一種終端信息防篡改的方法和裝置的制造方法
【技術領域】
[0001] 本發(fā)明涉及數據通信技術領域���,尤其是涉及一種終端信息防篡改的方法和裝置�����。
【背景技術】
[0002] 為了提高工作效率����,降低企業(yè)的成本���,目前許多企業(yè)允許員工自帶設備辦公���?����;?此���,BYOD (Bring Your Own Device)技術應運而生。然而�,當員工自帶設備辦公時,可能會 給企業(yè)帶來很多的安全問題����。例如:員工終端設備上的惡意軟件可能會被傳入公司內部網 絡帶來損失等。因此���,使用BYOD技術的前提是能夠提供足夠安全的保障��,需要根據不同類 型的終端設備執(zhí)行不同的安全策略���,即對不同類型的終端設備采用不同級別的安全控制策 略,從而實現公司機密與個人隱私之間有效的隔離���。
[0003] 現有技術中��,通過在接入設備上綁定終端設備的MAC (Media Access Control,介 質訪問控制)地址與用戶名之間的對應關系����,從而只允許特定MAC地址的終端設備接入網 絡���。例如�����,通過綁定MAC地址1與用戶名1之間的對應關系���,在進行認證時,通過MAC地址1 的終端設備輸入用戶名1和相應密碼時才能夠通過認證���,在通過其它MAC地址的終端設備 輸入用戶名1和相應密碼時����,則無法通過認證���,繼而禁止通過其它MC地址的終端設備接入 網絡�。
[0004] 但是���,如果對終端設備的MAC地址進行篡改����,則用戶可以使用任意終端設備接入 網絡,從而無法保證企業(yè)內部網絡的安全性�。例如,用戶將終端設備的MAC地址從MAC地址 2篡改為MAC地址1�����,使用戶能夠基于該終端設備輸入用戶名1和相應密碼通過認證��,而該 終端設備實際上不允許接入網絡�����。
【發(fā)明內容】
[0005] 有鑒于此����,本發(fā)明提供一種終端信息防篡改的方法和裝置,以解決現有技術存在 的問題����,繼而保證企業(yè)內部網絡的安全性。
[0006] 為了達到上述目的,本發(fā)明提供一種終端信息防篡改的方法���,所述方法包括:步驟 A、認證服務器接收來自終端設備的認證報文���,判斷所述終端設備對應的用戶標識當前綁定 的地址數量是否小于預設綁定地址的數量閾值��,如果是���,則轉入步驟B,否則����,則丟棄該認證 報文并通知接入設備禁止該終端設備接入;步驟B�、認證服務器根據該認證報文對所述終 端設備進行認證,如果認證通過�����,則轉入步驟C���,否則���,則丟棄該認證報文并通知接入設備禁 止該終端設備接入�;步驟C�����、認證服務器獲取所述終端設備的終端信息��,并通過比較當前獲 取的終端信息與數據庫中記錄的該終端設備的終端信息是否相同���,確定當前認證通過的終 端設備的終端信息是否被篡改�����。
[0007] 所述步驟A之前�����,進一步包括:
[0008] 步驟D����、認證服務器在接收到來自終端設備的認證報文時��,從該認證報文中獲取該 終端設備的用戶標識和地址信息����;
[0009] 步驟E�����、認證服務器將獲取的用戶標識和地址信息與數據庫中記錄的用戶標識和 地址信息進行比較�����,判斷數據庫中是否保存有該終端設備對應的地址信息,如果否�����,則執(zhí)行 步驟A ;如果是�����,則執(zhí)行步驟B��。
[0010] 進一步地��,所述步驟C具體包括:
[0011] 步驟C1���、認證服務器通過信息識別方式獲取所述終端設備的終端信息���;
[0012] 步驟C2�����、認證服務器判斷數據庫中記錄的終端信息與當前獲取的終端信息是否相 同�����,如果是���,則執(zhí)行步驟C3 ;否則,則執(zhí)行步驟C4 ;
[0013] 步驟C3�、認證服務器確定當前獲取的終端信息沒有被篡改,根據預定的策略為所 述終端設備開放接入權限���;
[0014] 步驟C4�、認證服務器確定當前獲取的終端信息被篡改����,根據預定的策略禁止所述 終端設備接入網絡或者選擇對所述終端設備進行監(jiān)控。
[0015] 進一步地�����,所述步驟C4具體包括:
[0016] 如果當前獲取的終端信息的信息識別方式與數據庫中記錄的終端信息的原始信 息識別方式相同,在當前獲取的終端信息與數據庫中記錄的終端信息不同時�����,所述認證服 務器確定當前獲取的終端信息被篡改��,且所述認證服務器在日志中記錄終端信息被篡改的 信息���,并強制所述終端設備下線�����;
[0017] 如果當前獲取的終端信息的信息識別方式與數據庫中記錄的終端信息的原始信 息識別方式不同,在當前獲取的終端信息與數據庫中記錄的終端信息不同時�,則所述認證 服務器確定當前獲取的終端信息可能被篡改,且所述認證服務器在日志中記錄終端信息可 能被篡改的信息�,并強制所述終端設備下線或者保持終端設備在線,在保持終端設備在線 時�,對該終端設備進行監(jiān)控。
[0018] 進一步地�,所述信息識別方式包括以下之一或任意組合:動態(tài)主機配置協(xié)議DHCP 識別方式、超文本傳輸協(xié)議HTTP識別方式�����、iNode客戶端識別方式;所述終端信息包括以下 之一或任意組合:生產廠商信息�����、操作系統(tǒng)類型信息����、設備型號信息、設備類型信息����、介質訪 問控制MAC地址信息、IP地址信息�����。
[0019] 本發(fā)明同時提供一種終端信息防篡改的裝置����,其中,該裝置包括:
[0020] 判斷模塊��,用于接收來自終端設備的認證報文�����,判斷所述終端設備對應的用戶標 識當前綁定的地址數量是否小于預設綁定地址的數量閾值,如果是��,則通知認證模塊對所 述終端設備進行認證�;如果否,則丟棄該認證報文并通知接入設備禁止該終端設備接入��;
[0021] 認證模塊����,用于根據認證報文對所述終端設備進行認證,如果認證通過�����,則通知比 較模塊確定所述終端設備的終端信息是否被篡改�����;如果認證不通過���,則丟棄該認證報文并 通知接入設備禁止該終端設備接入;
[0022] 比較模塊����,用于在所述終端設備認證通過后��,獲取所述終端設備的終端信息����,并比 較當前獲取的終端信息與數據庫中記錄的該終端設備的終端信息是否相同����,確定當前認證 通過的終端設備的終端信息是否被篡改。
[0023] 進一步地��,所述裝置還包括:識別處理模塊�,用于
[0024] 在判斷模塊確定所述終端設備對應的用戶標識當前綁定的地址數量是否小于預 設綁定地址的數量閾值之前,接收到來自終端設備的認證報文時���,從該認證報文中獲取該 終端設備的用戶標識和地址信息�,并將獲取的用戶標識和地址信息與數據庫中記錄的用戶 標識和地址信息進行比較��,判斷數據庫中是否保存有該終端設備對應的地址信息���;如果是�, 則直接通知認證模塊根據該認證報文對所述終端設備進行認證�;如果否,則通知判斷模塊 確定所述終端設備對應的用戶標識當前綁定的地址數量是否小于預設綁定地址的數量閾 值��。
[0025] 進一步地,所述裝置還包括:權限處理模塊�,用于
[0026] 當比較模塊確定當前獲取的終端信息沒有被篡改時,根據預定的策略為所述終端 設備開放接入權限����;當比較模塊確定當前獲取的終端信息被篡改時,則根據預定的策略禁 止所述終端設備接入網絡或者選擇對所述終端設備進行監(jiān)控�����。
[0027] 進一步地�,所述權限處理模塊,還用于:
[0028] 如果當前獲取的終端信息的信息識別方式與數據庫中記錄的終端信息的原始信 息識別方式相同���,在當前獲取的終端信息與數據庫中記錄的終端信息不同時�����,則確定當前 獲取的終端信息被篡改����,且在日志中記錄終端信息被篡改的信息�����,并強制所述終端設備下 線.
[0029] 如果當前獲取的終端信息的信息識別方式與數據庫中記錄的終端信息的原始信 息識別方式不同����,在當前獲取的終端信息與數據庫中記錄的終端信息不同時,則確定當前 獲取的終端信息可能被篡改��,且在日志中記錄終端信息可能被篡改的信息�,并強制所述終 端設備下線或者保持終端設備在線,在保持終端設備在線時��,對該終端設備進行監(jiān)控�。
[0030] 進一步地,所述信息識別方式包括以下之一或任意組合:動態(tài)主機配置協(xié)議DHCP 識別方式����、超文本傳輸協(xié)議HTTP識別方式、iNode客戶端識別方式�;所述終端信息包括以下 之一或任意組合:生產廠商信息、操作系統(tǒng)類型信息����、設備型號信息、設備類型信息�����、介質訪 問控制MAC地址信息、IP地址信息�����。
[0031] 與現有技術相比����,本發(fā)明至少具有以下優(yōu)點:本發(fā)明中,不僅可以有效的判別終端 信息是否被人為篡改�,而且可以在確定終端信息被篡改后,根據預定的策略禁止所述終端 設備接入網絡或者選擇對所述終端設備進行監(jiān)控�,從而提高自帶終端設備接入網絡策略的 管理效率、靈活性和安全性����。
[0032] 另外,通過設置預設地址綁定數量閾值�����,以在用戶使用的終端設備的數量大于該 預設地址綁定數量閾值時����,能夠拒絕用戶使用該終端設備接入網絡,從而有效防止用戶通 過大量終端設備對網絡的攻擊���,保證企業(yè)內部網絡的安全性�����。
【附圖說明】
[0033] 圖1是本發(fā)明示例性實施例提供的終端信息防篡改的方法流程示意圖�;
[0034] 圖2是本發(fā)明示例性實施例提供的判斷當前終端設備在本次接入之前是否已經 成功接入過網絡的流程示意圖����;
[0035] 圖3是本發(fā)明示例性實施例提供的確定當前認證通過的終端設備的終端信息是 否被篡改的流程示意圖;
[0036] 圖4是本發(fā)明示例性實施例提供的終端信息防篡改的裝置結構示意圖�。
【具體實施方式】
[0037] 針對現有技術中存在的問題,本發(fā)明提供一種終端信息防篡改的方法�,該方法不 僅可以有效地判別終端信息是否被人為篡改,而且可以在確定終端信息被篡改后��,根據預 定的策略禁止所述終端設備接入網絡或者選擇對所述終端設備進行監(jiān)控�����,從而提高自帶終 端設備接入網絡策略的管理效率�、靈活性和安全性。如圖1所示����,該方法包括以下步驟:
[0038] 步驟1��,認證服務器接收來自終端設備的認證報文���,判斷所述終端設備對應的用戶 標識當前綁定的地址數量是否小于預設綁定地址的數量閾值,如果是��,則轉入步驟2,否則��, 則直接丟棄該認證報文并通知接入設備禁止該終端設備接入��。
[0039] 本發(fā)明中�����,所述終端設備的地址信息通常為該終端設備的MAC地址信息�����,但如果 該終端設備的IP地址為靜態(tài)配置的IP地址時�����,則所述終端設備的地址信息也可以為該終 端設備的IP地址信息��。為描述方便,本發(fā)明示例性實施例中將以終端設備的MAC地址信息 為例進行說明�。
[0040] 所述用戶標識