CN102164136B - 安全管理方法、认证客户端、服务器及安全管理系统 - Google Patents
安全管理方法、认证客户端、服务器及安全管理系统 Download PDFInfo
- Publication number
- CN102164136B CN102164136B CN201110093835.2A CN201110093835A CN102164136B CN 102164136 B CN102164136 B CN 102164136B CN 201110093835 A CN201110093835 A CN 201110093835A CN 102164136 B CN102164136 B CN 102164136B
- Authority
- CN
- China
- Prior art keywords
- security
- user
- control information
- server
- authentication client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明提供安全管理方法、认证客户端、服务器及安全管理系统。该安全管理方法包括:认证客户端获取服务器下发携带有安全配置标准的安全控制信息;认证客户端根据所述安全控制信息检测用户的安全配置是否符合所述安全配置标准;若不符合,则所述认证客户端向所述服务器发送安全配置不符合标准通知,以使所述服务器对所述用户进行网络访问控制。本发明的安全管理方法、认证客户端、服务器及安全管理系统能够当同时存在大量用户接入上网时仍确保服务器的高性能。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种安全管理方法、认证客户端、服务器及安全管理系统。
背景技术
随着网络技术的不断发展,网络入侵/病毒活动也在不断的发展,很多网络病毒利用操作系统的漏洞来入侵主机。如果用户防范意识薄弱,未安装杀毒软件或杀毒软件的病毒库版本过低,那么可能会给网络病毒以可乘之机,最终给用户乃至于整个局域网带来极大的危害。
杀毒软件,也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的杀毒软件还带有数据恢复等功能,是计算机防御系统(包含杀毒软件,防火墙,特洛伊木马和其他恶意软件的查杀程序,入侵预防系统等)的重要组成部分。
病毒库其实就是一个数据库,它里面记录着电脑病毒的种种“相貌特征”以便及时发现,绞杀它们,只有这样,杀毒程序才会区分病毒程序于一般程序,所以有时我们也称病毒库里的数据为“病毒特征码”,病毒库是需要时常更新的,这样才能尽量保护你的电脑不被最新流行的病毒所侵害。
现有技术中,为了使接入网络的用户能处于安全状态,需由认证服务器来判断用户的杀毒软件信息是否合法。由于这种判断完全需要由认证服务器来执行,所以当大批量认证用户同时上线时,极大地降低了认证服务器的性能。
发明内容
针对上述缺陷,本发明提供一种安全管理方法、认证客户端、服务器及安全管理系统,以解决现有技术中判断用户的杀毒软件信息是否合法导致认证服务器性能降低的问题。
本发明提供一种安全管理方法,包括:
认证客户端获取服务器下发携带有安全配置标准的安全控制信息;
所述认证客户端根据所述安全控制信息检测用户的安全配置是否符合所述安全配置标准;
若不符合,则所述认证客户端向所述服务器发送安全配置不符合标准通知,以使所述服务器对所述用户进行网络访问控制。
根据本发明的又一方面,还提供一种认证客户端,包括:
安全控制信息获取模块,用于获取服务器下发携带有安全配置标准的安全控制信息;
安全配置检测模块,用于根据所述安全控制信息检测用户的安全配置是否符合所述安全配置标准;
通知发送模块,用于若所述用户的安全配置不符合所述安全配置标准,则向所述服务器发送安全配置不符合标准通知,以使所述服务器对所述用户进行网络访问控制。
根据本发明的再一方面,还提供了另一种安全管理方法,包括:
步骤S1’,服务器向认证客户端下发携带有安全配置标准的安全控制信息,以使所述认证客户端根据所述安全控制信息检测用户的安全配置是否符合所述安全配置标准,若不符合,则向所述服务器发送安全配置不符合标准通知;
步骤S2’,所述服务器响应于所述安全配置不符合标准通知,对所述用户进行网络访问控制。
根据本发明的再一方面,还提供了一种服务器,包括:
安全控制信息发送模块,用于向认证客户端下发携带有安全配置标准的安全控制信息,以使所述认证客户端根据所述安全控制信息检测用户的安全配置是否符合所述安全配置标准,若不符合,则向所述服务器发送安全配置不符合标准通知;
网络访问控制模块,用于响应于所述安全配置不符合标准通知,对所述用户进行网络访问控制。
本发明还提供了一种安全管理系统,包括交换机、本发明提供的服务器与所述服务器连接的本发明提供的认证客户端。
根据本发明提供的安全管理方法、认证客户端、服务器及安全管理系统,由于由认证客户端获取服务器下发的安全控制信息,根据该安全控制信息检测用户的当前安全配置是否符合标准,并仅当不符合时,通知服务器以由服务器采取安全措施限制用户访问指定的网络资源,所以能够由认证客户端执行对用户的检测,减少了服务器的负担,避免了当大批量认证用户同时上线时所导致的服务器的性能下降。
附图说明
图1为本发明安全管理方法的流程图。
图2为实施本发明安全管理方法时各网络设备之间的信息交互示意图。
图3为本发明另一安全管理方法的流程图。
图4为本发明安全管理系统的系统架构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图,对本发明的技术方案进行清楚、完整地描述。
图1为本发明安全管理方法的流程图。如图1所示,该安全管理方法包括以下步骤:
步骤S1,认证客户端获取服务器下发携带有安全配置标准的安全控制信息;
具体地,预先在服务器中配置多个厂商杀毒软件版本/病毒库版本的相关信息,具体内容如表1所示,表1为杀毒软件版本/病毒库版本配置表。
表1
此外,还根据对不同用户的不同安全标准要求,将服务器的所有需要管理的用户划分为不同的用户组(若对于全部用户执行统一的安全标准,则所有的用户均为同一用户组,下面以划分多个用户组为例进行说明),并在服务器中对各用户组应满足的安全配置标准进行配置,即:配置哪些用户应该满足安装了某一款或某多款厂商的杀毒软件版本中的一款,并且可配置病毒库版本是否需要满足一定的要求,如病毒库版本时间需要与当前日期一致或自适应n天。更为具体地,表2为所需配置的用户组信息表,表3为安全配置表,可按照表2和表3中所示出的内容及格式对服务器进行相应配置。
表2
| 字段 | 属性 | 长度 | 是否可为空 | 描述 |
| userGroupIndex | bigint | 8 | No | 唯一索引,PK |
| userGroupName | varchar | 64 | No | 用户组名称 |
| userGroupDesc | varchar | 256 | No | 用户组描述 |
| secApplyIndex | bigint | 8 | No | 安全配置索引 |
表3
此外,还需在服务器中配置用于对用户进行网络访问控制的相关信息。其中,服务器可采用现有技术中的任意网络访问控制方法,优选为基于访问控制列表(ACL)对用户的网络访问进行控制。以此为例,则需在服务器中配置对应于不同用户组的ACL信息。更为具体地,表4为ACL模板表,表5为ACL模板处理表,可按照表4和表5中所示出的内容及格式对服务器进行相应配置。
表4
| 字段 | 属性 | 长度 | 是否可为空 | 描述 |
| secApplyPtIndex | bigint | 8 | No | 唯一索引,PK |
| avsoftIndex | bigint | 8 | No | 杀毒软件控制信息的唯一索引 |
| ptIndex | bigint | 8 | No | ACL模板的唯一索引 |
表5
| 字段 | 属性 | 长度 | 是否可为空 | 描述 |
| userGroupIndex | bigint | 8 | No | 唯一索引,PK |
| userGroupName | varchar | 64 | No | 用户组名称 |
| userGroupDesc | varchar | 256 | No | 用户组描述 |
| secApplyIndex | bigint | 8 | No | 安全配置索引 |
完成上述配置后,服务器在用户接入网络时,向认证客户端下发携带有安全配置标准的安全控制信息,该安全控制信息中例如包括杀毒软件控制信息和病毒库版本控制信息。优选地,服务器将上述安全控制信息组装置在一个报文中(若报文长度大于报文的最大传输单元可应用现有技术自动分片)通过直通报文向认证客户端下发,即服务器与认证客户端之间直接通过如UDP报文、TCP报文或HTTP报文等多种形式通信,当采用这种直通报文的形式时,可以不对报文的信息进行限制,即可包括所有的杀毒软件控制信息,如杀毒软件的厂商、杀毒软件的版本、病毒库版本自适应天数(可配置天数为n,则认为病毒库版本比当前时间晚n天也认为符合标准)等,而不仅仅是指定病毒库版本为某一数值。
步骤S2,所述认证客户端根据所述安全控制信息检测用户的安全配置是否符合所述安全配置标准;
具体地,认证客户端从服务器获取安全控制信息后,解析该安全控制信息中所携带的安全配置标准,即该用户应安装哪(些)款杀毒软件及用户的病毒库应满足的版本要求。认证客户端检测用户当前所安装的杀毒软件的信息及病毒库的版本信息,并将其与安全配置标准相比较,以获知用户的当前安全配置是否符合标准。
步骤S3,若不符合,则所述认证客户端向所述服务器发送安全配置不符合标准通知,以使所述服务器所述用户进行网络访问控制。
具体地,若认证客户端检测获知用户的当前安全配置不符合服务器设定的安全配置标准,则通知服务器。若预先在服务器中配置的网络访问控制相关信息为表4和表5所示的ACL信息,则服务器在接收到该通知后,可通过已获取的该用户的用户信息获知该用户所在的用户组(该用户信息可以在服务器对用户进行网络接入认证时获取,即服务器获取携带有用户信息的认证请求后,将用户信息记录到数据库表中,具体的记录内容及格式可依照表6执行),在表2所示的用户组信息表中查找到该用户所对应的用户组的安全配置不符合标准时采取安全措施的安全配置索引(secApplyIndex字段),通过所获取的secApplyIndex字段内容,可以在表4中得到相应的ACL模板的唯一索引(ptIndex字段),从而通过ptIndex字段的内容检索到具体的ACL,并通过查询用户信息表获知该用户的接入交换机的端口和接入交换机的IP,从而将ACL发送至该用户所接入的交换机端口,以由交换机根据该ACL来限制用户只能访问固定的网络资源,该固定的网络资源例如为杀毒软件安装程序下载服务器和杀毒软件病毒库版本升级服务器。
表6
| 字段 | 属性 | 长度 | NULL | 默认值 | 描述 |
| userIndex | bigint | 8 | No | 用户唯一标识 | |
| userID | varchar | 32 | No | 用户认证名 | |
| userGroupName | varchar | 64 | No | 用户组名称 | |
| userMac | varchar | 17 | Yes | 用户MAC | |
| userIP | varchar | 15 | Yes | 用户IP | |
| nasIP | varchar | 15 | Yes | 用户接入交换机的IP | |
| nasPort | int | 4 | Yes | 用户接入交换机的端口 |
根据上述实施例的安全管理方法,通过由认证客户端获取服务器下发的安全控制信息,根据该安全控制信息检测用户的当前安全配置是否符合标准,并仅当不符合时,通知服务器以由服务器采取安全措施限制用户访问指定的网络资源,所以能够由认证客户端执行对用户的检测,减少了服务器的负担,避免了当大批量认证用户同时上线时所导致的服务器的性能下降。
进一步地,在上述实施例的安全管理方法中,认证客户端获取服务器下发携带有安全配置标准的安全控制信息的步骤之前还包括:
所述认证客户端向所述认证服务器发送携带有用户信息的认证请求,以使所述认证服务器响应于所述认证请求对所述用户进行认证,并当通过认证时,根据所述用户信息查询预先配置的安全控制信息列表,获取与所述用户对应的所述安全控制信息。
具体地,网内用户接入网络时,需首先通过认证客户端向服务器发起认证请求,认证服务器会将用户的用户名、密码以及IP、用户MAC地址等网络信息携带在认证请求中上报给服务器。服务器检测到认证请求后,校验用户名、密码是否正确,若正确,则向交换机下发打开端口的通知,此时用户才能访问网络,并且,服务器将认证请求中携带的用户的网络信息记录到数据库表中,具体格式例如表6所示。
服务器在用户通过认证后,通过根据表6中的该用户的用户组名称(userGroupName)查询安全控制信息列表,获取与该用户组相对应的安全控制信息。
进一步地,在上述实施例的安全管理方法中,所述安全控制信息还携带有安全配置文件下载地址,相应地,还包括:
所述认证客户端若检测获知所述用户的安全配置不符合所述安全配置标准,连接所述安全配置文件下载地址,下载所述安全配置文件。
具体地,服务器在向认证客户端下发杀毒软件控制信息及病毒库版本控制信息时,还同时下发杀毒软件安装程序下载服务器的地址和病毒库版本更新地址。则认证客户端在获知用户不符合安全配置标准时,不仅向服务器发送相应的通知,还自动连接到杀毒软件下载服务器下载杀毒软件并在下载完成后启动安装,或是病毒库版本不符合标准时自动连接到病毒库版本更新服务器自动更新病毒库版本。
根据上述实施例的安全管理方法,当用户认证上网后,若该用户未安装指定的杀毒软件或杀毒软件的病毒库版本,则认证客户端将自动完成杀毒软件的下载及安装且自动更新病毒库版本。
进一步地,在上述实施例的安全管理方法中,还包括:
所述认证客户端在完成下载后向所述服务器发送安全配置更新完成通知,以使所述服务器停止对所述用户进行网络访问控制。
具体地,认证客户端完成上述下载操作后,通知服务器已完成杀毒软件安装和/或病毒库版本更新操作。服务器接收到该通知后,获知用户的安全配置已符合标准,停止对用户的网络访问控制,例如通知交换机删除该用户的访问控制列表,以使交换机停止对该用户的网络访问进行限制。
根据上述实施例的安全管理方法,当认证客户端完成杀毒软件的安装及病毒库版本升级后,能够自动解除网络隔离,从而使用户上网更为便捷。
图2为实施本发明安全管理方法时各网络设备之间的信息交互示意图。如图2所示,实施本发明安全管理方法需涉及以下信息交互:
1、认证客户端向服务器(安全管理服务器)发送认证请求,以认证上网;
2、服务器在认证通过后,向交换机发送打开端口通知;
3、服务器向认证客户端下发杀毒软件版本/病毒库版本控制信息;
4、认证客户端若根据服务器下发的杀毒软件版本/病毒库版本控制信息检测获知用户的杀毒软件版本或病毒库版本不符合要求,则向服务器上报杀毒软件版本或病毒库版本不符合要求;
5、服务器为交换机(安全接入交换机)安装ACL;
6、(6.1)认证客户端从杀毒软件安装程序下载服务器自动下载杀毒软件安装程序;(6.2)从病毒库升级服务器自动更新病毒库版本;
7、认证客户端向服务器上报杀毒软件版本与病毒库版本符合要求;
8、服务器通知交换机卸载ACL。
本发明还提供一种认证客户端,包括:
安全控制信息获取模块,用于获取服务器下发携带有安全配置标准的安全控制信息;
安全配置检测模块,用于根据所述安全控制信息检测用户的安全配置是否符合所述安全配置标准;
通知发送模块,用于若所述用户的安全配置不符合所述安全配置标准,则向所述服务器发送安全配置不符合标准通知,以使所述服务器对所述用户进行网络访问控制。其中,服务器可采用现有技术中的任意网络访问控制方法对用户进行网络访问控制,优选为向该用户的接入设备下发ACL,以使接入设备只允许用户对该ACL中所包含的网络地址进行访问。
上述实施例的认证客户端执行安全管理的流程与上述实施例的安全管理方法相同,故此处不再赘述。
根据上述实施例的认证客户端,通过获取服务器下发的安全控制信息,根据该安全控制信息检测用户的当前安全配置是否符合标准,并仅当不符合时,通知服务器以由服务器采取安全措施限制用户访问指定的网络资源,所以能够由认证客户端执行对用户的检测,减少了服务器的负担,避免了当大批量认证用户同时上线时所导致的服务器的性能下降。
进一步地,在上述实施例的认证客户端中,还包括:
安全配置文件下载模块,用于若所述用户的安全配置不符合所述安全配置标准,连接所述安全配置文件下载地址,下载所述安全配置文件。
根据上述实施例的认证客户端,能够当获知用户未安装指定的杀毒软件或杀毒软件的病毒库版本时,自动完成杀毒软件的下载及安装且自动更新病毒库版本。
进一步地,在上述实施例的认证客户端中,所述通知发送模块还用于在完成下载后向所述服务器发送安全配置更新完成通知,以使所述服务器对所述用户进行网络访问控制。
根据上述实施例的认证客户端,由于认证客户端在完成杀毒软件的安装及病毒库版本升级后,能够自动解除网络隔离,从而使用户上网更为便捷。
进一步地,在上述实施例的认证客户端中,还包括:
认证请求发送模块,用于向所述认证服务器发送携带有用户信息的认证请求,以使所述认证服务器响应于所述认证请求对所述用户进行认证,并当通过认证时,根据所述用户信息查询预先配置的安全控制信息列表,并向所述认证客户端下发与所述用户对应的所述安全控制信息。
图3为本发明另一安全管理方法的流程图。如图3所示,该安全管理方法包括以下步骤:
步骤S1’,服务器向认证客户端下发携带有安全配置标准的安全控制信息,以使所述认证客户端根据所述安全控制信息检测用户的安全配置是否符合所述安全配置标准,若不符合,则向所述服务器发送安全配置不符合标准通知;
步骤S2’,所述服务器响应于所述安全配置不符合标准通知,对所述用户进行网络访问控制。
其中,在步骤S2’中,服务器可采用现有技术中的任意网络访问控制方法对用户进行网络访问控制,优选为向该用户的接入设备下发ACL,以使接入设备只允许用户对该ACL中所包含的网络地址进行访问。
根据上述实施例的安全管理方法,通过服务器向认证客户端下发安全控制信息,以由认证客户端根据该安全控制信息检测用户的当前安全配置是否符合标准,并仅当不符合时,通知服务器以由服务器采取安全措施限制用户访问指定的网络资源,所以能够由认证客户端执行对用户的检测,减少了服务器的负担,避免了当大批量认证用户同时上线时所导致的服务器的性能下降。
进一步地,在上述实施例的安全管理方法中,服务器向认证客户端下发携带有安全配置标准的安全控制信息的步骤之前还包括:
所述服务器响应于所述认证客户端发送的携带有用户信息的认证请求,对所述用户进行认证;
若所述认证通过,所述服务器根据所述用户信息查询预先配置的安全控制信息列表,获取与所述用户对应的所述安全控制信息。
进一步地,在上述实施例的安全管理方法中,安全控制信息还携带有安全配置文件下载地址,相应地,所述服务器响应于所述安全配置不符合标准通知,对所述用户进行网络访问控制的步骤之后还包括:
所述服务器接收所述认证客户端发送的安全配置更新完成通知,并响应于所述安全配置更新完成通知停止对所述用户进行网络访问控制。
本发明还提供一种服务器,该服务器包括:
安全控制信息发送模块,用于向认证客户端下发携带有安全配置标准的安全控制信息,以使所述认证客户端根据所述安全控制信息检测用户的安全配置是否符合所述安全配置标准,若不符合,则向所述服务器发送安全配置不符合标准通知;
网络访问控制模块,用于响应于所述安全配置不符合标准通知,对所述用户进行网络访问控制。
其中,网络访问控制模块可采用现有技术中的任意网络访问控制方法对用户进行网络访问控制,优选为向该用户的接入设备下发ACL,以使接入设备只允许用户对该ACL中所包含的网络地址进行访问。
上述实施例的服务器执行安全管理的流程与上述实施例的安全管理方法相同,故此处不再赘述。
根据上述实施例的服务器,通过向认证客户端下发安全控制信息,以由认证客户端根据该安全控制信息检测用户的当前安全配置是否符合标准,并仅当不符合时,通知服务器,并且服务器采取安全措施限制用户访问指定的网络资源,所以能够由认证客户端执行对用户的检测,减少了服务器的负担,避免了当大批量认证用户同时上线时所导致的服务器的性能下降,具有更为稳定可靠的性能。
进一步地,在上述实施例的服务器中,还包括:
认证模块,用于响应于所述认证客户端发送的携带有用户信息的认证请求,对所述用户进行认证;
安全控制信息获取模块,用于若所述认证通过,所述服务器根据所述用户信息查询预先配置的安全控制信息列表,获取与所述用户对应的所述安全控制信息。
进一步地,在上述实施例的服务器中,所述安全控制信息还携带有安全配置文件下载地址,相应地,还包括:
终止访问控制模块,用于接收所述认证客户端发送的安全配置更新完成通知,并响应于所述安全配置更新完成通知对所述用户进行网络访问控制。
图4为本发明安全管理系统的系统架构图。如图4中所示,该安全管理系统包括交换机、上述任一实施例的服务器,和与服务器连接的至少一个上述任一实施例的认证客户端。此外,该安全管理系统还可包括杀毒软件安装程序下载服务器和病毒库升级服务器。
根据上述实施例的安全管理系统,能够提供由认证客户端执行检测,从而确保服务器性能可靠、稳定的安全管理。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种安全管理方法,其特征在于,包括:
认证客户端获取认证服务器下发携带有安全配置标准的安全控制信息;
所述认证客户端根据所述安全控制信息检测用户的安全配置是否符合所述安全配置标准;
若不符合,则所述认证客户端向所述认证服务器发送安全配置不符合标准通知,以使所述认证服务器对所述用户进行网络访问控制;
所述安全控制信息还携带有安全配置文件下载地址,相应地,还包括:
所述认证客户端若检测获知所述用户的安全配置不符合所述安全配置标准,连接所述安全配置文件下载地址,下载所述安全配置文件;
所述认证客户端在完成下载后向所述认证服务器发送安全配置更新完成通知,以使所述认证服务器停止对所述用户进行网络访问控制。
2.根据权利要求1所述的安全管理方法,其特征在于,所述认证客户端获取认证服务器下发携带有安全配置标准的安全控制信息的步骤之前还包括:
所述认证客户端向所述认证服务器发送携带有用户信息的认证请求,以使所述认证服务器响应于所述认证请求对所述用户进行认证,并当通过认证时,根据所述用户信息查询预先配置的安全控制信息列表,获取与所述用户对应的所述安全控制信息。
3.一种认证客户端,其特征在于,包括:
安全控制信息获取模块,用于获取认证服务器下发携带有安全配置标准的安全控制信息;
安全配置检测模块,用于根据所述安全控制信息检测用户的安全配置是否符合所述安全配置标准;
通知发送模块,用于若所述用户的安全配置不符合所述安全配置标准,则向所述认证服务器发送安全配置不符合标准通知,以使所述认证服务器对所述用户进行网络访问控制;
安全配置文件下载模块,用于若所述用户的安全配置不符合所述安全配置标准,连接所述安全配置文件下载地址,下载所述安全配置文件,其中所述安全控制信息还携带有所述安全配置文件下载地址;
所述通知发送模块还用于在完成下载后向所述认证服务器发送安全配置更新完成通知,以使所述认证服务器停止对所述用户进行网络访问控制。
4.根据权利要求3所述的认证客户端,其特征在于,还包括:
认证请求发送模块,用于向所述认证服务器发送携带有用户信息的认证请求,以使所述认证服务器响应于所述认证请求对所述用户进行认证,并当通过认证时,根据所述用户信息查询预先配置的安全控制信息列表,并向所述认证客户端下发与所述用户对应的所述安全控制信息。
5.一种安全管理方法,其特征在于,包括:
步骤S1’,认证服务器向认证客户端下发携带有安全配置标准的安全控制信息,以使所述认证客户端根据所述安全控制信息检测用户的安全配置是否符合所述安全配置标准,若不符合,则向所述认证服务器发送安全配置不符合标准通知;
步骤S2’,所述认证服务器响应于所述安全配置不符合标准通知对所述用户进行网络访问控制;
所述安全控制信息还携带有安全配置文件下载地址,若所述认证客户端检测获知所述用户的安全配置不符合所述安全配置标准,则连接所述安全配置文件下载地址,下载所述安全配置文件,并在下载完成后,相应地,所述步骤S2’之后还包括:
所述认证服务器接收所述认证客户端发送的安全配置更新完成通知,并响应于所述安全配置更新完成通知停止对所述用户进行网络访问控制。
6.根据权利要求5所述的安全管理方法,其特征在于,所述认证服务器向认证客户端下发携带有安全配置标准的安全控制信息的步骤之前还包括:
所述认证服务器响应于所述认证客户端发送的携带有用户信息的认证请求,对所述用户进行认证;
若所述认证通过,所述认证服务器根据所述用户信息查询预先配置的安全控制信息列表,获取与所述用户对应的所述安全控制信息。
7.一种认证服务器,其特征在于,包括:
安全控制信息发送模块,用于向认证客户端下发携带有安全配置标准的安全控制信息,以使所述认证客户端根据所述安全控制信息检测用户的安全配置是否符合所述安全配置标准,若不符合,则向所述认证服务器发送安全配置不符合标准通知;
网络访问控制模块,用于响应于所述安全配置不符合标准通知,对所述用户进行网络访问控制;
所述安全控制信息还携带有安全配置文件下载地址,若所述认证客户端检测获知所述用户的安全配置不符合所述安全配置标准,则连接所述安全配置文件下载地址,下载所述安全配置文件,并在下载完成后,相应地,还包括:
终止访问控制模块,用于接收所述认证客户端发送的安全配置更新完成通知,并响应于所述安全配置更新完成通知停止对所述用户进行网络访问控制。
8.根据权利要求7所述的认证服务器,其特征在于,还包括:
认证模块,用于响应于所述认证客户端发送的携带有用户信息的认证请求,对所述用户进行认证;
安全控制信息获取模块,用于若所述认证通过,所述认证服务器根据所述用户信息查询预先配置的安全控制信息列表,获取与所述用户对应的所述安全控制信息。
9.一种安全管理系统,其特征在于,包括交换机、如权利要求7或8所述的认证服务器与所述认证服务器连接的至少一个如权利要求3或4所述认证客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110093835.2A CN102164136B (zh) | 2011-04-14 | 2011-04-14 | 安全管理方法、认证客户端、服务器及安全管理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110093835.2A CN102164136B (zh) | 2011-04-14 | 2011-04-14 | 安全管理方法、认证客户端、服务器及安全管理系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102164136A CN102164136A (zh) | 2011-08-24 |
| CN102164136B true CN102164136B (zh) | 2014-08-27 |
Family
ID=44465110
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110093835.2A Active CN102164136B (zh) | 2011-04-14 | 2011-04-14 | 安全管理方法、认证客户端、服务器及安全管理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102164136B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486292B (zh) * | 2014-11-24 | 2018-01-23 | 东软集团股份有限公司 | 一种企业资源安全访问的控制方法、装置及系统 |
| CN105871908B (zh) * | 2016-05-30 | 2020-04-07 | 北京琵琶行科技有限公司 | 企业网络边界设备访问控制策略的管控方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101072108A (zh) * | 2007-07-17 | 2007-11-14 | 杭州华三通信技术有限公司 | 一种ssl vpn客户端安全检查方法、系统及其装置 |
| CN101262485A (zh) * | 2008-04-10 | 2008-09-10 | 华为技术有限公司 | 认证方法与系统、服务器及客户端 |
-
2011
- 2011-04-14 CN CN201110093835.2A patent/CN102164136B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101072108A (zh) * | 2007-07-17 | 2007-11-14 | 杭州华三通信技术有限公司 | 一种ssl vpn客户端安全检查方法、系统及其装置 |
| CN101262485A (zh) * | 2008-04-10 | 2008-09-10 | 华为技术有限公司 | 认证方法与系统、服务器及客户端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102164136A (zh) | 2011-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200162466A1 (en) | Certificate based profile confirmation | |
| US10104128B2 (en) | Automatically configuring mobile devices and applying policy based on device state | |
| US10200412B2 (en) | Security policy enforcement for mobile devices based on device state | |
| US11310262B1 (en) | Real-time vulnerability monitoring | |
| US20210044579A1 (en) | Systems and Methods of Remotely Updating a Multitude of IP Connected Devices | |
| US11888890B2 (en) | Cloud management of connectivity for edge networking devices | |
| US10609063B1 (en) | Computer program product and apparatus for multi-path remediation | |
| US9225686B2 (en) | Anti-vulnerability system, method, and computer program product | |
| US8359464B2 (en) | Quarantine method and system | |
| CN110493195B (zh) | 一种网络准入控制方法及系统 | |
| KR101143847B1 (ko) | 네트워크 보안장치 및 그 방법 | |
| US20150033287A1 (en) | Anti-vulnerability system, method, and computer program product | |
| JP2006252256A (ja) | ネットワーク管理システム、方法およびプログラム | |
| US9021253B2 (en) | Quarantine method and system | |
| CN107103216B (zh) | 业务信息防护装置 | |
| CN115701019A (zh) | 零信任网络的访问请求处理方法、装置及电子设备 | |
| US20220179636A1 (en) | Vehicle controller | |
| CN102164136B (zh) | 安全管理方法、认证客户端、服务器及安全管理系统 | |
| KR101233934B1 (ko) | 지능형 통합 보안 관리 시스템 및 방법 | |
| CN108494749B (zh) | Ip地址禁用的方法、装置、设备及计算机可读存储介质 | |
| CN102158480A (zh) | 系统服务修复控制方法、系统及装置 | |
| CN109076068A (zh) | 减少经由网络接入点对设备弱点的攻击可能性 | |
| CN116996238A (zh) | 一种网络异常访问的处理方法以及相关装置 | |
| KR102284183B1 (ko) | 웹 기반 sql 툴을 이용한 접근 제어 시스템 및 방법 | |
| CN111226415A (zh) | 用于与服务处理器通信的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |