[发明专利]IPv6/IPv4地址分级访问权限控制方法和访问控制网关无效
| 申请号: | 200910089531.1 | 申请日: | 2009-07-22 |
| 公开(公告)号: | CN101605097A | 公开(公告)日: | 2009-12-16 |
| 发明(设计)人: | 胡松;华贵斌;黄友俊;李星;吴建平 | 申请(专利权)人: | 赛尔网络有限公司 |
| 主分类号: | H04L12/56 | 分类号: | H04L12/56;H04L12/66;H04L29/06;H04L29/12 |
| 代理公司: | 中科专利商标代理有限责任公司 | 代理人: | 王波波 |
| 地址: | 100084北京市中关村*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | ipv6 ipv4 地址 分级 访问 权限 控制 方法 网关 | ||
1.一种分级访问权限控制方法,包括以下步骤:
从来自客户端的数据包中提取出源地址和目的地址的访问权限属性;
根据源地址和目的地址的访问权限属性,确定是否允许客户端对目的地址进行访问;
在确定允许客户端对目的地址进行访问的情况下,复制数据包的包头,进行流量统计,并向目的地址转发数据包;以及
在确定不允许客户端对目的地址进行访问的情况下,直接丢弃数据包。
2.根据权利要求1所述的分级访问权限控制方法,还包括以下步骤:
在确定不允许客户端对目的地址进行访问的情况下,根据访问端口参数,确定是否对数据包进行重定向;
在确定需要对数据包进行重定向的情况下,修改数据包的包头中的目的地址和/或目的端口,并向修改后的目的地址转发数据包;以及
在确定不需要对数据包进行重定向的情况下,直接丢弃数据包。
3.根据权利要求1或2所述的分级访问权限控制方法,其中
目的地址被划分为多个地址域,以及源地址的访问权限属性包括针对每一地址域的访问权限。
4.根据权利要求3所述的分级访问权限控制方法,其中
所述多个地址域是由网络运营商定义的自定义域,每个目的地址属于一个或多个自定义域。
5.根据权利要求1或2所述的分级访问权限控制方法,其中
通过对源地址和目的地址的访问权限属性进行逻辑与操作,确定是否允许客户端对目的地址进行访问,
当逻辑与操作所得到的结果为真时,确定允许客户端对目的地址进行访问;而当逻辑与操作所得到的结果为假时,确定不允许客户端对目的地址进行访问。
6. 一种访问控制网关,包括:
访问权限提取装置,用于从来自客户端的数据包中提取出源地址和目的地址的访问权限属性;以及
访问控制装置,用于根据源地址和目的地址的访问权限属性,确定是否允许客户端对目的地址进行访问;
数据包转发装置,用于在所述访问控制装置确定允许客户端对目的地址进行访问的情况下,复制数据包的包头,进行流量统计,并向目的地址转发数据包,以及在所述访问控制装置确定不允许客户端对目的地址进行访问的情况下,直接丢弃数据包。
7. 根据权利要求6所述的访问控制网关,还包括:
重定向控制装置,用于在所述访问控制装置确定不允许客户端对目的地址进行访问的情况下,根据访问端口参数,确定是否对数据包进行重定向;
数据包重定向装置,用于在所述重定向控制装置确定需要对数据包进行重定向的情况下,修改数据包的包头中的目的地址和/或目的端口,并向修改后的目的地址转发数据包,以及在确定不需要对数据包进行重定向的情况下,直接丢弃数据包。
8. 根据权利要求6或7所述的访问控制网关,其中
目的地址被划分为多个地址域,以及源地址的访问权限属性包括针对每一地址域的访问权限。
9. 根据权利要求8所述的访问控制网关,其中
所述多个地址域是由网络运营商定义的自定义域,每个目的地址属于一个或多个自定义域。
10. 根据权利要求6或7所述的访问控制网关,其中
所述访问控制装置对源地址和目的地址的访问权限属性进行逻辑与操作,以确定是否允许客户端对目的地址进行访问,
当逻辑与操作所得到的结果为真时,所述访问控制装置确定允许客户端对目的地址进行访问;而当逻辑与操作所得到的结果为假时,所述访问控制装置确定不允许客户端对目的地址进行访问。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于赛尔网络有限公司,未经赛尔网络有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/200910089531.1/1.html,转载请声明来源钻瓜专利网。
