一种可信网络的接入方法、设备以及存储介质技术

本发明专利技术公开了一种可信网络的接入方法，包括步骤：S1接受并检测客户端发送的第一认证信息；S2响应于第一认证信息正确，向客户端发送可信状态检测请求；S3接收客户端返回的基于可信状态检测请求的检测结果；S4根据检测结果判断客户端是否处于可信状态；S5响应于客户端处于可信状态，允许客户端接入，并返回步骤S1；S6响应于任意一次检测到的第一认证信息错误和/或客户端处于不可信状态，断开与客户端的连接。本发明专利技术还公开了一种计算机设备以及计算机可读存储介质。本发明专利技术公开的方法在客户端第一次认证成功接入网络之后，进行循环认证，如果客户端环境的不处于可信状态或用户名密码被破坏，则客户端断开连接。

An Access Method, Equipment and Storage Medium for Trusted Networks

【技术实现步骤摘要】
一种可信网络的接入方法、设备以及存储介质
本专利技术涉及通信网络领域，具体涉及一种可信网络的接入方法、设备以及存储介质。
技术介绍
传统网络安全的思想主要是以防范为主，防御的重点放在对服务器和网络边界安全设备的保护上，而忽略网络终端接入者本身的安全，但绝大多数的攻击事件都是由终端不安全而引发的，一旦黑客攻破网关而潜入某台内部主机，便可肆无忌惮地侵犯局域网内的所有其他主机，本文设计的可信网络接入方法将聚焦于网络接入控制，这是一种主动性的防御方法。网络访问控制是在终端接入网络时，按照安全策略对其进行安全检查，根据符合策略的情况，对其访问网络的能力进行动态控制，其中心思想是“先检查，后接入”，目前国内外许多公司及研究机构都在这个方面进行了研究，虽然产品众多，但是网络访问控制却没有一个统一的标准架构。目前最有影响力的架构有如下三种：可信计算组织(TrustedComputingGroup，TCG)的可信网络连接架构TNC，思科的网络接入控制架构(CiscoNetworkAccessControl，NAC)，微软的网络访问保护架构(NetworkAccessProtection，NAP)，但是NAP和NAC的标准是不开放的，TCG工作组制定的TNC标准是一套开放的标准网络接入控制架构，旨在跨越多个平台、外围和产品，因为TCG-TNC开放架构越来越受关注。以上方案虽然一定程度上解决了网络接入控制、网络访问控制等问题，但是无法判断客户端是否一直处于可信状态。
技术实现思路
有鉴于此，为了克服上述问题的至少一个方面，本专利技术实施例的提出一种可信网络的接入方法，包括步骤：S1，接受并检测客户端发送的第一认证信息；S2，响应于所述第一认证信息正确，向所述客户端发送可信状态检测请求；S3，接收客户端返回的基于所述可信状态检测请求的检测结果；S4，根据所述检测结果判断所述客户端是否处于可信状态；S5，响应于所述客户端处于可信状态，允许所述客户端接入，并返回步骤S1；S6，响应于任意一次检测到的所述第一认证信息错误和/或所述客户端处于不可信状态，断开与所述客户端的连接。在一些实施例中，在步骤S1之前，所述方法还包括步骤：建立与所述客户端的加密通道。在一些实施例中，步骤S1进一步包括：通过所述加密通道接收所述用户名和密码，其中所述第一认证信息为用户名和密码。在一些实施例中，步骤S2还包括：响应于所述第一认证信息错误，禁止所述客户端的接入。在一些实施例中，步骤S2进一步包括：判断接收到的用户名和密码是否包含在数据库中，响应于所述用户名和密码包含在数据库中，则判断所述第一认证信息正确，否则判断所述第一认证信息错误。在一些实施例中，步骤S3进一步包括：通过所述加密通道接收所述检测结果，其中所述检测结果包括对文件完整性的检测，对杀毒软件的检测以及对USB接口的检测。在一些实施例中，步骤S5进一步包括：响应于所述客户端处于不可信状态，禁止所述客户端的接入。在一些实施例中，S4包括：判断接收到的检测结果是否符合预设标准，响应于所述检测结果符合预设标准，则判断所述客户端处于可信状态，否则判断所述客户端处于不可信状态。基于同一专利技术构思，根据本专利技术的另一个方面，本专利技术的实施例还提供了一种计算机设备，包括：至少一个处理器；以及存储器，所述存储器存储有可在所述处理器上运行的计算机程序，所述处理器执行所述程序时执行如上所述的任一种可信网络的接入方法的步骤。基于同一专利技术构思，根据本专利技术的另一个方面，本专利技术的实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时执行如上所述的任一种可信网络的接入方法的步骤。本专利技术具有以下有益技术效果：本专利技术提出的可信网络的接入方法采用用户名密码认证和可信因子认证两种认证方式，该方式可保证能够满足普通客户端网络接入认证的需求，也能保证网络中接入的客户端均属于可信客户端，并且客户端在第一次认证成功接入网络之后，会动态的进行循环度量，如果客户端环境的可信因子完整性或用户名密码被破坏，则客户端立即被停止授权退出网络可信区。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的实施例。图1为本专利技术的实施例提供的可信网络的接入方法的流程示意图；图2为本专利技术实施例提出的客户端和服务端的网络认证过程示意图；图3为本专利技术的实施例提供的计算机设备的结构示意图；图4为本专利技术的实施例提供的计算机可读存储介质的结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本专利技术实施例进一步详细说明。需要说明的是，本专利技术实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量，可见“第一”“第二”仅为了表述的方便，不应理解为对本专利技术实施例的限定，后续实施例对此不再一一说明。根据本专利技术的一个方面，本专利技术的实施例提出一种可信网络的接入方法，如图1所示，其可以包括步骤：S1，接受并检测客户端发送的第一认证信息；S2，响应于所述第一认证信息正确，向所述客户端发送可信状态检测请求；S3，接收客户端返回的基于所述可信状态检测请求的检测结果；S4，根据所述检测结果判断所述客户端是否处于可信状态；S5，响应于所述客户端处于可信状态，允许所述客户端接入，并返回步骤S1；S6，响应于任意一次检测到的所述第一认证信息错误和/或所述客户端处于不可信状态，断开与所述客户端的连接。本专利技术提出的可信网络的接入方法采用用户名密码认证和可信因子认证两种认证方式，该方式可保证能够满足普通客户端网络接入认证的需求，也能保证网络中接入的客户端均属于可信客户端，并且客户端在第一次认证成功接入网络之后，会动态的进行循环度量，如果客户端环境的可信因子完整性或用户名密码被破坏，则客户端立即被停止授权退出网络可信区。下面结合图1和图2具体说明本专利技术实施例提供的可信网络的接入方法。在进行可信网络的接入前，需要对客户端、交换机以及服务端进行如下预设配置客户端：安装提供tnc开源框架可信认证的开源软件tnc-fhh，以检查本地杀毒软件、usb接口、文件完整性等可信因子；安装提供基于802.1x协议的eap认证方式的开源软件wpa-supplicant；修改wpa-supplicant软件配置文件，使其网络接入认证方式为eap-ttls。同时配置客户端ip，例如192.168.1.3。服务端：安装开源软件tnc-fhh，该软件提供tnc开源框架可信认证，可检查本地杀毒软件、usb接口、文件完整性等可信因子；安装开源软件freeradius，该软件一般用于网络中鉴权记账的radius服务器；配置freeradius使用mysql数据库，并建立账户数据库，密码明文保存；配置freeradius基于eap-ttls协议采用md5和tnc两种认证方式。同时配置freeradius服务端ip，例如192.168.1.1。并将服务端freeradius配置文件目录raddb下的certs本文档来自技高网...

【技术保护点】
1.一种可信网络的接入方法，包括步骤：S1，接受并检测客户端发送的第一认证信息；S2，响应于所述第一认证信息正确，向所述客户端发送可信状态检测请求；S3，接收客户端返回的基于所述可信状态检测请求的检测结果；S4，根据所述检测结果判断所述客户端是否处于可信状态；S5，响应于所述客户端处于可信状态，允许所述客户端接入，并返回步骤S1；S6，响应于任意一次检测到的所述第一认证信息错误和/或所述客户端处于不可信状态，断开与所述客户端的连接。

【技术特征摘要】
1.一种可信网络的接入方法，包括步骤：S1，接受并检测客户端发送的第一认证信息；S2，响应于所述第一认证信息正确，向所述客户端发送可信状态检测请求；S3，接收客户端返回的基于所述可信状态检测请求的检测结果；S4，根据所述检测结果判断所述客户端是否处于可信状态；S5，响应于所述客户端处于可信状态，允许所述客户端接入，并返回步骤S1；S6，响应于任意一次检测到的所述第一认证信息错误和/或所述客户端处于不可信状态，断开与所述客户端的连接。2.如权利要求1所述的方法，其特征在于，在步骤S1之前，所述方法还包括步骤：建立与所述客户端的加密通道。3.如权利要求2所述的方法，其特征在于，步骤S1进一步包括：通过所述加密通道接收所述用户名和密码，其中所述第一认证信息为用户名和密码。4.如权利要求3所述的方法，其特征在于，步骤S2还包括：响应于所述第一认证信息错误，禁止所述客户端的接入。5.如权利要求4所述的方法，其特征在于，步骤S2进一步包括：判断接收到的用户名和密码是否包含在数据库中，响应于...

【专利技术属性】
技术研发人员：常双举，赵瑞东，朱书杉，冯磊，
申请(专利权)人：山东超越数控电子股份有限公司，
类型：发明
国别省市：山东,37