CN107483461A - 一种nat环境下的终端准入控制方法及装置 - Google Patents
一种nat环境下的终端准入控制方法及装置 Download PDFInfo
- Publication number
- CN107483461A CN107483461A CN201710762724.3A CN201710762724A CN107483461A CN 107483461 A CN107483461 A CN 107483461A CN 201710762724 A CN201710762724 A CN 201710762724A CN 107483461 A CN107483461 A CN 107483461A
- Authority
- CN
- China
- Prior art keywords
- terminal
- connection
- watermark
- network packet
- interchanger
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
- H04L2209/608—Watermarking
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例公开一种NAT环境下的终端准入控制方法及装置,方法包括:通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器若监测到网络地址转换NAT环境下的任一终端与该交换机建立通信连接,则获取该终端发送给交换机的网络数据包并进行协议解析,以判断该网络数据包是不是NAT流数据包;若是NAT流数据包,则判断该网络数据包中是否包含水印标记,该水印标记为终端所添加的,用于对终端进行唯一标识;若该网络数据包中包含水印标记,则基于水印标记,通过对本次连接进行连接跟踪,判断本次连接是否合法;若合法则放行,以允许该终端的接入。本发明实施例能对NAT环境下的终端准入进行控制,提高NAT环境下的终端准入的安全性。
Description
技术领域
本发明实施例涉及计算机网络安全技术领域,具体涉及一种NAT环境下的终端准入控制方法及装置。
背景技术
随着互联网的快速普及,局域网已经在政府及企事业单位广泛应用。局域网在带来便利的同时,也面临着各种各样的威胁。
目前,传统的网络安全准入技术一般是在接入层通过802.1x技术或者通过WEB-portal模式进行终端准入认证,这种传统技术无法管控NAT(网络地址转换)模式下的终端。802.1x技术是基于接入层交换机提出端口级别的准入技术,在NAT模式下上联接入层交换机的端口无法准确识别NAT内网中合法终端,造成NAT下面有一台合法终端认证后,所有NAT下的终端都可以正常接入网络,从而造成严重的安全管理漏洞。基于WEB-portal的准入技术是在汇聚层或核心层通过串联或旁路模式最入网终端进行准入控制的一种技术,这种技术方案是通过IP(网络之间互连的协议)来唯一标识一个合法终端的,对于NAT模式下的终端来说,出口IP都是统一的,因而会造成出口IP认证后,所有内网终端都可以访问网络,造成安全隐患。
鉴于此,如何提高NAT环境下的终端准入的安全性成为目前需要解决的技术问题。
发明内容
由于现有方法存在上述问题,本发明实施例提出一种NAT环境下的终端准入控制方法及装置。
第一方面,本发明实施例提出一种NAT环境下的终端准入控制方法,包括:
通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器若监测到网络地址转换NAT环境下的任一终端与所述交换机建立通信连接,则获取所述终端发送给所述交换机的网络数据包;
对所述网络数据包进行协议解析,以判断所述网络数据包是不是NAT流数据包;
若所述网络数据包是NAT流数据包,则判断所述网络数据包中是否包含水印标记,其中,所述水印标记为所述终端所添加的,用于对所述终端进行唯一标识;
若所述网络数据包中包含水印标记,则基于所述水印标记,通过对本次连接进行连接跟踪,判断本次连接是否合法;
若本次连接合法,则放行,以允许所述终端的接入。
可选地,所述若所述网络数据包中包含水印标记,则基于所述水印标记,通过对本次连接进行连接跟踪,判断本次连接是否合法,包括:
若所述网络数据包中包含水印标记,则对本次连接进行连接跟踪,判断本次连接的双向是否均有所述水印标记;若是,则确定本次连接合法;若否,则确定本次连接不合法。
可选地,在判断获知本次连接合法之后,所述方法还包括:
将本次连接的信息添加到预先建立的网络准入控制NAC合法连接信息池中。
可选地,所述方法还包括:
若判断获知所述网络数据包不是NAT流数据包,或者判断获知所述网络数据包中不包含水印标记,则
根据预先建立的网络准入控制NAC合法连接信息池,判断本次连接是否合法,若本次连接合法,则放行,以允许所述终端的接入。
可选地,在判断本次连接是否合法之后,所述方法还包括:
若判断获知本次连接不合法,则向所述交换机发送阻断包,以阻断所述终端的接入。
可选地,在所述准入管控服务器若监测到NAT环境下的任一终端与所述交换机建立通信连接,则获取所述终端发送给所述交换机的网络数据包之前,所述方法还包括:
通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器若监测到任一终端与所述交换机建立通信连接,则根据所接收的所述终端最新发送的心跳数据,查询所述终端是否包含在预设白名单内,进而确定所述终端是否为NAT环境下的终端;
其中,所述预设白名单内包括:NAT环境下的所有终端。
第二方面,本发明实施例还提出一种NAT环境下的终端准入控制方法,包括:
NAT环境下的终端在待发送的网络数据包中添加水印标记,所述水印标记用于对所述终端进行唯一标识;
与汇聚层或用户接入层的交换机建立通信连接,将添加水印标记后的网络数据包发送给所述交换机,以使通过旁路模式部署到所述交换机上的准入管控服务器基于所述网络数据包中的水印标记,对所述终端准入进行控制。
