专利名称:一种接入控制服务器、接入控制方法及系统的制作方法
技术领域:
本发明涉及网络安全领域,特别涉及网络接入控制技术,具体的讲是一 种接入控制方法、系统及装置。
背景技术:
随着网络应用的不断普及与深入,网络安全成为各企业极为重视的问题,网络接入控制(NAC)技术为企业的局域网提供了一个相对完整的网络安全解 决方案。一般的NAC都在交换机(Switch)使用电气电子工程师协会(IEEE)802. IX协议进行访问控制,但是需要接入的客户端的操作系统支持该协议,对于没 有使用Windows2000及以上版本的系统或者不支持802. 1X协议的客户端来说接入网络很困难。各接入控制的厂商也在努力实现对不支持802. 1X协议的客户端进行网络 接入控制,但是客户端必须安装访问控制的软件,但是这种方案不利于客户 的自由度,如果有外来用户需要接入企业局域网,则还需要先安装接入的客 户端软件,在该软件出现的窗口输入用户名、密码才能接入局域网络,使用 起来比较繁琐。还有另外一些解决方案,例如,中国专利公开号CN1855926A,发明名称 为"实现DHCP地址安全分配的方法及系统",公开了从位置信息进行认证的 角度进行认证、接入控制的方案。中国专利公开号CN101232509A,发明名称为"支持隔离模式的网络接入 控制方法、系统及设备",公开了一种利用配置接入终端访问控制列表(ACL) 的方法实现接入控制的方案。现有技术的方案交换机与802. IX协议兼容性不好,需要特别安装接入控 制软件操作复杂,接入控制的安全度不太高或者控制复杂的问题。如何实现 在交换机等中继设备上不使用802. 1X协议,也不需要在客户端安装登录软件 就能够实现接入控制成为本发明的目的。以引入方式将其合并于此。发明内容本发明的目的在于提供一种接入控制方法,用于解决现有技术中需要大 范围的升级局域网络中的中继设备,成本高,并且控制复杂的问题。本发明的另一目的在于提供一种接入控制服务器,用于解决现有技术 中,DNS服务器、DHCP服务器、网关的功能分散,并且不能够实现接入控制 的问题。本发明的另一目的在于提供一种接入控制系统,用于解决现有技术中 办公局域网络接入控制成本高,并且需要在用户计算机上安装特定软件, 操作比较复杂不够灵活的问题。为了实现上述目的,本发明实施例提供一种接入控制方法,其特征在于 该方法包括,新的用户计算机接入办公网络时,给该用户计算机分配隔离网 段IP地址,当处于隔离网段的该用户计算机通过所述办公网络进行访问时, 将用户计算机的访问请求均定向到登录验证页面;当用户计算机输入的登录 信息正确,则分配给该用户计算机办公网段的IP地址,否则拒绝该用户计算 机访问与办公网络相连的内部网络及外部网络资源。根据本发明实施例所述的一种接入控制方法的一个进一步的方面,所述 隔离网段与所述办公网段属于不同网段,并且两网段中的计算机不能互相访 问。根据本发明实施例所述的一种接入控制方法的再一个进一步的方面,所 述用户计算机通过所述办公网络进行访问包括,该用户计算机通过所述办公网络访问互联网资源,或者该用户计算机访问所述办公网络中的资源。
根据本发明实施例所述的一种接入控制方法的另一个进一步的方面,所
述用户计算机的访问请求包括,浏览Web网页的请求,使用所述办公网络内 部数据资源页面的请求。
为了实现上述目的,本发明实施例还提供一种接入控制服务器,其特征 在于该接入控制服务器包括,分配地址单元,登录单元,定向单元,内部网 络接口;所述内部网络接口,用于在办公网络中建立用户计算机与所述接入 控制服务器的连接,所述分配地址单元给接入的用户计算机分配隔离网段IP 地址,当处于隔离网段的该用户计算机访问所述办公网络的内部网络数据资 源时,所述定向单元将所述用户计算机的访问请求均定向到所述登录单元的 登录验证页面;所述登录单元判断当用户计算机输入的登录信息正确,则通 过所述分配地址单元分配给该用户计算机办公网段的IP地址,否则拒绝该用 户计算机访问与办公网络相连的内部网络数据资源。
根据本发明实施例所述的一种接入控制服务器的一个进一步的方面,还 包括外网接口,所述外网接口与所述定向单元相连接,当用户计算机访问外 部互联网络的指令由所述定向单元定向到外部互联网络,则通过所述外网接 口进行访问。
为了实现上述目的,本发明实施例还提供一种接入控制系统,其特征在 于该系统包括,接入控制服务器,中继设备,内网数据资源,该接入控制服 务器包括,分配地址单元,登录单元,定向单元,内部网络接口;所述内部 网络接口,用于在办公网络中通过所述中继设备建立用户计算机与所述接入 控制服务器的连接,所述分配地址单元给接入的用户计算机分配隔离网段IP 地址,当处于隔离网段的该用户计算机通过所述办公网络访问所述内网数据 资源时,所述定向单元将用户计算机的访问请求均定向到所述登录单元的登 录 证页面;所述登录单元判断当用户计算机输入的登录信息正确,则通过 所述分配地址单元分配给该用户计算机办公网段的IP地址,否则拒绝该用户计算机访问所述内网数据资源。
根据本发明实施例所述的一种接入控制系统的一个进一步的方面,所述 接入控制服务器还包括外网接口,所述外网接口与所述定向单元相连接,当 用户计算机访问外部互联网络的指令由所述定向单元定向到外部互联网络, 则通过所述外网接口进行访问。
本发明实施例的有益效果在于,本发明实施例可以实现接入控制的同时 不必大范围的升级网络设备,节省成本,并且能够达到很好的接入控制效果,
保证了局域网内部的安全;并且兼容性好,不需要安装特殊的软件,只要计 算机能够具有浏览Web网页的浏览器就可以进行身份认证;身份认证后不仅 可以控制用户访问互联网,并可以同时控制用户访问局域网内部的服务器。
,
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部
分,并不构成对本发明的限定。在附图中
图1所示为本发明接入控制方法第一实施例流程图2所示为本发明接入控制方法第二实施例流程图3所示为本发明系统实施例结构示意图4所示为本发明接入控制服务器的实施例结构示意图5所示为本发明用户计算机与接入控制服务器之间的数据流第一实施
例示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施方式 和附图,对本发明做进一步详细说明。在此,本发明的示意性实施方式及其 说明用于解释本发明,但并不作为对本发明的限定。本发明实施例提供一种接入控制服务器、接入控制方法及系统。以下结 合附图对本发明进行详细说明。
如图1所示为本发明接入控制方法第一实施例流程图,包括步骤101,用
户计算机接入本地局域网络(办公网络),其可以通过无线方式或者有线方 式接入网络,在较佳的实施例中用户计算机通过无线方式接入本地的办公网 络是常见的情况。
步骤102,用户计算机通过DHCP自动获得IP地址,本步骤中的IP地址 为隔离网段IP地址,DNS服务器的IP地址是本发明实施例的接入控制服务器 的隔离网的IP地址。所述隔离网段IP地址是指与办公网络不属于同一网段 的IP地址,例如,本地办公网络IP地址的网段为192. 168. l.X,隔离网段 IP地址的网段为10. 10. 5. X,分配接入用户计算机的设备可以是现有的DHCP 服务器(动态主机配置协议)用来自动分配IP地址,或者可以使用本发明实 施例的接入控制服务器。
步骤103,用户计算机输入要访问网站的域名或任意字符。由于用户计算 机在隔离网中获得DNS服务器的IP地址是本发明实施例的接入控制服务器的 隔离网的IP地址,用户计算机将要访问网站的域名或任意字符送给本发明实 施例的接入控制服务器进行解析。
步骤104,将用户输入的Web地址进行解析,定向到接入控制服务器的 IP地址。
步骤105,用户计算机认为要访问网站的IP地址就是接入控制服务器, 向接入控制服务器要求获得网页。
步骤106,接入控制服务器将登录界面推送给用户计算机。 步骤107,用户输入相应的用户名和密码。
步骤108,在所述接入控制服务器判断用户输入的用户名和密码是否匹 配,如果匹配则进入步骤109,否则返回步骤107。
步骤109,分配给该用户计算机办公网络的IP地址,该办公网络的IP地址是合法的接入用户。
如图2所示为本发明接入控制方法第二实施例流程图,包括步骤201,用 户计算机接入本地局域网络(办公网络),其可以通过无线方式或者有线方 式接入网络,在较佳的实施例中用户计算机通过无线方式接入本地的办公网 络是常见的情况。
步骤202,用户计算机通过DHCP自动获得IP地址及相关信息。本步骤中 的通过DHCP所获得的IP地址为隔离网段IP地址,网关地址为接入控制服务 器的隔离网段的IP地址。所述隔离网段IP地址是指与办公网络不属于同一 网段的IP地址,例如,本地办公网络IP地址的网段为192.168.1.X,隔离网 段IP地址的网段为10.10.5.X,分配接入用户计算机的设备可以是现有的 DHCP服务器(动态主机配置协议)用来自动分配IP地址,或者可以使用本发 明实施例的接入控制服务器。
步骤203,用户计算机输入访问内网的指令。
步骤204,由于用户计算机要访问内网必须经过网关,而用户计算机所获 得的网关IP地址为接入控制服务器,用户计算机的访问要求被首先送到接入 控制服务器。
步骤205,接入控制服务器将含有认证信息的登录页面送到用户计算机。 步骤206,在用户输入指令的界面上显示所述登录界面,用户输入相应的 用户名和密码。
步骤207,在所述接入控制服务器判断用户输入的用户名和密码是否匹 配,如果匹配则进入步骤208,否则返回步骤206。
步骤208,分配给该用户计算机办公网络的IP地址,该办公网络的IP地 址是合法的接入用户。
如图3所示为本发明系统实施例结构示意图,包括用户计算机301,内网 服务器302,交换机303,接入控制服务器304,互联网305。
所述复数个用户计算机301通过所述交换机303进行连接,构成办公网络的局域网,所述内网服务器302通过交换机303连接入所述办公网络,所 述接入控制服务器304通过交换机303分别与所述用户计算机301和内网服 务器302相连接,所述接入控制服务器304与外网的互联网305相连接。
所述交换机303也可以使用集线器等其它局域网中继设备代替。
所述用户计算机301通过交换机303接入办公网络,由接入控制服务器 304分配IP地址,该IP地址为隔离网段地址,即与所述办公网络不在同一网 段的IP地址;当用户计算机301要访问外网互联网305或者内网服务器302 时,由接入控制服务器304将用户的指令定向到接入控制服务器304,用户计 算机301的访问界面为所述接入控制服务器304预设的登录界面,如果用户 计算机301输入的用户名密码相匹配,则向用户计算机分配办公网络IP地址; 当用户计算机301访问外网互联网305或者内网服务器302时,则有接入控 制服务器304将用户计算机301的指令定向到真正的被访问主机。
其中所述接入控制服务器304完成的分配IP地址的功能,可以由相应的 功能单元实现,也可以由相应的独立设备实现,例如使用DHCP服务器实现分 配IP地址的功能。
所述接入控制服务器304完成的定向功能,可以由相应的功能单元实现, 也可以由相应的独立设备实现,例如使用DNS服务器实现定向的功能。
所述接入控制服务器304可以集成于网关内部,或者集成于现有办公局 域网络的网关、DHCP或者DNS服务器中。
如图4所示为本发明接入控制服务器的实施例结构示意图,包括内网接 口401,分配地址单元402,登录单元403,定向单元404,外网接口 405。
所述内网接口 401分别与所述4配地址单元402、登录单元403和定向单 元404相连接,所述分配地址单元402与所述登录单元403相连接,所述登 录单元403与所述定向单元404相连接,所述定向单元404与所述外网接口 405相连接。
所述内网接口401,具有两个IP地址, 一个IP地址为隔离网段的IP地址,另一个IP地址为办公网段的IP地址,用于连接办公网络的交换机,通
过该内网接口 401可以建立接入磁制服务器与用户计算机之间的连接。其中 两个IP地址可以通过使用两块网卡实现,也可以在同一个网卡上绑定两个IP 地址实现。
所述分配地址单元402用于给新接入的用户计算机分配隔离网段的IP地 址,给登录正确的用户计算机分配办公网段IP地址。
所述登录单元403用于验证用户身份,如果用户输入的用户登录信息正 确则调用分配地址单元402给该用户计算机分配办公网络IP地址,否则重复 让用户输入登录信息。
所述定向单元404,用于根据接入用户计算机的IP地址定向用户访问的 对象,如果用户计算机的IP地址为隔离网段的IP地址,则将用户所有的访 问请求都定向到登录单元403。
所述外网接口 405,用于与互联网相连接,使所述办公网络的计算机能够 与外部互联网相连接。
其中所述接入控制服务器完成的分配地址单元的功能,可以由相应的功 能单元实现,也可以由相应的独立设备实现,例如使用DHCP服务器实现分配 IP地址的功能。
所述接入控制服务器完成的定向单元的功能,可以由相应的功能单元实 现,也可以由相应的独立设备实现,例如使用DNS服务器实现定向的功能。 所述接入控制服务器可以集成于网关内部。
所述接入控制服务器还可以集成于现有办公局域网络的DHCP或者DNS服 务器中,当所述接入控制服务器集成于现有办公局域网络的DHCP或者DNS服 务器中时,所述外网接口 405可以为办公局域网络对外部互联网的网关。
如图5所示为本发明用户计算机与接入控制服务器之间的数据流第一实 施例示意图,步骤501,用户计算机接入交换机,要求获得IP地址(隔离网 段IP地址)、咖S服务器地址和网关地址。步骤502,接入控制服务器返回相应请求的地址,在本例中,接入用户获 得的IP地址(隔离网段IP地址)为10.0.0.2, DNS服务器的IP地址为 10.0.0.1,网关的IP地址为lO.O.O.l,即在本例中,接入控制服务器集成了 DHCP、 DNS和网关的功能,该接入控制服务器的隔离网段IP地址为10. 0. 0.1, 办公网段的IP地址为192. 168.0.1。
步骤503,当用户要访问ww. sohu.com网站主机时,该用户计算机根据 接收到的DNS服务器地址将访问指令传送给10. 0. 0. 1这个地址,即接入控制 服务器的地址。
步骤504,所述接入控制服务器向用户计算机返回该访问指令的目的主机 地址是10. 0. 0. 1,即接入控制服务器的地址。
步骤505,所述用户计算机根据上述目的主机地址10. 0. 0. 1请求页面, 所述接入控制服务器向用户计算机返回登录页面。
步骤506,所述用户在所述登录页面上填写正确的用户名密码,返回给接 入控制服务器。
步骤507,所述接入控制服务器验证用户身份,如果正确则分配给该用户 办公网段的IP地址、真正DNS服务器IP地址和网关IP地址,在本例中由于 所述接入控制服务器集成了 DHCP、 DNS和网关的功能,所以返回用户计算机 的办公网络IP地址例如为192. 168. 0. 2, DNS服务器的IP地址为接入控制服 务器另一 IP地址192.168. 0. 1,网关的IP地址为192.168. 0,1, DHCP服务器 的IP地址为192. 168.0, 1。
随后,用户计算机按照真正的网络设备的IP地址进行访问。 本发明有益效果在于,本发明实施例可以实现接入控制的同时不必大范 围的升级网络设备,节省成本,并且能够达到很好的接入控制效果,保证了 局域网内部的安全;并且兼容性好,不需要安装特殊的软件,只要计算机能 够具有浏览Web网页的浏览器就可以进行身份认证;身份认证后不仅可以控制
用户访问互联网,并可以同时控制用户访问局域网内部的服务器;有效的实现了办公网络接入的控制,并且不需要在用户计算机终端安装任何特殊的软
件,只要能够浏览Web页面的计算机都可以实现接入控制。
以上所述的具体实施方式
,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式
而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种接入控制方法,其特征在于该方法包括,新的用户计算机接入办公网络时,给该用户计算机分配隔离网段IP地址,当处于隔离网段的该用户计算机通过所述办公网络进行访问时,将用户计算机的访问请求均定向到登录验证页面;当用户计算机输入的登录信息正确,则分配给该用户计算机办公网段的IP地址,否则拒绝该用户计算机访问与办公网络相连的内部网络及外部网络资源。
2. 根据权利要求1所述的一种接入控制方法,其特征在于,所述隔离网 段与所述办公网段属于不同网段,并且两网段中的计算机不能互相访问。
3. 根据权利要求1所述的一种接入控制方法,其特征在于,所述用户计 算机通过所述办公网络进行访问包括,该用户计算机通过所述办公网络访问 互联网资源,或者该用户计算机访问所述办公网络中的资源。
4. 根据权利要求3所述的一种接入控制方法,其特征在于,所述用户计 算机的访问请求包括,浏览Web网页的请求,使用所述办公网络内部数据资 源页面的请求。
5. —种接入控制服务器,其特征在于该接入控制服务器包括,分配地址 单元,登录单元,定向单元,内部网络接口;所述内部网络接口,用于在办公网络中建立用户计算机与所述接入控制 服务器的连接,所述分配地址单元给接入的用户计算机分配隔离网段IP地址, 当处于隔离网段的该用户计算机访问所述办公网络的内部网络数据资源时, 所述定向单元将所述用户计算机的访问请求均定向到所述登录单元的登录验证页面;所述登录单元判断当用户计算机lr入的登录信息正确,则通过所述分配地址单元分配给该用户计算机办公网段的IP地址,否则拒绝该用户计算 机访问与办公网络相连的内部网络数据资源。
6. 根据权利要求5所述的一种接入控制服务器,其特征在于,还包括外 网接口,所述外网接口与所述定向单元相连接,当用户计算机访问外部互联网络的指令由所述定向单元定向到外部耳联网络,则通过所述外网接口进行 访问。
7. —种接入控制系统,其特征在于该系统包括,接入控制服务器,中继 设备,内网数据资源,该接入控制服务器包括,分配地址单元,登录单元,定向单元,内部网络接口;所述内部网络接口,用于在办公网蜂中通过所述中继设备建立用户计算 机与所述接入控制服务器的连接,所述分配地址单元给接入的用户计算机分 配隔离网段IP地址,当处于隔离网段的该用户计算机通过所述办公网络访问 所述内网数据资源时,所述定向单元将用户计算机的访问请求均定向到所述登录单元的登录验证页面;所述登录单元判断当用户计算机输入的登录信息 正确,则通过所述分配地址单元分配给该用户计算机办公网段的IP地址,否 则拒绝该用户计算机访问所述内网数据资源。
8. 根据权利要求7所述的一种接入控制系统,其特征在于,所述接入控 制服务器还包括外网接口,所述外网接口与所述定向单元相连接,当用户计 算机访问外部互联网络的指令由所述定向单元定向到外部互联网络,则通过 所述外网接口进行访问。
全文摘要
本发明涉及网络安全领域,为了解决现有技术中局域网接入控制成本高的问题,提出了一种接入控制方法、系统及装置。该方法包括新的用户计算机接入办公网络时,给该用户计算机分配隔离网段IP地址,当处于隔离网段的该用户计算机通过所述办公网络进行访问时,将用户计算机的访问请求均定向到登录验证页面;当用户计算机输入的登录信息正确,则分配给该用户计算机办公网段的IP地址,否则拒绝该用户计算机访问与办公网络相连的内部网络及外部网络资源。本发明的有益效果在于,有效的实现了办公网络接入的控制,并且不需要在用户计算机终端安装任何特殊的软件,只要能够浏览Web页面的计算机都可以实现接入控制。
文档编号H04L29/06GK101674232SQ200810222120
公开日2010年3月17日 申请日期2008年9月10日 优先权日2008年9月10日
发明者飏 俞, 辉 宁, 然 陈, 陈瑞宁 申请人:北京艾科网信科技有限公司