本申请提供了一种访问控制方法及装置,涉及网络安全技术领域。该方法中,接收认证请求,所述认证请求包括访问用户的用户信息;将所述认证请求发送给认证服务器;接收所述认证服务器发送的认证结果,所述认证结果为所述认证服务器在基于所述用户信息对所述访问用户认证通过后发送的;若所述认证结果包括所述访问用户的用户组信息,且所述网络安全设备本地存在所述用户组信息对应的用户组,则根据所述用户组对所述访问用户的网络访问进行控制。由此,解决了用户上线后网络访问的频繁策略配置的问题。问题。问题。
【技术实现步骤摘要】
一种访问控制方法及装置
[0001]本申请涉及网络安全
,尤其涉及一种访问控制方法及装置。
技术介绍
[0002]目前基于身份识别的用户在访问网络时,首先,用户接入网络后,防火墙等网络设备会对用户完成身份验证。在验证成功后,该用户成为在线用户,同时设备会记录身份验证通过的用户的登录信息;这样,在线用户在访问网络服务时,上述网络设备可以识别出用户的登录信息,然后根据该登录信息配置该用户的安全策略,然后利用配置的安全策略对该用户的网络访问权限进行控制。
[0003]但是上述方案中,用户上线时对于网络来说属于个体用户,该用户再次进行网络访问控制时,就需要重新执行身份验证及配置安全策略的步骤。当存在比较多的个体用户时,就会导致访问控制比较繁琐。
[0004]因此,如何避免用户上线后网络访问的频繁策略配置是值得考虑的技术问题之一。
技术实现思路
[0005]有鉴于此,本申请提供一种访问控制方法及装置,用以避免用户上线后网络访问的频繁策略配置。
[0006]具体地,本申请是通过如下技术方案实现的:
[0007]根据本申请的第一方面,提供一种访问控制方法,应用于网络安全设备中,所述方法,包括:
[0008]接收认证请求,所述认证请求包括访问用户的用户信息;
[0009]将所述认证请求发送给认证服务器;
[0010]接收所述认证服务器发送的认证结果,所述认证结果为所述认证服务器在基于所述用户信息对所述访问用户认证通过后发送的;
[0011]若所述认证结果包括所述访问用户的用户组信息,且所述网络安全设备本地存在所述用户组信息对应的用户组,则根据所述用户组对所述访问用户的网络访问进行控制。
[0012]根据本申请的第二方面,提供一种访问控制装置,设置于网络安全设备中,所述装置,包括:
[0013]第一接收模块,用于接收认证请求,所述认证请求包括访问用户的用户信息;
[0014]发送模块,用于将所述认证请求发送给认证服务器;
[0015]第二接收模块,用于接收所述认证服务器发送的认证结果,所述认证结果为所述认证服务器在基于所述用户信息对所述访问用户认证通过后发送的;
[0016]访问控制模块,用于若所述认证结果包括所述访问用户的用户组信息,且所述网络安全设备本地存在所述用户组信息对应的用户组,则根据所述用户组对所述访问用户的网络访问进行控制。
[0017]根据本申请的第三方面,提供一种网络安全设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。
[0018]根据本申请的第四方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
[0019]本申请实施例的有益效果:
[0020]本申请实施例提供的访问控制方法及装置中,网络安全设备在接收到认证请求后,会将所述认证请求发送给认证服务器;然后接收所述认证服务器发送的认证结果,所述认证结果为所述认证服务器在基于认证请求中的用户信息对所述访问用户认证通过后发送的;若所述认证结果包括所述访问用户的用户组信息,且所述网络安全设备本地存在所述用户组信息对应的用户组,则根据所述用户组对所述访问用户的网络访问进行控制。这样,通过设置用户组,网络安全设备可以基于用户所属的用户组对应的安全策略对该用户的网络访问进行控制,从而也就不需要针对每个用户上线时分别配置安全策略,进而大大节省了网络安全设备的处理资源,同时还提升了用户的网络访问速度。
附图说明
[0021]图1是本申请实施例提供的一种访问控制方法的流程示意图;
[0022]图2是本申请实施例提供的一种访问控制装置的结构示意图;
[0023]图3是本申请实施例提供的一种实施访问控制方法的网络安全设备的硬件结构示意图。
具体实施方式
[0024]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如本申请的一些方面相一致的装置和方法的例子。
[0025]在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
[0026]应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
[0027]下面对本申请提供的访问控制方法进行详细地说明。
[0028]参见图1,图1是本申请提供的一种访问控制方法的流程图,该方法可以应用于网络安全设备中,该网络安全设备可以但不限于为防火墙等设备。上述网络安全设备在实施
上述方法时,可包括如下所示步骤:
[0029]S101、接收认证请求,所述认证请求包括访问用户的用户信息。
[0030]本步骤中,上述认证请求可以为用户基于提供登录界面的设备发送的认证请求,访问用户基于该登录界面可以键入用户的用户信息,在键入完成后该登录界面可以提供一个登录控件,该访问用户可以点击该登录控件以触发登录请求,这样,提供登录界面的设备就可以将接收到的认证请求发送给网络安全设备,该网络安全设备就能接收到包含用户信息的认证请求。
[0031]可选地,上述认证请求可以为用户基于portal服务器发送的,即用户基于portal服务器提供的认证界面输入用户信息,portal服务器接收到该用户信息后,基于该用户信息构建认证请求,并发送给网络安全设备。
[0032]S102、将所述认证请求发送给认证服务器。
[0033]本步骤中,为了避免用户每次上线时的频繁验证及策略配置,提升用户的访问效率,本申请提出,网络安全设备将该认证请求转发给认证服务器,以由认证服务器对该访问用户进行身份认证。
[0034]需要说明的是,上述认证服务器可以但不限于为radius服务器等等。
[0035]S103、接收所述认证服务器发送的认证结果,所述认证结果为所述认证服务器在基于所述用户信息对所述访问用户认证通过后发送的。
[0036]本步骤中,认证服务器在接收到认证请求后,会从认证请求中解析出访问用户的用户信息,然后基于用户信息对该访问用户进行本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种访问控制方法,其特征在于,应用于网络安全设备中,所述方法,包括:接收认证请求,所述认证请求包括访问用户的用户信息;将所述认证请求发送给认证服务器;接收所述认证服务器发送的认证结果,所述认证结果为所述认证服务器在基于所述用户信息对所述访问用户认证通过后发送的;若所述认证结果包括所述访问用户的用户组信息,且所述网络安全设备本地存在所述用户组信息对应的用户组,则根据所述用户组对所述访问用户的网络访问进行控制。2.根据权利要求1所述的方法,其特征在于,根据所述用户组对所述访问用户的网络访问进行控制,包括:若所述网络安全设备本地记录了所述访问用户的用户信息,则判断所述访问用户的来源与所述用户组信息的来源是否一致;当一致时,则将所述访问用户的用户信息添加到所述用户组中;并根据所述用户组对所述访问用户的网络访问进行控制。3.根据权利要求2所述的方法,其特征在于,若所述网络安全设备本地未记录所述访问用户的用户信息,则将所述访问用户的用户信息添加到所述用户组中;将所述访问用户与所述用户组之间的关系设置为动态关系。4.根据权利要求1所述的方法,其特征在于,还包括:接收所述访问用户的下线请求,所述下线请求包括所述访问用户的用户信息;将所述下线请求发送给认证服务器;接收所述认证服务器发送的响应结果;若所述响应结果包括所述访问用户的用户组信息,且所述网络安全设备本地存在所述用户组信息对应的用户组,则判断所述访问用户与所述用户组之间的关系是否为动态关系;若为动态关系,则删除所述访问用户与对应用户组之间的映射关系;并执行所述访问用户的下线操作。5.根据权利要求4所述的方法,其特征在于,还包括:判断所述访问用户在所述网络安全设备中存储的用户状态是否为动态;若是,则判断所述访问用户的用户信息是否在在线用户列表中;若不存在,则删除所述网络安全设备记录的所述访问用户的用户信息。6.一种访问控制装置,其特征在于,设置于网络安全设备中,所述装置,包括:第一接收模块,用于接收认证请求,所述认证请求包括访问用户的用户信息;发送模块,用于将所述认证请求发送给认证服务...
【专利技术属性】
技术研发人员:叶方正,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。