CN101582891B - 一种广域网终端接入控制认证方法、***和终端 - Google Patents
一种广域网终端接入控制认证方法、***和终端 Download PDFInfo
- Publication number
- CN101582891B CN101582891B CN2009100873755A CN200910087375A CN101582891B CN 101582891 B CN101582891 B CN 101582891B CN 2009100873755 A CN2009100873755 A CN 2009100873755A CN 200910087375 A CN200910087375 A CN 200910087375A CN 101582891 B CN101582891 B CN 101582891B
- Authority
- CN
- China
- Prior art keywords
- terminal
- ead
- imc
- address
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种广域网终端接入控制EAD认证方法,包括:通过EAD安全检查确定终端需要下载指定修复文件后,iMC安全认证服务器向终端下发P2P用户信息表;所述P2P用户信息表包含已经下载了所述指定修复文件的终端所对应的用户名;然后终端向本分支机构网络的EAD控制网关查询所述P2P用户信息表中的属于本分支机构网络的用户名所对应的终端IP地址,并接收EAD控制网关返回的本地IP地址表;终端根据该本地IP地址表与相应的终端建立连接,下载指定修复文件,进行自我修复并重新进行EAD认证。本发明还公开了一种广域网EAD认证***和终端。本发明的技术方案能够节省广域网带宽,并提高下载速度。
Description
技术领域
本发明涉及网络认证技术领域,尤指一种广域网终端接入控制认证方法、***和终端。
背景技术
终端接入控制(EAD,Endpoint Access Domination)技术是一种用于检测接入网络的终端是否安全的网络准入方案,主要解决终端接入网络时的“身份认证”和“安全检查”问题。
EAD方案使用网络设备作为终端准入的EAD控制网关,使用扩展的Portal协议进行EAD认证和安全检查。其中,安全检查包括但不限于检查终端的防病毒软件的状态、版本,检查终端运行的软件,以及检查终端的操作***补丁是否符合要求。在安全检查阶段对不符合企业安全策略的终端进行强制修复,例如,强制升级病毒库、***补丁等等。EAD方案可以部署为隔离模式、提醒模式或者下线模式,一般部署为“提醒+下线时间阀值”的模式,即身份认证通过后智能管理中心(iMC,intelligent Management Center)服务器发现终端不符合安全策略要求,则给予终端一定时间进行自我修复,超过这段时间终端仍然没有自我修复就强制下线。iMC服务器是可以管理网络拓扑、实现告警,同时以组件化的方式实现身份认证和EAD安全认证等功能的网络设备。
根据企业网络规模和组网的不同,EAD控制网关可以部署在企业网络的因特网(Internet)出口或者分支机构网络对应总部的入口处,分别实现局域网范围的网络准入控制和广域网范围的网络准入控制。
图1是现有技术中的局域网范围的网络准入控制组网示意图。如图1所 示,EAD控制网关部署在企业局域网的因特网出口处,对于要访问因特网的终端进行安全检查,不符合安全策略的终端会被重定向到本地的修复文件服务器。修复文件服务器上的修复文件包括但不限于***补丁和病毒库文件等。终端从安全策略服务器上下载相应的***补丁和病毒库文件等进行自我修复,修复完成后再进行认证,符合要求可以正常使用网络。在上述的自我修复过程中,所有的流量,如补丁、病毒库文件下载等,都发生在局域网范围内。局域网带宽往往较高,因此没有带宽瓶颈的问题。
集团或大企业的网络规模巨大,往往跨地域部署,网络分为总部网络和数量众多的分支机构网络,总部网络和分支机构网络通过租用运营商的广域网线路实现互联。
图2是现有技术中的广域网范围的网络准入控制组网示意图。如图2所示,iMC安全认证服务器和修复文件服务器部署在总部网络中以便于管理,EAD控制网关部署在分支机构网络的出口处,这样分支机构网络中的终端欲访问总部网络的资源时,首先经过本地分支机构网络中的EAD控制网关,由该EAD控制网关将该终端的身份信息和终端的合规性信息上传到总部,由总部的iMC安全认证服务器对用户的信息进行检查,如果发现病毒库或补丁等不符合安全策略,则要求该终端用户先连接到总部的修复文件服务器下载软件,修复自己,具体流程如图3所示。
图3是现有技术中的广域网EAD认证流程示意图。如图3所示,包括以下步骤:
步骤301,分支机构网络中的终端,在进行认证之前即可访问总部网络中预定义的隔离区。隔离区是指总部网络中的访问不受限的逻辑资源,图2中没有示意出来。
步骤302,当终端访问总部的受限资源时,预先安装在终端上的智能客户端(iNode)发起认证请求。
步骤303,终端在iMC安全认证服务器上认证成功后,通知终端所在分支机构网络中的EAD控制网关,所述终端上线,并下发代理IP和端口,通 知终端进行安全检查。
步骤304,终端通过iNode客户端上传登录信息,请求安全检查。
步骤305,iMC安全认证服务器上的EAD安全策略组件下发终端的安全策略及其他控制信息。
步骤306,终端的iNode客户端软件与第三方软件或定制插件进行联动,执行安全策略检查及其他功能。
步骤307,终端的iNode客户端软件对该终端进行安全检查,并将安全检查结果上报给iMC安全认证服务器。
步骤308’,iMC安全认证服务器上的EAD安全策略组件将终端上报的安全检查结果与预先设置好的安全策略进行对比,如果终端上报的安全检查结果符合安全策略的要求,则向终端所在分支机构网络中的EAD控制网关下发ACL和VLAN信息,使得终端能够正常访问网络,本流程结束。
步骤308,iMC安全认证服务器上的EAD安全策略组件将终端上报的安全检查结果与预先设置好的安全策略进行对比,如果终端上报的安全检查结果不符合安全策略的要求,则向终端的下发对比结果。对比结果中包含终端进行修复所需的修复文件信息,以及这些修复文件信息所在服务器的链接地址。
步骤309,终端根据对比结果实施安全策略的处理策略,从修复文件服务器下载相应的修复文件,进行自我修复。其中,总部网络中将修复文件服务器至于隔离区中,以便分支网络中的各个终端可以直接链接修复文件服务器进行自我修复。
在步骤309中完成自我修复后,重新执行步骤302以及后续步骤,iMC安全认证服务器经过分析,如果认为终端不满足安全要求,且认证过程超过了预定时限。则通知终端上的iNode客户端,iNode客户端主动下线。
通过上述流程可以看出,分支机构网络中的终端需要连接总部网络中隔离区中的修复文件服务器进行自我修复,并在符合预设的安全策略后才能正常上网或访问受限资源。由于操作***和反病毒厂商需要经常发布***补丁 和病毒特征库,因此分支网络中的终端需要经常访问总部网络中的修复文件服务器下载相关的***补丁和病毒特征库等,以修复自己。该过程会对宝贵且有限的广域网带宽造成了极大的负担,甚至正常的业务带宽会被占用,影响企业的正常业务通信。
为了解决上述问题,现有技术中采用了点对点(P2P,Peer to Peer)方式进行修复文件的下载,具体为:在iMC安全认证服务器上保存一个P2P用户信息表,该表中记录了哪些终端下载了哪些修复文件;当分支机构网络中的终端需要下载某个修复文件进行自我修复时,iMC安全认证服务器根据P2P用户信息表将已经下载了该修复文件的终端IP列表发送给需要修复的终端;需要修复的终端根据终端IP列表选择一个对等点(peer)终端下载该修复文件,如果从终端IP列表中的各对等点均下载失败,则通知iMC安全认证服务器从总部的修复文件服务器进行下载。
但是,上述以P2P方式进行修复文件下载的方案,仍存在如下缺点:
一、P2P是应用层协议,其选择对等点的标准是对等点的上行带宽、往返延时等。事实上一个需要进行修复的终端无法判断终端IP列表中的各对等点是否在本分支机构网络中,其根据上行带宽、往返延时等选择对等点的标准可能导致所选择的对等点在较远的网络位置,而忽略了本地的对等点,因此仍然会对广域网带宽造成冲击。
例如,在图2中,终端A-1需要下载***补丁,iMC认证服务器通知终端A-1在终端A-2、B-1和B-2上有该补丁,由于A-1无法根据IP地址判断位置,因此可以会选择B-1或B-2发起连接,而A-2可能因为上行带宽或往返延时等问题被忽略。此时的文件加载会占用广域网带宽。
二、需要进行修复的终端跨广域网下载修复文件,由于广域网链路带宽较小(2M~10M)且不稳定,因此在下载大文件时需要较长的时间,这会造成安全认证超时失败。
发明内容
本发明提供了一种广域网EAD认证方法,该方法能够节省广域网带宽,并提高下载修复文件的速度。
本发明还提供了一种广域网EAD认证***,该***能够节省广域网带宽,并提高下载修复文件的速度。
本发明还提供了一种终端,该终端能够节省广域网带宽,并提高下载修复文件的速度。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明公开了一种广域网EAD认证方法,总部网络中的iMC安全认证服务器上对应记录了各修复文件标识以及下载了相应修复文件的在线终端所对应的用户名,该方法包括:
所述iMC安全认证服务器接收分支机构网络中的终端上报的安全检查结果,并在确定所述安全检查结果与预设的安全策略不符,所述终端需要下载指定修复文件时,向所述终端下发点对点P2P用户信息表;所述P2P用户信息表包含已经下载了所述指定修复文件的在线终端所对应的用户名;
所述终端向本分支机构网络的EAD控制网关查询所述P2P用户信息表中的属于本分支机构网络的用户名所对应的终端IP地址;
所述终端接收所述EAD控制网关返回的本地IP地址表,并根据该本地IP地址表与相应的终端建立连接,下载指定修复文件,进行自我修复并重新进行EAD认证。
本发明公开了一种广域网EAD认证***,该***包括:属于总部网络的iMC安全认证服务器,属于同一分支机构网络的终端和EAD控制网关,所述终端通过EAD控制网关与iMC安全认证服务器通信,iMC安全认证服务器上对应记录了各修复文件标识以及下载了相应修复文件的在线终端所对应的用户名;其中,
所述终端,用于将自身的安全检查结果上报给iMC安全认证服务器, 接收iMC安全认证服务器下发的点对点P2P用户信息表;
所述iMC安全认证服务器,用于在确定终端上报的安全检查结果与预设的安全策略不符,终端需要下载指定修复文件后,向终端下发P2P用户信息表;所述P2P用户信息表包含已经下载了所述指定修复文件的各在线终端所对应的用户名;
所述终端,用于向本分支机构网络的EAD控制网关查询所述P2P用户信息表中的属于本分支机构网络的用户名所对应的终端IP地址;用于接收EAD控制网关返回的本地IP地址表,并根据该本地IP地址表与相应的终端建立连接,下载指定修复文件,进行自我修复并重新进行EAD认证;
所述EAD控制网关,用于根据终端的查询,向终端发送本地IP地址表;所述本地IP地址表包含所述P2P用户信息表中的属于本分支机构网络的用户名所对应的终端IP地址。
本发明还公开了种终端,该终端属于分支机构网络,该终端包括:EAD认证模块、查询模块和下载模块,其中,
EAD认证模块,用于将所述终端的安全检查结果上报给总部网络的iMC安全认证服务器;用于接收iMC安全认证服务器下发的点对点P2P用户信息表,并将所述P2P用户信息表发送给查询模块;
其中,所述P2P用户信息表是iMC安全认证服务器在确定所述安全检查结果与预设的安全策略不符,所述终端需要下载指定修复文件后下发的,且所述P2P用户信息表包含已经下载了所述指定修复文件的各在线终端所对应的用户名;
所述查询模块,用于向本分支机构网络的EAD控制网关查询所述P2P用户信息表中的属于本分支机构网络的用户名所对应的终端IP地址,接收所述EAD控制网关返回的本地IP地址表,并将本地IP地址列表发送给下载模块;
所述下载模块,用于根据本地IP地址表与相应的终端建立连接,下载指定修复文件,对所述终端进行修复后,通知所述EAD认证模块重新进行EAD认证。
由上述技术方案可见,本发明这种通过EAD安全检查确定终端需要下载指定修复文件后,iMC安全认证服务器向终端下发P2P用户信息表;所述P2P用户信息表包含已经下载了所述指定修复文件的终端所对应的用户名;然后终端向本分支机构网络的EAD控制网关查询所述P2P用户信息表中的属于本分支机构网络的用户名所对应的终端IP地址,并接收EAD控制网关返回的本地IP地址表,根据该本地IP地址表与相应的终端建立连接,下载指定修复文件,进行自我修复并重新进行EAD认证的技术方案,使得任何一个修复文件在分支机构网络和总部网络之间的链路上只传输一次,因此大大节省的广域网带宽,并且修复文件的下载在本分支网络中进行,大大提高了下载速度。
附图说明
图1是现有技术中的局域网范围的网络准入控制组网示意图;
图2是现有技术中的广域网范围的网络准入控制组网示意图;
图3是现有技术中的广域网EAD认证流程示意图;
图4是本发明实施例一种广域网EAD认证方法的流程图;
图5是本发明实施例中的广域网EAD认证的流程图;
图6是本发明实施例一种广域网EAD认证***的组成结构框图;
图7是本发明实施例一种终端的组成结构框图。
具体实施方式
图4是本发明实施例一种广域网EAD认证方法的流程图。该方法应用于总部网络中的iMC安全认证服务器对分支机构网络中的终端进行EAD安全检查的过程中,并且iMC安全认证服务器上对应记录了各修复文件标识以及下载了相应修复文件的终端所对应的用户名,如图4所示,该方法包括:
步骤401,iMC安全认证服务器接收分支机构网络中的终端上报的安全 检查结果,并在确定所述安全检查结果与预设的安全策略不符,所述终端需要下载指定修复文件时,向所述终端下发点对点P2P用户信息表;所述P2P用户信息表包含已经下载了所述指定修复文件的终端所对应的用户名。
步骤402,所述终端向本分支机构网络的EAD控制网关查询所述P2P用户信息表中的属于本分支机构网络的用户名所对应的终端IP地址。
本步骤中,由于EAD控制网关负责记录本分支机构网络中的每一个认证用户的详细信息,包括用户名和IP地址,因此EAD控制网关能够识别P2P用户信息表中的属于本分支机构网络的用户名,以及这些用户名所对应的终端IP地址,并返回相应的本地IP地址表。
步骤403,所述终端接收所述EAD控制网关返回的本地IP地址表,并根据该本地IP地址表与相应的终端建立连接,下载指定修复文件,进行自我修复并重新进行EAD认证。
本步骤中,如果本地IP地址表中包含多个本地终端的IP地址,则所述终端可以根据现有的P2P技术中的Peer选择原则,从中选择一个或多个终端建立连接,下载指定修复文件。
在图4所示的方案中,由于将下载修复文件的P2P流量限制在分支机构网络内部,从而极大降低了广域网链路上的带宽占用,并且增大了修复文件的下载速度。
从图4所述的流程可以看出,iMC安全认证服务器上对应记录了各修复文件标识以及下载了相应修复文件的终端所对应的用户名,即iMC安全认证服务器上需要维护对应于各个修复文件的P2P用户信息表。这部分内容虽然与现有技术相同,但为了使本发明的技术方案更加清楚明白,这里参照图2进行简要说明,分为两个阶段情况:
第一种阶段:参见图2,企业部署了新的修复文件A,即修复文件服务器上部署了新的修复文件A,此时还没有任何终端下载并安装该修复文件A。终端A-2是一个没有按照企业要求安装修复文件A的终端。当终端A-2欲接入网络时,向iMC安全认证服务器发起EAD身份认证和EAD安全检查。在EAD 身份认证通过后,进行EAD安全检查,终端A-2对自身进行安全检查,并将安全检查结果上报给iMC安全认证服务器;iMC安全认证服务器将上报的安全检查结果与配置的安全策略相比较,发现终端A-2没有安装修复文件A;iMC安全认证服务器检查与修复文件A对应的P2P用户信息表项哪些用户下载了该文件,由于终端A-2是第一个申请下载修复文件A的终端,因此与全策略文件A对应的P2P用户信息表项中还没有记录相应的用户名,则iMC安全策略服务器将终端A-2重定向到总部的修复文件服务器,以便终端A-2下载并修复自己,同时将终端A-2的用户名记录到修复文件A对应的P2P用户信息表项中,以指明终端A-2已经下载了修复文件A。
P2P用户信息表的一个示例如表1所示:
表1
如表1所示,P2P用户信息表中还可以包含用户在线状态一项,以表示下载了指定文件的终端当前是否在线。iMC安全认证服务器可以根据现有方案确定一个终端是否在线,例如可以根据认证过程确认一个终端是否在线。
第二阶段:参见图2,终端A-1未安装修复文件A,但此时,终端A-2、B-1和B-2已安装了修复文件A。当终端A-1欲接入网络时,向iMC安全认证服务器发起EAD身份认证和EAD安全检查。在EAD身份认证通过后,进行EAD安全检查,终端A-1对自身进行安全检查,并将安全检查结果上报给iMC安全认证服务器;iMC安全认证服务器将上报的安全检查结果与配置的安全策略相比较,发现终端A-1没有安装安全策略中要求的修复文件A;iMC安全认证服务器检查与修复文件A对应的P2P用户信息表项哪些用户下载了该文件,发现终端A-2、B-1和B-2已安装了修复文件A且当前在线,但iMC安全认证服务器不知道这些终端的物理位置,因此将包含这些 终端所对应的用户名的P2P用户信息表项打包发送给终端A-1。如果终端A-1下载修复文件成功,则向iMC安全认证服务器发送一个确认消息,iMC安全认证服务器就会将终端A-1的IP地址也记录到与修复文件A对用的P2P用户信息表项中。即终端在成功下载修复文件后,向iMC安全认证服务器发送确认消息,则iMC安全认证服务器对应记录发送所述确认消息的终端的用户名以及该终端所下载的修复文件标识。或者,在本发明的其他实施例中,iMC安全认证服务器在终端通过EAD认证时,一一对应记录安全策略要求终端安装的所有修复文件的标识以及该通过EAD认证的终端的用户名。这是因此,如果一个终端通过的EAD认证,那么该终端一定是完全下载并安装了EAD安全策略所要求的所有修复文件,不然是不能通过EAD认证的。
通过上述两个阶段说明了iMC安全认证服务器维护P2P用户信息表的过程。根据本发明的方案,在上述第二阶段,终端A-1接收到iMC安全认证服务器打包发送的P2P用户信息表后,向自身所在分支机构网络A的EAD控制网关A查询所述P2P用户信息表中的哪些用户名所对应的终端在本地分支机构网络中。由于EAD控制网关A负责记录分支机构网络A中的每一个认证用户的详细信息,包括用户名和IP地址,因此EAD控制网关A能够根据IP地址区分哪些终端属于分支机构网络A,将P2P用户信息表中的属于分支机构网络A的终端A-2的IP地址以本地IP地址表的形式发送给终端A-1。于是终端A-1可以根据该本地IP地址表与相应的终端A-2建立连接,下载指定修复文件。这样可以避免终端A-1从远处的终端B-1和B-2下载文件,增加广域网带宽的负担。如果P2P用户信息表中用户名所对应的终端均不在本地,则EAD控制网关将预先配置好的总部修复文件服务器的IP地址发送给终端A-1,终端A-1直接从修复文件服务器下载修复文件A。这样可以保证分支机构网络A与总部网络之间的链路上只有一份修复文件A传送。
为使本发明的技术方案更加清楚、明白,以下以图2中的终端A-3为例给出按照本发明的方案时实现的完整的EAD认证流程。
图5是本发明实施例中的广域网EAD认证的流程图。如图5所示,包括以下步骤:
步骤501,分支机构网络A中的终端A-3,在进行认证之前即可访问总部网络中预定义的隔离区。
步骤502,当终端A-3访问总部的受限资源时,预先安装在终端A-3上的智能客户端(iNode)发起认证请求。
步骤503,终端A-3在iMC安全认证服务器上认证成功后,iMC安全认证服务器通知终端A-3所在分支机构网络A中的EAD控制网关A,终端A-3上线,并下发代理IP和端口,通知终端A-3进行安全检查。
步骤504,终端A-3通过自身的iNode客户端上传登录信息,请求安全检查。
步骤505,iMC安全认证服务器上的EAD安全策略组件下发终端A-3的安全策略及其他控制信息。
步骤506,终端A-3的iNode客户端软件与第三方软件或定制插件进行联动,执行安全策略检查及其他功能。
步骤507,终端A-3的iNode客户端软件对终端A-3进行安全检查,并将安全检查结果上报给iMC安全认证服务器。
步骤508’,iMC安全认证服务器上的EAD安全策略组件将终端A-3上报的安全检查结果与预先设置好的安全策略进行对比,如果终端A-3上报的安全检查结果符合安全策略的要求,则向终端A-3所在分支机构网络A中的EAD控制网关A下发ACL和VLAN信息,使得终端A-3能够正常访问网络,本流程结束。
上述步骤501~507、508’与图3中的步骤301~307、308’相同。
步骤508,iMC安全认证服务器上的EAD安全策略组件将终端A-3上报的安全检查结果与预先设置好的安全策略进行对比,如果终端A-3上报的安全检查结果不符合安全策略的要求,需要下载并安装指定的修复文件,则EAD安全策略组件查询与指定修复文件对应的P2P用户信息表,将已经下 载了所述指定修复文件且当前在线的终端所对应的用户名列表发送给终端A-3。
步骤509,终端A-3根据iMC安全认证服务器下发的用户名列表向EAD控制网关A查询其中的哪些用户名所对应的终端属于分支机构网络A。
步骤510,EAD控制网关A将用户名列表中的属于分支机构网络A的各用户名所对应的终端IP地址发送给终端A-3。
步骤511,终端A-3与EAD控制网关返回的IP地址对应的终端建立连接,下载所述指定的修复文件。
步骤510’,如果EAD控制网关A发现用户名列表中的用户名所对应的终端均不属于分支机构网络A,则将预先配置的总部的修复文件服务器的IP地址发送给终端A-3。
步骤511’终端A-3与总部的修复文件服务器建立连接,下载所述指定的修复文件。
终端A-3在步骤511或511’中下载指定修复文件,然后进行安装完成自我修复后,重新执行步骤502以及后续步骤,直至修复成功。
通过上述实施例可以看出,本发明的技术方案保证了任何一个修复文件在一个分支机构网络和总部网络之间的链路上只传输一次,减少了广域网链路由于下载修复文件所占用的带宽,保证了企业正常业务的带宽,并且尽可能的在本分支机构网络中实现文件加载,较大程度上避免了文件下载超时而导致的EAD认证失败的问题。
基于上述实施例,下面给主本发明中的一种广域网EAD认证***和一种终端的组成结构框图。
图6是本发明实施例一种广域网EAD认证***的组成结构框图。如图6所示,该***包括:属于总部网络的iMC安全认证服务器,属于同一分支机构网络的终端和EAD控制网关,所述终端通过EAD控制网关与iMC安全认证服务器通信,iMC安全认证服务器上对应记录了各修复文件标识以及下载了相应修复文件的终端所对应的用户名。
在图6中,终端用于在EAD认证的EAD安全检查过程中对自身进行安全检查,并将自身的安全检查结果上报给iMC安全认证服务器;用于接收iMC安全认证服务器下发的点对点P2P用户信息表;
iMC安全认证服务器,用于对比预设的安全策略和终端上报的安全检查结果,并在确定终端的安全检查结果与预设的安全策略不符,终端需要下载指定修复文件后,向终端下发P2P用户信息表;所述P2P用户信息表包含已经下载了所述指定修复文件的各终端所对应的用户名;
所述终端,用于向本分支机构网络的EAD控制网关查询所述P2P用户信息表中的属于本分支机构网络的用户名所对应的终端IP地址;用于接收EAD控制网关返回的本地IP地址表,并根据该本地IP地址表与相应的终端建立连接,下载指定修复文件,进行自我修复并重新进行EAD认证;
EAD控制网关,用于根据终端的查询,向终端发送本地IP地址表;所述本地IP地址表包含所述P2P用户信息表中的属于本分支机构网络的用户名所对应的终端IP地址。
在图6中,当EAD控制网关发现所述P2P用户信息表中不存在属于本分支机构网络的用户名时,EAD控制网关,用于向终端返回总部网络中的修复文件服务器的IP地址;所述修复文件服务器的IP地址预先设置于所述EAD控制网关中;终端用于与所述修复文件服务器建立连接,下载指定修复文件,进行自我修复并重新进行EAD认证。
在图6中,iMC安全认证服务器向终端下发的P2P用户信息表中包含的是已经下载了所述指定修复文件且当前在线的各个终端所对应的用户名。
在如图6中,所述终端用于在成功下载修复文件后,向iMC安全认证服务器发送确认消息;iMC安全认证服务器,用于对应记录发送所述确认消息的终端的用户名以及该终端所下载的修复文件标识。或者,iMC安全认证服务器,用于在终端通过EAD认证时,一一对应记录安全策略要求终端安装的所有修复文件的标识以及该通过EAD认证的终端的用户名。
图7是本发明实施例一种终端的组成结构框图。该终端属于分支机构网 络,如图7所示,该终端包括:EAD认证模块701、查询模块702和下载模块703。
在图7中,EAD认证模块701,用于将所述终端的安全检查结果上报给总部网络的iMC安全认证服务器;用于接收iMC安全认证服务器下发的点对点P2P用户信息表,并将所述P2P用户信息表发送给查询模块702;
其中,所述P2P用户信息表是iMC安全认证服务器在确定所述安全检查结果与预设的安全策略不符,所述终端需要下载指定修复文件后下发的,且所述P2P用户信息表包含已经下载了所述指定修复文件的各终端的所对应的用户名;
查询模块702,用于向本分支机构网络的EAD控制网关查询所述P2P用户信息表中的属于本分支机构网络的用户名所对应的终端IP地址,接收所述EAD控制网关返回的本地IP地址表,并将本地IP地址列表发送给下载模块703;
下载模块703,用于根据本地IP地址表与相应的终端建立连接,下载指定修复文件,对所述终端进行修复后,通知所述EAD认证模块701重新进行EAD认证。
在图7中,查询模块702,进一步用于接收所述EAD控制网关返回的总部网络中的修复文件服务器的IP地址,并将该IP地址发送给下载模块702;所述修复文件服务器的IP地址是EAD控制网关发现所述P2P用户信息表中不存在属于本分支机构网络的用户名时返回的;下载模块702,用于与所述修复文件服务器建立连接,下载指定修复文件,对所述终端进行修复后,通知所述EAD认证模块701重新进行EAD认证。
综上所述,本发明这种通过EAD安全检查确定终端需要下载指定修复文件后,iMC安全认证服务器向终端下发P2P用户信息表;所述P2P用户信息表包含已经下载了所述指定修复文件的终端所对应的用户名;然后终端向本分支机构网络的EAD控制网关查询所述P2P用户信息表中的属于本分支机构网络的用户名所对应的终端IP地址,并接收EAD控制网关返回的本 地IP地址表,根据该本地IP地址表与相应的终端建立连接,下载指定修复文件,进行自我修复并重新进行EAD认证的技术方案,使得任何一个修复文件在分支机构网络和总部网络之间的链路上只传输一次,因此大大节省的广域网带宽,并且修复文件的下载在本分支网络中进行,大大提高了下载速度。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种广域网终端接入控制EAD认证方法,其特征在于,总部网络中的智能管理中心iMC安全认证服务器上对应记录了各修复文件标识以及下载了相应修复文件的在线终端所对应的用户名,该方法包括:
所述iMC安全认证服务器接收分支机构网络中的终端上报的安全检查结果,并在确定所述安全检查结果与预设的安全策略不符,所述终端需要下载指定修复文件时,向所述终端下发点对点P2P用户信息表;所述P2P用户信息表包含已经下载了所述指定修复文件的在线终端所对应的用户名;
所述终端向本分支机构网络的EAD控制网关查询所述P2P用户信息表中的属于本分支机构网络的用户名所对应的终端IP地址;
所述终端接收所述EAD控制网关返回的本地IP地址表,并根据该本地IP地址表与相应的终端建立连接,下载指定修复文件,进行自我修复并重新进行EAD认证。
2.如权利要求1所述的方法,其特征在于,如果所述EAD控制网关发现所述P2P用户信息表中不存在属于本分支机构网络的用户名时,该方法进一步包括:
所述终端接收所述EAD控制网关返回的总部网络中的修复文件服务器的IP地址;所述修复文件服务器的IP地址预先设置于所述EAD控制网关中;
所述终端与所述修复文件服务器建立连接,下载指定修复文件。
3.如权利要求1或2所述的方法,其特征在于,
所述终端在成功下载修复文件后,向iMC安全认证服务器发送确认消息;iMC安全认证服务器对应记录发送所述确认消息的终端的用户名以及该终端所下载的修复文件标识;
或者,iMC安全认证服务器在终端通过EAD认证时,一一对应记录安全策略要求终端安装的所有修复文件的标识以及该通过EAD认证的终端的 用户名。
4.一种广域网EAD认证***,其特征在于,该***包括:属于总部网络的iMC安全认证服务器,属于同一分支机构网络的终端和EAD控制网关,所述终端通过EAD控制网关与iMC安全认证服务器通信,iMC安全认证服务器上对应记录了各修复文件标识以及下载了相应修复文件的在线终端所对应的用户名;其中,
所述终端,用于将自身的安全检查结果上报给iMC安全认证服务器,接收iMC安全认证服务器下发的点对点P2P用户信息表;
所述iMC安全认证服务器,用于在确定终端上报的安全检查结果与预设的安全策略不符,终端需要下载指定修复文件后,向终端下发P2P用户信息表;所述P2P用户信息表包含已经下载了所述指定修复文件的各在线终端所对应的用户名;
所述终端,用于向本分支机构网络的EAD控制网关查询所述P2P用户信息表中的属于本分支机构网络的用户名所对应的终端IP地址;用于接收EAD控制网关返回的本地IP地址表,并根据该本地IP地址表与相应的终端建立连接,下载指定修复文件,进行自我修复并重新进行EAD认证;
所述EAD控制网关,用于根据终端的查询,向终端发送本地IP地址表;所述本地IP地址表包含所述P2P用户信息表中的属于本分支机构网络的用户名所对应的终端IP地址。
5.如权利要求4所述的***,其特征在于,当所述EAD控制网关发现所述P2P用户信息表中不存在属于本分支机构网络的用户名时,
所述EAD控制网关,用于向终端返回总部网络中的修复文件服务器的IP地址;所述修复文件服务器的IP地址预先设置于所述EAD控制网关中;
所述终端,用于与所述修复文件服务器建立连接,下载指定修复文件,进行自我修复并重新进行EAD认证。
6.如权利要求4或5所述的***,其特征在于,
所述终端用于在成功下载修复文件后,向iMC安全认证服务器发送确 认消息;iMC安全认证服务器,用于对应记录发送所述确认消息的终端的用户名以及该终端所下载的修复文件标识;
或者,iMC安全认证服务器,用于在终端通过EAD认证时,一一对应记录安全策略要求终端安装的所有修复文件的标识以及该通过EAD认证的终端的用户名。
7.一种终端,该终端属于分支机构网络,其特征在于,该终端包括:EAD认证模块、查询模块和下载模块,其中,
EAD认证模块,用于将所述终端的安全检查结果上报给总部网络的iMC安全认证服务器;用于接收iMC安全认证服务器下发的点对点P2P用户信息表,并将所述P2P用户信息表发送给查询模块;
其中,所述P2P用户信息表是iMC安全认证服务器在确定所述安全检查结果与预设的安全策略不符,所述终端需要下载指定修复文件后下发的,且所述P2P用户信息表包含已经下载了所述指定修复文件的各在线终端所对应的用户名;
所述查询模块,用于向本分支机构网络的EAD控制网关查询所述P2P用户信息表中的属于本分支机构网络的用户名所对应的终端IP地址,接收所述EAD控制网关返回的本地IP地址表,并将本地IP地址列表发送给下载模块;
所述下载模块,用于根据本地IP地址表与相应的终端建立连接,下载指定修复文件,对所述终端进行修复后,通知所述EAD认证模块重新进行EAD认证。
8.如权利要求7所述的终端,其特征在于,
所述查询模块,进一步用于接收所述EAD控制网关返回的总部网络中的修复文件服务器的IP地址,并将该IP地址发送给下载模块;所述修复文件服务器的IP地址是EAD控制网关发现所述P2P用户信息表中不存在属于本分支机构网络的用户名时返回的;
所述下载模块,用于与所述修复文件服务器建立连接,下载指定修复文 件,对所述终端进行修复后,通知所述EAD认证模块重新进行EAD认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100873755A CN101582891B (zh) | 2009-06-19 | 2009-06-19 | 一种广域网终端接入控制认证方法、***和终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100873755A CN101582891B (zh) | 2009-06-19 | 2009-06-19 | 一种广域网终端接入控制认证方法、***和终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101582891A CN101582891A (zh) | 2009-11-18 |
| CN101582891B true CN101582891B (zh) | 2012-05-23 |
Family
ID=41364854
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100873755A Expired - Fee Related CN101582891B (zh) | 2009-06-19 | 2009-06-19 | 一种广域网终端接入控制认证方法、***和终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101582891B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101299142B1 (ko) * | 2011-08-05 | 2013-08-26 | (주)네오위즈게임즈 | 근거리 통신망의 외부 트래픽 제어 방법 및 장치 |
| CN102316122B (zh) * | 2011-10-21 | 2014-12-17 | 福建伊时代信息科技股份有限公司 | 基于协同方式的内网安全管理方法 |
| CN103532999B (zh) * | 2012-07-05 | 2019-03-12 | 腾讯科技(深圳)有限公司 | 数据传输方法、移动设备和后台服务*** |
| US10250698B2 (en) * | 2014-08-25 | 2019-04-02 | Futurewei Technologies, Inc. | System and method for securing pre-association service discovery |
| CN108023802B (zh) * | 2016-11-01 | 2020-11-10 | ***通信集团广东有限公司 | 数据传输***及方法 |
| CN108901082B (zh) * | 2018-06-20 | 2020-11-20 | 新华三技术有限公司 | 一种接入方法及装置 |
| CN109254727A (zh) * | 2018-08-20 | 2019-01-22 | 广东九联科技股份有限公司 | 一种嵌入式设备的自我修复方法 |
| CN109167715A (zh) * | 2018-10-08 | 2019-01-08 | 北京爱普安信息技术有限公司 | 一种网络管控方法及*** |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5481611A (en) * | 1993-12-09 | 1996-01-02 | Gte Laboratories Incorporated | Method and apparatus for entity authentication |
| CN1889430A (zh) * | 2006-06-21 | 2007-01-03 | 南京联创网络科技有限公司 | 基于802.1x的终端宽带接入的安全认证控制方法 |
| CN101232509A (zh) * | 2008-02-26 | 2008-07-30 | 杭州华三通信技术有限公司 | 支持隔离模式的网络接入控制方法、***及设备 |
-
2009
- 2009-06-19 CN CN2009100873755A patent/CN101582891B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5481611A (en) * | 1993-12-09 | 1996-01-02 | Gte Laboratories Incorporated | Method and apparatus for entity authentication |
| CN1889430A (zh) * | 2006-06-21 | 2007-01-03 | 南京联创网络科技有限公司 | 基于802.1x的终端宽带接入的安全认证控制方法 |
| CN101232509A (zh) * | 2008-02-26 | 2008-07-30 | 杭州华三通信技术有限公司 | 支持隔离模式的网络接入控制方法、***及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101582891A (zh) | 2009-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101582891B (zh) | 一种广域网终端接入控制认证方法、***和终端 | |
| US11388005B2 (en) | Connected gateway server system for real-time vehicle control service | |
| CN107204873B (zh) | 一种切换目标域名解析服务器的方法及相关设备 | |
| CN106657259B (zh) | 一种用于服务器集群的路由服务器及路由服务方法 | |
| CN102333081B (zh) | 认证方法、设备及*** | |
| EP2408140B1 (en) | Method, control point, apparatus and communication system for configuring access right | |
| CN109474936A (zh) | 应用于多个lora网关之间的物联网通讯方法及*** | |
| EP3491805B1 (en) | System and method for configuration of a connected device connection | |
| CN105472613B (zh) | 认证请求接收方法和***及用户端和ap | |
| CN102916826A (zh) | 网络接入的控制方法及装置 | |
| CN106686592B (zh) | 一种带有认证的网络接入方法及*** | |
| CN113993137B (zh) | 配置数据的监管***、方法、装置、电子设备和介质 | |
| CN108366087B (zh) | 一种基于分布式文件***的iscsi服务实现方法和装置 | |
| CN111158786A (zh) | 一种微服务项目接入方法和平台 | |
| CN112910663B (zh) | 消息广播和终端注册的方法、装置、设备和存储介质 | |
| CN104244242A (zh) | 一种物联网设备的网络号码编配方法和相应的认证方法 | |
| CN102752752A (zh) | 基站维护方法和设备 | |
| JP6470203B2 (ja) | 通信システム及びその設定方法、並びにコンピュータ・プログラム | |
| CN103138961B (zh) | 服务器控制方法、被控服务器及中心控制服务器 | |
| CN109039752B (zh) | 一种基于统一网关的soa架构***的管理方法 | |
| CN111182536A (zh) | Sim卡状态检测方法、装置、网络设备及存储介质 | |
| CN102333070A (zh) | 一种信息的获取方法和设备 | |
| CN110635994B (zh) | 一种基于自适应探测的异构互联***及方法 | |
| CN101924645A (zh) | 一种设备管理方法、装置及*** | |
| US11140001B2 (en) | Method for providing data packets from a CAN bus, control device and system having a CAN bus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120523 Termination date: 20200619 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |