CN105871835B - 管理接入计算机网络的设备的装置和方法 - Google Patents
管理接入计算机网络的设备的装置和方法 Download PDFInfo
- Publication number
- CN105871835B CN105871835B CN201610187750.3A CN201610187750A CN105871835B CN 105871835 B CN105871835 B CN 105871835B CN 201610187750 A CN201610187750 A CN 201610187750A CN 105871835 B CN105871835 B CN 105871835B
- Authority
- CN
- China
- Prior art keywords
- information
- monitoring unit
- computer network
- illegal
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种管理接入计算机网络的设备的权限的方法和装置,其中,持续监控该设备的行为,当存在非法行为时,根据非法行为的类别改变该设备方位计算机网络的权限。由此,本发明实现了动态调整设备的访问权限。
Description
技术领域
本发明涉及计算网络管理,具体涉及,管理计算机网络接入设备的权限的方法和装置。
背景技术
在计算机网络中,每个设备都具备唯一的硬件物理地址,称为MAC地址。当一个设备接入计算机网络时,网络设备(例如路由器、网络交换机等)能够识别设备的MAC地址。在一些安全策略中,网络设备可以设立黑名单或者白名单以管理网络设备的接入。例如,在黑名单策略中,物理地址在黑名单中的设备内禁止接入网络设备。又如,在白名单策略中,只有物理地址在白名单中的设备才能够接入网络设备。
现有的黑名单策略或者白名单策略是静态管理策略。黑名单和白名单是可以调整的,例如,可以将一个设备的物理地址加入黑名单或者从黑名单中去除。然而,黑名单或者白名单的调整也是静态的,不能动态调整。
发明内容
本发明的目的是提供一种动态管理方式,实现设备的动态授权策略。
为此,按照本发明的一个方面,一种管理接入计算机网络的设备的装置,包括:至少一个设备监测单元,其监测所述设备的行为;以及权限管理单元,其控制所述设备在所述计算机网络中的访问权限。其中,所述设备监测单元根据监测到的所述设备的行为向该权限管理单元发送第一信息,所述权限管理单元根据所述第一信息管理所述设备的所述访问权限。
进一步,所述设备监测单元可以是病毒检测单元、带宽监控单元、密钥监控单元、非法信息监测单元以及非法访问监测单元中的一个或多个。
由此,所述第一信息可以是所述病毒检测单元发出的传播病毒的信息,或者是所述带宽监控单元发出的非法占用带宽的信息,或者是所述密钥监控单元发出的非法获取帐号密码的信息,或者是所述非法信息监测单元发出的发送非法信息的信息,或者是所述非法访问监测单元发出的非法访问的信息。
另外,所述权限管理单元根据所述第一信息给予所述设备访问所述计算机网络的权限。或者,所述权限管理单元根据所述第一信息改变所述设备访问所述计算机网络的权限。
又,所述权限管理单元预先设定多于一个的权限,并根据所述第一信息授予所述设备一个所述预先设定的权限,或者将所述设备的权限改变为另一所述的预先设定的权限。
本发明的另一方面,提供一种管理接入计算机网络的设备的方法,包括如下步骤:持续监测所述设备的行为;以及根据所述设备的行为授予或者改变所述设备访问所述计算机网络的权限。
其中,所述持续监测所述设备的行为是监测所述设备是否传播病毒、监测所述设备是否非法占用带宽、监测所述设备是否非法获取帐号密码、监测所述设备是否发送非法信息以及监测所述设备是否非法访问中的至少一个。
又,预先设定多于一个权限,根据所述持续监测所述设备的行为的结果,授予所述设备一个所述的预先设定的权限,或者将所述设备的权限改变为另一所述预先设定的权限。
在计算所述设备的数据调度的优先级时,所述权限占80%的权重,所述设备的数据流服务质量优先级占20%的权重。
本发明能够动态监测接入的设备,根据该设备的行为来授权或者改变该设备访问计算机网络的权限,实现了可动态调整的授权管理策略。
附图说明
下面将以明确易懂的方式,结合附图说明优选实施方式,对上述特性、技术特征、优点及其实现方式予以进一步说明。
图1为按照本发明的一个实施例,管理接入计算机网络的设备的装置示意图。
图2为按照本发明的一个实施例,管理接入计算机网络的设备的方法的过程示意图。
附图标号说明:
100 管理接入计算机网络的设备的装置
110 病毒检测单元
120 带宽监控单元
130 密钥监控单元
140 非法信息监测单元
150 非法访问监测单元
180 权限管理单元
200 接入计算机网络的设备
具体实施方式
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对照附图说明本发明的具体实施方式。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,并获得其他的实施方式。
图1示出按照本发明的管理接入计算机网络的设备的装置的一个实施例。其中,所述的装置100包括病毒检测单元110、带宽监控单元120、密钥监控单元130、非法信息监测单元140以及非法访问监测单元150,还包括权限管理单元180。上述各单元用来监控设备200的行为,并且构造为可分别向该权限管理单元180发送信息。
其中,该病毒检测单元110监测所述设备200是否有传播计算机病毒的行为。并且,当监测到该设备200有传播计算机病毒的行为时,向该权限管理单元180发出该设备传播计算机病毒的信息。
类似地,所述带宽监控单元120监测所述设备是否非法占用带宽,例如,是否占用大量带宽进行下载等。并且,当监测到该设备200非法占用带宽时,向该权限管理单元180发出该设备200非法占用带宽的信息。
所述密钥监控单元130监测该设备是否存在非法获取帐号密码的信息,例如,是否非法获取当前该设备访问的路由器的管理员帐号。当监测到该设备200非法获取帐号密码时,向该权限管理单元180发出该设备非法获取帐号密码的信息。
所述非法信息监测单元140监测该设备200是否发送非法信息。例如,发送违法法律的信息。当监测到该设备200发送非法信息时,则向该权限管理单元180发出该设备发送非法信息的信息。
所述非法访问监测单元150监测该设备200是否进行非法访问,例如,访问不被允许的网络地址等。当监测到该设备200进行非法访问时,则向该权限管理单元180发出该设备非法访问的信息。
如图1所示,上述信息被发送到该权限管理单元180。然而,本领域技术人员能够理解,在其他的实施例中,也可以采用其他的信息,而不限于本实施例中所提及的。并且,在有些实施例中,可以不采用全部的上述单元和对应信息,而只是采用一部分。
在本实施例中,所述权限管理单元180预先设定多个权限,例如表1示出一个预设权限的例子。
表1
权限等级1-5对应可以访问的服务,其中权限等级1的设备的所有服务请求都会被拒绝,而权限等级5的设备则允许访问任何服务。
其中,基本服务、高级服务以及访问设备页面的内容可以根据具体的应用环境而设定。在这个例子中,基本服务可以包括及时通讯、网页访问、文本交互等,而高级服务则可以包括视频、游戏、蓝牙连接、快速下载、以及访问扩展存储等。
权限等级不同则访问网络设备或网络服务的权限不同网络设备可以检测并计算安全级别以分配不同的权限,例如,
表2
等级1 | 传播计算机病毒,非法获取账号密码 |
等级2 | 非法占用带宽,传播非法信息 |
等级3 | 访问非法网站 |
等级4 | 普通用户 |
等级5 | 管理用户 |
默认的权限可以设定为等级4。
下面举例说明根据监测设备的行为来授权或者改变设备的权限。表3列出了接入的设备的MAC地址。由于物理地址与设备具有一一对应关系,因此我们可以根据MAC地址确定设备。初始的权限等级为4。等级5由于具有网络设备的管理权限,应当对应特定的设备。
表3
设备MAC地址 | 默认等级 | 当前等级 | |
设备1 | 69:c5:e2:88:73:01 | 4 | 4 |
设备2 | 69:c5:e2:88:73:02 | 4 | 4 |
设备3 | 69:c5:e2:88:73:03 | 4 | 4 |
设备4 | 69:c5:e2:88:73:04 | 4 | 4 |
设备5 | 69:c5:e2:88:73:05 | 5 | 5 |
接入的设备初始的默认等级为4,即为普通用户。
前述的各设备监测单元监测设备1-4的行为。例如,当该病毒检测单元110监测到设备1存在传播病毒、非法获取帐号密码等,则该权限管理单元180将该设备1的权限等级改变为等级1。又,例如,当该带宽监控单元120监测到设备2存在大量占用带宽进行下载时,则该权限管理单元180将该设备2的权限等级改变为等级2。又,当该所述密钥监控单元130监测到设备3存在非法获取帐号密码的行为时,则该权限管理单元180将设备3的权限等级改变为等级1。
当同时由两个单元监测到设备具有非法行为时,则将设备的权限调整为更低的权限。例如,当非法信息监测单元140监测到设备4访问非法网站,并且非法访问监测单元150监测到设备4传播非法信息,则该权限管理单元180将该设备4的权限改变为等级2。
表4示出经过上述改变后的表3中的设备的权限等级。
表4
设备MAC地址 | 默认等级 | 当前等级 | |
设备1 | 69:c5:e2:88:73:01 | 4 | 1 |
设备2 | 69:c5:e2:88:73:02 | 4 | 2 |
设备3 | 69:c5:e2:88:73:03 | 4 | 1 |
设备4 | 69:c5:e2:88:73:04 | 4 | 2 |
设备5 | 69:c5:e2:88:73:05 | 5 | 5 |
在后续的计算机网络的管理以及网络任务的调度中,设备的权限与所能够获得的调度优先级是对应的。等级1的设备则被直接拒绝任何服务。
在上面的描述中,设备的权限是可以动态调整的。需要注意的是,所述的设备监测单元并不限于本说明书中举出的例子。并且,本领域技术人员能够理解,这些设备监测单元可以是本领域已知的。
另外,本发明还提供一种管理接入计算机网络的设备的方法。图2示出该方法的一个实施例的过程示意图。
其中,持续监测设备的行为,包括但不限于,监测所述设备是否传播病毒、监测所述设备是否非法占用带宽、监测所述设备是否非法获取帐号密码、监测所述设备是否发送非法信息和/或监测所述设备是否非法访问。
进而,根据所述设备的行为授予或者改变所述设备访问所述计算机网络的权限。在这个例子中,预先设定多于一个权限,根据所述持续监测所述设备的行为的结果,授予所述设备一个所述的预先设定的权限,或者将所述设备的权限改变为另一所述预先设定的权限。
这样,就实现了动态监测和调整设备的权限。
根据授予所述设备的权限,可以给设备相应的数据调度优先级。
传统的QoS(服务质量)不能够区分设备的权限,而只是根据服务类型进行调度。通过控制不同类型的分组对链路带宽的使用,使不同的数据流得到不同等级的服务。
按照本发明的方法,可以根据设备的权限确定该设备的数据调度优先级。即,当设备的权限高时,则调度优先级高,反之,则调度优先级低。
在一个例子中,在计算该设备的数据调度优先级时,该设备的权限占80%的权重,而通常的数据流QoS优先级占20%,如公式(1)所示。
调度优先级=用户安全级别*80%+数据流QoS优先级*20% (1)应当说明的是,上述实施例均可根据需要自由组合。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种管理接入计算机网络的设备的装置,其特征在于,该装置包括病毒检测单元、带宽监控单元、密钥监控单元、非法信息监测单元以及非法访问监测单元,还包括权限管理单元:
所述病毒检测单元监测所述设备是否有传播计算机病毒的行为;
所述带宽监控单元监测所述设备是否非法占用带宽;
所述密钥监控单元监测所述设备是否非法获取帐号密码;
所述非法信息监测单元监测所述设备是否发送非法信息;
所述非法访问监测单元监测所述设备是否进行非法访问;
所述权限管理单元,控制所述设备在所述计算机网络中的访问权限,
其中,所述病毒检测单元、带宽监控单元、密钥监控单元、非法信息监测单元以及非法访问监测单元中的至少一个根据监测到的所述设备的行为向该权限管理单元发送第一信息,所述权限管理单元根据所述第一信息管理所述设备的所述访问权限;
当同时由所述病毒检测单元、带宽监控单元、密钥监控单元、非法信息监测单元以及非法访问监测单元中的两个单元监测到设备具有非法行为时,则将设备的权限调整为更低的权限。
2.根据权利要求1所述的管理接入计算机网络的设备的装置,其特征在于,所述第一信息是所述病毒检测单元发出的传播病毒的信息,所述带宽监控单元发出的非法占用带宽的信息,所述密钥监控单元发出的非法获取帐号密码的信息,所述非法信息监测单元发出的发送非法信息的信息,所述非法访问监测单元发出的非法访问的信息中的一个或多个。
3.根据权利要求1-2任一项所述的管理接入计算机网络的设备的装置,其特征在于,所述权限管理单元根据所述第一信息给予所述设备访问所述计算机网络的权限。
4.根据权利要求1-2任一项所述的管理接入计算机网络的设备的装置,其特征在于,所述权限管理单元根据所述第一信息改变所述设备访问所述计算机网络的权限。
5.根据权利要求1所述的管理接入计算机网络的设备的装置,其特征在于,所述权限管理单元预先设定多于一个的权限,并根据所述第一信息授予所述设备一个所述预先设定的权限,或者将所述设备的权限改变为另一所述的预先设定的权限。
6.一种管理接入计算机网络的设备的方法,应用于权利要求1-5任一项所述的管理接入计算机网络的设备的装置,包括如下步骤:
持续监测所述设备的行为,所述持续监测所述设备的行为是监测所述设备是否传播病毒、监测所述设备是否非法占用带宽、监测所述设备是否非法获取帐号密码、监测所述设备是否发送非法信息以及监测所述设备是否非法访问中的至少一个,以及
根据所述设备的行为授予或者改变所述设备访问所述计算机网络的权限。
7.根据权利要求6所述的管理接入计算机网络的设备的方法,其特征在于,预先设定多于一个权限,根据所述持续监测所述设备的行为的结果,授予所述设备一个所述的预先设定的权限,或者将所述设备的权限改变为另一所述预先设定的权限。
8.根据权利要求7所述的管理接入计算机网络的设备的方法,其特征在于,在计算所述设备的数据调度的优先级时,所述权限占80%的权重,所述设备的数据流服务质量优先级占20%的权重。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610187750.3A CN105871835B (zh) | 2016-03-29 | 2016-03-29 | 管理接入计算机网络的设备的装置和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610187750.3A CN105871835B (zh) | 2016-03-29 | 2016-03-29 | 管理接入计算机网络的设备的装置和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105871835A CN105871835A (zh) | 2016-08-17 |
CN105871835B true CN105871835B (zh) | 2020-07-17 |
Family
ID=56626311
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610187750.3A Active CN105871835B (zh) | 2016-03-29 | 2016-03-29 | 管理接入计算机网络的设备的装置和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105871835B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101374048A (zh) * | 2008-09-12 | 2009-02-25 | 湖北电力信息通信中心 | 移动办公中基于细粒度集中式策略的强制终端监控系统 |
CN101399786A (zh) * | 2007-09-29 | 2009-04-01 | 华为技术有限公司 | 一种网络安全传输的方法、装置及系统 |
CN101471774A (zh) * | 2007-12-29 | 2009-07-01 | 中国移动通信集团公司 | 一种通信系统及其管理通信设备的方法 |
CN201571068U (zh) * | 2009-10-30 | 2010-09-01 | 福建星网锐捷网络有限公司 | 一种网络系统、保护管理装置 |
CN102685215A (zh) * | 2012-04-18 | 2012-09-19 | 华为技术有限公司 | 移动终端上网监控的方法、装置和系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101383719B (zh) * | 2007-09-05 | 2011-04-06 | 中兴通讯股份有限公司 | 一种对通信设备的接入管理方法 |
US8458462B1 (en) * | 2008-08-14 | 2013-06-04 | Juniper Networks, Inc. | Verifying integrity of network devices for secure multicast communications |
CN101562541B (zh) * | 2009-05-19 | 2012-05-23 | 杭州华三通信技术有限公司 | 一种统一管理方法和装置 |
-
2016
- 2016-03-29 CN CN201610187750.3A patent/CN105871835B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101399786A (zh) * | 2007-09-29 | 2009-04-01 | 华为技术有限公司 | 一种网络安全传输的方法、装置及系统 |
CN101471774A (zh) * | 2007-12-29 | 2009-07-01 | 中国移动通信集团公司 | 一种通信系统及其管理通信设备的方法 |
CN101374048A (zh) * | 2008-09-12 | 2009-02-25 | 湖北电力信息通信中心 | 移动办公中基于细粒度集中式策略的强制终端监控系统 |
CN201571068U (zh) * | 2009-10-30 | 2010-09-01 | 福建星网锐捷网络有限公司 | 一种网络系统、保护管理装置 |
CN102685215A (zh) * | 2012-04-18 | 2012-09-19 | 华为技术有限公司 | 移动终端上网监控的方法、装置和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105871835A (zh) | 2016-08-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11575686B2 (en) | Client reputation driven role-based access control | |
US11637834B2 (en) | Dynamic passcodes in association with a wireless access point | |
US7818794B2 (en) | Data traffic filtering indicator | |
KR100701618B1 (ko) | 복수 이용자 기능을 가진 전자 북쉘프 | |
KR101669694B1 (ko) | 네트워크 자원들에 대한 건강 기반 액세스 | |
GB2519263B (en) | Prioritized token based arbiter and method | |
US20050188211A1 (en) | IP for switch based ACL's | |
US20160323323A1 (en) | Method and apparatus for centralized policy programming and distributive policy enforcement | |
US20140150069A1 (en) | Method for distinguishing and blocking off network node | |
KR20090064240A (ko) | 홈네트워크 서비스 품질 관리 시스템 | |
US8219807B1 (en) | Fine grained access control for linux services | |
CN106454829B (zh) | 一种授权接入网络的方法及装置 | |
KR20150116170A (ko) | 다중 데이터 보안 터널을 구성하는 무선 접속 장치, 그를 포함하는 시스템 및 그 방법 | |
JP5614500B2 (ja) | 委託型認証方法 | |
CN105871835B (zh) | 管理接入计算机网络的设备的装置和方法 | |
CN105681352B (zh) | 一种无线网络访问安全管控方法和系统 | |
CN107302637B (zh) | 一种基于命名空间实现分类控制的方法及系统 | |
KR101816582B1 (ko) | 차량 및 그 제어방법 | |
WO2014176899A1 (zh) | 一种信息安全的管理方法及系统 | |
KR20180131765A (ko) | 관리자 모드 네트워크 접속관리시스템 및 접속 방법 | |
AU2014100338A4 (en) | Network Filtering System and Method | |
CN103281302A (zh) | 一种实现信息安全的管理方法及系统 | |
KR20130085453A (ko) | 모바일 플랫폼에서의 정보 보호 시스템 및 방법 | |
JP2004187206A (ja) | パーソナルフィルタリングシステム及びパーソナルフィルタリング方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20200617 Address after: Room 811, block B, administrative complex building, No.1, 8th Street, Qinzhou Bonded Port Area, Qinzhou City, Guangxi Zhuang Autonomous Region Applicant after: Guangxi Qinbao Network Technology Co., Ltd Address before: 201616 Shanghai city Songjiang District Sixian Road No. 3666 Applicant before: Phicomm (Shanghai) Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |