技術(shù)領(lǐng)域

本發(fā)明涉及核心網(wǎng)接入安全控制技術(shù)領(lǐng)域，具體涉及一種終端接入安全認(rèn)證方法。

背景技術(shù)

在核心網(wǎng)絡(luò)中，接入的終端眾多，種類紛繁，且部分終端需要連接核心網(wǎng)絡(luò)的中心服務(wù)器并訪問較為機(jī)密的數(shù)據(jù)，而終端的防護(hù)能力較弱，容易被一些不法分子控制，以竊取機(jī)密數(shù)據(jù)，造成核心網(wǎng)絡(luò)接入的安全問題。為了提高終端安全接入控制，需要主動(dòng)防御，從源頭消除漏洞和威脅，保證終端不受非法控制，確保核心網(wǎng)絡(luò)的數(shù)據(jù)訪問安全。

發(fā)明內(nèi)容

解決上述技術(shù)問題，本發(fā)明提供了一種終端接入安全認(rèn)證方法，以網(wǎng)絡(luò)身份識(shí)別為基礎(chǔ)，以準(zhǔn)入控制為手段，以桌面管理為補(bǔ)充，構(gòu)建一體化的核心網(wǎng)安全接入方法。

為了達(dá)到上述目的，本發(fā)明所采用的技術(shù)方案是，一種終端接入安全認(rèn)證方法，在核心網(wǎng)絡(luò)內(nèi)設(shè)置一網(wǎng)絡(luò)準(zhǔn)入設(shè)備，并配合設(shè)置一準(zhǔn)入服務(wù)器，包括以下步驟：

用戶終端接入網(wǎng)絡(luò)，終端代理與網(wǎng)絡(luò)準(zhǔn)入設(shè)備建立通信，

網(wǎng)絡(luò)準(zhǔn)入設(shè)備與準(zhǔn)入服務(wù)器對(duì)終端用戶身份合法性進(jìn)行認(rèn)證，

終端用戶認(rèn)證通過后，準(zhǔn)入服務(wù)器告知網(wǎng)絡(luò)準(zhǔn)入設(shè)備，并實(shí)現(xiàn)對(duì)認(rèn)證后合法終端用戶的訪問控制，

網(wǎng)絡(luò)準(zhǔn)入設(shè)備將控制結(jié)果通知用戶終端，

終端代理與準(zhǔn)入服務(wù)器交互終端系統(tǒng)安全狀態(tài)信息，對(duì)用戶終端進(jìn)行安全檢查，

若用戶終端不安全，終端代理啟動(dòng)系統(tǒng)修復(fù)升級(jí)工作，與相關(guān)服務(wù)器交互，完成用戶終端的系統(tǒng)安全性修復(fù)。

進(jìn)一步的，所述終端代理與網(wǎng)絡(luò)準(zhǔn)入設(shè)備通過EAP交互賬號(hào)和密碼信息。

進(jìn)一步的，所述網(wǎng)絡(luò)準(zhǔn)入設(shè)備與準(zhǔn)入服務(wù)器通過RADIUS協(xié)議，對(duì)終端用戶身份合法性進(jìn)行認(rèn)證。

進(jìn)一步的，網(wǎng)絡(luò)準(zhǔn)入設(shè)備通過EAPSuccess消息通知用戶終端。

本發(fā)明通過采用上述技術(shù)方案，與現(xiàn)有技術(shù)相比，具有如下優(yōu)點(diǎn)：本發(fā)明的終端在身份認(rèn)證和安全檢查通過前能夠訪問的網(wǎng)絡(luò)資源，且終端在通過身份認(rèn)證但沒有通過安全檢查時(shí)被隔離，并能夠進(jìn)行安全修復(fù)操作。

附圖說明

圖1是本發(fā)明的實(shí)施例的流程圖。

具體實(shí)施方式

現(xiàn)結(jié)合附圖和具體實(shí)施方式對(duì)本發(fā)明進(jìn)一步說明。

作為一個(gè)具體的實(shí)施例，如圖1所示，本發(fā)明的一種終端接入安全認(rèn)證方法，在核心網(wǎng)絡(luò)內(nèi)設(shè)置一網(wǎng)絡(luò)準(zhǔn)入設(shè)備，并配合設(shè)置一準(zhǔn)入服務(wù)器，包括以下步驟：

用戶終端接入網(wǎng)絡(luò)，終端代理與網(wǎng)絡(luò)準(zhǔn)入設(shè)備建立通信，所述終端代理與網(wǎng)絡(luò)準(zhǔn)入設(shè)備通過EAP交互賬號(hào)和密碼信息。

網(wǎng)絡(luò)準(zhǔn)入設(shè)備與準(zhǔn)入服務(wù)器對(duì)終端用戶身份合法性進(jìn)行認(rèn)證，所述網(wǎng)絡(luò)準(zhǔn)入設(shè)備與準(zhǔn)入服務(wù)器通過RADIUS協(xié)議，對(duì)終端用戶身份合法性進(jìn)行認(rèn)證。

終端用戶認(rèn)證通過后，準(zhǔn)入服務(wù)器告知網(wǎng)絡(luò)準(zhǔn)入設(shè)備，并實(shí)現(xiàn)對(duì)認(rèn)證后合法終端用戶的訪問控制，

網(wǎng)絡(luò)準(zhǔn)入設(shè)備將控制結(jié)果通知用戶終端，網(wǎng)絡(luò)準(zhǔn)入設(shè)備通過EAPSuccess消息通知用戶終端。

終端代理與準(zhǔn)入服務(wù)器交互終端系統(tǒng)安全狀態(tài)信息，對(duì)用戶終端進(jìn)行安全檢查，

若用戶終端不安全，終端代理啟動(dòng)系統(tǒng)修復(fù)升級(jí)工作，與相關(guān)服務(wù)器交互，完成用戶終端的系統(tǒng)安全性修復(fù)。本實(shí)施例中部署了補(bǔ)丁服務(wù)器，終端代理啟動(dòng)系統(tǒng)修復(fù)升級(jí)工作后，用戶終端從補(bǔ)丁服務(wù)器中下載最新系統(tǒng)補(bǔ)丁，完成用戶終端的系統(tǒng)安全性自動(dòng)修復(fù)。

本實(shí)施例通過安全區(qū)域劃分，劃分為認(rèn)證前域，隔離域和認(rèn)證后域，確保終端行為安全受控，在認(rèn)證前域：終端在身份認(rèn)證和安全檢查通過前能夠訪問的網(wǎng)絡(luò)資源，包括DHCP服務(wù)器、系統(tǒng)服務(wù)器等。在隔離域：終端通過身份認(rèn)證后，在沒有通過安全檢查時(shí)處于被隔離狀態(tài)，此時(shí)僅能夠進(jìn)行安全修復(fù)操作，包括防病毒軟件病毒庫(kù)升級(jí)服務(wù)，補(bǔ)丁服務(wù)器訪問等。認(rèn)證后域，終端在通過身份認(rèn)證和安全檢查后能夠訪問的網(wǎng)絡(luò)資源，可以根據(jù)工作相關(guān)性和最小授權(quán)原則，將不同的終端用戶受訪問相應(yīng)的網(wǎng)絡(luò)資源，有效防止非法訪問和越權(quán)訪問。

本實(shí)施例中，終端代理與準(zhǔn)入服務(wù)器交互終端系統(tǒng)安全狀態(tài)信息，對(duì)用戶終端進(jìn)行安全檢查，包括以下步驟：

對(duì)入網(wǎng)終端的安全性，例如殺毒軟件安裝，補(bǔ)丁更新，密碼強(qiáng)度，屏保等進(jìn)行掃描，在接入網(wǎng)絡(luò)前后完成終端安全狀態(tài)的檢查，

對(duì)終端不安全狀態(tài)能夠與控制設(shè)備進(jìn)行聯(lián)動(dòng)，當(dāng)發(fā)現(xiàn)不安全終端接入網(wǎng)絡(luò)的時(shí)候，能夠?qū)@些終端進(jìn)行一定程度的阻斷，防止這些不安全終端對(duì)網(wǎng)絡(luò)的接入和危害，并且能夠主動(dòng)幫助這些終端完成安全狀態(tài)的自我修復(fù)，

對(duì)于未及時(shí)修復(fù)的不安全終端，能夠?qū)ζ溥M(jìn)行權(quán)限限制，避免接入網(wǎng)絡(luò)，引發(fā)網(wǎng)絡(luò)安全問題。

盡管結(jié)合優(yōu)選實(shí)施方案具體展示和介紹了本發(fā)明，但所屬領(lǐng)域的技術(shù)人員應(yīng)該明白，在不脫離所附權(quán)利要求書所限定的本發(fā)明的精神和范圍內(nèi)，在形式上和細(xì)節(jié)上可以對(duì)本發(fā)明做出各種變化，均為本發(fā)明的保護(hù)范圍。