一种接入设备及终端接入控制方法与流程

技术特征：
1.一种接入设备，其特征在于，包括：链路检测模块，用于通过检测接入设备与认证服务器之间的链路，判断认证服务器是否可达，若可达，则触发接入认证模块，否则，触发逃生控制模块；接入认证模块，用于向认证服务器发起认证流程，在终端认证通过后触发嗅探扫描模块；嗅探扫描模块，用于对终端进行嗅探扫描，获取终端的相关信息；指纹数据库模块，用于将认证通过后的终端的相关信息作为对应终端的指纹信息并存储；逃生控制模块，用于在终端获取ip地址后通过嗅探扫描模块获取终端的相关信息，并与指纹数据库中的数据进行匹配，根据匹配结果并结合对应的放行策略对终端接入进行控制。2.如权利要求1所述的接入设备，其特征在于，所述终端的相关信息包括终端基本信息以及终端开放服务和端口信息；所述终端基本信息包括：终端的操作系统、ip地址和mac地址。3.如权利要求2所述的接入设备，其特征在于，所述指纹数据库模块具体用于，对认证通过后的终端的基本信息进行加密作为该终端的一级指纹信息，对认证通过后的终端的开放服务和端口信息进行加密作为该终端的二级指纹信息，存储所述一级指纹信息和二级指纹信息。4.如权利要求3所述的接入设备，其特征在于，所述逃生控制模块具体用于，在终端获取ip地址后通过嗅探扫描模块获取终端的基本信息以及开放服务和端口信息，对基本信息加密后与指纹数据库中的一级指纹信息进行匹配，若匹配成功，则对该终端的开放服务和端口信息进行加密后与指纹数据库中的二级指纹信息进行匹配，若匹配成功，则授权该终端正常访问网络。5.如权利要求4所述的接入设备，其特征在于，所述逃生控制模块还用于，在对终端的基本信息加密后与指纹数据库中的一级指纹信息匹配失败或者未在指纹库中查询到该终端的指纹数据时，拒绝该终端接入网络或者授权该终端接入受限网络；或者，在对终端的开放服务和端口信息进行加密后与指纹数据库中的二级指纹信息匹配失败时，授权该终端接入受限网络。6.一种终端接入控制方法，应用于包括如权利要求1
‑
5任意一项所述的接入设备和认证服务器的系统；其特征在于，该方法包括以下步骤：a.当终端通过接入设备请求接入网络时，接入设备判断认证服务器是否可达，若是，则进入步骤b，否则，进入步骤c；b.接入设备向认证服务器发起认证流程，终端进行正常的接入认证，认证通过后，接入设备对所述终端进行嗅探扫描，获取所述终端的相关信息作为该终端的指纹信息并存储；c.在终端获取ip地址后，接入设备对所述终端进行嗅探扫描，获取所述终端的相关信息并与本地指纹数据库中的数据进行匹配，根据匹配结果并结合对应的放行策略对终端接入进行控制。7.如权利要求6所述的终端接入控制方法，其特征在于，步骤b中，所述获取终端的相关信息作为该终端的指纹信息并存储具体包括：获取终端的基本信息以及开放服务和端口信
息；所述终端基本信息包括：终端的操作系统和mac地址；对基本信息进行加密作为该终端的一级指纹信息，对开放服务和端口信息进行加密作为该终端的二级指纹信息，存储所述一级指纹信息和二级指纹信息。8.如权利要求6所述的终端接入控制方法，其特征在于，步骤c中，在终端获取ip地址后，接入设备对所述终端进行嗅探扫描前，还执行以下操作：接入设备通过该终端的arp报文、dhcp报文获取到该终端ip地址，然后在设备上启用一个与该ip地址同网段的三层接口地址，同时针对终端ip地址下发host类型acl，从而限制终端仅能与所述三层接口ip地址通信。9.如权利要求6所述的终端接入控制方法，其特征在于，步骤c中，所述获取终端的相关信息并与本地指纹数据库中的数据进行匹配，根据匹配结果并结合对应的放行策略对终端接入进行控制，具体包括：获取终端的基本信息以及开放服务和端口信息，对基本信息加密后与指纹数据库中的一级指纹信息进行匹配，若匹配成功，则对该终端的开放服务和端口信息进行加密后与指纹数据库中的二级指纹信息进行匹配，若匹配成功，则授权该终端正常访问网络。10.如权利要求9所述的终端接入控制方法，其特征在于，步骤c中，所述获取终端的相关信息并与本地指纹数据库中的数据进行匹配，根据匹配结果并结合对应的放行策略对终端接入进行控制，还包括：在对终端的基本信息加密后与指纹数据库中的一级指纹信息匹配失败或者未在指纹库中查询到该终端的指纹数据时，拒绝该终端接入网络或者授权该终端接入受限网络；或者，在对终端的开放服务和端口信息进行加密后与指纹数据库中的二级指纹信息匹配失败时，授权该终端接入受限网络。

技术总结
本发明涉及数据通信领域的安全接入控制技术，其公开了一种接入设备及终端接入控制方法，解决现有技术在启动逃生模式后对所有新接入终端直接放行存在的具有较大安全风险，或者控制所有新接入终端接入受限网络而影响正常业务开展的问题。本发明中，接入设备在终端认证通过后对合法终端的相关信息进行扫描，并加密作为指纹信息存储在本地，当接入设备与认证服务器之间网络连接异常导致认证服务器不可达时，接入设备进入逃生模式，该模式下接入设备会在终端获取到IP地址后进行扫描操作，并将扫描到的信息加密后与指纹库中的数据进行对比，并根据比对结果以及对应的放行策略，对该终端的网络接入进行控制。终端的网络接入进行控制。终端的网络接入进行控制。


技术研发人员：徐斌
受保护的技术使用者：迈普通信技术股份有限公司
技术研发日：2021.07.27
技术公布日：2021/10/29