访问控制方法、电子设备及存储介质与流程

本申请涉及网络通信安全，特别是涉及一种访问控制方法、电子设备及存储介质。

背景技术：

1、随着数字技术与实体经济的加速融合，大量经济活力持续向线上迁移，游戏、直播、电商、线上教育等行业繁荣发展，海量终端、多样化接入方式以及众多服务丰富了网络功能，但同时也加剧了针对服务端的安全威胁。

2、例如，分布式拒绝服务攻击(distributed denial of service attack，ddos)的攻击次数呈现高速增长的趋势。针对ddos的常规防御方法：流量清洗、黑洞，属于被动防御方法，防护效果滞后，因缺少网络参与保护，难以实现主动防御、近源防护以及保证网络服务安全。

技术实现思路

1、本申请实施例提供一种访问控制方法、电子设备及计算机可读存储介质，能够主动防御网络攻击，提高网络服务的安全性。

2、第一方面，本申请实施例提供一种访问控制方法，应用于权证生成控制器，所述方法包括：

3、接收来自权证请求发起设备的服务访问权证请求；

4、根据所述服务访问权证请求包括的源地址和目的地址确定转发路径；

5、向服务资源管理器发送权证授权请求，以使所述服务资源管理器根据所述权证授权请求包括的源地址和目的地址确定授权结果；

6、接收所述服务资源管理器返回的授权结果；

7、当所述授权结果表征允许授权，向所述权证请求发起设备发送权证申请结果，所述权证申请结果包括所述转发路径中各个转发节点的权证信息，所述权证信息用于携带在客户端向服务器发送的业务报文中。

8、第二方面，本申请实施例提供一种访问控制方法，应用于服务资源管理器，所述方法包括：

9、接收来自权证生成控制器的权证授权请求；

10、根据所述权证授权请求包括的源地址和目的地址确定授权结果；

11、将所述授权结果返回给所述权证生成控制器，以使所述权证生成控制器根据所述授权结果确定是否向客户端发送权证申请结果，所述权证申请结果包括转发路径中各个转发节点的权证信息，所述权证信息用于携带在客户端向服务器发送的业务报文中。

12、第三方面，本申请实施例提供一种访问控制方法，应用于转发节点，所述方法包括：

13、接收来自客户端的业务报文；

14、根据所述业务报文中携带的权证信息对所述业务报文进行访问验证；

15、当所述业务报文通过验证，转发所述业务报文。

16、第四方面，本申请实施例提供一种访问控制方法，应用于客户端，所述方法包括：

17、作为权证请求发起设备向权证生成控制器发送服务访问权证请求，所述服务访问权证请求包括待发送的业务报文的源地址和目的地址；

18、接收所述权证生成控制器根据所述服务访问权证请求返回的权证申请结果，所述权证申请结果包括转发路径和所述转发路径中各个转发节点的权证信息；

19、根据所述转发路径向所述转发节点发送携带有所述权证信息的业务报文。

20、第五方面，本申请实施例提供一种访问控制方法，应用于接入网关，所述方法包括：

21、接收来自客户端的业务报文；

22、当确定所述业务报文需要申请权证，生成服务访问权证请求，所述服务访问权证请求包括所述业务报文的源地址和目的地址；

23、作为权证请求发起设备向权证生成控制器发送所述服务访问权证请求；

24、接收所述权证生成控制器根据所述服务访问权证请求返回的权证申请结果，所述权证申请结果包括转发路径和所述转发路径中各个转发节点的权证信息；

25、将所述权证信息添加至所述客户端后续发送的业务报文中，并根据所述转发路径向所述转发节点发送携带有所述权证信息的所述业务报文。

26、第六方面，本申请实施例提供一种访问控制方法，应用于权证请求代理设备，所述方法包括：

27、接收来自信令请求发起设备的信令请求；

28、根据所述信令请求包括的权证申请标志，生成服务访问权证请求，所述服务访问权证请求包括待发送的业务报文的源地址和目的地址；

29、作为权证请求发起设备向权证生成控制器发送所述服务访问权证请求；

30、接收所述权证生成控制器根据所述服务访问权证请求返回的权证申请结果，所述权证申请结果包括转发路径和所述转发路径中各个转发节点的权证信息；

31、向所述信令请求发起设备返回所述权证申请结果。

32、第七方面，本申请实施例提供一种访问控制方法，应用于客户端，所述方法包括：

33、作为信令请求发起设备向权证请求代理设备发送信令请求，所述信令请求包括待发送的业务报文的源地址和目的地址以及权证申请标志；

34、接收所述权证请求代理设备根据所述信令请求返回的权证申请结果，所述权证申请结果包括转发路径和所述转发路径中各个转发节点的权证信息；

35、根据所述转发路径向所述转发节点发送携带有所述权证信息的业务报文。

36、第八方面，本申请实施例提供一种访问控制方法，应用于接入网关，所述方法包括：

37、接收来自客户端的信令请求，所述信令请求包括待发送的业务报文的源地址和目的地址；

38、在所述信令请求中添加权证申请标志，并作为信令请求发起设备向权证请求代理设备发送携带有所述权证申请标志的信令请求；

39、接收所述权证请求代理设备根据所述信令请求返回的权证申请结果，所述权证申请结果包括转发路径和所述转发路径中各个转发节点的权证信息；

40、将所述权证信息添加至所述客户端后续发送的业务报文中，并根据所述转发路径向所述转发节点发送携带有所述权证信息的所述业务报文。

41、第九方面，本申请实施例提供一种电子设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现如上第一方面至第八方面中任一方面提供的访问控制方法。

42、第十方面，本申请实施例提供一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，实现如上第一方面至第八方面中任一方面提供的访问控制方法。

43、本申请实施例通过接收来自权证请求发起设备的服务访问权证请求，并根据服务访问权证请求包括的源地址和目的地址确定客户端到服务器之间报文发送的转发路径，当通过服务资源管理器确定授权本次服务访问时，向权证请求发起设备发送包括有转发路径中各个转发节点的权证信息的权证申请结果，以使客户端通过携带有权证信息的业务报文进行服务访问。本申请实施例通过对合法访问服务的客户端进行授权，并在转发路径中对其业务报文进行访问验证，能够阻止网络攻击流的恶意注入，实现主动防御网络攻击，提高网络服务的安全性。

技术特征：

1.一种访问控制方法，应用于权证生成控制器，所述方法包括：

2.根据权利要求1所述的访问控制方法，其特征在于，在所述接收来自权证请求发起设备的服务访问权证请求之前，所述方法还包括：

3.根据权利要求2所述的访问控制方法，其特征在于，在所述接收来自权证请求发起设备的服务访问权证请求之前，所述方法还包括：

4.根据权利要求3所述的访问控制方法，其特征在于，在所述向转发节点发送所述权证生成因子之后，所述方法还包括：

5.一种访问控制方法，应用于服务资源管理器，所述方法包括：

6.根据权利要求5所述的访问控制方法，其特征在于，所述权证授权请求还包括所述客户端的身份信息，在所述根据所述权证授权请求包括的源地址和目的地址确定授权结果之前，所述方法还包括：

7.根据权利要求6所述的访问控制方法，其特征在于，所述方法还包括：

8.一种访问控制方法，所述方法应用于转发节点，所述方法包括：

9.根据权利要求8所述的访问控制方法，其特征在于，所述方法还包括：

10.根据权利要求8所述的访问控制方法，其特征在于，所述方法还包括：

11.一种访问控制方法，所述方法应用于客户端，所述方法包括：

12.一种访问控制方法，所述方法应用于接入网关，所述方法包括：

13.一种访问控制方法，所述方法应用于权证请求代理设备，所述方法包括：

14.一种访问控制方法，所述方法应用于客户端，所述方法包括：

15.一种访问控制方法，所述方法应用于接入网关，所述方法包括：

16.一种电子设备，其特征在于，包括，

17.一种存储介质，其特征在于，包括存储有计算机可执行指令，所述计算机可执行指令用于执行：如权利要求1至15中任一项所述的访问控制方法。

技术总结
本申请涉及网络通信安全技术领域，提供了一种访问控制方法、电子设备以及存储介质，本申请实施例通过接收来自客户端的服务访问权证请求，并根据服务访问权证请求包括的源地址和目的地址确定客户端到服务器之间报文发送的转发路径，当通过服务资源管理器确定授权本次服务访问时，向客户端发送包括有转发路径中各个转发节点的权证信息的权证申请结果，以使客户端通过携带有权证信息的业务报文进行服务访问。本申请实施例通过对合法访问服务的客户端进行授权，并在转发路径中对其业务报文进行访问验证，能够阻止网络攻击流的恶意注入，实现主动防御网络攻击，提高网络服务的安全性。

技术研发人员：蒋志红,周娜,闫新成,吉鸿伟,宋琳
受保护的技术使用者：中兴通讯股份有限公司
技术研发日：
技术公布日：2024/1/25