CN101621523A - 一种用户安全接入控制方法及其装置和系统 - Google Patents
一种用户安全接入控制方法及其装置和系统 Download PDFInfo
- Publication number
- CN101621523A CN101621523A CN200910159188A CN200910159188A CN101621523A CN 101621523 A CN101621523 A CN 101621523A CN 200910159188 A CN200910159188 A CN 200910159188A CN 200910159188 A CN200910159188 A CN 200910159188A CN 101621523 A CN101621523 A CN 101621523A
- Authority
- CN
- China
- Prior art keywords
- described client
- security
- address
- client
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用户安全接入控制方法及其装置和系统,应用于用户网络接入过程,当用户所在客户端通过认证服务器的认证并向DHCP服务器请求获取IP地址后:DHCP服务器接收所述客户端发送的获取IP地址的请求;DHCP服务器根据所述请求,从认证服务器获取所述客户端对应的IP地址级别;DHCP服务器根据获取到的IP地址级别,为所述客户端分配对应网络的IP地址,并将分配的IP地址发送给所述客户端。客户端的IP地址级别由客户端进行安全检查后得到的安全级别决定。采用本发明,可在提高用户接入网络的安全性的同时,简化用户接入网络的控制流程和提高接入控制过程的可靠性。
Description
技术领域
本发明涉及通信领域的网络接入技术,尤其涉及一种用户安全接入控制方法及其装置和系统。
背景技术
随着宽带网络的迅速发展,用户数量不断的增长,网络安全隐患成为越来越突出的一个问题。网络在传播信息的同时,也可能传播病毒,这一点在企业网或校园网中表现的特别明显。如果网络中存在一台有问题的终端,再如果网络中没有必要的防护措施,其导致的后果将不可预计。
如何有效的控制网络病毒的传播,是业界目前普遍关注的问题,每个网络管理员都希望能有一种限制存在安全隐患的终端(如感染有病毒或易受病毒感染的终端)接入网络的方法,来保证安全、稳定的网络环境。业界普遍认为,在离用户越近的位置进行控制越有效,如通过在客户端安装防病毒软件,或者在客户端一侧设置防火墙,以对有安全隐患的终端的网络接入过程进行控制。这种依赖客户端进行网络接入的安全控制,会由于客户端未采取安全措施而给网络中的其他客户端带来安全隐患。
现有技术还提出了由客户端对其所在终端进行安全检查,以实现网络接入安全控制,但将安全检查放在客户端终端上进行,其安全检查结果比较容易被篡改,达不到安全控制用户接入的目的。
现有技术还提出了使用VLAN(Virtual LAN,虚拟局域网)跳转的方式,根据用户的安全检查结果接入不同的网络的技术。VLAN跳转方式需要在接入设备上配置不同的VLAN,且要根据不同的VLAN划分不同的IP地址段,然后将客户端置于不同的VLAN中。但这种方式对接入设备的依赖性较大,且操作起来比较烦琐。
综上所述,现有技术未能提供一种操作流程简单以及不依赖客户端的用户安全接入控制技术。
发明内容
本发明实施例提供了一种用户安全接入控制方法及其系统,以简化对用户接入网络的安全控制过程,以及减少对于客户端的依赖。
本发明实施例提供的用户安全接入控制方法,应用于用户网络接入过程,当用户所在客户端通过认证服务器的认证并向DHCP服务器请求获取IP地址后:
DHCP服务器接收所述客户端发送的获取IP地址的请求;
DHCP服务器根据所述请求,从认证服务器获取所述客户端对应的IP地址级别,其中,所述客户端对应的IP地址级别是所述认证服务器根据所述客户端的安全级别确定出来的;
DHCP服务器根据获取到的IP地址级别,为所述客户端分配对应网络的IP地址,并将分配的IP地址发送给所述客户端。
本发明实施例提供的用户安全接入控制系统,包括:
DHCP服务器,用于接收所述客户端发送的获取IP地址的请求;根据所述请求,从认证服务器获取所述客户端对应的IP地址级别;以及,根据获取到的IP地址级别,为所述客户端分配对应网络的IP地址,并将分配的IP地址发送给所述客户端;
认证服务器,用于根据所述客户端的安全级别确定所述客户端对应的IP地址级别并发送给所述DHCP服务器;以及,接收所述安全策略服务器发送的所述客户端的安全级别;
安全策略服务器,用于在对所述客户端进行安全检查后根据检查结果确定所述客户端的安全级别,或者,在所述客户端进行安全修复操作后根据操作结果确定所述客户端的安全级别,并将确定出的安全级别发送给认证服务器。
本发明的上述实施例,提供了一种DHCP服务器和认证服务器的联动机制,在DHCP服务器为客户端分配网络IP地址时,与认证服务器一起配合,从而实现对用户接入网络的安全控制,即,在DHCP服务器在接收到客户端获取IP地址的请求后,从认证服务器获取所述客户端对应的IP地址级别,并根据获取到的IP地址级别,为客户端分配对应网络的IP地址,以使客户端接入到相应的网络,其中,认证服务器提供给DHCP服务器的IP地址级别是根据该客户端的安全级别确定的。本发明实施例通过DHCP服务器和认证服务器的配合来实现对用户接入网络进行安全控制,以及根据客户端的安全级别来进行安全接入控制,与由客户端进行安全接入控制技术相比,可避免用户通过客户端修改安全信息所导致的不安全因素,从而提高控制过程的安全性和控制结果的可靠性;另外,DHCP服务器和认证服务器的联动机制实现起来简单易行。
本发明实施例还提供一种DHCP服务器、认证服务器和安全策略服务器,为实现本发明对用户接入进行安全控制的技术方案提供了可能。
本发明实施例提供的DHCP服务器,包括:
接收模块,用于接收客户端发送的获取IP地址的请求;
获取模块,用于根据接收到的所述获取IP地址的请求,从认证服务器获取所述客户端对应的IP地址级别;
分配模块,用于根据获取到的IP地址级别,为所述客户端分配对应网络的IP地址;
发送模块,用于将分配的IP地址发送给所述客户端。
本发明实施例提供的认证服务器,包括:
第一接收模块,用于接收DHCP服务器发送的获取客户端所对应的IP地址级别的请求;
确定模块,用于根据所述客户端所对应的信息,确定出所述客户端的IP地址级别;
发送模块,用于将确定出的IP地址级别发送给DHCP服务器。
本发明实施例提供的安全策略服务器,包括:
第一接收模块,用于接收客户端发送的安全检查请求;
获取模块,用于根据接收到的安全检查请求,获取所述客户端对应的安全检查项;
第一发送模块,用于将所述客户端对应的安全检查项发送给所述客户端;
第二接收模块,用于接收所述客户端根据所述安全检查项收集并发送的其收集的客户端信息;
确定模块,用于根据所述客户端信息和所述客户端对应的安全检查策略,确定所述客户端的安全级别;
第二发送模块,用于将包含有所述客户端的安全级别的安全检查结果发送所述客户端;
第三发送模块,用于将包含有所述客户端的安全级别的安全检查结果发送给认证服务器。
本发明上述实施例提供的DHCP服务器、认证服务器和安全策略服务器,为实现DHCP服务器和认证服务器的联动机制提供了设备层面的支持,从而使DHCP服务器在接收到客户端获取IP地址的请求后,从认证服务器获取所述客户端对应的IP地址级别,并根据获取到的IP地址级别,为客户端分配对应网络的IP地址,以使客户端接入到相应的网络;其中,认证服务器提供给DHCP服务器的IP地址级别是根据该客户端的安全级别确定的,而客户端的安全级别是安全策略服务器通过客户端发起的安全检查流程得到的。本发明上述实施例提供的DHCP服务器和认证服务器结构简单易行,彼此之间的信息交互信息量不大,不会对网络造成太大影响。
附图说明
图1为本发明实施例适用的符合802.1X标准的网络系统架构的示意图;
图2为本发明实施例提供的用户安全接入控制的流程示意图;
图3为本发明实施例提供的用户安全接入控制的信令流程示意图;
图4为本发明实施例提供的DHCP服务器的结构示意图;
图5为本发明实施例提供的Radius服务器的结构示意图;
图6为本发明实施例提供的安全策略服务器的结构示意图。
具体实施方式
本发明实施例提供了一种802.1X环境下的用户安全接入控制方法及其系统和装置,通过Radius(Remote Authentication Dial in User Service,远端用户拨入鉴权服务)服务器和DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)服务器的联动,使DHCP服务器能够根据用户的IP地址级别为用户分配相应的网络IP地址(非受限网络IP地址或受限网络IP地址),从而对用户的网络接入过程进行安全控制。下面结合附图对本发明实施例进行详细描述。
参见图1,为本发明实施例适用的符合802.1X标准的网络系统架构的示意图,该网络系统架构中与本发明实施例所提供的用户接入控制流程相关的实体主要包括:客户端、NAS(Net Access Server,网络接入服务器)、Radius服务器、DHCP服务器、安全策略服务器。各网络实体的功能主要包括:
客户端,用于发起网络接入的相关请求,如认证请求、获取IP的地址请求、安全检查请求,还负责收集客户端及其所在终端的信息。客户端可自动收集所在终端的补丁、软件、进程、服务、远程桌面、共享资源、注册表、账号安全、浏览器防代理、防病毒软件、防火墙等信息中的一项或多项。这些信息可包括:终端上安装的各种程序(如系统补丁程序、应用程序、浏览器防代理软件、防病毒软件、防火墙)的版本号,终端上运行的进程的相关信息,终端提供的服务类型,终端的注册表,终端的账号安全信息(如安全级别);
Radius服务器,主要负责综合管理用户的安全接入认证,包括接受客户端的认证请求、进行认证处理,以及将认证结果下发给请求认证的客户端;
DHCP服务器,主要负责根据客户端获取IP地址的请求,为客户端分配网络IP地址,以便客户端根据该IP地址接入相应的网络;
安全策略服务器,主要负责对客户端进行安全检查。安全检查包括:根据配置的安全策略下发安全检查项(即需要客户端收集的信息类型,包括如前所述的补丁、软件、进程、服务、远程桌面、共享资源、注册表、账号安全、浏览器防代理、防病毒软件、防火墙等信息中的一项或多项),根据客户端收集并上传的安全检查项内容和数据库中的配置信息确定客户端的安全级别,以及将安全检查结果返回给客户端、发送给Radius服务器、存储到数据库中相关表中;
NAS,主要负责将客户端的认证请求发送给Radius服务器,以及将Radius服务器的认证结果返回给客户端。
上述系统架构中,Radius服务器和DHCP服务器采用联动机制。DHCP服务器接收到用户所在客户端发起的获取IP地址的请求后,自动向Radius服务器发起请求,以申请获取该用户的IP地址级别,Radius服务器根据客户端的安全级别返回对应的IP地址级别给DHCP服务器,以便DHCP服务器根据IP地址级别为客户端分配相应接入网络(受限网络或非受限网络)的IP地址,从而控制该用户接入到相应网络。
在应用图1所示的网络系统架构对用户的网络接入进行安全控制之前,首先需要进行参数配置,参数配置操作可包括:
配置相关安全策略并绑定到用户;具体为:DHCP服务器上配置2个客户组权限,其中一个客户组权限对应受限网络,另一个对应非受限网络;在Radius服务器上配置2个相应的IP地址级别,分别将IP地址级别绑定到对应的客户组权限上;在DHCP服务器上配置2个处于不同网段的IP地址池,其中一个是受限网络的IP地址池,另一个是非受限网络的IP地址池,将与非受限网络对应的客户组权限绑定到非受限网络的IP地址池,将与受限网络对应的客户组权限绑定到受限网络的IP地址池;
进行Radius相关参数的配置,包括:配置是否需要进行安全检查,配置安全策略服务器的IP地址,以便使客户端获取安全策略服务器的地址从而发起安全检查请求,以及Radius服务器与安全策略服务器之间进行信息交互;
进行安全策略服务器相关参数配置,包括:配置Radius服务器的IP地址,以便Radius服务器与安全策略服务器之间进行信息交互;
进行DHCP服务器相关参数配置,包括:启动联动机制,配置Radius服务器的IP地址,以便DHCP服务器与Radius服务器之间进行信息交互。
在安全策略服务器上配置安全策略,包括:配置安全检查项,以实现补丁、软件、进程、服务、远程桌面、共享资源、注册表、账号安全、浏览器防代理、防病毒软件、防火墙等检查策略的配置;建立安全策略时选择上述检查策略中的一项或多项;建立安全策略组时的不同操作系统类型可以选择不同的安全检查策略、以及用户不安全时的IP地址级别等。
上述参数配置可通过信息配置管理系统(或称信息配置管理服务器)完成,该信息配置系统优选用WEB技术实现。网络管理员可通过信息配置管理系统方便快捷地配置、修改安全策略相关参数,以及DHCP服务器的IP地址池和客户组权限,从而可以更好地对整个网络进行监控。
参数配置完成后,上述网络系统架构中的相关实体可对请求网络接入的用户进行安全接入控制。
参见图2,为本发明实施例提供的用户安全接入控制的流程示意图,该流程主要包括以下步骤:
步骤201、用户通过所在客户端向Radius服务器请求认证,并接收Radius服务器返回的认证结果;
步骤202、客户端在获知认证通过后,向DHCP服务器请求获取网络IP地址;
步骤203、DHCP服务器从Radius服务器获取该用户的IP地址级别,并为该用户分配与该IP地址级别相对应的网络IP地址,然后将分配的网络IP地址返回给该客户端;
步骤204、客户端根据为其分配的IP地址接入相应的网络,以进行数据访问;
步骤205、客户端根据Radius服务器返回的认证结果确定是否需要进行安全检查,如果是,则执行步骤206;否则,按照常规流程处理,如继续通过当前连接的网络进行数据访问;
步骤206、客户端进入安全检查等待周期,当周期到达时向安全策略服务器发起安全检查流程,由安全策略服务器确定该用户的安全级别,并可进一步发送给Radius服务器,并通知该客户端;
步骤207、客户端根据安全策略服务器返回的安全级别,确定安全检查是否通过,如果未通过,则执行步骤208;如果通过,返回步骤206;
步骤208、客户端断开当前网络连接。
由于安全检查流程可周期执行,因此可以在用户接入网络后,监控该用户的安全设置或状态的变化情况,并根据变化情况,在认为用户存在安全隐患时及时采取相应措施,以保证用户网络接入的安全。如果安全策略服务器认为该用户存在安全隐患,则可提示该用户所在客户端采取相应措施,如下载补丁程序等。用户可根据提示信息,通过该客户端进行相应修复操作,如下载补丁程序并安装,然后通过该客户端重新发起网络接入过程,以加强网络接入的安全性。如果客户端接入到了受限网络,可以显示相应的警告提示,用户可根据该提示进行相应修复操作后重新发起网络接入过程,以接入非受限网络。用户修复过程可进行多次,从而使客户端由不安全逐渐转变为安全,最终安全级别为安全时才被允许接入非受限网络。
下面结合图3,对用户接入控制过程的信令交互流程进行详细描述。
参见图3,为本发明实施例提供的用户安全接入控制的信令流程示意图,该流程主要包括步骤:
步骤301-302、客户端使用用户账号向NAS发起认证请求,NAS将该认证请求发送到Radius服务器进行认证处理;
步骤303-304、Radius服务器认证成功后,向客户端返回认证响应,其中携带认证结果,认证结果可包括:启动标志、该账号用户的安全状态、开始事件和频率、安全策略服务器地址,还可以进一步包括是否启动安全检查的指示;
步骤305、客户端向DHCP服务器发起请求以获取IP地址;
步骤306-307、DHCP服务器通过与Radius服务器的联动机制,从Radius服务器获取该账号用户的IP地址级别;
该联动过程中,DHCP服务器接收到该账号用户获取IP地址的请求后,向Radius服务器发送查询该账号用户IP地址级别的请求,其中携带该账号用户的账号或标识等信息;Radius服务器根据账号或标识等信息查找到该账号用户的信息,并根据查找到的信息确定出该用户的安全级别,然后根据该用户的安全级别确定出对应的IP地址级别,并将确定出的IP地址级别通过响应消息返回给DHCP服务器。其中,确定安全级别所依据的信息可以是该账号用户上一次安全检查结果,如果该账号用户上一次安全检查结果为安全,则返回非受限网络对应的IP地址级别;如果该账号用户上一次安全检查结果为不安全,则返回受限网络对应的IP地址级别。确定安全级别所依据的信息并不局限与此,还可以根据该用户的其他信息确定,如用户等级等确定。
步骤308、DHCP服务器根据Radius服务器返回的该账号用户的IP地址级别,为该账号用户分配对应的网络IP地址,并通过相应的响应消息发送给客户端;
该地址分配过程中,如果返回的IP地址级别与非受限网络IP地址池绑定,则从非受限网络IP地址池中选择IP地址进行分配;如果返回的IP地址级别与受限网络IP地址池绑定,则从受限网络IP地址池中现在IP地址进行分配。
步骤309、客户端根据接收到的IP地址接入到相应的网络。如果该IP地址是非受限网络地址,则接入非受限网络;如果该IP地址是受限网络地址,则接入受限网络。
该步骤中,如果客户端接入的是受限网络,则客户端可通过所在终端给出相应提示,以提示用户进行安全修复,如,使客户端所在终端弹出对话框提示用户当前处于受限网络。用户可以根据提示进行操作,如下载补丁程序或防毒软件等。当用户根据提示信息进行下载、安装补丁程序或其他有关安全的修复更新操作后,可重新按照上述流程进行网络接入,以接入非受限网络。
客户端接入网络后,如果需要进行安全检查(在Radius服务器返回的认证结果中携带有启动安全检查的指示的情况下),则还要向安全策略服务器发起安全检查流程。
图3所示流程中的步骤310-317描述了安全检查的信令交互流程,该流程主要包括以下步骤:
步骤310、客户端向安全策略服务器发起安全检查请求;
步骤311、安全策略服务器将AAA(Authentication、Authorization andAccounting,验证、授权和账户)数据库中保存的该账号用户所对应的安全检查项通过响应消息返回给客户端;
步骤312、客户端根据返回的检查项,收集对应的信息(如前所述的终端的补丁、软件、进程、服务、远程桌面、共享资源、注册表、账号安全、浏览器防代理、防病毒软件、防火墙等信息中的一项或多项),并将收集到的信息发送给安全策略服务器;
步骤313、安全策略服务器将收到的客户端信息与AAA数据库中保存的该账号用户所对应安全策略信息进行安全检查,以确定客户端是否安全。确定客户端是否安全的依据可包括:该账号用户的安全状态是否改变,该账号用户对应的客户端所收集的信息中是否存在不安全信息等,相应的,安全策略给出了根据这些情况确定客户端是否安全的判决方法,从而可根据这些依据和安全策略确定客户端是否安全,并以此确定出安全级别(如,收集的信息中包含有不安全信息时确定客户端不安全)。安全策略服务器可进一步将该账号用户的用户名、MAC(MediaAccess Control,媒体接入控制)地址、检查时间、检查结果等相关信息保存到数据库相关表中,以作为下次进行安全检查、确定客户端是否安全的参考数据;
步骤314、安全策略服务器将该账号用户的安全级别发送给Radius服务器;
步骤315、Radius服务器确认接收到用户的安全级别;
步骤316、安全策略服务器将安全检查结果发送给客户端,安全检查结果可包括该账号用户的安全级别,还可包括该账号用户的安全状态是否改变、各个检查项中存在的不安全信息等;
步骤317、客户端根据安全策略服务器发送的信息进行对应操作,包括:如果安全级别表明客户端安全(如安全状态没有发生改变),则保持网络连接;如果安全级别表明客户端不安全(如该账号用户的安全状态发生改变),则客户端提示警告信息(如“安全检查失败”)或/和自动断开当前网络连接。
如果客户端的安全检查结果表明客户端不安全,网络连接断开后用户再次通过客户端进行认证后获取受限网络IP地址并接入受限网络,在受限网络允许该客户端进行安全修复操作以及重新发起安全检查请求,通过该客户端发起的安全检查流程将安全修复操作后的安全信息发送给安全策略服务器,安全策略服务器根据安全修复结果更新安全策略服务器数据库中该客户端的安全信息(如安全级别),并由安全策略服务器将更新后的安全信息发送给Radius服务器。当然不排除客户端在执行安全修复操作后,直接将该安全修复操作后的客户端信息发送给安全策略服务器,而不是通过发起安全检查流程来上报安全修复操作后的客户端信息。该客户端进行安全修复操作后再次使用该用户账号进行认证、获取网络IP地址等一系列操作以接入网络(网络接入流程如上所述)。在网络接入过程中,如果该账号用户前一次的安全检查(或安全修复操作结果)得出的安全级别为安全,则将该客户端连接到非受限网络;如果该账号用户前一次安全检查(或安全修复操作结果)得出的安全级别为警告,则将该客户端连接到非受限网络,但客户端所在终端界面上会出现安全警告提示(如在终端的系统桌面右下脚会弹出气泡提示用户终端存在一些处于警告状态的不安全信息项,可能会对终端产生一定的影响);如果该账号用户前一次的安全检查(或安全修复操作结果)得出的安全级别为隔离,则将该客户端连接到受限网络,还可进一步使客户端所在终端弹出对话框提示用户存在一些处于隔离状态的不安全信息项,用户可以根据提示进行操作,如下载补丁程序或防毒软件等。当用户根据提示信息进行下载、安装补丁程序或其他有关安全的修复更新操作后,可通过所在客户端重新发起网络接入流程,以接入非受限网络。
基于相同的技术构思,本发明实施例还提供了一种DHCP服务器、Radius认证服务器和安全策略服务器。
参见图4,为本发明实施例提供的DHCP服务器的结构示意图。该DHCP服务器的主要功能如前所述,下面对其功能结构进行简要说明。该DHCP服务器包括:接收模块41、获取模块42、分配模块43和发送模块44,其中:
接收模块41,用于接收客户端发送的获取IP地址的请求;
获取模块42,用于根据接收到的获取IP地址的请求,从Radius服务器获取该客户端对应的IP地址级别;
分配模块43,用于根据获取到的IP地址级别,为该客户端分配对应网络的IP地址;其中,IP地址级别包括与受限网络对应的IP地址级别和与非受限网络对应的IP地址级别,如果获取模块42获取到的IP地址级别与非受限网络对应,则为该客户端分配非受限网络的IP地址;如果获取模块42获取到的IP地址级别与受限网络对应,则为该客户端分配受限网络的IP地址;
发送模块44,用于将分配的IP地址发送给该客户端,以便该客户端接入到与该IP地址对应的网络。
参见图5,为本发明实施例提供的Radius服务器的结构示意图。该Radius服务器的主要功能如前所述,下面对其功能结构进行简要说明。该Radius服务器包括:第一接收模块51、确定模块52、发送模块53,其中:
第一接收模块51,用于接收DHCP服务器发送的获取客户端所对应的IP地址级别的请求;
确定模块52,用于根据该客户端所对应的信息,确定出该客户端的IP地址级别;其中,若最近一次记录的该客户端的安全级别表示该客户端安全,则确定模块52确定出与非受限网络对应的IP地址级别;若最近一次记录的该客户端的安全级别表示该客户端不安全,则确定模块52确定出与受限网络对应的IP地址级别;
发送模块53,用于将确定出的IP地址级别发送给DHCP服务器。
该Radius服务器还可包括:第二接收模块54。该模块用于接收并记录安全策略服务器对客户端进行安全检查后根据检查结果发送的该客户端的安全级别,或者接收并记录安全策略服务器根据客户端的安全修复操作结果发送的该客户端的安全级别,以便作为确定模块52确定客户端IP地址级别的依据。
参见图6,为本发明实施例提供的安全策略服务器的结构示意图。该安全策略服务器的主要功能如前所述,下面对其功能结构进行简要说明。该安全策略服务器包括第一接收模块61、获取模块62、第一发送模块63、第二接收模块64、确定模块65、第二发送模块66、第三发送模块67,其中:
第一接收模块61,用于接收客户端发送的安全检查请求;
获取模块62,用于根据接收到的安全检查请求,获取该客户端对应的安全检查项;
第一发送模块63,用于将该客户端对应的安全检查项发送给该客户端;
第二接收模块64,用于接收该客户端根据安全检查项收集并发送的客户端信息;
确定模块65,用于根据接收到的客户端信息和数据库中保存的该客户端对应的安全检查策略,确定该客户端的安全级别;
第二发送模块66,用于将包含有该客户端的安全级别的安全检查结果发送该客户端;
第三发送模块67,用于将包含有该客户端的安全级别的安全检查结果发送给认证服务器。
综上所述,本发明的上述实施例,通过综合利用AAA系统数据库、Radius服务器和DHCP服务器的联动功能、安全策略服务器安全策略检查功能、WEB管理系统的安全策略配置以及绑定到用户功能和客户端的信息收集功能,从而判断终端的安全性,将安全的用户接入非受限网络正常享受畅游网络的乐趣,将不安全的用户接入受限网络进行相关修复,从而保证了整个网络的安全、稳定。通过上述一系列操作后,可以有效的保证接入网络的客户端都是较为安全的、不存在安全隐患的客户端,从而最大程度的保证了网络的健康性,对每位接入网络的客户端的安全负责。并且,本发明实施例采用专门的安全策略服务器进行安全检查,检查结果更真实,且对硬件设备无特殊要求。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (17)
1、一种用户安全接入控制方法,其特征在于,应用于用户网络接入过程,当用户所在客户端通过认证服务器的认证并向动态主机配置协议DHCP服务器请求获取IP地址后:
DHCP服务器接收所述客户端发送的获取IP地址的请求;
DHCP服务器根据所述请求,从认证服务器获取所述客户端对应的IP地址级别,其中,所述客户端对应的IP地址级别是所述认证服务器根据所述客户端的安全级别确定出来的;
DHCP服务器根据获取到的IP地址级别,为所述客户端分配对应网络的IP地址,并将分配的IP地址发送给所述客户端。
2、如权利要求1所述的方法,其特征在于,所述认证服务器根据其最近一次记录的所述客户端的安全级别,确定所述客户端对应的IP地址级别。
3、如权利要求1或2所述的方法,其特征在于,所述IP地址级别,包括:与非受限网络对应的IP地址级别、与受限网络对应的IP地址级别;
认证服务器根据所述客户端的安全级别,确定所述客户端对应的IP地址级别,包括:若所述客户端的安全级别表示所述客户端安全,则认证服务器为所述客户端确定出与非受限网络对应的IP地址级别;若所述客户端的安全级别表示所述客户端不安全,则认证服务器为所述客户端确定出与受限网络对应的IP地址级别。
4、如权利要求1或2所述的方法,其特征在于,所述客户端的安全级别是从安全策略服务器接收到并记录的;其中,所述安全策略服务器根据所述客户端发起的安全检查流程所得到的安全检查结果或根据所述客户端进行安全修复操作后的结果,确定出所述客户端的安全级别并发送给所述认证服务器。
5、如权利要求4所述的方法,其特征在于,所述安全检查流程,包括:
所述客户端向安全策略服务器发送安全检查请求;
安全策略服务器根据所述安全检查请求返回安全检查项;
所述客户端根据所述安全检查项收集相应的信息,并将收集到的信息发送给安全策略服务器;
安全策略服务器根据所述客户端收集的信息和所述客户端对应的安全策略信息,确定出对应的安全级别,并将包含有该安全级别的安全检查结果分别发送给所述客户端和所述认证服务器。
6、如权利要求5所述的方法,其特征在于,认证服务器对所述客户端认证通过后,还包括:向所述客户端发送启动安全检查的指示;
所述客户端向安全策略服务器发送安全检查请求,具体为:
所述客户端根据接收到的IP地址接入相应的网络后,根据所述启动安全检查的指示,定期向安全策略服务器发送安全检查请求。
7、如权利要求5所述的方法,其特征在于,所述客户端接收到的安全级别表示所述客户端不安全时,还包括:
所述客户端通过安全修复操作更新该客户端的安全信息,或断开当前连接的网络。
8、如权利要求1所述的方法,其特征在于,所述IP地址级别,包括:与非受限网络对应的IP地址级别、与受限网络对应的IP地址级别;
DHCP服务器根据获取到的IP地址级别,为所述客户端分配对应网络的IP地址,具体为:若DHCP服务器获取到的IP地址级别与非受限网络对应,则为所述客户端分配非受限网络的IP地址;若DHCP服务器获取到的IP地址级别与受限网络对应,则为所述客户端分配受限网络的IP地址。
9、一种DHCP服务器,其特征在于,包括:
接收模块,用于接收客户端发送的获取IP地址的请求;
获取模块,用于根据接收到的获取IP地址的请求,从认证服务器获取所述客户端对应的IP地址级别;
分配模块,用于根据获取到的IP地址级别,为所述客户端分配对应网络的IP地址;
发送模块,用于将分配的IP地址发送给所述客户端。
10、如权利要求9所述的服务器,其特征在于,所述分配模块分配IP地址时,若所述获取模块获取到的IP地址级别与非受限网络对应,则为所述客户端分配非受限网络的IP地址;若所述获取模块获取到的IP地址级别与受限网络对应,则为所述客户端分配受限网络的IP地址。
11、一种认证服务器,其特征在于,包括:
第一接收模块,用于接收DHCP服务器发送的获取客户端所对应的IP地址级别的请求;
确定模块,用于根据所述客户端的安全级别,确定出所述客户端对应的IP地址级别;
发送模块,用于将确定出的IP地址级别发送给DHCP服务器。
12、如权利要求11所述的服务器,其特征在于,所述确定模块在确定IP地址级别时,根据其最近一次记录的所述客户端的安全级别,确定所述客户端对应的IP地址级别。
13、如权利要求12所述的服务器,其特征在于,所述确定模块确定IP地址级别时,若最近一次记录的所述客户端的安全级别表示所述客户端安全,则确定出与非受限网络对应的IP地址级别;若认最近一次记录的所述客户端的安全级别表示所述客户端不安全,则确定出与受限网络对应的IP地址级别。
14、如权利要求12所述的服务器,其特征在于,还包括:
第二接收模块,用于接收安全策略服务器对所述客户端进行安全检查后根据检查结果发送的所述客户端的安全级别,或者接收安全策略服务器根据所述客户端的安全修复操作结果发送的所述客户端的安全级别。
15、一种安全策略服务器,其特征在于,包括:
第一接收模块,用于接收客户端发送的安全检查请求;
获取模块,用于根据接收到的安全检查请求,获取所述客户端对应的安全检查项;
第一发送模块,用于将所述客户端对应的安全检查项发送给所述客户端;
第二接收模块,用于接收所述客户端根据所述安全检查项收集并发送的其收集的客户端信息;
确定模块,用于根据所述客户端信息和所述客户端对应的安全检查策略,确定所述客户端的安全级别;
第二发送模块,用于将包含有所述客户端的安全级别的安全检查结果发送所述客户端;
第三发送模块,用于将包含有所述客户端的安全级别的安全检查结果发送给认证服务器。
16、一种用户安全接入控制系统,其特征在于,包括如权利要求9-10所述的DHCP服务器、如权利要求11-14所述的认证服务器和如权利要求15所述的安全策略服务器;
DHCP服务器,用于接收所述客户端发送的获取IP地址的请求;根据所述请求,从认证服务器获取所述客户端对应的IP地址级别;以及,根据获取到的IP地址级别,为所述客户端分配对应网络的IP地址,并将分配的IP地址发送给所述客户端;
认证服务器,用于根据所述客户端的安全级别确定所述客户端对应的IP地址级别并发送给所述DHCP服务器;以及,接收所述安全策略服务器发送的所述客户端的安全级别;
安全策略服务器,用于在对所述客户端进行安全检查后根据检查结果确定所述客户端的安全级别,或者,在所述客户端进行安全修复操作后根据操作结果确定所述客户端的安全级别,并将确定出的安全级别发送给认证服务器。
17、如权利要求16所述的用户安全接入控制系统,其特征在于,还包括:信息配置管理服务器;
所述安全策略服务器进一步用于,根据所述客户端发送的安全检查请求和数据库中保存的所述客户端的安全检查策略信息,获取对应的安全检查项并发送给所述客户端;接收所述客户端根据所述安全检查项收集并发送的客户端信息;以及,根据接收到的客户端信息确定所述客户端的安全级别;
所述信息配置管理服务器,用于对所述客户端安全检查策略进行配置,并将配置的安全检查策略信息保存到数据库中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910159188A CN101621523A (zh) | 2009-07-22 | 2009-07-22 | 一种用户安全接入控制方法及其装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910159188A CN101621523A (zh) | 2009-07-22 | 2009-07-22 | 一种用户安全接入控制方法及其装置和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101621523A true CN101621523A (zh) | 2010-01-06 |
Family
ID=41514564
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910159188A Pending CN101621523A (zh) | 2009-07-22 | 2009-07-22 | 一种用户安全接入控制方法及其装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101621523A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685147A (zh) * | 2012-08-31 | 2014-03-26 | 中国联合网络通信集团有限公司 | 网络接入安全处理方法、设备及系统 |
| WO2014114998A1 (en) * | 2013-01-24 | 2014-07-31 | International Business Machines Corporation | User authentication |
| CN104217138A (zh) * | 2013-05-29 | 2014-12-17 | 宁夏新航信息科技有限公司 | 一种计算机软件保护措施 |
| CN104426860A (zh) * | 2013-08-26 | 2015-03-18 | 深圳市腾讯计算机系统有限公司 | 安全策略配置方法、装置和服务器 |
| CN105991626A (zh) * | 2015-03-06 | 2016-10-05 | 小米科技有限责任公司 | 网络访问的方法及装置 |
| CN106209750A (zh) * | 2015-05-08 | 2016-12-07 | 深圳市腾讯计算机系统有限公司 | 一种网络分配方法、服务器、网络接入设备及系统 |
| CN107343058A (zh) * | 2017-07-06 | 2017-11-10 | 北京网瑞达科技有限公司 | 一种ip地址分配的系统及其工作方法 |
| CN110933199A (zh) * | 2019-11-28 | 2020-03-27 | 杭州迪普科技股份有限公司 | 一种地址分配方法及装置 |
| CN112672348A (zh) * | 2019-09-27 | 2021-04-16 | 华为技术有限公司 | 安全控制方法、装置、设备、系统及存储介质 |
| CN114915612A (zh) * | 2022-04-22 | 2022-08-16 | 绿盟科技集团股份有限公司 | 主机接入方法、待接入主机及dhcp服务器 |
-
2009
- 2009-07-22 CN CN200910159188A patent/CN101621523A/zh active Pending
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685147A (zh) * | 2012-08-31 | 2014-03-26 | 中国联合网络通信集团有限公司 | 网络接入安全处理方法、设备及系统 |
| WO2014114998A1 (en) * | 2013-01-24 | 2014-07-31 | International Business Machines Corporation | User authentication |
| CN104937909A (zh) * | 2013-01-24 | 2015-09-23 | 国际商业机器公司 | 用户身份验证 |
| GB2525361A (en) * | 2013-01-24 | 2015-10-21 | Ibm | User authentication |
| GB2525361B (en) * | 2013-01-24 | 2016-04-13 | Ibm | User authentication |
| CN104217138A (zh) * | 2013-05-29 | 2014-12-17 | 宁夏新航信息科技有限公司 | 一种计算机软件保护措施 |
| CN104426860A (zh) * | 2013-08-26 | 2015-03-18 | 深圳市腾讯计算机系统有限公司 | 安全策略配置方法、装置和服务器 |
| CN105991626A (zh) * | 2015-03-06 | 2016-10-05 | 小米科技有限责任公司 | 网络访问的方法及装置 |
| CN106209750A (zh) * | 2015-05-08 | 2016-12-07 | 深圳市腾讯计算机系统有限公司 | 一种网络分配方法、服务器、网络接入设备及系统 |
| CN106209750B (zh) * | 2015-05-08 | 2019-11-19 | 深圳市腾讯计算机系统有限公司 | 一种网络分配方法、服务器、网络接入设备及系统 |
| CN107343058A (zh) * | 2017-07-06 | 2017-11-10 | 北京网瑞达科技有限公司 | 一种ip地址分配的系统及其工作方法 |
| CN112672348A (zh) * | 2019-09-27 | 2021-04-16 | 华为技术有限公司 | 安全控制方法、装置、设备、系统及存储介质 |
| CN110933199A (zh) * | 2019-11-28 | 2020-03-27 | 杭州迪普科技股份有限公司 | 一种地址分配方法及装置 |
| CN110933199B (zh) * | 2019-11-28 | 2022-08-26 | 杭州迪普科技股份有限公司 | 一种地址分配方法及装置 |
| CN114915612A (zh) * | 2022-04-22 | 2022-08-16 | 绿盟科技集团股份有限公司 | 主机接入方法、待接入主机及dhcp服务器 |
| CN114915612B (zh) * | 2022-04-22 | 2024-03-15 | 绿盟科技集团股份有限公司 | 主机接入方法、待接入主机及dhcp服务器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101621523A (zh) | 一种用户安全接入控制方法及其装置和系统 | |
| CN101340444B (zh) | 防火墙和服务器策略同步方法、系统和设备 | |
| JP5354556B2 (ja) | 受動光ネットワークにおける認証のための方法と装置およびその受動光ネットワーク | |
| US11096051B2 (en) | Connection establishment method, device, and system | |
| CN101616137B (zh) | 主机安全接入方法、隔离方法及安全接入和隔离的系统 | |
| CN101540755B (zh) | 一种修复数据的方法、系统和装置 | |
| CN101621380B (zh) | 一种终端安全状态评估方法、网络设备及系统 | |
| CN106060072B (zh) | 认证方法以及装置 | |
| CN102740296A (zh) | 一种移动终端可信网络接入方法和系统 | |
| CN105392137A (zh) | 家庭wifi防盗用的方法、无线路由器及终端设备 | |
| CN101562558A (zh) | 一种终端等级划分的方法、系统和设备 | |
| CN110557318A (zh) | 一种实现iot设备安全远程操作的方法 | |
| CN101521885B (zh) | 一种权限控制方法、系统及设备 | |
| CN107104958A (zh) | 管理私有云设备的方法、私有云和公有云设备及存储装置 | |
| CN105337967A (zh) | 实现用户登录目标服务器的方法、系统和中心服务器 | |
| CN105357224B (zh) | 一种智能家居网关注册、移除方法及系统 | |
| CN113852483B (zh) | 网络切片连接管理方法、终端及计算机可读存储介质 | |
| WO2015169003A1 (zh) | 一种账户分配方法和装置 | |
| CN105812843A (zh) | 一种智能电视升级的方法及系统 | |
| CN104283678A (zh) | 一种应用鉴权方法及设备 | |
| US8996656B2 (en) | File transfer method in converged IP messaging system | |
| CN112989314B (zh) | 数据认证的方法、装置和终端 | |
| CN103685147A (zh) | 网络接入安全处理方法、设备及系统 | |
| CN115776507B (zh) | 一种基于会话链路的信息分发方法、装置、设备及介质 | |
| CN116016509B (zh) | 私有云数据处理方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100106 |