[发明专利]访问控制方法和用于访问控制的网络节点

说明书

本申请公开了一种访问控制方法和用于访问控制的网络节点，所述方法包括：网络节点接收客户端发来的HTTP接入请求，识别所述HTTP接入请求中的referer字段；所述网络节点根据所述请求访问的资源标识在一组或多组访问控制列表中进行匹配；当所述请求访问的资源标识匹配到被控资源标识时，所述网络节点获取所述被控资源标识的允许/拒绝标识位，根据所述被控资源标识的允许/拒绝标识位对发出所述HTTP接入请求的客户端发出允许/拒绝访问的HTTP接入响应。本申请基于HTTP协议，在HTTP响应信息的头域中添加标准字段即可实现，在网络中能够兼容不同的网络节点。

技术领域

本申请涉及电视通信技术领域，具体涉及一种访问控制方法和用于访问控制的网络节点。

背景技术

现有技术中,源站会根据配置文件或者语法结构生成数据表形式的ACL(accesscontrol list,访问控制列表)，然后将生成的ACL导入运维系统，经过运维系统的配置解析或者人工解析，生成可供缓存系统读取解析的配置文件,将配置文件分别下发到各网络节点中，每个网络节点中都要配置有专门的ACL控制模块，由网络节点中的专门的ACL控制模块按照既定语法去解析配置文件，网络节点解析配置文件获得ACL后，重新加载(reload)ACL或者热重启网络节点，再重新加载或者热重启成功后，ACL才完成在网络节点的部署，从而达到访问控制的目的。如果再重新加载或者热重启失败，则需要反复不断地重新加载或者热重启。如果源站的ACL发生变化，则需要重新进行上述过程。

上述方法中,虽然最终能够实现访问控制，但是并没有基于HTTP协议，因此各网络节点都按照自身需求自由定义配置格式，造成各级网络节点间互不兼容，而这些网络节点共存于网络，显然无法采用相同的配置文件来下发ACL，造成了源站维护成本的增加。

另外，因为在源站根据ACL生成配置文件时，必须由运维系统进行解析和转换，源站需要按照当前运维系统要求的格式去填写待配置的ACL，这样才能够使得运维系统能够识别和翻译。而运维系统也需要按照网络节点可以识别的配置格式将ACL转换配置文件，并下发到网络节点中。显然这个过程具有极大的排他性，仅适用于网络节点分布和个体状况已知的局域网，无法直接应用于整个互联网中。

另外，在网络扩展性方面，上述方法的局域网中的网络节点在管理软件上必须是统一的结构,因为如果出现不同管理软件的网络节点，源站侧的运维系统为了满足不同的管理软件，就需要针对不同的管理软件增加转换模块，生成不同的配置文件，以适应不同的管理软件的格式要求，并且源站需要分辨出应用不同管理软件的网络节点，向这些网络节点下发不同的配置文件，当局域网中网络节点的管理软件混用程度超过一定的数量级，运维系统的运行、配置过程将会非常复杂，维护成本急剧增加。

在运维系统下发了配置文件，网络节点解析配置文件获得ACL后，需要对网络节点进行重新加载或者热重启操作。在业务繁忙的局域网中，重新加载或者热重启操作很可能会造成网络QPS(每秒查询率，Query Per Second)瞬间下降，网络节点侧的服务器CPU占用率瞬间升高到最大值。而且，重新加载或者热重启操作存在失败的风险，一旦失败会引发雪崩效应,导致局域网瘫痪，影响用户正常访问。

发明内容

本申请的目的在于提供一种访问控制方法和用于访问控制的网络节点。

为了达到上述目的，本申请公开了一种访问控制方法，所述方法包括：网络节点接收客户端发来的HTTP接入请求，识别所述HTTP接入请求中的referer字段，所述referer字段中包括请求访问的资源标识；所述网络节点根据所述请求访问的资源标识在一组或多组访问控制列表中进行匹配，其中，所述一组或多组访问控制列表被添加在源站向所述网络节点下发的所述访问控制列表响应的扩展头域中，对于任一组访问控制列表包括被控资源标识及所述被控资源标识的允许/拒绝标识位；当所述请求访问的资源标识匹配到被控资源标识时，所述网络节点获取所述被控资源标识的允许/拒绝标识位，根据所述被控资源标识的允许/拒绝标识位对发出所述HTTP接入请求的客户端发出允许/拒绝访问的HTTP接入响应。