CN115065496A - 网络安全设备上的认证用户角色映射信息生成方法及装置 - Google Patents
网络安全设备上的认证用户角色映射信息生成方法及装置 Download PDFInfo
- Publication number
- CN115065496A CN115065496A CN202210388204.1A CN202210388204A CN115065496A CN 115065496 A CN115065496 A CN 115065496A CN 202210388204 A CN202210388204 A CN 202210388204A CN 115065496 A CN115065496 A CN 115065496A
- Authority
- CN
- China
- Prior art keywords
- matching
- message
- matched
- content
- matching condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000013507 mapping Methods 0.000 title claims abstract description 84
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000012545 processing Methods 0.000 claims abstract description 11
- 238000004422 calculation algorithm Methods 0.000 claims description 28
- 230000006399 behavior Effects 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 abstract description 16
- 230000008569 process Effects 0.000 description 12
- 230000006870 function Effects 0.000 description 8
- 230000002829 reductive effect Effects 0.000 description 5
- 101150064138 MAP1 gene Proteins 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000012550 audit Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 101100075995 Schizosaccharomyces pombe (strain 972 / ATCC 24843) fma2 gene Proteins 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000036961 partial effect Effects 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 101100456045 Schizosaccharomyces pombe (strain 972 / ATCC 24843) map3 gene Proteins 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请提供一种网络安全设备上的认证用户角色映射信息生成方法及装置。认证用户角色映射信息生成方法包括:获取认证报文;确定所述认证报文的报文模式;所述报文模式用于表征多种字段在报文中的偏移量;根据所述认证报文的报文模式确定所述认证报文中的待匹配内容;将所述待匹配内容与对应的预设匹配条件进行匹配,确定各个匹配条件的匹配结果;根据预设的匹配条件组合规则和各个匹配条件的匹配结果确定用户的角色映射标签,所述角色映射标签用于对用户的访问行为进行处理。该方法用以降低报文解析的复杂度,提高认证用户角色映射信息的生成效率。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种网络安全设备上的认证用户角色映射信息生成方法及装置。
背景技术
在许多网络系统中,用户通过认证服务器(如RADIUS(Remote AuthenticationDial In User Service,远程用户拨号认证)服务器)认证身份,网络安全设备(如防火墙)根据用户身份对用户访问行为进行控制和审计。由于用户已经在认证服务器上认证过,为了避免用户进行二次认证,可以将认证服务器的认证报文发送到网络安全设备,由网络安全设备解析报文,在网络安全设备上生成用户的认证信息。
现有技术中,在生成用户的认证信息时,在实现报文解析时,未针对数据报文特点作查找优化,对于域值的查找采取逐条遍历,且具体匹配算法时间复杂度较大,因此报文解析的效率较低,导致认证信息的生成效率较低。
发明内容
本申请实施例的目的在于提供一种网络安全设备上的认证用户角色映射信息生成方法及装置,用以降低报文解析的复杂度,提高认证用户角色映射信息的生成效率。
第一方面,本申请实施例提供一种认证信息的生成方法,包括:获取认证报文;确定所述认证报文的报文模式;所述报文模式用于表征多种字段在报文中的偏移量;根据所述认证报文的报文模式确定所述认证报文中的待匹配内容;将所述待匹配内容与对应的预设匹配条件进行匹配,确定各个匹配条件的匹配结果;根据预设的匹配条件组合规则和所述各个匹配条件的匹配结果确定用户的角色映射标签,所述角色映射标签用于对用户的访问行为进行处理。
在本申请实施例中,在报文结构的基础上,考虑到认证报文中的认证信息通常在特定的位置,先确定认证报文的报文模式,通过报文模式,能够快速定位出待匹配内容,实现认证报文的快速解析。然后将待匹配内容与预设匹配条件进行匹配,确定匹配条件的匹配结果,最终根据多个匹配条件的组合规则确定用户的角色映射标签,实现认证用户角色映射信息的生成。通过这种方式,降低了报文解析的难度,实现更快速的报文解析,进而提高认证用户角色映射信息的生成效率。
作为一种可能的实现方式,所述确定所述认证报文的报文模式,包括:根据所述认证报文中的第一字段,从一个或者多个报文模式组中确定目标报文模式组;每个报文模式组中包括一个或者多个报文模式,每一所述报文模式对应的报文中的第一字段的偏移量相同,所述目标报文模式组中的各个报文模式对应的报文中的第一字段的偏移量与所述第一字段在所述认证报文中的偏移量相同;判断所述认证报文中第二字段的偏移量是否与所述目标报文模式组中的各个报文模式对应的报文中的所述第二字段的偏移量一致;若是,将所述认证报文划分到目标报文模式组中;若否,基于所述认证报文创建新的报文模式组。
在本申请实施例中,将认证报文分为两种字段,通过第一种字段,可以快速确定与之可能匹配的报文模式组,通过第二种字段,可以快速确定该认证报文是否属于该报文模式组,进而实现报文模式的快速确定。
作为一种可能的实现方式,所述根据所述认证报文的报文模式确定所述认证报文中的待匹配内容,包括:根据所述目标报文模式组中的各个报文模式对应的报文中的第二字段的偏移量确定所述认证报文中的待匹配内容。
在本申请实施例中,在确定认证报文的报文模式之后,通过第二种字段,可快速定位到待匹配内容。
作为一种可能的实现方式,所述认证报文为RADIUS报文。
在本申请实施例中,基于RADIUS报文的报文结构存储多种字段,这多种字段可能对应不同的匹配条件,因此,基于这种报文解析的方式,可实现RADIUS报文的快速解析。
作为一种可能的实现方式,所述待匹配内容包括字符串类型和/或数值类型,所述字符串类型对应的匹配条件包括:第一类匹配条件、第二类匹配条件、第三类匹配条件和第四类匹配条件;所述数值类型对应的匹配条件包括:数值范围;其中,所述第一类匹配条件为:以特定字符串开头,所述第二类匹配条件为以特定字符串结尾,所述第三类匹配条件为包含特定字符串,所述第四类匹配条件为与特定字符串相同。
在本申请实施例中,将认证报文的内容分为字符串类型和数值类型两大类,便于后续基于匹配条件实现更高效的匹配。
作为一种可能的实现方式,针对字符串类型的待匹配内容,所述将所述待匹配内容与对应的预设匹配条件进行匹配,确定各个匹配条件的匹配结果,包括:将所述第一类匹配条件和所述第四类匹配条件与所述待匹配内容进行并行匹配,确定所述第一类匹配条件和所述第四类匹配条件的匹配结果;将所述第二类匹配条件与所述待匹配内容进行匹配,确定所述第二类匹配条件的匹配结果;其中,各类匹配条件在进行匹配时,多个匹配条件并行匹配。
在本申请实施例中,针对字符串类型的待匹配内容,在进行匹配时,可以将多个匹配条件进行并行匹配,以提高匹配效率。
作为一种可能的实现方式,针对字符串类型的待匹配内容,所述将所述待匹配内容与对应的预设匹配条件进行匹配,确定各个匹配条件的匹配结果,包括:基于Sunday算法,将所述待匹配内容与所述第三类匹配条件进行匹配,确定所述第三类匹配条件的匹配结果;其中,所述第三类匹配条件包括多个子匹配条件,在将所述待匹配内容中的字符与各个子匹配条件进行匹配时,各个子匹配条件与所述待匹配内容分别进行并行匹配;不同的子匹配条件对应不同的移动键值对表,所述移动键值对表用于确定所述待匹配内容与子匹配条件每次匹配结束后,下次匹配的起始位置。
在本申请实施例中,利用Sunday算法实现包含特定字符的匹配条件的匹配,在Sunday算法的基础上,将子匹配条件进行并行匹配,在保证匹配结果的准确性的基础上,提高匹配效率。
作为一种可能的实现方式,在每次将各个子匹配条件与所述待匹配内容分别进行并行匹配后,下次匹配时所述待匹配内容中的匹配位置相较于本次匹配的初始位置的移动距离表示为:其中,jump[k]为所述移动距离,mapk代表子匹配条件k对应的移动键值对表,该移动键值对表中包含不同的字符对应的移动位数,len(k)代表子匹配条件k的字符长度,s代表所述本次匹配的初始位置,len(S)为所述待匹配内容的字符长度。
在本申请实施例中,通过与各个子匹配条件对应的移动键值对表,实现待匹配内容下次匹配时的移动距离的确定,进而实现待匹配内容与子匹配条件的更高效的匹配。
第二方面,本申请实施例提供一种认证用户角色映射信息的生成装置,包括:用于实现第一方面以及第一方面的任意一种可能的实现方式中所述的认证用户角色映射信息的生成方法的各个功能模块。
第三方面,本申请实施例提供一种网络安全设备,包括:处理器,以及与所述处理器通信连接的存储器;所述存储器中存储有计算机指令,所述计算机指令被计算机运行时,执行如第一方面以及第一方面的任意一种可能的实现方式中所述的认证用户角色映射信息的生成方法。
本申请实施例所述的一种网络安全设备上的认证用户角色映射信息生成方法及装置,在报文结构的基础上,考虑到认证报文中的认证信息通常在特定的位置,先确定认证报文的报文模式,通过报文模式,能够快速定位出待匹配内容,实现认证报文的快速解析。然后将待匹配内容与预设匹配条件进行匹配,确定匹配条件的匹配结果,最终根据多个匹配条件的组合规则确定用户的角色映射标签,实现认证用户角色映射信息的生成。通过这种方式,降低了报文解析的难度,实现更快速的报文解析,进而提高认证用户角色映射信息的生成效率。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的网络系统的结构示意图;
图2为本申请实施例提供的认证用户角色映射信息的生成方法的流程图;
图3为本申请实施例提供的报文模式匹配流程图;
图4为本申请实施例提供的第一字符串内容匹配算法流程图;
图5为本申请实施例提供的第二字符串内容匹配算法流程图;
图6为本申请实施例提供的认证用户角色映射信息的生成装置的结构示意图;
图7为本申请实施例提供的网络安全设备的结构示意图。
图标:600-认证用户角色映射信息的生成装置;610-获取模块;620-处理模块;700-网络安全设备;710-处理器;720-存储器。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
本申请实施例提供的技术方案可以应用于网络系统中,接下来对涉及到的应用场景和一些背景技术进行介绍。
实施例1
请参照图1,为本申请实施例提供的网络系统的结构示意图,该网络系统可作为本申请实施例提供的技术方案的应用场景。
在图1中,网络系统涉及到:用户端、专用接入设备、认证服务器、网络安全设备以及目标网络。
该网络系统采用SSO(Single Sign On,单点登录)模式。当用户在某一系统上进行一次身份认证以后,即可获得其他关联系统和设备的许可。在许多网络系统中,用户通过认证服务器(如RADIUS服务器)认证身份,网络安全设备(如防火墙)为了根据用户身份对用户访问行为进行控制和审计,需要在设备上生成认证用户(即用户的认证信息)。由于用户已经在认证服务器上认证过,为了避免用户进行二次认证,可以直接将认证服务器的认证报文发送到安全设备,由安全设备解析报文,在设备上生成认证用户,该过程属于SSO的一种。
在一些实施例中,认证服务器为RADIUS服务器。RADIUS由RFC2865,RFC2866定义,是应用广泛的AAA协议。AAA(Authentication、Authorization、Accounting)是一种认证管理框架。在实践中,通常使用RADIUS来实现AAA。
RADIUS是一种C/S结构的协议,它典型的客户端就是NAS(Net Access Server,网络附属存储服务器)服务器。RADIUS是一种可扩展的协议,它进行的全部工作都是基于报文中的Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性,RADIUS服务器通过RADIUS报文的交互完成认证计费授权等工作。
因此,在上述网络系统中,假设专用接入设备为NAS服务器,认证服务器为RADIUS服务器。则,网络安全设备先通过某些方法获取RADIUS报文并进行解析,从而在安全设备上生成认证用户,可以由连接NAS服务器与RADIUS服务器的交换机将RADIUS报文镜像至网络安全设备,也可以由RADIUS服务器直接拷贝一份发送给网络安全设备。
认证报文中的认证信息具有较多属性,网络安全设备解析认证报文并生成认证用户时常常需要进行角色映射。虽然RADIUS报文本身可以指定用户分组,但是RADIUS服务器作为公共AAA服务器时,不同网段、不同系统、不同NAS接入、不同部门的用户很难做到统一分组,或者分组工作需要大量人工成本。
因此,对于网络安全设备来说,需要先对认证报文进行解析,然后根据解析的内容确定认证报文对应的角色分组,以实现认证信息的生成。
在一些实施例中,角色分组通过角色映射标签实现,即,具有相同的角色映射标签的用户默认在一个用户分组中。
进一步地,结合上述应用场景的介绍可以看出,本申请实施例提供的技术方案的硬件运行环境可以是网络系统中的网络安全设备,例如:防火墙。网络安全设备基于获取到的认证报文所确定出的用户的角色映射标签,可视为用户的认证信息(也即认证用户),该认证信息可用于后续对用户的访问行为进行处理,例如:权限控制和审计等。
基于上述应用场景的介绍,接下来请参照图2,为本申请实施例提供的认证信息的生成方法的流程图,该认证方法包括:
步骤210:获取认证报文。
步骤220:确定认证报文的报文模式。报文模式用于表征多种字段在报文中的偏移量。
步骤230:根据认证报文的报文模式确定认证报文中的待匹配内容。
步骤240:将待匹配内容与对应的预设匹配条件进行匹配,确定各个匹配条件的匹配结果。
步骤250:预设的匹配条件组合规则和所述各个匹配条件的匹配结果确定用户的角色映射标签。角色映射标签用于对用户的访问行为进行控制。
在本申请实施例中,在报文结构的基础上,考虑到认证报文中的认证信息通常在特定的位置,先确定认证报文的报文模式,通过报文模式,能够快速定位出待匹配内容,实现认证报文的快速解析。然后将待匹配内容与预设匹配条件进行匹配,确定匹配条件的匹配结果,最终根据多个匹配条件的组合规则确定用户的角色映射标签,实现认证用户角色映射信息的生成。通过这种方式,降低了报文解析的难度,实现更快速的报文解析,进而提高认证用户角色映射信息的生成效率。
接下来对该方法的详细实施方式进行介绍。
结合前述应用场景的介绍,步骤210中的认证报文可以是认证服务器发送给网络安全设备的报文,也可以是连接专用接入设备与认证服务器的交换机发送给网络安全设备的报文。
在一些实施例中,认证报文可以是RADIUS报文。在后续实施例中,各个步骤的实施方式主要以RADIUS报文进行介绍,其他类型的认证报文的实施方式可参照该RADIUS报文的实施方式,不构成对本申请实施例的限制。
在一些实施例中,在认证报文中包含用户的信息(用于生成认证信息),通常仅包括一个用户的信息,即一个认证报文仅对应一个用户,但是,一个用户可以对应多个认证报文,例如:一个用户的不同信息在不同的认证报文中。在步骤210中,所获取的认证报文的数量可以是多个,多个认证报文按照相同的处理方式进行处理即可。
在步骤220中,确定认证报文的报文模式,该报文模式用于表征多种字段在报文中的偏移量。
作为一种可选的实施方式,步骤220包括:根据认证报文中的第一字段,从一个或者多个报文模式组中确定目标报文模式组;每个报文模式组中包括一个或者多个报文模式,每一报文模式对应的报文中的第一字段的偏移量相同,目标报文模式组中的各个报文模式对应的报文中的第一字段的偏移量与第一字段在认证报文中的偏移量相同;判断认证报文中第二字段的偏移量是否与目标报文模式组中的各个报文模式对应的报文中的第二字段的偏移量一致;若是,将认证报文划分到认证报文对应的报文模式组中;若否,基于认证报文创建新的报文模式组。
具体的,预先定义报文内第一字段偏移量相同的报文属于同一模式组,匹配时,根据第一字段判断所述报文对应的模式组。定义报文内各个字段偏移量相同的报文属于同一模式,每个报文模式组拥有多个报文模式。匹配时,在确定目标报文模式组后,根据报文其它字段的偏移量,确定报文所属的组内模式。
在这种实施方式中,考虑到报文结构的规律性,对于同一类型的认证报文来说,通常只有一种或几种报文结构,因此,可以利用报文中包括的字段所对应的偏移量对报文的模式进行划分,得到报文模式组。
认证报文中的第一字段,可以理解为用于判断报文的报文模式是否相同的字段,即,若不同的报文属于同一报文模式,则该第一字段在不同的报文中的偏移量应当相同。
认证报文中的第二字段,可以理解为对组内报文进行精确分类的依据,在每个报文模式组中包括多个报文模式,报文内各个字段偏移量相同的报文属于同一模式报文。
因此,在每个报文模式组中包括一个或者多个报文模式,一个报文模式对应一个报文或者多个报文。并且,对于同一个报文模式组中的各个报文模式来说,各个报文模式对应的报文中的第一字段的偏移量均相同。
可以理解,多个报文模式组是实时更新的,对于网络安全设备来说,可以预设一个空的报文模式组,在后续不断对各个认证报文进行报文模式的确定过程中,根据每次确定的报文模式不断对报文模式组中涉及的报文模式进行更新,以实现报文模式组的实施更新。
即,网络完全设备不仅具备报文模式的判断功能,还具备报文模式的自学习功能。
那么,在获取到认证报文之后,先将认证报文的第一字段的偏移量与各个报文模式组中的第一字段的偏移量进行比较,若找到与之相同的第一字段的偏移量,则将对应的报文模式组确定为目标报文模式组。若没有找到,则基于认证报文新建一个报文模式组,并记录相关的信息。
在定位到目标报文模式组之后,可以将认证报文中其它字段的偏移量与目标报文模式组中的各个报文模式对应的其它字段偏移量进行比较,进而确定其所属的组内模式。若没有找到,则基于认证报文新建一个组内报文模式,并记录相关的信息。
为了便于理解,可以参见图3,为报文模式的匹配过程的流程图。
进一步地,在报文模式组中,除了包括第一字段的偏移量信息,还包括第二字段的偏移量信息,第二字段可以理解为不同属性的用户认证信息对应的字段。
在定位到目标报文模式组之后,可以将认证报文中第二字段的偏移量与目标报文模式组中的各个报文模式对应的报文中的第二字段的偏移量进行比较,若在目标报文模式组中的各个报文模式对应的报文中,有一个或者多个报文的第二字段的偏移量与认证报文的第二字段的偏移量一致,则可确定认证报文中第二字段的偏移量与目标报文模式组中的各个报文模式对应的报文中的第二字段的偏移量一致。
进而,若前述的判断结果为是,则将认证报文划分到目标报文模式组中;若前述的判断结果为否,则基于认证报文创建信息的报文模式组。
在本申请实施例中,将认证报文分为两种字段,通过第一种字段,可以快速确定与之可能匹配的报文模式组,通过第二种字段,可以快速确定该认证报文是否属于该报文模式组,进而实现报文模式的快速确定。
为了便于理解,接下来以RADIUS报文为例,对RADIUS报文的报文模式的相关实施方式进行介绍。
对于RADIUS报文来说,报文结构包括:Code域、Identifier域、Length域、Authenticator和Attributes域。
Code域用于标明RADIUS报文的类型,Identifier域用于匹配请求的回应,Length域用于指明报文的有效长度,Authenticator用于Radius Client和Server之间消息认证的有效性,以上域长度都是固定的。而关于认证用户的多数信息都分布于长度可变的Attributes域中。Attributes域可以看做由许多属性信息前后顺序排布组成的链,每个属性都由Type、Length、Value三个子域组成。这些属性可以为User-Name、User-Password、NAS-IP-Address、Framed-IP-Address等等,即用户名、用户密码、NAS的ip地址、用户的ip地址等等。
考虑到RADIUS服务器在同一应用场景中,报文结构规律性较强,对于同一类型(基于code域区分类型)的radius报文,通常只有一种或几种报文结构,本申请实施例将报文相同字段拥有相同偏移量的情况记作“报文结构相同”或“报文拥有同一模式”。从radius报文中提取认证用户时,通常我们只关注Code域为Accounting-Request的报文。
因此,最终所定义的报文模式(报文模式记录表)可以如表1所示,其中,ATTR1、ATTR2和ATTR3为与不同的匹配条件分别对应的多种字段,即第一字段为RADIUS报文中的Acct-Status-Type部分对应的字段,第二字段包括:与不同的匹配条件分别对应的多种字段,第二字段属于Attributes部分。
表1
上述表格中,报文模式的组数和组内模式数量可以不用太多,匹配过程中,记录组命中数和组内的各个模式的命中数,若二者太多,则清除命中数较少的条目。之所以将Acct-Status-Type将这一Attribute的偏移量作为分组标准,其原因有:①任何一个报文,该字段都是必须读取的,该字段揭示报文是用户上线还是下线,对应用户SSO的两种不同处理。②通常对于同一radius服务器,Acct-Status-Type字段相同的报文,报文结构通常相同,即使有不同,也是拥有有限个不同结构,因此可以将其作为模式分组依据。
在本申请实施例中,基于RADIUS报文的报文结构,Attributes部分为认证信息存储的部分,而在该部分中的不同位置处,存储多种字段,这多种字段可能对应不同的匹配条件,因此,基于这种报文解析的方式,可实现RADIUS报文的快速解析。
可以理解,参照上述报文模式组的介绍,若要基于认证报文新建报文模式组,则按照报文模式组的记录方式进行新建即可。
此外,为了进一步提高匹配速度,程序在固定网络环境工作一段时间后,手动关闭模式学习功能,即不再创建新的模式分组和组内模式。所有无法匹配模式的报文可以依次核对各个字段作映射(应当认为在稳定环境中该情况是较少见的)。
进一步地,在步骤230中,根据认证报文的报文模式确定认证报文中的待匹配内容。
可以理解,认证报文中的待匹配内容为上述的第二字段,因此,在步骤230中,根据目标报文模式组中的各个报文模式对应的报文中的第二字段的偏移量确定认证报文中的待匹配内容。
即,根据报文模式记录中的与不同的匹配条件分别对应的字段的偏移量,快速定位到与不同的匹配条件分别对应的字段,将这些字段确定为待匹配内容。
在本申请实施例中,在确定认证报文的报文模式之后,通过第二种字段,可快速定位到待匹配内容。
在步骤240中,将待匹配内容与对应的预设匹配条件进行匹配,确定匹配条件的匹配结果。
作为一种可选的实施方式,待匹配内容包括字符串类型和/或数值类型。即,在本申请实施例中,将待匹配内容分为字符串类型和数值类型。
在一些实施例中,字符串类型对应的匹配条件包括:第一类匹配条件、第二类匹配条件、第三类匹配条件和第四类匹配条件。数值类型对应的匹配条件包括:数值范围;其中,第一类匹配条件为:以特定字符串开头,第二类匹配条件为以特定字符串结尾,第三类匹配条件为包含特定字符串,第四类匹配条件为与特定字符串相同。
数值范围例如:可以是IP地址范围、IP地址网段、可以是0-1布尔数值、也可以是时间戳等等,所有数值型的匹配条件可以统一为范围集合。例如要求NAS-Port必须为6666,则对应的匹配条件可以为NAS-Port范围在6666到6666之间。
在本申请实施例中,将认证报文的内容分为字符串类型和数值类型两大类,便于后续基于匹配条件实现更高效的匹配。
对于预设匹配条件来说,还需要预先配置好匹配条件组合规则(可以理解为匹配条件匹配结果与角色映射标签之间的对应关系),这样,当确定出匹配条件的匹配结果之后,才可以确定用户的角色映射标签。
以RADIUS报文为例,在一些实施例中,实际映射时,以对Attributes域各个属性的限定作为映射条件,既可以基于公共属性,也可以基于部分组织定义的私有属性。例如将特定形式的用户名、特定ip范围、特定NAS接入的认证用户映射为特定角色或组别。详细举例如,规定用户名包含HR和Manager的用户映射为人力部管理,IP范围为192.168.7.0/24的用户映射为内网用户。
以上属性信息对应的Type有5种类型:text、string、address、integer、time,为了简化匹配算法,这里将五种类型归并为两类,第一类是字符串型(text和string、),使用字符串匹配算法进行匹配,第二类是数值型(address、integer和time),按照数值范围进行匹配。
这里以用户名User-Name作为字符串型属性的代表,以用户IP地址Framed-IP-Address作为数值型属性的代表,阐述映射规则的配置。
用户指定各个映射条件之间的关系,创建特定角色映射的总规则,然后开启匹配功能。例如有三个匹配条件①用户名以_HR结尾;②用户名又必须包含_formal_;③IP网段为192.168.41.0/24的用户。
其中满足①②③三个条件的用户映射为人力部门正式员工(内网),满足①②但不满足③的用户映射为人力部门正式员工(外部访问)。
则可以配置三个匹配规则:
rule1:User-Name end-with“_HR”
rule2:User-Name include“_formal_”
rule3:Framed-IP-Address 192.168.41.0/24
对应映射关系:(rule1&&rule2)||rule3=>人力部门正式员工(内网);(rule1&&rule2)||(!rule3)=>人力部门正式员工(外部访问)。
在一些实施例中,配置的映射规则还可以进行优化。
作为一种可选的实施方式,若匹配条件矛盾,则配置的映射规则无效。例如:User-Name既不能以@123结尾,又要包含@12,则配置失败,予以报错。再例如Framed-IP-Address范围必须在1.1.1.1到1.1.1.9之间,同时又不能属于网段1.1.1.0/24,则配置失败,予以报错。
作为另一种可选的实施方式,若匹配条件重复,则对映射规则进行精简。例如User-Name以@123结尾,又要包含@12,则只需保留第一项规则。例如Framed-IP-Address范围必须在1.1.1.1到1.1.1.9之间,同时又必须属于网段1.1.1.0/24,则只需保留第一项规则。
通过上述映射规则的配置的介绍可以看出,在预设匹配条件时,需要一并配置匹配条件对应的映射规则,进而,当各个匹配条件对应的匹配结果确定之后,便可以根据匹配结果和对应的映射规则确定出用户对应的角色映射标签。
结合上述预设匹配条件的介绍,针对字符串类型的待匹配内容和数值类型的待匹配内容,可采用不同的匹配算法。
针对字符串类型的待匹配内容,步骤240可以包括:将第一类匹配条件和第四类匹配条件与待匹配内容进行并行匹配,确定待匹配内容是否与第一类匹配条件以及第四类匹配条件匹配;将第二类匹配条件与待匹配内容进行匹配,确定待匹配内容是否与第二类匹配条件匹配。
在这种实施方式中,针对字符串类型的待匹配内容,在进行匹配时,可以将多个匹配条件进行并行匹配,以提高匹配效率。
作为另一种实施方式,也可以先将第二类匹配条件和第四类匹配条件与待匹配内容进行匹配,然后再将第一类匹配条件与待匹配内容进行匹配,在此不作限定。
针对字符串类型的待匹配内容,步骤240还可以包括:基于Sunday算法,将待匹配内容与第三类匹配条件进行匹配,确定待匹配内容是否与第三类匹配条件匹配;其中,第三类匹配条件包括多个子匹配条件,在将待匹配内容中的字符与各个子匹配条件进行匹配时,各个子匹配条件与待匹配内容分别进行并行匹配;不同的子匹配条件对应不同的移动键值对表,移动键值对表用于确定待匹配内容与子匹配条件每次匹配结束后,下次匹配的起始位置。
在本申请实施例中,利用Sunday算法实现包含特定字符的匹配条件的匹配,在Sunday算法的基础上,将子匹配条件进行并行匹配,在保证匹配结果的准确性的基础上,提高匹配效率。
作为一种可选的实施方式,在每次将各个子匹配条件与所述待匹配内容分别进行并行匹配后,下次匹配时所述待匹配内容中的匹配位置相较于本次匹配的初始位置的移动距离表示为:其中,jump[k]为移动距离,mapk代表子匹配条件k对应的移动键值对表,该移动键值对表中包含不同的字符对应的移动位数,len(k)代表子匹配条件k的字符长度,s代表本次匹配的初始位置,len(S)为待匹配内容的字符长度。
在本申请实施例中,通过与各个子匹配条件对应的移动键值对表,实现待匹配内容中与子匹配条件进行匹配的字符相较于本次匹配的初始位置的移动距离的确定,进而实现待匹配内容与子匹配条件的更高效的匹配。
为了便于理解上述实施方式,接下来对上述的匹配过程作更详细的介绍。
上述的四种匹配条件分别对应四种匹配:字符串前缀匹配、字符串后缀匹配、字符串包含匹配、字符串全匹配。
对于匹配条件与待匹配内容之间的匹配,本质上也属于字符串与字符串之间的匹配,为了实现并行匹配,假设将待匹配内容定义为主串,匹配条件定义为模式串,那么,每次与主串进行匹配的模式串可能是多种匹配条件,以及多种匹配条件下的多个子匹配条件。
对于字符串模式匹配,本申请实施例在sunday算法基础上基于配置的条件进行适配改进。考虑到匹配条件可能存在多个模式串,例如要求User-Name既包含abc,又包含efg。为此,本申请实施例设计一种支持并行匹配的字符串算法,同时将前缀匹配、后缀匹配、全匹配并入算法之中。
Sunday算法的特点为:从前往后匹配,在匹配失败时关注的是主串中参加匹配的最末位字符的下一位字符。
如果该字符没有在模式串中出现则直接跳过,则移动位数=模式串长度+1。否则,移动位数为模式串长度-该字符最右出现的位置(数组下标始于0),即移动位数为模式串中该字符最右出现的位置到尾部的距离+1,其平均时间复杂度O(n),n为主串的长度。
为此定义sunday算法的移动键值对表(map表),该map表的键由模式串的所有字符组成,如字符串hello,则该map表由四个键组成h、e、l、o。每个键对应的值表示:主串中参加匹配的最末位字符的下一位字符为h、e、l、o时,模式串向后移动的位数。map表的计算举例如下:
map[h]=5map[e]=4
map[l]=2map[o]=1
为了简化说明,假定针对User-Name有10个匹配条件:1、2、3匹配条件限定User-Name必须包含某个字符串,4、5、6匹配条件限定User-Name的前缀,7、8、9匹配条件限定后缀,10匹配条件直接限定User-Name等于某个字符串(一般映射规则可能不会如此复杂)。这10个匹配条件形成数组filter[10],对应条件匹配则filter对应位为1,否则为0。函数f(filter)为总映射规则表达式,即针对数组filter的各位进行与或非运算决定用户映射到何种角色,即步骤250中需要执行的处理。
可以理解,步骤240和步骤250在实际的应用过程中,通常是并行处理的,即,当在执行步骤240的过程中,当产生相应的结果之后,便会对应的执行步骤250,因此,在后续的实施方式中,还涉及到部分步骤250的实施方式。
在介绍本申请实施例提供的匹配算法之前,以下四点需要说明:
(1)p1,p2,p3...p10为10个匹配条件对应的模式字符串,使用k代表1,2...10等数字。T为主串。
(2)map1、map2、map3分别是1、2、3匹配条件对应的sunday算法移动map表。
(3)len()为求字符串长度的函数。
(4)数组下标自0开始。
则,匹配算法的过程包括:
第一步:对p4、p5、p6进行前缀匹配,对p10进行全匹配,如图4所示。
将字符串全匹配并入前缀匹配,主指针在主串上行走,每个模式串上有一个子串指针,依次比较即可。例如T[i],p4[i](i为某一位置)不匹配,则能填充filter[4]=0,即p4匹配不上。
全匹配和前缀匹配的区别在于,模式串指针走到头后,若发现主串仍有字符,则可以认为全匹配未匹配上,填充filter[10]=0。
第二步:对p7、p8、p9进行后缀匹配,后缀匹配与前缀匹配类似,只不过指针前进方向是从后往前,这里不再赘述。
第三步:对p1、p2、p3进行包含匹配。计算1、2、3匹配条件对应的sunday算法移动map表,map1、map2、map3。以计算p1的map表map1为例,其计算方式为:对于p1的每一个字符c,计算map1[c]=len(p1)-location(c)。其中,location(c)表示c在p1中最后一次出现的位置。
下面定义三个集合(set):
jump={}jump是键值对集合,针对每个模式串记录主串下次需要移动的位数,对于每个模式串都作记录,初始时空的。其形式形如:
jump[1]=3,jump[2]=1,表示模式串1(即p1)对应的jump值是3,模式串2对应的jump值是1。
remain={1,2,3},remain是剩余需要匹配的模式串集合,初始就是1、2、3三个模式串。
target={1,2,3},target是每次移动需要匹配的模式串集合,初始就是1、2、3三个模式串。
具体的算法流程可以如图5所示,其中,指针可以理解为串位置的标识,本质代表不同的串位置;target代表匹配条件,模式串代表匹配条件下的各个子匹配条件;remain代表每次匹配之后,还未匹配成功的模式串集合。
在图5中,针对第3步,代表的含义为:如果说模式串与主串匹配成功,则主串和模式串都继续往前匹配,如果没匹配上,则回到模式串首,在主串移动的过程中,继续进行匹配,直至模式串的字符匹配到串尾。
以及在第6步之前,主串的当前匹配位置应当回退到本次匹配的初始位置,即上一次的第8步所匹配的字符串位置。
此外,对于第6步中的移动距离的计算,可以理解为:比较主串当前的位置加上模式串长度之和的值是否超过主串的整体长度,若超过,则移动距离为模式串的长度+1,若没有超过,则利用map表进行移动距离的计算。
以及,在每次匹配之后,都需要为数组filter赋值,该赋值可以表征各个匹配条件是否与待匹配内容匹配上,进而,可以利用匹配条件与角色映射标签之间的映射规则确定用户的角色映射标签。
针对数值类型的匹配算法,举例说明如下:
(1)针对RADIUS报文的Framed-IP-Address配置三个匹配条件:①IP必须位于1.1.1.0/24网段。②若不满足①,IP为2.2.2.2也接受。③在满足①的情况下,IP范围必须介于1.1.1.2到1.2.2.2之间。假定满足以上三个条件的用户将被映射为办公区用户。
(2)以上条件将IP地址范围区间划分为:[1.1.1.2,1.1.1.255]U[2.2.2.2,2.2.2.2],转化为整型数字表示为:[16843010,16843263]U[33686018,33686018]。
(3)位于上述区间的IP地址符合要求,将被映射为办公区用户。
上述过程中实际上是对三个匹配条件进行精简,转变为两个范围条件。
实际上,所有属性的限定条件匹配情况都可以使用一个总数组filter来表示,函数f(filter)对filter各位进行与或非操作,输出该用户所有的角色映射标签。可以理解,一个用户可以有多个角色,一个角色映射可以涉及多个属性的限定条件。
通过上述实施方式的介绍可以看出,本申请实施例中根据RADIUS报文的Attributes域进行匹配,支持根据复杂匹配规则映射到特定角色,一个用户可以有多个角色,一个角色映射可以涉及多个属性的限定条件,使用更加灵活。根据RADIUS报文应用场景特点,定义报文模式,基于固定偏移快速匹配报文内容,效率高,能够灵活识别报文结构。根据应用场景当中的复杂条件作匹配算法优化,字符串匹配采用改进的SUNDAY算法,匹配复杂度较小,无论匹配条件多少,字符串匹配的平均复杂度为O(n),n为主串长度。将数值型匹配条件转化为分段区间,复杂度较小,匹配平均复杂度为O(m),m为分段区间数量。
一方面,根据RADIUS报文应用场景特点,定义报文模式,以方便基于固定偏移快速匹配报文内容。将Acct-Status-Type将这一Attribute的偏移量作为分组标准对报文模式进行分组,使用命中计数进行模式学习,除了能够提升匹配和角色映射效率以外,还可以有效应对模型漂移。即,通过开启模式学习,能够弃用当前难以命中的以前的报文模式。
另一方面,将RADIUS报文的Attributes从五种精减为数值型和字符串型,对于数值型匹配条件,将数值型匹配条件转化为分段区间,易于统一处理。对于字符串型匹配条件,使用改进的SUNDAY字符串匹配算法,对于所有匹配条件并行判断,时间复杂度较小,使之更符合应用场景。实际应用场景中,匹配条件和角色映射规则可能有多种,设备处理速度要求高。
实施例2
基于同一发明构思,请参照图6,本申请实施例中还提供一种认证用户角色映射信息的生成装置600,包括:获取模块610和处理模块620。
其中,处理模块620包括:报文模式确定单元、待匹配内容确定单元、匹配结果确定单元以及角色映射标签确定单元。
获取模块610用于:获取认证报文。报文模式确定单元用于确定所述认证报文的报文模式;所述报文模式用于表征多种字段在报文中的偏移量;待匹配内容确定单元用于根据所述认证报文的报文模式确定所述认证报文中的待匹配内容;匹配结果确定单元用于将所述待匹配内容与对应的预设匹配条件进行匹配,确定各个匹配条件的匹配结果;角色映射标签确定单元用于根据预设的匹配条件组合规则和所述各个匹配条件的匹配结果确定用户的角色映射标签,所述角色映射标签用于对用户的访问行为进行处理。
在本申请实施例中,报文模式确定单元具体用于:根据所述认证报文中的第一字段,从一个或者多个报文模式组中确定目标报文模式组;每个报文模式组中包括一个或者多个报文模式,每一报文模式对应的报文中的第一字段的偏移量相同,所述目标报文模式组中的各个报文模式对应的报文中的第一字段的偏移量与所述第一字段在所述认证报文中的偏移量相同;判断所述认证报文中第二字段的偏移量是否与所述目标报文模式组中的各个报文模式对应的报文中的所述第二字段的偏移量一致;若是,将所述认证报文划分到目标报文模式组中;若否,基于所述认证报文创建新的报文模式组。
在本申请实施例中,待匹配内容确定单元具体用于:根据所述目标报文模式组中的各个报文模式对应的报文中的第二字段的偏移量确定所述认证报文中的待匹配内容。
在本申请实施例中,匹配结果确定单元具体用于:将所述第一类匹配条件和所述第四类匹配条件与所述待匹配内容进行并行匹配,确定所述待匹配内容是否与所述第一类匹配条件以及所述第四类匹配条件匹配;将所述第二类匹配条件与所述待匹配内容进行匹配,确定所述待匹配内容是否与所述第二类匹配条件匹配。
在本申请实施例中,匹配结果确定单元具体用于:基于Sunday算法,将所述待匹配内容与所述第三类匹配条件进行匹配,确定所述第三类匹配条件的匹配结果;其中,所述第三类匹配条件包括多个子匹配条件,在将所述待匹配内容中的字符与各个子匹配条件进行匹配时,各个子匹配条件与所述待匹配内容分别进行并行匹配;不同的子匹配条件对应不同的移动键值对表,所述移动键值对表用于确定所述待匹配内容与子匹配条件每次匹配结束后,下次匹配的起始位置。
认证用户角色映射信息的生成装置600与前述的认证用户角色映射信息的生成方法对应,因此,各个功能模块的实施方式参照前述实施例1中的认证用户角色映射信息的生成方法的实施方式,在此不再重复介绍。
实施例3
请参照图7,本申请实施例提供一种网络安全设备700,该网络安全设备700可作为前述实施例1所述的认证用户角色映射信息的生成方法的执行主体。
网络安全设备700包括:处理器710和存储器720;处理器710和存储器720通信连接;其中,存储器720存储有可被处理器710执行的指令,指令被处理器710执行,以使处理器710能够执行前述实施例中的认证用户角色映射信息的生成方法。
处理器710和存储器720可以通过通信总线连接。
可以理解,网络安全设备700还可以包括更多自身所需的通用模块,在本申请实施例不作一一介绍。
本申请实施例还提供一种计算机可读介质,计算机可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时,执行前述实施例中所述的认证用户角色映射信息的生成方法。
本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种认证用户角色映射信息的生成方法,其特征在于,包括:
获取认证报文;
确定所述认证报文的报文模式;所述报文模式用于表征多种字段在报文中的偏移量;
根据所述认证报文的报文模式确定所述认证报文中的待匹配内容;
将所述待匹配内容与对应的预设匹配条件进行匹配,确定各个匹配条件的匹配结果;
根据预设的匹配条件组合规则和所述各个匹配条件的匹配结果确定用户的角色映射标签,所述角色映射标签用于对用户的访问行为进行控制。
2.根据权利要求1所述的认证用户角色映射信息的生成方法,其特征在于,所述确定所述认证报文的报文模式,具体包括:
根据所述认证报文中的第一字段,从一个或者多个报文模式组中确定目标报文模式组;
每个报文模式组中包括一个或者多个报文模式,每一所述报文模式对应的报文中的第一字段的偏移量相同,所述目标报文模式组中的各个报文模式对应的报文中的第一字段的偏移量与所述第一字段在所述认证报文中的偏移量相同;
判断所述认证报文中第二字段的偏移量是否与所述目标报文模式组中的各个报文模式对应的报文中的所述第二字段的偏移量一致;
若是,将所述认证报文划分到所述目标报文模式组中;
若否,基于所述认证报文创建新的报文模式组。
3.根据权利要求1或2任一所述的认证用户角色映射信息的生成方法,其特征在于,所述根据所述认证报文的报文模式确定所述认证报文中的待匹配内容,包括:
根据目标报文模式组中的各个报文模式对应的报文中的第二字段的偏移量确定所述认证报文中的待匹配内容。
4.根据权利要求1-3任一所述的认证用户角色映射信息的生成方法,其特征在于,所述认证报文为RADIUS报文。
5.根据权利要求1-4任一所述的认证用户角色映射信息的生成方法,其特征在于,所述待匹配内容包括字符串类型和/或数值类型,所述字符串类型对应的匹配条件包括:第一类匹配条件、第二类匹配条件、第三类匹配条件和第四类匹配条件;所述数值类型对应的匹配条件包括:数值范围;
其中,所述第一类匹配条件为:以特定字符串开头,所述第二类匹配条件为以特定字符串结尾,所述第三类匹配条件为包含特定字符串,所述第四类匹配条件为与特定字符串相同。
6.根据权利要求5所述的认证用户角色映射信息的生成方法,其特征在于,针对字符串类型的待匹配内容,所述将所述待匹配内容与对应的预设匹配条件进行匹配,确定各个匹配条件的匹配结果,包括:
将所述第一类匹配条件和所述第四类匹配条件与所述待匹配内容进行并行匹配,确定所述第一类匹配条件和所述第四类匹配条件的匹配结果;
将所述第二类匹配条件与所述待匹配内容进行匹配,确定所述第二类匹配条件的匹配结果;
其中,各类匹配条件在进行匹配时,多个匹配条件并行匹配。
7.根据权利要求5或6任一所述的认证用户角色映射信息的生成方法,其特征在于,针对字符串类型的待匹配内容,所述将所述待匹配内容与对应的预设匹配条件进行匹配,确定各个匹配条件的匹配结果,包括:
基于Sunday算法,将所述待匹配内容与所述第三类匹配条件进行匹配,确定所述第三类匹配条件的匹配结果;其中,所述第三类匹配条件包括多个子匹配条件,在将所述待匹配内容中的字符与各个子匹配条件进行匹配时,各个子匹配条件与所述待匹配内容分别进行并行匹配;不同的子匹配条件对应不同的移动键值对表,所述移动键值对表用于确定所述待匹配内容与子匹配条件每次匹配结束后,下次匹配的起始位置。
9.一种认证用户角色映射信息的生成装置,其特征在于,包括:
获取模块,用于获取认证报文;
处理模块,包括:
报文模式确定单元,用于确定所述认证报文的报文模式;所述报文模式用于表征多种字段在报文中的偏移量;
待匹配内容确定单元,用于根据所述认证报文的报文模式确定所述认证报文中的待匹配内容;
匹配结果确定单元,用于将所述待匹配内容与对应的预设匹配条件进行匹配,确定各个匹配条件的匹配结果;
角色映射标签确定单元,用于根据预设的匹配条件组合规则和所述各个匹配条件的匹配结果确定用户的角色映射标签;所述角色映射标签用于对用户的访问权限进行控制。
10.一种网络安全设备,其特征在于,包括:
处理器;以及与所述处理器通信连接的存储器;
所述存储器中存储有计算机指令,所述计算机指令被计算机运行时,执行如权利要求1-8任一项所述的认证用户角色映射信息的生成方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210388204.1A CN115065496B (zh) | 2022-04-13 | 2022-04-13 | 网络安全设备上的认证用户角色映射信息生成方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210388204.1A CN115065496B (zh) | 2022-04-13 | 2022-04-13 | 网络安全设备上的认证用户角色映射信息生成方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115065496A true CN115065496A (zh) | 2022-09-16 |
CN115065496B CN115065496B (zh) | 2024-05-07 |
Family
ID=83196593
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210388204.1A Active CN115065496B (zh) | 2022-04-13 | 2022-04-13 | 网络安全设备上的认证用户角色映射信息生成方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115065496B (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160006746A1 (en) * | 2014-07-03 | 2016-01-07 | Alcatel-Lucent Canada, Inc. | Priority based radius authentication |
CN105704035A (zh) * | 2014-11-25 | 2016-06-22 | 中兴通讯股份有限公司 | 报文匹配处理方法及装置 |
CN107070906A (zh) * | 2017-03-31 | 2017-08-18 | 中国人民解放军信息工程大学 | 一种支持网络演进的报文解析装置及方法 |
CN107124310A (zh) * | 2017-05-05 | 2017-09-01 | 杭州迪普科技股份有限公司 | 一种权限的配置方法及装置 |
JP2019004398A (ja) * | 2017-06-19 | 2019-01-10 | 日本電信電話株式会社 | パケット識別装置およびパケット識別方法 |
CN109977276A (zh) * | 2019-03-22 | 2019-07-05 | 华南理工大学 | 一种基于Sunday算法改进的单模式匹配方法 |
CN111935081A (zh) * | 2020-06-24 | 2020-11-13 | 武汉绿色网络信息服务有限责任公司 | 一种数据包脱敏方法和装置 |
CN112468370A (zh) * | 2020-11-30 | 2021-03-09 | 北京锐驰信安技术有限公司 | 一种支持自定义规则的高速网络报文监测分析方法及系统 |
CN113765857A (zh) * | 2020-06-04 | 2021-12-07 | 华为技术有限公司 | 报文转发方法、装置、设备及存储介质 |
-
2022
- 2022-04-13 CN CN202210388204.1A patent/CN115065496B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160006746A1 (en) * | 2014-07-03 | 2016-01-07 | Alcatel-Lucent Canada, Inc. | Priority based radius authentication |
CN105704035A (zh) * | 2014-11-25 | 2016-06-22 | 中兴通讯股份有限公司 | 报文匹配处理方法及装置 |
CN107070906A (zh) * | 2017-03-31 | 2017-08-18 | 中国人民解放军信息工程大学 | 一种支持网络演进的报文解析装置及方法 |
CN107124310A (zh) * | 2017-05-05 | 2017-09-01 | 杭州迪普科技股份有限公司 | 一种权限的配置方法及装置 |
JP2019004398A (ja) * | 2017-06-19 | 2019-01-10 | 日本電信電話株式会社 | パケット識別装置およびパケット識別方法 |
CN109977276A (zh) * | 2019-03-22 | 2019-07-05 | 华南理工大学 | 一种基于Sunday算法改进的单模式匹配方法 |
CN113765857A (zh) * | 2020-06-04 | 2021-12-07 | 华为技术有限公司 | 报文转发方法、装置、设备及存储介质 |
CN111935081A (zh) * | 2020-06-24 | 2020-11-13 | 武汉绿色网络信息服务有限责任公司 | 一种数据包脱敏方法和装置 |
CN112468370A (zh) * | 2020-11-30 | 2021-03-09 | 北京锐驰信安技术有限公司 | 一种支持自定义规则的高速网络报文监测分析方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN115065496B (zh) | 2024-05-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10229104B2 (en) | Efficient DFA generation for non-matching characters and character classes in regular expressions | |
Borders et al. | Chimera: A declarative language for streaming network traffic analysis | |
US8539247B2 (en) | Password checking | |
WO2017188534A1 (ko) | 비정형 데이터의 정규화를 수행하도록 지원하는 방법 및 이를 이용한 컴퓨팅 장치 | |
CN106990956B (zh) | 基于后缀树的代码文件克隆检测方法 | |
WO2022062025A1 (zh) | 一种面向全联网的标识解析方法及装置 | |
US11240228B2 (en) | Data security utilizing historical password data | |
WO2020259375A1 (zh) | 服务发现的方法及网络设备 | |
Dai et al. | Identifying and estimating persistent items in data streams | |
CN106899563A (zh) | 鉴权方法及装置、鉴权码生成方法及装置、鉴权系统 | |
CN113886841A (zh) | 一种面向云数据操作行为的可信溯源方法 | |
CN109933331A (zh) | 一种客户端服务器间数据转换方法及相关组件 | |
CN113141369B (zh) | 基于人工智能的防火墙策略管理方法及相关设备 | |
CN112667636B (zh) | 索引建立方法、装置及存储介质 | |
CN114301670A (zh) | 基于ipv6地址的终端认证方法、装置、设备及介质 | |
CN115065496B (zh) | 网络安全设备上的认证用户角色映射信息生成方法及装置 | |
CN108683729A (zh) | 一种面向可信云的环境监测数据安全存储系统及方法 | |
CN109885555B (zh) | 一种用户信息管理方法及装置 | |
US11750392B1 (en) | Authenticated index data structure with back-pointers | |
CN109413042A (zh) | 基于集中管理平台管理黑名单规则的方法及系统 | |
US10235450B2 (en) | Semantic layer for processing machine data | |
US11327969B2 (en) | Term vector modeling of database workloads | |
CN110677494B (zh) | 访问响应方法和装置 | |
WO2022085014A1 (en) | Application fault analysis using machine learning | |
CN110727538A (zh) | 一种基于模型命中概率分布的故障定位系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |