專利名稱:接入控制方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù),尤其涉及一種接入控制方法及裝置。
背景技術(shù):
當(dāng)有企業(yè)外部的終端或者非法終端試圖接入企業(yè)內(nèi)網(wǎng)時(shí),一般通過(guò)禁止接入的方式,阻止這些終端對(duì)企業(yè)內(nèi)網(wǎng)的訪問(wèn),達(dá)到避免企業(yè)信息外泄的目的,保證企業(yè)內(nèi)網(wǎng)的安全。目前,企業(yè)內(nèi)網(wǎng)主要采用以下三種方式來(lái)控制終端的接入:(I)網(wǎng)關(guān)聯(lián)動(dòng)方式,通過(guò)在企業(yè)內(nèi)網(wǎng)的匯聚層架設(shè)網(wǎng)關(guān),然后由該架設(shè)的網(wǎng)關(guān)來(lái)控制終端的接入,該接入控制方式需要改變企業(yè)內(nèi)網(wǎng)的架構(gòu),會(huì)對(duì)企業(yè)內(nèi)網(wǎng)的安全性造成一定的風(fēng)險(xiǎn)。(2)802.1X協(xié)議控制方式,將交換機(jī)作為接入控制設(shè)備,交換機(jī)采用802.1X協(xié)議,對(duì)請(qǐng)求接入的終端進(jìn)行驗(yàn)證。在通過(guò)驗(yàn)證后,允許終端接入企業(yè)內(nèi)網(wǎng)。在這種接入控制方式中,必須保證終端和交換機(jī)是直接的,而且交換機(jī)需要支持802.1X協(xié)議,部署相對(duì)復(fù)雜,對(duì)企業(yè)內(nèi)網(wǎng)架構(gòu)要求較高。(3)地址解析協(xié)議(Adress resolution protocol,簡(jiǎn)稱為ARP)攻擊方式,利用ARP協(xié)議的漏洞,對(duì)同一個(gè)子網(wǎng)內(nèi)部的終端進(jìn)行ARP攻擊,實(shí)現(xiàn)對(duì)請(qǐng)求接入企業(yè)內(nèi)網(wǎng)的終端的控制。ARP攻擊方式要求在子網(wǎng)內(nèi)部的至少一臺(tái)終端上部署內(nèi)網(wǎng)終端管理軟件,然后通過(guò)該內(nèi)網(wǎng)終端管理軟件來(lái)對(duì)新上線的終端進(jìn)行ARP攻擊。如果新上線的終端上安裝有ARP防火墻,該ARP防火墻可以過(guò)濾掉ARP攻擊,這樣就無(wú)法對(duì)新上線的終端進(jìn)行ARP的攻擊,新上線的終端就可以直接接入企業(yè)內(nèi)網(wǎng),有可能給企業(yè)內(nèi)網(wǎng)帶來(lái)安全隱患。由此可見(jiàn),通過(guò)ARP攻擊的方式來(lái)控制終端接入企業(yè)內(nèi)網(wǎng)的可靠性較低,并且部署復(fù)雜。
發(fā)明內(nèi)容
本發(fā)明提供一種接入控制方法及裝置,用以解決通過(guò)現(xiàn)有技術(shù)控制終端接入企業(yè)內(nèi)網(wǎng)可靠性較低的問(wèn)題。為了實(shí)現(xiàn)上述目的,本發(fā)明提供接入控制方法,包括:接入控制裝置接收終端發(fā)送的數(shù)據(jù)包;所述接入控制裝置檢查所述數(shù)據(jù)包是否攜帶允許接入標(biāo)識(shí),其中,所述允許接入標(biāo)識(shí)是在所述終端上預(yù)存有用于接入的準(zhǔn)入策略時(shí),由所述終端通過(guò)網(wǎng)絡(luò)驅(qū)動(dòng)層根據(jù)所述準(zhǔn)入策略添加到所述數(shù)據(jù)包中的;如果所述數(shù)據(jù)包攜帶有所述允許接入標(biāo)識(shí),所述接入控制裝置允許所述數(shù)據(jù)包通過(guò);如果所述數(shù)據(jù)包未攜帶所述允許接入標(biāo)識(shí),所述接入控制裝置對(duì)所述數(shù)據(jù)包進(jìn)行阻斷處理。為了實(shí)現(xiàn)上述目的,本發(fā)明提供一種接入控制裝置,包括:
接收模塊,用于接收所述終端發(fā)送的數(shù)據(jù)包;檢查模塊,用于檢查所述數(shù)據(jù)包是否攜帶允許接入的標(biāo)識(shí),其中,所述允許接入標(biāo)識(shí)是在所述終端上預(yù)存有用于接入的準(zhǔn)入策略時(shí),由所述終端通過(guò)網(wǎng)絡(luò)驅(qū)動(dòng)層根據(jù)所述準(zhǔn)入策略添加到所述數(shù)據(jù)包中的;接入控制模塊,用于如果所述數(shù)據(jù)包攜帶所述允許接入標(biāo)識(shí),允許所述數(shù)據(jù)包通過(guò),如果所述數(shù)據(jù)包攜帶未所述允許接入標(biāo)識(shí),對(duì)所述數(shù)據(jù)包進(jìn)行阻斷處理。本發(fā)明提供的一種接入控制方法及裝置,接入控制裝置接收終端發(fā)送的數(shù)據(jù)包,檢查數(shù)據(jù)包是否攜帶允許接入標(biāo)識(shí),允許接入標(biāo)識(shí)是在終端上預(yù)存有用于接入的準(zhǔn)入策略時(shí),由終端通過(guò)網(wǎng)絡(luò)驅(qū)動(dòng)層根據(jù)該準(zhǔn)入策略加到數(shù)據(jù)包中,如果檢查出所述數(shù)據(jù)包攜帶有該允許接入標(biāo)識(shí),接入控制裝置允許數(shù)據(jù)包通過(guò),而如果檢查出數(shù)據(jù)包未攜帶允許接入標(biāo)識(shí),接入控制裝置對(duì)數(shù)據(jù)包進(jìn)行阻斷處理。本發(fā)明通過(guò)數(shù)據(jù)包中是否攜帶允許接入標(biāo)識(shí),來(lái)控制終端的接入,允許攜帶有允許接入標(biāo)識(shí)通過(guò)接入控制裝置接入企業(yè)內(nèi)網(wǎng),而對(duì)未攜帶允許接入標(biāo)識(shí)的數(shù)據(jù)包接入控制裝置進(jìn)行阻斷處理,本發(fā)明不再受終端是否安裝防火墻的限制,因此,避免了現(xiàn)有技術(shù)中存在的接入控制可靠性較低的問(wèn)題,可以防止非法終端的接入,從而降低企業(yè)內(nèi)網(wǎng)的安全隱患。
圖1為本發(fā)明實(shí)施例提供的一種接入控制方法示意圖;圖2為本發(fā)明實(shí)施例提供的一種接入控制裝置結(jié)構(gòu)示意圖。
具體實(shí)施例方式下面通過(guò)附圖和實(shí)施例,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述。圖1為本發(fā)明實(shí)施例提供的一種接入控制方法示意圖。該接入控制方法的執(zhí)行主體為接入控制裝置,如圖1所示,該接入控制方法包括以下步驟:101、接入控制裝置接收終端發(fā)送的數(shù)據(jù)包。在終端試圖接入企業(yè)內(nèi)網(wǎng)時(shí),終端會(huì)向接入控制裝置發(fā)送數(shù)據(jù)包在本實(shí)施例中,該接入控制裝置需要安裝在服務(wù)器上,例如,企業(yè)內(nèi)網(wǎng)的應(yīng)用服務(wù)器上。102、所述接入控制裝置檢查所述數(shù)據(jù)包是否攜帶允許接入標(biāo)識(shí),所述允許接入標(biāo)識(shí)是在所述終端上預(yù)存有用于接入的準(zhǔn)入策略時(shí),由所述終端通過(guò)網(wǎng)絡(luò)驅(qū)動(dòng)層根據(jù)所述準(zhǔn)入策略添加到所述數(shù)據(jù)包中。在實(shí)際應(yīng)用中,為了保證企業(yè)內(nèi)網(wǎng)的安全性,一般會(huì)為屬于企業(yè)內(nèi)網(wǎng)的終端預(yù)先設(shè)置用于接入的準(zhǔn)入策略,并將預(yù)設(shè)的準(zhǔn)入策略預(yù)先存儲(chǔ)在終端的網(wǎng)絡(luò)驅(qū)動(dòng)層。在本實(shí)施例中,預(yù)存具該預(yù)設(shè)的準(zhǔn)入策略的終端為合法終端。合法終端在試圖接入企業(yè)內(nèi)網(wǎng)時(shí),向發(fā)送一個(gè)數(shù)據(jù)包,并在該數(shù)據(jù)包中攜帶一個(gè)允許接入標(biāo)識(shí)。其中,該允許接入標(biāo)識(shí)是在終端上預(yù)先存儲(chǔ)有用于接入的準(zhǔn)入策略時(shí),由該終端通過(guò)網(wǎng)絡(luò)驅(qū)動(dòng)層根據(jù)準(zhǔn)入策略添加在數(shù)據(jù)包中的。具體地,當(dāng)合法終端向試圖接入企業(yè)內(nèi)網(wǎng)時(shí),會(huì)向接入控制裝置發(fā)送一個(gè)數(shù)據(jù)包。合法終端將該數(shù)據(jù)包經(jīng)過(guò)網(wǎng)絡(luò)驅(qū)動(dòng)層發(fā)送給接入控制裝置時(shí),網(wǎng)絡(luò)驅(qū)動(dòng)層根據(jù)預(yù)存的準(zhǔn)入策略,為該數(shù)據(jù)包中添加一個(gè)允許接入標(biāo)識(shí)。而企業(yè)內(nèi)網(wǎng)外的非法終端的網(wǎng)絡(luò)驅(qū)動(dòng)層中未預(yù)存用于接入的準(zhǔn)入策略,這些非法終端試圖接入企業(yè)內(nèi)網(wǎng)時(shí),也會(huì)向接入控制裝置發(fā)送數(shù)據(jù)包,但是由于這些非法終端上未預(yù)存該準(zhǔn)入策略,所以終端的網(wǎng)絡(luò)驅(qū)動(dòng)層不會(huì)為數(shù)據(jù)包添加允許接入標(biāo)識(shí),也就是說(shuō),非法終端發(fā)送的數(shù)據(jù)包中不會(huì)允許接入標(biāo)識(shí)。在本實(shí)施例中,優(yōu)選地,可以將用于接入的準(zhǔn)入策略通過(guò)一個(gè)終端軟件來(lái)實(shí)現(xiàn),通過(guò)該終端軟件來(lái)實(shí)現(xiàn)接入控制。例如,該終端軟件可以為用于接入企業(yè)內(nèi)網(wǎng)的客戶端,該終端軟件只授權(quán)于合法終端。當(dāng)終端上安裝了終端軟件后,則該終端為合法的終端。合法終端通過(guò)該終端軟件向數(shù)據(jù)包中添加允許接入標(biāo)識(shí)。接入控制裝置在接收到終端發(fā)送的數(shù)據(jù)包后,檢查數(shù)據(jù)包中是否攜帶允許接入標(biāo)識(shí)。如果接入控制裝置判斷出數(shù)據(jù)包中攜帶允許接入標(biāo)識(shí),執(zhí)行步驟103,如果接入控制裝置判斷出數(shù)據(jù)包中未攜帶允許接入標(biāo)識(shí),執(zhí)行步驟104。103、如果所述數(shù)據(jù)包攜帶有所述允許接入標(biāo)識(shí),所述接入控制裝置允許所述數(shù)據(jù)包通過(guò)。如果接入控制裝置檢查出數(shù)據(jù)包中攜帶有允許接入標(biāo)識(shí),接入控制裝置將允許數(shù)據(jù)包通過(guò)。在接入控制裝置檢查出數(shù)據(jù)包中攜帶允許接入標(biāo)識(shí)的情況下,說(shuō)明試圖接入企業(yè)內(nèi)網(wǎng)的終端上預(yù)存了準(zhǔn)入策略或者安裝了終端軟件,該終端為合法終端,接入控制裝置允許合法終端接入企業(yè)內(nèi)網(wǎng),可以訪問(wèn)企業(yè)內(nèi)網(wǎng)中的資源。104、如果所述數(shù)據(jù)包未攜帶所述允許接入標(biāo)識(shí),所述接入控制裝置對(duì)所述數(shù)據(jù)包進(jìn)行阻斷處理。如果接入控制裝置檢查出數(shù)據(jù)包中未攜帶允許接入標(biāo)識(shí),接入控制裝置將對(duì)數(shù)據(jù)包進(jìn)行阻斷處理。例如,接入控制裝置對(duì)數(shù)據(jù)包阻斷處理可以為將數(shù)據(jù)包進(jìn)行丟棄處理,或者接入控制裝置根據(jù)數(shù)據(jù)包的應(yīng)用請(qǐng)求的類型,對(duì)數(shù)據(jù)包進(jìn)行重定向處理。具體地,接入控制裝置確定出數(shù)據(jù)包對(duì)應(yīng)的應(yīng)用請(qǐng)求類型,在確定出數(shù)據(jù)包的應(yīng)用請(qǐng)求類型后,接入控制裝置查詢預(yù)設(shè)的阻斷策略與請(qǐng)求類型之間的映射關(guān)系,獲取與應(yīng)用請(qǐng)求類型對(duì)應(yīng)的阻斷策略,進(jìn)一步地,接入控制裝置采用獲取到的阻斷策略對(duì)數(shù)據(jù)包進(jìn)行阻斷處理。例如,數(shù)據(jù)包的應(yīng)用請(qǐng)求為http訪問(wèn)時(shí),接入控制裝置可以對(duì)數(shù)據(jù)包進(jìn)行重定向處理,跳轉(zhuǎn)到待訪問(wèn)的頁(yè)面。而當(dāng)數(shù)據(jù)包的應(yīng)用請(qǐng)求為郵件類的請(qǐng)求時(shí),接入控制裝置可以對(duì)數(shù)據(jù)包進(jìn)行重定向到相應(yīng)的郵件處理頁(yè)面。在接入控制裝置檢查出數(shù)據(jù)包中未攜帶允許接入標(biāo)識(shí)的情況下,說(shuō)明試圖接入企業(yè)內(nèi)網(wǎng)的終端未預(yù)存準(zhǔn)入策略或者未安裝終端軟件,該終端為非法終端,接入控制裝置不允許該終端接入企業(yè)內(nèi)網(wǎng),訪問(wèn)該企業(yè)內(nèi)網(wǎng)的資源。本實(shí)施例提供的接入控制方法,接入控制裝置接收終端發(fā)送的數(shù)據(jù)包,檢查數(shù)據(jù)包是否攜帶允許接入標(biāo)識(shí),允許接入標(biāo)識(shí)是在終端上預(yù)存有用于接入的準(zhǔn)入策略時(shí),由終端通過(guò)網(wǎng)絡(luò)驅(qū)動(dòng)層根據(jù)該準(zhǔn)入策略添加到數(shù)據(jù)包中的,如果檢查出所述數(shù)據(jù)包攜帶有該允許接入標(biāo)識(shí),接入控制裝置允許數(shù)據(jù)包通過(guò),而如果檢查出數(shù)據(jù)包未攜帶允許接入標(biāo)識(shí),接入控制裝置對(duì)數(shù)據(jù)包進(jìn)行阻斷處理。本發(fā)明通過(guò)數(shù)據(jù)包中是否攜帶允許接入標(biāo)識(shí),來(lái)控制終端的接入,允許攜帶有允許接入標(biāo)識(shí)通過(guò)接入控制裝置接入企業(yè)內(nèi)網(wǎng),而對(duì)未攜帶允許接入標(biāo)識(shí)的數(shù)據(jù)包接入控制裝置進(jìn)行阻斷處理。本發(fā)明不再受終端是否安裝防火墻的限制,因此,避免了現(xiàn)有技術(shù)中存在的接入控制可靠性較低的問(wèn)題,可以防止非法終端的接入,從而降低企業(yè)內(nèi)網(wǎng)的安全隱患。在本實(shí)施例中,接入控制裝置在接收到數(shù)據(jù)包后,進(jìn)一步地,還可以從數(shù)據(jù)包中獲取到發(fā)送數(shù)據(jù)包的終端的標(biāo)識(shí)信息,優(yōu)選地,終端的標(biāo)識(shí)信息可以為終端的互聯(lián)網(wǎng)協(xié)議(Internet Protocol,簡(jiǎn)稱為IP)地址。在獲取到終端的標(biāo)識(shí)信息后,接入控制裝置查詢未授權(quán)終端的標(biāo)識(shí)信息,以判斷終端的標(biāo)識(shí)信息是否存在于該未授權(quán)終端的標(biāo)識(shí)信息中。優(yōu)選地,該未授權(quán)中的標(biāo)識(shí)信息可以以表的形式存儲(chǔ)在接入控制裝置中。如果接入控制裝置檢查出數(shù)據(jù)包未攜帶允許接入標(biāo)識(shí)且終端的標(biāo)識(shí)信息不存在于未授權(quán)終端的標(biāo)識(shí)信息中,接入控制裝置則將終端的標(biāo)識(shí)信息加入未授權(quán)終端的標(biāo)識(shí)信息中。如果接入控制裝置判斷出該數(shù)據(jù)包攜帶有允許接入標(biāo)識(shí)且終端的標(biāo)識(shí)信息存在于未授權(quán)終端的標(biāo)識(shí)信息中,接入控制裝置將終端的標(biāo)識(shí)信息從未授權(quán)終端的標(biāo)識(shí)信息中刪除。實(shí)際中,一般基于傳輸控制協(xié)議(Transmission Control Protocol,簡(jiǎn)稱為T(mén)CP)和用戶數(shù)據(jù)包協(xié)議(User Datagram Protocol,簡(jiǎn)稱為UDP)兩種通信協(xié)議,在終端與服務(wù)器之間進(jìn)行網(wǎng)絡(luò)連接,以實(shí)現(xiàn)終端與服務(wù)器的通信。當(dāng)采用UDP協(xié)議與服務(wù)器建立網(wǎng)絡(luò)連接時(shí),終端直接向服務(wù)器發(fā)送數(shù)據(jù)包,接入控制裝置接收到終端發(fā)送的數(shù)據(jù)包后,直接檢查該數(shù)據(jù)包是否攜帶允許接入標(biāo)識(shí),如果檢查出數(shù)據(jù)包中攜帶有允許接入標(biāo)識(shí),接入控制裝置將允許數(shù)據(jù)包通過(guò),如果檢查出數(shù)據(jù)包中未攜帶允許接入標(biāo)識(shí),接入控制裝置對(duì)數(shù)據(jù)包進(jìn)行阻斷處理。當(dāng)采用TCP協(xié)議與服務(wù)器建立網(wǎng)絡(luò)連接時(shí),終端首先向服務(wù)器發(fā)送一個(gè)同步SYN(Synchronous)數(shù)據(jù)包,該SYN數(shù)據(jù)包是用于與服務(wù)器建立正常的TCP網(wǎng)絡(luò)連接時(shí)的握手信號(hào)。接入控制裝置在接收到終端發(fā)送的數(shù)據(jù)包后,判斷該數(shù)據(jù)包是否為同步SYN數(shù)據(jù)包,如果接入控制裝置判斷出該數(shù)據(jù)包為SYN數(shù)據(jù)包,接入控制裝置檢查數(shù)據(jù)包是否攜帶允許接入標(biāo)識(shí)。如果接入控制裝置判斷出該SYN數(shù)據(jù)包攜帶有允許接入標(biāo)識(shí)時(shí),接入控制裝置允許數(shù)據(jù)包通過(guò)。如果接入控制裝置判斷出該數(shù)據(jù)包不是SYN數(shù)據(jù)包后,進(jìn)一步地,接入控制裝置檢查該非SYN數(shù)據(jù)包的TCP數(shù)據(jù)區(qū)是否有數(shù)據(jù),如果該非SYN數(shù)據(jù)包的TCP數(shù)據(jù)區(qū)中有數(shù)據(jù)且終端的標(biāo)識(shí)信息存在于未授權(quán)終端的標(biāo)識(shí)信息中,接入控制裝置對(duì)該非SYN數(shù)據(jù)包進(jìn)行阻斷處理。進(jìn)一步地,在本實(shí)施例中,接入控制裝置在判斷出對(duì)數(shù)據(jù)包進(jìn)行阻斷處理后,向終端返回一個(gè)通知消息,可以在該通知消息中,攜帶有接入控制裝置對(duì)該數(shù)據(jù)包的狀態(tài)信息,該狀態(tài)信息可以指示出數(shù)據(jù)包處于丟棄狀態(tài)還是處于重定向狀態(tài)。在本實(shí)施例中,可選地為接入控制裝置配置一個(gè)功能選擇菜單,管理員可以根據(jù)工作需求,為接入控制裝置選擇工作狀態(tài),例如,該接入控制裝置的狀態(tài)可以為開(kāi)啟狀態(tài),也可以為關(guān)閉狀態(tài),或者在特定的時(shí)間段處于開(kāi)啟或關(guān)閉狀態(tài)。處于開(kāi)啟狀態(tài)下,接入控制裝置需要對(duì)終端發(fā)送的數(shù)據(jù)包進(jìn)行檢查是否攜帶允許接入標(biāo)識(shí),進(jìn)入根據(jù)檢查結(jié)果對(duì)數(shù)據(jù)包進(jìn)行接入控制。而在一些特定的時(shí)間段,接入控制裝置可能處于關(guān)閉狀態(tài),此時(shí)終端向接入控制裝置發(fā)送數(shù)據(jù)包時(shí),接入控制裝置對(duì)數(shù)據(jù)包不進(jìn)行處理。在本實(shí)施例中通過(guò)在設(shè)置一個(gè)功能選擇菜單,可以使管理員靈活根據(jù)工作需求來(lái)配置接入控制裝置的工作狀態(tài)??蛇x地,本實(shí)施例提供的接入控制方法可以通過(guò)軟件方式實(shí)現(xiàn),然后將接入控制軟件安裝在服務(wù)器上,然后服務(wù)器通過(guò)該接入控制軟件實(shí)現(xiàn)對(duì)終端的接入控制。具體地,該接入控制軟件可以包括應(yīng)用層和中間網(wǎng)絡(luò)驅(qū)動(dòng)層。應(yīng)用層可以獲取預(yù)先設(shè)置的阻斷策略與請(qǐng)求類型之間的映射關(guān)系,中間網(wǎng)絡(luò)驅(qū)動(dòng)層接收數(shù)據(jù)包以及檢查數(shù)據(jù)包中是否攜帶允許接入標(biāo)識(shí),然后根據(jù)檢查結(jié)構(gòu)對(duì)終端進(jìn)行接入控制,如果數(shù)據(jù)包攜帶允許接入標(biāo)識(shí),接入控制軟件允許數(shù)據(jù)包通過(guò)服務(wù)器接入企業(yè)內(nèi)網(wǎng),如果數(shù)據(jù)包未攜帶允許接入標(biāo)識(shí),該接入控制軟件對(duì)數(shù)據(jù)包進(jìn)行阻斷處理。在本實(shí)施例中,將接入控制軟件直接部署在服務(wù)器上,服務(wù)器通過(guò)該接入控制軟件來(lái)實(shí)現(xiàn)對(duì)終端的接入控制,對(duì)企業(yè)內(nèi)網(wǎng)的網(wǎng)絡(luò)架構(gòu)無(wú)影響,避免了現(xiàn)有技術(shù)中將網(wǎng)關(guān)串聯(lián)接入企業(yè)匯聚層,而導(dǎo)致網(wǎng)絡(luò)架構(gòu)存在風(fēng)險(xiǎn)的問(wèn)題。通過(guò)軟件方式實(shí)現(xiàn)對(duì)終端的接入控制,不再需要交換機(jī)等硬件支持,部署相對(duì)簡(jiǎn)單,容易實(shí)現(xiàn),而且還可以避免現(xiàn)有的ARP攻擊控制方式下,當(dāng)終端上安裝ARP防火墻,則無(wú)法對(duì)終端進(jìn)行控制的問(wèn)題。圖2為本發(fā)明實(shí)施例提供的一種接入控制裝置結(jié)構(gòu)示意圖。如圖2所示,該接入控制裝置包括:接收模塊21、檢查模塊22和接入控制模塊23。在本實(shí)施例中,該接入控制裝置需要安裝在服務(wù)器上,例如,企業(yè)內(nèi)網(wǎng)的應(yīng)用服務(wù)器上。其中,接收模塊21用于接收終端發(fā)送的數(shù)據(jù)包。檢查模塊22與接收模塊21連接,用于在接收模塊21接收到數(shù)據(jù)包后,檢查該數(shù)據(jù)包是否攜帶允許接入的標(biāo)識(shí),其中,允許接入標(biāo)識(shí)是在終端上預(yù)存有用于接入的準(zhǔn)入策略時(shí),由終端通過(guò)網(wǎng)絡(luò)驅(qū)動(dòng)層根據(jù)該準(zhǔn)入策略添加到數(shù)據(jù)包中的。接入控制模塊23,與檢查模塊22連接,用于如果檢查模塊22檢查出數(shù)據(jù)包攜帶允許接入標(biāo)識(shí),則允許數(shù)據(jù)包通過(guò),如果檢查模塊22檢查出數(shù)據(jù)包攜帶未允許接入標(biāo)識(shí),則對(duì)數(shù)據(jù)包進(jìn)行阻斷處理。在終端試圖接入企業(yè)內(nèi)網(wǎng)時(shí),終端會(huì)向接入控制裝置中的接收模塊21發(fā)送數(shù)據(jù)包。在實(shí)際應(yīng)用中,為了保證企業(yè)內(nèi)網(wǎng)的安全性,一般會(huì)為屬于企業(yè)內(nèi)網(wǎng)的終端上預(yù)先設(shè)置用于接入的準(zhǔn)入策略,并將預(yù)設(shè)的準(zhǔn)入策略預(yù)先存儲(chǔ)在終端的網(wǎng)絡(luò)驅(qū)動(dòng)層。在本實(shí)施例中,預(yù)存有該預(yù)設(shè)的準(zhǔn)入策略的終端為合法終端。合法終端在試圖接入企業(yè)內(nèi)網(wǎng)時(shí),向產(chǎn)生數(shù)據(jù)包請(qǐng)求,并在該數(shù)據(jù)包中攜帶一個(gè)允許接入標(biāo)識(shí)。其中,該允許接入標(biāo)識(shí)是在終端上預(yù)先存儲(chǔ)有用于接入的準(zhǔn)入策略時(shí),由該終端通過(guò)網(wǎng)絡(luò)驅(qū)動(dòng)層根據(jù)準(zhǔn)入策略添加在數(shù)據(jù)包中的。具體地,當(dāng)合法終端向試圖接入企業(yè)內(nèi)網(wǎng)時(shí),會(huì)通過(guò)網(wǎng)絡(luò)驅(qū)動(dòng)層根據(jù)該準(zhǔn)入策略,在由終端發(fā)送給接收模塊21的數(shù)據(jù)包中添加一個(gè)允許接入標(biāo)識(shí)。而企業(yè)內(nèi)網(wǎng)外的非法終端上面未預(yù)存用于接入的準(zhǔn)入策略,這些非法終端試圖接入企業(yè)內(nèi)網(wǎng)時(shí),也會(huì)向接收模塊21發(fā)送數(shù)據(jù)包,但是由于這些非法終端上未安預(yù)存該準(zhǔn)入策略,所以終端的網(wǎng)絡(luò)驅(qū)動(dòng)層不會(huì)為數(shù)據(jù)包添加允許接入標(biāo)識(shí),也就是說(shuō),非法終端發(fā)送的數(shù)據(jù)包中不會(huì)攜帶允許接入標(biāo)識(shí)。在本實(shí)施例中,優(yōu)選地,可以將用于接入的準(zhǔn)入策略通過(guò)一個(gè)終端軟件來(lái)實(shí)現(xiàn),通過(guò)該終端軟件來(lái)實(shí)現(xiàn)接入控制。例如,該終端軟件可以為用于接入企業(yè)內(nèi)網(wǎng)的客戶端,該終端軟件只授權(quán)于合法終端。當(dāng)終端上安裝了終端軟件后,則該終端為合法的終端。合法終端通過(guò)該終端軟件向數(shù)據(jù)包中添加允許接入標(biāo)識(shí)。在接收模塊21接收到終端發(fā)送的數(shù)據(jù)包后,檢查模塊22檢查數(shù)據(jù)包中是否攜帶允許接入標(biāo)識(shí)。如果檢查模塊22判斷出數(shù)據(jù)包中攜帶允許接入標(biāo)識(shí),接入控制模塊23將允許數(shù)據(jù)包通過(guò)。在檢查模塊22檢查出數(shù)據(jù)包中攜帶允許接入標(biāo)識(shí)的情況下,說(shuō)明試圖接入企業(yè)內(nèi)網(wǎng)的終端上預(yù)存了準(zhǔn)入策略或者安裝了終端軟件,該終端為合法終端,接入控制模塊23允許合法終端接入企業(yè)內(nèi)網(wǎng),可以訪問(wèn)企業(yè)內(nèi)網(wǎng)中的資源。如果檢查模塊22檢查出數(shù)據(jù)包中未攜帶允許接入標(biāo)識(shí),接入控制模塊23將對(duì)數(shù)據(jù)包進(jìn)行阻斷處理。例如,接入控制模塊23對(duì)數(shù)據(jù)包的阻斷處理可以為將數(shù)據(jù)包進(jìn)行丟棄處理,或者根據(jù)數(shù)據(jù)包的應(yīng)用請(qǐng)求的類型,對(duì)數(shù)據(jù)包進(jìn)行重定向處理。在檢查模塊22檢查出數(shù)據(jù)包中未攜帶允許接入標(biāo)識(shí)的情況下,說(shuō)明試圖接入企業(yè)內(nèi)網(wǎng)的終端未預(yù)存準(zhǔn)入策略或者未安裝終端軟件,該終端為非法終端,接入控制模塊23不允許該終端接入企業(yè)內(nèi)網(wǎng),訪問(wèn)該企業(yè)內(nèi)網(wǎng)的資源。在本實(shí)施例中,接入控制模塊23的一種實(shí)現(xiàn)結(jié)構(gòu)方式包括:確定單元231、獲取單元232和處理單元233。檢查模塊22與確定單元231連接,在檢查出數(shù)據(jù)包未攜帶允許接入標(biāo)識(shí)后,確定單元231確定出數(shù)據(jù)包對(duì)應(yīng)的應(yīng)用請(qǐng)求類型,確定單元231與獲取單元232連接,在確定出數(shù)據(jù)包的應(yīng)用請(qǐng)求類型后,獲取單元232查詢預(yù)設(shè)的阻斷策略與請(qǐng)求類型之間的映射關(guān)系,獲取與應(yīng)用請(qǐng)求類型對(duì)應(yīng)的阻斷策略,進(jìn)一步地,獲取單元232還與處理單元233連接,處理單元233采用獲取到的阻斷策略對(duì)數(shù)據(jù)包進(jìn)行阻斷處理。例如,當(dāng)數(shù)據(jù)包的應(yīng)用請(qǐng)求為http訪問(wèn)時(shí),處理單元233可以對(duì)數(shù)據(jù)包進(jìn)行重定向處理,跳轉(zhuǎn)到待訪問(wèn)的頁(yè)面。而當(dāng)數(shù)據(jù)包的應(yīng)用請(qǐng)求為郵件類的請(qǐng)求時(shí),接入控制裝置可以對(duì)數(shù)據(jù)包進(jìn)行重定向到相應(yīng)的郵件處理頁(yè)面。本實(shí)施例提供的接入控制裝置,接入控制裝置接收終端發(fā)送的數(shù)據(jù)包,檢查數(shù)據(jù)包是否攜帶允許接入標(biāo)識(shí),允許接入標(biāo)識(shí)是在終端上預(yù)存有用于接入的準(zhǔn)入策略時(shí),由終端通過(guò)網(wǎng)絡(luò)驅(qū)動(dòng)層根據(jù)該準(zhǔn)入策略添加到數(shù)據(jù)包中,如果檢查出所述數(shù)據(jù)包攜帶有該允許接入標(biāo)識(shí),接入控制裝置允許數(shù)據(jù)包通過(guò),而如果檢查出數(shù)據(jù)包未攜帶允許接入標(biāo)識(shí),接入控制裝置對(duì)數(shù)據(jù)包進(jìn)行阻斷處理。本發(fā)明通過(guò)數(shù)據(jù)包中是否攜帶允許接入標(biāo)識(shí),來(lái)控制終端的接入,允許攜帶有允許接入標(biāo)識(shí)通過(guò)接入控制裝置接入企業(yè)內(nèi)網(wǎng),而對(duì)未攜帶允許接入標(biāo)識(shí)的數(shù)據(jù)包接入控制裝置進(jìn)行阻斷處理,本發(fā)明不再受終端是否安裝防火墻的限制,因此,避免了現(xiàn)有技術(shù)中存在的接入控制可靠性較低的問(wèn)題,可以防止非法終端的接入,從而降低企業(yè)內(nèi)網(wǎng)的安全隱患。在本實(shí)施例中,接入控制裝置還可以包括獲取模塊24、判斷模塊25和添加/刪除模塊26。在接收模塊21接收到數(shù)據(jù)包后,獲取模塊24可以從數(shù)據(jù)包中獲取到發(fā)送數(shù)據(jù)包的終端的標(biāo)識(shí)信息,優(yōu)選地,終端的標(biāo)識(shí)信息可以為終端的IP地址。在獲取到終端的標(biāo)識(shí)信息后,判斷模塊25查詢未授權(quán)終端的標(biāo)識(shí)信息,以判斷終端的標(biāo)識(shí)信息是否存在于該未授權(quán)終端的標(biāo)識(shí)信息中。優(yōu)選地,該未授權(quán)中的標(biāo)識(shí)信息可以以表的形式存儲(chǔ)在接入控制裝置中。在檢查模塊22檢查出數(shù)據(jù)包未攜帶允許接入標(biāo)識(shí)且判斷模塊25判斷出終端的標(biāo)識(shí)信息不存在于未授權(quán)終端的標(biāo)識(shí)信息中,添加/刪除模塊26將所述終端的標(biāo)識(shí)信息加入到所述未授權(quán)終端的標(biāo)識(shí)信息中,而在檢查模塊22檢查出數(shù)據(jù)包攜帶允許接入標(biāo)識(shí)且判斷模塊25判斷出終端的標(biāo)識(shí)信息存在于未授權(quán)終端的標(biāo)識(shí)信息中,添加/刪除模塊26將終端的標(biāo)識(shí)信息從未授權(quán)終端的標(biāo)識(shí)信息中刪除。 實(shí)際中,一般基于TCP協(xié)議和UDP協(xié)議兩種通信協(xié)議,在終端與服務(wù)器之間進(jìn)行網(wǎng)絡(luò)連接,以實(shí)現(xiàn)終端與服務(wù)器的通信。在本實(shí)施例中,檢查模塊22的一種可選地實(shí)現(xiàn)結(jié)構(gòu)方式包括:判斷單元221和檢查單元222。當(dāng)采用UDP協(xié)議與服務(wù)器建立網(wǎng)絡(luò)連接時(shí),終端直接向接收模塊21發(fā)送數(shù)據(jù)包,在接收到終端發(fā)送的數(shù)據(jù)包后,檢查單元222直接檢查該數(shù)據(jù)包是否攜帶允許接入標(biāo)識(shí),如果檢查出數(shù)據(jù)包中攜帶有允許接入標(biāo)識(shí),接入控制模塊23允許數(shù)據(jù)包通過(guò),如果檢查出數(shù)據(jù)包中未攜帶允許接入標(biāo)識(shí),接入控制模塊23對(duì)數(shù)據(jù)包進(jìn)行阻斷處理。當(dāng)采用TCP協(xié)議與服務(wù)器建立網(wǎng)絡(luò)連接時(shí),終端首先向接收模塊21發(fā)送一個(gè)SYN數(shù)據(jù)包,該SYN數(shù)據(jù)包是用于與服務(wù)器建立正常的TCP網(wǎng)絡(luò)連接時(shí)的握手信號(hào)。接收模塊21與判斷單元221連接,在接收到終端發(fā)送的數(shù)據(jù)包后,判斷單元221判斷該數(shù)據(jù)包是否為SYN數(shù)據(jù)包,判斷單元221還與檢查單元222連接,在判斷單元221判斷出該數(shù)據(jù)包為SYN數(shù)據(jù)包,檢查單元222檢查數(shù)據(jù)包是否攜帶允許接入標(biāo)識(shí)。進(jìn)一步地,檢查單元222還與接入控制模塊23連接,在檢查單元222檢查出該SYN數(shù)據(jù)包攜帶有允許接入標(biāo)識(shí)時(shí),接入控制模塊23允許數(shù)據(jù)包通過(guò)。在判斷單元221出該數(shù)據(jù)包不是SYN數(shù)據(jù)包后,進(jìn)一步地,檢查單元222檢查該非SYN數(shù)據(jù)包的TCP數(shù)據(jù)區(qū)是否有數(shù)據(jù),如果該非SYN數(shù)據(jù)包的TCP數(shù)據(jù)區(qū)中有數(shù)據(jù)且判斷模塊24判斷出終端的標(biāo)識(shí)信息存在于未授權(quán)終端的標(biāo)識(shí)信息中,接入控制模塊23對(duì)該非SYN數(shù)據(jù)包進(jìn)行阻斷處理。進(jìn)一步地,在本實(shí)施例中,接入控制模塊23在判斷出對(duì)數(shù)據(jù)包進(jìn)行阻斷處理后,向終端返回一個(gè)通知消息,可以在該通知消息中,攜帶有接入控制裝置對(duì)該數(shù)據(jù)包的狀態(tài)信息,該狀態(tài)信息可以指示出數(shù)據(jù)包處于丟棄狀態(tài)還是處于重定向狀態(tài)。在本實(shí)施例中,可選地為接入控制裝置配置一個(gè)功能選擇菜單,管理員可以根據(jù)工作需求,為接入控制裝置選擇工作狀態(tài),例如,該接入控制裝置的狀態(tài)可以為開(kāi)啟狀態(tài),也可以為關(guān)閉狀態(tài),或者在特定的時(shí)間段處于開(kāi)啟或關(guān)閉狀態(tài)。處于開(kāi)啟狀態(tài)下,接入控制裝置需要對(duì)終端發(fā)送的數(shù)據(jù)包進(jìn)行檢查是否攜帶允許接入標(biāo)識(shí),進(jìn)入根據(jù)檢查結(jié)果對(duì)數(shù)據(jù)包進(jìn)行接入控制。而在一些特定的時(shí)間段,接入控制裝置可能處于關(guān)閉狀態(tài),此時(shí)終端向接入控制裝置發(fā)送數(shù)據(jù)包時(shí),接入控制裝置對(duì)數(shù)據(jù)包不進(jìn)行處理。在本實(shí)施例中通過(guò)在設(shè)置一個(gè)功能選擇菜單,可以使管理員靈活根據(jù)工作需求來(lái)配置接入控制裝置的工作狀態(tài)。最后應(yīng)說(shuō)明的是:以上各實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案,而非對(duì)其限制;盡管參照前述各實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或者對(duì)其中部分或者全部技術(shù)特征進(jìn)行等同替換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的范圍。
權(quán)利要求
1.一種接入控制方法,其特征在于,包括: 接入控制裝置接收終端發(fā)送的數(shù)據(jù)包; 所述接入控制裝置檢查所述數(shù)據(jù)包是否攜帶允許接入標(biāo)識(shí),其中,所述允許接入標(biāo)識(shí)是在所述終端上預(yù)存有用于接入的準(zhǔn)入策略時(shí),由所述終端通過(guò)網(wǎng)絡(luò)驅(qū)動(dòng)層根據(jù)所述準(zhǔn)入策略添加到所述數(shù)據(jù)包中的; 如果所述數(shù)據(jù)包攜帶有所述允許接入標(biāo)識(shí),所述接入控制裝置允許所述數(shù)據(jù)包通過(guò);如果所述數(shù)據(jù)包未攜帶所述允許接入標(biāo)識(shí),所述接入控制裝置對(duì)所述數(shù)據(jù)包進(jìn)行阻斷處理。
2.根據(jù)權(quán)利要求1所述的接入控制方法,其特征在于,還包括: 所述接入控制裝置從所述數(shù)據(jù)包中獲取所述終端的標(biāo)識(shí)信息; 所述接入控制裝置判斷所述終端的標(biāo)識(shí)信息是否存在于所述接入控制裝置上存儲(chǔ)的未授權(quán)終端的標(biāo)識(shí)信息中; 如果所述數(shù)據(jù)包未攜帶所述允許接入標(biāo)識(shí)且所述終端的標(biāo)識(shí)信息不存在于所述未授權(quán)終端的標(biāo)識(shí)信息中,將所述終端的標(biāo)識(shí)信息加入所述未授權(quán)終端的標(biāo)識(shí)信息中; 如果所述數(shù)據(jù)包攜帶所述允許接入標(biāo)識(shí)且所述終端的標(biāo)識(shí)信息存在于所述未授權(quán)終端的標(biāo)識(shí)信息中,將所述終端的標(biāo)識(shí)信息從所述未授權(quán)終端的標(biāo)識(shí)信息中中刪除。
3.根據(jù)權(quán)利要求2所述的接入控制方法,其特征在于,所述接入控制裝置檢查所述數(shù)據(jù)包是否攜帶允許接入標(biāo)識(shí)包括: 所述接入控制裝置判斷所述數(shù)據(jù)包是否為同步SYN數(shù)據(jù)包; 如果所述數(shù)據(jù)包為SYN數(shù)據(jù)包,所述接入控制裝置檢查所述數(shù)據(jù)包是否攜帶所述允許接入標(biāo)識(shí)。
4.根據(jù)權(quán)利要求3所述的接入控制方法,其特征在于,還包括: 如果所述數(shù)據(jù)包不是SYN數(shù)據(jù)包,所述接入控制裝置檢查所述非SYN數(shù)據(jù)包的TCP數(shù)據(jù)區(qū)是否有數(shù)據(jù); 如果所述TCP數(shù)據(jù)區(qū)有數(shù)據(jù)且所述終端的標(biāo)識(shí)信息存在于所述未授權(quán)終端的標(biāo)識(shí)信息中,所述接入控制裝置對(duì)所述非SYN數(shù)據(jù)包進(jìn)行阻斷處理。
5.根據(jù)權(quán)利要求1-4任一項(xiàng)所述的接入控制方法,其特征在于,所述接入控制裝置對(duì)所述數(shù)據(jù)包進(jìn)行阻斷處理包括: 所述接入控制裝置確定所述數(shù)據(jù)包對(duì)應(yīng)的應(yīng)用請(qǐng)求類型; 所述接入控制裝置查詢預(yù)設(shè)的阻斷策略與請(qǐng)求類型之間的映射關(guān)系,獲取所述應(yīng)用請(qǐng)求類型對(duì)應(yīng)的阻斷策略; 所述接入控制裝置采用所述阻斷策略對(duì)所述數(shù)據(jù)包進(jìn)行阻斷處理。
6.一種接入控制裝置,其特征在于,包括: 接收模塊,用于接收所述終端發(fā)送的數(shù)據(jù)包; 檢查模塊,用于檢查所述數(shù)據(jù)包是否攜帶允許接入的標(biāo)識(shí),其中,所述允許接入標(biāo)識(shí)是在所述終端上預(yù)存有用于接入的準(zhǔn)入策略時(shí),由所述終端通過(guò)網(wǎng)絡(luò)驅(qū)動(dòng)層根據(jù)所述準(zhǔn)入策略添加到所述數(shù)據(jù)包中的; 接入控制模塊,用于如果所述數(shù)據(jù)包攜帶所述允許接入標(biāo)識(shí),允許所述數(shù)據(jù)包通過(guò),如果所述數(shù)據(jù)包攜帶未所述允許接入標(biāo)識(shí),對(duì)所述數(shù)據(jù)包進(jìn)行阻斷處理。
7.根據(jù)權(quán)利要求6所述的接入控制裝置,其特征在于,還包括: 獲取模塊,用于從所述數(shù)據(jù)包中獲取所述終端的標(biāo)識(shí)信息; 判斷模塊,用于判斷所述終端的標(biāo)識(shí)信息是否存在于所述接入控制裝置上存儲(chǔ)的未授權(quán)終端的標(biāo)識(shí)信息中; 添加/刪除模塊,用于如果所述數(shù)據(jù)包未攜帶所述允許接入標(biāo)識(shí)且所述終端的標(biāo)識(shí)信息不存在于所述未授權(quán)終端的標(biāo)識(shí)信息中,將所述終端的標(biāo)識(shí)信息加入到所述未授權(quán)終端的標(biāo)識(shí)信息中,如果所述數(shù)據(jù)包攜帶所述允許接入標(biāo)識(shí)且所述終端的標(biāo)識(shí)信息存在于所述未授權(quán)終端的標(biāo)識(shí)信息中,將所述終端的標(biāo)識(shí)信息從所述未授權(quán)終端的標(biāo)識(shí)信息中刪除。
8.根據(jù)權(quán)利要求7所述的接入控制裝置,其特征在于,所述檢查模塊包括: 判斷單元,用于判斷所述數(shù)據(jù)包是否為同步SYN數(shù)據(jù)包; 檢查單元,用于如果所述數(shù)據(jù)包為SYN數(shù)據(jù)包,檢查所述數(shù)據(jù)包是否攜帶所述允許接入標(biāo)識(shí)。
9.根據(jù)權(quán)利要求8所述的接入控制裝置,其特征在于,還包括: 所述檢查單元,還用于在所述判斷單元判斷出所述數(shù)據(jù)包不是SYN數(shù)據(jù)包,檢查所述非SYN數(shù)據(jù)包的TCP數(shù)據(jù)區(qū)是 否有數(shù)據(jù); 所述接入控制模塊,還用于如果所述TCP數(shù)據(jù)區(qū)有數(shù)據(jù)且所述終端的標(biāo)識(shí)信息存在于所述未授權(quán)終端的標(biāo)識(shí)信息中,對(duì)所述非SYN數(shù)據(jù)包進(jìn)行阻斷處理。
10.根據(jù)權(quán)利要求6-9任一項(xiàng)所述的接入控制裝置,其特征在于,所述接入控制模塊包括: 確定單元,用于確定所述數(shù)據(jù)包對(duì)應(yīng)的應(yīng)用請(qǐng)求類型; 獲取單元,用于查詢預(yù)設(shè)的阻斷策略與請(qǐng)求類型之間的映射關(guān)系,獲取所述應(yīng)用請(qǐng)求類型對(duì)應(yīng)的阻斷策略; 處理單元,用于采用所述阻斷策略對(duì)所述數(shù)據(jù)包進(jìn)行阻斷處理。
全文摘要
本發(fā)明提供一種接入控制方法及裝置,該方法包括接入控制裝置接收終端發(fā)送的數(shù)據(jù)包,所述接入控制裝置檢查所述數(shù)據(jù)包是否攜帶允許接入標(biāo)識(shí),其中,所述允許接入標(biāo)識(shí)是在所述終端上預(yù)存有用于接入的準(zhǔn)入策略時(shí),由所述終端通過(guò)網(wǎng)絡(luò)驅(qū)動(dòng)層根據(jù)所述準(zhǔn)入策略添加到所述數(shù)據(jù)包中,如果所述數(shù)據(jù)包攜帶有該允許接入標(biāo)識(shí),所述接入控制裝置允許所述數(shù)據(jù)包通過(guò),而如果數(shù)據(jù)包未攜帶允許接入標(biāo)識(shí),所述接入控制裝置對(duì)所述數(shù)據(jù)包進(jìn)行阻斷處理。本發(fā)明通過(guò)接入控制裝置來(lái)檢查數(shù)據(jù)包中是否攜帶允許接入標(biāo)識(shí),允許攜帶有該允許接入標(biāo)識(shí)的數(shù)據(jù)包通過(guò),對(duì)未攜帶該允許接入標(biāo)識(shí)的數(shù)據(jù)包進(jìn)行阻斷處理,防止非法終端的接入,降低企業(yè)內(nèi)網(wǎng)的安全隱患。
文檔編號(hào)H04L29/06GK103166960SQ20131006533
公開(kāi)日2013年6月19日 申請(qǐng)日期2013年3月1日 優(yōu)先權(quán)日2013年3月1日
發(fā)明者馬剛偉 申請(qǐng)人:北京神州綠盟信息安全科技股份有限公司, 北京神州綠盟科技有限公司