CN108156092B

CN108156092B - 报文传输控制方法和装置

Info

Publication number: CN108156092B
Application number: CN201711266747.1A
Authority: CN
Inventors: 王富涛
Original assignee: Hangzhou DPTech Technologies Co Ltd
Current assignee: Hangzhou DPTech Technologies Co Ltd
Priority date: 2017-12-05
Filing date: 2017-12-05
Publication date: 2021-07-23
Anticipated expiration: 2037-12-05
Also published as: CN108156092A

Abstract

本申请提供一种报文传输控制方法和装置，应用于包括终端设备、接入设备和认证设备的认证系统，认证设备为网关设备或认证设备与终端设备不在同一局域网中，包括：接入设备在接收到报文时，判断报文是否满足转发条件中的任意一个；接入设备在报文满足转发条件中的任意一个时，转发报文；接入设备在报文不满足转发条件时，丢弃报文；转发条件包括：报文的源MAC地址为已认证终端设备MAC地址；报文的源MAC地址为认证设备MAC地址；报文的目的IP地址为认证设备IP地址；报文为ARP报文或DHCP报文。本申请技术方案可以在解决未认证情况下局域网内的设备互访问题的同时，简化用户操作，并提高局域网内设备的安全性。

Description

报文传输控制方法和装置

技术领域

本申请涉及通信技术领域，尤其涉及一种报文传输控制方法和装置。

背景技术

Portal认证是通过浏览器发出的HTTP(HyperText Transfer Protocol，超文本传输协议)/HTTPS(HyperText Transfer Protocol over Secure Socket Layer，基于安全套接层的超文本传输协议)报文触发的认证。通常，可以由用户通过浏览器访问Portal认证页面，输入用户名和密码进行认证；或者，也可以在用户打开浏览器访问其他外网时弹出Portal认证页面，由用户输入用户名和密码进行认证，即如果用户不打开浏览器访问外网，也就不会触发Portal认证。

然而，当认证设备是网关设备或认证设备与终端设备不在同一局域网中时，用户在不进行用户名和密码认证的情况下，即可进行同一局域网中设备之间的互访。举例来说，假设用户所使用的终端设备与某一服务器在同一局域网中，则用户不需要进行用户名和密码认证，即可通过该终端设备访问该服务器，获取服务器资源，造成安全风险。

发明内容

有鉴于此，本申请提供一种报文传输控制方法和装置，以解决相关技术中安全风险高的问题。

具体地，本申请是通过如下技术方案实现的：

第一方面，本申请提供一种报文传输控制方法，所述方法应用于认证系统中的接入设备，所述认证系统中还包括终端设备和认证设备，所述认证设备为网关设备或所述认证设备与所述终端设备不在同一局域网中，所述方法包括：

在接收到报文时，判断所述报文是否满足转发条件中的任意一个；

在所述报文满足所述转发条件中的任意一个时，转发所述报文；

在所述报文不满足所述转发条件时，丢弃所述报文；

其中，所述转发条件包括：

所述报文的源MAC地址为已认证终端设备MAC地址，所述已认证终端设备MAC地址由所述认证设备发送；

所述报文的源MAC地址为认证设备MAC地址；

所述报文的目的IP地址为认证设备IP地址；

所述报文为地址解析协议ARP报文或动态主机配置协议DHCP报文。

第二方面，本申请提供一种报文传输控制方法，所述方法应用于认证系统中的认证设备，所述认证系统中还包括终端设备和接入设备，所述认证设备为网关设备或所述认证设备与所述终端设备不在同一局域网中，所述方法包括：

在确定用户输入的用户名和密码认证通过后，检测是否接收到用户的注册指令；

在接收到用户的注册指令时，将所述注册指令指定的终端设备MAC地址确定为已认证终端设备MAC地址；

将所述已认证终端设备MAC地址发送给所述接入设备，以使所述接入设备在所述报文的源MAC地址为所述已认证终端设备MAC地址时，转发所述报文。

第三方面，本申请提供一种报文传输控制方法，所述方法应用于认证系统，所述认证系统中包括终端设备、接入设备和认证设备，所述认证设备为网关设备或所述认证设备与所述终端设备不在同一局域网中，所述方法包括：

认证设备在确定用户输入的用户名和密码认证通过后，检测是否接收到用户的注册指令；

认证设备在接收到用户的注册指令时，将所述注册指令指定的终端设备MAC地址确定为已认证终端设备MAC地址；

认证设备将所述已认证终端设备MAC地址发送给所述接入设备；

接入设备在接收到报文时，判断所述报文是否满足转发条件中的任意一个；

接入设备在所述报文满足所述转发条件中的任意一个时，转发所述报文；

接入设备在所述报文不满足所述转发条件时，丢弃所述报文；

其中，所述转发条件包括：

所述报文的源MAC地址为认证设备MAC地址；

所述报文的目的IP地址为认证设备IP地址；

第四方面，本申请提供一种报文传输控制装置，所述装置应用于认证系统中的接入设备，所述认证系统中还包括终端设备和认证设备，所述认证设备为网关设备或所述认证设备与所述终端设备不在同一局域网中，所述装置包括：

判断单元，用于在接收到报文时，判断所述报文是否满足转发条件中的任意一个；

转发单元，用于在所述报文满足所述转发条件中的任意一个时，转发所述报文；

丢弃单元，用于在所述报文不满足所述转发条件时，丢弃所述报文；

其中，所述转发条件包括：

所述报文的源MAC地址为认证设备MAC地址；

所述报文的目的IP地址为认证设备IP地址；

第五方面，本申请提供一种报文传输控制装置，所述装置应用于认证系统中的认证设备，所述认证系统中还包括终端设备和接入设备，所述认证设备为网关设备或所述认证设备与所述终端设备不在同一局域网中，所述装置包括：

检测单元，用于在确定用户输入的用户名和密码认证通过后，检测是否接收到用户的注册指令；

确定单元，用于在接收到用户的注册指令时，将所述注册指令指定的终端设备MAC地址确定为已认证终端设备MAC地址；

发送单元，用于将所述已认证终端设备MAC地址发送给所述接入设备，以使所述接入设备在所述报文的源MAC地址为所述已认证终端设备MAC地址时，转发所述报文。

分析上述技术方案可知，接入设备在接收到报文时，通过判断该报文是否满足转发条件中的任意一个，可以对已认证的终端设备发送的报文、认证设备发送的或发送给认证设备的报文，以及ARP报文和DHCP报文进行转发，而将未认证设备发送的报文等其他报文丢弃。这样，本申请技术方案在解决上述未认证情况下局域网内的设备互访问题的同时，由于无需用户自行在接入设备中配置MAC地址认证白名单，简化了用户操作，并提高了局域网内设备的安全性。

附图说明

图1是一种认证系统的组网架构图；

图2是本申请一示例性实施例示出的一种报文传输控制方法的流程图；

图3是本申请一示例性实施例示出的另一种报文传输控制方法的流程图；

图4是本申请一示例性实施例示出的另一种报文传输控制方法的流程图；

图5是本申请一示例性实施例示出的一种报文传输控制装置所在设备的硬件结构图；

图6是本申请一示例性实施例示出的另一种报文传输控制装置所在设备的硬件结构图；

图7是本申请一示例性实施例示出的一种报文传输控制装置的框图；

图8是本申请一示例性实施例示出的另一种报文传输控制装置的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

请参考图1，为一种认证系统的组网架构图。在图1所示的认证系统中，终端设备1和终端设备2通过接入设备1接入网关设备，服务器通过接入设备2接入网关设备；终端设备1、终端设备2、终端设备3以及服务器在同一局域网中，但认证设备与这些设备均不在同一局域网中；管理设备可以与多个认证设备(图1中未示出)建立连接，从而对这多个认证设备进行统一管理。管理设备可以是独立的物理设备，也可以是虚拟的逻辑设备，比如：与认证设备同在一台物理设备中，本申请对此不作特殊限制。

相关技术中，由于认证设备与终端设备1、服务器不在同一局域网中，因此认证设备不会对终端设备1发送给服务器的报文进行认证。此时，用户不需要进行用户名和密码认证，即可通过终端设备1访问服务器，获取服务器中的数据等资源，造成安全风险。

为了解决上述未认证情况下局域网内的设备互访问题，可以由用户自行在接入设备1中配置白名单，由接入设备1对终端设备1和终端设备2发送的报文进行认证。假设接入设备1的白名单中包括终端设备1的MAC地址，而未包括终端设备2的MAC。在这种情况下，接入设备1在接收到终端设备1发送给服务器的报文时，可以对该报文进行转发；而在接收终端设备2发送给服务器的报文时，则会将该报文丢弃，不再对该报文进行转发。但由于接入设备1中的白名单需要用户自行配置，因此在实际应用中，用户操作较为复杂，且可能出现漏配、错配等情况，导致安全隐患。

本申请提供一种报文传输控制方法，在解决上述未认证情况下局域网内的设备互访问题的同时，简化用户操作，并提高局域网内设备的安全性。

请参考图2，为本申请一示例性实施例示出的一种报文传输控制方法的流程图。该报文传输控制方法可以应用在图1所示的接入设备中，该接入设备可以为交换机、网关设备等，具体可由终端设备所在的组网架构决定。举例来说，当终端设备直接接入网关设备，即终端设备与网关设备之间未部署交换机等设备时，接入设备就是网关设备，此时该报文传输控制方法可以应用在网关设备中。该报文传输控制方法可以包括如下步骤：

步骤201：在接收到报文时，判断所述报文是否满足转发条件中的任意一个。

步骤202：在所述报文满足所述转发条件中的任意一个时，转发所述报文。

步骤203：在所述报文不满足所述转发条件时，丢弃所述报文。

在本实施例中，接入设备在接收到报文时，可以先判断该报文是否满足转发条件中的任意一个。其中，所述转发条件可以包括：所述报文的源MAC地址为已认证终端设备MAC地址；所述报文的源MAC地址为认证设备MAC地址；所述报文的目的IP地址为认证设备IP地址；所述报文为ARP(Address Resolution Protocol，地址解析协议)报文或DHCP(DynamicHost Configuration Protocol，动态主机配置协议)报文。

在认证系统中，通常需要通过ARP报文(包括ARP请求报文和ARP应答报文)进行ARP表项的学习，或者通过DHCP报文进行IP地址的分配与管理，因此接入设备在接收到ARP报文或DHCP报文时，可以直接对该ARP报文或DHCP报文进行转发，以保证认证系统中正常的网络通信。

对于接入设备接收到的目的IP地址为认证设备IP地址的报文而言，该报文可能为某一终端设备发送给认证设备以进行终端设备认证的报文，因此接入设备在接收到该报文时，也可以对该报文进行转发。

对于接入设备接收到的源MAC地址为认证设备MAC地址的报文而言，该报文由认证设备发送，也可能用于终端设备认证，因此接入设备在接收到该报文时，也可以对该报文进行转发。

对于接入设备接收到的终端设备发送的报文而言，该报文的源MAC地址即为该终端设备的MAC地址。接入设备在接收到终端设备发送的报文时，可以判断该报文的源MAC地址是否为已认证终端设备MAC地址。如果是，则说明发送该报文的终端设备为已认证的终端设备，接入设备可以对该报文进行转发；否则，则说明发送该报文的终端设备为未认证的终端设备，出于安全考虑，接入设备可以将该报文丢弃。

基于上述判断结果，接入设备在接收到的报文满足上述转发条件中的任意一个时，可以对该报文进行转发。

另一方面，出于安全考虑，接入设备在接收到的报文不满足上述转发条件时，则可以将该报文丢弃，而不再对该报文进行转发。

由上述实施例可见，在本申请技术方案中，接入设备在接收到报文时，通过判断该报文是否满足转发条件中的任意一个，可以对已认证的终端设备发送的报文、认证设备发送的或发送给认证设备的报文，以及ARP报文和DHCP报文进行转发，而将未认证设备发送的报文等其他报文丢弃。这样，本申请技术方案在解决上述未认证情况下局域网内的设备互访问题的同时，由于无需用户自行在接入设备中配置MAC地址认证白名单，简化了用户操作，并提高了局域网内设备的安全性。

在实际应用中，接入设备可以利用ACL(Access Control List，访问控制列表)对报文传输进行控制。

具体地，接入设备在接收到认证设备或管理设备发送的认证设备MAC地址和认证设备IP地址时，可以分别生成认证设备MAC地址对应的用于转发报文的ACL表项，以及认证设备IP地址对应的用于转发报文的ACL表项，以转发源MAC地址为所述认证设备MAC地址或目的IP地址为所述认证设备IP地址的报文。或者，接入设备在接收到认证设备或管理设备发送的已认证终端设备MAC地址时，也可以生成已认证终端设备MAC地址对应的用于转发报文的ACL表项，以转发源MAC地址为所述已认证终端设备MAC地址的报文。

通常，接入设备中除了保存有用于转发的ACL表项外，还保存有用于丢弃报文的ACL表项，该用于丢弃报文的ACL表项的优先级小于任意一条用于转发报文的ACL表项。接入设备在接收到的报文时，按照优先级的高低顺序，可以先根据接收到的报文的源MAC地址或目的IP地址，判断该报文是否匹配任意一条用于转发报文的ACL表项；或者根据接收到的报文的类型(如ARP报文、DHCP报文等)，判断该报文是否匹配任意一条用于转发报文的ACL表项。如果匹配，则说明该报文满足转发条件中的任意一个，接入设备可以对该报文进行转发；否则，则默认该报文匹配用于丢弃报文的ACL表项，即该报文不满足转发条件，接入设备可以将该报文丢弃。

继续以图1所示的认证系统为例，接入设备1在接收到管理设备发送的认证设备MAC地址和认证设备IP地址时，可以生成用于转发报文的ACL1和ACL2；其中，ACL1为转发源MAC地址为认证设备MAC地址的报文，ACL2为转发目的IP地址为认证设备IP地址的报文。另一方面，接入设备在接收到管理设备发送的已认证的终端设备1的MAC地址1时，可以生成用于转发报文的ACL3，ACL3为转发源MAC地址为MAC地址1的报文；同理，接入设备在接收到管理设备发送的已认证的终端设备2的MAC地址2时，可以生成用于转发报文的ACL4，ACL4为转发源MAC地址为MAC地址2的报文。此外，接入设备中还保存有用于转发报文的ACL5和ACL6，以及用于丢弃报文的ACL7；其中，ACL5为转发ARP报文，ACL6为转发DHCP报文。在这7条ACL表项中，ACL7的优先级小于ACL1至ACL6这6条ACL表项中的任意一条。

接入设备1在接收到报文时，会优先判断该报文是否匹配优先级较高的用于转发的ACL表项，如果该报文匹配ACL1至ACL6这6条ACL表项中的任意一条，则接入设备1可以按照该报文匹配的ACL表项对该报文进行处理，即转发该报文；否则，接入设备1可以默认该报文匹配ACL7，后续可以按照ACL7对该报文进行处理，即丢弃该报文。

请参考图3，为本申请一示例性实施例示出的另一种报文传输控制方法的流程图。该报文传输控制方法可以应用在图1所示的认证设备中，包括如下步骤：

步骤301：在确定用户输入的用户名和密码认证通过后，检测是否接收到用户的注册指令。

步骤302：在接收到用户的注册指令时，将所述注册指令指定的终端设备MAC地址确定为已认证终端设备MAC地址。

步骤303：将所述已认证终端设备MAC地址发送给所述接入设备，以使所述接入设备在所述报文的源MAC地址为所述已认证终端设备MAC地址时，转发所述报文。

在本实施例中，可以在认证设备上为每个需要上网的用户分配用于设备认证管理的用户名和密码。用户可以在终端设备上的浏览器中输入认证设备IP地址，并在认证设备通过该终端设备提供的用户认证页面中输入用户名和密码。认证设备在用户输入的用户名和密码认证通过时，可以通过该终端设备向用户提供设备认证管理页面，即用户在该终端设备上完成设备认证管理页面的登录。

用户可以通过该设备认证管理页面对终端设备进行注册，经过注册后的终端设备即可视为已认证的终端设备。具体来说，用户可以点击该设备认证管理页面中的注册按钮，以向认证设备发送注册指令。认证设备在检测到用户的注册指令时，可以自动获取发送该注册指令的终端设备(即用户用于登录设备认证管理页面的终端设备)的MAC地址，此时该终端设备的MAC地址即为该注册指令指定的终端设备MAC地址。认证设备在获取到该终端设备的MAC地址后，可以将该MAC地址确定为已认证终端设备MAC地址，并将该已认证终端设备MAC地址发送给接入设备，从而使接入设备可以在接收到报文时，判断该报文的源MAC地址是否为已认证终端设备MAC地址，以实现对已认证的终端设备发送的报文的转发。

或者，如果用户需要对其他终端设备进行注册，则可以由用户自行获取该终端设备的MAC地址，并在该设备认证管理页面中输入该终端设备的MAC地址，再点击该设备认证管理页面中的注册按钮，以向认证设备发送携带该MAC地址的注册指令。认证设备在检测到用户的注册指令时，可以获取该注册指令中携带的终端设备MAC地址，此时该终端设备MAC地址即为该注册指令指定的终端设备MAC地址。认证设备在获取到该终端设备MAC地址后，可以将该终端设备MAC地址确定为已认证终端设备MAC地址，并将该已认证终端设备MAC地址发送给接入设备，从而使接入设备可以在接收到报文时，判断该报文的源MAC地址是否为已认证终端设备MAC地址，以实现对已认证的终端设备发送的报文的转发。

在另一个例子中，认证设备可以通过该设备认证管理页面将已认证终端设备MAC地址显示给用户，供用户查看；也可以提供删除功能，即用户可以通过该设备认证管理页面删除某一已认证终端设备MAC地址，从而使该终端设备由已认证的终端设备重新转变为未认证的终端设备。具体来说，用户可以点击该设备认证管理页面中某一已认证终端设备MAC地址后的删除按钮，以向认证设备发送删除指令。认证设备在检测到用户的删除指令时，可以将该已认证终端设备MAC地址(即该删除按钮指定的已认证终端设备MAC地址)删除。同时认证设备可以通知接入设备该已认证终端设备MAC地址已删除，即该终端设备的MAC地址不再是已认证终端设备MAC地址，从而使接入设备可以将源MAC地址为该MAC地址的报文丢弃，以避免出现安全问题。

当然，认证设备也可以定期将已经确定的已认证终端设备MAC地址发送给接入设备，从而使接入设备可以定期更新本地保存的已认证终端设备MAC地址，并在接收到报文时，判断该报文的源MAC地址是否为已认证终端设备MAC地址，以实现对已认证的终端设备发送的报文的转发。

出于安全考虑，可以对每个用户注册的终端设备的数量进行限制，例如：如果认证设备检测到用户基于同一用户名和密码登录该设备认证管理页面时，注册的终端设备的数量已达到管理员预先设定的阈值，则可以不再将该用户注册的终端设备的MAC地址作为已认证终端设备MAC地址进行管理。或者，也可以对每个用户注册或删除终端设备的时间周期进行限制，例如：在一个月的时间周期内，用户基于同一用户名和密码登录该设备认证管理页面时，仅能对一个终端设备进行注册或删除。再者，也可以对用户注册或删除终端设备的行为进行监控，并生成日志供管理员查看或进行统计分析等。

为了减少部署的设备数量，简化组网架构，通常可以将认证功能集成在网关设备上，由网关设备实现对终端设备的认证，即相当于认证设备就是网关设备。

在另一个例子中，也可以由管理设备对多个认证设备进行统一管理。在这种情况下，各个认证设备在确定某一已认证终端设备MAC地址之后，可以将该已认证终端设备MAC地址发送给管理设备，由管理设备对已认证终端设备MAC地址进行统一管理。后续，管理设备可以将该已认证终端设备MAC地址发送给接入设备，从而使接入设备可以在接收到报文时，判断该报文的源MAC地址是否为已认证终端设备MAC地址，以实现对已认证的终端设备发送的报文的转发。针对用户通过上述设备认证管理页面删除的已认证终端设备MAC地址，可以先由认证设备通知管理设备该已认证终端设备MAC地址已删除，再由管理设备通知接入设备该已认证终端设备MAC地址已删除，从而使接入设备可以将源MAC地址为该MAC地址的报文丢弃，以避免出现安全问题。

或者，认证设备也可以定期将已经确定的已认证终端设备MAC地址发送给管理设备，由管理设备对已认证终端设备MAC地址进行统一管理。后续，管理设备也可以定期将已认证终端设备MAC地址发送给接入设备，从而使接入设备可以定期更新本地保存的已认证终端设备MAC地址，并在接收到报文时，判断该报文的源MAC地址是否为已认证终端设备MAC地址，以实现对已认证的终端设备发送的报文的转发。

以图1所示的认证系统为例，假设用户在终端设备1上登录设备认证管理页面。此时，如果用户需要对终端设备1进行注册，则可以直接点击该设备认证管理页面中的注册按钮。终端设备1在检测到点击注册按钮的动作时，可以自动获取其MAC地址(假设为MAC地址1)，并将MAC地址1发送给认证设备，认证设备可以将MAC地址1作为已认证终端设备MAC地址发送给管理设备，由管理设备对已认证终端设备MAC地址进行统一管理。后续，管理设备可以将MAC地址1发送给接入设备1、接入设备2和接入设备3，从而使这三个接入设备可以对源MAC地址为MAC地址1的报文进行转发。

另一方面，如果用户需要对终端设备2进行注册，则可以自行获取终端设备的MAC地址(假设为MAC地址2)，并在该设备认证管理页面中输入MAC地址2，再点击该设备认证管理页面中的注册按钮。终端设备1在检测到点击注册按钮的动作时，可以将MAC地址2发送给认证设备，认证设备可以将MAC地址2作为已认证终端设备MAC地址发送给管理设备，由管理设备对已认证终端设备MAC地址进行统一管理。后续，管理设备可以将MAC地址2发送给接入设备1、接入设备2和接入设备3，从而使这三个接入设备可以对源MAC地址为MAC地址2的报文进行转发。

需要说明的是，认证设备可以在认证系统开始运行时，将其MAC地址和IP地址发送给接入设备，从而使接入设备可以在接收到报文时，判断该报文的源MAC地址是否为认证设备MAC地址，或者该报文的目的IP地址是否为认证设备IP地址，以实现对认证设备发送的或发送给认证设备的报文的转发。

在另一个例子中，也可以由管理设备对多个认证设备进行统一管理。在这种情况下，各个认证设备可以在认证系统开始运行时，将其MAC地址和IP地址发送给管理设备进行统一管理。后续，管理设备可以将认证设备MAC地址和认证设备IP地址发送给接入设备，从而使接入设备可以在接收到报文时，判断该报文的源MAC地址是否为认证设备MAC地址，或者该报文的目的IP地址是否为认证设备IP地址，以实现对认证设备发送的或发送给认证设备的报文的转发。

请参考图4，为本申请一示例性实施例示出的另一种报文传输控制方法的流程图。该报文传输控制方法可以应用在图1所示的认证系统中，包括如下步骤：

步骤401：认证设备在确定用户输入的用户名和密码认证通过后，检测是否接收到用户的注册指令。

步骤402：认证设备在接收到用户的注册指令时，将所述注册指令指定的终端设备MAC地址确定为已认证终端设备MAC地址。

步骤403：认证设备将所述已认证终端设备MAC地址发送给所述接入设备。

步骤404：接入设备在接收到报文时，判断所述报文是否满足转发条件中的任意一个。

步骤405：接入设备在所述报文满足所述转发条件中的任意一个时，转发所述报文。

步骤406：接入设备在所述报文不满足所述转发条件时，丢弃所述报文。

其中，所述转发条件可以包括：所述报文的源MAC地址为已认证终端设备MAC地址，所述已认证终端设备MAC地址由所述认证设备发送；所述报文的源MAC地址为认证设备MAC地址；所述报文的目的IP地址为认证设备IP地址；所述报文为地址解析协议ARP报文或动态主机配置协议DHCP报文。

本实施例中各个步骤的具体实现方式可以参考图2和图3所示的实施例的藐视，在此不再赘述。

与前述报文传输控制方法的实施例相对应，本申请还提供了报文传输控制装置的实施例。

本申请报文传输控制装置的实施例可以应用在交换机、网关设备等接入设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在接入设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图5所示，为本申请报文传输控制装置所在接入设备的一种硬件结构图，如图6所示，为本申请报文传输控制装置所在认证设备的一种硬件结构图。除了图5或图6所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的设备通常根据该报文传输控制的实际功能，还可以包括其他硬件，对此不再赘述。

请参考图7，为本申请一示例性实施例示出的一种报文传输控制装置的框图。该报文传输控制装置700可以应用在图5所示的接入设备上，包括：

判断单元701，用于在接收到报文时，判断所述报文是否满足转发条件中的任意一个；

转发单元702，用于在所述报文满足所述转发条件中的任意一个时，转发所述报文；

丢弃单元703，用于在所述报文不满足所述转发条件时，丢弃所述报文；

其中，所述转发条件包括：

所述报文的源MAC地址为认证设备MAC地址；

所述报文的目的IP地址为认证设备IP地址；

请参考图8，为本申请一示例性实施例示出的另一种报文传输控制装置的框图。该报文传输控制装置800可以应用在图6所示的认证设备上，包括：

检测单元801，用于在确定用户输入的用户名和密码认证通过后，检测是否接收到用户的注册指令；

确定单元802，用于在接收到用户的注册指令时，将所述注册指令指定的终端设备MAC地址确定为已认证终端设备MAC地址；

发送单元803，用于将所述已认证终端设备MAC地址发送给所述接入设备，以使所述接入设备在所述报文的源MAC地址为所述已认证终端设备MAC地址时，转发所述报文。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims

1.一种报文传输控制方法，其特征在于，所述方法应用于认证系统中的接入设备，所述认证系统中还包括终端设备和认证设备，所述认证设备为网关设备或所述认证设备与所述终端设备不在同一局域网中；所述终端设备通过所述接入设备接入所述网关设备；以及，与所述终端设备在同一局域网中的终端设备或服务器，通过所述接入设备接入所述网关设备；所述方法包括：

在所述报文不满足所述转发条件时，丢弃所述报文；

其中，所述转发条件包括：

所述报文的源MAC地址为认证设备MAC地址；

所述报文的目的IP地址为认证设备IP地址；

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在接收到认证设备发送的已认证终端设备MAC地址时，生成与所述已认证终端设备MAC地址对应的访问控制列表ACL表项，以转发源MAC地址为所述已认证终端设备MAC地址的报文；

判断所述报文的源MAC地址是否为已认证终端设备MAC地址，包括：

根据所述报文的源MAC地址，判断所述报文是否匹配所述ACL表项。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

基于认证设备MAC地址和认证设备IP地址，分别生成与所述认证设备MAC地址对应的ACL表项，以及与所述认证设备IP地址对应的ACL表项，以转发源MAC地址为所述认证设备MAC地址的报文；

判断所述报文的源MAC地址是否为认证设备MAC地址，包括：

根据所述报文的源MAC地址，判断所述报文是否匹配所述ACL表项；

判断所述报文的目的IP地址是否为认证设备IP地址，包括：

根据所述报文的目的IP地址，判断所述报文是否匹配所述ACL表项。

4.一种报文传输控制方法，其特征在于，所述方法应用于认证系统中的认证设备，所述认证系统中还包括终端设备和接入设备，所述认证设备为网关设备或所述认证设备与所述终端设备不在同一局域网中；所述终端设备通过所述接入设备接入所述网关设备；以及，与所述终端设备在同一局域网中的终端设备或服务器，通过所述接入设备接入所述网关设备；所述方法包括：

5.根据权利要求4所述的方法，其特征在于，在确定用户输入的用户名和密码认证通过后，所述方法还包括：

检测是否接收到用户的删除指令；

在接收到用户的删除指令时，将所述删除指令指定的已认证终端设备MAC地址删除；

将所述已认证终端设备MAC地址发送给所述接入设备，以使所述接入设备删除所述已认证终端设备MAC地址。

6.根据权利要求4所述的方法，其特征在于，所述将所述注册指令指定的终端设备MAC地址确定为已认证终端设备MAC地址，包括：

将所述注册指令中携带的终端设备MAC地址确定为已认证终端设备MAC地址；或者

将发送所述注册指令的终端设备的MAC地址确定为已认证终端设备MAC地址。

7.根据权利要求4所述的方法，其特征在于，所述认证系统中还包括管理设备；

所述将所述已认证终端设备MAC地址发送给所述接入设备，包括：

将所述已认证终端设备MAC地址发送给所述管理设备进行统一管理，并由所述管理设备将所述已认证终端设备MAC地址发送给所述接入设备。

8.一种报文传输控制方法，其特征在于，所述方法应用于认证系统，所述认证系统中包括终端设备、接入设备和认证设备，所述认证设备为网关设备或所述认证设备与所述终端设备不在同一局域网中；所述终端设备通过所述接入设备接入所述网关设备；以及，与所述终端设备在同一局域网中的终端设备或服务器，通过所述接入设备接入所述网关设备；所述方法包括：

其中，所述转发条件包括：

所述报文的源MAC地址为认证设备MAC地址；

所述报文的目的IP地址为认证设备IP地址；

9.一种报文传输控制装置，其特征在于，所述装置应用于认证系统中的接入设备，所述认证系统中还包括终端设备和认证设备，所述认证设备为网关设备或所述认证设备与所述终端设备不在同一局域网中；所述终端设备通过所述接入设备接入所述网关设备；以及，与所述终端设备在同一局域网中的终端设备或服务器，通过所述接入设备接入所述网关设备；所述装置包括：

其中，所述转发条件包括：

所述报文的源MAC地址为认证设备MAC地址；

所述报文的目的IP地址为认证设备IP地址；

10.一种报文传输控制装置，其特征在于，所述装置应用于认证系统中的认证设备，所述认证系统中还包括终端设备和接入设备，所述认证设备为网关设备或所述认证设备与所述终端设备不在同一局域网中；所述终端设备通过所述接入设备接入所述网关设备；以及，与所述终端设备在同一局域网中的终端设备或服务器，通过所述接入设备接入所述网关设备；所述装置包括：