[发明专利]一种访问控制方法及其装置

权利要求书

1.一种访问控制方法，其特征在于，包括：

控制器接收交换机发送的访问查询指令，所述访问查询指令中携带有访问终端的标识信息和访问对象；

所述控制器在确定未查询到所述访问终端的访问控制策略时，触发用户认证过程；

所述控制器在用户认证通过后，获取所述用户的访问控制策略并作为所述访问终端的访问控制策略；

所述控制器从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略；

所述控制器将所述访问对象对应的访问控制策略发送给所述交换机，以使所述交换机对所述访问终端的访问请求进行控制。

2.如权利要求1所述的方法，其特征在于，还包括：

所述控制器在确定查询到所述访问终端的访问控制策略时，从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略；

所述控制器将所述访问对象对应的访问控制策略发送给所述交换机，以使所述交换机对所述访问终端的访问请求进行控制。

3.如权利要求1所述的方法，其特征在于，所述触发用户认证过程，包括：

所述控制器触发重定向请求至访问控制服务器；

获取所述用户的访问控制策略，包括：

接收所述访问控制服务器在对所述用户认证通过后，发送的所述用户的访问控制策略。

4.如权利要求1所述的方法，其特征在于，所述用户的访问控制策略通过以下方式获得：

所述访问控制服务器在对所述用户认证通过后，根据所述用户的标识信息确定所述用户所属的角色；

根据所述角色查询访问控制策略库，得到所述用户的访问控制策略。

5.如权利要求1所述的方法，其特征在于，还包括：

在检测到所述用户的访问请求为可疑攻击时，向所述访问控制服务器发送访问控制策略修改请求。

6.如权利要求1所述的方法，其特征在于，还包括：

所述控制器定期删除所述控制器中存储的用户的访问控制策略。

7.如权利要求1～6任一项所述的方法，其特征在于，所述控制器为SDN控制器，所述交换机为SDN交换机。

8.一种访问控制方法，其特征在于，包括：

交换机接收访问终端的访问请求，所述访问请求中携带有访问终端的标识信息和访问对象；

所述交换机确定自身未存储所述访问终端的针对所述访问对象的访问控制策略时，向控制器发送访问查询指令；

所述交换机接收所述控制器发送的所述访问终端的针对所述访问对象的访问控制策略，并根据所述访问终端的针对所述访问对象的访问控制策略对所述访问终端的访问请求进行控制。

9.一种访问控制装置，其特征在于，包括：

第一接收模块，用于接收交换机发送的访问查询指令，所述访问查询指令中携带有访问终端的标识信息和访问对象；

认证模块，用于在未查询到所述访问终端的访问控制策略时，触发用户认证过程；

获取模块，还用于在用户认证通过后，获取所述用户的访问控制策略并作为所述访问终端的访问控制策略；

还用于从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略；

第一发送模块，用于将所述访问对象对应的访问控制策略发送给所述交换机，以使所述交换机对所述访问终端的访问请求进行控制。

10.如权利要求9所述的装置，其特征在于

所述获取模块，还用于在确定查询到所述访问终端的访问控制策略时，从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略；

所述第一发送模块，还用于将所述访问对象对应的访问控制策略发送给所述交换机，以使所述交换机对所述访问终端的访问请求进行控制。

11.如权利要求9所述的装置，其特征在于，所述认证模块，具体用于：

触发重定向请求至访问控制服务器；

所述获取模块，具体用于：

接收所述访问控制服务器在对所述用户认证通过后，发送的所述用户的访问控制策略。

12.如权利要求9所述的装置，其特征在于，所述获取模块，具体用于：

在对所述用户认证通过后，根据所述用户的标识信息确定所述用户所属的角色；

根据所述角色查询访问控制策略库，得到所述用户的访问控制策略。