储器时进一步包括: 接入设备发现该公共表项为资源公共表项,则根据该资源公共表项中的公共资源特征值向第一服务器查询对应的公共资源类别标识,将该公共资源类别标识添加到该资源公共表项中,将该资源公共表项存储到硬件存储器中;其中,第一服务器保存了公共资源特征值与公共资源类别标识的对应关系; 所述接入设备根据所述各用户类别与允许该类用户访问的公共资源之间的关联关系,确定允许所确定的用户类别访问的公共资源包括: 接入设备根据所述资源访问请求中的公共资源标识,在硬件存储器中查找对应的资源公共表项,从所述资源公共表项中读取公共资源类别标识; 所述接入设备判断所述资源访问请求要访问的公共资源是否包含在所述允许所确定的用户类别访问的公共资源中包括: 接入设备根据确定的所述用户类别,在硬件存储器中记录的用户类别与公共资源类别之间的关联关系中,查找到对应的资源类别,判断查找到的资源类别与所读取的资源类别标识是否匹配,若匹配,则确定所述资源访问请求要访问的公共资源包含在所述允许所确定的用户类别访问的公共资源中。5.根据权利要求3所述的方法,其特征在于,所述用户特征值为:用户名,或者为用户终端的IP地址、MAC地址、VLAN标识、端口标识之一或任意组合; 所述用户类别为:用户的优先级,或者为用户的星级。6.根据权利要求4所述的方法,其特征在于,所述公共资源特征值为:公共资源的IP地址、MAC地址、VLAN标识、端口标识之一或任意组合。7.根据权利要求1所述的方法,其特征在于, 所述接入设备在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系包括: 接入设备在硬件存储器中记录:当命中硬件存储器中的主机路由表项时,允许终端用户访问所有公共资源,当命中硬件存储器中的最长前缀匹配LPM表项时,只允许终端用户访问免费公共资源;或者, 当命中硬件存储器中的终端公共表项时,允许终端用户访问所有公共资源,当未命中硬件存储器中的终端公共表项时,只允许终端用户访问免费公共资源;或者, 当命中硬件存储器中的静态终端公共表项时,允许终端用户访问所有公共资源,当命中硬件存储器中的动态终端公共表项时,只允许终端用户访问免费公共资源。8.根据权利要求1所述的方法,其特征在于,所述接入设备在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系包括: 接入设备在硬件存储器中记录终端公共表项的存储区域到允许终端用户访问的公共资源的映射关系;且, 所述接入设备接收终端发来的资源访问请求之前进一步包括: 当接入设备要将终端公共表项存储至硬件存储器时,根据该终端用户的用户类别,在预先设定的用户类别与终端公共表项的存储区域之间的关联关系中,查找到该终端公共表项的存储区域,将该终端公共表项存储到硬件存储器的该存储区域中; 且,所述接入设备根据所述终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源包括: 接入设备根据查找到所述终端公共表项的存储区域,在硬件存储器中记录的终端公共表项的存储区域到允许终端用户访问的公共资源的映射关系中,查找到允许终端用户访问的公共资源。9.根据权利要求1至8任一所述的方法,其特征在于,所述终端公共表项为介质访问控制MAC表项,或者虚拟局域网VLAN表项,或者转发信息库FIB表项,或者地址解析协议ARP表项。10.一种资源访问控制装置,位于接入设备上,其特征在于,该装置包括: 存储处理模块:在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系; 访问控制模块:接收终端发来的资源访问请求,在硬件存储器中查找到所述终端对应的终端公共表项,根据所述终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源;判断所述资源访问请求要访问的公共资源是否包含在所确定的允许终端用户访问的公共资源中,若是,将所述资源访问请求转发出去;否则,丢弃所述资源访问请求。11.根据权利要求10所述的装置,其特征在于,所述存储处理模块具体用于,在硬件存储器中记录各用户类别与允许该类用户访问的公共资源之间的关联关系,以及记录终端公共表项到用户类别的映射关系; 所述访问控制模块根据所述终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源包括: 根据所述终端公共表项到用户类别的映射关系,确定查找到的终端公共表项对应的用户类别,根据所述各用户类别与允许该类用户访问的公共资源之间的关联关系,确定允许所确定的用户类别访问的公共资源。12.根据权利要求11所述的装置,其特征在于, 所述存储处理模块在硬件存储器中记录终端公共表项到用户类别的映射关系包括: 当要将公共表项存储至硬件存储器时,若发现该公共表项为终端公共表项,则判断该终端是否通过认证,若通过,根据该终端的用户特征值向第一服务器查询对应的用户类别,将查询到的用户类别标识添加到该终端公共表项中,若未通过,将默认用户类别标识添加到该终端公共表项中,将添加了用户类别标识的该终端公共表项存储到硬件存储器中;且,当发现一终端通过认证时,向第一服务器查询该终端对应的用户类别,并在硬件存储器中查找该终端对应的终端公共表项,以查询到的用户类别标识替换查找到的终端公共表项中的默认用户类别标识;其中,第一服务器中保存了用户特征值与用户类别标识之间的对应关系; 所述访问控制模块根据所述终端公共表项到用户类别的映射关系,确定查找到的终端公共表项对应的用户类别包括: 从查找到的所述终端公共表项中读取用户类别标识。13.根据权利要求12所述的装置,其特征在于, 所述存储处理模块在硬件存储器中记录各用户类别与允许该类用户访问的公共资源之间的关联关系包括: 在硬件存储器中记录用户类别与公共资源类别之间的关联关系; 所述存储处理模块要将公共表项存储至硬件存储器时进一步包括: 发现该公共表项为资源公共表项,则根据该资源公共表项中的公共资源特征值向第一服务器查询对应的公共资源类别标识,将该公共资源类别标识添加到该资源公共表项中,将该资源公共表项存储到硬件存储器中;其中,第一服务器保存了公共资源特征值与公共资源类别标识的对应关系; 所述访问控制模块根据所述各用户类别与允许该类用户访问的公共资源之间的关联关系,确定允许所确定的用户类别访问的公共资源包括: 根据所述资源访问请求中的公共资源标识,在硬件存储器中查找对应的资源公共表项,从所述资源公共表项中读取公共资源类别标识; 所述访问控制模块判断所述资源访问请求要访问的公共资源是否包含在所述允许所确定的用户类别访问的公共资源中包括: 根据确定的所述用户类别,在硬件存储器中记录的用户类别与公共资源类别之间的关联关系中,查找到对应的资源类别,判断查找到的资源类别与所读取的资源类别标识是否匹配,若匹配,则确定所述资源访问请求要访问的公共资源包含在所述允许所确定的用户类别访问的公共资源中。14.根据权利要求10所述的装置,其特征在于,所述存储处理模块具体用于, 在硬件存储器中记录:当命中硬件存储器中的主机路由表项时,允许终端用户访问所有公共资源,当命中硬件存储器中的最长前缀匹配LPM表项时,只允许终端用户访问免费公共资源;或者, 当命中硬件存储器中的终端公共表项时,允许终端用户访问所有公共资源,当未命中硬件存储器中的终端公共表项时,只允许终端用户访问免费公共资源;或者, 当命中硬件存储器中的静态终端公共表项时,允许终端用户访问所有公共资源,当命中硬件存储器中的动态终端公共表项时,只允许终端用户访问免费公共资源。15.根据权利要求10所述的装置,其特征在于,所述存储处理模块具体用于, 在硬件存储器中记录终端公共表项的存储区域到允许终端用户访问的公共资源的映射关系;且, 所述访问控制模块接收终端发来的资源访问请求之前进一步包括: 当要将终端公共表项存储至硬件存储器时,根据该终端用户的用户类别,在预先设定的用户类别与终端公共表项的存储区域之间的关联关系中,查找到该终端公共表项的存储区域,将该终端公共表项存储到硬件存储器的该存储区域中; 且,所述访问控制模块根据所述终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源包括: 根据查找到所述终端公共表项的存储区域,在硬件存储器中记录的终端公共表项的存储区域到允许终端用户访问的公共资源的映射关系中,查找到允许终端用户访问的公共资源。
【专利摘要】本申请提出资源访问控制方法及装置。方法包括:接入设备在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系;接入设备接收终端发来的资源访问请求,在硬件存储器中查找到该终端对应的终端公共表项,根据终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许该终端用户访问的公共资源;接入设备判断资源访问请求要访问的公共资源是否包含在所确定的允许该终端用户访问的公共资源中,若是,将资源访问请求转发出去;否则,丢弃资源访问请求。本申请只需使用较少的硬件存储资源,就可实现对主机的资源访问控制。
【IPC分类】H04L29/06
【公开号】CN105592066
【申请号】CN201510744408
【发明人】赵海峰, 郑国良
【申请人】杭州华三通信技术有限公司
【公开日】2016年5月18日
【申请日】2015年11月5日