[发明专利]实现网络终端安全接入公共网络的方法和系统及其专用网络接入控制器

权利要求书

1.一种实现网络终端安全接入公共网络的方法，其特征在于，包括以下步骤：

步骤一、网络终端用户安装一网络接入控制器，将网络接入控制器串接在网络终端和公共网络之间的链路上，公共网络上接入一网络接入控制服务器；

步骤二、当网络终端用户需要对网络接入控制器的防火墙策略库进行配置时，进入步骤三；否则进入步骤十；

步骤三、网络终端用户登录网络接入控制服务器，在网络终端、网络接入控制器和网络接入控制服务器之间建立链路；

步骤四、网络接入控制服务器对网络终端用户和网络接入控制器进行验证；

步骤五、网络终端用户向网络接入控制服务器提交配置请求信息；

步骤六、网络接入控制服务器根据配置请求信息生成相应的一组配置命令数据包；

步骤七、网络接入控制服务器发送该组配置命令数据包到网络终端，并由串接在步骤一所述链路上的网络接入控制器截获该组配置命令数据包；

步骤八、网络接入控制器从截获的配置命令数据包中解析出对应的配置命令，并执行该配置命令，完成对防火墙策略配置的更新；

步骤九、网络终端接收该组配置命令数据包，确认其完整性，并将确认结果返回到网络接入控制服务器；

步骤十、网络终端用户在网络接入控制器配置的防火墙策略的安全保护下，访问公共网络。

2.根据权利要求1所述的实现网络终端安全接入公共网络的方法，其特征在于，该配置命令数据包中包含特定数据特征，网络接入控制器检测流向网络终端的数据包是否符合当前防火墙策略所定义的访问规则，不符合的予以屏蔽和丢弃，符合的透明转发，并检测该符合访问规则的数据包是否包含特定数据特征，包含特定数据特征的数据包识别为配置命令数据包，从数据包中提取相关配置信息进行缓存，网络接入控制器根据构成一个完整配置命令的一组配置命令数据包解析出配置命令，并执行该配置命令，完成对防火墙策略配置的更新；透明转发的数据包被网络终端所接收，当网络终端收到构成一个完整的配置命令的一组配置命令数据包，表示网络接入控制器成功提取了相关配置信息，由网络终端向网络接入控制服务器发送配置命令被成功提取的确认信息。

3.根据权利要求1或2所述的实现网络终端安全接入公共网络的方法，其特征在于，网络终端用户通过HTTP页面提交配置请求信息，通过HTTPS建立网络终端到网络接入控制服务器的安全连接，通过该安全连接提交用户名、密码和网络接入控制器设备识别码，当网络终端用户用户名和密码验证通过，并且网络接入控制器设备识别码验证通过后，网络接入控制服务器根据配置请求信息自动生成相应的一组配置命令数据包。

4.根据权利要求1或2所述的实现网络终端安全接入公共网络的方法，其特征在于，一个完整的配置命令由多个配置命令数据包进行传递，发送一个完整的配置命令需要网络终端多次分步骤向网络接入控制服务器发出请求信息，网络接入控制服务器根据网络终端的请求信息发送相应的配置命令数据包。

5.根据权利要求2所述的实现网络终端安全接入公共网络的方法，其特征在于，配置命令数据包中包含的特定数据特征包括网络接入控制器设备识别码相关的数据内容。

6.根据权利要求1或2所述的实现网络终端安全接入公共网络的方法，其特征在于，该网络接入控制服务器管理和维护一个网络终端用户数据库，为网络终端用户提供注册、登录和身份验证；管理和维护一个网络接入控制器设备识别码数据库；管理和维护一个授信网络访问列表，对网络上的网络服务进行审查，并授予相应的信用等级，提供给网络终端用户进行选择。

7.根据权利要求2所述的实现网络终端安全接入公共网络的方法，其特征在于，访问规则包括：IP地址检查、协议类型检查、服务端口检查、对IP源地址准入时间设置、对IP源地址在一定时间段内累计流量设置。