專利名稱:防止通過私接無線ap上網(wǎng)的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域,特別是涉及一種防止通過私接無線AP上網(wǎng)的方法及
>J-U裝直。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,各企業(yè)或組織機(jī)構(gòu)往往在內(nèi)部架設(shè)有企業(yè)網(wǎng)。企業(yè)網(wǎng)的內(nèi)網(wǎng)節(jié)點(diǎn)可通過企業(yè)網(wǎng)網(wǎng)關(guān)與外網(wǎng)交互。而隨著智能終端的普及,企業(yè)網(wǎng)的內(nèi)網(wǎng)用戶為了方便訪問外網(wǎng),通常會(huì)購買無線AP (無線Access Point,無線接入點(diǎn))私自接入企業(yè)網(wǎng)。通過 將智能終端作為內(nèi)網(wǎng)節(jié)點(diǎn)通過無線接入到私接的無線AP來實(shí)現(xiàn)對(duì)外網(wǎng)的訪問。私接的無線AP由于缺少安全防護(hù),使企業(yè)網(wǎng)存在風(fēng)險(xiǎn),可能導(dǎo)致重要文件遺失或泄密。例如,員工A在大樓底層私接了無線AP而沒有設(shè)置訪問密碼。由于無線信號(hào)的穿透性,街邊的路人在搜索到該無線AP之后即可輕松接入該企業(yè)網(wǎng),從共享文件夾中盜取重要文件。為了防止通過私接無線AP上網(wǎng),傳統(tǒng)技術(shù)中可通過人工手持無線掃描設(shè)備對(duì)企業(yè)內(nèi)部掃描來檢測(cè)并移除私接的無線AP。然而,人工掃描無線AP的方法可能會(huì)受到其他無線信號(hào)的干擾。例如,樓層之間其他企業(yè)網(wǎng)的無線AP的無線信號(hào)。傳統(tǒng)技術(shù)中,還可通過對(duì)交換機(jī)的端口進(jìn)行認(rèn)證來實(shí)現(xiàn)防止通過私接無線AP上網(wǎng)。此種方式在需要增加硬件設(shè)備時(shí)需要改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),且如果一個(gè)端口已經(jīng)通過認(rèn)證,該端口仍然可以被用來私接無線AP,起不到保護(hù)的作用。因此,傳統(tǒng)技術(shù)中防止通過私接無線AP上網(wǎng)的方法的安全性不高。
發(fā)明內(nèi)容
基于此,有必要提供一種能提高安全性的防止通過私接無線AP上網(wǎng)的方法。一種防止通過私接無線AP上網(wǎng)的方法,包括獲取內(nèi)網(wǎng)節(jié)點(diǎn)發(fā)出的數(shù)據(jù)包;根據(jù)所述數(shù)據(jù)包獲取所述內(nèi)網(wǎng)節(jié)點(diǎn)對(duì)應(yīng)的用戶標(biāo)識(shí);在所述用戶標(biāo)識(shí)不屬于白名單時(shí),獲取所述數(shù)據(jù)包的應(yīng)用層信息特征字;根據(jù)所述應(yīng)用層信息特征字阻斷所述數(shù)據(jù)包。在其中一個(gè)實(shí)施例中,所述數(shù)據(jù)包包括源IP、源MAC、源活動(dòng)目錄域標(biāo)識(shí)、認(rèn)證令牌中的至少一種發(fā)送者信息;所述根據(jù)所述數(shù)據(jù)包獲取所述內(nèi)網(wǎng)節(jié)點(diǎn)對(duì)應(yīng)的用戶標(biāo)識(shí)的步驟為根據(jù)所述源IP、源MAC、源活動(dòng)目錄域標(biāo)識(shí)、認(rèn)證令牌中的至少一種發(fā)送者信息獲取所述內(nèi)網(wǎng)節(jié)點(diǎn)對(duì)應(yīng)的用戶標(biāo)識(shí)。在其中一個(gè)實(shí)施例中,所述根據(jù)所述應(yīng)用層信息特征字阻斷所述數(shù)據(jù)包的步驟具體為判斷所述應(yīng)用層信息特征字是否包括HTTP協(xié)議頭,若是,則獲取所述HTTP協(xié)議頭的用戶代理信息;判斷所述用戶代理信息是否對(duì)應(yīng)移動(dòng)終端信息,若是,則阻斷所述數(shù)據(jù)包。在其中一個(gè)實(shí)施例中,所述根據(jù)所述應(yīng)用層信息特征字阻斷所述數(shù)據(jù)包的步驟具體為判斷所述應(yīng)用層信息特征字是否對(duì)應(yīng)移動(dòng)應(yīng)用信息,若是,則阻斷所述數(shù)據(jù)包。在其中一個(gè)實(shí)施例中,所述根據(jù)所述應(yīng)用層信息特征字阻斷所述數(shù)據(jù)包的步驟之后還包括 將所述用戶標(biāo)識(shí)添加到黑名單,并更新與所述用戶標(biāo)識(shí)對(duì)應(yīng)的阻斷時(shí)刻。在其中一個(gè)實(shí)施例中,所述獲取所述數(shù)據(jù)包的應(yīng)用層信息特征字的步驟之前還包括判斷所述用戶標(biāo)識(shí)是否屬于黑名單且與距離與所述用戶標(biāo)識(shí)對(duì)應(yīng)的阻斷時(shí)刻的時(shí)長(zhǎng)是否小于閾值,若所述用戶標(biāo)識(shí)屬于黑名單且距離所述阻斷時(shí)刻的時(shí)長(zhǎng)小于閾值,則阻斷所述數(shù)據(jù)包;否則繼續(xù)執(zhí)行所述獲取所述數(shù)據(jù)包的應(yīng)用層信息特征字的步驟。在其中一個(gè)實(shí)施例中,所述將所述用戶標(biāo)識(shí)添加到黑名單的步驟之前還包括生成與所述用戶標(biāo)識(shí)對(duì)應(yīng)的日志記錄并存儲(chǔ)。在其中一個(gè)實(shí)施例中,所述方法還包括獲取日志記錄,獲取所述日志記錄對(duì)應(yīng)的用戶標(biāo)識(shí),根據(jù)所述日志記錄通知與所述用戶標(biāo)識(shí)對(duì)應(yīng)的用戶。此外,還有必要提供一種能提高安全性的防止通過私接無線AP上網(wǎng)的裝置。一種防止通過私接無線AP上網(wǎng)的裝置,包括數(shù)據(jù)包獲取模塊,用于獲取內(nèi)網(wǎng)節(jié)點(diǎn)發(fā)出的數(shù)據(jù)包;用戶標(biāo)識(shí)獲取模塊,用于根據(jù)所述數(shù)據(jù)包獲取所述內(nèi)網(wǎng)節(jié)點(diǎn)對(duì)應(yīng)的用戶標(biāo)識(shí);白名單判定模塊,用于判斷所述用戶標(biāo)識(shí)是否屬于白名單;特征字獲取模塊,用于在所述用戶標(biāo)識(shí)不屬于白名單時(shí),獲取所述數(shù)據(jù)包的應(yīng)用層信息特征字;數(shù)據(jù)包阻斷模塊,用于根據(jù)所述應(yīng)用層信息特征字阻斷所述數(shù)據(jù)包。在其中一個(gè)實(shí)施例中,所述數(shù)據(jù)包包括源IP、源MAC、源活動(dòng)目錄域標(biāo)識(shí)、認(rèn)證令牌中的至少一種發(fā)送者信息;所述用戶標(biāo)識(shí)獲取模塊還用于根據(jù)所述源IP、源MAC、源活動(dòng)目錄域標(biāo)識(shí)、認(rèn)證令牌中的至少一種發(fā)送者信息獲取所述內(nèi)網(wǎng)節(jié)點(diǎn)對(duì)應(yīng)的用戶標(biāo)識(shí)。在其中一個(gè)實(shí)施例中,所述數(shù)據(jù)包阻斷模塊還用于判斷所述應(yīng)用層信息特征字是否包括HTTP協(xié)議頭,若是,則獲取所述HTTP協(xié)議頭的用戶代理信息,在所述用戶代理信息對(duì)應(yīng)移動(dòng)終端信息時(shí)阻斷所述數(shù)據(jù)包。在其中一個(gè)實(shí)施例中,所述數(shù)據(jù)包阻斷模塊還用于在所述應(yīng)用層信息特征字對(duì)應(yīng)移動(dòng)應(yīng)用信息時(shí)阻斷所述數(shù)據(jù)包。在其中一個(gè)實(shí)施例中,還包括黑名單更新模塊,用于將所述用戶標(biāo)識(shí)添加到黑名單,并更新與所述用戶標(biāo)識(shí)對(duì)應(yīng)的阻斷時(shí)刻。在其中一個(gè)實(shí)施例中,還包括黑名單判定模塊,用于在所述用戶標(biāo)識(shí)屬于黑名單且距離所述阻斷時(shí)刻的時(shí)長(zhǎng)小于閾值時(shí)阻斷所述數(shù)據(jù)包。
在其中一個(gè)實(shí)施例中,還包括日志生成模塊,用于生成與所述用戶標(biāo)識(shí)對(duì)應(yīng)的日志記錄并存儲(chǔ)。在其中一個(gè)實(shí)施例中,還包括用戶通知模塊,用于獲取日志記錄,獲取所述日志記錄對(duì)應(yīng)的用戶標(biāo)識(shí),根據(jù)所述日志記錄通知與所述用戶標(biāo)識(shí)對(duì)應(yīng)的用戶。上述防止通過私接無線AP上網(wǎng)的方法和裝置,獲取數(shù)據(jù)包對(duì)應(yīng)的發(fā)送者的用戶標(biāo)識(shí),通過白名單判定排除掉正常設(shè)置的無線AP,并根據(jù)獲取到的數(shù)據(jù)包的應(yīng)用層信息特征字阻斷該數(shù)據(jù)包。由于通過私接無線AP和通過網(wǎng)線接入內(nèi)網(wǎng)節(jié)點(diǎn)的終端傳輸?shù)臄?shù)據(jù)包的內(nèi)容不同,通過對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行分析即可準(zhǔn)確地判斷出該數(shù)據(jù)包是否經(jīng)由私接無線AP傳輸。使得阻斷過程不會(huì)受到外界無線網(wǎng)絡(luò)以及端口設(shè)置的影響,從而提高了安全性。由于通過移動(dòng)終端經(jīng)由無線AP發(fā)出的HTTP請(qǐng)求的UA信息中包含了該移動(dòng)終端的操作系統(tǒng)信息,因此,在獲取到應(yīng)用層信息特征字中包含的HTTP協(xié)議頭后,可根據(jù)其UA信息對(duì)數(shù)據(jù)包進(jìn)行準(zhǔn)確的判斷。
由于通過移動(dòng)終端經(jīng)由無線AP發(fā)出的應(yīng)用程序通信數(shù)據(jù)中包含了應(yīng)用程序的名稱、標(biāo)識(shí)、端口號(hào)等應(yīng)用層數(shù)據(jù)特征信息,因此,通過判斷該應(yīng)用層數(shù)據(jù)特征信息是否為移動(dòng)應(yīng)用信息即可對(duì)數(shù)據(jù)包進(jìn)行準(zhǔn)確的判斷。
圖I為一個(gè)實(shí)施例中防止通過私接無線AP上網(wǎng)的方法的流程圖;圖2為一個(gè)實(shí)施例中防止通過私接無線AP上網(wǎng)的裝置的結(jié)構(gòu)示意圖;圖3為另一個(gè)實(shí)施例中防止通過私接無線AP上網(wǎng)的裝置的結(jié)構(gòu)示意圖。
具體實(shí)施例方式在一個(gè)實(shí)施例中,如圖I所示,一種防止通過私接無線AP上網(wǎng)的方法,包括步驟S102,獲取內(nèi)網(wǎng)節(jié)點(diǎn)發(fā)出的數(shù)據(jù)包。在一個(gè)實(shí)施例中,企業(yè)網(wǎng)通過企業(yè)網(wǎng)網(wǎng)關(guān)與外網(wǎng)通信,企業(yè)網(wǎng)網(wǎng)關(guān)為該企業(yè)網(wǎng)的互聯(lián)網(wǎng)出口。企業(yè)網(wǎng)的內(nèi)部節(jié)點(diǎn)再通過多級(jí)交換機(jī)互聯(lián)或橋接。在本實(shí)施例中,可在企業(yè)網(wǎng)網(wǎng)關(guān)獲取內(nèi)網(wǎng)節(jié)點(diǎn)發(fā)出的訪問外網(wǎng)的數(shù)據(jù)包。在另一個(gè)實(shí)施例中,也可在交換機(jī)節(jié)點(diǎn)處獲取與該交換機(jī)節(jié)點(diǎn)連接的內(nèi)網(wǎng)節(jié)點(diǎn)發(fā)出的數(shù)據(jù)包。步驟S104,根據(jù)數(shù)據(jù)包獲取內(nèi)網(wǎng)節(jié)點(diǎn)對(duì)應(yīng)的用戶標(biāo)識(shí)。在一個(gè)實(shí)施例中,數(shù)據(jù)包包括源IP、源MAC、源活動(dòng)目錄域標(biāo)識(shí)、認(rèn)證令牌中的至少一種發(fā)送者信息。根據(jù)數(shù)據(jù)包獲取內(nèi)網(wǎng)節(jié)點(diǎn)對(duì)應(yīng)的用戶標(biāo)識(shí)的步驟可具體為根據(jù)源IP、源MAC、源活動(dòng)目錄域標(biāo)識(shí)、認(rèn)證令牌中的至少一種發(fā)送者信息獲取內(nèi)網(wǎng)節(jié)點(diǎn)對(duì)應(yīng)的用戶標(biāo)識(shí)。源IP即為發(fā)出該數(shù)據(jù)包的內(nèi)網(wǎng)節(jié)點(diǎn)的IP。源MAC即為發(fā)出該數(shù)據(jù)包的內(nèi)網(wǎng)節(jié)點(diǎn)的MAC (Media Access Control,介質(zhì)訪問控制)地址。源活動(dòng)目錄域(AD域,ActiveDirectory)標(biāo)識(shí)即為內(nèi)網(wǎng)節(jié)點(diǎn)所處的AD域的域標(biāo)識(shí)。認(rèn)證令牌為該數(shù)據(jù)包通過密碼認(rèn)證聯(lián)網(wǎng)時(shí)在密碼校驗(yàn)通過后獲得的安全訪問令牌。用戶標(biāo)識(shí)可以是員工的工號(hào)、可接入端口編號(hào)等??深A(yù)先建立源IP、源MAC、源活動(dòng)目錄域標(biāo)識(shí)、認(rèn)證令牌中的至少一種信息與用戶標(biāo)識(shí)的對(duì)應(yīng)關(guān)系并存儲(chǔ)。
由于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的多樣性,內(nèi)網(wǎng)節(jié)點(diǎn)發(fā)出的數(shù)據(jù)包可能無法攜帶源IP、源MAC、源活動(dòng)目錄域標(biāo)識(shí)、認(rèn)證令牌中的某種信息。例如,對(duì)于三層環(huán)境,無法獲取源MAC地址;對(duì)于具有內(nèi)部NAT設(shè)備的網(wǎng)絡(luò),無法獲取源IP。此時(shí),根據(jù)數(shù)據(jù)包攜帶的發(fā)送者信息,將發(fā)送數(shù)據(jù)包的內(nèi)網(wǎng)節(jié)點(diǎn)轉(zhuǎn)化為采用用戶標(biāo)識(shí)表示,而不用源IP、源MAC等發(fā)送者信息表示,可適應(yīng)各種網(wǎng)絡(luò)環(huán)境,從而提高適應(yīng)性和擴(kuò)展性。步驟S106,在用戶標(biāo)識(shí)不屬于白名單時(shí),獲取數(shù)據(jù)包的應(yīng)用層信息特征字。在一個(gè)實(shí)施例中,白名單為預(yù)先設(shè)置,白名單內(nèi)記錄的用戶標(biāo)識(shí)可對(duì)應(yīng)企業(yè)網(wǎng)中正常架設(shè)的無線AP。在獲取數(shù)據(jù)包的應(yīng)用層信息特征字的步驟之前,可判斷獲取到的用戶標(biāo)識(shí)是否屬于白名單,即判斷數(shù)據(jù)包是否由正常架設(shè)的無線AP發(fā)送而來,若是,則放通該數(shù)據(jù)包,否則,繼續(xù)執(zhí)行獲取數(shù)據(jù)包的應(yīng)用層信息特征字的步驟。應(yīng)用層信息特征字為數(shù)據(jù)包中包含的應(yīng)用層協(xié)議信息或應(yīng)用層數(shù)據(jù)特征信息。在一個(gè)實(shí)施例中,獲取數(shù)據(jù)包的應(yīng)用層信息特征字的步驟可具體為可通過對(duì)數(shù)據(jù)包進(jìn)行深 度檢測(cè)(DPI, Deep Packet Inspection)獲取數(shù)據(jù)包的應(yīng)用層信息特征字??赏ㄟ^對(duì)數(shù)據(jù)包進(jìn)行深度檢測(cè)獲取數(shù)據(jù)包的正文部分包含的應(yīng)用層協(xié)議的協(xié)議頭,例如HTTP協(xié)議頭、FTP協(xié)議頭等。還可獲取應(yīng)用層特征信息,例如發(fā)送數(shù)據(jù)包的應(yīng)用程序的名稱、標(biāo)識(shí)、端口號(hào)等。步驟S108,根據(jù)應(yīng)用層信息特征字阻斷數(shù)據(jù)包。在一個(gè)實(shí)施例中,根據(jù)應(yīng)用層信息特征字阻斷數(shù)據(jù)包的步驟可具體為判斷獲取到的應(yīng)用層信息特征字是否對(duì)應(yīng)移動(dòng)應(yīng)用或移動(dòng)終端,若是,則阻斷數(shù)據(jù)包,否則,放通數(shù)據(jù)包。在一個(gè)實(shí)施例中,可判斷應(yīng)用層信息特征字是否包括HTTP協(xié)議頭,若是,則獲取HTTP協(xié)議頭的用戶代理信息,并判斷用戶代理信息是否對(duì)應(yīng)移動(dòng)終端信息,若是,則阻斷數(shù)據(jù)包,否則,放通該數(shù)據(jù)包。用戶代理信息即UA (User Agent)信息。用戶在使用瀏覽器訪問網(wǎng)頁時(shí),其瀏覽器發(fā)出的數(shù)據(jù)包中包括HTTP協(xié)議頭,HTTP協(xié)議頭中會(huì)包含UA信息。UA信息中會(huì)附帶該瀏覽器所處的操作系統(tǒng)的版本信息??筛鶕?jù)該操作系統(tǒng)的版本信息判斷是否對(duì)應(yīng)移動(dòng)終端。在一個(gè)實(shí)施例中,可判斷應(yīng)用層信息特征字是否對(duì)應(yīng)移動(dòng)應(yīng)用信息,若是,則阻斷數(shù)據(jù)包??筛鶕?jù)應(yīng)用層信息特征字中的應(yīng)用程序名稱、標(biāo)識(shí)、端口號(hào)來判定數(shù)據(jù)包是否由移動(dòng)應(yīng)用發(fā)出??深A(yù)先建立移動(dòng)應(yīng)用特征表,該表中可包括常用的移動(dòng)應(yīng)用的名稱、標(biāo)識(shí)。端口號(hào)。當(dāng)該表中包含應(yīng)用層信息特征字中的應(yīng)用程序的名稱或標(biāo)識(shí)或端口號(hào),則判定該應(yīng)用層信息特征字對(duì)應(yīng)移動(dòng)應(yīng)用信息。例如,若應(yīng)用層信息特征字包含的應(yīng)用程序名稱為手機(jī)QQ或手機(jī)MSN,則可判定該數(shù)據(jù)包由移動(dòng)終端發(fā)出。需要說明的是,上述兩個(gè)實(shí)施例中判斷應(yīng)用層信息特征字是否對(duì)應(yīng)移動(dòng)應(yīng)用或移動(dòng)終端的步驟并不沖突,可在一個(gè)實(shí)施例中合并存在,可通過對(duì)上述兩種判斷步驟的判斷結(jié)果進(jìn)行邏輯與和/或邏輯或來決定是否阻斷數(shù)據(jù)包。在另一個(gè)實(shí)施例中,可判斷應(yīng)用層信息特征字是否包括HTTP協(xié)議頭,若是,則獲取HTTP協(xié)議頭的用戶代理信息,并判斷用戶代理信息是否包括移動(dòng)終端信息,若是,則阻斷數(shù)據(jù)包,否則,放通該數(shù)據(jù)包。若應(yīng)用層信息特征字不包括HTTP協(xié)議頭,則判斷應(yīng)用層信息特征字是否對(duì)應(yīng)移動(dòng)應(yīng)用信息,若是,則阻斷數(shù)據(jù)包,否則,放通該數(shù)據(jù)包。在一個(gè)實(shí)施例中,根據(jù)應(yīng)用層信息特征字阻斷數(shù)據(jù)包的步驟之后還可將用戶標(biāo)識(shí)添加到黑名單,并更新與用戶標(biāo)識(shí)對(duì)應(yīng)的阻斷時(shí)刻。進(jìn)一步的,獲取數(shù)據(jù)包的應(yīng)用層信息特征字的步驟之前還可判斷用戶標(biāo)識(shí)是否屬于黑名單且與距離與用戶標(biāo)識(shí)對(duì)應(yīng)的阻斷時(shí)刻的時(shí)長(zhǎng)是否小于閾值,若用戶標(biāo)識(shí)屬于黑名單且距離阻斷時(shí)刻的時(shí)長(zhǎng)小于閾值,則阻斷數(shù)據(jù)包;否則繼續(xù)執(zhí)行獲取數(shù)據(jù)包的應(yīng)用層信息特征字的步驟。黑名單中記錄有發(fā)送的數(shù)據(jù)包被阻斷過的內(nèi)網(wǎng)節(jié)點(diǎn)對(duì)應(yīng)的用戶標(biāo)識(shí)。在預(yù)設(shè)的時(shí)間段內(nèi),對(duì)該內(nèi)網(wǎng)節(jié)點(diǎn)發(fā)出的數(shù)據(jù)包直接進(jìn)行阻斷,可以使得用戶即使移除私接無線AP,將工作的臺(tái)式電腦與該端口直連也不能上網(wǎng),起到懲罰的作用。在一個(gè)實(shí)施例中,將用戶標(biāo)識(shí)添加到黑名單的步驟之前還包括生成與用戶標(biāo)識(shí) 對(duì)應(yīng)的日志記錄并存儲(chǔ)。進(jìn)一步的,還可獲取日志記錄,獲取日志記錄對(duì)應(yīng)的用戶標(biāo)識(shí),根據(jù)日志記錄通知與用戶標(biāo)識(shí)對(duì)應(yīng)的用戶。日志記錄中可包括阻斷時(shí)刻、用戶標(biāo)識(shí)、應(yīng)用層信息特征字等信息。可定期遍歷存儲(chǔ)的日志,獲取日志中記錄的用戶標(biāo)識(shí),獲取應(yīng)用層信息特征字對(duì)應(yīng)的移動(dòng)應(yīng)用或移動(dòng)終端信息,并通過郵件通知該用戶標(biāo)識(shí)對(duì)應(yīng)的用戶。在一個(gè)實(shí)施例中,如圖2所示,一種防止通過私接無線AP上網(wǎng)的裝置,包括數(shù)據(jù)包獲取模塊102、用戶標(biāo)識(shí)獲取模塊104、白名單判定模塊106、特征字獲取模塊108、數(shù)據(jù)包阻斷模塊110,其中數(shù)據(jù)包獲取模塊102,用于獲取內(nèi)網(wǎng)節(jié)點(diǎn)發(fā)出的數(shù)據(jù)包。在一個(gè)實(shí)施例中,企業(yè)網(wǎng)通過企業(yè)網(wǎng)網(wǎng)關(guān)與外網(wǎng)通信,企業(yè)網(wǎng)網(wǎng)關(guān)為該企業(yè)網(wǎng)的互聯(lián)網(wǎng)出口。企業(yè)網(wǎng)的內(nèi)部節(jié)點(diǎn)再通過多級(jí)交換機(jī)互聯(lián)或橋接。在本實(shí)施例中,數(shù)據(jù)包獲取模塊102可用于在企業(yè)網(wǎng)網(wǎng)關(guān)獲取內(nèi)網(wǎng)節(jié)點(diǎn)發(fā)出的訪問外網(wǎng)的數(shù)據(jù)包。在另一個(gè)實(shí)施例中,數(shù)據(jù)包獲取模塊102可用于在交換機(jī)節(jié)點(diǎn)處獲取與該交換機(jī)節(jié)點(diǎn)連接的內(nèi)網(wǎng)節(jié)點(diǎn)發(fā)出的數(shù)據(jù)包。用戶標(biāo)識(shí)獲取模塊104,用于根據(jù)數(shù)據(jù)包獲取內(nèi)網(wǎng)節(jié)點(diǎn)對(duì)應(yīng)的用戶標(biāo)識(shí)。在一個(gè)實(shí)施例中,數(shù)據(jù)包包括源IP、源MAC、源活動(dòng)目錄域標(biāo)識(shí)、認(rèn)證令牌中的至少一種發(fā)送者信息。用戶標(biāo)識(shí)獲取模塊104可用于根據(jù)源IP、源MAC、源活動(dòng)目錄域標(biāo)識(shí)、認(rèn)證令牌中的至少一種發(fā)送者信息獲取內(nèi)網(wǎng)節(jié)點(diǎn)對(duì)應(yīng)的用戶標(biāo)識(shí)。源IP即為發(fā)出該數(shù)據(jù)包的內(nèi)網(wǎng)節(jié)點(diǎn)的IP。源MAC即為發(fā)出該數(shù)據(jù)包的內(nèi)網(wǎng)節(jié)點(diǎn)的MAC (Media Access Control,介質(zhì)訪問控制)地址。源活動(dòng)目錄域(AD域,ActiveDirectory)標(biāo)識(shí)即為內(nèi)網(wǎng)節(jié)點(diǎn)所處的AD域的域標(biāo)識(shí)。認(rèn)證令牌為該數(shù)據(jù)包通過密碼認(rèn)證聯(lián)網(wǎng)時(shí)在密碼校驗(yàn)通過后獲得的安全訪問令牌。用戶標(biāo)識(shí)可以是員工的工號(hào)、可接入端口編號(hào)等??深A(yù)先建立源IP、源MAC、源活動(dòng)目錄域標(biāo)識(shí)、認(rèn)證令牌中的至少一種信息與用戶標(biāo)識(shí)的對(duì)應(yīng)關(guān)系并存儲(chǔ)。由于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的多樣性,內(nèi)網(wǎng)節(jié)點(diǎn)發(fā)出的數(shù)據(jù)包可能無法攜帶源IP、源MAC、源活動(dòng)目錄域標(biāo)識(shí)、認(rèn)證令牌中的某種信息。例如,對(duì)于三層環(huán)境,無法獲取源MAC地址;對(duì)于具有內(nèi)部NAT設(shè)備的網(wǎng)絡(luò),無法獲取源IP。此時(shí),根據(jù)數(shù)據(jù)包攜帶的發(fā)送者信息,將發(fā)送數(shù)據(jù)包的內(nèi)網(wǎng)節(jié)點(diǎn)轉(zhuǎn)化為采用用戶標(biāo)識(shí)表示,而不用源IP、源MAC等發(fā)送者信息表示,可適應(yīng)各種網(wǎng)絡(luò)環(huán)境,從而提高適應(yīng)性和擴(kuò)展性。白名單判定模塊106,用于判斷用戶標(biāo)識(shí)是否屬于白名單。在一個(gè)實(shí)施例中,白名單為預(yù)先設(shè)置,白名單內(nèi)記錄的用戶標(biāo)識(shí)可對(duì)應(yīng)企業(yè)網(wǎng)中正常架設(shè)的無線AP。白名單判定模塊106可用于判斷獲取到的用戶標(biāo)識(shí)是否屬于白名單,即判斷數(shù)據(jù)包是否由正常架設(shè)的無線AP發(fā)送而來,若是,則放通該數(shù)據(jù)包。特征字獲取模塊108,用于在用戶標(biāo)識(shí)不屬于白名單時(shí),獲取數(shù)據(jù)包的應(yīng)用層信息特征字。應(yīng)用層信息特征字為數(shù)據(jù)包中包含的應(yīng)用層協(xié)議信息或應(yīng)用層數(shù)據(jù)特征信息。在一個(gè)實(shí)施例中,特征字獲取模塊108可用于通過對(duì)數(shù)據(jù)包進(jìn)行深度檢測(cè)(DPI,Deep Packet Inspection)獲取數(shù)據(jù)包的應(yīng)用層信息特征字。特征字獲取模塊108可用于通過對(duì)數(shù)據(jù)包進(jìn)行深度檢測(cè)獲取數(shù)據(jù)包的正文部分包含的應(yīng)用層協(xié)議的協(xié)議頭,例如HTTP協(xié)議頭、FTP協(xié)議頭等。還可獲取應(yīng)用層特征信息,例如發(fā)送數(shù)據(jù)包的應(yīng)用程序的名稱、標(biāo)識(shí)、端口號(hào)等。數(shù)據(jù)包阻斷模塊110,用于根據(jù)應(yīng)用層信息特征字阻斷數(shù)據(jù)包。在一個(gè)實(shí)施例中,數(shù)據(jù)包阻斷模塊110可用于判斷獲取到的應(yīng)用層信息特征字是否對(duì)應(yīng)移動(dòng)應(yīng)用或移動(dòng)終端,若是,則阻斷數(shù)據(jù)包,否則,放通數(shù)據(jù)包。在一個(gè)實(shí)施例中,數(shù)據(jù)包阻斷模塊110可用于判斷應(yīng)用層信息特征字是否包括HTTP協(xié)議頭,若是,則獲取HTTP協(xié)議頭的用戶代理信息,在用戶代理信息對(duì)應(yīng)移動(dòng)終端信息時(shí)阻斷數(shù)據(jù)包。用戶代理信息即UA (User Agent)信息。用戶在使用瀏覽器訪問網(wǎng)頁時(shí),其瀏覽器發(fā)出的數(shù)據(jù)包中包括HTTP協(xié)議頭,HTTP協(xié)議頭中會(huì)包含UA信息。UA信息中會(huì)附帶該瀏覽器所處的操作系統(tǒng)的版本信息??筛鶕?jù)該操作系統(tǒng)的版本信息判斷是否對(duì)應(yīng)移動(dòng)終端。在一個(gè)實(shí)施例中,數(shù)據(jù)包阻斷模塊110還可用于在應(yīng)用層信息特征字對(duì)應(yīng)移動(dòng)應(yīng)用信息時(shí)阻斷數(shù)據(jù)包。數(shù)據(jù)包阻斷模塊110還可用于根據(jù)應(yīng)用層信息特征字中的應(yīng)用程序名稱、標(biāo)識(shí)、端口號(hào)來判定數(shù)據(jù)包是否由移動(dòng)應(yīng)用發(fā)出。預(yù)先可建立有移動(dòng)應(yīng)用特征表,該表中可包括常用的移動(dòng)應(yīng)用的名稱、標(biāo)識(shí)。端口號(hào)。當(dāng)該表中包含應(yīng)用層信息特征字中的應(yīng)用程序的名稱或標(biāo)識(shí)或端口號(hào),則判定該應(yīng)用層信息特征字對(duì)應(yīng)移動(dòng)應(yīng)用信息。例如,若應(yīng)用層信息特征字包含的應(yīng)用程序名稱為手機(jī)QQ或手機(jī)MSN,則可判定該數(shù)據(jù)包由移動(dòng)終端發(fā)出。需要說明的是,上述兩個(gè)實(shí)施例中的數(shù)據(jù)包阻斷模塊的功能并不沖突,可在一個(gè)實(shí)施例中合并存在。數(shù)據(jù)包阻斷模塊可用于通過對(duì)上述兩種判斷方式的判斷結(jié)果進(jìn)行邏輯與和/或邏輯或來決定是否阻斷數(shù)據(jù)包。在另一個(gè)實(shí)施例中,數(shù)據(jù)包阻斷模塊110還可用于判斷應(yīng)用層信息特征字是否包括HTTP協(xié)議頭,若是,則獲取HTTP協(xié)議頭的用戶代理信息,并判斷用戶代理信息是否包括移動(dòng)終端信息,若是,則阻斷數(shù)據(jù)包,否則,放通該數(shù)據(jù)包。若應(yīng)用層信息特征字不包括HTTP協(xié)議頭,則判斷應(yīng)用層信息特征字是否對(duì)應(yīng)移動(dòng)應(yīng)用信息,若是,則阻斷數(shù)據(jù)包,否則,放通該數(shù)據(jù)包。在一個(gè)實(shí)施例中,如圖3所示,防止通過私接無線AP上網(wǎng)的裝置還包括黑名單更新模塊112,用于將用戶標(biāo)識(shí)添加到黑名單,并更新與用戶標(biāo)識(shí)對(duì)應(yīng)的阻斷時(shí)刻。進(jìn)一步的,如圖3所示,防止通過私接無線AP上網(wǎng)的裝置還包括黑名單判定模塊114,用于在用戶標(biāo)識(shí)屬于黑名單且距離阻斷時(shí)刻的時(shí)長(zhǎng)小于閾值時(shí)阻斷數(shù)據(jù)包。黑名單中記錄有發(fā)送的數(shù)據(jù)包被阻斷過的內(nèi)網(wǎng)節(jié)點(diǎn)對(duì)應(yīng)的用戶標(biāo)識(shí)。在預(yù)設(shè)的時(shí)間段內(nèi),對(duì)該內(nèi)網(wǎng)節(jié)點(diǎn)發(fā)出的數(shù)據(jù)包直接進(jìn)行阻斷,可以使得用戶即使移除私接無線AP,將工作的臺(tái)式電腦與該端口直連也不能上網(wǎng),起到懲罰的作用。在一個(gè)實(shí)施例中,如圖3所示,防止通過私接無線AP上網(wǎng)的裝置還包括日志生成模塊116,用于生成與用戶標(biāo)識(shí)對(duì)應(yīng)的日志記錄并存儲(chǔ)。 進(jìn)一步的,如圖3所示,防止通過私接無線AP上網(wǎng)的裝置還包括用戶通知模塊118,用于獲取日志記錄,獲取日志記錄對(duì)應(yīng)的用戶標(biāo)識(shí),根據(jù)日志記錄通知與用戶標(biāo)識(shí)對(duì)應(yīng)的用戶。日志記錄中可包括阻斷時(shí)刻、用戶標(biāo)識(shí)、應(yīng)用層信息特征字等信息。