[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN118074995A - 一种客户端接入控制方法与系统 - Google Patents

一种客户端接入控制方法与系统 Download PDF

Info

Publication number
CN118074995A
CN118074995A CN202410253794.6A CN202410253794A CN118074995A CN 118074995 A CN118074995 A CN 118074995A CN 202410253794 A CN202410253794 A CN 202410253794A CN 118074995 A CN118074995 A CN 118074995A
Authority
CN
China
Prior art keywords
authentication
access control
client
strategy
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410253794.6A
Other languages
English (en)
Inventor
折振振
刘亚轩
周莎
王平
马璐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xi'an Jiaotong University Jump Network Technology Co ltd
Original Assignee
Xi'an Jiaotong University Jump Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xi'an Jiaotong University Jump Network Technology Co ltd filed Critical Xi'an Jiaotong University Jump Network Technology Co ltd
Priority to CN202410253794.6A priority Critical patent/CN118074995A/zh
Publication of CN118074995A publication Critical patent/CN118074995A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本发明旨在提供一种客户端接入网络的控制方法以及应用该方法实现设备安全接入的控制系统。预先创建接入控制策略,为相同网络资源与接入权限的客户端接入请求进行相应的配置。当客户端发起认证请求时,根据预设接入控制策略规定的认证模式,获取相应的认证信息到服务端,服务端根据认证模式分别进行认证处理,并返回认证结果,有效提高了认证处理效率,对于实现高效的网络安全准入控制具有积极意义。

Description

一种客户端接入控制方法与系统
技术领域
本发明属于网络接入控制技术领域,尤其是涉及一种对使用客户端发起接入申请的设备的认证控制方法及使用该方法的接入控制系统。
背景技术
随着信息技术的发展,越来越多的设备与终端接入互联网,特别是对于企业来说,为了满足工作和业务需要,设备的种类、型号众多,面临着不可信终端的随意接入可能带来的企业网络及信息资源违规占用、病毒木马泛滥、企业资料泄密以及越权访问等诸多安全问题。
局域网环境安全问题同样日渐突出,企业面临内部威胁、分支机构、访客和移动办公等带来的终端接入控制压力,以利益驱动的专业黑客往往锁定企业终端为目标,利用终端中的安全漏洞,获取对重要资源未经授权的访问,进而对核心业务系统发起攻击,造成数据被窃听或破坏,核心业务中断、恶意代码、信息泄密等安全事故,使企业业务和信誉受到损失。
为了对接入网络的终端进行管理,安全网关设备多采用客户端接入认证,一旦客户端被认证通过,对应的终端IP便允许接入互联网,网关即开始通过IP实现对终端的网络监控。但是由于网络中存在多种多样的设备和用户以及对应的权限,如果对每一个设备或用户都分别进行认证处理,会占用过多的管理资源,因此目前急需一种网络访问控制技术方案,实现终端、网络使用的过程化管理。
发明内容
鉴于上述背景,本发明旨在提供一种客户端接入网络的控制方法以及应用该方法实现设备安全接入的控制系统,以提高网络的安全管理效率。
一方面,提出一种客户端接入控制方法,包括:
根据当前生效的接入控制策略的认证模式,获取对应的认证参数;
根据所述认证参数生成认证信息,并发起登录认证请求;
根据所述接入控制策略,对不同认证模式的请求进行处理,并返回认证结果。
较佳的,上述的认证模式,包括通过用户名和密码进行认证:将输入的用户名与密码与预存的信息进行对比,根据对比结果输出认证结果,并返回是否允许接入。
认证模式,包括通过主机特征进行认证:发起认证请求时,获取当前设备的唯一身份标识与该标识的hash值,与预存的信息进行对比,根据对比结果输出认证结果,并返回是否允许接入。
较佳的,发起认证请求之前,获取当前生效的接入控制策略版本号,与本地数据库保存的版本号进行对比,若不一致则更新策略。
进一步的,认证请求的处理过程,具体包括:
接收认证信息;
根据发起请求的设备MAC获取对应的接入控制策略,并根据策略对ip-mac绑定、用户设备绑定、接入时段进行校验;
校验通过后,根据认证请求的模式,进行相应的802.1x认证处理,发送审计日志消息,并返回认证结果。
较佳的,对不同模式的认证请求分别处理,包括:
若认证模式为用户名+密码认证,则输入的密码,与预发送的密码进行比对;
若认证模式为主机特征认证,则获取设备对应的ip与mac,与预发送的设备mac比对,并获取mac=ip的NTLM hash值与密码比对。
并且,认证通过后,维持与服务器的通信,保证接入控制运行过程中网络的连通状态。
第二方面,提出一种客户端接入控制系统,该系统包括客户端与服务端:
所述客户端,通过心跳接口获取策略版本号,当与本地保存的版本号不同时,对数据库保存的策略进行更新;读取本地接入控制策略,并根据策略的认证模式发起登录认证;以及记录客户端操作日志并上报;
所述服务端,包括radius服务,用于根据时段策略设置客户端接入的时间校验;客户端的IP-MAC绑定、用户-设备绑定;对客户端发起的登录请求进行802.1x认证;保存审计日志。
较佳的,客户端模块,包括:
心跳模块,通过心跳接口,获取接入控制策略版本号,与本地sqlite数据库保存的版本号进行比对,若版本号不同则通过接口更新数据库中的接入策略与版本号,若版本号相同则不做操作;
认证模块,接收认证消息并发送认证结果;与服务端通信,完成802.1x认,以及认证结束后,维持与服务端的通信,保证接入控制运行过程中,网络的连通;
数据库模块,用于保存客户端的当前接入控制策略及版本号,预存用户名与密码,预存客户端所在设备的ip与mac;
通信模块,连接客户端与服务端,与服务端进行通信,发送认证消息和接收认证记过。
进一步的,服务端,接收所述认证模块发送的消息;根据设备MAC获取认证设备的接入控制策略并根据策略对ip-mac绑定、用户-设备绑定与接入时段进行校验;校验通过后根据认证模式进行处理,并返回认证结果。
采用上述技术方案的本发明实施例,至少具有以下有益效果:预先创建接入控制策略,为相同网络资源与接入权限的客户端接入请求进行相应的配置。当客户端发起认证请求时,根据预设接入控制策略规定的认证模式,获取相应的认证信息到服务端,服务端根据认证模式分别进行认证处理,并返回认证结果,有效提高了认证处理效率,对于实现高效的网络安全准入控制具有积极意义。
附图说明
图1为本发明的客户端接入控制方法实施例,整理工作流程示意图;
图2为图1中的,认证请求发起流程示意图;
图3为图1中的,认证请求处理流程示意图;
图4为本发明的客户端接入控制系统实施例,客户端的模块组成示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅用于解释本申请相关内容,而非对该申请的限定。另外还需要说明的是,附图中仅示出了与申请相关的部分。
首先是对涉及的技术术语进行简要说明。
客户端,安装在受控计算机(主机)上的软件,接收和执行从服务器下发的安全策略,并返回相应的执行结果。除了根据安全策略进行实时监控受控计算机外,客户端还能够收集受控计算机的各类静态和动态信息,为管理者提供非常详尽的计算机信息,使得管理变得更加准确和简便。
服务器端,负责管理客户端和网络。管理计算机终端和网络、配置安全策略、审计和分析系统日志以及对系统进行维护升级。
安全登录是对登录流程进行人为干预,做到对登录过程进行严格控制,实现对登录过程的统一监控、管理和维护,从而提高用户登录的可控性和安全性,加强登录流程的规范性,减小用户数据泄漏风险。
实施例
如图1所示,一种客户端接入控制方法实施例,包括:
发起认证请求之前,获取当前生效的接入控制策略版本号,与本地数据库保存的版本号进行对比,若不一致则更新策略。
根据当前生效的接入控制策略的认证模式,获取对应的认证参数。如图2所示,具体包括:用户名+密码认证模式,输入用户名与密码。主机特征认证模式,即:发起认证请求时,获取当前设备的唯一身份标识(例如设备的MAC),并计算该标识的hash值。
根据所述认证参数生成认证信息,并发起登录认证请求。
根据所述接入控制策略,对不同认证模式的请求分别进行处理,并返回认证结果;若认证成功则允许客户端所在的设备接入网络。
实施例
在实施例一基础上,进一步提出服务端对客户端的认证请求进行处理的优选实施方式。
如图3所示,认证请求的处理过程,具体包括:
接收认证信息;
根据发起请求的设备MAC获取对应的接入控制策略,并根据策略对ip-mac绑定、用户设备绑定、接入时段进行校验;
校验通过后,根据认证请求的模式,进行相应的802.1x认证处理,发送审计日志消息,并返回认证结果。
以及,对不同模式的认证请求分别处理,包括:
若认证模式为用户名+密码认证,则输入的密码,与预发送的密码进行比对;
若认证模式为主机特征认证,则获取设备对应的ip与mac,与预发送的设备mac比对,并获取mac=ip的NTLM hash值与密码比对。
并且,认证通过后,维持与服务器的通信,保证接入控制运行过程中网络的连通状态。
实施例
一种客户端接入控制系统实施例,该系统包括客户端与服务端:
所述客户端,通过心跳接口获取策略版本号,当与本地保存的版本号不同时,对数据库保存的策略进行更新;读取本地接入控制策略,并根据策略的认证模式发起登录认证;以及记录客户端操作日志并上报;
所述服务端,包括radius服务,用于根据时段策略设置客户端接入的时间校验;客户端的IP-MAC绑定、用户-设备绑定;对客户端发起的登录请求进行802.1x认证;保存审计日志。
较佳的,如图4所示,客户端模块,包括:
心跳模块,通过心跳接口,获取接入控制策略版本号,与本地sqlite数据库保存的版本号进行比对,若版本号不同则通过接口更新数据库中的接入策略与版本号,若版本号相同则不做操作;
认证模块,接收认证消息并发送认证结果;与服务端通信,完成802.1x认,以及认证结束后,维持与服务端的通信,保证接入控制运行过程中,网络的连通;
数据库模块,用于保存客户端的当前接入控制策略及版本号,预存用户名与密码,预存客户端所在设备的ip与mac;
通信模块,连接客户端与服务端,与服务端进行通信,发送认证消息和接收认证记过。
进一步的,服务端,接收所述认证模块发送的消息;根据设备MAC获取认证设备的接入控制策略并根据策略对ip-mac绑定、用户-设备绑定与接入时段进行校验;校验通过后根据认证模式进行处理,并返回认证结果。
如上所述本发明实施例,预先创建接入控制策略,为相同网络资源与接入权限的客户端接入请求进行相应的配置。当客户端发起认证请求时,根据预设接入控制策略规定的认证模式,获取相应的认证信息到服务端,服务端根据认证模式分别进行认证处理,并返回认证结果,有效提高了认证处理效率,对于实现高效的网络安全准入控制具有积极意义。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如:ROM/RAM、磁碟、光盘等。
对上述公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和相一致的最宽的范围。

Claims (10)

1.一种客户端接入控制方法,其特征在于,包括:
根据当前生效的接入控制策略的认证模式,获取对应的认证参数;
根据所述认证参数生成认证信息,并发起登录认证请求;
根据所述接入控制策略,对不同认证模式的请求进行处理,并返回认证结果。
2.根据权利要求1所述的接入控制方法,其特征在于,所述认证模式,包括通过用户名和密码进行认证:将输入的用户名与密码与预存的信息进行对比,根据对比结果输出认证结果,并返回是否允许接入。
3.根据权利要求1所述的接入控制方法,其特征在于,所述认证模式,包括通过主机特征进行认证:发起认证请求时,获取当前设备的唯一身份标识与该标识的hash值,与预存的信息进行对比,根据对比结果输出认证结果,并返回是否允许接入。
4.根据权利要求1-3任一所述的接入控制方法,其特征在于,发起认证请求之前,获取当前生效的接入控制策略版本号,与本地数据库保存的版本号进行对比,若不一致则更新策略。
5.根据权利要求1-3任一所述的接入控制方法,其特征在于,所述认证请求的处理过程,具体包括:
接收认证信息;
根据发起请求的设备MAC获取对应的接入控制策略,并根据策略对ip-mac绑定、用户设备绑定、接入时段进行校验;
校验通过后,根据认证请求的模式,进行相应的802.1x认证处理,发送审计日志消息,并返回认证结果。
6.根据权利要求5所述的接入控制方法,其特征在于,所述对不同模式的认证请求分别处理,包括:
若认证模式为用户名+密码认证,则输入的密码,与预发送的密码进行比对;
若认证模式为主机特征认证,则获取设备对应的ip与mac,与预发送的设备mac比对,并获取mac=ip的NTLM hash值与密码比对。
7.根据权利要求6所述的接入控制方法,其特征在于,认证通过后,维持与服务器的通信,保证接入控制运行过程中网络的连通状态。
8.一种客户端接入控制系统,该系统包括客户端与服务端,其特征在于:
所述客户端,通过心跳接口获取策略版本号,当与本地保存的版本号不同时,对数据库保存的策略进行更新;读取本地接入控制策略,并根据策略的认证模式发起登录认证;以及记录客户端操作日志并上报;
所述服务端,包括radius服务,用于根据时段策略设置客户端接入的时间校验;客户端的IP-MAC绑定、用户-设备绑定;对客户端发起的登录请求进行802.1x认证;保存审计日志。
9.根据权利要求8所述的接入控制装置,其特征在于,所述客户端模块,包括:
心跳模块,通过心跳接口,获取接入控制策略版本号,与本地sqlite数据库保存的版本号进行比对,若版本号不同则通过接口更新数据库中的接入策略与版本号,若版本号相同则不做操作;
认证模块,接收认证消息并发送认证结果;与服务端通信,完成802.1x认,以及认证结束后,维持与服务端的通信,保证接入控制运行过程中,网络的连通;
数据库模块,用于保存客户端的当前接入控制策略及版本号,预存用户名与密码,预存客户端所在设备的ip与mac;
通信模块,连接客户端与服务端,与服务端进行通信,发送认证消息和接收认证记过。
10.根据权利要求8或9所述的接入控制装置,其特征在于,所述服务端,接收所述认证模块发送的消息;根据设备MAC获取认证设备的接入控制策略并根据策略对ip-mac绑定、用户-设备绑定与接入时段进行校验;校验通过后根据认证模式进行处理,并返回认证结果。
CN202410253794.6A 2024-03-06 2024-03-06 一种客户端接入控制方法与系统 Pending CN118074995A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410253794.6A CN118074995A (zh) 2024-03-06 2024-03-06 一种客户端接入控制方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410253794.6A CN118074995A (zh) 2024-03-06 2024-03-06 一种客户端接入控制方法与系统

Publications (1)

Publication Number Publication Date
CN118074995A true CN118074995A (zh) 2024-05-24

Family

ID=91101548

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410253794.6A Pending CN118074995A (zh) 2024-03-06 2024-03-06 一种客户端接入控制方法与系统

Country Status (1)

Country Link
CN (1) CN118074995A (zh)

Similar Documents

Publication Publication Date Title
AU2019206006B2 (en) System and method for biometric protocol standards
US8359464B2 (en) Quarantine method and system
US20170317999A1 (en) Security credential protection with cloud services
EP2278523A2 (en) Network access protection
US9160545B2 (en) Systems and methods for A2A and A2DB security using program authentication factors
US11647026B2 (en) Automatically executing responsive actions based on a verification of an account lineage chain
CN116319024B (zh) 零信任系统的访问控制方法、装置及零信任系统
US20230362263A1 (en) Automatically Executing Responsive Actions Upon Detecting an Incomplete Account Lineage Chain
CN114338105B (zh) 一种基于零信任信创堡垒机系统
US9021253B2 (en) Quarantine method and system
CN114546582A (zh) 针对备份相关操作的许可
CN110602054A (zh) 基于代理的特权凭证认证保护方法及装置
US20240259367A1 (en) Remote access computer security
CN118074995A (zh) 一种客户端接入控制方法与系统
CN117195177A (zh) 一种面向大数据平台的统一用户管理系统及方法
CN116996238A (zh) 一种网络异常访问的处理方法以及相关装置
CN114662080A (zh) 数据保护方法、装置及桌面云系统
US20240297887A1 (en) Mid-session trust assessment
CN115913696B (zh) 一种虚拟网络零信任访问控制方法、装置、设备及介质
WO2024107194A1 (en) Agentless user session management for remote servers
CN116961967A (zh) 数据处理方法、装置、计算机可读介质及电子设备
CN115580416A (zh) 基于OAuth标准的授权方法、OAuth服务器及存储介质
CN115834114A (zh) 一种登陆堡垒机的方法、堡垒机、系统及存储介质
CN117892354A (zh) 电子回单的管理方法、装置、电子设备及存储介质
CN113343188A (zh) 一种安全登录认证方法、系统、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication