一种安全的网络准入控制方法与流程

文档序号：13882588阅读：745来源：国知局

本发明涉及通信控制领域，尤其涉及一种安全的网络准入控制方法。

背景技术：

出于对企业网络业务类型及安全性的考虑，在终端接入网络过程中，不同级别的用户对网络业务、网络安全等方面的要求存在很大的不同。目前，主要采用以下两种技术方案实现对不同用户的区别处理。

(a)方案采用vlan(virtuallocalareanetwork)技术将不同网络逻辑隔离；比如将交换机端口1～10分配给vlan1，端口11～23分配给vlan2，安全性要求较高的财务部终端只能接入vlan1，而生产部门等其他终端接入vlan2，达到网络层面的逻辑隔离。方案(a)中，当终端用户需要访问不同的逻辑网段时，需要切换网线所连接的交换机端口或者需要网络管理员重新配置vlan策略，非常繁琐；同时，方案(a)也无法对终端用户进行身份安全认证。

(b)方案利用远程拨号用户认证服务(remoteauthenticationdialinuserservice，简称radius)对不同的用户名进行认证，由验证设备(radius服务器)根据用户名级别下发安全策略和访问权限。见图1，图1是现有技术中验证设备对终端用户名进行认证的网络连接示意图，其中，接入设备可以为交换机，其与用户终端的通信通过802.1x协议进行(802.1x协议是基于client/server的访问控制和认证协议，它可以限制未经授权的用户/设备通过接入端口(accessport)访问lan/wlan)；具体认证过程见图2，图2是现有技术中验证设备对终端用户名进行认证的流程示意图，radius服务器的验证过程包括如下步骤：

(1)终端发起接入请求，接入设备接收到终端发送的认证请求；

(2)接入设备将其发送给radius服务器；

(3)用户通过认证后，radius服务器根据预先设置的用户访问权限策略，向接入设备下发相应的访问控制列表(accesscontrollist，简称acl)和vlan-id等信息；

(4)接入设备向终端发送认证成功指令，并根据acl和vlan-id等信息限制终端的网络资源访问。

上述(b)方案的部署比(a)方案灵活且安全性也有所提高，但(b)方案也不能真正意义上的验证终端用户的合法身份，一旦终端的用户名和密码泄露，别有用心者就可以用泄露的用户信息在企业网络中的任何一台电脑上登录，安全性还是得不到保障。

技术实现要素：

本发明的目的在于克服现有技术中的缺点与不足，提供一种安全的网络准入控制方法。

本发明是通过以下技术方案实现的：一种安全的网络准入控制方法，包括如下步骤：

s1：登记网络终端用户的用户名、密码、登入域及手持设备标识码，并储存至验证服务器的验证数据库中；

s2：在网络终端的登录界面上填写终端用户名并向验证服务器发出获取动态验证码的连接请求；

s3：验证服务器向终端用户的手持设备发送一动态验证码；该步骤s3包括，

s31：验证服务器在验证数据库中检索出所述终端用户名对应的手持设备标识码；

s32：验证服务器随机生成动态验证码；

s33：验证服务器向所述终端用户名对应的手持设备发送该动态验证码，并将该动态验证码存储至验证数据库中对应的终端用户名条目下；

s4：在网络终端上用所述终端用户名、密码、登入域及动态验证码登录，验证服务器校验登录信息成功，则请求策略服务器下发访问控制策略至接入设备，由接入设备控制网络终端接入指定的接入域、验证服务器校验登录信息失败向网络终端发送拒绝登录提示；该步骤s4包括：

s41：网络终端向接入设备发起接入请求，该接入请求包含用户名、密码、登入域及动态验证码；

s42：接入设备将该接入请求转发给验证服务器；

s43：验证服务器检索验证数据库中的用户信息并对所述接入请求进行验证，并将验证结果发送至策略服务器；

s44：如s43中的验证结果为成功，则策略服务器向接入设备下发终端用户名对应的访问控制策略、如s43中的验证结果为失败则通知接入设备向网络终端发送拒绝登录提示；该步骤s44中，如s43中的验证结果为成功，则策略服务器向接入设备下发终端用户名对应的访问控制策略包括以下步骤：

s441：策略服务器请求接入设备发送要接入的网络终端的系统健康报告；

s442：接入设备请求要接入的网络终端发送系统健康报告；

s443：要接入的网络终端响应接入设备的请求，开始进行系统健康检测，系统健康检测完成后向接入设备提交系统健康报告；

s444：接入设备向所述策略服务器转发网络终端的系统健康报告；

s445：策略服务器根据网络终端的系统健康报告，制定终端用户名对应的访问控制策略，并将访问控制策略下发到接入设备；

s446：接入设备根据该访问控制策略来控制要接入的网络终端是接入到业务逻辑网络还是访客逻辑网络。

优选地，所述步骤s1中，所述手持设备标识码为网络终端用户的手机号或微信号。

进一步，所述步骤s3中，所述验证服务器向终端用户的手持设备发送一动态验证码为验证服务器向网络终端用户的手机上发送包括动态验证码的短信，或验证服务器向网络终端用户的手机微信上发送包括动态验证码的信息。

进一步，所述验证服务器是支持radius协议的radius服务器、所述接入设备是支持radius协议的radius客户端。

进一步，所述接入设备为支持802.1x协议的网络设备。

进一步，步骤s441中，所述系统健康报告包括操作系统版本、浏览器版本、高危安全补丁、网络防火墙版本、病毒防火墙版本及病毒防火墙特征库版本。

相比于现有技术，本发明的有益效果是：

本发明的安全的网络准入控制方法，在网络终端向验证服务器发送登录验证请求之前，先向验证服务器请求一动态验证码，验证服务器将该动态验证码发送至终端用户的手持设备上，终端用户将终端用户名、密码、登入域及该动态验证码一同作为登录验证信息请求接入网络，通过动态验证码能确定网络终端用户的合法身份；登入域的设定使得一个网络终端用户可以接入不同的逻辑网络中，终端用户访问不同的网络资源更为方便；通过设置专用的策略服务器来向接入设备下发不同的访问控制策略，可减轻验证服务器的工作负荷，提升网络终端接入验证性能，进一步，策略服务器还要求网络终端发送系统健康报告，有效避免来自网络终端的病毒或黑客攻击，更全面保障网络的接入安全。

为了能更清晰的理解本发明，以下将结合附图说明阐述本发明的较佳的实施方式。

附图说明

图1是现有技术中用radius协议来做终端接入验证的网络连接示意图。

图2是现有技术中用radius协议来做终端接入验证的信令示意图。

图3本发明的安全的网络准入控制方法的信令步骤示意图。

图4本发明的安全的网络准入控制方法的流程图。

图5是图4中s3的流程图。

图6是图4中s4的流程图。

图7是图4中验证服务器下发访问控制策略的流程图。

具体实施方式

请同时参阅图1至图7，图1是现有技术中用radius协议来做终端接入验证的网络连接示意图，图2是现有技术中用radius协议来做终端接入验证的信令示意图，图3本发明的安全的网络准入控制方法的信令步骤示意图，图4本发明的安全的网络准入控制方法的流程图，图5是图4中s3的流程图，图6是图4中s4的流程图，图7是图4中验证服务器下发访问控制策略的流程图。

本发明的一种安全的网络准入控制方法，其对应的网络拓扑中包括网络终端、接入设备、验证服务器及策略服务器，所述网络终端、接入设备、验证服务器及策略服务器可为独立安装的软件模块，也可为嵌入网络交换设备中的软件模块，网络拓扑中网络交换设备支持802.1x协议；其中的网络终端提供登录界面以便用户输入接入验证请求、验证服务器和策略服务器提供管理界面以便管理员维护验证数据库或访问控制策略。

见图3和图4，一种安全的网络准入控制方法，包括如下步骤：

s1：登记网络终端用户的用户名、密码、登入域及手持设备标识码，并储存至验证服务器的验证数据库中；作为优选，本实施例中，所述手持设备标识码为网络终端用户的手机号或微信号。

所述一个网络终端用户可以关联多个登入域，每一个登入域对应不同的vlanid，即网络终端可以登入不同vlanid的逻辑网络中，以便访问不同的网络资源。