CN109361695B - 对网络接入的授权方法、装置、计算机设备和存储介质 - Google Patents
对网络接入的授权方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN109361695B CN109361695B CN201811434919.6A CN201811434919A CN109361695B CN 109361695 B CN109361695 B CN 109361695B CN 201811434919 A CN201811434919 A CN 201811434919A CN 109361695 B CN109361695 B CN 109361695B
- Authority
- CN
- China
- Prior art keywords
- terminal
- switch
- authorization
- access
- terminals
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/30—Peripheral units, e.g. input or output ports
- H04L49/3054—Auto-negotiation, e.g. access control between switch gigabit interface connector [GBIC] and link
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请涉及一种对网络接入的授权方法、装置、计算机设备和存储介质。所述方法包括:获取第一终端的终端数据;当根据该终端数据确定该第一终端为未授权终端时,在交换机上对该第一终端进行授权。采用本申请的方案能够提高网络的安全性。
Description
技术领域
本申请涉及计算机应用技术领域,特别是涉及一种对网络接入的授权方法、装置、计算机设备和存储介质。
背景技术
随着互联网技术的发展,各种形式的网络不断涌现。人们在享受网络带来的便利之余,也同样关注着互联网的安全应用。目前的对网络接入的防护技术采用的是在网络边界设置防火墙的方式,对接入的终端进行拦截或授权,以保障核心网络的安全。然而目前对网络接入的授权方法,存在安全性不高的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高网络安全性的网络授权方法、装置、计算机设备和计算机存储介质。
一种对网络接入的授权方法,所述方法包括:获取第一终端的终端数据;当根据该终端数据确定该第一终端为未授权终端时,在交换机上对该第一终端进行授权。
在其中一个实施例中,当根据终端数据确定该第一终端为未授权终端时,在交换机上对该第一终端进行授权,包括:获取该终端数据中的终端类型;根据该终端类型从终端类型与访问规则的对应关系中获取对应的访问规则;根据该访问规则在交换机上对第一终端进行授权。
在其中一个实施例中,当根据该终端数据确定第一终端为未授权终端时,在交换机上对第一终端进行授权,包括:当检测到第一终端在预授权终端集合中时,则在交换机上对第一终端进行授权,其中,该授权终端集合中记录有预先录入的终端标识。
在其中一个实施例中,当根据该端数据确定第一终端为未授权终端时,在交换机上对该第一终端进行授权,包括:当检测到第一终端未在预授权终端集合中时,获取对第一终端的授权指令;根据授权指令在交换机上对第一终端进行授权。
在其中一个实施例中,在获取终端数据之前,还包括:为交换机的端口配置访问规则,该访问规则包括访问控制列表、广播风暴控制、交换机端口绑定、限制访问的带宽速率、禁止转发报文和禁止学习媒体访问控制地址,以及识别媒体访问控制地址和识别互联网协议地址中的至少一种;在交换机上配置与终端数据中的终端类型相对应的访问规则。
在其中一个实施例中,在交换机上对第一终端进行授权,包括:根据终端数据确定业务类型;获取业务类型的访问权限;将业务类型的访问权限授予第一终端。
在其中一个实施例中,该方法还包括:当已授权的第一终端为支持漫游的第一终端时,则允许已授权的第一终端切换至同一控制系统下的交换机进行网络连接。
一种对网络接入的授权装置,该装置包括:获取模块,用于获取第一终端的终端数据;授权模块,用于当根据该终端数据确定第一终端为未授权终端时,在交换机上对第一终端进行授权。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:获取第一终端的终端数据;当根据该终端数据确定该第一终端为未授权终端时,在交换机上对该第一终端进行授权。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:获取第一终端的终端数据;当根据该终端数据确定该第一终端为未授权终端时,在交换机上对该第一终端进行授权。
上述对网络接入的授权方法、装置、计算机设备和存储介质,通过获取第一终端的终端数据来确定第一终端为未授权终端,并在交换机上对第一终端进行授权,将权限设置在交换机上,则无需通过设置防火墙的方式进行网络授权,能节省网络的建设成本,同时也提高了网络的安全性。
附图说明
图1为一个实施例中对网络接入的授权方法的应用环境图;
图2为一个实施例中对网络接入的授权方法的流程示意图;
图3为一个实施例中根据访问规则进行授权的步骤的流程示意图;
图4为一个实施例中终端接入业务网的示意图;
图5为一个实施例中对网络接入的授权装置的结构框图;
图6为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例中提供的对网络接入的授权方法,可以应用于如图1所示的应用环境中。其中,第一终端102接入交换机104进行网络访问,服务器106控制交换机104,服务器106的系统界面可展示在第二终端108,即第二终端108可通过服务器106进而控制交换机104。其中,第一终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、摄像机、屏幕、电梯、适配器、控制器和便携式可穿戴设备。交换机104是一种用于电或光信号转发的网络设备。服务器106可以用独立的服务器或者是多个服务器组成的服务器集群来实现或者嵌入式盒式装备,服务器106中搭载有集中授权控制系统。第二终端108为带有界面显示功能的终端,可以但不限于是个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。
在一个实施例中,如图2所示,提供了一种对网络接入的授权方法,以该方法应用于图1中的服务器106为例进行说明,包括以下步骤:
步骤202,获取第一终端的终端数据。
其中,终端数据是指终端类型、终端标识、终端的接入时间、终端的流量信息、IP地址(Internet Protocol Address,互联网协议地址)、MAC地址(Media Access ControlAddress,媒体访问控制地址)、VLAN(Virtual Local Area Network,虚拟局域网)、第一终端接入的交换机接入端口和第一终端接入的交换机的位置信息中的至少一种。终端类型可以是个人计算机、笔记本电脑、智能手机、平板电脑、网络摄像机、可视对讲机、显示器、电梯、适配器、控制器和便携式可穿戴设备等。终端标识可以包括数字、字母和符号中的任意一种或多种。
具体地,服务器通过交换机获取第一终端的终端数据。
步骤204,当根据该终端数据确定该第一终端为未授权终端时,在交换机上对该第一终端进行授权。
具体地,服务器可以根据该终端数据中的终端标识、IP地址、MAC地址或VLAN确定该第一终端为未经过交换机授权的终端,在交换机的端口上对第一终端进行授权。其中,授权可以是授予业务网的权限。
本实施例中,当有多个未授权终端时,服务器可在交换机上对该多个未授权终端进行集中授权。第二终端可获取对多个未授权终端的选择指令,并获取授权指令,通过服务器中的集中授权控制系统在交换机上对多个第一终端进行授权。
上述对网络接入的授权方法中,通过获取第一终端的终端数据来确定第一终端为未授权终端,并在交换机上对第一终端进行授权,将权限设置在交换机上,则无需通过设置防火墙的方式进行网络授权,能节省网络的建设成本,同时也提高了网络的安全性。
在一个实施例中,如图3所示,当根据终端数据确定该第一终端为未授权终端时,在交换机上对该第一终端进行授权,包括:
步骤302,获取该终端数据中的终端类型。
具体地,服务器可直接获取终端数据中的终端类型,例如终端类型为个人计算机、笔记本电脑、智能手机、平板电脑、摄像机、显示器、电梯、适配器、控制器和便携式可穿戴设备中的至少一种。
本实施例中,服务器通过终端数据中的终端标识,确定终端类型。
本实施例中,服务器从第二终端获取根据终端数据设置的终端类型。例如第二终端根据MAC地址、IP地址、VLAN或者终端的流量信息得知该终端数据对应的终端类型。
步骤304,根据该终端类型从终端类型与访问规则的对应关系中获取对应的访问规则。
具体地,第二终端在服务器建立终端类型与访问规则的对应关系。例如终端类型为网络摄像机和灯控控制器,网络摄像机和灯控控制器对应的访问规则为IP地址、MAC地址和交换机端口的绑定,并且交换机端口限制网络摄像机和灯控控制器从该交换机端口进行TCP(Transmission Control Protocol,传输控制协议)主动连接。显示器对应的访问规则为IP地址、MAC地址和交换机端口的绑定。个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备等终端对应的访问规则为IP地址、MAC地址和交换机端口的绑定,并且服务器在交换机上设有基于TCP连接或者IP地址的ACL(Access Control List,访问控制列表)。
服务器根据终端类型从终端类型与访问规则的对应关系中获取对应的访问规则。例如终端类型为个人个人计算机,则服务器获取的对应的访问规则为IP地址、MAC地址和交换机端口的绑定,以及基于TCP连接或者IP地址的ACL规则,以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。
步骤306,根据该访问规则在交换机上对第一终端进行授权。
具体地,服务器根据获取的访问规则在交换机上对第一终端进行授权。其中,授权可以是授予对应的业务网的权限,例如传真网、数据网和电话网对应的权限。例如,服务器获取的个人计算机对应的访问规则为IP地址、MAC地址和交换机端口的绑定,以及基于TCP连接或者IP地址的ACL规则,则服务器可以限制该个人计算机的网络流量和禁止该个人计算机访问外部网络等但不限于此。
