网络接入安全处理方法、设备及系统的制作方法

文档序号:7982720阅读:235来源:国知局
网络接入安全处理方法、设备及系统的制作方法
【专利摘要】本发明公开了一种网络接入安全处理方法、设备及系统,其中,网络接入安全处理方法,包括:根据终端设备发送的临时IP地址请求信息,向所述终端设备分配临时IP地址以使所述终端设备接入网络侧审核域的网络;与通过所述临时IP地址接入的终端设备交互以对所述终端设备进行安全审核,并将安全审核结果发送给所述终端设备,所述安全审核包括病毒扫描;若所述安全审核结果为通过,则根据所述终端设备发送的业务IP地址请求信息对所述终端设备分配业务IP地址以使所述终端设备根据所述业务IP地址接入网络侧业务域的网络,其中,所述审核域的网络与所述业务域的网络相互隔离。本发明可有效提高接入核心业务网络中的终端设备是安全可靠的。
【专利说明】网络接入安全处理方法、设备及系统
【技术领域】
[0001]本发明涉及计算机网络技术,尤其涉及一种网络接入安全处理方法、设备及系统。【背景技术】
[0002]随着计算机网络用户的迅速增长,为有效利用网络的IP资源,网络侧服务器一般对接入网络的用户分配动态IP,即网络侧对接入的终端设备采用动态主机设置协议(Dynamic Host Configuration Protocol,以下简称:DHCP)进行分配 IP 地址。
[0003]用户终端设备获取网络侧服务器分配的动态IP地址后即可接入网络,由于网络在传播大量用户信息的同时,也可能传播影响计算机安全的信息,所以,具有安全隐患的终端设备接入网络时,会将其携带的病毒等不安全因素传播到核心业务网络中,从而影响整个网络系统的安全稳定。

【发明内容】

[0004]本发明提供一种网络接入安全处理方法、设备及系统,用以克服终端设备易将其携带的病毒传播到核心业务网络上的问题,提高网络系统的安全性。
[0005]本发明的第一个方面是提供一种网络接入安全处理方法,包括:
[0006]根据终端设备发送的临时IP地址请求信息,向所述终端设备分配临时IP地址以使所述终端设备接入网络侧审核域的网络;
[0007]与通过所述临时IP地址接入的终端设备交互以对所述终端设备进行安全审核,并将安全审核结果发送给所述终端设备,所述安全审核包括病毒扫描;
[0008]若所述安全审核结果为通过,则根据所述终端设备发送的业务IP地址请求信息,对所述终端设备分配业务IP地址以使所述终端设备根据所述业务IP地址接入网络侧业务域的网络;
[0009]其中,所述审核域的网络与所述业务域的网络相互隔离。
[0010]本发明的另一个方面是提供一种网络接入安全处理方法,包括:
[0011]向动态主机设置协议服务器发送临时IP地址请求信息;
[0012]根据所述动态主机设置协议服务器返回的临时IP地址接入网络侧审核域的网络,并与所述审核域中的安全处理服务器交互以进行安全审核并获取安全审核结果,所述安全审核包括病毒扫描;
[0013]若所述安全审核结果为通过,则向所述审核域中的业务地址服务器发送业务IP地址请求信息;
[0014]根据所述业务地址服务器返回的业务IP地址接入网络侧业务域的网络;
[0015]其中,所述审核域的网络与所述业务域的网络相互隔离。
[0016]本发明的又一个方面是提供一种网络接入安全处理设备,包括:
[0017]动态主机设置协议服务器,用于根据终端设备发送的临时IP地址请求信息向所述终端设备分配临时IP地址以使所述终端设备接入网络侧审核域的网络;[0018]安全处理服务器,用于与通过所述临时IP地址接入的所述终端设备交互以对所述终端设备进行安全审核,并将安全审核结果发送给所述终端设备,所述安全审核包括病毒扫描;
[0019]业务地址服务器,用于若所述安全审核结果为通过,则根据所述终端设备发送的业务IP地址请求信息,对所述终端设备分配业务IP地址以使所述终端设备根据所述业务IP地址接入网络侧业务域的网络;
[0020]其中,所述审核域的网络与所述业务域的网络相互隔离。
[0021]本发明的再一个方面是提供一种终端设备,包括:
[0022]第一处理模块,用于向动态主机设置协议服务器发送临时IP地址请求信息;以及根据所述动态主机设置协议服务器返回的临时IP地址接入网络侧审核域的网络,并与所述审核域中的安全处理服务器交互以进行安全审核并获取安全审核结果,所述安全审核包括病毒扫描;
[0023]第二处理模块,用于若所述安全审核结果为通过,则向所述审核域中的业务地址服务器发送业务IP地址请求信息;以及根据所述业务地址服务器返回的业务IP地址接入网络侧业务域的网络;
[0024]其中,所述审核域的网络与所述业务域的网络相互隔离。
[0025]本发明的又一个方面是提供一种网络安全处理系统,包括上述的网络接入安全处理设备和上述的终端设备。
[0026]本发明提供的网络接入安全处理方法、设备及系统的技术效果是:根据终端设备发送的临时IP地址请求信息,网络侧审核域中的动态主机设置协议服务器对终端设备先分配临时IP地址以使终端设备接入网络侧审核域的网络,并与审核域中的安全处理服务器交互以进行包括病毒扫描的安全审核,在审核通过后再终端设备向审核域中的业务地址服务器发送业务IP地址请求,从而对终端设备再次分配业务IP地址以使终端设备接入核心业务网络,由于审核域和业务域之间的网络是相互隔离的,且所有终端设备都需要在审核域中进行安全审核,审核通过后才能接入业务域,防止将核心业务网络直接暴露给没有审核的非可信设备,因此本发明可有效保证最后接入审核域的终端设备都是安全可信的,从而保证了网络侧业务域网络的安全。
【专利附图】

【附图说明】
[0027]图1为本发明网络接入安全处理方法实施例一的流程图;
[0028]图2为图1中安全审核处理过程的流程图;
[0029]图3为本发明网络接入安全处理方法实施例二的流程图;
[0030]图4为图3中安全审核处理过程的流程图;
[0031]图5为本发明网络接入安全处理设备实施例的结构示意图;
[0032]图6为本发明终端设备实施例一的结构示意图;
[0033]图7为本发明终端设备实施例二的结构示意图;
[0034]图8为本发明网络安全处理系统实施例的结构示意图。
【具体实施方式】[0035]以下结合附图对本发明实施例进行详细说明。
[0036]图1为本发明网络接入安全处理方法实施例一的流程图,本实施例方法的执行主体为网络侧审核域的网络接入安全处理设备,本实施例的方法包括:
[0037]步骤101、根据终端设备发送的临时IP地址请求信息,向所述终端设备分配临时IP地址以使所述终端设备接入网络侧审核域的网络。
[0038]随着计算机宽带用户的激增,网络侧配置的DHCP服务器会对接入的用户分配动态IP地址。本实施例中对终端设备进行首次IP地址分配的服务器即为DHCP服务器,即用户接入网络时,网络侧的DHCP服务器会获取用户终端设备的临时IP地址请求。
[0039]本实施例中,网络侧的网络被分成相互隔离的审核域和业务域,即审核域的网络与业务域的网络不能相互通信,审核域中设置有对终端设备进行接入业务域网络之前进行安全审核的网络接入安全处理设备,安全处理设备可包括多个服务器,其中,本步骤中对终端设备分配临时IP地址的服务器为DHCP服务器,其设置在网络侧审核域,可以根据终端设备在连接网络时发送的IP地址请求而向对应的终端设备分配动态IP地址,从而终端设备获取IP地址后可以接入网络。本实施例中,DHCP服务器根据终端设备的IP地址请求向其分配临时IP地址,即首次IP地址分配,该首次分配的IP地址为临时IP地址,在终端设备中的增设的处理模块的控制下,终端设备获取该临时IP地址后,会将终端设备接入网络侧的审核域先进行安全审核,当审核域的安全审核服务器对其进行安全审核通过后,审核域的业务地址服务器才再对终端设备分配接入业务域的正式IP地址,即业务IP地址,从而可实现对接入业务网络的所有终端设备进行安全处理,避免携带不安全因素的终端设备接入业务网络。而且,由于两个域之间的网络是相互隔离的,即使携带有不安全因素的终端设备接入审核域进行审核的过程中,也不会将不安全因素传播到业务域。
[0040]具体应用中,本步骤中DHCP服务器在对用户的终端设备分配临时IP地址时,也可将审核域的安全处理服务器和业务地址服务器的IP地址一块反馈给终端设备以便于终端设备与相应IP地址对应的服务器通信进行安全审核及获取业务IP地址。
[0041]步骤102、与通过所述临时IP地址接入的终端设备交互以对所述终端设备进行安全审核,并将安全审核结果发送给所述终端设备,所述安全审核包括病毒扫描。
[0042]当终端设备获取DHCP服务器分配的临时IP地址后,通过该临时IP地址可以接入审核域网络,终端设备根据获取的审核域中安全处理服务器的IP地址可以与相应的安全处理服务器通信,本步骤中审核域中的安全处理服务器与相应的终端设备交互,对该终端设备进行病毒扫描等安全审核,并将审核结果反馈给对应的终端设备。图2为图1中安全审核处理过程的流程图,如图2所示,具体实施中,若安全审核还包括接入鉴权,则安全处理服务器与终端设备进行安全审核的交互操作过程可以包括:
[0043]步骤1021、根据通过所述临时IP地址接入的终端设备发送的安全审核请求信息,对所述终端设备进行鉴权和病毒扫描;
[0044]安全处理服务器上设置有多种对用户终端设备进行安全处理的程序,如杀毒、认证鉴权程序等,当终端设备请求安全审核时,服务器可以启动相应的程序对其进行安全处理,还可以将安全处理结果进行保存记录。通过网络侧的服务器对终端设备进行病毒扫描可有效保证所有接入网络的用户都是安全的,提高网络系统的安全等级。
[0045]步骤1022、将获取的包括鉴权和扫描结果信息的安全审核结果发送给所述终端设备。
[0046]安全处理服务器接收到终端设备发送的安全审核请求信息后,即可对终端设备进行网络侧的安全审核,安全审核的具体内容可以根据安全等级及安全需求进行设定,既可以对终端设备进行病毒扫描,还可以包括接入鉴权审核,实际应用中,也可进一步包括其他的安全处理措施。在安全审核既包括病毒扫描又包括接入鉴权时,由于对终端设备进行的接入鉴权和扫描是在网络侧进行的,而且扫描耗时相对较长,所以,具体应用中,上述的安全处理服务器可以先对终端设备进行鉴权处理,若通过再进行安全扫描,没有通过则不再进行病毒扫描,而直接向终端设备返回审核没有通过的结果以提高审核处理效率。
[0047]步骤103、若所述安全审核结果为通过,则根据所述终端设备发送的业务IP地址请求信息,对所述终端设备分配业务IP地址以使所述终端设备根据所述业务IP地址接入网络侧业务域的业务网络。
[0048]当安全处理服务器对终端设备审核通过后,业务地址服务器可以根据终端设备发送的IP地址请求对其分配业务IP地址,即二次IP地址分配,该业务IP地址为终端设备接入网络侧业务域的IP地址,终端设备可以以该业务IP地址接入核心业务网络,由于之前终端设备已通过了网络侧的包括病毒扫描的安全审核,所以通过被分配业务IP地址接入业务网络的终端设备是安全可信的,从而能够避免给业务网络引入不安全因素。
[0049]本实施例通过根据终端设备发送的临时IP地址请求信息对终端设备先分配临时IP地址以使终端设备接入网络侧审核域进行包括病毒扫描的安全审核,在审核通过后再根据终端设备的业务IP地址请求对终端设备再次分配业务IP地址以使终端设备接入核心业务网络,由于两个域之间的网络是相互隔离的,且所有终端设备都需要在审核域中进行安全审核,审核通过后才能接入业务域,防止将核心业务网络直接暴露给没有审核的非可信设备,因此可有效保证最后接入审核域的终端设备都是安全可信的,从而保证了网络侧业务域网络的安全。
[0050]图3为本发明网络接入安全处理方法实施例二的流程图,本实施例方法的执行主体为用户侧的终端设备,本实施例的方法包括:
[0051]步骤201、向动态主机设置协议服务器发送临时IP地址请求信息。
[0052]本步骤中,当终端设备要接入网络时,首先向设置在审核域的DHCP服务器请求接入网络的临时IP地址以接入网络侧审核域进行安全审核。
[0053]本发明中,为避免用户终端设备获取IP地址后直接接入业务网络,在网络侧将网络分成两个相互隔离的域,同时在用户的终端设备上相应增设了分域地址配置模块,即本发明下面实施例中的第一处理模块和第二处理模块,用于对终端设备接入网络时启动两次地址分配以保证经过安全审核的终端设备才能接入业务域的网络,没有通过审核的不对其进行二次地址分配,从而可避免没有通过审核的终端设备接入业务域网络,提升了核心业务网络系统的安全。本步骤中是用户终端设备接入网络时,启动的首次IP地址分配,通过获取的临时IP地址,终端设备后续能够接入网络侧的审核域。
[0054]步骤202、根据所述动态主机设置协议服务器返回的临时IP地址接入网络侧审核域的网络,并与所述审核域中的安全处理服务器交互以进行安全审核并获取安全审核结果,所述安全审核包括病毒扫描。
[0055]本发明中,网络侧的审核域设置的安全处理服务器根据终端设备的请求对终端设备进行安全审核,如病毒扫描等,并将相应的审核结果反馈给对应的终端设备。本步骤中终端设备获取网络侧的DHCP服务器返回的临时IP地址后,可以与审核域的安全处理服务器交互以使安全处理服务器对其进行安全审核。终端设备与审核域的安全处理服务器交互之前,还包括:终端设备从其预存的IP地址信息中获取审核域的安全处理服务器对应的第一IP地址以及业务地址服务器对应的第二 IP地址,或者终端设备获取DHCP服务器根据终端设备的IP地址请求反馈的安全处理服务器对应的第一 IP地址以及业务地址服务器对应的第二 IP地址,当终端设备获取两服务器的IP地址后,后续可以根据IP地址找到相应的服务器以与其通信。由于网络侧审核域的两服务器IP地址会因不同情况而重新设置调整,所以DHCP服务器根据终端设备的请求可以将两服务器当前的IP地址反馈给终端设备,从而可保证终端设备能够有效准确地找到相应的服务器。图4为图3中安全审核处理过程的流程图,如图4所示,具体应用中,若安全审核中还包括接入鉴权时,终端设备进行安全审核的处理过程可以包括:
[0056]步骤2021、根据所述动态主机设置协议服务器返回的临时IP地址接入网络侧审核域的网络。
[0057]步骤2022、向网络侧审核域中的安全处理服务器发送安全审核请求信息以进行鉴权和病毒扫描,所述安全审核请求信息中包括接入业务网络的鉴权认证标识。
[0058]终端设备根据DHCP服务器返回的临时IP地址接入网络侧审核域后,向设置于审核域的安全处理服务器发送安全审核请求,本实施例中安全处理服务器进行的安全审核包括接入鉴权和病毒扫描,在其他实施例中也可以进一步包括其他的安全处理措施。
[0059]步骤2023、获取所述安全处理服务器返回的包括鉴权和扫描结果信息的安全审核结果。
[0060]网络侧审核域的安全处理服务器对终端设备完成审核后即将审核结果反馈给对应的终端设备,从而终端设备可以根据安全审核结果进行相应的处理,即若审核通过则请求接入业务域网络的业务IP地址,否则暂时停止连接网络以免将不安全因素引入核心业务网。
[0061]步骤203、若所述安全审核结果为通过,则向所述审核域的业务地址服务器发送业务IP地址请求信息。
[0062]终端设备接收到网络侧审核域安全处理服务器返回的安全审核结果后,若审核通过,则进一步向网络侧审核域的业务地址服务器请求接入业务域网络的业务IP地址。
[0063]步骤204、根据所述业务地址服务器返回的业务IP地址接入网络侧业务域的网络。
[0064]网络侧审核域中的业务地址服务器接收到终端设备的地址请求后,可直接向对应的终端设备分配业务IP地址,也可以根据安全处理服务器的安全审核结果再确定是否向对应的终端设备分配业务IP地址,以避免向没有安全审核的终端设备分配IP地址,从而可进一步提高安全防范的效果。具体实施中,安全处理服务器安全审核完后即可将审核结果发送给业务地址服务器,也可以是业务地址服务器接收到终端设备的地址请求后向安全处理服务器请求相应的审核结果。为避免伪造IP地址的终端设备接入审核域不经过安全审核而请求业务IP地址,审核域中的安全处理服务器与业务地址服务器可以约定一段时间内请求的终端设备为安全可信的终端设备,可以对其分配业务IP地址,而超过一定时间的终端设备为不可信的终端,需要重新安全审核,从而提高接入业务域网络中终端设备的可靠性,有效避免向业务域网络中引入不安全因素。
[0065]本实施例中终端设备通过根据动态主机设置协议服务器返回的临时IP地址接入网络侧审核域并与审核域的安全处理服务器交互以使安全处理服务器对其进行包括病毒扫描的安全审核,若审核通过则再请求获取接入业务域网络的业务IP地址,避免将核心业务网络直接暴露给没有审核的非可信设备,因此获取业务IP地址的终端设备都是经过安全审核的,不会给网络侧业务域网络引入不安全因素,从而有效保证了网络侧业务域的网络的安全稳定。
[0066]图5为本发明网络接入安全处理设备实施例的结构示意图,本实施例的设备包括:动态主机设置协议服务器301、安全处理服务器302和业务地址服务器303,其中,动态主机设置协议服务器301,用于根据终端设备发送的临时IP地址请求信息,向所述终端设备分配临时IP地址以使所述终端设备接入网络侧审核域的网络;安全处理服务器302,用于与通过所述临时IP地址接入的所述终端设备交互以对所述终端设备进行安全审核,并将安全审核结果发送给所述终端设备,所述安全审核包括病毒扫描;业务地址服务器303,用于若所述安全审核结果为通过,则根据所述终端设备发送的业务IP地址请求信息,对所述终端设备分配业务IP地址以使所述终端设备根据所述业务IP地址接入网络侧业务域的网络,其中,所述审核域的网络与所述业务域的网络相互隔离。
[0067]本实施例中的安全处理服务器在用户终端设备获取临时IP地址接入网络侧审核域后可以对终端设备进行包括病毒扫描的安全审核,如通过则由业务地址服务器再对通过安全审核的终端设备分配接入业务域网络的IP地址。
[0068]本实施例中的动态主机设置协议服务器,还可根据终端设备发送的临时IP地址请求信息向所述终端设备返回网络侧审核域中安全处理服务器对应的第一 IP地址以使所述终端设备与所述第一 IP地址对应的安全处理服务器交互以对所述终端设备进行安全审核,以及向所述终端设备返回网络侧审核域中业务地址服务器对应的第二 IP地址以使所述终端设备向所述第二 IP地址对应的业务地址服务器发送业务IP地址请求信息。若安全审核还包括接入鉴权审核,则安全处理服务器,具体用于根据终端设备发送的安全审核请求信息,对所述终端设备进行鉴权和安全扫描;并将获取的包括鉴权和扫描结果信息的安全审核结果发送给所述终端设备。
[0069]本实施例可用于执行上述图1所示方法实施例的技术方案,其工作原理及达到的技术效果类似,具体内容不再详细赘述。
[0070]图6为本发明终端设备实施例一的结构示意图,本实施例的终端设备包括:第一处理模块401和第二处理模块402,其中,第一处理模块401,用于向动态主机设置协议服务器发送临时IP地址请求信息;以及根据所述动态主机设置协议服务器返回的临时IP地址接入网络侧审核域的网络,并与所述审核域中的安全处理服务器交互以进行安全审核并获取安全审核结果,所述安全审核包括病毒扫描;第二处理模块402,用于若所述安全审核结果为通过,则向所述审核域中的业务地址服务器发送业务IP地址请求信息;以及根据所述业务地址服务器返回的业务IP地址接入网络侧业务域的网络,其中,所述审核域的网络与所述业务域的网络相互隔离。
[0071]本实施例中,终端设备中设置的第一处理模块负责终端设备接入网络时请求获取临时IP地址以及请求网络侧审核域的安全处理服务器对终端设备进行安全审核,第二处理模块在第一处理模块获取的安全审核结果为审核通过时向网络侧审核域的业务地址服务器请求接入业务域网络的业务IP地址及获取业务IP地址后接入业务域网络。
[0072]本实施例中第一处理模块,还可以从终端设备事先预存的IP地址列表中获取所述安全处理服务器对应的第一 IP地址以及业务地址服务器对应的第二 IP地址,也可以是接收动态主机设置协议服务器返回的安全处理服务器对应的第一 IP地址以及所述业务地址服务器对应的第二 IP地址,之后根据对应的IP地址与相应的服务器通信。若安全审核还包括接入鉴权审核,则第一处理模块,具体用于根据所述动态主机设置协议服务器返回的临时IP地址接入网络侧审核域的网络;向网络侧审核域中的安全处理服务器发送安全审核请求信息,所述安全审核请求信息中包括终端设备被允许接入业务网络的鉴权认证标识;获取所述安全处理服务器返回的包括鉴权和扫描结果信息的安全审核结果。其中,鉴权认证标识可以为终端设备与网络侧审核域安全处理服务器之间事先约定的鉴权码,也可以是审核域网络的网络管理人员分配给相应终端设备的鉴权码,该鉴权码存储于终端设备的鉴权码库中,当第一处理模块获取临时IP地址后,可以从鉴权码库中获取相应的鉴权码将其携带在安全审核请求信息中。
[0073]本实施例可用于执行上述图3所示的方法实施例,其工作原理及达到的技术效果类似,具体内容不在赘述。
[0074]图7为本发明终端设备实施例二的结构示意图,本实施例的终端设备在上述图6所示的终端设备的基础上,进一步还包括:第三处理模块403,用于若所述安全处理服务器返回的安全审核结果为鉴权和/或扫描没有通过,则显示告警信息以提示用户接入网络失败。本实施例中第三处理模块403获取安全审核没有通过时,可以提示用户网络连接失败,从而使用户确定是否是本终端设备感染了病毒,以采取相应的处理措施处理后再次尝试连接,有利于用户及时发现及处理联网中出现的问题。
[0075]在上述图6或图7实施例中,终端设备还可以进一步包括联网管理模块,用于确定用户的终端设备是否开启上述的处理模块以便于用户终端设备的管理,同时,联网管理模块也可以执行终端设备上上述鉴权码的设置与修改。上述的第一处理模块和第二处理模块可以直接与终端设备原有的具有网络配置功能的模块交互实现将处理模块从网络侧获取的临时IP地址或业务IP地址对终端设备进行IP地址配置,也可以设置内部接口模块,通过该内部接口模块调用终端设备原有的具有网络配置功能的模块以进行相应的配置操作。
[0076]图8为本发明网络安全处理系统实施例的结构示意图,如图8所示,本实施例的系统包括如上述图5所示的网络接入安全处理设备20和如图6或图7所示的终端设备10,其中,网络接入安全处理设备20为网络侧审核域中的用于安全处理的设备,由对接入网络侧业务域的终端设备10进行IP地址分配和安全审核的多个服务器组成,终端设备10上设置的分域地址配置模块包括上述图6或7所示的处理模块。
[0077]本实施例中,用户侧的终端设备通过分域地址配置模块向网络侧审核域中的DHCP服务器发送IP地址请求,DHCP服务器返回分配的IP地址,终端设备根据该IP地址再向安全处理服务器发送安全审核请求,安全处理服务器对终端设备进行包括病毒扫描的安全审核,并将审核结果反馈给终端设备,终端设备判断审核结果是否为通过,若通过在进一步向业务地址服务器发送IP地址请求,业务地址服务器根据安全处理服务器的审核结果确定是否对终端设备分配IP地址,从而终端设备可以以此IP地址接入网络侧的业务域网络。
[0078]本实施例的系统可用于执行上述图3和图4所示的方法实施例,其工作原理及达到的技术效果类似,具体内容不在赘述。
[0079]本发明中,当终端设备要接入网络中时,首先向DHCP服务器请求接入网络的临时IP地址以接入网络侧审核域进行安全审核,之后再根据审核结果确认是否请求接入业务网络的业务IP地址,即该临时IP地址不用于终端设备接入业务网络,由于本发明中网络侧的网络被分成相互隔离的审核域和业务域,审核域不仅设置有用于对终端设备分配临时IP的DHCP服务器,还设置有对终端设备进行安全审核的安全处理服务器以及对安全审核通过的终端设备进行业务IP地址分配的业务地址服务器,因此,最终获取业务IP地址的终端设备是经过包括病毒扫描的安全审核的,而且即使用户的终端设备携带有病毒等不安全因素与审核域的DHCP服务器通信以及获取临时IP地址后接入审核域,也不会将病毒传播给业务域的网络,从而提高了业务网络的安全性。
[0080]本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0081]最后应说明的是:以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。
【权利要求】
1.一种网络接入安全处理方法,其特征在于,包括: 根据终端设备发送的临时IP地址请求信息,向所述终端设备分配临时IP地址以使所述终端设备接入网络侧审核域的网络; 与通过所述临时IP地址接入的终端设备交互以对所述终端设备进行安全审核,并将安全审核结果发送给所述终端设备,所述安全审核包括病毒扫描; 若所述安全审核结果为通过,则根据所述终端设备发送的业务IP地址请求信息,对所述终端设备分配业务IP地址以使所述终端设备根据所述业务IP地址接入网络侧业务域的网络; 其中,所述审核域的网络与所述业务域的网络相互隔离。
2.根据权利要求1所述的方法,其特征在于,与通过所述临时IP地址接入的终端设备交互以对所述终端设备进行安全审核之前,还包括: 根据终端设备发送的临时IP地址请求信息,向所述终端设备返回网络侧审核域中的安全处理服务器对应的第一 IP地址以及业务地址服务器对应的第二 IP地址,以使所述终端设备与所述第一 IP地址对应的安全处理服务器交互以对所述终端设备进行安全审核,以及所述终端设备向所述第二 IP地址对应的业务地址服务器发送业务IP地址请求信息。
3.根据权利要求1或2所述的方法,其特征在于,所述安全审核还包括接入鉴权审核, 相应地,与通过所述临时IP地址接入的所述终端设备交互以对所述终端设备进行安全审核,并将安全审核结果发送给所述终端设备,具体包括: 根据通过所述临时IP地址接入的终端设备发送的安全审核请求信息,对所述终端设备进行鉴权和病毒扫描; 将获取的包括鉴权和扫描结果信息的安全审核结果发送给所述终端设备。
4.一种网络接入安全处理方法,其特征在于,包括: 向动态主机设置协议服务器发送临时IP地址请求信息; 根据所述动态主机设置协议服务器返回的临时IP地址接入网络侧审核域的网络,并与所述审核域中的安全处理服务器交互以进行安全审核并获取安全审核结果,所述安全审核包括病毒扫描; 若所述安全审核结果为通过,则向所述审核域中的业务地址服务器发送业务IP地址请求信息; 根据所述业务地址服务器返回的业务IP地址接入网络侧业务域的网络; 其中,所述审核域的网络与所述业务域的网络相互隔离。
5.根据权利要求4所述的方法,其特征在于,根据所述动态主机设置协议服务器返回的临时IP地址接入网络侧审核域的网络,之前,还包括: 获取预存的或者获取所述动态主机设置协议服务器返回的网络侧审核域中的安全处理服务器对应的第一 IP地址以及业务地址服务器对应的第二 IP地址; 相应地,根据所述动态主机设置协议服务器返回的临时IP地址接入网络侧审核域的网络,并与所述审核域中的安全处理服务器交互以进行安全审核并获取安全审核结果,具体为: 根据所述动态主机设置协议服务器返回的临时IP地址,与所述第一 IP地址对应的安全处理服务器交互以进行安全审核,并获取安全审核结果;相应地,向所述审核域中的业务地址服务器发送业务IP地址请求信息,具体为: 向所述第二 IP地址对应的业务地址服务器发送业务IP请求信息。
6.根据权利要求4或5所述的方法,其特征在于,所述安全审核还包括接入鉴权审核, 相应地,根据所述动态主机设置协议服务器返回的临时IP地址接入网络侧审核域的网络,并与所述审核域中的安全处理服务器交互以进行安全审核并获取安全审核结果,具体包括: 根据所述动态主机设置协议服务器返回的临时IP地址接入网络侧审核域的网络; 向网络侧审核域中的安全处理服务器发送安全审核请求信息以进行鉴权和病毒扫描,所述安全审核请求信息中包括接入业务网络的鉴权认证标识; 获取所述安全处理服务器返回的包括鉴权和扫描结果信息的安全审核结果。
7.根据权利要求6所述的方法,其特征在于,获取所述安全处理服务器返回的包括鉴权和扫描信息的安全审核结果之后,还包括: 若所述安全处理服务器返回的安全审核结果为鉴权和/或扫描没有通过,则显示告警信息以提示用户接入网络失败。
8.—种网络接入安全处理设备,其特征在于,包括: 动态主机设置协议服务器,用于根据终端设备发送的临时IP地址请求信息,向所述终端设备分配临时IP地址以使所述终端设备接入网络侧审核域的网络; 安全处理服务器,用于与通过所述临时IP地址接入的所述终端设备交互以对所述终端设备进行安全审核,并将安全审核结果发送给所述终端设备,所述安全审核包括病毒扫描;` 业务地址服务器,用于若所述安全审核结果为通过,则根据所述终端设备发送的业务IP地址请求信息,对所述终端设备分配业务IP地址以使所述终端设备根据所述业务IP地址接入网络侧业务域的网络; 其中,所述审核域的网络与所述业务域的网络相互隔离。
9.根据权利要求8所述的设备,其特征在于,所述动态主机设置协议服务器,还用于根据终端设备发送的临时IP地址请求信息,向所述终端设备返回网络侧审核域中的安全处理服务器对应的第一 IP地址以及业务地址服务器对应的第二 IP地址,以使所述终端设备与所述第一 IP地址对应的安全处理服务器交互以对所述终端设备进行安全审核,以及所述终端设备向所述第二 IP地址对应的业务地址服务器发送业务IP地址请求信息。
10.根据权利要求8或9所述的设备,其特征在于,所述安全审核还包括接入鉴权审核, 所述安全处理服务器,具体用于根据通过所述临时IP地址接入的所述终端设备发送的安全审核请求信息,对所述终端设备进行鉴权和安全扫描;并将获取的包括鉴权和扫描结果信息的安全审核结果发送给所述终端设备。
11.一种终端设备,其特征在于,包括: 第一处理模块,用于向动态主机设置协议服务器发送临时IP地址请求信息;以及根据所述动态主机设置协议服务器返回的临时IP地址接入网络侧审核域的网络,并与所述审核域中的安全处理服务器交互以进行安全审核并获取安全审核结果,所述安全审核包括病毒扫描; 第二处理模块,用于若所述安全审核结果为通过,则向所述审核域中的业务地址服务器发送业务IP地址请求信息;以及根据所述业务地址服务器返回的业务IP地址接入网络侧业务域的网络; 其中,所述审核域的网络与所述业务域的网络相互隔离。
12.根据权利要求11所述的设备,其特征在于,所述第一处理模块,还用于获取预存的或者获取所述动态主机设置协议服务器返回的网络侧审核域中的安全处理服务器对应的第一 IP地址以及业务地址服务器对应的第二 IP地址,以与所述第一 IP地址对应的安全处理服务器交互以进行安全审核并获取安全审核结果,以及与所述第二 IP地址对应的业务地址服务器发送业务IP请求信息。
13.根据权利要求11或12所述的设备,其特征在于,所述安全审核还包括接入鉴权审核, 所述第一处理模块,具体用于向动态主机设置协议服务器发送临时IP地址请求信息后,根据所述动态主机设置协议服务器返回的临时IP地址接入网络侧审核域的网络;向网络侧审核域中的安全处理服务器发送安全审核请求信息,所述安全审核请求信息中包括终端设备被允许接入业务域的网络的鉴权认证标识;获取所述安全处理服务器返回的包括鉴权和扫描结果信息的安全审核结果。
14.根据权利要求13所述的设备,其特征在于,还包括第三处理模块,用于若所述安全处理服务器返回的安全审核结果为鉴权和/或扫描没有通过,则显示告警信息以提示用户接入网络失败。
15.一种网络安全处理系统,其特征在于,包括如权利要求8~10中任一项所述的网络接入安全处理设备和如权利要求`1f 14中任一项所述的终端设备。
【文档编号】H04L29/12GK103685147SQ201210320676
【公开日】2014年3月26日 申请日期:2012年8月31日 优先权日:2012年8月31日
【发明者】马铮, 王健全, 周光涛, 乔自知, 白晓媛, 龚子丹, 俞播 申请人:中国联合网络通信集团有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1