CN102395212A - 网关接入控制方法、系统及装置 - Google Patents
网关接入控制方法、系统及装置 Download PDFInfo
- Publication number
- CN102395212A CN102395212A CN2011103700007A CN201110370000A CN102395212A CN 102395212 A CN102395212 A CN 102395212A CN 2011103700007 A CN2011103700007 A CN 2011103700007A CN 201110370000 A CN201110370000 A CN 201110370000A CN 102395212 A CN102395212 A CN 102395212A
- Authority
- CN
- China
- Prior art keywords
- gateway
- priority
- user
- access
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000008569 process Effects 0.000 claims description 23
- 238000012163 sequencing technique Methods 0.000 claims description 6
- 238000012790 confirmation Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 abstract description 33
- 238000012913 prioritisation Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 11
- 230000002441 reversible effect Effects 0.000 description 10
- 239000003795 chemical substances by application Substances 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 4
- RZVAJINKPMORJF-UHFFFAOYSA-N Acetaminophen Chemical compound CC(=O)NC1=CC=C(O)C=C1 RZVAJINKPMORJF-UHFFFAOYSA-N 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 239000000463 material Substances 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网关接入控制方法,包括以下步骤:网关接收多个用户发送的多个接入请求;所述网关分别计算所述多个接入请求对应的优先级;所述网关按照计算的优先级加入至优先级队列并排序;以及所述网关按照排序的优先级顺序将所述多个接入请求依次地发送至后端服务器。本发明还公开了一种网关接入控制系统以及网关。本发明通过综合考虑接入请求的用户和服务两项指标,计算该接入请求的优先级,根据该优先级动态调整和简化网关处理流程,从而降低网关资源消耗并加快网关处理速度。
Description
技术领域
本发明涉及网络通信技术领域,特别设计一种网关接入控制方法、系统及装置。
背景技术
反向代理(Reverse Proxy)方式是指以代理服务器来接受Internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给Internet上请求连接的客户端,此时代理服务器对外就表现为一个服务器。反向代理网关就是负责反向代理、访问控制以及安全控制的功能。
如图1所示,传统的接入请求的安全控制的流程,包括如下步骤:
步骤S101,接收用户的接入请求;
步骤S102,对接入请求进行安全控制A的安全检查;
步骤S103,对接入请求进行安全控制B的安全检查;
步骤S104,将经过安全检查的接入请求转至后端服务器,有后端服务器对其进行处理。
传统的网关接入控制存在以下几个问题:
(1)传统的网关接入控制只针对服务,而没有区分用户。例如为某个vip添加同步代理synproxy功能,则访问该服务的所有tcp连接请求,都需要经过synproxy处理。但是,对于部分高优先级的用户没有必要开启这些访问控制。从而,在耗费网关计算资源的同时,也导致部分高优先级用户延迟,影响用户的体验。
(2)当网关由于某些原因发生处理拥塞时,如受到DDos攻击,硬件损坏等,所有服务请求均受到影响。但是,没有区分用户和服务的优先级。而在实际上,某些特权用户(VIP用户)的请求需要优先处理。同样,对于某些核心业务的对应的服务,也需要优先占用资源。
发明内容
本发明旨在至少解决现有技术中存在的技术问题之一。为此,本发明的第一个目的在于提供一种网关接入控制方法,该方法可以根据优先级动态地调整网关处理流程,降低了网关的资源消耗。本发明的第二个目的在于提供一种网关接入控制系统。本发明的第三个目的在于提供一种网关。
为实现上述目的,本发明第一方面的实施例提供了一种网关接入控制方法,包括如下步骤:网关接收多个用户发送的多个接入请求;所述网关分别计算所述多个接入请求对应的优先级;所述网关按照计算的优先级加入至优先级队列并排序;以及所述网关按照排序的优先级顺序将所述多个接入请求依次地发送至后端服务器。
根据本发明实施例的网关接入控制方法,通过综合考虑接入请求的用户和服务两项指标,计算该接入请求的优先级,根据该优先级动态调整和简化网关处理流程,从而降低网关资源消耗并加快网关处理速度。此外,在网关满负荷工作时,根据优先级处理资源抢占,从而保护了高优先级用户体验。
本发明第二方面的实施例提供了一种网关接入控制系统,包括:多个客户端,所述多个客户端用于发送接入请求;以及网关,所述网关通过有线或无线地方式与所述多个客户端相连,用于接收所述多个客户端发送的多个接入请求,分别计算所述多个接入请求对应的优先级,和按照计算的优先级加入至优先级队列并排序,以及按照排序的优先级顺序将所述多个接入请求依次地发送至后端服务器。
根据本发明实施例的网关接入控制系统,通过综合考虑接入请求的用户和服务两项指标,计算该接入请求的优先级,根据该优先级动态调整和简化网关处理流程,从而降低网关资源消耗并加快网关处理速度。此外,在网关满负荷工作时,根据优先级处理资源抢占,从而保护了高优先级用户体验。
本发明第三方面的实施例提供了一种网关,包括:接收模块,用于接收多个用户发送的多个接入请求;优先级计算模块,用于分别计算所述多个接入请求对应的优先级;排序模块,用于按照计算的优先级加入至优先级队列并排序;以及发送模块,用于按照排序的优先级顺序将所述多个接入请求依次地发送至后端服务器。
根据本发明实施例的网关,通过综合考虑接入请求的用户和服务两项指标,计算该接入请求的优先级,根据该优先级动态调整和简化网关处理流程,从而降低网关资源消耗并加快网关处理速度。此外,在网关满负荷工作时,根据优先级处理资源抢占,从而保护了高优先级用户体验。
本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1为传统的安全访问控制的流程图;
图2为根据本发明实施例的网关接入控制方法的流程图;
图3为根据本发明实施例的用户识别的流程图;
图4为根据本发明实施例的网关处理能力满负荷情况下的资源抢占的流程图;
图5为根据本发明实施例的反向代理网关的示意图;
图6为根据本发明实施例的根据优先级进行安全控制的流程图;
图7为根据本发明实施例的网关接入控制系统的示意图;和
图8为根据本发明实施例的网关的示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
下面参考图2至图6描述根据本发明实施例的网关接入控制方法的流程。
如图2所示,本发明实施例提供的网关接入控制方法,包括如下步骤:
步骤S201,网关接收多个用户发送的多个接入请求。
需要说明的是,此处的用户可以理解为网关终端设备。具体而言,网关接收到来自多个网关终端设备的多个接入请求。
步骤S202,网关分别计算多个接入请求对应的优先级。
网关在接收到多个用户发送的多个接入请求后,需要根据该接入请求对应的用户和服务计算优先级P。其中,
P=u1*w+s1*(1-w),
其中,u1为用户优先级,s1为服务优先级,w为用户优先级在优先级中的权重因子,w可以根据当前网关的负荷和用户的需要进行调整。
下面对网关分别计算用户优先级u1和服务优先级s1的步骤进行说明。
网关可以根据用户的历史访问记录计算该用户的优先级。具体地,网关可以从用户的历史访问数据中挖掘用户访问频度,用户访问时长等信息,然后根据是上述用户历史访问数据计算用户优先级u1。可以理解的是,用户访问数据不限于上述用户访问频度和用户访问时长,也可以为其他可以评价用户访问程度的数据。
在本发明的一个实施例中,用户优先级u1可以划分为以下五个等级:
第五等级:通过自动装置或者人工方式加入的黑名单用户,例如发起恶意访问或恶意攻击的用户;
第四等级:普通用户,即正常访问服务的普通用户;
第三等级:高级用户,通过对历史访问信息的统计确定的在历史时间段内多次访问的忠实用户;
第二等级:付费用户,主动通过注册和/或付费等方式申请的用户;
第一等级:特权用户,对于某项服务拥有最高级访问权的用户,例如:管理员、监管人员等。
可以理解是,上述用户优先级的划分原则只是用户优先级划分的一种方式。网关可以根据需要采用其他划分原则对用户优先级进行划分,其中,划分等级的数量和划分的原则均可以为多种形式。
现有的接入控制多从应用层面确定用户等级,而网关设备为三层设备,无法分析三层之上的报文来获取用户信息。并且,网关上的接入控制方案多为静态配置,缺少不了人工操作环节,灵活性不够。为克服上述缺陷,本发明实施例中的网关通过二层设备和三层设备分别获取接入请求的MAC(Media AccessControl,硬件地址)地址和IP(Internet Protocol,网络之间互连的协议)地址,并根据MAC地址和IP地址生成用户识别码生成用户识别码。
具体地,如图3所示,网关生成用户识别码,包括如下步骤:
步骤S301,网关接收用户发送的接入请求。
步骤S302,根据该接入请求,网关的二层设备获取该接入请求的MAC地址。
步骤S303,根据该接入请求,网关的三层设备获取该接入请求的IP地址。
步骤S304,网关将步骤S302和步骤S303中获得的MAC地址和IP地址分别转换为二进制字符串,然后将上述字符串串接在一起,从而形成一个二进制字符串,并将该串接后的二进制字符串作为用户识别码。
网关根据上述得到的用户识别码可以查询到该用户对应的优先级。例如:网关获得接入请求对应的用户识别码为付费用户时,则通过查询可以获知该用户位于第二等级。
网关根据用户发送的接入请求中所请求的服务计算服务优先级s1。具体地,在网关上可以配置多个服务,即多个VIP(virturl IP,虚拟IP)。其中,不同的虚拟IP对应不同的服务优先级。网关可以根据服务的重要性和对用户的影响程度进行优先级的划分。例如,将具有以下三种情况中的一种或多种的服务器设置较好的优先级:核心服务、影响收入以及严重影响用户体验。在网关发生处理堵塞时,优先给上述服务的访问分配处理资源。
可以理解是,上述服务优先级的划分原则只是服务优先级划分的一种方式。网关可以根据需要采用其他划分原则对服务优先级进行划分,其中,划分等级的数量和划分的原则均可以为多种形式。
在本发明的一个实施例中,网关根据用户或服务的重要性,可以调整用户优先级在优先级中的权重因子w。具体的,在网关负荷高于负荷阈值时,为了向尽可能多的用户提供良好的用户体验,则可以调高用户优先级u1对应的权重w,从而可以体现用户优先级u1的重要性。如果网关倾向于提供稳定的服务,则可以适当降低用户优先级在优先级中的权重因子w,从而提高服务优先级在优先级中的权重因子(1-w),进而保证重点服务的资源占用,体现服务优先的思想。
在本发明的一个示例中,为了兼顾用户和服务的重要性,w可以为0.5。
步骤S203,网关按照计算的优先级加入至优先级队列并排序。
网关将步骤S202计算到的优先级加入到优先级队列中,并根据优先级的先后进行排序。网关需要对上述优先级队列进行维护。
步骤S204,网关按照排序的优先级顺序将多个接入请求依次地发送至后端服务器。
