CN116015692A - 一种网络准入控制方法、装置、终端及存储介质 - Google Patents
一种网络准入控制方法、装置、终端及存储介质 Download PDFInfo
- Publication number
- CN116015692A CN116015692A CN202111216029.XA CN202111216029A CN116015692A CN 116015692 A CN116015692 A CN 116015692A CN 202111216029 A CN202111216029 A CN 202111216029A CN 116015692 A CN116015692 A CN 116015692A
- Authority
- CN
- China
- Prior art keywords
- data packet
- terminal
- protocol stack
- session
- network protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例适用于计算机安全技术领域,提供了一种网络准入控制方法、装置、终端及存储介质,其中,网络准入控制方法包括:判断在终端的网络协议栈中抓取到的数据包是否由终端发出,得到判断结果;在判断结果表征数据包由终端发出的情况下,在数据包中添加预设标识,并将添加了预设标识的数据包放回网络协议栈,以实现将数据包发送至对端设备;在判断结果表征数据包不是由所述终端发出的情况下,基于数据包中是否存在预设标识,确定是否将数据包放回网络协议栈,以发送至终端中与数据包对应的应用。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种网络准入控制方法、装置、终端及存储介质。
背景技术
网络准入控制可以防止病毒和蠕虫等黑客技术对数据安全造成危害,相关技术中网络准入控制需要通过交换机实现,对连接到交换机上的设备进行认证,只有在验证成功后,交换机端口才会被放开,否则只允许特定的认证流量通过。相关技术通过交换机来实现网络准入,需要修改大量的交换机配置,部署难度较大。
发明内容
为了解决上述问题,本发明实施例提供了一种网络准入控制方法、装置、终端及存储介质,以至少解决相关技术通过交换机实现网络准入的部署难度较大的问题。
本发明的技术方案是这样实现的:
第一方面,本发明实施例提供了一种网络准入控制方法,应用于终端中安装的客户端,所述方法包括:
判断在所述终端的网络协议栈中抓取到的数据包是否由所述终端发出,得到判断结果;
在所述判断结果表征所述数据包由所述终端发出的情况下,在所述数据包中添加预设标识,并将添加了预设标识的数据包放回网络协议栈,以实现将所述数据包发送至对端设备;
在所述判断结果表征所述数据包不是由所述终端发出的情况下,基于所述数据包中是否存在预设标识,确定是否将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
上述方案中,在所述判断结果表征所述数据包由所述终端发出的情况下,还包括:
在不存在与所述数据包对应会话的情况下,创建与所述数据包对应的会话;
相应地,所述在所述判断结果表征所述数据包不是由所述终端发出的情况下,基于所述数据包中是否存在预设标识,确定是否将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用,包括:
在所述判断结果表征所述数据包不是由所述终端发出的情况下,判断是否存在与接收的所述数据包对应的会话;
若存在对应的会话,则将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用;
若不存在对应的会话,则判断所述数据包中是否存在预设标识,在判断存在所述预设标识时,创建会话,并将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
上述方案中,所述在不存在与所述数据包对应会话的情况下,创建与所述数据包对应的会话,包括:
在不存在与所述数据包对应会话的情况下,创建与所述数据包对应的会话,并标注该会话为主动;
所述若不存在对应的会话,则判断所述数据包中是否存在预设标识,在判断存在所述预设标识时,创建会话,并将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用,包括:
若不存在对应的会话,则判断所述数据包中是否存在预设标识,在判断存在所述预设标识时,创建会话,标注该会话为被动,并将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用;
相应地,所述若存在对应的会话,则将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用,包括:
若存在对应的会话,则进一步判断该会话是主动发起还是被动响应;
若是主动发起,则将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用;
若是被动响应,则判断所述数据包中是否存在预设标识,确定是否将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
上述方案中,所述在所述数据包中添加预设标识,包括:
确定所述数据包的网际互连协议IP报文中的设定字段的值;
基于设定规则对所述设定字段的值进行修改,得到所述预设标识。
上述方案中,在判断在所述终端的网络协议栈中抓取到的数据包是否由所述终端发出之前,所述方法还包括:
连接设定网关;
在基于所述设定网关推送的认证页面认证成功的情况下,开启所述客户端抓取数据包和在数据包中添加预设标识的权限。
上述方案中,所述将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用发送至所述终端中与所述数据包对应的应用,包括:
删除所述数据包中的预设标识;
将删除了预设标识的数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
上述方案中,所述客户端基于WinDivert框架实现对所述终端的数据包抓取以及修改操作。
第二方面,本发明实施例提供了一种网络准入控制方法,应用于终端中安装的客户端,所述方法包括:
判断在所述终端的网络协议栈中抓取到的数据包的地址是否为预设地址;
若是所述预设地址,则将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
上述方案中,所述预设地址包括媒体存取控制MAC地址和IP地址。
上述方案中,所述判断在所述终端的网络协议栈中抓取到的数据包的地址是否为预设地址,包括:
从设定网关获取预设地址列表,判断在所述终端的网络协议栈中抓取到的数据包的地址是否在所述预设地址列表中;
若在所述预设地址列表中,确定在所述终端的网络协议栈中抓取到的数据包的地址为预设地址。
上述方案中,所述方法还包括:
连接所述设定网关;
在基于所述设定网关推送的认证页面认证成功的情况下,将所述终端的预设地址发送至所述设定网关,以使所述设定网关将所述终端的预设地址记录在所述预设地址列表中。
第三方面,本发明实施例提供了一种网络准入控制装置,该装置包括:
第一判断模块,用于判断在所述终端的网络协议栈中抓取到的数据包是否由所述终端发出,得到判断结果;
添加模块,用于在所述判断结果表征所述数据包由所述终端发出的情况下,在所述数据包中添加预设标识,并将添加了预设标识的数据包放回网络协议栈,以实现将所述数据包发送至对端设备;
确定模块,用于在所述判断结果表征所述数据包不是由所述终端发出的情况下,基于所述数据包中是否存在预设标识,确定是否将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
第四方面,本发明实施例提供了一种网络准入控制装置,该装置包括:
第二判断模块,用于判断在所述终端的网络协议栈中抓取到的接收数据包的地址是否为预设地址;
发送模块,用于若是所述预设地址,则将所述接收数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
第五方面,本发明实施例提供了一种终端,包括处理器和存储器,所述处理器和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行本发明实施例第一方面或第二方面提供的网络准入控制方法的步骤。
第六方面,本发明实施例提供了一种计算机可读存储介质,包括:所述计算机可读存储介质存储有计算机程序。所述计算机程序被处理器执行时实现如本发明实施例第一方面或第二方面提供的网络准入控制方法的步骤。
本发明实施例通过判断在终端的网络协议栈中抓取到的数据包是否由终端发出,得到判断结果。在判断结果表征数据包由所述终端发出的情况下,在数据包中添加预设标识,并将添加了预设标识的数据包放回网络协议栈,以实现将数据包发送至对端设备。在判断结果表征数据包不是由终端发出的情况下,基于数据包中是否存在预设标识,确定是否将数据包放回网络协议栈,以发送至终端中与所述数据包对应的应用。本发明实施例对于终端发出的数据包,对数据包进行放通;对于不是终端发出的数据包,根据数据包中是否存在预设标识来确定是否放通数据包,从而实现了网络准入控制的效果。相比相关技术需要通过交换机实现网络准入控制,本发明实施例不需要使用交换机,部署成本低,而且轻量易部署,本申请只需进行客户端的推送(目前客户端的推送方式有很多种,比如AD域等,简单且易于实现),无需购买实现网络准入控制的交换机并部署该交换机,显然相比传统的方法本申请更为简单易部署。
附图说明
图1是本发明实施例提供的一种网络准入控制方法的实现流程示意图;
图2是本发明实施例提供的另一种网络准入控制方法的实现流程示意图;
图3是本发明实施例提供的另一种网络准入控制方法的实现流程示意图;
图4是本发明实施例提供的另一种网络准入控制方法的实现流程示意图;
图5是本发明实施例提供的另一种网络准入控制方法的实现流程示意图;
图6是本发明实施例提供的另一种网络准入控制方法的实现流程示意图;
图7是本发明实施例提供的另一种网络准入控制方法的实现流程示意图;
图8是本发明应用实施例提供的一种推端页面的示意图;
图9是本发明应用实施例提供的一种局域网的网络拓扑图;
图10是本发明应用实施例提供的一种网络准入控制的流程示意图;
图11是本发明实施例提供的一种网络准入控制装置的示意图;
图12是本发明实施例提供的一种网络准入控制装置的示意图;
图13是本发明一实施例提供的终端的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
大型企业往往利用动态主机配置协议(DHCP,Dynamic Host ConfigurationProtocol)进行网际互连协议(IP,Internet Protocol)地址的分发,用户电脑无需配置IP地址,在接入网络的时候,网络上的DHCP服务器将自动为每个电脑网卡分配一个可用的IP地址。二层准入就是用户在获得三层IP地址之前必须通过的认证,当用户在接入网络之初,需要同网络侧通过二层链接进行认证数据的交互,只有成功通过认证才能向DHCP服务器申请IP地址,从而收发数据。
二层准入的代表实现方式就是802.1X协议,802.1X协议是一种基于端口的网络接入控制协议。基于端口的网络接入控制,是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。802.1X协议支持多网络厂商,可在网络交换机上实现。
现有二层准入一般是通过交换机实现,比如802.1X认证只有用户身份验证成功后,交换机端口才会被放开,否则只允许特定的认证流量通过。通过交换机部署网络准入部署配置复杂,成本较大,需要购买支持对应特性的交换机进行网络部署。
针对上述相关技术的缺点,本发明实施例提供了一种网络准入控制方法,至少能够减少网络准入的部署难度。为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
图1是本发明实施例提供的一种网络准入控制方法的实现流程示意图,所述网络准入控制方法的执行主体为终端,终端可以为台式电脑、笔记本电脑和服务器等。终端中安装有客户端,所述客户端完成所述网络准入控制方法。参考图1,网络准入控制方法包括:
S101,判断在所述终端的网络协议栈中抓取到的数据包是否由所述终端发出,得到判断结果。
这里,数据包可以指终端发送给对端设备的数据包,也可以是对端设备发送给终端的数据包。
客户端在终端的网络协议栈中抓取数据包,网络协议栈可以分为5层:应用层(http)、传输层(TCP)、网络层(IP)、数据链路层(网络特有的链路接口)和物理层(物理网络硬件)。终端需要发送给对端设备的数据包,或者接收到对端设备发送来的数据包,都由网络协议栈进行处理。
在一实施例中,所述客户端基于WinDivert框架实现对所述终端的数据包抓取以及修改操作。
数据包转移(WinDivert)是一种用户模式的数据包捕获和转移,可以用于windowsvista、windows 2008、windows 7、windows 8和windows 10。WinDivert允许用户模式应用程序捕获、修改、丢弃从windows网络堆栈发送的网络数据包。这里,客户端基于WinDivert框架可以抓取网络协议栈中的数据包。
因为数据包可以是终端发送给对端设备的数据包,还可以是对端设备发送给终端的数据包,所以需要判断数据包是否由终端发出的。
S102,在所述判断结果表征所述数据包由所述终端发出的情况下,在所述数据包中添加预设标识,并将添加了预设标识的数据包放回网络协议栈,以实现将所述数据包发送至对端设备。
如果数据包是终端自身产生的数据包,比如终端中的通讯软件产生的数据包,则由终端发送给对端设备中的通讯软件。
这里,终端发出的数据包都携带特殊标识,通过特殊标识可以分辨数据包是否由终端发出的。
如果判断结果表征数据包由终端发出的情况下,则在数据包中添加预设标识,并将添加了预设标识的数据包放回网络协议栈,以实现将所述数据包发送至对端设备。这里,对端设备可以是同一个局域网中的设备,比如打印机、投影仪、台式电脑等。
参考图2,在一实施例中,所述在所述数据包中添加预设标识,包括:
S201,确定所述数据包的IP报文中的设定字段的值。
在一实施例中,设定字段可以指IP报文头部的Identification字段,Identification字段的值是2个字节(16位)的数字。
S202,基于设定规则对所述设定字段的值进行修改,得到所述预设标识。
按照设定规则对设定字段的值进行修改,比如修改Identification字段的高4位的值,使其符合低12位的某种规律。比如设定规则为:高4位(15-12)的值=11-8位^7-4位^3-0位+1,然后置反。^是异或,0^0=0,0^1=1,1^0=1,1^1=0。不相同得1,相同得0。
例如,Identification字段的值是0000000100100011。按照设定规则对高4位的值进行修改,0001^0010^0011=0000,0000+1=0001,0001置反=1110。即修改后的Identification的高4位为1110,修改后的Identification字段的值为1110000100100011。
对数据包中的IP报文头部的Identification字段的值进行修改,并将修改后的数据包发送至对端设备。
S103,在所述判断结果表征所述数据包不是由所述终端发出的情况下,基于所述数据包中是否存在预设标识,确定是否将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
如果判断结果表征数据包不是终端发出的,那么数据包是对端设备(数据包的发送端)发送过来的,基于数据包中是否存在预设标识,确定是否将数据包放回网络协议栈,以发送至终端中与数据包对应的应用。
例如,如果数据包中存在预设标识,则将数据包放回网络协议栈,以发送至终端中与数据包对应的应用。如果数据包中不存在预设标识,则将数据包从网络协议栈中删除。
对于局域网中的设备,由于程序集中安装简单,只要在终端中安装客户端,即可实现局域网内部各个终端设备的访问控制,相对于现有的基于交换机的局域网内部访问控制方案来说,无需较为复杂的交换机部署配置,实现简单。
本发明实施例通过判断在终端的网络协议栈中抓取到的数据包是否由终端发出,得到判断结果。在判断结果表征数据包由所述终端发出的情况下,在数据包中添加预设标识,并将添加了预设标识的数据包放回网络协议栈,以实现将数据包发送至对端设备。在判断结果表征数据包不是由终端发出的情况下,基于数据包中是否存在预设标识,确定是否将数据包放回网络协议栈,以发送至终端中与所述数据包对应的应用。本发明实施例对于终端发出的数据包,对数据包进行放通;对于不是终端发出的数据包,根据数据包中是否存在预设标识来确定是否放通数据包,从而实现了网络准入控制的效果。相比相关技术需要通过交换机实现网络准入控制,本发明实施例不需要使用交换机,部署成本低,而且轻量易部署。本申请只需进行客户端的推送(目前客户端的推送方式有很多种,比如AD域等,简单且易于实现),无需购买实现网络准入控制的交换机并部署该交换机,显然相比传统的方法本申请更为简单易部署。
在一实施例中,在所述判断结果表征所述数据包由所述终端发出的情况下,还包括:
在不存在与所述数据包对应会话的情况下,创建与所述数据包对应的会话。
比如,终端第一次与对端设备通信的时候,由于终端不存在与对端设备的会话,所以终端需要创建与对端设备的会话。与数据包对应的会话即为与对端设备的会话。
相应地,参考图3,在一实施例中,所述在所述判断结果表征所述数据包不是由所述终端发出的情况下,基于所述数据包中是否存在预设标识,确定是否将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用,包括:
S301,在所述判断结果表征所述数据包不是由所述终端发出的情况下,判断是否存在与接收的所述数据包对应的会话。
这里,会话是指一个终端与另一个终端进行通信的过程。如果终端与对端设备在发送该数据包之前,终端与数据包的发送端还有过其他数据包的传输,则认为终端与数据包的发送端之间存在会话。这里,可以通过查询终端的历史通信记录来确定终端与数据包的发送端之间是否存在会话。
会话包括主动会话和被动会话,主动会话指终端主动创建的会话;被动会话指由于对端设备主动访问而被动创建的会话。
S302,若存在对应的会话,则将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
在数据包不是由终端发出的情况下,如果终端与对端设备存在会话,则将数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
S303,若不存在对应的会话,则判断所述数据包中是否存在预设标识,在判断存在所述预设标识时,创建会话,并将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
在数据包不是由终端发出的情况下,如果终端与对端设备不存在会话,则判断数据包中是否存在预设标识,如果存在预设标识,则终端创建与对端设备的会话,并将数据包放回网络协议栈,以发送至终端中与数据包对应的应用。
上述实施例中,如果局域网中存在亚终端,亚终端设备指无法安装客户端的设备,比如打印机、投影仪等。亚终端无法在数据包中添加预设标识,当终端主动访问亚终端时,这种情况下由于亚终端回包中不存在预设标识,导致终端无法获取亚终端回包。因此,本发明实施例对于终端主动发送的数据包,会创建与对端设备的会话,即使对端设备是亚终端,也能正常获取亚终端的回包。
在一实施例中,所述在不存在与所述数据包对应会话的情况下,创建与所述数据包对应的会话,包括:
在数据包由终端发出,且不存在与所述数据包对应会话的情况下,创建与所述数据包对应的会话,并标注该会话为主动。
所述若不存在对应的会话,则判断所述数据包中是否存在预设标识,在判断存在所述预设标识时,创建会话,并将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用,包括:
若不存在对应的会话,则判断所述数据包中是否存在预设标识,在判断存在所述预设标识时,创建会话,标注该会话为被动,并将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
在数据包不是由终端发出,且终端与对端设备不存在会话的情况下,如果数据包中存在预设标识,则创建终端与对端设备的会话,标注该会话为被动。
相应地,参考图4,在一实施例中,所述若存在对应的会话,则将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用,包括:
S401,若存在对应的会话,则进一步判断该会话是主动发起还是被动响应。
S402,若是主动发起,则将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
S403,若是被动响应,则判断所述数据包中是否存在预设标识,确定是否将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
本发明实施例对于主动发起的会话,由于会话是终端主动发起的,因此终端会维护会话,对端设备发送的数据包都选择接收。对于被动响应的会话,因为对端设备可能是恶意终端,所以对于被动响应的会话,在接收到数据包后,终端都要检测数据包是否含有预设标识,来决定是否将数据包发送至终端应用。比如,如果没有预设标识,则丢弃数据包。本发明实施例增强了网络准入的安全性。
预设标识的作用是辨别对端设备是否为恶意终端,避免非法终端对合法终端的主动访问。如果数据包携带有预设标识,表明对面设备是可以进行通信的安全设备。
参考图5,在一实施例中,所述所述将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用,包括:
S501,删除所述数据包中的预设标识。
S502,将删除了预设标识的数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
有一些在数据包中添加预设标识的方式会影响到终端设备接收数据包,可能导致终端设备无法接收数据包。所以在本发明实施例中,终端会删除数据包中的预设标识,还原成初始的数据包,以此确保数据包能够发送到发送至终端中与数据包对应的应用。
比如,如果预设标识是对IP报文头部的Identification字段进行修改得到的,则对其Identification字段进行还原,恢复原来的Identification字段。例如,修改后的Identification是1110000100100011,原来的Identification是1110000100100011。
需不需要还原数据包取决于预设标识的生成方式,如果在数据包中添加预设标识会导致终端无法接收数据包,则需要对其进行还原。在一实施例中,可以对数据包都进行还原,这可以确保数据包能够发送至终端中与数据包对应的应用。
参考图6,在一实施例中,在判断在所述终端的网络协议栈中抓取到的数据包是否由所述终端发出之前,所述方法还包括:
S601,连接设定网关。
S602,在基于所述设定网关推送的认证页面认证成功的情况下,开启所述客户端抓取数据包和在数据包中添加预设标识的权限。
这里,可以是终端执行认证操作,也可以是网关执行认证操作。
在本发明实施例中,终端需要连接到设定网关进行认证,设定网关向终端推送认证页面,认证用于确定终端是否为恶意终端。用户需要在认证页面上输入需要认证的信息,比如账户和密码等。终端将认证信息发送到设定网关,设定网关通过对比后台数据库中的信息,对认证信息进行认证。认证成功的情况下,设定网关开启客户端抓取数据包和在数据包中添加预设标识的权限。这样可以避免恶意终端的非法访问,提高安全性。
这里,可以是网关发送权限开启标志给客户端,从而启动客户端抓取数据包和在数据包中添加预设标识的功能。
在实际应用中,可以通过客户端实现网络准入,在终端上安装客户端,通过客户端抓取数据包和添加标识。对于局域网中的设备,只有装有客户端的设备才能主动访问其他设备,没有安装客户端的设备无法主动访问其他设备。安装客户端之后再进行认证,可以避免恶意终端通过非法安装客户端实现对合法终端的访问。
参考图7,图7是本发明实施例提供的另一种网络准入控制方法的实现流程示意图,所述网络准入控制方法的执行主体为终端,终端可以为台式电脑、笔记本电脑和服务器等。终端中安装有客户端,所述客户端完成所述网络准入控制方法。参考图7,网络准入控制方法包括:
S701,判断在所述终端的网络协议栈中抓取到的数据包的地址是否为预设地址。
在一实施例中,所述预设地址包括媒体存取控制位址(MAC,Media AccessControl Address)和IP地址。
S702,若是所述预设地址,则将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
在一实施例中,所述判断在所述终端的网络协议栈中抓取到的数据包的地址是否为预设地址,包括:
从设定网关获取预设地址列表,判断在所述终端的网络协议栈中抓取到的数据包的地址是否在所述预设地址列表中;
若在所述预设地址列表中,确定在所述终端的网络协议栈中抓取到的数据包的地址为预设地址。
若不在预设地址列表中,则丢弃网络协议栈中的该数据包。
本发明实施例中,网关中存储有预设地址列表,预设地址列表中存储有合法终端的预设地址。如果在终端的网络协议栈中抓取到的数据包的地址在预设地址列表中,则将数据包放回网络协议栈,以发送至终端中与数据包对应的应用。
这里,网关可以将预设地址列表发送给局域网中每一个安装有客户端的终端,终端自己根据预设地址列表判断在所述终端的网络协议栈中抓取到的数据包的地址是否为预设地址。
在一实施例中,所述方法还包括:
连接所述设定网关,在基于所述设定网关推送的认证页面认证成功的情况下,将所述终端的预设地址发送至所述设定网关,以使所述设定网关将所述终端的预设地址记录在所述预设地址列表中。
终端向网关发起认证,认证通过后网关在预设地址列表中记录终端的预设地址。或者还可以人为在网关的预设地址列表中添加预设地址。
对于MAC地址,在网关处,可以人为配置合法终端MAC地址列表,终端通过与网关通信,获取该MAC地址列表,以通过该MAC地址列表识别主动接入的非法终端。也可以为:终端向网关发起认证,认证通过后,网关记录该合法终端的MAC地址,以此使得网关主动获取合法终端MAC地址列表,避免人为配置。
对于IP地址,在网关处,可以人为配置合法终端IP地址列表,终端通过与网关通信,获取该IP地址列表,以通过该列表识别主动接入的非法终端。也可以为:终端向网关发起认证,认证通过后,网关记录该合法终端的IP地址,以此使得网关主动获取合法终端IP地址列表,避免人为配置。
本发明实施例通过判断在所述终端的网络协议栈中抓取到的数据包的地址是否为预设地址。若是预设地址,则将数据包放回网络协议栈,以发送至终端中与数据包对应的应用。本发明实施例通过判断数据包中是否存在预设地址,可以避免非法终端对合法终端的访问,实现网络准入控制。
参考图8,图8是本发明应用实施例提供的一种推端页面的示意图。本发明应用实施例通过客户端实现网络准入,如图8所示,在开启推送客户端功能之后,就会提示用户安装客户端。推端是网关的已有功能,终端访问任意网络资源时,因为开启了推端选项,所以会重定向到装端页面,用户下载装端页面推送的客户端并完成认证后才能访问网络资源(装端的过程有很多方式,前期需要安装客户端来构建安全边界)。
参考图9,图9是本发明应用实施例提供的一种局域网的网络拓扑图。管理员在安全网关配置推端及认证策略,并要求用户安装客户端。例如,A网络的路由器连接有装端设备、未装端设备和亚终端设备。装端设备指安装有客户端的设备、未装端设备指没有安装客户端的设备、亚终端设备指无法安装客户端的设备。
对于刚接入局域网中的设备,或者开启了推端选项的时候,局域网中的设备访问www.baidu.com或其它网络侧的资源,因为开启了推端选项,所以会重定向到装端页面,用户下载客户端并认证后才能访问。
设备安装客户端后,需要连接AC网关,并根据认证策略进行认证,才能够正常访问网络侧资源。设备安装客户端,连接网关并认证后,才会启用改包功能。即不是安装客户端后无条件改包,只有完成认证才能改包,避免恶意终端通过非法安装客户端实现对合法终端的访问。
装端设备间访问:装端设备A1访问装端设备A2场景,因为数据包都打上了特定标记,所以装端设备A1和装端设备A2的客户端都会放通彼此的流量。
限制未装端设备的主动访问:未装端设备B访问已经装端设备A1\A2场景,装端设备上的客户端会利用windivert框架获取到流量,当发现非自己发起的会话(客户端维护了会话的概念,可以知道会话是不是自己发起),且IP数据没有特定标记时,进行丢包。所以未装端设备B无法访问装端设备A1\A2。
放通亚终端的被动访问:即装端设备A1\A2访问亚终端设备C(比如打印机,无法安装客户端,但不是攻击者)场景。装端设备A1\A2访问亚终端设备C,亚终端设备C也会回复数据包,但因为会话的是装端设备A1\A2发起的,所以亚终端虽然没有装端,回包也不会被丢弃。
简而言之,客户端维护会话(包含会话方向),对非主动发起的会话,通过校验数据包的特定标记,控制未装端设备的访问。装端设备可以随意访问,但未装端设备无法主动访问装端设备。最终达成网络准入的效果。
参考图10,图10是本发明应用实施例提供的一种网络准入控制的流程示意图。网络准入控制流程包括:
首先,客户端进行抓包,基于WinDivert框架在终端的IP层抓取数据包。
然后,判断抓取到的数据包是否是本地主动发出的,本地发起的数据都是合法的,如果数据包是本地主动发出的,则对数据包进行改包,改包指在数据包中添加标记,然后将添加了标记的数据包发给对端设备。如果终端与对端设备不存在会话,则终端会主动创建会话,标记会话为主动。
如果数据包不是本地主动发出的,则判断终端与对端设备是否存在会话,如果存在会话,则继续判断会话是否是本地主动发起的,如果是本地主动发起的会话,本地发起的会话都是合法的,直接放通,对数据包进行改包,这里改包指还原数据包中的标记,然后将还原了标记的数据包往内发送(发给终端应用)。
如果会话不是本地主动发起的,或者终端与对端设备不存在会话的情况下,非本机发起的会话需要校验对端设备发出的数据包,确定数据包中是否存在标记,如果存在标记,则对数据包进行改包,这里改包指还原数据包中的标记,然后将还原了标记的数据包往内发送(发给终端应用)。如果终端与对端设备不存在会话,则终端会创建会话,标记会话为被动。如果不存在标记,则丢弃数据包。
本发明应用实施例对于本机主动发出的数据包会维护会话,主动发起的会话就放通数据包;对于不是本机主动发出的数据包,又不存在会话,又没有标记,则拒绝访问。本发明应用实施例实现了网络准入控制的效果,部署成本低,且部署简单。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
需要说明的是,本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
另外,在本发明实施例中,“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
参考图11,图11是本发明实施例提供的一种网络准入控制装置的示意图,如图11所示,该装置包括:第一判断模块、添加模块和确定模块。
第一判断模块,用于判断在所述终端的网络协议栈中抓取到的数据包是否由所述终端发出,得到判断结果;
添加模块,用于在所述判断结果表征所述数据包由所述终端发出的情况下,在所述数据包中添加预设标识,并将添加了预设标识的数据包放回网络协议栈,以实现将所述数据包发送至对端设备;
确定模块,用于在所述判断结果表征所述数据包不是由所述终端发出的情况下,基于所述数据包中是否存在预设标识,确定是否将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
在一实施例中,所述装置还包括:
创建模块,用于在不存在与所述数据包对应会话的情况下,创建与所述数据包对应的会话;
相应地,所述确定模块在所述判断结果表征所述数据包不是由所述终端发出的情况下,基于所述数据包中是否存在预设标识,确定是否将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用,用于:
在所述判断结果表征所述数据包不是由所述终端发出的情况下,判断是否存在与接收的所述数据包对应的会话;
若存在对应的会话,则将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用;
若不存在对应的会话,则判断所述数据包中是否存在预设标识,在判断存在所述预设标识时,创建会话,并将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
在一实施例中,所述创建模块在不存在与所述数据包对应会话的情况下,创建与所述数据包对应的会话,用于:
在不存在与所述数据包对应会话的情况下,创建与所述数据包对应的会话,并标注该会话为主动;
所述确定模块在若不存在对应的会话,则判断所述数据包中是否存在预设标识,在判断存在所述预设标识时,创建会话,并将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用时,用于:
若不存在对应的会话,则判断所述数据包中是否存在预设标识,在判断存在所述预设标识时,创建会话,标注该会话为被动,并将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用;
相应地,所述确定模块在若存在对应的会话,则将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用时,用于:
若存在对应的会话,则进一步判断该会话是主动发起还是被动响应;
若是主动发起,则将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用;
若是被动响应,则判断所述数据包中是否存在预设标识,确定是否将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
在一实施例中,所述确定模块在将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用,用于:
删除所述数据包中的预设标识;
将删除了预设标识的数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
在一实施例中,所述添加模块在所述数据包中添加预设标识,用于:
确定所述数据包的网际互连协议IP报文中的设定字段的值;
基于设定规则对所述设定字段的值进行修改,得到所述预设标识。
在一实施例中,所述装置还包括:
第一连接模块,用于连接设定网关;
第一认证模块,用于在基于所述设定网关推送的认证页面认证成功的情况下,开启所述客户端抓取数据包和在数据包中添加预设标识的权限。
在一实施例中,所述客户端基于WinDivert框架实现对所述终端的数据包抓取以及修改操作。
参考图12,图12是本发明实施例提供的另一种网络准入控制装置的示意图,如图12所示,该装置包括:第一判断模块、添加模块和确定模块。
第二判断模块,用于判断在所述终端的网络协议栈中抓取到的接收数据包的地址是否为预设地址;
发送模块,用于若是所述预设地址,则将所述接收数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
在一实施例中,所述预设地址包括媒体存取控制MAC地址和IP地址。
在一实施例中,所述第二判断模块在判断在所述终端的网络协议栈中抓取到的数据包的地址是否为预设地址时,用于:
从设定网关获取预设地址列表,判断在所述终端的网络协议栈中抓取到的数据包的地址是否在所述预设地址列表中;
若在所述预设地址列表中,确定在所述终端的网络协议栈中抓取到的数据包的地址为预设地址。
在一实施例中,所述装置还包括:
第一连接模块,用于连接所述设定网关;
第二认证模块,用于在基于所述设定网关推送的认证页面认证成功的情况下,将所述终端的预设地址发送至所述设定网关,以使所述设定网关将所述终端的预设地址记录在所述预设地址列表中。
实际应用时,所述第一判断模块、添加模块和确定模块可通过终端中的处理器,比如中央处理器(CPU,Central Processing Unit)、数字信号处理器(DSP,Digital SignalProcessor)、微控制单元(MCU,Microcontroller Unit)或可编程门阵列(FPGA,Field-Programmable Gate Array)等实现。
需要说明的是:上述实施例提供的网络准入控制装置在进行网络准入控制时,仅以上述各模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的模块完成,即将装置的内部结构划分成不同的模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的网络准入控制装置与网络准入控制方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本申请实施例的方法,本申请实施例还提供了一种终端。图13为本申请实施例终端的硬件组成结构示意图,如图13所示,终端包括:
通信接口,能够与其它设备比如网络设备等进行信息交互;
处理器,与所述通信接口连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述终端侧一个或多个技术方案提供的方法。而所述计算机程序存储在存储器上。
当然,实际应用时,终端中的各个组件通过总线系统耦合在一起。可理解,总线系统用于实现这些组件之间的连接通信。总线系统除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图13中将各种总线都标为总线系统。
本申请实施例中的存储器用于存储各种类型的数据以支持终端的操作。这些数据的示例包括:用于在终端上操作的任何计算机程序。
可以理解,存储器可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器,处理器读取存储器中的程序,结合其硬件完成前述方法的步骤。
可选地,所述处理器执行所述程序时实现本申请实施例的各个方法中由终端实现的相应流程,为了简洁,在此不再赘述。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的第一存储器,上述计算机程序可由终端的处理器执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置、终端和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
另外,在本申请实例中,“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (15)
1.一种网络准入控制方法,应用于终端中安装的客户端,其特征在于,所述方法包括:
判断在所述终端的网络协议栈中抓取到的数据包是否由所述终端发出,得到判断结果;
在所述判断结果表征所述数据包由所述终端发出的情况下,在所述数据包中添加预设标识,并将添加了预设标识的数据包放回网络协议栈,以实现将所述数据包发送至对端设备;
在所述判断结果表征所述数据包不是由所述终端发出的情况下,基于所述数据包中是否存在预设标识,确定是否将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
2.根据权利要求1所述的方法,其特征在于,在所述判断结果表征所述数据包由所述终端发出的情况下,还包括:
在不存在与所述数据包对应会话的情况下,创建与所述数据包对应的会话;
相应地,所述在所述判断结果表征所述数据包不是由所述终端发出的情况下,基于所述数据包中是否存在预设标识,确定是否将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用,包括:
在所述判断结果表征所述数据包不是由所述终端发出的情况下,判断是否存在与接收的所述数据包对应的会话;
若存在对应的会话,则将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用;
若不存在对应的会话,则判断所述数据包中是否存在预设标识,在判断存在所述预设标识时,创建会话,并将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
3.根据权利要求2所述的方法,其特征在于,所述在不存在与所述数据包对应会话的情况下,创建与所述数据包对应的会话,包括:
在不存在与所述数据包对应会话的情况下,创建与所述数据包对应的会话,并标注该会话为主动;
所述若不存在对应的会话,则判断所述数据包中是否存在预设标识,在判断存在所述预设标识时,创建会话,并将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用,包括:
若不存在对应的会话,则判断所述数据包中是否存在预设标识,在判断存在所述预设标识时,创建会话,标注该会话为被动,并将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用;
相应地,所述若存在对应的会话,则将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用,包括:
若存在对应的会话,则进一步判断该会话是主动发起还是被动响应;
若是主动发起,则将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用;
若是被动响应,则判断所述数据包中是否存在预设标识,确定是否将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
4.根据权利要求1所述的方法,其特征在于,所述在所述数据包中添加预设标识,包括:
确定所述数据包的网际互连协议IP报文中的设定字段的值;
基于设定规则对所述设定字段的值进行修改,得到所述预设标识。
5.根据权利要求1所述的方法,其特征在于,在判断在所述终端的网络协议栈中抓取到的数据包是否由所述终端发出之前,所述方法还包括:
连接设定网关;
在基于所述设定网关推送的认证页面认证成功的情况下,开启所述客户端抓取数据包和在数据包中添加预设标识的权限。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用,包括:
删除所述数据包中的预设标识;
将删除了预设标识的数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
7.根据权利要求1至5中任一项所述的方法,其特征在于,所述客户端基于WinDivert框架实现对所述终端的数据包抓取以及修改操作。
8.一种网络准入控制方法,应用于终端中安装的客户端,其特征在于,所述方法包括:
判断在所述终端的网络协议栈中抓取到的数据包的地址是否为预设地址;
若是所述预设地址,则将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
9.根据权利要求8所述的方法,其特征在于,所述预设地址包括媒体存取控制MAC地址和IP地址。
10.根据权利要求8或9所述的方法,其特征在于,所述判断在所述终端的网络协议栈中抓取到的数据包的地址是否为预设地址,包括:
从设定网关获取预设地址列表,判断在所述终端的网络协议栈中抓取到的数据包的地址是否在所述预设地址列表中;
若在所述预设地址列表中,确定在所述终端的网络协议栈中抓取到的数据包的地址为预设地址。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
连接所述设定网关;
在基于所述设定网关推送的认证页面认证成功的情况下,将所述终端的预设地址发送至所述设定网关,以使所述设定网关将所述终端的预设地址记录在所述预设地址列表中。
12.一种网络准入控制装置,其特征在于,包括:
第一判断模块,用于判断在所述终端的网络协议栈中抓取到的数据包是否由所述终端发出,得到判断结果;
添加模块,用于在所述判断结果表征所述数据包由所述终端发出的情况下,在所述数据包中添加预设标识,并将添加了预设标识的数据包放回网络协议栈,以实现将所述数据包发送至对端设备;
确定模块,用于在所述判断结果表征所述数据包不是由所述终端发出的情况下,基于所述数据包中是否存在预设标识,确定是否将所述数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
13.一种网络准入控制装置,其特征在于,包括:
第二判断模块,用于判断在所述终端的网络协议栈中抓取到的接收数据包的地址是否为预设地址;
发送模块,用于若是所述预设地址,则将所述接收数据包放回网络协议栈,以发送至所述终端中与所述数据包对应的应用。
14.一种终端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的网络准入控制方法或实现如权利要求8至11任一项所述的网络准入控制方法。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1至7任一项所述的网络准入控制方法或执行如权利要求8至11任一项所述的网络准入控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111216029.XA CN116015692A (zh) | 2021-10-19 | 2021-10-19 | 一种网络准入控制方法、装置、终端及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111216029.XA CN116015692A (zh) | 2021-10-19 | 2021-10-19 | 一种网络准入控制方法、装置、终端及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116015692A true CN116015692A (zh) | 2023-04-25 |
Family
ID=86019742
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111216029.XA Pending CN116015692A (zh) | 2021-10-19 | 2021-10-19 | 一种网络准入控制方法、装置、终端及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116015692A (zh) |
-
2021
- 2021-10-19 CN CN202111216029.XA patent/CN116015692A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102047262B (zh) | 用于分布式安全内容管理系统的认证 | |
| JP5704518B2 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
| JP5367936B2 (ja) | 分離サブネットを使用してセキュリティ・ポリシーを実現する方法、装置、およびネットワーク・アーキテクチャ | |
| US9306976B2 (en) | Method, apparatus, signals and medium for enforcing compliance with a policy on a client computer | |
| US7533407B2 (en) | System and methods for providing network quarantine | |
| US10356612B2 (en) | Method of authenticating a terminal by a gateway of an internal network protected by an access security entity providing secure access | |
| KR101159355B1 (ko) | 클라이언트 장치를 안전하게 준비하는 방법 및 시스템 | |
| US8918841B2 (en) | Hardware interface access control for mobile applications | |
| JP5029701B2 (ja) | 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置 | |
| US8683059B2 (en) | Method, apparatus, and computer program product for enhancing computer network security | |
| US8281363B1 (en) | Methods and systems for enforcing network access control in a virtual environment | |
| US20150319143A1 (en) | Secure mobile app connection bus | |
| US20140223178A1 (en) | Securing Communication over a Network Using User Identity Verification | |
| US20180198786A1 (en) | Associating layer 2 and layer 3 sessions for access control | |
| US8732789B2 (en) | Portable security policy and environment | |
| KR20060047551A (ko) | 네트워크 검역을 제공하기 위한 방법 및 시스템 | |
| ES2768049T3 (es) | Procedimientos y sistemas para asegurar y proteger repositorios y directorios | |
| JP2004528609A (ja) | フィルタリングのなされたアプリケーション間通信 | |
| WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| WO2010048031A2 (en) | Network location determination for direct access networks | |
| JP5822078B2 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
| US20180331886A1 (en) | Systems and methods for maintaining communication links | |
| CN102624724B (zh) | 安全网关及利用网关安全登录服务器的方法 | |
| CN114422167B (zh) | 一种网络准入控制方法、装置、电子设备及存储介质 | |
| CN116015692A (zh) | 一种网络准入控制方法、装置、终端及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |