专利名称:网络访问控制系统及方法
技术领域:
本发明提供一种网络访问控制系统及方法。
背景技术:
网络应用与互联网的普及在大幅提高企业生产经营效率的同时, 也带来了诸如数据的安全性、利用网络资源做与工作无关的事等负面 影响。为了把网络有效的管理起来,尽可能降低网络带来的负面影响, 很多网络设备提供商在自己的网络产品,如交换机、路由器中提供了
访问控制列表(Access Control List; ACL)功能,该功能使用包过滤技术, 在网络设备上读取开放系统互连参考模型(OSI/RM)中的第三层及第 四层的数据包信息,如源地址、目标地址、所釆用的传输协议及该数 据包所属应用程序的端口号等,根据预先定义好的规则对数据包进行 过滤,从而达到控制访问权限的目的。
但现有网络设备的访问控制列表功能的启用过程需要在类似DOS 的命令行操作界面下进行,这对于普通用户来说过于复杂。且遇到需 经常改变操作权限的环境时,如同一台电脑分配给多个有不同访问权 限的人使用,则每次停用及启用访问控制列表的过程也很麻烦。
发明内容
有鉴于此,有必要提供一种网络访问控制系统及方法。 该网络访问控制系统,其包括至少两个接口单元,分别与一网络 设备连接; 一存储单元,存储一组或多组访问控制列表及一对应表, 该对应表记录不同识别码、访问控制列表及应用位置的对应关系;一 信号接收单元,接收一信号源的识别信号,并生成一识别码; 一中央 处理单元。其中,该中央处理单元包括一数据处理模块,用于从所述
接口单元接收到的封装数据包中提取数据封装信息; 一控制列表应用 模块,用于接收所述识别码,从所述存储单元中查找与该识别码对应 的访问控制列表及其应用位置,并在该位置应用该访问控制列表,以
及停用该访问控制列表; 一传输控制模块,根据已启用的该访问控制
列表的规则控制数据传输。
所述网络访问控制方法,包括步骤提供一存储单元存储至少一 访问控制列表及其应用位置与 一 识别码的对应表;接收 一 信号源的识 别信号并生成一识别码;从该存储单元中的对应表查找与该识别码对 应的访问控制列表及其应用位置,并在该位置应用该访问控制列表; 接收一数据包,并提取该数据包的封装信息;根据该封装信息及已应 用的该访问控制列表控制数据传输。
相较于现有技术,所述网络访问控制系统及方法使用 一信号源进 行身份识别,通过信号源的识别码来触发启用或停用与该信号源对应 的访问控制列表,其不需要用户进入所述类似DOS的命令行操作界面 输入繁瑣的命令,简化了操作的过程。
图1是本发明网络访问控制系统的硬件架构图。 图2是本发明访问控制列表对应表的示意图。 图3是本发明访问失见则应用方法的流程图。 图4是本发明访问规则设置方法的流程图。
具体实施例方式
如图1所示,为本发明实施方式中网络访问控制系统的硬件架构 图,所述网络访问控制系统10为具有网络访问控制功能的网络设备, 如路由器、高层交换机,其包括一信号接收单元14、 一存储单元15 及多个接口单元(如接口单元111及接口单元112 )。该网络访问控制 系统10通过该接口单元111、 112与其他网络设备连接。该网络设备 可为一服务器20、 一电脑30及一交换才儿40。该交换才几40连接一局域
网45。该信号接收单元14接收一信号源发出的识别信号,并生成一 识别码。该信号源可为键盘、IC卡、语音及指紋信息等,该信号接收 单元14则对应为按键感应装置、IC卡感应装置、语音接收装置及指 紋识别装置等,其最佳为一IC卡感应装置,其感应一IC卡获得该IC 卡的识别信号。以下将以IC卡为例进行描述。
所述存储单元15存储已设置好的一组或多组访问控制列表,每一 组访问控制列表对应 一组网络访问的规则,该网络访问控制系统10可 根据该规则决定是否转发一数据包。每一组访问控制列表可应用于一 个或多个所述接口单元11的"入"或"出"端。"入"或"出"是相 对于该网络访问控制系统10而言的。例如,数据包从该接口单元11 进入该网络访问控制系统10,即为"入";数据包从该接口单元ll离 开该网络访问控制系统10,即为"出"。该存储单元15还存储该访问 控制列表及其应用位置(即一接口单元的"入"或"出,,端)与该识 别码的对应表。该对应表可从与该网络访问控制系统IO连接的一网络 设备获取。该存储单元15可为一可插拔的存储卡,将该存储卡插入一 读卡器,以对该对应表进行更新。请一并参考图2,其为该对应表的 示意图。其中, 一个识别码可对应多组访问控制列表。例如IC卡C的 识别码可对应一组访问控制列表e及接口 111的"入"端,还可对应 一组访问控制列表f及接口单元112的"出,,端。
该网络访问控制系统IO还包括一中央处理单元12,其包括一数 据处理模块122、 一控制列表应用模块123及一传输控制模块121。该 数据处理模块122用于从所述接口单元11所接收到的封装数据包中提 取数据封装信息,该数据封装信息包括数据包的源地址、目标地址、 所采用的传输协议及该数据包所属应用程序的端口号等。该控制列表 应用模块123用于接收所述信号接收单元14产生的识别码,从所述存 储单元15中存储的所述对应表查找与该识别码对应的访问控制列表 及其应用位置,并在该位置应用该访问控制列表。该数据传输控制模 块121根据已应用的访问控制列表控制数据传输。
所述中央处理单元12还可包括一规则设置模块124,用于接收所 述信号接收单元14生成的识别码,设置访问控制列表及其应用位置与 该识别码的对应表,并将该对应表存储于所述存储单元15中。
该网络访问控制系统10还包括一控制接口单元13及一显示单元 17。该控制接口单元13连接一电脑,该电脑可通过一终端程序登录该 网络访问控制系统IO并对其进行配置。该显示单元17用于显示当前 各接口已启用的所述访问控制列表。
如图3所示,是本发明访问规则应用方法的流程图,包括步骤 该信号接收单元14接收一信号源发出的识别信号,并生成一识别码 (步骤S31)。该控制列表应用模块123从该存储单元15中的对应表 查找与该识别码对应的访问控制列表及其应用位置,并在该位置应用 该访问控制列表(步骤S32)。该数据处理模块122接收一数据包,并 提取该数据包的封装信息(步骤S33 )。该传输控制模块121根据该封 装信息及已应用的该访问控制列表控制数据的传输(步骤S34)。该信 号接收单元14再次接收该信号源发出的识别信号,生成识别码(步骤 S35)。所述控制列表应用模块123停用该访问控制列表(步骤S36)。
在使用该网络访问控制系统10时,当先后所接收的两个信号源识 别码所对应的访问控制列表的内容有沖突,该控制列表应用模块123 将关闭先接收的信号源识别码所对应的访问控制列表,并启用后接收 的信号源识别码所对应的访问控制列表。例如,IC卡A对应一访问控 制列表a及将其应用于接口单元111的"入"端,其可禁止该电脑30 访问该服务器20; IC卡B对应一访问控制列表b及将其应用于接口单 元111的"入"端,其允许该电脑30访问该服务器20。如果该信号接 收单元14先感应该IC卡A,该控制列表应用模块123已在该接口单 元111的"入"端启用了该访问控制列表a,此时,该信号接收单元 14再感应该IC卡B,则该访问控制列表应用模块123将先停用该访问 控制列表a,再在该接口单元lll的"入"端启用该访问控制列表b。
如图4所示,是本发明访问规则设置方法的流程图,包括以下步 骤所述信号接收单元14接收一信号源发出的识别信号,并生成一识 别码(步骤S41 )。所述访问规则设置模块124设置访问控制列表及其 应用位置与该识别码的对应表,并将该对应表存储于所述存储单元15 (步骤S42 )。
权利要求
1.一种网络访问控制系统,其包括至少两个接口单元,分别与一网络设备连接;一中央处理单元,包括一数据处理模块,用于从所述接口单元接收到的封装数据包中提取数据封装信息;其特征在于,该控制系统还包括一存储单元,存储一组或多组访问控制列表及一对应表,该对应表记录不同识别码、访问控制列表及应用位置的对应关系;一信号接收单元,接收一信号源的识别信号,并生成一识别码;其中,所述中央处理单元还包括一控制列表应用模块,用于接收所述识别码,从所述存储单元中查找与该识别码对应的访问控制列表及其应用位置,并在该位置应用该访问控制列表,以及停用该访问控制列表;一传输控制模块,根据已启用的该访问控制列表的规则控制数据传输。
2. 如权利要求1所述的网络访问控制系统,其特征在于,该控制 系统还包括 一 显示单元用于显示当前各网络接口所应用的所述访问控 制列表。
3. 如权利要求1所述的网络访问控制系统,其特征在于,所述中 央处理单元包括一^见则设置单元,其用于接收所述信号接收单元生成 的识别码,设置一组访问控制列表及其应用位置与该识别码的对应表。
4. 如权利要求1所述的网络访问控制系统,其特征在于,所述信 号接收单元为按键感应装置、IC卡感应装置或语音接收装置。
5. 如权利要求1所述的网络访问控制系统,其特征在于,所述存 储单元为一可插拔的存储卡。
6. —种网络访问控制方法,其特征在于,该方法包括步骤 提供一存储单元存储至少 一访问控制列表及其应用位置与 一识别码的对应表;接收 一 信号源的识别信号并生成 一 识别码;从该存储单元中的对应表查找与该识别码对应的访问控制列表及 其应用位置,并在该位置应用该访问控制列表; 接收一数据包,并提取该数据包的封装信息;根据该封装信息及已应用的该访问控制列表控制数据传输。
7.如权利要求6所述的网络访问控制方法,其特征在于,该方法 包括步骤接收 一 信号源的识别信号并生成 一 识别码; 设置至少一组访问控制列表及其应用位置与该识别码的对应表, 并将该对应表存储于所述存储单元。
全文摘要
本发明提供一种网络访问控制系统,其包括至少两个接口单元,分别与一网络设备连接;一存储单元,存储一组或多组访问控制列表及一对应表,该对应表记录不同识别码、访问控制列表及应用位置的对应关系;一信号接收单元,接收一信号源的识别信号,并生成一识别码;一中央处理单元。其中,该中央处理单元包括一数据处理模块,用于从所述接口单元接收到的封装数据包中提取数据封装信息;一控制列表应用模块,用于接收所述识别码,从所述存储单元中查找与该识别码对应的访问控制列表及其应用位置,并在该位置应用该访问控制列表,以及停用该访问控制列表;一传输控制模块,根据已启用的该访问控制列表的规则控制数据传输。
文档编号H04L12/56GK101102259SQ200610061509
公开日2008年1月9日 申请日期2006年7月5日 优先权日2006年7月5日
发明者翁世芳, 勇 袁 申请人:鸿富锦精密工业(深圳)有限公司;鸿海精密工业股份有限公司