[发明专利]一种访问控制方法及其装置

说明书

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种访问控制方法及其装置。

背景技术

随着员工智能终端日益增多和企业减少办公开支的需求，BYOD(Bring Your Own Device，自带设备)已经成为企业移动办公重要形式。然而，移动设备接入位置多变、属主身份复杂，以及企业网络的传统安全控制限于静态网络环境等因素，都给访客接入和移动办公的安全管理带来了诸多限制。

在传统的企业网络访问控制机制中，最普遍的解决方案是在网络边界部署访问控制设备，如防火墙，对未知的网络访问进行限制，当但存在移动设备通过无线接入企业内部网络时，以往的网络边界被打破，因此，在BYOD场景中，如何保证企业的网络安全是一个亟待解决的技术问题。

发明内容

本发明实施例提供一种访问控制方法及其装置，用以提升企业的网络安全。

本发明实施例提供一种访问控制方法，包括：

控制器接收交换机发送的访问查询指令，所述访问查询指令中携带有访问终端的标识信息和访问对象；

所述控制器在确定未查询到所述访问终端的访问控制策略时，触发用户认证过程；

所述控制器在用户认证通过后，获取所述用户的访问控制策略并作为所述访问终端的访问控制策略；

所述控制器从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略；

所述控制器将所述访问对象对应的访问控制策略发送给所述交换机，以使所述交换机对所述访问终端的访问请求进行控制。

较佳的，还包括：

所述控制器在确定查询到所述访问终端的访问控制策略时，从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略；

所述控制器将所述访问对象对应的访问控制策略发送给所述交换机，以使所述交换机对所述访问终端的访问请求进行控制。

较佳的，所述触发用户认证过程，包括：

所述控制器触发重定向请求至访问控制服务器；

获取所述用户的访问控制策略，包括：

接收所述访问控制服务器在对所述用户认证通过后，发送的所述用户的访问控制策略。

较佳的，所述用户的访问控制策略通过以下方式获得：

所述访问控制服务器在对所述用户认证通过后，根据所述用户的标识信息确定所述用户所属的角色；

根据所述角色查询访问控制策略库，得到所述用户的访问控制策略。

较佳的，还包括：

在检测到所述用户的访问请求为可疑攻击时，向所述访问控制服务器发送访问控制策略修改请求。

较佳的，还包括：

所述控制器定期删除所述控制器中存储的用户的访问控制策略。

较佳的，所述控制器为SDN控制器，所述交换机为SDN交换机。

本发明实施例还提供一种访问控制方法，包括：

交换机接收访问终端的访问请求，所述访问请求中携带有访问终端的标识信息和访问对象；

所述交换机确定自身未存储所述访问终端的针对所述访问对象的访问控制策略时，向控制器发送访问查询指令；

所述交换机接收所述控制器发送的所述访问终端的针对所述访问对象的访问控制策略，并根据所述访问终端的针对所述访问对象的访问控制策略对所述访问终端的访问请求进行控制。

本发明实施例提供一种访问控制装置，包括：

第一接收模块，用于接收交换机发送的访问查询指令，所述访问查询指令中携带有访问终端的标识信息和访问对象；

认证模块，用于在未查询到所述访问终端的访问控制策略时，触发用户认证过程；

获取模块，还用于在用户认证通过后，获取所述用户的访问控制策略并作为所述访问终端的访问控制策略；

还用于从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略；

第一发送模块，用于将所述访问对象对应的访问控制策略发送给所述交换机，以使所述交换机对所述访问终端的访问请求进行控制。

较佳的，

所述获取模块，还用于在确定查询到所述访问终端的访问控制策略时，从所述访问终端的访问控制策略中获取所述访问对象对应的访问控制策略；

所述第一发送模块，还用于将所述访问对象对应的访问控制策略发送给所述交换机，以使所述交换机对所述访问终端的访问请求进行控制。

较佳的，所述认证模块，具体用于：

触发重定向请求至访问控制服务器；