[发明专利]支持隔离模式的网络接入控制方法、系统及设备

说明书

技术领域

本发明涉及网络接入技术，尤指一种支持隔离模式的网络接入控制方法、系统、安全策略服务器、接入终端及认证、授权与计费(AAA，Authentication Authorization Accounting)服务器。

背景技术

随着网络应用的不断普及与深入，网络安全成为各企业极为重视的问题。网络接入控制(NAC，Network Access Control)技术方案的应用为企业、事业单位提供了一个相对完整的网络安全解决方案。网络接入控制方案由安全策略服务器、AAA服务器、接入设备和接入终端组成的网络系统来实现。在该网络接入控制方案中，接入终端在身份认证通过后，由接入设备控制其只能访问受限的网络区域，称作隔离区，在隔离区进行安全升级。由安全策略服务器对接入终端进行安全检测，在接入终端符合安全要求解除其隔离的限制，使接入终端能够访问其他网络资源，从而保证该接入终端在访问其他网络资源免遭攻击的威胁。

参见图1，图1为其具体的实现流程图。

在步骤101中，接入终端向接入设备发送身份认证请求。

在步骤102中，接入设备向AAA服务器发送当前接入终端的身份认证请求。

在步骤103中，AAA服务器对当前接入终端进行身份认证，在认证通过后，下发隔离访问控制列表(ACL，Access Control List)至接入设备。

在步骤104中，接入设备应用收到的隔离ACL。

在步骤105中，接入设备向当前接入终端返回认证通过的指示。

此时，接入设备就可以根据应用的隔离ACL，控制当前接入终端访问隔离区。隔离区网络通常包括第三方杀病毒服务器、以及补丁升级服务器。接入终端可以根据自身的软件情况，选择访问隔离区，对自身的软件进行升级以及病毒的查杀，为安全策略服务器对自身的安全检查做准备。当然，接入终端也可以不访问隔离区中的服务器。

在步骤106中，接入终端在收到认证通过的指示后，向安全策略服务器发送安全检查请求。

在步骤107中，安全策略服务器收到接入终端发送的安全检查请求后，向该接入终端下发病毒、补丁等安全检查项目。

在步骤108中，接入终端收到安全检查项目，对各项目进行检查，并向安全策略服务器上报检查结果。

在步骤109中，安全策略服务器检测收到的检查结果是否符合要求，在安全的情况下，向接入设备下发安全ACL、并向接入终端发送安全检查通过报文；在不安全的情况下，如图1中的虚线所示向接入终端发送安全检查未通过的指示。

在步骤110中，接入设备应用收到的安全ACL。

接入终端在收到安全策略服务器发送的安全检查通过的报文后，就可以在安全ACL控制的范围内访问其他网络资源。

目前大部分的企、事业单位在引入网络接入控制方案之前均已经存在了固有的办公网络，网络中的设备大多都存在各种各样的品牌。在目前的网络接入控制方案中，接入终端与接入设备、以及接入设备与AAA服务器之间的交互，由于其涉及身份认证过程，一般均采用接入用户远程身份鉴明业务(RADIUS，Remote Authentication Dial In User Service)协议来完成，大部分的设备都是能够支持的。但是，对于接入设备与安全策略服务器、以及接入终端与安全策略服务器之间的交互，由于没有标准协议来约束，各设备制造商均通过自定义的私有协议来实现的。在具体实现网络接入控制方案时，由于接入终端的开放性较强，对接入终端通过进行适当改造就能够实现接入终端与安全策略服务器之间交互；但对于接入设备而言，在制造商不同的情况，由于其所采用的技术均是保密的，因此很难实现对接入设备的改造，实现接入设备与安全策略服务器之间的交互。

进而，在实现网络接入控制时，由于不同设备制造商的接入设备与安全策略服务器之间不能实现协同工作，不能在保护企业现有投资的情况下实现网络接入控制的技术方案。

发明内容

有鉴于此，本发明提供了一种支持隔离模式的网络接入控制方法、系统、安全策略服务器、接入终端和AAA服务器，应用本发明所提供的技术方案能够在接入设备与安全策略服务器设备制造商不同时，实现接入设备与安全策略服务器的协同工作，实现隔离模式下的网络接入控制。

为达到上述目的，本发明的技术方案是这样实现的：