CN114629725A - 一种用户域哑终端管理方法、装置、***和存储介质 - Google Patents

一种用户域哑终端管理方法、装置、***和存储介质 Download PDF

Info

Publication number
CN114629725A
CN114629725A CN202210445869.1A CN202210445869A CN114629725A CN 114629725 A CN114629725 A CN 114629725A CN 202210445869 A CN202210445869 A CN 202210445869A CN 114629725 A CN114629725 A CN 114629725A
Authority
CN
China
Prior art keywords
terminal
identified
dumb
dumb terminal
type information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210445869.1A
Other languages
English (en)
Inventor
赵齐心
吕英
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Agricultural Bank of China
Original Assignee
Agricultural Bank of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Agricultural Bank of China filed Critical Agricultural Bank of China
Priority to CN202210445869.1A priority Critical patent/CN114629725A/zh
Publication of CN114629725A publication Critical patent/CN114629725A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

本申请提供了一种用户域哑终端管理方法、装置、***和存储介质,该方法包括:当待识别哑终端接入用户域时,判断是否能获取包含待识别哑终端身份信息的第一报文,当能获取第一报文时,获取第一报文并解析得到待识别哑终端的终端类型信息,当不能获取第一报文时,向待识别哑终端发送端口扫描请求以得到待识别哑终端的端口识别结果,根据端口识别结果解析得到待识别哑终端的终端类型信息,将待识别哑终端的终端类型信息与预存终端类型信息进行比对,若一致,则允许待识别哑终端接入用户域。从而实现了一种针对用户域哑终端的智能识别和安全准入的全流程智能化、自动化解决方案,快速高效,节省了大量的人工成本,提高了识别和安全准入的准确性。

Description

一种用户域哑终端管理方法、装置、***和存储介质
技术领域
本申请涉及计算机领域,特别涉及一种用户域哑终端管理方法、装置、***和存储介质。
背景技术
随着银行金融科技的快速发展,用户域哑终端的种类和数量都在急剧增长,用户域哑终端指的是在以接入各类用户终端为主的网络区域中接入的无法安装软件进行自主认证的终端,如网络打印机、门禁***、IP(互联网协议,Internet Protocol)电话、摄像头等。
由于哑终端无法进行自主认证以实现安全准入且不同类型的哑终端具有不同的访问控制权限,当前均采用人工配置方式进行各类哑终端的安全准入控制管理,并将相应的如IP地址、MAC地址(Media Access Control Address,媒体存取控制位址)、终端类型等台账进行手工记录和人工汇总。在哑终端上线入网、变更、下线在内的整个生命周期管理中需要耗费巨大的人工成本,而且在人工配置、人工台账记录等环节容易出错。
发明内容
有鉴于此,本申请的目的在于提供一种用户域哑终端管理方法、装置、***和存储介质,可以实现针对用户域哑终端的智能识别和安全准入,快速高效,节省了大量的人工成本,提高了识别和安全准入的准确性。
为实现上述目的,本申请有如下技术方案:
第一方面,本申请实施例提供了一种用户域哑终端管理方法,包括:
当待识别哑终端接入用户域时,判断是否能获取包含所述待识别哑终端身份信息的第一报文;
当能获取所述第一报文时,获取所述第一报文并解析得到所述待识别哑终端的终端类型信息;
当不能获取所述第一报文时,向所述待识别哑终端发送端口扫描请求以得到所述待识别哑终端的端口识别结果;
根据所述端口识别结果解析得到所述待识别哑终端的终端类型信息;
将所述待识别哑终端的终端类型信息与预存终端类型信息进行比对,若一致,则允许所述待识别哑终端接入所述用户域。
在一种可能的实现方式中,所述第一报文包括动态主机配置协议DHCP报文,所述获取所述第一报文并解析得到所述待识别哑终端的终端类型信息,包括:
获取所述DHCP报文并解析所述DHCP报文的选择option字段以得到所述待识别哑终端的终端类型信息。
在一种可能的实现方式中,所述向所述待识别哑终端发送端口扫描请求,包括:
向所述待识别哑终端的传输控制协议TCP端口或用户数据报协议UDP端口发送端口扫描请求。
在一种可能的实现方式中,所述方法还包括:
在所述允许所述待识别哑终端接入所述用户域之后,将所述能获取第一报文的所述待识别哑终端标记为静态互联网协议IP入网的哑终端;
通过历史路由器配置方法协议下发对应的IP地址、媒体存取控制位址MAC地址和虚拟局域网VLAN到所述静态互联网协议IP入网的哑终端;
将所述不能获取所述第一报文的所述待识别哑终端标记为动态互联网协议IP入网的哑终端;
通过历史路由器配置方法协议下发对应的MAC地址和VLAN到所述动态互联网协议IP入网的哑终端。
第二方面,本申请实施例提供了一种用户域哑终端管理装置,包括:
判断单元,用于当待识别哑终端接入用户域时,判断是否能获取包含所述待识别哑终端身份信息的第一报文;
获取单元,用于当能获取所述第一报文时,获取所述第一报文并解析得到所述待识别哑终端的终端类型信息;
端口扫描单元,用于当不能获取所述第一报文时,向所述待识别哑终端发送端口扫描请求以得到所述待识别哑终端的端口识别结果;
解析单元,用于根据所述端口识别结果解析得到所述待识别哑终端的终端类型信息;
比对单元,用于将所述待识别哑终端的终端类型信息与预存终端类型信息进行比对,若一致,则允许所述待识别哑终端接入所述用户域。
在一种可能的实现方式中,所述第一报文包括动态主机配置协议DHCP报文,所述获取单元,包括:
获取子单元,用于获取所述DHCP报文并解析所述DHCP报文的选择option字段以得到所述待识别哑终端的终端类型信息。
在一种可能的实现方式中,所述端口扫描单元,包括:
端口扫描子单元,用于向所述待识别哑终端的传输控制协议TCP端口或用户数据报协议UDP端口发送端口扫描请求。
在一种可能的实现方式中,所述装置还包括:
第一标记单元,用于在所述允许所述待识别哑终端接入所述用户域之后,将所述能获取第一报文的所述待识别哑终端标记为静态互联网协议IP入网的哑终端;
第一下发单元,用于通过历史路由器配置方法协议下发对应的IP地址、媒体存取控制位址MAC地址和虚拟局域网VLAN到所述静态互联网协议IP入网的哑终端;
第二标记单元,用于将所述不能获取所述第一报文的所述待识别哑终端标记为动态互联网协议IP入网的哑终端;
第二下发单元,用于通过历史路由器配置方法协议下发对应的MAC地址和VLAN到所述动态互联网协议IP入网的哑终端。
第三方面,本申请实施例还提供了一种用户域哑终端管理***,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述所述用户域哑终端管理方法的步骤。
第四方面,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理执行时实现如上述所述用户域哑终端管理方法的步骤。
与现有技术相比,本申请至少具有以下优点:
本申请实施例提供了一种用户域哑终端管理方法、装置、***和存储介质,该方法包括:当待识别哑终端接入用户域时,判断是否能获取包含待识别哑终端身份信息的第一报文,当能获取第一报文时,获取第一报文并解析得到待识别哑终端的终端类型信息,当不能获取第一报文时,向待识别哑终端发送端口扫描请求以得到待识别哑终端的端口识别结果,根据端口识别结果解析得到待识别哑终端的终端类型信息,将待识别哑终端的终端类型信息与预存终端类型信息进行比对,若一致,则允许待识别哑终端接入用户域。从而实现了一种针对用户域哑终端的智能识别和安全准入的全流程智能化、自动化解决方案,快速高效,节省了大量的人工成本,提高了识别和安全准入的准确性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1示出了本申请实施例提供的一种用户域哑终端管理方法的流程图;
图2示出了本申请实施例提供的为本申请实施例提供的一种用户域软件定义网络的架构图;
图3示出了本申请实施例提供的一种用户域哑终端管理装置的示意图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请的具体实施方式做详细的说明。
在下面的描述中阐述了很多具体细节以便于充分理解本申请,但是本申请还可以采用其它不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此本申请不受下面公开的具体实施例的限制。
正如背景技术中的描述,随着银行金融科技的快速发展,用户域哑终端的种类和数量都在急剧增长,用户域哑终端指的是在以接入各类用户终端为主的网络区域中接入的无法安装软件进行自主认证的终端,如网络打印机、门禁***、IP(互联网协议,InternetProtocol)电话、摄像头等。
由于哑终端无法进行自主认证以实现安全准入且不同类型的哑终端具有不同的访问控制权限,当前均采用人工配置方式进行各类哑终端的安全准入控制管理,并将相应的如IP地址、MAC地址(Media Access Control Address,媒体存取控制位址)、终端类型等台账进行手工记录和人工汇总。在哑终端上线入网、变更、下线在内的整个生命周期管理中需要耗费巨大的人工成本,而且在人工配置、人工台账记录等环节容易出错。
为了解决以上技术问题,本申请实施例提供了一种用户域哑终端管理方法、装置、***和存储介质,该方法包括:当待识别哑终端接入用户域时,判断是否能获取包含待识别哑终端身份信息的第一报文,当能获取第一报文时,获取第一报文并解析得到待识别哑终端的终端类型信息,当不能获取第一报文时,向待识别哑终端发送端口扫描请求以得到待识别哑终端的端口识别结果,根据端口识别结果解析得到待识别哑终端的终端类型信息,将待识别哑终端的终端类型信息与预存终端类型信息进行比对,若一致,则允许待识别哑终端接入用户域。从而实现了一种针对用户域哑终端的智能识别和安全准入的全流程智能化、自动化解决方案,快速高效,节省了大量的人工成本,提高了识别和安全准入的准确性。
为了更好地理解本申请的技术方案和技术效果,以下将结合附图对具体的实施例进行详细的描述。
在本申请实施例中,参见图2所示,为本申请实施例提供的一种用户域软件定义网络(Software Defined Network,SDN)的架构图,在传统的核心、汇聚、接入三层传统网络架构中增加了SDN控制器。
其中,包含接入交换机的接入层与各类用户终端即哑终端直接相连,在一种可能的实现方式中,接入交换机可以包含哑终端指纹识别功能,负责对对应相连的哑终端进行识别,形成指纹信息即类型信息,其中,哑终端指纹指的是哑终端的设备类型、物理地址信息、制造商信息、操作***类型、软件版本等构成的唯一标识该终端的信息。
汇聚层包含汇聚交换机用来连接核心层核心交换机和接入层接入交换机,处于中间位置,它的上行是核心交换机,下行是接入层交换,汇聚层具有实施策略、安全、工作组接入、虚拟局域网(VLAN,Virtual Local Area Network)之间的路由、源地址或目的地址过滤等多种功能,它是实现策略的地方。
核心层的核心交换机是网络主干部分,主要目的在于通过高速转发通信,提供快速、可靠的骨干传输结构。SDN控制器是整个SDN用户域网络的核心设备。SDN控制器对整个用户域网络中的哑终端进行管理。它集成了哑终端指纹特征库,接入交换机收集到的入网哑终端的指纹需与特征库进行比对以确定是否合法。SDN控制器也实现了哑终端的安全准入配置和访问控制配置的自动化下发。此外,SDN控制器能根据哑终端的生命周期进行台账的自动更新和管理。
示例性方法
参见图1所示,该图为本申请实施例提供的一种用户域哑终端管理方法的流程图,包括:
S101:当待识别哑终端接入用户域时,判断是否能获取包含所述待识别哑终端身份信息的第一报文。
在本申请实施例中,为了识别待识别哑终端的类型信息,可以判断待识别终端是被动识别的哑终端还是主动识别的哑终端。被动识别主要指当待识别哑终端接入到网络时,待识别哑终端会主动发送报文来和网络中的其他设备进行交互。其他设备被动接收或捕获相应报文并根据其中的字段进行待识别哑终端的识别;主动识别主要指当待识别哑终端接入网络以后,其他网络设备主动向该待识别哑终端发送数据包并根据待识别哑终端的回复来进行分析和识别的方法为主动识别。
具体的,为了判断待识别终端的类型以采用不同的策略,可以在当待识别哑终端接入用户域时,可以先判断是否能获取包含待识别哑终端身份信息的第一报文,若能够获取,则说明该待识别哑终端为被动识别的哑终端,若不能获取,则说明该待识别哑终端为主动识别的哑终端。
S102:当能获取所述第一报文时,获取所述第一报文并解析得到所述待识别哑终端的终端类型信息。
在本申请实施例中,由于主动识别需要进行主动的扫描,因此增加了网络流量开销,且识别速度要慢于被动识别,随着待识别哑终端数量的不断增多,对扫描设备的性能也有了更高的要求,因此在本申请实施例中,优先采用被动识别,当无法采用被动识别时,再采用主动识别。
即具体的,当能获取第一报文时,获取第一报文并解析得到待识别哑终端的终端类型信息,在一种可能的实现方式中,第一报文可以包括动态主机配置协议(DHCP,DynamicHost Configuration Protocol)报文或ARP(地址解析协议,Address ResolutionProtocol)报文,这类报文均包含MAC地址(Media Access Control Address,媒体存取控制位址)信息。
在一种可能的实现方式中,可以解析这类报文得到MAC地址信息,通过截取MAC地址信息的前六位,根据MAC OUI(Organizationally unique identifier,组织唯一标识符)与终端厂商对应表,可以确定该终端的生产厂商,从而有助于识别具体终端类型。
在一种可能的实现方式中,可以获取DHCP报文并解析DHCP报文的选择option字段以得到待识别哑终端的终端类型信息,具体的,对于采取动态获取IP地址进行入网的终端,接入网络以后会以广播形式发送DHCP发现和请求报文,通过分析DHCP报文中的option字段可以对待识别哑终端类型以及操作***类型版本进行识别。
DHCP报文中类型为60的option字段为设备厂商分类信息选项,通常用来标识该终端的类型和配置,通过识别该字段值可以确定终端类型。此外,DHCP请求报文中类型为55的选项为终端请求参数列表。待识别哑终端利用该选项指明需要从服务器获取那些网络配置参数。不同类型的待识别哑终端或者是同一类型不同操作***的待识别哑终端在发送DHCP请求报文中该选项内部的请求参数数量和排列顺序都不相同,根据该选项参数的排列组合往往可以区分出数百种终端设备类型以及操作***类型。
由于众多待识别哑终端都支持DHCP协议,且DHCP请求报文中的选项字段无法通过软件或其他方式篡改,因此DHCP是目前被动识别中较为准确的一种方法,银行网络用户域中大量的网络打印机、扫描仪、电子显示屏、IP电话等哑终端均可通过该方法进行识别。
此外,对于打印机这类待识别哑终端,其核心功能是在网络环境中提供服务,因此可以从局域网中与服务发现与定位相关的协议入手,通过识别待识别哑终端提供的服务来识别出待识别哑终端类型。
在一种可能的实现方式中,服务定位协议(Service Location Protocol,SLP,srvloc)是一种服务发现协议,它允许计算机和其他设备在没有事先配置的情况下在局域网中查找服务,设备使用SLP协议来宣告本地网络上的服务。每项服务都必须有一个用于查找服务的URL(uniform resource locator,统一资源定位***),结合协议工作原理,通过接收并解析打印机主动发送的URL信息,可以确定终端类型,即此时将URL信息作为第一报文进行解析得到待识别哑终端的终端类型信息。
在一种可能的实现方式中,简单服务发现协议(Simple Service DiscoveryProtocol,SSDP)是SLP的一种简化版,它采用基于通知和发现路由的多播发现方式实现。举例来说,开启SSDP协议的待识别哑终端首次接入网络时,它可以向一个特定的多播地址(239.255.255.250)的特定端口(udp 1900端口)发送“ssdp:discover”消息,通过解析该消息(此时该消息作为第一报文)中的服务类型可识别终端类型。在实际应用中,只有部分品牌的打印机会开启SLP协议和SSDP协议,如不开启该协议则无法完成类型识别。
S103:当不能获取所述第一报文时,向所述待识别哑终端发送端口扫描请求以得到所述待识别哑终端的端口识别结果。
S104:根据所述端口识别结果解析得到所述待识别哑终端的终端类型信息。
在本申请实施例中,当不能获取第一报文时,说明待识别哑终端为静态IP地址上网的哑终端,此时需要采用主动识别的方法来识别待识别哑终端的终端类型信息。
对于主动识别来说,首先需要进行端口扫描,具体的,可以向待识别哑终端发送端口扫描请求以得到待识别哑终端的端口识别结果,由于各类哑终端类型通过采用特定的端口来对外提供服务或与其它设备进行通信,因此判断特定端口是否开放有助于识别哑终端类型。
在一种可能的实现方式中,可以向待识别哑终端的传输控制协议(TCP,Transmission Control Protocol)端口或用户数据报协议(UDP,User DatagramProtocol)端口发送端口扫描请求以得到待识别哑终端的端口识别结果。
举例来说,打印机这类哑终端均支持RAW打印协议,使用该协议的打印机必然开放TCP的9100端口。通过扫描未知终端类型的哑终端的TCP 9100端口的结果,可初步判断该终端是否为打印机。此外,大多数打印机均使用TCP 515端口来运行LRP(line printerremote,远程行式打印机)打印协议以及TCP 631端口来运行CUPS(Common UNIX PrintingSystem,通用Unix打印***)打印协议。因此,TCP的9100端口、631端口和515端口可以作为打印机这一类哑终端的特征端口。根据端口识别结果解析得到待识别哑终端的终端类型信息,即通过特征端口的扫描结果可判定待识别哑终端类型和端口开放情况。
端口扫描使用的扫描方法包括TCP SYN(同步序列编号,Synchronize SequenceNumbers)探测、TCP connect连接探测、TCP ACK(Acknowledge character,确认字符)、scanning扫描探测、TCP FIN(finished sign,结束标志)探测、TCP Xmas探测、TCP NULL探测和UDP探测等。
举例来说,以以TCP SYN探测为例,向待识别终端发送SYN包即端口扫描请求以请求建立TCP连接,如果在指定时间内得到待识别哑终端的端口回复的SYN、ACK数据包,那么判断端口是开放的;如果收到了RST(reset,复位)包,说明该端口是关闭的如果没有收到回复,那么判断该端口被屏蔽状态。倘若指定端口为屏蔽状态,可继续结合TCP ACK探测进一步判定该端口是否为开放状态。由于TCP SYN探测仅发送SYN包对目标主机的特定端口,但不建立的完整的TCP连接,所以相对比较隐蔽,而且效率比较高,适用范围广。
在一种可能的实现方式中,主动扫描可以在端口扫描结果基础上进一步进行版本侦测。如果是开放的是TCP端口,则尝试建立TCP连接。通常在10s以内会接收到目标机发送的“WelcomeBanner”信息。将接收到的Banner与预存的哑终端类型库中已有的类型进行对比,可查找对应应用程序的名字与版本信息。
S105:将待识别哑终端的终端类型信息与预存终端类型信息进行比对,若一致,则允许待识别哑终端接入用户域。
在本申请实施例中,可以通过接入交换机将识别到的待识别哑终端的终端类型信息以openflow协议中的packet_in消息传送到SDN控制器,SDN控制器感知到新终端的接入时,可以将待识别哑终端的终端类型信息与预存终端类型信息进行比对,若一致,则允许待识别哑终端接入用户域,否则不允许入网,并推送消息到网络管理员告知有非法终端接入。
在一种可能的实现方式中,可以梳理机构中各类哑终端的实际访问关系并编写访问控制列表(Access Control Lists,ACL)在接入交换机上进行预配置,即所有接入交换机上预配置不同类型哑终端的ACL,其源为any、目标为实际访问服务IP。
在一种可能的实现方式中,本申请实施例提供的方法还包括:
在允许待识别哑终端接入用户域之后,将能获取第一报文的待识别哑终端标记为静态互联网协议IP入网的哑终端,通过历史路由器配置方法netconf协议下发对应的IP地址、媒体存取控制位址MAC地址和虚拟局域网VLAN到静态互联网协议IP入网的哑终端;将不能获取所述第一报文的待识别哑终端标记为动态互联网协议IP入网的哑终端,通过历史路由器配置方法协议下发对应的MAC地址和VLAN到动态互联网协议IP入网的哑终端,并放通终端的各类报文,实现安全准入。
在一种可能的实现方式中,SDN控制器可以自动通过ssh(安全外壳协议协议,Secure Shell)将接入交换机上的哑终端IP加入所属类型哑终端的ACL中,实现源为该哑终端IP地址、目标为实际访问服务IP地址的访问控制,实现自动化的访问控制管理。
本申请实施例提供了一种用户域哑终端管理方法,该方法包括:当待识别哑终端接入用户域时,判断是否能获取包含待识别哑终端身份信息的第一报文,当能获取第一报文时,获取第一报文并解析得到待识别哑终端的终端类型信息,当不能获取第一报文时,向待识别哑终端发送端口扫描请求以得到待识别哑终端的端口识别结果,根据端口识别结果解析得到待识别哑终端的终端类型信息,将待识别哑终端的终端类型信息与预存终端类型信息进行比对,若一致,则允许待识别哑终端接入用户域。从而实现了一种针对用户域哑终端的智能识别和安全准入的全流程智能化、自动化解决方案,快速高效,节省了大量的人工成本,提高了识别和安全准入的准确性。
示例性装置
参见图3所示,为本申请实施例提供的一种用户域哑终端管理装置的示意图,包括:
判断单元301,用于当待识别哑终端接入用户域时,判断是否能获取包含所述待识别哑终端身份信息的第一报文;
获取单元302,用于当能获取所述第一报文时,获取所述第一报文并解析得到所述待识别哑终端的终端类型信息;
端口扫描单元303,用于当不能获取所述第一报文时,向所述待识别哑终端发送端口扫描请求以得到所述待识别哑终端的端口识别结果;
解析单元304,用于根据所述端口识别结果解析得到所述待识别哑终端的终端类型信息;
比对单元305,用于将所述待识别哑终端的终端类型信息与预存终端类型信息进行比对,若一致,则允许所述待识别哑终端接入所述用户域。
在一种可能的实现方式中,所述第一报文包括动态主机配置协议DHCP报文,所述获取单元,包括:
获取子单元,用于获取所述DHCP报文并解析所述DHCP报文的选择option字段以得到所述待识别哑终端的终端类型信息。
在一种可能的实现方式中,所述端口扫描单元,包括:
端口扫描子单元,用于向所述待识别哑终端的传输控制协议TCP端口或用户数据报协议UDP端口发送端口扫描请求。
在一种可能的实现方式中,所述装置还包括:
第一标记单元,用于在所述允许所述待识别哑终端接入所述用户域之后,将所述能获取第一报文的所述待识别哑终端标记为静态互联网协议IP入网的哑终端;
第一下发单元,用于通过历史路由器配置方法协议下发对应的IP地址、媒体存取控制位址MAC地址和虚拟局域网VLAN到所述静态互联网协议IP入网的哑终端;
第二标记单元,用于将所述不能获取所述第一报文的所述待识别哑终端标记为动态互联网协议IP入网的哑终端;
第二下发单元,用于通过历史路由器配置方法协议下发对应的MAC地址和VLAN到所述动态互联网协议IP入网的哑终端。
本申请实施例提供了一种用户域哑终端管理装置,利用该装置的方法包括:当待识别哑终端接入用户域时,判断是否能获取包含待识别哑终端身份信息的第一报文,当能获取第一报文时,获取第一报文并解析得到待识别哑终端的终端类型信息,当不能获取第一报文时,向待识别哑终端发送端口扫描请求以得到待识别哑终端的端口识别结果,根据端口识别结果解析得到待识别哑终端的终端类型信息,将待识别哑终端的终端类型信息与预存终端类型信息进行比对,若一致,则允许待识别哑终端接入用户域。从而实现了一种针对用户域哑终端的智能识别和安全准入的全流程智能化、自动化解决方案,快速高效,节省了大量的人工成本,提高了识别和安全准入的准确性。
在上述实施例的基础上,本申请实施例还提供了一种用户域哑终端管理***,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述用户域哑终端管理方法的步骤。
在上述实施例的基础上,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理执行时实现如上述用户域哑终端管理方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其它实施例的不同之处。尤其,对于器件实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅是本申请的优选实施方式,虽然本申请已以较佳实施例披露如上,然而并非用以限定本申请。任何熟悉本领域的技术人员,在不脱离本申请技术方案范围情况下,都可利用上述揭示的方法和技术内容对本申请技术方案做出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本申请技术方案的内容,依据本申请的技术实质对以上实施例所做的任何的简单修改、等同变化及修饰,均仍属于本申请技术方案保护的范围内。

Claims (10)

1.一种用户域哑终端管理方法,其特征在于,包括:
当待识别哑终端接入用户域时,判断是否能获取包含所述待识别哑终端身份信息的第一报文;
当能获取所述第一报文时,获取所述第一报文并解析得到所述待识别哑终端的终端类型信息;
当不能获取所述第一报文时,向所述待识别哑终端发送端口扫描请求以得到所述待识别哑终端的端口识别结果;
根据所述端口识别结果解析得到所述待识别哑终端的终端类型信息;
将所述待识别哑终端的终端类型信息与预存终端类型信息进行比对,若一致,则允许所述待识别哑终端接入所述用户域。
2.根据权利要求1所述的方法,其特征在于,所述第一报文包括动态主机配置协议DHCP报文,所述获取所述第一报文并解析得到所述待识别哑终端的终端类型信息,包括:
获取所述DHCP报文并解析所述DHCP报文的选择option字段以得到所述待识别哑终端的终端类型信息。
3.根据权利要求1所述的方法,其特征在于,所述向所述待识别哑终端发送端口扫描请求,包括:
向所述待识别哑终端的传输控制协议TCP端口或用户数据报协议UDP端口发送端口扫描请求。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述允许所述待识别哑终端接入所述用户域之后,将所述能获取第一报文的所述待识别哑终端标记为静态互联网协议IP入网的哑终端;
通过历史路由器配置方法协议下发对应的IP地址、媒体存取控制位址MAC地址和虚拟局域网VLAN到所述静态互联网协议IP入网的哑终端;
将所述不能获取所述第一报文的所述待识别哑终端标记为动态互联网协议IP入网的哑终端;
通过历史路由器配置方法协议下发对应的MAC地址和VLAN到所述动态互联网协议IP入网的哑终端。
5.一种用户域哑终端管理装置,其特征在于,包括:
判断单元,用于当待识别哑终端接入用户域时,判断是否能获取包含所述待识别哑终端身份信息的第一报文;
获取单元,用于当能获取所述第一报文时,获取所述第一报文并解析得到所述待识别哑终端的终端类型信息;
端口扫描单元,用于当不能获取所述第一报文时,向所述待识别哑终端发送端口扫描请求以得到所述待识别哑终端的端口识别结果;
解析单元,用于根据所述端口识别结果解析得到所述待识别哑终端的终端类型信息;
比对单元,用于将所述待识别哑终端的终端类型信息与预存终端类型信息进行比对,若一致,则允许所述待识别哑终端接入所述用户域。
6.根据权利要求5所述的装置,其特征在于,所述第一报文包括动态主机配置协议DHCP报文,所述获取单元,包括:
获取子单元,用于获取所述DHCP报文并解析所述DHCP报文的选择option字段以得到所述待识别哑终端的终端类型信息。
7.根据权利要求5所述的装置,其特征在于,所述端口扫描单元,包括:
端口扫描子单元,用于向所述待识别哑终端的传输控制协议TCP端口或用户数据报协议UDP端口发送端口扫描请求。
8.根据权利要求5所述的装置,其特征在于,所述装置还包括:
第一标记单元,用于在所述允许所述待识别哑终端接入所述用户域之后,将所述能获取第一报文的所述待识别哑终端标记为静态互联网协议IP入网的哑终端;
第一下发单元,用于通过历史路由器配置方法协议下发对应的IP地址、媒体存取控制位址MAC地址和虚拟局域网VLAN到所述静态互联网协议IP入网的哑终端;
第二标记单元,用于将所述不能获取所述第一报文的所述待识别哑终端标记为动态互联网协议IP入网的哑终端;
第二下发单元,用于通过历史路由器配置方法协议下发对应的MAC地址和VLAN到所述动态互联网协议IP入网的哑终端。
9.一种用户域哑终端管理***,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1-4任意一项所述用户域哑终端管理方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理执行时实现如权利要求1-4任意一项所述用户域哑终端管理方法的步骤。
CN202210445869.1A 2022-04-26 2022-04-26 一种用户域哑终端管理方法、装置、***和存储介质 Pending CN114629725A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210445869.1A CN114629725A (zh) 2022-04-26 2022-04-26 一种用户域哑终端管理方法、装置、***和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210445869.1A CN114629725A (zh) 2022-04-26 2022-04-26 一种用户域哑终端管理方法、装置、***和存储介质

Publications (1)

Publication Number Publication Date
CN114629725A true CN114629725A (zh) 2022-06-14

Family

ID=81905079

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210445869.1A Pending CN114629725A (zh) 2022-04-26 2022-04-26 一种用户域哑终端管理方法、装置、***和存储介质

Country Status (1)

Country Link
CN (1) CN114629725A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116032591A (zh) * 2022-12-23 2023-04-28 迈普通信技术股份有限公司 一种哑终端仿冒识别方法及***

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107770745A (zh) * 2017-09-15 2018-03-06 安徽中瑞通信科技股份有限公司 一种无线领域计费平台的无线终端入网方法
CN110336684A (zh) * 2019-03-21 2019-10-15 北京天防安全科技有限公司 一种网络资产智能识别方法及***
CN110691101A (zh) * 2019-10-28 2020-01-14 锐捷网络股份有限公司 哑终端免认证名单的配置方法及装置
CN111917699A (zh) * 2020-03-24 2020-11-10 北京融汇画方科技有限公司 基于指纹鉴别非法设备仿冒哑终端的检测技术
CN112637373A (zh) * 2020-11-17 2021-04-09 新华三技术有限公司合肥分公司 一种保持哑终端在线的方法及设备
CN112822160A (zh) * 2020-12-29 2021-05-18 新华三技术有限公司 一种设备识别方法、装置、设备及机器可读存储介质
CN113709211A (zh) * 2021-07-30 2021-11-26 国网湖南省电力有限公司 基于旁路控制技术的网络终端准入控制方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107770745A (zh) * 2017-09-15 2018-03-06 安徽中瑞通信科技股份有限公司 一种无线领域计费平台的无线终端入网方法
CN110336684A (zh) * 2019-03-21 2019-10-15 北京天防安全科技有限公司 一种网络资产智能识别方法及***
CN110691101A (zh) * 2019-10-28 2020-01-14 锐捷网络股份有限公司 哑终端免认证名单的配置方法及装置
CN111917699A (zh) * 2020-03-24 2020-11-10 北京融汇画方科技有限公司 基于指纹鉴别非法设备仿冒哑终端的检测技术
CN112637373A (zh) * 2020-11-17 2021-04-09 新华三技术有限公司合肥分公司 一种保持哑终端在线的方法及设备
CN112822160A (zh) * 2020-12-29 2021-05-18 新华三技术有限公司 一种设备识别方法、装置、设备及机器可读存储介质
CN113709211A (zh) * 2021-07-30 2021-11-26 国网湖南省电力有限公司 基于旁路控制技术的网络终端准入控制方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116032591A (zh) * 2022-12-23 2023-04-28 迈普通信技术股份有限公司 一种哑终端仿冒识别方法及***

Similar Documents

Publication Publication Date Title
Sivanathan et al. Can we classify an iot device using tcp port scan?
CN110113345B (zh) 一种基于物联网流量的资产自动发现的方法
US8972571B2 (en) System and method for correlating network identities and addresses
US7831697B2 (en) Mapping notification system for relating static identifier to dynamic address
JP5318111B2 (ja) リモートデバイスに構成情報を自動配布するための中央管理ステーションのための種々の方法および装置
US9215234B2 (en) Security actions based on client identity databases
CN108900351B (zh) 内网设备类型识别方法及装置
CN110493366B (zh) 一种接入点加入网络管理的方法及装置
US20090150526A1 (en) Method and system for implementing configuration management of devices in network
CN108848145B (zh) 通过web代理访问设备近端网管的方法、***及远端网管
CN111654485B (zh) 一种客户端的认证方法以及设备
EP2218214B1 (en) Network location service
EP2466796A1 (en) User access method, system and access server, access device
US9961163B2 (en) Method and system for notifying subscriber devices in ISP networks
CN114629725A (zh) 一种用户域哑终端管理方法、装置、***和存储介质
US8724506B2 (en) Detecting double attachment between a wired network and at least one wireless network
CN116719868A (zh) 网络资产的识别方法、装置及设备
CN116760607A (zh) 蜜罐诱捕节点的建立方法及装置、介质、设备
CN115086276B (zh) 一种地址管理方法、装置、设备及***
US8239930B2 (en) Method for controlling access to a network in a communication system
JP2002064525A (ja) スイッチングハブ及びネットワーク管理装置
JP4484190B2 (ja) ルーター探索システム、ルーター探索方法、及びルーター探索プログラム
CN113556337A (zh) 终端地址识别方法、网络***、电子设备及存储介质
JP2004343420A (ja) ネットワーク端末装置及びその制御方法
WO2001075626A1 (en) Bridge configuration over ip/web

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination