CN101378358A - 一种实现安全接入控制的方法及系统、服务器 - Google Patents
一种实现安全接入控制的方法及系统、服务器 Download PDFInfo
- Publication number
- CN101378358A CN101378358A CNA2008101493481A CN200810149348A CN101378358A CN 101378358 A CN101378358 A CN 101378358A CN A2008101493481 A CNA2008101493481 A CN A2008101493481A CN 200810149348 A CN200810149348 A CN 200810149348A CN 101378358 A CN101378358 A CN 101378358A
- Authority
- CN
- China
- Prior art keywords
- terminal
- security
- authentication result
- identity information
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 30
- 238000012544 monitoring process Methods 0.000 claims abstract description 7
- 101100217298 Mus musculus Aspm gene Proteins 0.000 claims description 2
- 238000012795 verification Methods 0.000 abstract 4
- 230000008676 import Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012797 qualification Methods 0.000 description 2
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例公开实现安全接入控制的方法及系统、服务器。本发明实施例实现网络安全接入控制的方法包括:接收交换机转发的使用双向加密方式加密的终端身份信息;将使用双向加密方式加密的终端身份信息进行解密,并对解密的终端身份信息进行验证;向交换机返回认证结果,交换机依据认证结果对终端访问网络进行控制;使用单向加密方式对解密的终端身份信息进行加密;对使用单向加密方式加密的终端身份信息进行验证;向安全接入控制网关返回认证结果,安全接入控制网关依据认证结果对终端访问网络资源进行控制;向终端的安全控制模块下发安全策略,终端安全控制模块依据安全策略对终端进行监控。本发明实施例能够更全面地解决内网的安全问题。
Description
技术领域
本发明涉及计算机互联网领域,尤其涉及一种实现安全接入控制的方法及系统、服务器。
背景技术
由于企业内部网络变得越来越庞大,网络结构越来越复杂,内部的终端数也不断增长,而且现实网络中病毒、木马的泛滥,非授权人员访问导致信息外泄等,都给企业的网络安全带来了巨大的隐患,严重的干扰甚至中断企业的正常业务,于是企业纷纷寻找适合自己的网络安全方案。除了部署防病毒和防火墙系统之外,很多企业会通过部署网络接入控制系统来实现接入认证、对终端进行安全性检查,从而解决内网的安全性问题。
现有技术网络接入控制系统是在终端和内网或外网之间部署802.1X交换机,在每个终端上安装安全控制软件。802.1X交换机对终端访问网络权限进行控制,安全控制软件执行服务器下发的安全策略,监控终端的运行,从而实现终端访问网络的安全接入控制以及企业内网的安全。
在实现本发明的过程中,发明人发现现有技术中至少存在如下问题:802.1X交换机控制终端上网权限是打开或关闭终端访问网络的权限,一旦打开终端访问网络的权限,终端就可以浏览内网或外网的任何信息而不受任何限制,现有技术的安全接入控制并不能精细地控制终端访问网络的权限。
发明内容
本发明实施例提供一种实现安全接入控制的方法及系统、服务器,能够精细地控制终端访问网络的权限。
为解决上述技术问题,本发明所提供的实现安全接入控制的方法及系统实施例是通过以下技术方案实现的:
一种实现网络安全接入控制的方法,包括:
接收交换机转发的使用双向加密方式加密的终端身份信息;
将所述使用双向加密方式加密的终端身份信息进行解密,并对所述解密的终端身份信息进行验证;
向所述交换机返回认证结果,所述交换机依据所述认证结果对所述终端访问网络进行控制;
使用单向加密方式对所述解密的终端身份信息进行加密;
对所述使用单向加密方式加密的终端身份信息进行验证;
向安全接入控制网关返回认证结果,所述安全接入控制网关依据所述认证结果对所述终端访问网络资源进行控制;
向所述终端的安全控制模块下发安全策略,所述终端安全控制模块依据所述安全策略对所述终端进行监控。
一种服务器,包括:
第一认证模块,用于接收交换机转发的使用双向加密方式加密的终端身份信息;将所述使用双向加密方式加密的终端身份信息进行解密,并对所述解密的终端身份信息进行验证;向所述交换机返回认证结果,所述交换机依据所述认证结果对所述终端访问网络进行控制;
第二认证模块,用于使用单向加密方式对所述第一认证模块解密的终端身份信息进行加密;对所述使用单向加密方式加密的终端身份信息进行验证;向安全接入控制网关返回认证结果,所述安全接入控制网关依据所述认证结果对所述终端访问网络资源进行控制;向所述终端的安全控制模块下发安全策略,所述终端安全控制模块依据所述安全策略对所述终端监控。
一种实现网络安全接入控制的系统,包括:服务器,交换机,安全接入控制网关和终端;
所述终端包括:发送模块和安全控制模块,
所述发送模块,用于向所述交换机发送使用双向加密方式加密的终端身份信息;
所述安全控制模块,接收所述服务器下发的安全策略,依据所述安全策略对终端进行监控;
所述服务器:用于接收所述交换机转发的使用双向加密方式加密的终端身份信息;将所述使用双向加密方式加密的终端身份信息进行解密,并对所述解密的终端身份信息进行验证;向所述交换机返回认证结果;使用单向加密方式对所述解密的终端身份信息进行加密;对所述使用单向加密方式加密的终端身份信息进行验证;向所述安全接入控制网关返回认证结果;向所述终端的安全控制模块下发安全策略;
所述交换机,用于将所述终端发送的使用双向加密方式加密的终端身份信息转发至所述服务器,接收所述服务器返回的认证结果,并依据所述认证结果对所述终端访问网络进行控制;
所述安全接入控制网关,用于接收所述服务器返回的认证结果,并依据所述认证结果对所述终端访问网络资源进行控制。
本发明实施对使用双向加密方式和单向加密方式的终端身份信息验证之后,返回认证结果,交换机根据认证结果对终端访问网络进行控制,安全接入控制网关根据返回的认证结果对终端访问网络资源进行控制;且认证后,向终端发送安全策略,对终端进行监控。本发明实施例通过安全接入控制网关分别对终端访问网络的权限进行控制,通过下发的安全策略对终端的运行情况进行监控,通过增加安全接入控制网关,能更精细地控制终端的上网权限。本发明实施例能够更全面地解决内网的安全问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明实施例提供的实现网络安全接入控制的系统部署结构;
图2示出了本发明实施例提供的实现网络安全接入控制的方法流程图;
图3示出了本发明实施例提供的服务器结构图;
图4示出了本发明实施例提供的实现网络安全接入控制的系统图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种实现网络安全接入控制的方法及系统、服务器,用于解决内网的安全性问题。
图1示出了本发明实施例提供的实现网络安全接入控制的系统部署结构。
安全接入控制网关作为终端连接内网或外网的网关设备,交换机与安全接入控制网关连接,交换机下连接不同的终端,终端上安装安全控制软件;服务器分别与安全接入控制网关和交换机连接,终端通过交换机向服务器发送身份认证信息,服务器向交换机和安全接入控制网关返回认证结果,并向终端的安全控制模块返回安全策略。
服务器是维护一个合法用户的身份信息数据库,对终端用户进行接入身份验证。服务器预先导入所有合法用户身份信息到数据库,保存每一个用户的帐号和密码,在用户接入网络时验证其帐号和密码的正确性,必要时还可以更深入的审核终端的介质访问控制(MAC,Media Access Control)地址信息、用户在要登录域服务器上的帐号信息、用户在要登录轻量级目录访问协议服务器上的帐号信息等可以唯一表示用户或终端身份的信息,以确定是否让终端接入指定网络网。
交换机支持802.1x协议,802.1x协议控制交换机端口的打开或者关闭,在接入层隔离未经授权的终端接入网络。另外,802.1x协议控制交换机隔离交换机各个端口连接的终端之间的互访,有效地控制终端之间文件或其他数据的传输,有效地隔离病毒在终端之间的感染。
安全接入控制网关根据服务器验证的终端用户访问网络的权限级别,限制终端访问指定IP段的网络资源。
终端上安装安全控制软件,根据服务器下发的安全策略监控终端的运行,监控终端访问网络的端口,允许或禁止终端安装或运行管理员指定的软件,检查和修正终端系统的补丁安装,监视和禁止终端运行某些进程等。总的来说,安全软件根据服务器下发的安全策略监控终端的运行,检查和解决终端的安全问题,并监控和阻止终端上违反安全策略的操作。
需要说明的是:内网是终端要访问的企业内网,外网是终端要访问的互联网或需要通过互联网连接的服务器等。
以下结合附图详细说明本发明实施例提供的实现网络安全接入控制的方法及系统、服务器。
图2示出了本发明实施例提供的实现网络安全接入控制的方法流程图。
本实施例从终端向服务器发起认证开始,服务器验证终端的用户名和密码信息,确认是否对终端开放上网权限,终端用户访问网络的级别,对终端下发怎样的安全策略等。认证通过后,支持802.1x协议的交换机根据服务器返回的认证结果,开放或关闭终端访问网络的权限;安全接入控制设备根据服务器返回的终端访问网络的权限级别,向终端开放指定IP地址段的网络资源;而终端上的安全控制软件根据服务器下发的安全策略,监控终端的运行,监控终端访问网络的端口,允许或禁止终端安装或运行管理员指定的软件,检查和修正终端系统的补丁安装,监视和禁止终端运行某些进程等。具体过程如下:
步骤201、终端通过交换机向服务器发送使用加密双向加密方式加密的终端身份信息;
终端连接在交换机下,终端发送的加密的终端身份信息通过交换机发送到服务器。双向加密方式是交换机支持的双向加密方式,可以采用DES、3DES或AES几种加密方式,服务器收到交换机转发的加密的终端身份信息后,执行步骤202。
步骤202、服务器将使用双向加密方式加密的终端身份信息进行解密,并对解密的终端身份信息进行验证;
服务器是维护一个合法用户的身份信息数据库,对终端用户进行接入身份验证。服务器预先导入所有合法用户身份信息到数据库,保存每一个用户的帐号和密码,在用户接入网络时验证其帐号和密码的正确性。服务器上与每个用户对应的还有该用户的访问网络的权限,访问网络的权限级别以及所对应的需要监控的安全策略。服务器验证终端用户名和密码正确后,再根据用户名返回该用户的访问网络权限以及访问网络的权限级别,以及所需要的安全策略。
步骤203、服务器向交换机返回认证结果,交换机根据返回的认证结果打开或关闭终端访问网络的端口;
服务器向交换机返回的认证结果包括:该用户的上网权限;包括:若返回的认证结果是终端有访问网络的权限,则交换机打开终端访问网络的端口;若返回的认证结果是终端没有访问网络的权限,则交换机关闭终端访问网络的端口。此处所述端口是终端与交换机连接的端口。
步骤204、服务器使用单向加密方式对解密的终端身份信息进行加密;
单向加密方式是单向的加密方式,具体可以是MD5或SHA1。
步骤205、服务器对使用单向加密方式加密的终端身份信息进行验证;
服务器是维护一个合法用户的身份信息数据库,对终端用户进行接入身份验证。服务器预先导入所有合法用户身份信息到数据库,保存每一个用户的帐号和密码,在用户接入网络时验证其帐号和密码的正确性。服务器上与每个用户对应的还有该用户的访问网络的权限,访问网络的级别以及所对应的需要监控的安全策略。服务器验证终端用户名和密码正确后,再根据其用户名返回该用户的访问网络权限以及访问网络的权限级别,以及所需要的安全策略。
步骤206、服务器向安全接入控制网关返回认证结果,安全接入控制网关依据认证结果对终端访问网络资源进行控制;
服务器向安全接入控制网关返回的认证结果包括:所述终端访问网络的权限级别;
安全接入控制网关依据认证结果对终端访问网络资源进行控制,包括:安全接入控制网关依据所述终端访问网络的权限级别通过交换机向终端开放访问指定IP地址段的网络资源。访问网络的权限级别包括:向终端开放所有的访问权限,向终端开放部分IP地址的网络访问权限,或者是向终端开放一个或几个IP地址的网络访问权限。
步骤207、服务器向终端下发安全策略;
服务器向终端下发的安全策略包括:监控终端访问网络的端口,监控终端上运行的进程和检查终端是否安装非法软件;
终端上安装的安全控制软件依据所述安全策略对所述终端进行监控,包括:监控终端访问网络的端口,监控终端上运行的进程,检查终端是否按照非法软件。
综上所述,本发明实施例提供的安全接入控制方法,支持802.1x协议的交换机根据对终端身份信息的认证结果打开或关闭终端的上网权限,安全接入控制网关根据对终端身份信息的认证结果对终端访问网络资源进行具体的控制,终端上安装的安全控制软件具体执行服务器下发的安全策略对终端进行监控;本发明实施例通过交换机、安全接入控制网关和安全控制软件共同作用,实现对终端访问网络的精细控制,保证网络内容的安全。具体的,安全接入控制网关和支持802.1x交换机控制终端访问内网的具体资源,有效地控制非法用户访问内网资源,且对终端用户的访问权限级别做限定,更进一步保证内网资源的安全性;同时也实现控制终端访问外网的权限,有效控制内部终端信息的泄露,加强网络安全。进一步的,终端上运行安全控制软件,根据服务器下发的安全策略对终端进行监控,及时发现终端的异常,更进一步保证部署网络的安全。
如下提供实现上述方法的服务器结构实施例。
图3示出了本发明实施例提供的服务器结构图。
一种服务器,包括:
第一认证模块310,用于接收交换机转发的使用双向加密方式加密的终端身份信息;将所述使用双向加密方式加密的终端身份信息进行解密,并对所述解密的终端身份信息进行验证;向所述交换机返回认证结果,所述交换机依据所述认证结果对所述终端访问网络进行控制;
第二认证模块320,用于使用单向加密方式对所述第一认证模块解密的终端身份信息进行加密;对所述使用单向加密方式加密的终端身份信息进行验证;向安全接入控制网关返回认证结果,所述安全接入控制网关依据所述认证结果对所述终端访问网络资源进行控制;向所述终端的安全控制模块下发安全策略,所述终端安全控制模块依据所述安全策略对所述终端监控。
进一步的,所述第一认证模块310向所述交换机返回的认证结果包括所述终端有访问网络的权限或终端没有访问网络的权限。
进一步的,所述第二认证模块320向安全接入控制网关返回的认证结果包括所述终端访问网络的权限级别。
进一步的,所述第二认证模块320所述向终端的安全控制模块下发的安全策略包括:监控所述终端访问网络的端口,监控所述终端上运行的进程和检查所述终端是否按照非法软件。
本发明实施例还提供实现网络安全接入控制的系统,图4示出了本发明实施例提供的实现网络安全接入控制的系统图。
一种实现网络安全接入控制的系统,包括:服务器300,交换机200,安全接入控制网关400和终端100;
所述终端100,包括:发送模块110和安全控制模块120;
所述发送模块110,用于向所述交换机200发送使用双向加密方式加密的终端身份信息;
所述安全控制模块120,用于接收所述服务器300下发的安全策略,依据所述安全策略对终端进行监控;
服务器300向终端100的安全控制模块120下发的安全策略包括:监控终端访问网络的端口,监控终端上运行的进程和检查终端是否安装非法软件;
安全控制模块120依据安全策略对终端100进行监控,包括:监控终端访问网络的端口,监控终端上运行的进程,检查终端是否按照非法软件。
所述交换机200,用于将所述终端100发送的使用双向加密方式加密的终端身份信息转发至所述服务器300,接收所述服务器300返回的认证结果,并依据所述认证结果对所述终端100访问网络进行控制;
服务器300向交换机200返回的认证结果包括该用户的上网权限;包括:若返回的认证结果是终端有访问网络的权限,则交换机200打开终端访问网络的端口;若返回的认证结果是终端没有访问网络的权限,则交换机200关闭终端访问网络的端口。此处所述端口是终端100与交换机200连接的端口。
所述服务器300,用于接收所述交换机200转发的使用双向加密方式加密的终端身份信息;将所述使用双向加密方式加密的终端身份信息进行解密,并对所述解密的终端身份信息进行验证;向所述交换机200返回认证结果;使用单向加密方式对所述解密的终端身份信息进行加密;对所述使用单向加密方式加密的终端身份信息进行验证;向所述安全接入控制网关400返回认证结果;向所述终端100的安全控制模块120下发安全策略;
所述安全接入控制网关400,用于接收所述服务器300返回的认证结果,并依据所述认证结果对所述终端100访问网络资源进行控制。
服务器向安全接入控制网关返回的认证结果包括:所述终端访问网络的权限级别;
所述安全接入控制网关400依据认证结果对终端访问网络资源进行控制,包括:所述安全接入控制网关400依据所述终端访问网络的权限级别通过交换机200向终端100开放访问指定IP地址段的网络资源。访问网络的权限级别包括:向终端100开放所有的访问权限,向终端100开放部分IP地址的网络访问权限,或者是向终端100开放一个或几个IP地址的网络访问权限。
本发明实施例安全接入控制系统,支持802.1x协议的交换机200根据对终端身份信息的认证结果打开或关闭终端100的上网权限,安全接入控制网关400根据对终端身份信息的认证结果对终端访问网络资源进行具体的控制,终端100的安全控制模块120具体执行服务器300下发的安全策略,对终端100进行监控;本发明实施例通过交换机200、安全接入控制网关400和终端100的安全控制模块120共同作用,实现对终端访问网络的精细控制,保证网络内容的安全。具体的,安全接入控制网关400和支持802.1x交换机200控制终端访问内网的具体资源,有效地控制非法用户访问内网资源,且对终端用户的访问权限级别做限定,更进一步保证内网资源的安全性;同时也实现控制终端访问外网的权限,有效控制内部终端信息的泄露,加强网络安全;进一步的,终端100的安全控制模块120,根据服务器300下发的安全策略对终端100进行监控,及时发现终端100的异常,更进一步保证部署网络的安全。
在实现网络安全接入控制的系统中,可以存在多个终端,同时通过交换机与服务器和安全接入控制网关连接。本发明实施只以一个终端的网络安全接入控制为例说明实现网络安全接入控制系统,同样适用与网络中其他终端的网络安全接入控制。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上对本发明所提供的一种实现网络安全接入控制的方法及系统、服务器进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1、一种实现网络安全接入控制的方法,其特征在于,包括:
接收交换机转发的使用双向加密方式加密的终端身份信息;
将所述使用双向加密方式加密的终端身份信息进行解密,并对所述解密的终端身份信息进行验证;
向所述交换机返回认证结果,所述交换机依据所述认证结果对所述终端访问网络进行控制;
使用单向加密方式对所述解密的终端身份信息进行加密;
对所述使用单向加密方式加密的终端身份信息进行验证;
向安全接入控制网关返回认证结果,所述安全接入控制网关依据所述认证结果对所述终端访问网络资源进行控制;
向所述终端的安全控制模块下发安全策略,所述终端安全控制模块依据所述安全策略对所述终端进行监控。
2、根据权利要求1所述的实现网络安全接入控制的方法,其特征在于,所述向所述交换机返回的认证结果包括:所述终端有访问网络的权限或终端没有访问网络的权限;
所述交换机依据所述认证结果对所述终端访问网络进行控制包括:若返回的认证结果是所述终端有访问网络的权限,则所述交换机打开所述终端访问网络的端口;若返回的认证结果是所述终端没有访问网络的权限,则所述交换机关闭所述终端访问网络的端口。
3、根据权利要求1所述的实现网络安全接入控制的方法,其特征在于,所述向安全接入控制网关返回的认证结果包括:所述终端访问网络的权限级别;
所述安全接入控制网关依据所述认证结果对所述终端访问网络资源进行控制包括:所述安全接入控制网关依据所述终端访问网络的权限级别向所述终端开放访问指定IP地址段的网络资源。
4、根据权利要求1所述的实现网络安全接入控制的方法,其特征在于,所述向终端的安全控制模块下发的安全策略包括:监控所述终端访问网络的端口,监控所述终端上运行的进程和检查所述终端是否安装非法软件;
所述终端的安全控制模块依据所述安全策略对所述终端进行监控包括:监控所述终端访问网络的端口,监控所述终端上运行的进程,检查所述终端是否按照非法软件。
5、根据权利要求1至4所述的任一项实现网络安全接入控制的方法,其特征在于,所述双向加密方式包括:DES、3DES或AES;
所述单向加密方式包括:MD5或SHA1。
6、一种服务器,其特征在于,包括:
第一认证模块,用于接收交换机转发的使用双向加密方式加密的终端身份信息;将所述使用双向加密方式加密的终端身份信息进行解密,并对所述解密的终端身份信息进行验证;向所述交换机返回认证结果,所述交换机依据所述认证结果对所述终端访问网络进行控制;
第二认证模块,用于使用单向加密方式对所述第一认证模块解密的终端身份信息进行加密;对所述使用单向加密方式加密的终端身份信息进行验证;向安全接入控制网关返回认证结果,所述安全接入控制网关依据所述认证结果对所述终端访问网络资源进行控制;向所述终端的安全控制模块下发安全策略,所述终端安全控制模块依据所述安全策略对所述终端监控。
7、根据权利要求6所述的服务器,其特征在于,所述第一认证模块向所述交换机返回的认证结果包括:所述终端有访问网络的权限或终端没有访问网络的权限。
8、根据权利要求7所述的服务器,其特征在于,所述第二认证模块向安全接入控制网关返回的认证结果包括:所述终端访问网络的权限级别。
9、根据权利要求8所述的服务器,其特征在于,所述第二认证模块所述向终端的安全控制模块下发的安全策略包括:监控所述终端访问网络的端口,监控所述终端上运行的进程和检查所述终端是否按照非法软件。
10、一种实现网络安全接入控制的系统,其特征在于,包括:服务器,交换机,安全接入控制网关和终端;
所述终端包括:发送模块和安全控制模块,
所述发送模块,用于向所述交换机发送使用双向加密方式加密的终端身份信息;
所述安全控制模块,接收所述服务器下发的安全策略,依据所述安全策略对终端进行监控;
所述服务器:用于接收所述交换机转发的使用双向加密方式加密的终端身份信息;将所述使用双向加密方式加密的终端身份信息进行解密,并对所述解密的终端身份信息进行验证;向所述交换机返回认证结果;使用单向加密方式对所述解密的终端身份信息进行加密;对所述使用单向加密方式加密的终端身份信息进行验证;向所述安全接入控制网关返回认证结果;向所述终端的安全控制模块下发安全策略;
所述交换机,用于将所述终端发送的使用双向加密方式加密的终端身份信息转发至所述服务器,接收所述服务器返回的认证结果,并依据所述认证结果对所述终端访问网络进行控制;
所述安全接入控制网关,用于接收所述服务器返回的认证结果,并依据所述认证结果对所述终端访问网络资源进行控制。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101493481A CN101378358B (zh) | 2008-09-19 | 2008-09-19 | 一种实现安全接入控制的方法及系统、服务器 |
| PCT/CN2009/072062 WO2010031263A1 (zh) | 2008-09-19 | 2009-06-01 | 一种实现安全接入控制的方法及系统、服务器 |
| EP09813984.3A EP2328319B1 (en) | 2008-09-19 | 2009-06-01 | Method, system and server for realizing the secure access control |
| US13/051,142 US8407462B2 (en) | 2008-09-19 | 2011-03-18 | Method, system and server for implementing security access control by enforcing security policies |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101493481A CN101378358B (zh) | 2008-09-19 | 2008-09-19 | 一种实现安全接入控制的方法及系统、服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101378358A true CN101378358A (zh) | 2009-03-04 |
| CN101378358B CN101378358B (zh) | 2010-12-15 |
Family
ID=40421709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101493481A Expired - Fee Related CN101378358B (zh) | 2008-09-19 | 2008-09-19 | 一种实现安全接入控制的方法及系统、服务器 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8407462B2 (zh) |
| EP (1) | EP2328319B1 (zh) |
| CN (1) | CN101378358B (zh) |
| WO (1) | WO2010031263A1 (zh) |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010031263A1 (zh) * | 2008-09-19 | 2010-03-25 | 成都市华为赛门铁克科技有限公司 | 一种实现安全接入控制的方法及系统、服务器 |
| CN102299928A (zh) * | 2011-09-13 | 2011-12-28 | 航天科工深圳(集团)有限公司 | 一种网络终端业务认证方法及装置 |
| CN102404363A (zh) * | 2010-09-10 | 2012-04-04 | 联想(北京)有限公司 | 一种访问方法及装置 |
| CN103476031A (zh) * | 2012-11-20 | 2013-12-25 | 国家电网公司直流建设分公司 | 网络权限的控制方法和装置 |
| CN103686728A (zh) * | 2013-11-19 | 2014-03-26 | 国家电网公司 | 基于区域认证的电力专用无线网络系统及无线传输方法 |
| CN104602038A (zh) * | 2013-10-30 | 2015-05-06 | 中国电信股份有限公司 | 一种端口控制方法和系统 |
| CN104753962A (zh) * | 2015-04-23 | 2015-07-01 | 厦门雅迅网络股份有限公司 | 一种obd安全管理方法和系统 |
| CN105162763A (zh) * | 2015-07-29 | 2015-12-16 | 网神信息技术(北京)股份有限公司 | 通讯数据的处理方法和装置 |
| CN105262777A (zh) * | 2015-11-13 | 2016-01-20 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN105933346A (zh) * | 2016-06-27 | 2016-09-07 | 安徽科成信息科技有限公司 | 一种网络巡警 |
| CN105978900A (zh) * | 2016-06-27 | 2016-09-28 | 安徽科成信息科技有限公司 | 一种新型网络监控装置 |
| CN107786525A (zh) * | 2016-08-31 | 2018-03-09 | 北京国双科技有限公司 | 网页页面的账号验证方法和装置 |
| CN108494731A (zh) * | 2018-02-08 | 2018-09-04 | 中国电子科技网络信息安全有限公司 | 一种基于双向身份认证的抗网络扫描方法 |
| CN110430179A (zh) * | 2019-07-26 | 2019-11-08 | 西安交通大学 | 一种针对内外网安全访问的控制方法与系统 |
| CN111343088A (zh) * | 2020-02-21 | 2020-06-26 | 清华大学 | 一种报文传输方法及装置、终端、存储介质 |
| CN112448957A (zh) * | 2020-11-27 | 2021-03-05 | 成都新希望金融信息有限公司 | 网络隔离方法、装置、系统、服务端和可读存储介质 |
| CN112615829A (zh) * | 2020-12-08 | 2021-04-06 | 北京北信源软件股份有限公司 | 一种终端接入认证方法及系统 |
| CN112910882A (zh) * | 2021-01-28 | 2021-06-04 | 山东有人物联网股份有限公司 | 网络管理方法、装置、系统及计算机可读存储介质 |
| CN113271285A (zh) * | 2020-02-14 | 2021-08-17 | 北京沃东天骏信息技术有限公司 | 接入网络的方法和装置 |
| CN115277237A (zh) * | 2022-08-01 | 2022-11-01 | 中国银行股份有限公司 | 移动终端接入企业内网的控制方法及装置 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102246472B (zh) * | 2008-12-12 | 2014-04-23 | 松下电器产业株式会社 | 通信网络系统 |
| CN103001968A (zh) * | 2012-12-14 | 2013-03-27 | 温州电力局 | 一种网络监测系统及方法 |
| CN104159271B (zh) * | 2013-05-15 | 2018-07-31 | 华为技术有限公司 | 边界控制方法、接入控制器和系统 |
| CN103369531B (zh) * | 2013-07-02 | 2017-07-04 | 新华三技术有限公司 | 一种基于终端信息进行权限控制的方法及装置 |
| CN104283848B (zh) | 2013-07-03 | 2018-02-09 | 新华三技术有限公司 | 终端接入方法和装置 |
| CN103812661B (zh) * | 2014-03-10 | 2017-02-08 | 中国电子科技集团公司第三十四研究所 | 一种在lmp中采用认证安全实现邻居发现的方法 |
| CN104135729A (zh) * | 2014-07-30 | 2014-11-05 | 国家电网公司 | 一种无线终端安全接入信息内网的系统及方法 |
| EP2990978B1 (en) * | 2014-08-28 | 2020-11-18 | Vodafone GmbH | Operating a device for forwarding protected content to a client unit |
| US9552493B2 (en) * | 2015-02-03 | 2017-01-24 | Palo Alto Research Center Incorporated | Access control framework for information centric networking |
| CN108667832B (zh) * | 2018-04-28 | 2022-11-01 | 北京东土军悦科技有限公司 | 基于配置信息的认证方法、服务器、交换机和存储介质 |
| CN109510829A (zh) * | 2018-11-21 | 2019-03-22 | 张天真 | 一种网络终端控制方法 |
| CN109922058B (zh) * | 2019-02-27 | 2021-01-05 | 江西网是科技有限公司 | 一种防止非法访问内网的内网保护方法 |
| CN111343193B (zh) * | 2020-03-06 | 2022-06-07 | 咪咕文化科技有限公司 | 云网络端口安全防护方法、装置、电子设备及存储介质 |
| CN113300872A (zh) * | 2020-11-11 | 2021-08-24 | 众源科技(广东)股份有限公司 | 一种安全网关 |
| US20230171099A1 (en) * | 2021-11-27 | 2023-06-01 | Oracle International Corporation | Methods, systems, and computer readable media for sharing key identification and public certificate data for access token verification |
| CN113901507B (zh) * | 2021-12-08 | 2022-04-19 | 粤港澳大湾区数字经济研究院(福田) | 一种多参与方的资源处理方法及隐私计算系统 |
| CN115001804B (zh) * | 2022-05-30 | 2023-11-10 | 广东电网有限责任公司 | 应用于野外站的旁路访问控制系统、方法及存储介质 |
| CN116527403B (zh) * | 2023-07-03 | 2023-09-08 | 国网四川省电力公司信息通信公司 | 用于局域网的网络安全控制方法和系统 |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IL153184A0 (en) * | 2000-06-01 | 2003-06-24 | Safasoft Co Ltd | Total system for preventing information outflow from inside |
| CA2443688A1 (en) * | 2001-04-09 | 2002-10-17 | Colubris Networks Inc. | Authentication and encryption method and apparatus for a wireless local access network |
| US20040107360A1 (en) * | 2002-12-02 | 2004-06-03 | Zone Labs, Inc. | System and Methodology for Policy Enforcement |
| US20030041238A1 (en) * | 2001-08-15 | 2003-02-27 | International Business Machines Corporation | Method and system for managing resources using geographic location information within a network management framework |
| US7042988B2 (en) * | 2001-09-28 | 2006-05-09 | Bluesocket, Inc. | Method and system for managing data traffic in wireless networks |
| WO2003060671A2 (en) * | 2002-01-04 | 2003-07-24 | Lab 7 Networks, Inc. | Communication security system |
| US20060031936A1 (en) * | 2002-04-04 | 2006-02-09 | Enterasys Networks, Inc. | Encryption security in a network system |
| US7437752B2 (en) * | 2002-09-23 | 2008-10-14 | Credant Technologies, Inc. | Client architecture for portable device with security policies |
| WO2004036391A2 (en) | 2002-10-17 | 2004-04-29 | Enterasys Networks, Inc. | System and method for ieee 802.1x user authentication in a network entry device |
| CN1331328C (zh) * | 2003-06-06 | 2007-08-08 | 华为技术有限公司 | 一种基于身份认证的地址转换方法 |
| US8543710B2 (en) * | 2004-03-10 | 2013-09-24 | Rpx Corporation | Method and system for controlling network access |
| US20060085853A1 (en) * | 2004-10-15 | 2006-04-20 | Simpson William F | System and method for managing the execution of unauthorized programs on a university computer network |
| US20060090196A1 (en) * | 2004-10-21 | 2006-04-27 | Van Bemmel Jeroen | Method, apparatus and system for enforcing security policies |
| WO2006059295A1 (en) | 2004-12-01 | 2006-06-08 | Koninklijke Philips Electronics, N.V. | Associative content retrieval |
| JP2007005847A (ja) * | 2005-06-21 | 2007-01-11 | Alaxala Networks Corp | ネットワークにおけるデータ伝送制御 |
| US7437755B2 (en) * | 2005-10-26 | 2008-10-14 | Cisco Technology, Inc. | Unified network and physical premises access control server |
| CN100563158C (zh) * | 2005-10-26 | 2009-11-25 | 杭州华三通信技术有限公司 | 网络接入控制方法及系统 |
| US7814311B2 (en) * | 2006-03-10 | 2010-10-12 | Cisco Technology, Inc. | Role aware network security enforcement |
| FR2899749B1 (fr) * | 2006-04-07 | 2008-07-04 | Groupe Ecoles Telecomm | Procede de protection d'identite, dispositifs, et produit programme d'ordinateur correspondants. |
| JP4732974B2 (ja) * | 2006-07-27 | 2011-07-27 | 株式会社日立製作所 | パケット転送制御方法およびパケット転送装置 |
| CN101022340B (zh) * | 2007-03-30 | 2010-11-24 | 武汉烽火网络有限责任公司 | 实现城域以太网交换机接入安全的智能控制方法 |
| CN100499554C (zh) * | 2007-06-28 | 2009-06-10 | 杭州华三通信技术有限公司 | 网络准入控制方法及网络准入控制系统 |
| US9172686B2 (en) * | 2007-09-28 | 2015-10-27 | Alcatel Lucent | Facilitating heterogeneous authentication for allowing network access |
| US20090271852A1 (en) * | 2008-04-25 | 2009-10-29 | Matt Torres | System and Method for Distributing Enduring Credentials in an Untrusted Network Environment |
| US8700891B2 (en) * | 2008-05-09 | 2014-04-15 | Broadcom Corporation | Preserving security association in MACsec protected network through VLAN mapping |
| CN101378358B (zh) * | 2008-09-19 | 2010-12-15 | 成都市华为赛门铁克科技有限公司 | 一种实现安全接入控制的方法及系统、服务器 |
-
2008
- 2008-09-19 CN CN2008101493481A patent/CN101378358B/zh not_active Expired - Fee Related
-
2009
- 2009-06-01 WO PCT/CN2009/072062 patent/WO2010031263A1/zh active Application Filing
- 2009-06-01 EP EP09813984.3A patent/EP2328319B1/en not_active Not-in-force
-
2011
- 2011-03-18 US US13/051,142 patent/US8407462B2/en active Active
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8407462B2 (en) | 2008-09-19 | 2013-03-26 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method, system and server for implementing security access control by enforcing security policies |
| WO2010031263A1 (zh) * | 2008-09-19 | 2010-03-25 | 成都市华为赛门铁克科技有限公司 | 一种实现安全接入控制的方法及系统、服务器 |
| CN102404363A (zh) * | 2010-09-10 | 2012-04-04 | 联想(北京)有限公司 | 一种访问方法及装置 |
| CN102404363B (zh) * | 2010-09-10 | 2015-08-26 | 联想(北京)有限公司 | 一种访问方法及装置 |
| CN102299928A (zh) * | 2011-09-13 | 2011-12-28 | 航天科工深圳(集团)有限公司 | 一种网络终端业务认证方法及装置 |
| CN103476031B (zh) * | 2012-11-20 | 2017-03-01 | 国家电网公司直流建设分公司 | 网络权限的控制方法和装置 |
| CN103476031A (zh) * | 2012-11-20 | 2013-12-25 | 国家电网公司直流建设分公司 | 网络权限的控制方法和装置 |
| CN104602038A (zh) * | 2013-10-30 | 2015-05-06 | 中国电信股份有限公司 | 一种端口控制方法和系统 |
| CN104602038B (zh) * | 2013-10-30 | 2018-01-12 | 中国电信股份有限公司 | 一种端口控制方法和系统 |
| CN103686728A (zh) * | 2013-11-19 | 2014-03-26 | 国家电网公司 | 基于区域认证的电力专用无线网络系统及无线传输方法 |
| CN103686728B (zh) * | 2013-11-19 | 2017-04-26 | 国家电网公司 | 基于区域认证的电力专用无线网络系统及无线传输方法 |
| CN104753962A (zh) * | 2015-04-23 | 2015-07-01 | 厦门雅迅网络股份有限公司 | 一种obd安全管理方法和系统 |
| CN105162763A (zh) * | 2015-07-29 | 2015-12-16 | 网神信息技术(北京)股份有限公司 | 通讯数据的处理方法和装置 |
| CN105262777A (zh) * | 2015-11-13 | 2016-01-20 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN105933346A (zh) * | 2016-06-27 | 2016-09-07 | 安徽科成信息科技有限公司 | 一种网络巡警 |
| CN105978900A (zh) * | 2016-06-27 | 2016-09-28 | 安徽科成信息科技有限公司 | 一种新型网络监控装置 |
| CN107786525A (zh) * | 2016-08-31 | 2018-03-09 | 北京国双科技有限公司 | 网页页面的账号验证方法和装置 |
| CN107786525B (zh) * | 2016-08-31 | 2020-06-12 | 北京国双科技有限公司 | 网页页面的账号验证方法和装置 |
| CN108494731B (zh) * | 2018-02-08 | 2021-04-02 | 中国电子科技网络信息安全有限公司 | 一种基于双向身份认证的抗网络扫描方法 |
| CN108494731A (zh) * | 2018-02-08 | 2018-09-04 | 中国电子科技网络信息安全有限公司 | 一种基于双向身份认证的抗网络扫描方法 |
| CN110430179A (zh) * | 2019-07-26 | 2019-11-08 | 西安交通大学 | 一种针对内外网安全访问的控制方法与系统 |
| CN113271285B (zh) * | 2020-02-14 | 2023-08-08 | 北京沃东天骏信息技术有限公司 | 接入网络的方法和装置 |
| CN113271285A (zh) * | 2020-02-14 | 2021-08-17 | 北京沃东天骏信息技术有限公司 | 接入网络的方法和装置 |
| CN111343088A (zh) * | 2020-02-21 | 2020-06-26 | 清华大学 | 一种报文传输方法及装置、终端、存储介质 |
| CN111343088B (zh) * | 2020-02-21 | 2021-01-29 | 清华大学 | 一种报文传输方法及装置、终端、存储介质 |
| CN112448957A (zh) * | 2020-11-27 | 2021-03-05 | 成都新希望金融信息有限公司 | 网络隔离方法、装置、系统、服务端和可读存储介质 |
| CN112448957B (zh) * | 2020-11-27 | 2023-04-25 | 成都新希望金融信息有限公司 | 网络隔离方法、装置、系统、服务端和可读存储介质 |
| CN112615829A (zh) * | 2020-12-08 | 2021-04-06 | 北京北信源软件股份有限公司 | 一种终端接入认证方法及系统 |
| CN112910882A (zh) * | 2021-01-28 | 2021-06-04 | 山东有人物联网股份有限公司 | 网络管理方法、装置、系统及计算机可读存储介质 |
| CN115277237A (zh) * | 2022-08-01 | 2022-11-01 | 中国银行股份有限公司 | 移动终端接入企业内网的控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8407462B2 (en) | 2013-03-26 |
| EP2328319A4 (en) | 2011-10-19 |
| EP2328319B1 (en) | 2015-09-09 |
| US20110179267A1 (en) | 2011-07-21 |
| EP2328319A1 (en) | 2011-06-01 |
| CN101378358B (zh) | 2010-12-15 |
| WO2010031263A1 (zh) | 2010-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101378358B (zh) | 一种实现安全接入控制的方法及系统、服务器 | |
| Panchal et al. | Security issues in IIoT: A comprehensive survey of attacks on IIoT and its countermeasures | |
| Upadhyay et al. | SCADA (Supervisory Control and Data Acquisition) systems: Vulnerability assessment and security recommendations | |
| CN101572660B (zh) | 一种防止数据泄密的综合控制方法 | |
| Rhee et al. | Security requirements of a mobile device management system | |
| Souppaya et al. | Guide to enterprise telework, remote access, and bring your own device (BYOD) security | |
| CN101355459B (zh) | 一种基于可信协议的网络监控方法 | |
| KR101373542B1 (ko) | 가상화 기반 논리적 망 분리 기법을 이용한 개인정보 보호 시스템 | |
| Abou el Kalam | Securing SCADA and critical industrial systems: From needs to security mechanisms | |
| WO2007001046A1 (ja) | セキュリティ対策アプリケーションの機密ファイル保護方法、及び機密ファイル保護装置 | |
| US10637864B2 (en) | Creation of fictitious identities to obfuscate hacking of internal networks | |
| CN113472758B (zh) | 访问控制方法、装置、终端、连接器及存储介质 | |
| CN109936555A (zh) | 一种基于云平台的数据存储方法、装置及系统 | |
| US20220060463A1 (en) | Method for managing network devices, apparatus, and computer readable storage medium | |
| Sarjan et al. | Cyber-security of industrial internet of things in electric power systems | |
| Prakash et al. | A survey of security challenges, attacks in IoT | |
| CN106685912B (zh) | 一种应用系统的安全访问方法 | |
| Sun | Research on security issues and protection strategy of computer network | |
| Annuar et al. | Enhancement and implementation of network access control architecture for virtualization environments | |
| CN101562620B (zh) | 一种终端互访的方法和控制装置 | |
| Allalouf et al. | StoreDroid: Sensor-based data protection framework for Android | |
| Ruha | Cybersecurity of computer networks | |
| Kuntze et al. | Secure mobile business information processing | |
| Penttilä | Cyber threats in maritime container terminal automation systems | |
| Le et al. | A comparative cyber risk analysis between federated and self-sovereign identity management systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101215 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |