网关接入控制方法、系统及装置的制作方法

专利名称：网关接入控制方法、系统及装置的制作方法
技术领域：
本发明涉及网络通信技术领域，特别设计一种网关接入控制方法、系统及装置。
背景技术：
反向代理(Reverse ftOxy)方式是指以代理服务器来接受hternet上的连接请求，然后将请求转发给内部网络上的服务器，并将从服务器上得到的结果返回给^ternet 上请求连接的客户端，此时代理服务器对外就表现为一个服务器。反向代理网关就是负责反向代理、访问控制以及安全控制的功能。如图1所示，传统的接入请求的安全控制的流程，包括如下步骤步骤S101，接收用户的接入请求；步骤S102，对接入请求进行安全控制A的安全检查；步骤S103，对接入请求进行安全控制B的安全检查；步骤S104，将经过安全检查的接入请求转至后端服务器，有后端服务器对其进行处理。传统的网关接入控制存在以下几个问题(1)传统的网关接入控制只针对服务，而没有区分用户。例如为某个Vip添加同步代理synproxy功能，则访问该服务的所有tcp连接请求，都需要经过synproxy处理。但是，对于部分高优先级的用户没有必要开启这些访问控制。从而，在耗费网关计算资源的同时，也导致部分高优先级用户延迟，影响用户的体验。(2)当网关由于某些原因发生处理拥塞时，如受到DDos攻击，硬件损坏等，所有服务请求均受到影响。但是，没有区分用户和服务的优先级。而在实际上，某些特权用户(VIP 用户)的请求需要优先处理。同样，对于某些核心业务的对应的服务，也需要优先占用资源。

发明内容
本发明旨在至少解决现有技术中存在的技术问题之一。为此，本发明的第一个目的在于提供一种网关接入控制方法，该方法可以根据优先级动态地调整网关处理流程，降低了网关的资源消耗。本发明的第二个目的在于提供一种网关接入控制系统。本发明的第三个目的在于提供一种网关。为实现上述目的，本发明第一方面的实施例提供了一种网关接入控制方法，包括如下步骤网关接收多个用户发送的多个接入请求；所述网关分别计算所述多个接入请求对应的优先级；所述网关按照计算的优先级加入至优先级队列并排序；以及所述网关按照排序的优先级顺序将所述多个接入请求依次地发送至后端服务器。根据本发明实施例的网关接入控制方法，通过综合考虑接入请求的用户和服务两项指标，计算该接入请求的优先级，根据该优先级动态调整和简化网关处理流程，从而降低网关资源消耗并加快网关处理速度。此外，在网关满负荷工作时，根据优先级处理资源抢占，从而保护了高优先级用户体验。本发明第二方面的实施例提供了一种网关接入控制系统，包括多个客户端，所述多个客户端用于发送接入请求；以及网关，所述网关通过有线或无线地方式与所述多个客户端相连，用于接收所述多个客户端发送的多个接入请求，分别计算所述多个接入请求对应的优先级，和按照计算的优先级加入至优先级队列并排序，以及按照排序的优先级顺序将所述多个接入请求依次地发送至后端服务器。根据本发明实施例的网关接入控制系统，通过综合考虑接入请求的用户和服务两项指标，计算该接入请求的优先级，根据该优先级动态调整和简化网关处理流程，从而降低网关资源消耗并加快网关处理速度。此外，在网关满负荷工作时，根据优先级处理资源抢占，从而保护了高优先级用户体验。本发明第三方面的实施例提供了一种网关，包括接收模块，用于接收多个用户发送的多个接入请求；优先级计算模块，用于分别计算所述多个接入请求对应的优先级；排序模块，用于按照计算的优先级加入至优先级队列并排序；以及发送模块，用于按照排序的优先级顺序将所述多个接入请求依次地发送至后端服务器。根据本发明实施例的网关，通过综合考虑接入请求的用户和服务两项指标，计算该接入请求的优先级，根据该优先级动态调整和简化网关处理流程，从而降低网关资源消耗并加快网关处理速度。此外，在网关满负荷工作时，根据优先级处理资源抢占，从而保护了高优先级用户体验。本发明的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。


本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中图1为传统的安全访问控制的流程图；图2为根据本发明实施例的网关接入控制方法的流程图；图3为根据本发明实施例的用户识别的流程图；图4为根据本发明实施例的网关处理能力满负荷情况下的资源抢占的流程图；图5为根据本发明实施例的反向代理网关的示意图；图6为根据本发明实施例的根据优先级进行安全控制的流程图；图7为根据本发明实施例的网关接入控制系统的示意图；和图8为根据本发明实施例的网关的示意图。
具体实施例方式下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。下面参考图2至图6描述根据本发明实施例的网关接入控制方法的流程。如图2所示，本发明实施例提供的网关接入控制方法，包括如下步骤
步骤S201，网关接收多个用户发送的多个接入请求。需要说明的是，此处的用户可以理解为网关终端设备。具体而言，网关接收到来自多个网关终端设备的多个接入请求。步骤S202，网关分别计算多个接入请求对应的优先级。网关在接收到多个用户发送的多个接入请求后，需要根据该接入请求对应的用户和服务计算优先级P。其中，P = ul*w+sl* (1-w)，其中，ul为用户优先级，Sl为服务优先级，w为用户优先级在优先级中的权重因子，w可以根据当前网关的负荷和用户的需要进行调整。下面对网关分别计算用户优先级Ul和服务优先级Sl的步骤进行说明。网关可以根据用户的历史访问记录计算该用户的优先级。具体地，网关可以从用户的历史访问数据中挖掘用户访问频度，用户访问时长等信息，然后根据是上述用户历史访问数据计算用户优先级ul。可以理解的是，用户访问数据不限于上述用户访问频度和用户访问时长，也可以为其他可以评价用户访问程度的数据。在本发明的一个实施例中，用户优先级Ul可以划分为以下五个等级第五等级通过自动装置或者人工方式加入的黑名单用户，例如发起恶意访问或恶意攻击的用户；第四等级普通用户，即正常访问服务的普通用户；第三等级高级用户，通过对历史访问信息的统计确定的在历史时间段内多次访问的忠实用户；第二等级付费用户，主动通过注册和/或付费等方式申请的用户；第一等级特权用户，对于某项服务拥有最高级访问权的用户，例如管理员、监
管人员等。可以理解是，上述用户优先级的划分原则只是用户优先级划分的一种方式。网关可以根据需要采用其他划分原则对用户优先级进行划分，其中，划分等级的数量和划分的原则均可以为多种形式。现有的接入控制多从应用层面确定用户等级，而网关设备为三层设备，无法分析三层之上的报文来获取用户信息。并且，网关上的接入控制方案多为静态配置，缺少不了人工操作环节，灵活性不够。为克服上述缺陷，本发明实施例中的网关通过二层设备和三层设备分别获取接入请求的MAC (Media Access Control，硬件地址)地址和IP (Internet Protocol,网络之间互连的协议)地址，并根据MAC地址和IP地址生成用户识别码生成用户识别码。具体地，如图3所示，网关生成用户识别码，包括如下步骤步骤S301，网关接收用户发送的接入请求。步骤S302，根据该接入请求，网关的二层设备获取该接入请求的MAC地址。步骤S303，根据该接入请求，网关的三层设备获取该接入请求的IP地址。步骤S304，网关将步骤S302和步骤S303中获得的MAC地址和IP地址分别转换为二进制字符串，然后将上述字符串串接在一起，从而形成一个二进制字符串，并将该串接后的二进制字符串作为用户识别码。
网关根据上述得到的用户识别码可以查询到该用户对应的优先级。例如网关获得接入请求对应的用户识别码为付费用户时，则通过查询可以获知该用户位于第二等级。网关根据用户发送的接入请求中所请求的服务计算服务优先级Si。具体地，在网关上可以配置多个服务，即多个VIP (virturl IP，虚拟IP)。其中，不同的虚拟IP对应不同的服务优先级。网关可以根据服务的重要性和对用户的影响程度进行优先级的划分。例如，将具有以下三种情况中的一种或多种的服务器设置较好的优先级核心服务、影响收入以及严重影响用户体验。在网关发生处理堵塞时，优先给上述服务的访问分配处理资源。可以理解是，上述服务优先级的划分原则只是服务优先级划分的一种方式。网关可以根据需要采用其他划分原则对服务优先级进行划分，其中，划分等级的数量和划分的原则均可以为多种形式。在本发明的一个实施例中，网关根据用户或服务的重要性，可以调整用户优先级在优先级中的权重因子W。具体的，在网关负荷高于负荷阈值时，为了向尽可能多的用户提供良好的用户体验，则可以调高用户优先级Ul对应的权重w，从而可以体现用户优先级ul 的重要性。如果网关倾向于提供稳定的服务，则可以适当降低用户优先级在优先级中的权重因子w，从而提高服务优先级在优先级中的权重因子(1-w)，进而保证重点服务的资源占用，体现服务优先的思想。在本发明的一个示例中，为了兼顾用户和服务的重要性，w可以为0.5。步骤S203，网关按照计算的优先级加入至优先级队列并排序。网关将步骤S202计算到的优先级加入到优先级队列中，并根据优先级的先后进行排序。网关需要对上述优先级队列进行维护。步骤S204，网关按照排序的优先级顺序将多个接入请求依次地发送至后端服务
ο网关根据优先级队列，将多个接入请求按照优先级由高到低的顺序依次发送到后端服务器，从而，后端服务器可以按照优先级由高到低的顺序依次执行相应的接入请求。在网关满负载时，所有的接入请求在到达网关后，首先按照优先级的等级插入到优先级队列中。在优先级队列中，从队首到队尾，按照优先级由高到低的顺序进行排列。当由访问结束时，空缺出资源，从而高优先级的访问可以占用该资源，即排在优先级队列的队首的访问可以占用该资源。下面结合图4以五个接入请求为例对访问请求处理的流程进行描述。如图4所示，五个接入请求分别为请求1、请求2、请求3、请求4和请求5，其中，请求1和2首先且同时到达，请求3、4、5随后到达。由于此时网关正处于满负荷状态，没有空余的资源，因此上述五个接入请求需要进入队列进行排队。采用上述优先级P的计算方法， 对五个接入请求的优先级P进行计算。五个接入请求的优先级由高到低依次为请求3 > 请求2 >请求4 >请求1 >请求5。从而，在优先级队列中，从队首到队尾的排列依次为 请求3、请求2、请求4、请求1、请求5。当有接入请求处理完毕时，则空缺出新的资源，此时优先处理拍在优先级队列的队首的接入请求。在本实施例中，优先处理请求3的接入请求。 当处理完请求3的请求后，如果在处理请求3的过程中没有比请求2的优先级高的请求加入队列，则处理请求2的接入请求，否则处理当前优先级队列中排在最前面的请求。由上可知，网关处理接入请求是按照该接入请求的优先级P的由高到低的顺序进行的。虽然，请求1和请求2先于请求3到达网关，但是由于请求1和请求2的优先级低于请求3，网关还是先处理请求3的接入请求。在本发明的一个实施例中，网关可以为反向代理网关。图5示出了反向代理网关的示意图。用户访问某项服务，实际上是访问代理网关上配置的虚拟IP。网关收到接入请求后，会对该请求进行安全检查。其中，安全检查为包括安全控制或访问控制，安全检查可以包括同步代理Synproxy处理、等待数据waitdata处理和流量清洗处理中的一种或多种。 例如，添加同步代理synproxy功能以防止syn攻击、添加等待数据waitdata功能以防止 DDos攻击。根据访问规则，过滤来某个源IP的流量。在网关上配置一个虚拟IP以代表一项服务的请求，例如配置一个代表请求3的服务的虚拟IP。反向代理网关不负责提供服务， 仅将合法请求转交后端服务器集群，由服务器集群针对接入请求提供相应的服务。对于服务提供者来说，高优先级用户的接入访问是获取收益的主要来源，可以认为是受欢迎的访问。可以理解的是，高优先级用户的接入访问为受信任的访问。网关在接收到高优先级用户的访问请求后，除了可以向高优先级的用户提供高优先级的资源占用， 也可以关闭一些安全防护措施。在本发明的一个实施例中，网关可以直接将接入请求转发给后端服务器，而无需做相关接入控制安全检查。对于每个安全控制措施，均配置有对应的安全阈值。首先判断该接入请求对应的优先级P是否大于安全阈值，如果该接入请求对应的优先级P大于该安全控制的安全阈值， 则降低或取消对该接入请求的安全检查，将该接入请求直接转发至后端服务器。例如，同步代理synproxy是用于防止syn flood攻击的安全措施。如果同步代理 synproxy的安全阈值为t，当接入请求的优先级低于安全阈值t时，访问需要经过同步代理 synproxy的处理后才能转发给后端服务器进行处理。当接入请求的优先级高于安全阈值t 时，网关直接将该接入请求的报文处理绕过同步代理synproxy处理步骤。下面参考图6以两项安全控制为例描述根据优先级进行安全控制的流程。其中， 安全控制包括安全控制A和安全控制B，其中，安全控制A的安全阈值为tl，安全控制B的安全阈值为t2。步骤601，将接入请求的优先级P与安全控制A的安全阈值tl进行比较，如果优先级P低于安全控制A的安全阈值tl，则执行步骤S602，否则执行步骤S603。步骤S602，对接入请求进行安全控制A的安全检查，然后执行步骤S603。 步骤S603，将接入请求的优先级P与安全控制B的安全阈值t 2进行比较，如果优先级P低于安全控制B的安全阈值t2，则执行步骤S604，否则执行步骤S605。步骤S604，对接入请求进行安全控制B的安全检查，然后执行步骤S605。步骤S605，将接入请求转发给后端服务器进行处理。根据本发明实施例的网关接入控制方法通过综合考虑接入请求的用户和服务两项指标，计算该接入请求的优先级，根据该优先级动态调整和简化网关处理流程，从而降低网关资源消耗并加快网关处理速度。此外，在网关满负荷工作时，根据优先级处理资源抢占，从而保护了高优先级用户体验。下面参考图7描述根据本发明实施例的网关接入控制系统700。如图7所示，本发明实施例的网关接入控制系统700包括多个客户端710和网关 720，其中，多个客户端710分别通过有线或无线地方式与网关720相连。多个客户端710用于发送接入请求，网关720用于接收多个客户端720发送的多个接入请求，分别计算多个接入请求对应的优先级，并按照计算的优先级加入至优先级队列并排序，以及按照排序的优先级顺序将多个接入请求依次地发送至后端服务器。客户端710可以理解为网关终端设备。具体而言，网关720接收到来自多个客户端710的多个接入请求。网关720在接收到多个客户端710发送的多个接入请求后，根据该接入请求对应的用户和服务计算优先级P。P = ul*w+sl* (1-w)，其中，ul为用户优先级，Sl为服务优先级，w为用户优先级在优先级中的权重因子，w可以根据当前网关的负荷和用户的需要进行调整。网关720可以根据客户端710对应的用户的历史访问记录计算该用户的优先级。 具体地，网关720可以从用户的历史访问数据中挖掘用户访问频度，用户访问时长等信息， 然后根据是上述用户历史访问数据计算用户优先级ul。可以理解的是，用户访问数据不限于上述用户访问频度和用户访问时长，也可以为其他可以评价用户访问程度的数据。在本发明的一个实施例中，用户优先级Ul可以划分为以下五个等级第五等级通过自动装置或者人工方式加入的黑名单用户，例如发起恶意访问或恶意攻击的用户；第四等级普通用户，即正常访问服务的普通用户；第三等级高级用户，通过对历史访问信息的统计确定的在历史时间段内多次访问的忠实用户；第二等级付费用户，主动通过注册和/或付费等方式申请的用户；第一等级特权用户，对于某项服务拥有最高级访问权的用户，例如管理员、监
管人员等。可以理解是，上述用户优先级的划分原则只是用户优先级划分的一种方式。网关 720可以根据需要采用其他划分原则对用户优先级进行划分，其中，划分等级的数量和划分的原则均可以为多种形式。网关720在接收到多个用户发送的多个接入请求后，获取发送该接入请求的用户的 MAC(Media Access Control，硬件地址)地址和 IPQnternet Protocol，网络之间互连的协议)地址，并根据MAC地址和IP地址生成用户识别码。具体地，根据该接入请求，网关 720的二层设备获取该接入请求的MAC地址。网关720的三层设备获取该接入请求的IP地址。网关720将获得的MAC地址和IP地址分别转换为二进制字符串，然后将上述字符串串接在一起，从而形成一个二进制字符串，并将该串接后的二进制字符串作为用户识别码。网关720根据上述得到的用户识别码可以查询到该用户对应的优先级。例如网关720获得接入请求对应的用户识别码为付费用户时，则通过查询可以获知该用户位于第二等级。网关720根据用户发送的接入请求中所请求的服务计算服务优先级Si。具体地， 在网关720上可以配置多个服务，即多个VIP(virturl IP，虚拟IP)。其中，不同的虚拟IP 对应不同的服务优先级。网关720可以根据服务的重要性和对用户的影响程度进行优先级的划分。例如，将具有以下三种情况中的一种或多种的服务器设置较好的优先级核心服务、影响收入以及严重影响用户体验。在网关720发生处理堵塞时，优先给上述服务的访问分配处理资源。
可以理解是，上述服务优先级的划分原则只是服务优先级划分的一种方式。网关 720可以根据需要采用其他划分原则对服务优先级进行划分，其中，划分等级的数量和划分的原则均可以为多种形式。在本发明的一个实施例中，网关720根据用户或服务的重要性，可以调整用户优先级在优先级中的权重因子w。具体的，在网关720负荷增高时，为了向尽可能多的用户提供良好的用户体验，则可以调高用户优先级Ul对应的权重w，从而可以体现用户优先级ul 的重要性。如果网关720倾向于提供稳定的服务，则可以适当降低用户优先级在优先级中的权重因子w，从而提高服务优先级在优先级中的权重因子(1-w)，进而保证重点服务的资源占用，体现服务优先的思想。在本发明的一个示例中，为了兼顾用户和服务的重要性，w可以为0.5。网关720将计算到的优先级加入到优先级队列中，并根据优先级的先后进行排序。网关720需要对上述优先级队列进行维护，并根据优先级队列，将多个接入请求按照优先级由高到低的顺序依次发送到后端服务器，从而，后端服务器可以按照优先级由高到低的顺序依次执行相应的接入请求。在网关满负载时，所有的接入请求在到达网关720后，首先按照优先级的等级插入到优先级队列中。在优先级队列中，从队首到队尾，按照优先级由高到低的顺序进行排列。当由访问结束时，空缺出资源，从而高优先级的访问可以占用该资源，即排在优先级队列的队首的访问可以占用该资源。在本发明的一个实施例中，网关720可以为反向代理网关。用户访问某项服务， 实际上是访问代理网关上配置的虚拟IP。网关720收到接入请求后，会对该请求进行安全检查。其中，安全检查为包括安全控制或访问控制，安全检查可以包括同步代理Synproxy 处理、等待数据waitdata处理和流量清洗处理中的一种或多种。例如，添加同步代理 synproxy功能以防止syn攻击、添加等待数据waitdata功能以防止DDos攻击。根据访问规则，过滤来某个源IP的流量。对于服务提供者来说，高优先级用户的接入访问是获取收益的主要来源，可以认为是受欢迎的访问。可以理解的是，高优先级用户的接入访问为受信任的访问。网关720 在接收到高优先级用户的访问请求后，除了可以向高优先级的用户提供高优先级的资源占用，也可以关闭一些安全防护措施。在本发明的一个实施例中，网关720可以直接将接入请求转发给后端服务器，而无需做相关接入控制安全检查。对于每个安全控制措施，均配置有对应的安全阈值。首先网关720判断该接入请求对应的优先级P是否大于安全阈值，如果该接入请求对应的优先级P大于该安全控制的安全阈值，则降低或取消对该接入请求的安全检查，将该接入请求直接转发至后端服务器。例如，同步代理synproxy是用于防止syn flood攻击的安全措施。如果同步代理 synproxy的安全阈值为t，当接入请求的优先级低于安全阈值t时，访问需要经过同步代理 synproxy的处理后才能转发给后端服务器进行处理。当接入请求的优先级高于安全阈值t 时，网关720直接将该接入请求的报文处理绕过同步代理synproxy处理步骤。根据本发明实施例的网关接入控制系统通过综合考虑接入请求的用户和服务两项指标，计算该接入请求的优先级，根据该优先级动态调整和简化网关处理流程，从而降低网关资源消耗并加快网关处理速度。此外，在网关满负荷工作时，根据优先级处理资源抢占，从而保护了高优先级用户体验。下面参考图8描述根据本发明实施例的网关。其中，该网关可以反向代理网关。本发明实施例提供的网关包括接收模块810、优先级计算模块820、排序模块830 和发送模块840。其中，接收模块810用于接收多个用户发送的多个接入请求，优先级计算模块820用于分别计算多个接入请求对应的优先级，其中，优先级包括用户优先级和服务优先级。排序模块830用于按照计算的优先级加入到优先级队列并排序，发送模块840用于按照排序的优先级顺序将多个接入请求依次地发送至后端服务器。接收模块810接收到来自多个用户的多个接入请求后，由优先级计算模块820根据该接入请求对应的用户和服务计算优先级P。P = ul*w+sl*(l_w),其中，ul为用户优先级，Sl为服务优先级，w为用户优先级在优先级中的权重因子，w可以根据当前网关的负荷和用户的需要进行调整。优先级计算模块820可以根据用户的历史访问记录计算该用户的优先级。具体地，优先级计算模块820可以从用户的历史访问数据中挖掘用户访问频度，用户访问时长等信息，然后根据是上述用户历史访问数据计算用户优先级ul。可以理解的是，用户访问数据不限于上述用户访问频度和用户访问时长，也可以为其他可以评价用户访问程度的数据。在本发明的一个实施例中，用户优先级Ul可以划分为以下五个等级第五等级通过自动装置或者人工方式加入的黑名单用户，例如发起恶意访问或恶意攻击的用户；第四等级普通用户，即正常访问服务的普通用户；第三等级高级用户，通过对历史访问信息的统计确定的在历史时间段内多次访问的忠实用户；第二等级付费用户，主动通过注册和/或付费等方式申请的用户；第一等级特权用户，对于某项服务拥有最高级访问权的用户，例如管理员、监
管人员等。可以理解是，上述用户优先级的划分原则只是用户优先级划分的一种方式。优先级计算模块820可以根据需要采用其他划分原则对用户优先级进行划分，其中，划分等级的数量和划分的原则均可以为多种形式。在本发明的一个实施例中，网关还包括用户确认模块870，用于获取发送该接入请求的用户的 MAC (Media Access Control，硬件地址)地址和 IP Qnternet Protocol，网络之间互连的协议)地址，并根据MAC地址和IP地址生成用户识别码。用户确认模块870将获得的MAC地址和IP地址分别转换为二进制字符串，然后将上述字符串串接在一起，从而形成一个二进制字符串，并将该串接后的二进制字符串作为用户识别码。用户确认模块870 根据上述得到的用户识别码可以查询到该用户对应的优先级。优先级计算模块820根据用户发送的接入请求中所请求的服务计算服务优先级 si。具体地，在网关上可以配置多个服务，即多个VIP (virturl IP，虚拟IP)。其中，不同的虚拟IP对应不同的服务优先级。优先级计算模块820可以根据服务的重要性和对用户的影响程度进行优先级的划分。例如，将具有以下三种情况中的一种或多种的服务器设置较好的优先级核心服务、影响收入以及严重影响用户体验。在网关发生处理堵塞时，优先给上述服务的访问分配处理资源。可以理解是，上述服务优先级的划分原则只是服务优先级划分的一种方式。优先级计算模块820可以根据需要采用其他划分原则对服务优先级进行划分，其中，划分等级的数量和划分的原则均可以为多种形式。在本发明的一个实施例中，网关还包括调整模块850，用于根据用户或服务的重要性，可以调整用户优先级在优先级中的权重因子W。具体的，在网关的负荷高于负荷阈值时， 为了向尽可能多的用户提供良好的用户体验，则调整模块850可以调高用户优先级Ul对应的权重w，从而可以体现用户优先级Ul的重要性。如果网关倾向于提供稳定的服务，则调整模块850可以适当降低用户优先级在优先级中的权重因子w，从而提高服务优先级在优先级中的权重因子(1-w)，进而保证重点服务的资源占用，体现服务优先的思想。在本发明的一个示例中，为了兼顾用户和服务的重要性，w可以为0.5。排序模块830将计算到的优先级加入到优先级队列中，并根据优先级的先后进行排序。排序模块830需要对上述优先级队列进行维护。由发送模块840根据优先级队列， 将多个接入请求按照优先级由高到低的顺序依次发送到后端服务器，从而，后端服务器可以按照优先级由高到低的顺序依次执行相应的接入请求。在网关满负载时，所有的接入请求在到达网关后，排序模块830首先按照优先级的等级插入到优先级队列中。在优先级队列中，从队首到队尾，按照优先级由高到低的顺序进行排列。当由访问结束时，空缺出资源，从而高优先级的访问可以占用该资源，即排在优先级队列的队首的访问可以占用该资源。用户访问某项服务，实际上是访问代理网关上配置的虚拟IP。不同的虚拟IP对应不同的服务优先级。在本发明的一个实施例中，网关还包括安全控制模块860，用于在在接入请求对应的优先级大于安全阈值时，降低或取消对接入请求的安全检查，并通过发送模块840将优先级大于安全阈值的接入请求转发至后端服务器。其中，全控制模块860可以执行的安全检查为安全控制或访问控制，安全检查可以包括同步代理Synproxy处理、等待数据waitdata处理和流量清洗处理中的一种或多种。例如，添加同步代理synproxy功能以防止syn攻击、添加等待数据waitdata功能以防止DDos攻击。对于服务提供者来说，高优先级用户的接入访问是获取收益的主要来源，可以认为是受欢迎的访问。可以理解的是，高优先级用户的接入访问为受信任的访问。网关在接收到高优先级用户的访问请求后，除了可以向高优先级的用户提供高优先级的资源占用， 也可以关闭一些安全防护措施。在本发明的一个实施例中，发送模块840可以直接将接入请求转发给后端服务器，而无需经过安全控制模块860做相关接入控制安全检查。对于每个安全控制措施，安全控制模块860均配置有对应的安全阈值。首先安全控制模块860判断该接入请求对应的优先级P是否大于安全阈值，如果该接入请求对应的优先级P大于该安全控制的安全阈值，则降低或取消对该接入请求的安全检查，将该接入请求直接转发至后端服务器。根据本发明实施例的网关通过综合考虑接入请求的用户和服务两项指标，计算该接入请求的优先级，根据该优先级动态调整和简化网关处理流程，从而降低网关资源消耗并加快网关处理速度。此外，在网关满负荷工作时，根据优先级处理资源抢占，从而保护了高优先级用户体验。在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPR0M或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同物限定。
权利要求
1.一种网关接入控制方法，其特征在于，包括以下步骤 网关接收多个用户发送的多个接入请求；所述网关分别计算所述多个接入请求对应的优先级；所述网关按照计算的优先级加入至优先级队列并排序；以及所述网关按照排序的优先级顺序将所述多个接入请求依次地发送至后端服务器。
2.如权利要求1所述的网关接入控制方法，其特征在于，其中，所述优先级包括用户优先级和服务优先级。
3.如权利要求2所述的网关接入控制方法，其特征在于，还包括 根据所述用户的历史访问记录计算所述用户优先级；以及根据所述用户发送的接入请求中所请求的服务计算所述服务优先级。
4.如权利要求3所述的网关接入控制方法，其特征在于，还包括如果所述网关的负荷高于负荷阈值，则调高所述用户优先级对应的权重因子。
5.如权利要求3所述的网关接入控制方法，其特征在于，其中，所述网关之中配置有多个虚拟IP，不同的虚拟IP对应不同的服务优先级。
6.如权利要求1所述的网关接入控制方法，其特征在于，还包括 判断所述接入请求对应的优先级是否大于安全阈值；如果判断所述接入请求对应的优先级大于所述安全阈值，则降低或取消对所述接入请求的安全检查，将所述优先级大于所述安全阈值的接入请求转发至所述后端服务器。
7.如权利要求6所述的网关接入控制方法，其特征在于，所述安全检查包括同步代理 Synproxy处理、等待数据waitdata处理和流量清洗处理中的一种或多种。
8.如权利要求1所述的网关接入控制方法，其特征在于，还包括 所述网关获取所述接入请求的MAC地址和IP地址；所述网关根据所述MAC地址和IP地址生成用户识别码；以及所述网关根据所述用户识别码查询所述用户对应的用户优先级。
9.一种网关接入控制系统，其特征在于，包括 多个客户端，所述多个客户端用于发送接入请求；以及网关，所述网关通过有线或无线地方式与所述多个客户端相连，用于接收所述多个客户端发送的多个接入请求，分别计算所述多个接入请求对应的优先级，和按照计算的优先级加入至优先级队列并排序，以及按照排序的优先级顺序将所述多个接入请求依次地发送至后端服务器。
10.如权利要求9所述的网关接入控制系统，其特征在于，其中，所述优先级包括用户优先级和服务优先级。
11.如权利要求10所述的网关接入控制系统，其特征在于，其中，所述用户优先级根据所述用户的历史访问记录计算获得，所述服务优先级根据所述用户发送的接入请求中所请求的服务计算获得。
12.如权利要求10所述的网关接入控制系统，其特征在于，所述网关还用于在所述网关的负荷高于负荷阈值时，调高所述用户优先级对应的权重因子。
13.如权利要求10所述的网关接入控制系统，其特征在于，其中，所述网关之中配置有多个虚拟IP，不同的虚拟IP对应不同的服务优先级。
14.如权利要求9所述的网关接入控制系统，其特征在于，所述网关还用于在所述接入请求对应的优先级大于安全阈值时，降低或取消对所述接入请求的安全检查，并将所述优先级大于所述安全阈值的接入请求转发至所述后端服务器。
15.如权利要求14所述的网关接入控制系统，其特征在于，所述安全检查包括同步代理Synproxy处理、等待数据waitdata处理和流量清洗处理中的一种或多种。
16.一种网关，其特征在于，包括接收模块，用于接收多个用户发送的多个接入请求；优先级计算模块，用于分别计算所述多个接入请求对应的优先级；排序模块，用于按照计算的优先级加入至优先级队列并排序；以及发送模块，用于按照排序的优先级顺序将所述多个接入请求依次地发送至后端服务ο
17.如权利要求16所述的网关，其特征在于，其中，所述优先级包括用户优先级和服务优先级。
18.如权利要求17所述的网关，其特征在于，其中，所述用户优先级根据所述用户的历史访问记录计算获得，所述服务优先级根据所述用户发送的接入请求中所请求的服务计算获得。
19.如权利要求17所述的网关，其特征在于，还包括调整模块，用于在所述网关的负荷高于负荷阈值时，调高所述用户优先级对应的权重因子。
20.如权利要求17所述的网关，其特征在于，其中，所述网关之中配置有多个虚拟IP， 不同的虚拟IP对应不同的服务优先级。
21.如权利要求16所述的网关，其特征在于，还包括安全控制模块，用于在所述接入请求对应的优先级大于所述安全阈值时，降低或取消对所述接入请求的安全检查，并通过所述发送模块将所述优先级大于所述安全阈值的接入请求转发至所述后端服务器。
22.如权利要求21所述的网关，其特征在于，所述安全检查包括同步代理Synproxy处理、等待数据waitdata处理和流量清洗处理中的一种或多种。
23.如权利要求16所述的网关，其特征在于，还包括用户确认模块，用于获取所述接入请求的MAC地址和IP地址，并根据所述MAC地址和 IP地址生成用户识别码，以根据所述用户识别码查询所述用户对应的用户优先级。
全文摘要
本发明公开了一种网关接入控制方法，包括以下步骤网关接收多个用户发送的多个接入请求；所述网关分别计算所述多个接入请求对应的优先级；所述网关按照计算的优先级加入至优先级队列并排序；以及所述网关按照排序的优先级顺序将所述多个接入请求依次地发送至后端服务器。本发明还公开了一种网关接入控制系统以及网关。本发明通过综合考虑接入请求的用户和服务两项指标，计算该接入请求的优先级，根据该优先级动态调整和简化网关处理流程，从而降低网关资源消耗并加快网关处理速度。
文档编号H04W74/04GK102395212SQ201110370000
公开日2012年3月28日 申请日期2011年11月18日 优先权日2011年11月18日
发明者闵庆欢 申请人:百度在线网络技术(北京)有限公司