[发明专利]一种内网服务的访问控制方法及装置

说明书

【技术领域】

本发明涉及网络服务技术领域，尤其涉及一种内网服务的访问控制方法及装置。

【背景技术】

随着互联网与计算机的普及，基于局域网的信息化办公、自动化办公已经逐步建立起来。在基于局域网(也可以称为内网)的交互过程中，人们在享受到网络信息、办公资源互联以及共享所带来方便与快捷的同时，也面临着网络服务安全的挑战。

现有技术主要依靠身份认证的方式来解决网络服务安全的问题。例如，客户端在发送网络服务请求时提供用户名和密码，或者通过表单验证的方式提供给服务器用户名和密码，但这两种方式极容易被抓包破解，因而无法保障网络服务的安全性能。还有就是通过证书认证的方式来解决网络服务的安全问题，例如SSL/TLS协议，通过网络安全通信的方式提升网络服务的安全，虽然这种方式在一定程度上提高了网络服务的安全性，但该认证方式较为复杂，且服务性能较低，因而不适合于重要且性能需求较高的网络服务。因此亟需提供一种更加安全高效地访问重要网路服务的控制方法。

【发明内容】

有鉴于此，本发明提供了一种内网服务的访问控制方法及装置，由中央路由器依据内网服务对应的网段对终端访问内网服务进行控制，从而不需要再使用复杂的认证方式，简化用户访问内网服务的操作，并确保了访问内网服务的安全性。

本发明为解决技术问题而采用的技术方案是提供一种内网服务的访问控制方法，所述方法包括：中央路由器接收来自终端的访问请求；依据本地存储的内网服务器IP地址与网段之间的对应关系，判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段，如果是，则依据路由转发表转发所述访问请求至对应的内网服务器；否则，拒绝转发所述访问请求。

根据本发明一优选实施例，在所述依据本地存储的内网服务器IP地址与网段之间的对应关系，判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段之前，还包括：根据所述访问请求的目的IP地址，判断该目的IP地址是否为内网服务器的IP地址；若否，则将该访问请求转发至连接外网的网关；若是，则继续执行所述依据本地存储的内网服务器IP地址与网段之间的对应关系，判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段。

根据本发明一优选实施例，在所述依据本地存储的内网服务器IP地址与网段之间的对应关系，判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段之前，还包括：判断路由转发表中是否存在所述目的IP地址对应的表项，如果是，则继续执行所述依据本地存储的内网服务器IP地址与网段之间的对应关系，判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段；若否，则拒绝转发所述访问请求。

根据本发明一优选实施例，所述方法还包括：从服务注册器获取内网服务信息与网段之间的对应关系，依据该对应关系在本地存储内网服务器IP地址与网段之间的对应关系，并在路由转发表中添加该内网服务器IP地址对应的表项。

根据本发明一优选实施例，所述终端为虚拟终端，所述内网服务器为虚拟服务器。

一种内网服务的访问控制方法，所述方法包括：终端从服务注册器获取所构建内网服务对应的网段信息，在该网段内生成内网IP地址；终端向中央路由器发送访问请求，所述访问请求的源内网IP地址包括所述内网IP地址，目的IP地址为所述内网服务对应的内网服务器IP地址。

根据本发明一优选实施例，所述方法还包括：所述终端在发送所述访问请求后的设定时长内未收到中央路由器返回的指示转发成功的响应，或者接收到中央路由器返回的拒绝访问的响应，则向所述服务注册器发送更新路由转发表的请求，以便所述服务注册器向所述中央路由器发送所述所构建内网服务与网段之间的对应关系。

一种内网服务的访问控制方法，所述方法包括：服务注册器接收终端所发送的更新路由转发表的请求；将所述终端所构建内网服务与网段之间的对应关系发送给中央路由器，以便中央路由器存储内网服务器IP地址与网段之间的对应关系，并更新路由转发表。

根据本发明一优选实施例，所述方法还包括：所述服务注册器在所述终端创建内网服务时，向所述终端提供所构建内网服务对应的网段信息。