一种访问控制方法和相关设备技术

本申请实施例公开了一种访问控制方法和相关设备，用于基于安全组对数据报文进行访问控制。本申请实施例方法中，策略执行设备接收源端设备发送的第一数据报文，由于第一数据报文携带源安全组的信息和目的安全组的信息，其中，所述源安全组为所述源端设备所属的安全组，所述目的安全组为所述第一数据报文的目的端设备所属的安全组，那么策略执行设备可以根据源安全组的信息和目的安全组的信息确定对应的访问规则，若访问规则为允许，则策略执行设备向目的端设备发送第一数据报文，那么策略执行设备无需进行三次查表，仅需一次查表，大大提高了效率，而且无需存储具有大量表项的设备标识

【技术实现步骤摘要】
一种访问控制方法和相关设备


[0001]本申请涉及通信领域，尤其涉及一种访问控制方法和相关设备。

技术介绍

[0002]安全组是多个用户设备的集合，通过对安全组之间设置访问控制策略，实现了访问控 制策略与网络协议(internet protocol，IP)地址的解耦，那么一个用户设备可以在任 何地点、使用任意终端接入网络，该用户设备的访问控制策略都是相同的，实现了业务随 行。
[0003]当前，当策略执行设备存储了设备标识
‑
安全组的绑定表，该设备标识
‑
安全组的绑定 表的每个表项包括设备的IP地址和对应的安全组的信息。当策略执行设备接收到源端设 备发送的数据报文时，首先要查询源端设备所属的源安全组，然后查询目的端设备所属的 目的安全组，最后根据源安全组和目的安全组查询对应的访问规则，即需要三次查表。
[0004]但是，大型企业具有海量互联，例如20多万员工、160多万员工或220万员工的企业， 加上海量物联网设备，策略执行设备需要维护的设备标识
‑
安全组的绑定表具有上百万的 表项，导致策略执行设备的沉重负担。若策略执行设备的负担超过极限，将影响服务质量， 导致用户设备体验不佳。

技术实现思路

[0005]本申请实施例提供了一种访问控制方法和相关设备，用于基于安全组对数据报文进行 访问控制。
[0006]本申请第一方面提供了一种访问控制方法，包括：
[0007]策略执行设备接收源端设备发送的第一数据报文，由于第一数据报文携带源安全组的 信息和目的安全组的信息，其中，所述源安全组为所述源端设备所属的安全组，所述目的 安全组为所述第一数据报文的目的端设备所属的安全组，那么策略执行设备可以根据源安 全组的信息和目的安全组的信息确定对应的访问规则，若访问规则为允许，则策略执行设 备向目的端设备发送第一数据报文，那么策略执行设备无需进行三次查表，仅需一次查表， 大大提高了效率，而且无需存储具有大量表项的设备标识
‑
安全组的绑定表，也降低策略 执行设备的存储压力。
[0008]在一些可行的实现方式中，所述第一数据报文为互联网协议第6版IPv6报文，从而 可以在所述第一数据报文的扩展报头中携带所述源安全组的信息和所述目的安全组的信 息。
[0009]在一些可行的实现方式中，所述策略执行设备接收控制器发送的访问控制策略，所述 访问控制策略包括所述源安全组的信息、所述目的安全组的信息和对应的所述访问规则， 以使得策略执行设备可以根据控制器下发的访问控制策略来对数据报文进行访问控制。
[0010]在一些可行的实现方式中，若所述访问规则为拒绝，则所述策略执行设备丢弃所述第 一数据报文，实现了对源端设备对目的端设备的访问控制。
[0011]在一些可行的实现方式中，所述策略执行设备向目的端认证设备发送所述第一数据报 文，以使得所述目的端认证设备向所述目的端设备转发所述第一数据报文，以使得目的认 证设备可以对第一数据报文中的源安全组进行验证。
[0012]本申请第二方面提供了一种访问控制方法，包括：
[0013]源端设备获取所述源端设备所属的安全组的信息，得到源安全组的信息，然后获取第 一数据报文的目的端设备所属的安全组的信息，得到目的安全组的信息，最后向策略执行 设备发送所述第一数据报文，由于所述第一数据报文携带所述源安全组的信息和所述目的 安全组的信息，那么策略执行设备可以根据源安全组的信息和目的安全组的信息确定对应 的访问规则，若访问规则为允许，则策略执行设备向目的端设备发送第一数据报文，那么 策略执行设备无需进行三次查表，仅需一次查表，大大提高了效率，而且无需存储具有大 量表项的设备标识
‑
安全组的绑定表，也降低策略执行设备的存储压力。
[0014]在一些可行的实现方式中，所述第一数据报文为IPv6报文，从而可以在所述第一数 据报文的扩展报头中携带所述源安全组的信息和所述目的安全组的信息。
[0015]在一些可行的实现方式中，所述源端设备向源端认证设备发送认证请求，所述认证请 求携带所述源端设备的用户标识，然后接收所述源端认证设备发送的所述源安全组的信 息，以使得源端认证设备可以对源端设备进行认证。
[0016]在一些可行的实现方式中，所述源端设备接收源端认证设备发送的所述源安全组的信 息，以使得源端设备可以获取源安全组的信息。
[0017]在一些可行的实现方式中，所述源端设备向控制器发送安全组查询请求，所述安全组 查询请求携带所述目的端设备的IP地址和/或用户标识，并接收所述控制器发送的所述目 的安全组的信息，以使得源端设备可以获取源安全组的信息。
[0018]在一些可行的实现方式中，若所述目的端设备为服务器，所述源端设备向域名系统DNS 服务器发送安全组查询请求，所述安全组查询请求携带所述目的端设备的IP地址、域名 和/或用户标识，然后接收所述控制器发送的所述目的安全组的信息，以使得源端设备可 以获取源安全组的信息。
[0019]在一些可行的实现方式中，所述源端设备接收所述目的端设备发送的第二数据报文， 所述第二数据报文携带所述目的端设备所属的所述目的安全组的信息，以使得源端设备可 以获取源安全组的信息。
[0020]在一些可行的实现方式中，所述源端设备向所述源端认证设备发送所述第一数据报 文，以使得所述源端认证设备验证所述源安全组是否所述源端设备所属的安全组，若所述 源安全组不是所述源端设备所属的安全组，所述源端设备接收所述源端认证设备发送的第 一验证错误消息，若所述源安全组是所述源端设备所属的安全组，所述源端认证设备向所 述策略执行设备发送所述第一数据报文，实现了对源安全组的验证。
[0021]在一些可行的实现方式中，若所述目的安全组不是所述目的端设备所属的安全组，所 述源端设备接收第二验证错误消息，以通知源端设备更新目的安全组的信息。
[0022]在一些可行的实现方式中，所述源端设备向控制器发送更新安全组请求，接收所述控 制器发送的新的安全组的信息，实现了源端设备主动变更自身的安全组。
[0023]本申请第三方面提供了一种访问控制方法，包括：
[0024]源端认证设备接收所述源端设备发送的第一数据报文，所述第一数据报文携带源安全 组的信息，然后确定所述源安全组是否所述源端设备所属的安全组，若所述源安全组是所 述源端设备所属的安全组，则所述源端认证设备向策略执行设备发送所述第一数据报文， 实现了对源端设备的源安全组的认证，避免了源端设备伪造源安全组，骗取对目的端设备 的访问权限的情况。
[0025]在一些可行的实现方式中，若所述源端认证设备确定所述源安全组不是所述源端设备 所属的安全组，则所述源端认证设备向所述源端设备发送第一验证错误消息，以告知源端 设备其源安全组错误，以使得源端设备可以更新所属的安全组的信息。
[0026]在一些可行的实现方式中，所述源端认证设备接收所述源本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问控制方法，其特征在于，包括：策略执行设备接收源端设备发送的第一数据报文，所述第一数据报文携带源安全组的信息和目的安全组的信息，所述源安全组为所述源端设备所属的安全组，所述目的安全组为所述第一数据报文的目的端设备所属的安全组；所述策略执行设备根据所述源安全组的信息和所述目的安全组的信息确定对应的访问规则，所述访问规则为允许或拒绝；若所述访问规则为允许，则所述策略执行设备向所述目的端设备发送所述第一数据报文。2.根据权利要求1所述方法，其特征在于，所述第一数据报文为互联网协议第6版IPv6报文，在所述第一数据报文的扩展报头中携带所述源安全组的信息和所述目的安全组的信息。3.根据权利要求1或2所述方法，其特征在于，所述策略执行设备接收源端设备发送的第一数据报文之前，还包括：所述策略执行设备接收控制器发送的访问控制策略，所述访问控制策略包括所述源安全组的信息、所述目的安全组的信息和对应的所述访问规则。4.根据权利要求1
‑
3中任一项所述方法，其特征在于，所述策略执行设备根据所述源安全组的信息和所述目的安全组的信息确定对应的访问规则之后，还包括：若所述访问规则为拒绝，则所述策略执行设备丢弃所述第一数据报文。5.根据权利要求1
‑
4中任一项所述方法，其特征在于，所述策略执行设备向所述目的端设备发送所述第一数据报文，包括：所述策略执行设备向目的端认证设备发送所述第一数据报文，以使得所述目的端认证设备向所述目的端设备转发所述第一数据报文。6.一种访问控制方法，其特征在于，包括：源端设备获取所述源端设备所属的安全组的信息，得到源安全组的信息；所述源端设备获取第一数据报文的目的端设备所属的安全组的信息，得到目的安全组的信息；所述源端设备向策略执行设备发送所述第一数据报文，所述第一数据报文携带所述源安全组的信息和所述目的安全组的信息。7.根据权利要求6所述方法，其特征在于，所述第一数据报文为IPv6报文，在所述第一数据报文的扩展报头中携带所述源安全组的信息和所述目的安全组的信息。8.根据权利要求6或7所述方法，其特征在于，所述源端设备获取所述源端设备所属的安全组的信息，得到源安全组的信息，包括：所述源端设备向源端认证设备发送认证请求，所述认证请求携带所述源端设备的用户标识；所述源端设备接收所述源端认证设备发送的所述源安全组的信息。9.根据权利要求6或7所述方法，其特征在于，若所述源端设备为服务器，所述源端设备获取所述源端设备所属的安全组的信息，得到源安全组的信息，包括：所述源端设备接收源端认证设备发送的所述源安全组的信息。10.根据权利要求6
‑
9中任一项所述方法，其特征在于，所述源端设备获取第一数据报
文的目的端设备所属的安全组的信息，得到目的安全组的信息，包括：所述源端设备向控制器发送安全组查询请求，所述安全组查询请求携带所述目的端设备的IP地址和/或用户标识；所述源端设备接收所述控制器发送的所述目的安全组的信息。11.根据权利要求6
‑
9中任一项所述方法，其特征在于，所述源端设备获取第一数据报文的目的端设备所属的安全组的信息，得到目的安全组的信息，包括：若所述目的端设备为服务器，所述源端设备向域名系统DNS服务器发送安全组查询请求，所述安全组查询请求携带所述目的端设备的IP地址、域名和/或用户标识；所述源端设备接收所述控制器发送的所述目的安全组的信息。12.根据权利要求6
‑
9中任一项所述方法，其特征在于，所述源端设备获取第一数据报文的目的端设备所属的安全组的信息，得到目的安全组的信息，包括：所述源端设备接收所述目的端设备发送的第二数据报文，所述第二数据报文携带所述目的端设备所属的所述目的安全组的信息。13.根据权利要求6
‑
12中任一项所述方法，其特征在于，还包括：所述源端设备向所述源端认证设备发送所述第一数据报文，以使得所述源端认证设备验证所述源安全组是否所述源端设备所属的安全组；若所述源安全组不是所述源端设备所属的安全组，所述源端设备接收所述源端认证设备发送的第一验证错误消息；若所述源安全组是所述源端设备所属的安全组，所述源端认证设备向所述策略执行设备发送所述第一数据报文。...

【专利技术属性】
技术研发人员：刘冰洋，杨雪，徐霆，王闯，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：