本发明涉及终端准入控制,特别指一种终端白名单准入控制方法、系统、设备及介质。
背景技术:
1、为防范未授权的终端接入内部网络而引起安全风险,需要对不支持802.1x协议,但经安全部门审查允许入网的终端采用mac地址绑定的方式进行准入。针对这类终端的准入,传统上需要网管人员查找终端接入的信息点位置,手动完成相应网络设备的准入配置,再登记台账,存在操作效率低下、回溯管理困难等问题,且网管人员手动配置还可能出现失误,需要额外花时间核查定位问题,进一步影响终端准入控制的效率。
2、因此,如何提供一种终端白名单准入控制方法、系统、设备及介质,实现提升终端准入控制的效率以及便捷性,成为一个亟待解决的技术问题。
技术实现思路
1、本发明要解决的技术问题,在于提供一种终端白名单准入控制方法、系统、设备及介质,实现提升终端准入控制的效率以及便捷性。
2、第一方面,本发明提供了一种终端白名单准入控制方法,包括如下步骤:
3、步骤s10、准入控制终端创建一准入脚本;
4、步骤s20、准入控制终端接收并存储oa平台推送的准入申请;
5、步骤s30、通过所述准入脚本对准入申请进行信息完整性核查;
6、步骤s40、通过所述准入脚本对准入申请进行信息重复性核查,基于所述准入申请生成准入白名单,将所述准入白名单存储至台账数据库;
7、步骤s50、基于所述台账数据库中的准入白名单进行网络终端的准入控制。
8、进一步的,所述步骤s10中,所述准入脚本基于python创建,用于对准入申请进行自动的完整性核查和重复性核查、自动生成和更新准入白名单、登录验证;
9、所述步骤s20具体为:准入控制终端接收oa平台推送的至少携带信息编号、ip地址、mac地址以及第一哈希值的准入申请,将所述准入申请实时存储至预先设定的存储地址中;所述第一哈希值为对信息编号、ip地址以及mac地址进行哈希计算的计算结果。
10、进一步的,所述步骤s30具体为:
11、通过所述准入脚本对准入申请进行信息完整性核查,判断所述准入申请是否包含信息编号、ip地址、mac地址以及第一哈希值,若否,则生成信息不完整的核查结果,并结束流程;若是,则:
12、对所述信息编号、ip地址以及mac地址进行哈希计算得到第二哈希值,判断所述第二哈希值与第一哈希值是否一致,若是,则生成信息完整的核查结果,并进入步骤s40;若否,则生成信息不完整的核查结果,并结束流程。
13、进一步的,所述步骤s40具体为:
14、通过所述准入脚本对准入申请进行信息重复性核查,判断台账数据库中是否存在有重复的ip地址或者mac地址,若是,则生成信息重复的核查结果,删除所述台账数据库中ip地址或者mac地址对应的准入白名单,基于所述准入申请生成新的准入白名单并存储至台账数据库;若否,则生成信息未重复的核查结果,基于所述准入申请生成准入白名单并存储至台账数据库;
15、所述步骤s50具体为:
16、网络终端登录时,准入控制终端通过所述准入脚本获取网络终端的mac地址,判断所述台账数据库中存储的准入白名单是否有匹配的mac地址,若是,则登录验证成功,对网络终端执行准入;若否,则登录验证失败,对网络终端不执行准入。
17、第二方面,本发明提供了一种终端白名单准入控制系统,包括如下模块:
18、准入脚本创建模块,用于准入控制终端创建一准入脚本;
19、准入申请接收模块,用于准入控制终端接收并存储oa平台推送的准入申请;
20、完整性核查模块,用于通过所述准入脚本对准入申请进行信息完整性核查;
21、准入白名单生成模块,用于通过所述准入脚本对准入申请进行信息重复性核查,基于所述准入申请生成准入白名单,将所述准入白名单存储至台账数据库;
22、准入控制模块,用于基于所述台账数据库中的准入白名单进行网络终端的准入控制。
23、进一步的,所述准入脚本创建模块中,所述准入脚本基于python创建,用于对准入申请进行自动的完整性核查和重复性核查、自动生成和更新准入白名单、登录验证;
24、所述准入申请接收模块具体用于:准入控制终端接收oa平台推送的至少携带信息编号、ip地址、mac地址以及第一哈希值的准入申请,将所述准入申请实时存储至预先设定的存储地址中;所述第一哈希值为对信息编号、ip地址以及mac地址进行哈希计算的计算结果。
25、进一步的,所述完整性核查模块具体用于:
26、通过所述准入脚本对准入申请进行信息完整性核查,判断所述准入申请是否包含信息编号、ip地址、mac地址以及第一哈希值,若否,则生成信息不完整的核查结果,并结束流程;若是,则:
27、对所述信息编号、ip地址以及mac地址进行哈希计算得到第二哈希值,判断所述第二哈希值与第一哈希值是否一致,若是,则生成信息完整的核查结果,并进入准入白名单生成模块;若否,则生成信息不完整的核查结果,并结束流程。
28、进一步的,所述准入白名单生成模块具体用于:
29、通过所述准入脚本对准入申请进行信息重复性核查,判断台账数据库中是否存在有重复的ip地址或者mac地址,若是,则生成信息重复的核查结果,删除所述台账数据库中ip地址或者mac地址对应的准入白名单,基于所述准入申请生成新的准入白名单并存储至台账数据库;若否,则生成信息未重复的核查结果,基于所述准入申请生成准入白名单并存储至台账数据库;
30、所述准入控制模块具体用于:
31、网络终端登录时,准入控制终端通过所述准入脚本获取网络终端的mac地址,判断所述台账数据库中存储的准入白名单是否有匹配的mac地址,若是,则登录验证成功,对网络终端执行准入;若否,则登录验证失败,对网络终端不执行准入。
32、第三方面,本发明提供了一种终端白名单准入控制设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一方面所述的方法。
33、第四方面,本发明提供了一种终端白名单准入控制介质,其上存储有计算机程序,该程序被处理器执行时实现第一方面所述的方法。
34、本发明实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
35、通过在准入控制终端创建一准入脚本,准入控制终端接收并存储oa平台推送的准入申请,通过准入脚本对准入申请进行信息完整性核查和信息重复性核查后,基于准入申请生成准入白名单并存储至台账数据库,最后基于台账数据库中的准入白名单进行网络终端的准入控制;即通过准入脚本进行自动的完整性核查和重复性核查、生成和更新准入白名单、登录验证,无需人工操作,避免操作失误,且自动更新台账数据库便于后期的回溯管理,最终极大的提升了终端准入控制的效率以及便捷性。
36、上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。