CN108900429A - 一种共享接入多策略控制方法及装置 - Google Patents
一种共享接入多策略控制方法及装置 Download PDFInfo
- Publication number
- CN108900429A CN108900429A CN201810600681.3A CN201810600681A CN108900429A CN 108900429 A CN108900429 A CN 108900429A CN 201810600681 A CN201810600681 A CN 201810600681A CN 108900429 A CN108900429 A CN 108900429A
- Authority
- CN
- China
- Prior art keywords
- user
- matching
- strategy
- shared access
- accessed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000012544 monitoring process Methods 0.000 claims abstract description 34
- 230000000903 blocking effect Effects 0.000 claims description 35
- 238000007689 inspection Methods 0.000 claims description 14
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 5
- 238000007781 pre-processing Methods 0.000 claims description 4
- 238000002372 labelling Methods 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 244000062793 Sorghum vulgare Species 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 235000019713 millet Nutrition 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000011217 control strategy Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种共享接入多策略控制方法及装置,方法包括:根据各用户对象的共享接入策略对互联网报文依次进行策略匹配,对匹配成功的互联网报文标记策略ID;提取目标互联网报文的数据内容,并得到用户接入的设备类型数量;对数据内容进行特征分析,根据特征分析结果和用户接入的设备类型数量得到用户接入的设备数量;获取目标共享接入策略,并对用户接入的设备进行监控或阻塞。通过对不同用户对象设置不同的共享接入策略,当收到互联网报文后,通过匹配不同的共享接入策略,对用户接入的设备采用不同的执行操作:监控或阻塞,能够同时对不同接入设备进行分别控制,使得用户的监控多元化,同时满足所有用户对网络的使用需求。
Description
技术领域
本发明实施例涉及通信技术领域,具体涉及一种共享接入多策略控制方法及装置。
背景技术
随着通信以及电子的发展,各种移动终端设备进入了人们的生活,移动终端都通过无线接入到互联网,方便了用户的同时也产生了巨大的安全隐患。尤其在公司,对共享接入能否接入,接入几台PC、几台移动终端做出了严格规定。通常是所有人使用同一个处理策略,但是在不同场景下,人们对共享接入的需求不一致:在公司内部,因为不同岗位对共享接入需求的不同,需要对不同的岗位的共享接入做出差异化限制;作为运营商,因为不同学校宽带以及费用的不一致,需要对不同学校学生的共享接入进行差异化限制。
然而,现有技术中共享接入的控制策略只有全局的一个,对所有的用户采用同一个限制标准,用户接入的PC终端和移动终端限制数量一致,并且对达到共享接入限制条件的用户采用一样的控制方式,无法实现对不同接入设备进行分别控制,对用户的监控不够多元化,同时限制了部分用户对网络的使用。
发明内容
由于现有方法存在上述问题,本发明实施例提出一种共享接入多策略控制方法及装置。
第一方面,本发明实施例提出一种共享接入多策略控制方法,包括:
获取互联网报文,根据各用户对象的共享接入策略对所述互联网报文依次进行策略匹配,若匹配成功,则对所述互联网报文标记策略ID;
对标记策略ID的互联网报文进行传输控制协议TCP报文检查,若检查获知目标互联网报文为TCP报文,则提取所述目标互联网报文的数据内容,并根据预设匹配规则对所述数据内容进行匹配,得到用户接入的设备类型数量;
对所述数据内容进行特征分析,若无法得到用户接入的设备数量,则将所述用户接入的设备类型数量作为用户接入的设备数量,否则获取用户接入的设备数量;
根据所述目标互联网报文的策略ID获取目标共享接入策略,并根据所述目标共享接入策略和所述用户接入的设备数量对用户接入的设备进行监控或阻塞。
可选地,所述获取互联网报文,根据各用户对象的共享接入策略对所述互联网报文依次进行策略匹配,若匹配成功,则对所述互联网报文标记策略ID,具体包括:
获取互联网报文,按照各用户对象的共享接入策略的优先级从高到低依次对所述互联网报文进行策略匹配,若匹配成功,则对所述互联网报文标记策略ID,并停止继续匹配。
可选地,所述根据所述目标互联网报文的策略ID获取目标共享接入策略,并根据所述目标共享接入策略和所述用户接入的设备数量对用户接入的设备进行监控或阻塞,具体包括:
根据所述目标互联网报文的策略ID获取目标共享接入策略,若所述目标共享接入策略的设备数量大于所述用户接入的设备数量,则对用户接入的设备进行监控;
若所述目标共享接入策略的设备数量小于或等于所述用户接入的设备数量,则对用户接入的设备进行阻塞,并将用户接入的设备的IP存储至预设阻塞IP集合中。
可选地,所述获取互联网报文,根据各用户对象的共享接入策略对所述互联网报文依次进行策略匹配,若匹配成功,则对所述互联网报文标记策略ID,具体包括:
获取互联网报文,对所述互联网报文进行预处理,并根据各用户对象的共享接入策略对预处理后的互联网报文依次进行策略匹配,若匹配成功,则对所述预处理后的互联网报文标记策略ID。
可选地,所述根据预设匹配规则对所述数据内容进行匹配,得到用户接入的设备类型数量,具体包括:
根据用户接入的设备的操作系统和设备类型对所述数据内容进行匹配,得到用户接入的设备类型数量。
第二方面,本发明实施例还提出一种共享接入多策略控制装置,包括:
策略匹配模块,用于获取互联网报文,根据各用户对象的共享接入策略对所述互联网报文依次进行策略匹配,若匹配成功,则对所述互联网报文标记策略ID;
内容匹配模块,用于对标记策略ID的互联网报文进行传输控制协议TCP报文检查,若检查获知目标互联网报文为TCP报文,则提取所述目标互联网报文的数据内容,并根据预设匹配规则对所述数据内容进行匹配,得到用户接入的设备类型数量;
数量获取模块,用于对所述数据内容进行特征分析,若无法得到用户接入的设备数量,则将所述用户接入的设备类型数量作为用户接入的设备数量,否则获取用户接入的设备数量;
策略执行模块,用于根据所述目标互联网报文的策略ID获取目标共享接入策略,并根据所述目标共享接入策略和所述用户接入的设备数量对用户接入的设备进行监控或阻塞。
可选地,所述策略匹配模块具体用于获取互联网报文,按照各用户对象的共享接入策略的优先级从高到低依次对所述互联网报文进行策略匹配,若匹配成功,则对所述互联网报文标记策略ID,并停止继续匹配。
可选地,所述策略执行模块具体包括:
设备监控单元,用于根据所述目标互联网报文的策略ID获取目标共享接入策略,若所述目标共享接入策略的设备数量大于所述用户接入的设备数量,则对用户接入的设备进行监控;
设备阻塞单元,用于若所述目标共享接入策略的设备数量小于或等于所述用户接入的设备数量,则对用户接入的设备进行阻塞,并将用户接入的设备的IP存储至预设阻塞IP集合中。
可选地,所述策略匹配模块具体用于获取互联网报文,对所述互联网报文进行预处理,并根据各用户对象的共享接入策略对预处理后的互联网报文依次进行策略匹配,若匹配成功,则对所述预处理后的互联网报文标记策略ID。
可选地,所述内容匹配模块具体用于根据用户接入的设备的操作系统和设备类型对所述数据内容进行匹配,得到用户接入的设备类型数量。
第三方面,本发明实施例还提出一种电子设备,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行上述方法。
第四方面,本发明实施例还提出一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行上述方法。
由上述技术方案可知,本发明实施例通过对不同用户对象设置不同的共享接入策略,当收到互联网报文后,通过匹配不同的共享接入策略,对用户接入的设备采用不同的执行操作:监控或阻塞,能够同时对不同接入设备进行分别控制,使得用户的监控多元化,同时满足所有用户对网络的使用需求。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1为本发明一实施例提供的一种共享接入多策略控制方法的流程示意图;
图2为本发明一实施例提供的一种共享接入多策略控制系统的模块化示意图;
图3为本发明一实施例提供的共享接入多策略控制系统的模块交互示意图;
图4为本发明另一实施例提供的一种共享接入多策略控制方法的流程示意图;
图5为本发明一实施例提供的一种共享接入多策略控制装置的结构示意图;
图6为本发明一实施例提供的电子设备的逻辑框图。
具体实施方式
下面结合附图,对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
图1示出了本实施例提供的一种共享接入多策略控制方法的流程示意图,包括:
S101、获取互联网报文,根据各用户对象的共享接入策略对所述互联网报文依次进行策略匹配,若匹配成功,则对所述互联网报文标记策略ID。
其中,所述用户对象是根据用户所处的不同位置以及时间形成不同的对象集合,每个用户对象包括若干个用户。
具体地,共享接入策略中定义了其对应的用户对象,其中每个用户对象对应了多个用户IP,因此,通过获取互联网报文中的目的IP,将该目的IP与共享接入策略中的多个用户IP一一匹配,若共享接入策略中存在该目的IP,则匹配成功,同时将匹配的共享接入策略的策略ID标记在互联网报文中。即根据用户所属的不同用户对象,匹配共享接入策略,并对用户的报文进行策略id标记。
S102、对标记策略ID的互联网报文进行传输控制协议TCP报文检查,若检查获知目标互联网报文为TCP报文,则提取所述目标互联网报文的数据内容,并根据预设匹配规则对所述数据内容进行匹配,得到用户接入的设备类型数量。
具体地,对于标记策略ID的互联网报文,首先检查这些互联网报文是否是TCP报文,如果是,则提取报文的data内容,并与匹配规则做匹配处理。
其中,设备类型数量为不同类型的设备数量,例如有3个华为手机、2个小米手机和1个三星手机,则设备数量为6个,设备类型数量为3个(包括华为、小米和三星3种类型)。需要说明的是,对于多个苹果手机,本实施例提供的方法只能识别为1个苹果手机。
S103、对所述数据内容进行特征分析,若无法得到用户接入的设备数量,则将所述用户接入的设备类型数量作为用户接入的设备数量,否则获取用户接入的设备数量。
其中,所述特征分析为根据数据内容的特征参数,分析得到设备数量。例如,通过IMEI码确定设备数量,即有X个IMEI码则设备数量为X。
S104、根据所述目标互联网报文的策略ID获取目标共享接入策略,并根据所述目标共享接入策略和所述用户接入的设备数量对用户接入的设备进行监控或阻塞。
具体地,对于标记过策略ID的目标互联网报文,通过该策略ID能够获取对应的目标共享接入策略,该目标共享接入策略中定义了最大的用户接入的设备数量,若实际的用户接入的设备数量小于等于目标共享接入策略中定义的用户接入的设备数量,则放行该互联网报文,并对对应的用户接入的设备进行监控;反之,若实际的用户接入的设备数量大于目标共享接入策略中定义的用户接入的设备数量,则阻塞该互联网报文,不允许发送至对应的设备。即对于共享接入的监控用户,如果用户有共享接入情况,可以根据匹配到的不同策略进行不同的策略动作。
现有技术中采用单策略对多用户网络中的用户共享接入控制,这种方式比较死板,不能够对不同用户采用多元化的控制方式,对用户的体验不够友好;当运营商需要对有共享接入的用户进行差异化控制时,需要多台设备进行控制,这样会增加运营商的成本。
本实施例通过对不同用户对象设置不同的共享接入策略,当收到互联网报文后,通过匹配不同的共享接入策略,对用户接入的设备采用不同的执行操作:监控或阻塞,能够同时对不同接入设备进行分别控制,使得用户的监控多元化,同时满足所有用户对网络的使用需求。
进一步地,在上述方法实施例的基础上,S101具体包括:
获取互联网报文,按照各用户对象的共享接入策略的优先级从高到低依次对所述互联网报文进行策略匹配,若匹配成功,则对所述互联网报文标记策略ID,并停止继续匹配。
具体地,每个共享接入策略都有对应的优先级,部分优先级较高,部分优先级较低,对当前的共享接入策略按照优先级从高到低进行排序,并按照顺序依次与所述互联网报文进行策略匹配。如果当前的共享接入策略与所述互联网报文匹配成功,则对所述互联网报文标记策略ID,并停止继续匹配;如果当前的共享接入策略与所述互联网报文匹配失败,则继续匹配下一个共享接入策略。
通过对共享接入策略进行排序后匹配,能够提高匹配效率。
进一步地,在上述方法实施例的基础上,S104具体包括:
S1041、根据所述目标互联网报文的策略ID获取目标共享接入策略,若所述目标共享接入策略的设备数量大于所述用户接入的设备数量,则对用户接入的设备进行监控;
S1042、若所述目标共享接入策略的设备数量小于或等于所述用户接入的设备数量,则对用户接入的设备进行阻塞,并将用户接入的设备的IP存储至预设阻塞IP集合中。
具体地,对于标记过策略ID的目标互联网报文,通过该策略ID能够获取对应的目标共享接入策略,该目标共享接入策略中定义了最大的用户接入的设备数量,若实际的用户接入的设备数量小于等于目标共享接入策略中定义的用户接入的设备数量,则放行该互联网报文,并对对应的用户接入的设备进行监控;反之,若实际的用户接入的设备数量大于目标共享接入策略中定义的用户接入的设备数量,则阻塞该互联网报文,不允许发送至对应的设备。即对于共享接入的监控用户,如果用户有共享接入情况,可以根据匹配到的不同策略进行不同的策略动作。
通过将用户接入的设备的IP存储至预设阻塞IP集合中,能够便于后续直接查找阻塞IP集合以快速获知某个IP是否需要阻塞。
进一步地,在上述方法实施例的基础上,S101具体包括:
获取互联网报文,对所述互联网报文进行预处理,并根据各用户对象的共享接入策略对预处理后的互联网报文依次进行策略匹配,若匹配成功,则对所述预处理后的互联网报文标记策略ID。
具体地,所述预处理包括对所述互联网报文进行解析,以获知其目的IP、数据内容,便于后续处理。
进一步地,在上述方法实施例的基础上,S102中所述根据预设匹配规则对所述数据内容进行匹配,得到用户接入的设备类型数量,具体包括:
根据用户接入的设备的操作系统和设备类型对所述数据内容进行匹配,得到用户接入的设备类型数量。
举例来说,若匹配得到华为手机、小米手机和苹果手机,苹果操作系统和安卓操作系统,则设备类型数量为3个(包括华为、小米和苹果3种类型);若匹配得到华为手机,windows操作系统和安卓操作系统,则设备类型数量为2个(包括windows操作系统和安卓操作系统2种类型)。
通过获取设备类型数量,能够在一定程度上判断设备类型的数量,当无法确定设备数量的时候,能够通过设备类型数量进行相应的计算。
具体地,在实际执行过程中,如图2所示,在服务器内部通过不同模块的交互实现不同用户不同策略的控制,主要分为以下四个执行步骤:
A1、首先通过配置界面,对不同的用户对象配置不同的共享接入策略,然后将配置的策略内容保存下发到内核的策略控制模块和用户态的共享接入控制模块;同时将用户的匹配规则下发到内核的匹配模块和用户态的共享接入控制模块。
A2、报文获取模块获取互联网上的报文,然后通过策略控制模块对报文进行初步处理:根据策略优先级对提取到的报文依次进行策略匹配,如果报文属于某个策略监控的对象的报文,则对报文进行标记,标记所属的策略ID;如果报文满足多个策略,则匹配优先级最高的策略,一旦匹配到,停止匹配;若没有匹配到策略,则不做标记。
A3、将策略控制模块处理过的报文传递给匹配模块,在匹配模块中,首先检查报文是否被标记策略ID,如果未做标记则直接放行,不做共享接入监控处理。如果被标记,则首先检查报文是否是TCP报文,如果是,则提取报文的数据内容,并与匹配规则做匹配处理;如果匹配成功,则记录匹配规则的ID以及提取内容,并同策略ID以及用户IP一起上传到共享接入控制模块。
A4、共享接入控制模块先将获取到的特征进行分析,识别出用户共享接入的设备数量,然后根据用户所属的策略ID将用户共享接入情况与策略条件具体内容进行比较。如果策略为监控策略,则对用户进行监控动作。如果策略为阻塞策略,并且用户共享接入情况满足策略条件,则对用户执行阻塞动作;如果用户不满足策略条件,则对用户进行监控动作。执行阻塞动作时,需要将用户IP下发到内核指定的ipset中,在用户访问网络时,阻断访问,并根据不同策略,提示不同的阻塞页面。
具体地,“界面”表示浏览器展示的界面部分;“用户态”表示用户态程序;“内核态”表示内核态程序;共享接入控制模块用于分析记录IP下的终端数量,根据策略ID实施不同的控制策略;“通道”即为数据传输通道,用于将底层的匹配结果从内核上送至控制模块;报文获取模块用于从网络协议栈截取数据包;策略控制模块用于报文匹配用户策略,并对报文做标记;匹配模块用于对数据包的多个字段进行多模匹配,高效进行数据检索,对于满足条件的数据包,将IP和匹配规则和所属策略ID返回给匹配模块。
各模块的具体交互过程参见图3,通过界面配置共享接入多策略,将策略内容下发到内核中的策略控制模块;将多策略通过web界面下发到共享接入控制模块;用户态程序将匹配规则解析存储到共享接入控制模块;共享接入控制模块将匹配规则下发到内核中的匹配模块。
在具体执行过程中,参见图4,记录内核上传的用户特征及IP,汇集特征并分析用户共享接入连接的设备数;根据每个用户匹配到的策略ID,检查共享接入设备数和匹配策略条件,并根据不同的策略动作将共享接入监控用户分别记录;将需要执行阻塞动作的用户执行阻塞动作,将不满足阻塞动作的用户和执行监控动作的用户执行监控动作;将需要执行阻塞动作的IP下发到内核ipset中;当被阻塞的IP访问网络时,立即阻断,并根据用户所处的策略不同,推送不同策略的阻塞页面;将不需要阻断的只需要监控的IP记录并展示。
本实施例通过共享接入多策略控制可以有效实现在多用户网络中,对不同的用户对象采用不同的共享接入策略来管理,实现了对用户的多元化管理,使产品对用户更友好;同时,在运营商环境中,运营商可以有效的对不同学校采用不用的共享接入策略进行管理,而不需要增加设备来实现,可以有效的节约成本。
图5示出了本实施例提供的一种共享接入多策略控制装置的结构示意图,所述装置包括:策略匹配模块501、内容匹配模块502、数量获取模块503和策略执行模块504,其中:
所述策略匹配模块501用于获取互联网报文,根据各用户对象的共享接入策略对所述互联网报文依次进行策略匹配,若匹配成功,则对所述互联网报文标记策略ID;
所述内容匹配模块502用于对标记策略ID的互联网报文进行传输控制协议TCP报文检查,若检查获知目标互联网报文为TCP报文,则提取所述目标互联网报文的数据内容,并根据预设匹配规则对所述数据内容进行匹配,得到用户接入的设备类型数量;
所述数量获取模块503用于对所述数据内容进行特征分析,若无法得到用户接入的设备数量,则将所述用户接入的设备类型数量作为用户接入的设备数量,否则获取用户接入的设备数量;
所述策略执行模块504用于根据所述目标互联网报文的策略ID获取目标共享接入策略,并根据所述目标共享接入策略和所述用户接入的设备数量对用户接入的设备进行监控或阻塞。
具体地,所述策略匹配模块501获取互联网报文,根据各用户对象的共享接入策略对所述互联网报文依次进行策略匹配,若匹配成功,则对所述互联网报文标记策略ID;所述内容匹配模块502对标记策略ID的互联网报文进行传输控制协议TCP报文检查,若检查获知目标互联网报文为TCP报文,则提取所述目标互联网报文的数据内容,并根据预设匹配规则对所述数据内容进行匹配,得到用户接入的设备类型数量;所述数量获取模块503对所述数据内容进行特征分析,若无法得到用户接入的设备数量,则将所述用户接入的设备类型数量作为用户接入的设备数量,否则获取用户接入的设备数量;所述策略执行模块504根据所述目标互联网报文的策略ID获取目标共享接入策略,并根据所述目标共享接入策略和所述用户接入的设备数量对用户接入的设备进行监控或阻塞。
本实施例通过对不同用户对象设置不同的共享接入策略,当收到互联网报文后,通过匹配不同的共享接入策略,对用户接入的设备采用不同的执行操作:监控或阻塞,能够同时对不同接入设备进行分别控制,使得用户的监控多元化,同时满足所有用户对网络的使用需求。
进一步地,在上述装置实施例的基础上,所述策略匹配模块501具体用于获取互联网报文,按照各用户对象的共享接入策略的优先级从高到低依次对所述互联网报文进行策略匹配,若匹配成功,则对所述互联网报文标记策略ID,并停止继续匹配。
进一步地,在上述装置实施例的基础上,所述策略执行模块504具体包括:
设备监控单元,用于根据所述目标互联网报文的策略ID获取目标共享接入策略,若所述目标共享接入策略的设备数量大于所述用户接入的设备数量,则对用户接入的设备进行监控;
设备阻塞单元,用于若所述目标共享接入策略的设备数量小于或等于所述用户接入的设备数量,则对用户接入的设备进行阻塞,并将用户接入的设备的IP存储至预设阻塞IP集合中。
进一步地,在上述装置实施例的基础上,所述策略匹配模块501具体用于获取互联网报文,对所述互联网报文进行预处理,并根据各用户对象的共享接入策略对预处理后的互联网报文依次进行策略匹配,若匹配成功,则对所述预处理后的互联网报文标记策略ID。
进一步地,在上述装置实施例的基础上,所述内容匹配模块502具体用于根据用户接入的设备的操作系统和设备类型对所述数据内容进行匹配,得到用户接入的设备类型数量。
本实施例所述的共享接入多策略控制装置可以用于执行上述方法实施例,其原理和技术效果类似,此处不再赘述。
参照图6,所述电子设备,包括:处理器(processor)601、存储器(memory)602和总线603;
其中,
所述处理器601和存储器602通过所述总线603完成相互间的通信;
所述处理器601用于调用所述存储器602中的程序指令,以执行上述各方法实施例所提供的方法。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种共享接入多策略控制方法,其特征在于,包括:
获取互联网报文,根据各用户对象的共享接入策略对所述互联网报文依次进行策略匹配,若匹配成功,则对所述互联网报文标记策略ID;
对标记策略ID的互联网报文进行传输控制协议TCP报文检查,若检查获知目标互联网报文为TCP报文,则提取所述目标互联网报文的数据内容,并根据预设匹配规则对所述数据内容进行匹配,得到用户接入的设备类型数量;
对所述数据内容进行特征分析,若无法得到用户接入的设备数量,则将所述用户接入的设备类型数量作为用户接入的设备数量,否则获取用户接入的设备数量;
根据所述目标互联网报文的策略ID获取目标共享接入策略,并根据所述目标共享接入策略和所述用户接入的设备数量对用户接入的设备进行监控或阻塞。
2.根据权利要求1所述的方法,其特征在于,所述获取互联网报文,根据各用户对象的共享接入策略对所述互联网报文依次进行策略匹配,若匹配成功,则对所述互联网报文标记策略ID,具体包括:
获取互联网报文,按照各用户对象的共享接入策略的优先级从高到低依次对所述互联网报文进行策略匹配,若匹配成功,则对所述互联网报文标记策略ID,并停止继续匹配。
3.根据权利要求1所述的方法,其特征在于,所述根据所述目标互联网报文的策略ID获取目标共享接入策略,并根据所述目标共享接入策略和所述用户接入的设备数量对用户接入的设备进行监控或阻塞,具体包括:
根据所述目标互联网报文的策略ID获取目标共享接入策略,若所述目标共享接入策略的设备数量大于所述用户接入的设备数量,则对用户接入的设备进行监控;
若所述目标共享接入策略的设备数量小于或等于所述用户接入的设备数量,则对用户接入的设备进行阻塞,并将用户接入的设备的IP存储至预设阻塞IP集合中。
4.根据权利要求1所述的方法,其特征在于,所述获取互联网报文,根据各用户对象的共享接入策略对所述互联网报文依次进行策略匹配,若匹配成功,则对所述互联网报文标记策略ID,具体包括:
获取互联网报文,对所述互联网报文进行预处理,并根据各用户对象的共享接入策略对预处理后的互联网报文依次进行策略匹配,若匹配成功,则对所述预处理后的互联网报文标记策略ID。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述根据预设匹配规则对所述数据内容进行匹配,得到用户接入的设备类型数量,具体包括:
根据用户接入的设备的操作系统和设备类型对所述数据内容进行匹配,得到用户接入的设备类型数量。
6.一种共享接入多策略控制装置,其特征在于,包括:
策略匹配模块,用于获取互联网报文,根据各用户对象的共享接入策略对所述互联网报文依次进行策略匹配,若匹配成功,则对所述互联网报文标记策略ID;
内容匹配模块,用于对标记策略ID的互联网报文进行传输控制协议TCP报文检查,若检查获知目标互联网报文为TCP报文,则提取所述目标互联网报文的数据内容,并根据预设匹配规则对所述数据内容进行匹配,得到用户接入的设备类型数量;
数量获取模块,用于对所述数据内容进行特征分析,若无法得到用户接入的设备数量,则将所述用户接入的设备类型数量作为用户接入的设备数量,否则获取用户接入的设备数量;
策略执行模块,用于根据所述目标互联网报文的策略ID获取目标共享接入策略,并根据所述目标共享接入策略和所述用户接入的设备数量对用户接入的设备进行监控或阻塞。
7.根据权利要求6所述的装置,其特征在于,所述策略匹配模块具体用于获取互联网报文,按照各用户对象的共享接入策略的优先级从高到低依次对所述互联网报文进行策略匹配,若匹配成功,则对所述互联网报文标记策略ID,并停止继续匹配。
8.根据权利要求6所述的装置,其特征在于,所述策略执行模块具体包括:
设备监控单元,用于根据所述目标互联网报文的策略ID获取目标共享接入策略,若所述目标共享接入策略的设备数量大于所述用户接入的设备数量,则对用户接入的设备进行监控;
设备阻塞单元,用于若所述目标共享接入策略的设备数量小于或等于所述用户接入的设备数量,则对用户接入的设备进行阻塞,并将用户接入的设备的IP存储至预设阻塞IP集合中。
9.根据权利要求6所述的装置,其特征在于,所述策略匹配模块具体用于获取互联网报文,对所述互联网报文进行预处理,并根据各用户对象的共享接入策略对预处理后的互联网报文依次进行策略匹配,若匹配成功,则对所述预处理后的互联网报文标记策略ID。
10.根据权利要求6-9任一项所述的装置,其特征在于,所述内容匹配模块具体用于根据用户接入的设备的操作系统和设备类型对所述数据内容进行匹配,得到用户接入的设备类型数量。
11.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至5任一所述的方法。
12.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行如权利要求1至5任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810600681.3A CN108900429A (zh) | 2018-06-12 | 2018-06-12 | 一种共享接入多策略控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810600681.3A CN108900429A (zh) | 2018-06-12 | 2018-06-12 | 一种共享接入多策略控制方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108900429A true CN108900429A (zh) | 2018-11-27 |
Family
ID=64344451
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810600681.3A Pending CN108900429A (zh) | 2018-06-12 | 2018-06-12 | 一种共享接入多策略控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108900429A (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101090377A (zh) * | 2007-07-31 | 2007-12-19 | 中兴通讯股份有限公司 | 网关上多业务数据流选路的实现方法 |
| CN102075404A (zh) * | 2009-11-19 | 2011-05-25 | 华为技术有限公司 | 一种报文检测方法及装置 |
| CN102752756A (zh) * | 2012-06-08 | 2012-10-24 | 深信服网络科技(深圳)有限公司 | 防止通过私接无线ap上网的方法及装置 |
| US20150120951A1 (en) * | 2013-10-31 | 2015-04-30 | Aruba Networks, Inc. | Method and system for controlling access to shared devices |
| CN106685827A (zh) * | 2016-12-15 | 2017-05-17 | 迈普通信技术股份有限公司 | 一种下行报文的转发方法及ap设备 |
| CN106789486A (zh) * | 2017-03-17 | 2017-05-31 | 杭州迪普科技股份有限公司 | 共享接入的检测方法及装置 |
| CN107948199A (zh) * | 2017-12-27 | 2018-04-20 | 北京奇安信科技有限公司 | 一种对终端共享接入进行快速检测的方法及装置 |
-
2018
- 2018-06-12 CN CN201810600681.3A patent/CN108900429A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101090377A (zh) * | 2007-07-31 | 2007-12-19 | 中兴通讯股份有限公司 | 网关上多业务数据流选路的实现方法 |
| CN102075404A (zh) * | 2009-11-19 | 2011-05-25 | 华为技术有限公司 | 一种报文检测方法及装置 |
| CN102752756A (zh) * | 2012-06-08 | 2012-10-24 | 深信服网络科技(深圳)有限公司 | 防止通过私接无线ap上网的方法及装置 |
| US20150120951A1 (en) * | 2013-10-31 | 2015-04-30 | Aruba Networks, Inc. | Method and system for controlling access to shared devices |
| CN106685827A (zh) * | 2016-12-15 | 2017-05-17 | 迈普通信技术股份有限公司 | 一种下行报文的转发方法及ap设备 |
| CN106789486A (zh) * | 2017-03-17 | 2017-05-31 | 杭州迪普科技股份有限公司 | 共享接入的检测方法及装置 |
| CN107948199A (zh) * | 2017-12-27 | 2018-04-20 | 北京奇安信科技有限公司 | 一种对终端共享接入进行快速检测的方法及装置 |
Non-Patent Citations (4)
| Title |
|---|
| 深信服智安全: ""AC 12.0.7 用户手册"", 《HTTPS://BBS.SANGFOR.COM.CN/PLUGIN.PHP?ID=SANGFOR_DATABASES:INDEX&MOD=VIEWDATABASE&TID=45833》 * |
| 网友: ""AC终端接入管理使用案例"", 《HTTPS://BBS.SANGFOR.COM.CN/FORUM.PHP?MOD=VIEWTHREAD&TID=36839&HIGHLIGHT=》 * |
| 网友: ""共享接入管理建议"", 《HTTPS://BBS.SANGFOR.COM.CN/FORUM.PHP?MOD=VIEWTHREAD&TID=12981》 * |
| 网友: ""共享接入管理跟移动终端管理的区别?原理是什么呢?"", 《HTTPS://BBS.SANGFOR.COM.CN/FORUM.PHP?MOD=VIEWTHREAD&TID=33515》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110430187B (zh) | 工控系统中的通信报文安全审计方法、设备和存储介质 | |
| CN108337652B (zh) | 一种检测流量欺诈的方法及装置 | |
| CN106844137A (zh) | 服务器的监控方法和装置 | |
| CN107948199B (zh) | 一种对终端共享接入进行快速检测的方法及装置 | |
| CN105553999B (zh) | 应用程序用户行为分析和安全控制方法及其相应的装置 | |
| CN110708215A (zh) | 深度包检测规则库生成方法、装置、网络设备及存储介质 | |
| CN106850687A (zh) | 用于检测网络攻击的方法和装置 | |
| CN107634947A (zh) | 限制恶意登录或注册的方法和装置 | |
| CN114338064B (zh) | 识别网络流量类型的方法、装置、系统、设备和存储介质 | |
| CN104253714A (zh) | 监控方法、系统、浏览器及服务器 | |
| CN107483386A (zh) | 分析网络数据的方法及装置 | |
| CN112822291A (zh) | 一种工控设备的监测方法与装置 | |
| CN112019446A (zh) | 一种接口限速方法、装置、设备及可读存储介质 | |
| CN113158169A (zh) | 一种基于Hadoop集群的验证方法、装置、存储介质及电子设备 | |
| CN113079157A (zh) | 获取网络攻击者位置的方法、装置、电子设备 | |
| CN109800571A (zh) | 事件处理方法和装置、以及存储介质和电子装置 | |
| CN107171818A (zh) | 用于混合云的控制方法、系统和装置 | |
| CN106850349B (zh) | 一种特征信息的提取方法及装置 | |
| CN106651183B (zh) | 工控系统的通信数据安全审计方法及装置 | |
| CN109343944A (zh) | eSIM卡的数据处理方法、装置、终端及存储介质 | |
| CN107733785A (zh) | 一种多终端聊天信息同步删除方法及装置 | |
| CN115426299B (zh) | 无特征数据标识方法、装置、计算机设备及存储介质 | |
| CN108900429A (zh) | 一种共享接入多策略控制方法及装置 | |
| CN110752963B (zh) | 事件处理方法和装置、存储介质及电子装置 | |
| CN112351030B (zh) | 一种数据处理方法和计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181127 |