CN104660523A - 一种网络准入控制系统 - Google Patents
一种网络准入控制系统 Download PDFInfo
- Publication number
- CN104660523A CN104660523A CN201310602648.1A CN201310602648A CN104660523A CN 104660523 A CN104660523 A CN 104660523A CN 201310602648 A CN201310602648 A CN 201310602648A CN 104660523 A CN104660523 A CN 104660523A
- Authority
- CN
- China
- Prior art keywords
- network
- access
- terminal
- security strategy
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明适用于网络安全领域,提供了一种网络准入控制系统,包括:准入认证客户端,设置于接入终端,用于对接入终端的网络资源访问进行认证;网络准入控制网关,接入到接入终端访问网络资源的关键路径上的节点,用于对访问网络资源的接入终端发起认证,根据接入终端的认证状态控制接入终端的网络资源访问;以及认证服务器,用于向所述准入认证客户端下发安全策略,对所述准入认证客户端的身份与安全策略检查状态进行检查,下发相应的网络资源访问控制指令给所述网络准入控制网关。本发明采用网关方式实现网络准入控制,用户不需要完全替换所有接入层网络交换机等网络设备,实施简单,采购和实施成本低。
Description
技术领域
本发明属于网络安全领域,尤其涉及一种网络准入控制系统。
背景技术
随着网络技术的发展,接入网络的终端可能会给网络带来各种安全威胁。因此有必要对接入网络的终端进行网络准入控制,只有经过身份验证和安全状态检查的终端才可以接入网络。
现有网络准入控制技术中,端口级的802.1X处于主流。802.1X协议是一种基于端口的网络准入控制技术,连接到启用了802.1X协议的网络端口上的终端,必须通过准入认证才能接入网络,否则无法访问网络中的任何资源,具有安全级别较高,控制灵活的优点。
由于802.1X协议的实现是端口级别的控制,对网络设备型号有依赖,部分老旧设备不支持该协议。同时,需要逐个端口进行配置,实施复杂,增加了用户的采购成本和实施成本。
发明内容
本发明实施例提供一种网络准入控制系统,不依赖特定接入层交换机等网络设备,实施简便,成本低。
本发明实施例是这样实现的,一种网络准入控制系统,所述系统包括:
准入认证客户端,设置于接入终端,用于对接入终端的网络资源访问进行认证;
网络准入控制网关,接入到接入终端访问网络资源的关键路径上的节点,用于对访问网络资源的接入终端发起认证,根据接入终端的认证状态控制接入终端的网络资源访问;以及
认证服务器,用于向所述准入认证客户端下发安全策略,对所述准入认证客户端的身份与安全策略检查状态进行检查,下发相应的网络资源访问控制指令给所述网络准入控制网关。
本发明实施例采用网关方式实现网络准入控制,用户不需要完全替换所有接入层网络交换机等网络设备,也不需要大量调整网络结构和修改接入层交换机的配置,实施简单,采购和实施成本低。
附图说明
图1是本发明实施例提供的网络准入控制系统的结构图;
图2是本发明实施例提供的准入认证客户端的结构图;
图3是本发明实施例提供的网络准入控制网关的结构图;
图4是本发明实施例提供的认证服务器的结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1示出了本发明实施例提供的网络准入控制系统的结构,为了便于说明,仅示出了与本发明实施例有关的部分。
本发明实施例中的网络准入控制系统包括准入认证客户端11、网络准入控制网关13和认证服务器15。
准入认证客户端11设置于接入终端51,对接入终端51的网络资源访问进行认证。
网络准入控制网关13接入到接入终端51访问网络资源的关键路径上的节点,对访问网络资源的接入终端51发起认证,根据接入终端51的认证状态控制接入终端51的网络资源访问,例如可能的处理控制方法包括丢弃报文、转发报文、重定向等,这样就实现了对接入终端51的网络准入控制。
认证服务器15向准入认证客户端11下发安全策略,对准入认证客户端11的身份与安全策略检查状态进行检查,下发相应的网络资源访问控制指令给网络准入控制网关13,由网络准入控制网关13对接入终端51的网络资源访问进行控制。
在本发明实施例中,当接入终端51接入到网络需要访问网络资源时,其访问请求报文经过网络设备,如核心交换机和路由器21。
核心交换机和路由器21将接入终端51的访问请求报文转发给网络准入控制网关13。
网络准入控制网关13检查接入终端51是否已经通过网络准入控制认证,如果没有通过,则通过核心交换机和路由器21向接入终端51发送发起准入认证请求。
在本发明实施例中,用户可以在网络准入控制网关13上配置通过网络准入控制认证的接入终端名单,或者记录通过网络准入控制认证的接入终端51,设置接入有效期,有效期内允许接入终端51访问网络资源,有效期满则控制接入终端51重新进行网络准入控制认证。
如果接入终端51上运行有准入认证客户端11,则准入认证客户端11通过网络准入控制网关13获取到认证服务器15上的安全策略,例如是否安装了杀毒软件,操作系统是否安装安全补丁等,可以由用户根据需要配置。
准入认证客户端11根据获取的安全策略对所在的接入终端51进行安全检查,将安全检查结果与接入终端51的身份验证凭据通过网络准入控制网关13转发给认证服务器15。
认证服务器15根据网络准入控制网关13转发的接入终端51的安全检查结果与接入终端51的身份验证凭据对接入终端51进行认证。如果认证通过,则将接入终端51的访问请求报文转发回核心交换机或路由器21,由核心交换机或路由器21进一步转发给要访问的网络资源。
如果接入终端51在没有通过认证时的访问请求报文是HTTP请求,则网络准入控制网关13会返回HTTP重定向响应报文,运行在接入终端51的HTTP客户端收到HTTP重定向响应报文之后,会重定向到指定的网页,该网页上一般包含了必要的提示信息,例如提示哪些安全策略没有满足、用户密码错误、没有安装认证客户端等。
图2示出了本发明实施例提供的准入认证客户端的结构,为了便于说明,仅示出了与本发明实施例相关的部分。
安全策略获取单元111通过网络准入控制网关13获取到认证服务器15上的安全策略,例如是否安装了杀毒软件,操作系统是否安装安全补丁等,可以由用户根据需要配置。
安全检查单元113根据安全策略获取单元111获取的安全策略对所在的接入终端51进行安全检查。
认证结果转发单元115将安全检查单元153的安全检查结果与接入终端51的身份验证凭据通过网络准入控制网关13转发给认证服务器15。
图3示出了本发明实施例提供的网络准入控制网关的结构,为了便于说明,仅示出了与本发明实施例相关的部分。
认证发起单元131对接入终端51发起认证,与接入终端51上的准入认证客户端11通讯实现对接入终端51的认证,认证内容包括身份是否合法、是否符合安全策略要求等。
访问控制单元133根据接入终端51的认证状态控制接入终端的网络资源访问。
作为本发明的一个实施例,如果接入终端51在没有通过认证时的访问请求报文是HTTP请求,重定向提醒单元135向认证不通过的接入终端51返回HTTP重定向响应报文。
图4示出了本发明实施例提供的认证服务器的结构,为了便于说明,仅示出了与本发明实施例相关的部分。
安全策略配置单元151配置接入终端的安全策略。
安全策略下发单元153下发安全策略给接入终端51上运行的准入认证客户端11。
安全策略检查单元155对准入认证客户端11的身份与安全策略检查状态进行检查,下发相应的网络资源访问控制指令给网络准入控制网关13,由网络准入控制网关13对接入终端51的网络资源访问进行控制。
本发明实施例采用网关方式实现网络准入控制,用户不需要完全替换所有接入层网络交换机等网络设备,只需要采购一台网络准入控制网关即可。部署时,也不需要大量调整网络结构和修改接入层交换机的配置,只需要在核心交换机或路由器上做少量调整,实施简单,采购和实施成本低。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种网络准入控制系统,其特征在于,所述系统包括:
准入认证客户端,设置于接入终端,用于对接入终端的网络资源访问进行认证;
网络准入控制网关,接入到接入终端访问网络资源的关键路径上的节点,用于对访问网络资源的接入终端发起认证,根据接入终端的认证状态控制接入终端的网络资源访问;以及
认证服务器,用于向所述准入认证客户端下发安全策略,对所述准入认证客户端的身份与安全策略检查状态进行检查,下发相应的网络资源访问控制指令给所述网络准入控制网关。
2.如权利要求1所述的网络准入控制系统,其特征在于,所述准入认证客户端包括:
安全策略获取单元,用于通过所述网络准入控制网关获取所述认证服务器上的安全策略;
安全检查单元,用于根据所述安全策略获取单元获取的安全策略对所在的接入终端进行安全检查;以及
认证结果转发单元,用于将所述安全检查单元的安全检查结果与接入终端的身份验证凭据通过所述网络准入控制网关转发给所述认证服务器。
3.如权利要求1所述的网络准入控制系统,其特征在于,所述网络准入控制网关包括:
认证发起单元,用于对接入终端发起认证;以及
访问控制单元,用于根据接入终端的认证状态控制接入终端的网络资源访问。
4.如权利要求3所述的网络准入控制系统,其特征在于,所述网络准入控制网关还包括:
重定向提醒单元,用于在接入终端没有通过认证时的访问请求报文是HTTP请求时,向接入终端返回HTTP重定向响应报文。
5.如权利要求1所述的网络准入控制系统,其特征在于,所述认证服务器包括:
安全策略配置单元,用于配置接入终端的安全策略;
安全策略下发单元,用于下发安全策略给所述准入认证客户端;以及
安全策略检查单元,用于对所述准入认证客户端的身份与安全策略检查状态进行检查,下发相应的网络资源访问控制指令给所述网络准入控制网关。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310602648.1A CN104660523A (zh) | 2013-11-25 | 2013-11-25 | 一种网络准入控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310602648.1A CN104660523A (zh) | 2013-11-25 | 2013-11-25 | 一种网络准入控制系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104660523A true CN104660523A (zh) | 2015-05-27 |
Family
ID=53251237
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310602648.1A Pending CN104660523A (zh) | 2013-11-25 | 2013-11-25 | 一种网络准入控制系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104660523A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187458A (zh) * | 2015-10-28 | 2015-12-23 | 青岛汇云无限物联网有限公司 | 一种基于硬件本地认证请求的WiFi芯片认证系统及认证方法 |
| CN106549938A (zh) * | 2016-10-11 | 2017-03-29 | 北京知道未来信息技术有限公司 | 一种分布式网络行为管理器及网络接入控制方法 |
| CN107196906A (zh) * | 2017-03-31 | 2017-09-22 | 山东超越数控电子有限公司 | 一种安全域网络接入控制方法及系统 |
| CN111131297A (zh) * | 2019-12-31 | 2020-05-08 | 沈阳骏杰卓越软件科技有限公司 | 一种网络准入控制系统 |
| CN111177692A (zh) * | 2019-11-29 | 2020-05-19 | 云深互联(北京)科技有限公司 | 终端可信级别评估方法、装置、设备和存储介质 |
| CN111416824A (zh) * | 2020-03-23 | 2020-07-14 | 阳光凯讯(北京)科技有限公司 | 一种网络接入认证控制系统 |
| CN111510431A (zh) * | 2020-03-16 | 2020-08-07 | 国网辽宁省电力有限公司信息通信分公司 | 一种泛终端准入管控平台、客户端及管控方法 |
| CN113271285A (zh) * | 2020-02-14 | 2021-08-17 | 北京沃东天骏信息技术有限公司 | 接入网络的方法和装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068183A (zh) * | 2007-06-28 | 2007-11-07 | 杭州华三通信技术有限公司 | 网络准入控制方法及网络准入控制系统 |
| CN101697550A (zh) * | 2009-10-30 | 2010-04-21 | 北京星网锐捷网络技术有限公司 | 一种双栈网络访问权限控制方法和系统 |
-
2013
- 2013-11-25 CN CN201310602648.1A patent/CN104660523A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068183A (zh) * | 2007-06-28 | 2007-11-07 | 杭州华三通信技术有限公司 | 网络准入控制方法及网络准入控制系统 |
| CN101697550A (zh) * | 2009-10-30 | 2010-04-21 | 北京星网锐捷网络技术有限公司 | 一种双栈网络访问权限控制方法和系统 |
Non-Patent Citations (2)
| Title |
|---|
| 徐磊,张思东: "《内网安全的新思路-网关准入控制》", 《科技传播》 * |
| 梁彬: "《统一安全网关与终端安全的完美组合》", 《科技信息》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187458A (zh) * | 2015-10-28 | 2015-12-23 | 青岛汇云无限物联网有限公司 | 一种基于硬件本地认证请求的WiFi芯片认证系统及认证方法 |
| CN106549938A (zh) * | 2016-10-11 | 2017-03-29 | 北京知道未来信息技术有限公司 | 一种分布式网络行为管理器及网络接入控制方法 |
| CN107196906A (zh) * | 2017-03-31 | 2017-09-22 | 山东超越数控电子有限公司 | 一种安全域网络接入控制方法及系统 |
| CN111177692A (zh) * | 2019-11-29 | 2020-05-19 | 云深互联(北京)科技有限公司 | 终端可信级别评估方法、装置、设备和存储介质 |
| CN111177692B (zh) * | 2019-11-29 | 2022-07-12 | 云深互联(北京)科技有限公司 | 终端可信级别评估方法、装置、设备和存储介质 |
| CN111131297A (zh) * | 2019-12-31 | 2020-05-08 | 沈阳骏杰卓越软件科技有限公司 | 一种网络准入控制系统 |
| CN113271285A (zh) * | 2020-02-14 | 2021-08-17 | 北京沃东天骏信息技术有限公司 | 接入网络的方法和装置 |
| CN113271285B (zh) * | 2020-02-14 | 2023-08-08 | 北京沃东天骏信息技术有限公司 | 接入网络的方法和装置 |
| CN111510431A (zh) * | 2020-03-16 | 2020-08-07 | 国网辽宁省电力有限公司信息通信分公司 | 一种泛终端准入管控平台、客户端及管控方法 |
| CN111510431B (zh) * | 2020-03-16 | 2022-04-15 | 国网辽宁省电力有限公司信息通信分公司 | 一种泛终端准入管控平台、客户端及管控方法 |
| CN111416824A (zh) * | 2020-03-23 | 2020-07-14 | 阳光凯讯(北京)科技有限公司 | 一种网络接入认证控制系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104660523A (zh) | 一种网络准入控制系统 | |
| CN105917630B (zh) | 使用单点登录自举到检查代理的重定向 | |
| CN108293053B (zh) | 经由浏览器对客户端应用进行单点登录验证 | |
| US9876799B2 (en) | Secure mobile client with assertions for access to service provider applications | |
| EP2997706B1 (en) | Method and system for authentication with denial-of-service attack protection | |
| CN104917727B (zh) | 一种帐户鉴权的方法、系统及装置 | |
| CN106034104B (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| WO2017101729A1 (zh) | 一种基于物联网的设备操作方法及服务器 | |
| US10225260B2 (en) | Enhanced authentication security | |
| US20150188779A1 (en) | Split-application infrastructure | |
| CN104202338B (zh) | 一种适用于企业级移动应用的安全接入方法 | |
| CN103944890A (zh) | 基于客户端/服务器模式的虚拟交互系统及方法 | |
| CN108092988B (zh) | 基于动态创建临时密码的无感知认证授权网络系统和方法 | |
| CN103796278A (zh) | 移动终端无线网络接入控制方法 | |
| CN105592003A (zh) | 一种基于通知的跨域单点登录方法及系统 | |
| CN114995214A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| KR101824562B1 (ko) | 인증 게이트웨이 및 인증 게이트웨이의 인증 방법 | |
| CN104753926B (zh) | 一种网关准入控制方法 | |
| CN103957194B (zh) | 一种网络协议ip接入方法及接入设备 | |
| CA2912774C (en) | Providing single sign-on for wireless devices | |
| KR20140090279A (ko) | 서비스 보안 인증 방법 및 이를 구현한 웹 애플리케이션 서버 | |
| EP3337125A1 (en) | Authenticating for an enterprise service | |
| Liu et al. | A trusted access method in software-defined network | |
| CN103607403A (zh) | 一种nat网络环境下使用安全域的方法、装置和系统 | |
| KR101637155B1 (ko) | 신뢰 서비스 장치를 이용한 신뢰된 아이덴티티 관리 서비스 제공 시스템 및 그 운영방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150527 |
|
| RJ01 | Rejection of invention patent application after publication |