網(wǎng)絡(luò)準(zhǔn)入方法�、終端準(zhǔn)入方法�����、網(wǎng)絡(luò)準(zhǔn)入裝置和終端的制作方法
【專利摘要】本發(fā)明提供了一種網(wǎng)絡(luò)準(zhǔn)入方法�、終端準(zhǔn)入方法��、網(wǎng)絡(luò)準(zhǔn)入裝置和終端��,該網(wǎng)絡(luò)準(zhǔn)入方法包括:接收終端的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求;獲取所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的IP數(shù)據(jù)包頭部的可選項(xiàng)字段�����,判斷所述可選項(xiàng)字段是否為空�����,如果所述可選項(xiàng)字段為空���,則拒絕所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求�;如果所述可選項(xiàng)字段不為空����,則驗(yàn)證所述可選項(xiàng)字段中的ID號(hào)和IP地址是否合法,如果合法�,則允許該終端訪問(wèn)網(wǎng)絡(luò),如果不合法�����,則拒絕所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求。該網(wǎng)絡(luò)準(zhǔn)入方法�、終端準(zhǔn)入方法、網(wǎng)絡(luò)準(zhǔn)入裝置和終端�,部署簡(jiǎn)單,網(wǎng)絡(luò)兼容性好����,且能夠有效控制終端的準(zhǔn)入。
【專利說(shuō)明】網(wǎng)絡(luò)準(zhǔn)入方法��、終端準(zhǔn)入方法�����、網(wǎng)絡(luò)準(zhǔn)入裝置和終端
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】��,更具體地����,涉及一種網(wǎng)絡(luò)準(zhǔn)入方法、終端準(zhǔn)入方法�、網(wǎng)絡(luò)準(zhǔn)入裝置和終端。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)準(zhǔn)入控制能夠在用戶進(jìn)行網(wǎng)絡(luò)訪問(wèn)之前確保用戶的身份是信任關(guān)系�����,只有可信賴的計(jì)算機(jī)才能接入網(wǎng)絡(luò),從而防止病毒和蠕蟲(chóng)等新興黑客技術(shù)對(duì)企業(yè)安全造成危害���。通過(guò)準(zhǔn)入控制����,客戶可以只允許合法的���、值得信任的終端設(shè)備接入網(wǎng)絡(luò),而不允許其它設(shè)備接入��。
[0003]目前常見(jiàn)的網(wǎng)絡(luò)準(zhǔn)入控制有802.1x準(zhǔn)入控制和網(wǎng)關(guān)型準(zhǔn)入控制�����。
[0004]802.1x準(zhǔn)入控制的設(shè)計(jì)強(qiáng)調(diào)對(duì)交換機(jī)端口的控制�����,要求在用戶使用終端接入前��,通過(guò)交換機(jī)命令將終端隔離在隔離VLAN中(在隔離VLAN中的終端只允許訪問(wèn)某些指定的網(wǎng)絡(luò)資源)����,只有在進(jìn)行完身份認(rèn)證后�,才將終端改放在應(yīng)屬的VLAN中(在應(yīng)屬的VLAN中的終端可以正常訪問(wèn)網(wǎng)絡(luò)資源)��。802.1x準(zhǔn)入控制有以下缺陷:
[0005]1.部署操作復(fù)雜
[0006]部署802.1x準(zhǔn)入控制時(shí)�,必須配置AAA服務(wù)器、Radius服務(wù)器���、交換機(jī)��,特別是交換機(jī)配置相當(dāng)復(fù)雜��,不同品牌��、型號(hào)的交換機(jī)的配置命令多少都有差異。
[0007]2.網(wǎng)絡(luò)兼容性差
[0008]部署802.1x準(zhǔn)入控制的前提是交換機(jī)必須支持802.1x協(xié)議���,而實(shí)際用戶環(huán)境使用普通交換機(jī)或HUB情況很多����,此時(shí)無(wú)法使用802.1x準(zhǔn)入控制進(jìn)行準(zhǔn)確地控制。
[0009]網(wǎng)關(guān)型準(zhǔn)入控制的設(shè)計(jì)注重于在網(wǎng)關(guān)位置限制非授信終端主機(jī)跨網(wǎng)訪問(wèn)�����。網(wǎng)關(guān)型準(zhǔn)入控制具有以下缺陷:
[0010]1.沒(méi)有終端準(zhǔn)入控制能力
[0011]網(wǎng)關(guān)型準(zhǔn)入控制不是嚴(yán)格意義上的準(zhǔn)入控制�,沒(méi)有對(duì)終端接入網(wǎng)絡(luò)進(jìn)行控制,而只是對(duì)終端出外網(wǎng)進(jìn)行了控制��,即非授信終端在內(nèi)部網(wǎng)絡(luò)是不受限制的。
【發(fā)明內(nèi)容】
[0012]針對(duì)現(xiàn)有技術(shù)中存在的上述問(wèn)題,本發(fā)明提供了網(wǎng)絡(luò)準(zhǔn)入方法、終端準(zhǔn)入方法�、網(wǎng)絡(luò)準(zhǔn)入裝置和終端����,用于克服網(wǎng)絡(luò)準(zhǔn)入控制部署復(fù)雜�、網(wǎng)絡(luò)兼容性差和控制能力差的缺陷�。
[0013]根據(jù)本發(fā)明的一個(gè)方面,提供了一種網(wǎng)絡(luò)準(zhǔn)入方法,其中,包括以下步驟:
[0014]al)接收終端的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求����;
[0015]bl)獲取所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的IP數(shù)據(jù)包頭部的可選項(xiàng)字段,判斷所述可選項(xiàng)字段是否為空�,
[0016]如果所述可選項(xiàng)字段為空,則拒絕所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求�����;
[0017]如果所述可選項(xiàng)字段不為空,則驗(yàn)證所述可選項(xiàng)字段中的ID號(hào)和IP地址是否合法���,如果合法�,則允許該終端訪問(wèn)網(wǎng)絡(luò)��,如果不合法����,則拒絕所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求。[0018]根據(jù)本發(fā)明的另一個(gè)方面����,還提供了一種終端準(zhǔn)入方法,其中�,包括以下步驟:
[0019]a2)接收終端的終端訪問(wèn)請(qǐng)求;
[0020]b2)獲取所述終端訪問(wèn)請(qǐng)求的IP數(shù)據(jù)包頭部的可選項(xiàng)字段�����,判斷所述可選項(xiàng)字段是否為空���,
[0021]如果所述可選項(xiàng)字段為空,則拒絕所述終端訪問(wèn)請(qǐng)求����;
[0022]如果所述可選項(xiàng)字段不為空��,則驗(yàn)證所述可選項(xiàng)字段中的ID號(hào)和IP地址是否合法�,
[0023]如果合法���,則允許所述終端訪問(wèn)��,
[0024]如果不合法�����,則將所述可選項(xiàng)字段中的ID號(hào)和IP地址發(fā)送到終端準(zhǔn)入裝置��,并接收所述終端準(zhǔn)入裝置的驗(yàn)證信息��,
[0025]當(dāng)所述終端準(zhǔn)入裝置的驗(yàn)證信息表示所述ID號(hào)和IP地址不合法時(shí)���,則拒絕所述終端訪問(wèn)請(qǐng)求;
[0026]當(dāng)所述終端準(zhǔn)入裝置的驗(yàn)證信息表示所述ID號(hào)和IP地址合法時(shí)�����,則允許所述終端訪問(wèn)�。
[0027]根據(jù)本發(fā)明的另一個(gè)方面��,還提供了一種網(wǎng)絡(luò)準(zhǔn)入裝置����,其中��,該網(wǎng)絡(luò)準(zhǔn)入裝置包括:
[0028]網(wǎng)絡(luò)訪問(wèn)請(qǐng)求接收模塊�,用于接收終端的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求;
[0029]驗(yàn)證模塊����,用于獲取所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的IP數(shù)據(jù)包頭部的可選項(xiàng)字段,判斷所述可選項(xiàng)字段是否為空��,如果所述可選項(xiàng)字段為空�����,則拒絕所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求�;如果所述可選項(xiàng)字段不為空,則驗(yàn)證所述可選項(xiàng)字段中的ID號(hào)和IP地址是否合法�����,如果合法����,則允許該終端訪問(wèn)網(wǎng)絡(luò),如果不合法�,則拒絕所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求。
[0030]根據(jù)本發(fā)明的另一個(gè)方面�,還提供了一種終端,其中�����,該終端包括:終端訪問(wèn)請(qǐng)求接收模塊��,用于接收另一個(gè)終端的終端訪問(wèn)請(qǐng)求��;
[0031]驗(yàn)證模塊�����,用于獲取所述終端訪問(wèn)請(qǐng)求的IP數(shù)據(jù)包頭部的可選項(xiàng)字段���,判斷所述可選項(xiàng)字段是否為空���,如果所述可選項(xiàng)字段為空,則拒絕所述終端訪問(wèn)請(qǐng)求���;如果所述可選項(xiàng)字段不為空�����,則驗(yàn)證所述可選項(xiàng)字段中的ID號(hào)和IP地址是否合法���,如果合法�,則允許所述另一個(gè)終端訪問(wèn)��,如果不合法���,則將所述可選項(xiàng)字段中的ID號(hào)和IP地址發(fā)送到終端準(zhǔn)入裝置���,并接收所述終端準(zhǔn)入裝置的驗(yàn)證信息,當(dāng)所述終端準(zhǔn)入裝置的驗(yàn)證信息表示所述ID號(hào)和IP地址不合法時(shí)���,則拒絕所述終端訪問(wèn)請(qǐng)求�����;當(dāng)所述終端準(zhǔn)入裝置的驗(yàn)證信息表示所述ID號(hào)和IP地址合法時(shí)�,則允許所述另一個(gè)終端訪問(wèn)�����。
[0032]利用本發(fā)明提供的網(wǎng)絡(luò)準(zhǔn)入方法����、終端準(zhǔn)入方法、網(wǎng)絡(luò)準(zhǔn)入裝置和終端��,部署簡(jiǎn)單����,網(wǎng)絡(luò)兼容性好,且能夠有效控制終端的準(zhǔn)入���。
【專利附圖】
【附圖說(shuō)明】
[0033]圖1是根據(jù)本發(fā)明的網(wǎng)絡(luò)準(zhǔn)入方法的流程圖���;
[0034]圖2是根據(jù)本發(fā)明安裝有客戶端的終端通過(guò)網(wǎng)絡(luò)準(zhǔn)入裝置訪問(wèn)網(wǎng)絡(luò)的示意圖;
[0035]圖3是根據(jù)本發(fā)明的終端準(zhǔn)入方法的流程圖���;
[0036]圖4是根據(jù)本發(fā)明的未安裝客戶端的終端訪問(wèn)安裝有客戶端的終端的示意圖�����;
[0037]圖5是根據(jù)本發(fā)明的安裝有客戶端的一個(gè)終端訪問(wèn)安裝有客戶端的另一個(gè)終端的示意圖���。
【具體實(shí)施方式】
[0038]下面結(jié)合附圖�,詳細(xì)描述本發(fā)明的【具體實(shí)施方式】�����。
[0039]圖1是根據(jù)本發(fā)明的網(wǎng)絡(luò)準(zhǔn)入方法的流程圖����。圖2是根據(jù)本發(fā)明安裝有客戶端的終端通過(guò)網(wǎng)絡(luò)準(zhǔn)入裝置訪問(wèn)網(wǎng)絡(luò)的示意圖。
