一种终端接入认证方法及系统技术方案

本发明专利技术提供一种终端接入认证方法及系统，该方法包括：接收目标终端的接入信息；根据所述接入信息，从策略管控服务器中获取所述目标终端的注册认证信息；所述注册认证信息是预先加载在所述策略管控服务器中的；基于所述注册认证信息，对所述目标终端进行接入认证。本发明专利技术提供的终端接入认证方法及系统，利用策略管控服务器对终端的注册认证信息进行统一管理，以通过边界认证机对终端的接入网络的安全认证进行统一管理，并为安全策略的统一制定和管理提供了基础，实现了终端准入和终端认证的集中管理，有效的提高了网络的安全性。

【技术实现步骤摘要】
一种终端接入认证方法及系统
本专利技术涉及计算机
，尤其涉及一种终端接入认证方法及系统。
技术介绍
局域网在实现资源共享的同时需要及时有效的监控用户终端接入合法性，并在终端接入后，对各个用户终端的网络行为进行管控。现有技术中，往往是利用内置安全功能的接入交换机作为边界认证机实现对用户终端的认证准入，也可以通过边界认证机的访问控制功能独立的对接入的用户终端的网络行为进行管理。由于现技术是在利用每一台边界认证机仅能独立的对与其通信的部分用户终端的接入进行认证，而不能对通过其他边界认证机接入的用户终端进行认证。为保证网络认证的有效开展，需要在每一台边界认证机中预先存储所有用户终端的认证信息，没有从整体、全局层面对终端的接入认证进行管理，更不能实现从整体、全局层面对安全策略进行统一制定、下发和执行，从而导致安全策略的落地执行效率和效果不佳。
技术实现思路
针对现有技术存在的问题，本专利技术实施例提供一种终端接入认证方法及系统。本专利技术提供一种终端接入认证方法，包括：接收目标终端的接入信息；根据所述接入信息，从策略管控服务器中获取所述目标终端的注册认证信息；所述注册认证信息是预先加载在所述策略管控服务器中的；基于所述注册认证信息，对所述目标终端进行接入认证。可选地，根据本专利技术提供的一种终端接入认证方法，在所述对所述目标终端进行接入认证之后，还包括：在认证通过的情况下，获取所述目标终端的终端信息；将所述终端信息发送给所述策略管控服务器，以获取由所述策略管控服务器反馈的安全策略；所述安全策略是所述策略管控服务器基于所述终端信息生成的；运行所述安全策略，对所述目标终端的运行进行管理。可选地，根据本专利技术提供的一种终端接入认证方法，在对所述目标终端的运行进行管理的情况下，若接收到所述目标终端的离线信息，则将所述离线信息发送给所述策略管控服务器；接收并执行由所述策略管控服务器发送的安全策略删除指令。可选地，根据本专利技术提供的一种终端接入认证方法，所述注册认证信息包括与所述目标终端的唯一身份标识信息关联的认证公钥；所述基于所述注册认证信息，对所述目标终端进行接入认证，包括：利用所述认证公钥加密任一随机数，生成加密随机数；发送所述加密随机数至所述目标终端接收由所述目标终端反馈的解密随机数，所述解密随机数是由所述目标终端根据认证私钥对所述加密随机数进行解密后生成的；所述认证私钥与所述认证公钥相匹配；根据所述解密随机数与所述任一随机数，实现对所述目标终端的接入认证。可选地，根据本专利技术提供的一种终端接入认证方法，在所述根据所述接入信息，从策略管控服务器中获取所述目标终端的注册认证信息，包括：接收所述接入信息，并获取所述接入信息中包含的所述目标终端的唯一身份标识信息；根据所述唯一身份标识信息从所述策略管控服务器中搜索与所述唯一身份标识信息相对应的所述注册认证信息；若未搜索到所述注册认证信息，则发送认证失败信息至所述终端。可选地，根据本专利技术提供的一种终端接入认证方法，所述接收目标终端的接入信息，包括：通过监听各接入端口的占用状态；若所述接入端口的占用状态发生改变，则获取发生占用事件所对应的目标终端的目标网卡物理地址；根据所述目标网卡物理地址确定目标终端的接入信息。本专利技术还提供一种终端接入认证系统，包括：数据接收单元，用于接收目标终端的接入信息；数据调取单元，用于根据所述接入信息，从策略管控服务器中获取所述目标终端的注册认证信息；所述注册认证信息是预先加载在所述策略管控服务器中的；终端认证单元，用于基于所述注册认证信息，对所述目标终端进行接入认证。可选地，根据本专利技术提供的一种终端接入认证系统，还包括：安全策略功能模块；所述安全策略功能模块，用于获取所述目标终端的终端信息；将所述终端信息发送给所述策略管控服务器，以获取由所述策略管控服务器反馈的安全策略；所述安全策略是所述策略管控服务器基于所述终端信息生成的；运行所述安全策略，对所述目标终端的运行进行管理。本专利技术还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述终端接入认证方法的步骤。本专利技术还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述终端接入认证方法的步骤。本专利技术提供的终端接入认证方法及系统，利用策略管控服务器对终端的注册认证信息进行统一管理，以通过边界认证机对终端的接入网络的安全认证进行统一管理，并为安全策略的统一制定和管理提供了基础，实现了终端准入和终端认证的集中管理，有效的提高了网络的安全性。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术提供的终端接入认证方法的流程示意图；图2是本专利技术提供的终端接入认证方法的信令交互图；图3是本专利技术提供的局域网络的结构示意图；图4是本专利技术提供的终端接入认证系统的结构示意图；图5是本专利技术提供的电子设备的结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚，下面将结合本专利技术中的附图，对本专利技术中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。下面结合图1-图5描述本专利技术实施例所提供的终端接入认证方法和系统。图1是本专利技术提供的终端接入认证方法的流程示意图，如图1所示，包括但不限于以下步骤：步骤S1：接收目标终端的接入信息；步骤S2：根据所述接入信息，从策略管控服务器中获取所述目标终端的注册认证信息；所述注册认证信息是预先加载在所述策略管控服务器中的；步骤S3：基于所述注册认证信息，对所述目标终端进行接入认证。需要说明的是，本专利技术提供的终端接入认证方法的执行主体可以是任意一台交换机，在该交换机中预先装载了内置的安全认证功能模块，在此基础上，还可以在该交换机中预先装载安全策略功能模块。所述安全策略功能模块能够根据输入的安全策略，调用访问控制列表，对接入的用户终端的网络行为进行控制，即将该交换机作为边界认证机用于对请求接入的用户终端进行安全认证，或者对已经接入的用户终端的网络行为进行统一管理。与现有技术中的终端接入认证方法不同的是，本专利技术通过引入策略管控服务器，对所有的边界认证机进行统一管理，并通过对边界认证机的管理，实现对各个用户终端的接入进行认证。具体地，在步骤S1中，边界认证机通过对各个接入端口进行监控，在检测到目标终端上线或者有新的目标终端接入至某个接入端口时，则可以获取到与该接口连接的目标终端的接入信息。其中，所述本文档来自技高网...

【技术保护点】
1.一种终端接入认证方法，其特征在于，包括：/n接收目标终端的接入信息；/n根据所述接入信息，从策略管控服务器中获取所述目标终端的注册认证信息；所述注册认证信息是预先加载在所述策略管控服务器中的；/n基于所述注册认证信息，对所述目标终端进行接入认证。/n

【技术特征摘要】
1.一种终端接入认证方法，其特征在于，包括：
接收目标终端的接入信息；
根据所述接入信息，从策略管控服务器中获取所述目标终端的注册认证信息；所述注册认证信息是预先加载在所述策略管控服务器中的；
基于所述注册认证信息，对所述目标终端进行接入认证。


2.根据权利要求1所述的终端接入认证方法，其特征在于，在所述对所述目标终端进行接入认证之后，还包括：
在认证通过的情况下，获取所述目标终端的终端信息；
将所述终端信息发送给所述策略管控服务器，以获取由所述策略管控服务器反馈的安全策略；所述安全策略是所述策略管控服务器基于所述终端信息生成的；
运行所述安全策略，对所述目标终端的运行进行管理。


3.根据权利要求1所述的终端接入认证方法，其特征在于，在对所述目标终端的运行进行管理的情况下，若接收到所述目标终端的离线信息，则将所述离线信息发送给所述策略管控服务器；
接收并执行由所述策略管控服务器发送的安全策略删除指令。


4.根据权利要求1所述的终端接入认证方法，其特征在于，所述注册认证信息包括与所述目标终端的唯一身份标识信息关联的认证公钥；所述基于所述注册认证信息，对所述目标终端进行接入认证，包括：
利用所述认证公钥加密任一随机数，生成加密随机数；
发送所述加密随机数至所述目标终端
接收由所述目标终端反馈的解密随机数，所述解密随机数是由所述目标终端根据认证私钥对所述加密随机数进行解密后生成的；所述认证私钥与所述认证公钥相匹配；
根据所述解密随机数与所述任一随机数，实现对所述目标终端的接入认证。


5.根据权利要求1所述的终端接入认证方法，其特征在于，在所述根据所述接入信息，从策略管控服务器中获取所述目标终端的注册认证信息，包括：
接收所述接入信息，并获取...

【专利技术属性】
技术研发人员：林皓，刘建兵，王振欣，杨泳，汤凌峰，
申请(专利权)人：北京北信源软件股份有限公司，
类型：发明
国别省市：北京;11