[发明专利]接入前先做系统健康检测的网络准入控制方法

说明书

技术领域

本发明涉及通信控制领域，尤其涉及一种接入前先做系统健康检测的网络准入控制方法。

背景技术

出于对企业网络业务类型及安全性的考虑，在终端接入网络过程中，不同级别的用户对网络业务、网络安全等方面的要求存在很大的不同。目前，主要采用以下两种技术方案实现对不同用户的区别处理。

(A)方案采用VLAN(Virtual Local Area Network)技术将不同网络逻辑隔离；比如将交换机端口1～10分配给VLAN1，端口11～23分配给VLAN2，安全性要求较高的财务部终端只能接入VLAN1，而生产部门等其他终端接入VLAN2，达到网络层面的逻辑隔离。方案(A)中，当终端用户需要访问不同的逻辑网段时，需要切换网线所连接的交换机端口或者需要网络管理员重新配置VLAN策略，非常繁琐；同时，方案(A)也无法对终端用户进行身份安全认证。

(B)方案利用远程拨号用户认证服务(Remote Authentication Dial In User Service，简称RADIUS)对不同的用户名进行认证，由验证设备(RADIUS服务器)根据用户名级别下发安全策略和访问权限。见图1，图1是现有技术中验证设备对终端用户名进行认证的网络连接示意图，其中，接入设备可以为交换机，其与用户终端的通信通过802.1X协议进行(802.1x协议是基于Client/Server的访问控制和认证协议，它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN)；具体认证过程见图2，图2是现有技术中验证设备对终端用户名进行认证的流程示意图，RADIUS服务器的验证过程包括如下步骤：

(1)终端发起接入请求，接入设备接收到终端发送的认证请求；

(2)接入设备将其发送给RADIUS服务器；

(3)用户通过认证后，RADIUS服务器根据预先设置的用户访问权限策略，向接入设备下发相应的访问控制列表(Access Control List，简称ACL)和VLAN-ID等信息；

(4)接入设备向终端发送认证成功指令，并根据ACL和VLAN-ID等信息限制终端的网络资源访问。

上述(B)方案的部署比(A)方案灵活且安全性也有所提高，但(B)方案也不能真正意义上的验证终端用户的合法身份，一旦终端的用户名和密码泄露，别有用心者就可以用泄露的用户信息在企业网络中的任何一台电脑上登录，安全性还是得不到保障。

发明内容

本发明的目的在于克服现有技术中的缺点与不足，提供一种接入前先做系统健康检测的网络准入控制方法。

本发明是通过以下技术方案实现的：接入前先做系统健康检测的网络准入控制方法，包括如下步骤：

S1：登记网络终端用户的用户名、密码及手持设备标识码，并储存至验证服务器的验证数据库中；

S2：在网络终端的登录界面上填写终端用户名并向验证服务器发出获取动态验证码的连接请求；

S3：验证服务器向终端用户的手持设备发送一动态验证码；该步骤S3包括，

S31：验证服务器在验证数据库中检索出所述终端用户名对应的手持设备标识码；

S32：验证服务器随机生成动态验证码；

S33：验证服务器向所述终端用户名对应的手持设备发送该动态验证码，并将该动态验证码存储至验证数据库中对应的终端用户名条目下；

S4：在网络终端上用所述终端用户名、密码及动态验证码登录，验证服务器校验登录信息成功，则请求策略服务器下发访问控制策略至接入设备，由接入设备控制网络终端接入指定的接入域、验证服务器校验登录信息失败向网络终端发送拒绝登录提示；该步骤S4包括：

S41：网络终端向接入设备发起接入请求，该接入请求包含用户名、密码及动态验证码；

S42：接入设备将该接入请求转发给验证服务器；

S43：验证服务器检索验证数据库中的用户信息并对所述接入请求进行验证，并将验证结果发送至策略服务器；

S44：如S43中的验证结果为成功，则策略服务器向接入设备下发终端用户名对应的访问控制策略、如S43中的验证结果为失败则通知接入设备向网络终端发送拒绝登录提示；该步骤S44中，如S43中的验证结果为成功，则策略服务器向接入设备下发终端用户名对应的访问控制策略包括以下步骤：

S441：策略服务器请求接入设备发送要接入的网络终端的系统健康报告；

S442：接入设备请求要接入的网络终端发送系统健康报告；