专利名称:一种终端安全管理、认证方法及系统的制作方法
技术领域:
本发明涉及终端安全管理技术领域,特别涉及一种G终端安全管理、认证方法及系统。
背景技术:
信息技术发展到今天,人们的工作和生活已经越来越依赖于计算机和网络;然而, 自网络诞生的那一天起,它就存在着一个重大隐患——安全问题,人们在享受着网络所带来的便捷同时,不得不承受着网络安全问题带来的隐痛。说到网络安全,人们自然就会想到网络边界安全,但是实际情况是网络的大部分安全风险均来自于内部。常规安全防御手段往往局限于网关级别、网络边界(防火墙、IDS、 漏洞扫描)等方面的防御、重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控,来自网络外部的安全威胁大大减小。相反,来自网络内部的计算机的安全威胁却是众多安全管理人员所面临的棘手的问题。现有公司对局域网上公共设备的安全管理存在一定漏洞,对于公共领域的设备, 可由公司任何人员所使用,但一般是采用分配一公共帐号,此种方案存在一种弊端,那就是无法知晓具体是谁在使用该设备,不利于保护资源的安全。因此急需一种对内网终端的管理系统和方法来解决上述问题。
发明内容为克服现有技术中存在的缺陷,本发明提供了一种终端安全管理方法和系统,通过加强对用户认证和分类管理来提高终端的安全性,特别提供了一种认证的方法。一种用于局域网中终端安全管理方法中的认证方法,其特征在于,在局域网中设置一终端管理器,该终端管理器包括身份认证服务芯片/模块、策略管理服务芯片/模块和告警平台,并包括以下步骤:A1步骤,终端启动,在进入该终端的操作系统之前,通过局域网发送认证请求消息,在该消息中包含用户信息、与用户信息对应的密码、该终端的固有特征的信息和该用户要求的使用权限信息;A2步骤,该终端管理器收到该认证请求后,交由认证服务芯片/模块进行处理,认证服务器读取该认证请求消息中的用户信息、与用户信息对应的密码、固有特征信息和该用户要求的使用权限信息,核实用户信息中包含的用户名是否为合法用户,核实该固有特征信息判断该终端是否是合法终端,如果既是合法用户又是合法终端则继续A3步骤,否则进行相应告警并拒绝该认证;A3步骤,如果既是合法用户又是合法终端,则认证服务芯片/模块读取该存储器/模块中该用户的策略信息,根据该策略信息判断该用户是否有权限使用该终端,如果是继续A4步骤,否则拒绝该认证;A4步骤,如果该用户有权限使用该终端,则认证服务芯片/模块判断该认证请求消息中的该用户要求的使用权限与用户信息、终端的固有特征信息是否相符,如果不相符则拒绝该认证, 否则认证通过,该终端管理器向终端返回认证通过消息;A5该终端管理器根据策略管理服务芯片/模块中存储器存储的用户信息、终端对应的管理策略对该终端进行配置管理,完成终端操作系统的启动。优选地,该方法还包括,所述A2步骤中进行相应告警并拒绝该认证具体为如果该用户信息中的用户名为非法用户或者该终端为非法终端,则直接拒绝该认证请求消息,并向告警平台发送告警信息,在告警信息中包含终端的固有特征的信息和用户{曰息。一种用于局域网中终端安全管理方法中的认证方法,其特征在于,在局域网中设置一终端管理器,并包括以下步骤A1步骤,终端启动,在进入该终端的操作系统之前,通过局域网发送认证请求消息,在该消息中包含用户信息、与用户信息对应的密码、该终端的固有特征的信息和该用户要求的使用权限信息;A2步骤,该终端管理器收到该认证请求后,读取该认证请求消息中的用户信息、与用户信息对应的密码、固有特征信息和该用户要求的使用权限信息,核实用户信息中包含的用户名是否为合法用户,核实该固有特征信息判断该终端是否是合法终端,如果既是合法用户又是合法终端则继续A3步骤,否则进行相应告警并拒绝该认证;A3步骤,如果既是合法用户又是合法终端,该终端管理器根据该用户的策略信息判断该用户是否有权限使用该终端,如果是继续A4步骤,否则拒绝该认证; A4步骤,如果该用户有权限使用该终端,该终端管理器判断该认证请求消息中的该用户要求的使用权限与用户信息、终端的固有特征信息是否相符,如果不相符则拒绝该认证,否则认证通过,该终端管理器向终端返回认证通过消息;A5该终端管理器根据存储的用户信息、终端对应的管理策略对该终端进行配置管理,完成终端操作系统的启动。其中,所述该终端的固有特征的信息为终端名称、IP地址、MAC地址、硬件配置信息、软件信息。优选地, 所述软件信息为操作系统类型/版本、安装软件列表,所述硬件信息为CPU型号、内存大小、 硬盘型号及大小、设备接口。一种用于局域网中终端安全管理系统,其特征在于,该安全管理系统包括一终端管理器,该终端管理器包括身份认证服务芯片/模块,用于为终端提供身份认证,并在终端通过身份认证后,为该终端返回认证响应消息;策略管理服务芯片/模块,其包含一存储器/模块,用于存储不同的用户、终端所对应的管理策略,同时还包括一管理策略配置芯片 /模块,用于以接收系统管理员的命令,对管理策略数据库模块中的管理策略进行管理和维护;告警平台,用于向维护人员发出告警。一种用于局域网中终端安全管理系统,其特征在于,该安全管理系统包括终端管理引擎、策略中心、综合展示三个平台,所述终端管理引擎平台,用于向上输出身份信息、资产信息,并提供基础的统一的报警与响应引擎供各功能模块调用,同时完成对终端、用户和用户期望权限的认证;所述策略中心平台,用于管理所有终端管理的功能性模块,调用基础平台的身份管理信息、资产信息,并存储不同的用户、终端所对应的管理策略,还用于接收系统管理员的命令,对管理策略数据库模块中的管理策略进行管理和维护;所述综合展示平台,用于收集所有终端的资产信息、所有安全事件,并进行统一的展示,并对各功能模块在管理过程中发生的安全事件进行报警与响应。
图1为本发明的一个安全管理器的功能示意2为本发明的一个为终端提供接入时的管理示意图具体实施方式下面结合说明书附图详细说明本发明是如何实施的。本发明的终端安全管理系统包括多个终端,接入内网;交换机或路由器,其与所述局域网相连接,用于为所述终端提供接入;终端管理器系统,其与所述局域网相连接,通过所述交换机或所述路由器对所述终端进行安全管理。局域网为有线Khernet局域网络或者符合802. IX标准系列的无线局域网,优选的,在该终端的系统中设置不同的使用权限,对于一般员工而言其为一有限权限的计算机, 所述有限权限是指使用该计算机的用户只具有power user的使用权限,即只能使用系统的部分功能和程序,并无administrator的使用权限。在本发明中,用户在启动终端接入到该局域网时,需要输入用户所要期望的使用权限,根据用户的使用权限完成对用户的认证与终端管理。该终端在接入到局域网时,通过局域网向该交换机或路由器发出身份认证信息, 该身份认证信息至少包括用户信息、该终端的固有特征的信息和用户的权限信息(power user & user name, administrator user & username),该终端的固有特征的信息为终端名称、IP地址、MAC地址、硬件配置信息(CPU型号、内存、硬盘型号及大小、设备接口)、软件信息(操作系统类型/版本、安装软件列表),该用户信息为所属组织机构、岗位、联系方式等; 该交换机或路由器将该信息转发给该终端管理器系统进行身份认证。该终端管理器包括身份认证服务芯片/模块,用于为终端提供身份认证,并在终端通过身份认证后,为该终端返回认证响应消息,该响应消息中包含通话密钥;策略管理服务芯片/模块,其包含一存储器/模块,用于存储不同的用户、终端所对应的管理策略,同时还包括一管理策略配置芯片/模块,用于以接收系统管理员的命令,对管理策略数据库模块中的管理策略进行管理和维护;告警平台,用于向维护人员发出告警。认证流程为Al终端启动,在进入该终端的操作系统之前,通过局域网发送认证请求消息,在该消息中包含用户信息、与用户信息对应的密码、该终端的固有特征的信息和该用户要求的使用权限信息。A2该终端管理器收到该认证请求后,交由认证服务芯片/模块进行处理,认证服务器读取该认证请求消息中的用户信息、与用户信息对应的密码、固有特征信息和该用户要求的使用权限信息,核实该用户信息中的用户名是否为合法用户,核实该固有特征信息判断该终端是否是合法终端,如果既是合法用户又是合法终端则继续A3步骤,否则进行相应告警并拒绝该认证。其中该用户信息也可以仅仅为用户名或者为给用户分配的唯一的帐号,也可以包含部门、职务、工位电话等信息。优选地,该进行相应告警并拒绝该认证具体如下如果该用户为非法用户或者该终端为非法终端,则直接拒绝该认证请求消息,并向告警平台发送告警信息,在告警信息中包含终端的固有特征的信息和用户名。优选判断该用户是否为合法用户的方法可直接判断该用户是否为在终端管理器中注册的用户,同时用户名和密码是否正确。优选判断该终端是否为非法终端的处理方式有很多种,例如,通过判断该终端的 MAC地址是否在该终端管理器系统中注册的MAC地址,进一步可结合该终端的硬件信息和
6其上运行的软件信息来判断。在告警信息中包含用户名和终端固有特征信息,可在告警平台上显示,提示维护或监控人员进行相应的人工核查,以进一步保障安全。A3如果既是合法用户又是合法终端,则认证服务芯片/模块读取该存储器/模块中该用户的策略信息,根据该策略信息判断该用户是否有权限使用该终端,如果是继续A4 步骤,否则拒绝该认证。通过这种方式,就无需在在公共领域的终端设备(如计算机)上配置一般帐号,在使用某人要使用某一公共计算机时,在登陆该计算机时,输入自己的用户名(例如姓名)和密码,在认证通过后才能使用该计算机,这样就可知晓具体是谁在使用该公共计算机。A4如果该用户有权限使用该终端,则认证服务芯片/模块判断该认证请求消息中的该用户要求的使用权限与用户信息(用户名或帐号)、终端的固有特征信息是否相符,如果不相符则拒绝该认证,否则认证通过,该终端管理器向终端返回认证通过消息。在局域网,可能不同的设备存储资料的安全等级不同,并非所有的终端均能让所有员工使用,因此,本发明通过对不同终端配置不同的安全等级,只有相应的用户才有相应的使用权限,从而提高了局域网内部设备的使用效率与安全性。通过这种方式,对于局域网的所有终端,可通过在一个操作数据库中对其使用权限进行配置,使得可在监测、记录使用终端的用户的同时,简化了对终端的配置与管理方式,也提高了安全性。当用户没有浏览该终端设备任何信息时,由于在A3步骤中已经被拒绝,在A4步骤中,用户如果被拒绝是由于用户所期望的使用权限过高,在这里,用户至少具有浏览终端最低使用权限的资料,因此,在A4步骤,如果该认证被拒绝,可以让用户选择是否以最低权限完成该终端的启动,让用户使用最低权限的资料,例如,仅有浏览特定目录的文件的权限,寸寸。A5该终端管理器根据策略管理服务芯片/模块中存储器存储的用户名、终端对应的管理策略对该终端进行配置管理,完成终端操作系统的启动。当然,上述仅为优选的认证流程,其该终端管理服务器可以采用上述结构,也可以采用其他结构,或者采用一独立的计算机来实施上述认证流程,此时身份认证服务芯片/ 模块、策略管理服务芯片/模块和告警平台所具备的功能或者执行的方法均有一独立的计算机具备或者执行。在进一步的优选中,该告警平台可以为一独立的服务器,也可以为一集成与该终端管理器的模块,在告警服务器/模块上记录每条告警信息,并进行分类整理与显示。对于对应某一安全等级的资源,一旦发现被入侵或者未通过的授权访问,立即显示告警信息,将其以最高级别予以告警。例如,告警等级可设置为红色告警、橙色告警、橙黄色告警、黄色告警,红色告警代表最高等级,黄色告警为最低级别告警。同时,该告警平台存在一日志记录模块,记录所有告警新型。在通过认证后,用户使用终端的过程中,还需要对终端的使用过程进行监控与控制,下面给予详细的描述。上述内容仅从认证流程进行了描述,但是对于一终端的管理,并非通过认证后就算完成了管理,必须在用户使用该终端时进行相应的管理与监考,为此需要将该终端管理器进行功能扩展,可将该终端管理器分为终端管理引擎、策略中心、综合展示三个平台,如图1所示,其中终端管理引擎做为关键支撑平台,是承载所有终端管理的基础平台,向上输出身份信息、资产信息,并提供基础的统一的报警与响应引擎供各功能模块调用,同时完成对终端、用户和用户期望权限的认证,对应于身份认证服务芯片/模块;策略中心负责所有终端管理的功能性模块,调用基础平台的身份管理信息、资产信息,并存储不同的用户、终端所对应的管理策略,同时还包括一管理策略配置芯片/模块,用于以接收系统管理员的命令,对管理策略数据库模块中的管理策略进行管理和维护,对应于策略管理服务芯片/ 模块;综合展示平台收集所有终端的资产信息、所有安全事件,并进行统一的展示,并对各功能模块在管理过程中发生的安全事件进行报警与响应。同时,通过全网联动,将其他安全管理系统的信息和事件联动到系统中,在终端上进行统一的报警与响应。系统所有功能,均通过策略方式将指令下发到客户端进行执行。而策略本身就包含了各个功能的所有管理要求,可以为管理员提供详细的控制手段,并且通过丰富的默认设置,可以提供完善的便捷性,管理员可以针对各个策略采用大量默认设置而轻松完成策略设定。除以上策略要素之外,还有两个要素需要详细说明如下。系统提供了策略优先级的管理功能,管理员可以设置不同级别的策略,各种策略可以按照优先级进行排序,当策略间发生冲突时,高优先级的策略可以覆盖低优先级的策略。系统提供了基于场景的安全管理策略,管理员可以设置不同的场景,如根据工作时间和休息时间设定不同的策略,在工作时间设定的策略在休息时间不生效,休息时间场景的策略在工作时间亦不生效。对于违反策略的客户端操作,可以以多种方式触发报警,通知管理员进行处理,例如按文件名、资产类型等信息触发警报。终端与内网安全管理系统可以对终端在线/离线2 种状态下应用的策略分别予以设置。客户端和服务器连接能够进行通信时为在线状态,无法和服务器完成通信时即为离线状态。通过对在线/离线2种状态设置不同的策略,对于经常移动办公的设备(如笔记本)可以提供更加灵活实用的管理。系统以策略的形式,提供全套日志服务,日志内容包括下述所有功能的日志,以及管理员通过控制台对服务器进行的所有操作等日志,通过自动登记和管理检查的方法,记录各类终端计算机资产清单、软硬件配置信息和使用者用户信息,作为终端安全管理的基础依据。资产内容包括终端名称、IP地址、 MAC地址、硬件配置信息(CPU、内存、硬盘、设备接口)、软件信息(操作系统类型/版本、安装软件列表)、用户信息(姓名、所属组织机构、岗位、联系方式),等等。同时,对资产的变更进行管理及时发现终端计算机上是否有变更,对非法资产变更行自动处理。通过建立终端角色和用户,定义角色的操作和控制权限,并为用户分配相应角色的权限,以此作为制定安全管理策略的基础依据。当终端计算机违反设定的安全策略,或根据策略设定进行报警响应时,可自动将事件上报服务器,并且在终端上对安全事件进行自动处理。报警与响应做为基础平台,供所有功能模块调用,实现报警与响应的统一化、标准化、自动化。在终端上进行自动响应,响应手段包括桌面消息提示、锁定终端计算机、断开网
8络、弹出指定URL页面、断开准入连接等。终端计算机自动将安全事件的报警信息上传服务器,并在报警控制台上向管理员进行报警提示。提供报警信息的查看分析和汇总统计。支持红色报警、橙色报警、橙黄色警报和黄色报警等四个级别。在准入方面,除了可以对所有客户端进行合法性检验和控制,非法的、不接受管理的客户端将被隔离在网络之外,而合法的客户端可以接入网络进行正常操作,如图2所示。 系统提供了最全面的准入控制方式,可以充分满足用户网络各种不同环境下的准入控制需求。802. Ix准入控制按照802. Ix协议认证内部接受管理的终端计算机,标识和审批 “合法”终端,通过交换机联动方式拒绝未经认证的“非法”终端接入网络。这样,对于无线终端,在其移动至无线局域网时,就可判断其是否是非法终端。ARP准入控制在低端网络环境中,可使用基于ARP协议的准入控制方式,对终端进行控制。因ARP方式的特殊性,一般用于要求低成本、效果要求不高的场合。网络边界准入控制通过安全准入网关管理的终端计算机。应用网关准入控制通过在Portal等关键应用上部署应用准入网关,控制不符合准入条件的终端计算机禁止访问指定的网络资源、允许符合准入条件的计算机进行访问。 应用准入网关是一个软件,适用于各种web应用系统。远程终端准入控制通过远程接入网关,对远程终端进行准入控制。不符合准入条件的终端计算机禁止连入内网、允许符合准入条件的计算机可以连入内网。终端安全防护的目标是保护终端计算机环境安全、数据安全和关联网络通讯安全,目的是为业务创造良好的安全运行环境,保障公司业务正常运营。因此还必须对并对进行检测和控制,如图2所示。检查发现辖内终端计算机操作系统和通用系统软件安全漏洞, 通过自动化的技术措施及时修复漏洞,规避系统漏洞被黑客、蠕虫利用的风险;检测终端计算机是否安装防病毒软件,避免因防病毒的缺失带来病毒问题。在终端计算机上进行关键安全配置的实时检查,防止用户随意修改这些关键配置而导致安全问题。主要包括“禁用控制面板”、“禁用网络属性”、“禁止‘发送到’”、“禁止修改IP地址”……等多项操作全面提升客户端的安全性。同时,支持对ARP病毒的防范。根据终端计算机的业务需要和管理需要,设定是否允许使用外设。可管理的外设包括软驱(Floppy)、光驱(CD/DVD/HD-DVD/BlueRay)、磁带机、Flash存储设备(U盘及MP3 播放器)、串口和并口(COM/LPT)、SCSI接口、蓝牙设备、红外线设备、打印机、调制解调器、 USB接口、火线接口(1394)、PCMCIA插槽等。在终端计算机上部署基于桌面的防火墙技术措施,通过企业级的安全策略对访问活动进行控制,防止外来网络非法连接访问、黑客入侵和利用终端对内部网络其它服务系统发起的网络攻击。内部介质通常只能在内网使用,原则上不能在内网以外使用。管理方法同样为注册+授权,不同的是注册时采用加密方式。加密后的介质只能由授权终端读出,非授权终端无法读出介质内容。介质拿到内网以外更无法读出。通过程序滥用管理策略,可以明确规定哪些程序可以使用、哪些程序不能使用。由此可以预防终端计算机违规使用程序可能带来的风险,并以此协助公司管理,提高员工劳动生产率。通过检查和分析终端计算机的网络分类流量,发现异常流量可能带来的带宽资源消耗和可疑的网络攻击风险,并对异常流量做出控制。通过在终端计算机本地的安全策略控制措施,预防终端计算机违规联网可能带来的安全风险。通过在终端计算机本地的安全策略控制措施,监控终端计算机违规访问危害网站可能带来的安全风险。并可审计所有网页访问。通过对终端上的操作屏幕进行及时监控和录像,防止员工违规操作单位的电脑。能够对对远程终端计算机执行锁定、注销、重启、关机等操作。锁定计算机除非管理员解锁,否则无论强制重新启动或者进入安全模式均不能使用。同时,管理人员可以通过控制台远程取得客户机的控制权,身临其境般进行操作。 对于远端客户机出现的问题,管理人员能够即时、方便的解决。在远程维护或者远程操作业务系统中发挥多方面的作用。通过级联管理,实现上级对下级的管理。级别数无限。支持策略优先级的传递。通过统一的终端安全管理平台,提供直观的、可视化的、全局的终端计算机安全运行状态、安全事件分布和安全保护效果,使得高层管理人员能够据此全面掌握终端计算机安全状况、掌控全局,为安全调度、管理决策以及合规检查提供依据。综合统计支持按终端资产、按部门、按安全级别、按地域等,进行安全事件的综合查询统计,真实有效地展现终端安全现状。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
1.一种用于局域网中终端安全管理方法中的认证方法,其特征在于,在局域网中设置一终端管理器,该终端管理器包括身份认证服务芯片/模块、策略管理服务芯片/模块和告警平台,并包括以下步骤Al步骤,终端启动,在进入该终端的操作系统之前,通过局域网发送认证请求消息,在该消息中包含用户信息、与用户信息对应的密码、该终端的固有特征的信息和该用户要求的使用权限信息;A2步骤,该终端管理器收到该认证请求后,交由认证服务芯片/模块进行处理,认证服务器读取该认证请求消息中的用户信息、与用户信息对应的密码、固有特征信息和该用户要求的使用权限信息,核实用户信息中包含的用户名是否为合法用户,核实该固有特征信息判断该终端是否是合法终端,如果既是合法用户又是合法终端则继续A3步骤,否则进行相应告警并拒绝该认证;A3步骤,如果既是合法用户又是合法终端,则认证服务芯片/模块读取该存储器/模块中该用户的策略信息,根据该策略信息判断该用户是否有权限使用该终端,如果是继续A4 步骤,否则拒绝该认证;A4步骤,如果该用户有权限使用该终端,则认证服务芯片/模块判断该认证请求消息中的该用户要求的使用权限与用户信息、终端的固有特征信息是否相符,如果不相符则拒绝该认证,否则认证通过,该终端管理器向终端返回认证通过消息;A5该终端管理器根据策略管理服务芯片/模块中存储器存储的用户信息、终端对应的管理策略对该终端进行配置管理,完成终端操作系统的启动。
2.如权利要求1所述的方法,其特征在于,所述A2步骤中进行相应告警并拒绝该认证具体为如果该用户信息中的用户名为非法用户或者该终端为非法终端,则直接拒绝该认证请求消息,并向告警平台发送告警信息,在告警信息中包含终端的固有特征的信息和用户fn息。
3.一种用于局域网中终端安全管理方法中的认证方法,其特征在于,在局域网中设置一终端管理器,并包括以下步骤Al步骤,终端启动,在进入该终端的操作系统之前,通过局域网发送认证请求消息,在该消息中包含用户信息、与用户信息对应的密码、该终端的固有特征的信息和该用户要求的使用权限信息;A2步骤,该终端管理器收到该认证请求后,读取该认证请求消息中的用户信息、与用户信息对应的密码、固有特征信息和该用户要求的使用权限信息,核实用户信息中包含的用户名是否为合法用户,核实该固有特征信息判断该终端是否是合法终端,如果既是合法用户又是合法终端则继续A3步骤,否则进行相应告警并拒绝该认证;A3步骤,如果既是合法用户又是合法终端,该终端管理器根据该用户的策略信息判断该用户是否有权限使用该终端,如果是继续A4步骤,否则拒绝该认证;A4步骤,如果该用户有权限使用该终端,该终端管理器判断该认证请求消息中的该用户要求的使用权限与用户信息、终端的固有特征信息是否相符,如果不相符则拒绝该认证, 否则认证通过,该终端管理器向终端返回认证通过消息;A5该终端管理器根据存储的用户信息、终端对应的管理策略对该终端进行配置管理, 完成终端操作系统的启动。
4.如权利要求1或3任一所述的方法,其特征在于,所述该终端的固有特征的信息为 终端名称、IP地址、MAC地址、硬件配置信息、软件信息。
5.如权利要求4的方法,其特征在于,所述软件信息为操作系统类型/版本、安装软件列表,所述硬件信息为CPU型号、内存大小、硬盘型号及大小、设备接口。
6.一种用于局域网中终端安全管理系统,其特征在于,该安全管理系统包括一终端管理器,该终端管理器包括身份认证服务芯片/模块,用于为终端提供身份认证,并在终端通过身份认证后,为该终端返回认证响应消息;策略管理服务芯片/模块,其包含一存储器/模块,用于存储不同的用户、终端所对应的管理策略,同时还包括一管理策略配置芯片/模块,用于以接收系统管理员的命令,对管理策略数据库模块中的管理策略进行管理和维护;告警平台,用于向维护人员发出告警。
7.一种用于局域网中终端安全管理系统,其特征在于,该安全管理系统包括终端管理引擎、策略中心、综合展示三个平台,所述终端管理引擎平台,用于向上输出身份信息、资产信息,并提供基础的统一的报警与响应引擎供各功能模块调用,同时完成对终端、用户和用户期望权限的认证;所述策略中心平台,用于管理所有终端管理的功能性模块,调用基础平台的身份管理信息、资产信息,并存储不同的用户、终端所对应的管理策略,还用于接收系统管理员的命令,对管理策略数据库模块中的管理策略进行管理和维护;所述综合展示平台,用于收集所有终端的资产信息、所有安全事件,并进行统一的展示,并对各功能模块在管理过程中发生的安全事件进行报警与响应。
全文摘要
本发明公开了一种安全管理、认证方法及系统。该系统包括一终端管理器,该终端管理器包括身份认证服务芯片/模块,用于为终端提供身份认证,并在终端通过身份认证后,为该终端返回认证响应消息;策略管理服务芯片/模块,其包含一存储器/模块,用于存储不同的用户、终端所对应的管理策略,同时还包括一管理策略配置芯片/模块,用于以接收系统管理员的命令,对管理策略数据库模块中的管理策略进行管理和维护;告警平台,用于向维护人员发出告警。该方法通过在发送的认证消息请求中包含用户信息、与用户信息对应的密码、该终端的固有特征的信息和该用户要求的使用权限信息来实现。
文档编号H04L29/06GK102195991SQ20111017615
公开日2011年9月21日 申请日期2011年6月28日 优先权日2011年6月28日
发明者刘赛, 焦利, 郑治国, 韩兴宇 申请人:辽宁国兴科技有限公司