网关根据优先级队列,将多个接入请求按照优先级由高到低的顺序依次发送到后端服务器,从而,后端服务器可以按照优先级由高到低的顺序依次执行相应的接入请求。
在网关满负载时,所有的接入请求在到达网关后,首先按照优先级的等级插入到优先级队列中。在优先级队列中,从队首到队尾,按照优先级由高到低的顺序进行排列。当由访问结束时,空缺出资源,从而高优先级的访问可以占用该资源,即排在优先级队列的队首的访问可以占用该资源。
下面结合图4以五个接入请求为例对访问请求处理的流程进行描述。
如图4所示,五个接入请求分别为请求1、请求2、请求3、请求4和请求5,其中,请求1和2首先且同时到达,请求3、4、5随后到达。由于此时网关正处于满负荷状态,没有空余的资源,因此上述五个接入请求需要进入队列进行排队。采用上述优先级P的计算方法,对五个接入请求的优先级P进行计算。五个接入请求的优先级由高到低依次为:请求3>请求2>请求4>请求1>请求5。从而,在优先级队列中,从队首到队尾的排列依次为:请求3、请求2、请求4、请求1、请求5。当有接入请求处理完毕时,则空缺出新的资源,此时优先处理拍在优先级队列的队首的接入请求。在本实施例中,优先处理请求3的接入请求。当处理完请求3的请求后,如果在处理请求3的过程中没有比请求2的优先级高的请求加入队列,则处理请求2的接入请求,否则处理当前优先级队列中排在最前面的请求。由上可知,网关处理接入请求是按照该接入请求的优先级P的由高到低的顺序进行的。虽然,请求1和请求2先于请求3到达网关,但是由于请求1和请求2的优先级低于请求3,网关还是先处理请求3的接入请求。
在本发明的一个实施例中,网关可以为反向代理网关。图5示出了反向代理网关的示意图。用户访问某项服务,实际上是访问代理网关上配置的虚拟IP。网关收到接入请求后,会对该请求进行安全检查。其中,安全检查为包括安全控制或访问控制,安全检查可以包括同步代理Synproxy处理、等待数据waitdata处理和流量清洗处理中的一种或多种。例如,添加同步代理synproxy功能以防止syn攻击、添加等待数据waitdata功能以防止DDos攻击。根据访问规则,过滤来某个源IP的流量。在网关上配置一个虚拟IP以代表一项服务的请求,例如配置一个代表请求3的服务的虚拟IP。反向代理网关不负责提供服务,仅将合法请求转交后端服务器集群,由服务器集群针对接入请求提供相应的服务。
对于服务提供者来说,高优先级用户的接入访问是获取收益的主要来源,可以认为是受欢迎的访问。可以理解的是,高优先级用户的接入访问为受信任的访问。网关在接收到高优先级用户的访问请求后,除了可以向高优先级的用户提供高优先级的资源占用,也可以关闭一些安全防护措施。在本发明的一个实施例中,网关可以直接将接入请求转发给后端服务器,而无需做相关接入控制安全检查。
对于每个安全控制措施,均配置有对应的安全阈值。首先判断该接入请求对应的优先级P是否大于安全阈值,如果该接入请求对应的优先级P大于该安全控制的安全阈值,则降低或取消对该接入请求的安全检查,将该接入请求直接转发至后端服务器。
例如,同步代理synproxy是用于防止syn flood攻击的安全措施。如果同步代理synproxy的安全阈值为t,当接入请求的优先级低于安全阈值t时,访问需要经过同步代理synproxy的处理后才能转发给后端服务器进行处理。当接入请求的优先级高于安全阈值t时,网关直接将该接入请求的报文处理绕过同步代理synproxy处理步骤。
下面参考图6以两项安全控制为例描述根据优先级进行安全控制的流程。其中,安全控制包括安全控制A和安全控制B,其中,安全控制A的安全阈值为t1,安全控制B的安全阈值为t2。
步骤601,将接入请求的优先级P与安全控制A的安全阈值t1进行比较,如果优先级P低于安全控制A的安全阈值t1,则执行步骤S602,否则执行步骤S603。
步骤S602,对接入请求进行安全控制A的安全检查,然后执行步骤S603。
步骤S603,将接入请求的优先级P与安全控制B的安全阈值t 2进行比较,如果优先级P低于安全控制B的安全阈值t2,则执行步骤S604,否则执行步骤S605。
步骤S604,对接入请求进行安全控制B的安全检查,然后执行步骤S605。
步骤S605,将接入请求转发给后端服务器进行处理。
根据本发明实施例的网关接入控制方法通过综合考虑接入请求的用户和服务两项指标,计算该接入请求的优先级,根据该优先级动态调整和简化网关处理流程,从而降低网关资源消耗并加快网关处理速度。此外,在网关满负荷工作时,根据优先级处理资源抢占,从而保护了高优先级用户体验。
下面参考图7描述根据本发明实施例的网关接入控制系统700。
如图7所示,本发明实施例的网关接入控制系统700包括多个客户端710和网关720,其中,多个客户端710分别通过有线或无线地方式与网关720相连。多个客户端710用于发送接入请求,网关720用于接收多个客户端720发送的多个接入请求,分别计算多个接入请求对应的优先级,并按照计算的优先级加入至优先级队列并排序,以及按照排序的优先级顺序将多个接入请求依次地发送至后端服务器。
客户端710可以理解为网关终端设备。具体而言,网关720接收到来自多个客户端710的多个接入请求。网关720在接收到多个客户端710发送的多个接入请求后,根据该接入请求对应的用户和服务计算优先级P。
P=u1*w+s1*(1-w),
其中,u1为用户优先级,s1为服务优先级,w为用户优先级在优先级中的权重因子,w可以根据当前网关的负荷和用户的需要进行调整。
网关720可以根据客户端710对应的用户的历史访问记录计算该用户的优先级。具体地,网关720可以从用户的历史访问数据中挖掘用户访问频度,用户访问时长等信息,然后根据是上述用户历史访问数据计算用户优先级u1。可以理解的是,用户访问数据不限于上述用户访问频度和用户访问时长,也可以为其他可以评价用户访问程度的数据。
在本发明的一个实施例中,用户优先级u1可以划分为以下五个等级:
第五等级:通过自动装置或者人工方式加入的黑名单用户,例如发起恶意访问或恶意攻击的用户;
第四等级:普通用户,即正常访问服务的普通用户;
第三等级:高级用户,通过对历史访问信息的统计确定的在历史时间段内多次访问的忠实用户;
第二等级:付费用户,主动通过注册和/或付费等方式申请的用户;
第一等级:特权用户,对于某项服务拥有最高级访问权的用户,例如:管理员、监管人员等。
可以理解是,上述用户优先级的划分原则只是用户优先级划分的一种方式。网关720可以根据需要采用其他划分原则对用户优先级进行划分,其中,划分等级的数量和划分的原则均可以为多种形式。
网关720在接收到多个用户发送的多个接入请求后,获取发送该接入请求的用户的MAC(Media Access Control,硬件地址)地址和IP(InternetProtocol,网络之间互连的协议)地址,并根据MAC地址和IP地址生成用户识别码。具体地,根据该接入请求,网关720的二层设备获取该接入请求的MAC地址。网关720的三层设备获取该接入请求的IP地址。网关720将获得的MAC地址和IP地址分别转换为二进制字符串,然后将上述字符串串接在一起,从而形成一个二进制字符串,并将该串接后的二进制字符串作为用户识别码。网关720根据上述得到的用户识别码可以查询到该用户对应的优先级。例如:网关720获得接入请求对应的用户识别码为付费用户时,则通过查询可以获知该用户位于第二等级。
网关720根据用户发送的接入请求中所请求的服务计算服务优先级s1。具体地,在网关720上可以配置多个服务,即多个VIP(virturl IP,虚拟IP)。其中,不同的虚拟IP对应不同的服务优先级。网关720可以根据服务的重要性和对用户的影响程度进行优先级的划分。例如,将具有以下三种情况中的一种或多种的服务器设置较好的优先级:核心服务、影响收入以及严重影响用户体验。在网关720发生处理堵塞时,优先给上述服务的访问分配处理资源。
可以理解是,上述服务优先级的划分原则只是服务优先级划分的一种方式。网关720可以根据需要采用其他划分原则对服务优先级进行划分,其中,划分等级的数量和划分的原则均可以为多种形式。
在本发明的一个实施例中,网关720根据用户或服务的重要性,可以调整用户优先级在优先级中的权重因子w。具体的,在网关720负荷增高时,为了向尽可能多的用户提供良好的用户体验,则可以调高用户优先级u1对应的权重w,从而可以体现用户优先级u1的重要性。如果网关720倾向于提供稳定的服务,则可以适当降低用户优先级在优先级中的权重因子w,从而提高服务优先级在优先级中的权重因子(1-w),进而保证重点服务的资源占用,体现服务优先的思想。
在本发明的一个示例中,为了兼顾用户和服务的重要性,w可以为0.5。
网关720将计算到的优先级加入到优先级队列中,并根据优先级的先后进行排序。网关720需要对上述优先级队列进行维护,并根据优先级队列,将多个接入请求按照优先级由高到低的顺序依次发送到后端服务器,从而,后端服务器可以按照优先级由高到低的顺序依次执行相应的接入请求。
在网关满负载时,所有的接入请求在到达网关720后,首先按照优先级的等级插入到优先级队列中。在优先级队列中,从队首到队尾,按照优先级由高到低的顺序进行排列。当由访问结束时,空缺出资源,从而高优先级的访问可以占用该资源,即排在优先级队列的队首的访问可以占用该资源。
在本发明的一个实施例中,网关720可以为反向代理网关。用户访问某项服务,实际上是访问代理网关上配置的虚拟IP。网关720收到接入请求后,会对该请求进行安全检查。其中,安全检查为包括安全控制或访问控制,安全检查可以包括同步代理Synproxy处理、等待数据waitdata处理和流量清洗处理中的一种或多种。例如,添加同步代理synproxy功能以防止syn攻击、添加等待数据waitdata功能以防止DDos攻击。根据访问规则,过滤来某个源IP的流量。
对于服务提供者来说,高优先级用户的接入访问是获取收益的主要来源,可以认为是受欢迎的访问。可以理解的是,高优先级用户的接入访问为受信任的访问。网关720在接收到高优先级用户的访问请求后,除了可以向高优先级的用户提供高优先级的资源占用,也可以关闭一些安全防护措施。在本发明的一个实施例中,网关720可以直接将接入请求转发给后端服务器,而无需做相关接入控制安全检查。
对于每个安全控制措施,均配置有对应的安全阈值。首先网关720判断该接入请求对应的优先级P是否大于安全阈值,如果该接入请求对应的优先级P大于该安全控制的安全阈值,则降低或取消对该接入请求的安全检查,将该接入请求直接转发至后端服务器。
例如,同步代理synproxy是用于防止syn flood攻击的安全措施。如果同步代理synproxy的安全阈值为t,当接入请求的优先级低于安全阈值t时,访问需要经过同步代理synproxy的处理后才能转发给后端服务器进行处理。当接入请求的优先级高于安全阈值t时,网关720直接将该接入请求的报文处理绕过同步代理synproxy处理步骤。
根据本发明实施例的网关接入控制系统通过综合考虑接入请求的用户和服务两项指标,计算该接入请求的优先级,根据该优先级动态调整和简化网关处理流程,从而降低网关资源消耗并加快网关处理速度。此外,在网关满负荷工作时,根据优先级处理资源抢占,从而保护了高优先级用户体验。
下面参考图8描述根据本发明实施例的网关。其中,该网关可以反向代理网关。
本发明实施例提供的网关包括接收模块810、优先级计算模块820、排序模块830和发送模块840。其中,接收模块810用于接收多个用户发送的多个接入请求,优先级计算模块820用于分别计算多个接入请求对应的优先级,其中,优先级包括用户优先级和服务优先级。排序模块830用于按照计算的优先级加入到优先级队列并排序,发送模块840用于按照排序的优先级顺序将多个接入请求依次地发送至后端服务器。
接收模块810接收到来自多个用户的多个接入请求后,由优先级计算模块820根据该接入请求对应的用户和服务计算优先级P。
P=u1*w+s1*(1-w),
其中,u1为用户优先级,s1为服务优先级,w为用户优先级在优先级中的权重因子,w可以根据当前网关的负荷和用户的需要进行调整。
优先级计算模块820可以根据用户的历史访问记录计算该用户的优先级。具体地,优先级计算模块820可以从用户的历史访问数据中挖掘用户访问频度,用户访问时长等信息,然后根据是上述用户历史访问数据计算用户优先级u1。可以理解的是,用户访问数据不限于上述用户访问频度和用户访问时长,也可以为其他可以评价用户访问程度的数据。
在本发明的一个实施例中,用户优先级u1可以划分为以下五个等级:
第五等级:通过自动装置或者人工方式加入的黑名单用户,例如发起恶意访问或恶意攻击的用户;
第四等级:普通用户,即正常访问服务的普通用户;
第三等级:高级用户,通过对历史访问信息的统计确定的在历史时间段内多次访问的忠实用户;
第二等级:付费用户,主动通过注册和/或付费等方式申请的用户;
第一等级:特权用户,对于某项服务拥有最高级访问权的用户,例如:管理员、监管人员等。
可以理解是,上述用户优先级的划分原则只是用户优先级划分的一种方式。优先级计算模块820可以根据需要采用其他划分原则对用户优先级进行划分,其中,划分等级的数量和划分的原则均可以为多种形式。
在本发明的一个实施例中,网关还包括用户确认模块870,用于获取发送该接入请求的用户的MAC(Media Access Control,硬件地址)地址和IP(Internet Protocol,网络之间互连的协议)地址,并根据MAC地址和IP地址生成用户识别码。用户确认模块870将获得的MAC地址和IP地址分别转换为二进制字符串,然后将上述字符串串接在一起,从而形成一个二进制字符串,并将该串接后的二进制字符串作为用户识别码。用户确认模块870根据上述得到的用户识别码可以查询到该用户对应的优先级。
优先级计算模块820根据用户发送的接入请求中所请求的服务计算服务优先级s1。具体地,在网关上可以配置多个服务,即多个VIP(virturl IP,虚拟IP)。其中,不同的虚拟IP对应不同的服务优先级。优先级计算模块820可以根据服务的重要性和对用户的影响程度进行优先级的划分。例如,将具有以下三种情况中的一种或多种的服务器设置较好的优先级:核心服务、影响收入以及严重影响用户体验。在网关发生处理堵塞时,优先给上述服务的访问分配处理资源。
可以理解是,上述服务优先级的划分原则只是服务优先级划分的一种方式。优先级计算模块820可以根据需要采用其他划分原则对服务优先级进行划分,其中,划分等级的数量和划分的原则均可以为多种形式。
在本发明的一个实施例中,网关还包括调整模块850,用于根据用户或服务的重要性,可以调整用户优先级在优先级中的权重因子w。具体的,在网关的负荷高于负荷阈值时,为了向尽可能多的用户提供良好的用户体验,则调整模块850可以调高用户优先级u1对应的权重w,从而可以体现用户优先级u1的重要性。如果网关倾向于提供稳定的服务,则调整模块850可以适当降低用户优先级在优先级中的权重因子w,从而提高服务优先级在优先级中的权重因子(1-w),进而保证重点服务的资源占用,体现服务优先的思想。
在本发明的一个示例中,为了兼顾用户和服务的重要性,w可以为0.5。
排序模块830将计算到的优先级加入到优先级队列中,并根据优先级的先后进行排序。排序模块830需要对上述优先级队列进行维护。由发送模块840根据优先级队列,将多个接入请求按照优先级由高到低的顺序依次发送到后端服务器,从而,后端服务器可以按照优先级由高到低的顺序依次执行相应的接入请求。
在网关满负载时,所有的接入请求在到达网关后,排序模块830首先按照优先级的等级插入到优先级队列中。在优先级队列中,从队首到队尾,按照优先级由高到低的顺序进行排列。当由访问结束时,空缺出资源,从而高优先级的访问可以占用该资源,即排在优先级队列的队首的访问可以占用该资源。
用户访问某项服务,实际上是访问代理网关上配置的虚拟IP。不同的虚拟IP对应不同的服务优先级。在本发明的一个实施例中,网关还包括安全控制模块860,用于在在接入请求对应的优先级大于安全阈值时,降低或取消对接入请求的安全检查,并通过发送模块840将优先级大于安全阈值的接入请求转发至后端服务器。其中,全控制模块860可以执行的安全检查为安全控制或访问控制,安全检查可以包括同步代理Synproxy处理、等待数据waitdata处理和流量清洗处理中的一种或多种。例如,添加同步代理synproxy功能以防止syn攻击、添加等待数据waitdata功能以防止DDos攻击。
对于服务提供者来说,高优先级用户的接入访问是获取收益的主要来源,可以认为是受欢迎的访问。可以理解的是,高优先级用户的接入访问为受信任的访问。网关在接收到高优先级用户的访问请求后,除了可以向高优先级的用户提供高优先级的资源占用,也可以关闭一些安全防护措施。在本发明的一个实施例中,发送模块840可以直接将接入请求转发给后端服务器,而无需经过安全控制模块860做相关接入控制安全检查。
对于每个安全控制措施,安全控制模块860均配置有对应的安全阈值。首先安全控制模块860判断该接入请求对应的优先级P是否大于安全阈值,如果该接入请求对应的优先级P大于该安全控制的安全阈值,则降低或取消对该接入请求的安全检查,将该接入请求直接转发至后端服务器。
根据本发明实施例的网关通过综合考虑接入请求的用户和服务两项指标,计算该接入请求的优先级,根据该优先级动态调整和简化网关处理流程,从而降低网关资源消耗并加快网关处理速度。此外,在网关满负荷工作时,根据优先级处理资源抢占,从而保护了高优先级用户体验。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。
Claims (23)
1.一种网关接入控制方法,其特征在于,包括以下步骤:
网关接收多个用户发送的多个接入请求;
所述网关分别计算所述多个接入请求对应的优先级;
所述网关按照计算的优先级加入至优先级队列并排序;以及
所述网关按照排序的优先级顺序将所述多个接入请求依次地发送至后端服务器。
2.如权利要求1所述的网关接入控制方法,其特征在于,其中,所述优先级包括用户优先级和服务优先级。
3.如权利要求2所述的网关接入控制方法,其特征在于,还包括:
根据所述用户的历史访问记录计算所述用户优先级;以及
根据所述用户发送的接入请求中所请求的服务计算所述服务优先级。
4.如权利要求3所述的网关接入控制方法,其特征在于,还包括:
如果所述网关的负荷高于负荷阈值,则调高所述用户优先级对应的权重因子。
5.如权利要求3所述的网关接入控制方法,其特征在于,其中,所述网关之中配置有多个虚拟IP,不同的虚拟IP对应不同的服务优先级。
6.如权利要求1所述的网关接入控制方法,其特征在于,还包括:
判断所述接入请求对应的优先级是否大于安全阈值;
如果判断所述接入请求对应的优先级大于所述安全阈值,则降低或取消对所述接入请求的安全检查,将所述优先级大于所述安全阈值的接入请求转发至所述后端服务器。
7.如权利要求6所述的网关接入控制方法,其特征在于,所述安全检查包括同步代理Synproxy处理、等待数据waitdata处理和流量清洗处理中的一种或多种。
8.如权利要求1所述的网关接入控制方法,其特征在于,还包括:
所述网关获取所述接入请求的MAC地址和IP地址;
所述网关根据所述MAC地址和IP地址生成用户识别码;以及
所述网关根据所述用户识别码查询所述用户对应的用户优先级。
9.一种网关接入控制系统,其特征在于,包括:
多个客户端,所述多个客户端用于发送接入请求;以及
网关,所述网关通过有线或无线地方式与所述多个客户端相连,用于接收所述多个客户端发送的多个接入请求,分别计算所述多个接入请求对应的优先级,和按照计算的优先级加入至优先级队列并排序,以及按照排序的优先级顺序将所述多个接入请求依次地发送至后端服务器。
10.如权利要求9所述的网关接入控制系统,其特征在于,其中,所述优先级包括用户优先级和服务优先级。
11.如权利要求10所述的网关接入控制系统,其特征在于,其中,所述用户优先级根据所述用户的历史访问记录计算获得,所述服务优先级根据所述用户发送的接入请求中所请求的服务计算获得。
12.如权利要求10所述的网关接入控制系统,其特征在于,所述网关还用于在所述网关的负荷高于负荷阈值时,调高所述用户优先级对应的权重因子。
13.如权利要求10所述的网关接入控制系统,其特征在于,其中,所述网关之中配置有多个虚拟IP,不同的虚拟IP对应不同的服务优先级。
14.如权利要求9所述的网关接入控制系统,其特征在于,所述网关还用于在所述接入请求对应的优先级大于安全阈值时,降低或取消对所述接入请求的安全检查,并将所述优先级大于所述安全阈值的接入请求转发至所述后端服务器。
15.如权利要求14所述的网关接入控制系统,其特征在于,所述安全检查包括同步代理Synproxy处理、等待数据waitdata处理和流量清洗处理中的一种或多种。
16.一种网关,其特征在于,包括:
接收模块,用于接收多个用户发送的多个接入请求;
优先级计算模块,用于分别计算所述多个接入请求对应的优先级;
排序模块,用于按照计算的优先级加入至优先级队列并排序;以及
发送模块,用于按照排序的优先级顺序将所述多个接入请求依次地发送至后端服务器。
17.如权利要求16所述的网关,其特征在于,其中,所述优先级包括用户优先级和服务优先级。
18.如权利要求17所述的网关,其特征在于,其中,所述用户优先级根据所述用户的历史访问记录计算获得,所述服务优先级根据所述用户发送的接入请求中所请求的服务计算获得。
19.如权利要求17所述的网关,其特征在于,还包括:
调整模块,用于在所述网关的负荷高于负荷阈值时,调高所述用户优先级对应的权重因子。
20.如权利要求17所述的网关,其特征在于,其中,所述网关之中配置有多个虚拟IP,不同的虚拟IP对应不同的服务优先级。
21.如权利要求16所述的网关,其特征在于,还包括:
安全控制模块,用于在所述接入请求对应的优先级大于所述安全阈值时,降低或取消对所述接入请求的安全检查,并通过所述发送模块将所述优先级大于所述安全阈值的接入请求转发至所述后端服务器。
22.如权利要求21所述的网关,其特征在于,所述安全检查包括同步代理Synproxy处理、等待数据waitdata处理和流量清洗处理中的一种或多种。
23.如权利要求16所述的网关,其特征在于,还包括:
用户确认模块,用于获取所述接入请求的MAC地址和IP地址,并根据所述MAC地址和IP地址生成用户识别码,以根据所述用户识别码查询所述用户对应的用户优先级。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011103700007A CN102395212A (zh) | 2011-11-18 | 2011-11-18 | 网关接入控制方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011103700007A CN102395212A (zh) | 2011-11-18 | 2011-11-18 | 网关接入控制方法、系统及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102395212A true CN102395212A (zh) | 2012-03-28 |
Family
ID=45862390
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011103700007A Pending CN102395212A (zh) | 2011-11-18 | 2011-11-18 | 网关接入控制方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102395212A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102891851A (zh) * | 2012-09-25 | 2013-01-23 | 中国联合网络通信集团有限公司 | 虚拟桌面访问控制方法、设备及系统 |
| CN103650614A (zh) * | 2013-06-28 | 2014-03-19 | 华为技术有限公司 | 资源分配方法、装置及网络侧设备 |
| CN104159211A (zh) * | 2014-08-12 | 2014-11-19 | 杭州东方通信软件技术有限公司 | 基于hlr设备的数据控制方法和装置 |
| CN105119986A (zh) * | 2015-08-12 | 2015-12-02 | 国家电网公司 | 一种基于预连接的Web反向代理方法 |
| CN105429113A (zh) * | 2015-11-13 | 2016-03-23 | 三峡大学 | 一种确定广域保护通信系统中各元件保护优先级的方法 |
| CN105611526A (zh) * | 2015-12-28 | 2016-05-25 | 中国民航信息网络股份有限公司 | 机场无线网络分配方法及服务器、系统 |
| CN107819791A (zh) * | 2017-12-11 | 2018-03-20 | 迈普通信技术股份有限公司 | 访客接入网络的认证方法、认证服务器和系统 |
| CN109409043A (zh) * | 2018-09-03 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 应用系统的登录方法、终端设备及介质 |
| CN109542940A (zh) * | 2018-11-26 | 2019-03-29 | 三星电子(中国)研发中心 | 一种数据库连接分配方法和装置 |
| CN109840680A (zh) * | 2018-12-19 | 2019-06-04 | 平安国际融资租赁有限公司 | 业务请求处理方法、装置、计算机设备和存储介质 |
| CN110875908A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 一种防御分布式拒绝服务攻击的方法及设备 |
| CN111147591A (zh) * | 2019-12-28 | 2020-05-12 | 杭州拓深科技有限公司 | 一种物联网动态分配设备服务器优化方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1315788A (zh) * | 2000-03-23 | 2001-10-03 | 华为技术有限公司 | 码分多址通讯系统前向功率饱和保护方法及功率控制装置 |
| CN1527538A (zh) * | 2003-03-05 | 2004-09-08 | 北京全向科技有限公司 | 动态用户优先级管理的方法 |
| CN1691632A (zh) * | 2004-04-08 | 2005-11-02 | 捷讯研究有限公司 | 基于优先级的消息发送队列重新排序 |
| CN1713605A (zh) * | 2004-06-25 | 2005-12-28 | 朗迅科技公司 | 在无线网络中根据业务区别进行分布式调度 |
| US20070127381A1 (en) * | 2005-12-02 | 2007-06-07 | Oh Hyun W | Congestion control access gateway and congestion control method for the same |
| CN101567836A (zh) * | 2008-04-24 | 2009-10-28 | 华为技术有限公司 | 确定承载优先级的方法和系统 |
| CN101980505A (zh) * | 2010-10-22 | 2011-02-23 | 中山大学 | 一种基于3Tnet的视频点播的负载均衡方法 |
| CN102014052A (zh) * | 2010-11-05 | 2011-04-13 | 中国科学院声学研究所 | 一种虚拟动态优先级分组调度方法 |
-
2011
- 2011-11-18 CN CN2011103700007A patent/CN102395212A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1315788A (zh) * | 2000-03-23 | 2001-10-03 | 华为技术有限公司 | 码分多址通讯系统前向功率饱和保护方法及功率控制装置 |
| CN1527538A (zh) * | 2003-03-05 | 2004-09-08 | 北京全向科技有限公司 | 动态用户优先级管理的方法 |
| CN1691632A (zh) * | 2004-04-08 | 2005-11-02 | 捷讯研究有限公司 | 基于优先级的消息发送队列重新排序 |
| CN1713605A (zh) * | 2004-06-25 | 2005-12-28 | 朗迅科技公司 | 在无线网络中根据业务区别进行分布式调度 |
| US20070127381A1 (en) * | 2005-12-02 | 2007-06-07 | Oh Hyun W | Congestion control access gateway and congestion control method for the same |
| CN101567836A (zh) * | 2008-04-24 | 2009-10-28 | 华为技术有限公司 | 确定承载优先级的方法和系统 |
| CN101980505A (zh) * | 2010-10-22 | 2011-02-23 | 中山大学 | 一种基于3Tnet的视频点播的负载均衡方法 |
| CN102014052A (zh) * | 2010-11-05 | 2011-04-13 | 中国科学院声学研究所 | 一种虚拟动态优先级分组调度方法 |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102891851A (zh) * | 2012-09-25 | 2013-01-23 | 中国联合网络通信集团有限公司 | 虚拟桌面访问控制方法、设备及系统 |
| CN103650614A (zh) * | 2013-06-28 | 2014-03-19 | 华为技术有限公司 | 资源分配方法、装置及网络侧设备 |
| CN104159211A (zh) * | 2014-08-12 | 2014-11-19 | 杭州东方通信软件技术有限公司 | 基于hlr设备的数据控制方法和装置 |
| CN105119986B (zh) * | 2015-08-12 | 2018-04-03 | 国家电网公司 | 一种基于预连接的Web反向代理方法 |
| CN105119986A (zh) * | 2015-08-12 | 2015-12-02 | 国家电网公司 | 一种基于预连接的Web反向代理方法 |
| CN105429113A (zh) * | 2015-11-13 | 2016-03-23 | 三峡大学 | 一种确定广域保护通信系统中各元件保护优先级的方法 |
| CN105429113B (zh) * | 2015-11-13 | 2017-09-22 | 三峡大学 | 一种确定广域保护通信系统中各元件保护优先级的方法 |
| CN105611526A (zh) * | 2015-12-28 | 2016-05-25 | 中国民航信息网络股份有限公司 | 机场无线网络分配方法及服务器、系统 |
| CN107819791A (zh) * | 2017-12-11 | 2018-03-20 | 迈普通信技术股份有限公司 | 访客接入网络的认证方法、认证服务器和系统 |
| CN110875908A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 一种防御分布式拒绝服务攻击的方法及设备 |
| CN110875908B (zh) * | 2018-08-31 | 2022-12-13 | 阿里巴巴集团控股有限公司 | 一种防御分布式拒绝服务攻击的方法及设备 |
| CN109409043A (zh) * | 2018-09-03 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 应用系统的登录方法、终端设备及介质 |
| CN109409043B (zh) * | 2018-09-03 | 2024-05-17 | 中国平安人寿保险股份有限公司 | 应用系统的登录方法、终端设备及介质 |
| CN109542940A (zh) * | 2018-11-26 | 2019-03-29 | 三星电子(中国)研发中心 | 一种数据库连接分配方法和装置 |
| CN109542940B (zh) * | 2018-11-26 | 2021-07-30 | 三星电子(中国)研发中心 | 一种数据库连接分配方法和装置 |
| CN109840680A (zh) * | 2018-12-19 | 2019-06-04 | 平安国际融资租赁有限公司 | 业务请求处理方法、装置、计算机设备和存储介质 |
| CN111147591A (zh) * | 2019-12-28 | 2020-05-12 | 杭州拓深科技有限公司 | 一种物联网动态分配设备服务器优化方法 |
| CN111147591B (zh) * | 2019-12-28 | 2023-04-07 | 杭州拓深科技有限公司 | 一种物联网动态分配设备服务器优化方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102395212A (zh) | 网关接入控制方法、系统及装置 | |
| US11036529B2 (en) | Network policy implementation with multiple interfaces | |
| US8607304B2 (en) | System and method for policy-enabled mobile service gateway | |
| KR101412235B1 (ko) | Sip 세션을 설정하기 위한 요청을 스크리닝하기 위한 방법 및 장치 | |
| US8600767B2 (en) | Bid-based control of networks | |
| CN101803444B (zh) | 无线通信网络中的服务等级(gos)区分 | |
| WO2006047699A3 (en) | Method and apparatus for balancing wireless access based on centralized information | |
| CN108833181A (zh) | Ng-cn网络切片系统及网络切片选择方法 | |
| CN109120528A (zh) | 一种网络通信方法及相关设备 | |
| CN107493276B (zh) | 一种网络安全防护的方法及装置 | |
| CN110855424B (zh) | 一种DPI领域非对称流量xDR合成的方法和装置 | |
| CN109729011B (zh) | 流量转发方法、装置和计算机可读存储介质 | |
| WO2015181252A1 (en) | Method and apparatus for controlling access to a telecommunications network | |
| CN105591967B (zh) | 一种数据传输方法和装置 | |
| KR20150100926A (ko) | 트래픽 분배 방법, 장치 및 시스템 | |
| AU2015261758A1 (en) | Method for managing floor control on a communication channel in the context of half-duplex communications | |
| CN104079499A (zh) | 基于令牌桶的报文处理方法及装置 | |
| RU2576488C1 (ru) | СПОСОБ ПОСТРОЕНИЯ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ С ПОВЫШЕННЫМ УРОВНЕМ ЗАЩИТЫ ОТ DDоS-АТАК | |
| CN112532594B (zh) | 一种聚合组创建和报文转发的方法及装置 | |
| CN1294723C (zh) | 移动ip突发流量的缓解调节方法 | |
| CN109787911A (zh) | 负载分担的方法、控制面实体和转发器 | |
| US20180139231A1 (en) | Protecting iaps from ddos attacks | |
| CN112202589B (zh) | 网络业务管控方法及系统 | |
| CN101951571A (zh) | 短消息重试方法及短消息网关 | |
| US9900251B1 (en) | Bandwidth sentinel |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120328 |