一种安全策略的管理方法和设备技术

本发明专利技术公开了一种安全策略的管理方法和设备，该方法包括：AP接收来自用户设备的LLDP报文，所述LLDP报文中携带用户设备的设备信息；AP将用户设备的设备信息发送给管理服务器，由管理服务器利用用户设备的设备信息确定用户设备是否进行用户角色认证；在用户设备需要进行用户角色认证的通知时，所述AP将用户角色认证信息发送给管理服务器，由所述管理服务器利用所述用户设备的设备信息和用户角色认证信息确定所述用户设备的安全策略；所述AP在收到来自所述管理服务器的所述用户设备的安全策略之后，利用所述用户设备的安全策略对所述用户设备进行安全管理。本发明专利技术实施例中，能够使用户设备尽快获取合法资源，并提高用户体验。

【技术实现步骤摘要】
一种安全策略的管理方法和设备
本专利技术涉及通信
，尤其涉及一种安全策略的管理方法和设备。
技术介绍
为了在满足员工对于新科技和个性化追求的同时，提高员工的工作效率，降低企业的成本和投入，目前许多企业考虑允许员工带着自己的用户设备使用企业内部应用。基于此，BYOD（BringYourOwnDevice）应运而生。BYOD是指携带自己的用户设备办公，这些用户设备包括个人电脑、手机、平板等。但是，当员工使用自己的用户设备办公时，会带来很多安全问题，如员工的用户设备上的恶意软件被传入公司网络将带来损失等。因此，BYOD的前提是需要有足够安全保障，即需要根据不同类型的用户设备执行不同的安全策略。在现有技术中，为了能够根据不同类型的用户设备执行不同的安全策略，以实现BYOD方案，则相应的处理流程至少包括以下步骤：步骤1、用户设备申请加入无线服务，进行MAC（MediaAccessControl，介质访问控制）认证，即向AP（AccessPoint，接入点）发送MAC认证请求报文。之后，AP通过AC（AccessController，接入控制器）将MAC认证请求报文发送给iMC（IntelligentManagementCenter，智能管理中心）服务器。步骤2、iMC服务器通过AP向用户设备下发隔离VLAN（VirtualLocalAreaNetwork，虚拟局域网），以允许用户设备在隔离VLAN内通过DHCP（DynamicHostConfigurationProtocol，动态主机配置协议）报文获取IP地址。之后，用户设备通过AP向DHCP服务器发送DHCP报文，以从DHCP服务器上获取IP地址。在此基础上，AP可以将DHCP报文发送给iMC服务器，由iMC服务器利用该DHCP报文的Option60（选项60）字段，获取用户设备的厂商信息。步骤3、用户设备在发起任意WEB页面的访问时，AP通过AC将任意WEB页面的访问重定向到注册页面上，以使用户通过用户设备进行角色认证。步骤4、用户根据实际情况使用合法身份或者访客身份提交角色认证，AP通过AC将角色认证信息以及携带该角色认证信息的HTTP（Hypertexttransferprotocol，超文本传输协议）报文发送给iMC服务器，iMC服务器利用HTTP报文中携带的信息获得用户设备的类型信息，并基于用户设备的类型信息、厂商信息以及角色认证信息生成安全策略，同时通知AC强制该用户设备下线。步骤5、用户设备重新申请加入无线服务，进行MAC认证，即向AP发送MAC认证请求报文。之后，AP通过AC将MAC认证请求报文发送给iMC服务器。之后，iMC服务器在发现当前已经生成了此用户设备的安全策略后，通过AP向用户设备下发VLAN或者其他详细安全策略，由用户设备在该VLAN内获取IP地址并访问合法资源，或者由用户设备基于该安全策略访问合法资源。但是，在上述技术方案中，用户设备需要执行两次MAC认证过程，第一次MAC认证时将用户设备分配到隔离VLAN，第二次MAC认证时将用户设备分配到VLAN内获取合法资源，上述流程耗时较长，用户设备需要较长时间才能获取合法资源，且用户设备的两次MAC认证过程也会带来不好的用户体验。
技术实现思路
本专利技术实施例提供一种安全策略的管理方法和设备，以使得用户设备能够尽快获取合法资源，并提高用户体验。为了达到上述目的，本专利技术实施例提供一种安全策略的管理方法，该方法应用于包括接入点AP、用户设备和管理服务器的网络中，所述方法包括：所述AP接收来自所述用户设备的链路层发现协议LLDP报文，所述LLDP报文中携带所述用户设备的设备信息；其中，所述用户设备的设备信息包括：用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息；所述AP将所述用户设备的设备信息发送给管理服务器，由所述管理服务器利用所述用户设备的设备信息确定所述用户设备是否进行用户角色认证；所述AP在收到来自管理服务器的用户设备需要进行用户角色认证的通知时，将用户角色认证信息发送给管理服务器，由所述管理服务器利用所述用户设备的设备信息和用户角色认证信息确定所述用户设备的安全策略；所述AP在收到来自所述管理服务器的所述用户设备的安全策略之后，利用所述用户设备的安全策略对所述用户设备进行安全管理。所述AP接收来自所述用户设备的链路层发现协议LLDP报文之前，所述方法还包括：所述用户设备获得本用户设备的设备信息，将本用户设备的设备信息添加到LLDP报文，将所述LLDP报文封装到802.11报文中，并以关联AP的基本服务集标识BSSID为目的地址向所述AP发送所述802.11报文。所述方法还包括：所述AP将本AP的介质访问控制MAC地址和所述用户设备申请连接的时间点发送给管理服务器；由所述管理服务器利用所述AP的MAC地址确定所述AP的位置，利用用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息、AP的位置、用户设备申请连接的时间点确定所述用户设备是否进行用户角色认证；以及，由所述管理服务器利用用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息、AP的位置、用户设备申请连接的时间点、用户角色认证信息确定所述用户设备的安全策略。所述方法还包括：所述AP在收到来自管理服务器的用户设备需要进行用户角色认证的通知之前，所述AP禁止处理来自所述用户设备的LLDP报文之外的其它报文。所述方法还包括：当用户设备从其它AP漫游到本AP时，AP将所述用户设备的MAC地址和本AP的MAC地址发送给管理服务器；由管理服务器利用所述用户设备的MAC地址查找当前是否存在已经向所述用户设备下发的安全策略；如果是，则由所述管理服务器查找该安全策略中是否包括所述AP的MAC地址；如果包括所述AP的MAC地址，则所述AP接收来自所述管理服务器的该安全策略，并利用该安全策略对所述用户设备进行安全管理；如果不包括所述AP的MAC地址，则所述AP接收来自所述管理服务器的对所述用户设备进行强制下线的通知，并对所述用户设备进行强制下线处理。所述方法还包括：所述管理服务器在获知向所述用户设备下发的安全策略的生效时间段已过时，通知所述用户设备对应的AP对所述用户设备进行强制下线，并由所述用户设备对应的AP对所述用户设备进行强制下线处理。本专利技术实施例提供一种接入点AP，应用于包括所述AP、用户设备和管理服务器的网络中，所述AP具体包括：接收模块，用于接收来自所述用户设备的链路层发现协议LLDP报文，所述LLDP报文中携带所述用户设备的设备信息；所述用户设备的设备信息包括：用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息；发送模块，用于将所述用户设备的设备信息发送给管理服务器，由所述管理服务器利用所述用户设备的设备信息确定所述用户设备是否进行用户角色认证；在收到来自管理服务器的用户设备需要进行用户角色认证的通知时，将用户角色认证信息发送给管理服务器，由所述管理服务器利用所述用户设备的设备信息和用户角色认证信息确定所述用户设备的安全策略；处理模块，用于在收到来自所述管理服务器的所述用户设备的安全策略之后，利用所述用户设备的安全策略对所述用户设备进行安全管理。所述发送模块，还用于将本AP的介质访问控制MAC地本文档来自技高网...

【技术保护点】
一种安全策略的管理方法，该方法应用于包括接入点AP、用户设备和管理服务器的网络中，其特征在于，所述方法包括以下步骤：所述AP接收来自所述用户设备的链路层发现协议LLDP报文，所述LLDP报文中携带所述用户设备的设备信息；其中，所述用户设备的设备信息包括：用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息；所述AP将所述用户设备的设备信息发送给管理服务器，由所述管理服务器利用所述用户设备的设备信息确定所述用户设备是否进行用户角色认证；所述AP在收到来自管理服务器的用户设备需要进行用户角色认证的通知时，将用户角色认证信息发送给管理服务器，由所述管理服务器利用所述用户设备的设备信息和用户角色认证信息确定所述用户设备的安全策略；所述AP在收到来自所述管理服务器的所述用户设备的安全策略之后，利用所述用户设备的安全策略对所述用户设备进行安全管理。

【技术特征摘要】
1.一种安全策略的管理方法，该方法应用于包括接入点AP、用户设备和管理服务器的网络中，其特征在于，所述方法包括以下步骤：所述AP接收来自所述用户设备的链路层发现协议LLDP报文，所述LLDP报文中携带所述用户设备的设备信息；其中，所述用户设备的设备信息包括：用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息；所述AP将所述用户设备的设备信息发送给管理服务器，由所述管理服务器利用所述用户设备的设备信息确定所述用户设备是否进行用户角色认证；所述AP在收到来自管理服务器的用户设备需要进行用户角色认证的通知时，将用户角色认证信息发送给管理服务器，由所述管理服务器利用所述用户设备的设备信息和用户角色认证信息确定所述用户设备的安全策略；所述AP在收到来自所述管理服务器的所述用户设备的安全策略之后，利用所述用户设备的安全策略对所述用户设备进行安全管理；其中，当用户设备从其它AP漫游到本AP时，所述AP将所述用户设备的MAC地址和本AP的MAC地址发送给管理服务器；由管理服务器利用所述用户设备的MAC地址查找当前是否存在已经向所述用户设备下发的安全策略；如果是，则由所述管理服务器查找该安全策略中是否包括所述AP的MAC地址；如果包括所述AP的MAC地址，则所述AP接收来自所述管理服务器的该安全策略，并利用该安全策略对所述用户设备进行安全管理；如果不包括所述AP的MAC地址，则所述AP接收来自所述管理服务器的对所述用户设备进行强制下线的通知，并对所述用户设备进行强制下线处理。2.如权利要求1所述的方法，其特征在于，所述AP接收来自所述用户设备的链路层发现协议LLDP报文之前，所述方法还包括：所述用户设备获得本用户设备的设备信息，将本用户设备的设备信息添加到LLDP报文，并将所述LLDP报文封装到802.11报文中，并以关联AP的基本服务集标识BSSID为目的地址向所述AP发送所述802.11报文。3.如权利要求1所述的方法，其特征在于，所述方法还包括：所述AP将本AP的介质访问控制MAC地址和所述用户设备申请连接的时间点发送给管理服务器；由所述管理服务器利用所述AP的MAC地址确定所述AP的位置，并利用用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息、AP的位置、用户设备申请连接的时间点确定所述用户设备是否进行用户角色认证；以及，由所述管理服务器利用用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息、AP的位置、用户设备申请连接的时间点、用户角色认证信息确定所述用户设备的安全策略。4.如权利要求1所述的方法，其特征在于，所述方法还包括：所述AP在收到来自管理服务器的用户设备需要进行用户角色认证的通知之前，所述AP禁止处理来自所述用户设备的LLDP报文之外的其它报文。5.如权利要求1所述的方法，其特征在于，所述方法还包括：所述管理服务器在获知向所述用户设备下发的安全策略的生效时间段已过时，通知所述用户设备对应的AP对所述用户设备进行强制下线，并由所述用户设备对应的AP对所述用户设备进行强制下线处理。6.一种接入点AP，应用于包括所述AP、用户设备和管理服务器的网络中，其特征在于，所述AP具体包括：接收模块，用于接收来自所述用户设备的链路层发现协议LLDP报文，所述LLDP报文中携带所述用户设备的设备信息；所述用户设备的设备信息包括：用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息；发送模块，用于将所述用户设备的设备信息发送给管理服务器，由所述管理服务器利用所述用户设备的设备信息确定所述用户设备是否进行用户角色认证；在收到来自管理服务器的用户设备需要进行用户角色认证的通知时，将用户角色认证信息发送给管理服务器，由所述管理服务器利用所述用户设备的设备信息和用户角色认证信息确定所述用户设备的安全策略；处理模块，用于在收到来自所述管理服务器的所述用户设备的安全策略之后，利用所述用户设备的安全策略对所述用户设备进行安全管理；其中，所述发送模块，还用于当用户设备从其它AP漫游到本AP时，将用户设备的MAC地址和本AP的MAC地址发送给管理服务器；由管理服务器利用用户设备的MAC地址查找当前是否存在已经向用户设备下发的安全策略；如果是，则由管理服务器查找该安全策略中是否包括所述AP的MAC地址；所述处理模块，还用于当包括所述AP的MAC地址时，在接收到来自所述管理服务器的该安全策略之后，利用该安全策略对所述用户设备进行安全管理；当不包括所述AP的MAC地址时，在接收来自所述管理服务器的对所述用户设备进行强制下线的通知时，对所述用户设备进行强制下线处理。7.如权利要求6所述的AP，其特征在于，所述发送模块，还用于将本AP的介质访问控制MA...

【专利技术属性】
技术研发人员：刘佳，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33