管理接入计算机网络的设备的装置和方法
【专利摘要】本发明公开一种管理接入计算机网络的设备的权限的方法和装置,其中,持续监控该设备的行为,当存在非法行为时,根据非法行为的类别改变该设备方位计算机网络的权限。由此,本发明实现了动态调整设备的访问权限。
【专利说明】
管理接入计算机网络的设备的装置和方法
技术领域
[0001] 本发明设及计算网络管理,具体设及,管理计算机网络接入设备的权限的方法和 装置。
【背景技术】
[0002] 在计算机网络中,每个设备都具备唯一的硬件物理地址,称为MAC地址。当一个设 备接入计算机网络时,网络设备(例如路由器、网络交换机等)能够识别设备的MAC地址。在 一些安全策略中,网络设备可W设立黑名单或者白名单W管理网络设备的接入。例如,在黑 名单策略中,物理地址在黑名单中的设备内禁止接入网络设备。又如,在白名单策略中,只 有物理地址在白名单中的设备才能够接入网络设备。
[0003] 现有的黑名单策略或者白名单策略是静态管理策略。黑名单和白名单是可W调整 的,例如,可W将一个设备的物理地址加入黑名单或者从黑名单中去除。然而,黑名单或者 白名单的调整也是静态的,不能动态调整。
【发明内容】
[0004] 本发明的目的是提供一种动态管理方式,实现设备的动态授权策略。
[0005] 为此,按照本发明的一个方面,一种管理接入计算机网络的设备的装置,包括:至 少一个设备监测单元,其监测所述设备的行为;W及权限管理单元,其控制所述设备在所述 计算机网络中的访问权限。其中,所述设备监测单元根据监测到的所述设备的行为向该权 限管理单元发送第一信息,所述权限管理单元根据所述第一信息管理所述设备的所述访问 权限。
[0006] 进一步,所述设备监测单元可W是病毒监测单元、带宽监控单元、秘钥监控单元、 非法信息监测单元W及非法访问监测单元中的一个或多个。
[0007] 由此,所述第一信息可W是所述病毒监测单元发出的传播病毒的信息,或者是所 述带宽监控单元发出的占用带宽的信息,或者是所述密钥监控单元发出的非法获取帐号密 码的信息,或者是所述非法信息监测单元发出的发送非法信息的信息,或者是所述非法访 问监测单元发出的非法访问的信息。
[000引另外,所述权限管理单元根据所述第一信息给予所述设备访问所述计算机网络的 权限。或者,所述权限管理单元根据所述第一信息改变所述设备访问所述计算机网络的权 限。
[0009] 又,所述权限管理单元预先设定多于一个的权限,并根据所述第一信息授予所述 设备一个所述预先设定的权限,或者将所述设备的权限改变为另一所述的预先设定的权 限。
[0010] 本发明的另一方面,提供一种管理接入计算机网络的设备的方法,包括如下步骤: 持续监测所述设备的行为;W及根据所述设备的行为授予或者改变所述设备访问所述计算 机网络的权限。
[0011] 其中,所述持续监测所述设备的行为是监测所述设备是否传播病毒、监测所述设 备是否占用带宽、监测所述设备是否非法获取帐号密码、监测所述设备是否发送非法信息 W及监测所述设备是否非法访问中的至少一个。
[0012] 又,预先设定多于一个权限,根据所述持续监测所述设备的行为的结果,授予所述 设备一个所述的预先设定的权限,或者将所述设备的权限改变为另一所述预先设定的权 限。
[0013] 在计算所述设备的数据调度的优先级时,所述权限占80%的权重,所述设备的数 据流服务质量优先级占20 %的权重。
[0014] 本发明能够动态监测接入的设备,根据该设备的行为来授权或者改变该设备访问 计算机网络的权限,实现了可动态调整的授权管理策略。
【附图说明】
[0015] 下面将W明确易懂的方式,结合【附图说明】优选实施方式,对上述特性、技术特征、 优点及其实现方式予W进一步说明。
[0016] 图1为按照本发明的一个实施例,管理接入计算机网络的设备的装置示意图。
[0017] 图2为按照本发明的一个实施例,管理接入计算机网络的设备的方法的过程示意 图。
[001引附图标号说明:
[0019] 100管理接入计算机网络的设备的装置
[0020] 110病毒监测单元
[0021] 120带宽监控单元
[0022] 130秘钥监控单元
[0023] 140非法信息监测单元
[0024] 150非法访问监测单元 [00巧]180权限管理单元
[00%] 200接入计算机网络的设备
【具体实施方式】
[0027] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对照【附图说明】 本发明的【具体实施方式】。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于 本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可W根据运些附图获得其他 的附图,并获得其他的实施方式。
[0028] 图1示出按照本发明的管理接入计算机网络的设备的装置的一个实施例。其中,所 述的装置100包括病毒监测单元110、带宽监控单元120、秘钥监控单元130、非法信息监测单 元140W及非法访问监测单元150,还包括权限管理单元180。上述各单元用来监控设备200 的行为,并且构造为可分别向该权限管理单元180发送信息。
[0029] 其中,该病毒检测单元110监测所述设备200是否有传播计算机病毒的行为。并且, 当监测到该设备200有传播计算机病毒的行为时,向该权限管理单元180发出该设备传播计 算机病毒的信息。
[0030] 类似地,所述带宽监控单元120监测所述设备是否非法占用带宽,例如,是否占用 大量带宽进行下载等。并且,当监测到该设备200非法占用带宽时,向该权限管理单元180发 出该设备200占用带宽的信息。
[0031] 所述密钥监控单元130监测该设备是否存在非法获取帐号密码的信息,例如,是否 非法获取当前该设备访问的路由器的管理员帐号。当监测到该设备200非法获取帐号密码 时,向该权限管理单元180发出该设备非法获取帐号密码的信息。
[0032] 所述非法信息监测单元140监测该设备200是否发送非法信息。例如,发送违法法 律的信息。当监测到该设备200发送非法信息时,则向该权限管理单元180发出该设备发送 非法信息的信息。
[0033] 所述非法访问监测单元150监测该设备200是否进行非法访问,例如,访问不被允 许的网络地址等。当监测到该设备200进行非法访问时,则向该权限管理单元180发出该设 备非法访问的信息。
[0034] 如图1所示,上述信息被发送到该权限管理单元180。然而,本领域技术人员能够理 解,在其他的实施例中,也可W采用其他的信息,而不限于本实施例中所提及的。并且,在有 些实施例中,可W不采用全部的上述单元和对应信息,而只是采用一部分。
[0035] 在本实施例中,所述权限管理单元180预先设定多个权限,例如表1示出一个预设 权限的例子。
[0036] 表1
[0037]
[0038] 权限等级1-5对应可W访问的服务,其中权限等级1的设备的所有服务请求都会被 拒绝,而权限等级5的设备则允许访问任何服务。
[0039] 其中,基本服务、高级服务W及访问设备页面的内容可W根据具体的应用环境而 设定。在运个例子中,基本服务可W包括及时通讯、网页访问、文本交互等,而高级服务则可 W包括视频、游戏、蓝牙连接、快速下载、W及访问扩展存储等。
[0040] 权限等级不同则访问网络设备或网络服务的权限不同网络设备可W检测并计算 安全级别W分配不同的权限,例如,
[0041] 表 2 Γ00421
[0043] 默认的权限可W设定为等级4。
[0044] 下面举例说明根据监测设备的行为来授权或者改变设备的权限。表3列出了接入 的设备的MAC地址。由于物理地址与设备具有一一对应关系,因此我们可W根据MAC地址确 定设备。初始的权限等级为4。等级5由于具有网络设备的管理权限,应当对应特定的设备。
[0045] 表 3
[0046]
[0047] 接入的设备初始的默认等级为4,即为普通用户。
[004引前述的各设备监测单元监测设备1-4的行为。例如,当该病毒监测单元110监测到 设备1存在传播病毒、非法获取帐号密码等,则该权限管理单元180将该设备1的权限等级改 变为等级1。又,例如,当该带宽监控单元120监测到设备2存在大量占用带宽进行下载时,贝U 该权限管理单元180将该设备2的权限等级改变为等级2。又,当该所述密钥监控单元130监 测到设备3存在非法获取帐号密码的行为时,则该权限管理单元180将设备3的权限等级改 变为等级1。
[0049] 当同时由两个单元监测到设备具有非法行为时,则将设备的权限调整为更低的权 限。例如,当非法信息监测单元140监测到设备4访问非法网站,并且非法访问监测单元150 监测到设备4传播非法信息,则该权限管理单元180将该设备4的权限改变为等级2。
[0050] 表4示出经过上述改变后的表3中的设备的权限等级。
[0化1 ] 表4
[0化2]
'[0053]~在后续的计算机网络的管理W及网络任务的调度中,设备的权限与所能够获得的I 调度优先级是对应的。等级1的设备则被直接拒绝任何服务。
[0054] 在上面的描述中,设备的权限是可W动态调整的。需要注意的是,所述的设备监测 单元并不限于本说明书中举出的例子。并且,本领域技术人员能够理解,运些设备监测单元 可W是本领域已知的。
[0055] 另外,本发明还提供一种管理接入计算机网络的设备的方法。图2示出该方法的一 个实施例的过程示意图。
[0056] 其中,持续监测设备的行为,包括但不限于,监测所述设备是否传播病毒、监测所 述设备是否占用带宽、监测所述设备是否非法获取帐号密码、监测所述设备是否发送非法 信息和/或监测所述设备是否非法访问。
[0057] 进而,根据所述设备的行为授予或者改变所述设备访问所述计算机网络的权限。 在运个例子中,预先设定多于一个权限,根据所述持续监测所述设备的行为的结果,授予所 述设备一个所述的预先设定的权限,或者将所述设备的权限改变为另一所述预先设定的权 限。
[0058] 运样,就实现了动态监测和调整设备的权限。
[0059] 根据授予所述设备的权限,可W给设备相应的数据调度优先级。
[0060] 传统的QoS(服务质量)不能够区分设备的权限,而只是根据服务类型进行调度。通 过控制不同类型的分组对链路带宽的使用,使不同的数据流得到不同等级的服务。
[0061] 按照本发明的方法,可W根据设备的权限确定该设备的数据调度优先级。即,当设 备的权限高时,则调度优先级高,反之,则调度优先级低。
[0062] 在一个例子中,在计算该设备的数据调度优先级时,该设备的权限占80%的权重, 而通常的数据流QoS优先级占20%,如公式(1)所示。
[0063] 调度优先级=用户安全级别*80%+数据流QoS优先级巧0% (1)
[0064] 应当说明的是,上述实施例均可根据需要自由组合。W上所述仅是本发明的优选 实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提 下,还可W做出若干改进和润饰,运些改进和润饰也应视为本发明的保护范围。
【主权项】
1. 一种管理接入计算机网络的设备的装置,其特征在于,该装置包括: 至少一个设备监测单元,其监测所述设备的行为,以及 权限管理单元,其控制所述设备在所述计算机网络中的访问权限, 其中,所述设备监测单元根据监测到的所述设备的行为向该权限管理单元发送第一信 息,所述权限管理单元根据所述第一信息管理所述设备的所述访问权限。2. 根据权利要求1所述的管理接入计算机网络的设备的装置,其特征在于,所述设备监 测单元是病毒监测单元、带宽监控单元、秘钥监控单元、非法信息监测单元以及非法访问监 测单元中的一个或多个。3. 根据权利要求2所述的管理接入计算机网络的设备的装置,其特征在于,所述第一信 息是所述病毒监测单元发出的传播病毒的信息,所述带宽监控单元发出的占用带宽的信 息,所述密钥监控单元发出的非法获取帐号密码的信息,所述非法信息监测单元发出的发 送非法信息的信息,所述非法访问监测单元发出的非法访问的信息中的一个或多个。4. 根据权利要求1-3任一项所述的管理接入计算机网络的设备的装置,其特征在于,所 述权限管理单元根据所述第一信息给予所述设备访问所述计算机网络的权限。5. 根据权利要求1-3任一项所述的管理接入计算机网络的设备的装置,其特征在于,所 述权限管理单元根据所述第一信息改变所述设备访问所述计算机网络的权限。6. 根据权利要求1所述的管理接入计算机网络的设备的装置,其特征在于,所述权限管 理单元预先设定多于一个的权限,并根据所述第一信息授予所述设备一个所述预先设定的 权限,或者将所述设备的权限改变为另一所述的预先设定的权限。7. -种管理接入计算机网络的设备的方法,包括如下步骤: 持续监测所述设备的行为,以及 根据所述设备的行为授予或者改变所述设备访问所述计算机网络的权限。8. 根据权利要求7所述的管理接入计算机网络的设备的方法,其特征在于,所述持续监 测所述设备的行为是监测所述设备是否传播病毒、监测所述设备是否占用带宽、监测所述 设备是否非法获取帐号密码、监测所述设备是否发送非法信息以及监测所述设备是否非法 访问中的至少一个。9. 根据权利要求7或8所述的管理接入计算机网络的设备的方法,其特征在于,预先设 定多于一个权限,根据所述持续监测所述设备的行为的结果,授予所述设备一个所述的预 先设定的权限,或者将所述设备的权限改变为另一所述预先设定的权限。10. 根据权利要求9所述的管理接入计算及网络设备的方法,其特征在于,在计算所述 设备的数据调度的优先级时,所述权限占80%的权重,所述设备的数据流服务质量优先级 占20 %的权重。
【文档编号】H04L29/06GK105871835SQ201610187750
【公开日】2016年8月17日
【申请日】2016年3月29日
【发明人】张享达
【申请人】上海斐讯数据通信技术有限公司