第三方面,本发明实施例还提出一种NAT环境下的终端准入控制装置,应用于通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器中,包括:
获取模块,用于若监测到网络地址转换NAT环境下的任一终端与所述交换机建立通信连接,则获取所述终端发送给所述交换机的网络数据包;
协议解析模块,用于对所述网络数据包进行协议解析,以判断所述网络数据包是不是NAT流数据包;
第二判断模块,用于若所述网络数据包是NAT流数据包,则判断所述网络数据包中是否包含水印标记,其中,所述水印标记为所述终端所添加的,用于对所述终端进行唯一标识;
第三判断模块,用于若所述网络数据包中包含水印标记,则基于所述水印标记,通过对本次连接进行连接跟踪,判断本次连接是否合法;
放行模块,用于若本次连接合法,则放行,以允许所述终端的接入。
可选地,所述第三判断模块,具体用于
若所述网络数据包中包含水印标记,则对本次连接进行连接跟踪,判断本次连接的双向是否均有所述水印标记;若是,则确定本次连接合法;若否,则确定本次连接不合法。
可选地,所述装置还包括:
第一添加模块,用于在判断获知本次连接合法之后,将本次连接的信息添加到预先建立的网络准入控制NAC合法连接信息池中。
可选地,所述装置还包括:
第四判断模块,用于若判断获知所述网络数据包不是NAT流数据包,或者判断获知所述网络数据包中不包含水印标记,则
根据预先建立的网络准入控制NAC合法连接信息池,判断本次连接是否合法,若本次连接合法,则放行,以允许所述终端的接入。
可选地,所述装置还包括:
阻断模块,用于在判断本次连接是否合法之后,若判断获知本次连接不合法,则向所述交换机发送阻断包,以阻断所述终端的接入。
可选地,所述装置还包括:
第一判断模块,用于若监测到任一终端与所述交换机建立通信连接,则根据所接收的所述终端最新发送的心跳数据,查询所述终端是否包含在预设白名单内,进而确定所述终端是否为NAT环境下的终端;
其中,所述预设白名单内包括:NAT环境下的所有终端。
第四方面,本发明实施例还提出一种NAT环境下的终端准入控制装置,应用于NAT环境下的终端中,其特征在于,包括:
第二添加模块,用于在待发送的网络数据包中添加水印标记,所述水印标记用于对所述终端进行唯一标识;
发送模块,用于与汇聚层或用户接入层的交换机建立通信连接,将添加水印标记后的网络数据包发送给所述交换机,以使通过旁路模式部署到所述交换机上的准入管控服务器基于所述网络数据包中的水印标记,对所述终端准入进行控制。
第五方面,本发明实施例提供一种电子设备,包括:第一处理器、第一存储器、第一总线及存储在第一存储器上并可在第一处理器上运行的计算机程序;
其中,所述第一处理器和第一存储器通过所述第一总线完成相互间的通信;
所述第一处理器执行所述计算机程序时实现上述第一方面所述的方法。
第六方面,本发明实施例提供另一种电子设备,包括:第二处理器、第二存储器、第二总线及存储在第二存储器上并可在第二处理器上运行的计算机程序;
其中,所述第二处理器和第二存储器通过所述第二总线完成相互间的通信;
所述第二处理器执行所述计算机程序时实现上述第二方面所述的方法。
第七方面,本发明实施例提供一种非暂态计算机可读存储介质,所述存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述第一方面所述的方法。
第八方面,本发明实施例提供一种非暂态计算机可读存储介质,所述存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述第二方面所述的方法。
由上述技术方案可知,本发明实施例通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器若监测到网络地址转换NAT环境下的任一终端与该交换机建立通信连接,则获取该终端发送给交换机的网络数据包并进行协议解析,以判断该网络数据包是不是NAT流数据包;若是NAT流数据包,则判断该网络数据包中是否包含水印标记,其中,水印标记为终端所添加的,用于对终端进行唯一标识;若该网络数据包中包含水印标记,则基于水印标记,通过对本次连接进行连接跟踪,判断本次连接是否合法;若本次连接合法,则放行,以允许该终端的接入,由此,能够对NAT环境下的终端准入进行控制,提高了NAT环境下的终端准入的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1为本发明一实施例提供的一种NAT环境下的终端准入控制方法的流程示意图;
图2为本发明另一实施例提供的一种NAT环境下的终端准入控制方法的流程示意图;
图3为本发明一实施例提供的一种NAT环境下的终端准入控制装置的结构示意图;
图4为本发明另一实施例提供的一种NAT环境下的终端准入控制装置的结构示意图;
图5为本发明一实施例提供的电子设备的实体结构示意图;
图6为本发明另一实施例提供的电子设备的实体结构示意图。
具体实施方式
下面结合附图,对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
图1示出了本发明一实施例提供的一种NAT环境下的终端准入控制方法的流程示意图,如图1所示,本实施例的NAT环境下的终端准入控制方法,包括:
S101、通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器若监测到网络地址转换NAT环境下的任一终端与所述交换机建立通信连接,则获取所述终端发送给所述交换机的网络数据包。
需要说明的是,本实施例所述准入管控服务器可通过旁路部署方式放置于交换机的镜像口上,所获取的网络数据包实质为终端发送给所述交换机的网络数据包的镜像流数据。
S102、对所述网络数据包进行协议解析,以判断所述网络数据包是不是NAT流数据包。
S103、若所述网络数据包是NAT流数据包,则判断所述网络数据包中是否包含水印标记,其中,所述水印标记为所述终端所添加的,用于对所述终端进行唯一标识。
S104、若所述网络数据包中包含水印标记,则基于所述水印标记,通过对本次连接进行连接跟踪,判断本次连接是否合法。
具体地,所述步骤S104可以通过若所述网络数据包中包含水印标记,则对本次连接进行连接跟踪,判断本次连接的双向是否均有所述水印标记,来判断本次连接是否合法;若本次连接的双向均有所述水印标记,则确定本次连接合法,否则确定本次连接不合法。
S105、若本次连接合法,则放行,以允许所述终端的接入。
可以理解的是,通过在终端网络层打水印标记,使得终端每个连接都有唯一的标识,通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器通过协议解析、连接跟踪,可以精准识别每一条连接的合法性,从而对终端准入控制粒度细化到具体的连接,对连接进行合法或非法判断,通过这种方法,可以很好地实现NAT环境下的终端准入控制。
本实施例的NAT环境下的终端准入控制方法,通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器若监测到NAT环境下的任一终端与该交换机建立通信连接,则获取该终端发送给交换机的网络数据包并进行协议解析,以判断该网络数据包是不是NAT流数据包;若是NAT流数据包,则判断该网络数据包中是否包含水印标记,其中,水印标记为终端所添加的,用于对终端进行唯一标识;若该网络数据包中包含水印标记,则基于水印标记,通过对本次连接进行连接跟踪,判断本次连接是否合法;若本次连接合法,则放行,以允许该终端的接入,由此,能够对NAT环境下的终端准入进行控制,可以对该交换机下属管理的所有终端(如个人电脑和移动终端等)包括NAT环境下的终端、多层NAT后的终端都可以方便地进行统一准入控制管理,提高了NAT环境下的终端准入的安全性。
进一步地,在上述方法实施例的基础上,在判断获知本次连接合法之后,本实施例所述方法还可以包括:
将本次连接的信息添加到预先建立的NAC(网络准入控制)合法连接信息池中。
可以理解的是,将判断所获知的合法的连接的信息添加到预先建立的NAC合法连接信息池中,可以不断及时更新预先建立的NAC合法连接信息池中的合法连接的信息,能提高后续任意终端与与所述交换机建立通信连接时利用该NAC合法连接信息池来判断该连接是否合法的准确性。
进一步地,在上述方法实施例的基础上,本实施例所述方法还可以包括:
若判断获知所述网络数据包不是NAT流数据包,或者判断获知所述网络数据包中不包含水印标记,则
根据预先建立的网络准入控制NAC合法连接信息池,判断本次连接是否合法,若本次连接合法,则放行,以允许所述终端的接入。
可以理解的是,通过查询预先建立的NAC合法连接信息池中是否包含本次连接的信息,可以判断本次连接是否合法,即,若NAC合法连接信息池中包含本次连接的信息,则确定本次连接合法,否则,确定本次连接不合法。
进一步地,在上述方法实施例的基础上,在判断本次连接是否合法之后,本实施例所述方法还可以包括:
若判断获知本次连接不合法,则向所述交换机发送阻断包,以阻断所述终端的接入。
可以理解的是,通过向所述交换机发送阻断包,可以阻断非法终端的接入,提高NAT环境下的终端准入的安全性。
进一步地,在上述方法实施例的基础上,在上述步骤S101之前,所述方法还可以包括:
通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器若监测到任一终端与所述交换机建立通信连接,则根据所接收的所述终端最新发送的心跳数据,查询所述终端是否包含在预设白名单内,进而确定所述终端是否为NAT环境下的终端;
其中,所述预设白名单内包括:NAT环境下的所有终端。
可以理解的是,本实施例是对NAT环境下的终端准入进行控制,所以,需要判断与所述交换机建立通信连接的终端是否为NAT环境下的终端。
本实施例的NAT环境下的终端准入控制方法,能够对NAT环境下的终端准入进行控制,可以对该交换机下属管理的所有终端(如个人电脑和移动终端等)包括NAT环境下的终端、多层NAT后的终端都可以方便地进行统一准入控制管理,提高了NAT环境下的终端准入的安全性。
图2示出了本发明一实施例提供的一种NAT环境下的终端准入控制方法的流程示意图,如图2所示,本实施例的NAT环境下的终端准入控制方法,包括:
S201、NAT环境下的终端在待发送的网络数据包中添加水印标记,所述水印标记用于对所述终端进行唯一标识。
S202、与汇聚层或用户接入层的交换机建立通信连接,将添加水印标记后的网络数据包发送给所述交换机,以使通过旁路模式部署到所述交换机上的准入管控服务器基于所述网络数据包中的水印标记,对所述终端准入进行控制
本实施例的NAT环境下的终端准入控制方法,通过NAT环境下的终端在待发送的网络数据包中添加用于对所述终端进行唯一标识水印标记后发送给汇聚层或用户接入层的交换机,可以使通过旁路模式部署到所述交换机上的准入管控服务器基于所述网络数据包中的水印标记对所述终端准入进行控制,可提高NAT环境下的终端准入的安全性。
图3示出了本发明一实施例提供的一种NAT环境下的终端准入控制装置的结构示意图,所述终端准入控制装置应用于通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器中,如图3所示,本实施例的NAT环境下的终端准入控制装置,包括:获取模块31、协议解析模块32、第二判断模块33、第三判断模块34和放行模块35;其中:
所述获取模块31,用于若监测到网络地址转换NAT环境下的任一终端与所述交换机建立通信连接,则获取所述终端发送给所述交换机的网络数据包;
所述协议解析模块32,用于对所述网络数据包进行协议解析,以判断所述网络数据包是不是NAT流数据包;
所述第二判断模块33,用于若所述网络数据包是NAT流数据包,则判断所述网络数据包中是否包含水印标记,其中,所述水印标记为所述终端所添加的,用于对所述终端进行唯一标识;
所述第三判断模块34,用于若所述网络数据包中包含水印标记,则基于所述水印标记,通过对本次连接进行连接跟踪,判断本次连接是否合法;
所述放行模块35,用于若本次连接合法,则放行,以允许所述终端的接入。
具体地,所述获取模块31若监测到网络地址转换NAT环境下的任一终端与所述交换机建立通信连接,则获取所述终端发送给所述交换机的网络数据包;所述协议解析模块32对所述网络数据包进行协议解析,以判断所述网络数据包是不是NAT流数据包;所述第二判断模块33若所述网络数据包是NAT流数据包,则判断所述网络数据包中是否包含水印标记,其中,所述水印标记为所述终端所添加的,用于对所述终端进行唯一标识;所述第三判断模块34若所述网络数据包中包含水印标记,则基于所述水印标记,通过对本次连接进行连接跟踪,判断本次连接是否合法;所述放行模块35若本次连接合法,则放行,以允许所述终端的接入。
需要说明的是,本实施例所述准入管控服务器可通过旁路部署方式放置于交换机的镜像口上,所获取的网络数据包实质为终端发送给所述交换机的网络数据包的镜像流数据。
具体地,所述第三判断模块34可具体通过若所述网络数据包中包含水印标记,则对本次连接进行连接跟踪,判断本次连接的双向是否均有所述水印标记,来判断本次连接是否合法;若本次连接的双向均有所述水印标记,则确定本次连接合法,否则确定本次连接不合法。
可以理解的是,通过在终端网络层打水印标记,使得终端每个连接都有唯一的标识,通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器通过协议解析、连接跟踪,可以精准识别每一条连接的合法性,从而对终端准入控制粒度细化到具体的连接,对连接进行合法或非法判断,通过这种方法,可以很好地实现NAT环境下的终端准入控制。
本实施例的NAT环境下的终端准入控制装置,应用于通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器中,能够对NAT环境下的终端准入进行控制,可以对该交换机下属管理的所有终端(如个人电脑和移动终端等)包括NAT环境下的终端、多层NAT后的终端都可以方便地进行统一准入控制管理,提高了NAT环境下的终端准入的安全性。
进一步地,在上述方法实施例的基础上,本实施例所述装置还可以包括图中未示出的:
第一添加模块,用于在判断获知本次连接合法之后,将本次连接的信息添加到预先建立的网络准入控制NAC合法连接信息池中。
可以理解的是,所述第一添加模块将判断所获知的合法的连接的信息添加到预先建立的NAC合法连接信息池中,可以不断及时更新预先建立的NAC合法连接信息池中的合法连接的信息,能提高后续任意终端与与所述交换机建立通信连接时利用该NAC合法连接信息池来判断该连接是否合法的准确性。
进一步地,在上述方法实施例的基础上,本实施例所述装置还可以包括图中未示出的:
第四判断模块,用于若判断获知所述网络数据包不是NAT流数据包,或者判断获知所述网络数据包中不包含水印标记,则
根据预先建立的网络准入控制NAC合法连接信息池,判断本次连接是否合法,若本次连接合法,则放行,以允许所述终端的接入。
可以理解的是,所述第四判断模块通过查询预先建立的NAC合法连接信息池中是否包含本次连接的信息,可以判断本次连接是否合法,即,若NAC合法连接信息池中包含本次连接的信息,则确定本次连接合法,否则,确定本次连接不合法。
进一步地,在上述方法实施例的基础上,本实施例所述装置还可以包括图中未示出的:
阻断模块,用于在判断本次连接是否合法之后,若判断获知本次连接不合法,则向所述交换机发送阻断包,以阻断所述终端的接入。
可以理解的是,所述阻断模块通过向所述交换机发送阻断包,可以阻断非法终端的接入,提高NAT环境下的终端准入的安全性。
进一步地,在上述方法实施例的基础上,本实施例所述装置还可以包括图中未示出的:
第一判断模块,用于若监测到任一终端与所述交换机建立通信连接,则根据所接收的所述终端最新发送的心跳数据,查询所述终端是否包含在预设白名单内,进而确定所述终端是否为NAT环境下的终端;
其中,所述预设白名单内包括:NAT环境下的所有终端。
可以理解的是,本实施例是对NAT环境下的终端准入进行控制,所以,需要判断与所述交换机建立通信连接的终端是否为NAT环境下的终端。
本实施例的NAT环境下的终端准入控制装置,应用于通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器中,能够对NAT环境下的终端准入进行控制,可以对该交换机下属管理的所有终端(如个人电脑和移动终端等)包括NAT环境下的终端、多层NAT后的终端都可以方便地进行统一准入控制管理,提高了NAT环境下的终端准入的安全性。
本实施例的NAT环境下的终端准入控制装置,可以用于执行前述图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图4示出了本发明另一实施例提供的一种NAT环境下的终端准入控制装置的结构示意图,所述终端准入控制装置应用于NAT环境下的终端中,如图4所示,本实施例的NAT环境下的终端准入控制装置,包括:第二添加模块41和发送模块42;其中:
所述第二添加模块41,用于在待发送的网络数据包中添加水印标记,所述水印标记用于对所述终端进行唯一标识;
所述发送模块42,用于与汇聚层或用户接入层的交换机建立通信连接,将添加水印标记后的网络数据包发送给所述交换机,以使通过旁路模式部署到所述交换机上的准入管控服务器基于所述网络数据包中的水印标记,对所述终端准入进行控制。
具体地,所述第二添加模块41在待发送的网络数据包中添加水印标记,所述水印标记用于对所述终端进行唯一标识;所述发送模块42与汇聚层或用户接入层的交换机建立通信连接,将添加水印标记后的网络数据包发送给所述交换机,以使通过旁路模式部署到所述交换机上的准入管控服务器基于所述网络数据包中的水印标记,对所述终端准入进行控制
本实施例的NAT环境下的终端准入控制装置,应用于NAT环境下的终端中,通过在待发送的网络数据包中添加用于对所述终端进行唯一标识水印标记后发送给汇聚层或用户接入层的交换机,可以使通过旁路模式部署到所述交换机上的准入管控服务器基于所述网络数据包中的水印标记对所述终端准入进行控制,可提高NAT环境下的终端准入的安全性。
本实施例的NAT环境下的终端准入控制装置,可以用于执行前述图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图5示出了本发明一实施例提供的一种电子设备的实体结构示意图,如图5所示,该电子设备可以包括:第一处理器501、第一存储器502、第一总线503及存储在第一存储器502上并可在第一处理器501上运行的计算机程序;
其中,所述第一处理器501和第一存储器502通过所述第一总线503完成相互间的通信;
所述第一处理器501执行所述计算机程序时实现上述各方法实施例所提供的方法,例如包括:通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器若监测到网络地址转换NAT环境下的任一终端与所述交换机建立通信连接,则获取所述终端发送给所述交换机的网络数据包;对所述网络数据包进行协议解析,以判断所述网络数据包是不是NAT流数据包;若所述网络数据包是NAT流数据包,则判断所述网络数据包中是否包含水印标记,其中,所述水印标记为所述终端所添加的,用于对所述终端进行唯一标识;若所述网络数据包中包含水印标记,则基于所述水印标记,通过对本次连接进行连接跟踪,判断本次连接是否合法;若本次连接合法,则放行,以允许所述终端的接入。
本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现前述图1所示方法实施例所提供的方法,例如包括:通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器若监测到网络地址转换NAT环境下的任一终端与所述交换机建立通信连接,则获取所述终端发送给所述交换机的网络数据包;对所述网络数据包进行协议解析,以判断所述网络数据包是不是NAT流数据包;若所述网络数据包是NAT流数据包,则判断所述网络数据包中是否包含水印标记,其中,所述水印标记为所述终端所添加的,用于对所述终端进行唯一标识;若所述网络数据包中包含水印标记,则基于所述水印标记,通过对本次连接进行连接跟踪,判断本次连接是否合法;若本次连接合法,则放行,以允许所述终端的接入。
图6示出了本发明另一实施例提供的一种电子设备的实体结构示意图,如图6所示,该电子设备可以包括:第二处理器601、第二存储器602、第二总线603及存储在第二存储器602上并可在第二处理器601上运行的计算机程序;
其中,所述第二处理器601和第二存储器602通过所述第二总线603完成相互间的通信;
所述第二处理器601执行所述计算机程序时实现上述各方法实施例所提供的方法,例如包括:NAT环境下的终端在待发送的网络数据包中添加水印标记,所述水印标记用于对所述终端进行唯一标识;与汇聚层或用户接入层的交换机建立通信连接,将添加水印标记后的网络数据包发送给所述交换机,以使通过旁路模式部署到所述交换机上的准入管控服务器基于所述网络数据包中的水印标记,对所述终端准入进行控制。
本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现前述图2所示方法实施例所提供的方法,例如包括:NAT环境下的终端在待发送的网络数据包中添加水印标记,所述水印标记用于对所述终端进行唯一标识;与汇聚层或用户接入层的交换机建立通信连接,将添加水印标记后的网络数据包发送给所述交换机,以使通过旁路模式部署到所述交换机上的准入管控服务器基于所述网络数据包中的水印标记,对所述终端准入进行控制。
本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、装置、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置/系统。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
本发明的说明书中,说明了大量具体细节。然而能够理解的是,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本发明公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。本发明并不局限于任何单一的方面,也不局限于任何单一的实施例,也不局限于这些方面和/或实施例的任意组合和/或置换。而且,可以单独使用本发明的每个方面和/或实施例或者与一个或更多其他方面和/或其实施例结合使用。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (18)
1.一种NAT环境下的终端准入控制方法,其特征在于,包括:
通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器若监测到网络地址转换NAT环境下的任一终端与所述交换机建立通信连接,则获取所述终端发送给所述交换机的网络数据包;
对所述网络数据包进行协议解析,以判断所述网络数据包是不是NAT流数据包;
若所述网络数据包是NAT流数据包,则判断所述网络数据包中是否包含水印标记,其中,所述水印标记为所述终端所添加的,用于对所述终端进行唯一标识;
若所述网络数据包中包含水印标记,则基于所述水印标记,通过对本次连接进行连接跟踪,判断本次连接是否合法;
若本次连接合法,则放行,以允许所述终端的接入。
2.根据权利要求1所述的方法,其特征在于,所述若所述网络数据包中包含水印标记,则基于所述水印标记,通过对本次连接进行连接跟踪,判断本次连接是否合法,包括:
若所述网络数据包中包含水印标记,则对本次连接进行连接跟踪,判断本次连接的双向是否均有所述水印标记;若是,则确定本次连接合法;若否,则确定本次连接不合法。
3.根据权利要求1所述的方法,其特征在于,在判断获知本次连接合法之后,所述方法还包括:
将本次连接的信息添加到预先建立的网络准入控制NAC合法连接信息池中。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若判断获知所述网络数据包不是NAT流数据包,或者判断获知所述网络数据包中不包含水印标记,则
根据预先建立的网络准入控制NAC合法连接信息池,判断本次连接是否合法,若本次连接合法,则放行,以允许所述终端的接入。
5.根据权利要求1或4所述的方法,其特征在于,在判断本次连接是否合法之后,所述方法还包括:
若判断获知本次连接不合法,则向所述交换机发送阻断包,以阻断所述终端的接入。
6.根据权利要求1所述的方法,其特征在于,在所述准入管控服务器若监测到NAT环境下的任一终端与所述交换机建立通信连接,则获取所述终端发送给所述交换机的网络数据包之前,所述方法还包括:
通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器若监测到任一终端与所述交换机建立通信连接,则根据所接收的所述终端最新发送的心跳数据,查询所述终端是否包含在预设白名单内,进而确定所述终端是否为NAT环境下的终端;
其中,所述预设白名单内包括:NAT环境下的所有终端。
7.一种NAT环境下的终端准入控制方法,其特征在于,包括:
NAT环境下的终端在待发送的网络数据包中添加水印标记,所述水印标记用于对所述终端进行唯一标识;
与汇聚层或用户接入层的交换机建立通信连接,将添加水印标记后的网络数据包发送给所述交换机,以使通过旁路模式部署到所述交换机上的准入管控服务器基于所述网络数据包中的水印标记,对所述终端准入进行控制。
8.一种NAT环境下的终端准入控制装置,应用于通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器中,其特征在于,包括:
获取模块,用于若监测到网络地址转换NAT环境下的任一终端与所述交换机建立通信连接,则获取所述终端发送给所述交换机的网络数据包;
协议解析模块,用于对所述网络数据包进行协议解析,以判断所述网络数据包是不是NAT流数据包;
第二判断模块,用于若所述网络数据包是NAT流数据包,则判断所述网络数据包中是否包含水印标记,其中,所述水印标记为所述终端所添加的,用于对所述终端进行唯一标识;
第三判断模块,用于若所述网络数据包中包含水印标记,则基于所述水印标记,通过对本次连接进行连接跟踪,判断本次连接是否合法;
放行模块,用于若本次连接合法,则放行,以允许所述终端的接入。
9.根据权利要求8所述的装置,其特征在于,所述第三判断模块,具体用于
若所述网络数据包中包含水印标记,则对本次连接进行连接跟踪,判断本次连接的双向是否均有所述水印标记;若是,则确定本次连接合法;若否,则确定本次连接不合法。
10.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第一添加模块,用于在判断获知本次连接合法之后,将本次连接的信息添加到预先建立的网络准入控制NAC合法连接信息池中。
11.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第四判断模块,用于若判断获知所述网络数据包不是NAT流数据包,或者判断获知所述网络数据包中不包含水印标记,则
根据预先建立的网络准入控制NAC合法连接信息池,判断本次连接是否合法,若本次连接合法,则放行,以允许所述终端的接入。
12.根据权利要求8或11所述的装置,其特征在于,所述装置还包括:
阻断模块,用于在判断本次连接是否合法之后,若判断获知本次连接不合法,则向所述交换机发送阻断包,以阻断所述终端的接入。
13.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第一判断模块,用于若监测到任一终端与所述交换机建立通信连接,则根据所接收的所述终端最新发送的心跳数据,查询所述终端是否包含在预设白名单内,进而确定所述终端是否为NAT环境下的终端;
其中,所述预设白名单内包括:NAT环境下的所有终端。
14.一种NAT环境下的终端准入控制装置,应用于NAT环境下的终端中,其特征在于,包括:
第二添加模块,用于在待发送的网络数据包中添加水印标记,所述水印标记用于对所述终端进行唯一标识;
发送模块,用于与汇聚层或用户接入层的交换机建立通信连接,将添加水印标记后的网络数据包发送给所述交换机,以使通过旁路模式部署到所述交换机上的准入管控服务器基于所述网络数据包中的水印标记,对所述终端准入进行控制。
15.一种电子设备,其特征在于,包括:第一处理器、第一存储器、第一总线及存储在第一存储器上并可在第一处理器上运行的计算机程序;
其中,所述第一处理器和第一存储器通过所述第一总线完成相互间的通信;
所述第一处理器执行所述计算机程序时实现如权利要求1-6中任一项所述的方法。
16.一种电子设备,其特征在于,包括:第二处理器、第二存储器、第二总线及存储在第二存储器上并可在第二处理器上运行的计算机程序;
其中,所述第二处理器和第二存储器通过所述第二总线完成相互间的通信;
所述第二处理器执行所述计算机程序时实现如权利要求7所述的方法。
17.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现如权利要求1-6中任一项所述的方法。
18.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现如权利要求7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710762724.3A CN107483461B (zh) | 2017-08-30 | 2017-08-30 | 一种nat环境下的终端准入控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710762724.3A CN107483461B (zh) | 2017-08-30 | 2017-08-30 | 一种nat环境下的终端准入控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107483461A true CN107483461A (zh) | 2017-12-15 |
| CN107483461B CN107483461B (zh) | 2020-06-12 |
Family
ID=60604085
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710762724.3A Active CN107483461B (zh) | 2017-08-30 | 2017-08-30 | 一种nat环境下的终端准入控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107483461B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109470303A (zh) * | 2018-10-30 | 2019-03-15 | 出门问问信息科技有限公司 | 一种获取温湿度数据信息的方法及装置 |
| CN112887265A (zh) * | 2020-12-31 | 2021-06-01 | 浙江远望信息股份有限公司 | 一种针对nat下防止未注册终端伪造为合法通信的准入方法 |
| CN114765549A (zh) * | 2020-12-31 | 2022-07-19 | 慧盾信息安全科技(北京)有限公司 | 一种基于tcp协议的nat环境终端准入视频监控网络的系统和方法 |
| CN115086451A (zh) * | 2022-06-10 | 2022-09-20 | 杭州安恒信息技术股份有限公司 | 一种通信方法、装置、设备及可读存储介质 |
| CN117082522A (zh) * | 2023-07-07 | 2023-11-17 | 北京天融信网络安全技术有限公司 | 一种物联网设备动态ip准入方法、装置及设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040083369A1 (en) * | 2002-07-26 | 2004-04-29 | Ulfar Erlingsson | Systems and methods for transparent configuration authentication of networked devices |
| CN101674191A (zh) * | 2009-09-23 | 2010-03-17 | 南京力诺锐特科技有限公司 | 互联网内容审查监控方法 |
| KR20140046495A (ko) * | 2012-09-03 | 2014-04-21 | 인하대학교 산학협력단 | 패킷 워터마킹을 통한 로그 ap 탐지 방법 및 시스템 |
| CN103841120A (zh) * | 2014-03-28 | 2014-06-04 | 北京网秦天下科技有限公司 | 基于数字水印的数据安全管理方法、移动终端和系统 |
| CN104717316A (zh) * | 2015-04-03 | 2015-06-17 | 山东华软金盾软件有限公司 | 一种跨nat环境下客户端接入方法和系统 |
| CN105025016A (zh) * | 2015-06-30 | 2015-11-04 | 公安部第一研究所 | 一种内网终端准入控制方法 |
| CN106302498A (zh) * | 2016-08-25 | 2017-01-04 | 杭州汉领信息科技有限公司 | 一种基于登录参数的数据库准入防火墙系统 |
| CN106686003A (zh) * | 2017-02-28 | 2017-05-17 | 浙江远望信息股份有限公司 | 旁路部署的网络准入控制系统及方法 |
| CN106686007A (zh) * | 2017-03-03 | 2017-05-17 | 南京理工大学 | 一种发现内网被控重路由节点的主动流量分析方法 |
-
2017
- 2017-08-30 CN CN201710762724.3A patent/CN107483461B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040083369A1 (en) * | 2002-07-26 | 2004-04-29 | Ulfar Erlingsson | Systems and methods for transparent configuration authentication of networked devices |
| CN101674191A (zh) * | 2009-09-23 | 2010-03-17 | 南京力诺锐特科技有限公司 | 互联网内容审查监控方法 |
| KR20140046495A (ko) * | 2012-09-03 | 2014-04-21 | 인하대학교 산학협력단 | 패킷 워터마킹을 통한 로그 ap 탐지 방법 및 시스템 |
| CN103841120A (zh) * | 2014-03-28 | 2014-06-04 | 北京网秦天下科技有限公司 | 基于数字水印的数据安全管理方法、移动终端和系统 |
| CN104717316A (zh) * | 2015-04-03 | 2015-06-17 | 山东华软金盾软件有限公司 | 一种跨nat环境下客户端接入方法和系统 |
| CN105025016A (zh) * | 2015-06-30 | 2015-11-04 | 公安部第一研究所 | 一种内网终端准入控制方法 |
| CN106302498A (zh) * | 2016-08-25 | 2017-01-04 | 杭州汉领信息科技有限公司 | 一种基于登录参数的数据库准入防火墙系统 |
| CN106686003A (zh) * | 2017-02-28 | 2017-05-17 | 浙江远望信息股份有限公司 | 旁路部署的网络准入控制系统及方法 |
| CN106686007A (zh) * | 2017-03-03 | 2017-05-17 | 南京理工大学 | 一种发现内网被控重路由节点的主动流量分析方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109470303A (zh) * | 2018-10-30 | 2019-03-15 | 出门问问信息科技有限公司 | 一种获取温湿度数据信息的方法及装置 |
| CN112887265A (zh) * | 2020-12-31 | 2021-06-01 | 浙江远望信息股份有限公司 | 一种针对nat下防止未注册终端伪造为合法通信的准入方法 |
| CN114765549A (zh) * | 2020-12-31 | 2022-07-19 | 慧盾信息安全科技(北京)有限公司 | 一种基于tcp协议的nat环境终端准入视频监控网络的系统和方法 |
| CN114765549B (zh) * | 2020-12-31 | 2024-03-15 | 慧盾信息安全科技(北京)有限公司 | 一种基于tcp协议的nat环境终端准入视频监控网络的系统和方法 |
| CN112887265B (zh) * | 2020-12-31 | 2024-03-26 | 浙江远望信息股份有限公司 | 一种针对nat下防止未注册终端伪造为合法通信的准入方法 |
| CN115086451A (zh) * | 2022-06-10 | 2022-09-20 | 杭州安恒信息技术股份有限公司 | 一种通信方法、装置、设备及可读存储介质 |
| CN117082522A (zh) * | 2023-07-07 | 2023-11-17 | 北京天融信网络安全技术有限公司 | 一种物联网设备动态ip准入方法、装置及设备 |
| CN117082522B (zh) * | 2023-07-07 | 2024-04-19 | 北京天融信网络安全技术有限公司 | 一种物联网设备动态ip准入方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107483461B (zh) | 2020-06-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107483461A (zh) | 一种nat环境下的终端准入控制方法及装置 | |
| Erie et al. | The Beijing effect: China's Digital Silk Road as transnational data governance | |
| CN107819829A (zh) | 访问区块链的方法、系统、区块链节点设备及用户终端 | |
| CN106254480A (zh) | 智慧城市服务平台 | |
| CN102999850B (zh) | 智慧服务商店的应用方法 | |
| CN105847300B (zh) | 企业网络边界设备拓扑结构的可视化方法及装置 | |
| CN110995718B (zh) | 一种基于区块链的电力终端跨域认证方法 | |
| CN104660593A (zh) | Opc安全网关数据包过滤方法 | |
| CN107895233A (zh) | 面向电力通信的运维管理系统及富媒体交互系统、方法 | |
| CN104063958A (zh) | 一种无卡公共自行车系统及其借还车方法 | |
| CN110322582A (zh) | 光缆线路巡检方法、装置及终端设备 | |
| CN103841119B (zh) | 基于Home‑IOT云关实现设备接入认证的方法及系统 | |
| CN110365711A (zh) | 多平台用户身份关联方法及装置 | |
| CN104301410A (zh) | 一种客户端监听模式实现内外网互联的自助办税终端设计方法 | |
| CN107634989A (zh) | 一种云钱包构建方法及服务器 | |
| CN106603721A (zh) | 一种远程控制的方法及系统、一种远程控制客户端 | |
| CN104506368B (zh) | 一种统一管理交换机设备的方法和设备 | |
| CN108093097A (zh) | 摄像头与家庭网关的连接方法及家庭网关 | |
| CN106487770B (zh) | 鉴权方法及鉴权装置 | |
| CN104539752B (zh) | 多级域平台间的访问方法及系统 | |
| CN103997419A (zh) | 兼容多种业务的通用模板配置管理方法及装置 | |
| CN208028932U (zh) | 停车管理系统 | |
| CN103441882B (zh) | 一种远程管理互联网访问的方法 | |
| CN114124436B (zh) | 一种基于电力物联网泛终端的apn接入可信计算管理系统 | |
| CN106059882A (zh) | 一种路由插入的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: Qianxin Technology Group Co.,Ltd. Address before: 100015 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Applicant before: Beijing Qihoo Technology Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |