CN110516470A - 访问控制方法、装置、设备及存储介质 - Google Patents
访问控制方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN110516470A CN110516470A CN201910703271.6A CN201910703271A CN110516470A CN 110516470 A CN110516470 A CN 110516470A CN 201910703271 A CN201910703271 A CN 201910703271A CN 110516470 A CN110516470 A CN 110516470A
- Authority
- CN
- China
- Prior art keywords
- access
- terminal
- random cipher
- network equipment
- account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了访问控制方法、装置、设备及存储介质。该方法包括:接收终端的访问请求;识别访问请求对应的访问号码,根据访问号码确定待访问的网络设备;配置用于访问网络设备的访问账号,并生成与访问账号对应的随机密码;将访问账号和随机密码发送给终端和认证服务器,以使认证服务器根据访问账号和随机密码对访问网络设备的终端进行认证。本发明实施例能够远程对网络设备进行精确的控制,避免密码被恶意破解。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种访问控制方法、装置、设备及存储介质。
背景技术
目前,互联网上存在着海量的设备,为了保证资源不被窃取,通常每台设备登录维护均需要账号密码,但互联网上恶意人员可能会通过嗅探、暴力破解、撞库字典攻击、结构化查询语言(Structured Query Language,SQL)注入等多种方式来寻找这些设备自身的账号密码。因此,为确保设备计算资源不被盗取、修改或者破坏***机密性、完整性和可用性,***管理员通常情况下会采用加强密码强度、加强***安全性、加固***WEB等应用的方式来提升密码强度及控制密码知晓范围。
但是,上述几种解决方式无法提供方便可靠的精确访问控制。如果服务器全天可访问,根据木桶理论一旦维护人员因社会工程学密码泄露,同样会造成不可预估的后果。
发明内容
本发明实施例提供了一种访问控制方法、装置、设备及存储介质,能够远程对网络设备进行精确的控制,避免密码被恶意破解。
第一方面,本发明实施例提供了一种访问控制方法,方法包括:
接收终端的访问请求;
识别访问请求对应的访问号码,根据访问号码确定待访问的网络设备;
配置用于访问网络设备的访问账号,并生成与访问账号对应的随机密码;
将访问账号和随机密码发送给终端和认证服务器,以使认证服务器根据访问账号和随机密码对访问网络设备的终端进行认证。
第二方面,本发明实施例提供了一种访问控制方法,方法包括:
接收网络设备的认证请求;认证请求中携带有终端访问网络设备的访问账号和第一随机密码;
根据访问账号查询预先存储的为终端分配的用于访问网络设备的第二随机密码;
判断第一随机密码与第二随机密码是否匹配;
如果第一随机密码与第二随机密码匹配,向网络设备发送访问允许指令,以允许终端访问网络设备。
第三方面,本发明实施例提供了一种访问控制方法,方法包括:
接收终端的登录请求;登录请求中携带有终端的访问账号和第一随机密码;
将访问账号和第一随机密码发送给认证服务器,以使认证服务器基于访问账号和第一随机密码对终端进行认证;
接收认证服务器反馈的访问允许指令,其中,访问允许指令是认证服务器根据访问账号查询预先存储的为终端分配的第二随机密码并在第一随机密码与第二随机密码匹配的情况下生成的;
响应于访问允许指令,允许终端进行登录。
第四方面,本发明实施例提供了一种访问控制装置,装置包括:
接收模块,用于接收终端的访问请求;
识别处理模块,用于识别访问请求对应的访问号码,根据访问号码确定待访问的网络设备;
配置处理模块,用于配置用于访问网络设备的访问账号,并生成与访问账号对应的随机密码;
发送模块,用于将访问账号和随机密码发送给终端和认证服务器,以使认证服务器根据访问账号和随机密码对访问网络设备的终端进行认证。
第五方面,本发明实施例提供了一种访问控制装置,装置包括:
接收模块,用于接收网络设备的认证请求;认证请求中携带有终端访问网络设备的访问账号和第一随机密码;
查询模块,用于根据访问账号查询预先存储的为终端分配的用于访问网络设备的第二随机密码;
判断模块,用于判断第一随机密码与第二随机密码是否匹配;
指令发送模块,用于如果第一随机密码与第二随机密码匹配,向网络设备发送访问允许指令,以允许终端访问网络设备。
第六方面,本发明实施例提供了一种访问控制装置,装置包括:
请求接收模块,用于接收终端的登录请求;登录请求中携带有终端的访问账号和第一随机密码;
发送模块,用于将访问账号和第一随机密码发送给认证服务器,以使认证服务器基于访问账号和第一随机密码对终端进行认证;
指令接收模块,用于接收认证服务器反馈的访问允许指令,其中,访问允许指令是认证服务器根据访问账号查询预先存储的为终端分配的第二随机密码并在第一随机密码与第二随机密码匹配的情况下生成的;
响应模块,用于响应于访问允许指令,允许终端进行登录。
第七方面,本发明实施例提供了一种计算设备,包括:至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令,当计算机程序指令被处理器执行时实现如上述实施方式中第一方面、第二方面、第三方面中的方法。
第五方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序指令,当计算机程序指令被处理器执行时实现如上述实施方式中第一方面、第二方面、第三方面中的方法。
本发明实施例提供的访问控制方法、装置、设备及介质,通过基于访问号码查找待访问的网络设备,并为网络设备配置访问账号,对应访问账号生成随机密码,由于网络设备的访问账号是访问控制平台配置的,且密码是随机生成的,降低了了网络设备的访问账号和密码被破解的概率。将访问账号和随机密码发送给终端与认证服务器,使认证服务器根据访问账号和随机密码对访问网络设备的终端进行认证。本发明实施例能够远程对网络设备进行精确的控制,避免密码被恶意破解。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了根据本发明一些实施例提供的一种访问控制方法的流程图;
图2示出了根据本发明一些实施例提供的另一种访问控制方法的流程图;
图3示出了根据本发明一些实施例提供的又一种访问控制方法的流程图
图4示出了根据本发明一些实施例提供的一种访问控制装置的结构图;
图5示出了根据本发明一些实施例提供的另一种访问控制装置的结构图;
图6示出了根据本发明一些实施例提供的又一种访问控制装置的结构图;
图7示出了根据本发明一些实施例提供的一种基于手机号码安全管理网络设备的***的结构图;
图8示出了根据本发明一些实施例提供的一种基于手机号码安全管理网络设备的***处理方法的流程图;
图9示出了根据本发明一些实施例提供的另一种基于手机号码安全管理网络设备的***处理方法的流程图;
图10示出了根据本发明一些实施例提供的一种计算设备的结构示意图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了能够确保互联网设备的计算资源不被盗取、修改或者破坏***机密性、完整性和可用性,设备管理人员需要提升的网络设备的密码强度并控制密码的知晓范围。目前作为设备的***管理员和网络安全人员一般会采用以下几种方式结合来解决和规避上述风险:1、加强密码强度;多采用超过八位并且包括大小写,特殊字符,数字组成的混合密码。同时要求维护人员90天更改密码。2、加强***安全性,采用强加密算法存储密码,五次尝试自动锁定等方式。3、加固***WEB等应用,防止被黑客SQL注入,并提取到***包含密码的关键文件。
采用以上方式虽然能够杜绝大部分账号密码的破解,但是,对开发人员和设备管理人员的能力有较高的要求,而且,无法提供方便可靠的精确访问控制,设备管理人员无法在任意时间,任意位置,对服务器进行访问控制。如果服务器全天可访问,根据木桶理论一旦维护人员因社会工程学密码泄露,同样会造成不可预估的后果。
因此,本发明提供的一种访问控制方法、装置设备及存储介质,可以能够远程对网络设备进行精确的控制,避免密码被恶意破解。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种访问控制方法进行详细介绍。
参见图1所示,本发明实施例提供了一种访问控制方法,应用于访问控制平台,包括:S101-S103。
S101,接收终端的访问请求。
在一个示例实施例中,访问请求不仅包括用户需要访问设备的请求,还包括用户登录访问控制平台的信息,登录的信息中包括访问号码,访问号码是用户在使用终端在目标网络下基于手机号码发起登录请求时,有目标网络将手机号码进行转换得到,其中,访问号码为能够表示用户的手机号码的字段。具体地,用户是基于手机号码在目标网络下进行一键登录访问控制平台,无需使用账号和密码,目标网络为运营商网络,比如,4G网络。
S102,识别访问请求对应的访问号码,根据访问号码确定待访问的网络设备。
在一个示例实施例中,在接收到访问请求后,识别访问请求中的访问号码字段,确定访问号码,其中,访问号码中包括用户的手机号码,根据用户的访问号码还能够查找到所有用户能够访问的设备。在这里,用户在登录访问控制平台的时候,可以通过终端的页面输入需要访问的网络设备的标识,其中,标识可以是一个字符串,也可以是网络设备的端口段或者互联网协议(Internet Protocol,IP)地址,携带于访问请求中,例如,用户甲某对应被授权能够访问的网络设备共有八个,而在某次用户甲某需要访问网络设备中的其中两个网络设备时,将这两个网络设备的标识输入至终端的页面中,并携带于访问请求中。若所有网络设备均需要访问,则不需要输入即将访问的网络设备的标识。
S103,配置用于访问网络设备的访问账号,并生成与访问账号对应的随机密码。
在一个示例实施例中,访问账号为终端访问网络设备时的登录账号,为了防止密码泄露或者账号密码被破解,加强访问网络设备的安全性,在确定用户需要访问的网络设备后,为网络设备配置访问账号,并针对该访问账号生成随机密码,作为用户访问网络设备的登录密码。
S104,将访问账号和随机密码发送给终端和认证服务器,以使认证服务器根据访问账号和随机密码对访问网络设备的终端进行认证。
在一个示例实施例中,配置完网络设备的账号和随机密码,将账号和随机密码发送给终端,终端接收到访问账号和随机密码后,会通过终端的页面将访问账号和随机密码显示给用户,在这里,当用户需要访问多个网络设备的时候,访问控制平台将访问账号和随机密码反馈给终端的时候,还携带有网络设备的标识,每一个网络设备的标识一一对应访问账号和随机密码,即每一个网络设备的标识对应一个访问账号和与所述访问账号对应的随机密码。
此外,为了进一步保证网络设备的计算资源不被盗取、修改等,还需要将配置好的账号和随机密码发送给认证服务器,当用户使用终端登录网络设备的时候,通过认证服务器中保存的账号和随机密码对用户进行身份认证。
例如,用户通过终端登录网络设备的登录请求中携带访问账号和第一随机密码,网络设备接收到终端的登录请求后会基于登录请求中的访问账号和第一随机密码生成认证请求,将认证请求发送给认证服务器,认证服务器根据认证请求中的访问账号查询预先存储的为终端分配的用于访问网络设备的第二随机密码,判断第二随机密码是否与第一随机密码匹配,若第一随机密码和第二随机密码匹配,则认证成功,认证服务器将允许终端登录的指令发送给网络设备。
本发明实施例为了能够更进一步地防止密码被暴力破解,每一个随机密码配置有存续时长,具体地,本发明实施例提供的访问控制方法还包括:对终端访问网络设备进行计时,确定终端的访问时间长度;若访问时间长度大于预设时间长度,基于访问账号生成NULL指令;将NULL指令发送给认证服务器,以使认证服务器根据NULL指令中携带的访问账号将与访问账号对应的随机密码置空。
在一个示例实施例中,网络设备接收到认证服务器的访问允许指令后,终端开始访问网络设备,此时,对终端访问网络设备进行计时,得到终端访问网络设备的访问时间长度,若访问时间长度大于预设时间长度,生成NULL指令,其中NULL指令中携带有访问账号,将NULL指令发送给认证服务器,认证服务器接收到NULL指令后,将NULL指令中携带的访问号码对应的随机密码置空,也即此时该访问账号对应的随机密码出于NULL状态,而处于NULL状态下的随机密码是无效的,携带有该随机密码的认证请求均会被绝。例如,将随机密码的存续时长设置为2小时,也就是预设的时间长度为2小时,当访问时间长度达到2小时,那么终端会被下线,无法在继续访问网络设备。
本发明实施例提供的访问控制方法还包括:响应于接收到终端发送的下线指令,基于访问账号生成NULL指令;将NULL指令发送给认证服务器,以使认证服务器根据NULL指令中携带的访问账号将与访问账号对应的随机密码置空。
在一个示例实施例中,随机密码对应有存续时长,但是用户可能会在存续时长内完成网络设备的访问,此时,用户可以通过点击终端页面上的下线按键,终端生成下线指令,发送到访问控制平台,访问控制平台响应于下线指令后,生成NULL指令,并发送到认证服务器,认证服务器接收到NULL指令后,将NULL指令中携带的访问账号对应的随机密码置空,即该访问账号对应的随机密码为NULL状态,处于NULL状态下的随机密码是无效的,携带有该随机密码的认证请求均会被绝。
本发明实施例提供的访问控制方法还包括:检测访问号码是否具有设备访问权限;
若访问号码没有设备访问权限,访问控制平台向终端发送短信审批要求通知,以使终端根据短信审批要求通知申请设备访问权限,其中设备访问权限为访问网络设备的权限。
在一个示例实施例中,访问控制平台会检测访问号码是否具有网络设备的访问权限,在访问号码没有访问权限的情况下,访问控制平台是无法为访问号码配置访问账号和随机密码的,因此,用户需要获取设备访问权限,访问控制平台检测到访问号码没有设备访问权限的时候,向终端发送短信审批要求通知,其中,短信审批要求通知用于指示终端获取网络设备的访问权限,以及通过何种方式获取网络设备的访问权限,例如,用户可以通过短信的方式向网络设备的访问权限,那么短信审批要求通知中可以包括网络设备管理员的信息接收号码,以及用户在申请访问权限时需要提供的信息等。
本发明实施例提供的访问控制方法,通过基于访问号码查找待访问的网络设备,并为网络设备配置访问账号,对应访问账号生成随机密码,由于网络设备的访问账号是访问控制平台配置的,且密码是随机生成的,降低了了网络设备的访问账号和密码被破解的概率。将访问账号和随机密码发送给终端与认证服务器,使认证服务器根据访问账号和随机密码对访问网络设备的终端进行认证。本发明实施例能够远程对网络设备进行精确的控制,避免密码被恶意破解。
其次,为随机密码配置存续时长,实现用户访问一次网络设备对应一个密码,防止密码被暴力破解。
最后,随机密码的使用时间超过存续时长后,便会被置空,处NULL状态,无法继续使用,能够对用户的访问时限进行控制,也进一步阻止了密码被破解。
参见图2所示,本发明实施例提供了另一种访问控制方法,应用于认证服务器,包括S201-S204。
S201,接收网络设备的认证请求;认证请求中携带有终端访问网络设备的访问账号和第一随机密码。
S202,根据访问账号查询预先存储的为终端分配的用于访问网络设备的第二随机密码。
S203,判断第一随机密码与第二随机密码是否匹配。
S204,如果第一随机密码与第二随机密码匹配,向网络设备发送访问允许指令,以允许终端访问网络设备。
在一个示例实施例中,终端访问网络设备时,网络设备生成认证请求,并将认证请求发送给认证服务器,其中,认证请求中携带有会终端访问网络设备的访问账号和第一随机密码。通过认证服务器对终端的访问账号和第一随机密码进行认证。认证服务器中预先保存有访问控制平台为网络设备配置的访问账号和第二随机密码,根据认证请求中携带的访问账号查询第二随机密码,判断第一随机密码与第二随机密码是否匹配,若第一随机密码与第二随机密码匹配,则访问账号对应的终端是向访问控制平台申请网络设备的访问账号的终端,则认证通过,允许终端访问网络设备,生成访问允许指令,允许终端访问网络设备,若第一随机密码与第二随机密码不匹配,则生成访问拒绝指令,将访问拒绝指令发送给网络设备,使网络设备拒绝终端进行登录。
本发明实施例提供的访问控制方法还包括:接收NULL指令;NULL指令中携带有访问账号;响应于NULL指令,将访问账号对应的第二随机密码设置为空;其中,NULL指令是在终端访问网络设备的访问时间长度大于预设时间长度或接收到终端发送的下线指令的情况下生成的。
在一个示例实施例中,接收NULL指令,当接收到NULL指令时,则有以下两种情况,其一,终端访问网络设备的访问时间长度大于预设时间长度;其二,接收到终端发送的下线指令,此时,认证服务器将第二随机密码置空,使第二随机密码失效,当再次接收到携带有第二随机密码的认证请求后,拒绝该终端访问网络设备。
本发明实施例提供的访问控制方法,通过对第一随机密码进行认证后,确定终端是否可以访问网络设备能够远程对网络设备进行精确的控制。
其次,为随机密码配置存续时长,实现用户访问一次网络设备对应一个密码,防止密码被暴力破解。
最后,随机密码的使用时间超过存续时长后,便会被置空,处NULL状态,无法继续使用,能够对用户的访问时限进行控制,也进一步阻止了密码被破解。
参见图3所示,本发明实施例还提供了又一种访问控制方法,应用于网络设备包括:S301-S304。
S301,接收终端的登录请求;登录请求中携带有终端的访问账号和第一随机密码。
S302,将访问账号和第一随机密码发送给认证服务器,以使认证服务器基于访问账号和第一随机密码对终端进行认证。
S303,接收认证服务器反馈的访问允许指令,其中,访问允许指令是认证服务器根据访问账号查询预先存储的为终端分配的第二随机密码,并在第一随机密码与第二随机密码匹配的情况下生成的。
S304,响应于访问允许指令,允许终端进行登录。
在一个示例实施例中,网络设备接收到终端的登录请求后,基于登录请求中的访问账号和第一随机密码生成认证请求,将认证请求发送给认证服务器,以使认证服务器对终端进行认证。认证服务器根据认证请求中的访问账号查询预先存储的为终端分配的用于访问网络设备的第二随机密码,判断第二随机密码是否与第一随机密码匹配,若第一随机密码和第二随机密码匹配,则认证成功,认证服务器将允许终端登录的指令发送给网络设备,接收认证服务器反馈的访问允许指令,允许终端登录。
本发明实施例提供的访问控制方法通过终端的登录请求中的访问账号和第一随机密码生成认证请求,并将认证请求发送给认证服务器对终端进行认证,能够远程对网络设备进行精确的控制。
参见图4所示,本发明实施例提供了一种访问控制装置,该装置包括:
接收模块401,用于接收终端的访问请求。
识别处理模块402,用于识别访问请求对应的访问号码,根据访问号码确定待访问的网络设备。
配置处理模块403,用于配置用于访问网络设备的访问账号,并生成与访问账号对应的随机密码。
发送模块404,用于将访问账号和随机密码发送给终端和认证服务器,以使认证服务器根据访问账号和随机密码对访问网络设备的终端进行认证。
可选的,本发明实施例提供的访问控制装置还包括时间控制模块405,具体用于:
对终端访问网络设备进行计时,确定终端的访问时间长度;
若访问时间长度大于预设时间长度,基于访问账号生成NULL指令;
将NULL指令发送给认证服务器,以使认证服务器根据NULL指令中携带的访问账号将与访问账号对应的随机密码置空。
可选的,本发明实施例中的时间控制模块405,具体还用于:
响应于接收到终端发送的下线指令,基于访问账号生成NULL指令;
将NULL指令发送给认证服务器,以使认证服务器根据NULL指令中携带的访问账号将与访问账号对应的随机密码置空。
可选的,本发明实施例提供的访问控制装置,还包括权限检测模块406,具体用于:
检测访问号码是否具有设备访问权限;
若访问号码没有设备访问权限,向终端发送短信审批要求通知,以使终端根据短信审批要求通知申请设备访问权限,其中设备访问权限为访问网络设备的权限。
参见图5所示,本发明实施例还提供了另一种访问控制装置,包括:
接收模块501,用于接收网络设备的认证请求;认证请求中携带有终端访问网络设备的访问账号和第一随机密码;
查询模块502,用于根据访问账号查询预先存储的为终端分配的用于访问网络设备的第二随机密码;
判断模块503,用于判断第一随机密码与第二随机密码是否匹配;
指令发送模块504,用于如果第一随机密码与第二随机密码匹配,向网络设备发送访问允许指令,以允许终端访问网络设备。
可选的,本发明实施例提供的访问控制装置还包括密码置空模块505,用于:
接收NULL指令;NULL指令中携带有访问账号;
响应于NULL指令,将访问账号对应的第二随机密码设置为空;
其中,NULL指令是在终端访问网络设备的访问时间长度大于预设时间长度或接收到终端发送的下线指令的情况下生成的。
可选的,本发明实施例中的指令发送模块504,还用于:
在第一随机密码与第二随机密码不匹配的情况下,生成登录拒绝指令并发送给网络设备,以使网络设备拒绝终端进行登录。
参见图6所示,本发明实施例提供了又一种访问控制装置,包括:
请求接收模块601,用于接收终端的登录请求;登录请求中携带有终端的访问账号和第一随机密码;
发送模块602,用于将访问账号和第一随机密码发送给认证服务器,以使认证服务器基于访问账号和第一随机密码对终端进行认证;
指令接收模块603,用于接收认证服务器反馈的访问允许指令,其中,访问允许指令是认证服务器根据访问账号查询预先存储的为终端分配的第二随机密码并在第一随机密码与第二随机密码匹配的情况下生成的;
响应模块604,用于响应于访问允许指令,允许终端进行登录。
在一个示例实施例中,参见图7所示,为本发明实施例提供的基于手机号码安全管理网络设备的***的结构图,该***包括:终端701、访问控制平台702、认证服务器703、网络设备704。
终端701用于向访问控制平台702提出访问请求,访问控制平台702用于根据访问请求生成访问账号和随机密码,并发送给终端701,终端701使用访问账号和随机密码登录访问网络设备704,网络设备704接收到终端701的访问账号和随机密码后,会通过认证服务器703对终端701进行认证,根据终端701登录网络设备704的访问账号,在认证服务器703中查询预先存储的随机密码,并在认证服务器703中存储的随机密码与终端701登录网络设备704的随机密码一致的情况下,允许终端701登录网络设备704。
在一个示例实施例中,参见图8所示,为基于手机号码安全管理网络设备的***,该***包括终端801、访问控制平台802、认证服务器803、网络设备804,图8所示的基于手机号码安全管理网络设备的***能够执行下述图9中所示的方法步骤。
参见图9所示,为基于手机号码安全管理网络设备的***的处理方法流程图,包括:
S801:终端通过APP或网页基于手机号码发起认证请求。
维护人员利用终端通过运营商网络发起基于手机号码的访问网络认证,手机号码认证登录是***推出以手机号码作为统一的账号体系的登录方式,无需输入密码及验证码,一键实现登录。该技术要求用户在登录时仅需要在APP或者页面访问固定网址,通过运营商网络前转手机号码,即可完成用户身份校验,由于前转终端号是运营商网络生成,不存在客户端篡改或冒用,可以实现手机号码一键认证登录。
在这里,若用户使用如电脑,平板电脑等终端登录访问控制平台,则需要通过能够将运营商网络作为热点,连接该热点,以通过手机号码完成一键登录。
S802:访问控制平台生成用户的账号及随机密码。
终端认证通过后,访问控制平台会自动探测终端号并根据手机号码在用户认证模块中查找到用户名下需要管理的网络设备,找到需要登录的网络设备上对应的账号并且生成一个随机高强度的随机密码。如果用户当前只需要访问一台网络设备,可在终端APP或者网页中输入设备的IP地址,访问控制平台会只针对这台机器生成账号及随机密码。
S803:对申请访问信息进行短信审批。
根据权限不同,在访问控制平台配置是否需要进行短信审批策略,针对第三方维护人员可以配置需要管理员进行短信审批,***管理员审批通过后,进行到S804;针对内部管理员则可以默认不需要进行审批,自动进行到S804。
S804:认证服务器配置登录设备的账号及随机密码。
网络设备本地不存储密码,所有登录请求均需要到认证服务器进行认证,认证协议可以使用Radius,Diameter或厂家自定义认证协议,例如HWTACACS协议。日常认证服务器的认证库中,针对网络设备的密码为NULL,在密码为NULL的状态下,认证服务器会拒绝一切认证请求,并生成日志。
当用户通过终端APP或者特定网页提交访问请求通过后,认证服务器收到访问控制平台通知,在认证库中写入需要登录的服务器的账号对应的随机高强度密码,终端通过账号和随机密码登录网络设备时,通过认证服务器对终端进行认证。
S805:终端通过APP或网页获得密码。
当访问控制平台完成审批和随机高强度密码生成后,用户终端通过APP或网页将获取到随机高强度密码。上述S801-S805正常情况下将在1秒内完成。
S806:计时器开始计时。
认证服务器允许终端访问网络设备后,计时器开始计时,并将允许访问通知通过APP或网页通知申请人。
S807:计时器时限到后或者用户主动下线。
在申请的时间段到期后或者用户在APP和网页上点击下线按钮时,基于手机号码的安全访问控制平台将生成一条记录,并且将NULL消息推送给认证服务器。在此之后,所有的认证申请都会被拒绝。
本发明实施例中与传统方法相比,***中日常不存储任何密码,任何人均无法通过账号密码登录。使用期间密码随机生成,一次一密,也即外界攻击者根本无法通过暴力破解,邮件诱骗,SQL注入,甚至其它针对账号密码的漏洞获取***账号及密码。从而彻底提升***安全性。
其次,通过手机终端对***访问精准分时控制。
通过手机号码快速认证,可以实现任意时间,任意位置,对服务器的可维护性进行控制。用户上线时认证服务器允许认证,用户维护完成点击下线后,认证服务器第一时间将设备密码设置为NULL,任何人均无法通过账号密码登录。实现精准分时控制。
最后,通过手机号码对管理员行为的精准审计。
由于一种基于手机号码一键安全管理服务器及网络设备的方法和***,密码采用一次一密,并和手机号一一对应,可以避免管理员之间混用共享账号密码。便于对多人管理的公网***进行审计,可以做到责任到人。
另外,本发明实施例的访问控制方法可以由计算设备来实现。图10示出了本发明实施例提供的计算设备的硬件结构示意图。
计算设备可以包括处理器1001以及存储有计算机程序指令的存储器1002。
具体地,上述处理器1001可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本发明实施例的一个或多个集成电路。
存储器1002可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器1002可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器1002可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器1002可在数据处理装置的内部或外部。在特定实施例中,存储器1002是非易失性固态存储器。在特定实施例中,存储器1002包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器1001通过读取并执行存储器1002中存储的计算机程序指令,以实现上述实施例中的任意一种访问控制方法。
在一个示例中,计算设备还可包括通信接口1003和总线1010。其中,如图10所示,处理器1001、存储器1002、通信接口1003通过总线1010连接并完成相互间的通信。
通信接口1003,主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。
总线1010包括硬件、软件或两者,将计算设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、***组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线1010可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线,但本发明考虑任何合适的总线或互连。
另外,结合上述实施例中的访问控制方法,本发明实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种访问控制方法。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或***。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的***、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
Claims (13)
1.一种访问控制方法,其特征在于,所述方法包括:
接收终端的访问请求;
识别所述访问请求对应的访问号码,根据所述访问号码确定待访问的网络设备;
配置用于访问所述网络设备的访问账号,并生成与所述访问账号对应的随机密码;
将所述访问账号和所述随机密码发送给所述终端和认证服务器,以使所述认证服务器根据所述访问账号和所述随机密码对访问所述网络设备的所述终端进行认证。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对所述终端访问所述网络设备进行计时,确定所述终端的访问时间长度;
若所述访问时间长度大于预设时间长度,基于所述访问账号生成NULL指令;
将所述NULL指令发送给所述认证服务器,以使所述认证服务器根据所述NULL指令中携带的访问账号将与所述访问账号对应的随机密码置空。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于接收到所述终端发送的下线指令,基于所述访问账号生成NULL指令;
将所述NULL指令发送给所述认证服务器,以使所述认证服务器根据所述NULL指令中携带的访问账号将与所述访问账号对应的随机密码置空。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
检测所述访问号码是否具有设备访问权限;
若所述访问号码没有设备访问权限,向所述终端发送短信审批要求通知,以使所述终端根据短信审批要求通知申请设备访问权限,其中所述设备访问权限为访问所述网络设备的权限。
5.一种访问控制方法,其特征在于,所述方法包括:
接收网络设备的认证请求;所述认证请求中携带有终端访问所述网络设备的访问账号和第一随机密码;
根据所述访问账号查询预先存储的为所述终端分配的用于访问所述网络设备的第二随机密码;
判断所述第一随机密码与所述第二随机密码是否匹配;
如果所述第一随机密码与所述第二随机密码匹配,向所述网络设备发送访问允许指令,以允许所述终端访问所述网络设备。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
接收NULL指令;所述NULL指令中携带有所述访问账号;
响应于所述NULL指令,将所述访问账号对应的所述第二随机密码设置为空;
其中,所述NULL指令是在所述终端访问所述网络设备的访问时间长度大于预设时间长度或接收到所述终端发送的下线指令的情况下生成的。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
在所述第一随机密码与所述第二随机密码不匹配的情况下,生成登录拒绝指令并发送给所述网络设备,以使所述网络设备拒绝所述终端进行登录。
8.一种访问控制方法,其特征在于,所述方法包括:
接收终端的登录请求;所述登录请求中携带有终端的访问账号和第一随机密码;
将所述访问账号和所述第一随机密码发送给认证服务器,以使所述认证服务器基于所述访问账号和所述第一随机密码对所述终端进行认证;
接收所述认证服务器反馈的访问允许指令,其中,所述访问允许指令是所述认证服务器根据所述访问账号查询预先存储的为所述终端分配的第二随机密码并在所述第一随机密码与所述第二随机密码匹配的情况下生成的;
响应于所述访问允许指令,允许所述终端进行登录。
9.一种访问控制装置,其特征在于,所述装置包括:
接收模块,用于接收终端的访问请求;
识别处理模块,用于识别所述访问请求对应的访问号码,根据所述访问号码确定待访问的网络设备;
配置处理模块,用于配置用于访问所述网络设备的访问账号,并生成与所述访问账号对应的随机密码;
发送模块,用于将所述访问账号和所述随机密码发送给所述终端和认证服务器,以使所述认证服务器根据所述访问账号和所述随机密码对访问所述网络设备的所述终端进行认证。
10.一种访问控制装置,其特征在于,所述装置包括:
接收模块,用于接收网络设备的认证请求;所述认证请求中携带有终端访问所述网络设备的访问账号和第一随机密码;
查询模块,用于根据所述访问账号查询预先存储的为所述终端分配的用于访问所述网络设备的第二随机密码;
判断模块,用于判断所述第一随机密码与所述第二随机密码是否匹配;
指令发送模块,用于如果所述第一随机密码与所述第二随机密码匹配,向所述网络设备发送访问允许指令,以允许所述终端访问所述网络设备。
11.一种访问控制装置,其特征在于,所述装置包括:
请求接收模块,用于接收终端的登录请求;所述登录请求中携带有终端的访问账号和第一随机密码;
发送模块,用于将所述访问账号和所述第一随机密码发送给认证服务器,以使所述认证服务器基于所述访问账号和所述第一随机密码对所述终端进行认证;
指令接收模块,用于接收所述认证服务器反馈的访问允许指令,其中,所述访问允许指令是所述认证服务器根据所述访问账号查询预先存储的为所述终端分配的第二随机密码并在所述第一随机密码与所述第二随机密码匹配的情况下生成的;
响应模块,用于响应于所述访问允许指令,允许所述终端进行登录。
12.一种计算设备,其特征在于,包括:至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令,当所述计算机程序指令被所述处理器执行时实现如权利要求1-4、权利要求5-7、权利要求8中任一项所述的方法。
13.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,当所述计算机程序指令被处理器执行时实现如权利要求1-4、权利要求5-7、权利要求8中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910703271.6A CN110516470A (zh) | 2019-07-31 | 2019-07-31 | 访问控制方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910703271.6A CN110516470A (zh) | 2019-07-31 | 2019-07-31 | 访问控制方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110516470A true CN110516470A (zh) | 2019-11-29 |
Family
ID=68623857
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910703271.6A Pending CN110516470A (zh) | 2019-07-31 | 2019-07-31 | 访问控制方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110516470A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110351298A (zh) * | 2019-07-24 | 2019-10-18 | ***通信集团黑龙江有限公司 | 访问控制方法、装置、设备及存储介质 |
CN112565209A (zh) * | 2020-11-24 | 2021-03-26 | 浪潮思科网络科技有限公司 | 一种网元设备访问控制方法及设备 |
CN112784254A (zh) * | 2020-12-28 | 2021-05-11 | 深圳恒芯安全信息技术有限公司 | 一种口令管理方法、装置、终端设备及存储介质 |
CN114900376A (zh) * | 2022-07-15 | 2022-08-12 | 苏州万店掌网络科技有限公司 | 一种设备入网方法、装置、设备及存储介质 |
CN116663071A (zh) * | 2023-08-01 | 2023-08-29 | 北京清众神州大数据有限公司 | 一种企业涉密数据访问管理方法、装置、电子设备及介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101741860A (zh) * | 2009-11-27 | 2010-06-16 | 华中科技大学 | 一种计算机远程安全控制方法 |
CN103188332A (zh) * | 2011-12-30 | 2013-07-03 | ***通信集团公司 | 一种远程桌面访问控制管理方法、设备及*** |
CN103297633A (zh) * | 2013-06-25 | 2013-09-11 | 林顶众 | 基于VoIP网络的自助通信服务***及方法 |
CN104160652A (zh) * | 2011-12-27 | 2014-11-19 | 英特尔公司 | 用于使用一次性密码的分布式离线登录的方法和*** |
CN105407070A (zh) * | 2014-07-28 | 2016-03-16 | 小米科技有限责任公司 | 登录授权方法及装置 |
CN105991610A (zh) * | 2015-03-02 | 2016-10-05 | 北京神州泰岳信息安全技术有限公司 | 登录应用服务器的方法及装置 |
US20170054711A1 (en) * | 2015-08-19 | 2017-02-23 | Winifred Shen | Systems and methods for authenticating users accessing a secure network with one-session-only, on-demand login credentials |
CN108200039A (zh) * | 2017-12-28 | 2018-06-22 | 北京网瑞达科技有限公司 | 基于动态创建临时账号密码的无感知认证授权***和方法 |
CN108990062A (zh) * | 2018-07-13 | 2018-12-11 | 全讯汇聚网络科技(北京)有限公司 | 智能安全Wi-Fi管理方法和*** |
CN109802938A (zh) * | 2018-12-03 | 2019-05-24 | 珠海派诺科技股份有限公司 | 一种远端设备的注册管理方法、电子设备及存储介质 |
-
2019
- 2019-07-31 CN CN201910703271.6A patent/CN110516470A/zh active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101741860A (zh) * | 2009-11-27 | 2010-06-16 | 华中科技大学 | 一种计算机远程安全控制方法 |
CN104160652A (zh) * | 2011-12-27 | 2014-11-19 | 英特尔公司 | 用于使用一次性密码的分布式离线登录的方法和*** |
CN103188332A (zh) * | 2011-12-30 | 2013-07-03 | ***通信集团公司 | 一种远程桌面访问控制管理方法、设备及*** |
CN103297633A (zh) * | 2013-06-25 | 2013-09-11 | 林顶众 | 基于VoIP网络的自助通信服务***及方法 |
CN105407070A (zh) * | 2014-07-28 | 2016-03-16 | 小米科技有限责任公司 | 登录授权方法及装置 |
CN105991610A (zh) * | 2015-03-02 | 2016-10-05 | 北京神州泰岳信息安全技术有限公司 | 登录应用服务器的方法及装置 |
US20170054711A1 (en) * | 2015-08-19 | 2017-02-23 | Winifred Shen | Systems and methods for authenticating users accessing a secure network with one-session-only, on-demand login credentials |
CN108200039A (zh) * | 2017-12-28 | 2018-06-22 | 北京网瑞达科技有限公司 | 基于动态创建临时账号密码的无感知认证授权***和方法 |
CN108990062A (zh) * | 2018-07-13 | 2018-12-11 | 全讯汇聚网络科技(北京)有限公司 | 智能安全Wi-Fi管理方法和*** |
CN109802938A (zh) * | 2018-12-03 | 2019-05-24 | 珠海派诺科技股份有限公司 | 一种远端设备的注册管理方法、电子设备及存储介质 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110351298A (zh) * | 2019-07-24 | 2019-10-18 | ***通信集团黑龙江有限公司 | 访问控制方法、装置、设备及存储介质 |
CN112565209A (zh) * | 2020-11-24 | 2021-03-26 | 浪潮思科网络科技有限公司 | 一种网元设备访问控制方法及设备 |
CN112784254A (zh) * | 2020-12-28 | 2021-05-11 | 深圳恒芯安全信息技术有限公司 | 一种口令管理方法、装置、终端设备及存储介质 |
CN114900376A (zh) * | 2022-07-15 | 2022-08-12 | 苏州万店掌网络科技有限公司 | 一种设备入网方法、装置、设备及存储介质 |
CN114900376B (zh) * | 2022-07-15 | 2022-10-04 | 苏州万店掌网络科技有限公司 | 一种设备入网方法、装置、设备及存储介质 |
CN116663071A (zh) * | 2023-08-01 | 2023-08-29 | 北京清众神州大数据有限公司 | 一种企业涉密数据访问管理方法、装置、电子设备及介质 |
CN116663071B (zh) * | 2023-08-01 | 2023-11-21 | 山西清众科技股份有限公司 | 一种企业涉密数据访问管理方法、装置、电子设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US12011094B2 (en) | Multi-factor authentication with increased security | |
CN110516470A (zh) | 访问控制方法、装置、设备及存储介质 | |
CN101227468B (zh) | 用于认证用户到网络的方法、设备和*** | |
US9451454B2 (en) | Mobile device identification for secure device access | |
US9348991B2 (en) | User management of authentication tokens | |
CN107210916B (zh) | 条件登录推广 | |
US8856892B2 (en) | Interactive authentication | |
KR101451359B1 (ko) | 사용자 계정 회복 | |
CN111131242A (zh) | 一种权限控制方法、装置和*** | |
US11823007B2 (en) | Obtaining device posture of a third party managed device | |
US9787678B2 (en) | Multifactor authentication for mail server access | |
CN108880822A (zh) | 一种身份认证方法、装置、***及一种智能无线设备 | |
CN107809438A (zh) | 一种网络身份认证方法、***及其使用的用户代理设备 | |
CN107241329B (zh) | 账号登录处理方法及装置 | |
CN106161475B (zh) | 用户鉴权的实现方法和装置 | |
CN106302606A (zh) | 一种跨应用访问方法及装置 | |
CN112929388B (zh) | 网络身份跨设备应用快速认证方法和***、用户代理设备 | |
CN114168933A (zh) | 一种用户异常登录管理方法 | |
KR101206854B1 (ko) | 고유식별자 기반 인증시스템 및 방법 | |
KR101436404B1 (ko) | 사용자 인증 장치 및 방법 | |
CN112395586A (zh) | 文件访问的控制方法及装置、***、存储介质、电子装置 | |
CN108574657B (zh) | 接入服务器的方法、装置、***以及计算设备和服务器 | |
JP2011192129A (ja) | 携帯電話端末を用いたログイン認証システム | |
KR101523629B1 (ko) | 로그인 인증 장치, 방법 및 이를 저장한 기록 매체 | |
JP3974070B2 (ja) | ユーザ認証装置、端末装置、プログラム及びコンピュータ・システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191129 |
|
RJ01 | Rejection of invention patent application after publication |