一种基于双机热备的准入集中控制系统及方法

技术领域

本申请网络安全技术领域，尤其涉及一种基于双机热备的准入集中控制系统及方法。

背景技术

准入控制系统的引入可实现对接入网络的检测识别以及管控，可发现并识别接入网络的终端类型及数量，解决了运维人员手动排查和终端归类问题，并通过可视化掌控终端分布，可合理规划终端及网络布局。

虽然准入控制系统对接入网络终端进行了集中化管理，但同时也相当于将物联网设备与网络的安全防护都依托于准入控制系统，并且对于企业网络架构而言，准入控制系统通常包括多个准入控制引擎，需要对每个准入控制引擎都单独进行管控，管控成本较高，所以，有必要针对整个准入控制系统进行集中式的管控。

发明内容

本申请的目的是提供一种基于双机热备的准入集中控制系统及方法，以一对多的形式对准入控制引擎进行集中式管理，以增强网络管理效率。

第一方面，本申请提供一种基于双机热备的准入集中控制系统，所述系统述包括关联配置模块、终端同步模块以及集中监测模块；

所述关联配置模块用于对所有的准入控制引擎进行划分，分为一个主管控机和多个被管控机，并对主管控机和被管控机进行关联配置，以生成关联配置信息；

所述终端同步模块用于对管控机进行准入终端配置，并根据关联配置信息，对被管控机进行同步配置；

所述集中监测模块用于根据终端同步配置结果，通过管控机对所有关联被管控机的工作状态进行实时监测和管控。

通过上述技术方案，通过将准入控制引擎分为一个管控机和多个被管控机，以一对多的形式进行关联配置，可以管控机来作为监测锚点对所有准入控制引擎进行集中监测和管控，从而提升整个准入控制系统的管控效率。

可选的，所述关联配置模块包括管控划分模块和管控配置模块；

所述管控划分模块用于通过预设的方法选取一个准入控制引擎为管控机，余下的准入控制引擎为被管控机；

所述管控配置模块用于对管控机进行配置，并生成管控机配置信息，根据管控机配置信息添加并对被管控机进行配置。

可选的，所述管控机配置信息包括管控机地址和共享秘钥，所述关联配置模块包括地址关联单元和秘钥共享单元；

所述地址关联单元用于对管控机添加虚拟IP地址和端口号，以生成地址配置信息，并根据地址配置信息对添加的被管控机进行关联配置；

所述秘钥共享单元用于对管控机设定秘钥，并根据设定的秘钥对添加的被管控进行秘钥配置。

可选的，所述终端同步模块包括终端配置单元和同步配置单元；

所述终端配置单元用于根据预设的准入控制方案，对管控机的终端准入控制进行配置，以生成准入控制模板；

所述同步配置单元用于对被管控机的终端准入控制，根据准入控制模板进行同步配置。

可选的，所述集中监测模块包括关联查询单元、数据可视单元以及同步监测单元；

所述关联查询单元用于查询管控机下所有关联的被管控机，并对管控机和被管控机的运行状态和连接状态进行监控，通过预设的状态码对不同的状态进行标识和反馈；

所述数据可视单元用于获取管控机管控的接入终端数据，以及根据管控机获取关联的被管控机的接入终端数据，并以列表的形式进行可视化展示；

所述同步监测单元用于对管控机的准入控制模板进行更新监测，当准入控制模板出现更新调整后，对被管控机进行同步更新调整。

可选的，所述系统还包括双机热备模块；

所述双机热备模块用于以各个管控机和被管控机均进行主从机配置，并通过预设共享数据存储网络进行数据的同步，以及对主从机进行进行动态的切换。

第二方面，本申请提供一种基于双机热备的准入集中控制方法，包括如下步骤：

对准入控制引擎进行划分，通过预设的方法选取一准入控制引擎记为管控机，余下的准入控制引擎记为被管控机；

对管控机和被管控机进关联配置，并生成关联配置信息；

对管控机进行准入终端配置，并生成准入控制模板；

根据关联配置信息和准入控制模板，对被管控机进行同步配置。

可选的，所述对管控机和被管控机进关联配置，并生成关联配置信息，包括：

对管控机进行配置，并获取管控机配置信息；

对管控机添加被管控机，以生成被管控机列表；

根据被管控机列表，根据管控机配置信息依次对被管控机进行配置，并根据配置结果生成关联配置信息。

可选的，对被管控机进行同步配置之后，还包括：

对管控机和被管控机的运行状态和连接状态进行监控，并通过预设的状态码对不同的状态进行标识和反馈；

对管控机的准入控制模板进行更新监测，当准入控制模板出现更新调整后，对被管控机进行同步更新调整。

第三方面，本申请提供一种计算机可读存储介质，存储有能够被处理器加载并执行上述一种基于双机热备的准入集中控制方法的计算机程序。

综上所述，本申请首先通过将准入控制引擎分为一个管控机和多个被管控机，以一对多的形式进行关联配置，可以管控机来作为监测锚点对所有准入控制引擎进行集中监测和管控，从而提升整个准入控制系统的管控效率，并且以宏观的角度来查看各个准入控制引擎的工作状态，更加方便进行协同管理；另外，对所有的管控机和被管控机均实行双机热备，在集中管控的基础上，通过主从机的数据同步可实现在有管控机或者被管控机出现故障的情况下，依然可以正常的对网络接入终端进行有效管控，进一步地提升了整个准入控制系统的鲁棒性。

附图说明

图1是本申请实施例所提供的一种基于双机热备的准入集中控制系统的示意图；

图2是本申请实施例所提供的关联配置模块的示意图；

图3是本申请实施例所提供的终端同步模块的示意图；

图4是本申请实施例所提供的集中监测模块的示意图；

图5是本申请实施例所提供的一种基于双机热备的准入集中控制方法的流程图。

具体实施方式

以下结合附图1-附图5，对本申请作进一步详细说明。

本申请提供一种基于双机热备的准入集中控制系统，参见图1，系统包括关联配置模块10、终端同步模块20以及集中监测模块30。

其中，关联配置模块10用于对所有的准入控制引擎进行划分，分为一个主管控机和多个被管控机，并对主管控机和被管控机进行关联配置，以生成关联配置信息。

终端同步模块20用于对管控机进行准入终端配置，并根据关联配置信息，对被管控机进行同步配置。

集中监测模块30用于根据终端同步配置结果，通过管控机对所有关联被管控机的工作状态进行实时监测和管控。

其中，准入控制是指对网络的边界进行保护，对接入网络的终端和终端的使用人进行合法性检查，而准入控制引擎可理解为是以准入控制作为目的而打造的一套系统程序或者系统组件。

因为接入方式的多样性 ( 有线、无线、虚拟专用网和拨号等 )、终端设备的多样性 ( 台式机、笔记本、PAD、智能手机等 )，导致难以准确界定网络边界，网络管理会面临诸多问题 ，例如外来终端随意接入网络；接入终端的自身安全性无法确认或保证；合法终端没有遵从 IT 内控制度，所以阻止外部风险进入内部成为了网络管理必须关注的问题之一，在此背景下便产生了终端准入控制系统。

由于准入控制引擎通常会与网络交换机相连，而网络交互机可能会有多个，尤其对于企业IT网络而言，会配置有多个网络交互机，相应地也会有多个准入控制引擎，由于每个准人控制引擎的工作状态或者说需要管控的接入终端，与连接的网络交互机有关，故需要对各个准入控制引擎单独进行管控，但如此一来，管控成本会比较高，且不利于准入控制引擎之间的协同管理，使得对整个企业网络的管理效率也会较低。

因此，本申请旨在能够对所有的准入控制引擎进行集中式管理，通过建立起各个准入控制引擎之间的关联，来增强对整个网络体系的管控效率。

在本申请实施例中，首先会通过关联配置模块10来对所有的准入控制引擎进行划分，分为一个主管控机和多个被管控机，并对主管控机和被管控机进行关联配置，以生成关联配置信息。

因为考虑到要对所有的准入控制引擎进行集中式管理，所以会先采取以一代多的形式，即沿用管控单个准入控制引擎的方式，然后借助该准入控制引擎来管控其余准入控制引擎，如此便达到了集中管控的目的。

具体地，参见图2，关联配置模块10包括管控划分模块11和管控配置模块12。

其中，管控划分模块11用于通过预设的方法选取一个准入控制引擎为管控机，余下的准入控制引擎为被管控机。

管控配置模块12用于对管控机进行配置，并生成管控机配置信息，根据管控机配置信息添加并对被管控机进行配置。

首先，会使用管控划分模块11通过预设的方法选取一个准入控制引擎为管控机，余下的准入控制引擎为被管控机，即对所有的准入控制引擎进行划分，从中选取一个准入控制引擎来作为管控机，而其余的准入控制引擎会作为被管控机，至于如何选取，其实没有明确的规则，选取任一准入控制引擎来作为管控机都可，当然也可参考各个准入控制引擎的分布以及所管控终端的类型和管控范围，以此来选择一个相对来说覆盖度更高的准入控制引擎来作为管控机。

划分好准入控制引擎之后，也就是确定了管控机和被管控机后，便需要对管控机和被管控机来进行关联配置，即通过管控配置模块12对管控机进行配置，并生成管控机配置信息，根据管控机配置信息添加并对被管控机进行配置。

所谓关联配置，便是借助管控机可以实现对被管控机进行管理，所以需要进行关联配置来建立管控机和被管控机之间的联系，而进行关联配置，简单来说，便是将管控机作为一个管理器，在其中添加被管控机，而对被管控机进行配置时，会以管控机的配置信息来作为参照，如下，便可形成关联。

具体地，管控配置模块12包括地址关联单元121和秘钥共享单元122。

其中，地址关联单元121用于对管控机添加虚拟IP地址和端口号，以生成地址配置信息，并根据地址配置信息对添加的被管控机进行关联配置。

秘钥共享单元122用于对管控机设定秘钥，并根据设定的秘钥对添加的被管控进行秘钥配置。

其中，管控机配置信息包括管控机地址和共享秘钥，管控机地址包括本机IP地址、端口号，两者可一同看成地址关联信息，通过地址关联信息可实现管控机与被管控机之间的通信，以及根据管控机可寻址到被管控机，或者根据被管控机寻址到管控机；而共享秘钥可看成是数据关联信息，借助共享秘钥才能实现管控机到被管控机之间的数据共享，例如，通过地址关联信息，可以根据管控机A定位到被管控机B，但要想在管控机A中查看到被管控机B的管控数据，则还需要两者之间的共享秘钥。

因此，在本申请实施例中，在进行管控机与被管控机之间的关联配置时，首先会通过地址关联单元121对管控机添加虚拟IP地址和端口号，以生成地址配置信息，并根据地址配置信息对添加的被管控机进行关联配置。

当然不管是管控机还是被管控机在正常使用状态下都有自身的配置属性，只是会将其中的部分关键属性，例如虚拟IP地址、端口号等拿来作为数据桥梁，然后新开辟一条数据通道来实现管控机与被管控机之间的数据交互。

所以会先通过地址关联单元121来打通管控机与被管控机之间的数据通道，然后则通过设定共享秘钥来完成对数据的传输和接收，即通过秘钥共享单元122对管控机设定秘钥，并根据设定的秘钥对添加的被管控进行秘钥配置，如此，便可实现管控机与被管控机之间的数据交互，即借助于管控机可查看到其添加的所有被管控机的管控数据。

由于不管对准入控制引擎是集中进行管控还是分开单独进行管控，其管控的对象都是接入的终端，因为每个准入控制引擎在进行工作时都会进行终端准入的配置，这里的配置和自身的属性无关，而是对接入终端设置的相应准入参数，而这些参数在使用过程中可能还需要进行调整，所以，为了达到集中管理的效果，当然是希望只通过管控机便可实现对所有被管控机的终端准入配置。

因此，在本申请实施例中，在完成对管控机与被管控机之间的关联配置之后，还会通过终端同步模块20对管控机进行准入终端配置，并根据关联配置信息，对被管控机进行同步配置，即将管控机的终端准入配置嫁接到被管控机中，如此只需对管控机进行配置即可。

具体地，参见图3，终端同步模块20包括终端配置单元201和同步配置单元202。

其中，终端配置单元201用于根据预设的准入控制方案，对管控机的终端准入控制进行配置，以生成准入控制模板。

同步配置单元202用于对被管控机终端准入控制，根据准入控制模板进行同步配置。

在本申请实施例中，在对管控机和被管控机进行终端准入控制时，首先会对管控机进行终端准入配置，这里的终端准入配置需要配置的信息很多，例如网段、NAS、虚拟防火墙、MAC列表、分类器等。

在对管控机进行终端准入配置之后，便会根据管控机的终端准入配置参数来生成准入配置模板，即首先会通过终端配置单元201根据预设的准入控制方案，对管控机的终端准入控制进行配置，以生成准入控制模板。

然后根据生成的准入控制模块对被管控机进行配置，相当于与管控机的终端准入控制策略进行同步，即通过同步配置单元202对被管控机终端准入控制，根据准入控制模板进行同步配置，如此，便不需要额外对各个被管控机单独进行配置，只需保持与管控机的终端准入配置信息同步即可。

在完成了对管控机与被管控机之间的关联配置，以及终端准入同步配置之后，理论上便可通过管控机来查看所有关联的被管控机的终端管控数据，但是，是否关联配置成功，是否成功建立连接关系，终端准入的配置是否同步等，这些都需要有明确的反馈或标识，如此才能确保整个集中管控系统属于正常运行状态，并且在使用过程中，若出现了问题，也能及时得到反馈并进行调整。

因此，在本申请实施例中，集中控制系统还包括集中监测模块30，以用来根据终端同步配置结果，通过管控机对所有关联被管控机的工作状态进行实时监测和管控。

具体地，参见图4，集中监测模块30包括关联查询单元31、数据可视单元32以及同步监测单元33。

其中，关联查询单元301用于查询管控机下所有关联的被管控机，并对管控机和被管控机的运行状态和连接状态进行监控，通过预设的状态码对不同的状态进行标识和反馈。

数据可视单元302用于获取管控机管控的接入终端数据，以及根据管控机获取关联的被管控机的接入终端数据，并以列表的形式进行可视化展示。

同步监测单元303用于对管控机的准入控制模板进行更新监测，当准入控制模板出现更新调整后，对被管控机进行同步更新调整。

在对管控机和被管控机完成了关联配置之后，便可通过关联查询单元301查询管控机下所有关联的被管控机，并对管控机和被管控机的运行状态和连接状态进行监控，通过预设的状态码对不同的状态进行标识和反馈。

例如， Unknown，状态码0，表示未知状态，刚设置时的那一小段时间会是此状态，此时管控机与被管控机之间还没有建立连接关系；Fine，状态码1，表示运行正常；Failed，状态码-1，表示连接失败，网络不通；Native Failed，状态码-2，表示被管控机的底层异常；System Busy，状态码-3，表示被管控机系统繁忙，资源紧张；Illegal Argument，状态码-4，表示有参数未传递，或者传递的参数有错误；Invalid Ticket，状态码-5，表示验证错误，可能是共享秘钥不匹配，或者管控机和被管控机系统时间相差太大(超过了5分钟)；InvalidConfigs，状态码-6，表示配置错误，双方都为管控机或者都为被管控机；Other Error，状态码-100，其他错误。

通过监测过程中反馈的状态码，可知道管控机与被管控机是否处于正常的运行状态，以及可根据状态码所对应的问题及时进行调整。

在确认管控机与被管控机关联配置无误之后，便可通过数据可视单元302获取管控机管控的接入终端数据，以及根据管控机获取关联的被管控机的接入终端数据，并以列表的形式进行可视化展示，也就是管控机与被管控机之间的数据通道构建完成之后，便可通过管控机来查看所有添加的被管控机的接入终端数据，当然，管控机自身的接入终端数据本身就是可查的。

另外，由于被管控机需要与管控机的终端准入配置保持为同步的状态，而在使用过程中可能会对终端准入配置进行调整，所以需要对终端准入的配置进行同步的监测，若出现可更改或调整，需要及时对被管控机进行同步地更新调整，即还会通过同步监测单元303对管控机的准入控制模板进行更新监测，当准入控制模板出现更新调整后，对被管控机进行同步更新调整。

此外，由于对所有的准入控制引擎进行集中式管理，虽然可提升管理效率，并降低管理成本，但因为有了关联性，若某一准入控制引擎出现故障，则造成的影响会更大，尤其若管控机出现故障，则会导致整个集中控制系统瘫痪，所以，为了增加安全保障，还会采用双机热备的形式，即对管控机和被管控机均增加一个备份机作为从机，当主机出现故障时，可通过从机来维持正常工作。

因此，在申请实施例中，集中控制系统还包括双机热备模块40。

具体地，双机热备模块40用于以各个管控机和被管控机均进行主从机配置，并通过预设共享数据存储网络进行数据的同步，以及对主从机进行进行动态的切换。

增设主从机作为双机热备，首先要确保主从机的数据是同步的，例如，被管控机B的主机出现了故障，现切换为从机进行使用，这个时候，若从机与主机一直是保持数据同步的话，则切换完成之后，并不会影响管控机获取被管控机B的终端接入数据。

另外，则是增设的从机不会影响管控机和被管控机之后的关联配置，所以，这里的主从机配置，除了让从机与主机保持相同的配置之外，还会将主机的虚拟IP地址来作为关键地址，即管控机添加被管控机时，如果被管控机启用了双机热备功能，被管控机的地址应该是其主机的虚拟IP地址；同样地，如果管控机启用了双机热备功能，则管控机的地址也应该是其主机的虚拟IP地址，这样一来，相当于是主从机均以主机的虚拟IP地址作为关联地址索引，主从机切换时，也就不会影响管控机与被管控机之间的连接关系。

所谓的动态切换，则是在使用过程中对各个准入控制引擎的和工作状态进行监测，根据监测反馈结果，在有需要时自动完成对主从机的切换工作。

本申请实施例还提供了一种基于双机热备的准入集中控制方法，参见图5，包括如下步骤：

S100、对准入控制引擎进行划分，通过预设的方法选取一准入控制引擎记为管控机，余下的准入控制引擎记为被管控机。

S200、对管控机和被管控机进关联配置，并生成关联配置信息。

S300、对管控机进行准入终端配置，并生成准入终端列表。

S400、根据关联配置信息和准入终端列表，对被管控机进行同步配置。

首先，通过管控划分模块11对准入控制引擎进行划分，选取一准入控制引擎作为管控机，余下的准入控制引擎作为被管控机，然后通过管控配置模块12对管控机和被管控机进关联配置，并生成关联配置信息。

具体地，对管控机和被管控机进关联配置，并生成关联配置信息，包括如下步骤：

S210、对管控机进行配置，并获取管控机配置信息。

S220、对管控机添加被管控机，以生成被管控机列表；

S230、根据被管控机列表，根据管控机配置信息依次对被管控机进行配置，并根据配置结果生成关联配置信息。

其中，管控机配置信息包括管控机地址信息以及共享秘钥。

通过对管控机进行配置时，可确定管控机的虚拟IP地址和端口号，如此便构成了管控机地址信息，在对管控机设定一秘钥以作为共享秘钥，与管控机地址信息便组成了管控机配置信息，然后将管控机作为一个管理容器，向其中添加被管控机，因为每个管控机都有对应的名称或编号，可作为唯一标识信息参与添加，如下添加完成之后，便可生成被管控机列表，然后遍历被管控机列表，或者批量选择被管控机，根据管控机配置信息来完成配置，当然也可以没添加一个被管控机便进行配置。

在配置完成之后，便可根据配置的结果，生成关联配置信息，所谓的关联配置信息，表征了与管控机建立了关联的被管控机有哪些，以及相关的配置属性信息等，即根据关联配置图，可查看到管控机和被管控机的关联关系。

S300、对管控机进行准入终端配置，并生成准入控制模板。

S400、根据关联配置信息和准入控制模板，对被管控机进行同步配置。

在完成了管控机和被管控机的关联配置之后，便会通过终端同步模块20对管控机进行准入终端配置，即首先会对管控机进行准入终端配置，配置完成之后，会将配置的信息则作为准入控制模板，然后根据准入控制模板对管控机所添加的所有被管控机进准入终端同步配置。

同步结束之后，根据管控机可查看任一被管控机下的终端接入情况，同样地，根据任一被管控机也能查看到管控机的终端接入情况。

另外，考虑到需要确认管控机与被管控机的连接状态和工作状态是否正常，所以在完成对管控机与被管控机之间的关联配置和终端同步配置之后，还会通过集中监测模块30根据终端同步配置结果，通过管控机对所有关联被管控机的工作状态进行实时监测和管控。

具体地，对被管控机进行同步配置之后，还包括如下步骤：

S510、对管控机和被管控机的运行状态和连接状态进行监控，并通过预设的状态码对不同的状态进行标识和反馈。

S520、对管控机的准入控制模板进行更新监测，当准入控制模板出现更新调整后，对被管控机进行同步更新调整。

对管控机对被管控机的工作状态进行实时监测和管控，主要为两个方面，一方面是对管控机和被管控机的运行状态和连接状态进行监控，并通过预设的状态码对不同的状态进行标识和反馈，如此，可确定管控机与被管控机之后的数据连接关系是否处于正常状态，若处于异常状态也可有针对性地进行调整。

另一方面，则是由于被管控机需要与管控机的终端准入配置保持为同步的状态，而在使用过程中可能会对终端准入配置进行调整，也就是准入控制模板会出现变化，所以需要对终端准入的配置进行同步的监测，即对管控机的准入控制模板进行更新监测，当准入控制模板出现更新调整后，对被管控机进行同步更新调整。

本申请实施例还提供一种计算机可读存储介质，存储有能够被处理器加载并执行上述任一种基于双机热备的准入集中控制方法的计算机程序。

本具体实施方式的实施例均为本申请的较佳实施例，并非依此限制本申请的保护范围，故：凡依本申请的原理所做的等效变化，均应涵盖于本申请的保护范围之内。