本发明专利技术涉及网络安全领域,为了解决现有技术中局域网接入控制成本高的问题,提出了一种接入控制方法、系统及装置。该方法包括新的用户计算机接入办公网络时,给该用户计算机分配隔离网段IP地址,当处于隔离网段的该用户计算机通过所述办公网络进行访问时,将用户计算机的访问请求均定向到登录验证页面;当用户计算机输入的登录信息正确,则分配给该用户计算机办公网段的IP地址,否则拒绝该用户计算机访问与办公网络相连的内部网络及外部网络资源。本发明专利技术的有益效果在于,有效的实现了办公网络接入的控制,并且不需要在用户计算机终端安装任何特殊的软件,只要能够浏览Web页面的计算机都可以实现接入控制。
【技术实现步骤摘要】
本专利技术涉及网络安全领域,特别涉及网络接入控制技术,具体的讲是一 种接入控制方法、系统及装置。
技术介绍
随着网络应用的不断普及与深入,网络安全成为各企业极为重视的问题,网络接入控制(NAC)技术为企业的局域网提供了一个相对完整的网络安全解 决方案。一般的NAC都在交换机(Switch)使用电气电子工程师协会(IEEE)802. IX协议进行访问控制,但是需要接入的客户端的操作系统支持该协议,对于没 有使用Windows2000及以上版本的系统或者不支持802. 1X协议的客户端来说接入网络很困难。各接入控制的厂商也在努力实现对不支持802. 1X协议的客户端进行网络 接入控制,但是客户端必须安装访问控制的软件,但是这种方案不利于客户 的自由度,如果有外来用户需要接入企业局域网,则还需要先安装接入的客 户端软件,在该软件出现的窗口输入用户名、密码才能接入局域网络,使用 起来比较繁琐。还有另外一些解决方案,例如,中国专利公开号CN1855926A,专利技术名称 为实现DHCP地址安全分配的方法及系统,公开了从位置信息进行认证的 角度进行认证、接入控制的方案。中国专利公开号CN101232509A,专利技术名称为支持隔离模式的网络接入 控制方法、系统及设备,公开了一种利用配置接入终端访问控制列表(ACL) 的方法实现接入控制的方案。现有技术的方案交换机与802. IX协议兼容性不好,需要特别安装接入控 制软件操作复杂,接入控制的安全度不太高或者控制复杂的问题。如何实现 在交换机等中继设备上不使用802. 1X协议,也不需要在客户端安装登录软件 就能够实现接入控制成为本专利技术的目的。以引入方式将其合并于此。
技术实现思路
本专利技术的目的在于提供一种接入控制方法,用于解决现有技术中需要大 范围的升级局域网络中的中继设备,成本高,并且控制复杂的问题。本专利技术的另一目的在于提供一种接入控制服务器,用于解决现有技术 中,DNS服务器、DHCP服务器、网关的功能分散,并且不能够实现接入控制 的问题。本专利技术的另一目的在于提供一种接入控制系统,用于解决现有技术中 办公局域网络接入控制成本高,并且需要在用户计算机上安装特定软件, 操作比较复杂不够灵活的问题。为了实现上述目的,本专利技术实施例提供一种接入控制方法,其特征在于 该方法包括,新的用户计算机接入办公网络时,给该用户计算机分配隔离网 段IP地址,当处于隔离网段的该用户计算机通过所述办公网络进行访问时, 将用户计算机的访问请求均定向到登录验证页面;当用户计算机输入的登录 信息正确,则分配给该用户计算机办公网段的IP地址,否则拒绝该用户计算 机访问与办公网络相连的内部网络及外部网络资源。根据本专利技术实施例所述的一种接入控制方法的一个进一步的方面,所述 隔离网段与所述办公网段属于不同网段,并且两网段中的计算机不能互相访 问。根据本专利技术实施例所述的一种接入控制方法的再一个进一步的方面,所 述用户计算机通过所述办公网络进行访问包括,该用户计算机通过所述办公网络访问互联网资源,或者该用户计算机访问所述办公网络中的资源。根据本专利技术实施例所述的一种接入控制方法的另一个进一步的方面,所述用户计算机的访问请求包括,浏览Web网页的请求,使用所述办公网络内 部数据资源页面的请求。为了实现上述目的,本专利技术实施例还提供一种接入控制服务器,其特征 在于该接入控制服务器包括,分配地址单元,登录单元,定向单元,内部网 络接口;所述内部网络接口,用于在办公网络中建立用户计算机与所述接入 控制服务器的连接,所述分配地址单元给接入的用户计算机分配隔离网段IP 地址,当处于隔离网段的该用户计算机访问所述办公网络的内部网络数据资 源时,所述定向单元将所述用户计算机的访问请求均定向到所述登录单元的 登录验证页面;所述登录单元判断当用户计算机输入的登录信息正确,则通 过所述分配地址单元分配给该用户计算机办公网段的IP地址,否则拒绝该用 户计算机访问与办公网络相连的内部网络数据资源。根据本专利技术实施例所述的一种接入控制服务器的一个进一步的方面,还 包括外网接口,所述外网接口与所述定向单元相连接,当用户计算机访问外 部互联网络的指令由所述定向单元定向到外部互联网络,则通过所述外网接 口进行访问。为了实现上述目的,本专利技术实施例还提供一种接入控制系统,其特征在 于该系统包括,接入控制服务器,中继设备,内网数据资源,该接入控制服 务器包括,分配地址单元,登录单元,定向单元,内部网络接口;所述内部 网络接口,用于在办公网络中通过所述中继设备建立用户计算机与所述接入 控制服务器的连接,所述分配地址单元给接入的用户计算机分配隔离网段IP 地址,当处于隔离网段的该用户计算机通过所述办公网络访问所述内网数据 资源时,所述定向单元将用户计算机的访问请求均定向到所述登录单元的登 录 证页面;所述登录单元判断当用户计算机输入的登录信息正确,则通过 所述分配地址单元分配给该用户计算机办公网段的IP地址,否则拒绝该用户计算机访问所述内网数据资源。根据本专利技术实施例所述的一种接入控制系统的一个进一步的方面,所述 接入控制服务器还包括外网接口,所述外网接口与所述定向单元相连接,当 用户计算机访问外部互联网络的指令由所述定向单元定向到外部互联网络, 则通过所述外网接口进行访问。本专利技术实施例的有益效果在于,本专利技术实施例可以实现接入控制的同时 不必大范围的升级网络设备,节省成本,并且能够达到很好的接入控制效果,保证了局域网内部的安全;并且兼容性好,不需要安装特殊的软件,只要计 算机能够具有浏览Web网页的浏览器就可以进行身份认证;身份认证后不仅 可以控制用户访问互联网,并可以同时控制用户访问局域网内部的服务器。附图说明 ,此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,并不构成对本专利技术的限定。在附图中图1所示为本专利技术接入控制方法第一实施例流程图2所示为本专利技术接入控制方法第二实施例流程图3所示为本专利技术系统实施例结构示意图4所示为本专利技术接入控制服务器的实施例结构示意图5所示为本专利技术用户计算机与接入控制服务器之间的数据流第一实施例示意图。具体实施例方式为使本专利技术的目的、技术方案和优点更加清楚明白,下面结合实施方式 和附图,对本专利技术做进一步详细说明。在此,本专利技术的示意性实施方式及其 说明用于解释本专利技术,但并不作为对本专利技术的限定。本专利技术实施例提供一种接入控制服务器、接入控制方法及系统。以下结 合附图对本专利技术进行详细说明。如图1所示为本专利技术接入控制方法第一实施例流程图,包括步骤101,用户计算机接入本地局域网络(办公网络),其可以通过无线方式或者有线方 式接入网络,在较佳的实施例中用户计算机通过无线方式接入本地的办公网 络是常见的情况。步骤102,用户计算机通过DHCP自动获得IP地址,本步骤中的IP地址 为隔离网段IP地址,DNS服务器的IP地址是本专利技术实施例的接入控制服务器 的隔离网的IP地址。所述隔离网段IP地址是指与办公网络不属于同一网段 的IP地址,例如,本地办公网络IP地址的网段为192. 168. l.X,隔离网段 IP地址的网段为10. 10. 5. X,分配接入用户计算机的设备可以是现有的DHCP 服务器(动态主机配置协议)用来自动分配IP本文档来自技高网...
【技术保护点】
一种接入控制方法,其特征在于该方法包括,新的用户计算机接入办公网络时,给该用户计算机分配隔离网段IP地址,当处于隔离网段的该用户计算机通过所述办公网络进行访问时,将用户计算机的访问请求均定向到登录验证页面;当用户计算机输入的登录信息正确,则分配给该用户计算机办公网段的IP地址,否则拒绝该用户计算机访问与办公网络相连的内部网络及外部网络资源。
【技术特征摘要】
1.一种接入控制方法,其特征在于该方法包括,新的用户计算机接入办公网络时,给该用户计算机分配隔离网段IP地址,当处于隔离网段的该用户计算机通过所述办公网络进行访问时,将用户计算机的访问请求均定向到登录验证页面;当用户计算机输入的登录信息正确,则分配给该用户计算机办公网段的IP地址,否则拒绝该用户计算机访问与办公网络相连的内部网络及外部网络资源。2. 根据权利要求1所述的一种接入控制方法,其特征在于,所述隔离网 段与所述办公网段属于不同网段,并且两网段中的计算机不能互相访问。3. 根据权利要求1所述的一种接入控制方法,其特征在于,所述用户计 算机通过所述办公网络进行访问包括,该用户计算机通过所述办公网络访问 互联网资源,或者该用户计算机访问所述办公网络中的资源。4. 根据权利要求3所述的一种接入控制方法,其特征在于,所述用户计 算机的访问请求包括,浏览Web网页的请求,使用所述办公网络内部数据资 源页面的请求。5. —种接入控制服务器,其特征在于该接入控制服务器包括,分配地址 单元,登录单元,定向单元,内部网络接口;所述内部网络接口,用于在办公网络中建立用户计算机与所述接入控制 服务器的连接,所述分配地址单元给接入的用户计算机分配隔离网段IP地址, 当处于隔离网段的该用户计算机访问所述办公网络的内部网络数据资源时, 所述定向单元将所述用户计算机的访问请求均定向到所述登录单元的登录验证页面;...
【专利技术属性】
技术研发人员:俞飏,宁辉,陈瑞宁,陈然,
申请(专利权)人:北京艾科网信科技有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。