CN112995179A - 一种应答报文处理方法及设备 - Google Patents
一种应答报文处理方法及设备 Download PDFInfo
- Publication number
- CN112995179A CN112995179A CN202110213182.0A CN202110213182A CN112995179A CN 112995179 A CN112995179 A CN 112995179A CN 202110213182 A CN202110213182 A CN 202110213182A CN 112995179 A CN112995179 A CN 112995179A
- Authority
- CN
- China
- Prior art keywords
- user
- terminal
- message
- local area
- area network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书提供一种应答报文处理方法,权限管理设备会保存用户标识与报文处理策略的对应关系,并配置用于权限管理设备与局域网服务器之间的交互的聚合组的ACL规则为转发所有报文。权限管理设备的逻辑芯片在用户的身份认证通过后,会从认证请求报文中提取能够唯一表征终端的终端标识,并与该用户的用户标识绑定。当逻辑芯片接收到应答报文,根据应答报文中的终端标识先确定该应答报文对应的用户标识,再根据用户标识确定该应答报文的报文处理策略。如此,便可实现针对不同的用户执行不同报文处理策略的目的,且保留权限管理设备与局域网服务器之间的带宽。
Description
技术领域
本说明书涉及计算机领域,尤其涉及一种应答报文处理方法及设备。
背景技术
企业的局域网中一般部署有局域网服务器、权限管理设备与多个终端。用户可以通过某个终端向权限管理设备发送登录请求报文,权限管理设备根据登录请求报文,对该用户进行身份验证通过后,对该终端进行认证,即允许该终端发起用于访问局域网服务器的访问请求报文。
该用户需要访问局域网服务器时,需要通过该认证的终端将访问请求报文发送给权限管理设备,权限管理设备的交换芯片通过聚合口(为了提升带宽,将一组物理口进行聚合而得到的逻辑上的端口)将该访问请求报文进一步发送给局域网服务器;之后,权限管理设备的交换芯片再通过该聚合口从局域网服务器接收针对该访问请求报文的响应报文,并决定是否将该响应报文进一步反馈给该用户。
在业务需求上,往往希望权限管理设备可以基于用户的用户权限来决定是否将响应报文进一步反馈该用户使用的认证终端。然而,利用现有的为聚合口配置访问控制列表(Access Control Lists,ACL)规则的方式,无法满足上述业务需求。
发明内容
为满足上述业务需求,本说明书提供了一种应答报文处理方法及设备。
本说明提供了一种应答报文处理方法,应用于局域网的权限管理设备,所述局域网还包括局域网服务器、多个终端;所述权限管理设备包括逻辑芯片与交换芯片;所述交换芯片具有聚合口,并通过所述聚合口实现所述权限管理设备与所述局域网服务器之间的交互;配置所述聚合口的ACL规则为转发所有报文;所述逻辑芯片预先针对每个用户,保存该用户的用户标识与该用户的报文处理策略的对应关系;该用户的报文处理策略由该用户的权限决定;
所述方法包括:
所述逻辑芯片根据任一用户通过终端发送的认证请求报文,对该任一用户进行身份认证;认证通过后,从所述认证请求报文中提取终端标识,并建立所述终端标识与该任一用户的用户标识的绑定关系;
认证通过后,所述交换芯片将所述权限管理设备接收的,由所述终端发送的访问请求报文,通过所述聚合口发送至所述局域网服务器;
所述交换芯片通过所述聚合口接收所述局域网服务器返回的应答报文,并匹配ACL规则;ACL规则匹配成功后,将所述应答报文转发至所述逻辑芯片;
所述逻辑芯片提取所述应答报文中所携带的终端标识,并确定与该终端标识绑定的用户标识;查询与确定的用户标识对应的报文处理策略,并根据该报文处理策略对所述应答报文执行转发处理或丢弃处理。
本说明还提供了一种权限管理设备,与所述权限管理设备处于同一局域网的还有局域网服务器、多个终端;所述权限管理设备包括逻辑芯片与交换芯片;所述交换芯片具有聚合口,并通过所述聚合口实现所述权限管理设备与所述局域网服务器之间的交互;配置所述聚合口的ACL规则为转发所有报文;所述逻辑芯片预先针对每个用户,保存该用户的用户标识与该用户的报文处理策略的对应关系;该用户的报文处理策略由该用户的权限决定;
所述逻辑芯片,根据任一用户通过终端发送的认证请求报文,对该任一用户进行身份认证;认证通过后,从所述认证请求报文中提取终端标识,并建立所述终端标识与该任一用户的用户标识的绑定关系;接收到应答报文后,提取所述应答报文中所携带的终端标识,并确定与该终端标识绑定的用户标识;查询与确定的用户标识对应的报文处理策略,并根据该报文处理策略对所述应答报文执行转发处理或丢弃处理;
所述交换芯片,认证通过后,将所述权限管理设备接收的,由所述终端发送的访问请求报文,通过所述聚合口发送至所述局域网服务器;通过所述聚合口接收所述局域网服务器返回的应答报文,并匹配ACL规则;ACL规则匹配成功后,将所述应答报文转发至所述逻辑芯片。
本说明书实施例的技术方案,权限管理设备会针对每个用户,预先保存该用户的用户标识与该用户的报文处理的对应关系,并配置用于权限管理设备与局域网服务器之间的交互的聚合组的ACL规则为转发所有报文。权限管理设备的逻辑芯片在接收到用户通过终端发送的认证请求报文后,对用户进行身份认证,若身份认证通过,则从认证请求报文中提取能够唯一表征终端的终端标识,并建立该用户的用户标识与该终端标识的绑定关系。权限管理设备通过对该用户的身份认证后,该用户使用终端发送的所有访问局域网服务器的请求报文都会交由交换芯片,通过聚合口转发至局域网服务器,局域网服务器对访问请求报文处理后,会生成应答报文,并通过聚合组发送至权限管理设备的交换芯片。交换芯片的聚合组的ACL规则被配置为所有报文都转发,因此,交换芯片会将应答报文转发至逻辑芯片。逻辑芯片从应答报文中提取终端标识,确定与提取的终端标识所绑定的用户标识,从而查询与确定的用户标识对应的报文处理策略。
通过本说明书实施例的技术方案,用户每次使用任一终端访问登陆时,权限管理设备会将用户的用户标识与终端的终端标识绑定,权限管理设备通过提取局域网服务器发送的应答报文中的终端标识,查询与提取的终端标识相绑定的用户标识,即可确定该应答报文对应的用户标识,进而查询对应的报文处理策略,实现基于用户的用户权限来决定是否将响应报文进一步反馈该用户使用的认证终端。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
图1是本说明书示出的局域网示意图。
图2是本说明书示出的一种应答报文处理方法流程的示意图。
具体实施方式
如图1所示,为局域网各设备部署示意图。在实际应用中,用户所使用的终端,可以是局域网终端中的任一终端,只需用户信息正确即可。用户通过某个终端向权限管理设备发送登录请求报文后,权限管理设备会根据登陆请求报文所携带的用户信息今早身份验证,即,验证该用户是否为合法用户。若身份验证通过,说明该用户是合法用户,权限管理设备进一步对用户此次使用终端进行认证,使得该终端发送的访问局域网服务器的请求,都予以转发。
具体来说,假设用户A使用局域网的终端X向权限管理设备发送登录请求报文,权限管理设备确定用户A的身份合法,进一步对用户A所使用的终端X进行认证,此后,终端X所发送的访问局域网服务器的请求,权限管理设备都会通过聚合组予以转发(即,用户A身份合法,因此,用户A所发起的访问请求,权限管理设备都会予以转发)。
其中,对终端X认证,是因为用户A利用终端X发送的访问请求报文中,并不会包含用户A的信息,权限管理设备并不能确定接收的访问请求报文哪个是用户A所发送的。但由终端X所发送的访问请求报文中,必然包含终端X的信息,而用户A使用终端X发送访问请求报文,因此,权限管理设备对终端X进行认证后,可以根据访问请求报文中的内容确定是否是由终端X所发送的,进而确定终端X是否可以访问局域网服务器。
局域网服务器对终端所发送的访问请求报文进行响应,生成对应的应答报文并返回至权限管理设备,由权限管理设备确定应答报文是否返回至终端。其中,权限管理设备在确定应答报文是否返回至终端时,企业希望是有用户权限来决定(即,权限管理设备在确定使用终端的用户是否能够获得局域网服务器的服务时,是根据用户的权限来决定的)。
例如,用户为企业的员工,员工若想要访问企业的局域网服务器,需要先通过权限管理设备的员工身份认证,确定是否该企业的员工,然后根据员工的职位、部门等,确定该员工是否有权限访问局域网服务器。
可见,在上述业务需求中,权限管理设备既需要确定用户是否为合法用户(是否可以访问局域网服务器),还需要确定用户的权限(是否可以获取局域网服务器的服务)。
现有技术一般都是通过对聚合组配置ACL的方式实现权限的控制,然而,一方面,ACL规则是基于报文的五元组信息等配置的,而报文所携带的信息能够确定报文与哪个终端有关,并不能确定报文与哪个用户有关,这意味着用户与终端的对应关系需要稳定不变化,才可利用ACL规则实现对用户的权限的控制,但在实际应用中,用户与终端的对应关系并不是稳定不变的,用户可以使用局域网中的任一终端访问局域网服务器。
另一方面,由于用户与终端的对应关系并不是稳定不变化的,ACL规则的匹配项无法唯一表征用户信息,因此,在针对任一用户配置聚合组的ACL规则时,只能是该聚合组的报文全部转发或者该聚合组的报文全部丢弃,无法实现同一聚合组接收的报文,既存在转发处理,又存在丢弃处理,即,使用同一聚合组转发报文的用户必须处理动作相同(权限相同),这并不是企业所需要的。此外,即使在用户更换终端时,同时更改针对该用户的ACL配置,但配置ACL规则需要技术人员手工去配置,耗费人力,并且,交换芯片的ACL资源有限,当用户数量很多时,需要配置的ACL规则也就会很多,交换芯片的ACL资源并不足以支撑。
基于此,本说明提出一种应答报文处理方法,在本说明一个或多个实施例中,权限管理设备会针对每个用户,预先保存该用户的用户标识与该用户的报文处理的对应关系,并配置用于权限管理设备与局域网服务器之间的交互的聚合组的ACL规则为转发所有报文。权限管理设备的逻辑芯片在接收到用户通过终端发送的认证请求报文后,对用户进行身份认证,若身份认证通过,则从认证请求报文中提取能够唯一表征终端的终端标识,并建立该用户的用户标识与该终端标识的绑定关系。权限管理设备通过对该用户的身份认证后,该用户使用终端发送的所有访问局域网服务器的请求报文都会交由交换芯片,通过聚合口转发至局域网服务器,局域网服务器对访问请求报文处理后,会生成应答报文,并通过聚合组发送至权限管理设备的交换芯片。交换芯片的聚合组的ACL规则被配置为所有报文都转发,因此,交换芯片会将应答报文转发至逻辑芯片。逻辑芯片从应答报文中提取终端标识,确定与提取的终端标识所绑定的用户标识,从而查询与确定的用户标识对应的报文处理策略。
利用本说明的一个或多个实施例,用户每次使用任一终端访问登陆时,权限管理设备会将用户的用户标识与终端的终端标识绑定,权限管理设备通过提取局域网服务器发送的应答报文中的终端标识,查询与提取的终端标识相绑定的用户标识,即可确定该应答报文对应的用户标识,进而查询对应的报文处理策略,由于用户的报文处理策略是基于用户的权限得到的,因此,可实现在保留权限管理设备与局域网服务器带宽的基础上,基于用户的用户权限来决定是否将响应报文进一步反馈该用户使用的终端的业务需求。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
接下来对本说明书实施例进行详细说明。
如图2所示,图2是本说明书根据一示例性实施例示出的应答报文处理方法的流程示意图。
权限管理设备针对每个用户,预先保存该用户的用户标识与报文处理策略的对应关系。并预先配置用于权限管理设备与局域网服务器交互的聚合口的ACL规则为转发所有报文。
用户标识与报文处理策略的对应关系如下表所示:
用户标识 | 用户标识1 | 用户标识2 | 用户标识3 |
报文处理策略 | 处理策略L | 处理策略M | 处理策略N |
表1用户标识与处理策略对应关系示意表
步骤101、逻辑芯片接收用户通过终端发送的认证请求报文,对用户进行身份认证。
用户使用局域网内的任一终端访问局域网服务器时,首先需要登录,向权限管理设备发送认证请求报文,认证请求报文中包含有用户的身份信息,权限管理设备的逻辑芯片会根据认证请求报文中的身份信息对用户的身份进行认证。
其中,身份信息可唯一表征一个用户,可以是用户名,可以是指纹信息,也可以是面部信息等。逻辑芯片是指具有逻辑处理能力的芯片,如中央处理器(central processingunit,CPU)。
步骤103、身份认证通过后,逻辑芯片提取认证请求报文中的终端标识,并建立用户的用户标识与终端标识的绑定关系。
逻辑芯片对用户的身份认证通过后,会提取认证请求报文中的终端标识,以确定用户此次所使用终端的终端标识,并建立用户的用户标识与终端标识的绑定关系,以便之后接收到应答报文时,确定应答报文所对应的用户标识。如下表所示,为终端标识与用户标识的绑定关系:
用户 | 用户标识1 | 用户标识2 |
终端 | 终端标识A | 终端标识B |
表2用户与终端绑定关系示意表
例如,用户3使用局域网中的终端C访问局域网服务器,访问之前,需要先进行登录,将认证请求发送至权限管理设备,权限管理设备根据认证请求报文中的用户3的身份信息,对用户3进行身份认证,身份认证通过后,权限管理设备会在认证请求报文中,将用户3所使用的终端C的终端标识C提取出来,将用户3的用户标识3与终端C的终端标识C建立绑定关系。
步骤105、身份认证通过后,交换芯片将终端发送的访问请求,通过聚合口发送至局域网服务器。
为了提升带宽,企业会将权限管理设备的端口中,与局域网服务器相连的一些端口进行汇聚,作为一个逻辑上的聚合口。因此,权限管理设备会将用户访问局域网服务器的请求报文都由交换芯片的聚合口转发至局域网服务器。
其中,逻辑芯片对用户的身份认证通过后,同时会认证用户所使用的终端。用户使用终端所发送的访问请求报文中,会包含终端的终端标识,由于已认证用户所使用的终端,因此,用户使用终端所发送的访问请求报文都会经由交换芯片的聚合口转发至局域网服务器。相反的,若逻辑芯片对用户身份认证未通过,那么用户所使用的终端就未认证,用户使用终端所发送的访问请求报文都不会予以转发。
步骤107、交换芯片接收局域网服务器发送的应答报文,并匹配ACL规则,匹配成功后,将应答报文转发至逻辑芯片。
局域网在接收到用户的访问请求报文后,会根据访问请求报文,生成相应的应答报文,并通过交换芯片的聚合口发送至权限管理设备。交换芯片的聚合口接收到应答请求报文后,匹配聚合组的ACL规则。由于交换芯片的聚合口的ACL规则被配置为转发所有报文,因此,聚合口接收的所有报文,交换芯片都会转发至逻辑芯片。
需要说明的是,本说明中,交换芯片的聚合口,如未特殊说明,均指代交换芯片的端口中,与局域网服务器相连的一些端口汇聚成的,逻辑上的聚合口。
步骤109、逻辑芯片提取应答报文中所携带的终端标识,并确定与所提取的终端标识所绑定的用户标识,并查询确定的用户标识对应的报文处理策略。
逻辑芯片接收到局域网发送的应答报文后,提取应答报文中所携带的终端标识(即,解析应答报文,获取应答报文的五元组等基本信息,从而确定该报文所携带的终端标识)。
逻辑芯片根据提取到的终端标识,以及用户标识与终端标识的绑定关系,确定提取到的终端标识所绑定的用户标识,根据确定的用户标识查询对应的报文处理策略,最后根据查询的报文处理策略,对应答报文进行处理。
例如,局域网服务器接收到用户2利用终端B所发送的访问请求报文,那么,局域网生成的应答报文中就会携带有终端B的终端标识B,当逻辑芯片接收到该应答报文,会从该应答报文中提取出终端标识B,并根据用户认证时所保存的用户标识与终端标识的绑定关系,确定与终端标识B所绑定的用户标识2。根据用户标识2,查询用户标识2对应的报文处理策略M,并根据查询到的报文处理策略M对该应答报文进行处理。
其中,报文处理策略可以是处理动作,处理动作为转发处理或丢弃处理。也可以是至少一组报文特征与处理动作的对应关系,处理动作为转发处理或丢弃处理。
报文特征用于表征一类报文,例如源端口号相同的报文,或者协议相同的报文,或者目的地址相同的报文。如,企业针对一部分员工,开放指定端口号的局域网服务器的服务(即,拥有访问局域网服务器指定端口号服务的权限),因此,设置的报文特征可以是源端口号。
需要说明的是,用户的报文处理策略,是根据用户对应的权限确定的。若报文处理策略是处理动作,处理动作为转发处理或丢弃处理,那么表示针对每个用户,要么是有权限获取局域网服务器的服务,要么是没有权限获取局域网服务器的服务,若是有权限,那么用户对应的处理动作为转发处理,若没有权限,那么用户对应的处理动作为丢弃处理。
若报文处理策略是至少一组报文特征与处理动作的对应关系,处理动作为转发处理或丢弃处理,那么表示针对每个用户,该用户拥有获取部分局域网服务器服务的权限,可以是拥有特定报文特征对应的局域网服务器服务的权限,也可以是仅不拥有特定报文特征对应的局域网服务器服务的权限。
上述的终端标识可以是终端的网络地址,也可以是终端的物理地址。若局域网的虚拟局域网是局域物理地址划分的,由于虚拟局域网标识(Virtual Local Area NetworkID,vlan id)是基于物理地址生成的,因此,虚拟局域网标识也可唯一标识每个终端。
需要说明的是,当某用户退出登录后,权限管理设备可以删除该用户对应的用户标识与终端标识的绑定关系。
本说明还提供了一种权限管理设备,与所述权限管理设备处于同一局域网的还有局域网服务器、多个终端;所述权限管理设备包括逻辑芯片与交换芯片;所述交换芯片具有聚合口,并通过所述聚合口实现所述权限管理设备与所述局域网服务器之间的交互;配置所述聚合口的ACL规则为转发所有报文;所述逻辑芯片预先针对每个用户,保存该用户的用户标识与该用户的报文处理策略的对应关系;该用户的报文处理策略由该用户的权限决定;
所述逻辑芯片,根据任一用户通过终端发送的认证请求报文,对该任一用户进行身份认证;认证通过后,从所述认证请求报文中提取终端标识,并建立所述终端标识与该任一用户的用户标识的绑定关系;接收到应答报文后,提取所述应答报文中所携带的终端标识,并确定与该终端标识绑定的用户标识;查询与确定的用户标识对应的报文处理策略,并根据该报文处理策略对所述应答报文执行转发处理或丢弃处理;
所述交换芯片,认证通过后,将所述权限管理设备接收的,由所述终端发送的访问请求报文,通过所述聚合口发送至所述局域网服务器;通过所述聚合口接收所述局域网服务器返回的应答报文,并匹配ACL规则;ACL规则匹配成功后,将所述应答报文转发至所述逻辑芯片。
其中,终端标识为网络地址或物理地址。若局域网的虚拟局域网是基于物理地址划分的,则终端标识还可以是虚拟局域网标识。
报文处理策略可以是处理动作,处理动作为转发处理或丢弃处理。也可以是至少一组报文特征与处理动作的对应关系,处理动作为转发处理或丢弃处理。
对于设备实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本说明书的真正范围和精神由下面的权利要求指出。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (10)
1.一种应答报文处理方法,其特征在于,应用于局域网的权限管理设备,所述局域网还包括局域网服务器、多个终端;所述权限管理设备包括逻辑芯片与交换芯片;所述交换芯片具有聚合口,并通过所述聚合口实现所述权限管理设备与所述局域网服务器之间的交互;配置所述聚合口的访问控制列表ACL规则为转发所有报文;所述逻辑芯片预先针对每个用户,保存该用户的用户标识与该用户的报文处理策略的对应关系;该用户的报文处理策略由该用户的权限决定;
所述方法包括:
所述逻辑芯片根据任一用户通过终端发送的认证请求报文,对该任一用户进行身份认证;认证通过后,从所述认证请求报文中提取终端标识,并建立所述终端标识与该任一用户的用户标识的绑定关系;
认证通过后,所述交换芯片将所述权限管理设备接收的,由所述终端发送的访问请求报文,通过所述聚合口发送至所述局域网服务器;
所述交换芯片通过所述聚合口接收所述局域网服务器返回的应答报文,并匹配ACL规则;ACL规则匹配成功后,将所述应答报文转发至所述逻辑芯片;
所述逻辑芯片提取所述应答报文中所携带的终端标识,并确定与该终端标识绑定的用户标识;查询与确定的用户标识对应的报文处理策略,并根据该报文处理策略对所述应答报文执行转发处理或丢弃处理。
2.如权利要求1所述的方法,其特征在于,所述终端标识为网络地址或物理地址。
3.如权利要求1所述的方法,其特征在于,所述局域网的虚拟局域网基于物理地址划分;
所述终端标识为虚拟局域网标识。
4.如权利要求1所述的方法,其特征在于,所述报文处理策略包括处理动作,处理动作为转发处理或丢弃处理。
5.如权利要求1所述的方法,其特征在于,所述报文处理策略包括:至少一组报文特征与处理动作的对应关系;
处理动作为转发处理或丢弃处理。
6.一种权限管理设备,其特征在于,与所述权限管理设备处于同一局域网的还有局域网服务器、多个终端;所述权限管理设备包括逻辑芯片与交换芯片;所述交换芯片具有聚合口,并通过所述聚合口实现所述权限管理设备与所述局域网服务器之间的交互;配置所述聚合口的ACL规则为转发所有报文;所述逻辑芯片预先针对每个用户,保存该用户的用户标识与该用户的报文处理策略的对应关系;该用户的报文处理策略由该用户的权限决定;
所述逻辑芯片,根据任一用户通过终端发送的认证请求报文,对该任一用户进行身份认证;认证通过后,从所述认证请求报文中提取终端标识,并建立所述终端标识与该任一用户的用户标识的绑定关系;接收到应答报文后,提取所述应答报文中所携带的终端标识,并确定与该终端标识绑定的用户标识;查询与确定的用户标识对应的报文处理策略,并根据该报文处理策略对所述应答报文执行转发处理或丢弃处理;
所述交换芯片,认证通过后,将所述权限管理设备接收的,由所述终端发送的访问请求报文,通过所述聚合口发送至所述局域网服务器;通过所述聚合口接收所述局域网服务器返回的应答报文,并匹配ACL规则;ACL规则匹配成功后,将所述应答报文转发至所述逻辑芯片。
7.如权利要求6所述的设备,其特征在于,所述终端标识为网络地址或物理地址。
8.如权利要求6所述的设备,其特征在于,所述局域网的虚拟局域网基于物理地址划分;
所述终端标识为虚拟局域网标识。
9.如权利要求6所述的设备,其特征在于,所述报文处理策略包括处理动作,处理动作为转发处理或丢弃处理。
10.如权利要求6所述的设备,其特征在于,所述报文处理策略包括:至少一组报文特征与处理动作的对应关系;
处理动作为转发处理或丢弃处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110213182.0A CN112995179B (zh) | 2021-02-25 | 2021-02-25 | 一种应答报文处理方法及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110213182.0A CN112995179B (zh) | 2021-02-25 | 2021-02-25 | 一种应答报文处理方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112995179A true CN112995179A (zh) | 2021-06-18 |
CN112995179B CN112995179B (zh) | 2022-08-26 |
Family
ID=76350797
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110213182.0A Active CN112995179B (zh) | 2021-02-25 | 2021-02-25 | 一种应答报文处理方法及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112995179B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115334045A (zh) * | 2022-08-12 | 2022-11-11 | 迈普通信技术股份有限公司 | 报文转发方法、装置、网关设备及存储介质 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101179506A (zh) * | 2007-11-26 | 2008-05-14 | 中兴通讯股份有限公司 | 私网终端对公网终端进行检测的方法 |
CN102377645A (zh) * | 2010-08-12 | 2012-03-14 | 盛科网络(苏州)有限公司 | 交换芯片及其实现方法 |
CN102510767A (zh) * | 2011-11-09 | 2012-06-20 | 华为技术有限公司 | 一种无源光网络中实现互通组播的方法、系统与装置 |
CN102594818A (zh) * | 2012-02-15 | 2012-07-18 | 北京星网锐捷网络技术有限公司 | 网络访问权限控制方法、装置及相关设备 |
CN102647358A (zh) * | 2012-04-24 | 2012-08-22 | 北京星网锐捷网络技术有限公司 | 报文发送和处理方法、装置、客户端设备和网络设备 |
CN105591926A (zh) * | 2015-12-11 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种流量保护方法及装置 |
CN105991481A (zh) * | 2015-05-19 | 2016-10-05 | 杭州迪普科技有限公司 | 一种报文转发方法及装置 |
CN106375206A (zh) * | 2016-08-31 | 2017-02-01 | 杭州迪普科技有限公司 | 一种报文转发方法及装置 |
CN106506515A (zh) * | 2016-11-22 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种认证方法和装置 |
CN109327395A (zh) * | 2018-11-30 | 2019-02-12 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
CN111064750A (zh) * | 2019-12-31 | 2020-04-24 | 苏州浪潮智能科技有限公司 | 一种数据中心的网络报文控制方法和装置 |
CN111400676A (zh) * | 2020-02-28 | 2020-07-10 | 平安国际智慧城市科技股份有限公司 | 基于共享权限的业务数据处理方法、装置、设备和介质 |
-
2021
- 2021-02-25 CN CN202110213182.0A patent/CN112995179B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101179506A (zh) * | 2007-11-26 | 2008-05-14 | 中兴通讯股份有限公司 | 私网终端对公网终端进行检测的方法 |
CN102377645A (zh) * | 2010-08-12 | 2012-03-14 | 盛科网络(苏州)有限公司 | 交换芯片及其实现方法 |
CN102510767A (zh) * | 2011-11-09 | 2012-06-20 | 华为技术有限公司 | 一种无源光网络中实现互通组播的方法、系统与装置 |
EP2765735A1 (en) * | 2011-11-09 | 2014-08-13 | Huawei Technologies Co., Ltd | Method, system and apparatus for implementing intercommunication multicast in passive optical network |
CN102594818A (zh) * | 2012-02-15 | 2012-07-18 | 北京星网锐捷网络技术有限公司 | 网络访问权限控制方法、装置及相关设备 |
CN102647358A (zh) * | 2012-04-24 | 2012-08-22 | 北京星网锐捷网络技术有限公司 | 报文发送和处理方法、装置、客户端设备和网络设备 |
CN105991481A (zh) * | 2015-05-19 | 2016-10-05 | 杭州迪普科技有限公司 | 一种报文转发方法及装置 |
CN105591926A (zh) * | 2015-12-11 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种流量保护方法及装置 |
CN106375206A (zh) * | 2016-08-31 | 2017-02-01 | 杭州迪普科技有限公司 | 一种报文转发方法及装置 |
CN106506515A (zh) * | 2016-11-22 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种认证方法和装置 |
CN109327395A (zh) * | 2018-11-30 | 2019-02-12 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
CN111064750A (zh) * | 2019-12-31 | 2020-04-24 | 苏州浪潮智能科技有限公司 | 一种数据中心的网络报文控制方法和装置 |
CN111400676A (zh) * | 2020-02-28 | 2020-07-10 | 平安国际智慧城市科技股份有限公司 | 基于共享权限的业务数据处理方法、装置、设备和介质 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115334045A (zh) * | 2022-08-12 | 2022-11-11 | 迈普通信技术股份有限公司 | 报文转发方法、装置、网关设备及存储介质 |
CN115334045B (zh) * | 2022-08-12 | 2023-12-19 | 迈普通信技术股份有限公司 | 报文转发方法、装置、网关设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112995179B (zh) | 2022-08-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8122485B2 (en) | Authentication techniques | |
US7735129B2 (en) | Firewall device | |
CN101557406B (zh) | 一种用户终端的认证方法、装置及系统 | |
JP3845086B2 (ja) | 制御されたマルチキャストのシステム及び実行方法 | |
CN111586025B (zh) | 一种基于sdn的sdp安全组实现方法及安全系统 | |
US7814311B2 (en) | Role aware network security enforcement | |
CN109067937B (zh) | 终端准入控制方法、装置、设备、系统及存储介质 | |
US8102860B2 (en) | System and method of changing a network designation in response to data received from a device | |
JPH10326256A (ja) | マルチレベルセキュリティポート方法、装置、及びコンピュータプログラム製品 | |
CN107995144B (zh) | 一种基于安全组的访问控制方法及装置 | |
US20090077635A1 (en) | Method, apparatus and system for network service authentication | |
US12022296B2 (en) | Network cyber-security platform | |
CN110968848A (zh) | 基于用户的权限管理方法、装置及计算设备 | |
CN108574690B (zh) | 一种缓解命名数据网络中内容毒害攻击的方法 | |
CN112995179B (zh) | 一种应答报文处理方法及设备 | |
CN109361659B (zh) | 一种认证方法及装置 | |
CN108259420B (zh) | 一种报文处理方法及装置 | |
CN106412904B (zh) | 一种防假冒用户认证权限的方法及系统 | |
US20060059340A1 (en) | Method and system for dynamic authentication and authorization | |
CN102231733B (zh) | 访问控制方法、主机设备和标识路由器 | |
CN113098825B (zh) | 一种基于扩展802.1x的接入认证方法及系统 | |
US8185642B1 (en) | Communication policy enforcement in a data network | |
CN106572077A (zh) | 一种门户认证方法及装置 | |
JP3645844B2 (ja) | 中継接続方式およびネットワークレベル認証サーバおよびゲートウェイ装置および情報サーバおよびプログラム | |
US10560478B1 (en) | Using log event messages to identify a user and enforce policies |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |