CN1437361A - 基于网络地址的网络访问控制的方法 - Google Patents
基于网络地址的网络访问控制的方法 Download PDFInfo
- Publication number
- CN1437361A CN1437361A CN 02103928 CN02103928A CN1437361A CN 1437361 A CN1437361 A CN 1437361A CN 02103928 CN02103928 CN 02103928 CN 02103928 A CN02103928 A CN 02103928A CN 1437361 A CN1437361 A CN 1437361A
- Authority
- CN
- China
- Prior art keywords
- network
- network segment
- address
- access
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于网络地址的网络访问控制方法。所述的方法包括:首先,设置多个网段和多个访问组,在每个访问组中定义各个网段的可访问性;然后,将每个用户与一个访问组绑定;这样用户访问网络时,首先确定用户访问网络的目的地址所处于的包含网络地址范围最小的网段;然后查看该用户所绑定的访问组中记录该最小网段是否为可访问网段,如果是可访问网段,允许用户访问该目的地址,否则,禁止用户访问该目的地址。本发明实现了直接面向用户的网络访问控制,便于网络服务供应商的管理;而且要更新某用户的访问权限,可以通过在访问权限中添加新的规则或重新分配新的访问组来实现,访问权限的更新灵活、方便。
Description
技术领域
本发明涉及一种网络服务中用户访问权限的控制方法。
背景技术
用户通过接入服务器的用户侧上网后,需要控制它对网络上所有互联网协议(IP)地址的访问性。针对上述需要,现有技术的解决方案是:建立一个顺序相关的访问控制列表,访问控制列表中包含多个访问权限规则R,访问权限规则记为R(S,D,c),表示处于网段S中的用户对网段D的可访问性,其中c标志为p时表示允许访问网段D,c标志为d时禁止访问网段D;将上述访问控制列表绑定到接入服务器的某一个端口上,这样,由该端口上网的用户,对网络地址的可访性就必需服从所绑定的访问控制列表的规则。例如,L={R1(S1,D1,p),R2(S1,D2,d),R3(S2,D1,p)}时,若用户的IP地址属于网段S1,那么它对网段D1可以访问,而对D2则不能访问,访问控制列表的顺序相关是指:如果规则R1表示的网段D1包含了规则R2的网段D2,那么规则R2在本列表中不起访问控制作用,如果要R2在列表中起控制作用则需要重新对列表的规则顺序进行调整。
上述现有技术方案存在以下缺点:由于对用户的访问权限控制是通过在用户接入网络的端口上绑定访问规则实现的,对于由某一个端口上来的从网段中动态分配IP地址的用户无法实现不同的访问权限控制,例如通过同一个物理端口上网的用户A和B,分别得到了IP地址H1和H2及对应的访问权限La和Lb,当用户下次通过该端口上网时,由于IP地址的动态分配,用户A得到了IP地址H2,而用户B得到了IP地址H1,这时两个用户的访问权限就发生的变化,因此,这种网络访问控制方法无法实现对用户访问权限的控制。另外,由于访问控制列表的顺序相关,如果需要修改访问权限,则需对原有访问控制列表全部进行重新配置,以调整各规则位于列表中的顺序,满足新的访问控制要求,重新配置访问控制列表的工作比较复杂,并且可能影响网络服务的连续性;因此,无法方便地对访问权限进行调整。
发明内容
本发明的目的是提供一种基于网络地址的网络访问控制的方法,以实现针对用户进行访问权限配置,且访问权限可以方便地更新调整。
本发明的目的是这样实现的:基于网络地址的网络访问控制方法,包括:
(1)设置多个网段,网段为网络地址段;
(2)设置多个包含上述网段的访问组,在每个访问组中定义所包含的各个网段的可访问性;
(3)将每个用户与一个访问组绑定;
(4)确定发起访问的用户所绑定的访问组;
(5)确定用户访问网络的目的地址处于该用户所绑定的访问组中的最匹配网段;
(6)查看该用户所绑定的访问组中记录的该网段的可访问性,判定该网段是否为可访问网段,如果是可访问网段,允许用户访问该目的地址,否则,禁止用户访问该目的地址。
所述的网段可以用网段起始地址和模式匹配码描述;此时确定目的地址所处于的范围最小的网段可以通过判断模式匹配码的大小实现的,模式匹配码最小的网段为目的地址所处于的范围最小的网段。
所述的网段也可以用网段起始地址和掩码描述;此时确定目的地址所处于的范围最小的网段可以通过判断掩码的大小实现的,掩码最大的网段为目的地址所处于的范围最小的网段。
所述的多个网段中包括包含网络地址全集的预先定义的缺省网段,缺省网段是最大集合的网段。
所述的在每个访问组中定义各个网段的访问性步骤中,对于包含所有网络地址的缺省网段需要明确指出其可访问性,对于其它的网段则允许不明确指出其可访问性,未明确指出其可访问性的网段的可访问性服从于包含该网段的且被明确指出可访问性的网络地址范围最小的网段。
本发明是将访问权限规则与用户帐号绑定,用户的访问权限与用户接入网络所使用的端口无关,实现了直接面向用户的访问权限控制,便于网络服务供应商的管理。而且,用户的访问权限中的各个规则之间无先后顺序之分,每个地址的可访问性遵循包含该地址的最小网段的可访问性,这样如果需要更新用户的访问权限,只要在访问权限中添加新的规则即可,也可以通过重新分配新的访问组来更新某一用户的访问权限,访问权限的更新十分方便。
附图说明
图1为基于网络地址的网络访问控制方法的流程图;
图2为网段划分示意图;
图3为根据图2建立的访问控制列表;
图4为图3按最大匹配法等价的访问控制列表。
具体实施方式
本发明的具体实施方式如下所述,参见图1,针对访问互联网的用户其访问控制方法包括:
步骤1:设置多个网段,每个网段中包含一个IP地址段,网段可以用该IP地址段的起始地址和掩码描述,也可以用该IP地址段的起始地址和模式匹配码描述,多个网段中包括包含网络地址全集的缺省网段,缺省网段由系统预定义;
步骤2:设置多个访问组,在每个访问组中定义各个网段的可访问性,可访问性为禁止访问或允许访问;对于包含所有IP地址的缺省网段,需要明确指出其可访问性,或者禁止,或者允许,而对于其它的网段则可以不明确指出可访问性,未明确指出其可访问性的网段的可访问性服从于包含该网段的且被明确指出可访问性的网络地址范围最小的网段;
步骤3:将每个用户的用户帐号与一个访问组绑定,每个用户的访问权限由与其绑定的访问组中的规则限制,与接入网络所使用的端口无关,即与用户访问网络所使用的IP地址无关;
步骤4:根据用户帐号确定发起访问的用户所绑定的访问组;
步骤5:确定发起访问的用户访问网络的目的地址处于该用户所绑定的访问组中的最匹配网段,最匹配网段为目的地址所处于的范围最小的网段;
目的地址所处于的范围最小的网段是按最大匹配法确定的,最大匹配法是指网络地址的可访问性由包含该网络地址的范围最小的网段决定;如果各网段中包含模式匹配码,则根据模式匹配码的大小确定范围最小的网段,模式匹配码最小的网段为目的地址所处于的范围最小的网段;如果各网段中包含掩码,则根据各网段的掩码大小确定范围最小的网段,掩码最大的网段为目的地址所处于的范围最小的网段。
步骤6:查看发起访问的用户所绑定的访问组中记录的该网段是否为可访问网段,如果是可访问网段,执行步骤7,否则,执行步骤8;
步骤7:允许用户访问该目的IP地址;
步骤8:禁止用户访问该目的IP地址。
用户的访问权限可通过建立一个如图3所示的访问控制列表来描述,表中的各网段间的关系如图2所示,网段S0为包含所有IP地址的全网段,即为系统预定义的缺省网段,网段S1包含于网段S2中,网段S4包含于网段S3中;访问控制列表中所列的G0、G1、G2为三个访问组,每个访问组中定义了该访问组对表中所列的各网段的可访问性,“P”表示允许访问,“D”表示禁止访问,“/”表示不明确指出可访问性。
针对图3,按照最大匹配法进一步确定未明确指出可访问性的各网段的实际可访问性:如图所示的访问列表中记录了访问组G1对网段S3的可访问性为未明确指出,则查找包含网段S3的网段,为网段S0,且由访问控制列表可以看访问组出G1对网段S0的可访问性为明确指出,为禁止访问,因此该访问组对网段S3的可访问性为禁止访问;所示的访问列表中还记录了访问组G2对网段S1的可访问性为未明确指出,则查找包含网段S1的网段,查找结果为网段S2和S0,网段S2的网络地址范围小于网段S0,则查看G2对网段S2的可访问性,查看结果为G2对网段S2的可访问性仍为未明确指出,接着查看G2对网段S0的可访问性,查看结果为G2对网段S0的可访问性为明确指出,且为禁止访问,因此访问组G2对网段S1的可访问性为禁止访问,依此类推,图3所示的访问列表可等价于图4所述的访问列表,其中图3是实际存在的访问控制列表,图4则是系统快速精确计算后得出的列表。
访问控制列表建立后用户便可以根据用户所分配的访问组中的访问权限对网络进行访问。当分配访问组G0的用户访问网络的目的地址为H1时,首先确定H1分别处于网段S0、S1、S2中,按照最大匹配法可以确定:H1的可访问性由访问组G0中记录的网段S1的可访问性决定,查看访问控制列表可以看出该访问组的用户可以访问网段S1中的网络地址,因此,确认该用户也可以访问网络地址H1。
为满足各种需要,访问控制列表中的访问组及网段可随时添加,表中记录的各网段的可访问性也可以随时修改,而且添加过程和修改访问性过程不影响用户访问网络。
本发明中网络访问控制为直接面向用户的控制,便于网络服务供应商针对不同的用户提供不同的访问权限;例如,对未通过网络服务认证的用户,可以将一个可访问网段较少的访问组授权给该用户,而对于通过网络服务认证过程的用户,则可以将一个可访问网段较多的访问组授权给该用户。
另外,对于网络侧访问用户的报文也可采用上述访问控制列表进行访问权限的控制,此时是将各访问组与网络侧的各端口进行绑定,以实现网络侧来的报文对某些具有固定IP地址的重要用户的访问受到控制,可有效地防止外部网络攻击内部用户或者重要的服务器,而且访问权限地方便调整也使上述的控制更为灵活。
Claims (7)
1、一种基于网络地址的网络访问控制方法,包括:
(1)设置多个网段,网段为网络地址段;
(2)设置多个包含上述网段的访问组,在每个访问组中定义所包含的各个网段的可访问性;
(3)将每个用户与一个访问组绑定;
(4)确定发起访问的用户所绑定的访问组;
(5)确定用户访问网络的目的地址处于该用户所绑定的访问组中的最匹配网段;
(6)查看该用户所绑定的访问组中记录的该网段的可访问性,判定该网段是否为可访问网段,如果是可访问网段,允许用户访问该目的地址,否则,禁止用户访问该目的地址。
2、根据权利要求1所述的基于网络地址的网络访问控制方法,其特征在于所述的网段用网段起始地址和模式匹配码描述。
3、根据权利要求1所述的基于网络地址的网络访问控制方法,其特征在于所述的网段用网段起始地址和掩码描述。
4、根据权利要求1或2所述的基于网络地址的网络访问控制方法,其特征在于:所述的确定目的地址所处于的范围最小的网段是通过判断模式匹配码的大小实现的,模式匹配码最小的网段为目的地址所处于的范围最小的网段。
5、根据权利要求1或3所述的基于网络地址的网络访问控制方法,其特征在于:所述的确定目的地址所处于的范围最小的网段是通过判断掩码的大小实现的,掩码最大的网段为目的地址所处于的范围最小的网段。
6、根据权利要求1所述的基于网络地址的网络访问控制方法,其特征在于所述的多个网段中包括包含网络地址全集的预先定义的缺省网段,缺省网段是最大集合的网段。
7、根据权利要求1或6所述的基于网络地址的网络访问控制方法,其特征在于所述的在每个访问组中定义各个网段的访问性步骤中,对于包含所有网络地址的缺省网段需要明确指出其可访问性,对于其它的网段则允许不明确指出其可访问性,未明确指出其可访问性的网段的可访问性服从于包含该网段的且被明确指出可访问性的网络地址范围最小的网段。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021039283A CN1181646C (zh) | 2002-02-07 | 2002-02-07 | 基于网络地址的网络访问控制的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021039283A CN1181646C (zh) | 2002-02-07 | 2002-02-07 | 基于网络地址的网络访问控制的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1437361A true CN1437361A (zh) | 2003-08-20 |
| CN1181646C CN1181646C (zh) | 2004-12-22 |
Family
ID=27627946
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB021039283A Expired - Fee Related CN1181646C (zh) | 2002-02-07 | 2002-02-07 | 基于网络地址的网络访问控制的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1181646C (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100355313C (zh) * | 2004-06-29 | 2007-12-12 | 华为技术有限公司 | 一种防止终端用户非法漫游的方法 |
| CN100464518C (zh) * | 2005-02-03 | 2009-02-25 | 杭州华三通信技术有限公司 | 基于用户的互联网访问控制系统、方法及路由设备 |
| CN101014026B (zh) * | 2006-12-18 | 2010-05-19 | 联创科技(南京)有限公司 | 动态自适应Radius系统通用软网关的实现方法 |
| CN101989197A (zh) * | 2009-07-31 | 2011-03-23 | 中兴通讯股份有限公司 | 一种可实现web程序权限复用的系统及生成和访问此程序的方法 |
| CN102137381A (zh) * | 2010-11-09 | 2011-07-27 | 华为终端有限公司 | 通过家庭基站进行网络通信的方法、装置及系统 |
| WO2012068890A1 (zh) * | 2010-11-23 | 2012-05-31 | 中兴通讯股份有限公司 | 一种对家庭网关上网数据进行控制的方法及装置 |
| CN101616076B (zh) * | 2009-07-28 | 2013-01-23 | 武汉理工大学 | 一种基于用户连接信息的细粒度网络访问控制方法 |
| CN107181830A (zh) * | 2017-03-31 | 2017-09-19 | 北京奇艺世纪科技有限公司 | 一种获取目标网站数据信息的方法及装置 |
| CN111654464A (zh) * | 2015-12-31 | 2020-09-11 | 华为技术有限公司 | 访问控制方法、认证设备及系统 |
-
2002
- 2002-02-07 CN CNB021039283A patent/CN1181646C/zh not_active Expired - Fee Related
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100355313C (zh) * | 2004-06-29 | 2007-12-12 | 华为技术有限公司 | 一种防止终端用户非法漫游的方法 |
| CN100464518C (zh) * | 2005-02-03 | 2009-02-25 | 杭州华三通信技术有限公司 | 基于用户的互联网访问控制系统、方法及路由设备 |
| CN101014026B (zh) * | 2006-12-18 | 2010-05-19 | 联创科技(南京)有限公司 | 动态自适应Radius系统通用软网关的实现方法 |
| CN101616076B (zh) * | 2009-07-28 | 2013-01-23 | 武汉理工大学 | 一种基于用户连接信息的细粒度网络访问控制方法 |
| CN101989197A (zh) * | 2009-07-31 | 2011-03-23 | 中兴通讯股份有限公司 | 一种可实现web程序权限复用的系统及生成和访问此程序的方法 |
| CN102137381A (zh) * | 2010-11-09 | 2011-07-27 | 华为终端有限公司 | 通过家庭基站进行网络通信的方法、装置及系统 |
| CN102137381B (zh) * | 2010-11-09 | 2014-06-25 | 华为终端有限公司 | 通过家庭基站进行网络通信的方法、装置及系统 |
| WO2012068890A1 (zh) * | 2010-11-23 | 2012-05-31 | 中兴通讯股份有限公司 | 一种对家庭网关上网数据进行控制的方法及装置 |
| CN111654464A (zh) * | 2015-12-31 | 2020-09-11 | 华为技术有限公司 | 访问控制方法、认证设备及系统 |
| CN107181830A (zh) * | 2017-03-31 | 2017-09-19 | 北京奇艺世纪科技有限公司 | 一种获取目标网站数据信息的方法及装置 |
| CN107181830B (zh) * | 2017-03-31 | 2019-07-12 | 北京奇艺世纪科技有限公司 | 一种获取目标网站数据信息的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1181646C (zh) | 2004-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8793206B2 (en) | Semantic to non-semantic routing for locating a live expert | |
| CN101390076B (zh) | 用于虚拟空间中的分支房间的子系统范围体系结构 | |
| CN102523304B (zh) | 一种应用云平台和云平台的实现方法 | |
| US10511651B2 (en) | Infinite micro-services architecture | |
| CN1842031A (zh) | 数据处理方法与系统 | |
| CN106030528A (zh) | 数据代理服务 | |
| CN1157964A (zh) | 为系统目标模型建立动态角色的方法和装置 | |
| CN102202078A (zh) | 用于远程呈现会话服务器场的集中式管理工具 | |
| US9075805B2 (en) | Methods and apparatuses for synchronizing and tracking content | |
| CN1181646C (zh) | 基于网络地址的网络访问控制的方法 | |
| CN110138767B (zh) | 事务请求的处理方法、装置、设备和存储介质 | |
| CN1640087B (zh) | 对网络运行支持系统的策略使能并基于契约的管理 | |
| JP2003069595A (ja) | アクセス制御システム | |
| CN110535724B (zh) | 应用程序网络读写限制方法、装置、电子设备及存储介质 | |
| US20100057911A1 (en) | Enhanced User Control Over Processing Parameters | |
| CN106502509A (zh) | 特定窗口的信息采集方法、装置及终端 | |
| KR102536659B1 (ko) | 클라이언트 기반의 유해 사이트 차단 방법 | |
| CN110008186A (zh) | 针对多ftp数据源的文件管理方法、装置、终端和介质 | |
| CN107294903A (zh) | 一种网络地址访问方法及装置 | |
| CN101477647A (zh) | 业务流程展现控制系统 | |
| CN112667338B (zh) | 业务线展示控制方法、装置、电子设备及存储介质 | |
| CA2334432C (en) | Feature implementation and provisioning by injection | |
| US10616293B1 (en) | Multiple account binding | |
| JP2000222323A (ja) | インターネットよるウェブフィルタリングシステム | |
| CN1610299A (zh) | 利用可配置的用户简表的数据实例的路由选择 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20041222 Termination date: 20150207 |
|
| EXPY | Termination of patent right or utility model |