一种动态验证的网络准入控制方法技术

本发明专利技术公开了一种动态验证的网络准入控制方法，包括步骤，S1：登记网络终端用户的用户名、密码及手持设备标识码，并储存至验证服务器的验证数据库中；S2：在网络终端的登录界面上填写终端用户名并向验证服务器发出获取动态验证码的连接请求；S3：验证服务器向终端用户的手持设备发送一动态验证码；S4：在网络终端上用所述终端用户名、密码及动态验证码登录验证；本发明专利技术的网络准入控制方法，在网络终端向验证服务器发送登录验证请求之前，先向验证服务器请求一动态验证码，动态验证码发送至终端用户的手持设备上，然后将用户名、密码及动态验证码一起作为登录验证信息，该动态验证码确定终端用户的合法身份，有效保障网络接入安全。

A dynamic verification method for network admittance control

The invention discloses a dynamic verification of network access control method, comprising the steps of: S1, user name, and password registration network terminal user handheld device identification code, and stored in the authentication server authentication database; S2: fill in the user name in the terminal network terminal login interface and a connection request access dynamic verification code to verify the server; S3 server to verify: handheld terminal user sends a dynamic verification code; S4: in the Internet terminal with the terminal user name, password and dynamic verification code login authentication; network access control method of the invention, the server sends a request to verify before login authentication in network terminal, the first to verify the server requests a dynamic verification code, dynamic verification code sent to the handheld terminal user, then the user name, password and dynamic test The code is used as the login authentication information, and the dynamic authentication code determines the legitimate identity of the terminal user, and effectively guarantees the security of the network access.

【技术实现步骤摘要】
一种动态验证的网络准入控制方法
本专利技术涉及通信控制领域，尤其涉及一种动态验证的网络准入控制方法。
技术介绍
出于对企业网络业务类型及安全性的考虑，在终端接入网络过程中，不同级别的用户对网络业务、网络安全等方面的要求存在很大的不同。目前，主要采用以下两种技术方案实现对不同用户的区别处理。(A)方案采用VLAN(VirtualLocalAreaNetwork)技术将不同网络逻辑隔离；比如将交换机端口1～10分配给VLAN1，端口11～23分配给VLAN2，安全性要求较高的财务部终端只能接入VLAN1，而生产部门等其他终端接入VLAN2，达到网络层面的逻辑隔离。方案(A)中，当终端用户需要访问不同的逻辑网段时，需要切换网线所连接的交换机端口或者需要网络管理员重新配置VLAN策略，非常繁琐；同时，方案(A)也无法对终端用户进行身份安全认证。(B)方案利用远程拨号用户认证服务(RemoteAuthenticationDialInUserService，简称RADIUS)对不同的用户名进行认证，由验证设备(RADIUS服务器)根据用户名级别下发安全策略和访问权限。见图1，图1是现有技术中验证设备对终端用户名进行认证的网络连接示意图，其中，接入设备可以为交换机，其与用户终端的通信通过802.1X协议进行(802.1x协议是基于Client/Server的访问控制和认证协议，它可以限制未经授权的用户/设备通过接入端口(accessport)访问LAN/WLAN)；具体认证过程见图2，图2是现有技术中验证设备对终端用户名进行认证的流程示意图，RADIUS服务器的验证过程包括如下步骤：(1)终端发起接入请求，接入设备接收到终端发送的认证请求；(2)接入设备将其发送给RADIUS服务器；(3)用户通过认证后，RADIUS服务器根据预先设置的用户访问权限策略，向接入设备下发相应的访问控制列表(AccessControlList，简称ACL)和VLAN-ID等信息；(4)接入设备向终端发送认证成功指令，并根据ACL和VLAN-ID等信息限制终端的网络资源访问。上述(B)方案的部署比(A)方案灵活且安全性也有所提高，但(B)方案也不能真正意义上的验证终端用户的合法身份，一旦终端的用户名和密码泄露，别有用心者就可以用泄露的用户信息在企业网络中的任何一台电脑上登录，安全性还是得不到保障。
技术实现思路
本专利技术的目的在于克服现有技术中的缺点与不足，提供一种动态验证的网络准入控制方法。本专利技术是通过以下技术方案实现的：一种动态验证的网络准入控制方法，包括如下步骤：S1：登记网络终端用户的用户名、密码及手持设备标识码，并储存至验证服务器的验证数据库中；S2：在网络终端的登录界面上填写终端用户名并向验证服务器发出获取动态验证码的连接请求；S3：验证服务器向终端用户的手持设备发送一动态验证码；该步骤S3包括，S31：验证服务器在验证数据库中检索出所述终端用户名对应的手持设备标识码；S32：验证服务器随机生成动态验证码；S33：验证服务器向所述终端用户名对应的手持设备发送该动态验证码，并将该动态验证码存储至验证数据库中对应的终端用户名条目下；S4：在网络终端上用所述终端用户名、密码及动态验证码登录，验证服务器校验登录信息成功，则获准该网络终端接入网络、否则提示拒绝登录；该步骤S4包括：S41：网络终端向接入设备发起接入请求，该接入请求包含用户名、密码及动态验证码；S42：接入设备将该接入请求转发给验证服务器；S43：验证服务器检索验证数据库中的用户信息并对所述接入请求进行验证，将验证结果返回给接入设备；S44：接入设备向网络终端转发认证结果，并根据该验证结果控制网络终端对网络资源访问。优选地，所述步骤S1中，所述手持设备标识码为网络终端用户的手机号或微信号。进一步，所述步骤S3中，所述验证服务器向终端用户的手持设备发送一动态验证码为验证服务器向网络终端用户的手机上发送包括动态验证码的短信，或验证服务器向网络终端用户的手机微信上发送包括动态验证码的信息。进一步，所述验证服务器是支持RADIUS协议的RADIUS服务器、所述接入设备是支持RADIUS协议的RADIUS客户端。进一步，所述接入设备为支持802.1X协议的网络设备。相比于现有技术，本专利技术的有益效果是：本专利技术提供的动态验证的网络准入控制方法，在网络终端向验证服务器发送登录验证请求之前，先向验证服务器请求一动态验证码，验证服务器将该动态验证码发送至终端用户的手持设备上，终端用户将终端用户名、密码及该动态验证码一同作为登录验证信息请求接入网络，通过动态验证码能确定网络终端用户的合法身份，有效保障网络的接入安全。为了能更清晰的理解本专利技术，以下将结合附图说明阐述本专利技术的较佳的实施方式。附图说明图1是现有技术中用RADIUS协议来做终端接入验证的网络连接示意图。图2是现有技术中用RADIUS协议来做终端接入验证的信令示意图。图3本专利技术的动态验证的网络准入控制方法的信令步骤示意图。图4本专利技术的动态验证的网络准入控制方法的流程图。图5是图4中S3的流程图。图6是图4中S4的流程图。具体实施方式请同时参阅图1至图6，图1是现有技术中用RADIUS协议来做终端接入验证的网络连接示意图，图2是现有技术中用RADIUS协议来做终端接入验证的信令示意图，图3本专利技术的动态验证的网络准入控制方法的信令步骤示意图，图4本专利技术的动态验证的网络准入控制方法的流程图，图5是图4中S3的流程图，图6是图4中S4的流程图。本专利技术的一种动态验证的网络准入控制方法，其对应的网络拓扑中包括网络终端、接入设备及验证服务器，所述网络终端、接入设备及验证服务器可为独立安装的软件模块，也可为嵌入网络交换设备中的软件模块，网络拓扑中网络交换设备支持802.1X协议；其中的网络终端提供登录界面以便用户输入接入验证请求、验证服务器提供管理界面以便管理员维护验证数据库或访问控制策略。见图3和图4，一种动态验证的网络准入控制方法，包括如下步骤：S1：登记网络终端用户的用户名、密码及手持设备标识码，并储存至验证服务器的验证数据库中；S2：在网络终端的登录界面上填写终端用户名并向验证服务器发出获取动态验证码的连接请求；S3：验证服务器向终端用户的手持设备发送一动态验证码；该步骤S3包括，S31：验证服务器在验证数据库中检索出所述终端用户名对应的手持设备标识码；S32：验证服务器随机生成动态验证码；S33：验证服务器向所述终端用户名对应的手持设备发送该动态验证码，并将该动态验证码存储至验证数据库中对应的终端用户名条目下；S4：在网络终端上用所述终端用户名、密码及动态验证码登录，验证服务器校验登录信息成功，则获准该网络终端接入网络、否则提示拒绝登录；该步骤S4包括：S41：网络终端向接入设备发起接入请求，该接入请求包含用户名、密码及动态验证码；S42：接入设备将该接入请求转发给验证服务器；S43：验证服务器检索验证数据库中的用户信息并对所述接入请求进行验证，将验证结果返回给接入设备；S44：接入设备向网络终端转发认证结果，并根据该验证结果控制网络终端对网络资源访问。本专利技术并不局限于上述实施方式，如果对本专利技术的各种改动或变形不脱离本专利技术的精神和范围，倘本文档来自技高网...

【技术保护点】
一种动态验证的网络准入控制方法，其特征在于，包括以下步骤：S1：登记网络终端用户的用户名、密码及手持设备标识码，并储存至验证服务器的验证数据库中；S2：在网络终端的登录界面上填写终端用户名并向验证服务器发出获取动态验证码的连接请求；S3：验证服务器向终端用户的手持设备发送一动态验证码；该步骤S3包括，S31：验证服务器在验证数据库中检索出所述终端用户名对应的手持设备标识码；S32：验证服务器随机生成动态验证码；S33：验证服务器向所述终端用户名对应的手持设备发送该动态验证码，并将该动态验证码存储至验证数据库中对应的终端用户名条目下；S4：在网络终端上用所述终端用户名、密码及动态验证码登录，验证服务器校验登录信息成功，则获准该网络终端接入网络、否则提示拒绝登录；该步骤S4包括：S41：网络终端向接入设备发起接入请求，该接入请求包含用户名、密码及动态验证码；S42：接入设备将该接入请求转发给验证服务器；S43：验证服务器检索验证数据库中的用户信息并对所述接入请求进行验证，将验证结果返回给接入设备；S44：接入设备向网络终端转发认证结果，并根据该验证结果控制网络终端对网络资源访问。

【技术特征摘要】
1.一种动态验证的网络准入控制方法，其特征在于，包括以下步骤：S1：登记网络终端用户的用户名、密码及手持设备标识码，并储存至验证服务器的验证数据库中；S2：在网络终端的登录界面上填写终端用户名并向验证服务器发出获取动态验证码的连接请求；S3：验证服务器向终端用户的手持设备发送一动态验证码；该步骤S3包括，S31：验证服务器在验证数据库中检索出所述终端用户名对应的手持设备标识码；S32：验证服务器随机生成动态验证码；S33：验证服务器向所述终端用户名对应的手持设备发送该动态验证码，并将该动态验证码存储至验证数据库中对应的终端用户名条目下；S4：在网络终端上用所述终端用户名、密码及动态验证码登录，验证服务器校验登录信息成功，则获准该网络终端接入网络、否则提示拒绝登录；该步骤S4包括：S41：网络终端向接入设备发起接入请求，该接入请求包含用户名、密码及动态验证码；S42：接入设备将该接入请求转发给验证服务器；S43：验证服务器检索验证...

【专利技术属性】
技术研发人员：袁兴飚，
申请(专利权)人：台山市金讯互联网络科技有限公司，
类型：发明
国别省市：广东,44