CN108429723B - 访问控制方法和装置 - Google Patents
访问控制方法和装置 Download PDFInfo
- Publication number
- CN108429723B CN108429723B CN201710081527.5A CN201710081527A CN108429723B CN 108429723 B CN108429723 B CN 108429723B CN 201710081527 A CN201710081527 A CN 201710081527A CN 108429723 B CN108429723 B CN 108429723B
- Authority
- CN
- China
- Prior art keywords
- target terminal
- network interface
- access control
- router
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了访问控制方法和装置。该方法的一具体实施方式包括:获取目标终端的标识信息和位置信息;根据位置信息,确定目标终端与数据中心的网络接口的距离是否小于预设阈值;响应于确定出目标终端与网络接口的距离小于预设阈值,根据网络接口对应的路由器的端口信息和标识信息,修改路由器的访问控制列表,以允许目标终端通过网络接口与数据中心进行数据传输。该实施方式实现了基于位置信息确定是否允许终端与数据中心进行数据传输,从而提升了数据中心的安全性。
Description
技术领域
本申请涉及计算机技术领域,具体涉及信息安全技术领域,尤其涉及访问控制方法和装置。
背景技术
随着网络和信息技术的快速发展,数据中心已经成为企业各项业务的基石,信息采集终端每日都将大量数据通过光纤接口等传入数据中心,数据中心的网络安全至关重要,因此需要对终端的接入和传输进行严格的控制。
现有的访问控制方法较为单一,通常是预先设置允许接入的MAC(Media AccessControl,媒体访问控制)地址列表,通过MAC地址对接入的终端进行校验。
发明内容
本申请的目的在于提出一种改进的访问控制方法和装置,来解决以上背景技术部分提到的技术问题。
第一方面,本申请提供了一种访问控制方法,该方法包括:获取目标终端的标识信息和位置信息;根据位置信息,确定目标终端与数据中心的网络接口的距离是否小于预设阈值;响应于确定出目标终端与网络接口的距离小于预设阈值,根据网络接口对应的路由器的端口信息和标识信息,修改路由器的访问控制列表,以允许目标终端通过网络接口与数据中心进行数据传输。
在一些实施例中,在上述根据上述网络接口对应的路由器的端口信息和上述标识信息,修改上述路由器的访问控制列表,以允许上述目标终端通过上述网络接口与上述数据中心进行数据传输之后,还包括:每隔预定时间间隔,获取上述目标终端的实时位置信息,直到根据上述实时位置信息,确定出上述目标终端与上述网络接口的距离大于预设阈值;响应于确定出上述目标终端与上述网络接口的距离大于预设阈值,根据上述端口信息修改上述路由器的访问控制列表,以禁止任何设备通过上述网络接口与上述数据中心进行数据传输。
在一些实施例中,上述标识信息包括上述目标终端的媒体访问控制地址和/或互联网协议地址;以及上述根据上述网络接口对应的路由器的端口信息和上述标识信息,修改上述路由器的访问控制列表,以允许上述目标终端通过上述网络接口与上述数据中心进行数据传输,包括:获取上述网络接口对应的路由器端口的端口号;根据上述端口号以及上述媒体访问控制地址和/或互联网协议地址,生成用于指示允许上述目标终端通过上述路由器端口与上述数据中心进行数据传输的语句;将上述语句加入上述访问控制列表的首行。
在一些实施例中,上述根据上述网络接口对应的路由器的端口信息和上述标识信息,修改上述路由器的访问控制列表,以允许上述目标终端通过上述网络接口与上述数据中心进行数据传输,包括:确定预先设置的标识信息集合中是否包括上述标识信息;如果是,则根据上述网络接口对应的路由器的端口信息和上述标识信息,修改上述路由器的访问控制列表,以允许上述目标终端通过上述网络接口与上述数据中心进行数据传输。
在一些实施例中,上述获取目标终端的标识信息和位置信息,包括:接收目标终端发送的数据传输请求,上述数据传输请求中包括上述目标终端的标识信息和通过上述目标终端上安装的厘米级别精度的导航系统获取的上述目标终端的位置信息。
第二方面,本申请提供了一种访问控制装置,该装置包括:获取单元,用于获取目标终端的标识信息和位置信息;确定单元,用于根据上述位置信息,确定上述目标终端与数据中心的网络接口的距离是否小于预设阈值;修改单元,用于响应于确定出上述目标终端与上述网络接口的距离小于预设阈值,根据上述网络接口对应的路由器的端口信息和上述标识信息,修改上述路由器的访问控制列表,以允许上述目标终端通过上述网络接口与上述数据中心进行数据传输。
在一些实施例中,上述修改单元还包括修改子单元,上述修改子单元进一步配置用于:每隔预定时间间隔,获取上述目标终端的实时位置信息,直到根据上述实时位置信息,确定出上述目标终端与上述网络接口的距离大于预设阈值;响应于确定出上述目标终端与上述网络接口的距离大于预设阈值,根据上述端口信息修改上述路由器的访问控制列表,以禁止任何设备通过上述网络接口与上述数据中心进行数据传输。
在一些实施例中,上述标识信息包括上述目标终端的媒体访问控制地址和/或互联网协议地址;以及上述修改单元,包括:获取子单元,用于获取上述网络接口对应的路由器端口的端口号;生成子单元,用于根据上述端口号以及上述媒体访问控制地址和/或互联网协议地址,生成用于指示允许上述目标终端通过上述路由器端口与上述数据中心进行数据传输的语句;加入子单元,用于将上述语句加入上述访问控制列表的首行。
在一些实施例中,上述修改单元,进一步配置用于:确定预先设置的标识信息集合中是否包括上述标识信息;如果是,则根据上述网络接口对应的路由器的端口信息和上述标识信息,修改上述路由器的访问控制列表,以允许上述目标终端通过上述网络接口与上述数据中心进行数据传输。
在一些实施例中,上述获取单元,包括:接收子单元,用于接收目标终端发送的数据传输请求,上述数据传输请求中包括上述目标终端的标识信息和通过上述目标终端上安装的厘米级别精度的导航系统获取的上述目标终端的位置信息。
第三方面,本申请提供了一种设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面所述的方法。
第四方面,本申请提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如第一方面所述的方法。
本申请提供的访问控制方法和装置,通过获取目标终端的标识信息和位置信息,而后根据位置信息,确定目标终端与数据中心的网络接口的距离是否小于预设阈值,最后响应于确定出目标终端与网络接口的距离小于预设阈值,根据网络接口对应的路由器的端口信息和标识信息,修改路由器的访问控制列表,以允许目标终端通过网络接口与数据中心进行数据传输,实现了基于位置信息确定是否允许终端与数据中心进行数据传输,从而提升了数据中心的安全性。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请可以应用于其中的示例性系统架构图;
图2是根据本申请的访问控制方法的一个实施例的示意性流程图;
图3A是根据本申请的访问控制方法的应用场景的示意图;
图3B是根据本申请的访问控制方法的又一个应用场景的示意图;
图4是根据本申请的访问控制方法的又一个实施例的示意性流程图;
图5是根据本申请的访问控制装置的一个实施例的示例性结构图;
图6是适于用来实现本申请实施例的服务器的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本申请的访问控制方法或访问控制装置的实施例的示例性系统架构100。
如图1所示,系统架构100可以包括终端设备101、102,网络103、105,服务器104和数据中心106。网络103用以在终端设备101、102和服务器104之间提供通信链路的介质,网络105用以在数据中心106和服务器104之间提供通信链路的介质。网络103、网络105可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
终端设备101、102可以通过网络103与服务器104交互,以接收或发送数据等。终端设备101、102可以是数据采集设备,也可以是存储设备,例如,用于采集路况信息的车辆上安装的车载设备。终端设备101、102同样可以是各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving Picture Experts Group Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(Moving Picture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。
服务器104可以是提供各种服务的服务器,例如对数据中心106的接入和传输进行控制的访问控制服务器。访问控制服务器可以获取目标终端的标识信息和位置信息;根据位置信息,确定目标终端与数据中心的网络接口的距离是否小于预设阈值;响应于确定出目标终端与网络接口的距离小于预设阈值,根据网络接口对应的路由器的端口信息和标识信息,修改路由器的访问控制列表,以允许目标终端通过网络接口与数据中心进行数据传输。
需要说明的是,本申请实施例所提供的访问控制方法一般由服务器104执行,相应地,访问控制装置一般设置于服务器104中。
应该理解,图1中的终端设备、网络、服务器和数据中心的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络、服务器和数据中心。
继续参考图2,示出了根据本申请的访问控制方法的一个实施例的流程200。该访问控制方法,包括以下步骤:
步骤201,获取目标终端的标识信息和位置信息。
在本实施例中,访问控制方法运行于其上的电子设备(例如图1所示的服务器)可以通过无线连接方式或有线连接方式获取目标终端的标识信息和位置信息。上述电子设备中可以预先存储有目标终端的标识信息表,可以从上述标识信息表中获取目标终端的标识信息,并定时向目标终端发送位置信息获取请求,以监控各个目标终端的位置。也可以接受目标终端按照预先规定的方式主动发送的标识信息和位置信息。预先规定的方式可以是以下至少一项:定时发送,在需要向数据中心传输数据时发送,监测到自身位于预设区域(网络接口附近)时发送。标识信息可以是媒体访问控制地址、互联网协议地址或其他可以唯一标识目标终端的信息。上述无线连接方式可以包括但不限于3G/4G连接、WiFi连接、蓝牙连接、WiMAX连接、Zigbee连接、UWB(ultra wideband)连接、以及其他现在已知或将来开发的无线连接方式。
在本实施例的一些可选实现方式中,上述获取目标终端的标识信息和位置信息,包括:接收目标终端发送的数据传输请求,上述数据传输请求中包括上述目标终端的标识信息和通过上述目标终端上安装的厘米级别精度的导航系统获取的上述目标终端的位置信息。
在本实现方式中,通过接收目标终端发送的包括其标识信息和通过其上安装的厘米级别精度的导航系统获取的位置信息数据的传输请求,避免了定位精度误差较大所造成的存在其它终端占用了网络接口的情况,可以更精确的控制数据中心网络的接入和传输权限。厘米级别精度的导航系统可以是组合导航系统等高精度定位系统,例如,GPS(GlobalPositioning System,全球定位系统)与光流定位的组合,也可以是GNSS(GlobalNavigation Satellite System,全球卫星导航系统)等。
步骤202,根据位置信息,确定目标终端与数据中心的网络接口的距离是否小于预设阈值。
在本实施例中,上述电子设备可以根据步骤201中获取的位置信息,确定目标终端与数据中心的网络接口的距离是否小于预设阈值。网络接口用于将目标终端接入数据中心,可以是各种以太网接口,如光纤接口。上述电子设备中可以预先存储有数据中心各个网络接口的地理位置信息,在获取到目标终端的位置信息后,可以先确定与目标终端距离最近的网络接口,再判断二者距离是否小于预设阈值。预设阈值可以根据实际需要设置,以目标终端为用于信息采集的车辆的车载设备为例,预设阈值可以是10厘米左右,车载设备与网络接口的连接,在具体实现上可以是车载设备通过网卡(高速PCI-E网卡等),以及网卡和网络接口之间的网线连接。
步骤203,响应于确定出目标终端与网络接口的距离小于预设阈值,根据网络接口对应的路由器的端口信息和标识信息,修改路由器的访问控制列表,以允许目标终端通过网络接口与数据中心进行数据传输。
在本实施例中,上述电子设备可以响应于步骤202中确定出目标终端与网络接口的距离小于预设阈值,根据网络接口对应的路由器的端口信息和标识信息,修改路由器的访问控制列表,以允许目标终端通过网络接口与数据中心进行数据传输。上述电子设备中可以预先存储有光纤网口和路由器端口的对应关系,也可以向数据中心发送查询请求,以获取网络接口对应的路由器的端口信息。以网络接口为光纤网口为例,光纤网口到数据中心路由器之间的光纤是否可以传输,是由路由器上的访问控制列表(Access ControlList,ACL)决定的。ACL是路由器和交换机接口的指令列表,用来控制端口进出的数据包。配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。一条ACL规则为一个条件判断语句,逻辑上可抽象为:路由器端口信息,目标终端标识信息,是否允许通信。由于ACL既可以在路由器上配置,也可以在具有ACL功能的业务软件上进行配置。修改路由器的访问控制列表可以是直接修改路由器上配置的ACL,也可以是修改在具有ACL功能的业务软件上进行配置的ACL。上述电子设备通过与目标终端以及数据中心的交互同时也提高了网络的配置效率。
在本实施例的一些可选实现方式中,在根据上述网络接口对应的路由器的端口信息和上述标识信息,修改上述路由器的访问控制列表,以允许上述目标终端通过上述网络接口与上述数据中心进行数据传输之后,还包括:每隔预定时间间隔,获取上述目标终端的实时位置信息,直到根据上述实时位置信息,确定出上述目标终端与上述网络接口的距离大于预设阈值;响应于确定出上述目标终端与上述网络接口的距离大于预设阈值,根据上述端口信息修改上述路由器的访问控制列表,以禁止任何设备通过上述网络接口与上述数据中心进行数据传输。
在本实现方式中,在监测到目标终端离开数据中心的网络接口后,路由器的ACL规则的修改使得任何设备无法通过该光纤网口访问或攻击数据中心,进一步保证了数据中心的安全。同样,也可以在网络接口附近设置摄像头或其他可以监测到目标终端是否离开网络接口的设备,在监测到目标终端离开数据中心的网络接口后修改路由器的ACL规则以禁止任何设备通过上述网络接口与上述数据中心进行数据传输。
在本实施例的一些可选实现方式中,上述标识信息包括上述目标终端的媒体访问控制地址和/或互联网协议地址;以及上述根据上述网络接口对应的路由器的端口信息和上述标识信息,修改上述路由器的访问控制列表,以允许上述目标终端通过上述网络接口与上述数据中心进行数据传输,包括:获取上述网络接口对应的路由器端口的端口号;根据上述端口号以及上述媒体访问控制地址和/或互联网协议地址,生成用于指示允许上述目标终端通过上述路由器端口与上述数据中心进行数据传输的语句;将上述语句加入上述访问控制列表的首行。
在本实现方式中,通过限定如何修改访问控制列表,进一步提高网络的配置效率。由于一个端口执行哪条ACL,需要按照列表中的条件语句执行顺序来判断,如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查,所以可以将生成的语句加入访问控制列表的首行;同样也可以新建一个访问控制列表,将生成的语句加入新建的访问控制列表,以替换原有的访问控制列表。ACL语句中所需目标终端的信息与ACL的种类存在对应关系,ACL的列表号指出了是哪种协议的ACL。各种协议有自己的ACL,而每个协议的ACL又分为标准ACL和扩展ACL。目前有三种主要的ACL:标准ACL、扩展ACL及命名ACL,其他的还有标准MAC的ACL、时间控制ACL、以太协议ACL等。
在本实施例的一些可选实现方式中,上述根据上述网络接口对应的路由器的端口信息和上述标识信息,修改上述路由器的访问控制列表,以允许上述目标终端通过上述网络接口与上述数据中心进行数据传输,包括:确定预先设置的标识信息集合中是否包括上述标识信息;如果是,则根据上述网络接口对应的路由器的端口信息和上述标识信息,修改上述路由器的访问控制列表,以允许上述目标终端通过上述网络接口与上述数据中心进行数据传输。
在本实现方式中,通过确定预先设置的标识信息集合中是否包括上述标识信息,进一步提高了数据中心的安全性。由于目标终端可能出现病毒感染,或在一段时间内采集的数据不准确等情况,所以通过维护预先设置的标识信息集合进一步丰富了数据中心网络的接入和传输的权限控制手段。
继续参考图3A,其示出了根据本申请的访问控制方法的应用场景的示意图。在图3A的应用场景中,搭载有目标终端的车辆301行驶至光纤网口302的正上方时,访问控制方法运行于其上的电子设备(例如图1所示的服务器)检测到车辆301与光纤网口302距离小于预设阈值,下发的ACL规则可抽象为:光纤网口302对应的路由器303的端口信息,车辆301上搭载的目标终端的信息,允许通信。车辆301上搭载的目标终端可经由光纤网口302连接到数据中心的路由器303,将海量数据通过高速光纤传输到数据中心的存储集群304。
继续参考图3B,其示出了根据本申请的访问控制方法的又一个应用场景的示意图。在图3B的应用场景中,搭载有目标终端的车辆301驶离光纤网口302的正上方时,访问控制方法运行于其上的电子设备(例如图1所示的服务器)检测到车辆301的实时位置和光纤网口302的地理位置之间的距离超出了预设阈值,下发的ACL规则可抽象为:光纤网口302对应的路由器303的端口信息,任何设备的信息,不允许通信。此时,光纤网口302和路由器303的网络连接被禁止,以避免其他设备此时通过光纤网口302对数据中心进行网络攻击。
本申请的上述实施例提供的方法通过获取目标终端的标识信息和位置信息,而后根据位置信息,确定目标终端与数据中心的网络接口的距离是否小于预设阈值,最后响应于确定出目标终端与网络接口的距离小于预设阈值,根据网络接口对应的路由器的端口信息和标识信息,修改路由器的访问控制列表,以允许目标终端通过网络接口与数据中心进行数据传输,实现了基于位置信息确定是否允许终端与数据中心进行数据传输,从而提升了数据中心的安全性。
请参考图4,图4是根据本实施例的访问控制方法的又一个实施例的流程示意图。
在图4中,该访问控制方法400,包括以下步骤:
步骤401,获取目标终端的标识信息和位置信息。
在本实施例中,访问控制方法运行于其上的电子设备(例如图1所示的服务器)可以主动向目标终端发送标识信息和位置信息的请求,也可以被动接受目标终端按照预先规定的方式发送的标识信息和位置信息。
步骤402,根据位置信息,确定目标终端与数据中心的网络接口的距离是否小于预设阈值。
在本实施例中,上述电子设备可以根据步骤401中获取的位置信息,确定目标终端与数据中心的网络接口的距离是否小于预设阈值。
步骤403,响应于确定出目标终端与网络接口的距离小于预设阈值,根据网络接口对应的路由器的端口信息和标识信息,修改路由器的访问控制列表,以允许目标终端通过网络接口与数据中心进行数据传输。
在本实施例中,上述电子设备可以响应于步骤402中确定出目标终端与网络接口的距离小于预设阈值,根据网络接口对应的路由器的端口信息和标识信息,修改路由器的访问控制列表,以允许目标终端通过网络接口与数据中心进行数据传输。当目标终端的标识信息不是目标终端的媒体访问控制地址、互联网协议地址或其他ACL语句中可用的信息时,如果上述电子设备中已存储有目标终端的标识信息、目标终端的媒体访问控制地址、互联网协议地址或其他ACL语句中可用的信息之间的对应关系的列表,则可以直接根据标识信息进行查询,根据查询到的信息修改路由器的访问控制列表;若没有上述列表则可以直接向目标终端发送媒体访问控制地址、互联网协议地址或其他ACL语句中可用的信息的获取请求,以获取上述信息,并根据上述信息修改访问控制列表。
步骤404,每隔预设时间间隔,获取目标终端的实时位置信息,直到根据实时位置信息,确定出目标终端与网络接口的距离大于预设阈值。
在本实施例中,上述电子设备可以在步骤403中修改路由器的访问控制列表,以允许目标终端通过网络接口与数据中心进行数据传输之后,每隔预设时间间隔,获取目标终端的实时位置信息,直到根据实时位置信息,确定出目标终端与网络接口的距离大于预设阈值。作为示例,预设时间间隔可以是5~10秒。以此可以监测到目标终端是否离开数据中心的网络接口。
步骤405,响应于确定出目标终端与网络接口的距离大于预设阈值,根据端口信息修改路由器的访问控制列表,以禁止任何设备通过网络接口与数据中心进行数据传输。
在本实施例中,上述电子设备可以响应于步骤404中确定出目标终端与网络接口的距离大于预设阈值,根据端口信息修改路由器的访问控制列表,以禁止任何设备通过网络接口与数据中心进行数据传输。在监测到目标终端离开数据中心的网络接口后,路由器的ACL规则的修改使得其他设备无法通过该光纤网口访问或攻击数据中心。
本申请的上述实施例提供的方法在监测到目标终端离开数据中心的网络接口后,禁止任何设备通过上述网络接口与上述数据中心进行数据传输,进一步提升了数据中心的安全性。
进一步参考图5,作为对上述方法的实现,本申请提供了一种访问控制装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图5所示,本实施例的访问控制装置500包括:获取单元510、确定单元520、修改单元530,其中,获取单元510,用于获取目标终端的标识信息和位置信息;确定单元520,用于根据上述位置信息,确定上述目标终端与数据中心的网络接口的距离是否小于预设阈值;修改单元530,用于响应于确定出上述目标终端与上述网络接口的距离小于预设阈值,根据上述网络接口对应的路由器的端口信息和上述标识信息,修改上述路由器的访问控制列表,以允许上述目标终端通过上述网络接口与上述数据中心进行数据传输。
在本实施例中,获取单元510、确定单元520、修改单元530的具体处理可以参考图2对应实施例步骤201、步骤202、步骤203的详细描述,在此不再赘述。
在本实施例的一些可选实现方式中,上述修改单元530还包括修改子单元531,上述修改子单元531进一步配置用于:每隔预定时间间隔,获取上述目标终端的实时位置信息,直到根据上述实时位置信息,确定出上述目标终端与上述网络接口的距离大于预设阈值;响应于确定出上述目标终端与上述网络接口的距离大于预设阈值,根据上述端口信息修改上述路由器的访问控制列表,以禁止任何设备通过上述网络接口与上述数据中心进行数据传输。
在本实施例的一些可选实现方式中,上述标识信息包括上述目标终端的媒体访问控制地址和/或互联网协议地址;以及上述修改单元530,包括:获取子单元,用于获取上述网络接口对应的路由器端口的端口号;生成子单元,用于根据上述端口号以及上述媒体访问控制地址和/或互联网协议地址,生成用于指示允许上述目标终端通过上述路由器端口与上述数据中心进行数据传输的语句;加入子单元,用于将上述语句加入上述访问控制列表的首行。
在本实施例的一些可选实现方式中,上述修改单元530,进一步配置用于:确定预先设置的标识信息集合中是否包括上述标识信息;如果是,则根据上述网络接口对应的路由器的端口信息和上述标识信息,修改上述路由器的访问控制列表,以允许上述目标终端通过上述网络接口与上述数据中心进行数据传输。
在本实施例的一些可选实现方式中,上述获取单元510,包括:接收子单元511,用于接收目标终端发送的数据传输请求,上述数据传输请求中包括上述目标终端的标识信息和通过上述目标终端上安装的厘米级别精度的导航系统获取的上述目标终端的位置信息。
从图5中可以看出,本实施例中访问控制装置500通过获取目标终端的标识信息和位置信息,而后根据位置信息,确定目标终端与数据中心的网络接口的距离是否小于预设阈值,最后响应于确定出目标终端与网络接口的距离小于预设阈值,根据网络接口对应的路由器的端口信息和标识信息,修改路由器的访问控制列表,以允许目标终端通过网络接口与数据中心进行数据传输,实现了基于位置信息确定是否允许终端与数据中心进行数据传输,从而提升了数据中心的安全性。
下面参考图6,其示出了适于用来实现本申请实施例的服务器的计算机系统600的结构示意图。图6示出的服务器仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图6所示,计算机系统600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有系统600操作所需的各种程序和数据。CPU 601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
以下部件连接至I/O接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口606。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时,执行本申请的方法中限定的上述功能。需要说明的是,本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个单元、程序段、或代码的一部分,所述单元、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括获取单元、确定单元、修改单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,获取单元还可以被描述为“获取目标终端的标识信息和位置信息”。
作为另一方面,本申请还提供了一种非易失性计算机存储介质,该非易失性计算机存储介质可以是上述实施例中所述装置中所包含的非易失性计算机存储介质;也可以是单独存在,未装配入终端中的非易失性计算机存储介质。上述非易失性计算机存储介质存储有一个或者多个程序,当所述一个或者多个程序被一个设备执行时,使得所述设备:获取目标终端的标识信息和位置信息;根据位置信息,确定目标终端与数据中心的网络接口的距离是否小于预设阈值;响应于确定出目标终端与网络接口的距离小于预设阈值,根据网络接口对应的路由器的端口信息和标识信息,修改路由器的访问控制列表,以允许目标终端通过网络接口与数据中心进行数据传输
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (11)
1.一种访问控制方法,其特征在于,所述方法包括:
获取目标终端的标识信息和位置信息;
根据所述位置信息,确定所述目标终端与数据中心的网络接口的距离是否小于预设阈值;所述网络接口未设于所述数据中心上;
响应于确定出所述目标终端与所述网络接口的距离小于预设阈值,根据所述网络接口对应的路由器的端口信息和所述标识信息,修改所述路由器的访问控制列表,以允许所述目标终端通过所述网络接口与所述数据中心进行数据传输。
2.根据权利要求1所述的方法,其特征在于,在所述根据所述网络接口对应的路由器的端口信息和所述标识信息,修改所述路由器的访问控制列表,以允许所述目标终端通过所述网络接口与所述数据中心进行数据传输之后,还包括:
每隔预定时间间隔,获取所述目标终端的实时位置信息,直到根据所述实时位置信息,确定出所述目标终端与所述网络接口的距离大于预设阈值;响应于确定出所述目标终端与所述网络接口的距离大于预设阈值,根据所述端口信息修改所述路由器的访问控制列表,以禁止任何设备通过所述网络接口与所述数据中心进行数据传输。
3.根据权利要求1所述的方法,其特征在于,所述标识信息包括所述目标终端的媒体访问控制地址和/或互联网协议地址;以及
所述根据所述网络接口对应的路由器的端口信息和所述标识信息,修改所述路由器的访问控制列表,以允许所述目标终端通过所述网络接口与所述数据中心进行数据传输,包括:
获取所述网络接口对应的路由器端口的端口号;
根据所述端口号以及所述媒体访问控制地址和/或互联网协议地址,生成用于指示允许所述目标终端通过所述路由器端口与所述数据中心进行数据传输的语句;
将所述语句加入所述访问控制列表的首行。
4.根据权利要求1所述的方法,其特征在于,所述根据所述网络接口对应的路由器的端口信息和所述标识信息,修改所述路由器的访问控制列表,以允许所述目标终端通过所述网络接口与所述数据中心进行数据传输,包括:
确定预先设置的标识信息集合中是否包括所述标识信息;
如果是,则根据所述网络接口对应的路由器的端口信息和所述标识信息,修改所述路由器的访问控制列表,以允许所述目标终端通过所述网络接口与所述数据中心进行数据传输。
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述获取目标终端的标识信息和位置信息,包括:
接收目标终端发送的数据传输请求,所述数据传输请求中包括所述目标终端的标识信息和通过所述目标终端上安装的厘米级别精度的导航系统获取的所述目标终端的位置信息。
6.一种访问控制装置,其特征在于,所述装置包括:
获取单元,用于获取目标终端的标识信息和位置信息;
确定单元,用于根据所述位置信息,确定所述目标终端与数据中心的网络接口的距离是否小于预设阈值;所述网络接口未设于所述数据中心上;
修改单元,用于响应于确定出所述目标终端与所述网络接口的距离小于预设阈值,根据所述网络接口对应的路由器的端口信息和所述标识信息,修改所述路由器的访问控制列表,以允许所述目标终端通过所述网络接口与所述数据中心进行数据传输。
7.根据权利要求6所述的装置,其特征在于,所述修改单元还包括修改子单元,所述修改子单元进一步配置用于:
每隔预定时间间隔,获取所述目标终端的实时位置信息,直到根据所述实时位置信息,确定出所述目标终端与所述网络接口的距离大于预设阈值;响应于确定出所述目标终端与所述网络接口的距离大于预设阈值,根据所述端口信息修改所述路由器的访问控制列表,以禁止任何设备通过所述网络接口与所述数据中心进行数据传输。
8.根据权利要求6所述的装置,其特征在于,所述标识信息包括所述目标终端的媒体访问控制地址和/或互联网协议地址;以及
所述修改单元,包括:
获取子单元,用于获取所述网络接口对应的路由器端口的端口号;
生成子单元,用于根据所述端口号以及所述媒体访问控制地址和/或互联网协议地址,生成用于指示允许所述目标终端通过所述路由器端口与所述数据中心进行数据传输的语句;
加入子单元,用于将所述语句加入所述访问控制列表的首行。
9.根据权利要求6所述的装置,其特征在于,所述修改单元,进一步配置用于:
确定预先设置的标识信息集合中是否包括所述标识信息;
如果是,则根据所述网络接口对应的路由器的端口信息和所述标识信息,修改所述路由器的访问控制列表,以允许所述目标终端通过所述网络接口与所述数据中心进行数据传输。
10.根据权利要求6-9中任一项所述的装置,其特征在于,所述获取单元,包括:
接收子单元,用于接收目标终端发送的数据传输请求,所述数据传输请求中包括所述目标终端的标识信息和通过所述目标终端上安装的厘米级别精度的导航系统获取的所述目标终端的位置信息。
11.一种设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-5中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710081527.5A CN108429723B (zh) | 2017-02-15 | 2017-02-15 | 访问控制方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710081527.5A CN108429723B (zh) | 2017-02-15 | 2017-02-15 | 访问控制方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108429723A CN108429723A (zh) | 2018-08-21 |
| CN108429723B true CN108429723B (zh) | 2021-08-20 |
Family
ID=63155432
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710081527.5A Active CN108429723B (zh) | 2017-02-15 | 2017-02-15 | 访问控制方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108429723B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112965810B (zh) * | 2021-01-27 | 2022-06-24 | 合肥大多数信息科技有限公司 | 一种基于共享网络通道的多内核浏览器数据整合方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1953702A (zh) * | 2004-05-13 | 2007-04-25 | 皇家飞利浦电子股份有限公司 | 位置相关的访问控制 |
| CN101207636A (zh) * | 2006-12-19 | 2008-06-25 | 国际商业机器公司 | 用于控制和校准无线访问点范围的方法和系统 |
| CN102034321A (zh) * | 2009-09-25 | 2011-04-27 | 国民技术股份有限公司 | 一种用于无线支付的认证方法及系统 |
| CN103167403A (zh) * | 2011-12-15 | 2013-06-19 | 中国移动通信集团四川有限公司 | 电子渠道业务的认证方法及系统 |
| CN103971039A (zh) * | 2013-02-04 | 2014-08-06 | 霍尼韦尔国际公司 | 具有gps位置验证的访问控制系统和方法 |
| CN106302782A (zh) * | 2016-08-26 | 2017-01-04 | 维沃移动通信有限公司 | 一种网络访问控制方法及移动终端 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101523938B (zh) * | 2006-11-03 | 2012-02-01 | 华为技术有限公司 | 移动通信方法、移动通信系统及接入实体 |
-
2017
- 2017-02-15 CN CN201710081527.5A patent/CN108429723B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1953702A (zh) * | 2004-05-13 | 2007-04-25 | 皇家飞利浦电子股份有限公司 | 位置相关的访问控制 |
| CN101207636A (zh) * | 2006-12-19 | 2008-06-25 | 国际商业机器公司 | 用于控制和校准无线访问点范围的方法和系统 |
| CN102034321A (zh) * | 2009-09-25 | 2011-04-27 | 国民技术股份有限公司 | 一种用于无线支付的认证方法及系统 |
| CN103167403A (zh) * | 2011-12-15 | 2013-06-19 | 中国移动通信集团四川有限公司 | 电子渠道业务的认证方法及系统 |
| CN103971039A (zh) * | 2013-02-04 | 2014-08-06 | 霍尼韦尔国际公司 | 具有gps位置验证的访问控制系统和方法 |
| CN106302782A (zh) * | 2016-08-26 | 2017-01-04 | 维沃移动通信有限公司 | 一种网络访问控制方法及移动终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108429723A (zh) | 2018-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9659419B2 (en) | Method of controlling mobile terminal based on location information and applying security policy based on priority rules, and system thereof | |
| US20240291898A1 (en) | Screen mirroring device discovery method and apparatus, electronic device, and storage medium | |
| US9258770B2 (en) | Providing access point information to a user | |
| US11190916B2 (en) | Connected vehicle network access optimization using an intermediary platform | |
| US20170206421A1 (en) | Video count to improve wireless analytics estimates | |
| US20170289759A1 (en) | Gis based compression and reconstruction of gps data for transmission from a vehicular edge platform to the cloud | |
| US10368185B2 (en) | Mobile device location proofing | |
| US20180248940A1 (en) | Distributed data management | |
| GB2551619A (en) | Methods and systems for controlled wireless distribution of data for use at a location without reliable wireless connectivity | |
| US10063518B2 (en) | Reducing data connections for transmitting secured data | |
| CN111930709A (zh) | 数据存储方法、装置、电子设备和计算机可读介质 | |
| US9736757B2 (en) | Digital message delivery using ad-hoc distributed device networking | |
| US11075890B2 (en) | Wireless communication between vehicles | |
| CN108429723B (zh) | 访问控制方法和装置 | |
| US20180240098A1 (en) | Payment method and system of vehicle | |
| US20150099535A1 (en) | Obtaining a geographical position of a mobile device | |
| US20200274786A1 (en) | Apparatus and method for managing message transmission delay | |
| US9723436B2 (en) | Mobile device location | |
| WO2014110945A1 (en) | Information pushing method, information pushing system and information transmitter | |
| US11626018B2 (en) | Parking management and communication of parking information | |
| US20230109089A1 (en) | Approximating population density and post-incident scenario analysis | |
| US20150289148A1 (en) | Content delivery architecture | |
| US9989368B2 (en) | Identifying closed roads and routes | |
| US11647356B2 (en) | Proximity positioning | |
| US20210377580A1 (en) | Live or local environmental awareness |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |