CN107948979B - 信息处理方法、装置及审计设备 - Google Patents
信息处理方法、装置及审计设备 Download PDFInfo
- Publication number
- CN107948979B CN107948979B CN201711466197.8A CN201711466197A CN107948979B CN 107948979 B CN107948979 B CN 107948979B CN 201711466197 A CN201711466197 A CN 201711466197A CN 107948979 B CN107948979 B CN 107948979B
- Authority
- CN
- China
- Prior art keywords
- data
- terminal
- address
- gateway
- determined
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提出一种信息处理方法、装置及审计设备,涉及通信技术领域。该方法在对用户的终端设备成功进行无线网络认证后,审计设备获取所述终端设备的上线数据,所述上线数据包括所述终端设备接入的无线接入点的接入点标识信息、所述终端设备的终端标识信息以及用户登录信息;获得所述无线接入点的基础数据,所述基础数据包括所述无线接入点对应的出口网关设备的网关IP地址和所述接入点标识信息;将所述上线数据和所述基础数据进行关联,获得关联数据,所述关联数据与所述用户唯一对应。通过获得的关联数据可以准确判断该用户是利用该终端设备、无线访问接入点和出口网关设备进行网络访问的。
Description
技术领域
本发明涉及通信技术领域,具体而言,涉及一种信息处理方法、装置及审计设备。
背景技术
在当前的无线办公发展浪潮中,WIFI技术应用广泛,企业在园区、厂区、办公大楼建立无线WIFI大型系统,为用户终端提供了便捷的移动互联网服务。企业在无线WIFI建设中,为了实现接入网络的终端用户的管理和监控,降低企业建立无线园区、无线办公的安全风险,需要对终端用户的网络访问进行审计。
发明内容
本发明实施例提供一种信息处理方法、装置及审计设备。
本发明实施例采用的技术方案如下:
第一方面,本发明实施例提出一种信息处理方法,所述方法包括:在对用户的终端设备成功进行无线网络认证后,审计设备获取所述终端设备的上线数据,所述上线数据包括所述终端设备接入的无线接入点的接入点标识信息、所述终端设备的终端标识信息以及用户登录信息;所述审计设备获得所述无线接入点的基础数据,所述基础数据包括所述无线接入点对应的出口网关设备的网关IP地址和所述接入点标识信息;所述审计设备将所述上线数据和所述基础数据进行关联,获得关联数据,所述关联数据与所述用户唯一对应。
在上述第一方面实施例提供的技术方案中,审计设备在接收到上线数据时,根据接入点标识信息将上线数据与对应无线接入点的基础数据进行关联得到关联数据,根据该关联数据可判断在出口网关设备的范围内,该用户利用该终端设备上线,且可通过该无线访问接入点和出口网关设备访问互联网,实现了准确判断该用户是否上线以及获得该终端设备所接入的无线访问接入点和出口网关设备等信息的技术效果。
可选地,结合上述第一方面提供的技术方案,在第一方面的第一种可能的设计中,在所述审计设备将所述上线数据和所述基础数据进行关联,获得关联数据之后,所述方法还包括:获取待处理网络访问数据,所述待处理网络访问数据包括待确定网关IP地址以及待确定终端标识信息;根据所述待确定网关IP地址及所述待确定终端标识信息判断所述待处理网络访问数据与所述关联数据是否匹配;在所述待处理网络访问数据与所述关联数据匹配时,基于所述待处理网络访问数据与所述关联数据,获得所述终端设备的实名审计数据。在本申请中,由于根据关联数据中的用户登录信息可以唯一确定用户,在关联数据与待处理网络访问数据匹配时,根据关联数据与待处理网络访问数据获得的实名审计数据就可以确定该待处理网络访问数据中的网络访问行为是该用户所产生的,实现了对终端设备进行实名审计的技术效果。
可选地,结合上述第一方面的第一种可能的设计提供的技术方案,在第二种可能的设计中,所述终端标识信息为终端IP地址,所述待确定终端标识信息为待确定终端IP地址,所述根据所述待确定网关IP地址及所述待确定终端标识信息判断所述待处理网络访问数据与所述关联数据是否匹配,包括:判断所述待确定网关IP地址是否为所述网关IP地址,以及所述待确定终端IP地址是否为所述终端IP地址;在所述待确定网关IP地址为所述网关IP地址且所述待确定终端IP地址为所述终端IP地址时,确定所述待处理网络访问数据与所述关联数据关联。在本申请中,由于根据网关IP地址和终端IP地址可以唯一确定关联数据,而待处理网络访问数据包括待确定网关IP地址及待确定终端IP地址,可见,审计设备根据待确定网关IP地址及待确定终端IP地址便可判断待处理网络访问数据与关联数据之间是否匹配,实现了根据待确定网关IP地址及待确定终端IP地址查找到对应的关联数据的技术效果。
可选地,结合上述第一方面的第一种可能的设计提供的技术方案,在第三种可能的设计中,所述基于所述待处理网络访问数据与所述关联数据,获得所述终端设备的实名审计数据,包括:将所述关联数据中的用户登录信息填充到所述待处理网络访问数据中,得到所述终端设备的实名审计数据。在本申请中,审计设备在确定所述待处理网络访问数据与所述关联数据匹配时,将获取的关联数据中的用户登录信息填充到该待处理网络访问数据中,所得到的实名审计数据表示了该用户的网络访问行为,即实现了终端用户网络访问行为的实名审计。
可选地,结合上述第一方面提供的技术方案,在第一方面的第四种可能的设计中,在所述审计设备将所述上线数据和所述基础数据进行关联,获得关联数据之后,所述方法还包括:所述审计设备将所述终端标识信息与所述网关IP地址作为所述关联数据的关键字对所述关联数据进行缓存。在本申请中,将终端IP地址与网关IP地址作为关联数据的关键字对关联数据进行缓存,就可以很快在缓存中查找到对应的关联数据,而不必在缓存中对所有关联数据进行遍历来查找对应的关联数据,从而有效提升了关联数据的查找效率。
第二方面,本发明实施例还提出一种信息处理装置,所述信息处理装置包括:第一数据接收模块,用于在对用户的终端设备成功进行无线网络认证后,获取所述终端设备的上线数据,所述上线数据包括所述终端设备接入的无线接入点的接入点标识信息、所述终端设备的终端标识信息以及用户登录信息;数据获取模块,用于获得所述无线接入点的基础数据,所述基础数据包括所述无线接入点对应的出口网关设备的网关IP地址和所述接入点标识信息;关联模块,用于将所述上线数据和所述基础数据进行关联,获得关联数据,所述关联数据与所述用户唯一对应。
在上述第二方面实施例提供的技术方案中,第一数据接收模块在接收到上线数据时,关联模块根据接入点标识信息将上线数据与对应无线接入点的基础数据进行关联得到关联数据,根据该关联数据可判断在出口网关的范围内,该用户利用该终端设备上线,且可通过该无线访问接入点和出口网关设备访问互联网,实现了准确判断该用户是否上线以及获得该终端设备所接入的无线访问接入点和出口网关设备等信息的技术效果。
可选地,结合上述第二方面提供的技术方案,在第二方面的第一种可能的设计中,所述信息处理装置还包括:第二数据接收模块,用于获取待处理网络访问数据,所述待处理网络访问数据包括待确定网关IP地址以及待确定终端标识信息;判断模块,用于根据所述待确定网关IP地址及所述待确定终端标识信息判断所述待处理网络访问数据与所述关联数据是否匹配;审计模块,用于在所述待处理网络访问数据与所述关联数据匹配时,基于所述待处理网络访问数据与所述关联数据,获得所述终端设备的实名审计数据。在本申请中,由于根据关联数据中的用户登录信息可以唯一确定用户,在关联数据与待处理网络访问数据匹配时,根据关联数据与待处理网络访问数据得到的实名审计数据就可以确定该待处理网络访问数据中的网络访问行为是该用户所产生的,实现了对终端设备进行实名审计的技术效果。
可选地,结合上述第二方面的第一种可能的设计提供的技术方案,在第二种可能的设计中,所述终端标识信息为终端IP地址,所述待确定终端标识信息为待确定终端IP地址,所述判断模块用于判断所述待确定网关IP地址是否为所述网关IP地址,以及所述待确定终端IP地址是否为所述终端IP地址;在所述待确定网关IP地址为所述网关IP地址且所述待确定终端IP地址为所述终端IP地址时,确定所述待处理网络访问数据与所述关联数据关联。在本申请中,由于根据网关IP地址和终端IP地址可以唯一确定关联数据,而待处理网络访问数据包括待确定网关IP地址及待确定终端IP地址,可见,所述判断模块根据待确定网关IP地址及待确定终端IP地址便可判断待处理网络访问数据与关联数据之间是否匹配,实现了根据待确定网关IP地址及待确定终端IP地址查找到对应的关联数据的技术效果。
可选地,结合上述第二方面的第一种可能的设计提供的技术方案,在第三种可能的设计中,所述审计模块用于将所述关联数据中的用户登录信息填充到所述待处理网络访问数据中,得到所述终端设备的实名审计数据。在本申请中,所述判断模块在确定所述待处理网络访问数据与所述关联数据匹配时,所述审计模块将获取的关联数据中的用户登录信息填充到该待处理网络访问数据中,所得到的实名审计数据表示了该用户的网络访问行为,即实现了终端用户网络访问行为的实名审计。
第三方面,本发明实施例还提出一种审计设备,包括存储有计算机程序的计算机可读存储介质和处理器,所述计算机程序被所述处理器读取并运行时,实现上述各方面的方法。
本发明的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明实施例了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明实施例所提供的信息处理方法及装置的应用环境示意图。
图2示出了本发明实施例所提供的信息处理方法的流程示意图。
图3示出了图2中步骤S106的具体流程示意图。
图4示出了本发明实施例所提供的信息处理装置的功能模块图。
图标:100-审计设备;200-终端设备;300-无线接入点;400-无线控制器;500-认证服务器;600-出口网关设备;700-信息处理装置;710-第一数据接收模块;720-数据获取模块;730-关联模块;740-缓存模块;750-第二数据接收模块;760-判断模块;770-审计模块;780-数据删除模块。
具体实施方式
在实现本发明实施例的技术方案的过程中,本申请发明人发现:
现有对终端用户的网络访问进行审计的方案中,通常是由认证平台发送用户登录信息到审计平台保存,用户登录信息中携带有终端MAC地址(或IP地址),审计平台在获取到用户上网行为信息后,基于用户上网行为信息中携带的终端MAC地址(或IP地址)查询具有相同终端MAC地址(或IP地址)的用户登录信息,根据用户登录信息及用户上网行为信息获得用户行为实名审计信息,实现用户上网行为的实名审计数据。
基于上述研究,发明人经过多方调研发现,上述方案在一些场景下受到限制,无法完成实名审计,主要原因在于:
一方面,当面对多个子网时,不同子网存在IP地址冲突的情况,即不同子网下的两个终端在通过网络认证后获得的IP地址有可能是相同的,审计平台在获取到用户上网行为信息后,根据用户上网行为信息中携带的终端IP地址可能查询到多个具有相同终端IP地址的用户登录信息,即仅基于终端IP地址进行用户登录信息及用户上网行为信息的关联无法完成实名审计。
另一方面,上述方案只适用于二层组网,因为二层组网中的所有设备都可以采集到终端MAC地址,基于终端MAC地址进行用户登录信息及用户上网行为信息的关联可以实现实名审计;但在三层组网中,终端在通过WIFI网络访问互联网时,数据报文会通过中间路由设备进行路由转发,最终网关设备获取的MAC地址多是中间路由设备的MAC地址,在审计平台从网关设备接收的用户上网行为信息中的MAC地址是中间路由设备的MAC地址以及从认证平台接收的用户登录信息中的MAC地址是终端MAC地址的情况下,审计平台无法根据MAC地址进行用户登录信息及用户上网行为信息的关联,也就不能对终端用户的上网行为进行实名审计。而且,在实际应用中,已经部署完成的网络中,大多都是三层网络,现有技术方案显然不能直接基于已经部署好的网络实现实名审计,而对已经部署完成的网络进行改造势必会耗费大量的人力、物力和财力,造成不必要的开销。
以上现有技术中的方案所存在的缺陷,均是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本发明实施例针对上述问题所提出的解决方案,都应该是发明人在本发明过程中对本发明做出的贡献。
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
本发明实施例所提供的信息处理方法及装置可应用于如图1所示的应用环境中。如图1所示,无线接入点(Access Point,AP)300与无线控制器(Access Controller,AC)400配合使用,无线控制器400用于集中化控制无线接入点300,是一个无线网络的核心,负责管理无线网络中的所有无线接入点300,例如下发配置、修改相关配置参数、射频智能管理、接入安全控制等。终端设备200通过连接无线接入点300及无线控制器400可向认证服务器500发起无线网络认证,认证服务器500在判断终端设备200认证通过时,该终端设备200认证成功,并通过DHCP协议自动获取终端IP地址,终端设备200使用该终端IP地址可正常访问网络。
该出口网关设备600优选为网络安全网关(也称防火墙),可以控制终端设备200是否可进行网络访问,并对终端设备200的上网行为进行审计。其中,该无线接入点300与出口网关设备600之间跨越三层路由,终端设备200通过该无线接入点300及出口网关设备600访问互联网。
在本实施例中,在认证服务器500对终端设备200认证成功时,该无线控制器400将该终端设备200对应的上线数据发送至审计设备100,审计设备100对上线数据进行处理和记录;在终端设备200访问互联网时,出口网关设备600根据所有经过的网络流量向审计设备100发送对应的网络访问数据,审计设备100根据接收的网络访问数据找到对应的上线数据,完成网络访问数据与上线数据的关联,实现对终端设备200上网行为的实名审计。
需要说明的是,在本实施例中,所述出口网关设备600可以包括多个(多个子网的情况),每个出口网关设备600下部署的无线接入点300、接入每个无线接入点300的终端设备200均可以包括多个,换句话说,不同的终端设备200可以处于同一个出口网关设备600(位于同一个子网)下的同一个无线接入点300或不同的无线接入点300,还可以处于不同的出口网关设备600(位于不同的子网)。
请参照图2,为本发明实施例所提供的信息处理方法的流程示意图。需要说明的是,本发明实施例所述的信息处理方法并不以图2以及以下所述的具体顺序为限制,应当理解,在其它实施例中,本发明所述的信息处理方法其中部分步骤的顺序可以根据实际需要相互交换,或者其中的部分步骤也可以省略或删除。该信息处理方法应用于上述的审计设备100,下面将对图2所示的具体流程进行详细阐述。
步骤S101,在对用户的终端设备200成功进行无线网络认证后,审计设备100获取所述终端设备200的上线数据,所述上线数据包括所述终端设备200接入的无线接入点300的接入点标识信息、所述终端设备200的终端标识信息以及用户登录信息。
在本实施例中,用户使用终端设备200上网时,需要进行无线网络认证。例如,在图1所示的应用场景下,以用户A对应的终端设备200为例,该终端设备200的认证过程可表示如下:终端设备200打开WIFI,连接到无线接入点300提供的WIFI热点尝试上网,无线接入点300检测到终端设备200没有网络访问权限,返回用于提示终端设备200进行认证的登录界面;用户在该登录界面输入认证账号、密码等向无线接入点300发起认证请求,该认证请求中可携带用户认证账号、密码信息、终端MAC地址等信息,根据该用户认证账号和终端MAC地址可以唯一确定一个用户,终端MAC为该终端设备200的MAC地址;无线接入点300将该认证请求发送到无线控制器400,由无线控制器400根据该认证请求中的认证账号及密码生成RADIUS认证报文发送至认证服务器500;认证服务器500根据RADIUS认证报文中的认证账号及密码判断终端设备200认证通过,并向无线控制器400返回认证通过,无线控制器400给终端设备200授权访问网络,终端设备200认证成功,通过发起DHCP协议从无线控制器400获取终端IP地址,终端设备200上线,利用该终端IP地址可访问互联网。
在本实施例中,无线控制器400在终端设备200通过认证后,向审计设备100发送该终端设备200对应的上线数据,其中,该上线数据中可包括该无线接入点300的接入点标识信息(APSN)、终端设备200的终端标识信息以及用户登录信息。用户登录信息可包括用户的认证账号、终端设备200的上线时间、终端设备200的MAC地址等。在本实施例中,APSN为无线接入点300的序列号,可以唯一确定一个无线接入点300,该终端设备200的终端标识信息可以是上述的终端IP地址。例如,该上线数据可表示为:认证账号=admin,APSN=01202121abc,终端IP=172.168.1.1,上线时间=2017.08.24,MAC=dd45.2234.4ddd。可见,该上线数据表征了该用户(认证账号)在什么时间(上线时间)使用了该终端设备200(MAC)获得上网权限。
步骤S102,所述审计设备100获得所述无线接入点300的基础数据,所述基础数据包括所述无线接入点300对应的出口网关设备600的网关IP地址和所述接入点标识信息。
在本实施例中,该审计设备100中预先存储有多个无线接入点300的基础数据,每个无线接入点300的基础数据可包括:无线接入点300的名称(APNAME)、接入点标识信息(APSN)、部署地点(LOCATION)、对应的出口网关设备600的网关IP地址等信息。
由于上线数据中包括了无线接入点300的接入点标识信息,根据该接入点标识信息可以唯一确定一个无线接入点300,进而可以确定该上线数据唯一对应的基础数据。因此,审计设备100在获取上线数据后,可以根据上线数据中的接入点标识信息从多个无线接入点300的基础数据中确定出具有该接入点标识信息的基础数据。
步骤S103,所述审计设备100将所述上线数据和所述基础数据进行关联,获得关联数据,所述关联数据与所述用户唯一对应。
在本实施例中,审计设备100在根据接入点标识信息确定出上线数据对应的基础数据后,将二者建立关联从而得到关联数据。该关联数据可用于表示当前只有所述用户利用所述终端设备200,通过所述无线访问接入点和所述出口网关设备600访问网络。
例如,在本实施例中,该关联数据可以包括:认证账号=admin,APSN=01202121abc,终端IP=172.168.1.1,上线时间=2017.08.24,MAC=dd45.2234.4ddd,LOCATION=XXX咖啡店,APNAME=XXX咖啡店3楼AP1,网关IP=10.10.1.10。可见,该关联数据表征了用户(admin)于2017年8月24日(上线时间)在XXX咖啡店(LOCATION)使用终端设备(MAC)通过了网络认证,且该终端设备200可以利用获取的终端IP地址(172.168.1.1)访问互联网。在本发明实施例中,用户登录信息包括用户的认证账号、终端设备200的上线时间以及用户所使用的终端设备200的MAC等,故所述关联数据与所述用户登录信息唯一对应,根据关联数据可以唯一确定一个用户。
步骤S104,所述审计设备100将所述终端标识信息与所述网关IP地址作为所述关联数据的关键字对所述关联数据进行缓存。
在本实施例中,审计设备100在获得关联数据后,需要将该关联数据记录缓存,以便审计设备100后续可以在缓存中查找该关联数据。由于处于不同出口网关设备600下的终端设备200可能分配到相同的终端IP地址,因此,仅用终端IP地址不能唯一确定关联数据,但每个出口网关设备600的网关IP地址不相同,根据终端IP地址和网关IP地址可以唯一确定关联数据,故在本申请中采用终端IP地址作为终端设备200的终端标识信息,将终端IP地址和网关IP地址作为关联数据的关键字对关联数据进行缓存。
其中,为了使审计设备100可以快速查找到关联数据,可以采用Key-Value数据库对关联数据进行缓存,Key-Value数据库是一种以键值对存储数据的数据库,每一个键(Key)都会对应一个唯一的值(Value)。例如,可以将关联数据中的网关IP地址与终端IP地址作为关键字(Key),该关键字对应的唯一的值(Value)为关联数据。审计设备100在缓存中记录大量关联数据的情况下查找关联数据时,只要获得网关IP地址与终端IP地址合并得到的关键字,就可以很快在缓存中查找到对应的关联数据,而不必在缓存中对所有关联数据进行遍历来查找关联数据,从而有效提升了关联数据的查找效率。
进一步地,在本实施例中,审计设备100在得到关联数据后,还可以根据终端设备200在上线期间的网络访问数据生成实名审计数据,从而可以对用户的网络访问行为进行有效管理和监控,所述方法还包括:
步骤S105,获取待处理网络访问数据,所述待处理网络访问数据包括待确定网关IP地址以及待确定终端标识信息。
在本实施例中,所有通过网络认证的终端设备200可使用获得的终端IP地址访问互联网,出口网关设备600会对所有经过该出口网关设备600的网络流量进行分析,并生成相应的待处理网络访问数据上报到审计设备100。该待处理网络访问数据包括待确定终端标识信息、待确定网关IP地址、上网时间、网络访问行为等信息,其中,该待确定终端标识信息可以是待确定终端IP地址。
步骤S106,根据所述待确定网关IP地址及所述待确定终端标识信息判断所述待处理网络访问数据与所述关联数据是否匹配。
在本实施例中,审计设备100在缓存关联数据后,还需要对终端设备200上线期间的网络访问数据进行审计,以了解该用户上网干了些什么。审计设备100在获取待处理网络访问数据后,如何才能确定网络访问行为是否由该用户产生呢?这就需要确定待处理网络访问数据与关联数据之间是否匹配,如果匹配,则该待处理网络访问数据就是该终端设备200的网络访问数据。
具体地,如图3所示,在本实施例中,该步骤S106可以包括:
步骤S1061,判断所述待确定网关IP地址是否为所述网关IP地址,以及所述待确定终端IP地址是否为所述终端IP地址。
步骤S1062,在所述待确定网关IP地址为所述网关IP地址且所述待确定终端IP地址为所述终端IP地址时,确定所述待处理网络访问数据与所述关联数据匹配。
例如,若审计设备100接收的待处理网络访问数据为:URL=www.baidu.com,上网时间=2017.08.24,终端IP=172.168.1.1,网关IP=10.10.1.10,由于待确定终端IP地址(172.168.1.1)与上述中的终端设备200的终端IP地址一致,待确定网关IP地址(10.10.1.10)与上述中的出口网关设备600的网关IP地址一致,则发送该待处理网络访问数据的是出口网关设备600,该待处理网络访问数据就是上述的终端设备200的网络访问数据,“URL=www.baidu.com”表示具体的网络访问行为。
步骤S107,在所述待处理网络访问数据与所述关联数据匹配时,基于所述待处理网络访问数据与所述关联数据,获得所述终端设备200的实名审计数据。
在本实施例中,当审计设备100根据所述待确定网关IP地址及所述待确定终端IP地址判断所述待处理网络访问数据与所述关联数据匹配时,将获得的关联数据中的用户登录信息填充到所述待处理网络访问数据,得到所述终端设备200的实名审计数据,并将实名审计数据记录实名审计数据库中。在本发明实施例中,为了得到用户的上网地点,可以将用户的终端设备200接入的无线接入点300的接入点标识也填充到所述待处理网络访问数据中。例如,将关联数据中的用户登录信息填充到待处理网络访问数据中后,所得到的实名审计数据可以包括:终端IP=172.168.1.1,认证账号=admin,APSN=01202121abc,上线时间=2017.08.24,MAC=dd45.2234.4ddd,LOCATION=XXX咖啡店,APNAME=XXX咖啡店3楼AP1,网关IP=10.10.1.10,上网时间=2017.08.24,URL=www.baidu.com。可见,根据上述实名审计数据至少可以知道用户(admin)于2017年8月24日(上线时间)在XXX咖啡店(LOCATION)使用终端设备200(MAC)访问了网站www.baidu.com。
容易理解地,在实践中,审计设备100的缓存中所记录的除了上述用户对应的关联数据外,还包括很多其他用户对应的关联数据,每个关联数据都具有自己唯一的关键字;审计设备100在接收到待处理网络访问数据时,对待处理网络访问数据进行解析,获得待确定网关IP地址以及待确定终端IP地址,将待确定网关IP地址以及待确定终端IP地址合并作为关键字,通过与缓存中所有关联数据的关键字进行比对,从而可查找到与待处理网络访问数据具有相同关键字的关联数据。例如,缓存中的关联数据是以Key-Value数据库进行存储的,审计设备100只需根据待确定网关IP地址与待确定终端IP地址合并的关键字就可快速查找到对应的关联数据,这也是为什么要将终端IP地址与网关IP地址作为关联数据的关键字的原因。
步骤S108,所述审计设备100在所述终端设备200下线时,将缓存的所述关联数据进行删除。
在本实施例中,当终端设备200下线时,审计设备100将缓存中记录的关联数据进行删除,一方面,可以节省缓存空间,因为终端设备200下线,表示当前该用户不会再访问网络,审计设备100也不必对用户的网络访问行为进行实名审计,相当于缓存中的关联数据就没有什么作用,不清除的话只会占用缓存空间;另一方面,如果不将已经下线的终端设备200对应的关联数据删除,还会对后面上线终端用户的实名审计造成影响。例如,A用户对应的终端设备200下线后,B用户通过对应的终端设备200(可能与A用户使用同一个终端设备200,也可能是不同的终端设备200)上线,如果A用户和B用户是在同一个出口网关设备600下,由于终端IP地址的分配是动态的,B用户所在的终端设备200在通过认证后获取的终端IP地址有可能与之前A用户上线时分配的终端IP地址相同,进而导致缓存中所记录的B用户对应的关联数据的关键字也为:终端IP=172.168.1.1和网关IP=10.10.1.10,如果A用户对应的关联数据没有删除,审计设备100在接收到用户B对应的网络访问数据时,根据网络访问数据中的终端IP地址和网关IP地址就会同时查找到用户A和用户B对应的关联数据,这样就会造成审计设备100在进行实名审计的过程中发生错误。因此,在本实施例中,在终端设备200下线时,将缓存中记录的关联数据进行删除,不仅可以节省审计设备100的缓存空间,而且有效避免了在缓存中查找关联数据时发生错误。
请参照图4,为本发明实施例所提供的信息处理装置700的功能模块示意图。需要说明的是,本实施例所提供的信息处理装置700,其基本原理及产生的技术效果与上述方法实施例相同,为简要描述,本实施例中未提及部分,可参考上述方法实施例中的相应内容。所述信息处理装置700应用于上述的审计设备100,其包括第一数据接收模块710、数据获取模块720、关联模块730、缓存模块740、第二数据接收模块750、判断模块760、审计模块770及数据删除模块780。
所述第一数据接收模块710用于在对用户的终端设备200成功进行无线网络认证后,获取所述终端设备200的上线数据,所述上线数据包括所述终端设备200接入的无线接入点300的接入点标识信息、所述终端设备200的终端标识信息以及用户登录信息。
可以理解,该第一数据接收模块710可用于执行上述步骤S101。
所述数据获取模块720用于获得所述无线接入点300的基础数据,所述基础数据包括所述无线接入点300对应的出口网关设备600的网关IP地址和所述接入点标识信息。
可以理解,该数据获取模块720可用于执行上述步骤S102。
所述关联模块730用于将所述上线数据和所述基础数据进行关联,获得关联数据,所述关联数据与所述用户唯一对应。
可以理解,该关联模块730可用于执行上述步骤S103。
所述缓存模块740用于将所述终端标识信息与所述网关IP地址作为所述关联数据的关键字对所述关联数据进行缓存。
可以理解,该缓存模块740可用于执行上述步骤S104。
所述第二数据接收模块750用于获取待处理网络访问数据,所述待处理网络访问数据包括待确定网关IP地址以及待确定终端标识信息。
可以理解,该第二数据接收模块750可用于执行上述步骤S105。
所述判断模块760用于根据所述待确定网关IP地址及所述待确定终端标识信息判断所述待处理网络访问数据与所述关联数据是否匹配。
其中,所述终端标识信息为终端IP地址,所述待确定终端标识信息为待确定终端IP地址,所述判断模块760具体可用于判断所述待确定网关IP地址是否为所述网关IP地址,以及所述待确定终端IP地址是否为所述终端IP地址;在所述待确定网关IP地址为所述网关IP地址且所述待确定终端IP地址为所述终端IP地址时,确定所述待处理网络访问数据与所述关联数据匹配。
可以理解,该判断模块760可用于执行上述步骤S106。
所述审计模块770用于在所述待处理网络访问数据与所述关联数据匹配时,基于所述待处理网络访问数据与所述关联数据,获得所述终端设备200的实名审计数据。
其中,所述审计模块770具体可用于将所述关联数据中的用户登录信息填充到所述待处理网络访问数据中,得到所述终端设备200的实名审计数据。
在本发明实施例中,为了得到用户的上网地点,可以将用户的终端设备200接入的无线接入点300的接入点标识也填充到所述待处理网络访问数据中。
可以理解,该审计模块770可用于执行上述步骤S107。
所述数据删除模块780用于在所述终端设备200下线时,将缓存的所述关联数据进行删除。
可以理解,该数据删除模块780可用于执行上述步骤S108。
本发明实施例还提供了一种审计设备100,包括存储有计算机程序的计算机可读存储介质和处理器,所述计算机程序被所述处理器读取并运行时,实现如前的图2及图3所示的方法实施例中记载的全部步骤。
综上所述,本发明实施例所提供的信息处理方法、装置及审计设备,在对用户的终端设备成功进行无线网络认证后,审计设备获取所述终端设备的上线数据,所述上线数据包括所述终端设备接入的无线接入点的接入点标识信息、所述终端设备的终端标识信息以及用户登录信息;所述审计设备获得所述无线接入点的基础数据,所述基础数据包括所述无线接入点对应的出口网关设备的网关IP地址和所述接入点标识信息;所述审计设备将所述上线数据和所述基础数据进行关联,获得关联数据,所述关联数据与所述用户唯一对应。审计设备根据接入点标识信息将上线数据与对应无线接入点的基础数据进行关联得到关联数据,基于该关联数据可判断在出口网关的范围内,该用户在该无线接入点的部署地点,利用该终端设备,通过该无线访问接入点和出口网关设备可访问互联网。在终端设备访问网络时,该出口网关设备将对应的待处理网络访问数据发送到审计设备,审计设备将该待处理网络访问数据与关联数据进行整合得到该终端设备的网络访问审计数据,即审计设备通过对来自不同设备的数据进行关联得到实名审计数据,有效降低了企业建立无线园区、无线办公的安全风险。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
Claims (8)
1.一种信息处理方法,其特征在于,所述方法包括:
在对用户的终端设备成功进行无线网络认证后,审计设备获取所述终端设备的上线数据,所述上线数据包括所述终端设备接入的无线接入点的接入点标识信息、所述终端设备的终端标识信息以及用户登录信息;
所述审计设备获得所述无线接入点的基础数据,所述基础数据包括所述无线接入点对应的出口网关设备的网关IP地址和所述接入点标识信息;
所述审计设备将所述上线数据和所述基础数据进行关联,获得关联数据,所述关联数据与所述用户唯一对应;
获取待处理网络访问数据,所述待处理网络访问数据包括待确定网关IP地址以及待确定终端标识信息;
根据所述待确定网关IP地址及所述待确定终端标识信息判断所述待处理网络访问数据与所述关联数据是否匹配;
在所述待处理网络访问数据与所述关联数据匹配时,基于所述待处理网络访问数据与所述关联数据,获得所述终端设备的实名审计数据。
2.如权利要求1所述的信息处理方法,其特征在于,所述终端标识信息为终端IP地址,所述待确定终端标识信息为待确定终端IP地址,所述根据所述待确定网关IP地址及所述待确定终端标识信息判断所述待处理网络访问数据与所述关联数据是否匹配,包括:
判断所述待确定网关IP地址是否为所述网关IP地址,以及所述待确定终端IP地址是否为所述终端IP地址;
在所述待确定网关IP地址为所述网关IP地址且所述待确定终端IP地址为所述终端IP地址时,确定所述待处理网络访问数据与所述关联数据匹配。
3.如权利要求1所述的信息处理方法,其特征在于,所述基于所述待处理网络访问数据与所述关联数据,获得所述终端设备的实名审计数据,包括:
将所述关联数据中的用户登录信息填充到所述待处理网络访问数据中,得到所述终端设备的实名审计数据。
4.如权利要求1所述的信息处理方法,其特征在于,在所述审计设备将所述上线数据和所述基础数据进行关联,获得关联数据之后,所述方法还包括:
所述审计设备将所述终端标识信息与所述网关IP地址作为所述关联数据的关键字对所述关联数据进行缓存。
5.一种信息处理装置,其特征在于,所述信息处理装置包括:
第一数据接收模块,用于在对用户的终端设备成功进行无线网络认证后,获取所述终端设备的上线数据,所述上线数据包括所述终端设备接入的无线接入点的接入点标识信息、所述终端设备的终端标识信息以及用户登录信息;
数据获取模块,用于获得所述无线接入点的基础数据,所述基础数据包括所述无线接入点对应的出口网关设备的网关IP地址和所述接入点标识信息;
关联模块,用于将所述上线数据和所述基础数据进行关联,获得关联数据,所述关联数据与所述用户唯一对应;
第二数据接收模块,用于获取待处理网络访问数据,所述待处理网络访问数据包括待确定网关IP地址以及待确定终端标识信息;
判断模块,用于根据所述待确定网关IP地址及所述待确定终端标识信息判断所述待处理网络访问数据与所述关联数据是否匹配;
审计模块,用于在所述待处理网络访问数据与所述关联数据匹配时,基于所述待处理网络访问数据与所述关联数据,获得所述终端设备的实名审计数据。
6.如权利要求5所述的信息处理装置,其特征在于,所述终端标识信息为终端IP地址,所述待确定终端标识信息为待确定终端IP地址,所述判断模块用于判断所述待确定网关IP地址是否为所述网关IP地址,以及所述待确定终端IP地址是否为所述终端IP地址;
在所述待确定网关IP地址为所述网关IP地址且所述待确定终端IP地址为所述终端IP地址时,确定所述待处理网络访问数据与所述关联数据匹配。
7.如权利要求5所述的信息处理装置,其特征在于,所述审计模块用于将所述关联数据中的用户登录信息填充到所述待处理网络访问数据中,得到所述终端设备的实名审计数据。
8.一种审计设备,其特征在于,包括存储有计算机程序的计算机可读存储介质和处理器,所述计算机程序被所述处理器读取并运行时,实现如权利要求1-4任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711466197.8A CN107948979B (zh) | 2017-12-28 | 2017-12-28 | 信息处理方法、装置及审计设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711466197.8A CN107948979B (zh) | 2017-12-28 | 2017-12-28 | 信息处理方法、装置及审计设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107948979A CN107948979A (zh) | 2018-04-20 |
CN107948979B true CN107948979B (zh) | 2020-11-27 |
Family
ID=61937893
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711466197.8A Active CN107948979B (zh) | 2017-12-28 | 2017-12-28 | 信息处理方法、装置及审计设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107948979B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113079134B (zh) * | 2021-03-19 | 2022-11-11 | 南方电网数字电网研究院有限公司 | 移动终端接入方法、装置、计算机设备和介质 |
CN113542290B (zh) * | 2021-07-21 | 2022-04-05 | 腾讯科技(深圳)有限公司 | 数据访问请求的处理方法、装置、设备及可读存储介质 |
CN113904787A (zh) * | 2021-08-05 | 2022-01-07 | 深信服科技股份有限公司 | 一种流量审计方法、装置、设备和计算机可读存储介质 |
CN115001826B (zh) * | 2022-06-02 | 2023-04-11 | 清华大学 | 一种入网控制方法、装置、网络设备和存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105451219A (zh) * | 2015-12-30 | 2016-03-30 | 迈普通信技术股份有限公司 | 数据整合方法和装置 |
CN106131243A (zh) * | 2016-08-23 | 2016-11-16 | 北京网康科技有限公司 | 一种用户上网行为审计方法及审计设备 |
CN107124424A (zh) * | 2017-05-22 | 2017-09-01 | 迈普通信技术股份有限公司 | 实名审计方法、设备和系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9549333B2 (en) * | 2012-06-01 | 2017-01-17 | Turk Telekomunikasyon A.S. | Method and device for monitoring and measurement of Wi-Fi internet services |
-
2017
- 2017-12-28 CN CN201711466197.8A patent/CN107948979B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105451219A (zh) * | 2015-12-30 | 2016-03-30 | 迈普通信技术股份有限公司 | 数据整合方法和装置 |
CN106131243A (zh) * | 2016-08-23 | 2016-11-16 | 北京网康科技有限公司 | 一种用户上网行为审计方法及审计设备 |
CN107124424A (zh) * | 2017-05-22 | 2017-09-01 | 迈普通信技术股份有限公司 | 实名审计方法、设备和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN107948979A (zh) | 2018-04-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107948979B (zh) | 信息处理方法、装置及审计设备 | |
US9509752B2 (en) | Method, device and system for controlling web page access | |
CN106375987A (zh) | 一种网络切片的选择方法及系统 | |
US9973399B2 (en) | IPV6 address tracing method, apparatus, and system | |
WO2015154454A1 (zh) | 无线网连接方法及装置 | |
TW202021384A (zh) | 網路服務系統及網路服務方法 | |
CN110311929A (zh) | 一种访问控制方法、装置及电子设备和存储介质 | |
CN102055813A (zh) | 一种网络应用的访问控制方法及其装置 | |
WO2020083288A1 (zh) | Dns服务器的安全防御方法及装置、通信设备及存储介质 | |
CN103812653B (zh) | 自动获得无线网络接入帐号信息的方法与系统 | |
CN106982430B (zh) | 一种基于用户使用习惯的Portal认证方法及系统 | |
CN103581351B (zh) | 网络访问的方法和装置 | |
CN108055689A (zh) | 获取、提供无线接入点接入信息的方法、设备以及介质 | |
CN103581881B (zh) | 综合取号装置和网络侧获取用户手机号码的系统和方法 | |
CN112217653B (zh) | 策略下发方法、装置和系统 | |
US11743258B2 (en) | Access authenticating | |
EP3016423A1 (en) | Network safety monitoring method and system | |
CN113595907A (zh) | 一种基于sslvpn下发路由策略的聚合方法和装置 | |
CN104519551B (zh) | WiFi网络DHCP协商的方法和客户端 | |
CN109379339B (zh) | 一种Portal认证方法及装置 | |
CN114466054A (zh) | 数据处理方法、装置、设备,及计算机可读存储介质 | |
CN108076500B (zh) | 局域网管理的方法、装置及计算机可读存储介质 | |
JP5544016B2 (ja) | Id/ロケータ分離ネットワークにおけるユーザーのicpウェブサイトログイン方法、システム及びログイン装置 | |
CN105429880B (zh) | 网络设备及其进行路由转发的方法 | |
CN109241458A (zh) | 一种基于路由器的广告拦截方法和路由器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |