CN108881127A - 一种控制远程访问权限的方法及系统 - Google Patents

Abstract

本发明公开了一种控制远程访问权限的方法，所述方法包括：接收远程维护账号的访问请求，确定所述远程维护账号的源互联网协议IP地址在预设的源IP地址范围时，开通所述远程维护账号的访问权限；设置所述远程维护账号的访问时间；确定所述远程维护账号的访问时间超过所述设置的访问时间时，禁止所述远程维护账号建立新的访问连接。本发明还同时公开了一种控制远程访问权限的系统。

Description

一种控制远程访问权限的方法及系统

技术领域

本发明涉及远程控制技术，具体涉及一种控制远程访问权限的方法及系统。

背景技术

随着家庭网关的大规模应用，对家庭网关的远程维护也越来越频繁。这里，所述家庭网关是指：在家庭内的网络化信息设备与智能宽带接入网之间的智能化网关。所述家庭网关可以从不同的外部网络接收通讯信号，并通过家庭网络将所述通讯信号发送给一个或多个智能设备。

图1为家庭网关的应用场景示意图；如图1所示，包括：家庭网关11、局端设备12、宽带远程接入服务器(BRAS，Broadband Remote Access Server)13、IP多媒体子系统(IMS，IPMultimedia Subsystem)14、笔记本电脑(LAPTOP)15、个人计算机(PC，Personal Computer)16、机顶盒(STB，Set Top Box)17、电话(PHONE)18和自动配置服务器(ACS，Auto-Configuration Server)19。

其中，所述家庭网关11通过局端设备12上连接BRAS 13和所述IMS 14，下连接所述LAPTOP 15、所述PC 16、所述STB 17和所述PHONE 18；具体地，所述BRAS 13能为所述家庭网关11提供宽带接入服务、实现多种业务的汇聚与转发，能满足不同用户对传输容量和带宽利用率的要求；所述IMS 14能对网络资源、用户资源及应用资源进行管理，提高网络的智能，使用户可以跨越各种网络使用所述LAPTOP 15、所述PC 16、所述STB 17和/或所述PHONE18等终端。所述家庭网关11接收到用户发送的信号后，对所述信号进行路由计算，根据路由计算结果，将所述信号对应的信息流分配给所述LAPTOP 15、所述PC 16、所述STB 17和/或所述PHONE 18等终端。在家庭网络环境下，所述LAPTOP 15、所述PC 16、所述STB 17和/或所述PHONE 18相关的配置、诊断、升级等工作均由所述ACS 19来完成。当家庭网关11中的设备出现故障时，通常需要家庭网关11开放广域网(WAN，Wide Area Network)侧的端口，并允许WAN侧的互联网协议(IP，Internet Protocol)地址通过所述端口登录到所述家庭网关的万维网(WEB，World Wide Web)后，对所述家庭网关中的各设备进行配置检查、状态查看和故障诊断等维护操作，以便对所述家庭网关进行故障定位。而开放WAN侧的端口允许WAN侧的IP地址登录家庭网关，很容易给家庭网关带来被网络攻击的风险。例如，所述ACS 19通过TR069协议打开WAN侧的端口，对所述家庭网关11中的各设备进行故障检测。这里，所述TR069协议是由数字用户线路(DSL，Digital Subscriber Line)论坛所开发的技术规范之一，其全称为“CPE广域网管理协议”。它提供了对下一代网络中家庭网络设备进行管理配置的通用框架和协议，用于从网络侧对家庭网络中的网关、路由器、机顶盒等设备进行远程集中管理。

目前，常用的对WAN侧的登录账号进行控制的方法主要包括以下几种方法：

1)直接开放WAN侧的端口；但由于方法1)对用户的登录权限没有任何限制，因此，使用方法1)对WAN侧的登录账号进行控制，存在被攻击的风险；

2)默认关闭WAN侧的端口，并且在需要通过WAN侧的端口远程访问家庭网关时，通过用户终端设备(CPE，Customer Premise Equipment)广域网管理协议中的TR-069或光网络单元管理控制接口(OMCI，ONU Management and Control Interface)打开所述端口，并在账号登录完成后，再通过所述TR-069和OMCI远程关闭所述端口；但由于方法2)中需要管理员在登录前和登录后均对WAN侧的端口进行操作，因此，使用方法2)对WAN侧的登录账号进行控制，不仅操作复杂，而且存在忘记关闭所述端口时，也存在被攻击的风险；

3)直接关闭WAN侧的端口。此方法则限制了家庭网关的远程维护、配置和诊断等操作。

发明内容

为解决现有存在的技术问题，本发明实施例期望提供一种控制远程访问权限的方法及系统，能够降低家庭网关被攻击的风险。

本发明实施例的技术方案是这样实现的：

根据本发明实施例的一方面，提供一种控制远程访问权限的方法，所述方法包括：

接收远程维护账号的访问请求，确定所述远程维护账号的源IP地址在设定的源IP地址范围时，开通所述远程维护账号的访问权限；

设置所述远程维护账号的访问时间；

确定所述远程维护账号的访问时间超过所述设置的访问时间时，禁止所述远程维护账号建立新的访问连接。

上述方案中，在开通所述远程维护账号的访问权限之前，所述方法还包括：

确定所述远程维护账号的登录信息与预设的登录信息是否匹配；

确定所述远程维护账号的登录信息与预设的登录信息匹配时，开通所述远程维护账号的访问权限。

上述方案中，在设置所述远程维护账号的访问时间之后，所述方法还包括：

对所述源IP地址访问的家庭设备WAN侧的访问规则进行初始化设置；

根据设置的初始化访问规则，在所述设置的访问时间内接收所述远程维护账号从任意IP地址发送的访问连接。

上述方案中，在确定所述远程维护账号的访问时间超过所述设定的访问时间之后，所述方法还包括：

获取所述远程维护账号当前的连接跟踪记录，对所述跟踪记录进行保存。

上述方案中，在确定所述远程维护账号的访问时间超过所述设定的访问时间之后，所述方法还包括：

设置所述初始化访问规则为当前的记录访问规则；

根据所述记录访问规则，只接收所述远程维护账号发送的当前处于连接状态的访问连接。

根据本发明实施例的另一方面，提供一种控制远程访问权限的系统，所述系统包括：权限管理单元、设置单元和控制单元；

其中，所述权限管理单元，用于接收远程维护账号的访问请求，确定所述远程维护账号的源IP地址在设定的源IP地址范围时，开通所述远程维护账号的访问权限；

所述设置单元，用于设置所述远程维护账号的访问时间；

所述控制单元，用于确定所述远程维护账号的访问时间超过所述设置的访问时间时，禁止所述远程维护账号建立新的访问连接。

上述方案中，所述权限管理单元，还用于确定所述远程维护账号的登录信息与预设的登录信息是否匹配；确定所述远程维护账号的登录信息与预设的登录信息匹配时，开通所述远程维护账号的访问权限。

上述方案中，所述设置单元，还用于对所述源IP地址访问的家庭设备WAN侧的访问规则进行初始化设置；

所述权限管理单元，还用于根据所述设置单元设置的初始化访问规则，在所述设置的访问时间内接收所述远程维护账号从任意IP地址发送的访问连接。

上述方案中，所述控制单元，还用于确定所述远程维护账号的访问时间超过所述设定的访问时间时，获取所述远程维护账号当前的连接跟踪记录，并对所述跟踪记录进行保存。删除所述访问规则。

上述方案中，所述设置单元，还用于确定所述远程维护账号的访问时间超过所述设定的访问时间时，设置所述初始化访问规则为当前的记录访问规则；

所述控制单元，还用于根据所述设置单元设置的所述记录访问规则，只接收所述远程维护账号发送的当前处于连接状态的访问连接。

本发明实施例提供一种控制远程访问权限的方法及系统，接收远程维护账号的访问请求，确定所述远程维护账号的源IP地址在设定的源IP地址范围时，开通所述远程维护账号的访问权限；设置所述远程维护账号的访问时间；确定所述远程维护账号的访问时间超过所述设置的访问时间时，禁止所述远程维护账号建立新的访问连接。如此，采用先过对WAN侧登录的账号的源IP地址进行限制，然后再对开通后的远程维护账号的访问时间进行限制，不仅能够降低家庭网关被非法账号攻击的风险，同时还方便维护人员对家庭网关的维护操作。

附图说明

图1为家庭网关的应用场景示意图；

图2为本发明实施例一种控制远程访问权限的方法流程示意图；

图3为本发明实施例中缺省管理员账号的控制流程示意图；

图4为本发明实施例中防火墙对远程访问规定控制流程示意图；

图5为本发明实施例中远程维护账号的控制流程示意图；

图6为本发明实施例一种控制远程访问权限的系统结合组成示意图。

具体实施方式

下面结合附图对本发明的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。

图2为本发明实施例一种控制远程访问权限的方法流程示意图；如图2所示，该方法包括：

步骤201，接收远程维护账号的访问请求，确定所述远程维护账号的源IP地址在设定的源IP地址范围时，开通所述远程维护账号的访问权限；

在本发明实施例中，所述方法主要应用于控制远程访问权限的系统中，具体可以由所述系统中的局端服务器执行。当用户通过远程维护账号访问家庭设备时，所述局端服务器接收所述远程维护账号的访问请求，并通过所述请求获取所述远程维护账号的源IP地址，将所述源IP地址在所述局端服务器设定的源IP地址范围中进行查询，确定所述源IP地址在所述设定的源IP地址范围时，开通所述远程维护账号的访问权限。例如，所述设定的源IP地址范围为：192.168.1.150-192.168.1.254，所述远程维护账号的源IP地址是：192.168.1.160，所述局端服务器通过在所述设定的源IP地址范围中查询，确定源IP地址：192.168.1.160在所述设定的源IP地址范围，则开通所述远程维护账号的访问权限，允许所述远程维护账号远程访问家庭网关中的各设备。这里，所述远程维护账号可以是缺省管理员账号。

在本发明实施例中，在开通所述远程维护账号的访问权限之前，所述方法还包括：

确定所述远程维护账号的登录信息与预设的登录信息是否匹配；

确定所述远程维护账号的登录信息与预设的登录信息匹配时，开通所述远程维护账号的访问权限。

这里，所述预设的登录信息可以是局方管理员设置的所述远程维护账号的TR069节点信息。例如，设置所述TR069节点包括：

Internet Gateway Device.User.1.Username//用户1用户名；

Internet Gateway Device.User.1.Password//用户1密码；

Internet Gateway Device.User Interface.Remote Access.Enable//0开通用户1的远程访问权限。

这里，设置所述远程维护账号的TR069节点中还包括设置指定的端口信息。所述指定的端口可以是数据传输协议(TCP，Transmission Control Protocol)端口，也可以是用户数据报协议(UDP，User Datagram Protocol)端口，在此并不限制为以上两种端口。

例如，用户使用用户名aa和密码aa123通过TCP端口以加密方式登录所述远程维护账号后，局端服务器将所述用户名aa和密码aa123以及所述TCP端口信息与所述远程维护账号的TR069节点中设置的用户名、密码和指定的端口信息进行匹配，确定所述用户名aa和密码aa123与预设的登录信息匹配，并且所述TCP端口是局端服务器指定的端口时，开通所述远程维护账号的访问权限。这里，所述用户名和密码还可以由用户通过TR069进行修改。

步骤202，设置所述远程维护账号的访问时间；

在本发明实施例中，在开通所述远程维护账号的访问权限后，需要对所述远程维护账号的访问时间进行设置。这里，设置的所述访问时间可以是10分钟、15分钟或30分钟。具体设置时间不限制，只要满足使所述远程维护账号的访问时长限制在一个时间范围内即可。

在本发明实施例中，在设置所述远程维护账号的访问时间之前，所述方法还包括：

对所述源IP地址访问的家庭设备WAN侧的访问规则进行初始化设置；

根据设置的初始化访问规则，在所述设置的访问时间内接收所述远程维护账号从任意IP地址发送的访问连接。

这里，具体可以由局端服务器中的防火墙对源IP地址访问的家庭设备WAN侧的访问规则进行初始化设置。在所述防火墙对所述源IP地址访问的家庭设备WAN侧的访问规则进行初始化设置后，所述远程维护账号则可以根据初始化访问规则在预设的访问时间内，通过登录密码从任意IP地址对所述家庭设备进行访问。目的是为了方便维护人员对家庭网关进行维护操作。

步骤203，确定所述远程维护账号的访问时间超过所述设置的访问时间时，禁止所述远程维护账号建立新的访问连接。

在本发明实施例中，当所述远程维护账号的访问权限开通后，所述局端服务器可以随时禁用所述远程维护账号。具体地，用户使用登录密码以加密的方式从局端服务器指定的端口成功登录所述远程维护账号后，所述局端服务器便对所述远程维护账号的访问时间开始计时，并在确定所述远程维护账号的访问时间超过所述设置的访问时间时，获取所述远程维护账号当前的连接跟踪记录信息，对所述连接跟踪记录信息进行保存后，设置所述初始化访问规则为当前的记录访问规则，根据所述记录访问规则只接收所述远程维护账号发送的当前处于连接状态的数据访问连接，禁止所述远程维护账号访问新的数据。也就是说，只允许所述远程维护账号当前处于连接状态的数据可以继续访问，而不允许所述远程维护账号建立新的访问连接访问新的数据。目的是为了方便当前维护人员操作和保证账号的安全。例如，所述设置时间是10分钟，所述局端服务器检测到所述远程维护账号的访问时间超过10分钟时，则设置所述源IP地址的访问规则为当前记录访问规则，只允许所述远程维护账号访问当前连接，禁止建立新的访问连接。这里，所述登录密码可以是默认密码，而所述默认密码则可以是由维护管理员设定，当然，当用户想到修改所述默认密码时，则可以通过TR069进行修改。

在本发明实施例中，局端服务器设置的源IP地址范围在WEB页面上需要隐藏，目的是为了保护远程维护账号的安全，另外，对于超级用户还可以增加需要的源IP地址。这里，所述超级用户是指用于进行系统管理的特殊用户，相比其他普通用户来说，它拥有最高权限，能够进行全系统的配置、维护等工作，做很多普通用户没有权限做的事情；而普通用户的权限一般是超级用户的子集，只具备其部分权限。

在本发明实施例中，为了方便描述，将访问权限开通之前的账号称为缺省管理员账号，将开通访问权限之后的账号称为远程维护账号，下面对缺省管理员账号和远程维护账号的控制流程进行详细描述。

图3为本发明实施例中缺省管理员账号的控制流程示意图；如图3所示，包括：

步骤301，用户使用缺省管理员账号通过安全套接字层上的超文本传输协议(HTTPS，Hyper Text Transfer Protocol over Secure Socket Layer)远程访问光网络单元(ONU，Optical Network Unit)；

步骤302，判断所述缺省管理员账号的源IP地址是否在设定的源IP地址范围；确定所述缺省管理员账号的源IP地址不在设定的源IP地址范围时，则执行步骤303；确定所述缺省管理员账号的源IP地址在设定的源IP地址范围时，则执行步骤304；

步骤303，禁止访问；

步骤304，确定所述缺省管理员账号的用户名/密码/端口号是否与设定的TR069节点匹配；确定所述缺省管理员账号的用户名/密码/端口号与设定的TR069节点匹配失败时，执行步骤305；确定所述缺省管理员账号的用户名/密码/端口号与设定的TR069节点匹配成功时，执行步骤306；

步骤305，所述缺省管理员账号不正确；

步骤306，所述缺省管理员账号正常登录WEB。

图4为本发明实施例中防火墙对远程访问规定控制流程示意图；如图4所示，包括：

步骤401，防火墙对家庭设备WAN侧的源IP地址的访问规则进行初始化设置；

步骤402，确定远程维护账号的开通时间是否大于预设访问时间15分钟；远程维护账号的访问时间小于预设访问时间15分钟时，执行步骤403；远程维护账号的访问时间大于预设访问时间15分钟时，执行步骤404；

步骤403，防火墙删除家庭设备WAN测的源IP地址的访问规则；

步骤404，获取远程维护账号当前的连接跟踪记录信息；

步骤405，在NF_IP_PRE_ROUTING Hook点仅仅设置当前的记录访问规则。

本发明实施例，通过在远程维护账号的访问时间大于预设访问时间后，删除家庭设备WAN侧的源IP侧的访问规则，并设置为所述远程维护账号当前的记录访问规则，使得所述远程维护账号只能访问当前处于连接状态的数据，而禁止访问新的数据，如此，能够降低家庭网关被非法账号攻击的风险。

图5为本发明实施例中远程维护账号的控制流程示意图；如图5所示，包括：

步骤501，用户使用远程维护账号通过HTTPS远程访问ONU；

步骤502，判断所述远程维护账号的用户名/密码/端口号与设定的TR069节点是否匹配；确定所述远程维护账号的用户名/密码/端口号与设定的TR069节点匹配失败时，执行步骤503；确定所述远程维护账号的用户名/密码/端口号与设定的TR069节点匹配成功时，执行步骤504；

步骤503，所述远程维护账号不正确；

步骤504，判断所述远程维护账号的访问时间是否大于预设时间15分钟；所述远程维护账号的访问时间大于预设时间15分钟时，执行步骤505；所述远程维护账号的访问时间小于预设时间15分钟时，执行步骤506；

步骤505，密码恢复为空，禁止所述远程维护账号建立新的访问连接，并执行步骤506；

步骤506，所述远程维护账号正常登录WEB。

图6为本发明实施例一种控制远程访问权限的系统结合组成示意图；如图6所示，所述系统包括：权限管理单元601、设置单元602和控制单元603；

其中，所述权限管理单元601，用于接收远程维护账号的访问请求，确定所述远程维护账号的源IP地址在设定的源IP地址范围时，开通所述远程维护账号的访问权限；

所述设置单元602，用于设置所述远程维护账号的访问时间；

所述控制单元603，用于确定所述远程维护账号的访问时间超过所述设置的访问时间时，禁止所述远程维护账号建立新的访问连接。

在本发明实施例中，具体可以由所述系统中的局端服务器执行。当用户通过远程维护账号访问家庭设备时，所述权限管理单元601接收所述远程维护账号的访问请求，并通过所述说请求获取所述远程维护账号的源IP地址，将所述源IP地址在所述局端服务器设定的源IP地址范围中进行查询，确定所述源IP地址在所述设定的源IP地址范围时，开通所述远程维护账号的访问权限。例如，所述设定的源IP地址范围为：192.168.1.150-192.168.1.254，所述远程维护账号的源IP地址是：192.168.1.160，所述权限管理单元601通过在所述设定的源IP地址范围中查询，确定源IP地址：192.168.1.160在所述设定的源IP地址范围，则开通所述远程维护账号的访问权限，允许所述远程维护账号远程访问家庭网关中的各设备。这里，所述家庭网关是在家庭网络中作为所有外部接入网连接到家庭内部，同时将家庭内部网络连接到外部的物理端口。所述远程维护账号可以是缺省管理员账号。

在本发明实施例中，所述权限管理单元601，还用于确定所述远程维护账号的登录信息与预设的登录信息是否匹配；确定所述远程维护账号的登录信息与预设的登录信息匹配时，开通所述远程维护账号的访问权限。

这里，所述登录信息包括：设置所述远程维护账号的TR069节点。例如，设置所述TR069节点包括：

Internet Gateway Device.User.1.Username//用户1用户名；

Internet Gateway Device.User.1.Password//用户1密码；

Internet Gateway Device.User Interface.Remote Access.Enable//0开通用户1的远程访问权限。

这里，设置所述远程维护账号的TR069节点中还包括设置指定的端口信息。所述指定的端口可以是TCP端口，也可以是UDP端口，在此并不限制为以上两种端口。

例如，用户使用用户名aa和密码aa123通过TCP端口以加密方式登录所述远程维护账号后，所述权限管理单元601将所述用户名aa和密码aa123以及所述TCP端口信息与所述远程维护账号的TR069节点中设置的用户名、密码和指定的端口信息进行匹配，确定所述用户名aa和密码aa123与预设的登录信息匹配，并且所述TCP端口是局端服务器指定的端口时，开通所述远程维护账号的访问权限。

在本发明实施例中，在所述权限管理单元601开通所述远程维护账号的访问权限后，触发所述设置单元602对所述远程维护账号的访问时间进行设置。这里，所述设置单元602设置的访问时间可以是10分钟、15分钟或30分钟。具体设置时间不限制，只要满足使所述远程维护账号的访问时长限制在一个时间范围内即可。

在本发明实施例中，所述设置单元602，还用于对所述源IP地址访问的家庭设备WAN侧的访问规则进行初始化设置；

所述权限管理单元601，还用于根据所述设置单元602设置的初始化访问规则，在所述设置的访问时间内接收所述远程维护账号从任意IP地址发送的访问连接。

这里，在所述设置单元602对所述源IP地址访问的家庭设备WAN侧的访问规则进行初始化设置后，所述远程维护账号则可以根据初始化访问规则在预设的访问时间内，通过登录密码从任意IP地址对所述家庭设备进行访问。目的是为了方便维护人员对家庭网关进行维护操作。

在本发明实施例中，当所述权限管理单元601对所述远程维护账号的访问权限开通后，所述局端服务器可以随时禁用所述远程维护账号。具体地，用户使用登录密码以加密的方式从局端服务器指定的端口成功登录所述远程维护账号后，所述局端服务器便对所述远程维护账号的访问时间开始计时，并在确定所述远程维护账号的访问时间超过所述设置的访问时间时，获取所述远程维护账号当前的连接跟踪记录信息，并对所述连接跟踪记录信息进行保存，然后，触发所述设置单元602将所述初始化访问规则删除，并设置所述家庭设备WAN侧的访问规则为当前的记录访问规则；所述控制单元603则根据所述设置单元602设置的所述记录访问规则，只接收所述远程维护账号发送的当前处于连接状态的数据访问连接，禁止所述远程维护账号访问新的数据。也就是说，只允许所述远程维护账号当前处于连接状态的数据可以继续访问，而不允许所述远程维护账号建立新的访问连接访问新的数据。目的是为了方便当前维护人员操作和保证账号的安全。例如，所述设置时间是10分钟，所述控制单元603检测到所述远程维护账号的访问时间超过10分钟时，则触发所述设置单元602设置所述家庭设备WAN侧的源IP地址的访问规则为当前的记录访问规则，只允许所述远程维护账号访问当前处于连接状态的数据，禁止建立新的访问连接访问新的数据。这里，所述登录密码可以是默认密码，而所述默认密码则可以是由维护管理员设定，当然，当用户想到修改所述默认密码时，则可以通过TR069进行修改。

在本发明实施例中，所述设置单元602设置的源IP地址范围在WEB页面上需要隐藏，目的是为了保护远程维护账号的安全，另外，对于超级用户还可以增加需要的源IP地址。这里，所述超级用户是指用于进行系统管理的特殊用户，相比其他普通用户来说，它拥有最高权限，能够进行全系统的配置、维护等工作，做很多普通用户没有权限做的事情；而普通用户的权限一般是超级用户的子集，只具备其部分权限。

在本发明实施例中，可以将访问权限开通之前的账号称为缺省管理员账号，将开通访问权限之后的账号称为远程维护账号，具体对缺省管理员账号和远程维护账号的控制流程可以参照方法实施例中对图3至图5的描述。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

Claims (10)

1.一种控制远程访问权限的方法，其特征在于，所述方法包括：

接收远程维护账号的访问请求，确定所述远程维护账号的源互联网协议IP地址在设定的源IP地址范围时，开通所述远程维护账号的访问权限；

设置所述远程维护账号的访问时间；

确定所述远程维护账号的访问时间超过所述设置的访问时间时，禁止所述远程维护账号建立新的访问连接。

2.根据权利要求1所述的方法，其特征在于，在开通所述远程维护账号的访问权限之前，所述方法还包括：

确定所述远程维护账号的登录信息与预设的登录信息是否匹配；

确定所述远程维护账号的登录信息与预设的登录信息匹配时，开通所述远程维护账号的访问权限。

3.根据权利要求1所述的方法，其特征在于，在设置所述远程维护账号的访问时间之后，所述方法还包括：

对所述源IP地址访问的家庭设备广域网WAN侧的访问规则进行初始化设置；

根据设置的初始化访问规则，在所述设置的访问时间内接收所述远程维护账号从任意IP地址发送的访问连接。

4.根据权利要求1所述的方法，其特征在于，在确定所述远程维护账号的访问时间超过所述设定的访问时间之后，所述方法还包括：

获取所述远程维护账号当前的连接跟踪记录，对所述跟踪记录进行保存。

5.根据权利要求3所述的方法，其特征在于，在确定所述远程维护账号的访问时间超过所述设定的访问时间之后，所述方法还包括：

设置所述初始化访问规则为当前的记录访问规则；

根据所述记录访问规则，只接收所述远程维护账号发送的当前处于连接状态的访问连接。

6.一种控制远程访问权限的系统，其特征在于，所述系统包括：权限管理单元、设置单元和控制单元；

其中，所述权限管理单元，用于接收远程维护账号的访问请求，确定所述远程维护账号的源IP地址在设定的源IP地址范围时，开通所述远程维护账号的访问权限；

所述设置单元，用于设置所述远程维护账号的访问时间；

所述控制单元，用于确定所述远程维护账号的访问时间超过所述设置的访问时间时，禁止所述远程维护账号建立新的访问连接。

7.根据权利要求6所述的系统，其特征在于，所述权限管理单元，还用于确定所述远程维护账号的登录信息与预设的登录信息是否匹配；确定所述远程维护账号的登录信息与预设的登录信息匹配时，开通所述远程维护账号的访问权限。

8.根据权利要求6所述的系统，其特征在于，所述设置单元，还用于对所述源IP地址访问的家庭设备WAN侧的访问规则进行初始化设置；

所述权限管理单元，还用于根据所述设置单元设置的初始化访问规则，在所述设置的访问时间内接收所述远程维护账号从任意IP地址发送的访问连接。

9.根据权利要求6所述的系统，其特征在于，所述控制单元，还用于确定所述远程维护账号的访问时间超过所述设定的访问时间时，获取所述远程维护账号当前的连接跟踪记录，并对所述跟踪记录进行保存。删除所述访问规则。

10.根据权利要求8所述的系统，其特征在于，所述设置单元，还用于确定所述远程维护账号的访问时间超过所述设定的访问时间时，设置所述初始化访问规则为当前的记录访问规则；

所述控制单元，还用于根据所述设置单元设置的所述记录访问规则，只接收所述远程维护账号发送的当前处于连接状态的访问连接。