一種終端接入安全認證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及核心網(wǎng)接入安全控制技術(shù)領(lǐng)域，具體涉及一種終端接入安全認證方法。
【背景技術(shù)】
[0002]在核心網(wǎng)絡中，接入的終端眾多，種類紛繁，且部分終端需要連接核心網(wǎng)絡的中心服務器并訪問較為機密的數(shù)據(jù)，而終端的防護能力較弱，容易被一些不法分子控制，以竊取機密數(shù)據(jù)，造成核心網(wǎng)絡接入的安全問題。為了提高終端安全接入控制，需要主動防御，從源頭消除漏洞和威脅，保證終端合規(guī)，受控，確保核心網(wǎng)絡的數(shù)據(jù)訪問安全。

【發(fā)明內(nèi)容】

[0003]解決上述技術(shù)問題，本發(fā)明提供了一種終端接入安全認證方法，以網(wǎng)絡身份識別為基礎(chǔ)，以準入控制為手段，以桌面管理為補充，構(gòu)建一體化的核心網(wǎng)安全接入方法。
[0004]為了達到上述目的，本發(fā)明所采用的技術(shù)方案是，一種終端接入安全認證方法，在核心網(wǎng)絡內(nèi)設(shè)置一網(wǎng)絡準入設(shè)備，并配合設(shè)置一準入服務器，包括以下步驟:
用戶終端接入網(wǎng)絡，終端代理與網(wǎng)絡準入設(shè)備建立通信，
網(wǎng)絡準入設(shè)備與準入服務器對終端用戶身份合法性進行認證，
終端用戶認證通過后，準入服務器告知網(wǎng)絡準入設(shè)備，并實現(xiàn)對認證后合法終端用戶的訪問控制，
網(wǎng)絡準入設(shè)備將控制結(jié)果通知用戶終端，
終端代理與準入服務器交互終端系統(tǒng)安全狀態(tài)信息，對用戶終端進行安全檢查，
若用戶終端不安全，終端代理啟動系統(tǒng)修復升級工作，與相關(guān)服務器交互，完成用戶終端的系統(tǒng)安全性修復。
[0005]進一步的，所述終端代理與網(wǎng)絡準入設(shè)備通過EAP交互賬號和密碼信息。
[0006]進一步的，所述網(wǎng)絡準入設(shè)備與準入服務器通過RADIUS協(xié)議，對終端用戶身份合法性進行認證。
[0007]進一步的，網(wǎng)絡準入設(shè)備通過EAP Success消息通知用戶終端。
[0008]本發(fā)明通過采用上述技術(shù)方案，與現(xiàn)有技術(shù)相比，具有如下優(yōu)點:本發(fā)明的終端在身份認真和安全檢查通過前能夠訪問的網(wǎng)絡資源，且終端在通過身份認證但沒有通過安全檢查時被隔離，并能夠進行安全修復操作。
【附圖說明】
[0009]圖1是本發(fā)明的實施例的流程圖。
【具體實施方式】
[0010]現(xiàn)結(jié)合附圖和【具體實施方式】對本發(fā)明進一步說明。
[0011]作為一個具體的實施例，如圖1所示，本發(fā)明的一種終端接入安全認證方法，在核心網(wǎng)絡內(nèi)設(shè)置一網(wǎng)絡準入設(shè)備，并配合設(shè)置一準入服務器，包括以下步驟:
用戶終端接入網(wǎng)絡，終端代理與網(wǎng)絡準入設(shè)備建立通信，所述終端代理與網(wǎng)絡準入設(shè)備通過EAP交互賬號和密碼信息。
[0012]網(wǎng)絡準入設(shè)備與準入服務器對終端用戶身份合法性進行認證，所述網(wǎng)絡準入設(shè)備與準入服務器通過RADIUS協(xié)議，對終端用戶身份合法性進行認證。
[0013]終端用戶認證通過后，準入服務器告知網(wǎng)絡準入設(shè)備，并實現(xiàn)對認證后合法終端用戶的訪問控制，
網(wǎng)絡準入設(shè)備將控制結(jié)果通知用戶終端，網(wǎng)絡準入設(shè)備通過EAP Success消息通知用戶終端。
[0014]終端代理與準入服務器交互終端系統(tǒng)安全狀態(tài)信息，對用戶終端進行安全檢查， 若用戶終端不安全，終端代理啟動系統(tǒng)修復升級工作，與相關(guān)服務器交互，完成用戶終端的系統(tǒng)安全性修復。
[0015]本實施例通過安全區(qū)域劃分，劃分為認證前域，隔離域和認證后域，確保終端行為安全受控，在認證前域:終端在身份認證和安全檢查通過前能夠訪問的網(wǎng)絡資源，包括DHCP服務器、系統(tǒng)服務器等。在隔離域:終端通過身份認證后，在沒有通過安全檢查時處于被隔離狀態(tài)，此時僅能夠進行安全修復操作，包括防病毒軟件病毒庫升級服務，補丁服務器訪問等。認證后域，終端在通過身份認證和安全檢查后能夠訪問的網(wǎng)絡資源，可以根據(jù)工作相關(guān)性和最小授權(quán)原則，將不同的終端用戶受訪問相應的網(wǎng)絡資源，有效防止非法訪問和越權(quán)訪問。
[0016]本實施例中，終端代理與準入服務器交互終端系統(tǒng)安全狀態(tài)信息，對用戶終端進行安全檢查，包括以下步驟:
對入網(wǎng)終端的安全性，例如殺毒軟件安裝，補丁更新，密碼強度，屏保等進行掃描，在接入網(wǎng)絡前后完成終端安全狀態(tài)的檢查，
對終端不安全狀態(tài)能夠與控制設(shè)備進行聯(lián)動，當發(fā)現(xiàn)不安全終端接入網(wǎng)絡的時候，能夠?qū)@些終端進行一定程度的阻斷，防止這些不安全終端對網(wǎng)絡的接入和危害，并且能夠主動幫助這些終端完成安全狀態(tài)的自我修復，
對于未及時修復的不安全終端，能夠?qū)ζ溥M行權(quán)限限制，避免接入網(wǎng)絡，引發(fā)網(wǎng)絡安全冋題。
[0017]盡管結(jié)合優(yōu)選實施方案具體展示和介紹了本發(fā)明，但所屬領(lǐng)域的技術(shù)人員應該明白，在不脫離所附權(quán)利要求書所限定的本發(fā)明的精神和范圍內(nèi)，在形式上和細節(jié)上可以對本發(fā)明做出各種變化，均為本發(fā)明的保護范圍。
【主權(quán)項】
1.一種終端接入安全認證方法，其特征在于:在核心網(wǎng)絡內(nèi)設(shè)置一網(wǎng)絡準入設(shè)備，并配合設(shè)置一準入服務器，包括以下步驟: 用戶終端接入網(wǎng)絡，終端代理與網(wǎng)絡準入設(shè)備建立通信， 網(wǎng)絡準入設(shè)備與準入服務器對終端用戶身份合法性進行認證， 終端用戶認證通過后，準入服務器告知網(wǎng)絡準入設(shè)備，并實現(xiàn)對認證后合法終端用戶的訪問控制， 網(wǎng)絡準入設(shè)備將控制結(jié)果通知用戶終端， 終端代理與準入服務器交互終端系統(tǒng)安全狀態(tài)信息，對用戶終端進行安全檢查， 若用戶終端不安全，終端代理啟動系統(tǒng)修復升級工作，與相關(guān)服務器交互，完成用戶終端的系統(tǒng)安全性修復。2.根據(jù)權(quán)利要求1所述的一種終端接入安全認證方法，其特征在于:所述終端代理與網(wǎng)絡準入設(shè)備通過EAP交互賬號和密碼信息。3.根據(jù)權(quán)利要求1所述的一種終端接入安全認證方法，其特征在于:所述網(wǎng)絡準入設(shè)備與準入服務器通過RADIUS協(xié)議，對終端用戶身份合法性進行認證。4.根據(jù)權(quán)利要求1所述的一種終端接入安全認證方法，其特征在于:網(wǎng)絡準入設(shè)備通過EAP Success消息通知用戶終端。
【專利摘要】本發(fā)明涉及核心網(wǎng)接入安全控制技術(shù)領(lǐng)域，具體涉及一種終端接入安全認證方法。在核心網(wǎng)絡內(nèi)設(shè)置一網(wǎng)絡準入設(shè)備，并配合設(shè)置一準入服務器，包括以下步驟：用戶終端接入網(wǎng)絡，終端代理與網(wǎng)絡準入設(shè)備建立通信，網(wǎng)絡準入設(shè)備與準入服務器對終端用戶身份合法性進行認證，終端用戶認證通過后，準入服務器告知網(wǎng)絡準入設(shè)備，并實現(xiàn)對認證后合法終端用戶的訪問控制，網(wǎng)絡準入設(shè)備將控制結(jié)果通知用戶終端，終端代理與準入服務器交互終端系統(tǒng)安全狀態(tài)信息，對用戶終端進行安全檢查，若用戶終端不安全，終端代理啟動系統(tǒng)修復升級工作，與相關(guān)服務器交互，完成用戶終端的系統(tǒng)安全性修復。
【IPC分類】H04L29/06
【公開號】CN104917777
【申請?zhí)枴緾N201510352660
【發(fā)明人】馬秋平
【申請人】馬秋平
【公開日】2015年9月16日
【申請日】2015年6月24日