一种采集在线终端信息的方法、设备、存储介质技术

本申请公开了一种采集在线终端信息的方法、设备、存储介质，该方法包括：通过接入设备接收认证终端根据用户名和密码发起的认证请求数据，对所述认证请求数据进行封装后生成请求报文，将所述请求报文发送至认证服务器；通过所述认证服务器对所述请求报文进行解析，并验证所述请求报文中携带的认证信息，在验证所述认证信息合法后，认证服务器将认证成功的终端验证成功的通知信息实时推送至syslog服务器；通过所述syslog服务器将所述通知信息推送至SDN控制器进行解析，得到关键信息，根据所述关键信息确定与所述认证服务器进行交互的接入设备；SDN控制器根据所述接入设备的IP地址获取认证会话表项，根据所述认证会话表项和所述通知信息获得所述认证终端的各项信息。述通知信息获得所述认证终端的各项信息。述通知信息获得所述认证终端的各项信息。

A method, device and storage medium for collecting online terminal information

【技术实现步骤摘要】
一种采集在线终端信息的方法、设备、存储介质


[0001]本申请涉及网络安全领域，尤其涉及一种采集在线终端信息的方法、设备、存储介质。

技术介绍

[0002]在企业应用的办公网络中，存在诸多地域与部门各类级别的办公用户，为保证用户登录身份的合法性以及保护企业网络的安全性，企业网络往往会开启认证登录系统，只有认证成功并赋予权限的用户可以正常访问企业内部及外部网络。由于企业网络往往都不需要开启计费系统，因此无法获取认证成功用户的上线信息及后续状态，从而无法保存用户的在线记录，不利于办公网络的运行与维护。
[0003]公开号为CN2019112582468的终端接入办公网络安全管控方法及认证服务器。该申请实施例中的终端认证信息获取方法，认证终端发起认证请求，通过获取模块获取并解析终端与认证服务器间的通信报文，然后通过判断模块去判断获取模块得到的通信报文的各项内容，其中，先判断报文中是否包含认证成功或者失败通知，如果包含则继续判断报文格式是否合规，如果报文格式合规则继续判断报文中相应字段值是否符合要求，如果符合要求则获取到认证终端的用户名、密码，MAC地址，终端连接交换机的接入端口与设备地址。
[0004]上述专利方案的缺点为：
[0005]1.认证终端与认证服务器进行交互过程中，通过获取模块获取包含认证结果的报文，然而交互过程中会存在多次且涵盖大量数据的报文，需要每次都获取报文并分析，但其中大部分报文并不符合判断模块要求，造成资源浪费。
[0006]2.对获取的报文通过判断模块判断时，需要进行多次判断，且这多次判断为递进关系，只有依次通过各项条件才可确定报文中所需的终端信息，信息获取方式不够简便。
[0007]3.截取并分析报文所获取的终端信息属性较少。

技术实现思路

[0008]本申请提供了一种基于SDN的在线终端采集方法、设备、存储介质，解决了在未开启计费模式下，难以唯一确定在线终端信息及上线时间，不能及时维护终端的网络授权状态的问题。
[0009]一种采集在线终端信息的方法，包括：
[0010]通过接入设备接收认证终端根据用户名和密码发起的认证请求数据，对所述认证请求数据进行封装后生成请求报文，将所述请求报文发送至认证服务器；
[0011]通过所述认证服务器对所述请求报文进行解析，并验证所述请求报文中携带的认证信息，在验证所述认证信息合法后，认证服务器将认证成功的终端验证成功的通知信息实时推送至syslog服务器；
[0012]通过所述syslog服务器将所述通知信息推送至软件定义网络SDN控制器进行解析，得到关键信息，根据所述关键信息确定与所述认证服务器进行交互的接入设备；
[0013]SDN控制器根据所述接入设备的IP地址获取认证会话表项，根据所述认证会话表项和所述通知信息获得所述认证终端的各项信息。
[0014]在本申请的一种实施例中，在验证所述请求报文中携带的认证信息合法后，所述方法还包括：认证服务器对认证通过的认证终端返回验证成功的通知信息，并根据所述通知信息确定与所述认证终端连接的的接入设备；
[0015]通过所述接入设备获取认证会话表项，根据所述认证会话表项解析出所述认证终端对应的MAC地址；
[0016]根据所述MAC地址确定用户的在线终端信息和终端上线时间。
[0017]在本申请的一种实施例中，所述通过所述syslog服务器将所述通知信息推送至SDN控制器进行解析，得到关键信息，根据所述关键信息确定与所述认证服务器进行交互的接入设备，具体包括：通过所述syslog服务器将所述通知信息推送至SDN控制器进行解析，获取认证成功的认证终端的上线时间、认证用户名和接入设备的IP地址信息；SDN控制器根据所述接入设备的IP地址，从所述接入设备获取认证成功的认证终端的认证会话信息，其中，所述认证会话信息包括接入设备的端口、认证终端的媒体访问控制(Medium/Media Access Control，MAC)地址、终端网络授权状态，终端认证用户名信息。
[0018]在本申请的一种实施例中，在确定与所述认证服务器进行交互的接入设备后，所述方法还包括：确定所述接入设备新增的认证会话，根据所述新增的认证会话确定新增的认证会话表项，将所述新增的认证会话表项存入数据库中；判断所述接入设备中已存在的认证会话包含的MAC地址在所述数据库中是否有对应表项，若是，根据预设的更新机制更新数据库中已存在的认证终端的授权状态以及认证用户名信息。
[0019]在本申请的一种实施例中，在获取所述接入设备的认证会话表项后，所述方法还包括：将所述认证会话表项进行解析，得到认证会话信息，将所述认证会话信息并存入数据库中；并将用户上线时间以及依据MAC地址获取的设备类型存入所述数据库。
[0020]在本申请的一种实施例中，所述方法还包括：通过所述SDN控制器确定所述接入设备所处的组网，获取所述组网的网关设备的IP地址；根据所述网关设备的IP地址和IP地址解析协议(Address Resolution Protocol，ARP)表项获取认证终端的IP地址并同步更新数据库对应表项内容；根据所述通知信息中包含的认证用户名可以匹配接入设备端的认证用户名，从而锁定认证终端的MAC地址及所述认证终端的相关信息。
[0021]在本申请的一种实施例中，所述根据预设的更新机制对所述新增的认证会话表项进行更新，具体包括：将认证会话中的认证用户名以及授权状态与数据库中已有值进行比较，若存在与数据库中的值未匹配的属性，则根据预设更新时间更新变化项。
[0022]在本申请的一种实施例中，在认证终端发起认证请求之前，所述方法还包括：通过SDN控制器构建认证初始环境，以使认证终端连接的接入设备对应的端口使能802.1x功能；将认证服务器同步认证用户名及密码。
[0023]一种采集在线终端信息的设备，包括：
[0024]至少一个处理器；以及，
[0025]与所述至少一个处理器通信连接的存储器；其中，
[0026]所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：
[0027]通过接入设备接收认证终端根据用户名和密码发起的认证请求数据，对所述认证请求数据进行封装后生成请求报文，将所述请求报文发送至认证服务器；
[0028]通过所述认证服务器对所述请求报文进行解析，并验证所述请求报文中携带的认证信息，在验证所述认证信息合法后，认证服务器将认证成功的终端验证成功的通知信息实时推送至syslog服务器；
[0029]通过所述syslog服务器将所述通知信息推送至SDN控制器进行解析，得到关键信息，根据所述关键信息确定与所述认证服务器进行交互的接入设备；
[0030]SDN控制器根据所述接入设备的IP地址获取认证会话表项，根据所述认证会话表项和所述通知信息获得所述认证终端的各项信息。
[0031]一种非易失性存储介质，存储有本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种采集在线终端信息的方法，其特征在于，包括：通过接入设备接收认证终端根据用户名和密码发起的认证请求数据，对所述认证请求数据进行封装后生成请求报文，将所述请求报文发送至认证服务器；通过所述认证服务器对所述请求报文进行解析，并验证所述请求报文中携带的认证信息，在验证所述认证信息合法后，认证服务器将认证成功的终端验证成功的通知信息实时推送至syslog服务器；通过所述syslog服务器将所述通知信息推送至软件定义网络SDN控制器进行解析，得到关键信息，根据所述关键信息确定与所述认证服务器进行交互的接入设备；SDN控制器根据所述接入设备的IP地址获取认证会话表项，根据所述认证会话表项和所述通知信息获得所述认证终端的各项信息。2.根据权利要求1所述的方法，其特征在于，在验证所述请求报文中携带的认证信息合法后，所述方法还包括：认证服务器对认证通过的认证终端返回验证成功的通知信息，并根据所述通知信息确定与所述认证终端连接的接入设备；通过所述接入设备获取认证会话表项，根据所述认证会话表项解析出所述认证终端对应的MAC地址；根据所述MAC地址确定用户的在线终端信息和终端上线时间。3.根据权利要求1所述的方法，其特征在于，所述通过所述syslog服务器将所述通知信息推送至SDN控制器进行解析，得到关键信息，根据所述关键信息确定与所述认证服务器进行交互的接入设备，具体包括：通过所述syslog服务器将所述通知信息推送至SDN控制器进行解析，获取认证成功的认证终端的上线时间、认证用户名和接入设备的IP地址信息；SDN控制器根据所述接入设备的IP地址，从所述接入设备获取认证成功的认证终端的认证会话信息，其中，所述认证会话信息包括接入设备的端口、认证终端的媒体访问控制MAC地址、终端网络授权状态，终端认证用户名信息。4.根据权利要求1所述的方法，其特征在于，在确定与所述认证服务器进行交互的接入设备后，所述方法还包括：确定所述接入设备新增的认证会话，根据所述新增的认证会话确定新增的认证会话表项，将所述新增的认证会话表项存入数据库中；判断所述接入设备中已存在的认证会话包含的MAC地址在所述数据库中是否有对应表项，若是，根据预设的更新机制更新数据库中已存在的认证终端的授权状态以及认证用户名信息。5.根据权利要求3所述的方法，其特征在于，在获取所述接入设备的认证会话表项后，所述方法还包括：将所述认证会话表项进行解析，得到认证会话信息，将所述认证会话信息存入数据库中；并将用户上线时间以及依据MAC地址获取的设备类型存入所述数据库。6.根据权利要求5所述的方法，其特征在于，将所述认证会话信息存入数据库之后，所述方法还包括：
...

【专利技术属性】
技术研发人员：纪晓凤，
申请(专利权)人：浪潮思科网络科技有限公司，
类型：发明
国别省市：