一种访问方法及装置的制造方法

一种访问方法及装置的制造方法
【专利摘要】本发明实施例公开了一种访问方法及装置，涉及互联网技术领域，应用于网关设备，该方法包括：接收源终端发送的访问报文，其中，该访问报文包含源终端标识；当该访问报文与免认证规则相匹配时，在身份信息表中查找包含上述源终端标识的表项；当未查找到包含上述源终端标识的表项时，生成包含上述源终端标识和免认证用户名的免认证表项；根据该免认证表项中的免认证用户名所对应的域间策略，向目标终端转发访问报文。应用本发明实施例，能够保证源终端对目标终端的访问。
【专利说明】
-种访问方法及装置
技术领域
[0001] 本发明设及互联网技术领域，特别设及一种访问方法及装置。
【背景技术】
[0002] Podal是一种常见的网络接入技术，是指通过Web页面接收用户输入的用户名和 密码，对用户进行身份认证，用户通过身份认证后才可W使用互联网中的设备或资源。然 而，实际应用中由于某些源终端具有较高的访问权限等原因，其访问互联网资源时不需要 进行身份认证，管理人员可W通过配置podal的免认证规则允许运些源终端访问互联网资 源时不进行身份认证，具体地，免认证规则可W为:访问报文中包含某一源终端的标识或某 一目标终端的标识。在访问互联网资源时，可W是允许访问全部的互联网资源，也可W是允 许访问特定的互联网资源，例如一个特定的目标终端。
[0003] 在网关设备上存储有身份识别表项，用于存储已上线用户的用户名和标识(例如 IP地址，Internet Protocol,网络协议)之间的对应关系，当用户下线时，就将该用户的信 息从身份识别表项中删除。Portal用户在身份认证前，网关设备上不会有该用户的上线记 录信息，身份识别表项中也不会有该用户的信息。例如，一源终端A在身份认证前发送了访 问报文，W访问互联网中的一目标终端B，网关设备接收到该访问报文后，若判定该访问报 文通过了免认证规则，则可W不对源终端A进行身份认证，但是由于源终端A未进行身份认 证，网关设备无法根据访问报文中源终端的IP地址在上述身份识别表项中查找到podal用 户的用户名，又由于需要根据用户名才能获得域间策略，因而无法获得相应的域间策略，也 就是说，无法获得源终端A针对目标终端B的访问规则，最终只能将该访问报文丢弃掉，从而 使得源终端A不能访问目标终端B。

【发明内容】

[0004] 本发明实施例公开了一种访问方法及装置，W保证源终端对目标终端的访问。
[0005] 为达到上述目的，本发明实施例公开了一种访问方法，应用于网关设备，所述方法 包括：
[0006] 接收源终端发送的访问报文，其中，所述访问报文包含源终端标识；
[0007] 当所述访问报文与免认证规则相匹配时，在身份信息表中查找包含所述源终端标 识的表项；
[000引当未查找到包含所述源终端标识的表项时，生成包含所述源终端标识和免认证用 户名的免认证表项；
[0009] 根据所述免认证表项中的免认证用户名所对应的域间策略，向目标终端转发访问 报文。
[0010] 在本发明的一个实施方式中，在所述生成包含所述源终端标识和所述免认证用户 名的表项之后，还包括：
[00川在所述免认证表项中记录老化时间；
[0012] 所述方法还包括：
[0013] 判断所述免认证表项的生成时间是否大于所述老化时间；
[0014] 若为是，则从所述身份信息表中删除所述免认证表项。
[0015] 在本发明的一个实施方式中，所述身份信息表包含:第一身份信息表和第二身份 信息表，其中，所述第一身份信息表，用于存储包含已上线用户的用户名和终端标识的表 项，所述第二身份信息表，用于存储包含免认证用户名和终端标识的免认证表项；
[0016] 所述在身份信息表中查找包含所述源终端标识的表项，包括：
[0017] 在所述第一身份信息表中查找包含所述源终端标识的表项；
[0018] 当在所述第一身份信息表中未查找到包含所述源终端标识的表项时，在所述第二 身份信息表中查找包含所述源终端标识的免认证表项；
[0019] 所述当未查找到包含所述源终端标识的表项时，生成包含所述源终端标识和免认 证用户名的免认证表项，具体为：
[0020] 当在所述第二身份信息表中未查找到包含所述源终端标识的免认证表项时，在所 述第二身份信息表中生成包含所述源终端标识和免认证用户名的免认证表项。
[0021] 在本发明的一个实施方式中，在所述接收源终端发送的访问报文之后，还包括：
[0022] 当所述访问报文不与免认证规则相匹配时，在所述第一身份信息表中查找包含所 述源终端标识的表项；
[0023] 当在所述第一身份信息表中未查找到包含所述源终端标识的表项时，丢弃所述访 问报文。
[0024] 在本发明的一个实施方式中，在身份信息表中查找包含所述源终端标识的表项之 后，还包括：
[0025] 当查找到至少两个表项包含所述源终端标识时，从所述至少两个表项中确定优先 级最高的表项中的用户名；
[0026] 根据所确定的用户名对应的域间策略，控制向所述目标终端转发所述访问报文。
[0027] 为达到上述目的，本发明实施例还公开了一种访问装置，应用于网关设备，所述装 置包括：
[0028] 接收单元，用于接收源终端发送的访问报文，其中，所述访问报文包含源终端标 识；
[0029] 查找单元，用于当所述访问报文与免认证规则相匹配时，在身份信息表中查找包 含所述源终端标识的表项；
[0030] 生成单元，用于当未查找到包含所述源终端标识的表项时，生成包含所述源终端 标识和免认证用户名的免认证表项；
[0031] 转发单元，用于根据所述免认证表项中的免认证用户名所对应的域间策略，向目 标终端转发访问报文。
[0032] 在本发明的一个实施方式中，所述生成单元，还用于：
[0033] 在所述免认证表项中记录老化时间；
[0034] 所述装置还包括：
[0035] 判断单元，用于判断所述免认证表项的生成时间是否大于所述老化时间；
[0036] 删除单元，用于在所述判断单元判断结果为是的情况下，从所述身份信息表中删 除所述免认证表项。
[0037] 在本发明的一个实施方式中，所述身份信息表包含:第一身份信息表和第二身份 信息表，其中，所述第一身份信息表，用于存储包含已上线用户的用户名和终端标识的表 项，所述第二身份信息表，用于存储包含免认证用户名和终端标识的免认证表项；
[0038] 所述查找单元，具体用于：
[0039] 当所述访问报文与免认证规则相匹配时，在所述第一身份信息表中查找包含所述 源终端标识的表项；
[0040] 当在所述第一身份信息表中未查找到包含所述源终端标识的表项时，在所述第二 身份信息表中查找包含所述源终端标识的免认证表项。
[0041] 所述生成单元，具体用于：
[0042] 当在所述第二身份信息表中未查找到包含所述源终端标识的免认证表项时，在所 述第二身份信息表中生成包含所述源终端标识和免认证用户名的免认证表项。
[0043] 在本发明的一个实施方式中，所述查找单元，还用于：
[0044] 当所述访问报文不与免认证规则相匹配时，在所述第一身份信息表中查找包含所 述源终端标识的表项；当在所述第一身份信息表中未查找到包含所述源终端标识的表项 时，丢弃所述访问报文。
[0045] 在本发明的一个实施方式中，所述装置还包括：
[0046] 确定单元，用于当查找到至少两个表项包含所述源终端标识时，从所述至少两个 表项中确定优先级最高的表项中的用户名；
[0047] 控制单元，根据所确定的用户名对应的域间策略，控制向所述目标终端转发所述 访问报文。
[0048] 由上可知，在本发明实施例中，网关设备在接收到源终端发送的访问报文后，首先 判断该访问报文是否与免认证规则相匹配，若匹配，在身份信息表中查找包含源终端标识 的表项，当未查找到包含源终端标识的表项时，生成包含该源终端标识和免认证用户名的 免认证表项;根据该免认证表项中的免认证用户名所对应的域间策略，向目标终端转发访 问报文。此时，可W从身份信息表中确定出免认证用户名，获得免认证用户名对应的域间策 略，进而保证了源终端与目标终端间的通信。
【附图说明】
[0049] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本 发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可W 根据运些附图获得其他的附图。
[0050] 图1为本发明实施例提供的一种访问方法的流程示意图；
[0051] 图2为本发明实施例提供的另一种访问方法的流程示意图；
[0052] 图3为本发明实施例提供的一种访问装置的结构示意图。
【具体实施方式】
[0053] 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完 整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于 本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例，都属于本发明保护的范围。
[0054] 下面通过具体实施例，对本发明进行详细说明。
[0055] 参考图1，图1为本发明实施例提供的一种访问方法的流程示意图，应用于网关设 备，该方法包括如下步骤：
[0056] S101:接收源终端发送的访问报文；
[0057] 其中，访问报文可W包含源终端标识。运里，源终端标识可W为源终端的IP地址， 也可W为MC地址等其他能够唯一表示源终端的值。当然，为了确保源终端与目标终端间的 通信，该访问报文中还可W包含目标终端标识、报文数据等信息，本发明对此不进行限定。
[0058] S102:当访问报文与免认证规则相匹配时，在身份信息表中查找包含源终端标识 的表项，若未查找到包含源终端标识的表项，执行S103;
[0059] 免认证规则用于筛选无需进行身份认证的报文，例如，可W是由某个终端发送出 来的报文，或者发往某个终端的报文等。在筛选时，免认证规则可W通过目标终端标识、源 终端标识等或者几者之间的组合来判断是否匹配该免认证规则。
[0060] 假设，一条访问报文包含源终端标识A和目标终端标识B。若免认证规则为使包含 目标终端标识B的访问报文在不进行身份认证的情况下转发，那么，该访问报文包含目标终 端标识B，便可W确定该访问报文与免认证规则相匹配;若免认证规则为使包含源终端标识 A和目标终端标识B的访问报文在不进行身份认证的情况下转发，那么，该访问报文包含源 终端标识A和目标终端标识B，便可W确定该访问报文与免认证规则相匹配。
[0061] 另外，若访问报文不与免认证规则相匹配，并且发送该访问报文的源终端未进行 身份认证，则丢弃该访问报文;若访问报文与免认证规则相匹配，并且发送该访问报文的源 终端未进行身份认证，则可W从身份信息表中获得包含该源终端标识的免认证表项，进而 获得免认证用户名。
[0062] 当然，在匹配免认证规则时，不仅限于源终端标识和目标终端标识运两个属性，也 可W设置匹配访问报文的其他属性。
[0063] 身份信息表，用于存储包含用户名与终端标识的表项。该表项中还可W包含用户 的类型等信息。
[0064] 在本发明的一个实施方式中，网关设备中可W仅存储一个身份信息表，在该身份 信息表中包含已上线用户的用户名和终端标识的表项和免认证表项。网关设备可W当仅匹 配一个表项时则使用该表项中的用户名匹配域间策略，当分别匹配了免认证表项和已上线 用户对应的表项，则可W通过预设的策略选择其中之一获取用户名，从而根据获取的用户 名匹配域间策略。
[0065] 在本发明的另一种实施方式中，网关设备中可W仅存储两个身份信息表，分别为 第一身份信息表和第二身份信息表，其中，第一身份信息表和第二身份信息表，其中，第一 身份信息表，用于存储包含已上线用户的用户名和终端标识的表项，第二身份信息表，用于 存储包含免认证用户名和终端标识的免认证表项。
[0066] 在本实现方式的描述中，采用网关设备中存储一个身份信息表的方式进行描述。
[0067] S103:当未查找到包含源终端标识的表项时，生成包含源终端标识和免认证用户 名的免认证表项；
[0068] 假设，免认证规则为访问报文中包含目标终端标识B，若网关设备接收到源终端a 发送的一访问报文，该访问报文中包含的目标终端标识为B，则可W认为该访问报文与免认 证规则相匹配，此时，若身份信息表中不存在包含该源终端a标识的表项，则生成包含源终 端a标识和免认证用户名的免认证表项，并将该免认证表项存储在身份识别表中。
[0069] 当存在大量源终端可W通过免认证的方式访问目标终端时，或当源终端标识（IP 地址）是通过D肥P(Dynamic Host Configuration Protocol,动态主机设置协议）获得的时 (此时，源终端的IP地址是动态变化的），通过自动生成免认证表项的方式，管理人员不必提 前知道源终端标识，不必维护大量用户的身份信息，运样能够更好地适应网络的扩展，并且 便于网络的管理。
[0070] 网络环境是实时变化的，如上述通过DHCP获得源终端的IP地址，网络中一源终端 的IP地址是实时变化的。在一源终端的IP地址变化后，已存储的包含该源终端的原IP地址 和免认证用户名的免认证表项将成为无用的表项，为了避免身份信息表中存储过多无用的 表项，在生成包含源终端标识和免认证用户名的免认证表项后，在该免认证表项中记录老 化时间。运种情况下，实时监测免认证表项的生成时间是否大于该免认证表项中记录老化 时间；当大于该免认证表项中记录老化时间时，从身份信息表中上删除该免认证表项。
[0071] 假设，在身份信息表中包含源终端标识A的免认证表项中记录的老化时间为30分 钟，当该免认证表项的生成时间超过30分钟时，从身份信息表中删除该包含源终端标识A的 免认证表项。运样避免了身份信息表中存储一些不经常采用免认证表项，节约了网关设备 的存储空间。
[0072] 另外，假设，身份信息表中存储了包含源终端a的标识A的免认证表项，若源终端a 访问目标终端b时，不满足免认证规则，但是网关设备因网络攻击等原因，在接收到源终端a 向目标终端b发送的访问报文时，仍然从身份信息表包含标识A的免认证表项中获得了免认 证用户，使得源终端a能够免认证的访问目标终端b。此时，定时删除身份信息表中包含源终 端标识的免认证表项，有效地避免了上述提到的问题。
[0073] 在本发明的一种实施方式中，若网关设备中仅存储了一个身份信息表，此时已上 线用户的用户名和终端标识的表项和免认证表项都存储在同一身份信息表中，如表1所示。
[0074] 表 1 rnnvsi
[0076] 此时，从身份信息表中查找包含源终端标识的表项可能为多个，查找到至少两个 表项包含源终端标识时，从至少两个表项中确定出优先级最高的表项，并从该优先级最高 的表项中确定用户名；进而网关设备根据所确定的用户名对应的域间策略，控制向目标终 端转发访问报文。例如，可W设置免认证表项的优先级低于包含已上线用户的用户名的表 项。
[0077] 假设，访问报文包含源终端标识为IP_addrl，如表1所示，此时可W获得2个表项， 包含的用户名分别为Userl和free-user-identity，网关设备中设置免认证表项的优先级 低于包含已上线用户的用户名的表项，free-user-identity为免认证表项中包含的用户 名，因此可W确定出用户名为Userl,根据Userl对应的域间策略控制向目标终端发送访问 报文。
[0078] 一般来说，经过认证过程所使用的用户名的限定更严格、更具有针对性，免认证的 用户名更具有通用性，所W免认证的表项优先级低于已上线用户的用户名的表项，可W使 域间策略的限定方式根据层次性，提高网关设备对应报文转发的控制灵活性。但优先级的 设置方式不限于此。
[0079] S104:根据免认证表项中的免认证用户名所对应的域间策略，向目标终端转发访 问报文。
[0080] 具体地，在获得了免认证用户后，网关设备就可W根据该免认证用户，获得与该免 认证用户名对应的域间策略，该域间策略为放行访问报文，此时网关设备就可W根据该域 间策略向目标终端转发访问报文，运样就实现源终端对目标终端的免认证访问。
[0081] 应用图1所示实施例，网关设备在接收到源终端发送的访问报文后，首先判断该访 问报文是否与免认证规则相匹配，若匹配，在身份信息表中查找包含源终端标识的表项，当 未查找到包含源终端标识的表项时，生成包含该源终端标识和免认证用户名的免认证表 项;根据该免认证表项中的免认证用户名所对应的域间策略，向目标终端转发访问报文。此 时，可W从身份信息表中确定出免认证用户名，获得免认证用户名对应的域间策略，进而保 证了源终端与目标终端间的通信。
[0082] 在本发明的另一个实施方式中，网关设备中可W存储两个身份信息表，第一身份 信息表用于存储包含已上线用户的用户名和终端标识的表项，第二身份信息表用于存储包 含免认证用户名和终端标识的免认证表项。此时设备间的访问方法可参考图2,图2为本发 明实施例提供的另一种访问方法的流程示意图，该方法中，步骤S102还可W包括：
[0083] S1021:当访问报文与免认证规则相匹配时，在第一身份信息表中查找包含源终端 标识的表项，若未查找到，执行S1022;
[0084] 运里，第一身份信息表如表2所示。
[0085] 表 2 「nORAl
[0087] 当第一身份信息表中存在包含源终端标识的表项时，表明该源终端对应的用户已 上线，此时网关设备从该表项中确定出该已上线用户的用户名，根据该已上线用户的用户 名获得对应的域间策略，并根据获得的域间策略丢弃访问报文或向目标终端转发访问报 文。假设，访问报文包含源终端标识为IP_acklrl，如表2所示，此时可W获得用户名为化erl， 网关设备根据化erl对应的域间策略控制向目标终端发送访问报文。
[0088] S1022:若未查找到，在第二身份信息表中查找包含源终端标识的免认证表项。
[0089] 假设，免认证用户名为打ee-user-identity，则第二身份信息表可参考表3。
[0090] 表 3
[0091]
[0092] ~值得一提的是，在访问报文与免认证规则匹配，且第一身份信息表中不存在包含~ 源终端标识的表项的情况下，执行S1022;在访问报文不与免认证规则匹配，且第一身份信 息表中不存在包含源终端标识的表项的情况下，丢弃该访问报文，拒绝执行S1022,避免用 户未上线且源终端发送的访问报文与免认证则规不匹配，但在第二身份信息表中存在包含 该源终端标识的免认证表项，进而使得网关设备根据该免认证表项获得免认证用户名，根 据免认证用户名对应的域间策略，向目标终端转发访问报文，引起网络安全的问题。
[0093] S1022之后，若第二身份信息表中存在包含源终端标识的免认证表项，从该免认证 表项中确定出免认证用户名，执行S104;若第二身份信息表中不存在包含源终端标识的免 认证表项，执行S103。
[0094] 在S103中，当未查找到包含所述源终端标识的表项时，生成包含源终端标识和免 认证用户名的免认证表项可W为：当在第二身份信息表中未查找到包含源终端标识的免认 证表项时，在第二身份信息表中生成包含源终端标识和免认证用户名的免认证表项。
[0095] 参考图3,图3为本发明实施例提供的一种访问装置的结构示意图，应用于网关设 备，该装置包括：
[0096] 接收单元301，用于接收源终端发送的访问报文，其中，访问报文包含源终端标识；
[0097] 查找单元302,用于当访问报文与免认证规则相匹配时，在身份信息表中查找包含 源终端标识的表项；
[0098] 生成单元303,用于当未查找到包含源终端标识的表项时，生成包含源终端标识和 免认证用户名的免认证表项；
[0099] 转发单元304,用于根据免认证表项中的免认证用户名所对应的域间策略，向目标 终端转发访问报文。
[0100] 在本发明的一个实施方式中，生成单元303,还用于：
[0101] 在免认证表项中记录老化时间；
[0102] 运种情况下，上述访问装置还可W包括：
[0103] 判断单元，用于判断免认证表项的生成时间是否大于老化时间；
[0104] 删除单元，用于在判断单元判断结果为是的情况下，从身份信息表中删除免认证 表项（图3中未示出）。
[0105] 在本发明的一个实施方式中，身份信息表包含:第一身份信息表和第二身份信息 表，其中，第一身份信息表，用于存储包含已上线用户的用户名和终端标识的表项，第二身 份信息表，用于存储包含免认证用户名和终端标识的免认证表项；
[0106] 查找单元302,具体用于：
[0107] 当访问报文与免认证规则相匹配时，在第一身份信息表中查找包含源终端标识的 表项；当在第一身份信息表中未查找到包含源终端标识的表项时，在第二身份信息表中查 找包含源终端标识的免认证表项。
[0108] 运种情况下，生成单元303，具体用于：
[0109] 当在第二身份信息表中未查找到包含源终端标识的免认证表项时，在第二身份信 息表中生成包含源终端标识和免认证用户名的免认证表项。
[0110] 在本发明的一个实施方式中，查找单元302,还用于：
[0111] 当访问报文不与免认证规则相匹配时，在第一身份信息表中查找包含源终端标识 的表项；
[0112] 当在第一身份信息表中未查找到包含源终端标识的表项时，丢弃访问报文。
[0113] 在本发明的一个实施方式中，上述访问装置还可W包括：
[0114] 确定单元，用于当查找到至少两个表项包含源终端标识时，从至少两个表项中确 定优先级最高的表项中的用户名；
[0115] 控制单元，根据所确定的用户名对应的域间策略，控制向目标终端转发访问报文 (图3中未示出）。
[0116] 应用图3所示实施例，网关设备在接收到源终端发送的访问报文后，首先判断该访 问报文是否与免认证规则相匹配，若匹配，在身份信息表中查找包含源终端标识的表项，当 未查找到包含源终端标识的表项时，生成包含该源终端标识和免认证用户名的免认证表 项;根据该免认证表项中的免认证用户名所对应的域间策略，向目标终端转发访问报文。此 时，可W从身份信息表中确定出免认证用户名，获得免认证用户名对应的域间策略，进而保 证了源终端与目标终端间的通信。
[0117] 对于装置实施例而言，由于其基本相似于方法实施例，所W描述的比较简单，相关 之处参见方法实施例的部分说明即可。
[0118] 需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实 体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示运些实体或操作之间存 在任何运种实际的关系或者顺序。而且，术语"包括"、"包含"或者其任何其他变体意在涵盖 非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要 素，而且还包括没有明确列出的其他要素，或者是还包括为运种过程、方法、物品或者设备 所固有的要素。在没有更多限制的情况下，由语句"包括一个……"限定的要素，并不排除在 包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0119] 本领域普通技术人员可W理解实现上述方法实施方式中的全部或部分步骤是可 W通过程序来指令相关的硬件来完成，所述的程序可W存储于计算机可读取存储介质中， 运里所称得的存储介质，如:R0M/RAM、磁碟、光盘等。
[0120] W上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在 本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围 内。
【主权项】
1. 一种访问方法，应用于网关设备，其特征在于，所述方法包括步骤： 接收源终端发送的访问报文，其中，所述访问报文包含源终端标识； 当所述访问报文与免认证规则相匹配时，在身份信息表中查找包含所述源终端标识的 表项； 当未查找到包含所述源终端标识的表项时，生成包含所述源终端标识和免认证用户名 的免认证表项； 根据所述免认证表项中的免认证用户名所对应的域间策略，向目标终端转发访问报 文。2. 根据权利要求1所述的方法，其特征在于，在所述生成包含所述源终端标识和所述免 认证用户名的表项之后，还包括： 在所述免认证表项中记录老化时间； 所述方法还包括： 判断所述免认证表项的生成时间是否大于所述老化时间； 若为是，则从所述身份信息表中删除所述免认证表项。3. 根据权利要求1所述的方法，其特征在于，所述身份信息表包含：第一身份信息表和 第二身份信息表，其中，所述第一身份信息表，用于存储包含已上线用户的用户名和终端标 识的表项，所述第二身份信息表，用于存储包含免认证用户名和终端标识的免认证表项； 所述在身份信息表中查找包含所述源终端标识的表项，包括： 在所述第一身份信息表中查找包含所述源终端标识的表项； 当在所述第一身份信息表中未查找到包含所述源终端标识的表项时，在所述第二身份 信息表中查找包含所述源终端标识的免认证表项； 所述当未查找到包含所述源终端标识的表项时，生成包含所述源终端标识和免认证用 户名的免认证表项，具体为： 当在所述第二身份信息表中未查找到包含所述源终端标识的免认证表项时，在所述第 二身份信息表中生成包含所述源终端标识和免认证用户名的免认证表项。4. 根据权利要求3所述的方法，其特征在于，在所述接收源终端发送的访问报文之后， 还包括： 当所述访问报文不与免认证规则相匹配时，在所述第一身份信息表中查找包含所述源 终端标识的表项； 当在所述第一身份信息表中未查找到包含所述源终端标识的表项时，丢弃所述访问报 文。5. 根据权利要求1所述的方法，其特征在于，在身份信息表中查找包含所述源终端标识 的表项之后，还包括： 当查找到至少两个表项包含所述源终端标识时，从所述至少两个表项中确定优先级最 高的表项中的用户名； 根据所确定的用户名对应的域间策略，控制向所述目标终端转发所述访问报文。6. -种访问装置，应用于网关设备，其特征在于，所述装置包括： 接收单元，用于接收源终端发送的访问报文，其中，所述访问报文包含源终端标识； 查找单元，用于当所述访问报文与免认证规则相匹配时，在身份信息表中查找包含所 述源终端标识的表项； 生成单元，用于当未查找到包含所述源终端标识的表项时，生成包含所述源终端标识 和免认证用户名的免认证表项； 转发单元，用于根据所述免认证表项中的免认证用户名所对应的域间策略，向目标终 端转发访问报文。7. 根据权利要求6所述的装置，其特征在于，所述生成单元，还用于： 在所述免认证表项中记录老化时间； 所述装置还包括： 判断单元，用于判断所述免认证表项的生成时间是否大于所述老化时间； 删除单元，用于在所述判断单元判断结果为是的情况下，从所述身份信息表中删除所 述免认证表项。8. 根据权利要求6所述的装置，其特征在于，所述身份信息表包含：第一身份信息表和 第二身份信息表，其中，所述第一身份信息表，用于存储包含已上线用户的用户名和终端标 识的表项，所述第二身份信息表，用于存储包含免认证用户名和终端标识的免认证表项； 所述查找单元，具体用于： 当所述访问报文与免认证规则相匹配时，在所述第一身份信息表中查找包含所述源终 端标识的表项； 当在所述第一身份信息表中未查找到包含所述源终端标识的表项时，在所述第二身份 信息表中查找包含所述源终端标识的免认证表项； 所述生成单元，具体用于： 当在所述第二身份信息表中未查找到包含所述源终端标识的免认证表项时，在所述第 二身份信息表中生成包含所述源终端标识和免认证用户名的免认证表项。9. 根据权利要求8所述的装置，其特征在于，所述查找单元，还用于： 当所述访问报文不与免认证规则相匹配时，在所述第一身份信息表中查找包含所述源 终端标识的表项；当在所述第一身份信息表中未查找到包含所述源终端标识的表项时，丢 弃所述访问报文。10. 根据权利要求6所述的装置，其特征在于，所述装置还包括： 确定单元，用于当查找到至少两个表项包含所述源终端标识时，从所述至少两个表项 中确定优先级最尚的表项中的用户名； 控制单元，根据所确定的用户名对应的域间策略，控制向所述目标终端转发所述访问 报文。
【文档编号】H04L29/06GK106060006SQ201610304701
【公开日】2016年10月26日
【申请日】2016年5月9日
【发明人】郗二军
【申请人】杭州华三通信技术有限公司