[发明专利]一种网络访问控制方法

说明书

本发明提供一种网络访问控制方法，应用于包括终端和网络控制设备的系统中，其中终端的报文需要经过网络控制设备处理后才能进入internet网络，路由器收到终端报文后根据终端及报文的协议类型/目的IP/目的端口号确定网络权限，同时给用户提供简单的网络权限生成方法。通过上述方式，终端数据需要用户充分授权后才能上传到internet从而有效保护用户个人隐私。

技术领域

本发明涉及通信技术领域，特别涉及一种网络访问控制方法。

背景技术

图1是当前常见的家庭网络逻辑组网图，个人电脑、手机、摄像头等各种终端设备（简称终端）通过家用路由器接入internet。

网络在方便大家生活的同时也增加了安全隐患，如智能摄像头上传影像到internet导致个人隐私泄露，PC被攻击后上传隐私数据等。当前常见的家用路由器厂商有几种控制方法：

1、使用无线方式接入时，在路由器上配置禁止具体终端接入无线网络，这种方式导致用户无法通过网络访问监控设备；

2、部分路由器(如TP-LINK公司的家用路由器)提供防火墙配置，指定按照MAC（（媒体访问控制，Media Access Control，简称MAC））地址或IP（网际协议，Internet Protocol）地址等方式控制网络权限，这种方式配置相对复杂，需要根据终端名称查找该终端的MAC或IP地址，然后进入防火墙配置中增加控制条目；而且阻止所有网络访问，对于有网络访问需求的终端无法兼顾上网和安全。

发明内容

本发明提供一种网络访问控制方法，用户可以在路由器上控制终端的网络访问权限。

有鉴于此，本发明实施例提供：

一种网络访问控制方法，应用于包括终端和路由器的系统中，其中终端的报文需要经过路由器处理后才能进入internet网络，路由器收到终端报文后根据报文的终端地址查找对应终端，并根据对应终端的网络权限和所述报文的网络操作类型共同确定报文的处理方法。

本发明可以保证终端向internet传输的数据需要用户充分授权，且用户配置简单，能更有效地保护用户个人隐私。

附图说明

图1是家庭网络逻辑组网图。

图2是路由器网络访问控制的流程图。

图3是路由器网络访问控制另一实施方式的流程图。

具体实施方式

本发明主要应用于图1所示的逻辑组网，路由器给终端设备分配私网IP地址的过程和本发明无关，不再赘述。本发明实施例重点描述终端设备接入路由器后，路由器对终端设备网络权限的配置方法和网络访问控制方法。

本发明实施例定义了两种网络操作类型和三种网络权限：

终端发出的报文分为上传数据和下载数据两种网络操作类型：上传数据指终端发送的报文是用于发送本地数据到网络（如HTTP协议PUT/POST操作），下载数据指终端发送的报文是用于请求从网络获取数据（如HTTP协议GET操作），报文是上传还是下载数据需要根据协议具体分析；

路由器按照发送报文的终端名、协议类型、目的IP、目的端口号四元组进行报文分类并生成网络权限表条目，同一类报文有如下三种网络权限之一：

无权限：该类报文不允许转发到internet；

低权限：该类报文转发到internet存在限制条件。比如根据网络操作类型确定处理方法：上传数据的报文不允许转发到internet，下载数据的报文允许转发到internet；更严格的可以控制每次/每日等的发送的数据量或发送频率；或者自定义其它限制条件；