CN103812859B - 网络准入方法、终端准入方法、网络准入装置和终端 - Google Patents

网络准入方法、终端准入方法、网络准入装置和终端 Download PDF

Info

Publication number
CN103812859B
CN103812859B CN201310741881.8A CN201310741881A CN103812859B CN 103812859 B CN103812859 B CN 103812859B CN 201310741881 A CN201310741881 A CN 201310741881A CN 103812859 B CN103812859 B CN 103812859B
Authority
CN
China
Prior art keywords
terminal
network
access
option field
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310741881.8A
Other languages
English (en)
Other versions
CN103812859A (zh
Inventor
杨光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN201310741881.8A priority Critical patent/CN103812859B/zh
Publication of CN103812859A publication Critical patent/CN103812859A/zh
Application granted granted Critical
Publication of CN103812859B publication Critical patent/CN103812859B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明提供了一种网络准入方法、终端准入方法、网络准入装置和终端,该网络准入方法包括:接收终端的网络访问请求;获取所述网络访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,如果所述可选项字段为空,则拒绝所述网络访问请求;如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,如果合法,则允许该终端访问网络,如果不合法,则拒绝所述网络访问请求。该网络准入方法、终端准入方法、网络准入装置和终端,部署简单,网络兼容性好,且能够有效控制终端的准入。

Description

网络准入方法、终端准入方法、网络准入装置和终端
技术领域
本发明涉及网络安全技术领域,更具体地,涉及一种网络准入方法、终端准入方法、网络准入装置和终端。
背景技术
网络准入控制能够在用户进行网络访问之前确保用户的身份是信任关系,只有可信赖的计算机才能接入网络,从而防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。通过准入控制,客户可以只允许合法的、值得信任的终端设备接入网络,而不允许其它设备接入。
目前常见的网络准入控制有802.1x准入控制和网关型准入控制。
802.1x准入控制的设计强调对交换机端口的控制,要求在用户使用终端接入前,通过交换机命令将终端隔离在隔离VLAN中(在隔离VLAN中的终端只允许访问某些指定的网络资源),只有在进行完身份认证后,才将终端改放在应属的VLAN中(在应属的VLAN中的终端可以正常访问网络资源)。802.1x准入控制有以下缺陷:
1.部署操作复杂
部署802.1x准入控制时,必须配置AAA服务器、Radius服务器、交换机,特别是交换机配置相当复杂,不同品牌、型号的交换机的配置命令多少都有差异。
2.网络兼容性差
部署802.1x准入控制的前提是交换机必须支持802.1x协议,而实际用户环境使用普通交换机或HUB情况很多,此时无法使用802.1x准入控制进行准确地控制。
网关型准入控制的设计注重于在网关位置限制非授信终端主机跨网访问。网关型准入控制具有以下缺陷:
1.没有终端准入控制能力
网关型准入控制不是严格意义上的准入控制,没有对终端接入网络进行控制,而只是对终端出外网进行了控制,即非授信终端在内部网络是不受限制的。
发明内容
针对现有技术中存在的上述问题,本发明提供了网络准入方法、终端准入方法、网络准入装置和终端,用于克服网络准入控制部署复杂、网络兼容性差和控制能力差的缺陷。
根据本发明的一个方面,提供了一种网络准入方法,其中,包括以下步骤:
a1)接收终端的网络访问请求;
b1)获取所述网络访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,
如果所述可选项字段为空,则拒绝所述网络访问请求;
如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,如果合法,则允许该终端访问网络,如果不合法,则拒绝所述网络访问请求。
根据本发明的另一个方面,还提供了一种终端准入方法,其中,包括以下步骤:
a2)接收终端的终端访问请求;
b2)获取所述终端访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,
如果所述可选项字段为空,则拒绝所述终端访问请求;
如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,
如果合法,则允许所述终端访问,
如果不合法,则将所述可选项字段中的ID号和IP地址发送到终端准入装置,并接收所述终端准入装置的验证信息,
当所述终端准入装置的验证信息表示所述ID号和IP地址不合法时,则拒绝所述终端访问请求;
当所述终端准入装置的验证信息表示所述ID号和IP地址合法时,则允许所述终端访问。
根据本发明的另一个方面,还提供了一种网络准入装置,其中,该网络准入装置包括:
网络访问请求接收模块,用于接收终端的网络访问请求;
验证模块,用于获取所述网络访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,如果所述可选项字段为空,则拒绝所述网络访问请求;如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,如果合法,则允许该终端访问网络,如果不合法,则拒绝所述网络访问请求。
根据本发明的另一个方面,还提供了一种终端,其中,该终端包括:终端访问请求接收模块,用于接收另一个终端的终端访问请求;
验证模块,用于获取所述终端访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,如果所述可选项字段为空,则拒绝所述终端访问请求;如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,如果合法,则允许所述另一个终端访问,如果不合法,则将所述可选项字段中的ID号和IP地址发送到终端准入装置,并接收所述终端准入装置的验证信息,当所述终端准入装置的验证信息表示所述ID号和IP地址不合法时,则拒绝所述终端访问请求;当所述终端准入装置的验证信息表示所述ID号和IP地址合法时,则允许所述另一个终端访问。
利用本发明提供的网络准入方法、终端准入方法、网络准入装置和终端,部署简单,网络兼容性好,且能够有效控制终端的准入。
附图说明
图1是根据本发明的网络准入方法的流程图;
图2是根据本发明安装有客户端的终端通过网络准入装置访问网络的示意图;
图3是根据本发明的终端准入方法的流程图;
图4是根据本发明的未安装客户端的终端访问安装有客户端的终端的示意图;
图5是根据本发明的安装有客户端的一个终端访问安装有客户端的另一个终端的示意图。
具体实施方式
下面结合附图,详细描述本发明的具体实施方式。
图1是根据本发明的网络准入方法的流程图。图2是根据本发明安装有客户端的终端通过网络准入装置访问网络的示意图。
参考图1和图2,本发明提供了一种终端准入方法,其中,包括以下步骤:
a1)接收终端的网络访问请求;
b1)获取所述网络访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,如果所述可选项字段为空,则拒绝所述网络访问请求;如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,如果合法,则允许该终端访问网络,如果不合法,则拒绝所述网络访问请求。
其中,终端向网络准入装置发送网络访问请求,只有在网络准入装置检测到网络访问请求的IP数据包头部的可选项字段不为空,且验证所述可选项字段中的ID号和IP地址为合法时,才允许该终端访问网络,否则,网络准入装置将拒绝该终端的网络访问请求。
一般的,为了使用根据本发明的终端准入方法,终端需要先安装客户端。终端可以先向网络准入装置请求下载客户端,网络准入装置允许终端下载客户端后,就可以安装该客户端程序。客户端安装成功后,就可以在终端启动登录窗口,在登录窗口中输入账号和密码,并将包括该账号和密码的登录请求连同该终端的IP地址一起发送给网络准入装置。终端准入装置接收到所述终端的登陆请求和IP地址后,验证所述账号、密码和IP地址是否合法,如果合法,则生成与该终端对应的ID号,并将该ID号发送到所述终端。所述终端接收到代表自己身份的ID号后,就将该ID号最为特定数据包标签,填入随后所有从安装有该客户端的终端发出的每个IP数据包头部的可选项字段中。
因而,本发明的终端准入方法在所述步骤a1)之前,还可以包括以下步骤:
a11)接收所述终端的登陆请求和IP地址,所述登陆请求包括账号和密码;
a12)验证所述账号、密码和IP地址是否合法,如果合法,则生成与该终端对应的ID号,并将该ID号发送到所述终端。
根据一种实施方式,所述网络准入装置可以随机生成与该终端对应的ID号。
根据另一种,所述网络准入装置通过以下步骤生成与该终端对应的ID号:
为所述终端生成编号N,对于不同的终端生成不同的编号,优选的,该编号可以从1开始逐个递增;
为所述终端生成个位尾数W,所述个位尾数W为0到9之间的任意整数,该尾数W从0开始,每次都逐步递增1,直到9后再返回0,以此方式一直循环,即为指定终端第一次生成ID时该尾数W=0,下次再为该终端生成ID时该尾数W=1,以此类推。
生成随机数R,所述随机数的取值范围为:1~(2z-1-N*10-W)/10(L+1),其中,所述z为所述ID号的字节长度(例如,可以为32或16),所述L为编号N的位数(例如,在编号N为11时,该编号N的位数L为2);
根据以下公式计算得到ID号:ID号=R*(L+1)+L*10+W。
可以理解,上述生成ID号的方式仅是示例性的,本领域的技术人员也可以采用其他方式生成ID号。
为了能够更好地保证网络访问的安全性,优选的,所述步骤b1)还可以包括,在允许所述终端访问网络的情况下,记录所述终端对所述网络的访问时间,当所述访问时间大于预定阈值时,再次生成与该终端对应的ID号,并将该ID号发送到所述终端。在这种情况下,可以定时地更换ID号。当终端启动登录窗口时,在登录窗口中输入账号和密码,并将包括该账号和密码的登录请求连同该终端的IP地址一起发送给网络准入装置。终端准入装置验证所述账号、密码和IP地址是否合法后,向所述终端发送代表该终端身份的ID号。所述终端接收到ID号后,就将该ID号最为特定数据包标签,填入随后所有从安装有该客户端的终端发出的每个IP数据包头部的可选项字段中,然后通过网络准入装置访问网络。当所述终端访问网络的时间大于预定阈值(例如1个小时)时,网络准入装置就重新生成与该终端对应的ID号,并将该新的ID号发送到所述终端。所述终端接收到新的ID号后,就将该新的ID号填入随后发送的每个IP数据包头部的可选项字段中。网络准入装置就根据新的ID号来对所述终端进行验证。
进一步优选的,在将该ID号发送到所述终端后,还可以等待所述终端的确认消息,在接收到所述终端的确认消息之后,存储所述ID号,并将ID号启动信息发送所述终端。在这种情况下,当终端从网络准入装置接收到ID号时,先停止后续的数据包发送工作,将该ID号最为特定数据包标签,填入随后所有从安装有该客户端的终端发出的每个IP数据包头部的可选项字段中,并向终端准入装置回复确认消息。终端准入装置接收到确认消息之后,存储所述ID号,并将ID号启动信息发送所述终端,终端接收到ID号启用信息之后,恢复数据包发送工作,并在后续发送的数据包中都填入ID号。
进一步优选的,在所述步骤b1)中,在所述可选项字段中的ID号和IP地址验证为合法时,通过将所述终端的网络资源请求转发到网络,以及将网络数据从所述网络转发到所述终端,来允许该终端访问网络。
相应的,本发明还提供了一种终端准入装置,其中,该终端准入装置包括:网络访问请求接收模块,用于接收终端的网络访问请求;验证模块,用于获取所述网络访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,如果所述可选项字段为空,则拒绝所述网络访问请求;如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,如果合法,则允许该终端访问网络,如果不合法,则拒绝所述网络访问请求。
优选的,该终端准入装置还可以包括:登陆信息接收模块,用于接收所述终端的登陆请求和IP地址,所述登陆请求包括账号和密码;ID号生成模块,用于验证所述账号、密码和IP地址是否合法,如果合法,则生成与所述终端对应的ID号,并将所述ID号发送到所述终端。
根据一种实施方式,所述ID号生成模块随机生成与该终端对应的ID号。
根据另一种实施方式,所述ID号生成模块通过以下步骤生成与该终端对应的ID号:
为所述终端生成编号N,对于不同的终端生成不同的编号;
为所述终端生成个位尾数W,所述个位尾数W为0到9之间的任意整数;
生成随机数R,所述随机数的取值范围为:1~(2z-1-N*10-W)/10(L+1),其中,所述z为所述ID号的字节长度,所述L为编号N的位数;
根据以下公式计算ID号:ID号=R*(L+1)+L*10+W。
优选的,该终端准入装置还可以包括:计时模块,用于在允许所述终端访问网络的情况下,记录所述终端对所述网络的访问时间,当所述访问时间大于预定阈值时,向所述ID号生成模块发送超时信息;所述ID号生成模块还用于在接收到所述超时信息时,生成与所述终端对应的ID号,并将所述ID号发送到所述终端。
优选的,所述验证模块还用于在所述ID号生成模块将所述ID号发送到所述终端后,等待所述终端的确认消息,在接收到所述终端的确认消息之后,存储所述ID号,并将ID号启动信息发送所述终端。
优选的,该终端准入装置还可以包括转发模块,用于在所述验证模块验证所述可选项字段中的ID号和IP地址为合法时,将所述终端的网络资源请求转发到网络,以及将网络数据从所述网络转发到所述终端。
为了防范网络监听的风险,终端与终端准入装置之间通信还可以采用加密传输。
根据本发明的终端准入装置串联部署在网络关口处,例如可以部署在交换机或防火墙之间,或者防火墙与终端主机之间等,只要能够部署在终端主机与网络之间必经的链路上即可。当终端请求通过终端准入装置访问网络时,该终端准入装置验证终端的网络请求的的IP数据包头部的可选项字段是否为空,如果为空则拒绝网络访问请求,如果不为空,则进一步验证该可选项字段中的ID号和IP地址是否合法,在合法的情况下,才允许终端访问网络。从而有效实现了终端对网络访问的安全控制,且网络兼容性好,不需要特定型号、特定品牌的交换机,也不需要交换机支持特定的网络协议,只需要终端主机下载安装客户端即可,实施简单,成本低。
安装有客户端的终端除了可以主动访问网络,还可以访问其他终端以及被其他终端访问。
本发明还提供了一种终端准入方法,用于限制一个终端访问另一个终端的访问权限,从而保证终端之间互相进行访问的安全性。
图3是根据本发明的终端准入方法的流程图。
参考图3-5,根据本发明的终端准入方法包括以下步骤:
a2)接收终端的终端访问请求;
b2)获取所述终端访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,
如果所述可选项字段为空,则拒绝所述终端访问请求;
如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,
如果合法,则允许所述终端访问,
如果不合法,则将所述可选项字段中的ID号和IP地址发送到终端准入装置,并接收所述终端准入装置的验证信息,
当所述终端准入装置的验证信息表示所述ID号和IP地址不合法时,则拒绝所述终端访问请求;
当所述终端准入装置的验证信息表示所述ID号和IP地址合法时,则允许所述终端访问。
其中,根据本发明的终端接收到另一个终端的终端访问请求时,检测到该终端访问请求的IP数据包头部的可选项字段是否为空,如果为空则拒绝该终端访问请求,如果不为空,则现在终端本地验证可选项字段中的ID号和IP地址是否为合法,如果合法,则允许另一终端的访问,如果在本地验证不合法,就将ID号和IP地址再发送到终端准入装置,由终端准入装置进行进一步验证。
一般的,使用该终端准入方法的终端需要安装有客户端。图4是根据本发明的未安装客户端的终端访问安装有客户端的终端的示意图。图5是根据本发明的安装有客户端的一个终端访问安装有客户端的另
参考图4,当未安装客户端的终端B访问安装有客户端的终端A时,终端A接收到终端访问请求后,检测到未安装客户端的终端B的访问请求的IP数据包头部的可选项字段为空,由此,拒绝终端B的请求,不允许终端B访问终端A。
参考图5,当安装有客户端的终端B访问安装有客户端的终端A时,终端A接收到终端访问请求后,检测到未安装客户端的终端B的访问请求的IP数据包头部的可选项字段不为空,先在本地验证可选项字段中的ID号和IP地址,将可选项字段中的ID号和IP地址与存储在终端A本地的ID号和IP地址进行比较,判断是否有匹配的ID号和IP地址,如果有,则终端B的访问请求的IP数据包头部的可选项字段中的ID号和IP地址合法,此时,允许终端B访问终端A。如果终端A本地没有匹配的ID号和IP地址,则将所述可选项字段中的ID号和IP地址发送到网络准入装置,由所述网络准入装置进行进一步的验证,当所述网络准入装置验证所述ID号和IP地址合法时,就发送验证信息通知终端A所述ID号和IP地址合法,终端A就允许终端B访问。当所述网络准入装置验证所述ID号和IP地址不合法时,就发送验证信息通知终端A所述ID号和IP地址不合法,终端A就拒绝终端B的终端访问请求,不允许终端B访问终端A。终端A和终端B等终端可以经由交换机与网络准入装置进行数据交换,交换机的使用对于本领域的技术人员来说是公知的,再次不再赘述。
优选的,所述步骤b2)还包括:在允许所述终端访问的情况下,存储所述终端的ID号和IP地址。
如图5所示,如果终端A本地没有匹配的ID号和IP地址,网络准入装置进行进一步验证所述ID号和IP地址合法时,在向终端A返回验证信息通知终端A所述ID号和IP地址合法的同时,还可以向终端A返回终端B的最新ID号,终端A可以存储终端B的新的ID号以及IP地址,以便之后终端B再次访问终端A时,可以在本地对终端B的访问请求进行验证。
相应的,本发明还提供了一种终端,其中,该终端包括:终端访问请求接收模块,用于接收另一个终端的终端访问请求;验证模块,用于获取所述终端访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,如果所述可选项字段为空,则拒绝所述终端访问请求;如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,如果合法,则允许所述另一个终端访问,如果不合法,则将所述可选项字段中的ID号和IP地址发送到终端准入装置,并接收所述终端准入装置的验证信息,当所述终端准入装置的验证信息表示所述ID号和IP地址不合法时,则拒绝所述终端访问请求;当所述终端准入装置的验证信息表示所述ID号和IP地址合法时,则允许所述另一个终端访问。
优选的,该终端还可以包括:存储模块,用于在所述验证模块允许所述另一个终端访问的情况下,存储所述终端的ID号和IP地址。

Claims (18)

1.一种网络准入方法,其中,包括以下步骤:
a1)接收终端的网络访问请求;
b1)获取所述网络访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,
如果所述可选项字段为空,则拒绝所述网络访问请求;
如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,如果合法,则允许该终端访问网络,如果不合法,则拒绝所述网络访问请求。
2.根据权利要求1所述的网络准入方法,其中,在所述步骤a1)之前,还包括以下步骤:
a11)接收所述终端的登陆请求和IP地址,所述登陆请求包括账号和密码;
a12)验证所述账号、密码和IP地址是否合法,如果合法,则生成与该终端对应的ID号,并将该ID号发送到所述终端。
3.根据权利要求2所述的网络准入方法,其中,随机生成与该终端对应的ID号。
4.根据权利要求2所述的网络准入方法,其中,通过以下步骤生成与该终端对应的ID号:
为所述终端生成编号N,对于不同的终端生成不同的编号;
为所述终端生成个位尾数W,所述个位尾数W为0到9之间的任意整数;
生成随机数R,所述随机数的取值范围为:1~(2z-1-N*10-W)/10(L+1),其中,所述z为所述ID号的字节长度,所述L为编号N的位数;
根据以下公式计算ID号:ID号=R*(L+1)+L*10+W。
5.根据权利要求2-4中任一项所述的网络准入方法,其中,
所述步骤b1)还包括,在允许所述终端访问网络的情况下,记录所述 终端对所述网络的访问时间,当所述访问时间大于预定阈值时,再次生成与该终端对应的ID号,并将该ID号发送到所述终端。
6.根据权利要求2所述的网络准入方法,其中,在将该ID号发送到所述终端后,还包括以下步骤:
等待所述终端的确认消息,在接收到所述终端的确认消息之后,存储所述ID号,并将ID号启动信息发送所述终端。
7.根据权利要求1所述的网络准入方法,其中,在所述步骤b1)中,在所述可选项字段中的ID号和IP地址验证为合法时,通过将所述终端的网络资源请求转发到网络,以及将网络数据从所述网络转发到所述终端,来允许该终端访问网络。
8.一种终端准入方法,其中,包括以下步骤:
a2)接收终端的终端访问请求;
b2)获取所述终端访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,
如果所述可选项字段为空,则拒绝所述终端访问请求;
如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,
如果合法,则允许所述终端访问,
如果不合法,则将所述可选项字段中的ID号和IP地址发送到网络准入装置,并接收所述网络准入装置的验证信息,
当所述网络准入装置的验证信息表示所述ID号和IP地址不合法时,则拒绝所述终端访问请求;
当所述网络准入装置的验证信息表示所述ID号和IP地址合法时,则允许所述终端访问。
9.根据权利要求8所述的终端准入方法,其中,
所述步骤b2)还包括:在允许所述终端访问的情况下,存储所述终端的ID号和IP地址。
10.一种网络准入装置,其中,终端准入装置包括:
网络访问请求接收模块,用于接收终端的网络访问请求;
验证模块,用于获取所述网络访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,
如果所述可选项字段为空,则拒绝所述网络访问请求;
如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,如果合法,则允许该终端访问网络,如果不合法,则拒绝所述网络访问请求。
11.根据权利要求10所述的网络准入装置,其中,该终端准入装置还包括:
登陆信息接收模块,用于接收所述终端的登陆请求和IP地址,所述登陆请求包括账号和密码;
ID号生成模块,用于验证所述账号、密码和IP地址是否合法,如果合法,则生成与所述终端对应的ID号,并将所述ID号发送到所述终端。
12.根据权利要求11所述的网络准入装置,其中,所述ID号生成模块随机生成与该终端对应的ID号。
13.根据权利要求11所述的网络准入装置,其中,所述ID号生成模块通过以下步骤生成与该终端对应的ID号:
为所述终端生成编号N,对于不同的终端生成不同的编号;
为所述终端生成个位尾数W,所述个位尾数W为0到9之间的任意整数;
生成随机数R,所述随机数的取值范围为:1~(2z-1-N*10-W)/10 (L+1),其中,所述z为所述ID号的字节长度,所述L为编号N的位数;
根据以下公式计算ID号:ID号=R*(L+1)+L*10+W。
14.根据权利要求11-13中任一项所述的网络准入装置,其中,该终端准入装置还包括计时模块,用于在允许所述终端访问网络的情况下, 记录所述终端对所述网络的访问时间,当所述访问时间大于预定阈值时,向所述ID号生成模块发送超时信息;
所述ID号生成模块还用于在接收到所述超时信息时,生成与所述终端对应的ID号,并将所述ID号发送到所述终端。
15.根据权利要求11所述的网络准入装置,其中,所述验证模块还用于在所述ID号生成模块将所述ID号发送到所述终端后,等待所述终端的确认消息,在接收到所述终端的确认消息之后,存储所述ID号,并将ID号启动信息发送所述终端。
16.根据权利要求10所述的网络准入装置,其中,该终端准入装置还包括:
转发模块,用于在所述验证模块验证所述可选项字段中的ID号和IP地址为合法时,将所述终端的网络资源请求转发到网络,以及将网络数据从所述网络转发到所述终端。
17.一种终端,其中,该终端包括:
终端访问请求接收模块,用于接收另一个终端的终端访问请求;
验证模块,用于获取所述终端访问请求的IP数据包头部的可选项字段,判断所述可选项字段是否为空,
如果所述可选项字段为空,则拒绝所述终端访问请求;
如果所述可选项字段不为空,则验证所述可选项字段中的ID号和IP地址是否合法,
如果合法,则允许所述另一个终端访问,
如果不合法,则将所述可选项字段中的ID号和IP地址发送到终端准入装置,并接收所述终端准入装置的验证信息,
当所述终端准入装置的验证信息表示所述ID号和IP地址不合法时,则拒绝所述终端访问请求;
当所述终端准入装置的验证信息表示所述ID号和IP地址合法时,则允许所述另一个终端访问。
18.根据权利要求17所述的终端,其中,该终端还包括:
存储模块,用于在所述验证模块允许所述另一个终端访问的情况下,存储所述终端的ID号和IP地址。
CN201310741881.8A 2013-12-27 2013-12-27 网络准入方法、终端准入方法、网络准入装置和终端 Active CN103812859B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310741881.8A CN103812859B (zh) 2013-12-27 2013-12-27 网络准入方法、终端准入方法、网络准入装置和终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310741881.8A CN103812859B (zh) 2013-12-27 2013-12-27 网络准入方法、终端准入方法、网络准入装置和终端

Publications (2)

Publication Number Publication Date
CN103812859A CN103812859A (zh) 2014-05-21
CN103812859B true CN103812859B (zh) 2017-05-03

Family

ID=50709060

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310741881.8A Active CN103812859B (zh) 2013-12-27 2013-12-27 网络准入方法、终端准入方法、网络准入装置和终端

Country Status (1)

Country Link
CN (1) CN103812859B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108600214A (zh) * 2018-04-19 2018-09-28 深圳市联软科技股份有限公司 一种基于nat的网络准入方法和***
CN110768972B (zh) * 2019-10-17 2022-02-18 中国联合网络通信集团有限公司 一种安全验证方法和路由器
CN112735116A (zh) * 2020-12-17 2021-04-30 苏州牧星智能科技有限公司 基于红外通信的agv调度***及调度方法
CN114329602B (zh) * 2021-12-30 2024-06-25 奇安信科技集团股份有限公司 一种访问控制方法、服务器、电子设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101163000A (zh) * 2006-10-13 2008-04-16 中兴通讯股份有限公司 一种二次认证方法及***
CN101977189A (zh) * 2010-10-22 2011-02-16 青海师范大学 Mpls网络的可信认证及安全接入控制方法
CN102571892A (zh) * 2010-12-30 2012-07-11 腾讯科技(深圳)有限公司 基于浏览器的数据通讯方法、客户端和数据交互***

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101163000A (zh) * 2006-10-13 2008-04-16 中兴通讯股份有限公司 一种二次认证方法及***
CN101977189A (zh) * 2010-10-22 2011-02-16 青海师范大学 Mpls网络的可信认证及安全接入控制方法
CN102571892A (zh) * 2010-12-30 2012-07-11 腾讯科技(深圳)有限公司 基于浏览器的数据通讯方法、客户端和数据交互***

Also Published As

Publication number Publication date
CN103812859A (zh) 2014-05-21

Similar Documents

Publication Publication Date Title
CN105491001B (zh) 一种安全通讯方法和装置
US8990573B2 (en) System and method for using variable security tag location in network communications
KR101369727B1 (ko) 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
CN107104872B (zh) 接入控制方法、装置及***
US11451959B2 (en) Authenticating client devices in a wireless communication network with client-specific pre-shared keys
CN104144163B (zh) 身份验证方法、装置及***
CN104580553B (zh) 网络地址转换设备的识别方法和装置
US7861076B2 (en) Using authentication server accounting to create a common security database
CN101399726B (zh) 一种对无线局域网终端认证的方法
CN106034104A (zh) 用于网络应用访问的验证方法、装置和***
CN109862043A (zh) 一种终端认证的方法及装置
CN103812859B (zh) 网络准入方法、终端准入方法、网络准入装置和终端
CN108881308A (zh) 一种用户终端及其认证方法、***、介质
CN109167780B (zh) 一种控制资源访问的方法、设备、***和介质
CN106060072B (zh) 认证方法以及装置
CN113179280B (zh) 基于恶意代码外联行为的欺骗防御方法及装置、电子设备
CN110557358A (zh) 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置
CN101902482A (zh) 基于IPv6自动配置实现终端安全准入控制的方法和***
CN106713057A (zh) 用于进行隧道检测的方法、装置及***
CN108156092A (zh) 报文传输控制方法和装置
CN101808097B (zh) 一种防arp攻击方法和设备
CN106911681A (zh) 上网认证方法及装置
CN107135506B (zh) 一种portal认证方法、装置及***
CN103051598B (zh) 安全接入互联网业务的方法、用户设备和分组接入网关
CN111935123A (zh) 一种检测dns欺骗攻击的方法、设备、存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C53 Correction of patent for invention or patent application
CB02 Change of applicant information

Address after: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant after: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant after: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant after: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Address before: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant before: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant before: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant before: Beijing heaven melts letter Science Technologies Co., Ltd.

C53 Correction of patent for invention or patent application
CB02 Change of applicant information

Address after: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant after: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant after: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant after: Beijing heaven melts letter Science Technologies Co., Ltd.

Address before: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant before: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant before: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant before: BEIJING TOPSEC TECHNOLOGY CO., LTD.

CB02 Change of applicant information

Address after: 100085, room 306, north 3, building seven, 3 East Road, Haidian District, Beijing

Applicant after: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant after: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant after: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Address before: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant before: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant before: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant before: Beijing heaven melts letter Science Technologies Co., Ltd.

COR Change of bibliographic data
CB02 Change of applicant information

Address after: 100085 Beijing East Road, No. 1, building No. 306, building on the north side of the floor, room 3, room 3

Applicant after: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant after: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant after: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Address before: 100085, room 306, north 3, building seven, 3 East Road, Haidian District, Beijing

Applicant before: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant before: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant before: BEIJING TOPSEC TECHNOLOGY CO., LTD.

COR Change of bibliographic data
CB02 Change of applicant information

Address after: 100085 Beijing East Road, No. 1, building No. 306, building on the north side of the floor, room 3, room 3

Applicant after: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant after: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant after: Beijing heaven melts letter Science Technologies Co., Ltd.

Address before: 100085 Beijing East Road, No. 1, building No. 306, building on the north side of the floor, room 3, room 3

Applicant before: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant before: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant before: BEIJING TOPSEC TECHNOLOGY CO., LTD.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant