资源访问控制方法及装置的制造方法

文档序号:9828246阅读:379来源:国知局
资源访问控制方法及装置的制造方法
【技术领域】
[0001]本申请涉及访问控制技术领域,尤其涉及资源访问控制方法及装置。
【背景技术】
[0002]图1为终端接入网络的典型应用示意图,其中,AAA (Authenticat1n、Authorizat1n and Accounting,认证、授权和计费)服务器为终端提供:认证、授权及计费服务。终端被AAA服务器认证授权后,相关授权信息由AAA服务器通过网管协议通知接入交换机或无线路由器,最终由接入交换机或无线路由器控制终端允许访问的公共资源。
[0003]在未被认证前,终端只能访问免费的服务器群组,认证后可访问收费服务器群组和因特网。根据用户付费情况不同,其允许访问的资源群组也不同。
[0004]接入交换机或无线路由器对终端访问资源的控制一般通过ACL (Access ControlList,访问控制列表)实现。每个终端的每个授权均需使用一条ACL表项,来控制终端是否允许访问某资源群组。每条ACL表项由条件和执行动作两部分组成,其中,条件一般为:匹配接入终端的SIP (Source Internet Protocol,源IP)地址,执行动作为:允许访问某一资源群组,该资源群组通常以其所在网段表示。
[0005]ACL一般存放在TCAM(Ternary Content Addressable Memory,三态内容寻址存储器)中。由于TCAM的价格比较昂贵,接入交换机或无线路由器的TCAM规格比较小,其上只能存储很少ACL表项,而当接入交换机或无线路由器下挂的终端的数量较多,或者每个终端允许访问的公共资源数目较多时,就会导致ACL表项的数目较多,从而导致TCAM的容量无法满足要求,也就是说,使用TCAM来存储ACL表项,无法满足大量的或精细化的主机访问控制需求。

【发明内容】

[0006]本申请实施例提供资源访问控制方法及装置。
[0007]本申请的技术方案是这样实现的:
[0008]—种资源访问控制方法,该方法包括:
[0009]接入设备在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系;
[0010]接入设备接收终端发来的资源访问请求,在硬件存储器中查找到所述终端对应的终端公共表项,根据所述终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源;
[0011]接入设备判断所述资源访问请求要访问的公共资源是否包含在所确定的允许终端用户访问的公共资源中,若是,将所述资源访问请求转发出去;否则,丢弃所述资源访问请求。
[0012]—种资源访问控制装置,位于接入设备上,该装置包括:
[0013]存储处理模块:在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系;
[0014]访问控制模块:接收终端发来的资源访问请求,在硬件存储器中查找到所述终端对应的终端公共表项,根据所述终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源;判断所述资源访问请求要访问的公共资源是否包含在所确定的允许终端用户访问的公共资源中,若是,将所述资源访问请求转发出去;否则,丢弃所述资源访问请求。
[0015]可见,本申请实施例中,只需使用很少的硬件存储资源,即可实现对主机访问资源的控制。
【附图说明】
[0016]图1为终端接入网络的典型应用示意图;
[0017]图2为本申请一实施例提供的资源访问控制方法流程图;
[0018]图3为本申请另一实施例提供的资源访问控制方法流程图;
[0019]图4为本申请又一实施例提供的资源访问控制方法流程图;
[0020]图5为本申请又一实施例提供的资源访问控制方法流程图;
[0021]图6为本申请又一实施例提供的资源访问控制方法流程图;
[0022]图7为本申请实施例提供的资源访问控制装置的组成示意图。
【具体实施方式】
[0023]以下结合具体实施例对本申请进行进一步详细说明。
[0024]图2为本申请一实施例提供的资源访问控制方法流程图,其具体步骤如下:
[0025]步骤201:接入设备在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系。
[0026]步骤202:接入设备接收终端发来的资源访问请求,在硬件存储器中查找到终端对应的终端公共表项,根据终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源。
[0027]步骤203:接入设备判断资源访问请求要访问的公共资源是否包含在所确定的允许终端用户访问的公共资源中,若是,执行步骤204 ;否则,执行步骤205。
[0028]步骤204:接入设备将资源访问请求转发出去,本流程结束。
[0029]步骤205:接入设备丢弃资源访问请求。
[0030]图3为本申请另一实施例提供的资源访问控制方法流程图,其具体步骤如下:
[0031]步骤301:预先在第一服务器上配置用户特征值与用户类别标识(User-Class-1D)的对应关系,预先在接入设备的硬件存储器中配置各用户类别标识(User-Class-1D)与允许该类用户访问的公共资源网络地址的对应关系。
[0032]用户特征值如:用户名,或者用户终端的IP地址、MAC (Media Access Control,介质访问控制)地址、VLAN (Virtual Local Area Network,虚拟局域网)标识、端口标识之一或任意组合;用户类别标识如:用户的优先级、星级等,在实际应用中,用户的优先级或者星级不同,其被允许访问的公共资源也不同。
[0033]公共资源网络地址为:公共资源的具体地址,或者公共资源群组的网段等。
[0034]由于硬件存储器的限制,对于硬件存储器中的每一条用户类别标识与允许该类用户访问的公共资源网络地址的对应关系,其中只能包含公共资源的一个地址或者一个网段,若某类用户被允许访问多个公共资源,且该多个公共资源的地址不连续,或者分布在多个网段上,则需要针对公共资源的每个地址、每个网段,在硬件存储器中分别存储一条该用户类别标识与允许该类用户访问的公共资源的地址或者网段的对应关系。
[0035]第一服务器可以是AAA服务器。
[0036]接入设备可以是接入交换机,也可以是接入路由器。
[0037]步骤302:在接入设备上预先配置默认的User Class-1D0
[0038]默认的User Class-1D通常用于表示未通过认证的用户的类别。
[0039]步骤303:接入设备的CPU生成一公共表项,若确认该公共表项是针对终端的,则:若该终端还未通过认证,则将默认的用户类别标识(User-Class-1D)添加到该终端公共表项中,若该终端已通过认证,则根据该终端的用户特征值向第一服务器查询对应的User-Class-1D,将查询到的User-Class-1D添加到该终端公共表项中,然后将添加了User-Class-1D的该终端公共表项存储到硬件存储器中。
[0040]公共表项如:MAC表项、VLAN 表项、FIB (Forwarding Informat1n Base,转发信息库)表项、ARP(Address Resolut1n Protocol,地址解析协议)表项等。若公共表项中的标识信息如:IP地址、MAC地址、VLAN标识、端口标识是针对终端的,则认为该公共表项是针对终端的。
[0041]另外,当接入设备接收到AAA服务器发来的指示一终端通过认证的消息后,要在硬件存储器中查找该终端对应的终端公共表项,若查找到,则根据该终端的用户特征值向第一服务器查询对应的User-Class-1D,以查找到的该User-Class-1D更新查找到的终端公共表项中的默认User-Class-1D。
[0042]步骤304:接入设备接收终端发来的资源访问请求,根据该请求中的终端标识,在硬件存储器中查找到对应的终端公共表项。
[0043]步骤305:接入设备根据查找到的终端公共表项中的User-Class-1D,在硬件存储器中配置的各用户类别标识(User-Class-1D)与允许该类用户访问的公共资源网络地址的对应关系中,查找到允许该类用户访问的公共资源网络地址。
[0044]步骤306:接入设备判断该资源访问请求要访问的公共资源的网络地址是否包含在查找到的允许该类用户访问的公共资源网络地址中,若是,执行步骤307;否则,执行步骤 308。
[0045]步骤307:接入设备根据该资源访问请求的目的地址,在硬件存储器中查找到对应的转发表项,根据该转发表项将该资源访问请求转发出去,本流程结束。
[0046]步骤308:接入设备丢弃该资源访问请求。
[0047]图4为本申请又一实施例提供的资源访问控制方法流程图,其具体步骤如下:
[0048]步骤401:预先在第一服务器上配置用户特征值与用户类别标识(User-Class-1D)的
当前第1页1 2 3 4 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1