CN103929419B - 访问控制方法和装置 - Google Patents

访问控制方法和装置 Download PDF

Info

Publication number
CN103929419B
CN103929419B CN201410123103.7A CN201410123103A CN103929419B CN 103929419 B CN103929419 B CN 103929419B CN 201410123103 A CN201410123103 A CN 201410123103A CN 103929419 B CN103929419 B CN 103929419B
Authority
CN
China
Prior art keywords
mac address
key
access
dlna
dlna client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410123103.7A
Other languages
English (en)
Other versions
CN103929419A (zh
Inventor
刘铁俊
李政
陈现麟
程亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xiaomi Inc
Original Assignee
Xiaomi Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xiaomi Inc filed Critical Xiaomi Inc
Priority to CN201410123103.7A priority Critical patent/CN103929419B/zh
Publication of CN103929419A publication Critical patent/CN103929419A/zh
Priority to RU2015134847A priority patent/RU2628483C2/ru
Priority to PCT/CN2014/082874 priority patent/WO2015143803A1/zh
Priority to JP2016509290A priority patent/JP6096376B2/ja
Priority to BR112014024551-7A priority patent/BR112014024551B1/pt
Priority to KR1020147026649A priority patent/KR101620254B1/ko
Priority to MX2014011133A priority patent/MX349318B/es
Priority to US14/505,684 priority patent/US9794261B2/en
Priority to EP15151401.5A priority patent/EP2924947B1/en
Application granted granted Critical
Publication of CN103929419B publication Critical patent/CN103929419B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本公开是关于一种访问控制方法和装置,属于通信领域。所述方法包括:接收数字生活网络联盟DLNA客户端发送的访问请求;获取所述DLNA客户端所使用的介质访问控制MAC地址;检测所述MAC地址是否存在于预设黑名单中;如果所述MAC地址存在于所述预设黑名单中,则拒绝所述DLNA客户端的访问。本公开解决了相关技术中DLNA客户端可以随意地向DLNA服务器发起访问请求,存在恶意访问和安全隐患的问题;本公开通过设置预设黑名单,有效排除了一些DLNA客户端通过不合法的MAC地址或者未获得访问权限的MAC地址发送的访问请求,使得DLNA客户端无法随意地向DLNA服务器发起访问请求,充分避免了一些恶意访问以及安全隐患。

Description

访问控制方法和装置
技术领域
本公开涉及通信领域,特别涉及一种访问控制方法和装置。
背景技术
DLNA(Digital Living Network Alliance,数字生活网络联盟)是由索尼、英特尔和微软发起的一个非盈利性组织,旨在解决消费电子设备之间共享数字媒体内容的问题。
在基于DLNA的网络架构中,包括DLNA客户端和DLNA服务器,DLNA客户端与DLNA服务器之间通过有线网络或者无线网络相连。DLNA服务器用于提供媒体内容,包括提供一个多媒体文件的共享平台,该共享平台支持图片、音乐、视频等媒体内容的共享。DLNA客户端用于访问并且播放由DLNA服务器共享的媒体内容。
发明人在实现本公开的过程中,发现上述方式至少存在如下缺陷:相关技术中并没有对DLNA客户端的访问做出任何管理和控制,DLNA客户端可以随意地向DLNA服务器发起访问请求,这就导致恶意访问和安全隐患的产生。
发明内容
为了解决相关技术中DLNA客户端可以随意地向DLNA服务器发起访问请求,存在恶意访问和安全隐患的问题,本公开实施例提供了一种访问控制方法和装置。所述技术方案如下:
根据本公开实施例的第一方面,提供了一种访问控制方法,用于数字生活网络联盟DLNA服务器中,所述方法包括:
接收DLNA客户端发送的访问请求;
获取所述DLNA客户端所使用的介质访问控制MAC地址;
检测所述MAC地址是否存在于预设黑名单中;
如果所述MAC地址存在于所述预设黑名单中,则拒绝所述DLNA客户端的访问。
可选地,所述方法还包括:
如果所述MAC地址不存在于所述预设黑名单中,则在预存对应关系中查找是否存在所述MAC地址,所述预存对应关系中包含不同MAC地址与不同密钥之间的对应关系;
如果所述预存对应关系中存在所述MAC地址,则根据所述预存对应关系中包含的与所述MAC地址对应的密钥确定是否授权所述DLNA客户端的访问。
可选地,所述根据所述预存对应关系中包含的与所述MAC地址对应的密钥确定是否授权所述DLNA客户端的访问,包括:
根据所述预存对应关系获取与所述MAC地址对应的密钥;
判断所述DLNA客户端发送的访问请求中是否携带有密钥;
如果携带有密钥且携带的密钥与所述MAC地址对应的密钥相同,则授权所述DLNA客户端的访问;
如果未携带任何密钥或者携带的密钥与所述MAC地址对应的密钥不同,则拒绝所述DLNA客户端的访问。
可选地,所述方法还包括:
如果所述预存对应关系中不存在所述MAC地址,则生成对应于所述MAC地址的密钥;
将所述MAC地址以及对应于所述MAC地址的密钥添加至所述预存对应关系中;
向所述MAC地址对应的所述DLNA客户端发送所述密钥。
可选地,所述方法还包括:
获取所述预设黑名单,所述预设黑名单包括不合法的MAC地址和/或未获得访问权限的MAC地址。
根据本公开实施例的第二方面,提供了一种访问控制装置,用于数字生活网络联盟DLNA服务器中,所述装置包括:
请求接收模块,用于接收DLNA客户端发送的访问请求;
地址获取模块,用于获取所述DLNA客户端所使用的介质访问控制MAC地址;
地址检测模块,用于检测所述MAC地址是否存在于预设黑名单中;
访问拒绝模块,用于如果所述MAC地址存在于所述预设黑名单中,则拒绝所述DLNA客户端的访问。
可选地,所述装置还包括:
地址查找模块,用于如果所述MAC地址不存在于所述预设黑名单中,则在预存对应关系中查找是否存在所述MAC地址,所述预存对应关系中包含不同MAC地址与不同密钥之间的对应关系;
访问确定模块,用于如果所述预存对应关系中存在所述MAC地址,则根据所述预存对应关系中包含的与所述MAC地址对应的密钥确定是否授权所述DLNA客户端的访问。
可选地,所述访问确定模块,包括:密钥获取单元、密钥判断单元、访问授权单元和访问拒绝单元;
所述密钥获取单元,用于根据所述预存对应关系获取与所述MAC地址对应的密钥;
所述密钥判断单元,用于判断所述DLNA客户端发送的访问请求中是否携带有密钥;
所述访问授权单元,用于如果携带有密钥且携带的密钥与所述MAC地址对应的密钥相同,则授权所述DLNA客户端的访问;
所述访问拒绝单元,用于如果未携带任何密钥或者携带的密钥与所述MAC地址对应的密钥不同,则拒绝所述DLNA客户端的访问。
可选地,所述装置还包括:
密钥生成模块,用于如果所述预存对应关系中不存在所述MAC地址,则生成对应于所述MAC地址的密钥;
对应存储模块,用于将所述MAC地址以及对应于所述MAC地址的密钥添加至所述预存对应关系中;
密钥发送模块,用于向所述MAC地址对应的所述DLNA客户端发送所述密钥。
可选地,所述装置还包括:
名单获取模块,用于获取所述预设黑名单,所述预设黑名单包括不合法的MAC地址和/或未获得访问权限的MAC地址。
根据本公开实施例的第三方面,提供了一种访问控制装置,包括:
处理器;
用于存储所述处理器的可执行指令的存储器;
其中,所述处理器被配置为:
接收数字生活网络联盟DLNA客户端发送的访问请求;
获取所述DLNA客户端所使用的介质访问控制MAC地址;
检测所述MAC地址是否存在于预设黑名单中;
如果所述MAC地址存在于所述预设黑名单中,则拒绝所述DLNA客户端的访问。
本公开实施例提供的技术方案的一些有益效果可以包括:
通过在DLNA服务器接收到DLNA客户端发来的访问请求之后,获取DLNA客户端所使用的MAC地址,检测该MAC地址是否存在于预设黑名单中,如果MAC地址存在于预设黑名单中,则拒绝DLNA客户端的访问;解决了相关技术中DLNA客户端可以随意地向DLNA服务器发起访问请求,存在恶意访问和安全隐患的问题;本实施例通过设置预设黑名单,有效排除了一些DLNA客户端通过不合法的MAC地址或者未获得访问权限的MAC地址发送的访问请求,使得DLNA客户端无法随意地向DLNA服务器发起访问请求,充分避免了一些恶意访问以及安全隐患。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
为了更清楚地说明本公开的实施例,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据一示例性实施例示出的一种访问控制方法的流程图;
图2是根据另一示例性实施例示出的一种访问控制方法的流程图;
图3是根据一示例性实施例示出的一种访问控制装置的示意图;
图4是根据另一示例性实施例示出的一种访问控制装置的示意图;
图5是根据本公开一示例性实施例示出的一种用于访问控制的装置的框图。
通过上述附图,已示出本公开明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本公开构思的范围,而是通过参考特定实施例为本领域技术人员说明本公开的概念。
具体实施方式
为了使本公开的目的、技术方案和优点更加清楚,下面将结合附图对本公开作进一步地详细描述,显然,所描述的实施例仅仅是本公开一部份实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本公开保护的范围。
在介绍本公开提供的访问控制方法之前,首先需要介绍下本公开涉及的DLNA服务器。DLNA服务器是用于实现图片、音乐、视频等媒体内容的共享的服务器,该DLNA服务器可以是用于实现上述功能的计算机软件,也可以是用于执行上述计算机软件的计算机或者计算机系统。
当DLNA服务器为用于实现图片、音乐、视频等媒体内容的共享功能的计算机软件时,DLNA服务器可以运行于DLNA设备上。DLNA设备可以是智能路由器,该智能路由器除了具备普通路由器所能实现的路由功能外,还具有独立的操作系统,可以由用户自行安装各种应用。其中,操作系统可以是基于OpenWrt的深度定制操作系统。DLNA设备中还包括存储介质,比如硬盘,该存储介质用于存储图片、音乐、视频等文件。可选地,DLNA设备还包括USB接口,可以支持U盘、移动硬盘之类的移动存储设备的接入。
图1是根据一示例性实施例示出的一种访问控制方法的流程图,本实施例以该访问控制方法应用于DLNA服务器中来举例说明。该访问控制方法可以包括如下几个步骤:
在步骤102中,接收DLNA客户端发送的访问请求。
在步骤104中,获取DLNA客户端所使用的介质访问控制MAC地址。
在步骤106中,检测MAC地址是否存在于预设黑名单中。
在步骤108中,如果MAC地址存在于预设黑名单中,则拒绝DLNA客户端的访问。
综上所述,本实施例提供的访问控制方法,通过在DLNA服务器接收到DLNA客户端发来的访问请求之后,获取DLNA客户端所使用的MAC地址,检测该MAC地址是否存在于预设黑名单中,如果MAC地址存在于预设黑名单中,则拒绝DLNA客户端的访问;解决了相关技术中DLNA客户端可以随意地向DLNA服务器发起访问请求,存在恶意访问和安全隐患的问题;本实施例通过设置预设黑名单,有效排除了一些DLNA客户端通过不合法的MAC地址或者未获得访问权限的MAC地址发送的访问请求,使得DLNA客户端无法随意地向DLNA服务器发起访问请求,充分避免了一些恶意访问以及安全隐患。
图2是根据另一示例性实施例示出的一种访问控制方法的流程图,本实施例以该访问控制方法应用于DLNA服务器中来举例说明。该访问控制方法可以包括如下几个步骤:
在步骤201中,接收DLNA客户端发送的访问请求。
DLNA客户端与DLNA服务器之间可以通过有线网络或者无线网络相连。DLNA客户端在需要访问DLNA服务器共享的文件时,向DLNA服务器发送访问请求;对应地,DLNA服务器接收DLNA客户端发送的访问请求。
在步骤202中,获取DLNA客户端所使用的介质访问控制MAC地址。
DLNA服务器接收到访问请求之后,获取DLNA客户端所使用的MAC(Medium/MediaAccess Control,介质访问控制)地址。例如,DLNA服务器首先获取DLNA客户端的IP(Internet Protocol,网络之间互联的协议)地址,然后通过ARP(Address ResolutionProtocol,地址解析协议)反查与IP地址对应的MAC地址,该查询得到的MAC地址即为DLNA客户端所使用的MAC地址。
由于DLNA客户端所使用的IP地址可能会不断变化,而其MAC地址是不会发生变化的,所以在本实施例提供的访问控制方法中,通过DLNA客户端所使用的MAC地址来确定是否授权DLNA客户端的访问。
在步骤203中,获取预设黑名单。
DLNA服务器获取预设黑名单,预设黑名单包括不合法的MAC地址和/或未获得访问权限的MAC地址。该预设黑名单中的MAC地址由用户(如网络管理员)进行管理,包括修改、添加或者移除等等。用户(如网络管理员)能够查看到连接至DLNA服务器的DLNA客户端的MAC地址,如果网络管理员不希望某一MAC地址所对应的DLNA客户端拥有访问权限,也即不希望该DLNA客户端读取到DLNA服务器共享的文件,则可将该DLNA客户端的MAC地址添加至黑名单中。
在一种实现方式中,运行有DLNA服务器的DLNA设备中还可以运行有一个名称为Datacenter Server的应用,该应用也为服务器类型的应用。Datacenter Server包括两个API(Application Programming Interface,应用程序编程接口),其中一个API接口可用于获取并显示当前连接DLNA服务器的所有DLNA客户端的MAC地址,而另一个API接口可用于将任意一个MAC地址添加至预设黑名单中。当网络管理员需要将某一MAC地址添加至预设黑名单中时,通过触发相应指令即可调用上述另一API接口实现将该MAC地址添加至预设黑名单中。
由于DLNA服务器与Datacenter Server同时运行于DLNA设备之中,DLNA服务器可以从Datacenter Server中获取预设黑名单。
另外,上述步骤203可以在步骤201至步骤202之前进行,也可以在步骤201至步骤202之后进行,还可以与步骤201至步骤202同时进行。本实施例仅以上述步骤203在步骤201至步骤202之后进行来举例说明,对此不作具体限定。
在步骤204中,检测MAC地址是否存在于预设黑名单中。
例如,DLNA服务器在获取到当前发来访问请求的DLNA客户端的MAC地址以及预设黑名单之后,检测该MAC地址是否存在于预设黑名单中。
在步骤205中,如果MAC地址存在于预设黑名单中,则拒绝DLNA客户端的访问。
如果MAC地址存在于预设黑名单中,则DLNA服务器拒绝DLNA客户端的访问。当发来访问请求的DLNA客户端的MAC地址存在于预设黑名单中时,说明该MAC地址为非法的MAC地址或者为未获得访问权限的MAC地址,则DLNA服务器拒绝DLNA客户端的访问,使得DLNA客户端无法读取到共享的文件,充分保证文件的安全性。
在步骤206中,如果MAC地址不存在于预设黑名单中,则在预存对应关系中查找是否存在MAC地址。
如果MAC地址不存在于预设黑名单中,则DLNA服务器在预存对应关系中查找是否存在当前发来访问请求的MAC地址。预存对应关系中包含不同MAC地址与不同密钥之间的对应关系,预存对应关系中的MAC地址为之前成功建立过访问连接的DLNA客户端的MAC地址。
为了避免DLNA客户端通过ARP欺骗的手段获取到访问权限,在本实施例提供的访问控制方法中,在DLNA服务器中设置预存对应关系。ARP欺骗是指DLNA客户端通过伪造MAC地址的手段,将其实际的MAC地址伪造成一个假的MAC地址欺骗DLNA服务器。比如,某一DLNA客户端实际的MAC地址为A,且A为预设黑名单中的一员,该DLNA客户端为了获得访问权限,伪造出一个假的MAC地址B,而B并非预设黑名单中的一员。在这种情况下,DLNA服务器在接收到该DLNA客户端发来的访问请求之后,会查询获取到该假的MAC地址B,这样就无法有效地拒绝该DLNA客户端发来的访问请求。
为此,DLNA服务器为每一个成功建立过访问连接的DLNA客户端的MAC地址设置对应的密钥。在DLNA客户端与DLNA服务器第一次建立访问连接时,也即在DLNA服务器第一次授权DLNA客户端发来的访问请求时,DLNA服务器生成一个对应于该DLNA客户端的MAC地址的密钥,并将MAC地址与密钥之间的对应关系添加至预存对应关系中。
同时,DLNA服务器将该密钥发送给MAC地址对应的DLNA客户端,并要求该DLNA客户端在之后发送的访问请求中必须携带该密钥,否则无法获得访问权限。如果DLNA客户端为使用伪造的MAC地址发来访问请求的客户端,其是不能够接收到DLNA服务器发送的密钥的,这样就有效避免了DLNA客户端通过ARP欺骗的手段获取到访问权限。之后,DLNA服务器便可通过判断访问请求中是否携带有密钥来确定是否授权DLNA客户端的访问。
另外,在其它可能的实现方式中,如果MAC地址不存在于预设黑名单中,也可直接执行授权DLNA客户端的访问的步骤。本实施例仅为较佳的实施例,以此进一步提高DLNA系统的安全性,避免某些DLNA客户端通过ARP欺骗的手段获得访问权限。
在步骤207中,如果预存对应关系中不存在MAC地址,则生成对应于MAC地址的密钥,将MAC地址以及对应于MAC地址的密钥添加至预存对应关系中,向MAC地址所对应的DLNA客户端发送密钥。
如果预存对应关系中不存在MAC地址,则说明DLNA客户端为第一次发来访问请求的客户端。由于在上述步骤204中已经验证过该DLNA客户端所使用的MAC地址不在预设黑名单中,所以DLNA服务器此时可以授权DLNA客户端的访问,建立访问连接。
与此同时,DLNA服务器生成对应于MAC地址的密钥,将MAC地址以及对应于MAC地址的密钥添加至预存对应关系中,向MAC地址所对应的DLNA客户端发送密钥。比如,DLNA服务器可以向DLNA客户端发送授权响应,并在授权响应中携带有生成的密钥。
在上述步骤206中已经介绍,为了避免DLNA客户端通过ARP欺骗的手段获取到访问权限,DLNA服务器为每一个成功建立过访问连接的DLNA客户端的MAC地址设置对应的密钥。在DLNA客户端与DLNA服务器第一次建立访问连接时,DLNA服务器生成一个对应于该DLNA客户端的MAC地址的密钥,并将MAC地址与密钥之间的对应关系添加至预存对应关系中。同时,DLNA服务器将该密钥发送给MAC地址对应的DLNA客户端,并要求该DLNA客户端在之后发送的访问请求中必须携带该密钥,以此避免某些DLNA客户端通过ARP欺骗的手段获得访问权限。
在步骤208中,如果预存对应关系中存在MAC地址,则根据预存对应关系中包含的与MAC地址对应的密钥确定是否授权DLNA客户端的访问。
如果预存对应关系中存在MAC地址,则说明DLNA客户端之前已经与DLNA服务器成功建立过访问连接。根据上述步骤206的介绍,该MAC地址应该存储于预存对应关系中,且该MAC地址具有对应的密钥。这样,DLNA服务器便可根据预存对应关系中包含的与MAC地址对应的密钥确定是否授权DLNA客户端的访问。
在一种实现方式中,本步骤可以包括如下几个子步骤:
第一,根据预存对应关系获取与MAC地址对应的密钥。
由于预存对应关系中存储有之前成功建立过访问连接的DLNA客户端的MAC地址与密钥之间的对应关系,当预存对应关系中存在当前发来访问请求的DLNA客户端的MAC地址时,DLNA服务器从预存对应关系中获取与MAC地址对应的密钥。
第二,判断DLNA客户端发送的访问请求中是否携带密钥。
DLNA服务器要求之前成功建立过访问连接的DLNA客户端在之后发送的访问请求中必须携带密钥。此时,由于DLNA服务器已经确定该DLNA客户端之前已经与自身成功建立过访问连接,所以判断DLNA客户端当前发送的访问请求中是否携带有密钥。
第三,如果携带有密钥且携带的密钥与MAC地址对应的密钥相同,则授权DLNA客户端的访问。
如果携带有密钥且携带的密钥与MAC地址对应的密钥相同,则说明DLNA客户端在第一次建立访问连接时并非利用ARP欺骗的手段建立的,DLNA客户端当时成功接收到了DLNA服务器反馈的密钥。此时,DLNA服务器授权DLNA客户端的访问,建立访问连接。
第三,如果未携带任何密钥或者携带的密钥与MAC地址对应的密钥不同,则拒绝DLNA客户端的访问。
如果未携带任何密钥或者携带的密钥与MAC地址对应的密钥不同,则说明DLNA客户端在第一次建立访问连接时是利用ARP欺骗的手段建立的,DLNA客户端当时并未收到DLNA服务器反馈的密钥。此时,DLNA服务器拒绝DLNA客户端的访问。
综上所述,本实施例提供的访问控制方法,通过在DLNA服务器接收到DLNA客户端发来的访问请求之后,获取DLNA客户端所使用的MAC地址,检测该MAC地址是否存在于预设黑名单中,如果MAC地址存在于预设黑名单中,则拒绝DLNA客户端的访问;解决了相关技术中DLNA客户端可以随意地向DLNA服务器发起访问请求,存在恶意访问和安全隐患的问题;本实施例通过设置预设黑名单,有效排除了一些DLNA客户端通过不合法的MAC地址或者未获得访问权限的MAC地址发送的访问请求,使得DLNA客户端无法随意地向DLNA服务器发起访问请求,充分避免了一些恶意访问以及安全隐患。
另外,本实施例通过为每一个成功建立过访问连接的DLNA客户端的MAC地址设置对应的密钥,并将MAC地址与密钥之间的对应关系添加至预存对应关系中,同时将该密钥发送给MAC地址对应的DLNA客户端,并要求该DLNA客户端在之后发送的访问请求中必须携带该密钥,以此避免了DLNA客户端通过ARP欺骗的手段获取到访问权限,进一步提高了DLNA系统的安全性。
下述为本公开装置实施例,可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节,请参照本公开方法实施例。
图3是根据一示例性实施例示出的一种访问控制装置的示意图,该访问控制装置可以通过软件、硬件或者两者的结合实现成为DLNA服务器的部分或者全部。该访问控制装置可以包括:请求接收模块310、地址获取模块320、地址检测模块330和访问拒绝模块340。
请求接收模块310被配置为接收DLNA客户端发送的访问请求。
地址获取模块320被配置为获取DLNA客户端所使用的介质访问控制MAC地址。
地址检测模块330被配置为检测MAC地址是否存在于预设黑名单中。
访问拒绝模块340被配置为如果MAC地址存在于所述预设黑名单中,则拒绝所述DLNA客户端的访问。
综上所述,本实施例提供的访问控制装置,通过在DLNA服务器接收到DLNA客户端发来的访问请求之后,获取DLNA客户端所使用的MAC地址,检测该MAC地址是否存在于预设黑名单中,如果MAC地址存在于预设黑名单中,则拒绝DLNA客户端的访问;解决了相关技术中DLNA客户端可以随意地向DLNA服务器发起访问请求,存在恶意访问和安全隐患的问题;本实施例通过设置预设黑名单,有效排除了一些DLNA客户端通过不合法的MAC地址或者未获得访问权限的MAC地址发送的访问请求,使得DLNA客户端无法随意地向DLNA服务器发起访问请求,充分避免了一些恶意访问以及安全隐患。
图4是根据另一示例性实施例示出的一种访问控制装置的示意图,该访问控制装置可以通过软件、硬件或者两者的结合实现成为DLNA服务器的部分或者全部。该访问控制装置可以包括:请求接收模块310、地址获取模块320、地址检测模块330和访问拒绝模块340。
请求接收模块310被配置为接收DLNA客户端发送的访问请求。
地址获取模块320被配置为获取DLNA客户端所使用的介质访问控制MAC地址。
该访问控制装置,还包括:
名单获取模块322,被配置为获取预设黑名单,预设黑名单包括不合法的MAC地址和/或未获得访问权限的MAC地址。
地址检测模块330被配置为检测MAC地址是否存在于预设黑名单中。
访问拒绝模块340被配置为如果MAC地址存在于预设黑名单中,则拒绝所述DLNA客户端的访问。
该访问控制装置,还包括:
地址查找模块350被配置为如果MAC地址不存在于预设黑名单中,则在预存对应关系中查找是否存在MAC地址,预存对应关系中包含不同MAC地址与不同密钥之间的对应关系。
该访问控制装置,还包括:
密钥生成模块362被配置为如果预存对应关系中不存在MAC地址,则生成对应于MAC地址的密钥。
对应存储模块364被配置为将MAC地址以及对应于MAC地址的密钥添加至所述预存对应关系中。
密钥发送模块366被配置为向MAC地址对应的DLNA客户端发送密钥。
访问确定模块370被配置为如果预存对应关系中存在MAC地址,则根据预存对应关系中包含的与MAC地址对应的密钥确定是否授权DLNA客户端的访问。
访问确定模块370,包括:密钥获取单元370a、密钥判断单元370b、访问授权单元370c和访问拒绝单元370d。
密钥获取单元370a被配置为根据预存对应关系获取与MAC地址对应的密钥。
密钥判断单元370b被配置为判断DLNA客户端发送的访问请求中是否携带有密钥。
访问授权单元370c被配置为如果携带有密钥且携带的密钥与MAC地址对应的密钥相同,则授权DLNA客户端的访问。
访问拒绝单元370d被配置为如果未携带任何密钥或者携带的密钥与MAC地址对应的密钥不同,则拒绝DLNA客户端的访问。
综上所述,本实施例提供的访问控制装置,通过在DLNA服务器接收到DLNA客户端发来的访问请求之后,获取DLNA客户端所使用的MAC地址,检测该MAC地址是否存在于预设黑名单中,如果MAC地址存在于预设黑名单中,则拒绝DLNA客户端的访问;解决了相关技术中DLNA客户端可以随意地向DLNA服务器发起访问请求,存在恶意访问和安全隐患的问题;本实施例通过设置预设黑名单,有效排除了一些DLNA客户端通过不合法的MAC地址或者未获得访问权限的MAC地址发送的访问请求,使得DLNA客户端无法随意地向DLNA服务器发起访问请求,充分避免了一些恶意访问以及安全隐患。
另外,本实施例通过为每一个成功建立过访问连接的DLNA客户端的MAC地址设置对应的密钥,并将MAC地址与密钥之间的对应关系添加至预存对应关系中,同时将该密钥发送给MAC地址对应的DLNA客户端,并要求该DLNA客户端在之后发送的访问请求中必须携带该密钥,以此避免了DLNA客户端通过ARP欺骗的手段获取到访问权限,进一步提高了DLNA系统的安全性。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图5是根据本公开一示例性实施例示出的一种用于访问控制的装置500的框图。例如,装置500可以是本公开上述实施例中涉及的DLNA服务器。装置500可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processing units,CPU)522(例如,一个或一个以上处理器)和存储器532,一个或一个以上存储应用程序542或数据544的存储介质530(例如一个或一个以上海量存储设备)。其中,存储器532和存储介质530可以是短暂存储或持久存储。存储在存储介质530的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对装置500中的一系列指令操作。更进一步地,中央处理器522可以设置为与存储介质530通信,在装置500上执行存储介质530中的一系列指令操作。
装置500还可以包括一个或一个以上电源526,一个或一个以上有线或无线网络接口550,一个或一个以上输入输出接口558,一个或一个以上键盘556,和/或,一个或一个以上操作系统541,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
当存储介质530中的指令由装置500的中央处理器522执行时,使得装置500能够执行上述图1或者图2所述的访问控制方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

Claims (9)

1.一种访问控制方法,其特征在于,用于数字生活网络联盟DLNA服务器中,所述方法包括:
接收DLNA客户端发送的访问请求;
获取所述DLNA客户端所使用的介质访问控制MAC地址;
检测所述MAC地址是否存在于预设黑名单中;
如果所述MAC地址存在于所述预设黑名单中,则拒绝所述DLNA客户端的访问;
如果所述MAC地址不存在于所述预设黑名单中,则在预存对应关系中查找是否存在所述MAC地址,所述预存对应关系中包含不同MAC地址与不同密钥之间的对应关系;
如果所述预存对应关系中不存在所述MAC地址,则生成对应于所述MAC地址的密钥;
将所述MAC地址以及对应于所述MAC地址的密钥添加至所述预存对应关系中;
向所述MAC地址对应的所述DLNA客户端发送所述密钥。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述预存对应关系中存在所述MAC地址,则根据所述预存对应关系中包含的与所述MAC地址对应的密钥确定是否授权所述DLNA客户端的访问。
3.根据权利要求2所述的方法,其特征在于,所述根据所述预存对应关系中包含的与所述MAC地址对应的密钥确定是否授权所述DLNA客户端的访问,包括:
根据所述预存对应关系获取与所述MAC地址对应的密钥;
判断所述DLNA客户端发送的访问请求中是否携带有密钥;
如果携带有密钥且携带的密钥与所述MAC地址对应的密钥相同,则授权所述DLNA客户端的访问;
如果未携带任何密钥或者携带的密钥与所述MAC地址对应的密钥不同,则拒绝所述DLNA客户端的访问。
4.根据权利要求1至3任一所述的方法,其特征在于,所述方法还包括:
获取所述预设黑名单,所述预设黑名单包括不合法的MAC地址和/或未获得访问权限的MAC地址。
5.一种访问控制装置,其特征在于,用于数字生活网络联盟DLNA服务器中,所述装置包括:
请求接收模块,用于接收DLNA客户端发送的访问请求;
地址获取模块,用于获取所述DLNA客户端所使用的介质访问控制MAC地址;
地址检测模块,用于检测所述MAC地址是否存在于预设黑名单中;
访问拒绝模块,用于如果所述MAC地址存在于所述预设黑名单中,则拒绝所述DLNA客户端的访问;
地址查找模块,用于如果所述MAC地址不存在于所述预设黑名单中,则在预存对应关系中查找是否存在所述MAC地址,所述预存对应关系中包含不同MAC地址与不同密钥之间的对应关系;
密钥生成模块,用于如果所述预存对应关系中不存在所述MAC地址,则生成对应于所述MAC地址的密钥;
对应存储模块,用于将所述MAC地址以及对应于所述MAC地址的密钥添加至所述预存对应关系中;
密钥发送模块,用于向所述MAC地址对应的所述DLNA客户端发送所述密钥。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
访问确定模块,用于如果所述预存对应关系中存在所述MAC地址,则根据所述预存对应关系中包含的与所述MAC地址对应的密钥确定是否授权所述DLNA客户端的访问。
7.根据权利要求6所述的装置,其特征在于,所述访问确定模块,包括:密钥获取单元、密钥判断单元、访问授权单元和访问拒绝单元;
所述密钥获取单元,用于根据所述预存对应关系获取与所述MAC地址对应的密钥;
所述密钥判断单元,用于判断所述DLNA客户端发送的访问请求中是否携带有密钥;
所述访问授权单元,用于如果携带有密钥且携带的密钥与所述MAC地址对应的密钥相同,则授权所述DLNA客户端的访问;
所述访问拒绝单元,用于如果未携带任何密钥或者携带的密钥与所述MAC地址对应的密钥不同,则拒绝所述DLNA客户端的访问。
8.根据权利要求5至7任一所述的装置,其特征在于,所述装置还包括:
名单获取模块,用于获取所述预设黑名单,所述预设黑名单包括不合法的MAC地址和/或未获得访问权限的MAC地址。
9.一种访问控制装置,其特征在于,包括:
处理器;
用于存储所述处理器的可执行指令的存储器;
其中,所述处理器被配置为:
接收数字生活网络联盟DLNA客户端发送的访问请求;
获取所述DLNA客户端所使用的介质访问控制MAC地址;
检测所述MAC地址是否存在于预设黑名单中;
如果所述MAC地址存在于所述预设黑名单中,则拒绝所述DLNA客户端的访问;
如果所述MAC地址不存在于所述预设黑名单中,则在预存对应关系中查找是否存在所述MAC地址,所述预存对应关系中包含不同MAC地址与不同密钥之间的对应关系;
如果所述预存对应关系中不存在所述MAC地址,则生成对应于所述MAC地址的密钥;
将所述MAC地址以及对应于所述MAC地址的密钥添加至所述预存对应关系中;
向所述MAC地址对应的所述DLNA客户端发送所述密钥。
CN201410123103.7A 2014-03-28 2014-03-28 访问控制方法和装置 Active CN103929419B (zh)

Priority Applications (9)

Application Number Priority Date Filing Date Title
CN201410123103.7A CN103929419B (zh) 2014-03-28 2014-03-28 访问控制方法和装置
BR112014024551-7A BR112014024551B1 (pt) 2014-03-28 2014-07-24 Método e aparelho para controle de acesso a um servidor de aliança de rede ao vivo digital e meio de armazenamento legível por computador nãotransitório
PCT/CN2014/082874 WO2015143803A1 (zh) 2014-03-28 2014-07-24 访问控制方法和装置
JP2016509290A JP6096376B2 (ja) 2014-03-28 2014-07-24 アクセス制御方法、装置、プログラム、及び記録媒体
RU2015134847A RU2628483C2 (ru) 2014-03-28 2014-07-24 Способ и устройство для управления доступом
KR1020147026649A KR101620254B1 (ko) 2014-03-28 2014-07-24 액세스 제어 방법, 장치, 프로그램 및 기록매체
MX2014011133A MX349318B (es) 2014-03-28 2014-07-24 Metodo y aparato para control de acceso.
US14/505,684 US9794261B2 (en) 2014-03-28 2014-10-03 Method and apparatus for controlling access to a server
EP15151401.5A EP2924947B1 (en) 2014-03-28 2015-01-16 Method and apparatus for controlling access

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410123103.7A CN103929419B (zh) 2014-03-28 2014-03-28 访问控制方法和装置

Publications (2)

Publication Number Publication Date
CN103929419A CN103929419A (zh) 2014-07-16
CN103929419B true CN103929419B (zh) 2017-04-12

Family

ID=51147496

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410123103.7A Active CN103929419B (zh) 2014-03-28 2014-03-28 访问控制方法和装置

Country Status (8)

Country Link
EP (1) EP2924947B1 (zh)
JP (1) JP6096376B2 (zh)
KR (1) KR101620254B1 (zh)
CN (1) CN103929419B (zh)
BR (1) BR112014024551B1 (zh)
MX (1) MX349318B (zh)
RU (1) RU2628483C2 (zh)
WO (1) WO2015143803A1 (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103929419B (zh) * 2014-03-28 2017-04-12 小米科技有限责任公司 访问控制方法和装置
US9794261B2 (en) 2014-03-28 2017-10-17 Xiaomi Inc. Method and apparatus for controlling access to a server
CN104320376B (zh) * 2014-08-28 2018-09-25 无锡天脉聚源传媒科技有限公司 一种请求发起云与目标云的连接方法及装置
CN104954370B (zh) * 2015-06-09 2018-04-17 福建新大陆通信科技股份有限公司 一种智能家居客户端登入的安全认证方法
CN106548607A (zh) * 2015-09-17 2017-03-29 深圳会当科技有限公司 一种安全监控的方法
CN105916015A (zh) * 2015-12-15 2016-08-31 乐视致新电子科技(天津)有限公司 一种车载多设备共享音视频数据的方法、装置及系统
CN115987668B (zh) * 2022-12-29 2024-01-02 北京深盾科技股份有限公司 访问控制方法、系统、电子设备及存储介质
CN115987683B (zh) * 2023-03-15 2023-07-28 中国信息通信研究院 区块链网络中节点访问控制方法、装置、设备和介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1750462A (zh) * 2004-09-14 2006-03-22 华为技术有限公司 通过移动终端实现身份认证的方法
CN101547187A (zh) * 2008-03-28 2009-09-30 中兴通讯股份有限公司 宽带接入设备的网络攻击防护方法
CN102665211A (zh) * 2011-12-16 2012-09-12 中兴通讯股份有限公司 一种数字移动网络联盟权限控制方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006067174A (ja) * 2004-08-26 2006-03-09 Fujitsu Ltd 制御プログラム、通信中継装置制御方法、通信中継装置及びシステム
US20070203979A1 (en) * 2006-02-14 2007-08-30 Walker Mark R Home communications server
US9363745B2 (en) * 2008-03-26 2016-06-07 Srinivasan Balasubramanian Device managed access point lists in wireless communications
US8745758B2 (en) * 2009-11-02 2014-06-03 Time Warner Cable Enterprises Llc Apparatus and methods for device authorization in a premises network
CN102510371B (zh) * 2011-09-30 2017-12-22 中兴通讯股份有限公司 一种控制数字移动网络联盟内容的方法及装置
CN103929419B (zh) * 2014-03-28 2017-04-12 小米科技有限责任公司 访问控制方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1750462A (zh) * 2004-09-14 2006-03-22 华为技术有限公司 通过移动终端实现身份认证的方法
CN101547187A (zh) * 2008-03-28 2009-09-30 中兴通讯股份有限公司 宽带接入设备的网络攻击防护方法
CN102665211A (zh) * 2011-12-16 2012-09-12 中兴通讯股份有限公司 一种数字移动网络联盟权限控制方法及装置

Also Published As

Publication number Publication date
WO2015143803A1 (zh) 2015-10-01
KR101620254B1 (ko) 2016-05-11
RU2015134847A (ru) 2017-02-27
MX349318B (es) 2017-07-20
JP2016519828A (ja) 2016-07-07
EP2924947B1 (en) 2018-08-22
BR112014024551B1 (pt) 2023-05-02
KR20150122572A (ko) 2015-11-02
JP6096376B2 (ja) 2017-03-15
RU2628483C2 (ru) 2017-08-17
MX2014011133A (es) 2016-05-04
BR112014024551A2 (zh) 2017-06-20
CN103929419A (zh) 2014-07-16
EP2924947A1 (en) 2015-09-30

Similar Documents

Publication Publication Date Title
CN103929419B (zh) 访问控制方法和装置
KR101951973B1 (ko) 자원 액세스 허가 기법
KR101109232B1 (ko) 네트워크 자원 정보 라우팅을 위한 서버 아키텍처
JP4916136B2 (ja) アプリケーションにセキュリティを提供するシステムおよび方法
WO2017024791A1 (zh) 一种处理授权的方法和设备
US7822863B2 (en) Personal domain controller
JP2016505932A (ja) コンテンツおよびデータを受信する際にネットワークサービスを使用するためのシステムおよび方法
CN106686754B (zh) 一种数据交互方法及数据交互系统
US20130014126A1 (en) Cross-browser communication between devices on a network
JP2007534046A (ja) サーバ装置、クライアント装置およびネットワークシステム
US20120030738A1 (en) Digital media controller and method for sharing media data between networks using the digital media controller
CN106060029A (zh) 一种虚拟桌面的访问控制方法及装置
CN101764808A (zh) 自动登录的认证处理方法、服务器和系统
CN107396362B (zh) 一种用于对用户设备进行无线连接预授权的方法与设备
CN105704094A (zh) 应用访问权限控制方法及装置
US9794261B2 (en) Method and apparatus for controlling access to a server
JPH11308272A (ja) パケット通信制御システム及びパケット通信制御装置
US20050021469A1 (en) System and method for securing content copyright
US10009318B2 (en) Connecting to a cloud service for secure access
CN105763532A (zh) 一种登录虚拟桌面的方法及装置
CN113746909A (zh) 网络连接方法、装置、电子设备和计算机可读存储介质
CN108259454A (zh) 一种Portal认证方法和装置
CN112702743A (zh) 基于人工智能的网络数据监测保护方法
CN115622723A (zh) 设备访问控制方法及装置、电子设备及存储介质
US20210097023A1 (en) Decentralized Data System

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant