网络接入控制系统及设备技术方案

本实用新型专利技术公开了一种网络接入控制系统，该系统包括：用户终端，用于 确定本用户终端是否满足预先设置的网络接入条件，若是，则开通本用户终端 的网络连接端口；否则，关闭本用户终端的网络连接端口；网络接入控制设备， 用于在所述用户终端确定本用户终端满足所述网络接入条件时，开通所述用户 终端连接的交换机的网络连接端口；在所述用户终端确定本用户终端不满足所 述网络接入条件时，关闭所述用户终端连接的交换机的网络连接端口。本实用 新型还公开了一种用户终端、网络接入控制设备和网关接入控制设备系统。采 用本实用新型专利技术，能够有效地提高网络接入控制的安全性。（*该技术在2018年保护过期，可自由使用*）

【技术实现步骤摘要】

本技术涉及网络安全领域，尤其涉及一种网络接入控制系统及设备。
技术介绍
现有的网络接入控制系统如图1所示，该系统包括用户终端、网皿入控 制设备、网络接入认证策略服务器、接入用户终端的交换机等，用户终端中安 装有接入控制软件。用户终端要访问网络时，接入控制软件通过网络接入控制设备向网络4秦入 认证策略服务器发送包含用户输入的帐号和口令的验证请求。网络接入认证策 略服务器根据接收到的验证请求对用户进行身份认证，并将身份认证结果和存 储的安全策略通过网络接入控制设备返回给用户终端。用户终端的接入控制软 件在根据接收到的身份认证结果确定身份认证通过后，根据接收到的安全策略 对用户终端进行验证，判断用户终端是否满足该安全策略，若满足，则通知网 络接入控制设备允许本用户终端接入网络，若不满足，则通知网络接入控制设 备禁止本用户终端接入网络。网络接入控制设备在接收到允许用户终端接入网 络的通知时，控制连接该用户终端的交换机打开本交换机的网络接入端口，从 而使得用户终端能够接入网络。上述网络接入控制方案中，若用户终端上的接入控制软件由于感染病毒等原因可能会发生如下错误在身份认证未通过或验证不满足相关安全策略时仍 向网络接入控制设备发送允许本用户终端接入网络的通知；或者，在身份i人i正 通过并且验证满足相关安全策略时不向网络接入控制设备发送允许本用户终 端接入网络的通知。从而降低了网络接入控制的安全性。
技术实现思路
本技术实施例提供一种网络接入控制系统及设备，用以提高对用户终 端的网络接入控制的安全性。本技术实施例提供一种网络接入控制系统，该系统包括 用户终端，用于确定本用户终端是否满足预先设置的网络接入条件，若是， 则开通本用户终端的网络连接端口；否则，关闭本用户终端的网络连接端口；网络接入控制设备，用于在所述用户终端确定本用户终端满足所述网^# 入条件时，开通所述用户终端连接的交换机的网络连接端口；在所述用户终端 确定本用户终端不满足所述网络接入条件时，关闭所述用户终端连接的交换机 的网络连接端口。本技术实施例提供一种用户终端，该用户终端包括 接入控制模块，用于确定所述用户终端是否满足网络接入条件； 安全防护模块，用于在所述接入控制模块确定所述用户终端满足网络接入 条件时，开通本用户终端的网络连接端口；在所述接入控制模块确定所述用户 终端不满足网络接入条件时，关闭所述用户终端的网络连接端口。本技术实施例提供一种网络接入控制设备，所述网^#入控制设备包括端口开通;f莫块，用于在用户终端确定该用户终端满足网络接入条件并且网 关接入控制设备判断所迷用户终端包括的接入控制模块和/或安全防护模块合 法时，开通所述用户终端连接的交换机的网络连接端口；端口关闭模块，用于在用户终端确定该用户终端不满足网络接入条件或网关接入控制设备判断所述用户终端包括的接入控制模块或安全防护模块非法 时，关闭所述用户终端连接的交换机的网络连接端口。本技术实施例提供一种网关接入控制设备，该网关接入控制设备包括信息接收模块，用于接收所述用户终端发来的该用户终端包括的接入控制 模块和/或安全防护模块的进程信息；第一判断模块，用于根据所述信息接收模块接收到的接入控制模块的进 程信息判断所述接入控制模块的合法性；第二判断模块，用于根据所述信息接收模块接收到的所述安全防护模块 的进程信息判断所述安全防护模块的合法性。该网关接入控制设备与包括接入 控制模块和安全防护模块的用户终端相连，该网关接入控制设备包括本技术中，用户终端在确定本用户终端满足预先设置的网^4妻入条件 时，开通本用户终端的网络连接端口， 在不满足预先设置的网络接入条件时， 关闭本用户终端的网络连接端口 ，避免了在本用户终端满足网络接入条件而网络接入控制设备错误的关闭该用户终端连接的交换机的网络连接端口所造成 的用户无法正常接入网络的问题，也避免了在本用户终端不满足网络接入条件 而网络接入控制设备错误的开通该用户终端连接的交换机的网络连接端口所 造成的非法用户能够接入网络的问题，进而提高了网络接入控制的安全性。附图说明图1为现有技术中网络介入控制系统的结构示意图； 图2为技术4是供的网全备介入控制系统的结构示意图； 图3为技术提供的用户终端的结构示意图； 图4为技术提供的网^t妄入控制设备的结构示意图； 图5为技术提供的网关接入控制设备的结构示意图。具体实施方式为了提高对用户终端的网*^1妄入控制的安全性，本技术提供一种网络接入控制系统，本系统中，用户终端在确定本用户终端满足预先设置的网络接 入条件时，开通本用户终端的网络连接端口，在不满足预先设置的网络接入条 件时，关闭本用户终端的网络连接端口。参见图2，本技术提供的网络接入控制系统包括用户终端20、交换机 21、网络接入控制设备22，用户终端20与交换机21相连，交换机21与网络 接入控制设备22相连，其中用户终端20,用于确定本用户终端是否满足预先设置的网络接入条件，若 是，则开通本用户终端的网络连接端口；否则，关闭本用户终端的网络连接端 口。该网络连接端口为传输控制协议(TCP)连接端口。网络接入控制设备22,用于在用户终端确定本用户终端满足网络接入条件 时，开通该用户终端连接的交换机的网络连接端口；在用户终端确定本用户终 端不满足网络接入条件时，关闭该用户终端连接的交换机的网络连接端口。该 网络连接端口为该交换机与路由器的连接端口 。用户终端在确定本用户终端满足预先设置的网络接入条件后，可以通过交 换机向网络接入控制设备发送允许用户终端接入网络的通知，网络接入控制设 备根据该通知确定该用户终端确定本用户终端满足网络接入条件；用户终端在 确定本用户终端不满足预先设置的网络接入条件后，可以通过交换机向网络接 入控制设备发送禁止用户终端接入网络的通知，网络接入控制设备根据该通知 确定该用户终端确定本用户终端不满足网络接入条件。本系统进一步包括认证策略服务器23，该认证策略服务器于网络接入控制 设备相连；用户终端具体包括接入控制模块和安全防护模块，其中接入控制模块，用于通过交换机和网络接入控制设备向认证策略服务器发息，在接收到的用户身份认证结果为用户身份认证通过并且判断本用户终端满 足接收到的安全策略时，确定本用户终端满足网络接入条件，并向安全防护模块发送端口开启通知；在接收到的用户身份认证结果为用户身份认证未通过或 者判断本用户终端不满足接收到的安全策略时，确定本用户终端不满足网络接 入条件，并向安全防护模块发送端口关闭通知；安全防护模块，用于在接收到接入控制模块发来的端口开启通知时开通本 用户终端的网络连接端口；在接收到接入控制模块发来的端口关闭通知时关闭 本用户终端的网络连#~端口 ；认证策略服务器23,用于根据接收到的接入控制模块发来的验证请求进行 用户身份认证，将用户身份认证结果和保存的安全策略信息通过网络接入控制 设备和交换机发送给该接入控制模块。用户终端在确定本用户终端满足预先设置的网络接入条件时，开通本用户 终端的网络连接端口，在不满足预先设置的网络接入条件时，关闭本用户终端 的网络连接端口 ，避免了在本用户终端满足网络接入条件而网络接入控制设备 错误的关闭该本文档来自技高网...

【技术保护点】
一种网络接入控制系统，其特征在于，该系统包括：　用户终端，用于确定本用户终端是否满足预先设置的网络接入条件，若是，则开通本用户终端的网络连接端口；否则，关闭本用户终端的网络连接端口；　网络接入控制设备，用于在所述用户终端确定本用 户终端满足所述网络接入条件时，开通所述用户终端连接的交换机的网络连接端口；在所述用户终端确定本用户终端不满足所述网络接入条件时，关闭所述用户终端连接的交换机的网络连接端口。

【技术特征摘要】
1、一种网络接入控制系统，其特征在于，该系统包括用户终端，用于确定本用户终端是否满足预先设置的网络接入条件，若是，则开通本用户终端的网络连接端口；否则，关闭本用户终端的网络连接端口；网络接入控制设备，用于在所述用户终端确定本用户终端满足所述网络接入条件时，开通所述用户终端连接的交换机的网络连接端口；在所述用户终端确定本用户终端不满足所述网络接入条件时，关闭所述用户终端连接的交换机的网络连接端口。2、 如权利要求l所述的系统，其特征在于，该系统进一步包括 认证策略服务器，用于根据接收到的所述用户终端发来的验证请求进行用户身份认证，将用户身份认证结果和保存的安全策略信息发送给所述用户终所述用户终端用于向所述认证策略服务器发送验证请求；接收所述认证策略服务器发来的用 户身份认证结果和安全策略信息，在所述用户身份认证结果为用户身份认证通 过并且判断所述用户终端满足所述安全策略时，确定所述用户终端满足所述网户终端不满足所述安全策略时，确定所述用户终端不满足所述网络接入条件。3、 如权利要求2所述的系统，其特征在于，所述用户终端包括 接入控制模块，用于向认证策略服务器发送验证请求；接收所述认证策略服务器发来的用户身份认证结果和安全策略信息，在所述用户身份认证结果为 用户身份认证通过并且判断所述用户终端满足所述安全策略时，确定所述用户 终端满足所述网络接入条件，并向安全防护模块发送端口开启通知；在所述用全策略时，确定所述用户终端不满足所述网络接入条件，并向安全防护模块发 送端口关闭通知；安全防护^t块，用于在接收到所述端口开启通知时开通本用户终端的网络 连接端口 ；在接收到所述端口关闭通知时关闭本用户终端的网络连接端口 。4、 如权利要求3所述的系统，其特征在于，该系统进一步包括网关接入控制设备，用于根据接收到的所述用户终端发来的所述接入控制 模块的进程信息判断所述接入控制模块的合法性；根据接收到的所述用户终端 发来的所述安全防护模块的进程信息判断所述安全防护模块的合法性；所述网络接入控制设备用于，在所述用户终端确定本用户终端满足网络接 入条件并且所述网关接入控制设备判断所述接入控制模块和/或所述安全防护 模块合法时，开通所述用户终端连接的交换机的网络连接端口；在所述网关接 入控制设备判断所述t妄入控制才莫块或所述安全防护^t块非法时，关闭所述用户 终端连接的交换机的网络连接端口 。5、 如权利要求4所述的系统，其特征在于，所述网关接入控制设备包括 第 一 匹配模块，用于根据预先设置的接入控制进程特征码对所述接入控制模块的进程信息进行匹配；第一确定模块，用于在所述第一匹配模块的匹配成功时，判断所述接入控 制模块合法；在所述第一匹配模块的匹配失败时，判断所述接入控制模块非 法。6、 如权利要求4或5所述的系统，其特征在于，所述网关接入控制设备 包括第二匹配模块，用于根据预先设置的安全防护进程特征码对所述安全防护模块的进程信息进行匹配；第二确定模块，用于在所述第二匹配模块的匹配成功时，判断所述安全防护模块合法；在所述第二匹配模块的匹配失败时，判断所述安全防护模块非法。7、 一种用户终端，其特征在于，该用户终端包括 接入控制...

【专利技术属性】
技术研发人员：桂永宏，
申请(专利权)人：中国移动通信集团广西有限公司，
类型：实用新型
国别省市：45