CN110855709A - 安全接入网关的准入控制方法、装置、设备和介质 - Google Patents
安全接入网关的准入控制方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN110855709A CN110855709A CN201911175585.XA CN201911175585A CN110855709A CN 110855709 A CN110855709 A CN 110855709A CN 201911175585 A CN201911175585 A CN 201911175585A CN 110855709 A CN110855709 A CN 110855709A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- risk level
- strategy
- security risk
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种安全接入网关的准入控制方法、装置、设备和介质。该方法包括:接收用户终端发送的身份认证请求,并根据身份认证请求中携带的身份验证信息验证用户的身份;若对用户终端的身份验证通过,则根据身份认证请求中携带的属性信息查询用户终端的安全风险等级;根据用户终端的安全风险等级确定与用户终端对应的准入策略;根据准入策略控制用户终端连接目标服务器。本发明实施例能够对接入服务器的用户终端进行安全风险等级的分类,指定对应的准入策略,有效保证连接目标服务器时的安全性。
Description
技术领域
本发明实施例涉及网络安全领域,尤其涉及一种安全接入网关的准入控制方法、装置、设备和介质。
背景技术
网络准入控制(NAC)是重点解决网络和合规性要求,达到“违规不入网,入网必合规”的管理规范,其目的是为了防止病毒和蠕虫等新兴的黑客技术对企业的安全造成危害。借助NAC,各个企业可以只允许合法、安全、值得信赖的终端设备(如:服务器、PDA(PersonalDigital Assistant,掌上电脑)、移动设备等)接入网络,并对接入网络的设备进行合规性的检查。
在实现本发明的过程中,发明人发现现有技术中至少存在如下问题:
在终端接入网关的过程中,终端接入网关的接入策略是固定的,即根据终端上报的属性信息(例如终端标识)确定出的,当终端的安全风险等级发生变化时,终端仍按照原有的接入策略实现与服务器的连接,难以保证连接服务器的安全性。
发明内容
本发明实施例提供一种安全接入网关的准入控制方法、装置、设备和介质,可以根据用户终端的安全风险等级确定用户终端的准入策略。
第一方面,本发明实施例提供了一种安全接入网关的准入控制方法,所述方法包括:
接收用户终端发送的身份认证请求,并根据所述身份认证请求中携带的身份验证信息验证用户的身份;
若对所述用户终端的身份验证通过,则根据所述身份认证请求中携带的属性信息查询所述用户终端的安全风险等级;
根据所述用户终端的安全风险等级确定与所述用户终端对应的准入策略;
根据所述准入策略控制所述用户终端连接目标服务器。
第二方面,本发明实施例提供了一种安全接入网关的准入控制装置,所述装置包括:
验证模块,用于接收用户终端发送的身份认证请求,并根据所述身份认证请求中携带的身份验证信息验证用户的身份;
查询模块,用于若对所述用户终端的身份验证通过,则根据所述身份认证请求中携带的属性信息查询所述用户终端的安全风险等级;
确定模块,用于根据所述用户终端的安全风险等级确定与所述用户终端对应的准入策略;
控制模块,用于根据所述准入策略控制所述用户终端连接目标服务器。
第三方面,本发明实施例提供了一种电子设备,该电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明实施例中的任一种所述的安全接入网关的准入控制方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例中的任一种所述的安全接入网关的准入控制方法。
本发明实施例通过对用户终端的身份进行验证,待验证通过后,根据用户终端的属性信息查看用户终端的安全风险等级,并根据用户终端的安全风险等级确定对应的准入策略,以根据准入策略实现目标服务器的连接。能够对接入服务器的用户终端进行安全风险等级的分类,指定对应的准入策略,有效保证连接目标服务器时的安全性。
附图说明
图1是本发明实施例一中的安全接入网关的准入控制方法的流程示意图;
图2是本发明实施例二中的安全接入网关的准入控制方法的流程示意图;
图3是本发明实施例三中的安全接入网关的准入控制装置的结构示意图;
图4是本发明实施例四中的电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1是本发明实施例一中的安全接入网关的准入控制方法的流程示意图。本实施例可适用于通过用户终端的安全风险等级确定准入策略的情况。该方法可由一种安全接入网关的准入控制装置来执行,该装置可采用硬件/或软件的方式来实现,可配置于电子设备中。该方法具体包括如下:
S110、接收用户终端发送的身份认证请求,并根据身份认证请求中携带的身份验证信息验证用户的身份。
在本实施例中,用户终端可以是连接服务器所被用户使用的智能终端;其中,智能终端为具有数据访问功能的智能设备,可支持服务器访问和连接等方面的功能。例如,智能手机、平板电脑和PC(Personal Computer,个人计算机)等。为了确保网络边界的安全性,需要对访问服务器的用户终端的使用者(即用户)进行身份验证,因此,在访问服务器之前,用户需通过用户终端发送身份认证请求。具体的,可以在各类接入内部网络的用户终端上安装定制的安全接入客户端,并在各个用户终端上通过安全接入客户端对用户的身份信息进行验证;例如,用户可以通过用户终端向安全接入服务器发送身份认证请求,待安全接入服务器接收到身份认证请求后,根据身份认证请求中携带的身份验证信息验证用户的身份;其中,安全接入服务器部署在内部网络防火墙前面(属于开放资源区),各类用户终端可直接访问,无需认证。
具体的,用户终端发送的身份认证请求中携带的身份验证信息可以是用户在注册安全接入客户端时预先设置的账户名称和登录密码;其中,账户名称可以是用户的手机号、邮箱或用户自定义的字符;若用户使用已有的其他软件账号(比如邮箱)登录,则可直接通过邮箱以及邮箱对应的密码进行登录;本实施例中,账户名称对应的登录密码可以是静态的,也可以是由动态获取得到的,静态即是自己设置的固定的密码,动态是每一次登录时安全接入客户端随机分配的。根据账户名称与登录密码实现对用户身份的验证,若对用户终端的身份验证通过,则执行S120;若对用户终端的身份验证未通过,则提示再次验证,在预设验证次数范围内还未通过,则退出验证界面,并提示限定时段内不接收该账户名称的登录;未通过身份验证的用户终端只能访问开放资源的服务器,所有访问受控资源的服务器请求都会被防火墙阻隔。
S120、根据身份认证请求中携带的属性信息查询用户终端的安全风险等级。
在本实施例中,在用户终端的身份验证通过后,为了区分不同用户终端,以确保接入服务器的安全性,因此,需要对将不同用户终端进行类型划分;具体的,可以根据用户终端的安全风险等级实现不同用户终端的分类。本实施例中安全风险等级是根据用户终端的属性信息确定;其中,用户终端的属性信息可以包括如下至少一种:用户终端的当前操作***类型、用户终端的版本号、终端标识、登录用户、IP(Internet Protocol,网络之间互连的协议)段、组织机构以及用户终端对应的序列号。查询用户终端的安全风险等级是为了对接入网络的用户终端进行合规性检查,即检查接入安全接入服务器的用户终端是否合法。
具体的,用户终端的不同属性信息与用户终端的安全风险等级是一一对应关系;以用户终端的属性信息为用户终端的当前操作***类型为例进行展示说明,例如,在用户终端的当前操作***类型与用户终端的安全风险等级对应表中显示,用户终端的当前操作***类型为Windows XP,则表明该用户终端的安全风险等级为一级,即表示该用户终端的安全风险等级较高。
S130、根据用户终端的安全风险等级确定与用户终端对应的准入策略。
在本实施例中,为了保证连接服务器的安全性,需要根据用户终端的不同安全风险等级指定相应的准入策略,以避免安全风险等级较高的用户终端在连接服务器时带来的安全隐患。用户终端对应的准入策略为该用户终端可以进行访问的各个服务器与该用户终端的对应关系;其记录了用户终端能够进行访问的服务器的地址。
具体的,可以通过安全接入服务器中安全风险等级与准入策略的对应关系确定出用户终端对应的准入策略;并将确定好的用户终端的准入策略发送至防火墙,通知防火墙为该用户终端开启网关,并下发用户终端对应的准入策略,以供实现用户终端根据对应的准入策略连接想要访问的服务器。其中,防火墙可根据用户终端的准入策略生成与用户终端标识信息的对应的访问控制列表;本实施例中,用户终端标识信息可以为用户终端对应的IP地址。
S140、根据准入策略控制用户终端连接目标服务器。
在本实施例中,准入策略中记录了用户终端能够访问的服务器的地址;目标服务器为用户终端想要访问的服务器,即提前设定好的访问对象。在用户终端访问受控资源的服务器时,防火墙通过在用户对应的准入策略中匹配用户终端的目标服务器,以此控制用户终端与目标服务器的连接。
若通过身份验证的用户终端访问受控资源的服务器时,若防火墙在记录的准入策略中匹配出用户终端想要访问的目标服务器,则防火墙不再阻隔该用户终端;若若防火墙在记录的准入策略中未能匹配出用户终端想要访问的目标服务器,则防火墙对该用户终端进行阻隔;即表示该用户终端不能访问预定的目标服务器,并提示该用户终端在访问该目标服务器时无访问权项。
本发明实施例通过对用户终端的身份进行验证,待验证通过后,根据用户终端的属性信息查看用户终端的安全风险等级,并根据用户终端的安全风险等级确定对应的准入策略,以根据准入策略实现目标服务器的连接。能够对接入服务器的用户终端进行安全风险等级的分类,指定对应的准入策略,有效保证连接目标服务器时的安全性。
实施例二
图2是本发明实施例二中的安全接入网关的准入控制方法的流程示意图。本实施例是在上述实施例的基础上进一步扩展与优化,并可与上述技术方案中任意可选方案组合。如图2所示,该方法包括:
S210、接收用户终端发送的身份认证请求,并根据身份认证请求中携带的身份验证信息验证用户的身份。
S220、根据身份认证请求中携带的属性信息查询用户终端的安全风险等级。
S230、根据用户终端的安全风险等级确定用户终端对应的策略ID。
在本实施例中,用户终端的不同安全风险等级对应不同的策略ID(Identitydocument,身份标识号码);其中,策略ID为准入策略的标识信息,与准入策略是一一对应的关系。具体的,通过查询到用户终端的安全风险等级,确定出对应安全风险等级的用户终端的策略ID。同一个用户终端在访问服务器的时候,确定出的策略ID不是唯一的,是可以根据该用户终端的属性信息进行实时变化的。
S240、通过用户终端对应的策略ID确定用户终端对应的准入策略。
在本实施例中,用户终端对应的策略ID与用户终端对应的准入策略具有唯一相对性,即一条准入策略对应一个策略ID。当确定出用户终端对应的准入策略后,防火墙会建立用户终端的IP地址与用户终端对应的准入策略的对应关系,使得后续该用户终端需要访问受控资源的服务器时,防火墙能够通过识别用户终端的IP地址来选定用户终端对应的准入策略,实现用户终端与目标服务器的连接。
S250、根据准入策略控制用户终端连接目标服务器。
可选的,在接收用户终端发送的身份认证请求之前,还包括:
接收用户终端发送的IP地址分配请求;
根据IP地址分配请求返回用户终端对应的IP地址。
在本实施例中,若用户终端向要访问安全接入服务器,需通过安全接入客户端发送IP地址分配请求;具体的,可以通过安全接入客户端基于802.1x协议向安全接入服务器发起IP地址分配请求,安全接入服务器在验证了用户终端的身份后,可以授权DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)服务器给其分配对应的IP地址。其中,DHCP具有准入控制易于实施、费用低和网络兼容性好的特点;802.1x协议是基于客户端-服务器(Client-Server)结构的访问控制和认证协议,且只允许EAPol(基于局域网的扩展认证协议)数据通过用户终端连接安全接入服务器端口。
可选的,根据用户终端的安全风险等级确定用户终端对应的策略ID,包括:
若用户终端的安全风险等级在预设风险等级范围内,则根据属性信息确定用户终端对应的策略ID;
若用户终端的安全风险等级在预设风险等级范围外,则根据用户终端的安全风险等级分配用户终端对应的策略ID。
在本实施例中,为了实现根据用户终端的不同安全风险等级确定不同的策略ID,以达到不同安全风险等级的用户终端享有不同的策略ID,因此,需要根据用户终端的安全风险等级判断该用户终端的安全程度,即该用户终端是否为风险用户终端。
具体的,可以根据查找出的用户终端的安全风险等级与预设风险等级范围进行比较,确定用户终端的安全风险等级是否处于预设风险等级范围内,以此判断用户终端是否为风险用户。若用户终端的安全风险等级在预设风险等级范围内,表示该用户终端不是风险用户,则根据用户终端的属性信息确定用户终端对应的策略ID;例如,可以根据该用户终端的终端标识、IP地址、登录用户和组织机构中的任一一种确定用户终端的策略ID,且只要用户终端的属性信息不变,确定出的策略ID也具有不变性。若用户终端的安全风险等级在预设风险等级范围外,表明该用户终端是风险用户,则通过安全接入服务器根据用户终端的安全风险等级分配对应的策略ID;其中,用户终端的安全风险等级越高,表示用户终端的安全性越低,分配的策略ID对应的准入策略中包含的服务器数量也就越少;且根据用户终端的安全风险等级分配对应的策略ID,有可能同一用户终端每次的分配结果均不相同。
可选的,在通过用户终端对应的策略ID确定用户终端对应的准入策略之后,还包括:
实时监控用户终端的本地运行状态,并根据本地运行状态更新用户终端的安全风险等级;
根据用户终端的安全风险等级更新用户终端对应的策略ID,用于通过用户终端对应的策略ID更新用户终端对应的准入策略。
在本实施例中,确定出用户终端对应的准入策略后,还可以实时监测用户终端的本地运行状态,用以在本地运行状态发生变化的情况下,对用户终端的安全风险等级进行更新,使得通过安全接入服务器重新确定出用户终端对应的策略ID,用于通过该策略ID重新确定用户终端对应的准入策略。其中,用户终端的本地运行状态可以为用户终端的本地程序活动以及网络活动情况。
具体的,对触发安全风险的用户终端按照用户终端安全风险等级分别给与该用户终端进行提醒、降权以及阻隔等网络准入控制措施。本实施例中,若触发安全风险的用户终端的安全风险等级较低,则对该用户终端进行提醒操作,例如发送提醒信息至用户终端,提示用户终端当前账户异常或存在当前账户安全风险;若触发安全风险的用户终端的安全风险等级高,则对该用户终端进行降权操作,例如减少访问服务器的数量;若触发安全风险的用户终端的安全风险等级较高,则对该用户终端进行阻隔操作,例如阻止该用户终端访问受控资源的服务器的权限。
本发明实施例在通过用户终端对应的策略ID确定用户终端对应的准入策略之后,还可以实时监测用户终端的本地运行状态,根据本地运行状态更新用户终端的安全风险等级,达到更新用户终端的策略ID,以实现用户终端准入策略的重新确定。通过根据触发安全风险的不同用户终端对应的安全风险等级实施相应的网络准入控制措施,有效实现实时根据用户终端的安全风险等级更新用户终端的准入策略。
实施例三
图3是本发明实施例三中的安全接入网关的准入控制装置的结构示意图。本实施例可适用于通过用户终端的安全风险等级确定准入策略的情况。该装置配置于电子设备中,可实现本申请任意实施例所述的安全接入网关的准入控制方法。该装置具体包括如下:
验证模块310,用于接收用户终端发送的身份认证请求,并根据所述身份认证请求中携带的身份验证信息验证用户的身份;
查询模块320,用于若对所述用户终端的身份验证通过,则根据所述身份认证请求中携带的属性信息查询所述用户终端的安全风险等级;
确定模块330,用于根据所述用户终端的安全风险等级确定与所述用户终端对应的准入策略;
控制模块340,用于根据所述准入策略控制所述用户终端连接目标服务器。
可选的,在上述装置的基础上,所述装置还包括:
分配模块350,用于接收所述用户终端发送的IP地址分配请求;
返回模块360,用于根据所述IP地址分配请求返回所述用户终端对应的IP地址。
可选的,在上述装置的基础上,所述确定模块330,具体用于:
根据所述用户终端的安全风险等级确定所述用户终端对应的策略ID;
通过所述用户终端对应的策略ID确定所述用户终端对应的准入策略。
可选的,在上述装置的基础上,所述确定模块330,还具体用于:
若所述用户终端的安全风险等级在预设风险等级范围内,则根据所述属性信息确定所述用户终端对应的策略ID;
若所述用户终端的安全风险等级在预设风险等级范围外,则根据所述用户终端的安全风险等级分配所述用户终端对应的策略ID。
可选的,在上述装置的基础上,所述装置还包括:
更新模块370,用于实时监控所述用户终端的本地运行状态,并根据所述本地运行状态更新所述用户终端的安全风险等级;
更新模块370,还用于根据所述用户终端的安全风险等级更新所述用户终端对应的策略ID,用于通过所述用户终端对应的策略ID更新所述用户终端对应的准入策略。
通过本发明实施例三的安全接入网关的准入控制装置,能够对接入服务器的用户终端进行安全风险等级的分类,指定对应的准入策略,有效保证连接目标服务器时的安全性。
本发明实施例所提供的安全接入网关的准入控制装置可执行本发明任意实施例所提供的安全接入网关的准入控制方法,具备执行方法相应的功能模块和有益效果。
实施例四
图4为本发明实施例四提供的电子设备的结构示意图,如图4所示,该电子设备包括处理器410、存储器420、输入装置430和输出装置440;电子设备中处理器410的数量可以是一个或多个,图4中以一个处理器410为例;电子设备中的处理器410、存储器420、输入装置430和输出装置440可以通过总线或其他方式连接,图4中以通过总线连接为例。
存储器420作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的安全接入网关的准入控制方法对应的程序指令/模块。处理器410通过运行存储在存储器420中的软件程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,即实现上述的安全接入网关的准入控制方法。
存储器420可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器420可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器420可进一步包括相对于处理器410远程设置的存储器,这些远程存储器可以通过网络连接至电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置430可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入,可以包括键盘、鼠标等。输出装置440可包括显示屏等显示设备。
实施例五
本发明实施例五提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例一所述的安全接入网关的准入控制方法。当然,本发明实施例所提供的一种计算机可读存储介质,其可以执行本发明任意实施例所提供的安全接入网关的准入控制方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述搜索装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种安全接入网关的准入控制方法,其特征在于,所述方法包括:
接收用户终端发送的身份认证请求,并根据所述身份认证请求中携带的身份验证信息验证用户的身份;
若对所述用户终端的身份验证通过,则根据所述身份认证请求中携带的属性信息查询所述用户终端的安全风险等级;
根据所述用户终端的安全风险等级确定与所述用户终端对应的准入策略;
根据所述准入策略控制所述用户终端连接目标服务器。
2.根据权利要求1所述的方法,其特征在于,在所述接收用户终端发送的身份认证请求之前,所述方法还包括:
接收所述用户终端发送的IP地址分配请求;
根据所述IP地址分配请求返回所述用户终端对应的IP地址。
3.根据权利要求1所述的方法,其特征在于,所述根据所述用户终端的安全风险等级确定与所述用户终端对应的准入策略,包括:
根据所述用户终端的安全风险等级确定所述用户终端对应的策略ID;
通过所述用户终端对应的策略ID确定所述用户终端对应的准入策略。
4.根据权利要求3所述的方法,其特征在于,所述根据所述用户终端的安全风险等级确定所述用户终端对应的策略ID,包括:
若所述用户终端的安全风险等级在预设风险等级范围内,则根据所述属性信息确定所述用户终端对应的策略ID;
若所述用户终端的安全风险等级在预设风险等级范围外,则根据所述用户终端的安全风险等级分配所述用户终端对应的策略ID。
5.根据权利要求3所述的方法,其特征在于,在所述通过所述用户终端对应的策略ID确定用户终端对应的准入策略之后,所述方法还包括:
实时监控所述用户终端的本地运行状态,并根据所述本地运行状态更新所述用户终端的安全风险等级;
根据所述用户终端的安全风险等级更新所述用户终端对应的策略ID,用于通过所述用户终端对应的策略ID更新所述用户终端对应的准入策略。
6.一种安全接入网关的准入控制装置,其特征在于,所述装置包括:
验证模块,用于接收用户终端发送的身份认证请求,并根据所述身份认证请求中携带的身份验证信息验证用户的身份;
查询模块,用于若对所述用户终端的身份验证通过,则根据所述身份认证请求中携带的属性信息查询所述用户终端的安全风险等级;
确定模块,用于根据所述用户终端的安全风险等级确定与所述用户终端对应的准入策略;
控制模块,用于根据所述准入策略控制所述用户终端连接目标服务器。
7.根据权利要求6所述的装置,其特征在于,所述确定模块,具体用于:
根据所述用户终端的安全风险等级确定所述用户终端对应的策略ID;
通过所述用户终端对应的策略ID确定所述用户终端对应的准入策略。
8.根据权利要求7所述的装置,其特征在于,所述确定模块,还具体用于:
若所述用户终端的安全风险等级在预设风险等级范围内,则根据所述属性信息确定所述用户终端对应的策略ID;
若所述用户终端的安全风险等级在预设风险等级范围外,则根据所述用户终端的安全风险等级分配所述用户终端对应的策略ID。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1~5中任一所述的安全接入网关的准入控制方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~5中任一所述的安全接入网关的准入控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911175585.XA CN110855709A (zh) | 2019-11-26 | 2019-11-26 | 安全接入网关的准入控制方法、装置、设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911175585.XA CN110855709A (zh) | 2019-11-26 | 2019-11-26 | 安全接入网关的准入控制方法、装置、设备和介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110855709A true CN110855709A (zh) | 2020-02-28 |
Family
ID=69604827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911175585.XA Pending CN110855709A (zh) | 2019-11-26 | 2019-11-26 | 安全接入网关的准入控制方法、装置、设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110855709A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111510453A (zh) * | 2020-04-15 | 2020-08-07 | 深信服科技股份有限公司 | 业务***访问方法、装置、***及介质 |
| CN112165536A (zh) * | 2020-09-11 | 2021-01-01 | ***股份有限公司 | 一种网络终端认证的方法及装置 |
| CN112202708A (zh) * | 2020-08-24 | 2021-01-08 | 国网山东省电力公司 | 身份认证方法、装置、电子设备及存储介质 |
| CN112351005A (zh) * | 2020-10-23 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 物联网通信方法、装置、可读存储介质及计算机设备 |
| CN112565257A (zh) * | 2020-12-03 | 2021-03-26 | 国网安徽省电力有限公司检修分公司 | 基于电网专用和边缘物联代理的安全进程管理*** |
| CN112613007A (zh) * | 2020-12-22 | 2021-04-06 | 北京八分量信息科技有限公司 | 基于可信认证的数据准入方法、装置及相关产品 |
| CN113612771A (zh) * | 2021-08-03 | 2021-11-05 | 烽火通信科技股份有限公司 | 一种基于物联认证的保护方法和装置 |
| CN113691521A (zh) * | 2021-08-19 | 2021-11-23 | 北京鼎普科技股份有限公司 | 一种基于终端网络准入的方法 |
| CN113905362A (zh) * | 2021-09-24 | 2022-01-07 | 深圳市欧瑞博科技股份有限公司 | Ble Mesh设备入网的优化方法、装置、电子设备以及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105610962A (zh) * | 2016-01-15 | 2016-05-25 | 华洋通信科技股份有限公司 | 一种防冲突移动终端ip地址分配中继设备及方法 |
| CN108183924A (zh) * | 2018-03-01 | 2018-06-19 | 深圳市买买提信息科技有限公司 | 一种登录验证方法及终端设备 |
| CN109086582A (zh) * | 2018-06-15 | 2018-12-25 | 努比亚技术有限公司 | 一种指纹认证方法、终端及计算机可读存储介质 |
| CN110278556A (zh) * | 2018-03-13 | 2019-09-24 | 中兴通讯股份有限公司 | 一种安全认证策略确定方法、设备和计算机可读存储介质 |
| US20190325449A1 (en) * | 2018-04-23 | 2019-10-24 | Trans Union Llc | Systems and methods for dynamic identity decisioning |
-
2019
- 2019-11-26 CN CN201911175585.XA patent/CN110855709A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105610962A (zh) * | 2016-01-15 | 2016-05-25 | 华洋通信科技股份有限公司 | 一种防冲突移动终端ip地址分配中继设备及方法 |
| CN108183924A (zh) * | 2018-03-01 | 2018-06-19 | 深圳市买买提信息科技有限公司 | 一种登录验证方法及终端设备 |
| CN110278556A (zh) * | 2018-03-13 | 2019-09-24 | 中兴通讯股份有限公司 | 一种安全认证策略确定方法、设备和计算机可读存储介质 |
| US20190325449A1 (en) * | 2018-04-23 | 2019-10-24 | Trans Union Llc | Systems and methods for dynamic identity decisioning |
| CN109086582A (zh) * | 2018-06-15 | 2018-12-25 | 努比亚技术有限公司 | 一种指纹认证方法、终端及计算机可读存储介质 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111510453A (zh) * | 2020-04-15 | 2020-08-07 | 深信服科技股份有限公司 | 业务***访问方法、装置、***及介质 |
| CN111510453B (zh) * | 2020-04-15 | 2023-02-03 | 深信服科技股份有限公司 | 业务***访问方法、装置、***及介质 |
| CN112202708A (zh) * | 2020-08-24 | 2021-01-08 | 国网山东省电力公司 | 身份认证方法、装置、电子设备及存储介质 |
| CN112165536B (zh) * | 2020-09-11 | 2022-11-11 | ***股份有限公司 | 一种网络终端认证的方法及装置 |
| CN112165536A (zh) * | 2020-09-11 | 2021-01-01 | ***股份有限公司 | 一种网络终端认证的方法及装置 |
| CN112351005A (zh) * | 2020-10-23 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 物联网通信方法、装置、可读存储介质及计算机设备 |
| CN112351005B (zh) * | 2020-10-23 | 2022-11-15 | 杭州安恒信息技术股份有限公司 | 物联网通信方法、装置、可读存储介质及计算机设备 |
| CN112565257A (zh) * | 2020-12-03 | 2021-03-26 | 国网安徽省电力有限公司检修分公司 | 基于电网专用和边缘物联代理的安全进程管理*** |
| CN112613007A (zh) * | 2020-12-22 | 2021-04-06 | 北京八分量信息科技有限公司 | 基于可信认证的数据准入方法、装置及相关产品 |
| CN112613007B (zh) * | 2020-12-22 | 2024-02-09 | 北京八分量信息科技有限公司 | 基于可信认证的数据准入方法、装置及相关产品 |
| CN113612771A (zh) * | 2021-08-03 | 2021-11-05 | 烽火通信科技股份有限公司 | 一种基于物联认证的保护方法和装置 |
| CN113691521A (zh) * | 2021-08-19 | 2021-11-23 | 北京鼎普科技股份有限公司 | 一种基于终端网络准入的方法 |
| CN113905362A (zh) * | 2021-09-24 | 2022-01-07 | 深圳市欧瑞博科技股份有限公司 | Ble Mesh设备入网的优化方法、装置、电子设备以及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110855709A (zh) | 安全接入网关的准入控制方法、装置、设备和介质 | |
| US10652226B2 (en) | Securing communication over a network using dynamically assigned proxy servers | |
| US11245576B2 (en) | Blockchain-based configuration profile provisioning system | |
| US10110585B2 (en) | Multi-party authentication in a zero-trust distributed system | |
| US8407240B2 (en) | Autonomic self-healing network | |
| US9237021B2 (en) | Certificate grant list at network device | |
| EP2779574A1 (en) | Attack detection and prevention using global device fingerprinting | |
| CA2955066C (en) | Method and system for providing a virtual asset perimeter | |
| CN114553540B (zh) | 基于零信任的物联网***、数据访问方法、装置及介质 | |
| CN111898124B (zh) | 进程访问控制方法和装置、存储介质及电子设备 | |
| CN113347072B (zh) | Vpn资源访问方法、装置、电子设备和介质 | |
| US20120005729A1 (en) | System and method of network authorization by scoring | |
| US20200052908A1 (en) | Method and system for managing public-key client certificates | |
| CN111737232A (zh) | 数据库管理方法、***、装置、设备及计算机存储介质 | |
| US10412097B1 (en) | Method and system for providing distributed authentication | |
| CN115795493A (zh) | 访问控制策略部署方法和相关装置、以及访问控制*** | |
| CN114710302A (zh) | 互联网访问的控制方法及其控制装置 | |
| CN111711612B (zh) | 通信控制方法、对通信请求进行处理的方法及其装置 | |
| US20240236092A1 (en) | Correlations between private network addresses and assigned network addresses | |
| US20220311777A1 (en) | Hardening remote administrator access | |
| CN115834209A (zh) | 一种基于vpn连接的远程服务器及其登录方法 | |
| CN115733674A (zh) | 安全加固的方法、装置、电子设备、可读存储介质 | |
| CN117061140A (zh) | 一种渗透防御方法和相关装置 | |
| CN118056380A (zh) | 在计算机网络之内限制横向遍历 | |
| CN116684113A (zh) | 一种基于软件定义边界sdp的业务处理方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20220915 Address after: 25 Financial Street, Xicheng District, Beijing 100033 Applicant after: CHINA CONSTRUCTION BANK Corp. Address before: 25 Financial Street, Xicheng District, Beijing 100033 Applicant before: CHINA CONSTRUCTION BANK Corp. Applicant before: Jianxin Financial Science and Technology Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200228 |
|
| RJ01 | Rejection of invention patent application after publication |