[发明专利]防止通过共享方式访问互联网的方法及装置

说明书

技术领域

本发明涉及计算机网络技术领域，尤其涉及一种防止通过共享方式访问互联网的方法及装置。

背景技术

随着网络技术的普及，互联网已经渗透到工作和生活的各个方面，随之而来的对网络管控的问题也一直备受关注，尤其是对通过内网代理进行上网的管控。比如，通过代理技术，让内网中原本没有上网权限的计算机能够上网，从而导致监控设备无法辨别发生上网行为的计算机到底是哪一个；因此，在网关上识别内网中是否存在通过共享访问互联网是非常必要的，可以直接通过网关阻止非法的通过共享来访问互联网的终端。

常用的识别通过代理及NAT（Network Address Translator，网络地址转换）上网的方法有：

①检查下级IP包的IP-ID（Identity，识别码）是否连续，若不连续，则判定下级使用NAT上网；由于网关设备采集到下级IP包的报文有可能乱序的，此时IP-ID就不是连续的，因此通过IP-ID是否连续来判定是否通过共享访问互联网存在很大的误判风险。②检查下级IP包的TTL（Time To Live，生存时间）值是否为32、64、128这几个值，如果不是，则判定下级使用了NAT；由于目前市场上的部分网络设备（如路由器等），不按规范操作，随意修改TTL值，因此这种方式也会导致漏判或误判；③检测数据报文中HTTP（Hyper Text Transport Protocol，超文本传输协议）报头的UA（User Agent，用户代理）字段因操作系统版本、浏览器版本和补丁的不同来判断下级是否使用了NAT，这种方式也是行不通的，因为很多浏览器支持用户自定义UA；④通过某种应用比如QQ的个数来判定是否通过代理上网，均会出现高频率的漏判或误判；上述方式均无法做到准确的识别计算机是否通过代理或NAT上网。

发明内容

本发明的主要目的是提供一种防止通过共享方式访问互联网的方法及装置，旨在准确识别并阻止终端通过共享访问互联网。

本发明公开了一种防止通过共享方式访问互联网的方法，包括以下步骤：

截取终端访问互联网的数据包，识别当前数据包所在的用户是否处于代理状态；

若否，则将所述数据包与预置数据包规则进行匹配；

在所述数据包与预置数据包规则匹配成功时，提取所述数据包中包含的特征值，将所述数据包的特征值与所述数据包所在的用户已保存的特征值进行比对；

若所述数据包的特征值与所述已保存的特征值不一致，则将所述数据包所在用户的状态标识为代理状态。

优选地，所述截取终端访问互联网的数据包，识别当前数据包所在的用户是否处于代理状态的步骤之后还包括步骤：

若是，则丢弃当前数据包，拒绝当前数据包所在的用户访问互联网。

优选地，所述数据包的特征值与所述已保存的特征值一致时，将所述数据包放通，允许所述数据包所在的用户访问互联网。

优选地，所述截取终端访问互联网的数据包，识别当前数据包所在的用户是否处于代理状态的步骤之前还包括步骤：

获取并保存允许访问互联网的用户能够使用的各应用软件对应的特征值。

优选地，所述各应用软件对应的特征值由所述应用软件根据预置算法获取且标识唯一用户。

本发明还公开了一种防止通过共享方式访问互联网的装置，包括：

状态识别模块，用于截取终端访问互联网的数据包，识别当前数据包所在的用户是否处于代理状态；

数据处理模块，用于识别当前数据包所在的用户没有处于代理状态时，则将所述数据包与预置数据包规则进行匹配；在所述数据包与预置数据包规则匹配成功时，提取所述数据包中包含的特征值，将所述数据包的特征值与所述数据包所在的用户已保存的特征值进行比对；若所述数据包的特征值与所述已保存的特征值不一致，则将所述数据包所在用户的状态标识为代理状态。

优选地，所述防止通过共享方式访问互联网的装置还包括：

访问拦截模块，用于识别当前数据包所在的用户处于代理状态时，丢弃所述当前数据包，拒绝所述当前数据包所在的用户访问互联网。

优选地，所述数据处理模块还用于：

所述数据包的特征值与所述已保存的特征值一致时，将所述数据包放通，允许所述数据包所在的用户访问互联网。

优选地，所述防止通过共享方式访问互联网的装置还包括：

数据存储模块，用于获取并保存允许访问互联网的用户能够使用的各应用软件对应的特征值。