载体信号上提供,或者以任何其他形式提供。
[0122]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
[0123]本发明公开了 A1、一种接入控制方法,应用于用户终端,包括:
[0124]监测到达网卡的数据包;
[0125]对所述数据包进行解析,以得到对应的五元组信息;
[0126]在所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的五元组阻断规则为控制终端所提供。
[0127]A2、如A1所述的方法,所述五元组信息包括:源IP地址、源端口、目的IP、目的端口和传输层协议,则所述预置的五元组阻断规则包括:目的IP地址所属的网段、目的端口和传输层协议中至少一项对应的阻断规则。
[0128]A3、如A1所述的方法,所述方法还包括:
[0129]对所述用户终端进行基线检查;
[0130]在基线检查结果符合预置的基线阻断规则、且所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的基线阻断规则为控制终端所提供。
[0131]A4、如A3所述的方法,所述对所述用户终端进行基线检查的步骤,包括:
[0132]对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以判断所述用户终端上是否存在所述控制终端提供的预置项目;
[0133]所述基线检查结果符合预置的基线阻断规则,包括:所述单个预置项目或者预置项目的组合对应的规则。
[0134]A5、如A3所述的方法,所述对所述用户终端进行基线检查的步骤,包括:
[0135]对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以得到所述用户终端的得分;
[0136]所述基线检查结果符合预置的基线阻断规则,包括:所述用户终端的得分小于得分阈值。
[0137]A6、如A4所述的方法,所述预置项目包括如下项目中的至少一项:
[0138]未安装防火墙组件、未安装反病毒应用、存在不符合第一预置条件的反病毒应用、存在被禁止的应用、及运行被禁止的应用、进程和服务。
[0139]A7、如A1至A6中任一所述的方法,所述方法还包括:
[0140]在所述五元组信息不符合预置的五元组阻断规则时,放行所述数据包。
[0141]A8、如A1至A6中任一所述的方法,所述方法还包括:
[0142]在基线检查结果不符合预置的基线阻断规则时,放行所述数据包。
[0143]A9、如A1至A6中任一所述的方法,所述监测到达网卡的数据包的步骤,包括:
[0144]通过网卡驱动程序,从网络驱动程序接口规范NDIS中间层抓取到达网卡的数据包。
[0145]本发明公开了 B10、一种接入控制装置,包括:
[0146]监测模块,用于监测到达网卡的数据包;
[0147]解析模块,用于对所述数据包进行解析,以得到对应的五元组信息;及
[0148]第一阻断模块,用于在所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的五元组阻断规则为控制终端所提供。
[0149]B11、如B10所述的装置,所述五元组信息包括:源IP地址、源端口、目的IP、目的端口和传输层协议,则所述预置的五元组阻断规则包括:目的IP地址所属的网段、目的端口和传输层协议中至少一项对应的阻断规则。
[0150]B12、如B10所述的装置,所述装置还包括:
[0151]基线检查模块,用于对所述用户终端进行基线检查;
[0152]第二阻断模块,用于在基线检查结果符合预置的基线阻断规则、且所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的基线阻断规则为控制终端所提供。
[0153]B13、如B12所述的装置,所述基线检查模块,包括:
[0154]第一检测模块,用于对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以判断所述用户终端上是否存在所述控制终端提供的预置项目;
[0155]所述基线检查结果符合预置的基线阻断规则,包括:所述单个预置项目或者预置项目的组合对应的规则。
[0156]B14、如B12所述的装置,所述基线检查模块,包括:
[0157]第二检测模块,用于对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以得到所述用户终端的得分;
[0158]所述基线检查结果符合预置的基线阻断规则,包括:所述用户终端的得分小于得分阈值。
[0159]B15、如B13所述的装置,所述预置项目包括如下项目中的至少一项:
[0160]未安装防火墙组件、未安装反病毒应用、存在不符合第一预置条件的反病毒应用、存在被禁止的应用、及运行被禁止的应用、进程和服务。
[0161]B16、如B10至B15中任一所述的装置,所述装置还包括:
[0162]第一放行模块,用于在所述五元组信息不符合预置的五元组阻断规则时,放行所述数据包。
[0163]B17、如B10至B15中任一所述的装置,所述装置还包括:
[0164]第二放行模块,用于在基线检查结果不符合预置的基线阻断规则时,放行所述数据包。
[0165]Β18、如Β10至Β15中任一所述的装置,所述监测模块,包括:
[0166]抓取子模块,用于通过网卡驱动程序,从网络驱动程序接口规范NDIS中间层抓取到达网卡的数据包。
【主权项】
1.一种接入控制方法,应用于用户终端,包括: 监测到达网卡的数据包; 对所述数据包进行解析,以得到对应的五元组信息; 在所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的五元组阻断规则为控制终端所提供。2.如权利要求1所述的方法,其特征在于,所述五元组信息包括:源IP地址、源端口、目的IP、目的端口和传输层协议,则所述预置的五元组阻断规则包括:目的IP地址所属的网段、目的端口和传输层协议中至少一项对应的阻断规则。3.如权利要求1所述的方法,其特征在于,所述方法还包括: 对所述用户终端进行基线检查; 在基线检查结果符合预置的基线阻断规则、且所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的基线阻断规则为控制终端所提供。4.如权利要求3所述的方法,其特征在于,所述对所述用户终端进行基线检查的步骤,包括: 对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以判断所述用户终端上是否存在所述控制终端提供的预置项目; 所述基线检查结果符合预置的基线阻断规则,包括:所述单个预置项目或者预置项目的组合对应的规则。5.如权利要求3所述的方法,其特征在于,所述对所述用户终端进行基线检查的步骤,包括: 对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以得到所述用户终端的得分; 所述基线检查结果符合预置的基线阻断规则,包括:所述用户终端的得分小于得分阈值。6.如权利要求4所述的方法,其特征在于,所述预置项目包括如下项目中的至少一项: 未安装防火墙组件、未安装反病毒应用、存在不符合第一预置条件的反病毒应用、存在被禁止的应用、及运行被禁止的应用、进程和服务。7.如权利要求1至6中任一所述的方法,其特征在于,所述方法还包括: 在所述五元组信息不符合预置的五元组阻断规则时,放行所述数据包。8.如权利要求1至6中任一所述的方法,其特征在于,所述方法还包括: 在基线检查结果不符合预置的基线阻断规则时,放行所述数据包。9.如权利要求1至6中任一所述的方法,其特征在于,所述监测到达网卡的数据包的步骤,包括: 通过网卡驱动程序,从网络驱动程序接口规范NDIS中间层抓取到达网卡的数据包。10.一种接入控制装置,包括: 监测模块,用于监测到达网卡的数据包; 解析模块,用于对所述数据包进行解析,以得到对应的五元组信息;及 第一阻断模块,用于在所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的五元组阻断规则为控制终端所提供。
【专利摘要】本发明实施例提供了一种接入控制方法和装置,其中的方法应用于用户终端,具体包括:监测到达网卡的数据包;对所述数据包进行解析,以得到对应的五元组信息;在所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的五元组阻断规则为控制终端所提供。本发明实施例能够增加数据包的适用范围,且能够提高接入控制的灵活性、以及能够提高局域网的安全性。
【IPC分类】H04L29/06
【公开号】CN105407106
【申请号】CN201510983020
【发明人】王剑, 朱禄, 江爱军
【申请人】北京奇虎科技有限公司, 北京奇安信科技有限公司
【公开日】2016年3月16日
【申请日】2015年12月23日