[发明专利]一种网络接入控制方法和系统

说明书

技术领域

本发明涉及一种网络接入控制(NAC，Net Access Control)技术，尤其涉及一种网络接入控制方法和系统。

背景技术

网络接入控制技术在现代网络安全领域起着越来越重要的作用。下面简单介绍现有技术中的网络接入控制方法：基于802.1x协议(其全称为基于端口的访问控制协议)实现网络接入控制的方法，该方法基于端口的控制来控制终端的网络接入，简称基于802.1X协议接入控制方法。

802.1x协议是标准化的一个符合IEEE 802协议集的局域网接入控制协议。它能够在利用IEEE 802局域网提供一种对连接到局域网的用户进行认证和授权的手段，以接受合法用户的接入，从而达到保护网络安全的目的。

在基于802.1X协议接入控制方法中，终端如果期望成功接入网络，终端必须定制并且安装802.1x客户端程序。该802.1x客户端程序可实现基于端口的MAC(介质接入控制，Media Access Control)地址锁定功能，即，只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的终端的数据流会被自动丢弃，从而确保最大限度的安全性。

基于802.1X协议接入控制方法的执行过程为：当终端接入网络时，系统会提示终端进行认证，终端通过定制的客户端软件输入已经登记的终端信息，该终端信息包括申请到的用户名和口令，同时发起连接请求。交换机接受到请求后，将要求客户端程序向交换机提交终端信息。客户端程序响应交换机请求，将终端信息发送给交换机。交换机将终端信息转发给认证服务器进行处理。认证服务器收到交换机转发的终端信息后，与数据库中的信息相比对，判断终端是否合法，即，若查找到对应的终端信息后，则认为该终端是合法的，向交换机发送认证通过的消息，交换机收到信息后，打开终端对应的端口，允许终端通过端口访问网络；否则，即没有查找到对应的终端信息后，则认为该终端是非法的，则向交换机发送认证失败消息，交换机收到认证失败的消息后，就会将该端口设置为关闭状态，不允许数据通过。

对于基于802.1X协议接入控制方法，由于需要在用户的终端中安装客户端软件，而该软件往往不支持使用linux、Mac等操作系统的终端，因而其兼容性差，从而导致该接入控制方法无法适用使用linux、Mac等操作系统的终端，使使用linux、Mac等操作系统的终端在基于该接入控制方法的控制下无法接入网络。另外，没有安装客户端软件的电脑在这种接入控制方法的控制下也无法接入网络，从而使得该接入控制方法使用受限。如果不使用基于802.1X协议接入控制方法，即，客户端电脑接上网线就可以进入网络，又存在安全性差的问题。

发明内容

本发明的实施例提供了一种网络接入控制方法和系统，可解决现有技术的网络接入控制方法中因需要定制和安装客户端软件而引起的使用受限的问题。

本发明提供了一种网络接入控制方法，包括：终端通过交换机的端口请求接入网络，交换机生成启用日志，所述启用日志包括交换机标识、交换机端口标识、端口状态，所述端口状态包括启用和停用；交换机向第一服务器发送启用日志；第二服务器通过第一服务器获得启用日志，若端口状态为启用，则第二服务器通过交换机标识、交换机端口标识到交换机上获得接入的终端的地址信息，所述地址信息包括终端的介质接入控制地址；第二服务器根据介质接入控制地址控制该终端的网络接入。

本发明还提供了一种网络接入控制系统，包括终端、交换机、第一服务器、第二服务器；所述终端，用于通过交换机的端口请求接入网络；所述交换机，用于生成启用日志，并向第一服务器发送启用日志；所述启用日志包括交换机标识、交换机端口标识、端口状态，所述端口状态包括启用和停用；第一服务器，用于接收交换机发送的启用日志；第二服务器，其包括：第一获取单元，用于通过第一服务器获取启用日志；第一判断单元，用于判断端口状态是否为启用，若是，则启动第二获取单元；第二获取单元，用于通过交换机标识、交换机端口标识到交换机上获取接入的终端的地址信息，并启动控制单元，所述地址信息包括终端的介质接入控制地址；控制单元，用于根据介质接入控制地址控制该终端的网络接入。

根据本发明，由于在用户终端上不需要安装任何软件，从而使得本发明的网络接入控制方法可适合使用任何操作系统的终端，因此，本发明的网络接入控制可使这些终端经过安全认证后正常接入网络。

附图说明

图1示出了本发明实施例一的网络接入控制方法；

图2示出了本发明实施例二的网络接入控制系统；

图3示出了本发明实施例二的网络接入控制系统的第二服务器。