[发明专利]访问控制方法及其设备

说明书

技术领域

本发明涉及通信领域的互联网技术，尤其涉及访问控制方法及其设备。

背景技术

在传统互联网的TCP/IP协议体系中，IP地址既代表节点的位置标识，又代表节点的主机标识，即，网络层使用IP地址作为节点在网络中的位置标识，用于路由；传输层使用IP地址作为节点的主机标识，用于建立传输层的连接。

目前，在访问控制技术中，基于主机的IP地址设置访问控制策略，网络访问控制设备接收到用户(主机)的网络接入请求或数据访问请求后，根据该用户的IP地址采用对应的访问控制策略对该用户的请求IP报文进行访问控制处理，如，以用户的IP地址作为关键字，滤除来自特定IP地址的报文。

但是对于身份、位置分离的节点和网络，这种传统的访问控制方式带来了很多问题。例如在主机有多个IP地址的情况下，这种基于IP地址的访问控制策略不能有效地防止攻击。主机可以更新自己的IP地址，欺骗网络进行接入。例如，如果主机的初始IP地址(128.1.1.1)被访问控制设备过滤了，但可以通过更新该主机的IP地址，通过新的IP地址与通信对端进行会话，这样就旁路了现有的访问控制机制，带来了很大的安全隐患。

同样，现有的访问控制机制对于多宿主机也会带来安全问题。在移动互联网时代，主机往往有多个连接，各连接使用不同的IP地址，这样使得基于IP地址的网络接入认证不能有效的防范网络攻击，造成潜在的安全威胁。

由此可见，支持身份、位置标签分离协议的主机，能够轻易绕过现有访问控制系统的限制，存在一定的安全隐患。

发明内容

本发明实施例提供了一种访问控制方法及其设备，用以解决对于支持身份、位置标签分离协议的主机，现有访问控制机制安全性低的问题。

本发明实施例提供的访问控制方法，应用于访问控制设备，所述访问控制设备中配置有与主机身份标识对应的访问控制信息，该方法包括：

所述访问控制设备建立主机身份标识和IP地址的对应关系；

当所述访问控制设备接收到IP报文后，解析出所述IP报文的IP地址，根据所述对应关系确定所述IP地址对应的主机身份标识，根据所述主机身份标识确定对应配置的访问控制信息，并根据确定出的访问控制信息对所述IP报文进行相应控制处理。

本发明实施例提供的访问控制设备，包括：

策略存储模块，用于存储与主机身份标识对应的访问控制信息；

关系维护模块，用于建立主机身份标识和IP地址的对应关系；

解析模块，用于接收到IP报文，解析出所述IP报文的IP地址；

策略确定模块，用于根据所述对应关系确定所述IP地址对应的主机身份标识，根据所述主机身份标识确定对应配置的访问控制信息；

策略执行模块，用于根据确定出的访问控制信息对所述IP报文进行相应控制处理。

本发明实施例提供的访问控制方法，应用于访问控制设备，所述访问控制设备中配置有与主机身份标识和端口号对应的访问控制信息，该方法包括：

所述访问控制设备建立主机身份标识、IP地址和端口号的对应关系；

当所述访问控制设备接收到IP报文后，解析出所述IP报文的IP地址和端口号，根据所述对应关系确定所述IP地址对应的主机身份标识，根据所述主机身份标识和解析出的端口号确定对应配置的访问控制信息，并根据确定出的访问控制信息对所述IP报文进行相应控制处理。

本发明实施例提供的访问控制设备，包括：

策略存储模块，用于存储与主机身份标识和端口号对应的访问控制信息；

关系维护模块，用于建立主机身份标识、IP地址和端口号的对应关系；

解析模块，用于接收到IP报文，解析出所述IP报文的IP地址和端口号；

策略确定模块，用于根据所述对应关系确定所述IP地址对应的主机身份标识，根据所述主机身份标识和解析出的端口号确定对应配置的访问控制信息；

策略执行模块，用于根据确定出的访问控制信息对所述IP报文进行相应控制处理。

本发明的上述实施例，对于来自同一主机但不同链路的数据包，虽然这些数据包具有不同的IP地址，但由于访问控制设备已经通过建立了主机身份标识和IP地址的对应关系，又由于访问控制策略是基于主机身份标识建立的，因此只要访问控制设备根据数据包的IP地址、建立的主机身份标识与IP地址的对应关系查询到对应的主机身份标识，就可以采用对应的访问控制策略，从而对于支持身份、位置标签分离协议的主机，可以提高数据访问的安全性。

附图说明