CN114584344A - 一种网络接入控制方法及系统 - Google Patents

一种网络接入控制方法及系统 Download PDF

Info

Publication number
CN114584344A
CN114584344A CN202210081751.5A CN202210081751A CN114584344A CN 114584344 A CN114584344 A CN 114584344A CN 202210081751 A CN202210081751 A CN 202210081751A CN 114584344 A CN114584344 A CN 114584344A
Authority
CN
China
Prior art keywords
terminal
network
information
access
network equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210081751.5A
Other languages
English (en)
Inventor
何建锋
杨晓亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xi'an Jiaotong University Jump Network Technology Co ltd
Original Assignee
Xi'an Jiaotong University Jump Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xi'an Jiaotong University Jump Network Technology Co ltd filed Critical Xi'an Jiaotong University Jump Network Technology Co ltd
Priority to CN202210081751.5A priority Critical patent/CN114584344A/zh
Publication of CN114584344A publication Critical patent/CN114584344A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种网络接入控制方法,通过获取新终端的接入信息,与预设的合法列表进行匹配,从而判断是否对接入终端放行,同时如果对阻断的请求信息进行检测为安全接入则将信息加入合法列表,能够动态的更新合法列表,提高控制效率。能够有效解决局域网环境中终端非法接入的问题;同时采用通用网络管理标准,网络适应性强,无需改造既有网络架构,降低了系统整体迁移的成本和难度,缩减部署成本;并且不用额外安装客户端软件,部署及操作简便。

Description

一种网络接入控制方法及系统
技术领域
本发明属于网络安全接入领域,尤其是涉及一种实现终端安全接入网络的控制方法及系统。
背景技术
随着网络和计算机技术的发展,局域网环境安全问题同样日渐突出,企业面临内部威胁、分支机构、访客和移动办公等带来的终端接入控制压力,以利益驱动的专业黑客往往锁定企业终端为目标,利用终端中的安全漏洞,获取对重要资源未经授权的访问,进而对核心业务系统发起攻击,造成数据被窃听或破坏,核心业务中断、恶意代码、信息泄密等安全事故,使企业业务和信誉受到损失。
在大型网络管理中,网络管理员比较头痛的问题之一就是如何实时了解安装在各处的网络设备下的终端连接情况,若要一台一台的去查看网络设备的运行现状,明显是很不现实的,这就需要一种能够方便高效的实时控制终端接入以及监控网络设备运行状态的方案。
发明内容
本发明的技术方案旨在提供一种终端安全接入网络的控制方法及系统,以解决网络环境中的终端非法接入问题。
一方面,本发明提供一种网络接入控制方法,包括:检测到新的终端接入网络设备时,将获取到的终端接入信息与预设的合法列表进行对比;所述合法列表包括至少一个以下对应关系:终端信息与网络设备对应关系,终端信息与身份认证信息对应关系,身份认证信息与网络设备对应关系;若所述终端的接入信息与至少一个所述对应关系不匹配时阻断该终端的接入请求,否则放行。
较佳的,所述网络设备包括无线AP与交换机;所述终端信息包括MAC地址;所述身份认证信息包括账户与密码;所述终端信息与网络设备的对应关系,包括:终端MAC与网络设备特定端口的对应关系,终端MAC与特定网络设备MAC的对应关系。
较佳的,所述合法列表为动态的,若所述终端的接入信息与至少一个所述对应关系不匹配时,自动加载预设的防护策略,对该接入请求进行安全检测;以及当接入请求被检测为安全时,将终端信息、身份认证信息与当前网络设备的对应关系添加到合法列表。
进一步的,上述的方法,控制网络接入的具体步骤,包括:
配置网络设备特定端口对应的合法终端MAC列表;
当网络设备接收到未知终端的网络接入请求时,上报该终端的MAC信息;
判断终端MAC是否在网络黑名单中,若是则阻断,否则查找所述合法终端MAC列表,判断未知终端的MAC是否存在,若已存在则向网络设备端口发送放行指令,否则发送阻断指令并调用防护策略进行安全检测;
若安全检测通过,则将终端MAC与网络设备端口的对应关系添加到合法列表,否则将终端MAC加入黑名单;
当判断所述网络设备端口的接入终端MAC发生变化时,重复上述控制过程。
较佳的,上述的当终端设备接入被移除后,通过SNMP协议向网络设备下发指令,将端口状态恢复为监听网络接入请求的默认状态。
另一方面,本发明提供一种网络接入控制系统,该系统包括:
接入控制端,向网络设备发出查询或修改设备参数的请求,或接收网络设备主动发送的设备参数与状态,并根据网络设备上报的终端接入信息是否合法向网络设备发出放行或阻断的指令;
网络设备,获取终端的网络接入请求信息,上报给控制端,接收并执行控制端的放行或阻断指令。
较佳的,上述系统控制网络接入的过程,包括:网络设备检测到新的终端接入网络设备时,将获取到的终端接入信息与接入控制端预设的合法列表进行对比;所述合法列表包括至少一个以下对应关系:终端信息与网络设备对应关系,终端信息与身份认证信息对应关系,身份认证信息与网络设备对应关系;若所述终端的接入信息与至少一个所述对应关系不匹配时,接入控制端向网络设备发送指令以阻断该终端的接入请求,否则放行。
同时,本发明还提供一种网络接入控制装置,包括存储器和处理器;所述存储器,用于存储计算机程序;所述处理器,用于当执行所述计算机程序时,实现如上所述的网络接入控制方法。
采用上述技术方案的本发明,至少具有以下有益效果:通过获取新终端的接入信息,与预设的合法列表进行匹配,从而判断是否对接入终端放行,同时如果对阻断的请求信息进行检测为安全接入则将信息加入合法列表,能够动态的更新合法列表,提高控制效率。能够有效解决局域网环境中终端非法接入的问题;同时采用通用网络管理标准,网络适应性强,无需改造既有网络架构,降低了系统整体迁移的成本和难度,缩减部署成本;并且不用额外安装客户端软件,部署及操作简便。
具体实施方式
为使本发明的目的和优点更加清楚,下面将对本发明实施例中的技术方案进行清楚、完整地描述。
实际网络中,利用SNMP协议自动帮助管理员收集网络运行状况的方法应用最为广泛。通过这种方法,网络管理员只需要坐在自己的位置上,就可以了解全公司的网络设备的运行情况。有了这个简单网络管理协议(SNMP),网络管理员可以很方便的在SNMP Agent和NMS之间交换管理信息。SNMP的主要作用就是帮助企业网络管理人员更方便的了解网络性能、发现并解决网络问题、规划网络的未来发展。
SNMTP(简单网络管理协议)作为一种通用安全管理标准协议,能够实时监控各种网络设备的运行状态及数据交换信息,如交换机各端口接入IP、MAC及数据传输的动态信息。当非法主机接入时,可通过SNMP获取其MAC地址并进行身份认证,并通过关闭该主机连接的设备端口实现对非法连接的阻断,结合多台网络设备接入信息的集中管控,还可以实现移动主机的跨设备、跨区域认证与数据传输控制。
简单网络管理协议(SNMP)是TCP/IP协议簇的一个应用层协议,工作在UDP 161端口,用于监控目标设备的操作系统、硬件设备、服务应用、软硬件配置、网络协议状态、设备性能及资源利用率、设备报错事件信息、应用程序状态等软硬件信息。
本发明提供一种网络接入控制方法,包括:检测到新的终端接入网络设备时,将获取到的终端接入信息与预设的合法列表进行对比;所述合法列表包括至少一个以下对应关系:终端信息与网络设备对应关系,终端信息与身份认证信息对应关系,身份认证信息与网络设备对应关系;若所述终端的接入信息与至少一个所述对应关系不匹配时阻断该终端的接入请求,否则放行。
其中,所述网络设备包括无线AP与交换机;所述终端信息包括MAC地址;所述身份认证信息包括账户与密码;所述终端信息与网络设备的对应关系,包括:终端MAC与网络设备特定端口的对应关系,终端MAC与特定网络设备MAC的对应关系。
并且,所述合法列表为动态的,若所述终端的接入信息与至少一个所述对应关系不匹配时,自动加载预设的防护策略,对该接入请求进行安全检测;以及当接入请求被检测为安全时,将终端信息、身份认证信息与当前网络设备的对应关系添加到合法列表。
在介绍了本发明的基本原理之后,下面具体介绍本发明的优选实施方式。
实施例一
控制网络接入的方法,其具体步骤包括:
配置网络设备特定端口对应的合法终端MAC列表;
当网络设备接收到未知终端的网络接入请求时,上报该终端的MAC信息;
判断终端MAC是否在网络黑名单中,若是则阻断,否则查找所述合法终端MAC列表,判断未知终端的MAC是否存在,若已存在则向网络设备端口发送放行指令,否则发送阻断指令并调用防护策略进行安全检测;
若安全检测通过,则将终端MAC与网络设备端口的对应关系添加到合法列表,否则将终端MAC加入黑名单;
当判断所述网络设备端口的接入终端MAC发生变化时,重复上述控制过程。
当终端设备接入被移除后,通过SNMP协议向网络设备下发指令,将端口状态恢复为监听网络接入请求的默认状态。
实施例二
一种网络接入控制系统,该系统包括:
接入控制端,向网络设备发出查询或修改设备参数的请求,或接收网络设备主动发送的设备参数与状态,并根据网络设备上报的终端接入信息是否合法向网络设备发出放行或阻断的指令;
网络设备,获取终端的网络接入请求信息,上报给控制端,接收并执行控制端的放行或阻断指令。
进一步的,所述网络设备包括:
交互处理模块,用于与接入控制端进行信息交互;
接入监控模块,用于检测终端的接入请求,以及获取终端接入信息;
设备参数数据库模块,用于保存生效的网络设备配置参数。
较佳的,上述系统控制网络接入的过程,包括:网络设备检测到新的终端接入网络设备时,将获取到的终端接入信息与接入控制端预设的合法列表进行对比;所述合法列表包括至少一个以下对应关系:终端信息与网络设备对应关系,终端信息与身份认证信息对应关系,身份认证信息与网络设备对应关系;若所述终端的接入信息与至少一个所述对应关系不匹配时,接入控制端向网络设备发送指令以阻断该终端的接入请求,否则放行。
实施例三
提供一种网络接入控制装置,包括存储器和处理器;所述存储器,用于存储计算机程序;所述处理器,用于当执行所述计算机程序时,实现上述实施例所述的网络接入控制方法。
并且,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如:ROM/RAM、磁碟、光盘等。
上述本发明实施例的技术方案中,通过获取新终端的接入信息,与预设的合法列表进行匹配,从而判断是否对接入终端放行,同时如果对阻断的请求信息进行检测为安全接入则将信息加入合法列表,能够动态的更新合法列表,提高控制效率。能够有效解决局域网环境中终端非法接入的问题;同时采用通用网络管理标准,网络适应性强,无需改造既有网络架构,降低了系统整体迁移的成本和难度,缩减部署成本;并且不用额外安装客户端软件,部署及操作简便。
对上述公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和相一致的最宽的范围。

Claims (8)

1.网络接入控制方法,其特征在于,包括:检测到新的终端接入网络设备时,将获取到的终端接入信息与预设的合法列表进行对比;所述合法列表包括至少一个以下对应关系:终端信息与网络设备对应关系,终端信息与身份认证信息对应关系,身份认证信息与网络设备对应关系;若所述终端的接入信息与至少一个所述对应关系不匹配时阻断该终端的接入请求,否则放行。
2.根据权利要求1所述的方法,其特征在于,所述网络设备包括无线AP与交换机;所述终端信息包括MAC地址;所述身份认证信息包括账户与密码;所述终端信息与网络设备的对应关系,包括:终端MAC与网络设备特定端口的对应关系,终端MAC与特定网络设备MAC的对应关系。
3.根据权利要求1所述的方法,其特征在于,所述合法列表为动态的,若所述终端的接入信息与至少一个所述对应关系不匹配时,自动加载预设的防护策略,对该接入请求进行安全检测;以及当接入请求被检测为安全时,将终端信息、身份认证信息与当前网络设备的对应关系添加到合法列表。
4.根据权利要求1至3任一所述的方法,其特征在于,该方法控制网络接入的具体步骤,包括:
配置网络设备特定端口对应的合法终端MAC列表;
当网络设备接收到未知终端的网络接入请求时,上报该终端的MAC信息;
判断终端MAC是否在网络黑名单中,若是则阻断,否则查找所述合法终端MAC列表,判断未知终端的MAC是否存在,若已存在则向网络设备端口发送放行指令,否则发送阻断指令并调用防护策略进行安全检测;
若安全检测通过,则将终端MAC与网络设备端口的对应关系添加到合法列表,否则将终端MAC加入黑名单;
当判断所述网络设备端口的接入终端MAC发生变化时,重复上述控制过程。
5.根据权利要求4所述的方法,其特征在于,当终端设备接入被移除后,通过SNMP协议向网络设备下发指令,将端口状态恢复为监听网络接入请求的默认状态。
6.一种网络接入控制系统,其特征在于,该系统包括:
接入控制端,向网络设备发出查询或修改设备参数的请求,或接收网络设备主动发送的设备参数与状态,并根据网络设备上报的终端接入信息是否合法向网络设备发出放行或阻断的指令;
网络设备,获取终端的网络接入请求信息,上报给控制端,接收并执行控制端的放行或阻断指令。
7.根据权利要求6所述的网络接入控制系统,其特征在于,该系统控制网络接入的过程,包括:网络设备检测到新的终端接入网络设备时,将获取到的终端接入信息与接入控制端预设的合法列表进行对比;所述合法列表包括至少一个以下对应关系:终端信息与网络设备对应关系,终端信息与身份认证信息对应关系,身份认证信息与网络设备对应关系;若所述终端的接入信息与至少一个所述对应关系不匹配时,接入控制端向网络设备发送指令以阻断该终端的接入请求,否则放行。
8.一种网络接入控制装置,其特征在于,包括存储器和处理器;所述存储器,用于存储计算机程序;所述处理器,用于当执行所述计算机程序时,实现如权利要求1-5任一项所述的网络接入控制方法。
CN202210081751.5A 2022-01-24 2022-01-24 一种网络接入控制方法及系统 Pending CN114584344A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210081751.5A CN114584344A (zh) 2022-01-24 2022-01-24 一种网络接入控制方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210081751.5A CN114584344A (zh) 2022-01-24 2022-01-24 一种网络接入控制方法及系统

Publications (1)

Publication Number Publication Date
CN114584344A true CN114584344A (zh) 2022-06-03

Family

ID=81770980

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210081751.5A Pending CN114584344A (zh) 2022-01-24 2022-01-24 一种网络接入控制方法及系统

Country Status (1)

Country Link
CN (1) CN114584344A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115842655A (zh) * 2022-11-10 2023-03-24 合芯科技有限公司 防止非法设备接入方法、装置、系统及存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115842655A (zh) * 2022-11-10 2023-03-24 合芯科技有限公司 防止非法设备接入方法、装置、系统及存储介质

Similar Documents

Publication Publication Date Title
EP1500206B1 (en) System and method for managing wireless devices in an enterprise
CN110493195B (zh) 一种网络准入控制方法及系统
US8230220B2 (en) Method for realizing trusted network management
CN112491788B (zh) 一种安全云代理服务平台、实现方法及物联网系统
CN116192497B (zh) 一种基于零信任体系的网络准入和用户认证的安全交互方法
CN113645213A (zh) 一种基于vpn技术的多终端网络管理监控系统
CN113014589A (zh) 一种5g通信安全测试的方法及系统
CN112653664A (zh) 一种网络之间高安全可靠的数据交换系统及方法
CN114584344A (zh) 一种网络接入控制方法及系统
JP2015035724A (ja) ネットワーク制御装置
US9686311B2 (en) Interdicting undesired service
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
CN116319803A (zh) 一种云边协同分布式api调用方法及系统
KR101592323B1 (ko) 서버 장애 시 원격 서버 복구 시스템 및 방법
Patil et al. Analysis of distributed intrusion detection systems using mobile agents
CN114024752B (zh) 一种基于全网联动的网络安全防御方法、设备及系统
Lapiotis et al. A policy-based approach to wireless LAN security management
KR20150114921A (ko) 기업내 보안망 제공시스템 및 그 방법
KR101747144B1 (ko) 비인가 ap 차단 방법 및 시스템
CN111556024B (zh) 一种反向接入控制系统及方法
CN113407947A (zh) 一种云环境下面向移动终端用户的可信连接验证方法
CN116996238A (zh) 一种网络异常访问的处理方法以及相关装置
CN113438242A (zh) 服务鉴权方法、装置与存储介质
CN107819787B (zh) 一种防止局域网计算机非法外联系统及其方法
CN114662080A (zh) 数据保护方法、装置及桌面云系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication