[发明专利]基于白名单的访问控制方法、系统、认证模块及更新方法

说明书

本发明实施例公开了一种基于白名单的访问控制方法及白名单更新方法。访问控制方法包括：认证模块接入多个用户模块，获取终端信息；针对任一用户模块，若白名单版本1大于白名单版本2，则允许所述用户模块访问；反之，则对离线有效信息1和离线有效信息2进行比较；若两者一致，则允许所述用户模块访问。实施本发明实施例白名单访问控制方案，认证模块基于终端信息的白名单版本及离线有效期实现了对用户模块的访问控制，其提供了一种快速、方便且有效的访问控制手段。实施本发明实施例的白名单更新方案，白名单数据由用户模块在认证过程中完成更新，不需要预置白名单数据，更不需要专门对白名单数据进行维护。

技术领域

本发明涉及计算机技术领域，具体涉及一种基于白名单的访问控制方法、系统、认证模块、存储介质及白名单更新方法。

背景技术

在计算机应用各领域，为了控制各种设备或软件程序(用户终端)对某一设备或软件程序(认证终端)的访问，经常需要用到黑名单，白名单等策略。例如黑白名单策略广泛应用于操作系统、防火墙、门禁及各种应用软件及日常场景中。

目前，对目标对象的访问控制主要有以下方法：

(1)黑名单控制方法：若访问对象被列入黑名单，则对该访问对象发起的请求直接拒绝或采取限制操作；若访问对象不在黑名单中，则通过该访问对象发起的请求。其中，黑名单访问控制流程请参考图1。

(2)白名单控制方法：若访问对象处于白名单中，则对该访问对象发起的请求优先提供服务；若访问对象未处于白名单中，则对该访问对象采取拒绝或其它限制处理策略。其中，白名单访问控制流程请参考图2。

(3)黑白名单相结合的控制方法：结合黑白名单使用特点，应用于更加复杂的软件逻辑或者使用场景；允许白名单对象访问，拒绝黑名单对象访问，对于其它对象的访问根据应用场景的过滤方法处理，同时更新黑白名单数据，设置不同权限、等级的访问控制。其中，黑白名单相结合的控制流程请参考图3。

需要说明的是，上述黑和/或白名单控制用户端访问的方法，其模块控制结构及模块认证体系请参考图4及图5。在图4中，弱连接表示不要求网络实时连接，在特定条件连接网络与服务进行通讯即可。

进一步地，上述黑和/或白名单控制用户端访问的方法，其实施必须依赖于名单数据的更新。例如，对于黑名单访问控制策略，在合法的用户终端访问认证终端之前，应当保证该合法用户终端的标识未出现在黑名单中。对于白名单访问控制策略，在合法的用户终端访问认证终端之间，应当保证该合法用户终端的标识已经存在于白名单中。

目前，对于黑白名单数据的更新，普遍采用网络同步的方式进行。对于离线终端，则会在终端上提供外部接口(如串口)连接PC等设备进行更新。

在实际研究中，本申请的发明人发现，上述基于黑白名单的访问控制方法及黑白名单数据更新方法，存在如下缺陷：

(1)白名单访问控制机制：只能简单地进行终端过滤，在离线使用条件下，对新加入的终端模块，由于数据无法进行实时同步，因此导致新加入的用户模块未出现在白名单中，无法立即进行访问。

(2)黑名单访问控制机制：需要预留大量的存储空间用于存储可能的黑名单数据；离线使用场景下，黑名单数据的管理(增加、删除)不能得到及时处理；数据量大时，进行黑名单的检索查询效率低下，若采用数据来提高检索查询效率，又会对硬件性能有更高的要求。

综上可知，在设备无法连接网络或无法提供实时网络的使用环境下，现有的访问控制策略及相应的名单数据更新都面临一定挑战。

发明内容

针对现有技术的上述缺陷，本发明实施例的目的在于提供一种基于白名单的访问控制方法、系统、认证模块、存储介质及白名单更新方法。

为实现上述目的，第一方面，本发明实施例提供了一种基于白名单的访问控制方法，包括：