报文传输控制方法和装置制造方法及图纸

本申请提供一种报文传输控制方法和装置，应用于包括终端设备、接入设备和认证设备的认证系统，认证设备为网关设备或认证设备与终端设备不在同一局域网中，包括：接入设备在接收到报文时，判断报文是否满足转发条件中的任意一个；接入设备在报文满足转发条件中的任意一个时，转发报文；接入设备在报文不满足转发条件时，丢弃报文；转发条件包括：报文的源MAC地址为已认证终端设备MAC地址；报文的源MAC地址为认证设备MAC地址；报文的目的IP地址为认证设备IP地址；报文为ARP报文或DHCP报文。本申请技术方案可以在解决未认证情况下局域网内的设备互访问题的同时，简化用户操作，并提高局域网内设备的安全性。

【技术实现步骤摘要】
报文传输控制方法和装置
本申请涉及通信
，尤其涉及一种报文传输控制方法和装置。
技术介绍
Portal认证是通过浏览器发出的HTTP(HyperTextTransferProtocol，超文本传输协议)/HTTPS(HyperTextTransferProtocoloverSecureSocketLayer，基于安全套接层的超文本传输协议)报文触发的认证。通常，可以由用户通过浏览器访问Portal认证页面，输入用户名和密码进行认证；或者，也可以在用户打开浏览器访问其他外网时弹出Portal认证页面，由用户输入用户名和密码进行认证，即如果用户不打开浏览器访问外网，也就不会触发Portal认证。然而，当认证设备是网关设备或认证设备与终端设备不在同一局域网中时，用户在不进行用户名和密码认证的情况下，即可进行同一局域网中设备之间的互访。举例来说，假设用户所使用的终端设备与某一服务器在同一局域网中，则用户不需要进行用户名和密码认证，即可通过该终端设备访问该服务器，获取服务器资源，造成安全风险。
技术实现思路
有鉴于此，本申请提供一种报文传输控制方法和装置，以解决相关技术中安全风险高的问题。具体地，本申请是通过如下技术方案实现的：第一方面，本申请提供一种报文传输控制方法，所述方法应用于认证系统中的接入设备，所述认证系统中还包括终端设备和认证设备，所述认证设备为网关设备或所述认证设备与所述终端设备不在同一局域网中，所述方法包括：在接收到报文时，判断所述报文是否满足转发条件中的任意一个；在所述报文满足所述转发条件中的任意一个时，转发所述报文；在所述报文不满足所述转发条件时，丢弃所述报文；其中，所述转发条件包括：所述报文的源MAC地址为已认证终端设备MAC地址，所述已认证终端设备MAC地址由所述认证设备发送；所述报文的源MAC地址为认证设备MAC地址；所述报文的目的IP地址为认证设备IP地址；所述报文为地址解析协议ARP报文或动态主机配置协议DHCP报文。第二方面，本申请提供一种报文传输控制方法，所述方法应用于认证系统中的认证设备，所述认证系统中还包括终端设备和接入设备，所述认证设备为网关设备或所述认证设备与所述终端设备不在同一局域网中，所述方法包括：在确定用户输入的用户名和密码认证通过后，检测是否接收到用户的注册指令；在接收到用户的注册指令时，将所述注册指令指定的终端设备MAC地址确定为已认证终端设备MAC地址；将所述已认证终端设备MAC地址发送给所述接入设备，以使所述接入设备在所述报文的源MAC地址为所述已认证终端设备MAC地址时，转发所述报文。第三方面，本申请提供一种报文传输控制方法，所述方法应用于认证系统，所述认证系统中包括终端设备、接入设备和认证设备，所述认证设备为网关设备或所述认证设备与所述终端设备不在同一局域网中，所述方法包括：认证设备在确定用户输入的用户名和密码认证通过后，检测是否接收到用户的注册指令；认证设备在接收到用户的注册指令时，将所述注册指令指定的终端设备MAC地址确定为已认证终端设备MAC地址；认证设备将所述已认证终端设备MAC地址发送给所述接入设备；接入设备在接收到报文时，判断所述报文是否满足转发条件中的任意一个；接入设备在所述报文满足所述转发条件中的任意一个时，转发所述报文；接入设备在所述报文不满足所述转发条件时，丢弃所述报文；其中，所述转发条件包括：所述报文的源MAC地址为已认证终端设备MAC地址，所述已认证终端设备MAC地址由所述认证设备发送；所述报文的源MAC地址为认证设备MAC地址；所述报文的目的IP地址为认证设备IP地址；所述报文为地址解析协议ARP报文或动态主机配置协议DHCP报文。第四方面，本申请提供一种报文传输控制装置，所述装置应用于认证系统中的接入设备，所述认证系统中还包括终端设备和认证设备，所述认证设备为网关设备或所述认证设备与所述终端设备不在同一局域网中，所述装置包括：判断单元，用于在接收到报文时，判断所述报文是否满足转发条件中的任意一个；转发单元，用于在所述报文满足所述转发条件中的任意一个时，转发所述报文；丢弃单元，用于在所述报文不满足所述转发条件时，丢弃所述报文；其中，所述转发条件包括：所述报文的源MAC地址为已认证终端设备MAC地址，所述已认证终端设备MAC地址由所述认证设备发送；所述报文的源MAC地址为认证设备MAC地址；所述报文的目的IP地址为认证设备IP地址；所述报文为地址解析协议ARP报文或动态主机配置协议DHCP报文。第五方面，本申请提供一种报文传输控制装置，所述装置应用于认证系统中的认证设备，所述认证系统中还包括终端设备和接入设备，所述认证设备为网关设备或所述认证设备与所述终端设备不在同一局域网中，所述装置包括：检测单元，用于在确定用户输入的用户名和密码认证通过后，检测是否接收到用户的注册指令；确定单元，用于在接收到用户的注册指令时，将所述注册指令指定的终端设备MAC地址确定为已认证终端设备MAC地址；发送单元，用于将所述已认证终端设备MAC地址发送给所述接入设备，以使所述接入设备在所述报文的源MAC地址为所述已认证终端设备MAC地址时，转发所述报文。分析上述技术方案可知，接入设备在接收到报文时，通过判断该报文是否满足转发条件中的任意一个，可以对已认证的终端设备发送的报文、认证设备发送的或发送给认证设备的报文，以及ARP报文和DHCP报文进行转发，而将未认证设备发送的报文等其他报文丢弃。这样，本申请技术方案在解决上述未认证情况下局域网内的设备互访问题的同时，由于无需用户自行在接入设备中配置MAC地址认证白名单，简化了用户操作，并提高了局域网内设备的安全性。附图说明图1是一种认证系统的组网架构图；图2是本申请一示例性实施例示出的一种报文传输控制方法的流程图；图3是本申请一示例性实施例示出的另一种报文传输控制方法的流程图；图4是本申请一示例性实施例示出的另一种报文传输控制方法的流程图；图5是本申请一示例性实施例示出的一种报文传输控制装置所在设备的硬件结构图；图6是本申请一示例性实施例示出的另一种报文传输控制装置所在设备的硬件结构图；图7是本申请一示例性实施例示出的一种报文传输控制装置的框图；图8是本申请一示例性实施例示出的另一种报文传输控制装置的框图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第本文档来自技高网...

【技术保护点】
一种报文传输控制方法，其特征在于，所述方法应用于认证系统中的接入设备，所述认证系统中还包括终端设备和认证设备，所述认证设备为网关设备或所述认证设备与所述终端设备不在同一局域网中，所述方法包括：在接收到报文时，判断所述报文是否满足转发条件中的任意一个；在所述报文满足所述转发条件中的任意一个时，转发所述报文；在所述报文不满足所述转发条件时，丢弃所述报文；其中，所述转发条件包括：所述报文的源MAC地址为已认证终端设备MAC地址，所述已认证终端设备MAC地址由所述认证设备发送；所述报文的源MAC地址为认证设备MAC地址；所述报文的目的IP地址为认证设备IP地址；所述报文为地址解析协议ARP报文或动态主机配置协议DHCP报文。

【技术特征摘要】
1.一种报文传输控制方法，其特征在于，所述方法应用于认证系统中的接入设备，所述认证系统中还包括终端设备和认证设备，所述认证设备为网关设备或所述认证设备与所述终端设备不在同一局域网中，所述方法包括：在接收到报文时，判断所述报文是否满足转发条件中的任意一个；在所述报文满足所述转发条件中的任意一个时，转发所述报文；在所述报文不满足所述转发条件时，丢弃所述报文；其中，所述转发条件包括：所述报文的源MAC地址为已认证终端设备MAC地址，所述已认证终端设备MAC地址由所述认证设备发送；所述报文的源MAC地址为认证设备MAC地址；所述报文的目的IP地址为认证设备IP地址；所述报文为地址解析协议ARP报文或动态主机配置协议DHCP报文。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：在接收到认证设备发送的已认证终端设备MAC地址时，生成与所述已认证终端设备MAC地址对应的访问控制列表ACL表项，以转发源MAC地址为所述已认证终端设备MAC地址的报文；判断所述报文的源MAC地址是否为已认证终端设备MAC地址，包括：根据所述报文的源MAC地址，判断所述报文是否匹配所述ACL表项。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：基于认证设备MAC地址和认证设备IP地址，分别生成与所述认证设备MAC地址对应的ACL表项，以及与所述认证设备IP地址对应的ACL表项，以转发源MAC地址为所述认证设备MAC地址的报文；判断所述报文的源MAC地址是否为认证设备MAC地址，包括：根据所述报文的源MAC地址，判断所述报文是否匹配所述ACL表项；判断所述报文的目的IP地址是否为认证设备IP地址，包括：根据所述报文的目的IP地址，判断所述报文是否匹配所述ACL表项。4.一种报文传输控制方法，其特征在于，所述方法应用于认证系统中的认证设备，所述认证系统中还包括终端设备和接入设备，所述认证设备为网关设备或所述认证设备与所述终端设备不在同一局域网中，所述方法包括：在确定用户输入的用户名和密码认证通过后，检测是否接收到用户的注册指令；在接收到用户的注册指令时，将所述注册指令指定的终端设备MAC地址确定为已认证终端设备MAC地址；将所述已认证终端设备MAC地址发送给所述接入设备，以使所述接入设备在所述报文的源MAC地址为所述已认证终端设备MAC地址时，转发所述报文。5.根据权利要求4所述的方法，其特征在于，在确定用户输入的用户名和密码认证通过后，所述方法还包括：检测是否接收到用户的删除指令；在接收到用户的删除指令时，将所述删除指令指定的已认证终端设备MAC地址删除；将所述已认证终端设备MAC地址发送给所述接入设备，以使所述接入设备删除所述已认证终端设备MAC地址。6.根据权利要求4所述的方法，其特征在于，所述将所述注册指令指定的终端设备MAC地址确定为已认证终端设备MAC地址，包括：将所述注册指令中携带的终端设备MAC地址确定为已认证终端...

【专利技术属性】
技术研发人员：王富涛，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33