CN104468490A - 一种网络接入准入的控制方法 - Google Patents

一种网络接入准入的控制方法 Download PDF

Info

Publication number
CN104468490A
CN104468490A CN201310440364.7A CN201310440364A CN104468490A CN 104468490 A CN104468490 A CN 104468490A CN 201310440364 A CN201310440364 A CN 201310440364A CN 104468490 A CN104468490 A CN 104468490A
Authority
CN
China
Prior art keywords
computer
access
client
network
security gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201310440364.7A
Other languages
English (en)
Inventor
耿振民
刘海刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
WUXI CINSEC INFORMATION TECHNOLOGY Co Ltd
Original Assignee
WUXI CINSEC INFORMATION TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by WUXI CINSEC INFORMATION TECHNOLOGY Co Ltd filed Critical WUXI CINSEC INFORMATION TECHNOLOGY Co Ltd
Priority to CN201310440364.7A priority Critical patent/CN104468490A/zh
Publication of CN104468490A publication Critical patent/CN104468490A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种网络接入准入的控制方法,其特征在于,通过设置安全网关对于公司内部电脑进行信息预置,同时对于外来电脑进行严格的信息认证,对于通过初步认证的用户再进行二次认证。本发明提供的一种网络接入准入的控制方法,实现一种网络安全接入的方法,防止外来电脑接入局域网,未经许直接使用公网,或者未经许可拷贝公司资源;也可以防止公司的电脑直接访问不可信的电脑,防止公司电脑中毒。

Description

一种网络接入准入的控制方法
技术领域
本发明涉及一种网络接入准入的控制方法。
背景技术
目前许多公司的局域网存在如下安全隐患:当外来人员携带笔记本电脑,进入公司,在未经许可的情况下,通过有线或者无线的方式接入公司的局域网,导致公司内部资源存在被非法拷贝的风险。
因此,现有技术有待于改进。
发明内容
本发明为了解决现有技术的不足,提供一种网络接入准入的控制方法,实现一种网络安全接入的方法,防止外来电脑接入局域网,未经许直接使用公网,或者未经许可拷贝公司资源;也可以防止公司的电脑直接访问不可信的电脑,防止公司电脑中毒。
为解决上述技术问题,本发明实施例提供的一种网络接入准入的控制方法,采用如下技术方案:
一种网络接入准入的控制方法,其特征在于,包括如下步骤:
S1:登录安全网关的WEB管理系统,为公司内部每台电脑注册详细信息,并为每台电脑分配一个USB KEY,并在USB KEY中生成一对ECC签名密钥对,签名公钥保存到安全网关中;
S2:在公司内部电脑上安装好准入控制客户端,当用户插入USB KEY时,客户端程序检测到KEY插入后,向安全网关发送接入请求;
S3:安全网关接收到请求后,向客户端发送一串随机数,客户端调用USB KEY对随机数进行签名,把签名值发送到安全网关;
S4:安全网关使用用户的签名公钥对签名值进行验签,不通过就不允许使用网络,如果通过就在检查用户是不是第一次使用网络;如果是就记录用户的MAC地址,把MAC地址和用户公钥绑定,允许用户使用公网;如果不是第一次使用网络,则检查用户当前的MAC地址和安全网关记录的MAC地址是否匹配,如果不匹配就不允许使用网络,如果匹配就可以使用网络。
具体地,局域网内可信电脑A、B之间通信,B要连接A,B首先发起通信连接,A收到连接请求后,先到安全网关中下载B的签名公钥,在发送一串随机数给B,B收到随机数后,调用USB KEY对随机数进行签名,把签名值发送给A,A收到签名值使用B的签名公钥进行验签,如果验签通过就接受连接请求,如果不通过就拒绝连接请求。
具体地,当外部电脑接入局域网,由于没有在安全网关上注册过,当它想访问公网的时候,会被安全网关拦截;当它想访问局域网内的可信电脑时,由于没有安装客户端程序,不能通过公司内部电脑的验证,所以公司内部电脑会拒绝它的访问。
具体地,当外来电脑接入局域网,公司内部电脑访问这个外来电脑时,客户端程序会拦截访问请求并另外发起访问请求,由于外来电脑没有安装客户端,对内部电脑客户端的请求没有响应,内部电脑在得不到响应的情况下会丢弃应用的访问请求,这样内部电脑就不能访问外来电脑。
本发明提供的一种网络接入准入的控制方法,实现一种网络安全接入的方法,防止外来电脑接入局域网,未经许直接使用公网,或者未经许可拷贝公司资源;也可以防止公司的电脑直接访问不可信的电脑,防止公司电脑中毒。
附图说明
图1为本发明实施例所述的一种网络接入准入的控制方法的步骤示意图。
图2为本发明实施例所述的一种网络接入准入的控制方法的用户注册流程示意图。
图3为本发明实施例所述的一种网络接入准入的控制方法的公司内部可信电脑直接的访问流程示意图。
图4为本发明实施例所述的一种网络接入准入的控制方法的外来电脑访问公司内部电脑流程示意图。
图5为本发明实施例所述的一种网络接入准入的控制方法的公司内部电脑访问外来电脑流程示意图。
具体实施方式
本发明实施例提供的一种网络接入准入的控制方法,实现一种网络安全接入的方法,防止外来电脑接入局域网,未经许直接使用公网,或者未经许可拷贝公司资源;也可以防止公司的电脑直接访问不可信的电脑,防止公司电脑中毒。
下面结合附图对本发明实施例提供给的一种网络接入准入的控制方法进行详细描述。
如图1、2、3、4、5所示,本发明实施例提供的一种网络接入准入的控制方法,其特征在于,包括如下步骤:
S1:登录安全网关的WEB管理系统,为公司内部每台电脑注册详细信息,并为每台电脑分配一个USB KEY,并在USB KEY中生成一对ECC签名密钥对,签名公钥保存到安全网关中;
S2:在公司内部电脑上安装好准入控制客户端,当用户插入USB KEY时,客户端程序检测到KEY插入后,向安全网关发送接入请求;
S3:安全网关接收到请求后,向客户端发送一串随机数,客户端调用USB KEY对随机数进行签名,把签名值发送到安全网关;
S4:安全网关使用用户的签名公钥对签名值进行验签,不通过就不允许使用网络,如果通过就在检查用户是不是第一次使用网络;如果是就记录用户的MAC地址,把MAC地址和用户公钥绑定,允许用户使用公网;如果不是第一次使用网络,则检查用户当前的MAC地址和安全网关记录的MAC地址是否匹配,如果不匹配就不允许使用网络,如果匹配就可以使用网络。
具体地,局域网内可信电脑A、B之间通信,B要连接A,B首先发起通信连接,A收到连接请求后,先到安全网关中下载B的签名公钥,在发送一串随机数给B,B收到随机数后,调用USB KEY对随机数进行签名,把签名值发送给A,A收到签名值使用B的签名公钥进行验签,如果验签通过就接受连接请求,如果不通过就拒绝连接请求。
具体地,当外部电脑接入局域网,由于没有在安全网关上注册过,当它想访问公网的时候,会被安全网关拦截;当它想访问局域网内的可信电脑时,由于没有安装客户端程序,不能通过公司内部电脑的验证,所以公司内部电脑会拒绝它的访问。
具体地,当外来电脑接入局域网,公司内部电脑访问这个外来电脑时,客户端程序会拦截访问请求并另外发起访问请求,由于外来电脑没有安装客户端,对内部电脑客户端的请求没有响应,内部电脑在得不到响应的情况下会丢弃应用的访问请求,这样内部电脑就不能访问外来电脑。
用户注册流程:在安全网关的管理电脑上,插上准备分配给用户的USB KEY,登录安全网关的WEB管理系统,注册用户,填写用户基本信息,调用oCX控件在USB KEY中产生一对ECC签名密钥对,把公钥保存在安全网关中。
用户访问公网流程:在自己的电脑上安装网络准入控制客户端软件,插入从安全网关出领到的USB KEY,客户端程序检测到USB KEY的插入,向安全网关发送接入请求,安全网关接收到请求,发送一串随机数给客户的程序,客户端程序收到随机数后,调用USB KEY进行数字签名,把签名值和KEY的信息发送到安全网关,安全网关根据KEY的信息,找到用户公钥,进行验证签名,验证不通过,拒绝用户接入公网;验证通过,判断用户是否第一次使用网络,是,则记录用户的MAC地址,把MAC地址和用户公钥绑定,允许用户使用公网;不是,则根据KEY的信息找到MAC地址和用户当前MAC地址进行匹配,不匹配,则拒绝用户接入公网;匹配,则允许用户接入公网。
公司内部可信电脑直接的访问流程(A和B之间的通信,A先发起访问请求):A,B都插入从安全网关出领到的USB KEY,A的客户端程序拦截应用访问请求;A的客户端先向B的客户端发起访问请求,B的客户端收到访问请求,先到安全网关下载A的签名公钥,然后发送一串随机数到A的客户端,A调用USB KEY对随机数进行数字签名,把签名值发送给B的客户端,B收到签名值,使用A的签名公钥进行验证签名,验证通过,则允许A的访问请求,并加入A到可信电脑列表;验证不通过,则拒绝A的访问请求,A的客户端收到B返会的消息,分别放行或者丢弃应用访问请求。
外来电脑访问公司内部电脑的流程(A为外来电脑,B为公司内部电脑):
由于A没有装客户端软件,直接向B发起访问请求,B的客户端截获访问请求,检查访问来源,发现A不在可信列表中;在检查请求的数据格式,不符合请求格式要求,B丢弃A的访问请求,直接拒绝A的后续访问。
公司内部电脑访问外来电脑的流程(A为公司内部电脑,B为外来电脑):
A向B发起访问请求,由于A装了客户端软件,访问请求会被截获,A的客户端会向B发起访问请求,由于B没有安装客户端,所以A得不到请求响应,A在等待一定时间后,会丢弃到应用访问请求,拒绝应用访问B。
本发明提供的一种网络接入准入的控制方法,实现一种网络安全接入的方法,防止外来电脑接入局域网,未经许直接使用公网,或者未经许可拷贝公司资源;也可以防止公司的电脑直接访问不可信的电脑,防止公司电脑中毒。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (4)

1.一种网络接入准入的控制方法,其特征在于,包括如下步骤:
S1:登录安全网关的WEB管理系统,为公司内部每台电脑注册详细信息,并为每台电脑分配一个USB KEY,并在USB KEY中生成一对ECC签名密钥对,签名公钥保存到安全网关中;
S2:在公司内部电脑上安装好准入控制客户端,当用户插入USB KEY时,客户端程序检测到KEY插入后,向安全网关发送接入请求;
S3:安全网关接收到请求后,向客户端发送一串随机数,客户端调用USB KEY对随机数进行签名,把签名值发送到安全网关;
S4:安全网关使用用户的签名公钥对签名值进行验签,不通过就不允许使用网络,如果通过就在检查用户是不是第一次使用网络;如果是就记录用户的MAC地址,把MAC地址和用户公钥绑定,允许用户使用公网;如果不是第一次使用网络,则检查用户当前的MAC地址和安全网关记录的MAC地址是否匹配,如果不匹配就不允许使用网络,如果匹配就可以使用网络。
2.根据权利要求1所述的一种网络接入准入的控制方法,其特征在于,局域网内可信电脑A、B之间通信,B要连接A,B首先发起通信连接,A收到连接请求后,先到安全网关中下载B的签名公钥,在发送一串随机数给B,B收到随机数后,调用USB KEY对随机数进行签名,把签名值发送给A,A收到签名值使用B的签名公钥进行验签,如果验签通过就接受连接请求,如果不通过就拒绝连接请求。
3.根据权利要求1所述的一种网络接入准入的控制方法,其特征在于,当外部电脑接入局域网,由于没有在安全网关上注册过,当它想访问公网的时候,会被安全网关拦截;当它想访问局域网内的可信电脑时,由于没有安装客户端程序,不能通过公司内部电脑的验证,所以公司内部电脑会拒绝它的访问。
4.根据权利要求1所述的一种网络接入准入的控制方法,其特征在于,当外来电脑接入局域网,公司内部电脑访问这个外来电脑时,客户端程序会拦截访问请求并另外发起访问请求,由于外来电脑没有安装客户端,对内部电脑客户端的请求没有响应,内部电脑在得不到响应的情况下会丢弃应用的访问请求,这样内部电脑就不能访问外来电脑。
CN201310440364.7A 2013-09-25 2013-09-25 一种网络接入准入的控制方法 Pending CN104468490A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310440364.7A CN104468490A (zh) 2013-09-25 2013-09-25 一种网络接入准入的控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310440364.7A CN104468490A (zh) 2013-09-25 2013-09-25 一种网络接入准入的控制方法

Publications (1)

Publication Number Publication Date
CN104468490A true CN104468490A (zh) 2015-03-25

Family

ID=52913869

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310440364.7A Pending CN104468490A (zh) 2013-09-25 2013-09-25 一种网络接入准入的控制方法

Country Status (1)

Country Link
CN (1) CN104468490A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106230824A (zh) * 2016-07-29 2016-12-14 浙商银行股份有限公司 一种移动设备可信认证系统及方法
CN106789046A (zh) * 2017-02-24 2017-05-31 江苏信源久安信息科技有限公司 一种自生成密钥对的实现方法
CN108347426A (zh) * 2017-12-28 2018-07-31 广州华夏职业学院 一种基于大数据的教学系统信息安全管理系统及访问方法
CN108886524A (zh) * 2016-03-29 2018-11-23 微软技术许可有限责任公司 保护远程认证
CN109617918A (zh) * 2019-01-21 2019-04-12 深圳锚丁科技工程有限公司 一种安全运维网关及其运维方法

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108886524A (zh) * 2016-03-29 2018-11-23 微软技术许可有限责任公司 保护远程认证
CN108886524B (zh) * 2016-03-29 2021-04-27 微软技术许可有限责任公司 保护远程认证
CN106230824A (zh) * 2016-07-29 2016-12-14 浙商银行股份有限公司 一种移动设备可信认证系统及方法
CN106789046A (zh) * 2017-02-24 2017-05-31 江苏信源久安信息科技有限公司 一种自生成密钥对的实现方法
CN108347426A (zh) * 2017-12-28 2018-07-31 广州华夏职业学院 一种基于大数据的教学系统信息安全管理系统及访问方法
CN108347426B (zh) * 2017-12-28 2021-10-26 广州华夏职业学院 一种基于大数据的教学系统信息安全管理系统及访问方法
CN109617918A (zh) * 2019-01-21 2019-04-12 深圳锚丁科技工程有限公司 一种安全运维网关及其运维方法
CN109617918B (zh) * 2019-01-21 2021-11-05 锚丁科技(武汉)有限责任公司 一种安全运维网关及其运维方法

Similar Documents

Publication Publication Date Title
TWI672648B (zh) 業務處理方法、裝置、資料共享系統及儲存介質
TWI587672B (zh) Login authentication method, client, server and system
CN103297437A (zh) 一种移动智能终端安全访问服务器的方法
CN104468490A (zh) 一种网络接入准入的控制方法
US8479279B2 (en) Security policy enforcement for mobile devices connecting to a virtual private network gateway
CN105787373A (zh) 一种移动办公系统中Android终端数据防泄漏方法
CN105094996A (zh) 基于动态权限验证的Android系统安全增强方法及系统
CN109361753A (zh) 一种物联网系统架构与加密方法
WO2009115029A1 (zh) 一种修复数据的方法、系统和装置
CN111314381A (zh) 安全隔离网关
WO2023065969A1 (zh) 访问控制方法、装置及系统
TW201729562A (zh) 伺服器、行動終端機、網路實名認證系統及方法
CN104683299A (zh) 一种软件注册的控制方法、认证服务器及终端
CN108011873A (zh) 一种基于集合覆盖的非法连接判断方法
US20070250596A1 (en) System and method for providing security backup services to a home network
JP2004355619A5 (zh)
CN107645474A (zh) 登录开放平台的方法及登录开放平台的装置
CN105610855A (zh) 一种跨域系统登录验证的方法和装置
CN102842000A (zh) 通用软件注册系统的实现方法
WO2023241366A1 (zh) 数据处理方法、系统、电子设备及计算机可读存储介质
CN102624724B (zh) 安全网关及利用网关安全登录服务器的方法
CN112016073A (zh) 一种服务器零信任连接架构的构建方法
TWI546698B (zh) 基於伺服器的登入系統、登入驗證伺服器及其驗證方法
CN106599619A (zh) 一种验证方法及装置
RU2008109223A (ru) Обеспечение согласованного прохода брандмауэра, имеющего информацию о приложении

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20150325