CN103812859A - 网络准入方法、终端准入方法、网络准入装置和终端 - Google Patents

网络准入方法、终端准入方法、网络准入装置和终端 Download PDF

Info

Publication number
CN103812859A
CN103812859A CN201310741881.8A CN201310741881A CN103812859A CN 103812859 A CN103812859 A CN 103812859A CN 201310741881 A CN201310741881 A CN 201310741881A CN 103812859 A CN103812859 A CN 103812859A
Authority
CN
China
Prior art keywords
terminal
network
option field
access
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201310741881.8A
Other languages
English (en)
Other versions
CN103812859B (zh
Inventor
杨光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN201310741881.8A priority Critical patent/CN103812859B/zh
Publication of CN103812859A publication Critical patent/CN103812859A/zh
Application granted granted Critical
Publication of CN103812859B publication Critical patent/CN103812859B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明提供了一种网络准入方法、终端准入方法、网络准入装置和终端,该网络准入方法包括:接收终端的网络访问请求;获取所述网络访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,如果所述可选项字段为空,则拒绝所述网络访问请求;如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,如果合法,则允许该终端访问网络,如果不合法,则拒绝所述网络访问请求。该网络准入方法、终端准入方法、网络准入装置和终端,部署简单,网络兼容性好,且能够有效控制终端的准入。

Description

网络准入方法、终端准入方法、网络准入装置和终端
技术领域
本发明涉及网络安全技术领域,更具体地,涉及一种网络准入方法、终端准入方法、网络准入装置和终端。
背景技术
网络准入控制能够在用户进行网络访问之前确保用户的身份是信任关系,只有可信赖的计算机才能接入网络,从而防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。通过准入控制,客户可以只允许合法的、值得信任的终端设备接入网络,而不允许其它设备接入。
目前常见的网络准入控制有802.1x准入控制和网关型准入控制。
802.1x准入控制的设计强调对交换机端口的控制,要求在用户使用终端接入前,通过交换机命令将终端隔离在隔离VLAN中(在隔离VLAN中的终端只允许访问某些指定的网络资源),只有在进行完身份认证后,才将终端改放在应属的VLAN中(在应属的VLAN中的终端可以正常访问网络资源)。802.1x准入控制有以下缺陷:
1.部署操作复杂
部署802.1x准入控制时,必须配置AAA服务器、Radius服务器、交换机,特别是交换机配置相当复杂,不同品牌、型号的交换机的配置命令多少都有差异。
2.网络兼容性差
部署802.1x准入控制的前提是交换机必须支持802.1x协议,而实际用户环境使用普通交换机或HUB情况很多,此时无法使用802.1x准入控制进行准确地控制。
网关型准入控制的设计注重于在网关位置限制非授信终端主机跨网访问。网关型准入控制具有以下缺陷:
1.没有终端准入控制能力
网关型准入控制不是严格意义上的准入控制,没有对终端接入网络进行控制,而只是对终端出外网进行了控制,即非授信终端在内部网络是不受限制的。
发明内容
针对现有技术中存在的上述问题,本发明提供了网络准入方法、终端准入方法、网络准入装置和终端,用于克服网络准入控制部署复杂、网络兼容性差和控制能力差的缺陷。
根据本发明的一个方面,提供了一种网络准入方法,其中,包括以下步骤:
a1)接收终端的网络访问请求;
b1)获取所述网络访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,
如果所述可选项字段为空,则拒绝所述网络访问请求;
如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,如果合法,则允许该终端访问网络,如果不合法,则拒绝所述网络访问请求。
根据本发明的另一个方面,还提供了一种终端准入方法,其中,包括以下步骤:
a2)接收终端的终端访问请求;
b2)获取所述终端访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,
如果所述可选项字段为空,则拒绝所述终端访问请求;
如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,
如果合法,则允许所述终端访问,
如果不合法,则将所述可选项字段中的ID号和IP地址发送到终端准入装置,并接收所述终端准入装置的验证信息,
当所述终端准入装置的验证信息表示所述ID号和IP地址不合法时,则拒绝所述终端访问请求;
当所述终端准入装置的验证信息表示所述ID号和IP地址合法时,则允许所述终端访问。
根据本发明的另一个方面,还提供了一种网络准入装置,其中,该网络准入装置包括:
网络访问请求接收模块,用于接收终端的网络访问请求;
验证模块,用于获取所述网络访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,如果所述可选项字段为空,则拒绝所述网络访问请求;如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,如果合法,则允许该终端访问网络,如果不合法,则拒绝所述网络访问请求。
根据本发明的另一个方面,还提供了一种终端,其中,该终端包括:终端访问请求接收模块,用于接收另一个终端的终端访问请求;
验证模块,用于获取所述终端访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,如果所述可选项字段为空,则拒绝所述终端访问请求;如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,如果合法,则允许所述另一个终端访问,如果不合法,则将所述可选项字段中的ID号和IP地址发送到终端准入装置,并接收所述终端准入装置的验证信息,当所述终端准入装置的验证信息表示所述ID号和IP地址不合法时,则拒绝所述终端访问请求;当所述终端准入装置的验证信息表示所述ID号和IP地址合法时,则允许所述另一个终端访问。
利用本发明提供的网络准入方法、终端准入方法、网络准入装置和终端,部署简单,网络兼容性好,且能够有效控制终端的准入。
附图说明
图1是根据本发明的网络准入方法的流程图;
图2是根据本发明安装有客户端的终端通过网络准入装置访问网络的示意图;
图3是根据本发明的终端准入方法的流程图;
图4是根据本发明的未安装客户端的终端访问安装有客户端的终端的示意图;
图5是根据本发明的安装有客户端的一个终端访问安装有客户端的另一个终端的示意图。
具体实施方式
下面结合附图,详细描述本发明的具体实施方式。
图1是根据本发明的网络准入方法的流程图。图2是根据本发明安装有客户端的终端通过网络准入装置访问网络的示意图。
参考图1和图2,本发明提供了一种终端准入方法,其中,包括以下步骤:
a1)接收终端的网络访问请求;
b1)获取所述网络访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,如果所述可选项字段为空,则拒绝所述网络访问请求;如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,如果合法,则允许该终端访问网络,如果不合法,则拒绝所述网络访问请求。
其中,终端向网络准入装置发送网络访问请求,只有在网络准入装置检测到网络访问请求的IP数据包头部的可选项字段不为空,且验证所述可选项字段中的ID号和IP地址为合法时,才允许该终端访问网络,否则,网络准入装置将拒绝该终端的网络访问请求。
一般的,为了使用根据本发明的终端准入方法,终端需要先安装客户端。终端可以先向网络准入装置请求下载客户端,网络准入装置允许终端下载客户端后,就可以安装该客户端程序。客户端安装成功后,就可以在终端启动登录窗口,在登录窗口中输入账号和密码,并将包括该账号和密码的登录请求连同该终端的IP地址一起发送给网络准入装置。终端准入装置接收到所述终端的登陆请求和IP地址后,验证所述账号、密码和IP地址是否合法,如果合法,则生成与该终端对应的ID号,并将该ID号发送到所述终端。所述终端接收到代表自己身份的ID号后,就将该ID号最为特定数据包标签,填入随后所有从安装有该客户端的终端发出的每个IP数据包头部的可选项字段中。
因而,本发明的终端准入方法在所述步骤a1)之前,还可以包括以下步骤:
a11)接收所述终端的登陆请求和IP地址,所述登陆请求包括账号和密码;
a12)验证所述账号、密码和IP地址是否合法,如果合法,则生成与该终端对应的ID号,并将该ID号发送到所述终端。
根据一种实施方式,所述网络准入装置可以随机生成与该终端对应的ID号。
根据另一种,所述网络准入装置通过以下步骤生成与该终端对应的ID号:
为所述终端生成编号N,对于不同的终端生成不同的编号,优选的,该编号可以从1开始逐个递增;
为所述终端生成个位尾数W,所述个位尾数W为0到9之间的任意整数,该尾数W从0开始,每次都逐步递增1,直到9后再返回0,以此方式一直循环,即为指定终端第一次生成ID时该尾数W=0,下次再为该终端生成ID时该尾数W=1,以此类推。
生成随机数R,所述随机数的取值范围为:1~(2z-1-N*10-W)/10(L+1),其中,所述z为所述ID号的字节长度(例如,可以为32或16),所述L为编号N的位数(例如,在编号N为11时,该编号N的位数L为2);
根据以下公式计算得到ID号:ID号=R*(L+1)+L*10+W。
可以理解,上述生成ID号的方式仅是示例性的,本领域的技术人员也可以采用其他方式生成ID号。
为了能够更好地保证网络访问的安全性,优选的,所述步骤b1)还可以包括,在允许所述终端访问网络的情况下,记录所述终端对所述网络的访问时间,当所述访问时间大于预定阈值时,再次生成与该终端对应的ID号,并将该ID号发送到所述终端。在这种情况下,可以定时地更换ID号。当终端启动登录窗口时,在登录窗口中输入账号和密码,并将包括该账号和密码的登录请求连同该终端的IP地址一起发送给网络准入装置。终端准入装置验证所述账号、密码和IP地址是否合法后,向所述终端发送代表该终端身份的ID号。所述终端接收到ID号后,就将该ID号最为特定数据包标签,填入随后所有从安装有该客户端的终端发出的每个IP数据包头部的可选项字段中,然后通过网络准入装置访问网络。当所述终端访问网络的时间大于预定阈值(例如1个小时)时,网络准入装置就重新生成与该终端对应的ID号,并将该新的ID号发送到所述终端。所述终端接收到新的ID号后,就将该新的ID号填入随后发送的每个IP数据包头部的可选项字段中。网络准入装置就根据新的ID号来对所述终端进行验证。
进一步优选的,在将该ID号发送到所述终端后,还可以等待所述终端的确认消息,在接收到所述终端的确认消息之后,存储所述ID号,并将ID号启动信息发送所述终端。在这种情况下,当终端从网络准入装置接收到ID号时,先停止后续的数据包发送工作,将该ID号最为特定数据包标签,填入随后所有从安装有该客户端的终端发出的每个IP数据包头部的可选项字段中,并向终端准入装置回复确认消息。终端准入装置接收到确认消息之后,存储所述ID号,并将ID号启动信息发送所述终端,终端接收到ID号启用信息之后,恢复数据包发送工作,并在后续发送的数据包中都填入ID号。
进一步优选的,在所述步骤b1)中,在所述可选项字段中的ID号和IP地址验证为合法时,通过将所述终端的网络资源请求转发到网络,以及将网络数据从所述网络转发到所述终端,来允许该终端访问网络。
相应的,本发明还提供了一种终端准入装置,其中,该终端准入装置包括:网络访问请求接收模块,用于接收终端的网络访问请求;验证模块,用于获取所述网络访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,如果所述可选项字段为空,则拒绝所述网络访问请求;如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,如果合法,则允许该终端访问网络,如果不合法,则拒绝所述网络访问请求。
优选的,该终端准入装置还可以包括:登陆信息接收模块,用于接收所述终端的登陆请求和IP地址,所述登陆请求包括账号和密码;ID号生成模块,用于验证所述账号、密码和IP地址是否合法,如果合法,则生成与所述终端对应的ID号,并将所述ID号发送到所述终端。
根据一种实施方式,所述ID号生成模块随机生成与该终端对应的ID号。
根据另一种实施方式,所述ID号生成模块通过以下步骤生成与该终端对应的ID号:
为所述终端生成编号N,对于不同的终端生成不同的编号;
为所述终端生成个位尾数W,所述个位尾数W为0到9之间的任意整数;
生成随机数R,所述随机数的取值范围为:1~(2z-1-N*10-W)/10(L+1),其中,所述z为所述ID号的字节长度,所述L为编号N的位数;
根据以下公式计算ID号:ID号=R*(L+1)+L*10+W。
优选的,该终端准入装置还可以包括:计时模块,用于在允许所述终端访问网络的情况下,记录所述终端对所述网络的访问时间,当所述访问时间大于预定阈值时,向所述ID号生成模块发送超时信息;所述ID号生成模块还用于在接收到所述超时信息时,生成与所述终端对应的ID号,并将所述ID号发送到所述终端。
优选的,所述验证模块还用于在所述ID号生成模块将所述ID号发送到所述终端后,等待所述终端的确认消息,在接收到所述终端的确认消息之后,存储所述ID号,并将ID号启动信息发送所述终端。
优选的,该终端准入装置还可以包括转发模块,用于在所述验证模块验证所述可选项字段中的ID号和IP地址为合法时,将所述终端的网络资源请求转发到网络,以及将网络数据从所述网络转发到所述终端。
为了防范网络监听的风险,终端与终端准入装置之间通信还可以采用加密传输。
根据本发明的终端准入装置串联部署在网络关口处,例如可以部署在交换机或防火墙之间,或者防火墙与终端主机之间等,只要能够部署在终端主机与网络之间必经的链路上即可。当终端请求通过终端准入装置访问网络时,该终端准入装置验证终端的网络请求的的IP数据包头部的可选项字段是否为空,如果为空则拒绝网络访问请求,如果不为空,则进一步验证该可选项字段中的ID号和IP地址是否合法,在合法的情况下,才允许终端访问网络。从而有效实现了终端对网络访问的安全控制,且网络兼容性好,不需要特定型号、特定品牌的交换机,也不需要交换机支持特定的网络协议,只需要终端主机下载安装客户端即可,实施简单,成本低。
安装有客户端的终端除了可以主动访问网络,还可以访问其他终端以及被其他终端访问。
本发明还提供了一种终端准入方法,用于限制一个终端访问另一个终端的访问权限,从而保证终端之间互相进行访问的安全性。
图3是根据本发明的终端准入方法的流程图。
参考图3-5,根据本发明的终端准入方法包括以下步骤:
a2)接收终端的终端访问请求;
b2)获取所述终端访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,
如果所述可选项字段为空,则拒绝所述终端访问请求;
如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,
如果合法,则允许所述终端访问,
如果不合法,则将所述可选项字段中的ID号和IP地址发送到终端准入装置,并接收所述终端准入装置的验证信息,
当所述终端准入装置的验证信息表示所述ID号和IP地址不合法时,则拒绝所述终端访问请求;
当所述终端准入装置的验证信息表示所述ID号和IP地址合法时,则允许所述终端访问。
其中,根据本发明的终端接收到另一个终端的终端访问请求时,检测到该终端访问请求的IP数据包头部的可选项字段是否为空,如果为空则拒绝该终端访问请求,如果不为空,则现在终端本地验证可选项字段中的ID号和IP地址是否为合法,如果合法,则允许另一终端的访问,如果在本地验证不合法,就将ID号和IP地址再发送到终端准入装置,由终端准入装置进行进一步验证。
一般的,使用该终端准入方法的终端需要安装有客户端。图4是根据本发明的未安装客户端的终端访问安装有客户端的终端的示意图。图5是根据本发明的安装有客户端的一个终端访问安装有客户端的另
参考图4,当未安装客户端的终端B访问安装有客户端的终端A时,终端A接收到终端访问请求后,检测到未安装客户端的终端B的访问请求的IP数据包头部的可选项字段为空,由此,拒绝终端B的请求,不允许终端B访问终端A。
参考图5,当安装有客户端的终端B访问安装有客户端的终端A时,终端A接收到终端访问请求后,检测到未安装客户端的终端B的访问请求的IP数据包头部的可选项字段不为空,先在本地验证可选项字段中的ID号和IP地址,将可选项字段中的ID号和IP地址与存储在终端A本地的ID号和IP地址进行比较,判断是否有匹配的ID号和IP地址,如果有,则终端B的访问请求的IP数据包头部的可选项字段中的ID号和IP地址合法,此时,允许终端B访问终端A。如果终端A本地没有匹配的ID号和IP地址,则将所述可选项字段中的ID号和IP地址发送到网络准入装置,由所述网络准入装置进行进一步的验证,当所述网络准入装置验证所述ID号和IP地址合法时,就发送验证信息通知终端A所述ID号和IP地址合法,终端A就允许终端B访问。当所述网络准入装置验证所述ID号和IP地址不合法时,就发送验证信息通知终端A所述ID号和IP地址不合法,终端A就拒绝终端B的终端访问请求,不允许终端B访问终端A。终端A和终端B等终端可以经由交换机与网络准入装置进行数据交换,交换机的使用对于本领域的技术人员来说是公知的,再次不再赘述。
优选的,所述步骤b2)还包括:在允许所述终端访问的情况下,存储所述终端的ID号和IP地址。
如图5所示,如果终端A本地没有匹配的ID号和IP地址,网络准入装置进行进一步验证所述ID号和IP地址合法时,在向终端A返回验证信息通知终端A所述ID号和IP地址合法的同时,还可以向终端A返回终端B的最新ID号,终端A可以存储终端B的新的ID号以及IP地址,以便之后终端B再次访问终端A时,可以在本地对终端B的访问请求进行验证。
相应的,本发明还提供了一种终端,其中,该终端包括:终端访问请求接收模块,用于接收另一个终端的终端访问请求;验证模块,用于获取所述终端访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,如果所述可选项字段为空,则拒绝所述终端访问请求;如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,如果合法,则允许所述另一个终端访问,如果不合法,则将所述可选项字段中的ID号和IP地址发送到终端准入装置,并接收所述终端准入装置的验证信息,当所述终端准入装置的验证信息表示所述ID号和IP地址不合法时,则拒绝所述终端访问请求;当所述终端准入装置的验证信息表示所述ID号和IP地址合法时,则允许所述另一个终端访问。
优选的,该终端还可以包括:存储模块,用于在所述验证模块允许所述另一个终端访问的情况下,存储所述终端的ID号和IP地址。

Claims (18)

1.一种网络准入方法,其中,包括以下步骤:
a1)接收终端的网络访问请求;
b1)获取所述网络访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,
如果所述可选项字段为空,则拒绝所述网络访问请求;
如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,如果合法,则允许该终端访问网络,如果不合法,则拒绝所述网络访问请求。
2.根据权利要求1所述的网络准入方法,其中,在所述步骤a1)之前,还包括以下步骤:
a11)接收所述终端的登陆请求和IP地址,所述登陆请求包括账号和密码;
a12)验证所述账号、密码和IP地址是否合法,如果合法,则生成与该终端对应的ID号,并将该ID号发送到所述终端。
3.根据权利要求2所述的网络准入方法,其中,随机生成与该终端对应的ID号。
4.根据权利要求2所述的网络准入方法,其中,通过以下步骤生成与该终端对应的ID号:
为所述终端生成编号N,对于不同的终端生成不同的编号;
为所述终端生成个位尾数W,所述个位尾数W为0到9之间的任意整数;
生成随机数R,所述随机数的取值范围为:1~(2z-1-N*10-W)/10(L+1),其中,所述z为所述ID号的字节长度,所述L为编号N的位数;
根据以下公式计算ID号:ID号=R*(L+1)+L*10+W。
5.根据权利要求2-4中任一项所述的网络准入方法,其中,
所述步骤b1)还包括,在允许所述终端访问网络的情况下,记录所述终端对所述网络的访问时间,当所述访问时间大于预定阈值时,再次生成与该终端对应的ID号,并将该ID号发送到所述终端。
6.根据权利要求2所述的网络准入方法,其中,在将该ID号发送到所述终端后,还包括以下步骤:
等待所述终端的确认消息,在接收到所述终端的确认消息之后,存储所述ID号,并将ID号启动信息发送所述终端。
7.根据权利要求1所述的网络准入方法,其中,在所述步骤b1)中,在所述可选项字段中的ID号和IP地址验证为合法时,通过将所述终端的网络资源请求转发到网络,以及将网络数据从所述网络转发到所述终端,来允许该终端访问网络。
8.一种终端准入方法,其中,包括以下步骤:
a2)接收终端的终端访问请求;
b2)获取所述终端访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,
如果所述可选项字段为空,则拒绝所述终端访问请求;
如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,
如果合法,则允许所述终端访问,
如果不合法,则将所述可选项字段中的ID号和IP地址发送到网络准入装置,并接收所述网络准入装置的验证信息,
当所述网络准入装置的验证信息表示所述ID号和IP地址不合法时,则拒绝所述终端访问请求;
当所述网络准入装置的验证信息表示所述ID号和IP地址合法时,则允许所述终端访问。
9.根据权利要求8所述的终端准入方法,其中,
所述步骤b2)还包括:在允许所述终端访问的情况下,存储所述终端的ID号和IP地址。
10.一种网络准入装置,其中,该终端准入装置包括:
网络访问请求接收模块,用于接收终端的网络访问请求;
验证模块,用于获取所述网络访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,
如果所述可选项字段为空,则拒绝所述网络访问请求;
如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,如果合法,则允许该终端访问网络,如果不合法,则拒绝所述网络访问请求。
11.根据权利要求1所述的网络准入装置,其中,该终端准入装置还包括:
登陆信息接收模块,用于接收所述终端的登陆请求和IP地址,所述登陆请求包括账号和密码;
ID号生成模块,用于验证所述账号、密码和IP地址是否合法,如果合法,则生成与所述终端对应的ID号,并将所述ID号发送到所述终端。
12.根据权利要求11所述的网络准入装置,其中,所述ID号生成模块随机生成与该终端对应的ID号。
13.根据权利要求11所述的网络准入装置,其中,所述ID号生成模块通过以下步骤生成与该终端对应的ID号:
为所述终端生成编号N,对于不同的终端生成不同的编号;
为所述终端生成个位尾数W,所述个位尾数W为0到9之间的任意整数;
生成随机数R,所述随机数的取值范围为:1~(2z-1-N*10-W)/10(L+1),其中,所述z为所述ID号的字节长度,所述L为编号N的位数;
根据以下公式计算ID号:ID号=R*(L+1)+L*10+W。
14.根据权利要求11-13中任一项所述的网络准入装置,其中,该终端准入装置还包括计时模块,用于在允许所述终端访问网络的情况下,记录所述终端对所述网络的访问时间,当所述访问时间大于预定阈值时,向所述ID号生成模块发送超时信息;
所述ID号生成模块还用于在接收到所述超时信息时,生成与所述终端对应的ID号,并将所述ID号发送到所述终端。
15.根据权利要求11所述的网络准入装置,其中,所述验证模块还用于在所述ID号生成模块将所述ID号发送到所述终端后,等待所述终端的确认消息,在接收到所述终端的确认消息之后,存储所述ID号,并将ID号启动信息发送所述终端。
16.根据权利要求10所述的网络准入装置,其中,该终端准入装置还包括:
转发模块,用于在所述验证模块验证所述可选项字段中的ID号和IP地址为合法时,将所述终端的网络资源请求转发到网络,以及将网络数据从所述网络转发到所述终端。
17.一种终端,其中,该终端包括:
终端访问请求接收模块,用于接收另一个终端的终端访问请求;
验证模块,用于获取所述终端访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,
如果所述可选项字段为空,则拒绝所述终端访问请求;
如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,
如果合法,则允许所述另一个终端访问,
如果不合法,则将所述可选项字段中的ID号和IP地址发送到终端准入装置,并接收所述终端准入装置的验证信息,
当所述终端准入装置的验证信息表示所述ID号和IP地址不合法时,则拒绝所述终端访问请求;
当所述终端准入装置的验证信息表示所述ID号和IP地址合法时,则允许所述另一个终端访问。
18.根据权利要求17所述的终端,其中,该终端还包括:
存储模块,用于在所述验证模块允许所述另一个终端访问的情况下,存储所述终端的ID号和IP地址。
CN201310741881.8A 2013-12-27 2013-12-27 网络准入方法、终端准入方法、网络准入装置和终端 Active CN103812859B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310741881.8A CN103812859B (zh) 2013-12-27 2013-12-27 网络准入方法、终端准入方法、网络准入装置和终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310741881.8A CN103812859B (zh) 2013-12-27 2013-12-27 网络准入方法、终端准入方法、网络准入装置和终端

Publications (2)

Publication Number Publication Date
CN103812859A true CN103812859A (zh) 2014-05-21
CN103812859B CN103812859B (zh) 2017-05-03

Family

ID=50709060

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310741881.8A Active CN103812859B (zh) 2013-12-27 2013-12-27 网络准入方法、终端准入方法、网络准入装置和终端

Country Status (1)

Country Link
CN (1) CN103812859B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108600214A (zh) * 2018-04-19 2018-09-28 深圳市联软科技股份有限公司 一种基于nat的网络准入方法和系统
CN110768972A (zh) * 2019-10-17 2020-02-07 中国联合网络通信集团有限公司 一种安全验证方法和路由器
CN112735116A (zh) * 2020-12-17 2021-04-30 苏州牧星智能科技有限公司 基于红外通信的agv调度系统及调度方法
CN114329602A (zh) * 2021-12-30 2022-04-12 奇安信科技集团股份有限公司 一种访问控制方法、服务器、电子设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101163000A (zh) * 2006-10-13 2008-04-16 中兴通讯股份有限公司 一种二次认证方法及系统
CN101977189A (zh) * 2010-10-22 2011-02-16 青海师范大学 Mpls网络的可信认证及安全接入控制方法
CN102571892A (zh) * 2010-12-30 2012-07-11 腾讯科技(深圳)有限公司 基于浏览器的数据通讯方法、客户端和数据交互系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101163000A (zh) * 2006-10-13 2008-04-16 中兴通讯股份有限公司 一种二次认证方法及系统
CN101977189A (zh) * 2010-10-22 2011-02-16 青海师范大学 Mpls网络的可信认证及安全接入控制方法
CN102571892A (zh) * 2010-12-30 2012-07-11 腾讯科技(深圳)有限公司 基于浏览器的数据通讯方法、客户端和数据交互系统

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108600214A (zh) * 2018-04-19 2018-09-28 深圳市联软科技股份有限公司 一种基于nat的网络准入方法和系统
CN110768972A (zh) * 2019-10-17 2020-02-07 中国联合网络通信集团有限公司 一种安全验证方法和路由器
CN110768972B (zh) * 2019-10-17 2022-02-18 中国联合网络通信集团有限公司 一种安全验证方法和路由器
CN112735116A (zh) * 2020-12-17 2021-04-30 苏州牧星智能科技有限公司 基于红外通信的agv调度系统及调度方法
CN114329602A (zh) * 2021-12-30 2022-04-12 奇安信科技集团股份有限公司 一种访问控制方法、服务器、电子设备及存储介质
CN114329602B (zh) * 2021-12-30 2024-06-25 奇安信科技集团股份有限公司 一种访问控制方法、服务器、电子设备及存储介质

Also Published As

Publication number Publication date
CN103812859B (zh) 2017-05-03

Similar Documents

Publication Publication Date Title
JP5747981B2 (ja) 仮想機械を用いた電子ネットワークにおける複数のクライアントの遠隔保守のためのシステム及び方法
CN102047262B (zh) 用于分布式安全内容管理系统的认证
CN101061454B (zh) 用于管理网络的系统和方法
CN108881308B (zh) 一种用户终端及其认证方法、系统、介质
KR102460694B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
JP6079394B2 (ja) 証明書生成方法、証明書生成装置、情報処理装置、通信機器、及びプログラム
CN104580553B (zh) 网络地址转换设备的识别方法和装置
CN102271133B (zh) 认证方法、装置和系统
CN110572395B (zh) 一种身份验证方法和系统
CN106060072B (zh) 认证方法以及装置
CN113341798A (zh) 远程访问应用的方法、系统、装置、设备及存储介质
CN109104475B (zh) 连接恢复方法、装置及系统
CN102271136A (zh) Nat网络环境下的访问控制方法和设备
CN101902482A (zh) 基于IPv6自动配置实现终端安全准入控制的方法和系统
CN104662871A (zh) 安全地访问网络服务的方法和设备
CN103166960A (zh) 接入控制方法及装置
CN103812859A (zh) 网络准入方法、终端准入方法、网络准入装置和终端
CN105791235A (zh) 一种配置信息下载方法和设备
CN102045310B (zh) 一种工业互联网入侵检测和防御方法及其装置
CN116155649A (zh) 基于二层隧道协议的工业互联网络的构建方法
CN100438446C (zh) 接入控制设备、接入控制系统和接入控制方法
CN107835099B (zh) 一种信息同步方法及装置
CN102624724A (zh) 安全网关及利用网关安全登录服务器的方法
KR102102256B1 (ko) 공유기 관리 장치, 그리고 서버를 포함하는 공유기 관리 시스템 및 이를 이용한 관리 방법
CN105610667B (zh) 建立虚拟专用网通道的方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C53 Correction of patent of invention or patent application
CB02 Change of applicant information

Address after: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant after: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant after: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant after: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Address before: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant before: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant before: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant before: Beijing heaven melts letter Science Technologies Co., Ltd.

C53 Correction of patent of invention or patent application
CB02 Change of applicant information

Address after: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant after: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant after: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant after: Beijing heaven melts letter Science Technologies Co., Ltd.

Address before: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant before: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant before: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant before: BEIJING TOPSEC TECHNOLOGY CO., LTD.

CB02 Change of applicant information

Address after: 100085, room 306, north 3, building seven, 3 East Road, Haidian District, Beijing

Applicant after: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant after: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant after: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Address before: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant before: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant before: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant before: Beijing heaven melts letter Science Technologies Co., Ltd.

COR Change of bibliographic data
CB02 Change of applicant information

Address after: 100085 Beijing East Road, No. 1, building No. 306, building on the north side of the floor, room 3, room 3

Applicant after: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant after: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant after: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Address before: 100085, room 306, north 3, building seven, 3 East Road, Haidian District, Beijing

Applicant before: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant before: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant before: BEIJING TOPSEC TECHNOLOGY CO., LTD.

COR Change of bibliographic data
CB02 Change of applicant information

Address after: 100085 Beijing East Road, No. 1, building No. 306, building on the north side of the floor, room 3, room 3

Applicant after: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant after: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant after: Beijing heaven melts letter Science Technologies Co., Ltd.

Address before: 100085 Beijing East Road, No. 1, building No. 306, building on the north side of the floor, room 3, room 3

Applicant before: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant before: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant before: BEIJING TOPSEC TECHNOLOGY CO., LTD.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant