一種終端接入安全認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及核心網(wǎng)接入安全控制技術(shù)領(lǐng)域����,具體涉及一種終端接入安全認(rèn)證方法��。
【背景技術(shù)】
[0002]在核心網(wǎng)絡(luò)中����,接入的終端眾多,種類紛繁���,且部分終端需要連接核心網(wǎng)絡(luò)的中心服務(wù)器并訪問(wèn)較為機(jī)密的數(shù)據(jù)����,而終端的防護(hù)能力較弱��,容易被一些不法分子控制�����,以竊取機(jī)密數(shù)據(jù)��,造成核心網(wǎng)絡(luò)接入的安全問(wèn)題��。為了提高終端安全接入控制�,需要主動(dòng)防御,從源頭消除漏洞和威脅�,保證終端不受非法控制,確保核心網(wǎng)絡(luò)的數(shù)據(jù)訪問(wèn)安全��。
【發(fā)明內(nèi)容】
[0003]解決上述技術(shù)問(wèn)題��,本發(fā)明提供了一種終端接入安全認(rèn)證方法�����,以網(wǎng)絡(luò)身份識(shí)別為基礎(chǔ)��,以準(zhǔn)入控制為手段����,以桌面管理為補(bǔ)充,構(gòu)建一體化的核心網(wǎng)安全接入方法����。
[0004]為了達(dá)到上述目的���,本發(fā)明所采用的技術(shù)方案是,一種終端接入安全認(rèn)證方法�����,在核心網(wǎng)絡(luò)內(nèi)設(shè)置一網(wǎng)絡(luò)準(zhǔn)入設(shè)備��,并配合設(shè)置一準(zhǔn)入服務(wù)器����,包括以下步驟:
用戶終端接入網(wǎng)絡(luò),終端代理與網(wǎng)絡(luò)準(zhǔn)入設(shè)備建立通信����,
網(wǎng)絡(luò)準(zhǔn)入設(shè)備與準(zhǔn)入服務(wù)器對(duì)終端用戶身份合法性進(jìn)行認(rèn)證,
終端用戶認(rèn)證通過(guò)后�����,準(zhǔn)入服務(wù)器告知網(wǎng)絡(luò)準(zhǔn)入設(shè)備���,并實(shí)現(xiàn)對(duì)認(rèn)證后合法終端用戶的訪問(wèn)控制��,
網(wǎng)絡(luò)準(zhǔn)入設(shè)備將控制結(jié)果通知用戶終端��,
終端代理與準(zhǔn)入服務(wù)器交互終端系統(tǒng)安全狀態(tài)信息�,對(duì)用戶終端進(jìn)行安全檢查�,
若用戶終端不安全,終端代理啟動(dòng)系統(tǒng)修復(fù)升級(jí)工作�,與相關(guān)服務(wù)器交互,完成用戶終端的系統(tǒng)安全性修復(fù)����。
[0005]進(jìn)一步的,所述終端代理與網(wǎng)絡(luò)準(zhǔn)入設(shè)備通過(guò)ΕΑΡ交互賬號(hào)和密碼信息�。
[0006]進(jìn)一步的,所述網(wǎng)絡(luò)準(zhǔn)入設(shè)備與準(zhǔn)入服務(wù)器通過(guò)RADIUS協(xié)議���,對(duì)終端用戶身份合法性進(jìn)行認(rèn)證���。
[0007]進(jìn)一步的,網(wǎng)絡(luò)準(zhǔn)入設(shè)備通過(guò)EAP Success消息通知用戶終端�����。
[0008]本發(fā)明通過(guò)采用上述技術(shù)方案�,與現(xiàn)有技術(shù)相比,具有如下優(yōu)點(diǎn):本發(fā)明的終端在身份認(rèn)證和安全檢查通過(guò)前能夠訪問(wèn)的網(wǎng)絡(luò)資源����,且終端在通過(guò)身份認(rèn)證但沒(méi)有通過(guò)安全檢查時(shí)被隔離��,并能夠進(jìn)行安全修復(fù)操作����。
【附圖說(shuō)明】
[0009]圖1是本發(fā)明的實(shí)施例的流程圖���。
【具體實(shí)施方式】
[0010]現(xiàn)結(jié)合附圖和【具體實(shí)施方式】對(duì)本發(fā)明進(jìn)一步說(shuō)明�����。[0011 ]作為一個(gè)具體的實(shí)施例����,如圖1所示���,本發(fā)明的一種終端接入安全認(rèn)證方法�,在核心網(wǎng)絡(luò)內(nèi)設(shè)置一網(wǎng)絡(luò)準(zhǔn)入設(shè)備�����,并配合設(shè)置一準(zhǔn)入服務(wù)器�����,包括以下步驟:
用戶終端接入網(wǎng)絡(luò),終端代理與網(wǎng)絡(luò)準(zhǔn)入設(shè)備建立通信�,所述終端代理與網(wǎng)絡(luò)準(zhǔn)入設(shè)備通過(guò)ΕΑΡ交互賬號(hào)和密碼信息。
[0012]網(wǎng)絡(luò)準(zhǔn)入設(shè)備與準(zhǔn)入服務(wù)器對(duì)終端用戶身份合法性進(jìn)行認(rèn)證�����,所述網(wǎng)絡(luò)準(zhǔn)入設(shè)備與準(zhǔn)入服務(wù)器通過(guò)RADIUS協(xié)議�,對(duì)終端用戶身份合法性進(jìn)行認(rèn)證���。
[0013]終端用戶認(rèn)證通過(guò)后�����,準(zhǔn)入服務(wù)器告知網(wǎng)絡(luò)準(zhǔn)入設(shè)備����,并實(shí)現(xiàn)對(duì)認(rèn)證后合法終端用戶的訪問(wèn)控制���,
網(wǎng)絡(luò)準(zhǔn)入設(shè)備將控制結(jié)果通知用戶終端�����,網(wǎng)絡(luò)準(zhǔn)入設(shè)備通過(guò)EAP Success消息通知用戶終端���。
[0014]終端代理與準(zhǔn)入服務(wù)器交互終端系統(tǒng)安全狀態(tài)信息�����,對(duì)用戶終端進(jìn)行安全檢查����,若用戶終端不安全�����,終端代理啟動(dòng)系統(tǒng)修復(fù)升級(jí)工作����,與相關(guān)服務(wù)器交互,完成用戶終端的系統(tǒng)安全性修復(fù)�。本實(shí)施例中部署了補(bǔ)丁服務(wù)器,終端代理啟動(dòng)系統(tǒng)修復(fù)升級(jí)工作后�����,用戶終端從補(bǔ)丁服務(wù)器中下載最新系統(tǒng)補(bǔ)丁,完成用戶終端的系統(tǒng)安全性自動(dòng)修復(fù)���。
[0015]本實(shí)施例通過(guò)安全區(qū)域劃分���,劃分為認(rèn)證前域,隔離域和認(rèn)證后域���,確保終端行為安全受控�����,在認(rèn)證前域:終端在身份認(rèn)證和安全檢查通過(guò)前能夠訪問(wèn)的網(wǎng)絡(luò)資源,包括DHCP服務(wù)器�、系統(tǒng)服務(wù)器等。在隔離域:終端通過(guò)身份認(rèn)證后�,在沒(méi)有通過(guò)安全檢查時(shí)處于被隔離狀態(tài),此時(shí)僅能夠進(jìn)行安全修復(fù)操作�,包括防病毒軟件病毒庫(kù)升級(jí)服務(wù),補(bǔ)丁服務(wù)器訪問(wèn)等�。認(rèn)證后域,終端在通過(guò)身份認(rèn)證和安全檢查后能夠訪問(wèn)的網(wǎng)絡(luò)資源�,可以根據(jù)工作相關(guān)性和最小授權(quán)原則,將不同的終端用戶受訪問(wèn)相應(yīng)的網(wǎng)絡(luò)資源��,有效防止非法訪問(wèn)和越權(quán)訪問(wèn)���。
[0016]本實(shí)施例中��,終端代理與準(zhǔn)入服務(wù)器交互終端系統(tǒng)安全狀態(tài)信息���,對(duì)用戶終端進(jìn)行安全檢查�����,包括以下步驟:
對(duì)入網(wǎng)終端的安全性���,例如殺毒軟件安裝,補(bǔ)丁更新�����,密碼強(qiáng)度���,屏保等進(jìn)行掃描����,在接入網(wǎng)絡(luò)前后完成終端安全狀態(tài)的檢查���,
對(duì)終端不安全狀態(tài)能夠與控制設(shè)備進(jìn)行聯(lián)動(dòng)����,當(dāng)發(fā)現(xiàn)不安全終端接入網(wǎng)絡(luò)的時(shí)候,能夠?qū)@些終端進(jìn)行一定程度的阻斷���,防止這些不安全終端對(duì)網(wǎng)絡(luò)的接入和危害����,并且能夠主動(dòng)幫助這些終端完成安全狀態(tài)的自我修復(fù)��,
對(duì)于未及時(shí)修復(fù)的不安全終端�,能夠?qū)ζ溥M(jìn)行權(quán)限限制,避免接入網(wǎng)絡(luò)����,引發(fā)網(wǎng)絡(luò)安全問(wèn)題���。
[0017]盡管結(jié)合優(yōu)選實(shí)施方案具體展示和介紹了本發(fā)明���,但所屬領(lǐng)域的技術(shù)人員應(yīng)該明白,在不脫離所附權(quán)利要求書(shū)所限定的本發(fā)明的精神和范圍內(nèi)�����,在形式上和細(xì)節(jié)上可以對(duì)本發(fā)明做出各種變化,均為本發(fā)明的保護(hù)范圍��。
【主權(quán)項(xiàng)】
1.一種終端接入安全認(rèn)證方法��,其特征在于:在核心網(wǎng)絡(luò)內(nèi)設(shè)置一網(wǎng)絡(luò)準(zhǔn)入設(shè)備�����,并配合設(shè)置一準(zhǔn)入服務(wù)器����,包括以下步驟: 用戶終端接入網(wǎng)絡(luò),終端代理與網(wǎng)絡(luò)準(zhǔn)入設(shè)備建立通信���, 網(wǎng)絡(luò)準(zhǔn)入設(shè)備與準(zhǔn)入服務(wù)器對(duì)終端用戶身份合法性進(jìn)行認(rèn)證�, 終端用戶認(rèn)證通過(guò)后�����,準(zhǔn)入服務(wù)器告知網(wǎng)絡(luò)準(zhǔn)入設(shè)備�,并實(shí)現(xiàn)對(duì)認(rèn)證后合法終端用戶的訪問(wèn)控制, 網(wǎng)絡(luò)準(zhǔn)入設(shè)備將控制結(jié)果通知用戶終端�, 終端代理與準(zhǔn)入服務(wù)器交互終端系統(tǒng)安全狀態(tài)信息�����,對(duì)用戶終端進(jìn)行安全檢查��, 若用戶終端不安全�,終端代理啟動(dòng)系統(tǒng)修復(fù)升級(jí)工作����,與相關(guān)服務(wù)器交互,完成用戶終端的系統(tǒng)安全性修復(fù)��。2.根據(jù)權(quán)利要求1所述的一種終端接入安全認(rèn)證方法��,其特征在于:所述終端代理與網(wǎng)絡(luò)準(zhǔn)入設(shè)備通過(guò)ΕΑΡ交互賬號(hào)和密碼信息��。3.根據(jù)權(quán)利要求1所述的一種終端接入安全認(rèn)證方法��,其特征在于:所述網(wǎng)絡(luò)準(zhǔn)入設(shè)備與準(zhǔn)入服務(wù)器通過(guò)RADIUS協(xié)議�����,對(duì)終端用戶身份合法性進(jìn)行認(rèn)證��。4.根據(jù)權(quán)利要求1所述的一種終端接入安全認(rèn)證方法����,其特征在于:網(wǎng)絡(luò)準(zhǔn)入設(shè)備通過(guò)EAP Success消息通知用戶終端。
【專利摘要】本發(fā)明涉及核心網(wǎng)接入安全控制技術(shù)領(lǐng)域��,具體涉及一種終端接入安全認(rèn)證方法���。在核心網(wǎng)絡(luò)內(nèi)設(shè)置一網(wǎng)絡(luò)準(zhǔn)入設(shè)備���,并配合設(shè)置一準(zhǔn)入服務(wù)器,包括以下步驟:用戶終端接入網(wǎng)絡(luò)�����,終端代理與網(wǎng)絡(luò)準(zhǔn)入設(shè)備建立通信�,網(wǎng)絡(luò)準(zhǔn)入設(shè)備與準(zhǔn)入服務(wù)器對(duì)終端用戶身份合法性進(jìn)行認(rèn)證,終端用戶認(rèn)證通過(guò)后�����,準(zhǔn)入服務(wù)器告知網(wǎng)絡(luò)準(zhǔn)入設(shè)備����,并實(shí)現(xiàn)對(duì)認(rèn)證后合法終端用戶的訪問(wèn)控制,網(wǎng)絡(luò)準(zhǔn)入設(shè)備將控制結(jié)果通知用戶終端���,終端代理與準(zhǔn)入服務(wù)器交互終端系統(tǒng)安全狀態(tài)信息�,對(duì)用戶終端進(jìn)行安全檢查,若用戶終端不安全�����,終端代理啟動(dòng)系統(tǒng)修復(fù)升級(jí)工作�����,與相關(guān)服務(wù)器交互��,完成用戶終端的系統(tǒng)安全性修復(fù)�����。
【IPC分類】H04W12/08, H04L29/06
【公開(kāi)號(hào)】CN105472617
【申請(qǐng)?zhí)枴緾N201610037094
【發(fā)明人】巫立斌, 馬秋平
【申請(qǐng)人】巫立斌
【公開(kāi)日】2016年4月6日
【申請(qǐng)日】2016年1月20日
【公告號(hào)】CN104917777A