CN102857515B - 一种访问网络的控制方法及装置 - Google Patents
一种访问网络的控制方法及装置 Download PDFInfo
- Publication number
- CN102857515B CN102857515B CN201210356859.7A CN201210356859A CN102857515B CN 102857515 B CN102857515 B CN 102857515B CN 201210356859 A CN201210356859 A CN 201210356859A CN 102857515 B CN102857515 B CN 102857515B
- Authority
- CN
- China
- Prior art keywords
- cookie
- packet
- terminal
- accesses network
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种访问网络的控制方法及装置,用以解决现有技术中对终端进行访问网络的控制时会出现误报,导致终端无法正常访问网络的问题。该方法接收到IP数据包后,确定IP数据包中携带的IP地址信息,并判断该IP数据包中是否携带认证Cookie,若是,则查找保存的该IP地址信息对应的认证Cookie,并当该IP数据包中携带的认证Cookie与查找到的认证Cookie不同时,阻断所有携带该IP地址信息的IP数据包,否则,为发送终端设定认证Cookie,并指示终端重新发送携带认证Cookie的IP数据包。上述方法可以应用于大多数操作***下的终端,并且不会产生误报,使终端可以正常访问网络。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种访问网络的控制方法及装置。
背景技术
目前,为了保证网络的安全性,在很多应用场景下,都需要禁止多个终端通过同一个网络互连协议(Internet Protocol,IP)地址访问网络,如图1所示。
图1为现有技术中多个终端通过同一个IP地址访问网络的组网结构示意图。在图1中,终端1、终端2、终端3均与路由器相连,路由器与网络地址转换(Network Access Translation,NAT)服务器相连,NAT服务器又与Internet网络相连。通过如图1所示的***,终端1、终端2、终端3在访问Internet网络时,将各自生成的IP数据包依次通过路由器、NAT服务器发送给Internet网络。对于终端1而言,当终端1生成的IP数据包尚未经过路由器的转发时,该IP数据包中携带的IP地址为终端1的IP地址,但是,当终端1生成的IP数据包经过路由器转发后,路由器转发的该IP数据包中携带的IP地址就会变为路由器的IP地址。相应的,终端2和终端3生成的IP数据包经过路由器转发后,路由器转发的终端2和终端3生成的IP数据包中携带的IP地址也会变为该路由器的IP地址。因此,如图1所示的终端1、终端2、终端3在访问网络时,就是通过同一个IP地址访问网络的。当然,在如图1所示的***中,NAT服务器还可以采用代理服务器替换。
但是,为了保证网络的安全性,需要控制终端对网络的访问,以禁止如图1所示的多个终端通过同一个IP地址访问网络的情况。
在实际应用中,由于在windows操作***下的终端发送的各IP数据包的数据包标识存在着一定的规律,例如按照发送各IP数据包的先后顺序,将各IP数据包的数据包标识依次递增,因此,现有技术中的一种对终端进行访问网络的控制方法具体为:网络侧设备分析携带相同IP地址的各IP数据包的数据包标识,如果存在至少两个携带相同IP地址的IP数据包的数据包标识相同,则可以确定存在至少两个终端通过该IP地址访问网络,从而采用预设的规则对这些IP数据包进行相应的放行或者阻断。
但是,该方法只针对windows操作***下的终端有效,对于linux操作***下的终端,其发送的各IP数据包的数据包标识几乎没有任何规律可循,因此将方法应用于对linux操作***下的终端进行访问网络的控制时,会出现严重的误报,导致终端无法正常访问网络。
现有技术中的另一种对终端进行访问网络控制的方法是根据IP数据包的生存时间(Time To Live,TTL)值的变化特性,来判断是否存在至少两个终端通过同一个IP地址访问网络。但是,该方法也存在很高的误报率,也会导致终端无法正常访问网络。
发明内容
本发明实施例提供一种访问网络的控制方法及装置,用以解决现有技术中对终端进行访问网络的控制时会出现误报,导致终端无法正常访问网络的问题。
本发明实施例提供的一种访问网络的控制方法,包括:
指示终端发送携带认证Cookie的网络互连协议IP数据包,接收所述终端发送的IP数据包,确定所述IP数据包中携带的IP地址信息;
判断所述IP数据包中是否携带认证Cookie;
若是,则查找保存的所述IP地址信息对应的认证Cookie,并判断所述IP数据包中携带的认证Cookie与查找到的认证Cookie是否相同,若相同,则放行所述IP数据包,若不同,则阻断所有携带所述IP地址信息的IP数据包;
否则,为所述终端设定唯一的认证Cookie,并指示所述终端重新发送携带为所述终端设定的认证Cookie的IP数据包。
本发明实施例提供的一种访问网络的控制装置,包括:
数据包接收模块,用于指示终端发送携带认证Cookie的网络互连协议IP数据包,接收所述终端发送的IP数据包,确定所述IP数据包中携带的IP地址信息;
Cookie携带状态判断模块,用于判断所述IP数据包中是否携带认证Cookie;
数据包控制模块,用于当所述Cookie携带状态判断模块的判断结果为是时,查找保存的所述IP地址信息对应的认证Cookie,并判断所述IP数据包中携带的认证Cookie与查找到的认证Cookie是否相同,若相同,则放行所述IP数据包,若不同,则阻断所有携带所述IP地址信息的IP数据包;
Cookie设定模块,用于当所述Cookie携带状态判断模块的判断结果为否时,为所述终端设定唯一的认证Cookie,并指示所述终端重新发送携带为所述终端设定的认证Cookie的IP数据包。
本发明实施例提供一种访问网络的控制方法及装置,该方法指示终端发送携带认证Cookie的IP数据包,接收终端发送的IP数据包,确定该IP数据包中携带的IP地址信息,并判断该IP数据包中是否携带认证Cookie,若是,则查找保存的该IP地址信息对应的认证Cookie,并当该IP数据包中携带的认证Cookie与查找到的认证Cookie不同时,阻断所有携带该IP地址信息的IP数据包,否则,为终端设定唯一的认证Cookie,并指示终端重新发送携带认证Cookie的IP数据包。由于上述方法根据IP数据包中携带的认证Cookie对终端进行访问网络的控制,因此可以应用于大多数操作***下的终端,并且由于终端发送的IP数据包中携带的认证Cookie均是为该终端设定的唯一的认证Cookie,因此根据IP数据包中携带的认证Cookie进行访问网络的控制时,不会产生误报,使终端可以正常访问网络。
附图说明
图1为现有技术中多个终端通过同一个IP地址访问网络的组网结构示意图;
图2为本发明实施例提供的访问网络的控制过程;
图3为本发明实施例提供的通过SCM设备进行访问网络控制时的组网结构示意图;
图4为本发明实施例提供的访问网络控制的详细过程;
图5为本发明实施例提供的访问网络的控制装置结构示意图。
具体实施方式
本发明实施例中统一为每个终端设定唯一的认证Cookie,使不同的终端发送的IP数据包中携带的认证Cookie各不相同,并根据IP数据包中携带的认证Cookie来判断是否存在至少两个终端通过同一个IP地址访问网络,因此可以应用于对大多数操作***下的终端进行访问网络的控制,并且不会出现误报,使终端可以正常访问网络。
下面结合说明书附图,对本发明实施例进行详细描述。
图2为本发明实施例提供的访问网络的控制过程,具体包括以下步骤:
S201:指示终端发送携带认证Cookie的IP数据包,接收该终端发送的IP数据包,确定该IP数据包中携带的IP地址信息。
其中,访问网络的控制装置可以对终端发送的用于访问网络的IP数据包进行拦截,并指示终端重定向到该控制装置内部的认证页面上,以使终端发送携带认证Cookie的IP数据包。具体的,该控制装置可以按照第一设定时间间隔指示终端发送携带认证Cookie的IP数据包,例如每隔30分钟指示终端发送携带认证Cookie的IP数据包。
在本发明实施例中,访问网络的控制装置可以位于安全内容管理(SecurityContent Management System,SCM)设备中,也即通过SCM设备对终端进行访问网络的控制。当通过SCM设备对终端进行访问网络的控制时,具体的组网结构可以如图3所示。图3为本发明实施例提供的通过SCM设备进行访问网络控制时的组网结构示意图,在图3中,假设终端1和终端2均与路由器相连,则SCM设备应部署在Internet网络的出口处,且与路由器相连,SCM设备的另一端则与Internet网络相连。当然,具体的组网结构还可以在图3所示的结构的基础上,在SCM设备与Internet网络之间增加NAT服务器、代理服务器或防火墙等设备。
以下均以通过SCM设备对终端进行访问网络的控制进行说明。
如图3所示,当终端1访问网络时,向路由器发送携带该终端1的IP地址的IP数据包,路由器转发该IP数据包时,将该IP数据包中携带的终端1的IP地址信息修改为该路由器自身的IP地址信息,并向SCM设备转发。此时,SCM设备则拦截该IP数据包,并指示终端重定向到SCM设备内部的认证页面上,终端根据该指示,访问SCM设备内部的认证页面,向SCM设备发送携带认证Cookie的IP数据包。当然,终端发送的携带认证Cookie的IP数据包也要通过路由器进行转发,因此SCM设备接收到的该携带认证Cookie的IP数据包中携带的IP地址信息仍然是路由器自身的IP地址信息。
S202:判断该IP数据包中是否携带认证Cookie,若是,则执行步骤S203,否则执行步骤S207。
继续沿用上例,SCM设备判断接收到的该IP数据包(终端根据SCM设备的指示发送的用于访问SCM设备内部的认证页面的IP数据包)中是否携带了Cookie,并根据判断结果进行相应处理。
S203:查找保存的该IP地址信息对应的认证Cookie。
如果SCM设备确定接收到的该IP数据包中携带了认证Cookie,则根据预先保存的IP地址信息与认证Cookie的对应关系,查找该IP数据包中携带的IP地址信息对应的认证Cookie。
其中,SCM设备可以通过映射表的形式保存IP地址信息与认证Cookie的对应关系,如表1所示。
表1
在表1中,IP地址信息“192.168.0.10”对应的认证Cookie即为“auth_cookie=KGTKQDRPMSEIPSJFJAII;auth_clock=1295394686”,IP地址信息“192.168.0.11”对应的认证Cookie即为“auth_cookie=GDYESJEFJTNOJYMQPYCU;auth_clock=1305601001”。通过如表1所示的映射表,SCM设备即可查找接收到的IP数据包中携带的IP地址信息对应的认证Cookie。
S204:判断该IP数据包中携带的认证Cookie与查找到的认证Cookie是否相同,若是,则执行步骤S205,否则执行步骤S206。
在查找到保存的该IP数据包中携带的IP地址信息对应的认证Cookie后,SCM设备则判断查找到的该认证Cookie是否与该IP数据包中携带的认证Cookie是否相同。
S205:放行该IP数据包。
若相同,则SCM设备确定该终端未与其他终端共用同一个IP地址访问网络,因此放行该IP数据包,允许该终端访问网络。
S206:阻断所有携带该IP地址信息的IP数据包。
若不相同,则SCM设备确定该终端与其他终端共用了同一个IP地址访问网络,因此阻断所有携带该IP地址信息的IP数据包,禁止所有通过该IP地址访问网络的终端进行访问网络。具体的,SCM设备可以在设定的时间长度内阻断所有携带该IP地址信息的IP数据包,该设定的时间长度可以与第一设定时间间隔相同,例如在30分钟内阻断所有携带该IP地址信息的IP数据包。
S207:为该终端设定唯一的认证Cookie,并指示该终端重新发送携带为该终端设定的认证Cookie的IP数据包。
如果SCM设备确定接收到的该IP数据包中未携带认证Cookie,则为该终端设定一个唯一的认证Cookie,并指示该终端重新发送携带为该终端设定的认证Cookie的IP数据包。因此,对于重新发送的IP数据包,SCM设备则可以继续根据上述步骤S201~S206进行相应的放行或阻断处理。
具体的,在上述步骤S203中,SCM设备在查找接收到的该IP数据包中携带的IP地址信息对应的认证Cookie时,如果未查找到保存的该IP地址信息对应的认证Cookie,则为发送该IP数据包的终端设定唯一的认证Cookie,并将为该终端设定的认证Cookie保存为该IP地址信息对应的认证Cookie。也即,在如表1所述的映射表中,建立接收到的该IP数据包中携带的IP地址信息与为该终端设定的认证Cookie的对应关系。建立对应关系后,SCM设备指示该终端执行:采用为该终端设定的认证Cookie更新该终端自身保存的认证Cookie,重新发送携带更新后的认证Cookie的IP数据包。
并且,SCM设备也要按照第二设定时间间隔将保存的所有IP地址信息对应的认证Cookie删除,也即清空如表1所示的映射表。
图4为本发明实施例提供的访问网络控制的详细过程,具体包括以下步骤:
S401:SCM设备按照第一设定时间间隔指示终端发送携带认证Cookie的IP数据包。
S402:接收该终端发送的IP数据包,确定该IP数据包中携带的IP地址信息。
S403:判断该IP数据包中是否携带了认证Cookie,若是,则执行步骤S404,否则执行步骤S410。
S404:查找保存的该IP地址信息对应的认证Cookie。
S405:判断是否查找到该IP地址对应的认证Cookie,若是,则执行步骤S406,否则执行步骤S409。
S406:判断该IP数据包中携带的认证Cookie与查找到的认证Cookie是否相同,若相同,则执行步骤S407,否则,执行步骤S408。
S407:放行该IP数据包。
S408:在设定的时间长度内阻断所有携带该IP地址信息的IP数据包。
S409:为终端设定唯一的认证Cookie,将为该终端设定的认证Cookie保存为该IP地址信息对应的认证Cookie,指示该终端采用设定的认证Cookie更新该终端自身保存的认证Cookie,并重新发送携带更新后的认证Cookie的IP数据包,并返回步骤S402。
S410:为终端设定唯一的认证Cookie,指示该终端重新发送携带为该终端设定的认证Cookie的IP数据包,并返回步骤S402。
下面以图3为例,分两种情况对图4所示的过程进行说明。
情况一、当终端1、终端2和路由器是初次接入网络时,假设终端1先访问网络,则终端1发送的IP数据包中未携带SCM设备设定的认证Cookie。
终端1根据SCM设备的指示,访问SCM设备内部的认证页面,向SCM设备发送IP数据包,但由于终端1是初次接入网络,SCM设备尚未为终端1设定认证Cookie,因此终端1发送的IP数据包中未携带认证Cookie,则步骤S403的判断结果为否,因此执行步骤S410,也即SCM设备为该终端1设定一个唯一的认证Cookie,记为Cookie1,并指示终端1重新发送携带Cookie1的IP数据包,返回步骤S402。
由于路由器转发的终端1发送的IP数据包中携带的IP地址信息是该路由器的IP地址信息,而路由器是初次接入网络,因此此时SCM设备中并未保存该路由器的IP地址信息对应的认证Cookie,因此返回步骤S402并继续执行后续步骤时,步骤S405的判断结果为否,执行步骤S409,也即SCM设备再次为终端1设定一个唯一的认证Cookie,记为Cookie11。
SCM设备重新为终端1设定Cookie11后,将该Cookie11保存为该路由器的IP地址信息对应的认证Cookie,并指示终端1采用Cookie11更新该终端自身保存的Cookie1。终端1重新发送携带更新后的认证Cookie的IP数据包,也即重新发送携带Cookie11的IP数据包,再次返回步骤S402。
再次返回步骤S402并继续后续执行步骤后,由于SCM设备已经保存了路由器的IP地址信息对应的认证Cookie(Cookie11),因此步骤S405的判断结果为是,执行步骤S406。由于此时SCM设备保存的路由器的IP地址信息对应的认证Cookie为Cookie11,而终端1本次发送的IP数据包中携带的认证Cookie也是Cookie11,因此步骤S406的判断结果为是,因此执行步骤S407,放行该IP数据包,允许终端1访问网络,也即放行携带该IP地址信息的IP数据包。
此时,终端1已经可以访问网络,SCM设备中保存的路由器的IP地址信息对应的认证Cookie为Cookie11。如果此时终端2也通过该路由器访问网络,则SCM设备指示终端2发送携带认证Cookie的IP数据包,而由于终端2也是初次接入网络,因此终端2发送的IP数据包中未携带认证Cookie,SCM设备仍要为终端2设定唯一的认证Cookie,记为Cookie2,终端2重新发送携带Cookie2的IP数据包时,由于SCM设备此时保存的路由器的IP地址信息对应的认证Cookie为Cookie11,不同于终端2发送的IP数据包中携带的Cookie2,因此此时SCM设备可以确定终端2发送的IP数据包中携带的IP地址信息(该路由器的IP地址信息)被至少两个终端所使用,从而阻断所有携带该IP地址信息的IP数据包,也即终端1和终端2发送的该IP数据包都会被阻断,SCM设备禁止终端1和终端2访问网络。
情况二、终端1、终端2中分别保存了SCM设备相应设定的认证Cookie,SCM设备中也已经保存了路由器的IP地址信息对应的认证Cookie,假设保存的路由器的IP地址信息对应的认证Cookie是为终端1设定的认证Cookie,当SCM按照设定的时间间隔,将保存的所有IP地址信息对应的认证Cookie删除后,如果终端1首先访问网络,则控制过程如下:
虽然终端1发送的IP数据包中携带了SCM设备设定的相应的认证Cookie,但是此时SCM设备已经删除了所有IP地址信息对应的认证Cookie,因此不能查找到路由器的IP地址信息对应的认证Cookie,从而步骤S405的判断结果为否,执行步骤S409,也即SCM设备重新为终端1设定认证Cookie,并保存路由器的IP地址信息与重新为终端1设定的认证Cookie的对应关系。终端1重新发送携带该重新设定的认证Cookie的IP数据包后,则与情况一类似,该IP数据包会被放行,允许终端1访问网络。后续的,如果终端2通过该路由器访问网络,则终端1和终端2都会被禁止。
由上述情况一和情况二可见,本发明实施例根据为各终端设定的唯一的认证Cookie,实现了禁止多个终端通过同一个IP地址访问网络,提高了网络的安全性。并且,由于本发明实施例中是以IP数据包中携带的认证Cookie进行访问网络控制的,因此对于大多数操作***下的终端都可以进行控制,而且认证Cookie是由SCM设备针对不同的终端统一设定的,为不同的终端设定的认证Cookie也各不相同,因此不会出现误报,在提高网络安全性的同时,可以使符合规则的终端正常的访问网络。
需要说明的是,本发明实施例中并没有根据终端上安装的浏览器默认生成的Cookie进行访问网络控制的原因在于:不同浏览器默认生成的Cookie不同。即使是同一个终端访问同一个网站,如果使用的浏览器不同,那么使用不同浏览器访问网络时发送的IP数据包中携带的Cookie也是不同的,因此如果直接根据浏览器默认生成的Cookie进行访问网络的控制,也会出现误报。而本发明实施例中通过SCM设备统一为终端设定认证Cookie,兼容绝大多数浏览器,同一个终端无论使用何种浏览器,其根据SCM设备的指示所发送的IP数据包中携带的认证Cookie都是相同的,因此不会出现误报,可以进一步提高访问网络控制的准确性,使符合规则的终端正常的访问网络。
较佳的,为了避免SCM设备为终端设定的认证Cookie被用户删除,导致后续终端不能正常的访问网络,在本发明实施例中,SCM设备为该终端设定唯一的认证Cookie之后,还要指示终端在HTTP Cookie设置信息、Local SharedObjects设置信息、HTTP Etags设置信息、Web缓存中保存为该终端设定的认证Cookie。假设用户误将该终端的HTTP Cookie设置信息中保存的认证Cookie删除,则SCM设备为该终端设定的认证Cookie仍可以从该终端的Local SharedObjects设置信息、HTTP Etags设置信息、或者Web缓存中恢复,后续根据SCM设备的指示所发送的IP数据包中仍携带SCM设备为该终端设定的认证Cookie,而不会导致用于将某一处的认证Cookie删除后,终端不能正常访问网络的问题。因此,本发明实施例中SCM设备为终端设定的认证Cookie在一定程度上来讲是永久性的。
图5为本发明实施例提供的访问网络的控制装置结构示意图,具体包括:
数据包接收模块501,用于指示终端发送携带认证Cookie的网络互连协议IP数据包,接收所述终端发送的IP数据包,确定所述IP数据包中携带的IP地址信息;
Cookie携带状态判断模块502,用于判断所述IP数据包中是否携带认证Cookie;
数据包控制模块503,用于当所述Cookie携带状态判断模块502的判断结果为是时,查找保存的所述IP地址信息对应的认证Cookie,并判断所述IP数据包中携带的认证Cookie与查找到的认证Cookie是否相同,若相同,则放行所述IP数据包,若不同,则阻断所有携带所述IP地址信息的IP数据包;
Cookie设定模块504,用于当所述Cookie携带状态判断模块502的判断结果为否时,为所述终端设定唯一的认证Cookie,并指示所述终端重新发送携带为所述终端设定的认证Cookie的IP数据包。
所述数据包接收模块501具体用于,按照第一设定时间间隔指示终端发送携带认证Cookie的IP数据包;
所述数据包控制模块503具体用于,在设定的时间长度内阻断所有携带所述IP地址信息的IP数据包。
所述Cookie设定模块504还用于,当所述数据包控制模块未查找到保存的所述IP地址信息对应的认证Cookie时,为所述终端设定唯一的认证Cookie,并将为所述终端设定的认证Cookie保存为所述IP地址信息对应的认证Cookie,指示所述终端执行:采用为所述终端设定的认证Cookie更新所述终端自身保存的认证Cookie,重新发送携带更新后的认证Cookie的IP数据包。
所述Cookie设定模块504还用于,按照第二设定时间间隔将保存的所有IP地址信息对应的认证Cookie删除。
所述Cookie设定模块504还用于,在为所述终端设定唯一的认证Cookie之后,指示所述终端在HTTP Cookie设置信息、Local Shared Objects设置信息、HTTP Etags设置信息、Web缓存中保存为所述终端设定的认证Cookie。
本发明实施例提供一种访问网络的控制方法及装置,该方法指示终端发送携带认证Cookie的IP数据包,接收终端发送的IP数据包,确定该IP数据包中携带的IP地址信息,并判断该IP数据包中是否携带认证Cookie,若是,则查找保存的该IP地址信息对应的认证Cookie,并当该IP数据包中携带的认证Cookie与查找到的认证Cookie不同时,阻断所有携带该IP地址信息的IP数据包,否则,为终端设定唯一的认证Cookie,并指示终端重新发送携带认证Cookie的IP数据包。由于上述方法根据IP数据包中携带的认证Cookie对终端进行访问网络的控制,因此可以应用于大多数操作***下的终端,并且由于终端发送的IP数据包中携带的认证Cookie均是为该终端设定的唯一的认证Cookie,因此根据IP数据包中携带的认证Cookie进行访问网络的控制时,不会产生误报,使终端可以正常访问网络。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种访问网络的控制方法,其特征在于,包括:
访问网络的控制装置接收网络互连协议IP数据包,确定所述IP数据包中携带的IP地址信息;其中,所述访问网络的控制装置位于安全内容管理SCM设备中;
访问网络的控制装置判断所述IP数据包中是否携带Cookie;
若是,则访问网络的控制装置查找保存的所述IP地址信息对应的Cookie,并判断所述IP数据包中携带的Cookie与查找到的Cookie是否相同,若相同,则放行所述IP数据包,若不同,则阻断所述IP数据包;
否则,访问网络的控制装置为发送所述IP数据包的终端分配唯一的Cookie,并指示所述终端在后续发送IP数据包时,均在发送的IP数据包中携带为所述终端分配的Cookie。
2.如权利要求1所述的方法,其特征在于,当访问网络的控制装置确定所述IP数据包中携带Cookie时,所述方法还包括:
当访问网络的控制装置未查找到保存的所述IP地址信息对应的Cookie时,为发送所述IP数据包的终端分配唯一的Cookie,并将为所述终端分配的Cookie保存为所述IP地址信息对应的Cookie;
访问网络的控制装置指示所述终端执行:采用为所述终端分配的Cookie更新所述终端自身保存的Cookie,重新发送携带更新后的Cookie的IP数据包,并在后续发送IP数据包时,均在发送的IP数据包中携带更新后的Cookie。
3.如权利要求2所述的方法,其特征在于,所述方法还包括:
访问网络的控制装置按照设定的时间间隔将保存的所有IP地址信息对应的Cookie删除。
4.如权利要求1所述的方法,其特征在于,当访问网络的控制装置确定所述IP数据包中未携带Cookie时,为发送所述IP数据包的终端分配唯一的Cookie之后,所述方法还包括:
访问网络的控制装置指示所述终端重新发送携带为所述终端分配的Cookie的IP数据包。
5.如权利要求1所述的方法,其特征在于,访问网络的控制装置指示所述终端在后续发送IP数据包时,均在发送的IP数据包中携带为所述终端分配的Cookie,具体包括:
访问网络的控制装置指示所述终端在HTTP Cookie信息、Local SharedObjects信息、HTTP Etags信息、Web缓存中的至少两个信息中保存为所述终端分配的Cookie,使所述终端在后续发送IP数据包时,在发送的IP数据包中携带保存的Cookie。
6.一种访问网络的控制装置,其特征在于,包括:
数据包接收模块,用于接收网络互连协议IP数据包,确定所述IP数据包中携带的IP地址信息;其中,所述访问网络的控制装置位于安全内容管理SCM设备中;
Cookie携带状态判断模块,用于判断所述IP数据包中是否携带Cookie;
数据包控制模块,用于当所述Cookie携带状态判断模块的判断结果为是时,查找保存的所述IP地址信息对应的Cookie,并判断所述IP数据包中携带的Cookie与查找到的Cookie是否相同,若相同,则放行所述IP数据包,若不同,则阻断所述IP数据包;
Cookie分配模块,用于当所述Cookie携带状态判断模块的判断结果为否时,为发送所述IP数据包的终端分配唯一的Cookie,并指示所述终端在后续发送IP数据包时,均在发送的IP数据包中携带为所述终端分配的Cookie。
7.如权利要求6所述的装置,其特征在于,所述Cookie分配模块还用于,当所述数据包控制模块未查找到保存的所述IP地址信息对应的Cookie时,为发送所述IP数据包的终端分配唯一的Cookie,并将为所述终端分配的Cookie保存为所述IP地址信息对应的Cookie,指示所述终端执行:采用为所述终端分配的Cookie更新所述终端自身保存的Cookie,重新发送携带更新后的IP数据包,并在后续发送IP数据包时,均在发送的IP数据包中携带更新后的Cookie。
8.如权利要求7所述的装置,其特征在于,所述Cookie分配模块还用于,按照设定的时间间隔将保存的所有IP地址信息对应的Cookie删除。
9.如权利要求6所述的装置,其特征在于,所述Cookie分配模块还用于,当所述Cookie携带状态判断模块的判断结果为否时,为发送所述IP数据包的终端分配唯一的Cookie之后,指示所述终端重新发送携带为所述终端分配的Cookie的IP数据包。
10.如权利要求6所述的装置,其特征在于,所述Cookie分配模块具体用于,指示所述终端在HTTP Cookie信息、Local Shared Objects信息、HTTPEtags信息、Web缓存中的至少两个信息中保存为所述终端分配的Cookie,使所述终端在后续发送IP数据包时,在发送的IP数据包中携带保存的Cookie。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210356859.7A CN102857515B (zh) | 2012-09-21 | 2012-09-21 | 一种访问网络的控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210356859.7A CN102857515B (zh) | 2012-09-21 | 2012-09-21 | 一种访问网络的控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102857515A CN102857515A (zh) | 2013-01-02 |
| CN102857515B true CN102857515B (zh) | 2015-06-17 |
Family
ID=47403708
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210356859.7A Active CN102857515B (zh) | 2012-09-21 | 2012-09-21 | 一种访问网络的控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102857515B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103166960A (zh) * | 2013-03-01 | 2013-06-19 | 北京神州绿盟信息安全科技股份有限公司 | 接入控制方法及装置 |
| CN107948199B (zh) * | 2017-12-27 | 2021-05-25 | 北京奇安信科技有限公司 | 一种对终端共享接入进行快速检测的方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1507203A (zh) * | 2002-12-05 | 2004-06-23 | 用于对网络位置的子位置进行用户验证的方法和*** | |
| CN102014110A (zh) * | 2009-09-08 | 2011-04-13 | 华为技术有限公司 | 认证通信流量的方法、通信***和防护装置 |
-
2012
- 2012-09-21 CN CN201210356859.7A patent/CN102857515B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1507203A (zh) * | 2002-12-05 | 2004-06-23 | 用于对网络位置的子位置进行用户验证的方法和*** | |
| CN102014110A (zh) * | 2009-09-08 | 2011-04-13 | 华为技术有限公司 | 认证通信流量的方法、通信***和防护装置 |
Non-Patent Citations (1)
| Title |
|---|
| 沈海波,洪帆.基于cookie的web服务安全认证***.《计算机工程与设计》.2006,第27卷(第5期),762-764,881. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102857515A (zh) | 2013-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107888605B (zh) | 一种物联网云平台流量安全分析方法和*** | |
| CN104219200A (zh) | 一种防范dns缓存攻击的装置和方法 | |
| CN108881328B (zh) | 数据包过滤方法、装置、网关设备及存储介质 | |
| CN105635073B (zh) | 访问控制方法、装置和网络接入设备 | |
| US10027627B2 (en) | Context sharing between endpoint device and network security device using in-band communications | |
| CN113497797B (zh) | 一种icmp隧道传输数据的异常检测方法及装置 | |
| CN112714027B (zh) | 物联网终端设备接入网关的方法和*** | |
| CN106533973B (zh) | 分发业务消息的方法、设备和*** | |
| CN105373891A (zh) | 智能电网数据管理和传输*** | |
| CN103795581B (zh) | 地址处理方法和设备 | |
| US10855704B1 (en) | Neutralizing malicious locators | |
| CN105100048A (zh) | WiFi网络安全鉴定方法、服务器、客户端装置和*** | |
| CN102857515B (zh) | 一种访问网络的控制方法及装置 | |
| CN112383559B (zh) | 地址解析协议攻击的防护方法及装置 | |
| CN105282112A (zh) | 一种终端及检测终端数据交互的安全性的方法 | |
| US11063975B2 (en) | Malicious content detection with retrospective reporting | |
| CN110995763B (zh) | 一种数据处理方法、装置、电子设备和计算机存储介质 | |
| CN116723020A (zh) | 网络服务模拟方法、装置、电子设备及存储介质 | |
| US10505892B2 (en) | Method for transmitting at least one IP data packet, related system and computer program product | |
| CN103916489A (zh) | 一种单域名多ip的域名解析方法及*** | |
| CN114070637B (zh) | 基于属性标签的访问控制方法、***、电子设备及存储介质 | |
| US11902315B2 (en) | Privacy preserving vulnerability detection for devices | |
| CN110233759B (zh) | 一种负载异常告警方法及相关装置 | |
| CN110324179B (zh) | 一种负载异常告警方法及相关装置 | |
| US9912557B2 (en) | Node information detection apparatus, node information detection method, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |