本說(shuō)明書(shū)實(shí)施例涉及網(wǎng)絡(luò)安全，特別涉及基于身份認(rèn)證的訪問(wèn)控制方法。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)的快速發(fā)展，ip地址的數(shù)量急劇增加，特別是在ipv4地址耗盡的背景下，ipv6的部署帶來(lái)了更大的地址空間。傳統(tǒng)防火墻需要處理和匹配大量的ip地址，這增加了匹配過(guò)程的復(fù)雜性。

2、傳統(tǒng)的基于ip的防火墻依賴acl的線性搜索匹配來(lái)控制數(shù)據(jù)包的通行。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，acl規(guī)則也可能變得非常龐大和復(fù)雜，管理起來(lái)非常困難，容易出錯(cuò)，且匹配速度下降，影響網(wǎng)絡(luò)性能。

3、在傳統(tǒng)的網(wǎng)絡(luò)防火墻技術(shù)中，訪問(wèn)控制通常是基于訪問(wèn)的元組信息（源ip、目的ip、協(xié)議、端口等）與預(yù)先配置的訪問(wèn)控制列表（acl）策略進(jìn)行匹配，以決定放行或阻斷流量。這種方法對(duì)ip地址的依賴較大，面對(duì)ip動(dòng)態(tài)變化、ip仿冒、ip地址轉(zhuǎn)換（nat）等場(chǎng)景時(shí)，都存在明顯局限性，并且存在ip匹配效率偏低的問(wèn)題，以及不能對(duì)網(wǎng)絡(luò)中所有防火墻進(jìn)行全局統(tǒng)一的基于業(yè)務(wù)邏輯的配置。由此，亟須一種更好的方案。

技術(shù)實(shí)現(xiàn)思路

1、有鑒于此，本說(shuō)明書(shū)實(shí)施例提供了基于身份認(rèn)證的訪問(wèn)控制方法。本說(shuō)明書(shū)一個(gè)或者多個(gè)實(shí)施例同時(shí)涉及基于身份認(rèn)證的訪問(wèn)控制裝置，一種計(jì)算設(shè)備，一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)以及一種計(jì)算機(jī)程序，以解決現(xiàn)有技術(shù)中存在的技術(shù)缺陷。

2、根據(jù)本說(shuō)明書(shū)實(shí)施例的第一方面，提供了一種基于身份認(rèn)證的訪問(wèn)控制方法，應(yīng)用于訪問(wèn)控制系統(tǒng)，系統(tǒng)包括策略身份管理服務(wù)端和身份代理端，方法包括：

3、身份代理端向策略身份管理服務(wù)端發(fā)送注冊(cè)請(qǐng)求；其中，身份代理端與資產(chǎn)一一對(duì)應(yīng)；

4、策略身份管理服務(wù)端基于注冊(cè)請(qǐng)求確定資產(chǎn)標(biāo)簽，并基于資產(chǎn)標(biāo)簽確定訪問(wèn)控制策略，將訪問(wèn)控制策略發(fā)送至身份代理端；

5、身份代理端獲取資產(chǎn)的發(fā)送數(shù)據(jù)和接收數(shù)據(jù)，并基于訪問(wèn)控制策略進(jìn)行訪問(wèn)控制。

6、在一種可能的實(shí)現(xiàn)方式中，身份代理端向策略身份管理服務(wù)端發(fā)送注冊(cè)請(qǐng)求，包括：

7、身份代理端獲取資產(chǎn)信息或用戶信息；

8、基于資產(chǎn)信息或用戶信息生成注冊(cè)請(qǐng)求，并向策略身份管理服務(wù)端發(fā)送注冊(cè)請(qǐng)求。

9、在一種可能的實(shí)現(xiàn)方式中，策略身份管理服務(wù)端基于注冊(cè)請(qǐng)求確定資產(chǎn)標(biāo)簽，并基于資產(chǎn)標(biāo)簽確定訪問(wèn)控制策略，包括：

10、策略身份管理服務(wù)端獲取預(yù)設(shè)策略配置；

11、基于預(yù)設(shè)策略配置和注冊(cè)請(qǐng)求生成資產(chǎn)標(biāo)簽；其中，資產(chǎn)標(biāo)簽包括身份信息；

12、基于身份信息分配對(duì)應(yīng)的訪問(wèn)控制策略。

13、在一種可能的實(shí)現(xiàn)方式中，身份代理端獲取資產(chǎn)的發(fā)送數(shù)據(jù)和接收數(shù)據(jù)，并基于訪問(wèn)控制策略進(jìn)行訪問(wèn)控制，包括：

14、身份代理端獲取資產(chǎn)的發(fā)送syn報(bào)文和接收syn報(bào)文；

15、基于發(fā)送syn報(bào)文或接收syn報(bào)文確定目標(biāo)字段；

16、基于目標(biāo)字段和訪問(wèn)控制策略進(jìn)行訪問(wèn)控制。

17、在一種可能的實(shí)現(xiàn)方式中，基于目標(biāo)字段和訪問(wèn)控制策略進(jìn)行訪問(wèn)控制，包括：

18、在身份代理端獲取資產(chǎn)的發(fā)送syn報(bào)文的情況下，基于發(fā)送syn報(bào)文獲取目標(biāo)訪問(wèn)對(duì)象；

19、基于資產(chǎn)標(biāo)簽確定身份信息；

20、基于身份信息和訪問(wèn)控制策略確定對(duì)目標(biāo)訪問(wèn)對(duì)象的訪問(wèn)權(quán)限；

21、在訪問(wèn)權(quán)限為允許訪問(wèn)的情況下，在目標(biāo)字段插入身份信息，得到身份syn報(bào)文；

22、將身份syn報(bào)文發(fā)送至目標(biāo)訪問(wèn)對(duì)象。

23、在一種可能的實(shí)現(xiàn)方式中，基于目標(biāo)字段和訪問(wèn)控制策略進(jìn)行訪問(wèn)控制，包括：

24、在身份代理端獲取資產(chǎn)的接收syn報(bào)文的情況下，基于目標(biāo)字段獲取驗(yàn)證身份信息；

25、基于身份信息和訪問(wèn)控制策略確定對(duì)資產(chǎn)的訪問(wèn)權(quán)限；

26、在訪問(wèn)權(quán)限為允許訪問(wèn)的情況下，將身份syn報(bào)文發(fā)送至資產(chǎn)。

27、在一種可能的實(shí)現(xiàn)方式中，還包括：

28、在訪問(wèn)權(quán)限為不允許訪問(wèn)的情況下，丟棄報(bào)文。

29、根據(jù)本說(shuō)明書(shū)實(shí)施例的第二方面，提供了一種基于身份認(rèn)證的訪問(wèn)控制裝置，應(yīng)用于訪問(wèn)控制系統(tǒng)，系統(tǒng)包括策略身份管理服務(wù)端和身份代理端，裝置包括：

30、請(qǐng)求發(fā)送模塊，被配置為身份代理端向策略身份管理服務(wù)端發(fā)送注冊(cè)請(qǐng)求；其中，身份代理端與資產(chǎn)一一對(duì)應(yīng)；

31、標(biāo)簽確定模塊，被配置為策略身份管理服務(wù)端基于注冊(cè)請(qǐng)求確定資產(chǎn)標(biāo)簽，并基于資產(chǎn)標(biāo)簽確定訪問(wèn)控制策略，將訪問(wèn)控制策略發(fā)送至身份代理端；

32、訪問(wèn)控制模塊，被配置為身份代理端獲取資產(chǎn)的發(fā)送數(shù)據(jù)和接收數(shù)據(jù)，并基于訪問(wèn)控制策略進(jìn)行訪問(wèn)控制。

33、根據(jù)本說(shuō)明書(shū)實(shí)施例的第三方面，提供了一種計(jì)算設(shè)備，包括：

34、存儲(chǔ)器和處理器；

35、所述存儲(chǔ)器用于存儲(chǔ)計(jì)算機(jī)可執(zhí)行指令，所述處理器用于執(zhí)行所述計(jì)算機(jī)可執(zhí)行指令，該計(jì)算機(jī)可執(zhí)行指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述基于身份認(rèn)證的訪問(wèn)控制方法的步驟。

36、根據(jù)本說(shuō)明書(shū)實(shí)施例的第四方面，提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其存儲(chǔ)有計(jì)算機(jī)可執(zhí)行指令，該指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述基于身份認(rèn)證的訪問(wèn)控制方法的步驟。

37、根據(jù)本說(shuō)明書(shū)實(shí)施例的第五方面，提供了一種計(jì)算機(jī)程序，其中，當(dāng)所述計(jì)算機(jī)程序在計(jì)算機(jī)中執(zhí)行時(shí)，令計(jì)算機(jī)執(zhí)行上述基于身份認(rèn)證的訪問(wèn)控制方法的步驟。

38、本說(shuō)明書(shū)實(shí)施例提供基于身份認(rèn)證的訪問(wèn)控制方法及裝置，其中基于身份認(rèn)證的訪問(wèn)控制方法應(yīng)用于訪問(wèn)控制系統(tǒng)，系統(tǒng)包括策略身份管理服務(wù)端和身份代理端，方法包括：身份代理端向策略身份管理服務(wù)端發(fā)送注冊(cè)請(qǐng)求；其中，身份代理端與資產(chǎn)一一對(duì)應(yīng)；策略身份管理服務(wù)端基于注冊(cè)請(qǐng)求確定資產(chǎn)標(biāo)簽，并基于資產(chǎn)標(biāo)簽確定訪問(wèn)控制策略，將訪問(wèn)控制策略發(fā)送至身份代理端；身份代理端獲取資產(chǎn)的發(fā)送數(shù)據(jù)和接收數(shù)據(jù)，并基于訪問(wèn)控制策略進(jìn)行訪問(wèn)控制。由此可以避免由ip動(dòng)態(tài)變化、ip仿冒、ip地址轉(zhuǎn)換等導(dǎo)致的無(wú)法識(shí)別原始資產(chǎn)ip和無(wú)法對(duì)源訪問(wèn)者做準(zhǔn)確的訪問(wèn)控制等問(wèn)題，提高了網(wǎng)絡(luò)安全性，同時(shí)使用特有的身份信息匹配機(jī)制提升了訪問(wèn)控制的匹配效率。

技術(shù)特征：

1.一種基于身份認(rèn)證的訪問(wèn)控制方法，其特征在于，應(yīng)用于訪問(wèn)控制系統(tǒng)，所述系統(tǒng)包括策略身份管理服務(wù)端和身份代理端，所述方法包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述身份代理端向所述策略身份管理服務(wù)端發(fā)送注冊(cè)請(qǐng)求，包括：

3.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述策略身份管理服務(wù)端基于所述注冊(cè)請(qǐng)求確定資產(chǎn)標(biāo)簽，并基于所述資產(chǎn)標(biāo)簽確定訪問(wèn)控制策略，包括：

4.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述身份代理端獲取所述資產(chǎn)的發(fā)送數(shù)據(jù)和接收數(shù)據(jù)，并基于所述訪問(wèn)控制策略進(jìn)行訪問(wèn)控制，包括：

5.根據(jù)權(quán)利要求4所述的方法，其特征在于，基于目標(biāo)字段和訪問(wèn)控制策略進(jìn)行訪問(wèn)控制，包括：

6.根據(jù)權(quán)利要求4所述的方法，其特征在于，基于目標(biāo)字段和訪問(wèn)控制策略進(jìn)行訪問(wèn)控制，包括：

7.根據(jù)權(quán)利要求5或6所述的方法，其特征在于，還包括：

8.一種基于身份認(rèn)證的訪問(wèn)控制裝置，其特征在于，應(yīng)用于訪問(wèn)控制系統(tǒng)，所述系統(tǒng)包括策略身份管理服務(wù)端和身份代理端，所述裝置包括：

9.一種計(jì)算設(shè)備，其特征在于，包括：

10.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其存儲(chǔ)有計(jì)算機(jī)可執(zhí)行指令，該計(jì)算機(jī)可執(zhí)行指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)權(quán)利要求1至7任意一項(xiàng)所述基于身份認(rèn)證的訪問(wèn)控制方法的步驟。

技術(shù)總結(jié)
本說(shuō)明書(shū)實(shí)施例提供基于身份認(rèn)證的訪問(wèn)控制方法及裝置，其中基于身份認(rèn)證的訪問(wèn)控制方法應(yīng)用于訪問(wèn)控制系統(tǒng)，系統(tǒng)包括策略身份管理服務(wù)端和身份代理端，方法包括：身份代理端向策略身份管理服務(wù)端發(fā)送注冊(cè)請(qǐng)求；其中，身份代理端與資產(chǎn)一一對(duì)應(yīng)；策略身份管理服務(wù)端基于注冊(cè)請(qǐng)求確定資產(chǎn)標(biāo)簽，并基于資產(chǎn)標(biāo)簽確定訪問(wèn)控制策略，將訪問(wèn)控制策略發(fā)送至身份代理端；身份代理端獲取資產(chǎn)的發(fā)送數(shù)據(jù)和接收數(shù)據(jù)，并基于訪問(wèn)控制策略進(jìn)行訪問(wèn)控制。由此可以避免由IP動(dòng)態(tài)變化、IP仿冒、IP地址轉(zhuǎn)換等導(dǎo)致的無(wú)法識(shí)別原始資產(chǎn)IP和無(wú)法對(duì)源訪問(wèn)者做準(zhǔn)確的訪問(wèn)控制等問(wèn)題，提高了網(wǎng)絡(luò)安全性，同時(shí)使用特有的身份信息匹配機(jī)制提升了訪問(wèn)控制的匹配效率。

技術(shù)研發(fā)人員：隋軍
受保護(hù)的技術(shù)使用者：北京薔薇靈動(dòng)科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/19