技術特征:1.一種訪問控制方法�,其特征在于,包括:
控制器接收交換機發(fā)送的訪問查詢指令���,所述訪問查詢指令中攜帶有訪問終端的標識信息和訪問對象�����;
所述控制器在確定未查詢到所述訪問終端的訪問控制策略時�,觸發(fā)用戶認證過程;
所述控制器在用戶認證通過后��,獲取所述用戶的訪問控制策略并作為所述訪問終端的訪問控制策略��;
所述控制器從所述訪問終端的訪問控制策略中獲取所述訪問對象對應的訪問控制策略�����;
所述控制器將所述訪問對象對應的訪問控制策略發(fā)送給所述交換機�����,以使所述交換機對所述訪問終端的訪問請求進行控制���。
2.如權利要求1所述的方法�����,其特征在于�����,還包括:
所述控制器在確定查詢到所述訪問終端的訪問控制策略時����,從所述訪問終端的訪問控制策略中獲取所述訪問對象對應的訪問控制策略;
所述控制器將所述訪問對象對應的訪問控制策略發(fā)送給所述交換機���,以使所述交換機對所述訪問終端的訪問請求進行控制����。
3.如權利要求1所述的方法�,其特征在于�����,所述觸發(fā)用戶認證過程���,包括:
所述控制器觸發(fā)重定向請求至訪問控制服務器���;
獲取所述用戶的訪問控制策略,包括:
接收所述訪問控制服務器在對所述用戶認證通過后��,發(fā)送的所述用戶的訪問控制策略。
4.如權利要求1所述的方法��,其特征在于�����,所述用戶的訪問控制策略通過以下方式獲得:
所述訪問控制服務器在對所述用戶認證通過后���,根據所述用戶的標識信息確定所述用戶所屬的角色�����;
根據所述角色查詢訪問控制策略庫�,得到所述用戶的訪問控制策略���。
5.如權利要求1所述的方法����,其特征在于����,還包括:
在檢測到所述用戶的訪問請求為可疑攻擊時,向所述訪問控制服務器發(fā)送訪問控制策略修改請求��。
6.如權利要求1所述的方法,其特征在于�,還包括:
所述控制器定期刪除所述控制器中存儲的用戶的訪問控制策略。
7.如權利要求1~6任一項所述的方法����,其特征在于,所述控制器為SDN控制器�,所述交換機為SDN交換機。
8.一種訪問控制方法��,其特征在于��,包括:
交換機接收訪問終端的訪問請求�����,所述訪問請求中攜帶有訪問終端的標識信息和訪問對象�����;
所述交換機確定自身未存儲所述訪問終端的針對所述訪問對象的訪問控制策略時���,向控制器發(fā)送訪問查詢指令;
所述交換機接收所述控制器發(fā)送的所述訪問終端的針對所述訪問對象的訪問控制策略�,并根據所述訪問終端的針對所述訪問對象的訪問控制策略對所述訪問終端的訪問請求進行控制����。
9.一種訪問控制裝置�����,其特征在于��,包括:
第一接收模塊�,用于接收交換機發(fā)送的訪問查詢指令,所述訪問查詢指令中攜帶有訪問終端的標識信息和訪問對象���;
認證模塊�,用于在未查詢到所述訪問終端的訪問控制策略時�����,觸發(fā)用戶認證過程��;
獲取模塊���,還用于在用戶認證通過后���,獲取所述用戶的訪問控制策略并作為所述訪問終端的訪問控制策略��;
還用于從所述訪問終端的訪問控制策略中獲取所述訪問對象對應的訪問控制策略����;
第一發(fā)送模塊�����,用于將所述訪問對象對應的訪問控制策略發(fā)送給所述交換機��,以使所述交換機對所述訪問終端的訪問請求進行控制����。
10.如權利要求9所述的裝置,其特征在于
所述獲取模塊���,還用于在確定查詢到所述訪問終端的訪問控制策略時�����,從所述訪問終端的訪問控制策略中獲取所述訪問對象對應的訪問控制策略�����;
所述第一發(fā)送模塊�����,還用于將所述訪問對象對應的訪問控制策略發(fā)送給所述交換機�����,以使所述交換機對所述訪問終端的訪問請求進行控制���。
11.如權利要求9所述的裝置,其特征在于��,所述認證模塊�����,具體用于:
觸發(fā)重定向請求至訪問控制服務器��;
所述獲取模塊����,具體用于:
接收所述訪問控制服務器在對所述用戶認證通過后,發(fā)送的所述用戶的訪問控制策略��。
12.如權利要求9所述的裝置,其特征在于���,所述獲取模塊����,具體用于:
在對所述用戶認證通過后���,根據所述用戶的標識信息確定所述用戶所屬的角色���;
根據所述角色查詢訪問控制策略庫,得到所述用戶的訪問控制策略����。
13.如權利要求9所述的裝置,其特征在于���,所述第一發(fā)送模塊��,還用于:
在檢測到所述用戶的訪問請求為可疑攻擊時���,向所述訪問控制服務器發(fā)送訪問控制策略修改請求。
14.如權利要求9所述的裝置��,其特征在于,還包括:刪除模塊����,
所述刪除模塊�����,用于定期刪除用戶的訪問控制策略����。
15.一種用于訪問控制的裝置,其特征在于�����,包括:
第二接收模塊�����,接收訪問終端的訪問請求����,所述訪問請求中攜帶有訪問終端的標識信息和訪問對象;
第二發(fā)送模塊����,用于確定自身未存儲所述訪問終端的針對所述訪問對象的訪問控制策略時�����,向控制器發(fā)送訪問查詢指令��;
控制模塊����,用于在接收所述控制器發(fā)送的所述訪問終端的針對所述訪問對象的訪問控制策略后��,根據所述訪問終端的針對所述訪問對象的訪問控制策略對所述訪問終端的訪問請求進行控制�。