[发明专利]一种网络准入控制系统

说明书

技术领域

本发明属于网络安全领域，尤其涉及一种网络准入控制系统。

背景技术

随着网络技术的发展，接入网络的终端可能会给网络带来各种安全威胁。因此有必要对接入网络的终端进行网络准入控制，只有经过身份验证和安全状态检查的终端才可以接入网络。

现有网络准入控制技术中，端口级的802.1X处于主流。802.1X协议是一种基于端口的网络准入控制技术，连接到启用了802.1X协议的网络端口上的终端，必须通过准入认证才能接入网络，否则无法访问网络中的任何资源，具有安全级别较高，控制灵活的优点。

由于802.1X协议的实现是端口级别的控制，对网络设备型号有依赖，部分老旧设备不支持该协议。同时，需要逐个端口进行配置，实施复杂，增加了用户的采购成本和实施成本。

发明内容

本发明实施例提供一种网络准入控制系统，不依赖特定接入层交换机等网络设备，实施简便，成本低。

本发明实施例是这样实现的，一种网络准入控制系统，所述系统包括：

准入认证客户端，设置于接入终端，用于对接入终端的网络资源访问进行认证；

网络准入控制网关，接入到接入终端访问网络资源的关键路径上的节点，用于对访问网络资源的接入终端发起认证，根据接入终端的认证状态控制接入终端的网络资源访问；以及

认证服务器，用于向所述准入认证客户端下发安全策略，对所述准入认证客户端的身份与安全策略检查状态进行检查，下发相应的网络资源访问控制指令给所述网络准入控制网关。

本发明实施例采用网关方式实现网络准入控制，用户不需要完全替换所有接入层网络交换机等网络设备，也不需要大量调整网络结构和修改接入层交换机的配置，实施简单，采购和实施成本低。

附图说明

图1是本发明实施例提供的网络准入控制系统的结构图；

图2是本发明实施例提供的准入认证客户端的结构图；

图3是本发明实施例提供的网络准入控制网关的结构图；

图4是本发明实施例提供的认证服务器的结构图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

图1示出了本发明实施例提供的网络准入控制系统的结构，为了便于说明，仅示出了与本发明实施例有关的部分。

本发明实施例中的网络准入控制系统包括准入认证客户端11、网络准入控制网关13和认证服务器15。

准入认证客户端11设置于接入终端51，对接入终端51的网络资源访问进行认证。

网络准入控制网关13接入到接入终端51访问网络资源的关键路径上的节点，对访问网络资源的接入终端51发起认证，根据接入终端51的认证状态控制接入终端51的网络资源访问，例如可能的处理控制方法包括丢弃报文、转发报文、重定向等，这样就实现了对接入终端51的网络准入控制。

认证服务器15向准入认证客户端11下发安全策略，对准入认证客户端11的身份与安全策略检查状态进行检查，下发相应的网络资源访问控制指令给网络准入控制网关13，由网络准入控制网关13对接入终端51的网络资源访问进行控制。

在本发明实施例中，当接入终端51接入到网络需要访问网络资源时，其访问请求报文经过网络设备，如核心交换机和路由器21。

核心交换机和路由器21将接入终端51的访问请求报文转发给网络准入控制网关13。

网络准入控制网关13检查接入终端51是否已经通过网络准入控制认证，如果没有通过，则通过核心交换机和路由器21向接入终端51发送发起准入认证请求。

在本发明实施例中，用户可以在网络准入控制网关13上配置通过网络准入控制认证的接入终端名单，或者记录通过网络准入控制认证的接入终端51，设置接入有效期，有效期内允许接入终端51访问网络资源，有效期满则控制接入终端51重新进行网络准入控制认证。

如果接入终端51上运行有准入认证客户端11，则准入认证客户端11通过网络准入控制网关13获取到认证服务器15上的安全策略，例如是否安装了杀毒软件，操作系统是否安装安全补丁等，可以由用户根据需要配置。

准入认证客户端11根据获取的安全策略对所在的接入终端51进行安全检查，将安全检查结果与接入终端51的身份验证凭据通过网络准入控制网关13转发给认证服务器15。