接入信息进行审核管理和维护控制,实时监控上网用户的身份信息、认证过程、上下线时间、上下行信息流量、上网终端所接交换设备的端口号以及IP地址等信息,并对在线时长和网络流量进行统计,实现网络终端的安全接入管控。系统安全接入管控功能设计如图6所示。
[0119]以上内容仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明权利要求书的保护范围之内。
【主权项】
1.一种网络终端节点的安全接入管控系统,其特征在于:包括用户身份认证模块、终端接入认证模块、违规操作鉴别模块、网络访问权限控制模块以及安全接入管理模块; 用户身份认证模块完成终端用户的可信身份认证; 终端接入认证模块完成终端节点的可信接入认证; 违规操作鉴别模块实现对违规架设NAT和代理服务器的行为鉴别; 网络访问权限控制模块实现对用户网络访问权限的分组控制; 安全接入管理模块实现网络用户与终端节点信息的审核管理和维护,实时监控用户网络状态,并对在线时长和网络流量进行统计。
2.根据权利要求1所述的网络终端节点的安全接入管控系统,其特征在于:所述的用户身份认证模块包括CA用户证书以及CA认证服务器;CA认证中心为每位用户配发一个USB-Key硬件设备,CA用户证书、私钥以及用户的基本信息保存在USB-Key硬件设备中;USB-Key硬件设备能够设置用户口令,且具有USB接口。
3.根据权利要求1所述的网络终端节点的安全接入管控系统,其特征在于:所述的终端接入认证模块包括接入认证交换机、CA认证服务器以及RADIUS认证服务器;RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。
4.根据权利要求1所述的网络终端节点的安全接入管控系统,其特征在于:所述的违规操作鉴别模块利用NPF驱动的过滤和捕获功能,捕获并分析数据包,根据分析结果判定用户是否有私设代理的行为发生。
5.根据权利要求1所述的网络终端节点的安全接入管控系统,其特征在于:所述的安全接入管理模块包括RADIUS认证服务器、数据库服务器以及安全管理服务器。
6.一种基于权利要求1-5任意一项所述系统的网络终端节点的安全接入管控方法,其特征在于,包括以下步骤: 1)利用用户身份认证模块,结合CA身份认证方式,完成接入网络的终端用户的可信身份认证; 2)利用终端接入认证模块,对通过身份认证的可信用户采用802.1x协议,完成终端节点的可信接入认证; 3)采用违规操作鉴别模块,利用NPF组件捕获数据包的功能,通过对数据包结构、相关属性值以及协议的分析,对通过可信接入认证的终端节点进行违规架设NAT和代理服务器的行为鉴别; 4)采用网络访问权限控制模块,利用基于组的安全访问权限控制策略,对接入网络的终端用户进行分组管理并设定网络访问范围;同时通过终端访问控制组件对终端用户的访问过程进行管控,发现违规行为立即上报,通知管理员作出相应处理; 5)利用安全接入管理模块对网络用户及其接入信息进行审核管理和维护控制,实时监控上网用户的身份信息、接入验证过程、上下线时间、上下行信息流量、上网终端所接交换设备的端口号以及IP地址信息,并对在线时长和网络流量进行统计,实现对网络终端节点全方位的安全接入管控。
7.根据权利要求6所述的网络终端节点的安全接入管控方法,其特征在于:所述的步骤I)中,可信身份认证的具体方法是: 1-1)首先终端组件通过GetTimes O函数获取本地时间,然后将时间拼装成字符串格 式; 1-2)通过GenSimpleKey (10)函数获取时间字符串的10位随机数; 1-3)调用本地的USB-Key硬件设备中的私钥对该随机数进行PKCS#7签名,签名函数Certif icateSign_certThumbprint (strTexts, rtest)由相应 CA 认证中心提供; 1-4)签名完成后,调用CA认证服务器进行验证,服务器利用私钥解密出证书信息和本地时间,然后查看证书信息是否存在于白名单中,同时将本地时间与当前时间作比较,确保验证过程在允许的时间间隔内完成。
8.根据权利要求6所述的网络终端节点的安全接入管控方法,其特征在于:所述的步骤2)中,可信接入认证的具体方法是: 2-1)用户插入USB-Key硬件设备,终端组件广播发送EAPOL-Start包,请求认证; 2-2)接入认证交换机返回请求用户名包; 2-3)终端组件自动获取数字证书设备中的入网号作为用户名,发送封装用户名的数据包; 2-4) RADIUS服务器产生MD5-Challenge加密字,并由接入认证交换机返回给终端组件; 2-5)客户端发送用户名和加密密码包; 2-6)接入认证交换机将用户名和密码包转发给RADIUS服务器进行验证,合法则返回成功认证包,否则返回认证失败包。
9.根据权利要求6所述的网络终端节点的安全接入管控方法,其特征在于:所述的步骤3)中,违规操作鉴别的具体方法是: 1)数据包的捕获 利用NPF驱动提供的数据包过滤和捕获功能捕获IP数据包,具体捕获方法如下: 1-1)获取所有存在的网络设备的链表; 1-2)选择物理网卡,用非混杂模式打开; 1-3)设置过滤器; 1-4)捕获分析数据包; 如果不是IP数据包对其数据包放行,如果是IP数据包,复制该数据包,然后去掉数据链路层14字节的帧头部后得到真正的IP包信息,采用数据结构IP_HEADER来保存IP头部信息; 2)分析IP字段 根据报头的地址段信息判断该主机是否设置了 NAT服务;如果存在违规行为,自动将指定的异常情况向服务器报警,由管理员视情况作出相应处理或自动阻断用户的网络接入;如果不存在违规行为,就分析协议字段; 3)根据协议类型字段从IP数据包中分离出TCP报文,分析TCP数据字段中的信息判定该主机是否提供了代理服务;如果存在违规行为,自动将指定的异常情况向服务器报警,如果不存在违规行为,就对该数据包直接放行。
10.根据权利要求6所述的网络终端节点的安全接入管控方法,其特征在于:所述的步骤4)中,网络访问权限控制的具体方法是: 用户首次接入内网时,需要在内网数据库进行信息补充和注册,然后由管理员根据用户信息完成审核和分组,将组别主要分为管理员、高级用户和普通用户;针对不同组的访问权限设置控制策略有允许访问、禁止访问和限制访问三种;允许访问时所有地址全部允许;禁止访问时所有地址全部禁止;限制访问则依据黑白名单进行访问,其中白名单地址访问一律放行,黑名单地址访问一律禁止。
【专利摘要】本发明公开了一种网络终端节点的安全接入管控系统及方法,安全接入客户端与CA认证服务器、安全接入客户端与RADIUS认证服务器之间采用C/S架构,分别负责用户身份认证和终端接入认证;安全管理客户端与安全管理服务器之间采用B/S架构,主要负责用户信息的注册审核、网络访问组权限的设定和实时的安全接入管控与监测。本发明能够完成对接入终端的可信身份认证、可信接入认证、终端代理鉴别、网络访问权限控制以及网络接入状态实时监控的功能;实现了基于身份认证的可信终端准入控制系统,系统稳定可靠,认证效率较高,对NAT和代理服务等违规行为的检测预警准确,通过WEB管理界面对终端用户网络状态进行监测与控制,完全能够满足专有网络安全管理的需要。
【IPC分类】H04L29-06, H04L9-32
【公开号】CN104796261
【申请号】CN201510180990
【发明人】屈立成, 李鹏, 曹伟, 孙大跃, 高小梅, 邱虹, 王文浩, 庞婷
【申请人】长安大学
【公开日】2015年7月22日
【申请日】2015年4月16日