【技术实现步骤摘要】
一种安全策略的管理方法和设备
本专利技术涉及通信
,尤其涉及一种安全策略的管理方法和设备。
技术介绍
为了在满足员工对于新科技和个性化追求的同时,提高员工的工作效率,降低企业的成本和投入,目前许多企业考虑允许员工带着自己的用户设备使用企业内部应用。基于此,BYOD(BringYourOwnDevice)应运而生。BYOD是指携带自己的用户设备办公,这些用户设备包括个人电脑、手机、平板等。但是,当员工使用自己的用户设备办公时,会带来很多安全问题,如员工的用户设备上的恶意软件被传入公司网络将带来损失等。因此,BYOD的前提是需要有足够安全保障,即需要根据不同类型的用户设备执行不同的安全策略。在现有技术中,为了能够根据不同类型的用户设备执行不同的安全策略,以实现BYOD方案,则相应的处理流程至少包括以下步骤:步骤1、用户设备申请加入无线服务,进行MAC(MediaAccessControl,介质访问控制)认证,即向AP(AccessPoint,接入点)发送MAC认证请求报文。之后,AP通过AC(AccessController,接入控制器)将MAC认证请求报文发送给iMC(IntelligentManagementCenter,智能管理中心)服务器。步骤2、iMC服务器通过AP向用户设备下发隔离VLAN(VirtualLocalAreaNetwork,虚拟局域网),以允许用户设备在隔离VLAN内通过DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)报文获取IP地址。之后,用户设备通过AP向DHCP服务器发送DHC ...
【技术保护点】
一种安全策略的管理方法,该方法应用于包括接入点AP、用户设备和管理服务器的网络中,其特征在于,所述方法包括以下步骤:所述AP接收来自所述用户设备的链路层发现协议LLDP报文,所述LLDP报文中携带所述用户设备的设备信息;其中,所述用户设备的设备信息包括:用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息;所述AP将所述用户设备的设备信息发送给管理服务器,由所述管理服务器利用所述用户设备的设备信息确定所述用户设备是否进行用户角色认证;所述AP在收到来自管理服务器的用户设备需要进行用户角色认证的通知时,将用户角色认证信息发送给管理服务器,由所述管理服务器利用所述用户设备的设备信息和用户角色认证信息确定所述用户设备的安全策略;所述AP在收到来自所述管理服务器的所述用户设备的安全策略之后,利用所述用户设备的安全策略对所述用户设备进行安全管理。
【技术特征摘要】
1.一种安全策略的管理方法,该方法应用于包括接入点AP、用户设备和管理服务器的网络中,其特征在于,所述方法包括以下步骤:所述AP接收来自所述用户设备的链路层发现协议LLDP报文,所述LLDP报文中携带所述用户设备的设备信息;其中,所述用户设备的设备信息包括:用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息;所述AP将所述用户设备的设备信息发送给管理服务器,由所述管理服务器利用所述用户设备的设备信息确定所述用户设备是否进行用户角色认证;所述AP在收到来自管理服务器的用户设备需要进行用户角色认证的通知时,将用户角色认证信息发送给管理服务器,由所述管理服务器利用所述用户设备的设备信息和用户角色认证信息确定所述用户设备的安全策略;所述AP在收到来自所述管理服务器的所述用户设备的安全策略之后,利用所述用户设备的安全策略对所述用户设备进行安全管理;其中,当用户设备从其它AP漫游到本AP时,所述AP将所述用户设备的MAC地址和本AP的MAC地址发送给管理服务器;由管理服务器利用所述用户设备的MAC地址查找当前是否存在已经向所述用户设备下发的安全策略;如果是,则由所述管理服务器查找该安全策略中是否包括所述AP的MAC地址;如果包括所述AP的MAC地址,则所述AP接收来自所述管理服务器的该安全策略,并利用该安全策略对所述用户设备进行安全管理;如果不包括所述AP的MAC地址,则所述AP接收来自所述管理服务器的对所述用户设备进行强制下线的通知,并对所述用户设备进行强制下线处理。2.如权利要求1所述的方法,其特征在于,所述AP接收来自所述用户设备的链路层发现协议LLDP报文之前,所述方法还包括:所述用户设备获得本用户设备的设备信息,将本用户设备的设备信息添加到LLDP报文,并将所述LLDP报文封装到802.11报文中,并以关联AP的基本服务集标识BSSID为目的地址向所述AP发送所述802.11报文。3.如权利要求1所述的方法,其特征在于,所述方法还包括:所述AP将本AP的介质访问控制MAC地址和所述用户设备申请连接的时间点发送给管理服务器;由所述管理服务器利用所述AP的MAC地址确定所述AP的位置,并利用用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息、AP的位置、用户设备申请连接的时间点确定所述用户设备是否进行用户角色认证;以及,由所述管理服务器利用用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息、AP的位置、用户设备申请连接的时间点、用户角色认证信息确定所述用户设备的安全策略。4.如权利要求1所述的方法,其特征在于,所述方法还包括:所述AP在收到来自管理服务器的用户设备需要进行用户角色认证的通知之前,所述AP禁止处理来自所述用户设备的LLDP报文之外的其它报文。5.如权利要求1所述的方法,其特征在于,所述方法还包括:所述管理服务器在获知向所述用户设备下发的安全策略的生效时间段已过时,通知所述用户设备对应的AP对所述用户设备进行强制下线,并由所述用户设备对应的AP对所述用户设备进行强制下线处理。6.一种接入点AP,应用于包括所述AP、用户设备和管理服务器的网络中,其特征在于,所述AP具体包括:接收模块,用于接收来自所述用户设备的链路层发现协议LLDP报文,所述LLDP报文中携带所述用户设备的设备信息;所述用户设备的设备信息包括:用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息;发送模块,用于将所述用户设备的设备信息发送给管理服务器,由所述管理服务器利用所述用户设备的设备信息确定所述用户设备是否进行用户角色认证;在收到来自管理服务器的用户设备需要进行用户角色认证的通知时,将用户角色认证信息发送给管理服务器,由所述管理服务器利用所述用户设备的设备信息和用户角色认证信息确定所述用户设备的安全策略;处理模块,用于在收到来自所述管理服务器的所述用户设备的安全策略之后,利用所述用户设备的安全策略对所述用户设备进行安全管理;其中,所述发送模块,还用于当用户设备从其它AP漫游到本AP时,将用户设备的MAC地址和本AP的MAC地址发送给管理服务器;由管理服务器利用用户设备的MAC地址查找当前是否存在已经向用户设备下发的安全策略;如果是,则由管理服务器查找该安全策略中是否包括所述AP的MAC地址;所述处理模块,还用于当包括所述AP的MAC地址时,在接收到来自所述管理服务器的该安全策略之后,利用该安全策略对所述用户设备进行安全管理;当不包括所述AP的MAC地址时,在接收来自所述管理服务器的对所述用户设备进行强制下线的通知时,对所述用户设备进行强制下线处理。7.如权利要求6所述的AP,其特征在于,所述发送模块,还用于将本AP的介质访问控制MA...
【专利技术属性】
技术研发人员:刘佳,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。