访问控制方法、装置、设备及存储介质制造方法及图纸

本申请提供一种访问控制方法、装置、设备及存储介质。该方法包括：接收SDP客户端的第一访问请求，所述访问请求用于请求访问内网资源，对所述SDP客户端进行身份验证。若所述SDP客户端的身份验证通过，则获取所述SDP客户端的历史访问可信度。所述历史访问可信度用于表征所述SDP客户端访问所述内网资源时的安全性。根据所述SDP客户端的历史访问可信度，对所述SDP客户端通过SDP网关进行内网资源访问控制。本申请的方法，提高了远程访问内网资源的安全性，提高了网络的拓展能力。提高了网络的拓展能力。提高了网络的拓展能力。

【技术实现步骤摘要】
访问控制方法、装置、设备及存储介质


[0001]本申请涉及通信技术，尤其涉及一种访问控制方法、装置、设备及存储介质。

技术介绍

[0002]随着远程办公需求的增长，用户经常需要使用终端设备远程访问企业内网中的资源，例如内网中的应用，数据等。在该场景下，基于企业内网的传统安全边界变得模糊，企业的信息技术(Information Technology，IT)架构从“有边界”向“无边界”进行转变。目前，终端设备通常使用虚拟专用网络(Virtual Private Network，VPN)技术远程访问企业内网中的资源。
[0003]然而，基于目前的远程访问手段，网络攻击者可以通过扫描企业内网暴露在公网中的VPN网关，以及破解用户账号的方式，从而非法入侵到企业内网中。因此，使用VPN技术远程访问企业内网中的资源存在安全性较低的问题。

技术实现思路

[0004]本申请提供一种访问控制方法、装置、设备及存储介质，用以解决远程访问内网存在的安全性较低的问题。
[0005]第一方面，本申请提供一种访问控制方法，所述方法应用于SDP控制器，包括：
[0006]接收SDP客户端的第一访问请求，所述访问请求用于请求访问内网资源；
[0007]对所述SDP客户端进行身份验证；
[0008]若所述SDP客户端的身份验证通过，则获取所述SDP客户端的历史访问可信度；所述历史访问可信度用于表征所述SDP客户端访问所述内网资源时的安全性；
[0009]根据所述SDP客户端的历史访问可信度，对所述SDP客户端通过SDP网关进行内网资源访问控制。
[0010]可选地，所述获取所述SDP客户端的历史访问可信度，包括：
[0011]若所述SDP客户端之前未通过SDP网关访问过所述内网资源，则将预设访问可信度作为所述SDP客户端的历史访问可信度；
[0012]若所述SDP客户端之前至少一次通过SDP网关访问过所述内网资源，则读取记录的所述SDP客户端的历史访问可信度，所述历史访问可信度为基于所述SDP客户端上一次访问内网资源时所连接的SDP网关上报的第一日志审计信息，以及，所述SDP客户端上报的第二日志审计信息得到的；所述第一日志审计信息和所述第二日志审计信息用于记录所述SDP客户端上一次访问内网资源的信息。
[0013]可选地，所述根据所述SDP客户端的历史访问可信度，对所述SDP客户端通过SDP网关进行内网资源访问控制，包括：
[0014]根据所述SDP客户端的历史访问可信度，确定所述SDP客户端的内网资源访问权限；
[0015]向所述SDP客户端发送访问响应，所述访问响应用于指示允许所述SDP客户端接入
访问内网资源时连接的SDP网关，以及，所述SDP客户端的内网资源访问权限。
[0016]可选地，所述根据所述SDP客户端的历史访问可信度，确定所述SDP客户端的内网资源访问权限，包括：
[0017]根据所述SDP客户端的历史访问可信度，确定所述SDP客户端的可信等级；
[0018]根据所述SDP客户端的可信等级，以及，可信等级与内网访问权限的映射关系，确定所述SDP客户端的内网资源访问权限。
[0019]可选地，所述对所述SDP客户端通过SDP网关进行内网资源访问控制之后，所述方法还包括：
[0020]接收来自所述SDP客户端当前所连接的SDP网关的第三日志审计信息，以及，所述SDP客户端的第四日志审计信息；所述第三日志审计信息和所述第四日志审计信息用于记录所述SDP客户端当前访问内网资源的信息；
[0021]根据所述第三日志审计信息和所述第四日志审计信息，更新所述SDP客户端的历史访问可信度。
[0022]可选地，所述根据所述第三日志审计信息和所述第四日志审计信息，更新所述SDP客户端的历史访问可信度，包括：
[0023]根据所述第三日志审计信息和所述第四日志审计信息，提取访问可信度函数中的至少一个历史访问可信度向量的取值；
[0024]根据所述访问可信度函数，以及，提取到的至少一个历史访问可信度向量的取值，更新所述SDP客户端的历史访问可信度。
[0025]可选地，所述更新所述SDP客户端的历史访问可信度之后，所述方法还包括：
[0026]若根据更新后的所述SDP客户端的历史访问可信度，确定所述SDP客户端的内网资源访问权限发生变化、且所述SDP客户端当前还在访问所述内网资源，则根据更新所述SDP客户端的历史访问可信度，对所述SDP客户端通过SDP网关进行内网资源访问控制。
[0027]第二方面，本申请提供一种访问控制装置，所述装置应用于SDP控制器，包括：
[0028]接收模块，用于接收SDP客户端的第一访问请求，所述访问请求用于请求访问内网资源；
[0029]验证模块，用于对所述SDP客户端进行身份验证；
[0030]获取模块，用于若所述SDP客户端的身份验证通过，则获取所述SDP客户端的历史访问可信度；所述历史访问可信度用于表征所述SDP客户端访问所述内网资源时的安全性；
[0031]控制模块，用于根据所述SDP客户端的历史访问可信度，对所述SDP客户端通过SDP网关进行内网资源访问控制。
[0032]第三方面，本申请提供一种访问控制装置，所述装置应用于SDP客户端，包括：
[0033]发送模块，用于向SDP控制器发送第一访问请求，所述第一访问请求用于请求访问内网资源。
[0034]接收模块，用于接收所述SDP控制器发送的控制信息，所述控制信息用于对所述SDP客户端通过SDP网关进行所述内网资源的访问控制。
[0035]访问模块，用于向所述SDP网关发起连接请求，连接成功后，通过与所述SDP网关建立的连接，访问所述内网资源。
[0036]第四方面，本申请提供一种访问控制装置，所述装置应用于SDP网关，包括：
[0037]接收模块，用于接收SDP控制器发送的指示信息，所述指示信息用于指示所述SDP网关允许SDP客户端的接入。
[0038]连接模块，用于接受所述SDP客户端的连接请求，与所述SDP客户端建立连接。
[0039]第五方面，本申请提供一种SDP控制器，包括：处理器、通信接口，以及存储器；所述处理器分别与所述通信接口和所述存储器通信连接；
[0040]所述存储器存储计算机执行指令；
[0041]所述通信接口与外部设备进行通信交互；
[0042]所述处理器执行所述存储器存储的计算机执行指令，以实现如第一方面中任一项所述的方法。
[0043]第六方面，本申请提供一种SDP客户端，包括：处理器、通信接口，以及存储器；所述处理器分别与所述通信接口和所述存储器通信连接；
[0044]所述存储器存储计算机执行指令；
[0045]所述通信接口与外部设备进行通信交互；
[0046]所述处理器执行所述存储器存储的计算机执行指令本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问控制方法，其特征在于，所述方法应用于SDP控制器，所述方法包括：接收SDP客户端的第一访问请求，所述访问请求用于请求访问内网资源；对所述SDP客户端进行身份验证；若所述SDP客户端的身份验证通过，则获取所述SDP客户端的历史访问可信度；所述历史访问可信度用于表征所述SDP客户端访问所述内网资源时的安全性；根据所述SDP客户端的历史访问可信度，对所述SDP客户端通过SDP网关进行内网资源访问控制。2.根据权利要求1所述的方法，其特征在于，所述获取所述SDP客户端的历史访问可信度，包括：若所述SDP客户端之前未通过SDP网关访问过所述内网资源，则将预设访问可信度作为所述SDP客户端的历史访问可信度；若所述SDP客户端之前至少一次通过SDP网关访问过所述内网资源，则读取记录的所述SDP客户端的历史访问可信度，所述历史访问可信度为基于所述SDP客户端上一次访问内网资源时所连接的SDP网关上报的第一日志审计信息，以及，所述SDP客户端上报的第二日志审计信息得到的；所述第一日志审计信息和所述第二日志审计信息用于记录所述SDP客户端上一次访问内网资源的信息。3.根据权利要求1或2所述的方法，其特征在于，所述根据所述SDP客户端的历史访问可信度，对所述SDP客户端通过SDP网关进行内网资源访问控制，包括：根据所述SDP客户端的历史访问可信度，确定所述SDP客户端的内网资源访问权限；向所述SDP客户端发送访问响应，所述访问响应用于指示允许所述SDP客户端接入访问内网资源时连接的SDP网关，以及，所述SDP客户端的内网资源访问权限。4.根据权利要求3所述的方法，其特征在于，所述根据所述SDP客户端的历史访问可信度，确定所述SDP客户端的内网资源访问权限，包括：根据所述SDP客户端的历史访问可信度，确定所述SDP客户端的可信等级；根据所述SDP客户端的可信等级，以及，可信等级与内网访问权限的映射关系，确定所述SDP客户端的内网资源访问权限。5.根据权利要求3所述的方法，其特征在于，所述对所述SDP客户端通过SDP网关进行内网资源访问控制之后，所述方法还包括：接收来自所述SDP客户端当前所连接的SDP网关的第三日志审计信息...

【专利技术属性】
技术研发人员：孔祥斌，欧阳秀平，刘剑亮，张晓东，杨春民，苏爱国，周映，田晋，曾楚轩，宁相军，王伟，廖峰，黄浩贤，梁志文，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：