网络准入方法、终端准入方法、网络准入装置和终端

摘要

本发明提供了一种网络准入方法、终端准入方法、网络准入装置和终端，该网络准入方法包括：接收终端的网络访问请求；获取所述网络访问请求的IP数据包头部的可选项字段，判断所述可选项字段是否为空，如果所述可选项字段为空，则拒绝所述网络访问请求；如果所述可选项字段不为空，则验证所述可选项字段中的ID号和IP地址是否合法，如果合法，则允许该终端访问网络，如果不合法，则拒绝所述网络访问请求。该网络准入方法、终端准入方法、网络准入装置和终端，部署简单，网络兼容性好，且能够有效控制终端的准入。

说明书

技术领域

本发明涉及网络安全技术领域，更具体地，涉及一种网络准入方法、 终端准入方法、网络准入装置和终端。

背景技术

网络准入控制能够在用户进行网络访问之前确保用户的身份是信任关 系，只有可信赖的计算机才能接入网络，从而防止病毒和蠕虫等新兴黑 客技术对企业安全造成危害。通过准入控制，客户可以只允许合法的、 值得信任的终端设备接入网络，而不允许其它设备接入。

目前常见的网络准入控制有802.1x准入控制和网关型准入控制。

802.1x准入控制的设计强调对交换机端口的控制，要求在用户使用终 端接入前，通过交换机命令将终端隔离在隔离VLAN中（在隔离VLAN 中的终端只允许访问某些指定的网络资源），只有在进行完身份认证后， 才将终端改放在应属的VLAN中（在应属的VLAN中的终端可以正常访 问网络资源）。802.1x准入控制有以下缺陷：

1.部署操作复杂

部署802.1x准入控制时，必须配置AAA服务器、Radius服务器、交 换机，特别是交换机配置相当复杂，不同品牌、型号的交换机的配置命 令多少都有差异。

2.网络兼容性差

部署802.1x准入控制的前提是交换机必须支持802.1x协议，而实际 用户环境使用普通交换机或HUB情况很多，此时无法使用802.1x准入控 制进行准确地控制。

网关型准入控制的设计注重于在网关位置限制非授信终端主机跨网访 问。网关型准入控制具有以下缺陷：

1.没有终端准入控制能力

网关型准入控制不是严格意义上的准入控制，没有对终端接入网络进 行控制，而只是对终端出外网进行了控制，即非授信终端在内部网络是 不受限制的。

发明内容

针对现有技术中存在的上述问题，本发明提供了网络准入方法、终 端准入方法、网络准入装置和终端，用于克服网络准入控制部署复杂、 网络兼容性差和控制能力差的缺陷。

根据本发明的一个方面，提供了一种网络准入方法，其中，包括以 下步骤：

a1)接收终端的网络访问请求；

b1)获取所述网络访问请求的IP数据包头部的可选项字段，判断所 述可选项字段是否为空，

如果所述可选项字段为空，则拒绝所述网络访问请求；

如果所述可选项字段不为空，则验证所述可选项字段中的ID号 和IP地址是否合法，如果合法，则允许该终端访问网络，如果不合 法，则拒绝所述网络访问请求。

根据本发明的另一个方面，还提供了一种终端准入方法，其中，包 括以下步骤：

a2)接收终端的终端访问请求；

b2)获取所述终端访问请求的IP数据包头部的可选项字段，判断所 述可选项字段是否为空，

如果所述可选项字段为空，则拒绝所述终端访问请求；

如果所述可选项字段不为空，则验证所述可选项字段中的ID号 和IP地址是否合法，

如果合法，则允许所述终端访问，

如果不合法，则将所述可选项字段中的ID号和IP地址发送 到终端准入装置，并接收所述终端准入装置的验证信息，

当所述终端准入装置的验证信息表示所述ID号和IP地址 不合法时，则拒绝所述终端访问请求；

当所述终端准入装置的验证信息表示所述ID号和IP地址 合法时，则允许所述终端访问。

根据本发明的另一个方面，还提供了一种网络准入装置，其中，该 网络准入装置包括：

网络访问请求接收模块，用于接收终端的网络访问请求；

验证模块，用于获取所述网络访问请求的IP数据包头部的可选项字 段，判断所述可选项字段是否为空，如果所述可选项字段为空，则拒 绝所述网络访问请求；如果所述可选项字段不为空，则验证所述可选 项字段中的ID号和IP地址是否合法，如果合法，则允许该终端访问 网络，如果不合法，则拒绝所述网络访问请求。

根据本发明的另一个方面，还提供了一种终端，其中，该终端包括： 终端访问请求接收模块，用于接收另一个终端的终端访问请求；

验证模块，用于获取所述终端访问请求的IP数据包头部的可选项字 段，判断所述可选项字段是否为空，如果所述可选项字段为空，则拒 绝所述终端访问请求；如果所述可选项字段不为空，则验证所述可选 项字段中的ID号和IP地址是否合法，如果合法，则允许所述另一个 终端访问，如果不合法，则将所述可选项字段中的ID号和IP地址发 送到终端准入装置，并接收所述终端准入装置的验证信息，当所述终 端准入装置的验证信息表示所述ID号和IP地址不合法时，则拒绝所 述终端访问请求；当所述终端准入装置的验证信息表示所述ID号和IP 地址合法时，则允许所述另一个终端访问。

利用本发明提供的网络准入方法、终端准入方法、网络准入装置和终 端，部署简单，网络兼容性好，且能够有效控制终端的准入。

附图说明

图1是根据本发明的网络准入方法的流程图；

图2是根据本发明安装有客户端的终端通过网络准入装置访问网络 的示意图；

图3是根据本发明的终端准入方法的流程图；

图4是根据本发明的未安装客户端的终端访问安装有客户端的终端 的示意图；

图5是根据本发明的安装有客户端的一个终端访问安装有客户端的 另一个终端的示意图。

具体实施方式

下面结合附图，详细描述本发明的具体实施方式。

图1是根据本发明的网络准入方法的流程图。图2是根据本发明安 装有客户端的终端通过网络准入装置访问网络的示意图。

参考图1和图2，本发明提供了一种终端准入方法，其中，包括以 下步骤：

a1)接收终端的网络访问请求；

b1)获取所述网络访问请求的IP数据包头部的可选项字段，判断所 述可选项字段是否为空，如果所述可选项字段为空，则拒绝所述网络 访问请求；如果所述可选项字段不为空，则验证所述可选项字段中的 ID号和IP地址是否合法，如果合法，则允许该终端访问网络，如果不 合法，则拒绝所述网络访问请求。

其中，终端向网络准入装置发送网络访问请求，只有在网络准入装 置检测到网络访问请求的IP数据包头部的可选项字段不为空，且验证 所述可选项字段中的ID号和IP地址为合法时，才允许该终端访问网 络，否则，网络准入装置将拒绝该终端的网络访问请求。

一般的，为了使用根据本发明的终端准入方法，终端需要先安装客 户端。终端可以先向网络准入装置请求下载客户端，网络准入装置允 许终端下载客户端后，就可以安装该客户端程序。客户端安装成功后， 就可以在终端启动登录窗口，在登录窗口中输入账号和密码，并将包 括该账号和密码的登录请求连同该终端的IP地址一起发送给网络准入 装置。终端准入装置接收到所述终端的登陆请求和IP地址后，验证所 述账号、密码和IP地址是否合法，如果合法，则生成与该终端对应的 ID号，并将该ID号发送到所述终端。所述终端接收到代表自己身份的 ID号后，就将该ID号最为特定数据包标签，填入随后所有从安装有该 客户端的终端发出的每个IP数据包头部的可选项字段中。

因而，本发明的终端准入方法在所述步骤a1）之前，还可以包括以 下步骤：

a11)接收所述终端的登陆请求和IP地址，所述登陆请求包括账号和 密码；

a12)验证所述账号、密码和IP地址是否合法，如果合法，则生成与 该终端对应的ID号，并将该ID号发送到所述终端。

根据一种实施方式，所述网络准入装置可以随机生成与该终端对应 的ID号。

根据另一种，所述网络准入装置通过以下步骤生成与该终端对应的 ID号：

为所述终端生成编号N，对于不同的终端生成不同的编号，优选的， 该编号可以从1开始逐个递增；

为所述终端生成个位尾数W，所述个位尾数W为0到9之间的任 意整数，该尾数W从0开始，每次都逐步递增1，直到9后再返回0， 以此方式一直循环，即为指定终端第一次生成ID时该尾数W=0，下次 再为该终端生成ID时该尾数W=1，以此类推。

生成随机数R，所述随机数的取值范围为：1～（2z-1-N*10-W）/10 ^（L+1），其中，所述z为所述ID号的字节长度（例如，可以为32或16）， 所述L为编号N的位数（例如，在编号N为11时，该编号N的位数 L为2）；

根据以下公式计算得到ID号：ID号=R*（L+1）+L*10+W。

可以理解，上述生成ID号的方式仅是示例性的，本领域的技术人 员也可以采用其他方式生成ID号。

为了能够更好地保证网络访问的安全性，优选的，所述步骤b1)还 可以包括，在允许所述终端访问网络的情况下，记录所述终端对所述网 络的访问时间，当所述访问时间大于预定阈值时，再次生成与该终端对 应的ID号，并将该ID号发送到所述终端。在这种情况下，可以定时地 更换ID号。当终端启动登录窗口时，在登录窗口中输入账号和密码， 并将包括该账号和密码的登录请求连同该终端的IP地址一起发送给网 络准入装置。终端准入装置验证所述账号、密码和IP地址是否合法后， 向所述终端发送代表该终端身份的ID号。所述终端接收到ID号后， 就将该ID号最为特定数据包标签，填入随后所有从安装有该客户端的 终端发出的每个IP数据包头部的可选项字段中，然后通过网络准入装 置访问网络。当所述终端访问网络的时间大于预定阈值（例如1个小 时）时，网络准入装置就重新生成与该终端对应的ID号，并将该新的 ID号发送到所述终端。所述终端接收到新的ID号后，就将该新的ID 号填入随后发送的每个IP数据包头部的可选项字段中。网络准入装置 就根据新的ID号来对所述终端进行验证。

进一步优选的，在将该ID号发送到所述终端后，还可以等待所述 终端的确认消息，在接收到所述终端的确认消息之后，存储所述ID号， 并将ID号启动信息发送所述终端。在这种情况下，当终端从网络准入 装置接收到ID号时，先停止后续的数据包发送工作，将该ID号最为 特定数据包标签，填入随后所有从安装有该客户端的终端发出的每个 IP数据包头部的可选项字段中，并向终端准入装置回复确认消息。终 端准入装置接收到确认消息之后，存储所述ID号，并将ID号启动信 息发送所述终端，终端接收到ID号启用信息之后，恢复数据包发送工 作，并在后续发送的数据包中都填入ID号。

进一步优选的，在所述步骤b1)中，在所述可选项字段中的ID号和 IP地址验证为合法时，通过将所述终端的网络资源请求转发到网络， 以及将网络数据从所述网络转发到所述终端，来允许该终端访问网络。

相应的，本发明还提供了一种终端准入装置，其中，该终端准入装 置包括：网络访问请求接收模块，用于接收终端的网络访问请求；验 证模块，用于获取所述网络访问请求的IP数据包头部的可选项字段， 判断所述可选项字段是否为空，如果所述可选项字段为空，则拒绝所 述网络访问请求；如果所述可选项字段不为空，则验证所述可选项字 段中的ID号和IP地址是否合法，如果合法，则允许该终端访问网络， 如果不合法，则拒绝所述网络访问请求。

优选的，该终端准入装置还可以包括：登陆信息接收模块，用于接 收所述终端的登陆请求和IP地址，所述登陆请求包括账号和密码；ID 号生成模块，用于验证所述账号、密码和IP地址是否合法，如果合法， 则生成与所述终端对应的ID号，并将所述ID号发送到所述终端。

根据一种实施方式，所述ID号生成模块随机生成与该终端对应的 ID号。

根据另一种实施方式，所述ID号生成模块通过以下步骤生成与该 终端对应的ID号：

为所述终端生成编号N，对于不同的终端生成不同的编号；

为所述终端生成个位尾数W，所述个位尾数W为0到9之间的任 意整数；

生成随机数R，所述随机数的取值范围为：1～（2z-1-N*10-W）/10 （L+1），其中，所述z为所述ID号的字节长度，所述L为编号N的 位数；

根据以下公式计算ID号：ID号=R*（L+1）+L*10+W。

优选的，该终端准入装置还可以包括：计时模块，用于在允许所述 终端访问网络的情况下，记录所述终端对所述网络的访问时间，当所 述访问时间大于预定阈值时，向所述ID号生成模块发送超时信息；所 述ID号生成模块还用于在接收到所述超时信息时，生成与所述终端对 应的ID号，并将所述ID号发送到所述终端。

优选的，所述验证模块还用于在所述ID号生成模块将所述ID号发 送到所述终端后，等待所述终端的确认消息，在接收到所述终端的确 认消息之后，存储所述ID号，并将ID号启动信息发送所述终端。

优选的，该终端准入装置还可以包括转发模块，用于在所述验证模 块验证所述可选项字段中的ID号和IP地址为合法时，将所述终端的 网络资源请求转发到网络，以及将网络数据从所述网络转发到所述终 端。

为了防范网络监听的风险，终端与终端准入装置之间通信还可以采 用加密传输。

根据本发明的终端准入装置串联部署在网络关口处，例如可以部署 在交换机或防火墙之间，或者防火墙与终端主机之间等，只要能够部 署在终端主机与网络之间必经的链路上即可。当终端请求通过终端准 入装置访问网络时，该终端准入装置验证终端的网络请求的的IP数据 包头部的可选项字段是否为空，如果为空则拒绝网络访问请求，如果 不为空，则进一步验证该可选项字段中的ID号和IP地址是否合法，在 合法的情况下，才允许终端访问网络。从而有效实现了终端对网络访问 的安全控制，且网络兼容性好，不需要特定型号、特定品牌的交换机， 也不需要交换机支持特定的网络协议，只需要终端主机下载安装客户端 即可，实施简单，成本低。

安装有客户端的终端除了可以主动访问网络，还可以访问其他终端以 及被其他终端访问。

本发明还提供了一种终端准入方法，用于限制一个终端访问另一个 终端的访问权限，从而保证终端之间互相进行访问的安全性。

图3是根据本发明的终端准入方法的流程图。

参考图3-5，根据本发明的终端准入方法包括以下步骤：

a2)接收终端的终端访问请求；

b2)获取所述终端访问请求的IP数据包头部的可选项字段，判断所 述可选项字段是否为空，

如果所述可选项字段为空，则拒绝所述终端访问请求；

如果所述可选项字段不为空，则验证所述可选项字段中的ID号和 IP地址是否合法，

如果合法，则允许所述终端访问，

如果不合法，则将所述可选项字段中的ID号和IP地址发送到终 端准入装置，并接收所述终端准入装置的验证信息，

当所述终端准入装置的验证信息表示所述ID号和IP地址不 合法时，则拒绝所述终端访问请求；

当所述终端准入装置的验证信息表示所述ID号和IP地址合 法时，则允许所述终端访问。

其中，根据本发明的终端接收到另一个终端的终端访问请求时，检 测到该终端访问请求的IP数据包头部的可选项字段是否为空，如果为 空则拒绝该终端访问请求，如果不为空，则现在终端本地验证可选项 字段中的ID号和IP地址是否为合法，如果合法，则允许另一终端的 访问，如果在本地验证不合法，就将ID号和IP地址再发送到终端准 入装置，由终端准入装置进行进一步验证。

一般的，使用该终端准入方法的终端需要安装有客户端。图4是根 据本发明的未安装客户端的终端访问安装有客户端的终端的示意图。 图5是根据本发明的安装有客户端的一个终端访问安装有客户端的另

参考图4，当未安装客户端的终端B访问安装有客户端的终端A时， 终端A接收到终端访问请求后，检测到未安装客户端的终端B的访问 请求的IP数据包头部的可选项字段为空，由此，拒绝终端B的请求， 不允许终端B访问终端A。

参考图5，当安装有客户端的终端B访问安装有客户端的终端A时， 终端A接收到终端访问请求后，检测到未安装客户端的终端B的访问 请求的IP数据包头部的可选项字段不为空，先在本地验证可选项字段 中的ID号和IP地址，将可选项字段中的ID号和IP地址与存储在终端 A本地的ID号和IP地址进行比较，判断是否有匹配的ID号和IP地址， 如果有，则终端B的访问请求的IP数据包头部的可选项字段中的ID 号和IP地址合法，此时，允许终端B访问终端A。如果终端A本地没 有匹配的ID号和IP地址，则将所述可选项字段中的ID号和IP地址发 送到网络准入装置，由所述网络准入装置进行进一步的验证，当所述 网络准入装置验证所述ID号和IP地址合法时，就发送验证信息通知 终端A所述ID号和IP地址合法，终端A就允许终端B访问。当所述 网络准入装置验证所述ID号和IP地址不合法时，就发送验证信息通 知终端A所述ID号和IP地址不合法，终端A就拒绝终端B的终端访 问请求，不允许终端B访问终端A。终端A和终端B等终端可以经由 交换机与网络准入装置进行数据交换，交换机的使用对于本领域的技 术人员来说是公知的，再次不再赘述。

优选的，所述步骤b2)还包括：在允许所述终端访问的情况下，存 储所述终端的ID号和IP地址。

如图5所示，如果终端A本地没有匹配的ID号和IP地址，网络准 入装置进行进一步验证所述ID号和IP地址合法时，在向终端A返回 验证信息通知终端A所述ID号和IP地址合法的同时，还可以向终端A 返回终端B的最新ID号，终端A可以存储终端B的新的ID号以及IP 地址，以便之后终端B再次访问终端A时，可以在本地对终端B的访问 请求进行验证。

相应的，本发明还提供了一种终端，其中，该终端包括：终端访问 请求接收模块，用于接收另一个终端的终端访问请求；验证模块，用 于获取所述终端访问请求的IP数据包头部的可选项字段，判断所述可 选项字段是否为空，如果所述可选项字段为空，则拒绝所述终端访问 请求；如果所述可选项字段不为空，则验证所述可选项字段中的ID号 和IP地址是否合法，如果合法，则允许所述另一个终端访问，如果不 合法，则将所述可选项字段中的ID号和IP地址发送到终端准入装置， 并接收所述终端准入装置的验证信息，当所述终端准入装置的验证信 息表示所述ID号和IP地址不合法时，则拒绝所述终端访问请求；当 所述终端准入装置的验证信息表示所述ID号和IP地址合法时，则允 许所述另一个终端访问。

优选的，该终端还可以包括：存储模块，用于在所述验证模块允许 所述另一个终端访问的情况下，存储所述终端的ID号和IP地址。