CN107508822B - 访问控制方法及装置 - Google Patents
访问控制方法及装置 Download PDFInfo
- Publication number
- CN107508822B CN107508822B CN201710795143.XA CN201710795143A CN107508822B CN 107508822 B CN107508822 B CN 107508822B CN 201710795143 A CN201710795143 A CN 201710795143A CN 107508822 B CN107508822 B CN 107508822B
- Authority
- CN
- China
- Prior art keywords
- white list
- terminal
- information
- access
- list information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供一种访问控制方法及装置,通过在NAS服务器上设置白名单数据接收接口,在Portal服务器上设置白名单配置。当NAS服务器接收到未通过认证的终端发送的访问请求时,将访问请求重定位到Portal服务器,使终端从所述Portal服务器上获取白名单配置后,发送至所述白名单数据接收接口,所述NAS服务器根据接收到的白名单数据对所述终端的访问流量进行控制。本发明提供的方案可以在Portal服务器集中管理白名单控制规则,并在终端发起访问请求时实时生效,如此,大大提高了的白名单控制规则的配置效率。
Description
技术领域
本发明涉及通信控制技术领域,具体而言,涉及一种访问控制方法及装置。
背景技术
在公共场所的访客网络访问控制管理中,常采用认证服务器(Portal服务器)进行访问控制。在一些场景中,需要允许放行终端在通过Portal服务器认证前的部分访问流量,例如,对推荐的广告页面的访问流量,或对与Portal服务器对接的第三方认证平台的访问流量。现有技术中,采用在网络接入(Network Access Server,NAS)服务器上设置认证前白名单,当检测到终端向认证前白名单中的地址发起访问请求时,放行访问流量。在NAS服务器较多时,一旦认证前白名单发生变动,需要对NAS服务器进行逐一配置,配置工作量大,且效率不高。
发明内容
为了克服现有技术中的上述不足,本发明的目的在于提供一种访问控制方法,应用于网络接入服务器,所述方法包括:
接收终端发送的第一访问请求,所述第一访问请求包括该终端的身份信息;
根据所述终端的身份信息,检测所述终端是否已通过认证;
在检测到所述终端未通过认证时,向所述终端发送重定向报文,使所述终端向认证服务器发起第二访问请求;
接收所述终端从所述认证服务器获得的白名单信息,所述白名单信息中包括所述认证服务器中预设的白名单配置;
根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制。
可选地,在上述方法中,所述白名单信息还携带有所述认证服务器在接收到所述第二访问请求时生成的时间戳;所述根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制的步骤之前,所述方法还包括:
检测接收到所述白名单信息时的当前时间与所述时间戳之间的时间差是否大于一个预设的时间阈值;
当所述时间差大于所述时间阈值时,丢弃接收到的所述白名单信息;
当所述时间差不大于所述时间阈值时,执行根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制的步骤。
可选地,在上述方法中,所述白名单信息还携带有所述认证服务器从所述第二访问请求中获取的终端的身份信息;所述根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制的步骤之前,所述方法还包括:
检测发送所述白名单信息的终端的身份信息是否与所述白名单信息中携带的终端的身份信息相同;
当两个身份信息不相同时,丢弃接收到的所述白名单信息;
当两个身份信息相同时,执行根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制的步骤。
可选地,在上述方法中,所述白名单信息还携带有根据所述预设的白名单配置、时间戳以及终端的身份信息和预先配置的共享密钥生成的第一验证信息;所述根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制的步骤之前,所述方法还包括:
根据所述白名单信息中的白名单配置、所述时间戳以及所述终端的身份信息以及预先配置的共享密钥生成第二验证信息;
检测所述第一验证信息与所述第二验证信息是否相同;
当所述第一验证信息与所述第二验证信息不相同时,丢弃接收到的所述白名单信息;
当所述第一验证信息与所述第二验证信息相同时,执行根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制的步骤。
可选地,在上述方法中,所述根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制的步骤,包括:
接收未通过认证的终端发送的访问请求,所述访问请求包括该终端的身份信息,根据该终端的身份信息查找与该终端相应的白名单控制规则;
所述根据查找到的所述白名单控制规则对所述终端的访问流量进行控制。
可选地,在上述方法中,所述白名单控制规则包括白名单列表及允许访问时限;所述根据查找到的所述白名单控制规则对所述终端的访问流量进行控制的步骤,包括:
在所述允许访问时限内,放行所述终端对所述白名单列表中地址的访问流量。
本发明的另一目的在于提供一种访问控制方法,应用于认证服务器,所述方法包括:
接收终端发送的第二访问请求,根据预设的白名单配置生成白名单信息;
向所述终端发送响应报文,所述响应报文中携带有所述白名单信息,使所述终端将所述白名单信息发送给网络接入服务器后,所述网络接入服务器根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制。
可选地,在上述方法中,所述接收终端发送的第二访问请求,根据所述预设的白名单配置生成白名单信息,具体包括:
在接收到所述第二访问请求时生成时间戳;
从所述第二访问请求中获取所述终端的身份信息;
根据所述预设白名单配置、所述时间戳、所述终端的身份信息以及预设的共享密钥生成第一验证信息;
根据所述预设的白名单配置、所述时间戳、所述终端的身份信息以及所述第一验证信息生成所述白名单信息,以使所述网络接入服务器根据所述时间戳、所述终端的身份信息、所述第一验证信息以及网络接入服务器预设的共享密钥对接收到的白名单信息进行验证。
可选地,在上述方法中,所述向所述终端发送响应报文的步骤,包括;
向所述终端发送所述白名单信息及接口信息,使所述终端根据所述接口信息将所述白名单信息发送至所述网络接入服务器。
本发明的另一目的在于提供一种访问控制装置,应用于网络接入服务器,所述装置包括:
请求接收模块,用于接收终端发送的第一访问请求,所述第一访问请求包括该终端的身份信息;
检测模块,用于根据所述终端的身份信息,检测所述终端是否已通过认证;在检测到所述终端未通过认证时,向所述终端发送重定向报文,使所述终端向认证服务器发起第二访问请求;
白名单接收模块,用于接收所述终端从所述认证服务器获得的白名单信息,所述白名单信息中包括所述认证服务器中预设的白名单配置;
流量控制模块,用于根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制。
本发明的另一目的在于提供一种访问控制装置,应用于认证服务器,所述方法包括:
请求接收模块,用于接收终端发送的第二访问请求,根据预设的白名单配置生成白名单信息;
白名单发送模块,用于向所述终端发送响应报文,所述响应报文中携带有所述白名单信息,使所述终端将所述白名单信息发送给网络接入服务器后,所述网络接入服务器根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制。
相对于现有技术而言,本发明具有以下有益效果:
本发明提供的访问控制方法及装置,通过在NAS服务器上设置白名单数据接收接口,在Portal服务器上设置白名单控制规则,未通过认证的终端从所述Portal服务器上获取白名单配置后,发送至所述白名单数据接收接口,使所述NAS服务器根据所述白名单配置生成白名单规则,继而对所述终端的访问流量进行控制。本发明提供的方案可以在Portal服务器集中管理白名单控制规则,并在终端发起访问请求时实时生效,如此,大大提高了的白名单控制规则的配置效率。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的访问控制系统的示意图;
图2为本发明实施例提供的访问控制方法的步骤流程示意图;
图3为本发明实施例提供的第一访问控制装置的示意图;
图4为本发明实施例提供的第二访问控制装置的示意图。
图标:100-NAS服务器;110-第一访问控制装置;111-第一请求接收模块;112-检测模块;113-白名单接收模块;114-流量控制模块;200-Portal服务器;210-第二访问控制装置;211-第二请求接收模;212-白名单发送模块;300-终端。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
请参照图1,图1是本发明较佳实施例提供的访问控制系统,所述访问认证系统包括NAS服务器100及Portal服务器200。所述NAS服务器100预设有白名单数据接收接口,所述Portal服务器200预先存储有白名单配置。
请参照图2,图2为一种应用于图1所示访问控制系统的访问控制方法的步骤流程示意图,下面对所述方法的各个步骤进行详细阐述。
步骤S110,所述NAS服务器100接收所述终端300发送的第一访问请求,所述第一访问请求包括该终端300的身份信息。
在本实施例中,终端300自动或手动发起对Internet或外部资源的第一访问请求时,所述NAS服务器100拦截所述第一访问请求。
步骤S120,所述NAS服务器100根据所述终端300的身份信息,检测所述终端300是否已通过认证。
所述NAS服务器100根据所述终端300的身份信息验证该终端300是否已通过Portal服务器200的认证。
步骤S130,所述NAS服务器100在检测到所述终端300未通过认证时,向所述终端300发送重定向报文,使所述终端300向Portal服务器200发起第二访问请求。
所述NAS服务器100在检测到所述终端300未通过认证时,将所述第一访问请求的目的地址与该NAS服务器100中的白名单控制规则进行比对。由于此时该NAS服务器100中没有相应的白名单控制规则,故匹配失败,所述NAS服务器100向该终端300回复HTTP重定向报文,以使所述终端300根据所述重定向报文向Portal服务器200发送第二访问请求。其中,所述第二访问请求的目的地址为Portal服务器200预设的推送链接。
步骤S140,所述Portal服务器200接收终端300发送的第二访问请求,根据预设的白名单配置生成白名单信息。
所述Portal服务器200中包括预设的白名单配置,所述白名单配置可以包括允许放行流量的目的地址信息,例如,允许放行流量的目的地址的URL列表或IP列表。
可选地,在本实施例中,所述白名单配置中还可以包括允许访问时限,以使所述NAS服务器100根据所述允许访问时限对终端300放行流量的实现进行控制。
可选地,在本实施例中,所述第二访问请求可以包括所述终端300的身份信息,例如,所述终端300的IP或MAC。所述Portal服务器200根据预设的白名单配置、以及该终端300的身份信息生成与该终端300对应的白名单信息。如此,所述NAS服务器100在根据所述白名单信息进行流量控制。
然后所述Portal服务器200根据所述预设的白名单配置、所述时间戳、所述终端300的身份信息以及所述第一验证信息生成所述白名单信息。
可选地,在本实施例中,为使所述NAS服务器100可以验证接收到的白名单信息的可靠性,所述Portal服务器200在接收到所述第二访问请求时生成时间戳,从所述第二访问请求中获取所述终端300的身份信息。并根据所述预设白名单配置、所述时间戳、所述终端300的身份信息以及预设的共享密钥生成第一验证信息。例如,所述第一验证信息可以为采用预设算法根据所述预设白名单配置、所述时间戳、所述终端300的身份信息以及预设的共享密钥计算生成的hash值。在本发明实施例中NAS服务器100与Portal服务器200需要预设相同的共享密钥以及验证信息的生成算法。
步骤S150,所述Portal服务器200向所述终端300发送响应报文,所述响应报文中携带有所述白名单信息。
可选地,在本实施例中,所述Portal服务器200在接收到所述第二访问请求后,可以向所述终端300返回认证页面(一般是HTTP的响应报文),所述认证页面携带所述白名单信息。所述认证页面还可以包括认证方式选择链接、网络使用指导、推送的官方网站或广告内容等信息。
可选地,在本实施例中,为了使所述终端300将所述白名单信息发送至所述NAS服务器100,所述Portal服务器200发送的响应报文中还包括接口信息,该接口信息用于引导所述终端300访问网络接入服务器。例如,所述引导所述终端300访问网络接入服务器的接口信息可以包括采用JavaScript、Meta等格式的,可以引导终端300进行页面跳转及传递所述白名单配置数据的代码。
步骤S160,所述NAS服务器100接收所述终端300从所述Portal服务器200获得的白名单信息。
可选地,在本实施例中,根据步骤S140中所述数据包的设置,所述NAS服务器100可以在接收到所述白名单信息后,检测接收到所述白名单信息时的当前时间与所述时间戳之间的时间差是否大于一个预设的时间阈值。
若所述时间差大于所述时间阈值,则该白名单信息可能为重放攻击(ReplayAttacks)的数据包,所述NAS服务器100丢弃该白名单信息,并发送报警提示。
可选地,在本实施例中,根据步骤S140中所述白名单信息的设置,所述NAS服务器100可以在接收到所述白名单信息后,检测发送所述白名单信息的终端300的身份信息是否与所述白名单信息中携带的终端300的身份信息相同。
若两个身份信息不相同,则该白名单信息可能为伪造的数据包,所述NAS服务器100丢弃该白名单信息,并发送报警提示。
可选地,在本实施例中,根据步骤S140中所述白名单信息的设置,所述NAS服务器100还可以在接收到所述白名单信息后,根据所述白名单信息中的白名单配置、所述时间戳、所述终端300的身份信息以及预先配置的共享密钥生成第二验证信息。
例如,所述NAS服务器100可以采用与Portal服务器200生成所述第一验证信息时同样的预设算法并预设相同的共享密钥,根据所述白名单信息中的白名单配置、所述时间戳、所述终端300的身份信息以及预先配置的共享密钥生成第二验证信息。然后检测所述第一验证信息与所述第二验证信息是否相同。
若所述第一验证信息与所述第二验证信息不相同,则该白名单信息可能为伪造的数据包,所述NAS服务器100丢弃该白名单信息,并发送报警提示。
若所述白名单信息中的所述时间戳、所述终端300的身份信息及所述第一验证信息均符合要求,则所述NAS服务器100执行根据所述白名单配置数据对所述终端300的访问流量进行控制的步骤。
值得说明的是,在本实施例中,所述Portal服务器200也可以在所述白名单信息中加入其它的用于认证的信息以供NAS服务器100进行白名单信息的认证。
步骤S170,NAS服务器100根据所述白名单信息生成白名单控制规则对所述终端300的访问流量进行控制。
可选地,在本实施例中,所述白名单控制规则包括白名单列表及允许访问时限。
所述NAS服务器100再次接收到终端300对Internet或外网资源的访问请求时,根据该终端300的身份信息匹配白名单控制规则,所述白名单控制规则包括相应的白名单列表及允许访问时限。在所述白名单规则记录的允许访问时限内,放行该终端300对所述白名单列表中地址的访问流量。
请参照图3,图3为一种应用于图1所示NAS服务器100的第一访问控制装置110的示意图,所述装置包括第一请求接收模块111、检测模块112、白名单接收模块113及流量控制模块114。
所述第一请求接收模块111,用于接收终端300发送的第一访问请求,所述第一访问请求包括该终端300的身份信息。
本实施例中,所述第一请求接收模块111可用于执行图2所示的步骤S110,关于所述第一请求接收模块111的具体描述可参对所述步骤S110的描述。
所述检测模块112,用于根据所述终端300的身份信息,检测所述终端300是否已通过认证;在检测到所述终端300未通过认证时,向所述终端300发送重定向报文,使所述终端300向Portal服务器200发起第二访问请求
本实施例中,所述检测模块112可用于执行图2所示的步骤S120及步骤S130,关于所述检测模块112的具体描述可参对所述步骤S120及步骤S130的描述。
所述白名单接收模块113,用于接收所述终端300从所述Portal服务器200获得的白名单信息,所述白名单信息中包括所述Portal服务器200中预设的白名单配置。
本实施例中,所述白名单接收模块113可用于执行图2所示的步骤S160,关于所述白名单接收模块113的具体描述可参对所述步骤S160的描述。
所述流量控制模块114,用于根据所述白名单信息生成白名单控制规则对所述终端300的访问流量进行控制。
本实施例中,所述流量控制模块114可用于执行图2所示的步骤S170,关于所述流量控制模块114的具体描述可参对所述步骤S170的描述。
请参照图4,图4为一种应用于图1所示Portal服务器200的第二访问控制装置210的示意图,所述装置包括第二请求接收模211及白名单发送模块212。
所述第二请求接收模211块,用于接收终端300发送的第二访问请求,根据预设的白名单配置生成白名单信息。
本实施例中,所述第二请求接收模211可用于执行图2所示的步骤S140,关于所述第二请求接收模211的具体描述可参对所述步骤S140的描述。
所述白名单发送模块212,用于向所述终端300发送响应报文,所述响应报文中携带有所述白名单信息,使所述终端300将所述白名单信息发送给NAS服务器100后,所述NAS服务器100根据所述白名单信息生成白名单控制规则对所述终端300的访问流量进行控制。
本实施例中,所述白名单发送模块212可用于执行图2所示的步骤S150,关于所述白名单发送模块212的具体描述可参对所述步骤S150的描述。
综上所述,本发明提供的访问控制方法及装置,通过在NAS服务器100上设置白名单数据接收接口,在Portal服务器200上预设白名单配置,未通过认证的终端300从所述Portal服务器200上获取白名单配置后,发送至所述白名单数据接收接口,使所述NAS服务器100根据所述白名单配置对所述终端300的访问流量进行控制。本发明提供的方案可以在Portal服务器200集中管理白名单配置,并在终端300发起访问请求时实时生效,如此,大大提高了的白名单控制规则的配置效率。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (11)
1.一种访问控制方法,应用于网络接入服务器,其特征在于,所述方法包括:
接收终端发送的第一访问请求,所述第一访问请求包括该终端的身份信息;
根据所述终端的身份信息,检测所述终端是否已通过认证;
在检测到所述终端未通过认证时,向所述终端发送重定向报文,使所述终端向认证服务器发起第二访问请求;
接收所述终端从所述认证服务器获得的白名单信息,所述白名单信息中包括所述认证服务器中预设的白名单配置,所述白名单信息为认证前白名单,所述白名单信息由所述终端从所述认证服务器提供认证页面中获得;
根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制。
2.根据权利要求1所述的方法,其特征在于,所述白名单信息还携带有所述认证服务器在接收到所述第二访问请求时生成的时间戳;所述根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制的步骤之前,所述方法还包括:
检测接收到所述白名单信息时的当前时间与所述时间戳之间的时间差是否大于一个预设的时间阈值;
当所述时间差大于所述时间阈值时,丢弃接收到的所述白名单信息;
当所述时间差不大于所述时间阈值时,执行根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制的步骤。
3.根据权利要求2所述的方法,其特征在于,所述白名单信息还携带有所述认证服务器从所述第二访问请求中获取的终端的身份信息;所述根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制的步骤之前,所述方法还包括:
检测发送所述白名单信息的终端的身份信息是否与所述白名单信息中携带的终端的身份信息相同;
当两个身份信息不相同时,丢弃接收到的所述白名单信息;
当两个身份信息相同时,执行根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制的步骤。
4.根据权利要求3所述的方法,其特征在于,所述白名单信息还携带有根据所述预设的白名单配置、时间戳以及终端的身份信息和预先配置的共享密钥生成的第一验证信息;所述根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制的步骤之前,所述方法还包括:
根据所述白名单信息中的白名单配置、所述时间戳以及所述终端的身份信息以及预先配置的共享密钥生成第二验证信息;
检测所述第一验证信息与所述第二验证信息是否相同;
当所述第一验证信息与所述第二验证信息不相同时,丢弃接收到的所述白名单信息;
当所述第一验证信息与所述第二验证信息相同时,执行根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制的步骤。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制的步骤,包括:
接收未通过认证的终端发送的访问请求,所述访问请求包括该终端的身份信息,根据该终端的身份信息查找与该终端相应的白名单控制规则;
根据查找到的所述白名单控制规则对所述终端的访问流量进行控制。
6.根据权利要求5所述的方法,其特征在于,所述白名单控制规则包括白名单列表及允许访问时限;所述根据查找到的所述白名单控制规则对所述终端的访问流量进行控制的步骤,包括:
在所述允许访问时限内,放行所述终端对所述白名单列表中地址的访问流量。
7.一种访问控制方法,应用于认证服务器,其特征在于,所述方法包括:
接收终端发送的第二访问请求,根据预设的白名单配置生成白名单信息;
向所述终端发送响应报文,所述响应报文中携带有所述白名单信息,使所述终端将所述白名单信息发送给网络接入服务器后,所述网络接入服务器根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制;其中,所述响应报文为认证页面,所述白名单信息为认证前白名单。
8.根据权利要求7所述的方法,其特征在于,所述接收终端发送的第二访问请求,根据所述预设的白名单配置生成白名单信息,具体包括:
在接收到所述第二访问请求时生成时间戳;
从所述第二访问请求中获取所述终端的身份信息;
根据所述预设白名单配置、所述时间戳、所述终端的身份信息以及预设的共享密钥生成第一验证信息;
根据所述预设的白名单配置、所述时间戳、所述终端的身份信息以及所述第一验证信息生成所述白名单信息,以使所述网络接入服务器根据所述时间戳、所述终端的身份信息、所述第一验证信息以及网络接入服务器预设的共享密钥对接收到的白名单信息进行验证。
9.根据权利要求7或8所述的方法,其特征在于,所述向所述终端发送响应报文的步骤,包括;
向所述终端发送所述白名单信息及接口信息,使所述终端根据所述接口信息将所述白名单信息发送至所述网络接入服务器。
10.一种访问控制装置,应用于网络接入服务器,其特征在于,所述装置包括:
请求接收模块,用于接收终端发送的第一访问请求,所述第一访问请求包括该终端的身份信息;
检测模块,用于根据所述终端的身份信息,检测所述终端是否已通过认证;在检测到所述终端未通过认证时,向所述终端发送重定向报文,使所述终端向认证服务器发起第二访问请求;
白名单接收模块,用于接收所述终端从所述认证服务器获得的白名单信息,所述白名单信息中包括所述认证服务器中预设的白名单配置,所述白名单信息为认证前白名单,所述白名单信息由所述终端从所述认证服务器提供认证页面中获得;
流量控制模块,用于根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制。
11.一种访问控制装置,应用于认证服务器,其特征在于,所述装置包括:
请求接收模块,用于接收终端发送的第二访问请求,根据预设的白名单配置生成白名单信息;
白名单发送模块,用于向所述终端发送响应报文,所述响应报文中携带有所述白名单信息,使所述终端将所述白名单信息发送给网络接入服务器后,所述网络接入服务器根据所述白名单信息生成白名单控制规则对所述终端的访问流量进行控制;其中,所述响应报文为认证页面,所述白名单信息为认证前白名单。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710795143.XA CN107508822B (zh) | 2017-09-06 | 2017-09-06 | 访问控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710795143.XA CN107508822B (zh) | 2017-09-06 | 2017-09-06 | 访问控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107508822A CN107508822A (zh) | 2017-12-22 |
| CN107508822B true CN107508822B (zh) | 2020-06-12 |
Family
ID=60696136
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710795143.XA Active CN107508822B (zh) | 2017-09-06 | 2017-09-06 | 访问控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107508822B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110728594A (zh) * | 2018-07-16 | 2020-01-24 | 深圳市鸿合创新信息技术有限责任公司 | 一种白名单下发方法和装置 |
| CN109067770B (zh) * | 2018-09-05 | 2021-04-23 | 高新兴科技集团股份有限公司 | 物联网系统的流量攻击控制方法及计算机存储介质 |
| CN109413063B (zh) * | 2018-10-23 | 2022-01-18 | 中国平安人寿保险股份有限公司 | 一种基于大数据的白名单更新方法、装置及电子设备 |
| CN112910831A (zh) * | 2019-12-04 | 2021-06-04 | 中兴通讯股份有限公司 | 报文匹配方法、装置、防火墙设备和存储介质 |
| CN112437071B (zh) * | 2020-11-17 | 2023-05-16 | 珠海格力电器股份有限公司 | 设备控制的方法、系统、设备及存储介质 |
| CN113949562B (zh) * | 2021-10-15 | 2023-11-17 | 迈普通信技术股份有限公司 | Portal认证方法、装置、系统、电子设备及存储介质 |
| CN114499942A (zh) * | 2021-12-22 | 2022-05-13 | 天翼云科技有限公司 | 一种数据访问方法及装置、电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1753364A (zh) * | 2005-10-26 | 2006-03-29 | 杭州华为三康技术有限公司 | 网络接入控制方法及系统 |
| CN102984173A (zh) * | 2012-12-13 | 2013-03-20 | 迈普通信技术股份有限公司 | 网络接入控制方法及系统 |
| CN103078834A (zh) * | 2011-10-26 | 2013-05-01 | 中兴通讯股份有限公司 | 一种安全连接的方法、系统及网元 |
| CN104580185A (zh) * | 2014-12-30 | 2015-04-29 | 北京工业大学 | 一种网络访问控制的方法和系统 |
| CN105429933A (zh) * | 2014-09-19 | 2016-03-23 | 中国电信股份有限公司 | 一种局域网中网络设备的访问方法、接入设备及系统 |
| CN106559405A (zh) * | 2015-09-30 | 2017-04-05 | 华为技术有限公司 | 一种Portal认证方法和设备 |
-
2017
- 2017-09-06 CN CN201710795143.XA patent/CN107508822B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1753364A (zh) * | 2005-10-26 | 2006-03-29 | 杭州华为三康技术有限公司 | 网络接入控制方法及系统 |
| CN103078834A (zh) * | 2011-10-26 | 2013-05-01 | 中兴通讯股份有限公司 | 一种安全连接的方法、系统及网元 |
| CN102984173A (zh) * | 2012-12-13 | 2013-03-20 | 迈普通信技术股份有限公司 | 网络接入控制方法及系统 |
| CN105429933A (zh) * | 2014-09-19 | 2016-03-23 | 中国电信股份有限公司 | 一种局域网中网络设备的访问方法、接入设备及系统 |
| CN104580185A (zh) * | 2014-12-30 | 2015-04-29 | 北京工业大学 | 一种网络访问控制的方法和系统 |
| CN106559405A (zh) * | 2015-09-30 | 2017-04-05 | 华为技术有限公司 | 一种Portal认证方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107508822A (zh) | 2017-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107508822B (zh) | 访问控制方法及装置 | |
| CN111935169B (zh) | 一种业务数据访问方法、装置、设备及存储介质 | |
| US8763101B2 (en) | Multi-factor authentication using a unique identification header (UIDH) | |
| US11831680B2 (en) | Electronic authentication infrastructure | |
| US10419431B2 (en) | Preventing cross-site request forgery using environment fingerprints of a client device | |
| CN106878265B (zh) | 一种数据处理方法及装置 | |
| US10148645B2 (en) | Method and device for classifying TCP connection carrying HTTP traffic | |
| CN104468531B (zh) | 敏感数据的授权方法、装置和系统 | |
| US9686344B2 (en) | Method for implementing cross-domain jump, browser, and domain name server | |
| CN107566323B (zh) | 一种应用系统登录方法和装置 | |
| CN109714370B (zh) | 一种基于http协议端云安全通信的实现方法 | |
| US20150254450A1 (en) | Disposition engine for single sign on (sso) requests | |
| CN105025041A (zh) | 文件上传的方法、装置和系统 | |
| CN105554098A (zh) | 一种设备配置方法、服务器及系统 | |
| CN110958119A (zh) | 身份验证方法和装置 | |
| CN104426835B (zh) | 一种登录检测的方法、服务器、登录检测装置及其系统 | |
| CN105873055B (zh) | 一种无线网络接入认证方法及装置 | |
| CN104811462A (zh) | 一种接入网关重定向方法及接入网关 | |
| WO2014111022A1 (zh) | 一种移动终端用户信息的显示方法、移动终端和服务系统 | |
| WO2014153959A1 (zh) | 用于防止跨站点请求伪造的方法、相关装置及系统 | |
| Huang et al. | A token-based user authentication mechanism for data exchange in RESTful API | |
| CN111031037A (zh) | 用于对象存储服务的鉴权方法、装置及电子设备 | |
| CN107888623B (zh) | 直播软件音视频数据流防劫持方法及装置 | |
| CN109729045B (zh) | 单点登录方法、系统、服务器以及存储介质 | |
| KR20140090279A (ko) | 서비스 보안 인증 방법 및 이를 구현한 웹 애플리케이션 서버 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |