CN113839949B - 一种访问权限管控系统、方法、芯片及电子设备 - Google Patents
一种访问权限管控系统、方法、芯片及电子设备 Download PDFInfo
- Publication number
- CN113839949B CN113839949B CN202111127772.8A CN202111127772A CN113839949B CN 113839949 B CN113839949 B CN 113839949B CN 202111127772 A CN202111127772 A CN 202111127772A CN 113839949 B CN113839949 B CN 113839949B
- Authority
- CN
- China
- Prior art keywords
- access
- user
- user group
- classid
- access right
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000011217 control strategy Methods 0.000 claims abstract description 32
- 238000007726 management method Methods 0.000 claims description 72
- 238000004590 computer program Methods 0.000 claims description 13
- 238000013461 design Methods 0.000 description 20
- 238000012827 research and development Methods 0.000 description 19
- 238000012360 testing method Methods 0.000 description 19
- 230000006870 function Effects 0.000 description 9
- 238000011161 development Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000006386 memory function Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种访问权限管控系统、方法、芯片及电子设备,该系统包括Leaf设备、Spine设备以及SDN控制器,其中,Leaf设备用于接收各个用户端的认证请求,并将所有认证请求转发给SDN控制器;Spine设备用于接收用户端的访问请求中携带的IP地址,并确定IP地址所属的用户组ClassID;并在SDN控制器下发的权限管控策略中,确定出用户组ClassID对应的访问权限,进而对用户端的访问请求进行权限管控。基于以上系统,将认证和策略部署在不同设备上,可以扩大表项容量。同时,针对用户组的权限管控策略,可以实现同一个用户组内的用户端具有相同的访问权限,并且不同用户组内的用户端拥有不同的访问权限。
Description
技术领域
本申请涉及计算机领域,特别是涉及一种访问权限管控系统、方法、芯片及电子设备。
背景技术
随着互联网的快速发展,在企业不同的办公场景中,对员工网络访问过程进行控制的策略各不相同。比如,在自带设备(Bring Your Own Device,BYOD)办公场景中,要求同一个部门所有员工的笔记本或者手机终端,在不同的工位或者会议室能够随时接入网关,并要求同一个部门的所有员工都有相同的访问权限,而不同部门的员工具有不同的访问权限。
现有的网络访问权限管控策略通常采取接入认证方式结合访问控制列表(AccessControl list,ACL)规则来实现,其中,接入认证方式包括web认证和802.1x认证。这种网络访问权限管控策略将认证和访问权限管控策略都部署在同台设备上,存在表项容量限制,无法做到大容量。
发明内容
本申请提供了一种访问权限管控系统、方法、芯片及电子设备,该系统将认证和访问权限管控策略部署在不同设备上,可以扩大表项容量,同时,因为权限管控策略是对用户组的访问权限的控制,而不对组内具体的用户端单独设置访问权限,因此,可以实现在同一个用户组内的所有用户端都具有相同的访问权限,并且不同用户组内的用户端拥有不同的访问权限。
第一方面,本申请提供了一种访问权限管控系统,所述系统包括Leaf设备、Spine设备以及SDN控制器,所述Leaf设备用于接收各个用户端的认证请求,并将所有认证请求转发给所述SDN控制器;接收第一用户端的访问请求,并将所述访问请求中携带的所述第一用户端对应的第一IP地址转发给Spine设备;
所述Spine设备用于接收所述第一IP地址,并确定所述第一IP地址所属的第一用户组ClassID;在所述SDN控制器下发的权限管控策略中,确定出所述第一用户组ClassID对应的第一访问权限;根据所述第一访问权限,对所述第一用户端的所述访问请求进行权限管控。
基于上述系统,因为所述权限管控策略是对用户组的访问权限的控制,而不对组内具体的用户端单独设置访问权限,因此,在同一个用户组内的所有用户端都具有相同的访问权限。进一步,当所述权限管控策略中包含的两个用户组之间的访问权限设定为不相同的情况下,可以实现不同用户组内的用户端拥有不同的访问权限。
同时,由于该系统将认证点部署在Leaf设备上,将访问权限策略管控点部署在Spine设备上,将认证和访问权限管控部署在不同设备上,可以扩大表项容量。
在一种可能的设计中,所述SDN控制器用于获取所述认证请求通过的所有用户端的用户端信息;将所述用户端信息中的全部用户端IP地址及全部用户组名下发到Spine设备,其中,所述用户端信息包括用户组名、用户端IP地址;
所述Spine设备还用于根据各个用户组名分别生成对应的用户组ClassID,并将同一用户组名的IP地址与用户组名对应的用户组ClassID绑定。
基于上述系统,可以实现在策略管控设备上将所有通过认证请求的用户端IP地址与该IP地址所属的用户组ClassID进行关联,以使某一用户端接入访问请求时,通过查询该用户端IP地址,便可找到该用户端所属的用户组ClassID。
在一种可能的设计中,所述Spine设备还用于获取所述第一用户端请求访问的第二用户端所属的第二用户组ClassID;在所述SDN控制器下发的权限管控策略中,确定出所述第一用户组ClassID与所述第二用户组ClassID之间的所述第一访问权限。
基于上述系统,所述Spine设备可以确定出所述第一用户组ClassID与所述第二用户组ClassID之间的所述第一访问权限。
在一种可能的设计中,所述Spine设备还用于在所述访问请求关联多个访问权限时,根据所述SDN控制器下发的访问权限优先级规则,在所述多个访问权限中确定出优先级最高的访问权限;将所述优先级最高的访问权限作为所述第一访问权限。
基于上述系统,所述Spine设备可以实现在多个访问权限出现冲突时,确定出当前需要执行的所述第一访问权限。
在一种可能的设计中,所述Spine设备还用于将所述第一用户端与临时用户组ClassID绑定;在所述SDN控制器下发的权限管控策略中,确定出所述临时用户组ClassID对应的第二访问权限;根据所述第二访问权限,对所述第一用户端的访问请求进行权限管控。
在上述系统中,所述Spine设备可以实现同一个用户端同时具有两个用户组的访问权限。
第二方面,本申请还提供了一种访问权限管控方法,所述方法包括:
接收在leaf设备上完成认证请求的第一客户端的访问请求,并获取所述第一客户端对应的第一IP地址;
确定所述第一IP地址对应的第一用户组ClassID;
在预设权限管控策略中,确定出所述第一用户组ClassID对应的第一访问权限;
根据所述第一访问权限,对所述第一用户端的所述访问请求进行权限管控。
在一种可能的设计中,在所述接收第一客户端的访问请求,并获取所述第一客户端对应的第一IP地址之前,还包括:
获取认证请求通过的所有用户端的用户端信息,其中,所述用户端信息包括用户组名、用户端IP地址;
根据各个用户组名分别生成对应的用户组ClassID;
将同一用户组名的IP地址与用户组名对应的用户组ClassID绑定。
在一种可能的设计中,所述在预设权限管控策略中,确定出所述第一用户组ClassID对应的第一访问权限,包括:
获取所述第一用户端请求访问的第二用户端对应的第二用户组ClassID;
在所述预设权限管控策略中,确定出所述第一用户组ClassID与所述第二用户组ClassID之间的所述第一访问权限。
在一种可能的设计中,所述方法还包括:
在所述访问请求关联多个访问权限时,根据所述SDN控制器下发的访问权限优先级规则,在所述多个访问权限中确定出优先级最高的访问权限;
将所述优先级最高的访问权限作为所述第一访问权限。
在一种可能的设计中,所述方法还包括:
将所述第一用户端与临时用户组ClassID绑定;
在所述预设权限管控策略中,确定出所述临时用户组ClassID对应的第二访问权限;
根据所述第二访问权限,对所述第一用户端的访问请求进行权限管控。
第三方面,本申请提供了一种芯片,所述芯片用于实现上述的访问权限管控的方法步骤。
第四方面,本申请提供了一种电子设备,包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现上述的访问权限管控的方法步骤。
第五方面,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的访问权限管控的方法步骤。
基于本申请提供的一种访问权限管控系统,因为所述权限管控策略是对用户组的访问权限的控制,而不对组内具体的用户端单独设置访问权限,因此,在同一个用户组内的所有用户端都具有相同的访问权限。进一步,当所述权限管控策略中包含的两个用户组之间的访问权限设定为不相同的情况下,可以实现不同用户组内的用户端拥有不同的访问权限。
同时,由于该系统将认证点部署在Leaf设备上,将策略管控点部署在Spine设备上,将认证和访问权限管控部署在不同设备上,可以扩大表项容量。
进一步,在成立临时办公组时,将在原有分组中抽选出的用户绑定临时用户组ClassID,并利用所述权限管控策略,对该抽选出的用户进行访问权限管控,可以实现同一个用户同时具有两个用户组的访问权限。
上述第二方面至第五方面中的各个方面以及各个方面可能达到的技术效果参照上述针对第一方面或者第一方面中的各种可能方案可以达到的技术效果说明,这里不再重复赘述。
附图说明
图1为本申请提供的一种访问权限管控系统示意图;
图2为本申请提供的一种临时用户组内成员访问权限管控示意图;
图3为本申请提供的一种访问权限管控方法流程图;
图4为本申请提供的一种电子设备结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。需要说明的是,在本申请的描述中“多个”理解为“至少两个”。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。A与B连接,可以表示:A与B直接连接和A与B通过C连接这两种情况。另外,在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
下面结合附图,对本申请实施例进行详细描述。
在BYOD办公场景中,要求同一个部门所有员工的笔记本或者手机终端,在不同的工位或者会议室能够随时接入网关,并要求同一个部门的所有员工都有相同的访问权限,而不同部门的员工具有不同的访问权限。现有技术主要采取接入认证方式结合ACL规则的网络访问控制策略,这种方式将认证和策略都部署在同台设备上,存在表项容量限制,无法做到大容量。
基于上述问题,本申请提供了一种访问权限管控系统,实现用户采用任意终端接入办公网络,且在临时办公时实现一个用户终端同时访问两个部门的功能,同时,将认证和访问权限策略都部署不同设备上,扩大表项容量。其中,本申请实施例所述系统和方法基于同一技术构思,由于系统及方法所解决问题的原理相似,因此系统与方法的实施例可以相互参见,重复之处不再赘述。
本申请提供一种访问权限管控系统,如图1所示,包括:Leaf设备11、Spine设备12以及SDN控制器13,Leaf设备11用于接收各个用户端的认证请求,并将所有认证请求转发给SDN控制器13;接收第一用户端的访问请求,并将访问请求中携带的第一用户端对应的第一IP地址转发给Spine设备12;
Spine设备12用于接收第一用户端的第一IP地址,并确定第一IP地址所属的第一用户组ClassID;在所述SDN控制器13下发的权限管控策略中,确定出第一用户组ClassID对应的第一访问权限;根据第一访问权限,对第一用户端的访问请求进行权限管控。
在上述系统中,用户组ClassID,指的用户组名在Spine设备上映射的组标识,不同的用户组名对应的用户组ClassID各不相同,举例来讲参考表1:
用户组名 | 映射的ClassID |
研发部 | Id-1 |
财务部 | Id-2 |
测试部 | Id-3 |
表1中包含的用户组名分别为研发部、财务部、测试部,其中,研发部对应的用户组ClassID为Id-1,财务部对应的用户组ClassID为Id-2,研发部对应的用户组ClassID为Id-3,每个用户组名对应的用户组ClassID都是唯一的。
SDN控制器13下发的权限管控策略中每个用户组的都有各自的访问权限,所述权限管控策略可以是访问控制列表(Access Control List,ACL)模型,举例来讲参考表2:
用户组访问权限管控策略 | 映射的ACL表项(ACE) |
研发部内部允许互访 | 10permit Id-1 0xFFFF Id-1 0xFFFF |
研发部不允许访问财务部 | 20deny Id-1 0xFFFF Id-2 0xFFFF |
研发部允许访问测试部 | 30permit Id-1 0xFFFF Id-3 0xFFFF |
研发部不允许访问外网 | 1000deny Id-1 0xFFFF |
表2中列举的是研发部的访问权限,具体包括:研发部允许组内互访;研发部不允许访问财务部;研发部允许访问测试部;研发部不允许访问内外网。其中,每一个访问权限在Spine设备上映射唯一的ACL表项。
基于上述系统,权限管控策略只对用户组的访问权限进行控制,而不对组内具体的用户端单独设置访问权限,因此,在同一个用户组内的所有用户端都具有相同的访问权限。进一步,当所述权限管控策略中包含的两个用户组之间的访问权限设定为不相同的情况下,可以实现不同用户组内的用户端拥有不同的访问权限。
同时,由于该系统将认证点部署在Leaf设备上,将访问权限控制策略管控点部署在Spine设备上,通过将认证和访问权限管控策略部署在不同设备上的方式,可以扩大表项容量。
在一种可能的设计中,SDN控制器13用于获取认证请求通过的所有用户端的用户端信息,其中,用户端信息包括用户组名、用户端IP地址;将用户端信息中的全部用户端IP地址及全部用户组名下发到Spine设备12。
Spine设备12还用于根据各个用户组名分别生成对应的用户组ClassID,并将同一用户组名的IP地址与用户组名对应的用户组ClassID绑定。
在上述系统中,SDN控制器13和Leaf设备11之间具有认证协议,其中,认证协议可以是远程用户拨号认证服务RADIUS协议,基于该认证协议,SDN控制器13获取Leaf设备11转发的所有用户端的认证请求,其中,认证请求包括802.1x认证请求和/或web认证请求。
接下来,SDN控制器13根据上述认证请求,在安全管理平台(Security ManagementPlatform,SMP)上做认证,并获取认证请求通过的所有用户端的用户端信息,并将用户端信息通过南向接口下发到Spine设备12,其中南向接口协议可以是网络配置NETCONF协议。
紧接着,Spine设备12将所有的用户名分别生成对应的用户组ClassID,并将同一用户组名的IP地址与用户组名对应的用户组ClassID绑定。
基于上述系统,可以实现在策略管控设备上将所有通过认证请求的用户端IP地址与该IP地址所属的用户组ClassID进行关联,以使某一用户端接入访问请求时,通过查询该用户端IP地址,便可找到该用户端所属的用户组ClassID。
在一种可能的设计中,在第一用户端请求访问第二用户端时,Spine设备12还用于获取第二用户端所属的第二用户组ClassID;在SDN控制器13下发的权限管控策略中,确定出第一用户组ClassID与第二用户组ClassID之间的第一访问权限。
基于上述系统,在第一用户端请求访问第二用户端时,Spine设备12可以根据第一用户端所属的第一用户组ClassID以及第二用户端所属的第二用户组ClassID,确定出对应的第一访问权限。
举例来讲,假设用户端A属于参考表1中所示的研发部,用户端B属于参考表1中所示的测试部,在用户端A请求访问用户端B时,Spine设备12首先获取研发部ClassID和测试部ClassID,即Id-1和Id-3,然后找到Id-1和Id-3之间的访问权限,此时参考表2,在表2中,Id-1和Id-3之间的访问权限为:30permit Id-1 0xFFFF Id-3 0xFFFF,因此可以确定出第一访问权限为研发部允许访问测试部。
在一种可能的设计中,在第一用户端请求访问第二用户端时,若该访问请求关联多个访问权限,则Spine设备12还用于根据SDN控制器下发的访问权限优先级规则,在所述多个访问权限中确定出优先级最高的访问权限;将所述优先级最高的访问权限作为第一访问权限。
基于上述系统,Spine设备12可以实现在多个访问权限出现冲突时,根据SDN控制器下发的访问权限优先级规则,确定出当前需要执行的第一访问权限。
举例来讲,参考表2,在表2中,研发部中的用户端A允许访问测试部中的用户端B,对应的访问权限为:30permit Id-1 0xFFFF Id-3 0xFFFF,但是如果测试部设置了一条访问权限为测试部不允许研发部访问时,即:40deny Id-10xFFFF Id-3 0xFFFF,两个访问权限之间互相矛盾。
在上述情况下,Spine设备12可以根据两个访问权限之间的优先级号来确定出当前需要执行的第一访问权限,因为30permit Id-1 0xFFFF Id-3 0xFFFF对应的优先级号为30,40deny Id-1 0xFFFF Id-3 0xFFFF对应的优先级号为40,若SDN控制器下发的访问权限优先级规则中规定按照优先级号从小到大来确定对应的访问权限的优先级,那么可以确定出30permit Id-1 0xFFFF Id-30xFFFF为第一访问权限,即研发部允许访问测试部。
在一种可能的设计中,当在原有的用户组中挑选出成员成立临时用户组时,Spine设备12还用于将第一用户端与临时用户组ClassID绑定;在SDN控制器13下发的权限管控策略中,确定出临时用户组ClassID对应的第二访问权限;根据第二访问权限,对第一用户端的访问请求进行权限管控。
在上述系统中,Spine设备12可以实现一个用户端同时具有两个用户组的访问权限。
具体来讲,Spine设备12使得第一用户端同时具有所述第一用户组ClassID和临时用户组ClassID,是利用Spine设备12内置芯片来实现的,其中,内置芯片可以是BCM芯片。
在BCM芯片中,可以用来对第一用户端绑定临时用户组ClassID的资源有:PORT、SVP、VLAN、L3_IIF、L2 SRC、L2 DST、L3 SRC、L3 DST、FPEM、VCAP。
在上述资源中,考虑到各种条件限制以及功能复用场景,BCM芯片使得第一用户端同时具有所述第一用户组ClassID和临时用户组ClassID的具体方法参考表1。
在图2中,利用IP路由表,从表项L3_ENTRY中查询得到所述第一用户组ClassID,所述L3_ENTRY具体为:L3 SRC和L3 DST,其中,L3 SRC源安全组,L3 DST表示目的安全组。
接下来,利用FPEM生成第一用户端绑定的临时用户组ClassID,其中,FPEM为BCM芯片中暂未部署业务的资源。
在第一用户端同时具有第一用户组ClassID和临时用户组ClassID时,进一步可以根据SDN控制器13下发的权限管控策略,对第一用户端进行访问权限管控,具体来讲,参考图2。
在图2中,第一用户端作为第一用户组ClassID内的用户端时,可以查出第一用户组ClassID为l3_src_clsid,当第一用户端请求访问的第二用户端所属的第二用户ClassID为l3_dst_clsid时,根据SDN控制器13下发的权限管控策略,对l3_src_clsid到l3_dst_clsid之间的第一访问权限进行管控。
第一用户端作为临时用户组ClassID内的用户端时,FPEM为第一用户端绑定的临时用户组ClassID为fpem_clsid0,当第一用户端请求访问的第三用户端所属的第三用户组ClassID为fpem_clsid1时,根据SDN控制器13下发的权限管控策略,对fpem_clsid0到fpem_clsid1之间的第二访问权限进行管控。
上述第一访问权限和第二访问权限的优先级,可以根据两个访问权限之间的优先级号来确定。
基于上述系统,Spine设备12利用内置芯片,实现第一用户端同时具有第一用户组ClassID和临时用户组ClassID,并且进一步根据SDN控制器13下发的权限管控策略,对第一用户端的访问请求进行访问权限管控。
基于同一发明构思,本申请实施例中还提供了一种访问权限管控方法,所述方法的流程步骤如图3所示,包括:
S31,接收在Leaf设备上完成认证请求的第一客户端的访问请求,并获取第一客户端对应的第一IP地址;
在本申请实施例中,用户端在访问请求之前,需要先经过认证,而认证请求是在Leaf设备上进行的,完成认证的用户端才可以发起访问请求,访问请求中包含发起访问请求的第一客户端的IP地址,因此,在接收Leaf设备转发的第一客户端的访问请求时,可以获取第一客户端对应的第一IP地址。
S32,确定第一IP地址所属的第一用户组ClassID;
在本申请实施例中,用户组ClassID指的是用户组名映射的组标识,每个用户端IP地址都和该用户端所属的用户组ClassID之间绑定,因此,根据第一客户端的第一IP地址,可以确定出第一IP地址所属的第一用户组ClassID。
S33,在预设权限管控策略中,确定出第一用户组ClassID对应的第一访问权限;
在本申请实施例中,预设权限管控策略是由SDN控制器下发的,所述预设权限管控策略中包含所有用户组的访问权限,其中,每个用户组的访问权限和都该用户组ClassID相关联,因此,根据第一用户组ClassID可以确定出第一用户组ClassID对应的第一访问权限,具体方法包括:
获取第一用户端请求访问的第二用户端对应的第二用户组ClassID;
在预设权限管控策略中,确定出第一用户组ClassID与第二用户组ClassID之间的第一访问权限。
举例来讲,参考表2,研发部ClassID为Id-1,测试部ClassID为Id-3,当研发部请求访问测试部时,根据研发部ClassID和测试部ClassID,可以查询得到对应的访问权限为:30permit Id-1 0xFFFF Id-3 0xFFFF,即研发部允许访问测试部。
S34,根据第一访问权限,对第一用户端的访问请求进行权限管控。
在上述方法中,预设权限管控策略只对用户组的访问权限进行控制,而不对组内具体的用户端单独设置访问权限,因此,在同一个用户组内的所有用户端都具有相同的访问权限。进一步,当预设权限管控策略中包含的两个用户组之间的访问权限设定为不相同的情况下,可以实现不同用户组内的用户端拥有不同的访问权限。
同时,由于该系统将认证点部署在Leaf设备上,与策略管控设备分开,可以扩大表项容量。
在一种可能的设计中,在接收第一客户端的访问请求,并获取所述第一客户端对应的第一IP地址之前,还包括:
获取SDN控制器下发的认证请求通过的所有用户端的用户端信息,其中,所述用户端信息包括用户组名、用户端IP地址;
根据各个用户组名分别生成对应的用户组ClassID;
将同一用户组名的IP地址与用户组名对应的用户组ClassID绑定。
通过上述方法,可以实现在策略管控设备上将所有通过认证请求的用户端IP地址与该IP地址所属的用户组ClassID进行关联,以使某一用户端接入访问请求时,通过查询该用户端IP地址,便可找到该用户端所属的用户组ClassID。
在本申请实施例中,在获取SDN控制器下发的认证请求通过的所有用户端的用户端信息之前,Leaf设备需要接收所有的认证请求,并将该认证请求基于认证协议转发给SDN控制器,其中,认证协议可以是远程用户拨号认证服务RADIUS协议。
紧接着,SDN控制器还需将所有请求认证的用户在安全管理平台上做认证,并获取认证请求通过的所有用户端的用户端信息,并将用户端信息通过南向接口下发到Spine设备,其中南向接口协议可以是网络配置NETCONF协议。
在一种可能的设计中,当第一客户端请求访问第二客户端时,同时关联多个访问权限,所述方法还包括:
根据SDN控制器下发的访问权限优先级规则,在多个访问权限中确定出优先级最高的访问权限;
将优先级最高的访问权限作为第一访问权限。
举例来讲,参考表2,在表2中,研发部中的用户端A允许访问测试部中的用户端B,对应的访问权限为:30permit Id-1 0xFFFF Id-3 0xFFFF,但是如果测试部设置了一条访问权限为测试部不允许研发部访问时,即:40deny Id-10xFFFF Id-3 0xFFFF,两个访问权限之间互相矛盾。
在上述情况下,可以根据两个访问权限之间的优先级号来确定出当前需要执行的第一访问权限,因为30permit Id-1 0xFFFF Id-3 0xFFFF对应的优先级号为30,40denyId-1 0xFFFF Id-3 0xFFFF对应的优先级号为40,若SDN控制器下发的访问权限优先级规则中规定按照优先级号从小到大来确定对应的访问权限的优先级,那么可以确定出30permitId-1 0xFFFF Id-3 0xFFFF为第一访问权限,即研发部允许访问测试部。
基于上述方法,可以实现在多个访问权限出现冲突时,确定出当前需要执行的第一访问权限。
在一种可能的设计中,当在原有的用户组中挑选出成员成立临时用户组时,所述方法还包括:
将第一用户端与临时用户组ClassID绑定;
在预设权限管控策略中,确定出临时用户组ClassID对应的第二访问权限;
根据第二访问权限,对第一用户端的访问请求进行权限管控。
在本申请实施例中,将第一用户组与临时用户组ClassID绑定,那么第一用户组同时具备第一用户组ClassID和临时用户组ClassID,这种情况下,第一用户组同时具备第一用户组ClassID所对应的访问权限和临时用户组ClassID所对应的访问权限。
基于同一发明构思,本申请还提供了一种芯片,所述芯片用于接收第一客户端的访问请求,并获取第一客户端对应的第一IP地址;确定第一IP地址对应的第一用户组ClassID;在预设权限管控策略中,确定出所述第一用户组ClassID对应的第一访问权限;根据第一访问权限,对第一用户端的访问请求进行权限管控。
在一种可能的设计中,所述芯片还用于获取认证请求通过的所有用户端的用户端信息,其中,用户端信息包括用户组名、用户端IP地址;根据各个用户组名分别生成对应的用户组ClassID;将同一用户组名的IP地址与用户组名对应的用户组ClassID绑定。
进一步,在第一用户端请求访问第二用户端时,所述芯片还用于获取第一用户端请求访问的第二用户端对应的第二用户组ClassID;在预设权限管控策略中,确定出第一用户组ClassID与所述第二用户组ClassID之间的第一访问权限。
在一种可能的设计中,在第一用户端请求访问第二用户端时,若该访问请求同时关联多个访问权限,那么所述芯片还用于根据SDN控制器下发的访问权限优先级规则,在多个访问权限中确定出优先级最高的访问权限;将优先级最高的访问权限作为第一访问权限。
在一种可能的设计中,所述芯片还用于将第一用户端与临时用户组ClassID绑定;在预设权限管控策略中,确定出临时用户组ClassID对应的第二访问权限;根据第二访问权限,对第一用户端的访问请求进行权限管控。
基于同一发明构思,本申请实施例中还提供了一种电子设备,所述电子设备可以实现前述访问权限管控方法装置的功能,参考图4,所述电子设备包括:
至少一个处理器41,以及与至少一个处理器41连接的存储器42,本申请实施例中不限定处理器41与存储器42之间的具体连接介质,图4中是以处理器41和存储器42之间通过总线40连接为例。总线40在图4中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线40可以分为地址总线、数据总线、控制总线等,为便于表示,图4中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。或者,处理器41也可以称为控制器,对于名称不做限制。
在本申请实施例中,存储器42存储有可被至少一个处理器41执行的指令,至少一个处理器41通过执行存储器42存储的指令,可以执行前文论述访问权限管控方法。处理器41可以实现图1所示的系统中各个设备的功能。
其中,处理器41是该装置的控制中心,可以利用各种接口和线路连接整个该控制设备的各个部分,通过运行或执行存储在存储器42内的指令以及调用存储在存储器42内的数据,该装置的各种功能和处理数据,从而对该装置进行整体监控。
在一种可能的设计中,处理器41可包括一个或多个处理单元,处理器41可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器41中。在一些实施例中,处理器41和存储器42可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器41可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的访问权限管控方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器42作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器42可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random Access Memory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等。存储器42是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器42还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
通过对处理器41进行设计编程,可以将前述实施例中介绍的访问权限管控方法所对应的代码固化到芯片内,从而使芯片在运行时能够执行具体实施方式中的访问权限管控方法的步骤。如何对处理器41进行设计编程为本领域技术人员所公知的技术,这里不再赘述。
基于同一发明构思,本申请实施例还提供一种存储介质,该存储介质存储有计算机指令,当该计算机指令在计算机上运行时,使得计算机执行前文论述访问权限管控方法。
在一些可能的实施方式中,本申请提供的访问权限管控方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在装置上运行时,程序代码用于使该控制设备执行本说明书上述描述的根据本申请各种示例性实施方式的访问权限管控方法中的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (11)
1.一种访问权限管控系统,其特征在于,所述系统包括Leaf设备、Spine设备以及SDN控制器,所述Leaf设备用于接收各个用户端的认证请求,并将所有认证请求转发给所述SDN控制器;接收第一用户端的访问请求,并将所述访问请求中携带的所述第一用户端对应的第一IP地址转发给Spine设备;
所述Spine设备用于接收所述第一IP地址,并确定所述第一IP地址所属的第一用户组ClassID,将所述第一用户端与临时用户组ClassID绑定;在所述SDN控制器下发的权限管控策略中,确定出所述第一用户组ClassID对应的第一访问权限和所述临时用户组ClassID对应的第二访问权限;根据所述第一访问权限和所述第二访问权限,对所述第一用户端的所述访问请求进行权限管控。
2.如权利要求1所述的系统,其特征在于,所述SDN控制器用于获取所述认证请求通过的所有用户端的用户端信息;将所述用户端信息中的全部用户端IP地址及全部用户组名下发到Spine设备,其中,所述用户端信息包括用户组名、用户端IP地址;
所述Spine设备还用于根据各个用户组名分别生成对应的用户组ClassID,并将同一用户组名的IP地址与用户组名对应的用户组ClassID绑定。
3.如权利要求1所述的系统,其特征在于,所述Spine设备还用于获取所述第一用户端请求访问的第二用户端所属的第二用户组ClassID;在所述SDN控制器下发的权限管控策略中,确定出所述第一用户组ClassID与所述第二用户组ClassID之间的所述第一访问权限。
4.如权利要求3所述的系统,其特征在于,所述Spine设备还用于在所述访问请求关联多个访问权限时,根据所述SDN控制器下发的访问权限优先级规则,在所述多个访问权限中确定出优先级最高的访问权限;将所述优先级最高的访问权限作为所述第一访问权限。
5.一种访问权限管控方法,其特征在于,所述方法包括:
接收在leaf设备上完成认证请求的第一客户端的访问请求,并获取所述第一客户端对应的第一IP地址;
确定所述第一IP地址所属的第一用户组ClassID,并将所述第一用户端与临时用户组ClassID绑定;
在预设权限管控策略中,确定出所述第一用户组ClassID对应的第一访问权限和所述临时用户组ClassID对应的第二访问权限;
根据所述第一访问权限和所述第二访问权限,对所述第一用户端的所述访问请求进行权限管控。
6.如权利要求5所述的方法,其特征在于,在所述接收在leaf设备上完成认证请求的第一客户端的访问请求,并获取所述第一客户端对应的第一IP地址之前,还包括:
获取认证请求通过的所有用户端的用户端信息,其中,所述用户端信息包括用户组名、用户端IP地址;
根据各个用户组名分别生成对应的用户组ClassID;
将同一用户组名的IP地址与用户组名对应的用户组ClassID绑定。
7.如权利要求5所述的方法,其特征在于,所述在预设权限管控策略中,确定出所述第一用户组ClassID对应的第一访问权限,包括:
获取所述第一用户端请求访问的第二用户端对应的第二用户组ClassID;
在所述预设权限管控策略中,确定出所述第一用户组ClassID与所述第二用户组ClassID之间的所述第一访问权限。
8.如权利要求7所述的方法,其特征在于,所述方法还包括:
在所述访问请求关联多个访问权限时,根据SDN控制器下发的访问权限优先级规则,在所述多个访问权限中确定出优先级最高的访问权限;
将所述优先级最高的访问权限作为所述第一访问权限。
9.一种芯片,其特征在于,所述芯片用于实现权利要求5-8中任一项所述的方法步骤。
10.一种电子设备,其特征在于,包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现权利要求5-8中任一项所述的方法步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求5-8中任一项所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111127772.8A CN113839949B (zh) | 2021-09-26 | 2021-09-26 | 一种访问权限管控系统、方法、芯片及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111127772.8A CN113839949B (zh) | 2021-09-26 | 2021-09-26 | 一种访问权限管控系统、方法、芯片及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113839949A CN113839949A (zh) | 2021-12-24 |
CN113839949B true CN113839949B (zh) | 2023-10-24 |
Family
ID=78970340
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111127772.8A Active CN113839949B (zh) | 2021-09-26 | 2021-09-26 | 一种访问权限管控系统、方法、芯片及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113839949B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117201135B (zh) * | 2023-09-11 | 2024-06-21 | 合芯科技有限公司 | 业务随行方法、装置、计算机设备及存储介质 |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1627683A (zh) * | 2003-12-09 | 2005-06-15 | 鸿富锦精密工业(深圳)有限公司 | 单一认证授权管理系统及方法 |
CN101170409A (zh) * | 2006-10-24 | 2008-04-30 | 华为技术有限公司 | 实现设备访问控制的方法、系统、业务设备和认证服务器 |
CN105577665A (zh) * | 2015-12-24 | 2016-05-11 | 西安电子科技大学 | 一种云环境下的身份和访问控制管理系统及方法 |
CN106790147A (zh) * | 2016-12-28 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种访问控制方法及其装置 |
CN107968763A (zh) * | 2016-10-19 | 2018-04-27 | 巽风数位工程有限公司 | 群组档案管理系统与方法 |
CN109088875A (zh) * | 2018-08-24 | 2018-12-25 | 郑州云海信息技术有限公司 | 一种访问权限校验方法及装置 |
CN110753063A (zh) * | 2019-10-25 | 2020-02-04 | 下一代互联网重大应用技术(北京)工程研究中心有限公司 | 认证方法、装置、设备及介质 |
CN111478894A (zh) * | 2020-04-03 | 2020-07-31 | 深信服科技股份有限公司 | 一种外部用户授权方法、装置、设备及可读存储介质 |
CN111800440A (zh) * | 2020-09-08 | 2020-10-20 | 平安国际智慧城市科技股份有限公司 | 多策略访问控制登录方法、装置、计算机设备及存储介质 |
CN111953599A (zh) * | 2020-07-14 | 2020-11-17 | 锐捷网络股份有限公司 | 一种终端权限控制方法、装置、电子设备及存储介质 |
WO2020248284A1 (zh) * | 2019-06-14 | 2020-12-17 | Oppo广东移动通信有限公司 | 一种访问控制方法、装置及存储介质 |
CN112615810A (zh) * | 2020-11-17 | 2021-04-06 | 新华三技术有限公司 | 一种访问控制方法及装置 |
CN112905978A (zh) * | 2021-02-20 | 2021-06-04 | 成都新希望金融信息有限公司 | 权限管理方法和装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7821926B2 (en) * | 1997-03-10 | 2010-10-26 | Sonicwall, Inc. | Generalized policy server |
-
2021
- 2021-09-26 CN CN202111127772.8A patent/CN113839949B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1627683A (zh) * | 2003-12-09 | 2005-06-15 | 鸿富锦精密工业(深圳)有限公司 | 单一认证授权管理系统及方法 |
CN101170409A (zh) * | 2006-10-24 | 2008-04-30 | 华为技术有限公司 | 实现设备访问控制的方法、系统、业务设备和认证服务器 |
CN105577665A (zh) * | 2015-12-24 | 2016-05-11 | 西安电子科技大学 | 一种云环境下的身份和访问控制管理系统及方法 |
CN107968763A (zh) * | 2016-10-19 | 2018-04-27 | 巽风数位工程有限公司 | 群组档案管理系统与方法 |
CN106790147A (zh) * | 2016-12-28 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种访问控制方法及其装置 |
CN109088875A (zh) * | 2018-08-24 | 2018-12-25 | 郑州云海信息技术有限公司 | 一种访问权限校验方法及装置 |
WO2020248284A1 (zh) * | 2019-06-14 | 2020-12-17 | Oppo广东移动通信有限公司 | 一种访问控制方法、装置及存储介质 |
CN110753063A (zh) * | 2019-10-25 | 2020-02-04 | 下一代互联网重大应用技术(北京)工程研究中心有限公司 | 认证方法、装置、设备及介质 |
CN111478894A (zh) * | 2020-04-03 | 2020-07-31 | 深信服科技股份有限公司 | 一种外部用户授权方法、装置、设备及可读存储介质 |
CN111953599A (zh) * | 2020-07-14 | 2020-11-17 | 锐捷网络股份有限公司 | 一种终端权限控制方法、装置、电子设备及存储介质 |
CN111800440A (zh) * | 2020-09-08 | 2020-10-20 | 平安国际智慧城市科技股份有限公司 | 多策略访问控制登录方法、装置、计算机设备及存储介质 |
CN112615810A (zh) * | 2020-11-17 | 2021-04-06 | 新华三技术有限公司 | 一种访问控制方法及装置 |
CN112905978A (zh) * | 2021-02-20 | 2021-06-04 | 成都新希望金融信息有限公司 | 权限管理方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN113839949A (zh) | 2021-12-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111045690B (zh) | 区块链节点服务部署方法、装置、系统、计算设备及介质 | |
WO2020207233A1 (zh) | 一种区块链的权限控制方法及装置 | |
US11907939B2 (en) | Methods for user authentication using non-fungible digital assets | |
US8813225B1 (en) | Provider-arbitrated mandatory access control policies in cloud computing environments | |
CN111698228A (zh) | 系统访问权限授予方法、装置、服务器及存储介质 | |
CN112005264A (zh) | 实施跨链事务的区块链 | |
US10148637B2 (en) | Secure authentication to provide mobile access to shared network resources | |
US10595320B2 (en) | Delegating policy through manufacturer usage descriptions | |
US11457487B2 (en) | Methods and systems for connecting to a wireless network | |
CN108053088A (zh) | 一种用户管理系统、方法和装置 | |
US8180894B2 (en) | System and method for policy-based registration of client devices | |
WO2020248284A1 (zh) | 一种访问控制方法、装置及存储介质 | |
CN112948842A (zh) | 一种鉴权方法及相关设备 | |
CN114374524B (zh) | 对象存储的访问控制方法和装置、存储介质和电子装置 | |
CN110968848A (zh) | 基于用户的权限管理方法、装置及计算设备 | |
CN113839949B (zh) | 一种访问权限管控系统、方法、芯片及电子设备 | |
US10277713B2 (en) | Role-based access to shared resources | |
CN112329058B (zh) | 跨多组织用户信息的访问控制方法、装置和介质 | |
US20240095809A1 (en) | Cloud infrastructure-based online publishing platforms for virtual private label clouds | |
CN111953599B (zh) | 一种终端权限控制方法、装置、电子设备及存储介质 | |
CN115563591A (zh) | 数据访问方法、节点和级联中心 | |
CN112995164A (zh) | 资源访问的鉴权方法及装置、存储介质、电子设备 | |
CN112600744A (zh) | 权限控制方法和装置、存储介质及电子装置 | |
CN115333863A (zh) | 基于动态域名服务的物联网系统搭建方法及相关设备 | |
CN114462016A (zh) | 资源请求方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |