终端接入办公网络安全管控方法及认证服务器与流程

本申请涉及网络安全
技术领域：
，尤其涉及一种终端接入办公网络安全管控方法及认证服务器。
背景技术：
：本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。大型企业集团一般拥有自己内部专用的办公网络系统，为企业员工提供语音通话、高保真视频会议及其它办公应用服务。如图1所示，办公网络系统的逻辑结构可以分为：1)业务平台，主要包括各类终端的业务管理系统，如生产管理系统或办公管理系统；2)媒体处理层，主要提供多媒体资源交换存储服务，包括视频多点控制单元(multicontrolunit，mcu)、语音视频服务器和云存储等；3)用户接入层，包括各类接入终端组件，包括互联网协议地址(internetprotocoladdress，ip)电话机、视频会议终端、高清摄像头、个人计算机(personalcomputer，pc)终端等。由于数据网络可靠性高、维护运营便利，可以同时支持多种数据传输，因此众多大型企业的办公应用选择ip网络承载。但是在实践中ip网络承载办公应用也会带来新的挑战，特别是在用户接入层的管理难度更加突出：1、统一管理风险。大型企业分支机构多、地域分散、物理空间复杂度高，各类终端分布式部署于跨地域的多个办公区，集约化管理难度大。2、安全合规风险。网络实名制是国家网络安全法规基本要求，大型企业员工众多、流动性强，在终端层面的管理控制手段不足，存在较大的安全责任审计风险。3、信息保密风险。办公网络不可避免地会涉及一些敏感信息、保密信息，但是一般情况下，各类接入终端并不开启强制安全认证模式，防监听能力较弱、一旦发生泄密事件会给管理者带来极大地被动，甚至于严重损害国家安全。技术实现要素：本申请实施例提供一种终端接入办公网络安全管控方法，用以对接入办公网络的终端进行统一、集中管理，加强办公网络的安全管控，降低办公网络中信息泄露风险，该方法应用于办公网络中的认证服务器，该方法包括：接收交换机发送的radius协议认证请求，所述radius协议认证请求中携带终端的第一入网信息，所述第一入网信息包括所要接入办公网络的终端的用户名、密码和mac地址，以及所述交换的交换机地址和终端连接交换机的接入端口名称，所述用户名、密码和mac地址由终端向交换机发送；查找允许入网的终端白名单中是否存在与所述mac地址相同的终端的第二入网信息；如果不存在，则向交换机发送认证失败通知，以供接收到交换机转发的认证失败通知的终端确认自身被拒绝接入办公网络；如果存在，则逐一对比第一入网信息中的终端用户名、密码、交换机地址、接入端口名称与第二入网信息中的相应信息是否相同；如果相同，则向交换机发送认证成功通知，以供接收到交换机转发的认证成功通知的终端接入办公网络；如果不相同，则向交换机发送认证失败通知。本申请实施例还提供一种认证服务器，用以对接入办公网络的终端进行统一、集中管理，加强办公网络的安全管控，降低办公网络中信息泄露风险，该认证服务器为办公网络的组网设备之一，该认证服务器包括：通信模块，用于接收交换机发送的radius协议认证请求，所述radius协议认证请求中携带终端的第一入网信息，所述第一入网信息包括所要接入办公网络的终端的用户名、密码和mac地址，以及所述交换的交换机地址和终端连接交换机的接入端口名称，所述用户名、密码和mac地址由终端向交换机发送；查找模块，用于查找允许入网的终端白名单中是否存在与所述通信模块接收的所述mac地址相同的终端的第二入网信息；所述通信模块，还用于当所述查找模块确认不存在时，则向交换机发送认证失败通知，以供接收到交换机转发的认证失败通知的终端确认自身被拒绝接入办公网络；所述比对模块，还用于当所述查找模块确认存在时，逐一对比第一入网信息中的终端用户名、密码、交换机地址、接入端口名称与第二入网信息中的相应信息是否相同；所述通信模块，还用于当相同时，向交换机发送认证成功通知，以供接收到交换机转发的认证成功通知的终端接入办公网络；当不相同时，向交换机发送认证失败通知。本申请实施例中，交换机将终端的用户名、密码和mac地址，以及交换机地址和接入端口名称等第一入网信息发送至认证服务器，认证服务器查找允许入网的终端白名单中是否存在与mac地址相同的终端的第二入网信息，之后根据第一入网信息与第二入网信息的比对结果，确定是否允许终端接入网络，允许则向终端发送认证成功通知，不允许则向终端发送认证失败通知，终端根据认证成功通知接入办公网络，接收到认证失败通知的终端则无法接入办公网络。每一台接入办公网络的终端都先经过认证服务器的认证，认证服务器通过这种方式，实现了对于接入办公网络的终端的统一、集中管控，确保接入办公网络终端的身份合法性，保障了办公网络中的信息安全，降低了信息泄露风险。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：图1为现有技术中部署的办公网络的示意图；图2为本申请实施例中终端、认证服务器与交换机的连接关系示意图；图3为本申请实施例中一种终端接入办公网络安全管控方法的流程图；图4为本申请实施例中ping模式测试的流程图；图5为本申请实施例中负荷感知功能的工作场景示意图；图6为本申请实施例中的态势感知功能的部署方式示意图；图7为本申请实施例中的3d大屏显示的显示效果示意图；图8(a)为本申请实施例中网络路径树图的示意图；图8(b)为本申请实施例中用户路径树图的示意图；图9为本申请实施例中服务负荷矩阵图的示意图；图10为本申请实施例中认证服务器的结构示意图。具体实施方式为使本申请实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本申请实施例做进一步详细说明。在此，本申请的示意性实施例及其说明用于解释本申请，但并不作为对本申请的限定。本申请实施例提供了一种终端接入办公网络安全管控方法，该方法应用于办公网络中的认证服务器，如图2所示，终端与交换机连接，交换机与认证服务器连接，终端与认证服务器之间的通信报文通过交换机转发。终端与交换机之间交互的通信报文符合ieee802.1x协议的规定，交换机和认证服务器之间交互的通信报文符合radius协议的规定。其中，ieee802.1x是电气和电子工程师协会(instituteofelectricalandelectronicsengineers，ieee)制定关于用户接入网络的认证标准，全称是“基于端口的网络接入控制”，属于ieee802.1x网络协议组的一部分，该协议为连接到局域网(localareanetwork，lan)或无线局域网(wirelesslocalareanetwork，wlan)的设备提供了一种认证机制。ieee802.1x支持的认证类型包括eap-md5、eap-tls等。基于远程认证拨号用户服务(remoteaccessdialinuserservice，radius)协议可以实现认证(authentication)机制，用来辨认使用者的用户名与密码。确认用户名与密码通过之后，经由授权(authorization)使用者登入网域使用相关资源，并可提供记账(accounting)机制，保存使用者的网络访问记录。在本申请实施例中，终端可以为ip电话、智能视频终端或办公电脑等网络设备，其中ip电话如华为espace7910/7950/8950等，智能视频终端如思科c60/ex90或telepresence3210，办公电脑支持的系统不限于windows、linux或macos等。本申请实施例中的认证服务器支持认证的终端设备数量不低于10000台，吞吐能力不低于500000pps(每秒接收的认证包数量，packetspersecond)，并且，提供7×24服务，具备应急保障使其的弹性扩容能力。如图3所示，该方法包括步骤301至步骤304。步骤301、接收交换机发送的radius协议认证请求，radius协议认证请求中携带终端的第一入网信息，第一入网信息包括所要接入办公网络的终端的用户名、密码和mac地址，以及交换的交换机地址和终端连接交换机的接入端口名称。其中，用户名、密码和mac地址由终端向交换机发送。在一种可能的情况中，终端支持用户名与密码登录，则终端向交换机发送用户名、密码和mac地址，获取到上述信息的交换机将上述信息以及交换机地址和接入端口名称打包为认证服务器接收的格式的radius协议认证请求，之后向认证服务器发送该radius协议认证请求。在另一种可能的情况中，终端可能不支持用户名与密码登录，那么终端向交换机发送mac地址，交换机确认接收到的信息中不包括用户名和密码，则将mac地址分别作为用户名和密码，将作为用户名的mac地址、作为密码的mac地址和mac地址，以及交换机地址和接入端口名称打包为认证服务器接收的格式的radius协议认证请求，之后向认证服务器发送该radius协议认证请求。在本情况中，为了区分用户名、密码和mac地址，将作为用户名和密码的mac地址采用小写的形式，和采用大写形式的mac地址进行区分。认证服务器在接收到radius协议认证请求后，现在的逻辑是读取用户信息的时候先获取用户名，这样如果存在用户名相同的情况，会出现问题，因此本申请实施例中将该逻辑修改为直接获取终端的mac地址，mac地址唯一，这样就不会出现因为取错配置记录导致认证失败。本申请中采用终端先连接办公网络，之后通过第一入网信息进行认证，认证通过之后接入办公网络的机制，为了掌握连接办公网络的终端，加强对于办公网络的管控，在本申请实施例中，利用认证服务器实现终端探测器功能。在接收交换机发送的radius协议认证请求之前，认证服务器检测连接办公网络的终端；对连接办公网络的终端进行测试，得到测试结果，其中，测试方法包括ping模式测试。除ping测试外，还可以利用nmap模式测试或lldp模式测试进行测试。每种测试方法的具体原理如下所示：①、ping模式测试对指定ip地址段进行ping测试，对能ping通的设备进行telnet登录尝试，登录成功则进行设备类型的收集，若设备可登录并可正确找到设备型号，则进行snmp的community测试，记录ping测试结果、telnet登录结果、snmp测试结果以及获取的设备型号，作为测试结果。其具体流程如图4所示。②、nmap模式测试将待扫描的ip地址段，指定扫描端口(可配置，整个主机扫描的配置一个)进行扫描，可支持多个扫描端口同时进行扫描(比如80/8080个扫描端口)，分析设定的一段时间内的端口通信报文记录。如果一个地址有至少一次扫描到，那么该端口即可认为是存活，记录扫描信息，触发之后与ping通触发类似，进行与①中相同的telnet登录、snmp测试来采集获取设备类型。③、lldp模式测试lld模式测试主要用于发现二层设备。链路层发现协议(linklayerdiscoveryprotocol，lldp)是一种数据链路层协议，网络设备可以通过在本地网络中发送lldpdu(linklayerdiscoveryprotocoldataunit)来通告其他设备自身的状态。基于lldp协议，接入网络的一台设备可以将其管理地址，设备标识，接口标识等信息发送给接入同一个局域网络的其它设备。该网络中的任意一台设备从网络中接收到其它设备的这些信息时，会将这些信息存储起来。测试模块登录设备执行命令获得上述信息、并比对现有设备清单之后就可以发现二层接入的设备信息。在上述测试完成之后，根据测试结果将终端划分为可管设备、未管设备和疑似未管设备，对每种终端分别进行记录；其中，可管设备对应的测试结果为通过ping测试、telnet测试、成功获取到设备类型，并且通过snmpcommunity验证测试获取到community响应；未管设备对应的测试结果为通过ping测试以及在未通过talent测试的前提下通过snmp设备类型测试，或者，通过ping测试和telnet测试但未成功获取设备类型，或者，通过ping测试、telnet测试、成功获取设备类型，但未通过snmpcommunity验证测试；疑似未管设备对应的测试结果为未通过ping测试，或者，通过ping测试，在未通过telnet测试的基础上未通过snmp测试，ping测试、telnet测试、获取设备类型和snmpcommunity验证测试为对连接办公网络的终端进行测试时的测试环节。在对每种终端分别进行记录之后，还可以保存可管设备的测试时间以及接入办公网络后的访问记录；例如终端访问的端口信息和告警信息等。对未管设备和疑似未管设备，则定时扫描，并对未管设备和疑似未管设备重复进行上述三种测试；如果未管设备或疑似未管设备的测试结果发生改变，则更新可管设备、未管设备和疑似未管设备名单。例如，一个未管设备通过ping测试、telnet测试、成功获取到设备类型，并且通过snmpcommunity验证测试获取到community响应，则可以将其更新为可管设备。此外，由于未管设备和疑似未管设备存在一定的风险性，为了保证办公网络的安全，还生成针对疑似未管设备的告警信息。并且对未管设备执行临时隔离干预处理，所述临时隔离干预处理包括调用防火墙系统接口、新增防火墙访问控制策略对该未管设备的地址予以临时阻断，以及登录交换机执行配置命令，禁用对应的交换机端口。此外，还可以对接入办公网络的所有终端进行定时扫描，对一段时间内(可定义)ping不通的终端，发出退网审批，审批通过后，将该终端的状态修改为不在线，并记录退网时间。步骤302、查找允许入网的终端白名单中是否存在与mac地址相同的终端的第二入网信息。允许入网的终端白名单中包括终端的用户名、密码和mac地址，以及所述交换的交换机地址和终端连接交换机的接入端口名称等几类信息，上述信息也即第二入网信息。不允许入网的终端黑名单中包括的信息类别与第二入网信息中保存的信息类别相同。认证服务器提供黑白名单的录入、批量导入、修改及查询功能。其中，支持单个用户名+密码+mac地址的认证状态进行修改，点击修改操作时，可修改该条记录除录入时间之外的所有字段，入库校验与新增一致；查询功能可实现根据多种查询条件进行组合查询。黑白名单中存储的信息如下表一所示：表一不论比对结果如何，认证成功或认证失败，认证服务器都进行记账记录，认证服务器提供记账日志查询功能，可根据mac地址进行查询，并且支持将查询结果导出为表格格式的文件。记账日志中主要记录上线时间和下线时间。其中，认证成功的记录上线时间为当前时间，认证失败的不记录上线时间；下线时间，终端下线时，交换机会发下线通知，需要出系统日志(syslog)，如果终端下线时发生告警，则解析告警，告警类型可以定义为终端异常下线，并记录下线时间。此外，根据记账功能提供的记账日志，还可以获得在线终端的详细信息。步骤303、如果不存在，则向交换机发送认证失败通知，以供接收到交换机转发的认证失败通知的终端确认自身被拒绝接入办公网络。认证通过的终端可以在有效期内，通过认证时连接的交换机上的连接端口接入办公网络。终端在接入办公网络之前，与交换机之间的信息交互通过的是临时端口，当终端接入办公网络后，交换机上的该临时端口开辟为正式端口，终端通过该端口与实现与交换机、认证服务器以及办公网络中的其他网络设备的信息交互。本申请实施例中的办公网络系统配置终端接入网关与认证服务器的通信密钥，支持密钥下发、更新操作。密钥配置如下表表二所示：表二步骤304、如果存在，则逐一对比第一入网信息中的终端用户名、密码、交换机地址、接入端口名称与第二入网信息中的相应信息是否相同；如果相同，则向交换机发送认证成功通知，以供接收到交换机转发的认证成功通知的终端接入办公网络；如果不相同，则向交换机发送认证失败通知。在本申请实施例的另一种实现方式中，终端包括模拟测试机，模拟测试机采用主动探测的方式实现，即模拟操作人员发起认证请求，通过解析认证响应结果确认认证服务器的服务可用性。检验可用性的标准为获得认证服务器反馈的认证通知报文。模拟测试机具备模拟登录能力，即由虚拟机器人从模拟测试机发起、模拟操作用户入网认证请求。机器人使用用户名和密码执行登录操作，该认证请求将通过交换机发送至被测试的指定认证服务器、触发认证服务器响应认证请求，如果校验用户名、密码以及入网权限成功，将返回认证成功通知；机器人执行预置操作，例如查看认证服务器的端口状态，认证服务器将校验该用户是否具备查看端口执行权限，如果成功将响应业务报文，如果未授权则响应授权失败提示。模拟测试机的模拟能力主要通过通信报文捕获、解析技术实现，即通过守护监听进程，底层在认证服务器拦截指定端口和协议的通信报文。通过对网络层、协议、主机、网络或端口等条件的筛选与过滤，按照radius协议约定通过编程的方式解析监听进程捕获的pcap文件，解析进程将识别认证请求的网络数据包(request)，正常情况下模拟测试机将受到来自认证服务器认证结果通知(response)。通过逐层解析可以校验认证结果通知的格式、字段等是否符合协议要求；如果未收到认证结果通知则代表服务中断。具体的，认证服务器获取并解析模拟测试机与认证服务器之间交互的通信报文；判断通信报文中是否包括认证成功通知或认证失败通知；如果不包括，则记录模拟测试机未收到认证服务器的响应；如果包括，判断通信报文的格式是否符合报文格式要求以及字段是否有值；如果格式不符合报文格式要求，则记录格式有误；如果字段没有值，则记录字段为空；如果格式符合报文格式要求且字段有值，则判断字段值是否符合字段值要求；如果字段值不符合字段值要求，则记录不符合字段值要求的字段。需要说明的是，报文格式要求及字段值要求等都是radius协议中约定的，而非用户自行制定的。从认证成功通知或认证失败通知中解析得到的字段如下表三所示：表三利用模拟测试机对认证服务器进行测试可以评测认证服务器的可靠性，及时发现认证服务器无响应、反馈的通信报文格式、字段值存在的问题，以便于工作人员及时处理上述问题。除了利用模拟测试机测试之外，还可以直接通过负荷感知功能感知认证服务器的负荷情况。负荷感知功能的工作场景如图5所示。该功能的原理是开启一个守护进程，采用被动式监听的方式持续捕获、解析通信报文，该功能由每个认证服务器单独实现。一般情况下，捕获操作系统网卡报文通常需要超级用户权限。本申请实施例中指定捕获特定的安全认证服务器端口(例如端口号指定为1521)和协议类型(如tcp)。另外，为了减少报文解析计算量，可以通过源地址与目的地址快速获得连接的终端的ip地址，再以获得的ip地址作为报文过滤条件进行定向解析。比如，当终端向认证服务器发送的通信报文中，源地址是终端的ip地址，目的地址是认证服务器的ip地址，而认证服务器向终端发送的通信报文，源地址是认证服务器的ip地址，目的地址是终端的ip地址。通过源地址与目的地址，可以区分通信报文是由认证服务器发往终端，还是由终端发往服务器，同时还能识别该通信报文是从哪个ip地址发出的。通过监听、解析通信报文，可以过滤掉其他服务、协议的网络流量，获得规整后的请求-响应话单，话单格式如下表四所示：表四认证服务器报文类型源地址源端口目的地址tcp状态刷新时间根据上表三的话单记录可以分析获得每一台认证服务器的在线终端清单。例如根据当前监听器的系统地址与请求-响应原始话单中的源地址对比，如果一致则可以判断属于返回认证报文、该报文的目的地址就是终端。在线设备清单格式如下表五所示：表五认证服务器在线设备编码主备状态tcp状态最后登录用户刷新时间通过上述负荷感知功能，可以更加清晰的了解终端与认证服务器的通信状态，从而可以增强对于终端及办公网络自身的管控。在本申请实施例中，模拟测试功能与负荷感知功能可以组合为态势感知功能，其部署方式如图6所示。考虑到认证服务器出现故障后将影响终端正常接入办公网络，在本申请实施例的另一种实现方式中，将及时对认证服务器进行故障检测，以达到在故障发生之后3s之内感知，10s之内完成告警数据推送。具体的，认证服务器获取自身的运行参数，运行参数包括接收的radius协议认证请求的数量、单次认证请求处理时间、反馈认证成功通知或认证失败通知的时间、预设认证路径及实际认证路径，以及操作日志记录；根据运行参数检测认证服务器是否发生故障。故障模型包括拥塞故障、时延故障、中断故障、负载均衡故障、主备倒换故障和合规审计故障等。下面将对上述几种故障类型进行详细介绍。①、拥塞故障拥塞故障是指：单台认证机实际的认证请求连接数大于额定阈值。拥塞故障的检测：基于负荷采集方式可以获得认证设备数，可知：单机最大服务容量＝(100％-系统冗余容量系数)/单个连接cpu消耗系数例如：dmax＝(100％-20％)/0.2％＝400个，检测标准为：当前在线连接数大于400个即为拥塞故障，将触发的修复动作：重启认证服务进程。②、时延故障时延故障是指：单次认证请求处理时间超过额定阈值qt(单位：毫秒)。时延故障的检测：基于认证测试器大批量测试的方式，可以计算每个批次的认证总时延。认证测试平均时延(按批次)＝(测试结束时间-测试开始时间)/测试设备数(单位：毫秒)。如果单个批次平均时延大于额定阈值(通常为30毫秒)，即为时延故障。③、中断故障中断故障是指：认证服务超过额定时间阈值(单位：毫秒，通常为3000毫秒)无通知报文(包括认证成功通知和认证失败通知)响应。中断故障检测：基于负荷采集方式可以获得各类交互类型的次数，可以计算一段时间内的服务响应速率。即平均响应速率＝(认证测试次数×授权测试次数×记账测试次数)/监测间隔时长×100％监测间隔可以根据网络管理实际情况指定，如果多个批次的平均响应速率等于0，可以判断为服务中断。中断故障可以触发进程重启事件、同时发送告警通知。④、负载均衡故障负载均衡故障是指：当前本机负载比例超过额定负载比例。负载均衡故障检测：在集群化认证模式中，认证机之间通常采用负载均衡算法分摊认证请求。负载比例＝(本机认证设备数/全网认证设备总数)×100％检测标准：本机负载比例-额定分摊比例，结果大于0则异常，自动触发负载均衡策略检查及重置动作。⑤、主备倒换故障主备倒换故障是指：网络设备d的认证路径从认证服务器t1漂移到认证服务器t2。主备倒换故障检测：基于负荷采集和配置采集，比对历史通道记录的方式，可以主动发现主备认证服务指向切换事件，即主服务为认证机a的某台网络设备，目前实际已经通过备用认证机获得授权认证。由于主备倒换事件通常源于服务状态故障，干预手段以通知运维人员关注为主。⑥、合规审计故障合规审计故障：网络设时备d可以完成认证、授权流程，但是操作日志未正常配置、发送到认证服务器。审计合规故障检测：审计检查器将离线检索审计日志库，校验是否所有在线设备都正常记录操作日志。由于审计合规故障通常源于网络设备配置错误，干预手段以通知运维人员关注为主，并于数据报告模块提供审计报表。如果发生上述任意一种故障，则进行告警。具体的，可以采用邮件通知、短信通知、微信通知和第三方告警系统推送等方式通知负责人员办公网络出现故障。为了使工作人员对办公网络的状态及办公网络中终端的状态有更加直观的认知，在本申请实施例中，还可以显示接入办公网络的终端的状态、模拟测试机与认证服务器之间的通信报文解析结果、故障检测结果，以及可管设备、未管设备和疑似未管设备名单。其中，显示方式包括3d大屏视图、可视化报报表和常规数据报表。下面将对上述三种显示方式进行介绍。①、3d大屏显示本申请实施例中的的3d图形建模能力主要通过开放图形库(opengraphicslibrary，opengl)或web图形库(webgraphicslibrary，webgl)来实现。opengl是用于渲染2d、3d矢量图形的跨语言、跨平台的应用程序编程接口。webgl是一种javascriptapi，用于在不使用插件的情况下在任何兼容的网页浏览器中呈现交互式2d和3d图形。webgl完全集成到浏览器的所有网页标准中，使用html5canvas并允许利用文档对象模型接口。示例性的，该显示方式的效果如图7所示。从图7中可以看出，该显示方式划分了三个层次，即区域视图、楼面视图和房间视图。其中，区域视图可以从整体上查看各个办公区的办公网络状态；楼面视图则可以具体查看某个办公区的不同栋楼的办公网络状态；房间视图则更进一步可以查看某个区域某一栋楼的某个房间的办公网络状态。②、可视化数据报表可视化报告主要是图形化分析报表，面向高层用户、管理视角。支持的可视化报告类型：a)服务路径树图服务路径树可分为网络路径树图和用户路径树图。网络路径树图如图8(a)所示，用户路径树图如图8(b)所示。需要说明的是，图8(a)和图8(b)中的认证机即为认证服务器。b)服务负荷矩阵图示例性的，服务负荷矩阵图如图9所示。需要说明的是，服务路径树图与服务负荷矩阵图的绘制方法皆为现有技术，对于具体如何绘制两图，在此不再赘述。③、常规数据报告常规报告主要是运行数据报表，面向一般用户、运维视角。支持的统计数据报表类型：在线设备报表：日期、认证服务器、设备名称、管理地址、最后活跃时间、刷新时间负载均衡评估报表：日期、认证服务器、在线设备数、认证成功数、认证失败数、审计合规率、负载比例。责任审计风险报表：日期、发生时间、认证服务器、设备名称、管理地址、认证状态、授权状态、操作用户、部门、用户角色、账号到期时间。告警详单报表：事件id、日期、告警名称、告警详细、告警类型、首次发生时间、最后发生时间、告警级别、是否自动清楚、通知人。本申请实施例中，认证服务器支持存储所有故障检测及审计记录，保存周期不得少于六个月。由于终端认证失败影响系统可靠运行、安全认证失效还将大幅提高遭受网络入侵风险的概率，特别是大型企业集团运行故障涉及国家基础设施安全，根据相关法规要求、网络管理控制系统必须记录故障发生时的原始数字证据：包括设备日志、操作日志、故障期的网络报文镜像。此外，本申请中，认证服务器支持实时数据与非实时数据存储，支持关系型数据与非结构化数据存储。下面将对采用不同存储类型存储的数据进行简要介绍。1)实体关系模型网络设备表：设备编码、设备名称、管理地址、设备型号、snmp团体名、登录账号、登录口令。认证路径表：路径编码、设备编码、认证服务器编码、主备状态、可用性、最后刷新时间。告警信息表：设备编码、路径编码、故障类型、故障等级、详细信息。2)实时数据存储关系型数据库：如mysql。本方案的用途是存储测试任务状态、路径通道连接关系等。内存数据库：如redis。本方案的用途是缓冲性能指标数据采集入库压力，提高系统稳定性。消息队列：如rocketmq。本方案的用途是存储测试任务调度指令、感知任务调度指令等。3)文件数据存储文件数据库：如hadoop，主要用于存储实时检测过程中存储pcap数据包文件。图形数据库：3d图形建模数据。本申请实施例中，交换机将终端的用户名、密码和mac地址，以及交换机地址和接入端口名称等第一入网信息发送至认证服务器，认证服务器查找允许入网的终端白名单中是否存在与mac地址相同的终端的第二入网信息，之后根据第一入网信息与第二入网信息的比对结果，确定是否允许终端接入网络，允许则向终端发送认证成功通知，不允许则向终端发送认证失败通知，终端根据认证成功通知接入办公网络，接收到认证失败通知的终端则无法接入办公网络。每一台接入办公网络的终端都先经过认证服务器的认证，认证服务器通过这种方式，实现了对于接入办公网络的终端的统一、集中管控，确保接入办公网络终端的身份合法性，保障了办公网络中的信息安全，降低了信息泄露风险。本申请实施例还提供了一种认证服务器，该认证服务器设置于办公网络中。如图10所示，该认证服务器包括通信模块1001和查找模块1002和比对模块1003。通信模块1001，用于接收交换机发送的radius协议认证请求，所述radius协议认证请求中携带终端的第一入网信息，所述第一入网信息包括所要接入办公网络的终端的用户名、密码和mac地址，以及所述交换的交换机地址和终端连接交换机的接入端口名称，所述用户名、密码和mac地址由终端向交换机发送。查找模块1002，用于查找允许入网的终端白名单中是否存在与所述通信模块1001接收的所述mac地址相同的终端的第二入网信息。所述通信模块1001，还用于当所述查找模块1002确认不存在时，则向交换机发送认证失败通知，以供接收到交换机转发的认证失败通知的终端确认自身被拒绝接入办公网络。比对模块1003，用于所述查找模块1002确认存在时，逐一对比第一入网信息中的终端用户名、密码、交换机地址、接入端口名称与第二入网信息中的相应信息是否相同。通信模块1001，还用于当相同时，向交换机发送认证成功通知，以供接收到交换机转发的认证成功通知的终端接入办公网络；当不相同时，向交换机发送认证失败通知。在本申请实施例的一种实现方式中，认证服务器1000还包括：检测模块1004，用于检测连接办公网络的终端。测试模块1005，用于对检测模块1004检测到的连接办公网络的终端进行测试，得到测试结果，其中，测试方法包括ping模式测试。鉴别模块1006，用于根据测试模块1005得到的测试结果将终端划分为可管设备、未管设备和疑似未管设备，对每种终端分别进行记录；其中，可管设备对应的测试结果为通过ping测试、telnet测试、成功获取到设备类型，并且通过snmpcommunity验证测试获取到community响应；所述未管设备对应的测试结果为通过ping测试以及在未通过talent测试的前提下通过snmp设备类型测试，或者，通过ping测试和telnet测试但未成功获取设备类型，或者，通过ping测试、telnet测试、成功获取设备类型，但未通过snmpcommunity验证测试；所述疑似未管设备对应的测试结果为未通过ping测试，或者，通过ping测试，在未通过telnet测试的基础上未通过snmp测试，所述ping测试、telnet测试、获取设备类型和snmpcommunity验证测试为对连接办公网络的终端进行测试时的测试环节。在本申请实施例的一种实现方式中，认证服务器1000还包括：存储模块1007，用于保存鉴别模块1006划分的可管设备的测试时间以及接入办公网络后的访问记录。测试模块1005，还用于定时扫描未管设备和疑似未管设备，对未管设备和疑似未管设备重复进行测试。鉴别模块1006，还用于当未管设备或疑似未管设备的测试结果发生改变，更新可管设备、未管设备和疑似未管设备名单。告警模块1008，用于生成针对鉴别模块1006确认的疑似未管设备的告警信息。干预处理模块1009，用于对鉴别模块1006确认的未管设备执行临时隔离干预处理，所述临时隔离干预处理包括调用防火墙系统接口、新增防火墙访问控制策略对该未管设备的地址予以临时阻断，以及登录交换机执行配置命令，禁用对应的交换机端口。在本申请实施例的一种实现方式中，终端包括模拟测试机，认证服务器1000还包括：获取模块1010，用于获取并解析模拟测试机与认证服务器之间交互的通信报文。判断模块1011，用于判断获取模块1010获取的通信报文中是否包括认证成功通知或认证失败通知。判断模块1011，还用于当不包括时，记录模拟测试机未收到认证服务器的响应。判断模块1011，还用于当包括时，判断通信报文的格式是否符合报文格式要求以及字段是否有值。判断模块1011，还用于当格式不符合报文格式要求时，记录格式有误；当字段没有值时，记录字段为空。判断模块1011，还用于当格式符合报文格式要求且字段有值时，判断字段值是否符合字段值要求；判断模块1011，还用于当字段值不符合字段值要求时，记录不符合字段值要求的字段。在本申请实施例的一种实现方式中，认证服务器1000还包括故障诊断模块1012，用于：获取认证服务器的运行参数，运行参数包括接收的radius协议认证请求的数量、单次认证请求处理时间、反馈认证成功通知或认证失败通知的时间、预设认证路径及实际认证路径，以及操作日志记录；根据运行参数检测认证服务器是否发生故障；如果发生故障，则进行告警。在本申请实施例的一种实现方式中，认证服务器1000还包括：显示模块1013，用于显示接入办公网络的终端的状态、模拟测试机与认证服务器之间的通信报文解析结果、故障检测结果，以及可管设备、未管设备和疑似未管设备名单。本申请实施例中，交换机将终端的用户名、密码和mac地址，以及交换机地址和接入端口名称等第一入网信息发送至认证服务器，认证服务器查找允许入网的终端白名单中是否存在与mac地址相同的终端的第二入网信息，之后根据第一入网信息与第二入网信息的比对结果，确定是否允许终端接入网络，允许则向终端发送认证成功通知，不允许则向终端发送认证失败通知，终端根据认证成功通知接入办公网络，接收到认证失败通知的终端则无法接入办公网络。每一台接入办公网络的终端都先经过认证服务器的认证，认证服务器通过这种方式，实现了对于接入办公网络的终端的统一、集中管控，确保接入办公网络终端的身份合法性，保障了办公网络中的信息安全，降低了信息泄露风险。本申请实施例还提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现步骤301至步骤304任一方法。本申请实施例还提供一种计算机可读存储介质，计算机可读存储介质存储有执行步骤301至步骤304任一方法的计算机程序。本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。以上所述的具体实施例，对本申请的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本申请的具体实施例而已，并不用于限定本申请的保护范围，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。当前第1页12