本发明公开了一种访问网络权限的控制方法、系统及客户端,在公网用户访问网络时,位于内网的VPN服务器接收公网用户的客户端发送的上线请求,对客户端进行VPN认证;在VPN认证成功后,VPN服务器接收并转发客户端发送的访问公网或内网的请求;连接公网和内网的网关可以丢弃VPN服务器转发的访问公网的请求。在内网用户访问网络时,内网的认证服务器接收内网用户的客户端发送的上线请求,对客户端进行上线认证;在认证成功后,连接公网和内网的网关丢弃客户端发送的访问公网的请求。通过本发明提供的方法使得用户只能在有限的内网中通信,有效地降低了用户可任意访问公网资源而泄露机密信息到公网的可能性。
1.一种访问网络权限的控制方法,其特征在于,包括:
位于内网的访问控制列表ACL认证服务器接收公网用户的客户端根据预先设置的过滤规则发送的ACL认证请求,所述过滤规则定义所述客户端只允许访问所述ACL认证服务器;
所述ACL认证服务器对所述客户端发送的ACL认证请求中的虚拟专用网络VPN用户标识进行认证;
在ACL认证成功后,所述ACL认证服务器向所述客户端发送位于内网的虚拟专用网络VPN服务器公网IP地址;
所述VPN服务器接收公网用户的客户端根据所述VPN服务器公网IP地址修改的过滤规则发送的上线请求后,对所述客户端进行VPN认证;所述修改的过滤规则为只允许访问所述ACL认证服务器和所述VPN服务器;
在VPN认证成功后,所述VPN服务器接收并转发所述客户端发送的访问公网或内网的请求;
连接公网和内网的网关丢弃所述VPN服务器转发的访问公网的请求。
2.一种访问网络权限的控制系统,其特征在于,包括:
访问控制列表ACL认证服务器,用于接收公网用户的客户端根据上线前预先设置的过滤规则发送的ACL认证请求,所述过滤规则定义所述客户端只允许访问所述ACL认证服务器;对所述客户端发送的ACL认证请求中的虚拟专用网络VPN用户标识进行认证;并在ACL认证成功后,向所述客户端发送位于内网的VPN服务器公网IP地址;
虚拟专用网络VPN服务器,用于接收公网用户的客户端根据所述VPN服务器公网IP地址修改的过滤规则发送的上线请求后,对所述客户端进行VPN认证;所述修改的过滤规则为只允许访问所述ACL认证服务器和所述VPN服务器;在VPN认证成功后,接收并转发所述公网用户的客户端发送的访问公网或内网的请求;
连接公网和内网的网关,用于丢弃所述VPN服务器转发的访问公网的请求。
3.一种访问网络权限的控制方法,其特征在于,包括:
公网用户的客户端根据上线前预先设置的过滤规则,向位于内网的访问控制列表ACL认证服务器发送ACL认证请求;所述过滤规则定义所述客户端只允许访问所述ACL认证服务器;
在ACL认证成功后,所述客户端接收ACL认证服务器发送的位于内网的虚拟专用网络VPN服务器的公网IP地址;
所述客户端根据接收到的VPN服务器的公网IP地址,修改预先设置的过滤规则为只允许访问所述ACL认证服务器和所述VPN服务器;
所述客户端根据修改后的过滤规则,向所述VPN服务器发送上线请求。
认证请求发送单元,用于根据上线前预先设置的过滤规则向位于内网的访问控制列表ACL认证服务器发送ACL认证请求;所述过滤规则定义所述客户端只允许访问所述ACL认证服务器;
地址接收单元,用于在ACL认证成功后,接收ACL认证服务器发送的位于内网的虚拟专用网络VPN服务器的公网IP地址;
过滤规则修改单元,用于根据接收到的VPN服务器的公网IP地址,修改预先设置的过滤规则为只允许访问所述ACL认证服务器和所述VPN服务器;
上线请求发送单元,用于根据修改后的过滤规则,向所述VPN服务器发送上线请求。
6.如权利要求5所述的客户端,其特征在于,还包括:
下线通知发送单元,用于向所述VPN服务器发送下线通知;
所述过滤规则修改单元,还用于在下线后,将修改后的过滤规则恢复为预先设置的过滤规则。
7.一种访问网络权限的控制方法,其特征在于,包括:
内网的远程用户拨号认证系统RADIUS服务器接收内网用户的客户端发送的802.1x认证请求后,对所述802.1x认证请求中包括的用户信息进行802.1x认证;
在802.1x认证成功后,所述RADIUS服务器向所述客户端发送预先存储的访问控制列表ACL认证服务器内网IP地址,向所述ACL认证服务器发送所述用户信息;并通知内网内的交换机打开连接客户端的端口;
内网的所述ACL认证服务器接收所述客户端根据所述ACL认证服务器内网IP地址设置的过滤规则发送的携带用户信息的ACL认证请求,并根据所述RADIUS服务器发送的用户信息,对所述ACL认证请求中携带的用户信息进行ACL认证,所述过滤规则为只允许访问ACL认证服务器;
在ACL认证成功后,所述ACL认证服务器向所述客户端发送ACL认证成功响应;
连接公网和内网的网关丢弃所述客户端发送的访问公网的请求。
8.如权利要求7所述的方法,其特征在于,所述网关通过自身的出口被关闭实现丢弃所述客户端发送的访问公网的请求。
所述RADIUS服务器接收所述客户端发送的下线通知后,通知交换机关闭所述连接客户端的端口。
10.一种访问网络权限的控制系统,其特征在于,包括:
远程用户拨号认证系统RADIUS服务器,用于接收内网用户的客户端发送的802.1x认证请求,对所述802.1x认证请求中包括的用户信息进行802.1x认证;并在802.1x认证成功后,向所述客户端发送预先存储的所述ACL认证服务器的内网IP地址,向所述ACL认证服务器发送所述用户信息;并通知内网内的交换机打开连接所述客户端的端口;
交换机,用于根据所述RADIUS服务器发送的通知,打开连接所述客户端的端口;
访问控制列表ACL认证服务器,用于接收所述客户端根据所述ACL认证服务器内网IP地址设置的过滤规则发送的携带用户信息的ACL认证请求,并根据所述RADIUS服务器发送的用户信息,对所述ACL认证请求中携带的用户信息进行ACL认证,所述过滤规则为只允许访问ACL认证服务器;并在ACL认证成功后,向所述客户端发送ACL认证成功响应;
连接公网和内网的网关,用于在认证服务器认证成功后,丢弃所述客户端发送的访问公网的请求。
11.如权利要求10所述的系统,其特征在于,所述网关,具体用于通过自身的出口被关闭实现丢弃所述客户端发送的访问公网的请求。
12.如权利要求10所述的系统,其特征在于,所述RADIUS服务器,还用于接收所述客户端发送的下线通知后,通知所述交换机关闭连接所述客户端的端口;
所述交换机,还用于根据所述RADIUS服务器发送的通知,关闭连接所述客户端的端口。
13.一种访问网络权限的控制方法,其特征在于,包括:
内网用户的客户端向位于内网的远程用户拨号认证系统RADIUS服务器发送802.1x认证请求;
所述客户端接收RADIUS服务器在802.1x认证成功后发送的位于内网的访问控制列表ACL认证服务器的内网IP地址;
所述客户端根据接收到的ACL认证服务器的内网IP地址,设置过滤规则为只允许访问所述ACL认证服务器;
所述客户端根据设置的过滤规则,向所述ACL认证服务器发送携带用户信息的ACL认证请求;
所述客户端在ACL认证成功后,修改过滤规则为允许访问任意网络或允许访问所述ACL认证服务器指定的网络资源。
802.1x认证请求发送单元,用于向位于内网的远程用户拨号认证系统RADIUS服务器发送802.1x认证请求;
地址接收单元,用于接收RADIUS服务器在802.1x认证成功后发送的位于内网的访问控制列表ACL认证服务器的内网IP地址;
过滤规则设置单元,用于根据接收到的ACL认证服务器的内网IP地址,设置过滤规则为只允许访问所述ACL认证服务器;
ACL认证请求发送单元,用于根据设置的过滤规则,向所述ACL认证服务器发送携带用户信息的ACL认证请求;
过滤规则修改单元,用于在ACL认证成功后,修改过滤规则为允许访问任意网络或允许访问所述ACL认证服务器指定的网络资源。
一种访问网络权限的控制方法、系统及客户端
技术领域
[0001] 本发明涉及网络通信领域,尤其涉及一种访问网络权限的控制方法、系统及客户端。
背景技术
[0002] 网协(IP,Internet Protocol)是为计算机网络相互连接进行通信而设计的协议。在计算机与网络中其他计算机进行通信之前,应先配置一个用于在通信中唯一标识自己的IP地址。由于互联网中的IP地址数量有限,随着越来越多的计算机和手机加入到互联网中,使得IP地址已经严重不足。为了解决IP地址不足的问题,很多企业单位(或学校等组织)组建了私有网络即内网,在内网里的IP地址可以由网络管理员自行管理和分配。与内网相对的就是公网即互联网,公网的IP地址需要由互联网数字分配机构(IANA,The Internet Assigned Numbers Authority)统一分配。公网计算机只能与公网计算机通信,内网计算机只能与内网计算机通信,公网计算机不能与内网计算机直接进行通信,因此内网IP地址可以由网络管理员自行管理和分配,不会与公网IP地址冲突。如果内网计算机想同公网计算机进行通信,需要先从IANA申请一个公网IP地址,当内网计算机对公网计算机进行访问时,都由内网计算机申请的公网IP地址作为代理同公网计算机进行通信。
[0003] 企业单位(或学校等组织)有很多计算机(比如笔记本电脑)是公用的,在笔记本电脑中存放着很多重要的机密信息,为了不让这些重要的机密信息通过网络泄露出去,企业单位要求这些笔记本电脑只能访问内网,由于内网是企业单位组建的私有网络,因此不会将重要的机密信息泄露到公网,但是当员工出差需要携带笔记本电脑时,笔记本电脑就有可能访问公网,将企业单位的机密信息泄露到公网中,造成企业单位的损失。
发明内容
[0004] 本发明实施例提供了一种访问网络权限的控制方法、系统及客户端,用以解决现有用户能够任意访问公网资源导致机密信息外泄的问题。
[0005] 本发明实施例提供的一种访问网络权限的控制方法,包括:
[0006] 位于内网的虚拟专用网络VPN服务器接收公网用户的客户端发送的上线请求后,对客户端进行VPN认证;
[0007] 在VPN认证成功后,VPN服务器接收并转发客户端发送的访问公网或内网的请求;
[0008] 连接公网和内网的网关丢弃VPN服务器转发的访问公网的请求。
[0009] 本发明实施例还提供了一种访问网络权限的控制系统,包括:
[0010] 虚拟专用网络VPN服务器,用于接收公网用户的客户端发送的上线请求后,对客户端进行VPN认证;在VPN认证成功后,接收并转发公网用户的客户端发送的访问公网或内网的请求;
[0011] 连接公网和内网的网关,用于丢弃VPN服务器转发的访问公网的请求。
[0012] 本发明实施例提供的一种访问网络权限的控制方法,包括:
[0013] 公网用户的客户端根据上线前预先设置的过滤规则,向位于内网的访问控制列表ACL认证服务器发送ACL认证请求;过滤规则定义客户端只允许访问ACL认证服务器;
[0014] 在ACL认证成功后,客户端接收ACL认证服务器发送的位于内网的虚拟专用网络VPN服务器的公网IP地址;
[0015] 客户端根据接收到的VPN服务器的公网IP地址,修改预先设置的过滤规则为只允许访问所述ACL认证服务器和所述VPN服务器;
[0016] 客户端根据修改后的过滤规则,向所述VPN服务器发送上线请求。
[0017] 本发明还提供了一种客户端,包括:
[0018] 认证请求发送单元,用于根据上线前预先设置的过滤规则向位于内网的访问控制列表ACL认证服务器发送ACL认证请求;
[0019] 地址接收单元,用于在ACL认证成功后,接收ACL认证服务器发送的位于内网的虚拟专用网络VPN服务器的公网IP地址;
[0020] 过滤规则修改单元,用于根据接收到的VPN服务器的公网IP地址,修改预先设置的过滤规则为只允许访问所述ACL认证服务器和所述VPN服务器;
[0021] 上线请求发送单元,用于根据修改后的过滤规则,向VPN服务器发送上线请求。
[0022] 本发明实施例提供的一种访问网络权限的控制方法,包括:
[0023] 内网的认证服务器接收内网用户的客户端发送的上线请求后,对客户端进行上线认证;
[0024] 在认证成功后,连接公网和内网的网关丢弃客户端发送的访问公网的请求。
[0025] 本发明实施例还提供了一种访问网络权限的控制系统,包括:
[0026] 认证服务器,用于接收内网用户的客户端发送的上线请求后,对客户端进行上线认证;
[0027] 连接公网和内网的网关,用于在认证服务器认证成功后,丢弃客户端发送的访问公网的请求。
[0028] 本发明实施例提供的一种访问网络权限的控制方法,包括:
[0029] 内网用户的客户端向位于内网的远程用户拨号认证系统RADIUS服务器发送802.1x认证请求;
[0030] 客户端接收RADIUS服务器在802.1x认证成功后发送的位于内网的访问控制列表ACL认证服务器的内网IP地址;
[0031] 客户端根据接收到的ACL认证服务器的内网IP地址,设置过滤规则为只允许访问ACL认证服务器;
[0032] 客户端根据设置的过滤规则,向ACL认证服务器发送携带用户信息的ACL认证请求;
[0033] 客户端在ACL认证成功后,修改过滤规则为允许访问任意网络或允许访问ACL认证服务器指定的网络资源。
[0034] 本发明实施例还提供了一种客户端,包括:
[0035] 802.1x认证请求发送单元,用于向位于内网的远程用户拨号认证系统RADIUS服务器发送802.1x认证请求;
[0036] 地址接收单元,用于接收RADIUS服务器在802.1x认证成功后发送的位于内网的访问控制列表ACL认证服务器的内网IP地址;
[0037] 过滤规则设置单元,用于根据接收到的ACL认证服务器的内网IP地址,设置过滤规则为只允许访问所述ACL认证服务器;
[0038] ACL认证请求发送单元,用于根据设置的过滤规则,向所述ACL认证服务器发送携带用户信息的ACL认证请求;
[0039] 过滤规则修改单元,用于在ACL认证成功后,修改过滤规则为允许访问任意网络或允许访问ACL认证服务器指定的网络资源。
[0040] 本发明实施例的有益效果包括:
[0041] 本发明实施例提供的一种访问网络权限的控制方法、系统及客户端,在公网用户访问网络时,位于内网的VPN服务器接收公网用户的客户端发送的上线请求,对客户端进行VPN认证;在VPN认证成功后,VPN服务器接收并转发客户端发送的访问公网或内网的请求;连接公网和内网的网关丢弃VPN服务器转发的访问公网的请求,由于公网用户的客户端只能通过VPN服务器访问网络,而VPN服务器位于内网中,同时网关会丢弃VPN服务器转发的访问公网的请求,因此,只有公网用户发出的访问内网的请求会被正常处理,达到了公网用户只能在内网范围内进行访问的目的。
[0042] 本发明实施例提供的另一种访问网络权限的控制方法、系统及客户端,在内网用户访问网络时,内网的认证服务器接收内网用户的客户端发送的上线请求,对客户端进行上线认证;在认证成功后,连接公网和内网的网关会丢弃客户端向外网发送的访问公网的请求。因此,只有内网用户发出的访问内网的请求会被正常处理,达到了限制内网用户的客户端只能在内网范围内进行访问的目的。
[0043] 综上所述,使用本发明实施例提供的上述访问网络权限的控制方法、系统及客户端,不论是内网用户,还是外网用户,只能在有限的内网中通信,有效地降低了用户可任意访问公网资源而泄露机密信息到公网的可能性。
附图说明
[0044] 图1为本发明实施例提供的访问网络权限的控制方法的流程图之一;
[0045] 图2为本发明实施例提供的访问网络权限的控制方法的流程图之二;
[0046] 图3为本发明实施例提供的方法中VPN认证的流程图;
[0047] 图4为本发明实施例提供的访问网络权限的控制方法的流程图之三;
[0048] 图5为本发明实施例提供的方法中认证服务器对客户端进行上线认证的流程图;
[0049] 图6为本发明实施例提供的网络拓扑图;
[0050] 图7为本发明实施例提供的实例一中的公网用户上线认证的流程图;
[0051] 图8为本发明实施例提供的实例二中的内网用户上线认证的流程图;
[0052] 图9为本发明实施例提供的访问网络权限的控制系统的示意图之一;
[0053] 图10为本发明实施例提供的访问网络权限的控制装置的示意图之一;
[0054] 图11为本发明实施例提供的访问网络权限的控制系统的示意图之二;
[0055] 图12为本发明实施例提供的访问网络权限的控制装置的示意图之二。
具体实施方式
[0056] 下面结合附图,对本发明实施例提供的访问网络权限的控制方法、系统及客户端的具体实施方式进行详细地说明。
[0057] 本发明实施例提供的一种访问网络权限的控制方法,该方法适用于限制公网用户只能访问内网的情况,如图1所示,具体流程包括:
[0058] S101、位于内网的虚拟专用网络(VPN,Virtual Private Network)服务器接收公网用户的客户端发送的上线请求;
[0059] S102、VPN服务器对客户端进行VPN认证;
[0060] S103、在VPN认证成功后,VPN服务器接收并转发客户端发送的访问公网或内网的请求;
[0061] S104、连接公网和内网的网关丢弃VPN服务器转发的访问公网的请求。
[0062] 其中,网关可以通过预先配置自身的出口关闭来实现在用户请求访问外网时丢弃VPN服务器转发的访问公网的请求。
[0063] 上述步骤S101~S104,在公网用户的客户端VPN网络上线成功后,就只能通过内网的VPN服务器转发访问公网或内网的请求,而连接公网和内网的网关出口为关闭状态,因此,当网关收到VPN服务器转发的公网用户访问公网的请求时,就会将其丢弃,保证了公网用户在上线内网时,只能访问内网资源,这样就避免了公网用户通过随意访问外网导致自身的机密信息泄露的情况。
[0064] 较佳地,如图2所示,本发明实施例提供的访问网络权限的控制方法,在上述步骤S101之前,还可以执行以下步骤:
[0065] S201、客户端根据上线前预先设置的过滤规则,向位于内网的访问控制列表(ACL,Access Control List)认证服务器发送ACL认证请求;该过滤规则定义客户端只允许访问ACL认证服务器;
[0066] S202、ACL认证服务器接收ACL认证请求,并对该客户端进行ACL认证;
[0067] 在本步骤S202中,可以通过对ACL认证请求中携带的VPN用户标识进行认证即可实现对该客户端的ACL认证。
[0068] S203、在ACL认证成功后,ACL认证服务器向客户端发送VPN服务器的公网IP地址;
[0069] S204、客户端接收VPN服务器的公网IP地址,并根据接收到的VPN服务器的公网IP地址,修改过滤规则为允许访问ACL认证服务器和VPN服务器。
[0070] 其中,客户端在初始时就设置了过滤规则,该过滤规则初始时定义客户端只允许访问ACL认证服务器,有效地避免了公网用户在进行ACL认证和VPN认证之前,访问公网中其他资源的可能性。
[0071] 具体地,上述步骤S102中VPN服务器对客户端进行VPN认证的过程,如图3所示,包括以下步骤:
[0072] S1021、VPN服务器对上线请求中包括的用户名和密码进行认证,检查用户名和密码与存储的合法的用户名和密码是否一致;如果一致,执行步骤S1022,如果不一致,执行步骤S1023;
[0073] S1022、VPN服务器向客户端发送VPN认证成功响应;
[0074] S1023、VPN服务器向客户端发送VPN认证失败响应。
[0075] 本发明实施例中,公网用户的客户端要先通过ACL认证(仅对VPN用户标识进行认证)之后,才能得到VPN服务器的公网IP地址,进而再同VPN服务器进行VPN认证(认证VPN用户标识和密码),这种双重认证的方法也进一步增加了认证的可靠性和安全性。
[0076] 较佳地,当公网用户下线时,本发明实施例提供的上述方法还包括以下步骤:
[0077] 客户端向VPN服务器发送下线通知,并再次修改过滤规则为只允许访问所述ACL认证服务器。这样,避免公网用户离开VPN网络后,随意访问其他的公网资源。
[0078] 本发明实施例提供的另一访问网络权限的控制方法,该方法适用于限制内网用户只能访问内网的情况,如图4所示,包括下述步骤:
[0079] S401、内网的认证服务器接收内网用户的客户端发送的上线请求;
[0080] S402、认证服务器对客户端进行上线认证;
[0081] S403、在认证成功后,连接公网和内网的网关丢弃客户端发送的访问公网的请求。
[0082] 其中,网关可以通过预先配置自身的出口关闭来实现丢弃客户端发送的访问公网的请求。
[0083] 上述步骤S401~S403提供的方法适用于连接内网的内网用户想要访问网络的情况,由于内网用户是在内网内的,因此,内网用户也不可能直接连接到公网来访问公网资源,并且内网用户在上线成功后向内网发送访问内网或公网的请求时,由于连接公网和内网的网关的出口配置为关闭状态,因此,当网关收到公网用户发送访问公网的请求时,就会将其丢弃,保证了内网用户只能访问内网资源,这样就防止了内网用户泄露自身的机密信息。
[0084] 较佳地,上述方法中提到的内网的认证服务器可以为远程用户拨号认证系统(RADIUS,Remote Authentication Dial In User Service)服务器和访问控制列表(ACL,Access Control List)认证服务器。
[0085] 具体地,步骤S402中的认证服务器对客户端进行上线认证的过程,如图5所示,包括以下步骤:
[0086] S4021、RADIUS服务器接收客户端发送的802.1x认证请求,对802.1x认证请求中包括的用户信息进行802.1x认证;
[0087] S4022、在802.1x认证成功后,RADIUS服务器向客户端发送预先存储的ACL认证服务器内网IP地址,向ACL认证服务器发送用户信息;并通知内网内的交换机打开连接客户端的端口;
[0088] S4023、客户端根据接收的ACL认证服务器内网IP地址,设置过滤规则为只允许访问ACL认证服务器;
[0089] S4024、ACL认证服务器接收客户端发送的携带用户信息的ACL认证请求,对用户信息进行ACL认证;
[0090] S4025、在ACL认证成功后,客户端修改过滤规则为允许访问任意网络或允许访问ACL认证服务器所指定的网络资源。
[0091] 上述流程中,在内网用户802.1x认证成功之前,和内网用户的客户端连接的交换机的端口是关闭的,由于交换机端口与该客户端连接的端口关闭时,该客户端与交换机连接的端口只允许属于基于局域网的扩展认证协议(EAPOL,Extensible Authentication Protocol Over Lan)报文的802.1x认证请求通过,因此,内网用户在802.1x认证成功之前,向内网中其他资源发送的报文都会被交换机的端口丢弃。
[0092] 当802.1x认证成功后,虽然交换机连接该客户端的端口打开了,但是由于内网用户的客户端上设置的过滤规则只允许访问ACL认证服务器,因此,内网用户在同ACL认证服务器进行ACL认证之前还是不能访问内网或外网网络资源,只有在内网用户通过ACL认证,并且内网用户修改过滤规则为允许访问任意网络或允许访问ACL认证服务器指定的网络资源之后,用户才能实现对网络资源的访问。
[0093] 较佳地,当内网用户访问完网络后下线时,本发明实施例提供的上述方法还包括以下步骤:RADIUS服务器接收客户端发送的下线通知,并通知交换机关闭连接该客户端的端口;向ACL认证服务器发送客户端的用户信息,以便ACL认证服务器删除该客户端的用户信息。
[0094] 这样,在内网用户下线后,内网中与内网用户的客户端连接的交换机端口关闭,使得内网用户发送的请求访问内网或公网的请求都被交换机丢弃,只有在内网用户再次同认证服务器认证成功后才能重新访问网络。
[0095] 下面以两个具体的实例详细地说明本发明实施例提供的上述访问网络权限的控制方法,图6为下述两个实例的网络拓扑图,在该网络拓扑图中,有公网用户的客户端1和内网用户的客户端2,下述两个实例以限制客户端1和客户端2只允许访问内网的方案分别进行说明。
[0096] 实例一:
[0097] 控制客户端1只能访问内网的流程如图7所示,具体包括以下步骤:
[0098] S701、客户端1上线前预先配置ACL认证服务器公网IP地址,并设置过滤规则,该过滤规则定义客户端1只允许访问ACL认证服务器;
[0099] S702、客户端1选择VPN认证方式,向ACL认证服务器发送携带VPN用户标识的ACL认证请求;
[0100] S703、ACL认证服务器对VPN用户标识进行ACL认证,认证失败,执行步骤S704,认证成功,执行步骤S705;
[0101] S704、ACL认证服务器向客户端1发送ACL认证失败响应;
[0102] S705、ACL认证服务器向客户端1下发VPN服务器的公网IP地址;
[0103] S706、客户端1根据接收的VPN服务器公网IP地址,修改过滤规则为只允许访问ACL认证服务器和VPN服务器;
[0104] S707、客户端1向VPN服务器发送携带用户名和密码的VPN认证请求;
[0105] S708、VPN服务器检查用户名和密码与存储的合法的用户名和密码是否一致,如果一致,执行步骤S709,如果不一致,执行步骤S710;
[0106] S709、VPN向客户端1发送VPN认证成功响应;
[0107] S710、VPN向客户端1发送VPN认证失败响应。
[0108] 客户端1在VPN认证成功后就向VPN服务器发送访问内网或公网的请求,VPN服务器转发这些请求,由于连接公网和内网的网关预先配置为关闭状态,因此,网关会丢弃VPN服务器转发的访问公网的请求。
[0109] 当客户端1下线时,客户端1会向VPN服务器发送下线通知,并再次修改过滤规则为只允许访问ACL认证服务器,避免公网用户访问公网。
[0110] 实例二:
[0111] 本实例二中,如图6所示,内网用户的客户端2与内网的交换机连接,在客户端2上线之前,交换与连接客户端2的端口设置为关闭状态,内网连接公网的网关的出口预先配置为关闭状态,在RADIUS服务器中预先配置ACL认证服务器的内网IP地址。
[0112] 控制客户端2只能访问内网的流程如图8所示,具体包括以下步骤:
[0113] S801、客户端2选择802.1x认证方式,向RADIUS服务器发送携带用户名和密码的802.1x认证请求;
[0114] S802、RADIUS服务器对用户名和密码进行检查,检查失败后,执行步骤S803,检查成功后,执行步骤S804-S806;
[0115] S803、RADIUS服务器向客户端2发送802.1x认证失败响应;
[0116] S804、RADIUS服务器向客户端2发送携带ACL认证服务器内网IP地址的802.1x认证成功响应;
[0117] S805、RADIUS服务器告知交换机打开连接客户端2的端口;
[0118] S806、RADIUS服务器向ACL认证服务器发送客户端2的用户名和密码;
[0119] S807、客户端2根据接收的ACL认证服务器内网IP地址,设置过滤规则为只允许访问ACL认证服务器;
[0120] S808、客户端2向ACL认证服务器发送携带用户名、密码和802.1x用户标识的ACL认证请求;
[0121] S809、ACL认证服务器检查用户名、密码和802.1x用户标识是否与存储的在线用户列表中的一致,如果不一致,执行下述步骤S810,如果一致,执行下述步骤S811;
[0122] S810、ACL认证服务器向客户端2发送ACL认证失败响应;
[0123] S811、ACL认证服务器向客户端2发送允许访问的网络资源权限;
[0124] S812、客户端2根据允许访问的网络资源权限修改过滤规则。
[0125] 在执行步骤S812之后,客户端2就可以向内网发送访问网络请求,访问网络资源,但由于连接公网和内网的网关的出口预先配置为关闭状态,因此,网关会丢弃该客户端2发出的访问公网的请求。
[0126] 当客户端2下线时,客户端2会向RADIUS服务器发送下线通知,RADIUS服务器接收到客户端2发送的下线通知,会向ACL认证服务器发送客户端2的用户信息,使ACL认证服务器删除存储的用户信息,并通知交换机关闭客户端连接的端口。
[0127] 这样,在客户端2下线后,内网中与客户端2连接的交换机端口关闭,使得客户端2发送的不管是访问内网还是公网的请求都被交换机丢弃,只有在客户端2再次同认证服务器认证成功后才能访问网络。
[0128] 基于同一发明构思,本发明实施例还提供了一种访问网络权限的控制系统,由于该系统解决问题的原理与前述一种访问网络权限的控制方法相似,因此该系统的实施可以参见方法的实施,重复之处不再赘述。
[0129] 在连接公网的公网用户访问网络的情况下,本发明实施例提供的一种访问网络权限的控制系统,如图9所示,包括:
[0130] 虚拟专用网络VPN服务器901,用于接收公网用户的客户端发送的上线请求,对客户端进行VPN认证;在VPN认证成功后,接收并转发公网用户的客户端发送的访问公网或内网的请求;
[0131] 连接公网和内网的网关902,用于丢弃VPN服务器901转发的访问公网的请求。
[0132] 较佳地,本发明实施例提供的上述系统,如图9所示,还包括:ACL认证服务器903,用于接收客户端根据上线前预先设置的过滤规则发送的ACL认证请求,该过滤规则定义客户端只允许访问ACL认证服务器;对客户端发送的ACL认证请求中的VPN用户标识进行认证;并在ACL认证成功后,向客户端发送VPN服务器901的公网IP地址;
[0133] VPN服务器901用于接收公网用户的客户端发送的上线请求,具体为:VPN服务器用于接收公网用户的客户端根据VPN服务器901的公网IP地址修改的过滤规则发送的上线请求,该修改的过滤规则为只允许访问ACL认证服务器903和VPN服务器901。
[0134] 在连接公网的公网用户访问网络的情况下,本发明实施例还提供了一种客户端,如图10所示,包括:
[0135] 认证请求发送单元1001,用于根据上线前预先设置的过滤规则向位于内网的访问控制列表ACL认证服务器发送ACL认证请求;
[0136] 地址接收单元1002,用于在ACL认证成功后,接收ACL认证服务器发送的位于内网的虚拟专用网络VPN服务器的公网IP地址;
[0137] 过滤规则修改单元1003,用于根据接收到的VPN服务器的公网IP地址,修改预先设置的过滤规则为只允许访问所述ACL认证服务器和所述VPN服务器;
[0138] 上线请求发送单元1004,用于根据修改后的过滤规则,向所述VPN服务器发送上线请求。
[0139] 较佳地,本发明实施例提供的上述客户端,如图10所示,还包括:
[0140] 下线通知发送单元1005,用于向VPN服务器发送下线通知;
[0141] 过滤规则修改单元1003,还用于在下线后,将修改后的过滤规则恢复为预先设置的过滤规则。
[0142] 在连接公网的公网用户访问网络的情况下,本发明实施例还提供了一种客户端,该客户端包括上述访问网络权限的控制装置。
[0143] 在连接内网的内网用户访问网络的情况下,本发明实施例提供的一种访问网络权限的控制系统,如图11所示,包括:
[0144] 认证服务器1101,用于接收内网用户的客户端发送的上线请求后,对客户端进行上线认证;
[0145] 连接公网和内网的网关1102,用于在认证服务器1101认证成功后,丢弃客户端发送的访问公网的请求。
[0146] 较佳地,本发明实施例提供的系统中的网关1102,具体用于通过自身的出口被关闭实现丢弃所述客户端发送的访问公网的请求。
[0147] 较佳地,本发明实施例提供的上述系统,如图11所示,还包括:交换机1103;
[0148] 认证服务器1101,具体包括:远程用户拨号认证系统RADIUS服务器1104和访问控制列表ACL认证服务器1105;
[0149] RADIUS服务器1104,用于接收客户端发送的802.1x认证请求,对802.1x认证请求中包括的用户信息进行802.1x认证;并在802.1x认证成功后,向客户端发送预先存储的ACL认证服务器1105的内网IP地址,向ACL认证服务器1105发送用户信息;并通知内网内的交换机1103打开连接客户端的端口;
[0150] 交换机1103,用于根据所述RADIUS服务器发送的通知,打开连接客户端的端口;
[0151] ACL认证服务器1105,用于接收客户端根据ACL认证服务器1105的内网IP地址设置的过滤规则发送的携带用户信息的ACL认证请求,并根据所述RADIUS服务器发送的用户信息,对ACL认证请求中携带的用户信息进行ACL认证,该过滤规则为只允许访问ACL认证服务器;并在ACL认证成功后,向客户端发送ACL认证成功响应。
[0152] 较佳地,本发明实施例提供的上述系统中的RADIUS服务器1104,还用于接收客户端发送的下线通知后,通知交换机1103关闭连接客户端的端口;
[0153] 交换机1103,还用于根据所述RADIUS服务器发送的通知,关闭连接客户端的端口。
[0154] 在连接内网的内网用户访问网络的情况下,本发明实施例还提供了一种客户端,如图12所示,包括:
[0155] 802.1x认证请求发送单元1201,用于向位于内网的远程用户拨号认证系统RADIUS服务器发送802.1x认证请求;
[0156] 地址接收单元1202,用于接收RADIUS服务器在802.1x认证成功后发送的位于内网的访问控制列表ACL认证服务器的内网IP地址;
[0157] 过滤规则设置单元1203,用于根据接收到的ACL认证服务器的内网IP地址,设置过滤规则为只允许访问所述ACL认证服务器;
[0158] ACL认证请求发送单元1204,用于根据设置的过滤规则,向ACL认证服务器发送的携带用户信息的ACL认证请求;
[0159] 过滤规则修改单元1205,用于在ACL认证成功后,修改过滤规则为允许访问任意网络或允许访问所述ACL认证服务器指定的网络资源。
[0160] 本发明实施例提供的一种访问网络权限的控制方法、系统及客户端,在公网用户访问网络时,位于内网的VPN服务器接收公网用户的客户端发送的上线请求,对客户端进行VPN认证;在VPN认证成功后,VPN服务器接收并转发客户端发送的访问公网或内网的请求;连接公网和内网的网关可以丢弃VPN服务器转发的访问公网的请求,由于公网用户的客户端通过VPN认证后,只能通过VPN服务器访问网络,而VPN服务器位于内网中,同时网关会丢弃VPN服务器转发的访问公网的请求,因此,达到了公网用户只能在内网范围内进行访问的目的。
[0161] 本发明实施例提供的一种访问网络权限的控制方法、系统及客户端,在内网用户访问网络时,内网的认证服务器接收内网用户的客户端发送的上线请求,对客户端进行上线认证;在认证成功后,连接公网和内网的网关丢弃客户端向外网发送的访问公网的请求。因此,达到了限制内网用户的客户端只能在内网范围内进行访问的目的。
[0162] 综上所述,使用本发明实施例提供的访问网络权限的控制方法、系统及客户端,不论是内网用户,还是外网用户,只能在有限的内网中通信,有效地降低了用户可任意访问公网资源而泄露机密信息到公网的可能性。
[0163] 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
