CN110311929B - 一种访问控制方法、装置及电子设备和存储介质 - Google Patents
一种访问控制方法、装置及电子设备和存储介质 Download PDFInfo
- Publication number
- CN110311929B CN110311929B CN201910707580.0A CN201910707580A CN110311929B CN 110311929 B CN110311929 B CN 110311929B CN 201910707580 A CN201910707580 A CN 201910707580A CN 110311929 B CN110311929 B CN 110311929B
- Authority
- CN
- China
- Prior art keywords
- access control
- data packet
- identification mark
- user
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种访问控制方法、装置及一种电子设备和计算机可读存储介质,该方法包括:当接收到数据包时,确定所述数据包的识别标识;其中,所述识别标识包括所述数据包对应的用户的账户信息和源IP地址对应中的任一项或任几项的组合;向身份认证服务器询问所述识别标识对应的认证状态;根据所述认证状态对所述数据包执行对应的操作。由此可见,本申请提供的访问控制方法,可根据用户身份认证状态的变化,自动更新访问控制策略,针对动态变化的识别标识对应实现了有效的访问控制。
Description
技术领域
本申请涉及通信技术领域,更具体地说,涉及一种访问控制方法、装置及一种电子设备和一种计算机可读存储介质。
背景技术
无论局域网内部用户访问互联网资源,还是局域网外的用户访问局域网内的应用服务资源,网关或防火墙设备都应控制用户的访问权限。在相关技术中,网关或防火墙设备根据IP报文的五元组信息配置静态访问控制策略。但是,如今常见的移动终端用户IP地址等信息是动态变化的,如果再设置静态访问控制策略,将导致网关或防火墙设备无法做到有效的访问控制。
因此,如何进行有效的访问控制是本领域技术人员需要解决的技术问题。
发明内容
本申请的目的在于提供一种访问控制方法、装置及一种电子设备和一种计算机可读存储介质,针对动态变化的识别标识对应实现了有效的访问控制。
为实现上述目的,本申请提供了一种访问控制方法,包括:
当接收到数据包时,确定所述数据包的识别标识;其中,所述识别标识包括所述数据包对应的用户的账户信息和源IP地址对应中的任一项或任几项的组合;
向身份认证服务器询问所述识别标识对应的认证状态;
根据所述认证状态对所述数据包执行对应的操作。
其中,所述向身份认证服务器询问所述识别标识对应的认证状态之前,还包括:
判断所述识别标识是否可以在访问控制策略表中匹配到目标策略;所述目标策略包括所述识别标识对应的认证状态;
若是,则根据所述目标策略对所述数据包执行对应的操作;
若否,则执行所述向身份认证服务器询问所述识别标识对应的认证状态的步骤。
其中,所述向身份认证服务器询问所述识别标识对应的认证状态之后,还包括:
将所述识别标识对应的认证状态记录至访问控制策略表中。
其中,所述识别标识包括所述源IP地址且所述源IP地址为外网IP地址,则所述向身份认证服务器询问所述识别标识对应的认证状态之前,还包括:
判断所述数据包是否符合身份认证协议规范;
若是,则将发送所述数据包的用户的账户信息和所述识别标识对应记录至访问控制策略表中;
若否,则执行所述向身份认证服务器询问所述识别标识对应的认证状态的步骤。
其中,还包括:
当接收到所述身份认证服务器发送的目标用户的下线通知消息时,确定所述通知消息中所述目标用户的目标账户信息;
删除访问控制策略表中所述目标账户信息对应的策略。
为实现上述目的,本申请提供了一种访问控制装置,包括:
第一确定模块,用于当接收到数据包时,确定所述数据包的识别标识;其中,所述识别标识包括所述数据包对应的用户的账户信息和源IP地址对应中的任一项或任几项的组合;
询问模块,用于向身份认证服务器询问所述识别标识对应的认证状态;
第一执行模块,用于根据所述认证状态对所述数据包执行对应的操作。
其中,还包括:
第一判断模块,用于判断所述识别标识是否可以在访问控制策略表中匹配到目标策略;所述目标策略包括所述识别标识对应的认证状态;若是,则启动第二执行模块的工作流程;若否,则启动所述第一执行模块的工作流程;
所述第二执行模块,用于根据所述目标策略对所述数据包执行对应的操作。
其中,还包括:
第二确定模块,用于当接收到所述身份认证服务器发送的目标用户的下线通知消息时,确定所述通知消息中所述目标用户的目标账户信息;
删除模块,用于删除访问控制策略表中所述目标账户信息对应的策略。
为实现上述目的,本申请提供了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述访问控制方法的步骤。
为实现上述目的,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述访问控制方法的步骤。
通过以上方案可知,本申请提供的一种访问控制方法,包括:当接收到数据包时,确定所述数据包的识别标识;其中,所述识别标识包括所述数据包对应的用户的账户信息和源IP地址对应中的任一项或任几项的组合;向身份认证服务器询问所述识别标识对应的认证状态;根据所述认证状态对所述数据包执行对应的操作。
本申请提供的访问控制方法,无论局域网内部用户访问互联网资源,还是局域网外的用户访问局域网内的应用服务资源,都需向身份认证服务器询问用户的认证状态,并根据该认证状态进行访问控制,即放行数据包或阻止数据包。由此可见,本申请提供的访问控制方法,可根据用户身份认证状态的变化,自动更新访问控制策略,针对动态变化的识别标识对应实现了有效的访问控制。本申请还公开了一种访问控制装置及一种电子设备和一种计算机可读存储介质,同样能实现上述技术效果。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1为根据一示例性实施例示出的一种访问控制系统的架构图;
图2为根据一示例性实施例示出的一种访问控制方法的流程图;
图3为根据一示例性实施例示出的另一种访问控制方法的流程图;
图4为局域网外的用户访问局域网内的应用服务资源的流程图;
图5为局域网内部用户访问互联网资源的流程图;
图6为根据一示例性实施例示出的一种访问控制装置的结构图;
图7为根据一示例性实施例示出的一种电子设备的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了便于理解本申请提供的访问控制方法,下面对其应用的系统进行介绍。参见图1,其示出了本申请实施例提供的一种访问控制装置的架构图,如图1所示,包括局域网1和局域网2,局域网1中包括用户终端10、应用服务器20和身份认证服务器30,局域网2中包括用户终端40,局域网1和局域网2之间通过访问控制设备50连接。
其中,用户终端10和用户终端40可以为如手机等移动终端或如PC(中文全称:个人计算机,英文全称:personal computer)端等固定终端。可以理解的是,本实施例不对局域网1和局域网2中的用户终端数量进行限定,局域网2中也可以包括应用服务器和身份认证服务器,图1中仅进行简单示例,示出了局域网内部用户访问互联网资源(即用户终端10访问互联网资源)和局域网外的用户访问局域网内的应用服务资源(即用户终端40访问应用服务器20的资源)两种场景。
访问控制设备50可以为网关设备、防火墙设备、路由器、交换机等网络设备,在此不进行具体限定。其用于对接收到的数据包进行访问控制,即放行或阻止。身份认证服务器30用于对局域网1外的用户进行身份认证,认证状态为通过的用户发出的数据包可以被访问控制设备50放行。
本申请实施例公开了一种访问控制方法,针对动态变化的识别标识对应实现了有效的访问控制。
参见图2,根据一示例性实施例示出的一种访问控制方法的流程图,如图2所示,包括:
S101:当接收到数据包时,确定所述数据包的识别标识;其中,所述识别标识包括所述数据包对应的用户的账户信息和源IP地址对应中的任一项或任几项的组合;
本实施例的执行主体为上述实施例中介绍的访问控制设备50,当接收到数据包时,解析该数据包,得到该数据包的识别标识。此处的识别标识可以包括该数据包的源IP地址、发送该数据包的用户的账户信息等,账户信息可以为用户证书或用户账号。在解析数据包时,还可以得到该数据包对应的目的IP地址,若目的IP地址为互联网,则该数据包为局域网内部用户访问互联网资源的数据包,可以理解为图1中用户终端10访问互联网资源的数据包,若目的IP地址为一局域网中的IP地址,则该数据包为局域网外的用户访问局域网内的应用服务资源的数据包,可以理解为图1中用户终端40访问应用服务器20的数据包。
S102:向身份认证服务器询问所述识别标识对应的认证状态;
在本步骤中,访问控制设备根据发出数据包的用户的账户信息和该数据包的识别标识对应向身份认证服务器询问认证状态,以便后续步骤依据认证状态对数据包执行对应的操作。
在具体实施中,若该数据包为局域网内部用户访问互联网资源的数据包,则访问控制设备向识别标识对应所在的局域网中的身份认证服务器询问认证状态,若该数据包为局域网外的用户访问局域网内的应用服务资源的数据包,则访问控制设备向目的IP地址所在的局域网中的身份认证服务器询问认证状态。
S103:根据所述认证状态对所述数据包执行对应的操作。
在本步骤中,根据上一步骤确定的认证状态对数据包执行对应的操作,若认证状态为通过,则放行该数据包,反之若认证状态为未通过,则阻止该数据包。
以图1为例,用户终端40通过访问控制设备50访问局域网1内应用服务器20的资源,需要到身份认证服务器30进行身份认证。访问控制设备50接收到用户终端40访问应用服务资源的数据包,向身份认证服务器30询问用户终端40的认证状态,若认证状态为通过身则放行此数据包,否则阻止该数据包通过。用户终端10通过访问控制设备50访问互联网时,同样需要到身份认证服务器30进行身份认证。访问控制设备50接收到用户终端10访问互联网的数据包,向身份认证服务器30询问用户终端10的认证状态,若认证状态为通过身则放行此数据包,否则阻止该数据包通过。
本申请实施例提供的访问控制方法,无论局域网内部用户访问互联网资源,还是局域网外的用户访问局域网内的应用服务资源,都需向身份认证服务器询问用户的认证状态,并根据该认证状态进行访问控制,即放行数据包或阻止数据包。由此可见,本申请实施例提供的访问控制方法,可根据用户身份认证状态的变化,自动更新访问控制策略,针对动态变化的识别标识对应实现了有效的访问控制。
本申请实施例公开了一种访问控制方法,相对于上一实施例,本实施例对技术方案作了进一步的说明和优化。具体的:
参见图3,根据一示例性实施例示出的另一种访问控制方法的流程图,如图3所示,包括:
S201:当接收到数据包时,确定所述数据包的识别标识;其中,所述识别标识包括所述数据包对应的用户的账户信息和源IP地址对应中的任一项或任几项的组合;
S202:判断所述识别标识是否可以在访问控制策略表中匹配到目标策略;所述目标策略包括所述识别标识对应的认证状态;若是,则进入S203;若否,则进入S204;
在本实施例中,为了避免每次接收到数据包时都需要身份认证服务器的认证,可以在访问控制设备中配置访问控制策略表,访问控制策略表中包括多条控制策略,每条控制策略记录了一个用户的认证结果。每条控制策略可以包括用户的账户信息、IP地址和认证状态,认证状态包括通过和未通过。访问控制策略表在用户上线或下线时自动进行更新,用户上线时会在发送数据包时重新在身份认证服务器中进行认证,认证结果更新至访问策略表中。下线流程为当接收到所述身份认证服务器发送的目标用户的下线通知消息时,确定所述通知消息中所述目标用户的目标账户信息;删除访问控制策略表中所述目标账户信息对应的策略。
在本步骤中,当接收到数据包时,首先根据解析得到的识别标识对应在访问控制策略表中匹配策略,若匹配到则不必向身份认证服务器进行问询,直接根据匹配到的目标策略中的认证状态对数据包执行对应的操作,即若认证状态为通过,则放行该数据包,反之若认证状态为未通过,则阻止该数据包。若未匹配到向身份认证服务器进行问询。
S203:根据所述目标策略对所述数据包执行对应的操作;
S204:向身份认证服务器询问所述识别标识对应的认证状态,并将所述认证状态记录至访问控制策略表中;
在本步骤中,得到识别标识对应的认证状态后,将发出该数据包的用户的账户信息、识别标识对应和认证状态记录到访问控制策略表中,以便下次接收到同样识别标识对应的数据包时直接根据认证状态执行对应的操作。
需要说明的是,当数据包为局域网外部的用户设备发出的数据包时,该数据包的作用可以为访问局域网内的应用服务资源,也可以为向局域网内的身份认证服务器请求认证。即所述识别标识包括所述源IP地址且所述源IP地址为外网IP地址,则在本步骤之前,还包括:判断所述数据包是否符合身份认证协议规范;若是,则将发送所述数据包的用户的账户信息和所述识别标识对应记录至访问控制策略表中;若否,则执行本步骤。其中,身份认证协议规范可以为标准SSL(中文全称:安全嵌套层,英文全称:Secure SocketsLayer)协议规范也可以为自定义的身份认证规范,在此不进行具体限定。访问控制设备可以根据数据包的目的IP地址和目的端口判断是否符合身份认证协议规范,若符合,则该数据包为向局域网内的身份认证服务器请求认证的数据包,身份认证服务器可以利用双证书策略对发出该数据包的用户进行认证,认证结果记录在访问控制策略表中。
S205:根据所述认证状态对所述数据包执行对应的操作。
对于本实施例的方案,以图1为例,用户终端40通过访问控制设备50访问局域网1内应用服务器20的资源,需要到身份认证服务器30进行身份认证。访问控制设备50接收到用户终端40访问应用服务资源的数据包,首先查询是否存在访问控制策略让此数据包通过,若存在,则放行此数据包;否则,向身份认证服务器30询问用户终端40的认证状态,若认证状态为通过身则放行此数据包,否则阻止该数据包通过。用户终端10通过访问控制设备50访问互联网时,同样需要到身份认证服务器30进行身份认证。访问控制设备50接收到用户终端10访问互联网的数据包,首先查询是否存在访问控制策略让此数据包通过。如存在,则放行此数据包;否则,向身份认证服务器30询问用户终端10的认证状态,若认证状态为通过身则放行此数据包,否则阻止该数据包通过。
在具体实施中,当身份认证服务器探测到目标用户下线时,如目标用户注销、管理员移除目标用户或因网络故障导致目标用户下线,身份认证服务器封装目标用户的下线通知消息,该下线通知消息中至少包括目标用户的账户信息,身份认证服务器将该下线通知消息发送至访问控制设备,访问控制设备从下线通知消息中获取目标用户的目标账户信息,删除访问控制策略表中目标账户信息对应的策略。
下面详细介绍局域网外的用户访问局域网内的应用服务资源的流程。具体的,如图4所示,网关设备收到访问局域网1服务资源的数据包,解析该数据包,判断是否符合身份认证协议规范;若符合,则获取认证用户2(用户2为局域网2中的用户)的IP地址、用户证书(或用户账号),并记录到访问控制策略表Access_Control中;若不符合,则解析该数据包获取报文中的识别标识对应。
依据上述识别标识对应,查询访问控制策略表Access_Control;若匹配到策略,则根据策略允许或阻止该数据包通过;若没有匹配到策略,则依据上述识别标识对应,询问身份认证服务器用户2的身份认证状态;若状态是通过,则放行该数据包,并在访问控制策略表Access_Control中记录用户2的状态为通过;若状态是未通过,则阻止该数据包,并在访问控制策略表Access_Control中记录用户2的状态为未通过。
下面详细介绍局域网内部用户访问互联网资源的流程。具体的,如图5所示,网关设备收到用户1(用户1为局域网1中的用户)访问互联网的数据包,解析该数据包获取报文的识别标识对应,查询访问控制策略表Access_Control;若匹配到策略,则根据策略允许或阻止该数据包通过;若没有匹配到策略,则依据上述识别标识对应,询问身份认证服务器用户1的身份认证状态;若状态是通过,则放行该数据包,并在访问控制策略表Access_Control中记录用户1的用户账号、IP地址、用户认证状态为通过;若状态是未通过,则阻止该数据包,并在访问控制策略表Access_Control中记录用户1的用户账号、IP地址、用户认证状态为未通过。
下面对本申请实施例提供的一种访问控制装置进行介绍,下文描述的一种访问控制装置与上文描述的一种访问控制方法可以相互参照。
参见图6,根据一示例性实施例示出的一种访问控制装置的结构图,如图6所示,包括:
第一确定模块601,用于当接收到数据包时,确定所述数据包的识别标识;其中,所述识别标识包括所述数据包对应的用户的账户信息和源IP地址对应中的任一项或任几项的组合;
询问模块602,用于向身份认证服务器询问所述识别标识对应的认证状态;
第一执行模块603,用于根据所述认证状态对所述数据包执行对应的操作。
本申请实施例提供的访问控制装置,无论局域网内部用户访问互联网资源,还是局域网外的用户访问局域网内的应用服务资源,都需向身份认证服务器询问用户的认证状态,并根据该认证状态进行访问控制,即放行数据包或阻止数据包。由此可见,本申请实施例提供的访问控制装置,可根据用户身份认证状态的变化,自动更新访问控制策略,针对动态变化的识别标识对应实现了有效的访问控制。
在上述实施例的基础上,作为一种优选实施方式,还包括:
第一判断模块,用于判断所述识别标识是否可以在访问控制策略表中匹配到目标策略;所述目标策略包括所述识别标识对应的认证状态;若是,则启动第二执行模块的工作流程;若否,则启动所述第一执行模块的工作流程;
所述第二执行模块,用于根据所述目标策略对所述数据包执行对应的操作。
在上述实施例的基础上,作为一种优选实施方式,还包括:
第一记录模块,用于将所述识别标识对应的认证状态记录至访问控制策略表中。
在上述实施例的基础上,作为一种优选实施方式,所述识别标识包括所述源IP地址且所述源IP地址为外网IP地址,则还包括:
第二判断模块,用于判断所述数据包是否符合身份认证协议规范;若是,则启动第二记录模块的工作流程;若否,则启动询问模块602的工作流程;
第二记录模块,用于将发送所述数据包的用户的账户信息和所述识别标识对应记录至访问控制策略表中。
执行所述向身份认证服务器询问所述识别标识对应的认证状态的步骤。
在上述实施例的基础上,作为一种优选实施方式,还包括:
第二确定模块,用于当接收到所述身份认证服务器发送的目标用户的下线通知消息时,确定所述通知消息中所述目标用户的目标账户信息;
删除模块,用于删除访问控制策略表中所述目标账户信息对应的策略。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本申请还提供了一种电子设备,参见图7,本申请实施例提供的一种电子设备700的结构图,如图7所示,可以包括处理器11和存储器12。该电子设备700还可以包括多媒体组件13,输入/输出(I/O)接口14,以及通信组件15中的一者或多者。
其中,处理器11用于控制该电子设备700的整体操作,以完成上述的访问控制方法中的全部或部分步骤。存储器12用于存储各种类型的数据以支持在该电子设备700的操作,这些数据例如可以包括用于在该电子设备700上操作的任何应用程序或方法的指令,以及应用程序相关的数据,例如联系人数据、收发的消息、图片、音频、视频等等。该存储器12可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。多媒体组件13可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器12或通过通信组件15发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口14为处理器11和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件15用于该电子设备700与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near FieldCommunication,简称NFC),2G、3G或4G,或它们中的一种或几种的组合,因此相应的该通信组件15可以包括:Wi-Fi模块,蓝牙模块,NFC模块。
在一示例性实施例中,电子设备700可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit,简称ASIC)、数字信号处理器(DigitalSignal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field Programmable Gate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述的访问控制方法。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述访问控制方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器12,上述程序指令可由电子设备700的处理器11执行以完成上述的访问控制方法。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (7)
1.一种访问控制方法,其特征在于,包括:
当接收到数据包时,确定所述数据包的识别标识;其中,所述识别标识包括所述数据包对应的用户的账户信息和源IP地址对应中的任一项或任几项的组合;
向身份认证服务器询问所述识别标识对应的认证状态;
根据所述认证状态对所述数据包执行对应的操作;
其中,所述向身份认证服务器询问所述识别标识对应的认证状态之前,还包括:
判断所述识别标识是否可以在访问控制策略表中匹配到目标策略;所述目标策略包括所述源IP地址的认证状态;
若是,则根据所述目标策略对所述数据包执行对应的操作;
若否,则执行所述向身份认证服务器询问所述识别标识对应的认证状态的步骤;
其中,所述向身份认证服务器询问所述识别标识对应的认证状态之后,还包括:
将所述识别标识对应的认证状态记录至访问控制策略表中。
2.根据权利要求1所述访问控制方法,其特征在于,若所述识别标识包括所述源IP地址且所述源IP地址为外网IP地址,则所述向身份认证服务器询问所述识别标识对应的认证状态之前,还包括:
判断所述数据包是否符合身份认证协议规范;
若是,则将发送所述数据包的用户的账户信息和所述识别标识对应记录至访问控制策略表中;
若否,则执行所述向身份认证服务器询问所述识别标识对应的认证状态的步骤。
3.根据权利要求1或2所述访问控制方法,其特征在于,还包括:
当接收到所述身份认证服务器发送的目标用户的下线通知消息时,确定所述通知消息中所述目标用户的目标账户信息;
删除访问控制策略表中所述目标账户信息对应的策略。
4.一种访问控制装置,其特征在于,包括:
第一确定模块,用于当接收到数据包时,确定所述数据包的识别标识;其中,所述识别标识包括所述数据包对应的用户的账户信息和源IP地址对应中的任一项或任几项的组合;
询问模块,用于向身份认证服务器询问所述识别标识对应的认证状态;
第一执行模块,用于根据所述认证状态对所述数据包执行对应的操作;
其中,还包括:
第一判断模块,用于判断所述识别标识是否可以在访问控制策略表中匹配到目标策略;所述目标策略包括所述识别标识对应的认证状态;若是,则启动第二执行模块的工作流程;若否,则启动所述第一执行模块的工作流程;
所述第二执行模块,用于根据所述目标策略对所述数据包执行对应的操作;
其中,还包括:
第一记录模块,用于将所述识别标识对应的认证状态记录至访问控制策略表中。
5.根据权利要求4所述访问控制装置,其特征在于,还包括:
第二确定模块,用于当接收到所述身份认证服务器发送的目标用户的下线通知消息时,确定所述通知消息中所述目标用户的目标账户信息;
删除模块,用于删除访问控制策略表中所述目标账户信息对应的策略。
6.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至3任一项所述访问控制方法的步骤。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至3任一项所述访问控制方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910707580.0A CN110311929B (zh) | 2019-08-01 | 2019-08-01 | 一种访问控制方法、装置及电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910707580.0A CN110311929B (zh) | 2019-08-01 | 2019-08-01 | 一种访问控制方法、装置及电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110311929A CN110311929A (zh) | 2019-10-08 |
| CN110311929B true CN110311929B (zh) | 2022-01-07 |
Family
ID=68082873
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910707580.0A Active CN110311929B (zh) | 2019-08-01 | 2019-08-01 | 一种访问控制方法、装置及电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110311929B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113132303A (zh) * | 2019-12-30 | 2021-07-16 | 奇安信科技集团股份有限公司 | 由防火墙执行的信息处理方法和装置 |
| CN111355721B (zh) * | 2020-02-25 | 2022-09-30 | 深信服科技股份有限公司 | 一种访问控制方法、装置、设备及系统和存储介质 |
| CN111447201A (zh) * | 2020-03-24 | 2020-07-24 | 深信服科技股份有限公司 | 一种扫描行为识别方法、装置及电子设备和存储介质 |
| CN111970250B (zh) * | 2020-07-27 | 2023-03-17 | 深信服科技股份有限公司 | 一种识别账号共享的方法及电子设备、存储介质 |
| CN112202708A (zh) * | 2020-08-24 | 2021-01-08 | 国网山东省电力公司 | 身份认证方法、装置、电子设备及存储介质 |
| CN112003877B (zh) * | 2020-09-03 | 2023-04-18 | 度小满科技(北京)有限公司 | 一种网络隔离方法、装置、电子设备及存储介质 |
| CN113206852B (zh) * | 2021-05-06 | 2023-03-24 | 深信服科技股份有限公司 | 一种安全防护方法、装置、设备及存储介质 |
| CN113596033B (zh) * | 2021-07-30 | 2023-03-24 | 深信服科技股份有限公司 | 访问控制方法及装置、设备、存储介质 |
| CN114024755A (zh) * | 2021-11-09 | 2022-02-08 | 北京天融信网络安全技术有限公司 | 服务访问控制方法、装置、设备及计算机可读存储介质 |
| CN114374543B (zh) * | 2021-12-20 | 2023-10-13 | 北京北信源软件股份有限公司 | 网络安全防护方法、系统、装置、安全交换机及存储介质 |
| CN115242478B (zh) * | 2022-07-15 | 2024-01-02 | 江苏保旺达软件技术有限公司 | 一种提升数据安全的方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101128796A (zh) * | 2003-12-04 | 2008-02-20 | 思科技术公司 | 用于共享介质的802.1x认证技术 |
| CN104618403A (zh) * | 2015-03-10 | 2015-05-13 | 网神信息技术(北京)股份有限公司 | 安全网关的访问控制方法和装置 |
| CN105282270A (zh) * | 2015-11-03 | 2016-01-27 | 北京星网锐捷网络技术有限公司 | 一种防止ip地址冒用的方法、装置及系统 |
| CN108200023A (zh) * | 2017-12-25 | 2018-06-22 | 锐捷网络股份有限公司 | 无感知认证方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5088100B2 (ja) * | 2007-11-08 | 2012-12-05 | 日本電気株式会社 | Ipネットワークシステム、そのアクセス制御方法、ipアドレス配布装置、及びipアドレス配布方法 |
| CN101764742B (zh) * | 2009-12-30 | 2015-09-23 | 福建星网锐捷网络有限公司 | 一种网络资源访问控制系统及方法 |
| CN109815684B (zh) * | 2019-01-30 | 2021-08-13 | 广东工业大学 | 一种身份认证方法、系统及服务器和存储介质 |
-
2019
- 2019-08-01 CN CN201910707580.0A patent/CN110311929B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101128796A (zh) * | 2003-12-04 | 2008-02-20 | 思科技术公司 | 用于共享介质的802.1x认证技术 |
| CN104618403A (zh) * | 2015-03-10 | 2015-05-13 | 网神信息技术(北京)股份有限公司 | 安全网关的访问控制方法和装置 |
| CN105282270A (zh) * | 2015-11-03 | 2016-01-27 | 北京星网锐捷网络技术有限公司 | 一种防止ip地址冒用的方法、装置及系统 |
| CN108200023A (zh) * | 2017-12-25 | 2018-06-22 | 锐捷网络股份有限公司 | 无感知认证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110311929A (zh) | 2019-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110311929B (zh) | 一种访问控制方法、装置及电子设备和存储介质 | |
| CN108616490B (zh) | 一种网络访问控制方法、装置及系统 | |
| US10986094B2 (en) | Systems and methods for cloud based unified service discovery and secure availability | |
| US9571523B2 (en) | Security actuator for a dynamically programmable computer network | |
| US8856909B1 (en) | IF-MAP provisioning of resources and services | |
| JP2016530814A (ja) | 大量のvpn接続を遮断するためのゲートウェイデバイス | |
| US11297058B2 (en) | Systems and methods using a cloud proxy for mobile device management and policy | |
| WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| JP2005318584A (ja) | デバイスのセキュリティ状況に基づいたネットワーク・セキュリティのための方法および装置 | |
| CN106453409B (zh) | 一种报文处理方法及接入设备 | |
| US10904250B2 (en) | Systems and methods for automated network-based rule generation and configuration of different network devices | |
| US20150156079A1 (en) | Methods and Apparatus to Dynamically Provide Network Policies | |
| US20190199822A1 (en) | Method of processing requests, and a proxy server | |
| US20190230065A1 (en) | Encryption key management of client devices and endpoints within a protected network | |
| US20240089178A1 (en) | Network service processing method, system, and gateway device | |
| CN110913011A (zh) | 会话保持方法、会话保持装置、可读存储介质及电子设备 | |
| CN114221959A (zh) | 服务共享方法、装置和系统 | |
| JP5110082B2 (ja) | 通信制御システム、通信制御方法および通信端末 | |
| US10097998B2 (en) | Frictionless authentication over WiFi | |
| TW201721498A (zh) | 具安全與功能擴充性的有線區域網路使用者管理系統及方法 | |
| CN108259420B (zh) | 一种报文处理方法及装置 | |
| CN108768987B (zh) | 数据交互方法、装置及系统 | |
| CN115250234A (zh) | 一种部署网络设备的方法、装置、设备、系统及存储介质 | |
| US10516609B1 (en) | Stateful packet inspection and classification | |
| KR20090000289A (ko) | 네트워크 자동 로그인 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |