CN113132303A - 由防火墙执行的信息处理方法和装置 - Google Patents
由防火墙执行的信息处理方法和装置 Download PDFInfo
- Publication number
- CN113132303A CN113132303A CN201911402453.6A CN201911402453A CN113132303A CN 113132303 A CN113132303 A CN 113132303A CN 201911402453 A CN201911402453 A CN 201911402453A CN 113132303 A CN113132303 A CN 113132303A
- Authority
- CN
- China
- Prior art keywords
- user
- firewall
- authentication server
- equipment
- record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 25
- 238000003672 processing method Methods 0.000 title claims abstract description 17
- 238000000034 method Methods 0.000 claims abstract description 28
- 238000004590 computer program Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims 1
- 230000015654 memory Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 4
- 238000011217 control strategy Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 1
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 1
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 1
- 108010001267 Protein Subunits Proteins 0.000 description 1
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种由防火墙执行的信息处理方法,包括:接收用户设备的访问请求,基于访问请求确定用户设备的设备特征,基于关联关系记录,确定与设备特征对应的用户特征,其中,关联关系记录包括用户特征和用户特征最近一次认证成功的用户设备的设备特征之间的关联关系,基于用户特征,确定用户设备的访问权限,以及基于访问权限对访问请求进行响应。
Description
技术领域
本公开涉及计算机技术领域,更具体地,涉及一种由防火墙执行的信息处理方法和装置。
背景技术
随着计算机和网络技术的快速发展,越来越多的信息可以通过网络传递和共享。然而,网络环境复杂,存在许多不安全的因素。
目前,为解决网络安全性问题,通常会在网络之间构建防火墙,通过防火墙审查电子设备的IP地址来确认该电子设备是否具有对某种资源的访问和使用权限,以保证网络运行的安全性。
然而,防火墙的管控策略以设备的IP地址为维度进行权限管控,只能限制设备的访问权限,而不能限制用户的访问权限,并且在设备的IP网段变更时,还需要重新设定防火墙的管控策略。
在实现本发明构思的过程中,发明人发现相关技术中至少存在如下问题。即,相关技术中的防火墙的管控策略通常以设备的IP地址为维度进行权限管控,不便于管理和维护。
发明内容
有鉴于此,本公开提供了一种由防火墙执行的信息处理方法和装置。
本公开的一个方面提供了一种由防火墙执行的信息处理方法,包括:接收用户设备的访问请求,基于所述访问请求确定所述用户设备的设备特征,基于关联关系记录,确定与所述设备特征对应的用户特征,其中,所述关联关系记录包括用户特征和所述用户特征最近一次认证成功的用户设备的设备特征之间的关联关系,基于所述用户特征,确定所述用户设备的访问权限,以及基于所述访问权限对所述访问请求进行响应。
根据本公开的实施例,所述防火墙与认证服务器连接,所述认证服务器与用户设备连接。所述方法还包括:从所述认证服务器中获取所述关联关系记录,其中,所述关联关系记录是所述认证服务器通过以下操作生成的:响应于接收到用户设备发送的认证请求,获得所述认证请求中的用户特征和所述用户设备的设备特征,并记录所述用户特征和所述设备特征之间的关联关系。
根据本公开的实施例,所述从所述认证服务器中获取所述关联关系记录,包括:所述防火墙中同步记录所述认证服务器中的关联关系记录。
根据本公开的实施例,所述设备特征包括所述用户设备的IP地址,所述用户特征包括所述用户的用户名。
本公开的另一个方面提供了一种信息处理装置,包括请求接收模块、第一确定模块、第二确定模块、第三确定模块和请求响应模块。其中,请求接收模块用于接收用户设备的访问请求。第一确定模块用于基于所述访问请求确定所述用户设备的设备特征。第二确定模块用于基于关联关系记录,确定与所述设备特征对应的用户特征,其中,所述关联关系记录包括用户特征和所述用户特征最近一次认证成功的用户设备的设备特征之间的关联关系。第三确定模块。用于基于所述用户特征,确定所述用户设备的访问权限。请求响应模块。用于基于所述访问权限对所述访问请求进行响应。
根据本公开的实施例,所述防火墙与认证服务器连接,所述认证服务器与用户设备连接。所述装置还包括:记录获取模块,用于从所述认证服务器中获取所述关联关系记录。其中,所述关联关系记录是所述认证服务器通过以下操作生成的:响应于接收到用户设备发送的认证请求,获得所述认证请求中的用户特征和所述用户设备的设备特征,并记录所述用户特征和所述设备特征之间的关联关系。
根据本公开的实施例,所述从所述认证服务器中获取所述关联关系记录,包括:所述防火墙中同步记录所述认证服务器中的关联关系记录。
根据本公开的实施例,所述设备特征包括所述用户设备的IP地址,所述用户特征包括所述用户的用户名。
本公开的另一方面提供了一种计算机系统,包括:一个或多个处理器,以及计算机可读存储介质,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上所述的方法。
本公开的另一方面提供了一种非易失性存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的由防火墙执行的信息处理方法和装置的应用场景;
图2示意性示出了根据本公开实施例的由防火墙执行的信息处理方法的流程图;
图3示意性示出了根据本公开实施例的信息处理装置的框图;以及
图4示意性示出了根据本公开实施例的适于实现信息处理方法的计算机系统的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。本领域技术人员还应理解,实质上任意表示两个或更多可选项目的转折连词和/或短语,无论是在说明书、权利要求书还是附图中,都应被理解为给出了包括这些项目之一、这些项目任一方、或两个项目的可能性。例如,短语“A或B”应当被理解为包括“A”或“B”、或“A和B”的可能性。
本公开的实施例提供了一种由防火墙执行的信息处理方法,包括:接收用户设备的访问请求,基于访问请求确定用户设备的设备特征,基于关联关系记录,确定与设备特征对应的用户特征,基于用户特征,确定用户设备的访问权限,以及基于访问权限对访问请求进行响应,其中,关联关系记录包括用户特征和用户特征最近一次认证成功的用户设备的设备特征之间的关联关系。
图1示意性示出了根据本公开实施例的由防火墙执行的信息处理方法和装置的应用场景100。
需要注意的是,图1所示仅为可以应用本公开实施例的应用场景的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据本公开实施例的应用场景100可以包括用户设备110、认证服务器120、防火墙130和待访问服务器140。
根据本公开实施例,用户设备110可以与认证服务器120和防火墙130连接,认证服务器120可以与防火墙130连接。用户可以使用用户设备110通过网络经由防火墙130与待访问服务器140交互,以接收或发送消息等。
本公开实施例的应用场景100例如可以包括内网场景,用户设备110可以与认证服务器120连接。例如,内网用户可以在用户设备110上输入用户名和密码,并发送认证请求至认证服务器120。认证服务器120接收认证请求,对其用户名和密码进行认证,以核实该用户的身份。例如,认证成功的用户可以访问或使用内网的相关资源。
同时,用户设备110还与防火墙130连接。例如,用户通过用户设备110发送访问待访问服务器140的访问请求时,防火墙130判断该用户设备110是否具有访问该待访问服务器140的访问权限,若有,则发送该访问请求至待访问服务器140,以建立用户设备110和待访问服务器140的连接,否则,拦截该访问请求。在本公开实施例中,待访问服务器140可以是内网服务器也可以是外网服务器。
在相关技术中,防火墙130通常以用户设备的IP地址为维度进行权限管控。即,不管哪个用户使用该用户设备都受该用户设备的IP地址的限制。换言之,用户可以通过使用其他不受限的用户设备对特定资源进行访问。而实际的内网场景中,更希望防火墙可以管控用户的访问权限,而非设备的访问权限。
有鉴于此,本公开实施例提供了一种由防火墙执行的信息处理方法。具体地,防火墙130在接收到用户设备110的访问请求后,首先确定用户设备110的设备特征,然后基于关联关系记录,确定该设备特征对应的用户特征,基于用户特征确定该用户设备110的访问权项,并基于访问权限对该访问请求进行响应。可以理解,本公开实施例的防火墙以用户特征为维度进行权限管控,从而可以限制用户(用户特征)的访问权限,方便管理。并且在内网设备变更IP网段时,不必重新配置管控策略,方便维护。
在本公开实施例中,认证服务器120可以响应于接收到用户设备110发送的认证请求(例如,包括用户名和密码),获得该认证请求中的用户特征(例如,用户名)和该用户设备110的设备特征(例如,设备IP地址),并记录该用户特征和设备特征之间的关联关系。防火墙130可以与认证服务器120连接,从而可以从认证服务器120中获得关联关系记录,以实现以用户特征为维度的防火墙管控策略。
用户设备110可以是具有显示屏并且支持网络功能的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
待访问服务器140可以是提供各种服务的服务器,例如对用户利用用户设备110所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给用户设备110。
需要说明的是,本公开实施例所提供的信息处理方法一般可以由防火墙130执行。相应地,本公开实施例所提供的信息处理装置一般可以设置于防火墙130中。本公开实施例所提供的信息处理方法也可以由不同于防火墙130且能够与用户设备110和/或防火墙130通信的服务器或服务器集群执行。相应地,本公开实施例所提供的信息处理装置也可以设置于不同于防火墙130且能够与用户设备110和/或防火墙1305通信的服务器或服务器集群中。
应该理解,图1中的用户设备、认证服务器、防火墙和待访问服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的用户设备、认证服务器、防火墙和待访问服务器。
图2示意性示出了根据本公开实施例的由防火墙执行的信息处理方法的流程图。
如图2所示,该方法包括操作S201~S205。
在操作S201,接收用户设备的访问请求。
根据本公开实施例,用户设备流入流出的所有网络通信可以都经过防火墙。例如,用户可以使用用户设备对某网址或者某资源发起访问请求,防火墙可以先接收该访问请求,然后基于防火墙的管控策略,确定是否响应该访问请求。
在本公开实施例中,防火墙接收到的访问请求可以包括待访问的地址和发起该访问请求的用户设备的设备特征。
在操作S202,基于访问请求确定用户设备的设备特征。
根据本公开实施例,用户设备的设备特征例如可以是用户设备的IP地址,或者是用户设备的邮箱地址等。
例如,在用户设备对某资源发起防问请求时,防火墙可以接收到该访问请求,并且确定该访问请求对应的用户设备的IP地址。
在操作S203,基于关联关系记录,确定与设备特征对应的用户特征,其中,关联关系记录包括用户特征和该用户特征最近一次认证成功的用户设备的设备特征之间的关联关系。
在本公开实施例中,防火墙可以与认证服务器连接,从认证服务器中获取关联关系记录。
例如,在企业或者学校等内网场景中,可以同时部署防火墙和认证服务器对用户进行认证和管控。例如,各内网用户根据自身需要,可以部署AD、POP3、Radius等协议的认证服务器。
根据本公开实施例,认证服务器与用户设备连接,认证服务器可以响应于接收到用户设备发送的认证请求,获得认证请求中的用户特征和用户设备的设备特征,并记录该用户特征和该设备特征之间的关联关系。
例如,用户特征可以包括用户名,设备特征可以包括IP地址。内网用户在登录认证时,可以在用户设备上输入用户名和密码,然后向认证服务器发送认证请求,认证服务器接收该认证请求,并获得该认证请求对应的用户名,和发送该认证请求的用户设备的IP地址,记录该用户名和IP地址的关联关系。
根据本公开实施例,用户特征例如还可以是用户所属的部门,认证服务器接收认证请求,获得该认证请求对应的用户名,确定该用户名所属的部门,记录该部门和IP地址的关联关系。
在本公开实施例中,认证服务器可以在各内网用户的每次登陆认证请求后,更新或者记录该内网用户的用户特征和设备特征之间的关联关系。防火墙可以同步记录认证服务器中的关联关系记录,从而防火墙中可以存储有最新的设备特征与用户特征之间的关联关系。在防火墙接收到用户设备发送的访问请求时,防火墙可以基于该关联关系记录,确定是哪个用户特征发送的访问请求。
例如,防火墙中同步记录认证服务器中的关联关系记录,可以是监听认证服务器中的关联关系记录,在认证服务器中的关联关系记录发生变更时,同步更新防火墙中的关联关系记录,从而防火墙中可以存储有最新的设备特征与用户特征之间的关联关系记录。
例如,防火墙中可以配置有联动模块,联动模块可以连接认证服务器中的关联关系记录和防火墙中的关联关系记录,联动模块可以用于在认证服务器中的关联关系记录发生变更的情况下,通过变更防火墙中的关联关系记录,始终保持认证服务器中的关联关系记录和防火墙中的关联关系记录的一致性。
在操作S204,基于用户特征,确定用户设备的访问权限。
根据本公开实施例,防火墙中设置的管控策略例如可以是基于用户特征的管控策略。例如,可以限制某用户特征的访问权限,或者开通某用户特征的访问权限。
例如,用户特征可以是用户名,设备特征可以是IP地址,则防火墙中设置的管控策略可以是禁止某用户名访问某些资源,或者允许某用户名访问某些资源。例如,用户通过用户设备发起访问某资源的访问请求,防火墙拦截该访问请求,获得该访问请求对应的用户设备的IP地址,基于关联关系记录确定该IP地址对应的用户名,并确定该用户名是否具有访问该资源的访问权限。
又例如,用户特征可以是用户所属部门,设备特征可以是邮箱地址,则防火墙中设置的管控策略可以是禁止某部门访问某些资源,或者允许某部门访问某些资源。例如,用户通过用户设备发起访问某资源的访问请求,防火墙拦截该访问请求,获得该访问请求对应的用户设备的邮箱地址,基于关联关系记录确定该邮箱地址对应的用户所属部门,并确定该部门是否具有访问该资源的访问权限。
在操作S205,基于访问权限对访问请求进行响应。
根据本公开实施例,若防火墙中的管控策略确定用户特征具有访问权限,则允许该访问请求流通过防火墙,以使该访问请求可以触达目的资源。若防火墙中的管控策略确定用户特征不具有访问权项,则拦截该访问请求,禁止该用户访问。
本公开实施例的防火墙中设置的管控策略可以是基于用户特征的管控策略,从而可以以用户为维度,限制用户的访问权项。即便用户更换其它用户设备,用户在登录内网认证后,依然受其用户名的权限限制,能够更好地管理内网用户。
本公开实施例的防火墙可以同步认证服务器中的关联关系记录,并且防火墙的管控策略以用户特征为维度,在内网的设备变更IP网段时,防火墙不需要重新设置管控策略,认证服务器可以在用户登录认证时,更新该关联关系,方便防火墙的维护和管理。
图3示意性示出了根据本公开实施例的信息处理装置300的框图。
根据本公开实施例,信息处理装置300例如可以设置于防火墙中。
如图3所示,该信息处理装置300包括请求接收模块310、第一确定模块320、第二确定模块330、第三确定模块340和请求响应模块350。
请求接收模块310用于接收用户设备的访问请求。根据本公开实施例,请求接收模块310例如可以执行参考图2描述的操作S201的方法,在此不再赘述。
第一确定模块320用于基于访问请求确定用户设备的设备特征。根据本公开实施例,第一确定模块320例如可以执行参考图2描述的操作S202的方法,在此不再赘述。
第二确定模块330用于基于关联关系记录,确定与设备特征对应的用户特征,其中,关联关系记录包括用户特征和用户特征最近一次认证成功的用户设备的设备特征之间的关联关系。根据本公开实施例,第二确定模块330例如可以执行参考图2描述的操作S203的方法,在此不再赘述。
第三确定模块340用于基于用户特征,确定用户设备的访问权限。根据本公开实施例,第三确定模块340例如可以执行参考图2描述的操作S204的方法,在此不再赘述。
请求响应模块350用于基于访问权限对访问请求进行响应。根据本公开实施例,请求响应模块350例如可以执行参考图2描述的操作S205的方法,在此不再赘述。
根据本公开实施例,防火墙与认证服务器连接,认证服务器与用户设备连接。装置300还可以包括记录获取模块(图中未示)。记录获取模块可以用于从认证服务器中获取关联关系记录。其中,关联关系记录是认证服务器通过以下操作生成的:响应于接收到用户设备发送的认证请求,获得认证请求中的用户特征和用户设备的设备特征,并记录该用户特征和该设备特征之间的关联关系。
根据本公开实施例,记录获取模块还用于同步记录认证服务器中的关联关系记录。
根据本公开实施例,设备特征包括用户设备的IP地址,用户特征包括用户的用户名。
需要说明的是,装置部分实施例中各模块/单元/子单元等的实施方式、解决的技术问题、实现的功能、以及达到的技术效果分别与方法部分实施例中各对应的步骤的实施方式、解决的技术问题、实现的功能、以及达到的技术效果相同或类似,在此不再赘述。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图4示意性示出了根据本公开实施例的适于实现信息处理方法的计算机系统的方框图。图4示出的计算机系统仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图4所示,根据本公开实施例的计算机系统400包括处理器401,其可以根据存储在只读存储器(ROM)402中的程序或者从存储部分408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。处理器401例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器401还可以包括用于缓存用途的板载存储器。处理器401可以包括用于执行参考图2描述的根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 403中,存储有系统400操作所需的各种程序和数据。处理器401、ROM 402以及RAM 403通过总线404彼此相连。处理器401通过执行ROM 402和/或RAM 403中的程序来执行以上参考图2描述的各种操作。需要注意,所述程序也可以存储在除ROM 402和RAM 403以外的一个或多个存储器中。处理器401也可以通过执行存储在所述一个或多个存储器中的程序来执行以上参考图2描述的各种操作。
根据本公开的实施例,系统400还可以包括输入/输出(I/O)接口405,输入/输出(I/O)接口405也连接至总线404。系统400还可以包括连接至I/O接口405的以下部件中的一项或多项:包括键盘、鼠标等的输入部分406;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分407;包括硬盘等的存储部分408;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。驱动器410也根据需要连接至I/O接口405。可拆卸介质411,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器410上,以便于从其上读出的计算机程序根据需要被安装入存储部分408。
根据本公开的实施例,上文参考流程图描述的方法可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分409从网络上被下载和安装,和/或从可拆卸介质411被安装。在该计算机程序被处理器401执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
需要说明的是,本公开所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。根据本公开的实施例,计算机可读介质可以包括上文描述的ROM 402和/或RAM 403和/或ROM 402和RAM 403以外的一个或多个存储器。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。电要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
作为另一方面,本公开还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备执行:接收用户设备的访问请求,基于所述访问请求确定所述用户设备的设备特征,基于关联关系记录,确定与所述设备特征对应的用户特征,其中,所述关联关系记录包括用户特征和所述用户特征最近一次认证成功的用户设备的设备特征之间的关联关系,基于所述用户特征,确定所述用户设备的访问权限,以及基于所述访问权限对所述访问请求进行响应。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (10)
1.一种由防火墙执行的信息处理方法,包括:
接收用户设备的访问请求;
基于所述访问请求确定所述用户设备的设备特征;
基于关联关系记录,确定与所述设备特征对应的用户特征,其中,所述关联关系记录包括用户特征和所述用户特征最近一次认证成功的用户设备的设备特征之间的关联关系;
基于所述用户特征,确定所述用户设备的访问权限;以及
基于所述访问权限对所述访问请求进行响应。
2.根据权利要求1所述的方法,其特征在于,所述防火墙与认证服务器连接,所述认证服务器与用户设备连接;
所述方法还包括:
从所述认证服务器中获取所述关联关系记录;
其中,所述关联关系记录是所述认证服务器通过以下操作生成的:
响应于接收到用户设备发送的认证请求,获得所述认证请求中的用户特征和所述用户设备的设备特征,并记录所述用户特征和所述设备特征之间的关联关系。
3.根据权利要求2所述的方法,其特征在于,所述从所述认证服务器中获取所述关联关系记录,包括:
所述防火墙中同步记录所述认证服务器中的关联关系记录。
4.根据权利要求3所述的方法,其特征在于,所述防火墙中同步记录所述认证服务器中的关联关系记录,包括:
监听所述认证服务器中的关联关系记录;
在所述认证服务器中的关联关系记录发生变更时,同步更新所述防火墙中的所述关联关系记录。
5.根据权利要求1所述的方法,其特征在于,所述设备特征包括所述用户设备的IP地址,所述用户特征包括所述用户的用户名。
6.一种由防火墙执行的信息处理装置,包括:
请求接收模块,用于接收用户设备的访问请求;
第一确定模块,用于基于所述访问请求确定所述用户设备的设备特征;
第二确定模块,用于基于关联关系记录,确定与所述设备特征对应的用户特征,其中,所述关联关系记录包括用户特征和所述用户特征最近一次认证成功的用户设备的设备特征之间的关联关系;
第三确定模块,用于基于所述用户特征,确定所述用户设备的访问权限;以及
请求响应模块,用于基于所述访问权限对所述访问请求进行响应。
7.根据权利要求6所述的装置,其特征在于,所述防火墙与认证服务器连接,所述认证服务器与用户设备连接;
所述装置还包括:
记录获取模块,用于从所述认证服务器中获取所述关联关系记录;
其中,所述关联关系记录是所述认证服务器通过以下操作生成的:
响应于接收到用户设备发送的认证请求,获得所述认证请求中的用户特征和所述用户设备的设备特征,并记录所述用户特征和所述设备特征之间的关联关系。
8.一种计算机系统,包括:
一个或多个处理器;
计算机可读存储介质,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至5中任一项所述的方法。
9.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器实现权利要求1至5中任一项所述的方法。
10.一种计算机程序产品,包括计算机可读指令,其中,所述计算机可读指令被执行时用于执行根据权利要求1-5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911402453.6A CN113132303A (zh) | 2019-12-30 | 2019-12-30 | 由防火墙执行的信息处理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911402453.6A CN113132303A (zh) | 2019-12-30 | 2019-12-30 | 由防火墙执行的信息处理方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113132303A true CN113132303A (zh) | 2021-07-16 |
Family
ID=76768282
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911402453.6A Pending CN113132303A (zh) | 2019-12-30 | 2019-12-30 | 由防火墙执行的信息处理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113132303A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101465856A (zh) * | 2008-12-31 | 2009-06-24 | 杭州华三通信技术有限公司 | 一种对用户进行访问控制的方法和系统 |
CN105978866A (zh) * | 2016-04-28 | 2016-09-28 | 北京网康科技有限公司 | 一种用户访问控制的实现方法和系统、第三方用户服务器 |
US20190013968A1 (en) * | 2016-02-23 | 2019-01-10 | Huawei Technologies Co., Ltd. | Access control method, apparatus, and system |
CN110311929A (zh) * | 2019-08-01 | 2019-10-08 | 江苏芯盛智能科技有限公司 | 一种访问控制方法、装置及电子设备和存储介质 |
CN110620782A (zh) * | 2019-09-29 | 2019-12-27 | 深圳市珍爱云信息技术有限公司 | 账户认证方法、装置、计算机设备和存储介质 |
-
2019
- 2019-12-30 CN CN201911402453.6A patent/CN113132303A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101465856A (zh) * | 2008-12-31 | 2009-06-24 | 杭州华三通信技术有限公司 | 一种对用户进行访问控制的方法和系统 |
US20190013968A1 (en) * | 2016-02-23 | 2019-01-10 | Huawei Technologies Co., Ltd. | Access control method, apparatus, and system |
CN105978866A (zh) * | 2016-04-28 | 2016-09-28 | 北京网康科技有限公司 | 一种用户访问控制的实现方法和系统、第三方用户服务器 |
CN110311929A (zh) * | 2019-08-01 | 2019-10-08 | 江苏芯盛智能科技有限公司 | 一种访问控制方法、装置及电子设备和存储介质 |
CN110620782A (zh) * | 2019-09-29 | 2019-12-27 | 深圳市珍爱云信息技术有限公司 | 账户认证方法、装置、计算机设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9769266B2 (en) | Controlling access to resources on a network | |
US9787655B2 (en) | Controlling access to resources on a network | |
US9247432B2 (en) | Systems and methods for controlling network access | |
US20200162359A1 (en) | Systems and methods for checking compatibility of saas apps for different browsers | |
US10992656B2 (en) | Distributed profile and key management | |
US10623410B2 (en) | Multi-level, distributed access control between services and applications | |
CN111914262A (zh) | 测试方法、装置、系统、电子设备及存储介质 | |
US10778666B2 (en) | Co-existence of management applications and multiple user device management | |
US10812463B2 (en) | Secure access to an enterprise computing environment | |
US9667631B2 (en) | Venue-specific wi-fi connectivity notifications | |
US10757088B2 (en) | YARN REST API protection | |
US20210182440A1 (en) | System for preventing access to sensitive information and related techniques | |
US11798001B2 (en) | Progressively validating access tokens | |
CN111737687A (zh) | 网页应用系统的访问控制方法、系统、电子设备和介质 | |
CN113572763B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
US9641511B2 (en) | Systems and methods for deploying rich internet applications in a secure computing environment | |
US10447818B2 (en) | Methods, remote access systems, client computing devices, and server devices for use in remote access systems | |
US9405933B2 (en) | Secure access to running client application features from a browser application | |
CN113169999A (zh) | 基于位置与用户装置安全地共享文件 | |
CN113612806B (zh) | 一种安全网络服务方法、装置、电子设备及介质 | |
CN113574837A (zh) | 跟踪客户端设备上的图像发送者 | |
CN111049949B (zh) | 域名识别方法、装置、电子设备和介质 | |
CN113132303A (zh) | 由防火墙执行的信息处理方法和装置 | |
US9270621B1 (en) | Securely providing messages from the cloud | |
US10826978B1 (en) | Systems and methods for server load control |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210716 |
|
RJ01 | Rejection of invention patent application after publication |