CN101478485B - 局域网访问控制的方法以及网关设备 - Google Patents
局域网访问控制的方法以及网关设备 Download PDFInfo
- Publication number
- CN101478485B CN101478485B CN200910005547XA CN200910005547A CN101478485B CN 101478485 B CN101478485 B CN 101478485B CN 200910005547X A CN200910005547X A CN 200910005547XA CN 200910005547 A CN200910005547 A CN 200910005547A CN 101478485 B CN101478485 B CN 101478485B
- Authority
- CN
- China
- Prior art keywords
- gateway
- message
- user
- local area
- area network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种局域网访问控制的方法以及网关设备。其中,一种局域网访问控制的方法,包括:第一网关与第二网关交互进行注册用户信息的同步;第一网关接收用户的接入请求;第一网关根据所述与第二网关同步的注册用户信息对所述用户访问局域网进行接入控制。由上可以看出,通过网关之间的交互进行注册用户信息的同步;当用户在一个网关注册后,再登陆其他网关时,其他网关则可以根据同步的注册用户信息对该用户访问局域网进行接入控制。则可以无需按照现有技术的方式重复在其他网关注册,简化了用户注册的过程,使得用户一旦用于在一个网关获得访问权限,则可以登陆多个局域网获得资源,极大的方便了用户。
Description
技术领域
本发明涉及通信技术领域,具体涉及局域网访问控制的方法以及网关设备。
背景技术
随着Internet网络技术的不断发展,信息安全和信息保护越来越受到人们的重视。现有的网关接入方式主要有安全套接字层(Security Socket Layer,SSL)方式和IP层协议安全结构(Security Architecture for IP network,IPSec)方式两种,一般连接在防火墙之后、局域网资源之前,为外网用户提供安全接入。
SSL方式接入方式中,用户如果想访问网关所在局域网的资源,则需要在网关进行登陆,登陆后,根据网关赋予用户的权限获取资源。用户登陆网关的过程一般为:
用户在登陆界面输入用户名和密码,网关根据保存的用户信息数据库对所述用户输入的用户名和密码进行验证,验证通过后,网关与所述用户协商一个SSL方式加密的密钥后,则完成登陆。此后,网关和所述用户之间传输的数据包均使用所述密钥加密,网关和所述用户利用所述密钥可以对传输的数据包解封。以实现数据传输的安全控制。
SSL方式接入网关的一个显著的缺点是,一个用户如果想访问多个物理分割的局域网,就需要在所在所述多个局域网的多台网关上分别进行注册,用户操作繁琐,十分不便。
发明内容
本发明实施例提供局域网访问控制的方法以及网关设备,可以实现用户在一个网关注册后,即可获得访问多个局域网资源的权限。
本发明实施例提供了一种局域网访问控制的方法,包括:
第一网关与第二网关交互进行注册用户信息的同步;
第一网关接收用户的接入请求;
第一网关根据所述与第二网关同步的注册用户信息对所述用户访问局域网进行接入控制。
本发明实施例还提供了一种网关设备,包括:
信息同步单元,用于与另一网关交互进行注册用户信息的同步;
接入控制单元,用于接收用户的接入请求,根据所述与另一网关同步的注册用户信息对所述用户访问局域网进行接入控制。
由上技术方案可以看出,通过网关之间的交互进行注册用户信息的同步;当用户在一个网关注册后,再登陆其他网关时,其他网关则可以根据同步的注册用户信息对该用户访问局域网进行接入控制。无需按照现有技术的方式重复在其他网关注册,简化了用户注册的过程,使得用户一旦用于在一个网关获得访问权限,则可以登陆多个局域网获得资源,极大的方便了用户。
附图说明
图1是本发明一实施例的组网示意图;
图2是本发明一实施例提供的局域网访问控制的方法的流程图;
图3是本发明一实施例提供的局域网访问控制的方法的流程图;
图4是本发明一实施例网关设备的结构示意图;
图5是本发明一实施例网关设备的结构示意图;
图6是本发明一实施例通信系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种局域网访问控制的方法以及网关设备和通信系统方法。
如图1所示,本发明一实施例的组网示意图,在不同局域网(局域网1和局域网2)的网关(第一网关和第二网关)之间设立IPSec(Security Architecture forIP network,IP层协议安全结构)隧道,第一网关和第二网关通过所述IPsec通道进行交互,保持注册用户信息的同步,当用户在其中一个网关注册后,另一个网关则可以通过数据同步获得该用户的注册用户信息;本例中,用IPSec通道进行数据传输可以保证局域网1与局域网2之间通信的安全性。
图中用户在第一网关上登录后,局域网1和局域网2对用户来说都是安全的。可以直接访问局域网1和局域网2的资源。发往局域网2的数据由第一网关截获后,封装成IPsec报文后发给第二网关,再由第二网关解析后转发往局域网2,反之亦然。可以理解,用户也可以不通过局域网1,直接访问局域网2,因为用户已经在第一网关注册过,因此无需在第二网关重复注册,可以直接通过第二网关的验证访问局域网2的资源。
以下对本发明的优选实施例进行详细说明。
本发明一实施例提供的局域网访问控制的方法,流程如图2所示,包括:
A1,第一网关与第二网关交互进行注册用户信息的同步;
具体的同步方式可以有多种,例如:可以将同步的过程分为初始同步阶段和更新同步阶段:
初始同步阶段:网关相互之间拷贝对方所有的注册用户信息,以完成初始同步;当网关之间注册用户信息完全一致后,则进入更新阶段;
更新同步阶段:初始同步后,当某个网关的注册用户信息发生改变则将改变的数据通知给其他具有同步关系的网关,其他网关进行数据更新。
本发明实施例中,所述第一网关与第二网关交互进行注册用户信息的同步后,若所述第一网关和所述第二网关中一个网关配置的注册用户信息发生改变,则通过更新信息将发生改变的数据发送给另一个网关进行配置更新。以保证第一网关和第二网关具有相同的注册用户信息。
本实施例中,注册用户信息包括:
用户的登陆身份校验信息和对应的用户访问的安全控制策略。
所述用户的登陆身份校验信息可以是用于识别用户的多种形式,一般采用用户名、密码的形式,可以理解,也可以采用如:用户的网际协议(IP)地址,介质访问控制(MAC)地址等可以标识用户身份的信息。
所述安全控制策略包括:用户的权限设置以及权限对应允许访问的局域网资源。
例如:用户的权限可以分为管理员级、用户级、访客级;
具有管理员级权限的用户具有最高权限,可以访问和修改局域网内的所有资源,对局域网的资源配置和数据系统进行管理;
具有用户级权限的用户可以访问和修改共享区的资源;
具有访客级权限的用户只能以“只读”方式获得共享区的资源。
上述更新同步阶段,注册用户信息发生改变包括:新用户的注册、用户信息的销毁、用户权限级别的变更、权限级别对应的资源配置的变更等。
具体的,本发明实施例第一网关和第二网关之间的通信是通过建立的IPsec隧道实现的,所述第一网关和所述第二网关之间通过IPsec隧道进行数据传输,在所述数据传输前,将所述数据封装成IPsec格式。。通过IPsec隧道方式进行通信可以使得网关之间交互的数据更加安全,因为只有拥有隧道标识的网关才可以对IPsec报文进行解封,本发明实施例中并不限于此种方式完成网关之间的通信,现有的常规通信方式均可使用,例如传统的会话方式等,具体的方式不构成对本发明的限制。可以理解,若所述IPsec隧道断开,则所述第一网关和所述第二网关重新协商建立IPsec隧道,以保证实时的连通。
A2,第一网关接收用户的接入请求;
第一网关根据所述与第二网关同步的注册用户信息对该用户访问局域网进行接入控制。
根据所述与第二网关同步的注册用户信息判断所述用户在所述第一网关的接入是否合法,若合法,则允许所述用户的接入,若不合法,则拒绝所述用户的接入。
具体的,判断所述用户是否在所述第一网关注册过的过程包括:
获取用户接入请求中的用户名和密码;
检查所述与第二网关同步的注册信息中是否有所述用户名;若有所述用户名;则继续检查密码是否正确,若密码正确,则确认合法;若没有所述用户的用户名或者密码不正确,则确认不合法。
可以理解,具体判断所述用户是否在所述第一网关注册的过程还可以是,获取用户接入请求中的IP地址或MAC地址,检查所述与第二网关同步的注册信息中是否包含所述IP地址或MAC地址,若包含,则允许所述用户的接入。
本实施例中,还包括:第一网关接收报文并进行报文转发处理。本发明实施例中,网关可以接收三种报文并并可以对不同的报文进行区分处理。
若所述第一网关收到的报文为安全套接字层SSL报文,则进行报文解封,检查该用户的安全控制策略,如果不符合网关安全策略,则丢弃该报文;若符合网关的安全控制策略,则进一步判断所述报文的目的地址,如果目的地址为所述第一网关所在的局域网,则直接进行转发,如果所述报文的目的地址是所述第二网关所在的局域网,则封装成IPsec报文,并通过IPsec隧道发送给第二网关。
若所述第一网关收到的报文为所述第一网关所在局域网的报文,如果所述报文的目的地址为公网,则封装成SSL报文后发送;如果所述报文的目的地址为所述第二网关所在的局域网,则封装成IPsec报文并通过与所述第二网关之间的IPsec隧道发送给第二网关。
若所述第一网关收到的报文为第二网关发送的IPsec报文,则判断报文的目的地址是否为本网关所在的局域网,若是,则进行IPsec解封装后转发。
本发明实施例中,通过网关之间的交互进行注册用户信息的同步;当用户在一个网关注册后,再登陆其他网关时,其他网关则可以根据同步的注册用户信息对该用户访问局域网进行接入控制。则可以无需按照现有技术的方式重复在其他网关注册,简化了用户注册的过程,使得用户一旦用于在一个网关获得访问权限,则可以登陆多个局域网获得资源,极大的方便了用户。
进一步本发明实施例网关之间建立IPsec隧道,并通过建立的IPsec隧道进行注册用户信息的同步和数据传输,可以使得网关之间的数据传输更加安全可靠。
本发明一实施例对网关针对不同报文的一种可行处理方式进行描述,流程如图3所示,包括:
B1,网关接收报文;
B2,检查报文的类型;若报文的类型为普通报文,即所述报文为网关所在局域网内部的报文,则继续步骤B3;若报文的类型为SSL报文,则继续步骤B4;若报文的类型为IPsec报文,则继续步骤B5;
B3,进行普通报文处理,具体的处理方式为:若所述普通报文的目的地址为公网,则进行SSL封装后发送;若所述普通报文的目的地址为所述网关所在的局域网,则直接转发;若所述普通报文的目的地址为其他局域网,则封装成IPsec报文后,通过与所述其他局域网内的网关之间的IPsec隧道发送给对方网关。
B4,对SSL报文进行解析并继续步骤B6。
B5,判断该IPsec报文的目的地址是否是本网关所在局域网,若是,则进行解封并转发,若不是,则根据目的地址查找IPsec隧道,并通过IPsec隧道进行转发,并结束本流程。
B6,结合和其他网关同步的数据对报文进行安全策略匹配,若匹配通过,则继续步骤B8,若匹配失败,则继续步骤B7。
B7,丢弃报文,并结束本流程。
B8,判断该报文的目的地址是否是本网关所在局域网,若是,则继续步骤B9,若否,则继续步骤B10。
B9,按照目的地址进行报文转发,并结束本流程。
B10,根据所述报文的目的地址查找IPsec隧道,若找到,则继续步骤B11,若否,则继续所述步骤B12。
可以理解的是,网关保存与其他网关建立的IPsec隧道并保存为一个访问控制列表(Access Control List,ACL),在进行IPsec报文发送时,则查找该ACL获得IPsec隧道。
B11,通过所述查找到的IPsec隧道将所述IPsec报文发送给其他网关。
B12,丢弃所述IPsec报文。并结束本流程。
基于上述方法,本发明实施例的网关可以处理IPsec和SSL报文。而IPsec隧道配置建立后,网关之间保持IPsec隧道两端的通信关系。一旦隧道断开,网关之间会重新进行协商建立隧道。而每次隧道建立之后,网关间可以重新将两端的注册用户信息进行同步。
在通过IPsec隧道进行注册用户信息同步的过程如果每次都把网关之间所有的注册用户信息逐一传递进行比较,除了耗费较多的时间,还可能造成IPsec隧道堵塞,不利于业务的运行。
因此,本发明实施例中可以通过仅更新变化的数据,以降低同步的时候传输的数据量,具体的可以通过更新信息将发生变化的数据发送给对方网关。这里的发生变化的数据可以包括:修改的数据、新增的数据、删除的数据。
下面通过一个具体实例进行说明,以下实施例仅作为本发明实现的一种可行的实施例,不构成对本发明的限制。
对每一条注册用户信息都设置一个标志位、一个序列号和一个老化位。
注册用户信息包括:用户的登陆身份校验信息和对应的用户访问的安全控制策略,所述安全控制策略包括:用户的权限设置以及权限对应允许访问的局域网资源。
不同网关的注册用户信息,其分配的序列号范围不相同。该序列号用于唯一的标识每条注册用户信息。
标志位用于标识每条注册用户信息的状态。标志位的值的表示的含义如表1所示。
标志位为1和5的注册用户信息都不会生效,只会保存在网关中等待同步。
标志位在2、3、4的注册用户信息都会生效;其中标志位为3的配置信息表示网关间同步正常,其他值则表示同步异常。
| 标志位值 | 意义 |
| 1 | 初始化的信息 |
| 2 | 待同步的信息 |
| 3 | 已同步的信息 |
| 4 | 超时仍未同步的信息 |
| 5 | 待删除的信息 |
下面结合本例信息同步的流程对表1的使用进行说明:
网关初次配置注册用户信息后,各个注册用户信息的标志位置均为1。随后当前网关将把该注册用户信息发送给对端网关,把标志位设为2。而一旦收到对端网关的确认,则标志位置为3。通过出错重传机制确保信息可以发送到对方。
对于接收方网关,收到配置注册用户信息后,将该注册用户信息标志位设为2,并发送确认报文。一旦收到对方的确认报文后,将标志位设为3。
一条配置注册用户信息,在状态为2或3时都会生效。网关会定期将查询标志位非3的配置注册用户信息,将其发送到对端网关,并修改老化位的值加1。这里老化位是预置的发送次数,当发送预置的次数到达临界值,仍然无法同步该注册用户信息,则网关置该注册用户信息标志位为4,上报网管,记录配置异常,不再发送配置注册用户信息。
例如:预置老化位的临界值为3,那么第一发送则把老化位置1,第二次发送将老化位置2,第三次发送将老化位置3,此时到达临界值,若还没有收到对方网关的确认,则将注册用户信息标志位置4。
对于修改过的注册用户信息,本地网关将其标志为改回2并发送该注册用户信息给对端网关,收到对端正确回应后再次置为3。而本地网关若收到修改注册用户信息后,则进行注册用户信息修改,如果修改成功,标志位不变,否则,将标志位置5,上报网管。
对于要删除的配置,该注册用户信息的标志位置5,发送并将该注册用户信息的序列号发送到对方网关。收到对方网关正确的应答后,在本地删除,否则,将标志位置4上报网管。
收到对方网关要删除的序列号,本地删除后发送应答信息。本地删除失败,将标志位5,上报网管。
对于标志位为4、5的配置,管理员可以选择预先设置启动重发或在本地删除该信息。管理员也可以选择发送本地所有配置信息覆盖远端网关信息或请求远端网关发送所有配置信息到本网关。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
本发明一实施例提供的网关设备,其结构示意图如图4所示,包括:
信息同步单元410,用于与另一网关交互进行注册用户信息的同步;
接入控制单元420,用于接收用户的接入请求,根据所述与另一网关同步的注册用户信息对该用户访问局域网进行接入控制。
本发明另一实施例提供的网关设备500,对接入控制单元的一种具体可行的处理方式给出实例,本例应理解为对接入控制单元功能应用于具体场景的实现,不构成对本发明的限制,其结构示意图如图5所示,包括:
信息同步单元510,用于与另一网关交互进行注册用户信息的同步;
接入控制单元520,用于在网关收到用户发送的报文时,根据所述与另一网关同步的注册用户信息对该用户访问局域网进行接入控制。
IPsec隧道建立单元530,用于建立与另一网关之间的IPsec隧道,所述IPsec隧道用于网关之间传输数据,在所述数据传输前,将所述数据封装成IPsec格式。。
报文转发单元540,用于接收报文并进行转发处理。
其中,所述报文转发单元540包括:
报文分类单元541,用于检测所述接收报文的类型;若接收的报文为SSL报文,则将报文送SSL报文处理单元处理;若接收的报文为普通报文,则将报文送普通报文处理单元处理;若接收的报文为IPsec报文,则将报文送IPsec报文处理单元处理;
SSL报文处理单元542,用于接收报文分类单元541的SSL报文则进行报文解封;检查该用户的安全控制策略,如果不符合网关安全策略,则丢弃该报文;若符合网关的安全控制策略,则进一步判断所述报文的目的地址,如果目的地址为所述第一网关所在的局域网,则直接进行转发,如果所述报文的目的地址是所述第二网关所在的局域网,则封装成IPsec报文,并通过IPsec隧道发送给另一网关;
普通报文处理单元543,用于接收报文分类单元541的普通报文,如果所述报文的目的地址为公网,则封装成SSL报文后发送,如果所述报文的目的地址为所述另一网关所在的局域网,则封装成IPsec报文,并通过IPsec隧道发送给另一网关;
IPsec报文处理单元544,用于接收报文分类单元541的IPsec报文,判断报文的目的地址是否为本网关所在的局域网,若是,则进行IPsec解封装后转发。
本实施例中,通过网关之间的交互进行注册用户信息的同步;当一个网关收到用户发送的报文时,可以根据所述与其他网关同步的注册用户信息对该用户访问局域网进行接入控制。用户的认证授权的过程更方便、更简洁,一旦用于在一个网关获得访问权限,则可以无需向现有技术一样重复登陆其他网关,通过统一的安全策略管理直接的自由的访问其他局域网。极大的方便了用户。
进一步本发明实施例中在网关之间进行数据同步时,可以仅更新改变的数据,即通过更新信息将发生改变的数据发送给对方网关达到降低同步的数据量的目的。使得网关之间交互较少的数据即可实现同步,起到节约网络带宽,提高同步效率的目的。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (15)
1.一种局域网访问控制的方法,其特征在于,包括:
第一网关与第二网关交互进行注册用户信息的同步;
第一网关接收用户的接入请求;
第一网关根据所述与第二网关同步的注册用户信息对所述用户访问局域网进行接入控制。
2.如权利要求1所述的方法,其特征在于,还包括:所述注册用户信息包括:
用户的登陆身份校验信息和对应的用户访问的安全控制策略。
3.如权利要求1所述的方法,其特征在于,所述第一网关与第二网关交互进行注册用户信息的同步后,若所述第一网关和所述第二网关中一个网关配置的注册用户信息发生改变,则通过更新信息将发生改变的数据发送给另一个网关进行配置更新。
4.如权利要求1所述的方法,其特征在于,所述第一网关和所述第二网关之间通过IPsec隧道进行数据传输,其中,在所述数据传输前,将所述数据封装成IPsec格式。
5.如权利要求4所述的方法,其特征在于,若所述IPsec隧道断开,则所述第一网关和所述第二网关重新协商建立IPsec隧道。
6.如权利要求1所述的方法,其特征在于,所述第一网关根据所述与第二网关同步的注册用户信息对所述用户访问局域网进行接入控制的过程包括:
根据所述与第二网关同步的注册用户信息判断所述用户的接入是否合法,若合法,则允许所述用户的接入,若不合法,则拒绝所述用户的接入。
7.如权利要求6所述的方法,其特征在于,判断所述用户的接入是否合法,包括:
获取用户接入请求中的用户名和密码;
检查所述与第二网关同步的注册信息中是否有所述用户名;若有所述用户名;则继续检查密码是否正确,若密码正确,则确认合法;若没有所述用户的用户名或者密码不正确,则确认不合法。
8.如权利要求4所述的方法,其特征在于,还包括:
所述第一网关接收报文并进行报文转发处理。
9.如权利要求8所述的方法,其特征在于,若所述第一网关收到的报文为安全套接字层SSL报文,则进行报文解封;检查所述用户的安全控制策略,如果不符合所述第一网关安全策略,则丢弃所述报文;若符合所述第一网关的安全控制策略,则进一步判断所述报文的目的地址,如果目的地址为所述第一网关所在的局域网,则直接进行转发,如果所述报文的目的地址是所述第二网关所在的局域网,则封装成IPsec报文,并通过IPsec隧道发送给所述第二网关。
10.如权利要求8所述的方法,其特征在于,若所述第一网关收到的报文为所述第一网关所在局域网的报文,如果所述报文的目的地址为公网,则封装成SSL报文后发送,如果所述报文的目的地址为所述第二网关所在的局域网,则封装成IPsec报文并通过与所述第二网关之间的IPsec隧道发送给所述第二网关。
11.如权利要求8所述的方法,其特征在于,若所述第一网关收到的报文为第二网关发送的IPsec报文,则判断报文的目的地址是否为本网关所在的局域网,若是,则进行IPsec解封装后转发。
12.一种网关设备,其特征在于,包括:
信息同步单元,用于与另一网关交互进行注册用户信息的同步;
接入控制单元,用于接收用户的接入请求,根据所述与另一网关同步的注册用户信息对所述用户访问局域网进行接入控制。
13.如权利要求12所述的网关设备,其特征在于,所述网关设备还包括:
IPsec隧道建立单元,用于建立与所述另一网关之间的IPsec隧道,所述IPsec隧道用于所述网关设备和另一网关之间传输数据。
14.如权利要求13所述的网关设备,其特征在于,所述网关设备还包括:
报文转发单元,用于接收报文并进行转发处理。
15.如权利要求14所述的网关设备,其特征在于,所述报文转发单元还包括:
报文分类单元,用于检测所述接收报文的类型;若接收的报文为SSL报文,则由SSL报文处理单元处理;若接收的报文为普通报文,则由普通报文处理单元处理;若接收的报文为IPsec报文,则由IPsec报文处理单元处理;
所述SSL报文处理单元,用于接收所述报文分类单元的SSL报文,并对所述SSL报文进行报文解封;检查所述用户的安全控制策略,若符合所述网关设备的安全控制策略,则判断所述报文的目的地址,如果目的地址为所述网关设备所在的局域网,则直接进行转发,如果所述报文的目的地址是所述另一网关所在的局域网,则封装成IPsec报文,并通过IPsec隧道发送给所述另一网关;
普通报文处理单元,用于接收所述报文分类单元的普通报文,如果所述报文的目的地址为公网,则封装成SSL报文后发送,如果所述报文的目的地址为所述另一网关所在的局域网,则封装成IPsec报文并通过与所述另一网关之间的IPsec隧道发送给所述另一网关;
IPsec报文处理单元,用于接收所述报文分类单元的IPsec报文,判断报文的目的地址是否为所述网关设备所在的局域网,若是,则进行IPsec解封装后转发。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910005547XA CN101478485B (zh) | 2009-01-19 | 2009-01-19 | 局域网访问控制的方法以及网关设备 |
| PCT/CN2009/076252 WO2010081380A1 (zh) | 2009-01-19 | 2009-12-30 | 局域网访问控制的方法以及网关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910005547XA CN101478485B (zh) | 2009-01-19 | 2009-01-19 | 局域网访问控制的方法以及网关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101478485A CN101478485A (zh) | 2009-07-08 |
| CN101478485B true CN101478485B (zh) | 2012-04-04 |
Family
ID=40839120
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910005547XA Active CN101478485B (zh) | 2009-01-19 | 2009-01-19 | 局域网访问控制的方法以及网关设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101478485B (zh) |
| WO (1) | WO2010081380A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101478485B (zh) * | 2009-01-19 | 2012-04-04 | 成都市华为赛门铁克科技有限公司 | 局域网访问控制的方法以及网关设备 |
| CN101951380B (zh) * | 2010-09-28 | 2013-08-28 | 杭州华三通信技术有限公司 | 轻量级双栈组网中的访问控制方法及其装置 |
| CN106936779A (zh) * | 2015-12-29 | 2017-07-07 | 北京网御星云信息技术有限公司 | 一种数据连接方法、系统及装置 |
| CN106549864B (zh) * | 2016-12-06 | 2019-11-22 | 上海电器科学研究院 | 一种云网关的通信实现方法 |
| CN110493319B (zh) * | 2019-07-23 | 2022-07-12 | 视联动力信息技术股份有限公司 | 数据同步方法、系统及装置 |
| CN110635979B (zh) * | 2019-10-21 | 2022-02-01 | 杭州鸿雁智能科技有限公司 | 局域网内的通信设备之间互联的方法 |
| CN113625589B (zh) * | 2021-09-15 | 2023-12-12 | 云茂互联智能科技(厦门)有限公司 | 一种设备控制方法、装置、电子设备和存储介质 |
| CN114040403B (zh) * | 2021-10-26 | 2024-05-24 | 青岛海尔科技有限公司 | 设备同步方法、装置及系统 |
| CN113992440B (zh) * | 2021-12-28 | 2022-08-19 | 北京安博通科技股份有限公司 | 一种网关设备和将本地数据传入IPsec隧道的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1642109A (zh) * | 2004-09-30 | 2005-07-20 | 迈普(四川)通信技术有限公司 | 一种实现通信负载均衡的方法及网关、中心网关 |
| CN101075875A (zh) * | 2007-06-14 | 2007-11-21 | 中国电信股份有限公司 | 在门户/系统之间实现单点登录的方法及其系统 |
| CN101262350A (zh) * | 2008-04-23 | 2008-09-10 | 杭州华三通信技术有限公司 | 一种Portal双机热备份的实现方法、系统及设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7631346B2 (en) * | 2005-04-01 | 2009-12-08 | International Business Machines Corporation | Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment |
| CN101166173B (zh) * | 2006-10-20 | 2012-03-28 | 北京直真节点技术开发有限公司 | 一种单点登录系统、装置及方法 |
| CN101478485B (zh) * | 2009-01-19 | 2012-04-04 | 成都市华为赛门铁克科技有限公司 | 局域网访问控制的方法以及网关设备 |
-
2009
- 2009-01-19 CN CN200910005547XA patent/CN101478485B/zh active Active
- 2009-12-30 WO PCT/CN2009/076252 patent/WO2010081380A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1642109A (zh) * | 2004-09-30 | 2005-07-20 | 迈普(四川)通信技术有限公司 | 一种实现通信负载均衡的方法及网关、中心网关 |
| CN101075875A (zh) * | 2007-06-14 | 2007-11-21 | 中国电信股份有限公司 | 在门户/系统之间实现单点登录的方法及其系统 |
| CN101262350A (zh) * | 2008-04-23 | 2008-09-10 | 杭州华三通信技术有限公司 | 一种Portal双机热备份的实现方法、系统及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010081380A1 (zh) | 2010-07-22 |
| CN101478485A (zh) | 2009-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101478485B (zh) | 局域网访问控制的方法以及网关设备 | |
| CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
| CN100594476C (zh) | 用于实现基于端口的网络访问控制的方法和装置 | |
| CN101707596B (zh) | 公共接入点 | |
| EP2859700B1 (en) | Using neighbor discovery to create trust information for other applications | |
| US9465668B1 (en) | Adaptive ownership and cloud-based configuration and control of network devices | |
| CN1606849B (zh) | 个人虚拟桥接局域网 | |
| CN101651597B (zh) | 一种地址分离映射网络中IPSec-VPN的部署方法 | |
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| US20130283050A1 (en) | Wireless client authentication and assignment | |
| CN109005179A (zh) | 基于端口控制的网络安全隧道建立方法 | |
| CN101087236B (zh) | Vpn接入方法和设备 | |
| US9961546B2 (en) | System and method for rapid authentication in wireless communications | |
| CN108243413A (zh) | 一种无线接入铁路信息网络的方法及系统 | |
| WO2019237683A1 (zh) | 一种协议报文以及虚拟客户终端设备的管理方法 | |
| CN106533894B (zh) | 一种全新的安全的即时通信体系 | |
| CN106027491A (zh) | 基于隔离ip地址的独立链路式通信处理方法和系统 | |
| CN101599834B (zh) | 一种认证部署方法和一种管理设备 | |
| CN100591068C (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
| CN109640350A (zh) | Ap的远程维护方法和装置 | |
| KR101267415B1 (ko) | 산업무선네트워크에서 키에 의한 상호 인증 시스템 및 그 방법 | |
| CN100556027C (zh) | 一种基于网络密钥交换协议的地址更新方法 | |
| CN100356725C (zh) | 一种网络设备的管理方法 | |
| CN101902462B (zh) | 一种低开销的传感器网络访问控制方法及系统 | |
| CN111817854B (zh) | 一种基于无中心标识映射同步管理的安全认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20220831 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |
|
| TR01 | Transfer of patent right |