本公开实施例涉及一种网络接入控制方法、装置、设备及存储介质,其中,网络接入控制方法包括:接收终端发送的证书验证请求,向终端返回证书验证应答;证书验证应答携带预设服务器证书,证书验证应答用于指示终端基于自身安装的根证书对预设服务器证书进行验证;其中,根证书的身份验证信息与预设服务器证书的身份验证信息中的部分或者全部信息不同;接收终端返回的针对预设服务器证书的验证结果,当验证结果表明证书验证成功,则确定终端存在安全风险,中断终端的网络接入通信链路。本公开实施例可以在终端对预设服务器证书验证成功时,通过中断与终端之间的网络接入通信链路的方式阻止终端接入网络,提高网络安全性。提高网络安全性。提高网络安全性。
【技术实现步骤摘要】
网络接入控制方法、装置、设备及存储介质
[0001]本公开实施例涉及计算机
,尤其涉及一种网络接入控制方法、装置、设备及存储介质。
技术介绍
[0002]近年来,随着无线技术的飞速发展,企业已经广泛采用保护无线电脑网络安全系统企业版(Wi
‑
Fi Protected AccessEnterprise,WPA
‑
Enterprise)作为终端接入网络的方式。WPA
‑
Enterprise需要认证服务器对每个请求接入网络的终端进行入网认证,以确定是否向该终端提供网络接入权限。
[0003]但是,当终端存在安全漏洞、或者对网络的相关配置出现错误等安全风险时,一旦允许这类终端成功接入网络,则会对网络安全性造成威胁。
技术实现思路
[0004]为了解决上述技术问题或者至少部分地解决上述技术问题,本公开实施例提供了一种网络接入控制方法、装置、设备及存储介质。
[0005]本公开实施例的第一方面提供了一种网络接入控制方法,该方法包括:
[0006]接收终端发送的证书验证请求,向终端返回证书验证应答;证书验证应答携带预设服务器证书,证书验证应答用于指示终端基于自身安装的根证书对预设服务器证书进行验证;其中,根证书的身份验证信息与预设服务器证书的身份验证信息中的部分或者全部信息不同;
[0007]接收终端返回的针对预设服务器证书的验证结果,当验证结果表明证书验证成功,则确定终端存在安全风险,中断终端的网络接入通信链路。
[0008]本公开实施例的第二方面提供了一种网络接入控制装置,该装置包括:
[0009]返回模块,用于接收终端发送的证书验证请求,向终端返回证书验证应答;证书验证应答携带预设服务器证书,证书验证应答用于指示终端基于自身安装的根证书对预设服务器证书进行验证;其中,根证书的身份验证信息与预设服务器证书的身份验证信息中的部分或者全部信息不同;
[0010]中断模块,用于接收终端返回的针对预设服务器证书的验证结果,当验证结果表明证书验证成功,则确定终端存在安全风险,中断终端的网络接入通信链路。
[0011]本公开实施例的第三方面提供了一种计算机可读存储介质,该存储介质中存储有计算机程序,当该计算机程序被处理器执行时,可以实现如上述第一方面所述的方法。
[0012]本公开实施例的第四方面提供了一种网络接入控制设备,该网络接入控制设备包括:处理器和存储器,其中,存储器中存储有计算机程序,当计算机程序被处理器执行时,处理器执行如上述第一方面所述的方法。
[0013]本公开实施例的第五方面提供了一种计算机程序产品,该计算机程序产品包括计算机程序/指令,计算机程序/指令被处理器执行时实现如上述第一方面所述的方法。
[0014]本公开实施例提供的技术方案与现有技术相比具有如下优点:
[0015]本公开实施例,能够接收终端发送的证书验证请求,向终端返回证书验证应答;证书验证应答携带预设服务器证书,证书验证应答用于指示终端基于自身安装的根证书对预设服务器证书进行验证;其中,根证书的身份验证信息与预设服务器证书的身份验证信息中的部分或者全部信息不同;接收终端返回的针对预设服务器证书的验证结果,当验证结果表明证书验证成功,则确定终端存在安全风险,中断终端的网络接入通信链路,使得在对申请入网的终端进行入网认证的过程中,如果终端对预设服务器证书验证成功,则说明终端无法验证认证服务器发送的服务器证书的真伪,存在安全风险,此时认证服务器可以通过中断终端的网络接入通信链路的方式阻止终端接入网络,提高网络安全性。
附图说明
[0016]此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
[0017]为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0018]图1是本公开实施例提供的一种网络接入控制方法的流程图;
[0019]图2是本公开实施例提供的一种网络接入控制方法的过程示意图;
[0020]图3是本公开实施例提供的另一种网络接入控制方法的流程示意图;
[0021]图4是本公开实施例提供的一种网络接入控制装置的结构示意图;
[0022]图5是本公开实施例中的一种网络接入控制设备的结构示意图。
具体实施方式
[0023]为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
[0024]在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
[0025]申请人经研究发现,如果终端在正常情况下通过连接名称为“Foo Inc”的WPA
‑
Enterprise接入网络,则当不法人员构造一个名称为“Foo Inc”的钓鱼Wi
‑
Fi时,由于终端上存储的配置信息中只记录了WPA
‑
Enterprise的名称为“Foo Inc”,因此,当钓鱼Wi
‑
Fi的信号更强时,终端会尝试连接钓鱼Wi
‑
Fi。
[0026]当终端请求接入网络时,网络侧的认证服务器将使用可扩展的身份认证协议(Extensible Authentication Protocol,EAP)对终端进行入网认证,终端认证通过后才向终端提供网络接入权限。EAP中包括多种入网认证机制,例如PEAP,EAP
‑
TLS,EAP
‑
TTLS,EAP
‑
SIM,EAP
‑
AKA,EAP
‑
FAST,EAP
‑
PWD等。其中,PEAP、EAP
‑
TTLS、EAP
‑
TLS等入网认证机制均需要认证服务器向终端发送服务器证书,以便认证服务器和终端通过服务器证书协商密钥,从而建立安全传输层协议(Transport Layer Security,TLS)隧道。建立TLS隧道的过程中,认
证服务器会向终端发送服务器证书,当终端基于其自身安装的根证书对服务器证书进行验证,并且验证结果为证书验证成功时,终端才和认证服务器进行凭据交换。理论上,不法人员无法伪造名称为“Foo Inc”的WPA
‑
Enterprise的服务端证书,因此,终端也就不会和钓鱼Wi
‑
Fi建立连接。然而,在实际情况中,当终端由于存在安全漏洞无法验证认证服务器的证书、或者终端针对网络的相关配置中被配置为默本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络接入控制方法,其特征在于,所述方法包括:接收终端发送的证书验证请求,向所述终端返回证书验证应答;所述证书验证应答携带预设服务器证书,所述证书验证应答用于指示所述终端基于自身安装的根证书对所述预设服务器证书进行验证;其中,所述根证书的身份验证信息与所述预设服务器证书的身份验证信息中的部分或者全部信息不同;接收所述终端返回的针对所述预设服务器证书的验证结果,当所述验证结果表明证书验证成功,则确定所述终端存在安全风险,中断所述终端的网络接入通信链路。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:当确定所述终端针对所述预设服务器证书验证失败,则针对所述终端重新发起入网认证流程。3.根据权利要求2所述的方法,其特征在于,所述当确定所述终端针对所述预设服务器证书验证失败,则针对所述终端重新发起入网认证流程,包括:当所述验证结果表明证书验证失败,或者,确定预设时长内未接收到来自所述终端的针对所述预设服务器证书的验证结果,则针对所述终端重新发起入网认证流程;其中,所述预设时长用于表示由向所述认证服务器发送所述证书验证应答的时刻至当前时刻的时长。4.根据权利要求1
‑
3中任一项所述的方法,其特征在于,在所述向所述终端返回证书验证应答之前,所述方法还包括:获取所述终端对应的历史证书验证信息;其中,所述历史证书验证信息中包括历史证书验证结果,所述历史证书验证结果用于标识所述终端针对所述预设服务器证书的最新验证结果;相应的,所述向所述终端返回证书验证应答,包括:如果确定所述历史证书验证结果为第一结果,则向所述终端返回证书验证应答;其中,所述第一结果用于标识所述终端针对所述预设服务器证书的最新验证结果为证书验证成功。5.根据权利要求4所述的方法,其特征在于,所述历史证书验证信息中还包括与所述历史证书验证结果对应的证书验证时间;其中,所述获取所述终端对应的历史证书验证信息之后,所述方法还包括:如果确定所述历史证书验证结果为第二结果,则确定所述历史证书验证结果对应的证书验证时间与当前时刻的时间差是否大于预设时间阈值;其中,所述...
【专利技术属性】
技术研发人员:韩泽方,郑玉伟,秦明闯,卢昊良,
申请(专利权)人:北京字节跳动网络技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。