CN114726617B - 设备认证方法、装置、计算机设备、存储介质和程序产品 - Google Patents

设备认证方法、装置、计算机设备、存储介质和程序产品 Download PDF

Info

Publication number
CN114726617B
CN114726617B CN202210361572.7A CN202210361572A CN114726617B CN 114726617 B CN114726617 B CN 114726617B CN 202210361572 A CN202210361572 A CN 202210361572A CN 114726617 B CN114726617 B CN 114726617B
Authority
CN
China
Prior art keywords
service
identification information
information
port
policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210361572.7A
Other languages
English (en)
Other versions
CN114726617A (zh
Inventor
邓建锋
赖宇阳
冯国聪
肖焯
吴昊
王依云
张丽娟
李慧娟
母天石
黄宝鑫
谭洪华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southern Power Grid Digital Grid Research Institute Co Ltd
Original Assignee
Southern Power Grid Digital Grid Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southern Power Grid Digital Grid Research Institute Co Ltd filed Critical Southern Power Grid Digital Grid Research Institute Co Ltd
Priority to CN202210361572.7A priority Critical patent/CN114726617B/zh
Publication of CN114726617A publication Critical patent/CN114726617A/zh
Application granted granted Critical
Publication of CN114726617B publication Critical patent/CN114726617B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种设备认证方法、装置、计算机设备、存储介质和程序产品。服务器接收客户端发送的各设备的第一标识信息,根据各第一标识信息生成允许入网规则,并向交换机发送允许入网规则,进一步接收交换机发送的待认证设备的第二标识信息,从而对第二标识信息进行认证,并在认证通过的情况下与待认证设备建立通信连接。本方法中交换机根据允许入网规则对待认证设备进行认证,在认证通过的情况下,将第二标识信息发送给服务器,服务器进一步对待认证设备进行认证,本方案通过双重认证的方式,对待认证设备进行认证,保证了只有认证授权的设备才可以接入网络,有效降低网络的安全风险等级,从而保证了新能源厂站和用户站电力监控***的网络安全。

Description

设备认证方法、装置、计算机设备、存储介质和程序产品
技术领域
本申请涉及网络安全技术领域,特别是涉及一种设备认证方法、装置、计算机设备、存储介质和程序产品。
背景技术
轻量级涉网网络被广泛应用于电力行业、新能源行业等各个行业,但是网络攻击手段和网络安全威胁日新月异,各种攻击技术层出不穷,各种高危漏洞不断被恶意利用,电力企业正在面临日益严峻的网络安全形势。因此,基于新能源厂站和用户站电力监控***,***的接入设备的安全状态对网络安全造成重要影响,因此,对接入设备的设备认证成为目前急需解决的一个问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高网络安全等级的设备认证方法、装置、计算机设备、存储介质和程序产品。
第一方面,本申请提供了一种设备认证方法,所述方法包括:
接收客户端发送的各设备的第一标识信息;
根据各所述第一标识信息生成允许入网规则,并向交换机发送所述允许入网规则;
接收交换机发送的待认证设备的第二标识信息,其中,所述第二标识信息为所述交换机根据所述允许入网规则,对所述待认证设备进行认证通过的情况下向所述服务器发送的信息;
对所述第二标识信息进行认证,并在认证通过的情况下与所述待认证设备建立通信连接。
在其中一个实施例中,所述根据各所述第一标识信息生成允许入网规则,并向交换机发送所述允许入网规则,包括:
对各所述第一标识信息进行认证;
若对各所述第一标识信息认证通过,则根据各所述第一标识信息生成所述允许入网规则,并向交换机发送所述允许入网规则。
在其中一个实施例中,所述方法还包括:
从本地数据库中获取探测信息;
根据所述探测信息生成探测报文,并向探测分析设备发送所述探测报文,以由所述探测分析设备对所述探测报文进行分析处理得到分析结果。
在其中一个实施例中,所述方法还包括:
获取目标安全策略,其中,所述目标安全策略包括资产策略、外设介入策略、入网策略、U盘策略、合规基线检测策略、违规外联与跨区互联探测策略;
根据所述目标安全策略,对各所述设备的安全进行管理。
在其中一个实施例中,所述方法还包括:
获取所述待认证设备的已启用的各端口服务的服务标识;
获取各所述端口服务的服务信息;
根据各所述端口服务的服务标识以及各所述端口服务的服务信息,生成端口服务信息表。
在其中一个实施例中,所述根据各所述端口服务的服务标识以及各所述端口服务的服务信息,生成端口服务信息表,包括:
根据各所述端口服务的服务信息,确定各所述端口服务的服务类型;
根据各所述端口服务的服务标识以及服务类型,生成所述端口服务信息表。
第二方面,本申请还提供了一种设备认证装置,所述装置包括:
第一接收模块,用于接收客户端发送的各设备的第一标识信息;
第一生成模块,用于根据各所述第一标识信息生成允许入网规则,并向交换机发送所述允许入网规则;
第二接收模块,用于接收交换机发送的待认证设备的第二标识信息,其中,所述第二标识信息为所述交换机根据所述允许入网规则,对所述待认证设备进行认证通过的情况下向所述服务器发送的信息;
认证模块,用于对所述第二标识信息进行认证,并在认证通过的情况下与所述待认证设备建立通信连接。
第三方面,本申请还提供了一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
接收客户端发送的各设备的第一标识信息;
根据各所述第一标识信息生成允许入网规则,并向交换机发送所述允许入网规则;
接收交换机发送的待认证设备的第二标识信息,其中,所述第二标识信息为所述交换机根据所述允许入网规则,对所述待认证设备进行认证通过的情况下向所述服务器发送的信息;
对所述第二标识信息进行认证,并在认证通过的情况下与所述待认证设备建立通信连接。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
接收客户端发送的各设备的第一标识信息;
根据各所述第一标识信息生成允许入网规则,并向交换机发送所述允许入网规则;
接收交换机发送的待认证设备的第二标识信息,其中,所述第二标识信息为所述交换机根据所述允许入网规则,对所述待认证设备进行认证通过的情况下向所述服务器发送的信息;
对所述第二标识信息进行认证,并在认证通过的情况下与所述待认证设备建立通信连接。
第五方面,本申请还提供了一种计算机程序产品,所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
接收客户端发送的各设备的第一标识信息;
根据各所述第一标识信息生成允许入网规则,并向交换机发送所述允许入网规则;
接收交换机发送的待认证设备的第二标识信息,其中,所述第二标识信息为所述交换机根据所述允许入网规则,对所述待认证设备进行认证通过的情况下向所述服务器发送的信息;
对所述第二标识信息进行认证,并在认证通过的情况下与所述待认证设备建立通信连接。
上述设备认证方法、装置、计算机设备、存储介质和程序产品,服务器接收客户端发送的各设备的第一标识信息,根据各第一标识信息生成允许入网规则,并向交换机发送允许入网规则,进一步接收交换机发送的待认证设备的第二标识信息,从而对第二标识信息进行认证,并在认证通过的情况下与待认证设备建立通信连接。本方法中根据各设备的第一标识信息生成允许入网规则,并向交换机发送允许入网规则,交换机根据允许入网规则对待认证设备进行认证,在认证通过的情况下,将第二标识信息发送给服务器,服务器进一步对待认证设备进行认证,本方案通过双重认证的方式,对待认证设备进行认证,保证了只有认证授权的设备才可以接入网络,有效降低网络的安全风险等级,从而保证了新能源厂站和用户站电力监控***的网络安全。
附图说明
图1为一个实施例中设备认证方法的应用环境图;
图2为一个实施例中设备认证方法的流程示意图;
图3为一个实施例中根据各第一标识信息生成允许入网规则,并向交换机发送允许入网规则的流程示意图;
图4为一个实施例中根据探测报文进行分析处理的流程示意图;
图5为一个实施例中对各设备的安全进行管理的流程示意图;
图6为一个实施例中生成端口服务信息表的流程示意图;
图7为另一个实施例中生成端口服务信息表的流程示意图;
图8为一个实施例中设备认证装置的结构框图;
图9为另一个实施例中设备认证装置的结构框图;
图10为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的设备认证方法,可以应用于如图1所示的应用环境中。该应用环境包括设备1、待认证设备2、交换机3、服务器4,服务器4接收设备1的各第一标识信息,根据各第一标识信息生成允许入网规则,并向交换机3发送允许入网规则,交换机3根据允许入网规则对待认证设备2进行认证,并在认证通过的情况下,将待认证设备2的第二标识信息发送给服务器4,服务器4对第二标识信息进行认证,并在认证通过的情况下与待认证设备建立通信连接。服务器4可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种设备认证方法,以该方法应用于图1中的服务器为例进行说明,包括以下步骤:
S201,接收客户端发送的各设备的第一标识信息。
其中,第一标识信息可以包括IP/MAC地址、ID等,可以用来唯一标识各设备。
在本实施例中,将该方法应用在服务器,以第一标识信息为IP/MAC地址为例,其中,服务器接收客户端发送各设备的IP/MAC地址。
S202,根据各第一标识信息生成允许入网规则,并向交换机发送允许入网规则。
在本实施例中,还以第一标识信息为IP/MAC地址为例,服务器可以根据客户端发送的IP/MAC地址,对客户端发送的IP/MAC地址进行认证,认证通过后,得到合法化的IP/MAC地址列表,根据合法化的IP/MAC地址列表生成允许入网规则,并向交换机发送允许入网规则。
进一步地,还可以将合法化后的IP/MAC地址存储至IP/MAC地址数据库中。
S203,接收交换机发送的待认证设备的第二标识信息,其中,第二标识信息为交换机根据允许入网规则,对待认证设备进行认证通过的情况下向服务器发送的信息。
其中,第二标识信息包括MAC地址等。
在本实施例中,接入的交换机拥有MAC认证功能,能够直接对待认证设备进行地址认证,交换机是MAC地址认证的主体,由交换机收集待认证设备的MAC地址,并产生MAC地址帐户,交换机根据允许入网规则,对待认证设备进行认证通过的情况下,以待认证设备的MAC地址作为用户名和密码,向服务器发起认证,服务器接收交换机发送的待认证设备的MAC地址。
S204,对第二标识信息进行认证,并在认证通过的情况下与待认证设备建立通信连接。
在本实施例中,服务器根据发送的待认证设备的第二标识信息,查询是否有该MAC地址对应的设备,该设备是否到期,是否可以接入等信息,如果查询到有该MAC地址对应的设备,且该设备没有到期,且可以接入等,则该待认证设备认证成功,则将认证通过的结果发送给交换机,交换机开启待认证设备所连接的端口,开启端口与待认证设备建立通信连接,并将该待认证设备的MAC地址以静态方式加入自身MAC地址表,若其中一项是不满足要求的,则认证失败,交换机拒绝与待认证设备之间建立通信连接,且在一定周期内不允许该待认证设备重新认证。
上述设备认证方法中,服务器接收客户端发送的各设备的第一标识信息,根据各第一标识信息生成允许入网规则,并向交换机发送允许入网规则,进一步接收交换机发送的待认证设备的第二标识信息,从而对第二标识信息进行认证,并在认证通过的情况下与待认证设备建立通信连接。本方法中根据各设备的第一标识信息生成允许入网规则,并向交换机发送允许入网规则,交换机根据允许入网规则对待认证设备进行认证,在认证通过的情况下,将第二标识信息发送给服务器,服务器进一步对待认证设备进行认证,本方案通过双重认证的方式,对待认证设备进行认证,保证了只有认证授权的设备才可以接入网络,有效降低网络的安全风险等级,从而保证了新能源厂站和用户站电力监控***的网络安全。
图3为一个实施例中根据各第一标识信息生成允许入网规则,并向交换机发送允许入网规则的流程示意图,本申请实施例涉及的是如何根据各第一标识信息生成允许入网规则,并向交换机发送允许入网规则的一种可能实现方式,包括以下步骤:
S301,对各第一标识信息进行认证。
在本实施例中,以第一标识信息为MAC地址为例,MAC地址是网卡决定的,是固定的格式,依次包括了制造厂商标识、组播标志位、制造厂商标识、系列号,因此一个设备只会有一个MAC地址且全球唯一。假设设备A的MAC地址为a,设备B的MAC地址为b,设备C的MAC地址为c,设备D的MAC地址为d,设备E的MAC地址为e。服务器对MAC地址a、b、c、d、e与正常的MAC地址进行比对,分别进行认证。
S302,若对各第一标识信息认证通过,则根据各第一标识信息生成允许入网规则,并向交换机发送允许入网规则。
在本实施例中,若上述MAC地址a、b、c为认证通过的第一标识信息,服务器根据MAC地址a、b、c生成允许入网规则,将允许入网规则发送给交换机,以供交换机根据允许入网规则对待认证的设备进行认证。
可选的,服务器可以针对每一个标识信息生成对应的允许入网规则,也可以将认证通过后的所有第一标识信息统一处理,得到一个总的允许入网规则。
本实施例中,对各第一标识信息进行认证,根据通过后的各第一标识信息生成允许入网规则,并向交换机发送允许入网规则。本方法中对各第一标识信息进行认证,根据所有合法化的第一标识信息生成允许入网规则,根据允许入网规则对接入设备进行认证,保证了接入设备的安全性。
图4为一个实施例中根据探测报文进行分析处理的流程示意图,本申请实施例涉及的是如何根据探测信息生成探测报文,并向探测分析设备发送探测报文,以由探测分析设备对探测报文进行分析处理得到分析结果的一种可能实现方式,包括以下步骤:
S401,从本地数据库中获取探测信息。
在本实施例中,服务器可以根据电子标签从本地数据库中获取探测信息,也可以根据关键字筛选获取探测信息。
S402,根据探测信息生成探测报文,并向探测分析设备发送探测报文,以由探测分析设备对探测报文进行分析处理得到分析结果。
在本实施例中,服务器根据探测信息生成探测报文,并向探测分析设备发送探测报文,探测分析设备通过过滤筛选网络元组,分析并识别探测报文(外联或跨区互联),根据探测报文评估违规风险,记录审计并管理告警。
本申请实施例中,从本地数据库中获取探测信息,根据探测信息生成探测报文,并向探测分析设备发送探测报文,以由探测分析设备对探测报文进行分析处理得到分析结果,评估违规风险,记录审计并管理告警,避免将不同区域的监控***互相连接起来对***的动态稳定性造成影响的现象发生。
图5为一个实施例中对各设备的安全进行管理的流程示意图,本实施例涉及的是如何根据目标安全策略,对各设备的安全进行管理的一种可能实现方式,包括以下步骤:
S501,获取目标安全策略,其中,目标安全策略包括资产策略、外设介入策略、入网策略、U盘策略、合规基线检测策略、违规外联与跨区互联探测策略。
在本实施例中,服务器可以同时获取所有的目标安全策略,也可以针对不同的情况获取相应的目标安全策略。
S502,根据目标安全策略,对各设备的安全进行管理。
在本实施例中,服务器根据不同的目标安全策略,对各设备的安全进行管理。以上述步骤S501入网策略为例,自动判断设备是否可以接入网络,禁止不符合要求的设备进行网络,主要可以包括对设备的身份识别,设备入网必须符合的安全要求,以及设备在规定时间进行访问。
本申请实施例中,通过获取目标安全策略,从而根据目标安全策略,对各设备的安全进行管理。本方法中通过不同的目标安全策略,完成对设备全方位的安全检测,保证设备的安全连接。
图6为一个实施例中生成端口服务信息表的流程示意图,本实施例涉及的是如何根据端口服务的服务标识以及各端口服务的服务信息,生成端口服务信息表的一种可能的实现方式,包括以下步骤:
S601,获取待认证设备的已启用的各端口服务的服务标识。
其中,端口服务的服务标识是用于区分服务的端口,如TCP/IP协议中的服务端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等。
在本实施例中,服务器向待认证设备主动发起TCP/UDP服务的应用连接请求,扫描待认证设备(终端)的端口,通过待认证设备的服务回应状态,来判断常用的端口和指定的端口是否开放,从而获取待认证设备的已启用的各端口服务的服务标识。
S602,获取各端口服务的服务信息。
在本实施例中,假设,上述获取的已启用的各端口服务的服务标识为端口40、端口41、端口42、端口43、端口44、端口45,服务器可以获取以上各端口服务相对应的服务信息,端口40的服务信息为A,端口41的服务信息为B,端口42的服务信息为C,端口43的服务信息为D,端口44的服务信息为E,端口45的服务信息为F。
S603,根据各端口服务的服务标识以及各端口服务的服务信息,生成端口服务信息表。
在本实施例中,可以根据各端口服务的服务标识以及各端口服务的服务信息之间的对应关系,生成关于服务标识和服务信息的端口服务信息表。也可以根据各端口服务的服务信息,确定各端口服务的服务类型,从而生成服务标识和服务类型的端口服务信息表。
进一步地,如图7所示,“根据各端口服务的服务标识以及各端口服务的服务信息,生成端口服务信息表”可以包括以下步骤:
S701,根据各端口服务的服务信息,确定各端口服务的服务类型。
在本实施例中,根据各端口服务的服务信息,确定各端口服务的服务类型,以上述步骤为例,假设,根据服务信息B确定端口41为图形;根据服务信息C确定端口42为主机名服务;根据服务信息D确定端口43为who is服务;根据服务信息E确定端口44为MPM(消息处理模块)标志协议;根据服务信息F确定端口45为消息处理模块。
S702,根据各端口服务的服务标识以及服务类型,生成端口服务信息表。
在本实施例中,服务器可以利用一一匹配的方式,根据各端口服务的服务标识以及服务类型,根据不同的设备进行分类,将某一设备所有的服务标识以及服务类型生成一个端口服务信息表。也可以根据服务标识以及服务类型,将不同设备的同一服务标识以及服务类型生成一个端口服务信息表。
进一步地,可以将端口服务信息表存储在数据库中,方便对各端口信息进行查询。
本申请实施例中,通过获取待认证设备的已启用的各端口服务的服务标识和各端口服务的服务信息,根据各端口服务的服务信息,进一步确定各端口服务的服务类型,从而根据各端口服务的服务标识以及服务类型,生成端口服务信息表。本方法中端口服务信息表可以直观体现服务标识以及服务类型之间的对应关系,方便查询或者获取相应的端口的服务信息。
应该理解的是,虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的设备认证方法的设备认证装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个设备认证装置实施例中的具体限定可以参见上文中对于设备认证方法的限定,在此不再赘述。
在一个实施例中,如图8所示,提供了一种设备认证装置,包括:第一接收模块11、第一生成模块12、第二接收模块13和认证模块14,其中:
第一接收模块11,用于接收客户端发送的各设备的第一标识信息;
第一生成模块12,用于根据各第一标识信息生成允许入网规则,并向交换机发送允许入网规则;
第二接收模块13,用于接收交换机发送的待认证设备的第二标识信息,其中,第二标识信息为交换机根据允许入网规则,对待认证设备进行认证通过的情况下向服务器发送的信息;
认证模块14,用于对第二标识信息进行认证,并在认证通过的情况下与待认证设备建立通信连接。
在一个实施例中,生成模块,包括:
认证单元,用于对各第一标识信息进行认证;
第一生成单元,用于在对各第一标识信息认证通过的情况下,则根据各第一标识信息生成允许入网规则,并向交换机发送允许入网规则。
在一个实施例中,提供了一种设备认证装置,该装置还包括:
第一获取模块,用于从本地数据库中获取探测信息;
发送模块,用于根据探测信息生成探测报文,并向探测分析设备发送探测报文,以由探测分析设备对探测报文进行分析处理得到分析结果。
在一个实施例中,提供了一种设备认证装置,该装置还包括:
第二获取模块,用于获取目标安全策略,其中,目标安全策略包括资产策略、外设介入策略、入网策略、U盘策略、合规基线检测策略、违规外联与跨区互联探测策略;
管理模块,用于根据目标安全策略,对各设备的安全进行管理。
在一个实施例中,提供了一种设备认证装置,该装置还包括:
第三获取模块,用于获取待认证设备的已启用的各端口服务的服务标识;
第四获取模块,用于获取各端口服务的服务信息;
第二生成模块,用于根据各端口服务的服务标识以及各端口服务的服务信息,生成端口服务信息表。
在一个实施例中,第二生成模块包括:
确定单元,用于根据各端口服务的服务信息,确定各端口服务的服务类型;
第二生成单元,用于根据各端口服务的服务标识以及服务类型,生成端口服务信息表。
在一个实施例中,将该方法应用在服务端,如图9所示,具体可以包括管理配置模块、安全策略模块、主动探测模块、探测分析模块、U盘管理模块、审计和违规告警模块、资产应用清点模块、终端管控模块、Radius认证模块、网络准入管理模块、IP/MAC地址采集模块、端口扫描模块以及数据模块,以上各模块通过数据总线连接。
需要说明的是,图9中的终端可以包括上述实施例中的各设备和待认证设备。
其中,终端管控模块与若干个终端连接,对客户端平台的配置管理,信息采集上报,审计管理及升级管理。
终端管控模块调用管理配置模块、安全策略模块,生成终端管控策略和基线检测策略,以JSON报文的形式,通过加密保护通道下发终端,终端管控模块执行资产管控和基线检测策略。
终端管控模块利用可信通道下发已登记U盘信息(PID/VID)列表至终端,设备管理模块(终端侧)执行U盘的管控,将终端告警及审计日志,利用审计和违规告警模块,分析归类存储至运行日志库及告警审计库。
可选的,上述方法步骤中,步骤S602还可以利用该模块来实现。
管理配置模块与终端管控模块协同,对资产的登记管理,对***运行参数的配置和维护。管理配置模块主要功能为基本参数配置、安全参数配置、监测数据及审计日志管理、资产信息的可视化,LDAP资产数据的同步获取。
进一步地,授权管理员调用管理配置模块,管理平台中各个模块运行参数。管理员可维护配置合法U盘注册码(PID/VID)数据库、配置维护探测基础信息数据库,包括厂区信息(名称、网络出口地址等)、探测分析服务信息(服务网络地址等)、探测报文属性。
Radius认证模块与交换机连接,准入认证服务的设备接入认证。Radius认证模块功能包括:为实现MAC地址认证、账号密码的认证及PAP、CHAP标准认证机制。
网络准入管理模块主要功能为对交换机VLAN或ACL规则的配置管理,审计信息的获取。
可选的,上述方法步骤中,步骤S202、S203、S204、S302还可以利用该模块来实现。
IP/MAC地址采集模块与终端连接,管理终端合法IP/MAC地址列表,管理终端地址数据库。可选的,上述方法步骤中,步骤S201、S301还可以利用该模块来实现。
端口扫描模块与终端连接,负责对终端应用服务端口的收集。端口扫描模块主要功能是主动发起终端TCP/UDP服务的应用连接请求,通过判断服务回应状态,获取端口启用列表。
可选的,上述方法步骤中,步骤S601还可以利用该模块来实现。
安全策略模块负责对终端安全策略的管理。所述安全策略模块主要功能包括资产策略及组策略、自定义策略管理,包括外设介入策略、网络准入策略、U盘策略、合规基线检测策略、违规外联与跨区互联探测策略,相关数据配置包括探测分析端服务地址、网络ACL管控、厂区基础信息(IP)。可选的,上述方法步骤中,步骤S501、S502还可以利用该模块来实现。
主动探测模块负责发送跨区互联探测报文,主要是通过指定网卡,向外网或跨区探测分析服务模块发送探测应用TCP报文。具体地,根据探测基础信息数据库信息,构造主动探测报文(TCP-SYN),探测发送报文至外网或跨区探测分析端;还可以维护***IP/MAC地址列表、Radius服务参数(认证账号、认证规则、认证属性)、终端NetACL规则。
可选的,上述方法步骤中,步骤S401、S402还可以利用该模块来实现。
探测分析模块负责违规探测报文识别及违规告警。探测分析模块通过指定网卡与跨区主动探测模块连接,进一步地,探测分析模块主要功能为获取指定网卡的镜像流量,通过过滤筛选网络元组,分析并识别跨区互联探测报文,根据探测报文及厂区配置信息,评估违规风险,记录审计并管理告警。
U盘管理模块与U盘连接,负责对工作U盘的登记及注销。进一步地,U盘管理模块可实现U盘属性值PID/VID(即U盘注册码)的识别和维护管理。通过匹配合法U盘注册码,添加工作U盘信息库记录,完成合法U盘登记,通过删除工作U盘信息库记录,完成U盘注销。
审计和违规告警模块,负责对终端审计日志及告警信息的管理。进一步地,对审计日志的分类处理和存储、对违规告警信息的处置和管理。
资产应用清点模块,负责对终端应用服务的整理统计。主要功能为查询终端统计上报信息,以服务类型为分类标准,对应用进行归类统计并提供可视化统计报表。
可选的,上述方法步骤中,步骤S603、S701、S702还可以利用该模块来实现。
数据库模块,数据库设计包括逻辑设计、物理结构设计和库表设计三个部分。主要负责对后台数据层数据库的读写维护。进一步地,数据库模块可为控制对数据的并发读写,为功能层模块提供可靠高效的读写保证。
客户端上报终端IP/MAC地址列表(本地及缓存),通过采集模块验证后,添加至***合法IP/MAC地址数据库。管理员利用网络准入管理模块,根据***合法IP/MAC列表,生成VLAN或ACL准入规则,通过可信管理通道(SNMP)下发规则至交换机执行。
上述设备认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图10所示。该计算机设备包括通过***总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***和计算机程序。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种设备认证方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图10中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
接收客户端发送的各设备的第一标识信息;
根据各第一标识信息生成允许入网规则,并向交换机发送允许入网规则;
接收交换机发送的待认证设备的第二标识信息,其中,第二标识信息为交换机根据允许入网规则,对待认证设备进行认证通过的情况下向服务器发送的信息;
对第二标识信息进行认证,并在认证通过的情况下与待认证设备建立通信连接。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
对各第一标识信息进行认证;
若对各第一标识信息认证通过,则根据各第一标识信息生成允许入网规则,并向交换机发送允许入网规则。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
从本地数据库中获取探测信息;
根据探测信息生成探测报文,并向探测分析设备发送探测报文,以由探测分析设备对探测报文进行分析处理得到分析结果。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
获取目标安全策略,其中,目标安全策略包括资产策略、外设介入策略、入网策略、U盘策略、合规基线检测策略、违规外联与跨区互联探测策略;
根据目标安全策略,对各设备的安全进行管理。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
获取待认证设备的已启用的各端口服务的服务标识;
获取各端口服务的服务信息;
根据各端口服务的服务标识以及各端口服务的服务信息,生成端口服务信息表。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据各端口服务的服务信息,确定各端口服务的服务类型;
根据各端口服务的服务标识以及服务类型,生成端口服务信息表。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
接收客户端发送的各设备的第一标识信息;
根据各第一标识信息生成允许入网规则,并向交换机发送允许入网规则;
接收交换机发送的待认证设备的第二标识信息,其中,第二标识信息为交换机根据允许入网规则,对待认证设备进行认证通过的情况下向服务器发送的信息;
对第二标识信息进行认证,并在认证通过的情况下与待认证设备建立通信连接。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
对各第一标识信息进行认证;
若对各第一标识信息认证通过,则根据各第一标识信息生成允许入网规则,并向交换机发送允许入网规则。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
从本地数据库中获取探测信息;
根据探测信息生成探测报文,并向探测分析设备发送探测报文,以由探测分析设备对探测报文进行分析处理得到分析结果。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取目标安全策略,其中,目标安全策略包括资产策略、外设介入策略、入网策略、U盘策略、合规基线检测策略、违规外联与跨区互联探测策略;
根据目标安全策略,对各设备的安全进行管理。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取待认证设备的已启用的各端口服务的服务标识;
获取各端口服务的服务信息;
根据各端口服务的服务标识以及各端口服务的服务信息,生成端口服务信息表。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据各端口服务的服务信息,确定各端口服务的服务类型;
根据各端口服务的服务标识以及服务类型,生成端口服务信息表。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
接收客户端发送的各设备的第一标识信息;
根据各第一标识信息生成允许入网规则,并向交换机发送允许入网规则;
接收交换机发送的待认证设备的第二标识信息,其中,第二标识信息为交换机根据允许入网规则,对待认证设备进行认证通过的情况下向服务器发送的信息;
对第二标识信息进行认证,并在认证通过的情况下与待认证设备建立通信连接。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
对各第一标识信息进行认证;
若对各第一标识信息认证通过,则根据各第一标识信息生成允许入网规则,并向交换机发送允许入网规则。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
从本地数据库中获取探测信息;
根据探测信息生成探测报文,并向探测分析设备发送探测报文,以由探测分析设备对探测报文进行分析处理得到分析结果。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取目标安全策略,其中,目标安全策略包括资产策略、外设介入策略、入网策略、U盘策略、合规基线检测策略、违规外联与跨区互联探测策略;
根据目标安全策略,对各设备的安全进行管理。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取待认证设备的已启用的各端口服务的服务标识;
获取各端口服务的服务信息;
根据各端口服务的服务标识以及各端口服务的服务信息,生成端口服务信息表。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据各端口服务的服务信息,确定各端口服务的服务类型;
根据各端口服务的服务标识以及服务类型,生成端口服务信息表。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (7)

1.一种设备认证方法,其特征在于,应用于服务器,所述方法包括:
接收客户端发送的各设备的第一标识信息;所述第一标识信息为各所述设备的唯一标识信息;
对各所述第一标识信息进行认证;若对各所述第一标识信息认证通过,则根据各所述第一标识信息生成允许入网规则,并向交换机发送所述允许入网规则;
接收交换机发送的待认证设备的第二标识信息,其中,所述第二标识信息为所述交换机根据所述允许入网规则,对所述待认证设备的MAC地址进行认证,在认证通过的情况下向所述服务器发送的信息;
确定与所述第二标识信息对应的目标设备,若所述目标设备满足接入时间、所述目标设备未到期且所述目标设备可接入,则与所述目标设备建立通信连接;
所述方法还包括:
获取目标安全策略,其中,所述目标安全策略包括资产策略、外设介入策略、入网策略、U盘策略、合规基线检测策略、违规外联与跨区互联探测策略;
根据所述目标安全策略,对各所述设备的安全进行管理。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
从本地数据库中获取探测信息;
根据所述探测信息生成探测报文,并向探测分析设备发送所述探测报文,以由所述探测分析设备对所述探测报文进行分析处理得到分析结果。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述待认证设备的已启用的各端口服务的服务标识;
获取各所述端口服务的服务信息;
根据各所述端口服务的服务标识以及各所述端口服务的服务信息,生成端口服务信息表。
4.根据权利要求3所述的方法,其特征在于,所述根据各所述端口服务的服务标识以及各所述端口服务的服务信息,生成端口服务信息表,包括:
根据各所述端口服务的服务信息,确定各所述端口服务的服务类型;
根据各所述端口服务的服务标识以及服务类型,生成所述端口服务信息表。
5.一种设备认证装置,其特征在于,所述装置包括:
第一接收模块,用于接收客户端发送的各设备的第一标识信息;所述第一标识信息为各所述设备的唯一标识信息;
第一生成模块,用于对各所述第一标识信息进行认证;若对各所述第一标识信息认证通过,则根据各所述第一标识信息生成允许入网规则,并向交换机发送所述允许入网规则;
第二接收模块,用于接收交换机发送的待认证设备的第二标识信息,其中,所述第二标识信息为所述交换机根据所述允许入网规则,对所述待认证设备的MAC地址进行认证,在认证通过的情况下向服务器发送的信息;
认证模块,用于确定与所述第二标识信息对应的目标设备,若所述目标设备满足接入时间、所述目标设备未到期且所述目标设备可接入,则与所述目标设备建立通信连接;
第二获取模块,用于获取目标安全策略,其中,目标安全策略包括资产策略、外设介入策略、入网策略、U盘策略、合规基线检测策略、违规外联与跨区互联探测策略;
管理模块,用于根据目标安全策略,对各设备的安全进行管理。
6.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4中任一项所述的方法的步骤。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一项所述的方法的步骤。
CN202210361572.7A 2022-04-07 2022-04-07 设备认证方法、装置、计算机设备、存储介质和程序产品 Active CN114726617B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210361572.7A CN114726617B (zh) 2022-04-07 2022-04-07 设备认证方法、装置、计算机设备、存储介质和程序产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210361572.7A CN114726617B (zh) 2022-04-07 2022-04-07 设备认证方法、装置、计算机设备、存储介质和程序产品

Publications (2)

Publication Number Publication Date
CN114726617A CN114726617A (zh) 2022-07-08
CN114726617B true CN114726617B (zh) 2024-05-03

Family

ID=82241453

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210361572.7A Active CN114726617B (zh) 2022-04-07 2022-04-07 设备认证方法、装置、计算机设备、存储介质和程序产品

Country Status (1)

Country Link
CN (1) CN114726617B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101197785A (zh) * 2008-01-04 2008-06-11 杭州华三通信技术有限公司 一种mac认证方法和设备
CN102083171A (zh) * 2010-02-08 2011-06-01 大唐移动通信设备有限公司 一种mtc设备接入网络的方法和设备
CN102185840A (zh) * 2011-04-22 2011-09-14 上海华为技术有限公司 一种认证方法、设备及***
CN103428211A (zh) * 2013-08-07 2013-12-04 华南理工大学 基于交换机的网络认证***及其认证方法
CN106209750A (zh) * 2015-05-08 2016-12-07 深圳市腾讯计算机***有限公司 一种网络分配方法、服务器、网络接入设备及***
CN112800411A (zh) * 2021-02-19 2021-05-14 浪潮云信息技术股份公司 支持多协议、多方式的安全可靠身份认证方法及装置
CN113891428A (zh) * 2020-07-02 2022-01-04 华为技术有限公司 网络接入方法、设备及***
CN114257406A (zh) * 2021-11-17 2022-03-29 中国南方电网有限责任公司 基于标识算法的设备通信方法、装置和计算机设备

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9582308B2 (en) * 2014-03-31 2017-02-28 Nicira, Inc. Auto detecting legitimate IP addresses using spoofguard agents
US11729166B2 (en) * 2020-07-07 2023-08-15 Arista Networks, Inc. Authentication of passive devices

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101197785A (zh) * 2008-01-04 2008-06-11 杭州华三通信技术有限公司 一种mac认证方法和设备
CN102083171A (zh) * 2010-02-08 2011-06-01 大唐移动通信设备有限公司 一种mtc设备接入网络的方法和设备
CN102185840A (zh) * 2011-04-22 2011-09-14 上海华为技术有限公司 一种认证方法、设备及***
CN103428211A (zh) * 2013-08-07 2013-12-04 华南理工大学 基于交换机的网络认证***及其认证方法
CN106209750A (zh) * 2015-05-08 2016-12-07 深圳市腾讯计算机***有限公司 一种网络分配方法、服务器、网络接入设备及***
CN113891428A (zh) * 2020-07-02 2022-01-04 华为技术有限公司 网络接入方法、设备及***
CN112800411A (zh) * 2021-02-19 2021-05-14 浪潮云信息技术股份公司 支持多协议、多方式的安全可靠身份认证方法及装置
CN114257406A (zh) * 2021-11-17 2022-03-29 中国南方电网有限责任公司 基于标识算法的设备通信方法、装置和计算机设备

Also Published As

Publication number Publication date
CN114726617A (zh) 2022-07-08

Similar Documents

Publication Publication Date Title
US9069954B2 (en) Security threat detection associated with security events and an actor category model
US10140453B1 (en) Vulnerability management using taxonomy-based normalization
US7870598B2 (en) Policy specification framework for insider intrusions
US9679125B2 (en) Characterizing user behavior via intelligent identity analytics
US9531755B2 (en) Field selection for pattern discovery
US20140214938A1 (en) Identifying participants for collaboration in a threat exchange community
US20050091532A1 (en) Method and apparatus to detect unauthorized information disclosure via content anomaly detection
EP2723034A1 (en) System for Detection of Mobile Applications Network Behavior - Netwise
CN107733863B (zh) 一种分布式hadoop环境下的日志调试方法和装置
US20130081065A1 (en) Dynamic Multidimensional Schemas for Event Monitoring
US20080016563A1 (en) Systems and methods for measuring cyber based risks in an enterprise organization
Miloslavskaya Security operations centers for information security incident management
WO2011149773A2 (en) Security threat detection associated with security events and an actor category model
US20130198168A1 (en) Data storage combining row-oriented and column-oriented tables
US11818160B2 (en) Predicting cyber risk for assets with limited scan information using machine learning
CN113614718A (zh) 异常用户会话检测器
US20230300153A1 (en) Data Surveillance In a Zero-Trust Network
Meijerink Anomaly-based detection of lateral movement in a microsoft windows environment
US20230396640A1 (en) Security event management system and associated method
US9143517B2 (en) Threat exchange information protection
CN114726617B (zh) 设备认证方法、装置、计算机设备、存储介质和程序产品
Parmar et al. A different approach of intrusion detection and Response System for Relational Databases
Xiong et al. Library data protection and threat detection system based on network security
CN111859363B (zh) 用于识别应用未授权访问的方法、装置以及电子设备
US20240163668A1 (en) Apparatuses, computer-implemented methods, and computer program products for managing access of wireless nodes to a network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant