[发明专利]一种终端计算机的接入管控方法

说明书

技术领域

本发明属于终端计算机接入管理技术领域，具体涉及一种终端计算机的接入管控方法。

背景技术

目前所有的终端管理系统实现对终端管理的前提，都是终端上已经安装了终端管理客户端软件。

终端计算机的管理，采用客户端－服务器模式，即所谓C/S架构，本发明也不例外的采用这一架构。客户端负责采集终端计算机的状态信息，包括终端计算机的基本配置信息(如CPU使用率、MEM使用率、存储器使用率等)、系统信息(如操作系统的版本、系统密码、安装补丁的号码等)、应用信息(如运行的防病毒软件、各种应用程序等)以及终端安全管理策略需要的信息(如系统是否违规外联、系统口令是否符合规范要求等)；服务器在搜集客户端数据的基础上进行终端状况的统计、分析和管理。如果终端计算机上没有安装或卸载了客户端软件，服务器就无法得到该终端的相关信息，该终端就不能纳入终端管理范围；如果没有发现和控制这类终端计算机安装客户端的方法和手段，这部分终端计算机将一直游离于终端管理范围之外，而成为终端计算机管理的死角和盲区，所有的终端计算机管理措施都不能在其上发挥作用。

发明内容

(一)要解决的技术问题

为了克服现有技术存在的问题，本发明提出了一种终端计算机的接入管控方法。

(二)技术方案

本发明提出的终端计算机的接入管控方法，所述终端包括五种状态，第一状态为非法终端、第二状态为未安装客户端的合法终端第三状态为已安装合法客户端的终端、第四状态为合法客户端已卸载的终端、第五状态为私自重装客户端的终端，该方法包括以下各步骤：如果所述终端为第三状态，则该终端在接入过程中通过认证，如果该终端为第一、第二、第四或第五状态，则该终端在接入过程中不能通过认证，在强制该终端安装合法客户端之后能够接入网络。

(三)有益效果

本发明通过MAC认证、注册认证和在线认证组成的三次认证过程，对保护的MAC、注册信息、在线状态进行分辨，实时发现终端计算机的五种状态(①非法终端、②未安装客户端的合法终端、③已安装合法客户端的终端、④合法客户端已卸载的终端、⑤私自重装客户端的终端)，对五种状态做不同的认证处理，实现了状态③通过、①②④⑤的发现并不能通过验证。通过该技术措施的实施，强制①②④⑤状态的终端计算机安装合法客户端(包括本系统的客户端和管理要求的其它客户端)，否则不能接入网络，达到最终使管理措施覆盖所有在线终端计算机的目的，消除管理死角和盲区。而现有的所有终端管理系统，包括基于802.1x技术的终端管理系统，都只能发现状态③，不能发现和分辨状态①②④⑤，因此无法对状态①②④⑤的终端实现有效的管理，留下了管理死角和盲区。

附图说明

图1是本发明终端计算机接入管控方法的流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明进一步详细说明。

图1为本发明提出的终端计算机的接入管控方法的流程图。实现该方法主要考虑的因素包括：1)ACM中SEAD模块对交换机端口的管控能力；2)ACM中PROXY模块中客户端注册数据；3)ACM中MCC实现的客户端注册数据的全局同步，无客户端终端的接入控制分为两种情况，一种是完全没有安装过客户端软件的终端，另一种是安装过终端软件卸载的终端。

如图1所示，该方法具体包括以下各步骤：

本发明将一切有固定MAC地址、可以通过有线网络端口和无线网络端口连接网络的IP设备都视为终端，包括PC、网络打印机、IP电话、各种连接在接入交换机上的网络设备。

终端设备接入网络，是ARP协议的工作过程。在以太网中，每台网络节点都会在自己的ARP缓冲区中建立一个ARP列表，以表示交换机端口PORT和MAC地址的对应关系。当一个网络节点连接到接入交换机上，物理链路连接成功后，网络节点上的ARP协议向所在的本网段发送ARP广播包，宣告自己的MAC地址，交换机收到这个ARP广播后，将该节点的MAC地址写入自己的ARP缓冲区，标明该节点的MAC地址和网络端口PORT的对应关系，网络节点也会收到交换机转发来的其它节点的ARP广播包，写入自己的ARP缓冲区，完成了该节点的接入过程。