一种安全策略的管理方法和设备的制造方法
【技术领域】
[0001] 本发明涉及通信技术领域,尤其涉及一种安全策略的管理方法和设备。
【背景技术】
[0002] 为了在满足员工对于新科技和个性化追求的同时,提高员工的工作效率,降低企 业的成本和投入,目前许多企业考虑允许员工带着自己的用户设备使用企业内部应用。基 于此,BYOD (Bring Your Own Device)应运而生。BYOD是指携带自己的用户设备办公,这 些用户设备包括个人电脑、手机、平板等。但是,当员工使用自己的用户设备办公时,会带来 很多安全问题,如员工的用户设备上的恶意软件被传入公司网络将带来损失等。因此,BYOD 的前提是需要有足够安全保障,即需要根据不同类型的用户设备执行不同的安全策略。
[0003] 在现有技术中,为了能够根据不同类型的用户设备执行不同的安全策略,以实现 BYOD方案,则相应的处理流程至少包括以下步骤:
[0004] 步骤1、用户设备申请加入无线服务,进行MAC (Media Access Control,介质 访问控制)认证,即向AP (Access Point,接入点)发送MAC认证请求报文。之后,AP通 过AC (Access Controller,接入控制器)将MAC认证请求报文发送给iMC (Intelligent Management Center,智能管理中心)服务器。
[0005] 步骤2、iMC服务器通过AP向用户设备下发隔离VLAN (Virtual Local Area Network,虚拟局域网),以允许用户设备在隔离VLAN内通过DHCP (Dynamic Host Configuration Protocol,动态主机配置协议)报文获取IP地址。之后,用户设备通过AP 向DHCP服务器发送DHCP报文,以从DHCP服务器上获取IP地址。在此基础上,AP可以将 DHCP报文发送给iMC服务器,由iMC服务器利用该DHCP报文的0ption60 (选项60)字段, 获取用户设备的厂商信息。
[0006] 步骤3、用户设备在发起任意WEB页面的访问时,AP通过AC将任意WEB页面的访 问重定向到注册页面上,以使用户通过用户设备进行角色认证。
[0007] 步骤4、用户根据实际情况使用合法身份或者访客身份提交角色认证,AP通过AC 将角色认证信息以及携带该角色认证信息的HTTP(Hypertext transfer protocol,超文本 传输协议)报文发送给iMC服务器,iMC服务器利用HTTP报文中携带的信息获得用户设备 的类型信息,并基于用户设备的类型信息、厂商信息以及角色认证信息生成安全策略,同时 通知AC强制该用户设备下线。
[0008] 步骤5、用户设备重新申请加入无线服务,进行MAC认证,即向AP发送MAC认证请 求报文。之后,AP通过AC将MAC认证请求报文发送给iMC服务器。之后,iMC服务器在发 现当前已经生成了此用户设备的安全策略后,通过AP向用户设备下发VLAN或者其他详细 安全策略,由用户设备在该VLAN内获取IP地址并访问合法资源,或者由用户设备基于该安 全策略访问合法资源。
[0009] 但是,在上述技术方案中,用户设备需要执行两次MAC认证过程,第一次MAC认证 时将用户设备分配到隔离VLAN,第二次MAC认证时将用户设备分配到VLAN内获取合法资 源,上述流程耗时较长,用户设备需要较长时间才能获取合法资源,且用户设备的两次MAC 认证过程也会带来不好的用户体验。
【发明内容】
[0010] 本发明实施例提供一种安全策略的管理方法和设备,以使得用户设备能够尽快获 取合法资源,并提高用户体验。
[0011] 为了达到上述目的,本发明实施例提供一种安全策略的管理方法,该方法应用于 包括接入点AP、用户设备和管理服务器的网络中,所述方法包括:
[0012] 所述AP接收来自所述用户设备的链路层发现协议LLDP报文,所述LLDP报文中携 带所述用户设备的设备信息;其中,所述用户设备的设备信息包括:用户设备的软件版本、 用户设备的硬件版本、用户设备的厂商信息;
[0013] 所述AP将所述用户设备的设备信息发送给管理服务器,由所述管理服务器利用 所述用户设备的设备信息确定所述用户设备是否进行用户角色认证;
[0014] 所述AP在收到来自管理服务器的用户设备需要进行用户角色认证的通知时,将 用户角色认证信息发送给管理服务器,由所述管理服务器利用所述用户设备的设备信息和 用户角色认证信息确定所述用户设备的安全策略;
[0015] 所述AP在收到来自所述管理服务器的所述用户设备的安全策略之后,利用所述 用户设备的安全策略对所述用户设备进行安全管理。
[0016] 所述AP接收来自所述用户设备的链路层发现协议LLDP报文之前,所述方法还包 括:所述用户设备获得本用户设备的设备信息,将本用户设备的设备信息添加到LLDP报 文,将所述LLDP报文封装到802. 11报文中,并以关联AP的基本服务集标识BSSID为目的 地址向所述AP发送所述802. 11报文。
[0017] 所述方法还包括:所述AP将本AP的介质访问控制MAC地址和所述用户设备申请 连接的时间点发送给管理服务器;由所述管理服务器利用所述AP的MAC地址确定所述AP 的位置,利用用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息、AP的位置、 用户设备申请连接的时间点确定所述用户设备是否进行用户角色认证;以及,由所述管理 服务器利用用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息、AP的位置、 用户设备申请连接的时间点、用户角色认证信息确定所述用户设备的安全策略。
[0018] 所述方法还包括:
[0019] 所述AP在收到来自管理服务器的用户设备需要进行用户角色认证的通知之前, 所述AP禁止处理来自所述用户设备的LLDP报文之外的其它报文。
[0020] 所述方法还包括:当用户设备从其它AP漫游到本AP时,AP将所述用户设备的MAC 地址和本AP的MAC地址发送给管理服务器;由管理服务器利用所述用户设备的MAC地址查 找当前是否存在已经向所述用户设备下发的安全策略;如果是,则由所述管理服务器查找 该安全策略中是否包括所述AP的MAC地址;如果包括所述AP的MAC地址,则所述AP接收 来自所述管理服务器的该安全策略,并利用该安全策略对所述用户设备进行安全管理;如 果不包括所述AP的MAC地址,则所述AP接收来自所述管理服务器的对所述用户设备进行 强制下线的通知,并对所述用户设备进行强制下线处理。
[0021] 所述方法还包括:所述管理服务器在获知向所述用户设备下发的安全策略的生效 时间段已过时,通知所述用户设备对应的AP对所述用户设备进行强制下线,并由所述用户 设备对应的AP对所述用户设备进行强制下线处理。
[0022] 本发明实施例提供一种接入点AP,应用于包括所述AP、用户设备和管理服务器的 网络中,所述AP具体包括:
[0023] 接收模块,用于接收来自所述用户设备的链路层发现协议LLDP报文,所述LLDP 报文中携带所述用户设备的设备信息;所述用户设备的设备信息包括:用户设备的软件版 本、用户设备的硬件版本、用户设备的厂商信息;
[0024] 发送模块,用于将所述用户设备的设备信息发送给管理服务器,由所述管理服务 器利用所述用户设备的设备信息确定所述用户设备是否进行用户角色认证;在收到来自管 理服务器的用户设备需要进行用户角色认证的通知时,将用户角色认证信息发送给管理服 务器,由所述管理服务器利用所述用户设备的设备信息和用户角色认证信息确定所述用户 设备的安全策略;
[0025] 处理模块,用于在收到来自所述管理服务器的所述用户设备的安全策略之后,利 用所述用户设备的安全策略对所述用户设备进行安全管理。
[0026] 所述发送模块,还用于将本AP的介质访问控制MAC地址和所述用户设备申请连接 的时间点发送给管理服务器;由所述管理服务器利用所述AP的MAC地址确定所述AP的位 置,并利用用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息、AP的位置、用 户设备申请连接的时间点确定所述用户设备是否进行用户角色认证;以及,由所述管理服 务器利用用户设备的软件版本、用户设备的硬件版本、用户设备的厂商信息、AP的位置、用 户设备申请连接的时间点、用户角色认证信息确定所述用户设备的安全策略。
[0027] 所述处理模块,还用于在收到来自管理服务器的用户设备需要进行用户角色认证 的通知之前,禁止处理来自用户设备的LLDP报文之外的其它报文。
[0028] 所述发送模块,还用于当用户设备从其它AP漫游到本AP时,将用户设备的MAC地 址和本AP的MAC地址发送给管理服务器;由管理服务器利用用户设备的MAC地址查找当前 是否存在已经向用户设备下发的安全策略;如果是,则由管理服务器查找该安全策略中是 否包括所述AP的MAC地址;
[0029] 所述处理模块,还用于当包括所述AP的MAC地址时,在接收到来自所述管理服务 器的该安全策略之后,