文/黄山

H3C EAD终端接入控制技术是一种用于检测接入网络的终端是否安全的网络准入方案。本专利申请*提供了一种广域网终端接入控制认证方法，当分支机构网络内终端的安全检查结果不符合总部网络iMC智能管理中心的安全策略时，终端从所属分支机构网络内的其他终端中或总部网络的修复文件库下载指定修复文件，进行自我修复；避免终端从其他分支机构网络内下载指定修复文件时，对广域网带宽造成冲击以及可能产生的终端安全认证超时失败。

如图所示为基于广域网的网络准入控制组网示意。以终端A-3为例，本技术包括以下内容：

1、当终端A-3访问总部网络的受限资源时，其智能客户端（iNode）发起认证请求。当A-3在iMC安全认证服务器（以下简称：iMC）上认证成功后，iMC通知EAD控制网关A令终端A-3上线，并下发代理IP和端口，通知A-3进行安全检查。

2、终端A-3通过自身的iNode客户端上传登录信息，请求安全检查。iMC上的EAD安全策略组件下发A-3的安全策略及其他控制信息，A-3的iNode客户端软件与第三方软件或定制插件进行联动，执行安全策略检查及其他功能。

3、终端A-3的iNode客户端软件对A-3进行安全检查，并将安全检查结果上报给iMC。iMC上的EAD安全策略组件将A-3上报的安全检查结果与自身设置的安全策略进行匹配。当A-3上报的安全检查结果与安全策略的要求不匹配时，终端A-3需要下载并安装指定的修复文件，EAD安全策略组件查询与指定修复文件对应的点对点（P2P）用户信息表，将已经下载了所述指定修复文件且当前在线的终端所对应的用户名列表发送给A-3。

4、终端A-3向EAD控制网关A发起查询，确认用户名列表中的哪些用户名所对应的终端属于分支机构网络A。对于属于分支机构网络A的终端，则EAD控制网关A将其IP地址发送给A-3；对于不属于分支机构网络A的终端，则EAD控制网关A将总部网络中的修复文件服务器的IP地址发送给终端A-3。

5、终端A-3根据EAD控制网关返回的IP地址，与分支网络A中的其他终端建立连接，下载所述指定的修复文件，或者终端A-3根据EAD控制网关返回的IP地址，与修复文件服务器建立连接，下载所述指定的修复文件。

6、终端A-3安装修复文件并完成自我修复后， 其iNode再次发起认证请求，以重新执行步骤1以及后续步骤，直至修复成功。

专利点评：

本专利申请的技术方案保证了任何一个修复文件在一个分支机构网络和总部网络之间的链路上只传输一次，减少了广域网链路由于下载修复文件所占用的带宽，保证了企业正常业务的带宽，并且尽可能的在本分支机构网络中实现文件加载，较大程度上避免了文件下载超时而导致的EAD认证失败的问题。

截止目前，H3C在广域网领域申请专利超过数十件，并在不断创新出优秀的相关专利技术。

http://www.h3c.com.cn/res/201010/29/20101029_1095485_image001_697890_30008_0.png