专利名称:一种访问控制方法及网络设备的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种访问控制方法及网络设备。
背景技术:
在网络管理系统中通常包含两个对象网管设备和被管设备。网络管理员操纵网管设备向被管设备发出网络管理请求,比如查询设备状态的请求或修改设备配置标识的请求;被管设备接收所述请求,并按请求执行操作,然后向网管设备应答操作结果。网管设备和被管设备间的报文交互需遵从网管协议。网络配置协议(Network Configuration Protocol, NETC0NF)就是这样一种网管协议,所述网管协议采用可扩展标记语言 (ExtensibleMarkup Language, XML)语言描述网管的请求/应答报文,以及网管数据。为了网络设备的安全,需要对访问设备的网管请求进行访问控制。不同管理员的访问权限是不同的,他们可能只被允许访问网管数据的不同子集,因此需要识别管理员的身份和访问企图,判断该请求是否符合预先定义的访问策略,对于符合策略的请求予以执行。这种根据用户身份来限制用户对某些信息项的访问的过程就是访问控制。可扩展的访问控制标记语目(extensible Access Control MarkupLanguage, XACML)是一种基于XML的开放标准语言,用于详细说明访问控制策略。XACML定义了一种通用的XML数据访问控制处理模型。依照该处理模型,在确定一个网管请求是否被允许时, 在资源库中对网管请求需要访问或控制的资源进行查询,获得一个结果集;根据预设的规则查询资源库,获得另一个结果集,然后在对所述两个结果集比较。当网管请求对应的结果集是预设的规则对应的结果集的子集时,允许网管请求的访问或控制操作。由于对资源进行查询需要占用很大的性能,且对所述两个结果集进行比较运算的开销也很大,因此现有机制的整体效率较低。
发明内容
本发明的一个目的为提供一种访问控制方法及网络设备。本发明技术方案如下一种访问控制方法,包括获取访问控制策略的主体、动作和全部绝对路径;接收访问请求方发送的访问请求,根据所述访问请求获取所述访问请求的主体、动作和请求访问的数据路径的XPATH表达式;获取所述XPATH表达式包含的全部绝对路径;将所述访问请求的主体、动作和全部绝对路径分别与所述访问控制策略的主体、动作和全部绝对路径进行匹配,根据匹配结果确定所述访问请求是否符合所述的访问控制策略。一种网络设备,包括策略管理单元、策略决策单元、策略实施单元;所述策略管理单元用于获取访问控制策略的主体、动作和全部绝对路径;所述策略实施单元用于接收访问请求方发送的访问请求,根据所述访问请求获取所述访问请求的主体、动作和请求访问的数据路径的XPATH表达式,并获取所述XPATH表达式包含的全部绝对路径;所述策略决策单元用于将所述访问请求的主体、动作和全部绝对路径分别与所述访问控制策略的主体、动作和全部绝对路径进行匹配,根据匹配结果确定所述访问请求是否符合所述的访问控制策略。本发明的优点在于根据访问请求针对的内容的路径信息来判断所述访问请求是否被允许,而不是根据内容进行判断,大幅减少了查询、匹配的操作,使效率明显提升。
图1所示为本发明一实施例的示意图;图2所示为本发明一实施例的示意图;图3所示为本发明一实施例的示意图。
具体实施例方式下面结合附图和具体实施例对本发明展开详细说明。但需要注意,下面的这些实施例,仅为帮助理解技术方案所举的例子,并不用于限定本发明。本发明的一个实施例的内容如下。获取访问控制策略中允许访问的数据的全部绝对路径。所述访问控制策略被预先配置,包括主体、动作和允许访问的数据的地址信息,所述全部绝对路径可根据所述允许访问的数据的地址信息获取。接收访问请求方发送的访问请求,根据所述访问请求获取所述访问请求的主体、 动作和请求访问的数据路径的XPATH表达式。获取所述访问请求的XPATH表达式包含的全部绝对路径。将所述访问请求的主体、动作和全部绝对路径分别与所述访问控制策略的主体、 动作和全部绝对路径进行匹配,根据匹配结果确定所述访问请求是否符合所述的访问控制策略。如图1所示,本发明的一个实施例的内容如下。步骤11、获取访问控制策略包含的全部绝对路径。所述访问策略以条为单位,每条访问控制策略包括主体、动作和允许访问的数据的地址信息。所述主体表示所述访问控制策略允许的访问请求方,所述动作表示所述访问控制策略允许所述访问请求方执行的动作。所述允许访问的数据的地址信息为所述访问控制策略允许所述访问请求方处理的数据的路径信息,可以为表示数据路径的XPATH表达式,也可以为绝对路径。所述XPATH表达式是包含一个或多个绝对路径的XPATH表达式,在未对所述XPATH 表达式进行转换的情况下,所述绝对路径不能被识别。所述绝对路径为能够直接表明数据的路径信息的路径。当所述允许访问的数据的地址信息是绝对路径时,则可以直接获取所述绝对路径;当所述允许访问的数据的地址信息是XPATH表达式时,则对所述XPATH表达式进行转换,获取所述XPATH表达式包含的全部绝对路径。例如,对于如表1所述的数据结构,当所述XPATH表达式为“/top/Aiame”时,由于该表达式使用了符号“//”,且该符号在XPATH中的作用是表示匹配到达目标的任意的路径,因此,“/top//name”表示选取<top>下面的全部<name>元素,不论<name>位于<top>下的哪一层。参照表l,“/t0p//name”这个XPATH表达式包括两个绝对路径,分别为“/top/ interfaces/name"和 "/top/interfaces/interface/name,,。
权利要求
1.一种访问控制方法,其特征在于,包括获取访问控制策略的主体、动作和全部绝对路径;接收访问请求方发送的访问请求,根据所述访问请求获取所述访问请求的主体、动作和请求访问的数据路径的XPATH表达式;获取所述XPATH表达式包含的全部绝对路径;将所述访问请求的主体、动作和全部绝对路径分别与所述访问控制策略的主体、动作和全部绝对路径进行匹配,根据匹配结果确定所述访问请求是否符合所述的访问控制策略。
2.根据权利要求1所述的方法,其特征在于,所述访问控制策略包括主体、动作和允许访问的数据的地址信息;当所述允许访问的数据的地址信息为XPATH表达式时,所述获取访问控制策略的全部绝对路径包括对所述XPATH表达式进行转换,获取所述XPATH表达式包含的全部绝对路径。
3.根据权利要求1所述的方法,其特征在于,所述访问请求中携带所述访问请求的主体、动作和请求访问的数据的地址信息;当所述请求访问的数据的地址信息为子树形式信息时,所述根据所述访问请求获取所述访问请求的请求访问的数据路径的XPATH表达式包括获取所述访问请求中所述子树形式的地址信息,将所述子树形式的地址信息转换为请求访问的数据路径的XPATH表达式。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述将所述访问请求中的主体、动作和全部绝对路径分别与所述访问控制策略的主体、动作和全部绝对路径进行匹配, 根据匹配结果确定所述访问请求是否符合所述的访问控制策略包括将访问请求的主体、动作和全部绝对路径分别与各条访问控制策略的主体、动作和全部绝对路径进行匹配;当所述访问请求的主体、动作和全部绝对路径分别是至少一条访问控制策略的主体、 动作和全部绝对路径的子集时,则所述访问请求符合访问控制策略;其中,所述访问请求的主体、动作和全部绝对路径均不为空集。
5.一种网络设备,其特征在于,包括策略管理单元、策略决策单元、策略实施单元;所述策略管理单元用于获取访问控制策略的主体、动作和全部绝对路径;所述策略实施单元用于接收访问请求方发送的访问请求,根据所述访问请求获取所述访问请求的主体、动作和请求访问的数据路径的XPATH表达式,并获取所述XPATH表达式包含的全部绝对路径;所述策略决策单元用于将所述访问请求的主体、动作和全部绝对路径分别与所述访问控制策略的主体、动作和全部绝对路径进行匹配,根据匹配结果确定所述访问请求是否符合所述的访问控制策略。
6.根据权利要求5所述的网络设备,其特征在于,所述策略管理单元包括XPATH表达式转换子单元,用于当所述允许访问的数据的地址信息为XPATH表达式时, 将所述XPATH表达式发送给数据结构信息库单元,从所述数据结构信息库单元获取所述 XPATH表达式包含的全部绝对路径。
7.根据权利要求5所述的网络设备,其特征在于,所述策略决策单元包括XPATH表达式获取子单元,用于当所述访问策略中请求访问的数据的地址信息为子树形式信息时,获取所述访问请求中所述子树形式的地址信息,将所述子树形式的地址信息转换为请求访问的数据路径的XPATH表达式。
8.根据权利要求5所述的网络设备,其特征在于,所述策略决策单元具体用于将访问请求的主体、动作和全部绝对路径分别与所述访问控制策略的主体、动作和全部绝对路径进行匹配;当所述访问请求与至少一条所述访问控制策略相匹配,所述访问请求的主体、动作和全部绝对路径分别是所述至少一条访问控制策略的主体、动作和全部绝对路径的子集时, 则所述访问请求符合访问控制策略,允许执行相应的动作;否则,所述访问请求不符合访问控制策略,不允许执行相应的动作;其中,所述访问请求主体、动作和全部绝对路径均不为空。
9.根据权利要求5所述的网络设备,其特征在于,所述网络设备还包括数据结构信息库单元,用于将所述XPATH表达式转换为所述XPATH表达式包含的全部绝对路径。
全文摘要
本发明涉及通信领域,尤其涉及一种访问控制方法,包括获取访问控制策略包括的主体、动作和全部绝对路径;接收访问请求方发送的访问请求,根据所述访问请求获取所述访问请求的主体、动作和请求访问的数据路径的XPATH表达式;获取所述XPATH表达式包含的全部绝对路径;将所述访问请求的主体、动作和全部绝对路径分别与所述访问控制策略的主体、动作和全部绝对路径进行匹配,根据匹配结果确定所述访问请求是否符合所述的访问控制策略。本发明根据访问请求针对的内容的路径信息来判断所述访问请求是否被允许,而不是根据内容进行判断,大幅减少了查询、匹配的操作,使效率明显提升。
文档编号H04L12/24GK102299812SQ20101021080
公开日2011年12月28日 申请日期2010年6月22日 优先权日2010年6月22日
发明者张彬, 李国辉, 李岩 申请人:华为技术有限公司