CN113285929B - 一种终端合法性检测方法及装置 - Google Patents
一种终端合法性检测方法及装置 Download PDFInfo
- Publication number
- CN113285929B CN113285929B CN202110505234.1A CN202110505234A CN113285929B CN 113285929 B CN113285929 B CN 113285929B CN 202110505234 A CN202110505234 A CN 202110505234A CN 113285929 B CN113285929 B CN 113285929B
- Authority
- CN
- China
- Prior art keywords
- terminal
- terminal information
- information
- network card
- card firmware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种终端合法性检测方法及装置,该方法包括:接收到扫描器发送的终端信息,若本设备已记录所述终端的终端标识对应的终端信息,则检测已记录的终端信息与接收到的终端信息是否一致;若一致,则确定所述终端合法;若不一致,则确定所述终端不合法;其中,已记录的终端信息是从所述终端的网卡固件中获取的;接收到的终端信息是所述扫描器从所述终端接入的接入设备中获取的。使用本申请提供的方法可以实现终端合法性的准确检查。
Description
技术领域
本申请涉及计算机通信领域,尤其涉及一种终端合法性检测方法及装置。
背景技术
随着网络规模的日益扩大,网络接入安全性也越来越被重视。在现有的很多网络中,网络的接入设备会对接入网络的终端设置不同的网络访问权限,使得终端只能依据与自身匹配的网络访问权限进行网络访问。
然而,有些不法分子会将终端的地址修改为其他终端的地址(比如更高权限的终端的地址),以使得该终端具有其他终端的网络访问权限,如果无法识别并阻断这类非法终端,就会造成网络数据的泄露,使得网络存在安全隐患。
因此,检测终端是否合法就成为亟待解决的问题。
发明内容
有鉴于此,本申请提供一种终端合法性检测方法及装置,用于实现终端合法性的准确检查。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种终端合法性检测方法,所述方法应用中管理服务器,所述方法包括:
接收到扫描器发送的终端信息,若本设备未记录该终端的终端标识对应的终端信息,则从该终端的网卡固件中获取终端信息并记录,包括:在确定所述终端安装指定客户端成功的情况下,获取所述指定客户端从所述终端的网卡固件中获取的终端信息并记录;
若本设备已记录所述终端的终端标识对应的终端信息,则检测已记录的终端信息与接收到的终端信息是否一致;
若一致,则确定所述终端合法;
若不一致,则确定所述终端不合法;
其中,已记录的终端信息是从所述终端的网卡固件中获取的;
接收到的终端信息是所述扫描器从所述终端接入的接入设备中获取的。
可选的,所述本设备记录的终端信息通过如下方式获取:
在所述终端上强制安装指定客户端,以使安装后的指定客户端从所述终端的网卡固件中获取所述终端的终端信息;
若确定所述指定客户端安装成功,则获取所述指定客户端从所述终端的网卡固件中获取的终端信息并记录。
可选的,所述方法还包括:
若确定所述指定客户端安装失败,则确定所述终端不合法。
可选的,在获取到从所述终端的网卡固件中获取的该终端的终端信息后,所述方法还包括:
若从所述终端的网卡固件获取的终端信息与从所述扫描器接收到的终端信息一致,则确定所述终端合法;
若从所述终端的网卡固件获取的终端信息与从所述扫描器接收到的终端信息不一致,则确定所述终端不合法。
可选的,所述方法还包括:
确定所述终端不合法,向所述终端的接入设备下发与所述终端匹配的网络访问策略,以使所述接入设备基于所述网络访问策略控制所述终端的网络访问行为。
根据本申请的第二方面,提供一种终端合法性检测装置,所述装置应用中管理服务器,所述装置包括:
检测单元,用于接收到扫描器发送的终端信息,若本设备未记录该终端的终端标识对应的终端信息,则从该终端的网卡固件中获取终端信息并记录,包括:在确定所述终端安装指定客户端成功的情况下,获取所述指定客户端从所述终端的网卡固件中获取的终端信息并记录;若本设备已记录所述终端的终端标识对应的终端信息,则检测已记录的终端信息与接收到的终端信息是否一致;其中,已记录的终端信息是从所述终端的网卡固件中获取的;接收到的终端信息是所述扫描器从所述终端接入的接入设备中获取的。
确定单元,用于若一致,则确定所述终端合法;若不一致,则确定所述终端不合法。
可选的,所述检测单元,获取本设备记录的终端信息,用于在所述终端上强制安装指定客户端,以使安装的指定客户端从所述终端的网卡固件中获取所述终端的终端信息;若确定所述指定客户端安装成功,则获取所述指定客户端从所述终端的网卡固件中获取的终端信息并记录。
可选的,所述检测单元,还用于若确定所述指定客户端安装失败,则确定所述终端不合法。
可选的,所述检测单元,还用于在获取到从所述终端的网卡固件中获取的该终端的终端信息后,若从所述终端的网卡固件获取的终端信息与从所述扫描器接收到的终端信息一致,则确定所述终端合法;若从所述终端的网卡固件获取的终端信息与从所述扫描器接收到的终端信息不一致,则确定所述终端不合法。
可选的,所述装置还包括:
下发单元,用于在确定所述终端不合法时,向所述终端的接入设备下发与所述终端匹配的网络访问策略,以使所述接入设备基于所述网络访问策略控制所述终端的网络访问行为。
根据本申请的第三方面,提供一种管理服务器,所述管理服务器包括可读存储介质和处理器;
其中,所述可读存储介质,用于存储机器可执行指令;
所述处理器,用于读取所述可读存储介质上的所述机器可执行指令,并执行所述指令以实现上述终端合法性检测方法。
根据本申请的第四方面,提供一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器执行上述终端合法性检测方法。
在本申请中,管理服务器上记录了从终端的网卡固件中获取的终端信息,接收到扫描器发送的终端信息,检测已记录的终端信息与接收到的终端信息是否一致;若一致,则确定所述终端合法;若不一致,则确定所述终端不合法。
由于管理服务器可以从网卡固件中获取终端的真实终端信息,并以该终端的真实终端信息作为合法性检测的基准,所以本申请合法性的准确性更高。
附图说明
图1是本申请一实施例性实施例示出的一种终端合法性检测系统的示意图;
图2是本申请一示例性实施例示出的一种终端合法性检测方法的流程图;
图3是本申请一示例性实施例示出的另一种终端合法性检测方法的流程图;
图4是本申请一示例性实施例示出的一种管理服务器的硬件结构图;
图5是本申请一示例性实施例示出的一种终端合法性检测装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
随着网络规模的日益扩大,网络接入安全性也越来越被重视。在现有的很多网络中,网络的接入设备会对接入网络的终端设置不同的网络访问权限,使得终端只能依据与自身匹配的网络访问权限进行网络访问。
然而,有些不法分子会将终端的地址修改为其他终端的地址(比如更高权限的终端的地址),以使得该终端具有其他终端的网络访问权限,如果无法识别并阻断这类非法终端,就会造成网络数据的泄露,使得网络存在安全隐患。因此,检测终端是否合法就成为亟待解决的问题。
在现有的终端合法性检测技术中,当终端通过接入设备接入网络后,接入设备上会形成该终端的终端信息,扫描器在从接入设备扫描到该终端的相关信息后,可将该相关信息发送到管理服务器。
在终端首次接入网络时,由于管理服务器上还没有该终端的相关信息,所以管理服务器可以记录扫描器扫描到的终端信息。
当终端再次接入网络时,扫描器仍然会将此次扫描到的该终端的终端信息发送给管理服务器。此时,管理服务器可以检测已记录的该终端的终端信息与当前接收到的该终端的终端信息是否一致,若一致,则确定该是合法终端,若不一致,则确定该终端是非法仿冒终端,是不合法终端。
但是,由于管理服务器是将扫描器首次扫描到的终端信息作为判断合法性的基准,而非终端的真实终端信息作为基准,这就会造成终端的合法性检测不准确。
例如,假设在终端首次接入网络前,该终端的终端信息就被人工修改了,所以当该终端首次接入网络时,接入设备上记录的是终端修改后的终端信息。这就使得扫描器首次为管理服务器上报的也是终端修改后的终端信息,而管理服务器会以该修改后的终端信息作为合法性判断基准,从而造成合法性判断的不准确,使得这类型仿冒终端逃过该合法性检测。
有鉴于此,本申请提出一种终端合法性检测方法,在本申请中,管理服务器上记录了从终端的网卡固件中获取的终端信息,当接收到扫描器发送的终端信息时,检测已记录的终端信息与接收到的终端信息是否一致;若一致,则确定所述终端合法;若不一致,则确定所述终端不合法。
由于从网卡固件中获取终端信息是终端的真实终端信息(即无论终端信息如何被修改,网卡固件中的终端信息是不会被修改),而本申请的管理服务器以终端的真实终端信息作为合法性检测的基准,所以本申请合法性的准确性更高。
参见图1,图1是本申请一实施例性实施例示出的一种终端合法性检测系统的示意图。
该终端合法性检测系统包括:管理服务器、扫描器、接入设备、终端。
其中,管理服务器,可以与扫描器通信,接收扫描器上报的终端信息。该管理服务器还可以与终端通信,用于从终端的网卡固件中获取该终端的真实终端信息,管理服务器可以基于扫描器上报的终端信息和真实终端信息进行终端的合法性检测。
此外,管理服务器还可与接入设备通信,用于向接入设备下发不合法终端的网络访问策略(比如禁止访问网络,或者只能访问网络的部分资源),以使得接入设备控制该非法终端的网络访问行为。
扫描器,可以与接入设备通信,用于从接入设备上扫描接入的终端的终端信息。扫描器还可与管理服务器通信,用于将终端信息上报给管理服务器,以由管理服务器基于扫描器上的终端信息对终端进行终端合法性检测。
接入设备,用于让终端接入网络。该接入设备可以网关设备,也可以是接入服务器等,这里只是对接入设备进行示例性地说明,不对其进行具体地限定。
在实际应用中,该终端合法性检测系统还可包括其他设备,比如用于消息转发的转发设备等,这里只是对终端合法性检测系统进行示例性地说明,不对其进行具体地限定。
参见图2,图2是本申请一示例性实施例示出的一种终端合法性检测方法的流程图,该方法可应用在图1所示的管理服务器上,可包括如下所示步骤。
步骤201:在接收到扫描器发送的终端信息时,若本设备未记录该终端的终端标识对应的终端信息,则从该终端的网卡固件中获取终端信息并记录,包括:在确定所述终端安装指定客户端成功的情况下,获取所述指定客户端从所述终端的网卡固件中获取的终端信息并记录;若本设备已记录所述终端的标识对应的终端信息,则检测已记录的终端信息与接收到的终端信息是否一致;其中,已记录的终端信息是从终端的网卡固件中获取的;接收到的终端信息是所述扫描器从所述终端接入的接入设备中获取的。
步骤202:若一致,则确定所述终端合法;
步骤203:若不一致,则确定所述终端不合法。
在本申请实施例中,当终端通过接入设备接入网络时,接入设备上会形成该终端的相关表项,比如终端的ARP表项、转发表项、接口表项等。当扫描器扫描到接入设备上有新的终端的相关表项时,可以确定终端接入网络,并从该终端的相关表项中获取终端标识和终端信息。然后,扫描器可将该终端的终端标识和终端信息上报给管理服务器。
其中,该终端标识可以是唯一标识一个终端的标志。比如该终端标识可以是终端的类型、操作系统、IP地址、厂商、序列号等一种和多种的组合。这里只是对终端标识进行示例性地说明,不对其进行具体地限定。
终端信息可以是指终端的MAC地址,这里只是对终端信息进行示例性地说明,不对其进行具体地限定。
管理服务器在接收到扫描器上报的终端标识和终端信息后,可在已记录的终端标识和终端信息的对应关系中,查找是否存在该终端标识对应的终端信息。
1、针对“若本设备未记录该扫描器发送的终端标识对应的终端信息”的情况。
若未记录该扫描器发送的终端标识对应的终端信息,则表明管理服务器未获取到从终端网卡固件中获取的终端信息,此时可以表明该终端为首次接入网络的终端,或者该终端在前几次接入网络时因为指定客户端安装失败而没有获取到从终端网卡固件中获取的终端信息。
在确定未记录该扫描器发送的终端标识对应的终端信息时,一方面,由于管理服务器上并未记载从该终端的网卡固件中获取的终端信息,所以管理服务器需要从该终端的网卡固件中获取该终端的终端信息并记录,以将从终端网卡固件中获取的终端信息作为合法性检测的依据。另一方面,管理服务器还要完成此次接入终端的合法性检测。下面从这两方面进行介绍。
1.1)管理服务器从该终端的网卡固件中获取该终端的终端信息。
下面通过步骤A1至步骤A2对“管理服务器从该终端的网卡固件中获取该终端的终端信息”进行详细地说明。
步骤A1:管理服务器在所述终端上强制安装指定客户端,以使安装后的指定客户端从所述终端的网卡固件中获取所述终端的终端信息。
管理服务器可向终端下发针对指定客户端的强制安装指令,该强制安装指令至少携带了该指定客户端的安装包。
终端在接收到该强制安装指令后,可以基于该指定客户端的安装包在本地安装该指定客户端。
在指定客户端安装成功后,终端可向管理服务器返回成功安装的响应消息,以及在指定客户端安装成功后,指定客户端可以从该终端的网卡固件中获取该终端的终端信息。
管理服务器可检测从下发强制安装指令时起经过预设时长内是否接收到成功安装的响应消息。若在该预设时长内接收到该成功安装的响应消息,则确定指定客户端安装成功。若在该预设时长内未接收到该成功安装的响应消息,则确定该指定客户端安装失败
步骤A2:若所述指定客户端安装成功,则获取所述指定客户端从所述终端的网卡固件中获取的终端信息并记录。
在一种可选的获取方式中,若指定客户端安装成功,指定客户端在从终端的网卡固件中获取到该终端的终端信息后,会将该终端信息主动上报给管理服务器。
在另一种可选的获取方式中,若确定指定客户端安装成功,管理服务器还可以向指定客户端发送获取消息,指定客户端在接收到该获取消息后,将从终端网卡固件中获取的终端信息上报给管理服务器。
管理服务器在接收到从网卡固件获取的终端信息后可记录该终端的终端信息。
下面介绍几种记录方式:
记录方式一:
管理服务器在接收到扫描器发送的终端信息时,若未记录该终端的终端标识对应的终端信息,则记录该终端标识对应的终端信息为扫描器发送的终端信息。
在管理服务器接收到指定客户端上报的从网卡固件中获取的终端信息后,管理服务器可检测扫描器发送的终端信息与从网卡固件中获取的终端信息是否一致,若不一致,管理服务器可将已记录的该终端标识对应的扫描器发送的终端信息更新为从网卡固件中获取的终端信息。若一致,则维持已记录的该终端标识对应的终端信息不变,从而实现记录从网卡固件中获取的终端信息。
这种记录方式的好处在于,在实际应用中,大部分终端都是合法终端,只是少数终端是非法终端,所以对于大部分终端来说,扫描器发送的终端信息和后续从终端网卡固件获取的终端信息是一致的。所以对于大部分终端来说,这种记录方式直接记录的扫描器发送的终端信息就是从终端网卡固件中获取的终端信息,后续并不需要修改。因此,这种直接记录,无需等待,并不需要对已记录的终端信息进行大量修改的方式,可以提高终端信息的记录效率。
记录方式二:
管理服务器在接收到扫描器发送的终端信息时,若未记录该终端的终端标识对应的终端信息,则在终端上强制安装指定客户端。
管理服务器开始等待,直至指定客户端上报了从终端的网卡固件获取的终端信息后,才记录该终端的终端标识和从终端的网卡固件获取的终端信息的对应关系。
此外,在本申请实施例中,若管理服务器在从下发强制安装指令时起经过预设时长内未接收到成功安装的响应消息,则确定指定客户端安装失败。
在确定指定客户端安装失败后,若管理服务器采用的是上述第一种记录方式,管理服务器可以将临时记录的该终端标识对应的扫描服务器上报的终端信息删除,并直接确定该终端为非法终端。
由于指定客户端安装失败,所以管理服务器并不能获取到从网卡固件中获取的真实终端信息,所以为了确保后续终端接入网络时该终端合法性检测的准确性,管理服务器要将第一种记录方式中临时记录的扫描服务器上报的终端信息删除。
2.2)管理服务器对此次接入的终端进行合法性检测。
管理服务器可检测从该终端的网卡固件获取的终端信息与从扫描器接收到的该终端的终端信息是否一致。
若从该终端的网卡固件获取的终端信息与从扫描器接收到的该终端的终端信息一致,则确定该终端为合法终端。
若从该终端的网卡固件获取的终端信息与从扫描器接收到的该终端的终端信息不一致,则确定该终端为非法仿冒终端,为非法终端。
此外,管理服务器在确定终端上安装指定客户端失败时,可直接将该终端作为非法终端。
2、针对“若本设备已记录该扫描器发送的终端标识对应的终端信息”的情况。
若已记录该扫描发送的终端标识对应的终端信息,则表明管理服务已获取到从终端网卡固件中获取的终端信息,此时可以表明该终端为非首次接入网络的终端。
由于管理服务器上已记录了从终端网卡固件中获取的终端信息,所以管理服务器可以直接检测已记录的从终端网卡固件中获取的终端信息与扫描器发送的终端信息是否一致。
若已记录的从终端网卡固件中获取的终端信息与扫描器发送的终端信息一致,则确定该终端合法。
若已记录的从终端网卡固件中获取的终端信息与扫描器发送的终端信息一致,则确定该终端不合法。
此外,在本申请实施例中,管理服务器在确定终端不合法后,管理服务器可向接入设备下发与所述终端匹配的网络访问策略,以使所述接入设备基于所述网络访问策略控制所述终端的网络访问行为。
在实现时,管理服务器在确定终端不合法时,可向管理员展示该终端的相关信息,以由管理员制定与该终端的网络访问策略(比如不能访问网络,或者只能访问部分网络资源等)。然后,管理服务器可以将该网络访问策略发送给接入设备,接入设备基于该网络访问策略控制该终端的网络访问行为。
当然,管理服务器也可以基于预设制定的规则,以及不合法终端的相关信息,自动生成该终端的网络访问策略。
这里只是对网络访问策略的生成方式进行示例性地说明,不对其进行具体地限定。
由上述描述可知,由于管理服务器可以从网卡固件中获取终端的真实终端信息,并以该终端的真实终端信息作为合法性检测的基准,所以本申请合法性的准确性更高。
此外,由于管理服务器采用在终端强制安装指定客户端的方式,以由指定客户端获取终端网卡固件记录的终端信息,所以可以实现从终端网卡固件中获取终端信息。
参见图3,图3是本申请一示例性实施例示出的另一种终端合法性检测方法的流程图,该方法可应用在管理服务器上,可包括如下所示步骤。
步骤301:接收扫描器发送的终端的第一终端信息;
步骤302:检测本地是否记录了该终端的标识对应的从该终端的网卡固件获取的第二终端信息。
若本地记录了该终端的标识对应的从该终端的网卡固件获取的第二终端信息,则执行步骤309至步骤311;
若本地未记录该终端的标识对应的从该终端的网卡固件获取的第二终端信息,则执行步骤303至步骤308。
步骤303:记录第一终端信息,并在终端上强制安装指定客户端;
步骤304:若指定客户端安装成功,则接收指定客户端上报的从终端网卡固件中获取的第二终端信息,并将已记录的第一终端信息更新为第二终端信息。
在执行完步骤304后,执行步骤306至步骤308。
步骤305:若指定客户端安装失败,则将已记录的第一终端信息删除,并确定该终端不合法;
步骤306:检测从扫描器接收到的第一终端信息和已记录的第二终端信息是否一致;
若从扫描器接收到的第一终端信息和已记录的第二终端信息一致,则执行步骤307;
若从扫描器接收到的第一终端信息和已记录的第二终端信息不一致,则执行步骤308。
步骤307:确定终端合法,并将已记录的第一终端信息更新为第二终端信息;
步骤308:确定终端非法;
步骤309:检测从扫描器接收到的第一终端信息和已记录的第二终端信息是否一致;
若从扫描器接收到的第一终端信息和已记录的第二终端信息一致,则执行步骤310;
若从扫描器接收到的第一终端信息和已记录的第二终端信息不一致,则执行步骤311。
步骤310:确定终端合法;
步骤311:确定终端非法。
例如,下面以终端信息为MAC地址为例,对本申请提供的终端合法性检测方法进行示例性地说明。
例1:假设有终端1,终端1真实的MAC地址为MAC101。
假设,在首次接入网络前,终端1的地址被修改为MAC102。
当终端1接入网络时,网关设备会形成终端1的ARP表项、MAC转发表项、接口转发表项等。而由于网关设备是基于终端1发送的报文的信息来形成这些表项的,而终端1发送的报文信息携带的终端1的MAC地址为MAC102。所以这些表项显示的终端1的MAC地址为MAC102。
因此,扫描器会扫描到终端1的各种表项,获取终端1的系统类型、厂商标识、IP地址、序列号和MAC102。扫描器可将终端1的系统类型、厂商标识、IP地址、序列号中的一种或几种组成唯一标识终端1的终端1标识。然后扫描器可将终端1标识和终端1的MAC地址(即MAC102)上报给管理服务器。
管理服务器检测本地是否记录了终端1标识对应的MAC地址。在本例中,由于终端1是首次接入网络的,所以管理服务器上并未记录终端1标识对应的MAC地址。
此时管理服务器可记录终端1标识和MAC102的对应关系,并且管理服务器可强制在终端1上安装指定客户端。
在指定客户端安装成功后,指定客户端可从终端1的网卡固件中获取终端1真实的MAC地址(即MAC101),然后指定客户端可将MAC101上报给管理服务器。
管理服务器可比较扫描器上报的终端1的MAC地址与指定客户端上报的终端1的MAC地址是否一致。在本例中,扫描器上报的终端1的MAC102与指定客户端上报的终端1的MAC101不一致,所以管理服务器可以将终端1标识和MAC102的对应关系,更新为终端1标识和MAC101的对应关系,并且管理服务器可确定终端1为非法终端。
例2:
假设有终端2,终端2真实的MAC地址为MAC201。
1)假设,在首次接入网络前,终端2的地址没有被修改。
当终端2接入网络时,网关设备会形成终端2的ARP表项、MAC转发表项、接口转发表项等。而由于网关设备是基于终端2发送的报文的信息来形成这些表项的,而终端2发送的报文信息携带的终端2的MAC地址为MAC201。所以这些表项显示的终端2的MAC地址为MAC201。
因此,扫描器会扫描到终端2的各种表项,获取终端2的系统类型、厂商标识、IP地址、序列号和MAC201。扫描器可将终端2的系统类型、厂商标识、IP地址、序列号中的一种或几种组成唯一标识终端2的终端2标识。然后扫描器可将终端2标识和终端2的MAC地址(即MAC201)上报给管理服务器。
管理服务器检测本地是否记录了终端2标识对应的MAC地址。在本例中,由于终端2是首次接入网络的,所以管理服务器上并未记录终端2标识对应的MAC地址。
此时管理服务器可记录终端2标识和MAC201的对应关系,并且管理服务器可强制在终端2上安装指定客户端。
在指定客户端安装成功后,指定客户端可从终端2的网卡固件中获取终端2真实的MAC地址(即MAC201),然后指定客户端可将MAC201上报给管理服务器。
管理服务器可比较扫描器上报的终端2的MAC地址与指定客户端上报的终端2的MAC地址是否一致。在本例中,扫描器上报的终端2的MAC201与指定客户端上报的终端2的MAC201一致,所以管理服务器可以维持已记录的终端1标识和MAC201的对应关系,并且管理服务器可确定终端2为合法终端。
2)假设终端2第二次接入网络,在第二次接入网络时,终端2的MAC地址没有发生改变。
当终端2首次接入网络后离开了网络,网关设备会清除该终端2的相关表项。
当终端2再次接入网络后,网关设备又会生成该终端2的相关表项。扫描器会扫描到终端2的各种表项,获取终端2的系统类型、厂商标识、IP地址、序列号和MAC201。扫描器可将终端2的系统类型、厂商标识、IP地址、序列号中的一种或几种组成唯一标识终端2的终端2标识。然后扫描器可将终端2标识和终端2的MAC地址(即MAC201)上报给管理服务器。
管理服务器检测本地是否记录了终端2标识对应的MAC地址。在本例中,由于终端2是第二次接入网络的,所以管理服务器上记录了终端2标识对应的MAC地址。
然后,管理服务器可检测本地记录的终端2的MAC地址和扫描器发送的终端2的MAC地址是否一致。在本例中,由于本地记录的终端2的MAC地址(即MAC201)和扫描器发送的终端2的MAC地址(即MAC201)一致,所以管理服务器确定终端2合法。
3)假设终端2第三次接入网络,在第三次接入网络时,终端3的MAC地址被修改为MAC202。
当终端2第二次离开网络后,网关设备会清除该终端2的相关表项。
当终端2第三次接入网络后,网关设备又会生成该针对终端2修改后的MAC地址的相关表项。扫描器会扫描到终端2的各种表项,获取终端2的系统类型、厂商标识、IP地址、序列号和MAC201。扫描器可将终端2的系统类型、厂商标识、IP地址、序列号中的一种或几种组成唯一标识终端2的终端2标识。然后扫描器可将终端2标识和终端2的MAC地址(即MAC202)上报给管理服务器。
管理服务器检测本地是否记录了终端2标识对应的MAC地址。在本例中,由于终端2是第三次接入网络的,所以管理服务器上记录了终端2标识对应的MAC地址。
然后,管理服务器可检测本地记录的终端2的MAC地址和扫描器发送的终端2的MAC地址是否一致。在本例中,由于本地记录的终端2的MAC地址(即MAC201)和扫描器发送的终端2的MAC地址(即MAC202)不一致,所以管理服务器确定终端2不合法。
参见图4,图4是本申请一示例性实施例示出的一种管理服务器的硬件结构图。
该管理服务器包括:通信接口401、处理器402、机器可读存储介质403和总线404;其中,通信接口401、处理器402和机器可读存储介质403通过总线404完成相互间的通信。处理器402通过读取并执行机器可读存储介质403中与终端合法性检测控制逻辑对应的机器可执行指令,可执行上文描述的终端合法性检测方法。
本文中提到的机器可读存储介质403可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,机器可读存储介质403可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
参见图5,图5是本申请一示例性实施例示出的一种终端合法性检测装置的框图,该装置可应用在管理服务器上,可包括如下所示单元。
检测单元501,用于接收到扫描器发送的终端信息,若本设备未记录该终端的终端标识对应的终端信息,则从该终端的网卡固件中获取终端信息并记录,包括:在确定所述终端安装指定客户端成功的情况下,获取所述指定客户端从所述终端的网卡固件中获取的终端信息并记录;若本设备记录有该终端的终端标识对应的终端信息,则检测已记录的终端信息与接收到的终端信息是否一致;其中,已记录的终端信息是从所述终端的网卡固件中获取的;接收到的终端信息是所述扫描器从所述终端接入的接入设备中获取的。
确定单元502,用于若一致,则确定所述终端合法;若不一致,则确定所述终端不合法。
可选的,所述检测单元501,在获取本设备记录的终端信息时,用于在所述终端上强制安装指定客户端,以使安装后的指定客户端从所述终端的网卡固件中获取所述终端的终端信息;若确定所述指定客户端安装成功,则获取所述指定客户端从所述终端的网卡固件中获取的终端信息并记录。
可选的,所述检测单元501,还用于若确定所述指定客户端安装失败,则确定所述终端不合法。
可选的,所述检测单元501,还用于在获取到从所述终端的网卡固件中获取的该终端的终端信息后,若从所述终端的网卡固件获取的终端信息与从所述扫描器接收到的终端信息一致,则确定所述终端合法;若从所述终端的网卡固件获取的终端信息与从所述扫描器接收到的终端信息不一致,则确定所述终端不合法。
可选的,所述装置还包括:
下发单元503,用于在确定所述终端不合法时,向所述终端的接入设备下发与所述终端匹配的网络访问策略,以使所述接入设备基于所述网络访问策略控制所述终端的网络访问行为。
此外,本申请还提供一种管理服务器,所述管理服务器包括可读存储介质和处理器;
其中,所述可读存储介质,用于存储机器可执行指令;
所述处理器,用于读取所述可读存储介质上的所述机器可执行指令,并执行所述指令以实现上述终端合法性检测方法。
此外,本申请还提供一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器执行上述终端合法性检测方法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种终端合法性检测方法,其特征在于,所述方法应用中管理服务器,所述方法包括:
接收到扫描器发送的终端信息,若本设备未记录该终端的终端标识对应的终端信息,则从该终端的网卡固件中获取终端信息并记录,包括:在确定所述终端安装指定客户端成功的情况下,获取所述指定客户端从所述终端的网卡固件中获取的终端信息并记录;
若本设备已记录该终端的终端标识对应的终端信息,则检测已记录的终端信息与接收到的终端信息是否一致;
若一致,则确定所述终端合法;
若不一致,则确定所述终端不合法;
其中,已记录的终端信息是从所述终端的网卡固件中获取的;
接收到的终端信息是所述扫描器从所述终端接入的接入设备中获取的。
2.根据权利要求1所述的方法,其特征在于,所述本设备记录的终端信息通过如下方式获取:
在所述终端上强制安装指定客户端,以使安装后的指定客户端从所述终端的网卡固件中获取所述终端的终端信息;
若确定所述指定客户端安装成功,则获取所述指定客户端从所述终端的网卡固件中获取的终端信息并记录。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若确定所述指定客户端安装失败,则确定所述终端不合法。
4.根据权利要求2所述的方法,其特征在于,在获取到从所述终端的网卡固件中获取的该终端的终端信息后,所述方法还包括:
若从所述终端的网卡固件获取的终端信息与从所述扫描器接收到的终端信息一致,则确定所述终端合法;
若从所述终端的网卡固件获取的终端信息与从所述扫描器接收到的终端信息不一致,则确定所述终端不合法。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:
确定所述终端不合法,向所述终端的接入设备下发与所述终端匹配的网络访问策略,以使所述接入设备基于所述网络访问策略控制所述终端的网络访问行为。
6.一种终端合法性检测装置,其特征在于,所述装置应用中管理服务器,所述装置包括:
检测单元,用于接收到扫描器发送的终端信息,若本设备未记录该终端的终端标识对应的终端信息,则从该终端的网卡固件中获取终端信息并记录,包括:在确定所述终端安装指定客户端成功的情况下,获取所述指定客户端从所述终端的网卡固件中获取的终端信息并记录;若本设备已记录该终端的终端标识对应的终端信息,则检测已记录的终端信息与接收到的终端信息是否一致;其中,已记录的终端信息是从所述终端的网卡固件中获取的;接收到的终端信息是所述扫描器从所述终端接入的接入设备中获取的;
确定单元,用于若一致,则确定所述终端合法;若不一致,则确定所述终端不合法。
7.根据权利要求6所述的装置,其特征在于,所述检测单元,获取本设备记录的终端信息,用于在所述终端上强制安装指定客户端,以使安装后的指定客户端从所述终端的网卡固件中获取所述终端的终端信息;若确定所述指定客户端安装成功,则获取所述指定客户端从所述终端的网卡固件中获取的终端信息并记录。
8.根据权利要求7所述的装置,其特征在于,所述检测单元,还用于若确定所述指定客户端安装失败,则确定所述终端不合法。
9.根据权利要求7所述的装置,其特征在于,所述检测单元,还用于在获取到从所述终端的网卡固件中获取的该终端的终端信息,若从所述终端的网卡固件获取的终端信息与从所述扫描器接收到的终端信息一致,则确定所述终端合法;若从所述终端的网卡固件获取的终端信息与从所述扫描器接收到的终端信息不一致,则确定所述终端不合法。
10.根据权利要求6-9任一项所述的装置,其特征在于,所述装置还包括:
下发单元,用于在确定所述终端不合法时,向所述终端的接入设备下发与所述终端匹配的网络访问策略,以使所述接入设备基于所述网络访问策略控制所述终端的网络访问行为。
11.一种管理服务器,其特征在于,所述管理服务器包括可读存储介质和处理器;
其中,所述可读存储介质,用于存储机器可执行指令;
所述处理器,用于读取所述可读存储介质上的所述机器可执行指令,并执行所述指令以实现权利要求1-5任一项所述方法的步骤。
12.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器执行如权利要求1-5任一项所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110505234.1A CN113285929B (zh) | 2021-05-10 | 2021-05-10 | 一种终端合法性检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110505234.1A CN113285929B (zh) | 2021-05-10 | 2021-05-10 | 一种终端合法性检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113285929A CN113285929A (zh) | 2021-08-20 |
| CN113285929B true CN113285929B (zh) | 2023-03-24 |
Family
ID=77278561
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110505234.1A Active CN113285929B (zh) | 2021-05-10 | 2021-05-10 | 一种终端合法性检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113285929B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101247396A (zh) * | 2008-02-20 | 2008-08-20 | 北大方正集团有限公司 | 一种分配ip地址的方法、装置及系统 |
| WO2016062113A1 (zh) * | 2014-10-20 | 2016-04-28 | 中兴通讯股份有限公司 | 检测无线网络接入安全的方法及终端 |
| CN111353073A (zh) * | 2018-12-21 | 2020-06-30 | 阿里巴巴集团控股有限公司 | 终端设备标识信息处理方法、装置及电子设备 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4222403B2 (ja) * | 2006-10-16 | 2009-02-12 | 沖電気工業株式会社 | 不正端末推定システム、不正端末推定装置及び通信端末装置 |
| CN101714927B (zh) * | 2010-01-15 | 2012-04-18 | 福建伊时代信息科技股份有限公司 | 内网安全综合管理的网络接入控制方法 |
| CN103929376B (zh) * | 2014-04-30 | 2017-06-20 | 尹志超 | 一种基于交换机端口管理的终端准入控制方法 |
| CN105610839A (zh) * | 2015-12-31 | 2016-05-25 | 国网浙江奉化市供电公司 | 一种终端接入网络的控制方法及装置 |
| CN106060072B (zh) * | 2016-06-30 | 2019-09-06 | 新华三技术有限公司 | 认证方法以及装置 |
| CN108809969B (zh) * | 2018-05-30 | 2020-11-06 | 新华三技术有限公司 | 一种认证方法、系统及其装置 |
| CN109120599A (zh) * | 2018-07-23 | 2019-01-01 | 国网河南省电力公司商丘供电公司 | 一种外联管控系统 |
-
2021
- 2021-05-10 CN CN202110505234.1A patent/CN113285929B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101247396A (zh) * | 2008-02-20 | 2008-08-20 | 北大方正集团有限公司 | 一种分配ip地址的方法、装置及系统 |
| WO2016062113A1 (zh) * | 2014-10-20 | 2016-04-28 | 中兴通讯股份有限公司 | 检测无线网络接入安全的方法及终端 |
| CN111353073A (zh) * | 2018-12-21 | 2020-06-30 | 阿里巴巴集团控股有限公司 | 终端设备标识信息处理方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113285929A (zh) | 2021-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5704518B2 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
| CN102318314B (zh) | 访问权限控制方法和设备 | |
| CN1741448B (zh) | 用于客户计算机自行健康检查的方法和系统 | |
| WO2002035310A2 (en) | System and method for online data recovery service | |
| KR20170037612A (ko) | 단말 식별자들을 용이하게 하는 방법 및 시스템 | |
| CN112800404B (zh) | 一种跨链访问控制方法和装置 | |
| CN110708336B (zh) | 视频终端的认证方法及装置、电子设备、存储介质 | |
| CN111447245A (zh) | 一种认证方法、装置、电子设备和服务端 | |
| JP2009530748A (ja) | 電子装置のidを判断する方法 | |
| JP5822078B2 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
| CN113285929B (zh) | 一种终端合法性检测方法及装置 | |
| CN104021340A (zh) | 一种恶意应用安装的检测方法和装置 | |
| CN102291239A (zh) | 远程认证方法、系统、代理组件和认证服务器 | |
| CN109063461B (zh) | 一种第三方免密登录方法及系统 | |
| CN111723374A (zh) | 一种漏洞扫描方法及装置 | |
| CN112671765B (zh) | 无线网络设备合法性的验证方法和装置 | |
| CN110677483B (zh) | 信息处理系统和可信安全管理系统 | |
| CN114048457A (zh) | 多平台用户关系创建方法、装置、系统及存储介质 | |
| CN216673025U (zh) | 机动车检测终端接入装置 | |
| CN117176472B (zh) | 基于智能密码安全设备数据防篡改方法、装置及系统 | |
| CN116032889B (zh) | 一种ip地址的分配方法及装置 | |
| CN111970681B (zh) | 设备标识方法及装置 | |
| CN108768673B (zh) | 一种结束计费方法及装置 | |
| CN112702301B (zh) | license验证控制方法、装置、设备及存储介质 | |
| CN101877647A (zh) | 服务器识别方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |