一种实现访问控制的装置和方法转让专利
申请号 : CN200710122426.4
文献号 : CN101119234B
文献日 : 2011-03-02
发明人 : 武利明 , 晁飞 , 高明辉
申请人 : 中兴通讯股份有限公司
摘要 :
本发明公开了一种实现访问控制的装置和方法,均可分别设置访问时间和访问规则;关联所设置的访问时间和访问规则;在当前时间落入访问时间的范围时,确定该访问时间所关联的访问规则可被用于网络访问。可见,本发明所提供的实现访问控制的装置和方法,由于将访问时间与访问规则由原来的固化设置改为动态关联,提高了访问控制的灵活性;这种灵活性保证不同的访问规则可以共享同一个访问时间,因而能够有效减少系统资源占用。
权利要求 :
1.1. 一种实现访问控制的装置,其特征在于,该装置包括:依次相连的访问时间管理单元、关联单元、访问规则管理单元;其中,所述访问时间管理单元,用于对设置的访问时间进行管理;
所述关联单元,用于对分别设置的访问时间与访问规则进行关联;
所述访问规则管理单元,用于在当前时间落入所述访问时间的范围时,确定该访问时间所关联的访问规则可被用于网络访问。
2.2. 根据权利要求1所述的装置,其特征在于,所述关联单元进一步与状态管理单元相连;
其中,所述状态管理单元,用于更新访问时间的效用状态,并将更新后的访问时间效用状态通知给所述关联单元;
所述关联单元,进一步用于根据收到的更新后的访问时间以及建立的所述关联关系,对访问时间所对应的访问规则的效用状态进行更新,并将更新后的访问规则效用状态通知给所述访问规则管理单元;
所述访问规则管理单元,进一步用于更新访问规则的效用状态。
3.3. 根据权利要求1或2所述的装置,其特征在于,所述访问规则管理单元进一步与规则执行单元相连;
其中,所述访问规则管理单元,进一步用于将可被用于网络访问的访问规则发送给所述规则执行单元;
所述规则执行单元,用于根据收到的访问规则进行网络访问。
4.4. 根据权利要求1所述的装置,其特征在于,该装置设置于路由器或交换机中。
5.5. 一种实现访问控制的方法,其特征在于,该方法包括:分别设置访问时间和访问规则;关联所设置的访问时间和访问规则;在当前时间落入访问时间的范围时,确定该访问时间所关联的访问规则可被用于网络访问。
6.6. 根据权利要求5所述的方法,其特征在于,所关联的所述访问时间、访问规则分别为一个或多个;所述关联方法为:在所述访问时间与访问规则之间建立对应关系。
7.7. 根据权利要求5所述的方法,其特征在于,进一步对所述访问时间所对应的访问规则的效用状态进行更新。
8.8. 根据权利要求7所述的方法,其特征在于,所述更新方法为:根据当前时间的变化,更新访问时间的效用状态;查找所关联的全部访问时间的效用状态均为无效状态的访问规则;将查找到的访问规则的效用状态确定为无效状态,确定该访问规则不可应用于网络访问。
9.9. 根据权利要求7所述的方法,其特征在于,所述更新方法为:根据当前时间的变化,更新访问时间的效用状态;在处于无效状态的访问规则所关联的访问时间中,查找由无效状态变化为有效状态的访问时间;将查找到的访问时间所关联的访问规则的效用状态确定为有效状态,确定该访问规则可应用于网络访问。
10.10. 根据权利要求5至9任一项所述的方法,其特征在于,进一步使用可应用于网络访问的所述访问规则进行网络访问。
说明书 :
一种实现访问控制的装置和方法
技术领域
[0001] 本发明涉及网络通信技术,具体涉及一种实现访问控制的装置和方法。
背景技术
[0002] 目前所应用的网络访问控制机制,能够针对访问网络的访问时间进行划分,并在不同的访问时间应用预先定义的访问规则进行网络访问。但是,访问时间和访问规则是固化设置的,通常是将访问时间作为访问规则的一部分进行设置;因此,无论是调整访问规则还是访问时间,都需要先将要调整的访问规则/访问时间以及固化在一起的访问时间/访问规则删除,之后再重新固化生成新的访问规则和访问时间,这种不灵活的访问控制设置具有过高的复杂性和难度。
[0003] 另外,由于访问控制的设置方式是固化的,因此很多情况下不同的访问规则无法共享同一个访问时间,而是要新设置固化的访问规则和访问时间,这很可能导致系统资源被大量占用,进而降低系统处理能力。
发明内容
[0004] 有鉴于此,本发明的主要目的在于提供一种实现访问控制的装置和方法,提高访问控制的灵活性,减少系统资源占用。
[0005] 为达到上述目的,本发明的技术方案是这样实现的:
[0006] 一种实现访问控制的装置,该装置包括:依次相连的访问时间管理单元、关联单元、访问规则管理单元;其中,
[0007] 所述访问时间管理单元,用于对设置的访问时间进行管理;
[0008] 所述关联单元,用于对分别设置的访问时间与访问规则进行关联;
[0009] 所述访问规则管理单元,用于在当前时间落入所述访问时间的范围时,确定该访问时间所关联的访问规则可被用于网络访问。
[0010] 所述关联单元进一步与状态管理单元相连;
[0011] 其中,所述状态管理单元,用于更新访问时间的效用状态,并将更新后的访问时间效用状态通知给所述关联单元;
[0012] 所述关联单元,进一步用于根据收到的更新后的访问时间以及建立的所述关联关系,对访问时间所对应的访问规则的效用状态进行更新,并将更新后的访问规则效用状态通知给所述访问规则管理单元;
[0013] 所述访问规则管理单元,进一步用于更新访问规则的效用状态。
[0014] 所述访问规则管理单元进一步与规则执行单元相连;
[0015] 其中,所述访问规则管理单元,进一步用于将可被用于网络访问的访问规则发送给所述规则执行单元;
[0016] 所述规则执行单元,用于根据收到的访问规则进行网络访问。
[0017] 该装置设置于路由器或交换机中。
[0018] 一种实现访问控制的方法,该方法包括:
[0019] 分别设置访问时间和访问规则;关联所设置的访问时间和访问规则;在当前时间落入访问时间的范围时,确定该访问时间所关联的访问规则可被用于网络访问。
[0020] 所关联的所述访问时间、访问规则分别为一个或多个;所述关联方法为:
[0021] 在所述访问时间与访问规则之间建立对应关系。
[0022] 进一步对所述访问时间所对应的访问规则的效用状态进行更新。
[0023] 所述更新方法为:
[0024] 根据当前时间的变化,更新访问时间的效用状态;查找所关联的全部访问时间的效用状态均为无效状态的访问规则;将查找到的访问规则的效用状态确定为无效状态,确定该访问规则不可应用于网络访问。
[0025] 所述更新方法为:
[0026] 根据当前时间的变化,更新访问时间的效用状态;在处于无效状态的访问规则所关联的访问时间中,查找由无效状态变化为有效状态的访问时间;将查找到的访问时间所关联的访问规则的效用状态确定为有效状态,确定该访问规则可应用于网络访问。
[0027] 进一步使用可应用于网络访问的所述访问规则进行网络访问。
[0028] 可见,本发明所提供的实现访问控制的装置和方法,由于将访问时间与访问规则由原来的固化设置改为动态关联,提高了访问控制的灵活性;这种灵活性保证不同的访问规则可以共享同一个访问时间,因而能够有效减少系统资源占用。
附图说明
[0029] 图1为本发明一实施例的实现访问控制的装置图;
[0030] 图2为本发明一实施例的实现访问控制的流程图;
[0031] 图3为本发明另一实施例的实现访问控制的流程图;
[0032] 图4为本发明再一实施例的实现访问控制的流程图。
具体实施方式
[0033] 下面结合附图对本发明技术详细描述。
[0034] 参见图1,图1为本发明一实施例的实现访问控制的装置图,图1中,关联单元分别与访问时间管理单元、访问规则管理单元、状态管理单元相连,图1所示装置通常设置于路由器或交换机中。
[0035] 具体应用时,用户可以针对访问时间和访问规则分别进行设置(如:通过操作界面分别输入彼此独立的访问时间和访问规则),访问时间管理单元接收并保存用户所设置的访问时间,访问规则管理单元则接收并保存用户所设置的访问规则。
[0036] 针对访问时间管理单元中的访问时间和访问规则管理单元中的访问规则,关联单元可以关联(所关联的访问时间、访问规则可以分别为一个或多个)所述访问时间和访问规则,并保存访问时间和访问规则之间的关联关系。如:关联单元从接收到的关联命令中读取要进行关联的访问时间和访问规则,并在读取到的访问时间和访问规则之间建立对应关系,之后保存所述访问时间和访问规则之间的对应关系。
[0037] 完成所述关联之后,在当前时间落入访问时间的范围时,就可以使用该访问时间所关联的访问规则进行网络访问了。可见,为了顺利进行网络访问,需要确定当前时间是否落入了访问时间的范围,只有在当前时间落入访问时间范围(这种情况下,可以称该访问时间的效用状态处于有效状态)时,才能使用该访问时间所对应的访问规则(这种情况下,可以称该访问规则的效用状态处于有效状态)进行网络访问。
[0038] 在实际应用中,状态管理单元可以为确定访问时间以及访问规则的效用状态提供依据:状态管理单元实时性或周期性接收系统时间(指示当前时间)等状态数据,将包含有该状态数据的访问时间的效用状态确定为有效状态,将不包含该状态数据的访问时间的效用状态确定为无效状态;并且,状态管理单元还将已确定的访问时间效用状态发送给关联单元。
[0039] 收到来自状态管理单元的访问时间效用状态时,关联单元根据自身所保存的关联关系查找访问时间所关联的访问规则,如果访问规则所关联的所有访问时间的效用状态均为无效状态,关联单元确定该访问规则的效用状态为无效状态;否则,关联单元确定该访问规则的效用状态为有效状态。之后,关联单元将已确定的访问规则效用状态和来自状态管理单元的访问时间效用状态分别发送给访问规则管理单元、访问时间管理单元。实际上,如果状态管理单元中保存有所述关联关系,那么状态管理单元也可以应用上述方法确定访问规则的效用状态,并将已确定的访问规则效用状态通过关联单元发送给访问规则管理单元。
[0040] 在获知访问规则效用状态的情况下,访问规则管理单元可以将处于有效状态的访问规则发送给相连的规则执行单元(图中未示出),由该规则执行单元使用收到的访问规则进行网络访问。可见,从访问时间的角度来讲,由于当前时间落入了该访问规则所对应的访问时间,因此可以使用该访问规则进行网络访问。
[0041] 当然,也可以在最初设置时直接将访问时间效用状态发送给访问时间管理单元,还直接将访问规则效用状态发送给访问规则管理单元。这样,访问规则管理单元就可以直接在保存的访问规则中查找处于有效状态的访问规则,并将找到的访问规则发送给相连的规则执行单元,由该规则执行单元使用收到的访问规则进行网络访问。
[0042] 需要说明的是,随着当前时间的变化,访问时间的效用状态必然也会发生变化;这种情况下,可能需要根据访问时间效用状态的变化对访问规则效用状态进行更新,并使用更新后处于有效状态的访问规则进行网络访问。涉及所述更新的操作具体为:
[0043] 状态管理单元接收系统时间等状态数据,并根据收到的状态数据确定访问时间的效用状态,再将效用状态发生变化的访问时间发送给关联单元;关联单元根据自身所保存的关联关系查找收到的访问时间所关联的访问规则,如果访问规则所关联的所有访问时间的效用状态均为无效状态,关联单元确定该访问规则的效用状态变化为无效状态;否则,关联单元确定该访问规则的效用状态没有发生变化。之后,关联单元将访问时间和访问规则的变化后效用状态分别发送给访问时间管理单元、访问规则管理单元。
[0044] 同理,在收到的效用状态发生变化的访问时间中,关联单元还可以查找处于无效状态的访问规则所关联的访问时间,如果该访问规则所关联的所有访问时间均由无效状态变化为有效状态,关联单元确定该访问规则的效用状态变化为有效状态;否则,关联单元确定该访问规则的效用状态没有发生变化。之后,关联单元同样可以将访问时间和访问规则的变化后效用状态分别发送给访问时间管理单元、访问规则管理单元。
[0045] 当然,如果状态管理单元中保存有所述关联关系,那么状态管理单元也可以应用上述方法确定访问规则的效用状态,并将访问规则的变化后效用状态通过关联单元发送给访问规则管理单元。
[0046] 在收到访问规则的变化后效用状态时,访问规则管理单元用所收到的变化后效用状态对之前所保存的相应访问规则效用状态进行更新,并将更新后的处于有效状态的访问规则发送给相连的规则执行单元,由该规则执行单元使用收到的访问规则进行网络访问。当然,针对由有效状态变化为无效状态的访问规则而言,应用该访问规则进行网络访问的请求将被拒绝。
[0047] 由图1以及针对图1的描述可见,正常访问时的访问控制流程可以应用图2所示流程表述;当访问时间发生变化导致访问规则由有效状态变化为无效状态时,访问控制流程可以应用图3所示流程表述;当访问时间发生变化导致访问规则由无效状态变化为有效状态时,访问控制流程可以应用图3所示流程表述。
[0048] 下面分别针对图2、图3、图4进行描述:
[0049] 参见图2,图2所示流程包括以下步骤:
[0050] 步骤201:设置并保存访问时间和访问规则。
[0051] 步骤202:关联所设置的访问时间和访问规则。
[0052] 步骤203:在当前时间落入访问时间的范围时,使用该访问时间所关联的访问规则进行网络访问。
[0053] 参见图3,图3所示流程包括以下步骤:
[0054] 步骤301:根据当前时间的变化,更新访问时间的效用状态。
[0055] 步骤302:查找所关联的全部访问时间的效用状态均为无效状态的访问规则。
[0056] 步骤303:将查找到的访问规则的效用状态确定为无效状态,拒绝应用该访问规则进行网络访问。
[0057] 参见图4,图4所示流程包括以下步骤:
[0058] 步骤401:根据当前时间的变化,更新访问时间的效用状态。
[0059] 步骤402:在处于无效状态的访问规则所关联的访问时间中,查找由无效状态变化为有效状态的访问时间。
[0060] 步骤403:将查找到的访问时间所关联的访问规则的效用状态确定为有效状态,应用该访问规则进行网络访问。
[0061] 除了访问时间、访问规则的变化以外,还可以新增或删除已经设置的访问时间、访问规则,并根据新增或删除的访问时间、访问规则建立新的关联关系。
[0062] 在实际应用中,如果访问规则的标识为1,过滤内容为允许所有源网际协议(IP)地址为1.1.1.0的IP包通过,则访问规则可以表示为如下形式:
[0063] rule 1 permit 1.1.1.0255.255.255.0;
[0064] 所述访问时间可以是周期性访问时间或绝对访问时间。其中,绝对访问时间具有具体的开始时间和结束时间;在开始时间和结束时间之间的时间范围内,该访问时间所对应的访问规则处于有效状态。绝对访问时间可以表示为如下形式:
[0065] set time-range time-name range absolute start-time start-date[to end-timeend-date];
[0066] 周期性访问时间可以以星期等作为访问周期;在该周期之内,该访问时间所对应的访问规则处于有效状态。周期性访问时间可以表示为如下形式:
[0067] set time-range time-name range period start-time to endtime day-type;
[0068] 在具体应用时,可以设置如下几个访问时间:
[0069] set time-range TR_1 range absolute 08:00 2006-09-01 to 08:002006-11-20;
[0070] set time-range TR_2 range period 08:00 to 16:00 Monday;
[0071] set time-range TR_3 range period 08:00 to 16:00 Wednesday;
[0072] set time-range TR_4 range period 08:00 to 16:00 Friday;
[0073] 如果希望每周一和每周三的早晨8点到下午16点、以及从2006年9月1日早晨8点到2006年11月20日早晨8点允许源IP地址为1.1.1.0网段的用户访问,那么可以应用如下形式表示访问时间与访问规则之间的关联关系:
[0074] set time-range TR_1 acl 1 rule 1 enable;
[0075] set time-range TR_2 acl 1 rule 1 enable;
[0076] set time-range TR_3 acl 1 rule 1 enable;
[0077] 由以上所述可见,本发明所提供的实现访问控制的装置和方法,由于将访问时间与访问规则由原来的固化设置改为动态关联,提高了访问控制的灵活性;这种灵活性保证不同的访问规则可以共享同一个访问时间,因而能够有效减少系统资源占用。