访问控制方法和用于访问控制的网络节点的制作方法
【技术领域】
[0001]本申请涉及电视通信技术领域,具体涉及一种访问控制方法和用于访问控制的网络节点。
【背景技术】
[0002]现有技术中,源站会根据配置文件或者语法结构生成数据表形式的ACL(aCCeSScontrol list,访问控制列表),然后将生成的ACL导入运维系统,经过运维系统的配置解析或者人工解析,生成可供缓存系统读取解析的配置文件,将配置文件分别下发到各网络节点中,每个网络节点中都要配置有专门的ACL控制模块,由网络节点中的专门的ACL控制模块按照既定语法去解析配置文件,网络节点解析配置文件获得ACL后,重新加载(reload)ACL或者热重启网络节点,再重新加载或者热重启成功后,ACL才完成在网络节点的部署,从而达到访问控制的目的。如果再重新加载或者热重启失败,则需要反复不断地重新加载或者热重启。如果源站的ACL发生变化,则需要重新进行上述过程。
[0003]上述方法中,虽然最终能够实现访问控制,但是并没有基于HTTP协议,因此各网络节点都按照自身需求自由定义配置格式,造成各级网络节点间互不兼容,而这些网络节点共存于网络,显然无法采用相同的配置文件来下发ACL,造成了源站维护成本的增加。
[0004]另外,因为在源站根据ACL生成配置文件时,必须由运维系统进行解析和转换,源站需要按照当前运维系统要求的格式去填写待配置的ACL,这样才能够使得运维系统能够识别和翻译。而运维系统也需要按照网络节点可以识别的配置格式将ACL转换配置文件,并下发到网络节点中。显然这个过程具有极大的排他性,仅适用于网络节点分布和个体状况已知的局域网,无法直接应用于整个互联网中。
[0005]另外,在网络扩展性方面,上述方法的局域网中的网络节点在管理软件上必须是统一的结构,因为如果出现不同管理软件的网络节点,源站侧的运维系统为了满足不同的管理软件,就需要针对不同的管理软件增加转换模块,生成不同的配置文件,以适应不同的管理软件的格式要求,并且源站需要分辨出应用不同管理软件的网络节点,向这些网络节点下发不同的配置文件,当局域网中网络节点的管理软件混用程度超过一定的数量级,运维系统的运行、配置过程将会非常复杂,维护成本急剧增加。
[0006]在运维系统下发了配置文件,网络节点解析配置文件获得ACL后,需要对网络节点进行重新加载或者热重启操作。在业务繁忙的局域网中,重新加载或者热重启操作很可能会造成网络QPS(每秒查询率,Query Per Second)瞬间下降,网络节点侧的服务器CPU占用率瞬间升高到最大值。而且,重新加载或者热重启操作存在失败的风险,一旦失败会引发雪崩效应,导致局域网瘫痪,影响用户正常访问。
【发明内容】
[0007]本申请的目的在于提供一种访问控制方法和用于访问控制的网络节点。
[0008]为了达到上述目的,本申请公开了一种访问控制方法,所述方法包括:网络节点接收客户端发来的HTTP接入请求,识别所述HTTP接入请求中的referer字段,所述referer字段中包括请求访问的资源标识;所述网络节点根据所述请求访问的资源标识在一组或多组访问控制列表中进行匹配,其中,所述一组或多组访问控制列表被添加在源站向所述网络节点下发的所述访问控制列表响应的扩展头域中,对于任一组访问控制列表包括被控资源标识及所述被控资源标识的允许/拒绝标识位;当所述请求访问的资源标识匹配到被控资源标识时,所述网络节点获取所述被控资源标识的允许/拒绝标识位,根据所述被控资源标识的允许/拒绝标识位对发出所述HTTP接入请求的客户端发出允许/拒绝访问的HTTP接入响应。
[0009]进一步地,对于任一组访问控制列表还包括所述被控资源标识的匹配标识位;其中,任一组访问控制列表内,所述被控资源标识被设置为标准匹配标识位时,所述被控资源标识包括:域名为被控资源标识的所有资源标识;所述被控资源标识被设置为扩展匹配标识位时,所述被控资源标识包括:主机名包含有被控资源标识的所有资源标识;所述被控资源标识被设置为全部匹配标识位时,被控资源标识为默认缺省状态,被控资源标识包括:所有资源标识。
[0010]进一步地,所述网络节点根据所述请求访问的资源标识在一组或多组访问控制列表中进行匹配,包括:当所述访问控制列表为多组时,所述网络节点根据所述多组访问控制列表的排列顺序逐一进行匹配,并以首次匹配到的被控资源标识的允许/拒绝标识位作为匹配结果从而对发出所述HTTP接入请求的客户端发出允许/拒绝访问的HTTP接入响应。
[0011]进一步地,多组所述访问控制列表被添加在源站向所述网络节点下发的所述访问控制列表响应的扩展头域中时,将多组所述访问控制列表中被控资源标识及所述被控资源标识的允许/拒绝标识位都相同的部分进行合并。
[0012]进一步地,当所述请求访问的资源标识匹配不到被控资源标识或者识别所述访问控制列表为空时,判定对于客户端针对所述源站向所述网络节点发来的HTTP接入请求,发出允许访问的HTTP接入响应。
[0013]进一步地,所述网络节点识别所述HTTP接入请求中的referer字段,包括:所述网络节点识别不到所述HTTP接入请求中的referer字段或识别所述referer字段为空,贝Ij直接判定向所述客户端发出允许访问的HTTP接入响应。
[0014]进一步地,所述网络节点识别所述HTTP接入请求中的referer字段,包括:所述网络节点识别到所述HTTP接入请求中的referer字段内携带的请求访问的资源标识不是有效文法格式的资源标识,向所述客户端发出拒绝访问的HTTP接入响应;有效文法格式的资源标识,包括以HTTP或者HTTPS开头的通用资源标识符。
[0015]进一步地,所述允许访问的HTTP接入响应,包括状态信息200 OK ;所述拒绝访问的HTTP接入响应,包括状态信息403 forbidden ο
[0016]进一步地,所述网络节点接收客户端发来的HTTP接入请求,识别所述HTTP接入请求中的referer字段,包括:所述网络节点接收客户端发来的HTTP接入请求,识别所述HTTP接入请求所请求的资源文件是否存在;如果所述资源文件存在,识别所述资源文件是否过期,并识别所述HTTP接入请求中的referer字段;如果所述资源文件不存在,所述网络节点触发所述源站检测是否自身存在所述资源文件;当所述源站检测到自身存在所述资源文件时,所述网络节点接收所述源站发来的所述资源文件、过期时间以及扩展头域中携带有所述访问控制列表的获取确认响应,识别所述资源文件是否过期,并识别所述HTTP接入请求中的referer字段;当所述源站检测到自身不存在所述资源文件时,所述网络节点接收所述源站发来的获取失败响应,并向发出所述HTTP接入请求的客户端发出所述获取失败响应。
[0017]进一步地,识别所述资源文件是否过期,并识别所述HTTP接入请求中的referer字段,包括:识别所述资源文件是否过期;如果所述资源文件未过期,所述网络节点识别所述HTTP接入请求中的referer字段;如果所述资源文件已过期,所述网络节点向下发所述资源文件的源站发出获取请求,所述获取请求触发所述源站检测是否所述资源文件已发生更新;当所述源站检测到所述资源文件已发生更新时,所述网络节点接收所述源站发来的扩展头域中携带有所述访问控制列表的获取确认响应以及更新后的所述资源文件、过期时间,识别所述HTTP接入请求中的referer字段;当所述源站检测到所述资源文件未发生更新时,所述网络节点接收所述源站发来的扩展头域中携带有所述访问控制列表的获取失败响应以及新的过期时间,识别所述HTTP接入请求中的referer字段。
[0018]进一步地,所述获取请求,包括If-Modify-Since请求;所述获取确认响应,包括状态信息200 OK ;所述获取失败响应,包括状态信息304 Not Modified或404 not found。
[0019]进一步地,所述网络节点对发出所述HTTP接入请求的客户端发出的允许/拒绝访问的HTTP接入响应中,还具有携带所述访问控制列表的扩展头域。
[0020]为了达到上述目的,本申请还公开了一种用于访问控制的网络节点,包括:网络接收模块、资源匹配模块、一组或多组访问控制列表和访问控制模块;所述一组或多组访问控制列表,被添加在源站向所述网络节点下发的所述访问控制列表响应的扩展头域中,对于任一组访问控制列表包括被控资源标识及所述被控资源标识的允许/拒绝标识位;所述网络接收模块,用于接收客户端发来的HTTP接入请求,识别所述HTTP接入请求中的referer字段,所述referer字段中包括请求访问的资源标识;所述资源匹配模块,用于根据所述请求访问的资源标识在所述一组或多组访问控制列表中进行匹配;所述访问控制模块,当所述资源匹配模块根据所述请求访问的资源标识匹配到被控资源标识时,用于获取所述被控资源标识的允许/拒绝标识位,根据所述被控资源标识的允许/拒绝标识位对发出所述HTTP接入请求的客户端发出允许/拒绝访问的HTTP接入响应。
[0021]进一步地,所述任一组访问控制列表,还包括所述被控资源标识的匹配标识位,所述被控资源标识被设置为标准匹配标识位时,所述被控资源标识包括:域名为被控资源标识的所有资源标识;所述被控资源标识被设置为扩展匹配标识位时,所述被控资源标识包括:主机名包含有被控资源标识的所有资源标识;所述被控资源标识被设置为全部匹配标识位时,被控资源标识为默认缺省状态,被控资源标识包括:所有资源标识。
[0022]进一步地,所述资源匹配模块,当所述访问控制列表为多组时,用于根据所述多组访问控制列表的排列顺序逐一进行匹配,并以首次匹配到的被控资源标识的允许/拒绝标识位作为匹配结果从而对发出所述HTTP接入请求的客户端发出允许/拒绝访问的HTTP接入响应。
[0023]进一步地,所述多组所述访问控制列表,被添加在源站向所述网络节点下发的所述访问控制列表响应的扩展头域中时,将多组所述访问