测与控制,完全能够满足专有网络安全管理的需要。
【附图说明】
[0048]图1为本发明网络节点的安全管控系统架构图;
[0049]图2为本发明用户身份认证流程图;
[0050]图3为本发明终端接入认证流程图;
[0051]图4为本发明违规行为鉴别流程图;
[0052]图5为本发明访问权限控制模块客户端的流程图;
[0053]图6为本发明安全接入管控系统的功能模块示意图。
【具体实施方式】
[0054]下面结合附图和实施例对本发明做进一步详细的说明:
[0055]本发明网络节点的安全管控系统,包括用户身份认证模块、终端接入认证模块、违规操作鉴别模块、网络访问权限控制模块以及安全接入管理模块;用户身份认证模块完成终端用户的可信身份认证;用户身份认证模块包括CA用户证书以及CA认证服务器;CA认证中心为每位用户配发一个USB-Key硬件设备,CA用户证书、私钥以及用户的基本信息保存在USB-Key硬件设备中;USB_Key硬件设备能够设置用户口令,且具有USB接口。终端节点可信接入模块完成终端用户的可信接入认证;终端节点可信接入模块包括接入认证交换机、CA认证服务器以及RADIUS认证服务器;RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。违规操作鉴别模块实现违规架设NAT和代理服务器的行为鉴别;违规操作鉴别模块利用NPF驱动的过滤和捕获功能,捕获并分析数据包,根据分析结果判定用户是否有私设代理的行为发生。网络访问权限控制模块用于对网络用户组的划分,并为不同的组赋予相应的网络访问权限;安全接入管理模块对网络用户信息的审核管理和维护,实时监控用户网络状态,并对在线时长和网络流量进行统计。安全接入管理模块包括RADIUS认证服务器、数据库服务器以及Π展示界面。
[0056]本发明还公开了一种网络终端节点的安全接入管控方法,包括以下步骤:
[0057]I)利用用户身份认证模块,结合CA身份认证方式,完成接入网络的终端用户的可信身份认证;可信身份认证的具体方法是:
[0058]1-1)首先终端组件通过GetTimes O函数获取本地时间,然后将时间拼装成字符串格式;
[0059]1-2)通过GenSimpleKey (10)函数获取时间字符串的10位随机数;
[0060]1-3)调用本地的USB-Key硬件设备中的私钥对该随机数进行PKCS#7签名,签名函数 Certif icateSign_certThumbprint (strTexts, rtest)由相应 CA 认证中心提供;
[0061]1-4)签名完成后,调用CA认证服务器进行验证,服务器利用私钥解密出证书信息和本地时间,然后查看证书信息是否存在于白名单中,同时将本地时间与当前时间作比较,看是否在一定的时间间隔内,验证完成。
[0062]2)利用终端节点可信接入模块,对通过可信身份认证的终端用户采用802.1x协议,完成终端用户的可信接入认证;可信接入认证的具体方法是:
[0063]2-1)用户插入USB-Key硬件设备,终端组件发送EAPOL-Start包,请求认证;
[0064]2-2)接入认证交换机返回请求用户名包;
[0065]2-3)终端组件自动获取数字证书设备中的入网号作为用户名,发送封装用户名的数据包;
[0066]2-4)RADIUS服务器产生MD5_Challenge加密字,并由接入接入认证交换机返回给终端组件;
[0067]2-5)客户端发送用户名和加密密码包;
[0068]2-6)接入认证交换机将用户名和密码包转发给RADIUS服务器进行验证,合法则返回成功认证包,否则返回认证失败包。
[0069]3)采用违规操作鉴别模块,利用NPF组件捕获数据包的功能,通过对数据包结构、相关属性值以及协议的分析,对通过可信接入认证的终端用户完成违规架设NAT和代理服务器的行为鉴别;违规操作鉴别的具体方法是:
[0070]I)数据包的捕获
[0071]利用NPF驱动提供的数据包过滤和捕获功能捕获IP数据包,具体捕获方法如下:
[0072]1-1)获取所有存在的网络设备的链表;
[0073]1-2)选择物理网卡,用非混杂模式打开;
[0074]1-3)设置过滤器;
[0075]1-4)捕获分析数据包;
[0076]如果不是IP数据包对其数据包放行,如果是IP数据包,复制该数据包,然后去掉数据链路层14字节的帧头部后得到真正的IP包信息,采用数据结构IP_HEADER来保存IP头部信息;
[0077]2)分析IP字段
[0078]根据报头的地址段信息判断该主机是否设置了 NAT服务;如果存在违规行为,自动将指定的异常情况向服务器报警,由管理员视情况作出相应处理或自动阻断用户的网络接入;如果不存在违规行为,就分析协议字段;
[0079]3)根据协议类型字段从IP数据包中分离出TCP报文,分析TCP数据字段中的信息判定该主机是否提供了代理服务;如果存在违规行为,自动将指定的异常情况向服务器报警,如果不存在违规行为,就对该数据包直接放行。
[0080]4)利用基于组的安全访问权限划分策略的网络访问权限控制模块,对接入网络的终端用户分组并设定网络访问范围,通过终端组件对终端用户行为进行管控,发现违规行为立即上报,由管理员作出相应处理;网络访问权限控制的具体方法是:
[0081]用户首次接入内网时,需要在内网数据库进行信息补充和注册,然后由管理员根据用户信息完成审核和分组,将组别主要分为管理员、高级用户和普通用户;针对不同组的访问权限设置控制策略有允许访问、禁止访问和限制访问三种;允许访问时所有地址全部允许;禁止访问时所有地址全部禁止;限制访问则依据黑白名单进行访问,其中白名单地址访问一律放行,黑名单地址访问一律禁止。
[0082]5)利用安全接入管理模块对网络用户及其接入信息进行审核管理和维护控制,实时监控上网用户的身份信息、接入验证过程、上下线时间、上下行信息流量、上网终端所接交换设备的端口号以及IP地址信息,并对在线时长和网络流量进行统计,实现网络终端的安全接入管控。
[0083]本发明的原理:
[0084]本发明利用CA身份认证技术、802.1x协议接入认证技术以及NPF驱动模块等关键技术,实现终端的可信身份认证、可信接入认证、违规操作鉴别、访问权限控制和系统安全接入管控等功能。并在以上基础上,结合兼容性、安全性、稳定性、界面友好性等设计原则,开发一套结合身份认证的可信终端接入控制系统,并在真实的的网络环境下进行测试。主要实现了:1、采用CA身份认证技术,完成终端用户的可信身份认证;2、采用802.1x协议接入认证方式,完成终端节点的可信接入;3、利用NPF组件捕获数据包,通过对数据包结构、相关属性值以及协议的分析,实现违规架设NAT和代理服务器的行为鉴别;4、设计基于组的安全访问权限划分策略,对接入网络的用户分组并设定网络访问范围,通过终端组件对用户行为进行管控,发现违规行为立即上报,由管理员根据实际情况作出相应处理;5、设计安全接入管控系统界面,对网络用户及其接入信息进行审核管理和维护控制,实时监控上网用户的身份信息、接入验证过程、上下线时间、上下行信息流量、上网终端所接交换设备的端口号以及IP地址等信息,并对在线时长和网络流量进行统计,实现网络终端的安全接入管控。
[0085]本发明的结构原理:
[0086]本发明的设计符合802.1x协议的终端通用认证组件,结合CA身份认证技术,通过储存有数字证书的USB-Key硬件设备与CA中心