網絡準入方法�、終端準入方法、網絡準入裝置和終端的制作方法
【專利摘要】本發(fā)明提供了一種網絡準入方法����、終端準入方法、網絡準入裝置和終端�����,該網絡準入方法包括:接收終端的網絡訪問請求;獲取所述網絡訪問請求的IP數據包頭部的可選項字段���,判斷所述可選項字段是否為空����,如果所述可選項字段為空�����,則拒絕所述網絡訪問請求�;如果所述可選項字段不為空,則驗證所述可選項字段中的ID號和IP地址是否合法����,如果合法,則允許該終端訪問網絡����,如果不合法�����,則拒絕所述網絡訪問請求���。該網絡準入方法����、終端準入方法、網絡準入裝置和終端���,部署簡單��,網絡兼容性好����,且能夠有效控制終端的準入���。
【專利說明】網絡準入方法�����、終端準入方法��、網絡準入裝置和終端
【技術領域】
[0001]本發(fā)明涉及網絡安全【技術領域】�,更具體地�,涉及一種網絡準入方法、終端準入方法����、網絡準入裝置和終端���。
【背景技術】
[0002]網絡準入控制能夠在用戶進行網絡訪問之前確保用戶的身份是信任關系,只有可信賴的計算機才能接入網絡��,從而防止病毒和蠕蟲等新興黑客技術對企業(yè)安全造成危害���。通過準入控制��,客戶可以只允許合法的����、值得信任的終端設備接入網絡�,而不允許其它設備接入。
[0003]目前常見的網絡準入控制有802.1x準入控制和網關型準入控制�����。
[0004]802.1x準入控制的設計強調對交換機端口的控制����,要求在用戶使用終端接入前��,通過交換機命令將終端隔離在隔離VLAN中(在隔離VLAN中的終端只允許訪問某些指定的網絡資源),只有在進行完身份認證后����,才將終端改放在應屬的VLAN中(在應屬的VLAN中的終端可以正常訪問網絡資源)。802.1x準入控制有以下缺陷:
[0005]1.部署操作復雜
[0006]部署802.1x準入控制時�����,必須配置AAA服務器��、Radius服務器�����、交換機���,特別是交換機配置相當復雜�����,不同品牌���、型號的交換機的配置命令多少都有差異。
[0007]2.網絡兼容性差
[0008]部署802.1x準入控制的前提是交換機必須支持802.1x協(xié)議���,而實際用戶環(huán)境使用普通交換機或HUB情況很多�����,此時無法使用802.1x準入控制進行準確地控制���。
[0009]網關型準入控制的設計注重于在網關位置限制非授信終端主機跨網訪問�。網關型準入控制具有以下缺陷:
[0010]1.沒有終端準入控制能力
[0011]網關型準入控制不是嚴格意義上的準入控制�,沒有對終端接入網絡進行控制,而只是對終端出外網進行了控制����,即非授信終端在內部網絡是不受限制的。
【發(fā)明內容】
[0012]針對現有技術中存在的上述問題�,本發(fā)明提供了網絡準入方法、終端準入方法�、網絡準入裝置和終端,用于克服網絡準入控制部署復雜��、網絡兼容性差和控制能力差的缺陷�。
[0013]根據本發(fā)明的一個方面,提供了一種網絡準入方法�,其中,包括以下步驟:
[0014]al)接收終端的網絡訪問請求����;
[0015]bl)獲取所述網絡訪問請求的IP數據包頭部的可選項字段,判斷所述可選項字段是否為空�,
[0016]如果所述可選項字段為空,則拒絕所述網絡訪問請求�����;
[0017]如果所述可選項字段不為空����,則驗證所述可選項字段中的ID號和IP地址是否合法,如果合法�����,則允許該終端訪問網絡���,如果不合法�,則拒絕所述網絡訪問請求�。[0018]根據本發(fā)明的另一個方面,還提供了一種終端準入方法���,其中�,包括以下步驟:
[0019]a2)接收終端的終端訪問請求;
[0020]b2)獲取所述終端訪問請求的IP數據包頭部的可選項字段����,判斷所述可選項字段是否為空,
[0021]如果所述可選項字段為空���,則拒絕所述終端訪問請求���;
[0022]如果所述可選項字段不為空,則驗證所述可選項字段中的ID號和IP地址是否合法�����,
[0023]如果合法����,則允許所述終端訪問,
[0024]如果不合法�,則將所述可選項字段中的ID號和IP地址發(fā)送到終端準入裝置,并接收所述終端準入裝置的驗證信息��,
[0025]當所述終端準入裝置的驗證信息表示所述ID號和IP地址不合法時�����,則拒絕所述終端訪問請求;
[0026]當所述終端準入裝置的驗證信息表示所述ID號和IP地址合法時�,則允許所述終端訪問。
[0027]根據本發(fā)明的另一個方面���,還提供了一種網絡準入裝置,其中���,該網絡準入裝置包括:
[0028]網絡訪問請求接收模塊��,用于接收終端的網絡訪問請求�;
[0029]驗證模塊�����,用于獲取所述網絡訪問請求的IP數據包頭部的可選項字段����,判斷所述可選項字段是否為空,如果所述可選項字段為空�,則拒絕所述網絡訪問請求;如果所述可選項字段不為空���,則驗證所述可選項字段中的ID號和IP地址是否合法�,如果合法,則允許該終端訪問網絡��,如果不合法�,則拒絕所述網絡訪問請求。
[0030]根據本發(fā)明的另一個方面�,還提供了一種終端,其中��,該終端包括:終端訪問請求接收模塊�����,用于接收另一個終端的終端訪問請求�����;
[0031]驗證模塊�����,用于獲取所述終端訪問請求的IP數據包頭部的可選項字段����,判斷所述可選項字段是否為空,如果所述可選項字段為空,則拒絕所述終端訪問請求�����;如果所述可選項字段不為空����,則驗證所述可選項字段中的ID號和IP地址是否合法,如果合法��,則允許所述另一個終端訪問����,如果不合法���,則將所述可選項字段中的ID號和IP地址發(fā)送到終端準入裝置���,并接收所述終端準入裝置的驗證信息,當所述終端準入裝置的驗證信息表示所述ID號和IP地址不合法時�����,則拒絕所述終端訪問請求��;當所述終端準入裝置的驗證信息表示所述ID號和IP地址合法時,則允許所述另一個終端訪問����。
[0032]利用本發(fā)明提供的網絡準入方法、終端準入方法�、網絡準入裝置和終端,部署簡單����,網絡兼容性好,且能夠有效控制終端的準入��。
【專利附圖】
【附圖說明】
[0033]圖1是根據本發(fā)明的網絡準入方法的流程圖���;
[0034]圖2是根據本發(fā)明安裝有客戶端的終端通過網絡準入裝置訪問網絡的示意圖���;
[0035]圖3是根據本發(fā)明的終端準入方法的流程圖;
[0036]圖4是根據本發(fā)明的未安裝客戶端的終端訪問安裝有客戶端的終端的示意圖�;
[0037]圖5是根據本發(fā)明的安裝有客戶端的一個終端訪問安裝有客戶端的另一個終端的示意圖。
【具體實施方式】
[0038]下面結合附圖��,詳細描述本發(fā)明的【具體實施方式】���。
[0039]圖1是根據本發(fā)明的網絡準入方法的流程圖�����。圖2是根據本發(fā)明安裝有客戶端的終端通過網絡準入裝置訪問網絡的示意圖���。
[0040]參考圖1和圖2����,本發(fā)明提供了一種終端準入方法����,其中,包括以下步驟:
[0041 ] al)接收終端的網絡訪問請求����;
[0042]bl)獲取所述網絡訪問請求的IP數據包頭部的可選項字段�����,判斷所述可選項字段是否為空��,如果所述可選項字段為空��,則拒絕所述網絡訪問請求�;如果所述可選項字段不為空�����,則驗證所述可選項字段中的ID號和IP地址是否合法�����,如果合法�����,則允許該終端訪問網絡�����,如果不合法����,則拒絕所述網絡訪問請求�。
[0043]其中,終端向網絡準入裝置發(fā)送網絡訪問請求��,只有在網絡準入裝置檢測到網絡訪問請求的IP數據包頭部的可選項字段不為空����,且驗證所述可選項字段中的ID號和IP地址為合法時��,才允許該終端訪問網絡��,否則���,網絡準入裝置將拒絕該終端的網絡訪問請求。
[0044]一般的�,為了使用根據本發(fā)明的終端準入方法,終端需要先安裝客戶端����。終端可以先向網絡準入裝置請求下載客戶端,網絡準入裝置允許終端下載客戶端后���,就可以安裝該客戶端程序����?����?蛻舳税惭b成功后�����,就可以在終端啟動登錄窗口����,在登錄窗口中輸入賬號和密碼,并將包括該賬號和密碼的登錄請求連同該終端的IP地址一起發(fā)送給網絡準入裝置�����。終端準入裝置接收到所述終端的登陸請求和IP地址后��,驗證所述賬號����、密碼和IP地址是否合法,如果合法���,則生成與該終端對應的ID號��,并將該ID號發(fā)送到所述終端�。所述終端接收到代表自己身份的ID號后���,就將該ID號最為特定數據包標簽����,填入隨后所有從安裝有該客戶端的終端發(fā)出的每個IP數據包頭部的可選項字段中。
[0045]因而�,本發(fā)明的終端準入方法在所述步驟al)之前,還可以包括以下步驟:
[0046]all)接收所述終端的登陸請求和IP地址�����,所述登陸請求包括賬號和密碼�;
[0047]al2)驗證所述賬號、密碼和IP地址是否合法��,如果合法��,則生成與該終端對應的ID號�,并將該ID號發(fā)送到所述終端。
[0048]根據一種實施方式��,所述網絡準入裝置可以隨機生成與該終端對應的ID號��。
[0049]根據另一種���,所述網絡準入裝置通過以下步驟生成與該終端對應的ID號:
[0050]為所述終端生成編號N,對于不同的終端生成不同的編號���,優(yōu)選的���,該編號可以從I開始逐個遞增�;
[0051]為所述終端生成個位尾數W�����,所述個位尾數W為O到9之間的任意整數�����,該尾數W從O開始���,每次都逐步遞增1��,直到9后再返回0��,以此方式一直循環(huán)��,即為指定終端第一次生成ID時該尾數W=0����,下次再為該終端生成ID時該尾數W=l���,以此類推�。
[0052]生成隨機數R,所述隨機數的取值范圍為:1?(2z-l-N*10-W)/10 α+1)�����,其中�����,所述ζ為所述ID號的字節(jié)長度(例如��,可以為32或16)�����,所述L為編號N的位數(例如���,在編號N為11時����,該編號N的位數L為2)����;
[0053]根據以下公式計算得到ID號:ID號=R* (L+1) +L*10+W。
[0054]可以理解,上述生成ID號的方式僅是示例性的����,本領域的技術人員也可以采用其他方式生成ID號�����。
[0055]為了能夠更好地保證網絡訪問的安全性��,優(yōu)選的��,所述步驟bl)還可以包括�����,在允許所述終端訪問網絡的情況下��,記錄所述終端對所述網絡的訪問時間����,當所述訪問時間大于預定閾值時,再次生成與該終端對應的ID號��,并將該ID號發(fā)送到所述終端�����。在這種情況下,可以定時地更換ID號����。當終端啟動登錄窗口時,在登錄窗口中輸入賬號和密碼����,并將包括該賬號和密碼的登錄請求連同該終端的IP地址一起發(fā)送給網絡準入裝置。終端準入裝置驗證所述賬號����、密碼和IP地址是否合法后,向所述終端發(fā)送代表該終端身份的ID號����。所述終端接收到ID號后,就將該ID號最為特定數據包標簽�,填入隨后所有從安裝有該客戶端的終端發(fā)出的每個IP數據包頭部的可選項字段中,然后通過網絡準入裝置訪問網絡�����。當所述終端訪問網絡的時間大于預定閾值(例如I個小時)時�����,網絡準入裝置就重新生成與該終端對應的ID號,并將該新的ID號發(fā)送到所述終端�。所述終端接收到新的ID號后,就將該新的ID號填入隨后發(fā)送的每個IP數據包頭部的可選項字段中���。網絡準入裝置就根據新的ID號來對所述終端進行驗證。
[0056]進一步優(yōu)選的��,在將該ID號發(fā)送到所述終端后���,還可以等待所述終端的確認消息�,在接收到所述終端的確認消息之后�����,存儲所述ID號���,并將ID號啟動信息發(fā)送所述終端���。在這種情況下,當終端從網絡準入裝置接收到ID號時���,先停止后續(xù)的數據包發(fā)送工作�,將該ID號最為特定數據包標簽,填入隨后所有從安裝有該客戶端的終端發(fā)出的每個IP數據包頭部的可選項字段中��,并向終端準入裝置回復確認消息�����。終端準入裝置接收到確認消息之后�����,存儲所述ID號����,并將ID號啟動信息發(fā)送所述終端,終端接收到ID號啟用信息之后�����,恢復數據包發(fā)送工作�,并在后續(xù)發(fā)送的數據包中都填入ID號。
[0057]進一步優(yōu)選的����,在所述步驟bl)中����,在所述可選項字段中的ID號和IP地址驗證為合法時�,通過將所述終端的網絡資源請求轉發(fā)到網絡,以及將網絡數據從所述網絡轉發(fā)到所述終端�,來允許該終端訪問網絡。
[0058]相應的���,本發(fā)明還提供了一種終端準入裝置,其中�,該終端準入裝置包括:網絡訪問請求接收模塊,用于接收終端的網絡訪問請求����;驗證模塊,用于獲取所述網絡訪問請求的IP數據包頭部的可選項字段�,判斷所述可選項字段是否為空,如果所述可選項字段為空�����,則拒絕所述網絡訪問請求�����;如果所述可選項字段不為空,則驗證所述可選項字段中的ID號和IP地址是否合法�,如果合法,則允許該終端訪問網絡����,如果不合法,則拒絕所述網絡訪問請求�。
[0059]優(yōu)選的,該終端準入裝置還可以包括:登陸信息接收模塊�,用于接收所述終端的登陸請求和IP地址,所述登陸請求包括賬號和密碼����;ID號生成模塊,用于驗證所述賬號�、密碼和IP地址是否合法,如果合法��,則生成與所述終端對應的ID號��,并將所述ID號發(fā)送到所述終端���。
[0060]根據一種實施方式�,所述ID號生成模塊隨機生成與該終端對應的ID號�����。
[0061]根據另一種實施方式,所述ID號生成模塊通過以下步驟生成與該終端對應的ID號:
[0062]為所述終端生成編號N��,對于不同的終端生成不同的編號����;
[0063]為所述終端生成個位尾數W,所述個位尾數W為O到9之間的任意整數�����;
[0064]生成隨機數R���,所述隨機數的取值范圍為:1?(2z-l-N*10-W)/10 (L+1),其中�,所述Z為所述ID號的字節(jié)長度,所述L為編號N的位數��;
[0065]根據以下公式計算ID號:ID號=R* (L+1) +L*10+W���。
[0066]優(yōu)選的�,該終端準入裝置還可以包括:計時模塊����,用于在允許所述終端訪問網絡的情況下���,記錄所述終端對所述網絡的訪問時間,當所述訪問時間大于預定閾值時�����,向所述ID號生成模塊發(fā)送超時信息���;所述ID號生成模塊還用于在接收到所述超時信息時��,生成與所述終端對應的ID號���,并將所述ID號發(fā)送到所述終端。
[0067]優(yōu)選的���,所述驗證模塊還用于在所述ID號生成模塊將所述ID號發(fā)送到所述終端后���,等待所述終端的確認消息,在接收到所述終端的確認消息之后�����,存儲所述ID號,并將ID號啟動信息發(fā)送所述終端�。
[0068]優(yōu)選的,該終端準入裝置還可以包括轉發(fā)模塊��,用于在所述驗證模塊驗證所述可選項字段中的ID號和IP地址為合法時���,將所述終端的網絡資源請求轉發(fā)到網絡�����,以及將網絡數據從所述網絡轉發(fā)到所述終端����。
[0069]為了防范網絡監(jiān)聽的風險���,終端與終端準入裝置之間通信還可以采用加密傳輸�����。
[0070]根據本發(fā)明的終端準入裝置串聯(lián)部署在網絡關口處,例如可以部署在交換機或防火墻之間��,或者防火墻與終端主機之間等,只要能夠部署在終端主機與網絡之間必經的鏈路上即可����。當終端請求通過終端準入裝置訪問網絡時,該終端準入裝置驗證終端的網絡請求的的IP數據包頭部的可選項字段是否為空���,如果為空則拒絕網絡訪問請求�,如果不為空�,則進一步驗證該可選項字段中的ID號和IP地址是否合法,在合法的情況下��,才允許終端訪問網絡���。從而有效實現了終端對網絡訪問的安全控制�����,且網絡兼容性好��,不需要特定型號��、特定品牌的交換機����,也不需要交換機支持特定的網絡協(xié)議,只需要終端主機下載安裝客戶端即可����,實施簡單,成本低��。
[0071]安裝有客戶端的終端除了可以主動訪問網絡��,還可以訪問其他終端以及被其他終端訪問���。
[0072]本發(fā)明還提供了一種終端準入方法��,用于限制一個終端訪問另一個終端的訪問權限���,從而保證終端之間互相進行訪問的安全性。
[0073]圖3是根據本發(fā)明的終端準入方法的流程圖�����。
[0074]參考圖3-5��,根據本發(fā)明的終端準入方法包括以下步驟:
[0075]a2)接收終端的終端訪問請求�;
[0076]b2)獲取所述終端訪問請求的IP數據包頭部的可選項字段�����,判斷所述可選項字段是否為空,
[0077]如果所述可選項字段為空����,則拒絕所述終端訪問請求;
[0078]如果所述可選項字段不為空��,則驗證所述可選項字段中的ID號和IP地址是否合法��,
[0079]如果合法���,則允許所述終端訪問����,
[0080]如果不合法�����,則將所述可選項字段中的ID號和IP地址發(fā)送到終端準入裝置�����,并接收所述終端準入裝置的驗證信息����,
[0081]當所述終端準入裝置的驗證信息表示所述ID號和IP地址不合法時�����,則拒絕所述終端訪問請求���;
[0082]當所述終端準入裝置的驗證信息表示所述ID號和IP地址合法時,則允許所述終端訪問��。
[0083]其中��,根據本發(fā)明的終端接收到另一個終端的終端訪問請求時,檢測到該終端訪問請求的IP數據包頭部的可選項字段是否為空���,如果為空則拒絕該終端訪問請求�,如果不為空���,則現在終端本地驗證可選項字段中的ID號和IP地址是否為合法�,如果合法�����,則允許另一終端的訪問���,如果在本地驗證不合法�����,就將ID號和IP地址再發(fā)送到終端準入裝置��,由終端準入裝置進行進一步驗證�����。
[0084]一般的�,使用該終端準入方法的終端需要安裝有客戶端����。圖4是根據本發(fā)明的未安裝客戶端的終端訪問安裝有客戶端的終端的示意圖。圖5是根據本發(fā)明的安裝有客戶端的一個終端訪問安裝有客戶端的另
[0085]參考圖4�����,當未安裝客戶端的終端B訪問安裝有客戶端的終端A時���,終端A接收到終端訪問請求后��,檢測到未安裝客戶端的終端B的訪問請求的IP數據包頭部的可選項字段為空����,由此,拒絕終端B的請求����,不允許終端B訪問終端A。
[0086]參考圖5����,當安裝有客戶端的終端B訪問安裝有客戶端的終端A時,終端A接收到終端訪問請求后��,檢測到未安裝客戶端的終端B的訪問請求的IP數據包頭部的可選項字段不為空���,先在本地驗證可選項字段中的ID號和IP地址��,將可選項字段中的ID號和IP地址與存儲在終端A本地的ID號和IP地址進行比較�,判斷是否有匹配的ID號和IP地址���,如果有���,則終端B的訪問請求的IP數據包頭部的可選項字段中的ID號和IP地址合法,此時����,允許終端B訪問終端A����。如果終端A本地沒有匹配的ID號和IP地址���,則將所述可選項字段中的ID號和IP地址發(fā)送到網絡準入裝置,由所述網絡準入裝置進行進一步的驗證����,當所述網絡準入裝置驗證所述ID號和IP地址合法時,就發(fā)送驗證信息通知終端A所述ID號和IP地址合法�����,終端A就允許終端B訪問���。當所述網絡準入裝置驗證所述ID號和IP地址不合法時�����,就發(fā)送驗證信息通知終端A所述ID號和IP地址不合法�����,終端A就拒絕終端B的終端訪問請求�����,不允許終端B訪問終端A��。終端A和終端B等終端可以經由交換機與網絡準入裝置進行數據交換���,交換機的使用對于本領域的技術人員來說是公知的����,再次不再贅述�����。
[0087]優(yōu)選的���,所述步驟b2)還包括:在允許所述終端訪問的情況下��,存儲所述終端的ID號和IP地址����。
[0088]如圖5所示,如果終端A本地沒有匹配的ID號和IP地址�,網絡準入裝置進行進一步驗證所述ID號和IP地址合法時,在向終端A返回驗證信息通知終端A所述ID號和IP地址合法的同時����,還可以向終端A返回終端B的最新ID號,終端A可以存儲終端B的新的ID號以及IP地址�����,以便之后終端B再次訪問終端A時���,可以在本地對終端B的訪問請求進行驗證。
[0089]相應的��,本發(fā)明還提供了一種終端�,其中,該終端包括:終端訪問請求接收模塊,用于接收另一個終端的終端訪問請求�����;驗證模塊����,用于獲取所述終端訪問請求的IP數據包頭部的可選項字段,判斷所述可選項字段是否為空,如果所述可選項字段為空�,則拒絕所述終端訪問請求;如果所述可選項字段不為空����,則驗證所述可選項字段中的ID號和IP地址是否合法,如果合法��,則允許所述另一個終端訪問���,如果不合法����,則將所述可選項字段中的ID號和IP地址發(fā)送到終端準入裝置�����,并接收所述終端準入裝置的驗證信息����,當所述終端準入裝置的驗證信息表示所述ID號和IP地址不合法時,則拒絕所述終端訪問請求�;當所述終端準入裝置的驗證信息表示所述ID號和IP地址合法時,則允許所述另一個終端訪問���。[0090]優(yōu)選的��,該終端還可以包括:存儲模塊����,用于在所述驗證模塊允許所述另一個終端訪問的情況下,存儲所述終端的ID號和IP地址��。
【權利要求】
1.一種網絡準入方法�,其中,包括以下步驟: a I)接收終端的網絡訪問請求�����; bl)獲取所述網絡訪問請求的IP數據包頭部的可選項字段���,判斷所述可選項字段是否為空, 如果所述可選項字段為空����,則拒絕所述網絡訪問請求; 如果所述可選項字段不為空��,則驗證所述可選項字段中的ID號和IP地址是否合法����,如果合法�,則允許該終端訪問網絡��,如果不合法���,則拒絕所述網絡訪問請求��。
2.根據權利要求1所述的網絡準入方法����,其中�,在所述步驟al)之前,還包括以下步驟: all)接收所述終端的登陸請求和IP地址��,所述登陸請求包括賬號和密碼���;al2)驗證所述賬號�����、密碼和IP地址是否合法�,如果合法����,則生成與該終端對應的ID號���,并將該ID號發(fā)送到所述終端。
3.根據權利要求2所述的網絡準入方法���,其中����,隨機生成與該終端對應的ID號�����。
4.根據權利要 求2所述的網絡準入方法���,其中�����,通過以下步驟生成與該終端對應的ID號: 為所述終端生成編號N,對于不同的終端生成不同的編號�����; 為所述終端生成個位尾數W,所述個位尾數W為O到9之間的任意整數��; 生成隨機數R����,所述隨機數的取值范圍為:1~(2z-l-N*10-W)/10 (L+1),其中���,所述ζ為所述ID號的字節(jié)長度�����,所述L為編號N的位數����; 根據以下公式計算ID號:ID號=R* (L+1) +L*10+W����。
5.根據權利要求2-4中任一項所述的網絡準入方法,其中�, 所述步驟bl)還包括,在允許所述終端訪問網絡的情況下�����,記錄所述終端對所述網絡的訪問時間,當所述訪問時間大于預定閾值時���,再次生成與該終端對應的ID號�,并將該ID號發(fā)送到所述終端�。
6.根據權利要求2所述的網絡準入方法,其中��,在將該ID號發(fā)送到所述終端后��,還包括以下步驟: 等待所述終端的確認消息����,在接收到所述終端的確認消息之后,存儲所述ID號�,并將ID號啟動信息發(fā)送所述終端。
7.根據權利要求1所述的網絡準入方法�����,其中���,在所述步驟bl)中�����,在所述可選項字段中的ID號和IP地址驗證為合法時���,通過將所述終端的網絡資源請求轉發(fā)到網絡,以及將網絡數據從所述網絡轉發(fā)到所述終端����,來允許該終端訪問網絡。
8.一種終端準入方法����,其中,包括以下步驟: a2)接收終端的終端訪問請求�����; b2)獲取所述終端訪問請求的IP數據包頭部的可選項字段�����,判斷所述可選項字段是否為空����, 如果所述可選項字段為空,則拒絕所述終端訪問請求; 如果所述可選項字段不為空���,則驗證所述可選項字段中的ID號和IP地址是否合法�����, 如果合法��,則允許所述終端訪問��, 如果不合法�,則將所述可選項字段中的ID號和IP地址發(fā)送到網絡準入裝置���,并接收所述網絡準入裝置的驗證信息��, 當所述網絡準入裝置的驗證信息表示所述ID號和IP地址不合法時�����,則拒絕所述終端訪問請求���; 當所述網絡準入裝置的驗證信息表示所述ID號和IP地址合法時,則允許所述終端訪問�����。
9.根據權利要求8所述的終端準入方法,其中�, 所述步驟b2)還包括:在允許所述終端訪問的情況下,存儲所述終端的ID號和IP地址�����。
10.一種網絡準入裝置����,其中��,該終端準入裝置包括: 網絡訪問請求接收模塊���,用于接收終端的網絡訪問請求���; 驗證模塊,用于獲取所述網絡訪問請求的IP數據包頭部的可選項字段����,判斷所述可選項字段是否為空, 如果所述可選項字段為空�����,則拒絕所述網絡訪問請求; 如果所述可選項字段不為空���,則驗證所述可選項字段中的ID號和IP地址是否合法�,如果合法���,則允許該終端訪問網絡��,如果不合法���,則拒絕所述網絡訪問請求。
11.根據權利要求1所述的網絡準入裝置����,其中,該終端準入裝置還包括: 登陸信息接收模塊�����,用于接收所述終端的登陸請求和IP地址�,所述登陸請求包括賬號和密碼; ID號生成模塊��,用于驗證所述賬號、密碼和IP地址是否合法��,如果合法����,則生成與所述終端對應的ID號,并將所述ID號發(fā)送到所述終端���。
12.根據權利要求11所述的網絡準入裝置,其中��,所述ID號生成模塊隨機生成與該終端對應的ID號��。
13.根據權利要求11所述的網絡準入裝置�����,其中�,所述ID號生成模塊通過以下步驟生成與該終端對應的ID號: 為所述終端生成編號N,對于不同的終端生成不同的編號�; 為所述終端生成個位尾數W,所述個位尾數W為O到9之間的任意整數����; 生成隨機數R���,所述隨機數的取值范圍為:1~(2z-l-N*10-W)/10 α+1),其中���,所述z為所述ID號的字節(jié)長度�����,所述L為編號N的位數����; 根據以下公式計算ID號:ID號=R* (L+1) +L*10+W���。
14.根據權利要求11-13中任一項所述的網絡準入裝置�,其中�����,該終端準入裝置還包括計時模塊��,用于在允許所述終端訪問網絡的情況下���,記錄所述終端對所述網絡的訪問時間�����,當所述訪問時間大于預定閾值時�,向所述ID號生成模塊發(fā)送超時信息; 所述ID號生成模塊還用于在接收到所述超時信息時��,生成與所述終端對應的ID號�,并將所述ID號發(fā)送到所述終端。
15.根據權利要求11所述的網絡準入裝置���,其中��,所述驗證模塊還用于在所述ID號生成模塊將所述ID號發(fā)送到所述終端后,等待所述終端的確認消息����,在接收到所述終端的確認消息之后,存儲所述ID號�����,并將ID號啟動信息發(fā)送所述終端�����。
16.根據權利要求10所述的網絡準入裝置,其中����,該終端準入裝置還包括: 轉發(fā)模塊,用于在所述驗證模塊驗證所述可選項字段中的ID號和IP地址為合法時���,將所述終端的網絡資源請求轉發(fā)到網絡�����,以及將網絡數據從所述網絡轉發(fā)到所述終端�����。
17.一種終端�,其中��,該終端包括: 終端訪問請求接收模塊���,用于接收另一個終端的終端訪問請求�����; 驗證模塊����,用于獲取所述終端訪問請求的IP數據包頭部的可選項字段,判斷所述可選項字段是否為空�, 如果所述可選項字段為空,則拒絕所述終端訪問請求���; 如果所述可選項字段不為空�����,則驗證所述可選項字段中的ID號和IP地址是否合法���, 如果合法,則允許所述另一個終端訪問��, 如果不合法�,則將所述可選項字段中的ID號和IP地址發(fā)送到終端準入裝置����,并接收所述終端準入裝置的驗證信息, 當所述終端準入裝置的驗證信息表示所述ID號和IP地址不合法時����,則拒絕所述終端訪問請求���; 當所述終端準入裝置的驗證信息表示所述ID號和IP地址合法時,則允許所述另一個終端訪問�。
18.根據權利要求17所 述的終端,其中�,該終端還包括: 存儲模塊,用于在所述驗證模塊允許所述另一個終端訪問的情況下����,存儲所述終端的ID號和IP地址。
【文檔編號】H04L29/06GK103812859SQ201310741881
【公開日】2014年5月21日 申請日期:2013年12月27日 優(yōu)先權日:2013年12月27日
【發(fā)明者】楊光 申請人:北京天融信軟件有限公司, 北京天融信網絡安全技術有限公司, 北京天融信科技有限公司