本申請涉及通信技術(shù)領(lǐng)域，尤其涉及一種接入控制方法和裝置。

背景技術(shù)：

目前，通信設(shè)備通常具有多個接口，這些接口可以提供多重鏈路備份，從而提高通信設(shè)備的可靠性。但是，在將這些接口暴露給用戶的情況下，用戶可能會誤操作，將接口連接到一個非法設(shè)備，例如，用戶將通信設(shè)備的接口a連接到非法設(shè)備。基于此，非法設(shè)備就會通過接口a向通信設(shè)備發(fā)送大量非法報文或者攻擊報文，從而影響通信設(shè)備的處理性能，造成通信設(shè)備的安全隱患。

技術(shù)實現(xiàn)要素：

本申請?zhí)峁┮环N接入控制方法，應(yīng)用于本端設(shè)備，所述方法用于對與所述本端設(shè)備連接的對端設(shè)備進行合法性檢測，所述方法包括：

在檢測到所述本端設(shè)備上的與所述對端設(shè)備連接的接口up時，通過所述接口向所述對端設(shè)備發(fā)送認證報文；

若未通過所述接口接收到所述對端設(shè)備返回的合法的認證響應(yīng)報文，則確定所述對端設(shè)備為非法設(shè)備，并對所述接口進行限制操作；

若通過所述接口接收到所述對端設(shè)備返回的合法的認證響應(yīng)報文，則確定所述對端設(shè)備為合法設(shè)備，并對所述接口進行準入操作。

本申請?zhí)峁┮环N接入控制裝置，應(yīng)用于本端設(shè)備，所述裝置用于對與所述本端設(shè)備連接的對端設(shè)備進行合法性檢測，所述裝置包括：

發(fā)送模塊，用于在檢測到所述本端設(shè)備上的與所述對端設(shè)備連接的接口up時，通過所述接口向所述對端設(shè)備發(fā)送認證報文；

處理模塊，用于當(dāng)未通過所述接口接收到所述對端設(shè)備返回的合法的認證響應(yīng)報文時，則確定所述對端設(shè)備為非法設(shè)備，并對所述接口進行限制操作；

當(dāng)通過所述接口接收到所述對端設(shè)備返回的合法的認證響應(yīng)報文時，則確定所述對端設(shè)備為合法設(shè)備，并對所述接口進行準入操作。

基于上述技術(shù)方案，本申請實施例中，在與對端設(shè)備連接的接口up(正常)時，本端設(shè)備可以主動檢測對端設(shè)備是否為非法設(shè)備，如果對端設(shè)備是非法設(shè)備，則對該接口進行限制操作，這樣，可以對本端設(shè)備進行保護，防止非法設(shè)備接入到本端設(shè)備，提高本端設(shè)備的處理性能，保證本端設(shè)備的正常工作，避免攻擊者對本端設(shè)備的攻擊，提升本端設(shè)備的安全性，可靠性、穩(wěn)定性。

附圖說明

為了更加清楚地說明本申請實施例或者現(xiàn)有技術(shù)中的技術(shù)方案，下面將對本申請實施例或者現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本申請中記載的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，還可以根據(jù)本申請實施例的這些附圖獲得其它的附圖。

圖1是本申請一種實施方式中的接入控制方法的流程圖；

圖2是本申請一種實施方式中的應(yīng)用場景示意圖；

圖3是本申請一種實施方式中的本端設(shè)備的硬件結(jié)構(gòu)圖；

圖4是本申請一種實施方式中的接入控制裝置的結(jié)構(gòu)圖。

具體實施方式

在本申請使用的術(shù)語僅僅是出于描述特定實施例的目的，而非限制本申請。本申請和權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其它含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語“和/或”是指包含一個或多個相關(guān)聯(lián)的列出項目的任何或所有可能組合。

應(yīng)當(dāng)理解，盡管在本申請可能采用術(shù)語第一、第二、第三等來描述各種信息，但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本申請范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，此外，所使用的詞語“如果”可以被解釋成為“在……時”或“當(dāng)……時”或“響應(yīng)于確定”。

本申請實施例提出一種接入控制方法，可以應(yīng)用于本端設(shè)備(如路由器、交換機等通信設(shè)備)，且該方法用于對與本端設(shè)備連接的對端設(shè)備進行合法性檢測，即本端設(shè)備與對端設(shè)備直接連接，而不是通過其它第三方設(shè)備進行連接。參見圖1所示，為該接入控制方法的流程圖，該方法可以包括以下步驟：

步驟101，在檢測到本端設(shè)備上的與對端設(shè)備連接的接口up時，通過該接口向?qū)Χ嗽O(shè)備發(fā)送認證報文。例如，本端設(shè)備通過接口a與對端設(shè)備連接，則在檢測到接口a已經(jīng)up時，通過接口a向?qū)Χ嗽O(shè)備發(fā)送認證報文。

步驟102，判斷是否通過該接口接收到對端設(shè)備返回的認證響應(yīng)報文(認證報文的響應(yīng)報文)。若未通過該接口接收到對端設(shè)備返回的認證響應(yīng)報文，執(zhí)行步驟105；若通過該接口接收到對端設(shè)備返回的認證響應(yīng)報文，執(zhí)行步驟103。

其中，在通過該接口向?qū)Χ嗽O(shè)備發(fā)送認證報文后，本端設(shè)備可以為該接口啟動一個定時器。若本端設(shè)備在定時器超時之前，通過該接口接收到對端設(shè)備返回的認證響應(yīng)報文，則執(zhí)行步驟103。若本端設(shè)備在定時器超時時，仍然未通過該接口接收到對端設(shè)備返回的認證響應(yīng)報文，則執(zhí)行步驟105。

步驟103，判斷通過該接口接收到的認證響應(yīng)報文是否合法。若該認證響應(yīng)報文合法，則執(zhí)行步驟104；若該認證響應(yīng)報文不合法，則執(zhí)行步驟105。

在一個例子中，針對本端設(shè)備通過該接口向?qū)Χ嗽O(shè)備發(fā)送的認證報文，該認證報文可以攜帶有本端設(shè)備生成的第一字符串，如本端設(shè)備隨機生成的字符串123456等。若對端設(shè)備為合法設(shè)備，則對端設(shè)備在接收到認證報文后，可以利用預(yù)設(shè)算法對認證報文中的第一字符串進行加密，并將加密后的字符串?dāng)y帶在認證響應(yīng)報文中，并將該認證響應(yīng)報文返回給本端設(shè)備。若對端設(shè)備為非法設(shè)備，則對端設(shè)備無法獲知預(yù)設(shè)算法，也不知道需要利用預(yù)設(shè)算法對第一字符串進行加密，因此，對端設(shè)備在接收到認證報文后，不會返回認證響應(yīng)報文，或者對端設(shè)備返回的認證響應(yīng)報文中不會攜帶利用預(yù)設(shè)算法加密后的字符串。

基于上述原理，若本端設(shè)備未通過該接口接收到認證響應(yīng)報文，可以確定對端設(shè)備為非法設(shè)備。若本端設(shè)備通過該接口接收到認證響應(yīng)報文，可以從該認證響應(yīng)報文中解析出第二字符串。為了區(qū)分方便，可以將認證報文中攜帶的字符串稱為第一字符串，將認證響應(yīng)報文中攜帶的字符串稱為第二字符串。之后，本端設(shè)備利用預(yù)設(shè)算法(與合法設(shè)備上配置的預(yù)設(shè)算法相同)對第二字符串進行解密。若解密后的字符串與第一字符串匹配(如二者相同)，則確定認證響應(yīng)報文合法，此時的認證響應(yīng)報文是合法設(shè)備返回的認證響應(yīng)報文；若解密后的字符串與第一字符串不匹配(如二者不同)，則確定認證響應(yīng)報文不合法，此時的認證響應(yīng)報文是非法設(shè)備返回的認證響應(yīng)報文。

步驟104，確定對端設(shè)備為合法設(shè)備，并對該接口進行準入操作。

步驟105，確定對端設(shè)備為非法設(shè)備，并對該接口進行限制操作。

在一個例子中，本端設(shè)備對接口進行準入操作可以是指：本端設(shè)備處理通過該接口接收到的報文。本端設(shè)備對接口進行限制操作可以是指：本端設(shè)備丟棄通過該接口接收到的報文，即不處理通過該接口接收到的報文。

在一個例子中，在確定對端設(shè)備為非法設(shè)備或者合法設(shè)備之前，如步驟101之前，本端設(shè)備還可以為該接口使能第一acl(accesscontrollist，訪問控制列表)規(guī)則和第二acl規(guī)則。其中，第一acl規(guī)則用于指示本端設(shè)備丟棄接收到的報文，第二acl規(guī)則用于指示本端設(shè)備處理接收到的認證響應(yīng)報文。而且，第二acl規(guī)則的優(yōu)先級高于第一acl規(guī)則的優(yōu)先級，即本端設(shè)備接收到同時匹配第一acl規(guī)則和第二acl規(guī)則的報文時，按照第二acl規(guī)則處理。

綜上所述，本端設(shè)備通過該接口接收到的所有報文均可以匹配到第一acl規(guī)則，本端設(shè)備通過該接口接收到的認證響應(yīng)報文可以匹配到第二acl規(guī)則。因此，本端設(shè)備通過該接口接收到認證響應(yīng)報文時，該認證響應(yīng)報文可以同時匹配第一acl規(guī)則和第二acl規(guī)則，此時按照第二acl規(guī)則處理；本端設(shè)備通過該接口接收到認證響應(yīng)報文之外的其它類型報文時，該其它類型報文只匹配第一acl規(guī)則，未匹配第二acl規(guī)則，此時按照第一acl規(guī)則處理。

具體的，基于第一acl規(guī)則和第二acl規(guī)則，本端設(shè)備在通過該接口接收到第一類報文后，若第一類報文是認證響應(yīng)報文，則第一類報文可以匹配第一acl規(guī)則和第二acl規(guī)則，但由于第二acl規(guī)則的優(yōu)先級高于第一acl規(guī)則的優(yōu)先級，因此，基于第二acl規(guī)則，本端設(shè)備需要處理第一類報文，即分析第一類報文是否為合法的認證響應(yīng)報文，即執(zhí)行上述步驟103。若第一類報文不是認證響應(yīng)報文，則第一類報文可以匹配第一acl規(guī)則，基于第一acl規(guī)則，本端設(shè)備直接丟棄第一類報文，不再對第一類報文進行處理。

在一個例子中，針對“對該接口進行限制操作”的過程，可以包括但不限于：去使能第二acl規(guī)則，但不去使能第一acl規(guī)則。由于未對第一acl規(guī)則進行去使能，因此第一acl規(guī)則仍然生效，而由于第一acl規(guī)則用于指示本端設(shè)備丟棄接收到的報文，因此，基于第一acl規(guī)則，本端設(shè)備會丟棄通過該接口接收到的所有第二類報文，從而實現(xiàn)對該接口的限制操作。

針對“對該接口進行準入操作”的過程，可以包括但不限于：去使能第一acl規(guī)則。由于對第一acl規(guī)則進行去使能，因此第一acl規(guī)則不再生效。本端設(shè)備在通過該接口接收到第二類報文時，由于該第二類報文不會匹配到第一acl規(guī)則，因此也就不會基于第一acl規(guī)則丟棄第二類報文，此時，本端設(shè)備可以采用傳統(tǒng)方式處理該第二類報文，例如，基于轉(zhuǎn)發(fā)表項發(fā)送該第二類報文，或者將第二類報文上送給cpu進行處理等，對此處理方式不做限制。

在對該接口進行準入操作的過程中，本端設(shè)備還可以去使能第二acl規(guī)則，或者不對第二acl規(guī)則進行去使能，對第二acl規(guī)則的處理方式不做限制。

第一類報文和第二類報文的區(qū)別在于：將確定出對端設(shè)備為合法設(shè)備/非法設(shè)備之前，通過該接口接收到的所有報文稱為第一類報文，將確定出對端設(shè)備為合法設(shè)備/非法設(shè)備之后，通過該接口接收到的所有報文稱為第二類報文。

在一個例子中，在確定對端設(shè)備為非法設(shè)備或者合法設(shè)備之前，如步驟101之前，本端設(shè)備還可以為該接口使能第一acl規(guī)則、第二acl規(guī)則和第三acl規(guī)則。第一acl規(guī)則用于指示本端設(shè)備丟棄接收到的報文，第二acl規(guī)則用于指示本端設(shè)備處理接收到的認證響應(yīng)報文，第三acl規(guī)則用于指示本端設(shè)備處理接收到的廣播報文。第二acl規(guī)則的優(yōu)先級高于第一acl規(guī)則的優(yōu)先級，第三acl規(guī)則的優(yōu)先級高于第一acl規(guī)則的優(yōu)先級。因此，本端設(shè)備接收到匹配第一acl規(guī)則和第二acl規(guī)則的報文時，按照第二acl規(guī)則處理；接收到匹配第一acl規(guī)則和第三acl規(guī)則的報文時，按照第三acl規(guī)則處理。

綜上所述，本端設(shè)備通過該接口接收到的所有報文均可以匹配到第一acl規(guī)則，本端設(shè)備通過該接口接收到的認證響應(yīng)報文可以匹配到第二acl規(guī)則，本端設(shè)備通過該接口接收到的廣播報文可以匹配到第三acl規(guī)則。因此，本端設(shè)備通過該接口接收到認證響應(yīng)報文時，該認證響應(yīng)報文可以同時匹配第一acl規(guī)則和第二acl規(guī)則，此時按照第二acl規(guī)則處理；本端設(shè)備通過該接口接收到廣播報文時，該廣播報文可以同時匹配第一acl規(guī)則和第三acl規(guī)則，此時按照第三acl規(guī)則處理；本端設(shè)備通過該接口接收到認證響應(yīng)報文、廣播報文之外的其它類型報文時，該其它類型報文只匹配第一acl規(guī)則，未匹配第二acl規(guī)則和第三acl規(guī)則，此時按照第一acl規(guī)則處理。

具體的，基于第一acl規(guī)則、第二acl規(guī)則和第三acl規(guī)則，本端設(shè)備在通過該接口接收到第一類報文后，若第一類報文是認證響應(yīng)報文，基于第二acl規(guī)則，本端設(shè)備需要處理第一類報文，即分析第一類報文是否為合法的認證響應(yīng)報文，即執(zhí)行步驟103。若第一類報文是廣播報文，基于第三acl規(guī)則，本端設(shè)備需要處理第一類報文，即利用第一類報文確定出對端設(shè)備為非法設(shè)備，并對該接口進行限制操作。若第一類報文不是認證響應(yīng)報文和廣播報文，基于第一acl規(guī)則，本端設(shè)備直接丟棄第一類報文，不再對第一類報文進行處理。

在一個例子中，針對“對該接口進行限制操作”的過程，可以包括但不限于：去使能第二acl規(guī)則和第三acl規(guī)則，但不去使能第一acl規(guī)則。由于未對第一acl規(guī)則進行去使能，因此第一acl規(guī)則仍然生效，而由于第一acl規(guī)則用于指示本端設(shè)備丟棄接收到的報文，因此，基于第一acl規(guī)則，本端設(shè)備會丟棄通過該接口接收到的所有第二類報文，從而實現(xiàn)對該接口的限制操作。

針對“對該接口進行準入操作”的過程，可以包括但不限于：去使能第一acl規(guī)則。由于對第一acl規(guī)則進行去使能，因此第一acl規(guī)則不再生效。本端設(shè)備在通過該接口接收到第二類報文時，由于該第二類報文不會匹配到第一acl規(guī)則，因此也就不會基于第一acl規(guī)則丟棄第二類報文，此時，本端設(shè)備可以采用傳統(tǒng)方式處理該第二類報文，例如，基于轉(zhuǎn)發(fā)表項發(fā)送該第二類報文，或者將第二類報文上送給cpu進行處理等，對此處理方式不做限制。而且，在對該接口進行準入操作的過程中，本端設(shè)備還可以去使能第二acl規(guī)則和/或第三acl規(guī)則、或者不對第二acl規(guī)則和/或第三acl規(guī)則進行去使能。

基于上述技術(shù)方案，本申請實施例中，在與對端設(shè)備連接的接口up(正常)時，本端設(shè)備可以主動檢測對端設(shè)備是否為非法設(shè)備，如果對端設(shè)備是非法設(shè)備，則對該接口進行限制操作，這樣，可以對本端設(shè)備進行保護，防止非法設(shè)備接入到本端設(shè)備，提高本端設(shè)備的處理性能，保證本端設(shè)備的正常工作，避免攻擊者對本端設(shè)備的攻擊，提升本端設(shè)備的安全性，可靠性、穩(wěn)定性。

以下結(jié)合圖2所示的應(yīng)用場景，對本申請實施例的上述方案進行說明。如圖2所示，假設(shè)設(shè)備a為本端設(shè)備，設(shè)備b和設(shè)備c為對端設(shè)備，且設(shè)備b為合法設(shè)備，設(shè)備c為非法設(shè)備。在圖2中，設(shè)備a通過接口1與設(shè)備b連接，設(shè)備a通過接口2與設(shè)備c連接。在一個例子中，設(shè)備a、設(shè)備b和設(shè)備c可以為獨立的設(shè)備，也可以為同一個集群內(nèi)的設(shè)備。在為同一個集群內(nèi)的設(shè)備時，設(shè)備a可以為ccu(controlconnectionunit，交換框控制連接單元)，設(shè)備b和設(shè)備c可以為mpu(mainprocessingunit，主控處理單元)。

在一個例子中，設(shè)備a和設(shè)備b為合法設(shè)備，可以采用本申請技術(shù)方案進行處理，而設(shè)備c為非法設(shè)備，不會采用本申請技術(shù)方案進行處理。設(shè)備a可以驗證其它設(shè)備(如設(shè)備b、設(shè)備c)的合法性，設(shè)備b也可以驗證其它設(shè)備(如設(shè)備a)的合法性，后續(xù)以設(shè)備a驗證其它設(shè)備的合法性為例進行說明。

在一個例子中，設(shè)備a在啟動時，可以為接口1使能acl規(guī)則11，acl規(guī)則12、acl規(guī)則13，并為接口2使能acl規(guī)則21，acl規(guī)則22、acl規(guī)則23。其中，acl規(guī)則11/acl規(guī)則21的匹配項為接口1/接口2，動作項為丟棄處理，因此，acl規(guī)則11/acl規(guī)則21用于指示設(shè)備a丟棄通過接口1/接口2接收到的所有報文。此外，acl規(guī)則12/acl規(guī)則22的匹配項為接口1/接口2、認證響應(yīng)報文的類型(如aaa，用于表示報文為認證響應(yīng)報文)，動作項為上送cpu(centralprocessingunit，中央處理器)處理，因此，acl規(guī)則12/acl規(guī)則22用于指示設(shè)備a處理接收到的認證響應(yīng)報文。此外，acl規(guī)則13/acl規(guī)則23的匹配項為接口1/接口2、目的mac(mediaaccesscontrol，媒體訪問控制)地址為全f(用于表示報文為廣播報文)，動作項為上送cpu處理，因此，acl規(guī)則13/acl規(guī)則23用于指示設(shè)備a處理接收到的廣播報文。

若采用最長匹配優(yōu)先策略，而acl規(guī)則12/acl規(guī)則22、acl規(guī)則13/acl規(guī)則23的匹配項數(shù)量為2，acl規(guī)則11/acl規(guī)則21的匹配項數(shù)量為1，因此，acl規(guī)則12/acl規(guī)則22的優(yōu)先級高于acl規(guī)則11/acl規(guī)則21的優(yōu)先級，即接收到匹配acl規(guī)則12/acl規(guī)則22、acl規(guī)則11/acl規(guī)則21的報文時，按照acl規(guī)則12/acl規(guī)則22處理。acl規(guī)則13/acl規(guī)則23的優(yōu)先級高于acl規(guī)則11/acl規(guī)則21的優(yōu)先級，即接收到匹配acl規(guī)則13/acl規(guī)則23、acl規(guī)則11/acl規(guī)則21的報文時，按照acl規(guī)則13/acl規(guī)則23處理。

在一個例子中，設(shè)備b在啟動時，為接口3使能acl規(guī)則3，acl規(guī)則3的匹配項為接口3、認證報文類型(如bbb，用于表示報文為認證報文)，動作項為上送cpu處理，因此acl規(guī)則3用于指示設(shè)備b處理收到的認證報文。

基于上述應(yīng)用場景，本申請實施例提出的接入控制方法可以包括以下步驟：

步驟1、設(shè)備a檢測到接口1為up時，通過接口1向設(shè)備b發(fā)送認證報文。

在一個例子中，設(shè)備a可以檢測接口1的狀態(tài)，而接口1的狀態(tài)可以包括up或者down(故障)。當(dāng)設(shè)備a檢測到接口1的狀態(tài)從down切換到up時，就可以構(gòu)造認證報文，并可以通過接口1向設(shè)備b發(fā)送構(gòu)造的認證報文。

在一個例子中，該認證報文可以包括但不限于如下字段之一或者任意組合：version(版本)字段、type(類型)字段、datalength(數(shù)據(jù)長度)字段、typemap(類型圖)字段、boardtype(設(shè)備類型)字段、authtext(字符串)字段。

其中，type字段用于表示當(dāng)前報文為認證報文，如bbb等，typemap字段可以為1，boardtype字段可以為設(shè)備a的類型，authtext字段為設(shè)備a隨機生成的字符串，為了區(qū)分方便，將authtext字段的字符串稱為第一字符串。當(dāng)然，上述數(shù)值只是一個示例，實際應(yīng)用中還可以為其它數(shù)值，如typemap字段為2等，對此不做限制，而且，version、datalength等字段，在此不做限制。

步驟2、設(shè)備b在接收到認證報文后，由于入接口為接口3，type字段表示當(dāng)前報文為認證報文，因此匹配到acl規(guī)則3，設(shè)備b需要處理認證報文。

步驟3、設(shè)備b利用預(yù)設(shè)算法(如預(yù)設(shè)算法a)對該認證報文中的第一字符串(即authtext字段承載的字符串)進行加密處理，得到第二字符串。

步驟4、設(shè)備b生成認證響應(yīng)報文，該認證響應(yīng)報文攜帶第二字符串，并通過接口3將該認證響應(yīng)報文發(fā)送給設(shè)備a。

在一個例子中，認證響應(yīng)報文可以包括但不限于如下字段之一或任意組合：version字段、type字段、datalength字段、typemap字段、boardtype字段、authtext字段。其中，type字段用于表示當(dāng)前報文為認證響應(yīng)報文，如aaa等，typemap字段可以為2，boardtype字段可以為設(shè)備b的類型，authtext字段為第二字符串。當(dāng)然，上述數(shù)值只是一個示例，實際應(yīng)用中還可以為其它數(shù)值，對此不做限制，而且，version、datalength等字段，在此不做限制。

步驟5、設(shè)備a在收到認證響應(yīng)報文后，由于入接口為接口1，type字段表示認證響應(yīng)報文，因此匹配到acl規(guī)則12，設(shè)備a需要處理認證響應(yīng)報文。

步驟6、設(shè)備a從認證響應(yīng)報文中解析出第二字符串(即authtext字段承載的字符串)，并利用預(yù)設(shè)算法(如預(yù)設(shè)算法a)對第二字符串進行解密。

在一個例子中，可以在設(shè)備a和設(shè)備b上配置相同的預(yù)設(shè)算法，如預(yù)設(shè)算法a，只是設(shè)備b會利用該預(yù)設(shè)算法進行加密處理，而設(shè)備a會利用該預(yù)設(shè)算法進行解密處理。其中，該預(yù)設(shè)算法可以包括但不限于hash算法、md5算法、反碼序算法(用于將字符串的順序顛倒)等，對此預(yù)設(shè)算法的類型不做限制。

步驟7、若解密后的字符串與第一字符串匹配，則設(shè)備a確定認證響應(yīng)報文合法，并確定設(shè)備b為合法設(shè)備，并對接口1進行準入操作。在一個例子中，設(shè)備a對接口1進行準入操作是指：設(shè)備a處理通過接口1接收到的報文。

在一個例子中，設(shè)備a對接口1進行準入操作的過程，可以包括：去使能acl規(guī)則11，由于對acl規(guī)則11進行去使能，因此acl規(guī)則11不再生效，設(shè)備a不會基于acl規(guī)則11丟棄通過接口1接收到的報文，這樣就可以處理通過接口1接收到的報文(所有類型的報文)，具體的處理方式可以為傳統(tǒng)方式，在此不再詳加贅述。而且，設(shè)備a還可以去使能acl規(guī)則12和acl規(guī)則13，或者不對acl規(guī)則12和acl規(guī)則13進行去使能。

在一個例子中，在設(shè)備a確定設(shè)備b為合法設(shè)備，并對接口1進行準入操作之前，若設(shè)備a通過接口1接收到廣播報文，由于廣播報文可以匹配到acl規(guī)則13，因此設(shè)備a需要處理廣播報文，即根據(jù)廣播報文直接確定出設(shè)備b為非法設(shè)備，并對接口1進行限制操作。此外，在設(shè)備a確定設(shè)備b為合法設(shè)備，并對接口1進行準入操作之后，若設(shè)備a通過接口1接收到廣播報文，由于設(shè)備a可以處理通過接口1接收到的所有報文，因此設(shè)備a需要處理廣播報文，即根據(jù)廣播報文直接確定出設(shè)備b為非法設(shè)備，并對接口1進行限制操作。

其中，設(shè)備a對接口1進行限制操作的過程，可以包括：設(shè)備a使能acl規(guī)則11，并去使能acl規(guī)則12和acl規(guī)則13，由于acl規(guī)則11生效，因此，設(shè)備a可以基于acl規(guī)則11丟棄通過接口1接收到的所有報文。

在一個例子中，在設(shè)備a確定設(shè)備b為合法設(shè)備，并對接口1進行準入操作之前，若設(shè)備a通過接口1接收到廣播報文、認證響應(yīng)報文之外的其它類型報文，由于該報文只能匹配到acl規(guī)則11，因此設(shè)備a直接丟棄該報文。

步驟8、設(shè)備a檢測到接口2為up時，通過接口2向設(shè)備c發(fā)送認證報文。

其中，步驟8的處理過程可以參見步驟1的處理，在此不再重復(fù)贅述。

步驟9、設(shè)備c在接收到認證報文后，不會向設(shè)備a發(fā)送認證響應(yīng)報文，或者設(shè)備c發(fā)送的認證響應(yīng)報文中不會攜帶利用預(yù)設(shè)算法加密后的字符串。

步驟10、設(shè)備a判斷是否通過接口2接收到認證響應(yīng)報文。若接收到認證響應(yīng)報文，則執(zhí)行步驟11。若未接收到認證響應(yīng)報文，則執(zhí)行步驟13。

步驟11、設(shè)備a判斷接收到的認證響應(yīng)報文是否合法。若接收到的認證響應(yīng)報文合法，則執(zhí)行步驟12；若接收到的認證響應(yīng)報文不合法，則執(zhí)行步驟13。

步驟12、設(shè)備a確定設(shè)備c為合法設(shè)備，并對接口2進行準入操作。

步驟13、設(shè)備a確定設(shè)備c為非法設(shè)備，并對接口2進行限制操作。

在一個例子中，由于設(shè)備c不會向設(shè)備a發(fā)送認證響應(yīng)報文，或者設(shè)備c發(fā)送的認證響應(yīng)報文中不會攜帶利用預(yù)設(shè)算法加密后的字符串，因此，設(shè)備a不會通過接口2接收到認證響應(yīng)報文，或者，設(shè)備a接收到的認證響應(yīng)報文不合法，因此，設(shè)備a確定設(shè)備c為非法設(shè)備，并對接口2進行限制操作。其中，設(shè)備a對接口2進行限制操作是指：設(shè)備a丟棄通過接口2接收到的報文。

在一個例子中，設(shè)備a在通過接口1/接口2發(fā)送認證報文之后，還可以為接口1/接口2啟動定時器；若在定時器超時之前，通過接口1/接口2接收到認證響應(yīng)報文，就表示接收到認證響應(yīng)報文；若在定時器超時時，仍然未通過接口1/接口2接收到認證響應(yīng)報文，就表示沒有接收到認證響應(yīng)報文。

進一步的，還可以設(shè)置發(fā)包周期和發(fā)包次數(shù)，并按照該發(fā)包周期連續(xù)發(fā)送該發(fā)包次數(shù)個認證報文。若在定時器超時之前，通過接口1/接口2接收到認證響應(yīng)報文，就表示接收到認證響應(yīng)報文；若在定時器超時時，仍然未通過接口1/接口2接收到認證響應(yīng)報文，就表示沒有接收到認證響應(yīng)報文。

在一個例子中，設(shè)備a對接口2進行限制操作的過程，可以包括：設(shè)備a使能acl規(guī)則21，并去使能acl規(guī)則22和acl規(guī)則23，由于acl規(guī)則21生效，因此，設(shè)備a可以基于acl規(guī)則21丟棄通過接口2接收到的所有報文。

在一個例子中，設(shè)備a在確定設(shè)備c為非法設(shè)備時，還可以打印日志信息(即設(shè)備c為非法設(shè)備的日志)，以提示管理員設(shè)備c為非法設(shè)備。

在一個例子中，在設(shè)備a確定設(shè)備c為非法設(shè)備，并對接口2進行限制操作之前，若設(shè)備a通過接口2接收到廣播報文，由于廣播報文可以匹配到acl規(guī)則23，因此設(shè)備a處理廣播報文，即根據(jù)廣播報文確定設(shè)備c為非法設(shè)備，并對接口2進行限制操作。若設(shè)備a通過接口2接收到廣播報文、認證響應(yīng)報文之外的其它類型報文，由于報文匹配到acl規(guī)則21，因此設(shè)備a丟棄報文。

在一個例子中，當(dāng)設(shè)備a檢測到接口1/接口2的狀態(tài)從up切換到down時，則設(shè)備a可以恢復(fù)接口1/接口2的初始化狀態(tài)，即：設(shè)備a不會對接口1/接口2進行準入操作和限制操作，而且，為接口1/接口2使能acl規(guī)則11/acl規(guī)則21，acl規(guī)則12/acl規(guī)則22、acl規(guī)則13/acl規(guī)則23。

當(dāng)然，在實際應(yīng)用中，當(dāng)設(shè)備a檢測到接口1/接口2的狀態(tài)從up切換到down時，也可以不為接口1/接口2使能acl規(guī)則11/acl規(guī)則21，acl規(guī)則12/acl規(guī)則22、acl規(guī)則13/acl規(guī)則23，而是當(dāng)檢測到接口1/接口2的狀態(tài)從down重新切換到up時，才為接口1/接口2使能acl規(guī)則11/acl規(guī)則21，acl規(guī)則12/acl規(guī)則22、acl規(guī)則13/acl規(guī)則23。

基于與上述方法同樣的申請構(gòu)思，本申請實施例中還提供了一種接入控制裝置，該接入控制裝置可以應(yīng)用在本端設(shè)備。其中，該接入控制裝置可以通過軟件實現(xiàn)，也可以通過硬件或者軟硬件結(jié)合的方式實現(xiàn)。以軟件實現(xiàn)為例，作為一個邏輯意義上的裝置，是通過其所在的本端設(shè)備的處理器，讀取非易失性存儲器中對應(yīng)的計算機程序指令形成的。從硬件層面而言，如圖3所示，為本申請?zhí)岢龅慕尤肟刂蒲b置所在的本端設(shè)備的一種硬件結(jié)構(gòu)圖，除了圖3所示的處理器、非易失性存儲器外，本端設(shè)備還可以包括其它硬件，如負責(zé)處理報文的轉(zhuǎn)發(fā)芯片、網(wǎng)絡(luò)接口、內(nèi)存等；從硬件結(jié)構(gòu)上來講，該本端設(shè)備還可能是分布式設(shè)備，可能包括多個接口卡，以便在硬件層面進行報文處理的擴展。

如圖4所示，為本申請?zhí)岢龅慕尤肟刂蒲b置的結(jié)構(gòu)圖，所述裝置用于對與所述本端設(shè)備連接的對端設(shè)備進行合法性檢測，所述裝置包括：

發(fā)送模塊11，用于在檢測到所述本端設(shè)備上的與所述對端設(shè)備連接的接口up時，通過所述接口向所述對端設(shè)備發(fā)送認證報文；

處理模塊12，用于當(dāng)未通過所述接口接收到所述對端設(shè)備返回的合法的認證響應(yīng)報文時，則確定所述對端設(shè)備為非法設(shè)備，并對所述接口進行限制操作；

當(dāng)通過所述接口接收到所述對端設(shè)備返回的合法的認證響應(yīng)報文時，則確定所述對端設(shè)備為合法設(shè)備，并對所述接口進行準入操作。

在一個例子中，所述接入控制裝置還包括(在圖中未體現(xiàn))：配置模塊，用于在所述處理模塊12確定對端設(shè)備為非法設(shè)備或者合法設(shè)備之前，為所述接口使能第一訪問控制列表acl規(guī)則和第二acl規(guī)則；其中，所述第二acl規(guī)則的優(yōu)先級高于所述第一acl規(guī)則的優(yōu)先級，所述第一acl規(guī)則用于指示丟棄接收到的報文，所述第二acl規(guī)則用于指示處理接收到的認證響應(yīng)報文；

所述處理模塊12，還用于在通過所述接口接收到第一類報文后，若所述第一類報文是認證響應(yīng)報文，則基于所述第二acl規(guī)則，分析所述第一類報文是否為合法的認證響應(yīng)報文；若所述第一類報文不是認證響應(yīng)報文，則基于所述第一acl規(guī)則，丟棄所述第一類報文。

在一個例子中，所述處理模塊12，具體用于：在對所述接口進行限制操作的過程中，去使能所述第二acl規(guī)則，基于所述第一acl規(guī)則，丟棄通過所述接口接收到的第二類報文；在對所述接口進行準入操作的過程中，去使能所述第一acl規(guī)則，以處理通過所述接口接收到的第二類報文。

在一個例子中，所述配置模塊，還用于在所述處理模塊12確定所述對端設(shè)備為非法設(shè)備或者合法設(shè)備之前，為所述接口使能第三acl規(guī)則；其中，所述第三acl規(guī)則的優(yōu)先級高于所述第一acl規(guī)則的優(yōu)先級，所述第三acl規(guī)則用于指示處理接收到的廣播報文；

在一個例子中，所述處理模塊12，還用于在通過所述接口接收到第一類報文后，若所述第一類報文是廣播報文，基于所述第三acl規(guī)則，利用所述第一類報文確定所述對端設(shè)備為非法設(shè)備；

在一個例子中，所述處理模塊12，具體用于：在對所述接口進行限制操作的過程中，去使能所述第二acl規(guī)則以及所述第三acl規(guī)則，并基于所述第一acl規(guī)則，丟棄通過所述接口接收到的第二類報文。

在一個例子中，所述發(fā)送模塊11通過所述接口向所述對端設(shè)備發(fā)送的認證報文還攜帶有所述本端設(shè)備生成的第一字符串；若所述對端設(shè)備為合法設(shè)備，則利用預(yù)設(shè)算法對所述第一字符串進行加密，并將加密后的字符串?dāng)y帶在認證響應(yīng)報文中返回給本端設(shè)備；

所述處理模塊12，還用于在接收到認證響應(yīng)報文后，從所述認證響應(yīng)報文中解析出第二字符串；利用預(yù)設(shè)算法對所述第二字符串進行解密，若解密后的字符串與所述第一字符串匹配，則確定所述認證響應(yīng)報文合法；若解密后的字符串與所述第一字符串不匹配，則確定所述認證響應(yīng)報文不合法。

上述實施例闡明的系統(tǒng)、裝置、模塊或單元，具體可以由計算機芯片或?qū)嶓w實現(xiàn)，或者由具有某種功能的產(chǎn)品來實現(xiàn)。一種典型的實現(xiàn)設(shè)備為計算機，計算機的具體形式可以是個人計算機、膝上型計算機、蜂窩電話、相機電話、智能電話、個人數(shù)字助理、媒體播放器、導(dǎo)航設(shè)備、電子郵件收發(fā)設(shè)備、游戲控制臺、平板計算機、可穿戴設(shè)備或者這些設(shè)備中的任意幾種設(shè)備的組合。

為了描述的方便，描述以上裝置時以功能分為各種單元分別描述。當(dāng)然，在實施本申請時可以把各單元的功能在同一個或多個軟件和/或硬件中實現(xiàn)。

本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本申請的實施例可提供為方法、系統(tǒng)、或計算機程序產(chǎn)品。因此，本申請可采用完全硬件實施例、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式。而且，本申請實施例可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器、cd-rom、光學(xué)存儲器等)上實施的計算機程序產(chǎn)品的形式。

本申請是參照根據(jù)本申請實施例的方法、設(shè)備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可以由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其它可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機器，使得通過計算機或其它可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

而且，這些計算機程序指令也可以存儲在能引導(dǎo)計算機或其它可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或者多個流程和/或方框圖一個方框或者多個方框中指定的功能。

這些計算機程序指令也可裝載到計算機或其它可編程數(shù)據(jù)處理設(shè)備上，使得在計算機或者其它可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理，從而在計算機或其它可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

本領(lǐng)域技術(shù)人員應(yīng)明白，本申請的實施例可提供為方法、系統(tǒng)或計算機程序產(chǎn)品。因此，本申請可以采用完全硬件實施例、完全軟件實施例、或者結(jié)合軟件和硬件方面的實施例的形式。而且，本申請可以采用在一個或者多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(可以包括但不限于磁盤存儲器、cd-rom、光學(xué)存儲器等)上實施的計算機程序產(chǎn)品的形式。

以上所述僅為本申請的實施例而已，并不用于限制本申請。對于本領(lǐng)域技術(shù)人員來說，本申請可以有各種更改和變化。凡在本申請的精神和原理之內(nèi)所作的任何修改、等同替換、改進等，均應(yīng)包含在本申請的權(quán)利要求范圍之內(nèi)。