CN106790147A - 一种访问控制方法及其装置 - Google Patents
一种访问控制方法及其装置 Download PDFInfo
- Publication number
- CN106790147A CN106790147A CN201611238392.0A CN201611238392A CN106790147A CN 106790147 A CN106790147 A CN 106790147A CN 201611238392 A CN201611238392 A CN 201611238392A CN 106790147 A CN106790147 A CN 106790147A
- Authority
- CN
- China
- Prior art keywords
- access
- access control
- control policy
- terminal
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例涉及网络安全技术领域,尤其涉及一种访问控制方法及其装置,包括:控制器接收交换机发送的访问查询指令;控制器在确定未查询到访问终端的访问控制策略时,触发用户认证过程;控制器在用户认证通过后,获取用户的访问控制策略并作为访问终端的访问控制策略;控制器将访问终端对应的访问控制策略发送给交换机,以使交换机对访问终端的访问请求进行控制。可以看出,在未查询到访问终端的访问控制策略时,需要对用户进行认证,而在对用户认证通过之后,又根据用户对应的访问控制策略对用户的访问请求进行控制,因此,能够实现在全局范围内统一访问控制,保证访问控制策略的一致性,从而能够在BYOD场景中提升企业的网络安全。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种访问控制方法及其装置。
背景技术
随着员工智能终端日益增多和企业减少办公开支的需求,BYOD(Bring Your OwnDevice,自带设备)已经成为企业移动办公重要形式。然而,移动设备接入位置多变、属主身份复杂,以及企业网络的传统安全控制限于静态网络环境等因素,都给访客接入和移动办公的安全管理带来了诸多限制。
在传统的企业网络访问控制机制中,最普遍的解决方案是在网络边界部署访问控制设备,如防火墙,对未知的网络访问进行限制,当但存在移动设备通过无线接入企业内部网络时,以往的网络边界被打破,因此,在BYOD场景中,如何保证企业的网络安全是一个亟待解决的技术问题。
发明内容
本发明实施例提供一种访问控制方法及其装置,用以提升企业的网络安全。
本发明实施例提供一种访问控制方法,包括:
控制器接收交换机发送的访问查询指令,所述访问查询指令中携带有访问终端的标识信息和访问对象;
所述控制器在确定未查询到所述访问终端的访问控制策略时,触发用户认证过程;
所述控制器在用户认证通过后,获取所述用户的访问控制策略并作为所述访问终端的访问控制策略;
所述控制器从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略;
所述控制器将所述访问对象对应的访问控制策略发送给所述交换机,以使所述交换机对所述访问终端的访问请求进行控制。
较佳的,还包括:
所述控制器在确定查询到所述访问终端的访问控制策略时,从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略;
所述控制器将所述访问对象对应的访问控制策略发送给所述交换机,以使所述交换机对所述访问终端的访问请求进行控制。
较佳的,所述触发用户认证过程,包括:
所述控制器触发重定向请求至访问控制服务器;
获取所述用户的访问控制策略,包括:
接收所述访问控制服务器在对所述用户认证通过后,发送的所述用户的访问控制策略。
较佳的,所述用户的访问控制策略通过以下方式获得:
所述访问控制服务器在对所述用户认证通过后,根据所述用户的标识信息确定所述用户所属的角色;
根据所述角色查询访问控制策略库,得到所述用户的访问控制策略。
较佳的,还包括:
在检测到所述用户的访问请求为可疑攻击时,向所述访问控制服务器发送访问控制策略修改请求。
较佳的,还包括:
所述控制器定期删除所述控制器中存储的用户的访问控制策略。
较佳的,所述控制器为SDN控制器,所述交换机为SDN交换机。
本发明实施例还提供一种访问控制方法,包括:
交换机接收访问终端的访问请求,所述访问请求中携带有访问终端的标识信息和访问对象;
所述交换机确定自身未存储所述访问终端的针对所述访问对象的访问控制策略时,向控制器发送访问查询指令;
所述交换机接收所述控制器发送的所述访问终端的针对所述访问对象的访问控制策略,并根据所述访问终端的针对所述访问对象的访问控制策略对所述访问终端的访问请求进行控制。
本发明实施例提供一种访问控制装置,包括:
第一接收模块,用于接收交换机发送的访问查询指令,所述访问查询指令中携带有访问终端的标识信息和访问对象;
认证模块,用于在未查询到所述访问终端的访问控制策略时,触发用户认证过程;
获取模块,还用于在用户认证通过后,获取所述用户的访问控制策略并作为所述访问终端的访问控制策略;
还用于从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略;
第一发送模块,用于将所述访问对象对应的访问控制策略发送给所述交换机,以使所述交换机对所述访问终端的访问请求进行控制。
较佳的,
所述获取模块,还用于在确定查询到所述访问终端的访问控制策略时,从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略;
所述第一发送模块,还用于将所述访问对象对应的访问控制策略发送给所述交换机,以使所述交换机对所述访问终端的访问请求进行控制。
较佳的,所述认证模块,具体用于:
触发重定向请求至访问控制服务器;
所述获取模块,具体用于:
接收所述访问控制服务器在对所述用户认证通过后,发送的所述用户的访问控制策略。
较佳的,所述获取模块,具体用于:
在对所述用户认证通过后,根据所述用户的标识信息确定所述用户所属的角色;
根据所述角色查询访问控制策略库,得到所述用户的访问控制策略。
较佳的,所述第一发送模块,还用于:
在检测到所述用户的访问请求为可疑攻击时,向所述访问控制服务器发送访问控制策略修改请求。
较佳的,还包括:删除模块,
所述删除模块,用于定期删除用户的访问控制策略。
本发明实施例还提供一种用于访问控制的装置,包括:
第二接收模块,接收访问终端的访问请求,所述访问请求中携带有访问终端的标识信息和访问对象;
第二发送模块,用于确定自身未存储所述访问终端的针对所述访问对象的访问控制策略时,向控制器发送访问查询指令;
控制模块,用于在接收所述控制器发送的所述访问终端的针对所述访问对象的访问控制策略后,根据所述访问终端的针对所述访问对象的访问控制策略对所述访问终端的访问请求进行控制。
上述实施例提供的一种访问控制方法及其装置,包括:控制器接收交换机发送的访问查询指令,所述访问查询指令中携带有访问终端的标识信息和访问对象;所述控制器在确定未查询到所述访问终端的访问控制策略时,触发用户认证过程;所述控制器在用户认证通过后,获取所述用户的访问控制策略并作为所述访问终端的访问控制策略;从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略;所述控制器将所述访问对象对应的访问控制策略发送给所述交换机,以使所述交换机对所述访问终端的访问请求进行控制。可以看出,在未查询到访问终端的访问控制策略时,需要对用户进行认证,而在对用户认证通过之后,又根据用户对应的访问控制策略对用户的访问请求进行控制,因此,能够实现在全局范围内统一访问控制,保证访问控制策略的一致性,从而能够在BYOD场景中提升企业的网络安全。此外,由于在获取用户对应的的访问控制策略时,还可基于用户所属的角色获取用户对应的访问控制策略,因此,还能实现访问控制的细粒度。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍。
图1为本发明实施例提供的一种访问控制系统架构示意图;
图2为本发明实施例提供的一种访问控制方法的方法流程示意图;
图3为本发明实施例提供的另一种访问控制方法的方法流程示意图;
图4为本发明实施例提供的一种访问控制装置的结构示意图;
图5为本发明实施例提供的另外一种访问控制装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1示例性示出了本发明实施例适用的一种访问控制系统架构示意图,如图1所示,本发明实施例适用的访问控制系统架构可包括:访问终端101、交换机102、控制器103、访问控制服务器104、安全设备105。
其中,访问终端101用于通过交换机102将数据包发送出去,交换机102用于接收访问终端101发送的数据包,并根据控制器103下发的访问控制策略将该数据包通过安全设备105发送出去,访问控制服务器104用于对用户认证以及存储访问控制策略;安全设备105用于对发送出去的数据包进行检测,当检测到可疑数据包时,可修改访问控制策略。
具体的,当安全设备105检测到可疑数据包时,会以事件形式通知控制器103,控制器103筛选出与访问控制相关的事件,然后控制器将筛选出的与访问控制相关的事件通知访问控制服务器104,以使访问控制服务器104根据预先的事件处理规则修改用户已有的访问控制策略。
安全设备105可以为防火墙,安全设备105也可以为Web应用防火墙,安全设备105还可以为入侵检测系统等设备。
可选的,在控制器103与访问控制服务器104之间还可设置安全控制器(图中未示出),安全控制器可对访问控制服务器下发的访问控制策略进行解析,并将解析后的访问控制策略发送给控制器。
本发明实施例中,交换机102可以为一个,交换机102也可以为多个,当交换机102为多个时,多个交换机可以部署在不同额位置,并且多个交换机102由控制器103集中进行管理。
本发明实施例中,访问终端101可以是固定位置的访问终端,当访问终端101是固定位置的访问终端时,访问终端101可通过网络接入交换机,访问终端101也可以是无线终端,当访问终端101是无线终端访问终端时,访问终端101可通过AP(Access Point,无线接入点)、站控制器、或任何其它类型的能够在无线环境中工作的接口设备接入交换机。
其中,无线终端可以是指向用户提供语音和/或数据连通性的设备,具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。无线终端可以是移动终端,如移动电话(或称为“蜂窝”电话)和具有移动终端的计算机,例如,可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置,它们与无线接入网交换语言和/或数据。例如,个人通信业务(PCS,Personal Communication Service)电话、无绳电话、会话发起协议(SIP)话机、无线本地环路(WLL,Wireless Local Loop)站、个人数字助理(PDA,PersonalDigital Assistant)等设备。
基于图1所示的系统架构的基础上,图2示例性示出了本发明实施例提供的一种访问控制方法的方法流程示意图,如图2所示,该方法可包括:
S201、控制器接收交换机发送的访问查询指令,该访问查询指令中携带有访问终端的标识信息和访问对象。
S202、控制器在确定未查询到访问终端的访问控制策略时,触发用户认证过程。
S203、控制器在用户认证通过后,获取用户的访问控制策略并作为访问终端的访问控制策略。
S204、控制器从访问终端的访问控制策略中获取所述访问对象对应的访问控制策略。
S205、控制器将访问对象对应的访问控制策略发送给交换机,以使交换机对访问终端的访问请求进行控制。
上述步骤S201中的访问终端的标识信息可以为访问终端的MAC地址,也可以为其余类型的用户标识访问终端的标识信息。
上述步骤S201中的访问对象可以为URL(Uniform Resource Locator,统一资源定位符),也可以为源IP(Internet Protocol,网络之间协议)地址。可选的,若控制器未查询到访问终端的访问控制策略时,从访问终端的访问控制策略中获取访问对象对应的访问控制策略,然后控制器将访问对象对应的访问控制策略发送给交换机,以使交换机对访问终端的访问请求进行控制。
具体的,在初始化时,预先在交换机存储器中存储已认证的终端标识列表,终端将访问请求数据包发送给交换机,交换机接收到终端发送的访问请求数据包时,判断该访问请求数据包的协议类型,若交换机确定该访问请求数据包的协议类型不是HTTP(HyperTextTransfer Protocol,超文本传输协议)的访问请求数据包时,则将该访问请求数据包进行丢弃,而当交换机确定该访问请求数据包的协议类型为HTTP的访问请求数据包时,则向控制器发送访问查询指令,该访问查询指令中携带有该终端标识信息,控制器在接收到访问查询指令后,判断访问查询指令中携带的终端标识信息是否存在于已认证的终端标识列表中,若存在,则将该终端的访问请求重定向至访问控制服务器,由访问控制服务器对该终端进行认证,在访问控制服务器对该终端进行认证通过之后,访问控制服务器将该终端的访问控制策略发送给安全控制器,由安全控制器对访问控制服务器发送的访问控制策略进行解析,安全控制器在对访问控制策略进行解析后,将解析后的访问控制策略发送给控制器,控制器将一部分策略转换成交换机能够识别的格式发送给交换机,例如,控制器将允许交换机接收所有类型的数据包的访问控制策略下发给交换机,以使交换机能够接收终端发送的所有类型的访问数据包。同时,控制器保留一部分策略,以使交换机后续再接收到终端发送的访问请求数据包时,发送查询指令来获取。
具体的,在制定访问控制策略时,可基于访问请求数据包的目的IP地址进行制定。
例如,针对终端的MAC地址为:14:f6:5a:f6:9e:30的访问控制策略,可以制定的访问控制策略如下:
1、允许源MAC地址为14:f6:5a:f6:9e:30,访问目的IP地址为192.168.1.7和192.168.2.8,且该策略优先级为“1”。
2、允许源MAC为14:f6:5a:f6:9e:30,访问目的IP地址段192.168.1.10~192.168.1.19,且该策略的优先级为“2”。
3、不允许源MAC为14:f6:5a:f6:9e:30,访问目的IP地址段为192.168.1.100~192.168.1.106,且该策略的优先级为“3”。
当控制器存储上述三条访问控制策略时,表示当控制器接收到交换机基于源MAC“14:f6:5a:f6:9e:30”的访问查询指令时,由于上述第一条访问控制策略的优先级最高,因此,先判断源MAC“14:f6:5a:f6:9e:30”的访问请求数据包中携带的目的IP地址是否符合第一条访问控制策略,若符合,则将该条访问控制策略发送给交换机,以使交换机根据该条访问控制策略将源MAC“14:f6:5a:f6:9e:30”的访问请求数据包发送出去,否则,继续查找优先级次之的第二条访问控制策略。
当控制器接收到MAC地址为:14:f6:5a:f6:9e:30的访问请求数据包时,控制器允许目的IP地址为192.168.2.8的访问请求数据包通过的访问控制策略可如下所示:
其中,id为策略编号,priority为策略的优先级,subject表示策略的主体,即控制器(策略由控制器执行),appid表示策略由byod-app发出,ObjID表示客体编号,ObjType为NETWORK_FLOW表示客体的类型为网络流,ObjMatch中的src_mac表示用户设备的源MAC地址,dst_ip表示目的地址,action表示策略类型。
可选的,为了实现访问控制的细粒度,在制定访问控制策略时,不仅可基于用户进行制定,还基于用户所属的角色进行制定。
例如,针对访客制定的访问策略为:允许源MAC地址为14:f6:5a:f6:9e:30,访问目的IP地址为192.168.1.7和192.168.2.8,且该策略优先级为“1”,并且用户A和用户B的角色均为访客时,访问控制服务器在对用户A认证通过之后,将访问控制策略“允许源MAC地址为14:f6:5a:f6:9e:30,访问目的IP地址为192.168.1.7和192.168.2.8,且该策略优先级为“1”发送给控制器,由控制将该访问控制策略转换成交换机能够识别的流表格式,相应的,由于用户A和用户B的角色均为访客,而访客对应的访问控制策略为“访问目的IP地址为192.168.1.7和192.168.2.8,且该策略优先级为“1””,因此,访问控制服务器在对用户B认证通过之后,也将访问控制策略“允许源MAC地址为14:f6:5a:f6:9e:31,访问目的IP地址为192.168.1.7和192.168.2.8,且该策略优先级为“1”发送给控制器,由交换机控制将该访问控制策略转换成交换机能够识别的流表格式。
可选的,为了保护系统的安全,当检测到用户的访问请求为可疑攻击时,还可向访问控制服务器发送访问控制策略修改请求。
例如,用户C的访问控制策略为:允许源MAC地址为14:f6:5a:f6:9e:32的终端,访问的目的IP地址192.168.1.7,而当安全设备检测到源MAC地址为14:f6:5a:f6:9e:32的终端,访问的目的IP地址192.168.1.7为可疑攻击时,可向访问控制服务器发送访问控制策略修改请求,且该访问控制策略修改请求的内容为“拒绝源MAC地址为14:f6:5a:f6:9e:32的终端,访问目的IP地址192.168.1.7”,当访问控制服务器将接收到该策略修改请求时,向控制器发送删除指令以使控制器删除访问控制策略“允许源MAC地址为14:f6:5a:f6:9e:32的终端,访问的目的IP地址192.168.1.7”,并将修改后的访问控制策略“拒绝源MAC地址为14:f6:5a:f6:9e:32的终端,访问目的IP地址192.168.1.7”发送给控制器,以使控制器将修改后的访问控制策略转换成交换机能够识别的格式发送给交换机执行修改后的访问控制策略。
可选的,在访问终端一段时间内不进行网络访问时,控制器还可定期删除控制器中存储的用户的访问控制策略。
可选的,交换机可以为SDN(Software Defined Network,软件定义网络),交换机,相应的,控制器可以为SDN控制器。
基于图1所示的系统架构的基础上,本发明实施例还提供另外一种访问控制方法的方法流程示意图。
图3示例性示出了本发明实施例提供的一种访问控制方法的方法流程示意图,如图3所示,该方法可包括:
S301、交换机接收访问终端的访问请求,该访问请求中携带有访问终端的标识信息和访问对象。
S302、交换机确定自身未存储访问终端的针对访问对象的访问控制策略时,向控制器发送访问查询指令。
S303、交换机接收控制器发送的访问终端的针对访问对象的访问控制策略,并根据访问终端的针对访问对象的访问控制策略对访问终端的访问请求进行控制。
下面通过一个具体的例子,对上述的方法流程进行详细的解释说明。
该例子适用于图1所示的系统架构,并假设预先在控制器中存储的MAC认证列表可如表格一所示:
表格一
| 已认证的源MAC |
| MAC1 |
| MAC2 |
| MAC3 |
进一步假设预先在访问控制服务器中存储的访问控制策略库可如表格二所示:
表格二
在初始化时,用户M使用MAC地址为MAC1的终端1向交换机发送数据包1,并且数据包1中携带的源MAC地址为MAC1,数据包1的协议类型为http,因此,交换机在接收到数据包1后向控制器询问MAC1是否为认证MAC,由于MAC1存在于上述表格一所述的MAC认证列表中,因此,控制器可通过交换机将数据包1重定向至访问控制服务器的认证页面,让用户M输入认证用户名以及认证密码,当接收到用户M的用户名“小王”以及认证密码“123”后,对用户M进行认证通过,在对用户M进行认证通过后,可确定用户M对应的角色,并确定该角色所对应的访问控制策略,由于在上述表格二所示的访问控制策略库中用户M对应的角色为“访客”,因此,可将“访客”对应的访问控制策略作为MAC1对应的访问控制策略发送给安全控制器,安全控制器对接收到的MAC1对应的访问控制策略进行解析后发送给控制器,控制器将访问控制策略中的“允许交换机接收所有协议类型的数据包,且执行的动作为向控制器查询”这一部分策略进行格式转换后发送给交换机,此时,交换机在接收到控制器下发的访问控制策略生成的流表,可如下列表格三所示。
表格三
从上述表格三可以看出,此时,交换机的访问控制流表中,共有1项流表项,并对应策略编号为“1”的访问控制策略。
同时,访问控制器将访问控制策略中策略编号为“2”的访问控制策略、策略编号为“3”的访问控制策略以及策略编号为“4”的访问控制策略,转换成表格四所示的访问控制策略进行存储。
表格四
因此,当交换机继续接收到用户M发送的源MAC地址为MAC1的数据包2时,并且数据包2中携带的源MAC地址为MAC1,目的IP地址为192.168.1.7,可执行上述表格三所述的访问控制策略,即交换机接收到数据包2时,执行的动作为查询控制器,控制器在接收到交换机针对数据包2的查询请求时,由于上述表格四中存储的针对源MAC地址为MAC1对应的访问控制策略为“允许访问目的IP地址192.168.1.7”,因此,将访问控制策略“允许访问目的IP地址192.168.1.7”转换成交换机能够识别的流表形式发送给交换机,至此,交换机中存储的流表可如下列表格五所示:
表格五
从上述表格五可以看出,此时,交换机的访问控制流表中,共有2项流表项,分别对应策略编号为“1”的访问控制策略和策略编号为“2”的访问控制策略。
进一步假设预先设置交换机中针对每个MAC地址的流表项存储时间为5s,则若在5s钟之内,继续接收到源MAC为MAC1的数据包3,并且数据包3中携带的源MAC地址为MAC1,目的IP地址为192.168.1.7,此时,由于上述表格五所示的交换机流表项中存储有对应的存储策略,又由于在上述表格五所述的交换机流表中,策略编号为“2”的访问控制策略高于策略编号为“1”的访问控制策略,因此,可将数据包3直接通过交换机发送出去,并不需要去询问控制器。
若在5s钟之内,继续接收到源MAC为MAC1的数据包4,并且数据包3中携带的源MAC地址为MAC1,目的IP地址为192.168.1.10,此时,由于上述表格五所示的交换机流表项中并未存储有对应的存储策略,因此,根据上述表格五所示的交换机流表中策略编号为“1”的访问控制策略,执行的动作为查询控制器,控制器在接收到交换机针对数据包4的查询请求时,由于上述表格四中存储的针对源MAC地址为MAC1对应的访问控制策略为“允许访问目的IP地址段192.168.1.10~192.168.1.19”,因此,将访问控制策略“允许访问目的IP地址段192.168.1.10”转换成交换机能够识别的流表形式发送给交换机,至此,交换机中存储的流表可如下列表格六所示:
表格六
此时,可根据交换机中流表中策略编号为“3”的访问控制策略将数据4通过安全控制器发送出去。
需要注意的是,针对交换机中存储的上述表格六所示流表中策略编号为“2”的访问控制策略以及策略编号为“3”的访问控制策略,可预先设置清除时间,例如,预先设置的清除时间为5s,表示对策略编号为“2”的访问控制策略进行检测,当检测到策略编号为“2”的访问控制策略在交换机的流表中存在的时间为5s钟时,自动请求该条流表项,即自动清除该条策略。
而针对控制器中存储的针对MAC地址为MAC1的访问控制策略,可对用户的访问请求进行检测,当检测到用户在预先设置的时间段不发送任何数据包时,即可将控制器中MAC1对应的访问控制策略进行删除。
根据以上内容可以看出,在未查询到访问终端的访问控制策略时,需要对用户进行认证,而在对用户认证通过之后,又根据用户对应的访问控制策略对用户的访问请求进行控制,因此,能够实现在全局范围内统一访问控制,保证访问控制策略的一致性,从而能够在BYOD场景中提升企业的网络安全。此外,由于在获取用户对应的的访问控制策略时,还可基于用户所属的角色获取用户对应的访问控制策略,因此,还能实现访问控制的细粒度。
基于相同的技术构思,本发明实施例提供一种访问控制装置,如图4所示,该装置可包括:
第一接收模块401,用于接收交换机发送的访问查询指令,所述访问查询指令中携带有访问终端的标识信息和访问对象;
认证模块402,用于在未查询到所述访问终端的访问控制策略时,触发用户认证过程;
获取模块403,还用于在用户认证通过后,获取所述用户的访问控制策略并作为所述访问终端的访问控制策略;
还用于从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略;
第一发送模块404,用于将所述访问对象对应的访问控制策略发送给所述交换机,以使所述交换机对所述访问终端的访问请求进行控制。
较佳的,获取模块403,还用于在确定查询到所述访问终端的访问控制策略时,从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略;
第一发送模块404,还用于将所述访问对象对应的访问控制策略发送给所述交换机,以使所述交换机对所述访问终端的访问请求进行控制。
较佳的,认证模块402,具体用于:
触发重定向请求至访问控制服务器;
获取模块403,具体用于:
接收所述访问控制服务器在对所述用户认证通过后,发送的所述用户的访问控制策略。
较佳的,获取模块403,具体用于:
在对所述用户认证通过后,根据所述用户的标识信息确定所述用户所属的角色;
根据所述角色查询访问控制策略库,得到所述用户的访问控制策略。
较佳的,第一发送模块404,还用于:
在检测到所述用户的访问请求为可疑攻击时,向所述访问控制服务器发送访问控制策略修改请求。
较佳的,还包括:删除模块405,
删除模块405,用于定期删除用户的访问控制策略。
本发明实施例还提供另外一种访问控制装置,如图5所示,该装置可包括:
第二接收模块501,接收访问终端的访问请求,所述访问请求中携带有访问终端的标识信息和访问对象;
第二发送模块502,用于确定自身未存储所述访问终端的针对所述访问对象的访问控制策略时,向控制器发送访问查询指令;
控制模块503,用于在接收所述控制器发送的所述访问终端的针对所述访问对象的访问控制策略后,根据所述访问终端的针对所述访问对象的访问控制策略对所述访问终端的访问请求进行控制。
综上,本发明实施例提供的一种访问控制方法及其装置,包括:控制器接收交换机发送的访问查询指令,所述访问查询指令中携带有访问终端的标识信息和访问对象;所述控制器在确定未查询到所述访问终端的访问控制策略时,触发用户认证过程;所述控制器在用户认证通过后,获取所述用户的访问控制策略并作为所述访问终端的访问控制策略;从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略;所述控制器将所述访问对象对应的访问控制策略发送给所述交换机,以使所述交换机对所述访问终端的访问请求进行控制。可以看出,在未查询到访问终端的访问控制策略时,需要对用户进行认证,而在对用户认证通过之后,又根据用户对应的访问控制策略对用户的访问请求进行控制,因此,能够实现在全局范围内统一访问控制,保证访问控制策略的一致性,从而能够在BYOD场景中提升企业的网络安全。此外,由于在获取用户对应的的访问控制策略时,还可基于用户所属的角色获取用户对应的访问控制策略,因此,还能实现访问控制的细粒度。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (15)
1.一种访问控制方法,其特征在于,包括:
控制器接收交换机发送的访问查询指令,所述访问查询指令中携带有访问终端的标识信息和访问对象;
所述控制器在确定未查询到所述访问终端的访问控制策略时,触发用户认证过程;
所述控制器在用户认证通过后,获取所述用户的访问控制策略并作为所述访问终端的访问控制策略;
所述控制器从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略;
所述控制器将所述访问对象对应的访问控制策略发送给所述交换机,以使所述交换机对所述访问终端的访问请求进行控制。
2.如权利要求1所述的方法,其特征在于,还包括:
所述控制器在确定查询到所述访问终端的访问控制策略时,从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略;
所述控制器将所述访问对象对应的访问控制策略发送给所述交换机,以使所述交换机对所述访问终端的访问请求进行控制。
3.如权利要求1所述的方法,其特征在于,所述触发用户认证过程,包括:
所述控制器触发重定向请求至访问控制服务器;
获取所述用户的访问控制策略,包括:
接收所述访问控制服务器在对所述用户认证通过后,发送的所述用户的访问控制策略。
4.如权利要求1所述的方法,其特征在于,所述用户的访问控制策略通过以下方式获得:
所述访问控制服务器在对所述用户认证通过后,根据所述用户的标识信息确定所述用户所属的角色;
根据所述角色查询访问控制策略库,得到所述用户的访问控制策略。
5.如权利要求1所述的方法,其特征在于,还包括:
在检测到所述用户的访问请求为可疑攻击时,向所述访问控制服务器发送访问控制策略修改请求。
6.如权利要求1所述的方法,其特征在于,还包括:
所述控制器定期删除所述控制器中存储的用户的访问控制策略。
7.如权利要求1~6任一项所述的方法,其特征在于,所述控制器为SDN控制器,所述交换机为SDN交换机。
8.一种访问控制方法,其特征在于,包括:
交换机接收访问终端的访问请求,所述访问请求中携带有访问终端的标识信息和访问对象;
所述交换机确定自身未存储所述访问终端的针对所述访问对象的访问控制策略时,向控制器发送访问查询指令;
所述交换机接收所述控制器发送的所述访问终端的针对所述访问对象的访问控制策略,并根据所述访问终端的针对所述访问对象的访问控制策略对所述访问终端的访问请求进行控制。
9.一种访问控制装置,其特征在于,包括:
第一接收模块,用于接收交换机发送的访问查询指令,所述访问查询指令中携带有访问终端的标识信息和访问对象;
认证模块,用于在未查询到所述访问终端的访问控制策略时,触发用户认证过程;
获取模块,还用于在用户认证通过后,获取所述用户的访问控制策略并作为所述访问终端的访问控制策略;
还用于从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略;
第一发送模块,用于将所述访问对象对应的访问控制策略发送给所述交换机,以使所述交换机对所述访问终端的访问请求进行控制。
10.如权利要求9所述的装置,其特征在于
所述获取模块,还用于在确定查询到所述访问终端的访问控制策略时,从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略;
所述第一发送模块,还用于将所述访问对象对应的访问控制策略发送给所述交换机,以使所述交换机对所述访问终端的访问请求进行控制。
11.如权利要求9所述的装置,其特征在于,所述认证模块,具体用于:
触发重定向请求至访问控制服务器;
所述获取模块,具体用于:
接收所述访问控制服务器在对所述用户认证通过后,发送的所述用户的访问控制策略。
12.如权利要求9所述的装置,其特征在于,所述获取模块,具体用于:
在对所述用户认证通过后,根据所述用户的标识信息确定所述用户所属的角色;
根据所述角色查询访问控制策略库,得到所述用户的访问控制策略。
13.如权利要求9所述的装置,其特征在于,所述第一发送模块,还用于:
在检测到所述用户的访问请求为可疑攻击时,向所述访问控制服务器发送访问控制策略修改请求。
14.如权利要求9所述的装置,其特征在于,还包括:删除模块,
所述删除模块,用于定期删除用户的访问控制策略。
15.一种用于访问控制的装置,其特征在于,包括:
第二接收模块,接收访问终端的访问请求,所述访问请求中携带有访问终端的标识信息和访问对象;
第二发送模块,用于确定自身未存储所述访问终端的针对所述访问对象的访问控制策略时,向控制器发送访问查询指令;
控制模块,用于在接收所述控制器发送的所述访问终端的针对所述访问对象的访问控制策略后,根据所述访问终端的针对所述访问对象的访问控制策略对所述访问终端的访问请求进行控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611238392.0A CN106790147A (zh) | 2016-12-28 | 2016-12-28 | 一种访问控制方法及其装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611238392.0A CN106790147A (zh) | 2016-12-28 | 2016-12-28 | 一种访问控制方法及其装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106790147A true CN106790147A (zh) | 2017-05-31 |
Family
ID=58923140
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611238392.0A Pending CN106790147A (zh) | 2016-12-28 | 2016-12-28 | 一种访问控制方法及其装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106790147A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108366068A (zh) * | 2018-02-26 | 2018-08-03 | 浙江大学 | 一种软件定义网络下基于策略语言的云端网络资源管理控制系统 |
| CN108566643A (zh) * | 2018-04-24 | 2018-09-21 | 深信服科技股份有限公司 | App访问控制方法、系统、终端设备及存储介质 |
| CN109067755A (zh) * | 2018-08-17 | 2018-12-21 | 深圳市永达电子信息股份有限公司 | 一种安全交换机的访问控制方法和系统 |
| CN109347784A (zh) * | 2018-08-10 | 2019-02-15 | 锐捷网络股份有限公司 | 终端准入控制方法、控制器、管控设备及系统 |
| CN110830495A (zh) * | 2019-11-14 | 2020-02-21 | Oppo广东移动通信有限公司 | 网络访问管理方法及相关设备 |
| CN110891035A (zh) * | 2019-11-21 | 2020-03-17 | 迈普通信技术股份有限公司 | 一种设备接入管理方法、装置及系统 |
| CN111030971A (zh) * | 2019-03-21 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种分布式访问控制方法、装置及存储设备 |
| CN113839949A (zh) * | 2021-09-26 | 2021-12-24 | 锐捷网络股份有限公司 | 一种访问权限管控系统、方法、芯片及电子设备 |
| CN115412319A (zh) * | 2022-08-19 | 2022-11-29 | 浪潮思科网络科技有限公司 | 一种基于策略随行的网络权限控制方法、设备及介质 |
| CN112243003B (zh) * | 2020-10-13 | 2023-04-11 | 中移(杭州)信息技术有限公司 | 访问控制方法、电子设备及存储介质 |
| CN116389032A (zh) * | 2022-12-29 | 2023-07-04 | 国网甘肃省电力公司庆阳供电公司 | 一种基于sdn架构的电力信息传输链路身份验证方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101465856A (zh) * | 2008-12-31 | 2009-06-24 | 杭州华三通信技术有限公司 | 一种对用户进行访问控制的方法和系统 |
| CN102340493A (zh) * | 2010-07-21 | 2012-02-01 | 中兴通讯股份有限公司 | 访问控制方法及网关 |
| CN104780147A (zh) * | 2014-01-14 | 2015-07-15 | 杭州华三通信技术有限公司 | 一种byod访问控制的方法及装置 |
| CN104917793A (zh) * | 2014-03-13 | 2015-09-16 | 中国移动通信集团河北有限公司 | 一种访问控制方法、装置及系统 |
| CN105745886A (zh) * | 2013-09-23 | 2016-07-06 | 迈克菲股份有限公司 | 在两个实体之间提供快速路径 |
-
2016
- 2016-12-28 CN CN201611238392.0A patent/CN106790147A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101465856A (zh) * | 2008-12-31 | 2009-06-24 | 杭州华三通信技术有限公司 | 一种对用户进行访问控制的方法和系统 |
| CN102340493A (zh) * | 2010-07-21 | 2012-02-01 | 中兴通讯股份有限公司 | 访问控制方法及网关 |
| CN105745886A (zh) * | 2013-09-23 | 2016-07-06 | 迈克菲股份有限公司 | 在两个实体之间提供快速路径 |
| CN104780147A (zh) * | 2014-01-14 | 2015-07-15 | 杭州华三通信技术有限公司 | 一种byod访问控制的方法及装置 |
| CN104917793A (zh) * | 2014-03-13 | 2015-09-16 | 中国移动通信集团河北有限公司 | 一种访问控制方法、装置及系统 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108366068A (zh) * | 2018-02-26 | 2018-08-03 | 浙江大学 | 一种软件定义网络下基于策略语言的云端网络资源管理控制系统 |
| CN108566643A (zh) * | 2018-04-24 | 2018-09-21 | 深信服科技股份有限公司 | App访问控制方法、系统、终端设备及存储介质 |
| CN109347784A (zh) * | 2018-08-10 | 2019-02-15 | 锐捷网络股份有限公司 | 终端准入控制方法、控制器、管控设备及系统 |
| CN109067755A (zh) * | 2018-08-17 | 2018-12-21 | 深圳市永达电子信息股份有限公司 | 一种安全交换机的访问控制方法和系统 |
| CN111030971A (zh) * | 2019-03-21 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种分布式访问控制方法、装置及存储设备 |
| CN110830495A (zh) * | 2019-11-14 | 2020-02-21 | Oppo广东移动通信有限公司 | 网络访问管理方法及相关设备 |
| CN110891035A (zh) * | 2019-11-21 | 2020-03-17 | 迈普通信技术股份有限公司 | 一种设备接入管理方法、装置及系统 |
| CN110891035B (zh) * | 2019-11-21 | 2022-04-05 | 迈普通信技术股份有限公司 | 一种设备接入管理方法、装置及系统 |
| CN112243003B (zh) * | 2020-10-13 | 2023-04-11 | 中移(杭州)信息技术有限公司 | 访问控制方法、电子设备及存储介质 |
| CN113839949A (zh) * | 2021-09-26 | 2021-12-24 | 锐捷网络股份有限公司 | 一种访问权限管控系统、方法、芯片及电子设备 |
| CN113839949B (zh) * | 2021-09-26 | 2023-10-24 | 锐捷网络股份有限公司 | 一种访问权限管控系统、方法、芯片及电子设备 |
| CN115412319A (zh) * | 2022-08-19 | 2022-11-29 | 浪潮思科网络科技有限公司 | 一种基于策略随行的网络权限控制方法、设备及介质 |
| CN115412319B (zh) * | 2022-08-19 | 2024-03-26 | 浪潮思科网络科技有限公司 | 一种基于策略随行的网络权限控制方法、设备及介质 |
| CN116389032A (zh) * | 2022-12-29 | 2023-07-04 | 国网甘肃省电力公司庆阳供电公司 | 一种基于sdn架构的电力信息传输链路身份验证方法 |
| CN116389032B (zh) * | 2022-12-29 | 2023-12-08 | 国网甘肃省电力公司庆阳供电公司 | 一种基于sdn架构的电力信息传输链路身份验证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106790147A (zh) | 一种访问控制方法及其装置 | |
| CN103825895B (zh) | 一种信息处理方法及电子设备 | |
| CN103546294B (zh) | 门禁授权方法、装置及设备 | |
| US10979291B2 (en) | Systems and methods to build a monitoring fabric | |
| CN103475996B (zh) | 网络连接方法、网络共享方法及装置 | |
| US20160234179A1 (en) | User control over wifi network access | |
| US20070066280A1 (en) | Connection management system, method and program | |
| RU2013143020A (ru) | Система связи, база данных, устройство управления, способ связи и программа | |
| JP6424820B2 (ja) | 機器管理システム、機器管理方法及びプログラム | |
| WO2005088909A1 (ja) | アクセス制御システム、並びにそれに用いられるアクセス制御装置、及びリソース提供装置 | |
| EP3113419A1 (en) | Network accessing method and router | |
| CN106663084B (zh) | 用于配置电子装置的方法和系统 | |
| CN106936676A (zh) | 家居设备控制方法及装置 | |
| CN107257574A (zh) | 用于促进不同类型的无线网络的通信的方法和装置 | |
| CN105141699B (zh) | 应用程序的控制方法及装置 | |
| CN106161396A (zh) | 一种实现虚拟机网络访问控制的方法及装置 | |
| CN104967572B (zh) | 网络访问方法、装置及设备 | |
| JP6108344B2 (ja) | アクセス管理装置、アクセス管理方法及びプログラム | |
| CN108012270A (zh) | 一种信息处理的方法、设备和计算机可读存储介质 | |
| CN105915416A (zh) | 一种信息处理方法及终端设备 | |
| CN103441931B (zh) | 一种报文发送方法及装置 | |
| US20130260804A1 (en) | Apparatus and method for wireless network connection | |
| US10110551B1 (en) | Computer-implemented system and methods for providing IPoE network access using software defined networking | |
| JP2003283546A (ja) | 無線モバイルルータ | |
| CN105072205B (zh) | 基于蓝桥的网络系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170531 |