技術領域

本發明涉及通信控制領域，尤其涉及一種由策略服務器控制的網絡準入控制方法。

背景技術

出于對企業網絡業務類型及安全性的考慮，在終端接入網絡過程中，不同級別的用戶對網絡業務、網絡安全等方面的要求存在很大的不同。目前，主要采用以下兩種技術方案實現對不同用戶的區別處理。

(A)方案采用VLAN(Virtual Local Area Network)技術將不同網絡邏輯隔離；比如將交換機端口1～10分配給VLAN1，端口11～23分配給VLAN2，安全性要求較高的財務部終端只能接入VLAN1，而生產部門等其他終端接入VLAN2，達到網絡層面的邏輯隔離。方案(A)中，當終端用戶需要訪問不同的邏輯網段時，需要切換網線所連接的交換機端口或者需要網絡管理員重新配置VLAN策略，非常繁瑣；同時，方案(A)也無法對終端用戶進行身份安全認證。

(B)方案利用遠程撥號用戶認證服務(Remote Authentication Dial In User Service，簡稱RADIUS)對不同的用戶名進行認證，由驗證設備(RADIUS服務器)根據用戶名級別下發安全策略和訪問權限。見圖1，圖1是現有技術中驗證設備對終端用戶名進行認證的網絡連接示意圖，其中，接入設備可以為交換機，其與用戶終端的通信通過802.1X協議進行(802.1x協議是基于Client/Server的訪問控制和認證協議，它可以限制未經授權的用戶/設備通過接入端口(access port)訪問LAN/WLAN)；具體認證過程見圖2，圖2是現有技術中驗證設備對終端用戶名進行認證的流程示意圖，RADIUS服務器的驗證過程包括如下步驟：

(1)終端發起接入請求，接入設備接收到終端發送的認證請求；

(2)接入設備將其發送給RADIUS服務器；

(3)用戶通過認證后，RADIUS服務器根據預先設置的用戶訪問權限策略，向接入設備下發相應的訪問控制列表(Access Control List，簡稱ACL)和VLAN-ID等信息；

(4)接入設備向終端發送認證成功指令，并根據ACL和VLAN-ID等信息限制終端的網絡資源訪問。

上述(B)方案的部署比(A)方案靈活且安全性也有所提高，但(B)方案也不能真正意義上的驗證終端用戶的合法身份，一旦終端的用戶名和密碼泄露，別有用心者就可以用泄露的用戶信息在企業網絡中的任何一臺電腦上登錄，安全性還是得不到保障。

發明內容

本發明的目的在于克服現有技術中的缺點與不足，提供一種由策略服務器控制的網絡準入控制方法。

本發明是通過以下技術方案實現的：一種由策略服務器控制的網絡準入控制方法，包括如下步驟：

S1：登記網絡終端用戶的用戶名、密碼、登入域及手持設備標識碼，并儲存至驗證服務器的驗證數據庫中；

S2：在網絡終端的登錄界面上填寫終端用戶名并向驗證服務器發出獲取動態驗證碼的連接請求；

S3：驗證服務器向終端用戶的手持設備發送一動態驗證碼；該步驟S3包括，

S31：驗證服務器在驗證數據庫中檢索出所述終端用戶名對應的手持設備標識碼；

S32：驗證服務器隨機生成動態驗證碼；

S33：驗證服務器向所述終端用戶名對應的手持設備發送該動態驗證碼，并將該動態驗證碼存儲至驗證數據庫中對應的終端用戶名條目下；

S4：在網絡終端上用所述終端用戶名、密碼、登入域及動態驗證碼登錄，驗證服務器校驗登錄信息成功，則請求策略服務器下發訪問控制策略至接入設備，由接入設備控制網絡終端接入指定的接入域、驗證服務器校驗登錄信息失敗向網絡終端發送拒絕登錄提示；該步驟S4包括：

S41：網絡終端向接入設備發起接入請求，該接入請求包含用戶名、密碼、登入域及動態驗證碼；

S42：接入設備將該接入請求轉發給驗證服務器；

S43：驗證服務器檢索驗證數據庫中的用戶信息并對所述接入請求進行驗證，并將驗證結果發送至策略服務器；

S44：如S43中的驗證結果為成功，則策略服務器向接入設備下發終端用戶名對應的訪問控制策略、如S43中的驗證結果為失敗則通知接入設備向網絡終端發送拒絕登錄提示。

優選地，所述步驟S1中，所述手持設備標識碼為網絡終端用戶的手機號或微信號。