CN111711631A - 一种网络访问控制方法、装置、设备及存储介质 - Google Patents
一种网络访问控制方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111711631A CN111711631A CN202010553579.XA CN202010553579A CN111711631A CN 111711631 A CN111711631 A CN 111711631A CN 202010553579 A CN202010553579 A CN 202010553579A CN 111711631 A CN111711631 A CN 111711631A
- Authority
- CN
- China
- Prior art keywords
- network
- terminal
- information
- network access
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种网络访问控制方法、装置、设备及存储介质,所述方法包括:在接收针对网络终端的入网成功日志后,首先,获取当前用户信息对应的用户权限信息以及网络终端的标识信息对应的终端安全信息;入网成功日志包括网络终端的当前用户信息和标识信息;用户权限信息用于表示当前用户信息对应的用户的网络访问权限;终端安全信息用于表示网络终端的当前安全状态。然后,基于用户权限信息和终端安全信息,生成针对网络终端的网络访问控制规则,用于对来自该网络终端的网络流量进行网络访问控制。本公开分别从用户权限信息和终端安全信息两个维度,更细粒度的对网络访问进行控制,以提高网络访问控制的精确度,最终提高了网络访问的安全性。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种网络访问控制方法、装置、设备及存储介质。
背景技术
随着网络访问技术的不断发展,网络的广泛可接入性等因素导致数据安全问题日益增加,网络访问控制作为一项重要的安全支撑技术得到了更为广泛的应用。网络访问控制,是指通过身份认证和权限管理等机制控制对系统资源的访问,以此有效的保证系统资源的机密性、完整性和安全性。
目前,网络访问控制方法通常仅基于用户权限进行访问控制,例如,对于企业内网资源,通常仅根据员工的权限,确定其能够访问的资源。
但是,由于影响网络访问安全的因素较多,不仅仅局限于用户权限,因此,如何实现更细粒度的对网络访问安全进行控制,以提高网络访问控制的精确度,是目前亟需解决的技术问题。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种网络访问控制方法、装置、设备及存储介质。
第一方面,本公开提供了一种网络访问控制方法,所述方法包括:
接收针对网络终端的入网成功日志;其中,所述入网成功日志包括所述网络终端的当前用户信息和所述网络终端的标识信息;
获取所述当前用户信息对应的用户权限信息;所述用户权限信息用于表示所述当前用户信息对应的用户的网络访问权限;
以及,获取所述网络终端的标识信息对应的终端安全信息;所述终端安全信息用于表示所述网络终端的当前安全状态;
基于所述用户权限信息和所述终端安全信息,生成针对所述网络终端的网络访问控制规则;所述网络访问控制规则用于对来自所述网络终端的网络流量进行网络访问控制。
一种可选的实施方式中,所述基于所述用户权限信息和所述终端安全信息,生成针对所述网络终端的网络访问控制规则,包括:
基于所述终端安全信息确定所述网络终端的安全等级;
基于预设的安全等级与规则之间的对应关系,确定所述网络终端的安全等级对应的网络访问控制规则;
以及,确定所述用户权限信息对应的网络访问控制规则;
基于所述网络终端的安全等级对应的网络访问控制规则和所述用户权限信息对应的网络访问控制规则,生成针对所述网络终端的网络访问控制规则。
一种可选的实施方式中,所述用户权限信息包括用户在职状态信息;
基于所述终端安全信息确定所述网络终端的安全等级,包括:
结合所述用户在职状态信息以及所述终端安全信息,确定所述网络终端的安全等级。
一种可选的实施方式中,所述入网成功日志还包括为所述网络终端分配的互联网协议地址;
所述基于所述用户权限信息和所述终端安全信息,生成针对所述网络终端的网络访问控制规则,包括:
基于所述用户权限信息、所述终端安全信息以及为所述网络终端分配的互联网协议地址,生成针对所述网络终端的网络访问控制规则。
一种可选的实施方式中,所述入网成功日志还包括入网认证方式;
所述基于所述用户权限信息和所述终端安全信息,生成针对所述网络终端的网络访问控制规则,包括:
基于所述用户权限信息、所述终端安全信息和所述入网认证方式,生成针对所述网络终端的网络访问控制规则。
一种可选的实施方式中,所述终端安全信息包括终端系统安全信息、终端软件安全信息、终端配置安全信息和终端行为安全信息中的至少一种。
一种可选的实施方式中,所述方法还包括:
当检测到所述用户权限信息或所述终端安全信息存在更新时,更新针对所述网络终端的网络访问控制规则。
一种可选的实施方式中,所述基于所述用户权限信息和所述终端安全信息,生成针对所述网络终端的网络访问控制规则之后,还包括:
基于目标网关设备的类型和针对所述网络终端的网络访问控制规则,生成适用于所述目标网关设备的网络访问控制规则;
将所述适用于所述目标网关设备的网络访问控制规则下发至所述目标网关设备,以便所述目标网关设备根据所述适用于所述目标网关设备的网络访问控制规则对所述网络终端对应的网络流量进行网络访问控制。
第二方面,本公开还提供了一种网络访问控制装置,所述装置包括:
接收模块,用于接收针对网络终端的入网成功日志;其中,所述入网成功日志包括所述网络终端的当前用户信息和所述网络终端的标识信息;
第一获取模块,用于获取所述当前用户信息对应的用户权限信息;所述用户权限信息用于表示所述当前用户信息对应的用户的网络访问权限;
第二获取模块,用于获取所述网络终端的标识信息对应的终端安全信息;所述终端安全信息用于表示所述网络终端的当前安全状态;
生成模块,用于基于所述用户权限信息和所述终端安全信息,生成针对所述网络终端的网络访问控制规则;所述网络访问控制规则用于对来自所述网络终端的网络流量进行网络访问控制。
第三方面,本公开提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备实现上述任一项所述的方法。
第四方面,本公开提供了一种设备,包括:存储器,处理器,及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现上述任一项所述的方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
本公开实施例提供的网络访问控制方法中,首先,接收到针对网络终端的入网成功日志,其次,获取入网成功日志中的当前用户信息对应的用户权限信息,以及获取入网成功日志中的网络终端的标识信息对应的终端安全信息。最终,基于用户权限信息和终端安全信息,生成针对该网络终端的网络访问控制规则,用于对来自该网络终端的网络流量进行网络访问控制。本公开实施例分别从用户权限信息和终端安全信息两个维度,更细粒度的对网络访问进行控制,以提高网络访问控制的精确度,最终提高了网络访问的安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的一种网络访问控制方法的流程图;
图2为本公开实施例提供的一种网络访问控制规则的生成方法流程图;
图3为本公开实施例提供的一种网络访问控制规则的更新方法的流程图;
图4为本公开实施例提供的一种网络访问控制规则的部署系统架构图;
图5为本公开实施例提供的一种网络访问控制装置的架构示意图;
图6为本公开实施例提供的一种网络访问控制设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
目前,网络访问控制方法通常仅基于用户权限信息实现,也就是说,用户是网络访问控制的最小粒度,同一用户在使用不同的网络终端进行网络访问时,对于资源的访问权限相同。
但是,为了保证网络访问的安全性,申请人发现,理论上同一用户在使用安全状态不同的网络终端时,对于资源的访问权限应该不同。例如,同一用户在使用安全状态较低的网络终端进行网络访问时,可能对网络资源存在安全威胁,而在使用安全状态较高的网络终端进行网网络访问时,通常安全威胁较低。
因此,为了进一步提高网络访问的安全性,本公开实施例分别从用户权限信息和终端安全信息两个维度,更细粒度的对网络访问进行控制,以提高网络访问控制的精确度,最终提高了网络访问的安全性。
为此,本公开提供了一种网络访问控制方法,具体的,首先,接收到针对网络终端的入网成功日志,其次,获取入网成功日志中的当前用户信息对应的用户权限信息,以及获取入网成功日志中的网络终端的标识信息对应的终端安全信息。最终,基于用户权限信息和终端安全信息,生成针对该网络终端的网络访问控制规则,用于对来自该网络终端的网络流量进行网络访问控制。
以下本公开实施例提供了一种网络访问控制方法,参考图1,图1为本公开实施例提供的一种网络访问控制方法的流程图,该网络访问控制方法包括:
S101:接收针对网络终端的入网成功日志;其中,所述入网成功日志包括所述网络终端的当前用户信息和所述网络终端的标识信息。
实际应用中,网络终端在连接网络时,接入控制器会对其进行入网认证。具体的,网络终端通过预设入网认证方式触发向接入控制器发送认证请求,接入控制器在认证成功后,为该网络终端分配IP地址,允许该网络终端入网,同时生成针对该网络终端本次入网成功的入网成功日志。
其中,该入网成功日志用于记录该网络终端本次入网成功的相关信息,包括网络终端的标识信息,如网络终端的MAC地址、为网络终端分配的IP地址等,还包括网络终端的当前用户信息,如用户名、用户账号、用户邮箱、用户电话号码等。
一种可选的实施方式中,网络终端可以基于用户网络账号和密码的方式触发向接入控制器发送认证请求,相应的,入网成功日志中包括的网络终端的当前用户信息为用户网络账号。
另一种可选的实施方式中,网络终端可以基于公共网络账号和密码的方式触发向接入控制器发送认证请求,在接入控制器允许该网络终端入网后,由接入控制器从该网络终端获取该网络终端的当前用户信息,如当前用户账号等,相应的,入网成功日志中包括的网络终端的当前用户信息可以为该网络终端的当前用户账号。
实际应用中,网络终端还可以基于用户证书认证方式、网页手机验证方式等入网认证方式,触发向接入控制器发送认证请求。
本公开实施例中,在接收到针对网络终端的入网成功日志后,对该入网成功日志进行解析,得到该入网成功日志包括的网络终端的当前用户信息和网络终端的标识信息。
S102:获取所述当前用户信息对应的用户权限信息;所述用户权限信息用于表示所述当前用户信息对应的用户的网络访问权限。
本公开实施例中,在接收到针对网络终端的入网成功日志后,获取该入网成功日志中携带的当前用户信息,并获取该当前用户信息对应的用户权限信息。
一种可选的实施方式中,对于企业内网等局域网而言,由于员工是否在职,以及员工所属职能部门等信息,决定了员工对内网资源的访问权限,因此,用户权限信息可以包括用户在职状态信息、用户职能信息等。
通常企业员工的权限信息存储于员工权限数据库中,本公开实施例可以通过查询员工权限数据库,获取当前用户信息对应的用户权限信息。
S103:获取所述网络终端的标识信息对应的终端安全信息;所述终端安全信息用于表示所述网络终端的当前安全状态。
本公开实施例中,在接收到针对网络终端的入网成功日志后,获取该入网成功日志中携带的网络终端的标识信息,如网络终端的MAC地址,然后获取该网络终端的标识信息对应的终端安全信息。
一种可选的实施方式中,网络终端上运行的安全软件可以获取到该网络终端的终端安全信息,然后将获取到的终端安全信息上传。另外,本公开实施例也可以通过安全软件的接口从网络终端获取终端安全信息。
本公开实施例中的终端安全信息用于表示网络终端的当前安全状态,具体的,终端安全信息可以包括终端系统安全信息、终端软件安全信息、终端配置安全信息和终端行为安全信息中的至少一种。
其中,终端系统安全信息用于表示网络终端的系统的当前安全状态,如系统版本是否存在安全漏洞、系统是否被破解、系统是否还存在安全性支持,如操作系统本身自带的安全性支持等。
终端软件安全信息用于表示网络终端中是否安装不合规软件以及软件的当前安全状态,如是否安装有不合规软件、不合规软件的数量、名称等。
终端配置安全信息用于表示网络终端中与配置相关的安全信息,如是否开启远程桌面、是否获得ROOT权限或者越狱、是否开启自动锁屏等配置。
终端行为安全信息用于表示网络终端是否存在不安全行为,如是否存在木马软件、是否存在病毒正在窃取信息等不安全行为。
值得注意的是,本公开实施例中的终端安全信息不局限于上述四种安全信息。
另外,本公开实施例对于上述S102和S103的执行顺序也不做限制。
S104:基于所述用户权限信息和所述终端安全信息,生成针对所述网络终端的网络访问控制规则;所述网络访问控制规则用于对来自所述网络终端的网络流量进行网络访问控制。
由于用户权限信息以及网络终端的终端安全信息均属于影响网络访问安全的因素,因此,为了更细粒度的对网络终端的网络访问进行控制,提高网络访问控制的精确度,进而提高网络访问的安全性,本公开实施例从用户和网络终端两个维度出发,基于用户权限信息和终端安全信息,生成用于对网络终端的网络流量进行控制的网络访问控制规则。
一种可选的实施方式中,本公开实施例提供了一种网络访问控制规则的生成方法,参考图2,为本公开实施例提供的一种网络访问控制规则的生成方法流程图,该方法包括:
S201:基于所述终端安全信息确定所述网络终端的安全等级。
本公开实施例中,由于终端安全信息表示网络终端的当前安全状态,因此,能够基于终端安全信息确定网络终端的安全等级。
一种可选的实施方式中,可以将终端安全信息中的每一条安全信息与安全等级标准进行匹配,以确定网络终端的终端安全信息符合哪个安全等级标准,进而确定该网络终端的安全等级。
例如,安全等级A的安全等级标准为系统版本不存在安全漏洞,未安装不合规软件,不存在不安全配置等,假如将终端安全信息中的每一条安全信息与上述安全等级标准进行匹配后,确定该终端安全信息能够符合上述安全等级标准,则可以确定该网络终端的安全等级为安全等级A。
由于用户权限信息对于网络终端所属的安全等级也存在影响,例如,对于离职员工的电脑,即使其终端安全信息能够符合较高的安全等级标准,但是出于数据安全考虑,理论上不应该为其确定较高的安全等级。
为了提高网络访问控制的精确度,本公开实施例可以结合用户权限信息中包括的用户在职状态信息,以及终端安全信息,最终确定网络终端的安全等级。具体的,可以在基于终端安全信息确定网络终端的安全等级的基础上,进一步的考虑用户是否在职信息的影响,最终得到网络终端的安全等级。
一种可选的实施方式中,如果用户在职状态信息为用户在职,则可以将基于终端安全信息确定网络终端的安全等级,最终确定为网络终端的安全等级。如果用户在职状态信息为用户离职或长时间休假,则可以在基于终端安全信息确定网络终端的安全等级的基础上进一步的降低等级,例如,基于终端安全信息确定网络终端的安全等级为安全等级A,且用户处于离职状态,则可以将该网络终端的安全等级确定为最低安全等级。
S202:基于预设的安全等级与规则之间的对应关系,确定所述网络终端的安全等级对应的网络访问控制规则。
本公开实施例中,在确定网络终端的安全等级后,进一步确定该安全等级对应的网络访问控制规则。
实际应用中,预先设置有安全等级与规则之间的对应关系,以表明各个安全等级分别对应的网络访问控制规则。在确定网络终端的安全等级之后,基于该安全等级与规则之间的对应关系,确定该网络终端的安全等级对应的网络访问控制规则。
一种可选的实施方式中,在确定网络终端的安全等级后,将该安全等级对应的网络访问控制规则对该网络终端放开。也就是说,能够基于该安全等级对应的网络访问控制规则对该网络终端进行网络访问控制。
S203:确定所述用户权限信息对应的网络访问控制规则。
本公开实施例中,在获取到用户权限信息后,进一步确定该用户权限信息对应的网络访问控制规则。其中,用户权限信息可以包括用户职能信息,如用户所属职能部门等。
一种可选的实施方式中,预先设置不同用户权限对应的网络访问控制规则,基于网络终端对应的用户权限信息,查询并确定对应的网络访问控制规则。
例如,当用户权限信息为部门主管权限时,可以将部门主管权限对应的网络访问控制规则对该网络终端放开。也就是说,能够基于该部门主管权限对应的网络访问控制规则,对该网络终端进行网络访问控制。
S204:基于所述网络终端的安全等级对应的网络访问控制规则和所述用户权限信息对应的网络访问控制规则,生成针对所述网络终端的网络访问控制规则。
本公开实施例中,在确定网络终端的安全等级对应的网络访问控制规则,以及用户权限信息对应的网络访问控制规则之后,结合二者最终生成针对该网络终端的网络访问控制规则。
针对网络终端的网络访问控制规则用于标识禁止该网络终端访问的IP网段,对于其他IP网段,则允许该网络终端进行访问。一种可选的实施方式中,对于网络终端的安全等级对应的网络访问控制规则和用户权限信息对应的网络访问控制规则中,标识禁止该网络终端访问的IP网段进行合并,对于其他IP网段则允许该网络终端访问,可以基于合并得到的禁止该网络终端访问的IP网段,生成针对该网络终端的网络访问控制规则。
本公开实施例提供的网络访问控制方法中,分别从用户权限信息和终端安全信息两个维度,更细粒度的对网络访问进行控制,以提高网络访问控制的精确度,最终提高了网络访问的安全性。
为了进一步提高网络访问控制的精确度,本公开实施例还可以结合为网络终端分配的IP地址所在区域的权限,生成针对该网络终端的网络访问控制规则。
具体的,本公开实施例可以基于用户权限信息、终端安全信息以及为网络终端分配的IP地址,生成针对该网络终端的网络访问控制规则。
实际应用中,在最终生成针对网络终端的网络访问控制规则之前,本公开实施例还可以获取为该网络终端分配的IP地址,然后确定该IP地址所在区域对应的网络访问控制规则。其中,为网络终端分配的IP地址可以携带于入网成功日志中。
一种应用场景中,为网络终端分配的IP地址所在区域为企业分公司办公区域,而针对企业分公司办公区域的资源访问权限与总公司不同,因此,本公开实施例还可以结合企业分公司办公区域的权限,生成针对该网络终端的网络访问控制规则。
例如,确定企业分公司办公区域的权限为禁止访问某个IP网段,如果基于网络终端的安全等级对应的网络访问控制规则和用户权限信息对应的网络访问控制规则中允许访问该IP网段,则本公开实施例可以结合企业分公司办公区域的权限为禁止访问该IP网段的网络访问控制规则,确定针对该网络终端的网络访问控制规则中包括禁止访问该IP网段。
本公开实施例提供的网络访问控制方法中,可以分别从用户权限信息、终端安全信息和为网络终端分配的IP地址所在区域的权限至少三个维度,更细粒度的对网络访问进行控制,进一步提高网络访问控制的精确度,最终提高了网络访问的安全性。
另外,为了进一步提高网络访问控制的精确度,本公开实施例还可以结合网络终端的入网认证方式,最终生成针对该网络终端的网络访问控制规则。
具体的,在最终生成针对网络终端的网络访问控制规则之前,本公开实施例还可以获取网络终端的入网认证方式,其中,入网认证方式可以携带于入网成功日志中。
具体的,基于所述用户权限信息、所述终端安全信息和所述入网认证方式,生成针对所述网络终端的网络访问控制规则。
实际应用中,入网认证方式可以包括基于用户账号和密码的认证方式、基于用户证书认证方式、网页手机验证方式等入网认证方式,不同的入网认证方式的安全性不同,通常基于用户证书认证方式的安全性较高,相对而言,基于用户账号和密码的认证方式的安全性较低。因此,对于某些网络资源,对于安全性较低的入网认证方式对应的网络终端是禁止访问的,而对于安全性较高的入网认证方式对应的网络终端是允许访问的,因此,结合网络终端的入网认证方式禁止访问的IP网段,进一步确定针对该网络终端的网络访问控制规则中包括的禁止访问的IP网段。
本公开实施例提供的网络访问控制方法中,可以分别从用户权限信息、终端安全信息、为网络终端分配的IP地址所在区域的权限以及入网认证方式至少四个维度,更细粒度的对网络访问进行控制,进一步提高网络访问控制的精确度,最终提高了网络访问的安全性。
实际应用中,随着网络终端的终端安全信息的更新,或者用户权限信息的更新,针对该网络终端的网络访问控制规则也应该更新。因此,本公开实施例中,当检测到用户权限信息或终端安全信息存在更新时,触发针对所述网络终端的网络访问控制规则的更新。
为此,本公开实施例提供了一种网络访问控制规则的更新方法,参考图3,为本公开实施例提供的一种网络访问控制规则的更新方法的流程图,该方法在上述网络访问控制方法实施方式的基础上,进一步的包括:
S301:当检测到网络终端的当前用户信息对应的用户权限信息,或,网络终端的终端安全信息存在更新时,获取当前的用户权限信息和当前的终端安全信息。
本公开实施例中,对于用户权限信息,通常存储于数据库中。一种可选的实施方式中,当数据库中存储的用户权限信息存在更新时,可以上报更新后的当前的用户权限信息。另一种可选的实施方式中,可以周期性的检测存储有用户权限信息的数据库中是否存在更新,如果存在更新,则获取更新后的当前的用户权限信息。
对于终端安全信息,可以由网络终端上运行的安全软件在检测到终端安全信息存在更新时,上报更新后的当前的终端安全信息。另一种可选的实施方式中,可以周期性的检测网络终端的终端安全信息是否存在更新,如果存在更新,则获取更新后的当前的终端安全信息。
S302:基于当前的用户权限信息和当前的终端安全信息,重新生成针对该网络终端的网络访问控制规则。
本公开实施例中,当网络终端对应的用户权限信息和终端安全信息中的至少一种存在更新时,可以触发针对该网络终端的网络访问控制规则的重新生成。
一种可选的实施方式中,当网络终端对应的用户权限信息存在更新时,获取更新后的当前的用户权限信息,以及当前的终端安全信息,并基于更新后的当前的用户权限信息和当前的终端安全信息,重新生成
另一种可选的实施方式中,当网络终端的终端安全信息存在更新时,获取更新后的当前的用户安全信息,以及当前的用户权限信息,并基于更新后的当前的用户安全信息和当前的用户权限信息,重新生成针对该网络终端的网络访问控制规则,并利用重新生成的网络访问控制规则,对该网络终端原有的网络访问控制规则进行更新。
另一种可选的实施方式中,当网络终端对应的用户权限信息和终端安全信息均存在更新时,获取更新后的当前的用户权限信息和更新后的当前的终端安全信息,并基于更新后的当前的用户安全信息和更新后的当前的用户权限信息,重新生成针对该网络终端的网络访问控制规则,并利用重新生成的网络访问控制规则,对该网络终端原有的网络访问控制规则进行更新。
本公开实施例提供的网络访问控制方法中,在网络终端对应的终端安全信息或用户权限信息存在更新时,触发对该网络终端的网络访问控制规则的更新,使得针对该网络终端的网络访问控制规则能够更准确的对该网络终端的网络流量进行访问控制,提高网络访问的安全性。
基于上述实施例,本公开实施例还提供了一种应用场景实施例,具体的,在生成针对网络终端的网络访问控制规则之后,对网络访问控制规则进行部署。
参考图4,为本公开实施例提供的一种网络访问控制规则的部署系统架构图,包括服务器401和至少一个目标网关设备402。
其中,服务器401用于生成针对网络终端的网络访问控制规则,并基于目标网关设备的类型和生成的网络访问控制规则,生成适用于目标网关的网络访问控制规则,然后将网络访问控制规则发送至目标网关设备。
目标网关设备402用于接收网络访问控制规则,并根据该网络访问控制规则对该网络终端对应的网络流量进行网络访问控制。
实际应用中,在基于所述用户权限信息和所述终端安全信息,生成针对所述网络终端的网络访问控制规则之后,还可以包括:基于目标网关设备的类型和针对所述网络终端的网络访问控制规则,生成适用于所述目标网关设备的网络访问控制规则。将所述适用于所述目标网关设备的网络访问控制规则下发至所述目标网关设备,以便所述目标网关设备根据所述网络访问控制规则对所述网络终端对应的网络流量进行网络访问控制。
实际应用中,服务器生成针对网络设备的网络访问控制规则,具体的,该网络访问控制规则为抽象的控制规则,例如为当前网络设备X可以访问IP网段A,不可以访问IP网段B等。由于网关设备的类型不同,针对同一条网络访问控制规则,适用的具象化的规则也不同,因此,在将生成的网络访问控制规则部署于网关设备之前,需要根据目标网关设备的类型和抽象的控制规则,生成适用于该目标网关设备的具象化的控制规则。
对于硬件防火墙的目标网关设备,可以基于生成的网络访问控制规则,生成硬件防火墙的开放接口指令,用于对该网络终端对应的网络流量进行网络访问控制。对于如iptables防火墙的目标网关设备,可以基于生成的网络访问控制规则,生成适用于该iptables防火墙的网络访问控制规则。本公开实施例对于不同类型的网关设备所适用的规则的生成过程不作限制。
另外,服务器401在将生成的网络访问控制规则下发到目标网关设备之前,还可以校验规则的正确性,并在校验成功后将规则进行分布式下发,完成网络访问控制规则的部署。
实际应用中,目标网关设备在接收到针对网络终端的网络访问控制规则后,将针对该网络终端的网络访问控制规则添加至对应的角色组中,其中,角色组用于表示具有相同网络访问控制规则的网络终端,具体的角色组可以记录具有相同网络访问控制规则的网络终端的IP地址。目标网关设备在接收到针对该网络终端的网络流量后,可以基于对应角色组的网络访问控制规则对网络流量进行放行或拦截。
另外,在对网络终端的网络访问控制规则进行更新时,也可以通过上述方式对更新后的网络访问控制规则进行部署。
本公开实施例提供的网络访问控制规则的部署系统和方法,能够对网络访问控制规则进行分布式的统一上线和更新,无需工作人员线下配置,提高了规则部署的效率,同时降低了部署的成本。
与上述方法实施例相对应的,本公开还提供了一种网络访问控制装置,参考图5,图5为本公开实施例提供的一种网络访问控制装置的结构示意图,具体的,所述网络访问控制装置包括:
接收模块501,用于接收针对网络终端的入网成功日志;其中,所述入网成功日志包括所述网络终端的当前用户信息和所述网络终端的标识信息;
第一获取模块502,用于获取所述当前用户信息对应的用户权限信息;所述用户权限信息用于表示所述当前用户信息对应的用户的网络访问权限;
第二获取模块503,用于获取所述网络终端的标识信息对应的终端安全信息;所述终端安全信息用于表示所述网络终端的当前安全状态;
生成模块504,用于基于所述用户权限信息和所述终端安全信息,生成针对所述网络终端的网络访问控制规则;所述网络访问控制规则用于对来自所述网络终端的网络流量进行网络访问控制。
一种可选的实施方式中,所述生成模块504,包括:
第一确定子模块,用于基于所述终端安全信息确定所述网络终端的安全等级;
第二确定子模块,用于基于预设的安全等级与规则之间的对应关系,确定所述网络终端的安全等级对应的网络访问控制规则;
第三确定子模块,用于确定所述用户权限信息对应的网络访问控制规则;
生成子模块,用于基于所述网络终端的安全等级对应的网络访问控制规则和所述用户权限信息对应的网络访问控制规则,生成针对所述网络终端的网络访问控制规则。
一种可选的实施方式中,所述用户权限信息包括用户在职状态信息;
第一确定子模块,具体用于:
结合所述用户在职状态信息以及所述终端安全信息,确定所述网络终端的安全等级。
一种可选的实施方式中,所述入网成功日志还包括为所述网络终端分配的互联网协议地址;
所述生成模块504,具体用于:
基于所述用户权限信息、所述终端安全信息以及为所述网络终端分配的互联网协议地址,生成针对所述网络终端的网络访问控制规则。
一种可选的实施方式中,所述入网成功日志还包括入网认证方式;
所述生成模块504,具体用于:
基于所述用户权限信息、所述终端安全信息和所述入网认证方式,生成针对所述网络终端的网络访问控制规则。
一种可选的实施方式中,所述终端安全信息包括终端系统安全信息、终端软件安全信息、终端配置安全信息和终端行为安全信息中的至少一种。
一种可选的实施方式中,所述装置还包括:
更新模块,用于当检测到所述用户权限信息或所述终端安全信息存在更新时,更新针对所述网络终端的网络访问控制规则。
一种可选的实施方式中,所述装置还包括:
适用生成模块,用于基于目标网关设备的类型和针对所述网络终端的网络访问控制规则,生成适用于所述目标网关设备的网络访问控制规则;
下发模块,用于将所述适用于所述目标网关设备的网络访问控制规则下发至所述目标网关设备,以便所述目标网关设备根据所述适用于所述目标网关设备的网络访问控制规则对所述网络终端对应的网络流量进行网络访问控制。
本公开实施例提供的网络访问控制装置,分别从用户权限信息和终端安全信息两个维度,更细粒度的对网络访问进行控制,以提高网络访问控制的精确度,最终提高了网络访问的安全性。
另外,本公开实施例还提供了一种网络访问控制设备,参见图6所示,可以包括:
处理器601、存储器602、输入装置603和输出装置604。网络访问控制设备中的处理器601的数量可以一个或多个,图6中以一个处理器为例。在本发明的一些实施例中,处理器601、存储器602、输入装置603和输出装置604可通过总线或其它方式连接,其中,图6中以通过总线连接为例。
存储器602可用于存储软件程序以及模块,处理器601通过运行存储在存储器602的软件程序以及模块,从而执行网络访问控制设备的各种功能应用以及数据处理。存储器602可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等。此外,存储器602可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。输入装置603可用于接收输入的数字或字符信息,以及产生与网络访问控制设备的用户设置以及功能控制有关的信号输入。
具体在本实施例中,处理器601会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器602中,并由处理器601来运行存储在存储器602中的应用程序,从而实现上述网络访问控制设备的各种功能。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (11)
1.一种网络访问控制方法,其特征在于,所述方法包括:
接收针对网络终端的入网成功日志;其中,所述入网成功日志包括所述网络终端的当前用户信息和所述网络终端的标识信息;
获取所述当前用户信息对应的用户权限信息;所述用户权限信息用于表示所述当前用户信息对应的用户的网络访问权限;
以及,获取所述网络终端的标识信息对应的终端安全信息;所述终端安全信息用于表示所述网络终端的当前安全状态;
基于所述用户权限信息和所述终端安全信息,生成针对所述网络终端的网络访问控制规则;所述网络访问控制规则用于对来自所述网络终端的网络流量进行网络访问控制。
2.根据权利要求1所述的方法,其特征在于,所述基于所述用户权限信息和所述终端安全信息,生成针对所述网络终端的网络访问控制规则,包括:
基于所述终端安全信息确定所述网络终端的安全等级;
基于预设的安全等级与规则之间的对应关系,确定所述网络终端的安全等级对应的网络访问控制规则;
以及,确定所述用户权限信息对应的网络访问控制规则;
基于所述网络终端的安全等级对应的网络访问控制规则和所述用户权限信息对应的网络访问控制规则,生成针对所述网络终端的网络访问控制规则。
3.根据权利要求2所述的方法,其特征在于,所述用户权限信息包括用户在职状态信息;
基于所述终端安全信息确定所述网络终端的安全等级,包括:
结合所述用户在职状态信息以及所述终端安全信息,确定所述网络终端的安全等级。
4.根据权利要求1所述的方法,其特征在于,所述入网成功日志还包括为所述网络终端分配的互联网协议地址;
所述基于所述用户权限信息和所述终端安全信息,生成针对所述网络终端的网络访问控制规则,包括:
基于所述用户权限信息、所述终端安全信息以及为所述网络终端分配的互联网协议地址,生成针对所述网络终端的网络访问控制规则。
5.根据权利要求1所述的方法,其特征在于,所述入网成功日志还包括入网认证方式;
所述基于所述用户权限信息和所述终端安全信息,生成针对所述网络终端的网络访问控制规则,包括:
基于所述用户权限信息、所述终端安全信息和所述入网认证方式,生成针对所述网络终端的网络访问控制规则。
6.根据权利要求1所述的方法,其特征在于,所述终端安全信息包括终端系统安全信息、终端软件安全信息、终端配置安全信息和终端行为安全信息中的至少一种。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当检测到所述用户权限信息或所述终端安全信息存在更新时,更新针对所述网络终端的网络访问控制规则。
8.根据权利要求1所述的方法,其特征在于,所述基于所述用户权限信息和所述终端安全信息,生成针对所述网络终端的网络访问控制规则之后,还包括:
基于目标网关设备的类型和针对所述网络终端的网络访问控制规则,生成适用于所述目标网关设备的网络访问控制规则;
将所述适用于所述目标网关设备的网络访问控制规则下发至所述目标网关设备,以便所述目标网关设备根据所述适用于所述目标网关设备的网络访问控制规则对所述网络终端对应的网络流量进行网络访问控制。
9.一种网络访问控制装置,其特征在于,所述装置包括:
接收模块,用于接收针对网络终端的入网成功日志;其中,所述入网成功日志包括所述网络终端的当前用户信息和所述网络终端的标识信息;
第一获取模块,用于获取所述当前用户信息对应的用户权限信息;所述用户权限信息用于表示所述当前用户信息对应的用户的网络访问权限;
第二获取模块,用于获取所述网络终端的标识信息对应的终端安全信息;所述终端安全信息用于表示所述网络终端的当前安全状态;
生成模块,用于基于所述用户权限信息和所述终端安全信息,生成针对所述网络终端的网络访问控制规则;所述网络访问控制规则用于对来自所述网络终端的网络流量进行网络访问控制。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备实现如权利要求1-8任一项所述的方法。
11.一种设备,其特征在于,包括:存储器,处理器,及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-8任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010553579.XA CN111711631B (zh) | 2020-06-17 | 2020-06-17 | 一种网络访问控制方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010553579.XA CN111711631B (zh) | 2020-06-17 | 2020-06-17 | 一种网络访问控制方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111711631A true CN111711631A (zh) | 2020-09-25 |
| CN111711631B CN111711631B (zh) | 2022-09-27 |
Family
ID=72541296
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010553579.XA Active CN111711631B (zh) | 2020-06-17 | 2020-06-17 | 一种网络访问控制方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111711631B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112351005A (zh) * | 2020-10-23 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 物联网通信方法、装置、可读存储介质及计算机设备 |
| CN112565257A (zh) * | 2020-12-03 | 2021-03-26 | 国网安徽省电力有限公司检修分公司 | 基于电网专用和边缘物联代理的安全进程管理系统 |
| CN113163404A (zh) * | 2021-04-28 | 2021-07-23 | 天生桥一级水电开发有限责任公司水力发电厂 | 网络接入认证方法及相关设备 |
| WO2023116566A1 (zh) * | 2021-12-20 | 2023-06-29 | 华为技术有限公司 | 访问控制方法、设备及系统 |
| CN117336101A (zh) * | 2023-11-29 | 2024-01-02 | 南京中孚信息技术有限公司 | 一种细粒度网络接入控制方法、系统、设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594814A (zh) * | 2012-02-10 | 2012-07-18 | 福建升腾资讯有限公司 | 基于端末的网络访问控制系统 |
| CN103051609A (zh) * | 2012-12-07 | 2013-04-17 | 东软集团股份有限公司 | 网关设备及由其执行的网络访问控制的可视化交互方法 |
| CN106535189A (zh) * | 2016-11-16 | 2017-03-22 | 迈普通信技术股份有限公司 | 网络访问控制信息配置方法、装置及出口网关 |
| CN110912938A (zh) * | 2019-12-24 | 2020-03-24 | 医渡云(北京)技术有限公司 | 入网终端接入验证方法、装置、存储介质及电子设备 |
| CN110968848A (zh) * | 2018-09-29 | 2020-04-07 | 北京奇虎科技有限公司 | 基于用户的权限管理方法、装置及计算设备 |
| CN110971569A (zh) * | 2018-09-29 | 2020-04-07 | 北京奇虎科技有限公司 | 网络访问权限管理方法、装置及计算设备 |
-
2020
- 2020-06-17 CN CN202010553579.XA patent/CN111711631B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594814A (zh) * | 2012-02-10 | 2012-07-18 | 福建升腾资讯有限公司 | 基于端末的网络访问控制系统 |
| CN103051609A (zh) * | 2012-12-07 | 2013-04-17 | 东软集团股份有限公司 | 网关设备及由其执行的网络访问控制的可视化交互方法 |
| CN106535189A (zh) * | 2016-11-16 | 2017-03-22 | 迈普通信技术股份有限公司 | 网络访问控制信息配置方法、装置及出口网关 |
| CN110968848A (zh) * | 2018-09-29 | 2020-04-07 | 北京奇虎科技有限公司 | 基于用户的权限管理方法、装置及计算设备 |
| CN110971569A (zh) * | 2018-09-29 | 2020-04-07 | 北京奇虎科技有限公司 | 网络访问权限管理方法、装置及计算设备 |
| CN110912938A (zh) * | 2019-12-24 | 2020-03-24 | 医渡云(北京)技术有限公司 | 入网终端接入验证方法、装置、存储介质及电子设备 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112351005A (zh) * | 2020-10-23 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 物联网通信方法、装置、可读存储介质及计算机设备 |
| CN112565257A (zh) * | 2020-12-03 | 2021-03-26 | 国网安徽省电力有限公司检修分公司 | 基于电网专用和边缘物联代理的安全进程管理系统 |
| CN113163404A (zh) * | 2021-04-28 | 2021-07-23 | 天生桥一级水电开发有限责任公司水力发电厂 | 网络接入认证方法及相关设备 |
| CN113163404B (zh) * | 2021-04-28 | 2023-04-28 | 天生桥一级水电开发有限责任公司水力发电厂 | 网络接入认证方法及相关设备 |
| WO2023116566A1 (zh) * | 2021-12-20 | 2023-06-29 | 华为技术有限公司 | 访问控制方法、设备及系统 |
| CN117336101A (zh) * | 2023-11-29 | 2024-01-02 | 南京中孚信息技术有限公司 | 一种细粒度网络接入控制方法、系统、设备及介质 |
| CN117336101B (zh) * | 2023-11-29 | 2024-02-23 | 南京中孚信息技术有限公司 | 一种细粒度网络接入控制方法、系统、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111711631B (zh) | 2022-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111711631B (zh) | 一种网络访问控制方法、装置、设备及存储介质 | |
| US11093625B2 (en) | Adaptive file access authorization using process access patterns | |
| CN110912938B (zh) | 入网终端接入验证方法、装置、存储介质及电子设备 | |
| US10572240B2 (en) | Operating system update management for enrolled devices | |
| CN108243175B (zh) | 一种基于桶策略的访问控制方法及装置 | |
| CN111181975B (zh) | 一种账号管理方法、装置、设备及存储介质 | |
| CN111259348B (zh) | 一种安全运行可执行文件的方法及系统 | |
| CN110971569A (zh) | 网络访问权限管理方法、装置及计算设备 | |
| CN110851274A (zh) | 资源访问控制方法、装置、设备及存储介质 | |
| CN112738100B (zh) | 数据访问的鉴权方法、装置、鉴权设备和鉴权系统 | |
| US11562052B2 (en) | Computing system and method for verification of access permissions | |
| CN113986459A (zh) | 一种容器访问的控制方法、系统、电子设备及存储介质 | |
| CN111416811A (zh) | 越权漏洞检测方法、系统、设备及存储介质 | |
| CN110855709A (zh) | 安全接入网关的准入控制方法、装置、设备和介质 | |
| CN113179271A (zh) | 一种内网安全策略检测方法及装置 | |
| CN105205413A (zh) | 一种数据的保护方法及装置 | |
| CN110968848A (zh) | 基于用户的权限管理方法、装置及计算设备 | |
| CN111737232A (zh) | 数据库管理方法、系统、装置、设备及计算机存储介质 | |
| CN103501307A (zh) | 基于android操作系统的智能电视软件的安全认证方法及系统 | |
| CN113672901A (zh) | 访问请求处理方法、容器云平台、电子设备及存储介质 | |
| KR20060050768A (ko) | 액세스 인가 api | |
| CN113922975B (zh) | 一种安全控制方法、服务器、终端、系统和存储介质 | |
| JP6919475B2 (ja) | 検知プログラム、装置、及び方法 | |
| CN113645060B (zh) | 一种网卡配置方法、数据处理方法及装置 | |
| CN114745203A (zh) | 一种用户账号全生命周期的监控方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100041 B-0035, 2 floor, 3 building, 30 Shixing street, Shijingshan District, Beijing. Patentee after: Tiktok vision (Beijing) Co.,Ltd. Address before: 100041 B-0035, 2 floor, 3 building, 30 Shixing street, Shijingshan District, Beijing. Patentee before: BEIJING BYTEDANCE NETWORK TECHNOLOGY Co.,Ltd. Address after: 100041 B-0035, 2 floor, 3 building, 30 Shixing street, Shijingshan District, Beijing. Patentee after: Douyin Vision Co.,Ltd. Address before: 100041 B-0035, 2 floor, 3 building, 30 Shixing street, Shijingshan District, Beijing. Patentee before: Tiktok vision (Beijing) Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230712 Address after: 100190 1309, 13th floor, building 4, Zijin Digital Park, Haidian District, Beijing Patentee after: Beijing volcano Engine Technology Co.,Ltd. Address before: 100041 B-0035, 2 floor, 3 building, 30 Shixing street, Shijingshan District, Beijing. Patentee before: Douyin Vision Co.,Ltd. |
|
| TR01 | Transfer of patent right |