[发明专利]控制设备访问的方法

说明书

技术领域

本发明涉及通信领域，并且特别地，涉及一种控制设备访问的方法。

背景技术

宽带接入设备通常为用户提供带外管理口，以便用户通过简单网络管理协议(Simple Network Management Protocol，SNMP)方式、或者通过远程登录的方式进入嵌入式网管，并对设备实施管理。

然而，网络的便利性也给设备带来了不安全性，非授权用户如果获取到了网元的IP地址，也可以远程登录设备管理接口并侵入设备。为了避免这类问题的发生，最常采用的防范方式就是设置用户名和密码，没有用户名密码的非授权用户即使连接上了管理口也无法进入设备。

此外，为了限制用户的带外管理连接占用过多的系统网络资源(例如，套接字等)，通常还会对远程登录的连接个数加以限制。

然而，这种方式存在明显的缺陷，即，有意或无意的非授权者通过若干个连接连上了系统，虽然这些非授权者不能登入设备，但却已经达到了远程登录的最大连接个数，因此会导致合法用户不能及时连上设备，且不能正常地访问系统。

针对该问题，目前的解决方案是采用访问控制列表(AccessControl List，ACL)技术。互联网通常所说的访问控制列表技术是使用包过滤技术读取数据包的包头中的信息，例如，源地址、目的地址、源端口、目的端口等信息，并根据预先定义的规则对包进行过滤或放行，以达到访问控制的目的。目前，已经存在有许多支持ACL功能的交换芯片，在使用时，管理员可通过将控制规则配置到芯片上，之后由硬件来直接判定对数据包的处理方式(即，放行或过滤)。

然而，如果采用这种方式的话，就需要购买相应的芯片，因此实现成本很高，并且对于上述的主要是为了防止非授权访问的应用环境等这类并不复杂的场合来说，这种方式显然是不适合的。

至今为止，尚未提出能够有效、便捷地解决上述问题的技术方案。

发明内容

考虑到上述问题而做出本发明，为此，本发明的主要目的在于提供一种控制设备访问的方案。

根据本发明的实施例，提供了一种控制设备访问的方法。

该方法包括：步骤S102，设定对设备管理口的ACL访问规则，以及对没有命中ACL访问规则的报文的处理规则；步骤S104，获取系统的工作参数，并结合工作参数判断报文是否命中ACL访问规则；以及步骤S106，如果报文未命中ACL访问规则，则根据处理规则进行处理；如果报文命中ACL访问规则，则根据ACL访问规则进行相应的处理。

其中，在步骤S102与步骤S104之间，进一步包括：判断系统是否使能管理ACL功能，如果未使能管理ACL功能，则允许所有报文通过；否则执行步骤S104和步骤S106。

其中，ACL访问规则包括以下至少之一：缺省ACL访问规则和配置ACL访问规则。

在这种情况下，在步骤S104中，可以进一步包括：结合工作参数，判断报文是否命中缺省ACL访问规则，如果命中缺省ACL访问规则，则根据缺省ACL访问规则进行处理；结合工作参数，判断未命中缺省ACL访问规则的报文是否命中配置ACL访问规则，如果命中配置ACL访问规则，则根据配置ACL访问规则进行处理；根据处理规则处理未命中缺省ACL访问规则和配置ACL访问规则的报文。

并且，可在嵌入式网管用户接口上，提供命令供管理员设置配置ACL访问规则。

其中，在该方法中，处理规则为以下之一：允许未命中缺省ACL访问规则和配置ACL访问规则的报文通过，或拒绝未命中缺省ACL访问规则和配置ACL访问规则的报文通过。

其中，在该方法中，缺省ACL访问规则包括：允许基本通讯的报文通过，该类报文包括但不限于：网间控制报文协议(InternetControl Messages Protocol，ICMP)报文、地址解析协议(AddressResolution Protocol，ARP)帧。

此外，在该方法中，配置ACL访问规则包括：设定特定字段的合法或非法信息，对包含合法信息的报文允许通过，或对包含非法信息的报文拒绝通过，其中，特定字段包括但不限于：源IP地址、目的IP地址、IP协议类型、源端口、目的端口。

通过本发明的上述技术方案，能够有效地控制报文的通行管理，达到对接入设备管理接口的访问控制的目的；并且能够在相对简单的应用环境下，实现低成本的系统安全保证。

附图说明