共享接入的檢測方法及裝置與流程

2023-05-11 08:43:31 5

本申請涉及計算機通信領域，尤其涉及共享接入的檢測方法及裝置。

背景技術：

網絡共享接入是指多臺用戶終端通過NAT(Network Address Translation，網絡地址轉換)、HTTP代理等方式，共享一個公網IP進行上網的行為。

然而，在實際應用中，很多員工採用共享接入的方式通過公司內網環境進行上網，例如在公司網絡環境中私建無線熱點進行上網，從而大大降低了公司的內網安全。

技術實現要素：

有鑑於此，本申請提供一種共享接入的檢測方法及裝置，用以通過預配置的策略組對接入的用戶終端進行管控，以提高公司內網的安全性。

具體地，本申請是通過如下技術方案實現的：

根據本申請的第一方面，提供一種共享接入的檢測方法，所述方法應用於區域網的網關設備，所述方法包括：

收集來自用戶終端的HTTP報文，並獲取所述HTTP報文攜帶的預設標識欄位；

基於所述預設的標識欄位，判斷所述用戶終端的終端類型；

如果所述用戶終端是移動終端，則將該用戶終端的IP位址與預設的策略組中的策略進行匹配，並基於匹配到的策略，對所述用戶終端進行接入控制；其中，所述策略組包含若干個不同類型的策略；所述不同類型的策略被預配置的IP列表類型不同。

根據本申請的第二方面，提供一種共享接入的檢測裝置，所述裝置應用於區域網的網關設備，所述裝置包括：

獲取單元，用於收集來自用戶終端的HTTP報文，並獲取所述HTTP報文攜帶的預設標識欄位；

判斷單元，用於基於所述預設的標識欄位，判斷所述用戶終端的終端類型；

匹配單元，用於如果所述用戶終端是移動終端，則將該用戶終端的IP位址與預設的策略組中的策略進行匹配，並基於匹配到的策略，對所述用戶終端進行接入控制；其中，所述策略組包含若干個不同類型的策略；所述不同類型的策略被預配置的IP列表類型不同。

本申請提出一種共享接入的檢測方法，通過網關設備收集來自用戶終端的HTTP報文，並獲取所述HTTP報文攜帶的預設標識欄位，並可基於所述預設的標識欄位，判斷所述用戶終端的終端類型。如果所述用戶終端是移動終端，網關設備可將該用戶終端的IP位址與預設的策略組中的策略進行匹配，並基於匹配到的策略，對所述用戶終端進行接入控制；其中，所述策略組包含若干個不同類型的策略；所述不同類型的策略被預配置的IP列表類型不同。

由於策略組包含多個不同類型的策略，且不同類型的策略的匹配項對應IP列表的類型不同，使得網關設備可基於用戶終端的IP位址，查找與該IP位址匹配的策略，並基於匹配到的策略對用戶終端進行接入控制，因此可有效地提高網絡環境的安全性。

附圖說明

圖1是本申請一示例性實施例示出的一種共享接入的檢測方法的流程圖；

圖2是本申請一示例性實施例示出的一種共享接入的檢測裝置所在設備的硬體結構圖；

圖3是本申請一示例性實施例示出的一種共享接入的檢測裝置的框圖。

具體實施方式

這裡將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式並不代表與本申請相一致的所有實施方式。相反，它們僅是與如所附權利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。

在本申請使用的術語是僅僅出於描述特定實施例的目的，而非旨在限制本申請。在本申請和所附權利要求書中所使用的單數形式的「一種」、「所述」和「該」也旨在包括多數形式，除非上下文清楚地表示其他含義。還應當理解，本文中使用的術語「和/或」是指並包含一個或多個相關聯的列出項目的任何或所有可能組合。

應當理解，儘管在本申請可能採用術語第一、第二、第三等來描述各種信息，但這些信息不應限於這些術語。這些術語僅用來將同一類型的信息彼此區分開。例如，在不脫離本申請範圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決於語境，如在此所使用的詞語「如果」可以被解釋成為「在……時」或「當……時」或「響應於確定」。

隨著網際網路，尤其是無線網絡的迅速發展，主要依賴於無線網絡的行動裝置也日益增多，成為人們生活中不可缺少的一部分。

然而，在實際應用中，尤其是對內網安全性要求較高的應用中，例如公司內部網絡，很多員工採用共享接入的方式通過公司內網環境進行上網，例如在公司網絡環境中私建無線熱點進行上網，由於缺乏對共享接入的終端設備的管理控制，所以大大降低了公司的內網安全。

本申請提出一種共享接入的檢測方法，通過網關設備收集來自用戶終端的HTTP報文，並獲取所述HTTP報文攜帶的預設標識欄位，並可基於所述預設的標識欄位，判斷所述用戶終端的終端類型。如果所述用戶終端是移動終端，網關設備可將該用戶終端的IP位址與預設的策略組中的策略進行匹配，並基於匹配到的策略，對所述用戶終端進行接入控制；其中，所述策略組包含若干個不同類型的策略；所述不同類型的策略對應的預配置的IP列表類型不同。

由於策略組包含多個不同類型的策略，且不同類型的策略的匹配項對應IP列表的類型不同，使得網關設備可基於用戶終端的IP位址，查找與該IP位址匹配的策略，並基於匹配到的策略對用戶終端進行接入控制，因此可有效地提高網絡環境的安全性。

參見圖1，圖1是本申請一示例性實施例示出的一種共享接入的檢測方法的流程圖，該共享接入的檢測方法可包括如下所述步驟。

步驟101：網關設備收集來自用戶終端的HTTP報文，並獲取所述HTTP報文攜帶的預設標識欄位；

步驟102：網關設備基於所述預設的標識欄位，判斷所述用戶終端的終端類型；

步驟103：如果所述用戶終端是移動終端，網關設備將該用戶終端的IP位址與預設的策略組中的策略進行匹配，並基於匹配到的策略，對所述用戶終端進行接入控制；其中，所述策略組包含若干個不同類型的策略；所述不同類型的策略對應被預配置的IP列表類型不同。

其中，上述標識欄位，主要用於標識用戶終端的終端類型，如移動用戶終端、PC終端等。上述標識欄位可為HTTP報文中的UA(User-Agent，用戶代理)欄位。通常UA欄位可攜帶用戶終端的作業系統及其版本、CPU類型、瀏覽器及其版本、瀏覽器渲染引擎、瀏覽器語言、瀏覽器插件等信息。網關設備可通過UA欄位攜帶的信息，識別用戶終端的終端類型。當然，上述標識欄位也可為開發人員添加的欄位，這裡只是對標識欄位進行示例性地說明，不對其進行具體地限定。

上述預設的策略組，可包含若干個不同類型的策略。每個策略都可包括匹配項和執行動作，匹配項用於策略匹配，執行動作可用於基於匹配到的策略對匹配對象，如用戶終端，執行相應的處理。例如，假設上述策略為白名單策略，該白名單策略的匹配項可為若干個受信IP位址，執行動作可為對用戶終端的交互報文進行轉發等。

在本申請實施例中，上述策略組中的策略的匹配項可為IP位址列表，並且每種類型的策略的匹配項所對應的IP位址列表不同。例如，該策略組可包括白名單策略，白名單策略的匹配項可為預先配置的若干個受信IP。該策略組可還包括告警策略，告警策略的匹配項可為預先設置的第一網段。

這裡只是對策略組，策略及其匹配項和執行動作的示例性說明，不對其進行具體地限定。

在本申請實施例中，由於策略組包含多個不同類型的策略，且不同類型的策略的匹配項對應IP列表的類型不同，使得網關設備可基於用戶終端的IP位址，查找與該IP位址匹配的策略，並基於匹配到的策略對用戶終端進行接入控制，因此可有效地提高網絡環境的安全性。

在實現時，網關設備可收集來自用戶終端的HTTP報文，並可獲取所述HTTP報文攜帶的預設標識欄位。網關設備可基於該預設的標識欄位，判斷該用戶終端的終端類型。

在一種可選的實現方式中，上述標識欄位可為UA欄位，網關設備可基於HTTP協議，解析從來自用戶終端的HTTP報文，並提取該HTTP報文的UA欄位。網關設備可通過UA欄位攜帶的作業系統和終端型號等信息，判斷該用戶終端的終端類型。

例如，網關設備獲取UA欄位的程序可為：

GET/portal.php？wifiname＝T_T&url＝http％3A％2F％2F192.168.253.1％3A8087％2Fgoto HTTP/1.1

User-Agent:Dalvik/2.1.0(Linux；U；Android 5.1；m2note Build/LMY47D)

Host:freewifi.360.cn

Connection:Keep-Alive

Accept-Encoding:gzip

其中，User-Agent即為UA欄位，Android 5.1可為該用戶終端的作業系統及該作業系統的版本號，m2note可為該用戶終端的終端型號。網關設備通過執行上述程序可確定該用戶終端的作業系統為安卓5.1系統，用戶終端為魅族m2 note移動終端。

在本申請實施例中，如果網關設備確定上述用戶終端為PC終端，則不該用戶終端進行任何處理。

如果網關設備確定上述用戶終端為移動終端，網關設備可獲取HTTP報文中攜帶的該用戶終端的IP位址，並將該用戶終端的IP位址與預設的策略組中策略進行匹配。

如果該用戶終端的IP位址與策略組中的任一策略匹配，網關設備則可基於該用戶終端的IP位址匹配到的策略，對該用戶終端進行與匹配到的策略相應的接入控制。

在一種可選的實現方式中，上述預設的策略組中可包括白名單策略，且該白名單策略的優先級高於該預設的策略組中的其他策略。該白名單策略的匹配項可包括開發人員預先配置的受信IP位址，執行動作可包括轉發動作，如對IP位址為受信IP位址的用戶終端的交互報文進行轉發。

在實現時，網關設備可將上述用戶終端的IP位址先與上述預設的策略組中的白名單策略進行匹配。如果該用戶終端的IP位址與該白名單策略匹配項中的任一受信IP位址匹配，則可轉發該用戶終端的交互報文。如果該用戶終端的IP位址與該白名單策略匹配項中所有的受信IP位址都不匹配，則可將該用戶終端的IP位址進一步與該策略組中的其他策略進行匹配。

在一種可選的實現方式中，上述策略組中的其他策略可為告警策略和阻斷策略。其中，告警策略的匹配項可包括網絡管理人員預配置的第一網段，執行動作可包括告警動作。上述阻斷策略的匹配項可包括網絡管理人員預配置的第二網段，執行動作可包括阻斷該用戶終端的交互報文轉發的動作。

如果上述用戶終端的IP位址與上述白名單策略匹配項中所有的受信IP位址都不匹配，網關設備則可將該用戶終端的IP位址與上述告警策略和阻斷策略進行匹配。

如果該用戶終端的IP位址屬於該告警策略匹配項中的預設的第一網段，網管設備則可確定該用戶終端的IP位址與告警策略匹配，並進行告警動作。例如，通過面向網絡管理人員的Web接入控制頁面或者接入控制客戶端向網絡管理人員發出告警信息等。

如果該用戶終端的IP位址屬於上述阻斷策略匹配項的預設的第二網段，網關設備則可確定該用戶終端的IP位址與阻斷策略匹配。網關設備則可在預設的時長內阻斷該用戶終端的報文轉發。

需要說明的是，為了便於網路管理人員對接入終端的管控，網絡管理人員可通過接入控制客戶端或者接入控制Web頁面提供的交互界面，對上述策略進行配置、查看各在線的IP位址對應的用戶終端的狀態信息、以及對各在線IP位址進行管理等操作。

在配置策略時，網絡管理人員可根據實際需求來配置上述策略，如配置白名單策略匹配項包括若干個受信IP位址，配置上述告警策略匹配項包括第一網段以及配置上述阻斷策略匹配項包括第二網段。

在配置時，網絡管理人員可實際需求，對上述受信IP位址，第一網段及第二網段進行設置。例如，網絡管理人員可將公司審批通過的移動終端的IP位址設置為受信IP位址，可將對內網安全性要求較為嚴苛的研發部等的網段設置為第二網段等。其中，上述受信IP位址可屬於上述第一網段或者第二網段，也可不屬於上述第一網段或者第二網段。

當然，網關設備也可根據採集到的各個網段的流量以及各個網段流量的歷史趨勢，來自主識別並確定出可疑網段，並將識別出的可疑網段設置為上述第一網段或者第二網段。

當然，這裡只是對上述策略及其匹配項IP列表的設定進行示例性地說明，不對其進行具體地限定。

此外，網絡管理人員還可通過上述接入控制客戶端或者接入控制Web頁面，為上述阻斷策略的執行動作設置一定的時長，防止永久性的執行阻斷動作。

在本申請實施例中，網關設備在上述用戶終端IP位址匹配到上述策略組中的任一策略後，可將該用戶終端的IP位址添加至在線列表，以方便網絡管理人員對在線列表中的IP位址進行管控。其中，在線列表中可包括在線用戶終端的IP位址。

網絡管理人員可通過上述接入控制客戶端或者接入控制Web頁面對該在線列表中的IP位址進行管控，例如，凍結在線列表中的某IP位址，禁止該IP位址進行報文交互，或者將凍結了的某IP位址進行解凍，或者將在線列表中的某IP位址設置為受信IP位址，添加至受信IP列表等。同時，網絡管理人員還可從在線列表中查看各個用戶終端的在線狀態等信息，更好地對接入的用戶終端進行管理和控制。

在本申請實施例中，為了方便管理人員查看網關設備對接入的用戶終端的檢測處理結果，網關設備可在基於匹配到的策略中的執行動作對上述用戶終端的HTTP報文處理後，生成與該執行動作對應日誌文件，並可將生成的日誌文件通過上述接入控制客戶端或者上述接入控制Web頁面的可視化界面進行展示，輸出。

本申請提出一種共享接入的檢測方法，通過網關設備收集來自用戶終端的HTTP報文，並獲取所述HTTP報文攜帶的預設標識欄位，並可基於所述預設的標識欄位，判斷所述用戶終端的終端類型。如果所述用戶終端是移動終端，網關設備可將該用戶終端的IP位址與預設的策略組中的策略進行匹配，並基於匹配到的策略，對所述用戶終端進行接入控制；其中，所述策略組包含若干個不同類型的策略；所述不同類型的策略對應的預配置的IP列表類型不同。

由於策略組包含多個不同類型的策略，且不同類型的策略的匹配項對應IP列表的類型不同，使得網關設備可基於用戶終端的IP位址，查找與該IP位址匹配的策略，並基於匹配到的策略對用戶終端進行接入控制，因此可有效地提高網絡環境的安全性。

下面通過一個具體的例子，對上述共享接入的檢測方法進行詳細地說明。

假設，上述預設的策略組可包括白名單策略、告警策略與阻斷策略，並且白名單策略的優先級高於告警策略和阻斷策略。其中，白名單策略的匹配項可包括開發人員預先配置的受信IP位址，執行動作可包括轉發動作。告警策略的匹配項可包括網絡管理人員預配置的第一網段，執行動作可包括告警動作。阻斷策略的匹配項可包括網絡管理人員預配置的第二網段，執行動作可包括阻斷該用戶終端的交互報文轉發的動作。

網絡管理人員可根據實際需求，將上述告警策略的匹配項的第一網段設置為168.192.1.0-168.192.1.127，將上述阻斷策略的匹配項的第二網段設置為168.192.2.0-168.192.1.63，將阻斷時長設置為60分鐘，以及將若干個受信IP位址設置為168.192.1.5、168.192.1.8等等。

假設有4臺用戶終端，分別為用戶終端A-用戶終端D。其中，用戶終端A的終端類型為PC終端，IP位址為168.192.1.220；用戶終端B的終端類型為移動終端，IP位址為168.192.1.5；用戶終端C的終端類型為移動終端，IP位址為168.192.1.125；用戶終端D的終端類型為移動終端，IP位址為168.192.2.32。

網關設備可採集來自於用戶終端的HTTP報文，並通過HTTP報文的UA欄位確定上述4臺用戶終端，以及上述4臺用戶終端的終端類型。

網關設備可確定出上述用戶終端A的終端類型為PC端，確定上述用戶終端B-C的終端類型為移動終端。此時，網關設備可不對用戶終端A進行任何處理，而將用戶終端B-C的IP位址分別與上述預設的策略組中的策略進行匹配。

在實現時，網關設備可將用戶終端B的IP位址與策略組中的白名單策略進行匹配，通過匹配操作，網關設備確定用戶終端B的與白名單策略匹配項中的受信IP位址168.192.1.5匹配。網關設備可轉發用戶終端B的交互報文。

網關設備可將用戶終端C的IP位址與白名單策略進行匹配。在確定用戶終端C的IP位址與白名單策略匹配項中的任一受信IP位址都不匹配時，網關設備可將該用戶終端C的IP位址進一步與告警策略和阻斷策略進行匹配。

在確定用戶終端C的IP位址與告警策略匹配時，網關設備可向網絡管理人員發出告警信息。

網關設備可將用戶終端D的IP位址與白名單策略進行匹配。在確定用戶終端D的IP位址與白名單策略匹配項中的任一受信IP位址都不匹配時，網關設備可將該用戶終端D的IP位址進一步與告警策略和阻斷策略進行匹配。

在確定用戶終端D的IP位址與阻斷策略匹配時，網關設備可阻斷攔截用戶終端D的交互報文的轉發，阻斷時間為60分鐘。

與前述共享接入的檢測方法的實施例相對應，本申請還提供了共享接入的檢測裝置的實施例。

本申請共享接入的檢測方法裝置的實施例可以應用在網關設備上。裝置實施例可以通過軟體實現，也可以通過硬體或者軟硬體結合的方式實現。以軟體實現為例，作為一個邏輯意義上的裝置，是通過其所在網關設備的處理器將非易失性存儲器中對應的電腦程式指令讀取到內存中運行形成的。從硬體層面而言，如圖2所示，為本申請共享接入的檢測方法裝置所在網關設備的一種硬體結構圖，除了圖2所示的處理器、內存、網絡出接口、以及非易失性存儲器之外，實施例中裝置所在的網關設備通常根據該網關設備的實際功能，還可以包括其他硬體，對此不再贅述。

請參考圖3，圖3是本申請一示例性實施例示出的一種共享接入的檢測裝置的框圖。該裝置應用於網關設備，可包括：獲取單元310、判斷單元320和匹配單元330。

獲取單元310，用於收集來自用戶終端的HTTP報文，並獲取所述HTTP報文攜帶的預設標識欄位；

判斷單元320，用於基於所述預設的標識欄位，判斷所述用戶終端的終端類型；

匹配單元330，用於如果所述用戶終端是移動終端，則將該用戶終端的IP位址與預設的策略組中的策略進行匹配，並基於匹配到的策略，對所述用戶終端進行接入控制；其中，所述策略組包含若干個不同類型的策略；所述不同類型的策略被預配置的IP列表類型不同。

在一種可選的實現方式中，所述預設的策略組包括白名單策略；所述白名單策略的匹配項包括若干個受信IP位址，執行動作包括轉發動作；所述白名單策略的優先級高於策略組中的其他策略；

所述匹配單元330，具體用於將所述用戶終端的IP位址與所述白名單策略進行匹配；如果所述用戶終端的IP位址與所述白名單策略匹配項中的任一受信IP位址匹配，則轉發所述用戶終端的交互報文。

在另一種可選的實現方式中，所述策略組還包括告警策略和阻斷策略；其中，所述告警策略的匹配項包括預設的第一網段，執行動作包括告警動作；所述阻斷策略的匹配項包括預設的第二網段，執行動作包括阻斷轉發動作；

所述匹配單元330，還具體用於如果所述用戶終端的IP位址與所述白名單策略匹配項中所有的受信IP位址都不匹配，則將所述用戶終端的IP位址進一步與所述告警策略和所述阻斷策略進行匹配；如果所述用戶終端的IP位址屬於所述告警策略匹配項的預設的第一網段，則進行告警；如果所述用戶終端的IP位址屬於所述阻斷策略匹配項的預設的第二網段，則在預設的時長內阻斷所述用戶終端的報文轉發。

在另一種可選的實現方式中，所述裝置還包括：

生成單元340，用於基於匹配到的策略中的執行動作對所述報文進行處理後，生成與該執行動作對應的日誌文件；將生成的日誌文件通過預設的可視化界面輸出。

在另一種可選的實現方式中，所述預設的標識欄位為UA欄位。

上述裝置中各個單元的功能和作用的實現過程具體詳見上述方法中對應步驟的實現過程，在此不再贅述。

對於裝置實施例而言，由於其基本對應於方法實施例，所以相關之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位於一個地方，或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部模塊來實現本申請方案的目的。本領域普通技術人員在不付出創造性勞動的情況下，即可以理解並實施。

以上所述僅為本申請的較佳實施例而已，並不用以限制本申請，凡在本申請的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本申請保護的範圍之內。