本發(fā)明實(shí)施例涉及網(wǎng)絡(luò)安全
技術(shù)領(lǐng)域：
，尤其涉及一種訪問控制方法及其裝置。
背景技術(shù)：
：隨著員工智能終端日益增多和企業(yè)減少辦公開支的需求，BYOD(BringYourOwnDevice，自帶設(shè)備)已經(jīng)成為企業(yè)移動(dòng)辦公重要形式。然而，移動(dòng)設(shè)備接入位置多變、屬主身份復(fù)雜，以及企業(yè)網(wǎng)絡(luò)的傳統(tǒng)安全控制限于靜態(tài)網(wǎng)絡(luò)環(huán)境等因素，都給訪客接入和移動(dòng)辦公的安全管理帶來了諸多限制。在傳統(tǒng)的企業(yè)網(wǎng)絡(luò)訪問控制機(jī)制中，最普遍的解決方案是在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，如防火墻，對(duì)未知的網(wǎng)絡(luò)訪問進(jìn)行限制，當(dāng)?shù)嬖谝苿?dòng)設(shè)備通過無線接入企業(yè)內(nèi)部網(wǎng)絡(luò)時(shí)，以往的網(wǎng)絡(luò)邊界被打破，因此，在BYOD場景中，如何保證企業(yè)的網(wǎng)絡(luò)安全是一個(gè)亟待解決的技術(shù)問題。技術(shù)實(shí)現(xiàn)要素：本發(fā)明實(shí)施例提供一種訪問控制方法及其裝置，用以提升企業(yè)的網(wǎng)絡(luò)安全。本發(fā)明實(shí)施例提供一種訪問控制方法，包括：控制器接收交換機(jī)發(fā)送的訪問查詢指令，所述訪問查詢指令中攜帶有訪問終端的標(biāo)識(shí)信息和訪問對(duì)象；所述控制器在確定未查詢到所述訪問終端的訪問控制策略時(shí)，觸發(fā)用戶認(rèn)證過程；所述控制器在用戶認(rèn)證通過后，獲取所述用戶的訪問控制策略并作為所述訪問終端的訪問控制策略；所述控制器從所述訪問終端的訪問控制策略中獲取所述訪問對(duì)象對(duì)應(yīng)的訪問控制策略；所述控制器將所述訪問對(duì)象對(duì)應(yīng)的訪問控制策略發(fā)送給所述交換機(jī)，以使所述交換機(jī)對(duì)所述訪問終端的訪問請(qǐng)求進(jìn)行控制。較佳的，還包括：所述控制器在確定查詢到所述訪問終端的訪問控制策略時(shí)，從所述訪問終端的訪問控制策略中獲取所述訪問對(duì)象對(duì)應(yīng)的訪問控制策略；所述控制器將所述訪問對(duì)象對(duì)應(yīng)的訪問控制策略發(fā)送給所述交換機(jī)，以使所述交換機(jī)對(duì)所述訪問終端的訪問請(qǐng)求進(jìn)行控制。較佳的，所述觸發(fā)用戶認(rèn)證過程，包括：所述控制器觸發(fā)重定向請(qǐng)求至訪問控制服務(wù)器；獲取所述用戶的訪問控制策略，包括：接收所述訪問控制服務(wù)器在對(duì)所述用戶認(rèn)證通過后，發(fā)送的所述用戶的訪問控制策略。較佳的，所述用戶的訪問控制策略通過以下方式獲得：所述訪問控制服務(wù)器在對(duì)所述用戶認(rèn)證通過后，根據(jù)所述用戶的標(biāo)識(shí)信息確定所述用戶所屬的角色；根據(jù)所述角色查詢?cè)L問控制策略庫，得到所述用戶的訪問控制策略。較佳的，還包括：在檢測(cè)到所述用戶的訪問請(qǐng)求為可疑攻擊時(shí)，向所述訪問控制服務(wù)器發(fā)送訪問控制策略修改請(qǐng)求。較佳的，還包括：所述控制器定期刪除所述控制器中存儲(chǔ)的用戶的訪問控制策略。較佳的，所述控制器為SDN控制器，所述交換機(jī)為SDN交換機(jī)。本發(fā)明實(shí)施例還提供一種訪問控制方法，包括：交換機(jī)接收訪問終端的訪問請(qǐng)求，所述訪問請(qǐng)求中攜帶有訪問終端的標(biāo)識(shí)信息和訪問對(duì)象；所述交換機(jī)確定自身未存儲(chǔ)所述訪問終端的針對(duì)所述訪問對(duì)象的訪問控制策略時(shí)，向控制器發(fā)送訪問查詢指令；所述交換機(jī)接收所述控制器發(fā)送的所述訪問終端的針對(duì)所述訪問對(duì)象的訪問控制策略，并根據(jù)所述訪問終端的針對(duì)所述訪問對(duì)象的訪問控制策略對(duì)所述訪問終端的訪問請(qǐng)求進(jìn)行控制。本發(fā)明實(shí)施例提供一種訪問控制裝置，包括：第一接收模塊，用于接收交換機(jī)發(fā)送的訪問查詢指令，所述訪問查詢指令中攜帶有訪問終端的標(biāo)識(shí)信息和訪問對(duì)象；認(rèn)證模塊，用于在未查詢到所述訪問終端的訪問控制策略時(shí)，觸發(fā)用戶認(rèn)證過程；獲取模塊，還用于在用戶認(rèn)證通過后，獲取所述用戶的訪問控制策略并作為所述訪問終端的訪問控制策略；還用于從所述訪問終端的訪問控制策略中獲取所述訪問對(duì)象對(duì)應(yīng)的訪問控制策略；第一發(fā)送模塊，用于將所述訪問對(duì)象對(duì)應(yīng)的訪問控制策略發(fā)送給所述交換機(jī)，以使所述交換機(jī)對(duì)所述訪問終端的訪問請(qǐng)求進(jìn)行控制。較佳的，所述獲取模塊，還用于在確定查詢到所述訪問終端的訪問控制策略時(shí)，從所述訪問終端的訪問控制策略中獲取所述訪問對(duì)象對(duì)應(yīng)的訪問控制策略；所述第一發(fā)送模塊，還用于將所述訪問對(duì)象對(duì)應(yīng)的訪問控制策略發(fā)送給所述交換機(jī)，以使所述交換機(jī)對(duì)所述訪問終端的訪問請(qǐng)求進(jìn)行控制。較佳的，所述認(rèn)證模塊，具體用于：觸發(fā)重定向請(qǐng)求至訪問控制服務(wù)器；所述獲取模塊，具體用于：接收所述訪問控制服務(wù)器在對(duì)所述用戶認(rèn)證通過后，發(fā)送的所述用戶的訪問控制策略。較佳的，所述獲取模塊，具體用于：在對(duì)所述用戶認(rèn)證通過后，根據(jù)所述用戶的標(biāo)識(shí)信息確定所述用戶所屬的角色；根據(jù)所述角色查詢?cè)L問控制策略庫，得到所述用戶的訪問控制策略。較佳的，所述第一發(fā)送模塊，還用于：在檢測(cè)到所述用戶的訪問請(qǐng)求為可疑攻擊時(shí)，向所述訪問控制服務(wù)器發(fā)送訪問控制策略修改請(qǐng)求。較佳的，還包括：刪除模塊，所述刪除模塊，用于定期刪除用戶的訪問控制策略。本發(fā)明實(shí)施例還提供一種用于訪問控制的裝置，包括：第二接收模塊，接收訪問終端的訪問請(qǐng)求，所述訪問請(qǐng)求中攜帶有訪問終端的標(biāo)識(shí)信息和訪問對(duì)象；第二發(fā)送模塊，用于確定自身未存儲(chǔ)所述訪問終端的針對(duì)所述訪問對(duì)象的訪問控制策略時(shí)，向控制器發(fā)送訪問查詢指令；控制模塊，用于在接收所述控制器發(fā)送的所述訪問終端的針對(duì)所述訪問對(duì)象的訪問控制策略后，根據(jù)所述訪問終端的針對(duì)所述訪問對(duì)象的訪問控制策略對(duì)所述訪問終端的訪問請(qǐng)求進(jìn)行控制。上述實(shí)施例提供的一種訪問控制方法及其裝置，包括：控制器接收交換機(jī)發(fā)送的訪問查詢指令，所述訪問查詢指令中攜帶有訪問終端的標(biāo)識(shí)信息和訪問對(duì)象；所述控制器在確定未查詢到所述訪問終端的訪問控制策略時(shí)，觸發(fā)用戶認(rèn)證過程；所述控制器在用戶認(rèn)證通過后，獲取所述用戶的訪問控制策略并作為所述訪問終端的訪問控制策略；從所述訪問終端的訪問控制策略中獲取所述訪問對(duì)象對(duì)應(yīng)的訪問控制策略；所述控制器將所述訪問對(duì)象對(duì)應(yīng)的訪問控制策略發(fā)送給所述交換機(jī)，以使所述交換機(jī)對(duì)所述訪問終端的訪問請(qǐng)求進(jìn)行控制?？梢钥闯觯谖床樵兊皆L問終端的訪問控制策略時(shí)，需要對(duì)用戶進(jìn)行認(rèn)證，而在對(duì)用戶認(rèn)證通過之后，又根據(jù)用戶對(duì)應(yīng)的訪問控制策略對(duì)用戶的訪問請(qǐng)求進(jìn)行控制，因此，能夠?qū)崿F(xiàn)在全局范圍內(nèi)統(tǒng)一訪問控制，保證訪問控制策略的一致性，從而能夠在BYOD場景中提升企業(yè)的網(wǎng)絡(luò)安全。此外，由于在獲取用戶對(duì)應(yīng)的的訪問控制策略時(shí)，還可基于用戶所屬的角色獲取用戶對(duì)應(yīng)的訪問控制策略，因此，還能實(shí)現(xiàn)訪問控制的細(xì)粒度。附圖說明為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案，下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡要介紹。圖1為本發(fā)明實(shí)施例提供的一種訪問控制系統(tǒng)架構(gòu)示意圖；圖2為本發(fā)明實(shí)施例提供的一種訪問控制方法的方法流程示意圖；圖3為本發(fā)明實(shí)施例提供的另一種訪問控制方法的方法流程示意圖；圖4為本發(fā)明實(shí)施例提供的一種訪問控制裝置的結(jié)構(gòu)示意圖；圖5為本發(fā)明實(shí)施例提供的另外一種訪問控制裝置的結(jié)構(gòu)示意圖。具體實(shí)施方式為了使本發(fā)明的目的、技術(shù)方案及有益效果更加清楚明白，以下結(jié)合附圖及實(shí)施例，對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。圖1示例性示出了本發(fā)明實(shí)施例適用的一種訪問控制系統(tǒng)架構(gòu)示意圖，如圖1所示，本發(fā)明實(shí)施例適用的訪問控制系統(tǒng)架構(gòu)可包括：訪問終端101、交換機(jī)102、控制器103、訪問控制服務(wù)器104、安全設(shè)備105。其中，訪問終端101用于通過交換機(jī)102將數(shù)據(jù)包發(fā)送出去，交換機(jī)102用于接收訪問終端101發(fā)送的數(shù)據(jù)包，并根據(jù)控制器103下發(fā)的訪問控制策略將該數(shù)據(jù)包通過安全設(shè)備105發(fā)送出去，訪問控制服務(wù)器104用于對(duì)用戶認(rèn)證以及存儲(chǔ)訪問控制策略；安全設(shè)備105用于對(duì)發(fā)送出去的數(shù)據(jù)包進(jìn)行檢測(cè)，當(dāng)檢測(cè)到可疑數(shù)據(jù)包時(shí)，可修改訪問控制策略。具體的，當(dāng)安全設(shè)備105檢測(cè)到可疑數(shù)據(jù)包時(shí)，會(huì)以事件形式通知控制器103，控制器103篩選出與訪問控制相關(guān)的事件，然后控制器將篩選出的與訪問控制相關(guān)的事件通知訪問控制服務(wù)器104，以使訪問控制服務(wù)器104根據(jù)預(yù)先的事件處理規(guī)則修改用戶已有的訪問控制策略。安全設(shè)備105可以為防火墻，安全設(shè)備105也可以為Web應(yīng)用防火墻，安全設(shè)備105還可以為入侵檢測(cè)系統(tǒng)等設(shè)備?？蛇x的，在控制器103與訪問控制服務(wù)器104之間還可設(shè)置安全控制器(圖中未示出)，安全控制器可對(duì)訪問控制服務(wù)器下發(fā)的訪問控制策略進(jìn)行解析，并將解析后的訪問控制策略發(fā)送給控制器。本發(fā)明實(shí)施例中，交換機(jī)102可以為一個(gè)，交換機(jī)102也可以為多個(gè)，當(dāng)交換機(jī)102為多個(gè)時(shí)，多個(gè)交換機(jī)可以部署在不同額位置，并且多個(gè)交換機(jī)102由控制器103集中進(jìn)行管理。本發(fā)明實(shí)施例中，訪問終端101可以是固定位置的訪問終端，當(dāng)訪問終端101是固定位置的訪問終端時(shí)，訪問終端101可通過網(wǎng)絡(luò)接入交換機(jī)，訪問終端101也可以是無線終端，當(dāng)訪問終端101是無線終端訪問終端時(shí)，訪問終端101可通過AP(AccessPoint，無線接入點(diǎn))、站控制器、或任何其它類型的能夠在無線環(huán)境中工作的接口設(shè)備接入交換機(jī)。其中，無線終端可以是指向用戶提供語音和/或數(shù)據(jù)連通性的設(shè)備，具有無線連接功能的手持式設(shè)備、或連接到無線調(diào)制解調(diào)器的其他處理設(shè)備。無線終端可以是移動(dòng)終端，如移動(dòng)電話(或稱為“蜂窩”電話)和具有移動(dòng)終端的計(jì)算機(jī)，例如，可以是便攜式、袖珍式、手持式、計(jì)算機(jī)內(nèi)置的或者車載的移動(dòng)裝置，它們與無線接入網(wǎng)交換語言和/或數(shù)據(jù)。例如，個(gè)人通信業(yè)務(wù)(PCS，PersonalCommunicationService)電話、無繩電話、會(huì)話發(fā)起協(xié)議(SIP)話機(jī)、無線本地環(huán)路(WLL，WirelessLocalLoop)站、個(gè)人數(shù)字助理(PDA，PersonalDigitalAssistant)等設(shè)備?；趫D1所示的系統(tǒng)架構(gòu)的基礎(chǔ)上，圖2示例性示出了本發(fā)明實(shí)施例提供的一種訪問控制方法的方法流程示意圖，如圖2所示，該方法可包括：S201、控制器接收交換機(jī)發(fā)送的訪問查詢指令，該訪問查詢指令中攜帶有訪問終端的標(biāo)識(shí)信息和訪問對(duì)象。S202、控制器在確定未查詢到訪問終端的訪問控制策略時(shí)，觸發(fā)用戶認(rèn)證過程。S203、控制器在用戶認(rèn)證通過后，獲取用戶的訪問控制策略并作為訪問終端的訪問控制策略。S204、控制器從訪問終端的訪問控制策略中獲取所述訪問對(duì)象對(duì)應(yīng)的訪問控制策略。S205、控制器將訪問對(duì)象對(duì)應(yīng)的訪問控制策略發(fā)送給交換機(jī)，以使交換機(jī)對(duì)訪問終端的訪問請(qǐng)求進(jìn)行控制。上述步驟S201中的訪問終端的標(biāo)識(shí)信息可以為訪問終端的MAC地址，也可以為其余類型的用戶標(biāo)識(shí)訪問終端的標(biāo)識(shí)信息。上述步驟S201中的訪問對(duì)象可以為URL(UniformResourceLocator，統(tǒng)一資源定位符)，也可以為源IP(InternetProtocol，網(wǎng)絡(luò)之間協(xié)議)地址。可選的，若控制器未查詢到訪問終端的訪問控制策略時(shí)，從訪問終端的訪問控制策略中獲取訪問對(duì)象對(duì)應(yīng)的訪問控制策略，然后控制器將訪問對(duì)象對(duì)應(yīng)的訪問控制策略發(fā)送給交換機(jī)，以使交換機(jī)對(duì)訪問終端的訪問請(qǐng)求進(jìn)行控制。具體的，在初始化時(shí)，預(yù)先在交換機(jī)存儲(chǔ)器中存儲(chǔ)已認(rèn)證的終端標(biāo)識(shí)列表，終端將訪問請(qǐng)求數(shù)據(jù)包發(fā)送給交換機(jī)，交換機(jī)接收到終端發(fā)送的訪問請(qǐng)求數(shù)據(jù)包時(shí)，判斷該訪問請(qǐng)求數(shù)據(jù)包的協(xié)議類型，若交換機(jī)確定該訪問請(qǐng)求數(shù)據(jù)包的協(xié)議類型不是HTTP(HyperTextTransferProtocol，超文本傳輸協(xié)議)的訪問請(qǐng)求數(shù)據(jù)包時(shí)，則將該訪問請(qǐng)求數(shù)據(jù)包進(jìn)行丟棄，而當(dāng)交換機(jī)確定該訪問請(qǐng)求數(shù)據(jù)包的協(xié)議類型為HTTP的訪問請(qǐng)求數(shù)據(jù)包時(shí)，則向控制器發(fā)送訪問查詢指令，該訪問查詢指令中攜帶有該終端標(biāo)識(shí)信息，控制器在接收到訪問查詢指令后，判斷訪問查詢指令中攜帶的終端標(biāo)識(shí)信息是否存在于已認(rèn)證的終端標(biāo)識(shí)列表中，若存在，則將該終端的訪問請(qǐng)求重定向至訪問控制服務(wù)器，由訪問控制服務(wù)器對(duì)該終端進(jìn)行認(rèn)證，在訪問控制服務(wù)器對(duì)該終端進(jìn)行認(rèn)證通過之后，訪問控制服務(wù)器將該終端的訪問控制策略發(fā)送給安全控制器，由安全控制器對(duì)訪問控制服務(wù)器發(fā)送的訪問控制策略進(jìn)行解析，安全控制器在對(duì)訪問控制策略進(jìn)行解析后，將解析后的訪問控制策略發(fā)送給控制器，控制器將一部分策略轉(zhuǎn)換成交換機(jī)能夠識(shí)別的格式發(fā)送給交換機(jī)，例如，控制器將允許交換機(jī)接收所有類型的數(shù)據(jù)包的訪問控制策略下發(fā)給交換機(jī)，以使交換機(jī)能夠接收終端發(fā)送的所有類型的訪問數(shù)據(jù)包。同時(shí)，控制器保留一部分策略，以使交換機(jī)后續(xù)再接收到終端發(fā)送的訪問請(qǐng)求數(shù)據(jù)包時(shí)，發(fā)送查詢指令來獲取。具體的，在制定訪問控制策略時(shí)，可基于訪問請(qǐng)求數(shù)據(jù)包的目的IP地址進(jìn)行制定。例如，針對(duì)終端的MAC地址為：14:f6:5a:f6:9e:30的訪問控制策略，可以制定的訪問控制策略如下：1、允許源MAC地址為14:f6:5a:f6:9e:30，訪問目的IP地址為192.168.1.7和192.168.2.8，且該策略優(yōu)先級(jí)為“1”。2、允許源MAC為14:f6:5a:f6:9e:30，訪問目的IP地址段192.168.1.10～192.168.1.19，且該策略的優(yōu)先級(jí)為“2”。3、不允許源MAC為14:f6:5a:f6:9e:30，訪問目的IP地址段為192.168.1.100～192.168.1.106，且該策略的優(yōu)先級(jí)為“3”。當(dāng)控制器存儲(chǔ)上述三條訪問控制策略時(shí)，表示當(dāng)控制器接收到交換機(jī)基于源MAC“14:f6:5a:f6:9e:30”的訪問查詢指令時(shí)，由于上述第一條訪問控制策略的優(yōu)先級(jí)最高，因此，先判斷源MAC“14:f6:5a:f6:9e:30”的訪問請(qǐng)求數(shù)據(jù)包中攜帶的目的IP地址是否符合第一條訪問控制策略，若符合，則將該條訪問控制策略發(fā)送給交換機(jī)，以使交換機(jī)根據(jù)該條訪問控制策略將源MAC“14:f6:5a:f6:9e:30”的訪問請(qǐng)求數(shù)據(jù)包發(fā)送出去，否則，繼續(xù)查找優(yōu)先級(jí)次之的第二條訪問控制策略。當(dāng)控制器接收到MAC地址為：14:f6:5a:f6:9e:30的訪問請(qǐng)求數(shù)據(jù)包時(shí)，控制器允許目的IP地址為192.168.2.8的訪問請(qǐng)求數(shù)據(jù)包通過的訪問控制策略可如下所示：其中，id為策略編號(hào)，priority為策略的優(yōu)先級(jí)，subject表示策略的主體，即控制器(策略由控制器執(zhí)行)，appid表示策略由byod-app發(fā)出，ObjID表示客體編號(hào)，ObjType為NETWORK_FLOW表示客體的類型為網(wǎng)絡(luò)流，ObjMatch中的src_mac表示用戶設(shè)備的源MAC地址，dst_ip表示目的地址，action表示策略類型?？蛇x的，為了實(shí)現(xiàn)訪問控制的細(xì)粒度，在制定訪問控制策略時(shí)，不僅可基于用戶進(jìn)行制定，還基于用戶所屬的角色進(jìn)行制定。例如，針對(duì)訪客制定的訪問策略為：允許源MAC地址為14:f6:5a:f6:9e:30，訪問目的IP地址為192.168.1.7和192.168.2.8，且該策略優(yōu)先級(jí)為“1”，并且用戶A和用戶B的角色均為訪客時(shí)，訪問控制服務(wù)器在對(duì)用戶A認(rèn)證通過之后，將訪問控制策略“允許源MAC地址為14:f6:5a:f6:9e:30，訪問目的IP地址為192.168.1.7和192.168.2.8，且該策略優(yōu)先級(jí)為“1”發(fā)送給控制器，由控制將該訪問控制策略轉(zhuǎn)換成交換機(jī)能夠識(shí)別的流表格式，相應(yīng)的，由于用戶A和用戶B的角色均為訪客，而訪客對(duì)應(yīng)的訪問控制策略為“訪問目的IP地址為192.168.1.7和192.168.2.8，且該策略優(yōu)先級(jí)為“1””，因此，訪問控制服務(wù)器在對(duì)用戶B認(rèn)證通過之后，也將訪問控制策略“允許源MAC地址為14:f6:5a:f6:9e:31，訪問目的IP地址為192.168.1.7和192.168.2.8，且該策略優(yōu)先級(jí)為“1”發(fā)送給控制器，由交換機(jī)控制將該訪問控制策略轉(zhuǎn)換成交換機(jī)能夠識(shí)別的流表格式?？蛇x的，為了保護(hù)系統(tǒng)的安全，當(dāng)檢測(cè)到用戶的訪問請(qǐng)求為可疑攻擊時(shí)，還可向訪問控制服務(wù)器發(fā)送訪問控制策略修改請(qǐng)求。例如，用戶C的訪問控制策略為：允許源MAC地址為14:f6:5a:f6:9e:32的終端，訪問的目的IP地址192.168.1.7，而當(dāng)安全設(shè)備檢測(cè)到源MAC地址為14:f6:5a:f6:9e:32的終端，訪問的目的IP地址192.168.1.7為可疑攻擊時(shí)，可向訪問控制服務(wù)器發(fā)送訪問控制策略修改請(qǐng)求，且該訪問控制策略修改請(qǐng)求的內(nèi)容為“拒絕源MAC地址為14:f6:5a:f6:9e:32的終端，訪問目的IP地址192.168.1.7”，當(dāng)訪問控制服務(wù)器將接收到該策略修改請(qǐng)求時(shí)，向控制器發(fā)送刪除指令以使控制器刪除訪問控制策略“允許源MAC地址為14:f6:5a:f6:9e:32的終端，訪問的目的IP地址192.168.1.7”，并將修改后的訪問控制策略“拒絕源MAC地址為14:f6:5a:f6:9e:32的終端，訪問目的IP地址192.168.1.7”發(fā)送給控制器，以使控制器將修改后的訪問控制策略轉(zhuǎn)換成交換機(jī)能夠識(shí)別的格式發(fā)送給交換機(jī)執(zhí)行修改后的訪問控制策略?？蛇x的，在訪問終端一段時(shí)間內(nèi)不進(jìn)行網(wǎng)絡(luò)訪問時(shí)，控制器還可定期刪除控制器中存儲(chǔ)的用戶的訪問控制策略。可選的，交換機(jī)可以為SDN(SoftwareDefinedNetwork，軟件定義網(wǎng)絡(luò))，交換機(jī)，相應(yīng)的，控制器可以為SDN控制器?；趫D1所示的系統(tǒng)架構(gòu)的基礎(chǔ)上，本發(fā)明實(shí)施例還提供另外一種訪問控制方法的方法流程示意圖。圖3示例性示出了本發(fā)明實(shí)施例提供的一種訪問控制方法的方法流程示意圖，如圖3所示，該方法可包括：S301、交換機(jī)接收訪問終端的訪問請(qǐng)求，該訪問請(qǐng)求中攜帶有訪問終端的標(biāo)識(shí)信息和訪問對(duì)象。S302、交換機(jī)確定自身未存儲(chǔ)訪問終端的針對(duì)訪問對(duì)象的訪問控制策略時(shí)，向控制器發(fā)送訪問查詢指令。S303、交換機(jī)接收控制器發(fā)送的訪問終端的針對(duì)訪問對(duì)象的訪問控制策略，并根據(jù)訪問終端的針對(duì)訪問對(duì)象的訪問控制策略對(duì)訪問終端的訪問請(qǐng)求進(jìn)行控制。下面通過一個(gè)具體的例子，對(duì)上述的方法流程進(jìn)行詳細(xì)的解釋說明。該例子適用于圖1所示的系統(tǒng)架構(gòu)，并假設(shè)預(yù)先在控制器中存儲(chǔ)的MAC認(rèn)證列表可如表格一所示：表格一已認(rèn)證的源MACMAC1MAC2MAC3進(jìn)一步假設(shè)預(yù)先在訪問控制服務(wù)器中存儲(chǔ)的訪問控制策略庫可如表格二所示：表格二在初始化時(shí)，用戶M使用MAC地址為MAC1的終端1向交換機(jī)發(fā)送數(shù)據(jù)包1，并且數(shù)據(jù)包1中攜帶的源MAC地址為MAC1，數(shù)據(jù)包1的協(xié)議類型為http，因此，交換機(jī)在接收到數(shù)據(jù)包1后向控制器詢問MAC1是否為認(rèn)證MAC，由于MAC1存在于上述表格一所述的MAC認(rèn)證列表中，因此，控制器可通過交換機(jī)將數(shù)據(jù)包1重定向至訪問控制服務(wù)器的認(rèn)證頁面，讓用戶M輸入認(rèn)證用戶名以及認(rèn)證密碼，當(dāng)接收到用戶M的用戶名“小王”以及認(rèn)證密碼“123”后，對(duì)用戶M進(jìn)行認(rèn)證通過，在對(duì)用戶M進(jìn)行認(rèn)證通過后，可確定用戶M對(duì)應(yīng)的角色，并確定該角色所對(duì)應(yīng)的訪問控制策略，由于在上述表格二所示的訪問控制策略庫中用戶M對(duì)應(yīng)的角色為“訪客”，因此，可將“訪客”對(duì)應(yīng)的訪問控制策略作為MAC1對(duì)應(yīng)的訪問控制策略發(fā)送給安全控制器，安全控制器對(duì)接收到的MAC1對(duì)應(yīng)的訪問控制策略進(jìn)行解析后發(fā)送給控制器，控制器將訪問控制策略中的“允許交換機(jī)接收所有協(xié)議類型的數(shù)據(jù)包，且執(zhí)行的動(dòng)作為向控制器查詢”這一部分策略進(jìn)行格式轉(zhuǎn)換后發(fā)送給交換機(jī)，此時(shí)，交換機(jī)在接收到控制器下發(fā)的訪問控制策略生成的流表，可如下列表格三所示。表格三從上述表格三可以看出，此時(shí)，交換機(jī)的訪問控制流表中，共有1項(xiàng)流表項(xiàng)，并對(duì)應(yīng)策略編號(hào)為“1”的訪問控制策略。同時(shí)，訪問控制器將訪問控制策略中策略編號(hào)為“2”的訪問控制策略、策略編號(hào)為“3”的訪問控制策略以及策略編號(hào)為“4”的訪問控制策略，轉(zhuǎn)換成表格四所示的訪問控制策略進(jìn)行存儲(chǔ)。表格四因此，當(dāng)交換機(jī)繼續(xù)接收到用戶M發(fā)送的源MAC地址為MAC1的數(shù)據(jù)包2時(shí)，并且數(shù)據(jù)包2中攜帶的源MAC地址為MAC1，目的IP地址為192.168.1.7，可執(zhí)行上述表格三所述的訪問控制策略，即交換機(jī)接收到數(shù)據(jù)包2時(shí)，執(zhí)行的動(dòng)作為查詢控制器，控制器在接收到交換機(jī)針對(duì)數(shù)據(jù)包2的查詢請(qǐng)求時(shí)，由于上述表格四中存儲(chǔ)的針對(duì)源MAC地址為MAC1對(duì)應(yīng)的訪問控制策略為“允許訪問目的IP地址192.168.1.7”，因此，將訪問控制策略“允許訪問目的IP地址192.168.1.7”轉(zhuǎn)換成交換機(jī)能夠識(shí)別的流表形式發(fā)送給交換機(jī)，至此，交換機(jī)中存儲(chǔ)的流表可如下列表格五所示：表格五從上述表格五可以看出，此時(shí)，交換機(jī)的訪問控制流表中，共有2項(xiàng)流表項(xiàng)，分別對(duì)應(yīng)策略編號(hào)為“1”的訪問控制策略和策略編號(hào)為“2”的訪問控制策略。進(jìn)一步假設(shè)預(yù)先設(shè)置交換機(jī)中針對(duì)每個(gè)MAC地址的流表項(xiàng)存儲(chǔ)時(shí)間為5s，則若在5s鐘之內(nèi)，繼續(xù)接收到源MAC為MAC1的數(shù)據(jù)包3，并且數(shù)據(jù)包3中攜帶的源MAC地址為MAC1，目的IP地址為192.168.1.7，此時(shí)，由于上述表格五所示的交換機(jī)流表項(xiàng)中存儲(chǔ)有對(duì)應(yīng)的存儲(chǔ)策略，又由于在上述表格五所述的交換機(jī)流表中，策略編號(hào)為“2”的訪問控制策略高于策略編號(hào)為“1”的訪問控制策略，因此，可將數(shù)據(jù)包3直接通過交換機(jī)發(fā)送出去，并不需要去詢問控制器。若在5s鐘之內(nèi)，繼續(xù)接收到源MAC為MAC1的數(shù)據(jù)包4，并且數(shù)據(jù)包3中攜帶的源MAC地址為MAC1，目的IP地址為192.168.1.10，此時(shí)，由于上述表格五所示的交換機(jī)流表項(xiàng)中并未存儲(chǔ)有對(duì)應(yīng)的存儲(chǔ)策略，因此，根據(jù)上述表格五所示的交換機(jī)流表中策略編號(hào)為“1”的訪問控制策略，執(zhí)行的動(dòng)作為查詢控制器，控制器在接收到交換機(jī)針對(duì)數(shù)據(jù)包4的查詢請(qǐng)求時(shí)，由于上述表格四中存儲(chǔ)的針對(duì)源MAC地址為MAC1對(duì)應(yīng)的訪問控制策略為“允許訪問目的IP地址段192.168.1.10～192.168.1.19”，因此，將訪問控制策略“允許訪問目的IP地址段192.168.1.10”轉(zhuǎn)換成交換機(jī)能夠識(shí)別的流表形式發(fā)送給交換機(jī)，至此，交換機(jī)中存儲(chǔ)的流表可如下列表格六所示：表格六此時(shí)，可根據(jù)交換機(jī)中流表中策略編號(hào)為“3”的訪問控制策略將數(shù)據(jù)4通過安全控制器發(fā)送出去。需要注意的是，針對(duì)交換機(jī)中存儲(chǔ)的上述表格六所示流表中策略編號(hào)為“2”的訪問控制策略以及策略編號(hào)為“3”的訪問控制策略，可預(yù)先設(shè)置清除時(shí)間，例如，預(yù)先設(shè)置的清除時(shí)間為5s，表示對(duì)策略編號(hào)為“2”的訪問控制策略進(jìn)行檢測(cè)，當(dāng)檢測(cè)到策略編號(hào)為“2”的訪問控制策略在交換機(jī)的流表中存在的時(shí)間為5s鐘時(shí)，自動(dòng)請(qǐng)求該條流表項(xiàng)，即自動(dòng)清除該條策略。而針對(duì)控制器中存儲(chǔ)的針對(duì)MAC地址為MAC1的訪問控制策略，可對(duì)用戶的訪問請(qǐng)求進(jìn)行檢測(cè)，當(dāng)檢測(cè)到用戶在預(yù)先設(shè)置的時(shí)間段不發(fā)送任何數(shù)據(jù)包時(shí)，即可將控制器中MAC1對(duì)應(yīng)的訪問控制策略進(jìn)行刪除。根據(jù)以上內(nèi)容可以看出，在未查詢到訪問終端的訪問控制策略時(shí)，需要對(duì)用戶進(jìn)行認(rèn)證，而在對(duì)用戶認(rèn)證通過之后，又根據(jù)用戶對(duì)應(yīng)的訪問控制策略對(duì)用戶的訪問請(qǐng)求進(jìn)行控制，因此，能夠?qū)崿F(xiàn)在全局范圍內(nèi)統(tǒng)一訪問控制，保證訪問控制策略的一致性，從而能夠在BYOD場景中提升企業(yè)的網(wǎng)絡(luò)安全。此外，由于在獲取用戶對(duì)應(yīng)的的訪問控制策略時(shí)，還可基于用戶所屬的角色獲取用戶對(duì)應(yīng)的訪問控制策略，因此，還能實(shí)現(xiàn)訪問控制的細(xì)粒度?；谙嗤募夹g(shù)構(gòu)思，本發(fā)明實(shí)施例提供一種訪問控制裝置，如圖4所示，該裝置可包括：第一接收模塊401，用于接收交換機(jī)發(fā)送的訪問查詢指令，所述訪問查詢指令中攜帶有訪問終端的標(biāo)識(shí)信息和訪問對(duì)象；認(rèn)證模塊402，用于在未查詢到所述訪問終端的訪問控制策略時(shí)，觸發(fā)用戶認(rèn)證過程；獲取模塊403，還用于在用戶認(rèn)證通過后，獲取所述用戶的訪問控制策略并作為所述訪問終端的訪問控制策略；還用于從所述訪問終端的訪問控制策略中獲取所述訪問對(duì)象對(duì)應(yīng)的訪問控制策略；第一發(fā)送模塊404，用于將所述訪問對(duì)象對(duì)應(yīng)的訪問控制策略發(fā)送給所述交換機(jī)，以使所述交換機(jī)對(duì)所述訪問終端的訪問請(qǐng)求進(jìn)行控制。較佳的，獲取模塊403，還用于在確定查詢到所述訪問終端的訪問控制策略時(shí)，從所述訪問終端的訪問控制策略中獲取所述訪問對(duì)象對(duì)應(yīng)的訪問控制策略；第一發(fā)送模塊404，還用于將所述訪問對(duì)象對(duì)應(yīng)的訪問控制策略發(fā)送給所述交換機(jī)，以使所述交換機(jī)對(duì)所述訪問終端的訪問請(qǐng)求進(jìn)行控制。較佳的，認(rèn)證模塊402，具體用于：觸發(fā)重定向請(qǐng)求至訪問控制服務(wù)器；獲取模塊403，具體用于：接收所述訪問控制服務(wù)器在對(duì)所述用戶認(rèn)證通過后，發(fā)送的所述用戶的訪問控制策略。較佳的，獲取模塊403，具體用于：在對(duì)所述用戶認(rèn)證通過后，根據(jù)所述用戶的標(biāo)識(shí)信息確定所述用戶所屬的角色；根據(jù)所述角色查詢?cè)L問控制策略庫，得到所述用戶的訪問控制策略。較佳的，第一發(fā)送模塊404，還用于：在檢測(cè)到所述用戶的訪問請(qǐng)求為可疑攻擊時(shí)，向所述訪問控制服務(wù)器發(fā)送訪問控制策略修改請(qǐng)求。較佳的，還包括：刪除模塊405，刪除模塊405，用于定期刪除用戶的訪問控制策略。本發(fā)明實(shí)施例還提供另外一種訪問控制裝置，如圖5所示，該裝置可包括：第二接收模塊501，接收訪問終端的訪問請(qǐng)求，所述訪問請(qǐng)求中攜帶有訪問終端的標(biāo)識(shí)信息和訪問對(duì)象；第二發(fā)送模塊502，用于確定自身未存儲(chǔ)所述訪問終端的針對(duì)所述訪問對(duì)象的訪問控制策略時(shí)，向控制器發(fā)送訪問查詢指令；控制模塊503，用于在接收所述控制器發(fā)送的所述訪問終端的針對(duì)所述訪問對(duì)象的訪問控制策略后，根據(jù)所述訪問終端的針對(duì)所述訪問對(duì)象的訪問控制策略對(duì)所述訪問終端的訪問請(qǐng)求進(jìn)行控制。綜上，本發(fā)明實(shí)施例提供的一種訪問控制方法及其裝置，包括：控制器接收交換機(jī)發(fā)送的訪問查詢指令，所述訪問查詢指令中攜帶有訪問終端的標(biāo)識(shí)信息和訪問對(duì)象；所述控制器在確定未查詢到所述訪問終端的訪問控制策略時(shí)，觸發(fā)用戶認(rèn)證過程；所述控制器在用戶認(rèn)證通過后，獲取所述用戶的訪問控制策略并作為所述訪問終端的訪問控制策略；從所述訪問終端的訪問控制策略中獲取所述訪問對(duì)象對(duì)應(yīng)的訪問控制策略；所述控制器將所述訪問對(duì)象對(duì)應(yīng)的訪問控制策略發(fā)送給所述交換機(jī)，以使所述交換機(jī)對(duì)所述訪問終端的訪問請(qǐng)求進(jìn)行控制。可以看出，在未查詢到訪問終端的訪問控制策略時(shí)，需要對(duì)用戶進(jìn)行認(rèn)證，而在對(duì)用戶認(rèn)證通過之后，又根據(jù)用戶對(duì)應(yīng)的訪問控制策略對(duì)用戶的訪問請(qǐng)求進(jìn)行控制，因此，能夠?qū)崿F(xiàn)在全局范圍內(nèi)統(tǒng)一訪問控制，保證訪問控制策略的一致性，從而能夠在BYOD場景中提升企業(yè)的網(wǎng)絡(luò)安全。此外，由于在獲取用戶對(duì)應(yīng)的的訪問控制策略時(shí)，還可基于用戶所屬的角色獲取用戶對(duì)應(yīng)的訪問控制策略，因此，還能實(shí)現(xiàn)訪問控制的細(xì)粒度。本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本發(fā)明的實(shí)施例可提供為方法、或計(jì)算機(jī)程序產(chǎn)品。因此，本發(fā)明可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且，本發(fā)明可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤存儲(chǔ)器、CD-ROM、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器，使得通過計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中，使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能。這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上，使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理，從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。盡管已描述了本發(fā)明的優(yōu)選實(shí)施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對(duì)這些實(shí)施例作出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實(shí)施例以及落入本發(fā)明范圍的所有變更和修改。顯然，本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。當(dāng)前第1頁1 2 3