CN107819791A - 访客接入网络的认证方法、认证服务器和*** - Google Patents

访客接入网络的认证方法、认证服务器和*** Download PDF

Info

Publication number
CN107819791A
CN107819791A CN201711306513.5A CN201711306513A CN107819791A CN 107819791 A CN107819791 A CN 107819791A CN 201711306513 A CN201711306513 A CN 201711306513A CN 107819791 A CN107819791 A CN 107819791A
Authority
CN
China
Prior art keywords
visitor
network
certificate server
behavior
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711306513.5A
Other languages
English (en)
Inventor
陈睿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Maipu Communication Technology Co Ltd
Original Assignee
Maipu Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Maipu Communication Technology Co Ltd filed Critical Maipu Communication Technology Co Ltd
Priority to CN201711306513.5A priority Critical patent/CN107819791A/zh
Publication of CN107819791A publication Critical patent/CN107819791A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请公开了一种访客接入网络的方法、认证服务器和***,涉及通信领域,一种访客接入网络的方法,包括:认证服务器从接入服务器NAS接收来自访客的认证请求;所述认证服务器从行为审计服务器获取所述访客的行为级别,所述行为级别用于指示根据所述访客历史网络访问行为确定的安全级别;所述认证服务器根据所述行为级别和认证策略确定是否允许所述访客接入网络。本申请实施例用于访客接入认证。

Description

访客接入网络的认证方法、认证服务器和***
技术领域
本发明涉及通信领域,尤其涉及一种访客接入网络的认证方法、认证服务器和***。
背景技术
随着计算机及互联网技术的飞速发展,政府、银行、企业等单位都部署有无线或有线网络供员工和访客使用。出于安全性等因素考虑,上述无线网络均不是完全开放式网络,都需要进行认证授权后方可上网。目前接入认证授权方式主要有两种,一种是企业级802.1x的加密认证,另一种是半开放式的Portal认证。根据公安部对于网络信息安全的要求,对于上述任何方式进行接入认证上网的用户上网行为均需要进行记录和审计。
整个通信***包括接入终端、网络接入服务器(Network Access Server,NAS)、认证服务器和行为审计服务器。接入终端通过NAS向认证服务器发起Radius认证请求,认证服务器根据认证策略进行认证,行为审计服务器用于对用户上网行为进行记录及审计。目前,认证服务器中的认证策略均为事先配置,属于静态策略,对于认证通过的用户后续进行非法的网络行为无法进行约束和制止。
发明内容
本申请的实施例提供一种访客接入网络的认证方法、认证服务器和***,用于实现动态允许访客接入网络。
为达到上述目的,本申请的实施例采用如下技术方案:
第一方面,提供了一种访客接入网络的认证方法,该方法包括:
认证服务器从接入服务器NAS接收来自访客的认证请求;
所述认证服务器从行为审计服务器获取所述访客的行为级别,所述行为级别用于指示根据所述访客历史网络访问行为确定的安全级别;
所述认证服务器根据所述行为级别和认证策略确定是否允许所述访客接入网络。
第二方面,提供了一种认证服务器,包括:
接收单元,用于从接入服务器NAS接收来自访客的认证请求;
获取单元,用于从行为审计服务器获取所述访客的行为级别,所述行为级别用于指示根据所述访客历史网络访问行为确定的安全级别;
认证单元,用于根据所述行为级别和认证策略确定是否允许所述访客接入网络。
第三方面,提供了一种实名审计***,其特征在于,包括接入服务器NAS、行为审计服务器以及如第二方面所述的认证服务器。
第四方面,提供了一种存储一个或多个程序的计算机可读存储介质,其特征在于,所述一个或多个程序包括指令,所述指令当被计算机执行时使所述计算机执行如第一方面所述的方法。
本申请的实施例提供的访客接入网络的认证方法、认证服务器和***,通过将行为审计服务器对访客的审计结果加以利用,根据访客网络行为的合法性级别,动态地对其网络接入和访问权限进行调整,以允许或拒绝其访问网络,相对于现有的解决方案具有以下有益效果。可以根据访客的历史动态行为对其网络访问权限进行限制,安全性更高;由于整个认证流程无大的变化,可以有效的兼容原有的认证流程,即无行为审计服务器,该流程仍然有效,兼容性强。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本申请的实施例提供的实名审计***的示意图;
图2为本申请的实施例提供的访客接入网络的认证方法的流程示意图;
图3为本申请的实施例提供的认证服务器的结构示意图。
具体实施方式
下面结合附图,对本申请的实施例进行描述。
本申请的实施例提供了一种实名审计***,参照图1中所示,包括:网络接入服务器(Network Access Server,NAS)11、认证服务器12、行为审计服务器13。接入终端14通过NAS 11向认证服务器12发起Radius认证请求,认证服务器12根据认证策略进行认证,行为审计服务器13用于对用户上网行为进行记录及审计。
接入终端14可以包括需要接入网络的个人电脑(Personal Computer,PC)、笔记本、手机等。NAS 11负责完成访客终端的接入。认证服务器12实现与NAS设备11的交互完成认证授权,并与行为审计服务器13交互获取访客的行为级别。行为审计服务器13用于对访客的上网行为进行记录和审计。
本申请的实施例提供了一种访客接入网络的认证方法,参照图2中所示,该方法包括:
S101、访客的接入终端连接无线保真(Wireless-Fidelity,WIFI)或有线网络。
S102、访客向接入终端输入该访客的账号及密码,接入终端向NAS发起认证请求。
该认证请求中包括访客的账号及密码,用于区分具体访客。
S103、NAS向认证服务器发起Radius认证请求。
S104、认证服务器从NAS接收来自访客的认证请求后,从行为审计服务器获取该访客的行为级别。
行为审计服务器存储了各个客户的历史访问网络的用户行为,有的行为可能是非法有的行为可能是合法,并且合法的程度可能不同,因此可以通过行为级别指示根据该访客的历史网络访问行为确定的安全级别。例如将安全级别分为5级,1级为合法,5级为非法。
S105、认证服务器根据行为级别和认证策略确定是否允许访客接入网络。
认证策略用于指示允许访问网络的访客的行为级别;和/或认证策略用于指示禁止访问网络的访客的行为级别。
例如,认证策略配置为可以允许行为级别为1-3级的访客接入网络,而禁止行为级别为4-5级的访客接入网络。
S106、如果不允许访客接入网络,则认证服务器通过NAS向接入终端返回认证失败。
S107、如果允许访客接入网络,则认证服务器根据认证策略进行后续认证过程。
如果认证成功,则向NAS返回认证成功,NAS设备开通访客的接入终端的网络访问权限,并向访客的接入终端返回认证成功。如果认证失败,则认证服务器通过NAS向接入终端返回认证失败。
S108、如果允许访客接入网络并且认证成功,则访客的接入终端开始访问网络。
S109、行为审计服务器对访客的上网行为进行记录和审计。
本申请的技术方案通过将行为审计服务器对访客的审计结果加以利用,根据访客网络行为的合法性级别,动态地对其网络接入和访问权限进行调整,以允许或拒绝其访问网络,相对于现有的解决方案具有以下有益效果。可以根据访客的历史动态行为对其网络访问权限进行限制,安全性更高;由于整个认证流程无大的变化,可以有效的兼容原有的认证流程,即无行为审计服务器,该流程仍然有效,兼容性强。
本申请实施例提供了一种认证服务器,应用于上述方法和***,参照图3中所示,该服务器12包括:
接收单元1201,用于从NAS接收来自访客的认证请求;
获取单元1202,用于从行为审计服务器获取所述访客的行为级别,所述行为级别用于指示根据所述访客历史网络访问行为的安全级别;
认证单元1203,用于根据所述行为级别和认证策略确定是否允许所述访客接入网络。
在一种可能的实施方式中,认证单元1203,还用于如果允许访客接入网络,则所述认证服务器根据认证策略进行后续认证过程。
在一种可能的实施方式中,认证服务器12还包括发送单元,用于如果不允许访客接入网络,则通过所述NAS返回认证失败。
在一种可能的实施方式中,认证服务器12还包括配置单元,用于配置认证策略,认证策略用于指示允许访问网络的访客的行为级别和/或用于指示禁止访问网络的访客的行为级别。
由于本申请实施例中的服务器可以应用于上述方法,因此,其所能获得的技术效果也可参考上述方法实施例,本申请实施例在此不再赘述。
需要说明的是,获取单元、认证单元可以为单独设立的处理器,也可以集成在控制器的某一个处理器中实现,此外,也可以以程序代码的形式存储于控制器的存储器中,由控制器的某一个处理器调用并执行以上各单元的功能。这里所述的处理器可以是一个中央处理器(Central Processing Unit,CPU),或者是特定集成电路(Application SpecificIntegrated Circuit,ASIC),或者是被配置成实施本申请实施例的一个或多个集成电路。
本申请实施例还提供一种存储一个或多个程序的计算机存储介质,一个或多个程序包括指令,该指令当被计算机执行时,使计算机执行图2中的相关方法。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital Subscriber Line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种访客接入网络的认证方法,其特征在于,包括:
认证服务器从接入服务器NAS接收来自访客的认证请求;
所述认证服务器从行为审计服务器获取所述访客的行为级别,所述行为级别用于指示根据所述访客历史网络访问行为确定的安全级别;
所述认证服务器根据所述行为级别和认证策略确定是否允许所述访客接入网络。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果允许访客接入网络,则所述认证服务器根据认证策略进行后续认证过程。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果不允许访客接入网络,则所述认证服务器通过所述NAS返回认证失败。
4.根据权利要求1-3所述的方法,其特征在于,所述认证策略用于指示允许访问网络的访客的行为级别;和/或
所述认证策略用于指示禁止访问网络的访客的行为级别。
5.一种认证服务器,其特征在于,包括:
接收单元,用于从接入服务器NAS接收来自访客的认证请求;
获取单元,用于从行为审计服务器获取所述访客的行为级别,所述行为级别用于指示根据所述访客历史网络访问行为确定的安全级别;
认证单元,用于根据所述行为级别和认证策略确定是否允许所述访客接入网络。
6.根据权利要求5所述的认证服务器,其特征在于,
所述认证单元,还用于如果允许访客接入网络,则所述认证服务器根据认证策略进行后续认证过程。
7.根据权利要求5所述的认证服务器,其特征在于,所述认证服务器还包括:
发送单元,用于如果不允许访客接入网络,则通过所述NAS返回认证失败。
8.根据权利要求5-7任一项所述的认证服务器,其特征在于,所述认证服务器还包括:
配置单元,用于配置所述认证策略,所述认证策略用于指示允许访问网络的访客的行为级别和/或用于指示禁止访问网络的访客的行为级别。
9.一种实名审计***,其特征在于,包括接入服务器NAS、行为审计服务器以及如权利要求5-8任一项所述的认证服务器。
10.一种存储一个或多个程序的计算机可读存储介质,其特征在于,所述一个或多个程序包括指令,所述指令当被计算机执行时使所述计算机执行如权利要求1至4任一项所述的方法。
CN201711306513.5A 2017-12-11 2017-12-11 访客接入网络的认证方法、认证服务器和*** Pending CN107819791A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711306513.5A CN107819791A (zh) 2017-12-11 2017-12-11 访客接入网络的认证方法、认证服务器和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711306513.5A CN107819791A (zh) 2017-12-11 2017-12-11 访客接入网络的认证方法、认证服务器和***

Publications (1)

Publication Number Publication Date
CN107819791A true CN107819791A (zh) 2018-03-20

Family

ID=61605152

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711306513.5A Pending CN107819791A (zh) 2017-12-11 2017-12-11 访客接入网络的认证方法、认证服务器和***

Country Status (1)

Country Link
CN (1) CN107819791A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110351719A (zh) * 2019-07-16 2019-10-18 深圳市信锐网科技术有限公司 一种无线网络管理方法、***及电子设备和存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101764788A (zh) * 2008-12-23 2010-06-30 迈普通信技术股份有限公司 基于扩展802.1x认证***的安全接入方法
CN102088754A (zh) * 2010-12-06 2011-06-08 中国人民解放军信息工程大学 一种基于网络访问行为的无线局域网接入控制方法及***
CN102395212A (zh) * 2011-11-18 2012-03-28 百度在线网络技术(北京)有限公司 网关接入控制方法、***及装置
CN102437946A (zh) * 2010-09-29 2012-05-02 杭州华三通信技术有限公司 一种接入控制的方法、nas设备及认证服务器
CN104506480A (zh) * 2014-06-27 2015-04-08 深圳市永达电子股份有限公司 基于标记与审计结合的跨域访问控制方法及***
US20150113614A1 (en) * 2013-10-18 2015-04-23 Sehrope Sarkuni Client based systems and methods for providing users with access to multiple data bases
CN106507383A (zh) * 2016-11-16 2017-03-15 迈普通信技术股份有限公司 实名审计方法、设备和***
CN107124424A (zh) * 2017-05-22 2017-09-01 迈普通信技术股份有限公司 实名审计方法、设备和***

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101764788A (zh) * 2008-12-23 2010-06-30 迈普通信技术股份有限公司 基于扩展802.1x认证***的安全接入方法
CN102437946A (zh) * 2010-09-29 2012-05-02 杭州华三通信技术有限公司 一种接入控制的方法、nas设备及认证服务器
CN102088754A (zh) * 2010-12-06 2011-06-08 中国人民解放军信息工程大学 一种基于网络访问行为的无线局域网接入控制方法及***
CN102395212A (zh) * 2011-11-18 2012-03-28 百度在线网络技术(北京)有限公司 网关接入控制方法、***及装置
US20150113614A1 (en) * 2013-10-18 2015-04-23 Sehrope Sarkuni Client based systems and methods for providing users with access to multiple data bases
CN104506480A (zh) * 2014-06-27 2015-04-08 深圳市永达电子股份有限公司 基于标记与审计结合的跨域访问控制方法及***
CN106507383A (zh) * 2016-11-16 2017-03-15 迈普通信技术股份有限公司 实名审计方法、设备和***
CN107124424A (zh) * 2017-05-22 2017-09-01 迈普通信技术股份有限公司 实名审计方法、设备和***

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110351719A (zh) * 2019-07-16 2019-10-18 深圳市信锐网科技术有限公司 一种无线网络管理方法、***及电子设备和存储介质

Similar Documents

Publication Publication Date Title
CN105379223B (zh) 管理对企业资源的访问的方法和装置
CN105378744B (zh) 在企业***中的用户和设备认证
CN106605232B (zh) 利用策略保持数据保护
CN103944890B (zh) 基于客户端/服务器模式的虚拟交互***及方法
CN106797371B (zh) 用于用户认证的方法和***
Josang et al. Usability and privacy in identity management architectures
CN106471783B (zh) 经由网关的企业***认证和授权
US8209394B2 (en) Device-specific identity
EP2481185B1 (en) Multi-identity access control tunnel relay object
CN105164633B (zh) 由可信提供商进行的配置和验证
US11855978B2 (en) Sharing credentials
JP2022508899A (ja) 個別化されたネットワークサービスのためのコンテナビルダ
US20090187962A1 (en) Methods, devices, and computer program products for policy-driven adaptive multi-factor authentication
CN104685511B (zh) 策略管理***、id提供者***以及策略评价装置
AU2023223007A1 (en) Secure online access control to prevent identification information misuse
CN102281286A (zh) 用于分布式混合企业的灵活端点顺从和强认证
EP3090525A2 (en) System and method for biometric protocol standards
WO2009148746A2 (en) Trusted device-specific authentication
CN102523089B (zh) 用于批处理***的第二凭证
CN101827101A (zh) 基于可信隔离运行环境的信息资产保护方法
CN106209751B (zh) 基于操作***授权证书的面向服务的接口认证方法
CN107819791A (zh) 访客接入网络的认证方法、认证服务器和***
CN110457913A (zh) 数据存储和访问方法及***
KR101221728B1 (ko) 그래픽 otp 인증을 위한 인증처리서버 및 그 방법
CN109359450A (zh) Linux***的安全访问方法、装置、设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20180320

RJ01 Rejection of invention patent application after publication