[发明专利]一种基于用户网络访问场景的防护的方法和装置

说明书

技术领域

本发明涉及计算机安全领域，具体涉及一种基于用户网络访问场景的防护方法和装置。 

背景技术

随着互联网的发展，用户的终端也可以通过各种局域网连入互联网发送或者获取所需的信息。比如用户终端在咖啡厅等公共区域通过公用无线局域网连入互联网，所述无线局域网比如wifi(wifi是一种可以将个人电脑、手持设备(如PDA、手机)等终端以无线方式互相连接的技术)，而用户的终端如果通过无线局域网进行一些网银交易，或者进行一些重要机密事件处理等，但如wifi等无线局域网本身并不一定安全。 

如果用户的终端在公共的无线局域网中进行连接动作，其MAC(Medium/MediaAccess Control，介质访问控制)信息基本上是对该局域网中其他的节点是公开的，从而用户终端的隐私信息很容易被其他终端获取，如果存在恶意的终端，比如进行ARP(Address Resolution Protocol，地址解析协议)欺骗的终端，那么这对于该用户终端来说，其信息泄露的风险显然是很大的。 

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于用户网络访问场景的防护装置和相应的一种基于用户网络访问场景的防护方法。 

依据本发明的一个方面，提供了一种基于用户网络访问场景的防护方法，包括： 

当用户终端接入局域网后，提取所述局域网对应的设备标识； 

将所述设备标识与预置的设备标识库进行比较，判断当前局域网所处的场景； 

当判断所述局域网所处的场景为不安全的网络场景后，则提示所述用户终端所处网络环境，并监控所述用户终端访问的网站的安全等级； 

当所述用户终端访问的网站的安全等级达到阈值，则拦截访问，并提示用户终端是否进入安全访问模式。 

可选的，所述设备标识包括所述局域网对应路由器的MAC地址和/或服务集标识； 

进一步的，将所述设备标识与预置的设备标识库进行比较，判断当前局域网所处的场景包括： 

获取所述局域网对应路由器的MAC地址，将其与云端服务器中的预置的设备标识库进行比较，判断当前局域网所处的场景；所述设备标识库包括MAC地址及对应的场景，所述场景包括公共网络场景； 

和/或，获取所述局域网对应路由器的服务集标识地址，将其与云端服务器中的预置的设备标识库进行比较，判断当前局域网所处的场景；所述设备标识库包括服务集标识及对应的场景，所述场景包括公共网络场景。 

可选的，所述安全访问模式包括： 

将所述用户终端在所述局域网内与外界的通信修改为只与所述局域网内的路由器进行通信。 

可选的，还包括： 

根据所述设备标识，判断所在局域网是否为欺诈局域网； 

进一步的所述安全访问模式包括：阻断接入所述局域网。 

可选的，所述将所述用户终端在所述局域网内与外界的通信修改为只与所述局域网内的路由器进行通信包括： 

将所述用户终端的MAC地址隐藏为只允许所述局域网内的路由器获取。 

可选的，所述将所述用户终端的MAC地址隐藏为只允许所述局域网内的路由器获取包括： 

针对所述用户终端接收到的非所述局域网的路由器的ARP请求包，阻止所述用户终端针对所述ARP请求包回应ARP应答包； 

阻止用户终端在所述局域网中，以非所述局域网的路由器为目的地址而发送的ARP广播包； 

放过用户终端发送给路由器的ARP应答包，并将用户终端发送给所述局域网路由器的ARP请求包修改为ARP应答包后发送给所述路由器。 

可选的，所述将所述用户终端的MAC地址隐藏为只允许所述局域网内的路由器获取包括： 

拦截用户终端出栈的ARP包； 

判断所述ARP包的目标IP是否为所述局域网的路由器IP； 

如果所述ARP包的目标IP不是路由器IP，则丢弃所述ARP包； 

如果所述ARP包的目标IP是路由器IP，则判断所述ARP包的目标MAC是否为广播地址； 

如果所述ARP包的目标MAC地址不是广播地址，则发送所述ARP包给所述路由器； 

如果所述ARP包的目标MAC地址是广播地址，则将所述ARP包修改为定向发送给路由器的定向ARP应答包，并将所述定向ARP应答包发送给所述路由器。 

可选的，还包括：在操作系统的Ring0层预置的出栈ARP包处理驱动；所述出栈ARP包处理驱动适于拦截用户终端出栈的ARP包；