局变量赋值为0,则不允许用户请求报文访问所述目的安全域,此处全局变量的赋值仅为举例,并不对本发明构成限制。
步骤14、当所述源安全域等于所述目的安全域时,确定为域内访问,根据所述报文所访问的目的安全域是否使能允许所述报文访问所述目的安全域,处理所述报文的访问请求。
其中,根据所述报文所访问的安全域是否使能允许所述报文访问处理所述报文的访问请求,包括:
当所访问的安全域使能允许所述用户请求报文访问所述目的安全域,则允许所述用户请求报文访问所述目的安全域;这是一种默认设置使能的情况,当没有默认设置使能允许时,所访问的安全域未使能允许所述用户请求报文访问所述目的安全域;
当所访问的安全域未使能允许所述用户请求报文访问所述目的安全域,则根据第二全局变量判断是否使能允许所述用户请求报文访问所述目的安全域。此处的第二全局变量是本实施例中,为了保证任何状况下可以实现域内访问,所配置的一个全局命令,
根据第二全局变量判断是否使能允许所述用户请求报文访问所述目的安全域,本实施例中具体实现可以存在两种形式:
根据是否存在预设的第二全局变量是否使能允许所述用户请求报文访问所述目的安全域,若存在预设第二全局变量,则允许所述用户请求报文访问所述目的安全域,若不存在预设第二全局变量,则不允许所述用户请求报文访问所述目的安全域;或,
根据第二全局变量的赋值判断是否使能允许所述用户请求报文访问所述目的安全域,比如当全局变量赋值为1,则允许用户请求报文访问所述目的安全域,当全局变量赋值为0,则不允许用户请求报文访问所述目的安全域,此处全局变量的赋值仅为举例,并不对本发明构成限制。在允许所述用户请求报文访问之后,包括:
当检测到用户不在线时,通知安全管理平台SMP将用户状态标记为下线,并向防火墙卡下发回收权限的命令,卸载所述用户安全域关联的ACL(访问控制列表,AccessControl List)。
实施例二
该实施例提供了一种用户访问的控制系统,其具体实现结构如图2所示,具体可以包括如下的模块:
接收模块41:接收已认证的来自源安全域的用户发送的对目的安全域访问的请求报文;
确定模块42:其用于根据所述报文确定所述报文所属的源安全域和要访问的目的安全域;
比较模块43:其用于比较所述源安全域是否等于所述目的安全域;
执行模块44:其用于当所述源安全域不等于所述目的安全域时,确定为域间访问,根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求;
当所述源安全域等于所述目的安全域时,确定为域内访问,根据所述报文所访问的目的安全域是否使能允许所述报文访问,处理所述报文的访问请求。
所述执行模块44具体用于:
比较源安全域和目的安全域的优先级,如果源安全域的优先级高于目的安全域的优先级则允许所述用户请求报文访问所述目的安全域,如果源安全域的优先级低于目的安全域的优先级则不允许所述用户请求报文访问所述目的安全域,如果源安全域的优先级等于目的安全域的优先级则根据第一全局变量判断是否使能允许所述用户请求报文访问所述目的安全域。
所述执行模块44具体用于:在确定所述报文所属的源安全域和目的安全域之前,
当所访问的目的安全域使能允许所述用户请求报文访问,则允许所述用户请求报文访问所述目的安全域;
当所访问的安全域未使能允许所述用户请求报文访问,则根据第二全局变量判断是否使能允许所述用户请求报文访问所述目的安全域。
一种用户访问的控制系统,包括,关联模块40,其用于:
基于IP地址集合识别所述用户请求报文的源IP地址和目的IP地址,将源IP地址和源安全域对应建立关联的访问控制列表ACL;将目的IP地址和目的安全域对应建立关联的访问控制列表ACL;
基于网络接口识别所述用户请求报文的源接口和目的接口,将所述报文的源接口和源安全域建立关联,将所述报文的目的接口和目的安全域建立关联。
所述确定模块42具体用于:
根据所述报文的源IP地址和目的IP地址,将源IP地址和目的IP地址分别和源安全域与目的安全域各自关联的ACL进行匹配,确定所述报文所属的源安全域和访问的目的安全域;或,
根据所述报文的源接口和目的接口,将所述报文的源接口和目的接口分别和源安全域与目的安全域各自关联的网络接口进行匹配,确定所述报文所属的源安全域和访问的目的安全域。
一种用户访问的控制系统,包括:回收模块45,其用于在允许所述用户请求报文访问之后,
当检测到用户不在线时,通知安全管理平台SMP将用户状态标记为下线,并下发回收权限的命令,卸载所述用户安全域关联的ACL。
用本发明实施例的装置进行用户访问的控制的具体过程与前述方法实施例类似,此处不再赘述。
综上所述,本发明实施例通过接收已认证的来自源安全域的用户发送的对目的安全域访问的请求报文;根据所述报文确定所述报文所属的源安全域和要访问的目的安全域;比较所述源安全域是否等于所述目的安全域;当所述源安全域不等于所述目的安全域时,确定为域间访问,根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求;当所述源安全域等于所述目的安全域时,确定为域内访问,根据所述报文所访问的目的安全域是否使能允许所述报文访问,处理所述报文的访问请求。在认证系统的基础上引入安全域,把一个大规模的认证系统的安全问题,转化为更小区域的安全保护问题,实现精细化、细粒度的安全认证管理的解决方案。本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种用户访问的控制方法,其特征在于,包括:
接收已认证的来自源安全域的用户发送的对目的安全域访问的请求报文;
根据所述报文确定所述报文所属的源安全域和要访问的目的安全域;
比较所述源安全域是否等于所述目的安全域;
当所述源安全域不等于所述目的安全域时,确定为域间访问,根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求;
当所述源安全域等于所述目的安全域时,确定为域内访问,根据所述报文所访问的目的安全域是否使能允许所述报文访问,处理所述报文的访问请求。
2.根据权利要求1所述的一种用户访问的控制方法,其特征在于,所述根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求,包括:
比较源安全域和目的安全域的优先级,如果源安全域的优先级高于目的安全域的优先级则允许所述用户请求报文访问所述目的安全域,如果源安全域的优先级低于目的安全域的优先级则不允许所述用户请求报文访问所述目的安全域,如果源安全域的优先级等于目的安全域的优先级则根据第一全局变量判断是否使能允许所述用户请求报文访问所述目的安全域。
3.根据权利要求1所述的一种用户访问的控制方法,其特征在于,所述根据所述报文所访问的目的安全域是否使能允许所述报文访问,处理所述报文的访问请求,包括:
当所访问的目的安全域使能允许所述用户请求报文访问,则允许所述用户请求报文访问所述目的安全域;
当所访问的目的安全域未使能允许所述用户请求报文访问,则根据第二全局变量判断是否使能允许所述用户请求报文访问所述目的安全域。
4.根据权利要求1所述的一种用户访问的控制方法,其特征在于,在确定所述报文所属的源安全域和要访问的目的安全域之前,包括:
基于IP地址集合识别所述用户请求报文的源IP地址和目的IP地址,将源IP地址和源安全域对应建立关联的访问控制列表ACL;将目的IP地址和目的安全域对应建立关联的访问控制列表ACL;
基于网络接口识别所述用户请求报文的源接口和目的接口,将所述报文的源接口和源安全域建立关联,将所述报文的目的接口和目的安全域建立关联。
5.根据权利要求4所述的一种用户访问的控制方法,其特征在于,确定所述报文所属的源安全域和要访问的目的安全域,包括:
根据所述报文的源IP地址和目的IP地址,将源IP地址和目的IP地址分别和源安全域与目的安全域各自关联的ACL进行匹配,确定所述报文所属的源安全域和访问的目的安全域;或,
根据所述报文的源接口和目的接口,将所述报文的源接口和目的接口分别和源安全域与目的安全域各自关联的网络接口进行匹配,确定所述报文所属的源安全域和访问的目的安全域。
6.一种用户访问的控制系统,其特征在于,包括:
接收模块:接收已认证的来自源安全域的用户发送的对目的安全域访问的请求报文;
确定模块:其用于根据所述报文确定所述报文所属的源安全域和要访问的目的安全域;
比较模块:其用于比较所述源安全域是否等于所述目的安全域;
执行模块:其用于当所述源安全域不等于所述目的安全域时,确定为域间访问,根据源安全域和目的安全域的优先级的比较结果处理所述报文的访问请求;
当所述源安全域等于所述目的安全域时,确定为域内访问,根据所述报文所访问的目的安全域是否使能允许所述报文访问,处理所述报文的访问请求。
7.根据权利要求6所述的一种用户访问的控制系统,其特征在于,所述执行模块具体用于:
比较源安全域和目的安全域的优先级,如果源安全域的优先级高于目的安全域的优先级则允许所述用户请求报文访问所述目的安全域,如果源安全域的优先级低于目的安全域的优先级则不允许所述用户请求报文访问所述目的安全域,如果源安全域的优先级等于目的安全域的优先级则根据第一全局变量判断是否使能允许所述用户请求报文访问所述目的安全域。
8.根据权利要求6所述的一种用户访问的控制系统,其特征在于,所述执行模块具体用于:在确定所述报文所属的源安全域和目的安全域之前,
当所访问的目的安全域使能允许所述用户请求报文访问,则允许所述用户请求报文访问所述目的安全域;
当所访问的安全域未使能允许所述用户请求报文访问,则根据第二全局变量判断是否使能允许所述用户请求报文访问所述目的安全域。
9.根据权利要求6所述的一种用户访问的控制系统,其特征在于,包括,关联模块,其用于:
基于IP地址集合识别所述用户请求报文的源IP地址和目的IP地址,将源IP地址和源安全域对应建立关联的访问控制列表ACL;将目的IP地址和目的安全域对应建立关联的访问控制列表ACL;
基于网络接口识别所述用户请求报文的源接口和目的接口,将所述报文的源接口和源安全域建立关联,将所述报文的目的接口和目的安全域建立关联。
10.根据权利要求9所述的一种用户访问的控制系统,其特征在于,所述确定模块具体用于:
根据所述报文的源IP地址和目的IP地址,将源IP地址和目的IP地址分别和源安全域与目的安全域各自关联的ACL进行匹配,确定所述报文所属的源安全域和访问的目的安全域;或,
根据所述报文的源接口和目的接口,将所述报文的源接口和目的接口分别和源安全域与目的安全域各自关联的网络接口进行匹配,确定所述报文所属的源安全域和访问的目的安全域。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610754124.8A CN106341399A (zh) | 2016-08-29 | 2016-08-29 | 一种用户访问的控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610754124.8A CN106341399A (zh) | 2016-08-29 | 2016-08-29 | 一种用户访问的控制方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106341399A true CN106341399A (zh) | 2017-01-18 |
Family
ID=57822902
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610754124.8A Pending CN106341399A (zh) | 2016-08-29 | 2016-08-29 | 一种用户访问的控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106341399A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108494755A (zh) * | 2018-03-13 | 2018-09-04 | 华为技术有限公司 | 一种传输应用程序编程接口api请求的方法及装置 |
| CN111416815A (zh) * | 2020-03-17 | 2020-07-14 | 深圳市信锐网科技术有限公司 | 报文处理方法、电子设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197795A (zh) * | 2007-12-26 | 2008-06-11 | 华为技术有限公司 | 网络业务保护方法和业务网关 |
| CN101499041A (zh) * | 2009-03-17 | 2009-08-05 | 成都优博创技术有限公司 | 一种避免主机在访问共享设备造成异常死锁的方法 |
| CN101605097A (zh) * | 2009-07-22 | 2009-12-16 | 赛尔网络有限公司 | IPv6/IPv4地址分级访问权限控制方法和访问控制网关 |
| CN103718527A (zh) * | 2013-03-30 | 2014-04-09 | 华为技术有限公司 | 一种通信安全处理方法、装置及系统 |
| CN104618403A (zh) * | 2015-03-10 | 2015-05-13 | 网神信息技术(北京)股份有限公司 | 安全网关的访问控制方法和装置 |
-
2016
- 2016-08-29 CN CN201610754124.8A patent/CN106341399A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197795A (zh) * | 2007-12-26 | 2008-06-11 | 华为技术有限公司 | 网络业务保护方法和业务网关 |
| CN101499041A (zh) * | 2009-03-17 | 2009-08-05 | 成都优博创技术有限公司 | 一种避免主机在访问共享设备造成异常死锁的方法 |
| CN101605097A (zh) * | 2009-07-22 | 2009-12-16 | 赛尔网络有限公司 | IPv6/IPv4地址分级访问权限控制方法和访问控制网关 |
| CN103718527A (zh) * | 2013-03-30 | 2014-04-09 | 华为技术有限公司 | 一种通信安全处理方法、装置及系统 |
| CN104618403A (zh) * | 2015-03-10 | 2015-05-13 | 网神信息技术(北京)股份有限公司 | 安全网关的访问控制方法和装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108494755A (zh) * | 2018-03-13 | 2018-09-04 | 华为技术有限公司 | 一种传输应用程序编程接口api请求的方法及装置 |
| CN108494755B (zh) * | 2018-03-13 | 2020-04-03 | 华为技术有限公司 | 一种传输应用程序编程接口api请求的方法及装置 |
| US11956210B2 (en) | 2018-03-13 | 2024-04-09 | Huawei Technologies Co., Ltd. | Method and apparatus for transmitting application programming interface API request |
| CN111416815A (zh) * | 2020-03-17 | 2020-07-14 | 深圳市信锐网科技术有限公司 | 报文处理方法、电子设备和存储介质 |
| CN111416815B (zh) * | 2020-03-17 | 2022-06-17 | 深圳市信锐网科技术有限公司 | 报文处理方法、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102047262B (zh) | 用于分布式安全内容管理系统的认证 | |
| CN104202338B (zh) | 一种适用于企业级移动应用的安全接入方法 | |
| CN101594360B (zh) | 局域网系统和维护局域网信息安全的方法 | |
| US10341350B2 (en) | Actively identifying and neutralizing network hot spots | |
| CN101540755B (zh) | 一种修复数据的方法、系统和装置 | |
| CN103780580B (zh) | 提供能力访问策略的方法、服务器和系统 | |
| CN104335546A (zh) | 使用邻居发现来为其它应用创建信任信息 | |
| CN101621380B (zh) | 一种终端安全状态评估方法、网络设备及系统 | |
| CN101159630B (zh) | 流量监管方法、系统和宽带接入服务器 | |
| CN103856332A (zh) | 一种多屏多因子便捷web身份认证的一对多账号映射绑定的实现方法 | |
| CN114553540B (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
| CN106161361B (zh) | 一种跨域资源的访问方法及装置 | |
| CN107770192A (zh) | 在多系统中身份认证的方法和计算机可读存储介质 | |
| CN106101054A (zh) | 一种多系统的单点登录方法和集中管控系统 | |
| CN102740296A (zh) | 一种移动终端可信网络接入方法和系统 | |
| CN101309279B (zh) | 终端访问的控制方法、系统和设备 | |
| CN106899561A (zh) | 一种基于acl的tnc权限控制方法和系统 | |
| CN103957194B (zh) | 一种网络协议ip接入方法及接入设备 | |
| CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| CN106341399A (zh) | 一种用户访问的控制方法及系统 | |
| US20220060463A1 (en) | Method for managing network devices, apparatus, and computer readable storage medium | |
| CN109728989A (zh) | 用于实现安全接入的方法、装置和系统 | |
| CN105812338A (zh) | 一种数据访问管控方法及网络管理设备 | |
| Kim et al. | A study on authentication mechanism in SEaaS for SDN | |
| CN107454050A (zh) | 一种访问网络资源的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170118 |
|
| RJ01 | Rejection of invention patent application after publication |