資源訪問控制方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本申請涉及訪問控制技術(shù)領(lǐng)域,尤其涉及資源訪問控制方法及裝置。
【背景技術(shù)】
[0002]圖1為終端接入網(wǎng)絡(luò)的典型應(yīng)用示意圖,其中,AAA (Authenticat1n、Authorizat1n and Accounting,認(rèn)證、授權(quán)和計費)服務(wù)器為終端提供:認(rèn)證、授權(quán)及計費服務(wù)。終端被AAA服務(wù)器認(rèn)證授權(quán)后,相關(guān)授權(quán)信息由AAA服務(wù)器通過網(wǎng)管協(xié)議通知接入交換機或無線路由器,最終由接入交換機或無線路由器控制終端允許訪問的公共資源。
[0003]在未被認(rèn)證前,終端只能訪問免費的服務(wù)器群組,認(rèn)證后可訪問收費服務(wù)器群組和因特網(wǎng)。根據(jù)用戶付費情況不同,其允許訪問的資源群組也不同。
[0004]接入交換機或無線路由器對終端訪問資源的控制一般通過ACL (Access ControlList,訪問控制列表)實現(xiàn)。每個終端的每個授權(quán)均需使用一條ACL表項,來控制終端是否允許訪問某資源群組。每條ACL表項由條件和執(zhí)行動作兩部分組成,其中,條件一般為:匹配接入終端的SIP (Source Internet Protocol,源IP)地址,執(zhí)行動作為:允許訪問某一資源群組,該資源群組通常以其所在網(wǎng)段表示。
[0005]ACL一般存放在TCAM(Ternary Content Addressable Memory,三態(tài)內(nèi)容尋址存儲器)中。由于TCAM的價格比較昂貴,接入交換機或無線路由器的TCAM規(guī)格比較小,其上只能存儲很少ACL表項,而當(dāng)接入交換機或無線路由器下掛的終端的數(shù)量較多,或者每個終端允許訪問的公共資源數(shù)目較多時,就會導(dǎo)致ACL表項的數(shù)目較多,從而導(dǎo)致TCAM的容量無法滿足要求,也就是說,使用TCAM來存儲ACL表項,無法滿足大量的或精細(xì)化的主機訪問控制需求。
【發(fā)明內(nèi)容】
[0006]本申請實施例提供資源訪問控制方法及裝置。
[0007]本申請的技術(shù)方案是這樣實現(xiàn)的:
[0008]—種資源訪問控制方法,該方法包括:
[0009]接入設(shè)備在硬件存儲器中記錄終端公共表項的屬性到允許終端用戶訪問的公共資源的映射關(guān)系;
[0010]接入設(shè)備接收終端發(fā)來的資源訪問請求,在硬件存儲器中查找到所述終端對應(yīng)的終端公共表項,根據(jù)所述終端公共表項的屬性到允許終端用戶訪問的公共資源的映射關(guān)系,確定允許終端用戶訪問的公共資源;
[0011]接入設(shè)備判斷所述資源訪問請求要訪問的公共資源是否包含在所確定的允許終端用戶訪問的公共資源中,若是,將所述資源訪問請求轉(zhuǎn)發(fā)出去;否則,丟棄所述資源訪問請求。
[0012]—種資源訪問控制裝置,位于接入設(shè)備上,該裝置包括:
[0013]存儲處理模塊:在硬件存儲器中記錄終端公共表項的屬性到允許終端用戶訪問的公共資源的映射關(guān)系;
[0014]訪問控制模塊:接收終端發(fā)來的資源訪問請求,在硬件存儲器中查找到所述終端對應(yīng)的終端公共表項,根據(jù)所述終端公共表項的屬性到允許終端用戶訪問的公共資源的映射關(guān)系,確定允許終端用戶訪問的公共資源;判斷所述資源訪問請求要訪問的公共資源是否包含在所確定的允許終端用戶訪問的公共資源中,若是,將所述資源訪問請求轉(zhuǎn)發(fā)出去;否則,丟棄所述資源訪問請求。
[0015]可見,本申請實施例中,只需使用很少的硬件存儲資源,即可實現(xiàn)對主機訪問資源的控制。
【附圖說明】
[0016]圖1為終端接入網(wǎng)絡(luò)的典型應(yīng)用示意圖;
[0017]圖2為本申請一實施例提供的資源訪問控制方法流程圖;
[0018]圖3為本申請另一實施例提供的資源訪問控制方法流程圖;
[0019]圖4為本申請又一實施例提供的資源訪問控制方法流程圖;
[0020]圖5為本申請又一實施例提供的資源訪問控制方法流程圖;
[0021]圖6為本申請又一實施例提供的資源訪問控制方法流程圖;
[0022]圖7為本申請實施例提供的資源訪問控制裝置的組成示意圖。
【具體實施方式】
[0023]以下結(jié)合具體實施例對本申請進(jìn)行進(jìn)一步詳細(xì)說明。
[0024]圖2為本申請一實施例提供的資源訪問控制方法流程圖,其具體步驟如下:
[0025]步驟201:接入設(shè)備在硬件存儲器中記錄終端公共表項的屬性到允許終端用戶訪問的公共資源的映射關(guān)系。
[0026]步驟202:接入設(shè)備接收終端發(fā)來的資源訪問請求,在硬件存儲器中查找到終端對應(yīng)的終端公共表項,根據(jù)終端公共表項的屬性到允許終端用戶訪問的公共資源的映射關(guān)系,確定允許終端用戶訪問的公共資源。
[0027]步驟203:接入設(shè)備判斷資源訪問請求要訪問的公共資源是否包含在所確定的允許終端用戶訪問的公共資源中,若是,執(zhí)行步驟204 ;否則,執(zhí)行步驟205。
[0028]步驟204:接入設(shè)備將資源訪問請求轉(zhuǎn)發(fā)出去,本流程結(jié)束。
[0029]步驟205:接入設(shè)備丟棄資源訪問請求。
[0030]圖3為本申請另一實施例提供的資源訪問控制方法流程圖,其具體步驟如下:
[0031]步驟301:預(yù)先在第一服務(wù)器上配置用戶特征值與用戶類別標(biāo)識(User-Class-1D)的對應(yīng)關(guān)系,預(yù)先在接入設(shè)備的硬件存儲器中配置各用戶類別標(biāo)識(User-Class-1D)與允許該類用戶訪問的公共資源網(wǎng)絡(luò)地址的對應(yīng)關(guān)系。
[0032]用戶特征值如:用戶名,或者用戶終端的IP地址、MAC (Media Access Control,介質(zhì)訪問控制)地址、VLAN (Virtual Local Area Network,虛擬局域網(wǎng))標(biāo)識、端口標(biāo)識之一或任意組合;用戶類別標(biāo)識如:用戶的優(yōu)先級、星級等,在實際應(yīng)用中,用戶的優(yōu)先級或者星級不同,其被允許訪問的公共資源也不同。
[0033]公共資源網(wǎng)絡(luò)地址為:公共資源的具體地址,或者公共資源群組的網(wǎng)段等。
[0034]由于硬件存儲器的限制,對于硬件存儲器中的每一條用戶類別標(biāo)識與允許該類用戶訪問的公共資源網(wǎng)絡(luò)地址的對應(yīng)關(guān)系,其中只能包含公共資源的一個地址或者一個網(wǎng)段,若某類用戶被允許訪問多個公共資源,且該多個公共資源的地址不連續(xù),或者分布在多個網(wǎng)段上,則需要針對公共資源的每個地址、每個網(wǎng)段,在硬件存儲器中分別存儲一條該用戶類別標(biāo)識與允許該類用戶訪問的公共資源的地址或者網(wǎng)段的對應(yīng)關(guān)系。
[0035]第一服務(wù)器可以是AAA服務(wù)器。
[0036]接入設(shè)備可以是接入交換機,也可以是接入路由器。
[0037]步驟302:在接入設(shè)備上預(yù)先配置默認(rèn)的User Class-1D0
[0038]默認(rèn)的User Class-1D通常用于表示未通過認(rèn)證的用戶的類別。
[0039]步驟303:接入設(shè)備的CPU生成一公共表項,若確認(rèn)該公共表項是針對終端的,則:若該終端還未通過認(rèn)證,則將默認(rèn)的用戶類別標(biāo)識(User-Class-1D)添加到該終端公共表項中,若該終端已通過認(rèn)證,則根據(jù)該終端的用戶特征值向第一服務(wù)器查詢對應(yīng)的User-Class-1D,將查詢到的User-Class-1D添加到該終端公共表項中,然后將添加了User-Class-1D的該終端公共表項存儲到硬件存儲器中。
[0040]公共表項如:MAC表項、VLAN 表項、FIB (Forwarding Informat1n Base,轉(zhuǎn)發(fā)信息庫)表項、ARP(Address Resolut1n Protocol,地址解析協(xié)議)表項等。若公共表項中的標(biāo)識信息如:IP地址、MAC地址、VLAN標(biāo)識、端口標(biāo)識是針對終端的,則認(rèn)為該公共表項是針對終端的。
[0041]另外,當(dāng)接入設(shè)備接收到AAA服務(wù)器發(fā)來的指示一終端通過認(rèn)證的消息后,要在硬件存儲器中查找該終端對應(yīng)的終端公共表項,若查找到,則根據(jù)該終端的用戶特征值向第一服務(wù)器查詢對應(yīng)的User-Class-1D,以查找到的該User-Class-1D更新查找到的終端公共表項中的默認(rèn)User-Class-1D。
[0042]步驟304:接入設(shè)備接收終端發(fā)來的資源訪問請求,根據(jù)該請求中的終端標(biāo)識,在硬件存儲器中查找到對應(yīng)的終端公共表項。
[0043]步驟305:接入設(shè)備根據(jù)查找到的終端公共表項中的User-Class-1D,在硬件存儲器中配置的各用戶類別標(biāo)識(User-Class-1D)與允許該類用戶訪問的公共資源網(wǎng)絡(luò)地址的對應(yīng)關(guān)系中,查找到允許該類用戶訪問的公共資源網(wǎng)絡(luò)地址。
[0044]步驟306:接入設(shè)備判斷該資源訪問請求要訪問的公共資源的網(wǎng)絡(luò)地址是否包含在查找到的允許該類用戶訪問的公共資源網(wǎng)絡(luò)地址中,若是,執(zhí)行步驟307;否則,執(zhí)行步驟 308。
[0045]步驟307:接入設(shè)備根據(jù)該資源訪問請求的目的地址,在硬件存儲器中查找到對應(yīng)的轉(zhuǎn)發(fā)表項,根據(jù)該轉(zhuǎn)發(fā)表項將該資源訪問請求轉(zhuǎn)發(fā)出去,本流程結(jié)束。
[0046]步驟308:接入設(shè)備丟棄該資源訪問請求。
[0047]圖4為本申請又一實施例提供的資源訪問控制方法流程圖,其具體步驟如下:
[0048]步驟401:預(yù)先在第一服務(wù)器上配置用戶特征值與用戶類別標(biāo)識(User-Class-1D)的