管理接入計算機網(wǎng)絡(luò)的設(shè)備的裝置和方法
【專利摘要】本發(fā)明公開一種管理接入計算機網(wǎng)絡(luò)的設(shè)備的權(quán)限的方法和裝置，其中，持續(xù)監(jiān)控該設(shè)備的行為，當存在非法行為時，根據(jù)非法行為的類別改變該設(shè)備方位計算機網(wǎng)絡(luò)的權(quán)限。由此，本發(fā)明實現(xiàn)了動態(tài)調(diào)整設(shè)備的訪問權(quán)限。
【專利說明】
管理接入計算機網(wǎng)絡(luò)的設(shè)備的裝置和方法
技術(shù)領(lǐng)域
[0001] 本發(fā)明設(shè)及計算網(wǎng)絡(luò)管理，具體設(shè)及，管理計算機網(wǎng)絡(luò)接入設(shè)備的權(quán)限的方法和 裝置。
【背景技術(shù)】
[0002] 在計算機網(wǎng)絡(luò)中，每個設(shè)備都具備唯一的硬件物理地址，稱為MAC地址。當一個設(shè) 備接入計算機網(wǎng)絡(luò)時，網(wǎng)絡(luò)設(shè)備(例如路由器、網(wǎng)絡(luò)交換機等)能夠識別設(shè)備的MAC地址。在 一些安全策略中，網(wǎng)絡(luò)設(shè)備可W設(shè)立黑名單或者白名單W管理網(wǎng)絡(luò)設(shè)備的接入。例如，在黑 名單策略中，物理地址在黑名單中的設(shè)備內(nèi)禁止接入網(wǎng)絡(luò)設(shè)備。又如，在白名單策略中，只 有物理地址在白名單中的設(shè)備才能夠接入網(wǎng)絡(luò)設(shè)備。
[0003] 現(xiàn)有的黑名單策略或者白名單策略是靜態(tài)管理策略。黑名單和白名單是可W調(diào)整 的，例如，可W將一個設(shè)備的物理地址加入黑名單或者從黑名單中去除。然而，黑名單或者 白名單的調(diào)整也是靜態(tài)的，不能動態(tài)調(diào)整。

【發(fā)明內(nèi)容】

[0004] 本發(fā)明的目的是提供一種動態(tài)管理方式，實現(xiàn)設(shè)備的動態(tài)授權(quán)策略。
[0005] 為此，按照本發(fā)明的一個方面，一種管理接入計算機網(wǎng)絡(luò)的設(shè)備的裝置，包括:至 少一個設(shè)備監(jiān)測單元，其監(jiān)測所述設(shè)備的行為；W及權(quán)限管理單元，其控制所述設(shè)備在所述 計算機網(wǎng)絡(luò)中的訪問權(quán)限。其中，所述設(shè)備監(jiān)測單元根據(jù)監(jiān)測到的所述設(shè)備的行為向該權(quán) 限管理單元發(fā)送第一信息，所述權(quán)限管理單元根據(jù)所述第一信息管理所述設(shè)備的所述訪問 權(quán)限。
[0006] 進一步，所述設(shè)備監(jiān)測單元可W是病毒監(jiān)測單元、帶寬監(jiān)控單元、秘鑰監(jiān)控單元、 非法信息監(jiān)測單元W及非法訪問監(jiān)測單元中的一個或多個。
[0007] 由此，所述第一信息可W是所述病毒監(jiān)測單元發(fā)出的傳播病毒的信息，或者是所 述帶寬監(jiān)控單元發(fā)出的占用帶寬的信息，或者是所述密鑰監(jiān)控單元發(fā)出的非法獲取帳號密 碼的信息，或者是所述非法信息監(jiān)測單元發(fā)出的發(fā)送非法信息的信息，或者是所述非法訪 問監(jiān)測單元發(fā)出的非法訪問的信息。
[000引另外，所述權(quán)限管理單元根據(jù)所述第一信息給予所述設(shè)備訪問所述計算機網(wǎng)絡(luò)的 權(quán)限?；蛘?，所述權(quán)限管理單元根據(jù)所述第一信息改變所述設(shè)備訪問所述計算機網(wǎng)絡(luò)的權(quán) 限。
[0009] 又，所述權(quán)限管理單元預(yù)先設(shè)定多于一個的權(quán)限，并根據(jù)所述第一信息授予所述 設(shè)備一個所述預(yù)先設(shè)定的權(quán)限，或者將所述設(shè)備的權(quán)限改變?yōu)榱硪凰龅念A(yù)先設(shè)定的權(quán) 限。
