一种访问控制方法及其装置制造方法及图纸

本发明专利技术实施例涉及网络安全技术领域，尤其涉及一种访问控制方法及其装置，包括：控制器接收交换机发送的访问查询指令；控制器在确定未查询到访问终端的访问控制策略时，触发用户认证过程；控制器在用户认证通过后，获取用户的访问控制策略并作为访问终端的访问控制策略；控制器将访问终端对应的访问控制策略发送给交换机，以使交换机对访问终端的访问请求进行控制。可以看出，在未查询到访问终端的访问控制策略时，需要对用户进行认证，而在对用户认证通过之后，又根据用户对应的访问控制策略对用户的访问请求进行控制，因此，能够实现在全局范围内统一访问控制，保证访问控制策略的一致性，从而能够在BYOD场景中提升企业的网络安全。

Access control method and device thereof

The embodiment of the invention relates to the technical field of network security, especially relates to a device and its control method, including: access controller receives the switch sends the access controller in determining the inquiry instruction; not a query to access the terminal access control strategy, trigger user authentication process; controller in the user after authentication, user access control strategy and as the access terminal access control strategy; the controller will access the terminal corresponding to the access control policy is sent to the switch to make the switch to control the access terminal access request. It can be seen that in no query to access the terminal access control strategy, need to authenticate users, and after the user authentication, and according to the user's access control strategy to control the user's access request, therefore, to achieve a unified access control in the global scope, to ensure consistency of access control strategy thus, to enhance the network security of enterprises in the BYOD scene.

【技术实现步骤摘要】
一种访问控制方法及其装置
本专利技术实施例涉及网络安全
，尤其涉及一种访问控制方法及其装置。
技术介绍
随着员工智能终端日益增多和企业减少办公开支的需求，BYOD(BringYourOwnDevice，自带设备)已经成为企业移动办公重要形式。然而，移动设备接入位置多变、属主身份复杂，以及企业网络的传统安全控制限于静态网络环境等因素，都给访客接入和移动办公的安全管理带来了诸多限制。在传统的企业网络访问控制机制中，最普遍的解决方案是在网络边界部署访问控制设备，如防火墙，对未知的网络访问进行限制，当但存在移动设备通过无线接入企业内部网络时，以往的网络边界被打破，因此，在BYOD场景中，如何保证企业的网络安全是一个亟待解决的技术问题。
技术实现思路
本专利技术实施例提供一种访问控制方法及其装置，用以提升企业的网络安全。本专利技术实施例提供一种访问控制方法，包括：控制器接收交换机发送的访问查询指令，所述访问查询指令中携带有访问终端的标识信息和访问对象；所述控制器在确定未查询到所述访问终端的访问控制策略时，触发用户认证过程；所述控制器在用户认证通过后，获取所述用户的访问控制策略并作为所述访问终端的访问控制策略；所述控制器从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略；所述控制器将所述访问对象对应的访问控制策略发送给所述交换机，以使所述交换机对所述访问终端的访问请求进行控制。较佳的，还包括：所述控制器在确定查询到所述访问终端的访问控制策略时，从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略；所述控制器将所述访问对象对应的访问控制策略发送给所述交换机，以使所述交换机对所述访问终端的访问请求进行控制。较佳的，所述触发用户认证过程，包括：所述控制器触发重定向请求至访问控制服务器；获取所述用户的访问控制策略，包括：接收所述访问控制服务器在对所述用户认证通过后，发送的所述用户的访问控制策略。较佳的，所述用户的访问控制策略通过以下方式获得：所述访问控制服务器在对所述用户认证通过后，根据所述用户的标识信息确定所述用户所属的角色；根据所述角色查询访问控制策略库，得到所述用户的访问控制策略。较佳的，还包括：在检测到所述用户的访问请求为可疑攻击时，向所述访问控制服务器发送访问控制策略修改请求。较佳的，还包括：所述控制器定期删除所述控制器中存储的用户的访问控制策略。较佳的，所述控制器为SDN控制器，所述交换机为SDN交换机。本专利技术实施例还提供一种访问控制方法，包括：交换机接收访问终端的访问请求，所述访问请求中携带有访问终端的标识信息和访问对象；所述交换机确定自身未存储所述访问终端的针对所述访问对象的访问控制策略时，向控制器发送访问查询指令；所述交换机接收所述控制器发送的所述访问终端的针对所述访问对象的访问控制策略，并根据所述访问终端的针对所述访问对象的访问控制策略对所述访问终端的访问请求进行控制。本专利技术实施例提供一种访问控制装置，包括：第一接收模块，用于接收交换机发送的访问查询指令，所述访问查询指令中携带有访问终端的标识信息和访问对象；认证模块，用于在未查询到所述访问终端的访问控制策略时，触发用户认证过程；获取模块，还用于在用户认证通过后，获取所述用户的访问控制策略并作为所述访问终端的访问控制策略；还用于从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略；第一发送模块，用于将所述访问对象对应的访问控制策略发送给所述交换机，以使所述交换机对所述访问终端的访问请求进行控制。较佳的，所述获取模块，还用于在确定查询到所述访问终端的访问控制策略时，从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略；所述第一发送模块，还用于将所述访问对象对应的访问控制策略发送给所述交换机，以使所述交换机对所述访问终端的访问请求进行控制。较佳的，所述认证模块，具体用于：触发重定向请求至访问控制服务器；所述获取模块，具体用于：接收所述访问控制服务器在对所述用户认证通过后，发送的所述用户的访问控制策略。较佳的，所述获取模块，具体用于：在对所述用户认证通过后，根据所述用户的标识信息确定所述用户所属的角色；根据所述角色查询访问控制策略库，得到所述用户的访问控制策略。较佳的，所述第一发送模块，还用于：在检测到所述用户的访问请求为可疑攻击时，向所述访问控制服务器发送访问控制策略修改请求。较佳的，还包括：删除模块，所述删除模块，用于定期删除用户的访问控制策略。本专利技术实施例还提供一种用于访问控制的装置，包括：第二接收模块，接收访问终端的访问请求，所述访问请求中携带有访问终端的标识信息和访问对象；第二发送模块，用于确定自身未存储所述访问终端的针对所述访问对象的访问控制策略时，向控制器发送访问查询指令；控制模块，用于在接收所述控制器发送的所述访问终端的针对所述访问对象的访问控制策略后，根据所述访问终端的针对所述访问对象的访问控制策略对所述访问终端的访问请求进行控制。上述实施例提供的一种访问控制方法及其装置，包括：控制器接收交换机发送的访问查询指令，所述访问查询指令中携带有访问终端的标识信息和访问对象；所述控制器在确定未查询到所述访问终端的访问控制策略时，触发用户认证过程；所述控制器在用户认证通过后，获取所述用户的访问控制策略并作为所述访问终端的访问控制策略；从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略；所述控制器将所述访问对象对应的访问控制策略发送给所述交换机，以使所述交换机对所述访问终端的访问请求进行控制。可以看出，在未查询到访问终端的访问控制策略时，需要对用户进行认证，而在对用户认证通过之后，又根据用户对应的访问控制策略对用户的访问请求进行控制，因此，能够实现在全局范围内统一访问控制，保证访问控制策略的一致性，从而能够在BYOD场景中提升企业的网络安全。此外，由于在获取用户对应的的访问控制策略时，还可基于用户所属的角色获取用户对应的访问控制策略，因此，还能实现访问控制的细粒度。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍。图1为本专利技术实施例提供的一种访问控制系统架构示意图；图2为本专利技术实施例提供的一种访问控制方法的方法流程示意图；图3为本专利技术实施例提供的另一种访问控制方法的方法流程示意图；图4为本专利技术实施例提供的一种访问控制装置的结构示意图；图5为本专利技术实施例提供的另外一种访问控制装置的结构示意图。具体实施方式为了使本专利技术的目的、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。图1示例性示出了本专利技术实施例适用的一种访问控制系统架构示意图，如图1所示，本专利技术实施例适用的访问控制系统架构可包括：访问终端101、交换机102、控制器103、访问控制服务器104、安全设备105。其中，访问终端101用于通过交换机102将数据包发送出去，交换机102用于接收访问终端101发送的数据包，并根据控制器103下发的访问控制策略将该数据包通过安全设备105发送出去，访问控制服务器104用于对用户认证以及存储访问控制策略；安全设备105用于对发送出去的数据包进行本文档来自技高网...

【技术保护点】
一种访问控制方法，其特征在于，包括：控制器接收交换机发送的访问查询指令，所述访问查询指令中携带有访问终端的标识信息和访问对象；所述控制器在确定未查询到所述访问终端的访问控制策略时，触发用户认证过程；所述控制器在用户认证通过后，获取所述用户的访问控制策略并作为所述访问终端的访问控制策略；所述控制器从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略；所述控制器将所述访问对象对应的访问控制策略发送给所述交换机，以使所述交换机对所述访问终端的访问请求进行控制。

【技术特征摘要】
1.一种访问控制方法，其特征在于，包括：控制器接收交换机发送的访问查询指令，所述访问查询指令中携带有访问终端的标识信息和访问对象；所述控制器在确定未查询到所述访问终端的访问控制策略时，触发用户认证过程；所述控制器在用户认证通过后，获取所述用户的访问控制策略并作为所述访问终端的访问控制策略；所述控制器从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略；所述控制器将所述访问对象对应的访问控制策略发送给所述交换机，以使所述交换机对所述访问终端的访问请求进行控制。2.如权利要求1所述的方法，其特征在于，还包括：所述控制器在确定查询到所述访问终端的访问控制策略时，从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略；所述控制器将所述访问对象对应的访问控制策略发送给所述交换机，以使所述交换机对所述访问终端的访问请求进行控制。3.如权利要求1所述的方法，其特征在于，所述触发用户认证过程，包括：所述控制器触发重定向请求至访问控制服务器；获取所述用户的访问控制策略，包括：接收所述访问控制服务器在对所述用户认证通过后，发送的所述用户的访问控制策略。4.如权利要求1所述的方法，其特征在于，所述用户的访问控制策略通过以下方式获得：所述访问控制服务器在对所述用户认证通过后，根据所述用户的标识信息确定所述用户所属的角色；根据所述角色查询访问控制策略库，得到所述用户的访问控制策略。5.如权利要求1所述的方法，其特征在于，还包括：在检测到所述用户的访问请求为可疑攻击时，向所述访问控制服务器发送访问控制策略修改请求。6.如权利要求1所述的方法，其特征在于，还包括：所述控制器定期删除所述控制器中存储的用户的访问控制策略。7.如权利要求1～6任一项所述的方法，其特征在于，所述控制器为SDN控制器，所述交换机为SDN交换机。8.一种访问控制方法，其特征在于，包括：交换机接收访问终端的访问请求，所述访问请求中携带有访问终端的标识信息和访问对象；所述交换机确定自身未存储所述访问终端的针对所述访问对象的访问控制策略时，向控制器发送访问查询指令；所述交换机接收所述控制器发送的所述访问终端的针对所述访问对象的访问控制策略，并根据所述访问终端的针对所述访问对象的访问控制策略...

【专利技术属性】
技术研发人员：张星，刘文懋，
申请(专利权)人：北京神州绿盟信息安全科技股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京,11