专利名称:一种访问网络的控制方法及装置的制作方法
技术领域:
本发明涉及网络安全领域,尤其涉及一种访问网络的控制方法及装置。
背景技术:
目前,为了保证网络的安全性,在很多应用场景下,都需要禁止多个终端通过同一个网络互连协议(Internet Protocol, IP)地址访问网络,如图I所示。图I为现有技术中多个终端通过同一个IP地址访问网络的组网结构示意图。在图I中,终端I、终端2、终端3均与路由器相连,路由器与网络地址转换(Network AccessTranslation,NAT)服务器相连,NAT服务器又与Internet网络相连。通过如图I所示的系统,终端I、终端2、终端3在访问Internet网络时,将各自生成的IP数据包依次通过路由器、NAT服务器发送给Internet网络。对于终端I而言,当终端I生成的IP数据包尚未经过路由器的转发时,该IP数据包中携带的IP地址为终端I的IP地址,但是,当终端I生成 的IP数据包经过路由器转发后,路由器转发的该IP数据包中携带的IP地址就会变为路由器的IP地址。相应的,终端2和终端3生成的IP数据包经过路由器转发后,路由器转发的终端2和终端3生成的IP数据包中携带的IP地址也会变为该路由器的IP地址。因此,如图I所示的终端I、终端2、终端3在访问网络时,就是通过同一个IP地址访问网络的。当然,在如图I所示的系统中,NAT服务器还可以采用代理服务器替换。但是,为了保证网络的安全性,需要控制终端对网络的访问,以禁止如图I所示的多个终端通过同一个IP地址访问网络的情况。在实际应用中,由于在windows操作系统下的终端发送的各IP数据包的数据包标识存在着一定的规律,例如按照发送各IP数据包的先后顺序,将各IP数据包的数据包标识依次递增,因此,现有技术中的一种对终端进行访问网络的控制方法具体为网络侧设备分析携带相同IP地址的各IP数据包的数据包标识,如果存在至少两个携带相同IP地址的IP数据包的数据包标识相同,则可以确定存在至少两个终端通过该IP地址访问网络,从而采用预设的规则对这些IP数据包进行相应的放行或者阻断。但是,该方法只针对windows操作系统下的终端有效,对于Iinux操作系统下的终端,其发送的各IP数据包的数据包标识几乎没有任何规律可循,因此将方法应用于对Iinux操作系统下的终端进行访问网络的控制时,会出现严重的误报,导致终端无法正常访问网络。现有技术中的另一种对终端进行访问网络控制的方法是根据IP数据包的生存时间(Time To Live, TTL)值的变化特性,来判断是否存在至少两个终端通过同一个IP地址访问网络。但是,该方法也存在很高的误报率,也会导致终端无法正常访问网络。
发明内容
本发明实施例提供一种访问网络的控制方法及装置,用以解决现有技术中对终端进行访问网络的控制时会出现误报,导致终端无法正常访问网络的问题。
本发明实施例提供的一种访问网络的控制方法,包括指示终端发送携带认证Cookie的网络互连协议IP数据包,接收所述终端发送的IP数据包,确定所述IP数据包中携带的IP地址信息;判断所述IP数据包中是否携带认证Cookie ;若是,则查找保存的所述IP地址信息对应的认证Cookie,并判断所述IP数据包中携带的认证Cookie与查找到的认证Cookie是否相同,若相同,则放行所述IP数据包,若不同,则阻断所有携带所述IP地址信息的IP数据包;否则,为所述终端设定唯一的认证Cookie,并指示所述终端重新发送携带为所述终端设定的认证Cookie的IP数据包。本发明实施例提供的一种访问网络的控制装置,包括数据包接收模块,用于指示终端发送携带认证Cookie的网络互连协议IP数据包,接收所述终端发送的IP数据包,确定所述IP数据包中携带的IP地址信息;Cookie携带状态判断模块,用于判断所述IP数据包中是否携带认证Cookie ;数据包控制模块,用于当所述Cookie携带状态判断模块的判断结果为是时,查找保存的所述IP地址信息对应的认证Cookie,并判断所述IP数据包中携带的认证Cookie与查找到的认证Cookie是否相同,若相同,则放行所述IP数据包,若不同,则阻断所有携带所述IP地址信息的IP数据包;Cookie设定模块,用于当所述Cookie携带状态判断模块的判断结果为否时,为所述终端设定唯一的认证Cookie,并指示所述终端重新发送携带为所述终端设定的认证Cookie的IP数据包。本发明实施例提供一种访问网络的控制方法及装置,该方法指示终端发送携带认证Cookie的IP数据包,接收终端发送的IP数据包,确定该IP数据包中携带的IP地址信息,并判断该IP数据包中是否携带认证Cookie,若是,则查找保存的该IP地址信息对应的认证Cookie,并当该IP数据包中携带的认证Cookie与查找到的认证Cookie不同时,阻断所有携带该IP地址信息的IP数据包,否则,为终端设定唯一的认证Cookie,并指示终端重新发送携带认证Cookie的IP数据包。由于上述方法根据IP数据包中携带的认证Cookie对终端进行访问网络的控制,因此可以应用于大多数操作系统下的终端,并且由于终端发送的IP数据包中携带的认证Cookie均是为该终端设定的唯一的认证Cookie,因此根据IP数据包中携带的认证Cookie进行访问网络的控制时,不会产生误报,使终端可以正常访问网络。
图I为现有技术中多个终端通过同一个IP地址访问网络的组网结构示意图;图2为本发明实施例提供的访问网络的控制过程;图3为本发明实施例提供的通过SCM设备进行访问网络控制时的组网结构示意图;图4为本发明实施例提供的访问网络控制的详细过程;图5为本发明实施例提供的访问网络的控制装置结构示意图。
具体实施例方式本发明实施例中统一为每个终端设定唯一的认证Cookie,使不同的终端发送的IP数据包中携带的认证Cookie各不相同,并根据IP数据包中携带的认证Cookie来判断是否存在至少两个终端通过同一个IP地址访问网络,因此可以应用于对大多数操作系统下的终端进行访问网络的控制,并且不会出现误报,使终端可以正常访问网络。下面结合说明书附图,对本发明实施例进行详细描述。图2为本发明实施例提供的访问网络的控制过程,具体包括以下步骤S201 :指示终端发送携带认证Cookie的IP数据包,接收该终端发送的IP数据包,确定该IP数据包中携带的IP地址信息。其中,访问网络的控制装置可以对终端发送的用于访问网络的IP数据包进行拦截,并指示终端重定向到该控制装置内部的认证页面上,以使终端发送携带认证Cookie的 IP数据包。具体的,该控制装置可以按照第一设定时间间隔指示终端发送携带认证Cookie的IP数据包,例如每隔30分钟指示终端发送携带认证Cookie的IP数据包。在本发明实施例中,访问网络的控制装置可以位于安全内容管理(SecurityContent Management System, SCM)设备中,也即通过SCM设备对终端进行访问网络的控制。当通过SCM设备对终端进行访问网络的控制时,具体的组网结构可以如图3所示。图3为本发明实施例提供的通过SCM设备进行访问网络控制时的组网结构示意图,在图3中,假设终端I和终端2均与路由器相连,则SCM设备应部署在Internet网络的出口处,且与路由器相连,SCM设备的另一端则与Internet网络相连。当然,具体的组网结构还可以在图3所示的结构的基础上,在SCM设备与Internet网络之间增加NAT服务器、代理服务器或防火墙等设备。以下均以通过SCM设备对终端进行访问网络的控制进行说明。如图3所示,当终端I访问网络时,向路由器发送携带该终端I的IP地址的IP数据包,路由器转发该IP数据包时,将该IP数据包中携带的终端I的IP地址信息修改为该路由器自身的IP地址信息,并向SCM设备转发。此时,SCM设备则拦截该IP数据包,并指示终端重定向到SCM设备内部的认证页面上,终端根据该指示,访问SCM设备内部的认证页面,向SCM设备发送携带认证Cookie的IP数据包。当然,终端发送的携带认证Cookie的IP数据包也要通过路由器进行转发,因此SCM设备接收到的该携带认证Cookie的IP数据包中携带的IP地址信息仍然是路由器自身的IP地址信息。S202 :判断该IP数据包中是否携带认证Cookie,若是,则执行步骤S203,否则执行步骤S207。继续沿用上例,SCM设备判断接收到的该IP数据包(终端根据SCM设备的指示发送的用于访问SCM设备内部的认证页面的IP数据包)中是否携带了 Cookie,并根据判断结果进行相应处理。S203 :查找保存的该IP地址信息对应的认证Cookie。如果SCM设备确定接收到的该IP数据包中携带了认证Cookie,则根据预先保存的IP地址信息与认证Cookie的对应关系,查找该IP数据包中携带的IP地址信息对应的认证 Cookie。其中,SCM设备可以通过映射表的形式保存IP地址信息与认证Cookie的对应关系,如表I所示。
权利要求
1.一种访问网络的控制方法,其特征在于,包括 指示终端发送携带认证Cookie的网络互连协议IP数据包,接收所述终端发送的IP数据包,确定所述IP数据包中携带的IP地址信息; 判断所述IP数据包中是否携带认证Cookie ; 若是,则查找保存的所述IP地址信息对应的认证Cookie,并判断所述IP数据包中携带的认证Cookie与查找到的认证Cookie是否相同,若相同,则放行所述IP数据包,若不同,则阻断所有携带所述IP地址信息的IP数据包; 否则,为所述终端设定唯一的认证Cookie,并指示所述终端重新发送携带为所述终端设定的认证Cookie的IP数据包。
2.如权利要求I所述的方法,其特征在于,指示终端发送携带认证Cookie的IP数据包,具体包括 按照第一设定时间间隔指示终端发送携带认证Cookie的IP数据包; 阻断所有携带所述IP地址信息的IP数据包,具体包括 在设定的时间长度内阻断所有携带所述IP地址信息的IP数据包。
3.如权利要求I所述的方法,其特征在于,当确定所述IP数据包中携带认证Cookie时,所述方法还包括 当未查找到保存的所述IP地址信息对应的认证Cookie时,为所述终端设定唯一的认证Cookie,并将为所述终端设定的认证Cookie保存为所述IP地址信息对应的认证Cookie ; 指示所述终端执行采用为所述终端设定的认证Cookie更新所述终端自身保存的认证Cookie,重新发送携带更新后的认证Cookie的IP数据包。
4.如权利要求3所述的方法,其特征在于,所述方法还包括 按照第二设定时间间隔将保存的所有IP地址信息对应的认证Cookie删除。
5.如权利要求I所述的方法,其特征在于,为所述终端设定唯一的认证Cookie之后,所述方法还包括 指不所述终端在HTTP Cookie设置信息、Local Shared Objects设置信息、HTTP Etags设置信息、Web缓存中保存为所述终端设定的认证Cookie。
6.一种访问网络的控制装置,其特征在于,包括 数据包接收模块,用于指示终端发送携带认证Cookie的网络互连协议IP数据包,接收所述终端发送的IP数据包,确定所述IP数据包中携带的IP地址信息; Cookie携带状态判断模块,用于判断所述IP数据包中是否携带认证Cookie ; 数据包控制模块,用于当所述Cookie携带状态判断模块的判断结果为是时,查找保存的所述IP地址信息对应的认证Cookie,并判断所述IP数据包中携带的认证Cookie与查找到的认证Cookie是否相同,若相同,则放行所述IP数据包,若不同,则阻断所有携带所述IP地址信息的IP数据包; Cookie设定模块,用于当所述Cookie携带状态判断模块的判断结果为否时,为所述终端设定唯一的认证Cookie,并指示所述终端重新发送携带为所述终端设定的认证Cookie的IP数据包。
7.如权利要求6所述的装置,其特征在于,所述数据包接收模块具体用于,按照第一设定时间间隔指示终端发送携带认证Cookie的IP数据包; 所述数据包控制模块具体用于,在设定的时间长度内阻断所有携带所述IP地址信息的IP数据包。
8.如权利要求6所述的装置,其特征在于,所述Cookie设定模块还用于,当所述数据包控制模块未查找到保存的所述IP地址信息对应的认证Cookie时,为所述终端设定唯一的认证Cookie,并将为所述终端设定的认证Cookie保存为所述IP地址信息对应的认证Cookie,指示所述终端执行采用为所述终端设定的认证Cookie更新所述终端自身保存的认证Cookie,重新发送携带更新后的认证Cookie的IP数据包。
9.如权利要求8所述的装置,其特征在于,所述Cookie设定模块还用于,按照第二设定时间间隔将保存的所有IP地址信息对应的认证Cookie删除。
10.如权利要求6所述的装置,其特征在于,所述Cookie设定模块还用于,在为所述终端设定唯一的认证Cookie之后,指不所述终端在HTTP Cookie设置信息、Local SharedObjects设置信息、HTTP Etags设置信息、Web缓存中保存为所述终端设定的认证Cookie。
全文摘要
本发明公开了一种访问网络的控制方法及装置,用以解决现有技术中对终端进行访问网络的控制时会出现误报,导致终端无法正常访问网络的问题。该方法接收到IP数据包后,确定IP数据包中携带的IP地址信息,并判断该IP数据包中是否携带认证Cookie,若是,则查找保存的该IP地址信息对应的认证Cookie,并当该IP数据包中携带的认证Cookie与查找到的认证Cookie不同时,阻断所有携带该IP地址信息的IP数据包,否则,为发送终端设定认证Cookie,并指示终端重新发送携带认证Cookie的IP数据包。上述方法可以应用于大多数操作系统下的终端,并且不会产生误报,使终端可以正常访问网络。
文档编号H04L29/06GK102857515SQ201210356859
公开日2013年1月2日 申请日期2012年9月21日 优先权日2012年9月21日
发明者熊华根, 张江伟 申请人:北京神州绿盟信息安全科技股份有限公司, 北京神州绿盟科技有限公司