CN116938588A - 局域网安全访问方法、系统及网络连接设备 - Google Patents
局域网安全访问方法、系统及网络连接设备 Download PDFInfo
- Publication number
- CN116938588A CN116938588A CN202311081557.8A CN202311081557A CN116938588A CN 116938588 A CN116938588 A CN 116938588A CN 202311081557 A CN202311081557 A CN 202311081557A CN 116938588 A CN116938588 A CN 116938588A
- Authority
- CN
- China
- Prior art keywords
- network
- access
- equipment
- terminal
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 230000007246 mechanism Effects 0.000 claims description 21
- 230000004044 response Effects 0.000 claims description 11
- 230000009977 dual effect Effects 0.000 abstract description 9
- 238000012795 verification Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 208000033748 Device issues Diseases 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种局域网安全访问方法、系统及网络连接设备,其中,系统包括网络连接设备、终端设备、接入控制设备和办公网络设备;网络连接设备允许未认证或认证失败的终端设备与接入控制设备建立连接,并将接收到的身份认证请求转发给接入控制设备;接入控制设备对身份认证请求的签名信息进行认证,认证通过后基于身份认证请求配置网络访问策略,并转换成终端连接策略发送至网络连接设备;网络连接设备基于终端连接策略允许认证通过的终端设备与对应的办公网络设备建立连接。本发明利用终端设备和接入控制设备进行双重身份认证,接入控制设备基于用户身份动态配置网络访问策略,使认证通过的用户拥有与其身份相匹配的局域网网络资源访问权限。
Description
技术领域
本发明涉及局域网技术领域,尤其涉及一种局域网安全访问方法、系统及网络连接设备。
背景技术
网络应用的普及使企业普遍将局域网作为办公网络,随着网络攻击和信息泄露等恶劣事件频发,局域网网络安全越发受到企业重视。
目前,通常采用交换机和路由器等网络连接设备接入局域网,但这些网络连接设备对于终端设备等设备的接入往往不具备认证能力,仅仅具备简单的基于MAC地址的控制机制,即在网络连接设备上人工配置基于MAC地址的网络访问策略,以控制终端设备等设备的接入,但MAC地址容易被仿造冒用,因此存在很大的安全风险;
此外,网络连接设备上配置的网络访问策略都是静态的,不能根据终端设备的用户身份动态生成相应的网络访问策略,在面对外来人员或者临时人员接入局域网时,存在越权访问局域网网络资源,导致公司机密泄露的不良现象。
因此,如何提供一种更安全的局域网访问系统是本领域技术人员亟需解决的技术问题。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的第一个目的在于提出一种局域网安全访问方法,建立双重身份认证机制,以提高局域网的访问安全性,对于通过双重身份认证的用户,基于用户身份动态配置网络访问策略,使认证通过的用户拥有与其身份相匹配的局域网网络资源访问权限,达到防止外来人员或者临时人员越权访问局域网网络资源的目的。
本发明的第二个目的在于提出一种网络连接设备。
本发明的第三个目的在于提出一种局域网安全访问系统。
为达上述目的,本发明第一方面实施例提出了一种局域网安全访问方法,所述方法包括:预先制定默认规则,所述默认规则是指在终端设备接入到局域网时,允许未认证或认证失败的终端设备与接入控制设备建立连接,拒绝未认证或认证失败的终端设备与办公网络设备建立连接;接收终端设备通过应用程序发送的身份认证请求;其中,所述身份认证请求是所述终端设备对用户输入的用户身份信息验证通过后发出的,所述身份认证请求包括身份认证请求内容和身份认证请求的签名信息;在接收到来自接入控制设备的终端连接策略后,向认证通过的终端设备发送认证应答,以使认证通过的终端设备进行网络重连接;其中,所述终端连接策略是由网络访问策略转换而来的连接策略,所述网络访问策略是接入控制设备在确认所述身份认证请求的签名信息认证通过后,基于所述身份认证请求配置的访问策略;检测到认证通过的终端设备重连接成功时,基于所述终端连接策略允许认证通过的终端设备与对应的办公网络设备建立连接。
为达上述目的,本发明第二方面实施例提出了一种网络连接设备,包括处理器和存储有程序指令的存储器,所述处理器被配置为在运行所述程序指令时,执行如上述的局域网安全访问方法。
为达上述目的,本发明第三方面实施例提出了一种局域网安全访问系统,所述系统包括上述的网络连接设备,还包括终端设备、接入控制设备和办公网络设备;
所述终端设备,用于通过应用程序发出身份认证请求;还用于认证通过后接收网络连接设备发出的认证应答,并根据所述认证应答进行网络重连接,重连接后通过网络连接设备与对应的办公网络设备建立连接;
所述接入控制设备,用于接收所述网络连接设备转发的身份认证请求,对所述身份认证请求的签名信息进行认证,认证通过后基于所述身份认证请求配置网络访问策略,并向所述网络连接设备发送所述网络访问策略转换成的终端连接策略;其中,所述终端连接策略用于标示待连接的终端设备和办公网络设备。
在第三方面的一具体实施例中,所述网络连接设备检测到认证通过的终端设备下线时,将下线信息发送给接入控制设备;所述接入控制设备收到下线信息后,对存储的对应网络访问策略和终端连接策略进行无效;所述接入控制设备基于所述下线信息生成删除指令,并将所述删除指令发送给所述网络连接设备,以使所述网络连接设备对相应的终端连接策略进行删除。
在第三方面的一具体实施例中,终端设备连接有硬件安全模块,身份认证请求由所述硬件安全模块生成,接入控制设备对身份认证请求的签名信息基于数字证书机制进行认证。
在第三方面的一具体实施例中,身份认证请求内容中包括数字证书;接入控制设备基于所述数字证书进行认证。
在第三方面的一具体实施例中,身份认证请求内容中包括身份唯一标识;接入控制设备基于所述身份唯一标识进行基于数字证书机制的认证。
在第三方面的一具体实施例中,所述接入控制设备基于身份认证请求配置网络访问策略,包括:
所述接入控制设备基于所述身份认证请求确定用户身份;所述接入控制设备根据所述用户身份和预设关联关系,确定对应的局域网网络资源访问权限,其中,所述预设关联关系表征所述用户身份与局域网网络资源之间的对应关系;所述接入控制设备基于所述用户身份和所述局域网网络资源访问权限,生成网络访问策略。
在第三方面的一具体实施例中,身份认证请求内容中包括终端设备的标识信息;所述接入控制设备基于身份认证请求配置网络访问策略,包括:
所述接入控制设备根据所述终端设备的标识信息和维护的企业终端设备标识列表,判断所述终端设备是否属于企业的终端设备,得到判断结果;相应的,所述接入控制设备根据所述用户身份和预设关联关系,确定对应的局域网网络资源访问权限,包括:
所述接入控制设备根据所述用户身份、所述判断结果和所述预设关联关系,确定对应的局域网网络资源访问权限;其中,所述预设关联关系表征用户身份、判断结果和局域网网络资源之间的对应关系;所述接入控制设备基于所述用户身份和所述局域网网络资源访问权限,生成网络访问策略。
在第三方面的一具体实施例中,所述接入控制设备将网络访问策略转换成终端连接策略,包括:
所述接入控制设备利用所述网络访问策略得到对应的用户身份,并确定所述用户身份对应的终端设备的标识信息;所述接入控制设备利用所述网络访问策略得到对应的局域网网络资源,并确定所述局域网网络资源对应的办公网络设备的标识信息;所述接入控制设备基于所述终端设备的标识信息和所述办公网络设备的标识信息,生成终端连接策略。
在第三方面的一具体实施例中,接入控制设备对身份认证请求的签名信息进行认证,认证失败后基于认证失败次数和/或认证失败频率生成限制访问策略,并将所述限制访问策略发送给网络连接设备;所述网络连接设备基于所述限制访问策略限制终端设备的访问。
本发明的有益效果:
通过终端设备对用户输入的用户身份信息进行验证,通过接入控制设备对身份认证请求的签名信息进行认证,使用双重身份认证机制来确认用户身份,全部认证通过才能使终端设备根据终端连接策略与对应的办公网络设备建立连接,有效提高局域网的访问安全性;
对于通过双重身份认证的终端设备,接入控制设备能够根据终端设备的用户身份来动态配置网络访问策略,以控制用户的局域网网络访问权限,配置过程无需人工处理,使用方便;
且接入控制设备将网络访问策略转换成终端连接策略后发送至网络连接设备,网络连接设备基于终端连接策略允许认证通过的终端设备与对应的办公网络设备建立连接,使认证通过的终端设备的用户拥有的局域网网络资源访问权限与其身份相匹配,以防止盗用冒用终端设备,越权访问局域网网络资源的不良现象发生,从而保障局域网的访问安全。
附图说明
图1为本发明实施例提供的一种局域网安全访问方法的流程图;
图2为本发明实施例提供的一种局域网安全访问方法的时序图;
图3为本发明实施例提供的一种局域网安全访问系统的结构示意图;
图4为本发明实施例提供的另一种局域网安全访问系统的结构示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施例对本发明进行详细描述。需要说明的是,在不冲突的情况下,本发明的实施例及实施例中的特征可以相互组合。
为方便理解,首先结合本发明的技术方案对本发明中涉及的交互方和/或术语和/或自定义词进行说明:
网络连接设备:参与局域网组建的网络硬件设备,如交换机、路由器等,具备检测终端设备等的接入和下线,在局域网中根据要求控制工作设备之间建立连接、完成信息交换的功能。
接入控制设备:位于局域网认证区网段,具备运算、控制、通信、和存储等能力,用于参与用户身份认证、动态生成网络访问策略和/或指令的设备。
办公网络设备:位于局域网工作区网段,作为局域网网络资源载体的设备;在实际应用中,办公网络设备可以包括一个载体设备或一个载体设备群组。
默认规则:预先设置在网络连接设备中,默认未认证或认证失败的终端设备接入局域网时仅能访问接入控制设备进行签名认证,不能访问办公网络设备进行局域网资源访问的规则。
身份认证请求:证明终端设备身份和用户身份的相关信息,包括身份认证请求内容和身份认证请求的签名信息;在实际应用中,身份认证请求内容中通常包括对应的终端设备的标识信息,还可以包括对应的用户的标识信息,身份认证请求的签名信息通常为对应的用户的签名信息。
用户身份信息:用于认证用户身份,授权用户使用终端设备及应用程序的通行码,例如PIN(Personal identification number,个人身份识别码)、用户名及密码等;在实际应用中,用户输入的用户身份信息被验证通过后,用户能够通过对应终端设备获得应用程序的管理权限,通过应用程序发送身份认证请求。
网络访问策略:接入控制设备对身份认证请求的签名信息认证通过后,建立的用户访问局域网网络资源的约束规则;在实际应用时,网络访问策略控制能够访问局域网的用户身份,并根据用户身份设置合理的局域网网络资源访问权限,以及控制用户的入网时间和访问位置。
终端连接策略:接入控制设备配置网络访问策略后,建立的用户对应的终端设备连接办公网络设备的约束规则;在实际应用时,终端连接策略控制能够访问工作区网段的终端设备,并确定所述终端设备能够连接(访问)的办公网络设备,以及控制终端设备与对应办公网络设备建立连接的时间范围。
硬件安全模块:通过USB (通用串行总线接口)与终端设备相连、具有数字签名功能的安全存储设备,例如Ukey等;实际应用时,硬件安全模块可以存储用户的私钥、证书等敏感信息,并基于密码学技术对待发送消息进行数字签名,以生成身份认证请求。
身份唯一标识:代表硬件安全模块(用户)身份唯一性的一组字码,例如硬件安全模块的ID。
终端设备的标识信息:表征终端设备身份唯一性的标识。
企业终端设备标识列表:预先存储在接入控制设备中的,记录了企业内部所有终端设备的标识信息的列表。
办公网络设备的标识信息:表征办公网络设备身份唯一性的标识。
限制访问策略:接入控制设备针对超过失败次数阈值和/或失败频率阈值的用户设置的,在一定时间范围内限制或禁止该用户所用终端设备再发起认证的规则;限制访问策略中包括用户所用终端设备的标识信息和限制/禁止访问时间。
实施例1
下面结合附图描述本发明实施例的局域网安全访问方法。
参见附图1和附图2所示,为本发明实施例提供的一种局域网安全访问方法的示意图。所述局域网安全访问方法包括:
预先制定默认规则,所述默认规则是指在终端设备接入到局域网时,允许未认证或认证失败的终端设备与接入控制设备建立连接,拒绝未认证或认证失败的终端设备与办公网络设备建立连接;
上述终端设备通常为临时人员或外来人员自带/私人的终端设备,或者为企业供临时人员或外来人员工作时间使用的专用设备;
接收终端设备通过应用程序发送的身份认证请求;其中,所述身份认证请求是所述终端设备对用户输入的用户身份信息验证通过后发出的,所述身份认证请求包括身份认证请求内容和身份认证请求的签名信息;
在接收到来自接入控制设备的终端连接策略后,向认证通过的终端设备发送认证应答,以使认证通过的终端设备进行网络重连接;其中,所述终端连接策略是指由网络访问策略转换而来的连接策略,所述网络访问策略是指接入控制设备在确认所述身份认证请求的签名信息认证通过后,基于所述身份认证请求配置的访问策略;
检测到认证通过的终端设备重连接成功时,基于所述终端连接策略允许认证通过的终端设备与对应的办公网络设备建立连接。
需要说明的是,接入控制设备与办公网络设备处于不同的网段,将接入控制设备所处网段记为认证区网段,将办公网络设备所处网段记为工作区网段;网络连接设备中预先制定默认规则,旨在引导终端设备入局域网时先进行身份认证(签名认证),只有认证通过的终端设备才允许接入工作区网段,访问对应的办公网络设备中存储的局域网网络资源,以保障局域网访问的安全性。
还需要说明的是,若终端设备对用户输入的用户身份信息验证失败,则该用户不能使用该终端设备及应用程序;终端设备可以提醒该用户验证失败,请重试,并记录该用户的相关信息,例如用户名等,以及记录验证失败的时间等其它信息。
本发明实施例的一种局域网安全访问方法通过对用户输入的用户身份信息进行验证,对身份认证请求的签名信息进行认证,使用双重身份认证机制来确认用户身份,全部认证通过才能使用户访问局域网网络资源,能够有效提高局域网的访问安全性;
根据用户身份来动态配置网络访问策略,无需人工配置,使用方便,且将网络访问策略转换成终端连接策略后,基于终端连接策略使认证通过的用户拥有的局域网网络资源访问权限与其身份相匹配,以防止盗用冒用终端设备,越权访问局域网网络资源的不良现象发生,从而保障局域网的访问安全。
在上述实施例的基础上,本发明实施例还提供一种网络连接设备,包括处理器和存储有程序指令的存储器,所述处理器被配置为在运行所述程序指令时,执行如实施例1中的局域网安全访问方法。
需要说明的是,网络连接设备是根据默认规则,允许未认证或认证失败的终端设备与接入控制设备建立连接;还是根据终端连接策略,允许认证通过的终端设备与办公网络设备建立连接,具体为:
当网络连接设备未收到该终端设备对应的终端连接策略时,网络连接设备中仅存在该终端设备对应的默认规则,此时(默认接入的这个终端设备为未认证或认证失败的终端设备)基于默认规则允许未认证或认证失败的终端设备与接入控制设备建立连接,拒绝未认证或认证失败的终端设备与办公网络设备建立连接;
当网络连接设备收到该终端设备对应的终端连接策略时,从遵守默认规则的工作表(例如MAC表)中删除该终端设备的相关信息,基于该终端设备对应的终端连接策略允许认证通过的终端设备与对应的办公网络设备建立连接,直至该终端设备下线。
实施例2
下面结合附图描述本发明实施例的局域网安全访问系统。
参见图3所示,为本发明实施例提供的一种局域网安全访问系统的结构示意图。该局域网安全访问系统包括实施例1中的网络连接设备,还包括终端设备、接入控制设备和办公网络设备。
所述终端设备,通过应用程序发出身份认证请求;其中,所述身份认证请求是所述终端设备对用户输入的用户身份信息验证通过后发出的认证请求,所述身份认证请求包括身份认证请求内容和身份认证请求的签名信息;还用于认证通过后接收网络连接设备发出的认证应答,并根据所述认证应答进行网络重连接,重连接后通过网络连接设备与对应的办公网络设备建立连接;
所述接入控制设备,用于接收所述网络连接设备转发的身份认证请求,基于身份认证请求内容对身份认证请求的签名信息进行认证,认证通过后基于身份认证请求配置网络访问策略,并向网络连接设备发送网络访问策略转换成的终端连接策略;其中,所述终端连接策略用于标示待连接的终端设备和办公网络设备。
上述认证通常为验签,验签通过后能够确认用户身份,根据用户身份配置网络访问策略。
上述认证应答通常为接入控制设备通过网络连接设备向终端设备发送的,用于表征认证已通过,需要终端设备进行网络重连接以访问局域网网络资源的提醒信息。
可以理解,在终端设备认证通过后,终端设备根据网络连接设备发来的认证应答进行网络重连接,目的是断开认证通过的终端设备与接入控制设备之间的连接,以使网络连接设备根据对应的终端连接策略建立认证通过的终端设备与办公网络设备之间的连接,其中重连接通常采用重启终端设备等方式;
需要说明的是,由于网络访问策略是接入控制设备根据用户身份所配置的,故网络访问策略包括用户身份相关信息、用户的认证时间、允许用户入网的时间、用户的局域网网络资源访问权限等信息;而交换机等网络连接设备在局域网中的主要功能为控制工作设备之间建立连接、完成信息交换,出于安全考虑,网络连接设备通常不具备获知或存储上述信息的权限和能力,因此,接入控制设备需要将网络访问策略转换成(网络连接设备能够获知的)终端连接策略,再将终端连接策略发送给网络连接设备,以指示网络连接设备需要建立连接的工作设备。
还需要说明的是,接入控制设备对身份认证请求的签名信息认证失败时,确认当前用户不能通过终端设备访问工作区网段中的局域网网络资源,接入控制设备通过网络连接设备向该终端设备发送表征认证失败的警告信息,以便于终端设备收到警告信息后能够重新发起身份认证请求;并记录身份认证请求对应的用户身份信息和终端设备的标识信息,以便统计认证失败的次数和/或频率。
本发明实施例的一种局域网安全访问系统通过终端设备对用户输入的用户身份信息进行验证,通过接入控制设备对身份认证请求的签名信息进行认证,使用双重身份认证机制来确认用户身份,全部认证通过才能使终端设备根据终端连接策略连接对应的办公网络设备,有效提高局域网的访问安全性;对于通过双重身份认证的终端设备,接入控制设备能够根据终端设备的用户身份来动态配置网络访问策略,以控制用户的局域网网络访问权限,配置过程无需人工处理,使用方便;且接入控制设备将网络访问策略转换成终端连接策略后发送至网络连接设备,网络连接设备基于终端连接策略允许认证通过的终端设备与对应的办公网络设备建立连接,使认证通过的终端设备的用户拥有的局域网访问网络资源权限与其身份相匹配,以防止盗用冒用终端设备,越权访问局域网网络资源的不良现象发生,从而保障局域网的访问安全。
在图3所示系统实施例的基础上,在一些实施例中,所述网络连接设备检测到认证通过的终端设备下线时,将下线信息发送给接入控制设备;
接入控制设备收到下线信息后,对存储的(下线终端设备)对应网络访问策略和终端连接策略进行无效;
接入控制设备基于所述下线信息生成删除指令,并将删除指令发送给网络连接设备,以使所述网络连接设备根据删除指令对相应的终端连接策略进行删除。
需要说明的是,将接入控制设备中的网络访问策略和终端连接策略进行无效,而非删除,旨在保留该用户使用该终端设备访问局域网网络资源的痕迹,以便接入控制设备对用户和/或终端设备的异常访问进行追溯和识别。
还需要说明的是,考虑到临时人员和外来人员对于局域网网络资源的访问权限通常具有时效性,为避免临时人员或外来人员在有效期外,使用终端设备基于终端连接策略访问对应的办公网络设备中的局域网网络资源,因此每次检测到连接办公网络设备的终端设备下线后,删除网络连接设备中的该终端连接策略,使用户每次访问局域网网络资源都需要进行身份认证,以及实时根据用户身份动态控制对应终端设备的连接,防止临时人员或外来人员超期访问局域网网络资源的现象发生,提高企业的局域网网络安全性。
参见图4所示,在一些实施例中,终端设备连接有硬件安全模块,身份认证请求由所述硬件安全模块生成,接入控制设备对身份认证请求的签名信息基于数字证书机制进行认证。
需要说明的是,在另一些实施例中,采用软件安全模块替代硬件安全模块,生成身份认证请求内容和身份认证请求的签名信息。
还需要说明的是,身份认证请求中包含用户身份的相关信息,接入控制设备可以将身份认证请求发送至CA机构,通过CA机构直接对身份认证请求的签名信息进行基于数字证书机制的认证,得到认证结果;或者,接入控制设备将用户身份的相关信息发送至CA机构后,通过CA机构返回的证书相关信息(例如数字证书、数字证书的校验结果等)对身份认证请求的签名信息进行认证;其中,具体的数字证书机制可参见已有技术,这里不再赘述。
在终端设备对用户输入的用户身份信息验证通过的基础上,再采用接入控制设备对硬件安全模块生成的身份认证请求进行验签,使用双重身份认证机制这种强认证方式来确认用户身份,能够提高局域网的访问安全性;且生成身份认证请求的硬件安全模块连接在终端设备上,因此能够确定用户与终端设备之间的对应关系,(对应关系)可作为接入控制设备后续配置网络访问策略的依据之一,促进网络访问策略的精细化。
在图4所示系统实施例的基础上,在一些实施例中,身份认证请求内容中包括数字证书;接入控制设备基于所述数字证书进行认证。
可以理解,上述数字证书是硬件安全模块的数字证书,也是身份认证请求对应的用户的数字证书。
需要说明的是,接入控制设备将身份认证请求发送至CA机构,所述身份认证请求包括数字证书和身份认证请求的签名信息,CA机构基于CA证书中的公钥对所述数字证书进行校验;
在一些实施例中,CA机构在校验通过后直接利用所述数字证书中的公钥对身份认证请求的签名信息进行验签,并返回验签结果给接入控制设备;
在另一些实施例中,CA机构在校验通过后向接入控制设备发送表征校验成功的校验结果,接入控制设备收到后利用所述数字证书中的公钥对身份认证请求的签名信息进行验签。
在图4所示系统实施例的基础上,在一些实施例中,身份认证请求内容中包括身份唯一标识;接入控制设备基于所述身份唯一标识进行基于数字证书机制的认证。
需要说明的是,接入控制设备将身份认证请求发送至CA机构,所述身份认证请求包括身份唯一标识和身份认证请求的签名信息,CA机构根据身份唯一标识查询出对应的数字证书;
在一些实施例中,CA机构直接基于所述数字证书中的公钥对身份认证请求的签名信息进行验签,并返回验签结果给接入控制设备;在另一些实施例中,CA机构将查询出的数字证书发送至接入控制设备,接入控制设备收到后,利用所述数字证书中的公钥对身份认证请求的签名信息进行验签。
在图3所示系统实施例的基础上,在一些实施例中,所述接入控制设备基于身份认证请求配置网络访问策略,包括:
所述接入控制设备基于身份认证请求确定用户身份;
所述接入控制设备根据用户身份和预设关联关系,确定对应的局域网网络资源访问权限,其中,所述预设关联关系表征用户身份与局域网网络资源之间的对应关系;
所述接入控制设备基于用户身份和局域网网络资源访问权限,生成网络访问策略。
可以理解,身份认证请求中包含用户身份的相关信息,且接入控制设备对身份认证请求的签名信息认证通过后能够确定用户身份;
需要说明的是,企业预先根据外来人员或临时人员的工作内容、职级等划分用户身份类别(外来人员或临时人员的身份类别),所述用户身份类别包括用户身份信息(外来人员或临时人员的身份信息)和对应的身份类别,确定各用户身份类别能够访问的局域网网络资源,并将各用户身份类别与局域网网络资源之间的对应关系作为关联关系存储于接入控制设备中,以便当(外来人员或临时人员)终端设备有访问局域网网络资源的需求时,接入控制设备对认证通过后的终端设备快速确定能够访问的局域网网络资源。
具体地,接入控制设备通过身份认证请求及认证结果确定用户身份(外来人员或临时人员的身份),通过用户身份查找出对应的用户身份类别,利用用户身份类别通过预设关联关系查找出对应的局域网网络资源,并根据终端设备的入网状态动态设置可访问时间,通过局域网网络资源和可访问时间确定局域网网络资源访问权限;基于用户身份、终端设备的标识信息和所述局域网网络资源访问权限协同生成网络访问策略。
预先在接入控制设备中设置关联关系,以使终端设备认证通过后,接入控制设备基于终端设备的用户身份通过关联关系查找出对应的局域网网络资源,结合终端设备的可访问时间确定局域网网络资源访问权限,从而动态生成网络访问策略,使认证通过的终端设备的用户拥有的局域网网络资源访问权限与其身份、入网状态等相匹配,以防止盗用冒用终端设备、越权和/或超期访问局域网网络资源的不良现象发生。
进一步地,在一些实施例中,身份认证请求内容中包括终端设备的标识信息;这种情况下,所述接入控制设备基于身份认证请求配置网络访问策略,包括:
接入控制设备根据终端设备的标识信息和维护的企业终端设备标识列表,判断终端设备是否属于企业的终端设备,得到判断结果(属于企业的终端设备或者不属于企业的终端设备);
相应的,接入控制设备根据用户身份和预设关联关系,确定对应的局域网网络资源访问权限,包括:
接入控制设备根据用户身份、判断结果和预设关联关系,确定对应的局域网网络资源访问权限;其中,所述预设关联关系表征用户身份、判断结果和局域网网络资源之间的对应关系;
接入控制设备基于用户身份和局域网网络资源访问权限,生成网络访问策略。
需要说明的是,接入控制设备维护有企业终端设备标识列表,对身份认证请求的签名信息验证通过后,接入控制设备获取身份认证请求中的终端设备的标识信息,将所述终端设备的标识信息与企业终端设备标识列表中存储的终端设备的标识信息逐一进行比对,判断企业终端设备标识列表中是否存在该终端设备的标识信息;若存在,则说明用户所用终端设备为企业内部的终端设备;若不存在,则说明用户所用终端设备为企业外部的终端设备,例如私人电脑等。
还需要说明的是,企业预先根据外来人员或临时人员的工作内容、职级等划分用户身份类别(外来人员或临时人员的身份类别),所述用户身份类别包括用户身份信息(外来人员或临时人员的身份信息)和对应的身份类别;预先根据上述判断结果(终端设备属于企业内部还是企业外部的判断结果)设置设备身份级别;实际应用中,通常将设备身份级别分为两类,其中企业内部的终端设备比企业外部的终端设备对应的设备身份级别高;
基于用户身份类别和设备身份级别协同确定用户使用终端设备时能够访问的局域网网络资源,并将各用户身份类别、设备身份级别与局域网网络资源之间的对应关系作为关联关系存储于接入控制设备中,以便当用户使用终端设备访问局域网网络资源时,接入控制设备对用户身份认证通过后的终端设备快速确定能够访问的局域网网络资源。
具体地,接入控制设备通过身份认证请求及认证结果确定用户身份(外来人员或临时人员的身份),通过用户身份查找出对应的用户身份类别,并根据上述判断结果确定设备身份级别,利用用户身份类别和设备身份级别通过预设关联关系查找出对应的局域网网络资源,并根据终端设备的入网状态动态设置可访问时间,通过局域网网络资源和可访问时间确定局域网网络资源访问权限;基于用户身份、终端设备的标识信息和所述局域网网络资源访问权限协同生成网络访问策略。
将设备身份级别作为影响因素参与网络访问策略的生成,有效区分用户是使用企业内部终端设备还是使用企业外部终端设备访问局域网网络资源,并对不同来源的终端设备赋予不同的局域网网络资源访问权限,以降低用户使用企业外部终端设备的局域网网络资源访问权限,从而降低不法用户使用企业外部终端设备拷贝、外流、泄露商业机密的风险。
在图3所示系统实施例的基础上,在一些实施例中,所述接入控制设备将网络访问策略转换成终端连接策略,包括:
接入控制设备利用网络访问策略得到对应的用户身份,并确定所述用户身份对应的终端设备的标识信息;
接入控制设备利用网络访问策略得到对应的局域网网络资源,并确定局域网网络资源对应的办公网络设备的标识信息;
接入控制设备基于终端设备的标识信息和办公网络设备的标识信息,生成终端连接策略。
需要说明的是,网络访问策略中包含用户身份认证通过后使用终端设备能够访问的局域网网络资源,接入控制设备能够确定所述局域网网络资源对应的具体工作区网段,以及查找到所述工作区网段中对应的办公网络设备,并获取所述办公网络设备的标识信息;
还需要说明的是,由于网络连接设备只能根据设备的标识信息允许设备之间建立连接,因此将网络访问策略转化为网络连接设备能够识别的终端连接策略下发至网络连接设备,以使网络连接设备根据终端连接策略允许认证通过的终端设备与对应办公网络设备建立连接,从而实现用户访问与其身份相符的局域网网络资源。
在图3所示系统实施例的基础上,在一些实施例中,接入控制设备对身份认证请求的签名信息进行认证,认证失败后基于认证失败次数和/或认证失败频率生成限制访问策略,并将限制访问策略发送给网络连接设备;
网络连接设备基于限制访问策略限制终端设备的访问。
可以理解,网络连接设备基于限制访问策略向对应终端设备下发限制/禁止访问提醒信息,并在限制访问策略中的限制/禁止访问时间范围内拒绝对应终端设备与接入控制设备或办公网络设备建立连接,以限制/禁止对应终端设备访问局域网。
需要说明的是,接入控制设备预先设置失败次数阈值和/或失败频率阈值,例如8小时内失败6次等;接入控制设备记录用户认证失败的次数和/或统计用户认证失败的频率,当超过失败次数阈值和/或失败频率阈值时,限制或禁止用户所用终端设备再发起认证的时间,例如24小时内禁止所述用户使用该终端设备再发起认证,作为限制访问策略。
在图3所示系统实施例的基础上,在一些实施例中,终端设备统计用户输入用户身份信息的错误次数,在错误次数达到错误次数阈值时,限制所述用户登录终端设备。
在图3所示系统实施例的基础上,在一些实施例中,接入控制设备仅接收到身份认证请求内容时,通过网络连接设备向对应的终端设备下发访问提醒信息,使得终端设备通过应用程序重新发送身份认证请求,所述身份认证请求包括身份认证请求的签名信息。
上述访问提醒信息表征终端设备需要发送带有签名信息的身份认证请求向接入控制设备进行认证。
可以理解,当接入控制设备收到的身份认证请求没有携带签名信息时,存在该身份认证请求是仿造的可能,因此不能判定对应用户身份的真实性,更不能保障实际用户拥有的局域网网络资源访问权限与其身份相匹配,存在实际用户越权访问局域网网络资源的风险,因此必须利用携带签名信息的身份认证请求对用户进行认证,以判定对应用户身份的真实性。
Claims (10)
1.一种局域网安全访问方法,其特征在于,所述方法包括:
预先制定默认规则,所述默认规则是指在终端设备接入到局域网时,允许未认证或认证失败的终端设备与接入控制设备建立连接,拒绝未认证或认证失败的终端设备与办公网络设备建立连接;
接收终端设备通过应用程序发送的身份认证请求;其中,所述身份认证请求是所述终端设备对用户输入的用户身份信息验证通过后发出的,所述身份认证请求包括身份认证请求内容和身份认证请求的签名信息;
在接收到来自接入控制设备的终端连接策略后,向认证通过的终端设备发送认证应答,以使认证通过的终端设备进行网络重连接;其中,所述终端连接策略是由网络访问策略转换而来的连接策略,所述网络访问策略是接入控制设备在确认所述身份认证请求的签名信息认证通过后,基于所述身份认证请求配置的访问策略;
检测到认证通过的终端设备重连接成功时,基于所述终端连接策略允许认证通过的终端设备与对应的办公网络设备建立连接。
2.一种网络连接设备,包括处理器和存储有程序指令的存储器,其特征在于:所述处理器被配置为在运行所述程序指令时,执行如权利要求1所述的局域网安全访问方法。
3.一种局域网安全访问系统,其特征在于,包括权利要求2所述的网络连接设备,还包括终端设备、接入控制设备和办公网络设备;
所述终端设备,用于通过应用程序发出身份认证请求;还用于认证通过后接收网络连接设备发出的认证应答,并根据所述认证应答进行网络重连接,重连接后通过网络连接设备与对应的办公网络设备建立连接;
所述接入控制设备,用于接收所述网络连接设备转发的身份认证请求,对所述身份认证请求的签名信息进行认证,认证通过后基于所述身份认证请求配置网络访问策略,并向所述网络连接设备发送所述网络访问策略转换成的终端连接策略;其中,所述终端连接策略用于标示待连接的终端设备和办公网络设备。
4.如权利要求3所述的局域网安全访问系统,其特征在于,所述网络连接设备检测到认证通过的终端设备下线时,将下线信息发送给接入控制设备;
所述接入控制设备收到下线信息后,对存储的对应网络访问策略和终端连接策略进行无效;
所述接入控制设备基于所述下线信息生成删除指令,并将所述删除指令发送给所述网络连接设备,以使所述网络连接设备对相应的终端连接策略进行删除。
5.如权利要求3所述的局域网安全访问系统,其特征在于,终端设备连接有硬件安全模块,身份认证请求由所述硬件安全模块生成,接入控制设备对身份认证请求的签名信息基于数字证书机制进行认证。
6.如权利要求5所述的局域网安全访问系统,其特征在于,身份认证请求内容中包括数字证书;
接入控制设备基于所述数字证书进行认证。
7.如权利要求5所述的局域网安全访问系统,其特征在于,身份认证请求内容中包括身份唯一标识;
接入控制设备基于所述身份唯一标识进行基于数字证书机制的认证。
8.如权利要求3所述的局域网安全访问系统,其特征在于,所述接入控制设备基于身份认证请求配置网络访问策略,包括:
所述接入控制设备基于所述身份认证请求确定用户身份;
所述接入控制设备根据所述用户身份和预设关联关系,确定对应的局域网网络资源访问权限;其中,所述预设关联关系表征所述用户身份与局域网网络资源之间的对应关系;
所述接入控制设备基于所述用户身份和所述局域网网络资源访问权限,生成网络访问策略。
9.如权利要求3所述的局域网安全访问系统,其特征在于,所述接入控制设备将网络访问策略转换成终端连接策略,包括:
所述接入控制设备利用所述网络访问策略得到对应的用户身份,并确定所述用户身份对应的终端设备的标识信息;
所述接入控制设备利用所述网络访问策略得到对应的局域网网络资源,并确定所述局域网网络资源对应的办公网络设备的标识信息;
所述接入控制设备基于所述终端设备的标识信息和所述办公网络设备的标识信息,生成终端连接策略。
10.如权利要求3所述的局域网安全访问系统,其特征在于,接入控制设备对身份认证请求的签名信息进行认证,认证失败后基于认证失败次数和/或认证失败频率生成限制访问策略,并将所述限制访问策略发送给网络连接设备;
所述网络连接设备基于所述限制访问策略限制终端设备的访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311081557.8A CN116938588A (zh) | 2023-08-25 | 2023-08-25 | 局域网安全访问方法、系统及网络连接设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311081557.8A CN116938588A (zh) | 2023-08-25 | 2023-08-25 | 局域网安全访问方法、系统及网络连接设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116938588A true CN116938588A (zh) | 2023-10-24 |
Family
ID=88382698
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311081557.8A Pending CN116938588A (zh) | 2023-08-25 | 2023-08-25 | 局域网安全访问方法、系统及网络连接设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116938588A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN119109776A (zh) * | 2024-09-27 | 2024-12-10 | 广州卫讯科技有限公司 | 一种园区动态网络配置系统及应用其的网络控制方法 |
-
2023
- 2023-08-25 CN CN202311081557.8A patent/CN116938588A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN119109776A (zh) * | 2024-09-27 | 2024-12-10 | 广州卫讯科技有限公司 | 一种园区动态网络配置系统及应用其的网络控制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12199971B2 (en) | System and method for transferring device identifying information | |
| CN101582769B (zh) | 用户接入网络的权限设置方法和设备 | |
| US8156231B2 (en) | Remote access system and method for enabling a user to remotely access terminal equipment from a subscriber terminal | |
| CN105282157B (zh) | 一种安全通信控制方法 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| US11824989B2 (en) | Secure onboarding of computing devices using blockchain | |
| WO2007128134A1 (en) | Secure wireless guest access | |
| CN115189958A (zh) | 一种实现多级架构之间认证漫游和鉴权的方法 | |
| US12489639B2 (en) | Access control method, apparatus, network side device, terminal and blockchain node | |
| CA2524849A1 (en) | Method of providing secure access to computer resources | |
| JP2017152880A (ja) | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム | |
| CN102740296A (zh) | 一种移动终端可信网络接入方法和系统 | |
| US11522702B1 (en) | Secure onboarding of computing devices using blockchain | |
| CN101001148A (zh) | 一种设备安全管理维护的方法及装置 | |
| CN116938588A (zh) | 局域网安全访问方法、系统及网络连接设备 | |
| CN114615309B (zh) | 客户端接入控制方法、装置、系统、电子设备及存储介质 | |
| CN115277237A (zh) | 移动终端接入企业内网的控制方法及装置 | |
| CN119520146B (zh) | 基于运维的登录控制方法、装置、堡垒机、系统、存储介质及程序产品 | |
| CN112491886A (zh) | 基于网络系统的安全控制方法、系统、装置和存储介质 | |
| KR20110128371A (ko) | 모바일 클라이언트 보안인증시스템과 중앙제어시스템 및 그 동작방법 | |
| CN116782222A (zh) | 5g用户设备接入鉴权方法及系统 | |
| CN116192447A (zh) | 一种多因子身份认证方法 | |
| KR20050003587A (ko) | 보안 시스템 및 그의 접근 제어 방법 | |
| KR100281566B1 (ko) | 이동통신에서의 호 이력 카운트를 이용한 불법 복제 단말기 검출 방법 | |
| CN119853975B (zh) | 地图服务的认证方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |