CN111416815B - 报文处理方法、电子设备和存储介质 - Google Patents

报文处理方法、电子设备和存储介质 Download PDF

Info

Publication number
CN111416815B
CN111416815B CN202010184845.6A CN202010184845A CN111416815B CN 111416815 B CN111416815 B CN 111416815B CN 202010184845 A CN202010184845 A CN 202010184845A CN 111416815 B CN111416815 B CN 111416815B
Authority
CN
China
Prior art keywords
electronic device
authentication
account
message
authentication role
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010184845.6A
Other languages
English (en)
Other versions
CN111416815A (zh
Inventor
陈振
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Sundray Technologies Co ltd
Original Assignee
Shenzhen Sundray Technologies Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Sundray Technologies Co ltd filed Critical Shenzhen Sundray Technologies Co ltd
Priority to CN202010184845.6A priority Critical patent/CN111416815B/zh
Publication of CN111416815A publication Critical patent/CN111416815A/zh
Application granted granted Critical
Publication of CN111416815B publication Critical patent/CN111416815B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种报文处理方法、电子设备和存储介质。其中,方法包括:接收第二电子设备发送的第一报文;基于所述第一报文,确定所述第二电子设备对应的第一认证角色和第三电子设备对应的第二认证角色;基于所述第一认证角色、所述第二认证角色和第一策略,判断是否允许建立所述第二电子设备和所述第三电子设备的通信连接,得到第一判断结果;根据所述第一判断结果,将所述第一报文发送给所述第三电子设备或拒绝将所述第一报文发送给所述第三电子设备。采用本发明的方案,能够实现局域网中各认证角色之间的访问控制,保护局域网中的网络资源不被滥用和泄露,并降低局域网用户中毒后对其他局域网用户和网络资源的影响,提升用户体验。

Description

报文处理方法、电子设备和存储介质
技术领域
本发明涉及通信领域,尤其涉及一种报文处理方法、电子设备和存储介质。
背景技术
一个内网(即局域网)中通常存在多个用户和大量的网络资源,一个局域网用户可以对其他局域网用户以及网络资源进行访问。然而,在相应局域网用户对其他局域网用户以及网络资源进行访问时,存在重要的网络资源被滥用和泄露的风险;同时,也可能会出现局域网用户中毒后对其他局域网用户和网络资源产生影响的问题。
发明内容
为解决相关技术问题,本发明实施例提供一种报文处理方法、电子设备和存储介质。
本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种报文处理方法,应用于第一电子设备,包括:
接收第二电子设备发送的第一报文;所述第一报文用于请求和第三电子设备建立通信连接;所述第二电子设备和所述第三电子设备接入同一局域网;
基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;所述认证角色表征相应设备对应的账户在所述局域网中的访问权限;
基于所述第一认证角色、所述第二认证角色和第一策略,判断是否允许建立所述第二电子设备和所述第三电子设备的通信连接,得到第一判断结果;所述第一策略包含各认证角色之间的互访规则;
根据所述第一判断结果,将所述第一报文发送给所述第三电子设备或拒绝将所述第一报文发送给所述第三电子设备。
上述方案中,在所述第一判断结果表征允许建立所述第二电子设备和所述第三电子设备的通信连接的情况下,将所述第一报文发送给所述第三电子设备,以供所述第三电子设备建立与所述第二电子设备的通信连接。
上述方案中,在所述第一判断结果表征不允许建立所述第二电子设备和所述第三电子设备的通信连接的情况下,发送第二报文给所述第二电子设备,以供所述第二电子设备禁止与所述第三电子设备的通信连接。
上述方案中,所述第一报文至少包含所述第二电子设备对应的第一媒体存取控制(MAC,Media Access Control)地址和所述第三电子设备对应的第二MAC地址;所述基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色,包括:
基于所述第一MAC地址、所述第二MAC地址和本地缓存的第二策略,确定所述第一MAC地址对应的第一账户和所述第二MAC地址对应的第二账户;所述第二策略包含各账户和各MAC地址之间的对应关系;
基于所述第一账户、所述第二账户和本地缓存的第三策略,确定所述第一账户对应的第一认证角色和所述第二账户对应的第二认证角色;所述第三策略包含各认证角色和各账户之间的对应关系。
上述方案中,所述方法还包括:
基于所述第二策略和所述第三策略未确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;
向所述局域网的服务器发送第一请求;所述第一请求用于在所述服务器中查询所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;
利用所述服务器基于所述第一请求所返回的第一结果,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;所述第一结果包含在所述服务器中查询得到的所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色。
上述方案中,所述方法还包括:
根据所述第一结果,更新本地缓存的第二策略和第三策略。
上述方案中,所述基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色,包括:
根据所述第一报文,判断所述第二电子设备对应的账户是否为已认证账户,得到第二判断结果;所述已认证账户为对应有认证角色的账户;
在所述第二判断结果表征所述第二电子设备对应的账户为已认证账户的情况下,基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色。
上述方案中,所述基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色,包括:
根据所述第一报文,判断所述第二电子设备对应的账户是否为已认证账户,得到第二判断结果;所述已认证账户为对应有认证角色的账户;
在所述第二判断结果表征所述第二电子设备对应的账户为未认证账户的情况下,将所述第二电子设备的流量重定向到所述局域网的服务器,以对所述第二电子设备对应的账户进行认证;
认证成功后基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色。
本发明实施例还提供了一种电子设备,包括:
接收单元,用于接收第二电子设备发送的第一报文;所述第一报文用于请求和第三电子设备建立通信连接;所述第二电子设备和所述第三电子设备接入同一局域网;
第一处理单元,用于基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;所述认证角色表征相应设备对应的账户在所述局域网中的访问权限;
第二处理单元,用于基于所述第一认证角色、所述第二认证角色和第一策略,判断是否允许建立所述第二电子设备和所述第三电子设备的通信连接,得到第一判断结果;所述第一策略包含各认证角色之间的互访规则;
第三处理单元,用于根据所述第一判断结果,将所述第一报文发送给所述第三电子设备或拒绝将所述第一报文发送给所述第三电子设备。
本发明实施例还提供了一种电子设备,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器;
其中,所述处理器用于运行所述计算机程序时,执行上述任一方法的步骤。
本发明实施例还提供了一种存储介质,所述介质存储有计算机程序,所述计算机程序被处理器执行时实现上述任一方法的步骤。
本发明实施例提供的报文处理方法、电子设备和存储介质,接收第二电子设备发送的第一报文;所述第一报文用于请求和第三电子设备建立通信连接;所述第二电子设备和所述第三电子设备接入同一局域网;基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;所述认证角色表征相应设备对应的账户在所述局域网中的访问权限;基于所述第一认证角色、所述第二认证角色和第一策略,判断是否允许建立所述第二电子设备和所述第三电子设备的通信连接,得到第一判断结果;所述第一策略包含各认证角色之间的互访规则;根据所述第一判断结果,将所述第一报文发送给所述第三电子设备或拒绝将所述第一报文发送给所述第三电子设备;如此,通过确定接收的报文的源电子设备和目的电子设备的认证角色,并基于预设的各认证角色之间的互访规则,将接收的报文发送给目的电子设备或拒绝将接收的报文发送给目的电子设备,能够实现局域网中各认证角色之间的访问控制,保护局域网中的网络资源不被滥用和泄露,并降低局域网用户中毒后对其他局域网用户和网络资源的影响,提升用户体验。
附图说明
图1为相关技术中接入层设备的保护区域和信任区域的划分示意图;
图2为相关技术中攻击者在白名单区域接入局域网的连接示意图;
图3为相关技术中安全系数较高的电子设备接入到信任区域的连接示意图;
图4为本发明实施例报文处理方法的流程示意图;
图5为本发明实施例得到第一判断结果的流程示意图;
图6为本发明实施例局域网中的信息交互流程示意图;
图7为本应用实施例的局域网结构示意图;
图8为本发明实施例电子设备的结构示意图;
图9为本发明实施例电子设备的硬件结构示意图。
具体实施方式
以下结合说明书附图及实施例对本发明的技术方案作进一步详细的阐述。
在对本发明实施例的技术方案进行详细说明之前,首先对相关技术中各局域网用户之间的访问控制方法存在的问题进行简单说明。
相关技术中,通常采用以下两种方式进行各局域网用户之间的访问控制:
方式一:通过配置交换机的访问控制列表(ACL,Access Control Lists)规则来实现网络流量控制,即实现各局域网用户之间的访问控制。
具体地,一个局域网用户对其他局域网用户以及网络资源的访问权限,通常与现实中相应局域网用户的职位、身份等角色相关,通过在ACL规则中配置各角色之间的互访规则,可以实现各局域网用户之间的访问控制。
然而,由于ACL规则是有限的硬件资源,无法可视化;因此,对ACL规则的管理难度较大;需要调整局域网用户的角色或调整一个角色的访问权限时,ACL规则的维护成本较高;并且,由于每条ACL规则只能匹配有限的角色,当角色种类的规模较大、各角色的访问权限较为复杂时,ACL规则无法满足配置各局域网用户之间的访问控制的需求。
方式二:基于局域网用户在局域网中的接入位置实现各局域网用户之间的访问控制。
具体地,在部署局域网时,通常根据实际的地理区域(比如各办公部门的工作区域、楼层等)划分局域网的接入层设备的区域;所述接入层设备可以是交换机或无线接入点(AP,Access Point),在所述接入层设备为交换机时,所述接入层设备的区域可以是交换机的端口的集合;在所述接入层设备为无线AP时,所述接入层设备的区域可以是无线AP的服务集标识(SSID,Service Set Indentifier)。每个局域网用户在通过接入层设备接入局域网时,会在用户终端上登录局域网的认证网页,通过用户身份(例如工号、手机号、公司授权的账号等)和密码进行用户终端的身份验证,在通过身份验证后,相应接入层设备会记录局域网用户接入局域网的区域,即局域网用户在局域网中的接入位置。如此,可以通过划分接入层设备的区域(例如白名单区域、黑名单区域、信任区域等),并配置各区域的访问权限,来进一步实现各局域网用户之间的访问控制。
举例来说,如图1所示,对于针对安全系数高的电子设备(例如管理员电子设备)的访问,可以将安全系数低(例如公共区域)的交换机端口或无线AP的SSID划分为保护区域,并将保护区域的访问权限设置为禁止通过,即为安全系数高的电子设备拦截所有来自保护区域的流量;对于保护区域中风险较低的电子设备(例如具备管理员权限的电子设备)的接入区,可以将其设置为保护区域中的白名单区域,并将白名单区域的访问权限设置为允许通过,即为安全系数高的电子设备放通来自保护区域中白名单区域的流量。而对于针对一般电子设备(例如普通职员的电子设备)的访问,可以将安全系数高(例如办公区域)的交换机端口或无线AP的SSID划分为信任区域,并将信任区域的访问权限设置为允许通过,即为一般电子设备放通所有来自信任区域的流量;对于信任区域中风险较高的电子设备(例如试用期职员的电子设备)的接入区,可以将其设置为信任区域中的黑名单区域,并将黑名单区域的访问权限设置为禁止通过,即为一般电子设备拦截来自信任区域中黑名单区域的流量;如此,可以实现各局域网用户之间的访问控制。
然而,方式二存在以下缺点:
第一,当网络结构需要调整时,需要对划分的接入层设备的区域和各区域的访问权限进行相应的调整。
第二,如图2所示,假设攻击者在白名单区域接入局域网,取得了安全系数高的电子设备的访问权限,此时,无法防御攻击者进行的网络攻击。
第三,如图3所示,假设安全系数高的局域网用户使用移动终端接入局域网,进入了安全系数低的无线AP的SSID中,此时,无法对安全系数高的局域网用户进行有效保护。
可见,采用以上两种方式进行各局域网用户之间的访问控制,依旧存在重要的网络资源被滥用和泄露的风险,并可能会出现局域网用户中毒后对其他局域网用户和网络资源产生影响的问题。
基于此,在本发明的各种实施例中,接入层设备确定接收的报文的源电子设备和目的电子设备的认证角色,并基于预设的各认证角色之间的互访规则,将接收的报文发送给目的电子设备或拒绝将接收的报文发送给目的电子设备,如此,能够实现局域网中各认证角色之间的访问控制,保护局域网中的网络资源不被滥用和泄露,并降低局域网用户中毒后对其他局域网用户和网络资源的影响,提升用户体验。
本发明实施例提供了一种报文处理方法,应用于第一电子设备,如图4所示,所述方法包括以下步骤:
步骤401:接收第二电子设备发送的第一报文;
这里,所述第一报文用于请求和第三电子设备建立通信连接;所述第二电子设备和所述第三电子设备接入同一局域网。
步骤402:基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;
这里,所述认证角色表征相应设备对应的账户在所述局域网中的访问权限。
步骤403:基于所述第一认证角色、所述第二认证角色和第一策略,判断是否允许建立所述第二电子设备和所述第三电子设备的通信连接,得到第一判断结果;
这里,所述第一策略包含各认证角色之间的互访规则。
步骤404:根据所述第一判断结果,将所述第一报文发送给所述第三电子设备或拒绝将所述第一报文发送给所述第三电子设备。
需要说明的是,在本发明的各种实施例中,所述第一电子设备为接入层设备,例如交换机或无线AP;所述第二电子设备(后续的描述中可以记作源电子设备)和所述第三电子设备(后续的描述中可以记作目的电子设备)为同一局域网中的用户终端,所述用户终端可以包括个人电脑(PC,Personal Computer)、手机等;所述PC可以包括台式电脑、笔记本电脑、平板电脑等。
在步骤401中,实际应用时,所述第一报文可以是传输控制协议(TCP,Transmission Control Protocol)的同步序列编号(SYN,Synchronize SequenceNumbers)报文,即所述第一报文用于建立所述第二电子设备和所述第三电子设备的TCP连接。
在步骤402中,实际应用时,如果基于局域网用户在局域网中的接入位置确定局域网用户的角色,会出现用户终端在不同的交换机端口或无线AP的SSID之间迁移导致的安全问题;因此,可以利用局域网用户在接入局域网时使用的账户(例如工号、手机号、公司授权的账号等),基于预先设定的“账户-认证角色”关联策略,对相应用户终端的MAC地址和相应用户终端的认证角色进行绑定;如此,即便用户终端在不同的交换机端口或无线AP的SSID之间进行了迁移,由于用户终端的MAC地址是固定且唯一的,所以用户终端对应的认证角色也不会发生改变;这样,能够保护局域网中的网络资源不被滥用和泄露,并降低局域网用户中毒后对其他局域网用户和网络资源的影响,提升用户体验。
基于此,在一实施例中,所述第一报文至少包含所述第二电子设备对应的第一MAC地址和所述第三电子设备对应的第二MAC地址;所述基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色,可以包括:
基于所述第一MAC地址、所述第二MAC地址和本地缓存的第二策略,确定所述第一MAC地址对应的第一账户和所述第二MAC地址对应的第二账户;所述第二策略包含各账户和各MAC地址之间的对应关系;
基于所述第一账户、所述第二账户和本地缓存的第三策略,确定所述第一账户对应的第一认证角色和所述第二账户对应的第二认证角色;所述第三策略包含各认证角色和各账户之间的对应关系。
具体地,在局域网用户通过用户终端接入局域网时,局域网的服务器会在用户终端上提供身份认证网页,局域网用户可以在身份认证网页中输入账户和密码供所述服务器进行身份认证;所述服务器对局域网用户进行身份认证后,可以基于第四策略(即局域网的管理员根据需要预先设置的“账户-认证角色”关联策略)为相应局域网用户分配一个认证角色(例如经理、组长、普通职员等),每个局域网用户对应的认证角色可以相同或不同,每个认证角色对应有不同的针对局域网中的网络资源的访问权限;在所述服务器为相应局域网用户分配认证角色后,可以利用相应局域网用户的账户对相应用户终端的MAC地址和相应用户终端的认证角色进行绑定;并在本地数据库中存储相应局域网用户的“MAC地址-账户”的对应关系和“账户-角色”的对应关系(后续的描述中记作相应局域网用户的相关信息);之后,将存储的相应局域网用户的相应局域网用户的“MAC地址-账户”的对应关系(即所述第二策略)和“账户-角色”的对应关系(即所述第三策略)发送给接入层设备。
实际应用时,所述第四策略以及每个认证角色在局域网中的访问权限可以由局域网的管理员根据需要设置。比如,可以将安全系数较低的局域网用户(例如普通职员)认证为观察角色,并将观察角色在局域网中的访问权限设定为一级(比如仅能够访问局域网中被设定为一级的网络资源);再比如,可以将安全系数较高的局域网用户(例如经理)认证为保护角色,并将保护角色在局域网中的访问权限设定为二级(比如能够访问局域网中被设定为一级和二级的网络资源)。
实际应用时,由于局域网用户较多,局域网的服务器存储的数据量较大(即数据库中存储的相应局域网用户的相关信息数据量较大),为了节约接入层设备的存储资源,可以使所述服务器仅发送一部分局域网用户的相关信息(具体发送哪些局域网用户的相关信息可以由局域网的管理员根据需要设置)给接入层设备;接入层设备将接收的局域网用户的相关信息(即所述第二策略和所述第三策略)存储在缓存中,并基于所述第二策略和所述第三策略确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;在接入层设备基于所述第二策略和所述第三策略未确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色的情况下,接入层设备可以向所述服务器发送查询请求,以确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色。
基于此,在一实施例中,所述方法还可以包括:
基于所述第二策略和所述第三策略未确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;
向所述局域网的服务器发送第一请求;所述第一请求用于在所述服务器中查询所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;
利用所述服务器基于所述第一请求所返回的第一结果,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;所述第一结果包含在所述服务器中查询得到的所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色。
实际应用时,接入层设备还可以根据在所述服务器查询得到的结果更新自身缓存的第二策略和第三策略,以在对后续接收的报文进行处理时减少处理时延。
基于此,在一实施例中,所述方法还可以包括:
根据所述第一结果,更新本地缓存的第二策略和第三策略。
在步骤402中,实际应用时,在确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色之前,需要先判断所述第二电子设备对应的账户是否为已认证账户,在所述第二电子设备对应的账户为已认证账户的情况下,再基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色。
基于此,在一实施例中,所述基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色,可以包括:
根据所述第一报文,判断所述第二电子设备对应的账户是否为已认证账户,得到第二判断结果;所述已认证账户为对应有认证角色的账户;
在所述第二判断结果表征所述第二电子设备对应的账户为已认证账户的情况下,基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色。
实际应用时,在所述第二电子设备对应的账户为已认证账户的情况下,需要劫持所述第一报文,再基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色。这里,劫持所述第一报文的含义是:相关技术中,接入层设备接收源电子设备发送的报文后,会将报文转发给相应的目的电子设备,而在本发明实施例中,在接入层设备将报文转发给相应的目的电子设备之前,需要从报文转发进程中获取(即劫持)待转发的报文,以在转发待转发的报文之前基于待转发的报文执行步骤402至步骤404。
实际应用时,可以利用软件(例如预先编写的程序)劫持所述第一报文。
实际应用时,如果所述第二电子设备对应的账户为未认证账户,需要将所述第二电子设备的流量重定向到所述局域网的服务器,在所述服务器为所述第二电子设备分配认证角色(即认证成功)后,再基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色。
基于此,在一实施例中,所述基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色,还可以包括:
根据所述第一报文,判断所述第二电子设备对应的账户是否为已认证账户,得到第二判断结果;所述已认证账户为对应有认证角色的账户;
在所述第二判断结果表征所述第二电子设备对应的账户为未认证账户的情况下,将所述第二电子设备的流量重定向到所述局域网的服务器,以对所述第二电子设备对应的账户进行认证;
认证成功后基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色。
实际应用时,可以根据需要设置判断所述第二电子设备对应的账户是否为已认证账户的方式。比如,可以在接入层设备中缓存一个已认证MAC地址列表,所述已认证MAC地址列表中的MAC地址为已认证账户对应的MAC地址;接入层设备接收到所述第一报文后,可以根据所述第一报文确定所述第二电子设备对应的MAC地址,再判断所述已认证MAC地址列表中是否存在所述第二电子设备对应的MAC地址,若存在,则可以确定所述第二电子设备对应的账户为已认证账户,此时,需要劫持所述第一报文,并基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;若不存在,则可以确定所述第二电子设备对应的账户为未认证账户,此时,需要将所述第二电子设备的流量重定向到所述局域网的服务器,以对所述第二电子设备对应的账户进行认证,认证成功后,重新接收所述第一报文,根据所述第一报文,判断所述第二电子设备对应的账户为已认证账户,并劫持所述第一报文,基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色。再比如,可以先利用所述第二策略和所述第三策略判断所述第二电子设备对应的账户是否为已认证账户,在利用所述第二策略和所述第三策略未确定所述第二电子设备对应的账户是否为已认证账户的情况下,再向局域网的服务器发送查询请求,以确定所述第二电子设备对应的账户是否为已认证账户;当然,也可以不利用所述第二策略和所述第三策略,直接向所述服务器发送查询请求,以确定所述第二电子设备对应的账户是否为已认证账户。
在步骤403中,实际应用时,所述第一策略可以是局域网的管理员在局域网的服务器中配置的信息,所述服务器将所述第一策略发送给接入层设备;所述接入层设备再将所述第一策略缓存在本地;如此,能够节约接入层设备的硬件ACL资源。
实际应用时,所述第一策略可以由局域网的管理员根据需要设置。比如,在将局域网用户认证为观察角色、保护角色等角色后,可以将局域网中的所有观察角色划分为观察角色组,将局域网中的所有保护角色划分为保护角色组;并将第一策略配置为:所有局域网用户都可以和观察角色组中的局域网用户互相访问;除保护角色组中的局域网用户外的其他局域网用户都不可以和保护角色组中的局域网用户互相访问。此时,如果管理员想要禁止某一个特定角色组(例如实习生角色组)中的局域网用户和观察角色组中的局域网用户互相访问,可以将实习生角色组添加到观察角色组的黑名单中,即阻断实习生角色组中的局域网用户访问观察角色组中的局域网用户的流量;同时,如果管理员想要放通某一个特定角色组(例如总经理角色组)中的局域网用户和保护角色组中的局域网用户互相访问,可以将总经理角色组添加到保护角色组的白名单中,即放通总经理角色组中的局域网用户访问保护角色组中的局域网用户的流量。
实际应用时,所述第一策略可以体现为任意形式(比如文字或表格);如图5所示,图5为本发明实施例得到第一判断结果的流程示意图,图5中的第一策略体现为表格。在所述第二电子设备对应的账户为已认证账户的情况下,接入层设备劫持需要转发给所述第三电子设备的第一报文(所述第一报文可以是握手报文),基于所述第一报文,先确定所述第二电子设备对应的第一MAC地址和所述第三电子设备对应的第二MAC地址,再确定所述第一MAC地址对应的第一账户和所述第二MAC地址对应的第二账户,并确定所述第一账户对应的第一认证角色和所述第二账户对应的第二认证角色,最后,基于所述第一认证角色、所述第二认证角色和第一策略,判断是否允许建立所述第二电子设备和所述第三电子设备的通信连接,得到第一判断结果。以图5所示的第一策略为例,局域网用户被划分为四种角色:角色1、角色2、角色3和角色4;被认证为各个角色的局域网用户可以基于图5所示的第一策略确定是否允许建立两个用户终端之间的通信连接;比如,在源电子设备对应的认证角色为角色1,目的电子设备对应的认证角色为角色2的情况下,第一策略中的互访规则为“丢弃”,即不允许建立源电子设备和目的电子设备之间的通信连接;再比如,在源电子设备对应的认证角色为角色4,目的电子设备对应的认证角色也为角色4的情况下,第一策略中的互访规则为“转发”,即允许建立源电子设备和目的电子设备之间的通信连接。
在步骤404中,实际应用时,在所述第一判断结果表征允许建立所述第二电子设备和所述第三电子设备的通信连接的情况下,将所述第一报文发送给所述第三电子设备,以供所述第三电子设备建立与所述第二电子设备的通信连接。
具体地,如图6所示,所述第一报文可以是TCP的SYN报文,即所述第一报文用于建立所述第二电子设备和所述第三电子设备的TCP连接;在建立TCP连接的过程中,需要所述第二电子设备向所述第三电子设备发送三次握手报文,通过控制第一个握手报文(即所述第一报文)的丢弃与转发,可以实现TCP的访问控制,即允许建立TCP连接或不允许建立TCP连接。在不允许建立TCP连接的情况下,为了避免被阻断的TCP连接耗费所述第二电子设备的系统资源,接入层设备可以向所述第二电子设备发送TCP的RST(Reset)报文,以关闭所述第二电子设备的TCP连接,释放所述第二电子设备的系统资源。
基于此,在一实施例中,在所述第一判断结果表征不允许建立所述第二电子设备和所述第三电子设备的通信连接的情况下,发送第二报文给所述第二电子设备,以供所述第二电子设备禁止与所述第三电子设备的通信连接。
这里,所述第二报文可以是TCP的RST报文,所述第二电子设备在接收到TCP的RST报文后,会关闭TCP连接,并释放自身的系统资源。
实际应用时,为了方便局域网的管理员对局域网中的配置信息进行浏览和管理,接入层设备可以按预设周期向局域网的服务器发送第一报文的发送记录和第二报文的发送记录,以供所述服务器通过自身具备的人机交互界面或与自身建立有通信连接的人机交互界面呈现第一报文的发送记录和第二报文的发送记录,所述服务器还可以在所述人机交互界面中呈现局域网用户的相关信息以及第一策略;如此,可以实现局域网中配置信息的可视化管理,提升用户体验。
基于此,在一实施例中,所述方法还可以包括:
将预设第一时间范围内的第二结果发送给所述局域网的服务器,以供所述服务器呈现所述第二结果;所述第二结果包含第一记录和第二记录;所述第一记录为将所述第一报文转发给所述第三电子设备的记录;所述第二记录为发送所述第二报文给所述第二电子设备的记录。
实际应用时,所述第一时间范围可以由局域网的管理员根据需要设置。
本发明实施例提供的报文处理方法,接收第二电子设备发送的第一报文;所述第一报文用于请求和第三电子设备建立通信连接;所述第二电子设备和所述第三电子设备接入同一局域网;基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;所述认证角色表征相应设备对应的账户在所述局域网中的访问权限;基于所述第一认证角色、所述第二认证角色和第一策略,判断是否允许建立所述第二电子设备和所述第三电子设备的通信连接,得到第一判断结果;所述第一策略包含各认证角色之间的互访规则;根据所述第一判断结果,将所述第一报文发送给所述第三电子设备或拒绝将所述第一报文发送给所述第三电子设备;如此,能够实现局域网中各认证角色之间的访问控制,保护局域网中的网络资源不被滥用和泄露,并降低局域网用户中毒后对其他局域网用户和网络资源的影响,提升用户体验。
下面结合应用实施例对本发明再作进一步详细的描述。
图7为本应用实施例的局域网结构示意图,如图7所示,在本应用实施例的局域网中,服务器701包括配置模块7011、用户信息汇总模块7012和认证模块7013;每个接入层设备702(交换机或无线AP)包括流量重定向模块7021、TCP握手报文劫持模块7022和MAC-用户-角色信息缓存模块7023;其中,
所述配置模块7011,用于供局域网的管理员配置认证角色之间的互访规则(即上述第一策略),并将管理员配置的认证角色之间的互访规则发送至每个接入层设备702的TCP握手报文劫持模块7022。
所述用户信息汇总模块7012,用于存储全部局域网用户的相关信息,所述全部局域网用户的相关信息为用户终端的MAC地址、用户以及认证角色的对应关系(即上述第二策略和第三策略);所述全部局域网用户的相关信息包括认证模块7013发送的用户相关信息以及每个接入层设备702的MAC-用户-角色信息缓存模块7023发送的用户相关信息(即上述第一结果);用户信息汇总模块7012还用于存储每个接入层设备702的TCP握手报文劫持模块7022上报的连接控制记录(即上述第二结果);并通过网页将存储的数据呈现给用户(或局域网的管理员)。
所述认证模块7013,用于为局域网用户提供身份认证网页,并为局域网用户划分认证角色;还用于将确定的用户终端的MAC地址、用户以及认证角色的对应关系存储到用户信息汇总模块7012。
所述流量重定向模块7021,用于对局域网用户的报文进行流量重定向,如果确定相应局域网用户为未认证用户,会将所述相应局域网用户的流量重定向到所述服务器701的认证模块7013,以使所述相应局域网用户通过在身份认证网页中输入账号(例如用户名)和密码完成身份认证;如果确定相应局域网用户为已认证用户,为TCP握手报文劫持模块7022提供局域网用户的报文(即TCP握手报文劫持模块7022劫持局域网用户的报文)。这里,如果接入层设备702为交换机,所述流量重定向模块7021可以体现为硬件ACL资源;如果接入层设备702为无线AP,所述流量重定向模块7021可以体现为转发数据面。
所述TCP握手报文劫持模块7022,用于从流量重定向模块7021劫持源电子设备703和目的电子设备704第一次握手的TCP-SYN报文,根据TCP-SYN报文向MAC-用户-角色信息缓存模块7023查询源电子设备703对应的认证角色和目的电子设备704对应的认证角色(如果在MAC-用户-角色信息缓存模块7023未查询到源电子设备703对应的认证角色和目的电子设备704对应的认证角色,TCP握手报文劫持模块7022可以向用户信息汇总模块7012查询源电子设备703对应的认证角色和目的电子设备704对应的认证角色,并将查询结果存储到MAC-用户-角色信息缓存模块7023);并利用预先定义的认证角色之间的互访规则(即局域网的管理员在所述配置模块中配置的规则,所述服务器将所述配置模块中的规则下发到每个接入层设备的TCP握手报文劫持模块),放通或阻断劫持的TCP-SYN报文,即转发TCP-SYN报文给目的电子设备704或丢弃TCP-SYN报文。
所述MAC-用户-角色信息缓存模块7023,用于缓存局域网用户终端的MAC地址、用户以及认证角色的对应关系。
基于图7所示的局域网结构,本应用实施例还提供了一种报文处理方法,所述方法包括以下步骤:
步骤1:接收用户报文,对用户报文进行重定向;之后执行步骤2。
具体地,由所述流量重定向模块7021对接收的局域网用户的报文(即上述第一报文)进行重定向,如果确定相应局域网用户为未认证用户,将所述相应局域网用户的流量重定向到所述服务器的认证模块7013;如果确定相应局域网用户为已认证用户,则由TCP握手报文劫持模块7022劫持用户报文,以执行后续步骤。
步骤2:基于用户报文,确定用户报文对应的源电子设备的认证角色和目的电子设备的认证角色;并根据预先定义的认证角色之间的互访规则,放通或阻断用户报文。
具体地,由TCP握手报文劫持模块7022向MAC-用户-角色信息缓存模块7023查询源电子设备703对应的认证角色和目的电子设备704对应的认证角色;并利用预先定义的认证角色之间的互访规则(即局域网的管理员在所述配置模块中配置的规则,所述服务器将所述配置模块中的规则下发到每个接入层设备的TCP握手报文劫持模块),放通或阻断劫持的TCP-SYN报文,即转发TCP-SYN报文给目的电子设备704或丢弃TCP-SYN报文;在丢弃TCP-SYN报文的同时,TCP握手报文劫持模块7022需要向源电子设备703发送TCP-RST报文,以使源电子设备703关闭TCP连接,释放系统资源。
这里,步骤1和步骤2的具体实现过程与图4所示的报文处理方法中步骤401至步骤404的具体实现过程相同,这里不多赘述。
本应用实施例提供的局域网结构以及报文处理方法,具备以下优点:
第一,基于全局域网的接入层设备(交换机和无线AP)对局域网用户进行角色认证,通过软件劫持再转发TCP握手报文,实现认证角色之间的访问控制,减少了交换机硬件ACL的资源占用。
第二,通过认证角色之间的互访规则实现认证角色之间的访问控制,使得局域网用户在任意接入位置时的访问权限一致。
为了实现本发明实施例的方法,本发明实施例还提供了一种电子设备;如图8所示,电子设备800包括接收单元801、第一处理单元802、第二处理单元803和第三处理单元804;其中,
所述接收单元801,用于接收第二电子设备发送的第一报文;所述第一报文用于请求和第三电子设备建立通信连接;所述第二电子设备和所述第三电子设备接入同一局域网;
所述第一处理单元802,用于基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;所述认证角色表征相应设备对应的账户在所述局域网中的访问权限;
所述第二处理单元803,用于基于所述第一认证角色、所述第二认证角色和第一策略,判断是否允许建立所述第二电子设备和所述第三电子设备的通信连接,得到第一判断结果;所述第一策略包含各认证角色之间的互访规则;
所述第三处理单元804,用于根据所述第一判断结果,将所述第一报文发送给所述第三电子设备或拒绝将所述第一报文发送给所述第三电子设备。
在一实施例中,所述第三处理单元804,用于:
在所述第一判断结果表征允许建立所述第二电子设备和所述第三电子设备的通信连接的情况下,将所述第一报文发送给所述第三电子设备,以供所述第三电子设备建立与所述第二电子设备的通信连接。
在一实施例中,所述第三处理单元804,还用于:
在所述第一判断结果表征不允许建立所述第二电子设备和所述第三电子设备的通信连接的情况下,发送第二报文给所述第二电子设备,以供所述第二电子设备禁止与所述第三电子设备的通信连接。
在一实施例中,所述第一报文至少包含所述第二电子设备对应的第一MAC地址和所述第三电子设备对应的第二MAC地址;所述第一处理单元802,具体用于:
基于所述第一MAC地址、所述第二MAC地址和本地缓存的第二策略,确定所述第一MAC地址对应的第一账户和所述第二MAC地址对应的第二账户;所述第二策略包含各账户和各MAC地址之间的对应关系;
基于所述第一账户、所述第二账户和本地缓存的第三策略,确定所述第一账户对应的第一认证角色和所述第二账户对应的第二认证角色;所述第三策略包含各认证角色和各账户之间的对应关系。
在一实施例中,所述第一处理单元802,还用于:
基于所述第二策略和所述第三策略未确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;
向所述局域网的服务器发送第一请求;所述第一请求用于在所述服务器中查询所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;
利用所述服务器基于所述第一请求所返回的第一结果,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;所述第一结果包含在所述服务器中查询得到的所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色。
在一实施例中,所述第一处理单元802,还用于:
根据所述第一结果,更新本地缓存的第二策略和第三策略。
在一实施例中,所述第一处理单元802,还用于:
根据所述第一报文,判断所述第二电子设备对应的账户是否为已认证账户,得到第二判断结果;所述已认证账户为对应有认证角色的账户;
在所述第二判断结果表征所述第二电子设备对应的账户为已认证账户的情况下,基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色。
在一实施例中,所述第一处理单元802,还用于:
根据所述第一报文,判断所述第二电子设备对应的账户是否为已认证账户,得到第二判断结果;所述已认证账户为对应有认证角色的账户;
在所述第二判断结果表征所述第二电子设备对应的账户为未认证账户的情况下,将所述第二电子设备的流量重定向到所述局域网的服务器,以对所述第二电子设备对应的账户进行认证;
认证成功后基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色。
其中,所述接收单元801、所述第一处理单元802、所述第二处理单元803和所述第三处理单元804的功能相当于本发明应用实施例中流量重定向模块7021、TCP握手报文劫持模块7022和MAC-用户-角色信息缓存模块7023的功能。
实际应用时,所述接收单元801、所述第一处理单元802、所述第二处理单元803和所述第三处理单元804可由电子设备800中的处理器结合通信接口实现;所述处理器可以是中央处理器(CPU,Central Processing Unit)、数字信号处理器(DSP,Digital SignalProcessor)、微控制单元(MCU,Microcontroller Unit)或可编程门阵列(FPGA,Field-Programmable Gate Array)。
需要说明的是:上述实施例提供的电子设备800在进行报文处理时,仅以上述各程序模块的划分进行举例说明,实际应用时,可以根据需要而将上述处理分配由不同的程序模块完成,即将终端的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的装置与数据检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述设备的硬件实现,本发明实施例还提供了一种电子设备,图9为本发明实施例的电子设备的硬件组成结构示意图,如图9所示,电子设备90包括存储器93、处理器92及存储在存储器93上并可在处理器92上运行的计算机程序;所述处理器92执行所述程序时实现上述一个或多个技术方案提供的方法。
具体地,所述处理器92执行所述程序时实现:接收第二电子设备发送的第一报文;所述第一报文用于请求和第三电子设备建立通信连接;所述第二电子设备和所述第三电子设备接入同一局域网;基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;所述认证角色表征相应设备对应的账户在所述局域网中的访问权限;基于所述第一认证角色、所述第二认证角色和第一策略,判断是否允许建立所述第二电子设备和所述第三电子设备的通信连接,得到第一判断结果;所述第一策略包含各认证角色之间的互访规则;根据所述第一判断结果,将所述第一报文发送给所述第三电子设备或拒绝将所述第一报文发送给所述第三电子设备。
需要说明的是,所述处理器92执行所述程序时实现的具体步骤已在上文详述,这里不再赘述。
可以理解,电子设备90还包括通信接口91,所述通信接口91用于和其它设备进行信息交互;同时,电子设备90中的各个组件通过总线系统94耦合在一起。可理解,总线系统94配置为实现这些组件之间的连接通信。总线系统94除包括数据总线之外,还包括电源总线、控制总线和状态信号总线等。
可以理解,本实施例中的存储器93可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,ReadOnly Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,RandomAccess Memory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
上述本发明实施例揭示的方法可以应用于处理器92中,或者由处理器92实现。处理器92可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器92中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器92可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器92可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器,处理器92读取存储器中的信息,结合其硬件完成前述方法的步骤。
本发明实施例还提供了一种存储介质,具体为计算机存储介质,更具体地为计算机可读存储介质。其上存储有计算机指令,即计算机程序,该计算机指令被处理器执行时上述一个或多个技术方案提供的方法。
在本发明所提供的几个实施例中,应该理解到,所揭露的方法和智能设备,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是:“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
另外,本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。

Claims (11)

1.一种报文处理方法,其特征在于,应用于第一电子设备,包括:
接收第二电子设备发送的第一报文;所述第一报文用于请求和第三电子设备建立通信连接;所述第二电子设备和所述第三电子设备接入同一局域网;
基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;所述认证角色表征相应设备对应的账户在所述局域网中的访问权限;
基于所述第一认证角色、所述第二认证角色和第一策略,判断是否允许建立所述第二电子设备和所述第三电子设备的通信连接,得到第一判断结果;所述第一策略包含各认证角色之间的互访规则;
根据所述第一判断结果,将所述第一报文发送给所述第三电子设备或拒绝将所述第一报文发送给所述第三电子设备;其中,
所述第一电子设备为接入层设备。
2.根据权利要求1所述的方法,其特征在于,在所述第一判断结果表征允许建立所述第二电子设备和所述第三电子设备的通信连接的情况下,将所述第一报文发送给所述第三电子设备,以供所述第三电子设备建立与所述第二电子设备的通信连接。
3.根据权利要求1所述的方法,其特征在于,在所述第一判断结果表征不允许建立所述第二电子设备和所述第三电子设备的通信连接的情况下,发送第二报文给所述第二电子设备,以供所述第二电子设备禁止与所述第三电子设备的通信连接。
4.根据权利要求1所述的方法,其特征在于,所述第一报文至少包含所述第二电子设备对应的第一媒体存取控制MAC地址和所述第三电子设备对应的第二MAC地址;所述基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色,包括:
基于所述第一MAC地址、所述第二MAC地址和本地缓存的第二策略,确定所述第一MAC地址对应的第一账户和所述第二MAC地址对应的第二账户;所述第二策略包含各账户和各MAC地址之间的对应关系;
基于所述第一账户、所述第二账户和本地缓存的第三策略,确定所述第一账户对应的第一认证角色和所述第二账户对应的第二认证角色;所述第三策略包含各认证角色和各账户之间的对应关系。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
基于所述第二策略和所述第三策略未确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;
向所述局域网的服务器发送第一请求;所述第一请求用于在所述服务器中查询所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;
利用所述服务器基于所述第一请求所返回的第一结果,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;所述第一结果包含在所述服务器中查询得到的所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
根据所述第一结果,更新本地缓存的第二策略和第三策略。
7.根据权利要求1至6任一项所述的方法,其特征在于,所述基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色,包括:
根据所述第一报文,判断所述第二电子设备对应的账户是否为已认证账户,得到第二判断结果;所述已认证账户为对应有认证角色的账户;
在所述第二判断结果表征所述第二电子设备对应的账户为已认证账户的情况下,基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色。
8.根据权利要求1至6任一项所述的方法,其特征在于,所述基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色,包括:
根据所述第一报文,判断所述第二电子设备对应的账户是否为已认证账户,得到第二判断结果;所述已认证账户为对应有认证角色的账户;
在所述第二判断结果表征所述第二电子设备对应的账户为未认证账户的情况下,将所述第二电子设备的流量重定向到所述局域网的服务器,以对所述第二电子设备对应的账户进行认证;
认证成功后基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色。
9.一种电子设备,其特征在于,包括:
接收单元,用于接收第二电子设备发送的第一报文;所述第一报文用于请求和第三电子设备建立通信连接;所述第二电子设备和所述第三电子设备接入同一局域网;
第一处理单元,用于基于所述第一报文,确定所述第二电子设备对应的第一认证角色和所述第三电子设备对应的第二认证角色;所述认证角色表征相应设备对应的账户在所述局域网中的访问权限;
第二处理单元,用于基于所述第一认证角色、所述第二认证角色和第一策略,判断是否允许建立所述第二电子设备和所述第三电子设备的通信连接,得到第一判断结果;所述第一策略包含各认证角色之间的互访规则;
第三处理单元,用于根据所述第一判断结果,将所述第一报文发送给所述第三电子设备或拒绝将所述第一报文发送给所述第三电子设备;其中,
所述电子设备为接入层设备。
10.一种电子设备,其特征在于,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器;
其中,所述处理器用于运行所述计算机程序时,执行权利要求1至8任一项所述方法的步骤。
11.一种存储介质,所述介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8任一项所述方法的步骤。
CN202010184845.6A 2020-03-17 2020-03-17 报文处理方法、电子设备和存储介质 Active CN111416815B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010184845.6A CN111416815B (zh) 2020-03-17 2020-03-17 报文处理方法、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010184845.6A CN111416815B (zh) 2020-03-17 2020-03-17 报文处理方法、电子设备和存储介质

Publications (2)

Publication Number Publication Date
CN111416815A CN111416815A (zh) 2020-07-14
CN111416815B true CN111416815B (zh) 2022-06-17

Family

ID=71492976

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010184845.6A Active CN111416815B (zh) 2020-03-17 2020-03-17 报文处理方法、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN111416815B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112565182B (zh) * 2020-10-28 2023-06-27 锐捷网络股份有限公司 数据处理方法、系统、电子设备及网关设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102546522A (zh) * 2010-12-08 2012-07-04 上海熠傲信息科技有限公司 一种内网安全系统及其实现方法
CN105391634A (zh) * 2015-12-08 2016-03-09 福建星网锐捷网络有限公司 一种报文处理方法、装置及交换机
CN106341399A (zh) * 2016-08-29 2017-01-18 锐捷网络股份有限公司 一种用户访问的控制方法及系统
CN109688100A (zh) * 2018-09-07 2019-04-26 平安科技(深圳)有限公司 Nat穿透方法、装置、设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8862178B2 (en) * 2010-02-24 2014-10-14 Qualcomm Incorporated Methods and systems for managing participation in multiple wireless networks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102546522A (zh) * 2010-12-08 2012-07-04 上海熠傲信息科技有限公司 一种内网安全系统及其实现方法
CN105391634A (zh) * 2015-12-08 2016-03-09 福建星网锐捷网络有限公司 一种报文处理方法、装置及交换机
CN106341399A (zh) * 2016-08-29 2017-01-18 锐捷网络股份有限公司 一种用户访问的控制方法及系统
CN109688100A (zh) * 2018-09-07 2019-04-26 平安科技(深圳)有限公司 Nat穿透方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN111416815A (zh) 2020-07-14

Similar Documents

Publication Publication Date Title
US10652226B2 (en) Securing communication over a network using dynamically assigned proxy servers
US6622220B2 (en) Security-enhanced network attached storage device
US6199113B1 (en) Apparatus and method for providing trusted network security
CN113949573A (zh) 一种零信任的业务访问控制系统及方法
CN109067937B (zh) 终端准入控制方法、装置、设备、系统及存储介质
KR101910605B1 (ko) 무선 단말의 네트워크 접속 제어 시스템 및 방법
US20200311277A1 (en) Method, system and device for security configurations
US20050138417A1 (en) Trusted network access control system and method
CN109756915B (zh) 一种无线网络管理方法及系统
US20040022258A1 (en) System for providing access control platform service for private networks
CN102739664B (zh) 提高网络身份认证安全性的方法和装置
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
CN110855709A (zh) 安全接入网关的准入控制方法、装置、设备和介质
US11706628B2 (en) Network cyber-security platform
WO2017219748A1 (zh) 访问权限的确定、页面的访问方法及装置
CN111416815B (zh) 报文处理方法、电子设备和存储介质
KR101993860B1 (ko) 네트워크 접속 제어 시스템 및 방법
KR20220121045A (ko) 에지 컴퓨팅 시스템 그리고 이의 네트워크 접근 제어 방법
CN115795493A (zh) 访问控制策略部署方法和相关装置、以及访问控制系统
KR101160903B1 (ko) 네트워크 식별자 분류 시스템 및 그 방법
CN115134175B (zh) 一种基于授权策略的安全通讯方法及装置
CN114124523B (zh) 一种零信任与网络诱捕相结合的网络防御系统及方法
US20240107294A1 (en) Identity-Based Policy Enforcement for SIM Devices
KR20170044835A (ko) 802.1x 기반 동적 호스트 접근통제 시스템 및 방법
CN117118712A (zh) 云手机网络访问控制方法、装置、云手机以及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant