[发明专利]一种安全策略的管理方法和设备

说明书

本发明公开了一种安全策略的管理方法和设备，该方法包括：AP接收来自用户设备的LLDP报文，所述LLDP报文中携带用户设备的设备信息；AP将用户设备的设备信息发送给管理服务器，由管理服务器利用用户设备的设备信息确定用户设备是否进行用户角色认证；在用户设备需要进行用户角色认证的通知时，所述AP将用户角色认证信息发送给管理服务器，由所述管理服务器利用所述用户设备的设备信息和用户角色认证信息确定所述用户设备的安全策略；所述AP在收到来自所述管理服务器的所述用户设备的安全策略之后，利用所述用户设备的安全策略对所述用户设备进行安全管理。本发明实施例中，能够使用户设备尽快获取合法资源，并提高用户体验。

技术领域

本发明涉及通信技术领域，尤其涉及一种安全策略的管理方法和设备。

背景技术

为了在满足员工对于新科技和个性化追求的同时，提高员工的工作效率，降低企业的成本和投入，目前许多企业考虑允许员工带着自己的用户设备使用企业内部应用。基于此，BYOD（Bring Your Own Device）应运而生。BYOD是指携带自己的用户设备办公，这些用户设备包括个人电脑、手机、平板等。但是，当员工使用自己的用户设备办公时，会带来很多安全问题，如员工的用户设备上的恶意软件被传入公司网络将带来损失等。因此，BYOD的前提是需要有足够安全保障，即需要根据不同类型的用户设备执行不同的安全策略。

在现有技术中，为了能够根据不同类型的用户设备执行不同的安全策略，以实现BYOD方案，则相应的处理流程至少包括以下步骤：

步骤1、用户设备申请加入无线服务，进行MAC（Media Access Control，介质访问控制）认证，即向AP（Access Point，接入点）发送MAC认证请求报文。之后，AP通过AC（AccessController，接入控制器）将MAC认证请求报文发送给iMC（Intelligent ManagementCenter，智能管理中心）服务器。

步骤2、iMC服务器通过AP向用户设备下发隔离VLAN（Virtual Local AreaNetwork，虚拟局域网），以允许用户设备在隔离VLAN内通过DHCP（Dynamic HostConfiguration Protocol，动态主机配置协议）报文获取IP地址。之后，用户设备通过AP向DHCP服务器发送DHCP报文，以从DHCP服务器上获取IP地址。在此基础上，AP可以将DHCP报文发送给iMC服务器，由iMC服务器利用该DHCP报文的Option60（选项60）字段，获取用户设备的厂商信息。

步骤3、用户设备在发起任意WEB页面的访问时，AP通过AC将任意WEB页面的访问重定向到注册页面上，以使用户通过用户设备进行角色认证。

步骤4、用户根据实际情况使用合法身份或者访客身份提交角色认证，AP通过AC将角色认证信息以及携带该角色认证信息的HTTP（Hypertext transfer protocol，超文本传输协议）报文发送给iMC服务器，iMC服务器利用HTTP报文中携带的信息获得用户设备的类型信息，并基于用户设备的类型信息、厂商信息以及角色认证信息生成安全策略，同时通知AC强制该用户设备下线。

步骤5、用户设备重新申请加入无线服务，进行MAC认证，即向AP发送MAC认证请求报文。之后，AP通过AC将MAC认证请求报文发送给iMC服务器。之后，iMC服务器在发现当前已经生成了此用户设备的安全策略后，通过AP向用户设备下发VLAN或者其他详细安全策略，由用户设备在该VLAN内获取IP地址并访问合法资源，或者由用户设备基于该安全策略访问合法资源。

但是，在上述技术方案中，用户设备需要执行两次MAC认证过程，第一次MAC认证时将用户设备分配到隔离VLAN，第二次MAC认证时将用户设备分配到VLAN内获取合法资源，上述流程耗时较长，用户设备需要较长时间才能获取合法资源，且用户设备的两次MAC认证过程也会带来不好的用户体验。

发明内容