局域网安全访问方法、系统及网络连接设备技术方案

本发明专利技术提出一种局域网安全访问方法、系统及网络连接设备，其中，系统包括网络连接设备、终端设备、接入控制设备和办公网络设备；网络连接设备允许未认证或认证失败的终端设备与接入控制设备建立连接，并将接收到的身份认证请求转发给接入控制设备；接入控制设备对身份认证请求的签名信息进行认证，认证通过后基于身份认证请求配置网络访问策略，并转换成终端连接策略发送至网络连接设备；网络连接设备基于终端连接策略允许认证通过的终端设备与对应的办公网络设备建立连接。本发明专利技术利用终端设备和接入控制设备进行双重身份认证，接入控制设备基于用户身份动态配置网络访问策略，使认证通过的用户拥有与其身份相匹配的局域网网络资源访问权限。络资源访问权限。络资源访问权限。

【技术实现步骤摘要】
局域网安全访问方法、系统及网络连接设备


[0001]本专利技术涉及局域网
，尤其涉及一种局域网安全访问方法、系统及网络连接设备。

技术介绍

[0002]网络应用的普及使企业普遍将局域网作为办公网络，随着网络攻击和信息泄露等恶劣事件频发，局域网网络安全越发受到企业重视。
[0003]目前，通常采用交换机和路由器等网络连接设备接入局域网，但这些网络连接设备对于终端设备等设备的接入往往不具备认证能力，仅仅具备简单的基于MAC地址的控制机制，即在网络连接设备上人工配置基于MAC地址的网络访问策略，以控制终端设备等设备的接入，但MAC地址容易被仿造冒用，因此存在很大的安全风险；此外，网络连接设备上配置的网络访问策略都是静态的，不能根据终端设备的用户身份动态生成相应的网络访问策略，在面对外来人员或者临时人员接入局域网时，存在越权访问局域网网络资源，导致公司机密泄露的不良现象。
[0004]因此，如何提供一种更安全的局域网访问系统是本领域技术人员亟需解决的技术问题。

技术实现思路

[0005]本专利技术旨在至少在一定程度上解决相关技术中的技术问题之一。
[0006]为此，本专利技术的第一个目的在于提出一种局域网安全访问方法，建立双重身份认证机制，以提高局域网的访问安全性，对于通过双重身份认证的用户，基于用户身份动态配置网络访问策略，使认证通过的用户拥有与其身份相匹配的局域网网络资源访问权限，达到防止外来人员或者临时人员越权访问局域网网络资源的目的。
[0007]本专利技术的第二个目的在于提出一种网络连接设备。
[0008]本专利技术的第三个目的在于提出一种局域网安全访问系统。
[0009]为达上述目的，本专利技术第一方面实施例提出了一种局域网安全访问方法，所述方法包括：预先制定默认规则，所述默认规则是指在终端设备接入到局域网时，允许未认证或认证失败的终端设备与接入控制设备建立连接，拒绝未认证或认证失败的终端设备与办公网络设备建立连接；接收终端设备通过应用程序发送的身份认证请求；其中，所述身份认证请求是所述终端设备对用户输入的用户身份信息验证通过后发出的，所述身份认证请求包括身份认证请求内容和身份认证请求的签名信息；在接收到来自接入控制设备的终端连接策略后，向认证通过的终端设备发送认证应答，以使认证通过的终端设备进行网络重连接；其中，所述终端连接策略是由网络访问策略转换而来的连接策略，所述网络访问策略是接入控制设备在确认所述身份认证请求的签名信息认证通过后，基于所述身份认证请求配置的访问策略；检测到认证通过的终端设备重连接成功时，基于所述终端连接策略允许认证通过的终端设备与对应的办公网络设备建立连接。
[0010]为达上述目的，本专利技术第二方面实施例提出了一种网络连接设备，包括处理器和存储有程序指令的存储器，所述处理器被配置为在运行所述程序指令时，执行如上述的局域网安全访问方法。
[0011]为达上述目的，本专利技术第三方面实施例提出了一种局域网安全访问系统，所述系统包括上述的网络连接设备，还包括终端设备、接入控制设备和办公网络设备；所述终端设备，用于通过应用程序发出身份认证请求；还用于认证通过后接收网络连接设备发出的认证应答，并根据所述认证应答进行网络重连接，重连接后通过网络连接设备与对应的办公网络设备建立连接；所述接入控制设备，用于接收所述网络连接设备转发的身份认证请求，对所述身份认证请求的签名信息进行认证，认证通过后基于所述身份认证请求配置网络访问策略，并向所述网络连接设备发送所述网络访问策略转换成的终端连接策略；其中，所述终端连接策略用于标示待连接的终端设备和办公网络设备。
[0012]在第三方面的一具体实施例中，所述网络连接设备检测到认证通过的终端设备下线时，将下线信息发送给接入控制设备；所述接入控制设备收到下线信息后，对存储的对应网络访问策略和终端连接策略进行无效；所述接入控制设备基于所述下线信息生成删除指令，并将所述删除指令发送给所述网络连接设备，以使所述网络连接设备对相应的终端连接策略进行删除。
[0013]在第三方面的一具体实施例中，终端设备连接有硬件安全模块，身份认证请求由所述硬件安全模块生成，接入控制设备对身份认证请求的签名信息基于数字证书机制进行认证。
[0014]在第三方面的一具体实施例中，身份认证请求内容中包括数字证书；接入控制设备基于所述数字证书进行认证。
[0015]在第三方面的一具体实施例中，身份认证请求内容中包括身份唯一标识；接入控制设备基于所述身份唯一标识进行基于数字证书机制的认证。
[0016]在第三方面的一具体实施例中，所述接入控制设备基于身份认证请求配置网络访问策略，包括：所述接入控制设备基于所述身份认证请求确定用户身份；所述接入控制设备根据所述用户身份和预设关联关系，确定对应的局域网网络资源访问权限，其中，所述预设关联关系表征所述用户身份与局域网网络资源之间的对应关系；所述接入控制设备基于所述用户身份和所述局域网网络资源访问权限，生成网络访问策略。
[0017]在第三方面的一具体实施例中，身份认证请求内容中包括终端设备的标识信息；所述接入控制设备基于身份认证请求配置网络访问策略，包括：所述接入控制设备根据所述终端设备的标识信息和维护的企业终端设备标识列表，判断所述终端设备是否属于企业的终端设备，得到判断结果；相应的，所述接入控制设备根据所述用户身份和预设关联关系，确定对应的局域网网络资源访问权限，包括：所述接入控制设备根据所述用户身份、所述判断结果和所述预设关联关系，确定对应的局域网网络资源访问权限；其中，所述预设关联关系表征用户身份、判断结果和局域网网络资源之间的对应关系；所述接入控制设备基于所述用户身份和所述局域网网络资源访问权限，生成网络访问策略。
[0018]在第三方面的一具体实施例中，所述接入控制设备将网络访问策略转换成终端连接策略，包括：所述接入控制设备利用所述网络访问策略得到对应的用户身份，并确定所述用户身份对应的终端设备的标识信息；所述接入控制设备利用所述网络访问策略得到对应的局域网网络资源，并确定所述局域网网络资源对应的办公网络设备的标识信息；所述接入控制设备基于所述终端设备的标识信息和所述办公网络设备的标识信息，生成终端连接策略。
[0019]在第三方面的一具体实施例中，接入控制设备对身份认证请求的签名信息进行认证，认证失败后基于认证失败次数和/或认证失败频率生成限制访问策略，并将所述限制访问策略发送给网络连接设备；所述网络连接设备基于所述限制访问策略限制终端设备的访问。
[0020]本专利技术的有益效果：通过终端设备对用户输入的用户身份信息进行验证，通过接入控制设备对身份认证请求的签名信息进行认证，使用双重身份认证机制来确认用户身份，全部认证通过才能使终端设备根据终端连接策略与对应的办公网络设备建立连接，有效提高局域网的访问安全性；对于通过双重身份认证的终端设备，接入控制设备能够根据终端设备的用户身份来动态配置网络访问策略，以控制用户的局域网网络访问权限，配置过程无需人工处理本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种局域网安全访问方法，其特征在于，所述方法包括：预先制定默认规则，所述默认规则是指在终端设备接入到局域网时，允许未认证或认证失败的终端设备与接入控制设备建立连接，拒绝未认证或认证失败的终端设备与办公网络设备建立连接；接收终端设备通过应用程序发送的身份认证请求；其中，所述身份认证请求是所述终端设备对用户输入的用户身份信息验证通过后发出的，所述身份认证请求包括身份认证请求内容和身份认证请求的签名信息；在接收到来自接入控制设备的终端连接策略后，向认证通过的终端设备发送认证应答，以使认证通过的终端设备进行网络重连接；其中，所述终端连接策略是由网络访问策略转换而来的连接策略，所述网络访问策略是接入控制设备在确认所述身份认证请求的签名信息认证通过后，基于所述身份认证请求配置的访问策略；检测到认证通过的终端设备重连接成功时，基于所述终端连接策略允许认证通过的终端设备与对应的办公网络设备建立连接。2.一种网络连接设备，包括处理器和存储有程序指令的存储器，其特征在于：所述处理器被配置为在运行所述程序指令时，执行如权利要求1所述的局域网安全访问方法。3.一种局域网安全访问系统，其特征在于，包括权利要求2所述的网络连接设备，还包括终端设备、接入控制设备和办公网络设备；所述终端设备，用于通过应用程序发出身份认证请求；还用于认证通过后接收网络连接设备发出的认证应答，并根据所述认证应答进行网络重连接，重连接后通过网络连接设备与对应的办公网络设备建立连接；所述接入控制设备，用于接收所述网络连接设备转发的身份认证请求，对所述身份认证请求的签名信息进行认证，认证通过后基于所述身份认证请求配置网络访问策略，并向所述网络连接设备发送所述网络访问策略转换成的终端连接策略；其中，所述终端连接策略用于标示待连接的终端设备和办公网络设备。4.如权利要求3所述的局域网安全访问系统，其特征在于，所述网络连接设备检测到认证通过的终端设备下线时，将下线信息发送给接入控制设备；所述接入控制设备收到下线信息后，对存储的对应网络访问策...

【专利技术属性】
技术研发人员：梁松涛，石淑英，周玉伟，
申请(专利权)人：郑州信大捷安信息技术股份有限公司，
类型：发明
国别省市：