在本實(shí)施例中,用戶通知模塊118可用于定期遍歷存儲(chǔ)的日志,獲取日志中記錄的用戶標(biāo)識(shí),獲取應(yīng)用層信息特征字對(duì)應(yīng)的移動(dòng)應(yīng)用或移動(dòng)終端信息,并通過郵件通知該用戶標(biāo)識(shí)對(duì)應(yīng)的用戶。上述防止通過私接無線AP上網(wǎng)的方法和裝置,獲取數(shù)據(jù)包對(duì)應(yīng)的發(fā)送者的用戶標(biāo)識(shí),通過白名單判定排除掉正常設(shè)置的無線AP,并根據(jù)獲取到的數(shù)據(jù)包的應(yīng)用層信息特征字阻斷該數(shù)據(jù)包。由于通過私接無線AP和通過網(wǎng)線接入內(nèi)網(wǎng)節(jié)點(diǎn)的終端傳輸?shù)臄?shù)據(jù)包的內(nèi)容不同,通過對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行分析即可準(zhǔn)確地判斷出該數(shù)據(jù)包是否經(jīng)由私接無線AP傳輸。使得阻斷過程不會(huì)受到外界無線網(wǎng)絡(luò)以及端口設(shè)置的影響,從而提高了安全性。由于通過移動(dòng)終端經(jīng)由無線AP發(fā)出的HTTP請(qǐng)求的UA信息中包含了該移動(dòng)終端的操作系統(tǒng)信息,因此,在獲取到應(yīng)用層信息特征字中包含的HTTP協(xié)議頭后,可根據(jù)其UA信息對(duì)數(shù)據(jù)包進(jìn)行準(zhǔn)確的判斷。由于通過移動(dòng)終端經(jīng)由無線AP發(fā)出的應(yīng)用程序通信數(shù)據(jù)中包含了應(yīng)用程序的名稱、標(biāo)識(shí)、端口號(hào)等應(yīng)用層數(shù)據(jù)特征信息,因此,通過判斷該應(yīng)用層數(shù)據(jù)特征信息是否為移動(dòng)應(yīng)用信息即可對(duì)數(shù)據(jù)包進(jìn)行準(zhǔn)確的判斷。以上所述實(shí)施例僅表達(dá)了本發(fā)明的幾種實(shí)施方式,其描述較為具體和詳細(xì),但并不能因此而理解為對(duì)本發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是,對(duì)于本領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進(jìn),這些都屬于本發(fā)明的保護(hù)范圍。因此,本發(fā)明專利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。
權(quán)利要求
1.一種防止通過私接無線AP上網(wǎng)的方法,包括 獲取內(nèi)網(wǎng)節(jié)點(diǎn)發(fā)出的數(shù)據(jù)包; 根據(jù)所述數(shù)據(jù)包獲取所述內(nèi)網(wǎng)節(jié)點(diǎn)對(duì)應(yīng)的用戶標(biāo)識(shí); 在所述用戶標(biāo)識(shí)不屬于白名單時(shí),獲取所述數(shù)據(jù)包的應(yīng)用層信息特征字; 根據(jù)所述應(yīng)用層信息特征字阻斷所述數(shù)據(jù)包。
2.根據(jù)權(quán)利要求I所述的防止通過私接無線AP上網(wǎng)的方法,其特征在于,所述數(shù)據(jù)包包括源IP、源MAC、源活動(dòng)目錄域標(biāo)識(shí)、認(rèn)證令牌中的至少一種發(fā)送者信息; 所述根據(jù)所述數(shù)據(jù)包獲取所述內(nèi)網(wǎng)節(jié)點(diǎn)對(duì)應(yīng)的用戶標(biāo)識(shí)的步驟為 根據(jù)所述源IP、源MAC、源活動(dòng)目錄域標(biāo)識(shí)、認(rèn)證令牌中的至少一種發(fā)送者信息獲取所述內(nèi)網(wǎng)節(jié)點(diǎn)對(duì)應(yīng)的用戶標(biāo)識(shí)。
3.根據(jù)權(quán)利要求I所述的防止通過私接無線AP上網(wǎng)的方法,其特征在于,所述根據(jù)所述應(yīng)用層信息特征字阻斷所述數(shù)據(jù)包的步驟具體為 判斷所述應(yīng)用層信息特征字是否包括HTTP協(xié)議頭,若是,則獲取所述HTTP協(xié)議頭的用戶代理信息; 判斷所述用戶代理信息是否對(duì)應(yīng)移動(dòng)終端信息,若是,則阻斷所述數(shù)據(jù)包。
4.根據(jù)權(quán)利要求I所述的防止通過私接無線AP上網(wǎng)的方法,其特征在于,所述根據(jù)所述應(yīng)用層信息特征字阻斷所述數(shù)據(jù)包的步驟具體為 判斷所述應(yīng)用層信息特征字是否對(duì)應(yīng)移動(dòng)應(yīng)用信息,若是,則阻斷所述數(shù)據(jù)包。
5.根據(jù)權(quán)利要求I所述的防止通過私接無線AP上網(wǎng)的方法,其特征在于,所述根據(jù)所述應(yīng)用層信息特征字阻斷所述數(shù)據(jù)包的步驟之后還包括 將所述用戶標(biāo)識(shí)添加到黑名單,并更新與所述用戶標(biāo)識(shí)對(duì)應(yīng)的阻斷時(shí)刻。
6.根據(jù)權(quán)利要求5所述的防止通過私接無線AP上網(wǎng)的方法,其特征在于,所述獲取所述數(shù)據(jù)包的應(yīng)用層信息特征字的步驟之前還包括 判斷所述用戶標(biāo)識(shí)是否屬于黑名單且與距離與所述用戶標(biāo)識(shí)對(duì)應(yīng)的阻斷時(shí)刻的時(shí)長(zhǎng)是否小于閾值,若所述用戶標(biāo)識(shí)屬于黑名單且距離所述阻斷時(shí)刻的時(shí)長(zhǎng)小于閾值,則阻斷所述數(shù)據(jù)包;否則繼續(xù)執(zhí)行所述獲取所述數(shù)據(jù)包的應(yīng)用層信息特征字的步驟。
7.根據(jù)權(quán)利要求5所述的防止通過私接無線AP上網(wǎng)的方法,其特征在于,所述將所述用戶標(biāo)識(shí)添加到黑名單的步驟之前還包括 生成與所述用戶標(biāo)識(shí)對(duì)應(yīng)的日志記錄并存儲(chǔ)。
8.根據(jù)權(quán)利要求5所述的防止通過私接無線AP上網(wǎng)的方法,其特征在于,所述方法還包括 獲取日志記錄,獲取所述日志記錄對(duì)應(yīng)的用戶標(biāo)識(shí),根據(jù)所述日志記錄通知與所述用戶標(biāo)識(shí)對(duì)應(yīng)的用戶。
9.一種防止通過私接無線AP上網(wǎng)的裝置,其特征在于,包括 數(shù)據(jù)包獲取模塊,用于獲取內(nèi)網(wǎng)節(jié)點(diǎn)發(fā)出的數(shù)據(jù)包; 用戶標(biāo)識(shí)獲取模塊,用于根據(jù)所述數(shù)據(jù)包獲取所述內(nèi)網(wǎng)節(jié)點(diǎn)對(duì)應(yīng)的用戶標(biāo)識(shí); 白名單判定模塊,用于判斷所述用戶標(biāo)識(shí)是否屬于白名單; 特征字獲取模塊,用于在所述用戶標(biāo)識(shí)不屬于白名單時(shí),獲取所述數(shù)據(jù)包的應(yīng)用層信息特征字;數(shù)據(jù)包阻斷模塊,用于根據(jù)所述應(yīng)用層信息特征字阻斷所述數(shù)據(jù)包。
10.根據(jù)權(quán)利要求9所述的防止通過私接無線AP上網(wǎng)的裝置,其特征在于,所述數(shù)據(jù)包包括源IP、源MAC、源活動(dòng)目錄域標(biāo)識(shí)、認(rèn)證令牌中的至少一種發(fā)送者信息; 所述用戶標(biāo)識(shí)獲取模塊還用于根據(jù)所述源IP、源MAC、源活動(dòng)目錄域標(biāo)識(shí)、認(rèn)證令牌中的至少一種發(fā)送者信息獲取所述內(nèi)網(wǎng)節(jié)點(diǎn)對(duì)應(yīng)的用戶標(biāo)識(shí)。
11.根據(jù)權(quán)利要求9所述的防止通過私接無線AP上網(wǎng)的裝置,其特征在于,所述數(shù)據(jù)包阻斷模塊還用于判斷所述應(yīng)用層信息特征字是否包括HTTP協(xié)議頭,若是,則獲取所述HTTP協(xié)議頭的用戶代理信息,在所述用戶代理信息對(duì)應(yīng)移動(dòng)終端信息時(shí)阻斷所述數(shù)據(jù)包。
12.根據(jù)權(quán)利要求9所述的防止通過私接無線AP上網(wǎng)的裝置,其特征在于,所述數(shù)據(jù)包阻斷模塊還用于在所述應(yīng)用層信息特征字對(duì)應(yīng)移動(dòng)應(yīng)用信息時(shí)阻斷所述數(shù)據(jù)包。
13.根據(jù)權(quán)利要求9所述的防止通過私接無線AP上網(wǎng)的裝置,其特征在于,還包括黑名單更新模塊,用于將所述用戶標(biāo)識(shí)添加到黑名單,并更新與所述用戶標(biāo)識(shí)對(duì)應(yīng)的阻斷時(shí)刻。
14.根據(jù)權(quán)利要求13所述的防止通過私接無線AP上網(wǎng)的裝置,其特征在于,還包括黑名單判定模塊,用于在所述用戶標(biāo)識(shí)屬于黑名單且距離所述阻斷時(shí)刻的時(shí)長(zhǎng)小于閾值時(shí)阻斷所述數(shù)據(jù)包。
15.根據(jù)權(quán)利要求13所述的防止通過私接無線AP上網(wǎng)的裝置,其特征在于,還包括日志生成模塊,用于生成與所述用戶標(biāo)識(shí)對(duì)應(yīng)的日志記錄并存儲(chǔ)。
16.根據(jù)權(quán)利要求13所述的防止通過私接無線AP上網(wǎng)的裝置,其特征在于,還包括用戶通知模塊,用于獲取日志記錄,獲取所述日志記錄對(duì)應(yīng)的用戶標(biāo)識(shí),根據(jù)所述日志記錄通知與所述用戶標(biāo)識(shí)對(duì)應(yīng)的用戶。
全文摘要
本發(fā)明涉及一種防止通過私接無線AP上網(wǎng)的方法,包括獲取內(nèi)網(wǎng)節(jié)點(diǎn)發(fā)出的數(shù)據(jù)包;根據(jù)所述數(shù)據(jù)包獲取所述內(nèi)網(wǎng)節(jié)點(diǎn)對(duì)應(yīng)的用戶標(biāo)識(shí);在所述用戶標(biāo)識(shí)不屬于白名單時(shí),獲取所述數(shù)據(jù)包的應(yīng)用層信息特征字;根據(jù)所述應(yīng)用層信息特征字阻斷所述數(shù)據(jù)包。此外,還包括一種防止通過私接無線AP上網(wǎng)的裝置。上述防止通過私接無線AP上網(wǎng)的方法和裝置可以提高安全性。
文檔編號(hào)H04W12/08GK102752756SQ201210187760
公開日2012年10月24日 申請(qǐng)日期2012年6月8日 優(yōu)先權(quán)日2012年6月8日
發(fā)明者張武健, 袁義金, 金勝 申請(qǐng)人:深信服網(wǎng)絡(luò)科技(深圳)有限公司