一種接入控制方法和裝置與流程

文檔序號：11628690閱讀：190來源：國知局

本申請涉及通信技術領域，尤其涉及一種接入控制方法和裝置。

背景技術：

目前，通信設備通常具有多個接口，這些接口可以提供多重鏈路備份，從而提高通信設備的可靠性。但是，在將這些接口暴露給用戶的情況下，用戶可能會誤操作，將接口連接到一個非法設備，例如，用戶將通信設備的接口a連接到非法設備?；诖耍欠ㄔO備就會通過接口a向通信設備發(fā)送大量非法報文或者攻擊報文，從而影響通信設備的處理性能，造成通信設備的安全隱患。

技術實現(xiàn)要素：

本申請?zhí)峁┮环N接入控制方法，應用于本端設備，所述方法用于對與所述本端設備連接的對端設備進行合法性檢測，所述方法包括：

在檢測到所述本端設備上的與所述對端設備連接的接口up時，通過所述接口向所述對端設備發(fā)送認證報文；

若未通過所述接口接收到所述對端設備返回的合法的認證響應報文，則確定所述對端設備為非法設備，并對所述接口進行限制操作；

若通過所述接口接收到所述對端設備返回的合法的認證響應報文，則確定所述對端設備為合法設備，并對所述接口進行準入操作。

本申請?zhí)峁┮环N接入控制裝置，應用于本端設備，所述裝置用于對與所述本端設備連接的對端設備進行合法性檢測，所述裝置包括：

發(fā)送模塊，用于在檢測到所述本端設備上的與所述對端設備連接的接口up時，通過所述接口向所述對端設備發(fā)送認證報文；

處理模塊，用于當未通過所述接口接收到所述對端設備返回的合法的認證響應報文時，則確定所述對端設備為非法設備，并對所述接口進行限制操作；

當通過所述接口接收到所述對端設備返回的合法的認證響應報文時，則確定所述對端設備為合法設備，并對所述接口進行準入操作。

基于上述技術方案，本申請實施例中，在與對端設備連接的接口up(正常)時，本端設備可以主動檢測對端設備是否為非法設備，如果對端設備是非法設備，則對該接口進行限制操作，這樣，可以對本端設備進行保護，防止非法設備接入到本端設備，提高本端設備的處理性能，保證本端設備的正常工作，避免攻擊者對本端設備的攻擊，提升本端設備的安全性，可靠性、穩(wěn)定性。

附圖說明

為了更加清楚地說明本申請實施例或者現(xiàn)有技術中的技術方案，下面將對本申請實施例或者現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本申請中記載的一些實施例，對于本領域普通技術人員來講，還可以根據(jù)本申請實施例的這些附圖獲得其它的附圖。

圖1是本申請一種實施方式中的接入控制方法的流程圖；

圖2是本申請一種實施方式中的應用場景示意圖；

圖3是本申請一種實施方式中的本端設備的硬件結構圖；

圖4是本申請一種實施方式中的接入控制裝置的結構圖。

具體實施方式

在本申請使用的術語僅僅是出于描述特定實施例的目的，而非限制本申請。本申請和權利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其它含義。還應當理解，本文中使用的術語“和/或”是指包含一個或多個相關聯(lián)的列出項目的任何或所有可能組合。

應當理解，盡管在本申請可能采用術語第一、第二、第三等來描述各種信息，但這些信息不應限于這些術語。這些術語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本申請范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，此外，所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“響應于確定”。

本申請實施例提出一種接入控制方法，可以應用于本端設備(如路由器、交換機等通信設備)，且該方法用于對與本端設備連接的對端設備進行合法性檢測，即本端設備與對端設備直接連接，而不是通過其它第三方設備進行連接。參見圖1所示，為該接入控制方法的流程圖，該方法可以包括以下步驟：

步驟101，在檢測到本端設備上的與對端設備連接的接口up時，通過該接口向?qū)Χ嗽O備發(fā)送認證報文。例如，本端設備通過接口a與對端設備連接，則在檢測到接口a已經(jīng)up時，通過接口a向?qū)Χ嗽O備發(fā)送認證報文。

步驟102，判斷是否通過該接口接收到對端設備返回的認證響應報文(認證報文的響應報文)。若未通過該接口接收到對端設備返回的認證響應報文，執(zhí)行步驟105；若通過該接口接收到對端設備返回的認證響應報文，執(zhí)行步驟103。

其中，在通過該接口向?qū)Χ嗽O備發(fā)送認證報文后，本端設備可以為該接口啟動一個定時器。若本端設備在定時器超時之前，通過該接口接收到對端設備返回的認證響應報文，則執(zhí)行步驟103。若本端設備在定時器超時時，仍然未通過該接口接收到對端設備返回的認證響應報文，則執(zhí)行步驟105。

步驟103，判斷通過該接口接收到的認證響應報文是否合法。若該認證響應報文合法，則執(zhí)行步驟104；若該認證響應報文不合法，則執(zhí)行步驟105。

在一個例子中，針對本端設備通過該接口向?qū)Χ嗽O備發(fā)送的認證報文，該認證報文可以攜帶有本端設備生成的第一字符串，如本端設備隨機生成的字符串123456等。若對端設備為合法設備，則對端設備在接收到認證報文后，可以利用預設算法對認證報文中的第一字符串進行加密，并將加密后的字符串攜帶在認證響應報文中，并將該認證響應報文返回給本端設備。若對端設備為非法設備，則對端設備無法獲知預設算法，也不知道需要利用預設算法對第一字符串進行加密，因此，對端設備在接收到認證報文后，不會返回認證響應報文，或者對端設備返回的認證響應報文中不會攜帶利用預設算法加密后的字符串。

基于上述原理，若本端設備未通過該接口接收到認證響應報文，可以確定對端設備為非法設備。若本端設備通過該接口接收到認證響應報文，可以從該認證響應報文中解析出第二字符串。為了區(qū)分方便，可以將認證報文中攜帶的字符串稱為第一字符串，將認證響應報文中攜帶的字符串稱為第二字符串。之后，本端設備利用預設算法(與合法設備上配置的預設算法相同)對第二字符串進行解密。若解密后的字符串與第一字符串匹配(如二者相同)，則確定認證響應報文合法，此時的認證響應報文是合法設備返回的認證響應報文；若解密后的字符串與第一字符串不匹配(如二者不同)，則確定認證響應報文不合法，此時的認證響應報文是非法設備返回的認證響應報文。

步驟104，確定對端設備為合法設備，并對該接口進行準入操作。

步驟105，確定對端設備為非法設備，并對該接口進行限制操作。

在一個例子中，本端設備對接口進行準入操作可以是指：本端設備處理通過該接口接收到的報文。本端設備對接口進行限制操作可以是指：本端設備丟棄通過該接口接收到的報文，即不處理通過該接口接收到的報文。

在一個例子中，在確定對端設備為非法設備或者合法設備之前，如步驟101之前，本端設備還可以為該接口使能第一acl(accesscontrollist，訪問控制列表)規(guī)則和第二acl規(guī)則。其中，第一acl規(guī)則用于指示本端設備丟棄接收到的報文，第二acl規(guī)則用于指示本端設備處理接收到的認證響應報文。而且，第二acl規(guī)則的優(yōu)先級高于第一acl規(guī)則的優(yōu)先級，即本端設備接收到同時匹配第一acl規(guī)則和第二acl規(guī)則的報文時，按照第二acl規(guī)則處理。

綜上所述，本端設備通過該接口接收到的所有報文均可以匹配到第一acl規(guī)則，本端設備通過該接口接收到的認證響應報文可以匹配到第二acl規(guī)則。因此，本端設備通過該接口接收到認證響應報文時，該認證響應報文可以同時匹配第一acl規(guī)則和第二acl規(guī)則，此時按照第二acl規(guī)則處理；本端設備通過該接口接收到認證響應報文之外的其它類型報文時，該其它類型報文只匹配第一acl規(guī)則，未匹配第二acl規(guī)則，此時按照第一acl規(guī)則處理。

具體的，基于第一acl規(guī)則和第二acl規(guī)則，本端設備在通過該接口接收到第一類報文后，若第一類報文是認證響應報文，則第一類報文可以匹配第一acl規(guī)則和第二acl規(guī)則，但由于第二acl規(guī)則的優(yōu)先級高于第一acl規(guī)則的優(yōu)先級，因此，基于第二acl規(guī)則，本端設備需要處理第一類報文，即分析第一類報文是否為合法的認證響應報文，即執(zhí)行上述步驟103。若第一類報文不是認證響應報文，則第一類報文可以匹配第一acl規(guī)則，基于第一acl規(guī)則，本端設備直接丟棄第一類報文，不再對第一類報文進行處理。

在一個例子中，針對“對該接口進行限制操作”的過程，可以包括但不限于：去使能第二acl規(guī)則，但不去使能第一acl規(guī)則。由于未對第一acl規(guī)則進行去使能，因此第一acl規(guī)則仍然生效，而由于第一acl規(guī)則用于指示本端設備丟棄接收到的報文，因此，基于第一acl規(guī)則，本端設備會丟棄通過該接口接收到的所有第二類報文，從而實現(xiàn)對該接口的限制操作。

針對“對該接口進行準入操作”的過程，可以包括但不限于：去使能第一acl規(guī)則。由于對第一acl規(guī)則進行去使能，因此第一acl規(guī)則不再生效。本端設備在通過該接口接收到第二類報文時，由于該第二類報文不會匹配到第一acl規(guī)則，因此也就不會基于第一acl規(guī)則丟棄第二類報文，此時，本端設備可以采用傳統(tǒng)方式處理該第二類報文，例如，基于轉發(fā)表項發(fā)送該第二類報文，或者將第二類報文上送給cpu進行處理等，對此處理方式不做限制。

在對該接口進行準入操作的過程中，本端設備還可以去使能第二acl規(guī)則，或者不對第二acl規(guī)則進行去使能，對第二acl規(guī)則的處理方式不做限制。

第一類報文和第二類報文的區(qū)別在于：將確定出對端設備為合法設備/非法設備之前，通過該接口接收到的所有報文稱為第一類報文，將確定出對端設備為合法設備/非法設備之后，通過該接口接收到的所有報文稱為第二類報文。

在一個例子中，在確定對端設備為非法設備或者合法設備之前，如步驟101之前，本端設備還可以為該接口使能第一acl規(guī)則、第二acl規(guī)則和第三acl規(guī)則。第一acl規(guī)則用于指示本端設備丟棄接收到的報文，第二acl規(guī)則用于指示本端設備處理接收到的認證響應報文，第三acl規(guī)則用于指示本端設備處理接收到的廣播報文。第二acl規(guī)則的優(yōu)先級高于第一acl規(guī)則的優(yōu)先級，第三acl規(guī)則的優(yōu)先級高于第一acl規(guī)則的優(yōu)先級。因此，本端設備接收到匹配第一acl規(guī)則和第二acl規(guī)則的報文時，按照第二acl規(guī)則處理；接收到匹配第一acl規(guī)則和第三acl規(guī)則的報文時，按照第三acl規(guī)則處理。

綜上所述，本端設備通過該接口接收到的所有報文均可以匹配到第一acl規(guī)則，本端設備通過該接口接收到的認證響應報文可以匹配到第二acl規(guī)則，本端設備通過該接口接收到的廣播報文可以匹配到第三acl規(guī)則。因此，本端設備通過該接口接收到認證響應報文時，該認證響應報文可以同時匹配第一acl規(guī)則和第二acl規(guī)則，此時按照第二acl規(guī)則處理；本端設備通過該接口接收到廣播報文時，該廣播報文可以同時匹配第一acl規(guī)則和第三acl規(guī)則，此時按照第三acl規(guī)則處理；本端設備通過該接口接收到認證響應報文、廣播報文之外的其它類型報文時，該其它類型報文只匹配第一acl規(guī)則，未匹配第二acl規(guī)則和第三acl規(guī)則，此時按照第一acl規(guī)則處理。

具體的，基于第一acl規(guī)則、第二acl規(guī)則和第三acl規(guī)則，本端設備在通過該接口接收到第一類報文后，若第一類報文是認證響應報文，基于第二acl規(guī)則，本端設備需要處理第一類報文，即分析第一類報文是否為合法的認證響應報文，即執(zhí)行步驟103。若第一類報文是廣播報文，基于第三acl規(guī)則，本端設備需要處理第一類報文，即利用第一類報文確定出對端設備為非法設備，并對該接口進行限制操作。若第一類報文不是認證響應報文和廣播報文，基于第一acl規(guī)則，本端設備直接丟棄第一類報文，不再對第一類報文進行處理。

在一個例子中，針對“對該接口進行限制操作”的過程，可以包括但不限于：去使能第二acl規(guī)則和第三acl規(guī)則，但不去使能第一acl規(guī)則。由于未對第一acl規(guī)則進行去使能，因此第一acl規(guī)則仍然生效，而由于第一acl規(guī)則用于指示本端設備丟棄接收到的報文，因此，基于第一acl規(guī)則，本端設備會丟棄通過該接口接收到的所有第二類報文，從而實現(xiàn)對該接口的限制操作。

以下結合圖2所示的應用場景，對本申請實施例的上述方案進行說明。如圖2所示，假設設備a為本端設備，設備b和設備c為對端設備，且設備b為合法設備，設備c為非法設備。在圖2中，設備a通過接口1與設備b連接，設備a通過接口2與設備c連接。在一個例子中，設備a、設備b和設備c可以為獨立的設備，也可以為同一個集群內(nèi)的設備。在為同一個集群內(nèi)的設備時，設備a可以為ccu(controlconnectionunit，交換框控制連接單元)，設備b和設備c可以為mpu(mainprocessingunit，主控處理單元)。

在一個例子中，設備a和設備b為合法設備，可以采用本申請技術方案進行處理，而設備c為非法設備，不會采用本申請技術方案進行處理。設備a可以驗證其它設備(如設備b、設備c)的合法性，設備b也可以驗證其它設備(如設備a)的合法性，后續(xù)以設備a驗證其它設備的合法性為例進行說明。

在一個例子中，設備a在啟動時，可以為接口1使能acl規(guī)則11，acl規(guī)則12、acl規(guī)則13，并為接口2使能acl規(guī)則21，acl規(guī)則22、acl規(guī)則23。其中，acl規(guī)則11/acl規(guī)則21的匹配項為接口1/接口2，動作項為丟棄處理，因此，acl規(guī)則11/acl規(guī)則21用于指示設備a丟棄通過接口1/接口2接收到的所有報文。此外，acl規(guī)則12/acl規(guī)則22的匹配項為接口1/接口2、認證響應報文的類型(如aaa，用于表示報文為認證響應報文)，動作項為上送cpu(centralprocessingunit，中央處理器)處理，因此，acl規(guī)則12/acl規(guī)則22用于指示設備a處理接收到的認證響應報文。此外，acl規(guī)則13/acl規(guī)則23的匹配項為接口1/接口2、目的mac(mediaaccesscontrol，媒體訪問控制)地址為全f(用于表示報文為廣播報文)，動作項為上送cpu處理，因此，acl規(guī)則13/acl規(guī)則23用于指示設備a處理接收到的廣播報文。

若采用最長匹配優(yōu)先策略，而acl規(guī)則12/acl規(guī)則22、acl規(guī)則13/acl規(guī)則23的匹配項數(shù)量為2，acl規(guī)則11/acl規(guī)則21的匹配項數(shù)量為1，因此，acl規(guī)則12/acl規(guī)則22的優(yōu)先級高于acl規(guī)則11/acl規(guī)則21的優(yōu)先級，即接收到匹配acl規(guī)則12/acl規(guī)則22、acl規(guī)則11/acl規(guī)則21的報文時，按照acl規(guī)則12/acl規(guī)則22處理。acl規(guī)則13/acl規(guī)則23的優(yōu)先級高于acl規(guī)則11/acl規(guī)則21的優(yōu)先級，即接收到匹配acl規(guī)則13/acl規(guī)則23、acl規(guī)則11/acl規(guī)則21的報文時，按照acl規(guī)則13/acl規(guī)則23處理。

在一個例子中，設備b在啟動時，為接口3使能acl規(guī)則3，acl規(guī)則3的匹配項為接口3、認證報文類型(如bbb，用于表示報文為認證報文)，動作項為上送cpu處理，因此acl規(guī)則3用于指示設備b處理收到的認證報文。

基于上述應用場景，本申請實施例提出的接入控制方法可以包括以下步驟：

步驟1、設備a檢測到接口1為up時，通過接口1向設備b發(fā)送認證報文。

在一個例子中，設備a可以檢測接口1的狀態(tài)，而接口1的狀態(tài)可以包括up或者down(故障)。當設備a檢測到接口1的狀態(tài)從down切換到up時，就可以構造認證報文，并可以通過接口1向設備b發(fā)送構造的認證報文。

在一個例子中，該認證報文可以包括但不限于如下字段之一或者任意組合：version(版本)字段、type(類型)字段、datalength(數(shù)據(jù)長度)字段、typemap(類型圖)字段、boardtype(設備類型)字段、authtext(字符串)字段。

其中，type字段用于表示當前報文為認證報文，如bbb等，typemap字段可以為1，boardtype字段可以為設備a的類型，authtext字段為設備a隨機生成的字符串，為了區(qū)分方便，將authtext字段的字符串稱為第一字符串。當然，上述數(shù)值只是一個示例，實際應用中還可以為其它數(shù)值，如typemap字段為2等，對此不做限制，而且，version、datalength等字段，在此不做限制。

步驟2、設備b在接收到認證報文后，由于入接口為接口3，type字段表示當前報文為認證報文，因此匹配到acl規(guī)則3，設備b需要處理認證報文。

步驟3、設備b利用預設算法(如預設算法a)對該認證報文中的第一字符串(即authtext字段承載的字符串)進行加密處理，得到第二字符串。

步驟4、設備b生成認證響應報文，該認證響應報文攜帶第二字符串，并通過接口3將該認證響應報文發(fā)送給設備a。

在一個例子中，認證響應報文可以包括但不限于如下字段之一或任意組合：version字段、type字段、datalength字段、typemap字段、boardtype字段、authtext字段。其中，type字段用于表示當前報文為認證響應報文，如aaa等，typemap字段可以為2，boardtype字段可以為設備b的類型，authtext字段為第二字符串。當然，上述數(shù)值只是一個示例，實際應用中還可以為其它數(shù)值，對此不做限制，而且，version、datalength等字段，在此不做限制。

步驟5、設備a在收到認證響應報文后，由于入接口為接口1，type字段表示認證響應報文，因此匹配到acl規(guī)則12，設備a需要處理認證響應報文。

步驟6、設備a從認證響應報文中解析出第二字符串(即authtext字段承載的字符串)，并利用預設算法(如預設算法a)對第二字符串進行解密。

在一個例子中，可以在設備a和設備b上配置相同的預設算法，如預設算法a，只是設備b會利用該預設算法進行加密處理，而設備a會利用該預設算法進行解密處理。其中，該預設算法可以包括但不限于hash算法、md5算法、反碼序算法(用于將字符串的順序顛倒)等，對此預設算法的類型不做限制。

步驟7、若解密后的字符串與第一字符串匹配，則設備a確定認證響應報文合法，并確定設備b為合法設備，并對接口1進行準入操作。在一個例子中，設備a對接口1進行準入操作是指：設備a處理通過接口1接收到的報文。

在一個例子中，設備a對接口1進行準入操作的過程，可以包括：去使能acl規(guī)則11，由于對acl規(guī)則11進行去使能，因此acl規(guī)則11不再生效，設備a不會基于acl規(guī)則11丟棄通過接口1接收到的報文，這樣就可以處理通過接口1接收到的報文(所有類型的報文)，具體的處理方式可以為傳統(tǒng)方式，在此不再詳加贅述。而且，設備a還可以去使能acl規(guī)則12和acl規(guī)則13，或者不對acl規(guī)則12和acl規(guī)則13進行去使能。

在一個例子中，在設備a確定設備b為合法設備，并對接口1進行準入操作之前，若設備a通過接口1接收到廣播報文，由于廣播報文可以匹配到acl規(guī)則13，因此設備a需要處理廣播報文，即根據(jù)廣播報文直接確定出設備b為非法設備，并對接口1進行限制操作。此外，在設備a確定設備b為合法設備，并對接口1進行準入操作之后，若設備a通過接口1接收到廣播報文，由于設備a可以處理通過接口1接收到的所有報文，因此設備a需要處理廣播報文，即根據(jù)廣播報文直接確定出設備b為非法設備，并對接口1進行限制操作。

其中，設備a對接口1進行限制操作的過程，可以包括：設備a使能acl規(guī)則11，并去使能acl規(guī)則12和acl規(guī)則13，由于acl規(guī)則11生效，因此，設備a可以基于acl規(guī)則11丟棄通過接口1接收到的所有報文。

在一個例子中，在設備a確定設備b為合法設備，并對接口1進行準入操作之前，若設備a通過接口1接收到廣播報文、認證響應報文之外的其它類型報文，由于該報文只能匹配到acl規(guī)則11，因此設備a直接丟棄該報文。

步驟8、設備a檢測到接口2為up時，通過接口2向設備c發(fā)送認證報文。

其中，步驟8的處理過程可以參見步驟1的處理，在此不再重復贅述。

步驟9、設備c在接收到認證報文后，不會向設備a發(fā)送認證響應報文，或者設備c發(fā)送的認證響應報文中不會攜帶利用預設算法加密后的字符串。

步驟10、設備a判斷是否通過接口2接收到認證響應報文。若接收到認證響應報文，則執(zhí)行步驟11。若未接收到認證響應報文，則執(zhí)行步驟13。

步驟11、設備a判斷接收到的認證響應報文是否合法。若接收到的認證響應報文合法，則執(zhí)行步驟12；若接收到的認證響應報文不合法，則執(zhí)行步驟13。

步驟12、設備a確定設備c為合法設備，并對接口2進行準入操作。

步驟13、設備a確定設備c為非法設備，并對接口2進行限制操作。

在一個例子中，由于設備c不會向設備a發(fā)送認證響應報文，或者設備c發(fā)送的認證響應報文中不會攜帶利用預設算法加密后的字符串，因此，設備a不會通過接口2接收到認證響應報文，或者，設備a接收到的認證響應報文不合法，因此，設備a確定設備c為非法設備，并對接口2進行限制操作。其中，設備a對接口2進行限制操作是指：設備a丟棄通過接口2接收到的報文。

在一個例子中，設備a在通過接口1/接口2發(fā)送認證報文之后，還可以為接口1/接口2啟動定時器；若在定時器超時之前，通過接口1/接口2接收到認證響應報文，就表示接收到認證響應報文；若在定時器超時時，仍然未通過接口1/接口2接收到認證響應報文，就表示沒有接收到認證響應報文。

進一步的，還可以設置發(fā)包周期和發(fā)包次數(shù)，并按照該發(fā)包周期連續(xù)發(fā)送該發(fā)包次數(shù)個認證報文。若在定時器超時之前，通過接口1/接口2接收到認證響應報文，就表示接收到認證響應報文；若在定時器超時時，仍然未通過接口1/接口2接收到認證響應報文，就表示沒有接收到認證響應報文。

在一個例子中，設備a對接口2進行限制操作的過程，可以包括：設備a使能acl規(guī)則21，并去使能acl規(guī)則22和acl規(guī)則23，由于acl規(guī)則21生效，因此，設備a可以基于acl規(guī)則21丟棄通過接口2接收到的所有報文。

在一個例子中，設備a在確定設備c為非法設備時，還可以打印日志信息(即設備c為非法設備的日志)，以提示管理員設備c為非法設備。

在一個例子中，在設備a確定設備c為非法設備，并對接口2進行限制操作之前，若設備a通過接口2接收到廣播報文，由于廣播報文可以匹配到acl規(guī)則23，因此設備a處理廣播報文，即根據(jù)廣播報文確定設備c為非法設備，并對接口2進行限制操作。若設備a通過接口2接收到廣播報文、認證響應報文之外的其它類型報文，由于報文匹配到acl規(guī)則21，因此設備a丟棄報文。

在一個例子中，當設備a檢測到接口1/接口2的狀態(tài)從up切換到down時，則設備a可以恢復接口1/接口2的初始化狀態(tài)，即：設備a不會對接口1/接口2進行準入操作和限制操作，而且，為接口1/接口2使能acl規(guī)則11/acl規(guī)則21，acl規(guī)則12/acl規(guī)則22、acl規(guī)則13/acl規(guī)則23。

當然，在實際應用中，當設備a檢測到接口1/接口2的狀態(tài)從up切換到down時，也可以不為接口1/接口2使能acl規(guī)則11/acl規(guī)則21，acl規(guī)則12/acl規(guī)則22、acl規(guī)則13/acl規(guī)則23，而是當檢測到接口1/接口2的狀態(tài)從down重新切換到up時，才為接口1/接口2使能acl規(guī)則11/acl規(guī)則21，acl規(guī)則12/acl規(guī)則22、acl規(guī)則13/acl規(guī)則23。

基于與上述方法同樣的申請構思，本申請實施例中還提供了一種接入控制裝置，該接入控制裝置可以應用在本端設備。其中，該接入控制裝置可以通過軟件實現(xiàn)，也可以通過硬件或者軟硬件結合的方式實現(xiàn)。以軟件實現(xiàn)為例，作為一個邏輯意義上的裝置，是通過其所在的本端設備的處理器，讀取非易失性存儲器中對應的計算機程序指令形成的。從硬件層面而言，如圖3所示，為本申請?zhí)岢龅慕尤肟刂蒲b置所在的本端設備的一種硬件結構圖，除了圖3所示的處理器、非易失性存儲器外，本端設備還可以包括其它硬件，如負責處理報文的轉發(fā)芯片、網(wǎng)絡接口、內(nèi)存等；從硬件結構上來講，該本端設備還可能是分布式設備，可能包括多個接口卡，以便在硬件層面進行報文處理的擴展。

如圖4所示，為本申請?zhí)岢龅慕尤肟刂蒲b置的結構圖，所述裝置用于對與所述本端設備連接的對端設備進行合法性檢測，所述裝置包括：

發(fā)送模塊11，用于在檢測到所述本端設備上的與所述對端設備連接的接口up時，通過所述接口向所述對端設備發(fā)送認證報文；

處理模塊12，用于當未通過所述接口接收到所述對端設備返回的合法的認證響應報文時，則確定所述對端設備為非法設備，并對所述接口進行限制操作；

當通過所述接口接收到所述對端設備返回的合法的認證響應報文時，則確定所述對端設備為合法設備，并對所述接口進行準入操作。

在一個例子中，所述接入控制裝置還包括(在圖中未體現(xiàn))：配置模塊，用于在所述處理模塊12確定對端設備為非法設備或者合法設備之前，為所述接口使能第一訪問控制列表acl規(guī)則和第二acl規(guī)則；其中，所述第二acl規(guī)則的優(yōu)先級高于所述第一acl規(guī)則的優(yōu)先級，所述第一acl規(guī)則用于指示丟棄接收到的報文，所述第二acl規(guī)則用于指示處理接收到的認證響應報文；

所述處理模塊12，還用于在通過所述接口接收到第一類報文后，若所述第一類報文是認證響應報文，則基于所述第二acl規(guī)則，分析所述第一類報文是否為合法的認證響應報文；若所述第一類報文不是認證響應報文，則基于所述第一acl規(guī)則，丟棄所述第一類報文。

在一個例子中，所述處理模塊12，具體用于：在對所述接口進行限制操作的過程中，去使能所述第二acl規(guī)則，基于所述第一acl規(guī)則，丟棄通過所述接口接收到的第二類報文；在對所述接口進行準入操作的過程中，去使能所述第一acl規(guī)則，以處理通過所述接口接收到的第二類報文。

在一個例子中，所述配置模塊，還用于在所述處理模塊12確定所述對端設備為非法設備或者合法設備之前，為所述接口使能第三acl規(guī)則；其中，所述第三acl規(guī)則的優(yōu)先級高于所述第一acl規(guī)則的優(yōu)先級，所述第三acl規(guī)則用于指示處理接收到的廣播報文；

在一個例子中，所述處理模塊12，還用于在通過所述接口接收到第一類報文后，若所述第一類報文是廣播報文，基于所述第三acl規(guī)則，利用所述第一類報文確定所述對端設備為非法設備；

在一個例子中，所述處理模塊12，具體用于：在對所述接口進行限制操作的過程中，去使能所述第二acl規(guī)則以及所述第三acl規(guī)則，并基于所述第一acl規(guī)則，丟棄通過所述接口接收到的第二類報文。

在一個例子中，所述發(fā)送模塊11通過所述接口向所述對端設備發(fā)送的認證報文還攜帶有所述本端設備生成的第一字符串；若所述對端設備為合法設備，則利用預設算法對所述第一字符串進行加密，并將加密后的字符串攜帶在認證響應報文中返回給本端設備；

所述處理模塊12，還用于在接收到認證響應報文后，從所述認證響應報文中解析出第二字符串；利用預設算法對所述第二字符串進行解密，若解密后的字符串與所述第一字符串匹配，則確定所述認證響應報文合法；若解密后的字符串與所述第一字符串不匹配，則確定所述認證響應報文不合法。

上述實施例闡明的系統(tǒng)、裝置、模塊或單元，具體可以由計算機芯片或?qū)嶓w實現(xiàn)，或者由具有某種功能的產(chǎn)品來實現(xiàn)。一種典型的實現(xiàn)設備為計算機，計算機的具體形式可以是個人計算機、膝上型計算機、蜂窩電話、相機電話、智能電話、個人數(shù)字助理、媒體播放器、導航設備、電子郵件收發(fā)設備、游戲控制臺、平板計算機、可穿戴設備或者這些設備中的任意幾種設備的組合。

為了描述的方便，描述以上裝置時以功能分為各種單元分別描述。當然，在實施本申請時可以把各單元的功能在同一個或多個軟件和/或硬件中實現(xiàn)。

本領域內(nèi)的技術人員應明白，本申請的實施例可提供為方法、系統(tǒng)、或計算機程序產(chǎn)品。因此，本申請可采用完全硬件實施例、完全軟件實施例、或結合軟件和硬件方面的實施例的形式。而且，本申請實施例可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器、cd-rom、光學存儲器等)上實施的計算機程序產(chǎn)品的形式。

本申請是參照根據(jù)本申請實施例的方法、設備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應理解可以由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合?？商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其它可編程數(shù)據(jù)處理設備的處理器以產(chǎn)生一個機器，使得通過計算機或其它可編程數(shù)據(jù)處理設備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

而且，這些計算機程序指令也可以存儲在能引導計算機或其它可編程數(shù)據(jù)處理設備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或者多個流程和/或方框圖一個方框或者多個方框中指定的功能。

這些計算機程序指令也可裝載到計算機或其它可編程數(shù)據(jù)處理設備上，使得在計算機或者其它可編程設備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理，從而在計算機或其它可編程設備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

本領域技術人員應明白，本申請的實施例可提供為方法、系統(tǒng)或計算機程序產(chǎn)品。因此，本申請可以采用完全硬件實施例、完全軟件實施例、或者結合軟件和硬件方面的實施例的形式。而且，本申請可以采用在一個或者多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(可以包括但不限于磁盤存儲器、cd-rom、光學存儲器等)上實施的計算機程序產(chǎn)品的形式。

以上所述僅為本申請的實施例而已，并不用于限制本申請。對于本領域技術人員來說，本申請可以有各種更改和變化。凡在本申請的精神和原理之內(nèi)所作的任何修改、等同替換、改進等，均應包含在本申請的權利要求范圍之內(nèi)。

完整全部詳細技術資料下載

當前第1頁1 2