CN110351298A - 访问控制方法、装置、设备及存储介质 - Google Patents
访问控制方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN110351298A CN110351298A CN201910670323.4A CN201910670323A CN110351298A CN 110351298 A CN110351298 A CN 110351298A CN 201910670323 A CN201910670323 A CN 201910670323A CN 110351298 A CN110351298 A CN 110351298A
- Authority
- CN
- China
- Prior art keywords
- access
- address
- equipment
- terminal
- visited
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了访问控制方法、装置、设备及存储介质。该方法包括:接收访问请求,访问请求中携带有访问号码;检测发送访问请求的终端的互联网协议IP地址,将IP地址,将IP地址作为源地址;根据访问号码,匹配得到允许终端访问的待访问设备的目标地址和目标端口;向待访问设备发送端口打开指令以及源地址,以使待访问设备打开目标端口,并将源地址保存至待访问设备的访问地址列表中,在终端访问目标地址时的IP地址为访问地址列表中的源地址的情况下允许终端访问目标地址。本发明实施例能够更加精确的限制访问互联网设备的终端,进而更加精确的控制互联网上设备的端口开放。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种访问控制方法、装置、设备及存储介质。
背景技术
目前,互联网上大多数设备维护类端口都需要对访问来源进行限制,避免互联网上他人恶意控制该设备计算资源,盗取、修改各种信息或者破坏系统机密性、完整性和可用性。
但是,目前的技术方案(如,采用通过访问控制列表(Access Control List,ACL)策略提前对访问该端口的地址范围进行限制)只能杜绝部分网络之间互连的协议(Internet Protocol,IP)地址段进行恶意渗透,无法精确化地控制进行访问的IP地址。
发明内容
本发明实施例提供了一种访问控制方法、装置、设备及存储介质,能够更加精确的限制访问互联网设备的终端,进而更加精确的控制互联网上设备的端口开放。
第一方面,本发明实施例提供了一种访问控制方法,方法包括:
接收访问请求,访问请求中携带有访问号码;
检测发送访问请求的终端的互联网协议IP地址,将IP地址作为源地址;
根据访问号码,匹配得到允许终端访问的待访问设备的目标地址和目标端口;
向待访问设备发送端口打开指令以及源地址,以使待访问设备打开目标端口,并将源地址保存至待访问设备的访问地址列表中,在终端访问目标地址时的IP地址为访问地址列表中的源地址的情况下允许终端访问目标地址。
第二方面,本发明实施例提供了一种访问控制装置,装置包括:
接收模块,用于接收访问请求,访问请求中携带有访问号码;
检测模块,用于检测发送访问请求的终端的互联网协议IP地址,将IP地址作为源地址;
匹配模块,用于根据访问号码,匹配得到允许终端访问的待访问设备的目标地址和目标端口;
端口控制模块,用于向待访问设备发送端口打开指令以及源地址,以使待访问设备打开目标端口,并将源地址保存至待访问设备的访问地址列表中,在终端访问目标地址时的IP地址为访问地址列表中的源地址的情况下允许终端访问目标地址。
第三方面,本发明实施例提供了一种计算设备,包括:至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令,当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序指令,当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。
本发明实施例通过访问号码确定维护人员需要访问的设备,并将维护人员访问平台的IP地址作为源地址,基于该源地址作为打开设备的唯一标识,判断该源地址是否能够访问设备,严格限制了只有申请访问的源地址才可以访问设备,进而能够精确化的控制访问设备的IP地址,能够更加精确,更加有效的支持互联网上设备的端口管控。
进一步地,本发明实施例中还设置了终端访问设备的访问时限,进而控制用户访问设备的访问时长,能够有效的支持互联网上设备的端口管控。
进一步地,利用手机一键登录认证对维护人员第一时间进行认证,并根据预先授予的管理设备范围,对指定设备开启互联网端口,避免了目前无法精确化控制访问IP地址和访问时限的缺点,同时也避免了现有技术中无法支持多人数,存在共享端口碰撞序列(密码)、无法限制源地址的情况。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了根据本发明一些实施例提供的一种访问控制方法的流程图;
图2示出了根据本发明一些实施例提供的一种访问控制装置的结构图;
图3示出了根据本发明一些实施例提供的一种基于手机号码一键登录认证的服务端口管控系统的结构图;
图4示出了根据本发明一些实施例提供的一种访问控制平台的结构图;
图5示出了根据本发明一些实施例提供的一种基于手机号码一键登录认证的服务端口管控系统的管控方法的流程图;
图6示出了根据本发明一些实施例提供的一种4A指令通道通过统一接口进行统一远程登录的方法;
图7示出了根据本发明一些实施例提供的一种计算设备的结构示意图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
参见图1所示,本发明实施例提供了一种访问控制方法,该方法包括:S101-S104。
S101:接收访问请求,访问请求中携带有访问号码。
在一个示例实施例中,访问请求不仅包括用户需要访问设备的请求,还包括用户登录访问控制平台的信息,登录的信息中包括访问号码,其中,访问号码为能够表示用户手机号码的字段。
在一个示例实施例中,在接收到访问请求后,识别访问请求中的访问号码字段,确定访问号码。
在一个示例实施例中,用户登录访问控制平台的时候无需使用账号和密码,而是在目标网络下,通过手机号码进行一键登录访问控制平台,其中,目标网络为运营商网络。
S102:检测发送访问请求的终端的互联网协议IP地址,将IP地址作为源地址。
在一个示例实施例中,终端成功登录访问控制平台后,访问控制平台会检测目前终端发送访问请求时的IP地址,并将检测到的IP地址作为源地址,其中,源地址为用户访问待访问设备的唯一地址。终端可以是电脑、手机、平板电脑等。
在这里,用户也可以在终端上输入IP地址,作为用户访问待访问设备的源地址。
S103:根据访问号码,匹配得到允许终端访问的待访问设备的目标地址和目标端口。
在一个示例实施例中,在后台服务器中保存有该用户能够访问的待访问设备的目标地址和目标端口,每一个用户都对应有需要管理的待访问设备,例如:防火墙、主机等。在接收到终端发送的访问请求后,识别出访问请求中的访问号码,并根据访问号码匹配终端能够访问的待访问设备对应的目标地址和目标端口,也即用户需要管理的待访问设备对应的目标地址和目标端口。
S104:向待访问设备发送端口打开指令以及源地址,以使待访问设备打开目标端口,并将源地址保存至待访问设备的访问地址列表中,在终端访问目标地址时的IP地址为访问地址列表中的源地址的情况下允许终端访问目标地址。
在一个示例实施例中,终端对待访问设备进行访问需要待访问设备的端口打开,并通过终端访问待访问设备时的IP地址与待访问设备中的访问地址列表中的IP地址能够匹配,因此,需要向待访问设备发送端口打开指令和源地址。在这里,端口打开指令是在对终端进行身份验证和访问权限鉴定通过的情况下生成的,下面对终端进行身份验证以及访问权限鉴定的具体过程进行描述。
具体地,本发明实施例还提供了对终端进行身份验证以及访问权限鉴定的具体方法,包括:
将访问号码对应的身份认证信息、待访问设备的目标端口和目标地址发送给统一安全管理(Authentication,Authorization,Accounting and Audit,4A)系统,以使4A系统对身份认证信息进行身份认证,以及鉴定身份认证信息是否有访问待访问设备的权限。
接收4A系统发送的鉴权认证结果。
若鉴权认证结果为身份认证通过且权限鉴定成功时,向待访问设备发送端口打开指令以及源地址。
在一个示例实施例中,后台服务器中保存有访问号码对应的身份认证信息,例如,账号和密码,访问控制平台会在服务器中调取与访问号码对应的身份认证信息,并将身份认证信息、待访问设备的目标地址和目标端口发送给4A系统,通过4A系统使用身份认证信息对终端进行身份认证,根据目标地址和目标端口,鉴定身份认证信息是否有访问待访问设备的权限。访问控制平台接收4A系统反馈的鉴权认证结果,其中,鉴权认证结果为4A系统对进行身份认证以及鉴定身份认证信息是否具有访问待访问设备权限的结果。
在鉴权认证结果为身份认证通过且权限鉴定成功的情况下,向待访问设备发送端口打开指令以及源地址,待访问设备接收到端口打开指令后,将目标端口打开,并将源地址保存至访问地址列表中,在终端访问目标地址时的IP地址为访问地址列表中的源地址的情况下,允许终端访问目标地址,也即在终端访问待访问设备的时候,待访问设备会检测终端访问待访问设备的IP地址是否在访问控制列表中,只有终端访问待访问设备的IP地址在访问控制列表中,才允许终端进行访问。
在一个示例实施例中,访问控制平台会对终端对目标地址的访问进行计时,进而能够监控终端访问目标地址的访问时间长度,若访问时间长度大于预设时间长度,关闭终端访问的目标地址对应的目标端口,以停止终端访问目标地址。例如,预设时间长度为2小时,当访问时间长度超过两小时的时候,关闭目标端口,通知终端访问目标地址。
此外,用户也可以将预设时间长度进行更改,且若用户在预设时间长度内完成工作,可以在终端页面中点击下线。在接收到终端的下线指令后,关闭目标端口,并将端口关闭信息发送给终端。
在一个示例实施例中,访问控制平台会检测访问号码是否有能够管理的待访问设备,若没有,则该访问号码对应的终端没有设备管理权限,向终端发送短信审批通知,终端根据短信审批通知想管理员申请设备管理权限。
在一个示例实施例中,记录终端访问目标地址的操作方式,生成操作日志,以根据操作日志对操作方式进行审计。
本发明实施例通过访问号码确定维护人员需要访问的设备,并将维护人员访问平台的IP地址作为源地址,基于该源地址作为打开设备的唯一标识,判断该源地址是否能够访问设备,严格限制了只有申请访问的源地址才可以访问设备,进而能够精确化的控制访问设备的IP地址,能够更加精确,更加有效的支持互联网上设备的端口管控。
进一步地,本发明实施例中还设置了终端访问设备的访问时限,进而控制用户访问设备的访问时长,能够有效的支持互联网上设备的端口管控。
进一步地,利用手机一键登录认证对维护人员第一时间进行认证,并根据预先授予的管理设备范围,对指定设备开启互联网端口,避免了目前无法精确化控制访问IP地址和访问时限的缺点,同时也避免了现有技术中无法支持多人数,存在共享端口碰撞序列(密码)、无法限制源地址的情况。
参见图2所示,本发明实施例提供了一种访问控制装置,其特征在于,所述装置包括:
接收模块201,用于接收访问请求,所述访问请求中携带有访问号码;
检测模块202,用于检测发送所述访问请求的终端的互联网协议IP地址,将所述IP地址作为源地址;
匹配模块203,用于根据所述访问号码,匹配得到允许所述终端访问的待访问设备的目标地址和目标端口;
端口控制模块204,用于向待访问设备发送端口打开指令以及所述源地址,以使所述待访问设备打开目标端口,并将所述源地址保存至所述待访问设备的访问地址列表中,在所述终端访问所述目标地址时的IP地址为所述访问地址列表中的源地址的情况下允许所述终端访问所述目标地址。
在一些实施例中,访问控制装置还包括时间计算模块205,具体用于,
对所述终端对所述目标地址的访问进行计时,确定所述终端的访问时间长度;
若所述访问时间长度大于预设时间长度,关闭所述终端访问的所述目标地址对应的所述目标端口,以停止所述终端访问所述目标地址。
在一些实施例中,时间计算模块205还用于:
响应于接收到所述终端发送的下线指令,关闭所述终端访问的所述目标地址对应的所述目标端口。
在一些实施例中,端口控制模块204具体用于向待访问设备发送端口打开指令以及所述源地址,包括:
将所述访问号码对应的身份认证信息、所述待访问设备的目标端口和目标地址发送给统一安全管理4A系统,以使所述4A系统对所述身份认证信息进行身份认证,以及鉴定所述身份认证信息是否有访问所述待访问设备的权限;
接收所述4A系统发送的鉴权认证结果;
在所述鉴权认证结果为身份认证通过且权限鉴定成功的情况下,向所述待访问设备发送端口打开指令以及所述源地址。
在一些实施例中,访问控制装置还包括权限鉴定模块206用于,
检测所述访问号码是否具有设备管理权限;
若所述访问号码没有设备管理权限,向所述终端发送短信审批通知,以使所述终端通过短信申请设备管理权限。
在一些实施例中,访问控制装置还包括权限记录模块207,用于
记录所述终端访问所述目标地址的操作方式,生成操作日志,以根据所述操作日志对所述操作方式进行审计。
在一些实施例中,访问控制装置还包括识别鉴定模块208,用于
识别所述访问请求中的访问号码字段,确定所述终端对应的所述访问号码。
在本发明的一个示例实施例中,如图3所示,为本发明中基于手机号码一键登录认证的服务端口管控系统的结构图,其中,如图4所示,为访问控制平台的结构图。
基于本发明中基于手机号码一键登录认证的服务端口管控系统,如图5,其管控方法的步骤如下:
S501:手机客户端通过APP或网页基于手机号码发起认证请求。
维护人员利用手机客户端通过4G移动网络发起基于手机号码的访问网络认证,无需输入密码及验证码,一键实现登录。用户在登录时仅需要在APP或者页面访问固定网址,通过运营商网络前转手机号码,即可完成用户身份校验,由于前转手机号是运营商网络生成,不存在客户端篡改或冒用,可以实现手机号码一键认证登录。
S502:获取用户申请的访问控制策略。
客户端认证通过后,访问控制平台会自动探测手机已经分配的互联网IP地址并默认作为源地址,此外,用户可以在客户端或页面中输入器访问设备时所需要用的IP地址,将用户输入的IP地址作为源地址;从后台服务器中读取该用户允许访问的目标地址段和端口段作为目的地址信息和端口信息范围;并默认配置访问时长为2小时,支持用户更改为0-2小时之间任何时段。用户如果提前完成工作,可以在页面或者APP中点击下线,防火墙或服务器根据访问控制策略关闭对应端口,并将端口关闭信息推送到维护人员手机客户端。也即,访问控制策略中包括目的地址信息和端口信息范围,访问时长。
在这里,若用户使用网页登录访问控制平台,则需要通过能够将运营商网络作为热点,连接该热点,以通过手机号码完成一键登录。
S503:对申请访问信息进行短信审批。
根据维护人员的权限不同,在访问控制平台端配置是否需要进行短信审批策略,针对第三方维护人员可以配置需要管理员进行短信审批,系统管理员审批通过后,进行到下一步骤;针对内部管理员则可以默认不需要进行审批。
S504:访问控制平台配置端口访问控制策略。
用户提交端口开放申请后,访问控制平台利用4A系统指令通道接口登录服务器或防火墙,根据访问控制策略打开对应端口,并严格限制只有申请访问设备的源地址可以访问。
S505:计时器开始计时。
此时计时器开始计时,并将允许访问通知通过APP通知申请人。
S506:计时器时限到后台设备根据访问控制策略自动关闭端口。
在申请的时间段到期后,访问控制平台利用4A系统指令通道接口登录服务器或防火墙,根据预先设置的策略关闭对应端口,并将端口关闭信息推送到维护人员手机客户端。
在本发明的一个示例实施例中,参见图6所示,为4A指令通道通过统一接口进行统一远程登录的方法。
S601:自动化程序访问指令通道接口。
自动化程序向4A系统发送需要访问的接入资源,包括主账号名、主账号口令、接入资源名称或IP、接入资源账号。
S602:指令通道发送认证及授权申请。
指令通道接口接收到终端的访问需求后,向4A系统的认证管理模块发送认证信息,其中认证信息包括访问号码,核查访问号码是否为预先授予设备访问权限的访问号码,如果认证成功要进一步核实该访问号码对应的主账号是否有访问该资源的权限。
S603:认证授权通过后开放通道。
指令通道接口接收到认证和鉴权的结果后,如果认证、鉴权均成功,则指令通道接口为自动化程序打开访问资源的通道。
S604:操作日志记录。
可以在设备上执行访问控制策略,指令通道接口同时将所有指令行方式的操作日志发送到访问控制平台审计管理模块以便进行事后审计。
另外,结合图1描述的本发明实施例的访问控制方法可以由计算设备来实现。图7示出了本发明实施例提供的计算设备的硬件结构示意图。
计算设备可以包括处理器701以及存储有计算机程序指令的存储器702。
具体地,上述处理器701可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本发明实施例的一个或多个集成电路。
存储器702可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器702可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器702可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器702可在数据处理装置的内部或外部。在特定实施例中,存储器702是非易失性固态存储器。在特定实施例中,存储器702包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器701通过读取并执行存储器702中存储的计算机程序指令,以实现上述实施例中的任意一种访问控制方法。
在一个示例中,计算设备还可包括通信接口703和总线710。其中,如图7所示,处理器701、存储器702、通信接口703通过总线710连接并完成相互间的通信。
通信接口703,主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。
总线710包括硬件、软件或两者,将计算设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线710可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线,但本发明考虑任何合适的总线或互连。
另外,结合上述实施例中的访问控制方法,本发明实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种访问控制方法。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种访问控制方法,其特征在于,所述方法包括:
接收访问请求,所述访问请求中携带有访问号码;
检测发送所述访问请求的终端的互联网协议IP地址,将所述IP地址,将所述IP地址作为源地址;
根据所述访问号码,匹配得到允许所述终端访问的待访问设备的目标地址和目标端口;
向待访问设备发送端口打开指令以及所述源地址,以使所述待访问设备打开目标端口,并将所述源地址保存至所述待访问设备的访问地址列表中,在所述终端访问所述目标地址时的IP地址为所述访问地址列表中的源地址的情况下允许所述终端访问所述目标地址。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对所述终端对所述目标地址的访问进行计时,确定所述终端的访问时间长度;
若所述访问时间长度大于预设时间长度,关闭所述终端访问的所述目标地址对应的所述目标端口,以停止所述终端访问所述目标地址。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于接收到所述终端发送的下线指令,关闭所述终端访问的所述目标地址对应的所述目标端口。
4.根据权利要求1所述的方法,其特征在于,所述向待访问设备发送端口打开指令以及所述源地址包括:
将所述访问号码对应的身份认证信息、所述待访问设备的目标端口和目标地址发送给统一安全管理4A系统,以使所述4A系统对所述身份认证信息进行身份认证,以及鉴定所述身份认证信息是否有访问所述待访问设备的权限;
接收所述4A系统发送的鉴权认证结果;
在所述鉴权认证结果为身份认证通过且权限鉴定成功的情况下,向所述待访问设备发送端口打开指令以及所述源地址。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
检测所述访问号码是否具有设备管理权限;
若所述访问号码没有设备管理权限,向所述终端发送短信审批通知,以使所述终端通过短信申请设备管理权限。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
记录所述终端访问所述目标地址的操作方式,生成操作日志,以根据所述操作日志对所述操作方式进行审计。
7.根据权利要求1所述的方法,其特征在于,在所述接收到所述访问请求后,所述方法还包括:
识别所述访问请求中的访问号码字段,确定所述终端对应的所述访问号码。
8.一种访问控制装置,其特征在于,所述装置包括:
接收模块,用于接收访问请求,所述访问请求中携带有访问号码;
检测模块,用于检测发送所述访问请求的终端的互联网协议IP地址,将所述IP地址作为源地址;
匹配模块,用于根据所述访问号码,匹配得到允许所述终端访问的待访问设备的目标地址和目标端口;
端口控制模块,用于向待访问设备发送端口打开指令以及所述源地址,以使所述待访问设备打开目标端口,并将所述源地址保存至所述待访问设备的访问地址列表中,在所述终端访问所述目标地址时的IP地址为所述访问地址列表中的源地址的情况下允许所述终端访问所述目标地址。
9.一种计算机设备,其特征在于,包括:至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令,当所述计算机程序指令被所述处理器执行时实现如权利要求1-7任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,当所述计算机程序指令被处理器执行时实现如权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910670323.4A CN110351298A (zh) | 2019-07-24 | 2019-07-24 | 访问控制方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910670323.4A CN110351298A (zh) | 2019-07-24 | 2019-07-24 | 访问控制方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110351298A true CN110351298A (zh) | 2019-10-18 |
Family
ID=68180048
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910670323.4A Pending CN110351298A (zh) | 2019-07-24 | 2019-07-24 | 访问控制方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110351298A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110868396A (zh) * | 2019-10-14 | 2020-03-06 | 云深互联(北京)科技有限公司 | 一种tcp端口动态开放的方法和装置 |
| CN111131310A (zh) * | 2019-12-31 | 2020-05-08 | 奇安信科技集团股份有限公司 | 访问控制方法、装置、系统、计算机设备和存储介质 |
| CN111177281A (zh) * | 2019-12-27 | 2020-05-19 | 山东英信计算机技术有限公司 | 一种访问管控方法、装置、设备及存储介质 |
| CN111526150A (zh) * | 2020-04-28 | 2020-08-11 | 吴飞 | 关于单集群或多集群云电脑远程运维端口零信任自动化规则放行平台及放行方法 |
| CN112165536A (zh) * | 2020-09-11 | 2021-01-01 | 中国银联股份有限公司 | 一种网络终端认证的方法及装置 |
| CN112866297A (zh) * | 2021-04-02 | 2021-05-28 | 中国工商银行股份有限公司 | 访问数据处理方法、装置及系统 |
| CN114201720A (zh) * | 2021-11-17 | 2022-03-18 | 中国地质大学(北京) | 石油输配离心泵流量修正系数的计算方法和系统 |
| CN114390524A (zh) * | 2021-12-22 | 2022-04-22 | 支付宝(杭州)信息技术有限公司 | 一键登录业务的实现方法和装置 |
| CN115622804A (zh) * | 2022-12-05 | 2023-01-17 | 杭州筋斗腾云科技有限公司 | 安全访问的处理方法、安全访问方法及计算机系统 |
| CN115987668A (zh) * | 2022-12-29 | 2023-04-18 | 北京深盾科技股份有限公司 | 访问控制方法、系统、电子设备及存储介质 |
| WO2023174143A1 (zh) * | 2022-03-18 | 2023-09-21 | 阿里巴巴(中国)有限公司 | 数据传输方法、设备、介质及产品 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101764742A (zh) * | 2009-12-30 | 2010-06-30 | 福建星网锐捷网络有限公司 | 一种网络资源访问控制系统及方法 |
| CN104363234A (zh) * | 2014-11-19 | 2015-02-18 | 胡永成 | 基于公网ip地址拨号上网的防护方法及装置及系统 |
| CN108429730A (zh) * | 2018-01-22 | 2018-08-21 | 北京智涵芯宇科技有限公司 | 无反馈安全认证与访问控制方法 |
| CN108881127A (zh) * | 2017-05-15 | 2018-11-23 | 中兴通讯股份有限公司 | 一种控制远程访问权限的方法及系统 |
| CN110516470A (zh) * | 2019-07-31 | 2019-11-29 | 中国移动通信集团黑龙江有限公司 | 访问控制方法、装置、设备及存储介质 |
-
2019
- 2019-07-24 CN CN201910670323.4A patent/CN110351298A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101764742A (zh) * | 2009-12-30 | 2010-06-30 | 福建星网锐捷网络有限公司 | 一种网络资源访问控制系统及方法 |
| CN104363234A (zh) * | 2014-11-19 | 2015-02-18 | 胡永成 | 基于公网ip地址拨号上网的防护方法及装置及系统 |
| CN108881127A (zh) * | 2017-05-15 | 2018-11-23 | 中兴通讯股份有限公司 | 一种控制远程访问权限的方法及系统 |
| CN108429730A (zh) * | 2018-01-22 | 2018-08-21 | 北京智涵芯宇科技有限公司 | 无反馈安全认证与访问控制方法 |
| CN110516470A (zh) * | 2019-07-31 | 2019-11-29 | 中国移动通信集团黑龙江有限公司 | 访问控制方法、装置、设备及存储介质 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110868396A (zh) * | 2019-10-14 | 2020-03-06 | 云深互联(北京)科技有限公司 | 一种tcp端口动态开放的方法和装置 |
| CN111177281A (zh) * | 2019-12-27 | 2020-05-19 | 山东英信计算机技术有限公司 | 一种访问管控方法、装置、设备及存储介质 |
| CN111177281B (zh) * | 2019-12-27 | 2022-07-15 | 山东英信计算机技术有限公司 | 一种访问管控方法、装置、设备及存储介质 |
| CN111131310A (zh) * | 2019-12-31 | 2020-05-08 | 奇安信科技集团股份有限公司 | 访问控制方法、装置、系统、计算机设备和存储介质 |
| CN111526150A (zh) * | 2020-04-28 | 2020-08-11 | 吴飞 | 关于单集群或多集群云电脑远程运维端口零信任自动化规则放行平台及放行方法 |
| CN112165536A (zh) * | 2020-09-11 | 2021-01-01 | 中国银联股份有限公司 | 一种网络终端认证的方法及装置 |
| WO2022052972A1 (zh) * | 2020-09-11 | 2022-03-17 | 中国银联股份有限公司 | 一种网络终端认证的方法及装置 |
| CN112866297B (zh) * | 2021-04-02 | 2023-02-24 | 中国工商银行股份有限公司 | 访问数据处理方法、装置及系统 |
| CN112866297A (zh) * | 2021-04-02 | 2021-05-28 | 中国工商银行股份有限公司 | 访问数据处理方法、装置及系统 |
| CN114201720A (zh) * | 2021-11-17 | 2022-03-18 | 中国地质大学(北京) | 石油输配离心泵流量修正系数的计算方法和系统 |
| CN114201720B (zh) * | 2021-11-17 | 2024-06-07 | 中国地质大学(北京) | 石油输配离心泵流量修正系数的计算方法和系统 |
| CN114390524A (zh) * | 2021-12-22 | 2022-04-22 | 支付宝(杭州)信息技术有限公司 | 一键登录业务的实现方法和装置 |
| CN114390524B (zh) * | 2021-12-22 | 2024-04-23 | 支付宝(杭州)信息技术有限公司 | 一键登录业务的实现方法和装置 |
| WO2023174143A1 (zh) * | 2022-03-18 | 2023-09-21 | 阿里巴巴(中国)有限公司 | 数据传输方法、设备、介质及产品 |
| CN115622804A (zh) * | 2022-12-05 | 2023-01-17 | 杭州筋斗腾云科技有限公司 | 安全访问的处理方法、安全访问方法及计算机系统 |
| CN115987668A (zh) * | 2022-12-29 | 2023-04-18 | 北京深盾科技股份有限公司 | 访问控制方法、系统、电子设备及存储介质 |
| CN115987668B (zh) * | 2022-12-29 | 2024-01-02 | 北京深盾科技股份有限公司 | 访问控制方法、系统、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110351298A (zh) | 访问控制方法、装置、设备及存储介质 | |
| US11995712B1 (en) | Secure data exchange | |
| US20240048560A1 (en) | Systems and methods for endpoint management | |
| US9954687B2 (en) | Establishing a wireless connection to a wireless access point | |
| CN101227468B (zh) | 用于认证用户到网络的方法、设备和系统 | |
| US9467475B2 (en) | Secure mobile framework | |
| US20150281277A1 (en) | Network policy assignment based on user reputation score | |
| CN104202338B (zh) | 一种适用于企业级移动应用的安全接入方法 | |
| CN103875207A (zh) | 网络使用者的识别与验证 | |
| US9160545B2 (en) | Systems and methods for A2A and A2DB security using program authentication factors | |
| US11658962B2 (en) | Systems and methods of push-based verification of a transaction | |
| CN103384198A (zh) | 一种基于邮箱的用户身份认证服务方法和系统 | |
| CN110516470A (zh) | 访问控制方法、装置、设备及存储介质 | |
| EP3794793B1 (en) | Managing third party url distribution | |
| Tolbert et al. | Exploring Phone-Based Authentication Vulnerabilities in Single Sign-On Systems | |
| CN113973006A (zh) | 一种内网数据访问管理方法和系统 | |
| KR20150083178A (ko) | 인증서 관리 방법 | |
| KR102198153B1 (ko) | 인증서 관리 방법 | |
| CN107925653B (zh) | 用于安全传输其中数据的电信系统以及与该电信系统相关联的设备 | |
| CN106664313A (zh) | 认证中心的系统或方法 | |
| KR20150083177A (ko) | 인증서 관리 방법 | |
| CN118678352A (zh) | 基于头增强的5g用户身份认证方法、装置、设备及介质 | |
| KR20150083179A (ko) | 인증서 관리 방법 | |
| KR101574184B1 (ko) | 신뢰기반 인터넷 구축 장치 및 구축 방법 | |
| KR20150085166A (ko) | 인증서 관리 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191018 |