CN115277138B

CN115277138B - 一种强制访问控制方法及装置

Info

Publication number: CN115277138B
Application number: CN202210837523.6A
Authority: CN
Inventors: 彭晓军; 李凯; 刘国平; 胡怀茂
Original assignee: Nsfocus Technologies Inc; Nsfocus Technologies Group Co Ltd
Current assignee: Nsfocus Technologies Inc; Nsfocus Technologies Group Co Ltd
Priority date: 2022-07-15
Filing date: 2022-07-15
Publication date: 2023-09-22
Anticipated expiration: 2042-07-15
Also published as: CN115277138A

Abstract

本发明实施例涉及网络安全技术领域，尤其涉及一种强制访问控制方法及装置。该方法包括：响应于第一访问主体发起的第一访问请求，确定第一访问主体的互联网通信协议IP地址；其中，第一访问主体的IP地址是基于第一访问主体的注册请求而确定的权限标识生成的；权限标识用于表征第一访问主体的访问权限；根据第一访问主体的IP地址确定第一访问主体的访问权限；根据访问权限对第一访问请求进行强制访问控制。将IP地址的生成与访问权限的授予进行联合，一步实现对第一访问主体的强制访问控制，操作简单，且无需在第一访问主体安装访问控制软件客户端，保证了第一访问主体的数据安全。

Description

一种强制访问控制方法及装置

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种强制访问控制方法、装置、计算设备及计算机可读存储介质。

背景技术

访问控制是计算机网络系统安全防范和保护的重要手段。一般来说，访问控制中会涉及到访问主体和访问客体。访问主体是访问动作的发起者，访问客体为访问动作的接受者。目前有两种典型的访问控制方法：自主访问控制和强制访问控制。

自主访问控制是指由访问客体的属主对自己的访问客体进行管理的访问控制方法，由属主自己决定是否将自己访问客体的部分访问权授予其他访问主体。强制访问控制是指由系统对访问主体和访问客体进行管理的访问控制方法，系统通过为各访问主体和各访问客体标记不同的安全属性，通过安全属性的比较，决定某一访问主体是否能够访问某一访问客体。

采用互联网通信协议第四版(Internet Protocol version 4，IPv4)进行强制访问控制的方案中，通常要求在各访问主体上安装访问控制软件客户端。该访问主体发送的每一条数据报文中会包含源IPv4地址、目标IPv4地址等信息。每一条数据报文都会先经过访问控制软件客户端进行打标，如修改数据报文的选项字段，从而实现对该访问主体对某一访问客体的访问控制。比如，访问主体A发出的每一条数据报文的选项字段都被标记为“有权限”，则每一条数据报文都会被其他访问客体接收，换言之，访问主体A具有访问其他各访问客体的权限。又比如，访问主体A发出的目标IPv4地址为访问客体B的数据报文的选项字段都被标记为“有权限”，而访问主体A发出的目标IPv4地址为访问客体C的数据报文的选项字段都被标记为“无权限”；则访问主体A的每一条发往访问客体B的数据报文都会被访问客体B接收，而访问主体A的每一条发往访问客体C的数据报文都不会被访问客体C接收。换言之，访问主体A具有访问访问客体B的权限，而不具有访问访问客体C的权限。在上述方法中，是由系统的管理人员对各访问主体的访问控制软件客户端进行管理，从而实现对每个访问主体的各数据报文进行打标。

在上述方法中，需要各访问主体安装访问控制软件客户端，各访问主体发出的每一条数据报文都会经由访问控制软件客户端进行打标，这对于安装了访问控制软件客户端的各访问主体而言具备强侵入性，难以保证访问主体的数据安全，且访问控制过程繁琐。

发明内容

本发明实施例提供一种强制访问控制方法，用以提高强制访问控制的效率，且不对访问主体的数据安全造成影响。

第一方面，本发明实施例提供一种强制访问控制方法，包括：

响应于第一访问主体发起的第一访问请求，确定所述第一访问主体的互联网通信协议IP地址；其中，所述第一访问主体的IP地址是基于所述第一访问主体的注册请求而确定的权限标识生成的；所述权限标识用于表征所述第一访问主体的访问权限；

根据所述第一访问主体的IP地址确定所述第一访问主体的访问权限；

根据所述访问权限对所述第一访问请求进行强制访问控制。

在接收到第一访问主体发起的访问请求后，确定该第一访问主体的IP地址，由于该IP地址是基于第一访问主体的注册请求而确定的权限标识生成的，因此基于该第一访问主体的IP地址就可直接确定该第一访问主体的访问权限，那么就可对该第一访问主体进行访问控制。现有技术中，IP地址的生成和访问权限的分配分开进行，且访问权限的分配是通过访问控制软件客户端修改报文的字段实现的，较为繁琐且安全性低。本技术方案中，将IP地址的生成与访问权限的授予进行联合，一步实现对第一访问主体的强制访问控制，操作简单，且无需在第一访问主体安装访问控制软件客户端，保证了第一访问主体的数据安全。

在一些实施例中，通过如下方式生成所述第一访问主体的IP地址，包括：

响应于所述第一访问主体的注册请求，确定所述第一访问主体的访问权限；

基于所述访问权限对应的权限标识生成扩展网络前缀；

基于所述扩展网络前缀生成所述第一访问主体的IP地址，并将所述第一访问主体的IP地址发送至所述第一访问主体。

在第一访问主体注册时，就为其确定访问权限，并基于访问权限对应的权限标识生成扩展网络前缀，基于扩展网络前缀生成第一访问主体的IP地址。如此，第一访问主体的IP地址就可反映出其访问权限。将IP地址的生成与访问权限的授予进行联合，一步实现对第一访问主体的强制访问控制，操作简单，且无需在第一访问主体安装访问控制软件客户端，保证了第一访问主体的数据安全。

在一些实施例中，在生成所述第一访问主体的IP地址之后，还包括：

将所述第一访问主体的IP地址新增至白名单中；

在响应于第一访问主体发起的第一访问请求，确定所述第一访问主体的互联网通信协议IP地址之后，还包括：

确定所述第一访问主体的IP地址位于所述白名单中。

系统中可能存在第二访问主体没有采用根据权限标识生成IP地址的方式进行注册，因此需要在生成每个第一访问主体的IP地址后，将第一访问主体的IP地址新增至白名单。并对接收到的第一访问主体发起的第一访问请求，均判断该第一主体的IP地址是否位于白名单中。

在一些实施例中，还包括：

响应于第二访问主体发起的第二访问请求，确定所述第二访问主体的IP地址；

确定所述第二访问主体的IP地址不位于所述白名单中，根据所述第二访问请求中的预设字段，对所述第二访问请求进行强制访问控制；所述第二访问主体的IP地址不是基于所述权限标识生成的。

若系统中存在第二访问主体没有采用根据权限标识生成IP地址的方式进行注册，则无法通过该第二访问主体的IP地址确定该第二访问主体的访问权限。因此需要在生成每个第一访问主体的IP地址后，将第一访问主体的IP地址新增至白名单。那么在之后接收到未基于权限标识生成IP地址的第二访问主体的访问请求后，就可判断出其不位于白名单中，因此不再通过IP地址确定其访问权限，而是基于第二访问请求中的预设字段进行强制访问控制。提高了强制访问控制的灵活性。

在一些实施例中，基于所述访问权限对应的权限标识生成扩展网络前缀，包括：

基于终端标识和所述访问权限对应的权限标识生成扩展网络前缀；所述终端标识用于唯一标识所述第一访问主体；所述终端标识的位数用于表征注册的第一访问主体的最大数量。

扩展网络前缀中不仅包括权限标识，还包括终端标识，终端标识用于唯一标识第一访问主体，如此确保每个第一访问主体得到的IP地址不重复。终端标识的位数能够表征采用本技术方案进行注册的第一访问主体的最大数量。

基于子网标识、终端标识和所述访问权限对应的权限标识生成扩展网络前缀；所述终端标识用于唯一标识所述第一访问主体；所述终端标识的位数用于表征注册的第一访问主体的最大数量；所述子网标识用于标识所述第一访问主体所位于的子网；所述子网标识的位数用于表征子网的最大数量。

扩展网络前缀中不仅包括权限标识，还包括终端标识，终端标识用于唯一标识第一访问主体，如此确保每个第一访问主体得到的IP地址不重复。终端标识的位数能够表征采用本技术方案进行注册的第一访问主体的最大数量。还包括子网标识，子网标识的位数能够表征采用本技术方案进行注册的众多IP地址所属的子网的最大数量。

在一些实施例中，所述IP地址为互联网通信协议第六版IPv6地址；

所述方法还包括：

通过IPv6动态主机配置协议DHCPv6将所述第一访问主体的IP地址或网络前缀发送至所述第一访问主体；所述网络前缀包括所述扩展网络前缀。

IPv6具有更大的地址空间，报文结构更精简，内容获取速度更快，且网络安全性更高。DHCPv6能够更好地控制IPv6地址的分配，不仅可以记录为各访问主体分配的IPv6地址，还可以为特定的主机分配特定的地址，便于网络管理。

第二方面，本发明实施例还提供一种强制访问控制装置，包括：

访问控制单元，用于：

根据所述访问权限对所述第一访问请求进行强制访问控制。

在一些实施例中，所述装置还包括权限管理单元和地址分配单元，所述权限管理单元用于：

所述地址分配单元用于：

基于所述访问权限对应的权限标识生成扩展网络前缀；

在一些实施例中，所述地址分配单元还用于：

将所述第一访问主体的IP地址新增至白名单中；

所述访问控制单元还用于：

确定所述第一访问主体的IP地址位于所述白名单中。

在一些实施例中，所述访问控制单元还用于：

在一些实施例中，所述地址分配单元具体用于：

所述地址分配单元具体用于：

第三方面，本发明实施例还提供一种计算设备，包括：

存储器，用于存储计算机程序；

处理器，用于调用所述存储器中存储的计算机程序，按照获得的程序执行上述任一方式所列的强制访问控制方法。

第四方面，本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行程序，所述计算机可执行程序用于使计算机执行上述任一方式所列的强制访问控制方法。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种系统架构的示意图；

图2为本发明实施例提供的一种强制访问控制方法的流程示意图；

图3为本发明实施例提供的一种生成第一访问主体的IP地址的方法的示意图；

图4为本发明实施例提供的一种可能的IPv6地址的组成的示意图；

图5a为本发明实施例提供的一种可能的扩展网络前缀的组成的示意图；

图5b为本发明实施例提供的一种可能的扩展网络前缀的组成的示意图；

图5c为本发明实施例提供的一种可能的扩展网络前缀的组成的示意图；

图6为本发明实施例提供的一种权限管理服务器的工作流程的示意图；

图7为本发明实施例提供的一种第一访问主体和地址分配服务器通过DHCPv6进行通信的流程示意图；

图8为本发明实施例提供的一种访问控制服务器对访问主体的访问请求进行处理的流程示意图；

图9为本发明实施例提供的一种强制访问控制装置的结构示意图；

图10为本发明实施例提供的一种计算机设备的结构示意图。

具体实施方式

为使本申请的目的、实施方式和优点更加清楚，下面将结合本申请示例性实施例中的附图，对本申请示例性实施方式进行清楚、完整地描述，显然，所描述的示例性实施例仅是本申请一部分实施例，而不是全部的实施例。

基于本申请描述的示例性实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请所附权利要求保护的范围。此外，虽然本申请中公开内容按照示范性一个或几个实例来介绍，但应理解，可以就这些公开内容的各个方面也可以单独构成一个完整实施方式。

需要说明的是，本申请中对于术语的简要说明，仅是为了方便理解接下来描述的实施方式，而不是意图限定本申请的实施方式。除非另有说明，这些术语应当按照其普通和通常的含义理解。

本申请中说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”等是用于区别类似或同类的对象或实体，而不必然意味着限定特定的顺序或先后次序，除非另外注明(Unless otherwise indicated)。应该理解这样使用的用语在适当情况下可以互换，例如能够根据本申请实施例图示或描述中给出那些以外的顺序实施。

此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖但不排他的包含，例如，包含了一系列组件的产品或设备不必限于清楚地列出的那些组件，而是可包括没有清楚地列出的或对于这些产品或设备固有的其它组件。

图1示例性的示出了本发明实施例所适用的一种系统架构，该系统架构包括一个或多个访问主体(例如图中的访问主体110、120和130)、一个或多个访问客体(例如图中的访问客体210、220和230)、访问控制服务器300、权限管理服务器400和地址分配服务器500。

权限管理服务器400用于接收各访问主体的注册请求，为各访问主体确定访问权限，将各访问主体的唯一标识与访问权限一一对应存储。例如，访问主体110向权限管理服务器400发起注册请求，权限管理服务器400为其分配一个唯一标识，例如001，并为访问主体110确定访问权限。例如，为访问主体110确定的访问权限为“只读”。那么，权限管理服务器400会将唯一标识001和访问权限“只读”进行对应存储。访问主体110获得了唯一标识：001。又比如，访问主体120向权限管理服务器400发起注册请求，权限管理服务器400为其分配一个唯一标识，例如002，为访问主体120确定访问权限。例如，为访问主体120确定的访问权限为“只写”。那么，权限管理服务器400会将唯一标识002和访问权限“只写”进行对应存储。访问主体120获得了唯一标识：002。

在一些实施例中，任一访问主体的访问权限为权限管理服务器400自动设置，或者是根据管理人员的指示进行设置。管理人员可以对每一个访问主体的注册请求针对性地设置访问权限，也可以批量设置。本发明实施例对此不作限制。

在一些实施例中，为终端权限管理服务器设置一个与管理人员交互的界面，管理人员可在该界面实时查看到各访问主体的注册请求，并根据任一访问主体的注册请求为该访问主体设置访问权限。管理人员可根据任意规则为任一访问主体设置访问权限，例如根据该访问主体的类型、所位于的区域或是所属的部门、所属的工作人员的权限，为该访问主体设置访问权限。例如对于人事部门的某个工作人员的电脑发出的注册请求，管理人员为其设置“读写权限”；例如对于技术部门的某个工作人员的电脑发出的注册请求，管理人员为其设置“无权限”。以上仅为示例，本发明实施例对此不作限制。

权限管理服务器400会将存储的各访问主体的唯一标识与访问权限的对应关系传输至地址分配服务器500。

地址分配服务器500接收到任一访问主体的地址请求，确定该访问主体的唯一标识，根据从权限管理服务器400中获得的各访问主体的唯一标识与访问权限的对应关系，确定该访问主体的访问权限，基于访问权限生成权限标识，基于权限标识生成扩展网络前缀。一种可能的方式，地址分配服务器500基于扩展网络前缀生成一个IP地址，将该IP地址发送至该访问主体；另一种可能的方式，地址分配服务器500将扩展网络前缀和固定网络前缀合成为网络前缀，将网络前缀发送至该访问主体，以使该访问主体基于网络前缀生成IP地址。通过上述方式，该访问主体获得了自身的IP地址。

获得了IP地址的访问主体便能够发起针对任一访问客体的访问请求。

以访问主体110访问访问客体210为例，访问主体110发起访问请求，访问请求中包括源IP地址(访问主体110的IP地址)、目标IP地址(访问客体210的IP地址)以及其他信息。访问请求到达访问控制服务器300。

访问控制服务器300相当于各访问客体的“大门”，用于对任一访问请求进行权限识别。若访问控制服务器300对访问主体110发起的访问请求进行权限识别后，确定访问主体110的访问权限为“只读”，则允许该访问请求到达访问客体210进行“只读”操作。若访问控制服务器300对访问主体110发起的访问请求进行权限识别后，确定访问主体110的访问权限为“无权限”，则不允许该访问请求到达访问客体210，丢弃该访问请求。

本发明实施例提供的访问主体和访问客体可以为手机(mobile phone)、平板电脑(Pad)、桌面型或膝上型笔记本电脑、超级移动个人计算机(ultra-mobile personalcomputer，UMPC)、手持计算机、上网本、个人数字助理(personal digital assistant，PDA)、可穿戴电子设备、虚拟现实(virtual reality，VR)终端、增强现实(augmentedreality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smartgrid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smartcity)中的无线终端、智慧家庭(smart home)中的无线终端等等。

本发明实施例提供的访问控制服务器300、权限管理服务器400和地址分配服务器500可以为独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network，CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。

本发明实施例提供的访问控制服务器300、权限管理服务器400和地址分配服务器500可以为同一台服务器，也可以是不同的服务器，对此不作限制。

基于本发明实施例提供的上述系统架构，本发明实施例还提供一种强制访问控制方法，如图2所示，包括：

步骤201，响应于第一访问主体发起的第一访问请求，确定所述第一访问主体的互联网通信协议IP地址。

步骤202，根据所述第一访问主体的IP地址确定所述第一访问主体的访问权限。

步骤203，根据所述访问权限对所述第一访问请求进行访问控制。

在步骤201中，访问控制服务器接收到第一访问主体发起的第一访问请求，对第一访问请求进行解析，得到第一访问请求中的源IP地址，也就是第一访问主体的IP地址。

第一访问主体可以是图1中的任一个访问主体，第一访问主体的IP地址是基于第一访问主体的注册请求而确定的权限标识生成的。权限标识用于表征第一访问主体的访问权限。

例如，第一访问主体向权限管理服务器发起注册申请，权限管理服务器为其分配唯一标识，然后在管理人员的指示下，确定其访问权限为“只读”。访问权限“只读”对应的权限标识为01。地址分配服务器基于该权限标识01生成一个IP地址，该IP地址的预设位置处设置两个连续的数字“01”。例如该IP地址为128位，其中第49-50位数字为01；或者，该IP地址为128位，其中第63-64位数字为01；或者，该IP地址为48位，其中第47-48位数字为01。以上仅为示例，本发明实施例对此不作限制。

将该IP地址确定为第一访问主体的IP地址。如此，第一访问主体的IP地址中包含第一访问主体的权限标识。

在步骤202中，在确定了第一访问主体的IP地址后，根据所述第一访问主体的IP地址确定所述第一访问主体的访问权限。

在步骤201中介绍了第一访问主体的IP地址的生成方式，可以发现，根据该第一访问主体的IP地址可以确定IP地址中包含的权限标识，进而确定该第一访问主体的访问权限。

例如，确定第一访问主体的IP地址的预设位置处的权限标识为“01”，则可确定第一访问主体的访问权限为“只读”。

在步骤203中，根据第一访问主体的访问权限对第一访问请求进行访问控制。

一种可能的方式，仅根据访问权限对第一访问请求进行访问控制。

例如，确定第一访问主体的访问权限为“只读”，则说明第一访问主体对各访问客体的访问权限为只读，则允许第一访问请求到达目标IP地址，对目标IP地址对应的访问客体进行只读操作，而不论目标IP地址为哪一个访问客体。

另一种可能的方式，根据访问权限和强制访问控制策略对第一访问请求进行访问控制。

强制访问控制策略可以由管理人员进行设置，例如可以设置一些访问客体对访问请求的访问限制。

例如，强制访问控制策略中设置了，访问客体210不允许任何访问主体的访问。访问控制服务器接收到第一访问主体的第一访问请求后，确定第一访问主体的访问权限为“只读”，则说明第一访问主体对各访问客体的访问权限为只读；访问控制服务器还确定第一访问请求中的目标IP地址为访问客体210的IP地址，通过查询强制访问控制策略，确定访问客体210不允许任何访问主体的访问，则仍然不会允许第一访问请求到达访问客体210，丢弃该访问请求。

下面通过一个具体的实施例介绍生成第一访问主体的IP地址的方法。如图3所示，包括：

步骤301，响应于所述第一访问主体的注册请求，确定所述第一访问主体的访问权限。

步骤302，基于所述访问权限对应的权限标识生成扩展网络前缀。

步骤303，基于所述扩展网络前缀生成所述第一访问主体的IP地址，并将所述第一访问主体的IP地址发送至所述第一访问主体。

在步骤301中，权限管理服务器接收到第一访问主体的注册请求，为其分配一个唯一标识，并确定该第一访问主体的访问权限。例如确定第一访问主体的唯一标识为001，访问权限为只读。

一种可能的方式，权限管理服务器将唯一标识和访问权限进行对应存储。例如存储：001-只读。即，唯一标识为001的访问主体的访问权限为只读。权限管理服务器将这种对应关系发送至地址分配服务器，以使地址分配服务器根据访问权限确定权限标识，根据权限标识生成扩展网络前缀。

另一种可能的方式，权限管理服务器在确定了访问权限后，进而根据访问权限生成权限标识，将唯一标识和权限标识进行对应存储。例如确定“只读”的权限标识为01，那么对应存储：001-01。即，唯一标识为001的访问主体的权限标识为01。权限管理服务器将这种对应关系发送至地址分配服务器，以使地址分配服务器根据权限标识生成扩展网络前缀。

其中，第一访问主体的访问权限为权限管理服务器自动设置，或者是根据管理人员的指示进行设置。例如，管理人员可以对每一个访问主体的注册请求针对性地设置访问权限，也可以批量设置，例如，将某部门的访问主体的访问权限统一设置为“只读”。以上仅为示例，本发明实施例对此不作限制。

在步骤302中，第一访问主体还会向地址分配服务器发起地址请求，地址分配服务器接收到第一访问主体的地址请求后，该地址请求会携带第一访问主体的唯一标识。地址分配服务器获取第一访问主体的唯一标识，根据从权限管理服务器获得的对应关系中，确定访问权限对应的权限标识。基于权限标识生成扩展网络前缀。

例如，第一访问主体向地址分配服务器发起地址请求，并携带有自身的唯一标识001。地址分配服务器在对应关系中查找，根据唯一标识001确定该第一访问主体的访问权限为只读，权限标识为01，基于权限标识01生成扩展网络前缀。例如生成一个16位的扩展网络前缀，该16位的扩展网络前缀的预设位置处的两个连续的数字为“01”。

在步骤303中，地址分配服务器基于扩展网络前缀生成第一访问主体的IP地址。

地址分配服务器获取运营商的固定网络前缀，将固定网络前缀和扩展网络前缀合成为网络前缀，基于这个网络前缀和接口标识生成一个IP地址，将该IP地址发送至第一访问主体。

还有一种可能的方式，地址分配服务器将固定网络前缀和扩展网络前缀合成为网络前缀，将网络前缀发送至第一访问主体，第一访问主体根据网络前缀和接口标识生成自身的IP地址。

接口标识可以为一个多位的随机数，也可以根据第一访问主体的mac地址、类型、所属部门或区域等信息生成，本发明实施例对此不做限制。

以IP地址为互联网通信协议第六版(Internet Protocol Version 6，IPv6)地址为例，对上述生成第一访问主体的IP地址的方式进行详细介绍。

首先介绍下IPv6地址。

IPv6是互联网工程任务组设计的用于替代IPv4的下一代IP协议，其地址数量号称可以为全世界的每一粒沙子编上一个地址。因此可见，IPv6地址相较于IPv4地址而言，地址空间巨大。能够解决网络地址资源数量的问题，而且也解决了多种接入设备连入互联网的障碍。

IPv6地址的地址长度按照二进制来表示的话，为128位，是IPv4地址长度的4倍。为了简化表示，采用十六进制进行表示。每16bit分为一段，每段换算成4个十六进制数并使用冒号分开。例如，IPv6地址为：2001:0410:0000:0000:FB00:1400:5000:45FF。为了简化表示，压缩每个段的前导0，压缩后的IPv6地址为：2001:410:0000:0000:FB00:1400:5000:45FF。如果段中包含连续的0，则可以进行压缩并使用::进行代替。为了保证还原的正确性，只能包含一个::。例如，简化后的IPv6地址为：2001:410::FB00:1400:5000:45FF。

一般来说，IPv6地址由网络前缀和接口标识两部分组成。网络前缀用于标识该主机的唯一性，还可标识该主机所位于的子网络。本发明实施例中将网络前缀划分为固定网络前缀和扩展网络前缀。网络前缀中的固定网络前缀为从运营商处获得，例如可以获得48位固定网络前缀或64位固定网络前缀。

扩展网络前缀为根据访问权限对应的权限标识生成。本发明实施例对扩展网络前缀的位数不作限制。例如为16位、14位等。

例如，图4示出了一种可能的IPv6地址的组成。包括48位固定网络前缀，16位扩展网络前缀和64位接口标识。

其中16位的扩展网络前缀还可进行如下划分，如图5a所示。16位中的前n位为子网标识，后两位为权限标识，中间的16-2-n位为终端标识。其中n≥0。子网标识、权限标识和终端标识的顺序不局限于图5a所示，可以互换位置，例如图5b中所示，终端标识位于权限标识之后，或者如图5c所示，终端标识位于子网标识之前等。本发明实施例对此不作限制。

子网标识用于标识所述第一访问主体所位于的子网，子网标识的位数用于表征子网的最大数量。如n等于4，则本发明实施例提供的系统可以管理16个子网。

终端标识用于唯一标识所述第一访问主体，终端标识的位数用于表征注册的第一访问主体的最大数量。例如，n＝4时，终端标识有10位，则系统中按照本发明实施例提供的方法进行注册的第一访问主体可以有1024个。

权限标识用于标识第一访问主体的访问权限。其中，访问权限为“无权限”时，对应的权限标识为00；访问权限为“只读”时，对应的权限标识为01；访问权限为“只写”时，对应的权限标识为10；访问权限为“读写”时，对应的权限标识为11。

当n＝0时，扩展网络前缀中不包含子网标识。地址分配服务器接收到第一访问主体的地址请求后，生成一个唯一的终端标识，基于终端标识和所述访问权限对应的权限标识生成扩展网络前缀。结合固定网络前缀生成网络前缀。

如此确保每个第一访问主体得到的IP地址不重复。终端标识的位数能够表征采用本技术方案进行注册的第一访问主体的最大数量。

当n＞0时，扩展网络前缀中包含子网标识。地址分配服务器接收到第一访问主体的地址请求后，生成一个子网标识和唯一的终端标识，基于子网标识、终端标识和所述访问权限对应的权限标识生成扩展网络前缀。结合固定网络前缀生成网络前缀。

地址分配服务器将生成的第一访问主体的网络前缀发送至第一访问主体，以使第一访问主体根据网络前缀生成自身的IP地址；或者，地址分配服务器根据网络前缀生成第一访问主体的IP地址，将生成的第一访问主体的IP地址发送至第一访问主体。

下面通过一个具体的实施例对权限管理服务器的工作流程进行介绍。图6示出了一种可能的权限管理服务器的工作流程的示意图，包括：

步骤601，权限管理服务器接收第一访问主体的注册请求。

步骤602，权限管理服务器为第一访问主体确定唯一标识，将唯一标识发送至第一访问主体。

其中，唯一标识可以为动态主机配置协议位唯一标识(Dynamic HostConfiguration Protocol Unique Identifier，DUID)。本发明实施例对此不作限制。

步骤603，权限管理服务器确定该第一访问主体的访问权限。

步骤604，权限管理服务器完成权限注册。

权限管理服务器将第一访问主体的唯一标识和访问权限建立对应关系，从而完成权限注册。

步骤605，权限管理服务器将唯一标识和访问权限的对应关系发送至地址分配服务器。

第一访问主体和地址分配服务器之间的通信可以通过自定义的协议进行，也可通过动态主机配置协议(Dynamic Host Configuration Protocol for IPv6，DHCPv6)进行。本发明实施例对此不作限制。

下面介绍第一访问主体和地址分配服务器通过DHCPv6进行通信的过程。图7示出了一种可能的第一访问主体和地址分配服务器通过DHCPv6进行通信的流程示意图，包括：

步骤701，第一访问主体通过DHCPv6向地址分配服务器发送地址请求的报文。

在DHCPv6的预设字段携带有第一访问主体的唯一标识。预设字段可以为选型option字段。本发明实施例对此不作限制。

步骤702，地址分配服务器通过DHCPv6发出第一响应报文。

发第一响应报文的目的是为了通知第一访问主体：地址分配服务器已经收到了地址请求。

步骤703，地址分配服务器根据第一访问主体的唯一标识，在从权限管理服务器中接收到的对应关系中查询到该唯一标识对应的访问权限，并确定权限标识。

步骤704，地址分配服务器生成终端标识、子网标识，根据权限标识、终端标识和子网标识生成扩展网络前缀。

步骤705，地址分配服务器向运营商获取固定网络前缀，根据第一访问主体的mac地址生成接口标识。根据固定网络前缀、扩展网络前缀和接口标识生成第一访问主体的IP地址。

步骤706，地址分配服务器将第一访问主体的IP地址通过DHCPv6发送至第一访问主体。

在DHCPv6的预设字段携带有第一访问主体的IP地址。预设字段可以为选型option字段。本发明实施例对此不作限制。

步骤707，第一访问主体通过DHCPv6发出第二响应报文。

发第二响应报文的目的是为了通知地址分配服务器：第一访问主体已经收到了IP地址。

在一些实施例中，不是所有的访问主体均采用上述方式进行注册，也就是说，存在一部分访问主体的IP地址不是基于访问权限对应的权限标识生成的，这部分访问主体的IP地址不能反映出对应的访问主体的访问权限。为了方便区分，本发明实施例将这部分访问主体命名为第二访问主体。

例如，系统中的第二访问主体120的IP地址不是基于权限标识生成的，而是随机分配的。

因此，在地址分配服务器生成第一访问主体的IP地址后，将第一访问主体的IP地址新增至白名单中。换言之，只有白名单中的IP地址是基于访问主体的注册请求而确定的权限标识生成的。地址分配服务器将实时更新的白名单发送至访问控制服务器。那么访问控制服务器就可根据白名单中的IP地址确定如何进行强制访问控制了。

访问控制服务器在响应于任一访问主体的访问请求，确定该访问主体的IP地址后，会判断该访问主体的IP地址是否位于白名单中。若位于白名单中(说明该访问主体为第一访问主体)，则通过该第一访问主体的IP地址的预设位置提取权限标识，根据权限标识确定该第一访问主体的访问权限。基于访问权限进行强制访问控制。

例如，扩展网络前缀位于IP地址的第49-64位，占据16位。其中第63-64位为权限标识。则预设位置为IP地址的第63-64位。通过该IP地址的第63-64位提取出权限标识为11，则说明该第一访问主体的访问权限为读写。由此可允许该第一访问主体的第一访问请求到达目标IP地址。

若通过该IP地址的第63-64位提取出权限标识为00，则说明该第一访问主体的访问权限为无权限。由此可将第一访问请求丢弃。

若该访问主体的IP地址不位于白名单中(说明该访问主体为第二访问主体)，则无法在该第二访问主体的IP地址的预设位置处提取出权限标识。则提取第二访问主体的第二访问请求中的预设字段，对所述第二访问请求进行强制访问控制。这里的预设字段可以为选项字段。选项字段中有第二访问主体的访问控制软件客户端的打标，根据打标内容，对第二访问请求进行强制访问控制。

也就是说，系统中存在一部分访问主体(第一访问主体)是基于权限标识生成IP地址的，对于这部分访问主体，访问控制服务器可以直接从IP地址中确定访问权限。系统中还存在另外一部分访问主体(第二访问主体)内置访问控制软件客户端，通过访问控制软件客户端对每一个访问请求的预设字段进行打标的，那么对于这部分访问主体，访问控制服务器需要根据访问请求中的预设字段确定访问权限，从而进行强制访问控制。

图8示出了一种可能的访问控制服务器对访问主体的访问请求进行处理的流程示意图。包括：

步骤801，接收到任一访问主体的访问请求，根据访问请求提取源IP地址，即该访问主体的IP地址。

步骤802，判断该IP地址是否位于白名单中，若是，则进入步骤803；若否，则进入步骤804。

步骤803，通过该IP地址的预设位置提取出该访问主体的权限标识。

步骤804，根据访问请求的预设字段确定出该访问主体的访问权限。

步骤805，基于权限标识确定访问权限。

步骤806，根据该访问主体的访问权限对第一访问请求进行强制访问控制。

基于相同的技术构思，图9示例性的示出了本发明实施例提供的一种强制访问控制装置的结构，该结构可以执行强制访问控制的流程。

如图9所示，该装置具体包括：

访问控制单元901，用于：

根据所述访问权限对所述第一访问请求进行强制访问控制。

在一些实施例中，所述装置还包括权限管理单元902和地址分配单元903，所述权限管理单元902用于：

所述地址分配单元903用于：

基于所述访问权限对应的权限标识生成扩展网络前缀；

在一些实施例中，所述地址分配单元903还用于：

将所述第一访问主体的IP地址新增至白名单中；

所述访问控制单元901还用于：

确定所述第一访问主体的IP地址位于所述白名单中。

在一些实施例中，所述访问控制单元901还用于：

在一些实施例中，所述地址分配单元903具体用于：

所述地址分配单元903具体用于：

基于相同的技术构思，本申请实施例提供了一种计算机设备，如图10所示，包括至少一个处理器1001，以及与至少一个处理器连接的存储器1002，本申请实施例中不限定处理器1001与存储器1002之间的具体连接介质，图10中处理器1001和存储器1002之间通过总线连接为例。总线可以分为地址总线、数据总线、控制总线等。

在本申请实施例中，存储器1002存储有可被至少一个处理器1001执行的指令，至少一个处理器1001通过执行存储器1002存储的指令，可以执行上述强制访问控制方法的步骤。

其中，处理器1001是计算机设备的控制中心，可以利用各种接口和线路连接计算机设备的各个部分，通过运行或执行存储在存储器1002内的指令以及调用存储在存储器1002内的数据，从而进行强制访问控制。在一些实施例中，处理器1001可包括一个或多个处理单元，处理器1001可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器1001中。在一些实施例中，处理器1001和存储器1002可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。

处理器1001可以是通用处理器，例如中央处理器(CPU)、数字信号处理器、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

存储器1002作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器1002可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory，RAM)、静态随机访问存储器(Static Random Access Memory，SRAM)、可编程只读存储器(Programmable Read Only Memory，PROM)、只读存储器(Read Only Memory，ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、磁性存储器、磁盘、光盘等等。存储器1002是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器1002还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

基于相同的技术构思，本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质存储有计算机可执行程序，计算机可执行程序用于使计算机执行上述任一方式所列的强制访问控制的方法。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

1.一种强制访问控制方法，其特征在于，包括：

响应于第一访问主体发起的第一访问请求，确定所述第一访问主体的互联网通信协议IP地址；其中，所述第一访问主体的IP地址是基于所述第一访问主体的注册请求而确定的权限标识生成扩展网络前缀后，基于所述扩展网络前缀生成的；所述权限标识用于表征所述第一访问主体的访问权限；所述IP地址为互联网通信协议第六版IPv6地址；

根据所述访问权限对所述第一访问请求进行强制访问控制。

2.如权利要求1所述的方法，其特征在于，通过如下方式生成所述第一访问主体的IP地址，包括：

基于所述访问权限对应的权限标识生成扩展网络前缀；

3.如权利要求2所述的方法，其特征在于，在生成所述第一访问主体的IP地址之后，还包括：

将所述第一访问主体的IP地址新增至白名单中；

确定所述第一访问主体的IP地址位于所述白名单中。

4.如权利要求3所述的方法，其特征在于，还包括：

5.如权利要求2所述的方法，其特征在于，基于所述访问权限对应的权限标识生成扩展网络前缀，包括：

6.如权利要求2所述的方法，其特征在于，基于所述访问权限对应的权限标识生成扩展网络前缀，包括：

7.如权利要求1-6任一项所述的方法，其特征在于，所述方法还包括：

通过IPv6动态主机配置协议DHCPv6将所述第一访问主体的IP地址或网络前缀发送至所述第一访问主体；所述网络前缀包括扩展网络前缀。

8.一种强制访问控制装置，其特征在于，包括：

访问控制单元，用于：

根据所述访问权限对所述第一访问请求进行强制访问控制。

9.一种计算设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于调用所述存储器中存储的计算机程序，按照获得的程序执行权利要求1至7任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机可执行程序，所述计算机可执行程序用于使计算机执行权利要求1至7任一项所述的方法。