CN112910882A - 网络管理方法、装置、系统及计算机可读存储介质 - Google Patents
网络管理方法、装置、系统及计算机可读存储介质 Download PDFInfo
- Publication number
- CN112910882A CN112910882A CN202110121988.7A CN202110121988A CN112910882A CN 112910882 A CN112910882 A CN 112910882A CN 202110121988 A CN202110121988 A CN 202110121988A CN 112910882 A CN112910882 A CN 112910882A
- Authority
- CN
- China
- Prior art keywords
- intelligent terminal
- network
- network management
- terminal
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络管理方法、装置、系统及计算机可读存储介质,所述网络管理方法包括以下步骤:响应智能终端的网络接入请求,接收所述智能终端发送的终端数据;调用硬件白名单对所述终端数据进行验证,确定所述智能终端的网络接入权限;若所述智能终端具备所述网络接入权限,向网络管理服务器上报所述终端数据和硬件白名单信息,接收所述网络管理服务器调用软件白名单对所述终端数据进行校验的校验结果信息;若所述校验结果信息为通过校验,根据所述网络接入权限对应控制所述智能终端接入网络。能够实现根据智能终端的硬件配置数据和软件安装数据,对特定硬件和软件进行差异化的限制,进而起到网络限制管理,保护企业内部网络。
Description
技术领域
本发明涉及互联网领域,尤其涉及一种网络管理方法、装置、系统及计算机可读存储介质。
背景技术
如今,黑客入侵、电脑病毒入侵个人网络和企业网络的事件频繁发生,导致企业或个人的重要文档被窃取,因此各企业对于网络安全越来越重视,针对企业网络设置了不同的网络管理,而现有的网络管理的方法的限制形式较为单一,只能限制上网功能,实现禁网的效果,且校验方式单一,不能有效地防止非法入侵,无法实现对特定软件、网速或不同的电脑实现不同的网络限制,导致用户体验不佳。
发明内容
本发明的主要目的在于提供一种网络管理方法,旨在解决现有技术不能实现的技术问题。
为实现上述目的,本发明提供一种网络管理方法,包括以下内容:
响应智能终端的网络接入请求,接收所述智能终端发送的终端数据;
调用硬件白名单对所述终端数据进行验证,确定所述智能终端的网络接入权限;
若所述智能终端具备所述网络接入权限,向网络管理服务器上报所述终端数据和硬件白名单信息,接收所述网络管理服务器调用软件白名单对所述终端数据进行校验的校验结果信息;
若所述校验结果信息为通过校验,根据所述网络接入权限对应控制所述智能终端接入网络。
其中,所述调用硬件白名单对所述终端数据进行验证,确定所述智能终端的网络接入权限步骤之前,包括:
获取内网IP地址,向内网中的智能终端分配IP地址;
与内网中的智能终端建立连接,获取所述智能终端的IP地址和MAC信息,建立硬件白名单;
向所述硬件白名单写入智能终端网络接入权限,不同智能终端对应不同网络接入权限。
其中,所述根据所述网络接入权限对应控制所述智能终端接入网络步骤包括:
确认智能终端的的网络接入权限为限速接入权限;
调用limit规则对所述智能终端的网络访问数据进行匹配,控制所述智能终端的网络访问速率;
设置触发limit最大次数,循环检测所述智能终端的网络接入请求,实时控制所述智能终端的网络访问速率。
其中,所述调用硬件白名单对所述终端数据进行验证,确定所述智能终端的网络接入权限步骤,还包括:
识别所述终端数据到达的网口,确定所述智能终端接入的网口类型,其中,所述网口类型包括WAN口和LAN口;
判断所述智能终端接入的网口类型是否接反;
若确定所述智能终端接入的网口类型接反,发出LAN/WAN反转指令,切换所述WAN口和LAN口。
为实现上述目的,本发明提供另一种网络管理方法,包括以下内容:
接收由网络管理装置发送的终端数据和硬件白名单信息;
调用软件白名单对所述终端数据进行校验,判断所述智能终端是否安装有非法软件;
若所述智能终端未安装所述软件白名单中未记录的软件,确定所述智能终端未安装非法软件,生成通过校验的校验结果信息;
向所述网络管理装置发送所述校验结果信息,控制所述网络管理装置根据所述验证结果信息控制所述智能终端根据所述硬件白名单中预设的网络接入权限接入网络。
其中,所述接收由网络管理装置发送的终端数据和硬件白名单信息步骤后,还包括:
所述网络管理服务器接收由网络管理装置发送的所述智能终端的登录信息;
调用用户数据库对所述登录信息进行一次性口令认证,其中,所述用户数据库包含用户名和对应的MAC地址;
分析智能终端传回的认证信息,判断所述认证信息是否正确;
若所述认证信息正确,在预设间隔时间后,对所述登录信息进行二次认证;
若所述二次认证结果为认证成功,控制防火墙模块开放所述登录信息对应的用户权限;
若所述二次认证结果为认证失败,拒绝所述智能终端进行访问。
其中,所述调用软件白名单对所述终端数据进行校验,判断所述智能终端是否安装有非法软件步骤前,还包括:
所述网络管理服务器向所述智能终端发送软件检测指令,接收智能终端传回的已安装软件列表;
对所述已安装软件列表中的软件进行检测,获取所述已安装软件列表中的合法软件数据;
根据所述合法软件数据配置软件白名单。
此外,为实现上述目的,本发明还提供一种网络管理装置,所述设备网络管理装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络管理程序,所述网络管理程序被所述处理器执行时实现如上述网络管理方法的步骤。
本发明还提供一种网络管理系统,所述网络管理系统包括:
网络管理装置,用于分别与智能终端和网络管理服务器建立连接,接收所述智能终端发送的终端数据,将所述终端数据和硬件白名单信息发送到所述网络管理服务器进行验证,根据网络管理服务器的验证结果控制智能终端根据对应的网络接入权限接入网络;
网络管理服务器,用于与网络管理装置建立连接,接收网络管理装置发送的终端数据和硬件白名单信息,调用预设的软件白名单校验所述智能终端是否安装有非法软件,根据验证结果控制所述网络管理装置对对所述智能终端根据对应的网络接入权限接入网络;
智能终端,用于与网络管理装置建立连接,向网络管理装置发送终端数据,登录网络管理服务器,接收网络管理装置和/或网络管理服务器传回的信息确定网络管理情况。
所述网络管理系统在执行时实现如上所述的网络管理方法的步骤。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有网络管理程序,所述网络管理程序被处理器执行时实现如上所述网络管理方法的步骤。
本发明实施例提出的一种设备网络管理方法,通过响应智能终端的网络接入请求,接收所述智能终端发送的终端数据;调用硬件白名单对所述终端数据进行验证,确定所述智能终端的网络接入权限;若所述智能终端具备所述网络接入权限,向网络管理服务器上报所述终端数据和硬件白名单信息,接收所述网络管理服务器调用软件白名单对所述终端数据进行校验的校验结果;若所述校验结果为通过校验,根据所述网络接入权限对应控制所述智能终端接入网络。实现根据智能终端的硬件配置数据和软件安装数据,对智能终端进行双重验证,对特定硬件和软件进行差异化的限制,进而达到网络限制管理,确保企业网络稳定,保护企业内部网络安全,优化用户使用体验的有益效果。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的网络管理装置结构示意图;
图2为本发明第一实施例的流程示意图;
图3为本发明第二实施例的流程示意图;
图4为本发明第三实施例的流程示意图;
图5为本发明实施例方案涉及的硬件运行环境的网络管理系统的场景示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:响应智能终端的网络接入请求,接收所述智能终端发送的终端数据;调用硬件白名单对所述终端数据进行验证,确定所述智能终端的网络接入权限;若所述智能终端具备所述网络接入权限,向网络管理服务器上报所述终端数据和硬件白名单信息,接收所述网络管理服务器调用软件白名单对所述终端数据进行校验的校验结果;若所述校验结果为通过校验,根据所述网络接入权限对应控制所述智能终端接入网络。实现根据智能终端的硬件配置数据和软件安装数据,对特定硬件和软件进行差异化的限制,进而达到网络限制管理,确保企业网络稳定,优化用户使用体验的有益效果。
参照图1,图1为本发明网络管理方法实施例方案涉及的硬件运行环境的网络管理装置的结构示意图。
如图1所示,网络管理装置可以包括:处理器1001,例如CPU,通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
可选的,网络管理装置还可以包括调谐解调器、回传通道、RF(Radio Frequency,射频)电路,传感器、音频电路等等。
本领域技术人员应当理解的是,图1中示出的网络管理装置的硬件结构并不构成对网络管理装置的限定,可以包括比图1中示出的更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机可读存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网络管理程序,其中,操作系统是管理和控制网络管理程序的程序,支持网络管理程序的运行。
在图1所示出的网络管理装置的硬件结构中,网络接口1004主要用于接入网络,用户接口1003主要用于接收用户发出的操作指令,而处理器1001可以用于调用存储在存储器1005中的网络管理程序,并执行以下操作:
响应智能终端的网络接入请求,接收所述智能终端发送的终端数据;
调用硬件白名单对所述终端数据进行验证,确定所述智能终端的网络接入权限;
若所述智能终端具备所述网络接入权限,向网络管理服务器上报所述终端数据和硬件白名单信息,接收所述网络管理服务器调用软件白名单对所述终端数据进行校验的校验结果;
若所述校验结果为通过校验,根据所述网络接入权限对应控制所述智能终端接入网络。
进一步地,处理器1001可以调用存储器1005中的网络管理程序,还执行以下操作:
获取内网IP地址,向内网中的智能终端分配IP地址;
与内网中的智能终端建立连接,获取所述智能终端的IP地址和MAC信息,建立硬件白名单;
向所述硬件白名单写入智能终端网络接入权限,不同智能终端对应不同网络接入权限。
进一步地,处理器1001可以调用存储器1005中的网络管理程序,还执行以下操作:
确认智能终端的的网络接入权限为限速接入权限;
调用limit规则对所述智能终端的网络访问数据进行匹配,控制所述智能终端的网络访问速率;
设置触发limit最大次数,循环检测所述智能终端的网络接入请求,实时控制所述智能终端的网络访问速率。
进一步地,处理器1001可以调用存储器1005中的网络管理程序,还执行以下操作:
识别所述终端数据到达的网口,确定所述智能终端接入的网口类型,其中,所述网口类型包括WAN口和LAN口;
判断所述智能终端接入的网口类型是否接反;
若确定所述智能终端接入的网口类型接反,发出LAN/WAN反转指令,切换所述WAN口或LAN口。
基于上述网络管理装置硬件结构,提出本发明网络管理方法的各个实施例。
参照图2,图2是本发明网络管理方法第一实施例的流程示意图。
本实施例中,网络管理方法包括:
步骤S10:响应智能终端的网络接入请求,接收所述智能终端发送的终端数据;
本实施例中,网络管理装置可以是系统路由器,其中,系统路由器是用于控制智能终端与网络管理服务器之间连接通信、对智能终端进行网速限制、实现防火墙限制的硬件设备。网络管理装置和网络管理服务器及若干智能终端共同组成一个网络管理系统。其中,智能终端可以是手机、平板电脑、电脑等能够访问互联网的硬件设备。在网络管理装置上电启动后,通过网络管理装置控制智能终端的互联网连接。具体的,在一实施例中,网络管理装置为了内网的网络安全,在初始状态下,网络管理装置隔离内网中连接的智能终端与外部网络的连接。
智能终端在上电启动后通过TCP协议(传输控制协议)与网络管理装置建立TCP长连接,可选的,为了保证智能终端与网络管理装置建立TCP长连接的成功率。智能终端发送多次PING(网络诊断)命令获取网络管理装置IP地址。其中,PING命令是PING用于确定终端和终端之间能否成功交换(发送与接收)数据包,再根据返回的信息,就可以推断TCP/IP参数是否设置正确,以及运行是否正常、网络是否通畅的命令。若智能终端采用PING命令检测与网络管理器连接失败,则智能终端重复发送PING命令直到达到预设的最大重试次数。智能终端通过采用PING命令检测与网络管理器连接成功后,与网络管理装置建立TCP长连接。
具体的,智能终端与网络管理装置建立连接后,当智能终端需要接入外部网络时,智能终端检测注册表,获取终端数据,其中,终端数据是智能终端的终端硬件配置信息和软件安装列表信息。在获取终端数据后,智能终端向网络管理装置发送该终端数据,将终端数据转换为JSON数据流,将转换得到的JSON数据流转换成十六进制数,通过自定义协议发送到网络管理装置。可选的,自定义协议包括起始码+包序号+长度+内容+校验码+结束码。网络管理终端在接收该终端数据后,向智能终端发送已接收终端数据的反馈信息。若网络管理终端未发送反馈信息或所发送的反馈信息为未接收到所述终端数据。智能终端持续向网络管理终端发送该终端数据,直到达到最大重试次数或网络管理终端发送已接收终端数据的反馈信息。
步骤S20:调用硬件白名单对所述终端数据进行验证,确定所述智能终端的网络接入权限;
本实施例中,网络管理装置在上电启动后,能够获取内网的IP地址,向内网中的智能终端分配获取到的IP地址。具体的,网络管理装置基于DHCP(动态主机配置协议)向与网络管理装置控制的同属于一个内网的智能终端分配IP地址,智能终端根据分配到的IP地址进行网络配置。在智能终端首次与网络管理装置建立TCP长连接后,网络管理装置采集处于同一内网的有权访问外部网络的智能终端的MAC(硬件地址)信息和IP地址,根据获取到的智能终端的IP地址和MAC信息,预先构建硬件白名单,具体的,在一实施例中,硬件白名单是存储有智能终端IP地址和对应的MAC信息的数据库。可选的,网络管理装置还能够根据不同智能终端的不同实际功用,对不同的智能终端实施不同的网络管理,具体的,网络管理装置向硬件白名单中存储的智能终端信息中写入网络接入权限,在智能终端发送网络接入请求时,网络管理装置根据硬件白名单中该智能终端对于的网络接入权限打开白名单,并根据该网络接入权限向该智能终端开放网络或进行限速。可选的,在一实施例中,网络接入权限包括开放网络接入/开放部分网络接入/限速开放网络等网络接入权限。
具体的,网络管理装置与智能终端首次建立通讯链路后,智能终端基于自定义协议向网络管理装置发送携带MAC信息和IP地址的硬件数据。网络管理装置接收该智能终端发送的硬件数据,取出该硬件数据的预设数据长度和数据内容,并计算该数据内容的实际数据长度和预设数据长度是否一致,若实际数据长度和预设数据长度一致,网络管理装置后台向硬件白名单中添加该智能终端的MAC信息和IP地址。若实际数据长度和预设数据长度不一致时,网络管理装置向智能终端发送错误提示信息。
具体的,网络管理装置在硬件白名单设置完毕后,对与网络管理装置处于同一内网下的智能终端实行网络管理。验证需要与互联网进行访问的智能终端通过网络接入请求传输的终端数据。网络管理装置调用录入完成后的硬件白名单对该终端数据进行验证。查询硬件白名单中是否有与该终端数据携带的硬件配置信息对应的MAC信息和IP地址信息,若硬件白名单中存在与该终端数据携带的硬件配置信息对应的MAC信息和IP地址信息,确定该智能终端有权访问外部网络,网络管理装置获取硬件白名单中与该智能终端对应的网络接入权限。可选的,在一实施例中,网络接入权限包括开放网络接入/开放部分网络接入/限速开放网络等网络接入权限。
步骤S30:若所述智能终端具备所述网络接入权限,向网络管理服务器上报所述终端数据和硬件白名单信息,接收所述网络管理服务器调用软件白名单对所述终端数据进行校验的校验结果;
本实例中,网络管理装置在确定智能终端所具备的网络接入权限后,取出终端数据中携带的待检校验码,使用CRC16检验格式计算出一个检验校验码,比较待检校验码和检验校验码是否相等,若该待检校验码和检验校验码相等,网络管理装置将智能终端的终端数据和硬件白名单信息基于JSON协议进行打包,通过TCP短连接向网络管理服务器发送打包后的终端数据和硬件白名单信息,使得网络管理服务器对终端数据进行核验。
具体的,网络管理服务器获取网络管理装置发送的终端数据和硬件白名单信息后,提取终端数据中的软件安装列表信息。调用网络管理服务器内置的软件白名单对终端数据中的软件安装列表信息进行校验,将软件安装列表中安装的应用程序和软件白名单中存储的应用程序信息进行对比,判断智能终端所安装的软件是否存在非法软件,其中,非法软件是在未明确提示用户或未经用户许可的情况下,在用户智能终端上安装运行,侵犯用户合法权益的软件。软件白名单是存储有与网络管理服务器同在一个局域网的智能终端所安装的合法软件数据的数据库。
具体的,网络管理服务器调用软件白名单,与终端数据中的软件安装列表信息进行对比,若软件安装列表信息中的软件在软件白名单中有记录,则表示软件安装列表信息中的软件为合法软件,若软件安装列表信息中的软件在软件白名单中没有记录,则确定该软件为非法软件,网络管理服务器向网络管理装置发送禁止该非法软件访问外部网络的控制指令,控制网络管理装置设置对应的防火墙,禁止智能终端上的该非法软件访问外部网络,并在智能终端的显示界面发出弹窗警告,该弹窗警告携带的信息为存在非法软件,请及时清除。
具体的,当全部软件安装列表信息中的软件在软件白名单中有记录时,确定智能终端为安装软件白名单中未记录的软件,确定智能终端未安装非法软件,网络管理服务器生成通过校验的校验结果信息,根据硬件白名单确定智能终端的网络接入权限,通过TCP短连接向网络管理装置发送校验结果信息。
步骤S40:若所述校验结果为通过校验,根据所述网络接入权限对应控制所述智能终端接入网络。
可选的,网络管理装置接收网络管理服务器调用软件白名单对智能终端的终端数据进行核验的核验结果信息。解析该核验结果信息,若核验结果信息携带的核验结果为通过校验,网络管理装置根据硬件白名单中对应的网络接入权限对应控制智能终端接入网络。
具体的,若硬件白名单中对应的网络接入权限为开放网络接入时,打开硬件白名单,解除对该智能终端的网络限制,使得该智能终端能够访问外部网络,并向该智能终端发送弹窗提示。
具体的,若硬件白名单中对应的网络接入权限为限速开放网络时,向该智能终端发送弹窗提示。网络管理装置利用防火墙的limit规则对智能终端发送的数据包进行匹配处理,从而实现对智能终端进行网速限制。可选的,通过使用limit-match指令对应设置智能终端的数据包转发速率,从而限定匹配数据包的速率,以此来设置单位时间内能够转发数据包的数量,实现对智能终端或智能终端的特定软件进行网速限制。可选的,为确保能够对智能终端进行实时网速控制,网络管理装置还提供使用limit-burst指令设置触发limit的最大次数,并设置循环检测机制,自动续期触发limit的最大次数。从而实现实时对智能终端或智能终端的特定软件进行网速限制,提高网络管理的稳定性。
本实施例中,网络管理装置通过响应智能终端的网络接入请求,接收智能终端发送的终端数据后,调用预设的硬件白名单对智能终端的IP地址和MAC信息进行验证,确定该智能终端的网络接入权限,在确定该智能终端的网络接入权限后,将智能终端的终端数据和硬件白名单信息发送到网络管理服务器进行软件白名单校验,对终端数据中的安装软件列表信息进行核验,确定智能终端内不存在非法软件,双白名单验证均通过的情况下,网络管理装置根据该智能终端的网络接入权限对应控制该智能终端接入网络或限速开放网络。通过双白名单验证,能够对想要接入外部网络的智能终端的硬件和软件分别进行检测,能够有效地确保个人或企业内部局域网的网络安全,避免内部局域网遭到恶意入侵,重要文件遭到泄露的情况发生。
参照图3,图3为本发明网络管理方法第二实施例的流程示意图。
基于上述第一实施例,提出本发明网络管理方法第二实施例,包括以下内容:
步骤S31:所述网络管理服务器接收由网络管理装置发送的所述智能终端的登录信息;
步骤S32:调用用户数据库对所述登录信息进行一次性口令认证,其中,所述用户数据库包含用户名和对应的MAC地址;
步骤S33:分析智能终端传回的认证信息,判断所述认证信息是否正确;
步骤S34:若所述二次认证结果为认证成功,控制防火墙模块开放所述登录信息对应的用户权限;
步骤S35:若所述二次认证结果为认证失败,拒绝所述智能终端进行访问。
本实施例中,用户通过智能终端向网络管理装置发送网络接入请求时,若智能终端中需要进行访问外部网络的应用程序为首次使用的应用程序时,需要通过网络管理装置向网络管理服务器进行用户登录操作。具体的,当用户在智能终端启动首次使用的应用程序时,智能终端弹出用户登录界面,在用户登录界面输入用户名和密码,智能终端采集用户的登录信息,对用户的登录信息进行格式验证,将验证成功后的登录信息通过TCP长连接发送到网络管理装置,通过网络管理装置将登录信息发送到网络管理服务器。可选的,为避免不法分子使用智能终端绕过网络管理装置进行访问外部网络,网络管理服务器在接收到智能终端发送的网络接入请求后,判断该网络接入请求的发送途径,若该网络接入请求由智能终端直接发送的,网络管理服务器对该智能终端进行联网限制,其中,联网限制包括限制接入外部网络/限制传输大文件等限制操作。
网络管理服务器为便于对智能终端进行网络管理,将用户名和对应的MAC地址进行绑定,每个用户名对应一个MAC地址。并将用户名和MAC地址录入到预设的用户数据库中。该用户数据库包含网络管理系统下的所有智能终端的用户名和MAC地址。当网络管理服务器接收到网络管理装置发送的登录信息后,先判断该登录信息的用户名和MAC地址是否匹配,若不匹配则拒绝该用户进行访问;若匹配则进一步进行验证,调用用户数据库对该登录信息进行一次性口令验证。具体的,用户管理服务器识别该登录信息中的用户名,向该智能终端发回验证消息,其中,该验证消息包含两项校验位和一位随机迭代值。智能终端接收该验证消息,利用验证消息中包含的两项校验位和一位随机迭代值做一次性口令。将计算得到的一次性口令作为认证消息传回到网络管理服务器,网络管理服务器对比该认证消息中的一次性口令与本地计算得到的一次性口令是否匹配,若匹配则初步验证成功。
可选的,为了确保登录信息认证的准确性,在智能终端完成初步验证后,在预设间隔时间后,对登录信息进行二次验证,重新向智能终端进行一次性口令认证。若两次一次性口令认证均通过,确定用户身份合法。网络管理服务器控制防火墙模块开发该登录信息对应的用户权限。可选的,该用户名与智能终端的MAC地址绑定,因此,该用户权限等同于智能终端的网络接入权限。在一具体实施例中,用户权限包括开发网络接入/限制网络接入/限速网络接入等网络接入权限。
可选的,若用户在两次认证过程中出现失败的情况,包括二次验证中失败和重复验证失败的情况,网络管理服务器控制防火墙禁止该智能终端及用户接入外部网络并控制报警器发出声光报警以提醒网络管理员出现异常。从而避免智能终端被盗用的情况发生。
可选的,在进行登录信息认证时,网络管理服务器拒绝该智能终端的IP的任意访问请求,当登录信息验证通过时,网络管理服务器解除该限制,该智能终端的IP地址能够正常地进行访问请求。
可选的,在用户登录信息认证通过后,用户能够通过智能终端进行访问外部网络。网络管理服务器设置监测进程,实时监测网络管理装置,周期性获取网络管理装置中进出每个端口的线路状态和智能终端软件状态。从而对线路状况进行有效分析并作出对应的处理措施。可选的,该监测进程还能够提供图形界面,用户能够通过该图形界面读取监测进程的监测信息。
在一具体实施例中,网络管理服务器周期性地获取进出每个端口的平均5分钟的线路状态和智能终端软件状态。
可选的,用户还能够登陆网络管理服务器界面,查看所使用的智能终端的运行状态及网络不可用原因。
本实施例中,通过接收用户的登录信息,对该登录信息进行二次认证,从而精确地确定用户的身份,在验证过程中禁止该智能终端进行访问请求,在验证完成后才根据验证结果对智能终端做进一步处理,包括保持网络限制或解除网络限制,避免网络管理系统中的智能终端遭到盗用,从而导致网络安全遭到破坏的情况发生,有效地保护了个人/企业内部网络的网络安全。
参照图4,图4为本发明网络管理方法第三实施例的流程示意图。
基于上述实施例,提出本发明网络管理方法第三实施例,该网络管理方法第三实施例包括以下内容:
步骤S11:识别所述终端数据到达的网口,确定所述智能终端接入的网口类型;
步骤S12:判断所述智能终端接入的网口类型是否接反;
步骤S13:若确定所述智能终端接入的网口类型接反,发出LAN/WAN反转指令,切换所述WAN口和LAN口。
本实施例中,网络管理装置实时监听WAN口和LAN口的终端数据,根据终端数据到达的网口,确定智能终端所接入的网口的网口类型,其中,网口类型包括WAN口和LAN口,WAN口和LAN口的协议不同。其中,WAN口(Wide Area Network)为广域网接口,用于接入互联网;LAN口(Local Area Network)为局域网接口,用于连接局域网内部设备。
具体的,若智能终端为电脑,智能终端发送的终端数据到达的网口为LAN口,确定智能终端所接入的网口类型为LAN口,根据智能终端的设备类型确定智能终端接入的网口类型正确,停止对该智能终端所接入的LAN口进行接反检测。
若该智能终端的终端数据到达的网口为WAN口,确定智能终端所接入的网口类型为WAN口,根据智能终端的设备类型确定智能终端接入的网口类型接反。网络管理装置发出WAN反转指令,变更与智能终端所连接的WAN口的内部协议,将该WAN口的网络传输协议变更为LAN口对应的网络传输协议,将该WAN和LAN进行切换。
进一步地,网络管理装置在监听WAN口和LAN口的终端数据时,将获取到的终端数据与智能终端向网络管理装置发送的用于请求分配IP地址的DHCP请求数据包进行对比,分析分析智能终端进行DHCP请求时采用的端口和对应MAC地址信息。
可选的,网络管理装置对比智能终端进行DHCP请求时所接入的网口与智能终端发送终端数据时接入的网口是否一致,若智能终端进行DHCP请求时所接入的网口与智能终端发送终端数据时接入的网口不一致,确定该智能终端所接入的网口类型错误,网络管理装置发出声光报警,并发出WAN/LAN反转指令,变更与智能终端所连接的WAN/LAN口的内部协议,将该WAN/LAN口的网络传输协议变更为LAN/WAN口对应的网络传输协议,将该WAN/LAN口切换为LAN/WAN口。
可选的,网络管理装置还能够对智能终端发送的终端数据和DHCP请求数据包中携带的MAC地址信息进行对比,对比网络管理装置中的硬件白名单的MAC地址,若该硬件白名单中存在对应的MAC地址,确定接入该网络管理装置的智能终端是否为具备网络接入权限的硬件设备。若接入该网络管理装置的智能终端不是具备网络接入权限的硬件设备,网络管理装置发出声光报警,并拒绝该硬件设备访问。
本实施例中,网络管理装置通过实时监测WAN口和LAN口的的终端数据,确定智能终端接入的网口类型,在智能终端接入的网口类型接反时,控制智能终端所接入的网口进行类型反转。并且能够根据智能终端的MAC地址判断智能终端是否为具备网络接入权限的硬件设备。根据智能终端的类型做出对应的网络管理操作。确保网络管理的稳定性,有效地保护了个人/企业内部网络的网络安全。
为实现上述目的,本发明还提供一种网络管理系统。参照图5,图5为本发明网络管理系统的场景示意图。
网络管理系统包括:网络管理装置10、网络管理服务器20、智能终端30。
具体的,网络管理装置10,用于分别与智能终端30和网络管理服务器20建立连接,接收所述智能终端30发送的终端数据,将所述终端数据和硬件白名单信息发送到所述网络管理服务器20进行验证,根据网络管理服务器20的验证结果控制智能终端30根据对应的网络接入权限接入网络;
网络管理服务器20,用于与网络管理装置10建立连接,接收网络管理装置10发送的终端数据和硬件白名单信息,调用预设的软件白名单校验所述智能终端30是否安装有非法软件,根据验证结果控制所述网络管理装置10对对所述智能终端30根据对应的网络接入权限接入网络;
智能终端30,用于与网络管理装置10建立连接,向网络管理装置10发送终端数据,登录网络管理服务器20,接收网络管理装置10和/或网络管理服务器20传回的信息确定网络管理情况。
此外,本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有网络管理程序,网络管理程序被处理器执行时实现如上网络管理方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、药品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、药品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种网络管理方法,其特征在于,所述网络管理方法包括以下步骤:
响应智能终端的网络接入请求,接收所述智能终端发送的终端数据;
调用硬件白名单对所述终端数据进行验证,确定所述智能终端的网络接入权限;
若所述智能终端具备所述网络接入权限,向网络管理服务器上报所述终端数据和硬件白名单信息,接收所述网络管理服务器调用软件白名单对所述终端数据进行校验的校验结果信息;
若所述校验结果信息为通过校验,根据所述网络接入权限对应控制所述智能终端接入网络。
2.如权利要求1所述的网络管理方法,其特征在于,所述调用硬件白名单对所述终端数据进行验证,确定所述智能终端的网络接入权限步骤之前,包括:
获取内网IP地址,向内网中的智能终端分配IP地址;
与内网中的智能终端建立连接,获取所述智能终端的IP地址和MAC信息,建立硬件白名单;
向所述硬件白名单写入智能终端网络接入权限,不同智能终端对应不同网络接入权限。
3.如权利要求1所述的网络管理方法,其特征在于,所述根据所述网络接入权限对应控制所述智能终端接入网络步骤包括:
确认智能终端的的网络接入权限为限速接入权限;
调用limit规则对所述智能终端的网络访问数据进行匹配,控制所述智能终端的网络访问速率;
设置触发limit最大次数,循环检测所述智能终端的网络接入请求,实时控制所述智能终端的网络访问速率。
4.如权利要求1所述的网络管理方法,其特征在于,所述调用硬件白名单对所述终端数据进行验证,确定所述智能终端的网络接入权限步骤,还包括:
识别所述终端数据到达的网口,确定所述智能终端接入的网口类型,其中,所述网口类型包括WAN口和LAN口;
判断所述智能终端接入的网口类型是否接反;
若确定所述智能终端接入的网口类型接反,发出LAN/WAN反转指令,切换所述WAN口和LAN口。
5.一种网络管理方法,其特征在于,所述网络管理方法包括:
接收由网络管理装置发送的终端数据和硬件白名单信息;
调用软件白名单对所述终端数据进行校验,判断所述智能终端是否安装有非法软件;
若所述智能终端未安装所述软件白名单中未记录的软件,确定所述智能终端未安装非法软件,生成通过校验的校验结果信息;
向所述网络管理装置发送所述校验结果信息,控制所述网络管理装置根据所述验证结果信息控制所述智能终端根据所述硬件白名单中预设的网络接入权限接入网络。
6.如权利要求5所述的网络管理方法,其特征在于,所述接收由网络管理装置发送的终端数据和硬件白名单信息步骤后,还包括:
所述网络管理服务器接收由网络管理装置发送的所述智能终端的登录信息;
调用用户数据库对所述登录信息进行一次性口令认证,其中,所述用户数据库包含用户名和对应的MAC地址;
分析智能终端传回的认证信息,判断所述认证信息是否正确;
若所述认证信息正确,在预设间隔时间后,对所述登录信息进行二次认证;
若所述二次认证结果为认证成功,控制防火墙模块开放所述登录信息对应的用户权限;
若所述二次认证结果为认证失败,拒绝所述智能终端进行访问。
7.如权利要求5所述的网络管理方法,其特征在于,所述调用软件白名单对所述终端数据进行校验,判断所述智能终端是否安装有非法软件步骤前,还包括:
所述网络管理服务器向所述智能终端发送软件检测指令,接收智能终端传回的已安装软件列表;
对所述已安装软件列表中的软件进行检测,获取所述已安装软件列表中的合法软件数据,根据所述合法软件数据配置软件白名单。
8.一种网络管理装置,其特征在于,所述网络管理装置包括存储器、处理器及存储在存储器上并可在处理器上运行的网络管理程序,所述处理器执行所述网络管理程序时实现如权利要求1-7任一项所述的网络管理方法的步骤。
9.一种网络管理系统,其特征在于,所述网络管理系统包括:
网络管理装置,用于分别与智能终端和网络管理服务器建立连接,接收所述智能终端发送的终端数据,将所述终端数据和硬件白名单信息发送到所述网络管理服务器进行验证,根据网络管理服务器的验证结果控制智能终端根据对应的网络接入权限接入网络;
网络管理服务器,用于与网络管理装置建立连接,接收网络管理装置发送的终端数据和硬件白名单信息,调用预设的软件白名单校验所述智能终端是否安装有非法软件,根据验证结果控制所述网络管理装置对对所述智能终端根据对应的网络接入权限接入网络;
智能终端,用于与网络管理装置建立连接,向网络管理装置发送终端数据,登录网络管理服务器,接收网络管理装置和/或网络管理服务器传回的信息确定网络管理情况。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有网络管理程序,所述网络管理程序被处理器执行时实现如权利要求1至7任一项所述的网络管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110121988.7A CN112910882B (zh) | 2021-01-28 | 2021-01-28 | 网络管理方法、装置、系统及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110121988.7A CN112910882B (zh) | 2021-01-28 | 2021-01-28 | 网络管理方法、装置、系统及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112910882A true CN112910882A (zh) | 2021-06-04 |
| CN112910882B CN112910882B (zh) | 2022-08-12 |
Family
ID=76119985
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110121988.7A Active CN112910882B (zh) | 2021-01-28 | 2021-01-28 | 网络管理方法、装置、系统及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112910882B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113742675A (zh) * | 2021-09-10 | 2021-12-03 | 深圳市闪联信息技术有限公司 | 一种基于IoT设备的USB存储介质安全管理系统及方法 |
| CN115499248A (zh) * | 2022-11-17 | 2022-12-20 | 北京珞安科技有限责任公司 | 一种设备访问控制方法及系统 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197670A (zh) * | 2006-12-08 | 2008-06-11 | 中兴通讯股份有限公司 | 用于为通过终端接入的用户提供鉴权的鉴权装置 |
| CN101378358A (zh) * | 2008-09-19 | 2009-03-04 | 成都市华为赛门铁克科技有限公司 | 一种实现安全接入控制的方法及系统、服务器 |
| CN101808142A (zh) * | 2010-03-10 | 2010-08-18 | 上海十进制网络信息技术有限公司 | 通过路由器或交换机实现可信网络连接的方法和装置 |
| CN102067527A (zh) * | 2008-08-20 | 2011-05-18 | 上海贝尔股份有限公司 | 接入网中用于辅助终端设备在网络中运作的方法及装置 |
| CN102291414A (zh) * | 2011-09-01 | 2011-12-21 | 西安电子科技大学 | 基于c/s模式的移动终端可信接入兼管理系统及方法 |
| CN102333072A (zh) * | 2011-06-09 | 2012-01-25 | 张欢 | 一种基于智能终端的网络银行可信交易系统与方法 |
| CN102736978A (zh) * | 2012-06-26 | 2012-10-17 | 奇智软件(北京)有限公司 | 一种检测应用程序的安装状态的方法及装置 |
| CN103188249A (zh) * | 2011-12-31 | 2013-07-03 | 北京亿阳信通科技有限公司 | 集中权限管理系统及其授权方法和鉴权方法 |
| US20140082751A1 (en) * | 2012-09-14 | 2014-03-20 | Harshawardhan Vipat | Protecting iat/eat hooks from rootkit attacks using new cpu assists |
| CN104683300A (zh) * | 2013-11-29 | 2015-06-03 | 中国电信股份有限公司 | 互联网业务的接入方法和系统 |
| WO2015135793A1 (fr) * | 2014-03-12 | 2015-09-17 | Thales | Procédé de contrôle d'accès à une zone réservée avec contrôle de la validité d'un titre d'accès stocké dans la mémoire d'un terminal mobile |
| WO2016188053A1 (zh) * | 2015-05-28 | 2016-12-01 | 中兴通讯股份有限公司 | 一种无线网络接入方法、装置及计算机存储介质 |
| US20190238506A1 (en) * | 2018-01-31 | 2019-08-01 | Sophos Limited | Portal for managing admission of unrecognized devices to an enterprise network |
-
2021
- 2021-01-28 CN CN202110121988.7A patent/CN112910882B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197670A (zh) * | 2006-12-08 | 2008-06-11 | 中兴通讯股份有限公司 | 用于为通过终端接入的用户提供鉴权的鉴权装置 |
| CN102067527A (zh) * | 2008-08-20 | 2011-05-18 | 上海贝尔股份有限公司 | 接入网中用于辅助终端设备在网络中运作的方法及装置 |
| CN101378358A (zh) * | 2008-09-19 | 2009-03-04 | 成都市华为赛门铁克科技有限公司 | 一种实现安全接入控制的方法及系统、服务器 |
| CN101808142A (zh) * | 2010-03-10 | 2010-08-18 | 上海十进制网络信息技术有限公司 | 通过路由器或交换机实现可信网络连接的方法和装置 |
| CN102333072A (zh) * | 2011-06-09 | 2012-01-25 | 张欢 | 一种基于智能终端的网络银行可信交易系统与方法 |
| CN102291414A (zh) * | 2011-09-01 | 2011-12-21 | 西安电子科技大学 | 基于c/s模式的移动终端可信接入兼管理系统及方法 |
| CN103188249A (zh) * | 2011-12-31 | 2013-07-03 | 北京亿阳信通科技有限公司 | 集中权限管理系统及其授权方法和鉴权方法 |
| CN102736978A (zh) * | 2012-06-26 | 2012-10-17 | 奇智软件(北京)有限公司 | 一种检测应用程序的安装状态的方法及装置 |
| US20140082751A1 (en) * | 2012-09-14 | 2014-03-20 | Harshawardhan Vipat | Protecting iat/eat hooks from rootkit attacks using new cpu assists |
| CN104683300A (zh) * | 2013-11-29 | 2015-06-03 | 中国电信股份有限公司 | 互联网业务的接入方法和系统 |
| WO2015135793A1 (fr) * | 2014-03-12 | 2015-09-17 | Thales | Procédé de contrôle d'accès à une zone réservée avec contrôle de la validité d'un titre d'accès stocké dans la mémoire d'un terminal mobile |
| WO2016188053A1 (zh) * | 2015-05-28 | 2016-12-01 | 中兴通讯股份有限公司 | 一种无线网络接入方法、装置及计算机存储介质 |
| US20190238506A1 (en) * | 2018-01-31 | 2019-08-01 | Sophos Limited | Portal for managing admission of unrecognized devices to an enterprise network |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113742675A (zh) * | 2021-09-10 | 2021-12-03 | 深圳市闪联信息技术有限公司 | 一种基于IoT设备的USB存储介质安全管理系统及方法 |
| CN115499248A (zh) * | 2022-11-17 | 2022-12-20 | 北京珞安科技有限责任公司 | 一种设备访问控制方法及系统 |
| CN115499248B (zh) * | 2022-11-17 | 2023-03-24 | 北京珞安科技有限责任公司 | 一种设备访问控制方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112910882B (zh) | 2022-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9942274B2 (en) | Securing communication over a network using client integrity verification | |
| US10356612B2 (en) | Method of authenticating a terminal by a gateway of an internal network protected by an access security entity providing secure access | |
| KR101143847B1 (ko) | 네트워크 보안장치 및 그 방법 | |
| US20020120575A1 (en) | Method of and apparatus for ascertaining the status of a data processing environment | |
| CN112910882B (zh) | 网络管理方法、装置、系统及计算机可读存储介质 | |
| US8108904B1 (en) | Selective persistent storage of controller information | |
| US10873497B2 (en) | Systems and methods for maintaining communication links | |
| JP2012502338A (ja) | 少なくとも1つのサービスを提供するためのサーバシステムおよびその方法 | |
| CN115701019A (zh) | 零信任网络的访问请求处理方法、装置及电子设备 | |
| US11812269B2 (en) | Asserting user, app, and device binding in an unmanaged mobile device | |
| KR101473719B1 (ko) | 지능형 로그인 인증 시스템 및 그 방법 | |
| CN107045603A (zh) | 一种应用的调用控制方法和装置 | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| CN114760082A (zh) | 访问控制方法及装置 | |
| CN115378622A (zh) | 访问控制方法、装置、设备及计算机程序产品 | |
| JP2004348456A (ja) | 認証記録確認システム | |
| KR20130124448A (ko) | 정당성 확인 로그인 인증 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |