施例。基于 本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。
[0090] 现有技术中TNC流程只制定了一些模块功能描述和一些相应的接口描述,对一些 关键技术(比如网络准入协议、健康检查信息的传输、终端控制等)并未给出具体的实现方 式。如各个厂商对这些技术的实现只能利用现有技术或自定义私有协议,导致不同厂商之 间的设备缺乏兼容性,导致成本较高。
[0091] 本发明实施例中的健康检查是基于802. Ix标准协议而实现的,在网络部署时可 与各厂商无关,同时可兼容任何能够实现802. Ix标准协议的网络设备,减少网络部署的成 本。
[0092] 以下简单对802. Ix标准协议进行介绍。
[0093] 802. Ix协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主 要解决以太网内认证和安全方面的问题。802. Ix协议是一种基于端口的网络接入控制协议 (Port Based Network Access Control Protocol)。"基于端口 的网络接入控制"是指在局 域网接入设备的端口这一级对所接入的终端进行认证和控制。连接在端口上的终端如果能 通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
[0094] 802. Ix的体系结构:
[0095] 802. Ix系统为典型的Client/Server结构,如图1所示,包括三个实体:客户端 (Client)、设备端(Device)和认证服务器(Server)。
[0096] 客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认 证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802. IX认证。客 户端必须支持局域网上的可扩展认证协议(Extensible Authentication Protocol over LAN,简称 EAPOL)。
[0097] 设备端是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备端 通常为支持802. Ix协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物 理端口,也可以是逻辑端口。
[0098] 认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行 认证、授权和计费,通常为远程认证拨号用户服务(Remote Authentication Dial-In User Service,简称 RADIUS)。
[0099] 802. Ix的认证触发方式:
[0100] 802. Ix的认证过程可以由客户端主动发起,也可以由设备端发起。设备支持的认 证触发方式包括以下两种:
[0101] 客户端主动触发方式和设备端主动触发方式。802. Ix系统支持EAP中继方式和 EAP终结方式与远端认证服务器交互完成认证。
[0102] 需要说明的是,本发明任意实施例中的终端均可为客户端,本发明实施例以终端 进行举例说明。
[0103] 本发明实施例中,在认证服务器对终端的认证成功时,所述认证服务器通过接入 设备对所述终端进行健康检查,并根据所述终端的健康检查的结果,确定向所述终端发送 用于接入网络的准入控制策略。具体地,可结合下述的图2至图6进行详细说明。
[0104] 另外,本发明实施例中的网络准入控制方法所应用的系统架构,如图2所示,该系 统架构的系统组件可包括NAC服务器,终端/客户端和网络设备,网络准入控制方法实施过 程中无需对用户网络做任何改变。该网络设备可为支持IEEE802. Ix协议的网络设备即可, 由此可方便快速的保护用户网络准入的安全性。
[0105] 本实施例提供的网络准入控制方法,通过在认证服务器对终端的认证成功后发送 准入控制策略之前,对终端进行健康检查,并根据终端健康检查的结果,确定是否想终端发 送接入网络的准备控制策略,由此可较好的提高用户网络准入的安全性。
[0106] 图3A示出了本发明一实施例提供的网络准入控制方法的流程示意图,如图3A所 示,本实施例的网络准入控制方法如下所述。
[0107] 201、在认证服务器对终端的身份认证成功时,向所述接入设备发送通知消息,以 使所述接入设备将所述通知消息转发所述终端,所述通知消息用于通知所述终端进行健康 检查。
[0108] 本实施例中,接入设备可为交换机,如图2中所示的核心交换机等,主要用于转发 终端和认证服务器交互的消息。
[0109] 另外,认证服务器对终端的身份认证成功可理解为,认证服务器准予终端接入网 络,此时,认证服务器还未向接入设备发送用于控制终端接入网络的准入控制策略。
[0110] 202、接收所述接入设备发送的健康检查消息,所述健康检查消息为所述终端在接 收所述通知消息之后进行健康检查,并获取的包括终端内度量信息的消息。
[0111] 203、根据所述终端的健康检查消息,确定向所述终端发送用于接入网络的准入控 制策略。
[0112] 本实施例的网络准入控制方法,在认证服务器对终端的身份认证成功后,且在认 证服务器发送准入控制策略之前,通过接入设备对终端进行健康检查,根据健康检查的结 果调整准入控制策略,进而向接入设备下发准入控制策略,以实现控制终端接入网络,可较 好的提高用户网络准入的安全性。
[0113] 图3B示出了本发明一实施例提供的网络准入控制方法的流程示意图,如图3B所 示,本实施例的网络准入控制方法如下所述。
[0114] 301、在认证服务器对终端的身份认证成功时,认证服务器向接入设备发送通知消 息,以使接入设备将通知消息转发所述终端,通知消息用于通知终端进行健康检查。
[0115] 本实施例中,接入设备可为交换机,如图2中所示的核心交换机等,主要用于转发 终端和认证服务器交互的消息。
[0116] 另外,认证服务器对终端的身份认证成功可理解为,认证服务器准予终端接入网 络,此时,认证服务器还未向接入设备发送用于控制终端接入网络的准入控制策略。
[0117] 302、认证服务器接收接入设备发送的握手请求,所述握手请求为所述终端根据所 述通知消息向所述认证服务器发送的用于表示该终端能够进行健康检查的请求。
[0118] 303、认证服务器向所述接入设备发送健康查询请求,以使所述接入设备将所述健 康查询请求转发所述终端,所述健康查询请求用于请求检查所述终端内的度量信息。
[0119] 304、认证服务器接收所述接入设备发送的与健康查询请求对应的响应消息,所述 响应消息为所述终端发送的包括该终端内度量信息的消息。
[0120] 举例来说,若终端内度量信息的数据量比较大,发送一个响应消息无法携带,则终 端根据分片机制可将度量信息划分成多个分片度量信息,进而向认证服务器发送多个子响 应消息,每一子响应消息可携带至少一个分片度量信息,即每一子响应消息为包括终端内 部分度量信息的消息。
[0121] 也就是说,认证服务器还可接收所述接入设备发送的与健康查询请求对应的多个 子响应消息,每一个所述子响应消息为所述终端发送的包括该终端内的部分度量信息的消 息。
[0122] 可理解的是,如果终端发送的是子响应消息,在每一子响应消息中携带区分每个 子响应消息的标识,以及子响应消息是否发送全部完成的标识。
[0123] 305、认证服务器根据预设的度量方法,确定所述响应消息中度量信息的度量值。
[0124] 当然,若认证服务器接收的是多个子响应消息,则认证服务器可根据预设的度量 方法,确定所有子响应消息中所有度量信息的度量值。
[0125] 306、认证服务器根据所