[0040]參考圖1和圖2���,本發(fā)明提供了一種終端準(zhǔn)入方法����,其中��,包括以下步驟:
[0041 ] al)接收終端的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求�;
[0042]bl)獲取所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的IP數(shù)據(jù)包頭部的可選項(xiàng)字段,判斷所述可選項(xiàng)字段是否為空�,如果所述可選項(xiàng)字段為空,則拒絕所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求���;如果所述可選項(xiàng)字段不為空��,則驗(yàn)證所述可選項(xiàng)字段中的ID號(hào)和IP地址是否合法���,如果合法,則允許該終端訪問(wèn)網(wǎng)絡(luò)��,如果不合法�����,則拒絕所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求��。
[0043]其中�,終端向網(wǎng)絡(luò)準(zhǔn)入裝置發(fā)送網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,只有在網(wǎng)絡(luò)準(zhǔn)入裝置檢測(cè)到網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的IP數(shù)據(jù)包頭部的可選項(xiàng)字段不為空�,且驗(yàn)證所述可選項(xiàng)字段中的ID號(hào)和IP地址為合法時(shí),才允許該終端訪問(wèn)網(wǎng)絡(luò)��,否則��,網(wǎng)絡(luò)準(zhǔn)入裝置將拒絕該終端的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求�。
[0044]一般的,為了使用根據(jù)本發(fā)明的終端準(zhǔn)入方法�����,終端需要先安裝客戶端。終端可以先向網(wǎng)絡(luò)準(zhǔn)入裝置請(qǐng)求下載客戶端�����,網(wǎng)絡(luò)準(zhǔn)入裝置允許終端下載客戶端后��,就可以安裝該客戶端程序�。客戶端安裝成功后�,就可以在終端啟動(dòng)登錄窗口,在登錄窗口中輸入賬號(hào)和密碼�����,并將包括該賬號(hào)和密碼的登錄請(qǐng)求連同該終端的IP地址一起發(fā)送給網(wǎng)絡(luò)準(zhǔn)入裝置��。終端準(zhǔn)入裝置接收到所述終端的登陸請(qǐng)求和IP地址后�,驗(yàn)證所述賬號(hào)、密碼和IP地址是否合法���,如果合法���,則生成與該終端對(duì)應(yīng)的ID號(hào),并將該ID號(hào)發(fā)送到所述終端。所述終端接收到代表自己身份的ID號(hào)后��,就將該ID號(hào)最為特定數(shù)據(jù)包標(biāo)簽��,填入隨后所有從安裝有該客戶端的終端發(fā)出的每個(gè)IP數(shù)據(jù)包頭部的可選項(xiàng)字段中����。
[0045]因而,本發(fā)明的終端準(zhǔn)入方法在所述步驟al)之前����,還可以包括以下步驟:
[0046]all)接收所述終端的登陸請(qǐng)求和IP地址���,所述登陸請(qǐng)求包括賬號(hào)和密碼�;
[0047]al2)驗(yàn)證所述賬號(hào)�、密碼和IP地址是否合法,如果合法���,則生成與該終端對(duì)應(yīng)的ID號(hào)�,并將該ID號(hào)發(fā)送到所述終端����。
[0048]根據(jù)一種實(shí)施方式,所述網(wǎng)絡(luò)準(zhǔn)入裝置可以隨機(jī)生成與該終端對(duì)應(yīng)的ID號(hào)。
[0049]根據(jù)另一種��,所述網(wǎng)絡(luò)準(zhǔn)入裝置通過(guò)以下步驟生成與該終端對(duì)應(yīng)的ID號(hào):
[0050]為所述終端生成編號(hào)N�����,對(duì)于不同的終端生成不同的編號(hào)��,優(yōu)選的���,該編號(hào)可以從I開(kāi)始逐個(gè)遞增����;
[0051]為所述終端生成個(gè)位尾數(shù)W����,所述個(gè)位尾數(shù)W為O到9之間的任意整數(shù),該尾數(shù)W從O開(kāi)始�����,每次都逐步遞增1���,直到9后再返回0�����,以此方式一直循環(huán)�����,即為指定終端第一次生成ID時(shí)該尾數(shù)W=0���,下次再為該終端生成ID時(shí)該尾數(shù)W=l�����,以此類推。
[0052]生成隨機(jī)數(shù)R���,所述隨機(jī)數(shù)的取值范圍為:1?(2z-l-N*10-W)/10 α+1)����,其中�����,所述ζ為所述ID號(hào)的字節(jié)長(zhǎng)度(例如���,可以為32或16)����,所述L為編號(hào)N的位數(shù)(例如,在編號(hào)N為11時(shí)���,該編號(hào)N的位數(shù)L為2)���;
[0053]根據(jù)以下公式計(jì)算得到ID號(hào):ID號(hào)=R* (L+1) +L*10+W。
[0054]可以理解��,上述生成ID號(hào)的方式僅是示例性的�����,本領(lǐng)域的技術(shù)人員也可以采用其他方式生成ID號(hào)�����。
[0055]為了能夠更好地保證網(wǎng)絡(luò)訪問(wèn)的安全性�����,優(yōu)選的��,所述步驟bl)還可以包括,在允許所述終端訪問(wèn)網(wǎng)絡(luò)的情況下�,記錄所述終端對(duì)所述網(wǎng)絡(luò)的訪問(wèn)時(shí)間,當(dāng)所述訪問(wèn)時(shí)間大于預(yù)定閾值時(shí)�,再次生成與該終端對(duì)應(yīng)的ID號(hào),并將該ID號(hào)發(fā)送到所述終端����。在這種情況下,可以定時(shí)地更換ID號(hào)����。當(dāng)終端啟動(dòng)登錄窗口時(shí),在登錄窗口中輸入賬號(hào)和密碼���,并將包括該賬號(hào)和密碼的登錄請(qǐng)求連同該終端的IP地址一起發(fā)送給網(wǎng)絡(luò)準(zhǔn)入裝置��。終端準(zhǔn)入裝置驗(yàn)證所述賬號(hào)���、密碼和IP地址是否合法后����,向所述終端發(fā)送代表該終端身份的ID號(hào)。所述終端接收到ID號(hào)后�����,就將該ID號(hào)最為特定數(shù)據(jù)包標(biāo)簽,填入隨后所有從安裝有該客戶端的終端發(fā)出的每個(gè)IP數(shù)據(jù)包頭部的可選項(xiàng)字段中�,然后通過(guò)網(wǎng)絡(luò)準(zhǔn)入裝置訪問(wèn)網(wǎng)絡(luò)。當(dāng)所述終端訪問(wèn)網(wǎng)絡(luò)的時(shí)間大于預(yù)定閾值(例如I個(gè)小時(shí))時(shí)����,網(wǎng)絡(luò)準(zhǔn)入裝置就重新生成與該終端對(duì)應(yīng)的ID號(hào),并將該新的ID號(hào)發(fā)送到所述終端��。所述終端接收到新的ID號(hào)后���,就將該新的ID號(hào)填入隨后發(fā)送的每個(gè)IP數(shù)據(jù)包頭部的可選項(xiàng)字段中�����。網(wǎng)絡(luò)準(zhǔn)入裝置就根據(jù)新的ID號(hào)來(lái)對(duì)所述終端進(jìn)行驗(yàn)證���。
[0056]進(jìn)一步優(yōu)選的,在將該ID號(hào)發(fā)送到所述終端后���,還可以等待所述終端的確認(rèn)消息��,在接收到所述終端的確認(rèn)消息之后�����,存儲(chǔ)所述ID號(hào)�,并將ID號(hào)啟動(dòng)信息發(fā)送所述終端。在這種情況下�����,當(dāng)終端從網(wǎng)絡(luò)準(zhǔn)入裝置接收到ID號(hào)時(shí)�����,先停止后續(xù)的數(shù)據(jù)包發(fā)送工作�����,將該ID號(hào)最為特定數(shù)據(jù)包標(biāo)簽���,填入隨后所有從安裝有該客戶端的終端發(fā)出的每個(gè)IP數(shù)據(jù)包頭部的可選項(xiàng)字段中�,并向終端準(zhǔn)入裝置回復(fù)確認(rèn)消息�����。終端準(zhǔn)入裝置接收到確認(rèn)消息之后�,存儲(chǔ)所述ID號(hào),并將ID號(hào)啟動(dòng)信息發(fā)送所述終端�����,終端接收到ID號(hào)啟用信息之后��,恢復(fù)數(shù)據(jù)包發(fā)送工作��,并在后續(xù)發(fā)送的數(shù)據(jù)包中都填入ID號(hào)��。
[0057]進(jìn)一步優(yōu)選的��,在所述步驟bl)中����,在所述可選項(xiàng)字段中的ID號(hào)和IP地址驗(yàn)證為合法時(shí),通過(guò)將所述終端的網(wǎng)絡(luò)資源請(qǐng)求轉(zhuǎn)發(fā)到網(wǎng)絡(luò)��,以及將網(wǎng)絡(luò)數(shù)據(jù)從所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)到所述終端�,來(lái)允許該終端訪問(wèn)網(wǎng)絡(luò)。
[0058]相應(yīng)的���,本發(fā)明還提供了一種終端準(zhǔn)入裝置�����,其中�,該終端準(zhǔn)入裝置包括:網(wǎng)絡(luò)訪問(wèn)請(qǐng)求接收模塊,用于接收終端的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求�;驗(yàn)證模塊,用于獲取所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的IP數(shù)據(jù)包頭部的可選項(xiàng)字段��,判斷所述可選項(xiàng)字段是否為空���,如果所述可選項(xiàng)字段為空�,則拒絕所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求���;如果所述可選項(xiàng)字段不為空��,則驗(yàn)證所述可選項(xiàng)字段中的ID號(hào)和IP地址是否合法����,如果合法�����,則允許該終端訪問(wèn)網(wǎng)絡(luò)��,如果不合法,則拒絕所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求�。
[0059]優(yōu)選的���,該終端準(zhǔn)入裝置還可以包括:登陸信息接收模塊�����,用于接收所述終端的登陸請(qǐng)求和IP地址����,所述登陸請(qǐng)求包括賬號(hào)和密碼�����;ID號(hào)生成模塊����,用于驗(yàn)證所述賬號(hào)、密碼和IP地址是否合法���,如果合法��,則生成與所述終端對(duì)應(yīng)的ID號(hào)�����,并將所述ID號(hào)發(fā)送到所述終端���。
[0060]根據(jù)一種實(shí)施方式�,所述ID號(hào)生成模塊隨機(jī)生成與該終端對(duì)應(yīng)的ID號(hào)��。
[0061]根據(jù)另一種實(shí)施方式����,所述ID號(hào)生成模塊通過(guò)以下步驟生成與該終端對(duì)應(yīng)的ID號(hào):
[0062]為所述終端生成編號(hào)N,對(duì)于不同的終端生成不同的編號(hào)�����;
[0063]為所述終端生成個(gè)位尾數(shù)W���,所述個(gè)位尾數(shù)W為O到9之間的任意整數(shù)���;
[0064]生成隨機(jī)數(shù)R,所述隨機(jī)數(shù)的取值范圍為:1?(2z-l-N*10-W)/10 (L+1)���,其中����,所述Z為所述ID號(hào)的字節(jié)長(zhǎng)度,所述L為編號(hào)N的位數(shù)����;
[0065]根據(jù)以下公式計(jì)算ID號(hào):ID號(hào)=R* (L+1) +L*10+W����。
[0066]優(yōu)選的,該終端準(zhǔn)入裝置還可以包括:計(jì)時(shí)模塊��,用于在允許所述終端訪問(wèn)網(wǎng)絡(luò)的情況下���,記錄所述終端對(duì)所述網(wǎng)絡(luò)的訪問(wèn)時(shí)間����,當(dāng)所述訪問(wèn)時(shí)間大于預(yù)定閾值時(shí)���,向所述ID號(hào)生成模塊發(fā)送超時(shí)信息�;所述ID號(hào)生成模塊還用于在接收到所述超時(shí)信息時(shí)�,生成與所述終端對(duì)應(yīng)的ID號(hào),并將所述ID號(hào)發(fā)送到所述終端�。
[0067]優(yōu)選的�,所述驗(yàn)證模塊還用于在所述ID號(hào)生成模塊將所述ID號(hào)發(fā)送到所述終端后���,等待所述終端的確認(rèn)消息�,在接收到所述終端的確認(rèn)消息之后���,存儲(chǔ)所述ID號(hào)�����,并將ID號(hào)啟動(dòng)信息發(fā)送所述終端����。
[0068]優(yōu)選的��,該終端準(zhǔn)入裝置還可以包括轉(zhuǎn)發(fā)模塊��,用于在所述驗(yàn)證模塊驗(yàn)證所述可選項(xiàng)字段中的ID號(hào)和IP地址為合法時(shí)�����,將所述終端的網(wǎng)絡(luò)資源請(qǐng)求轉(zhuǎn)發(fā)到網(wǎng)絡(luò)����,以及將網(wǎng)絡(luò)數(shù)據(jù)從所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)到所述終端���。
[0069]為了防范網(wǎng)絡(luò)監(jiān)聽(tīng)的風(fēng)險(xiǎn),終端與終端準(zhǔn)入裝置之間通信還可以采用加密傳輸���。
[0070]根據(jù)本發(fā)明的終端準(zhǔn)入裝置串聯(lián)部署在網(wǎng)絡(luò)關(guān)口處��,例如可以部署在交換機(jī)或防火墻之間���,或者防火墻與終端主機(jī)之間等���,只要能夠部署在終端主機(jī)與網(wǎng)絡(luò)之間必經(jīng)的鏈路上即可�。當(dāng)終端請(qǐng)求通過(guò)終端準(zhǔn)入裝置訪問(wèn)網(wǎng)絡(luò)時(shí)����,該終端準(zhǔn)入裝置驗(yàn)證終端的網(wǎng)絡(luò)請(qǐng)求的的IP數(shù)據(jù)包頭部的可選項(xiàng)字段是否為空,如果為空則拒絕網(wǎng)絡(luò)訪問(wèn)請(qǐng)求�,如果不為空,則進(jìn)一步驗(yàn)證該可選項(xiàng)字段中的ID號(hào)和IP地址是否合法�,在合法的情況下,才允許終端訪問(wèn)網(wǎng)絡(luò)���。從而有效實(shí)現(xiàn)了終端對(duì)網(wǎng)絡(luò)訪問(wèn)的安全控制�����,且網(wǎng)絡(luò)兼容性好�,不需要特定型號(hào)、特定品牌的交換機(jī)����,也不需要交換機(jī)支持特定的網(wǎng)絡(luò)協(xié)議,只需要終端主機(jī)下載安裝客戶端即可�,實(shí)施簡(jiǎn)單,成本低��。
[0071]安裝有客戶端的終端除了可以主動(dòng)訪問(wèn)網(wǎng)絡(luò)�,還可以訪問(wèn)其他終端以及被其他終端訪問(wèn)。
[0072]本發(fā)明還提供了一種終端準(zhǔn)入方法�,用于限制一個(gè)終端訪問(wèn)另一個(gè)終端的訪問(wèn)權(quán)限,從而保證終端之間互相進(jìn)行訪問(wèn)的安全性���。
[0073]圖3是根據(jù)本發(fā)明的終端準(zhǔn)入方法的流程圖����。
[0074]參考圖3-5����,根據(jù)本發(fā)明的終端準(zhǔn)入方法包括以下步驟:
[0075]a2)接收終端的終端訪問(wèn)請(qǐng)求����;
[0076]b2)獲取所述終端訪問(wèn)請(qǐng)求的IP數(shù)據(jù)包頭部的可選項(xiàng)字段�,判斷所述可選項(xiàng)字段是否為空,
[0077]如果所述可選項(xiàng)字段為空�����,則拒絕所述終端訪問(wèn)請(qǐng)求����;
[0078]如果所述可選項(xiàng)字段不為空,則驗(yàn)證所述可選項(xiàng)字段中的ID號(hào)和IP地址是否合法�����,
[0079]如果合法���,則允許所述終端訪問(wèn),
[0080]如果不合法����,則將所述可選項(xiàng)字段中的ID號(hào)和IP地址發(fā)送到終端準(zhǔn)入裝置,并接收所述終端準(zhǔn)入裝置的驗(yàn)證信息�,
[0081]當(dāng)所述終端準(zhǔn)入裝置的驗(yàn)證信息表示所述ID號(hào)和IP地址不合法時(shí)����,則拒絕所述終端訪問(wèn)請(qǐng)求�����;
[0082]當(dāng)所述終端準(zhǔn)入裝置的驗(yàn)證信息表示所述ID號(hào)和IP地址合法時(shí)����,則允許所述終端訪問(wèn)。
[0083]其中���,根據(jù)本發(fā)明的終端接收到另一個(gè)終端的終端訪問(wèn)請(qǐng)求時(shí),檢測(cè)到該終端訪問(wèn)請(qǐng)求的IP數(shù)據(jù)包頭部的可選項(xiàng)字段是否為空�����,如果為空則拒絕該終端訪問(wèn)請(qǐng)求���,如果不為空,則現(xiàn)在終端本地驗(yàn)證可選項(xiàng)字段中的ID號(hào)和IP地址是否為合法�,如果合法,則允許另一終端的訪問(wèn)����,如果在本地驗(yàn)證不合法�����,就將ID號(hào)和IP地址再發(fā)送到終端準(zhǔn)入裝置����,由終端準(zhǔn)入裝置進(jìn)行進(jìn)一步驗(yàn)證��。
[0084]一般的�,使用該終端準(zhǔn)入方法的終端需要安裝有客戶端。圖4是根據(jù)本發(fā)明的未安裝客戶端的終端訪問(wèn)安裝有客戶端的終端的示意圖�。圖5是根據(jù)本發(fā)明的安裝有客戶端的一個(gè)終端訪問(wèn)安裝有客戶端的另
[0085]參考圖4,當(dāng)未安裝客戶端的終端B訪問(wèn)安裝有客戶端的終端A時(shí)���,終端A接收到終端訪問(wèn)請(qǐng)求后��,檢測(cè)到未安裝客戶端的終端B的訪問(wèn)請(qǐng)求的IP數(shù)據(jù)包頭部的可選項(xiàng)字段為空�����,由此,拒絕終端B的請(qǐng)求�,不允許終端B訪問(wèn)終端A。
[0086]參考圖5,當(dāng)安裝有客戶端的終端B訪問(wèn)安裝有客戶端的終端A時(shí)��,終端A接收到終端訪問(wèn)請(qǐng)求后���,檢測(cè)到未安裝客戶端的終端B的訪問(wèn)請(qǐng)求的IP數(shù)據(jù)包頭部的可選項(xiàng)字段不為空�����,先在本地驗(yàn)證可選項(xiàng)字段中的ID號(hào)和IP地址����,將可選項(xiàng)字段中的ID號(hào)和IP地址與存儲(chǔ)在終端A本地的ID號(hào)和IP地址進(jìn)行比較��,判斷是否有匹配的ID號(hào)和IP地址�����,如果有�,則終端B的訪問(wèn)請(qǐng)求的IP數(shù)據(jù)包頭部的可選項(xiàng)字段中的ID號(hào)和IP地址合法,此時(shí)�,允許終端B訪問(wèn)終端A。如果終端A本地沒(méi)有匹配的ID號(hào)和IP地址��,則將所述可選項(xiàng)字段中的ID號(hào)和IP地址發(fā)送到網(wǎng)絡(luò)準(zhǔn)入裝置����,由所述網(wǎng)絡(luò)準(zhǔn)入裝置進(jìn)行進(jìn)一步的驗(yàn)證�,當(dāng)所述網(wǎng)絡(luò)準(zhǔn)入裝置驗(yàn)證所述ID號(hào)和IP地址合法時(shí)�����,就發(fā)送驗(yàn)證信息通知終端A所述ID號(hào)和IP地址合法�,終端A就允許終端B訪問(wèn)。當(dāng)所述網(wǎng)絡(luò)準(zhǔn)入裝置驗(yàn)證所述ID號(hào)和IP地址不合法時(shí)��,就發(fā)送驗(yàn)證信息通知終端A所述ID號(hào)和IP地址不合法�����,終端A就拒絕終端B的終端訪問(wèn)請(qǐng)求�����,不允許終端B訪問(wèn)終端A�。終端A和終端B等終端可以經(jīng)由交換機(jī)與網(wǎng)絡(luò)準(zhǔn)入裝置進(jìn)行數(shù)據(jù)交換,交換機(jī)的使用對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)是公知的����,再次不再贅述。
[0087]優(yōu)選的����,所述步驟b2)還包括:在允許所述終端訪問(wèn)的情況下,存儲(chǔ)所述終端的ID號(hào)和IP地址�。
[0088]如圖5所示,如果終端A本地沒(méi)有匹配的ID號(hào)和IP地址�,網(wǎng)絡(luò)準(zhǔn)入裝置進(jìn)行進(jìn)一步驗(yàn)證所述ID號(hào)和IP地址合法時(shí),在向終端A返回驗(yàn)證信息通知終端A所述ID號(hào)和IP地址合法的同時(shí)��,還可以向終端A返回終端B的最新ID號(hào)����,終端A可以存儲(chǔ)終端B的新的ID號(hào)以及IP地址,以便之后終端B再次訪問(wèn)終端A時(shí)�����,可以在本地對(duì)終端B的訪問(wèn)請(qǐng)求進(jìn)行驗(yàn)證����。
[0089]相應(yīng)的,本發(fā)明還提供了一種終端�����,其中�,該終端包括:終端訪問(wèn)請(qǐng)求接收模塊,用于接收另一個(gè)終端的終端訪問(wèn)請(qǐng)求���;驗(yàn)證模塊,用于獲取所述終端訪問(wèn)請(qǐng)求的IP數(shù)據(jù)包頭部的可選項(xiàng)字段���,判斷所述可選項(xiàng)字段是否為空����,如果所述可選項(xiàng)字段為空��,則拒絕所述終端訪問(wèn)請(qǐng)求��;如果所述可選項(xiàng)字段不為空�,則驗(yàn)證所述可選項(xiàng)字段中的ID號(hào)和IP地址是否合法,如果合法��,則允許所述另一個(gè)終端訪問(wèn)�����,如果不合法����,則將所述可選項(xiàng)字段中的ID號(hào)和IP地址發(fā)送到終端準(zhǔn)入裝置,并接收所述終端準(zhǔn)入裝置的驗(yàn)證信息�����,當(dāng)所述終端準(zhǔn)入裝置的驗(yàn)證信息表示所述ID號(hào)和IP地址不合法時(shí)���,則拒絕所述終端訪問(wèn)請(qǐng)求�;當(dāng)所述終端準(zhǔn)入裝置的驗(yàn)證信息表示所述ID號(hào)和IP地址合法時(shí)��,則允許所述另一個(gè)終端訪問(wèn)��。[0090]優(yōu)選的��,該終端還可以包括:存儲(chǔ)模塊���,用于在所述驗(yàn)證模塊允許所述另一個(gè)終端訪問(wèn)的情況下���,存儲(chǔ)所述終端的ID號(hào)和IP地址。
【權(quán)利要求】
1.一種網(wǎng)絡(luò)準(zhǔn)入方法����,其中,包括以下步驟: a I)接收終端的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求����; bl)獲取所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的IP數(shù)據(jù)包頭部的可選項(xiàng)字段���,判斷所述可選項(xiàng)字段是否為空, 如果所述可選項(xiàng)字段為空�,則拒絕所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求; 如果所述可選項(xiàng)字段不為空�����,則驗(yàn)證所述可選項(xiàng)字段中的ID號(hào)和IP地址是否合法��,如果合法����,則允許該終端訪問(wèn)網(wǎng)絡(luò),如果不合法���,則拒絕所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求���。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)準(zhǔn)入方法,其中�����,在所述步驟al)之前,還包括以下步驟: all)接收所述終端的登陸請(qǐng)求和IP地址�����,所述登陸請(qǐng)求包括賬號(hào)和密碼���;al2)驗(yàn)證所述賬號(hào)����、密碼和IP地址是否合法�����,如果合法����,則生成與該終端對(duì)應(yīng)的ID號(hào)�����,并將該ID號(hào)發(fā)送到所述終端�����。
3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)準(zhǔn)入方法,其中�,隨機(jī)生成與該終端對(duì)應(yīng)的ID號(hào)。
4.根據(jù)權(quán)利要 求2所述的網(wǎng)絡(luò)準(zhǔn)入方法����,其中,通過(guò)以下步驟生成與該終端對(duì)應(yīng)的ID號(hào): 為所述終端生成編號(hào)N��,對(duì)于不同的終端生成不同的編號(hào)����; 為所述終端生成個(gè)位尾數(shù)W,所述個(gè)位尾數(shù)W為O到9之間的任意整數(shù)����; 生成隨機(jī)數(shù)R,所述隨機(jī)數(shù)的取值范圍為:1~(2z-l-N*10-W)/10 (L+1)���,其中����,所述ζ為所述ID號(hào)的字節(jié)長(zhǎng)度��,所述L為編號(hào)N的位數(shù)��; 根據(jù)以下公式計(jì)算ID號(hào):ID號(hào)=R* (L+1) +L*10+W。
5.根據(jù)權(quán)利要求2-4中任一項(xiàng)所述的網(wǎng)絡(luò)準(zhǔn)入方法��,其中�, 所述步驟bl)還包括,在允許所述終端訪問(wèn)網(wǎng)絡(luò)的情況下�,記錄所述終端對(duì)所述網(wǎng)絡(luò)的訪問(wèn)時(shí)間,當(dāng)所述訪問(wèn)時(shí)間大于預(yù)定閾值時(shí)��,再次生成與該終端對(duì)應(yīng)的ID號(hào)�,并將該ID號(hào)發(fā)送到所述終端。
6.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)準(zhǔn)入方法�,其中,在將該ID號(hào)發(fā)送到所述終端后����,還包括以下步驟: 等待所述終端的確認(rèn)消息���,在接收到所述終端的確認(rèn)消息之后�����,存儲(chǔ)所述ID號(hào)�,并將ID號(hào)啟動(dòng)信息發(fā)送所述終端���。
7.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)準(zhǔn)入方法��,其中�,在所述步驟bl)中,在所述可選項(xiàng)字段中的ID號(hào)和IP地址驗(yàn)證為合法時(shí)���,通過(guò)將所述終端的網(wǎng)絡(luò)資源請(qǐng)求轉(zhuǎn)發(fā)到網(wǎng)絡(luò)�����,以及將網(wǎng)絡(luò)數(shù)據(jù)從所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)到所述終端�����,來(lái)允許該終端訪問(wèn)網(wǎng)絡(luò)���。
8.一種終端準(zhǔn)入方法,其中����,包括以下步驟: a2)接收終端的終端訪問(wèn)請(qǐng)求; b2)獲取所述終端訪問(wèn)請(qǐng)求的IP數(shù)據(jù)包頭部的可選項(xiàng)字段��,判斷所述可選項(xiàng)字段是否為空�����, 如果所述可選項(xiàng)字段為空,則拒絕所述終端訪問(wèn)請(qǐng)求����; 如果所述可選項(xiàng)字段不為空,則驗(yàn)證所述可選項(xiàng)字段中的ID號(hào)和IP地址是否合法�, 如果合法,則允許所述終端訪問(wèn)���, 如果不合法����,則將所述可選項(xiàng)字段中的ID號(hào)和IP地址發(fā)送到網(wǎng)絡(luò)準(zhǔn)入裝置���,并接收所述網(wǎng)絡(luò)準(zhǔn)入裝置的驗(yàn)證信息, 當(dāng)所述網(wǎng)絡(luò)準(zhǔn)入裝置的驗(yàn)證信息表示所述ID號(hào)和IP地址不合法時(shí)���,則拒絕所述終端訪問(wèn)請(qǐng)求�����; 當(dāng)所述網(wǎng)絡(luò)準(zhǔn)入裝置的驗(yàn)證信息表示所述ID號(hào)和IP地址合法時(shí)���,則允許所述終端訪問(wèn)�����。
9.根據(jù)權(quán)利要求8所述的終端準(zhǔn)入方法�,其中����, 所述步驟b2)還包括:在允許所述終端訪問(wèn)的情況下,存儲(chǔ)所述終端的ID號(hào)和IP地址�。
10.一種網(wǎng)絡(luò)準(zhǔn)入裝置,其中���,該終端準(zhǔn)入裝置包括: 網(wǎng)絡(luò)訪問(wèn)請(qǐng)求接收模塊�,用于接收終端的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求���; 驗(yàn)證模塊�,用于獲取所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的IP數(shù)據(jù)包頭部的可選項(xiàng)字段���,判斷所述可選項(xiàng)字段是否為空�, 如果所述可選項(xiàng)字段為空���,則拒絕所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求�����; 如果所述可選項(xiàng)字段不為空��,則驗(yàn)證所述可選項(xiàng)字段中的ID號(hào)和IP地址是否合法���,如果合法���,則允許該終端訪問(wèn)網(wǎng)絡(luò),如果不合法���,則拒絕所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求��。
11.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)準(zhǔn)入裝置����,其中�����,該終端準(zhǔn)入裝置還包括: 登陸信息接收模塊���,用于接收所述終端的登陸請(qǐng)求和IP地址��,所述登陸請(qǐng)求包括賬號(hào)和密碼���; ID號(hào)生成模塊,用于驗(yàn)證所述賬號(hào)���、密碼和IP地址是否合法���,如果合法,則生成與所述終端對(duì)應(yīng)的ID號(hào)��,并將所述ID號(hào)發(fā)送到所述終端��。
12.根據(jù)權(quán)利要求11所述的網(wǎng)絡(luò)準(zhǔn)入裝置���,其中�����,所述ID號(hào)生成模塊隨機(jī)生成與該終端對(duì)應(yīng)的ID號(hào)���。
13.根據(jù)權(quán)利要求11所述的網(wǎng)絡(luò)準(zhǔn)入裝置�,其中�,所述ID號(hào)生成模塊通過(guò)以下步驟生成與該終端對(duì)應(yīng)的ID號(hào): 為所述終端生成編號(hào)N,對(duì)于不同的終端生成不同的編號(hào)�����; 為所述終端生成個(gè)位尾數(shù)W���,所述個(gè)位尾數(shù)W為O到9之間的任意整數(shù)���; 生成隨機(jī)數(shù)R,所述隨機(jī)數(shù)的取值范圍為:1~(2z-l-N*10-W)/10 α+1)��,其中��,所述z為所述ID號(hào)的字節(jié)長(zhǎng)度����,所述L為編號(hào)N的位數(shù); 根據(jù)以下公式計(jì)算ID號(hào):ID號(hào)=R* (L+1) +L*10+W���。
14.根據(jù)權(quán)利要求11-13中任一項(xiàng)所述的網(wǎng)絡(luò)準(zhǔn)入裝置����,其中�����,該終端準(zhǔn)入裝置還包括計(jì)時(shí)模塊����,用于在允許所述終端訪問(wèn)網(wǎng)絡(luò)的情況下,記錄所述終端對(duì)所述網(wǎng)絡(luò)的訪問(wèn)時(shí)間��,當(dāng)所述訪問(wèn)時(shí)間大于預(yù)定閾值時(shí)�,向所述ID號(hào)生成模塊發(fā)送超時(shí)信息; 所述ID號(hào)生成模塊還用于在接收到所述超時(shí)信息時(shí)�,生成與所述終端對(duì)應(yīng)的ID號(hào),并將所述ID號(hào)發(fā)送到所述終端�。
15.根據(jù)權(quán)利要求11所述的網(wǎng)絡(luò)準(zhǔn)入裝置,其中��,所述驗(yàn)證模塊還用于在所述ID號(hào)生成模塊將所述ID號(hào)發(fā)送到所述終端后���,等待所述終端的確認(rèn)消息��,在接收到所述終端的確認(rèn)消息之后��,存儲(chǔ)所述ID號(hào)�����,并將ID號(hào)啟動(dòng)信息發(fā)送所述終端����。
16.根據(jù)權(quán)利要求10所述的網(wǎng)絡(luò)準(zhǔn)入裝置,其中�,該終端準(zhǔn)入裝置還包括: 轉(zhuǎn)發(fā)模塊,用于在所述驗(yàn)證模塊驗(yàn)證所述可選項(xiàng)字段中的ID號(hào)和IP地址為合法時(shí)����,將所述終端的網(wǎng)絡(luò)資源請(qǐng)求轉(zhuǎn)發(fā)到網(wǎng)絡(luò),以及將網(wǎng)絡(luò)數(shù)據(jù)從所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)到所述終端���。
17.一種終端���,其中,該終端包括: 終端訪問(wèn)請(qǐng)求接收模塊�����,用于接收另一個(gè)終端的終端訪問(wèn)請(qǐng)求�����; 驗(yàn)證模塊,用于獲取所述終端訪問(wèn)請(qǐng)求的IP數(shù)據(jù)包頭部的可選項(xiàng)字段�����,判斷所述可選項(xiàng)字段是否為空�, 如果所述可選項(xiàng)字段為空�����,則拒絕所述終端訪問(wèn)請(qǐng)求�����; 如果所述可選項(xiàng)字段不為空�,則驗(yàn)證所述可選項(xiàng)字段中的ID號(hào)和IP地址是否合法, 如果合法���,則允許所述另一個(gè)終端訪問(wèn)���, 如果不合法,則將所述可選項(xiàng)字段中的ID號(hào)和IP地址發(fā)送到終端準(zhǔn)入裝置���,并接收所述終端準(zhǔn)入裝置的驗(yàn)證信息�����, 當(dāng)所述終端準(zhǔn)入裝置的驗(yàn)證信息表示所述ID號(hào)和IP地址不合法時(shí)��,則拒絕所述終端訪問(wèn)請(qǐng)求�; 當(dāng)所述終端準(zhǔn)入裝置的驗(yàn)證信息表示所述ID號(hào)和IP地址合法時(shí),則允許所述另一個(gè)終端訪問(wèn)��。
18.根據(jù)權(quán)利要求17所 述的終端�,其中,該終端還包括: 存儲(chǔ)模塊��,用于在所述驗(yàn)證模塊允許所述另一個(gè)終端訪問(wèn)的情況下��,存儲(chǔ)所述終端的ID號(hào)和IP地址�����。
【文檔編號(hào)】H04L29/06GK103812859SQ201310741881
【公開(kāi)日】2014年5月21日 申請(qǐng)日期:2013年12月27日 優(yōu)先權(quán)日:2013年12月27日
【發(fā)明者】楊光 申請(qǐng)人:北京天融信軟件有限公司, 北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司, 北京天融信科技有限公司