[0010] 本發(fā)明的另一方面，提供一種管理接入計算機網(wǎng)絡(luò)的設(shè)備的方法，包括如下步驟： 持續(xù)監(jiān)測所述設(shè)備的行為；W及根據(jù)所述設(shè)備的行為授予或者改變所述設(shè)備訪問所述計算 機網(wǎng)絡(luò)的權(quán)限。
[0011] 其中，所述持續(xù)監(jiān)測所述設(shè)備的行為是監(jiān)測所述設(shè)備是否傳播病毒、監(jiān)測所述設(shè) 備是否占用帶寬、監(jiān)測所述設(shè)備是否非法獲取帳號密碼、監(jiān)測所述設(shè)備是否發(fā)送非法信息 W及監(jiān)測所述設(shè)備是否非法訪問中的至少一個。
[0012] 又，預(yù)先設(shè)定多于一個權(quán)限，根據(jù)所述持續(xù)監(jiān)測所述設(shè)備的行為的結(jié)果，授予所述 設(shè)備一個所述的預(yù)先設(shè)定的權(quán)限，或者將所述設(shè)備的權(quán)限改變?yōu)榱硪凰鲱A(yù)先設(shè)定的權(quán) 限。
[0013] 在計算所述設(shè)備的數(shù)據(jù)調(diào)度的優(yōu)先級時，所述權(quán)限占80%的權(quán)重，所述設(shè)備的數(shù) 據(jù)流服務(wù)質(zhì)量優(yōu)先級占20 %的權(quán)重。
[0014] 本發(fā)明能夠動態(tài)監(jiān)測接入的設(shè)備，根據(jù)該設(shè)備的行為來授權(quán)或者改變該設(shè)備訪問 計算機網(wǎng)絡(luò)的權(quán)限，實現(xiàn)了可動態(tài)調(diào)整的授權(quán)管理策略。
【附圖說明】
[0015] 下面將W明確易懂的方式，結(jié)合【附圖說明】優(yōu)選實施方式，對上述特性、技術(shù)特征、 優(yōu)點及其實現(xiàn)方式予W進一步說明。
[0016] 圖1為按照本發(fā)明的一個實施例，管理接入計算機網(wǎng)絡(luò)的設(shè)備的裝置示意圖。
[0017] 圖2為按照本發(fā)明的一個實施例，管理接入計算機網(wǎng)絡(luò)的設(shè)備的方法的過程示意 圖。
[001引附圖標號說明：
[0019] 100管理接入計算機網(wǎng)絡(luò)的設(shè)備的裝置
[0020] 110病毒監(jiān)測單元
[0021] 120帶寬監(jiān)控單元
[0022] 130秘鑰監(jiān)控單元
[0023] 140非法信息監(jiān)測單元
[0024] 150非法訪問監(jiān)測單元 [00巧]180權(quán)限管理單元
[00%] 200接入計算機網(wǎng)絡(luò)的設(shè)備
【具體實施方式】
[0027] 為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對照【附圖說明】 本發(fā)明的【具體實施方式】。顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于 本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可W根據(jù)運些附圖獲得其他 的附圖，并獲得其他的實施方式。
[0028] 圖1示出按照本發(fā)明的管理接入計算機網(wǎng)絡(luò)的設(shè)備的裝置的一個實施例。其中，所 述的裝置100包括病毒監(jiān)測單元110、帶寬監(jiān)控單元120、秘鑰監(jiān)控單元130、非法信息監(jiān)測單 元140W及非法訪問監(jiān)測單元150,還包括權(quán)限管理單元180。上述各單元用來監(jiān)控設(shè)備200 的行為，并且構(gòu)造為可分別向該權(quán)限管理單元180發(fā)送信息。
[0029] 其中，該病毒檢測單元110監(jiān)測所述設(shè)備200是否有傳播計算機病毒的行為。并且， 當監(jiān)測到該設(shè)備200有傳播計算機病毒的行為時，向該權(quán)限管理單元180發(fā)出該設(shè)備傳播計 算機病毒的信息。
[0030] 類似地，所述帶寬監(jiān)控單元120監(jiān)測所述設(shè)備是否非法占用帶寬，例如，是否占用 大量帶寬進行下載等。并且，當監(jiān)測到該設(shè)備200非法占用帶寬時，向該權(quán)限管理單元180發(fā) 出該設(shè)備200占用帶寬的信息。
[0031] 所述密鑰監(jiān)控單元130監(jiān)測該設(shè)備是否存在非法獲取帳號密碼的信息，例如，是否 非法獲取當前該設(shè)備訪問的路由器的管理員帳號。當監(jiān)測到該設(shè)備200非法獲取帳號密碼 時，向該權(quán)限管理單元180發(fā)出該設(shè)備非法獲取帳號密碼的信息。
[0032] 所述非法信息監(jiān)測單元140監(jiān)測該設(shè)備200是否發(fā)送非法信息。例如，發(fā)送違法法 律的信息。當監(jiān)測到該設(shè)備200發(fā)送非法信息時，則向該權(quán)限管理單元180發(fā)出該設(shè)備發(fā)送 非法信息的信息。
[0033] 所述非法訪問監(jiān)測單元150監(jiān)測該設(shè)備200是否進行非法訪問，例如，訪問不被允 許的網(wǎng)絡(luò)地址等。當監(jiān)測到該設(shè)備200進行非法訪問時，則向該權(quán)限管理單元180發(fā)出該設(shè) 備非法訪問的信息。
[0034] 如圖1所示，上述信息被發(fā)送到該權(quán)限管理單元180。然而，本領(lǐng)域技術(shù)人員能夠理 解，在其他的實施例中，也可W采用其他的信息，而不限于本實施例中所提及的。并且，在有 些實施例中，可W不采用全部的上述單元和對應(yīng)信息，而只是采用一部分。
[0035] 在本實施例中，所述權(quán)限管理單元180預(yù)先設(shè)定多個權(quán)限，例如表1示出一個預(yù)設(shè) 權(quán)限的例子。
[0036] 表1
[0037]
[0038] 權(quán)限等級1-5對應(yīng)可W訪問的服務(wù)，其中權(quán)限等級1的設(shè)備的所有服務(wù)請求都會被 拒絕，而權(quán)限等級5的設(shè)備則允許訪問任何服務(wù)。
[0039] 其中，基本服務(wù)、高級服務(wù)W及訪問設(shè)備頁面的內(nèi)容可W根據(jù)具體的應(yīng)用環(huán)境而 設(shè)定。在運個例子中，基本服務(wù)可W包括及時通訊、網(wǎng)頁訪問、文本交互等，而高級服務(wù)則可 W包括視頻、游戲、藍牙連接、快速下載、W及訪問擴展存儲等。
[0040] 權(quán)限等級不同則訪問網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)服務(wù)的權(quán)限不同網(wǎng)絡(luò)設(shè)備可W檢測并計算 安全級別W分配不同的權(quán)限，例如，
[0041] 表 2 Γ00421

[0043] 默認的權(quán)限可W設(shè)定為等級4。
[0044] 下面舉例說明根據(jù)監(jiān)測設(shè)備的行為來授權(quán)或者改變設(shè)備的權(quán)限。表3列出了接入 的設(shè)備的MAC地址。由于物理地址與設(shè)備具有一一對應(yīng)關(guān)系，因此我們可W根據(jù)MAC地址確 定設(shè)備。初始的權(quán)限等級為4。等級5由于具有網(wǎng)絡(luò)設(shè)備的管理權(quán)限，應(yīng)當對應(yīng)特定的設(shè)備。
[0045] 表 3
[0046]
[0047] 接入的設(shè)備初始的默認等級為4,即為普通用戶。
[004引前述的各設(shè)備監(jiān)測單元監(jiān)測設(shè)備1-4的行為。例如，當該病毒監(jiān)測單元110監(jiān)測到 設(shè)備1存在傳播病毒、非法獲取帳號密碼等，則該權(quán)限管理單元180將該設(shè)備1的權(quán)限等級改 變?yōu)榈燃?。又，例如，當該帶寬監(jiān)控單元120監(jiān)測到設(shè)備2存在大量占用帶寬進行下載時，貝U 該權(quán)限管理單元180將該設(shè)備2的權(quán)限等級改變?yōu)榈燃?。又，當該所述密鑰監(jiān)控單元130監(jiān) 測到設(shè)備3存在非法獲取帳號密碼的行為時，則該權(quán)限管理單元180將設(shè)備3的權(quán)限等級改 變?yōu)榈燃?。
[0049] 當同時由兩個單元監(jiān)測到設(shè)備具有非法行為時，則將設(shè)備的權(quán)限調(diào)整為更低的權(quán) 限。例如，當非法信息監(jiān)測單元140監(jiān)測到設(shè)備4訪問非法網(wǎng)站，并且非法訪問監(jiān)測單元150 監(jiān)測到設(shè)備4傳播非法信息，則該權(quán)限管理單元180將該設(shè)備4的權(quán)限改變?yōu)榈燃?。
[0050] 表4示出經(jīng)過上述改變后的表3中的設(shè)備的權(quán)限等級。
[0化1 ] 表4
[0化2]
'[0053]~在后續(xù)的計算機網(wǎng)絡(luò)的管理W及網(wǎng)絡(luò)任務(wù)的調(diào)度中，設(shè)備的權(quán)限與所能夠獲得的I 調(diào)度優(yōu)先級是對應(yīng)的。等級1的設(shè)備則被直接拒絕任何服務(wù)。
[0054] 在上面的描述中，設(shè)備的權(quán)限是可W動態(tài)調(diào)整的。需要注意的是，所述的設(shè)備監(jiān)測 單元并不限于本說明書中舉出的例子。并且，本領(lǐng)域技術(shù)人員能夠理解，運些設(shè)備監(jiān)測單元 可W是本領(lǐng)域已知的。
[0055] 另外，本發(fā)明還提供一種管理接入計算機網(wǎng)絡(luò)的設(shè)備的方法。圖2示出該方法的一 個實施例的過程示意圖。
[0056] 其中，持續(xù)監(jiān)測設(shè)備的行為，包括但不限于，監(jiān)測所述設(shè)備是否傳播病毒、監(jiān)測所 述設(shè)備是否占用帶寬、監(jiān)測所述設(shè)備是否非法獲取帳號密碼、監(jiān)測所述設(shè)備是否發(fā)送非法 信息和/或監(jiān)測所述設(shè)備是否非法訪問。
[0057] 進而，根據(jù)所述設(shè)備的行為授予或者改變所述設(shè)備訪問所述計算機網(wǎng)絡(luò)的權(quán)限。 在運個例子中，預(yù)先設(shè)定多于一個權(quán)限，根據(jù)所述持續(xù)監(jiān)測所述設(shè)備的行為的結(jié)果，授予所 述設(shè)備一個所述的預(yù)先設(shè)定的權(quán)限，或者將所述設(shè)備的權(quán)限改變?yōu)榱硪凰鲱A(yù)先設(shè)定的權(quán) 限。
[0058] 運樣，就實現(xiàn)了動態(tài)監(jiān)測和調(diào)整設(shè)備的權(quán)限。
[0059] 根據(jù)授予所述設(shè)備的權(quán)限，可W給設(shè)備相應(yīng)的數(shù)據(jù)調(diào)度優(yōu)先級。
[0060] 傳統(tǒng)的QoS(服務(wù)質(zhì)量)不能夠區(qū)分設(shè)備的權(quán)限，而只是根據(jù)服務(wù)類型進行調(diào)度。通 過控制不同類型的分組對鏈路帶寬的使用，使不同的數(shù)據(jù)流得到不同等級的服務(wù)。
[0061] 按照本發(fā)明的方法，可W根據(jù)設(shè)備的權(quán)限確定該設(shè)備的數(shù)據(jù)調(diào)度優(yōu)先級。即，當設(shè) 備的權(quán)限高時，則調(diào)度優(yōu)先級高，反之，則調(diào)度優(yōu)先級低。
[0062] 在一個例子中，在計算該設(shè)備的數(shù)據(jù)調(diào)度優(yōu)先級時，該設(shè)備的權(quán)限占80%的權(quán)重， 而通常的數(shù)據(jù)流QoS優(yōu)先級占20%，如公式(1)所示。
[0063] 調(diào)度優(yōu)先級=用戶安全級別*80%+數(shù)據(jù)流QoS優(yōu)先級巧0% (1)
[0064] 應(yīng)當說明的是，上述實施例均可根據(jù)需要自由組合。W上所述僅是本發(fā)明的優(yōu)選 實施方式，應(yīng)當指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提 下，還可W做出若干改進和潤飾，運些改進和潤飾也應(yīng)視為本發(fā)明的保護范圍。
【主權(quán)項】
1. 一種管理接入計算機網(wǎng)絡(luò)的設(shè)備的裝置，其特征在于，該裝置包括： 至少一個設(shè)備監(jiān)測單元，其監(jiān)測所述設(shè)備的行為，以及 權(quán)限管理單元，其控制所述設(shè)備在所述計算機網(wǎng)絡(luò)中的訪問權(quán)限， 其中，所述設(shè)備監(jiān)測單元根據(jù)監(jiān)測到的所述設(shè)備的行為向該權(quán)限管理單元發(fā)送第一信 息，所述權(quán)限管理單元根據(jù)所述第一信息管理所述設(shè)備的所述訪問權(quán)限。2. 根據(jù)權(quán)利要求1所述的管理接入計算機網(wǎng)絡(luò)的設(shè)備的裝置，其特征在于，所述設(shè)備監(jiān) 測單元是病毒監(jiān)測單元、帶寬監(jiān)控單元、秘鑰監(jiān)控單元、非法信息監(jiān)測單元以及非法訪問監(jiān) 測單元中的一個或多個。3. 根據(jù)權(quán)利要求2所述的管理接入計算機網(wǎng)絡(luò)的設(shè)備的裝置，其特征在于，所述第一信 息是所述病毒監(jiān)測單元發(fā)出的傳播病毒的信息，所述帶寬監(jiān)控單元發(fā)出的占用帶寬的信 息，所述密鑰監(jiān)控單元發(fā)出的非法獲取帳號密碼的信息，所述非法信息監(jiān)測單元發(fā)出的發(fā) 送非法信息的信息，所述非法訪問監(jiān)測單元發(fā)出的非法訪問的信息中的一個或多個。4. 根據(jù)權(quán)利要求1-3任一項所述的管理接入計算機網(wǎng)絡(luò)的設(shè)備的裝置，其特征在于，所 述權(quán)限管理單元根據(jù)所述第一信息給予所述設(shè)備訪問所述計算機網(wǎng)絡(luò)的權(quán)限。5. 根據(jù)權(quán)利要求1-3任一項所述的管理接入計算機網(wǎng)絡(luò)的設(shè)備的裝置，其特征在于，所 述權(quán)限管理單元根據(jù)所述第一信息改變所述設(shè)備訪問所述計算機網(wǎng)絡(luò)的權(quán)限。6. 根據(jù)權(quán)利要求1所述的管理接入計算機網(wǎng)絡(luò)的設(shè)備的裝置，其特征在于，所述權(quán)限管 理單元預(yù)先設(shè)定多于一個的權(quán)限，并根據(jù)所述第一信息授予所述設(shè)備一個所述預(yù)先設(shè)定的 權(quán)限，或者將所述設(shè)備的權(quán)限改變?yōu)榱硪凰龅念A(yù)先設(shè)定的權(quán)限。7. -種管理接入計算機網(wǎng)絡(luò)的設(shè)備的方法，包括如下步驟： 持續(xù)監(jiān)測所述設(shè)備的行為，以及 根據(jù)所述設(shè)備的行為授予或者改變所述設(shè)備訪問所述計算機網(wǎng)絡(luò)的權(quán)限。8. 根據(jù)權(quán)利要求7所述的管理接入計算機網(wǎng)絡(luò)的設(shè)備的方法，其特征在于，所述持續(xù)監(jiān) 測所述設(shè)備的行為是監(jiān)測所述設(shè)備是否傳播病毒、監(jiān)測所述設(shè)備是否占用帶寬、監(jiān)測所述 設(shè)備是否非法獲取帳號密碼、監(jiān)測所述設(shè)備是否發(fā)送非法信息以及監(jiān)測所述設(shè)備是否非法 訪問中的至少一個。9. 根據(jù)權(quán)利要求7或8所述的管理接入計算機網(wǎng)絡(luò)的設(shè)備的方法，其特征在于，預(yù)先設(shè) 定多于一個權(quán)限，根據(jù)所述持續(xù)監(jiān)測所述設(shè)備的行為的結(jié)果，授予所述設(shè)備一個所述的預(yù) 先設(shè)定的權(quán)限，或者將所述設(shè)備的權(quán)限改變?yōu)榱硪凰鲱A(yù)先設(shè)定的權(quán)限。10. 根據(jù)權(quán)利要求9所述的管理接入計算及網(wǎng)絡(luò)設(shè)備的方法，其特征在于，在計算所述 設(shè)備的數(shù)據(jù)調(diào)度的優(yōu)先級時，所述權(quán)限占80%的權(quán)重，所述設(shè)備的數(shù)據(jù)流服務(wù)質(zhì)量優(yōu)先級 占20 %的權(quán)重。
【文檔編號】H04L29/06GK105871835SQ201610187750
【公開日】2016年8月17日
【申請日】2016年3月29日
【發(fā)明人】張享達
【申請人】上海斐訊數(shù)據(jù)通信技術(shù)有限公司