【技术实现步骤摘要】
本专利技术属于网络接入控制,尤其是涉及一种对使用客户端发起接入申请的设备的认证控制方法及使用该方法的接入控制系统。
技术介绍
1、随着信息技术的发展,越来越多的设备与终端接入互联网,特别是对于企业来说,为了满足工作和业务需要,设备的种类、型号众多,面临着不可信终端的随意接入可能带来的企业网络及信息资源违规占用、病毒木马泛滥、企业资料泄密以及越权访问等诸多安全问题。
2、局域网环境安全问题同样日渐突出,企业面临内部威胁、分支机构、访客和移动办公等带来的终端接入控制压力,以利益驱动的专业黑客往往锁定企业终端为目标,利用终端中的安全漏洞,获取对重要资源未经授权的访问,进而对核心业务系统发起攻击,造成数据被窃听或破坏,核心业务中断、恶意代码、信息泄密等安全事故,使企业业务和信誉受到损失。
3、为了对接入网络的终端进行管理,安全网关设备多采用客户端接入认证,一旦客户端被认证通过,对应的终端ip便允许接入互联网,网关即开始通过ip实现对终端的网络监控。但是由于网络中存在多种多样的设备和用户以及对应的权限,如果对每一个设备或用户都分别进行认证处理,会占用过多的管理资源,因此目前急需一种网络访问控制技术方案,实现终端、网络使用的过程化管理。
技术实现思路
1、鉴于上述背景,本专利技术旨在提供一种客户端接入网络的控制方法以及应用该方法实现设备安全接入的控制系统,以提高网络的安全管理效率。
2、一方面,提出一种客户端接入控制方法,包括:
3、根据当前生效
4、根据所述认证参数生成认证信息,并发起登录认证请求;
5、根据所述接入控制策略,对不同认证模式的请求进行处理,并返回认证结果。
6、较佳的,上述的认证模式,包括通过用户名和密码进行认证:将输入的用户名与密码与预存的信息进行对比,根据对比结果输出认证结果,并返回是否允许接入。
7、认证模式,包括通过主机特征进行认证:发起认证请求时,获取当前设备的唯一身份标识与该标识的hash值,与预存的信息进行对比,根据对比结果输出认证结果,并返回是否允许接入。
8、较佳的,发起认证请求之前,获取当前生效的接入控制策略版本号,与本地数据库保存的版本号进行对比,若不一致则更新策略。
9、进一步的,认证请求的处理过程,具体包括:
10、接收认证信息;
11、根据发起请求的设备mac获取对应的接入控制策略,并根据策略对ip-mac绑定、用户设备绑定、接入时段进行校验;
12、校验通过后,根据认证请求的模式,进行相应的802.1x认证处理,发送审计日志消息,并返回认证结果。
13、较佳的,对不同模式的认证请求分别处理,包括:
14、若认证模式为用户名+密码认证,则输入的密码,与预发送的密码进行比对;
15、若认证模式为主机特征认证,则获取设备对应的ip与mac,与预发送的设备mac比对,并获取mac=ip的ntlm hash值与密码比对。
16、并且,认证通过后,维持与服务器的通信,保证接入控制运行过程中网络的连通状态。
17、第二方面,提出一种客户端接入控制系统,该系统包括客户端与服务端:
18、所述客户端,通过心跳接口获取策略版本号,当与本地保存的版本号不同时,对数据库保存的策略进行更新;读取本地接入控制策略,并根据策略的认证模式发起登录认证;以及记录客户端操作日志并上报;
19、所述服务端,包括radius服务,用于根据时段策略设置客户端接入的时间校验;客户端的ip-mac绑定、用户-设备绑定;对客户端发起的登录请求进行802.1x认证;保存审计日志。
20、较佳的,客户端模块,包括:
21、心跳模块,通过心跳接口,获取接入控制策略版本号,与本地sqlite数据库保存的版本号进行比对,若版本号不同则通过接口更新数据库中的接入策略与版本号,若版本号相同则不做操作;
22、认证模块,接收认证消息并发送认证结果;与服务端通信,完成802.1x认,以及认证结束后,维持与服务端的通信,保证接入控制运行过程中,网络的连通;
23、数据库模块,用于保存客户端的当前接入控制策略及版本号,预存用户名与密码,预存客户端所在设备的ip与mac;
24、通信模块,连接客户端与服务端,与服务端进行通信,发送认证消息和接收认证记过。
25、进一步的,服务端,接收所述认证模块发送的消息;根据设备mac获取认证设备的接入控制策略并根据策略对ip-mac绑定、用户-设备绑定与接入时段进行校验;校验通过后根据认证模式进行处理,并返回认证结果。
26、采用上述技术方案的本专利技术实施例,至少具有以下有益效果:预先创建接入控制策略,为相同网络资源与接入权限的客户端接入请求进行相应的配置。当客户端发起认证请求时,根据预设接入控制策略规定的认证模式,获取相应的认证信息到服务端,服务端根据认证模式分别进行认证处理,并返回认证结果,有效提高了认证处理效率,对于实现高效的网络安全准入控制具有积极意义。
本文档来自技高网...【技术保护点】
1.一种客户端接入控制方法,其特征在于,包括:
2.根据权利要求1所述的接入控制方法,其特征在于,所述认证模式,包括通过用户名和密码进行认证:将输入的用户名与密码与预存的信息进行对比,根据对比结果输出认证结果,并返回是否允许接入。
3.根据权利要求1所述的接入控制方法,其特征在于,所述认证模式,包括通过主机特征进行认证:发起认证请求时,获取当前设备的唯一身份标识与该标识的hash值,与预存的信息进行对比,根据对比结果输出认证结果,并返回是否允许接入。
4.根据权利要求1-3任一所述的接入控制方法,其特征在于,发起认证请求之前,获取当前生效的接入控制策略版本号,与本地数据库保存的版本号进行对比,若不一致则更新策略。
5.根据权利要求1-3任一所述的接入控制方法,其特征在于,所述认证请求的处理过程,具体包括:
6.根据权利要求5所述的接入控制方法,其特征在于,所述对不同模式的认证请求分别处理,包括:
7.根据权利要求6所述的接入控制方法,其特征在于,认证通过后,维持与服务器的通信,保证接入控制运行过程中网络的连通
8.一种客户端接入控制系统,该系统包括客户端与服务端,其特征在于:
9.根据权利要求8所述的接入控制装置,其特征在于,所述客户端模块,包括:
10.根据权利要求8或9所述的接入控制装置,其特征在于,所述服务端,接收所述认证模块发送的消息;根据设备MAC获取认证设备的接入控制策略并根据策略对ip-mac绑定、用户-设备绑定与接入时段进行校验;校验通过后根据认证模式进行处理,并返回认证结果。
...【技术特征摘要】
1.一种客户端接入控制方法,其特征在于,包括:
2.根据权利要求1所述的接入控制方法,其特征在于,所述认证模式,包括通过用户名和密码进行认证:将输入的用户名与密码与预存的信息进行对比,根据对比结果输出认证结果,并返回是否允许接入。
3.根据权利要求1所述的接入控制方法,其特征在于,所述认证模式,包括通过主机特征进行认证:发起认证请求时,获取当前设备的唯一身份标识与该标识的hash值,与预存的信息进行对比,根据对比结果输出认证结果,并返回是否允许接入。
4.根据权利要求1-3任一所述的接入控制方法,其特征在于,发起认证请求之前,获取当前生效的接入控制策略版本号,与本地数据库保存的版本号进行对比,若不一致则更新策略。
5.根据权利要求1-3任一所述的接入控制方法...
【专利技术属性】
技术研发人员:折振振,刘亚轩,周莎,王平,马璐,
申请(专利权)人:西安交大捷普网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。