一种接入设备及终端接入控制方法与流程

1.本发明涉及数据通信领域的安全接入控制技术，具体涉及一种接入设备及终端接入控制方法。


背景技术：

2.在现有的终端接入场景中，为达到安全接入和权限控制等目的，通常会使用接入认证功能，即用户在接入时需要进行身份认证(mac认证、802.1x用户名密码认证、证书认证、portal认证等)，一种常见的网络拓扑如图1所示，这类使用场景对认证服务器强依赖，当接入设备与认证服务器之间的网络异常(即认证服务器不可达)时，会使终端无法正常的通过认证接入网络，进而影响到用户的业务开展。
3.为解决此问题，部分商家采用了认证服务器逃生的控制模式，即，当服务器不可达时，启动逃生模式，对所有新接入终端直接放行，或者控制所有新接入终端接入guest
‑
vlan(访客虚拟局域网)网络。此两种控制方式存在以下缺陷：1、若对所有新接入终端无鉴权直接放行，终端可以访问局域网内任意网络资源，存在较大安全风险；2、若控制所有新接入终端接入guest
‑
vlan网络，由于在此网络内可访问资源有限，一定程度上会影响正常业务的开展。


技术实现要素：

4.本发明所要解决的技术问题是：提出一种接入设备及终端接入控制方法，解决现有技术在启动逃生模式后对所有新接入终端直接放行存在的具有较大安全风险，或者控制所有新接入终端接入受限网络而影响正常业务开展的问题。
5.本发明解决上述技术问题采用的技术方案是：
6.一方面，本发明提供了一种接入设备，包括：
7.链路检测模块，用于通过检测接入设备与认证服务器之间的链路，判断认证服务器是否可达，若可达，则触发接入认证模块，否则，触发逃生控制模块；
8.接入认证模块，用于向认证服务器发起认证流程，在终端认证通过后触发嗅探扫描模块；
9.嗅探扫描模块，用于对终端进行嗅探扫描，获取终端的相关信息；
10.指纹数据库模块，用于将认证通过后的终端的相关信息作为对应终端的指纹信息并存储；逃生控制模块，用于在终端获取ip地址后通过嗅探扫描模块获取终端的相关信息，并与指纹数据库中的数据进行匹配，根据匹配结果并结合对应的放行策略对终端接入进行控制。
11.作为进一步优化，所述终端的相关信息包括终端基本信息以及终端开放服务和端口信息；所述终端基本信息包括：终端的操作系统、ip和mac地址。
12.作为进一步优化，所述指纹数据库模块具体用于，对认证通过后的终端的基本信息进行加密作为该终端的一级指纹信息，对认证通过后的终端的开放服务和端口信息进行
加密作为该终端的二级指纹信息，存储所述一级指纹信息和二级指纹信息。
13.作为进一步优化，所述逃生控制模块具体用于，在终端获取ip地址后通过嗅探扫描模块获取终端的基本信息以及开放服务和端口信息，对基本信息加密后与指纹数据库中的一级指纹信息进行匹配，若匹配成功，则对该终端的开放服务和端口信息进行加密后与指纹数据库中的二级指纹信息进行匹配，若匹配成功，则授权该终端正常访问网络。
14.作为进一步优化，所述逃生控制模块还用于，在对终端的基本信息加密后与指纹数据库中的一级指纹信息匹配失败或者未在指纹库中查询到该终端的指纹数据时，拒绝该终端接入网络或者授权该终端接入受限网络；或者，在对终端的开放服务和端口信息进行加密后与指纹数据库中的二级指纹信息匹配失败时，授权该终端接入受限网络。
15.另一方面，本发明还提供了一种终端接入控制方法，应用于包括上述接入设备和认证服务器的系统；该方法包括以下步骤：
16.a.当终端通过接入设备请求接入网络时，接入设备判断认证服务器是否可达，若是，则进入步骤b，否则，进入步骤c；
17.b.接入设备向认证服务器发起认证流程，终端进行正常的接入认证，认证通过后，接入设备对所述终端进行嗅探扫描，获取所述终端的相关信息作为该终端的指纹信息并存储；
18.c.在终端获取ip地址后，接入设备对所述终端进行嗅探扫描，获取所述终端的相关信息并与本地指纹数据库中的数据进行匹配，根据匹配结果并结合对应的放行策略对终端接入进行控制。
19.作为进一步优化，步骤b中，所述获取终端的相关信息作为该终端的指纹信息并存储，具体包括：获取终端的基本信息以及开放服务和端口信息；所述终端基本信息包括：终端的操作系统和mac地址；对基本信息进行加密作为该终端的一级指纹信息，对开放服务和端口信息进行加密作为该终端的二级指纹信息，存储所述一级指纹信息和二级指纹信息。
20.作为进一步优化，步骤c中，在终端获取ip地址后，接入设备对所述终端进行嗅探扫描前，还执行以下操作：接入设备通过该终端的arp报文、dhcp报文获取到该终端ip地址，然后在设备上启用一个与该ip地址同网段的三层接口地址，同时针对终端ip地址下发host类型acl，从而限制终端仅能与所述三层接口ip地址通信。
21.作为进一步优化，步骤c中，所述获取终端的相关信息并与本地指纹数据库中的数据进行匹配，根据匹配结果并结合对应的放行策略对终端接入进行控制，具体包括：
22.获取终端的基本信息以及开放服务和端口信息，对基本信息加密后与指纹数据库中的一级指纹信息进行匹配，若匹配成功，则对该终端的开放服务和端口信息进行加密后与指纹数据库中的二级指纹信息进行匹配，若匹配成功，则授权该终端正常访问网络。
23.作为进一步优化，步骤c中，所述获取终端的相关信息并与本地指纹数据库中的数据进行匹配，根据匹配结果并结合对应的放行策略对终端接入进行控制，还包括：在对终端的基本信息加密后与指纹数据库中的一级指纹信息匹配失败或者未在指纹库中查询到该终端的指纹数据时，拒绝该终端接入网络或者授权该终端接入受限网络；或者，在对终端的开放服务和端口信息进行加密后与指纹数据库中的二级指纹信息匹配失败时，授权该终端接入受限网络。
24.本发明的有益效果是：
25.(1)在认证服务器不可达时，通过扫描接入终端的相关信息并与本地指纹库中的信息进行匹配，从而根据匹配结果结合相应的放行策略对终端的网络接入进行控制，不仅解决了认证服务器不可达时终端的接入问题，也保障了网络的安全性；
26.(2)指纹匹配采用分级校验匹配方式，各级匹配成功与否均配置有对应的控制策略，使得终端接入控制灵活性较高。
附图说明
27.图1为现有技术的一种终端接入场景示意图；
28.图2为本发明实施例中的接入设备结构框图；
29.图3为本发明实施例中的终端接入控制方法流程图。
具体实施方式
30.本发明旨在提出一种接入设备及终端接入控制方法，解决现有技术在启动逃生模式后对所有新接入终端直接放行存在的具有较大安全风险，或者控制所有新接入终端接入受限网络而影响正常业务开展的问题。其核心思想是：接入设备在终端认证通过后对合法终端的相关信息进行扫描，并加密作为指纹信息存储在本地，当接入设备与认证服务器之间网络连接异常导致认证服务器不可达时，接入设备进入逃生模式，该模式下接入设备会在终端获取到ip地址后进行扫描操作，并将扫描到的信息加密后与指纹库中的数据进行对比，并根据比对结果以及对应的放行策略，对该终端的网络接入进行控制。
31.实施例：
32.如图2所示，本实施例中的接入设备结构如图2所示，包括：嗅探扫描模块、指纹数据库模块、链路检测模块、接入认证模块、逃生控制模块；具体的，
33.链路检测模块，用于通过检测接入设备与认证服务器之间的链路，判断认证服务器是否可达，若可达，则触发接入认证模块，否则，触发逃生控制模块；
34.接入认证模块，用于向认证服务器发起认证流程，在终端认证通过后触发嗅探扫描模块；
35.嗅探扫描模块，用于对终端进行嗅探扫描，获取终端的相关信息；
36.指纹数据库模块，用于将认证通过后的终端的相关信息作为对应终端的指纹信息并存储；逃生控制模块，用于在终端获取ip地址后通过嗅探扫描模块获取终端的相关信息，并与指纹数据库中的数据进行匹配，根据匹配结果并结合对应的放行策略对终端接入进行控制。
37.本实施例中的接入设备支持dot1xfreeip(dot1x免认证ip)功能，以便允许用户在完成认证前能获取到ip地址。在接入设备与认证服务器间链路正常时，终端正常的进行接入认证，认证通过后，接入设备对该合法接入终端进行嗅探扫描，获取终端基本信息以及终端开放服务和端口信息，上述信息将作为终端指纹的基础信息，存储至本地指纹数据库中。
38.当接入设备与认证服务器之间因网络链接异常导致认证服务器不可达，接入设备进入逃生模式，该模式下，接入设备会在终端获取到ip地址后进行嗅探扫描，并将扫描到的信息加密后与指纹库中的数据做对比，并根据比对结果以及对应的放行策略，对该终端接入进行控制；这样既能保证认证服务器不可达时，合法终端的接入控制，避免影响正常业务
开展，也保障了网络的安全性。
39.基于上述接入设备，本实施例还提出了一种终端接入控制方法，其流程如图3所示，包括以下实施步骤：
40.1、终端请求接入网络：
41.本步骤中，当终端通过接入设备请求接入网络时，接入设备首先判断当前认证服务器是否可达，若是，则进入步骤2，否则，接入设备进入逃生模式，执行步骤3；
42.2、启动正常认证流程：
43.本步骤中，接入设备向认证服务器发起认证流程，终端进行正常的接入认证，如果认证成功，则授权终端正常访问网络，则该终端可以接入全权限网络；如果认证失败，且达到一定次数(比如3次)时，认证失败，说明此终端并非合法终端，拒绝该终端接入网络。
44.另外，若终端认证通过，则接入设备对该终端进行嗅探扫描，可扫描获取终端基本信息(操作系统、mac、ip、接入端口索引id等)、终端开放服务和端口信息(如ftp:21、telnet:23、rtsp:554、smtp:25等等)。上述信息将被作为终端指纹的重要信息源，使用指定的加密方式加密后存储在接入设备上的终端指纹数据库中。
45.为了提高后续对终端接入控制的灵活性，本实施例中的指纹分为一级指纹和二级指纹，具体而言，可以将终端mac地址+操作系统名称字符串+索引id16进制值(salt)使用md5算法加密后作为一级指纹；将终端开放服务名称+端口信息字符串+终端mac地址使用md5算法加密后作为二级指纹。
46.3、启动逃生控制流程：
47.在接入设备进入逃生模式后，free ip功能(认证前ip地址获取功能)生效，终端可以在认证前获取到ip地址，接入设备侧通过该终端的arp报文、dhcp报文获取到该终端ip地址，然后在设备上启用一个与该ip地址同网段的三层接口地址，同时针对终端ip地址下发host类型acl，从而限制终端仅能与所述三层接口ip地址通讯。便于对该终端执行嗅探扫描同时限制该终端对网络中其他资源的访问。执行扫描时优先进行终端基本信息扫描，再进行终端开放服务和端口信息扫描。
48.一级指纹校验：获取到终端基本信息后，即将对应基本信息使用与步骤2中相同的加密方式进行加密，以得到该终端一级指纹信息，并将该一级指纹信息与本地数据库中的一级指纹信息进行比对，如果二者匹配，则对该终端进行受限放行，使该终端暂时接入受限网络，此时该终端可以访问网络中部分非敏感资源，接着还要进行二级指纹校验。如果一级指纹不匹配，则可以根据实际应用场景的配置策略，拒绝该终端接入网络，或者允许该终端接入受限网络。
49.二级指纹校验：获取到终端开放服务和端口信息后，使用与步骤2中相同的加密方式进行加密，以得到该终端二级指纹，并将该二级指纹信息与本地数据库中的二级指纹信息进行比对，如果二者匹配，便将该终端划入正常网络，此时该终端可访问所有网络资源。如果二级指纹匹配失败，该终端仍然只能接入受限网络。
50.需要说明的是，针对此前从未接入认证过的终端，由于缺少初始指纹，此类终端在进行一级指纹校验过程中，会因为未识别到指纹造成匹配失败，可根据实际使用场景中确认安全策略，如：直接拒绝接入或者允许接入特殊受限网络。
51.另外，为了提高指纹库中的指纹的准确性，可以对指纹库进行动态更新，即，在服
务器可达的情况下，每次终端认证成功后，都会通过嗅探扫描获取该终端的相关信息，并更新其在指纹库中的指纹信息。