[发明专利]基于家庭网关的访客网络功能实现方法

说明书

技术领域

本发明涉及接入网通信技术，具体涉及基于家庭网关的访客网络功能实现方法。

背景技术

近年来，多媒体、智能家居以及家庭控制飞速发展，家庭网络作为家庭信息化平台，实现多媒体信息、家庭信息共享和智能家居控制于一体，访客网络基于家庭网关平台为外来人员提供访问互联网和多媒体功能。

随着互联网的发展，网络安全越来越受到人们重视，由此诞生的杀毒软件和防火墙等安全技术逐渐普及，家庭网络往往能够通过这些软件有效防止黑客、病毒以及流氓软件的攻击，但是使用这些技术仅能保护家庭用户外网的安全，而家庭网络的安全问题，不仅仅来自于家庭外部，更多来自家庭内部的网络访问。

目前大部分家庭网关的访客网络功能实现方案，仅提供加密认证和时间管理，虽然满足访客网络基本的功能需求，但是仍然存在以下缺点：

(1)访客用户和家庭网关用户共用互联网资源，在对访客网络进行访问控制时，会降低家庭网关的转发性能，家庭网关用户的网络性能无法保障；

(2)访客用户可以通过家庭局域网访问家庭资源，导致家庭网络的访问存在安全隐患；

(3)访客用户的行为无法控制：访客用户可以通过网络实现非法访问以及访问非法资源；

(4)家庭网关设备在启用访客网络，对其进行时间管理和访问控制时，并不适用于带有硬件或软件加速的网关，存在进入路由转发则无法进入加速或进入软硬件加速，无法实现访问控制的问题。

发明内容

本发明所要解决的技术问题是提供一种易于操作、实现简单、可控、安全和高性能的访客网络功能的实现方法。

为了解决上述技术问题，本发明所采用的技术方案是提供一种基于家庭网关的访客网络功能实现方法，包括以下步骤：

S100、当家庭网关接收到配置消息后，通知Wifi进程启用访客网络的Wifi接口；

S200、启用访客网络后，将每个访客用户的MAC地址存入MAC数据链表中，并为每个访客用户的MAC地址打标；

S300、将第一次经过路由转发匹配规则的数据报文的三元组或五元组信息存入数据转发表项中；

S400、根据访客用户的MAC地址判断数据报文是否为访客网络数据，如果是，转S500；否则，转S700；

S500、控制访客网络的Wifi接口无法与其它局域网接口进行通信；

S600、遍历数据转发表项，删除MAC数据链表中对应MAC地址的三元组或五元组信息，正常转发访客网络数据；

S700、判断数据报文是否已记录，如果是，则匹配数据转发表项，加速转发家庭网络数据；否则，正常转发家庭网络数据。

在上述技术方案中，在步骤S100中，当所述Wifi进程接收到消息通知后，初始化相关参数，包括根据家庭网关接收到的配置消息重置定时器、清空调度规则、清空访客用户的MAC数据链表以及设置访客网络的SSID。

在上述技术方案中，在启用访客网络后，显示访客网络的SSID，并隐藏家庭网络的SSID。

在上述技术方案中，在步骤S200中，利用Linux平台的ebtables规则为访客用户的MAC地址打标。

在上述技术方案中，在步骤S300中，将除数据转发表项之外的经过路由转发匹配规则的数据报文的三元组或五元组信息与数据转发表项中的三元组或五元组信息进行匹配，若匹配则直接将除数据转发表项之外的经过路由转发匹配规则的数据报文的三元组或五元组信息在二层进行数据转发，否则存入数据转发表项中。

在上述技术方案中，步骤S600还包括根据访客用户的MAC地址的标记，利用iptalbes规则的time模块对访客网络的上网时间进行控制，具体为：

判断访客网络的上网时间是否符合上网时间段；

如果符合上网时间段，则利用iptables规则的string模块对访客网络数据的访问URL进行控制，正常转发访客网络数据；

如果不符合上网时间段，则禁止访客网络数据转发，继续判断访客网络的上网时间是否符合上网时间段。

在上述技术方案中，当定时器超时时，初始化访客网络数据，并禁用访客网络的SSID；初始化访客网络数据包括：采用回调函数对访客网络的ebtables规则和iptables规则进行删除、清空访客用户的MAC数据链表以及保留访客网络的Wifi接口。

在上述技术方案中，通过手机APP或家庭网关的本地配置页面发送所述配置消息。