| 发明名称 | 一种基于流的网络接入控制方法 | ||
| 摘要 | 本发明公开了一种基于流的网络接入控制方法,为每个用户身份配置至少一个权限等级,不同用户身份的用户访问不同应用时具有相应地所需访问权限,各用户可以通过不同等级的权限登录,从而实现不同应用资源的访问。当接入控制器接收到属于新流的数据包时,将其转发给流控制器,流控制器对数据包进行分析判断,包括用户是否登录、当前权限等级是否满足等,根据不同情况,下发对应的流表项给接入控制器,指导接入控制器的流处理。本发明用于对网络接入进行控制,将用户身份和应用统一进行多级权限划分,从而实现多用户、多应用的访问控制,适应于日益复杂的网络需要。 | ||
| 申请公布号 | CN103457878A | 申请公布日期 | 2013.12.18 |
| 申请号 | CN201310397842.0 | 申请日期 | 2013.09.05 |
| 申请人 | 电子科技大学;东莞电子科技大学电子信息工程研究院 | 发明人 | 许都;吴锦辉;孙罡;廖丹;虞红芳 |
| 分类号 | H04L12/911(2013.01)I;H04L12/801(2013.01)I | 主分类号 | H04L12/911(2013.01)I |
| 代理机构 | 成都行之专利代理事务所(普通合伙) 51220 | 代理人 | 温利平 |
| 主权项 | 一种基于流的网络接入控制方法,其特征在于包括以下步骤:S1:在信息存储器中存储系统的配置信息和状态信息,配置信息包括:流匹配项与应用的映射关系,用户身份、应用与访问权限的映射关系,每个用户身份具有的权限等级与对应密码,其中每个用户身份具有至少一个权限等级;状态信息包括:流匹配项与用户身份的映射关系,用户登录状态与当前权限等级;S2:接入控制器从来自用户或应用资源服务器的数据包中提取流匹配项,与本地流表的流表项进行匹配,如果不存在匹配的流表项,进入步骤S3;如果存在匹配的流表项,进入步骤S12;S3:接入控制器将数据包转发至流控制器,进入步骤S4;S4:流控制器根据数据包中的应用流匹配项从信息存储器中存储的流匹配项与应用的映射关系查询得到该数据包对应的应用类型,判断该应用是否为无需权限认证的默认应用,如果是,进入步骤S9,如果不是,进入步骤S5;S5:流控制器提取数据包中的用户流匹配项,从信息存储器中存储的流匹配项与用户身份的映射关系查询得到该数据包对应的用户身份,并查询得到用户登录状态和当前权限等级,根据用户登录状态判断用户是否登录,如果未登录,进入步骤S10,如果已登录,进入步骤S6;S6:根据步骤S4和步骤S5查询得到的用户身份和应用类型从信息存储器存储的用户、应用与访问权限的映射关系中查询得到所需访问权限,判断所需访问权限是否为“禁止访问”,如果是,进入步骤S8,如果不是,进入步骤S7;S7:判断步骤S6查询得到的用户当前等级权限是否大于等于所需访问权限,如果是,进入步骤S9,如果不是,进入步骤S10;S8:设置数据包所对应的流的操作为“丢弃该流”,进入步骤S11;S9:设置数据包所对应的流的操作为“允许流通过”,进入步骤S11;S10:设置数据包所对应的流的操作为“强转至登录和权限服务器”,进入步骤S11;S11:流控制器根据数据包的流匹配项和判断得到的对应的流的操作,下发流表项至接入控制器,进入步骤S12;S12:接入控制器根据流表中对应流表项的流处理流程对数据包进行操作;当接入控制器将数据包强转至登录和权限服务器,登录与权限服务器从信息存储器中查询到用户登录状态和当前权限等级,提示用户登录或权限提升,如果改变了用户登录状态或当前权限等级,登录和权限服务器在信息存储器中写入更改后的用户登录状态和当前权限等级,否则不作任何操作;本次接入控制结束。 | ||
| 地址 | 611731 四川省成都市高新区(西区)西源大道2006号 | ||