【技术实现步骤摘要】
本申请涉及访问控制
,尤其涉及资源访问控制方法及装置。
技术介绍
图1为终端接入网络的典型应用示意图,其中,AAA(Authentication、AuthorizationandAccounting,认证、授权和计费)服务器为终端提供:认证、授权及计费服务。终端被AAA服务器认证授权后,相关授权信息由AAA服务器通过网管协议通知接入交换机或无线路由器,最终由接入交换机或无线路由器控制终端允许访问的公共资源。在未被认证前,终端只能访问免费的服务器群组,认证后可访问收费服务器群组和因特网。根据用户付费情况不同,其允许访问的资源群组也不同。接入交换机或无线路由器对终端访问资源的控制一般通过ACL(AccessControlList,访问控制列表)实现。每个终端的每个授权均需使用一条ACL表项,来控制终端是否允许访问某资源群组。每条ACL表项由条件和执行动作两部分组成,其中,条件一般为:匹配接入终端的SIP(SourceInternetProtocol,源IP)地址,执行动作为:允许访问某一资源群组,该资源群组通常以其所在网段表示。ACL一般存放在TCAM(TernaryContentAddressableMemory,三态内容寻址存储器)中。由于TCAM的价格比较昂贵,接入交换机或无线路由器的TCAM规格比较小,其上只能存储很少ACL表项,而当接入交换机或无线路由器下挂的终端的数量较多,或者每个终端允许访...
【技术保护点】
一种资源访问控制方法,其特征在于,该方法包括:接入设备在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系;接入设备接收终端发来的资源访问请求,在硬件存储器中查找到所述终端对应的终端公共表项,根据所述终端公共表项的属性到允许终端用户访问的公共资源的映射关系,确定允许终端用户访问的公共资源;接入设备判断所述资源访问请求要访问的公共资源是否包含在所确定的允许终端用户访问的公共资源中,若是,将所述资源访问请求转发出去;否则,丢弃所述资源访问请求。
【技术特征摘要】
1.一种资源访问控制方法,其特征在于,该方法包括:
接入设备在硬件存储器中记录终端公共表项的属性到允许终端用户访问
的公共资源的映射关系;
接入设备接收终端发来的资源访问请求,在硬件存储器中查找到所述终
端对应的终端公共表项,根据所述终端公共表项的属性到允许终端用户访问
的公共资源的映射关系,确定允许终端用户访问的公共资源;
接入设备判断所述资源访问请求要访问的公共资源是否包含在所确定的
允许终端用户访问的公共资源中,若是,将所述资源访问请求转发出去;否则,
丢弃所述资源访问请求。
2.根据权利要求1所述的方法,其特征在于,所述接入设备在硬件存
储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系
包括:
接入设备在硬件存储器中记录各用户类别与允许该类用户访问的公共资
源之间的关联关系,以及记录终端公共表项到用户类别的映射关系;
所述根据所述终端公共表项的属性到允许终端用户访问的公共资源的映
射关系,确定允许终端用户访问的公共资源包括:
根据所述终端公共表项到用户类别的映射关系,确定查找到的终端公共
表项对应的用户类别,根据所述各用户类别与允许该类用户访问的公共资源之
间的关联关系,确定允许所确定的用户类别访问的公共资源。
3.根据权利要求2所述的方法,其特征在于,
所述接入设备在硬件存储器中记录终端公共表项到用户类别的映射关系
包括:
当接入设备要将公共表项存储至硬件存储器时,若发现该公共表项为终
端公共表项,则判断该终端是否通过认证,若通过,根据该终端的用户特征
值向第一服务器查询对应的用户类别,将查询到的用户类别标识添加到该终
\t端公共表项中,若未通过,将默认用户类别标识添加到该终端公共表项中,
将添加了用户类别标识的该终端公共表项存储到硬件存储器中;且,当接入
设备发现一终端通过认证时,向第一服务器查询该终端对应的用户类别,并
在硬件存储器中查找该终端对应的终端公共表项,以查询到的用户类别标识
替换查找到的终端公共表项中的默认用户类别标识;其中,第一服务器中保
存了用户特征值与用户类别标识之间的对应关系;
所述接入设备根据所述终端公共表项到用户类别的映射关系,确定查找
到的终端公共表项对应的用户类别包括:
接入设备从查找到的所述终端公共表项中读取用户类别标识。
4.根据权利要求3所述的方法,其特征在于,
所述接入设备在硬件存储器中记录各用户类别与允许该类用户访问的公
共资源之间的关联关系包括:
接入设备在硬件存储器中记录用户类别与公共资源类别之间的关联关系;
所述当接入设备要将公共表项存储至硬件存储器时进一步包括:
接入设备发现该公共表项为资源公共表项,则根据该资源公共表项中的
公共资源特征值向第一服务器查询对应的公共资源类别标识,将该公共资源
类别标识添加到该资源公共表项中,将该资源公共表项存储到硬件存储器
中;其中,第一服务器保存了公共资源特征值与公共资源类别标识的对应关
系;
所述接入设备根据所述各用户类别与允许该类用户访问的公共资源之间
的关联关系,确定允许所确定的用户类别访问的公共资源包括:
接入设备根据所述资源访问请求中的公共资源标识,在硬件存储器中查找
对应的资源公共表项,从所述资源公共表项中读取公共资源类别标识;
所述接入设备判断所述资源访问请求要访问的公共资源是否包含在所述
允许所确定的用户类别访问的公共资源中包括:
接入设备根据确定的所述用户类别,在硬件存储器中记录的用户类别与公
共资源类别之间的关联关系中,查找到对应的资源类别,判断查找到的资源
\t类别与所读取的资源类别标识是否匹配,若匹配,则确定所述资源访问请求
要访问的公共资源包含在所述允许所确定的用户类别访问的公共资源中。
5.根据权利要求3所述的方法,其特征在于,所述用户特征值为:用
户名,或者为用户终端的IP地址、MAC地址、VLAN标识、端口标识之一
或任意组合;
所述用户类别为:用户的优先级,或者为用户的星级。
6.根据权利要求4所述的方法,其特征在于,所述公共资源特征值为:
公共资源的IP地址、MAC地址、VLAN标识、端口标识之一或任意组合。
7.根据权利要求1所述的方法,其特征在于,
所述接入设备在硬件存储器中记录终端公共表项的属性到允许终端用户
访问的公共资源的映射关系包括:
接入设备在硬件存储器中记录:当命中硬件存储器中的主机路由表项时,
允许终端用户访问所有公共资源,当命中硬件存储器中的最长前缀匹配
LPM表项时,只允许终端用户访问免费公共资源;或者,
当命中硬件存储器中的终端公共表项时,允许终端用户访问所有公共资
源,当未命中硬件存储器中的终端公共表项时,只允许终端用户访问免费公
共资源;或者,
当命中硬件存储器中的静态终端公共表项时,允许终端用户访问所有公
共资源,当命中硬件存储器中的动态终端公共表项时,只允许终端用户访问
免费公共资源。
8.根据权利要求1所述的方法,其特征在于,所述接入设备在硬件存
储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系
包括:
接入设备在硬件存储器中记录终端公共表项的存储区域到允许终端用
户访问的公共资源的映射关系;且,
所述接入设备接收终端发来的资源访问请求之前进一步包括:
当接入设备要将终端公共表项存储至硬件存储器时,根据该终端用户的
\t用户类别,在预先设定的用户类别与终端公共表项的存储区域之间的关联关
系中,查找到该终端公共表项的存储区域,将该终端公共表项存储到硬件存
储器的该存储区域中;
且,所述接入设备根据所述终端公共表项的属性到允许终端用户访问的
公共资源的映射关系,确定允许终端...
【专利技术属性】
技术研发人员:赵海峰,郑国良,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。