终端接入办公网络安全管控方法及认证服务器技术

本申请公开了一种终端接入办公网络安全管控方法及认证服务器，该方法包括：接收交换机发送的RADIUS协议认证请求，RADIUS协议认证请求中携带终端的用户名、密码和MAC地址、交换机地址和终端连接交换机的接入端口名称；查找终端白名单中是否存在与MAC地址相同的终端的第二入网信息；如果不存在，则向交换机发送认证失败通知；如果存在，则逐一对比第一入网信息中的终端用户名、密码、交换机地址、接入端口名称与第二入网信息中的相应信息是否相同；如果相同，则向交换机发送认证成功通知；如果不相同，则向交换机发送认证失败通知。本申请可以加强办公网络的安全管控。

Terminal access office network security management and control method and authentication server

【技术实现步骤摘要】
终端接入办公网络安全管控方法及认证服务器
本申请涉及网络安全
，尤其涉及一种终端接入办公网络安全管控方法及认证服务器。
技术介绍
本部分旨在为权利要求书中陈述的本专利技术实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。大型企业集团一般拥有自己内部专用的办公网络系统，为企业员工提供语音通话、高保真视频会议及其它办公应用服务。如图1所示，办公网络系统的逻辑结构可以分为：1)业务平台，主要包括各类终端的业务管理系统，如生产管理系统或办公管理系统；2)媒体处理层，主要提供多媒体资源交换存储服务，包括视频多点控制单元(multicontrolunit，MCU)、语音视频服务器和云存储等；3)用户接入层，包括各类接入终端组件，包括互联网协议地址(InternetProtocolAddress，IP)电话机、视频会议终端、高清摄像头、个人计算机(PersonalComputer，PC)终端等。由于数据网络可靠性高、维护运营便利，可以同时支持多种数据传输，因此众多大型企业的办公应用选择IP网络承载。但是在实践中IP网络承载办公应用也会带来新的挑战，特别是在用户接入层的管理难度更加突出：1、统一管理风险。大型企业分支机构多、地域分散、物理空间复杂度高，各类终端分布式部署于跨地域的多个办公区，集约化管理难度大。2、安全合规风险。网络实名制是国家网络安全法规基本要求，大型企业员工众多、流动性强，在终端层面的管理控制手段不足，存在较大的安全责任审计风险。3、信息保密风险。办公网络不可避免地会涉及一些敏感信息、保密信息，但是一般情况下，各类接入终端并不开启强制安全认证模式，防监听能力较弱、一旦发生泄密事件会给管理者带来极大地被动，甚至于严重损害国家安全。
技术实现思路
本申请实施例提供一种终端接入办公网络安全管控方法，用以对接入办公网络的终端进行统一、集中管理，加强办公网络的安全管控，降低办公网络中信息泄露风险，该方法应用于办公网络中的认证服务器，该方法包括：接收交换机发送的RADIUS协议认证请求，所述RADIUS协议认证请求中携带终端的第一入网信息，所述第一入网信息包括所要接入办公网络的终端的用户名、密码和MAC地址，以及所述交换的交换机地址和终端连接交换机的接入端口名称，所述用户名、密码和MAC地址由终端向交换机发送；查找允许入网的终端白名单中是否存在与所述MAC地址相同的终端的第二入网信息；如果不存在，则向交换机发送认证失败通知，以供接收到交换机转发的认证失败通知的终端确认自身被拒绝接入办公网络；如果存在，则逐一对比第一入网信息中的终端用户名、密码、交换机地址、接入端口名称与第二入网信息中的相应信息是否相同；如果相同，则向交换机发送认证成功通知，以供接收到交换机转发的认证成功通知的终端接入办公网络；如果不相同，则向交换机发送认证失败通知。本申请实施例还提供一种认证服务器，用以对接入办公网络的终端进行统一、集中管理，加强办公网络的安全管控，降低办公网络中信息泄露风险，该认证服务器为办公网络的组网设备之一，该认证服务器包括：通信模块，用于接收交换机发送的RADIUS协议认证请求，所述RADIUS协议认证请求中携带终端的第一入网信息，所述第一入网信息包括所要接入办公网络的终端的用户名、密码和MAC地址，以及所述交换的交换机地址和终端连接交换机的接入端口名称，所述用户名、密码和MAC地址由终端向交换机发送；查找模块，用于查找允许入网的终端白名单中是否存在与所述通信模块接收的所述MAC地址相同的终端的第二入网信息；所述通信模块，还用于当所述查找模块确认不存在时，则向交换机发送认证失败通知，以供接收到交换机转发的认证失败通知的终端确认自身被拒绝接入办公网络；所述比对模块，还用于当所述查找模块确认存在时，逐一对比第一入网信息中的终端用户名、密码、交换机地址、接入端口名称与第二入网信息中的相应信息是否相同；所述通信模块，还用于当相同时，向交换机发送认证成功通知，以供接收到交换机转发的认证成功通知的终端接入办公网络；当不相同时，向交换机发送认证失败通知。本申请实施例中，交换机将终端的用户名、密码和MAC地址，以及交换机地址和接入端口名称等第一入网信息发送至认证服务器，认证服务器查找允许入网的终端白名单中是否存在与MAC地址相同的终端的第二入网信息，之后根据第一入网信息与第二入网信息的比对结果，确定是否允许终端接入网络，允许则向终端发送认证成功通知，不允许则向终端发送认证失败通知，终端根据认证成功通知接入办公网络，接收到认证失败通知的终端则无法接入办公网络。每一台接入办公网络的终端都先经过认证服务器的认证，认证服务器通过这种方式，实现了对于接入办公网络的终端的统一、集中管控，确保接入办公网络终端的身份合法性，保障了办公网络中的信息安全，降低了信息泄露风险。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：图1为现有技术中部署的办公网络的示意图；图2为本申请实施例中终端、认证服务器与交换机的连接关系示意图；图3为本申请实施例中一种终端接入办公网络安全管控方法的流程图；图4为本申请实施例中ping模式测试的流程图；图5为本申请实施例中负荷感知功能的工作场景示意图；图6为本申请实施例中的态势感知功能的部署方式示意图；图7为本申请实施例中的3D大屏显示的显示效果示意图；图8(a)为本申请实施例中网络路径树图的示意图；图8(b)为本申请实施例中用户路径树图的示意图；图9为本申请实施例中服务负荷矩阵图的示意图；图10为本申请实施例中认证服务器的结构示意图。具体实施方式为使本申请实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本申请实施例做进一步详细说明。在此，本申请的示意性实施例及其说明用于解释本申请，但并不作为对本申请的限定。本申请实施例提供了一种终端接入办公网络安全管控方法，该方法应用于办公网络中的认证服务器，如图2所示，终端与交换机连接，交换机与认证服务器连接，终端与认证服务器之间的通信报文通过交换机转发。终端与交换机之间交互的通信报文符合IEEE802.1X协议的规定，交换机和认证服务器之间交互的通信报文符合RADIUS协议的规定。其中，IEEE802.1X是电气和电子工程师协会(InstituteofElectricalandElectronicsEngineers，IEEE)制定关于用户接入网络的认证标准，全称是“基于端口的网络接入控制”，属于IEEE802.1X网络协议组的一部分，该协议为连接到局域网(LocalAreaNetwork，本文档来自技高网...

【技术保护点】
1.一种终端接入办公网络安全管控方法，其特征在于，所述方法应用于办公网络中的认证服务器，所述方法包括：/n接收交换机发送的RADIUS协议认证请求，所述RADIUS协议认证请求中携带终端的第一入网信息，所述第一入网信息包括所要接入办公网络的终端的用户名、密码和MAC地址，以及所述交换的交换机地址和终端连接交换机的接入端口名称，所述用户名、密码和MAC地址由终端向交换机发送；/n查找允许入网的终端白名单中是否存在与所述MAC地址相同的终端的第二入网信息；/n如果不存在，则向交换机发送认证失败通知，以供接收到交换机转发的认证失败通知的终端确认自身被拒绝接入办公网络；/n如果存在，则逐一对比第一入网信息中的终端用户名、密码、交换机地址、接入端口名称与第二入网信息中的相应信息是否相同；如果相同，则向交换机发送认证成功通知，以供接收到交换机转发的认证成功通知的终端接入办公网络；如果不相同，则向交换机发送认证失败通知。/n

【技术特征摘要】
1.一种终端接入办公网络安全管控方法，其特征在于，所述方法应用于办公网络中的认证服务器，所述方法包括：
接收交换机发送的RADIUS协议认证请求，所述RADIUS协议认证请求中携带终端的第一入网信息，所述第一入网信息包括所要接入办公网络的终端的用户名、密码和MAC地址，以及所述交换的交换机地址和终端连接交换机的接入端口名称，所述用户名、密码和MAC地址由终端向交换机发送；
查找允许入网的终端白名单中是否存在与所述MAC地址相同的终端的第二入网信息；
如果不存在，则向交换机发送认证失败通知，以供接收到交换机转发的认证失败通知的终端确认自身被拒绝接入办公网络；
如果存在，则逐一对比第一入网信息中的终端用户名、密码、交换机地址、接入端口名称与第二入网信息中的相应信息是否相同；如果相同，则向交换机发送认证成功通知，以供接收到交换机转发的认证成功通知的终端接入办公网络；如果不相同，则向交换机发送认证失败通知。


2.根据权利要求1所述的方法，其特征在于，在接收交换机发送的RADIUS协议认证请求之前，所述方法还包括：
检测连接办公网络的终端；
对连接办公网络的终端进行测试，得到测试结果，其中，测试方法包括ping模式测试；
根据测试结果将终端划分为可管设备、未管设备和疑似未管设备，对每种终端分别进行记录；其中，可管设备对应的测试结果为通过ping测试、telnet测试、成功获取到设备类型，并且通过SNMPCommunity验证测试获取到Community响应；所述未管设备对应的测试结果为通过ping测试以及在未通过talent测试的前提下通过SNMP设备类型测试，或者，通过ping测试和telnet测试但未成功获取设备类型，或者，通过ping测试、telnet测试、成功获取设备类型，但未通过SNMPCommunity验证测试；所述疑似未管设备对应的测试结果为未通过ping测试，或者，通过ping测试，在未通过telnet测试的基础上未通过SNMP测试，所述ping测试、telnet测试、获取设备类型和SNMPCommunity验证测试为对连接办公网络的终端进行测试时的测试环节。


3.根据权利要求2所述的方法，其特征在于，在对每种终端分别进行记录之后，所述方法还包括：
保存可管设备的测试时间以及接入办公网络后的访问记录；
定时扫描未管设备和疑似未管设备，对未管设备和疑似未管设备重复进行测试；如果未管设备或疑似未管设备的测试结果发生改变，则更新可管设备、未管设备和疑似未管设备名单；
生成针对疑似未管设备的告警信息；
对未管设备执行临时隔离干预处理，所述临时隔离干预处理包括调用防火墙系统接口、新增防火墙访问控制策略对该未管设备的地址予以临时阻断，以及登录交换机执行配置命令，禁用对应的交换机端口。


4.根据权利要求1所述的方法，其特征在于，所述终端包括模拟测试机，所述方法还包括：
获取并解析模拟测试机与认证服务器之间交互的通信报文；
判断所述通信报文中是否包括认证成功通知或认证失败通知；
如果不包括，则记录模拟测试机未收到认证服务器的响应；
如果包括，判断通信报文的格式是否符合报文格式要求以及字段是否有值；
如果格式不符合报文格式要求，则记录格式有误；如果字段没有值，则记录字段为空；
如果格式符合报文格式要求且字段有值，则判断字段值是否符合字段值要求；
如果字段值不符合字段值要求，则记录不符合字段值要求的字段。


5.根据权利要求1所述的方法，其特征在于，所述方法还包括：
获取认证服务器的运行参数，所述运行参数包括接收的RADIUS协议认证请求的数量、单次认证请求处理时间、反馈认证成功通知或认证失败通知的时间、预设认证路径及实际认证路径，以及操作日志记录；
根据运行参数检测认证服务器是否发生故障；
如果发生故障，则进行告警。


6.根据权利要求1至5任一项所述的方法，其特征在于，所述方法还包括：
显示接入办公网络的终端的状态、模拟测试机与认证服务器之间的通信报文解析结果、故障检测结果，以及可管设备、未管设备和疑似未管设备名单。


7.一种认证服务器，其特征在于，所述认证服务器为办公网络的组网设备之一，所述认证服务器包括：
通信模块，用于接收交换机发送的RADIUS协议认证请求，所述RADIUS协议认证请求中携带终端的第一入网信息，所述第一入网信息包括所要接入办公网络的终端的用户名、密码和MAC地址，以及所述交换的交换机地址和终端连接交换机的接入端口名称，所述用户名、密码和MAC地址由终端向交换机发送；
...

【专利技术属性】
技术研发人员：严睿，
申请(专利权)人：中盈优创资讯科技有限公司，
类型：发明
国别省市：北京;11