[发明专利]一种基于FTP的访问控制方法和装置

说明书

本申请公开了一种基于FTP的访问控制方法和装置，该方法包括：判断流经的TCP报文五元组中FTP服务器侧端口号是否命中FTP控制通道端口表，命中则提取并保存其载荷中的FTP数据通道信息；未命中则检测TCP报文是否为FTP控制报文，若是则将其中FTP服务器侧端口号添加进FTP控制通道端口表并提取保存FTP数据通道信息；基于FTP数据通道信息，对FTP数据报文进行访问控制。本方案创建并动态更新FTP控制通道端口表，将命中该表的TCP报文确定为FTP控制报文，在FTP服务器使用自定义端口收发FTP控制报文时，也可有效识别出FTP控制报文并提取FTP数据通道信息，进行访问控制以避免业务异常等问题发生。

技术领域

本申请涉及通信技术领域，特别是一种基于FTP的访问控制方法和装置。

背景技术

在基于FTP(File Transfer Protocol，文件传输协议)的交互过程中，将构建两条网络通道：FTP控制通道和FTP数据通道，其中，FTP控制通道用于传输控制命令，FTP数据通道则用于传输数据文件。FTP客户端和FTP服务器将利用所述FTP控制通道进行协商，从而确定所述FTP数据通道信息，并利用所述FTP数据通道完成后续的文件传输。

由于FTP服务器一般使用固定端口收发FTP控制报文，即，FTP控制通道于FTP服务器一侧端口固定，目前相关技术中，执行访问控制的网关等设备，通常会对所述固定端口号的报文进行监测，以于所述报文的载荷中获取FTP客户端和FTP服务器所协商出的FTP数据通道信息。

然而，在一些特定场景下，为了满足安全需求等，FTP服务器将使用自定义端口而非固定端口收发FTP控制报文，在此情况下，网关等设备将无法确定FTP控制通道，因而无从获知所述FTP控制通道下协商出的FTP数据通道信息，网关等设备将不能对后续FTP数据通道下传输的FTP数据报文进行访问控制，从而导致业务异常等问题发生。

发明内容

本申请提供一种基于FTP的访问控制方法和装置。

根据本申请实施例的第一方面，提供一种基于FTP的访问控制方法，所述方法包括：

判断流经的TCP报文五元组中FTP服务器侧的端口号是否命中FTP控制通道端口表；

若命中，则对所述TCP报文载荷中的FTP数据通道信息进行提取及保存；

若未命中，则基于预设的若干FTP命令字段或FTP响应字段，检测所述TCP报文是否为FTP控制报文；

若是，则将所述TCP报文五元组中FTP服务器侧的端口号添加进所述FTP控制通道端口表，并对所述TCP报文载荷中的FTP数据通道信息进行提取及保存；

基于已保存的所述FTP数据通道信息，对FTP数据报文进行访问控制。

根据本申请实施例的第二方面，提供一种基于FTP的访问控制装置，所述装置包括判断单元、提取单元、检测单元、添加单元和访问控制单元：

其中，判断单元，用于判断流经的TCP报文五元组中FTP服务器侧的端口号是否命中FTP控制通道端口表；

提取单元，用于在所述TCP报文五元组中FTP服务器侧的端口号命中所述FTP控制通道端口表时，对所述TCP报文载荷中的FTP数据通道信息进行提取及保存；还用于在所述TCP报文五元组中FTP服务器侧的端口号未命中所述FTP控制通道端口表，且所述TCP报文被检测为FTP控制报文时，对所述TCP报文载荷中的FTP数据通道信息进行提取及保存；

检测单元，用于在所述TCP报文五元组中FTP服务器侧的端口号未命中所述FTP控制通道端口表时，基于预设的若干FTP命令字段或FTP响应字段，检测所述TCP报文是否为FTP控制报文；