一種訪問方法及裝置的制造方法
【專利摘要】本發(fā)明實施例公開了一種訪問方法及裝置,涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域,應用于網(wǎng)關(guān)設(shè)備,該方法包括:接收源終端發(fā)送的訪問報文,其中,該訪問報文包含源終端標識;當該訪問報文與免認證規(guī)則相匹配時,在身份信息表中查找包含上述源終端標識的表項;當未查找到包含上述源終端標識的表項時,生成包含上述源終端標識和免認證用戶名的免認證表項;根據(jù)該免認證表項中的免認證用戶名所對應的域間策略,向目標終端轉(zhuǎn)發(fā)訪問報文。應用本發(fā)明實施例,能夠保證源終端對目標終端的訪問。
【專利說明】
-種訪問方法及裝置
技術(shù)領(lǐng)域
[0001] 本發(fā)明設(shè)及互聯(lián)網(wǎng)技術(shù)領(lǐng)域,特別設(shè)及一種訪問方法及裝置。
【背景技術(shù)】
[0002] Podal是一種常見的網(wǎng)絡(luò)接入技術(shù),是指通過Web頁面接收用戶輸入的用戶名和 密碼,對用戶進行身份認證,用戶通過身份認證后才可W使用互聯(lián)網(wǎng)中的設(shè)備或資源。然 而,實際應用中由于某些源終端具有較高的訪問權(quán)限等原因,其訪問互聯(lián)網(wǎng)資源時不需要 進行身份認證,管理人員可W通過配置podal的免認證規(guī)則允許運些源終端訪問互聯(lián)網(wǎng)資 源時不進行身份認證,具體地,免認證規(guī)則可W為:訪問報文中包含某一源終端的標識或某 一目標終端的標識。在訪問互聯(lián)網(wǎng)資源時,可W是允許訪問全部的互聯(lián)網(wǎng)資源,也可W是允 許訪問特定的互聯(lián)網(wǎng)資源,例如一個特定的目標終端。
[0003] 在網(wǎng)關(guān)設(shè)備上存儲有身份識別表項,用于存儲已上線用戶的用戶名和標識(例如 IP地址,Internet Protocol,網(wǎng)絡(luò)協(xié)議)之間的對應關(guān)系,當用戶下線時,就將該用戶的信 息從身份識別表項中刪除。Portal用戶在身份認證前,網(wǎng)關(guān)設(shè)備上不會有該用戶的上線記 錄信息,身份識別表項中也不會有該用戶的信息。例如,一源終端A在身份認證前發(fā)送了訪 問報文,W訪問互聯(lián)網(wǎng)中的一目標終端B,網(wǎng)關(guān)設(shè)備接收到該訪問報文后,若判定該訪問報 文通過了免認證規(guī)則,則可W不對源終端A進行身份認證,但是由于源終端A未進行身份認 證,網(wǎng)關(guān)設(shè)備無法根據(jù)訪問報文中源終端的IP地址在上述身份識別表項中查找到podal用 戶的用戶名,又由于需要根據(jù)用戶名才能獲得域間策略,因而無法獲得相應的域間策略,也 就是說,無法獲得源終端A針對目標終端B的訪問規(guī)則,最終只能將該訪問報文丟棄掉,從而 使得源終端A不能訪問目標終端B。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明實施例公開了一種訪問方法及裝置,W保證源終端對目標終端的訪問。
[0005] 為達到上述目的,本發(fā)明實施例公開了一種訪問方法,應用于網(wǎng)關(guān)設(shè)備,所述方法 包括:
[0006] 接收源終端發(fā)送的訪問報文,其中,所述訪問報文包含源終端標識;
[0007] 當所述訪問報文與免認證規(guī)則相匹配時,在身份信息表中查找包含所述源終端標 識的表項;
[000引當未查找到包含所述源終端標識的表項時,生成包含所述源終端標識和免認證用 戶名的免認證表項;
[0009] 根據(jù)所述免認證表項中的免認證用戶名所對應的域間策略,向目標終端轉(zhuǎn)發(fā)訪問 報文。
[0010] 在本發(fā)明的一個實施方式中,在所述生成包含所述源終端標識和所述免認證用戶 名的表項之后,還包括:
[00川在所述免認證表項中記錄老化時間;
[0012] 所述方法還包括:
[0013] 判斷所述免認證表項的生成時間是否大于所述老化時間;
[0014] 若為是,則從所述身份信息表中刪除所述免認證表項。
[0015] 在本發(fā)明的一個實施方式中,所述身份信息表包含:第一身份信息表和第二身份 信息表,其中,所述第一身份信息表,用于存儲包含已上線用戶的用戶名和終端標識的表 項,所述第二身份信息表,用于存儲包含免認證用戶名和終端標識的免認證表項;
[0016] 所述在身份信息表中查找包含所述源終端標識的表項,包括:
[0017] 在所述第一身份信息表中查找包含所述源終端標識的表項;
[0018] 當在所述第一身份信息表中未查找到包含所述源終端標識的表項時,在所述第二 身份信息表中查找包含所述源終端標識的免認證表項;
[0019] 所述當未查找到包含所述源終端標識的表項時,生成包含所述源終端標識和免認 證用戶名的免認證表項,具體為:
[0020] 當在所述第二身份信息表中未查找到包含所述源終端標識的免認證表項時,在所 述第二身份信息表中生成包含所述源終端標識和免認證用戶名的免認證表項。
[0021] 在本發(fā)明的一個實施方式中,在所述接收源終端發(fā)送的訪問報文之后,還包括:
[0022] 當所述訪問報文不與免認證規(guī)則相匹配時,在所述第一身份信息表中查找包含所 述源終端標識的表項;
[0023] 當在所述第一身份信息表中未查找到包含所述源終端標識的表項時,丟棄所述訪 問報文。
[0024] 在本發(fā)明的一個實施方式中,在身份信息表中查找包含所述源終端標識的表項之 后,還包括:
[0025] 當查找到至少兩個表項包含所述源終端標識時,從所述至少兩個表項中確定優(yōu)先 級最高的表項中的用戶名;
[0026] 根據(jù)所確定的用戶名對應的域間策略,控制向所述目標終端轉(zhuǎn)發(fā)所述訪問報文。
[0027] 為達到上述目的,本發(fā)明實施例還公開了一種訪問裝置,應用于網(wǎng)關(guān)設(shè)備,所述裝 置包括:
[0028] 接收單元,用于接收源終端發(fā)送的訪問報文,其中,所述訪問報文包含源終端標 識;
[0029] 查找單元,用于當所述訪問報文與免認證規(guī)則相匹配時,在身份信息表中查找包 含所述源終端標識的表項;
[0030] 生成單元,用于當未查找到包含所述源終端標識的表項時,生成包含所述源終端 標識和免認證用戶名的免認證表項;
[0031] 轉(zhuǎn)發(fā)單元,用于根據(jù)所述免認證表項中的免認證用戶名所對應的域間策略,向目 標終端轉(zhuǎn)發(fā)訪問報文。
[0032] 在本發(fā)明的一個實施方式中,所述生成單元,還用于:
[0033] 在所述免認證表項中記錄老化時間;
[0034] 所述裝置還包括:
[0035] 判斷單元,用于判斷所述免認證表項的生成時間是否大于所述老化時間;
[0036] 刪除單元,用于在所述判斷單元判斷結(jié)果為是的情況下,從所述身份信息表中刪 除所述免認證表項。
[0037] 在本發(fā)明的一個實施方式中,所述身份信息表包含:第一身份信息表和第二身份 信息表,其中,所述第一身份信息表,用于存儲包含已上線用戶的用戶名和終端標識的表 項,所述第二身份信息表,用于存儲包含免認證用戶名和終端標識的免認證表項;
[0038] 所述查找單元,具體用于:
[0039] 當所述訪問報文與免認證規(guī)則相匹配時,在所述第一身份信息表中查找包含所述 源終端標識的表項;
[0040] 當在所述第一身份信息表中未查找到包含所述源終端標識的表項時,在所述第二 身份信息表中查找包含所述源終端標識的免認證表項。
[0041] 所述生成單元,具體用于:
[0042] 當在所述第二身份信息表中未查找到包含所述源終端標識的免認證表項時,在所 述第二身份信息表中生成包含所述源終端標識和免認證用戶名的免認證表項。
[0043] 在本發(fā)明的一個實施方式中,所述查找單元,還用于:
[0044] 當所述訪問報文不與免認證規(guī)則相匹配時,在所述第一身份信息表中查找包含所 述源終端標識的表項;當在所述第一身份信息表中未查找到包含所述源終端標識的表項 時,丟棄所述訪問報文。
[0045] 在本發(fā)明的一個實施方式中,所述裝置還包括:
[0046] 確定單元,用于當查找到至少兩個表項包含所述源終端標識時,從所述至少兩個 表項中確定優(yōu)先級最高的表項中的用戶名;
[0047] 控制單元,根據(jù)所確定的用戶名對應的域間策略,控制向所述目標終端轉(zhuǎn)發(fā)所述 訪問報文。
[0048] 由上可知,在本發(fā)明實施例中,網(wǎng)關(guān)設(shè)備在接收到源終端發(fā)送的訪問報文后,首先 判斷該訪問報文是否與免認證規(guī)則相匹配,若匹配,在身份信息表中查找包含源終端標識 的表項,當未查找到包含源終端標識的表項時,生成包含該源終端標識和免認證用戶名的 免認證表項;根據(jù)該免認證表項中的免認證用戶名所對應的域間策略,向目標終端轉(zhuǎn)發(fā)訪 問報文。此時,可W從身份信息表中確定出免認證用戶名,獲得免認證用戶名對應的域間策 略,進而保證了源終端與目標終端間的通信。
【附圖說明】
[0049] 為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本 發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可W 根據(jù)運些附圖獲得其他的附圖。
[0050] 圖1為本發(fā)明實施例提供的一種訪問方法的流程示意圖;
[0051] 圖2為本發(fā)明實施例提供的另一種訪問方法的流程示意圖;
[0052] 圖3為本發(fā)明實施例提供的一種訪問裝置的結(jié)構(gòu)示意圖。
【具體實施方式】
[0053] 下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完 整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;?本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他 實施例,都屬于本發(fā)明保護的范圍。
[0054] 下面通過具體實施例,對本發(fā)明進行詳細說明。
[0055] 參考圖1,圖1為本發(fā)明實施例提供的一種訪問方法的流程示意圖,應用于網(wǎng)關(guān)設(shè) 備,該方法包括如下步驟:
[0056] S101:接收源終端發(fā)送的訪問報文;
[0057] 其中,訪問報文可W包含源終端標識。運里,源終端標識可W為源終端的IP地址, 也可W為MC地址等其他能夠唯一表示源終端的值。當然,為了確保源終端與目標終端間的 通信,該訪問報文中還可W包含目標終端標識、報文數(shù)據(jù)等信息,本發(fā)明對此不進行限定。
[0058] S102:當訪問報文與免認證規(guī)則相匹配時,在身份信息表中查找包含源終端標識 的表項,若未查找到包含源終端標識的表項,執(zhí)行S103;
[0059] 免認證規(guī)則用于篩選無需進行身份認證的報文,例如,可W是由某個終端發(fā)送出 來的報文,或者發(fā)往某個終端的報文等。在篩選時,免認證規(guī)則可W通過目標終端標識、源 終端標識等或者幾者之間的組合來判斷是否匹配該免認證規(guī)則。
[0060] 假設(shè),一條訪問報文包含源終端標識A和目標終端標識B。若免認證規(guī)則為使包含 目標終端標識B的訪問報文在不進行身份認證的情況下轉(zhuǎn)發(fā),那么,該訪問報文包含目標終 端標識B,便可W確定該訪問報文與免認證規(guī)則相匹配;若免認證規(guī)則為使包含源終端標識 A和目標終端標識B的訪問報文在不進行身份認證的情況下轉(zhuǎn)發(fā),那么,該訪問報文包含源 終端標識A和目標終端標識B,便可W確定該訪問報文與免認證規(guī)則相匹配。
[0061] 另外,若訪問報文不與免認證規(guī)則相匹配,并且發(fā)送該訪問報文的源終端未進行 身份認證,則丟棄該訪問報文;若訪問報文與免認證規(guī)則相匹配,并且發(fā)送該訪問報文的源 終端未進行身份認證,則可W從身份信息表中獲得包含該源終端標識的免認證表項,進而 獲得免認證用戶名。
[0062] 當然,在匹配免認證規(guī)則時,不僅限于源終端標識和目標終端標識運兩個屬性,也 可W設(shè)置匹配訪問報文的其他屬性。
[0063] 身份信息表,用于存儲包含用戶名與終端標識的表項。該表項中還可W包含用戶 的類型等信息。
[0064] 在本發(fā)明的一個實施方式中,網(wǎng)關(guān)設(shè)備中可W僅存儲一個身份信息表,在該身份 信息表中包含已上線用戶的用戶名和終端標識的表項和免認證表項。網(wǎng)關(guān)設(shè)備可W當僅匹 配一個表項時則使用該表項中的用戶名匹配域間策略,當分別匹配了免認證表項和已上線 用戶對應的表項,則可W通過預設(shè)的策略選擇其中之一獲取用戶名,從而根據(jù)獲取的用戶 名匹配域間策略。
[0065] 在本發(fā)明的另一種實施方式中,網(wǎng)關(guān)設(shè)備中可W僅存儲兩個身份信息表,分別為 第一身份信息表和第二身份信息表,其中,第一身份信息表和第二身份信息表,其中,第一 身份信息表,用于存儲包含已上線用戶的用戶名和終端標識的表項,第二身份信息表,用于 存儲包含免認證用戶名和終端標識的免認證表項。
[0066] 在本實現(xiàn)方式的描述中,采用網(wǎng)關(guān)設(shè)備中存儲一個身份信息表的方式進行描述。
[0067] S103:當未查找到包含源終端標識的表項時,生成包含源終端標識和免認證用戶 名的免認證表項;
[0068] 假設(shè),免認證規(guī)則為訪問報文中包含目標終端標識B,若網(wǎng)關(guān)設(shè)備接收到源終端a 發(fā)送的一訪問報文,該訪問報文中包含的目標終端標識為B,則可W認為該訪問報文與免認 證規(guī)則相匹配,此時,若身份信息表中不存在包含該源終端a標識的表項,則生成包含源終 端a標識和免認證用戶名的免認證表項,并將該免認證表項存儲在身份識別表中。
[0069] 當存在大量源終端可W通過免認證的方式訪問目標終端時,或當源終端標識(IP 地址)是通過D肥P(Dynamic Host Configuration Protocol,動態(tài)主機設(shè)置協(xié)議)獲得的時 (此時,源終端的IP地址是動態(tài)變化的),通過自動生成免認證表項的方式,管理人員不必提 前知道源終端標識,不必維護大量用戶的身份信息,運樣能夠更好地適應網(wǎng)絡(luò)的擴展,并且 便于網(wǎng)絡(luò)的管理。
[0070] 網(wǎng)絡(luò)環(huán)境是實時變化的,如上述通過DHCP獲得源終端的IP地址,網(wǎng)絡(luò)中一源終端 的IP地址是實時變化的。在一源終端的IP地址變化后,已存儲的包含該源終端的原IP地址 和免認證用戶名的免認證表項將成為無用的表項,為了避免身份信息表中存儲過多無用的 表項,在生成包含源終端標識和免認證用戶名的免認證表項后,在該免認證表項中記錄老 化時間。運種情況下,實時監(jiān)測免認證表項的生成時間是否大于該免認證表項中記錄老化 時間;當大于該免認證表項中記錄老化時間時,從身份信息表中上刪除該免認證表項。
[0071] 假設(shè),在身份信息表中包含源終端標識A的免認證表項中記錄的老化時間為30分 鐘,當該免認證表項的生成時間超過30分鐘時,從身份信息表中刪除該包含源終端標識A的 免認證表項。運樣避免了身份信息表中存儲一些不經(jīng)常采用免認證表項,節(jié)約了網(wǎng)關(guān)設(shè)備 的存儲空間。
[0072] 另外,假設(shè),身份信息表中存儲了包含源終端a的標識A的免認證表項,若源終端a 訪問目標終端b時,不滿足免認證規(guī)則,但是網(wǎng)關(guān)設(shè)備因網(wǎng)絡(luò)攻擊等原因,在接收到源終端a 向目標終端b發(fā)送的訪問報文時,仍然從身份信息表包含標識A的免認證表項中獲得了免認 證用戶,使得源終端a能夠免認證的訪問目標終端b。此時,定時刪除身份信息表中包含源終 端標識的免認證表項,有效地避免了上述提到的問題。
[0073] 在本發(fā)明的一種實施方式中,若網(wǎng)關(guān)設(shè)備中僅存儲了一個身份信息表,此時已上 線用戶的用戶名和終端標識的表項和免認證表項都存儲在同一身份信息表中,如表1所示。
[0074] 表 1 rnnvsi
[0076] 此時,從身份信息表中查找包含源終端標識的表項可能為多個,查找到至少兩個 表項包含源終端標識時,從至少兩個表項中確定出優(yōu)先級最高的表項,并從該優(yōu)先級最高 的表項中確定用戶名;進而網(wǎng)關(guān)設(shè)備根據(jù)所確定的用戶名對應的域間策略,控制向目標終 端轉(zhuǎn)發(fā)訪問報文。例如,可W設(shè)置免認證表項的優(yōu)先級低于包含已上線用戶的用戶名的表 項。
[0077] 假設(shè),訪問報文包含源終端標識為IP_addrl,如表1所示,此時可W獲得2個表項, 包含的用戶名分別為Userl和free-user-identity,網(wǎng)關(guān)設(shè)備中設(shè)置免認證表項的優(yōu)先級 低于包含已上線用戶的用戶名的表項,free-user-identity為免認證表項中包含的用戶 名,因此可W確定出用戶名為Userl,根據(jù)Userl對應的域間策略控制向目標終端發(fā)送訪問 報文。
[0078] 一般來說,經(jīng)過認證過程所使用的用戶名的限定更嚴格、更具有針對性,免認證的 用戶名更具有通用性,所W免認證的表項優(yōu)先級低于已上線用戶的用戶名的表項,可W使 域間策略的限定方式根據(jù)層次性,提高網(wǎng)關(guān)設(shè)備對應報文轉(zhuǎn)發(fā)的控制靈活性。但優(yōu)先級的 設(shè)置方式不限于此。
[0079] S104:根據(jù)免認證表項中的免認證用戶名所對應的域間策略,向目標終端轉(zhuǎn)發(fā)訪 問報文。
[0080] 具體地,在獲得了免認證用戶后,網(wǎng)關(guān)設(shè)備就可W根據(jù)該免認證用戶,獲得與該免 認證用戶名對應的域間策略,該域間策略為放行訪問報文,此時網(wǎng)關(guān)設(shè)備就可W根據(jù)該域 間策略向目標終端轉(zhuǎn)發(fā)訪問報文,運樣就實現(xiàn)源終端對目標終端的免認證訪問。
[0081] 應用圖1所示實施例,網(wǎng)關(guān)設(shè)備在接收到源終端發(fā)送的訪問報文后,首先判斷該訪 問報文是否與免認證規(guī)則相匹配,若匹配,在身份信息表中查找包含源終端標識的表項,當 未查找到包含源終端標識的表項時,生成包含該源終端標識和免認證用戶名的免認證表 項;根據(jù)該免認證表項中的免認證用戶名所對應的域間策略,向目標終端轉(zhuǎn)發(fā)訪問報文。此 時,可W從身份信息表中確定出免認證用戶名,獲得免認證用戶名對應的域間策略,進而保 證了源終端與目標終端間的通信。
[0082] 在本發(fā)明的另一個實施方式中,網(wǎng)關(guān)設(shè)備中可W存儲兩個身份信息表,第一身份 信息表用于存儲包含已上線用戶的用戶名和終端標識的表項,第二身份信息表用于存儲包 含免認證用戶名和終端標識的免認證表項。此時設(shè)備間的訪問方法可參考圖2,圖2為本發(fā) 明實施例提供的另一種訪問方法的流程示意圖,該方法中,步驟S102還可W包括:
[0083] S1021:當訪問報文與免認證規(guī)則相匹配時,在第一身份信息表中查找包含源終端 標識的表項,若未查找到,執(zhí)行S1022;
[0084] 運里,第一身份信息表如表2所示。
[0085] 表 2 「nORAl
[0087] 當?shù)谝簧矸菪畔⒈碇写嬖诎唇K端標識的表項時,表明該源終端對應的用戶已 上線,此時網(wǎng)關(guān)設(shè)備從該表項中確定出該已上線用戶的用戶名,根據(jù)該已上線用戶的用戶 名獲得對應的域間策略,并根據(jù)獲得的域間策略丟棄訪問報文或向目標終端轉(zhuǎn)發(fā)訪問報 文。假設(shè),訪問報文包含源終端標識為IP_acklrl,如表2所示,此時可W獲得用戶名為化erl, 網(wǎng)關(guān)設(shè)備根據(jù)化erl對應的域間策略控制向目標終端發(fā)送訪問報文。
[0088] S1022:若未查找到,在第二身份信息表中查找包含源終端標識的免認證表項。
[0089] 假設(shè),免認證用戶名為打ee-user-identity,則第二身份信息表可參考表3。
[0090] 表 3
[0091]
[0092] ~值得一提的是,在訪問報文與免認證規(guī)則匹配,且第一身份信息表中不存在包含~ 源終端標識的表項的情況下,執(zhí)行S1022;在訪問報文不與免認證規(guī)則匹配,且第一身份信 息表中不存在包含源終端標識的表項的情況下,丟棄該訪問報文,拒絕執(zhí)行S1022,避免用 戶未上線且源終端發(fā)送的訪問報文與免認證則規(guī)不匹配,但在第二身份信息表中存在包含 該源終端標識的免認證表項,進而使得網(wǎng)關(guān)設(shè)備根據(jù)該免認證表項獲得免認證用戶名,根 據(jù)免認證用戶名對應的域間策略,向目標終端轉(zhuǎn)發(fā)訪問報文,引起網(wǎng)絡(luò)安全的問題。
[0093] S1022之后,若第二身份信息表中存在包含源終端標識的免認證表項,從該免認證 表項中確定出免認證用戶名,執(zhí)行S104;若第二身份信息表中不存在包含源終端標識的免 認證表項,執(zhí)行S103。
[0094] 在S103中,當未查找到包含所述源終端標識的表項時,生成包含源終端標識和免 認證用戶名的免認證表項可W為:當在第二身份信息表中未查找到包含源終端標識的免認 證表項時,在第二身份信息表中生成包含源終端標識和免認證用戶名的免認證表項。
[0095] 參考圖3,圖3為本發(fā)明實施例提供的一種訪問裝置的結(jié)構(gòu)示意圖,應用于網(wǎng)關(guān)設(shè) 備,該裝置包括:
[0096] 接收單元301,用于接收源終端發(fā)送的訪問報文,其中,訪問報文包含源終端標識;
[0097] 查找單元302,用于當訪問報文與免認證規(guī)則相匹配時,在身份信息表中查找包含 源終端標識的表項;
[0098] 生成單元303,用于當未查找到包含源終端標識的表項時,生成包含源終端標識和 免認證用戶名的免認證表項;
[0099] 轉(zhuǎn)發(fā)單元304,用于根據(jù)免認證表項中的免認證用戶名所對應的域間策略,向目標 終端轉(zhuǎn)發(fā)訪問報文。
[0100] 在本發(fā)明的一個實施方式中,生成單元303,還用于:
[0101] 在免認證表項中記錄老化時間;
[0102] 運種情況下,上述訪問裝置還可W包括:
[0103] 判斷單元,用于判斷免認證表項的生成時間是否大于老化時間;
[0104] 刪除單元,用于在判斷單元判斷結(jié)果為是的情況下,從身份信息表中刪除免認證 表項(圖3中未示出)。
[0105] 在本發(fā)明的一個實施方式中,身份信息表包含:第一身份信息表和第二身份信息 表,其中,第一身份信息表,用于存儲包含已上線用戶的用戶名和終端標識的表項,第二身 份信息表,用于存儲包含免認證用戶名和終端標識的免認證表項;
[0106] 查找單元302,具體用于:
[0107] 當訪問報文與免認證規(guī)則相匹配時,在第一身份信息表中查找包含源終端標識的 表項;當在第一身份信息表中未查找到包含源終端標識的表項時,在第二身份信息表中查 找包含源終端標識的免認證表項。
[0108] 運種情況下,生成單元303,具體用于:
[0109] 當在第二身份信息表中未查找到包含源終端標識的免認證表項時,在第二身份信 息表中生成包含源終端標識和免認證用戶名的免認證表項。
[0110] 在本發(fā)明的一個實施方式中,查找單元302,還用于:
[0111] 當訪問報文不與免認證規(guī)則相匹配時,在第一身份信息表中查找包含源終端標識 的表項;
[0112] 當在第一身份信息表中未查找到包含源終端標識的表項時,丟棄訪問報文。
[0113] 在本發(fā)明的一個實施方式中,上述訪問裝置還可W包括:
[0114] 確定單元,用于當查找到至少兩個表項包含源終端標識時,從至少兩個表項中確 定優(yōu)先級最高的表項中的用戶名;
[0115] 控制單元,根據(jù)所確定的用戶名對應的域間策略,控制向目標終端轉(zhuǎn)發(fā)訪問報文 (圖3中未示出)。
[0116] 應用圖3所示實施例,網(wǎng)關(guān)設(shè)備在接收到源終端發(fā)送的訪問報文后,首先判斷該訪 問報文是否與免認證規(guī)則相匹配,若匹配,在身份信息表中查找包含源終端標識的表項,當 未查找到包含源終端標識的表項時,生成包含該源終端標識和免認證用戶名的免認證表 項;根據(jù)該免認證表項中的免認證用戶名所對應的域間策略,向目標終端轉(zhuǎn)發(fā)訪問報文。此 時,可W從身份信息表中確定出免認證用戶名,獲得免認證用戶名對應的域間策略,進而保 證了源終端與目標終端間的通信。
[0117] 對于裝置實施例而言,由于其基本相似于方法實施例,所W描述的比較簡單,相關(guān) 之處參見方法實施例的部分說明即可。
[0118] 需要說明的是,在本文中,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實 體或者操作與另一個實體或操作區(qū)分開來,而不一定要求或者暗示運些實體或操作之間存 在任何運種實際的關(guān)系或者順序。而且,術(shù)語"包括"、"包含"或者其任何其他變體意在涵蓋 非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要 素,而且還包括沒有明確列出的其他要素,或者是還包括為運種過程、方法、物品或者設(shè)備 所固有的要素。在沒有更多限制的情況下,由語句"包括一個……"限定的要素,并不排除在 包括所述要素的過程、方法、物品或者設(shè)備中還存在另外的相同要素。
[0119] 本領(lǐng)域普通技術(shù)人員可W理解實現(xiàn)上述方法實施方式中的全部或部分步驟是可 W通過程序來指令相關(guān)的硬件來完成,所述的程序可W存儲于計算機可讀取存儲介質(zhì)中, 運里所稱得的存儲介質(zhì),如:R0M/RAM、磁碟、光盤等。
[0120] W上所述僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護范圍。凡在 本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換、改進等,均包含在本發(fā)明的保護范圍 內(nèi)。
【主權(quán)項】
1. 一種訪問方法,應用于網(wǎng)關(guān)設(shè)備,其特征在于,所述方法包括步驟: 接收源終端發(fā)送的訪問報文,其中,所述訪問報文包含源終端標識; 當所述訪問報文與免認證規(guī)則相匹配時,在身份信息表中查找包含所述源終端標識的 表項; 當未查找到包含所述源終端標識的表項時,生成包含所述源終端標識和免認證用戶名 的免認證表項; 根據(jù)所述免認證表項中的免認證用戶名所對應的域間策略,向目標終端轉(zhuǎn)發(fā)訪問報 文。2. 根據(jù)權(quán)利要求1所述的方法,其特征在于,在所述生成包含所述源終端標識和所述免 認證用戶名的表項之后,還包括: 在所述免認證表項中記錄老化時間; 所述方法還包括: 判斷所述免認證表項的生成時間是否大于所述老化時間; 若為是,則從所述身份信息表中刪除所述免認證表項。3. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述身份信息表包含:第一身份信息表和 第二身份信息表,其中,所述第一身份信息表,用于存儲包含已上線用戶的用戶名和終端標 識的表項,所述第二身份信息表,用于存儲包含免認證用戶名和終端標識的免認證表項; 所述在身份信息表中查找包含所述源終端標識的表項,包括: 在所述第一身份信息表中查找包含所述源終端標識的表項; 當在所述第一身份信息表中未查找到包含所述源終端標識的表項時,在所述第二身份 信息表中查找包含所述源終端標識的免認證表項; 所述當未查找到包含所述源終端標識的表項時,生成包含所述源終端標識和免認證用 戶名的免認證表項,具體為: 當在所述第二身份信息表中未查找到包含所述源終端標識的免認證表項時,在所述第 二身份信息表中生成包含所述源終端標識和免認證用戶名的免認證表項。4. 根據(jù)權(quán)利要求3所述的方法,其特征在于,在所述接收源終端發(fā)送的訪問報文之后, 還包括: 當所述訪問報文不與免認證規(guī)則相匹配時,在所述第一身份信息表中查找包含所述源 終端標識的表項; 當在所述第一身份信息表中未查找到包含所述源終端標識的表項時,丟棄所述訪問報 文。5. 根據(jù)權(quán)利要求1所述的方法,其特征在于,在身份信息表中查找包含所述源終端標識 的表項之后,還包括: 當查找到至少兩個表項包含所述源終端標識時,從所述至少兩個表項中確定優(yōu)先級最 高的表項中的用戶名; 根據(jù)所確定的用戶名對應的域間策略,控制向所述目標終端轉(zhuǎn)發(fā)所述訪問報文。6. -種訪問裝置,應用于網(wǎng)關(guān)設(shè)備,其特征在于,所述裝置包括: 接收單元,用于接收源終端發(fā)送的訪問報文,其中,所述訪問報文包含源終端標識; 查找單元,用于當所述訪問報文與免認證規(guī)則相匹配時,在身份信息表中查找包含所 述源終端標識的表項; 生成單元,用于當未查找到包含所述源終端標識的表項時,生成包含所述源終端標識 和免認證用戶名的免認證表項; 轉(zhuǎn)發(fā)單元,用于根據(jù)所述免認證表項中的免認證用戶名所對應的域間策略,向目標終 端轉(zhuǎn)發(fā)訪問報文。7. 根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述生成單元,還用于: 在所述免認證表項中記錄老化時間; 所述裝置還包括: 判斷單元,用于判斷所述免認證表項的生成時間是否大于所述老化時間; 刪除單元,用于在所述判斷單元判斷結(jié)果為是的情況下,從所述身份信息表中刪除所 述免認證表項。8. 根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述身份信息表包含:第一身份信息表和 第二身份信息表,其中,所述第一身份信息表,用于存儲包含已上線用戶的用戶名和終端標 識的表項,所述第二身份信息表,用于存儲包含免認證用戶名和終端標識的免認證表項; 所述查找單元,具體用于: 當所述訪問報文與免認證規(guī)則相匹配時,在所述第一身份信息表中查找包含所述源終 端標識的表項; 當在所述第一身份信息表中未查找到包含所述源終端標識的表項時,在所述第二身份 信息表中查找包含所述源終端標識的免認證表項; 所述生成單元,具體用于: 當在所述第二身份信息表中未查找到包含所述源終端標識的免認證表項時,在所述第 二身份信息表中生成包含所述源終端標識和免認證用戶名的免認證表項。9. 根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述查找單元,還用于: 當所述訪問報文不與免認證規(guī)則相匹配時,在所述第一身份信息表中查找包含所述源 終端標識的表項;當在所述第一身份信息表中未查找到包含所述源終端標識的表項時,丟 棄所述訪問報文。10. 根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述裝置還包括: 確定單元,用于當查找到至少兩個表項包含所述源終端標識時,從所述至少兩個表項 中確定優(yōu)先級最尚的表項中的用戶名; 控制單元,根據(jù)所確定的用戶名對應的域間策略,控制向所述目標終端轉(zhuǎn)發(fā)所述訪問 報文。
【文檔編號】H04L29/06GK106060006SQ201610304701
【公開日】2016年10月26日
【申請日】2016年5月9日
【發(fā)明人】郗二軍
【申請人】杭州華三通信技術(shù)有限公司