【技术实现步骤摘要】
一种网关准入认证方法及装置
[0001]本专利技术实施例涉及网络安全
,特别涉及一种网关准入认证方法及装置。
技术介绍
[0002]网络准入控制系统中,采用策略路由或透明网关这类网关准入方式时,由于是三层网络,存在一些管控不严格的地方。另外,目前的准入控制设备在部署网关准入时一般有两种部署方式,分别是旁路部署和串联部署。当以旁路方式连接到核心交换机时,核心交换机要开启引流,将内网所有终端的上行流量都引入到准入控制设备进行流量清洗,准入控制设备会过滤掉不合规的终端流量,再将剩余流量回注到核心交换机。而当以串联方式部署时,只需保证准入控制设备在核心交换机到外网之间,对交换机配置不需要改动。终端要想访问外网,需要先找准入控制设备认证,认证通过后才能访问外网。
[0003]通用网关准入是一套控制内网终端访问外网的安全解决方案。其是通过建立一套已认证终端的IP表,来过滤掉其他IP的流量,达到控制内网终端访问外网的目的。如图1所示,图示描述了准入控制设备的流量过滤方式。准入控制设备上有两个主要服务:认证服务、流量清洗服务。...
【技术保护点】
【技术特征摘要】
1.一种网关准入认证方法,应用于网关准入设备中,其特征在于,所述方法包括:随机生成共享密钥,并下发至所述终端;获得终端的IP报文,所述IP报文中包含特殊标识,所述特殊标识包括由所述共享密钥及IP报文处理形成的第一密文数据;基于所述IP报文确定所述特殊标识;基于所述共享密钥及所述IP报文计算得到第二密文数据;对比所述第一密文数据和第二密文数据,并基于比对结果确定是否允许所述终端通过网关访问外网。2.根据权利要求1所述的方法,其特征在于,还包括:获得所述终端的MAC信息、IP信息、用户名;至少基于所述MAC信息、IP信息、用户名及所述共享密钥建立在线用户信息表。3.根据权利要求2所述的方法,其特征在于,在确定所述特殊标识后,还包括:基于所述IP报文确定对应的所述在线用户信息列表;基于所述在线用户信息列表获得所述共享密钥,以用于计算得到所述第二密文数据。4.根据权利要求1所述的方法,其特征在于,还包括:在确定所述特殊标识后,基于所述IP报文在本地查找匹配的所述共享密钥;验证所述共享密钥的有效性;若有效,则使用所述共享密钥辅助计算得到所述第二密文数据,并删除存储的所述共享密钥;若无效,则发送新的共享密钥至所述终端,使所述终端基于新的共享密钥生成新的IP报文。5.根据权利要求4所述的方法,其特征在于,所述验证所述共享密钥的有效性,包括:确定所述共享密钥被下发至所述终端的时间距离当前时间的时间值;基于所述时间值及时间阈值确定所述共享密钥的有效性。6.根据权利要求1所述的方法,其...
【专利技术属性】
技术研发人员:程淼,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。