一种访问控制方法及装置与流程

本发明涉及通信技术领域，尤其涉及一种访问控制方法及装置。

背景技术：

目前云端管理系统被广泛应用，云端设备管理的方式主要的特点是在云端提供用户设备的云端管理资源，用户购买网络设备并接入公网后，通过HTTP的方式访问Web端网管系统，即可对购买的网络设备进行云端管理。当用户数量较多或管理设备的数量较大时，云端网络中通常会部署多台运行网管系统的服务器(以下称为云端网管服务器)进行管理，并在用户与这些管理服务器之间加入负载均衡设备，以提升云端管理的效率。

目前负载均衡的转发方式有很多种，比如基于源MAC地址、目的MAC地址、源IP地址、目的IP地址中的一种或多种组合的方式。但是这些负载均衡方式都是基于底层数据包进行报文转发，而用户在实际应用时更倾向于不同云端网管服务器针对不同用户进行服务。因此现有的负载均衡方案无法满足云端管理用户的需求。

技术实现要素：

有鉴于此，本发明提供一种访问控制方法及装置来解决现有技术中无法实现不同云端网管服务器针对不同用户进行服务的问题。

具体地，本发明是通过如下技术方案实现的：

本发明提供一种访问控制方法，所述方法应用于云端设备管理网络中的负载均衡设备，所述方法包括：

接收用户主机发送的携带cookie的访问请求；

判断所述cookie中是否携带由portal服务器下发的用户信息；

若是，则将所述访问请求转发到所述用户信息对应的云端网管服务器；

若否，则将所述访问请求重定向到所述portal服务器以获取所述用户信息。

进一步的，将所述访问请求转发到所述用户信息对应的云端网管服务器的具体方法为：

在本地已创建的用户信息与云端网管服务器的对应关系中查找到所述cookie携带的用户信息对应的云端网管服务器，将所述访问请求转发到所述云端网管服务器。

进一步的，创建用户信息与云端网管服务器的对应关系，具体为：

当用户在所述云端网管服务器上注册成功之后，在本地创建用户信息与云端网管服务器的对应关系。

进一步的，将所述访问请求重定向到所述portal服务器之后，所述方法进一步包括：

接收portal服务器响应的访问请求，所述访问请求的cookie中携带由所述portal服务器在确定用户登录成功后为该用户下发的用户信息。

本发明提供另一种访问控制方法，所述方法应用于云端设备管理网络中的portal服务器，所述方法包括：

当收到由负载均衡设备重定向的携带cookie的访问请求时，对发送所述访问请求的用户进行登录认证；

确定所述用户登录成功时，在所述访问请求的cookie中增加用户信息；

将增加用户信息后的访问请求重定向至所述负载均衡设备，以使所述负载均衡设备将所述访问请求转发到所述用户信息对应的云端网管服务器。

基于相同的构思，本发明还提供一种访问控制装置，所述装置应用于云端设备管理网络中的负载均衡设备，所述装置包括：

请求接收单元，用于接收用户主机发送的携带cookie的访问请求；

信息判断单元，用于判断所述cookie中是否携带由portal服务器下发的用户信息；

请求转发单元，用于当所述cookie中携带由portal服务器下发的用户信息时，将所述访问请求转发到所述用户信息对应的云端网管服务器；

重定向单元，用于当所述cookie中未携带由portal服务器下发的用户信息时，将所述访问请求重定向到所述portal服务器以获取所述用户信息。

进一步的，所述请求转发单元，具体用于在本地已创建的用户信息与云端网管服务器的对应关系中查找到所述cookie携带的用户信息对应的云端网管服务器，将所述访问请求转发到所述云端网管服务器。

进一步的，所述装置还包括：

关系创建单元，用于当用户在所述云端网管服务器上注册成功之后，在本地创建用户信息与云端网管服务器的对应关系。

进一步的，将所述访问请求重定向到所述portal服务器之后，所述请求接收单元进一步用于接收portal服务器响应的访问请求，所述访问请求的cookie中携带由所述portal服务器在确定用户登录成功后为该用户下发的用户信息。

本发明还提供一种访问控制装置，所述装置应用于云端设备管理网络中的portal服务器，所述装置包括：

登录认证单元，用于当收到由负载均衡设备重定向的携带cookie的访问请求时，对发送所述访问请求的用户进行登录认证；

信息增加单元，用于在确定所述用户登录成功时，在所述访问请求的cookie中增加用户信息；

重定向单元，用于将增加用户信息后的访问请求重定向至所述负载均衡设备，以使所述负载均衡设备将所述访问请求转发到所述用户信息对应的云端网管服务器。

为了解决现有技术存在的问题，本发明提供一种访问控制方法及装置，可以在收到用户主机发送的携带cookie的访问请求时，通过所述cookie中携带的由portal服务器下发的用户信息，来控制所述访问请求转发到所述用户信息对应的云端网管服务器，若cookie未携带用户信息，则将所述访问请求重定向到所述portal服务器以获取所述用户信息。因此，本发明可以通过cookie中的用户信息来对用户的访问请求进行负载均衡，从而可以实现不同云端网管服务器同时对不同租户提供服务，并在一定程度上隔离各租户之间的访问请求，提高云端管理的安全性。

附图说明

图1是本发明一种示例性实施方式中的云端设备管理网络的组网示意图；

图2是本发明一种示例性实施方式中的一种访问控制方法的处理流程图；

图3是本发明一种示例性实施方式中的另一种访问控制方法的处理流程图；

图4是本发明一种示例性实施方式中交互流程图；

图5a本发明一种示例性实施方式中的访问控制装置所在云端网管服务器设备的硬件结构图；

图5b本发明一种示例性实施方式中的一种访问控制装置的逻辑结构图；

图6a本发明一种示例性实施方式中的访问控制装置所在portal服务器设备的硬件结构图；

图6b本发明一种示例性实施方式中的另一种访问控制装置的逻辑结构图。

具体实施方式

请参考图1，是本发明一种示例性实施方式中的云端设备管理网络的组网示意图，其中包括负载均衡设备、用于接入认证的portal服务器以及云端网管服务器。由于目前用户数量较多且管理设备的数量较大，往往需要部署多台运行网管系统的云端网管服务器来提供服务，不同用户的请求通过负载均衡设备分别转发到各自的云端网管服务器上，由于负载均衡设备将用户请求转发到云端网管服务器的过程用户不会感知，因此对用户来说只有与一台云端网管服务器提供服务。由于现有的负载均衡方法在实现多用户请求向集群中某台固定的应用服务器发起请求，所采取的技术主要是利用应用服务器的不同服务特性，例如jboss，apache，tomcat，web logic等，然后通过url或者url参数携带的不同特性，对不同请求重定向到不同的应用服务器上处理。而在云端管理网络中，每个云端网管服务器对于用户来讲都是透明的，因此根据url或者url参数无法区分不同用户访问不同的云端网管服务器。

为了解决现有技术存在的问题，本发明提供一种访问控制方法及装置，可以在收到用户主机发送的携带cookie的访问请求时，通过所述cookie中携带的由portal服务器下发的用户信息，来控制所述访问请求转发到所述用户信息对应的云端网管服务器，若cookie未携带用户信息，则将所述访问请求重定向到所述portal服务器以获取所述用户信息。因此，本发明可以通过cookie中的用户信息来对用户的访问请求进行负载均衡，从而可以实现不同云端网管服务器同时对不同租户提供服务，并在一定程度上隔离各租户之间的访问请求，提高云端管理的安全性。

请参考图2，是本发明一种示例性实施方式中的一种访问控制方法的处理流程图，该方法应用于云端设备管理网络中的负载均衡设备，该负载均衡设备一般部署在用户主机与云端网关服务器之间，所述方法包括：

201、接收用户主机发送的携带cookie的访问请求；

在本实施例中，当用户主机要访问云端网管服务器时，会向云端网管服务器发送访问请求，该访问请求中携带cookie。因此负载均衡设备会收到用户发送的携带cookie的访问请求。

202、判断所述cookie中是否携带由portal服务器下发的用户信息；若是，则转步骤203；若否，则转步骤204；

负载均衡设备在获取访问请求后，进一步判断该访问请求中的cookie中是否携带由portal服务器下发的用户信息，在本实施例中，portal服务器会在用户成功登录portal服务器后，将该用户对应的用户信息添加到响应报文的cookie中。所述用户信息是能够标识该用户唯一性的信息，在本发明可选的实施例中，所述用户信息可以是用户在云端管理系统中的注册用户名、用户主机的MAC地址等。

203、将所述访问请求转发到所述用户信息对应的云端网管服务器；

当负载均衡设备确定所述访问请求的cookie中携带了portal服务器下发的该用户主机对应的用户信息时，可以将所述访问请求转发到所述用户信息对应的云端网管服务器，从而使指定云端网管服务器为该用户提供服务。

在本发明可选的实施例中，用户需要先到云端网管服务器中进行注册，当用户在所述云端网管服务器上注册成功之后，负载均衡设备可以获取用户注册信息中的用户信息，并在本地创建用户信息与云端网管服务器的对应关系。当负载均衡设备确定访问请求中携带用户信息时，则可以在本地已创建的用户信息与云端网管服务器的对应关系中查找到所述cookie携带的用户信息对应的云端网管服务器，将所述访问请求转发到所述云端网管服务器。

204、将所述访问请求重定向到所述portal服务器以获取所述用户信息。

当负载均衡设备确定所述访问请求的cookie中未携带用户信息时，说明该用户主机还未在portal服务器上进行登录认证，因此该负载均衡设备可以进一步将该访问请求重定向到所述portal服务器进行登录认证，以获取所述用户对应的用户信息。在所述portal服务器上进行登录认证的过程与现有的登录认证过程相似，此处不再详细说明。登录认证通过后，该portal服务器会将该用户对应的用户信添加到该访问请求的cookie中，并将携带用户信息的访问请求重定向到所述负载均衡设备，从而使所述负载均衡设备可以接收到portal服务器响应的访问请求，该访问请求的cookie中携带由所述portal服务器在确定用户登录成功后为该用户下发的用户信息。收到该访问报文后，负载均衡设备可以将该访问请求转发至该用户信息对应的云端网管服务器。

相比于现有技术，本发明可以在收到用户主机发送的携带cookie的访问请求时，通过所述cookie中携带的由portal服务器下发的用户信息，来控制所述访问请求转发到所述用户信息对应的云端网管服务器，若cookie未携带用户信息，则将所述访问请求重定向到所述portal服务器以获取所述用户信息。因此，本发明可以通过cookie中的用户信息来对用户的访问请求进行负载均衡，从而可以实现不同云端网管服务器同时对不同租户提供服务，并在一定程度上隔离各租户之间的访问请求，提高云端管理的安全性。

请参考图3，是本发明一种示例性实施方式中的另一种访问控制方法的处理流程图，所述方法应用于云端设备管理网络中的portal服务器，所述方法包括：

步骤301、当收到由负载均衡设备重定向的携带cookie的访问请求时，对发送所述访问请求的用户进行登录认证；

在本实施例中，在负载均衡设备确定用户主机发送的访问请求中的cookie未携带用户信息时，所述portal服务器会收到由负载均衡设备重定向的携带cookie的访问请求。之后，所述portal服务器会对发送所述访问请求的用户进行登录认证。具体来讲，portal服务器会向用户推送登录认证页面，使用户在该页面中提交登录凭据，例如用户名和密码等信息，然后由portal服务器进行认证。

步骤302、确定所述用户登录成功时，在所述访问请求的cookie中增加用户信息；

当portal服务器确定所述用户登录成功时，可以在所述访问请求的cookie中增加用户信息。

步骤303、将增加用户信息后的访问请求重定向至所述负载均衡设备，以使所述负载均衡设备将所述访问请求转发到所述用户信息对应的云端网管服务器。

portal服务器进一步将增加用户信息后的访问请求重定向至所述负载均衡设备，以使所述负载均衡设备将所述访问请求转发到所述用户信息对应的云端网管服务器。

相比于现有技术，本发明可以在收到用户主机发送的携带cookie的访问请求时，通过所述cookie中携带的由portal服务器下发的用户信息，来控制所述访问请求转发到所述用户信息对应的云端网管服务器，若cookie未携带用户信息，则将所述访问请求重定向到所述portal服务器以获取所述用户信息。因此，本发明可以通过cookie中的用户信息来对用户的访问请求进行负载均衡，从而可以实现不同云端网管服务器同时对不同租户提供服务，并在一定程度上隔离各租户之间的访问请求，提高云端管理的安全性。

为使本发明的目的、技术方案及优点更加清楚明白，下面结合图4对本发明提供的方案作进一步地详细说明。

在本方案中，租户在云端设备管理网络中注册时，负载均衡设备中会获取租户的注册信息，其中包括用户信息，本实施例中是用户信息以注册用户名为了进行说明。负载均衡设备获取注册用户名后会根据注册用户名以及对应的云端网管服务器创建一条转发规则。本实施例中提供的访问控制方法的具体交互流程如图4所示，其中包括：

步骤401、负载均衡设备接收用户发送的web请求；

当负载均衡设备收到租户的web请求时，首先判断该web请求中的cookie是否携带注册用户名，若携带，则转步骤402；若未携带，则转步骤403。

步骤402、将该web请求转发至注册用户名对应的云端网管服务器；

当负载均衡设备确定该web请求的cookie中携带了注册用户名，则获取该注册用户名，并根据已创建的转发规则，将该web请求转发到该注册用户名对应的云端网管服务器上。

步骤403、将该web请求重定向到Portal服务器进行登录认证；

当负载均衡设备确定该web请求的cookie中未携带注册用户名时，则将web请求重定向到云端网络中部署的Portal服务器，然后使租户进入云端Portal服务器的登录页面，租户需在登录页面输入用户名和密码进行登录认证。

步骤404、Portal服务器响应应答报文，其中的cookie中携带注册用户名；

登录成功后，Portal服务器会在应答报文的cookie中添加注册用户名，再将应答报文重定向到负载均衡设备，再由负载均衡设备转发至该租户，从而使该租户再次发送web请求时，会根据应答报文中的cookie进行填写，则负载均衡设备再次收到该web请求时，便可以获取该web请求的cookie中的注册用户名，并按照已创建的转发规则进行转发，从而实现了不同的云端网管服务器针对不同的租户提供管理服务，并在一定程度上隔离各租户之间的访问请求，提高云端管理的安全性。

基于相同的构思，本发明还提供一种访问控制装置，该装置可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，本发明的负载均衡装置作为一个逻辑意义上的装置，是通过其所在装置的CPU将存储器中对应的计算机程序指令读取后运行而成。

请参考图5a及图5b，是本发明一种示例性实施方式中的一种访问控制装置500，所述装置应用于云端设备管理网络中的负载均衡设备，该装置基本运行环境包括CPU，存储器以及其他硬件，从逻辑层面上来看，该装置500包括：

请求接收单元501，用于接收用户主机发送的携带cookie的访问请求；

信息判断单元502，用于判断所述cookie中是否携带由portal服务器下发的用户信息；

请求转发单元503，用于当所述cookie中携带由portal服务器下发的用户信息时，将所述访问请求转发到所述用户信息对应的云端网管服务器；

重定向单元504，用于当所述cookie中未携带由portal服务器下发的用户信息时，将所述访问请求重定向到所述portal服务器以获取所述用户信息。

可选的，所述请求转发单元503，具体用于在本地已创建的用户信息与云端网管服务器的对应关系中查找到所述cookie携带的用户信息对应的云端网管服务器，将所述访问请求转发到所述云端网管服务器。

可选的，所述装置还包括：

关系创建单元505，用于当用户在所述云端网管服务器上注册成功之后，在本地创建用户信息与云端网管服务器的对应关系。

可选的，将所述访问请求重定向到所述portal服务器之后，所述请求接收单元501进一步用于接收portal服务器响应的访问请求，所述访问请求的cookie中携带由所述portal服务器在确定用户登录成功后为该用户下发的用户信息。

请参考图6a及图6b，是本发明一种示例性实施方式中的另一种访问控制装置600，所述装置应用于云端设备管理网络中的portal服务器，该装置基本运行环境包括CPU，存储器以及其他硬件，从逻辑层面上来看，该装置600包括：

登录认证单元601，用于当收到由负载均衡设备重定向的携带cookie的访问请求时，对发送所述访问请求的用户进行登录认证；

信息增加单元602，用于在确定所述用户登录成功时，在所述访问请求的cookie中增加用户信息；

重定向单元603，用于将增加用户信息后的访问请求重定向至所述负载均衡设备，以使所述负载均衡设备将所述访问请求转发到所述用户信息对应的云端网管服务器。

由此可见，本发明可以在收到用户主机发送的携带cookie的访问请求时，通过所述cookie中携带的由portal服务器下发的用户信息，来控制所述访问请求转发到所述用户信息对应的云端网管服务器，若cookie未携带用户信息，则将所述访问请求重定向到所述portal服务器以获取所述用户信息。因此，本发明可以通过cookie中的用户信息来对用户的访问请求进行负载均衡，从而可以实现不同云端网管服务器同时对不同租户提供服务，并在一定程度上隔离各租户之间的访问请求，提高云端管理的安全性。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。