本发明专利技术涉及通信技术领域,尤其涉及一种终端接入网络的方法和系统。所述方法包括如下步骤:终端接入网络时,设置为未授权,清除已授权标志,将终端的终端状态设置为待授权;若终端的终端状态为待授权,将终端的特征码与特征码匹配策略组进行匹配,若匹配一致,则将终端的终端状态由待授权变更为已授权,并设置已授权标志;若匹配不一致,则将终端的终端状态由待授权变更为授权失败,并清除已授权标志。本发明专利技术的有益效果在于:本发明专利技术的终端接入网络的方法和系统,实现了灵活、可扩展的终端接入限制策略,便于网络管理员针对网络的情况对限制策略进行灵活管理与扩展,安全性高。
【技术实现步骤摘要】
一种终端接入网络的方法和系统
本专利技术涉及通信
,尤其涉及一种终端接入网络的方法和系统。
技术介绍
在网络安全管理中,很重要的一块工作就是防止非法终端入侵网络。一旦入侵成功,内网环境将被攻击,造成机密信息的泄露,影响正常的网络业务。为了限制非法终端的网络访问行为,主要通过限制策略实现,如只允许指定MAC地址或用户名与密码的终端访问网络。随着无线网络技术的发展,非法终端入侵内网变得更加容易,利用空口抓包等技术手段,可以探测到合法终端的MAC地址、用户名与密码等信息,通过伪造合法终端的MAC地址、用户名与密码等信息,就可以绕过限制策略,入侵内网。造成这样结果的一个重要原因是限制策略不够灵活、不便于扩展,因此容易被入侵者破解。
技术实现思路
本专利技术所要解决的技术问题是:提供一种灵活、安全及可扩展的终端接入网络的方法和系统。为了解决上述技术问题,本专利技术采用的技术方案为:提供一种终端接入网络的方法,包括如下步骤:终端接入网络时,管理系统将终端的终端状态设置为未授权,清除已授权标志,将终端的终端状态设置为待授权,所述终端的终端状态包括:未授权、待授权、已授权和授权失败;若终端的终端状态为待授权,管理系统通过网络管理协议获取待授权的终端的特征码,所述管理系统中设有特征码信息库和根据特征码信息库制定的特征码匹配策略;所述特征码信息库中存储有对应合法终端的特征码。将特征码与特征码匹配策略组进行匹配,若匹配一致,则将终端的终端状态由待授权变更为已授权,并设置已授权标志;若匹配不一致,则将终端的终端状态由待授权变更为授权失败,并清除已授权标志;当管理系统更新特征码信息库或特征码匹配策略组时,将终端的终端状态由授权失败或已授权变更为待授权。本专利技术的另一技术方案为提供一种终端接入网络的系统,包括:设置模块,用于在终端接入网络时,管理系统将终端的终端状态设置为未授权,清除已授权标志,将终端的终端状态设置为待授权,所述终端的终端状态包括:未授权、待授权、已授权和授权失败;获取模块,用于若终端的终端状态为待授权,通过网络管理协议获取待授权的终端的特征码,所述管理系统中设有特征码信息库和根据特征码信息库制定的特征码匹配策略;所述特征码信息库中存储有对应合法终端的特征码。判断模块,用于将特征码与特征码匹配策略组进行匹配,若匹配一致,则将终端的终端状态由待授权变更为已授权,并设置已授权标志;若匹配不一致,则将终端的终端状态由待授权变更为授权失败,并清除已授权标志;变更模块,用于当更新特征码信息库或特征码匹配策略组时,将终端的终端状态由授权失败或已授权变更为待授权。本专利技术的有益效果在于:本专利技术的终端接入网络的方法和系统,实现了灵活、可扩展的终端接入限制策略,便于网络管理员针对网络的情况对限制策略进行灵活管理与扩展,其具有如下优点:首先,本专利技术的方法和系统中设有可扩展的特征码信息库,新类型终端的私有属性可以方便地加入特征码信息库。其次,本专利技术的方法和系统中设有可灵活配置的特征码匹配策略组,可以设定任意特征码匹配策略的组合,随时控制策略组的生效状态,特征码匹配规则动态变化,安全性高。附图说明图1是本专利技术具体实施方式的终端接入网络的系统的结构框图;图2是本专利技术具体实施方式的实施例1的终端接入网络的系统相关的网络架构图;图3是本专利技术具体实施方式的实施例1的终端接入网络的方法的流程图;标号说明:1、设置模块;2、获取模块;3、判断模块;4、变更模块;101、网络;102、管理员;103、管理系统;1031、终端状态机;1032、特征码匹配策略组;1033、特征码信息库;104、终端群。具体实施方式为详细说明本专利技术的
技术实现思路
、所实现目的及效果,以下结合实施方式并配合附图予以说明。本专利技术最关键的构思在于:本专利技术的终端接入网络的方法和系统,实现了灵活、可扩展的终端接入限制策略,便于网络管理员针对网络的情况对限制策略进行灵活管理与扩展。本专利技术的一个实施例为提供一种终端接入网络的方法,包括如下步骤:终端接入网络时,管理系统将终端的终端状态设置为未授权,清除已授权标志,将终端的终端状态设置为待授权,所述终端的终端状态包括:未授权、待授权、已授权和授权失败;若终端的终端状态为待授权,管理系统通过网络管理协议获取待授权的终端的特征码,所述管理系统中设有特征码信息库和根据特征码信息库制定的特征码匹配策略;所述特征码信息库保存合法终端的特征码。将特征码与特征码匹配策略组进行匹配,若匹配一致,则将终端的终端状态由待授权变更为已授权,并设置已授权标志;若匹配不一致,则将终端的终端状态由待授权变更为授权失败,并清除已授权标志;当管理系统更新特征码信息库或特征码匹配策略组时,将终端的终端状态由授权失败或已授权变更为待授权。上述终端接入网络的方法的有益效果在于:所述特征码信息库保存合法终端的特征码,并且管理系统可以随时更新特征码信息库,新类型终端的私有属性可以方便地加入特征码信息库;设有可灵活配置的特征码匹配策略组,可以设定任意特征码匹配策略的组合,随时控制策略组的生效状态,特征码匹配规则可动态变化,安全性高。在本专利技术的一个具体实施例中,上述的终端接入网络的方法中,所述特征码匹配策略组的特征码匹配策略的生效状态和特征码信息库的特征码周期性的变更。所述的管理系统的特征码信息库,可以由不同类型终端的不同特征码信息组成,这些特征码信息包括:(1)公有属性,如MAC地址属性、用户名及密码属性、序列号属性等;(2)私有属性,如终端厂商设置的特定属性。在本专利技术的一个具体实施例中,上述的终端接入网络的方法中,管理系统可以创建一个或者多个策略组,每个策略组包含一个或者多个特征码;每个策略组可以设置不同的匹配规则及生效状态。所述特征码匹配策略的匹配规则包括完全匹配或部分匹配,用于配置特征码匹配的精确度,(1)完全匹配,终端的特征码必须完全匹配所有生效策略组的所有特征码;(2)部分匹配,终端的特征码只需要匹配部分生效策略组的部分特征码。管理系统可以随时更新特征码信息库还包括:管理系统可以随时添加或者删除特征码信息库的特征码内容,当特征码被删除时,所有特征码匹配策略组把删除的特征码从策略组内移除。管理系统可以设定定时器,周期性地变更策略组的生效状态,使得特征码匹配规则动态变化;更进一步地,当特征码匹配策略组发生动态变化后,对终端的特征码进行重新匹配,判定终端的合法性。终端只要设置了已授权标志,终端的业务流量就可正常访问。若为非法终端,管理系统对非法终端的业务流量进行受控管理的方式包括:(1)限制非法终端的所有业务流量;(2)限制非法终端的部分业务流量。管理系统获取终端特征码的通信协议方法包括:SNMP、OAM等网络管理协议。请参阅图1,一种终端接入网络的系统,包括:设置模块1,用于在终端接入网络时,管理系统将终端的终端状态设置为未授权,清除已授权标志,将终端的终端状态设置为待授权,所述终端的终端状态包括:未授权、待授权、已授权和授权失败;获取模块2,用于若终端的终端状态为待授权,通过网络管理协议获取待授权的终端的特征码,所述管理系统中设有特征码信息库和根据特征码信息库制定的特征码匹配策略;所述特征码信息库保存合法终端的特征码。判断模块3,用于将特征码与特征码匹配策略组进行匹配,若匹配一致本文档来自技高网...
【技术保护点】
一种终端接入网络的方法,其特征在于,包括如下步骤:终端接入网络时,管理系统将终端的终端状态设置为未授权,清除已授权标志,将终端的终端状态设置为待授权,所述终端的终端状态包括:未授权、待授权、已授权和授权失败;若终端的终端状态为待授权,管理系统通过网络管理协议获取待授权的终端的特征码,所述管理系统中设有特征码信息库和根据特征码信息库制定的特征码匹配策略,所述特征码信息库保存合法终端的特征码;将特征码与特征码匹配策略组进行匹配,若匹配一致,则将终端的终端状态由待授权变更为已授权,并设置已授权标志;若匹配不一致,则将终端的终端状态由待授权变更为授权失败,并清除已授权标志;当管理系统更新特征码信息库或特征码匹配策略组时,将终端的终端状态由授权失败或已授权变更为待授权。
【技术特征摘要】
1.一种终端接入网络的方法,其特征在于,包括如下步骤:终端接入网络时,管理系统将终端的终端状态设置为未授权,清除已授权标志,将终端的终端状态设置为待授权,所述终端的终端状态包括:未授权、待授权、已授权和授权失败;若终端的终端状态为待授权,管理系统通过网络管理协议获取待授权的终端的特征码,所述管理系统中设有特征码信息库和根据特征码信息库制定的特征码匹配策略,所述特征码信息库保存合法终端的特征码;将特征码与特征码匹配策略组进行匹配,若匹配一致,则将终端的终端状态由待授权变更为已授权,并设置已授权标志;若匹配不一致,则将终端的终端状态由待授权变更为授权失败,并清除已授权标志;当管理系统更新特征码信息库或特征码匹配策略组时,将终端的终端状态由授权失败或已授权变更为待授权。2.根据权利要求1所述的终端接入网络的方法,其特征在于,所述特征码匹配策略组的特征码匹配策略的生效状态和特征码信息库的特征码周期性的变更。3.根据权利要求1所述的终端接入网络的方法,其特征在于,所述终端的特征码包括:MAC地址属性、用户名、密码属性、序列号属性和终端厂商设置的属性。4.根据权利要求1所述的终端接入网络的方法,其特征在于,所述特征码匹配策略组包括多个特征码匹配策略,所述特征码匹配策略对应多个特征码,每个特征码匹配策略设置不同的匹配规则和生效状态。5.根据权利要求1所述的终端接入网络的方法,其特征在于,所述特征码匹配策略的匹配规则包括完全匹配或部分匹配;所述完全匹配为终端的特征码必须完全匹配所有生效特征码匹配策略的所有特征码;所述部分匹...
【专利技术属性】
技术研发人员:范新景,郑敏忠,张超,
申请(专利权)人:金钱猫科技股份有限公司,
类型:发明
国别省市:福建,35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。