本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)，特別涉及一種網(wǎng)絡(luò)準(zhǔn)入控制管理平臺(tái)及管理方法，是一種對(duì)接入網(wǎng)絡(luò)系統(tǒng)的用戶、終端、交換機(jī)端口、IP地址、Vlan、終端信息（包含硬盤序列號(hào)、操作系統(tǒng)版本、操作系統(tǒng)安裝時(shí)間、必須運(yùn)行的進(jìn)程和服務(wù)等）進(jìn)行識(shí)別，最終控制其是否能夠接入網(wǎng)絡(luò)的網(wǎng)絡(luò)安全管理平臺(tái)及管理方法。

背景技術(shù)：

網(wǎng)絡(luò)準(zhǔn)入控制是指對(duì)網(wǎng)絡(luò)的邊界進(jìn)行保護(hù),對(duì)接入的終端進(jìn)行合規(guī)性檢測(cè)。在網(wǎng)絡(luò)準(zhǔn)入控制領(lǐng)域，最經(jīng)常使用的技術(shù)是國(guó)際標(biāo)準(zhǔn)的AAA（Authentication Authorization Accounting）管理框架，其在以太網(wǎng)下使用的標(biāo)準(zhǔn)為IEEE802.1x標(biāo)準(zhǔn)，經(jīng)常使用的協(xié)議為Radius協(xié)議。

AAA管理框架，即身份驗(yàn)證(Authentication)、授權(quán) (Authorization)和計(jì)費(fèi) (Accounting)三者統(tǒng)一的系統(tǒng)及框架。這三種安全服務(wù)功能的具體作用如下：

認(rèn)證：確認(rèn)遠(yuǎn)端訪問用戶的身份，判斷訪問者是否為合法用戶；

授權(quán)：對(duì)不同的用戶授予不同的權(quán)限，限制用戶可以使用的服務(wù)；

計(jì)費(fèi)：記錄用戶使用網(wǎng)絡(luò)中的所有操作，包括起始時(shí)間、數(shù)據(jù)流量等，它不僅是一種計(jì)費(fèi)手段，也對(duì)網(wǎng)絡(luò)安全起到監(jiān)視作用。

802.1x標(biāo)準(zhǔn)，是一種基于端口的訪問控制協(xié)議（port-based network access control protocol），是針對(duì)Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口(access port)訪問LAN/WLAN。在獲得交換機(jī)認(rèn)證通過之前，802.1x只允許通過EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口，認(rèn)證通過后，正常的數(shù)據(jù)可以順利通過以太網(wǎng)端口。

Radius（Remote Authentication Dial In User Service）協(xié)議，是NAS（Network Access Server）設(shè)備與AAA服務(wù)器之間運(yùn)行的主流協(xié)議。RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS（Net Access Server）服務(wù)器，任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端。RADIUS協(xié)議認(rèn)證機(jī)制靈活，可以采用PAP、CHAP、PEAP、EAP-TLS或者Unix登錄認(rèn)證等多種方式。RADIUS是一種可擴(kuò)展的協(xié)議，它進(jìn)行的全部工作都是基于Attribute-Length-Value的向量進(jìn)行的。RADIUS也支持廠商擴(kuò)充廠家專有屬性。由于RADIUS協(xié)議簡(jiǎn)單明確，可擴(kuò)充，因此得到了廣泛應(yīng)用，包括普通電話上網(wǎng)、ADSL上網(wǎng)、小區(qū)寬帶上網(wǎng)、IP電話、VPDN（Virtual Private Dialup Networks、基于撥號(hào)用戶的虛擬專用撥號(hào)網(wǎng)業(yè)務(wù)）、 IPSEC VPN接入、移動(dòng)電話預(yù)付費(fèi)等業(yè)務(wù)。

Radius認(rèn)證過程是接入設(shè)備（NAS）與AAA服務(wù)器的交互過程，其認(rèn)證步驟如下：

Step1：接入設(shè)備在連接網(wǎng)線后，NAS設(shè)備向客戶端發(fā)送響應(yīng)包，要求用戶提供合法的身份標(biāo)識(shí)，如用戶名、密碼；

Step2：客戶端收到響應(yīng)后，提供身份和標(biāo)識(shí)給接入交換機(jī)。由于此時(shí)客戶端還未經(jīng)過驗(yàn)證，因此驗(yàn)證流只能從接入交換機(jī)的未授權(quán)的邏輯端口經(jīng)過，接入交換機(jī)通過Radius協(xié)議將認(rèn)證流發(fā)給AAA服務(wù)器，進(jìn)行認(rèn)證；

Step3：如果認(rèn)證通過，則接入交換機(jī)的受控端口打開；否則，端口保持受限狀態(tài)，設(shè)備無法入網(wǎng)。

通用的基于AAA的準(zhǔn)入控制方案在應(yīng)對(duì)國(guó)內(nèi)有分級(jí)保護(hù)或等級(jí)保護(hù)要求的網(wǎng)絡(luò)準(zhǔn)入管理方面存在4大缺點(diǎn)：1、對(duì)接入終端設(shè)備的IP地址很難進(jìn)行統(tǒng)一有效的控制，遇到安全事件可追溯性差。2、只對(duì)用戶信息進(jìn)行驗(yàn)證（身份驗(yàn)證），無法對(duì)接入網(wǎng)絡(luò)的終端設(shè)備的其他信息進(jìn)行驗(yàn)證，管理顆粒度太粗。3、實(shí)現(xiàn)網(wǎng)絡(luò)授權(quán)比較繁瑣、不靈活，NAS設(shè)備的日常管理工作量無任何減少。4、檢查終端信息必須另外安裝客戶端，部署麻煩，客戶端兼容性也存在致命問題。

首先，在使用標(biāo)準(zhǔn)的AAA解決方案中，用戶使用IP地址的管理方式有兩種：一種是動(dòng)態(tài)DHCP模式，一種是靜態(tài)設(shè)置模式。不管使用哪種IP地址管理方式都無法通過統(tǒng)一的管理平臺(tái)對(duì)IP地址進(jìn)行有效的控制與審計(jì)。

其次，AAA標(biāo)準(zhǔn)下，只對(duì)接入設(shè)備的EAP（用戶）信息進(jìn)行核對(duì)，無法對(duì)其他信息進(jìn)行核實(shí)，用戶需要終端設(shè)備在入網(wǎng)時(shí)對(duì)終端的入網(wǎng)時(shí)間、入網(wǎng)設(shè)備的MAC地址、接入的端口等信息進(jìn)行有效控制，此標(biāo)準(zhǔn)下無法管理。

再次，用戶接入網(wǎng)絡(luò)無有效的方式對(duì)其使用的VLAN信息進(jìn)行有效的策略下發(fā)。管理異常麻煩。

最后，現(xiàn)在AAA解決方案中幾乎全部使用安裝客戶端的方式來進(jìn)行有效的網(wǎng)絡(luò)準(zhǔn)入控制管理和終端信息（包含硬盤序列號(hào)、操作系統(tǒng)版本、操作系統(tǒng)安裝時(shí)間、必須運(yùn)行的進(jìn)程和服務(wù)等）檢測(cè)，安裝客戶端會(huì)使終端性能大打折扣、兼容性也存在問題、實(shí)施部署異常麻煩。

技術(shù)實(shí)現(xiàn)要素：

為了克服上述現(xiàn)有技術(shù)存在的缺陷，本發(fā)明提供一種網(wǎng)絡(luò)準(zhǔn)入控制管理平臺(tái)及管理辦法，實(shí)現(xiàn)了對(duì)各個(gè)品牌的NAS設(shè)備、各種終端的網(wǎng)絡(luò)準(zhǔn)入的快速管理。形成了一套不需要在終端上另外安裝客戶端軟件的，融合了網(wǎng)絡(luò)準(zhǔn)入控制、IP地址集中管控、終端策略檢測(cè)等功能的網(wǎng)絡(luò)準(zhǔn)入控制管理平臺(tái)。

為了實(shí)現(xiàn)上述目的，本發(fā)明技術(shù)方案之一是提供一種網(wǎng)絡(luò)準(zhǔn)入控制管理平臺(tái)，包括：入網(wǎng)策略檢測(cè)系統(tǒng)；IP地址集中管控系統(tǒng)；終端策略檢測(cè)系統(tǒng)。所述入網(wǎng)策略檢測(cè)系統(tǒng)對(duì)設(shè)備入網(wǎng)策略進(jìn)行檢測(cè)，所述IP地址集中管控系統(tǒng)對(duì)入網(wǎng)終端IP地址進(jìn)行分配，所述終端策略檢測(cè)系統(tǒng)對(duì)入網(wǎng)終端的終端策略進(jìn)行檢測(cè)。

作為優(yōu)選，本發(fā)明所述入網(wǎng)策略檢測(cè)系統(tǒng)，將Radius協(xié)議進(jìn)行擴(kuò)展，除了對(duì)用戶憑證進(jìn)行驗(yàn)證之外還對(duì)Radius協(xié)議中AVP屬性的CallingStationID，NASPort，NASPortType，NASPortID，TimeStamp，NASIPAddress即終端接入時(shí)的MAC地址、接入交換機(jī)IP、接入交換機(jī)端口、接入交換機(jī)端口類型、接入時(shí)間等進(jìn)行驗(yàn)證。對(duì)入網(wǎng)成功的終端，根據(jù)數(shù)據(jù)庫(kù)中對(duì)此終端已經(jīng)分配的網(wǎng)絡(luò)Vlan信息對(duì)AVP中的Tunnel-Medium-Type,Tunnel-Pvt-Group-ID,Tunnel-Type屬性進(jìn)行調(diào)整，授權(quán)終端入網(wǎng)的Vlan信息，實(shí)現(xiàn)NAS設(shè)備的動(dòng)態(tài)Vlan效果。

作為優(yōu)選，本發(fā)明所述IP地址集中管控系統(tǒng)在現(xiàn)有DHCP機(jī)制上進(jìn)行擴(kuò)展，實(shí)際是一種受控的DHCP服務(wù)機(jī)制，對(duì)入網(wǎng)的終端可根據(jù)平臺(tái)中管理員預(yù)先分配好的IP地址與MAC地址對(duì)應(yīng)關(guān)系對(duì)IP地址進(jìn)行下發(fā)，以達(dá)到對(duì)IP地址集中控制的目的。

作為優(yōu)選，本發(fā)明所述終端策略檢測(cè)系統(tǒng)，使用WMI接口從服務(wù)器端遠(yuǎn)程探測(cè)終端的相關(guān)信息，避免另外安裝客戶端的繁瑣工序與兼容性問題。達(dá)到終端策略檢測(cè)目的。

作為優(yōu)選，本發(fā)明所述入網(wǎng)策略檢測(cè)系統(tǒng)，包括身份認(rèn)證模塊、MAC地址檢測(cè)模塊、交換機(jī)及交換機(jī)端口檢測(cè)模塊、入網(wǎng)時(shí)間檢測(cè)模塊、Vlan推送模塊。其可對(duì)入網(wǎng)終端的入網(wǎng)時(shí)間、入網(wǎng)身份、MAC地址、交換機(jī)及交換機(jī)端口進(jìn)行檢測(cè)。檢測(cè)通過后可根據(jù)平臺(tái)中錄入的策略信息把終端分配至對(duì)應(yīng)Vlan中，避免用戶在CLI或者交換機(jī)管理界面下對(duì)交換機(jī)端口劃分Vlan的麻煩。檢測(cè)不通過，將終端推送至預(yù)先設(shè)置的隔離Vlan中或者直接關(guān)閉此交換機(jī)端口，為了適應(yīng)用戶需求，本平臺(tái)的隔離VLAN可以根據(jù)安全級(jí)別進(jìn)一步細(xì)分，可以根據(jù)終端設(shè)備的安全級(jí)別將不符合入網(wǎng)策略的終端推送至對(duì)應(yīng)安全級(jí)別的隔離VLAN中，保證不同安全級(jí)別的終端之間的通信安全。

作為優(yōu)選，本發(fā)明所述IP地址集中管控系統(tǒng)，包括IP地址下發(fā)模塊、IP地址保留模塊、IP地址回收（強(qiáng)制、自動(dòng)）模塊，終端在成功通過入網(wǎng)策略檢測(cè)后，IP地址控制系統(tǒng)根據(jù)平臺(tái)中分配的IP地址對(duì)終端進(jìn)行強(qiáng)制IP推送。在IP地址控制系統(tǒng)中保留的IP地址，網(wǎng)絡(luò)中無法使用。用戶可手動(dòng)的進(jìn)行IP地址的強(qiáng)制回收工作或者在分配時(shí)設(shè)置自動(dòng)回收的時(shí)間，待時(shí)間到達(dá)觸發(fā)自動(dòng)回收條件時(shí)，系統(tǒng)對(duì)IP自動(dòng)回收，保證IP資源最大化利用率。

作為優(yōu)選，本發(fā)明所述終端策略檢測(cè)系統(tǒng)，包括基礎(chǔ)檢測(cè)模塊、進(jìn)程檢測(cè)模塊、服務(wù)檢測(cè)模塊、安裝項(xiàng)檢測(cè)模塊、補(bǔ)丁檢測(cè)模塊、端口檢測(cè)模塊、硬件檢測(cè)模塊、終端安全策略檢測(cè)模塊、屏幕保護(hù)設(shè)置檢測(cè)模塊。終端設(shè)備通過入網(wǎng)策略檢測(cè)，IP地址控制系統(tǒng)對(duì)其下發(fā)了IP地址后，終端策略檢測(cè)系統(tǒng)開始對(duì)終端進(jìn)行策略檢測(cè)，此模塊使用了WMI接口，無需終端安裝任何客戶端，即可實(shí)現(xiàn)上述終端檢測(cè)功能。如檢測(cè)不符，將終端推送至預(yù)先設(shè)置的隔離Vlan中或者直接關(guān)閉此交換機(jī)端口。

本發(fā)明的技術(shù)方案之二是提供一種網(wǎng)絡(luò)準(zhǔn)入控制管理平臺(tái)的管理方法，包括如下步驟：

A、終端入網(wǎng)與NAS設(shè)備進(jìn)行EAPoL通信；NAS設(shè)備與入網(wǎng)策略檢測(cè)系統(tǒng)進(jìn)行Radius通信；

B、對(duì)步驟A中的終端身份進(jìn)行核實(shí)，并查找步驟A中的終端在平臺(tái)中分配的Vlan信息；

C、對(duì)步驟A中的終端入網(wǎng)策略進(jìn)行檢查，檢查不通過，則對(duì)NAS設(shè)備的端口下發(fā)隔離Vlan，檢測(cè)通過，則對(duì)NAS設(shè)備的端口下發(fā)步驟B中的Vlan信息；

D、對(duì)步驟A中的終端進(jìn)行日志記錄；

E、對(duì)步驟A中的終端進(jìn)行IP地址推送，IP地址控制系統(tǒng)根據(jù)系統(tǒng)中的分配策略，對(duì)步驟A中的終端推送IP地址；

F、終端策略檢測(cè)模塊對(duì)步驟A中的終端進(jìn)行終端策略檢查，檢查不通過，將NAS設(shè)備接入端口推送至隔離Vlan；

G、對(duì)步驟A中的終端進(jìn)行終端策略檢查行為的記錄。

本發(fā)明的有益效果是，全面實(shí)現(xiàn)接入交換機(jī)零維護(hù)，無客戶端模式下，基于身份、MAC、交換機(jī)端口、時(shí)間的網(wǎng)絡(luò)準(zhǔn)入、IP地址全生命周期管理、終端策略檢查的統(tǒng)一融合管理，提高了網(wǎng)絡(luò)準(zhǔn)入的安全性，實(shí)現(xiàn)了設(shè)備接入網(wǎng)絡(luò)的管理自動(dòng)化。

附圖說明

圖1為本發(fā)明管理平臺(tái)的結(jié)構(gòu)圖。

圖2為本發(fā)明管理方法的入網(wǎng)邏輯圖。

圖3為本發(fā)明管理方法的入網(wǎng)流程圖。

具體實(shí)施方式

為了使本發(fā)明的創(chuàng)作特征、技術(shù)手段與達(dá)成目的易于明白理解，以下結(jié)合具體實(shí)施例進(jìn)一步闡述本發(fā)明：

實(shí)施例：

一種網(wǎng)絡(luò)準(zhǔn)入控制管理平臺(tái)，包括如圖1所示入網(wǎng)策略檢測(cè)系統(tǒng)（S1），IP地址集中管控系統(tǒng)(S2)，終端策略檢測(cè)系統(tǒng)（S3），所述入網(wǎng)策略檢測(cè)系統(tǒng)（S1）對(duì)入網(wǎng)設(shè)備的身份、MAC地址、接入的交換機(jī)端口、入網(wǎng)時(shí)間進(jìn)行準(zhǔn)入控制，所述IP地址集中管控系統(tǒng)（S2）對(duì)IP地址下發(fā)、IP地址保留、IP地址回收進(jìn)行控制，所述終端策略檢測(cè)系統(tǒng)（S3）對(duì)終端健康性、應(yīng)用管理等進(jìn)行實(shí)時(shí)監(jiān)測(cè)。

參看圖2，一種網(wǎng)絡(luò)準(zhǔn)入控制管理方法，包括邏輯步驟如下：終端入網(wǎng)與NAS設(shè)備進(jìn)行EAPoL通信s1，NAS設(shè)備與入網(wǎng)策略檢測(cè)系統(tǒng)進(jìn)行Radius通信s2，入網(wǎng)策略檢測(cè)系統(tǒng)去LDAP用戶服務(wù)器核對(duì)用戶身份與密碼s3，如此終端的終端策略還未檢測(cè)，則檢測(cè)其入網(wǎng)策略的合法性，如此終端的終端策略不符則拒絕入網(wǎng)，置入隔離vlan s4，入網(wǎng)失敗的進(jìn)入隔離Vlan IP控制系統(tǒng)下發(fā)隔離Vlan地址，入網(wǎng)成功通知終端策略檢測(cè)系統(tǒng)A終端入網(wǎng)成功s5，IP地址控制系統(tǒng)下發(fā)平臺(tái)中對(duì)A分配的IP地址并通知終端策略檢測(cè)系統(tǒng)A終端地址為X s6，終端策略檢測(cè)系統(tǒng)對(duì)A的終端策略進(jìn)行檢測(cè)s7，如檢測(cè)不符，則通知入網(wǎng)策略檢測(cè)系統(tǒng)A終端的終端策略不符s8，重啟交換機(jī)端口，入網(wǎng)策略檢測(cè)系統(tǒng)將A強(qiáng)制置入隔離Vlan s9。

參看圖3，一種網(wǎng)絡(luò)準(zhǔn)入控制管理方法，其流程如下：終端入網(wǎng)，入網(wǎng)策略檢測(cè)系統(tǒng)檢測(cè)其入網(wǎng)的合法性，對(duì)其MAC地址、交換機(jī)端口、帳號(hào)密碼、入網(wǎng)時(shí)間進(jìn)行檢測(cè)，檢測(cè)不合格，強(qiáng)制終端進(jìn)入隔離Vlan。檢測(cè)合格，終端進(jìn)入系統(tǒng)分配的對(duì)應(yīng)Vlan，IP地址集中管控系統(tǒng)按照系統(tǒng)中管理員預(yù)先分配的地址信息，將IP地址分配至終端，終端策略檢測(cè)系統(tǒng)檢測(cè)其終端策略，對(duì)機(jī)器名、硬盤序列號(hào)、操作系統(tǒng)等進(jìn)行檢測(cè)，檢測(cè)合格，成功入網(wǎng)。檢測(cè)不合格，強(qiáng)制終端進(jìn)入隔離Vlan。