[发明专利]网络准入方法、终端准入方法、网络准入装置和终端

说明书

技术领域

本发明涉及网络安全技术领域，更具体地，涉及一种网络准入方法、终端准入方法、网络准入装置和终端。

背景技术

网络准入控制能够在用户进行网络访问之前确保用户的身份是信任关系，只有可信赖的计算机才能接入网络，从而防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。通过准入控制，客户可以只允许合法的、值得信任的终端设备接入网络，而不允许其它设备接入。

目前常见的网络准入控制有802.1x准入控制和网关型准入控制。

802.1x准入控制的设计强调对交换机端口的控制，要求在用户使用终端接入前，通过交换机命令将终端隔离在隔离VLAN中（在隔离VLAN中的终端只允许访问某些指定的网络资源），只有在进行完身份认证后，才将终端改放在应属的VLAN中（在应属的VLAN中的终端可以正常访问网络资源）。802.1x准入控制有以下缺陷：

1.部署操作复杂

部署802.1x准入控制时，必须配置AAA服务器、Radius服务器、交换机，特别是交换机配置相当复杂，不同品牌、型号的交换机的配置命令多少都有差异。

2.网络兼容性差

部署802.1x准入控制的前提是交换机必须支持802.1x协议，而实际用户环境使用普通交换机或HUB情况很多，此时无法使用802.1x准入控制进行准确地控制。

网关型准入控制的设计注重于在网关位置限制非授信终端主机跨网访问。网关型准入控制具有以下缺陷：

1.没有终端准入控制能力

网关型准入控制不是严格意义上的准入控制，没有对终端接入网络进行控制，而只是对终端出外网进行了控制，即非授信终端在内部网络是不受限制的。

发明内容

针对现有技术中存在的上述问题，本发明提供了网络准入方法、终端准入方法、网络准入装置和终端，用于克服网络准入控制部署复杂、网络兼容性差和控制能力差的缺陷。

根据本发明的一个方面，提供了一种网络准入方法，其中，包括以下步骤：

a1)接收终端的网络访问请求；

b1)获取所述网络访问请求的IP数据包头部的可选项字段，判断所述可选项字段是否为空，

如果所述可选项字段为空，则拒绝所述网络访问请求；

如果所述可选项字段不为空，则验证所述可选项字段中的ID号和IP地址是否合法，如果合法，则允许该终端访问网络，如果不合法，则拒绝所述网络访问请求。

根据本发明的另一个方面，还提供了一种终端准入方法，其中，包括以下步骤：

a2)接收终端的终端访问请求；

b2)获取所述终端访问请求的IP数据包头部的可选项字段，判断所述可选项字段是否为空，

如果所述可选项字段为空，则拒绝所述终端访问请求；

如果所述可选项字段不为空，则验证所述可选项字段中的ID号和IP地址是否合法，

如果合法，则允许所述终端访问，

如果不合法，则将所述可选项字段中的ID号和IP地址发送到终端准入装置，并接收所述终端准入装置的验证信息，

当所述终端准入装置的验证信息表示所述ID号和IP地址不合法时，则拒绝所述终端访问请求；

当所述终端准入装置的验证信息表示所述ID号和IP地址合法时，则允许所述终端访问。

根据本发明的另一个方面，还提供了一种网络准入装置，其中，该网络准入装置包括：

网络访问请求接收模块，用于接收终端的网络访问请求；

验证模块，用于获取所述网络访问请求的IP数据包头部的可选项字段，判断所述可选项字段是否为空，如果所述可选项字段为空，则拒绝所述网络访问请求；如果所述可选项字段不为空，则验证所述可选项字段中的ID号和IP地址是否合法，如果合法，则允许该终端访问网络，如果不合法，则拒绝所述网络访问请求。

根据本发明的另一个方面，还提供了一种终端，其中，该终端包括：终端访问请求接收模块，用于接收另一个终端的终端访问请求；