[发明专利]NAT网络环境下的访问控制方法和设备

说明书

技术领域

本发明涉及网络通信领域，更具体地，涉及一种在网络地址转换(Network Address Translation，简称NAT)网络环境下的访问控制方法和设备。

背景技术

随着互联网的迅速发展，IP地址短缺已成为一个十分突出的问题。为了解决这个问题，出现了多种解决方案，作为其中一种在目前网络环境中比较有效的方法，提出了NAT功能。

NAT功能指在一个网络内部，可以根据需要自定义内部私有IP地址，而不需要经过申请。在网络内部，各计算机间通过私有IP地址进行通讯。而当内部计算机要与外部互联网进行通讯时，具有NAT功能的设备(比如：路由器)负责将其私有IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。

目前在校园网或企业网中普遍部署利用NAT功能的网络，这类网络也称为NAT网络。NAT网络中通常有众多的内部用户，而与外部联网的网络资源则是有限的，例如合法的IP地址是有限的，与外网连接的带宽等也是有限的。于是需要有效地管理网络资源。网络运营商需要对用户的网上行为进行监控管理，对用户访问外网进行控制，防止非法用户盗用网络资源访问外网。因此，需要一种NAT网络环境下的控制用户访问外部网络的方法和实现该控制的设备。

发明内容

本发明的目的在于提供一种有效地防止网络资源被盗用的方案。本发明提出在NAT网络的客户端设备上的浏览器中安装接入认证插件，用于在客户端进行HTTP访问时在HTTP访问请求报文中添加独有的认证标识。接入控制网关在接收到HTTP访问请求报文时，通过验证其中是否包含与客户端设备在登录认证时提供的认证标识一致的认证标识，来过滤该HTTP访问请求。通过这种方式，可以有效地防止没有登录的用户盗用网络资源。

根据本发明的一个方面，提供了一种在网络地址转换NAT网络环境下的访问控制方法，包括以下步骤：接收来自内部客户端设备的HTTP访问请求；解析所述HTTP访问请求中的认证标识；验证解析出的认证标识是否与所述客户端设备在登录认证时提供的认证标识相一致；以及如果通过验证，则允许所述HTTP访问请求，否则拒绝所述HTTP访问请求。

在一个实施例中，所述认证标识包括下述中的至少一个：由NAT设备分配给客户端设备的私有IP地址、客户端设备的MAC地址、验证码。

根据本发明的另一方面，提供了一种用于网络地址转换NAT网络环境下的接入控制网关，包括：接收装置，用于接收来自内部客户端设备的HTTP访问请求；解析装置，用于解析所述HTTP访问请求中的认证标识；验证装置，用于验证解析出的认证标识是否与所述客户端设备在登录认证时提供的认证标识相一致；以及过滤装置，用于在HTTP访问请求通过验证时，允许所述HTTP访问请求，以及在其他情况下拒绝所述HTTP访问请求。

附图说明

通过下面结合附图说明本发明的优选实施例，将使本发明的上述及其它目的、特征和优点更加清楚，其中：

图1示出了本发明所应用的NAT网络的组成示意图；

图2示出了根据本发明的一个实施例的在NAT网络环境下的访问控制方法的流程图；

图3示出了根据本发明的一个实施例的在接入控制网关处执行的在NAT网络环境下的访问控制方法的流程图；

图4示出了根据本发明的一个实施例的用于网络地址转换NAT网络环境下的接入控制网关400的框图。

具体实施方式

为了清楚详细地阐述本发明，下面给出了一些本发明的具体实施例。根据本发明的实施例，能够支持NAT网络中的通过登录认证的用户访问外网，防止非法用户盗用网络资源。

下面参照附图对本发明的优选实施例进行详细说明。对于NAT网络的内部客户端设备之间的访问，其与现有技术类似，在此不进行详细描述。本发明将主要考虑NAT网络中的客户端设备访问外部网络的情形。

图1示出了本发明所应用的NAT网络的组成示意图。

如图1所示，该NAT网络包括客户端设备100、NAT设备200、Portal服务器300和接入控制网关400。应该理解，尽管未在图中示出，但是该NAT网络还可以包括其他客户端和服务器，等等。

客户端设备100可以是用户使用的任何支持联网的计算设备，例如台式计算机、笔记本计算机、膝上型计算机等等。当客户端100接入NAT网络时，其通过NAT设备200自动配置IP地址，例如IPv4地址，该地址也称为私有IP地址。在NAT网络内部，不同的客户端设备之间通过该私有IP地址进行通信。