CN107294952B - 一种实现零终端网络准入的方法 - Google Patents

一种实现零终端网络准入的方法 Download PDF

Info

Publication number
CN107294952B
CN107294952B CN201710352293.3A CN201710352293A CN107294952B CN 107294952 B CN107294952 B CN 107294952B CN 201710352293 A CN201710352293 A CN 201710352293A CN 107294952 B CN107294952 B CN 107294952B
Authority
CN
China
Prior art keywords
zero terminal
switch
network
authentication
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710352293.3A
Other languages
English (en)
Other versions
CN107294952A (zh
Inventor
杨凌潇
田瑞
龙鸿飞
顾凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan XW Bank Co Ltd
Original Assignee
Sichuan XW Bank Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan XW Bank Co Ltd filed Critical Sichuan XW Bank Co Ltd
Priority to CN201710352293.3A priority Critical patent/CN107294952B/zh
Publication of CN107294952A publication Critical patent/CN107294952A/zh
Application granted granted Critical
Publication of CN107294952B publication Critical patent/CN107294952B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0246Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
    • H04L41/0253Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols using browsers or web-pages for accessing management information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明属于计算机网络领域,公开了一种实现零终端网络准入的方法及系统。该网络准入系统基于802.1x网络准入控制协议,当零终端发出入网请求后,网络交换机将认证信息发送至认证服务器,所述认证服务器对所述零终端内的数字证书进行认证,实现对零终端接入网络的授权及准入;该域每一台零终端均导入了该域特有的数字证书,只有与认证服务器中信息匹配的零终端,才被允许接入网络。

Description

一种实现零终端网络准入的方法
技术领域
本发明属于计算机网络领域,涉及一种实现零终端网络准入的方法。
背景技术
目前,传统终端一般使用客户端软件+802.1x 协议的模式来实现终端网络准入。随着科技的发展,零终端能做到无 CPU、无内存、无系统,盒子内只有一块高度集成的电脑芯片,而上网浏览、操作软件、编辑保存文件、播放视频等所有工作,都通过网线另一端强大的服务器软硬件系统来完成。由于零终端将传统 PC 主机内的数据运算、管理程序、操作系统等全部“转移”到了基于云计算概念的远程服务器上,办公桌上的电脑终端得以大幅度“瘦身”,电力消耗只有 3.5 瓦不到,是通常台式电脑的 5%,以一家100 人规模的办公企业测算,能源消耗只有独立主机方案的 1/10。由于零终端无法安装客户端软件,所以无法利用传统的网络准入方法来实现零终端的网络准入;传统的终端设备每次安装客户端软件,都会产生不同的终端 ID 以区分已授权终端,浪费网络资源。
发明内容
基于以上技术问题,本发明提供了一种实现零终端网络准入的方法,旨在提供一种使无法下载客户端的零终端接入网络。
本发明采用的技术方案如下:
一种实现零终端网络准入的方法,所述网络准入系统基于 802.1x 网络准入控制协议,零终端发出入网请求后,网络交换机将认证信息发送至认证服务器,所述认证服务器对所述零终端内的数字证书进行认证,认证通过可实现网络的授权及准入。
具体的,导入数字证书的步骤如下:
步骤 1:制作数字证书:安装颁发机构 CA 的根证书,创建一个用户名为域名格式的用户证书并安装,导出所述数字证书的私钥,将所述根证书与用户证书转化为PEM格式;
步骤 2:将零终端的 IP 地址设置为与所述零终端的管理计算机的 IP 在同一网段,在所述管理计算机通过浏览器访问零终端的 Web 管理页面,在所述管理页面上传所述根证书和所述用户证书;
步骤3:在所述Web管理页面配置网络,利用所述用户名和所述数字证书启用802.1x网络准入控制协议。
具体的,对所述交换机进行如下配置:开启所述交换机的 802.1x 特性,采用 EAP中继认证模式并设置认证重试次数。
具体的,所述认证服务器采用 Radius 服务器,利用所述交换机管理的 IP 地址和密钥对所述Radius服务器进行配置,使Radius服务器的IP地址为所述交换机正常通信,所述交换机管理的 IP 地址与零终端的 IP 地址在同一网段;所述 Radius 服务器内含有本域已申请并制作的数字证书的信息,利用 LDAP 协议对请求入网的零终端内的数字证书进行查询和匹配,匹配成功的零终端接入网络。
具体的,所述 EAP 中继认证模式为:零终端发送认证请求报文到网络交换机,交换机收到报文后,发送报文要求零终端提供认证信息,所述认证信息包括该零终端内数字证书的用户名、数字签名、颁证机构名称、证书序号;所述零终端将认证信息发送所述交换机,所述交换机将所述认证信息发送至 Radius 服务器,所述 Radius 服务器利用所述LDAP 协议查询是否有该用户的信息;若不存在该用户的信息,所述 Radius 服务器发送认证失败信息,交换机继续关闭受控端口;若存在该用户信息,所述 Radius 服务器产生随机密码并通过所述网络交换机发送给该零终端,该零终端将利用随机密码加密后的私钥通过所述网络交换机发送至所述 Radius 服务器,所述 Radius 服务器对所述私钥进行匹配;认证成功,所述 Radius 服务器发送认证成功信息,通知所述网络交换机打开受控端口,该零终端接入网络;若认证失败,所述 Radius 服务器发送认证失败信息,交换机继续关闭受控端口。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
由于数字证书具有唯一性,零终端只有导入该域的数字证书,才能在认证服务器上认证通过,不用下载客户端;
零终端的 IP 地址也不用在下载客户端的时候产生,而是由服务器分配,可以有效的节约网络资源;
采用数字证书与 802.1x 网络控制协议相结合的模式可以增强零终端网络准入的安全性;数字证书由该域的证书颁发机构 CA 颁发,数字证书内的算法可以由该域管理人员设定,使采用数字证书进行网络准入的可靠性增强。
附图说明
图1是本发明的结构图;
具体实施方式
本说明书中公开的所有特征,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
下面结合附图对本发明作详细说明。
一种实现零终端网络准入的方法,所述网络准入系统基于 802.1x 网络准入控制协议,零终端发出入网请求后,交换机将认证信息发送至认证服务器,所述认证服务器对所述零终端内的数字证书进行认证,认证通过可实现网络的授权及准入。
本发明采用的网络构架如图 1,假设该发明应用于企业网络配置,由于企业内部分为若干区域,设每个区域采用一个交换机,所有的交换机通过核心交换机连接 AD 域控制器、证书颁发机构 CA 和 Radius 服务器;
首先在零终端内导入数字证书,具体步骤如下:
步骤 1:制作数字证书:首先在浏览器输入证书颁发机构 CA 的证书申请地址,用管理员账号登录并下载 CA 证书;打开所述 CA 证书并安装到受信任的证书颁发机构;安装完成后,重新打开浏览器,用计算机用户账号登录,申请用户证书;创建并提交一个用户证书申请,选择所述用户证书申请的证书模板,输入域名格式的用户名;提交之后安装所述用户证书;在本地计算机导出所述用户证书,同时导出私钥;将所述根证书与用户证书转化为 PEM 格式;
步骤 2:将零终端的 IP 地址设置为与所述零终端的管理计算机的 IP 在同一网段,且所述零终端的 IP 地址与交换机在同一网段,使零终端与所述交换机能通信,所述零终端的 IP 地址由 DHCP 服务器分配;在所述管理计算机通过浏览器访问零终端的 Web管理页面,选择上传证书,找到 PEM 格式的证书文件后上传,确认根证书和用户证书都上传成功;
步骤 3:在所述 Web 管理页面配置网络,利用所述域名格式的用户名和所述数字证书启用 802.1x 网络准入控制协议。
所述认证服务器采用Radius服务器,具体配置过程为:在Radius服务器添加802.1x客户端:在 Radius 服务器上打开服务管理器,在工具下选择网络策略服务器;在Radius客户端选择新建,编辑 Radius 信息,IP 地址为所述交换机管理的 IP 地址,确保所述交换机该 IP 地址可以与 Radius 服务器正常通信且密钥匹配;
所述 Radius 服务器内含有本域已申请并制作的数字证书的信息,利用 LDAP 协议对请求入网的零终端内的数字证书进行查询和匹配,匹配成功的零终端接入网络。
对所述交换机进行如下配置:开启所述交换机的 802.1x 特性,采用 EAP 中继认证模式并设置认证重试次数。
所述 EAP 中继认证模式为:零终端发送认证请求报文到网络交换机,交换机收到报文后,发送报文要求零终端提供认证信息,所述认证信息包括该零终端内数字证书的用户名、数字签名、颁证机构名称、证书序号;所述零终端将认证信息发送所述交换机,所述交换机将所述认证信息发送至 Radius 服务器,所述 Radius 服务器利用所述 LDAP协议查询是否有该用户的信息;若不存在该用户的信息,所述 Radius 服务器发送认证失败信息,交换机继续关闭受控端口;若存在该用户信息,所述 Radius 服务器产生随机密码并通过所述网络交换机发送给该零终端,该零终端将利用随机密码加密后的私钥通过所述网络交换机发送至所述 Radius 服务器,所述 Radius 服务器对所述私钥进行匹配;认证成功,所述 Radius 服务器发送认证成功信息,通知所述网络交换机打开受控端口,该零终端接入网络;若认证失败,所述 Radius 服务器发送认证失败信息,交换机继续关闭受控端口。
如上所述即为本发明的实施例。本发明不局限于上述实施方式,任何人应该得知在本发明的启示下做出的结构变化,凡是与本发明具有相同或相近的技术方案,均落入本发明的保护范围之内。

Claims (4)

1.一种实现零终端网络准入的方法,其特征在于:网络准入系统基于802.1x网络准入控制协议,零终端发出入网请求后,交换机将认证信息发送至认证服务器,所述认证服务器对所述零终端内的数字证书进行认证,认证通过可实现网络的授权及准入;首先在零终端内导入数字证书,其中,导入数字证书的步骤如下:
步骤1:制作数字证书:在浏览器安装颁发机构CA的根证书到受信任的证书颁发机构,创建一个用户名为域名格式的用户证书并安装,导出所述用户证书的私钥,将所述根证书与用户证书转化为PEM格式;
步骤2:将零终端的IP地址设置为与所述零终端的管理计算机的IP在同一网段,在所述管理计算机通过浏览器访问零终端的Web管理页面,在所述Web管理页面上传所述PEM格式的根证书和用户证书;
步骤3:在所述Web管理页面配置网络,利用所述用户名和所述数字证书启用802.1x网络准入控制协议。
2.根据权利要求1所述的一种实现零终端网络准入的方法,其特征在于:对所述交换机进行如下配置:开启所述交换机的802.1x特性,采用EAP中继认证模式并设置认证重试次数。
3.根据权利要求2所述的一种实现零终端网络准入的方法,其特征在于:所述认证服务器采用Radius服务器,利用所述交换机管理的IP地址和密钥对所述Radius服务器进行配置,使Radius服务器的IP地址与所述交换机正常通信,所述交换机管理的IP地址与零终端的IP地址在同一网段;所述Radius服务器内含有本域已申请并制作的数字证书的信息,利用LDAP协议对请求入网的零终端内的数字证书进行查询和匹配,匹配成功的零终端接入网络。
4.根据权利要求3所述的一种实现零终端网络准入的方法,其特征在于:所述EAP中继认证模式为:零终端发送认证请求报文到交换机,交换机收到报文后,发送报文要求零终端提供认证信息,所述认证信息包括该零终端内数字证书的用户名、数字签名、颁证机构名称、证书序号;所述零终端将认证信息发送所述交换机,所述交换机将所述认证信息发送至Radius服务器,所述Radius服务器利用所述LDAP协议查询是否有该用户的信息;若不存在该用户的信息,所述Radius服务器发送认证失败信息,交换机继续关闭受控端口;若存在该用户信息,所述Radius服务器产生随机密码并通过所述交换机发送给该零终端,该零终端将利用随机密码加密后的私钥通过所述交换机发送至所述Radius服务器,所述Radius服务器对所述私钥进行匹配;认证成功,所述Radius服务器发送认证成功信息,通知所述交换机打开受控端口,该零终端接入网络;若认证失败,所述Radius服务器发送认证失败信息,交换机继续关闭受控端口。
CN201710352293.3A 2017-05-18 2017-05-18 一种实现零终端网络准入的方法 Active CN107294952B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710352293.3A CN107294952B (zh) 2017-05-18 2017-05-18 一种实现零终端网络准入的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710352293.3A CN107294952B (zh) 2017-05-18 2017-05-18 一种实现零终端网络准入的方法

Publications (2)

Publication Number Publication Date
CN107294952A CN107294952A (zh) 2017-10-24
CN107294952B true CN107294952B (zh) 2020-08-21

Family

ID=60094950

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710352293.3A Active CN107294952B (zh) 2017-05-18 2017-05-18 一种实现零终端网络准入的方法

Country Status (1)

Country Link
CN (1) CN107294952B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108055254B (zh) * 2017-12-07 2021-01-15 锐捷网络股份有限公司 一种无感知认证的方法和装置
CN111756868A (zh) * 2020-05-06 2020-10-09 西安万像电子科技有限公司 云服务器连接方法及系统
CN113037502B (zh) * 2021-05-25 2021-09-21 广东信通通信有限公司 交换机安全准入方法、装置、存储介质和网络系统
CN113612780B (zh) * 2021-08-05 2023-04-07 中国电信股份有限公司 证书请求、生成、接入方法、装置、通信设备及介质
CN114760141B (zh) * 2022-04-22 2024-03-08 深圳市永达电子信息股份有限公司 一种数字证书请求分发方法
CN115250203A (zh) * 2022-07-26 2022-10-28 浙江中控技术股份有限公司 一种控制设备准入的方法、装置及相关产品

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101453334A (zh) * 2008-11-28 2009-06-10 国网信息通信有限公司 基于Novell网络的访问管理方法和系统
CN101674304A (zh) * 2009-10-15 2010-03-17 浙江师范大学 一种网络身份认证系统及方法
CN104601555A (zh) * 2014-12-30 2015-05-06 中国航天科工集团第二研究院七〇六所 可信虚拟云终端安全控制方法
CN104796261A (zh) * 2015-04-16 2015-07-22 长安大学 一种网络终端节点的安全接入管控系统及方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6233577B1 (en) * 1998-02-17 2001-05-15 Phone.Com, Inc. Centralized certificate management system for two-way interactive communication devices in data networks
JP4173866B2 (ja) * 2005-02-21 2008-10-29 富士通株式会社 通信装置
CN100558035C (zh) * 2006-08-03 2009-11-04 西安电子科技大学 一种双向认证方法及系统
CN101867588A (zh) * 2010-07-16 2010-10-20 福州大学 一种基于802.1x的接入控制系统
CN201976122U (zh) * 2011-01-07 2011-09-14 杨凌风 以usb key为证书介质的内外网接入认证系统
CN103179565B (zh) * 2011-12-23 2016-01-13 中国银联股份有限公司 基于瘦终端模式的安全性信息交互系统及方法
US9189225B2 (en) * 2012-10-16 2015-11-17 Imprivata, Inc. Secure, non-disruptive firmware updating
CN103001960B (zh) * 2012-11-30 2016-01-06 北京奇虎科技有限公司 浏览器和网上银行登录方法
CN106375123B (zh) * 2016-08-31 2019-11-22 迈普通信技术股份有限公司 一种802.1x认证的配置方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101453334A (zh) * 2008-11-28 2009-06-10 国网信息通信有限公司 基于Novell网络的访问管理方法和系统
CN101674304A (zh) * 2009-10-15 2010-03-17 浙江师范大学 一种网络身份认证系统及方法
CN104601555A (zh) * 2014-12-30 2015-05-06 中国航天科工集团第二研究院七〇六所 可信虚拟云终端安全控制方法
CN104796261A (zh) * 2015-04-16 2015-07-22 长安大学 一种网络终端节点的安全接入管控系统及方法

Also Published As

Publication number Publication date
CN107294952A (zh) 2017-10-24

Similar Documents

Publication Publication Date Title
CN107294952B (zh) 一种实现零终端网络准入的方法
US8838965B2 (en) Secure remote support automation process
WO2020143470A1 (zh) 发放数字证书的方法、数字证书颁发中心和介质
US10341325B2 (en) System and method for transferring device identifying information
CN108964885B (zh) 鉴权方法、装置、系统和存储介质
US8607045B2 (en) Tokencode exchanges for peripheral authentication
CN103001999B (zh) 用于公用云网络的私有云服务器、智能装置客户端及方法
US10735195B2 (en) Host-storage authentication
US20080072303A1 (en) Method and system for one time password based authentication and integrated remote access
US20070089163A1 (en) System and method for controlling security of a remote network power device
US8402511B2 (en) LDAPI communication across OS instances
JP2010531516A (ja) 安全でないネットワークを介する装置のプロビジョニング及びドメイン加入エミュレーション
US11184336B2 (en) Public key pinning for private networks
CN102271134B (zh) 网络配置信息的配置方法、系统、客户端及认证服务器
CN111147526B (zh) 一种跨公网实现多云管控的安全认证方法
US10027491B2 (en) Certificate distribution using derived credentials
CN102984045B (zh) 虚拟专用网的接入方法及虚拟专用网客户端
US20110078784A1 (en) Vpn system and method of controlling operation of same
EP2896177A1 (en) Method and devices for registering a client to a server
CN113872992B (zh) 一种在BMC系统中实现远程Web访问强安全认证的方法
CN1783780B (zh) 域认证和网络权限认证的实现方法及设备
JP2010278778A (ja) リモートアクセスシステム,方法及びリモートアクセス認証装置
CN112291244A (zh) 一种工业生产数据实时处理平台系统多租用户方法
CN108809938B (zh) 一种密码设备的远程管控实现方法及系统
JP2021533599A (ja) コンピューティング環境でオンプレミスの秘密を複製する安全な方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant