技術(shù)領(lǐng)域

本發(fā)明涉及一種網(wǎng)絡(luò)接入控制(NAC，Net?Access?Control)技術(shù)，尤其涉及一種網(wǎng)絡(luò)接入控制方法和系統(tǒng)。

背景技術(shù)

網(wǎng)絡(luò)接入控制技術(shù)在現(xiàn)代網(wǎng)絡(luò)安全領(lǐng)域起著越來(lái)越重要的作用。下面簡(jiǎn)單介紹現(xiàn)有技術(shù)中的網(wǎng)絡(luò)接入控制方法：基于802.1x協(xié)議(其全稱為基于端口的訪問控制協(xié)議)實(shí)現(xiàn)網(wǎng)絡(luò)接入控制的方法，該方法基于端口的控制來(lái)控制終端的網(wǎng)絡(luò)接入，簡(jiǎn)稱基于802.1X協(xié)議接入控制方法。

802.1x協(xié)議是標(biāo)準(zhǔn)化的一個(gè)符合IEEE?802協(xié)議集的局域網(wǎng)接入控制協(xié)議。它能夠在利用IEEE?802局域網(wǎng)提供一種對(duì)連接到局域網(wǎng)的用戶進(jìn)行認(rèn)證和授權(quán)的手段，以接受合法用戶的接入，從而達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。

在基于802.1X協(xié)議接入控制方法中，終端如果期望成功接入網(wǎng)絡(luò)，終端必須定制并且安裝802.1x客戶端程序。該802.1x客戶端程序可實(shí)現(xiàn)基于端口的MAC(介質(zhì)接入控制，Media?Access?Control)地址鎖定功能，即，只允許信任的MAC地址向網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)。來(lái)自任何“不信任”的終端的數(shù)據(jù)流會(huì)被自動(dòng)丟棄，從而確保最大限度的安全性。

基于802.1X協(xié)議接入控制方法的執(zhí)行過(guò)程為：當(dāng)終端接入網(wǎng)絡(luò)時(shí)，系統(tǒng)會(huì)提示終端進(jìn)行認(rèn)證，終端通過(guò)定制的客戶端軟件輸入已經(jīng)登記的終端信息，該終端信息包括申請(qǐng)到的用戶名和口令，同時(shí)發(fā)起連接請(qǐng)求。交換機(jī)接受到請(qǐng)求后，將要求客戶端程序向交換機(jī)提交終端信息。客戶端程序響應(yīng)交換機(jī)請(qǐng)求，將終端信息發(fā)送給交換機(jī)。交換機(jī)將終端信息轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器進(jìn)行處理。認(rèn)證服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)的終端信息后，與數(shù)據(jù)庫(kù)中的信息相比對(duì)，判斷終端是否合法，即，若查找到對(duì)應(yīng)的終端信息后，則認(rèn)為該終端是合法的，向交換機(jī)發(fā)送認(rèn)證通過(guò)的消息，交換機(jī)收到信息后，打開終端對(duì)應(yīng)的端口，允許終端通過(guò)端口訪問網(wǎng)絡(luò)；否則，即沒有查找到對(duì)應(yīng)的終端信息后，則認(rèn)為該終端是非法的，則向交換機(jī)發(fā)送認(rèn)證失敗消息，交換機(jī)收到認(rèn)證失敗的消息后，就會(huì)將該端口設(shè)置為關(guān)閉狀態(tài)，不允許數(shù)據(jù)通過(guò)。

對(duì)于基于802.1X協(xié)議接入控制方法，由于需要在用戶的終端中安裝客戶端軟件，而該軟件往往不支持使用linux、Mac等操作系統(tǒng)的終端，因而其兼容性差，從而導(dǎo)致該接入控制方法無(wú)法適用使用linux、Mac等操作系統(tǒng)的終端，使使用linux、Mac等操作系統(tǒng)的終端在基于該接入控制方法的控制下無(wú)法接入網(wǎng)絡(luò)。另外，沒有安裝客戶端軟件的電腦在這種接入控制方法的控制下也無(wú)法接入網(wǎng)絡(luò)，從而使得該接入控制方法使用受限。如果不使用基于802.1X協(xié)議接入控制方法，即，客戶端電腦接上網(wǎng)線就可以進(jìn)入網(wǎng)絡(luò)，又存在安全性差的問題。

發(fā)明內(nèi)容

本發(fā)明的實(shí)施例提供了一種網(wǎng)絡(luò)接入控制方法和系統(tǒng)，可解決現(xiàn)有技術(shù)的網(wǎng)絡(luò)接入控制方法中因需要定制和安裝客戶端軟件而引起的使用受限的問題。

本發(fā)明提供了一種網(wǎng)絡(luò)接入控制方法，包括：終端通過(guò)交換機(jī)的端口請(qǐng)求接入網(wǎng)絡(luò)，交換機(jī)生成啟用日志，所述啟用日志包括交換機(jī)標(biāo)識(shí)、交換機(jī)端口標(biāo)識(shí)、端口狀態(tài)，所述端口狀態(tài)包括啟用和停用；交換機(jī)向第一服務(wù)器發(fā)送啟用日志；第二服務(wù)器通過(guò)第一服務(wù)器獲得啟用日志，若端口狀態(tài)為啟用，則第二服務(wù)器通過(guò)交換機(jī)標(biāo)識(shí)、交換機(jī)端口標(biāo)識(shí)到交換機(jī)上獲得接入的終端的地址信息，所述地址信息包括終端的介質(zhì)接入控制地址；第二服務(wù)器根據(jù)介質(zhì)接入控制地址控制該終端的網(wǎng)絡(luò)接入。

本發(fā)明還提供了一種網(wǎng)絡(luò)接入控制系統(tǒng)，包括終端、交換機(jī)、第一服務(wù)器、第二服務(wù)器；所述終端，用于通過(guò)交換機(jī)的端口請(qǐng)求接入網(wǎng)絡(luò)；所述交換機(jī)，用于生成啟用日志，并向第一服務(wù)器發(fā)送啟用日志；所述啟用日志包括交換機(jī)標(biāo)識(shí)、交換機(jī)端口標(biāo)識(shí)、端口狀態(tài)，所述端口狀態(tài)包括啟用和停用；第一服務(wù)器，用于接收交換機(jī)發(fā)送的啟用日志；第二服務(wù)器，其包括：第一獲取單元，用于通過(guò)第一服務(wù)器獲取啟用日志；第一判斷單元，用于判斷端口狀態(tài)是否為啟用，若是，則啟動(dòng)第二獲取單元；第二獲取單元，用于通過(guò)交換機(jī)標(biāo)識(shí)、交換機(jī)端口標(biāo)識(shí)到交換機(jī)上獲取接入的終端的地址信息，并啟動(dòng)控制單元，所述地址信息包括終端的介質(zhì)接入控制地址；控制單元，用于根據(jù)介質(zhì)接入控制地址控制該終端的網(wǎng)絡(luò)接入。

根據(jù)本發(fā)明，由于在用戶終端上不需要安裝任何軟件，從而使得本發(fā)明的網(wǎng)絡(luò)接入控制方法可適合使用任何操作系統(tǒng)的終端，因此，本發(fā)明的網(wǎng)絡(luò)接入控制可使這些終端經(jīng)過(guò)安全認(rèn)證后正常接入網(wǎng)絡(luò)。

附圖說(shuō)明

圖1示出了本發(fā)明實(shí)施例一的網(wǎng)絡(luò)接入控制方法；

圖2示出了本發(fā)明實(shí)施例二的網(wǎng)絡(luò)接入控制系統(tǒng)；

圖3示出了本發(fā)明實(shí)施例二的網(wǎng)絡(luò)接入控制系統(tǒng)的第二服務(wù)器。