本申請涉及通信技術(shù)領(lǐng)域,尤其涉及一種接入控制方法和裝置。
背景技術(shù):
目前,通信設(shè)備通常具有多個(gè)接口,這些接口可以提供多重鏈路備份,從而提高通信設(shè)備的可靠性。但是,在將這些接口暴露給用戶的情況下,用戶可能會誤操作,將接口連接到一個(gè)非法設(shè)備,例如,用戶將通信設(shè)備的接口a連接到非法設(shè)備。基于此,非法設(shè)備就會通過接口a向通信設(shè)備發(fā)送大量非法報(bào)文或者攻擊報(bào)文,從而影響通信設(shè)備的處理性能,造成通信設(shè)備的安全隱患。
技術(shù)實(shí)現(xiàn)要素:
本申請?zhí)峁┮环N接入控制方法,應(yīng)用于本端設(shè)備,所述方法用于對與所述本端設(shè)備連接的對端設(shè)備進(jìn)行合法性檢測,所述方法包括:
在檢測到所述本端設(shè)備上的與所述對端設(shè)備連接的接口up時(shí),通過所述接口向所述對端設(shè)備發(fā)送認(rèn)證報(bào)文;
若未通過所述接口接收到所述對端設(shè)備返回的合法的認(rèn)證響應(yīng)報(bào)文,則確定所述對端設(shè)備為非法設(shè)備,并對所述接口進(jìn)行限制操作;
若通過所述接口接收到所述對端設(shè)備返回的合法的認(rèn)證響應(yīng)報(bào)文,則確定所述對端設(shè)備為合法設(shè)備,并對所述接口進(jìn)行準(zhǔn)入操作。
本申請?zhí)峁┮环N接入控制裝置,應(yīng)用于本端設(shè)備,所述裝置用于對與所述本端設(shè)備連接的對端設(shè)備進(jìn)行合法性檢測,所述裝置包括:
發(fā)送模塊,用于在檢測到所述本端設(shè)備上的與所述對端設(shè)備連接的接口up時(shí),通過所述接口向所述對端設(shè)備發(fā)送認(rèn)證報(bào)文;
處理模塊,用于當(dāng)未通過所述接口接收到所述對端設(shè)備返回的合法的認(rèn)證響應(yīng)報(bào)文時(shí),則確定所述對端設(shè)備為非法設(shè)備,并對所述接口進(jìn)行限制操作;
當(dāng)通過所述接口接收到所述對端設(shè)備返回的合法的認(rèn)證響應(yīng)報(bào)文時(shí),則確定所述對端設(shè)備為合法設(shè)備,并對所述接口進(jìn)行準(zhǔn)入操作。
基于上述技術(shù)方案,本申請實(shí)施例中,在與對端設(shè)備連接的接口up(正常)時(shí),本端設(shè)備可以主動檢測對端設(shè)備是否為非法設(shè)備,如果對端設(shè)備是非法設(shè)備,則對該接口進(jìn)行限制操作,這樣,可以對本端設(shè)備進(jìn)行保護(hù),防止非法設(shè)備接入到本端設(shè)備,提高本端設(shè)備的處理性能,保證本端設(shè)備的正常工作,避免攻擊者對本端設(shè)備的攻擊,提升本端設(shè)備的安全性,可靠性、穩(wěn)定性。
附圖說明
為了更加清楚地說明本申請實(shí)施例或者現(xiàn)有技術(shù)中的技術(shù)方案,下面將對本申請實(shí)施例或者現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本申請中記載的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,還可以根據(jù)本申請實(shí)施例的這些附圖獲得其它的附圖。
圖1是本申請一種實(shí)施方式中的接入控制方法的流程圖;
圖2是本申請一種實(shí)施方式中的應(yīng)用場景示意圖;
圖3是本申請一種實(shí)施方式中的本端設(shè)備的硬件結(jié)構(gòu)圖;
圖4是本申請一種實(shí)施方式中的接入控制裝置的結(jié)構(gòu)圖。
具體實(shí)施方式
在本申請使用的術(shù)語僅僅是出于描述特定實(shí)施例的目的,而非限制本申請。本申請和權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式,除非上下文清楚地表示其它含義。還應(yīng)當(dāng)理解,本文中使用的術(shù)語“和/或”是指包含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合。
應(yīng)當(dāng)理解,盡管在本申請可能采用術(shù)語第一、第二、第三等來描述各種信息,但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如,在不脫離本申請范圍的情況下,第一信息也可以被稱為第二信息,類似地,第二信息也可以被稱為第一信息。取決于語境,此外,所使用的詞語“如果”可以被解釋成為“在……時(shí)”或“當(dāng)……時(shí)”或“響應(yīng)于確定”。
本申請實(shí)施例提出一種接入控制方法,可以應(yīng)用于本端設(shè)備(如路由器、交換機(jī)等通信設(shè)備),且該方法用于對與本端設(shè)備連接的對端設(shè)備進(jìn)行合法性檢測,即本端設(shè)備與對端設(shè)備直接連接,而不是通過其它第三方設(shè)備進(jìn)行連接。參見圖1所示,為該接入控制方法的流程圖,該方法可以包括以下步驟:
步驟101,在檢測到本端設(shè)備上的與對端設(shè)備連接的接口up時(shí),通過該接口向?qū)Χ嗽O(shè)備發(fā)送認(rèn)證報(bào)文。例如,本端設(shè)備通過接口a與對端設(shè)備連接,則在檢測到接口a已經(jīng)up時(shí),通過接口a向?qū)Χ嗽O(shè)備發(fā)送認(rèn)證報(bào)文。
步驟102,判斷是否通過該接口接收到對端設(shè)備返回的認(rèn)證響應(yīng)報(bào)文(認(rèn)證報(bào)文的響應(yīng)報(bào)文)。若未通過該接口接收到對端設(shè)備返回的認(rèn)證響應(yīng)報(bào)文,執(zhí)行步驟105;若通過該接口接收到對端設(shè)備返回的認(rèn)證響應(yīng)報(bào)文,執(zhí)行步驟103。
其中,在通過該接口向?qū)Χ嗽O(shè)備發(fā)送認(rèn)證報(bào)文后,本端設(shè)備可以為該接口啟動一個(gè)定時(shí)器。若本端設(shè)備在定時(shí)器超時(shí)之前,通過該接口接收到對端設(shè)備返回的認(rèn)證響應(yīng)報(bào)文,則執(zhí)行步驟103。若本端設(shè)備在定時(shí)器超時(shí)時(shí),仍然未通過該接口接收到對端設(shè)備返回的認(rèn)證響應(yīng)報(bào)文,則執(zhí)行步驟105。
步驟103,判斷通過該接口接收到的認(rèn)證響應(yīng)報(bào)文是否合法。若該認(rèn)證響應(yīng)報(bào)文合法,則執(zhí)行步驟104;若該認(rèn)證響應(yīng)報(bào)文不合法,則執(zhí)行步驟105。
在一個(gè)例子中,針對本端設(shè)備通過該接口向?qū)Χ嗽O(shè)備發(fā)送的認(rèn)證報(bào)文,該認(rèn)證報(bào)文可以攜帶有本端設(shè)備生成的第一字符串,如本端設(shè)備隨機(jī)生成的字符串123456等。若對端設(shè)備為合法設(shè)備,則對端設(shè)備在接收到認(rèn)證報(bào)文后,可以利用預(yù)設(shè)算法對認(rèn)證報(bào)文中的第一字符串進(jìn)行加密,并將加密后的字符串?dāng)y帶在認(rèn)證響應(yīng)報(bào)文中,并將該認(rèn)證響應(yīng)報(bào)文返回給本端設(shè)備。若對端設(shè)備為非法設(shè)備,則對端設(shè)備無法獲知預(yù)設(shè)算法,也不知道需要利用預(yù)設(shè)算法對第一字符串進(jìn)行加密,因此,對端設(shè)備在接收到認(rèn)證報(bào)文后,不會返回認(rèn)證響應(yīng)報(bào)文,或者對端設(shè)備返回的認(rèn)證響應(yīng)報(bào)文中不會攜帶利用預(yù)設(shè)算法加密后的字符串。
基于上述原理,若本端設(shè)備未通過該接口接收到認(rèn)證響應(yīng)報(bào)文,可以確定對端設(shè)備為非法設(shè)備。若本端設(shè)備通過該接口接收到認(rèn)證響應(yīng)報(bào)文,可以從該認(rèn)證響應(yīng)報(bào)文中解析出第二字符串。為了區(qū)分方便,可以將認(rèn)證報(bào)文中攜帶的字符串稱為第一字符串,將認(rèn)證響應(yīng)報(bào)文中攜帶的字符串稱為第二字符串。之后,本端設(shè)備利用預(yù)設(shè)算法(與合法設(shè)備上配置的預(yù)設(shè)算法相同)對第二字符串進(jìn)行解密。若解密后的字符串與第一字符串匹配(如二者相同),則確定認(rèn)證響應(yīng)報(bào)文合法,此時(shí)的認(rèn)證響應(yīng)報(bào)文是合法設(shè)備返回的認(rèn)證響應(yīng)報(bào)文;若解密后的字符串與第一字符串不匹配(如二者不同),則確定認(rèn)證響應(yīng)報(bào)文不合法,此時(shí)的認(rèn)證響應(yīng)報(bào)文是非法設(shè)備返回的認(rèn)證響應(yīng)報(bào)文。
步驟104,確定對端設(shè)備為合法設(shè)備,并對該接口進(jìn)行準(zhǔn)入操作。
步驟105,確定對端設(shè)備為非法設(shè)備,并對該接口進(jìn)行限制操作。
在一個(gè)例子中,本端設(shè)備對接口進(jìn)行準(zhǔn)入操作可以是指:本端設(shè)備處理通過該接口接收到的報(bào)文。本端設(shè)備對接口進(jìn)行限制操作可以是指:本端設(shè)備丟棄通過該接口接收到的報(bào)文,即不處理通過該接口接收到的報(bào)文。
在一個(gè)例子中,在確定對端設(shè)備為非法設(shè)備或者合法設(shè)備之前,如步驟101之前,本端設(shè)備還可以為該接口使能第一acl(accesscontrollist,訪問控制列表)規(guī)則和第二acl規(guī)則。其中,第一acl規(guī)則用于指示本端設(shè)備丟棄接收到的報(bào)文,第二acl規(guī)則用于指示本端設(shè)備處理接收到的認(rèn)證響應(yīng)報(bào)文。而且,第二acl規(guī)則的優(yōu)先級高于第一acl規(guī)則的優(yōu)先級,即本端設(shè)備接收到同時(shí)匹配第一acl規(guī)則和第二acl規(guī)則的報(bào)文時(shí),按照第二acl規(guī)則處理。
綜上所述,本端設(shè)備通過該接口接收到的所有報(bào)文均可以匹配到第一acl規(guī)則,本端設(shè)備通過該接口接收到的認(rèn)證響應(yīng)報(bào)文可以匹配到第二acl規(guī)則。因此,本端設(shè)備通過該接口接收到認(rèn)證響應(yīng)報(bào)文時(shí),該認(rèn)證響應(yīng)報(bào)文可以同時(shí)匹配第一acl規(guī)則和第二acl規(guī)則,此時(shí)按照第二acl規(guī)則處理;本端設(shè)備通過該接口接收到認(rèn)證響應(yīng)報(bào)文之外的其它類型報(bào)文時(shí),該其它類型報(bào)文只匹配第一acl規(guī)則,未匹配第二acl規(guī)則,此時(shí)按照第一acl規(guī)則處理。
具體的,基于第一acl規(guī)則和第二acl規(guī)則,本端設(shè)備在通過該接口接收到第一類報(bào)文后,若第一類報(bào)文是認(rèn)證響應(yīng)報(bào)文,則第一類報(bào)文可以匹配第一acl規(guī)則和第二acl規(guī)則,但由于第二acl規(guī)則的優(yōu)先級高于第一acl規(guī)則的優(yōu)先級,因此,基于第二acl規(guī)則,本端設(shè)備需要處理第一類報(bào)文,即分析第一類報(bào)文是否為合法的認(rèn)證響應(yīng)報(bào)文,即執(zhí)行上述步驟103。若第一類報(bào)文不是認(rèn)證響應(yīng)報(bào)文,則第一類報(bào)文可以匹配第一acl規(guī)則,基于第一acl規(guī)則,本端設(shè)備直接丟棄第一類報(bào)文,不再對第一類報(bào)文進(jìn)行處理。
在一個(gè)例子中,針對“對該接口進(jìn)行限制操作”的過程,可以包括但不限于:去使能第二acl規(guī)則,但不去使能第一acl規(guī)則。由于未對第一acl規(guī)則進(jìn)行去使能,因此第一acl規(guī)則仍然生效,而由于第一acl規(guī)則用于指示本端設(shè)備丟棄接收到的報(bào)文,因此,基于第一acl規(guī)則,本端設(shè)備會丟棄通過該接口接收到的所有第二類報(bào)文,從而實(shí)現(xiàn)對該接口的限制操作。
針對“對該接口進(jìn)行準(zhǔn)入操作”的過程,可以包括但不限于:去使能第一acl規(guī)則。由于對第一acl規(guī)則進(jìn)行去使能,因此第一acl規(guī)則不再生效。本端設(shè)備在通過該接口接收到第二類報(bào)文時(shí),由于該第二類報(bào)文不會匹配到第一acl規(guī)則,因此也就不會基于第一acl規(guī)則丟棄第二類報(bào)文,此時(shí),本端設(shè)備可以采用傳統(tǒng)方式處理該第二類報(bào)文,例如,基于轉(zhuǎn)發(fā)表項(xiàng)發(fā)送該第二類報(bào)文,或者將第二類報(bào)文上送給cpu進(jìn)行處理等,對此處理方式不做限制。
在對該接口進(jìn)行準(zhǔn)入操作的過程中,本端設(shè)備還可以去使能第二acl規(guī)則,或者不對第二acl規(guī)則進(jìn)行去使能,對第二acl規(guī)則的處理方式不做限制。
第一類報(bào)文和第二類報(bào)文的區(qū)別在于:將確定出對端設(shè)備為合法設(shè)備/非法設(shè)備之前,通過該接口接收到的所有報(bào)文稱為第一類報(bào)文,將確定出對端設(shè)備為合法設(shè)備/非法設(shè)備之后,通過該接口接收到的所有報(bào)文稱為第二類報(bào)文。
在一個(gè)例子中,在確定對端設(shè)備為非法設(shè)備或者合法設(shè)備之前,如步驟101之前,本端設(shè)備還可以為該接口使能第一acl規(guī)則、第二acl規(guī)則和第三acl規(guī)則。第一acl規(guī)則用于指示本端設(shè)備丟棄接收到的報(bào)文,第二acl規(guī)則用于指示本端設(shè)備處理接收到的認(rèn)證響應(yīng)報(bào)文,第三acl規(guī)則用于指示本端設(shè)備處理接收到的廣播報(bào)文。第二acl規(guī)則的優(yōu)先級高于第一acl規(guī)則的優(yōu)先級,第三acl規(guī)則的優(yōu)先級高于第一acl規(guī)則的優(yōu)先級。因此,本端設(shè)備接收到匹配第一acl規(guī)則和第二acl規(guī)則的報(bào)文時(shí),按照第二acl規(guī)則處理;接收到匹配第一acl規(guī)則和第三acl規(guī)則的報(bào)文時(shí),按照第三acl規(guī)則處理。
綜上所述,本端設(shè)備通過該接口接收到的所有報(bào)文均可以匹配到第一acl規(guī)則,本端設(shè)備通過該接口接收到的認(rèn)證響應(yīng)報(bào)文可以匹配到第二acl規(guī)則,本端設(shè)備通過該接口接收到的廣播報(bào)文可以匹配到第三acl規(guī)則。因此,本端設(shè)備通過該接口接收到認(rèn)證響應(yīng)報(bào)文時(shí),該認(rèn)證響應(yīng)報(bào)文可以同時(shí)匹配第一acl規(guī)則和第二acl規(guī)則,此時(shí)按照第二acl規(guī)則處理;本端設(shè)備通過該接口接收到廣播報(bào)文時(shí),該廣播報(bào)文可以同時(shí)匹配第一acl規(guī)則和第三acl規(guī)則,此時(shí)按照第三acl規(guī)則處理;本端設(shè)備通過該接口接收到認(rèn)證響應(yīng)報(bào)文、廣播報(bào)文之外的其它類型報(bào)文時(shí),該其它類型報(bào)文只匹配第一acl規(guī)則,未匹配第二acl規(guī)則和第三acl規(guī)則,此時(shí)按照第一acl規(guī)則處理。
具體的,基于第一acl規(guī)則、第二acl規(guī)則和第三acl規(guī)則,本端設(shè)備在通過該接口接收到第一類報(bào)文后,若第一類報(bào)文是認(rèn)證響應(yīng)報(bào)文,基于第二acl規(guī)則,本端設(shè)備需要處理第一類報(bào)文,即分析第一類報(bào)文是否為合法的認(rèn)證響應(yīng)報(bào)文,即執(zhí)行步驟103。若第一類報(bào)文是廣播報(bào)文,基于第三acl規(guī)則,本端設(shè)備需要處理第一類報(bào)文,即利用第一類報(bào)文確定出對端設(shè)備為非法設(shè)備,并對該接口進(jìn)行限制操作。若第一類報(bào)文不是認(rèn)證響應(yīng)報(bào)文和廣播報(bào)文,基于第一acl規(guī)則,本端設(shè)備直接丟棄第一類報(bào)文,不再對第一類報(bào)文進(jìn)行處理。
在一個(gè)例子中,針對“對該接口進(jìn)行限制操作”的過程,可以包括但不限于:去使能第二acl規(guī)則和第三acl規(guī)則,但不去使能第一acl規(guī)則。由于未對第一acl規(guī)則進(jìn)行去使能,因此第一acl規(guī)則仍然生效,而由于第一acl規(guī)則用于指示本端設(shè)備丟棄接收到的報(bào)文,因此,基于第一acl規(guī)則,本端設(shè)備會丟棄通過該接口接收到的所有第二類報(bào)文,從而實(shí)現(xiàn)對該接口的限制操作。
針對“對該接口進(jìn)行準(zhǔn)入操作”的過程,可以包括但不限于:去使能第一acl規(guī)則。由于對第一acl規(guī)則進(jìn)行去使能,因此第一acl規(guī)則不再生效。本端設(shè)備在通過該接口接收到第二類報(bào)文時(shí),由于該第二類報(bào)文不會匹配到第一acl規(guī)則,因此也就不會基于第一acl規(guī)則丟棄第二類報(bào)文,此時(shí),本端設(shè)備可以采用傳統(tǒng)方式處理該第二類報(bào)文,例如,基于轉(zhuǎn)發(fā)表項(xiàng)發(fā)送該第二類報(bào)文,或者將第二類報(bào)文上送給cpu進(jìn)行處理等,對此處理方式不做限制。而且,在對該接口進(jìn)行準(zhǔn)入操作的過程中,本端設(shè)備還可以去使能第二acl規(guī)則和/或第三acl規(guī)則、或者不對第二acl規(guī)則和/或第三acl規(guī)則進(jìn)行去使能。
基于上述技術(shù)方案,本申請實(shí)施例中,在與對端設(shè)備連接的接口up(正常)時(shí),本端設(shè)備可以主動檢測對端設(shè)備是否為非法設(shè)備,如果對端設(shè)備是非法設(shè)備,則對該接口進(jìn)行限制操作,這樣,可以對本端設(shè)備進(jìn)行保護(hù),防止非法設(shè)備接入到本端設(shè)備,提高本端設(shè)備的處理性能,保證本端設(shè)備的正常工作,避免攻擊者對本端設(shè)備的攻擊,提升本端設(shè)備的安全性,可靠性、穩(wěn)定性。
以下結(jié)合圖2所示的應(yīng)用場景,對本申請實(shí)施例的上述方案進(jìn)行說明。如圖2所示,假設(shè)設(shè)備a為本端設(shè)備,設(shè)備b和設(shè)備c為對端設(shè)備,且設(shè)備b為合法設(shè)備,設(shè)備c為非法設(shè)備。在圖2中,設(shè)備a通過接口1與設(shè)備b連接,設(shè)備a通過接口2與設(shè)備c連接。在一個(gè)例子中,設(shè)備a、設(shè)備b和設(shè)備c可以為獨(dú)立的設(shè)備,也可以為同一個(gè)集群內(nèi)的設(shè)備。在為同一個(gè)集群內(nèi)的設(shè)備時(shí),設(shè)備a可以為ccu(controlconnectionunit,交換框控制連接單元),設(shè)備b和設(shè)備c可以為mpu(mainprocessingunit,主控處理單元)。
在一個(gè)例子中,設(shè)備a和設(shè)備b為合法設(shè)備,可以采用本申請技術(shù)方案進(jìn)行處理,而設(shè)備c為非法設(shè)備,不會采用本申請技術(shù)方案進(jìn)行處理。設(shè)備a可以驗(yàn)證其它設(shè)備(如設(shè)備b、設(shè)備c)的合法性,設(shè)備b也可以驗(yàn)證其它設(shè)備(如設(shè)備a)的合法性,后續(xù)以設(shè)備a驗(yàn)證其它設(shè)備的合法性為例進(jìn)行說明。
在一個(gè)例子中,設(shè)備a在啟動時(shí),可以為接口1使能acl規(guī)則11,acl規(guī)則12、acl規(guī)則13,并為接口2使能acl規(guī)則21,acl規(guī)則22、acl規(guī)則23。其中,acl規(guī)則11/acl規(guī)則21的匹配項(xiàng)為接口1/接口2,動作項(xiàng)為丟棄處理,因此,acl規(guī)則11/acl規(guī)則21用于指示設(shè)備a丟棄通過接口1/接口2接收到的所有報(bào)文。此外,acl規(guī)則12/acl規(guī)則22的匹配項(xiàng)為接口1/接口2、認(rèn)證響應(yīng)報(bào)文的類型(如aaa,用于表示報(bào)文為認(rèn)證響應(yīng)報(bào)文),動作項(xiàng)為上送cpu(centralprocessingunit,中央處理器)處理,因此,acl規(guī)則12/acl規(guī)則22用于指示設(shè)備a處理接收到的認(rèn)證響應(yīng)報(bào)文。此外,acl規(guī)則13/acl規(guī)則23的匹配項(xiàng)為接口1/接口2、目的mac(mediaaccesscontrol,媒體訪問控制)地址為全f(用于表示報(bào)文為廣播報(bào)文),動作項(xiàng)為上送cpu處理,因此,acl規(guī)則13/acl規(guī)則23用于指示設(shè)備a處理接收到的廣播報(bào)文。
若采用最長匹配優(yōu)先策略,而acl規(guī)則12/acl規(guī)則22、acl規(guī)則13/acl規(guī)則23的匹配項(xiàng)數(shù)量為2,acl規(guī)則11/acl規(guī)則21的匹配項(xiàng)數(shù)量為1,因此,acl規(guī)則12/acl規(guī)則22的優(yōu)先級高于acl規(guī)則11/acl規(guī)則21的優(yōu)先級,即接收到匹配acl規(guī)則12/acl規(guī)則22、acl規(guī)則11/acl規(guī)則21的報(bào)文時(shí),按照acl規(guī)則12/acl規(guī)則22處理。acl規(guī)則13/acl規(guī)則23的優(yōu)先級高于acl規(guī)則11/acl規(guī)則21的優(yōu)先級,即接收到匹配acl規(guī)則13/acl規(guī)則23、acl規(guī)則11/acl規(guī)則21的報(bào)文時(shí),按照acl規(guī)則13/acl規(guī)則23處理。
在一個(gè)例子中,設(shè)備b在啟動時(shí),為接口3使能acl規(guī)則3,acl規(guī)則3的匹配項(xiàng)為接口3、認(rèn)證報(bào)文類型(如bbb,用于表示報(bào)文為認(rèn)證報(bào)文),動作項(xiàng)為上送cpu處理,因此acl規(guī)則3用于指示設(shè)備b處理收到的認(rèn)證報(bào)文。
基于上述應(yīng)用場景,本申請實(shí)施例提出的接入控制方法可以包括以下步驟:
步驟1、設(shè)備a檢測到接口1為up時(shí),通過接口1向設(shè)備b發(fā)送認(rèn)證報(bào)文。
在一個(gè)例子中,設(shè)備a可以檢測接口1的狀態(tài),而接口1的狀態(tài)可以包括up或者down(故障)。當(dāng)設(shè)備a檢測到接口1的狀態(tài)從down切換到up時(shí),就可以構(gòu)造認(rèn)證報(bào)文,并可以通過接口1向設(shè)備b發(fā)送構(gòu)造的認(rèn)證報(bào)文。
在一個(gè)例子中,該認(rèn)證報(bào)文可以包括但不限于如下字段之一或者任意組合:version(版本)字段、type(類型)字段、datalength(數(shù)據(jù)長度)字段、typemap(類型圖)字段、boardtype(設(shè)備類型)字段、authtext(字符串)字段。
其中,type字段用于表示當(dāng)前報(bào)文為認(rèn)證報(bào)文,如bbb等,typemap字段可以為1,boardtype字段可以為設(shè)備a的類型,authtext字段為設(shè)備a隨機(jī)生成的字符串,為了區(qū)分方便,將authtext字段的字符串稱為第一字符串。當(dāng)然,上述數(shù)值只是一個(gè)示例,實(shí)際應(yīng)用中還可以為其它數(shù)值,如typemap字段為2等,對此不做限制,而且,version、datalength等字段,在此不做限制。
步驟2、設(shè)備b在接收到認(rèn)證報(bào)文后,由于入接口為接口3,type字段表示當(dāng)前報(bào)文為認(rèn)證報(bào)文,因此匹配到acl規(guī)則3,設(shè)備b需要處理認(rèn)證報(bào)文。
步驟3、設(shè)備b利用預(yù)設(shè)算法(如預(yù)設(shè)算法a)對該認(rèn)證報(bào)文中的第一字符串(即authtext字段承載的字符串)進(jìn)行加密處理,得到第二字符串。
步驟4、設(shè)備b生成認(rèn)證響應(yīng)報(bào)文,該認(rèn)證響應(yīng)報(bào)文攜帶第二字符串,并通過接口3將該認(rèn)證響應(yīng)報(bào)文發(fā)送給設(shè)備a。
在一個(gè)例子中,認(rèn)證響應(yīng)報(bào)文可以包括但不限于如下字段之一或任意組合:version字段、type字段、datalength字段、typemap字段、boardtype字段、authtext字段。其中,type字段用于表示當(dāng)前報(bào)文為認(rèn)證響應(yīng)報(bào)文,如aaa等,typemap字段可以為2,boardtype字段可以為設(shè)備b的類型,authtext字段為第二字符串。當(dāng)然,上述數(shù)值只是一個(gè)示例,實(shí)際應(yīng)用中還可以為其它數(shù)值,對此不做限制,而且,version、datalength等字段,在此不做限制。
步驟5、設(shè)備a在收到認(rèn)證響應(yīng)報(bào)文后,由于入接口為接口1,type字段表示認(rèn)證響應(yīng)報(bào)文,因此匹配到acl規(guī)則12,設(shè)備a需要處理認(rèn)證響應(yīng)報(bào)文。
步驟6、設(shè)備a從認(rèn)證響應(yīng)報(bào)文中解析出第二字符串(即authtext字段承載的字符串),并利用預(yù)設(shè)算法(如預(yù)設(shè)算法a)對第二字符串進(jìn)行解密。
在一個(gè)例子中,可以在設(shè)備a和設(shè)備b上配置相同的預(yù)設(shè)算法,如預(yù)設(shè)算法a,只是設(shè)備b會利用該預(yù)設(shè)算法進(jìn)行加密處理,而設(shè)備a會利用該預(yù)設(shè)算法進(jìn)行解密處理。其中,該預(yù)設(shè)算法可以包括但不限于hash算法、md5算法、反碼序算法(用于將字符串的順序顛倒)等,對此預(yù)設(shè)算法的類型不做限制。
步驟7、若解密后的字符串與第一字符串匹配,則設(shè)備a確定認(rèn)證響應(yīng)報(bào)文合法,并確定設(shè)備b為合法設(shè)備,并對接口1進(jìn)行準(zhǔn)入操作。在一個(gè)例子中,設(shè)備a對接口1進(jìn)行準(zhǔn)入操作是指:設(shè)備a處理通過接口1接收到的報(bào)文。
在一個(gè)例子中,設(shè)備a對接口1進(jìn)行準(zhǔn)入操作的過程,可以包括:去使能acl規(guī)則11,由于對acl規(guī)則11進(jìn)行去使能,因此acl規(guī)則11不再生效,設(shè)備a不會基于acl規(guī)則11丟棄通過接口1接收到的報(bào)文,這樣就可以處理通過接口1接收到的報(bào)文(所有類型的報(bào)文),具體的處理方式可以為傳統(tǒng)方式,在此不再詳加贅述。而且,設(shè)備a還可以去使能acl規(guī)則12和acl規(guī)則13,或者不對acl規(guī)則12和acl規(guī)則13進(jìn)行去使能。
在一個(gè)例子中,在設(shè)備a確定設(shè)備b為合法設(shè)備,并對接口1進(jìn)行準(zhǔn)入操作之前,若設(shè)備a通過接口1接收到廣播報(bào)文,由于廣播報(bào)文可以匹配到acl規(guī)則13,因此設(shè)備a需要處理廣播報(bào)文,即根據(jù)廣播報(bào)文直接確定出設(shè)備b為非法設(shè)備,并對接口1進(jìn)行限制操作。此外,在設(shè)備a確定設(shè)備b為合法設(shè)備,并對接口1進(jìn)行準(zhǔn)入操作之后,若設(shè)備a通過接口1接收到廣播報(bào)文,由于設(shè)備a可以處理通過接口1接收到的所有報(bào)文,因此設(shè)備a需要處理廣播報(bào)文,即根據(jù)廣播報(bào)文直接確定出設(shè)備b為非法設(shè)備,并對接口1進(jìn)行限制操作。
其中,設(shè)備a對接口1進(jìn)行限制操作的過程,可以包括:設(shè)備a使能acl規(guī)則11,并去使能acl規(guī)則12和acl規(guī)則13,由于acl規(guī)則11生效,因此,設(shè)備a可以基于acl規(guī)則11丟棄通過接口1接收到的所有報(bào)文。
在一個(gè)例子中,在設(shè)備a確定設(shè)備b為合法設(shè)備,并對接口1進(jìn)行準(zhǔn)入操作之前,若設(shè)備a通過接口1接收到廣播報(bào)文、認(rèn)證響應(yīng)報(bào)文之外的其它類型報(bào)文,由于該報(bào)文只能匹配到acl規(guī)則11,因此設(shè)備a直接丟棄該報(bào)文。
步驟8、設(shè)備a檢測到接口2為up時(shí),通過接口2向設(shè)備c發(fā)送認(rèn)證報(bào)文。
其中,步驟8的處理過程可以參見步驟1的處理,在此不再重復(fù)贅述。
步驟9、設(shè)備c在接收到認(rèn)證報(bào)文后,不會向設(shè)備a發(fā)送認(rèn)證響應(yīng)報(bào)文,或者設(shè)備c發(fā)送的認(rèn)證響應(yīng)報(bào)文中不會攜帶利用預(yù)設(shè)算法加密后的字符串。
步驟10、設(shè)備a判斷是否通過接口2接收到認(rèn)證響應(yīng)報(bào)文。若接收到認(rèn)證響應(yīng)報(bào)文,則執(zhí)行步驟11。若未接收到認(rèn)證響應(yīng)報(bào)文,則執(zhí)行步驟13。
步驟11、設(shè)備a判斷接收到的認(rèn)證響應(yīng)報(bào)文是否合法。若接收到的認(rèn)證響應(yīng)報(bào)文合法,則執(zhí)行步驟12;若接收到的認(rèn)證響應(yīng)報(bào)文不合法,則執(zhí)行步驟13。
步驟12、設(shè)備a確定設(shè)備c為合法設(shè)備,并對接口2進(jìn)行準(zhǔn)入操作。
步驟13、設(shè)備a確定設(shè)備c為非法設(shè)備,并對接口2進(jìn)行限制操作。
在一個(gè)例子中,由于設(shè)備c不會向設(shè)備a發(fā)送認(rèn)證響應(yīng)報(bào)文,或者設(shè)備c發(fā)送的認(rèn)證響應(yīng)報(bào)文中不會攜帶利用預(yù)設(shè)算法加密后的字符串,因此,設(shè)備a不會通過接口2接收到認(rèn)證響應(yīng)報(bào)文,或者,設(shè)備a接收到的認(rèn)證響應(yīng)報(bào)文不合法,因此,設(shè)備a確定設(shè)備c為非法設(shè)備,并對接口2進(jìn)行限制操作。其中,設(shè)備a對接口2進(jìn)行限制操作是指:設(shè)備a丟棄通過接口2接收到的報(bào)文。
在一個(gè)例子中,設(shè)備a在通過接口1/接口2發(fā)送認(rèn)證報(bào)文之后,還可以為接口1/接口2啟動定時(shí)器;若在定時(shí)器超時(shí)之前,通過接口1/接口2接收到認(rèn)證響應(yīng)報(bào)文,就表示接收到認(rèn)證響應(yīng)報(bào)文;若在定時(shí)器超時(shí)時(shí),仍然未通過接口1/接口2接收到認(rèn)證響應(yīng)報(bào)文,就表示沒有接收到認(rèn)證響應(yīng)報(bào)文。
進(jìn)一步的,還可以設(shè)置發(fā)包周期和發(fā)包次數(shù),并按照該發(fā)包周期連續(xù)發(fā)送該發(fā)包次數(shù)個(gè)認(rèn)證報(bào)文。若在定時(shí)器超時(shí)之前,通過接口1/接口2接收到認(rèn)證響應(yīng)報(bào)文,就表示接收到認(rèn)證響應(yīng)報(bào)文;若在定時(shí)器超時(shí)時(shí),仍然未通過接口1/接口2接收到認(rèn)證響應(yīng)報(bào)文,就表示沒有接收到認(rèn)證響應(yīng)報(bào)文。
在一個(gè)例子中,設(shè)備a對接口2進(jìn)行限制操作的過程,可以包括:設(shè)備a使能acl規(guī)則21,并去使能acl規(guī)則22和acl規(guī)則23,由于acl規(guī)則21生效,因此,設(shè)備a可以基于acl規(guī)則21丟棄通過接口2接收到的所有報(bào)文。
在一個(gè)例子中,設(shè)備a在確定設(shè)備c為非法設(shè)備時(shí),還可以打印日志信息(即設(shè)備c為非法設(shè)備的日志),以提示管理員設(shè)備c為非法設(shè)備。
在一個(gè)例子中,在設(shè)備a確定設(shè)備c為非法設(shè)備,并對接口2進(jìn)行限制操作之前,若設(shè)備a通過接口2接收到廣播報(bào)文,由于廣播報(bào)文可以匹配到acl規(guī)則23,因此設(shè)備a處理廣播報(bào)文,即根據(jù)廣播報(bào)文確定設(shè)備c為非法設(shè)備,并對接口2進(jìn)行限制操作。若設(shè)備a通過接口2接收到廣播報(bào)文、認(rèn)證響應(yīng)報(bào)文之外的其它類型報(bào)文,由于報(bào)文匹配到acl規(guī)則21,因此設(shè)備a丟棄報(bào)文。
在一個(gè)例子中,當(dāng)設(shè)備a檢測到接口1/接口2的狀態(tài)從up切換到down時(shí),則設(shè)備a可以恢復(fù)接口1/接口2的初始化狀態(tài),即:設(shè)備a不會對接口1/接口2進(jìn)行準(zhǔn)入操作和限制操作,而且,為接口1/接口2使能acl規(guī)則11/acl規(guī)則21,acl規(guī)則12/acl規(guī)則22、acl規(guī)則13/acl規(guī)則23。
當(dāng)然,在實(shí)際應(yīng)用中,當(dāng)設(shè)備a檢測到接口1/接口2的狀態(tài)從up切換到down時(shí),也可以不為接口1/接口2使能acl規(guī)則11/acl規(guī)則21,acl規(guī)則12/acl規(guī)則22、acl規(guī)則13/acl規(guī)則23,而是當(dāng)檢測到接口1/接口2的狀態(tài)從down重新切換到up時(shí),才為接口1/接口2使能acl規(guī)則11/acl規(guī)則21,acl規(guī)則12/acl規(guī)則22、acl規(guī)則13/acl規(guī)則23。
基于與上述方法同樣的申請構(gòu)思,本申請實(shí)施例中還提供了一種接入控制裝置,該接入控制裝置可以應(yīng)用在本端設(shè)備。其中,該接入控制裝置可以通過軟件實(shí)現(xiàn),也可以通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例,作為一個(gè)邏輯意義上的裝置,是通過其所在的本端設(shè)備的處理器,讀取非易失性存儲器中對應(yīng)的計(jì)算機(jī)程序指令形成的。從硬件層面而言,如圖3所示,為本申請?zhí)岢龅慕尤肟刂蒲b置所在的本端設(shè)備的一種硬件結(jié)構(gòu)圖,除了圖3所示的處理器、非易失性存儲器外,本端設(shè)備還可以包括其它硬件,如負(fù)責(zé)處理報(bào)文的轉(zhuǎn)發(fā)芯片、網(wǎng)絡(luò)接口、內(nèi)存等;從硬件結(jié)構(gòu)上來講,該本端設(shè)備還可能是分布式設(shè)備,可能包括多個(gè)接口卡,以便在硬件層面進(jìn)行報(bào)文處理的擴(kuò)展。
如圖4所示,為本申請?zhí)岢龅慕尤肟刂蒲b置的結(jié)構(gòu)圖,所述裝置用于對與所述本端設(shè)備連接的對端設(shè)備進(jìn)行合法性檢測,所述裝置包括:
發(fā)送模塊11,用于在檢測到所述本端設(shè)備上的與所述對端設(shè)備連接的接口up時(shí),通過所述接口向所述對端設(shè)備發(fā)送認(rèn)證報(bào)文;
處理模塊12,用于當(dāng)未通過所述接口接收到所述對端設(shè)備返回的合法的認(rèn)證響應(yīng)報(bào)文時(shí),則確定所述對端設(shè)備為非法設(shè)備,并對所述接口進(jìn)行限制操作;
當(dāng)通過所述接口接收到所述對端設(shè)備返回的合法的認(rèn)證響應(yīng)報(bào)文時(shí),則確定所述對端設(shè)備為合法設(shè)備,并對所述接口進(jìn)行準(zhǔn)入操作。
在一個(gè)例子中,所述接入控制裝置還包括(在圖中未體現(xiàn)):配置模塊,用于在所述處理模塊12確定對端設(shè)備為非法設(shè)備或者合法設(shè)備之前,為所述接口使能第一訪問控制列表acl規(guī)則和第二acl規(guī)則;其中,所述第二acl規(guī)則的優(yōu)先級高于所述第一acl規(guī)則的優(yōu)先級,所述第一acl規(guī)則用于指示丟棄接收到的報(bào)文,所述第二acl規(guī)則用于指示處理接收到的認(rèn)證響應(yīng)報(bào)文;
所述處理模塊12,還用于在通過所述接口接收到第一類報(bào)文后,若所述第一類報(bào)文是認(rèn)證響應(yīng)報(bào)文,則基于所述第二acl規(guī)則,分析所述第一類報(bào)文是否為合法的認(rèn)證響應(yīng)報(bào)文;若所述第一類報(bào)文不是認(rèn)證響應(yīng)報(bào)文,則基于所述第一acl規(guī)則,丟棄所述第一類報(bào)文。
在一個(gè)例子中,所述處理模塊12,具體用于:在對所述接口進(jìn)行限制操作的過程中,去使能所述第二acl規(guī)則,基于所述第一acl規(guī)則,丟棄通過所述接口接收到的第二類報(bào)文;在對所述接口進(jìn)行準(zhǔn)入操作的過程中,去使能所述第一acl規(guī)則,以處理通過所述接口接收到的第二類報(bào)文。
在一個(gè)例子中,所述配置模塊,還用于在所述處理模塊12確定所述對端設(shè)備為非法設(shè)備或者合法設(shè)備之前,為所述接口使能第三acl規(guī)則;其中,所述第三acl規(guī)則的優(yōu)先級高于所述第一acl規(guī)則的優(yōu)先級,所述第三acl規(guī)則用于指示處理接收到的廣播報(bào)文;
在一個(gè)例子中,所述處理模塊12,還用于在通過所述接口接收到第一類報(bào)文后,若所述第一類報(bào)文是廣播報(bào)文,基于所述第三acl規(guī)則,利用所述第一類報(bào)文確定所述對端設(shè)備為非法設(shè)備;
在一個(gè)例子中,所述處理模塊12,具體用于:在對所述接口進(jìn)行限制操作的過程中,去使能所述第二acl規(guī)則以及所述第三acl規(guī)則,并基于所述第一acl規(guī)則,丟棄通過所述接口接收到的第二類報(bào)文。
在一個(gè)例子中,所述發(fā)送模塊11通過所述接口向所述對端設(shè)備發(fā)送的認(rèn)證報(bào)文還攜帶有所述本端設(shè)備生成的第一字符串;若所述對端設(shè)備為合法設(shè)備,則利用預(yù)設(shè)算法對所述第一字符串進(jìn)行加密,并將加密后的字符串?dāng)y帶在認(rèn)證響應(yīng)報(bào)文中返回給本端設(shè)備;
所述處理模塊12,還用于在接收到認(rèn)證響應(yīng)報(bào)文后,從所述認(rèn)證響應(yīng)報(bào)文中解析出第二字符串;利用預(yù)設(shè)算法對所述第二字符串進(jìn)行解密,若解密后的字符串與所述第一字符串匹配,則確定所述認(rèn)證響應(yīng)報(bào)文合法;若解密后的字符串與所述第一字符串不匹配,則確定所述認(rèn)證響應(yīng)報(bào)文不合法。
上述實(shí)施例闡明的系統(tǒng)、裝置、模塊或單元,具體可以由計(jì)算機(jī)芯片或?qū)嶓w實(shí)現(xiàn),或者由具有某種功能的產(chǎn)品來實(shí)現(xiàn)。一種典型的實(shí)現(xiàn)設(shè)備為計(jì)算機(jī),計(jì)算機(jī)的具體形式可以是個(gè)人計(jì)算機(jī)、膝上型計(jì)算機(jī)、蜂窩電話、相機(jī)電話、智能電話、個(gè)人數(shù)字助理、媒體播放器、導(dǎo)航設(shè)備、電子郵件收發(fā)設(shè)備、游戲控制臺、平板計(jì)算機(jī)、可穿戴設(shè)備或者這些設(shè)備中的任意幾種設(shè)備的組合。
為了描述的方便,描述以上裝置時(shí)以功能分為各種單元分別描述。當(dāng)然,在實(shí)施本申請時(shí)可以把各單元的功能在同一個(gè)或多個(gè)軟件和/或硬件中實(shí)現(xiàn)。
本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白,本申請的實(shí)施例可提供為方法、系統(tǒng)、或計(jì)算機(jī)程序產(chǎn)品。因此,本申請可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且,本申請實(shí)施例可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲介質(zhì)(包括但不限于磁盤存儲器、cd-rom、光學(xué)存儲器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。
本申請是參照根據(jù)本申請實(shí)施例的方法、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可以由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合??商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其它可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器,使得通過計(jì)算機(jī)或其它可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。
而且,這些計(jì)算機(jī)程序指令也可以存儲在能引導(dǎo)計(jì)算機(jī)或其它可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲器中,使得存儲在該計(jì)算機(jī)可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或者多個(gè)流程和/或方框圖一個(gè)方框或者多個(gè)方框中指定的功能。
這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其它可編程數(shù)據(jù)處理設(shè)備上,使得在計(jì)算機(jī)或者其它可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理,從而在計(jì)算機(jī)或其它可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。
本領(lǐng)域技術(shù)人員應(yīng)明白,本申請的實(shí)施例可提供為方法、系統(tǒng)或計(jì)算機(jī)程序產(chǎn)品。因此,本申請可以采用完全硬件實(shí)施例、完全軟件實(shí)施例、或者結(jié)合軟件和硬件方面的實(shí)施例的形式。而且,本申請可以采用在一個(gè)或者多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲介質(zhì)(可以包括但不限于磁盤存儲器、cd-rom、光學(xué)存儲器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。
以上所述僅為本申請的實(shí)施例而已,并不用于限制本申請。對于本領(lǐng)域技術(shù)人員來說,本申請可以有各種更改和變化。凡在本申請的精神和原理之內(nèi)所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本申請的權(quán)利要求范圍之內(nèi)。