CN106936832B - 企业级的网络准入方法及系统 - Google Patents

企业级的网络准入方法及系统 Download PDF

Info

Publication number
CN106936832B
CN106936832B CN201710146396.4A CN201710146396A CN106936832B CN 106936832 B CN106936832 B CN 106936832B CN 201710146396 A CN201710146396 A CN 201710146396A CN 106936832 B CN106936832 B CN 106936832B
Authority
CN
China
Prior art keywords
network
terminal equipment
auditing
request
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710146396.4A
Other languages
English (en)
Other versions
CN106936832A (zh
Inventor
宋君孝
余祥
倪世长
陈玺缘
毛建民
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ctrip Travel Information Technology Shanghai Co Ltd
Original Assignee
Ctrip Travel Information Technology Shanghai Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ctrip Travel Information Technology Shanghai Co Ltd filed Critical Ctrip Travel Information Technology Shanghai Co Ltd
Priority to CN201710146396.4A priority Critical patent/CN106936832B/zh
Publication of CN106936832A publication Critical patent/CN106936832A/zh
Application granted granted Critical
Publication of CN106936832B publication Critical patent/CN106936832B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种企业级的网络准入方法及系统。网络准入系统包括:请求接收模块用于接收终端设备发送的接入网络请求;第一判断模块判断终端设备是否为域内设备;若判断为是调用控制模块;若判断为否调用第二判断模块;第二判断模块判断终端设备是否为企业设备;若判断为是调用第一请求审核模块;若判断为否调用第二请求审核模块;第一请求审核模块发送第一审核信息至终端设备并接收反馈的第一审核请求,还在审核通过时调用控制模块;第二请求审核模块发送第二审核信息至终端设备并接收反馈的第二审核请求,还在审核通过时调用控制模块;控制模块发送接入网络权限至终端设备。本发明大大提高了企业网络的安全性。

Description

企业级的网络准入方法及系统
技术领域
本发明涉及计算机网络领域,特别涉及一种企业级的网络准入方法及系统。
背景技术
目前,企业内网缺乏有效的管理机制,来访者终端设备,员工BYOD(携带自己的设备办公)设备可随意加入企业网络,会引起网络非法扫描及网络资源滥用。另外,企业没有一套完善的系统或方法来垄断控制、全面管理网络,若用户未走正常流程,私自接入与移出非域内设备,工程师是不可控的,并且难以统计这批设备的数量。可见,目前的企业网络安全存在极大隐患。
发明内容
本发明要解决的技术问题是为了克服现有技术中企业网络安全存在极大隐患的缺陷,提供一种企业级的网络准入方法及系统。
本发明是通过下述技术方案来解决上述技术问题:
一种企业级的网络准入系统,其特点在于,所述网络准入系统包括:
请求接收模块,用于接收终端设备发送的接入网络请求;所述接入网络请求包括设备信息;
第一判断模块,用于通过设备信息判断终端设备是否为域内设备;若判断为是,调用控制模块;若判断为否,调用第二判断模块;
第二判断模块,用于判断终端设备是否为企业设备;若判断为是,则调用第一请求审核模块;若判断为否,则调用第二请求审核模块;
所述第一请求审核模块用于发送第一审核信息至终端设备并接收终端设备反馈的第一审核请求,还在审核通过时调用控制模块;
所述第二请求审核模块用于发送第二审核信息至终端设备并接收终端设备反馈的第二审核请求,还在审核通过时调用控制模块;
所述控制模块用于发送接入网络权限至终端设备;
所述第一审核请求和第二审核请求均包括网络信息和设备信息。
较佳地,企业网络包括至少一个域;
所述终端设备用于根据所述接入网络权限接入对应的域中。
较佳地,所述第二审核请求还包括入网期限;
若终端设备为非企业设备,所述控制模块还用于在发送接入网络权限时开始计时,并在计时达到入网期限时取消终端设备的入网许可。
较佳地,所述设备信息包括终端设备的账号、密码和MAC地址;
所述网络信息包括办公网络区域。
本发明还提供一种企业级的网络准入方法,其特点在于,所述网络准入方法利用如上所述的网络准入系统实现,所述网络准入方法包括以下步骤:
S1、请求接收模块接收终端设备发送的接入网络请求;所述接入网络请求包括设备信息;
S2、第一判断模块通过设备信息判断终端设备是否为域内设备;若判断为是,则执行步骤S5;若判断为否,则执行步骤S3
S3、第二判断模块判断终端设备是否为企业设备;若判断为是,则执行步骤S4;若判断为否,则执行步骤S4’;
S4、所述第一请求审核模块发送第一审核信息至终端设备并接收终端设备反馈的第一审核请求,在审核通过时执行步骤S5
S4’、所述第二请求审核模块发送第二审核信息至终端设备并接收终端设备反馈的第二审核请求,并在审核通过时执行步骤S5
S5、所述控制模块发送接入网络权限至终端设备。
较佳地,企业网络包括至少一个域;
在步骤S5之后,还包括:
S6、所述终端设备根据所述接入网络权限接入对应的域中。
较佳地,所述第二审核请求还包括入网期限;
在步骤S3中,若第二判断模块判断为否,则步骤S4’之后执行步骤S5’;
步骤S5’、所述控制模块在发送接入网络权限至终端设备时开始计时,并在计时达到入网期限时取消终端设备的入网许可。
较佳地,所述设备信息包括终端设备的账号、密码和MAC地址;
所述网络信息包括办公网络区域。
本发明的积极进步效果在于:本发明建立了企业网络设备接入控制体系,保障了域内网络环境健康,能够清晰管理非域内的终端设备,严格把关、彻底杜绝了私自将非域内设备接入网络的问题,大大提高了企业网络的安全性。
附图说明
图1为本发明实施例1的企业级的网络准入系统的模块示意图。
图2为本发明实施例1的企业级的网络准入系统中当终端设备为企业设备时的网络登录条件的界面示意图。
图3为本发明实施例1的企业级的网络准入系统中当终端设备为非企业设备时的网络登录条件的界面示意图。
图4为发明实施例2的企业级的网络准入方法的流程图。
具体实施方式
下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
实施例1
如图1所示,本实施例的企业级的网络准入系统包括请求接收模块1、第一判断模块2、第二判断模块3、第一请求审核模块4、第二请求审核模块5和控制模块6。
请求接收模块1用于接收终端设备发送的接入网络请求。其中,接入网络请求包括设备信息。第一判断模块2通过设备信息判断终端设备是否为域内设备;若判断为是,则说明终端设备为域内设备,则调用控制模块发送接入网络权限至终端设备,该终端设备可根据接入网络权限接入对应的域中(企业网络包括至少一个域);若判断为否,说明终端设备为非域内设备,则调用第二判断模块3进一步判断终端设备是否为企业设备。具体的:
第二判断模块3判断终端设备是否为企业设备;若判断为是,说明终端设备为企业设备,则调用第一请求审核模块4,第一请求审核模块4发送第一审核信息至终端设备,如图2所示,该第一审核信息可以界面的形式发送给终端设备,界面中包括网络登录条件(该界面及界面中的登录条件可根据企业实际需求自行开发),终端设备则可根据该界面中的内容填写审核请求并反馈第一审核请求至第一请求审核模块4,第一请求审核模块4审核第一审核请求并在审核通过时调用控制模块6,终端设备则可根据控制模块6发送的接入网络权限接入对应的域中;若判断为否,说明终端设备为非企业设备,则调用第二请求审核模块,第二请求审核模块5发送第二审核信息至终端设备,如图3所示,同样该第二审核信息可以界面的形式发送给终端设备,终端设备则可根据该界面中的内容填写审核请求并反馈第二审核请求至第二请求审核模块5,第二请求审核模块5审核第二审核请求并在审核通过时调用控制模块6,终端设备则可根据控制模块发送的接入网络权限接入对应的域中。当然,若两个请求审核模块审核不通,则不动作,此时终端设备无法接入企业网络。
本实施例中,第一审核请求和第二审核请求均包括网络信息和设备信息。设备信息又包括终端设备的账号、密码和MAC地址等,网络信息又包括办公网络区域、终端设备类型、设备操作系统等。需要说明的是,接入网络权限可根据不同的设备信息设置不同的权限。
本实施例中,还可设置非企业设备的入网时间,则第二审核请求还可包括入网期限。也即非企业设备的用户申请审核请求时需写明入网时间,控制模块在将接入网络权限发送至非企业设备的终端设备时开始计时,并在计时达到入网期限时取消终端设备的入网许可,之后非企业设备的终端设备则无法接入企业网络。
本实施例中,网络准入系统还可设置老化策略,也即若终端设备在预设期限内不活动,则自动注销(取消终端设备的入网许可)。例如,域内设备10天内不活动,自动注销;企业设备半年不活动,则自动注销;非企业设备一周内不活动,自动注销。
本实施例中,将终端设备按与企业关系分为以下类别:域内设备、企业非域内设备、非企业设备(临时、长时间接入),并根据设备类型分派不同有效期及老化策略以管理设备有效期。用户的非域内设备可按实际场景填写对应的申请模板并提交,待在线审批流完成后,控制模块自动执行开发的脚本实现设备接入,具体的:控制模块可通过服务器实现,若网络准入系统准许终端设备入网,则服务器将终端设备的MAC地址写入准入系统的数据库中,若网络准入系统取消终端设备的入网许可,则服务器将终端设备的MAC地址从准入系统的数据库中删除。从而,本实施例的网络准入系统能够清晰管理非域内的终端设备,严格把关、彻底杜绝了私自将非域内设备接入网络的问题,大大提高了企业网络的安全性。
实施例2
如图4所示,本实施例的企业级的网络准入方法利用实施例1中的网络准入系统实现,所述网络准入方法包括以下步骤:
步骤101、请求接收模块接收终端设备发送的接入网络请求。
其中,接入网络请求包括设备信息。
步骤102、第一判断模块通过设备信息判断终端设备是否为域内设备;若判断为是,则执行步骤105;若判断为否,则执行步骤103。
步骤103、第二判断模块判断终端设备是否为企业设备;若判断为是,则执行步骤104;若判断为否,则执行步骤104’。
步骤104、所述第一请求审核模块发送第一审核信息至终端设备并接收终端设备反馈的第一审核请求。
步骤1041、第一请求审核模块是否审核通过;若是,则执行步骤105。
步骤105、所述控制模块发送接入网络权限至终端设备。
步骤104’、所述第二请求审核模块发送第二审核信息至终端设备并接收终端设备反馈的第二审核请求。
步骤1041’、第二请求审核模块是否审核通过;若是,执行步骤105’。
步骤105’、控制模块在发送接入网络权限至终端设备时开始计时,并在计时达到入网期限时取消终端设备的入网许可。当然,此时的第二审核请求还包括入网期限。若第二审核请求不包括入网期限,则步骤1041’之后执行步骤105。
本实施例中,企业网络包括至少一个域,在步骤105之后或者步骤105’中的控制模块在发送接入网络权限至终端设备的步骤之后,还包括:
所述终端设备根据所述接入网络权限接入对应的域中。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。

Claims (4)

1.一种企业级的网络准入系统,其特征在于,所述网络准入系统包括:
请求接收模块,用于接收终端设备发送的接入网络请求;所述接入网络请求包括设备信息;
第一判断模块,用于通过设备信息判断终端设备是否为域内设备;若判断为是,调用控制模块;若判断为否,调用第二判断模块;
第二判断模块,用于判断终端设备是否为企业设备;若判断为是,则调用第一请求审核模块;若判断为否,则调用第二请求审核模块;
所述第一请求审核模块用于以界面的形式发送第一审核信息至终端设备并接收终端设备根据界面中的网络登录条件反馈的第一审核请求,还在审核通过时调用控制模块;
所述第二请求审核模块用于以界面的形式发送第二审核信息至终端设备并接收终端设备根据界面中的网络登录条件反馈的第二审核请求,还在审核通过时调用控制模块;
所述控制模块用于发送接入网络权限至终端设备;
所述第一审核请求和第二审核请求均包括网络信息和设备信息;
所述第二审核请求还包括入网期限;
若终端设备为非企业设备,所述控制模块还用于在发送接入网络权限时开始计时,并在计时达到入网期限时取消终端设备的入网许可;
所述网络准入系统还设置老化策略,所述老化策略包括若终端设备在预设期限内不活动,则自动取消所述终端设备的入网许可;
其中,若网络准入系统取消终端设备的入网许可,则将所述终端设备的MAC地址从所述网络准入系统的数据库中删除;企业网络包括至少一个域;
所述终端设备用于根据所述接入网络权限接入对应的域中。
2.如权利要求1所述的企业级的网络准入系统,其特征在于,所述设备信息包括终端设备的账号、密码和MAC地址;
所述网络信息包括办公网络区域。
3.一种企业级的网络准入方法,其特征在于,所述网络准入方法利用如权利要求1所述的网络准入系统实现,所述网络准入方法包括以下步骤:
S1、请求接收模块接收终端设备发送的接入网络请求;所述接入网络请求包括设备信息;
S2、第一判断模块通过设备信息判断终端设备是否为域内设备;若判断为是,则执行步骤S5;若判断为否,则执行步骤S3
S3、第二判断模块判断终端设备是否为企业设备;若判断为是,则执行步骤S4;若判断为否,则执行步骤S4’;
S4、所述第一请求审核模块以界面的形式发送第一审核信息至终端设备并接收终端设备根据界面中的网络登录条件反馈的第一审核请求,在审核通过时执行步骤S5
S4’、所述第二请求审核模块以界面的形式发送第二审核信息至终端设备并接收终端设备根据界面中的网络登录条件反馈的第二审核请求,并在审核通过时执行步骤S5’;其中,所述第一审核请求和所述第二审核请求均包括网络信息和设备信息,所述第二审核请求还包括入网期限;
S5、所述控制模块发送接入网络权限至终端设备;
S5’、所述控制模块在发送接入网络权限至终端设备时开始计时,并在计时达到入网期限时取消终端设备的入网许可;
所述网络准入方法还包括设置老化策略,所述老化策略包括若终端设备在预设期限内不活动,则自动取消所述终端设备的入网许可;
其中,若网络准入系统取消终端设备的入网许可,则将所述终端设备的MAC地址从所述网络准入系统的数据库中删除;企业网络包括至少一个域;
在步骤S5之后或者步骤105’中的控制模块在发送接入网络权限至终端设备的步骤之后,还包括:
S6、所述终端设备根据所述接入网络权限接入对应的域中。
4.如权利要求3所述的企业级的网络准入方法,其特征在于,所述设备信息包括终端设备的账号、密码和MAC地址;
所述网络信息包括办公网络区域。
CN201710146396.4A 2017-03-13 2017-03-13 企业级的网络准入方法及系统 Active CN106936832B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710146396.4A CN106936832B (zh) 2017-03-13 2017-03-13 企业级的网络准入方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710146396.4A CN106936832B (zh) 2017-03-13 2017-03-13 企业级的网络准入方法及系统

Publications (2)

Publication Number Publication Date
CN106936832A CN106936832A (zh) 2017-07-07
CN106936832B true CN106936832B (zh) 2020-04-07

Family

ID=59432669

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710146396.4A Active CN106936832B (zh) 2017-03-13 2017-03-13 企业级的网络准入方法及系统

Country Status (1)

Country Link
CN (1) CN106936832B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108768744B (zh) * 2018-06-13 2021-07-27 郑州云海信息技术有限公司 一种对云平台创建网络的管理方法和装置
CN110493195B (zh) * 2019-07-23 2021-11-05 上海文化广播影视集团有限公司 一种网络准入控制方法及系统
CN114915612B (zh) * 2022-04-22 2024-03-15 绿盟科技集团股份有限公司 主机接入方法、待接入主机及dhcp服务器

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1680951A (zh) * 2004-07-05 2005-10-12 中国银行股份有限公司 金融企业为客户进行在线授信的系统和方法
US7814531B2 (en) * 2006-06-30 2010-10-12 Intel Corporation Detection of network environment for network access control
US8225103B2 (en) * 2006-10-24 2012-07-17 Avatier Corporation Controlling access to a protected network
CN101083556B (zh) * 2007-07-02 2010-04-14 蔡水平 一种按地域分层次无线信息发布搜索交流应用系统
CN101909298B (zh) * 2010-07-15 2012-12-26 优视科技有限公司 无线网络安全接入控制方法和装置
CN102957699B (zh) * 2012-10-26 2017-07-21 北京奇安信科技有限公司 一种企业内网访问控制方法和系统

Also Published As

Publication number Publication date
CN106936832A (zh) 2017-07-07

Similar Documents

Publication Publication Date Title
CN107172054B (zh) 一种基于cas的权限认证方法、装置及系统
US10673985B2 (en) Router-host logging
CN108200050A (zh) 单点登录服务器、方法及计算机可读存储介质
CN108173850A (zh) 一种基于区块链智能合约的身份认证系统和身份认证方法
CN106936832B (zh) 企业级的网络准入方法及系统
CN104202338B (zh) 一种适用于企业级移动应用的安全接入方法
CN103905395B (zh) 一种基于重定向的web访问控制方法及系统
CN104954330A (zh) 一种对数据资源进行访问的方法、装置和系统
CN110430205A (zh) 单点登录方法、装置、设备及计算机可读存储介质
CN106209727B (zh) 一种会话访问方法和装置
CN105376204A (zh) 用户终端和权限授予方法及其系统
CN105786630A (zh) 一种基于中间件的Web API调控方法
CN107506624A (zh) 一种基于短信验证码的Windows系统安全登录方法
US9635017B2 (en) Computer network security management system and method
CN115982679A (zh) 一种项目数据的权限管理方法及系统
CN111010396A (zh) 一种互联网身份认证管理方法
CN114117264A (zh) 基于区块链的非法网站识别方法、装置、设备及存储介质
CN108614709A (zh) 一种控制Android应用安全访问网络的方法及系统
US8726335B2 (en) Consigning authentication method
CN111783047A (zh) Rpa自动化安全防护方法及装置
CN105656856A (zh) 资源管理方法和装置
CN114520734B (zh) 一种基于双向传输的网络数据安全管控方法及系统
JP7308554B2 (ja) 企業の公式メールボックスに基づくb2bサービスの安全認証方法、装置及びサーバ
DE102022132069A1 (de) Server, der einen sicherheitszugriff eines endgeräts des benutzers unterstützt, und steuerverfahren dafür
CN112953951B (zh) 一种基于国产cpu的用户登录验证和安全性检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant