CN105592066B - 资源访问控制方法及装置 - Google Patents
资源访问控制方法及装置 Download PDFInfo
- Publication number
- CN105592066B CN105592066B CN201510744408.4A CN201510744408A CN105592066B CN 105592066 B CN105592066 B CN 105592066B CN 201510744408 A CN201510744408 A CN 201510744408A CN 105592066 B CN105592066 B CN 105592066B
- Authority
- CN
- China
- Prior art keywords
- public
- terminal
- resource
- user
- table entry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000013507 mapping Methods 0.000 claims abstract description 44
- 238000012545 processing Methods 0.000 claims description 16
- 230000003068 static effect Effects 0.000 claims description 8
- 238000013475 authorization Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请提出资源访问控制方法及装置。方法包括:接入设备在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系;接入设备接收终端发来的资源访问请求,在硬件存储器中查找到该终端对应的终端公共表项,根据终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许该终端用户访问的公共资源;接入设备判断资源访问请求要访问的公共资源是否包含在所确定的允许该终端用户访问的公共资源中,若是,将资源访问请求转发出去;否则,丢弃资源访问请求。本申请只需使用较少的硬件存储资源,就可实现对主机的资源访问控制。
Description
技术领域
本申请涉及访问控制技术领域,尤其涉及资源访问控制方法及装置。
背景技术
图1为终端接入网络的典型应用示意图,其中,AAA(Authentication、Authorization and Accounting,认证、授权和计费)服务器为终端提供:认证、授权及计费服务。终端被AAA服务器认证授权后,相关授权信息由AAA服务器通过网管协议通知接入交换机或无线路由器,最终由接入交换机或无线路由器控制终端允许访问的公共资源。
在未被认证前,终端只能访问免费的服务器群组,认证后可访问收费服务器群组和因特网。根据用户付费情况不同,其允许访问的资源群组也不同。
接入交换机或无线路由器对终端访问资源的控制一般通过ACL(Access ControlList,访问控制列表)实现。每个终端的每个授权均需使用一条ACL表项,来控制终端是否允许访问某资源群组。每条ACL表项由条件和执行动作两部分组成,其中,条件一般为:匹配接入终端的SIP(Source Internet Protocol,源IP)地址,执行动作为:允许访问某一资源群组,该资源群组通常以其所在网段表示。
ACL一般存放在TCAM(Ternary Content Addressable Memory,三态内容寻址存储器)中。由于TCAM的价格比较昂贵,接入交换机或无线路由器的TCAM规格比较小,其上只能存储很少ACL表项,而当接入交换机或无线路由器下挂的终端的数量较多,或者每个终端允许访问的公共资源数目较多时,就会导致ACL表项的数目较多,从而导致TCAM的容量无法满足要求,也就是说,使用TCAM来存储ACL表项,无法满足大量的或精细化的主机访问控制需求。
发明内容
本申请实施例提供资源访问控制方法及装置。
本申请的技术方案是这样实现的:
一种资源访问控制方法,该方法包括:
接入设备在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系;
接入设备接收终端发来的资源访问请求,在硬件存储器中查找到所述终端对应的终端公共表项,根据所述终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源;
接入设备判断所述资源访问请求要访问的公共资源是否包含在所确定的允许终端用户访问的公共资源中,若是,将所述资源访问请求转发出去;否则,丢弃所述资源访问请求。
一种资源访问控制装置,位于接入设备上,该装置包括:
存储处理模块:在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系;
访问控制模块:接收终端发来的资源访问请求,在硬件存储器中查找到所述终端对应的终端公共表项,根据所述终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源;判断所述资源访问请求要访问的公共资源是否包含在所确定的允许终端用户访问的公共资源中,若是,将所述资源访问请求转发出去;否则,丢弃所述资源访问请求。
可见,本申请实施例中,只需使用很少的硬件存储资源,即可实现对主机访问资源的控制。
附图说明
图1为终端接入网络的典型应用示意图;
图2为本申请一实施例提供的资源访问控制方法流程图;
图3为本申请另一实施例提供的资源访问控制方法流程图;
图4为本申请又一实施例提供的资源访问控制方法流程图;
图5为本申请又一实施例提供的资源访问控制方法流程图;
图6为本申请又一实施例提供的资源访问控制方法流程图;
图7为本申请实施例提供的资源访问控制装置的组成示意图。
具体实施方式
以下结合具体实施例对本申请进行进一步详细说明。
图2为本申请一实施例提供的资源访问控制方法流程图,其具体步骤如下:
步骤201:接入设备在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系。
步骤202:接入设备接收终端发来的资源访问请求,在硬件存储器中查找到终端对应的终端公共表项,根据终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源。
步骤203:接入设备判断资源访问请求要访问的公共资源是否包含在所确定的允许终端用户访问的公共资源中,若是,执行步骤204;否则,执行步骤205。
步骤204:接入设备将资源访问请求转发出去,本流程结束。
步骤205:接入设备丢弃资源访问请求。
图3为本申请另一实施例提供的资源访问控制方法流程图,其具体步骤如下:
步骤301:预先在第一服务器上配置用户特征值与用户类别标识(User-Class-ID)的对应关系,预先在接入设备的硬件存储器中配置各用户类别标识(User-Class-ID)与允许该类用户访问的公共资源网络地址的对应关系。
用户特征值如:用户名,或者用户终端的IP地址、MAC(Media Access Control,介质访问控制)地址、VLAN(Virtual Local Area Network,虚拟局域网)标识、端口标识之一或任意组合;用户类别标识如:用户的优先级、星级等,在实际应用中,用户的优先级或者星级不同,其被允许访问的公共资源也不同。
公共资源网络地址为:公共资源的具体地址,或者公共资源群组的网段等。
由于硬件存储器的限制,对于硬件存储器中的每一条用户类别标识与允许该类用户访问的公共资源网络地址的对应关系,其中只能包含公共资源的一个地址或者一个网段,若某类用户被允许访问多个公共资源,且该多个公共资源的地址不连续,或者分布在多个网段上,则需要针对公共资源的每个地址、每个网段,在硬件存储器中分别存储一条该用户类别标识与允许该类用户访问的公共资源的地址或者网段的对应关系。
第一服务器可以是AAA服务器。
接入设备可以是接入交换机,也可以是接入路由器。
步骤302:在接入设备上预先配置默认的User Class-ID。
默认的User Class-ID通常用于表示未通过认证的用户的类别。
步骤303:接入设备的CPU生成一公共表项,若确认该公共表项是针对终端的,则:若该终端还未通过认证,则将默认的用户类别标识(User-Class-ID)添加到该终端公共表项中,若该终端已通过认证,则根据该终端的用户特征值向第一服务器查询对应的User-Class-ID,将查询到的User-Class-ID添加到该终端公共表项中,然后将添加了User-Class-ID的该终端公共表项存储到硬件存储器中。
公共表项如:MAC表项、VLAN表项、FIB(Forwarding Information Base,转发信息库)表项、ARP(Address Resolution Protocol,地址解析协议)表项等。若公共表项中的标识信息如:IP地址、MAC地址、VLAN标识、端口标识是针对终端的,则认为该公共表项是针对终端的。
另外,当接入设备接收到AAA服务器发来的指示一终端通过认证的消息后,要在硬件存储器中查找该终端对应的终端公共表项,若查找到,则根据该终端的用户特征值向第一服务器查询对应的User-Class-ID,以查找到的该User-Class-ID更新查找到的终端公共表项中的默认User-Class-ID。
步骤304:接入设备接收终端发来的资源访问请求,根据该请求中的终端标识,在硬件存储器中查找到对应的终端公共表项。
步骤305:接入设备根据查找到的终端公共表项中的User-Class-ID,在硬件存储器中配置的各用户类别标识(User-Class-ID)与允许该类用户访问的公共资源网络地址的对应关系中,查找到允许该类用户访问的公共资源网络地址。
步骤306:接入设备判断该资源访问请求要访问的公共资源的网络地址是否包含在查找到的允许该类用户访问的公共资源网络地址中,若是,执行步骤307;否则,执行步骤308。
步骤307:接入设备根据该资源访问请求的目的地址,在硬件存储器中查找到对应的转发表项,根据该转发表项将该资源访问请求转发出去,本流程结束。
步骤308:接入设备丢弃该资源访问请求。
图4为本申请又一实施例提供的资源访问控制方法流程图,其具体步骤如下:
步骤401:预先在第一服务器上配置用户特征值与用户类别标识(User-Class-ID)的对应关系,预先在第一服务器上配置公共资源特征值与公共资源类别标识(Resource-Class-ID)的对应关系;预先在接入设备的硬件存储器中配置用户类别标识(User-Class-ID)与允许该类用户访问的公共资源的类别标识(Resource-Class-ID)的对应关系。
用户特征值如:用户名,或者用户终端的IP地址、MAC地址、VLAN标识、端口标识之一或任意组合;用户类别标识如:用户的优先级、星级等,在实际应用中,用户的优先级或者星级不同,其被允许访问的公共资源也不同。
公共资源特征值如:公共资源的IP地址、MAC地址、VLAN标识、端口标识之一或任意组合;在对公共资源进行分类时,其基本原则是:将允许一类用户访问的最小公共资源集合划分为一类,例如:可将同一网段的公共资源划分为一类,或者将同一VLAN的公共资源划分为一类,或者将挂接在同一端口下的公共资源划分为一类。
一个User-Class-ID可以对应多个Resource-Class-ID,即一类用户允许访问多类公共资源。
由于硬件存储器的限制,对于硬件存储器中的每一条User-Class-ID与Resource-Class-ID的对应关系,其中只能包含一个User-Class-ID和一个Resource-Class-ID,若某类用户被允许访问多类公共资源,则需要针对允许访问的每类公共资源,分别在硬件存储器中存储一条User-Class-ID与Resource-Class-ID的对应关系。
第一服务器可以是AAA服务器。
接入设备可以是接入交换机,也可以是接入路由器。
步骤402:在接入设备上预先配置默认的User Class-ID。
默认的User Class-ID通常用于表示未通过认证的用户的类别。
步骤403:接入设备的CPU生成一公共表项,判断该公共表项是针对终端还是公共资源,若针对终端,执行步骤404;若针对公共资源,执行步骤405。
公共表项如:MAC表项、VLAN表项、FIB表项、ARP表项等。若公共表项中的标识信息如:IP地址、MAC地址、VLAN标识、端口标识是针对公共资源的,则认为该公共表项是针对公共资源的。
步骤404:接入设备若发现该终端还未通过认证,则将默认的用户类别标识(User-Class-ID)添加到该公共表项中,若该终端已通过认证,则根据该终端的用户特征值向第一服务器查询对应的User-Class-ID,将查询到的User-Class-ID添加到该公共表项中,然后将添加了User-Class-ID的该公共表项存储到硬件存储器中,转至步骤406。
另外,当接入设备接收到AAA服务器发来的指示一终端通过认证的消息后,要在硬件存储器中查找该终端对应的终端公共表项,若查找到,则根据该终端的用户特征值向第一服务器查询对应的User-Class-ID,以查找到的该User-Class-ID更新查找到的终端公共表项中的默认User-Class-ID。
步骤405:接入设备根据该公共表项中的公共资源特征值,向第一服务器查询对应的公共资源类别标识(Resource-Class-ID),将该Resource-Class-ID添加到该公共表项中,将该公共表项存储到硬件存储器中,转至步骤406。
步骤406:接入设备接收终端发来的资源访问请求,根据该请求中的终端标识,在硬件存储器中查找到对应的公共表项,设为第一公共表项,从第一公共表项中读取User-Class-ID。
步骤407:接入设备根据该资源访问请求中的公共资源标识,在硬件存储器中查找到对应的公共表项,设为第二公共表项,从第二公共表项中读取Resource-Class-ID。
步骤408:接入设备在硬件存储器中查找读取的User-Class-ID与读取的Resource-Class-ID的对应关系,判断是否查找到,若是,执行步骤409;否则,执行步骤410。
步骤409:接入设备根据硬件存储器中该资源访问请求对应的转发表项,将该资源访问请求转发出去,本流程结束。
步骤410:接入设备丢弃该资源访问请求。
图5为本申请又一实施例提供的资源访问控制方法流程图,其具体步骤如下:
步骤501:预先在接入设备的硬件存储器中配置终端公共表项属性到允许终端用户访问的公共资源的映射关系。
终端公共表项即,公共表项中的标识信息如:IP地址、MAC地址、VLAN标识、端口标识等是针对终端的。
终端公共表项属性分为如下几种:
一)终端公共表项的存储形式
对于有些接入设备,通过认证的用户终端的公共表项放在硬件存储器中的主机路由表中,未通过认证的用户终端的公共表项放在硬件存储器中的LPM(Longest PrefixMatching,最长前缀匹配)表中,则在这些接入设备的硬件存储器中配置:当命中主机路由表项时,允许终端用户访问所有的公共资源(包括免费的公共资源和付费的公共资源),当命中LPM表项时,只允许终端用户访问免费公共资源。
二)终端公共表项是否命中
对于有些接入设备,当终端未通过认证时,CPU不会将自身生成的该终端的公共表项存储到硬件存储器中,只有当终端通过认证时,CPU才会将自身生成的该终端的公共表项存储到硬件存储器中;根据该特点,在这些接入设备的硬件存储器中配置:当命中硬件存储器中的终端公共表项时,允许终端用户访问所有公共资源(包括免费的公共资源和付费的公共资源),当未命中硬件存储器中的终端公共表项时,只允许终端用户访问免费公共资源。
三)终端公共表项为静态还是动态
对于有些接入设备,当终端未通过认证时,CPU向硬件存储器存储的该终端的公共表项是动态公共表项,当终端通过认证时,CPU向硬件存储器存储的该终端的公共表项是静态公共表项;根据该特点,在这些接入设备上配置:当命中硬件存储器中的静态终端公共表项时,允许终端用户访问所有公共资源(包括免费的公共资源和付费的公共资源),当命中硬件存储器中的动态终端公共表项时,只允许终端用户访问免费公共资源。
步骤502:接入设备接收终端发来的资源访问请求,根据该请求中的终端标识在硬件存储器中查找对应的公共表项,根据该公共表项的属性,在硬件存储器中配置的终端公共表项属性到终端用户允许访问的公共资源的映射关系中,确定对应的终端用户允许访问的公共资源。
例如:当公共表项属性为步骤501提到的:一)终端公共表项的存储形式时,若接入设备在硬件存储器中查找到的公共表项为主机路由表项,则确定允许终端用户访问所有公共资源;若为LPM表项,则确定只允许终端用户访问免费公共资源
当公共表项属性为步骤501提到的:二)终端公共表项是否命中时,若接入设备在硬件存储器中查找到对应的公共表项,则确定允许终端用户访问所有公共资源,否则,确定只允许终端用户访问免费公共资源;
当公共表项属性为步骤501提到的:三)终端公共表项为静态还是动态时,若接入设备在硬件存储器中查找到静态公共表项,则确定终端用户允许访问所有公共资源,否则,确定终端用户只允许访问免费公共资源。
步骤503:接入设备判断该资源访问请求要访问的公共资源的网络地址是否包含在确定的允许该终端用户访问的公共资源中,若是,执行步骤504;否则,执行步骤505。
步骤504:接入设备根据该资源访问请求的目的地址,在硬件存储器中查找到对应的转发表项,根据该转发表项将该资源访问请求转发出去,本流程结束。
步骤505:接入设备丢弃该资源访问请求。
图6为本申请又一实施例提供的资源访问控制方法流程图,其具体步骤如下:
步骤601:预先在第一服务器上配置用户特征值与用户类别标识(User-Class-ID)的对应关系;预先在接入设备的硬件存储器中为各类用户的终端公共表项分配存储区域,在软件中记录用户类别标识(User-Class-ID)与公共表项的存储区域标识的对应关系;预先根据用户类别标识(User-Class-ID)与允许该类用户访问的公共资源网络地址的对应关系,以及为各类用户的终端公共表项分配的存储区域,在硬件存储器中记录终端公共表项的各存储区域与该存储区域对应的一类用户被允许访问的公共资源网络地址的对应关系。
步骤602:当接入设备将终端公共表项存储至硬件存储器时,根据该终端的用户特征值,向第一服务器查询对应的用户类别标识(User-Class-ID)。
步骤603:接入设备在软件中记录的用户类别标识(User-Class-ID)与公共表项的存储区域标识的对应关系中,查找该User-Class-ID对应的公共表项的存储区域标识,将该公共表项存储到硬件存储器的该存储区域中。
步骤604:接入设备接收终端发来的资源访问请求,根据该请求中的终端标识在硬件存储器中查找对应的公共表项,根据该公共表项的存储区域,在硬件存储器中记录的终端公共表项的各存储区域与该存储区域对应的一类用户被允许访问的公共资源网络地址的对应关系中,查找到对应类用户被允许访问的公共资源网络地址。
步骤605:接入设备判断该资源访问请求要访问的公共资源的网络地址是否包含在查找到的对应类用户被允许访问的公共资源网络地址中,若是,执行步骤606;否则,执行步骤607。
步骤606:接入设备根据该资源访问请求的目的地址,在硬件存储器中查找到对应的转发表项,根据该转发表项将该资源访问请求转发出去,本流程结束。
步骤607:接入设备丢弃该资源访问请求。
本申请实施例中的硬件存储器可为TCAM。
本申请实施例的有益技术效果如下:本申请实施例中,只需占用很少的硬件存储资源来存储:终端公共表项的属性到终端用户允许访问的公共资源的映射关系,就可实现对主机的资源访问控制。
图7为本申请实施例提供的资源访问控制装置的组成示意图,该装置位于接入设备上,该装置主要包括:存储处理模块和访问控制模块,其中:
存储处理模块:在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系。
访问控制模块:接收终端发来的资源访问请求,在硬件存储器中查找到终端对应的终端公共表项,根据终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源;判断资源访问请求要访问的公共资源是否包含在所确定的允许终端用户访问的公共资源中,若是,将资源访问请求转发出去;否则,丢弃资源访问请求。
一种实施例中,存储处理模块具体用于,在硬件存储器中记录各用户类别与允许该类用户访问的公共资源之间的关联关系,以及记录终端公共表项到用户类别的映射关系;
访问控制模块根据终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源包括:
根据终端公共表项到用户类别的映射关系,确定查找到的终端公共表项对应的用户类别,根据各用户类别与允许该类用户访问的公共资源之间的关联关系,确定允许所确定的用户类别访问的公共资源。
一种实施例中,存储处理模块在硬件存储器中记录终端公共表项到用户类别的映射关系包括:
当要将公共表项存储至硬件存储器时,若发现该公共表项为终端公共表项,则判断该终端是否通过认证,若通过,根据该终端的用户特征值向第一服务器查询对应的用户类别,将查询到的用户类别标识添加到该终端公共表项中,若未通过,将默认用户类别标识添加到该终端公共表项中,将添加了用户类别标识的该终端公共表项存储到硬件存储器中;且,当发现一终端通过认证时,向第一服务器查询该终端对应的用户类别,并在硬件存储器中查找该终端对应的终端公共表项,以查询到的用户类别标识替换查找到的终端公共表项中的默认用户类别标识;其中,第一服务器中保存了用户特征值与用户类别标识之间的对应关系;
访问控制模块根据终端公共表项到用户类别的映射关系,确定查找到的终端公共表项对应的用户类别包括:从查找到的终端公共表项中读取用户类别标识。
一种实施例中,存储处理模块在硬件存储器中记录各用户类别与允许该类用户访问的公共资源之间的关联关系包括:
在硬件存储器中记录用户类别与公共资源类别之间的关联关系;
存储处理模块要将公共表项存储至硬件存储器时进一步包括:
发现该公共表项为资源公共表项,则根据该资源公共表项中的公共资源特征值向第一服务器查询对应的公共资源类别标识,将该公共资源类别标识添加到该资源公共表项中,将该资源公共表项存储到硬件存储器中;其中,第一服务器保存了公共资源特征值与公共资源类别标识的对应关系;
访问控制模块根据各用户类别与允许该类用户访问的公共资源之间的关联关系,确定允许所确定的用户类别访问的公共资源包括:
根据资源访问请求中的公共资源标识,在硬件存储器中查找对应的资源公共表项,从资源公共表项中读取公共资源类别标识;
访问控制模块判断资源访问请求要访问的公共资源是否包含在允许所确定的用户类别访问的公共资源中包括:
根据确定的用户类别,在硬件存储器中记录的用户类别与公共资源类别之间的关联关系中,查找到对应的资源类别,判断查找到的资源类别与所读取的资源类别标识是否匹配,若匹配,则确定资源访问请求要访问的公共资源包含在允许所确定的用户类别访问的公共资源中。
一种实施例中,存储处理模块具体用于,
在硬件存储器中记录:当命中硬件存储器中的主机路由表项时,允许终端用户访问所有公共资源,当命中硬件存储器中的最长前缀匹配LPM表项时,只允许终端用户访问免费公共资源;或者,
当命中硬件存储器中的终端公共表项时,允许终端用户访问所有公共资源,当未命中硬件存储器中的终端公共表项时,只允许终端用户访问免费公共资源;或者,
当命中硬件存储器中的静态终端公共表项时,允许终端用户访问所有公共资源,当命中硬件存储器中的动态终端公共表项时,只允许终端用户访问免费公共资源。
一种实施例中,存储处理模块具体用于,
在硬件存储器中记录终端公共表项的存储区域到允许终端用户访问的公共资源的映射关系;且,
访问控制模块接收终端发来的资源访问请求之前进一步包括:
当要将终端公共表项存储至硬件存储器时,根据该终端用户的用户类别,在预先设定的用户类别与终端公共表项的存储区域之间的关联关系中,查找到该终端公共表项的存储区域,将该终端公共表项存储到硬件存储器的该存储区域中;
且,访问控制模块根据终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源包括:
根据查找到终端公共表项的存储区域,在硬件存储器中记录的终端公共表项的存储区域到允许终端用户访问的公共资源的映射关系中,查找到允许终端用户访问的公共资源。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (15)
1.一种资源访问控制方法,其特征在于,该方法包括:
接入设备在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系;
接入设备接收终端发来的资源访问请求,在硬件存储器中查找到所述终端对应的终端公共表项,根据所述终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源;
接入设备判断所述资源访问请求要访问的公共资源是否包含在所确定的允许终端用户访问的公共资源中,若是,将所述资源访问请求转发出去;否则,丢弃所述资源访问请求。
2.根据权利要求1所述的方法,其特征在于,所述接入设备在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系包括:
接入设备在硬件存储器中记录各用户类别与允许该类用户访问的公共资源之间的关联关系,以及记录终端公共表项到用户类别的映射关系;
所述根据所述终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源包括:
根据所述终端公共表项到用户类别的映射关系,确定查找到的终端公共表项对应的用户类别,根据所述各用户类别与允许该类用户访问的公共资源之间的关联关系,确定允许所确定的用户类别访问的公共资源。
3.根据权利要求2所述的方法,其特征在于,
所述接入设备在硬件存储器中记录终端公共表项到用户类别的映射关系包括:
当接入设备要将公共表项存储至硬件存储器时,若发现该公共表项为终端公共表项,则判断该终端是否通过认证,若通过,根据该终端的用户特征值向第一服务器查询对应的用户类别,将查询到的用户类别标识添加到该终端公共表项中,若未通过,将默认用户类别标识添加到该终端公共表项中,将添加了用户类别标识的该终端公共表项存储到硬件存储器中;且,当接入设备发现一终端通过认证时,向第一服务器查询该终端对应的用户类别,并在硬件存储器中查找该终端对应的终端公共表项,以查询到的用户类别标识替换查找到的终端公共表项中的默认用户类别标识;其中,第一服务器中保存了用户特征值与用户类别标识之间的对应关系;
所述接入设备根据所述终端公共表项到用户类别的映射关系,确定查找到的终端公共表项对应的用户类别包括:
接入设备从查找到的所述终端公共表项中读取用户类别标识。
4.根据权利要求3所述的方法,其特征在于,
所述接入设备在硬件存储器中记录各用户类别与允许该类用户访问的公共资源之间的关联关系包括:
接入设备在硬件存储器中记录用户类别与公共资源类别之间的关联关系;
所述当接入设备要将公共表项存储至硬件存储器时进一步包括:
接入设备发现该公共表项为资源公共表项,则根据该资源公共表项中的公共资源特征值向第一服务器查询对应的公共资源类别标识,将该公共资源类别标识添加到该资源公共表项中,将该资源公共表项存储到硬件存储器中;其中,第一服务器保存了公共资源特征值与公共资源类别标识的对应关系;
所述接入设备根据所述各用户类别与允许该类用户访问的公共资源之间的关联关系,确定允许所确定的用户类别访问的公共资源包括:
接入设备根据所述资源访问请求中的公共资源标识,在硬件存储器中查找对应的资源公共表项,从所述资源公共表项中读取公共资源类别标识;
所述接入设备判断所述资源访问请求要访问的公共资源是否包含在所述允许所确定的用户类别访问的公共资源中包括:
接入设备根据确定的所述用户类别,在硬件存储器中记录的用户类别与公共资源类别之间的关联关系中,查找到对应的资源类别,判断查找到的资源类别与所读取的资源类别标识是否匹配,若匹配,则确定所述资源访问请求要访问的公共资源包含在所述允许所确定的用户类别访问的公共资源中。
5.根据权利要求3所述的方法,其特征在于,所述用户特征值为:用户名,或者为用户终端的IP地址、MAC地址、VLAN标识、端口标识之一或任意组合;
所述用户类别为:用户的优先级,或者为用户的星级。
6.根据权利要求4所述的方法,其特征在于,所述公共资源特征值为:公共资源的IP地址、MAC地址、VLAN标识、端口标识之一或任意组合。
7.根据权利要求1所述的方法,其特征在于,
所述接入设备在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系包括:
接入设备在硬件存储器中记录:当命中硬件存储器中的主机路由表项时,允许终端用户访问所有公共资源,当命中硬件存储器中的最长前缀匹配LPM表项时,只允许终端用户访问免费公共资源;或者,
当命中硬件存储器中的终端公共表项时,允许终端用户访问所有公共资源,当未命中硬件存储器中的终端公共表项时,只允许终端用户访问免费公共资源;或者,
当命中硬件存储器中的静态终端公共表项时,允许终端用户访问所有公共资源,当命中硬件存储器中的动态终端公共表项时,只允许终端用户访问免费公共资源。
8.根据权利要求1所述的方法,其特征在于,所述接入设备在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系包括:
接入设备在硬件存储器中记录终端公共表项的存储区域到允许终端用户访问的公共资源的映射关系;且,
所述接入设备接收终端发来的资源访问请求之前进一步包括:
当接入设备要将终端公共表项存储至硬件存储器时,根据该终端用户的用户类别,在预先设定的用户类别与终端公共表项的存储区域之间的关联关系中,查找到该终端公共表项的存储区域,将该终端公共表项存储到硬件存储器的该存储区域中;
且,所述接入设备根据所述终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源包括:
接入设备根据查找到所述终端公共表项的存储区域,在硬件存储器中记录的终端公共表项的存储区域到允许终端用户访问的公共资源的映射关系中,查找到允许终端用户访问的公共资源。
9.根据权利要求1至8任一所述的方法,其特征在于,所述终端公共表项为介质访问控制MAC表项,或者虚拟局域网VLAN表项,或者转发信息库FIB表项,或者地址解析协议ARP表项。
10.一种资源访问控制装置,位于接入设备上,其特征在于,该装置包括:
存储处理模块:在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系;
访问控制模块:接收终端发来的资源访问请求,在硬件存储器中查找到所述终端对应的终端公共表项,根据所述终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源;判断所述资源访问请求要访问的公共资源是否包含在所确定的允许终端用户访问的公共资源中,若是,将所述资源访问请求转发出去;否则,丢弃所述资源访问请求。
11.根据权利要求10所述的装置,其特征在于,所述存储处理模块具体用于,在硬件存储器中记录各用户类别与允许该类用户访问的公共资源之间的关联关系,以及记录终端公共表项到用户类别的映射关系;
所述访问控制模块根据所述终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源包括:
根据所述终端公共表项到用户类别的映射关系,确定查找到的终端公共表项对应的用户类别,根据所述各用户类别与允许该类用户访问的公共资源之间的关联关系,确定允许所确定的用户类别访问的公共资源。
12.根据权利要求11所述的装置,其特征在于,
所述存储处理模块在硬件存储器中记录终端公共表项到用户类别的映射关系包括:
当要将公共表项存储至硬件存储器时,若发现该公共表项为终端公共表项,则判断该终端是否通过认证,若通过,根据该终端的用户特征值向第一服务器查询对应的用户类别,将查询到的用户类别标识添加到该终端公共表项中,若未通过,将默认用户类别标识添加到该终端公共表项中,将添加了用户类别标识的该终端公共表项存储到硬件存储器中;且,当发现一终端通过认证时,向第一服务器查询该终端对应的用户类别,并在硬件存储器中查找该终端对应的终端公共表项,以查询到的用户类别标识替换查找到的终端公共表项中的默认用户类别标识;其中,第一服务器中保存了用户特征值与用户类别标识之间的对应关系;
所述访问控制模块根据所述终端公共表项到用户类别的映射关系,确定查找到的终端公共表项对应的用户类别包括:
从查找到的所述终端公共表项中读取用户类别标识。
13.根据权利要求12所述的装置,其特征在于,
所述存储处理模块在硬件存储器中记录各用户类别与允许该类用户访问的公共资源之间的关联关系包括:
在硬件存储器中记录用户类别与公共资源类别之间的关联关系;
所述存储处理模块要将公共表项存储至硬件存储器时进一步包括:
发现该公共表项为资源公共表项,则根据该资源公共表项中的公共资源特征值向第一服务器查询对应的公共资源类别标识,将该公共资源类别标识添加到该资源公共表项中,将该资源公共表项存储到硬件存储器中;其中,第一服务器保存了公共资源特征值与公共资源类别标识的对应关系;
所述访问控制模块根据所述各用户类别与允许该类用户访问的公共资源之间的关联关系,确定允许所确定的用户类别访问的公共资源包括:
根据所述资源访问请求中的公共资源标识,在硬件存储器中查找对应的资源公共表项,从所述资源公共表项中读取公共资源类别标识;
所述访问控制模块判断所述资源访问请求要访问的公共资源是否包含在所述允许所确定的用户类别访问的公共资源中包括:
根据确定的所述用户类别,在硬件存储器中记录的用户类别与公共资源类别之间的关联关系中,查找到对应的资源类别,判断查找到的资源类别与所读取的资源类别标识是否匹配,若匹配,则确定所述资源访问请求要访问的公共资源包含在所述允许所确定的用户类别访问的公共资源中。
14.根据权利要求10所述的装置,其特征在于,所述存储处理模块具体用于,
在硬件存储器中记录:当命中硬件存储器中的主机路由表项时,允许终端用户访问所有公共资源,当命中硬件存储器中的最长前缀匹配LPM表项时,只允许终端用户访问免费公共资源;或者,
当命中硬件存储器中的终端公共表项时,允许终端用户访问所有公共资源,当未命中硬件存储器中的终端公共表项时,只允许终端用户访问免费公共资源;或者,
当命中硬件存储器中的静态终端公共表项时,允许终端用户访问所有公共资源,当命中硬件存储器中的动态终端公共表项时,只允许终端用户访问免费公共资源。
15.根据权利要求10所述的装置,其特征在于,所述存储处理模块具体用于,
在硬件存储器中记录终端公共表项的存储区域到允许终端用户访问的公共资源的映射关系;且,
所述访问控制模块接收终端发来的资源访问请求之前进一步包括:
当要将终端公共表项存储至硬件存储器时,根据该终端用户的用户类别,在预先设定的用户类别与终端公共表项的存储区域之间的关联关系中,查找到该终端公共表项的存储区域,将该终端公共表项存储到硬件存储器的该存储区域中;
且,所述访问控制模块根据所述终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源包括:
根据查找到所述终端公共表项的存储区域,在硬件存储器中记录的终端公共表项的存储区域到允许终端用户访问的公共资源的映射关系中,查找到允许终端用户访问的公共资源。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510744408.4A CN105592066B (zh) | 2015-11-05 | 2015-11-05 | 资源访问控制方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510744408.4A CN105592066B (zh) | 2015-11-05 | 2015-11-05 | 资源访问控制方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105592066A CN105592066A (zh) | 2016-05-18 |
CN105592066B true CN105592066B (zh) | 2019-01-08 |
Family
ID=55931283
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510744408.4A Active CN105592066B (zh) | 2015-11-05 | 2015-11-05 | 资源访问控制方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105592066B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106131074B (zh) * | 2016-08-29 | 2020-04-07 | 北京像素软件科技股份有限公司 | 一种局域网络资源的访问方法和系统 |
CN108038072B (zh) * | 2017-12-28 | 2021-11-09 | 深圳Tcl数字技术有限公司 | 串口设备的接入方法、终端设备及计算机可读存储介质 |
CN112583779B (zh) * | 2019-09-30 | 2023-04-18 | 北京国双科技有限公司 | 网络资源访问方法及装置 |
CN111953663B (zh) * | 2020-07-27 | 2022-10-21 | 新华三技术有限公司 | 一种控制用户进行认证的方法及设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101165668A (zh) * | 2006-10-18 | 2008-04-23 | 松下电器产业株式会社 | 存储介质控制装置及其控制方法 |
CN103404093A (zh) * | 2011-02-21 | 2013-11-20 | 日本电气株式会社 | 通信系统、数据库、控制装置、通信方法以及程序 |
CN104769604A (zh) * | 2012-10-19 | 2015-07-08 | 迈克菲公司 | 实时模块保护 |
-
2015
- 2015-11-05 CN CN201510744408.4A patent/CN105592066B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101165668A (zh) * | 2006-10-18 | 2008-04-23 | 松下电器产业株式会社 | 存储介质控制装置及其控制方法 |
CN103404093A (zh) * | 2011-02-21 | 2013-11-20 | 日本电气株式会社 | 通信系统、数据库、控制装置、通信方法以及程序 |
CN104769604A (zh) * | 2012-10-19 | 2015-07-08 | 迈克菲公司 | 实时模块保护 |
Also Published As
Publication number | Publication date |
---|---|
CN105592066A (zh) | 2016-05-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5779259B2 (ja) | 構成可能なダイアメータアドレス解決のための方法、システムおよびコンピュータ読取可能媒体 | |
CN105592066B (zh) | 资源访问控制方法及装置 | |
US8984112B2 (en) | Internet address information processing method, apparatus, and internet system | |
US10693863B2 (en) | Methods and systems for single sign-on while protecting user privacy | |
US20040028046A1 (en) | Logarithmic time range-based multifield-correlation packet classification | |
US9973590B2 (en) | User identity differentiated DNS resolution | |
CN110505621B (zh) | 一种终端迁移的处理方法及装置 | |
CN107580079B (zh) | 一种报文传输方法和装置 | |
EP2928141A1 (en) | Ipv6 address tracing method, device, and system | |
CN108667946B (zh) | 一种多域名互备解析管理方法、装置及系统 | |
WO2021135492A1 (zh) | 路由表项的处理方法及装置 | |
CN108234422B (zh) | 资源调度方法及装置 | |
CN109769249B (zh) | 一种认证方法、系统及其装置 | |
WO2014101240A1 (zh) | 数据存储方法和装置、数据操作方法、系统及接入服务器 | |
EP3016423A1 (en) | Network safety monitoring method and system | |
CN107147581B (zh) | 路由表项的维护方法和装置 | |
CN106878052A (zh) | 一种用户迁移方法和装置 | |
CN111628939B (zh) | 一种流分类处理方法和装置 | |
CN104468862B (zh) | 一种ip地址绑定的方法、装置及系统 | |
CN106060006A (zh) | 一种访问方法及装置 | |
CN108965093B (zh) | 一种vlan分配方法及装置 | |
CN108718277B (zh) | 基于路由表的报文转发方法与路由表维护方法及相关装置 | |
CN111654452B (zh) | 一种报文处理的方法及装置 | |
CN112422437A (zh) | 报文转发控制方法、装置和电子设备 | |
CN107547324B (zh) | 一种mac地址下发方法、装置、设备及机器可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |