CN101355557B - 在mpls/vpn网络中实现网络接入控制的方法及系统 - Google Patents
在mpls/vpn网络中实现网络接入控制的方法及系统 Download PDFInfo
- Publication number
- CN101355557B CN101355557B CN2008101197187A CN200810119718A CN101355557B CN 101355557 B CN101355557 B CN 101355557B CN 2008101197187 A CN2008101197187 A CN 2008101197187A CN 200810119718 A CN200810119718 A CN 200810119718A CN 101355557 B CN101355557 B CN 101355557B
- Authority
- CN
- China
- Prior art keywords
- authentication terminal
- server
- authentication
- security
- vpn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了在MPLS/VPN网络中实现网络接入控制的方法及系统。本发明技术方案通过将认证服务器和安全策略服务器设置在一VPN中,实现认证服务器与安全策略服务器之间的通信;通过在认证终端所在的VPN中设置安全策略代理服务器,代理该VPN中的认证终端与安全策略服务器进行安全认证的交互,实现了认证终端与安全策略服务器之间通信。从而,本发明技术方案在不配置公共VPN的情况下,在MPLS/VPN中实现了网络接入控制方案。
Description
技术领域
本发明涉及网络接入控制技术,尤指一种在多协议标签交换/虚拟专用网(MPLS/VPN,Multi-Protocol Label Switching/Virtual Private Network)网络中实现网络接入控制的方法和系统。
背景技术
随着网络应用的不断普及与深入,网络安全成为各企业极为重视的问题。网络接入控制(NAC,Network Access Control)技术方案的应用为企事业单位提供了一个相对完整的网络安全解决方案。网络接入控制方案由认证终端、认证设备、认证服务器以及安全策略服务器组成的网络系统实现。在该网络接入控制方案中,认证终端首先进行身份认证,在身份认证通过后,由认证设备控制其只能访问受限的网络区域,在隔离区进行安全升级。然后,认证终端再进行安全认证,由安全策略服务器对认证终端进行安全检查,在认证终端符合安全要求时,解除其隔离的限制,使认证终端能够访问其他网络资源,从而保证该认证终端在访问其他网络资源免遭攻击的威胁。
参见图1,图1为现有网络接入控制的流程图。现详细介绍如下:
在步骤101中,认证终端向认证设备发送身份认证请求。
在步骤102中,通过认证设备,认证终端和认证服务器进行身份认证消息的交互,认证服务器对认证终端进行身份认证。
认证设备主要依据IEEE802.1X协议协助认证终端和认证服务器完成身份认证的消息交互过程。现有技术中常用的认证服务器通常为接入用户远程身份鉴明业务(RADIUS,Remote Authentication Dial In User Service)服务器。
在步骤103中,在认证终端身份认证通过后,认证服务器向认证设备下发隔离访问控制列表(ACL,Access Control List)。
在步骤104中,认证设备应用隔离ACL,并指示认证终端身份认证通过。
在步骤105中,认证终端向安全策略服务器发送安全认证请求。
在步骤106中,安全策略服务器与认证终端进行安全认证的交互,安全策略服务器对认证终端进行安全认证。
在步骤107中,在认证终端的安全认证通过后,安全策略服务器通知认证服务器当前认证终端安全认证通过。
在步骤108中,认证服务器收到安全策略服务器发送的通知后,向认证设备下发安全ACL。
在步骤109中,认证设备应用下发的安全ACL,并指示认证终端安全认证通过。
认证终端在收到认证设备发送的指示报文后,就可以在安全ACL控制的范围内访问网络资源,实现网络接入控制方案。
从上述流程不难看出,由于认证服务器和安全策略服务器不属于用户侧的网络设备,因此为了实现网络接入控制方案,必须满足以下几个条件:1)认证终端能够与认证服务器通信;2)认证终端能够与安全策略服务器通信;3)认证服务器能够与安全策略服务器通信。关于条件1,认证终端与认证设备、认证设备与认证服务器之间的交互基于身份认证协议,因此认证设备基于协议就能够协助认证终端实现与认证服务器的通信,完成身份认证。关于条件2和条件3在通常情况下也是比较容易满足。
但是,当将网络接入控制方案应用于MPLS/VPN网络中时,由于在MPLS/VPN网络架构下,只有属于同一VPN的设备才能通信,因此为了满足上述的条件,通常考虑的做法是将认证服务器、安全策略服务器以及所有的认证终端设置在一个公共VPN内。这样就能够实现认证服务器与安全策略服务器之间的通信,认证终端与安全策略服务器之间的通信。
上述处理措施在理论上是可行的,但实际上是不能够实现的。由于安全性考虑,在MPLS/VPN环境中根本不存在一个能够与所有用户互通的VPN。因此,目前急需一种在MPLS/VPN环境下部署网络接入控制的方法。
发明内容
有鉴于此,本发明提供了一种在MPLS/VPN网络中实现网络接入控制的方法及系统,应用本发明所提供的方法及系统能够在MPLS/VPN网络中实现网络接入控制方案。
为达到上述目的,本发明的技术方案是这样实现的:
一种在MPLS/VPN网络中实现网络接入控制的方法,配置认证服务器和安全策略服务器在一VPN中;
认证服务器通过认证设备对认证终端进行身份认证;身份认证通过后,认证服务器下发隔离访问控制列表ACL至认证设备,认证设备应用收到的隔离ACL,并通知认证终端身份认证通过;
认证终端收到通知后,向自身VPN中设置的安全策略代理服务器发送安全认证请求,安全策略代理服务器通过自身与安全策略服务器的二层连接将收到的安全认证请求发送给安全策略服务器,并作为代理协助安全策略服务器对认证终端进行安全认证;
安全认证通过后,安全策略服务器向认证服务器通知安全认证通过;认证服务器收到通知后,下发安全ACL至认证设备,认证设备应用收到的安全ACL。
一种在MPLS/VPN网络中实现网络接入控制的系统,认证终端、认证设备、安全策略代理服务器、认证服务器和安全策略服务器;所述认证终端和安全策略代理服务器在同一VPN中,所述认证服务器和安全策略服务器在同一VPN中,所述安全策略代理服务器连接安全策略服务器;
所述认证设备协助认证服务器对认证终端进行身份认证;
所述安全策略代理服务器接收认证终端在身份认证通过后发送的安全认证请求,通过自身与安全策略服务器的二层连接将收到的安全认证请求发送给安全策略服务器,并作为代理协助安全策略服务器对认证终端进行安全认证;
所述认证服务器在所述认证终端的身份认证通过后,下发隔离访问控制列表ACL至认证设备,认证设备应用收到的隔离ACL,并通知认证终端身份认证通过;并在收到安全策略服务器发送的所述认证终端安全认证通过的通知消息后,下发安全ACL至认证设备,认证设备应用收到的安全ACL。
本发明所提供的在MPLS/VPN网络中实现网络接入控制的技术方案,通过将认证服务器和安全策略服务器设置在同一VPN中,实现认证服务器与安全策略服务器之间的通信;通过在认证终端所在的VPN中设置安全策略代理服务器,代理该VPN中的认证终端与安全策略服务器进行安全认证的交互,实现了认证终端与安全策略服务器之间通信。从而,本发明的技术方案在不配置公共VPN的情况下,也能够在MPLS/VPN中实现网络接入控制。
附图说明
图1为现有技术网络接入控制方案的流程图;
图2为本发明方法的示例性流程图;
图3为本发明系统的结构图;
图4为本发明实施例应用的系统结构图;
图5为本发明实施例的流程图。
具体实施方式
在本发明的技术方案中,可以通过以下两个技术手段实现认证服务器和安全策略服务器之间的通信,认证终端与安全策略服务器之间的通信,并且避免设置公共的VPN。具体的是,将认证服务器和安全策略服务器设置在同一VPN中,实现认证服务器与安全策略服务器之间的通信;同时,在认证终端所在的VPN中设置安全策略代理服务器,用来代理该VPN中的认证终端与安全策略服务器进行安全认证的交互,使认证终端不用配置在与认证服务器和安全策略服务器相同的VPN中,也能与安全策略服务器进行通信。
参见图2,图2为本发明方法的示例性流程图。在该方法中配置认证服务器和安全策略服务器在一VPN中,并包括以下步骤:在步骤201中,认证服务器通过认证设备对认证终端进行身份认证;身份认证通过后,认证服务器下发隔离ACL至认证设备,认证设备应用收到的隔离ACL,并通知认证终端身份认证通过;在步骤202中,认证终端收到通知后,向自身VPN中设置的安全策略代理服务器发送安全认证请求,安全策略代理服务器通过自身与安全策略服务器的二层连接将收到的安全认证请求发送给安全策略服务器,并作为代理协助安全策略服务器对认证终端进行安全认证;在步骤203中,安全认证通过后,安全策略服务器向认证服务器通知安全认证通过;认证服务器收到通知后,下发安全ACL至认证设备,认证设备应用收到的安全ACL。
其中,所述认证服务器通过认证设备对认证终端进行身份认证可以包括:认证终端向认证设备发送身份认证请求;认证设备向认证终端发送用户标识请求;认证终端应请求向认证设备发送自身的用户标识;认证设备将认证终端的用户标识发送给认证服务器;认证服务器根据收到的用户标识通过认证设备对认证终端进行身份认证。
并且,所述认证服务器在所述认证终端的身份认证过程中还可以进一步记录认证终端的在线信息;在线信息包括认证终端的用户标识。这样,安全策略服务器收到安全策略代理服务器转发的认证终端的安全认证请求时,可以根据安全认证请求中携带的用户标识访问认证服务器,判断认证服务器是否记录有所述认证终端的用户标识,在认证服务器记录有所述认证终端的用户标识时确定所述认证终端在线,再执行对认证终端进行安全认证。
由于同一个认证终端可能属于不同的VPN,因此为了唯一标识认证终端来自的VPN,在身份认证过程和安全认证过程可以使用包含用户名和认证终端所在VPN的标识的用户标识,来对认证终端进行身份认证和安全认证。
这里,认证服务器在下发隔离ACL时进一步携带认证终端所在VPN的安全策略代理服务器的IP地址;所述认证设备将该IP地址携带在身份认证通过通知消息中发送给所述认证终端;此时,认证终端则可以根据消息中通知携带的IP地址,向自身VPN中的安全策略代理服务器发送安全认证请求。
另外,安全策略代理服务器可以通过配置两个网卡来实现与认证终端和安全策略服务器实现通信。具体的,安全策略代理服务器通过配置的第一网卡实现与认证终端之间的VPN连接;通过配置的第二网卡实现与安全策略服务器的二层连接。
参见图3,图3为本发明系统的结构图。该系统包括认证终端、认证设备、安全策略代理服务器、认证服务器和安全策略服务器。所述认证终端和安全策略代理服务器在同一VPN中,所述认证服务器和安全策略服务器在同一VPN中;所述安全策略代理服务器连接安全策略服务器。
其中,所述认证设备协助认证服务器对认证终端进行身份认证。所述安全策略代理服务器接收认证终端在身份认证通过后发送的安全认证请求,通过自身与安全策略服务器的二层连接将收到的安全认证请求发送给安全策略服务器,并作为代理协助安全策略服务器对认证终端进行安全认证。所述认证服务器在所述认证终端的身份认证通过后,下发隔离ACL至认证设备,认证设备应用收到的隔离ACL,并通知认证终端身份认证通过;并在收到安全策略服务器发送的所述认证终端安全认证通过的通知消息后,下发安全ACL至认证设备,认证设备应用收到的安全ACL。
在身份认证过程中,所述认证设备接收所述认证终端发送的身份认证请求后,向认证终端返回用户标识请求;并将所述认证终端应请求返回的用户标识发送给认证服务器,供所述认证服务器根据收到的用户标识对所述认证终端进行身份认证。
所述认证服务器还可以进一步在所述认证终端的身份认证过程中记录认证终端的在线信息;所述在线信息包括认证终端发送的用户标识。所述安全策略服务器收到安全策略代理服务器转发的认证终端的安全认证请求后访问认证服务器,判断认证服务器是否记录有所述认证终端的用户标识,在认证服务器记录有所述认证终端的用户标识时确定认证终端在线,在所述认证终端在线的情况下通过所述安全策略代理服务器对所述认证终端进行安全认证。认证终端发送的用户标识包括认证终端的用户名和所在VPN的标识。认证服务器和安全策略服务器可以根据包含用户名和所在VPN的标识的用户标识对认证终端进行身份认证和安全认证。
另外,认证服务器在下发隔离ACL时进一步携带认证终端所在VPN的安全策略代理服务器的IP地址;所述认证设备将该IP地址携带在身份认证通过通知消息中发送给所述认证终端;所述认证终端根据消息中通知携带的IP地址,向自身VPN中的安全策略代理服务器发送安全认证请求。
其中,具体的所述安全策略代理服务器可以包括处理单元、第一网卡单元和第二网卡单元。所述第一网卡单元,用于实现与所述认证终端之间VPN的连接;所述第二网卡单元,用于实现与安全策略服务器的二层连接;所述处理单元,用于从第一网卡单元接收认证终端发送的安全认证交互消息,通过第二网卡单元发送至所述安全策略服务器;并从第二网卡单元接收安全策略服务器发送的安全认证交互消息,通过第一网卡单元发送至所述认证终端。
为了更加清楚的介绍本发明的具体实现方式,现列举实施例对本发明的技术方案作更进一步的描述。
参见图4,图4为本发明实施例应用的具体系统结构。在图4中,安全策略服务器和认证服务器位于同一VPN中。由于认证服务器可能位于网管VPN中,因此安全策略服务器也可以位于网管VPN。安全策略代理服务器和认证终端位于VPN1,属于用户所在的VPN。在图中仅详细描述了VPN1中的具体结构,在其他的用户VPN中也是采用相同的结构,即在VPN中设备安全策略代理服务器,用来协助认证终端完成安全认证。在此结构中由用户边缘设备(CE,Customer Edge)来充当认证设备,即在该设备上应用下发隔离ACL和安全ACL,控制认证终端的访问权限。通常情况下,认证设备既配置在认证终端所属的VPN,也配置在认证服务器所属的VPN,用来完成认证服务器对认证终端的身份认证。
在本发明的技术方案中,为了唯一区别认证终端所在的VPN,可以采用用户名+VPN标识的方式来表示认证终端用户标识。当在认证服务器上为用户开户时,可以采用user@vpnID的形式来表示用户标识。其中user是用户名,vpnID是认证终端所在VPN的标识。
下面参见图5,图5为本发明实施例的详细流程图。现具体介绍如下:
在步骤501中,认证终端向认证设备发送身份认证请求。
在步骤502中,认证设备收到身份认证请求后,向认证终端发送用户标识请求,用来请求认证终端的用户标识。
在步骤503中,认证终端向认证设备返回自身的用户标识。例如,当前认证终端的用户标识可以是user1@vpn1。
在步骤504中,认证设备将认证终端的用户标识发送给认证服务器,用于请求认证服务器对认证终端进行身份认证。
在步骤505中,认证服务器通过认证设备对认证终端进行后续的身份认证交互。认证设备在其中主要起到消息透传的作用。此时,认证服务器还可以记录认证终端的在线信息,用来供安全策略服务器在需要时进行访问。在线信息的主要内容是认证终端的用户标识。
后续的交互过程根据不同的身份认证协议、以及各个厂家的设置而有所不同。具体可以参见具体的身份认证协议。
在步骤506中,认证服务器在对认证终端的身份认证通过后,下发隔离ACL至认证设备。
在步骤507中,认证设备应用收到的隔离ACL,指示认证终端身份认证通过。
在步骤508中,认证终端在收到身份认证通过的指示后,向安全策略代理服务器发送安全认证请求。安全认证请求中携带该认证终端的用户标识。
认证终端获得所在VPN中安全策略代理服务器的IP地址的方式可以有以下两种方式。除了前面介绍的在认证服务器上配置各安全策略代理服务器的IP地址;认证服务器在认证终端的身份认证通过后,根据认证终端的用户标识确定认证终端所在的VPN;在下发隔离ACL时,指示该VPN对应的安全策略代理服务器的IP地址;认证设备将从认证服务器收到的IP地址携带在指示消息中发送给认证终端。还有一种方式可以是,在认证终端上配置所在VPN中安全策略代理服务器的IP地址,在身份认证通过后,直接根据自身配置的安全策略代理服务器的IP地址,访问对应的安全策略代理服务器。
在步骤509中,安全策略代理服务器将认证终端发送的安全认证请求,发送给安全策略服务器。
如果安全策略代理服务器使用两个网卡分别与认证终端和安全策略服务器进行通信,则可以在与安全策略服务器相连的网卡上配置安全策略服务器的IP地址,用来与安全策略服务器进行交互。
在步骤510中,安全策略服务器与认证服务器进行交互,根据安全认证请求中携带的用户标识,确定认证服务器上是否记录了当前认证终端的在线信息,如果记录了当前认证终端的在线信息,则执行后续步骤,对认证终端执行安全认证;如果没有记录当前认证终端的在线信息,则结束当前处理流程。当然,此步骤并不是必需的。
在步骤511中,在认证服务器上记录了认证终端的在线信息时,安全策略服务器通过安全策略代理服务器对认证终端进行安全认证的交互,对认证终端进行安全认证。
具体的安全认证消息流程可以是:安全策略服务器收到认证终端发送的安全认证请求后,向该认证终端下发病毒、补丁等安全检查项目;认证终端收到安全检查项目,对各项目进行检查,并向安全策略服务器上报检查结果;安全策略服务器检测收到的检查结果是否符合要求,在安全的情况下,则当前认证终端的安全认证通过;否则,安全认证不通过。安全策略服务器对认证终端进行安全认证的流程并不仅限于此流程,还可以是现有技术中的其他形式。
在步骤512中,在认证终端的安全认证通过后,安全策略服务器通知安全策略代理服务器当前认证终端的安全认证通过。
在步骤513中,安全策略代理服务器通知认证终端安全认证通过。
在步骤514中,安全策略服务器在认证终端的安全认证通过后,通知认证服务器。该步骤可以与步骤512同时、或在步骤512之前执行。
在步骤515中,认证服务器收到通知后,向认证设备下发安全ACL。认证设备应用收到的安全ACL。
至此,认证终端完成了整个网络接入控制过程。
通过对本发明技术方案的详细介绍可知,本发明通过将认证服务器和安全策略服务器设置在同一VPN中,实现认证服务器与安全策略服务器之间的通信;通过在认证终端所在的VPN中设置安全策略代理服务器,用来代理该VPN中的认证终端与安全策略服务器进行安全认证的交互,使认证终端不用配置在与认证服务器和安全策略服务器相同的VPN中,也能与安全策略服务器进行通信,解决了现有技术在MPLS/VPN配置网络接入控制方案时所存在的问题。
另外,本发明采用用户名+VPN标识的用户标识方法,能够有效的唯一确定认证终端的身份以及所在的VPN,而从能够使认证服务器以及安全策略服务器有效的对认证终端进行身份认证以及安全认证。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种在多协议标签交换/虚拟专用网MPLS/VPN网络中实现网络接入控制的方法,其特征在于,配置认证服务器和安全策略服务器在一VPN中;
认证服务器通过认证设备对认证终端进行身份认证;身份认证通过后,认证服务器下发隔离访问控制列表ACL至认证设备,认证设备应用收到的隔离ACL,并通知认证终端身份认证通过;
认证终端收到通知后,向自身VPN中设置的安全策略代理服务器发送安全认证请求,安全策略代理服务器通过自身与安全策略服务器的二层连接将收到的安全认证请求发送给安全策略服务器,并作为代理协助安全策略服务器对认证终端进行安全认证;
安全认证通过后,安全策略服务器向认证服务器通知安全认证通过;认证服务器收到通知后,下发安全ACL至认证设备,认证设备应用收到的安全ACL。
2.根据权利要求1所述的方法,其特征在于,所述认证服务器通过认证设备对认证终端进行身份认证包括:
认证终端向认证设备发送身份认证请求;
认证设备向认证终端发送用户标识请求;
认证终端应请求向认证设备发送自身的用户标识;
认证设备将认证终端的用户标识发送给认证服务器;
认证服务器根据收到的用户标识,通过认证设备对认证终端进行身份认证。
3.根据权利要求2所述的方法,其特征在于,该方法进一步包括:
所述认证服务器在所述认证终端的身份认证过程中记录认证终端的在线信息;所述在线信息包括认证终端的用户标识;
安全策略服务器收到安全策略代理服务器转发的认证终端的安全认证请求后访问认证服务器,判断认证服务器是否记录有所述认证终端的用户标识,在认证服务器记录有所述认证终端的用户标识时确定所述认证终端在线,并对所述认证终端进行安全认证。
4.根据权利要求2或3所述的方法,其特征在于,
所述认证服务器在下发隔离ACL时进一步携带认证终端所在VPN的安全策略代理服务器的IP地址;所述认证设备将该IP地址携带在身份认证通过通知消息中发送给所述认证终端;
所述认证终端根据通知消息中携带的IP地址,向自身VPN中的安全策略代理服务器发送安全认证请求。
5.根据权利要求2或3所述的方法,其特征在于,
所述用户标识包括认证终端的用户名和所在VPN的标识。
6.根据权利要求1所述的方法,其特征在于,
所述安全策略代理服务器通过配置的第一网卡实现与认证终端之间的VPN连接;通过配置的第二网卡实现与安全策略服务器的二层连接。
7.一种在多协议标签交换/虚拟专用网MPLS/VPN网络中实现网络接入控制的系统,其特征在于,认证终端、认证设备、安全策略代理服务器、认证服务器和安全策略服务器;所述认证终端和安全策略代理服务器在同一VPN中,所述认证服务器和安全策略服务器在同一VPN中,所述安全策略代理服务器连接安全策略服务器;
所述认证设备协助认证服务器对认证终端进行身份认证;
所述安全策略代理服务器接收认证终端在身份认证通过后发送的安全认证请求,通过自身与安全策略服务器的二层连接将收到的安全认证请求发送给安全策略服务器,并作为代理协助安全策略服务器对认证终端进行安全认证;
所述认证服务器在所述认证终端的身份认证通过后,下发隔离访问控制列表ACL至认证设备,认证设备应用收到的隔离ACL,并通知认证终端身份认证通过;并在收到安全策略服务器发送的所述认证终端安全认证通过的通知消息后,下发安全ACL至认证设备,认证设备应用收到的安全ACL。
8.根据权利要求7所述的系统,其特征在于,
所述认证设备,接收所述认证终端发送的身份认证请求后,向认证终端返回用户标识请求;并将所述认证终端应请求返回的用户标识发送给认证服务器, 供所述认证服务器根据收到的用户标识对所述认证终端进行身份认证。
9.根据权利要求8所述的系统,其特征在于,
所述认证服务器在所述认证终端的身份认证过程中记录认证终端的在线信息;所述在线信息包括认证终端发送的用户标识;
所述安全策略服务器收到安全策略代理服务器转发的认证终端的安全认证请求后访问认证服务器,判断认证服务器是否记录有所述认证终端的用户标识,在认证服务器记录有所述认证终端的用户标识时确定在所述认证终端在线,并通过所述安全策略代理服务器对所述认证终端进行安全认证。
10.根据权利要求8或9所述的系统,其特征在于,
所述认证服务器在下发隔离ACL时进一步携带认证终端所在VPN的安全策略代理服务器的IP地址;所述认证设备将该IP地址携带在身份认证通过通知消息中发送给所述认证终端;
所述认证终端根据通知消息中携带的IP地址,向自身VPN中的安全策略代理服务器发送安全认证请求。
11.根据权利要求8或9所述的系统,其特征在于,
所述认证终端发送的用户标识包括认证终端的用户名和所在VPN的标识。
12.根据权利要求7所述的系统,其特征在于,所述安全策略代理服务器包括处理单元、第一网卡单元和第二网卡单元;
所述第一网卡单元,用于实现与所述认证终端之间VPN的连接;
所述第二网卡单元,用于实现与安全策略服务器的二层连接;
所述处理单元,用于从第一网卡单元接收认证终端发送的安全认证交互消息,通过第二网卡单元发送至所述安全策略服务器;并从第二网卡单元接收安全策略服务器发送的安全认证交互消息,通过第一网卡单元发送至所述认证终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101197187A CN101355557B (zh) | 2008-09-05 | 2008-09-05 | 在mpls/vpn网络中实现网络接入控制的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101197187A CN101355557B (zh) | 2008-09-05 | 2008-09-05 | 在mpls/vpn网络中实现网络接入控制的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101355557A CN101355557A (zh) | 2009-01-28 |
| CN101355557B true CN101355557B (zh) | 2011-06-22 |
Family
ID=40308148
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101197187A Expired - Fee Related CN101355557B (zh) | 2008-09-05 | 2008-09-05 | 在mpls/vpn网络中实现网络接入控制的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101355557B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599901B (zh) * | 2009-07-15 | 2011-06-08 | 杭州华三通信技术有限公司 | 远程接入mpls vpn的方法、系统和网关 |
| CN101631121B (zh) * | 2009-08-24 | 2011-12-28 | 杭州华三通信技术有限公司 | 一种端点准入防御中的报文控制方法及接入设备 |
| CN101807996A (zh) * | 2010-04-09 | 2010-08-18 | 杭州华三通信技术有限公司 | 一种安全认证模块的失效保护方法及其装置 |
| CN102006296B (zh) * | 2010-11-26 | 2013-12-11 | 杭州华三通信技术有限公司 | 一种安全认证的方法和设备 |
| CN103618613A (zh) * | 2013-12-09 | 2014-03-05 | 北京京航计算通讯研究所 | 网络接入控制系统 |
| CN105721270B (zh) * | 2014-12-04 | 2020-05-08 | 成都鼎桥通信技术有限公司 | 一种集群通信虚拟网的控制方法 |
| CN106101128B (zh) * | 2016-07-06 | 2019-08-13 | 中国银联股份有限公司 | 安全性信息交互方法 |
| CN108712398B (zh) * | 2018-04-28 | 2021-07-16 | 北京东土军悦科技有限公司 | 认证服务器的端口认证方法、服务器、交换机和存储介质 |
| CN109067792A (zh) * | 2018-09-25 | 2018-12-21 | 杭州安恒信息技术股份有限公司 | 基于反向代理实现资源访问控制的方法和装置 |
| TW202021384A (zh) * | 2018-11-23 | 2020-06-01 | 財團法人工業技術研究院 | 網路服務系統及網路服務方法 |
| US11019106B1 (en) | 2020-09-22 | 2021-05-25 | Netskope, Inc. | Remotely accessed controlled contained environment |
-
2008
- 2008-09-05 CN CN2008101197187A patent/CN101355557B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN101355557A (zh) | 2009-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101355557B (zh) | 在mpls/vpn网络中实现网络接入控制的方法及系统 | |
| CN1578215B (zh) | 安全协议的自动协商系统和方法 | |
| CN100499554C (zh) | 网络准入控制方法及网络准入控制系统 | |
| CN103780397B (zh) | 一种多屏多因子便捷web身份认证方法 | |
| EP1389752A2 (en) | System and method for privilege delegation and control | |
| US20050050362A1 (en) | Content inspection in secure networks | |
| CN104348914B (zh) | 一种防篡改系统文件同步系统及其方法 | |
| US8838800B2 (en) | Binding resources in a shared computing environment | |
| CN107113613B (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
| CN101841525A (zh) | 安全接入方法、系统及客户端 | |
| US10868835B2 (en) | Method for managing data traffic within a network | |
| CN102984045B (zh) | 虚拟专用网的接入方法及虚拟专用网客户端 | |
| CN103414709A (zh) | 用户身份绑定、协助绑定的方法及装置 | |
| US8024466B2 (en) | System and method for providing security backup services to a home network | |
| CN105225072A (zh) | 一种多应用系统的访问管理方法及系统 | |
| CN103442007A (zh) | 基于虚拟桌面控制方式实现访问远端应用服务的方法 | |
| EP2827529B1 (en) | Method, device, and system for identity authentication | |
| CN103731410A (zh) | 虚拟网络构建系统、方法、小型终端及认证服务器 | |
| CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
| EP2926527B1 (en) | Virtual smartcard authentication | |
| CN106888191A (zh) | 等级保护多级安全互联系统及其互联方法 | |
| CN101621527A (zh) | VPN中基于Portal的安全认证的实现方法、系统和设备 | |
| CN103747051A (zh) | 车载终端的服务平台 | |
| US20110307939A1 (en) | Account issuance system, account server, service server, and account issuance method | |
| JP2007208759A (ja) | Macアドレスとユーザ認証を組み合わせた認証セキュリティシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110622 Termination date: 20200905 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |