專利名稱:一種訪問控制方法及網(wǎng)絡(luò)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,尤其涉及一種訪問控制方法及網(wǎng)絡(luò)設(shè)備。
背景技術(shù):
在網(wǎng)絡(luò)管理系統(tǒng)中通常包含兩個(gè)對(duì)象網(wǎng)管設(shè)備和被管設(shè)備。網(wǎng)絡(luò)管理員操縱網(wǎng)管設(shè)備向被管設(shè)備發(fā)出網(wǎng)絡(luò)管理請(qǐng)求,比如查詢設(shè)備狀態(tài)的請(qǐng)求或修改設(shè)備配置標(biāo)識(shí)的請(qǐng)求;被管設(shè)備接收所述請(qǐng)求,并按請(qǐng)求執(zhí)行操作,然后向網(wǎng)管設(shè)備應(yīng)答操作結(jié)果。網(wǎng)管設(shè)備和被管設(shè)備間的報(bào)文交互需遵從網(wǎng)管協(xié)議。網(wǎng)絡(luò)配置協(xié)議(Network Configuration Protocol, NETC0NF)就是這樣一種網(wǎng)管協(xié)議,所述網(wǎng)管協(xié)議采用可擴(kuò)展標(biāo)記語言 (ExtensibleMarkup Language, XML)語言描述網(wǎng)管的請(qǐng)求/應(yīng)答報(bào)文,以及網(wǎng)管數(shù)據(jù)。為了網(wǎng)絡(luò)設(shè)備的安全,需要對(duì)訪問設(shè)備的網(wǎng)管請(qǐng)求進(jìn)行訪問控制。不同管理員的訪問權(quán)限是不同的,他們可能只被允許訪問網(wǎng)管數(shù)據(jù)的不同子集,因此需要識(shí)別管理員的身份和訪問企圖,判斷該請(qǐng)求是否符合預(yù)先定義的訪問策略,對(duì)于符合策略的請(qǐng)求予以執(zhí)行。這種根據(jù)用戶身份來限制用戶對(duì)某些信息項(xiàng)的訪問的過程就是訪問控制。可擴(kuò)展的訪問控制標(biāo)記語目(extensible Access Control MarkupLanguage, XACML)是一種基于XML的開放標(biāo)準(zhǔn)語言,用于詳細(xì)說明訪問控制策略。XACML定義了一種通用的XML數(shù)據(jù)訪問控制處理模型。依照該處理模型,在確定一個(gè)網(wǎng)管請(qǐng)求是否被允許時(shí), 在資源庫中對(duì)網(wǎng)管請(qǐng)求需要訪問或控制的資源進(jìn)行查詢,獲得一個(gè)結(jié)果集;根據(jù)預(yù)設(shè)的規(guī)則查詢資源庫,獲得另一個(gè)結(jié)果集,然后在對(duì)所述兩個(gè)結(jié)果集比較。當(dāng)網(wǎng)管請(qǐng)求對(duì)應(yīng)的結(jié)果集是預(yù)設(shè)的規(guī)則對(duì)應(yīng)的結(jié)果集的子集時(shí),允許網(wǎng)管請(qǐng)求的訪問或控制操作。由于對(duì)資源進(jìn)行查詢需要占用很大的性能,且對(duì)所述兩個(gè)結(jié)果集進(jìn)行比較運(yùn)算的開銷也很大,因此現(xiàn)有機(jī)制的整體效率較低。
發(fā)明內(nèi)容
本發(fā)明的一個(gè)目的為提供一種訪問控制方法及網(wǎng)絡(luò)設(shè)備。本發(fā)明技術(shù)方案如下一種訪問控制方法,包括獲取訪問控制策略的主體、動(dòng)作和全部絕對(duì)路徑;接收訪問請(qǐng)求方發(fā)送的訪問請(qǐng)求,根據(jù)所述訪問請(qǐng)求獲取所述訪問請(qǐng)求的主體、動(dòng)作和請(qǐng)求訪問的數(shù)據(jù)路徑的XPATH表達(dá)式;獲取所述XPATH表達(dá)式包含的全部絕對(duì)路徑;將所述訪問請(qǐng)求的主體、動(dòng)作和全部絕對(duì)路徑分別與所述訪問控制策略的主體、動(dòng)作和全部絕對(duì)路徑進(jìn)行匹配,根據(jù)匹配結(jié)果確定所述訪問請(qǐng)求是否符合所述的訪問控制策略。一種網(wǎng)絡(luò)設(shè)備,包括策略管理單元、策略決策單元、策略實(shí)施單元;所述策略管理單元用于獲取訪問控制策略的主體、動(dòng)作和全部絕對(duì)路徑;所述策略實(shí)施單元用于接收訪問請(qǐng)求方發(fā)送的訪問請(qǐng)求,根據(jù)所述訪問請(qǐng)求獲取所述訪問請(qǐng)求的主體、動(dòng)作和請(qǐng)求訪問的數(shù)據(jù)路徑的XPATH表達(dá)式,并獲取所述XPATH表達(dá)式包含的全部絕對(duì)路徑;所述策略決策單元用于將所述訪問請(qǐng)求的主體、動(dòng)作和全部絕對(duì)路徑分別與所述訪問控制策略的主體、動(dòng)作和全部絕對(duì)路徑進(jìn)行匹配,根據(jù)匹配結(jié)果確定所述訪問請(qǐng)求是否符合所述的訪問控制策略。本發(fā)明的優(yōu)點(diǎn)在于根據(jù)訪問請(qǐng)求針對(duì)的內(nèi)容的路徑信息來判斷所述訪問請(qǐng)求是否被允許,而不是根據(jù)內(nèi)容進(jìn)行判斷,大幅減少了查詢、匹配的操作,使效率明顯提升。
圖1所示為本發(fā)明一實(shí)施例的示意圖;圖2所示為本發(fā)明一實(shí)施例的示意圖;圖3所示為本發(fā)明一實(shí)施例的示意圖。
具體實(shí)施例方式下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明展開詳細(xì)說明。但需要注意,下面的這些實(shí)施例,僅為幫助理解技術(shù)方案所舉的例子,并不用于限定本發(fā)明。本發(fā)明的一個(gè)實(shí)施例的內(nèi)容如下。獲取訪問控制策略中允許訪問的數(shù)據(jù)的全部絕對(duì)路徑。所述訪問控制策略被預(yù)先配置,包括主體、動(dòng)作和允許訪問的數(shù)據(jù)的地址信息,所述全部絕對(duì)路徑可根據(jù)所述允許訪問的數(shù)據(jù)的地址信息獲取。接收訪問請(qǐng)求方發(fā)送的訪問請(qǐng)求,根據(jù)所述訪問請(qǐng)求獲取所述訪問請(qǐng)求的主體、 動(dòng)作和請(qǐng)求訪問的數(shù)據(jù)路徑的XPATH表達(dá)式。獲取所述訪問請(qǐng)求的XPATH表達(dá)式包含的全部絕對(duì)路徑。將所述訪問請(qǐng)求的主體、動(dòng)作和全部絕對(duì)路徑分別與所述訪問控制策略的主體、 動(dòng)作和全部絕對(duì)路徑進(jìn)行匹配,根據(jù)匹配結(jié)果確定所述訪問請(qǐng)求是否符合所述的訪問控制策略。如圖1所示,本發(fā)明的一個(gè)實(shí)施例的內(nèi)容如下。步驟11、獲取訪問控制策略包含的全部絕對(duì)路徑。所述訪問策略以條為單位,每條訪問控制策略包括主體、動(dòng)作和允許訪問的數(shù)據(jù)的地址信息。所述主體表示所述訪問控制策略允許的訪問請(qǐng)求方,所述動(dòng)作表示所述訪問控制策略允許所述訪問請(qǐng)求方執(zhí)行的動(dòng)作。所述允許訪問的數(shù)據(jù)的地址信息為所述訪問控制策略允許所述訪問請(qǐng)求方處理的數(shù)據(jù)的路徑信息,可以為表示數(shù)據(jù)路徑的XPATH表達(dá)式,也可以為絕對(duì)路徑。所述XPATH表達(dá)式是包含一個(gè)或多個(gè)絕對(duì)路徑的XPATH表達(dá)式,在未對(duì)所述XPATH 表達(dá)式進(jìn)行轉(zhuǎn)換的情況下,所述絕對(duì)路徑不能被識(shí)別。所述絕對(duì)路徑為能夠直接表明數(shù)據(jù)的路徑信息的路徑。當(dāng)所述允許訪問的數(shù)據(jù)的地址信息是絕對(duì)路徑時(shí),則可以直接獲取所述絕對(duì)路徑;當(dāng)所述允許訪問的數(shù)據(jù)的地址信息是XPATH表達(dá)式時(shí),則對(duì)所述XPATH表達(dá)式進(jìn)行轉(zhuǎn)換,獲取所述XPATH表達(dá)式包含的全部絕對(duì)路徑。例如,對(duì)于如表1所述的數(shù)據(jù)結(jié)構(gòu),當(dāng)所述XPATH表達(dá)式為“/top/Aiame”時(shí),由于該表達(dá)式使用了符號(hào)“//”,且該符號(hào)在XPATH中的作用是表示匹配到達(dá)目標(biāo)的任意的路徑,因此,“/top//name”表示選取<top>下面的全部<name>元素,不論<name>位于<top>下的哪一層。參照表l,“/t0p//name”這個(gè)XPATH表達(dá)式包括兩個(gè)絕對(duì)路徑,分別為“/top/ interfaces/name"和 "/top/interfaces/interface/name,,。
權(quán)利要求
1.一種訪問控制方法,其特征在于,包括獲取訪問控制策略的主體、動(dòng)作和全部絕對(duì)路徑;接收訪問請(qǐng)求方發(fā)送的訪問請(qǐng)求,根據(jù)所述訪問請(qǐng)求獲取所述訪問請(qǐng)求的主體、動(dòng)作和請(qǐng)求訪問的數(shù)據(jù)路徑的XPATH表達(dá)式;獲取所述XPATH表達(dá)式包含的全部絕對(duì)路徑;將所述訪問請(qǐng)求的主體、動(dòng)作和全部絕對(duì)路徑分別與所述訪問控制策略的主體、動(dòng)作和全部絕對(duì)路徑進(jìn)行匹配,根據(jù)匹配結(jié)果確定所述訪問請(qǐng)求是否符合所述的訪問控制策略。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述訪問控制策略包括主體、動(dòng)作和允許訪問的數(shù)據(jù)的地址信息;當(dāng)所述允許訪問的數(shù)據(jù)的地址信息為XPATH表達(dá)式時(shí),所述獲取訪問控制策略的全部絕對(duì)路徑包括對(duì)所述XPATH表達(dá)式進(jìn)行轉(zhuǎn)換,獲取所述XPATH表達(dá)式包含的全部絕對(duì)路徑。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述訪問請(qǐng)求中攜帶所述訪問請(qǐng)求的主體、動(dòng)作和請(qǐng)求訪問的數(shù)據(jù)的地址信息;當(dāng)所述請(qǐng)求訪問的數(shù)據(jù)的地址信息為子樹形式信息時(shí),所述根據(jù)所述訪問請(qǐng)求獲取所述訪問請(qǐng)求的請(qǐng)求訪問的數(shù)據(jù)路徑的XPATH表達(dá)式包括獲取所述訪問請(qǐng)求中所述子樹形式的地址信息,將所述子樹形式的地址信息轉(zhuǎn)換為請(qǐng)求訪問的數(shù)據(jù)路徑的XPATH表達(dá)式。
4.根據(jù)權(quán)利要求1至3任一項(xiàng)所述的方法,其特征在于,所述將所述訪問請(qǐng)求中的主體、動(dòng)作和全部絕對(duì)路徑分別與所述訪問控制策略的主體、動(dòng)作和全部絕對(duì)路徑進(jìn)行匹配, 根據(jù)匹配結(jié)果確定所述訪問請(qǐng)求是否符合所述的訪問控制策略包括將訪問請(qǐng)求的主體、動(dòng)作和全部絕對(duì)路徑分別與各條訪問控制策略的主體、動(dòng)作和全部絕對(duì)路徑進(jìn)行匹配;當(dāng)所述訪問請(qǐng)求的主體、動(dòng)作和全部絕對(duì)路徑分別是至少一條訪問控制策略的主體、 動(dòng)作和全部絕對(duì)路徑的子集時(shí),則所述訪問請(qǐng)求符合訪問控制策略;其中,所述訪問請(qǐng)求的主體、動(dòng)作和全部絕對(duì)路徑均不為空集。
5.一種網(wǎng)絡(luò)設(shè)備,其特征在于,包括策略管理單元、策略決策單元、策略實(shí)施單元;所述策略管理單元用于獲取訪問控制策略的主體、動(dòng)作和全部絕對(duì)路徑;所述策略實(shí)施單元用于接收訪問請(qǐng)求方發(fā)送的訪問請(qǐng)求,根據(jù)所述訪問請(qǐng)求獲取所述訪問請(qǐng)求的主體、動(dòng)作和請(qǐng)求訪問的數(shù)據(jù)路徑的XPATH表達(dá)式,并獲取所述XPATH表達(dá)式包含的全部絕對(duì)路徑;所述策略決策單元用于將所述訪問請(qǐng)求的主體、動(dòng)作和全部絕對(duì)路徑分別與所述訪問控制策略的主體、動(dòng)作和全部絕對(duì)路徑進(jìn)行匹配,根據(jù)匹配結(jié)果確定所述訪問請(qǐng)求是否符合所述的訪問控制策略。
6.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)設(shè)備,其特征在于,所述策略管理單元包括XPATH表達(dá)式轉(zhuǎn)換子單元,用于當(dāng)所述允許訪問的數(shù)據(jù)的地址信息為XPATH表達(dá)式時(shí), 將所述XPATH表達(dá)式發(fā)送給數(shù)據(jù)結(jié)構(gòu)信息庫單元,從所述數(shù)據(jù)結(jié)構(gòu)信息庫單元獲取所述 XPATH表達(dá)式包含的全部絕對(duì)路徑。
7.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)設(shè)備,其特征在于,所述策略決策單元包括XPATH表達(dá)式獲取子單元,用于當(dāng)所述訪問策略中請(qǐng)求訪問的數(shù)據(jù)的地址信息為子樹形式信息時(shí),獲取所述訪問請(qǐng)求中所述子樹形式的地址信息,將所述子樹形式的地址信息轉(zhuǎn)換為請(qǐng)求訪問的數(shù)據(jù)路徑的XPATH表達(dá)式。
8.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)設(shè)備,其特征在于,所述策略決策單元具體用于將訪問請(qǐng)求的主體、動(dòng)作和全部絕對(duì)路徑分別與所述訪問控制策略的主體、動(dòng)作和全部絕對(duì)路徑進(jìn)行匹配;當(dāng)所述訪問請(qǐng)求與至少一條所述訪問控制策略相匹配,所述訪問請(qǐng)求的主體、動(dòng)作和全部絕對(duì)路徑分別是所述至少一條訪問控制策略的主體、動(dòng)作和全部絕對(duì)路徑的子集時(shí), 則所述訪問請(qǐng)求符合訪問控制策略,允許執(zhí)行相應(yīng)的動(dòng)作;否則,所述訪問請(qǐng)求不符合訪問控制策略,不允許執(zhí)行相應(yīng)的動(dòng)作;其中,所述訪問請(qǐng)求主體、動(dòng)作和全部絕對(duì)路徑均不為空。
9.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)設(shè)備,其特征在于,所述網(wǎng)絡(luò)設(shè)備還包括數(shù)據(jù)結(jié)構(gòu)信息庫單元,用于將所述XPATH表達(dá)式轉(zhuǎn)換為所述XPATH表達(dá)式包含的全部絕對(duì)路徑。
全文摘要
本發(fā)明涉及通信領(lǐng)域,尤其涉及一種訪問控制方法,包括獲取訪問控制策略包括的主體、動(dòng)作和全部絕對(duì)路徑;接收訪問請(qǐng)求方發(fā)送的訪問請(qǐng)求,根據(jù)所述訪問請(qǐng)求獲取所述訪問請(qǐng)求的主體、動(dòng)作和請(qǐng)求訪問的數(shù)據(jù)路徑的XPATH表達(dá)式;獲取所述XPATH表達(dá)式包含的全部絕對(duì)路徑;將所述訪問請(qǐng)求的主體、動(dòng)作和全部絕對(duì)路徑分別與所述訪問控制策略的主體、動(dòng)作和全部絕對(duì)路徑進(jìn)行匹配,根據(jù)匹配結(jié)果確定所述訪問請(qǐng)求是否符合所述的訪問控制策略。本發(fā)明根據(jù)訪問請(qǐng)求針對(duì)的內(nèi)容的路徑信息來判斷所述訪問請(qǐng)求是否被允許,而不是根據(jù)內(nèi)容進(jìn)行判斷,大幅減少了查詢、匹配的操作,使效率明顯提升。
文檔編號(hào)H04L12/24GK102299812SQ20101021080
公開日2011年12月28日 申請(qǐng)日期2010年6月22日 優(yōu)先權(quán)日2010年6月22日
發(fā)明者張彬, 李國輝, 李巖 申請(qǐng)人:華為技術(shù)有限公司