本發(fā)明涉及通信技術領域，尤其涉及一種終端接入網(wǎng)絡的方法和系統(tǒng)。

背景技術：

在網(wǎng)絡安全管理中，很重要的一塊工作就是防止非法終端入侵網(wǎng)絡。一旦入侵成功，內(nèi)網(wǎng)環(huán)境將被攻擊，造成機密信息的泄露，影響正常的網(wǎng)絡業(yè)務。為了限制非法終端的網(wǎng)絡訪問行為，主要通過限制策略實現(xiàn)，如只允許指定mac地址或用戶名與密碼的終端訪問網(wǎng)絡。

隨著無線網(wǎng)絡技術的發(fā)展，非法終端入侵內(nèi)網(wǎng)變得更加容易，利用空口抓包等技術手段，可以探測到合法終端的mac地址、用戶名與密碼等信息，通過偽造合法終端的mac地址、用戶名與密碼等信息，就可以繞過限制策略，入侵內(nèi)網(wǎng)。造成這樣結果的一個重要原因是限制策略不夠靈活、不便于擴展，因此容易被入侵者破解。

技術實現(xiàn)要素：

本發(fā)明所要解決的技術問題是：提供一種靈活、安全及可擴展的終端接入網(wǎng)絡的方法和系統(tǒng)。

為了解決上述技術問題，本發(fā)明采用的技術方案為：提供一種終端接入網(wǎng)絡的方法，包括如下步驟：

終端接入網(wǎng)絡時，管理系統(tǒng)將終端的終端狀態(tài)設置為未授權，清除已授權標志，將終端的終端狀態(tài)設置為待授權，所述終端的終端狀態(tài)包括：未授權、待授權、已授權和授權失敗；

若終端的終端狀態(tài)為待授權，管理系統(tǒng)通過網(wǎng)絡管理協(xié)議獲取待授權的終端的特征碼，所述管理系統(tǒng)中設有特征碼信息庫和根據(jù)特征碼信息庫制定的特征碼匹配策略；所述特征碼信息庫中存儲有對應合法終端的特征碼。

將特征碼與特征碼匹配策略組進行匹配，若匹配一致，則將終端的終端狀態(tài)由待授權變更為已授權，并設置已授權標志；若匹配不一致，則將終端的終端狀態(tài)由待授權變更為授權失敗，并清除已授權標志；

當管理系統(tǒng)更新特征碼信息庫或特征碼匹配策略組時，將終端的終端狀態(tài)由授權失敗或已授權變更為待授權。

本發(fā)明的另一技術方案為提供一種終端接入網(wǎng)絡的系統(tǒng)，包括：

設置模塊，用于在終端接入網(wǎng)絡時，管理系統(tǒng)將終端的終端狀態(tài)設置為未授權，清除已授權標志，將終端的終端狀態(tài)設置為待授權，所述終端的終端狀態(tài)包括：未授權、待授權、已授權和授權失??；

獲取模塊，用于若終端的終端狀態(tài)為待授權，通過網(wǎng)絡管理協(xié)議獲取待授權的終端的特征碼，所述管理系統(tǒng)中設有特征碼信息庫和根據(jù)特征碼信息庫制定的特征碼匹配策略；所述特征碼信息庫中存儲有對應合法終端的特征碼。

判斷模塊，用于將特征碼與特征碼匹配策略組進行匹配，若匹配一致，則將終端的終端狀態(tài)由待授權變更為已授權，并設置已授權標志；若匹配不一致，則將終端的終端狀態(tài)由待授權變更為授權失敗，并清除已授權標志；

變更模塊，用于當更新特征碼信息庫或特征碼匹配策略組時，將終端的終端狀態(tài)由授權失敗或已授權變更為待授權。

本發(fā)明的有益效果在于：本發(fā)明的終端接入網(wǎng)絡的方法和系統(tǒng)，實現(xiàn)了靈活、可擴展的終端接入限制策略，便于網(wǎng)絡管理員針對網(wǎng)絡的情況對限制策略進行靈活管理與擴展，其具有如下優(yōu)點：首先，本發(fā)明的方法和系統(tǒng)中設有可擴展的特征碼信息庫，新類型終端的私有屬性可以方便地加入特征碼信息庫。其次，本發(fā)明的方法和系統(tǒng)中設有可靈活配置的特征碼匹配策略組，可以設定任意特征碼匹配策略的組合，隨時控制策略組的生效狀態(tài)，特征碼匹配規(guī)則動態(tài)變化，安全性高。

附圖說明

圖1是本發(fā)明具體實施方式的終端接入網(wǎng)絡的系統(tǒng)的結構框圖；

圖2是本發(fā)明具體實施方式的實施例1的終端接入網(wǎng)絡的系統(tǒng)相關的網(wǎng)絡架構圖；

圖3是本發(fā)明具體實施方式的實施例1的終端接入網(wǎng)絡的方法的流程圖；

標號說明：

1、設置模塊；2、獲取模塊；3、判斷模塊；4、變更模塊；

101、網(wǎng)絡；102、管理員；103、管理系統(tǒng)；1031、終端狀態(tài)機；1032、特征碼匹配策略組；1033、特征碼信息庫；104、終端群。

具體實施方式

為詳細說明本發(fā)明的技術內(nèi)容、所實現(xiàn)目的及效果，以下結合實施方式并配合附圖予以說明。

本發(fā)明最關鍵的構思在于：本發(fā)明的終端接入網(wǎng)絡的方法和系統(tǒng)，實現(xiàn)了靈活、可擴展的終端接入限制策略，便于網(wǎng)絡管理員針對網(wǎng)絡的情況對限制策略進行靈活管理與擴展。

本發(fā)明的一個實施例為提供一種終端接入網(wǎng)絡的方法，包括如下步驟：

終端接入網(wǎng)絡時，管理系統(tǒng)將終端的終端狀態(tài)設置為未授權，清除已授權標志，將終端的終端狀態(tài)設置為待授權，所述終端的終端狀態(tài)包括：未授權、待授權、已授權和授權失??；

若終端的終端狀態(tài)為待授權，管理系統(tǒng)通過網(wǎng)絡管理協(xié)議獲取待授權的終端的特征碼，所述管理系統(tǒng)中設有特征碼信息庫和根據(jù)特征碼信息庫制定的特征碼匹配策略；所述特征碼信息庫保存合法終端的特征碼。

將特征碼與特征碼匹配策略組進行匹配，若匹配一致，則將終端的終端狀態(tài)由待授權變更為已授權，并設置已授權標志；若匹配不一致，則將終端的終端狀態(tài)由待授權變更為授權失敗，并清除已授權標志；

當管理系統(tǒng)更新特征碼信息庫或特征碼匹配策略組時，將終端的終端狀態(tài)由授權失敗或已授權變更為待授權。

上述終端接入網(wǎng)絡的方法的有益效果在于：所述特征碼信息庫保存合法終端的特征碼，并且管理系統(tǒng)可以隨時更新特征碼信息庫，新類型終端的私有屬性可以方便地加入特征碼信息庫；設有可靈活配置的特征碼匹配策略組，可以設定任意特征碼匹配策略的組合，隨時控制策略組的生效狀態(tài)，特征碼匹配規(guī)則可動態(tài)變化，安全性高。

在本發(fā)明的一個具體實施例中，上述的終端接入網(wǎng)絡的方法中，所述特征碼匹配策略組的特征碼匹配策略的生效狀態(tài)和特征碼信息庫的特征碼周期性的變更。所述的管理系統(tǒng)的特征碼信息庫，可以由不同類型終端的不同特征碼信息組成，這些特征碼信息包括：(1)公有屬性，如mac地址屬性、用戶名及密碼屬性、序列號屬性等；(2)私有屬性，如終端廠商設置的特定屬性。

在本發(fā)明的一個具體實施例中，上述的終端接入網(wǎng)絡的方法中，管理系統(tǒng)可以創(chuàng)建一個或者多個策略組，每個策略組包含一個或者多個特征碼；每個策略組可以設置不同的匹配規(guī)則及生效狀態(tài)。所述特征碼匹配策略的匹配規(guī)則包括完全匹配或部分匹配，用于配置特征碼匹配的精確度，(1)完全匹配，終端的特征碼必須完全匹配所有生效策略組的所有特征碼；(2)部分匹配，終端的特征碼只需要匹配部分生效策略組的部分特征碼。

管理系統(tǒng)可以隨時更新特征碼信息庫還包括：管理系統(tǒng)可以隨時添加或者刪除特征碼信息庫的特征碼內(nèi)容，當特征碼被刪除時，所有特征碼匹配策略組把刪除的特征碼從策略組內(nèi)移除。管理系統(tǒng)可以設定定時器，周期性地變更策略組的生效狀態(tài)，使得特征碼匹配規(guī)則動態(tài)變化；更進一步地，當特征碼匹配策略組發(fā)生動態(tài)變化后，對終端的特征碼進行重新匹配，判定終端的合法性。

終端只要設置了已授權標志，終端的業(yè)務流量就可正常訪問。若為非法終端，管理系統(tǒng)對非法終端的業(yè)務流量進行受控管理的方式包括：(1)限制非法終端的所有業(yè)務流量；(2)限制非法終端的部分業(yè)務流量。管理系統(tǒng)獲取終端特征碼的通信協(xié)議方法包括：snmp、oam等網(wǎng)絡管理協(xié)議。

請參閱圖1，一種終端接入網(wǎng)絡的系統(tǒng)，包括：

設置模塊1，用于在終端接入網(wǎng)絡時，管理系統(tǒng)將終端的終端狀態(tài)設置為未授權，清除已授權標志，將終端的終端狀態(tài)設置為待授權，所述終端的終端狀態(tài)包括：未授權、待授權、已授權和授權失??；

獲取模塊2，用于若終端的終端狀態(tài)為待授權，通過網(wǎng)絡管理協(xié)議獲取待授權的終端的特征碼，所述管理系統(tǒng)中設有特征碼信息庫和根據(jù)特征碼信息庫制定的特征碼匹配策略；所述特征碼信息庫保存合法終端的特征碼。

判斷模塊3，用于將特征碼與特征碼匹配策略組進行匹配，若匹配一致，則將終端的終端狀態(tài)由待授權變更為已授權，并設置已授權標志；若匹配不一致，則將終端的終端狀態(tài)由待授權變更為授權失敗，并清除已授權標志；

變更模塊4，用于當更新特征碼信息庫或特征碼匹配策略組時，將終端的終端狀態(tài)由授權失敗或已授權變更為待授權。

進一步的，上述的終端接入網(wǎng)絡的系統(tǒng)中，所述特征碼匹配策略組的特征碼匹配策略的生效狀態(tài)和特征碼信息庫的特征碼周期性的變更。

進一步的，上述的終端接入網(wǎng)絡的系統(tǒng)中，所述終端的特征碼包括：mac地址屬性、用戶名、密碼屬性、序列號屬性和終端廠商設置的屬性。

進一步的，上述的終端接入網(wǎng)絡的系統(tǒng)中，所述特征碼匹配策略組包括多個特征碼匹配策略，所述特征碼匹配策略對應多個特征碼，每個特征碼匹配策略設置不同的匹配規(guī)則和生效狀態(tài)。

實施例1

請參閱圖2和圖3，圖2為本實施例的終端接入網(wǎng)絡的網(wǎng)絡架構圖，圖3為本實施的終端接入網(wǎng)絡的方法的流程圖；

一種終端接入網(wǎng)絡的系統(tǒng)，包括：

設置模塊1，用于在終端接入網(wǎng)絡時，管理系統(tǒng)將終端的終端狀態(tài)設置為未授權，清除已授權標志，將終端的終端狀態(tài)設置為待授權，所述終端的終端狀態(tài)包括：未授權、待授權、已授權和授權失?。?/p>

獲取模塊2，用于通過網(wǎng)絡管理協(xié)議獲取待授權的終端的特征碼，所述管理系統(tǒng)中設有特征碼信息庫和根據(jù)特征碼信息庫制定的特征碼匹配策略；所述特征碼信息庫保存合法終端的特征碼。

判斷模塊3，用于將特征碼與特征碼匹配策略組進行匹配，若匹配一致，則將終端的終端狀態(tài)由待授權變更為已授權，并設置已授權標志；若匹配不一致，則將終端的終端狀態(tài)由待授權變更為授權失敗，并清除已授權標志；

變更模塊4，用于當更新特征碼信息庫或特征碼匹配策略組時，將終端的終端狀態(tài)由授權失敗或已授權變更為待授權。

具體的上述終端接入網(wǎng)絡的系統(tǒng)用管理系統(tǒng)與管理員、網(wǎng)絡和終端群的關系進行應用說明，如下：

終端群104要連接到網(wǎng)絡101，需要通過管理系統(tǒng)103的許可授權。

管理系統(tǒng)103可包括終端狀態(tài)機1031，特征碼匹配策略組1032，特征碼信息庫1033，其中：終端狀態(tài)機1031，維護終端的授權狀態(tài)。無論終端處于哪種狀態(tài)，只要設置了已授權標志，終端的業(yè)務流量就可正常訪問；否則，終端的業(yè)務流量無法訪問。

特征碼信息庫1033維護終端的特征碼信息，管理員102可以更新特征碼信息庫1033的特征碼信息。

特征碼匹配策略組1032，維護終端特征碼的匹配策略。管理員102從特征碼信息庫1033選取若干個特征碼組成若干組特征碼匹配策略組，設定特征碼匹配策略組的生效狀態(tài)。管理員102還可以設定策略組生效狀態(tài)的動態(tài)更新周期，實現(xiàn)周期性地動態(tài)變更策略組的生效組合，加強終端的授權復雜度。

使用上述終端接入網(wǎng)絡的系統(tǒng)實施終端接入網(wǎng)絡的方法，其包括如下步驟：

步驟201：終端上線接入網(wǎng)絡時，管理系統(tǒng)將終端的終端狀態(tài)設置為未授權，清除已授權標志；

步驟202：將終端的終端狀態(tài)設置為待授權，所述終端的終端狀態(tài)包括：未授權、待授權、已授權和授權失??；若設置了已授權標志，允許連接網(wǎng)絡，否則禁止連接網(wǎng)絡；

若終端的終端狀態(tài)為待授權，管理系統(tǒng)通過網(wǎng)絡管理協(xié)議獲取待授權的終端的特征碼，所述管理系統(tǒng)中設有特征碼信息庫和根據(jù)特征碼信息庫制定的特征碼匹配策略，所述特征碼信息庫保存合法終端的特征碼。將特征碼與特征碼匹配策略組進行匹配；

步驟203：若匹配一致，則將終端的終端狀態(tài)由待授權變更為已授權，并設置已授權標志；

步驟204：若匹配不一致，則將終端的終端狀態(tài)由待授權變更為授權失敗，并清除已授權標志；

當以下條件觸發(fā)時，將處于狀態(tài)已授權或狀態(tài)授權失敗的終端變更為狀態(tài)待授權，重新進行授權：管理系統(tǒng)更新了特征碼信息庫。管理系統(tǒng)靜態(tài)或者周期性動態(tài)變更了特征碼匹配策略組。

以上所述僅為本發(fā)明的實施例，并非因此限制本發(fā)明的專利范圍，凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等同變換，或直接或間接運用在相關的技術領域，均同理包括在本發(fā)明的專利保護范圍內(nèi)。