上述对网络接入的授权方法中,根据终端类型获取对应的访问规则,并根据访问规则在交换机上对第一终端进行授权,将访问规则设置在交换机上,则无需通过设置防火墙的方式进行网络授权,能节省网络的建设成本,同时也可避免入侵者采取各种网络攻击手段入侵网络,提高了网络的安全性。
在一个实施例中,当根据该终端数据确定第一终端为未授权终端时,在交换机上对第一终端进行授权,包括:当检测到第一终端在预授权终端集合中时,则在交换机上对第一终端进行授权,其中,该预授权终端集合中记录有预先录入的终端标识。
具体地,预授权终端集合中记录有在第二终端预先录入的终端标识、IP地址、MAC地址或VLAN等,并存储在服务器的数据库中。服务器获取该第一终端的终端标识、IP地址、MAC地址或VLAN,并将第一终端的终端标识、IP地址、MAC地址或VLAN与服务器中的预授权终端集合中的终端标识、IP地址、MAC地址或VLAN进行比对。当服务器检测到该第一终端在预授权集合中时,则直接在交换机上对该第一终端进行授权。
例如,当有100台个人计算机需要通过交换机接入网络,则第二终端可预先录入该100台个人计算机的终端标识,并生成预授权终端集合。那么当个人计算机通过交换机接入网络时,服务器检测到该个人计算机在预授权终端集合中时,则直接在交换机上对第一终端进行授权。
上述对网络接入的授权方法中,当检测到第一终端在预授权终端集合中时,则在交换机上对第一终端进行授权,无需人工干预,使该第一终端直接接入网络,并且能够节省授权时间。
在一个实施例中,当根据该端数据确定第一终端为未授权终端时,在交换机上对该第一终端进行授权,包括:当检测到第一终端未在预授权终端集合中时,获取对第一终端的授权指令;根据授权指令在交换机上对第一终端进行授权。
具体地,当服务器通过终端标识、IP地址、MAC地址或VLAN无法在预授权终端集合中检测到第一终端的终端标识、IP地址、MAC地址或VLAN时,服务器获取第二终端对第一终端的授权指令,并根据授权指令在交换机上对第一终端授予业务网权限等。
上述对网络接入的授权方法中,当检测到第一终端未在预授权终端集合中时,根据授权指令在交换机上对第一终端进行授权,能节省网络建设成本,同时提高网络的安全性。
在一个实施例中,在获取终端数据之前,还包括:为交换机的端口配置访问规则,访问规则包括访问控制列表、广播风暴控制、交换机端口绑定、限制访问的带宽速率、禁止转发报文和禁止学习媒体访问控制地址,以及识别媒体访问控制地址和识别互联网协议地址中的至少一种;在交换机上配置与终端数据中的终端类型相对应的访问规则。
其中,媒体访问控制地址是指ACL(Access Control List,访问控制列表),是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
广播风暴控制是指网络上的广播帧由于被转发,导致数量急剧增加而影响正常的网络通讯的反常现象。广播风暴会占用相当可观的网络带宽,造成整个网络无法正常工作。广播风暴控制是允许交换机端口对网络上出现的广播风暴进行过滤。开启广播风暴控制后,当端口收到的广播帧累计到预定门限值时,端口将自动丢弃收到的广播帧。
交换机端口绑定是指将终端的终端标识、IP地址、MAC地址和VLAN中的至少一种与交换机的端口进行绑定。报文是指网络中交换与传输的数据单元,即站点一次性要发送的数据块。报文包含了将要发送的完整的数据信息,长短不一致,长度不限且可变。
具体地,服务器的集中授权控制系统可通过协议软件,包括SNMP(Simple NetworkManagement Protocol,简单网络管理协议)、Telnet(Telecommunication Network,远程登录)、web或者其它协议对交换机进行数据的读取和配置的下发。服务器可以为交换机的端口配置访问规则,访问规则包括ACL规则、访问控制列表、广播风暴控制、交换机端口绑定、限制访问的带宽速率、禁止转发报文和禁止学习媒体访问控制地址,以及识别媒体访问控制地址和识别互联网协议地址中的至少一种。服务器在交换机上配置与终端数据中的终端类型相对应的访问规则。
例如,服务器对网络摄像机和灯控控制器进行IP地址、MAC地址和交换机端口的绑定,并且限制摄像机的TCP(Transmission Control Protocol,传输控制协议)主动连接,将网络摄像机与访问规则对应起来。通过建立该对应关系,服务器对交换机对应的端口授权后,从该端口接入的设备除了不允许修改IP地址和MAC地址外,也不能主动发起TCP连接,则可避免边界入侵者通过模拟终端的IP地址和MAC地址来入侵网络。服务器还在交换机上配置与显示器相对应的访问规则,该访问规则为绑定IP地址、MAC地址和交换机端口。服务器还在交换机上配置与个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备等终端对应的访问规则,该访问规则为IP地址、MAC地址和交换机端口的绑定,并且设有基于TCP连接或者IP地址的ACL(Access Control List,访问控制列表)。
上述对网络接入的授权方法中,根据终端类型获取对应的访问规则,并根据访问规则在交换机上对第一终端进行授权,将访问规则设置在交换机上,则无需通过设置防火墙的方式进行网络授权,能节省网络的建设成本,同时也可避免入侵者采取各种网络攻击途径例如广播风暴、IP冲突、MAC冲突、ARP(Address Resolution Protocol,地址解析协议)欺骗和分布式拒绝服务攻击等攻击手段入侵网络,提高了网络的安全性。
在一个实施例中,在交换机上对第一终端进行授权,包括:根据该终端数据确定业务类型;获取业务类型的访问权限;将业务类型的访问权限授予第一终端。
其中,业务类型是指业务网类型,例如传真网、数据网和电话网等。
具体地,如图4所示,图4为一个实施例中终端接入业务网的示意图。其中,图中所表述“网一T1”表示编号为T1的业务网一的终端,“网二T2”表示编号为T2的业务网二的终端,如此类推,其中“未知T6”表示编号为T6的未知终端。服务器可根据终端数据中的终端类型、终端标识、IP地址、MAC地址和VLAN中的至少一种确定该终端对应的业务类型,服务器可获取该业务类型的访问权限,并将业务类型的访问权限授予第一终端。
例如,以图4为例,当终端T1、T2、T3、T4、T5和T6第一次接入网络后,服务器向第二终端发出有新的终端接入网络的告警提示。则第二终端可基于终端标识、MAC地址、IP地址或VLAN等信息判断终端归属于哪种业务类型,并授予对应业务的访问权限。如图中T1、T3、T5将授予访问业务网一的权限,T2、T4授予访问业务网二的权限,T6加入黑名单。
上述对网络接入的授权方法中,根据终端数据确定业务类型,并获取业务类型的访问权限,将业务类型的访问权限授予第一终端,能根据不同的终端数据授予不同的业务类型的访问权限,能提高网络的安全性。
在一个实施例中,该方法还包括:当已授权的第一终端为支持漫游的第一终端时,则允许已授权的第一终端切换至同一控制系统下的交换机进行网络连接。
具体地,服务器中设有集中授权控制系统,服务器能通过集中授权控制系统控制多台交换机。其中,服务器的数据库中记录有通过同一集中授权控制系统下的交换机接入网络的终端,包括未授权终端和已授权终端等但不限于此。当已授权的第一终端为支持漫游的第一终端时,则服务器允许该已授权的第一终端切换至同一集中授权控制系统下的交换机进行网络连接。例如,当已授权的终端需要更换交换机端口时,则该终端可以选择通过同一集中授权控制系统下的交换机接入网络,此时,服务器无需再次为该已授权的第一终端进行授权。
本实施例中,在使用过程中,可能由于服务器调试或者交换机端口本身的质量问题,用一段时间后,终端可能会移到其它交换机的端口。当已授权的第一终端是不支持漫游的第一终端时,该不支持漫游的第一终端更换交换机端口时,服务器需要对该不支持漫游的终端进行重新授权。
上述对网络接入的授权方法中,当已授权的第一终端为支持漫游的第一终端时,允许第一终端切换至同一个控制系统下的交换机进行网络连接,则在切换交换机端口时,不用再次对支持漫游的第一终端进行授权,确保第一终端能直接接入网络,能够节省授权时间。
在一个实施例中,对网络接入的授权方法,包括以下步骤:
步骤(a1),为交换机的端口配置访问规则,该访问规则包括访问控制列表、广播风暴控制、交换机端口绑定、限制访问的带宽速率、禁止转发报文和禁止学习媒体访问控制地址,以及识别媒体访问控制地址和识别互联网协议地址中的至少一种;
步骤(a2),在交换机上配置与终端数据中的终端类型相对应的访问规则。
步骤(a3),获取第一终端的终端数据。
步骤(a4),获取该终端数据中的终端类型。
步骤(a5),根据该终端类型从终端类型与访问规则的对应关系中获取对应的访问规则。
步骤(a6),根据访问规则在交换机上对第一终端进行授权。
步骤(a7),当检测到第一终端在预授权终端集合中时,则在交换机上对第一终端进行授权,其中,该授权终端集合中记录有预先录入的终端标识。
步骤(a8),当检测到第一终端未在预授权终端集合中时,获取对第一终端的授权指令;
步骤(a9),根据授权指令在交换机上对第一终端进行授权。
步骤(a10)当已授权的第一终端为支持漫游的第一终端时,则允许已授权的第一终端切换至同一控制系统下的交换机进行网络连接。
上述步骤(a1)-步骤(a10)并不是必然按照步骤标号指示的顺序依次执行,除非本文有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其他的顺序执行。
上述对网络接入的授权方法中,通过获取第一终端的终端数据来确定第一终端为未授权终端,并根据访问规则在交换机上对第一终端进行授权,将权限设置在交换机上,则无需通过设置防火墙的方式进行网络授权,能节省网络的建设成本,也可避免入侵者采取各种网络攻击手段入侵网络,同时也提高了网络的安全性;当检测到第一终端在预授权终端集合中时,则在交换机上对第一终端进行授权,无需人工干预,使该第一终端直接接入网络,并且能够节省授权时间。
应该理解的是,虽然图2-3的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-3中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图5所示,提供了一种对网络接入的授权装置,包括:获取模块502和授权模块504,其中:
获取模块502,用于获取第一终端的终端数据。
授权模块504,用于当根据该终端数据确定该第一终端为未授权终端时,在交换机上对该第一终端进行授权。
上述对网络接入的授权装置中,通过获取第一终端的终端数据来确定第一终端为未授权终端,并在交换机上对第一终端进行授权,将权限设置在交换机上,则无需通过设置防火墙的方式进行网络授权,能节省网络的建设成本,同时也提高了网络的安全性。
在一个实施例中,授权模块504用于获取该终端数据中的终端类型;根据该终端类型从终端类型与访问规则的对应关系中获取对应的访问规则;根据该访问规则在交换机上对第一终端进行授权。
上述对网络接入的授权装置中,根据终端类型获取对应的访问规则,并根据访问规则在交换机上对第一终端进行授权,将访问规则设置在交换机上,则无需通过设置防火墙的方式进行网络授权,能节省网络的建设成本,同时也可避免入侵者采取各种网络攻击手段入侵网络,提高了网络的安全性。
在一个实施例中,授权模块504用于当检测到第一终端在预授权终端集合中时,则在交换机上对第一终端进行授权,其中,该预授权终端集合中记录有预先录入的终端标识。
上述对网络接入的授权装置中,当检测到第一终端在预授权终端集合中时,则在交换机上对第一终端进行授权,无需人工干预,使该第一终端直接接入网络,并且能够节省授权时间。
在一个实施例中,授权模块504还用于当检测到第一终端未在预授权终端集合中时,获取对第一终端的授权指令;根据授权指令在交换机上对第一终端进行授权。
上述对网络接入的授权装置中,当检测到第一终端未在预授权终端集合中时,根据授权指令在交换机上对第一终端进行授权,能节省网络建设成本,同时提高网络的安全性。
在一个实施例中,对网络接入的授权装置还包括设置模块,设置模块用于为交换机的端口配置访问规则,访问规则包括访问控制列表、广播风暴控制、交换机端口绑定、限制访问的带宽速率、禁止转发报文和禁止学习媒体访问控制地址,以及识别媒体访问控制地址和识别互联网协议地址中的至少一种;在交换机上配置与终端数据中的终端类型相对应的访问规则。
上述对网络接入的授权装置中,根据终端类型获取对应的访问规则,并根据访问规则在交换机上对第一终端进行授权,将访问规则设置在交换机上,则无需通过设置防火墙的方式进行网络授权,能节省网络的建设成本,同时也可避免入侵者采取各种网络攻击途径例如广播风暴、IP冲突、MAC冲突、ARP欺骗和分布式拒绝服务攻击等攻击手段入侵网络,提高了网络的安全性。
在一个实施例中,授权模块504还用于根据该终端数据确定业务类型;获取业务类型的访问权限;将业务类型的访问权限授予第一终端。
上述对网络接入的授权装置中,根据终端数据确定业务类型,并获取业务类型的访问权限,将业务类型的访问权限授予第一终端,能根据不同的终端数据授予不同的业务类型的访问权限,能提高网络的安全性。
在一个实施例中,授权模块504还用于当已授权的第一终端为支持漫游的第一终端时,则允许已授权的第一终端切换至同一控制系统下的交换机进行网络连接。
上述对网络接入的授权装置中,当已授权的第一终端为支持漫游的第一终端时,允许第一终端切换至同一个控制系统下的交换机进行网络连接,则在切换交换机端口时,不用再次对支持漫游的第一终端进行授权,确保第一终端能直接接入网络,能够节省授权时间。
关于对网络接入的授权装置的具体限定可以参见上文中对于对网络接入的授权方法的限定,在此不再赘述。上述对网络接入的授权装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储终端数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种对网络接入的授权方法。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:获取第一终端的终端数据;当根据该终端数据确定该第一终端为未授权终端时,在交换机上对该第一终端进行授权。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:获取该终端数据中的终端类型;根据该终端类型从终端类型与访问规则的对应关系中获取对应的访问规则;根据该访问规则在交换机上对第一终端进行授权。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:当检测到第一终端在预授权终端集合中时,则在交换机上对第一终端进行授权,其中,该授权终端集合中记录有预先录入的终端标识。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:当检测到第一终端未在预授权终端集合中时,获取对第一终端的授权指令;根据授权指令在交换机上对第一终端进行授权。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:为交换机的端口配置访问规则,该访问规则包括访问控制列表、广播风暴控制、交换机端口绑定、限制访问的带宽速率、禁止转发报文和禁止学习媒体访问控制地址,以及识别媒体访问控制地址和识别互联网协议地址中的至少一种;在交换机上配置与终端数据中的终端类型相对应的访问规则。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:根据终端数据确定业务类型;获取业务类型的访问权限;将业务类型的访问权限授予第一终端。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:当已授权的第一终端为支持漫游的第一终端时,则允许已授权的第一终端切换至同一控制系统下的交换机进行网络连接。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:获取第一终端的终端数据;当根据该终端数据确定该第一终端为未授权终端时,在交换机上对该第一终端进行授权。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:获取该终端数据中的终端类型;根据该终端类型从终端类型与访问规则的对应关系中获取对应的访问规则;根据该访问规则在交换机上对第一终端进行授权。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:当检测到第一终端在预授权终端集合中时,则在交换机上对第一终端进行授权,其中,该授权终端集合中记录有预先录入的终端标识。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:当检测到第一终端未在预授权终端集合中时,获取对第一终端的授权指令;根据授权指令在交换机上对第一终端进行授权。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:为交换机的端口配置访问规则,该访问规则包括访问控制列表、广播风暴控制、交换机端口绑定、限制访问的带宽速率、禁止转发报文和禁止学习媒体访问控制地址,以及识别媒体访问控制地址和识别互联网协议地址中的至少一种;在交换机上配置与终端数据中的终端类型相对应的访问规则。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:根据终端数据确定业务类型;获取业务类型的访问权限;将业务类型的访问权限授予第一终端。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:当已授权的第一终端为支持漫游的第一终端时,则允许已授权的第一终端切换至同一控制系统下的交换机进行网络连接。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种对网络接入的授权方法,其特征在于,应用于服务器,所述方法包括:
获取多个第一终端的终端数据;
当根据所述终端数据确定多个第一终端为未授权终端时,获取第二终端对多个未授权终端的选择指令,并获取授权指令,根据所述授权指令,通过服务器的集中授权控制系统在交换机上对所选择的多个第一终端进行集中授权;所述服务器的系统界面展示在所述第二终端;
当检测到所述第一终端在预授权终端集合中时,则在交换机上对所述第一终端进行授权,其中,所述预授权终端集合中记录有预先录入的终端标识。
2.根据权利要求1所述的方法,其特征在于,当根据所述终端数据确定多个第一终端为未授权终端时,在交换机上对所选择的多个第一终端进行集中授权,包括:
获取所述终端数据中的终端类型;
根据所述终端类型从终端类型与访问规则的对应关系中获取对应的访问规则;
根据所述访问规则在交换机上对所选择的多个所述第一终端进行集中授权。
3.根据权利要求1-2任意一项所述的方法,其特征在于,在所述获取多个第一终端的终端数据之前,所述方法还包括:
为交换机的端口配置访问规则,所述访问规则包括访问控制列表、广播风暴控制、交换机端口绑定、限制访问的带宽速率、禁止转发报文和禁止学习媒体访问控制地址,以及识别媒体访问控制地址和识别互联网协议地址中的至少一种;
在交换机上配置与终端数据中的终端类型相对应的访问规则。
4.根据权利要求1-2任意一项所述的方法,其特征在于,所述在交换机上对所选择的多个第一终端进行集中授权,包括:
根据所述终端数据确定业务类型;
获取业务类型的访问权限;
将所述业务类型的访问权限授予所选择的多个第一终端。
5.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
当已授权的第一终端为支持漫游的第一终端时,则允许所述已授权的第一终端切换至同一控制系统下的交换机进行网络连接。
6.一种对网络接入的授权装置,其特征在于,应用于服务器所述装置包括:
获取模块,用于获取多个第一终端的终端数据;
授权模块,用于当根据所述终端数据确定多个第一终端为未授权终端时,获取第二终端对多个未授权终端的选择指令,并获取授权指令,根据所述授权指令,通过服务器的集中授权控制系统在交换机上对所选择的多个第一终端进行集中授权;所述服务器的系统界面展示在所述第二终端;
授权模块,还用于当检测到所述第一终端在预授权终端集合中时,则在交换机上对所述第一终端进行授权,其中,所述预授权终端集合中记录有预先录入的终端标识。
7.根据权利要求6所述的装置,其特征在于,所述授权模块用于获取所述终端数据中的终端类型;
根据所述终端类型从终端类型与访问规则的对应关系中获取对应的访问规则;
根据所述访问规则在交换机上对所选择的多个第一终端进行集中授权。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811434919.6A CN109361695B (zh) | 2018-11-28 | 2018-11-28 | 对网络接入的授权方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811434919.6A CN109361695B (zh) | 2018-11-28 | 2018-11-28 | 对网络接入的授权方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109361695A CN109361695A (zh) | 2019-02-19 |
| CN109361695B true CN109361695B (zh) | 2021-11-19 |
Family
ID=65343089
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811434919.6A Active CN109361695B (zh) | 2018-11-28 | 2018-11-28 | 对网络接入的授权方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109361695B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111563249B (zh) * | 2020-05-06 | 2021-03-19 | 深圳市图元科技有限公司 | 一种基于iot授权的终端验证方法及系统 |
| CN117714279A (zh) * | 2023-07-28 | 2024-03-15 | 荣耀终端有限公司 | 设备管理的方法、路由器及可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN200941622Y (zh) * | 2006-06-19 | 2007-08-29 | 福建星网锐捷网络有限公司 | 一种网络认证授权系统及使用的交换机 |
| CN104158767A (zh) * | 2014-09-03 | 2014-11-19 | 吕书健 | 一种网络准入装置及方法 |
| CN106100871A (zh) * | 2016-05-31 | 2016-11-09 | 深圳市双赢伟业科技股份有限公司 | 一种交换机防火墙更新方法及装置 |
| CN205812053U (zh) * | 2016-01-22 | 2016-12-14 | 深圳市风云实业有限公司 | 一种用于交换机管理的网络准入控制系统 |
| CN106686592A (zh) * | 2016-07-12 | 2017-05-17 | 飞天诚信科技股份有限公司 | 一种带有认证的网络接入方法及系统 |
| CN108833362A (zh) * | 2018-05-23 | 2018-11-16 | 邱婧 | 一种设备接入权限控制方法、装置及系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103428211B (zh) * | 2013-08-07 | 2016-12-28 | 华南理工大学 | 基于交换机的网络认证系统及其认证方法 |
| US9455957B2 (en) * | 2014-05-07 | 2016-09-27 | Gigamon Inc. | Map sharing for a switch device |
| CN106211151A (zh) * | 2015-04-29 | 2016-12-07 | 中国移动通信集团江苏有限公司 | 一种控制终端接入网络的方法及装置 |
| CN105227561A (zh) * | 2015-10-14 | 2016-01-06 | 上海斐讯数据通信技术有限公司 | 一种上网认证防蹭网方法及装置 |
| CN106412896A (zh) * | 2016-09-30 | 2017-02-15 | 上海斐讯数据通信技术有限公司 | 一种无线路由器的授权管理方法及系统 |
| EP3552352A4 (en) * | 2016-12-08 | 2020-11-11 | Hewlett-Packard Enterprise Development LP | FRAMEWORK FOR UNIVERSALLY SPECIFIED AFFINITY TOPOLOGIES WITH PARTIAL-PATH INVALIDATION AND GENERALIZED NETWORK FLOWS |
| US10530764B2 (en) * | 2016-12-19 | 2020-01-07 | Forescout Technologies, Inc. | Post-connection client certificate authentication |
-
2018
- 2018-11-28 CN CN201811434919.6A patent/CN109361695B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN200941622Y (zh) * | 2006-06-19 | 2007-08-29 | 福建星网锐捷网络有限公司 | 一种网络认证授权系统及使用的交换机 |
| CN104158767A (zh) * | 2014-09-03 | 2014-11-19 | 吕书健 | 一种网络准入装置及方法 |
| CN205812053U (zh) * | 2016-01-22 | 2016-12-14 | 深圳市风云实业有限公司 | 一种用于交换机管理的网络准入控制系统 |
| CN106100871A (zh) * | 2016-05-31 | 2016-11-09 | 深圳市双赢伟业科技股份有限公司 | 一种交换机防火墙更新方法及装置 |
| CN106686592A (zh) * | 2016-07-12 | 2017-05-17 | 飞天诚信科技股份有限公司 | 一种带有认证的网络接入方法及系统 |
| CN108833362A (zh) * | 2018-05-23 | 2018-11-16 | 邱婧 | 一种设备接入权限控制方法、装置及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 交换机的接入认证系统设计与实现;阳雄;《中国优秀硕士学位论文全文数据库 信息科技辑》;20171215;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109361695A (zh) | 2019-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105635084B (zh) | 终端认证装置及方法 | |
| CN110519306B (zh) | 一种物联网的设备访问控制方法和装置 | |
| JP2006040274A (ja) | 装置のグループをプロテクトするファイヤウォール、システムに参加する装置及びシステム内のファイヤウォール・ルールを更新する方法 | |
| KR102178305B1 (ko) | IoT 네트워크 접근을 제어하는 보안 시스템 | |
| US11075915B2 (en) | System and method for securing communication between devices on a network | |
| CN109361695B (zh) | 对网络接入的授权方法、装置、计算机设备和存储介质 | |
| CN101651697A (zh) | 一种网络访问权限的管理方法和设备 | |
| US11683312B2 (en) | Client device authentication to a secure network | |
| CN108600207B (zh) | 基于802.1x与savi的网络认证与访问方法 | |
| CN106604278B (zh) | 一种多权限的移动网络共享方法 | |
| US10277713B2 (en) | Role-based access to shared resources | |
| US9124946B1 (en) | Plug and play method and system of viewing live and recorded contents | |
| CN107483514A (zh) | 攻击监控设备及智能设备 | |
| TWI676115B (zh) | 用以管控與雲端服務系統認證之系統及方法 | |
| CN116566764A (zh) | 一种接入虚拟专用网络的配置方法和装置 | |
| CN105391720A (zh) | 用户终端登录方法及装置 | |
| CN113347136B (zh) | 一种访问认证方法、装置、设备及存储介质 | |
| CN103795708A (zh) | 终端准入方法及系统 | |
| US10979297B1 (en) | Network inventory reporting device | |
| KR101335293B1 (ko) | 내부 네트워크 침입 차단 시스템 및 그 방법 | |
| CN109525454B (zh) | 数据处理方法及装置 | |
| CN105915565B (zh) | 一种认证方法、装置和系统 | |
| CN112153637A (zh) | 防止非法用户接入无线网络的方法和装置、路由器和介质 | |
| EP3127374B1 (fr) | Accès sécurisé à un réseau étendu via un réseau de communication mobile | |
| US20230262095A1 (en) | Management of the security of a communicating object |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |