控制设备访问的方法

专利名称：控制设备访问的方法
技术领域：
本发明涉及通信领域，并且特别地，涉及一种控制设备访问的方法。
背景技术：
宽带接入设备通常为用户提供带外管理口，以便用户通过简单
网纟各管理十办i义(Simple Network Management Protocol ， SNMP )方式、
或者通过远程登录的方式进入嵌入式网管，并对设备实施管理。
然而，网络的便利性也给设备带来了不安全性，非授权用户如 果获耳又到了网元的IP地址，也可以远程登录设备管理接口并4曼入i殳 备。为了避免这类问题的发生，最常采用的防范方式就是设置用户 名和密码，没有用户名密码的非授权用户即使连接上了管理口也无 法进入设备。
此夕卜，为了限制用户的带外管理连接占用过多的系统网络资源 (例如，套4妄字等)，通常还会对远程登录的连接个lt加以限制。
然而，这种方式存在明显的击夹陷，即，有意或无意的非控^又者 通过若干个连接连上了系统，虽然这些非授权者不能登入设备，但 却已经达到了远程登录的最大连接个数，因此会导致合法用户不能 及时连上设备，且不能正常地访问系统。
针对该问题，目前的解决方案是采用访问控制列表(Access Control List, ACL)技术。互联网通常所说的访问控制列表^支术是 使用包过滤技术读取数据包的包头中的信息，例如，源地址、目的 地址、源端口、目的端口等〗言息，并才艮据预先定义的^见则对包进^f亍 过滤或放行，以达到访问控制的目的。目前，已经存在有许多支持 ACL功能的交换芯片，在使用时，管理员可通过将控制规则配置到 芯片上，之后由硬件来直接判定对数据包的处理方式(即，放行或 过滤)。
然而，如果采用这种方式的话，就需要购买相应的芯片，因此 实现成本4艮高，并且对于上述的主要是为了防止非4受4又访问的应用 环境等这类并不复杂的场合来说，这种方式显然是不适合的。
至今为止，尚未提出能够有效、便捷地解决上述问题的技术方案。

发明内容
考虑到上述问题而做出本发明，为此，本发明的主要目的在于 提供一种控制设备访问的方案。
根据本发明的实施例，提供了 一种控制设备访问的方法。
该方法包括步骤S102，设定对设备管理口的ACL访问规则， 以及对没有命中ACL访问规则的报文的处理规则；步骤S104,获 取系统的工作参数，并结合工作参数判断报文是否命中ACL访问规 则；以及步骤S106,如果净艮文未命中ACL访问规则，贝'J根据处理 一见则进4亍处理；如果报文命中ACL访问身见则，则才艮据ACL访问规 则进4于相应的处理。 其中，在步骤S102与步骤S104之间，进一步包括判断系统 是否使能管理ACL功能，如果未使能管理ACL功能，则允许所有 才艮文通过；否则执4亍步艰《S104和步骤S106。
其中，ACL访问规则包括以下至少之一 缺省ACL访问规则 和配置ACL访问^L则。
在这种情况下，在步骤S104中，可以进一步包括结合工作 参数，判断报文是否命中缺省ACL访问规则，如果命中缺省ACL 访问规则，则根据缺省ACL访问规则进行处理；结合工作参数，判 断未命中缺省ACL访问规则的报文是否命中配置ACL访问规则， 如果命中配置ACL访问规则，贝'J根据配置ACL访问规则进行处理； 根据处理规则处理未命中缺省ACL访问规则和配置ACL访问规则 的才艮文。
并且，可在嵌入式网管用户接口上，提供命令供管理员设置配 置ACLi方问身见则。
其中，在该方法中，处理规则为以下之一允许未命中缺省ACL 访问规则和配置ACL访问规则的报文通过，或拒绝未命中缺省ACL 访问身见则和配置ACL访问失见则的才艮文通过。
其中，在该方法中，缺省ACL访问规则包括允许基本通讯的 才艮文通过，该类才艮文包括但不限于网间控制报文协议(Internet Control Messages Protocol, ICMP)净艮文、；也i止解斗斤十办i义(Address Resolution Protocol, ARP )帧。
此外，在该方法中，配置ACL访问规则包括设定特定字段的 合法或非法信息，对包含合法信息的报文允许通过，或对包含非法 信息的报文拒绝通过，其中，特定字段包括但不限于源IP地址、 目的IP地址、IP协-汉类型、源端口 、目的端口 。
通过本发明的上述技术方案，能够有效地控制报文的通行管理，
达到对接入设备管理接口的访问控制的目的；并且能够在相对简单 的应用环境下，实现低成本的系统安全保证。


此处所说明的附图用来^是供对本发明的进一步理解，构成本申 请的一部分，本发明的示意性实施例及其说明用于解释本发明，并 不构成对本发明的不当限定。在附图中
图1是4艮据本发明实施例的控制i殳备访问的方法的流程图；以
及
图2是根据本发明实施例的控制设备访问的方法的处理实例的 流程图。
具体实施例方式
在本实施例中，提供了一种4空制i殳备i方问的方法。该方法不需 要采用昂贵的ACL芯片就可以有效地实现ACL的思想，降低实现 成本，并有效地达到访问控制的目的。
如图1所示，根据本实施例的控制设备访问的方法包括步骤 S102,设定对设备管理口的ACL访问规则，以及对没有命中ACL 访问规则的报文的处理规则；步骤S104，获取系统的工作参数，并 结合工作参数判断报文是否命中ACL访问规则；以及步骤S106， 如果报文未命中ACL访问规则，则根据处理规则进行处理；如果报 文命中ACL访问规则，则根据ACL访问规则进行相应的处理。
其中，在步艰《S102与步艰《S104之间，可以进一步包4舌判断 系统是否使能管理ACL功能，如果未使能管理ACL功能，则允许 所有才艮文通过；否则执4于步-骤S104和步艰《S106。
其中，ACL访问规则包括以下至少之一缺省ACL访问规则 和配置ACL访问规则。
在这种情况下，在步骤S104中，可以进一步包括结合工作 参数，判断报文是否命中缺省ACL访问规则，如果命中缺省ACL 访问规则，则根据缺省ACL访问规则进行处理；结合工作参数，判 断未命中击夹省ACL访问规则的才艮文是否命中配置ACL ^方问^见则， 如果命中配置ACL访问^L则，贝'J根据配置ACL访问规则进行处理； 以及4艮据处理规则处理未命中缺省ACL访问规则和配置ACL访问 规则的才艮文。
优选地，可在嵌入式网管用户接口上，提供命令供管理员设置 配置ACL"i方问身见则。
此外，在该方法中，处理力见则可以为以下之一允"i午未命中击夹 省ACL访问规则和配置ACL访问规则的报文通过，或拒绝未命中 缺省ACL访问规则和配置ACL访问-见则的才艮文通过。
优选地，缺省ACL访问规则可以包括允许基本通讯的才艮文通 过，该类报文包括但不限于网间控制报文协议(ICMP)报文和地 址解析协i义(ARP)帧。
另夕卜，在该方法中，配置ACL访问规则包括设定特定字段的 合法或非法信息，对包含合法信息的报文允许通过，或对包含非法 信息的报文拒绝通过，其中，特定字段包括但不限于源IP地址、 目的IP ;也址、IP十办i义类型、源端口 、目的端口 。
在实际处理时，可将上述处理简化为以下过程
A，设定若干对设备管理口的缺省ACL访问规则，和/或在嵌 入式网管用户接口上，提供命令供管理员配置定制的ACL访问规则 (即，上述的配置ACL访问规则)；同时设定才艮文不匹配任何访问 规则时的处理规则；
B,当管理口需要进行报文判定时，判断系统是否使能管理ACL 功能，如果使能，则执行步骤C和步骤D;否则允许报文通过。
C，管理口需要进行报文判定时，获取系统当前工作参数；
D, 结合系统工作参数，逐条判断报文是否命中缺省ACL访问 规则，如是，则按缺省访问规则处理；和/或结合系统工作参数，逐 条判断报文是否命中定制的配置ACL访问规则，如是，则按定制的 配置ACL i方问^见则处理；
E, 如果报文没有命中以上任何ACL访问规则(即，未命中缺 省ACL访问规则和配置ACL访问规则)，则根据事先设定好的处理 规则允许报文通过或拒绝报文通过。
下面将结合具体实例描述根据本实施例的方法。
如图2所示，冲艮据本实施例的方法可以包括如下步骤
步骤l,设定若干对设备管理口的缺省ACL访问规则；这个步 骤的目的是为了才艮据系统的需求，固定一些在夬省的身见则，从而免去 管理员每次必须配置一些规则的麻烦，也避免了由于遗漏引起的配 置不完整而导致系统基本的通讯被阻塞；可选地，缺省ACL访问规 则可以为ICMP才艮文、ARP帧可以通过(这才羊是寸呆i正有 一个基本
的检测设备连通性的手段)；并且，设定处理规则，对没有在任何访 问规则中被考虑到的报文均拒绝通过；
步骤2,根据实际情况定制(可由管理员定制)对设备管理口 的其它ACL访问规则(即，上述的配置ACL访问规则)；在执行该 步骤时，可以在嵌入式网管用户接口上提供命令以供管理员配置该 ACL访问》见则，并且该^L则可配置的字段包括源IP地址(包括 掩码)、IP协议类型、源端口、以及目的端口等；其中，管理员可 以定制哪些IP为合法源IP,。那些为非法IP;可以i^问的月l务端口 是哪些(例如，只能使用TELNET服务而不能使用FTP服务等)， 例:^，可以配置为以下^L则
deny source画ip 10.40.1.1/32
deny source-ip any ip-prototol画type TCP dest-port 21 permit source-ip 10.40.1.0/24
上述规则指定了 10.40.1.0/24这个网段的IP地址为授权IP地 址，10.40.1.1是非4受斥又IP地址；此夕卜，不允许对设备进4亍FTP访 问(TCP 21号端口 )；
步骤3，当管理口需要进行报文判定时，判断系统是否使能管 理ACL功能；如果此管理ACL功能未使能，则允许才艮文通过；如 果管理ACL使能，则进入下一步骤；并且，可以通过嵌入式网管用 户接口命令来开关是否使能；
步骤4,当管理口需要进行报文判定时，获取系统当前工作参 数；需要了解设备的管理接口当前的局域网特性参数，例如，在以 太网中工作并且支持tagged (802.1q十办i义才示签)才艮文的处理的情况 下，需要获取当前的标签协议标识(Tag Protocol Identifier, TPID ) 等参数，以便比较报文时作为判断报文格式的起止位置的依据之一；
步骤5，结合系统工作参数，逐条判断报文是否命中缺省ACL 访问规则，如果是，则按缺省ACL访问规则处理，其中，根据缺省 ACL访问规则中关心的字段内容，找到报文中相应的协议字段，判 断是否与规则符合，如果符合，则按该缺省ACL访问规则规定的动 作允许或者拒绝该^艮文；
并且，在该步骤中逐条比较缺省ACL访问规则，直至所有缺省 ACL i方问井见则比4交完毕；
步骤6，结合系统工作参数，逐条判断报文是否命中定制的访 问规则，如果是，则按规则处理，其中，根据配置好的ACL访问规 则中关心的字段内容，找到报文中相应的协议字段，判断是否与规 则符合，如果符合，则按该配置ACL访问规则规定的动作允许或者 拒绝该4艮文；
并且，在该步骤中，逐条比较配置ACL访问规则，直至所有配 置ACL访问失见则比4交完毕。
此外，在上述处理中，如果报文没有命中任何规则，则按步骤 1中设定的处理规则拒绝该报文。至此，报文控制动作执行完毕， 非授权访问的报文会被拒绝，授权访问的报文可以通过，控制访问 的目的达到了。
综上所述，本发明提供了 一种简单实用的ACL访问控制的实现 方式，该方法能够有效地控制报文的通行管理，从而达到对接入设 备管理接口的访问控制的目的；能够在相对简单的应用环境下，实
现低成本的系统安全保证。
以上所述仅为本发明的优选实施例而已，并不用于限制本发明， 对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在 本发明的精神和原则之内，所作的任何修改、等同替换、改进等， 均应包含在本发明的保护范围之内。
权利要求
1.一种控制设备访问的方法，其特征在于，包括步骤S102，设定对设备管理口的ACL访问规则，以及对没有命中所述ACL访问规则的报文的处理规则；步骤S104，获取系统的工作参数，并结合所述工作参数判断报文是否命中所述ACL访问规则；以及步骤S106，如果报文未命中所述ACL访问规则，则根据所述处理规则进行处理；如果报文命中所述ACL访问规则，则根据所述ACL访问规则进行相应的处理。
2. 根据权利要求1所述的控制设备访问的方法，其特征在于，在 所述步骤S102与所述步骤S104之间，进一步包括判断所述 系统是否使能管理ACL功能，如果未使能所述管理ACL功能， 则允许所有报文通过；否则执行所述步骤S104和所述步骤 S106。
3. 根据权利要求1或2所述的控制设备访问的方法，其特征在于， 所述ACL访问规则包括以下至少之一缺省ACL访问规则和 配置ACL访问规则。
4. 根据权利要求3所述的控制设备访问的方法，其特征在于，在 所述步-骤S104中，进一步包4舌结合所述工作参数，判断报文是否命中所述缺省ACL访 问规则，如果命中所述缺省ACL访问规则，则根据所述缺省 ACL访问规则进行处理； 结合所述工作参数，判断未命中所述缺省ACL访问规则 的报文是否命中所述配置ACL访问规则，如果命中所述配置 ACL访问规则，则根据所述配置ACL访问^见则进行处理；以 及根据所述处理规则处理未命中所述缺省ACL访问规则和 所述配置ACL访问规则的报文。
5. 根据权利要求3所述的控制设备访问的方法，其特征在于，在 嵌入式网管用户接口上，^是供命令供管理员i殳置所述配置ACL i方问规则。
6. 根据权利要求4所述的控制设备访问的方法，其特征在于，所 述处理规则为以下之一允许未命中所述缺省ACL访问规则 和所述配置ACL访问规则的净艮文通过，或拒绝未命中所述缺 省ACL访问失见则和所述配置ACL访问失见则的才艮文通过。
7. 根据权利要求4所述的控制设备访问的方法，其特征在于，所 述缺省ACL访问规则包括允许基本通讯的报文通过，所述 基本通讯的报文包括网间控制报文协议报文、地址解析协议帧。
8. 根据权利要求4所述的控制设备访问的方法，其特征在于，所 述配置ACL访问规则包括设定特定字段的合法或非法信息， 对包含合法信息的报文允许通过，或对包含非法信息的报文拒 绝通过，其中，所述特定字段包括源IP地址、目的IP地址、 IP十办i义类型、源端口、目的端口。
全文摘要
本发明公开了一种控制设备访问的方法，包括步骤S102，设定对设备管理口的ACL访问规则，以及对没有命中访问规则的报文的处理规则；步骤S104，获取系统的工作参数，并结合工作参数判断报文是否命中ACL访问规则；以及步骤S106，如果报文未命中ACL访问规则，则根据处理规则进行处理；如果报文命中ACL访问规则，则根据ACL访问规则进行相应的处理。通过使用本发明，能够有效地控制报文的通行管理，达到对接入设备管理接口的访问控制的目的；并且能够在相对简单的应用环境下，实现低成本的系统安全保证。
文档编号H04L29/06GK101115018SQ20071015413
公开日2008年1月30日 申请日期2007年9月17日 优先权日2007年9月17日
发明者康传珍 申请人:中兴通讯股份有限公司