网络准入控制方法及认证服务器、终端的制作方法
【技术领域】
[0001] 本发明涉及通信技术,具体涉及一种网络准入控制方法及认证服务器、终端。
【背景技术】
[0002] 2003年可信计算组织(Trusted Computing Group,简称TCG)成立,成员包括了几 乎所有的主流计算机软件、硬件以及网络设备厂商。TCG组织在2004年5月成立了可信网 络连接分组(Trusted Network Connection Sub Group,简称TNC-SG),主要负责研宄及制 定可信网络连接(Trusted Network Connection,简称TNC)框架及相关的标准。TNC架构 的主要目的是通过提供一个由多种协议规范组成的框架来实现一套多元的网络标准,它提 供终端鉴别、终端策略授权、访问策略、评估一隔离一补救等功能,从而实现可信网路连接。
[0003] 目前,很多网络准入系统都是基于TNC流程设计的,然而,TNC流程只制定了一些 模块功能描述和一些相应的接口描述,导致在具体应用中,各网络设备厂商在实现过程中 需要自定义私有协议,造成不同厂商的设备之间缺乏兼容性。举例来说,基于802. Ix协议 的网络准入需要借助可扩展身份验证协议(Extensible Authentication Protocol,简称 ΕΑΡ)来实现,从而可以提供良好的扩展性和适应性。但802. Ix协议并没有对入网终端的合 规性做任何检查,导致用户网络可能会受到破坏。由此,多数网络设备厂商都试图设计自己 私有的准入方案来代替802. Ix协议,造成不同厂商的设备之间缺乏兼容性。
[0004] 由此,如何提高基于802. Ix协议的用户网络准入的安全性成为当前需要解决的 技术问题。
【发明内容】
[0005] 针对现有技术的缺陷,本发明提供一种网络准入控制方法及认证服务器、终端,解 决现有技术中基于802. Ix协议的用户网络准入流程中不安全性的问题。
[0006] 第一方面,本发明提供一种网络准入控制方法,包括:
[0007] 在认证服务器对终端的身份认证成功时,所述认证服务器通过接入设备对所述终 端进行健康检查;
[0008] 根据所述终端的健康检查的结果,确定向所述终端发送用于接入网络的准入控制 策略。
[0009] 可选地,所述认证服务器通过接入设备对所述终端进行健康检查,包括:
[0010] 所述认证服务器向所述接入设备发送通知消息,以使所述接入设备将所述通知消 息转发所述终端,所述通知消息用于通知所述终端进行健康检查;
[0011] 所述认证服务器接收所述接入设备发送的健康检查消息,所述健康检查消息为所 述终端在接收所述通知消息之后进行健康检查,并获取的包括终端内度量信息的消息。
[0012] 可选地,所述认证服务器接收所述接入设备发送的健康检查消息,包括:
[0013] 所述认证服务器接收所述接入设备发送的握手请求,所述握手请求为所述终端根 据所述通知消息向所述认证服务器发送的用于表示该终端能够进行健康检查的请求;
[0014] 所述认证服务器向所述接入设备发送健康查询请求,以使所述接入设备将所述健 康查询请求转发所述终端,所述健康查询请求用于请求检查所述终端内的度量信息;
[0015] 所述认证服务器接收所述接入设备发送的与健康查询请求对应的响应消息,所述 响应消息为所述终端发送的包括该终端内度量信息的消息。
[0016] 可选地,所述认证服务器接收所述接入设备发送的健康检查消息,包括:
[0017] 所述认证服务器接收所述接入设备发送的握手请求,所述握手请求为所述终端根 据所述通知消息向所述认证服务器发送的用于表示该终端能够进行健康检查的请求;
[0018] 所述认证服务器向所述接入设备发送健康查询请求,以使所述接入设备将所述健 康查询请求转发所述终端,所述健康查询请求用于请求检查所述终端内的度量信息;
[0019] 所述认证服务器接收所述接入设备发送的与健康查询请求对应的多个子响应消 息,每一个所述子响应消息为所述终端发送的包括该终端内的部分度量信息的消息。
[0020] 可选地,所述认证服务器向所述接入设备发送接收所述响应消息的确认消息,以 使所述接入设备将所述确认消息发送所述终端;
[0021] 或者,所述认证服务器向所述接入设备发送接收所述子响应消息的确认消息,以 使所述接入设备将所述确认消息发送所述终端。
[0022] 可选地,所述根据所述终端的健康检查的结果,确定向所述终端发送用于接入网 络的准入控制策略,包括:
[0023] 所述认证服务器根据预设的度量方法,确定所述响应消息中度量信息的度量值, 或者,确定所有子响应消息中所有度量信息的度量值,并根据所述度量值确定用于使该终 端接入网络的准入控制策略;
[0024] 所述认证服务器向所述接入设备发送所述终端的准入控制策略,以使所述接入设 备根据所述准入控制策略对所述终端接入的网络进行控制。
[0025] 可选地,若所述认证服务器需要对所述终端进行多项度量信息的检查,则所述认 证服务器在确定所述度量值之后,重复向所述接入设备发送用于请求检查所述终端内的另 一项度量信息的健康查询请求的步骤;
[0026] 相应地,根据所述度量值确定用于使该终端接入网络的准入控制策略,包括:根据 所述终端对应的所有度量值确定用于使该终端接入网络的准入控制策略。
[0027] 第二方面,本发明提供一种网络准入控制方法,包括:
[0028] 在认证服务器对终端的身份认证成功时,所述终端接收接入设备发送的通知消 息,所述通知消息为所述认证服务器发送至所述接入设备的,用于通知所述终端进行健康 检查的消息;
[0029] 所述终端根据接收的所述通知消息进行健康检查,并获取包括终端内度量信息的 健康检查消息,将所述健康检查消息通过所述接入设备发送所述认证服务器。
[0030] 可选地,所述终端根据接收的所述通知消息进行健康检查,并获取包括终端内度 量信息的健康检查消息,将所述健康检查消息通过所述接入设备发送所述认证服务器,包 括:
[0031] 所述终端根据所述通知消息向所述接入设备发送握手请求,以使所述接入设备将 所述握手请求转发所述认证服务器,所述握手请求为表示该终端能够进行健康检查的请 求;
[0032] 所述终端接收所述接入设备转发的所述认证服务器根据所述握手请求发送的健 康查询请求,所述健康查询请求用于请求检查所述终端内的度量信息;
[0033] 所述终端根据所述健康检查请求获取该终端内的度量信息,并向所述接入设备发 送包括所述度量信息的响应消息,以使所述接入设备将所述响应消息发送所述认证服务 器。
[0034] 可选地,所述向所述接入设备发送包括所述度量信息的响应消息,包括:
[0035] 所述终端根据分片机制将所述度量信息切分为多个分片度量信息;向所述接入设 备发送包括所述分片度量信息的子响应消息,每一所述子响应消息包括一个所述分片度量 信息。
[0036] 可选地,所述方法还包括:
[0037] 所述终端接收所述接入设备发送的认证成功消息,所述认证成功消息为所述接入 设备接收所述认证服务器发送的所述终端的准入控制策略之后发送的,所述准入控制策略 为所述认证服务器根据所述终端的度量值确定的,所述终端的度量值为所述认证服务器根 据预设的度量方法,获取所述响应消息中度量信息的度量值。
[0038] 可选地,所述终端接收所述接入设备发送的认证成功消息之前,所述方法还包括: 所述终端接收所述接入设备发送的所述响应消息的确