[发明专利]一种网络访问控制方法及装置、系统

权利要求书

1.一种网络访问控制方法，其特征在于，包括：

S1、当前外网网卡接收访问者终端发送的第一访问指令数据，并将所述第一访问指令数据发送至调度单元，其中，所述第一访问指令数据包括：访问者身份、操作指令、操作对象和鉴别数据；

S2、所述调度单元接收所述第一访问指令数据，并将所述第一访问指令数据发送至第一协议解析单元；

S3、所述第一协议解析单元接收所述第一访问指令数据，对所述第一访问指令数据进行解析获取所述第一访问指令数据中的内容，并将所述第一访问指令数据的网络协议数据格式转换为专用协议的数据格式后获得第二访问指令数据，其中，所述网络协议与所述专用协议不同，所述第二访问指令数据包括所述访问者身份、所述操作指令、所述操作对象和所述鉴别数据；

S4、所述第一协议解析单元将所述第二访问指令数据传输至鉴别单元；

S5、所述鉴别单元接收所述第二访问指令数据，并对所述第二访问指令数据中的所述鉴别数据进行验证；

S6、在验证通过后，所述鉴别单元将所述第二访问指令数据传输至数据访问管控单元；

S7、所述数据访问管控单元接收所述第二访问指令数据，获取本地预先设置的访问标记映射表，根据所述访问标记映射表以及所述第二访问指令数据中的所述访问者身份、所述操作指令和所述操作对象判断所述访问者是否有权限对所述操作对象执行所述操作指令指示的操作，其中，所述访问标记映射表指示不同的访问者身份对不同的操作对象是否有权限执行相应的操作指令指示的操作；

S8、在所述访问者有权限对所述操作对象执行所述操作指令指示的操作的情况下，所述数据访问管控单元将所述第二访问指令数据传输至第二协议解析单元；

S9、所述第二协议解析单元接收所述第二访问指令数据，将所述第二访问指令数据的专用协议的数据格式转换为网络协议的数据格式获得第三访问指令数据，其中，所述第三访问指令数据中的元素包括所述访问者身份、所述操作指令和所述操作对象；

S10、所述第二协议解析单元将所述第三访问指令数据发送至内网网卡；

S11、所述内网网卡接收所述第三访问指令数据，并将所述第三访问指令数据发送至内网服务器执行所述第三访问指令数据中的操作指令所指示的操作。

2.如权利要求1所述的方法，其特征在于：在所述当前外网网卡接收访问者终端发送的第一访问指令数据之前，所述方法还包括：

所述调度单元检测到在先外网网卡受到阻塞式攻击，按照预设策略从多个外网网卡中选择所述当前外网网卡，禁用所述在先外网网卡，并切换到所述当前外网网卡，其中，所述在先外网网卡是所述调度单元在所述当前外网网卡之前选择的外网网卡。

3.如权利要求1所述的方法，其特征在于：在所述当前外网网卡接收访问者终端发送的第一访问指令数据之前，所述方法还包括：

所述当前外网网卡接收所述访问者终端发送的接入请求，将所述接入请求发送至所述调度单元，其中，所述接入请求包括待认证信息；

所述调度单元接收所述接入请求，并将所述接入请求传输至接入认证单元；

所述接入认证单元接收所述接入请求，并对所述待认证信息进行认证，在认证通过后，将接入响应发送至所述调度单元，所述接入响应包括接入通过的结果；

所述调度单元接收所述接入响应，并将所述接入响应发送至所述当前外网网卡。

4.如权利要求1所述的方法，其特征在于：所述方法还包括：

所述内网服务器在接收到所述第三访问指令数据后，执行所述第三访问指令数据中的操作指令所指示的操作，获取第一操作结果数据，并将所述第一操作结果数据发送至所述内网网卡；

所述内网网卡将所述第一操作结果数据发送至所述第二协议解析单元；

所述第二协议解析单元将所述第一操作结果数据的网络协议的数据格式转换为专用协议的数据格式后获得第二操作结果数据，并将所述第二操作结果数据发送至所述第一协议解析单元；

所述第一协议解析单元接收所述第二操作结果数据，并将所述第二操作结果数据的专用协议的数据格式转换为网络协议的数据格式后获得第三操作结果数据，并将所述第三操作结果数据发送至所述调度单元；

所述调度单元将所述第三操作结果数据发送至所述当前外网网卡；

所述当前外网网卡将所述第三操作结果数据发送至所述访问者终端。