一种网络接入控制系统及方法技术方案

本发明专利技术提出了一种网络接入控制系统及方法，所述方法包括：一终端设备生成网络接入请求指令并发送至网络准入控制设备；网络准入控制设备将网络接入请求指令反馈给身份鉴别中心；身份鉴别中心生成token信息，并建立token信息与对应的目的地址之间的绑定关系，将绑定关系同步给网络准入控制设备，并返回token信息给终端设备；终端设备生成访问信息，并将其身份相关信息发送至网络准入控制设备；网络准入控制设备根据身份相关信息校对出与终端设备相对应的token信息，判断终端设备欲访问的目的地址是否属于与token信息具有绑定关系的目的地址；若属于，则准许终端设备接入应用服务器。本发明专利技术的网络接入控制系统及方法能够提升网络接入的安全性、可靠性。

【技术实现步骤摘要】
一种网络接入控制系统及方法
本专利技术涉及网络通信
，尤其涉及一种网络接入控制系统及方法。
技术介绍
伴随着网络应用的深入，网络安全问题也愈演愈烈，包括拒绝服务攻击，病毒、黑客入侵、间谍软件、网络钓鱼等在内的安全问题发生的几率越来越大，而且带来的危害也日益严重，成为互联网安全的重大威胁。传统网络通过分层安全性抵御安全攻击，如为网络周边、关键网络段和面向应用的授权等提供级别越来越高的安全保护；这些模式提供全面的网络接入，可以保护资源，防止外部威胁和非法应用接入，但仅靠网络边缘的外围设备已无法保证网络的安全性；即便运行着防火墙等网络周边安全机制，病毒、电子邮件蠕虫、特洛伊木马、拒绝服务攻击和其他恶意行为仍频繁利用终端用户设备渗入内部网络环境。在不安全端点的用户，也会不经意间将以上威胁带入内部网络，而用户对此却毫不觉察，甚至某些威胁随后可能会迅速蔓延，以致造成网络中断。人们意识到，传统的网络解决方案无法解决这些问题，必须要从接入终端的安全性着手，保证通过网络边缘设备接入的终端是安全的、可信的，使得用户身份识别和验证必须与端点评估结合在一起，且必须应用于每个会话及会话内部。现在面临的挑战是要找到尽可能利用现有网络基础设施的适当方法，同时为各类用户接入资源和应用提供简单安全的模式。
技术实现思路
鉴于上述内容，有必要提供一种网络接入控制系统及方法，其能够提升网络接入的安全性。本专利技术第一方面提出一种网络接入控制系统，所述系统包括：终端设备、网络准入控制设备、身份鉴别中心和应用服务器；所述终端设备，用于生成网络接入请求指令和访问信息；所述身份鉴别中心，根据所述网络接入请求指令生成对应的token信息，并将所述token信息返回给所述终端设备，建立所述token信息与对应的目的地址之间的绑定关系，并将所述绑定关系同步给所述网络准入控制设备；所述网络准入控制设备，用于将所述终端设备发送来的网络接入请求指令转发给所述身份鉴别中心，当接收到所述终端设备发送的访问信息和身份相关信息时，根据所述身份相关信息校对出与所述终端设备相对应的token信息，判断所述终端设备欲访问的目的地址是否属于与所述token信息具有绑定关系的目的地址，并根据判断结果决定是否准许所述终端设备接入所述应用服务器；应用服务器，用于接收所述终端设备的访问信息，并基于所述访问信息进行相关业务处理。进一步的，若所述网络准入控制设备判断所述终端设备欲访问的目的地址不属于与所述token信息具有绑定关系的目的地址，则拒绝所述终端设备接入所述应用服务器；若所述网络准入控制设备判断所述终端设备欲访问的目的地址属于与所述token信息具有绑定关系的目的地址，则准许所述终端设备接入所述应用服务器。进一步的，所述终端设备发送token信息和访问信息，所述网络准入控制设备根据接收到的token信息与预存的token信息进行校对，若校对成功，则判断所述终端设备欲访问的目的地址是否属于与所述token信息具有绑定关系的目的地址。