本申请涉及计算机技术领域,具体而言,涉及一种终端准入控制方法、装置、准入服务器及存储介质。
背景技术:
目前,nat后的终端的数据传输经nat设备后,会nat设备被改变数据报文的源mac和源ip地址以及终端伪造,造成准入服务器无法正常感知nat后的终端真实的ip与mac信息,从而造成经过了nat设备后只需要一个终端认证通过,nat后的终端都不需要认证即可访问网络资源。
为了解决这个技术问题,现有的解决方案是通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器若监测到网络地址转换nat环境下的任一终端与该交换机建立通信连接,则获取该终端发送给交换机的网络数据包并进行协议解析,以判断该网络数据包是不是nat流数据包;若是nat流数据包,则判断该网络数据包中是否包含水印标记,该水印标记为终端所添加的,用于对终端进行唯一标识;若该网络数据包中包含水印标记,则基于水印标记,通过对本次连接进行连接跟踪,判断本次连接是否合法;若合法则放行,以允许该终端的接入。
然而,现有的解决方案存在一下缺陷:1、准入管控服务器需要收到终端发送的心跳数据与预设白名单对比,来确认终端是否在nat环境下,nat下的终端再通过给报文打上水印来进行进一步判断,这样一来不能自动进行nat终端发现;2、在网络层进行打水印标记即在ip头里面添加option,有可能会被安全设备或者网络设备过滤掉,不太安全稳定;3、水印标记单一容易被伪造。
技术实现要素:
本申请的目的在于提供一种nat环境的终端准入控制方法、装置、设备及存储介质,其中,该终端准入控制方法、装置、设备及存储介质至少能够实现在不判断一个终端是否处于nat环境中这一前提下,也能够对终端进行准入控制,进而本申请的终端准入控制方法、装置、设备及存储介质具有更优的适用范围。
为此,本申请第一方面公开一种终端准入控制方法,所述方法应用于准入服务器中,所述方法包括:
接收接入终端发送的报文流量;
当所述报文流量的目标ip地址与本机ip地址不相同时,根据所述报文流量的五元组判断是否与所述接入终端存在会话;
当不存在所述会话时,判断所述报文流量是否为tcp报文;
当所述报文流量为所述tcp报文时,判断所述报文流量是否为tcpsyn报文;
当所述报文流量为所述tcpsyn报文时,判断所述报文流量中的mac地址是否在线;
当所述报文流量中的mac地址在线时,判断所述报文流量的摘要值是否正确,若所述报文流量的摘要值正确,则与所述接入终端建立会话并回注数据包,以完成所述接入终端的准入。
本申请的方法在报文流量的目标ip地址与本机ip地址不相同时,能够根据报文流量的五元组判断是否与接入终端存在会话,进而当不存在会话时,判断报文流量是否为tcp报文,进而当报文流量为tcp报文时,判断报文流量是否为tcpsyn报文,进而当报文流量为tcpsyn报文时,判断报文流量中的mac地址是否在线,进而当报文流量中的mac地址在线时,判断报文流量的摘要值是否正确,若报文流量的摘要值正确,则与接入终端建立会话并回注数据包,最终实现接入终端的准入控制,与现有技术相比,本申请不需要判断一个终端是否处于nat环境而对终端进行准入控制。另一方面,本申请能够避免额外添加水印标记对网络的影响。
在本申请第一方面中,作为一种可选的实施方式,所述方法还包括:
当所述报文流量的目标ip地址与本机ip地址相同时,则响应所述报文流量。
在本可选的实施方式中,若报文流量的目标ip地址与本机ip地址相同时,则响应报文流量。
在本申请第一方面中,作为一种可选的实施方法,所述方法还包括:
当根据所述报文流量的五元组判断出与所述接入终端存在会话时,向所述接入终端回注数据包。
在本可选的实施方式中,若与所述接入终端存在会话,则向所述接入终端回注数据包。
在本申请第一方面中,作为一种可选的实施方法,所述方法还包括:
当所述报文流量不是tcpsyn报文时,判断所述报文流量中的源ip是否在线,若所述报文流量中的源ip在线,则建立与所述经接入终端的会话并回注数据包。
在本可选的实施方式中,在当报文流量不是tcpsyn报文时,根据报文流量中的源ip在线状态可确定是否建立与所述经接入终端的会话并回注数据包。
在本申请第一方面中,作为一种可选的实施方式,所述判断所述报文流量的摘要值是否正确,包括:
根据所述报文流量中的ip头标识符、所述接入终端的硬盘序列号、所述接入终端的主板序列号和md5算法计算得到摘要验证值;
将所述摘要验证值与所述报文流量的摘要值比较,若所述报文流量的摘要值与所述摘要验证值相同,则确定所述报文流量的摘要值正确。
在本可选的实施方式中,由于接入终端的每次报文流量中的ip头标识符都不样,且接入终端的硬盘序列号、所述接入终端的主板序列号难以被伪造,因此,根据所述报文流量中的ip头标识符、所述接入终端的硬盘序列号、所述接入终端的主板序列号和md5算法计算得到摘要验证值具有更优的防伪造性。
在本申请第一方面中,作为一种可选的实施方式,在所述判断所述报文流量的摘要值是否正确之后,所述与所述接入终端建立会话并回注数据包之前,所述方法还包括:
判断所述报文流量中的源ip与所述报文流量中的mac地址之间的绑定关系是否正确,若是,则指向所述与所述接入终端建立会话并回注数据包。
在本可选的实施方式中,通过判断报文流量中的源ip与报文流量中的mac地址之间的绑定关系,可防止接入终端的mac地址或者接入终端的源ip被伪造,进而提高准入控制的精确度。
在本申请第一方面中,作为一种可选的实施方式,在所述接收接入终端发送的报文流量之前,所述方法还包括:
接收所述接入终端的认证请求,所述认证请求包括所述接入终端的认证用户信息、所述接入终端的硬盘序列号、所述接入终端的主板序列号、数据包源ip地址;
对所述认证请求进行认证响应并在认证成功后,保存所述接入终端的认证用户信息、所述接入终端的硬盘序列号、所述接入终端的主板序列号、数据包源ip地址。
在本可选的实施方式,通过认证接入终端,可保存接入终端的认证用户信息、接入终端的硬盘序列号、接入终端的主板序列号、数据包源ip地址。
本申请第二方面中公开一种终端准入控制装置,所述装置应用于准入服务器中,所述装置包括:
第一接收模块,用于接收接入终端发送的报文流量;
第一判断模块,用于当所述报文流量的目标ip地址与本机ip地址不相同时,根据所述报文流量的五元组判断是否与所述接入终端存在会话;
第二判断模块,用于当不存在所述会话时,判断所述报文流量是否为tcp报文;
第三判断模块,用于当所述报文流量为所述tcp报文时,判断所述报文流量是否为tcpsyn报文;
第四判断模块,用于当所述报文流量为所述tcpsyn报文时,判断所述报文流量中的mac地址是否在线;
第五判断模块,用于当所述报文流量中的mac地址在线时,判断所述报文流量的摘要值是否正确,若所述报文流量的摘要值正确,则与所述接入终端建立会话并回注数据包,以完成所述接入终端的准入。
本申请的装置在报文流量的目标ip地址与本机ip地址不相同时,能够根据报文流量的五元组判断是否与接入终端存在会话,进而当不存在会话时,判断报文流量是否为tcp报文,进而当报文流量为tcp报文时,判断报文流量是否为tcpsyn报文,进而当报文流量为tcpsyn报文时,判断报文流量中的mac地址是否在线,进而当报文流量中的mac地址在线时,判断报文流量的摘要值是否正确,若报文流量的摘要值正确,则与接入终端建立会话并回注数据包,最终实现接入终端的准入控制,与现有技术相比,本申请不需要判断一个终端是否处于nat环境而对终端进行准入控制。另一方面,本申请能够避免额外添加水印标记对网络的影响。
本申请第三方面公开一种准入服务器,所述准入服务器包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,使得所述处理器执行如本申请第一方面的终端准入控制方法。
本申请的准入服务器在报文流量的目标ip地址与本机ip地址不相同时,能够根据报文流量的五元组判断是否与接入终端存在会话,进而当不存在会话时,判断报文流量是否为tcp报文,进而当报文流量为tcp报文时,判断报文流量是否为tcpsyn报文,进而当报文流量为tcpsyn报文时,判断报文流量中的mac地址是否在线,进而当报文流量中的mac地址在线时,判断报文流量的摘要值是否正确,若报文流量的摘要值正确,则与接入终端建立会话并回注数据包,最终实现接入终端的准入控制,与现有技术相比,本申请不需要判断一个终端是否处于nat环境而对终端进行准入控制。另一方面,本申请能够避免额外添加水印标记对网络的影响。
本申请第四方面公开一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行本申请第一方面的终端准入控制方法。
本申请存储介质在报文流量的目标ip地址与本机ip地址不相同时,能够根据报文流量的五元组判断是否与接入终端存在会话,进而当不存在会话时,判断报文流量是否为tcp报文,进而当报文流量为tcp报文时,判断报文流量是否为tcpsyn报文,进而当报文流量为tcpsyn报文时,判断报文流量中的mac地址是否在线,进而当报文流量中的mac地址在线时,判断报文流量的摘要值是否正确,若报文流量的摘要值正确,则与接入终端建立会话并回注数据包,最终实现接入终端的准入控制,与现有技术相比,本申请不需要判断一个终端是否处于nat环境而对终端进行准入控制。另一方面,本申请能够避免额外添加水印标记对网络的影响。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种终端准入控制方法的流程示意图;
图2为本申请实施例提供的一种终端准入控制装置的结构示意图;
图3为本申请实施例提供的一种准入服务器的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一
请参阅图1,图1是本申请实施例公开的一种终端准入控制方法的流程示意图。如图1所示,本申请实施例的方法包括步骤:
101、接收接入终端发送的报文流量;
102、当报文流量的目标ip地址与本机ip地址不相同时,根据报文流量的五元组判断是否与接入终端存在会话;
103、当不存在会话时,判断报文流量是否为tcp报文;
104、当报文流量为tcp报文时,判断报文流量是否为tcpsyn报文;
105、当报文流量为tcpsyn报文时,判断报文流量中的mac地址是否在线;
106、当报文流量中的mac地址在线时,判断报文流量的摘要值是否正确,若报文流量的摘要值正确,则与接入终端建立会话并回注数据包,以完成接入终端的准入。
本申请实施例的方法在报文流量的目标ip地址与本机ip地址不相同时,能够根据报文流量的五元组判断是否与接入终端存在会话,进而当不存在会话时,判断报文流量是否为tcp报文,进而当报文流量为tcp报文时,判断报文流量是否为tcpsyn报文,进而当报文流量为tcpsyn报文时,判断报文流量中的mac地址是否在线,进而当报文流量中的mac地址在线时,判断报文流量的摘要值是否正确,若报文流量的摘要值正确,则与接入终端建立会话并回注数据包,最终实现接入终端的准入控制,与现有技术相比,本申请实施例不需要判断一个终端是否处于nat环境而对终端进行准入控制,即本申请实施例能够实现对处于nat环境的终端进行准入控制,也能够对非处于nat环境的终端进行准入控制,进而具有更优的适用范围。另一方面,本申请能够避免额外添加水印标记对网络的影响。
需要说明的是接入终端的流量是通过在交换机上配置策略路由将流量重定向到准入服务器上。
在本申请实施例中,作为一种可选的实施方式,本申请实施例的方法还包括步骤:
当报文流量的目标ip地址与本机ip地址相同时,则响应报文流量。
在本可选的实施方式中,若报文流量的目标ip地址与本机ip地址相同时,则响应报文流量。
在本申请实施例中,作为一种可选的实施方法,本申请实施例的方法还包括步骤:
当根据报文流量的五元组判断出与接入终端存在会话时,向接入终端回注数据包。
在本可选的实施方式中,若与接入终端存在会话,则向接入终端回注数据包。
在本申请实施例中,作为一种可选的实施方法,本申请实施例的方法还包括步骤:
当报文流量不是tcpsyn报文时,判断报文流量中的源ip是否在线,若报文流量中的源ip在线,则建立与经接入终端的会话并回注数据包。
在本可选的实施方式中,在当报文流量不是tcpsyn报文时,根据报文流量中的源ip在线状态可确定是否建立与经接入终端的会话并回注数据包。
在本申请实施例中,作为一种可选的实施方式,判断报文流量的摘要值是否正确的具体方式为:
根据报文流量中的ip头标识符、接入终端的硬盘序列号、接入终端的主板序列号和md5算法计算得到摘要验证值;
将摘要验证值与报文流量的摘要值比较,若报文流量的摘要值与摘要验证值相同,则确定报文流量的摘要值正确。
在本可选的实施方式中,由于接入终端的每次报文流量中的ip头标识符都不样,且接入终端的硬盘序列号、接入终端的主板序列号难以被伪造,因此,根据报文流量中的ip头标识符、接入终端的硬盘序列号、接入终端的主板序列号和md5算法计算得到摘要验证值具有更优的防伪造性。
在本申请实施例中,作为一种可选的实施方式,在判断报文流量的摘要值是否正确之后,与接入终端建立会话并回注数据包之前,本申请实施例的方法还包括:
判断报文流量中的源ip与报文流量中的mac地址之间的绑定关系是否正确,若是,则指向与接入终端建立会话并回注数据包。
在本可选的实施方式中,通过判断报文流量中的源ip与报文流量中的mac地址之间的绑定关系,可防止接入终端的mac地址或者接入终端的源ip被伪造,进而提高准入控制的精确度。
在本申请实施例中,作为一种可选的实施方式,在接收接入终端发送的报文流量之前,本申请实施例的方法还包括:
接收接入终端的认证请求,认证请求包括接入终端的认证用户信息、接入终端的硬盘序列号、接入终端的主板序列号、数据包源ip地址;
对认证请求进行认证响应并在认证成功后,保存接入终端的认证用户信息、接入终端的硬盘序列号、接入终端的主板序列号、数据包源ip地址。
在本可选的实施方式,通过认证接入终端,可保存接入终端的认证用户信息、接入终端的硬盘序列号、接入终端的主板序列号、数据包源ip地址。
实施例二
请参阅图2,图2是本申请实施例公开的一种终端准入控制装置的结构示意图。如图2所示,本申请实施例的装置包括:
第一接收模块201,用于接收接入终端发送的报文流量;
第一判断模块202,用于当报文流量的目标ip地址与本机ip地址不相同时,根据报文流量的五元组判断是否与接入终端存在会话;
第二判断模块203,用于当不存在会话时,判断报文流量是否为tcp报文;
第三判断模块204,用于当报文流量为tcp报文时,判断报文流量是否为tcpsyn报文;
第四判断模块205,用于当报文流量为tcpsyn报文时,判断报文流量中的mac地址是否在线;
第五判断模块206,用于当报文流量中的mac地址在线时,判断报文流量的摘要值是否正确,若报文流量的摘要值正确,则与接入终端建立会话并回注数据包,以完成接入终端的准入。
本申请实施例的装置在报文流量的目标ip地址与本机ip地址不相同时,能够根据报文流量的五元组判断是否与接入终端存在会话,进而当不存在会话时,判断报文流量是否为tcp报文,进而当报文流量为tcp报文时,判断报文流量是否为tcpsyn报文,进而当报文流量为tcpsyn报文时,判断报文流量中的mac地址是否在线,进而当报文流量中的mac地址在线时,判断报文流量的摘要值是否正确,若报文流量的摘要值正确,则与接入终端建立会话并回注数据包,最终实现接入终端的准入控制,与现有技术相比,本申请不需要判断一个终端是否处于nat环境而对终端进行准入控制。另一方面,本申请能够避免额外添加水印标记对网络的影响。
需要说明的是,关于本申请实施例的装置的其他说明请参考本申请实施例一,本申请实施例对此不作赘述。
实施例三
请参阅图3,图3是本申请实施例公开的一种准入服务器的结构示意图。如图3所示,本申请实施例的准入服务器包括:
处理器301;以及
存储器302,配置用于存储机器可读指令,指令在由处理器301执行时,使得处理器301执行如本申请实施例一的终端准入控制方法。
本申请实施例的准入服务器在报文流量的目标ip地址与本机ip地址不相同时,能够根据报文流量的五元组判断是否与接入终端存在会话,进而当不存在会话时,判断报文流量是否为tcp报文,进而当报文流量为tcp报文时,判断报文流量是否为tcpsyn报文,进而当报文流量为tcpsyn报文时,判断报文流量中的mac地址是否在线,进而当报文流量中的mac地址在线时,判断报文流量的摘要值是否正确,若报文流量的摘要值正确,则与接入终端建立会话并回注数据包,最终实现接入终端的准入控制,与现有技术相比,本申请不需要判断一个终端是否处于nat环境而对终端进行准入控制。另一方面,本申请实施例能够避免额外添加水印标记对网络的影响。
实施例四
本申请实施例公开一种存储介质,存储介质存储有计算机程序,计算机程序被处理器执行本申请实施例的终端准入控制方法。
本申请实施例的存储介质在报文流量的目标ip地址与本机ip地址不相同时,能够根据报文流量的五元组判断是否与接入终端存在会话,进而当不存在会话时,判断报文流量是否为tcp报文,进而当报文流量为tcp报文时,判断报文流量是否为tcpsyn报文,进而当报文流量为tcpsyn报文时,判断报文流量中的mac地址是否在线,进而当报文流量中的mac地址在线时,判断报文流量的摘要值是否正确,若报文流量的摘要值正确,则与接入终端建立会话并回注数据包,最终实现接入终端的准入控制,与现有技术相比,本申请不需要判断一个终端是否处于nat环境而对终端进行准入控制。另一方面,本申请实施例能够避免额外添加水印标记对网络的影响。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(read-onlymemory,rom)随机存取存储器(randomaccessmemory,ram)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
1.一种终端准入控制方法,其特征在于,所述方法应用于准入服务器中,所述方法包括:
接收接入终端发送的报文流量;
当所述报文流量的目标ip地址与本机ip地址不相同时,根据所述报文流量的五元组判断是否与所述接入终端存在会话;
当不存在所述会话时,判断所述报文流量是否为tcp报文;
当所述报文流量为所述tcp报文时,判断所述报文流量是否为tcpsyn报文;
当所述报文流量为所述tcpsyn报文时,判断所述报文流量中的mac地址是否在线;
当所述报文流量中的mac地址在线时,判断所述报文流量的摘要值是否正确,若所述报文流量的摘要值正确,则与所述接入终端建立会话并回注数据包,以完成所述接入终端的准入。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述报文流量的目标ip地址与本机ip地址相同时,则响应所述报文流量。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
当根据所述报文流量的五元组判断出与所述接入终端存在会话时,向所述接入终端回注数据包。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述报文流量不是tcpsyn报文时,判断所述报文流量中的源ip是否在线,若所述报文流量中的源ip在线,则建立与所述经接入终端的会话并回注数据包。
5.如权利要求1所述的方法,其特征在于,所述判断所述报文流量的摘要值是否正确,包括:
根据所述报文流量中的ip头标识符、所述接入终端的硬盘序列号、所述接入终端的主板序列号和md5算法计算得到摘要验证值;
将所述摘要验证值与所述报文流量的摘要值比较,若所述报文流量的摘要值与所述摘要验证值相同,则确定所述报文流量的摘要值正确。
6.如权利要求1所述的方法,其特征在于,在所述判断所述报文流量的摘要值是否正确之后,所述与所述接入终端建立会话并回注数据包之前,所述方法还包括:
判断所述报文流量中的源ip与所述报文流量中的mac地址之间的绑定关系是否正确,若是,则指向所述与所述接入终端建立会话并回注数据包。
7.如权利要求1所述的方法,其特征在于,在所述接收接入终端发送的报文流量之前,所述方法还包括:
接收所述接入终端的认证请求,所述认证请求包括所述接入终端的认证用户信息、所述接入终端的硬盘序列号、所述接入终端的主板序列号、数据包源ip地址;
对所述认证请求进行认证响应并在认证成功后,保存所述接入终端的认证用户信息、所述接入终端的硬盘序列号、所述接入终端的主板序列号、数据包源ip地址。
8.一种终端准入控制装置,其特征在于,所述装置应用于准入服务器中,所述装置包括:
第一接收模块,用于接收接入终端发送的报文流量;
第一判断模块,用于当所述报文流量的目标ip地址与本机ip地址不相同时,根据所述报文流量的五元组判断是否与所述接入终端存在会话;
第二判断模块,用于当不存在所述会话时,判断所述报文流量是否为tcp报文;
第三判断模块,用于当所述报文流量为所述tcp报文时,判断所述报文流量是否为tcpsyn报文;
第四判断模块,用于当所述报文流量为所述tcpsyn报文时,判断所述报文流量中的mac地址是否在线;
第五判断模块,用于当所述报文流量中的mac地址在线时,判断所述报文流量的摘要值是否正确,若所述报文流量的摘要值正确,则与所述接入终端建立会话并回注数据包,以完成所述接入终端的准入。
9.一种准入服务器,其特征在于,所述准入服务器包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,使得所述处理器执行如权利要求1-7任一项所述的终端准入控制方法。
10.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如权利要求1-7任一项所述的终端准入控制方法。
技术总结