專利名稱：：一種網(wǎng)絡(luò)訪問權(quán)限的管理方法和設(shè)備的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及通信
技術(shù)領(lǐng)域：
，特別涉及一種網(wǎng)絡(luò)訪問權(quán)限的管理方法和設(shè)備。
背景技術(shù)：
：目前局域網(wǎng)中廣泛使用的IEEE802.1x協(xié)議是基于端口的網(wǎng)絡(luò)訪問控制協(xié)議，用于網(wǎng)絡(luò)交換機的物理接入級對接入客戶端進行認證和控制。802.1x協(xié)議的應(yīng)用體系結(jié)構(gòu)如圖l所示，包括用戶設(shè)備，交換機，AAA(Authentication,AuthorizationandAccounting,i人"i正、4受才又和"^十費)月良務(wù)器。在用戶接入層以太網(wǎng)交換機作為802.1x的交換機，位于局域網(wǎng)或無線局域網(wǎng)點對點鏈路一端的一個實體；802.lx的用戶設(shè)備作為認證請求者是位于局域網(wǎng)或無線局域網(wǎng)上點對點鏈路另一端的一個實體，通常安裝在個人計算機中；802.1x的AAA服務(wù)器通常位于運營商的認證、授權(quán)和計費中心。802.1x的用戶設(shè)備與交換機之間運行IEEE802.1x定義的基于局域網(wǎng)的可與AAA服務(wù)器之間同樣運行擴展認證協(xié)議EAP(ExtensibleAuthenticationProtocol)。以太網(wǎng)交換機內(nèi)部有受控端口和非受控端口，其中，非受控端口始終處于雙向連通狀態(tài)，受控端口只有在認證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。在上述的體系結(jié)構(gòu)下，連接在以太網(wǎng)交換機端口上的用戶設(shè)備如果能通過認證，就可以訪問網(wǎng)絡(luò)資源；如果不能通過認證，則無法訪問網(wǎng)絡(luò)資源。用戶設(shè)備認證上網(wǎng)的一般流程如圖2所示，包括以下步驟步驟S201、用戶上線，輸入用戶名和密碼；步驟S202、交換機根據(jù)獲取的用戶名和密碼等信息，向AAA服務(wù)器發(fā)送認證請求報文；步驟S203、AAA服務(wù)器將該用戶信息與用戶數(shù)據(jù)庫信息進行對比分析，如果認證成功，則將用戶的權(quán)限信息以認證響應(yīng)報文發(fā)送給交換機；如果認證失敗，則返回認證失敗的響應(yīng)才艮文；步驟S204、交換機根據(jù)接收到的認證結(jié)果接入/拒絕用戶。如果可以接入用戶，則交換機向AAA服務(wù)器發(fā)送計費開始請求報文；步驟S205、AAA力1務(wù)器返回計費開始響應(yīng)才艮文；步驟S206、用戶下線，交換機向AAA服務(wù)器發(fā)送計費停止請求報文；步驟S207、AAA服務(wù)器返回計費結(jié)束響應(yīng)報文?，F(xiàn)有技術(shù)中，用戶設(shè)備通過交換機向AAA服務(wù)器發(fā)起認證請求，首先用戶設(shè)備要與交換機交互用戶名和密碼等信息，然后交換機將這些信息發(fā)給AAA服務(wù)器，最后由AAA服務(wù)器來判斷用戶設(shè)備的用戶是否合法，如果用戶設(shè)備的用戶合法，則通過用戶設(shè)備的認證請求，并進行后續(xù)授權(quán)、計費等流程，如果用戶設(shè)備的用戶不合法，則認證失敗，用戶無法上線。進一步的擴展上述的認證方法，將該認證策略應(yīng)用于如圖3所示的網(wǎng)絡(luò)系統(tǒng)中，針對交換機，如果收到不可信任的主機(UntmstedHost)訪問互聯(lián)網(wǎng)(Internet)或局域網(wǎng)(LocalAreaNetwork,LAN)的請求，則不能讓這類訪問通過，這類主機應(yīng)首先到認證服務(wù)器上認證，認證通過后變?yōu)榭尚湃蔚闹鞑艓?TrustedHost)才能i方問Internet或LAN;在實現(xiàn)本發(fā)明的過程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題整個網(wǎng)絡(luò)中，有時需要優(yōu)先保證某些關(guān)鍵主機間的通信訪問，而對另外一些非關(guān)4建主機間的流量加以限制，而這樣的策略在現(xiàn)有技術(shù)中沒有明確的實現(xiàn)方案，所以，上述的接入控制和優(yōu)先級控制無法通過現(xiàn)有的技術(shù)進行實現(xiàn)。
發(fā)明內(nèi)容本發(fā)明提供一種網(wǎng)絡(luò)訪問權(quán)限的管理方法和設(shè)備，通過路由矩陣的形式進行接入控制和優(yōu)先級控制。為達到上述目的，本發(fā)明一方面提供了一種網(wǎng)絡(luò)訪問權(quán)限的管理方法，務(wù)器的系統(tǒng)中，所述交換機與所述至少一個用戶終端和所述認證服務(wù)器分別連接，并與外部網(wǎng)絡(luò)相連接，其特征在于，所述交換機中通過路由矩陣的形式保存所述系統(tǒng)中各設(shè)備和/或外部網(wǎng)絡(luò)之間的訪問權(quán)限，所述方法包括當所述交換機接收到一個訪問請求時，所述交換機在所述路由矩陣中查詢所述訪問請求的發(fā)送設(shè)備是否具有與所述訪問請求的目的設(shè)備的訪問權(quán)限；當所述查詢結(jié)果為是時，所述交換機允許所述發(fā)送設(shè)備訪問所述目的設(shè)備，當所述查詢結(jié)果為否時，所述交換機拒絕所述發(fā)送設(shè)備訪問所述目的設(shè)備。優(yōu)選的，當所述系統(tǒng)中加入新的用戶終端時，所述方法還包括所述交換機在所述路由矩陣中標識所述用戶終端具有所述認證服務(wù)器的訪問權(quán)限，但不具有與所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的訪問權(quán)限；當所述用戶終端通過所述認證服務(wù)器的認證時，所述交換機根據(jù)預(yù)設(shè)的設(shè)備訪問權(quán)限設(shè)置策略在所述路由矩陣中標識所述用戶終端與所述系統(tǒng)中其他設(shè)備和/或外部網(wǎng)絡(luò)之間的訪問權(quán)限。優(yōu)選的，當所述系統(tǒng)中加入新的用戶終端時，所述方法還包括當所述交換機接收到指定所述用戶終端與所述系統(tǒng)中的其它設(shè)備和/或外部網(wǎng)絡(luò)之間的訪問權(quán)限的信息時，直接根據(jù)所述信息在所述路由矩陣中標識所述用戶終端與所述系統(tǒng)中其他設(shè)備和/或外部網(wǎng)絡(luò)之間的訪問權(quán)限。優(yōu)選的，所述用戶終端與所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的訪問權(quán)限，具體為允許或拒絕所述用戶終端訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的標識；或，所述用戶終端訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識，其中，最低級別的優(yōu)先級標識表示拒絕所述用戶終端訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)。優(yōu)選的，當所述用戶終端與所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的訪問權(quán)限訪問所述系統(tǒng)中其他i殳備或外部網(wǎng)絡(luò)的優(yōu)先級標識時，所述交換機在所述路由矩陣中查詢所述訪問請求的發(fā)送設(shè)備是否具有與所述訪問請求的目的設(shè)備的訪問權(quán)限之后，具體包括所述交換機根據(jù)發(fā)送所述訪問請求的用戶終端所具有的與所述訪問請求的目的終端的優(yōu)先級標識的級別，對所述用戶終端的訪問流量進行控制。優(yōu)選的，當所述用戶終端與所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的訪問權(quán)限具體為所述用戶終端訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識時，所述方法還包括當所述交換機判斷用戶終端存在安全隱患時，所述交換機降低所述用戶終端所對應(yīng)的訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識的級別；當所述交換機判斷用戶終端的安全隱患消除時，所述交換機提高所述用戶終端所對應(yīng)的訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識的級別。另一方面，本發(fā)明還提供了一種交換機，應(yīng)用于包括一個交換機、至少一個用戶終端和一個認證服務(wù)器的系統(tǒng)中，其中，所述交換^L與所述至少一個用戶終端和所述認證服務(wù)器分別連接，并與外部網(wǎng)絡(luò)相連接，包括存儲模塊，用于存儲保存有所述系統(tǒng)中各設(shè)備和/或外部網(wǎng)絡(luò)之間的訪問權(quán)限信息的路由矩陣；通信模塊，用于接收所述系統(tǒng)中的各設(shè)備所發(fā)送的通信信息；查詢模塊，與所述通信模塊和所述存儲模塊相連接，用于當所述通信模塊接收到一個訪問請求時，在所述存儲模塊所存儲的路由矩陣中查詢所述訪問請求的發(fā)送設(shè)備是否具有與所述訪問請求的目的設(shè)備的訪問權(quán)限；控制模塊，與所述查詢模塊相連接，當所述查詢it塊的查詢結(jié)果為是時，允許所述發(fā)送設(shè)備訪問所述目的設(shè)備，當所述查詢模塊的查詢結(jié)果為否時，拒絕所述發(fā)送設(shè)備訪問所述目的設(shè)備。優(yōu)選的，所述存儲模塊所存儲的路由矩陣中所包含的用戶終端與所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的訪問權(quán)限，具體為允許或拒絕所述用戶終端訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的標識；8或，所述用戶終端訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識，其中，最低級別的優(yōu)先級標識表示拒絕所述用戶終端訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)。優(yōu)選的，當所述存儲模塊所存儲的路由矩陣中所包含的用戶終端與所述其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識時，所述控制模塊，還用于根據(jù)所述查詢模塊所查詢到的發(fā)送所述訪問請求的用戶終端所具有的與所述訪問請求的目的終端的優(yōu)先級標識的級別，對所述用戶終端的訪問流量進行控制。優(yōu)選的，當所述存儲模塊所存儲的路由矩陣中所包含的用戶終端與所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的訪問權(quán)限具體為所述用戶終端訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識時，所述交換機還包括判斷模塊，用于判斷所述系統(tǒng)中的各用戶終端是否存在安全隱患；調(diào)整模塊，與所述判斷模塊和所述存儲模塊相連接，用于當所述判斷模塊判斷用戶終端存在安全隱患時，降低所述存儲模塊所存儲的路由矩陣中所述用戶終端所對應(yīng)的訪問所述系統(tǒng)中其他i殳備或外部網(wǎng)絡(luò)的優(yōu)先級標識的級別，或當所述判斷模塊判斷用戶終端的安全隱患消除時，提高所述存儲模塊所存儲的路由矩陣中所述用戶終端所對應(yīng)的訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識的級別。與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點通過應(yīng)用本發(fā)明的技術(shù)方案，可以通過路由矩陣實現(xiàn)不同主機間的訪問控制和路由矩陣優(yōu)先級的設(shè)置，從而對整個網(wǎng)絡(luò)的流量進行監(jiān)管，由于路由矩陣可以非常簡單的通過軟件實現(xiàn)，可以和多種應(yīng)用系統(tǒng)相結(jié)合，筒化網(wǎng)絡(luò)的監(jiān)控，并提高了網(wǎng)絡(luò)監(jiān)控的靈活性。圖1為現(xiàn)有技術(shù)中802.1x協(xié)議的應(yīng)用體系結(jié)構(gòu)示意圖；9圖2為現(xiàn)有技術(shù)中客戶端認證上網(wǎng)的流程示意圖；圖3為現(xiàn)有技術(shù)中的一種典型應(yīng)用組網(wǎng)的結(jié)構(gòu)示意圖；圖4為本發(fā)明提供的一種網(wǎng)絡(luò)訪問權(quán)限的管理方法的流程示意圖；圖5為本發(fā)明提供的一種路由矩陣中訪問權(quán)限的初始化過程的流程示意圖；圖6為本發(fā)明提供的一種優(yōu)先級調(diào)整流程的流程示意圖；圖7為本發(fā)明提出的一種交換機的結(jié)構(gòu)示意圖。具體實施方式如
背景技術(shù)：
所述，對于某些關(guān)鍵主機間的通信訪問的優(yōu)先處理，以及對另外一些非關(guān)4建主4幾間的流量限制在現(xiàn)有:R術(shù)中沒有明確的實現(xiàn)方案，因此，無法通過現(xiàn)有的技術(shù)進行實現(xiàn)上述的接入控制和優(yōu)先級控制。為了解決上述問題，本發(fā)明一方面提供了一種網(wǎng)絡(luò)訪問權(quán)限的管理方法，應(yīng)用于包括一個交換機、至少一個用戶終端和一個認證服務(wù)器的系統(tǒng)中，交換機與至少一個用戶終端和認證服務(wù)器分別連接，并與外部網(wǎng)絡(luò)相連接，交換機中通過路由矩陣的形式保存系統(tǒng)中各設(shè)備和/或外部網(wǎng)絡(luò)之間的訪問權(quán)限。如圖4所示，為本發(fā)明所提出的一種網(wǎng)絡(luò)訪問權(quán)限的管理方法的流程示意圖，具體包括以下步驟步驟S401、交換機接收到一個訪問請求。需要指出的是，在本步驟之前，本技術(shù)方案中還包括路由矩陣中的訪問權(quán)限初始化過程，具體說明如下當系統(tǒng)中加入新的用戶終端時，交換機在路由矩陣中標識用戶終端具有認證服務(wù)器的訪問權(quán)限，但不具有與系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的訪問權(quán)限。這樣的處理可以保證該用戶終端具有訪問認證服務(wù)器進行訪問權(quán)限認證的權(quán)利，但是，在沒有驗證該用戶終端的安全行之前，該用戶終端不能訪問該系統(tǒng)中的其它設(shè)備或外部網(wǎng)絡(luò)。而當用戶終端通過認證服務(wù)器的認證時，交換機根據(jù)預(yù)設(shè)的設(shè)備訪問權(quán)限設(shè)置策略在路由矩陣中標識用戶終端與系統(tǒng)中其他設(shè)備和/或外部網(wǎng)絡(luò)之間的訪問一又限。需要指出的是，如果新接入的用戶終端被直接指定了訪問權(quán)限，即當交換機接收到指定用戶終端與系統(tǒng)中的其它設(shè)備和/或外部網(wǎng)絡(luò)之間的訪問權(quán)限的信息時，交換機可以直接根據(jù)信息在路由矩陣中標識用戶終端與系統(tǒng)中其他設(shè)備和/或外部網(wǎng)絡(luò)之間的訪問權(quán)限，而不再需要進行認證服務(wù)器的訪問權(quán)限認證過程。步驟S402、交換機在路由矩陣中查詢訪問請求的發(fā)送設(shè)備是否具有與訪問請求的目的設(shè)備的訪問權(quán)限。當查詢結(jié)果為是時，執(zhí)行步驟S403;當查詢結(jié)果為否時，^l行步驟S404。需要具體指出的是，用戶終端與系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的訪問權(quán)限，具體包括以下兩種情況情況一、允許或拒絕用戶終端訪問系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的標識。僅標識了用戶終端是否被允許訪問系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)，即僅存在"允許，，和"拒絕，，兩種情況。情況二、用戶終端訪問系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識，其中，最低級別的優(yōu)先級標識表示拒絕用戶終端訪問系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)。在這種情況下，不再筒單的分為兩種情況，而是根據(jù)設(shè)備間訪問的重要程度和/或安全級別分為了多個訪問級別，最低優(yōu)先級級別表示拒絕訪問，而優(yōu)先級級別越高，則該優(yōu)先級所對應(yīng)的設(shè)備間的訪問進程越會被優(yōu)先處理，或被分配更多的系統(tǒng)資源用于高優(yōu)先級的訪問進程?；谏鲜龅那闆r二，步驟S402的判斷結(jié)果也相應(yīng)的具有了具體的調(diào)整，具體如下當查詢結(jié)果為該訪問請求所對應(yīng)的優(yōu)先級標識的級別不是最低優(yōu)先級時，執(zhí)行步驟S403;當查詢結(jié)果為該訪問請求所對應(yīng)的優(yōu)先級標識的級別是最低優(yōu)先級時，執(zhí)行步驟S404。步驟S403、交換機允許發(fā)送設(shè)備訪問目的設(shè)備。在本步驟中，如果依據(jù)上述的情況二而具有訪問進程的優(yōu)先級劃分時，本步驟中需要根據(jù)相應(yīng)的優(yōu)先級級別進行訪問進程的優(yōu)先處理和/或用于方位進行的系統(tǒng)資源調(diào)度，從而實現(xiàn)相應(yīng)的流量控制。步驟S404、交換機拒絕發(fā)送設(shè)備訪問目的設(shè)備。在具體的應(yīng)用場景中，當用戶終端與系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的訪問權(quán)限具體為用戶終端訪問系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識時，本發(fā)明的技術(shù)方案還包括優(yōu)先級級別的調(diào)整過程，具體說明如下當交換機判斷用戶終端存在安全隱患時，交換機降低用戶終端所對應(yīng)的訪問系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識的級別；當交換機判斷用戶終端的安全隱患消除時，交換機提高用戶終端所對應(yīng)的訪問系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識的級別。與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點通過應(yīng)用本發(fā)明的技術(shù)方案，可以通過路由矩陣實現(xiàn)不同主機間的訪問控制和路由矩陣優(yōu)先級的設(shè)置，從而對整個網(wǎng)絡(luò)的流量進行監(jiān)管，由于路由矩陣可以非常簡單的通過軟件實現(xiàn)，可以和多種應(yīng)用系統(tǒng)相結(jié)合，簡化網(wǎng)絡(luò)的監(jiān)控，并提高了網(wǎng)絡(luò)監(jiān)控的靈活性。下面，結(jié)合具體的應(yīng)用場景，對本發(fā)明所提出的技術(shù)方案進行說明。本發(fā)明提出了一種通過"路由矩陣"實現(xiàn)網(wǎng)絡(luò)訪問權(quán)限的管理的方法，可以簡單靈活地進行三層轉(zhuǎn)發(fā)和訪問控制以及流量監(jiān)管。如表1所示，為一種簡單路由矩陣的示意圖。表l簡單路由矩陣示意圖<table>tableseeoriginaldocumentpage12</column></row><table>其中，表1中Y表示可訪問，N表示不可訪問。通過該路由矩陣，可以表示在當前系統(tǒng)中的各設(shè)備之間的訪問權(quán)限具體(1)設(shè)備A不可以訪問設(shè)備B;(2)設(shè)名3可以訪問設(shè)備A。針對當前系統(tǒng)中對于各設(shè)備的訪問控制需求，將路由矩陣的概念引入到三層路由控制管理中。具體如表2中所示，與表l中相同，'Y，表示可以訪問，'N，表示不可訪問。表2路由矩陣示意圖目的IP訪問級別不信^壬主才幾信任主機認證服務(wù)器夕卜部網(wǎng)絡(luò)源IP訪問級別不信任主機NNYN信任主機NYYY認證服務(wù)器YYYY外部網(wǎng)絡(luò)NYYY此路由矩陣包含以下信息(1)所有主機和認證服務(wù)器間可以互訪；(2)不可信任的主機不允許訪問除認證服務(wù)器外的其它主機；(3)可信任主機可訪問除不可信任的主機外其它所有主才幾；(4)不可信任主機在通過認證服務(wù)器后，可修改矩陣中對應(yīng)節(jié)點為"Y"切換成為可信任主片幾。通過上述說明，可以得出在此種應(yīng)用場景下，對路由矩陣中個參數(shù)的定義^口下行(也就是源IP)代表了要發(fā)起訪問的主機的可靠性，而列(目的IP)表示了被訪問主機的機密性及對安全的重視度。某行中'N，越多表示該主機越不可靠，某列中'N，越多表示該主機越機密對安全性要求越高。基于此規(guī)則，可以通過"路由矩陣"對網(wǎng)絡(luò)進行安全訪問控制部署。13需要進一步指出的是，上述的路由矩陣格式限制僅是本發(fā)明的一種優(yōu)選實施例，格式的調(diào)整并不影響本發(fā)明的保護范圍。如圖5所示，為路由矩陣中訪問權(quán)限的初始化過程的流程示意圖，具體包括以下步驟步驟S501、3各由矩陣初始化?？捎捎脩糁苯优渲媚男┠康闹鳈C是默認均可訪問的。例如用戶配置了某認證服務(wù)器為所有主機均可訪問的主機，那么，首先將認證服務(wù)器對應(yīng)行和列設(shè)為全Y,而LAN或Intemet(外部網(wǎng)絡(luò))列中除認證服務(wù)器和和自身外其余設(shè)置'N，，具體如表3所示表3初始i各由矩陣目的IPi方問纟及別—一認證服務(wù)器LAN/Internet源IP訪問級別———YN—一YN認證服務(wù)器YYYYLAN/InternetNNYY步驟S502、系統(tǒng)中加入新的主機，設(shè)置其初始狀態(tài)只能訪問認證服務(wù)器。即默認對新加入的主機確定為不信任主機，只允許其訪問認證服務(wù)器，具體如表4所示14表4加入不信任主機后的路由矩陣<table>tableseeoriginaldocumentpage15</column></row><table>步驟S503、對新加入的主機進行安全認證，并根據(jù)相應(yīng)的認證結(jié)果調(diào)整路由矩陣。例如，不信任主機l沒有認證通過，不信任主機2認證通過，變?yōu)?可信任主機，，，因此，將不信任主機2的訪問級別提高，設(shè)置該主機可以訪問外部網(wǎng)絡(luò)(LAN/Internet)。此過程也可以通過用戶指定來實現(xiàn)，即用戶認為某新加入的主機可信任，不需到認證服務(wù)器認證可直接將其配置"可信任主機"。經(jīng)過認證調(diào)整后的的路由矩陣具體如表5所示表5認證后的路由矩陣<table>tableseeoriginaldocumentpage15</column></row><table>至此便通過"路由矩陣"完成了網(wǎng)絡(luò)中的安全部署，并可以根據(jù)相應(yīng)的訪問權(quán)限對系統(tǒng)中的各設(shè)備之間的訪問進行控制。在另一方面，在上述的路由矩陣設(shè)置策略的基礎(chǔ)上，路由矩陣中可以增加節(jié)點的權(quán)重值，從而將其應(yīng)用于流量限速監(jiān)管。假定認為從0~3分別代表訪問優(yōu)先級由低到高，認為不允許訪問的為最低優(yōu)先級(0級)，信任主機間的互訪為最高優(yōu)先級(3級)，訪問認證服務(wù)器的優(yōu)先極為l級，訪問LAN/Internet優(yōu)先級為2級，相應(yīng)的優(yōu)先級i殳置具體如表6所示表6帶權(quán)重的路由矩陣<table>tableseeoriginaldocumentpage16</column></row><table>在此基礎(chǔ)上，可以按照優(yōu)先級級別的高低對各設(shè)備之間的訪問進行流量控制，例如，信任主機之間的互訪可以獲得最大的流量分配，而優(yōu)先級為o的訪問進程則實際為拒絕訪問，不會獲得任何的流量分配，通過這樣的設(shè)置，可以實現(xiàn)不同等級的訪問進行之間的流量調(diào)整，實現(xiàn)系統(tǒng)中的資源分配。在此種具有優(yōu)先級劃分的應(yīng)用場景中，還可以進一步包括優(yōu)先級的調(diào)整流程。提高優(yōu)先級的動作可以通過ACL規(guī)則等方式來實現(xiàn)。通過此模型可以實現(xiàn)對不同源地址和目的地址的流量進行限速和限流，從而保證最高優(yōu)先級的訪問最先得到響應(yīng)。具體如圖6所示，在本發(fā)明所提出的技術(shù)方案中，路由矩陣中的優(yōu)先級可以通過網(wǎng)絡(luò)入侵檢測系統(tǒng)(NetworkIntrusionDetectionSystem,NIDS)等網(wǎng)絡(luò)監(jiān)控"i殳備的輸出結(jié)果來獲取。如果網(wǎng)絡(luò)監(jiān)控設(shè)備認為來自此主機的流量存在攻擊，將通知交換機將路由矩陣中的對應(yīng)節(jié)點的優(yōu)先級降低，待消除攻擊后再提高其優(yōu)先級。1通過這種方式可以非常靈活的提高網(wǎng)絡(luò)安全性，具體步驟不再詳述。與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點通過應(yīng)用本發(fā)明的技術(shù)方案，可以通過路由矩陣實現(xiàn)不同主機間的訪問控制和路由矩陣優(yōu)先級的設(shè)置，從而對整個網(wǎng)絡(luò)的流量進行監(jiān)管，由于路由矩陣可以非常簡單的通過軟件實現(xiàn)，可以和多種應(yīng)用系統(tǒng)相結(jié)合，簡化網(wǎng)絡(luò)的監(jiān)控，并提高了網(wǎng)絡(luò)監(jiān)控的靈活性。為了實現(xiàn)上述的本發(fā)明所提出的技術(shù)方案，本發(fā)明還提出了一種交換機，應(yīng)用于包括一個交換機、至少一個用戶終端和一個認證服務(wù)器的系統(tǒng)中，其中，交換機與至少一個用戶終端和認證服務(wù)器分別連接，并與外部網(wǎng)絡(luò)相連接。具體如圖7所示，為本發(fā)明提出的一種交換機的結(jié)構(gòu)示意圖，包括存儲模塊71,用于存儲保存有系統(tǒng)中各設(shè)備和/或外部網(wǎng)絡(luò)之間的訪問權(quán)限信息的路由矩陣；在具體的應(yīng)用場景中，存儲模塊71所存儲的路由矩陣中所包含的用戶終端與系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的訪問權(quán)限具體包括以下兩種情況情況一、允許或拒絕用戶終端訪問系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的標識。僅標識了用戶終端是否被允許訪問系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)，即僅存在"允許"和"拒絕"兩種情況。情況二、用戶終端訪問系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識，其中，最低級別的優(yōu)先級標識表示拒絕用戶終端訪問系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)。在這種情況下，不再簡單的分為兩種情況，而是根據(jù)設(shè)備間訪問的重要程度和/或安全級別分為了多個訪問級別，最低優(yōu)先級級別表示拒絕訪問，而優(yōu)先級級別越高，則該優(yōu)先級所對應(yīng)的設(shè)備間的訪問進程越會被優(yōu)先處理，或被分配更多的系統(tǒng)資源用于高優(yōu)先級的訪問進程。通信模塊72,用于接收系統(tǒng)中的各設(shè)備所發(fā)送的通信信息；查詢模塊73,與通信模塊72和存儲模塊71相連接，用于當通信模塊72接收到一個訪問請求時，在存儲模塊71所存儲的路由矩陣中查詢訪問請求的發(fā)送設(shè)備是否具有與訪問請求的目的設(shè)備的訪問權(quán)限；控制模塊74，與查詢模塊73相連接，當查詢模塊73的查詢結(jié)果為是時，允許發(fā)送設(shè)備訪問目的設(shè)備，當查詢模塊73的查詢結(jié)果為否時，拒絕發(fā)送設(shè)備訪問目的設(shè)備。需要進一步指出的是，當存儲模塊71所存儲的路由矩陣中所包含的用戶他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識時，控制模塊74還用于根據(jù)查詢模塊73所查詢到的發(fā)送訪問請求的用戶終端所具有的與訪問請求的目的終端的優(yōu)先級標識的級別，對用戶終端的訪問流量進行控制。在具體的應(yīng)用場景中，當存儲模塊71所存儲的路由矩陣中所包含的用戶終端與系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的訪問斥又限具體為用戶終端訪問系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識時，交換機還包括判斷模塊75,用于判斷系統(tǒng)中的各用戶終端是否存在安全隱患；調(diào)整模塊76,與判斷模塊75和存儲模塊71相連接，用于當判斷模塊75判斷用戶終端存在安全隱患時，降低存儲模塊71所存儲的路由矩陣中用戶終端所對應(yīng)的訪問系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識的級別，或當判斷模塊75判斷用戶終端的安全隱患消除時，提高存儲模塊71所存儲的路由矩陣中用戶終端所對應(yīng)的訪問系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識的級別。與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點通過應(yīng)用本發(fā)明的技術(shù)方案，可以通過路由矩陣實現(xiàn)不同主機間的訪問控制和路由矩陣優(yōu)先級的設(shè)置，從而對整個網(wǎng)絡(luò)的流量進行監(jiān)管，由于路由矩陣可以非常簡單的通過軟件實現(xiàn)，可以和多種應(yīng)用系統(tǒng)相結(jié)合，簡化網(wǎng)絡(luò)的監(jiān)控，并提高了網(wǎng)絡(luò)監(jiān)控的靈活性。通過以上的實施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通過硬件實現(xiàn)，也可以借助軟件加必要的通用硬件平臺的方式來實現(xiàn)?；谶@樣的理解，本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來，該軟件產(chǎn)品可以存儲在一個非易失性存儲介質(zhì)(可以是CD-ROM，U盤，移動硬盤等)中，包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施場景所述的方法。本領(lǐng)域技術(shù)人員可以理解附圖只是一個優(yōu)選實施場景的示意圖，附圖中的模塊或流程并不一定是實施本發(fā)明所必須的。本領(lǐng)域技術(shù)人員可以理解實施場景中的裝置中的模塊可以按照實施場景描述進行分布于實施場景的裝置中，也可以進行相應(yīng)變化位于不同于本實施場景的一個或多個裝置中。上述實施場景的模塊可以合并為一個模塊，也可以進一步拆分成多個子模塊。上述本發(fā)明序號僅僅為了描述，不代表實施場景的優(yōu)劣。以上公開的僅為本發(fā)明的幾個具體實施場景，但是，本發(fā)明并非局限于此，任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護范圍。權(quán)利要求1、一種網(wǎng)絡(luò)訪問權(quán)限的管理方法，應(yīng)用于包括一個交換機、至少一個用戶終端和一個認證服務(wù)器的系統(tǒng)中，其中，所述交換機與所述至少一個用戶終端和所述認證服務(wù)器分別連接，并與外部網(wǎng)絡(luò)相連接，其特征在于，所述交換機中通過路由矩陣的形式保存所述系統(tǒng)中各設(shè)備和/或外部網(wǎng)絡(luò)之間的訪問權(quán)限，所述方法包括當所述交換機接收到一個訪問請求時，所述交換機在所述路由矩陣中查詢所述訪問請求的發(fā)送設(shè)備是否具有與所述訪問請求的目的設(shè)備的訪問權(quán)限；當所述查詢結(jié)果為是時，所述交換機允許所述發(fā)送設(shè)備訪問所述目的設(shè)備，當所述查詢結(jié)果為否時，所述交換機拒絕所述發(fā)送設(shè)備訪問所述目的設(shè)備。2、如權(quán)利要求l所述的方法，其特征在于，當所述系統(tǒng)中加入新的用戶終端時，所述方法還包括所述交換機在所述路由矩陣中標識所述用戶終端具有所述認證服務(wù)器的訪問權(quán)限，但不具有與所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的訪問權(quán)限；當所述用戶終端通過所述認證服務(wù)器的認證時，所述交換機根據(jù)預(yù)設(shè)的設(shè)備訪問權(quán)限設(shè)置策略在所述路由矩陣中標識所述用戶終端與所述系統(tǒng)中其他設(shè)備和/或外部網(wǎng)絡(luò)之間的訪問權(quán)限。3、如權(quán)利要求2所述的方法，其特征在于，當所述系統(tǒng)中加入新的用戶終端時，所述方法還包括當所述交換機接收到指定所述用戶終端與所述系統(tǒng)中的其它設(shè)備和/或外部網(wǎng)絡(luò)之間的訪問權(quán)限的信息時，直接根據(jù)所述信息在所述路由矩陣中標識所述用戶終端與所述系統(tǒng)中其他設(shè)備和/或外部網(wǎng)絡(luò)之間的訪問權(quán)限。4、如權(quán)利要求1至3的任意一項所述的方法，其特征在于，所述用戶終端與所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的訪問權(quán)限，具體為允許或拒絕所述用戶終端訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的標識；或，所述用戶終端訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識，其中，最低級別的優(yōu)先級標識表示拒絕所述用戶終端訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)。5、如權(quán)利要求4所述的方法，其特征在于，當所述用戶終端與所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的訪問權(quán)限具體為所述用戶終端訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識時，所述交換機在所述路由矩陣中查詢所述訪問請求的發(fā)送設(shè)備是否具有與所述訪問請求的目的設(shè)備的訪問權(quán)限之后，具體包括所述交換機根據(jù)發(fā)送所述訪問請求的用戶終端所具有的與所述訪問請求的目的終端的優(yōu)先級標識的級別，對所述用戶終端的訪問流量進行控制。6、如權(quán)利要求4所述的方法，其特征在于，當所述用戶終端與所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的訪問權(quán)限具體為所述用戶終端訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識時，所述方法還包括當所述交換機判斷用戶終端存在安全隱患時，所述交換機降低所述用戶終端所對應(yīng)的訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識的級別；當所述交換機判斷用戶終端的安全隱患消除時，所述交換積4是高所述用戶終端所對應(yīng)的訪問所述系統(tǒng)中其他i殳備或外部網(wǎng)絡(luò)的優(yōu)先級標識的級別。7、一種交換機，應(yīng)用于包括一個交換機、至少一個用戶終端和一個認證服務(wù)器的系統(tǒng)中，其中，所述交換機與所述至少一個用戶終端和所述認證服務(wù)器分別連接，并與外部網(wǎng)絡(luò)相連接，其特征在于，包括存儲模塊，用于存儲保存有所述系統(tǒng)中各設(shè)備和/或外部網(wǎng)絡(luò)之間的訪問權(quán)限信息的路由矩陣；通信模塊，用于接收所述系統(tǒng)中的各設(shè)備所發(fā)送的通信信息；查詢模塊，與所述通信模塊和所述存儲模塊相連接，用于當所述通信模塊接收到一個訪問請求時，在所述存儲模塊所存儲的路由矩陣中查詢所述訪問請求的發(fā)送設(shè)備是否具有與所述訪問請求的目的設(shè)備的訪問權(quán)限；控制模塊，與所述查詢模塊相連接，當所述查詢模塊的查詢結(jié)果為是時，允許所述發(fā)送設(shè)備訪問所述目的設(shè)備，當所述查詢模塊的查詢結(jié)果為否時，拒絕所述發(fā)送設(shè)備訪問所述目的設(shè)備。8、如權(quán)利要求7所述的交換機，其特征在于，所述存儲^t塊所存儲的路由矩陣中所包含的用戶終端與所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的訪問權(quán)限，具體為允許或拒絕所述用戶終端訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的標識；或，所述用戶終端訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識，其中，部網(wǎng)絡(luò)》9、如權(quán)利要求8所述的交換機，其特征在于，當所述存儲^t塊所存儲的路由矩陣中所包含的用戶終端與所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的訪問權(quán)限具體為所述用戶終端訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識時，所述控制模塊，還用于根據(jù)所述查詢模塊所查詢到的發(fā)送所述訪問請求的用戶終端所具有的與所述訪問請求的目的終端的優(yōu)先級標識的級別，對所述用戶終端的訪問流量進行控制。10、如權(quán)利要求8所述的交換機，其特征在于，當所述存儲模塊所存儲的路由矩陣中所包含的用戶終端與所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的訪問權(quán)限具體為所述用戶終端訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識時，所述交換機還包括判斷模塊，用于判斷所述系統(tǒng)中的各用戶終端是否存在安全隱患；調(diào)整模塊，與所述判斷模塊和所述存儲模塊相連接，用于當所述判斷模塊判斷用戶終端存在安全隱患時，降低所述存儲模塊所存儲的路由矩陣中所述用戶終端所對應(yīng)的訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識的級別，或當所述判斷模塊判斷用戶終端的安全隱患消除時，提高所述存儲模塊所存儲的路由矩陣中所述用戶終端所對應(yīng)的訪問所述系統(tǒng)中其他設(shè)備或外部網(wǎng)絡(luò)的優(yōu)先級標識的級別。全文摘要本發(fā)明公開了一種網(wǎng)絡(luò)訪問權(quán)限的管理方法和設(shè)備，通過路由矩陣實現(xiàn)不同主機間的訪問控制和路由矩陣優(yōu)先級的設(shè)置，從而對整個網(wǎng)絡(luò)的流量進行監(jiān)管，由于路由矩陣可以非常簡單的通過軟件實現(xiàn)，可以和多種應(yīng)用系統(tǒng)相結(jié)合，簡化網(wǎng)絡(luò)的監(jiān)控，并提高了網(wǎng)絡(luò)監(jiān)控的靈活性。文檔編號H04L29/06GK101651697SQ20091017676公開日2010年2月17日申請日期2009年9月21日優(yōu)先權(quán)日2009年9月21日發(fā)明者劉如冰,柳楊申請人:杭州華三通信技術(shù)有限公司