技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)安全領(lǐng)域，具體涉及一種基于用戶網(wǎng)絡(luò)訪問場(chǎng)景的防護(hù)方法和裝置。?

背景技術(shù)

隨著互聯(lián)網(wǎng)的發(fā)展，用戶的終端也可以通過各種局域網(wǎng)連入互聯(lián)網(wǎng)發(fā)送或者獲取所需的信息。比如用戶終端在咖啡廳等公共區(qū)域通過公用無線局域網(wǎng)連入互聯(lián)網(wǎng)，所述無線局域網(wǎng)比如wifi(wifi是一種可以將個(gè)人電腦、手持設(shè)備(如PDA、手機(jī))等終端以無線方式互相連接的技術(shù))，而用戶的終端如果通過無線局域網(wǎng)進(jìn)行一些網(wǎng)銀交易，或者進(jìn)行一些重要機(jī)密事件處理等，但如wifi等無線局域網(wǎng)本身并不一定安全。?

如果用戶的終端在公共的無線局域網(wǎng)中進(jìn)行連接動(dòng)作，其MAC(Medium/MediaAccess?Control，介質(zhì)訪問控制)信息基本上是對(duì)該局域網(wǎng)中其他的節(jié)點(diǎn)是公開的，從而用戶終端的隱私信息很容易被其他終端獲取，如果存在惡意的終端，比如進(jìn)行ARP(Address?Resolution?Protocol，地址解析協(xié)議)欺騙的終端，那么這對(duì)于該用戶終端來說，其信息泄露的風(fēng)險(xiǎn)顯然是很大的。?

發(fā)明內(nèi)容

鑒于上述問題，提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的一種基于用戶網(wǎng)絡(luò)訪問場(chǎng)景的防護(hù)裝置和相應(yīng)的一種基于用戶網(wǎng)絡(luò)訪問場(chǎng)景的防護(hù)方法。?

依據(jù)本發(fā)明的一個(gè)方面，提供了一種基于用戶網(wǎng)絡(luò)訪問場(chǎng)景的防護(hù)方法，包括：?

當(dāng)用戶終端接入局域網(wǎng)后，提取所述局域網(wǎng)對(duì)應(yīng)的設(shè)備標(biāo)識(shí)；?

將所述設(shè)備標(biāo)識(shí)與預(yù)置的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較，判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景；?

當(dāng)判斷所述局域網(wǎng)所處的場(chǎng)景為不安全的網(wǎng)絡(luò)場(chǎng)景后，則提示所述用戶終端所處網(wǎng)絡(luò)環(huán)境，并監(jiān)控所述用戶終端訪問的網(wǎng)站的安全等級(jí)；?

當(dāng)所述用戶終端訪問的網(wǎng)站的安全等級(jí)達(dá)到閾值，則攔截訪問，并提示用戶終端是否進(jìn)入安全訪問模式。?

可選的，所述設(shè)備標(biāo)識(shí)包括所述局域網(wǎng)對(duì)應(yīng)路由器的MAC地址和/或服務(wù)集標(biāo)識(shí)；?

進(jìn)一步的，將所述設(shè)備標(biāo)識(shí)與預(yù)置的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較，判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景包括：?

獲取所述局域網(wǎng)對(duì)應(yīng)路由器的MAC地址，將其與云端服務(wù)器中的預(yù)置的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較，判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景；所述設(shè)備標(biāo)識(shí)庫(kù)包括MAC地址及對(duì)應(yīng)的場(chǎng)景，所述場(chǎng)景包括公共網(wǎng)絡(luò)場(chǎng)景；?

和/或，獲取所述局域網(wǎng)對(duì)應(yīng)路由器的服務(wù)集標(biāo)識(shí)地址，將其與云端服務(wù)器中的預(yù)置的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較，判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景；所述設(shè)備標(biāo)識(shí)庫(kù)包括服務(wù)集標(biāo)識(shí)及對(duì)應(yīng)的場(chǎng)景，所述場(chǎng)景包括公共網(wǎng)絡(luò)場(chǎng)景。?

可選的，所述安全訪問模式包括：?

將所述用戶終端在所述局域網(wǎng)內(nèi)與外界的通信修改為只與所述局域網(wǎng)內(nèi)的路由器進(jìn)行通信。?

可選的，還包括：?

根據(jù)所述設(shè)備標(biāo)識(shí)，判斷所在局域網(wǎng)是否為欺詐局域網(wǎng)；?

進(jìn)一步的所述安全訪問模式包括：阻斷接入所述局域網(wǎng)。?

可選的，所述將所述用戶終端在所述局域網(wǎng)內(nèi)與外界的通信修改為只與所述局域網(wǎng)內(nèi)的路由器進(jìn)行通信包括：?

將所述用戶終端的MAC地址隱藏為只允許所述局域網(wǎng)內(nèi)的路由器獲取。?

可選的，所述將所述用戶終端的MAC地址隱藏為只允許所述局域網(wǎng)內(nèi)的路由器獲取包括：?

針對(duì)所述用戶終端接收到的非所述局域網(wǎng)的路由器的ARP請(qǐng)求包，阻止所述用戶終端針對(duì)所述ARP請(qǐng)求包回應(yīng)ARP應(yīng)答包；?

阻止用戶終端在所述局域網(wǎng)中，以非所述局域網(wǎng)的路由器為目的地址而發(fā)送的ARP廣播包；?

放過用戶終端發(fā)送給路由器的ARP應(yīng)答包，并將用戶終端發(fā)送給所述局域網(wǎng)路由器的ARP請(qǐng)求包修改為ARP應(yīng)答包后發(fā)送給所述路由器。?

可選的，所述將所述用戶終端的MAC地址隱藏為只允許所述局域網(wǎng)內(nèi)的路由器獲取包括：?

攔截用戶終端出棧的ARP包；?

判斷所述ARP包的目標(biāo)IP是否為所述局域網(wǎng)的路由器IP；?

如果所述ARP包的目標(biāo)IP不是路由器IP，則丟棄所述ARP包；?

如果所述ARP包的目標(biāo)IP是路由器IP，則判斷所述ARP包的目標(biāo)MAC是否為廣播地址；?

如果所述ARP包的目標(biāo)MAC地址不是廣播地址，則發(fā)送所述ARP包給所述路由器；?

如果所述ARP包的目標(biāo)MAC地址是廣播地址，則將所述ARP包修改為定向發(fā)送給路由器的定向ARP應(yīng)答包，并將所述定向ARP應(yīng)答包發(fā)送給所述路由器。?

可選的，還包括：在操作系統(tǒng)的Ring0層預(yù)置的出棧ARP包處理驅(qū)動(dòng)；所述出棧ARP包處理驅(qū)動(dòng)適于攔截用戶終端出棧的ARP包；?