本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種終端接入網(wǎng)絡(luò)的方法和系統(tǒng)。

背景技術(shù)：

在網(wǎng)絡(luò)安全管理中，很重要的一塊工作就是防止非法終端入侵網(wǎng)絡(luò)。一旦入侵成功，內(nèi)網(wǎng)環(huán)境將被攻擊，造成機(jī)密信息的泄露，影響正常的網(wǎng)絡(luò)業(yè)務(wù)。為了限制非法終端的網(wǎng)絡(luò)訪問行為，主要通過限制策略實(shí)現(xiàn)，如只允許指定mac地址或用戶名與密碼的終端訪問網(wǎng)絡(luò)。

隨著無線網(wǎng)絡(luò)技術(shù)的發(fā)展，非法終端入侵內(nèi)網(wǎng)變得更加容易，利用空口抓包等技術(shù)手段，可以探測到合法終端的mac地址、用戶名與密碼等信息，通過偽造合法終端的mac地址、用戶名與密碼等信息，就可以繞過限制策略，入侵內(nèi)網(wǎng)。造成這樣結(jié)果的一個(gè)重要原因是限制策略不夠靈活、不便于擴(kuò)展，因此容易被入侵者破解。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明所要解決的技術(shù)問題是：提供一種靈活、安全及可擴(kuò)展的終端接入網(wǎng)絡(luò)的方法和系統(tǒng)。

為了解決上述技術(shù)問題，本發(fā)明采用的技術(shù)方案為：提供一種終端接入網(wǎng)絡(luò)的方法，包括如下步驟：

終端接入網(wǎng)絡(luò)時(shí)，管理系統(tǒng)將終端的終端狀態(tài)設(shè)置為未授權(quán)，清除已授權(quán)標(biāo)志，將終端的終端狀態(tài)設(shè)置為待授權(quán)，所述終端的終端狀態(tài)包括：未授權(quán)、待授權(quán)、已授權(quán)和授權(quán)失?。?/p>

若終端的終端狀態(tài)為待授權(quán)，管理系統(tǒng)通過網(wǎng)絡(luò)管理協(xié)議獲取待授權(quán)的終端的特征碼，所述管理系統(tǒng)中設(shè)有特征碼信息庫和根據(jù)特征碼信息庫制定的特征碼匹配策略；所述特征碼信息庫中存儲(chǔ)有對(duì)應(yīng)合法終端的特征碼。

將特征碼與特征碼匹配策略組進(jìn)行匹配，若匹配一致，則將終端的終端狀態(tài)由待授權(quán)變更為已授權(quán)，并設(shè)置已授權(quán)標(biāo)志；若匹配不一致，則將終端的終端狀態(tài)由待授權(quán)變更為授權(quán)失敗，并清除已授權(quán)標(biāo)志；

當(dāng)管理系統(tǒng)更新特征碼信息庫或特征碼匹配策略組時(shí)，將終端的終端狀態(tài)由授權(quán)失敗或已授權(quán)變更為待授權(quán)。

本發(fā)明的另一技術(shù)方案為提供一種終端接入網(wǎng)絡(luò)的系統(tǒng)，包括：

設(shè)置模塊，用于在終端接入網(wǎng)絡(luò)時(shí)，管理系統(tǒng)將終端的終端狀態(tài)設(shè)置為未授權(quán)，清除已授權(quán)標(biāo)志，將終端的終端狀態(tài)設(shè)置為待授權(quán)，所述終端的終端狀態(tài)包括：未授權(quán)、待授權(quán)、已授權(quán)和授權(quán)失敗；

獲取模塊，用于若終端的終端狀態(tài)為待授權(quán)，通過網(wǎng)絡(luò)管理協(xié)議獲取待授權(quán)的終端的特征碼，所述管理系統(tǒng)中設(shè)有特征碼信息庫和根據(jù)特征碼信息庫制定的特征碼匹配策略；所述特征碼信息庫中存儲(chǔ)有對(duì)應(yīng)合法終端的特征碼。

判斷模塊，用于將特征碼與特征碼匹配策略組進(jìn)行匹配，若匹配一致，則將終端的終端狀態(tài)由待授權(quán)變更為已授權(quán)，并設(shè)置已授權(quán)標(biāo)志；若匹配不一致，則將終端的終端狀態(tài)由待授權(quán)變更為授權(quán)失敗，并清除已授權(quán)標(biāo)志；

變更模塊，用于當(dāng)更新特征碼信息庫或特征碼匹配策略組時(shí)，將終端的終端狀態(tài)由授權(quán)失敗或已授權(quán)變更為待授權(quán)。

本發(fā)明的有益效果在于：本發(fā)明的終端接入網(wǎng)絡(luò)的方法和系統(tǒng)，實(shí)現(xiàn)了靈活、可擴(kuò)展的終端接入限制策略，便于網(wǎng)絡(luò)管理員針對(duì)網(wǎng)絡(luò)的情況對(duì)限制策略進(jìn)行靈活管理與擴(kuò)展，其具有如下優(yōu)點(diǎn)：首先，本發(fā)明的方法和系統(tǒng)中設(shè)有可擴(kuò)展的特征碼信息庫，新類型終端的私有屬性可以方便地加入特征碼信息庫。其次，本發(fā)明的方法和系統(tǒng)中設(shè)有可靈活配置的特征碼匹配策略組，可以設(shè)定任意特征碼匹配策略的組合，隨時(shí)控制策略組的生效狀態(tài)，特征碼匹配規(guī)則動(dòng)態(tài)變化，安全性高。

附圖說明

圖1是本發(fā)明具體實(shí)施方式的終端接入網(wǎng)絡(luò)的系統(tǒng)的結(jié)構(gòu)框圖；

圖2是本發(fā)明具體實(shí)施方式的實(shí)施例1的終端接入網(wǎng)絡(luò)的系統(tǒng)相關(guān)的網(wǎng)絡(luò)架構(gòu)圖；

圖3是本發(fā)明具體實(shí)施方式的實(shí)施例1的終端接入網(wǎng)絡(luò)的方法的流程圖；

標(biāo)號(hào)說明：

1、設(shè)置模塊；2、獲取模塊；3、判斷模塊；4、變更模塊；

101、網(wǎng)絡(luò)；102、管理員；103、管理系統(tǒng)；1031、終端狀態(tài)機(jī)；1032、特征碼匹配策略組；1033、特征碼信息庫；104、終端群。

具體實(shí)施方式

為詳細(xì)說明本發(fā)明的技術(shù)內(nèi)容、所實(shí)現(xiàn)目的及效果，以下結(jié)合實(shí)施方式并配合附圖予以說明。

本發(fā)明最關(guān)鍵的構(gòu)思在于：本發(fā)明的終端接入網(wǎng)絡(luò)的方法和系統(tǒng)，實(shí)現(xiàn)了靈活、可擴(kuò)展的終端接入限制策略，便于網(wǎng)絡(luò)管理員針對(duì)網(wǎng)絡(luò)的情況對(duì)限制策略進(jìn)行靈活管理與擴(kuò)展。

本發(fā)明的一個(gè)實(shí)施例為提供一種終端接入網(wǎng)絡(luò)的方法，包括如下步驟：

終端接入網(wǎng)絡(luò)時(shí)，管理系統(tǒng)將終端的終端狀態(tài)設(shè)置為未授權(quán)，清除已授權(quán)標(biāo)志，將終端的終端狀態(tài)設(shè)置為待授權(quán)，所述終端的終端狀態(tài)包括：未授權(quán)、待授權(quán)、已授權(quán)和授權(quán)失??；

若終端的終端狀態(tài)為待授權(quán)，管理系統(tǒng)通過網(wǎng)絡(luò)管理協(xié)議獲取待授權(quán)的終端的特征碼，所述管理系統(tǒng)中設(shè)有特征碼信息庫和根據(jù)特征碼信息庫制定的特征碼匹配策略；所述特征碼信息庫保存合法終端的特征碼。

將特征碼與特征碼匹配策略組進(jìn)行匹配，若匹配一致，則將終端的終端狀態(tài)由待授權(quán)變更為已授權(quán)，并設(shè)置已授權(quán)標(biāo)志；若匹配不一致，則將終端的終端狀態(tài)由待授權(quán)變更為授權(quán)失敗，并清除已授權(quán)標(biāo)志；

當(dāng)管理系統(tǒng)更新特征碼信息庫或特征碼匹配策略組時(shí)，將終端的終端狀態(tài)由授權(quán)失敗或已授權(quán)變更為待授權(quán)。

上述終端接入網(wǎng)絡(luò)的方法的有益效果在于：所述特征碼信息庫保存合法終端的特征碼，并且管理系統(tǒng)可以隨時(shí)更新特征碼信息庫，新類型終端的私有屬性可以方便地加入特征碼信息庫；設(shè)有可靈活配置的特征碼匹配策略組，可以設(shè)定任意特征碼匹配策略的組合，隨時(shí)控制策略組的生效狀態(tài)，特征碼匹配規(guī)則可動(dòng)態(tài)變化，安全性高。

在本發(fā)明的一個(gè)具體實(shí)施例中，上述的終端接入網(wǎng)絡(luò)的方法中，所述特征碼匹配策略組的特征碼匹配策略的生效狀態(tài)和特征碼信息庫的特征碼周期性的變更。所述的管理系統(tǒng)的特征碼信息庫，可以由不同類型終端的不同特征碼信息組成，這些特征碼信息包括：(1)公有屬性，如mac地址屬性、用戶名及密碼屬性、序列號(hào)屬性等；(2)私有屬性，如終端廠商設(shè)置的特定屬性。

在本發(fā)明的一個(gè)具體實(shí)施例中，上述的終端接入網(wǎng)絡(luò)的方法中，管理系統(tǒng)可以創(chuàng)建一個(gè)或者多個(gè)策略組，每個(gè)策略組包含一個(gè)或者多個(gè)特征碼；每個(gè)策略組可以設(shè)置不同的匹配規(guī)則及生效狀態(tài)。所述特征碼匹配策略的匹配規(guī)則包括完全匹配或部分匹配，用于配置特征碼匹配的精確度，(1)完全匹配，終端的特征碼必須完全匹配所有生效策略組的所有特征碼；(2)部分匹配，終端的特征碼只需要匹配部分生效策略組的部分特征碼。

管理系統(tǒng)可以隨時(shí)更新特征碼信息庫還包括：管理系統(tǒng)可以隨時(shí)添加或者刪除特征碼信息庫的特征碼內(nèi)容，當(dāng)特征碼被刪除時(shí)，所有特征碼匹配策略組把刪除的特征碼從策略組內(nèi)移除。管理系統(tǒng)可以設(shè)定定時(shí)器，周期性地變更策略組的生效狀態(tài)，使得特征碼匹配規(guī)則動(dòng)態(tài)變化；更進(jìn)一步地，當(dāng)特征碼匹配策略組發(fā)生動(dòng)態(tài)變化后，對(duì)終端的特征碼進(jìn)行重新匹配，判定終端的合法性。

終端只要設(shè)置了已授權(quán)標(biāo)志，終端的業(yè)務(wù)流量就可正常訪問。若為非法終端，管理系統(tǒng)對(duì)非法終端的業(yè)務(wù)流量進(jìn)行受控管理的方式包括：(1)限制非法終端的所有業(yè)務(wù)流量；(2)限制非法終端的部分業(yè)務(wù)流量。管理系統(tǒng)獲取終端特征碼的通信協(xié)議方法包括：snmp、oam等網(wǎng)絡(luò)管理協(xié)議。

請(qǐng)參閱圖1，一種終端接入網(wǎng)絡(luò)的系統(tǒng)，包括：

設(shè)置模塊1，用于在終端接入網(wǎng)絡(luò)時(shí)，管理系統(tǒng)將終端的終端狀態(tài)設(shè)置為未授權(quán)，清除已授權(quán)標(biāo)志，將終端的終端狀態(tài)設(shè)置為待授權(quán)，所述終端的終端狀態(tài)包括：未授權(quán)、待授權(quán)、已授權(quán)和授權(quán)失??；

獲取模塊2，用于若終端的終端狀態(tài)為待授權(quán)，通過網(wǎng)絡(luò)管理協(xié)議獲取待授權(quán)的終端的特征碼，所述管理系統(tǒng)中設(shè)有特征碼信息庫和根據(jù)特征碼信息庫制定的特征碼匹配策略；所述特征碼信息庫保存合法終端的特征碼。

判斷模塊3，用于將特征碼與特征碼匹配策略組進(jìn)行匹配，若匹配一致，則將終端的終端狀態(tài)由待授權(quán)變更為已授權(quán)，并設(shè)置已授權(quán)標(biāo)志；若匹配不一致，則將終端的終端狀態(tài)由待授權(quán)變更為授權(quán)失敗，并清除已授權(quán)標(biāo)志；

變更模塊4，用于當(dāng)更新特征碼信息庫或特征碼匹配策略組時(shí)，將終端的終端狀態(tài)由授權(quán)失敗或已授權(quán)變更為待授權(quán)。

進(jìn)一步的，上述的終端接入網(wǎng)絡(luò)的系統(tǒng)中，所述特征碼匹配策略組的特征碼匹配策略的生效狀態(tài)和特征碼信息庫的特征碼周期性的變更。

進(jìn)一步的，上述的終端接入網(wǎng)絡(luò)的系統(tǒng)中，所述終端的特征碼包括：mac地址屬性、用戶名、密碼屬性、序列號(hào)屬性和終端廠商設(shè)置的屬性。

進(jìn)一步的，上述的終端接入網(wǎng)絡(luò)的系統(tǒng)中，所述特征碼匹配策略組包括多個(gè)特征碼匹配策略，所述特征碼匹配策略對(duì)應(yīng)多個(gè)特征碼，每個(gè)特征碼匹配策略設(shè)置不同的匹配規(guī)則和生效狀態(tài)。

實(shí)施例1

請(qǐng)參閱圖2和圖3，圖2為本實(shí)施例的終端接入網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)圖，圖3為本實(shí)施的終端接入網(wǎng)絡(luò)的方法的流程圖；

一種終端接入網(wǎng)絡(luò)的系統(tǒng)，包括：

設(shè)置模塊1，用于在終端接入網(wǎng)絡(luò)時(shí)，管理系統(tǒng)將終端的終端狀態(tài)設(shè)置為未授權(quán)，清除已授權(quán)標(biāo)志，將終端的終端狀態(tài)設(shè)置為待授權(quán)，所述終端的終端狀態(tài)包括：未授權(quán)、待授權(quán)、已授權(quán)和授權(quán)失?。?/p>

獲取模塊2，用于通過網(wǎng)絡(luò)管理協(xié)議獲取待授權(quán)的終端的特征碼，所述管理系統(tǒng)中設(shè)有特征碼信息庫和根據(jù)特征碼信息庫制定的特征碼匹配策略；所述特征碼信息庫保存合法終端的特征碼。

判斷模塊3，用于將特征碼與特征碼匹配策略組進(jìn)行匹配，若匹配一致，則將終端的終端狀態(tài)由待授權(quán)變更為已授權(quán)，并設(shè)置已授權(quán)標(biāo)志；若匹配不一致，則將終端的終端狀態(tài)由待授權(quán)變更為授權(quán)失敗，并清除已授權(quán)標(biāo)志；

變更模塊4，用于當(dāng)更新特征碼信息庫或特征碼匹配策略組時(shí)，將終端的終端狀態(tài)由授權(quán)失敗或已授權(quán)變更為待授權(quán)。

具體的上述終端接入網(wǎng)絡(luò)的系統(tǒng)用管理系統(tǒng)與管理員、網(wǎng)絡(luò)和終端群的關(guān)系進(jìn)行應(yīng)用說明，如下：

終端群104要連接到網(wǎng)絡(luò)101，需要通過管理系統(tǒng)103的許可授權(quán)。

管理系統(tǒng)103可包括終端狀態(tài)機(jī)1031，特征碼匹配策略組1032，特征碼信息庫1033，其中：終端狀態(tài)機(jī)1031，維護(hù)終端的授權(quán)狀態(tài)。無論終端處于哪種狀態(tài)，只要設(shè)置了已授權(quán)標(biāo)志，終端的業(yè)務(wù)流量就可正常訪問；否則，終端的業(yè)務(wù)流量無法訪問。

特征碼信息庫1033維護(hù)終端的特征碼信息，管理員102可以更新特征碼信息庫1033的特征碼信息。

特征碼匹配策略組1032，維護(hù)終端特征碼的匹配策略。管理員102從特征碼信息庫1033選取若干個(gè)特征碼組成若干組特征碼匹配策略組，設(shè)定特征碼匹配策略組的生效狀態(tài)。管理員102還可以設(shè)定策略組生效狀態(tài)的動(dòng)態(tài)更新周期，實(shí)現(xiàn)周期性地動(dòng)態(tài)變更策略組的生效組合，加強(qiáng)終端的授權(quán)復(fù)雜度。

使用上述終端接入網(wǎng)絡(luò)的系統(tǒng)實(shí)施終端接入網(wǎng)絡(luò)的方法，其包括如下步驟：

步驟201：終端上線接入網(wǎng)絡(luò)時(shí)，管理系統(tǒng)將終端的終端狀態(tài)設(shè)置為未授權(quán)，清除已授權(quán)標(biāo)志；

步驟202：將終端的終端狀態(tài)設(shè)置為待授權(quán)，所述終端的終端狀態(tài)包括：未授權(quán)、待授權(quán)、已授權(quán)和授權(quán)失?。蝗粼O(shè)置了已授權(quán)標(biāo)志，允許連接網(wǎng)絡(luò)，否則禁止連接網(wǎng)絡(luò)；

若終端的終端狀態(tài)為待授權(quán)，管理系統(tǒng)通過網(wǎng)絡(luò)管理協(xié)議獲取待授權(quán)的終端的特征碼，所述管理系統(tǒng)中設(shè)有特征碼信息庫和根據(jù)特征碼信息庫制定的特征碼匹配策略，所述特征碼信息庫保存合法終端的特征碼。將特征碼與特征碼匹配策略組進(jìn)行匹配；

步驟203：若匹配一致，則將終端的終端狀態(tài)由待授權(quán)變更為已授權(quán)，并設(shè)置已授權(quán)標(biāo)志；

步驟204：若匹配不一致，則將終端的終端狀態(tài)由待授權(quán)變更為授權(quán)失敗，并清除已授權(quán)標(biāo)志；

當(dāng)以下條件觸發(fā)時(shí)，將處于狀態(tài)已授權(quán)或狀態(tài)授權(quán)失敗的終端變更為狀態(tài)待授權(quán)，重新進(jìn)行授權(quán)：管理系統(tǒng)更新了特征碼信息庫。管理系統(tǒng)靜態(tài)或者周期性動(dòng)態(tài)變更了特征碼匹配策略組。

以上所述僅為本發(fā)明的實(shí)施例，并非因此限制本發(fā)明的專利范圍，凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等同變換，或直接或間接運(yùn)用在相關(guān)的技術(shù)領(lǐng)域，均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)。