CN107770117A - 一种安全的网络准入控制方法 - Google Patents
一种安全的网络准入控制方法 Download PDFInfo
- Publication number
- CN107770117A CN107770117A CN201610670102.3A CN201610670102A CN107770117A CN 107770117 A CN107770117 A CN 107770117A CN 201610670102 A CN201610670102 A CN 201610670102A CN 107770117 A CN107770117 A CN 107770117A
- Authority
- CN
- China
- Prior art keywords
- network
- access
- terminal
- authentication server
- access device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种安全的网络准入控制方法,包括步骤,S1:登记网络终端用户的用户名、密码、登入域及手持设备标识码;S2:在网络终端的登录界面上填写终端用户名并向验证服务器发出获取动态验证码的连接请求;S3:验证服务器向终端用户的手持设备发送一动态验证码;S4:在网络终端上用所述终端用户名、密码、登入域及动态验证码登录验证,并由策略服务器依据终端的系统健康报告下发相应的访问控制策略至接入设备;本发明的网络终端向验证服务器请求一动态验证码,然后将用户名、密码及动态验证码一起作为登录验证信息,由动态验证码确定用户合法身份,有效避免来自网络终端的病毒或黑客攻击,更全面保障网络的接入安全。
Description
技术领域
本发明涉及通信控制领域,尤其涉及一种安全的网络准入控制方法。
背景技术
出于对企业网络业务类型及安全性的考虑,在终端接入网络过程中,不同级别的用户对网络业务、网络安全等方面的要求存在很大的不同。目前,主要采用以下两种技术方案实现对不同用户的区别处理。
(A)方案采用VLAN(Virtual Local Area Network)技术将不同网络逻辑隔离;比如将交换机端口1~10分配给VLAN1,端口11~23分配给VLAN2,安全性要求较高的财务部终端只能接入VLAN1,而生产部门等其他终端接入VLAN2,达到网络层面的逻辑隔离。方案(A)中,当终端用户需要访问不同的逻辑网段时,需要切换网线所连接的交换机端口或者需要网络管理员重新配置VLAN策略,非常繁琐;同时,方案(A)也无法对终端用户进行身份安全认证。
(B)方案利用远程拨号用户认证服务(Remote Authentication Dial In UserService,简称RADIUS)对不同的用户名进行认证,由验证设备(RADIUS服务器)根据用户名级别下发安全策略和访问权限。见图1,图1是现有技术中验证设备对终端用户名进行认证的网络连接示意图,其中,接入设备可以为交换机,其与用户终端的通信通过802.1X协议进行(802.1x协议是基于Client/Server的访问控制和认证协议,它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN);具体认证过程见图2,图2是现有技术中验证设备对终端用户名进行认证的流程示意图,RADIUS服务器的验证过程包括如下步骤:
(1)终端发起接入请求,接入设备接收到终端发送的认证请求;
(2)接入设备将其发送给RADIUS服务器;
(3)用户通过认证后,RADIUS服务器根据预先设置的用户访问权限策略,向接入设备下发相应的访问控制列表(Access Control List,简称ACL)和VLAN-ID等信息;
(4)接入设备向终端发送认证成功指令,并根据ACL和VLAN-ID等信息限制终端的网络资源访问。
上述(B)方案的部署比(A)方案灵活且安全性也有所提高,但(B)方案也不能真正意义上的验证终端用户的合法身份,一旦终端的用户名和密码泄露,别有用心者就可以用泄露的用户信息在企业网络中的任何一台电脑上登录,安全性还是得不到保障。
发明内容
本发明的目的在于克服现有技术中的缺点与不足,提供一种安全的网络准入控制方法。
本发明是通过以下技术方案实现的:一种安全的网络准入控制方法,包括如下步骤:
S1:登记网络终端用户的用户名、密码、登入域及手持设备标识码,并储存至验证服务器的验证数据库中;
S2:在网络终端的登录界面上填写终端用户名并向验证服务器发出获取动态验证码的连接请求;
S3:验证服务器向终端用户的手持设备发送一动态验证码;该步骤S3包括,
S31:验证服务器在验证数据库中检索出所述终端用户名对应的手持设备标识码;
S32:验证服务器随机生成动态验证码;
S33:验证服务器向所述终端用户名对应的手持设备发送该动态验证码,并将该动态验证码存储至验证数据库中对应的终端用户名条目下;
S4:在网络终端上用所述终端用户名、密码、登入域及动态验证码登录,验证服务器校验登录信息成功,则请求策略服务器下发访问控制策略至接入设备,由接入设备控制网络终端接入指定的接入域、验证服务器校验登录信息失败向网络终端发送拒绝登录提示;该步骤S4包括:
S41:网络终端向接入设备发起接入请求,该接入请求包含用户名、密码、登入域及动态验证码;
S42:接入设备将该接入请求转发给验证服务器;
S43:验证服务器检索验证数据库中的用户信息并对所述接入请求进行验证,并将验证结果发送至策略服务器;
S44:如S43中的验证结果为成功,则策略服务器向接入设备下发终端用户名对应的访问控制策略、如S43中的验证结果为失败则通知接入设备向网络终端发送拒绝登录提示;该步骤S44中,如S43中的验证结果为成功,则策略服务器向接入设备下发终端用户名对应的访问控制策略包括以下步骤:
S441:策略服务器请求接入设备发送要接入的网络终端的系统健康报告;
S442:接入设备请求要接入的网络终端发送系统健康报告;
S443:要接入的网络终端响应接入设备的请求,开始进行系统健康检测,系统健康检测完成后向接入设备提交系统健康报告;
S444:接入设备向所述策略服务器转发网络终端的系统健康报告;
S445:策略服务器根据网络终端的系统健康报告,制定终端用户名对应的访问控制策略,并将访问控制策略下发到接入设备;
S446:接入设备根据该访问控制策略来控制要接入的网络终端是接入到业务逻辑网络还是访客逻辑网络。
优选地,所述步骤S1中,所述手持设备标识码为网络终端用户的手机号或微信号。
进一步,所述步骤S3中,所述验证服务器向终端用户的手持设备发送一动态验证码为验证服务器向网络终端用户的手机上发送包括动态验证码的短信,或验证服务器向网络终端用户的手机微信上发送包括动态验证码的信息。
进一步,所述验证服务器是支持RADIUS协议的RADIUS服务器、所述接入设备是支持RADIUS协议的RADIUS客户端。
进一步,所述接入设备为支持802.1X协议的网络设备。
进一步,步骤S441中,所述系统健康报告包括操作系统版本、浏览器版本、高危安全补丁、网络防火墙版本、病毒防火墙版本及病毒防火墙特征库版本。
相比于现有技术,本发明的有益效果是:
本发明的安全的网络准入控制方法,在网络终端向验证服务器发送登录验证请求之前,先向验证服务器请求一动态验证码,验证服务器将该动态验证码发送至终端用户的手持设备上,终端用户将终端用户名、密码、登入域及该动态验证码一同作为登录验证信息请求接入网络,通过动态验证码能确定网络终端用户的合法身份;登入域的设定使得一个网络终端用户可以接入不同的逻辑网络中,终端用户访问不同的网络资源更为方便;通过设置专用的策略服务器来向接入设备下发不同的访问控制策略,可减轻验证服务器的工作负荷,提升网络终端接入验证性能,进一步,策略服务器还要求网络终端发送系统健康报告,有效避免来自网络终端的病毒或黑客攻击,更全面保障网络的接入安全。
为了能更清晰的理解本发明,以下将结合附图说明阐述本发明的较佳的实施方式。
附图说明
图1是现有技术中用RADIUS协议来做终端接入验证的网络连接示意图。
图2是现有技术中用RADIUS协议来做终端接入验证的信令示意图。
图3本发明的安全的网络准入控制方法的信令步骤示意图。
图4本发明的安全的网络准入控制方法的流程图。
图5是图4中S3的流程图。
图6是图4中S4的流程图。
图7是图4中验证服务器下发访问控制策略的流程图。
具体实施方式
请同时参阅图1至图7,图1是现有技术中用RADIUS协议来做终端接入验证的网络连接示意图,图2是现有技术中用RADIUS协议来做终端接入验证的信令示意图,图3本发明的安全的网络准入控制方法的信令步骤示意图,图4本发明的安全的网络准入控制方法的流程图,图5是图4中S3的流程图,图6是图4中S4的流程图,图7是图4中验证服务器下发访问控制策略的流程图。
本发明的一种安全的网络准入控制方法,其对应的网络拓扑中包括网络终端、接入设备、验证服务器及策略服务器,所述网络终端、接入设备、验证服务器及策略服务器可为独立安装的软件模块,也可为嵌入网络交换设备中的软件模块,网络拓扑中网络交换设备支持802.1X协议;其中的网络终端提供登录界面以便用户输入接入验证请求、验证服务器和策略服务器提供管理界面以便管理员维护验证数据库或访问控制策略。
见图3和图4,一种安全的网络准入控制方法,包括如下步骤:
S1:登记网络终端用户的用户名、密码、登入域及手持设备标识码,并储存至验证服务器的验证数据库中;作为优选,本实施例中,所述手持设备标识码为网络终端用户的手机号或微信号。
所述一个网络终端用户可以关联多个登入域,每一个登入域对应不同的VLAN ID,即网络终端可以登入不同VLAN ID的逻辑网络中,以便访问不同的网络资源。
S2:在网络终端的登录界面上填写终端用户名并向验证服务器发出获取动态验证码的连接请求;
S3:验证服务器向终端用户的手持设备发送一动态验证码;该步骤S3包括,
S31:验证服务器在验证数据库中检索出所述终端用户名对应的手持设备标识码;
S32:验证服务器随机生成动态验证码;
S33:验证服务器向所述终端用户名对应的手持设备发送该动态验证码,并将该动态验证码存储至验证数据库中对应的终端用户名条目下;
S4:在网络终端上用所述终端用户名、密码、登入域及动态验证码登录,验证服务器校验登录信息成功,则请求策略服务器下发访问控制策略至接入设备,由接入设备控制网络终端接入指定的接入域、验证服务器校验登录信息失败向网络终端发送拒绝登录提示;该步骤中,通过设置专用的策略服务器来向接入设备下发不同的访问控制策略,可减轻验证服务器的工作负荷,提升网络终端接入验证性能,该步骤S4包括:
S41:网络终端向接入设备发起接入请求,该接入请求包含用户名、密码、登入域及动态验证码;
S42:接入设备将该接入请求转发给验证服务器;
S43:验证服务器检索验证数据库中的用户信息并对所述接入请求进行验证,并将验证结果发送至策略服务器;
S44:如S43中的验证结果为成功,则策略服务器向接入设备下发终端用户名对应的访问控制策略、如S43中的验证结果为失败则通知接入设备向网络终端发送拒绝登录提示;该步骤S44中,如S43中的验证结果为成功,则策略服务器向接入设备下发终端用户名对应的访问控制策略包括以下步骤:
S441:策略服务器请求接入设备发送要接入的网络终端的系统健康报告;
S442:接入设备请求要接入的网络终端发送系统健康报告;
S443:要接入的网络终端响应接入设备的请求,开始进行系统健康检测,系统健康检测完成后向接入设备提交系统健康报告;
S444:接入设备向所述策略服务器转发网络终端的系统健康报告;
S445:策略服务器根据网络终端的系统健康报告,制定终端用户名对应的访问控制策略,并将访问控制策略下发到接入设备;
S446:接入设备根据该访问控制策略来控制要接入的网络终端是接入到业务逻辑网络还是访客逻辑网络。
具体地,所述步骤S441中,所述系统健康报告包括操作系统版本、浏览器版本、高危安全补丁、网络防火墙版本、病毒防火墙版本及病毒防火墙特征库版本等。
具体地,该访问控制策略即访问控制列表ACL,接入设备根据终端用户登入域的不同,给接入端口配置不同的ACL,以便网络终端用户可访问不同的网络资源。
本发明并不局限于上述实施方式,如果对本发明的各种改动或变形不脱离本发明的精神和范围,倘若这些改动和变形属于本发明的权利要求和等同技术范围之内,则本发明也意图包含这些改动和变形。
Claims (6)
1.一种安全的网络准入控制方法,其特征在于,包括以下步骤:
S1:登记网络终端用户的用户名、密码、登入域及手持设备标识码,并储存至验证服务器的验证数据库中;
S2:在网络终端的登录界面上填写终端用户名并向验证服务器发出获取动态验证码的连接请求;
S3:验证服务器向终端用户的手持设备发送一动态验证码;该步骤S3包括,
S31:验证服务器在验证数据库中检索出所述终端用户名对应的手持设备标识码;
S32:验证服务器随机生成动态验证码;
S33:验证服务器向所述终端用户名对应的手持设备发送该动态验证码,并将该动态验证码存储至验证数据库中对应的终端用户名条目下;
S4:在网络终端上用所述终端用户名、密码、登入域及动态验证码登录,验证服务器校验登录信息成功,则请求策略服务器下发访问控制策略至接入设备,由接入设备控制网络终端接入指定的接入域、验证服务器校验登录信息失败则向网络终端发送拒绝登录提示;该步骤S4包括:
S41:网络终端向接入设备发起接入请求,该接入请求包含用户名、密码、登入域及动态验证码;
S42:接入设备将该接入请求转发给验证服务器;
S43:验证服务器检索验证数据库中的用户信息并对所述接入请求进行验证,并将验证结果发送至策略服务器;
S44:如S43中的验证结果为成功,则策略服务器向接入设备下发终端用户名对应的访问控制策略、如S43中的验证结果为失败则通知接入设备向网络终端发送拒绝登录提示;该步骤S44中,如S43中的验证结果为成功,则策略服务器向接入设备下发终端用户名对应的访问控制策略包括以下步骤:
S441:策略服务器请求接入设备发送要接入的网络终端的系统健康报告;
S442:接入设备请求要接入的网络终端发送系统健康报告;
S443:要接入的网络终端响应接入设备的请求,开始进行系统健康检测,系统健康检测完成后向接入设备提交系统健康报告;
S444:接入设备向所述策略服务器转发网络终端的系统健康报告;
S445:策略服务器根据网络终端的系统健康报告,制定终端用户名对应的访问控制策略,并将访问控制策略下发到接入设备;
S446:接入设备根据该访问控制策略来控制要接入的网络终端是接入到业务逻辑网络还是访客逻辑网络。
2.根据权利要求1所述的一种安全的网络准入控制方法,其特征在于:所述步骤S1中,所述手持设备标识码为网络终端用户的手机号或微信号。
3.根据权利要求2所述的一种安全的网络准入控制方法,其特征在于:所述步骤S3中,所述验证服务器向终端用户的手持设备发送一动态验证码为验证服务器向网络终端用户的手机上发送包括动态验证码的短信,或验证服务器向网络终端用户的手机微信上发送包括动态验证码的信息。
4.根据权利要求3所述的一种安全的网络准入控制方法,其特征在于:所述验证服务器是支持RADIUS协议的RADIUS服务器、所述接入设备是支持RADIUS协议的RADIUS客户端。
5.根据权利要求4所述的一种安全的网络准入控制方法,其特征在于:所述接入设备为支持802.1X协议的网络设备。
6.根据权利要求5所述的一种安全的网络准入控制方法,其特征在于:步骤S441中,所述系统健康报告包括操作系统版本、浏览器版本、高危安全补丁、网络防火墙版本、病毒防火墙版本及病毒防火墙特征库版本。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610670102.3A CN107770117A (zh) | 2016-08-15 | 2016-08-15 | 一种安全的网络准入控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610670102.3A CN107770117A (zh) | 2016-08-15 | 2016-08-15 | 一种安全的网络准入控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107770117A true CN107770117A (zh) | 2018-03-06 |
Family
ID=61259886
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610670102.3A Pending CN107770117A (zh) | 2016-08-15 | 2016-08-15 | 一种安全的网络准入控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107770117A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108471413A (zh) * | 2018-03-22 | 2018-08-31 | 杭州万为科技有限责任公司 | 边缘网络安全准入防御系统及其方法 |
| CN110808983A (zh) * | 2019-11-05 | 2020-02-18 | 西安雷风电子科技有限公司 | 一种用于云桌面终端网络接入的云桌面身份识别检测方法 |
| CN114338100A (zh) * | 2021-12-14 | 2022-04-12 | 佳源科技股份有限公司 | 一种交换机的访问控制方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068183A (zh) * | 2007-06-28 | 2007-11-07 | 杭州华三通信技术有限公司 | 网络准入控制方法及网络准入控制系统 |
| CN101441689A (zh) * | 2007-11-23 | 2009-05-27 | 杨筑平 | 登录保护方法 |
| CN102026224A (zh) * | 2010-11-17 | 2011-04-20 | 中国联合网络通信集团有限公司 | 网络切换处理方法和系统以及网关设备 |
| US20140075512A1 (en) * | 2012-09-07 | 2014-03-13 | Ebay Inc. | Dynamic Secure Login Authentication |
| CN104468534A (zh) * | 2014-11-21 | 2015-03-25 | 小米科技有限责任公司 | 账户保护方法及装置 |
-
2016
- 2016-08-15 CN CN201610670102.3A patent/CN107770117A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068183A (zh) * | 2007-06-28 | 2007-11-07 | 杭州华三通信技术有限公司 | 网络准入控制方法及网络准入控制系统 |
| CN101441689A (zh) * | 2007-11-23 | 2009-05-27 | 杨筑平 | 登录保护方法 |
| CN102026224A (zh) * | 2010-11-17 | 2011-04-20 | 中国联合网络通信集团有限公司 | 网络切换处理方法和系统以及网关设备 |
| US20140075512A1 (en) * | 2012-09-07 | 2014-03-13 | Ebay Inc. | Dynamic Secure Login Authentication |
| CN104468534A (zh) * | 2014-11-21 | 2015-03-25 | 小米科技有限责任公司 | 账户保护方法及装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108471413A (zh) * | 2018-03-22 | 2018-08-31 | 杭州万为科技有限责任公司 | 边缘网络安全准入防御系统及其方法 |
| CN108471413B (zh) * | 2018-03-22 | 2020-09-29 | 杭州万为科技有限责任公司 | 边缘网络安全准入防御系统及其方法 |
| CN110808983A (zh) * | 2019-11-05 | 2020-02-18 | 西安雷风电子科技有限公司 | 一种用于云桌面终端网络接入的云桌面身份识别检测方法 |
| CN114338100A (zh) * | 2021-12-14 | 2022-04-12 | 佳源科技股份有限公司 | 一种交换机的访问控制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109815656A (zh) | 登录认证方法、装置、设备及计算机可读存储介质 | |
| US8869253B2 (en) | Electronic system for securing electronic services | |
| US7958352B2 (en) | Method and system for verifying and updating the configuration of an access device during authentication | |
| US7565547B2 (en) | Trust inheritance in network authentication | |
| CN105027529B (zh) | 用于验证对网络资源的用户接入的方法和设备 | |
| CN105162777B (zh) | 一种无线网络登录方法及装置 | |
| US20100197293A1 (en) | Remote computer access authentication using a mobile device | |
| CN103428211B (zh) | 基于交换机的网络认证系统及其认证方法 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN103780580B (zh) | 提供能力访问策略的方法、服务器和系统 | |
| CN105827624B (zh) | 一种身份验证系统 | |
| CN108022100B (zh) | 一种基于区块链技术的交叉认证系统及方法 | |
| CN105681259A (zh) | 一种开放授权方法、装置及开放平台 | |
| WO2015131524A1 (zh) | 远程访问服务器的方法及web服务器 | |
| CN107493293A (zh) | 一种sip终端接入鉴权的方法 | |
| US20140173707A1 (en) | Disabling Unauthorized Access To Online Services | |
| CN107770117A (zh) | 一种安全的网络准入控制方法 | |
| CN106888091A (zh) | 基于eap的可信网络接入方法和系统 | |
| US20220150703A1 (en) | Asserting user, app, and device binding in an unmanaged mobile device | |
| JP6067005B2 (ja) | OpenIDを電気通信ネットワークに統合するシステムおよび方法 | |
| US20080282331A1 (en) | User Provisioning With Multi-Factor Authentication | |
| CN104918248A (zh) | 应用流量管理、应用加速和安全的企业移动安全网关方法 | |
| CN107770003A (zh) | 接入前先做系统健康检测的网络准入控制方法 | |
| CN112395586A (zh) | 文件访问的控制方法及装置、系统、存储介质、电子装置 | |
| KR102465744B1 (ko) | 로그인 세션 전달을 이용한 기기인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180306 |
|
| WD01 | Invention patent application deemed withdrawn after publication |