專利名稱:IPv6/IPv4地址分級訪問權(quán)限控制方法和訪問控制網(wǎng)關(guān)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域�����,更具體地����,涉及一種對因特網(wǎng)協(xié)議版本6/因特網(wǎng)協(xié)議版本4(IPv6/IPv4)雙棧地址相互間的訪問權(quán)限控制方法和訪問控制網(wǎng)關(guān)(NAS)。
背景技術(shù):
近年來���,隨著互聯(lián)網(wǎng)的發(fā)展�����,各種新型寬帶接入技術(shù)層出不窮,在全球范圍內(nèi)得到了廣泛應(yīng)用����。但無論使用何種寬帶接入技術(shù)訪問互聯(lián)網(wǎng)絡(luò),認(rèn)證計(jì)費(fèi)問題都是網(wǎng)絡(luò)接入商和最終用戶共同關(guān)注的一個(gè)問題���。
對于網(wǎng)絡(luò)運(yùn)營商而言���,認(rèn)證計(jì)費(fèi)是不可缺少的功能需求�。然而��,絕大多數(shù)網(wǎng)絡(luò)運(yùn)營商的認(rèn)證計(jì)費(fèi)系統(tǒng)都是基于傳統(tǒng)的IPv4網(wǎng)絡(luò)設(shè)計(jì)的����,僅有允許和禁止兩種訪問控制權(quán)限,遠(yuǎn)遠(yuǎn)不能滿足訪問控制多樣化的需求�。首先,單一的準(zhǔn)入控制模式無法區(qū)分網(wǎng)內(nèi)和網(wǎng)外���、國內(nèi)和國外流量����,導(dǎo)致稀缺帶寬資源和富裕帶寬資源被同等對待���,不僅使運(yùn)營商流失了大量的利潤來源��,同時(shí)也使用戶對所收的費(fèi)用�����、所獲得的服務(wù)產(chǎn)生不滿�����;其次,傳統(tǒng)的認(rèn)證計(jì)費(fèi)系統(tǒng)對通過認(rèn)證之后的用戶訪問完全不做控制,運(yùn)營商對網(wǎng)絡(luò)的監(jiān)控能力減弱���,由此造成了一些網(wǎng)絡(luò)安全方面的隱患���。隨著IPv6的應(yīng)用以及人們對網(wǎng)絡(luò)安全����、網(wǎng)絡(luò)分級的重視�����,基于IPv6的分級身份認(rèn)證與訪問控制系統(tǒng)正成為未來網(wǎng)絡(luò)接入的發(fā)展趨勢�。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種兼容IPv6的IPv6/IPv4地址分級訪問控制授權(quán)方法,使用該方法可以高效靈活地對接入終端用戶實(shí)現(xiàn)認(rèn)證計(jì)費(fèi)功能�����。根據(jù)本發(fā)明��,對所有待訪問IPv6/IPv4地址進(jìn)行區(qū)分�,依據(jù)資源、帶寬��、距離等分成不同的域組�,然后再給網(wǎng)內(nèi)認(rèn)證過后的IPv6/IPv4地址賦予對應(yīng)的訪問控制權(quán)限,使得網(wǎng)內(nèi)IPv6/IPv4地址能夠訪問一個(gè)或多個(gè)特定的IPv6/IPv4地址域�����,為網(wǎng)絡(luò)運(yùn)營商提供多級�����、靈活的訪問權(quán)限控制功能���,利于網(wǎng)絡(luò)運(yùn)營商實(shí)現(xiàn)業(yè)務(wù)多樣化�����,增加其對網(wǎng)絡(luò)的監(jiān)控管理能力�。
根據(jù)本發(fā)明的第一方案���,提出了一種分級訪問權(quán)限控制方法�,包括以下步驟從來自客戶端的數(shù)據(jù)包中提取出源地址和目的地址的訪問權(quán)限屬性�;根據(jù)源地址和目的地址的訪問權(quán)限屬性����,確定是否允許客戶端對目的地址進(jìn)行訪問��;在確定允許客戶端對目的地址進(jìn)行訪問的情況下����,復(fù)制數(shù)據(jù)包的包頭,進(jìn)行流量統(tǒng)計(jì)�����,并向目的地址轉(zhuǎn)發(fā)數(shù)據(jù)包����;以及在確定不允許客戶端對目的地址進(jìn)行訪問的情況下,直接丟棄數(shù)據(jù)包���。
優(yōu)選地��,所述分級訪問權(quán)限控制方法還包括以下步驟在確定不允許客戶端對目的地址進(jìn)行訪問的情況下����,根據(jù)訪問端口參數(shù)��,確定是否對數(shù)據(jù)包進(jìn)行重定向�;在確定需要對數(shù)據(jù)包進(jìn)行重定向的情況下,修改數(shù)據(jù)包的包頭中的目的地址和/或目的端口�,并向修改后的目的地址轉(zhuǎn)發(fā)數(shù)據(jù)包;以及在確定不需要對數(shù)據(jù)包進(jìn)行重定向的情況下��,直接丟棄數(shù)據(jù)包���。
優(yōu)選地�����,目的地址被劃分為多個(gè)地址域����,以及源地址的訪問權(quán)限屬性包括針對每一地址域的訪問權(quán)限��。
更優(yōu)選地���,所述多個(gè)地址域包括以下主地址域本地接入網(wǎng)��、城域網(wǎng)��、國內(nèi)互聯(lián)網(wǎng)�、國際互聯(lián)網(wǎng)、禁止訪問���,每個(gè)目的地址屬于且僅屬于上述主地址域之一��?����;蛘?�,可選地�����,所述多個(gè)地址域是由網(wǎng)絡(luò)運(yùn)營商定義的自定義域���,每個(gè)目的地址屬于一個(gè)或多個(gè)自定義域。
更優(yōu)選地����,所述多個(gè)地址域還包括由網(wǎng)絡(luò)運(yùn)營商定義的自定義域,每個(gè)目的地址屬于一個(gè)或多個(gè)自定義域�。
進(jìn)一步優(yōu)選地��,源地址和目的地址中的每一個(gè)都具有與之對應(yīng)的訪問權(quán)限字段�,所述訪問權(quán)限字段中的第一部分用于標(biāo)識自定義域����,以及所述訪問權(quán)限字段中的第二部分用于標(biāo)識訪問權(quán)限控制信息��。
優(yōu)選地�,通過對源地址和目的地址的訪問權(quán)限屬性進(jìn)行邏輯與操作,確定是否允許客戶端對目的地址進(jìn)行訪問�����,當(dāng)邏輯與操作所得到的結(jié)果為真時(shí)���,確定允許客戶端對目的地址進(jìn)行訪問����;而當(dāng)邏輯與操作所得到的結(jié)果為假時(shí)�,確定不允許客戶端對目的地址進(jìn)行訪問。
根據(jù)本發(fā)明的第二方案�,提出了一種訪問控制網(wǎng)關(guān),包括訪問權(quán)限提取裝置����,用于從來自客戶端的數(shù)據(jù)包中提取出源地址和目的地址的訪問權(quán)限屬性�;以及訪問控制裝置��,用于根據(jù)源地址和目的地址的訪問權(quán)限屬性���,確定是否允許客戶端對目的地址進(jìn)行訪問����;數(shù)據(jù)包轉(zhuǎn)發(fā)裝置�,用于在所述訪問控制裝置確定允許客戶端對目的地址進(jìn)行訪問的情況下,復(fù)制數(shù)據(jù)包的包頭�,進(jìn)行流量統(tǒng)計(jì),并向目的地址轉(zhuǎn)發(fā)數(shù)據(jù)包���,以及在所述訪問控制裝置確定不允許客戶端對目的地址進(jìn)行訪問的情況下�����,直接丟棄數(shù)據(jù)包���。
優(yōu)選地,所述訪問控制網(wǎng)關(guān)��,還包括重定向控制裝置,用于在所述訪問控制裝置確定不允許客戶端對目的地址進(jìn)行訪問的情況下��,根據(jù)訪問端口參數(shù)����,確定是否對數(shù)據(jù)包進(jìn)行重定向;數(shù)據(jù)包重定向裝置��,用于在所述重定向控制裝置確定需要對數(shù)據(jù)包進(jìn)行重定向的情況下�����,修改數(shù)據(jù)包的包頭中的目的地址和/或目的端口��,并向修改后的目的地址轉(zhuǎn)發(fā)數(shù)據(jù)包���,以及在確定不需要對數(shù)據(jù)包進(jìn)行重定向的情況下,直接丟棄數(shù)據(jù)包���。
優(yōu)選地����,目的地址被劃分為多個(gè)地址域����,以及源地址的訪問權(quán)限屬性包括針對每一地址域的訪問權(quán)限�����。
更優(yōu)選地����,所述多個(gè)地址域包括以下主地址域本地接入網(wǎng)���、城域網(wǎng)�����、國內(nèi)互聯(lián)網(wǎng)����、國際互聯(lián)網(wǎng)�、禁止訪問,每個(gè)目的地址屬于且僅屬于上述主地址域之一���?��;蛘?���,可選地����,所述多個(gè)地址域是由網(wǎng)絡(luò)運(yùn)營商定義的自定義域,每個(gè)目的地址屬于一個(gè)或多個(gè)自定義域��。
更優(yōu)選地��,所述多個(gè)地址域還包括由網(wǎng)絡(luò)運(yùn)營商定義的自定義域����,每個(gè)目的地址屬于一個(gè)或多個(gè)自定義域���。
進(jìn)一步優(yōu)選地�����,源地址和目的地址中的每一個(gè)都具有與之對應(yīng)的訪問權(quán)限字段���,所述訪問權(quán)限字段中的第一部分用于標(biāo)識自定義域,以及所述訪問權(quán)限字段中的第二部分用于標(biāo)識訪問權(quán)限控制信息����。
優(yōu)選地����,所述訪問控制裝置對源地址和目的地址的訪問權(quán)限屬性進(jìn)行邏輯與操作�����,以確定是否允許客戶端對目的地址進(jìn)行訪問�,當(dāng)邏輯與操作所得到的結(jié)果為真時(shí),所述訪問控制裝置確定允許客戶端對目的地址進(jìn)行訪問���;而當(dāng)邏輯與操作所得到的結(jié)果為假時(shí)����,所述訪問控制裝置確定不允許客戶端對目的地址進(jìn)行訪問��。
與現(xiàn)有技術(shù)相比����,本發(fā)明在以下方面具有突出的優(yōu)點(diǎn) 1、地址權(quán)限字段中主地址域和自定義地址域的結(jié)合使用�,提供了多級、靈活的訪問權(quán)限控制功能,較強(qiáng)的網(wǎng)絡(luò)監(jiān)控管理能力�����。
2��、基于權(quán)限字段/內(nèi)存地址字段復(fù)用技術(shù)��,使得本發(fā)明具有較低的空間復(fù)雜度����。
3、基于n-tries樹的權(quán)限字段查找算法���,CPU對邏輯與運(yùn)算的快速執(zhí)行能力使得本發(fā)明具有較低的時(shí)間復(fù)雜度�。
通過下面結(jié)合
本發(fā)明的優(yōu)選實(shí)施例�,將使本發(fā)明的上述及其它目的����、特征和優(yōu)點(diǎn)更加清楚,其中 圖1A示出了地址分類的示意圖�����; 圖1B是示出了用戶登錄訪問互聯(lián)網(wǎng)和用戶注銷的簡單流程的示意圖; 圖2是示出了網(wǎng)絡(luò)訪問服務(wù)器(NAS)的數(shù)據(jù)包處理流程圖�����;以及 圖3是示出了網(wǎng)絡(luò)訪問服務(wù)器(NAS)的示例結(jié)構(gòu)的方框圖�。
具體實(shí)施例方式 為了清楚詳細(xì)的闡述本發(fā)明的實(shí)現(xiàn)過程,下面給出了一些本發(fā)明的具體實(shí)施例���,此系統(tǒng)不僅適用于大中型網(wǎng)絡(luò)運(yùn)營商�����,也適合應(yīng)用于公司的辦公網(wǎng)���、學(xué)校的校園網(wǎng)以及網(wǎng)吧等中小型網(wǎng)絡(luò)的訪問權(quán)限控制系統(tǒng)。需要說明的是���,本發(fā)明并不局限于這些應(yīng)用����,而是可適用于更多其它相關(guān)的網(wǎng)絡(luò)訪問控制系統(tǒng)��。
下面參照附圖對本發(fā)明的優(yōu)選實(shí)施例進(jìn)行詳細(xì)說明���,在描述過程中省略了對于本發(fā)明來說是不必要的細(xì)節(jié)和功能����,以防止對本發(fā)明的理解造成混淆。
為實(shí)現(xiàn)本發(fā)明�����,在IPv6/IPv4地址分級訪問控制授權(quán)系統(tǒng)中����,將所有的IPv6/IPv4地址分為網(wǎng)內(nèi)地址和網(wǎng)外地址兩大類。
圖1A示出了地址分類的示意圖�����。
網(wǎng)內(nèi)地址是指在訪問控制網(wǎng)關(guān)100下級的IPv6/IPv4地址范圍�����,即用戶接入互聯(lián)網(wǎng)時(shí)從網(wǎng)絡(luò)運(yùn)營商獲得的本機(jī)IPv6/IPv4地址����,這類IPv6/IPv4地址需要通過訪問控制網(wǎng)關(guān)的認(rèn)證之后才能訪問外網(wǎng)����。網(wǎng)外地址是指訪問控制網(wǎng)關(guān)外部的IPv6/IPv4地址�����,即用戶通常要訪問的那些地址���。網(wǎng)外地址又被劃分為本地接入網(wǎng)200、城域網(wǎng)300�����、國內(nèi)互聯(lián)網(wǎng)400�、國際互聯(lián)網(wǎng)500、禁止訪問600五個(gè)子類�����,另外再提供15個(gè)用戶自定義級別����,支持運(yùn)營商自定義用戶域和IPv6/IPv4地址域,為網(wǎng)絡(luò)運(yùn)營商提供更精細(xì)的訪問權(quán)限控制功能��。
圖1B是示出了用戶登錄訪問互聯(lián)網(wǎng)和用戶注銷的簡單流程的示意圖�。如圖1B所示�,用戶登錄訪問互聯(lián)網(wǎng)的過程簡單描述如下首先�,由客戶端(Client)向網(wǎng)絡(luò)訪問服務(wù)器(NAS)(本發(fā)明中的訪問控制網(wǎng)關(guān))發(fā)送用戶登陸請求,訪問控制網(wǎng)關(guān)在接到用戶的登陸請求后�,通過認(rèn)證模塊連接Radius服務(wù)器以驗(yàn)證用戶身份,驗(yàn)證通過后從數(shù)據(jù)庫返回用戶訪問權(quán)限��,訪問控制網(wǎng)關(guān)開始對用戶進(jìn)行計(jì)費(fèi)�;同時(shí)根據(jù)Radius服務(wù)器返回的用戶屬性,訪問控制網(wǎng)關(guān)給該用戶的IPv6/IPv4網(wǎng)內(nèi)地址設(shè)置對應(yīng)的訪問權(quán)限�,此后用戶就能正常訪問其權(quán)限范圍內(nèi)的IPv6/IPv4地址了,如只訪問接入網(wǎng)��,只訪問國際+國內(nèi)����。當(dāng)用戶訪問外網(wǎng)某IPv6/IPv4地址時(shí),數(shù)據(jù)包流經(jīng)訪問控制網(wǎng)關(guān)�,由訪問控制網(wǎng)關(guān)判斷該用戶是否具有對目的IPv6/IPv4地址的訪問權(quán)限,如果該用戶具有相應(yīng)權(quán)限�����,則向目的IPv6/IPv4地址轉(zhuǎn)發(fā)數(shù)據(jù)包�����,否則進(jìn)行重定向處理或直接丟棄數(shù)據(jù)包�。用戶注銷時(shí)再恢復(fù)所述用戶的IPv6/IPv4網(wǎng)內(nèi)地址的初始訪問權(quán)限。
如圖1B所示����,用戶注銷過程和用戶登陸過程類似,也是先由客戶端向訪問控制網(wǎng)關(guān)發(fā)送用戶下線請求�,訪問控制網(wǎng)關(guān)在接到用戶下線請求后,將用戶登陸時(shí)所使用的IPv6/IPv4地址的權(quán)限字段值設(shè)置回默認(rèn)值�����,然后再將用戶本次上線的相關(guān)統(tǒng)計(jì)信息通過計(jì)費(fèi)模塊寫到數(shù)據(jù)庫中�����。
圖2是示出了網(wǎng)絡(luò)訪問服務(wù)器(NAS)(本發(fā)明中的訪問控制網(wǎng)關(guān))的數(shù)據(jù)包處理流程圖���。
如圖2所示����,根據(jù)本發(fā)明的NAS網(wǎng)關(guān)數(shù)據(jù)包處理流程方法包括以下步驟 步驟S201�,數(shù)據(jù)包預(yù)處理。訪問控制網(wǎng)關(guān)對數(shù)據(jù)包進(jìn)行錯(cuò)誤檢查�。若發(fā)生錯(cuò)誤�,則直接丟棄該數(shù)據(jù)包而不進(jìn)行任何處理�;在未發(fā)生錯(cuò)誤時(shí),從內(nèi)核數(shù)據(jù)結(jié)構(gòu)中(基于n-tries樹查找算法)分別獲取源IPv6/IPv4地址和目的IPv6/IPv4地址的訪問權(quán)限屬性值����。
表1示出了對內(nèi)核訪問權(quán)限屬性值(字節(jié))的說明。如表1所示����,每個(gè)IPv6/IPv4地址都有一個(gè)32位的訪問權(quán)限字段,高16位用于標(biāo)識用戶自定義域組���,低16位用于標(biāo)識IPv6/IPv4地址主級別控制及其它控制信息�����。對于網(wǎng)內(nèi)IPv6/IPv4地址而言�,所述訪問權(quán)限字段可以看作由一個(gè)或多個(gè)比特的權(quán)限位復(fù)合標(biāo)識����,每一比特位表示對應(yīng)于具有相應(yīng)比特位的網(wǎng)外地址訪問權(quán)限。對于網(wǎng)外IPv6/IPv4地址而言�,所述訪問權(quán)限字段可以看作是一種權(quán)限控制位,而對于網(wǎng)內(nèi)IPv6/IPv4地址而言���,所述訪問權(quán)限字段可以看作是一種身份標(biāo)簽(或用戶標(biāo)識)�,它標(biāo)識了那些使用此IPv6/IPv4地址的用戶可以訪問哪些網(wǎng)外IPv6/IPv4地址。由此實(shí)現(xiàn)了一種靈活的IPv6/IPv4地址訪問權(quán)限控制功能�。
表1
例如�����,訪問權(quán)限字段0x00 00 04 01�,最低位為1表示這是一個(gè)訪問權(quán)限字段而不是內(nèi)存地址;最高位為0表示是外網(wǎng)地址����;接下來的15位為0表示該外網(wǎng)地址不屬于任何用戶自定義地址組;主訪問權(quán)限表示字段為04��,表示該地址屬于外網(wǎng)中的純國內(nèi)地址����。
例如,訪問權(quán)限字段0x80 06 04 01���,最低位為1表示這是一個(gè)訪問權(quán)限字段而不是內(nèi)存地址��;高16位0x80 06中最高位為1表示是內(nèi)網(wǎng)地址��,接下來的15位表示該內(nèi)網(wǎng)地址同時(shí)屬于用戶自定義地址組2(0x80020001)和用戶自定義地址組3(0x80040001)�����,具有訪問外網(wǎng)用戶自定義地址域2(0x00020001)和用戶自定義地址域3(0x00040001)的權(quán)限�����;主訪問權(quán)限表示字段為04�����,表示該地址屬于內(nèi)網(wǎng)中的純國內(nèi)用戶組�,可以訪問純國內(nèi)網(wǎng)和本地接入網(wǎng)。
IPv6/IPv4地址訪問權(quán)限字段的查找算法使用基于支持任意前綴長度的多分支Trie樹的IPv6/IPv4地址控制策略查找算法���,并采用了內(nèi)存復(fù)用技術(shù)��,將Tire樹的孩子結(jié)點(diǎn)指針和結(jié)點(diǎn)的屬性值復(fù)用��,用最低位區(qū)分是此字節(jié)是內(nèi)存地址還是訪問權(quán)限字段���,由于內(nèi)存對齊,內(nèi)存地址應(yīng)該為4的整數(shù)倍,所以內(nèi)存地址的最末兩位為0���,而訪問權(quán)限字段最后一字節(jié)設(shè)為1����。
在本發(fā)明中��,采用基于n-tries樹的查找算法�,對接入網(wǎng)關(guān)中控制的IPv4和IPv6地址����、用戶組、用戶�、權(quán)限、訪問控制列表(ACL)等控制策略進(jìn)行高效存儲����,快速查找,滿足了系統(tǒng)和實(shí)時(shí)性要求���。
步驟S202�,訪問控制�。對步驟S201中得到的源IPv6/IPv4地址和目的IPv6/IPv4地址的訪問權(quán)限屬性值進(jìn)行邏輯與運(yùn)算,判斷是否允許訪問。
例如����,源IPv6/IPv4地址僅被允許訪問國內(nèi)互聯(lián)網(wǎng),而不允許訪問國外互聯(lián)網(wǎng)����,目的IPv6/IPv4地址屬于國內(nèi)互聯(lián)網(wǎng)。在這種情況下�����,源IPv6/IPv4地址的訪問權(quán)限屬性值為0x80000601���,目的IPv6/IPv4地址的訪問權(quán)限屬性值為0x00000401����,二者的邏輯與運(yùn)算得到1����,即,允許訪問����。
作為另一示例�,源IPv6/IPv4地址僅被允許訪問國內(nèi)互聯(lián)網(wǎng)�,而不允許訪問國外互聯(lián)網(wǎng),目的IPv6/IPv4地址屬于國外互聯(lián)網(wǎng)�。在這種情況下,源IPv6/IPv4地址的訪問權(quán)限屬性值為0x80000601�,目的IPv6/IPv4地址的訪問權(quán)限屬性值為0x00000801,二者的邏輯與運(yùn)算得到0���,即����,不允許訪問��。
這里���,源IPv6/IPv4地址和目的IPv6/IPv4地址的訪問權(quán)限屬性值之間的邏輯與運(yùn)算只是判斷是否允許訪問的示例,也可以采用其他本領(lǐng)域普通技術(shù)人員能夠采用的適當(dāng)方式�,如以源IPv6/IPv4地址和目的IPv6/IPv4地址為索引進(jìn)行查表操作等。
在步驟S202中確定允許訪問時(shí)����,執(zhí)行步驟S203,轉(zhuǎn)發(fā)前處理����。負(fù)責(zé)復(fù)制數(shù)據(jù)包頭��,進(jìn)行流量統(tǒng)計(jì)�,供后期計(jì)費(fèi)使用�。
在步驟S202中確定不允許訪問時(shí),執(zhí)行步驟S204���,重定向判斷��。判斷訪問的目的端口是否屬于重定向范圍��。例如�����,當(dāng)不具有國外互聯(lián)網(wǎng)訪問權(quán)限的用戶通過Web(通常用80端口)請求訪問國外互聯(lián)網(wǎng)資源時(shí)����,確定80端口屬于重定向范圍��,可以將用戶重定向到用戶登陸頁面����;這樣����,用戶可以選擇是否更換身份登陸�,以獲得該權(quán)限。
在步驟S204中確定需要重定向時(shí)�,執(zhí)行步驟S205,重定向處理�����。對數(shù)據(jù)包進(jìn)行重定向前的處理工作�����,包括修改數(shù)據(jù)包頭對應(yīng)字段等��,例如����,將數(shù)據(jù)包頭的目的IPv6/IPv4地址和/或目的端口修改為Web登錄服務(wù)器的主頁面地址和/或目的端口���,這樣可以向用戶提供用戶登陸頁面���。
在步驟S203中完成轉(zhuǎn)發(fā)前處理后�,或者在步驟S205中完成重定向處理后����,執(zhí)行步驟S206,轉(zhuǎn)發(fā)數(shù)據(jù)包��。將數(shù)據(jù)包發(fā)送給目的IPv6/IPv4地址和/或目的端口����。
在步驟S204中確定不需要重定向時(shí),執(zhí)行步驟S207����,丟棄數(shù)據(jù)包。對于無權(quán)限訪問且不進(jìn)行重定向的數(shù)據(jù)包直接丟棄�����。
應(yīng)當(dāng)注意的是�����,上述步驟S204和S205是可選步驟��,也可以在步驟S202中確定不允許訪問時(shí)直接丟棄數(shù)據(jù)包�����,而不進(jìn)行是否重定向的判斷和處理步驟(S204和S205)。
根據(jù)本發(fā)明����,可以具體定義以下訪問權(quán)限和域組示例(表2)。
表2 表2(續(xù)1) 表2(續(xù)2) 表2(續(xù)3) 表3示出了主互通互聯(lián)權(quán)限表的示例�。
表3 網(wǎng)外IPv6/IPv4地址分為純國際、純國內(nèi)����、城域網(wǎng)、本地接入網(wǎng)��、禁止訪問地址�,由配置文件設(shè)定,在系統(tǒng)啟動時(shí)加載到系統(tǒng)核心數(shù)據(jù)結(jié)構(gòu)中��;主權(quán)限必須互斥����,即網(wǎng)外IP地址只能屬于上述5類之一,不能同時(shí)屬于其中兩類���;網(wǎng)內(nèi)地址初始化為未認(rèn)證權(quán)限屬性(默認(rèn)屬性����,IPVI_UNAUTH)���,待用戶登錄后再更改為用戶擁有的相應(yīng)權(quán)限字段�����。用戶注銷時(shí)再恢復(fù)該用戶的初始訪問權(quán)限��。
表4示出了自定義組互通互聯(lián)權(quán)限表的示例����。
表4 表4(續(xù)) 網(wǎng)外IPv6/IPv4地址分可根據(jù)需要單獨(dú)劃分成組���,其IPv6/IPv4地址設(shè)置成IPVO_Gx(x=1����、2�����、…��、15)系列宏值,由配置文件設(shè)定�����,在系統(tǒng)啟動時(shí)加載到系統(tǒng)核心數(shù)據(jù)結(jié)構(gòu)中����;網(wǎng)內(nèi)地址則初始化為未認(rèn)證權(quán)限屬性(默認(rèn)屬性,IPVI_UNAUTH)�,待用戶登錄用戶組后再更改為對應(yīng)的IPVI_Gx系列宏值,這樣實(shí)現(xiàn)了用戶根據(jù)自身所登陸的組訪問特定范圍的網(wǎng)外IPv6/IPv4地址�。用戶注銷時(shí)再恢復(fù)該用戶的初始訪問權(quán)限。自定義組權(quán)限可以疊加�����,可以在自定義組權(quán)限之間相互疊加�,也可以在自定義組權(quán)限與主權(quán)限之間疊加;即一個(gè)用戶可以同時(shí)屬于多個(gè)自定義組�,并有權(quán)限訪問這些組對應(yīng)的網(wǎng)外IPv6/IPv4地址。
圖3是示出了網(wǎng)絡(luò)訪問服務(wù)器(NAS)的示例結(jié)構(gòu)的方框圖����。
如圖3所示,根據(jù)本發(fā)明的NAS(本發(fā)明的訪問控制網(wǎng)關(guān))100包括訪問權(quán)限提取單元110,用于從來自客戶端的正確數(shù)據(jù)包中提取出源IPv6/IPv4地址和目的IPv6/IPv4地址的訪問權(quán)限屬性值(步驟S201)��;訪問控制單元120���,用于對源IPv6/IPv4地址和目的IPv6/IPv4地址的訪問權(quán)限屬性值進(jìn)行邏輯與操作,確定是否允許客戶端對目的IPv6/IPv4地址進(jìn)行訪問(步驟S202)��;數(shù)據(jù)包轉(zhuǎn)發(fā)單元130�,用于在訪問控制單元120確定允許客戶端對目的IPv6/IPv4地址進(jìn)行訪問的情況下,復(fù)制數(shù)據(jù)包的包頭�,進(jìn)行流量統(tǒng)計(jì)(用于后期計(jì)費(fèi)操作),并向目的IPv6/IPv4地址轉(zhuǎn)發(fā)數(shù)據(jù)包(步驟S203和S206)���;重定向控制單元140���,用于在訪問控制單元120確定不允許客戶端對目的地址進(jìn)行訪問的情況下,判斷訪問的目的端口是否屬于重定向范圍(步驟S204)�����;以及數(shù)據(jù)包重定向單元150�����,用于在重定向控制單元140確定需要對數(shù)據(jù)包進(jìn)行重定向的情況下,修改數(shù)據(jù)包的包頭中的目的IPv6/IPv4地址和/或目的端口��,并向修改后的目的IPv6/IPv4地址轉(zhuǎn)發(fā)數(shù)據(jù)包(步驟S205)�,以及在確定不需要對數(shù)據(jù)包進(jìn)行重定向的情況下,直接丟棄數(shù)據(jù)包(步驟S207)�����。
在本發(fā)明中�����,重定向控制單元140和數(shù)據(jù)包重定向單元150是可選單元�。在根據(jù)本發(fā)明的NAS 100不必執(zhí)行重定向判斷和處理的情況下,可以省略這兩個(gè)單元���,而直接由數(shù)據(jù)包轉(zhuǎn)發(fā)單元130在訪問控制單元120確定不允許客戶端對目的IPv6/IPv4地址進(jìn)行訪問時(shí)丟棄數(shù)據(jù)包�。
在本發(fā)明中�,訪問控制網(wǎng)關(guān)100采用開源Linux系統(tǒng),通過修改TCP/IP協(xié)議棧�����,在網(wǎng)絡(luò)協(xié)議的實(shí)現(xiàn)中增加hook點(diǎn)����,并用多分支Tires樹保存IPv6/IPv4地址的權(quán)限字段���,在hook函數(shù)中對流經(jīng)網(wǎng)關(guān)的封包進(jìn)行處理,提取數(shù)據(jù)包頭的源IPv6/IPv4地址和目的IPv6/IPv4地址����,根據(jù)這兩個(gè)IPv6/IPv4地址分別查找相對應(yīng)的訪問控制權(quán)限���,查到對應(yīng)的權(quán)限之后再對源和目的IPv6/IPv4地址的權(quán)限字段進(jìn)行與操作��,以決定是否轉(zhuǎn)發(fā)數(shù)據(jù)包�。
至此已經(jīng)結(jié)合優(yōu)選實(shí)施例對本發(fā)明進(jìn)行了描述�����。應(yīng)該理解����,本領(lǐng)域技術(shù)人員在不脫離本發(fā)明的精神和范圍的情況下,可以進(jìn)行各種其它的改變����、替換和添加��。因此��,本發(fā)明的范圍不局限于上述特定實(shí)施例��,而應(yīng)由所附權(quán)利要求所限定����。
權(quán)利要求
1.一種分級訪問權(quán)限控制方法�,包括以下步驟
從來自客戶端的數(shù)據(jù)包中提取出源地址和目的地址的訪問權(quán)限屬性;
根據(jù)源地址和目的地址的訪問權(quán)限屬性��,確定是否允許客戶端對目的地址進(jìn)行訪問��;
在確定允許客戶端對目的地址進(jìn)行訪問的情況下�����,復(fù)制數(shù)據(jù)包的包頭����,進(jìn)行流量統(tǒng)計(jì),并向目的地址轉(zhuǎn)發(fā)數(shù)據(jù)包�����;以及
在確定不允許客戶端對目的地址進(jìn)行訪問的情況下,直接丟棄數(shù)據(jù)包�����。
2.根據(jù)權(quán)利要求1所述的分級訪問權(quán)限控制方法��,還包括以下步驟
在確定不允許客戶端對目的地址進(jìn)行訪問的情況下����,根據(jù)訪問端口參數(shù),確定是否對數(shù)據(jù)包進(jìn)行重定向�����;
在確定需要對數(shù)據(jù)包進(jìn)行重定向的情況下���,修改數(shù)據(jù)包的包頭中的目的地址和/或目的端口,并向修改后的目的地址轉(zhuǎn)發(fā)數(shù)據(jù)包�;以及
在確定不需要對數(shù)據(jù)包進(jìn)行重定向的情況下,直接丟棄數(shù)據(jù)包�。
3.根據(jù)權(quán)利要求1或2所述的分級訪問權(quán)限控制方法,其中
目的地址被劃分為多個(gè)地址域����,以及源地址的訪問權(quán)限屬性包括針對每一地址域的訪問權(quán)限��。
4.根據(jù)權(quán)利要求3所述的分級訪問權(quán)限控制方法���,其中
所述多個(gè)地址域是由網(wǎng)絡(luò)運(yùn)營商定義的自定義域,每個(gè)目的地址屬于一個(gè)或多個(gè)自定義域�。
5.根據(jù)權(quán)利要求1或2所述的分級訪問權(quán)限控制方法,其中
通過對源地址和目的地址的訪問權(quán)限屬性進(jìn)行邏輯與操作����,確定是否允許客戶端對目的地址進(jìn)行訪問,
當(dāng)邏輯與操作所得到的結(jié)果為真時(shí)���,確定允許客戶端對目的地址進(jìn)行訪問�����;而當(dāng)邏輯與操作所得到的結(jié)果為假時(shí)���,確定不允許客戶端對目的地址進(jìn)行訪問。
6. 一種訪問控制網(wǎng)關(guān)�,包括
訪問權(quán)限提取裝置,用于從來自客戶端的數(shù)據(jù)包中提取出源地址和目的地址的訪問權(quán)限屬性�����;以及
訪問控制裝置,用于根據(jù)源地址和目的地址的訪問權(quán)限屬性��,確定是否允許客戶端對目的地址進(jìn)行訪問��;
數(shù)據(jù)包轉(zhuǎn)發(fā)裝置���,用于在所述訪問控制裝置確定允許客戶端對目的地址進(jìn)行訪問的情況下����,復(fù)制數(shù)據(jù)包的包頭����,進(jìn)行流量統(tǒng)計(jì),并向目的地址轉(zhuǎn)發(fā)數(shù)據(jù)包�,以及在所述訪問控制裝置確定不允許客戶端對目的地址進(jìn)行訪問的情況下���,直接丟棄數(shù)據(jù)包����。
7. 根據(jù)權(quán)利要求6所述的訪問控制網(wǎng)關(guān)����,還包括
重定向控制裝置�����,用于在所述訪問控制裝置確定不允許客戶端對目的地址進(jìn)行訪問的情況下��,根據(jù)訪問端口參數(shù)����,確定是否對數(shù)據(jù)包進(jìn)行重定向��;
數(shù)據(jù)包重定向裝置�,用于在所述重定向控制裝置確定需要對數(shù)據(jù)包進(jìn)行重定向的情況下,修改數(shù)據(jù)包的包頭中的目的地址和/或目的端口����,并向修改后的目的地址轉(zhuǎn)發(fā)數(shù)據(jù)包,以及在確定不需要對數(shù)據(jù)包進(jìn)行重定向的情況下�,直接丟棄數(shù)據(jù)包。
8. 根據(jù)權(quán)利要求6或7所述的訪問控制網(wǎng)關(guān)���,其中
目的地址被劃分為多個(gè)地址域�����,以及源地址的訪問權(quán)限屬性包括針對每一地址域的訪問權(quán)限����。
9. 根據(jù)權(quán)利要求8所述的訪問控制網(wǎng)關(guān),其中
所述多個(gè)地址域是由網(wǎng)絡(luò)運(yùn)營商定義的自定義域��,每個(gè)目的地址屬于一個(gè)或多個(gè)自定義域����。
10. 根據(jù)權(quán)利要求6或7所述的訪問控制網(wǎng)關(guān),其中
所述訪問控制裝置對源地址和目的地址的訪問權(quán)限屬性進(jìn)行邏輯與操作��,以確定是否允許客戶端對目的地址進(jìn)行訪問��,
當(dāng)邏輯與操作所得到的結(jié)果為真時(shí)��,所述訪問控制裝置確定允許客戶端對目的地址進(jìn)行訪問�;而當(dāng)邏輯與操作所得到的結(jié)果為假時(shí),所述訪問控制裝置確定不允許客戶端對目的地址進(jìn)行訪問�����。
全文摘要
本發(fā)明提出了一種IPv6/IPv4地址分級訪問權(quán)限控制方法����,包括以下步驟從來自客戶端的數(shù)據(jù)包中提取出源地址和目的地址的訪問權(quán)限屬性�;根據(jù)源地址和目的地址的訪問權(quán)限屬性���,確定是否允許客戶端對目的地址進(jìn)行訪問;在確定允許客戶端對目的地址進(jìn)行訪問的情況下���,復(fù)制數(shù)據(jù)包的包頭���,進(jìn)行流量統(tǒng)計(jì),并向目的地址轉(zhuǎn)發(fā)數(shù)據(jù)包���;以及在確定不允許客戶端對目的地址進(jìn)行訪問的情況下���,直接丟棄數(shù)據(jù)包。此外�,本發(fā)明還提出了一種訪問控制網(wǎng)關(guān),用于在IPv6/IPv4網(wǎng)絡(luò)通信系統(tǒng)中��,實(shí)現(xiàn)上述IPv6/IPv4地址分級訪問權(quán)限控制方法��。
文檔編號H04L12/56GK101605097SQ20091008953
公開日2009年12月16日 申請日期2009年7月22日 優(yōu)先權(quán)日2009年7月22日
發(fā)明者松 胡, 華貴斌, 黃友俊, 星 李, 吳建平 申請人:賽爾網(wǎng)絡(luò)有限公司