CN116266793A - 访问控制方法及其相关装置 - Google Patents
访问控制方法及其相关装置 Download PDFInfo
- Publication number
- CN116266793A CN116266793A CN202111554356.6A CN202111554356A CN116266793A CN 116266793 A CN116266793 A CN 116266793A CN 202111554356 A CN202111554356 A CN 202111554356A CN 116266793 A CN116266793 A CN 116266793A
- Authority
- CN
- China
- Prior art keywords
- target
- association attribute
- attribute
- network device
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了访问控制方法及其相关装置,其包括:计算机设备向第一网络设备发送源标识以及目标标识,然后第一网络设备基于源标识、目标标识、访问控制列表确定关联属性以及关联属性对应的第一目标约束项,并在其基础上确定第一验证码,接着向计算机设备发送至少包括第一验证码的第一指示信息。然后计算机设备确定关联属性以及与关联属性对应的第一目标信息,并将其添加到访问目标资源的报文进行发送,该报文至少还包括第一指示信息。另外,第三网络设备在接收到的报文中的关联属性以及与关联属性对应的第一目标信息的基础上验证报文,基于验证结果发送或丢弃报文。本申请基于关联属性及其相关信息验证报文减少了对ACL的运维成本,提高了网络安全。
Description
技术领域
本申请实施例涉及通信领域,尤其涉及访问控制方法及其相关装置。
背景技术
在例如企业园区网络、数据中心网络等具有边界的网络场景中,不仅需要提供网络通信的连接能力,也需要通过访问控制切断非授权的数据流,以防止非法访问,确保网络安全。
当前的企业园区网络的访问控制机制通常依赖于汇聚层或核心层交换机,或者防火墙通过部署访问控制列表(access control lists,ACL)来执行。例如,某个终端设备接入到园区网络时,汇聚层或核心层交换机、或者防火墙会获取终端设备发送的数据包中的五元组信息或其他信息,然后根据部署的ACL来判断五元组信息或其他信息的真实性,在确定五元组信息或其他信息真实的情况下,转发该数据包,或在确定五元组信息或其他信息不真实的情况下,丢弃该数据包,以此达到访问控制的目的。
但是,基于ACL的访问控制需要人工维护ACL,而对于一个企业园区网络来说ACL过于复杂且开销大,需要实时管理、更新或删除ACL中的条目,人力运维的成本非常大。
发明内容
本申请提供了访问控制方法及其相关装置,应用于网际互连协议(internetprotocol,IP)网络中,例如企业园区网络或数据中心网络等网络场景中,能够减少对ACL运维的成本,提高网络安全的保障性。
本申请第一方面提供了一种访问控制方法,包括:
计算机设备向第一网络设备发送源标识以及目标标识,其中,源标识指示该计算机设备,目标标识指示目标资源,该目标资源为计算机设备待访问的资源。
然后,计算机设备会接收由第一网络设备发送的第一指示信息,该第一指示信息至少包括第一验证码,且第一验证码是至少基于第一密钥、关联属性以及与所述关联属性对应的第一目标约束项得到的。其中,关联属性为与源标识关联的属性,第一目标约束项为关联属性对应的信息的预设约束范围,且关联属性的数量至少为一个。可以理解的是,其中的信息包括人脸信息、密码信息、指纹信息、数值信息、设备信息或语音信息等等,还可以是其他可记载的信息,具体此处不做限定。
计算机设备获取关联属性并确定该关联属性对应的第一目标信息,该第一目标信息为关联属性在计算机设备访问目标资源的情况下对应的信息。
然后,计算机设备发送访问目标资源的报文,该报文至少包括第一指示信息、关联属性以及与该关联属性对应的第一目标信息,且关联属性的数量至少为一个。
在本申请的实施方式中,计算机设备向第一网络设备发送源标识以及目标标识,然后接收到第一网络设备发送的包括第一验证码的第一指示信息,计算机设备获取关联属性以及与关联属性对应的第一目标信息,然后计算机设备发送访问目标资源的报文,该报文包括第一指示信息、关联属性以及与关联属性对应的第一目标信息。其中,计算机设备发送的报文中的第一指示信息、关联属性以及与关联属性对应的第一目标信息可以用于验证报文,该报文验证通过才能访问目标资源。该方案中减少了ACL的应用,因此降低了对ACL的运维成本,同时关联属性以及与关联属性对应的第一目标信息是实时的,基于此对报文进行验证,能提高网络安全的保障。
在第一方面的一种可能的实现方式中,第一指示信息还包括关联属性,且计算机设备从该第一指示信息中获取关联属性。
在本申请的实施方式中,计算机设备从包括关联属性的第一指示信息中获取关联属性,能提高工作效率,同时确保与第一网络设备中确定的关联属性一致。
在第一方面的一种可能的实现方式中,计算机设备从第二网络设备获取关联属性。该第二网络设备可能是其他的服务器、或控制器等具备访问控制策略或具备该计算机设备对应的关联属性的网络设备,其中,访问控制列表可以确定关联属性。可以理解的是,第二网络设备还能是其他能获取关联属性的网络设备,具体此处不做限定。
在本申请的实施方式中,计算机设备从第二网络设备获取关联属性,能减少第一指示信息的数据量,节省网络资源。
在第一方面的一种可能的实现方式中,计算机设备从第二指示信息中获取关联属性,该第二指示信息为计算机设备具备的包括关联属性的信息。例如,第二指示信息可以是预设的包括与计算机设备对应的关联属性的信息或表项。
在本申请的实施方式中,计算机设备从本地具备的第二指示信息中获取关联属性,能提高工作效率,节省网络资源。
在第一方面的一种可能的实现方式中,计算机设备还接收由第一网络设备发送的第二密钥,该第二密钥由第一网络设备基于第一指示信息得到。
然后,计算机设备基于第二密钥以及报文确定第二验证码,且计算机设备发送第二验证码。其中,该报文为计算机访问目标资源的报文。
在本申请的实施方式中,计算机设备接收到由第一网络设备发送的第二密钥,且基于第二密钥以及报文得到第二验证码,并发送第二验证码。第二验证码用于验证报文,报文验证通过计算机设备才能访问目标资源,增加了验证报文的措施,更大程度的提高了网络安全的保障性,尽可能的避免了资源被恶意盗取。
在第一方面的一种可能的实现方式中,第一指示信息还包括关联属性对应的第一目标约束项,和/或有效期,该有效期为第一验证码的有效期限,在有效期的范围内的报文才能在验证通过后访问目标资源。另外,第一目标约束项用于验证报文。
在本申请的实施方式中,第一指示信息还可能包括关联属性对应的第一目标约束项,和/或有效期,且在有效期的范围的报文才能在验证通过后访问目标资源,进一步的增加了验证报文的措施,提高了网络安全的可靠性,尽可能的避免了资源被恶意盗取。
在第一方面的一种可能的实现方式中,关联属性至少包括以下任意一项:
登录模式、行为异常度、访问关系异常度、终端健康度、流量异常度、设备密级、位置信息、安全组信息或访问时间。可以理解的是,其他能识别计算机设备的动态特征也可以是关联属性,具体此处不做限定。
在本申请的实施方式中,关联属性至少包括登录模式、行为异常度、访问关系异常度、终端健康度、流量异常度、设备密级、位置信息、安全组信息或访问时间中的任意一项,提高了方案的灵活性以及应用场景。
在第一方面的一种可能的实现方式中,源标识至少包括以下任意一项:
计算机设备的IP地址、计算机设备的设备标识、计算机设备对应的用户身份标识、计算机设备对应的所属用户组或源端口号,以及其它能标识计算机设备的标识。
在本申请的实施方式中,源标识至少包括计算机设备的IP地址、计算机设备的设备标识、计算机设备对应的用户身份标识、计算机设备对应的所属用户组或源端口号,以及其它能标识计算机设备的标识等任意一项,增加了方案的灵活性。
在第一方面的一种可能的实现方式中,目标标识至少包括以下任意一项:
目标资源的IP地址、目标资源的IP地址前缀、目标资源的部分或全部统一资源定位符(uniform resource locator,URL)前缀、目标资源的设备标识,目标资源的身份标识、目标资源对应的所属安全组或目标资源的端口号。
在本申请的实施方式中,目标标识至少包括目标资源的IP地址、目标资源的IP地址前缀、目标资源的部分或全部URL前缀、目标资源的设备标识,目标资源的身份标识、目标资源对应的所属安全组或目标资源的端口号等任意一项,增加了方案的可靠性。
在第一方面的一种可能的实现方式中,计算机设备获取目标属性以及与目标属性对应的第三目标信息,该目标属性为与目标标识对应的属性,第三目标信息为计算机设备获取到的与目标属性对应的预设信息。
计算机设备发送目标属性以及目标属性对应的第三目标信息。
在本申请的实施方式中,计算机设备获取并发送目标属性以及与目标属性对应的第三目标信息,使得报文可以基于目标属性以及目标属性对应的第三目标信息进行验证,更大程度的防止资源被盗取,提高了网络安全,且增加了方案的灵活性以及可选择性。
本申请第二方面提供了一种访问控制方法,包括:
第一网络设备接收由计算机设备发送的源标识以及目标标识,其中,源标识指示计算机设备,目标标识指示目标资源,且该目标资源为计算机设备待访问的资源。
然后,第一网络设备基于接收到的源标识、目标标识以及访问控制策略确定关联属性以及与关联属性对应的第一目标约束项,其中,该访问控制策略包括计算机设备访问目标资源的条件,关联属性为与源标识关联的属性,第一目标约束项为关联属性对应的信息的预设约束范围,且关联属性的数量至少为一个。可以理解的是,其中的信息包括人脸信息、密码信息、指纹信息、数值信息、设备信息或语音信息等等,还可以是其他可记载的信息,具体此处不做限定。
第一网络设备至少基于第一密钥、关联属性以及与关联属性对应的第一目标约束项确定第一验证码。
然后,第一网络设备向计算机设备发送第一指示信息,使得计算机设备能够基于第一指示信息发送访问目标资源的报文,该第一指示信息至少包括第一验证码。
在本申请的实施方式中,第一网络设备接收计算机设备发送的源标识以及目标标识,且基于源标识、目标标识以及访问控制列表确定关联属性以及与关联属性对应的第一目标约束项,然后至少基于第一密钥、关联属性以及与关联属性对应的第一目标约束项确定第一验证码,然后第一网络设备向计算机设备发送至少包括第一验证码的第一指示信息,使得计算机设备基于包括第一验证码的第一指示信息发送访问目标资源的报文,由此在转发计算机设备访问目标资源的报文的过程中,可以基于第一验证码实时验证报文,以此监控计算机设备的状态,且报文验证通过后,计算机设备才能访问目标资源,提高了网络安全的实时保障性,尽可能的避免了资源被盗取的现象,且验证报文的过程中减少了对ACL的应用,因此还减少了对ACL的运维成本。
在第二方面的一种可能的实现方式中,第一网络设备首先基于源标识、目标标识以及访问控制策略确定关联属性表项,该关联属性表项为至少包括关联属性以及与关联属性对应的第一目标约束项的表项。
然后,第一网络设备就根据该关联属性列表确定关联属性以及与关联属性对应的第一目标约束项。
在本申请的实施方式中,第一网络设备首先基于源标识、目标标识以及访问控制列表确定关联属性列表,然后从关联属性列表中确定关联属性以及与关联属性对应的第一目标约束项。关联属性列表包括了关联属性以及与关联属性对应的第一目标约束项,使得对关联属性以及与关联属性对应的第一目标约束项的管理更能便捷有效,节约运维成本。
在第二方面的一种可能的实现方式中,第一网络设备还能基于第一指示信息确定第二密钥。
然后第一网络设备向计算机设备发送该第二密钥,使得计算机设备基于该第二密钥生成第二验证码。该第二验证码将用于验证计算机设备访问目标资源的报文。
在本申请的实施方式中,第一网络设备基于第一指示信息得到第二密钥,然后将第二密钥发送给计算机设备,计算机设备基于第二密钥得到第二验证码。该第二密钥由第一指示信息得到,安全性较高,因此利用由第二密钥生成的第二验证码对报文进行验证能更大程度的增强网络安全的保障性,避免计算机设备被恶意获取目标资源。
在第二方面的一种可能的实现方式中,第一网络设备基于源标识和/或目标标识和/或有效期、第一密钥、关联属性以及与关联属性对应的第一目标约束项确定第一验证码,其中,有效期是第一验证码的有效期限。且该有效期可以预设在访问控制策略中,或预设在第一网络设备上,也可以是其他的记录访问相关信息的网络设备中,具体此处不做限定。
在本申请的实施方式中,第一网络设备基于源标识和/或目标标识和/或有效期、第一密钥、关联属性以及与关联属性对应的第一目标约束项确定第一验证码,其中通过更多的因素确定第一验证码,增加了方案的灵活性以及可选择性,提高了网络安全的保障性。
在第二方面的一种可能的实现方式中,第一指示信息至少还包括以下任意一项信息:
有效期、关联属性或与关联属性对应的第一目标约束项。
在本申请的实施方式中,第一指示信息至少还包括有效期、关联属性或与关联属性对应的第一目标约束项,增加了方案的应用场景,体现了方案的可选择性。
在第二方面的一种可能的实现方式中,在第一指示信息不包括与关联属性对应的第一目标约束项的情况下,第一网络设备向第三网络设备发送与关联属性对应的第一目标约束项,使得第三网络设备基于第一目标约束项验证计算机设备访问目标资源的报文。
具体的,第三网络设备在接收到计算机设备访问目标资源的报文后,基于第一目标约束项以及报文中携带的信息可以得到第二验证码,在第二验证码与报文中携带的第一验证码相同的情况下报文验证通过,然后计算机设备才能访问目标资源。
在本申请的实施方式中,第一网络设备向第三网络设备发送第一目标约束项,增加了方法的可选择性。
在第二方面的一种可能的实现方式中,第一网络设备向第三网络设备或第四网络设备发送关联属性以及与关联属性对应的第二目标信息,使得第三网络设备或第四网络设备基于关联属性以及与关联属性对应的第二目标信息验证计算机设备访问目标资源的报文。其中,第二目标信息为关联属性对应的预设信息。可以理解的是,该信息包括人脸信息、密码信息、指纹信息、数值信息、设备信息或语音信息等等,还可以是其他可记载的信息,具体此处不做限定。
具体的,第三网络设备或第四网络设备在接收到计算机设备访问目标资源的报文后,在关联属性的第一目标信息与源属性映射表中的关联属性对应的第二目标信息一致的情况下,确定报文中的关联属性的第一目标信息为真实有效的信息,在此基础上再对报文进行进一步的验证。
在本申请的实施方式中,第一网络设备向第三网络设备或第四网络设备发送关联属性以及与关联属性对应的第二目标信息,第三网络设备或第四网络设备基于关联属性以及与关联属性对应的第二目标信息验证报文中关联属性对应的第一目标信息的真实性。在关联属性对应的第一目标信息确定真实的情况下,再验证报文,能提高工作效率,节约网络资源和成本。
在第二方面的一种可能的实现方式中,关联属性至少包括以下任意一项:
登录模式、行为异常度、访问关系异常度、终端健康度、流量异常度、设备密级、位置信息、安全组信息或访问时间。可以理解的是,其他能识别计算机设备的动态特征也可以是关联属性,具体此处不做限定。
在第二方面的一种可能的实现方式中,源标识至少包括以下任意一项:
计算机设备的IP地址、计算机设备的设备标识、计算机设备对应的用户身份标识、计算机设备对应的所属用户组或源端口号,以及其它能标识计算机设备的标识。
在第二方面的一种可能的实现方式中,目标标识至少包括以下任意一项:
目标资源的IP地址、目标资源的IP地址前缀、目标资源的部分或全部统一资源定位符URL前缀、目标资源的设备标识,目标资源的身份标识、目标资源对应的所属安全组或目标资源的端口号。
本申请第三方面提供了一种访问控制方法,包括:
第三网络设备接收计算机设备访问目标资源的报文,该报文至少包括第一指示信息、关联属性以及关联属性对应的第一目标信息。该目标资源为计算机设备待访问的资源,第一指示信息至少包括第一目标验证码,关联属性为与源标识关联的属性,第一目标信息为关联属性在计算机设备访问目标资源的情况下对应的信息,其中,源标识由报文包括。
然后,第三网络设备获取与关联属性对应的第一目标约束项,该第一目标约束项为关联属性对应的信息的预设约束范围。
在关联属性对应的第一目标信息属于关联属性对应的第一目标约束项的情况下,第三网络设备至少基于第一密钥、关联属性以及与关联属性对应的第一目标约束项确定第二目标验证码。
在第一目标验证码与第二目标验证码相同的情况下,第三网络设备发送报文,使得计算机设备访问目标资源。
在本申请的实施方式中,第三网络设备接收计算机设备访问目标资源的报文,且获取与关联属性对应的第一目标约束项,然后在关联属性对应的第一目标信息属于关联属性对应的第一目标约束项的情况下,至少基于第一密钥、关联属性以及与关联属性对应的第二目标约束项确定第二目标验证码,且第三网络设备在第一目标验证码与第二目标验证码相同的情况下,发送报文,使得计算机设备访问目标资源。第三网络设备主要基于报文中的关联属性以及关联属性对应的第一目标信息对报文进行验证,在得到的第二目标验证码与第一目标验证码相同的情况下,计算机设备才能访问目标资源,避免了基于ACL验证报文,减少了对ACL的运维成本,且能实时监控计算机设备的状态,且通过第一密钥得到第二目标验证码,能提高网络安全的保障,尽可能的避免资源被恶意盗取。
在第三方面的一种可能的实现方式中,在关联属性对应的第一目标信息不属于关联属性对应的第一目标约束项的情况下,第三网络设备将报文丢弃。和/或,在第一目标验证码与第二目标验证码不同的情况下,第三网络设备将报文丢弃。
在本申请的实施方式中,在关联属性对应的第一目标信息不属于关联属性对应的第一目标约束项的情况下,第三网络设备将报文丢弃,和/或,在第一目标验证码与第二目标验证码不同的情况下,第三网络设备将报文丢弃,避免计算机设备访问目标资源,防止资源被恶意盗取,且节约网络资源。
在第三方面的一种可能的实现方式中,第一目标验证码包括第一验证码,第一验证码是至少基于第一密钥、关联属性以及与关联属性对应的第一目标约束项得到的。
在本申请的实施方式中,第一目标验证码可以是计算机设备从第一网络设备获取的第一验证码,至少基于第一密钥、关联属性以及与关联属性对应的第一目标约束项得到的。第三网络设备对第一网络设备确定的第一验证码再验证,更大程度的提高网络安全的保障。
在第三方面的一种可能的实现方式中,第三网络设备基于源标识和/或目标标识和/或有效期、第一密钥、关联属性以及与关联属性对应的第一目标约束项确定第二目标验证码,其中,目标标识由报文包括,有效期为第一目标验证码的有效期限。
在本申请的实施方式中,第三网络设备可以基于源标识和/或目标标识和/或有效期、第一密钥、关联属性以及与关联属性对应的第一目标约束项确定第二目标验证码。增加方案的灵活性以及可选择性,且通过多因素确定第二目标验证码,提高网络安全的保障性。
在第三方面的一种可能的实现方式中,在第一指示信息还包括与关联属性对应的第一目标约束项的情况下,第三网络设备从第一指示信息中获取与关联属性对应的第一目标约束项。
或,第三网络设备直接从第一网络设备获取与关联属性对应的第一目标约束项。
在本申请的实施方式中,在第一指示信息还包括关联属性对应的第一目标约束项的情况下,第三网络设备从第一指示信息中获取关联属性对应的第一目标约束项,或者,第三网络设备直接从第一网络设备获取关联属性对应的第一目标约束项。提供了多场景应用,体现了方案的可选择性。
在第三方面的一种可能的实现方式中,第一指示信息还包括有效期,该有效期为第一目标验证码的有效期限,第三网络设备基于该有效期确定第一目标验证码有效。在第一目标验证码有效的情况下,再基于第一目标验证码对报文进行验证,或者验证报文通过后,在第一目标验证码有效的情况下再发送报文,能确保报文的即时性和有效性。另外,在第三网络设备基于有效期确定第一目标验证码无效的情况下,将报文丢弃。
在本申请的实施方式中,第三网络设备基于有限期确定第一目标验证码有效,再基于第一目标验证码对报文进行验证,或者验证报文通过后,在第一目标验证码有效的情况下再发送报文,能确保报文的即时性和有效性。且在第三网络设备基于有效期确定第一目标验证码无效的情况下,将报文丢弃,能节省网络资源,且确保资源不被恶意盗取。
在第三方面的一种可能的实现方式中,报文还包括第二验证码,然后第三网络设备基于第一指示信息以及报文确定第三验证码。具体的,第三网络设备基于第一指示信息得到新的密钥,然后再基于新的密钥以及报文得到第三验证码。
然后,在第一目标验证码与第二目标验证码相同,第二验证码与第三验证码相同的情况下,第三网络设备发送报文。
在本申请的实施方式中,在接收到的报文包括第二验证码的情况下,第三网络设备还基于第一指示信息以及报文得到第三验证码,且在第一目标验证码与第二目标验证码相同,第二验证码与第三验证码相同的情况下,第三网络设备才发送报文。第三网络设备基于第二验证码验证报文,增加了验证报文的措施,减少目标资源被恶意盗取的可能性,且由于第三验证码是由新的密钥生成,能更大程度的防止报文通过篡改生成的第二验证码访问目标资源,保障网络安全。
在第三方面的一种可能的实现方式中,在第三网络设备发送报文之前,第三网络设备获取关联属性以及与关联属性对应的第二目标信息,其中,第二目标信息为关联属性对应的预设信息。具体的,第三网络设备可以从第一网络设备获取关联属性以及与关联属性对应的第二目标信息,也可以从其他具备关联属性以及与关联属性对应的第二目标信息的网络设备上获取,具体此处不做限定。可以理解的是,信息包括人脸信息、密码信息、指纹信息、数值信息、设备信息或语音信息等等,还可以是其他可记载的信息,具体此处不做限定。
在关联属性对应的第一目标信息与关联属性对应的第二目标信息一致的情况下,第三网络设备确定关联属性对应的第一目标信息有效。具体的,在第一目标信息有效的情况下,第三网络设备再对报文采取验证措施。另外,在第一目标信息无效的情况下,即关联属性对应的第一目标信息与关联属性对应的第二目标信息不一致,第三网络设备将报文丢弃。
在本申请的实施方式中,第三网络设备获取关联属性以及与关联属性对应的第二目标信息,并在关联属性对应的第二目标信息与关联属性对应的第一目标信息一致的情况下,第三网络设备确定关联属性对应的第一目标信息有效。在关联属性的第一目标有效的情况下,再基于关联属性对应的第一目标信息对报文采取验证措施,能减少网络资源的浪费,提高工作效率。
在第三方面的一种可能的实现方式中,关联属性至少包括以下任意一项:
登录模式、行为异常度、访问关系异常度、终端健康度、流量异常度、设备密级、位置信息、安全组信息或访问时间。可以理解的是,其他能识别计算机设备的动态特征也可以是关联属性,具体此处不做限定。
在第三方面的一种可能的实现方式中,源标识至少包括以下任意一项:
计算机设备的IP地址、计算机设备的设备标识、计算机设备对应的用户身份标识、计算机设备对应的所属用户组或源端口号,以及其它能标识计算机设备的标识。
在第三方面的一种可能的实现方式中,目标标识至少包括以下任意一项:
目标资源的IP地址、目标资源的IP地址前缀、目标资源的部分或URL前缀、目标资源的设备标识,目标资源的身份标识、目标资源对应的所属安全组或目标资源的端口号。
本申请第四方面提供了一种访问控制方法,包括:
第四网络设备接收计算机设备访问目标资源的报文,该报文至少包括第一指示信息、关联属性以及关联属性对应的第一目标信息。其中,目标资源为计算机设备待访问的资源,第一指示信息至少包括第一验证码,而第一验证码是由第一网络设备基于源标识、目标标识、关联属性以及与关联属性对应的第一目标约束项确定得到的。其中,源标识指示计算机设备,目标标识指示目标资源,关联属性为与源标识关联的属性,第一目标信息为关联属性在计算机设备访问目标资源的情况下对应的信息,且第一目标约束项为关联属性对应的信息的预设约束范围。
第四网络设备获取关联属性以及与关联属性对应的第二目标信息,该第二目标信息为关联属性对应的预设信息。具体的,第四网络设备从第一网络设备获取关联属性以及与关联属性对应的第二目标信息,或者,也可以从其他具备关联属性以及与关联属性对应的第二目标信息的网络设备上获取,具体此处不做限定。
在关联属性对应的第一目标信息与关联属性对应的第二目标信息一致的情况下,第四网络设备发送报文,然后接收到报文的第三网络设备基于关联属性对应的第一目标信息对报文进行验证。
在本申请的实施方式中,第四网络设备接收计算机设备访问目标资源的报文,然后获取与关联属性对应的第二目标信息,在关联属性对应的第一目标信息与关联属性对应的第二目标信息一致的情况下,第四网络设备发送报文,使得接收到报文的网络设备基于关联属性对应的第一目标信息对报文进行验证,能提高整体的工作效率,节省对网络资源的占用。
本申请第五方面提供一种计算机设备,该计算机设备具有实现上述第一方面或第一方面任意一种可能实现方式的方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
本申请第五方面的计算机设备执行本申请第一方面或第一方面任意一种可能实现方式所描述的方法。
本申请第六方面提供一种网络设备,该网络设备具有实现上述第二方面或第二方面任意一种可能实现方式的方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
本申请第六方面的网络设备执行本申请第二方面或第二方面任意一种可能实现方式所描述的方法。
本申请第七方面提供一种网络设备,该网络设备具有实现上述第三方面或第三方面任意一种可能实现方式的方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
本申请第七方面的网络设备执行本申请第三方面或第三方面任意一种可能实现方式所描述的方法。
本申请第八方面提供一种网络设备,该网络设备具有实现上述第四方面的方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
本申请第八方面的网络设备执行本申请第四方面所描述的方法。
本申请第九方面提供一种通信装置,可以包括处理器,该处理器与存储器耦合,其中存储器用于存储指令,处理器用于执行存储器中的指令使得该通信装置执行本申请第一方面、第一方面任意一种可能实现方式、第二方面、第二方面任意一种可能实现方式、第三方面、第三方面任意一种可能实现方式或第四方面中的方法。
本申请实施例第十方面提供另一种通信装置,包括处理器,用于执行存储器中存储的计算机程序(或计算机可执行指令),当计算机程序(或计算机可执行指令)被执行时,使得该通信装置执行如第一方面、第一方面任意一种可能实现方式、第二方面、第二方面任意一种可能实现方式、第三方面、第三方面任意一种可能实现方式或第四方面中的方法。
在一种可能的实现中,处理器和存储器集成在一起;
在另一种可能的实现中,上述存储器位于该通信装置之外。
该通信装置还包括通信接口,该通信接口用于该通信装置与其他设备进行通信,例如数据和/或信号的发送或接收。示例性的,通信接口可以是收发器、电路、总线、模块或其它类型的通信接口。
本申请第十一方面提供一种计算机可读存储介质,包括计算机可读指令,当计算机可读指令在计算机上运行时,使得本申请第一方面、第一方面任意一种可能实现方式、第二方面、第二方面任意一种可能实现方式、第三方面、第三方面任意一种可能实现方式或第四方面所描述的方法被执行。
本申请第十二方面提供一种计算机程序产品,包括计算机可读指令,当计算机可读指令在计算机上运行时,使得本申请第一方面、第一方面任意一种可能实现方式、第二方面、第二方面任意一种可能实现方式、第三方面、第三方面任意一种可能实现方式或第四方面所描述的方法被执行。
本申请第十三方面提供了一种芯片,该芯片包括至少一个处理器和至少一个接口电路,该接口电路和该处理器耦合,至少一个接口电路用于执行收发功能,并将指令发送给至少一个处理器,至少一个处理器用于运行计算机程序或指令,其具有实现如上述第一方面、第一方面任意一种可能实现方式、第二方面、第二方面任意一种可能实现方式、第三方面、第三方面任意一种可能实现方式或第四方面中的方法的功能,该功能可以通过硬件实现,也可以通过软件实现,还可以通过硬件和软件组合实现,该硬件或软件包括一个或多个与上述功能相对应的模块。
本申请第十四方面提供一种通信系统,包括第五方面、第六方面、第七方面及前述各方面的各种可能的实现提供的通信装置。
附图说明
图1a为本申请实施例提供的通讯系统的一个架构示意图;
图1b为本申请实施例提供的应用场景的一个示意图;
图2为本申请实施例提供的访问控制方法的一个示意图;
图3为本申请实施例提供的一个关联属性列表的示意图;
图4为本申请实施例提供的确定第一验证码的一个示意图;
图5为本申请实施例提供的确定第一验证码的另一个示意图;
图6为本申请实施例提供的第一指示信息的一个示意图;
图7为本申请实施例提供的确定第一验证码的另一个示意图;
图8为本申请实施例提供的报文的一个示意图;
图9为本申请实施例提供的报文的另一个示意图;
图10为本申请实施例提供的应用场景的另一个示意图;
图11为本申请实施例提供的计算机设备的一个结构示意图;
图12为本申请实施例提供的网络设备的一个结构示意图;
图13为本申请实施例提供的网络设备的另一个结构示意图;
图14为本申请实施例提供的通信装置的一个结构示意图。
具体实施方式
本申请提供了访问控制方法及其相关装置,应用于IP网络中,例如企业园区网络或数据中心网络等网络场景中,能够减少对ACL运维的成本,提高网络安全的保障性。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换,这仅仅是描述本申请的实施例中对相同属性的对象在描述时所采用的区分方式。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,以便包含一系列单元的过程、方法、系统、产品或设备不必限于那些单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。
在介绍本申请实施例之前,先对目前常见的基于ACL的访问控制方法进行简单的介绍,以便于后续理解本申请实施例。
当前的企业园区网络、数据中心网络等具有边界的网络场景中,计算机设备访问目标资源的报文通常依赖于部署了ACL的汇聚层或核心层的网络设备进行验证。但是ACL的表项更新频繁,更新比较耗费时长,且具体依赖人工维护,因此对应一个企业园区网络来说ACL过于复杂且开销大,需要实时管理、更新或删除ACL中的条目,运维的成本非常大。
为解决上述所述问题,本申请实施例提供了访问控制方法及其相关设备,本申请实施例应用于IP网络中,例如企业园区网络或数据中心网络等网络场景中,用于通过计算机设备的关联属性以及与关联属性对应的信息对计算机设备访问目标资源的报文进行验证,能减少对ACL运维的成本,以及提高网络安全的保障性。
下面结合附图,对本申请实施例应用的通信系统进行描述。本领域普通技术人员可知,随着技术的发展和新场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。具体请参阅图1a,图1a为本申请实施例提供的通讯系统的一个架构示意图,具体包括:
计算机设备101、第一网络设备102以及第三网络设备103,可选的还包括目标资源所属的设备104。
基于该通信系统,其具体应用请参阅图1b所示,图1b为本申请实施例提供的应用场景的一个示意图。其中,计算机设备101向第一网络设备102发送源标识以及目标标识,然后第一网络设备102基于源标识、目标标识以及访问控制策略确定关联属性以及与关联属性对应的第一目标约束项,且第一网络设备102至少基于第一密钥、关联属性以及与关联属性对应的第一目标约束项确定第一验证码。然后计算机设备101接收由第一网络设备发送的至少包括第一验证码的第一指示信息,然后计算机设备101确定关联属性以及与关联属性对应的第一目标信息,接着计算机设备101发送访问目标资源的报文,该报文至少包括前述的第一指示信息、关联属性以及与关联属性对应的第一目标信息。
需要说明的是,其中,源标识指示计算机设备101,目标标识指示目标资源,该目标资源为计算机设备待访问的资源,访问控制策略包括计算机设备访问目标资源的条件,关联属性为与源标识关联的属性,第一目标约束项为关联属性对应的信息的预设约束范围,且关联属性的数量至少为一个。
然后第三网络设备103接收到计算机设备101访问目标资源的报文,报文中至少包括第一指示信息、关联属性以及与关联属性对应的第一目标约束项,且第一指示信息至少包括第一目标验证码。然后第三网络设备103获取与关联属性对应的第一目标约束项,且在关联属性对应的第一目标信息不属于关联属性对应的第一目标约束项的情况下,第三网络设备103将报文丢弃,或者在关联属性对应的第一目标信息属于关联属性对应的第一目标约束项的情况下,至少基于第一密钥、关联属性以及与关联属性对应的第一目标约束项确定第二目标验证码,且在第二目标验证码与第一目标验证码相同的情况下,第三网络设备103发送报文,计算机设备101才能正常的从目标资源所属的设备104访问目标资源。
需要说明的是,第三网络设备接收到的报文中的第一目标验证码可以是前述第一网络设备102确定的第一验证码,也可能是用于盗取目标资源伪造的验证码,具体此处不做限定。
可选的,计算机设备101可以是具有通信功能的终端设备。例如物联网(internetof things,IoT)设备(例如,传感器,电表,水表等)、车联网(vehicle to everything,V2X)设备、无线局域网(wireless local area networks,WLAN)中的站点(station,ST)、个人数字处理(personal digital assistant,PDA)设备、具有无线通信功能的手持设备(如手机)、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备(也可以称为穿戴式智能设备)、平板电脑或带无线收发功能的电脑等。
可选的,第一网络设备102以及目标资源所属的设备104可以是应用服务器、控制器、或个人计算机等网络设备。第三网络设备103可以是网关设备(例如路由器、交换机、防火墙或集线器等具备报文转发能力的网络设备)或应用服务器等网络设备。
需要说明的是,本申请实施例描述的通信系统是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
下面结合附图,更直观的对本申请实施例的访问控制方法进行描述。本领域普通技术人员可知,随着技术的发展和新场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。具体请参阅图2,图2为本申请实施例提供的访问控制方法的一个示意图,具体包括:
201、计算机设备向第一网络设备发送源标识以及目标标识。
计算机设备向第一网络设备发送源标识以及目标标识。其中,源标识指示计算机设备,目标标识指示目标资源,该目标资源为计算机设备待访问的资源。
可选的,源标识至少包括计算机设备的IP地址、计算机设备的设备标识、计算机设备对应的用户身份标识、计算机设备对应的所属用户组或源端口号中的任意一项。可以理解的是,在实际情况中,还能是其他能表示或代表计算机设备的标识均可以,具体此处不做限定。
可选的,目标标识至少包括目标资源的IP地址、目标资源的IP地址前缀、目标资源的部分或全部URL前缀、目标资源的设备标识、目标资源的身份标识、目标资源对应的所属安全组或目标资源的端口号中的任意一项。可以理解的是,在实际情况中,还能是其他代表或标识目标资源的标识均可以,具体此处不做限定。
另外,可选的,在步骤201之前,计算机设备可以通过安全传输层(transportlayer security,TLS)协议、带外配置等方式,与第一网络设备建立安全可信通道,随后通过该安全可信通道发送源标识以及目标标识,以防止源标识以及目标标识被篡改或泄露。
202、第一网络设备基于源标识、目标标识以及访问控制策略确定关联属性以及与关联属性对应的第一目标约束项。
在第一网络设备接收到计算机设备发送的源标识以及目标标识后,第一网络设备基于源标识、目标标识以及访问控制策略确定关联属性以及与关联属性对应的第一目标约束项。其中,关联属性为与源标识关联的属性,第一目标约束项为关联属性对应的信息的预设约束范围。
具体的,第一网络设备可以基于接收到的源标识、目标标识作为查询条件,根据访问控制策略确定源标识对应的关联属性,该关联属性的数量至少为一个。可选的,关联属性至少包括登录模式、行为异常度、访问关系异常度、终端健康度、流量异常度、设备密级、位置信息、安全组信息或访问时间等中的任意一项。另外,可选的,关联属性可以关联属性的名称标识、或者以预设的字母、数值、汉字、汉字组合或字符串等标识关联属性,具体此处不做限定。
然后第一网络设备根据关联属性就能确定与关联属性对应的第一目标约束项。例如关联属性与关联属性对应的第一目标约束项可以是以键值对的形式表示,通过键值对可以确定与关联属性对应的第一目标约束项。其中,第一目标约束项为关联属性对应的信息的预设约束范围,可选的,第一目标约束项中的信息包括人脸信息、密码信息、指纹信息、数值信息、字母或字母组合、字符串、设备信息或语音信息等等,还可以是其他可记载的信息,例如字母以及字母组合等,具体此处不做限定。可选的,第一目标约束项具体可以是前述信息的组合(例如[指纹信息、人脸信息]),或者可以是信息之间的区间范围(例如[2-4]),或者可以是一个单词或单词组合(例如good),可以理解的是,第一目标约束项可以根据实际情况进行设定,具体此处不做限定。
以键值对的形式表示关联属性以及与关联属性对应的第一目标约束项的具体示例如:(登录模式,[指纹信息、人脸信息])、(行为异常度,[2-3])、或(访问关系异常度,[2-4])、(终端健康度,good)或(流量异常度,[0])。需要说明的是,第一目标约束项包括的内容可以是多个信息,也可以是单一的信息,具体此处不做限定。
可以理解的是,本申请实施例以键值对为例对关联属性以及与关联属性对应的第一目标约束项进行说明,仅仅只是作为示例,并不构成对本申请实施例产生实质性的限定,在实际情况中,其他能达到相同效果的实现方式一样适用于本申请,具体此处不做限定。
一种可能的实现方式中,第一网络设备基于源标识、目标标识以及访问控制策略确定关联属性表项,该关联属性表项为至少包括关联属性以及与关联属性对应的第一目标约束项的表项,然后第一网络设备根据该关联表项确定关联属性以及与关联属性对应的第一目标约束项。其中,关联属性列表的其他形式可以参阅图3,图3为本申请实施例提供的一个关联属性列表的示意图,其中包括关联属性以及与关联属性对应的第一目标约束项。可以理解的是,图3仅仅作为示例以便于理解本申请实施例,不对本申请实施例产生实质性性的限定,在实际情况中,还能以其他的形式表示关联属性列表,具体此处不做限定。
在本申请的实施方式中,第一网络设备基于源标识、目标标识以及访问控制策略确定关联属性列表,然后确定关联属性以及与关联属性对应的第一目标约束项,能便捷有效的管理关联属性以及与关联属性对应的第一目标约束项,节约运维成本。
需要说明的是,访问控制策略包括计算机设备访问目标资源的条件,具体的实现形式例如ACL、用户访问权限列表(user control list,UCL)或属性策略列表(attributepolicy list,APL),可以理解的是,还能是其他的实现形式,具体此处不做限定。
203、第一网络设备至少基于第一密钥、关联属性以及与关联属性对应的第一目标约束项确定第一验证码。
第一网络设备至少基于第一密钥、关联属性以及与关联属性对应的第一目标约束项确定第一验证码。
示例性的,为便于理解请参阅图4,图4为本申请实施例提供的确定第一验证码的一个示意图,其中,第一网络设备以第一密钥、关联属性以及与关联属性对应的第一目标约束项为安全算法的输入得到第一验证码。可选的,安全算法可以是密码杂凑算法(hash-based message authentication code algorithm,HMAC),或者基于对称密码的消息杂凑算法(cipher-based message authentication code algorithm,CMAC)或者数字签名算法,可以理解的是,在实际情况中,还能是其他能达到同样效果的算法,具体此处不做限定。
需要说明的是,在确定第一验证码的时候,可选的,第一密钥可以是对称密钥,也可以是非对称的公私密钥对,可以理解的是,可以根据实际情况确定第一密钥,具体此处不做限定。
在一种可能的实现方式中,第一网络设备基于源标识和/或目标标识和/或有效期、第一密钥、关联属性以及与关联属性对应的第一目标约束项确定第一验证码。其中,有效期是第一验证码的有效期限。可选的,该有效期可以预设在访问控制策略中,或预设在第一网络设备上,也可以是其他记录访问相关信息的网络设备中,可以理解的是,在实际情况中,可以根据实际情况进行选择,具体此处不做限定。
具体请参阅图5,图5为本申请实施例提供的确定第一验证码的另一个示意图。其中的具体内容与前述图4所示的类似,具体此处不再赘述。
在本申请的实施方式中,第一网络设备基于源标识和/或目标标识和/或有效期、第一密钥、关联属性以及与关联属性对应的第一目标约束项确定第一验证码,其中通过更多的因素确定第一验证码,增加了方案的灵活性,且有效期对第一验证码进行了时限限定,防止在非有效期内访问目标资源,提高了网络安全的保障性。
204、第一网络设备向计算机设备发送第一指示信息。
第一网络设备向计算机设备发送第一指示信息。其中,该第一指示信息至少包括第一验证码。
另外,可选的,第一指示信息还可以包括有效期、关联属性或与关联属性对应的第一目标约束项。示例性的,第一指示信息包含的具体内容请参阅图6,图6为本申请实施例提供的第一指示信息的一个示意图。
举例说明,在第一网络设备接收到的源标识以及目标标识包含在由计算机设备发送的令牌请求中的情况下,第一网络设备可以将第一指示信息以令牌的形式向计算机设备发送,且第一指示信息仍以令牌的形式参与后续操作。
在一种可能的实现方式中,在将第一指示信息以令牌的形式发送的情况下,前述步骤203中在确定第一验证码的时候,还能以令牌的身份标识号为安全算法的输入,能保证第一验证码的单一性,以防止第一验证码被盗取或篡改,提高网络的安全性。具体请参阅图7,图7为本申请实施例提供的确定第一验证码的另一个示意图,其中具体内容与前述图5类似,具体此处不再赘述。
可以理解的是,此处将第一指示信息以令牌为例仅仅作为示例提供一个具体的应用方式以便于理解本申请实施例,在实际情况中,第一指示信息还能以其他的形式发送,或者直接将第一指示信息发送给计算机设备,具体此处不做限定。
在一种可能的实现方式中,第一网络设备基于第一指示信息确定第二密钥,然后第一网络设备还向计算机设备发送第二密钥,计算机设备基于第二密钥能生成第二验证码,该第二验证码用于验证计算机设备访问目标资源的报文。
示例性的,第一网络设备以第三密钥以及第一指示信息为密钥派生函数的输入得到第二密钥。可选的,该第三密钥可以与前述的第一密钥相同,也可以是随机生成的密钥,具体与前述第一密钥类似,具体此处不再赘述。可以理解的是,在实际情况中,第三密钥具体可由实际情况确定,具体此处不做限定。
在本申请的实施方式中,第一网络设备基于第一指示信息得到第二密钥,并发送给计算机设备,使得计算机设备生成第二验证码,第二验证码用于验证计算机设备访问目标资源的报文,更大程度的增强网络安全的保障性,且第二密钥由第一指示信息得到,安全性更高,更大程度能防止被篡改或伪造。
205、计算机设备获取关联属性以及确定与关联属性对应的第一目标信息,并发送访问目标资源的报文。
计算机设备获取关联属性,然后确定与关联属性对应的第一目标信息,该第一目标信息为关联属性在计算机设备访问目标资源的情况下对应的信息。然后计算机设备发送访问目标资源的报文,该报文至少包括第一指示信息、关联属性以及与关联属性对应的第一目标信息。其中,关联属性的数量至少为一个。示例性的,报文的具体内容请参阅图8,图8为本申请实施例提供的报文的一个示意图。
需要说明的是,与关联属性对应的第一目标信息可以是人脸信息、密码信息、指纹信息、数值信息、字母或字母组合信息、数值与字母组合信息、字符串信息、设备信息或语音信息等等,还可以是其他可记载的信息,具体此处不做限定。
另外,举例说明,在报文中关联属性以及与关联属性对应的第一目标信息能以键值对的形式表示,例如关联属性为登录模式,与登录模式对应的第一目标信息为采集到的人脸信息,用键值对表示为(登录模式,人脸信息),可以理解的是,此处以键值对为例仅仅作为示例便以理解本申请实施例,不对本申请产生实质性的限定,其他能达到相同效果或目的的方式也可以,具体此处不做限定。
在一种可能的实现方式中,计算机设备接收到第一网络设备发送的第二密钥,且计算机设备基于第二密钥以及报文确定第二验证码,然后计算机设备发送第二验证码。示例性的,计算机设备基于第二密钥以及报文中全部或部分固定不变的信息确定第二验证码,例如计算机设备通过报文中的负载信息,或负载信息与源标识、源标识与目标标识等信息以及第二密钥确定第二验证码。且计算机设备可以将第二验证码添加到报文中一起发送,如图9所示,图9为本申请实施例提供的报文的另一个示意图。
在本申请的实施方式中,计算机设备通过第二密钥以及报文得到第二验证码,第二验证码用于验证报文,增加了验证报文的措施,且第二验证码由第二密钥得到,更能防止第二验证码被篡改或伪造,更大程度的提高网络安全的保障性。
在一种可能的实现方式中,上述的第一指示信息、第二验证码、关联属性以及与关联属性对应的第一目标信息可以在报文协议头部字段。可选的,报文协议头部具体可以是应用层头部、传输层头部或网络层头部。具体示例如,上述的第一指示信息、第二验证码、关联属性以及与关联属性对应的第一目标信息可在网际协议第六版(internet protocolversion 6,IPV6)或网际协议第六版(internet protocol version 4,IPV4)的扩展字段或可选头中。或者上述的第一指示信息、第二验证码、关联属性以及与关联属性对应的第一目标信息可在传输控制协议(transmission control protocol,TCP)的选项头中。可以理解的是,前述示例仅仅用于理解本申请实施例,在实际情况中,上述的第一指示信息、第二验证码、关联属性以及与关联属性对应的第一目标信息还能在其他报文中其他位置,具体此处不做限定。
在一种可能的实现方式中,计算机设备从包括关联属性的第一指示信息中获取关联属性,或者计算机设备从第二网络设备获取关联属性,或者计算机设备从第二指示信息中获取关联属性,该第二指示信息为计算机设备具备的包括关联属性的信息。下面分别说明:
方式一、第一指示信息还包括关联属性,计算机设备从第一指示信息中获取关联属性。
第一网络设备向计算机设备发送的第一指示信息还包括关联属性,计算机设备可以直接从第一指示信息中获取计算机设备访问目标资源的情况下对应的关联属性。能提高工作效率,且确保与第一网络设备中刚确定关联属性一致。
方式二、计算机设备从第二网络设备获取关联属性。
计算机设备从第二网络设备获取关联属性。示例性的,请参阅图10,图10为本申请实施例提供的应用场景的另一个示意图,其中第二网络设备可能是其他的服务器、或控制器等具备访问控制策略的网络设备,或者具备该计算机设备对应的关联属性的网络设备。可以理解的是,第二网络设备还能是其他能获取关联属性的网络设备,具体此处不做限定。
需要说明的是,在本申请的实施方式中,不对步骤205与步骤204的先后顺序做限定。
在本申请的实施方式中,计算机设备从第二网络设备获取关联属性,能减少第一指示信息的数据量,节省网络资源。
方式三、计算机设备从第二指示信息中获取关联属性,该第二指示信息为计算机设备具备的包括关联属性的信息。
可选的,第二指示信息可以是预设的包括与计算机设备对应的关联属性的表项或其他形式的信息。可以理解的是,第二指示信息可以只包括关联属性,也可以包括其他信息,具体此处不做限定。
需要说明的是,在本申请的实施方式中,不对步骤205与步骤204的先后顺序做限定。
在本申请的实施方式中,计算机设备从本地具备的第二指示信息中获取关联属性,能提供工作效率、节省网络资源。
206、第三网络设备接收计算机设备访问目标资源的报文。
第三网络设备接收计算机设备访问目标资源的报文,该报文至少包括第一指示信息、关联属性以及与关联属性对应的第一目标信息,其中第一指示信息至少包括第一目标验证码。
可选的,第一目标验证码可以是第一验证码,该第一验证码是前述第一网络设备至少基于第一密钥、关联属性以及与所述关联属性对应的第一目标约束项得到的,或者第一目标验证码是被伪造或篡改的验证码,用于盗取目标资源。
可选的,第三网络设备接收到由计算机设备发送的访问目标资源的报文,或者第三网络设备接收到由第四网络设备转发的计算机设备访问目标资源的报文。
示例性的,第三网络设备为计算机设备侧的接入层网络设备,则直接接收到由计算机设备发送的访问目标资源的报文,或第三网络设备为核心层网络设备,则接收由第四网络设备转发的计算机设备访问目标资源的报文。可以理解的是,第三网络设备为接入层网络设备或核心层网络设备仅仅作为示例,第三网络设备还能是报文转发路径中其他的网络设备,在实际情况中,第三网络设备为根据实际需求部署验证报文中第一目标验证码的网络设备,具体此处不做限定。
在一种可能的实现方式中,第一网络设备向第四网络设备发送关联属性以及与关联属性对应的第二目标信息,该第二目标信息为关联属性对应的预设信息。在第四网络设备接收计算机设备访问目标资源的报文,该报文至少包括第一指示信息、关联属性以及关联属性对应的第一目标信息。然后第四网络设备获取关联属性以及与关联属性对应的第二目标信息,且在关联属性对应的第一目标信息与关联属性对应的第二目标信息一致的情况下,第四网络设备发送报文,然后接收到报文的第三网络设备执行后续步骤。在关联属性对应的第一目标信息与关联属性对应的第二目标信息不一致的情况下,第四网络设备将报文丢弃。
可选的,第四网络设备从第一网络设备获取关联属性以及与关联属性对应的第二目标信息,或从第二网络设备获取关联属性以及与关联属性对应的第二目标信息,或第四网络设备还能从其他具备关联属性与关联属性对应的第二目标信息的网络设备上获取,具体此处不做限定。如上述图10中所示,第四网络设备从第一网络设备中获取关联属性以及与关联属性对应的第二目标信息,可以理解的是,图10仅为一个示例,以便于理解本申请实施例,不对本申请产生实质性的限定。需要说明的是,第二目标信息可以是预设的人脸信息、密码信息、指纹信息、数值信息、字母或字母组合信息、数值与字母组合信息、设备信息或语音信息等等,还可以是其他可记载的信息,具体此处不做限定。
可选的,第四网络设备可以是网关设备(例如路由器、交换机、防火墙或集线器等具备报文转发能力的网络设备)或应用服务器等网络设备。
在本申请的实施方式中,第四网络设备接收计算机设备访问目标资源的报文后,验证报文的真实性,在报文中关联属性对应的第一目标信息与该关联属性对应的第二目标信息一致的情况下,确定该报文真实有效,才向第三网络设备发送报文,进而继续验证报文。而在报文中关联属性对应的第一目标信息与该关联属性对应的第二目标信息不一致的情况下,第四网络设备将报文丢弃,确保了第三网络设备从第四网络设备接收到的报文是有效的,再执行后续验证报文的操作,提高整体的工作效率,节省对网络资源的占用。
207、第三网络设备获取与关联属性对应的第一目标约束项。
第三网设备获取与关联属性对应的第一目标约束项。
可选的,在第一指示信息还包括与关联属性对应的第一目标约束项的情况下,第三网络设备从第一指示信息中获取与关联属性对应的第一目标约束项。或者,第三网络设备直接从第一网络设备获取与关联属性对应的第一目标约束项,即第一网络设备向第三网络设备发送的关联属性对应的第一目标约束项。在本申请的实施方式中,提供了多场景应用,体现了方案的可选择性。
在一种可能的实现方式中,在第三网络设备接收到的报文没有如前述步骤206中第四网络设备对报文进行真实性的验证的情况下,在后续步骤208、步骤209或步骤210任一步骤之前,第三网络设备还获取关联属性以及与关联属性对应的第二目标信息,其中第二目标信息为关联属性对应的预设信息。然后在关联属性对应的第一目标信息与关联属性对应的第二目标信息一致的情况下,第三网络设备确定关联属性对应的第一目标信息有效。然后第三网络设备才继续执行后续。或者,在关联属性的第一目标信息与关联属性对应的第二目标信息不一致的情况下,第三网络设备将报文丢弃。
可选的,第三网络设备从第一网络设备获取关联属性以及与关联属性对应的第二目标信息,即第一网络设备向第三网络设备发送的关联属性以及与关联属性对应的第二目标信息。或者,第三网络设备从第二网络设备获取关联属性以及关联属性对应的第二目标信息,可以理解的是,第三网络设备还能从其他具备关联属性与关联属性对应的第二目标信息的网络设备上获取,具体此处不做限定。具体实施方式与前述步骤206中第四网络设备的实施方式类似,具体此处不再赘述。
在本申请的实施方式中,第三网络设备对与关联属性对应的第一目标信息确认有效的报文进行后续操作,能提高工作效率,减少对网络资源的浪费。
在一种可能的实现方式中,在后续步骤208、步骤209或步骤210任一步骤之前,第一指示信息还包括有效期,第三网络设备基于有效期确定第一验证码有效。在第一验证码有效的情况下,第三网络设备继续执行后续步骤验证报文。或者,在第一验证码无效的情况下,第三网络设备将报文丢弃。
可选的,可以是在第三网络设备接收到报文的时刻属于有效期的情况下,第三网络设备确定第一验证码有效;或者在第三网络设备基于有效期验证第一验证码的时刻属于有效期的情况下,第三网络设备确定第一验证码有效;或者在计算机设备访问目标资源的时刻属于有效期的情况下,第三网络设备确定第一验证码有效。可以理解的是,在实际情况中,可以根据实际需求基于有效期验证第一验证码有效,具体此处不做限定。
在本申请的实施方式中,第一指示信息还包括有效期,第三网络设备基于有效期确定第一验证码有效,在第一验证码有效的情况下在执行后续步骤验证报文,或者,在第一验证码无效的情况下,第三网络设备将报文丢弃。确保报文的即时性和有效性,且节省网络资源,确保资源不被恶意盗取。
在一种可能的实现方式中,在关联属性对应的第一目标信息属于关联属性对应的第一目标约束项的情况下,执行后续步骤208以及步骤209或步骤210;或者,在关联属性对应的第一目标信息不属于关联属性对应的第一目标约束项的情况下,执行步骤210。下面分别说明:
方式一、在关联属性对应的第一目标信息属于关联属性对应的第一目标约束项的情况下:
208、第三网络设备至少基于第一密钥、关联属性以及与关联属性对应的第一目标约束项确定第二目标验证码。
示例性的,例如报文中的某个关联属性为登录模式,其对应的第一目标约束项为[人脸信息、指纹信息],而登录模式对应的第一目标信息为人脸信息且与第一目标约束项中的人脸信息一致,则第三网络设备确定登录模式对应的第一目标信息属于登录模式对应的第一目标约束项,则第三网络设备至少基于第一密钥、关联属性以及与关联属性对应的第一目标约束项确定第二目标验证码。可以理解的是,该示例仅仅用于理解本申请实施例,不对本申请实施例产生实质性的限定。
需要说明的是,步骤208具体与上述步骤203中第一网络设备至少基于第一密钥、关联属性以及与关联属性对应的第一目标约束项确定第一验证码类似,具体此处不再赘述。
在一种可能的实现方式中,第三网络设备基于报文中的源标识和/或目标标识和/或有效期、第一密钥、关联属性以及与关联属性对应的第二目标约束项确定第二目标验证码。需要说明的是,具体的实现方式与上述图7所述的方式类似,具体此处不再赘述。
在本申请的实施方式中,第三网络设备基于报文中的源标识和/或目标标识和/或有效期、第一密钥、关联属性以及与关联属性对应的第二目标约束项确定第二目标验证码,通过多因素确定第二目标验证码,能提高网络安全的保障性,且增加方案的灵活性以及可选择性。
可选的,该第一密钥可以是预设在第三网络设备上,也可以是由第一网络设备发送的第一密钥,第一密钥的具体形式在前述步骤203中已进行详细说明,具体此处不再赘述。
另外,可选的,第三网络设备得到由第一网络设备发送的第一密钥之前,第三网络设备可以通过安全传输层(transport layer security,TLS)协议、带外配置等方式,与第一网络设备建立安全可信通道,随后通过该安全可信通道得到第一密钥,以防止第一密钥被篡改或泄露。
在一种可能的实现方式中,如上述图9所示的报文还包括第二验证码,第三网络设备还基于第一指示信息以及报文确定第三验证码。示例性的,第三网络设备首先基于第一指示信息以及第三密钥得到新的密钥,然后第三网络设备基于新的密钥以及报文中固定不变的部分或全部信息得到第三验证码。具体如前述步骤204以及步骤205中所述的类似,具体此处不再赘述。需要说明的是,第三密钥可以是预设在第一网络设备以及第三网络设备上的共享密钥,也可以是第一网络设备随机派生的密钥,且发送给第三网络设备。可以理解的是,在实际情况中,第三密钥可以根据需求确定,具体此处不做限定。
可选的,在第一目标验证码与第二目标验证码相同的情况下,执行步骤209,或,在第一目标验证码与第二目标验证码不同的情况下,执行步骤210,下面分别说明:
方式a、在第一目标验证码与第二目标验证码相同的情况下,执行步骤209:
209、第三网络设备发送报文。
在第一目标验证码与第二目标验证码相同的情况下,第三网络设备发送报文,使得计算机设备访问目标资源。
在一种可能的实现方式中,报文还包括第二验证码,在第一目标验证码与第二目标验证码相同,且第二验证码与第三验证码相同的情况下,第三网络设备发送报文,使得计算机设备访问目标资源。
在本申请的实施方式中,在第一目标验证码与第二目标验证码相同,且第二验证码与第三验证码相同的情况下,第三网络设备才发送报文,使得计算机设备访问目标资源,提供网络安全性,能更大程度的避免资源被恶意盗取,保证网络安全。
方式b、在第二验证码与第三验证码不相同的情况下,执行步骤210:
210、第三网络设备将报文丢弃。
在第一目标验证码与第二目标验证码不同的情况下,第三网络设备将报文丢弃。
一种可能的实现方式中,在第二验证码与第三验证码不相同的情况下,第三网络设备将报文丢弃。
在本申请的实施方式中,第三网络设备将报文丢弃,可以避免计算机设备访问目标资源,防止资源被恶意盗取,且节约网络资源。
方式二、在关联属性对应的第一目标信息不属于关联属性对应的第一目标约束项的情况下,执行步骤210:
210、第三网络设备将报文丢弃。
示例性的,例如报文中的某个关联属性为登录模式,此时登录模式对应的第一目标信息为密码信息,登录模式对应的第一目标约束项为[人脸信息、指纹信息],则登录模式对应的第一目标信息不属于对应的第一目标约束项,则第三网络设备将报文丢弃。可以理解的是,该示例仅仅用于理解本申请实施例,不对本申请实施例产生实质性的限定。
在本申请实施例中,其中,第一网络设备在第一密钥、计算机设备的关联属性以及与关联属性对应的第一目标约束项的基础上确定第一验证码,计算机设备发送的访问目标资源的报文至少包括第一指示信息、关联属性以及与关联属性对应的第一目标信息,且第三网络设备基于报文中的第一指示信息、关联属性以及与关联属性对应的第一目标信息的基础上验证报文,通过关联属性能实时的监控计算机设备的状态,最大可能的防止目标资源被恶意盗取,提高网络安全,且在验证过程中,减少了对ACL的应用,由此减少了对ACL运维的成本。
为了实现上述本申请实施例提供的方法中的各功能,计算机设备、第一网络设备、第二网络设备、第三网络设备、第四网络设备均可以包括硬件结构和/或软件模块,以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行,取决于技术方案的特定应用和设计约束条件。
如图11所示,本申请实施例还提供了一种计算机设备1100。具体请参阅图11,图11为本申请实施例提供的计算机设备的一个结构示意图,该计算机设备1100可以是具有通信功能的终端设备,具体示例如前述所示,具体此处不再赘述。一种可能的实现中,该计算机设备1100可以包括执行上述方法实施例中计算机设备执行的方法/操作/步骤/动作所一一对应的模块或单元,该单元可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。一种可能的实现中,该计算机设备1100可以包括:发送单元1101、接收单元1102、获取单元1103以及确定单元1104。发送单元1101可以用于执行如上述方法实施例中计算机设备发送源标识以及目标标识步骤,以及发送访问目标资源的报文的步骤,接收单元1102可以用于执行如上述方法实施例中计算机设备接收第一指示信息的步骤,获取单元1103可以用于执行如上述方法实施例中计算机设备获取关联属性的步骤,确定单元1104可以用于执行如上述方法实施例中计算机设备确定与关联属性对应的第一目标信息的步骤。
在本申请实施例中,发送单元1101向第一网络设备发送源标识以及目标标识,然后接收单元1102接收由第一网络设备发送的第一指示信息,第一指示信息至少包括第一验证码,该第一验证码是至少基于第一密钥、关联属性以及与关联属性对应的第一目标约束项确定得到的,其中关联属性以及与关联属性对应的第一目标约束项基于源标识、目标标识以及访问控制列表得到。然后获取单元1103获取关联属性,确定单元1104确定与关联属性对应的第一目标信息,接着发送单元1104发送访问目标资源的报文,其中,该报文至少包括第一指示信息、关联属性以及与关联属性对应的第一目标信息。其中报文包括第一指示信息、关联属性以及与关联属性对应的第一目标信息,由此验证报文能保证报文的即时性与真实性,更大程度的确保目标资源不被恶意盗取,提高了网络安全,且减少了对ACL的应用,减少了对ACL运维的成本。
在其他可能的设计中,上述发送单元1101、接收单元1102、获取单元1103或确定单元1104可以一一对应的执行上述方法实施例中计算机设备对应的各种可能的实现方式中的方法/操作/步骤/动作,具体此处不再赘述。且在其他各种可能设计的计算机设备的有益效果请参考上述图2中方法实施例中计算机设备一一对应的各种实现方式的有益效果,具体此处不再赘述。
需要说明的是,图11对应实施例所述的计算机设备中各模块/单元之间的信息交互、执行过程等内容,与本申请中图2对应的方法实施例基于同一构思,具体内容可参见本申请前述所示的方法实施例中的叙述,具体此处不再赘述。
如图12所示,本申请实施例还提供了一种网络设备1200。具体请参阅图12,图12为本申请实施例提供的网络设备的一个结构示意图,该网络设备1200可以是应用服务器、控制器、网关设备或个人计算机等网络设备。一种可能的实现中,该网络设备1200可以包括执行上述方法实施例中第一网络设备执行的方法/操作/步骤/动作所一一对应的模块或单元,该单元可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。一种可能的实现中,该网络设备1200可以包括:接收单元1201、第一确定单元1202、第二确定单元1203以及发送单元1204。接收单元1201可以用于执行如上述方法实施例中第一网络设备接收源标识以及目标标识的步骤,第一确定单元1202可以用于执行如上述方法实施例中第一网络设备确定关联属性以及与关联属性对应的第一目标约束项的步骤,第二确定单元1203可以用于执行如上述方法实施例中第一网络设备确定第一验证码的步骤,发送单元1204可以用于执行如上述方法实施例中第一网络设备发送至少包括第一验证码的第一指示信息的步骤。
在本申请实施例中,接收单元1201接收计算机设备发送的源标识以及目标标识,然后第一确定单元1202基于源标识、目标标识以及访问控制策略确定关联属性以及与关联属性对应的第一目标约束项,然后第二确定单元1203至少基于第一密钥、关联属性以及与关联属性对应的第一目标约束项确定第一验证码,发送单元1204向计算机设备发送至少包括第一验证码的第一指示信息,使得计算机设备基于第一指示信息发送访问目标资源的报文。其中,第一验证码基于计算机设备对应的关联属性以及与关联属性对应的第一目标约束项确定得到,降低了第一验证码被伪造以及篡改的可能性,提高网络安全的保障性,且基于第一验证码对报文进行验证,减少了对ACL的应用,减少了ACL的运维成本。
在其他可能的设计中,上述接收单元1201、第一确定单元1202、第二确定单元1203或发送单元1204可以一一对应的执行上述方法实施例中第一网络设备对应的各种可能的实现方式中的方法/操作/步骤/动作,具体此处不再赘述。且在其他各种可能设计的网络设备的有益效果请参考上述图2中方法实施例中第一网络设备一一对应的各种实现方式的有益效果,具体此处不再赘述。
需要说明的是,图12对应实施例所述的网络设备中各模块/单元之间的信息交互、执行过程等内容,与本申请中图2对应第一网络设备的方法实施例基于同一构思,具体内容可参见本申请前述所示的方法实施例中的叙述,具体此处不再赘述。
如图13所示,本申请实施例还提供了一种网络设备1300。具体请参阅图13,图13为本申请实施例提供的网络设备的另一个结构示意图,该网络设备1300可以是网关设备(例如路由器、交换机、防火墙或集线器等具备报文转发能力的网络设备)或应用服务器等网络设备。一种可能的实现中,该网络设备1300可以包括执行上述方法实施例中第三网络设备执行的方法/操作/步骤/动作所一一对应的模块或单元,该单元可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。一种可能的实现中,该网络设备1300可以包括:接收单元1301、获取单元1302、确定单元1303以及发送单元1304。接收单元1301可以用于执行如上述方法实施例中第三网络设备接收计算机设备访问目标资源的报文的步骤,获取单元1302可以用于执行如上述方法实施例中第三网络设备获取与关联属性对应的第一目标约束项的步骤,确定单元1303可以用于执行如上述方法实施例中第三网络设备确定第二目标验证码的步骤,发送单元1304可以用于执行如上述方法实施例中第三网络设备发送访问目标资源的报文的步骤。
在另一种可能的设计中,网络设备1300还包括丢弃单元1305,丢弃单元1305,可以用于执行如上述方法实施例中第三网络设备丢弃报文的步骤。
在本申请实施例中,接收单元1301接收计算机设备访问目标资源的报文,获取单元1302获取关联属性对应的第一目标约束项,然后在关联属性对应的第一目标信息属于关联属性对应的所述第一目标约束项的情况下,确定单元1303至少基于第一密钥、关联属性以及与关联属性对应的第一目标约束项确定第二目标验证码,发送单元1304在第一目标验证码与第二目标验证码相同的情况下发送报文,使得计算机设备访问目标资源。而丢弃单元1305在关联属性对应的第一目标信息不属于关联属性对应的第一目标约束项的情况下,将报文丢弃,或者在第一目标验证码与第二目标验证码不同的情况下,将报文丢弃。其中,在关联属性以及与关联属性对应的第一目标信息的基础上得到第二目标验证码验证报文,能实时监控计算机设备的状态,提高网络安全的保障,尽可能避免资源被恶意盗取,且避免了基于ACL验证报文,减少了对ACL运维的成本。
在其他可能的设计中,上述接收单元1301、获取单元1302、确定单元1303、发送单元1304或丢弃单元1305可以一一对应的执行上述方法实施例中第三网络设备对应的各种可能的实现方式中的方法/操作/步骤/动作,具体此处不再赘述。且在其他各种可能设计的网络设备的有益效果请参考上述图2中方法实施例中第三网络设备一一对应的各种实现方式的有益效果,具体此处不再赘述。
需要说明的是,图13对应实施例所述的网络设备中各模块/单元之间的信息交互、执行过程等内容,与本申请中图2对应第三网络设备的方法实施例基于同一构思,具体内容可参见本申请前述所示的方法实施例中的叙述,具体此处不再赘述。
需要说明的是,本申请实施例还提供一种网络设备,该网络设备可以是网关设备(例如路由器、交换机、防火墙或集线器等具备报文转发能力的网络设备)或应用服务器等网络设备。能执行上述方法实施例中第四网络设备对应的各种可能的实现方式中的方法/操作/步骤/动作。该网络设备中各模块/单元之间的信息交互、执行过程等内容,与本申请中图2对应第四网络设备的方法实施例基于同一构思,具体内容可参见本申请前述所示的方法实施例中的叙述,具体此处不再赘述。
另外,在本申请各个实施例中的各功能模块或单元可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上模块或单元集成在一个模块或单元中。上述集成的模块或单元既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
接下来介绍本申请实施例提供的一种通信装置,请参阅图14,图14为本申请实施例提供的通信装置的一个结构示意图,通信装置1400上可以部署有图11或图12或图13对应实施例中所描述的模块,用于实现图11中计算机设备的功能,或图12或图13对应实施例中网络设备的功能,具体的,通信装置1400由一个或多个服务器实现,通信装置1400可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(centralprocessing units,CPU)1422(例如,一个或一个以上中央处理器)和存储器1432,一个或一个以上的存储介质1430(例如一个或一个以上海量存储设备)。其中,存储器1432和存储介质1430可以是短暂存储或持久存储。存储在存储介质1430的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对通信装置1400中的一系列指令操作。更进一步地,中央处理器1422可以设置为与存储介质1430通信,在通信装置1400上执行存储介质1430中的一系列指令操作。
通信装置1400还可以包括一个或一个以上电源1426,一个或一个以上有线或无线网络接口1450,和/或,一个或一个以上输入输出接口1458。
本申请实施例中,中央处理器1422,用于执行图2对应实施例中的方法。例如,中央处理器1422可以用于:发送源标识以及目标标识,然后接收至少包括第一验证码的第一指示信息,再获取关联属性以及确定与关联属性对应的第一目标信息,然后发送访问目标资源的报文,该报文至少包括第一指示信息、关联属性以及与关联属性对应的第一目标信息。
或中央处理器1422可以用于:接收源标识以及目标标识,然后基于源标识、目标标识以及访问控制策略确定关联属性以及与关联属性对应的第一目标约束项,再基于源标识、目标标识、关联属性以及与关联属性对应的第一目标约束项确定第一验证码,然后向计算机设备发送至少包括第一验证码的第一指示信息。
或中央处理器1422可以用于:接收计算机设备访问目标资源的报文,该报文至少包括第一指示信息、关联属性以及与关联属性对应的第一目标信息。然后获取与关联属性对应的第一目标约束项,再基于与关联属性对应的第一目标约束项以及报文中的关联属性以及与关联属性对应的第一目标信息确定第二目标约束项。然后基于源标识、目标标识、关联属性以及与关联属性对应的第二目标约束项确定第二目标验证码,且在第一验证码与第二目标验证码相同的情况下,发送报文。
需要说明的是,中央处理器1422还可以用于执行与本申请中图2对应的方法实施例中任意一个步骤,具体内容可参见本申请前述所示的方法实施例中的叙述,此处不再赘述。
本申请实施例还提供一种计算机可读存储介质,包括计算机可读指令,当计算机可读指令在计算机上运行时,使得计算机执行如前述方法实施例所示任一项实现方式。
本申请实施例还提供的一种计算机程序产品,计算机程序产品包括计算机程序或指令,当计算机程序或指令在计算机上运行时,使得计算机执行如前述方法实施例所示任一项实现方式。
本申请还提供一种芯片或芯片系统,该芯片可包括处理器。该芯片还可包括存储器(或存储模块)和/或收发器(或通信模块),或者,该芯片与存储器(或存储模块)和/或收发器(或通信模块)耦合,其中,收发器(或通信模块)可用于支持该芯片进行有线和/或无线通信,存储器(或存储模块)可用于存储程序或一组指令,该处理器调用该程序或该组指令可用于实现上述方法实施例、方法实施例的任意一种可能的实现方式中由终端或者网络设备执行的操作。该芯片系统可包括以上芯片,也可以包含上述芯片和其他分立器件,如存储器(或存储模块)和/或收发器(或通信模块)。
本申请还提供一种通信系统,该通信系统可包括以上计算机设备、第一网络设备以及第三网络设备,可能还包括第四网络设备。该通信系统可用于实现上述方法实施例以及方法实施例的任意一种可能的实现方式中由计算机设备或者第一网络设备或者第三网络设备或者第四网络设备执行的操作。
另外需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本申请提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件的方式来实现,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下,凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现,而且,用来实现同一功能的具体硬件结构也可以是多种多样的,例如模拟电路、数字电路或专用电路等。但是,对本申请而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘、U盘、移动硬盘、只读存储器(read only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,训练设备,或者网络设备等)执行本申请各个实施例所述的方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、训练设备或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、训练设备或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的训练设备、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,高密度数字视频光盘(digital video disc,DVD))、或者半导体介质(例如,固态硬盘(solid statedrive,SSD))等。
Claims (29)
1.一种访问控制方法,其特征在于,包括:
计算机设备向第一网络设备发送源标识以及目标标识,所述源标识指示所述计算机设备,所述目标标识指示目标资源,所述目标资源为所述计算机设备待访问的资源;
所述计算机设备接收由所述第一网络设备发送的第一指示信息,所述第一指示信息至少包括第一验证码,所述第一验证码至少基于第一密钥、关联属性以及与所述关联属性对应的第一目标约束项得到,所述关联属性为与所述源标识关联的属性,所述第一目标约束项为所述关联属性对应的信息的预设约束范围;
所述计算机设备获取所述关联属性,并确定所述关联属性对应的第一目标信息,所述第一目标信息为所述关联属性在所述计算机设备访问所述目标资源的情况下对应的信息;
所述计算机设备发送访问所述目标资源的报文,所述报文至少包括所述第一指示信息、所述关联属性以及所述关联属性对应的所述第一目标信息。
2.根据权利要求1所述的方法,其特征在于,所述第一指示信息还包括所述关联属性,所述计算机设备获取所述关联属性包括:
所述计算机设备从所述第一指示信息获取所述关联属性。
3.根据权利要求1所述的方法,其特征在于,所述计算机设备获取所述关联属性包括:
所述计算机设备从第二网络设备获取所述关联属性。
4.根据权利要求1所述的方法,其特征在于,所述计算机设备获取所述关联属性包括:
所述计算机设备从第二指示信息获取所述关联属性,所述第二指示信息为所述计算机设备具备的包括所述关联属性的信息。
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述方法还包括:
所述计算机设备接收由所述第一网络设备发送的第二密钥,所述第二密钥由所述第一网络设备基于所述第一指示信息得到;
所述计算机设备基于所述第二密钥以及所述报文确定第二验证码;
所述计算机设备发送所述第二验证码。
6.根据权利要求1-5中任一项所述的方法,其特征在于,所述第一指示信息还包括所述关联属性对应的所述第一目标约束项,和/或有效期,所述有效期为所述第一验证码的有效期限。
7.根据权利要求1-6中任一项所述的方法,其特征在于,所述关联属性至少包括以下任意一项:
登录模式、行为异常度、访问关系异常度、终端健康度、流量异常度、设备密级、位置信息、安全组信息或访问时间。
8.根据权利要求1-7中任一项所述的方法,其特征在于,所述源标识至少包括以下任意一项:
所述计算机设备的网际互连协议IP地址、所述计算机设备的设备标识、所述计算机设备对应的用户身份标识、所述计算机设备对应的所属用户组或源端口号。
9.根据权利要求1-8中任一项所述的方法,其特征在于,所述目标标识至少包括以下任意一项:
所述目标资源的IP地址、所述目标资源的IP地址前缀、所述目标资源的部分或全部统一资源定位符URL前缀、所述目标资源的设备标识,所述目标资源的身份标识、所述目标资源对应的所属安全组或所述目标资源的端口号。
10.一种访问控制方法,其特征在于,包括:
第一网络设备接收由计算机设备发送的源标识以及目标标识,所述源标识指示所述计算机设备,所述目标标识指示目标资源,所述目标资源为所述计算机设备待访问的资源;
所述第一网络设备基于所述源标识、所述目标标识以及访问控制策略确定关联属性以及与所述关联属性对应的第一目标约束项,所述访问控制策略包括所述计算机设备访问所述目标资源的条件,所述关联属性为与所述源标识关联的属性,所述第一目标约束项为所述关联属性对应的信息的预设约束范围;
所述第一网络设备至少基于第一密钥、所述关联属性以及与所述关联属性对应的所述第一目标约束项确定第一验证码;
所述第一网络设备向所述计算机设备发送第一指示信息,使得所述计算机设备基于所述第一指示信息发送访问所述目标资源的报文,所述第一指示信息至少包括所述第一验证码。
11.根据权利要求10所述的方法,其特征在于,所述第一网络设备基于所述源标识、所述目标标识以及访问控制策略确定关联属性以及与所述关联属性对应的第一目标约束项包括:
所述第一网络设备基于所述源标识、所述目标标识以及所述访问控制策略确定关联属性表项,所述关联属性表项为至少包括所述关联属性以及与所述关联属性对应的第一目标约束项的表项;
所述第一网络设备根据所述关联属性列表确定所述关联属性以及与所述关联属性对应的所述第一目标约束项。
12.根据权利要求10或11所述的方法,其特征在于,所述方法还包括:
所述第一网络设备基于所述第一指示信息确定第二密钥;
所述第一网络设备向计算机设备发送所述第二密钥,使得所述计算机设备基于所述第二密钥生成第二验证码。
13.根据权利要求10-12中任一项所述的方法,其特征在于,所述第一网络设备至少基于第一密钥、所述关联属性以及与所述关联属性对应的第一目标约束项确定第一验证码包括:
所述第一网络设备基于所述源标识和/或所述目标标识和/或有效期、所述第一密钥、所述关联属性以及与所述关联属性对应的第一目标约束项确定第一验证码,其中,所述有效期为所述第一验证码的有效期限。
14.根据权利要求10-13中任一项所述的方法,其特征在于,所述第一指示信息至少还包括以下任意一项信息:
所述有效期、所述关联属性或与所述关联属性对应的所述第一目标约束项。
15.根据权利要求10-14所述的方法,其特征在于,在所述第一指示信息不包括与所述关联属性对应的所述第一目标约束项的情况下,所述方法还包括:
所述第一网络设备向第三网络设备发送与所述关联属性对应的所述第一目标约束项,使得所述第三网络设备基于所述第一目标约束项验证所述计算机设备访问所述目标资源的报文。
16.根据权利要求10-15中任一项所述的方法,其特征在于,所述方法还包括:
所述第一网络设备向所述第三网络设备或第四网络设备发送所述关联属性以及与所述关联属性对应的第二目标信息,使得所述第三网络设备或所述第四网络设备基于所述关联属性以及与所述关联属性对应的第二目标信息验证所述计算机设备访问所述目标资源的报文,所述第二目标信息为所述关联属性对应的预设信息。
17.一种访问控制方法,其特征在于,包括:
第三网络设备接收计算机设备访问目标资源的报文,所述报文至少包括第一指示信息、关联属性以及所述关联属性对应的第一目标信息,所述目标资源为所述计算机设备待访问的资源,所述第一指示信息至少包括第一目标验证码,所述关联属性为与源标识关联的属性,所述第一目标信息为所述关联属性在所述计算机设备访问所述目标资源的情况下对应的信息,其中,所述源标识由所述报文包括;
所述第三网络设备获取与所述关联属性对应的第一目标约束项,所述第一目标约束项为所述关联属性对应的信息的预设约束范围;
在所述关联属性对应的所述第一目标信息属于所述关联属性对应的所述第一目标约束项的情况下,所述第三网络设备至少基于第一密钥、所述关联属性对应的所述第一目标约束项确定第二目标验证码;
在所述第一目标验证码与所述第二目标验证码相同的情况下,所述第三网络设备发送所述报文。
18.根据权利要求17所述的方法,其特征在于,所述方法还包括:在所述关联属性对应的所述第一目标信息不属于所述关联属性对应的所述第一目标约束项的情况下,所述第三网络设备将所述报文丢弃;
和/或,
在所述第一目标验证码与所述第二目标验证码不同的情况下,所述第三网络设备将所述报文丢弃。
19.根据权利要求17或18所述的方法,其特征在于,所述第一目标验证码包括第一验证码,所述第一验证码是至少基于第一密钥、所述关联属性以及与所述关联属性对应的所述第一目标约束项得到的。
20.根据权利要求17-19中任一项所述的方法,其特征在于,所述第三网络设备至少基于第一密钥、所述关联属性以及与所述关联属性对应的所述第一目标约束项确定第二目标验证码包括:
所述第三网络设备基于所述源标识和/或目标标识和/或有效期、所述第一密钥、所述关联属性以及与所述关联属性对应的所述第一目标约束项确定所述第二目标验证码,其中,所述目标标识由所述报文包括,所述有效期为所述第一目标验证码的有效期限。
21.根据权利要求17-20中任一项所述的方法,其特征在于,所述第三网络设备获取与所述关联属性对应的第一目标约束项包括:
在所述第一指示信息还包括与所述关联属性对应的所述第一目标约束项的情况下,所述第三网络设备从所述第一指示信息获取与所述关联属性对应的所述第一目标约束项;
或,
所述第三网络设备从所述第一网络设备获取与所述关联属性对应的所述第一目标约束项。
22.根据权利要求17-21中任一项所述的方法,其特征在于,所述第一指示信息还包括所述有效期,在所述第三网络设备发送所述报文之前,所述方法还包括:
所述第三网络设备基于所述有效期确定所述第一目标验证码有效。
23.根据权利要求17、19-22中任一项所述的方法,其特征在于,所述报文还包括第二验证码,所述方法还包括:
所述第三网络设备基于所述第一指示消息以及所述报文确定第三验证码;
在所述第一目标验证码与所述第二目标验证码相同的情况下,所述第三网络设备发送所述报文包括:
在所述第一目标验证码与所述第二目标验证码相同,所述第二验证码与所述第三验证码相同的情况下,所述第三网络设备发送所述报文。
24.根据权利要求17-23中任一项所述的方法,其特征在于,在所述第三网络设备发送所述报文之前,所述方法还包括:
所述第三网络设备获取所述关联属性以及与所述关联属性对应的第二目标信息,所述第二目标信息为所述关联属性对应的预设信息;
在所述关联属性对应的所述第一目标信息与所述关联属性对应的所述第二目标信息一致的情况下,所述第三网络设备确定所述关联属性对应的所述第一目标信息有效。
25.一种通信装置,其特征在于,包括:处理器,所述处理器与存储器耦合,所述存储器存储指令,所述处理器用于执行所述指令,使得所述通信装置执行权利要求1至9中任意一项所述的方法。
26.一种通信装置,其特征在于,包括:处理器,所述处理器与存储器耦合,所述存储器存储指令,所述处理器用于执行所述指令,使得所述通信装置执行权利要求10至16中任意一项所述的方法。
27.一种通信装置,其特征在于,包括:处理器,所述处理器与存储器耦合,所述存储器存储指令,所述处理器用于执行所述指令,使得所述通信装置执行权利要求17至24中任意一项所述的方法。
28.一种计算机可读存储介质,包括计算机可读指令,其特征在于,当所述计算机可读指令在计算机上运行时,使得如权利要求1-24中任一项所述的方法被执行。
29.一种计算机程序产品,包括计算机可读指令,其特征在于,当所述计算机可读指令在计算机上运行时,使得如权利要求1-24中任一项所述的方法被执行。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111554356.6A CN116266793A (zh) | 2021-12-17 | 2021-12-17 | 访问控制方法及其相关装置 |
| PCT/CN2022/133932 WO2023109450A1 (zh) | 2021-12-17 | 2022-11-24 | 访问控制方法及其相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111554356.6A CN116266793A (zh) | 2021-12-17 | 2021-12-17 | 访问控制方法及其相关装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116266793A true CN116266793A (zh) | 2023-06-20 |
Family
ID=86743802
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111554356.6A Pending CN116266793A (zh) | 2021-12-17 | 2021-12-17 | 访问控制方法及其相关装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN116266793A (zh) |
| WO (1) | WO2023109450A1 (zh) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109104722B (zh) * | 2018-07-27 | 2022-01-18 | 努比亚技术有限公司 | 终端访问方法、装置及计算机可读存储介质 |
| US10560845B1 (en) * | 2018-12-11 | 2020-02-11 | Zumigo, Inc. | Using a change in information and cellular account attributes associated with a mobile device network ID as risk indicators in mobile network-based authentication |
| CN111490966A (zh) * | 2019-01-28 | 2020-08-04 | 电信科学技术研究院有限公司 | 一种访问控制策略的处理方法、装置及计算机可读存储介质 |
| CN111488598B (zh) * | 2020-04-09 | 2023-04-07 | 腾讯科技(深圳)有限公司 | 访问控制方法、装置、计算机设备和存储介质 |
| CN112883390B (zh) * | 2021-02-18 | 2022-04-22 | 腾讯科技(深圳)有限公司 | 一种权限控制方法、装置及存储介质 |
-
2021
- 2021-12-17 CN CN202111554356.6A patent/CN116266793A/zh active Pending
-
2022
- 2022-11-24 WO PCT/CN2022/133932 patent/WO2023109450A1/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023109450A1 (zh) | 2023-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11637696B2 (en) | End-to-end communication security | |
| CN107770182B (zh) | 家庭网关的数据存储方法及家庭网关 | |
| JP6144783B2 (ja) | 情報中心のネットワークにおけるトラストアンカーを用いたプロトコルのルーティングに基づく名前/プレフィックスの増加 | |
| US9237021B2 (en) | Certificate grant list at network device | |
| CN112468518B (zh) | 访问数据处理方法、装置、存储介质及计算机设备 | |
| WO2018205997A1 (zh) | 一种用于连接无线接入点的方法与设备 | |
| CN111049803A (zh) | 基于车载can总线通讯系统数据加密及平台安全访问的方法 | |
| US11552953B1 (en) | Identity-based authentication and access control mechanism | |
| CN111885604B (zh) | 一种基于天地一体化网络的认证鉴权方法、装置及系统 | |
| WO2023065969A1 (zh) | 访问控制方法、装置及系统 | |
| CN108712364B (zh) | 一种sdn网络的安全防御系统及方法 | |
| Song et al. | DS‐ARP: A New Detection Scheme for ARP Spoofing Attacks Based on Routing Trace for Ubiquitous Environments | |
| WO2018205148A1 (zh) | 一种数据包校验方法及设备 | |
| CN115603932A (zh) | 一种访问控制方法、访问控制系统及相关设备 | |
| WO2023279782A1 (zh) | 一种访问控制方法、访问控制系统及相关设备 | |
| CN112769568A (zh) | 雾计算环境中的安全认证通信系统、方法、物联网设备 | |
| Chen et al. | A full lifecycle authentication scheme for large-scale smart IoT applications | |
| CN113055357B (zh) | 单包验证通信链路可信的方法、装置、计算设备及存储介质 | |
| CN112491836B (zh) | 通信系统、方法、装置及电子设备 | |
| CN109587134B (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
| CN106537962B (zh) | 无线网络配置、接入和访问方法、装置及设备 | |
| CN116388998A (zh) | 一种基于白名单的审计处理方法和装置 | |
| Guangjia et al. | Using multi‐address generation and duplicate address detection to prevent DoS in IPv6 | |
| CN116266793A (zh) | 访问控制方法及其相关装置 | |
| CN116074028A (zh) | 加密流量的访问控制方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |