技術領域

本發明涉及通信領域，尤其涉及一種訪問控制方法及網絡設備。

背景技術

在網絡管理系統中通常包含兩個對象：網管設備和被管設備。網絡管理員操縱網管設備向被管設備發出網絡管理請求，比如查詢設備狀態的請求或修改設備配置標識的請求；被管設備接收所述請求，并按請求執行操作，然后向網管設備應答操作結果。網管設備和被管設備間的報文交互需遵從網管協議。網絡配置協議(Network?Configuration?Protocol，NETCONF)就是這樣一種網管協議，所述網管協議采用可擴展標記語言(ExtensibleMarkup?Language，XML)語言描述網管的請求/應答報文，以及網管數據。

為了網絡設備的安全，需要對訪問設備的網管請求進行訪問控制。不同管理員的訪問權限是不同的，他們可能只被允許訪問網管數據的不同子集，因此需要識別管理員的身份和訪問企圖，判斷該請求是否符合預先定義的訪問策略，對于符合策略的請求予以執行。這種根據用戶身份來限制用戶對某些信息項的訪問的過程就是訪問控制。

可擴展的訪問控制標記語言(eXtensible?Access?Control?MarkupLanguage，XACML)是一種基于XML的開放標準語言，用于詳細說明訪問控制策略。XACML定義了一種通用的XML數據訪問控制處理模型。依照該處理模型，在確定一個網管請求是否被允許時，在資源庫中對網管請求需要訪問或控制的資源進行查詢，獲得一個結果集；根據預設的規則查詢資源庫，獲得另一個結果集，然后在對所述兩個結果集比較。當網管請求對應的結果集是預設的規則對應的結果集的子集時，允許網管請求的訪問或控制操作。

由于對資源進行查詢需要占用很大的性能，且對所述兩個結果集進行比較運算的開銷也很大，因此現有機制的整體效率較低。

發明內容

本發明的一個目的為提供一種訪問控制方法及網絡設備。

本發明技術方案如下：

一種訪問控制方法，包括：獲取訪問控制策略的主體、動作和全部絕對路徑；接收訪問請求方發送的訪問請求，根據所述訪問請求獲取所述訪問請求的主體、動作和請求訪問的數據路徑的XPATH表達式；獲取所述XPATH表達式包含的全部絕對路徑；將所述訪問請求的主體、動作和全部絕對路徑分別與所述訪問控制策略的主體、動作和全部絕對路徑進行匹配，根據匹配結果確定所述訪問請求是否符合所述的訪問控制策略。

一種網絡設備，包括：策略管理單元、策略決策單元、策略實施單元；所述策略管理單元用于獲取訪問控制策略的主體、動作和全部絕對路徑；所述策略實施單元用于接收訪問請求方發送的訪問請求，根據所述訪問請求獲取所述訪問請求的主體、動作和請求訪問的數據路徑的XPATH表達式，并獲取所述XPATH表達式包含的全部絕對路徑；所述策略決策單元用于將所述訪問請求的主體、動作和全部絕對路徑分別與所述訪問控制策略的主體、動作和全部絕對路徑進行匹配，根據匹配結果確定所述訪問請求是否符合所述的訪問控制策略。

本發明的優點在于根據訪問請求針對的內容的路徑信息來判斷所述訪問請求是否被允許，而不是根據內容進行判斷，大幅減少了查詢、匹配的操作，使效率明顯提升。

附圖說明

圖1所示為本發明一實施例的示意圖；

圖2所示為本發明一實施例的示意圖；

圖3所示為本發明一實施例的示意圖。

具體實施方式

下面結合附圖和具體實施例對本發明展開詳細說明。但需要注意，下面的這些實施例，僅為幫助理解技術方案所舉的例子，并不用于限定本發明。

本發明的一個實施例的內容如下。

獲取訪問控制策略中允許訪問的數據的全部絕對路徑。所述訪問控制策略被預先配置，包括主體、動作和允許訪問的數據的地址信息，所述全部絕對路徑可根據所述允許訪問的數據的地址信息獲取。

接收訪問請求方發送的訪問請求，根據所述訪問請求獲取所述訪問請求的主體、動作和請求訪問的數據路徑的XPATH表達式。

獲取所述訪問請求的XPATH表達式包含的全部絕對路徑。

將所述訪問請求的主體、動作和全部絕對路徑分別與所述訪問控制策略的主體、動作和全部絕對路徑進行匹配，根據匹配結果確定所述訪問請求是否符合所述的訪問控制策略。

如圖1所示，本發明的一個實施例的內容如下。

步驟11、獲取訪問控制策略包含的全部絕對路徑。