本申请提供一种网络访问控制方法及装置,应用于网关设备中,所述方法包括:接收来自连接的各个AC的访问请求报文;根据SSID与IP地址的第一对应关系、SSID与控制策略的第二对应关系和所述访问请求报文携带的第一源IP地址确定所述访问请求报文对应的控制策略;根据所述访问请求报文对应的控制策略处理所述访问请求报文。应用本申请的实施例,可以大大减少控制策略的配置成本与维护成本。
Network access control method and device
【技术实现步骤摘要】
网络访问控制方法和装置
本申请涉及网络通信
,特别设计一种网络访问控制方法和装置。
技术介绍
在某些特殊行业的办公环境中需要严格控制用户的上网行为,例如只能访问指定的统一资源定位系统(UniformResourceLocator,URL)。以银行为例进行说明,在实际建设时银行的无线控制器(AccessController,AC)和公共的AC往往混用在一起,这样需要进行网络访问控制时就只能针对银行用户的访问进行控制,不能影响其他用户的行为。目前,网络访问控制方法的具体过程为:网关设备通过分光或者镜像的方式获取宽带接入服务器(BroadbandAccessServer,BAS)和远程用户拨号认证系统(RemoteAuthenticationDialInUserService,Radius)服务器之间的Radius认证/计费报文,从而获取用户名和互联网协议(InternetProtocol,IP)地址的对应关系,针对每个用户名设置对应的控制策略,后续接收到来自AC的访问请求报文时,根据访问请求报文中携带的源IP地址确定控制策略,并根据控制策略处理访问请求报文。上述方法中,需要收集用户名与IP地址的对应关系,并对每个用户名设置对应的控制策略,当用户名很多时,控制策略的配置与维护成本会很高。
技术实现思路
有鉴于此,本申请提供一种网络访问控制方法和装置,以解决相关技术中存在的控制策略的配置与维护成本会很高的问题。具体地,本申请是通过如下技术方案实现的:一种网络访问控制方法,应用于网关设备中,所述方法包括:接收来自连接的各个AC的访问请求报文;根据SSID与IP地址的第一对应关系、SSID与控制策略的第二对应关系和所述访问请求报文携带的第一源IP地址确定所述访问请求报文对应的控制策略;根据所述访问请求报文对应的控制策略处理所述访问请求报文。一种网络访问控制装置,应用于网关设备中,所述装置包括:接收模块,用于接收来自连接的各个AC的访问请求报文;确定模块,用于根据SSID与IP地址的第一对应关系、SSID与控制策略的第二对应关系和所述访问请求报文携带的第一源IP地址确定所述访问请求报文对应的控制策略;处理模块,用于根据所述访问请求报文对应的控制策略处理所述访问请求报文。一种电子设备,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;存储器,用于存放计算机程序;处理器,用于执行存储器上所存储的程序时,实现上述的方法步骤。一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法步骤。由以上本申请提供的技术方案可见,可以预先建立SSID与IP地址的第一对应关系、SSID与控制策略的第二对应关系,在接收来自连接的各个AC的访问请求报文后,根据第一对应关系、第二对应关系和访问请求报文携带的第一源IP地址确定访问请求报文对应的控制策略,最后根据访问请求报文对应的控制策略处理访问请求报文,不再针对每个用户名配置一个控制策略,而是针对每个SSID配置一个控制策略,由于每个用户的变动不会影响SSID且SSID的数量很有限、变动的频率也很低,从而大大减少控制策略的配置成本与维护成本。附图说明图1为本申请示出的一种网络访问控制方法的流程图;图2为本申请示出的一种网络访问控制装置的结构示意图;图3为本申请示出的一种电子设备的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。为了解决上述问题,本专利技术实施例提供了一种网络访问控制方法,以大大减少控制策略的配置成本与维护成本。请参见图1,图1为本申请示出的一种网络访问控制方法的流程图,应用于网关设备中。S11:接收来自连接的各个AC的访问请求报文。网关设备可以连接多个AC,这些AC中包括公用AC和特殊行业的AC,当用户需要访问网络时,可以使用终端发送访问请求报文,终端连接的AP接收到访问请求报文后,会转发连接的AC,该AC再进一步转发给连接的网关设备,从而网关设备可以接收来自这些AC的访问请求报文。S12:根据服务集标识(ServiceSetIdentifier,SSID)与IP地址的第一对应关系、SSID与控制策略的第二对应关系和访问请求报文携带的第一源IP地址确定访问请求报文对应的控制策略。每个AP设置的无线局域网(WirelessLocalAreaNet,WLAN)会有一个SSID,连接到该WLAN的终端会有IP地址,因此可以预先设置SSID与IP地址的对应关系,该对应关系可以定位第一对应关系,该对应关系中的每个表项用来标识IP地址对应的终端所连接的SSID;由于AP连接的AC也是一定的,也就是说可以预先针对每个SSID设置对应的控制策略,从而可以预先设置SSID与控制策略的对应关系,该对应关系可以定义为第二对应关系。网关设备在接收到访问请求报文后,就可以根据第一对应关系、第二对应关系和访问请求报文携带的源IP地址来确定访问请求报文对应的控制策略。S13:根据访问请求报文对应的控制策略处理访问请求报文。由以上本申请提供的技术方案可见,可以预先建立SSID与IP地址的第一对应关系、SSID与控制策略的第二对应关系,在接收来自连接的各个AC的访问请求报文后,根据第一对应关系、第二对应关系和访问请求报文携带的第一源IP地址确定访问请求报文对应的控制策略,最后根据访问请求报文对应的控制策略处理访问请求报文,不再针对每个用户名配置一个控制策略,而是针对每个SSID配置一个控制策略,由于每个用户的变动不会影响SSID且SSID的数量很有限、变动的频率也很低,从而大大减少控制策略的配置成本与维护成本。具体的,上述S12中的根据SSID与IP地址的第一对应关系、SSID与控本文档来自技高网...
【技术保护点】
1.一种网络访问控制方法,应用于网关设备中,其特征在于,所述方法包括:/n接收来自连接的各个无线控制器AC的访问请求报文;/n根据服务集标识SSID与互联网协议IP地址的第一对应关系、SSID与控制策略的第二对应关系和所述访问请求报文携带的第一源IP地址确定所述访问请求报文对应的控制策略;/n根据所述访问请求报文对应的控制策略处理所述访问请求报文。/n
【技术特征摘要】
1.一种网络访问控制方法,应用于网关设备中,其特征在于,所述方法包括:
接收来自连接的各个无线控制器AC的访问请求报文;
根据服务集标识SSID与互联网协议IP地址的第一对应关系、SSID与控制策略的第二对应关系和所述访问请求报文携带的第一源IP地址确定所述访问请求报文对应的控制策略;
根据所述访问请求报文对应的控制策略处理所述访问请求报文。
2.根据权利要求1所述的方法,其特征在于,根据SSID与IP地址的第一对应关系、SSID与控制策略的第二对应关系和所述访问请求报文携带的第一源IP地址确定所述访问请求报文对应的控制策略,具体包括:
获取所述访问请求报文携带的第一源IP地址;
在所述第一对应关系查找所述第一源IP地址;
若在所述第一对应关系中查找到所述第一源IP地址,则确定所述第一对应关系中所述第一源IP地址对应的第一SSID;
在所述第二对应关系中查找所述第一SSID;
若在所述第二对应关系中查找到所述第一SSID,则获取所述第二对应关系中所述第一SSID对应的第一控制策略,得到所述访问请求报文对应的控制策略。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若在所述第一对应关系中未查找到所述第一源IP地址或者在所述第二对应关系中未查找到所述第一SSID,则转发所述访问请求报文。
4.根据权利要求1-3任一所述的方法,其特征在于,所述网关设备分别与宽带接入服务器BAS、远程用户拨号认证系统Radius服务器之间通信连接,所述方法还包括:
获取来自所述BAS或者所述Radius服务器的Radius报文;
根据所述Radius报文的类型、所述Radius报文携带的第二源IP地址与第二SSID更新所述第一对应关系。
5.根据权利要求4所述的方法,其特征在于,根据所述Radius报文的类型、所述Radius报文携带的第二源IP地址与第二SSID更新所述第一对应关系,具体包括:
获取所述Radius报文的类型标识;
若所述Radius报文的类型标识为认证上线请求或者计费上线请求,则在所述第一对应关系中查找包括所述Radius报文携带的第二源IP地址与第二SSID的第一表项,若在所述第一对应关系中未...
【专利技术属性】
技术研发人员:魏方征,雷振华,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。