CN106060006B - 一种访问方法及装置 - Google Patents
一种访问方法及装置 Download PDFInfo
- Publication number
- CN106060006B CN106060006B CN201610304701.3A CN201610304701A CN106060006B CN 106060006 B CN106060006 B CN 106060006B CN 201610304701 A CN201610304701 A CN 201610304701A CN 106060006 B CN106060006 B CN 106060006B
- Authority
- CN
- China
- Prior art keywords
- authentication
- free
- source terminal
- identity information
- information table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明实施例公开了一种访问方法及装置,涉及互联网技术领域,应用于网关设备,该方法包括:接收源终端发送的访问报文,其中,该访问报文包含源终端标识;当该访问报文与免认证规则相匹配时,在身份信息表中查找包含上述源终端标识的表项;当未查找到包含上述源终端标识的表项时,生成包含上述源终端标识和免认证用户名的免认证表项;根据该免认证表项中的免认证用户名所对应的域间策略,向目标终端转发访问报文。应用本发明实施例,能够保证源终端对目标终端的访问。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种访问方法及装置。
背景技术
Portal是一种常见的网络接入技术,是指通过Web页面接收用户输入的用户名和密码,对用户进行身份认证,用户通过身份认证后才可以使用互联网中的设备或资源。然而,实际应用中由于某些源终端具有较高的访问权限等原因,其访问互联网资源时不需要进行身份认证,管理人员可以通过配置portal的免认证规则允许这些源终端访问互联网资源时不进行身份认证,具体地,免认证规则可以为:访问报文中包含某一源终端的标识或某一目标终端的标识。在访问互联网资源时,可以是允许访问全部的互联网资源,也可以是允许访问特定的互联网资源,例如一个特定的目标终端。
在网关设备上存储有身份识别表项,用于存储已上线用户的用户名和标识(例如IP地址,Internet Protocol,网络协议)之间的对应关系,当用户下线时,就将该用户的信息从身份识别表项中删除。Portal用户在身份认证前,网关设备上不会有该用户的上线记录信息,身份识别表项中也不会有该用户的信息。例如,一源终端A在身份认证前发送了访问报文,以访问互联网中的一目标终端B,网关设备接收到该访问报文后,若判定该访问报文通过了免认证规则,则可以不对源终端A进行身份认证,但是由于源终端A未进行身份认证,网关设备无法根据访问报文中源终端的IP地址在上述身份识别表项中查找到portal用户的用户名,又由于需要根据用户名才能获得域间策略,因而无法获得相应的域间策略,也就是说,无法获得源终端A针对目标终端B的访问规则,最终只能将该访问报文丢弃掉,从而使得源终端A不能访问目标终端B。
发明内容
本发明实施例公开了一种访问方法及装置,以保证源终端对目标终端的访问。
为达到上述目的,本发明实施例公开了一种访问方法,应用于网关设备,所述方法包括:
接收源终端发送的访问报文,其中,所述访问报文包含源终端标识;
当所述访问报文与免认证规则相匹配时,在身份信息表中查找包含所述源终端标识的表项;
当未查找到包含所述源终端标识的表项时,生成包含所述源终端标识和免认证用户名的免认证表项;
根据所述免认证表项中的免认证用户名所对应的域间策略,向目标终端转发访问报文。
在本发明的一个实施方式中,在所述生成包含所述源终端标识和所述免认证用户名的表项之后,还包括:
在所述免认证表项中记录老化时间;
所述方法还包括:
判断所述免认证表项的生成时间是否大于所述老化时间;
若为是,则从所述身份信息表中删除所述免认证表项。
在本发明的一个实施方式中,所述身份信息表包含:第一身份信息表和第二身份信息表,其中,所述第一身份信息表,用于存储包含已上线用户的用户名和终端标识的表项,所述第二身份信息表,用于存储包含免认证用户名和终端标识的免认证表项;
所述在身份信息表中查找包含所述源终端标识的表项,包括:
在所述第一身份信息表中查找包含所述源终端标识的表项;
当在所述第一身份信息表中未查找到包含所述源终端标识的表项时,在所述第二身份信息表中查找包含所述源终端标识的免认证表项;
所述当未查找到包含所述源终端标识的表项时,生成包含所述源终端标识和免认证用户名的免认证表项,具体为:
当在所述第二身份信息表中未查找到包含所述源终端标识的免认证表项时,在所述第二身份信息表中生成包含所述源终端标识和免认证用户名的免认证表项。
在本发明的一个实施方式中,在所述接收源终端发送的访问报文之后,还包括:
当所述访问报文不与免认证规则相匹配时,在所述第一身份信息表中查找包含所述源终端标识的表项;
当在所述第一身份信息表中未查找到包含所述源终端标识的表项时,丢弃所述访问报文。
在本发明的一个实施方式中,在身份信息表中查找包含所述源终端标识的表项之后,还包括:
当查找到至少两个表项包含所述源终端标识时,从所述至少两个表项中确定优先级最高的表项中的用户名;
根据所确定的用户名对应的域间策略,控制向所述目标终端转发所述访问报文。
为达到上述目的,本发明实施例还公开了一种访问装置,应用于网关设备,所述装置包括:
接收单元,用于接收源终端发送的访问报文,其中,所述访问报文包含源终端标识;
查找单元,用于当所述访问报文与免认证规则相匹配时,在身份信息表中查找包含所述源终端标识的表项;
生成单元,用于当未查找到包含所述源终端标识的表项时,生成包含所述源终端标识和免认证用户名的免认证表项;
转发单元,用于根据所述免认证表项中的免认证用户名所对应的域间策略,向目标终端转发访问报文。
在本发明的一个实施方式中,所述生成单元,还用于:
在所述免认证表项中记录老化时间;
所述装置还包括:
判断单元,用于判断所述免认证表项的生成时间是否大于所述老化时间;
删除单元,用于在所述判断单元判断结果为是的情况下,从所述身份信息表中删除所述免认证表项。
在本发明的一个实施方式中,所述身份信息表包含:第一身份信息表和第二身份信息表,其中,所述第一身份信息表,用于存储包含已上线用户的用户名和终端标识的表项,所述第二身份信息表,用于存储包含免认证用户名和终端标识的免认证表项;
所述查找单元,具体用于:
当所述访问报文与免认证规则相匹配时,在所述第一身份信息表中查找包含所述源终端标识的表项;
当在所述第一身份信息表中未查找到包含所述源终端标识的表项时,在所述第二身份信息表中查找包含所述源终端标识的免认证表项。
所述生成单元,具体用于:
当在所述第二身份信息表中未查找到包含所述源终端标识的免认证表项时,在所述第二身份信息表中生成包含所述源终端标识和免认证用户名的免认证表项。
在本发明的一个实施方式中,所述查找单元,还用于:
当所述访问报文不与免认证规则相匹配时,在所述第一身份信息表中查找包含所述源终端标识的表项;当在所述第一身份信息表中未查找到包含所述源终端标识的表项时,丢弃所述访问报文。
在本发明的一个实施方式中,所述装置还包括:
确定单元,用于当查找到至少两个表项包含所述源终端标识时,从所述至少两个表项中确定优先级最高的表项中的用户名;
控制单元,根据所确定的用户名对应的域间策略,控制向所述目标终端转发所述访问报文。
由上可知,在本发明实施例中,网关设备在接收到源终端发送的访问报文后,首先判断该访问报文是否与免认证规则相匹配,若匹配,在身份信息表中查找包含源终端标识的表项,当未查找到包含源终端标识的表项时,生成包含该源终端标识和免认证用户名的免认证表项;根据该免认证表项中的免认证用户名所对应的域间策略,向目标终端转发访问报文。此时,可以从身份信息表中确定出免认证用户名,获得免认证用户名对应的域间策略,进而保证了源终端与目标终端间的通信。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种访问方法的流程示意图;
图2为本发明实施例提供的另一种访问方法的流程示意图;
图3为本发明实施例提供的一种访问装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面通过具体实施例,对本发明进行详细说明。
参考图1,图1为本发明实施例提供的一种访问方法的流程示意图,应用于网关设备,该方法包括如下步骤:
S101:接收源终端发送的访问报文;
其中,访问报文可以包含源终端标识。这里,源终端标识可以为源终端的IP地址,也可以为MAC地址等其他能够唯一表示源终端的值。当然,为了确保源终端与目标终端间的通信,该访问报文中还可以包含目标终端标识、报文数据等信息,本发明对此不进行限定。
S102:当访问报文与免认证规则相匹配时,在身份信息表中查找包含源终端标识的表项,若未查找到包含源终端标识的表项,执行S103;
免认证规则用于筛选无需进行身份认证的报文,例如,可以是由某个终端发送出来的报文,或者发往某个终端的报文等。在筛选时,免认证规则可以通过目标终端标识、源终端标识等或者几者之间的组合来判断是否匹配该免认证规则。
假设,一条访问报文包含源终端标识A和目标终端标识B。若免认证规则为使包含目标终端标识B的访问报文在不进行身份认证的情况下转发,那么,该访问报文包含目标终端标识B,便可以确定该访问报文与免认证规则相匹配;若免认证规则为使包含源终端标识A和目标终端标识B的访问报文在不进行身份认证的情况下转发,那么,该访问报文包含源终端标识A和目标终端标识B,便可以确定该访问报文与免认证规则相匹配。
另外,若访问报文不与免认证规则相匹配,并且发送该访问报文的源终端未进行身份认证,则丢弃该访问报文;若访问报文与免认证规则相匹配,并且发送该访问报文的源终端未进行身份认证,则可以从身份信息表中获得包含该源终端标识的免认证表项,进而获得免认证用户名。
当然,在匹配免认证规则时,不仅限于源终端标识和目标终端标识这两个属性,也可以设置匹配访问报文的其他属性。
身份信息表,用于存储包含用户名与终端标识的表项。该表项中还可以包含用户的类型等信息。
在本发明的一个实施方式中,网关设备中可以仅存储一个身份信息表,在该身份信息表中包含已上线用户的用户名和终端标识的表项和免认证表项。网关设备可以当仅匹配一个表项时则使用该表项中的用户名匹配域间策略,当分别匹配了免认证表项和已上线用户对应的表项,则可以通过预设的策略选择其中之一获取用户名,从而根据获取的用户名匹配域间策略。
在本发明的另一种实施方式中,网关设备中可以仅存储两个身份信息表,分别为第一身份信息表和第二身份信息表,其中,第一身份信息表和第二身份信息表,其中,第一身份信息表,用于存储包含已上线用户的用户名和终端标识的表项,第二身份信息表,用于存储包含免认证用户名和终端标识的免认证表项。
在本实现方式的描述中,采用网关设备中存储一个身份信息表的方式进行描述。
S103:当未查找到包含源终端标识的表项时,生成包含源终端标识和免认证用户名的免认证表项;
假设,免认证规则为访问报文中包含目标终端标识B,若网关设备接收到源终端a发送的一访问报文,该访问报文中包含的目标终端标识为B,则可以认为该访问报文与免认证规则相匹配,此时,若身份信息表中不存在包含该源终端a标识的表项,则生成包含源终端a标识和免认证用户名的免认证表项,并将该免认证表项存储在身份识别表中。
当存在大量源终端可以通过免认证的方式访问目标终端时,或当源终端标识(IP地址)是通过DHCP(Dynamic Host Configuration Protocol,动态主机设置协议)获得的时(此时,源终端的IP地址是动态变化的),通过自动生成免认证表项的方式,管理人员不必提前知道源终端标识,不必维护大量用户的身份信息,这样能够更好地适应网络的扩展,并且便于网络的管理。
网络环境是实时变化的,如上述通过DHCP获得源终端的IP地址,网络中一源终端的IP地址是实时变化的。在一源终端的IP地址变化后,已存储的包含该源终端的原IP地址和免认证用户名的免认证表项将成为无用的表项,为了避免身份信息表中存储过多无用的表项,在生成包含源终端标识和免认证用户名的免认证表项后,在该免认证表项中记录老化时间。这种情况下,实时监测免认证表项的生成时间是否大于该免认证表项中记录老化时间;当大于该免认证表项中记录老化时间时,从身份信息表中上删除该免认证表项。
假设,在身份信息表中包含源终端标识A的免认证表项中记录的老化时间为30分钟,当该免认证表项的生成时间超过30分钟时,从身份信息表中删除该包含源终端标识A的免认证表项。这样避免了身份信息表中存储一些不经常采用免认证表项,节约了网关设备的存储空间。
另外,假设,身份信息表中存储了包含源终端a的标识A的免认证表项,若源终端a访问目标终端b时,不满足免认证规则,但是网关设备因网络攻击等原因,在接收到源终端a向目标终端b发送的访问报文时,仍然从身份信息表包含标识A的免认证表项中获得了免认证用户,使得源终端a能够免认证的访问目标终端b。此时,定时删除身份信息表中包含源终端标识的免认证表项,有效地避免了上述提到的问题。
在本发明的一种实施方式中,若网关设备中仅存储了一个身份信息表,此时已上线用户的用户名和终端标识的表项和免认证表项都存储在同一身份信息表中,如表1所示。
表1
| 用户名 | 源终端标识 | 用户类型 |
| User1 | IP_addr1 | Portal |
| User2 | IP_addr2 | Portal |
| free-user-identity | IP_addr1 | Portal |
此时,从身份信息表中查找包含源终端标识的表项可能为多个,查找到至少两个表项包含源终端标识时,从至少两个表项中确定出优先级最高的表项,并从该优先级最高的表项中确定用户名;进而网关设备根据所确定的用户名对应的域间策略,控制向目标终端转发访问报文。例如,可以设置免认证表项的优先级低于包含已上线用户的用户名的表项。
假设,访问报文包含源终端标识为IP_addr1,如表1所示,此时可以获得2个表项,包含的用户名分别为User1和free-user-identity,网关设备中设置免认证表项的优先级低于包含已上线用户的用户名的表项,free-user-identity为免认证表项中包含的用户名,因此可以确定出用户名为User1,根据User1对应的域间策略控制向目标终端发送访问报文。
一般来说,经过认证过程所使用的用户名的限定更严格、更具有针对性,免认证的用户名更具有通用性,所以免认证的表项优先级低于已上线用户的用户名的表项,可以使域间策略的限定方式根据层次性,提高网关设备对应报文转发的控制灵活性。但优先级的设置方式不限于此。
S104:根据免认证表项中的免认证用户名所对应的域间策略,向目标终端转发访问报文。
具体地,在获得了免认证用户后,网关设备就可以根据该免认证用户,获得与该免认证用户名对应的域间策略,该域间策略为放行访问报文,此时网关设备就可以根据该域间策略向目标终端转发访问报文,这样就实现源终端对目标终端的免认证访问。
应用图1所示实施例,网关设备在接收到源终端发送的访问报文后,首先判断该访问报文是否与免认证规则相匹配,若匹配,在身份信息表中查找包含源终端标识的表项,当未查找到包含源终端标识的表项时,生成包含该源终端标识和免认证用户名的免认证表项;根据该免认证表项中的免认证用户名所对应的域间策略,向目标终端转发访问报文。此时,可以从身份信息表中确定出免认证用户名,获得免认证用户名对应的域间策略,进而保证了源终端与目标终端间的通信。
在本发明的另一个实施方式中,网关设备中可以存储两个身份信息表,第一身份信息表用于存储包含已上线用户的用户名和终端标识的表项,第二身份信息表用于存储包含免认证用户名和终端标识的免认证表项。此时设备间的访问方法可参考图2,图2为本发明实施例提供的另一种访问方法的流程示意图,该方法中,步骤S102还可以包括:
S1021:当访问报文与免认证规则相匹配时,在第一身份信息表中查找包含源终端标识的表项,若未查找到,执行S1022;
这里,第一身份信息表如表2所示。
表2
| 用户名 | 源终端标识 | 用户类型 |
| User1 | IP_addr1 | Portal |
| User2 | IP_addr2 | Portal |
当第一身份信息表中存在包含源终端标识的表项时,表明该源终端对应的用户已上线,此时网关设备从该表项中确定出该已上线用户的用户名,根据该已上线用户的用户名获得对应的域间策略,并根据获得的域间策略丢弃访问报文或向目标终端转发访问报文。假设,访问报文包含源终端标识为IP_addr1,如表2所示,此时可以获得用户名为User1,网关设备根据User1对应的域间策略控制向目标终端发送访问报文。
S1022:若未查找到,在第二身份信息表中查找包含源终端标识的免认证表项。
假设,免认证用户名为free-user-identity,则第二身份信息表可参考表3。
表3
| 用户名 | 源终端标识 | 用户类型 |
| free-user-identity | IP_addr1 | Portal |
| free-user-identity | IP_addr2 | Portal |
值得一提的是,在访问报文与免认证规则匹配,且第一身份信息表中不存在包含源终端标识的表项的情况下,执行S1022;在访问报文不与免认证规则匹配,且第一身份信息表中不存在包含源终端标识的表项的情况下,丢弃该访问报文,拒绝执行S1022,避免用户未上线且源终端发送的访问报文与免认证则规不匹配,但在第二身份信息表中存在包含该源终端标识的免认证表项,进而使得网关设备根据该免认证表项获得免认证用户名,根据免认证用户名对应的域间策略,向目标终端转发访问报文,引起网络安全的问题。
S1022之后,若第二身份信息表中存在包含源终端标识的免认证表项,从该免认证表项中确定出免认证用户名,执行S104;若第二身份信息表中不存在包含源终端标识的免认证表项,执行S103。
在S103中,当未查找到包含所述源终端标识的表项时,生成包含源终端标识和免认证用户名的免认证表项可以为:当在第二身份信息表中未查找到包含源终端标识的免认证表项时,在第二身份信息表中生成包含源终端标识和免认证用户名的免认证表项。
参考图3,图3为本发明实施例提供的一种访问装置的结构示意图,应用于网关设备,该装置包括:
接收单元301,用于接收源终端发送的访问报文,其中,访问报文包含源终端标识;
查找单元302,用于当访问报文与免认证规则相匹配时,在身份信息表中查找包含源终端标识的表项;
生成单元303,用于当未查找到包含源终端标识的表项时,生成包含源终端标识和免认证用户名的免认证表项;
转发单元304,用于根据免认证表项中的免认证用户名所对应的域间策略,向目标终端转发访问报文。
在本发明的一个实施方式中,生成单元303,还用于:
在免认证表项中记录老化时间;
这种情况下,上述访问装置还可以包括:
判断单元,用于判断免认证表项的生成时间是否大于老化时间;
删除单元,用于在判断单元判断结果为是的情况下,从身份信息表中删除免认证表项(图3中未示出)。
在本发明的一个实施方式中,身份信息表包含:第一身份信息表和第二身份信息表,其中,第一身份信息表,用于存储包含已上线用户的用户名和终端标识的表项,第二身份信息表,用于存储包含免认证用户名和终端标识的免认证表项;
查找单元302,具体用于:
当访问报文与免认证规则相匹配时,在第一身份信息表中查找包含源终端标识的表项;当在第一身份信息表中未查找到包含源终端标识的表项时,在第二身份信息表中查找包含源终端标识的免认证表项。
这种情况下,生成单元303,具体用于:
当在第二身份信息表中未查找到包含源终端标识的免认证表项时,在第二身份信息表中生成包含源终端标识和免认证用户名的免认证表项。
在本发明的一个实施方式中,查找单元302,还用于:
当访问报文不与免认证规则相匹配时,在第一身份信息表中查找包含源终端标识的表项;
当在第一身份信息表中未查找到包含源终端标识的表项时,丢弃访问报文。
在本发明的一个实施方式中,上述访问装置还可以包括:
确定单元,用于当查找到至少两个表项包含源终端标识时,从至少两个表项中确定优先级最高的表项中的用户名;
控制单元,根据所确定的用户名对应的域间策略,控制向目标终端转发访问报文(图3中未示出)。
应用图3所示实施例,网关设备在接收到源终端发送的访问报文后,首先判断该访问报文是否与免认证规则相匹配,若匹配,在身份信息表中查找包含源终端标识的表项,当未查找到包含源终端标识的表项时,生成包含该源终端标识和免认证用户名的免认证表项;根据该免认证表项中的免认证用户名所对应的域间策略,向目标终端转发访问报文。此时,可以从身份信息表中确定出免认证用户名,获得免认证用户名对应的域间策略,进而保证了源终端与目标终端间的通信。
对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种访问方法,应用于网关设备,其特征在于,所述方法包括步骤:
接收源终端发送的访问报文,其中,所述访问报文包含源终端标识;
当所述访问报文与免认证规则相匹配时,在身份信息表中查找包含所述源终端标识的表项,所述免认证规则用于筛选无需进行身份认证的报文;
当未查找到包含所述源终端标识的表项时,生成包含所述源终端标识和免认证用户名的免认证表项,所述免认证用户名与所述源终端上已上线用户的用户名不同;
根据所述免认证表项中的免认证用户名所对应的域间策略,向目标终端转发访问报文;
若所述访问报文不与所述免认证规则相匹配,并且发送所述访问报文的所述源终端未进行身份认证,则丢弃所述访问报文。
2.根据权利要求1所述的方法,其特征在于,在所述生成包含所述源终端标识和所述免认证用户名的表项之后,还包括:
在所述免认证表项中记录老化时间;
所述方法还包括:
判断所述免认证表项的生成时间是否大于所述老化时间;
若为是,则从所述身份信息表中删除所述免认证表项。
3.根据权利要求1所述的方法,其特征在于,所述身份信息表包含:第一身份信息表和第二身份信息表,其中,所述第一身份信息表,用于存储包含已上线用户的用户名和终端标识的表项,所述第二身份信息表,用于存储包含免认证用户名和终端标识的免认证表项;
所述在身份信息表中查找包含所述源终端标识的表项,包括:
在所述第一身份信息表中查找包含所述源终端标识的表项;
当在所述第一身份信息表中未查找到包含所述源终端标识的表项时,在所述第二身份信息表中查找包含所述源终端标识的免认证表项;
所述当未查找到包含所述源终端标识的表项时,生成包含所述源终端标识和免认证用户名的免认证表项,具体为:
当在所述第二身份信息表中未查找到包含所述源终端标识的免认证表项时,在所述第二身份信息表中生成包含所述源终端标识和免认证用户名的免认证表项。
4.根据权利要求3所述的方法,其特征在于,在所述接收源终端发送的访问报文之后,还包括:
当所述访问报文不与免认证规则相匹配时,在所述第一身份信息表中查找包含所述源终端标识的表项;
当在所述第一身份信息表中未查找到包含所述源终端标识的表项时,丢弃所述访问报文。
5.根据权利要求1所述的方法,其特征在于,在身份信息表中查找包含所述源终端标识的表项之后,还包括:
当查找到至少两个表项包含所述源终端标识时,从所述至少两个表项中确定优先级最高的表项中的用户名;
根据所确定的用户名对应的域间策略,控制向所述目标终端转发所述访问报文。
6.一种访问装置,应用于网关设备,其特征在于,所述装置包括:
接收单元,用于接收源终端发送的访问报文,其中,所述访问报文包含源终端标识;
查找单元,用于当所述访问报文与免认证规则相匹配时,在身份信息表中查找包含所述源终端标识的表项,所述免认证规则用于筛选无需进行身份认证的报文;
生成单元,用于当未查找到包含所述源终端标识的表项时,生成包含所述源终端标识和免认证用户名的免认证表项,所述免认证用户名与所述源终端上已上线用户的用户名不同;
转发单元,用于根据所述免认证表项中的免认证用户名所对应的域间策略,向目标终端转发访问报文;
所述查找单元,还用于若所述访问报文不与所述免认证规则相匹配,并且发送所述访问报文的所述源终端未进行身份认证,则丢弃所述访问报文。
7.根据权利要求6所述的装置,其特征在于,所述生成单元,还用于:
在所述免认证表项中记录老化时间;
所述装置还包括:
判断单元,用于判断所述免认证表项的生成时间是否大于所述老化时间;
删除单元,用于在所述判断单元判断结果为是的情况下,从所述身份信息表中删除所述免认证表项。
8.根据权利要求6所述的装置,其特征在于,所述身份信息表包含:第一身份信息表和第二身份信息表,其中,所述第一身份信息表,用于存储包含已上线用户的用户名和终端标识的表项,所述第二身份信息表,用于存储包含免认证用户名和终端标识的免认证表项;
所述查找单元,具体用于:
当所述访问报文与免认证规则相匹配时,在所述第一身份信息表中查找包含所述源终端标识的表项;
当在所述第一身份信息表中未查找到包含所述源终端标识的表项时,在所述第二身份信息表中查找包含所述源终端标识的免认证表项;
所述生成单元,具体用于:
当在所述第二身份信息表中未查找到包含所述源终端标识的免认证表项时,在所述第二身份信息表中生成包含所述源终端标识和免认证用户名的免认证表项。
9.根据权利要求8所述的装置,其特征在于,所述查找单元,还用于:
当所述访问报文不与免认证规则相匹配时,在所述第一身份信息表中查找包含所述源终端标识的表项;当在所述第一身份信息表中未查找到包含所述源终端标识的表项时,丢弃所述访问报文。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:
确定单元,用于当查找到至少两个表项包含所述源终端标识时,从所述至少两个表项中确定优先级最高的表项中的用户名;
控制单元,根据所确定的用户名对应的域间策略,控制向所述目标终端转发所述访问报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610304701.3A CN106060006B (zh) | 2016-05-09 | 2016-05-09 | 一种访问方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610304701.3A CN106060006B (zh) | 2016-05-09 | 2016-05-09 | 一种访问方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106060006A CN106060006A (zh) | 2016-10-26 |
| CN106060006B true CN106060006B (zh) | 2021-06-25 |
Family
ID=57176890
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610304701.3A Active CN106060006B (zh) | 2016-05-09 | 2016-05-09 | 一种访问方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106060006B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106506520B (zh) * | 2016-11-24 | 2019-09-20 | 迈普通信技术股份有限公司 | 一种基于单点登录的认证方法及装置 |
| CN108055254B (zh) * | 2017-12-07 | 2021-01-15 | 锐捷网络股份有限公司 | 一种无感知认证的方法和装置 |
| CN109451503A (zh) * | 2018-12-29 | 2019-03-08 | 成都西加云杉科技有限公司 | 一种离线用户认证状态维护方法及系统 |
| CN110620729A (zh) * | 2019-10-25 | 2019-12-27 | 新华三信息安全技术有限公司 | 一种报文转发方法、装置及报文转发设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105208560A (zh) * | 2015-09-15 | 2015-12-30 | 新浪网技术(中国)有限公司 | 一种WiFi免认证登陆方法、装置及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102056154B (zh) * | 2009-10-30 | 2014-05-07 | 华为技术有限公司 | Ike认证方法、系统、ike响应设备和ike发起设备 |
| US8495714B2 (en) * | 2011-07-20 | 2013-07-23 | Bridgewater Systems Corp. | Systems and methods for authenticating users accessing unsecured wifi access points |
| CN103973639B (zh) * | 2013-01-29 | 2017-06-09 | 华为技术有限公司 | 网络接入控制方法、装置和系统 |
| CN104185304B (zh) * | 2014-07-28 | 2015-12-30 | 小米科技有限责任公司 | 一种接入wi-fi网络的方法及装置 |
-
2016
- 2016-05-09 CN CN201610304701.3A patent/CN106060006B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105208560A (zh) * | 2015-09-15 | 2015-12-30 | 新浪网技术(中国)有限公司 | 一种WiFi免认证登陆方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106060006A (zh) | 2016-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230396583A1 (en) | Dynamic firewall configuration | |
| EP2963873B1 (en) | System and method for managing devices over a content centric network | |
| US11086653B2 (en) | Forwarding policy configuration | |
| CN110311929B (zh) | 一种访问控制方法、装置及电子设备和存储介质 | |
| CN106060006B (zh) | 一种访问方法及装置 | |
| CN109327395B (zh) | 一种报文处理方法及装置 | |
| CN108418806B (zh) | 一种报文的处理方法及装置 | |
| CN106453409B (zh) | 一种报文处理方法及接入设备 | |
| US11671405B2 (en) | Dynamic filter generation and distribution within computer networks | |
| CN110278152B (zh) | 一种建立快速转发表的方法及装置 | |
| US10608981B2 (en) | Name identification device, name identification method, and recording medium | |
| CN112866214A (zh) | 防火墙策略下发方法、装置、计算机设备和存储介质 | |
| CN109379339B (zh) | 一种Portal认证方法及装置 | |
| CN107360095B (zh) | 基于客户端主机名称的端口转发在路由器中的实现方法 | |
| CN107547676B (zh) | 一种地址处理方法及装置 | |
| CN106878485B (zh) | 一种报文处理方法及装置 | |
| CN115826444A (zh) | 基于dns解析的安全访问控制方法、系统、装置及设备 | |
| CN113595900B (zh) | 路由控制方法、装置、系统以及边界网关协议对等体 | |
| WO2014061583A1 (ja) | 通信ノード、制御装置、通信システム、パケット処理方法及びプログラム | |
| US10785165B2 (en) | Method for controlling service data flow and network device | |
| CN109120738B (zh) | Dhcp服务器及其进行网络内部设备管理的方法 | |
| US9654504B1 (en) | Detecting a hijacked network address | |
| CN106534285B (zh) | 一种访问方法及装置 | |
| CN106878291B (zh) | 一种基于前缀安全表项的报文处理方法及装置 | |
| CN106506270B (zh) | 一种ping报文处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Industrial Park, high tech Industrial Development Zone, Zhejiang Province, No. six and road, No. 310 Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |