CN113691545B - 路由的控制方法、装置、电子设备及计算机可读介质 - Google Patents
路由的控制方法、装置、电子设备及计算机可读介质 Download PDFInfo
- Publication number
- CN113691545B CN113691545B CN202110988687.4A CN202110988687A CN113691545B CN 113691545 B CN113691545 B CN 113691545B CN 202110988687 A CN202110988687 A CN 202110988687A CN 113691545 B CN113691545 B CN 113691545B
- Authority
- CN
- China
- Prior art keywords
- user
- access user
- legal
- private network
- virtual private
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种路由的控制方法、装置、电子设备及计算机可读介质,属于通信技术领域。该方法包括:响应于虚拟专用网络的接入用户所发送的认证请求,获取所述接入用户的用户认证信息;根据所述接入用户的用户认证信息判断所述接入用户是否为合法接入用户;在所述接入用户为所述合法接入用户时,在所述虚拟专用网络的服务器中添加所述合法接入用户对应的静态回程路由,以使所述合法接入用户通过所述静态回程路由与所述虚拟专用网络建立连接。本公开通过按需动态增删静态回程路由的方式,可以尽可能保证静态回程路由的最小化,从而最大限度保证虚拟专用网络服务器的安全。
Description
技术领域
本公开涉及通信技术领域,具体而言,涉及一种路由的控制方法、路由的控制装置、电子设备及计算机可读介质。
背景技术
VPN(Virtual Private Network,虚拟专用网络)技术属于远程访问技术,在远程办公中经常使用,VPN技术通过利用公用网络架设专用网络,可以让远程用户访问到内网资源。
由于VPN是连接内网和外网的通道,所以如果存在问题,可能导致整个系统被入侵和控制。因此,需要一种安全可靠的方式来保证VPN服务器的安全。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种路由的控制方法、路由的控制装置、电子设备及计算机可读介质,进而至少在一定程度上保证虚拟专用网络服务器的安全。
根据本公开的第一个方面,提供一种路由的控制方法,包括:
响应于虚拟专用网络的接入用户所发送的认证请求,获取所述接入用户的用户认证信息;
根据所述接入用户的用户认证信息判断所述接入用户是否为合法接入用户;
在所述接入用户为所述合法接入用户时,在所述虚拟专用网络的服务器中添加所述合法接入用户对应的静态回程路由,以使所述合法接入用户通过所述静态回程路由与所述虚拟专用网络建立连接。
在本公开的一种示例性实施例中,所述根据所述接入用户的用户认证信息判断所述接入用户是否为合法接入用户,包括:
获取所述虚拟专用网络的合法用户关系表,并判断所述合法用户关系表中是否包含所述接入用户的用户认证信息;
若所述合法用户关系表中包含所述接入用户的用户认证信息,则判定所述接入用户为合法接入用户;
若所述合法用户关系表中不包含所述接入用户的用户认证信息,则判定所述接入用户为非法接入用户。
在本公开的一种示例性实施例中,所述在所述虚拟专用网络的服务器中添加所述合法接入用户对应的静态回程路由,包括:
从所述合法接入用户的用户认证信息中获取所述合法接入用户对应的互联网协议地址;
将所述合法接入用户对应的互联网协议地址添加到所述虚拟专用网络的路由表中,以生成所述合法接入用户对应的静态回程路由。
在本公开的一种示例性实施例中,所述方法还包括:
响应于所述接入用户对所述虚拟专用网络执行的连接断开操作,从所述虚拟专用网络的服务器中删除所述接入用户对应的静态回程路由。
在本公开的一种示例性实施例中,所述从所述虚拟专用网络的服务器中删除所述接入用户对应的静态回程路由,包括:
从所述合法接入用户的用户认证信息中获取所述合法接入用户对应的互联网协议地址;
将所述合法接入用户对应的互联网协议地址从所述虚拟专用网络的路由表中删除。
在本公开的一种示例性实施例中,所述将所述合法接入用户对应的互联网协议地址从所述虚拟专用网络的路由表中删除,包括:
判断所述互联网协议地址对应的所有所述合法接入用户是否已经全部与所述虚拟专用网络断开连接;
若所述互联网协议地址对应的所有所述合法接入用户已经全部与所述虚拟专用网络断开连接,则将所述互联网协议地址从所述虚拟专用网络的路由表中删除;
若所述互联网协议地址对应的所有所述合法接入用户没有全部与所述虚拟专用网络断开连接,则将所述互联网协议地址保留在所述路由表中。
在本公开的一种示例性实施例中,所述获取所述接入用户的用户认证信息,包括:
识别所述用户认证信息的认证信息类型;
从所述认证信息类型对应的信息获取接口,获取所述接入用户的用户认证信息。
根据本公开的第二方面,提供一种路由的控制装置,包括:
认证信息获取模块,用于响应于虚拟专用网络的接入用户所发送的认证请求,获取所述接入用户的用户认证信息;
合法用户判定模块,用于根据所述接入用户的用户认证信息判断所述接入用户是否为合法接入用户;
静态路由添加模块,用于在所述接入用户为所述合法接入用户时,在所述虚拟专用网络的服务器中添加所述合法接入用户对应的静态回程路由,以使所述合法接入用户通过所述静态回程路由与所述虚拟专用网络建立连接。
根据本公开的第三方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的路由的控制方法。
根据本公开的第四方面,提供一种计算机可读介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的路由的控制方法。
本公开示例性实施例可以具有以下有益效果:
本公开示例实施方式的路由的控制方法中,通过获取接入用户的用户认证信息,并在用户认证成功后,根据用户需求在虚拟专用网络的服务器中添加对应的静态回程路由,以使用户通过静态回程路由与虚拟专用网络建立连接。本公开示例实施方式中的路由的控制方法,通过动态添加静态回程路由的方式,精准管理每个用户对应的路由,尽可能保证路由的最小化,按需提供服务,因此,能够极大减少服务端端口暴露在互联网上的风险,从而保证虚拟专用网络的服务器安全。对于一些对安全要求极高的重要单位来说,可以避免因虚拟专用网络的服务器被控制而导致内网信息和资源暴露,最大限度降低风险和损失。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出了根据本公开的一个相关实施方式的VPN远程访问技术的示意图;
图2示出了本公开示例实施方式的路由的控制方法的流程示意图;
图3示出了本公开示例实施方式的在虚拟专用网络的服务器中添加静态回程路由的流程示意图;
图4示出了本公开示例实施方式的从虚拟专用网络的服务器中删除静态回程路由的流程示意图;
图5示出了本公开示例实施方式的将互联网协议地址从路由表中删除的流程示意图;
图6示出了根据本公开的一个具体实施方式中路由的控制方法的流程示意图;
图7示出了本公开示例实施方式的路由的控制装置的框图;
图8示出了适于用来实现本公开实施方式的电子设备的计算机系统的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
VPN(Virtual Private Network,虚拟专用网络)技术属于远程访问技术,简单来说,就是利用公用网络架设专用网络,让远程用户能够访问到内网资源。远程用户连上互联网后,通过互联网连接VPN服务器,然后通过VPN服务器进入内网。
图1示意性示出了根据本公开的一个相关实施方式的VPN远程访问技术的示意图。如图1所示,VPN远程访问系统架构中可以包括客户端101、102、103中的多个,外部网络104,VPN服务器105和内部网络106。外部网络104用以在客户端101、102、103和VPN服务器105之间提供通信链路的介质,外部网络104与VPN服务器105之间通过公网线路连接,内部网络106与VPN服务器105之间通过私网线路连接。外部网络104与内部网络106可以包括各种连接类型,例如无线通信链路等。
应该理解,图1中的客户端、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的客户端、网络和服务器。比如服务器105可以是多个服务器组成的服务器集群等。客户端101、102、103可以是具有处理器的各种电子设备,包括但不限于智能手机、平板电脑、便携式计算机等等。VPN服务器105可以是提供各种服务的服务器。
为了建立VPN连接,VPN用户网络和VPN服务器之间需要路由可达。正常情况下,为了保证所有用户在任何地方均可以通过VPN接入,VPN服务器的路由除了执行内部网络的路由外,指向外部网络的路由通常采用默认路由,这样就使得VPN服务器直接暴露在公网,由于网络安全形势严峻,经常爆出VPN的相关0day漏洞(负责应用程序的程序员或供应商所未知的软件缺陷),存在着极易受到非法扫描、入侵和DDOS(Distributed denial of serviceattack,分布式拒绝服务攻击)攻击的安全隐患。如果用户通过DDOS工具,VPN服务器可能无法正常提供服务。如果VPN服务器存在漏洞,被人利用的可能性将大大增加。因VPN服务器是连接内外网的,如果被攻入,将导致内网的沦陷。
在一些相关的实施例中,可以在VPN服务端安装防火墙、IPS(IntrusionPrevention System,入侵防御系统)等设备,这种操作虽然可以减少VPN服务器被攻击的风险,但因为0day漏洞等风险还是可能导致VPN服务器被攻击控制。因此,需要一种安全可靠的方式来保证VPN服务器的安全。
本示例实施方式首先提供了一种路由的控制方法。参考图2所示,上述路由的控制方法可以包括以下步骤:
步骤S210.响应于虚拟专用网络的接入用户所发送的认证请求,获取接入用户的用户认证信息。
步骤S220.根据接入用户的用户认证信息判断接入用户是否为合法接入用户。
步骤S230.在接入用户为合法接入用户时,在虚拟专用网络的服务器中添加合法接入用户对应的静态回程路由,以使合法接入用户通过静态回程路由与虚拟专用网络建立连接。
本公开示例实施方式的路由的控制方法中,通过获取接入用户的用户认证信息,并在用户认证成功后,根据用户需求在虚拟专用网络的服务器中添加对应的静态回程路由,以使用户通过静态回程路由与虚拟专用网络建立连接。本公开示例实施方式中的路由的控制方法,通过动态添加静态回程路由的方式,精准管理每个用户对应的路由,尽可能保证路由的最小化,按需提供服务,因此,能够极大减少服务端端口暴露在互联网上的风险,从而保证虚拟专用网络的服务器安全。对于一些对安全要求极高的重要单位来说,可以避免因虚拟专用网络的服务器被控制而导致内网信息和资源暴露,最大限度降低风险和损失。
下面,结合图3至图5对本示例实施方式的上述步骤进行更加详细的说明。
在步骤S210中,响应于虚拟专用网络的接入用户所发送的认证请求,获取接入用户的用户认证信息。
本示例实施方式中,虚拟专用网络(VPN)的接入用户指的是需要连接VPN服务器以访问内网资源的用户。VPN接入用户在连接VPN服务器之前,需要先通过短信、邮件或其它方式向VPN服务器发送相关的用户认证信息,只有通过认证的用户才可以进行后续的网络连接。其中,用户认证信息中可以包括公网出口IP地址、用户ID、终端MAC地址(Media AccessControl Address,媒体存取控制位址)等信息。
VPN接入用户将用户认证信息通过短信、邮件或其它方式发送至VPN服务器之后,VPN服务器响应于VPN接入用户的认证请求,获取对应的用户认证信息。
另外,本示例实施方式中,VPN服务器在获取接入用户的用户认证信息时,可以先识别用户认证信息的认证信息类型,再从认证信息类型对应的信息获取接口,获取接入用户的用户认证信息。举例而言,如果VPN接入用户通过短信的方式发送用户认证信息,则VPN服务器需要开通短信接口接收功能,通过短信接口实现用户认证信息的获取。VPN服务器通过开通多种类型的信息获取接口,即可获取通过多种途径发送的不同认证信息类型的用户认证信息。
在步骤S220中,根据接入用户的用户认证信息判断接入用户是否为合法接入用户。
本示例实施方式中,可以预先建立虚拟专用网络的合法用户关系表。在判断接入用户是否为合法接入用户时,可以获取虚拟专用网络的合法用户关系表,并判断合法用户关系表中是否包含接入用户的用户认证信息。若合法用户关系表中包含接入用户的用户认证信息,则判定接入用户为合法接入用户;若合法用户关系表中不包含接入用户的用户认证信息,则判定接入用户为非法接入用户。
举例而言,如果VPN接入用户通过短信的方式发送用户认证信息,则VPN服务器需要预先建立用户手机号码、VPN账号的对应关系表,并在接受到VPN接入用户发送的用户认证信息时,从用户认证信息中获取VPN接入用户的手机号码和IP地址等信息,VPN服务器通过查询对应的关系表,来判断VPN接入用户的合法性,即如果合法用户关系表中能查询到相关用户的信息,则说明该用户是合法接入用户,如果查询不到,则为非法接入用户。
在步骤S230中,在接入用户为合法接入用户时,在虚拟专用网络的服务器中添加合法接入用户对应的静态回程路由,以使合法接入用户通过静态回程路由与虚拟专用网络建立连接。
本示例实施方式中,只有在判定VPN接入用户为合法接入用户时,才会VPN服务器中在为其添加对应的静态回程路由,并将结果返回给当前的合法接入用户所在的客户端。用户接收到VPN服务器返回的消息后,即可通过对应的静态回程路由进行VPN拨号连接,远程访问内网。
本示例实施方式中,如图3所示,在虚拟专用网络的服务器中添加合法接入用户对应的静态回程路由,具体可以包括以下几个步骤:
步骤S310.从合法接入用户的用户认证信息中获取合法接入用户对应的互联网协议地址。
步骤S320.将合法接入用户对应的互联网协议地址添加到虚拟专用网络的路由表中,以生成合法接入用户对应的静态回程路由。
从合法接入用户的用户认证信息中获取合法接入用户对应的IP地址之后,通过将合法接入用户的IP地址添加到VPN服务器的路由表中,从而生成一条合法接入用户专属的静态回程路由,实现对路由数量的精准管控。
除上述方法以外,本示例实施方式中提供的一种路由的控制方法还可以包括:响应于接入用户对虚拟专用网络执行的连接断开操作,从虚拟专用网络的服务器中删除接入用户对应的静态回程路由。
本示例实施方式中,在VPN服务器监测到用户断开连接时,会自动删除该用户对应的静态回程路由。用户与VPN连接断开后立即回收静态路由,能够极大减少VPN服务器暴露在互联网的风险,基本杜绝VPN服务器被攻击的可能行。通过删除VPN服务器的默认路由,然后采用动态增删VPN服务器路由的方式,按需增删路由,从而尽可能保证路由的最小化,进一步保证VPN服务器的安全性。
本示例实施方式中,如图4所示,从虚拟专用网络的服务器中删除接入用户对应的静态回程路由,具体可以包括以下几个步骤:
步骤S410.从合法接入用户的用户认证信息中获取合法接入用户对应的互联网协议地址。
步骤S420.将合法接入用户对应的互联网协议地址从虚拟专用网络的路由表中删除。
从合法接入用户的用户认证信息中获取合法接入用户对应的IP地址之后,通过将合法接入用户的IP地址从到VPN服务器的路由表中删除,从而对该合法接入用户专属的静态回程路由进行回收,实现对路由数量的精准管控。
本示例实施方式中,如图5所示,将合法接入用户对应的互联网协议地址从虚拟专用网络的路由表中删除,具体可以包括以下几个步骤:
步骤S510.判断互联网协议地址对应的所有合法接入用户是否已经全部与虚拟专用网络断开连接。
在删除当前合法接入用户的IP地址对应的路由时,需要先查询该用户的IP地址对应的所有用户账号是否已经全部与VPN服务器断开连接。
步骤S520.若互联网协议地址对应的所有合法接入用户已经全部与虚拟专用网络断开连接,则将互联网协议地址从虚拟专用网络的路由表中删除。
若当前合法接入用户的IP地址对应的所有用户账号均与VPN服务器断开连接,则删除当前合法接入用户对应的静态回程路由,即将用户的IP地址从VPN服务器的路由表中删除。
步骤S530.若互联网协议地址对应的所有合法接入用户没有全部与虚拟专用网络断开连接,则将互联网协议地址保留在路由表中。
若当前合法接入用户的IP地址对应的所有用户账号中还有正在与VPN服务器连接的,则暂时将该用户的IP地址保留在VPN服务器的路由表中,等到这个IP地址对应的所有用户账号均与VPN服务器断开连接时,再将其从VPN服务器的路由表中删除。
如图6所示是本公开的一个具体实施方式中路由的控制方法的完整流程图,是对本示例实施方式中的上述步骤的举例说明,该流程图的具体步骤如下:
步骤S610.VPN接入用户在接入VPN拨号前,先查询所使用的出口公网IP地址。
步骤S620.VPN接入用户将公网出口IP地址、用户ID、终端MAC地址等用户认证信息通过短信、邮件或其它方式发送到VPN拨号服务器。
以通过短信实现VPN服务器和VPN的用户信息交换为例,VPN服务器开通短信接口接收功能,通过内部的短信接口实现用户认证信息的获取,并建立手机号码、VPN账号的对应关系表。
步骤S630.VPN拨号服务器收到用户的认证请求后进行初步认证,对合法的接入用户增加相应的静态回程路由。
VPN拨号服务器收到用户认证信息后,通过查询对应关系表判断接收信息的合法性,包括发送人和IP地址等,如果合法则增加相应的路由,并将增加的路由信息入库,然后将结果反馈给用户客户端,如果不合法则丢弃。
步骤S640.VPN接入用户收到反馈信息后,通过静态回程路由进行VPN拨号连接,远程访问内网。
步骤S650.VPN拨号服务器监测到用户连接断开后,自动删除对应的静态回程路由。
用户在进行VPN拨号连接后,如果断开VPN,VPN服务器检测到连接端口,根据VPN拨号账号查询对应的IP地址。如果这个IP地址对应的账号均断开,则删除IP对应的路由。如果多个拨号账号是通过同一个NAT(Network Address Translation,网络地址转换)的IP出去的,只能在所有的账号都退出后才能将路由删除。
应当注意,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
进一步的,本公开还提供了一种路由的控制装置。参考图7所示,该路由的控制装置可以包括认证信息获取模块710、合法用户判定模块720以及静态路由添加模块730。其中:
认证信息获取模块710可以用于响应于虚拟专用网络的接入用户所发送的认证请求,获取接入用户的用户认证信息;
合法用户判定模块720可以用于根据接入用户的用户认证信息判断接入用户是否为合法接入用户;
静态路由添加模块730可以用于在接入用户为合法接入用户时,在虚拟专用网络的服务器中添加合法接入用户对应的静态回程路由,以使合法接入用户通过静态回程路由与虚拟专用网络建立连接。
在本公开的一些示例性实施例中,合法用户判定模块720可以包括用户关系表获取单元、合法接入用户判定单元以及非法接入用户判定单元。其中:
用户关系表获取单元可以用于获取虚拟专用网络的合法用户关系表,并判断合法用户关系表中是否包含接入用户的用户认证信息;
合法接入用户判定单元可以用于若合法用户关系表中包含接入用户的用户认证信息,则判定接入用户为合法接入用户;
非法接入用户判定单元可以用于若合法用户关系表中不包含接入用户的用户认证信息,则判定接入用户为非法接入用户。
在本公开的一些示例性实施例中,静态路由添加模块730可以包括互联网协议地址获取单元以及互联网协议地址添加单元。其中:
互联网协议地址获取单元可以用于从合法接入用户的用户认证信息中获取合法接入用户对应的互联网协议地址;
互联网协议地址添加单元可以用于将合法接入用户对应的互联网协议地址添加到虚拟专用网络的路由表中,以生成合法接入用户对应的静态回程路由。
在本公开的一些示例性实施例中,本公开提供的一种路由的控制装置还可以包括静态路由删除模块,可以用于响应于接入用户对虚拟专用网络执行的连接断开操作,从虚拟专用网络的服务器中删除接入用户对应的静态回程路由。
在本公开的一些示例性实施例中,静态路由删除模块可以包括互联网协议地址获取单元以及互联网协议地址删除单元。其中:
互联网协议地址获取单元可以用于从合法接入用户的用户认证信息中获取合法接入用户对应的互联网协议地址;
互联网协议地址删除单元可以用于将合法接入用户对应的互联网协议地址从虚拟专用网络的路由表中删除。
在本公开的一些示例性实施例中,互联网协议地址删除单元可以包括用户连接情况判断单元、用户互联网协议地址删除单元以及用户互联网协议地址保留单元。其中:
用户连接情况判断单元可以用于判断互联网协议地址对应的所有合法接入用户是否已经全部与虚拟专用网络断开连接;
用户互联网协议地址删除单元可以用于若互联网协议地址对应的所有合法接入用户已经全部与虚拟专用网络断开连接,则将互联网协议地址从虚拟专用网络的路由表中删除;
用户互联网协议地址保留单元可以用于若互联网协议地址对应的所有合法接入用户没有全部与虚拟专用网络断开连接,则将互联网协议地址保留在路由表中。
在本公开的一些示例性实施例中,认证信息获取模块710可以包括认证信息类型识别单元以及用户认证信息获取单元。其中:
认证信息类型识别单元可以用于识别用户认证信息的认证信息类型;
用户认证信息获取单元可以用于从认证信息类型对应的信息获取接口,获取接入用户的用户认证信息。
上述路由的控制装置中各模块/单元的具体细节在相应的方法实施例部分已有详细的说明,此处不再赘述。
图8示出了适于用来实现本发明实施例的电子设备的计算机系统的结构示意图。
需要说明的是,图8示出的电子设备的计算机系统800仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图8所示,计算机系统800包括中央处理单元(CPU)801,其可以根据存储在只读存储器(ROM)802中的程序或者从存储部分808加载到随机访问存储器(RAM)803中的程序而执行各种适当的动作和处理。在RAM 803中,还存储有系统操作所需的各种程序和数据。CPU801、ROM 802以及RAM 803通过总线804彼此相连。输入/输出(I/O)接口805也连接至总线804。
以下部件连接至I/O接口805:包括键盘、鼠标等的输入部分806;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分807;包括硬盘等的存储部分808;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至I/O接口805。可拆卸介质811,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器810上,以便于从其上读出的计算机程序根据需要被安装入存储部分808。
特别地,根据本发明的实施例,下文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分809从网络上被下载和安装,和/或从可拆卸介质811被安装。在该计算机程序被中央处理单元(CPU)801执行时,执行本申请的系统中限定的各种功能。
需要说明的是,本公开所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现如下述实施例中所述的方法。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之,上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (7)
1.一种路由的控制方法,其特征在于,包括:
响应于虚拟专用网络的接入用户所发送的认证请求,获取所述接入用户的用户认证信息;
根据所述接入用户的用户认证信息判断所述接入用户是否为合法接入用户;
在所述接入用户为所述合法接入用户时,在所述虚拟专用网络的服务器中添加所述合法接入用户对应的静态回程路由,以使所述合法接入用户通过所述静态回程路由与所述虚拟专用网络建立连接;
响应于所述接入用户对所述虚拟专用网络执行的连接断开操作,从所述合法接入用户的用户认证信息中获取所述合法接入用户对应的互联网协议地址;
判断所述互联网协议地址对应的所有所述合法接入用户是否已经全部与所述虚拟专用网络断开连接;
若所述互联网协议地址对应的所有所述合法接入用户已经全部与所述虚拟专用网络断开连接,则将所述互联网协议地址从所述虚拟专用网络的路由表中删除;
若所述互联网协议地址对应的所有所述合法接入用户没有全部与所述虚拟专用网络断开连接,则将所述互联网协议地址保留在所述路由表中。
2.根据权利要求1所述的路由的控制方法,其特征在于,所述根据所述接入用户的用户认证信息判断所述接入用户是否为合法接入用户,包括:
获取所述虚拟专用网络的合法用户关系表,并判断所述合法用户关系表中是否包含所述接入用户的用户认证信息;
若所述合法用户关系表中包含所述接入用户的用户认证信息,则判定所述接入用户为合法接入用户;
若所述合法用户关系表中不包含所述接入用户的用户认证信息,则判定所述接入用户为非法接入用户。
3.根据权利要求1所述的路由的控制方法,其特征在于,所述在所述虚拟专用网络的服务器中添加所述合法接入用户对应的静态回程路由,包括:
从所述合法接入用户的用户认证信息中获取所述合法接入用户对应的互联网协议地址;
将所述合法接入用户对应的互联网协议地址添加到所述虚拟专用网络的路由表中,以生成所述合法接入用户对应的静态回程路由。
4.根据权利要求1所述的路由的控制方法,其特征在于,所述获取所述接入用户的用户认证信息,包括:
识别所述用户认证信息的认证信息类型;
从所述认证信息类型对应的信息获取接口,获取所述接入用户的用户认证信息。
5.一种路由的控制装置,其特征在于,包括:
认证信息获取模块,用于响应于虚拟专用网络的接入用户所发送的认证请求,获取所述接入用户的用户认证信息;
合法用户判定模块,用于根据所述接入用户的用户认证信息判断所述接入用户是否为合法接入用户;
静态路由添加模块,用于在所述接入用户为所述合法接入用户时,在所述虚拟专用网络的服务器中添加所述合法接入用户对应的静态回程路由,以使所述合法接入用户通过所述静态回程路由与所述虚拟专用网络建立连接;
协议地址获取模块,用于响应于所述接入用户对所述虚拟专用网络执行的连接断开操作,从所述合法接入用户的用户认证信息中获取所述合法接入用户对应的互联网协议地址;
连接情况判断模块,用于判断所述互联网协议地址对应的所有所述合法接入用户是否已经全部与所述虚拟专用网络断开连接;
协议地址删除模块,用于若所述互联网协议地址对应的所有所述合法接入用户已经全部与所述虚拟专用网络断开连接,则将所述互联网协议地址从所述虚拟专用网络的路由表中删除;
协议地址保留模块,用于若所述互联网协议地址对应的所有所述合法接入用户没有全部与所述虚拟专用网络断开连接,则将所述互联网协议地址保留在所述路由表中。
6.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储一个或多个程序,当所述一个或多个程序被所述处理器执行时,使得所述处理器实现如权利要求1至4中任一项所述的路由的控制方法。
7.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1至4中任一项所述的路由的控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110988687.4A CN113691545B (zh) | 2021-08-26 | 2021-08-26 | 路由的控制方法、装置、电子设备及计算机可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110988687.4A CN113691545B (zh) | 2021-08-26 | 2021-08-26 | 路由的控制方法、装置、电子设备及计算机可读介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113691545A CN113691545A (zh) | 2021-11-23 |
| CN113691545B true CN113691545B (zh) | 2023-03-24 |
Family
ID=78583147
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110988687.4A Active CN113691545B (zh) | 2021-08-26 | 2021-08-26 | 路由的控制方法、装置、电子设备及计算机可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113691545B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102137173A (zh) * | 2010-12-27 | 2011-07-27 | 华为技术有限公司 | 路由信息发布方法、设备及虚拟专用网系统 |
| CN108322366A (zh) * | 2017-01-17 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 接入网络的方法、装置和系统 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100372322C (zh) * | 2003-07-23 | 2008-02-27 | 华为技术有限公司 | 一种控制私网用户访问权限的方法 |
| CN100409630C (zh) * | 2005-06-15 | 2008-08-06 | 杭州华三通信技术有限公司 | 提高虚拟专用网用户安全性的方法及系统 |
| CN101309272B (zh) * | 2008-07-09 | 2012-12-19 | 中兴通讯股份有限公司 | 认证服务器及虚拟专用网的移动通信终端接入控制方法 |
| CN101447907A (zh) * | 2008-10-31 | 2009-06-03 | 北京东方中讯联合认证技术有限公司 | Vpn安全接入方法及系统 |
| KR101303120B1 (ko) * | 2011-09-28 | 2013-09-09 | 삼성에스디에스 주식회사 | 상호 인증 기반의 가상사설망 서비스 장치 및 방법 |
| CN104869097A (zh) * | 2014-02-20 | 2015-08-26 | 杭州华三通信技术有限公司 | 一种基于vpn网络进行路由限制的方法及其装置 |
| CN104579879A (zh) * | 2014-12-05 | 2015-04-29 | 上海斐讯数据通信技术有限公司 | 一种虚拟专用网络通信系统、连接方法及数据包传输方法 |
| US10938788B2 (en) * | 2018-12-12 | 2021-03-02 | Vmware, Inc. | Static routes for policy-based VPN |
| CN110290044B (zh) * | 2019-06-26 | 2021-08-06 | 普联技术有限公司 | 一种vpn网络和主干网络的分流方法、装置及存储介质 |
-
2021
- 2021-08-26 CN CN202110988687.4A patent/CN113691545B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102137173A (zh) * | 2010-12-27 | 2011-07-27 | 华为技术有限公司 | 路由信息发布方法、设备及虚拟专用网系统 |
| CN108322366A (zh) * | 2017-01-17 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 接入网络的方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113691545A (zh) | 2021-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8584231B2 (en) | Service opening method and system, and service opening server | |
| US6788692B1 (en) | Network switch load balancing | |
| CN112261172B (zh) | 服务寻址访问方法、装置、系统、设备及介质 | |
| WO2019010734A1 (zh) | 一种业务应用流量的引导方法和系统 | |
| CN111132305B (zh) | 5g用户终端接入5g网络的方法、用户终端设备及介质 | |
| CN115002769B (zh) | 流量分流方法、核心网网元、电子设备和介质 | |
| CN115801299B (zh) | 元宇宙身份认证方法、装置、设备及存储介质 | |
| CN113271299B (zh) | 一种登录方法和服务器 | |
| CN112202744A (zh) | 一种多系统数据通信方法和装置 | |
| US11457046B2 (en) | Distributed network resource security access management system and user portal | |
| US20030137944A1 (en) | Method and apparatus for authenticated quality of service reservation | |
| CN113438256B (zh) | 一种基于双层ssl的数据传输方法、系统和代理服务器 | |
| CN111885190B (zh) | 服务请求处理方法及系统 | |
| CN114629912B (zh) | 基于mec的通信传输方法及装置 | |
| CN107770203B (zh) | 一种服务请求转发方法、装置及系统 | |
| CN113691545B (zh) | 路由的控制方法、装置、电子设备及计算机可读介质 | |
| CN115296866B (zh) | 一种边缘节点的访问方法及装置 | |
| CN113055186B (zh) | 一种跨系统的业务处理方法、装置及系统 | |
| CN115695218A (zh) | 基于零信任机制的运维管理方法、装置和相关设备 | |
| CN110324826B (zh) | 一种内网访问方法及相关装置 | |
| CN113905021B (zh) | 固定电话的通信方法、装置、电子设备以及存储介质 | |
| CN113810330A (zh) | 发送验证信息的方法、装置及存储介质 | |
| CN111988319B (zh) | 访问控制方法及装置 | |
| CN110661854A (zh) | 一种分行需求处理方法和装置 | |
| CN113271285B (zh) | 接入网络的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |