CN107196906A - 一种安全域网络接入控制方法及系统 - Google Patents
一种安全域网络接入控制方法及系统 Download PDFInfo
- Publication number
- CN107196906A CN107196906A CN201710209710.9A CN201710209710A CN107196906A CN 107196906 A CN107196906 A CN 107196906A CN 201710209710 A CN201710209710 A CN 201710209710A CN 107196906 A CN107196906 A CN 107196906A
- Authority
- CN
- China
- Prior art keywords
- network
- terminal
- security
- network access
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种安全域网络接入控制方法及系统,该方案包括网络接入终端、网络接入控制服务器。网络接入终端包含身份认证模块、安全状态检测模块、信息上报模块、在线状态维持模块;网络接入控制服务器包含身份验证模块、安全状态验证模块、策略分发模块、终端在线状态维持模块、安全域管理模块;网络接入终端在接入网络时进行身份认证,检测终端安全状态,将安全状态发送到网络接入控制服务器,由接入控制服务器限制请求的网络访问。通过身份认证、安全域技术,实现网络接入控制与网络访问控制。
Description
技术领域
本发明涉及的是通信控制领域,尤其涉及一种安全域网络接入控制系统及方法。
背景技术
在现有技术中,公知的技术是随着信息技术的发展,越来越多的重要信息存储与企业内部服务器中,常规来自互联网的攻击可通过防火墙、UTM等产品进行保护,方案也比较成熟,而越来越多的信息泄密行为发生在网络内部,网络管理混乱、随意接入、终端主机感染病毒等都是影响网络安全的重要因素,因此加强对网络的管理、细化网络访问权限、控制网络接入成为必不可少的网络安全措施。
传统网络准入控制集成多种身份认证方式(用户名/密码、USBKey等),加强了网络接入控制,除身份认证外,需要对终端安全状态进行检查,只有检查合格才可接入网络,但是传统网络接入控制方案没有对网络细分,终端只要接入网络便可随意访问网络内资源,一旦攻击者获取用户身份便可获取网络内数据。
发明内容
本发明的目的就是针对现有技术所存在的不足,而提供一种安全域网络接入控制方法及系统,通过身份认证、安全域技术,实现网络接入控制与网络访问控制,通过身份认证保证网络接入控制同时保证使用者的合法性;安全域技术,划分不同安全等级,保证不同逻辑区域访问安全;配置安全策略,保证终端状态安全。
本方案是通过如下技术措施来实现的:一种安全域网络接入控制方法,包括如下步骤:
1)网络接入终端将终端信息提交给网络接入控制服务器,网络接入控制服务器根据安全策略制定安全域,网络接入控制服务器将网络终端加入安全域;
2)接入终端发起网络接入请求,将身份认证信息发送到网络接入控制服务器,网络接入控制服务器对终端身份进行认证,认证失败禁止网络接入;
3)认证成功,网络接入控制服务器将安全策略下发到终端;
4)所述网络接入终端接收安全策略并解析,然后根据安全策略检查本地安全状态并将检测结果提交给网络接入服务器;
5)网络接入控制服务接收终端安全状态检测结果后,判断是否符合安全域要求,如果符合,则进入步骤6),否则禁止访问;
6)网络接入服务器判断终端访问的目的地址是否在同一安全域内,是则放行数据包,反之,禁止网络访问。
所述的步骤1)中安全域内只有在线并且通过身份认证、安全检测的终端才能相互访问。
所述网络接入终端在通过身份认证后与所述网络接入控制服务器维持心跳与会话状态,用于判断网络接入终端在在线状态。
安全策略以策略组形式存在,并可根据用户名对不同用户分配不同安全策略,安全策略包含杀毒软件、服务程序、移动存储介质、网络端口。
所述的步骤4)中网络接入终端接收到策略后,解析安全策略,并通过安全代理对终端安全状态进行检测,检测结果提交给网络接入服务器。
所述步骤5)中所述网络接入控制服务器对所述网络接入终端安全检测结果进行对比评分,根据评分更新安全域。
一种安全域网络接入控制的系统,包括网络接入终端、网络接入控制服务器;所述的网络接入终端包括用于保存网络接入终端认证信息的身份认证模块、进行网络接入终端安全检测的安全状态检测模块、用于向网络接入控制服务器发送认证信息和本地安全状态的信息上报模块、用于与网络接入控制服务器维持心跳与会话状态的在线状态维持模块。
所述的网络接入控制服务器包括用于验证网络接入终端的身份验证模块、用于检测网络接入终端安全状态的安全状态验证模块、用于存储并向网络接入终端分发安全策略的策略分发模块、用于检查网络接入终端是否在线的终端在线状态维持模块、用于保存和更新安全域的安全域管理模块。
本方案的有益效果可根据对上述方案的叙述得知,在该方案中。网络接入终端包含身份认证模块、安全状态检测模块、信息上报模块、在线状态维持模块;网络接入控制服务器包含身份验证模块、安全状态验证模块、策略分发模块、终端在线状态维持模块、安全域管理模块;网络接入终端在接入网络时进行身份认证,检测终端安全状态,将安全状态发送到网络接入控制服务器,由接入控制服务器限制请求的网络访问。通过身份认证保证网络接入控制同时保证使用者的合法性;安全域技术,划分不同安全等级,保证不同逻辑区域访问安全;配置安全策略,保证终端状态安全。
由此可见,本发明与现有技术相比,具有突出的实质性特点和显著的进步,其实施的有益效果也是显而易见的。
附图说明
图1为本发明具体实施方式的流程图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过一个具体实施方式,并结合其附图,对本方案进行阐述。
通过附图可以看出,本方案的一种安全域网络接入控制的系统,包括网络接入终端、网络接入控制服务器;所述的网络接入终端包括用于保存网络接入终端认证信息的身份认证模块、进行网络接入终端安全检测的安全状态检测模块、用于向网络接入控制服务器发送认证信息和本地安全状态的信息上报模块、用于与网络接入控制服务器维持心跳与会话状态的在线状态维持模块。所述的网络接入控制服务器包括用于验证网络接入终端的身份验证模块、用于检测网络接入终端安全状态的安全状态验证模块、用于存储并向网络接入终端分发安全策略的策略分发模块、用于检查网络接入终端是否在线的终端在线状态维持模块、用于保存和更新安全域的安全域管理模块。
一种用于上述系统的安全域网络接入控制方法,包括如下步骤:
1)网络接入终端将终端信息提交给网络接入控制服务器,网络接入控制服务器根据安全策略制定安全域,网络接入控制服务器将网络终端加入安全域;安全域内只有在线并且通过身份认证、安全检测的终端才能相互访问;所述网络接入终端在通过身份认证后与所述网络接入控制服务器维持心跳与会话状态,用于判断网络接入终端在在线状态;安全策略以策略组形式存在,并可根据用户名对不同用户分配不同安全策略,安全策略包含杀毒软件、服务程序、移动存储介质、网络端口;
2)接入终端发起网络接入请求,将身份认证信息发送到网络接入控制服务器,网络接入控制服务器对终端身份进行认证,认证失败禁止网络接入;
3)认证成功,网络接入控制服务器将安全策略下发到终端;
4)所述网络接入终端接收安全策略并解析,然后根据安全策略检查本地安全状态并将检测结果提交给网络接入服务器;网络接入终端接收到策略后,解析安全策略,并通过安全代理对终端安全状态进行检测,检测结果提交给网络接入服务器。
5)网络接入控制服务接收终端安全状态检测结果后,判断是否符合安全域要求,如果符合,则进入步骤6),否则禁止访问;所述网络接入控制服务器对所述网络接入终端安全检测结果进行对比评分,根据评分更新安全域;
6)网络接入服务器判断终端访问的目的地址是否在同一安全域内,是则放行数据包,反之,禁止网络访问。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种安全域网络接入控制方法,其特征在于包括如下步骤:
1)网络接入终端将终端信息提交给网络接入控制服务器,网络接入控制服务器根据安全策略制定安全域,网络接入控制服务器将网络终端加入安全域;
2)接入终端发起网络接入请求,将身份认证信息发送到网络接入控制服务器,网络接入控制服务器对终端身份进行认证,认证失败禁止网络接入;
3)认证成功,网络接入控制服务器将安全策略下发到终端;
4)所述网络接入终端接收安全策略并解析,然后根据安全策略检查本地安全状态并将检测结果提交给网络接入服务器;
5):网络接入控制服务接收终端安全状态检测结果后,判断是否符合安全域要求,如果符合,则进入步骤6),否则禁止访问;
6)网络接入服务器判断终端访问的目的地址是否在同一安全域内,是则放行数据包,反之,禁止网络访问。
2.根据权利要求1所述的安全域网络接入控制方法,其特征是:所述的步骤1)中安全域内只有在线并且通过身份认证、安全检测的终端才能相互访问。
3.根据权利要求2所述的安全域网络接入控制方法,其特征是:所述网络接入终端在通过身份认证后与所述网络接入控制服务器维持心跳与会话状态,用于判断网络接入终端在在线状态。
4.根据权利要求1所述的安全域网络接入控制方法,其特征是:安全策略以策略组形式存在,并可根据用户名对不同用户分配不同安全策略,安全策略包含杀毒软件、服务程序、移动存储介质、网络端口。
5.根据权利要求1或4所述的安全域网络接入控制方法,其特征是:所述的步骤4)中网络接入终端接收到策略后,解析安全策略,并通过安全代理对终端安全状态进行检测,检测结果提交给网络接入服务器。
6.根据权利要求1所述的安全域网络接入控制方法,其特征是:所述步骤5)中所述网络接入控制服务器对所述网络接入终端安全检测结果进行对比评分,根据评分更新安全域。
7.一种安全域网络接入控制的系统,其特征是:包括网络接入终端、网络接入控制服务器;
所述的网络接入终端包括用于保存网络接入终端认证信息的身份认证模块、进行网络接入终端安全检测的安全状态检测模块、用于向网络接入控制服务器发送认证信息和本地安全状态的信息上报模块、用于与网络接入控制服务器维持心跳与会话状态的在线状态维持模块;
所述的网络接入控制服务器包括用于验证网络接入终端的身份验证模块、用于检测网络接入终端安全状态的安全状态验证模块、用于存储并向网络接入终端分发安全策略的策略分发模块、用于检查网络接入终端是否在线的终端在线状态维持模块、用于保存和更新安全域的安全域管理模块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710209710.9A CN107196906A (zh) | 2017-03-31 | 2017-03-31 | 一种安全域网络接入控制方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710209710.9A CN107196906A (zh) | 2017-03-31 | 2017-03-31 | 一种安全域网络接入控制方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107196906A true CN107196906A (zh) | 2017-09-22 |
Family
ID=59871740
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710209710.9A Pending CN107196906A (zh) | 2017-03-31 | 2017-03-31 | 一种安全域网络接入控制方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107196906A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109995783A (zh) * | 2019-04-02 | 2019-07-09 | 山东超越数控电子股份有限公司 | 一种可信网络的接入方法、设备以及存储介质 |
CN110597629A (zh) * | 2019-08-30 | 2019-12-20 | 上海辰锐信息科技公司 | 一种基于资源前置雾化和云端池化的资源调度方法 |
CN111416824A (zh) * | 2020-03-23 | 2020-07-14 | 阳光凯讯(北京)科技有限公司 | 一种网络接入认证控制系统 |
CN113472778A (zh) * | 2021-06-30 | 2021-10-01 | 中国人民解放军国防科技大学 | 一种信息网络安全防护信任系统及方法 |
CN113678421A (zh) * | 2020-01-19 | 2021-11-19 | Oppo广东移动通信有限公司 | 安全域的配置、发现和加入方法及装置、电子设备 |
CN115834202A (zh) * | 2020-05-27 | 2023-03-21 | Oppo广东移动通信有限公司 | 信息处理方法及装置、设备、计算机存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101068183A (zh) * | 2007-06-28 | 2007-11-07 | 杭州华三通信技术有限公司 | 网络准入控制方法及网络准入控制系统 |
CN101232509A (zh) * | 2008-02-26 | 2008-07-30 | 杭州华三通信技术有限公司 | 支持隔离模式的网络接入控制方法、系统及设备 |
US20100100929A1 (en) * | 2008-10-20 | 2010-04-22 | Electronics And Telecommunications Reasearch Institute | Apparatus and method for security managing of information terminal |
CN104618396A (zh) * | 2015-03-04 | 2015-05-13 | 浪潮集团有限公司 | 一种可信网络接入与访问控制系统及方法 |
CN104660523A (zh) * | 2013-11-25 | 2015-05-27 | 遵义供电局 | 一种网络准入控制系统 |
-
2017
- 2017-03-31 CN CN201710209710.9A patent/CN107196906A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101068183A (zh) * | 2007-06-28 | 2007-11-07 | 杭州华三通信技术有限公司 | 网络准入控制方法及网络准入控制系统 |
CN101232509A (zh) * | 2008-02-26 | 2008-07-30 | 杭州华三通信技术有限公司 | 支持隔离模式的网络接入控制方法、系统及设备 |
US20100100929A1 (en) * | 2008-10-20 | 2010-04-22 | Electronics And Telecommunications Reasearch Institute | Apparatus and method for security managing of information terminal |
CN104660523A (zh) * | 2013-11-25 | 2015-05-27 | 遵义供电局 | 一种网络准入控制系统 |
CN104618396A (zh) * | 2015-03-04 | 2015-05-13 | 浪潮集团有限公司 | 一种可信网络接入与访问控制系统及方法 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109995783A (zh) * | 2019-04-02 | 2019-07-09 | 山东超越数控电子股份有限公司 | 一种可信网络的接入方法、设备以及存储介质 |
CN110597629A (zh) * | 2019-08-30 | 2019-12-20 | 上海辰锐信息科技公司 | 一种基于资源前置雾化和云端池化的资源调度方法 |
CN113678421A (zh) * | 2020-01-19 | 2021-11-19 | Oppo广东移动通信有限公司 | 安全域的配置、发现和加入方法及装置、电子设备 |
CN111416824A (zh) * | 2020-03-23 | 2020-07-14 | 阳光凯讯(北京)科技有限公司 | 一种网络接入认证控制系统 |
CN115834202A (zh) * | 2020-05-27 | 2023-03-21 | Oppo广东移动通信有限公司 | 信息处理方法及装置、设备、计算机存储介质 |
CN113472778A (zh) * | 2021-06-30 | 2021-10-01 | 中国人民解放军国防科技大学 | 一种信息网络安全防护信任系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107196906A (zh) | 一种安全域网络接入控制方法及系统 | |
CN104618396B (zh) | 一种可信网络接入与访问控制方法 | |
US8156335B2 (en) | IP address secure multi-channel authentication for online transactions | |
CN103747036B (zh) | 一种桌面虚拟化环境下的可信安全增强方法 | |
CN107222476B (zh) | 一种认证服务方法 | |
CN105243314B (zh) | 一种基于USB‑key的安全系统及其使用方法 | |
CN109347875A (zh) | 物联网设备、物联网平台及接入物联网平台的方法和系统 | |
CN101888329B (zh) | 地址解析协议报文的处理方法、装置及接入设备 | |
CN103297437A (zh) | 一种移动智能终端安全访问服务器的方法 | |
CN110830446B (zh) | 一种spa安全验证的方法和装置 | |
US9332432B2 (en) | Methods and system for device authentication | |
CN103647772A (zh) | 一种对网络数据包进行可信访问控制的方法 | |
CN109104432B (zh) | 一种基于jwt协议的信息传递安全方法 | |
CN106899561A (zh) | 一种基于acl的tnc权限控制方法和系统 | |
WO2016188335A1 (zh) | 用户数据的访问控制方法、装置及系统 | |
CN101986598A (zh) | 认证方法、服务器及系统 | |
CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
CN106304264A (zh) | 一种无线网络接入方法及装置 | |
CN106559785A (zh) | 认证方法、设备和系统以及接入设备和终端 | |
CN101764788B (zh) | 基于扩展802.1x认证系统的安全接入方法 | |
CN104579735B (zh) | 路由器安全管理方法 | |
CN107360178A (zh) | 一种使用白名单控制网络访问的方法 | |
US10291609B2 (en) | Vault appliance for identity verification and secure dispatch of rights | |
Kovtsur et al. | Investigation of attacks and methods of protection of wireless networks during authorization using the IEEE 802.1 x protocol | |
CN105071993B (zh) | 加密状态检测方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170922 |
|
RJ01 | Rejection of invention patent application after publication |