CN110401672B - 一种基于虚拟网卡的网络访问控制系统及方法 - Google Patents

一种基于虚拟网卡的网络访问控制系统及方法 Download PDF

Info

Publication number
CN110401672B
CN110401672B CN201910723050.5A CN201910723050A CN110401672B CN 110401672 B CN110401672 B CN 110401672B CN 201910723050 A CN201910723050 A CN 201910723050A CN 110401672 B CN110401672 B CN 110401672B
Authority
CN
China
Prior art keywords
token
access
data packet
network access
access controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910723050.5A
Other languages
English (en)
Other versions
CN110401672A (zh
Inventor
孙晓鹏
廖正赟
李亚运
闫鹏飞
邵尉
李顶占
卫志刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Xinda Jiean Information Technology Co Ltd
Original Assignee
Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Xinda Jiean Information Technology Co Ltd filed Critical Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority to CN201910723050.5A priority Critical patent/CN110401672B/zh
Publication of CN110401672A publication Critical patent/CN110401672A/zh
Application granted granted Critical
Publication of CN110401672B publication Critical patent/CN110401672B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2212/00Encapsulation of packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种基于虚拟网卡的网络访问控制系统,包括:用户终端,用于通过网络接入控制器将包含用户身份信息的token请求信息发送至身份鉴别服务器并接收返回的token;还用于通过客户端将获取的访问数据封装后生成访问IP数据包发送至虚拟网卡;以及用于通过虚拟网卡将获取的访问IP数据包再进行封装生成访问UDP数据包后发送至网络接入控制器;网络接入控制器,用于对接收到的访问UDP数据包进行剥离处理获取访问IP数据包、token或用户身份信息;以及进行token合法性验证并将验证通过的访问IP数据包进行SNAT转换处理后再根据预置的策略转发至应用服务器;另外,本发明还提供一种基于虚拟网卡的网络访问控制方法。

Description

一种基于虚拟网卡的网络访问控制系统及方法
技术领域
本发明涉及网络访问控制技术领域,具体涉及一种基于虚拟网卡的网络访问控制系统及方法。
背景技术
虚拟网卡是一种软件模拟技术,通过软件的方式在计算机虚拟出一块“网卡”,这个网卡的功能和真实的网卡的功能完全一样,虚拟网卡也有个一个地址,通过该虚拟地址虚拟网卡可以和外部网络进行无差别的通讯。
现有的网络访问控制方法中,通常在客户端向应用服务器发起访问请求后,可采用第三方身份鉴别服务器完成对客户端用户的身份鉴别和授权,从而实现对客户端用户的访问控制,然而,在这种情形下,无法满足对外部网络的请求进行集中、统一的认证,以及采用虚拟网卡如何对访问IP数据包进行处理,保证客户端与应用服务器可在不同局域网内进行通讯,不受限于本地应用,部署灵活是目前急需解决的问题。
为了解决上述所存在的问题,人们一直在寻求一种理想的技术解决方案。
发明内容
本发明的目的在于针对现有技术中存在的不足,从而提供一种基于虚拟网卡的网络访问控制系统及方法,采用虚拟网卡和网络接入控制器结合的方式,通过客户端和虚拟网卡对访问数据在应用层和网络层进行封装处理,以及通过网络接入控制器对数据进行解析剥离处理后转发至应用服务器,实现客户端对应用服务器的访问控制,使得在不同局域网内还能进行通讯;此外,设置网络接入控制器可对外部客户端网络的请求进行集中、统一的认证,授权网络资源,只有授权的用户才能进行后续访问。
为达到上述目的,本发明采用的技术方案如下:
一种基于虚拟网卡的网络访问控制系统,包括:用户终端、网络接入控制器、身份鉴别服务器和应用服务器,所述用户终端包括客户端、虚拟网卡和物理网卡;所述用户终端通过所述网络接入控制器分别与所述身份鉴别服务器、所述应用服务器进行通信连接;
所述用户终端,用于通过所述网络接入控制器将包含用户身份信息的token请求信息发送至所述身份鉴别服务器并接收所述身份鉴别服务器返回的token;还用于通过所述客户端将获取的访问数据添加第一报头以及所述token或用户身份信息后生成访问IP数据包,再将所述访问IP数据包发送至所述虚拟网卡;以及用于通过所述虚拟网卡使用UDP协议将获取的所述访问IP数据包进行封装,添加第二报头后生成访问UDP数据包,再经由所述物理网卡发送至所述网络接入控制器;
所述网络接入控制器,用于对接收到的所述访问UDP数据包进行剥离处理,获取所述访问IP数据包以及所述token或用户身份信息;以及基于所述token或用户身份信息进行token合法性验证并将验证通过的所述访问IP数据包进行SNAT转换处理后再根据预置的策略转发至所述应用服务器;
所述身份鉴别服务器,用于对所述token请求信息进行验证处理以及根据用户身份信息生成token并分别返回所述token至所述网络接入控制器和所述用户终端进行保存;
其中,所述第一报头中包括源IP和目的IP,所述源IP为用户终端IP,所述目的地址为应用服务器IP;所述第二报头中包括源IP’和目的IP’,所述源IP’为虚拟网卡IP,所述目的IP’为所述网络接入控制器的外口IP;所述SNAT转换包括将所述源IP转换成所述网络接入控制器的内口IP。
基于上述,所述网络接入控制器对所述token进行合法性验证包括token直接比对或token校验。
基于上述,所述token直接比对包括:所述网络接入控制器将对所述访问UDP数据包进行剥离处理后获取的token与所述网络接入控制器保存的token进行比对,若一致,则比对通过;否则,比对失败。
基于上述,所述token校验包括:所述网络接入控制器根据所述用户身份信息计算获得token,并将所述token与所述网络接入控制器保存的token进行比对,若一致,则验证通过;否则,验证失败。
本发明还提供一种应用所述的网络访问控制系统的网络访问控制方法,所述网络访问控制方法包括:
S1,用户终端的客户端通过物理网卡将包含用户身份信息的token请求信息发送至网络接入控制器;
S2,所述网络接入控制器将所述token请求信息转发至身份鉴别服务器;
S3,所述身份鉴别服务器对所述token请求信息进行验证处理和并根据用户身份信息生成token;
S4,所述身份鉴别服务器将所述token发送至所述网络接入控制器进行保存;
S5,所述身份鉴别服务器将所述token通过所述物理网卡发送至所述客户端;
S6,所述客户端将获取的访问数据添加包括第一报头和所述token后生成访问IP数据包,再将所述访问IP数据包发送至所述虚拟网卡;所述第一报头中包括源IP和目的IP,所述源IP为用户终端IP,所述目的地址为应用服务器IP;
S7,所述虚拟网卡将获取的所述访问IP数据包使用UDP协议进行封装添加第二报头生成访问UDP数据包后再发送至所述物理网卡;所述第二报头中包括源IP’和目的IP’,所述源IP’ 为虚拟IP,所述目的IP’为网络接入控制器的外口IP;
S8,所述物理网卡将所述访问IP数据包转发至所述网络接入控制器;
S9,所述网络接入控制器对接收到的所述访问UDP数据包进行剥离处理,获取所述访问IP数据包和token,并基于所述token进行token合法性验证;
S10,所述网络接入控制器将验证通过后的所述访问IP数据包进行SNAT转换处理后再根据预置的策略转发至所述应用服务器;所述SNAT转换包括将所述源IP转换成所述网络接入控制器的内口IP。
基于上述,所述网络接入控制器对所述token进行合法性验证包括token直接比对,所述token直接比对具体包括:所述网络接入控制器将所述访问UDP数据包进行剥离处理后获取的token与所述网络接入控制器保存的token进行比对验证,若一致,则验证通过;否则,验证失败。
本发明还提供一种应用所述的网络访问控制系统的网络访问控制方法,所述网络访问控制方法包括:
S1,用户终端的客户端通过物理网卡将包含用户身份信息的token请求信息发送至网络接入控制器;
S2,所述网络接入控制器将所述token请求信息转发至身份鉴别服务器;
S3,所述身份鉴别服务器对所述token请求信息进行验证处理和并根据用户身份信息生成token;
S4,所述身份鉴别服务器将所述token发送至所述网络接入控制器进行保存;
S5,所述身份鉴别服务器将所述token通过所述物理网卡发送至所述客户端;
S6,所述客户端将获取的访问数据添加包括第一报头和用户身份信息后生成访问IP数据包,再将所述访问IP数据包发送至所述虚拟网卡;所述第一报头中包括源IP和目的IP,所述源IP为用户终端IP,所述目的地址为应用服务器IP;
S7,所述虚拟网卡将获取的所述访问IP数据包使用UDP协议进行封装添加第二报头生成访问UDP数据包后再发送至所述物理网卡;所述第二报头中包括源IP’和目的IP’,所述源IP’ 为虚拟IP,所述目的IP’为网络接入控制器的外口IP;
S8,所述物理网卡将所述访问IP数据包转发至所述网络接入控制器;
S9,所述网络接入控制器对接收到的所述访问UDP数据包进行剥离处理,获取所述访问IP数据包和用户身份信息,并基于用户身份信息进行token合法性验证;
S10,所述网络接入控制器将验证通过后的所述访问IP数据包进行SNAT转换处理后再根据预置的策略转发至所述应用服务器;所述SNAT转换包括将所述源IP转换成所述网络接入控制器的内口IP。
基于上述,所述网络接入控制器对所述token进行合法性验证包括token校验,所述token校验具体包括:所述网络接入控制器根据对接收到的所述访问UDP数据包进行剥离处理后获取的用户身份信息计算获得token,并将所述token与所述网络接入控制器保存的token进行比对验证,若一致,则验证通过;否则,验证失败。
本发明具有突出的实质性特点和显著的进步,具体的说:通过客户端和虚拟网卡对访问数据在应用层和网络层进行IP封装处理和添加token或用户身份信息后生成访问IP数据包,并使用UDP协议进行处理生成访问UDP数据包,以及通过网络接入控制器对访问UDP数据包进行解析剥离处理获取访问IP数据包、token或用户身份信息,再对token验证通过的访问IP数据包进行SNAT转换处理后再根据预置的策略转发至所述应用服务器,实现客户端对应用服务器的访问控制,使得在不同局域网内还能进行通讯;通过身份鉴别服务器能够有效验证用户终端的用户身份信息,根据用户身份信息生成token并发至网络接入控制器进行保存,设置网络接入控制器通过token验证可对外部客户端网络的请求进行集中、统一的认证,授权网络资源,只有授权的用户才能进行后续访问。
附图说明
图1为本发明网络访问控制系统的结构原理图;
图2为本发明一种网络访问控制方法的流程图。
图3为本发明第二种网络访问控制方法的流程图。
具体实施方式
为了使本发明能够更加清楚,下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
如图1所示,一种基于虚拟网卡的网络访问控制系统,包括:用户终端、网络接入控制器、身份鉴别服务器和应用服务器,所述用户终端包括客户端、虚拟网卡和物理网卡;所述用户终端通过所述网络接入控制器分别与所述身份鉴别服务器、所述应用服务器进行通信连接;
所述用户终端,用于通过所述网络接入控制器将包含用户身份信息的token请求信息发送至所述身份鉴别服务器并接收所述身份鉴别服务器返回的token;还用于通过所述客户端将获取的访问数据添加第一报头以及所述token或用户身份信息后生成访问IP数据包,再将所述访问IP数据包发送至所述虚拟网卡;以及用于通过所述虚拟网卡使用UDP协议将获取的所述访问IP数据包进行封装,添加第二报头后生成访问UDP数据包,再经由所述物理网卡发送至所述网络接入控制器;
所述网络接入控制器,用于对接收到的所述访问UDP数据包进行剥离处理,获取所述访问IP数据包以及所述token或用户身份信息;以及基于所述token或用户身份信息进行token合法性验证并将验证通过的所述访问IP数据包进行SNAT转换处理后再根据预置的策略转发至所述应用服务器;
所述身份鉴别服务器,用于对所述token请求信息进行验证处理以及根据用户身份信息生成token并分别返回所述token至所述网络接入控制器和所述用户终端进行保存;
其中,所述第一报头中包括源IP和目的IP,所述源IP为用户终端IP,所述目的地址为应用服务器IP;所述第二报头中包括源IP’和目的IP’,所述源IP’为虚拟网卡IP,所述目的IP’为所述网络接入控制器的外口IP;所述SNAT转换包括将所述源IP转换成所述网络接入控制器的内口IP。
具体的,所述token合法性验证包括token直接比对或token校验。
具体的所述token直接比对包括:所述网络接入控制器将接收到的所述访问UDP数据包进行剥离处理后获取的token与所述网络接入控制器保存的token进行比对,若一致,则验证通过;否则,验证失败。
具体的,所述token校验包括:所述网络接入控制器根据所述用户身份信息计算获得token,并将所述token与所述网络接入控制器保存的token进行比对,若一致,则验证通过;否则,验证失败。
如图2所示,本发明还提供一种应用所述的网络访问控制系统的网络访问控制方法,所述网络访问控制方法包括:
S1,用户终端的客户端通过物理网卡将包含用户身份信息的token请求信息发送至网络接入控制器;
S2,所述网络接入控制器将所述token请求信息转发至身份鉴别服务器;
S3,所述身份鉴别服务器对所述token请求信息进行验证处理和并根据用户身份信息生成token;
S4,所述身份鉴别服务器将所述token发送至所述网络接入控制器进行保存;
S5,所述身份鉴别服务器将所述token通过所述物理网卡发送至所述客户端;
S6,所述客户端将获取的访问数据添加包括第一报头和所述token后生成访问IP数据包,再将所述访问IP数据包发送至所述虚拟网卡;所述第一报头中包括源IP和目的IP,所述源IP为用户终端IP,所述目的地址为应用服务器IP;
S7,所述虚拟网卡将获取的所述访问IP数据包使用UDP协议进行封装添加第二报头生成访问UDP数据包后再发送至所述物理网卡;所述第二报头中包括源IP’和目的IP’,所述源IP’ 为虚拟IP,所述目的IP’为网络接入控制器的外口IP;
S8,所述物理网卡将所述访问IP数据包转发至所述网络接入控制器;
S9,所述网络接入控制器对接收到的所述访问UDP数据包进行剥离处理,获取所述访问IP数据包和token,并基于所述token进行token合法性验证;
具体的,所述token合法性验证包括token直接比对,所述token直接比对具体包括:所述网络接入控制器将所述访问UDP数据包进行剥离处理后获取的token与所述网络接入控制器保存的token进行比对验证,若一致,则验证通过;否则,验证失败;
S10,所述网络接入控制器将验证通过后的所述访问IP数据包进行SNAT转换处理后再根据预置的策略转发至所述应用服务器;所述SNAT转换包括将所述源IP转换成所述网络接入控制器的内口IP。
如图3所示,本发明还提供第二种应用所述的网络访问控制系统的网络访问控制方法,所述网络访问控制方法包括:
S1,用户终端的客户端通过物理网卡将包含用户身份信息的token请求信息发送至网络接入控制器;
S2,所述网络接入控制器将所述token请求信息转发至身份鉴别服务器;
S3,所述身份鉴别服务器对所述token请求信息进行验证处理和并根据用户身份信息生成token;
S4,所述身份鉴别服务器将所述token发送至所述网络接入控制器进行保存;
S5,所述身份鉴别服务器将所述token通过所述物理网卡发送至所述客户端;
S6,所述客户端将获取的访问数据添加包括第一报头和用户身份信息后生成访问IP数据包,再将所述访问IP数据包发送至所述虚拟网卡;所述第一报头中包括源IP和目的IP,所述源IP为用户终端IP,所述目的地址为应用服务器IP;
S7,所述虚拟网卡将获取的所述访问IP数据包使用UDP协议进行封装添加第二报头生成访问UDP数据包后再发送至所述物理网卡;所述第二报头中包括源IP’和目的IP’,所述源IP’ 为虚拟IP,所述目的IP’为网络接入控制器的外口IP;
S8,所述物理网卡将所述访问IP数据包转发至所述网络接入控制器;
S9,所述网络接入控制器对接收到的所述访问UDP数据包进行剥离处理,获取所述访问IP数据包和用户身份信息,并基于用户身份信息进行token合法性验证;
具体的,所述token合法性验证包括token校验,所述token校验具体包括:所述网络接入控制器根据对接收到的所述访问UDP数据包进行剥离处理后获取的用户身份信息计算获得token,并将所述token与所述网络接入控制器保存的token进行比对验证,若一致,则验证通过;否则,验证失败;
S10,所述网络接入控制器将验证通过后的所述访问IP数据包进行SNAT转换处理后再根据预置的策略转发至所述应用服务器;所述SNAT转换包括将所述源IP转换成所述网络接入控制器的内口IP。
本发明通过客户端和虚拟网卡对访问数据在应用层和网络层进行IP封装处理和添加token或用户身份信息后生成访问IP数据包,并使用UDP协议进行处理生成访问UDP数据包,以及通过网络接入控制器对访问UDP数据包进行解析剥离处理获取访问IP数据包、token或用户身份信息,再对token验证通过的访问IP数据包进行SNAT转换处理后再根据预置的策略转发至所述应用服务器,实现客户端对应用服务器的访问控制,使得在不同局域网内还能进行通讯;通过身份鉴别服务器能够有效验证用户终端的用户身份信息,根据用户身份信息生成token并发至网络接入控制器进行保存,设置网络接入控制器通过token验证可对外部客户端网络的请求进行集中、统一的认证,授权网络资源,只有授权的用户才能进行后续访问。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,所属领域的普通技术人员在不脱离本发明技术方案的精神下,对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换,其均应涵盖在本发明请求保护的技术方案范围当中。

Claims (8)

1.一种基于虚拟网卡的网络访问控制系统,其特征在于,包括:用户终端、网络接入控制器、身份鉴别服务器和应用服务器,所述用户终端包括客户端、虚拟网卡和物理网卡;所述用户终端通过所述网络接入控制器分别与所述身份鉴别服务器、所述应用服务器进行通信连接;
所述用户终端,用于通过所述网络接入控制器将包含用户身份信息的token请求信息发送至所述身份鉴别服务器并接收所述身份鉴别服务器返回的token;还用于通过所述客户端将获取的访问数据添加第一报头以及所述token或用户身份信息后生成访问IP数据包,再将所述访问IP数据包发送至所述虚拟网卡;以及用于通过所述虚拟网卡使用UDP协议将获取的所述访问IP数据包进行封装,添加第二报头后生成访问UDP数据包,再经由所述物理网卡发送至所述网络接入控制器;
所述网络接入控制器,用于对接收到的所述访问UDP数据包进行剥离处理,获取所述访问IP数据包以及所述token或用户身份信息;以及基于所述token或用户身份信息进行token合法性验证并将验证通过的所述访问IP数据包进行SNAT转换处理后再根据预置的策略转发至所述应用服务器;
所述身份鉴别服务器,用于对所述token请求信息进行验证处理以及根据用户身份信息计算获得token并分别返回所述token至所述网络接入控制器和所述用户终端进行保存;
其中,所述第一报头中包括源IP和目的IP,所述源IP为用户终端IP,所述目的地址为应用服务器IP;所述第二报头中包括源IP’和目的IP’,所述源IP’为虚拟网卡IP,所述目的IP’为所述网络接入控制器的外口IP;所述SNAT转换包括将所述源IP转换成所述网络接入控制器的内口IP。
2.根据权利要求1所述的网络访问控制系统,其特征在于,所述token合法性验证包括token直接比对或token校验。
3.根据权利要求2所述的网络访问控制系统,其特征在于,所述token直接比对包括:所述网络接入控制器将对所述访问UDP数据包进行剥离处理后获取的token与所述网络接入控制器保存的token进行比对,若一致,则比对通过;否则,比对失败。
4.根据权利要求2所述的网络访问控制系统,其特征在于,所述token校验包括:所述网络接入控制器根据所述用户身份信息计算获得token,并将所述token与所述网络接入控制器保存的token进行比对,若一致,则验证通过;否则,验证失败。
5.一种应用权利要求1所述的网络访问控制系统的网络访问控制方法,其特征在于,所述网络访问控制方法包括:
S1,用户终端的客户端通过物理网卡将包含用户身份信息的token请求信息发送至网络接入控制器;
S2,所述网络接入控制器将所述token请求信息转发至身份鉴别服务器;
S3,所述身份鉴别服务器对所述token请求信息进行验证处理并根据用户身份信息计算获得token;
S4,所述身份鉴别服务器将所述token发送至所述网络接入控制器进行保存;
S5,所述身份鉴别服务器将所述token通过所述物理网卡发送至所述客户端;
S6,所述客户端将获取的访问数据添加包括第一报头和所述token后生成访问IP数据包,再将所述访问IP数据包发送至所述虚拟网卡;所述第一报头中包括源IP和目的IP,所述源IP为用户终端IP,所述目的地址为应用服务器IP;
S7,所述虚拟网卡将获取的所述访问IP数据包使用UDP协议进行封装添加第二报头生成访问UDP数据包后再发送至所述物理网卡;所述第二报头中包括源IP’和目的IP’,所述源IP’为虚拟网卡 IP,所述目的IP’为网络接入控制器的外口IP;
S8,所述物理网卡将所述访问IP数据包转发至所述网络接入控制器;
S9,所述网络接入控制器对接收到的所述访问UDP数据包进行剥离处理,获取所述访问IP数据包和token,并基于所述token进行token合法性验证;
S10,所述网络接入控制器将验证通过后的所述访问IP数据包进行SNAT转换处理后再根据预置的策略转发至所述应用服务器;所述SNAT转换包括将所述源IP转换成所述网络接入控制器的内口IP。
6.根据权利要求5所述的网络访问控制方法,其特征在于,所述token合法性验证包括token直接比对,所述token直接比对具体包括:所述网络接入控制器将所述访问UDP数据包进行剥离处理后获取的token与所述网络接入控制器保存的token进行比对验证,若一致,则验证通过;否则,验证失败。
7.一种应用权利要求1所述的网络访问控制系统的网络访问控制方法,其特征在于,所述网络访问控制方法包括:
S1,用户终端的客户端通过物理网卡将包含用户身份信息的token请求信息发送至网络接入控制器;
S2,所述网络接入控制器将所述token请求信息转发至身份鉴别服务器;
S3,所述身份鉴别服务器对所述token请求信息进行验证处理并根据用户身份信息计算获得token;
S4,所述身份鉴别服务器将所述token发送至所述网络接入控制器进行保存;
S5,所述身份鉴别服务器将所述token通过所述物理网卡发送至所述客户端;
S6,所述客户端将获取的访问数据添加包括第一报头和用户身份信息后生成访问IP数据包,再将所述访问IP数据包发送至所述虚拟网卡;所述第一报头中包括源IP和目的IP,所述源IP为用户终端IP,所述目的地址为应用服务器IP;
S7,所述虚拟网卡将获取的所述访问IP数据包使用UDP协议进行封装添加第二报头生成访问UDP数据包后再发送至所述物理网卡;所述第二报头中包括源IP’和目的IP’,所述源IP’为虚拟网卡 IP,所述目的IP’为网络接入控制器的外口IP;
S8,所述物理网卡将所述访问IP数据包转发至所述网络接入控制器;
S9,所述网络接入控制器对接收到的所述访问UDP数据包进行剥离处理,获取所述访问IP数据包和用户身份信息,并基于用户身份信息进行token合法性验证;
S10,所述网络接入控制器将验证通过后的所述访问IP数据包进行SNAT转换处理后再根据预置的策略转发至所述应用服务器;所述SNAT转换包括将所述源IP转换成所述网络接入控制器的内口IP。
8.根据权利要求7所述的网络访问控制方法,其特征在于,所述token合法性验证包括token校验,所述token校验具体包括:所述网络接入控制器根据对接收到的所述访问UDP数据包进行剥离处理后获取的用户身份信息计算获得token,并将所述token与所述网络接入控制器保存的token进行比对验证,若一致,则验证通过;否则,验证失败。
CN201910723050.5A 2019-08-06 2019-08-06 一种基于虚拟网卡的网络访问控制系统及方法 Active CN110401672B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910723050.5A CN110401672B (zh) 2019-08-06 2019-08-06 一种基于虚拟网卡的网络访问控制系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910723050.5A CN110401672B (zh) 2019-08-06 2019-08-06 一种基于虚拟网卡的网络访问控制系统及方法

Publications (2)

Publication Number Publication Date
CN110401672A CN110401672A (zh) 2019-11-01
CN110401672B true CN110401672B (zh) 2021-07-13

Family

ID=68327606

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910723050.5A Active CN110401672B (zh) 2019-08-06 2019-08-06 一种基于虚拟网卡的网络访问控制系统及方法

Country Status (1)

Country Link
CN (1) CN110401672B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111934971B (zh) * 2020-08-12 2022-04-05 杭州默安科技有限公司 一种跨越三层网络映射业务到多vlan多ip进行本地网络访问的方法和装置
CN112311768B (zh) * 2020-09-29 2022-06-28 新华三信息安全技术有限公司 非http协议应用的策略中心、控制系统、方法、介质及设备
CN112260925B (zh) * 2020-09-30 2022-04-29 厦门汉印电子技术有限公司 虚拟网络的电子秤数据传输方法、装置、设备及存储介质
CN112511505A (zh) * 2020-11-16 2021-03-16 北京中关村银行股份有限公司 一种鉴权系统、方法、装置、设备和介质

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102065125A (zh) * 2010-11-18 2011-05-18 广州致远电子有限公司 一种嵌入式ssl vpn的实现方法
CN102281180A (zh) * 2011-07-14 2011-12-14 冶金自动化研究设计院 应用于不同局域网的终端相互通讯的虚拟网卡通讯装置
CN103188753B (zh) * 2011-12-27 2016-05-25 中国移动通信集团山东有限公司 基于异构网络之间不同链路进行数据传输的方法及装置
CN103747076B (zh) * 2013-12-31 2017-07-07 曙光云计算技术有限公司 云平台的访问方法和装置
CN106331024A (zh) * 2015-06-30 2017-01-11 中兴通讯股份有限公司 访问云数据的方法及装置
US10225084B1 (en) * 2015-12-29 2019-03-05 EMC IP Holding Company LLC Method, apparatus and computer program product for securely sharing a content item
CN107347046A (zh) * 2016-05-04 2017-11-14 北京化工大学 一种跨网段的数据报头压缩实现方法

Also Published As

Publication number Publication date
CN110401672A (zh) 2019-11-01

Similar Documents

Publication Publication Date Title
CN110401672B (zh) 一种基于虚拟网卡的网络访问控制系统及方法
CN107104872B (zh) 接入控制方法、装置及系统
Urien et al. An innovative solution for cloud computing authentication: Grids of EAP-TLS smart cards
CN101557406B (zh) 一种用户终端的认证方法、装置及系统
US10348721B2 (en) User authentication
CN107493280A (zh) 用户认证的方法、智能网关及认证服务器
CN108769292B (zh) 报文数据处理方法及装置
US10277586B1 (en) Mobile authentication with URL-redirect
CN110365701B (zh) 客户终端设备的管理方法、装置、计算设备及存储介质
US20150289301A1 (en) Terminal matching method, terminal and system
CN110650075B (zh) 基于vxlan的组策略实现方法、网络设备和组策略实现系统
US11265244B2 (en) Data transmission method, PNF SDN controller, VNF SDN controller, and data transmission system
CN104580553A (zh) 网络地址转换设备的识别方法和装置
CN111343083B (zh) 即时通信方法、装置、电子设备及可读存储介质
WO2012130049A1 (zh) 地址处理方法及装置
TW201010361A (en) Method and system for handover authentication
CN107872445A (zh) 接入认证方法、设备和认证系统
CN105491169A (zh) 一种数据代理方法与系统
CN115021958A (zh) 一种雾计算与区块链融合的智能家居身份认证方法与系统
CN110474922B (zh) 一种通信方法、pc系统及接入控制路由器
CN103051594A (zh) 一种标识网端到端安全建立的方法、网络侧设备及系统
CN108123807B (zh) 宽带网络中用户身份溯源的系统和方法
CN109819440A (zh) 鉴权的方法和装置
CN107342994A (zh) 智能音响认证方法、智能音响、终端设备及系统
CN110943962B (zh) 一种认证方法、网络设备和认证服务器以及转发设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A Network Access Control System and Method Based on Virtual Network Card

Granted publication date: 20210713

Pledgee: Bank of Zhengzhou Co.,Ltd. Zhongyuan Science and Technology City Sub branch

Pledgor: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd.

Registration number: Y2024980007004

PE01 Entry into force of the registration of the contract for pledge of patent right