CN115987668B - 访问控制方法、系统、电子设备及存储介质 - Google Patents
访问控制方法、系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115987668B CN115987668B CN202211715816.3A CN202211715816A CN115987668B CN 115987668 B CN115987668 B CN 115987668B CN 202211715816 A CN202211715816 A CN 202211715816A CN 115987668 B CN115987668 B CN 115987668B
- Authority
- CN
- China
- Prior art keywords
- client
- server
- access
- information
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 238000012795 verification Methods 0.000 claims abstract description 22
- 238000007726 management method Methods 0.000 description 45
- 230000004044 response Effects 0.000 description 8
- 238000013500 data storage Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种访问控制方法、系统、电子设备及存储介质。该方法包括:获取客户端的第一请求,第一请求用于请求第一服务端允许客户端访问第二服务端;基于客户端信息和服务端信息,验证客户端对第二服务端的访问权限;在访问权限验证通过的情况下,向第二服务端发送包含第一IP地址的第二请求,第二请求用于请求第二服务端将第一IP地址添加至其白名单中,以允许客户端访问第二服务端。如此,在保证系统安全性的基础上,能够显著提高访问权限的管理效率,有益于降低管理成本。
Description
技术领域
本申请涉及访问权限管理技术领域,特别涉及一种访问控制方法、系统、电子设备及存储介质。
背景技术
设置在公用网络中的服务器通常配备防火墙,通过防火墙控制其他设备对自身的访问权限,以提高系统安全性。对于一些安全性要求较高且仅针对特定客户群体的服务器,在客户端访问服务器之前,通常需要网络管理员的参与将客户端的IP地址添加到服务器的防火墙中,使客户端具有对相应服务器的访问权限。例如,在用户购买或注册相应的服务之后,通常需要将包括IP地址在内的网络信息发送给服务商,请求服务商将IP地址添加至白名单中,使得用户能够基于该IP地址访问相应的服务器。但是,当服务器的访问量较大时,这种管理方式存在管理效率较低且管理成本较高的问题。
发明内容
有鉴于现有技术中存在的上述问题,本申请提供了一种访问控制方法、系统、电子设备及计算机可读存储介质,本申请采用的技术方案如下。
本申请第一方面提供了一种访问控制方法,应用于第一服务端,包括:
获取客户端的第一请求,所述第一请求用于请求所述第一服务端允许所述客户端访问第二服务端,所述第一请求至少包括所述客户端的第一IP地址、能够唯一标识所述客户端的客户端信息,以及能够唯一标识所述第二服务端的服务端信息;
基于所述客户端信息和所述服务端信息,验证所述客户端对所述第二服务端的访问权限;
在访问权限验证通过的情况下,向第二服务端发送包含所述第一IP地址的第二请求,所述第二请求用于请求所述第二服务端将所述第一IP地址添加至其白名单中,以允许所述客户端访问所述第二服务端。
在一些实施例中,所述基于所述客户端信息和所述服务端信息,验证所述客户端对所述第二服务端的访问权限,包括:
获取对应关系信息,所述对应关系信息包含所述客户端和所述客户端具有访问权限的第二服务端之间的对应关系;
基于所述客户端信息、所述服务端信息和所述对应关系信息,验证所述客户端对所述第二服务端的访问权限。
在一些实施例中,所述方法还包括:
接收所述第二服务端反馈的用于通知所述第一IP地址添加完成的第一结果信息;
向所述客户端发送第二结果信息,所述第二结果信息用于通知所述客户端所述第一IP地址添加完成,并触发所述客户端向所述第二服务端发送访问请求。
在一些实施例中,所述方法还包括:
获取所述客户端发送的登录请求,所述登录请求包括能够证明所述客户端身份的客户端凭证;
在所述客户端凭证验证通过的情况下,向所述客户端反馈一个或多个第二服务端的服务端信息,以供所述客户端生成所述第一请求。
本申请第二方面提供了一种访问控制方法,应用于客户端,包括:
响应于指示所述客户端访问第二服务端的访问指令,基于所述客户端的第一IP地址、能够唯一标识所述客户端的客户端信息和能够唯一标识所述第二服务端的服务端信息,向第一服务端发送第一请求;
在所述第一服务端基于所述客户端信息和所述服务端信息对所述客户端访问所述第二服务端的访问权限验证通过,且将所述第一IP地址添加至所述第二服务端的白名单的情况下,接收所述第一服务端反馈的用于通知所述第一IP地址添加完成的第二结果信息;
响应于所述第二结果信息,向所述第二服务端发送访问请求。
本申请第三方面提供了一种访问控制方法,应用于第二服务端,包括:
启动所述第二服务端的防火墙;
获取第一服务端的第二IP地址,将所述第二IP地址添加至所述防火墙的白名单中,以使所述防火墙允许所述第一服务端访问所述第二服务端;
接收所述第一服务端发送的第二请求,所述第二请求包含客户端的第一IP地址;
基于所述第二请求,将所述第一IP地址添加至所述防火墙的白名单中,以使所述防火墙允许所述客户端访问所述第二服务端。
在一些实施例中,所述方法还包括:
在将所述第一IP地址添加至所述防火墙的白名单之后,向所述第一服务端反馈第一结果信息;所述第一结果信息用于触发所述第一服务端向所述客户端发送第二结果信息;所述第二结果信息用于通知所述客户端所述第一IP地址添加完成,并触发所述客户端向所述第二服务端发送访问请求。
本申请第四方面提供了一种访问控制系统,包括客户端、第一服务端和第二服务端;
所述客户端配置为:响应于指示所述客户端访问所述第二服务端的访问指令,基于所述客户端的第一IP地址、能够唯一标识所述客户端的客户端信息和能够唯一标识所述第二服务端的服务端信息,向第一服务端发送第一请求;
所述第一服务端配置为:基于所述客户端信息和所述服务端信息,验证所述客户端对所述第二服务端的访问权限;在访问权限验证通过的情况下,向第二服务端发送包含所述第一IP地址的第二请求;
所述第二服务端配置为:基于所述第二请求,将所述第一IP地址添加至防火墙的白名单中,以使所述防火墙允许所述客户端访问所述第二服务端。
本申请第五方面提供了一种电子设备,至少包括存储器和处理器,所述存储器上存储有程序,所述处理器在执行所述存储器上的程序时实现如上所述的方法。
本申请第六方面提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,在执行所述计算机可读存储介质中的所述计算机可执行指令时实现如上所述的方法。
本申请实施例的访问控制方法,通过具有管理权限的第一服务端,基于访问权限验证的方式,自动的将具有访问权限的客户端的第一IP地址添加至第二服务端的白名单,使得所述客户端能够访问所述第二服务端。在保证系统安全性的基础上,能够显著提高访问权限的管理效率,有益于降低管理成本。
附图说明
图1为本申请第一种实施例的访问控制方法的流程图;
图2为本申请第二种实施例的访问控制方法的流程图;
图3为本申请第三种实施例的访问控制方法的流程图;
图4为本申请第四种实施例的访问控制方法的流程图;
图5为本申请第五种实施例的访问控制系统的系统框架图;
图6为本申请实施例的电子设备的结构框图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
本申请第一种实施例提供了一种访问控制方法,应用于第一服务端。图1为本申请第一种实施例的访问控制方法的流程图,参见图1所示,本申请第一种实施例的访问控制方法具体可包括如下步骤。
S110,获取客户端的第一请求,所述第一请求用于请求所述第一服务端允许所述客户端访问第二服务端,所述第一请求至少包括所述客户端的第一IP地址、能够唯一标识所述客户端的客户端信息,以及能够唯一标识所述第二服务端的服务端信息。
可选的,所述第一服务端可为具有管理第二服务端登录权限的服务器。例如,所述第一服务端可为账户管理服务器或访问权限管理服务器。所述第一服务端可通过公用网络与所述第二服务端连接。
可选的,所述第二服务端可为向客户端或其他可能的服务端提供特定服务的服务器。例如,所述第二服务端可为计算、应用或数据存储服务的服务器。所述第二服务端也可为代理服务器,所述第二服务端的一侧可与公用网络连接,所述第二服务端的另一侧可连接有N个网络设备。客户端可通过代理服务器访问网络设备,网络设备也可通过代理服务器向客户端反馈信息。
可选的,在所述客户端需要访问第二服务端时,可向第一服务端发送第一请求,请求第一服务端允许所述客户端访问第二服务端。所述第一请求可包括所述客户端的第一IP地址、所述客户端的客户端信息、以及所述第二服务端的服务端信息。所述客户端信息包括但不限于用户名、用户编号、密钥、数字证书及设备信息等等。所述服务端信息包括但不限于所述第二服务端的域名、IP地址及端口号等等。在第二服务端为代理服务器的情况下,所述服务端信息还可包括能够标识所请求访问的网络设备的设备信息,如所述网络设备的设备标识等等。
S120,基于所述客户端信息和所述服务端信息,验证所述客户端对所述第二服务端的访问权限。
其中,所述访问权限用于表征所述客户端是否具有访问所述第二服务端的权利,或者表征所述客户端是否具有通过所述第二服务端访问网络设备的权利。以下结合几个具体实施例对访问权限的验证方法进行示例性说明,但不应理解为仅限于如下所示的验证方法。在实际应用时,可根据应用场景、服务类型、系统架构等因素,选择采用不同的方式来验证所述客户端的访问权限。
例如,客户端可根据需要定制所需的服务,并按照所定制的服务向服务商付费。第一服务端可基于客户端信息,获取所述客户端的访问权限信息。所述访问权限信息可记录有所述客户端所定制的服务类型。各个所述第二服务端可用于提供不同的服务,第一服务端可基于服务端信息和所述访问权限信息,确定所述客户端是否具有访问第二服务端的权限。
还例如,可按照客户端等级来划分客户端的访问权限。第一服务端可基于客户端信息确定所述客户端的客户端等级,还可基于所述服务端信息确定所述第二服务端的服务端等级。继而,可基于所述客户端等级和所述服务端等级确定所述客户端是否具有访问所述第二服务端的权限。
又例如,在对安全性要求较高的应用场景下,可基于服务端信息确定所述第二服务端对安全属性的要求,可基于客户端信息验证所述客户端的安全属性,继而确定所述客户端是否具有访问所述第二服务端的权限。
S130,在访问权限验证通过的情况下,向第二服务端发送包含所述第一IP地址的第二请求,所述第二请求用于请求所述第二服务端将所述第一IP地址添加至其白名单中,以允许所述客户端访问所述第二服务端。
可选的,在所述第一服务端对所述客户端访问所述第二服务端的访问权限验证通过的情况下,所述第一服务端可基于服务端信息和第一IP地址,向第二服务端发送第二请求,以请求第二服务端将第一IP地址添加至白名单中。
可选的,所述白名单可为所述第二服务端的防火墙的白名单。所述防火墙能够基于所述白名单扫描指向所述第二服务端的访问请求。如果访问请求的源IP地址记录在所述白名单中,则允许所述访问请求通过。如果访问请求的源IP地址未记录在所述白名单中,则过滤掉所述访问请求。将客户端的第一IP地址添加至防火墙的白名单之后,客户端发送的访问请求就能够通过所述防火墙,实现访问所述第二服务端的目的。当然,所述白名单不仅限于防火墙中的白名单,所述白名单可用于记录所述第二服务端提供代理服务的服务对象。
可选的,所述第二请求中可携带有能够证明所述第一服务端的管理权限的权限证明信息。例如,所述第二请求还可携带有第一服务端的身份凭证、数字证书或授权证书等等。可选的,所述第二服务端也可基于例如所述第二请求的源IP地址及源端口号,确定所述第一服务端的管理权限。例如,所述第一服务端在向所述第二服务端发送第二请求之前,可向所述第二服务端发送管理请求,以请求所述第二服务端授予所述第一服务端管理第二服务端的权限。在第二服务端同意向所述第一服务端授予管理权限的情况下,可记录所述第一服务端的第二IP地址和端口号等等。之后,即可基于第二请求的源IP地址及源端口号,确定所述第一服务端的管理权限。
本申请实施例的访问控制方法,在客户端需要访问第二服务端时,可向能够管理第二服务端的访问权限的第一服务端发送第一请求,以请求所述第一服务端允许所述客户端访问第二服务端。所述第一服务端获取到客户端发送的第一请求,基于第一请求中携带的客户端信息和服务端信息,验证客户端是否具有访问第二服务端的访问权限。如果访问权限验证通过,基于客户端的第一IP地址向第二服务端发送第二请求,以请求第二服务端将第一IP地址添加至白名单中,使客户端能够基于第一IP地址访问第二服务端。也即,通过具有管理权限的第一服务端,基于访问权限验证的方式,自动的将具有访问权限的客户端的第一IP地址添加至第二服务端的白名单,使所述客户端能够访问所述第二服务端。在保证系统安全性的基础上,能够显著提高访问权限的管理效率,有益于降低管理成本。
配合图5所示,在实际应用场景下,所述第一服务端可为账号管理服务器。所述第二服务端可为代理服务器,第二服务端的一侧可与公用网络连接,第二服务端的另一侧可连接有N个网络设备。所述网络设备可为用于提供计算、应用或数据存储等服务的服务器。出于安全考虑等因素,可将全部或至少部分网络设备设置在局域网中。服务商还可能在不同地区分别设置服务器集群,因此,系统中可具有多个第二服务端和多组网络设备,多个所述第二服务端及多组网络设备可能分布于不同的地区。对于网络管理员来说,如果每个服务器集群均需要到现场去管理网络设备,工作量将十分繁重,而且管理效率较高低。
应用本申请的访问控制方法,网络管理员可利用持有的特权客户端,向账号管理服务器发送第一请求。账号管理服务器确定该特权客户端具有对网络设备的管理权限,则可将该特权客户端的IP地址动态地添加至相应代理服务器的白名单中。继而,网络管理员就可以利用该特权客户端访问账号管理服务器,继而通过代理服务器远程管理网络设备,特别是位于局域网中的网络设备。而无需奔走于不同地区到现场去管理这些网络设备,能够显著提高管理效率,且有益于降低管理成本。
在一些实施例中,所述方法还可包括如下步骤。
S101,获取所述客户端发送的登录请求,所述登录请求包括能够证明所述客户端身份的客户端凭证。
S102,在所述客户端凭证验证通过的情况下,向所述客户端反馈一个或多个第二服务端的服务端信息,以供所述客户端生成所述第一请求。
可选的,所述第一服务端可具有账户管理功能。在向第一服务端发送第一请求之前,所述客户端可向所述第一服务端发送包含客户端凭证的登录请求,以请求执行账户登录操作。所述客户端凭证包括用户名、用户编号及密码等等。所述客户端凭证也可包括例如与所述客户端绑定的手机号及短信验证码。当然,所述客户端凭证还可包括其他能够证明所述客户端的身份的信息。例如,数字证书、客户端密钥等信息。
第一服务端可基于客户端凭证验证客户端的身份合法性,如果验证通过,则允许所述客户端执行登录操作。客户端登录成功之后,第一服务端可向客户端反馈例如管理页面。所述管理页面可包括与各个第二服务端相对应的图标,以及与各个图标相对应的服务端信息。在需要访问第二服务端时,可选取管理页面中的图标。所述客户端可响应于图标选取操作,基于相应的服务端信息向第一服务端发送第一请求。如此,可进一步提高访问权限管理的管理效率,有益于进一步降低管理成本。
在一些实施例中,S120,基于所述客户端信息和所述服务端信息,验证所述客户端对所述第二服务端的访问权限,可包括如下步骤。
S121,获取对应关系信息,所述对应关系信息包含所述客户端和所述客户端具有访问权限的第二服务端之间的对应关系。
S122,基于所述客户端信息、所述服务端信息和所述对应关系信息,验证所述客户端对所述第二服务端的访问权限。
可选的,所述第一服务端可构建有对应关系表,所述对应关系表中可记录有客户端信息、服务端信息,以及客户端信息和服务端信息之间的对应关系。例如,所述对应关系表中可记录有用户名、用户编号,以及第二服务端的IP地址和端口号等等。
所述第一服务端获取到第一请求,可调取对应关系表。基于客户端信息、服务端信息和对应关系表,确定该客户端信息和该服务端信息是否互相关联。如果是,则确定客户端具有访问第二服务端的访问权限。如果否,则确定客户端不具有访问第二服务端的访问权限。基于对应关系验证客户端的访问权限,操作简单,数据处理量较小,有益于提高响应速度。
在一些实施例中,所述方法还可包括如下步骤。
S141,接收所述第二服务端反馈的用于通知所述第一IP地址添加完成的第一结果信息。
S142,向所述客户端发送第二结果信息,所述第二结果信息用于通知所述客户端所述第一IP地址添加完成,并触发所述客户端向所述第二服务端发送访问请求。
可选的,所述客户端可配置为在获取到用于指示客户端访问第二服务端的访问指令时,可基于所述访问指令向第一服务端发送第一请求。所述第二服务端可配置为在将第一IP地址添加至白名单之后,向第一服务端反馈第一结果信息,通过第一结果信息通知第一服务端第一IP地址添加完毕。所述第一服务端可配置为在获取到所述第一结果的情况下,向客户端反馈第二结果信息,通过第二结果信息通过所述客户端第一IP地址添加完毕。所述客户端还可配置为在获取到所述第二结果的情况下,向所述第二服务端发送访问请求。如此,能够实现无感化的访问权限管理,能够降低用户使用负担,有益于提高用户体验。
本申请第二种实施例提供了一种访问控制方法,应用于客户端。图2为本申请第二种实施例的访问控制方法的流程图,参见图2所示,本申请第二种实施例的访问控制方法具体可包括如下步骤。
S210,响应于指示所述客户端访问第二服务端的访问指令,基于所述客户端的第一IP地址、能够唯一标识所述客户端的客户端信息和能够唯一标识所述第二服务端的服务端信息,向第一服务端发送第一请求。
在具体实施时,可通过多种方式生成所述访问指令。例如,可通过输入设备向所述客户端的地址栏中输入第二服务端的IP地址和端口号,选取访问选项,可触发所述客户端生成所述访问指令。
还例如,在向所述第一服务端发送第一请求之前,所述客户单可基于客户端凭证向所述第一服务端发送登录请求。所述第一服务端可基于所述客户端凭证验证所述客户端的身份合法性,如果验证通过,则第一服务端允许所述客户端执行登录操作,并向所述客户端反馈管理页面。所述管理页面可包括与各个第二服务端相对应的图标,以及与各个图标相对应的服务端信息。在需要访问第二服务端时,可选取管理页面中的图标,所述客户端可响应于图标选取操作生成访问指令。
可选的,所述客户端可响应于访问指令,获取自身的第一IP地址和客户端信息,并获取第二服务端的服务端信息。例如,可获取地址栏中第二服务端的IP地址和端口号,或者可从管理页面获取与选取的图标相对应的服务端信息。继而,可基于第一IP地址、客户端信息和服务端信息,向第一服务端发送第一请求。
可选的,所述客户端信息包括但不限于用户名、用户编号、密钥、数字证书及设备信息等等。所述服务端信息包括但不限于所述第二服务端的域名、IP地址及端口号等等。在第二服务端为代理服务器的情况下,所述服务端信息还可包括能够标识所请求访问的网络设备的设备信息,如所述网络设备的设备标识等等。
S220,在所述第一服务端基于所述客户端信息和所述服务端信息对所述客户端访问所述第二服务端的访问权限验证通过,且将所述第一IP地址添加至所述第二服务端的白名单的情况下,接收所述第一服务端反馈的用于通知所述第一IP地址添加完成的第二结果信息。
可选的,所述第一服务端获取到所述第一请求,可基于所述客户端信息和所述服务端信息,验证所述客户端对所述第二服务端的访问权限。在访问权限验证通过的情况下,所述第一服务端可向第二服务端发送第二请求,所述第二请求中可包含所述第一IP地址。
所述第二服务端获取到所述第二请求,可基于所述第二请求将所述第一IP地址添加至其自身的白名单中,以允许所述客户端访问所述第二服务端。所述第二服务端可配置为在将第一IP地址添加至白名单之后,向第一服务端反馈第一结果信息,通过第一结果信息通知第一服务端第一IP地址添加完毕。所述第一服务端可配置为在获取到所述第一结果的情况下,向客户端反馈第二结果信息,通过第二结果信息通过所述客户端第一IP地址添加完毕。
S230,响应于所述第二结果信息,向所述第二服务端发送访问请求。
可选的,所述客户端还可配置为在获取到所述第二结果的情况下,自动触发向所述第二服务端发送访问请求。可选的,所述第二结果信息中可包含第二服务端的服务端信息,所述客户端也可验证所述第二结果信息中的服务端信息与所述第一请求中的服务端信息是否一致。如果两个服务端信息一致,则基于该服务端信息向第二服务端发送访问请求。如果两个服务端信息不一致,则提示信息错误。如此,能够进一步提高系统安全性。
本申请实施例的访问控制方法,客户端能够响应于访问指令,自动向用于执行访问权限管理的第一服务端发送第一请求。所述第一服务端验证客户端对第二服务端的访问权限,如果访问权限验证通过,则将客户端的第一IP地址添加至第二服务端的白名单,并向所述客户端反馈第二结果信息,以通知所述客户端其第一IP地址已经添加至第二服务端的白名单。所述客户端能够响应于第二结果信息,自动触发向第二服务端发送访问请求。如此,在保证系统安全性的基础上,能够实现高效且无感化的访问权限管理,能够降低用户使用负担,有益于提高用户体验。
本申请第三种实施例提供了一种访问控制方法,应用于第二服务端。图3为本申请第三种实施例的访问控制方法的流程图,参见图3所示,本申请第三种实施例的访问控制方法具体可包括如下步骤。
S310,启动所述第二服务端的防火墙。
可选的,所述防火墙可配置为基于白名单扫描指向所述第二服务端的网络流量。如果网络流量中的源地址记录在所述白名单中,则所述防火墙予以放行,允许相应的网络流量流向所述第二服务端。如果网络流量中的源地址未记录在所述白名单中,则所述防火墙可过滤掉这部分网络流量。
可选的,所述防火墙可为例如IPTABLE防火墙。当然,所述服务商可根据实际需求选取各种类型的防火墙,只要所述防火墙具有根据白名单扫描指向所述第二服务端的网络流量的功能即可。
可选的,在所述防火墙启动之后,所述第二服务端可对所述防火墙执行初始化操作,可将所述防火墙中的全部规则都清除掉,或者可将防火墙中的规则都恢复到默认状态。所述第二服务端还可清除所述白名单中已添加的全部IP地址,并可将全网段的IP地址添加至所述防火墙的黑名单中,使得所述防火墙禁止所有网络设备的访问。
S320,获取第一服务端的第二IP地址,将所述第二IP地址添加至所述防火墙的白名单中,以使所述防火墙允许所述第一服务端访问所述第二服务端。
可选的,所述第二服务端可记录有所述第一服务端的第二IP地址。例如,所述防火墙的默认配置信息中可记录有所述第一服务端的第二IP地址。在所述防火墙启动之后,可将所述第二IP地址添加至所述防火墙的白名单中,使得所述防火墙允许来自所述第一服务端的网络流量通过。当然,也可由其他具有访问权限的电子设备将所述第二IP地址发送至所述第二服务端,以请求所述第二服务单将第二IP地址添加至所述白名单中。
可选的,所述第二服务端将所述第二IP地址添加至所述白名单之后,可启动所述防火墙对网络流量的扫描操作,使得所述防火墙开始扫描指向所述第二服务端的网络流量。
S330,接收所述第一服务端发送的第二请求,所述第二请求包含客户端的第一IP地址。
可选的,所述客户端可配置为响应于指示所述客户端访问第二服务端的访问指令,基于所述客户端的第一IP地址、能够唯一标识所述客户端的客户端信息和能够唯一标识所述第二服务端的服务端信息,向第一服务端发送第一请求。也即,所述客户端需要访问第二服务端时,可向第一服务端发送第一请求。
所述第一服务端接收到所述第一请求,可获取对应关系信息。所述对应关系信息包含所述客户端和所述客户端具有访问权限的第二服务端之间的对应关系。继而,所述第一服务端可基于所述客户端信息、所述服务端信息和所述对应关系信息,验证所述客户端对所述第二服务端的访问权限。如果访问权限验证通过,所述第一服务端可向所述第二服务端发送第二请求,所述第二请求中可携带有客户端的第一IP地址。
S340,基于所述第二请求,将所述第一IP地址添加至所述防火墙的白名单中,以使所述防火墙允许所述客户端访问所述第二服务端。
可选的,所述第二服务端获取到所述第二请求,可直接将所述第一IP地址添加至所述防火墙的白名单,也可在对所述第一服务端鉴权之后,再将所述第一IP地址添加至所述白名单中。例如,所述第二服务端可基于所述第二请求的源地址,确定所述第一服务端是否具有管理权限。
还例如,所述第二请求可携带有用于证明所述第一服务端的管理权限的权限证明信息。例如,所述第二请求中可携带有第一服务端的身份凭证、数字证书或授权证书等等。所述第二服务端获取到所述第二请求,可基于所述第二请求中携带的权限证明信息鉴定所述第一服务端是否有管理权限。如果鉴权通过,则将所述第一IP地址添加至白名单,如果鉴权失败,则可通知所述第一服务端鉴权失败。
可选的,所述第二服务端可为直接面向客户端提供例如计算、应用或数据存储等服务的服务器。此时,将第一IP地址添加至白名单,则客户端就可以访问第二服务端直接请求提供上述服务。
可选的,所述第二服务端也可为例如代理服务器。所述第二服务端的一侧可与公用网路连接,所述第二服务端的另一侧可与N个网络设备连接,所述N个网络设备中的至少一个可位于局域网中,所述网络设备可为用于提供例如计算、应用或数据存储等服务的服务器。将所述第一IP地址添加至所述第二服务端的白名单中,则客户端可通过所述第二服务端访问所述网络设备。可选的,所述客户端访问所述网络设备可为请求所述网络设备提供上述服务,也可为对所述网络设备执行管理、维护等操作。例如,在所述客户端为网络管理员持有的特权客户端的情况下,通过第一服务端将特权客户端的IP地址添加至所述第二服务端的白名单,所述网络管理员就可通过所述特权客户端对所述网络设备执行远程管理操作,而无需所述网络管理员到现场维护局域网中的网络设备,有益于提高管理效率,并能够降低管理成本。
在一些实施例中,所述方法还可包括如下步骤。
S350,在将所述第一IP地址添加至所述防火墙的白名单之后,向所述第一服务端反馈第一结果信息;所述第一结果信息用于触发所述第一服务端向所述客户端发送第二结果信息;所述第二结果信息用于通知所述客户端所述第一IP地址添加完成,并触发所述客户端向所述第二服务端发送访问请求。
可选的,所述客户端可配置为在获取到用于指示客户端访问第二服务端的访问指令时,可基于所述访问指令向第一服务端发送第一请求。所述第二服务端可配置为在将第一IP地址添加至白名单之后,向第一服务端反馈第一结果信息,通过第一结果信息通知第一服务端第一IP地址添加完毕。所述第一服务端可配置为在获取到所述第一结果的情况下,向客户端反馈第二结果信息,通过第二结果信息通过所述客户端第一IP地址添加完毕。所述客户端还可配置为在获取到所述第二结果的情况下,向所述第二服务端发送访问请求。如此,能够实现无感化的访问权限管理,能够降低用户使用负担,有益于提高用户体验。
可选地,第二服务端还可以检测白名单中的客户端的IP地址,当某个客户端的IP地址空闲超过预设时间段后可以主动将该客户端的IP地址从白名单中清除,从而进一步动态地限制客户端的访问,提升系统安全性。
参见图4所示,本申请第四种实施例提供了一种访问控制系统,应用于客户端,第一服务端和第二服务端。本申请第四种实施例具体可包括如下步骤。
S411,所述第二服务端启动防火墙。
S412,所述第二服务端将所述第一服务端的第二IP地址添加至所述防火墙的白名单中,以使所述防火墙允许所述第一服务端访问所述第二服务端。
S413,所述第二服务端控制所述防火墙对所述第二服务端的网络流量执行扫描操作。
S421,所述客户端可基于能够证明所述客户端身份的客户端凭证,向所述第一服务端发送登录请求。
S431,所述第一服务端可基于所述客户端凭证,验证所述客户端的身份合法性。如果验证通过,则执行步骤S432。如果验证失败,则向所述客户端反馈信息,通知所述客户端登录失败。
S432,所述第一服务端向所述客户端反馈一个或多个所述第二服务端的服务端信息。
可选的,所述第一服务端可向所述客户端反馈管理页面,所述管理页面可包括与各个第二服务端相对应的图标,以及与各个图标相关联的第二服务端的服务端信息。
S441,所述客户端可响应于指示所述客户端访问第二服务端的访问指令,基于所述客户端的第一IP地址、能够唯一标识所述客户端的客户端信息和所述第二服务端的服务端信息,向第一服务端发送第一请求。
S451,所述第一服务端可基于所述客户端信息和所述服务端信息,验证所述客户端是否具有访问所述第二服务端的访问权限。如果是,则执行步骤S452。如果否,则向所述客户端反馈信息,通知所述客户端无权访问所述第二服务端。
S452,所述第一服务端基于所述第一IP地址,向所述第二服务端发送第二请求。
S461,所述第二服务端基于所述第二请求,将所述第一IP地址添加至所述白名单。
S462,在所述第一IP地址添加完成的情况下,所述第二服务端向所述第一服务端反馈第一结果信息,所述第一结果信息用于向所述第一服务端通知所述第一IP地址添加完成。
S471,所述第一服务端基于所述第一结果信息,向所述客户端反馈第二结果信息,所述第二结果信息用于向所述客户端通知所述第一IP地址添加完成。
S481,所述客户端可响应于所述第二结果信息,向所述第二服务端发送访问请求。
本申请实施例的访问控制方法,在保证系统安全性的基础上,能够实现高效且无感化的访问权限管理,不仅能够提高管理效率,降低生产成本,而且能够降低用户使用负担,有益于提高用户体验。
参见图5所示,本申请第五种实施例提供了一种访问控制系统,其特征在于,包括客户端501、第一服务端502和第二服务端503。可选的,所述访问控制系统可包括多个第二服务端503。可选的,所述访问控制系统可用于管理N个网络设备504,所述第二服务端503的一侧可与公用网络连接,所述第二服务端503的另一侧可与N个所述网络设备504连接,N个所述网络设备504中的至少一个可位于局域网中。
所述客户端501配置为:响应于指示所述客户端501访问所述第二服务端503的访问指令,基于所述客户端501的第一IP地址、能够唯一标识所述客户端501的客户端501信息和能够唯一标识所述第二服务端503的服务端信息,向第一服务端502发送第一请求。
所述第一服务端502配置为:基于所述客户端501信息和所述服务端信息,验证所述客户端501对所述第二服务端503的访问权限;在访问权限验证通过的情况下,向第二服务端503发送包含所述第一IP地址的第二请求。
所述第二服务端503配置为:基于所述第二请求,将所述第一IP地址添加至防火墙的白名单中,以使所述防火墙允许所述客户端501访问所述第二服务端503。
在一些实施例中,所述第一服务端502具体可配置为:
获取对应关系信息,所述对应关系信息包含所述客户端501和所述客户端501具有访问权限的第二服务端503之间的对应关系;
基于所述客户端501信息、所述服务端信息和所述对应关系信息,验证所述客户端501对所述第二服务端503的访问权限。
在一些实施例中,所述第一服务端502还可配置为:
接收所述第二服务端503反馈的用于通知所述第一IP地址添加完成的第一结果信息;
向所述客户端501发送第二结果信息,所述第二结果信息用于通知所述客户端501所述第一IP地址添加完成,并触发所述客户端501向所述第二服务端503发送访问请求。
在一些实施例中,所述第一服务端502还可配置为:
获取所述客户端501发送的登录请求,所述登录请求包括能够证明所述客户端501身份的客户端501凭证;
在所述客户端501凭证验证通过的情况下,向所述客户端501反馈一个或多个第二服务端503的服务端信息,以供所述客户端501生成所述第一请求。
在一些实施例中,所述第二服务端503还可配置为:
在将所述第一IP地址添加至所述防火墙的白名单之后,向所述第一服务端502反馈第一结果信息;所述第一结果信息用于触发所述第一服务端502向所述客户端501发送第二结果信息;所述第二结果信息用于通知所述客户端501所述第一IP地址添加完成,并触发所述客户端501向所述第二服务端503发送访问请求。
参见图6所示,本申请第六种实施例提供了一种电子设备,至少包括存储器601和处理器602,所述存储器601上存储有程序,所述处理器602在执行所述存储器601上的程序时实现如上任一实施例所述的方法。
本申请第七种实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,在执行所述计算机可读存储介质中的所述计算机可执行指令时实现如上任一实施例所述的方法。
本领域技术人员应明白,本申请的实施例可提供为方法、电子设备、计算机可读存储介质或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。当通过软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。
上述处理器可以是通用处理器、数字信号处理器、专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logicdevice,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,简称GAL)或其任意组合。通用处理器可以是微处理器或者任何常规的处理器等。
上述存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
上述可读存储介质可为磁碟、光盘、DVD、USB、只读存储记忆体(ROM)或随机存储记忆体(RAM)等,本申请对具体的存储介质形式不作限定。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。
Claims (8)
1.一种访问控制方法,其特征在于,应用于第一服务端,所述第一服务端分别与多个第二服务端通信连接,所述方法包括:
获取客户端的第一请求,所述第一请求用于请求所述第一服务端允许所述客户端访问从所述多个第二服务端中选取的第二服务端,所述第一请求至少包括所述客户端的第一IP地址、能够唯一标识所述客户端的客户端信息,以及能够唯一标识所述选取的第二服务端的服务端信息;
基于所述客户端信息和所述服务端信息,验证所述客户端对所述选取的第二服务端的访问权限;
在访问权限验证通过,并且第一服务端的第二IP地址已被添加至所述选取的第二服务端的防火墙的白名单以允许第一服务端访问所述选取的第二服务端的情况下,向所述选取的第二服务端发送包含所述第一IP地址的第二请求,所述第二请求用于请求所述选取的第二服务端将所述第一IP地址添加至其白名单中,以允许所述客户端访问所述选取的第二服务端;
接收所述选取的第二服务端反馈的用于通知所述第一IP地址添加完成的第一结果信息;
向所述客户端发送第二结果信息,所述第二结果信息用于通知所述客户端所述第一IP地址添加完成,并触发所述客户端向所述选取的第二服务端发送访问请求。
2.根据权利要求1所述的方法,其特征在于,所述基于所述客户端信息和所述服务端信息,验证所述客户端对所述选取的第二服务端的访问权限,包括:
获取对应关系信息,所述对应关系信息包含所述客户端和所述客户端具有访问权限的第二服务端之间的对应关系;
基于所述客户端信息、所述服务端信息和所述对应关系信息,验证所述客户端对所述选取的第二服务端的访问权限。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述客户端发送的登录请求,所述登录请求包括能够证明所述客户端身份的客户端凭证;
在所述客户端凭证验证通过的情况下,向所述客户端反馈一个或多个第二服务端的服务端信息,以供所述客户端生成所述第一请求。
4.一种访问控制方法,其特征在于,应用于客户端,所述客户端与第一服务端通信连接,所述第一服务端还分别与多个第二服务端通信连接,所述方法包括:
响应于指示所述客户端访问从所述多个第二服务端中选取的第二服务端的访问指令,基于所述客户端的第一IP地址、能够唯一标识所述客户端的客户端信息和能够唯一标识所述选取的第二服务端的服务端信息,向第一服务端发送第一请求;
在所述第一服务端基于所述客户端信息和所述服务端信息对所述客户端访问所述选取的第二服务端的访问权限验证通过,且将所述第一IP地址添加至所述选取的第二服务端的白名单的情况下,接收所述第一服务端反馈的用于通知所述第一IP地址添加完成的第二结果信息;其中,在所述第一IP地址被添加至所述白名单之前,第一服务端的第二IP地址已被添加至所述白名单以允许第一服务端访问第二服务端;
响应于所述第二结果信息,向所述选取的第二服务端发送访问请求。
5.一种访问控制方法,其特征在于,应用于第二服务端,所述第二服务端与第一服务端通信连接,所述第一服务端还能够与其他第二服务端通信连接,所述方法包括:
启动所述第二服务端的防火墙;
获取第一服务端的第二IP地址,将所述第二IP地址添加至所述防火墙的白名单中,以使所述防火墙允许所述第一服务端访问所述第二服务端;
接收所述第一服务端发送的第二请求,所述第二请求包含客户端的第一IP地址;
基于所述第二请求,将所述第一IP地址添加至所述防火墙的白名单中,以使所述防火墙允许所述客户端访问所述第二服务端;
在将所述第一IP地址添加至所述防火墙的白名单之后,向所述第一服务端反馈第一结果信息;所述第一结果信息用于触发所述第一服务端向所述客户端发送第二结果信息;所述第二结果信息用于通知所述客户端所述第一IP地址添加完成,并触发所述客户端向所述第二服务端发送访问请求。
6.一种访问控制系统,其特征在于,包括客户端、第一服务端和多个第二服务端;
所述客户端配置为:响应于指示所述客户端访问从所述多个第二服务端中选取的第二服务端的访问指令,基于所述客户端的第一IP地址、能够唯一标识所述客户端的客户端信息和能够唯一标识所述选取的第二服务端的服务端信息,向第一服务端发送第一请求;
所述第一服务端配置为:基于所述客户端信息和所述服务端信息,验证所述客户端对所述选取的第二服务端的访问权限;在访问权限验证通过的情况下,向所述选取的第二服务端发送包含所述第一IP地址的第二请求;
所述选取的第二服务端的防火墙的白名单添加有第一服务端的第二IP地址以允许第一服务端访问所述第二服务端,所述选取的第二服务端配置为:基于所述第二请求,将所述第一IP地址添加至防火墙的白名单中,以使所述防火墙允许所述客户端访问所述选取的第二服务端。
7.一种电子设备,至少包括存储器和处理器,所述存储器上存储有程序,其特征在于,所述处理器在执行所述存储器上的程序时实现如权利要求1-3中任一项所述的方法、权利要求4所述的方法,或者权利要求5所述的方法。
8.一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,其特征在于,在执行所述计算机可读存储介质中的所述计算机可执行指令时实现如权利要求1-3中任一项所述的方法、权利要求4所述的方法,或者权利要求5所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211715816.3A CN115987668B (zh) | 2022-12-29 | 2022-12-29 | 访问控制方法、系统、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211715816.3A CN115987668B (zh) | 2022-12-29 | 2022-12-29 | 访问控制方法、系统、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115987668A CN115987668A (zh) | 2023-04-18 |
| CN115987668B true CN115987668B (zh) | 2024-01-02 |
Family
ID=85973765
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211715816.3A Active CN115987668B (zh) | 2022-12-29 | 2022-12-29 | 访问控制方法、系统、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115987668B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103929419A (zh) * | 2014-03-28 | 2014-07-16 | 小米科技有限责任公司 | 访问控制方法和装置 |
| WO2014114127A1 (en) * | 2013-01-24 | 2014-07-31 | Tencent Technology (Shenzhen) Company Limited | Method, apparatus and system for webpage access control |
| CN105141621A (zh) * | 2015-09-16 | 2015-12-09 | 北京星网锐捷网络技术有限公司 | 网络访问的监控方法及装置 |
| TWM523904U (zh) * | 2015-12-07 | 2016-06-11 | Shang Yu Technology Co Ltd | 個資保密安全防護平台 |
| CN109995792A (zh) * | 2019-04-11 | 2019-07-09 | 苏州浪潮智能科技有限公司 | 一种存储设备的安全管理系统 |
| CN110351298A (zh) * | 2019-07-24 | 2019-10-18 | 中国移动通信集团黑龙江有限公司 | 访问控制方法、装置、设备及存储介质 |
| CN111083166A (zh) * | 2019-12-31 | 2020-04-28 | 紫光云(南京)数字技术有限公司 | 云数据库设置白名单的方法、装置及计算机存储介质 |
| CN113992414A (zh) * | 2021-10-28 | 2022-01-28 | 马上消费金融股份有限公司 | 数据的访问方法、装置及设备 |
| WO2022052972A1 (zh) * | 2020-09-11 | 2022-03-17 | 中国银联股份有限公司 | 一种网络终端认证的方法及装置 |
| CN114629719A (zh) * | 2022-04-08 | 2022-06-14 | 中国移动通信集团陕西有限公司 | 资源访问控制方法和资源访问控制系统 |
| CN115277138A (zh) * | 2022-07-15 | 2022-11-01 | 绿盟科技集团股份有限公司 | 一种强制访问控制方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120324538A1 (en) * | 2011-06-15 | 2012-12-20 | Cisco Technology, Inc. | System and method for discovering videos |
| US10560482B2 (en) * | 2017-07-08 | 2020-02-11 | Vmware, Inc. | Network access by applications in an enterprise managed device system |
-
2022
- 2022-12-29 CN CN202211715816.3A patent/CN115987668B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014114127A1 (en) * | 2013-01-24 | 2014-07-31 | Tencent Technology (Shenzhen) Company Limited | Method, apparatus and system for webpage access control |
| CN103929419A (zh) * | 2014-03-28 | 2014-07-16 | 小米科技有限责任公司 | 访问控制方法和装置 |
| CN105141621A (zh) * | 2015-09-16 | 2015-12-09 | 北京星网锐捷网络技术有限公司 | 网络访问的监控方法及装置 |
| TWM523904U (zh) * | 2015-12-07 | 2016-06-11 | Shang Yu Technology Co Ltd | 個資保密安全防護平台 |
| CN109995792A (zh) * | 2019-04-11 | 2019-07-09 | 苏州浪潮智能科技有限公司 | 一种存储设备的安全管理系统 |
| CN110351298A (zh) * | 2019-07-24 | 2019-10-18 | 中国移动通信集团黑龙江有限公司 | 访问控制方法、装置、设备及存储介质 |
| CN111083166A (zh) * | 2019-12-31 | 2020-04-28 | 紫光云(南京)数字技术有限公司 | 云数据库设置白名单的方法、装置及计算机存储介质 |
| WO2022052972A1 (zh) * | 2020-09-11 | 2022-03-17 | 中国银联股份有限公司 | 一种网络终端认证的方法及装置 |
| CN113992414A (zh) * | 2021-10-28 | 2022-01-28 | 马上消费金融股份有限公司 | 数据的访问方法、装置及设备 |
| CN114629719A (zh) * | 2022-04-08 | 2022-06-14 | 中国移动通信集团陕西有限公司 | 资源访问控制方法和资源访问控制系统 |
| CN115277138A (zh) * | 2022-07-15 | 2022-11-01 | 绿盟科技集团股份有限公司 | 一种强制访问控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115987668A (zh) | 2023-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11610019B2 (en) | Information management method, apparatus, and information management system | |
| EP3691215B1 (en) | Access token management method, terminal and server | |
| CN111953708B (zh) | 基于云平台的跨账号登录方法、装置及服务器 | |
| US8347403B2 (en) | Single point authentication for web service policy definition | |
| CN107579958B (zh) | 数据管理方法、装置及系统 | |
| EP3226506B1 (en) | Sophisitcated preparation of an authorization token | |
| CN109451061B (zh) | 区块链的合约调整处理方法和系统 | |
| CN108848113B (zh) | 客户端设备登录控制方法、装置、存储介质及服务器 | |
| CN111030812A (zh) | 令牌验证方法、装置、存储介质及服务器 | |
| CN110177124B (zh) | 基于区块链的身份认证方法及相关设备 | |
| CN111355713B (zh) | 一种代理访问方法、装置、代理网关及可读存储介质 | |
| CN103780580B (zh) | 提供能力访问策略的方法、服务器和系统 | |
| CN108512845B (zh) | 接口调用的校验方法及装置 | |
| JP2013505497A (ja) | 識別情報の検証のための方法及び装置 | |
| CN112165454B (zh) | 访问控制方法、装置、网关和控制台 | |
| CN110069909B (zh) | 一种免密登录第三方系统的方法及装置 | |
| CN112765648B (zh) | 一种文档处理方法、装置、设备及存储介质 | |
| CN111052678A (zh) | 自适应设备注册 | |
| Chae et al. | A study on secure user authentication and authorization in OAuth protocol | |
| EP3373551A1 (en) | Access control in a computer system | |
| CN115987668B (zh) | 访问控制方法、系统、电子设备及存储介质 | |
| RU2589333C2 (ru) | Ограничиваемая удаленной частью модель делегирования | |
| CN112261103A (zh) | 一种节点接入方法及相关设备 | |
| JP2011160383A (ja) | 監視装置、監視方法および監視プログラム | |
| CN115878214B (zh) | 应用软件的访问方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |