[发明专利]一种终端接入安全认证方法

说明书

技术领域

本发明涉及核心网接入安全控制技术领域，具体涉及一种终端接入安全认证方法。

背景技术

在核心网络中，接入的终端众多，种类纷繁，且部分终端需要连接核心网络的中心服务器并访问较为机密的数据，而终端的防护能力较弱，容易被一些不法分子控制，以窃取机密数据，造成核心网络接入的安全问题。为了提高终端安全接入控制，需要主动防御，从源头消除漏洞和威胁，保证终端合规，受控，确保核心网络的数据访问安全。

发明内容

解决上述技术问题，本发明提供了一种终端接入安全认证方法，以网络身份识别为基础，以准入控制为手段，以桌面管理为补充，构建一体化的核心网安全接入方法。

为了达到上述目的，本发明所采用的技术方案是，一种终端接入安全认证方法，在核心网络内设置一网络准入设备，并配合设置一准入服务器，包括以下步骤：

用户终端接入网络，终端代理与网络准入设备建立通信，

网络准入设备与准入服务器对终端用户身份合法性进行认证，

终端用户认证通过后，准入服务器告知网络准入设备，并实现对认证后合法终端用户的访问控制，

网络准入设备将控制结果通知用户终端，

终端代理与准入服务器交互终端系统安全状态信息，对用户终端进行安全检查，

若用户终端不安全，终端代理启动系统修复升级工作，与相关服务器交互，完成用户终端的系统安全性修复。

进一步的，所述终端代理与网络准入设备通过EAP交互账号和密码信息。

进一步的，所述网络准入设备与准入服务器通过RADIUS协议，对终端用户身份合法性进行认证。

进一步的，网络准入设备通过EAP Success消息通知用户终端。

本发明通过采用上述技术方案，与现有技术相比，具有如下优点：本发明的终端在身份认真和安全检查通过前能够访问的网络资源，且终端在通过身份认证但没有通过安全检查时被隔离，并能够进行安全修复操作。

附图说明

图1是本发明的实施例的流程图。

具体实施方式

现结合附图和具体实施方式对本发明进一步说明。

作为一个具体的实施例，如图1所示，本发明的一种终端接入安全认证方法，在核心网络内设置一网络准入设备，并配合设置一准入服务器，包括以下步骤：

用户终端接入网络，终端代理与网络准入设备建立通信，所述终端代理与网络准入设备通过EAP交互账号和密码信息。

网络准入设备与准入服务器对终端用户身份合法性进行认证，所述网络准入设备与准入服务器通过RADIUS协议，对终端用户身份合法性进行认证。

终端用户认证通过后，准入服务器告知网络准入设备，并实现对认证后合法终端用户的访问控制，

网络准入设备将控制结果通知用户终端，网络准入设备通过EAP Success消息通知用户终端。

终端代理与准入服务器交互终端系统安全状态信息，对用户终端进行安全检查，

若用户终端不安全，终端代理启动系统修复升级工作，与相关服务器交互，完成用户终端的系统安全性修复。

本实施例通过安全区域划分，划分为认证前域，隔离域和认证后域，确保终端行为安全受控，在认证前域：终端在身份认证和安全检查通过前能够访问的网络资源，包括DHCP服务器、系统服务器等。在隔离域：终端通过身份认证后，在没有通过安全检查时处于被隔离状态，此时仅能够进行安全修复操作，包括防病毒软件病毒库升级服务，补丁服务器访问等。认证后域，终端在通过身份认证和安全检查后能够访问的网络资源，可以根据工作相关性和最小授权原则，将不同的终端用户受访问相应的网络资源，有效防止非法访问和越权访问。

本实施例中，终端代理与准入服务器交互终端系统安全状态信息，对用户终端进行安全检查，包括以下步骤：

对入网终端的安全性，例如杀毒软件安装，补丁更新，密码强度，屏保等进行扫描，在接入网络前后完成终端安全状态的检查，

对终端不安全状态能够与控制设备进行联动，当发现不安全终端接入网络的时候，能够对这些终端进行一定程度的阻断，防止这些不安全终端对网络的接入和危害，并且能够主动帮助这些终端完成安全状态的自我修复，

对于未及时修复的不安全终端，能够对其进行权限限制，避免接入网络，引发网络安全问题。

尽管结合优选实施方案具体展示和介绍了本发明，但所属领域的技术人员应该明白，在不脱离所附权利要求书所限定的本发明的精神和范围内，在形式上和细节上可以对本发明做出各种变化，均为本发明的保护范围。