(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211034986.5 (22)申请日 2022.08.26 (71)申请人 中国工商银行股份有限公司 地址 100140 北京市西城区复兴门内大街 55号 (72)发明人 李汇腾　陈锦祥　许娇阳　李友洪　 (74)专利代理 机构 北京三友知识产权代理有限 公司 11127 专利代理师 任默闻 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 同时支持多种终端接入的网络安全准入方 法、 装置及系统 (57)摘要 本发明提供了一种同时支持多种终端接入 的网络安全准入 方法、 装置及系统， 方法包括： 接 收经由交换机转发的客户端第一认证数据并判 断客户端第一认证数据的类型是否为RADIUS   Access‑Request报文； 若是， 从客户端第一认证 数据中提取客户ID字段并根据客户ID字段确定 对应的厂商终端并将客户端第一认证数据发送 至该厂商终端对应的认证服务器并接收认证服 务器返回的RADIUS  Access‑Challenge报文； 将 RADIUS Access‑Challenge报文经由交换机发送 至客户端以使客户端生成第二认证数据返回； 验 证第二认证数并根据验证结果完成网络安全准 入操作。 权利要求书2页 说明书10页 附图7页 CN 115412338 A 2022.11.29 CN 115412338 A 1.一种同时支持多种终端接入的网络安全准入方法， 其特 征在于， 包括： 接收经由交换机转发的客户端第一认证数据并判断所述客户端第一认证数据的类型 是否为RADIUS  Access‑Request报文； 若是， 从所述客户端第一认证数据中提取客户ID字段并根据 所述客户ID字段确定对应 的厂商终端并将所述客户端第一认证数据发送至该厂商终端对应的认证服务器并接 收认 证服务器返回的RADIUS  Access‑Challenge报 文； 其中RADIUS  Access‑Challenge报文 为认 证服务器用控制台配置的公钥 信息， 使用MD5算法对终端用户信息进行加密处 理后的； 将所述RADIUS  Access‑Challenge报文经由交换机发送至客户端以使客户端生成第二 认证数据返回； 验证所述第二认证数并根据验证结果完成网络安全准入操作。 2.根据权利要求1所述的网络安全准入方法， 其特 征在于， 还 包括： 客户端向认证交换机发起认证开始包； 认证交换机根据所述认证开始包生成认证请求包并发送至客户端； 客户端将客户ID通过认证回应包发送至交换机以使交换机根据所述认证回应包进行 封装生成客户端第一认证数据。 3.根据权利要求1所述的网络安全准入方法， 其特征在于， 所述从所述客户端第 一认证 数据中提取客户ID字段并根据所述客户ID字段确定对应的厂商终端并将所述客户端第一 认证数据发送至该厂 商终端对应的认证服 务器， 包括： 提取并解析 所述客户ID字段； 根据所述客户ID字段确定对应的厂商终端后将所述客户端第一认证数据发送至转发 线程池； 经由转发线程池将所述 客户端第一认证数据发送至该厂 商终端对应的认证服 务器。 4.根据权利要求3所述的网络安全准入方法， 其特征在于， 当转发线程池接收到客户端 第一认证数据之后， 为对应的厂 商终端启动一个服 务接口； 将第一认证数据中的数据标识与服 务接口对应的厂 商终端服 务器IP进行比对； 比对结果 一致， 则将第一认证数据发送给对应的厂 商终端服 务器进行认证。 5.根据权利要求4所述的网络安全准入方法， 其特征在于， 所述将所述RADIUS  Access‑ Challenge报文经由交换机发送至客户端以使客户端生成第二认证数据返回， 包括： 将RADIUS  Access‑Challenge报文传送给交换机， 由交换机将RADIUS  Access‑ Challenge报文传送给客户端； 客户端通过MD5算法对所述RADIUS  Access‑Challenge报文进行加密后生成第二认证 数据返回。 6.根据权利要求5所述的网络安全准入方法， 其特征在于， 所述验证所述第 二认证数并 根据验证结果完成网络安全准入操作， 包括： 判断所述第二认证数据的类型 是否为RADIUS  Access‑Request MD5报文； 如果是， 提取并解析所述第二认证数据中的客户ID字段并根据所述客户ID字段确定对 应的厂商终端并完成认证。 7.根据权利要求6所述的网络安全准入方法， 其特征在于， 所述根据 所述客户ID字段确 定对应的厂 商终端并完成认证， 包括：权　利　要　求　书 1/2 页 2 CN 115412338 A 2将所述第二认证数据发送至该厂 商终端对应的认证服 务器进行认证； 将认证结果返回至客户端。 8.一种同时支持多种终端接入的网络安全准入 装置， 其特 征在于， 包括： 第一认证数据接收单元， 用于接收经由交换机转发的客户端第 一认证数据并判断所述 客户端第一认证数据的类型 是否为RADIUS  Access‑Request报文； 字段解析单元， 用于从所述客户端第一认证数据中提取客户ID字段并根据 所述客户ID 字段确定对应的厂商终端并将所述客户端第一认证数据发送至该厂商终端对应的认证服 务器并接收认证服务器返回的RADIUS  Access‑Challenge报文； 其中RADIUS  Access‑ Challenge报文为认证服务器用控制台配置的公钥信息， 使用MD 5算法对终端用户信息进行 加密处理后的； 第二认证数据接收单元， 用于将所述RADIUS  Access‑Challenge报文经由交换机发送 至客户端以使客户端生成第二认证数据返回； 验证单元， 用于验证所述第二认证数并根据验证结果完成网络安全准入操作。 9.一种同时支持多种终端接入的网络安全准入系统， 其特 征在于， 包括： 若干个客户终端设备， 一交换机， 一 准入服务器以及若干个终端准入认证服 务器； 所述客户终端设备的数量与所述终端准入认证服 务器的数量 一致； 所述客户终端设备均 与所述交换机通信连接； 所述交换机与所述 准入服务器通信连接； 所述终端准入认证服 务器均与所述准入服务器通信连接 。 10.一种电子设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计算 机程序， 其特征在于， 所述处理器执行所述程序时实现权利要求1至7任一项所述的同时支 持多种终端接入的网络安全准入方法的步骤。 11.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该计算机程序被 处理器执行时实现权利要求1至7任一项所述的同时支持多种终端接入的网络安全准入方 法的步骤。权　利　要　求　书 2/2 页 3 CN 115412338 A 3