本发明涉及计算机技术领域,尤其涉及一种终端接入认证方法及系统。
背景技术:
局域网在实现资源共享的同时需要及时有效的监控用户终端接入合法性,并在终端接入后,对各个用户终端的网络行为进行管控。
现有技术中,往往是利用内置安全功能的接入交换机作为边界认证机实现对用户终端的认证准入,也可以通过边界认证机的访问控制功能独立的对接入的用户终端的网络行为进行管理。
由于现技术是在利用每一台边界认证机仅能独立的对与其通信的部分用户终端的接入进行认证,而不能对通过其他边界认证机接入的用户终端进行认证。为保证网络认证的有效开展,需要在每一台边界认证机中预先存储所有用户终端的认证信息,没有从整体、全局层面对终端的接入认证进行管理,更不能实现从整体、全局层面对安全策略进行统一制定、下发和执行,从而导致安全策略的落地执行效率和效果不佳。
技术实现要素:
针对现有技术存在的问题,本发明实施例提供一种终端接入认证方法及系统。
本发明提供一种终端接入认证方法,包括:接收目标终端的接入信息;根据所述接入信息,从策略管控服务器中获取所述目标终端的注册认证信息;所述注册认证信息是预先加载在所述策略管控服务器中的;基于所述注册认证信息,对所述目标终端进行接入认证。
可选地,根据本发明提供的一种终端接入认证方法,在所述对所述目标终端进行接入认证之后,还包括:在认证通过的情况下,获取所述目标终端的终端信息;将所述终端信息发送给所述策略管控服务器,以获取由所述策略管控服务器反馈的安全策略;所述安全策略是所述策略管控服务器基于所述终端信息生成的;运行所述安全策略,对所述目标终端的运行进行管理。
可选地,根据本发明提供的一种终端接入认证方法,在对所述目标终端的运行进行管理的情况下,若接收到所述目标终端的离线信息,则将所述离线信息发送给所述策略管控服务器;接收并执行由所述策略管控服务器发送的安全策略删除指令。
可选地,根据本发明提供的一种终端接入认证方法,所述注册认证信息包括与所述目标终端的唯一身份标识信息关联的认证公钥;所述基于所述注册认证信息,对所述目标终端进行接入认证,包括:利用所述认证公钥加密任一随机数,生成加密随机数;发送所述加密随机数至所述目标终端接收由所述目标终端反馈的解密随机数,所述解密随机数是由所述目标终端根据认证私钥对所述加密随机数进行解密后生成的;所述认证私钥与所述认证公钥相匹配;根据所述解密随机数与所述任一随机数,实现对所述目标终端的接入认证。
可选地,根据本发明提供的一种终端接入认证方法,在所述根据所述接入信息,从策略管控服务器中获取所述目标终端的注册认证信息,包括:接收所述接入信息,并获取所述接入信息中包含的所述目标终端的唯一身份标识信息;根据所述唯一身份标识信息从所述策略管控服务器中搜索与所述唯一身份标识信息相对应的所述注册认证信息;若未搜索到所述注册认证信息,则发送认证失败信息至所述终端。
可选地,根据本发明提供的一种终端接入认证方法,所述接收目标终端的接入信息,包括:通过监听各接入端口的占用状态;若所述接入端口的占用状态发生改变,则获取发生占用事件所对应的目标终端的目标网卡物理地址;根据所述目标网卡物理地址确定目标终端的接入信息。
本发明还提供一种终端接入认证系统,包括:数据接收单元,用于接收目标终端的接入信息;数据调取单元,用于根据所述接入信息,从策略管控服务器中获取所述目标终端的注册认证信息;所述注册认证信息是预先加载在所述策略管控服务器中的;终端认证单元,用于基于所述注册认证信息,对所述目标终端进行接入认证。
可选地,根据本发明提供的一种终端接入认证系统,还包括:安全策略功能模块;所述安全策略功能模块,用于获取所述目标终端的终端信息;将所述终端信息发送给所述策略管控服务器,以获取由所述策略管控服务器反馈的安全策略;所述安全策略是所述策略管控服务器基于所述终端信息生成的;运行所述安全策略,对所述目标终端的运行进行管理。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述终端接入认证方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述终端接入认证方法的步骤。
本发明提供的终端接入认证方法及系统,利用策略管控服务器对终端的注册认证信息进行统一管理,以通过边界认证机对终端的接入网络的安全认证进行统一管理,并为安全策略的统一制定和管理提供了基础,实现了终端准入和终端认证的集中管理,有效的提高了网络的安全性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的终端接入认证方法的流程示意图;
图2是本发明提供的终端接入认证方法的信令交互图;
图3是本发明提供的局域网络的结构示意图;
图4是本发明提供的终端接入认证系统的结构示意图;
图5是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1-图5描述本发明实施例所提供的终端接入认证方法和系统。
图1是本发明提供的终端接入认证方法的流程示意图,如图1所示,包括但不限于以下步骤:
步骤s1:接收目标终端的接入信息;
步骤s2:根据所述接入信息,从策略管控服务器中获取所述目标终端的注册认证信息;所述注册认证信息是预先加载在所述策略管控服务器中的;
步骤s3:基于所述注册认证信息,对所述目标终端进行接入认证。
需要说明的是,本发明提供的终端接入认证方法的执行主体可以是任意一台交换机,在该交换机中预先装载了内置的安全认证功能模块,在此基础上,还可以在该交换机中预先装载安全策略功能模块。所述安全策略功能模块能够根据输入的安全策略,调用访问控制列表,对接入的用户终端的网络行为进行控制,即将该交换机作为边界认证机用于对请求接入的用户终端进行安全认证,或者对已经接入的用户终端的网络行为进行统一管理。
与现有技术中的终端接入认证方法不同的是,本发明通过引入策略管控服务器,对所有的边界认证机进行统一管理,并通过对边界认证机的管理,实现对各个用户终端的接入进行认证。
具体地,在步骤s1中,边界认证机通过对各个接入端口进行监控,在检测到目标终端上线或者有新的目标终端接入至某个接入端口时,则可以获取到与该接口连接的目标终端的接入信息。其中,所述接入信息是目标终端的网卡物理地址(mediaaccesscontrol,mac)信息。
其中,mac地址一般由48位二进制数表示,其中前面24位表示网络厂商标识符,而后24位用于表示系列号。由于每个不同的网络厂商会有不同的厂商标识符,而每个厂商所生产出来的网卡的系列号也是不断变化的,所以每块网卡的mac地址是世界上独一无二的。
其中,终端的cid的获取方法包括但不限于以下步骤:
由于每一个目标终端上可能存在多对网卡的情况,即一个目标终端对应有多个mac地址。可以先在目标终端上安装cid生成工具软件,以读取目标终端的硬件信息,包括各个mac信息。
在获取每个mac信息后,可以利用cid编码方法,通过对各mac信息进行编码,获取目标终端的独一无二的cid信息,本发明不对编码的方式作具体限定。
需要说明的是,若所述目标终端是哑终端(dumbterminal),所述目标终端的接入信息为目标终端的mac信息;。
其中,所述哑终端是指不能安装认证客户端软件的设备,比如打印机、摄像头等。。
采用上述设置的原因是,能够充分保证接入信息与目标终端的唯一对应性,即通过目标终端的接入信息能够在策略管控服务器中获取到唯一的注册认证信息。
在获取到目标终端的接入信息,边界认证机根据所述接入信息从策略管控服务器中调取预先存储的注册认证信息。由于接入信息与目标终端是唯一对应的,故获取到的注册认证信息也是与目标终端唯一对应的。
边界认证机在获取到目标终端的注册认证信息后,利用注册认证信息对目标终端进行认证。
注册认证信息中,主要用于认证的信息为终端的cid信息,其中,终端的cid的获取方法包括但不限于以下步骤:
由于每一个目标终端上可能存在多对网卡的情况,即一个目标终端对应有多个mac地址。可以先在目标终端上安装cid生成工具软件,以读取目标终端的硬件信息,包括各个mac信息。在获取每个mac信息后,可以利用cid编码方法,通过对各mac信息进行编码,获取目标终端的独一无二的cid信息,本发明不对编码的方式作具体限定。
所述认证方法有别于传统的802.1x的认证机制(使用账号和密码认证,一个账号可以使用多台设备,多个ip登录,账号与设备或者ip的一对多关系导致安全追溯无法唯一锁定),而是使用更为安全的认证机制来实现,例如:采用ipk(identitypublickey)标识技术,根据目标终端的cid信息,生成一对认证私钥和认证公钥,并将认证公钥预先存储在策略管控服务器,将认证私钥存储在目标终端,以利用认证公钥和认证私钥实现目标终端的接入认证。
本发明提供的终端接入认证方法,利用策略管控服务器对终端的注册认证信息进行统一管理,以通过边界认证机对终端的接入网络的安全认证进行统一管理,并为安全策略的统一制定和管理提供了基础,实现了终端准入和终端认证的集中管理,有效的提高了网络的安全性。
基于上述实施例的内容,作为一种可选实施例,在所述对所述目标终端进行接入认证之后,还包括:
在认证通过的情况下,获取所述目标终端的终端信息;
将所述终端信息发送给所述策略管控服务器,以获取由所述策略管控服务器反馈的安全策略;所述安全策略是所述策略管控服务器基于所述终端信息生成的;
运行所述安全策略,对所述目标终端的运行进行管理。
图2是是本发明提供的终端接入认证方法的信令交互图,如图2所示,在边界认证机通过了对所述目标终端的接入认证,完成对接入终端的认证准入之后,即允许目标设备接入。
在目标设备接入之后,获取目标终端的终端信息,主要是目标终端的mac信息,并将上述终端信息上传至策略管控服务器。
策略管控服务器根据接收到的目标终端的终端信息,从预先制定的访问控制列表(accesscontrollists,acl),查询到与该目标终端所对应的安全策略。然后,将目标终端的安全策略下发给边界认证机。
边界认证机接收到由策略管控服务器下发的目标终端的安全策略后,在本机生效执行,以完成对于目标终端的网络行为的管理。其中,管理的内容可以包括访问权限管理、交互对象管理等,对此本发明不作具体地限定。
本发明提供的终端接入认证方法,利用策略管控服务器根据各个边界认证机上传的各接入终端的终端信息,可以实现对所有边界交换机以及各交换机相关联的各接入终端,进行安全策略的统一制定、发布和管理,能够实现网络资源的有效配置,且能够保证对于所有接入终端的统一认证、管理和调配,提高了管理的能力,进一步保证了网络的安全。
基于上述实施例的内容,作为一种可选实施例,本发明提供的终端接入认证方法,在对所述目标终端的运行进行管理的情况下,若接收到所述目标终端的离线信息,则将所述离线信息发送给所述策略管控服务器;接收并执行由所述策略管控服务器发送的安全策略删除指令。
具体地,由于在实际运行过程中,会存在各接入终端接入和离线两种情况,边界交换机可以通过监控接入端口的状态变化,监控各个已接入设备的通信状态。若接收到某个目标终端在接入网络并运行一段时间后的离线信息后,则将获取的离线信息上传至策略管控服务器。其中,所述离线信息包括所述目标终端身份信息,如mac信息。
策略管控服务器根据接收到的离线信息,确定出对应的目标终端,并相应的生成相应的安全策略删除指令,下发给边界交换机。
边界交换机执行安全策略删除指令,停止针对所述目标终端的安全策略管理,并删除之前由策略管控服务器所下发的针对目标终端的安全策略。
本发明提供的终端接入认证方法,针对离线的终端,由策略管控服务器控制边界交换机相应的对与其相关的安全策略进行删除,有效的释放了边界交换机的运行资源,以提高其安全管理的效率。
基于上述实施例的内容,作为一种可选实施例,所述注册认证信息包括与所述目标终端的唯一身份标识信息关联的cid;所述基于所述注册认证信息,对所述目标终端进行接入认证,包括:
利用所述cid和公钥矩阵生成认证公钥,加密任一随机数,生成加密随机数;
发送所述加密随机数至所述目标终端
接收由所述目标终端反馈的解密随机数,所述解密随机数是由所述目标终端根据认证私钥对所述加密随机数进行解密后生成的;所述认证私钥与所述认证公钥相匹配;
根据所述解密随机数与所述任一随机数,实现对所述目标终端的接入认证。
可选地,本发明提供了一种由边界认证机对目标终端进行认证的方法,该方法主要包括以下内容:
首先,获取目标终端的硬件信息,包括mac信息。对于目标终端存在多个mac信息的情况,则获取所有mac信息。
然后,利用目标终端上安装的cid生成工具,根据目标终端的硬件信息生成目标终端的设备信息,如cid信息。
进一步地,在边界认证机中,可以利用标识密钥技术(如ipk密码标识技术),根据目标终端的cid以及公钥矩阵,生成一个认证公钥。同时,在目标终端上可以根据私钥矩阵以及目标终端的cid生成一个认证私钥。其中,公钥矩阵和私钥矩阵相匹配;对应地,所述认证公钥与所述认证私钥也是相匹配的。
进一步地,边界认证机获取的由策略管控服务器下发的目标终端的注册认证信息,主要包括目标终端cid信息。边界认证机根据目标终端的cid以及公钥矩阵,生成一个认证公钥,利用所述认证公钥对一个随机数(以下称为初始随机数)进行加密,生成一个加密随机数,然后将该加密随机数发送给目标终端。
进一步地,目标终端利用认证私钥对加密随机数进行解密处理,获取到一个解密随机数,并将解密随机数反馈给边界认证机。
边界认证机,将解密随机数与初始随机数进行比较。若两者相同,则证明目标终端通过认证;若两者不相同,则判断为认证不通过。
本发明提供的终端接入认证方法,利用策略管控服务器中预先存储的目标设备相关的认证信息即cid,对目标终端的接入进行认证,有效的防止了非法终端的接入,提高了网络的可靠性和安全性,且由于所有终端的cid信息均保存在策略管控服务器,避免分散管理带来的,认证信息暴露的风险,通过对认证公钥的管理,实现了对各终端认证的统一管理。
基于上述实施例的内容,作为一种可选实施例,在所述根据所述接入信息,从策略管控服务器中获取所述目标终端的注册认证信息,包括:
接收所述接入信息,并获取所述接入信息中包含的所述目标终端的唯一身份标识信息;
根据所述唯一身份标识信息从所述策略管控服务器中搜索与所述唯一身份标识信息相对应的所述注册认证信息;
若未搜索到所述注册认证信息,则发送认证失败信息至所述终端。
本发明提供的终端接入认证方法,一方面,根据获取的目标终端的接入信息,以及预先存储在策略管控服务器中的注册认证信息,实现对于目标终端的接入进行注册认证;另一方面,还通过从策略管控服务器获取目标终端相关的认证数据,以利用所述认证数据中的认证公钥与目标终端中的认证私钥相结合,对目标终端的接入进行认证。
其中,注册认证的方法主要包括:
由边界认证机获取目标终端的接入信息中所携带的目标终端唯一的mac信息,并将所述mac信息上传至策略管控服务器。
在策略管控服务器中,判断是否存在与目标终端的mac信息相对应的注册认证信息(主要是cid信息)。若存在,则确定目标终端通过了注册认证;相应地,若在策略管控服务器中不存在预先存储的与目标终端的mmac信息相对应的注册认证信息,则证明目标终端并未预先在策略管控服务器中注册,则判断注册认证不通过,此时由边界认证机向目标终端发送认证失败消息。
进一步地,目标终端在接收到所述认证失败消息后,可以将与其相关的注册认证信息存储至策略管控服务器之后,再接入至网络,以进行注册认证申请。
本发明提供的终端接入认证方法,通过对终端的接入进行认证,有效的保证了终端的可信度,防止非法终端的非法操作,提高了网络的可靠性和安全性。
基于上述实施例的内容,作为一种可选实施例,所述接收目标终端的接入信息,包括:
通过监听各接入端口的占用状态;
若所述接入端口的占用状态发生改变,则获取发生占用事件所对应的目标终端的目标网卡物理地址;
根据所述目标网卡物理地址确定目标终端的接入信息。
本发明提供了一种获取目标终端接入信息的方法,主要是根据监听边界认证机相关的接入端口的专用状态,来判断是否有新的终端接入,或者有正在通信的终端离线。
在获取到任一接入端口发生了变化(如由空置转为被占用),则根据该接入端口的端口号,获取目标终端的mac地址,进而可以根据目标终端的mac地址确定所接入的终端的接入信息。
本发明提供的终端接入认证方法,可以通过端口监听的方式,实现对于接入终端或者离线终端的身份的获取,能有效的实现自动认证。
图3是本发明提供的网络的结构示意图,如图3所示,在一个企业网络中,可以设置统一的策略管控服务器。所述策略管控服务器与多台边界认证机通过网络三层建立tcp连接。每台边界认证机可以通过aap协议与多个终端进行二层通信。由此,实现了通过策略管控服务器对整个网络中的所有终端的统一认证管理,且通过策略管控服务器,实现了安全策略的统一制定、发布、执行的管理。同时,由于策略管控服务器的高度集成性,可以实现安全策略的移动随行管理。
图4是本发明提供的终端接入认证系统的结构示意图,如图4所示,该系统包括数据接收单元1、数据调取单元2和终端认证单元3,其中:
数据接收单元1主要用于接收目标终端的接入信息;
数据调取单元2主要用于根据所述接入信息,从策略管控服务器中获取所述目标终端的注册认证信息;所述注册认证信息是预先加载在所述策略管控服务器中的;
终端认证单元3主要用于基于所述注册认证信息,对所述目标终端进行接入认证。
具体地,位于边界认证机上的数据接收单元1通过对各个接入端口进行监控,在检测到目标终端上线或者有新的目标终端接入至某个接入端口时,则获取到与该接口连接的目标终端的接入信息。其中,所述接入信息为目标终端的mac信息。
进一步地,数据调取单元2将所述接入信息发送至策略管控服务器,并接收由所述策略管控服务器下发的注册认证信息。其中,每个终端的注册认证信息均预先存储在策略管控服务器。策略管控服务器在接收到目标终端的接入信息后,根据接入信息确定与目标终端相对应的注册认证信息,并下发给边界认证机。
其中,所述注册认证信息主要包括目标终端的cid信息。
最后,边界认证机在获取到目标终端的注册认证信息后,利用注册认证信息对目标终端进行认证。
所述认证方法具体是利用公钥矩阵和cid信息生成认证公钥,对初始随机数进行加密后的机密随机数发送给目标终端;目标终端利用认证私钥对加密随机数进行解密生成解密随机数反馈给边界认证机,边界认证机根据初始随机数与解密随机数的比较,完成对于目标终端的认证。
本发明提供的终端接入认证系统,利用策略管控服务器对终端的注册认证信息进行统一管理,以通过边界认证机对终端的接入网络的安全认证进行统一管理,并为安全策略的统一制定和管理提供了基础,实现了终端准入和终端认证的集中管理,有效的提高了网络的安全性。
需要说明的是,本发明提供的终端接入认证系统,在具体执行时,可以基于上述任一实施例所述的终端接入认证方法来实现,对此本实施例不作赘述。
图5是本发明提供的电子设备的结构示意图,如图5所示,该电子设备可以包括:处理器(processor)510、通信接口(communicationsinterface)520、存储器(memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令,以执行终端接入认证方法,该方法包括:接收目标终端的接入信息;根据所述接入信息,从策略管控服务器中获取所述目标终端的注册认证信息;所述注册认证信息是预先加载在所述策略管控服务器中的;基于所述注册认证信息,对所述目标终端进行接入认证。
此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的终端接入认证方法,该方法包括:接收目标终端的接入信息;根据所述接入信息,从策略管控服务器中获取所述目标终端的注册认证信息;所述注册认证信息是预先加载在所述策略管控服务器中的;基于所述注册认证信息,对所述目标终端进行接入认证。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的终端接入认证方法,该方法包括:接收目标终端的接入信息;根据所述接入信息,从策略管控服务器中获取所述目标终端的注册认证信息;所述注册认证信息是预先加载在所述策略管控服务器中的;基于所述注册认证信息,对所述目标终端进行接入认证。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如rom/ram、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
1.一种终端接入认证方法,其特征在于,包括:
接收目标终端的接入信息;
根据所述接入信息,从策略管控服务器中获取所述目标终端的注册认证信息;所述注册认证信息是预先加载在所述策略管控服务器中的;
基于所述注册认证信息,对所述目标终端进行接入认证。
2.根据权利要求1所述的终端接入认证方法,其特征在于,在所述对所述目标终端进行接入认证之后,还包括:
在认证通过的情况下,获取所述目标终端的终端信息;
将所述终端信息发送给所述策略管控服务器,以获取由所述策略管控服务器反馈的安全策略;所述安全策略是所述策略管控服务器基于所述终端信息生成的;
运行所述安全策略,对所述目标终端的运行进行管理。
3.根据权利要求1所述的终端接入认证方法,其特征在于,在对所述目标终端的运行进行管理的情况下,若接收到所述目标终端的离线信息,则将所述离线信息发送给所述策略管控服务器;
接收并执行由所述策略管控服务器发送的安全策略删除指令。
4.根据权利要求1所述的终端接入认证方法,其特征在于,所述注册认证信息包括与所述目标终端的唯一身份标识信息关联的认证公钥;所述基于所述注册认证信息,对所述目标终端进行接入认证,包括:
利用所述认证公钥加密任一随机数,生成加密随机数;
发送所述加密随机数至所述目标终端
接收由所述目标终端反馈的解密随机数,所述解密随机数是由所述目标终端根据认证私钥对所述加密随机数进行解密后生成的;所述认证私钥与所述认证公钥相匹配;
根据所述解密随机数与所述任一随机数,实现对所述目标终端的接入认证。
5.根据权利要求1所述的终端接入认证方法,其特征在于,在所述根据所述接入信息,从策略管控服务器中获取所述目标终端的注册认证信息,包括:
接收所述接入信息,并获取所述接入信息中包含的所述目标终端的唯一身份标识信息;
根据所述唯一身份标识信息从所述策略管控服务器中搜索与所述唯一身份标识信息相对应的所述注册认证信息;
若未搜索到所述注册认证信息,则发送认证失败信息至所述终端。
6.根据权利要求1所述的终端接入认证方法,其特征在于,所述接收目标终端的接入信息,包括:
通过监听各接入端口的占用状态;
若所述接入端口的占用状态发生改变,则获取发生占用事件所对应的目标终端的目标网卡物理地址;
根据所述目标网卡物理地址确定目标终端的接入信息。
7.一种终端接入认证系统,其特征在于,包括:
数据接收单元,用于接收目标终端的接入信息;
数据调取单元,用于根据所述接入信息,从策略管控服务器中获取所述目标终端的注册认证信息;所述注册认证信息是预先加载在所述策略管控服务器中的;
终端认证单元,用于基于所述注册认证信息,对所述目标终端进行接入认证。
8.根据权利要求7所述的终端接入认证系统,其特征在于,还包括:安全策略功能模块;
所述安全策略功能模块,用于获取所述目标终端的终端信息;
将所述终端信息发送给所述策略管控服务器,以获取由所述策略管控服务器反馈的安全策略;所述安全策略是所述策略管控服务器基于所述终端信息生成的;
运行所述安全策略,对所述目标终端的运行进行管理。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述终端接入认证方法步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述终端接入认证方法步骤。
技术总结