一種網(wǎng)絡(luò)準入控制系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)準入控制系統(tǒng)。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,接入網(wǎng)絡(luò)的終端可能會給網(wǎng)絡(luò)帶來各種安全威脅。因此有必要對接入網(wǎng)絡(luò)的終端進行網(wǎng)絡(luò)準入控制,只有經(jīng)過身份驗證和安全狀態(tài)檢查的終端才可以接入網(wǎng)絡(luò)。
[0003]現(xiàn)有網(wǎng)絡(luò)準入控制技術(shù)中,端口級的802.1X處于主流。802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)準入控制技術(shù),連接到啟用了 802.1X協(xié)議的網(wǎng)絡(luò)端口上的終端,必須通過準入認證才能接入網(wǎng)絡(luò),否則無法訪問網(wǎng)絡(luò)中的任何資源,具有安全級別較高,控制靈活的優(yōu)點。
[0004]由于802.1X協(xié)議的實現(xiàn)是端口級別的控制,對網(wǎng)絡(luò)設(shè)備型號有依賴,部分老舊設(shè)備不支持該協(xié)議。同時,需要逐個端口進行配置,實施復(fù)雜,增加了用戶的采購成本和實施成本。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實施例提供一種網(wǎng)絡(luò)準入控制系統(tǒng),不依賴特定接入層交換機等網(wǎng)絡(luò)設(shè)備,實施簡便,成本低。
[0006]本發(fā)明實施例是這樣實現(xiàn)的,一種網(wǎng)絡(luò)準入控制系統(tǒng),所述系統(tǒng)包括:
[0007]準入認證客戶端,設(shè)置于接入終端,用于對接入終端的網(wǎng)絡(luò)資源訪問進行認證;
[0008]網(wǎng)絡(luò)準入控制網(wǎng)關(guān),接入到接入終端訪問網(wǎng)絡(luò)資源的關(guān)鍵路徑上的節(jié)點,用于對訪問網(wǎng)絡(luò)資源的接入終端發(fā)起認證,根據(jù)接入終端的認證狀態(tài)控制接入終端的網(wǎng)絡(luò)資源訪問;以及
[0009]認證服務(wù)器,用于向所述準入認證客戶端下發(fā)安全策略,對所述準入認證客戶端的身份與安全策略檢查狀態(tài)進行檢查,下發(fā)相應(yīng)的網(wǎng)絡(luò)資源訪問控制指令給所述網(wǎng)絡(luò)準入控制網(wǎng)關(guān)。
[0010]本發(fā)明實施例采用網(wǎng)關(guān)方式實現(xiàn)網(wǎng)絡(luò)準入控制,用戶不需要完全替換所有接入層網(wǎng)絡(luò)交換機等網(wǎng)絡(luò)設(shè)備,也不需要大量調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)和修改接入層交換機的配置,實施簡單,采購和實施成本低。
【附圖說明】
[0011]圖1是本發(fā)明實施例提供的網(wǎng)絡(luò)準入控制系統(tǒng)的結(jié)構(gòu)圖;
[0012]圖2是本發(fā)明實施例提供的準入認證客戶端的結(jié)構(gòu)圖;
[0013]圖3是本發(fā)明實施例提供的網(wǎng)絡(luò)準入控制網(wǎng)關(guān)的結(jié)構(gòu)圖;
[0014]圖4是本發(fā)明實施例提供的認證服務(wù)器的結(jié)構(gòu)圖。
【具體實施方式】
[0015]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白,以下結(jié)合附圖及實施例,對本發(fā)明進行進一步詳細說明。應(yīng)當理解,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
[0016]圖1示出了本發(fā)明實施例提供的網(wǎng)絡(luò)準入控制系統(tǒng)的結(jié)構(gòu),為了便于說明,僅示出了與本發(fā)明實施例有關(guān)的部分。
[0017]本發(fā)明實施例中的網(wǎng)絡(luò)準入控制系統(tǒng)包括準入認證客戶端11、網(wǎng)絡(luò)準入控制網(wǎng)關(guān)13和認證服務(wù)器15。
[0018]準入認證客戶端11設(shè)置于接入終端51,對接入終端51的網(wǎng)絡(luò)資源訪問進行認證。
[0019]網(wǎng)絡(luò)準入控制網(wǎng)關(guān)13接入到接入終端51訪問網(wǎng)絡(luò)資源的關(guān)鍵路徑上的節(jié)點,對訪問網(wǎng)絡(luò)資源的接入終端51發(fā)起認證,根據(jù)接入終端51的認證狀態(tài)控制接入終端51的網(wǎng)絡(luò)資源訪問,例如可能的處理控制方法包括丟棄報文、轉(zhuǎn)發(fā)報文、重定向等,這樣就實現(xiàn)了對接入終端51的網(wǎng)絡(luò)準入控制。
[0020]認證服務(wù)器15向準入認證客戶端11下發(fā)安全策略,對準入認證客戶端11的身份與安全策略檢查狀態(tài)進行檢查,下發(fā)相應(yīng)的網(wǎng)絡(luò)資源訪問控制指令給網(wǎng)絡(luò)準入控制網(wǎng)關(guān)13,由網(wǎng)絡(luò)準入控制網(wǎng)關(guān)13對接入終端51的網(wǎng)絡(luò)資源訪問進行控制。
[0021]在本發(fā)明實施例中,當接入終端51接入到網(wǎng)絡(luò)需要訪問網(wǎng)絡(luò)資源時,其訪問請求報文經(jīng)過網(wǎng)絡(luò)設(shè)備,如核心交換機和路由器21。
[0022]核心交換機和路由器21將接入終端51的訪問請求報文轉(zhuǎn)發(fā)給網(wǎng)絡(luò)準入控制網(wǎng)關(guān)13。
[0023]網(wǎng)絡(luò)準入控制網(wǎng)關(guān)13檢查接入終端51是否已經(jīng)通過網(wǎng)絡(luò)準入控制認證,如果沒有通過,則通過核心交換機和路由器21向接入終端51發(fā)送發(fā)起準入認證請求。
[0024]在本發(fā)明實施例中,用戶可以在網(wǎng)絡(luò)準入控制網(wǎng)關(guān)13上配置通過網(wǎng)絡(luò)準入控制認證的接入終端名單,或者記錄通過網(wǎng)絡(luò)準入控制認證的接入終端51,設(shè)置接入有效期,有效期內(nèi)允許接入終端51訪問網(wǎng)絡(luò)資源,有效期滿則控制接入終端51重新進行網(wǎng)絡(luò)準入控制認證。
[0025]如果接入終端51上運行有準入認證客戶端11,則準入認證客戶端11通過網(wǎng)絡(luò)準入控制網(wǎng)關(guān)13獲取到認證服務(wù)器15上的安全策略,例如是否安裝了殺毒軟件,操作系統(tǒng)是否安裝安全補丁等,可以由用戶根據(jù)需要配置。
[0026]準入認證客戶端11根據(jù)獲取的安全策略對所在的接入終端51進行安全檢查,將安全檢查結(jié)果與接入終端51的身份驗證憑據(jù)通過網(wǎng)絡(luò)準入控制網(wǎng)關(guān)13轉(zhuǎn)發(fā)給認證服務(wù)器15。
[0027]認證服務(wù)器15根據(jù)網(wǎng)絡(luò)準入控制網(wǎng)關(guān)13轉(zhuǎn)發(fā)的接入終端51的安全檢查結(jié)果與接入終端51的身份驗證憑據(jù)對接入終端51進行認證。如果認證通過,則將接入終端51的訪問請求報文轉(zhuǎn)發(fā)回核心交換機或路由器21,由核心交換機或路由器21進一步轉(zhuǎn)發(fā)給要訪問的網(wǎng)絡(luò)資源。
[0028]如果接入終端51在沒有通過認證時的訪問請求報文是HTTP請求,則網(wǎng)絡(luò)準入控制網(wǎng)關(guān)13會返回HTTP重定向響應(yīng)報文,運行在接入終端51的HTTP客戶端收到HTTP重定向響應(yīng)報文之后,會重定向到指定的網(wǎng)頁,該網(wǎng)頁上一般包含了必要的提示信息,例如提示哪些安全策略沒有滿足、用戶密碼錯誤、沒有安裝認證客戶端等。
[0029]圖2示出了本發(fā)明實施例提供的準入認證客戶端的結(jié)構(gòu),為了便于說明,僅示出了與本發(fā)明實施例相關(guān)的部分。
[0030]安全策略獲取單元111通過網(wǎng)絡(luò)準入控制網(wǎng)關(guān)13獲取到認證服務(wù)器15上的安全策略,例如是否安裝了殺毒軟件,操作系統(tǒng)是否安裝安全補丁等,可以由用戶根據(jù)需要配置。
[0031]安全檢查單元113根據(jù)安全策略獲取單元111獲取的安全策略對所在的接入終端51進行安全檢查。
[0032]認證結(jié)果轉(zhuǎn)發(fā)單元115將安全檢查單元153的安全檢查結(jié)果與接入終端51的身份驗證憑據(jù)通過網(wǎng)絡(luò)準入控制網(wǎng)關(guān)13轉(zhuǎn)發(fā)給認證服務(wù)器15。
[0033]圖3示出了本發(fā)明實施例提供的網(wǎng)絡(luò)準入控制網(wǎng)關(guān)的結(jié)構(gòu),為了便于說明,僅示出了與本發(fā)明實施例相關(guān)的部分。
[0034]認證發(fā)起單元131對接入終端51發(fā)起認證,與接入終端51上的準入認證客戶端11通訊實現(xiàn)對接入終端51的認證,認證內(nèi)容包括身份是否合法、是否符合安全策略要求坐寸ο
[0035]訪問控制單元133根據(jù)接入終端51的認證狀態(tài)控制接入終端的網(wǎng)絡(luò)資源訪問。
[0036]作為本發(fā)明的一個實施例,如果接入終端51在沒有通過認證時的訪問請求報文是HTTP請求,重定向提醒單元135向認證不通過的接入終端51返回HTTP重定向響應(yīng)報文。
[0037]圖4示出了本發(fā)明實施例提供的認證服務(wù)器的結(jié)構(gòu),為了便于說明,僅示出了與本發(fā)明實施例相關(guān)的部分。
[0038]安全策略配置單元151配置接入終端的安全策略。
[0039]安全策略下發(fā)單元153下發(fā)安全策略給接入終端51上運行的準入認證客戶端11。
[0040]安全策略檢查單元155對準入認證客戶端11的身份與安全策略檢查狀態(tài)進行檢查,下發(fā)相應(yīng)的網(wǎng)絡(luò)資源訪問控制指令給網(wǎng)絡(luò)準入控制網(wǎng)關(guān)13,由網(wǎng)絡(luò)準入控制網(wǎng)關(guān)13對接入終端51的網(wǎng)絡(luò)資源訪問進行控制。
[0041]本發(fā)明實施例采用網(wǎng)關(guān)方式實現(xiàn)網(wǎng)絡(luò)準入控制,用戶不需要完全替換所有接入層網(wǎng)絡(luò)交換機等網(wǎng)絡(luò)設(shè)備,只需要采購一臺網(wǎng)絡(luò)準入控制網(wǎng)關(guān)即可。部署時,也不需要大量調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)和修改接入層交換機的配置,只需要在核心交換機或路由器上做少量調(diào)整,實施簡單,采購和實施成本低。
[0042]以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
【主權(quán)項】
1.一種網(wǎng)絡(luò)準入控制系統(tǒng),其特征在于,所述系統(tǒng)包括: 準入認證客戶端,設(shè)置于接入終端,用于對接入終端的網(wǎng)絡(luò)資源訪問進行認證; 網(wǎng)絡(luò)準入控制網(wǎng)關(guān),接入到接入終端訪問網(wǎng)絡(luò)資源的關(guān)鍵路徑上的節(jié)點,用于對訪問網(wǎng)絡(luò)資源的接入終端發(fā)起認證,根據(jù)接入終端的認證狀態(tài)控制接入終端的網(wǎng)絡(luò)資源訪問;以及 認證服務(wù)器,用于向所述準入認證客戶端下發(fā)安全策略,對所述準入認證客戶端的身份與安全策略檢查狀態(tài)進行檢查,下發(fā)相應(yīng)的網(wǎng)絡(luò)資源訪問控制指令給所述網(wǎng)絡(luò)準入控制網(wǎng)關(guān)。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)準入控制系統(tǒng),其特征在于,所述準入認證客戶端包括: 安全策略獲取單元,用于通過所述網(wǎng)絡(luò)準入控制網(wǎng)關(guān)獲取所述認證服務(wù)器上的安全策略; 安全檢查單元,用于根據(jù)所述安全策略獲取單元獲取的安全策略對所在的接入終端進行安全檢查;以及 認證結(jié)果轉(zhuǎn)發(fā)單元,用于將所述安全檢查單元的安全檢查結(jié)果與接入終端的身份驗證憑據(jù)通過所述網(wǎng)絡(luò)準入控制網(wǎng)關(guān)轉(zhuǎn)發(fā)給所述認證服務(wù)器。
3.如權(quán)利要求1所述的網(wǎng)絡(luò)準入控制系統(tǒng),其特征在于,所述網(wǎng)絡(luò)準入控制網(wǎng)關(guān)包括: 認證發(fā)起單元,用于對接入終端發(fā)起認證;以及 訪問控制單元,用于根據(jù)接入終端的認證狀態(tài)控制接入終端的網(wǎng)絡(luò)資源訪問。
4.如權(quán)利要求3所述的網(wǎng)絡(luò)準入控制系統(tǒng),其特征在于,所述網(wǎng)絡(luò)準入控制網(wǎng)關(guān)還包括: 重定向提醒單元,用于在接入終端沒有通過認證時的訪問請求報文是HTTP請求時,向接入終端返回HTTP重定向響應(yīng)報文。
5.如權(quán)利要求1所述的網(wǎng)絡(luò)準入控制系統(tǒng),其特征在于,所述認證服務(wù)器包括: 安全策略配置單元,用于配置接入終端的安全策略; 安全策略下發(fā)單元,用于下發(fā)安全策略給所述準入認證客戶端;以及安全策略檢查單元,用于對所述準入認證客戶端的身份與安全策略檢查狀態(tài)進行檢查,下發(fā)相應(yīng)的網(wǎng)絡(luò)資源訪問控制指令給所述網(wǎng)絡(luò)準入控制網(wǎng)關(guān)。
【專利摘要】本發(fā)明適用于網(wǎng)絡(luò)安全領(lǐng)域,提供了一種網(wǎng)絡(luò)準入控制系統(tǒng),包括:準入認證客戶端,設(shè)置于接入終端,用于對接入終端的網(wǎng)絡(luò)資源訪問進行認證;網(wǎng)絡(luò)準入控制網(wǎng)關(guān),接入到接入終端訪問網(wǎng)絡(luò)資源的關(guān)鍵路徑上的節(jié)點,用于對訪問網(wǎng)絡(luò)資源的接入終端發(fā)起認證,根據(jù)接入終端的認證狀態(tài)控制接入終端的網(wǎng)絡(luò)資源訪問;以及認證服務(wù)器,用于向所述準入認證客戶端下發(fā)安全策略,對所述準入認證客戶端的身份與安全策略檢查狀態(tài)進行檢查,下發(fā)相應(yīng)的網(wǎng)絡(luò)資源訪問控制指令給所述網(wǎng)絡(luò)準入控制網(wǎng)關(guān)。本發(fā)明采用網(wǎng)關(guān)方式實現(xiàn)網(wǎng)絡(luò)準入控制,用戶不需要完全替換所有接入層網(wǎng)絡(luò)交換機等網(wǎng)絡(luò)設(shè)備,實施簡單,采購和實施成本低。
【IPC分類】H04L9-32, H04L12-911
【公開號】CN104660523
【申請?zhí)枴緾N201310602648
【發(fā)明人】彭朝暉, 梁晶亮
【申請人】遵義供電局
【公開日】2015年5月27日
【申請日】2013年11月25日