一种网络终端节点的安全接入管控系统及方法

一种网络终端节点的安全接入管控系统及方法
【技术领域】
[0001]本发明属于网络安全管理技术领域，涉及一种安全管控系统，具体涉及一种网络终端节点的安全接入管控系统及方法。
【背景技术】
[0002]目前智能终端通过使用无线接入点后所带来终端随意接入访问的网络边界接入安全问题日益突出显现。随意架设任何人都可访问的无线热点，没有任何安全措施的智能终端通过无线热点接入电子政务、电子税务等专有网络之中并且不加控制的随意访问，这些行为严重破坏了专有网络边界的完整性，为恶意入侵者大开方便之门，并轻易的为其提供了可乘之机。如何有效管控网络终端的安全接入，构建可信的网络终端准入控制体系，从源头上防范非法接入安全隐患已成为当前网络安全管理的关键。

【发明内容】

[0003]本发明的目的在于解决上述问题，提供一种网络终端节点的安全接入管控系统及方法，该系统主要是基于身份认证和终端准入控制技术，实现了用户身份认证、终端节点可信接入、违规操作鉴别、访问权限控制和安全接入管控等功能。
[0004]为了实现上述目的，本发明所采用的技术方案是:
[0005]一种网络终端节点的安全接入管控系统，包括用户身份认证模块、终端接入认证模块、违规操作鉴别模块、网络访问权限控制模块以及安全接入管理模块；
[0006]用户身份认证模块完成终端用户的可信身份认证；
[0007]终端接入认证模块完成终端节点的可信接入认证；
[0008]违规操作鉴别模块实现对违规架设NAT和代理服务器的行为鉴别；
[0009]网络访问权限控制模块实现对用户网络访问权限的分组控制；
[0010]安全接入管理模块实现网络用户与终端节点信息的审核管理和维护，实时监控用户网络状态，并对在线时长和网络流量进行统计。
[0011]所述的用户身份认证模块包括CA用户证书以及CA认证服务器；CA认证中心为每位用户配发一个USB-Key硬件设备，CA用户证书、私钥以及用户的基本信息保存在USB-Key硬件设备中；USB_Key硬件设备能够设置用户口令，且具有USB接口。
[0012]所述的终端接入认证模块包括接入认证交换机、CA认证服务器以及RADIUS认证服务器；RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。
[0013]所述的违规操作鉴别模块利用NPF驱动的过滤和捕获功能，捕获并分析数据包，根据分析结果判定用户是否有私设代理的行为发生。
[0014]所述的安全接入管理模块包括RADIUS认证服务器、数据库服务器以及安全管理服务器。
[0015]一种网络终端节点的安全接入管控方法，包括以下步骤:
[0016]I)利用用户身份认证模块，结合CA身份认证方式，完成接入网络的终端用户的可信身份认证；
[0017]2)利用终端接入认证模块，对通过身份认证的可信用户采用802.1x协议，完成终端节点的可信接入认证；
[0018]3)采用违规操作鉴别模块，利用NPF组件捕获数据包的功能，通过对数据包结构、相关属性值以及协议的分析，对通过可信接入认证的终端节点进行违规架设NAT和代理服务器的行为鉴别；
[0019]4)采用网络访问权限控制模块，利用基于组的安全访问权限控制策略，对接入网络的终端用户进行分组管理并设定网络访问范围；同时通过终端访问控制组件对终端用户的访问过程进行管控，发现违规行为立即上报，通知管理员作出相应处理；
[0020]5)利用安全接入管理模块对网络用户及其接入信息进行审核管理和维护控制，实时监控上网用户的身份信息、接入验证过程、上下线时间、上下行信息流量、上网终端所接交换设备的端口号以及IP地址信息，并对在线时长和网络流量进行统计，实现对网络终端节点全方位的安全接入管控。
[0021]所述的步骤I)中，可信身份认证的具体方法是:
[0022]1-1)首先终端组件通过GetTimes O函数获取本地时间，然后将时间拼装成字符串格式；
[0023]1-2)通过GenSimpleKey (10)函数获取时间字符串的10位随机数；
[0024]1-3)调用本地的USB-Key硬件设备中的私钥对该随机数进行PKCS#7签名，签名函数 Certif icateSign_certThumbprint (strTexts, rtest)由相应 CA 认证中心提供；
[0025]1-4)签名完成后，调用CA认证服务器进行验证，服务器利用私钥解密出证书信息和本地时间，然后查看证书信息是否存在于白名单中，同时将本地时间与当前时间作比较，确保验证过程在允许的时间间隔内完成。
[0026]所述的步骤2)中，可信接入认证的具体方法是:
[0027]2-1)用户插入USB-Key硬件设备，终端组件广播发送EAPOL-Start包，请求认证；
[0028]2-2)接入认证交换机返回请求用户名包；
[0029]2-3)终端组件自动获取数字证书设备中的入网号作为用户名，发送封装用户名的数据包；
[0030]2-4)RADIUS服务器产生MD5_Challenge加密字，并由接入认证交换机返回给终端组件；
[0031]2-5)客户端发送用户名和加密密码包；
[0032]2-6)接入认证交换机将用户名和密码包转发给RADIUS服务器进行验证，合法则返回成功认证包，否则返回认证失败包。
[0033]所述的步骤3)中，违规操作鉴别的具体方法是:
[0034]I)数据包的捕获
[0035]利用NPF驱动提供的数据包过滤和捕获功能捕获IP数据包，具体捕获方法如下:
[0036]1-1)获取所有存在的网络设备的链表；
[0037]1-2)选择物理网卡，用非混杂模式打开；
[0038]1-3)设置过滤器；
[0039]1-4)捕获分析数据包；
[0040]如果不是IP数据包对其数据包放行，如果是IP数据包，复制该数据包，然后去掉数据链路层14字节的帧头部后得到真正的IP包信息，采用数据结构IP_HEADER来保存IP头部信息；
[0041]2)分析IP字段
[0042]根据报头的地址段信息判断该主机是否设置了 NAT服务；如果存在违规行为，自动将指定的异常情况向服务器报警，由管理员视情况作出相应处理或自动阻断用户的网络接入；如果不存在违规行为，就分析协议字段；
[0043]3)根据协议类型字段从IP数据包中分离出TCP报文，分析TCP数据字段中的信息判定该主机是否提供了代理服务；如果存在违规行为，自动将指定的异常情况向服务器报警，如果不存在违规行为，就对该数据包直接放行。
[0044]所述的步骤4)中，网络访问权限控制的具体方法是:
[0045]用户首次接入内网时，需要在内网数据库进行信息补充和注册，然后由管理员根据用户信息完成审核和分组，将组别主要分为管理员、高级用户和普通用户；针对不同组的访问权限设置控制策略有允许访问、禁止访问和限制访问三种；允许访问时所有地址全部允许；禁止访问时所有地址全部禁止；限制访问则依据黑白名单进行访问，其中白名单地址访问一律放行，黑名单地址访问一律禁止。
[0046]与现有技术相比，本发明具有以下有益效果:
[0047]本发明能够完成对用户可信身份认证、终端节点可信接入、违规操作鉴别、访问权限控制以及网络接入状态实时监控的功能；实现了基于身份认证的可信终端安全接入控制系统，系统稳定可靠，认证效率较高，对NAT和代理服务等违规行为的检测预警准确，通过WEB管理界面对终端用户网络状态进行监