一种网络访问控制方法
阅读说明:本技术 一种网络访问控制方法 (Network access control method ) 是由 石悌君 于 2018-06-28 设计创作,主要内容包括:本发明提供一种网络访问控制方法,应用于包括终端和网络控制设备的系统中,其中终端的报文需要经过网络控制设备处理后才能进入internet网络,路由器收到终端报文后根据终端及报文的协议类型/目的IP/目的端口号确定网络权限,同时给用户提供简单的网络权限生成方法。通过上述方式,终端数据需要用户充分授权后才能上传到internet从而有效保护用户个人隐私。(The invention provides a network access control method, which is applied to a system comprising a terminal and a network control device, wherein a message of the terminal can enter an internet network after being processed by the network control device, a router determines network authority according to the protocol type/destination IP/destination port number of the terminal and the message after receiving the terminal message, and simultaneously provides a simple network authority generation method for a user. Through the mode, the terminal data can be uploaded to the internet only after the user is fully authorized, so that the personal privacy of the user is effectively protected.)
技术领域
本发明涉及通信技术领域,特别涉及一种网络访问控制方法。
背景技术
图1是当前常见的家庭网络逻辑组网图,个人电脑、手机、摄像头等各种终端设备(简称终端)通过家用路由器接入internet。
网络在方便大家生活的同时也增加了安全隐患,如智能摄像头上传影像到internet导致个人隐私泄露,PC被攻击后上传隐私数据等。当前常见的家用路由器厂商有几种控制方法:
1、使用无线方式接入时,在路由器上配置禁止具体终端接入无线网络,这种方式导致用户无法通过网络访问监控设备;
2、部分路由器(如TP-LINK公司的家用路由器)提供防火墙配置,指定按照MAC((媒体访问控制,Media Access Control,简称MAC))地址或IP(网际协议,Internet Protocol)地址等方式控制网络权限,这种方式配置相对复杂,需要根据终端名称查找该终端的MAC或IP地址,然后进入防火墙配置中增加控制条目;而且阻止所有网络访问,对于有网络访问需求的终端无法兼顾上网和安全。
发明内容
本发明提供一种网络访问控制方法,用户可以在路由器上控制终端的网络访问权限。
有鉴于此,本发明实施例提供:
一种网络访问控制方法,应用于包括终端和路由器的系统中,其中终端的报文需要经过路由器处理后才能进入internet网络,路由器收到终端报文后根据报文的终端地址查找对应终端,并根据对应终端的网络权限和所述报文的网络操作类型共同确定报文的处理方法。
本发明可以保证终端向internet传输的数据需要用户充分授权,且用户配置简单,能更有效地保护用户个人隐私。
附图说明
图1是家庭网络逻辑组网图。
图2是路由器网络访问控制的流程图。
图3是路由器网络访问控制另一实施方式的流程图。
具体实施方式
本发明主要应用于图1所示的逻辑组网,路由器给终端设备分配私网IP地址的过程和本发明无关,不再赘述。本发明实施例重点描述终端设备接入路由器后,路由器对终端设备网络权限的配置方法和网络访问控制方法。
本发明实施例定义了两种网络操作类型和三种网络权限:
终端发出的报文分为上传数据和下载数据两种网络操作类型:上传数据指终端发送的报文是用于发送本地数据到网络(如HTTP协议PUT/POST操作),下载数据指终端发送的报文是用于请求从网络获取数据(如HTTP协议GET操作),报文是上传还是下载数据需要根据协议具体分析;
路由器按照发送报文的终端名、协议类型、目的IP、目的端口号四元组进行报文分类并生成网络权限表条目,同一类报文有如下三种网络权限之一:
无权限:该类报文不允许转发到internet;
低权限:该类报文转发到internet存在限制条件。比如根据网络操作类型确定处理方法:上传数据的报文不允许转发到internet,下载数据的报文允许转发到internet;更严格的可以控制每次/每日等的发送的数据量或发送频率;或者自定义其它限制条件;
高权限:该类报文不受限制转发到internet。
终端接入路由器后可以生成默认权限(如低权限),同时路由器提供配置界面基于终端名进行权限修改,路由器提供无权限、低权限、高权限及设备自定义四个网络权限配置项。
路由器配置终端自定义权限后可以接收对应终端发送的网络权限配置消息并生成相应的网络权限表;配置消息中必须包含终端标识(终端名或终端MAC地址或终端IP地址),配置消息中的可选信息包括网络权限(无权限/低权限/高权限),协议类型(如TCP/UDP…),目的IP地址,目的端口号。
终端配置为终端自定义权限时,终端上通过软件可以实现基于应用程序粒度的网络权限控制;所述软件具体可以按照如下方法操作:
1、用户在终端上通过所述软件提供的配置界面增加有网络访问权限的其它应用程序(如IE浏览器),同时可以配置应用程序的网络权限(默认网络权限可以为低权限);此时所述软件开始监测目标应用程序(如IE浏览器)打开的通信端口(协议类型/目的IP/端口号);
2、所述软件监测目标应用程序打开的通信端口时,将本终端的终端名,配置的网络权限,协议类型,目的IP地址,目的端口号按照路由器定义的消息格式发送给路由器;
3、所述软件监测目标应用程序关闭通信端口时,将本终端的终端名,默认网络权限,协议类型,目的IP地址,目的端口号按照路由器定义的消息格式发送给路由器。
下面以具体实例说明路由器上存储的终端网络权限信息;假设:
1、有四台终端接入路由器,其一是名为PC的个人电脑有一块无线网卡和一块以太网卡,其中无线网卡MAC地址为E0-CE-C3-F9-82-23,以太网卡MAC地址为74-2B-62-6E-06-17;PC的两块网卡都接入路由器;其二是名为Camera的智能摄像头,通过无线网卡接入路由器,其MAC地址为D0-5B-A8-32-43-62;其三是名为Mobile的手机,通过无线网卡接入路由器,其MAC地址为80-AD-16-5D-E6-80;其四是名为Echo的智能音箱,通过无线网卡接入路由器,其MAC地址为14-CF-92-C7-17-83。终端接入后,路由器会生成终端信息表(表1),其中MAC地址和IP地址统称为终端地址;表1的生成和本发明无关,不赘述其生成过程;
终端名
MAC地址
IP地址
PC
74-2B-62-6E-06-17
192.168.1.101
PC
E0-CE-C3-F9-82-23
192.168.1.111
Camera
D0-5B-A8-32-43-62
192.168.1.102
Mobile
80-AD-16-5D-E6-80
192.168.1.103
Echo
14-CF-92-C7-17-83
192.168.1.104
表1
2、路由器对四台终端的配置的权限如下:PC配置为终端自定义,Camera配置为无权限,Mobile配置为高权限,Echo配置为低权限。路由器生成终端网络权限表(表2);
终端名
协议类型
目的IP
目的端口号
网络权限
PC
所有
所有
所有
低权限
Camera
所有
所有
所有
无权限
Mobile
所有
所有
所有
高权限
Echo
所有
所有
所有
低权限
表2
如果考虑到处理效率,可以根据网络权限表中的终端名查找终端信息表获取该终端的所有MAC地址(如PC的两块网卡都接入网络,两块网卡对应的MAC地址都需要生成表项条目);然后以MAC地址代替终端名生成地址权限表(表3);
MAC地址
协议类型
目的IP
目的端口号
网络权限
74-2B-62-6E-06-17
所有
所有
所有
低权限
E0-CE-C3-F9-82-23
所有
所有
所有
低权限
D0-5B-A8-32-43-62
所有
所有
所有
无权限
80-AD-16-5D-E6-80
所有
所有
所有
高权限
14-CF-92-C7-17-83
所有
所有
所有
低权限
表3
表3所示的地址权限表以MAC地址作为关键字,也可以使用IP地址作表项关键字;
3、PC上安装了配合路由器的软件并通过该软件配置IE浏览器为高权限。在IE浏览器访问http://192.144.149.48时,路由器会收到PC软件发出的网络权限配置消息并生成网络权限表条目;整个路由器的网络权限表参见表4;
终端名
协议类型
目的IP
目的端口号
网络权限
PC
TCP
192.144.148.48
80
高权限
PC
所有
所有
所有
低权限
Camera
所有
所有
所有
无权限
Mobile
所有
所有
所有
高权限
Echo
所有
所有
所有
低权限
表4
整个路由器的地址权限表不再赘述。
图2描述的是路由器收到终端设备报文时网络访问控制流程的一种实施方式流程,具体描述如下:
201、解析报文的源MAC地址、协议类型、目的IP、目的端口,并分析报文是上传数据还是下载数据;
202、根据源MAC地址查终端信息表得到终端名;
203、判断终端是否存在,如不存在直接丢弃报文,否则进入步骤204;
204、根据终端名+协议类型+目的IP+目的端口查找网络权限表中的匹配条目:协议类型/目的IP/目的端口号为“所有”时,报文对应字段的任意值都可以匹配该条目;如果存在多个匹配条目,则优选四元组中匹配元最多的条目;
205、匹配条目的网络权限如果是无权限,丢弃报文,否则进入步骤206;
206、匹配条目的网络权限如果是低权限,进入步骤207;否则认为是高权限,正常转发;
207、如果是上传数据,丢弃报文,下载数据则正常转发。
图3是描述的是路由器收到终端设备报文时网络访问控制流程的另一实施方式,具体描述如下:
301、解析报文的源MAC地址、协议类型、目的IP、目的端口,并分析报文是上传数据还是下载数据;
302、根据MAC地址+协议类型+目的IP+目的端口查找网络权限表中的匹配条目:协议类型/目的IP/目的端口号为“所有”时,报文对应字段的任意值都可以匹配该条目;如果存在多个匹配条目,则优选四元组中匹配元最多的条目;
303、匹配条目的网络权限如果是无权限,丢弃报文,否则进入步骤304;
304、匹配条目的网络权限如果是低权限,进入步骤305;否则认为是高权限,正常转发;
305、如果是上传数据,丢弃报文,下载数据则正常转发。
本发明中基于终端名配置权限并生成网络权限表相对基于MAC地址/IP地址配置权限可以简化用户配置,如PC有两块网卡,如果基于MAC地址配置权限需要做两次同样的配置,基于终端名只需要做一次配置。如果多个终端组成集合并在该集合上配置权限从而间接基于终端配置权限,如路由器上引入安全组概念,PC和Mobile加入同一安全组,网络权限仅需要基于安全组配置,路由器上转发报文流程也相应会根据终端名查找到所属安全组配置决定网络权限,该类方法应视为本发明的保护范围。
以上实施例的说明只是用于帮助理解本发明的方法及其核心思想,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处;综上所述,本说明书内容不应理解为对本发明的限制。