一种安全域网络接入控制方法及系统技术方案

本发明专利技术提供了一种安全域网络接入控制方法及系统，该方案包括网络接入终端、网络接入控制服务器。网络接入终端包含身份认证模块、安全状态检测模块、信息上报模块、在线状态维持模块；网络接入控制服务器包含身份验证模块、安全状态验证模块、策略分发模块、终端在线状态维持模块、安全域管理模块；网络接入终端在接入网络时进行身份认证，检测终端安全状态，将安全状态发送到网络接入控制服务器，由接入控制服务器限制请求的网络访问。通过身份认证、安全域技术，实现网络接入控制与网络访问控制。

Secure domain network access control method and system

The invention provides a secure domain network access control method and system, wherein the scheme comprises a network access terminal and a network access control server. The network access terminal includes authentication module, security status detection module, information reporting module, online maintenance module; network access control server includes authentication module, security authentication module, policy distribution module, terminal online maintenance management module, security domain module; network access terminal authentication in the access network, security status the detection terminal, will be sent to the security state of the network access control server, access control server requests by restricting network access. Network access control and network access control are realized through identity authentication and security domain technology.

【技术实现步骤摘要】
一种安全域网络接入控制方法及系统
本专利技术涉及的是通信控制领域，尤其涉及一种安全域网络接入控制系统及方法。
技术介绍
在现有技术中，公知的技术是随着信息技术的发展，越来越多的重要信息存储与企业内部服务器中，常规来自互联网的攻击可通过防火墙、UTM等产品进行保护，方案也比较成熟，而越来越多的信息泄密行为发生在网络内部，网络管理混乱、随意接入、终端主机感染病毒等都是影响网络安全的重要因素，因此加强对网络的管理、细化网络访问权限、控制网络接入成为必不可少的网络安全措施。传统网络准入控制集成多种身份认证方式（用户名/密码、USBKey等），加强了网络接入控制，除身份认证外，需要对终端安全状态进行检查，只有检查合格才可接入网络，但是传统网络接入控制方案没有对网络细分，终端只要接入网络便可随意访问网络内资源，一旦攻击者获取用户身份便可获取网络内数据。
技术实现思路
本专利技术的目的就是针对现有技术所存在的不足，而提供一种安全域网络接入控制方法及系统，通过身份认证、安全域技术，实现网络接入控制与网络访问控制，通过身份认证保证网络接入控制同时保证使用者的合法性；安全域技术，划分不同安全等级，保证不同逻辑区域访问安全；配置安全策略，保证终端状态安全。本方案是通过如下技术措施来实现的：一种安全域网络接入控制方法，包括如下步骤：1）网络接入终端将终端信息提交给网络接入控制服务器，网络接入控制服务器根据安全策略制定安全域，网络接入控制服务器将网络终端加入安全域；2）接入终端发起网络接入请求，将身份认证信息发送到网络接入控制服务器，网络接入控制服务器对终端身份进行认证，认证失败禁止网络接入；3）认证成功，网络接入控制服务器将安全策略下发到终端；4）所述网络接入终端接收安全策略并解析，然后根据安全策略检查本地安全状态并将检测结果提交给网络接入服务器；5）网络接入控制服务接收终端安全状态检测结果后，判断是否符合安全域要求，如果符合，则进入步骤6），否则禁止访问；6）网络接入服务器判断终端访问的目的地址是否在同一安全域内，是则放行数据包，反之，禁止网络访问。所述的步骤1）中安全域内只有在线并且通过身份认证、安全检测的终端才能相互访问。所述网络接入终端在通过身份认证后与所述网络接入控制服务器维持心跳与会话状态，用于判断网络接入终端在在线状态。安全策略以策略组形式存在，并可根据用户名对不同用户分配不同安全策略，安全策略包含杀毒软件、服务程序、移动存储介质、网络端口。所述的步骤4）中网络接入终端接收到策略后，解析安全策略，并通过安全代理对终端安全状态进行检测，检测结果提交给网络接入服务器。所述步骤5）中所述网络接入控制服务器对所述网络接入终端安全检测结果进行对比评分，根据评分更新安全域。一种安全域网络接入控制的系统，包括网络接入终端、网络接入控制服务器；所述的网络接入终端包括用于保存网络接入终端认证信息的身份认证模块、进行网络接入终端安全检测的安全状态检测模块、用于向网络接入控制服务器发送认证信息和本地安全状态的信息上报模块、用于与网络接入控制服务器维持心跳与会话状态的在线状态维持模块。所述的网络接入控制服务器包括用于验证网络接入终端的身份验证模块、用于检测网络接入终端安全状态的安全状态验证模块、用于存储并向网络接入终端分发安全策略的策略分发模块、用于检查网络接入终端是否在线的终端在线状态维持模块、用于保存和更新安全域的安全域管理模块。本方案的有益效果可根据对上述方案的叙述得知，在该方案中。网络接入终端包含身份认证模块、安全状态检测模块、信息上报模块、在线状态维持模块；网络接入控制服务器包含身份验证模块、安全状态验证模块、策略分发模块、终端在线状态维持模块、安全域管理模块；网络接入终端在接入网络时进行身份认证，检测终端安全状态，将安全状态发送到网络接入控制服务器，由接入控制服务器限制请求的网络访问。通过身份认证保证网络接入控制同时保证使用者的合法性；安全域技术，划分不同安全等级，保证不同逻辑区域访问安全；配置安全策略，保证终端状态安全。由此可见，本专利技术与现有技术相比，具有突出的实质性特点和显著的进步，其实施的有益效果也是显而易见的。附图说明图1为本专利技术具体实施方式的流程图。具体实施方式为能清楚说明本方案的技术特点，下面通过一个具体实施方式，并结合其附图，对本方案进行阐述。通过附图可以看出，本方案的一种安全域网络接入控制的系统，包括网络接入终端、网络接入控制服务器；所述的网络接入终端包括用于保存网络接入终端认证信息的身份认证模块、进行网络接入终端安全检测的安全状态检测模块、用于向网络接入控制服务器发送认证信息和本地安全状态的信息上报模块、用于与网络接入控制服务器维持心跳与会话状态的在线状态维持模块。所述的网络接入控制服务器包括用于验证网络接入终端的身份验证模块、用于检测网络接入终端安全状态的安全状态验证模块、用于存储并向网络接入终端分发安全策略的策略分发模块、用于检查网络接入终端是否在线的终端在线状态维持模块、用于保存和更新安全域的安全域管理模块。一种用于上述系统的安全域网络接入控制方法，包括如下步骤：1）网络接入终端将终端信息提交给网络接入控制服务器，网络接入控制服务器根据安全策略制定安全域，网络接入控制服务器将网络终端加入安全域；安全域内只有在线并且通过身份认证、安全检测的终端才能相互访问；所述网络接入终端在通过身份认证后与所述网络接入控制服务器维持心跳与会话状态，用于判断网络接入终端在在线状态；安全策略以策略组形式存在，并可根据用户名对不同用户分配不同安全策略，安全策略包含杀毒软件、服务程序、移动存储介质、网络端口；2）接入终端发起网络接入请求，将身份认证信息发送到网络接入控制服务器，网络接入控制服务器对终端身份进行认证，认证失败禁止网络接入；3）认证成功，网络接入控制服务器将安全策略下发到终端；4）所述网络接入终端接收安全策略并解析，然后根据安全策略检查本地安全状态并将检测结果提交给网络接入服务器；网络接入终端接收到策略后，解析安全策略，并通过安全代理对终端安全状态进行检测，检测结果提交给网络接入服务器。5）网络接入控制服务接收终端安全状态检测结果后，判断是否符合安全域要求，如果符合，则进入步骤6），否则禁止访问；所述网络接入控制服务器对所述网络接入终端安全检测结果进行对比评分，根据评分更新安全域；6）网络接入服务器判断终端访问的目的地址是否在同一安全域内，是则放行数据包，反之，禁止网络访问。以上所述仅为本专利技术的较佳实施例而已，并不用以限制本专利技术，凡在本专利技术的精神和原则之内所做的任何修改、等同替换和改进等，均应包含在本专利技术的保护范围之内。本文档来自技高网...

【技术保护点】
一种安全域网络接入控制方法，其特征在于包括如下步骤：1）网络接入终端将终端信息提交给网络接入控制服务器，网络接入控制服务器根据安全策略制定安全域，网络接入控制服务器将网络终端加入安全域；2）接入终端发起网络接入请求，将身份认证信息发送到网络接入控制服务器，网络接入控制服务器对终端身份进行认证，认证失败禁止网络接入；3）认证成功，网络接入控制服务器将安全策略下发到终端；4）所述网络接入终端接收安全策略并解析，然后根据安全策略检查本地安全状态并将检测结果提交给网络接入服务器；5）：网络接入控制服务接收终端安全状态检测结果后，判断是否符合安全域要求，如果符合，则进入步骤6），否则禁止访问；6）网络接入服务器判断终端访问的目的地址是否在同一安全域内，是则放行数据包，反之，禁止网络访问。

【技术特征摘要】
1.一种安全域网络接入控制方法，其特征在于包括如下步骤：1）网络接入终端将终端信息提交给网络接入控制服务器，网络接入控制服务器根据安全策略制定安全域，网络接入控制服务器将网络终端加入安全域；2）接入终端发起网络接入请求，将身份认证信息发送到网络接入控制服务器，网络接入控制服务器对终端身份进行认证，认证失败禁止网络接入；3）认证成功，网络接入控制服务器将安全策略下发到终端；4）所述网络接入终端接收安全策略并解析，然后根据安全策略检查本地安全状态并将检测结果提交给网络接入服务器；5）：网络接入控制服务接收终端安全状态检测结果后，判断是否符合安全域要求，如果符合，则进入步骤6），否则禁止访问；6）网络接入服务器判断终端访问的目的地址是否在同一安全域内，是则放行数据包，反之，禁止网络访问。2.根据权利要求1所述的安全域网络接入控制方法，其特征是：所述的步骤1）中安全域内只有在线并且通过身份认证、安全检测的终端才能相互访问。3.根据权利要求2所述的安全域网络接入控制方法，其特征是：所述网络接入终端在通过身份认证后与所述网络接入控制服务器维持心跳与会话状态，用于判断网络接入终端在在线状态。4.根据权利要求1所述的安全域网络接入控制方法，其特征...

【专利技术属性】
技术研发人员：赵瑞东，郭猛善，冯磊，朱书杉，
申请(专利权)人：山东超越数控电子有限公司，
类型：发明
国别省市：山东,37