網(wǎng)絡(luò)接入控制系統(tǒng)的制作方法
【專利摘要】本發(fā)明屬于一種網(wǎng)絡(luò)接入控制系統(tǒng)�,具體涉及一種具有基于PKI數(shù)字證書身份認證功能的系統(tǒng)。包括兩個專用模塊完成網(wǎng)絡(luò)接入控制和安全性檢查功能����,兩個模塊分別是,網(wǎng)絡(luò)接入控制模塊和安全性檢查模塊����。本發(fā)明的優(yōu)點是,網(wǎng)絡(luò)接入控制系統(tǒng)采用基于PKI數(shù)字證書身份認證技術(shù)��,確保終端設(shè)備在接入網(wǎng)絡(luò)前需要認證���,并檢查入網(wǎng)終端的安全狀態(tài)����,只有認證通過并且安全狀態(tài)檢查后完全遵循本地網(wǎng)絡(luò)的安全策略�,才能接入工作網(wǎng)絡(luò)。未認證的端點無法接入網(wǎng)絡(luò)�����,認證通過但不符合安全策略的端點無法接入工作網(wǎng)絡(luò)���、可跳轉(zhuǎn)到補救的隔離區(qū)供終端修正其自身安全狀態(tài)��,確保只有自身安全狀態(tài)符合安全策略時才可接入工作��。
【專利說明】網(wǎng)絡(luò)接入控制系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于一種網(wǎng)絡(luò)接入控制系統(tǒng)����,具體涉及一種具有基于PKI數(shù)字證書身份認證功能的系統(tǒng)�。
【背景技術(shù)】
[0002]隨著企業(yè)信息化工作的開展,信息安全對于企業(yè)網(wǎng)絡(luò)和涉密信息系統(tǒng)的重要性日益突出�,網(wǎng)絡(luò)在支持業(yè)務(wù)運行方面發(fā)揮著至關(guān)重要的作用。但傳統(tǒng)的終端安全系統(tǒng)(病毒防護軟件�、桌面防火墻等)和網(wǎng)絡(luò)邊界安全防護系統(tǒng)(防火墻、入侵檢測等)對于未授權(quán)計算機接入內(nèi)部網(wǎng)絡(luò)卻無能為力��。未授權(quán)計算機接入內(nèi)部網(wǎng)絡(luò)同樣可以和內(nèi)網(wǎng)的電腦通信���,由此可能帶來網(wǎng)絡(luò)攻擊���,網(wǎng)絡(luò)入侵者可以通過連接任意端口進入企業(yè)內(nèi)部網(wǎng)絡(luò),通過一些技術(shù)手段進行破壞和竊密活動����,因此這對網(wǎng)絡(luò)接入認證技術(shù)提出了迫切的需求����。潛在的安全風(fēng)險主要體現(xiàn)在以下方面:
[0003](I)將計算機病毒傳入網(wǎng)絡(luò)��;
[0004](2)成為攻擊內(nèi)部網(wǎng)絡(luò)的接入點���;
[0005](3)將內(nèi)部網(wǎng)絡(luò)中的信息拷貝到未授權(quán)的電腦���,造成信息泄密。
[0006]因此���,保護網(wǎng)絡(luò)接入控制變得無比重要���。
[0007]現(xiàn)有的技術(shù)手段是交換機MAC地址綁定技術(shù)。
[0008]原理:交換機記錄網(wǎng)內(nèi)計算機的MAC地址信息��,將MAC地址與IP或端口綁定��,當發(fā)現(xiàn)新接入計算機�����,若其MAC地址與設(shè)定的地址不同��,則阻斷其進行網(wǎng)絡(luò)連接。
[0009]缺點是:(I)在交換機端口層面實現(xiàn)MAC地址的認定�����,未在整體網(wǎng)絡(luò)層面認定允許接入網(wǎng)絡(luò)的MAC地址�,限制了計算機的在內(nèi)部網(wǎng)絡(luò)中的可移動性,造成網(wǎng)絡(luò)人工維護量過大�,且易因人工配置疏忽導(dǎo)致完全開放的交換機端口的存在。(2)存在MAC地址仿冒的風(fēng)險�����,安全隱患較大��。
【發(fā)明內(nèi)容】
[0010]本發(fā)明的目的是提供一種網(wǎng)絡(luò)接入控制系統(tǒng)��,在終端用戶入網(wǎng)前進行基于數(shù)字證書PKI系統(tǒng)的身份認證��、終端安全狀態(tài)檢測�����,保證接入涉密網(wǎng)主機的身份合法����、狀態(tài)健康。
[0011]本發(fā)明是這樣實現(xiàn)的��,網(wǎng)絡(luò)接入控制系統(tǒng)����,包括兩個專用模塊完成網(wǎng)絡(luò)接入控制和安全性檢查功能,兩個模塊分別是���,網(wǎng)絡(luò)接入控制模塊和安全性檢查模塊�。
[0012]所述的網(wǎng)絡(luò)接入控制模塊包括客戶端和服務(wù)器端�����,客戶端運行在要執(zhí)行安全性檢查的用戶主機上�,系統(tǒng)支持用戶名密碼和PKI數(shù)字證書兩種認證方式,客戶端運行后將認證信息先發(fā)送到與主機相連接的交換機上�,交換機將得到的認證信息發(fā)送到認證服務(wù)器上進行認證,服務(wù)器返回認證結(jié)果���,交換機根據(jù)認證結(jié)果控制端口的狀態(tài)����。
[0013]所述的安全性檢查模塊分為客戶端和服務(wù)器端兩部分����,服務(wù)端功能:通過服務(wù)端控制臺確定各個客戶端需要安裝的軟件情況�����,并確定安全策略:如果客戶端不符合安全策略�,則根據(jù)安全策略的設(shè)置做不同的響應(yīng):警告���、隔離和斷網(wǎng)�����;客戶端功能:用戶登陸系統(tǒng)后����,終端控制軟件立即做終端的安全性檢查�,判斷客戶端是否和控制臺的安全要求符合���,如不符合則按照安全策略定義的方式響應(yīng)�����。
[0014]本發(fā)明的優(yōu)點是�,網(wǎng)絡(luò)接入控制系統(tǒng)采用基于PKI數(shù)字證書身份認證技術(shù),確保終端設(shè)備在接入網(wǎng)絡(luò)前需要認證�,并檢查入網(wǎng)終端的安全狀態(tài),只有認證通過并且安全狀態(tài)檢查后完全遵循本地網(wǎng)絡(luò)的安全策略�����,才能接入工作網(wǎng)絡(luò)�����。未認證的端點無法接入網(wǎng)絡(luò)�����,認證通過但不符合安全策略的端點無法接入工作網(wǎng)絡(luò)����、可跳轉(zhuǎn)到補救的隔離區(qū)供終端修正其自身安全狀態(tài),確保只有自身安全狀態(tài)符合安全策略時才可接入工作��。
【專利附圖】
【附圖說明】
[0015]圖1:802.1x網(wǎng)絡(luò)接入認證示意圖�����;
[0016]圖2:網(wǎng)絡(luò)接入控制部署圖。
【具體實施方式】
[0017]下面結(jié)合附圖和實施例對本發(fā)明進行詳細介紹:
[0018]網(wǎng)絡(luò)接入控制系統(tǒng)包括兩個專用模塊完成網(wǎng)絡(luò)接入控制和安全性檢查功能����,兩個模塊協(xié)同工作,兩個模塊分別是���,網(wǎng)絡(luò)接入控制模塊和安全性檢查模塊��,其主要實現(xiàn)的功能如下所述:
[0019]網(wǎng)絡(luò)接入控制模塊
[0020]802.1X是一種基于端口的認證協(xié)議���,是一種對用戶進行認證的方法和策略。端口可以是一個物理端口�,也可以是一個邏輯端口(如VLAN)。802.1X認證的最終目的就是確定一個端口是否可用�。對于一個端口,如果認證成功那么就“打開”這個端口�,允許所有的報文通過;如果認證失敗就使這個端口保持“關(guān)閉”或者接入GuestVLAN中�,即只允許802.1X的認證協(xié)議報文通過。
[0021]如圖1所示:網(wǎng)絡(luò)接入控制模塊分為客戶端和服務(wù)器端���,客戶端運行在要執(zhí)行安全性檢查的用戶主機上,系統(tǒng)支持用戶名密碼和PKI數(shù)字證書兩種認證方式���,客戶端程序運行后將認證信息先發(fā)送到與主機相連接的交換機上���,交換機將得到的認證信息發(fā)送到認證服務(wù)器上進行認證�,服務(wù)器返回認證結(jié)果�����,交換機根據(jù)認證結(jié)果控制端口的狀態(tài)�����。
[0022]網(wǎng)絡(luò)接入控制系統(tǒng)認證如和認證后纟而口狀態(tài)如下表:
[0023]表1認證結(jié)果和端口狀態(tài)表
[0024]
【權(quán)利要求】
1.網(wǎng)絡(luò)接入控制系統(tǒng)���,其特征在于:包括兩個專用模塊完成網(wǎng)絡(luò)接入控制和安全性檢查功能�,兩個模塊分別是�,網(wǎng)絡(luò)接入控制模塊和安全性檢查模塊。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)接入控制系統(tǒng)�,其特征在于:所述的網(wǎng)絡(luò)接入控制模塊包括客戶端和服務(wù)器端,客戶端運行在要執(zhí)行安全性檢查的用戶主機上��,系統(tǒng)支持用戶名密碼和PKI數(shù)字證書兩種認證方式�,客戶端運行后將認證信息先發(fā)送到與主機相連接的交換機上,交換機將得到的認證信息發(fā)送到認證服務(wù)器上進行認證����,服務(wù)器返回認證結(jié)果��,交換機根據(jù)認證結(jié)果控制端口的狀態(tài)�����。
3.如權(quán)利要求1所述的網(wǎng)絡(luò)接入控制系統(tǒng)����,其特征在于:所述的安全性檢查模塊分為客戶端和服務(wù)器端兩部分�����,服務(wù)端功能:通過服務(wù)端控制臺確定各個客戶端需要安裝的軟件情況�����,并確定安全策略:如果客戶端不符合安全策略�,則根據(jù)安全策略的設(shè)置做不同的響應(yīng):警告、隔離和斷網(wǎng)�;客戶端功能:用戶登陸系統(tǒng)后,終端控制軟件立即做終端的安全性檢查���,判斷客戶端是否和控制臺的安全要求符合,如不符合則按照安全策略定義的方式響應(yīng)。
【文檔編號】H04L12/28GK103618613SQ201310653805
【公開日】2014年3月5日 申請日期:2013年12月9日 優(yōu)先權(quán)日:2013年12月9日
【發(fā)明者】王欣, 石春剛, 李驍, 徐釗峰, 陳紅, 郭嬌, 任鳴飛, 李靜 申請人:北京京航計算通訊研究所