进一步的，所述终端设备发送身份信息和访问信息，所述网络准入控制设备根据接收到的身份信息推算出对应的token信息，并将所述token信息与预存的token信息进行校对，若校对成功，则判断所述终端设备欲访问的目的地址是否属于与所述token信息具有绑定关系的目的地址。进一步的，所述网络准入控制设备与所述身份鉴别中心同步预置有基于目的地址的多个组单元，每一个组单元至少包括一个目的地址，所述token信息与对应的组单元之间建立绑定关系。进一步的，当所述网络准入控制设备接收到所述终端设备发送的访问信息时，校对出与所述终端设备相对应的token信息，判断所述终端设备欲访问的目的地址是否落入与所述token信息具有绑定关系的组单元中，并根据判断结果决定是否准许所述终端设备接入所述应用服务器。本专利技术第二方面还提出一种网络接入控制方法，所述方法包括：一终端设备生成网络接入请求指令，并发送至网络准入控制设备；所述网络准入控制设备将所述网络接入请求指令反馈给身份鉴别中心；所述身份鉴别中心根据所述网络接入请求指令生成对应的token信息，并建立所述token信息与对应的目的地址之间的绑定关系；所述身份鉴别中心将所述绑定关系同步给所述网络准入控制设备，并将所述token信息返回给所述终端设备；所述终端设备生成访问信息，并将所述访问信息和身份相关信息发送至所述网络准入控制设备；所述网络准入控制设备根据所述身份相关信息校对出与所述终端设备相对应的token信息，判断所述终端设备欲访问的目的地址是否属于与所述token信息具有绑定关系的目的地址；若所述终端设备欲访问的目的地址属于与所述token信息具有绑定关系的目的地址，则准许所述终端设备接入所述应用服务器。进一步的，在判断所述终端设备欲访问的目的地址是否属于与所述token信息具有绑定关系的目的地址之后，所述方法还包括：若所述终端设备欲访问的目的地址不属于与所述token信息具有绑定关系的目的地址，则拒绝所述终端设备接入所述应用服务器。进一步的，在将所述token信息返回给所述终端设备之后，所述方法还包括：所述终端设备生成访问信息，并将所述访问信息和token信息发送至所述网络准入控制设备；所述网络准入控制设备根据接收到的token信息与预存的token信息进行校对；若校对成功，则判断所述终端设备欲访问的目的地址是否属于与所述token信息具有绑定关系的目的地址。进一步的，在将所述token信息返回给所述终端设备之后，所述方法还包括：所述终端设备生成访问信息，并将所述访问信息和身份信息发送至所述网络准入控制设备；所述网络准入控制设备根据接收到的身份信息推算出对应的token信息，并将所述token信息与预存的token信息进行校对；若校对成功，则判断所述终端设备欲访问的目的地址是否属于与所述token信息具有绑定关系的目的地址。本专利技术的网络接入控制系统及方法通过将token信息与对应的目的地址之间建立绑定关系，当终端设备需要访问应用服务器时，不仅需要校对终端设备基于身份的token信息，同时还要查看所述终端设备欲访问接入的目的地址是否属于与该token信息具有绑定关系的目的地址，并且只准许该终端设备接入到与token信息具有绑定关系的目的地址，从而可以实现对网络接入的终端设备的“双重认证”，确保网络接入的安全性。本专利技术的附加方面和优点将在下面的描述部分中变得明显，或通过本专利技术的实践了解到。附图说明本专利技术的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：图1示出本专利技术一种网络接入控制系统的示意图；图2示出本专利技术一种网络接入控制方法的流程图；图3示出本专利技术一具体实施例的网络接入控制方法的流程图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。需要说明的是，当一个组件被认为是“连接”另一个组件，它可以是直接连接到另一个组件或者可能同时存在居中组件。除非另有定义，本文所使本文档来自技高网...

【技术保护点】
1.一种网络接入控制系统，其特征在于，所述系统包括：终端设备、网络准入控制设备、身份鉴别中心和应用服务器；所述终端设备，用于生成网络接入请求指令和访问信息；所述身份鉴别中心，根据所述网络接入请求指令生成对应的token信息，并将所述token信息返回给所述终端设备，建立所述token信息与对应的目的地址之间的绑定关系，并将所述绑定关系同步给所述网络准入控制设备；所述网络准入控制设备，用于将所述终端设备发送来的网络接入请求指令转发给所述身份鉴别中心，当接收到所述终端设备发送的访问信息和身份相关信息时，根据所述身份相关信息校对出与所述终端设备相对应的token信息，判断所述终端设备欲访问的目的地址是否属于与所述token信息具有绑定关系的目的地址，并根据判断结果决定是否准许所述终端设备接入所述应用服务器；应用服务器，用于接收所述终端设备的访问信息，并基于所述访问信息进行相关业务处理。

【技术特征摘要】
1.一种网络接入控制系统，其特征在于，所述系统包括：终端设备、网络准入控制设备、身份鉴别中心和应用服务器；所述终端设备，用于生成网络接入请求指令和访问信息；所述身份鉴别中心，根据所述网络接入请求指令生成对应的token信息，并将所述token信息返回给所述终端设备，建立所述token信息与对应的目的地址之间的绑定关系，并将所述绑定关系同步给所述网络准入控制设备；所述网络准入控制设备，用于将所述终端设备发送来的网络接入请求指令转发给所述身份鉴别中心，当接收到所述终端设备发送的访问信息和身份相关信息时，根据所述身份相关信息校对出与所述终端设备相对应的token信息，判断所述终端设备欲访问的目的地址是否属于与所述token信息具有绑定关系的目的地址，并根据判断结果决定是否准许所述终端设备接入所述应用服务器；应用服务器，用于接收所述终端设备的访问信息，并基于所述访问信息进行相关业务处理。2.根据权利要求1所述的一种网络接入控制系统，其特征在于，若所述网络准入控制设备判断所述终端设备欲访问的目的地址不属于与所述token信息具有绑定关系的目的地址，则拒绝所述终端设备接入所述应用服务器；若所述网络准入控制设备判断所述终端设备欲访问的目的地址属于与所述token信息具有绑定关系的目的地址，则准许所述终端设备接入所述应用服务器。3.根据权利要求1所述的一种网络接入控制系统，其特征在于，所述终端设备发送token信息和访问信息，所述网络准入控制设备根据接收到的token信息与预存的token信息进行校对，若校对成功，则判断所述终端设备欲访问的目的地址是否属于与所述token信息具有绑定关系的目的地址。4.根据权利要求1所述的一种网络接入控制系统，其特征在于，所述终端设备发送身份信息和访问信息，所述网络准入控制设备根据接收到的身份信息推算出对应的token信息，并将所述token信息与预存的token信息进行校对，若校对成功，则判断所述终端设备欲访问的目的地址是否属于与所述token信息具有绑定关系的目的地址。5.根据权利要求1所述的一种网络接入控制系统，其特征在于，所述网络准入控制设备与所述身份鉴别中心同步预置有基于目的地址的多个组单元，每一个组单元至少包括一个目的地址，所述token信息与对应的组单元之间建立绑定关系。6.根据权利要求5所述的一种网络接入控制系统，其特征在于，当所述网络准入控制设备接收到所述终端设备发送的访问信息时，校对出与所述终...

【专利技术属性】
技术研发人员：廖正赟，孙晓鹏，刘熙胖，周吉祥，李亚运，刘武忠，卫志刚，
申请(专利权)人：郑州信大捷安信息技术股份有限公司，
类型：发明
国别省市：河南,41