网络准入控制方法及网络准入控制系统

摘要

本发明公开了一种网络准入控制方法，接入设备接收客户端的登录信息，并发送到策略服务器，该登录信息包括用户身份信息及所访问的域信息；策略服务器对登录信息进行认证；当认证成功时，策略服务器向接入设备下发该用户在所述域下的准入控制信息，由接入设备对用户所访问的网络进行控制。本发明还公开了网络准入控制系统。通过本发明公开的网络准入控制方法和网络准入控制系统，提高了用户在不同逻辑网段切换的便捷性；保证了用户访问不同逻辑网段的安全性。

说明书

技术领域

本发明涉及通信控制领域，尤其涉及一种网络准入控制方法以及网络准入控制系统。

背景技术

在终端接入网络过程中，不同级别的用户对网络业务、网络安全等方面的要求存在很大的不同，目前，主要采用下面两种技术方案实现对不同用户的区别处理。

其一为将不同网络逻辑隔离的方案，即直接静态地将交换机端口划分给不同的虚拟局域网(Virtual Local Area Network，简称VLAN)，例如交换机端口1～10分配给VLAN1，端口11～20分配给VLAN2，端口20～23分配给VLAN3；则根据终端使用者的要求，通过网线将终端分别接入不同的交换机端口。

可以看出，该技术方案占用了过多的交换机端口资源，且网络布线复杂，成本较高；且当终端用户需要访问不同的逻辑网段时，需要切换网线所连接的交换机端口，非常繁琐；同时，该技术方案中VLAN的权限是由管理员统一设置的，无法对用户进行安全认证，也不能针对不同用户的要求分别使用不同的安全策略。

另一方案为对不同的用户名进行认证的方案，由策略服务器根据用户名下发安全策略和访问权限。以利用远程拨号用户认证服务(RemoteAuthentication Dial In User Service，简称RADIUS)技术为例，其网络连接如图1所示，其中，接入设备可以为交换机，其与客户端的通信通过802.1X协议进行；具体认证过程如图2所示：(1)接入设备接收到客户端用户发送的认证请求；(2)接入设备将其发送给RADIUS服务器；(3)用户通过认证后，RADIUS服务器根据预先设置的用户访问权限策略，向接入设备下发相应的访问控制列表(Access Control List，简称ACL)和VLAN信息；(4)接入设备向客户端发送认证成功指令，并根据ACL和VLAN信息限制用户的实际访问。

上述根据用户名下发安全策略和访问权限的方式，虽然可以实现对不同用户的区别控制，但该方案占用了过多的用户名资源，导致在存储、认证等各个环节都增加了网络资源的开销。

发明内容

本发明为了克服上述现有技术中的缺陷，提供一种网络准入控制方法和网络准入控制系统，在用户接入网络过程中实现切换简便和较少占用资源的目的。

为实现上述目的，本发明的实施例提供了一种网络准入控制方法，包括以下步骤：

接入设备接收客户端的登录信息，并发送到策略服务器；所述登录信息包括用户身份信息及所访问的域信息；所述策略服务器对所述用户身份信息进行认证；当认证成功时，所述策略服务器向接入设备下发该用户在所述域下的准入控制信息，由所述接入设备对用户所访问的网络进行控制。

本发明的实施例还提供了一种网络准入控制系统，包括依次连接的信息上报单元、信息转发单元、信息认证单元以及准入控制单元；还包括准入控制信息存储单元，与所述信息认证单元连接，用于分别保存同一用户名在各域下的准入控制信息，并提供给所述信息认证单元执行认证。

本发明的实施例还提供了一种网络准入控制系统，包括客户端、接入设备和策略服务器；所述客户端设有本发明实施例所提供的信息上报单元；所述接入设备设有本发明实施例所提供的信息转发单元以及准入控制单元；所述策略服务器设有本发明实施例所提供的信息认证单元和准入控制信息存储单元。

由上述技术方案可知，本发明通过区分用户名所登录域，采用针对不同域名，区别配置准入控制信息的方式，具有以下有益效果：

1、提高用户在不同逻辑网段切换的便捷性；

2、保证用户访问不同逻辑网段的安全性；

3、进一步下发安全策略，实现安全策略部署的灵活性。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

图1为现有技术中策略服务器对用户名进行认证的网络连接示意图；

图2为现有技术中策略服务器对用户名进行认证的流程示意图；

图3为本发明所提供的网络准入控制方法实施例1的流程图；

图4为本发明所提供的网络准入控制方法实施例2的流程图；

图5为本发明所提供的网络准入控制方法实施例3的流程示意图；

图6为图5所示方法实施例中，其中一次登录信息的示意图；

图7为图5所示方法实施例中，另外一次登录信息的示意图；

图8为本发明所提供的网络准入控制系统一实施例的框图；

图9为本发明所提供的另一网络准入控制系统一实施例的框图。

具体实施方式

为了在保证用户访问不同逻辑网络安全性的同时，提高用户进行网络切换的便利性，本发明的实施例提供了网络准入控制的相应技术方案。

参见图1，为本发明所提供的网络准入控制方法的实施例1的流程图，包括以下步骤：

步骤101、接入设备接收客户端的登录信息，并发送到策略服务器，所述登录信息包括用户身份信息(如用户名)以及所访问的域信息(如域名)；

比如，可以通过在用户名后加上指定域名的方式进行接入认证。

所述登录信息还可以包括用户密码，以增强认证安全性。

步骤102、策略服务器对用户登录信息进行认证；

步骤103、策略服务器识别认证结果，认证成功则执行步骤104，否则向接入设备返回拒绝登录指令，所述接入设备不向客户端提供网络接入服务，结束；

步骤104、策略服务器向接入设备下发该用户在所述域下的准入控制信息，所述准入控制信息包括所述域下用户的访问权限；

为了实现这一步骤，在策略服务器中需要预先设置任一用户名在各域下的准入控制信息，即针对不同的域，为用户配置不同的准入控制信息。具体可以通过在策略服务器上，为同一用户名配置多服务来实现该用户在不同域下准入控制信息的设置。其中，所述域为相互隔离的逻辑网段，比如，学校财务网络和教师办公网络相互隔离，属于不同的域；一个普通教师可能在教师办公网络中具有发布信息和浏览的权限，但在学校财务网络中可能只具有某些网络资源浏览权限，需要在策略服务器中预先分别设置准入控制权限。

因此，该准入控制信息至少包括该用户对应不同域的访问权限，该访问权限可以包括ACL和VLAN信息，从而能够限制用户所能访问的相应的逻辑网段。

步骤105、接入设备根据所述准入控制信息中的访问权限，对用户所访问的网络进行控制；比如，允许访问一些网络资源，拒绝对一些网络资源的访问等。

通过本发明所提供的网络准入控制方法的实施例1，使用户在访问不同的逻辑网段时，只要输入相应的域名进行登录即可实现访问权限的动态灵活下发，无需布局繁复的网线，也无需过多占用交换机端口和用户名资源，既保证了逻辑网络控制的安全性，又极为便捷，尤其是用于需要经常访问相互隔离的逻辑网段的用户。

进一步的，在网络准入控制过程中，可以从网络终端入手，整合网络接入控制和终端安全产品，强制实施特定逻辑网段的整体安全策略，从而加强网络的主动防御能力，防止“危险”“易感染”终端接入网络，从而避免病毒、蠕虫的蔓延。

为此，可以在准入控制信息中设置安全策略，所述安全策略包括违规软件安装监控策略、补丁版本检查策略和/或防病毒监控策略。通过该安全策略的下发和监控，能够实现网络访问控制与客户端防病毒软件的联动，从而在终端接入层面帮助管理员统一实施所在逻辑网段的安全策略，大幅度提高网络的整体安全。参见图4，为本发明所提供的网络准入控制方法的实施例2的流程图，步骤201～步骤203与步骤101～步骤103相同；与实施例1有所区别的是，当步骤203登录信息认证通过后，先执行以下步骤：

步骤2041、策略服务器通过接入设备向客户端下发所述域的安全策略；

步骤2042、客户端根据所述安全策略要求，自动采集、上报相关信息给接入设备，由接入设备将相关信息转发给策略服务器；其中，该相关信息根据安全策略的要求采集，可能包括客户端当前的防火墙安全级别、补丁版本号以及所安装的软件信息等；

步骤2043、该策略服务器进行相应的安全策略认证，认证通过执行步骤2044，认证失败则执行步骤2045；

步骤2044、策略服务器向接入设备下发该用户在所述域下的准入控制信息，所述准入控制信息包括所述域下用户的访问权限和安全策略认证成功结果，然后执行步骤205；

步骤2045、策略服务器向接入设备下发该用户在所述域下的准入控制信息，所述准入控制信息包括所述域下用户的访问权限和安全策略认证失败结果，然后执行步骤205；

步骤205中、接入设备根据所述准入控制信息中的访问权限以及该安全策略认证结果，对用户所访问的网络进行控制；

其中，根据安全策略认证结果进行控制包括：对通过安全策略审核的情况，视该客户端符合安全要求；而在未通过安全策略审核的情况下，可以将不符合安全要求的终端限制在“隔离区”内，并进行风险提示，由用户选择是否继续进行接入，或者直接向接入设备返回拒绝登录指令。从而，可以防止“危险”终端对网络安全的损害，避免“易感”终端受病毒、蠕虫的攻击，大幅度提高逻辑网段的整体安全。

可以看出，通过本发明网络准入控制方法的实施例2，还可以进一步实现安全策略的动态下发，提高了安全策略部署的灵活性。

在上述网络准入控制方法实施例1和实施例2的基础上，还可以包括当接入设备接收到客户端的下线信息后，清空所述准入控制信息的步骤。这样，当用户需要访问另一个网段时，只需要先下线再用新的用户名、密码和域名重新上线就可切换到另一个逻辑网络，保证了在接入不同逻辑网络时的安全性和便利性。本发明所提供的网络准入控制方法的实施例3，为基于多域名实现用户访问权限切换，如图5所示，包括以下步骤：

301、用户通过用户@域名的方式，向接入设备发送逻辑网段a的登录认证请求；如图6所示，输入信息为abc@office；

302、接入设备向策略服务器请求认证；

303、服务器确认是合法用户后，向接入设备下发该逻辑网段a的安全策略(如违规软件的安装、补丁版本检查、防病毒监控等)；

304、接入设备将安全策略下发给客户端；

305、客户端自动采集、上报的所述安全策略要求的相关信息给接入设备；

306、接入设备将该信息转发给策略服务器；

307、策略服务器执行安全策略认证，并将安全策略认证结果和该用户的访问权限(如ACL、VLAN)下发给接入设备；

308、接入设备启用逻辑网段a的ACL或者VLAN；

309、在安全策略认证成功的情况下，接入设备向客户端发送认证成功指令；

310、客户端发送用户下线信息给接入设备；

311、接入设备向策略服务器发送该下线信息；

312、接入设备接收到策略服务器反馈；

313、接入设备释放逻辑网段a的ACL或者VLAN；

314、用户使用相同的用户名和不同的域名，向接入设备发送逻辑网段b的登录认证请求；如图7所示，输入信息为abc@lab；

315、接入设备向策略服务器请求认证；

316、服务器确认是合法用户后，向接入设备下发该逻辑网段b的安全策略(如违规软件的安装、补丁版本检查、防病毒监控等)；

317、接入设备将安全策略下发给客户端；

318、客户端自动采集、上报的所述安全策略要求的相关信息给接入设备；

319、接入设备将该信息转发给策略服务器；

320、策略服务器执行安全策略认证，并将安全策略认证结果和该用户的访问权限(如ACL、VLAN)下发给接入设备；

321、接入设备启用逻辑网段b的ACL或者VLAN；

322、在安全策略认证成功的情况下，接入设备向客户端发送认证成功指令。

本领域技术人员能够理解，在多协议标记交换(Multi-Protocol LabelSwitching，简称MPLS)/虚拟专用网(Virtual private network，简称VPN)网络中，通过多域认证后下发的VLAN还可以实现不同VPN之间的访问切换。

本发明的实施例还提供了一种网络准入控制系统，如图8所示，包括依次连接的信息上报单元1、信息转发单元2、信息认证单元3以及准入控制单元4；还包括准入控制信息存储单元5，与所述信息认证单元3连接，用于分别保存同一用户名在各域下的准入控制信息，并提供给所述信息认证单元3执行认证。

其中，所述准入控制信息存储单元5可以包括访问权限存储单元51和安全策略存储单元52，该访问权限存储单元51用于保存任一用户名在不同域下的访问权限；该安全策略存储单元52用于保存不同域的安全策略。

在具体的实现过程中，信息上报单元1将登录信息经过信息转发单元2发送给信息认证单元3执行认证；对于认证通过的情况，信息认证单元3调用准入控制信息存储单元5中所保存的安全策略，通过信息转发单元2下发给信息上报单元1，要求信息上报单元1采集安全策略的相关信息，并通过信息转发单元2上报给信息认证单元3执行认证；对于认证通过的情况，信息认证单元3调用准入控制信息存储单元5中保存的访问权限，与安全策略认证结果一起，发送给准入控制单元4；进一步的，准入控制单元4执行网络准入控制。

可以看出，图8所示系统实施例是由功能块实现的，可以具有不同的物理实现方式，比如，可以用一个数据列表来维护任一用户名及其不同域下的准入控制信息和安全策略，从而实现准入控制信息存储单元5的功能。

本发明还提供了一种实际应用中的网络准入控制系统，其实施例如图9所示，包括客户端C、接入设备A和策略服务器B，所述客户端C设有信息上报单元1，接入设备A设有信息转发单元2以及准入控制单元4，并通过这两个单元与客户端C和策略服务器B交互；策略服务器B设有信息认证单元3和准入控制信息存储单元5。

最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围。