访客网络访问内网方法、装置、计算机设备及介质与流程

1.本发明涉及通信安全领域，尤其涉及一种访客网络访问内网方法、装置、计算机设备及介质。


背景技术：

2.随着网络通信技术的快速发展，无线局域网络适用于多种多样的通信场景。对于企业或酒店等网关设备的无线局域网络，通常设置了一个访客网络的ssid(service set identifier，服务集标识)，用于隔离访客网络与主网络，避免访客网络中的设备直接访问主网络的相关资源。
3.然而，现有的无线局域网络需要将主网络和访客网络划分为不同的vlan(virtual local area network，虚拟局域网)，并将vlan分配至不同子网络的桥上面，由于可分配的vlan数量有限，导致网关设备可连接的客户端数量有限。同时，主从设备之间还需要根据不同的vlan进行区分处理，受网关设备的芯片限制，导致主网络和访客网络的结构配置复杂。


技术实现要素：

4.有鉴于现有技术存在的缺陷，本技术实施例目的在于提供一种访客网络访问内网方法、装置、计算机设备及介质，以解决内网和访客网络的结构配置复杂的问题。
5.第一方面，本技术的一个实施方式提供一种访客网络访问内网方法，所述方法包括：
6.获取驱动层的数据报文，并判断所述数据报文的收发方是否为访客网络接口；
7.若所述数据报文的收发方为所述访客网络接口，确定所述数据报文的报文类型；
8.若所述数据报文的报文类型为arp报文，根据所述arp报文的ip地址，确定是否收发所述arp报文。
9.结合第一方面，在第一种可能的实现方式中，所述根据所述arp报文的ip地址，确定是否收发所述arp报文，包括：
10.若所述arp报文的接收方为所述访客网络接口，且所述arp报文的源地址为局域网网关ip地址，则发送所述arp报文；
11.若所述arp报文的发送方为所述访客网络接口，且所述arp报文的目的地址为局域网网关ip地址，则接收所述arp报文。
12.结合第一方面，在第二种可能的实现方式中，所述获取驱动层的数据报文，并判断所述数据报文的收发方是否为访客网络接口之前，还包括：
13.根据预先配置的所述数据报文的收发权限，生成所述访客网络接口与应用层的配置文件，并将所述配置文件写入所述驱动层，以确定允许收发的数据报文的报文类型。
14.结合第一方面，在第三种可能的实现方式中，所述若所述数据报文的收发方为所述访客网络接口，确定所述数据报文的报文类型之后，还包括：
15.若所述数据报文的报文类型不为arp报文，根据所述数据报文的报文类型，确定所
述数据报文的收发权限；
16.根据所述数据报文的收发权限，确定是否收发所述数据报文。
17.结合第一方面的第三种可能的实现方式，在第四种可能的实现方式中，所述根据所述数据报文的收发权限，确定是否收发所述数据报文，包括：
18.若所述数据报文的报文类型为ftp报文，查询所述ftp报文的目的地址；
19.若所述ftp报文的收发权限为允许收发所述ftp报文，且所述ftp报文的目的地址为局域网内的主机，则接收所述ftp报文。
20.结合第一方面，在第五种可能的实现方式中，所述若所述数据报文的收发方为所述访客网络接口，确定所述数据报文的报文类型之后，还包括：
21.若所述数据报文的报文类型为dhcp报文或dns报文，且所述dhcp报文或所述dns报文收发地址为局域网网关ip地址，则收发所述dhcp报文或所述dns报文。
22.第二方面，本技术的一个实施方式提供一种访客网络访问内网方法，所述方法包括：
23.数据报文获取模块，用于获取驱动层的数据报文，并判断所述数据报文的收发方是否为访客网络接口；
24.报文类型确定模块，用于若所述数据报文的收发方为所述访客网络接口，确定所述数据报文的报文类型；
25.arp报文收发模块，用于若所述数据报文的报文类型为arp报文，根据所述arp报文的ip地址，确定是否收发所述arp报文。
26.结合第二方面，在第一种可能的实现方式中，所述arp报文收发模块，包括：
27.arp报文发送子模块，用于若所述arp报文的接收方为所述访客网络接口，且所述arp报文的源地址为局域网网关ip地址，则发送所述arp报文；
28.arp报文接收子模块，用于若所述arp报文的发送方为所述访客网络接口，且所述arp报文的目的地址为局域网网关ip地址，则接收所述arp报文。
29.第三方面，本技术的一个实施方式提供一种计算机设备，包括处理器及存储器，所述存储器上存储有程序或指令，所述程序或指令被所述处理器执行，以使所述计算机设备执行上述的访客网络访问内网方法的步骤。
30.第四方面，本技术的一个实施方式提供一种计算机可读存储介质，所述计算机可读存储介质上存储有程序或指令，所述程序或指令被处理器执行时实现上述的访客网络访问内网方法的步骤。
31.本技术提供了一种访客网络访问内网方法，包括：获取驱动层的数据报文，并判断所述数据报文的收发方是否为访客网络接口；若所述数据报文的收发方为所述访客网络接口，确定所述数据报文的报文类型；若所述数据报文的报文类型为arp报文，根据所述arp报文的ip地址，确定是否收发所述arp报文。访客网络访问内网时，在不需要主网络和访客网络划分为不同的vlan的基础上，可以使访客网络的访客设备只能正常的访问因特网，避免了访客设备随意的访问局域网的资源，保证了局域网的数据安全。
附图说明
32.为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简
单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对本发明保护范围的限定。在各个附图中，类似的构成部分采用类似的编号。
33.图1示出了本发明实施例提供的第一种访客网络访问内网方法的流程图；
34.图2示出了本发明实施例提供的第二种访客网络访问内网方法的流程图；
35.图3示出了本发明实施例提供的第三种访客网络访问内网方法的流程图；
36.图4示出了本发明实施例提供的访客网络访问内网装置的结构示意图。
具体实施方式
37.下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。
38.通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
39.在下文中，可在本发明的各种实施例中使用的术语“包括”、“具有”及其同源词仅意在表示特定特征、数字、步骤、操作、元件、组件或前述项的组合，并且不应被理解为首先排除一个或更多个其它特征、数字、步骤、操作、元件、组件或前述项的组合的存在或增加一个或更多个特征、数字、步骤、操作、元件、组件或前述项的组合的可能性。
40.此外，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
41.除非另有限定，否则在这里使用的所有术语(包括技术术语和科学术语)具有与本发明的各种实施例所属领域普通技术人员通常理解的含义相同的含义。所述术语(诸如在一般使用的词典中限定的术语)将被解释为具有与在相关技术领域中的语境含义相同的含义并且将不被解释为具有理想化的含义或过于正式的含义，除非在本发明的各种实施例中被清楚地限定。
42.实施例1
43.请参阅图1，图1示出了本发明实施例提供的第一种访客网络访问内网方法的流程图。图1中的访客网络访问内网方法包括以下步骤：
44.步骤101，获取驱动层的数据报文，并判断所述数据报文的收发方是否为访客网络接口。
45.驱动层是嵌入式系统的重要组成部分，通常由硬件抽象层、板级支持包和驱动程序组成，用于为上层程序提供外部设备的操作接口。获取驱动的数据报文，并对数据报文进行解析。判断收发数据报文的接口是否为访客网络接口，以确定数据报文是否为网关设备与访客设备之间的通信报文。
46.请参阅图2，图2示出了本发明实施例提供的第二种访客网络访问内网方法的流程图。作为一个示例，所述步骤101之前，还包括：
47.步骤104，根据预先配置的所述数据报文的收发权限，生成所述访客网络接口与应用层的配置文件，并将所述配置文件写入所述驱动层，以确定允许收发的数据报文的报文
类型。
48.预先配置数据报文的收发权限，即根据实际使用场景的需求，预先配置允许收发的数据报文的报文类型，及禁止收发的数据报文的报文类型。创建与应用层通信的配置文件，并将配置文件写入驱动层。需要理解的是，配置文件是根据实际需求设置的，也可以包括访客设备的访客网络接口，还可以包括访客设备的局域网网关ip地址，在此不做限定。
49.解析驱动层的配置文件，得到访客设备的网关ip地址及访客网络接口，并得到不同报文类型的数据报文的收发权限。根据数据报文的收发权限，判断是收发驱动层中的数据报文，还是丢弃数据报文。预先设置需丢弃的数据报文，避免了访客设备通过数据报文与局域网内的其他设备建立通信协议，进而避免了访客设备直接访问主网络的相关资源，保证了主网络的数据安全。
50.步骤102，若所述数据报文的收发方为所述访客网络接口，确定所述数据报文的报文类型。
51.访客网络是网关设备在局域网的内网为访客设备建立的独立的网络环境。访客网络使用独立的上网密钥，不使用网关设备的主网络的上网密钥。若数据报文的收发方为访客网络接口，则确定数据报文是网关设备与访客设备之间的通信报文，确定数据报文的报文类型，以访客设备当前请求实现的功能。
52.作为一个示例，所述若所述数据报文的收发方为所述访客网络接口，确定所述数据报文的报文类型之后，还包括：
53.若所述数据报文的报文类型为dhcp(dynamic host configuration protocol，动态主机配置协议)报文或dns(domain name server，域名解析)报文，且所述dhcp报文或所述dns报文收发地址为局域网网关ip(internet protocol，国际互连协议)地址，则收发所述dhcp报文或所述dns报文。
54.若解析的数据报文满足报文类型为dhcp报文或dns报文，且的收发地址为局域网网关ip地址，则收发dhcp报文或所述dns报文。访客设备通过dhcp报文，请求访问dhcp服务器，以请求获取ip地址和子网掩码，或通过dns报文请求将域名转换为ip地址，以通过ip地址建立访客设备与网关设备连接，保证访客设备能够正常的访问网络。
55.步骤103，若所述数据报文的报文类型为arp报文，根据所述arp报文的ip地址，确定是否收发所述arp报文。
56.arp(address resolution protocol，地址解析协议)是一种根据ip地址获取物理地址的tcp(transmission control protocol，传输控制协议)/ip协议，连接的设备通过arp实现可靠的通信交互。若数据报文的报文类型为arp报文，根据arp报文的ip地址确定是否收发arp报文。若arp报文为网关设备与访客设备的通信报文，则收发arp报文。若arp报文不为网关设备与访客设备的通信报文，则丢弃arp报文。禁止访客设备尝试与局域网内的其他客户端设备建立通信协议，以隔离访客网络与主网络，避免访客设备直接访问主网络的相关资源，保证主网络的数据安全。
57.作为一个示例，所述根据所述arp报文的ip地址，确定是否收发所述arp报文，包括：
58.若所述arp报文的接收方为所述访客网络接口，且所述arp报文的源地址为局域网网关ip地址，则发送所述arp报文；
59.若所述arp报文的发送方为所述访客网络接口，且所述arp报文的目的地址为局域网网关ip地址，则接收所述arp报文。
60.若arp报文的接收方为访客网络接口，且arp报文的源地址不为局域网网关ip地址，则丢弃arp报文。若arp报文的接收方为访客网络接口，且arp报文的源地址为局域网网关ip地址，则确认arp报文是网关设备发送至访客设备的通信报文，网关设备发送arp报文至访客设备。由此保证了只有网关设备可以访问访客设备，局域网内的其他设备无法访问访客设备，避免了访客设备与局域网内的其他设备建立通信协议。
61.若arp报文的发送方为访客网络接口，且arp报文的目的地址不为局域网网关ip地址，则丢弃arp报文。若arp报文的发送方为访客网络接口，且arp报文的目的地址为局域网网关ip地址，则确认arp报文是访客设备发送至网关设备的通信报文，网关设备接收arp报文。由此保证访客设备只能访问局域网内的网关设备，无法访客设备与局域网内的其他设备建立通信协议，避免了访客设备直接访问局域网的主网络资源，保证了数据安全。
62.请参阅图3，图3示出了本发明实施例提供的第三种访客网络访问内网方法的流程图。作为一个示例，所述步骤102之后，还包括：
63.步骤105，若所述数据报文的报文类型不为arp报文，根据所述数据报文的报文类型，确定所述数据报文的收发权限；
64.步骤106，根据所述数据报文的收发权限，确定是否收发所述数据报文。
65.解析驱动层中的配置文件，得到不同报文类型的数据报文的收发权限。若数据报文的收发权限为允许收发数据报文，则收发数据报文以实现数据报文对应的功能。若数据报文的收发权限为禁止收发数据报文，则丢弃驱动层中的数据报文，以避免访客设备访问局域网内的其他设备。
66.在一个可选的示例，所述根据所述数据报文的收发权限，确定是否收发所述数据报文，包括：
67.若所述数据报文的报文类型为ftp(file transfer protocol，文件传输协议)报文，查询所述ftp报文的目的地址；
68.若所述ftp报文的收发权限为允许收发所述ftp报文，且所述ftp报文的目的地址为局域网内的主机，则接收所述ftp报文。
69.若数据报文的报文类型为ftp(file transfer protocol，文件传输协议)报文，查询ftp报文的目的地址，其中，ftp是用于在网络上进行文件传输的标准协议。
70.当不允许访客设备通过网络进行文件传输时，预先将ftp报文的收发权限设置为禁止收发ftp报文，网关设备主动丢失驱动层的ftp报文。当允许访客设备通过网络进行文件传输时，预先将ftp报文的收发权限设置为允许收发ftp报文。网关设备通过ftp报文建立访客设备与ftp服务器的通信协议，以允许访客网络的访客设备访问ftp服务器，通过网络进行文件传输。
71.需要理解的是，收发权限是根据不同报文类型设置，也可以是http(hyper text transfer protocol，超文本传输协议)报文的收发权限，还可以是samba(server messages block，信息服务块)报文的收发权限，在此不做限定。根据http报文的收发权限及ip地址，判断是否丢弃http报文。当允许收发http报文时，网关设备建立http服务器与访客设备的通信协议。同理，根据samba报文的收发权限及ip地址，判断是否丢弃samba报文。当允许收
发samba报文时，网关设备建立打印机等共享文件的设备与访客设备的通信协议，以为访客设备提供文件打印等资源共享服务。
72.根据预先配置的收发权限，判断是否允许访客设备访问局域网内部ftp、http、samba等资源的配置。若收发权限为允许收发数据报文，将数据报文丢弃，实现访客设备对主网络访问请求的拦截，保护主网络的数据安全。
73.本技术提供了一种访客网络访问内网方法，包括：获取驱动层的数据报文，并判断所述数据报文的收发方是否为访客网络接口；若所述数据报文的收发方为所述访客网络接口，确定所述数据报文的报文类型；若所述数据报文的报文类型为arp报文，根据所述arp报文的ip地址，确定是否收发所述arp报文。访客网络访问内网时，在不需要主网络和访客网络划分为不同的vlan的基础上，可以使访客网络的访客设备只能正常的访问因特网，避免了访客设备随意的访问局域网的资源，保证了局域网的数据安全。
74.实施例2
75.请参阅图4，图4示出了本发明实施例提供的访客网络访问内网装置的结构示意图。图4中的访客网络访问内网装置200包括：
76.数据报文获取模块210，用于获取驱动层的数据报文，并判断所述数据报文的收发方是否为访客网络接口；
77.报文类型确定模块220，用于若所述数据报文的收发方为所述访客网络接口，确定所述数据报文的报文类型；
78.arp报文收发模块230，用于若所述数据报文的报文类型为arp报文，根据所述arp报文的ip地址，确定是否收发所述arp报文。
79.作为一个示例，所述arp报文收发模块230，包括：
80.arp报文发送子模块，用于若所述arp报文的接收方为所述访客网络接口，且所述arp报文的源地址为局域网网关ip地址，则发送所述arp报文；
81.arp报文接收子模块，用于若所述arp报文的发送方为所述访客网络接口，且所述arp报文的目的地址为局域网网关ip地址，则接收所述arp报文。
82.作为一个示例，所述访客网络访问内网装置200，还包括：
83.文件配置模块，用于根据预先配置的所述数据报文的收发权限，生成所述访客网络接口与应用层的配置文件，并将所述配置文件写入所述驱动层，以确定允许收发的数据报文的报文类型。
84.作为一个示例，所述访客网络访问内网装置200，还包括：
85.收发权限确定模块，用于若所述数据报文的报文类型不为arp报文，根据所述数据报文的报文类型，确定所述数据报文的收发权限；
86.报文收发确定模块，用于根据所述数据报文的收发权限，确定是否收发所述数据报文。
87.在一个可选的示例中，所述报文收发确定模块，包括：
88.地址查询子模块，用于若所述数据报文的报文类型为ftp报文，查询所述ftp报文的目的地址；
89.报文接收子模块，用于若所述ftp报文的收发权限为允许收发所述ftp报文，且所述ftp报文的目的地址为局域网内的主机，则接收所述ftp报文。
90.作为一个示例，所述访客网络访问内网装置200，还包括：
91.dhcp或dns报文收发模块，用于若所述数据报文的报文类型为dhcp报文或dns报文，且所述dhcp报文或所述dns报文收发地址为局域网网关ip地址，则收发所述dhcp报文或所述dns报文。
92.访客网络访问内网装置200用于执行上述的访客网络访问内网方法中的对应步骤，各个功能的具体实施，在此不再一一描述。此外，实施例1中可选示例也同样适用于实施例2的访客网络访问内网装置200。
93.本技术实施例还提供一种计算机设备，包括处理器及存储器，所述存储器上存储有程序或指令，所述程序或指令被所述处理器执行，以使所述路由器执行上述的访客网络访问内网方法的步骤。
94.本技术实施例还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有程序或指令，所述程序或指令被处理器执行时实现上述的访客网络访问内网方法的步骤。
95.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和结构图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，结构图和/或流程图中的每个方框、以及结构图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
96.另外，在本发明各个实施例中的各功能模块或单元可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或更多个模块集成形成一个独立的部分。
97.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是智能手机、个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
98.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。