CN101515874B - 网络服务器的访问控制方法及控制系统 - Google Patents

Abstract

本发明公开了一种网络服务器的访问控制方法，包括：配置客户端的访问权限参数，其包括客户端ID和允许接入的网络地址；根据配置建立二叉查找树，各节点保存访问权限参数，节点关键字为根据网络地址转换的无符号长型数据值；将发出访问请求的IP地址转换为无符号长型数据值作为查找关键值；在二叉查找树中查找小于或等于查找关键值的最大的节点关键字，查找结果为空则拒绝访问，否则判断IP地址是否属于所查找到的节点关键字对应的网络地址，若不属于则拒绝访问，否则确定IP地址为允许接入的网络地址。本发明还公开了一种网络服务器的访问控制系统。本发明基于二叉查找树进行强制访问控制，对访问地址判别的效率高，能够准确、可靠地实现流量控制。

Description

网络服务器的访问控制方法及控制系统

【技术领域】

本发明涉及计算机网络，具体涉及web server(网络服务器)的访问控制方法及控制系统。

【背景技术】

目前，大部分业务系统都采用web service(网络服务)开放业务系统的外部接口，当系统允许外部的客户端访问时，系统的完整性就可能会受到威胁，因此，系统通常需要确保不会被非法访问或遭到流量攻击。目前有两类访问控制，一类是选择性访问控制(Discretionary Access Control，简称DAC)，DAC系统给客户端分配访问权限，外部客户端在访问系统时需要登录，系统通过加密算法验证用户身份。首先，实现所有这些验证过程会给系统带来很大的负担，降低系统效率。其次，用户名和密码的管理对于系统来说存在安全隐患。最后，因为系统过于复杂，评估整个系统的安全策略是否被正确实现将会很困难。另一类是强制性访问控制(MandatoryAccess Control，简称MAC)，MAC系统依据发出请求的客户端的IP地址或所在的域号来进行界定。但是，现有的强制性访问控制只能根据IP地址进行流量限制，如果客户端来自于多个IP地址，不能根据客户端ID准确地对客户端的流量进行限制。现有强制性访问控制方案有以下两类：

一类是apache等流行的网络服务器的做法，apache可以通过mod_access模块来限制客户访问，mod_access模块通过配置授权访问者的IP地址(或域名，主机名等)来控制对apache服务器的访问。对于流量控制，网络上也有开源的apache模块实现，限制每个IP地址的并发请求数。但是如果允许多个客户端从多个IP地址访问，那么客户端的最大并发请求数只能是单个IP地址最大并发请求数的之和，因此不能准确地根据客户端ID限制每个客户端的流量。如果某个客户端需要更多的并发请求，只能多配置几个允许访问的IP地址，客户端也只能从更多的IP地址上访问才能达到更大的并发请求数，这样对客户端的要求也更高。

另一类是网络服务器上做IP地址访问控制，在后台业务服务器上进行流量控制。这种方案还有一个明显的缺点：一个外部客户端的大流量并发请求会导致网络服务器无法接入其他客户端的请求，导致合法的请求被拒绝，而且由于太多的并发请求调用到业务服务，导致系统超载，最终导致业务中止。

【发明内容】

本发明的目的是提供一种高效率的网络服务器的访问控制方法及控制系统。

本发明进一步的目的是提供一种能够准确、可靠地对客户端的流量进行限制的网络服务器的访问控制方法及控制系统。

为实现上述目的，本发明提供一种网络服务器的访问控制方法，包括以下步骤：

A1、配置客户端的访问权限参数，所述访问权限参数包括客户端的ID和允许接入的网络地址，不同的客户端允许接入的网络地址不同；

B1、根据所述步骤A1的配置建立二叉查找树，所述二叉查找树的各节点保存各客户端的访问权限参数，节点关键字为根据所述网络地址转换的无符号长型数据值；

C1、将发出访问请求的IP地址转换为无符号长型数据值，作为查找关键值；

D1、在所述二叉查找树中查找小于或等于所述查找关键值的最大的节点关键字，如果查找结果为空则拒绝访问，否则执行步骤E1；

E1、判断所述IP地址是否属于所查找到的节点关键字对应的网络地址，如果不属于则拒绝访问，如果属于则确定所述IP地址为允许接入的网络地址。

所述网络地址为IP地址或子网的网络地址，在所述步骤E1中，将查找到的节点关键字对应的网络地址和发出访问请求的IP地址进行逻辑与操作，判断其结果与查找到的节点关键字对应的网络地址是否相同，从而判断发出访问请求的IP地址是否属于所查找到的节点关键字对应的网络地址。

所述访问权限参数还包括客户端的最大并发流量和当前并发流量，在所述步骤E1之后还包括以下步骤：

F1、判断所述允许接入的客户端的当前并发流量是否已经达到最大并发流量，如果已经达到则拒绝接入，否则接入并处理所述访问请求，同时将所述允许接入的客户端的当前并发流量加一。

G1、处理完所述访问请求时，将所述允许接入的客户端的当前并发流量减一。

在所述步骤F1中，所述访问请求通过调用后台业务服务进行处理。

所述步骤D1包括以下步骤：

D11、从根节点起，比较节点关键字与所述查找关键值的大小，如果当前节点关键字比所述查找关键值小，则执行步骤D12，如果当前节点关键字比所述查找关键值大，则执行步骤D13，如果当前节点关键字与所述查找关键值相等，则返回当前节点。

D12、如果当前节点有右子树，则往其右子树作递归查找；如果当前节点无右子树，则直接返回当前节点；

D13、如果当前节点有左子树，则往其左子树作递归查找；如果当前节点无左子树，则进一步判断当前节点是根节点还是左子节点或右子节点，如果是根节点或左子节点，则返回空，如果是右子节点，则返回当前节点的父节点。

为实现上述目的，本发明还提供一种网络服务器的访问控制系统，包括：

用于配置客户端的访问权限参数的权限配置装置，所述访问权限参数包括客户端的ID和允许接入的网络地址，不同的客户端允许接入的网络地址不同；

用于根据所述权限配置装置的配置建立二叉查找树的二叉查找树建立装置，所述二叉查找树的各节点保存各客户端的访问权限参数，节点关键字为根据所述网络地址转换的无符号长型数据值；

用于将发出访问请求的IP地址转换为无符号长型数据值以作为查找关键值的转换装置；

用于在所述二叉查找树中查找小于或等于所述查找关键值的最大的节点关键字的查找装置；以及

用于判断所述IP地址是否属于所查找到的节点关键字对应的网络地址的第一判断装置，如果所述IP地址不属于所查找到的节点关键字对应的网络地址，则拒绝访问，如果属于则确定所述IP地址为允许接入的网络地址。

所述第一判断装置包括：用于将查找到的节点关键字对应的网络地址和发出访问请求的IP地址进行逻辑与操作的逻辑与单元，用于判断逻辑与单元运算后的结果与查找到的节点关键字对应的网络地址是否相同的判断单元。

访问控制系统还包括：

用于判断允许接入的客户端的当前并发流量是否已经达到最大并发流量的第二判断装置；

用于在接入客户端时，将该客户端当前并发流量加一的第一处理装置；以及

用于完成访问请求处理时，将该客户端当前并发流量减一的第二处理装置。

所述查找装置包括：

用于从根节点起比较节点关键字与查找关键值的大小的比较单元；

根据比较单元的比较结果进行相应处理的执行单元，所述执行单元在节点关键字小于查找关键值时，如果当前节点有右子树，则往其右子树作递归查找，如果当前节点无右子树，则直接返回当前节点；所述执行单元在节点关键字大于查找关键值时，如果当前节点有左子树，则往其左子树作递归查找；如果当前节点无左子树，则进一步判断当前节点是根节点还是左子节点或右子节点，如果是根节点或左子节点，则返回空，如果是右子节点，则返回当前节点的父节点。

本发明的有益效果是：

在本发明的访问控制方法中，首先根据已知的客户端访问权限参数的配置建立二叉查找树，该二叉查找树的各节点至少保存客户端的ID和允许接入的网络地址，而节点关键字为根据允许接入的网络地址转换的无符号长型数据值；当有IP地址对网络服务器发出访问请求时，先将该IP地址转换为无符号长型数据值作为查找关键值，然后，在二叉查找树中查找小于或等于该查找关键值的最大的节点关键字，当查找结果为空时拒绝访问，否则进一步判断发出访问请求的IP地址是否属于所查找到的节点关键字对应的网络地址，如果不属于则拒绝访问，如果属于，则确定发出访问请求的IP地址为允许接入的网络地址。本发明中，利用基于二叉查找树的查找方法对客户端请求进行IP地址识别，实现了网络服务器的高效率的强制访问控制。优选的方案下，客户端访问权限参数还包括客户端的最大并发流量和当前并发流量，最大并发流量对应于客户端ID，即是根据客户端ID而非根据每个IP地址来限制并发请求数，这样就克服了一类现有技术中客户端的最大并发请求数只能是不同IP地址最大并发请求数的之和的缺点，故能更准确地根据客户端ID限制每个客户端的流量，精确控制并发请求，对于客户端需占用IP地址的要求也更低；另一方面，相比于另一类现有的强制访问控制方法，本发明同时在网络服务器(前台)上实现了流量控制，流量控制的判断不交付后台业务服务器进行，所以能够避免非法的并发请求调用后台的业务服务。因此，相对于已有的技术，本发明又是一种更为精确、更为可靠的强制访问控制方法。

【附图说明】

图1为本发明网络服务器访问控制方法实施例的总体流程图；

图2为本发明网络服务器访问控制方法实施例的二叉查找树示意图；

图3为本发明网络服务器访问控制方法实施例的访问控制流程图。

【具体实施方式】

本发明的特征及优点将通过实施例结合附图进行详细说明。

请参考图1，本发明网络服务器的访问控制方法可按照以下步骤实现：

一、配置客户端的访问权限

首先利用数据库或文件配置客户端的访问权限。配置文件的内容包括客户端的ID、最大并发流量、允许接入的网络地址。允许接入的网络地址可以配置多个，可以是具体的IP地址，也可以是子网的网络地址。但是不同的客户端配置的IP地址或子网的网络地址均不能跟其它的客户端配置的IP地址及子网的网络地址相同。

二、创建二叉查找树

网络服务器启动时从配置文件中读取访问权限配置，读取访问权限配置时，根据网络地址将客户端访问权限参数索引成二叉查找树(BinarySort Tree)。二叉查找树节点的节点关键字为根据IP地址或子网的网络地址转换的无符号长型(Unsigned Long)数据值。二叉查找树的节点还用于保存客户端的ID、最大并发流量以及当前并发流量。

表1客户端访问权限配置文件

客户端ID	最大并发流量	允许接入的IP地址
			1	100	213.175.160.0
2	50	211.139.146.43
			3	50	218.206.81.67；218.206.81.68
4	100	211.204.64.160

请参考表1，按照配置文件内容的先后顺序读取出表1中的访问权限配置，采用顺序插入节点的办法逐步构建二叉查找树，其具体步骤可表如下：

(a)初始状态下二叉查找树为空，为第一个待插入的客户端的访问权限配置申请一个新节点，令其为根节点；

(b)读取下一客户端的访问权限配置，将其对应的待插入节点的关键字和根节点关键字进行比较；

(c)若二者相等，则说明二叉查找树中已有此关键字，无须插入，此时返回步骤(b)；

(d)若待插入节点的关键字小于根节点关键字，则确定插入根节点的左子树中，进入步骤(f)；

(e)若待插入节点的关键字大于根节点关键字，则确定插入根节点的右子树中，进入步骤(f)；

(f)子树中的插入过程与上述过程相同，即，按照步骤(c)～(e)的判断方式，确定插入子一级节点的左子树或右子树中，直到将待插入的客户端的访问权限配置作为一个新节点插入二叉查找树，或者直到发现树中已有此节点关键字，返回步骤(b)。

配置文件内容读取完毕后，最终建立如图2所示的二叉查找树。

所建立的二叉查找树满足如下性质：

(i)若其左子树非空，则左子树上所有节点的网络地址均小于根节点的网络地址；

(ii)若其右子树非空，则右子树上所有节点的网络地址均大于根节点的网络地址；

(iii)子树本身又各是一棵二叉查找树。

如图2所示，本实施例共有4个客户端访问权限配置，其中ID为3的客户端分配了两个IP，因此构成了具有5个节点的二叉查找树。图2中为描述方便，直接使用客户端IP地址作为节点关键字进行描述，实际是以IP地址或子网的网络地址转换的无符号长型数据值作为节点关键字。

三、网络服务器在客户端接入时进行访问控制，请参考图3，访问控制具体又分为如下步骤：

在步骤S1，将发出访问请求的IP地址转换为无符号长型数据值，作为查找关键值；

在步骤S2，从根节点起，比较节点关键字与所述查找关键值的大小，如果当前节点关键字比所述查找关键值小，则执行步骤S3，如果当前节点关键字比所述查找关键值大，则执行步骤S4，如果当前节点关键字与所述查找关键值相等，则返回当前节点，转入步骤S5；

在步骤S3，如果当前节点有右子树，则往其右子树作递归查找；如果当前节点无右子树，则直接返回当前节点，转入步骤S5；

在步骤S4，如果当前节点有左子树，则往其左子树作递归查找；如果当前节点无左子树，则进一步判断当前节点是根节点还是其父节点的左子节点或右子节点，如果是根节点或是其父节点的左子节点，则返回空，如果是其父节点的右子节点，则返回当前节点的父节点，进入步骤S5；

在步骤S5，如果前一步返回空，则表示在二叉查找树中没有匹配的IP地址，判断此次访问为不合法，否则进入步骤S6；

在步骤S6，将返回的节点的网络地址(对应查找到的节点关键字)和发出访问请求的IP地址(对应查找关键值)进行逻辑与操作，判断其结果与返回的节点的网络地址是否相同，从而判断发出访问请求的IP地址是否属于所查找到的节点的网络地址。如果逻辑与操作的结果跟查找到的节点关键字不一致，则认为此次访问为非授权访问，拒绝接入；如果逻辑与操作的结果跟返回的节点的网络地址相同，则此次访问为合法，接下来将进入步骤S7；这里存在两种情况：

(1)返回的节点的网络地址为IP地址，查找关键字所代表的IP地址与返回的节点的网络地址相同，如：

IP地址为：211.139.146.43

节点的网络地址为：211.139.146.43

将211.139.146.43与211.139.146.43做与操作后，结果还是211.139.146.43，为合法访问；

(2)返回的节点的网络地址是一个子网的网络地址，查找关键字所代表的IP地址归属于该子网，如：

IP地址为：222.21.160.73

节点的网络地址为：222.21.160.64

222.21.160.73与222.21.160.64做与操作后，结果还是222.21.160.64，为合法访问；

在步骤S7，检查当前流量是否已经达到最大并发流量，如果大于，则拒绝接入，否则对请求进行处理，同时将该客户端的当前流量加一；

访问请求接入之后的处理可以通过调用后台业务服务进行。

四、对于允许接入的访问请求，网络服务器在处理完请求返回应答包时，将该客户端的当前并发流量减一。

作为本发明的另一方面，还提供了一种网络服务器的访问控制系统，它包括如下部分：

权限配置装置：用于配置客户端的访问权限参数；所述访问权限参数包括客户端的ID和允许接入的网络地址，不同的客户端允许接入的网络地址不同；

二叉查找树建立装置：用于根据权限配置装置的配置建立二叉查找树；所述二叉查找树的各节点保存各客户端的访问权限参数，节点关键字为根据所述网络地址转换的无符号长型数据值；

转换装置：用于将发出访问请求的IP地址转换为无符号长型数据值以作为查找关键值；

查找装置：用于在所述二叉查找树中查找小于或等于所述查找关键值的最大的节点关键字；

第一判断装置：用于判断所述IP地址是否属于所查找到的节点关键字对应的网络地址的判断装置，如果所述IP地址不属于所查找到的节点关键字对应的网络地址，则拒绝访问，如果属于则确定所述IP地址为允许接入的网络地址。

进一步优选的方案如下：

该第一判断装置包括：

逻辑与单元：用于将查找到的节点关键字对应的网络地址和发出访问请求的IP地址进行逻辑与操作；

判断单元：用于判断逻辑与单元运算后的结果与查找到的节点关键字对应的网络地址是否相同。

该查找装置包括：

比较单元：用于从根节点起比较节点关键字与查找关键值的大小；

执行单元：用于根据比较单元的比较结果进行相应处理：在节点关键字小于查找关键值时，如果当前节点有右子树，则往其右子树作递归查找，如果当前节点无右子树，则直接返回当前节点；在节点关键字大于查找关键值时，如果当前节点有左子树，则往其左子树作递归查找；如果当前节点无左子树，则进一步判断当前节点是根节点还是左子节点或右子节点，如果是根节点或左子节点，则返回空，如果是右子节点，则返回当前节点的父节点。

访问控制系统还包括：

第二判断装置：用于判断允许接入的客户端的当前并发流量是否已经达到最大并发流量；

第一处理装置：用于在接入客户端时，将该客户端当前并发流量加一；以及；

第二处理装置：用于完成访问请求处理时，将该客户端当前并发流量减一。

本发明利用客户端访问配置构建二叉查找树，当客户端发出访问请求时，可通过对二叉查找树的查找来进行访问控制，二叉查找树的节点不但可以存储客户端ID、允许接入的网络地址，还可以存储客户端的最大并发流量，基于二叉树的访问控制能很好的解决现有技术中存在的问题——通过在网络服务器上根据IP地址对客户端进行识别，从而可以在网络服务器上进行IP地址访问控制和流量控制，因此一方面可以精确对客户端的并发请求进行控制，另一方面能避免非法的并发请求调用到后台的业务服务。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

Claims (10)

1.一种网络服务器的访问控制方法，其特征在于包括以下步骤：

A1、配置客户端的访问权限参数，所述访问权限参数包括客户端的ID和允许接入的网络地址，不同的客户端允许接入的网络地址不同；

B1、根据所述步骤A1的配置建立二叉查找树，所述二叉查找树的各节点保存各客户端的访问权限参数，节点关键字为根据所述网络地址转换的无符号长型数据值；

C1、将发出访问请求的IP地址转换为无符号长型数据值，作为查找关键值；

D1、在所述二叉查找树中查找小于或等于所述查找关键值的最大的节点关键字，如果查找结果为空则拒绝访问，否则执行步骤E1；

E1、判断所述IP地址是否属于所查找到的节点关键字对应的网络地址，如果不属于则拒绝访问，如果属于则确定所述IP地址为允许接入的网络地址，其中，所述判断进一步包括：将查找到的节点关键字对应的网络地址和发出访问请求的IP地址进行逻辑与操作，判断其结果与查找到的节点关键字对应的网络地址是否相同，从而判断发出访问请求的IP地址是否属于所查找到的节点关键字对应的网络地址。

2.根据权利要求1所述的网络服务器的访问控制方法，其特征在于：所述步骤B1中，所述二叉查找树按照以下方式建立：

(a)将第一个待插入的客户端的访问权限配置作为根节点；

(b)按配置顺序读取下一客户端的访问权限配置，将对应的节点关键字和根节点关键字进行比较；

(c)若二者相等，则返回步骤(b)；

(d)若待插入节点的关键字小于根节点关键字，则确定插入根节点的左子树中，进入步骤(f)；

(e)若待插入节点的关键字大于根节点关键字，则确定插入根节点的右子树中，进入步骤(f)；

(f)依照步骤(c)～(e)的判断方式，确定插入子一级节点的左子树或右子树中，直到将待插入的客户端的访问权限配置作为一个新节点插入到所述二叉查找树中，或者直到发现已有此节点关键字，返回步骤(b)。

3.根据权利要求2所述的网络服务器的访问控制方法，其特征在于：所述网络地址为IP地址或子网的网络地址。

4.根据权利要求1所述的网络服务器的访问控制方法，其特征在于：所述访问权限参数还包括客户端的最大并发流量和当前并发流量，在所述步骤E1之后还包括以下步骤：

F1、判断所述允许接入的客户端的当前并发流量是否已经达到最大并发流量，如果已经达到则拒绝接入，否则接入并处理所述访问请求，同时将所述允许接入的客户端的当前并发流量加一。

5.根据权利要求4所述的网络服务器的访问控制方法，其特征在于在所述步骤F1之后还包括以下步骤：

G1、处理完所述访问请求时，将所述允许接入的客户端的当前并发流量减一。

6.根据权利要求4所述的网络服务器的访问控制方法，其特征在于在所述步骤F1中，所述访问请求通过调用后台业务服务进行处理。

7.根据权利要求1～6任意一项所述的网络服务器的访问控制方法，其特征在于所述步骤D1包括以下步骤：

D11、从根节点起，比较节点关键字与所述查找关键值的大小，如果当前节点关键字比所述查找关键值小，则执行步骤D12，如果当前节点关键字比所述查找关键值大，则执行步骤D13，如果当前节点关键字与所述查找关键值相等，则返回当前节点；

D12、如果当前节点有右子树，则往其右子树作递归查找；如果当前节点无右子树，则直接返回当前节点；

D13、如果当前节点有左子树，则往其左子树作递归查找；如果当前节点无左子树，则进一步判断当前节点是根节点还是左子节点或右子节点，如果是根节点或左子节点，则返回空，如果是右子节点，则返回当前节点的父节点。

8.一种网络服务器的访问控制系统，其特征在于包括：

用于配置客户端的访问权限参数的权限配置装置，所述访问权限参数包括客户端的ID和允许接入的网络地址，不同的客户端允许接入的网络地址不同；

用于根据所述权限配置装置的配置建立二叉查找树的二叉查找树建立装置，所述二叉查找树的各节点保存各客户端的访问权限参数，节点关键字为根据所述网络地址转换的无符号长型数据值；

用于将发出访问请求的IP地址转换为无符号长型数据值以作为查找关键值的转换装置；

用于在所述二叉查找树中查找小于或等于所述查找关键值的最大的节点关键字的查找装置；以及

用于判断所述IP地址是否属于所查找到的节点关键字对应的网络地址的第一判断装置，如果所述IP地址不属于所查找到的节点关键字对应的网络地址，则拒绝访问，如果属于则确定所述IP地址为允许接入的网络地址；

其中，所述第一判断装置包括：用于将查找到的节点关键字对应的网络地址和发出访问请求的IP地址进行逻辑与操作的逻辑与单元，判断逻辑与单元运算后的结果与查找到的节点关键字对应的网络地址是否相同的判断单元。

9.根据权利要求8所述的网络服务器的访问控制系统，其特征在于还包括：

用于判断允许接入的客户端的当前并发流量是否已经达到最大并发流量的第二判断装置；

用于在接入客户端时，将该客户端当前并发流量加一的第一处理装置；以及

用于完成访问请求处理时，将该客户端当前并发流量减一的第二处理装置。

10.根据权利要求8～9任意一项所述的网络服务器的访问控制系统，其特征在于所述查找装置包括：

用于从根节点起比较节点关键字与查找关键值的大小的比较单元；

根据比较单元的比较结果进行相应处理的执行单元，所述执行单元在节点关键字小于查找关键值时，如果当前节点有右子树，则往其右子树作递归查找，如果当前节点无右子树，则直接返回当前节点；所述执行单元在节点关键字大于查找关键值时，如果当前节点有左子树，则往其左子树作递归查找；如果当前节点无左子树，则进一步判断当前节点是根节点还是左子节点或右子节点，如果是根节点或左子节点，则返回空，如果是右子节点，则返回当前节点的父节点。

Images