【技术实现步骤摘要】
一种访问控制方法和相关设备
[0001]本申请涉及通信领域,尤其涉及一种访问控制方法和相关设备。
技术介绍
[0002]安全组是多个用户设备的集合,通过对安全组之间设置访问控制策略,实现了访问控 制策略与网络协议(internet protocol,IP)地址的解耦,那么一个用户设备可以在任 何地点、使用任意终端接入网络,该用户设备的访问控制策略都是相同的,实现了业务随 行。
[0003]当前,当策略执行设备存储了设备标识
‑
安全组的绑定表,该设备标识
‑
安全组的绑定 表的每个表项包括设备的IP地址和对应的安全组的信息。当策略执行设备接收到源端设 备发送的数据报文时,首先要查询源端设备所属的源安全组,然后查询目的端设备所属的 目的安全组,最后根据源安全组和目的安全组查询对应的访问规则,即需要三次查表。
[0004]但是,大型企业具有海量互联,例如20多万员工、160多万员工或220万员工的企业, 加上海量物联网设备,策略执行设备需要维护的设备标识
‑
安全组的绑定表具有上百万的 表项,导致策略执行设备的沉重负担。若策略执行设备的负担超过极限,将影响服务质量, 导致用户设备体验不佳。
技术实现思路
[0005]本申请实施例提供了一种访问控制方法和相关设备,用于基于安全组对数据报文进行 访问控制。
[0006]本申请第一方面提供了一种访问控制方法,包括:
[0007]策略执行设备接收源端设备发送的第一数据报文,由于第一数据 ...
【技术保护点】
【技术特征摘要】
1.一种访问控制方法,其特征在于,包括:策略执行设备接收源端设备发送的第一数据报文,所述第一数据报文携带源安全组的信息和目的安全组的信息,所述源安全组为所述源端设备所属的安全组,所述目的安全组为所述第一数据报文的目的端设备所属的安全组;所述策略执行设备根据所述源安全组的信息和所述目的安全组的信息确定对应的访问规则,所述访问规则为允许或拒绝;若所述访问规则为允许,则所述策略执行设备向所述目的端设备发送所述第一数据报文。2.根据权利要求1所述方法,其特征在于,所述第一数据报文为互联网协议第6版IPv6报文,在所述第一数据报文的扩展报头中携带所述源安全组的信息和所述目的安全组的信息。3.根据权利要求1或2所述方法,其特征在于,所述策略执行设备接收源端设备发送的第一数据报文之前,还包括:所述策略执行设备接收控制器发送的访问控制策略,所述访问控制策略包括所述源安全组的信息、所述目的安全组的信息和对应的所述访问规则。4.根据权利要求1
‑
3中任一项所述方法,其特征在于,所述策略执行设备根据所述源安全组的信息和所述目的安全组的信息确定对应的访问规则之后,还包括:若所述访问规则为拒绝,则所述策略执行设备丢弃所述第一数据报文。5.根据权利要求1
‑
4中任一项所述方法,其特征在于,所述策略执行设备向所述目的端设备发送所述第一数据报文,包括:所述策略执行设备向目的端认证设备发送所述第一数据报文,以使得所述目的端认证设备向所述目的端设备转发所述第一数据报文。6.一种访问控制方法,其特征在于,包括:源端设备获取所述源端设备所属的安全组的信息,得到源安全组的信息;所述源端设备获取第一数据报文的目的端设备所属的安全组的信息,得到目的安全组的信息;所述源端设备向策略执行设备发送所述第一数据报文,所述第一数据报文携带所述源安全组的信息和所述目的安全组的信息。7.根据权利要求6所述方法,其特征在于,所述第一数据报文为IPv6报文,在所述第一数据报文的扩展报头中携带所述源安全组的信息和所述目的安全组的信息。8.根据权利要求6或7所述方法,其特征在于,所述源端设备获取所述源端设备所属的安全组的信息,得到源安全组的信息,包括:所述源端设备向源端认证设备发送认证请求,所述认证请求携带所述源端设备的用户标识;所述源端设备接收所述源端认证设备发送的所述源安全组的信息。9.根据权利要求6或7所述方法,其特征在于,若所述源端设备为服务器,所述源端设备获取所述源端设备所属的安全组的信息,得到源安全组的信息,包括:所述源端设备接收源端认证设备发送的所述源安全组的信息。10.根据权利要求6
‑
9中任一项所述方法,其特征在于,所述源端设备获取第一数据报
文的目的端设备所属的安全组的信息,得到目的安全组的信息,包括:所述源端设备向控制器发送安全组查询请求,所述安全组查询请求携带所述目的端设备的IP地址和/或用户标识;所述源端设备接收所述控制器发送的所述目的安全组的信息。11.根据权利要求6
‑
9中任一项所述方法,其特征在于,所述源端设备获取第一数据报文的目的端设备所属的安全组的信息,得到目的安全组的信息,包括:若所述目的端设备为服务器,所述源端设备向域名系统DNS服务器发送安全组查询请求,所述安全组查询请求携带所述目的端设备的IP地址、域名和/或用户标识;所述源端设备接收所述控制器发送的所述目的安全组的信息。12.根据权利要求6
‑
9中任一项所述方法,其特征在于,所述源端设备获取第一数据报文的目的端设备所属的安全组的信息,得到目的安全组的信息,包括:所述源端设备接收所述目的端设备发送的第二数据报文,所述第二数据报文携带所述目的端设备所属的所述目的安全组的信息。13.根据权利要求6
‑
12中任一项所述方法,其特征在于,还包括:所述源端设备向所述源端认证设备发送所述第一数据报文,以使得所述源端认证设备验证所述源安全组是否所述源端设备所属的安全组;若所述源安全组不是所述源端设备所属的安全组,所述源端设备接收所述源端认证设备发送的第一验证错误消息;若所述源安全组是所述源端设备所属的安全组,所述源端认证设备向所述策略执行设备发送所述第一数据报文。...
【专利技术属性】
技术研发人员:刘冰洋,杨雪,徐霆,王闯,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。