CN104796383A - 一种终端信息防篡改的方法和装置 - Google Patents
一种终端信息防篡改的方法和装置 Download PDFInfo
- Publication number
- CN104796383A CN104796383A CN201410025278.4A CN201410025278A CN104796383A CN 104796383 A CN104796383 A CN 104796383A CN 201410025278 A CN201410025278 A CN 201410025278A CN 104796383 A CN104796383 A CN 104796383A
- Authority
- CN
- China
- Prior art keywords
- terminal equipment
- end message
- information
- message
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种终端信息防篡改的方法和装置,该方法包括:认证服务器接收来自终端设备的认证报文,判断所述终端设备对应的用户标识当前绑定的地址数量是否小于预设绑定地址的数量阈值;如果否,丢弃该认证报文并通知接入设备禁止该终端设备接入;如果是,则认证服务器根据该认证报文对所述终端设备进行认证;如果认证不通过,则丢弃该认证报文并通知接入设备禁止该终端设备接入;如果认证通过,则认证服务器获取所述终端设备的终端信息,并通过比较当前获取的终端信息与数据库中记录的该终端设备的终端信息是否相同,确定当前认证通过的终端设备的终端信息是否被篡改。本发明中,可以提高接入策略管理效率和安全性。
Description
技术领域
本发明涉及数据通信技术领域,尤其是涉及一种终端信息防篡改的方法和装置。
背景技术
为了提高工作效率,降低企业的成本,目前许多企业允许员工自带设备办公。基于此,BYOD(Bring Your Own Device)技术应运而生。然而,当员工自带设备办公时,可能会给企业带来很多的安全问题。例如:员工终端设备上的恶意软件可能会被传入公司内部网络带来损失等。因此,使用BYOD技术的前提是能够提供足够安全的保障,需要根据不同类型的终端设备执行不同的安全策略,即对不同类型的终端设备采用不同级别的安全控制策略,从而实现公司机密与个人隐私之间有效的隔离。
现有技术中,通过在接入设备上绑定终端设备的MAC(Media AccessControl,介质访问控制)地址与用户名之间的对应关系,从而只允许特定MAC地址的终端设备接入网络。例如,通过绑定MAC地址1与用户名1之间的对应关系,在进行认证时,通过MAC地址1的终端设备输入用户名1和相应密码时才能够通过认证,在通过其它MAC地址的终端设备输入用户名1和相应密码时,则无法通过认证,继而禁止通过其它MAC地址的终端设备接入网络。
但是,如果对终端设备的MAC地址进行篡改,则用户可以使用任意终端设备接入网络,从而无法保证企业内部网络的安全性。例如,用户将终端设备的MAC地址从MAC地址2篡改为MAC地址1,使用户能够基于该终端设备输入用户名1和相应密码通过认证,而该终端设备实际上不允许接入网络。
发明内容
有鉴于此,本发明提供一种终端信息防篡改的方法和装置,以解决现有技术存在的问题,继而保证企业内部网络的安全性。
为了达到上述目的,本发明提供一种终端信息防篡改的方法,所述方法包括:步骤A、认证服务器接收来自终端设备的认证报文,判断所述终端设备对应的用户标识当前绑定的地址数量是否小于预设绑定地址的数量阈值,如果是,则转入步骤B,否则,则丢弃该认证报文并通知接入设备禁止该终端设备接入;步骤B、认证服务器根据该认证报文对所述终端设备进行认证,如果认证通过,则转入步骤C,否则,则丢弃该认证报文并通知接入设备禁止该终端设备接入;步骤C、认证服务器获取所述终端设备的终端信息,并通过比较当前获取的终端信息与数据库中记录的该终端设备的终端信息是否相同,确定当前认证通过的终端设备的终端信息是否被篡改。
所述步骤A之前,进一步包括:
步骤D、认证服务器在接收到来自终端设备的认证报文时,从该认证报文中获取该终端设备的用户标识和地址信息;
步骤E、认证服务器将获取的用户标识和地址信息与数据库中记录的用户标识和地址信息进行比较,判断数据库中是否保存有该终端设备对应的地址信息,如果否,则执行步骤A;如果是,则执行步骤B。
进一步地,所述步骤C具体包括:
步骤C1、认证服务器通过信息识别方式获取所述终端设备的终端信息;
步骤C2、认证服务器判断数据库中记录的终端信息与当前获取的终端信息是否相同,如果是,则执行步骤C3;否则,则执行步骤C4;
步骤C3、认证服务器确定当前获取的终端信息没有被篡改,根据预定的策略为所述终端设备开放接入权限;
步骤C4、认证服务器确定当前获取的终端信息被篡改,根据预定的策略禁止所述终端设备接入网络或者选择对所述终端设备进行监控。
进一步地,所述步骤C4具体包括:
如果当前获取的终端信息的信息识别方式与数据库中记录的终端信息的原始信息识别方式相同,在当前获取的终端信息与数据库中记录的终端信息不同时,所述认证服务器确定当前获取的终端信息被篡改,且所述认证服务器在日志中记录终端信息被篡改的信息,并强制所述终端设备下线;
如果当前获取的终端信息的信息识别方式与数据库中记录的终端信息的原始信息识别方式不同,在当前获取的终端信息与数据库中记录的终端信息不同时,则所述认证服务器确定当前获取的终端信息可能被篡改,且所述认证服务器在日志中记录终端信息可能被篡改的信息,并强制所述终端设备下线或者保持终端设备在线,在保持终端设备在线时,对该终端设备进行监控。
进一步地,所述信息识别方式包括以下之一或任意组合:动态主机配置协议DHCP识别方式、超文本传输协议HTTP识别方式、iNode客户端识别方式;所述终端信息包括以下之一或任意组合:生产厂商信息、操作系统类型信息、设备型号信息、设备类型信息、介质访问控制MAC地址信息、IP地址信息。
本发明同时提供一种终端信息防篡改的装置,其中,该装置包括:
判断模块,用于接收来自终端设备的认证报文,判断所述终端设备对应的用户标识当前绑定的地址数量是否小于预设绑定地址的数量阈值,如果是,则通知认证模块对所述终端设备进行认证;如果否,则丢弃该认证报文并通知接入设备禁止该终端设备接入;
认证模块,用于根据认证报文对所述终端设备进行认证,如果认证通过,则通知比较模块确定所述终端设备的终端信息是否被篡改;如果认证不通过,则丢弃该认证报文并通知接入设备禁止该终端设备接入;
比较模块,用于在所述终端设备认证通过后,获取所述终端设备的终端信息,并比较当前获取的终端信息与数据库中记录的该终端设备的终端信息是否相同,确定当前认证通过的终端设备的终端信息是否被篡改。
进一步地,所述装置还包括:识别处理模块,用于
在判断模块确定所述终端设备对应的用户标识当前绑定的地址数量是否小于预设绑定地址的数量阈值之前,接收到来自终端设备的认证报文时,从该认证报文中获取该终端设备的用户标识和地址信息,并将获取的用户标识和地址信息与数据库中记录的用户标识和地址信息进行比较,判断数据库中是否保存有该终端设备对应的地址信息;如果是,则直接通知认证模块根据该认证报文对所述终端设备进行认证;如果否,则通知判断模块确定所述终端设备对应的用户标识当前绑定的地址数量是否小于预设绑定地址的数量阈值。
进一步地,所述装置还包括:权限处理模块,用于
当比较模块确定当前获取的终端信息没有被篡改时,根据预定的策略为所述终端设备开放接入权限;当比较模块确定当前获取的终端信息被篡改时,则根据预定的策略禁止所述终端设备接入网络或者选择对所述终端设备进行监控。
进一步地,所述权限处理模块,还用于:
如果当前获取的终端信息的信息识别方式与数据库中记录的终端信息的原始信息识别方式相同,在当前获取的终端信息与数据库中记录的终端信息不同时,则确定当前获取的终端信息被篡改,且在日志中记录终端信息被篡改的信息,并强制所述终端设备下线;
如果当前获取的终端信息的信息识别方式与数据库中记录的终端信息的原始信息识别方式不同,在当前获取的终端信息与数据库中记录的终端信息不同时,则确定当前获取的终端信息可能被篡改,且在日志中记录终端信息可能被篡改的信息,并强制所述终端设备下线或者保持终端设备在线,在保持终端设备在线时,对该终端设备进行监控。
进一步地,所述信息识别方式包括以下之一或任意组合:动态主机配置协议DHCP识别方式、超文本传输协议HTTP识别方式、iNode客户端识别方式;所述终端信息包括以下之一或任意组合:生产厂商信息、操作系统类型信息、设备型号信息、设备类型信息、介质访问控制MAC地址信息、IP地址信息。
与现有技术相比,本发明至少具有以下优点:本发明中,不仅可以有效的判别终端信息是否被人为篡改,而且可以在确定终端信息被篡改后,根据预定的策略禁止所述终端设备接入网络或者选择对所述终端设备进行监控,从而提高自带终端设备接入网络策略的管理效率、灵活性和安全性。
另外,通过设置预设地址绑定数量阈值,以在用户使用的终端设备的数量大于该预设地址绑定数量阈值时,能够拒绝用户使用该终端设备接入网络,从而有效防止用户通过大量终端设备对网络的攻击,保证企业内部网络的安全性。
附图说明
图1是本发明示例性实施例提供的终端信息防篡改的方法流程示意图;
图2是本发明示例性实施例提供的判断当前终端设备在本次接入之前是否已经成功接入过网络的流程示意图;
图3是本发明示例性实施例提供的确定当前认证通过的终端设备的终端信息是否被篡改的流程示意图;
图4是本发明示例性实施例提供的终端信息防篡改的装置结构示意图。
具体实施方式
针对现有技术中存在的问题,本发明提供一种终端信息防篡改的方法,该方法不仅可以有效地判别终端信息是否被人为篡改,而且可以在确定终端信息被篡改后,根据预定的策略禁止所述终端设备接入网络或者选择对所述终端设备进行监控,从而提高自带终端设备接入网络策略的管理效率、灵活性和安全性。如图1所示,该方法包括以下步骤:
步骤1,认证服务器接收来自终端设备的认证报文,判断所述终端设备对应的用户标识当前绑定的地址数量是否小于预设绑定地址的数量阈值,如果是,则转入步骤2,否则,则直接丢弃该认证报文并通知接入设备禁止该终端设备接入。
本发明中,所述终端设备的地址信息通常为该终端设备的MAC地址信息,但如果该终端设备的IP地址为静态配置的IP地址时,则所述终端设备的地址信息也可以为该终端设备的IP地址信息。为描述方便,本发明示例性实施例中将以终端设备的MAC地址信息为例进行说明。
所述用户标识的预设绑定地址的数量阈值可以根据实际需要任意设置。该预设绑定地址的数量阈值具体用于表示该用户标识可以通过几个不同的终端设备接入网络。例如:当允许某个用户标识通过3个不同的终端设备接入网络时,则该用户标识的预设绑定地址的数量阈值为3。
所述认证服务器接收来自终端设备的认证报文,判断所述终端设备对应的用户标识当前绑定的地址数量是否小于预设绑定地址的数量阈值。例如:假设某应用场景下,用户标识1的预设绑定MAC/IP地址的数量阈值为3,所述认证服务器判断当前该用户标识1实际绑定的在用MAC/IP地址的数量为2,由于该实际绑定的地址数量小于预设绑定的MAC/IP地址数量阈值,此时依据本发明将继续执行步骤2;反之,假设某应用场景下,认证服务器判断当前用户标识1绑定的实际在用的MAC/IP地址数量已经为3,亦即,达到事先预设的该用户标识1对应的MAC/IP地址绑定数量阈值时,说明该用户标识1在此之前已经有3台终端设备接入网络。此时,当使用该用户标识1的终端设备再次发起认证时,所述认证服务器将直接丢弃该认证报文,并通知接入设备拒绝该终端设备接入网络。
这样,本发明基于终端设备MAC/IP地址的唯一性,通过预设用户标识对应的MAC/IP地址绑定的数量阈值,就可以做到限制有限数量甚至单个的终端设备接入网络,以在用户标识对应的终端设备的数量大于该预设MAC/IP地址绑定的数量阈值时,能够拒绝用户继续使用其他终端设备接入网络,从而有效防止用户通过大量终端设备对网络的攻击。
需要说明的是,如图2所示,在步骤1之前,所述认证服务器还需要进一步判断当前终端设备在本次接入之前是否已经成功接入过网络,具体执行以下步骤:
步骤11,所述认证服务器在接收到来自终端设备的认证报文时,从该认证报文中获取该终端设备的用户标识和地址信息。
步骤12,所述认证服务器与其自身数据库中记录的用户标识和地址信息进行比较,判断其数据库中是否保存有该终端设备对应的地址信息,如果否,则执行步骤1;如果是,则执行步骤2。
本发明中,来自终端设备的认证报文中会携带用于认证的用户标识(此用户标识为终端设备对应的用户标识)、密码以及MAC/IP地址等信息。此外,认证服务器的数据库上维护有用户标识表项,该用户标识表项中记录有用户标识、MAC/IP地址信息、终端信息以及该用户标识对应绑定的MAC/IP地址数量(在地址信息为MAC地址信息时,地址绑定数量为MAC地址绑定数量)之间的对应关系等。
如表1所示,为本发明一种用户标识表项的示例。当用户标识为标识1(认证服务器从认证报文中获得),终端设备的MAC地址信息为MAC地址1(认证服务器从认证报文中获得)时,则说明终端设备对应的用户标识下记录有该MAC地址信息(MAC地址1),执行步骤2;当用户标识为标识1,终端设备的MAC地址信息为非用户标识表项中的MAC地址3时,则说明终端设备对应的用户标识下没有记录该MAC地址信息(MAC地址3),执行步骤1。
表1
步骤2,认证服务器根据接收的终端设备的认证报文对所述终端设备进行认证,如果认证通过,则转入步骤3,否则,则直接丢弃该认证报文并通知接入设备禁止该终端设备接入。
其中,由于认证报文中携带了用于认证的用户标识和密码等信息,因此认证服务器可以直接利用用户标识和密码等信息对终端设备进行认证,该认证过程由于是现有技术,在此不再赘述。
如果终端设备认证通过,且在此之前,所述认证服务器的数据库中已记录了该用户标识和对应的MAC/IP地址、终端信息之间的对应关系,则表示该用户标识对应的当前终端设备之前已经成功接入过网络,此时所述认证服务器不需要更新其数据库中保存的用户标识表项,具体如上表1所示。
反之,如果在此之前,所述认证服务器的数据库中没有记录该用户标识、MAC/IP地址及终端信息之间的对应关系,则表示该用户标识对应的当前终端设备之前未成功接入过网络,需要更新用户标识表项。亦即,在所述认证服务器的数据库中记录该终端设备的用户标识、MAC/IP地址及终端信息,以及他们之关的对应关系,并同时更新该用户标识当前绑定的MAC/IP地址数量。例如:假设某应用场景下,认证服务器获取用户标识1下的终端设备的MAC地址为MAC地址3,终端信息为生产厂商信息1、操作系统类型信息1、设备型号信息1、设备类型信息1,则需要更新其数据库中的用户标识表项,更新后的用户标识表项如表2所示。
表2
步骤3,认证服务器获取所述终端设备的终端信息,并通过比较当前获取的终端信息与数据库中记录的该终端设备的终端信息是否相同,确定当前认证通过的终端设备的终端信息是否被篡改。
具体的,如图3所示,所述步骤3确定当前认证通过的终端设备的终端信息是否被篡改的流程,具体包括以下步骤:
步骤31,认证服务器通过信息识别方式获取终端设备的终端信息。
其中,该信息识别方式具体可以包括但不限于以下之一或者任意组合:DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)识别方式、HTTP(Hyper Text Transfer Protocol,超文本传输协议)识别方式、iNode客户端(即多业务接入客户端)识别方式。此外,所述终端信息具体可以包括但不限于以下之一或者任意组合:生产厂商信息、操作系统类型信息、设备型号信息、设备类型信息、MAC地址信息、IP地址信息。
本发明中,在终端设备通过认证之后,所述终端设备可以接入网络,在终端设备接入网络的过程中,认证服务器可以通过信息识别方式确定出终端设备对应的终端信息。例如,在终端设备发送HTTP报文时,该HTTP报文中将携带生产厂商信息、操作系统类型信息、设备型号信息、设备类型信息、MAC地址信息、IP地址信息等终端信息,且认证服务器可以通过解析该HTTP报文的User-Agent属性(亦即,HTTP识别方式),继而可以获得该终端设备的终端信息。由于具体识别方式的过程属于现有技术,本发明不再详加赘述。
步骤32,认证服务器判断其数据库中记录的终端信息与当前获取的终端信息是否相同,如果是,执行步骤33;否则执行步骤34。
由于在步骤2,所述认证服务器就已经在其数据库中记录了用户标识、MAC/IP地址与终端信息之间的对应关系。因此,认证服务器通过比较当前获取的终端信息与数据库中记录的终端信息是否相同,来进一步判断所述终端信息是否被篡改。
仍以上述表2所示的用户标识1为例,假设当前获取的终端信息为生产厂商信息1、操作系统类型信息1、设备型号信息1、设备类型信息1,而所述认证服务器的数据库中记录的终端信息也为生产厂商信息1、操作系统类型信息1、设备型号信息1、设备类型信息1,由于当前获取的终端信息与数据库中记录的终端信息相同,执行步骤33;反之,假设当前获取的终端信息为生产厂商信息1、操作系统类型信息1、设备型号信息1、设备类型信息2,由于数据库中记录的终端信息为生产厂商信息1、操作系统类型信息1、设备型号信息1、设备类型信息1,则当前获取的终端信息与数据库中记录的终端信息不同,执行步骤34。
步骤33,认证服务器确定当前获取的终端信息没有被篡改,根据预定的策略为终端设备开放接入权限。
步骤34,认证服务器确定当前获取的终端信息被篡改,根据预定的策略禁止所述终端设备接入网络或者选择对所述终端设备进行监控。
本发明中,认证服务器在确定当前终端设备的终端信息是否被篡改的过程中:
如果当前获取的终端信息的信息识别方式与数据库中记录的终端信息的原始信息识别方式相同,在当前获取的终端信息与数据库中记录的终端信息不同时,则所述认证服务器确定当前获取的终端信息被篡改。在这种情况下,认证服务器需要在日志中记录终端信息被篡改的信息,并根据实际的需要,强制终端设备下线。
如果当前获取的终端信息的信息识别方式与数据库中记录的终端信息的原始信息识别方式不同,在当前获取的终端信息与数据库中记录的终端信息不同时,则所述认证服务器确定当前获取的终端信息可能被篡改。此时,认证服务器在日志中记录终端信息可能被篡改的信息,并可以根据事先预定的策略强制所述终端设备下线或者保持终端设备在线,在保持终端设备在线时,需要对该终端设备进行监控。同时,也可以根据预定的策略,选择是否使用当前获取的终端信息更新数据库中记录的终端信息。
基于与上述方法同样的发明构思,本发明还提供了一种终端信息防篡改的装置,该装置不仅可以有效的判别终端信息是否被人为篡改,而且可以在确定终端信息被篡改后,根据预定的策略禁止所述终端设备接入网络或者选择对所述终端设备进行监控,从而提高自带终端设备接入网络策略的管理效率、灵活性和安全性。
如图4所示,该装置具体可以为计算机程序应用在网管系统的认证服务器上的逻辑装置,且该装置包括:处理器41、存储器42、本地数据库43、端口44和总线45等业务硬件,由于这些硬件并非为实现本发明目的的必需组件,在此不赘述,以下对处理器41内的功能模块进行说明。
判断模块411,用于接收来自终端设备的认证报文,判断所述终端设备对应的用户标识当前绑定的地址数量是否小于预设绑定地址的数量阈值,如果是,通知认证模块412对所述终端设备的认证报文进行认证,如果否,则丢弃该认证报文并通知接入设备禁止该终端设备接入。
具体的,所述终端设备的地址信息通常为该终端设备的MAC地址信息,但如果该终端设备的IP地址为静态配置的IP地址时,则所述终端设备的地址信息也可以为该终端设备的IP地址信息。所述用户标识的预设绑定地址的数量阈值可以根据实际需要任意设置,该预设绑定地址的数量阈值具体用于表示该用户标识可以通过几个不同的终端设备接入网络。
认证模块412,用于根据该认证报文对终端设备进行认证,如果认证通过,则通知比较模块413确定当前获取的终端信息与数据库中记录的终端信息是否相同,认证不通过,则丢弃该认证报文并通知接入设备禁止该终端设备接入。
比较模块413,用于在所述终端设备认证通过后,获取所述终端设备的终端信息,并通过比较当前获取的终端信息与数据库中记录的该终端设备的终端信息是否相同,确定当前认证通过的终端设备的终端信息是否被篡改。
在本发明的一种优选实施方式中,所述装置还包括:识别处理模块414,用于在判断模块411确定所述终端设备对应的用户标识当前绑定的地址数量是否小于预设绑定地址的数量阈值之前,在接收到来自终端设备的认证报文时,从该认证报文中获取该终端设备的用户标识和地址信息,并将获取的用户标识和地址信息与数据库中记录的用户标识和地址信息进行比较,判断数据库中是否保存有该终端设备对应的地址信息;如果是,则直接通知认证模块412根据该认证报文对所述终端设备进行认证,此时不需要判断模块411执行相关处理;如果否,则通知判断模块411确定所述终端设备对应的用户标识当前绑定的地址数量是否小于预设绑定地址的数量阈值。
在本发明的一种优选实施方式中,所述装置还包括:权限处理模块415,在比较模块413通过比较当前获取的终端信息与数据库中记录的该终端设备的终端信息是否相同,确定当前认证通过的终端设备的终端信息是否被篡改之后,当比较模块413确定当前获取的终端信息没有被篡改时,则权限处理模块415根据预定的策略为所述终端设备开放接入权限;当比较模块413确定当前获取的终端信息被篡改时,则权限处理模块415根据预定的策略禁止所述终端设备接入网络或者选择对所述终端设备进行监控。
进一步的,当比较模块413确定当前获取的终端信息被篡改时,所述权限处理模块415,进一步用于:
如果当前获取的终端信息的信息识别方式与数据库中记录的终端信息的原始信息识别方式相同,在当前获取的终端信息与数据库中记录的终端信息不同时,则确定当前获取的终端信息被篡改,且在日志中记录终端信息被篡改的信息,并根据实际的需要,强制所述终端设备下线;如果当前获取的终端信息的信息识别方式与数据库中记录的终端信息的原始信息识别方式不同,在当前获取的终端信息与数据库中记录的终端信息不同时,则确定当前获取的终端信息可能被篡改,且在日志中记录终端信息可能被篡改的信息,并可以根据事先预定的策略强制所述终端设备下线或者保持终端设备在线,在保持终端设备在线时,对该终端设备进行监控。
在上述处理过程中,所述信息识别方式包括但不限于以下之一或者任意组合:动态主机配置协议DHCP识别方式、超文本传输协议HTTP识别方式、iNode客户端识别方式;所述终端信息包括但不限于以下之一或者任意组合:生产厂商信息、操作系统类型信息、设备型号信息、设备类型信息、介质访问控制MAC地址信息、IP地址信息。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种终端信息防篡改的方法,其特征在于,该方法包括:
步骤A、认证服务器接收来自终端设备的认证报文,判断所述终端设备对应的用户标识当前绑定的地址数量是否小于预设绑定地址的数量阈值,如果是,则转入步骤B,否则,则丢弃该认证报文并通知接入设备禁止该终端设备接入;
步骤B、认证服务器根据该认证报文对所述终端设备进行认证,如果认证通过,则转入步骤C,否则,则丢弃该认证报文并通知接入设备禁止该终端设备接入;
步骤C、认证服务器获取所述终端设备的终端信息,并通过比较当前获取的终端信息与数据库中记录的该终端设备的终端信息是否相同,确定当前认证通过的终端设备的终端信息是否被篡改。
2.如权利要求1所述的方法,其特征在于,所述步骤A之前,进一步包括:
步骤D、认证服务器在接收到来自终端设备的认证报文时,从该认证报文中获取该终端设备的用户标识和地址信息;
步骤E、认证服务器将获取的用户标识和地址信息与数据库中记录的用户标识和地址信息进行比较,判断数据库中是否保存有该终端设备对应的地址信息,如果否,则执行步骤A;如果是,则执行步骤B。
3.如权利要求1所述的方法,其特征在于,所述步骤C具体包括:
步骤C1、认证服务器通过信息识别方式获取所述终端设备的终端信息;
步骤C2、认证服务器判断数据库中记录的终端信息与当前获取的终端信息是否相同,如果是,则执行步骤C3;否则,则执行步骤C4;
步骤C3、认证服务器确定当前获取的终端信息没有被篡改,根据预定的策略为所述终端设备开放接入权限;
步骤C4、认证服务器确定当前获取的终端信息被篡改,根据预定的策略禁止所述终端设备接入网络或者选择对所述终端设备进行监控。
4.如权利要求3所述的方法,其特征在于,所述步骤C4具体包括:
如果当前获取的终端信息的信息识别方式与数据库中记录的终端信息的原始信息识别方式相同,在当前获取的终端信息与数据库中记录的终端信息不同时,则所述认证服务器确定当前获取的终端信息被篡改,且所述认证服务器在日志中记录终端信息被篡改的信息,并强制所述终端设备下线;
如果当前获取的终端信息的信息识别方式与数据库中记录的终端信息的原始信息识别方式不同,在当前获取的终端信息与数据库中记录的终端信息不同时,则所述认证服务器确定当前获取的终端信息可能被篡改,且所述认证服务器在日志中记录终端信息可能被篡改的信息,并强制所述终端设备下线或者保持终端设备在线,在保持终端设备在线时,对该终端设备进行监控。
5.如权利要求3所述的方法,其特征在于,
所述信息识别方式包括以下之一或任意组合:动态主机配置协议DHCP识别方式、超文本传输协议HTTP识别方式、iNode客户端识别方式;
所述终端信息包括以下之一或任意组合:生产厂商信息、操作系统类型信息、设备型号信息、设备类型信息、介质访问控制MAC地址信息、IP地址信息。
6.一种终端信息防篡改的装置,其特征在于,该装置包括:
判断模块,用于接收来自终端设备的认证报文,判断所述终端设备对应的用户标识当前绑定的地址数量是否小于预设绑定地址的数量阈值,如果是,则通知认证模块对所述终端设备进行认证;如果否,则丢弃该认证报文并通知接入设备禁止该终端设备接入;
认证模块,用于根据认证报文对所述终端设备进行认证,如果认证通过,则通知比较模块确定所述终端设备的终端信息是否被篡改;如果认证不通过,则丢弃该认证报文并通知接入设备禁止该终端设备接入;
比较模块,用于在所述终端设备认证通过后,获取所述终端设备的终端信息,并比较当前获取的终端信息与数据库中记录的该终端设备的终端信息是否相同,确定当前认证通过的终端设备的终端信息是否被篡改。
7.如权利要求6所述的装置,其特征在于,所述装置还包括:
识别处理模块,用于在判断模块判断所述终端设备对应的用户标识当前绑定的地址数量是否小于预设绑定地址的数量阈值之前,
接收来自终端设备的认证报文,从该认证报文中获取该终端设备的用户标识和地址信息,并将获取的用户标识和地址信息与数据库中记录的用户标识和地址信息进行比较,判断数据库中是否保存有该终端设备对应的地址信息;如果是,则通知认证模块根据该认证报文对所述终端设备进行认证;如果否,则通知判断模块判断所述终端设备对应的用户标识当前绑定的地址数量是否小于预设绑定地址的数量阈值。
8.如权利要求6所述的装置,其特征在于,所述装置还包括:
权限处理模块,用于当比较模块确定当前获取的终端信息没有被篡改时,根据预定的策略为所述终端设备开放接入权限;当比较模块确定当前获取的终端信息被篡改时,则根据预定的策略禁止所述终端设备接入网络或者选择对所述终端设备进行监控。
9.如权利要求8所述的装置,其特征在于,所述权限处理模块,进一步用于:
如果当前获取的终端信息的信息识别方式与数据库中记录的终端信息的原始信息识别方式相同,在当前获取的终端信息与数据库中记录的终端信息不同时,则确定当前获取的终端信息被篡改,且在日志中记录终端信息被篡改的信息,并强制所述终端设备下线;
如果当前获取的终端信息的信息识别方式与数据库中记录的终端信息的原始信息识别方式不同,在当前获取的终端信息与数据库中记录的终端信息不同时,则确定当前获取的终端信息可能被篡改,且在日志中记录终端信息可能被篡改的信息,并强制所述终端设备下线或者保持终端设备在线,在保持终端设备在线时,对该终端设备进行监控。
10.如权利要求8所述的装置,其特征在于,
所述信息识别方式包括以下之一或任意组合:动态主机配置协议DHCP识别方式、超文本传输协议HTTP识别方式、iNode客户端识别方式;
所述终端信息包括以下之一或任意组合:生产厂商信息、操作系统类型信息、设备型号信息、设备类型信息、介质访问控制MAC地址信息、IP地址信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410025278.4A CN104796383B (zh) | 2014-01-20 | 2014-01-20 | 一种终端信息防篡改的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410025278.4A CN104796383B (zh) | 2014-01-20 | 2014-01-20 | 一种终端信息防篡改的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104796383A true CN104796383A (zh) | 2015-07-22 |
CN104796383B CN104796383B (zh) | 2018-12-25 |
Family
ID=53560897
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410025278.4A Active CN104796383B (zh) | 2014-01-20 | 2014-01-20 | 一种终端信息防篡改的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104796383B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105262597A (zh) * | 2015-11-30 | 2016-01-20 | 中国联合网络通信集团有限公司 | 网络接入认证方法、客户终端、接入设备及认证设备 |
CN106790036A (zh) * | 2016-12-16 | 2017-05-31 | 广东欧珀移动通信有限公司 | 一种信息防篡改方法、装置、服务器和终端 |
WO2017166037A1 (zh) * | 2016-03-29 | 2017-10-05 | 深圳投之家金融信息服务有限公司 | 一种数据篡改的检测装置及方法 |
CN109299135A (zh) * | 2018-11-26 | 2019-02-01 | 平安科技(深圳)有限公司 | 基于识别模型的异常查询识别方法、识别设备及介质 |
CN110737881A (zh) * | 2018-07-18 | 2020-01-31 | 马上消费金融股份有限公司 | 一种智能设备指纹验证方法及装置 |
CN111818048A (zh) * | 2020-07-08 | 2020-10-23 | 珠海市鸿瑞信息技术股份有限公司 | 基于配网自动化的安全防护认证系统及方法 |
CN113473243A (zh) * | 2020-03-31 | 2021-10-01 | 华为技术有限公司 | 数据处理方法及其设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101119371A (zh) * | 2007-08-28 | 2008-02-06 | 杭州华三通信技术有限公司 | 防范利用arp进行网络攻击的方法、客户端、服务器及系统 |
CN101984693A (zh) * | 2010-11-16 | 2011-03-09 | 中兴通讯股份有限公司 | 终端接入局域网的监控方法和监控装置 |
CN102185724A (zh) * | 2011-05-30 | 2011-09-14 | 杭州华三通信技术有限公司 | 一种地址的管理方法和设备 |
CN103067976A (zh) * | 2013-02-07 | 2013-04-24 | 深圳市磊科实业有限公司 | 一种具有多接口的无线接入点的负载均衡方法和实现装置 |
-
2014
- 2014-01-20 CN CN201410025278.4A patent/CN104796383B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101119371A (zh) * | 2007-08-28 | 2008-02-06 | 杭州华三通信技术有限公司 | 防范利用arp进行网络攻击的方法、客户端、服务器及系统 |
CN101984693A (zh) * | 2010-11-16 | 2011-03-09 | 中兴通讯股份有限公司 | 终端接入局域网的监控方法和监控装置 |
CN102185724A (zh) * | 2011-05-30 | 2011-09-14 | 杭州华三通信技术有限公司 | 一种地址的管理方法和设备 |
CN103067976A (zh) * | 2013-02-07 | 2013-04-24 | 深圳市磊科实业有限公司 | 一种具有多接口的无线接入点的负载均衡方法和实现装置 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105262597B (zh) * | 2015-11-30 | 2018-10-19 | 中国联合网络通信集团有限公司 | 网络接入认证方法、客户终端、接入设备及认证设备 |
CN105262597A (zh) * | 2015-11-30 | 2016-01-20 | 中国联合网络通信集团有限公司 | 网络接入认证方法、客户终端、接入设备及认证设备 |
WO2017166037A1 (zh) * | 2016-03-29 | 2017-10-05 | 深圳投之家金融信息服务有限公司 | 一种数据篡改的检测装置及方法 |
CN106790036B (zh) * | 2016-12-16 | 2019-05-07 | Oppo广东移动通信有限公司 | 一种信息防篡改方法、装置、服务器和终端 |
CN106790036A (zh) * | 2016-12-16 | 2017-05-31 | 广东欧珀移动通信有限公司 | 一种信息防篡改方法、装置、服务器和终端 |
CN110737881A (zh) * | 2018-07-18 | 2020-01-31 | 马上消费金融股份有限公司 | 一种智能设备指纹验证方法及装置 |
CN110737881B (zh) * | 2018-07-18 | 2021-01-26 | 马上消费金融股份有限公司 | 一种智能设备指纹验证方法及装置 |
CN109299135A (zh) * | 2018-11-26 | 2019-02-01 | 平安科技(深圳)有限公司 | 基于识别模型的异常查询识别方法、识别设备及介质 |
CN109299135B (zh) * | 2018-11-26 | 2024-05-14 | 平安科技(深圳)有限公司 | 基于识别模型的异常查询识别方法、识别设备及介质 |
CN113473243A (zh) * | 2020-03-31 | 2021-10-01 | 华为技术有限公司 | 数据处理方法及其设备 |
CN113473243B (zh) * | 2020-03-31 | 2022-10-04 | 华为技术有限公司 | 数据处理方法及其设备 |
CN111818048A (zh) * | 2020-07-08 | 2020-10-23 | 珠海市鸿瑞信息技术股份有限公司 | 基于配网自动化的安全防护认证系统及方法 |
CN111818048B (zh) * | 2020-07-08 | 2022-05-27 | 珠海市鸿瑞信息技术股份有限公司 | 基于配网自动化的安全防护认证系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN104796383B (zh) | 2018-12-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104796383A (zh) | 一种终端信息防篡改的方法和装置 | |
CN103249045B (zh) | 一种身份识别的方法、装置和系统 | |
CN104717223B (zh) | 数据访问方法及装置 | |
US9912695B1 (en) | Techniques for using a honeypot to protect a server | |
KR101886946B1 (ko) | 제어된 네트워크 환경에서 보안 접속성을 제공하는 릴레이 프록시 | |
CN104468553B (zh) | 一种公共账号登录的方法、装置及系统 | |
CN103746983A (zh) | 一种接入认证方法及认证服务器 | |
CN108259502A (zh) | 用于获取接口访问权限的鉴定方法、服务端及存储介质 | |
CN106982430B (zh) | 一种基于用户使用习惯的Portal认证方法及系统 | |
CN103905399A (zh) | 一种帐号登录管理的方法和装置 | |
CN111797418B (zh) | 在线服务的控制方法、装置、服务终端、服务器和存储介质 | |
CN101540757A (zh) | 网络认证方法、系统和认证设备 | |
CN109302397B (zh) | 一种网络安全管理方法、平台和计算机可读存储介质 | |
CN111918287A (zh) | 一种信息处理方法和装置 | |
CN102457491A (zh) | 动态身份认证方法和系统 | |
CN106453321A (zh) | 一种认证服务器、系统和方法及待认证终端 | |
CN112350997A (zh) | 数据库访问权限控制方法、装置、计算机设备和存储介质 | |
CN105978879B (zh) | 网络通道安全管理系统 | |
CN114244568A (zh) | 基于终端访问行为的安全接入控制方法、装置和设备 | |
CN112804222B (zh) | 基于云部署的数据传输方法、装置、设备及存储介质 | |
CN106302400A (zh) | 访问请求的处理方法及装置 | |
CN106713228A (zh) | 一种云平台密钥管理方法和系统 | |
CN105791308A (zh) | 一种主动识别域用户登录事件信息的方法、装置和系统 | |
CN106412904B (zh) | 一种防假冒用户认证权限的方法及系统 | |
CN109861982A (zh) | 一种身份认证的实现方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
EXSB | Decision made by sipo to initiate substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Applicant before: Huasan Communication Technology Co., Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |