專利名稱:驗(yàn)證接入主機(jī)安全性的訪問認(rèn)證系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種驗(yàn)證接入主機(jī)安全性的訪問認(rèn)證系統(tǒng)和方法���,確切地說(shuō)�,涉及一種基于安全健康指紋驗(yàn)證接入主機(jī)安全性的訪問認(rèn)證系統(tǒng)和方法���,屬于數(shù)據(jù)通信中的網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�����。
背景技術(shù):
隨著網(wǎng)絡(luò)系統(tǒng)或軟件的漏洞不斷發(fā)現(xiàn)��,網(wǎng)絡(luò)蠕蟲(Worm)攻擊日益泛濫��,網(wǎng)絡(luò)蠕蟲攻擊是一種能夠進(jìn)行自我復(fù)制�,利用系統(tǒng)或網(wǎng)絡(luò)服務(wù)漏洞進(jìn)行傳播的攻擊行為��。網(wǎng)絡(luò)蠕蟲攻擊的主要目標(biāo)是存在漏洞的主機(jī)?��,F(xiàn)在�,許多存在漏洞的主機(jī)在沒有進(jìn)行安全檢查的情況下接入到企業(yè)網(wǎng)、互聯(lián)網(wǎng)上��,把各種安全隱患擴(kuò)散到整個(gè)網(wǎng)絡(luò)��,影響到網(wǎng)絡(luò)上的其它主機(jī)���、服務(wù)器和網(wǎng)絡(luò)設(shè)備����,造成服務(wù)器宕機(jī)��、整個(gè)網(wǎng)絡(luò)擁塞甚至癱瘓����。
目前主要的認(rèn)證技術(shù)還是傳統(tǒng)的采用用戶名/密碼進(jìn)行的身份認(rèn)證,這種認(rèn)證方法只能驗(yàn)證用戶的合法身份�����,無(wú)法針對(duì)主機(jī)的安全性進(jìn)行驗(yàn)證��,因此也無(wú)法防止或減少網(wǎng)絡(luò)蠕蟲的爆發(fā)�����。
網(wǎng)絡(luò)接入一般有三種方式通過(guò)交換機(jī)與電信網(wǎng)��、其他網(wǎng)段����、或Internet相連、通過(guò)VPN接入企事業(yè)內(nèi)部局域網(wǎng)和通過(guò)寬帶接入服務(wù)器接入互聯(lián)網(wǎng)�����。這些接入仍然都是只對(duì)用戶身份進(jìn)行驗(yàn)證�����。如果能夠同時(shí)再對(duì)接入主機(jī)進(jìn)行安全性驗(yàn)證�����,則會(huì)大大提高網(wǎng)絡(luò)的安全性����。因此,如何對(duì)網(wǎng)絡(luò)接入的認(rèn)證體系進(jìn)行改造���,以便能夠?qū)尤胫鳈C(jī)進(jìn)行基于安全性的鑒權(quán)認(rèn)證����,就成為業(yè)內(nèi)技術(shù)人員迫切需要解決的新課題。
發(fā)明內(nèi)容
有鑒于此��,本發(fā)明的目的是提供一種驗(yàn)證接入主機(jī)安全性的訪問認(rèn)證系統(tǒng)和方法���,本發(fā)明改變了利用用戶名/密碼對(duì)接入主機(jī)進(jìn)行用戶身份認(rèn)證的傳統(tǒng)技術(shù)�����,提出一種全新的基于安全健康指紋的訪問認(rèn)證系統(tǒng)和方法����,驗(yàn)證接入網(wǎng)絡(luò)的各種主機(jī)或終端設(shè)備的安全性�����,有效保證了網(wǎng)絡(luò)安全���。
為了達(dá)到上述目的�,本發(fā)明提供了一種驗(yàn)證接入主機(jī)安全性的訪問認(rèn)證系統(tǒng)����,其特征在于該系統(tǒng)采用安全健康指紋信息對(duì)接入網(wǎng)絡(luò)的主機(jī)安全性進(jìn)行訪問認(rèn)證,系統(tǒng)組成構(gòu)件包括認(rèn)證客戶端���,為接入網(wǎng)絡(luò)而需要驗(yàn)證其安全性的主機(jī)����,機(jī)內(nèi)安裝有用于安全健康指紋認(rèn)證的客戶端軟件����,該客戶端軟件能夠采集該主機(jī)的安全健康指紋信息,經(jīng)由接入控制裝置��、認(rèn)證服務(wù)器發(fā)送到安全健康指紋認(rèn)證裝置進(jìn)行驗(yàn)證����;接入控制裝置,為用戶提供接入的網(wǎng)絡(luò)設(shè)備�,其內(nèi)部設(shè)有提供用戶接入的端口和接入控制模塊;在收到安全健康指紋認(rèn)證裝置返回的認(rèn)證結(jié)果后�����,控制主機(jī)的接入請(qǐng)求允許接入��、拒絕接入或只允許訪問部分提供服務(wù)的網(wǎng)元��;認(rèn)證服務(wù)器,為通過(guò)用戶名/密碼進(jìn)行身份認(rèn)證的傳統(tǒng)服務(wù)器�����,用于與安全健康指紋認(rèn)證裝置配合���,對(duì)用戶進(jìn)行用戶身份和主機(jī)安全性的雙重認(rèn)證��;安全健康指紋認(rèn)證裝置���,為用戶主機(jī)接入的驗(yàn)證設(shè)備,其內(nèi)部設(shè)有一個(gè)安全健康策略庫(kù)和一個(gè)信息接口���,負(fù)責(zé)接收客戶端的安全健康指紋�,并針對(duì)指紋中的信息在安全健康策略庫(kù)進(jìn)行查找比對(duì)�,根據(jù)綜合的指紋比對(duì)結(jié)果評(píng)估出該主機(jī)的安全狀態(tài)級(jí)別;如果該主機(jī)的安全狀態(tài)級(jí)別低于策略中的規(guī)定值���,則向接入控制裝置發(fā)送不允許接入消息或訪問控制策略�����;如果該主機(jī)的安全狀態(tài)級(jí)別大于等于策略中的規(guī)定值����,則向接入系統(tǒng)發(fā)送接入允許消息�����。
所述主機(jī)的安全健康指紋信息包括但不限于操作系統(tǒng)類型�、操作系統(tǒng)版本號(hào)、補(bǔ)丁情況���、文件共享情況��、開放的傳輸控制協(xié)議TCP端口�、開放的用戶數(shù)據(jù)報(bào)協(xié)議UDP端口�����、運(yùn)行的系統(tǒng)服務(wù)�、用戶口令強(qiáng)度、來(lái)賓Guest用戶賬號(hào)使用情況�、賬戶鎖定策略、賬戶口令策略��、啟動(dòng)信息�����、瀏覽器版本、瀏覽器補(bǔ)丁情況�����、Email客戶端版本��、Email客戶端補(bǔ)丁情況��。
所述安全健康指紋信息封裝成格式為“類型�����、長(zhǎng)度�、內(nèi)容”的數(shù)據(jù)包,其中類型字段為特殊標(biāo)識(shí)�����,表明該數(shù)據(jù)包需要送交安全健康指紋認(rèn)證裝置進(jìn)行安全認(rèn)證���,且由客戶端�����、認(rèn)證服務(wù)器和安全健康指紋認(rèn)證裝置三者共同定義���。
所述接入控制裝置中提供用戶接入的端口有兩個(gè)邏輯端口受控端口���,只在認(rèn)證通過(guò)狀態(tài)下開啟�,用于傳遞網(wǎng)絡(luò)資源和服務(wù);不受控端口���,始終處于雙向連通狀態(tài)�,以供客戶端隨時(shí)發(fā)出或接收認(rèn)證��。
所述接入網(wǎng)絡(luò)是內(nèi)部局域網(wǎng)時(shí)���,為支持該網(wǎng)絡(luò)端口的接入控制�����,所述客戶端需要支持的通信協(xié)議為局域網(wǎng)擴(kuò)展認(rèn)證協(xié)議EAPOL(Extensible AuthenticationProtocol Over LAN)�����。
所述接入網(wǎng)絡(luò)是虛擬專用網(wǎng)VPN時(shí)�,為支持該網(wǎng)絡(luò)端口的接入控制,所述客戶端需要支持的通信協(xié)議至少包括下述VPN隧道協(xié)議點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP(Point To Point Tunneling Protocol)���、第二層隧道協(xié)議L2TP(Layer 2Tunneling Protocol)����、Internet安全協(xié)議IPSEC(Internet Protocol security)��。
所述接入網(wǎng)絡(luò)是電信接入網(wǎng)時(shí)���,為支持該網(wǎng)絡(luò)端口的接入控制����,所述客戶端需要支持的通信協(xié)議為在以太網(wǎng)上傳送點(diǎn)對(duì)點(diǎn)數(shù)據(jù)包協(xié)議PPPOE(Point ToPoint Protocol Over Ethernet)���。
為了達(dá)到上述目的��,本發(fā)明還提供了一種采用驗(yàn)證接入主機(jī)安全性的訪問認(rèn)證系統(tǒng)的認(rèn)證方法����,其特征在于采用安全健康指紋信息對(duì)接入主機(jī)的安全性進(jìn)行驗(yàn)證���,以防范網(wǎng)絡(luò)蠕蟲和黑客攻擊���;包括下列步驟(1)在客戶端發(fā)起接入請(qǐng)求時(shí)����,客戶端軟件提取本機(jī)的安全健康指紋信息�,并將該信息封裝成格式為“類型、長(zhǎng)度���、內(nèi)容”的數(shù)據(jù)包,發(fā)送給接入控制裝置����;(2)接入控制裝置發(fā)現(xiàn)指紋信息的認(rèn)證數(shù)據(jù)包后,直接轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器���;或者提取其中用于認(rèn)證的安全健康指紋信息重新封裝后����,轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器��;(3)認(rèn)證服務(wù)器與安全健康指紋認(rèn)證裝置通信��,將安全健康指紋信息發(fā)送給安全健康指紋認(rèn)證裝置;(4)安全健康指紋認(rèn)證裝置將該指紋信息中的相關(guān)字段與其策略庫(kù)中的信息進(jìn)行比對(duì)��,并對(duì)各項(xiàng)信息的比較結(jié)果和相關(guān)條件進(jìn)行綜合評(píng)判���,給出其安全狀態(tài)等級(jí)�����,再將該等級(jí)值與安全準(zhǔn)入的要求進(jìn)行比較���,如果該等級(jí)值大于或等于準(zhǔn)入值,則發(fā)送認(rèn)證通過(guò)信息��;否則�,發(fā)送認(rèn)證失敗或有限制接入消息;
(5)接入控制裝置讀取訪問控制指令���,并根據(jù)該指令對(duì)接入主機(jī)設(shè)置相應(yīng)的授權(quán)狀態(tài)如果是認(rèn)證通過(guò)的消息�����,則完成主機(jī)的接入�;如果是認(rèn)證未通過(guò)的消息���,則拒絕主機(jī)的接入�����,并在客戶端軟件上給出接入失敗提示�;如果是有限制接入的消息,則由接入控制模塊配置對(duì)應(yīng)的訪問策略�。例如讓該感染蠕蟲病毒的主機(jī)只能訪問網(wǎng)絡(luò)中的補(bǔ)丁服務(wù)器,以給該設(shè)備及時(shí)打上補(bǔ)丁修補(bǔ)漏洞��,降低再次感染蠕蟲的可能�。
所述步驟(1)中客戶端軟件發(fā)送認(rèn)證數(shù)據(jù)包時(shí)使用的網(wǎng)絡(luò)通信協(xié)議包括但不限于TCP、UDP�、ICMP、或EAPOL��。
所述步驟(3)中認(rèn)證服務(wù)器與安全健康指紋認(rèn)證裝置之間的通信采用的協(xié)議是遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)RADIUS�����。
本發(fā)明具有以下優(yōu)點(diǎn)(1)有效阻止感染病毒的主機(jī)訪問網(wǎng)絡(luò)��,保證網(wǎng)絡(luò)安全本發(fā)明的訪問認(rèn)證系統(tǒng)根據(jù)主機(jī)的安全健康指紋信息對(duì)該主機(jī)進(jìn)行準(zhǔn)入控制�,阻止或限制感染病毒的主機(jī)接入網(wǎng)絡(luò)����,切斷了其感染其他設(shè)備的途徑��,從而有效防止了網(wǎng)絡(luò)中蠕蟲等病毒的泛濫�����。認(rèn)證方法中配置的訪問控制策略只允許感染病毒的主機(jī)訪問網(wǎng)絡(luò)中的補(bǔ)丁服務(wù)器���,使該設(shè)備及時(shí)打上補(bǔ)丁修補(bǔ)漏洞,從而降低再次感染病毒的可能�����。
(2)訪問認(rèn)證的針對(duì)性強(qiáng)��,不影響其它接入設(shè)備本發(fā)明系統(tǒng)基于端口或用戶身份進(jìn)行訪問控制�����,直接將接入的某一用戶的主機(jī)或終端設(shè)備進(jìn)行隔離��,其他用戶的接入設(shè)備對(duì)網(wǎng)絡(luò)的訪問不受影響���。在安全健康策略庫(kù)中配置有不同安全等級(jí)的訪問控制策略�,針對(duì)不同的接入設(shè)備發(fā)送不同的訪問控制指令。
(3)系統(tǒng)結(jié)構(gòu)簡(jiǎn)單�,軟、硬件投資費(fèi)用少客戶端僅需配置能夠自動(dòng)收集該設(shè)備安全健康指紋信息�����、并以設(shè)定格式打包發(fā)送給安全健康指紋認(rèn)證裝置的客戶端軟件��,其功能比較簡(jiǎn)單����,容易實(shí)現(xiàn)。整個(gè)系統(tǒng)需要添置的硬件設(shè)備只有安全指紋認(rèn)證裝置�����,且可以利用現(xiàn)有的認(rèn)證服務(wù)器軟硬件開發(fā)���,既可加快研制進(jìn)度��,還可方便地實(shí)現(xiàn)和傳統(tǒng)認(rèn)證服務(wù)器的接口。
綜上所述����,本發(fā)明基于安全健康指紋驗(yàn)證接入主機(jī)安全性的訪問認(rèn)證系統(tǒng)和方法將由安全指紋信息所得出的主機(jī)安全等級(jí)作為對(duì)該主機(jī)進(jìn)行訪問控制的依據(jù)�,通過(guò)安全認(rèn)證裝置下發(fā)針對(duì)網(wǎng)絡(luò)設(shè)備具體端口的訪問控制策略�,能在其他主機(jī)或設(shè)備正常訪問網(wǎng)絡(luò)的情況下,有效阻止安全等級(jí)較低的主機(jī)接入網(wǎng)絡(luò)�����;同時(shí)�����,通過(guò)合理設(shè)置�,還能使用戶及時(shí)為感染病毒的主機(jī)打上補(bǔ)丁。本發(fā)明可以廣泛應(yīng)用于企業(yè)內(nèi)網(wǎng)的安全防御���,能夠有效隔離網(wǎng)絡(luò)蠕蟲和黑客攻擊����,極大降低網(wǎng)絡(luò)蠕蟲����、黑客攻擊對(duì)主機(jī)和網(wǎng)絡(luò)的影響。
圖1是本發(fā)明驗(yàn)證接入主機(jī)安全性的訪問認(rèn)證系統(tǒng)的組成結(jié)構(gòu)示意圖����。
圖2是本發(fā)明訪問認(rèn)證系統(tǒng)的認(rèn)證方法的操作步驟流程圖�����。
圖3是本發(fā)明訪問認(rèn)證系統(tǒng)的第一實(shí)施例的組成部件及內(nèi)部架構(gòu)方框圖���。
圖4是本發(fā)明訪問認(rèn)證系統(tǒng)的第一實(shí)施例的結(jié)構(gòu)組成示意圖。
圖5是本發(fā)明訪問認(rèn)證系統(tǒng)的第二實(shí)施例的結(jié)構(gòu)組成示意圖�。
圖6是本發(fā)明訪問認(rèn)證系統(tǒng)的第二實(shí)施例的結(jié)構(gòu)組成示意圖。
具體實(shí)施例方式
為使本發(fā)明的目的�����、技術(shù)方案和優(yōu)點(diǎn)更加清楚�����,下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步的詳細(xì)描述�����。
參見圖1���,本發(fā)明是一種采用安全健康指紋信息驗(yàn)證接入主機(jī)安全性的訪問認(rèn)證系統(tǒng)��,該系統(tǒng)組成構(gòu)件包括客戶端1���,為接入網(wǎng)絡(luò)而需要驗(yàn)證其安全性能的主機(jī),機(jī)內(nèi)安裝有用于安全健康指紋認(rèn)證的客戶端軟件�����,該軟件能采集該主機(jī)的安全健康指紋信息���,并經(jīng)由接入控制裝置����、認(rèn)證服務(wù)器發(fā)送到安全健康指紋認(rèn)證裝置進(jìn)行驗(yàn)證��;其中安全健康指紋主要包括但不僅限于下述信息操作系統(tǒng)類型����、操作系統(tǒng)版本號(hào)、補(bǔ)丁情況�����、文件共享情況�、開放的TCP端口、開放的UDP端口�、運(yùn)行的系統(tǒng)服務(wù)����、用戶口令強(qiáng)度�����、來(lái)賓Guest用戶賬號(hào)使用情況��、賬戶鎖定策略��、賬戶口令策略�、啟動(dòng)信息、瀏覽器版本���、瀏覽器補(bǔ)丁情況��、Email客戶端版本�����、Email客戶端補(bǔ)丁情況���。
接入控制裝置2,為用戶提供接入的網(wǎng)絡(luò)設(shè)備,其內(nèi)部設(shè)有提供用戶接入的端口和接入控制模塊���;在收到安全健康指紋認(rèn)證裝置返回的認(rèn)證結(jié)果后,控制主機(jī)的接入請(qǐng)求允許接入���、拒絕接入或只允許訪問部分提供服務(wù)的網(wǎng)元�����;認(rèn)證服務(wù)器3�����,為通過(guò)用戶名/密碼進(jìn)行身份認(rèn)證的傳統(tǒng)服務(wù)器���,用于與安全健康指紋認(rèn)證裝置配合,對(duì)用戶進(jìn)行用戶身份和主機(jī)安全性的雙重認(rèn)證���;安全健康指紋認(rèn)證裝置4��,為用戶主機(jī)接入的驗(yàn)證設(shè)備�,其內(nèi)部設(shè)有一個(gè)安全健康策略庫(kù)和一個(gè)信息接口��,從客戶端接收安全健康指紋,并針對(duì)指紋中的信息在安全健康策略庫(kù)進(jìn)行查找比對(duì)�����,根據(jù)綜合的指紋比對(duì)結(jié)果評(píng)估出該主機(jī)的安全狀態(tài)級(jí)別�;再根據(jù)主機(jī)的安全狀態(tài)級(jí)別與訪問控制策略中的規(guī)定值的比較結(jié)果,向接入控制裝置分別發(fā)送接入允許消息���、不允許接入消息或訪問控制策略�。
本發(fā)明基于安全健康指紋的訪問認(rèn)證技術(shù)可以有效控制接入主機(jī)的安全性���,最大限度地防范蠕蟲爆發(fā)和黑客攻擊�����,保障主機(jī)和網(wǎng)絡(luò)的安全穩(wěn)定����。
參見圖2���,介紹本發(fā)明采用安全健康指紋信息對(duì)接入主機(jī)的安全性進(jìn)行訪問認(rèn)證方法的具體操作步驟(1)在客戶端發(fā)起接入請(qǐng)求時(shí)�����,客戶端軟件提取本機(jī)的安全健康指紋信息�,并將該信息封裝成格式為“類型、長(zhǎng)度���、內(nèi)容”的認(rèn)證數(shù)據(jù)包�,使用包括TCP��、UDP�、ICMP�、或EAPOL等網(wǎng)絡(luò)通信協(xié)議將數(shù)據(jù)包發(fā)送給接入控制裝置;(2)接入控制裝置發(fā)現(xiàn)指紋信息的認(rèn)證數(shù)據(jù)包后����,直接轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器;或者提取其中用于認(rèn)證的安全健康指紋信息重新封裝后����,轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器;(3)認(rèn)證服務(wù)器與安全健康指紋認(rèn)證裝置之間采用RADIUS協(xié)議進(jìn)行交互通信����,將安全健康指紋信息發(fā)送給安全健康指紋認(rèn)證裝置;(4)安全健康指紋認(rèn)證裝置將該指紋信息中的相關(guān)字段與其策略庫(kù)中的信息進(jìn)行比對(duì)�����,并對(duì)各項(xiàng)信息的比較結(jié)果和相關(guān)條件進(jìn)行綜合評(píng)判,給出其安全狀態(tài)等級(jí)�,再將該等級(jí)值與安全準(zhǔn)入的要求進(jìn)行比較,如果該等級(jí)值大于或等于準(zhǔn)入值�,則發(fā)送認(rèn)證通過(guò)信息;否則�,發(fā)送認(rèn)證失敗或有限制接入消息;
(5)接入控制裝置讀取訪問控制指令�����,并根據(jù)該指令對(duì)接入主機(jī)設(shè)置相應(yīng)的授權(quán)狀態(tài)如果是認(rèn)證通過(guò)的消息�����,則完成主機(jī)的接入�;如果是認(rèn)證未通過(guò)的消息,則拒絕主機(jī)的接入����,并在客戶端軟件上給出接入失敗提示;如果是有限制接入的消息����,則由接入控制模塊配置對(duì)應(yīng)的訪問策略�����,給訪問控制系統(tǒng)發(fā)送相應(yīng)的訪問控制指令���;例如讓該感染蠕蟲病毒的主機(jī)只能訪問網(wǎng)絡(luò)中的補(bǔ)丁服務(wù)器,以給該設(shè)備及時(shí)打上補(bǔ)丁修補(bǔ)漏洞�����,降低再次感染蠕蟲的可能�。
下面結(jié)合三個(gè)不同接入網(wǎng)絡(luò)����,分別說(shuō)明本發(fā)明的三個(gè)實(shí)施例。
首先是在IEEE802.1x基于端口的訪問控制技術(shù)的基礎(chǔ)上接入企事業(yè)內(nèi)部局域網(wǎng)的實(shí)例��。參見圖3�,此時(shí),本發(fā)明系統(tǒng)包括四個(gè)部分認(rèn)證客戶端1�、接入控制裝置2、認(rèn)證服務(wù)器3和安全健康指紋認(rèn)證裝置4�。
在IEEE802.1x接入認(rèn)證體系中一般將用戶終端作為客戶端1,該終端通常要安裝一個(gè)客戶端軟件�,用戶通過(guò)啟動(dòng)這個(gè)客戶端軟件發(fā)起用戶身份認(rèn)證����,接入控制裝置根據(jù)安全健康指紋認(rèn)證裝置認(rèn)證的結(jié)果決定該用戶終端是否能夠訪問網(wǎng)絡(luò)��。
為支持基于端口的接入控制�,客戶端1需要支持EAPOL協(xié)議。為了支持對(duì)主機(jī)健康指紋的安全認(rèn)證�����,客戶端1應(yīng)該能夠收集該主機(jī)的安全健康指紋信息����,并發(fā)送到認(rèn)證裝置進(jìn)行驗(yàn)證。認(rèn)證數(shù)據(jù)包封裝為“類型����、長(zhǎng)度、內(nèi)容”格式�����,其中類型字段為特殊標(biāo)識(shí)���,表明該數(shù)據(jù)包需要進(jìn)行安全健康指紋認(rèn)證�。
通常支持IEEE802.1x認(rèn)證方式的網(wǎng)絡(luò)設(shè)備(即接入控制裝置2)對(duì)應(yīng)于不同用戶設(shè)備的端口(物理端口或用戶設(shè)備的MAC地址、VLAN��、IP等)有兩個(gè)用于用戶接入的邏輯端口受控端口和不受控端口���。不受控端口始終處于雙向連通狀態(tài)���,主要用來(lái)傳遞EAPOL協(xié)議幀,可保證客戶端隨時(shí)可以發(fā)出或接受認(rèn)證�。受控端口只有在認(rèn)證通過(guò)的狀態(tài)下才打開,用于傳遞網(wǎng)絡(luò)資源和服務(wù)��。如果用戶沒有通過(guò)認(rèn)證�,則受控端口處于未授權(quán)的關(guān)閉狀態(tài),用戶無(wú)法訪問認(rèn)證系統(tǒng)提供的服務(wù)��。開始時(shí)用戶受控端口處于未授權(quán)狀態(tài)����,無(wú)法訪問任何網(wǎng)絡(luò)資源��;只有經(jīng)過(guò)用戶身份認(rèn)證后�����,受控端口才被設(shè)為授權(quán)的開啟狀態(tài)。在本實(shí)施例中�����,接入控制裝置2可用支持IEEE802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備(圖示為交換機(jī))來(lái)實(shí)現(xiàn)�����,其中的接入端口為接入網(wǎng)絡(luò)設(shè)備的物理端口�����,接入控制模塊為接入設(shè)備的控制模塊��。該端口的接入控制模塊將認(rèn)證信息重新封裝為EAPOL協(xié)議幀����,然后用RADIUS協(xié)議發(fā)送給認(rèn)證服務(wù)器3。
由于EAPOL協(xié)議是由IEEE802.1x協(xié)議所定義�,通常支持IEEE802.1x協(xié)議的設(shè)備都能支持EAPOL協(xié)議,本發(fā)明的安全健康指紋認(rèn)證裝置4只需使用標(biāo)準(zhǔn)的RADIUS協(xié)議與認(rèn)證服務(wù)器3進(jìn)行通信交互��,即可完成認(rèn)證���。在此過(guò)程中���,認(rèn)證服務(wù)器3作為RADIUS的客戶端���,負(fù)責(zé)將用RADIUS協(xié)議封裝的EAPOL協(xié)議幀中的指紋信息提取出來(lái),然后重新用RADIUS包格式封裝后����,再發(fā)送給RADIUS的服務(wù)器端-安全健康指紋認(rèn)證裝置4。安全健康指紋信息內(nèi)容則以“類型����、長(zhǎng)度、內(nèi)容”格式封裝在RADIUS包中�,其中類型字段的值必須由客戶端1、認(rèn)證服務(wù)器3和安全健康指紋認(rèn)證裝置4三者統(tǒng)一定義����,使得三者都能夠了解特定字段的含義。
圖4展示了該實(shí)施例系統(tǒng)的組成設(shè)備的部署結(jié)構(gòu)���,其中內(nèi)部局域網(wǎng)的各個(gè)主機(jī)(即客戶端)通過(guò)接入控制裝置-交換機(jī)-連入內(nèi)部局域網(wǎng)(圖中用矩形虛線框出)。
參見圖5��,介紹本發(fā)明在基于VPN訪問控制技術(shù)的基礎(chǔ)上接入企事業(yè)內(nèi)部局域網(wǎng)的實(shí)例����。該系統(tǒng)實(shí)施例的結(jié)構(gòu)組成與圖4大體相同���,區(qū)別只是在接入控制裝置3;也是由四個(gè)部分組成認(rèn)證客戶端1���、VPN接入控制裝置2�、認(rèn)證服務(wù)器3和安全健康指紋認(rèn)證裝置4�。。
在VPN接入認(rèn)證體系中一般將用戶終端作為客戶端1�,該終端通常要安裝一個(gè)客戶端軟件,用戶通過(guò)啟動(dòng)該客戶端軟件發(fā)起用戶身份認(rèn)證�,VPN接入控制裝置根據(jù)安全健康指紋認(rèn)證裝置認(rèn)證的結(jié)果決定該用戶終端允許或阻止訪問網(wǎng)絡(luò)。
為支持基于VPN的接入控制���,客戶端1需要支持PPTP���、L2TP、IPSEC等各種VPN隧道協(xié)議����。為了支持主機(jī)健康指紋的安全認(rèn)證,客戶端1應(yīng)該能夠收集該終端安全健康指紋信息,并發(fā)送到認(rèn)證裝置進(jìn)行驗(yàn)證�。認(rèn)證數(shù)據(jù)包以“類型、長(zhǎng)度���、內(nèi)容”格式封裝�,其中類型字段為特殊標(biāo)識(shí)�,表明該數(shù)據(jù)包需要進(jìn)行安全健康指紋的安全性訪問認(rèn)證。
在第二實(shí)施例中����,接入控制裝置2可用支持一種或多種VPN隧道協(xié)議的網(wǎng)絡(luò)設(shè)備來(lái)實(shí)現(xiàn),其中的接入端口為VPN接入設(shè)備的物理或邏輯端口���,接入控制模塊為VPN接入設(shè)備的控制模塊���。該接入控制模塊首先將認(rèn)證信息解密,提取出認(rèn)證信息��,然后用RADIUS協(xié)議發(fā)送給認(rèn)證服務(wù)器3�。
認(rèn)證服務(wù)器3負(fù)責(zé)從RADIUS協(xié)議封裝的認(rèn)證包中提取指紋信息,然后重新用RADIUS包格式封裝后����,發(fā)送給安全健康指紋認(rèn)證裝置4���。認(rèn)證服務(wù)器3使用標(biāo)準(zhǔn)的RADIUS協(xié)議與安全健康指紋認(rèn)證裝置4進(jìn)行通信���,在此過(guò)程中�,認(rèn)證服務(wù)器3為RADIUS的客戶端�,安全健康指紋認(rèn)證裝置4為RADIUS的服務(wù)器端。安全健康指紋信息的內(nèi)容以“類型��、長(zhǎng)度����、內(nèi)容”格式封裝在RADIUS包中,其中類型字段的值必須由客戶端1����、認(rèn)證服務(wù)器3和安全健康指紋認(rèn)證裝置4三者統(tǒng)一定義,使得三者都了解特定字段的含義���。
圖5展示了該實(shí)施例系統(tǒng)組成設(shè)備的部署結(jié)構(gòu)�����,外部網(wǎng)絡(luò)的各主機(jī)通過(guò)VPN接入設(shè)備連入內(nèi)部局域網(wǎng)(圖中用矩形虛線框出)�。
參見圖6,介紹本發(fā)明在基于PPPOE撥號(hào)接入訪問控制技術(shù)的基礎(chǔ)上接入電信網(wǎng)的實(shí)例����。該系統(tǒng)實(shí)施例的結(jié)構(gòu)組成與圖4、圖5大體相同����,區(qū)別只是在接入控制裝置3;也是由四個(gè)部分組成認(rèn)證客戶端1����、PPPOE接入控制裝置2、認(rèn)證服務(wù)器3和安全健康指紋認(rèn)證裝置4���。
在PPPOE接入認(rèn)證體系中一般將用戶終端作為客戶端1�����,該終端通常要安裝一個(gè)客戶端軟件����,用戶通過(guò)啟動(dòng)這個(gè)客戶端軟件發(fā)起用戶身份認(rèn)證����,PPPOE接入控制裝置根據(jù)安全健康指紋認(rèn)證裝置認(rèn)證的結(jié)果允許或阻止用戶終端訪問網(wǎng)絡(luò)��。
為支持基于PPPOE的接入控制�����,客戶端1需支持PPPOE協(xié)議。為支持主機(jī)健康指紋的安全認(rèn)證�����,客戶端1應(yīng)該能夠收集該終端安全健康指紋信息��,并發(fā)送到認(rèn)證裝置進(jìn)行驗(yàn)證�。認(rèn)證數(shù)據(jù)包封裝為“類型、長(zhǎng)度�、內(nèi)容”格式,其中類型字段為特殊標(biāo)識(shí)�,表明該數(shù)據(jù)包需要進(jìn)行安全健康指紋的安全性訪問認(rèn)證。
在該第三實(shí)施例中��,接入裝置2可用PPPOE協(xié)議的網(wǎng)絡(luò)設(shè)備來(lái)實(shí)現(xiàn)�,其中的接入端口為PPPOE接入設(shè)備的物理或邏輯端口,接入控制模塊為PPPOE接入設(shè)備的控制模塊�����。
PPPOE協(xié)議提供了在廣播式的網(wǎng)絡(luò)中多臺(tái)主機(jī)連接到遠(yuǎn)端的訪問集中器上的一種標(biāo)準(zhǔn)。在這種網(wǎng)絡(luò)模型中��,所有用戶的主機(jī)都需要能獨(dú)立地初始化自已的PPP協(xié)議棧��,而且通過(guò)PPP協(xié)議本身所具有的一些特點(diǎn)����,實(shí)現(xiàn)在廣播式網(wǎng)絡(luò)上對(duì)用戶進(jìn)行計(jì)費(fèi)和管理。
PPPOE協(xié)議共包括兩個(gè)階段�����,即PPPOE的發(fā)現(xiàn)階段(PPPOE DiscoveryStage)和PPPOE的會(huì)話階段(PPPOE Session Stage)�����。
當(dāng)一個(gè)客戶端主機(jī)希望開始一個(gè)PPPOE會(huì)話時(shí)�,它首先會(huì)在廣播式的網(wǎng)絡(luò)上尋找一個(gè)訪問集中器,當(dāng)該主機(jī)選擇了其所需要的接入服務(wù)器后�,就開始和該接入服務(wù)器建立一個(gè)PPPOE會(huì)話進(jìn)程。在這個(gè)過(guò)程中�,訪問集中器會(huì)為每一個(gè)PPPOE會(huì)話分配一個(gè)唯一的進(jìn)程標(biāo)識(shí)ID,會(huì)話建立起來(lái)后��,就開始了PPPOE的會(huì)話階段��。在該階段中已建立好點(diǎn)對(duì)點(diǎn)連接的雙方就采用PPP協(xié)議來(lái)交換數(shù)據(jù)報(bào)文,從而完成一系列PPP的過(guò)程�����,最終將在這條點(diǎn)對(duì)點(diǎn)的邏輯通道上進(jìn)行網(wǎng)絡(luò)層數(shù)據(jù)報(bào)的傳送�。
PPPOE接入控制裝置2的接入控制模塊首先通過(guò)PPPOE認(rèn)證對(duì)客戶端1發(fā)送過(guò)來(lái)的用戶名和密碼進(jìn)行驗(yàn)證。認(rèn)證通過(guò)后�����,接入控制模塊將收到的安全健康指紋信息用RADIUS協(xié)議發(fā)送給認(rèn)證服務(wù)器3和安全健康指紋認(rèn)證裝置4�����。
認(rèn)證服務(wù)器3負(fù)責(zé)從RADIUS協(xié)議封裝的認(rèn)證包中提取指紋信息���,然后重新用RADIUS包格式封裝后,發(fā)送給安全健康指紋認(rèn)證裝置4�����。認(rèn)證服務(wù)器3使用標(biāo)準(zhǔn)的RADIUS協(xié)議與安全健康指紋認(rèn)證裝置4進(jìn)行通信�����,在此過(guò)程中,認(rèn)證服務(wù)器3為RADIUS的客戶端�,安全健康指紋認(rèn)證裝置4為RADIUS的服務(wù)器端。安全健康指紋信息的內(nèi)容以“類型����、長(zhǎng)度、內(nèi)容”格式封裝在RADIUS包中����,其中類型字段的值必須由客戶端1、認(rèn)證服務(wù)器3和安全健康指紋認(rèn)證裝置4三者統(tǒng)一定義���,使得三者都了解特定字段的含義�。
安全健康指紋認(rèn)證裝置4針對(duì)主機(jī)的安全情況進(jìn)行評(píng)估后�����,決定是否允許該主機(jī)接入網(wǎng)絡(luò)����。
圖6展示了該第三實(shí)施例的訪問認(rèn)證系統(tǒng)組成設(shè)備的部署結(jié)構(gòu),各個(gè)撥號(hào)用戶主機(jī)(即客戶端)通過(guò)PPPOE接入設(shè)備連入被訪問的公共電信網(wǎng)絡(luò)(圖中用矩形虛線框出)���。
權(quán)利要求
1.一種驗(yàn)證接入主機(jī)安全性的訪問認(rèn)證系統(tǒng)���,其特征在于該系統(tǒng)采用安全健康指紋信息對(duì)接入網(wǎng)絡(luò)的主機(jī)安全性進(jìn)行訪問認(rèn)證�����,系統(tǒng)組成構(gòu)件包括認(rèn)證客戶端���,為接入網(wǎng)絡(luò)而需要驗(yàn)證其安全性的主機(jī),機(jī)內(nèi)安裝有用于安全健康指紋認(rèn)證的客戶端軟件���,該客戶端軟件能夠采集該主機(jī)的安全健康指紋信息��,經(jīng)由接入控制裝置、認(rèn)證服務(wù)器發(fā)送到安全健康指紋認(rèn)證裝置進(jìn)行驗(yàn)證�����;接入控制裝置���,為用戶提供接入的網(wǎng)絡(luò)設(shè)備���,其內(nèi)部設(shè)有提供用戶接入的端口和接入控制模塊;在收到安全健康指紋認(rèn)證裝置返回的認(rèn)證結(jié)果后,控制主機(jī)的接入請(qǐng)求允許接入�����、拒絕接入或只允許訪問部分提供服務(wù)的網(wǎng)元��;認(rèn)證服務(wù)器���,為通過(guò)用戶名/密碼進(jìn)行身份認(rèn)證的傳統(tǒng)服務(wù)器�,用于與安全健康指紋認(rèn)證裝置配合����,對(duì)用戶進(jìn)行用戶身份和主機(jī)安全性的雙重認(rèn)證;安全健康指紋認(rèn)證裝置����,為用戶主機(jī)接入的驗(yàn)證設(shè)備,其內(nèi)部設(shè)有一個(gè)安全健康策略庫(kù)和一個(gè)信息接口�����,負(fù)責(zé)接收客戶端的安全健康指紋��,并針對(duì)指紋中的信息在安全健康策略庫(kù)進(jìn)行查找比對(duì)���,根據(jù)綜合的指紋比對(duì)結(jié)果評(píng)估出該主機(jī)的安全狀態(tài)級(jí)別��;如果該主機(jī)的安全狀態(tài)級(jí)別低于策略中的規(guī)定值���,則向接入控制裝置發(fā)送不允許接入消息或訪問控制策略����;如果該主機(jī)的安全狀態(tài)級(jí)別大于等于策略中的規(guī)定值�,則向接入系統(tǒng)發(fā)送接入允許消息。
2.根據(jù)權(quán)利要求1所述的訪問認(rèn)證系統(tǒng)�,其特征在于所述主機(jī)的安全健康指紋信息包括但不限于操作系統(tǒng)類型、操作系統(tǒng)版本號(hào)��、補(bǔ)丁情況����、文件共享情況、開放的傳輸控制協(xié)議TCP端口�����、開放的用戶數(shù)據(jù)報(bào)協(xié)議UDP端口����、運(yùn)行的系統(tǒng)服務(wù)、用戶口令強(qiáng)度���、來(lái)賓Guest用戶賬號(hào)使用情況����、賬戶鎖定策略�����、賬戶口令策略�、啟動(dòng)信息、瀏覽器版本����、瀏覽器補(bǔ)丁情況、Email客戶端版本��、Email客戶端補(bǔ)丁情況�。
3.根據(jù)權(quán)利要求1或2所述的訪問認(rèn)證系統(tǒng),其特征在于所述安全健康指紋信息封裝成格式為“類型��、長(zhǎng)度��、內(nèi)容”的數(shù)據(jù)包��,其中類型字段為特殊標(biāo)識(shí),表明該數(shù)據(jù)包需要送交安全健康指紋認(rèn)證裝置進(jìn)行安全認(rèn)證����,且由客戶端、認(rèn)證服務(wù)器和安全健康指紋認(rèn)證裝置三者共同定義�����。
4.根據(jù)權(quán)利要求1所述的訪問認(rèn)證系統(tǒng)�����,其特征在于所述接入控制裝置中提供用戶接入的端口有兩個(gè)邏輯端口受控端口�����,只在認(rèn)證通過(guò)狀態(tài)下開啟�����,用于傳遞網(wǎng)絡(luò)資源和服務(wù)��;不受控端口����,始終處于雙向連通狀態(tài),以供客戶端隨時(shí)發(fā)出或接收認(rèn)證�。
5.根據(jù)權(quán)利要求1所述的訪問認(rèn)證系統(tǒng),其特征在于所述接入網(wǎng)絡(luò)是內(nèi)部局域網(wǎng)時(shí)�,為支持該網(wǎng)絡(luò)端口的接入控制,所述客戶端需要支持的通信協(xié)議為局域網(wǎng)擴(kuò)展認(rèn)證協(xié)議EAPOL�����。
6.根據(jù)權(quán)利要求1所述的訪問認(rèn)證系統(tǒng)����,其特征在于所述接入網(wǎng)絡(luò)是虛擬專用網(wǎng)VPN時(shí),為支持該網(wǎng)絡(luò)端口的接入控制���,所述客戶端需要支持的通信協(xié)議至少包括下述VPN隧道協(xié)議點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP�����、第二層隧道協(xié)議L2TP��、Internet安全協(xié)議IPSEC����。
7.根據(jù)權(quán)利要求1所述的訪問認(rèn)證系統(tǒng)����,其特征在于所述接入網(wǎng)絡(luò)是電信接入網(wǎng)時(shí)���,為支持該網(wǎng)絡(luò)端口的接入控制,所述客戶端需要支持的通信協(xié)議為在以太網(wǎng)上傳送點(diǎn)對(duì)點(diǎn)數(shù)據(jù)包協(xié)議PPPOE�����。
8.一種采用權(quán)利要求1所述的驗(yàn)證接入主機(jī)安全性的訪問認(rèn)證系統(tǒng)的認(rèn)證方法��,其特征在于采用安全健康指紋信息對(duì)接入主機(jī)的安全性進(jìn)行驗(yàn)證����,以防范網(wǎng)絡(luò)蠕蟲和黑客攻擊;包括下列步驟(1)在客戶端發(fā)起接入請(qǐng)求時(shí)�,客戶端軟件提取本機(jī)的安全健康指紋信息,并將該信息封裝成格式為“類型�����、長(zhǎng)度�、內(nèi)容”的數(shù)據(jù)包,發(fā)送給接入控制裝置����;(2)接入控制裝置發(fā)現(xiàn)指紋信息的認(rèn)證數(shù)據(jù)包后��,直接轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器;或者提取其中用于認(rèn)證的安全健康指紋信息重新封裝后��,轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器�����;(3)認(rèn)證服務(wù)器與安全健康指紋認(rèn)證裝置通信��,將安全健康指紋信息發(fā)送給安全健康指紋認(rèn)證裝置��;(4)安全健康指紋認(rèn)證裝置將該指紋信息中的相關(guān)字段與其策略庫(kù)中的信息進(jìn)行比對(duì)����,并對(duì)各項(xiàng)信息的比較結(jié)果和相關(guān)條件進(jìn)行綜合評(píng)判,給出其安全狀態(tài)等級(jí)��,再將該等級(jí)值與安全準(zhǔn)入的要求進(jìn)行比較���,如果該等級(jí)值大于或等于準(zhǔn)入值����,則發(fā)送認(rèn)證通過(guò)信息�����;否則,發(fā)送認(rèn)證失敗或有限制接入消息�;(5)接入控制裝置讀取訪問控制指令,并根據(jù)該指令對(duì)接入主機(jī)設(shè)置相應(yīng)的授權(quán)狀態(tài)如果是認(rèn)證通過(guò)的消息�,則完成主機(jī)的接入;如果是認(rèn)證未通過(guò)的消息���,則拒絕主機(jī)的接入���,并在客戶端軟件上給出接入失敗提示;如果是有限制接入的消息���,則由接入控制模塊配置對(duì)應(yīng)的訪問策略����。
9.根據(jù)權(quán)利要求8所述的認(rèn)證方法���,其特征在于所述步驟(1)中客戶端軟件發(fā)送認(rèn)證數(shù)據(jù)包時(shí)使用的網(wǎng)絡(luò)通信協(xié)議包括但不限于TCP���、UDP、ICMP、或EAPOL�����。
10.根據(jù)權(quán)利要求8所述的認(rèn)證方法�,其特征在于所述步驟(3)中認(rèn)證服務(wù)器與安全健康指紋認(rèn)證裝置之間的通信采用的協(xié)議是遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)RADIUS。
全文摘要
一種驗(yàn)證接入主機(jī)安全性的訪問認(rèn)證系統(tǒng)��,由客戶端��、接入控制裝置�����、認(rèn)證用戶身份的認(rèn)證服務(wù)器和安全健康指紋認(rèn)證裝置組成�。其中客戶端為接入主機(jī)��,機(jī)內(nèi)客戶端軟件采集該主機(jī)的安全健康指紋信息��,經(jīng)由接入控制裝置�、認(rèn)證服務(wù)器發(fā)送到安全健康指紋認(rèn)證裝置進(jìn)行驗(yàn)證。接入控制裝置內(nèi)有供用戶接入的端口和接入控制模塊�����;在收到返回的認(rèn)證結(jié)果后,控制主機(jī)的接入請(qǐng)求允許接入��、拒絕接入或只允許訪問部分提供服務(wù)的網(wǎng)元�����。安全健康指紋認(rèn)證裝置內(nèi)有安全健康策略庫(kù)��,用于指紋信息的查找比對(duì)�����,并根據(jù)比對(duì)結(jié)果評(píng)估主機(jī)的安全性����,決定是否允許接入網(wǎng)絡(luò)。本發(fā)明基于安全健康指紋的訪問認(rèn)證方法����,能夠驗(yàn)證各種接入網(wǎng)絡(luò)的主機(jī)的安全性,有效保證網(wǎng)絡(luò)安全���。
文檔編號(hào)H04L9/32GK1744494SQ20051011252
公開日2006年3月8日 申請(qǐng)日期2005年9月30日 優(yōu)先權(quán)日2005年9月30日
發(fā)明者余曉光, 陳珣, 金華敏, 王帥, 沈軍 申請(qǐng)人:廣東省電信有限公司研究院