CN107770118A - 一种由策略服务器控制的网络准入控制方法 - Google Patents

一种由策略服务器控制的网络准入控制方法 Download PDF

Info

Publication number
CN107770118A
CN107770118A CN201610670103.8A CN201610670103A CN107770118A CN 107770118 A CN107770118 A CN 107770118A CN 201610670103 A CN201610670103 A CN 201610670103A CN 107770118 A CN107770118 A CN 107770118A
Authority
CN
China
Prior art keywords
network
authentication server
terminal user
verification code
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610670103.8A
Other languages
English (en)
Inventor
袁兴飚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Taishan Gold Network Technology Co Ltd
Original Assignee
Taishan Gold Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Taishan Gold Network Technology Co Ltd filed Critical Taishan Gold Network Technology Co Ltd
Priority to CN201610670103.8A priority Critical patent/CN107770118A/zh
Publication of CN107770118A publication Critical patent/CN107770118A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种由策略服务器控制的网络准入控制方法,包括步骤,S1:登记网络终端用户的用户名、密码、登入域及手持设备标识码;S2:在网络终端的登录界面上填写终端用户名并向验证服务器发出获取动态验证码的连接请求;S3:验证服务器向终端用户的手持设备发送一动态验证码;S4:在网络终端上用所述终端用户名、密码、登入域及动态验证码登录验证,并由策略服务器下发访问控制策略至接入设备;本发明在网络终端向验证服务器发送登录验证请求之前,先向验证服务器请求一动态验证码,动态验证码发送至终端用户的手持设备上,然后将用户名、密码及动态验证码一起作为登录验证信息,由动态验证码确定用户合法身份,有效保障网络接入安全。

Description

一种由策略服务器控制的网络准入控制方法
技术领域
本发明涉及通信控制领域,尤其涉及一种由策略服务器控制的网络准入控制方法。
背景技术
出于对企业网络业务类型及安全性的考虑,在终端接入网络过程中,不同级别的用户对网络业务、网络安全等方面的要求存在很大的不同。目前,主要采用以下两种技术方案实现对不同用户的区别处理。
(A)方案采用VLAN(Virtual Local Area Network)技术将不同网络逻辑隔离;比如将交换机端口1~10分配给VLAN1,端口11~23分配给VLAN2,安全性要求较高的财务部终端只能接入VLAN1,而生产部门等其他终端接入VLAN2,达到网络层面的逻辑隔离。方案(A)中,当终端用户需要访问不同的逻辑网段时,需要切换网线所连接的交换机端口或者需要网络管理员重新配置VLAN策略,非常繁琐;同时,方案(A)也无法对终端用户进行身份安全认证。
(B)方案利用远程拨号用户认证服务(Remote Authentication Dial In UserService,简称RADIUS)对不同的用户名进行认证,由验证设备(RADIUS服务器)根据用户名级别下发安全策略和访问权限。见图1,图1是现有技术中验证设备对终端用户名进行认证的网络连接示意图,其中,接入设备可以为交换机,其与用户终端的通信通过802.1X协议进行(802.1x协议是基于Client/Server的访问控制和认证协议,它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN);具体认证过程见图2,图2是现有技术中验证设备对终端用户名进行认证的流程示意图,RADIUS服务器的验证过程包括如下步骤:
(1)终端发起接入请求,接入设备接收到终端发送的认证请求;
(2)接入设备将其发送给RADIUS服务器;
(3)用户通过认证后,RADIUS服务器根据预先设置的用户访问权限策略,向接入设备下发相应的访问控制列表(Access Control List,简称ACL)和VLAN-ID等信息;
(4)接入设备向终端发送认证成功指令,并根据ACL和VLAN-ID等信息限制终端的网络资源访问。
上述(B)方案的部署比(A)方案灵活且安全性也有所提高,但(B)方案也不能真正意义上的验证终端用户的合法身份,一旦终端的用户名和密码泄露,别有用心者就可以用泄露的用户信息在企业网络中的任何一台电脑上登录,安全性还是得不到保障。
发明内容
本发明的目的在于克服现有技术中的缺点与不足,提供一种由策略服务器控制的网络准入控制方法。
本发明是通过以下技术方案实现的:一种由策略服务器控制的网络准入控制方法,包括如下步骤:
S1:登记网络终端用户的用户名、密码、登入域及手持设备标识码,并储存至验证服务器的验证数据库中;
S2:在网络终端的登录界面上填写终端用户名并向验证服务器发出获取动态验证码的连接请求;
S3:验证服务器向终端用户的手持设备发送一动态验证码;该步骤S3包括,
S31:验证服务器在验证数据库中检索出所述终端用户名对应的手持设备标识码;
S32:验证服务器随机生成动态验证码;
S33:验证服务器向所述终端用户名对应的手持设备发送该动态验证码,并将该动态验证码存储至验证数据库中对应的终端用户名条目下;
S4:在网络终端上用所述终端用户名、密码、登入域及动态验证码登录,验证服务器校验登录信息成功,则请求策略服务器下发访问控制策略至接入设备,由接入设备控制网络终端接入指定的接入域、验证服务器校验登录信息失败向网络终端发送拒绝登录提示;该步骤S4包括:
S41:网络终端向接入设备发起接入请求,该接入请求包含用户名、密码、登入域及动态验证码;
S42:接入设备将该接入请求转发给验证服务器;
S43:验证服务器检索验证数据库中的用户信息并对所述接入请求进行验证,并将验证结果发送至策略服务器;
S44:如S43中的验证结果为成功,则策略服务器向接入设备下发终端用户名对应的访问控制策略、如S43中的验证结果为失败则通知接入设备向网络终端发送拒绝登录提示。
优选地,所述步骤S1中,所述手持设备标识码为网络终端用户的手机号或微信号。
进一步,所述步骤S3中,所述验证服务器向终端用户的手持设备发送一动态验证码为验证服务器向网络终端用户的手机上发送包括动态验证码的短信,或验证服务器向网络终端用户的手机微信上发送包括动态验证码的信息。
进一步,所述验证服务器是支持RADIUS协议的RADIUS服务器、所述接入设备是支持RADIUS协议的RADIUS客户端。
进一步,所述接入设备为支持802.1X协议的网络设备。
相比于现有技术,本发明的有益效果是:
本发明的由策略服务器控制的网络准入控制方法,在网络终端向验证服务器发送登录验证请求之前,先向验证服务器请求一动态验证码,验证服务器将该动态验证码发送至终端用户的手持设备上,终端用户将终端用户名、密码、登入域及该动态验证码一同作为登录验证信息请求接入网络,通过动态验证码能确定网络终端用户的合法身份;登入域的设定使得一个网络终端用户可以接入不同的逻辑网络中,终端用户访问不同的网络资源更为方便;通过设置专用的策略服务器来向接入设备下发不同的访问控制策略,可减轻验证服务器的工作负荷,提升网络终端接入验证性能,更有效保障网络的接入安全。
为了能更清晰的理解本发明,以下将结合附图说明阐述本发明的较佳的实施方式。
附图说明
图1是现有技术中用RADIUS协议来做终端接入验证的网络连接示意图。
图2是现有技术中用RADIUS协议来做终端接入验证的信令示意图。
图3本发明的由策略服务器控制的网络准入控制方法的信令步骤示意图。
图4本发明的由策略服务器控制的网络准入控制方法的流程图。
图5是图4中S3的流程图。
图6是图4中S4的流程图。
具体实施方式
请同时参阅图1至图6,图1是现有技术中用RADIUS协议来做终端接入验证的网络连接示意图,图2是现有技术中用RADIUS协议来做终端接入验证的信令示意图,图3本发明的由策略服务器控制的网络准入控制方法的信令步骤示意图,图4本发明的由策略服务器控制的网络准入控制方法的流程图,图5是图4中S3的流程图,图6是图4中S4的流程图。
本发明的一种由策略服务器控制的网络准入控制方法,其对应的网络拓扑中包括网络终端、接入设备、验证服务器及策略服务器,所述网络终端、接入设备、验证服务器及策略服务器可为独立安装的软件模块,也可为嵌入网络交换设备中的软件模块,网络拓扑中网络交换设备支持802.1X协议;其中的网络终端提供登录界面以便用户输入接入验证请求、验证服务器和策略服务器提供管理界面以便管理员维护验证数据库或访问控制策略。
见图3和图4,一种由策略服务器控制的网络准入控制方法,包括如下步骤:
S1:登记网络终端用户的用户名、密码、登入域及手持设备标识码,并储存至验证服务器的验证数据库中;作为优选,本实施例中,所述手持设备标识码为网络终端用户的手机号或微信号。
所述一个网络终端用户可以关联多个登入域,每一个登入域对应不同的VLAN ID,即网络终端可以登入不同VLAN ID的逻辑网络中,以便访问不同的网络资源。
S2:在网络终端的登录界面上填写终端用户名并向验证服务器发出获取动态验证码的连接请求;
S3:验证服务器向终端用户的手持设备发送一动态验证码;该步骤S3包括,
S31:验证服务器在验证数据库中检索出所述终端用户名对应的手持设备标识码;
S32:验证服务器随机生成动态验证码;
S33:验证服务器向所述终端用户名对应的手持设备发送该动态验证码,并将该动态验证码存储至验证数据库中对应的终端用户名条目下;
S4:在网络终端上用所述终端用户名、密码、登入域及动态验证码登录,验证服务器校验登录信息成功,则请求策略服务器下发访问控制策略至接入设备,由接入设备控制网络终端接入指定的接入域、验证服务器校验登录信息失败向网络终端发送拒绝登录提示;该步骤中,通过设置专用的策略服务器来向接入设备下发不同的访问控制策略,可减轻验证服务器的工作负荷,提升网络终端接入验证性能,该步骤S4包括:
S41:网络终端向接入设备发起接入请求,该接入请求包含用户名、密码、登入域及动态验证码;
S42:接入设备将该接入请求转发给验证服务器;
S43:验证服务器检索验证数据库中的用户信息并对所述接入请求进行验证,并将验证结果发送至策略服务器;
S44:如S43中的验证结果为成功,则策略服务器向接入设备下发终端用户名对应的访问控制策略、如S43中的验证结果为失败则通知接入设备向网络终端发送拒绝登录提示。
该访问控制策略即访问控制列表ACL,接入设备根据终端用户登入域的不同,给接入端口配置不同的ACL,以便网络终端用户可访问不同的网络资源。
本发明并不局限于上述实施方式,如果对本发明的各种改动或变形不脱离本发明的精神和范围,倘若这些改动和变形属于本发明的权利要求和等同技术范围之内,则本发明也意图包含这些改动和变形。

Claims (5)

1.一种由策略服务器控制的网络准入控制方法,其特征在于,包括以下步骤:
S1:登记网络终端用户的用户名、密码、登入域及手持设备标识码,并储存至验证服务器的验证数据库中;
S2:在网络终端的登录界面上填写终端用户名并向验证服务器发出获取动态验证码的连接请求;
S3:验证服务器向终端用户的手持设备发送一动态验证码;该步骤S3包括,
S31:验证服务器在验证数据库中检索出所述终端用户名对应的手持设备标识码;
S32:验证服务器随机生成动态验证码;
S33:验证服务器向所述终端用户名对应的手持设备发送该动态验证码,并将该动态验证码存储至验证数据库中对应的终端用户名条目下;
S4:在网络终端上用所述终端用户名、密码、登入域及动态验证码登录,验证服务器校验登录信息成功,则请求策略服务器下发访问控制策略至接入设备,由接入设备控制网络终端接入指定的接入域、验证服务器校验登录信息失败向网络终端发送拒绝登录提示;该步骤S4包括:
S41:网络终端向接入设备发起接入请求,该接入请求包含用户名、密码、登入域及动态验证码;
S42:接入设备将该接入请求转发给验证服务器;
S43:验证服务器检索验证数据库中的用户信息并对所述接入请求进行验证,并将验证结果发送至策略服务器;
S44:如S43中的验证结果为成功,则策略服务器向接入设备下发终端用户名对应的访问控制策略、如S43中的验证结果为失败则通知接入设备向网络终端发送拒绝登录提示。
2.根据权利要求1所述的一种由策略服务器控制的网络准入控制方法,其特征在于:所述步骤S1中,所述手持设备标识码为网络终端用户的手机号或微信号。
3.根据权利要求2所述的一种由策略服务器控制的网络准入控制方法,其特征在于:所述步骤S3中,所述验证服务器向终端用户的手持设备发送一动态验证码为验证服务器向网络终端用户的手机上发送包括动态验证码的短信,或验证服务器向网络终端用户的手机微信上发送包括动态验证码的信息。
4.根据权利要求3所述的一种由策略服务器控制的网络准入控制方法,其特征在于:所述验证服务器是支持RADIUS协议的RADIUS服务器、所述接入设备是支持RADIUS协议的RADIUS客户端。
5.根据权利要求4所述的一种由策略服务器控制的网络准入控制方法,其特征在于:所述接入设备为支持802.1X协议的网络设备。
CN201610670103.8A 2016-08-15 2016-08-15 一种由策略服务器控制的网络准入控制方法 Pending CN107770118A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610670103.8A CN107770118A (zh) 2016-08-15 2016-08-15 一种由策略服务器控制的网络准入控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610670103.8A CN107770118A (zh) 2016-08-15 2016-08-15 一种由策略服务器控制的网络准入控制方法

Publications (1)

Publication Number Publication Date
CN107770118A true CN107770118A (zh) 2018-03-06

Family

ID=61259834

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610670103.8A Pending CN107770118A (zh) 2016-08-15 2016-08-15 一种由策略服务器控制的网络准入控制方法

Country Status (1)

Country Link
CN (1) CN107770118A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101068183A (zh) * 2007-06-28 2007-11-07 杭州华三通信技术有限公司 网络准入控制方法及网络准入控制系统
CN101355415A (zh) * 2007-07-26 2009-01-28 万能 实现网络终端安全接入公共网络的方法和系统及其专用网络接入控制器
CN101674232A (zh) * 2008-09-10 2010-03-17 北京艾科网信科技有限公司 一种接入控制服务器、接入控制方法及系统
CN104468534A (zh) * 2014-11-21 2015-03-25 小米科技有限责任公司 账户保护方法及装置
US20160174072A1 (en) * 2014-12-15 2016-06-16 Mark A. Allyn Technologies for controlling network access based on electronic device communication fingerprints

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101068183A (zh) * 2007-06-28 2007-11-07 杭州华三通信技术有限公司 网络准入控制方法及网络准入控制系统
CN101355415A (zh) * 2007-07-26 2009-01-28 万能 实现网络终端安全接入公共网络的方法和系统及其专用网络接入控制器
CN101674232A (zh) * 2008-09-10 2010-03-17 北京艾科网信科技有限公司 一种接入控制服务器、接入控制方法及系统
CN104468534A (zh) * 2014-11-21 2015-03-25 小米科技有限责任公司 账户保护方法及装置
US20160174072A1 (en) * 2014-12-15 2016-06-16 Mark A. Allyn Technologies for controlling network access based on electronic device communication fingerprints

Similar Documents

Publication Publication Date Title
JP7079798B2 (ja) クラウドサービスにおける動的な柔軟な認証のためのシステム及び方法
US8869253B2 (en) Electronic system for securing electronic services
CN109815656A (zh) 登录认证方法、装置、设备及计算机可读存储介质
CN103607372B (zh) 网络接入的认证方法及装置
US7958352B2 (en) Method and system for verifying and updating the configuration of an access device during authentication
CN105027529B (zh) 用于验证对网络资源的用户接入的方法和设备
CN102916946B (zh) 接入控制方法及系统
CN103428211B (zh) 基于交换机的网络认证系统及其认证方法
CN101986598B (zh) 认证方法、服务器及系统
CN106921636A (zh) 身份认证方法及装置
CN109361753A (zh) 一种物联网系统架构与加密方法
CN108022100B (zh) 一种基于区块链技术的交叉认证系统及方法
CN104185181A (zh) 一种基于iptables的WiFi用户接入控制方法
CN104767621B (zh) 一种移动应用访问企业数据的单点安全认证方法
CN109150787A (zh) 一种权限获取方法、装置、设备和存储介质
CN108200039B (zh) 基于动态创建临时账号密码的无感知认证授权系统和方法
US20140173707A1 (en) Disabling Unauthorized Access To Online Services
CN107770117A (zh) 一种安全的网络准入控制方法
CN104918248A (zh) 应用流量管理、应用加速和安全的企业移动安全网关方法
CN107659935A (zh) 一种认证方法、认证服务器、网管系统及认证系统
US20080282331A1 (en) User Provisioning With Multi-Factor Authentication
Wang et al. A new secure OpenID authentication mechanism using one-time password (OTP)
CN104753854A (zh) 设置多种类型认证/授权服务器统一Web接口的方法
Louw et al. Free public Wi-Fi security in a smart city context—an end user perspective
CN107770119A (zh) 一种网络准入指定域的控制方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20180306