專(zhuān)利名稱(chēng):一種實(shí)現(xiàn)安全接入控制的方法及系統(tǒng)����、服務(wù)器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)互聯(lián)網(wǎng)領(lǐng)域�,尤其涉及一種實(shí)現(xiàn)安全接入控制的方法 及系統(tǒng)�、服務(wù)器。
背景技術(shù):
由于企業(yè)內(nèi)部網(wǎng)絡(luò)變得越來(lái)越龐大�����,網(wǎng)絡(luò)結(jié)構(gòu)越來(lái)越復(fù)雜�����,內(nèi)部的終端 數(shù)也不斷增長(zhǎng),而且現(xiàn)實(shí)網(wǎng)絡(luò)中病毒��、木馬的泛濫�,非授權(quán)人員訪問(wèn)導(dǎo)致信 息外泄等,都給企業(yè)的網(wǎng)絡(luò)安全帶來(lái)了巨大的隱患�����,嚴(yán)重的干擾甚至中斷企 業(yè)的正常業(yè)務(wù)�����,于是企業(yè)紛紛尋找適合自己的網(wǎng)絡(luò)安全方案��。除了部署防病 毒和防火墻系統(tǒng)之外����,很多企業(yè)會(huì)通過(guò)部署網(wǎng)絡(luò)接入控制系統(tǒng)來(lái)實(shí)現(xiàn)接入認(rèn) 證、對(duì)終端進(jìn)行安全性檢查��,從而解決內(nèi)網(wǎng)的安全性問(wèn)題�。
現(xiàn)有技術(shù)網(wǎng)絡(luò)接入控制系統(tǒng)是在終端和內(nèi)網(wǎng)或外網(wǎng)之間部署802.1X交換 機(jī),在每個(gè)終端上安裝安全控制軟件。802.1X交換機(jī)對(duì)終端訪問(wèn)網(wǎng)絡(luò)權(quán)限進(jìn) 行控制�,安全控制軟件執(zhí)行服務(wù)器下發(fā)的安全策略����,監(jiān)控終端的運(yùn)行,從而 實(shí)現(xiàn)終端訪問(wèn)網(wǎng)絡(luò)的安全接入控制以及企業(yè)內(nèi)網(wǎng)的安全��。
在實(shí)現(xiàn)本發(fā)明的過(guò)程中���,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問(wèn)題 802.1X交換機(jī)控制終端上網(wǎng)權(quán)限是打開(kāi)或關(guān)閉終端訪問(wèn)網(wǎng)絡(luò)的權(quán)限�, 一旦打 開(kāi)終端訪問(wèn)網(wǎng)絡(luò)的權(quán)限�,終端就可以瀏覽內(nèi)網(wǎng)或外網(wǎng)的任何信息而不受任何 限制,現(xiàn)有技術(shù)的安全接入控制并不能精細(xì)地控制終端訪問(wèn)網(wǎng)絡(luò)的權(quán)限��。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種實(shí)現(xiàn)安全接入控制的方法及系統(tǒng)���、服務(wù)器����,能夠 精細(xì)地控制終端訪問(wèn)網(wǎng)絡(luò)的權(quán)限����。
為解決上述技術(shù)問(wèn)題,本發(fā)明所提供的實(shí)現(xiàn)安全接入控制的方法及系統(tǒng) 實(shí)施例是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的
一種實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的方法��,包括 接收交換機(jī)轉(zhuǎn)發(fā)的使用雙向加密方式加密的終端身份信息; 將所述使用雙向加密方式加密的終端身份信息進(jìn)行解密�����,并對(duì)所述解密 的終端身份信息進(jìn)行驗(yàn)證�;
向所述交換機(jī)返回認(rèn)證結(jié)果,所述交換機(jī)依據(jù)所述認(rèn)證結(jié)果對(duì)所述終端
訪問(wèn)網(wǎng)絡(luò)進(jìn)行控制�����;
使用單向加密方式對(duì)所述解密的終端身份信息進(jìn)行加密�;
對(duì)所述使用單向加密方式加密的終端身份信息進(jìn)行驗(yàn)證;
向安全接入控制網(wǎng)關(guān)返回認(rèn)證結(jié)果��,所述安全接入控制網(wǎng)關(guān)依據(jù)所述認(rèn) 證結(jié)果對(duì)所述終端訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行控制��;
向所述終端的安全控制;^莫塊下發(fā)安全策略��,所述終端安全控制才莫塊依據(jù) 所述安全策略對(duì)所述終端進(jìn)行監(jiān)控����。
一種服務(wù)器,包括
第一認(rèn)證模塊���,用于接收交換機(jī)轉(zhuǎn)發(fā)的使用雙向加密方式加密的終端身 份信息����;將所述^f吏用雙向加密方式加密的終端身〗分信息進(jìn)行解密,并對(duì)所述 解密的終端身份信息進(jìn)行驗(yàn)證����;向所述交換機(jī)返回認(rèn)證結(jié)果���,所述交換機(jī)依 據(jù)所述認(rèn)證結(jié)果對(duì)所述終端訪問(wèn)網(wǎng)絡(luò)進(jìn)行控制�;
第二認(rèn)證模塊���,用于使用單向加密方式對(duì)所述第 一認(rèn)證模塊解密的終端 身份信息進(jìn)行加密��;對(duì)所述使用單向加密方式加密的終端身份信息進(jìn)行驗(yàn)證�; 向安全接入控制網(wǎng)關(guān)返回認(rèn)證結(jié)果����,所述安全接入控制網(wǎng)關(guān)依據(jù)所述認(rèn)證結(jié) 果對(duì)所述終端訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行控制;向所述終端的安全控制模塊下發(fā)安全 策略�,所述終端安全控制模塊依據(jù)所述安全策略對(duì)所述終端監(jiān)控。
一種實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的系統(tǒng)����,包括服務(wù)器��,交換機(jī)�,安全接入 控制網(wǎng)關(guān)和終端��;
所述終端包括發(fā)送模塊和安全控制模塊�����,
所述發(fā)送模塊�����,用于向所述交換機(jī)發(fā)送使用雙向加密方式加密的終端身 份信息�����;
所述安全控制模塊���,接收所述服務(wù)器下發(fā)的安全策略���,依據(jù)所述安全策 略對(duì)終端進(jìn)行監(jiān)控;
所述服務(wù)器用于接收所述交換機(jī)轉(zhuǎn)發(fā)的使用雙向加密方式加密的終端 身份信息��;將所述使用雙向加密方式加密的終端身份信息進(jìn)行解密,并對(duì)所 述解密的終端身份信息進(jìn)行驗(yàn)證�����;向所述交換機(jī)返回認(rèn)證結(jié)果��;使用單向加 密方式對(duì)所述解密的終端身份信息進(jìn)行加密����;對(duì)所述使用單向加密方式加密 的終端身份信息進(jìn)行驗(yàn)證�;向所述安全接入控制網(wǎng)關(guān)返回認(rèn)證結(jié)果;向所述 終端的安全控制模塊下發(fā)安全策略�;
所述交換機(jī),用于將所述終端發(fā)送的使用雙向加密方式加密的終端身份 信息轉(zhuǎn)發(fā)至所述服務(wù)器���,接收所述服務(wù)器返回的認(rèn)證結(jié)果����,并依據(jù)所述認(rèn)證 結(jié)果對(duì)所述終端訪問(wèn)網(wǎng)絡(luò)進(jìn)^f亍控制�;
所述安全接入控制網(wǎng)關(guān),用于接收所述服務(wù)器返回的認(rèn)證結(jié)果����,并依據(jù) 所述iU正結(jié)果對(duì)所述終端訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行控制���。
本發(fā)明實(shí)施對(duì)4吏用雙向加密方式和單向加密方式的終端身份信息驗(yàn)證之
后,返回認(rèn)證結(jié)果����,交換才M艮據(jù)認(rèn)證結(jié)果對(duì)終端訪問(wèn)網(wǎng)絡(luò)進(jìn)行控制,安全接 入控制網(wǎng)關(guān)根據(jù)返回的認(rèn)證結(jié)果對(duì)終端訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行控制���;且認(rèn)證后���, 向終端發(fā)送安全策略,對(duì)終端進(jìn)行監(jiān)控��。本發(fā)明實(shí)施例通過(guò)安全接入控制網(wǎng) 關(guān)分別對(duì)終端訪問(wèn)網(wǎng)絡(luò)的權(quán)限進(jìn)行控制����,通過(guò)下發(fā)的安全策略對(duì)終端的運(yùn)行 情況進(jìn)行監(jiān)控,通過(guò)增加安全接入控制網(wǎng)關(guān)�,能更精細(xì)地控制終端的上網(wǎng)權(quán) 限。本發(fā)明實(shí)施例能夠更全面地解決內(nèi)網(wǎng)的安全問(wèn)題���。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對(duì)實(shí) 施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹�����,顯而易見(jiàn)地,下 面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講, 在不付出創(chuàng)造性勞動(dòng)性的前提下��,還可以根據(jù)這些附圖獲得其他的附圖���。
圖1示出了本發(fā)明實(shí)施例提供的實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的系統(tǒng)部署結(jié)構(gòu)���;
圖2示出了本發(fā)明實(shí)施例提供的實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的方法流程圖3示出了本發(fā)明實(shí)施例提供的服務(wù)器結(jié)構(gòu)圖4示出了本發(fā)明實(shí)施例提供的實(shí)現(xiàn)網(wǎng)絡(luò)安全4婁入控制的系統(tǒng)圖��。
具體實(shí)施例方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行 清楚���、完整地描述,顯然�����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而 不是全部的實(shí)施例���?�;诒景l(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒(méi)有作 出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例���,都屬于本發(fā)明保護(hù)的范圍。
本發(fā)明實(shí)施例提供了 一種實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的方法及系統(tǒng)�����、服務(wù)器���, 用于解決內(nèi)網(wǎng)的安全性問(wèn)題�����。
圖1示出了本發(fā)明實(shí)施例提供的實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的系統(tǒng)部署結(jié)構(gòu)�。
安全接入控制網(wǎng)關(guān)作為終端連接內(nèi)網(wǎng)或外網(wǎng)的網(wǎng)關(guān)設(shè)備����,交換機(jī)與安全
接入控制網(wǎng)關(guān)連接��,交換機(jī)下連接不同的終端���,終端上安裝安全控制軟件; 服務(wù)器分別與安全接入控制網(wǎng)關(guān)和交換機(jī)連接�,終端通過(guò)交換機(jī)向服務(wù)器發(fā) 送身份認(rèn)證信息,服務(wù)器向交換機(jī)和安全接入控制網(wǎng)關(guān)返回認(rèn)證結(jié)果�,并向 終端的安全控制模塊返回安全策略。
服務(wù)器是維護(hù)一個(gè)合法用戶(hù)的身份信息數(shù)據(jù)庫(kù)���,對(duì)終端用戶(hù)進(jìn)行接入身 份驗(yàn)證�����。服務(wù)器預(yù)先導(dǎo)入所有合法用戶(hù)身份信息到數(shù)據(jù)庫(kù)�����,保存每一個(gè)用戶(hù) 的帳號(hào)和密碼,在用戶(hù)接入網(wǎng)絡(luò)時(shí)驗(yàn)證其帳號(hào)和密碼的正確性���,必要時(shí)還可 以更深入的審核終端的介質(zhì)訪問(wèn)控制(MAC, Media Access Control)地址信 息���、用戶(hù)在要登錄域服務(wù)器上的帳號(hào)信息�����、用戶(hù)在要登錄輕量級(jí)目錄訪問(wèn)協(xié) 議服務(wù)器上的帳號(hào)信息等可以唯一表示用戶(hù)或終端身份的信息��,以確定是否 讓終端接入指定網(wǎng)絡(luò)網(wǎng)�����。
交換機(jī)支持802.1x協(xié)議�,802.1x協(xié)議控制交換機(jī)端口的打開(kāi)或者關(guān)閉����, 在接入層隔離未經(jīng)授權(quán)的終端接入網(wǎng)絡(luò)。另外�����,802.1x協(xié)議控制交換機(jī)隔離 交換機(jī)各個(gè)端口連接的終端之間的互訪��,有效地控制終端之間文件或其他數(shù) 據(jù)的傳輸����,有效地隔離病毒在終端之間的感染����。
安全接入控制網(wǎng)關(guān)根據(jù)服務(wù)器驗(yàn)證的終端用戶(hù)訪問(wèn)網(wǎng)絡(luò)的權(quán)限級(jí)別�����,限 制終端訪問(wèn)指定IP段的網(wǎng)絡(luò)資源���。
終端上安裝安全控制軟件���,4艮據(jù)服務(wù)器下發(fā)的安全策略監(jiān)控終端的運(yùn)行, 監(jiān)控終端訪問(wèn)網(wǎng)絡(luò)的端口 ��,允許或禁止終端安裝或運(yùn)行管理員指定的軟件�,
檢查和修正終端系統(tǒng)的補(bǔ)丁安裝,監(jiān)視和禁止終端運(yùn)行某些進(jìn)程等�����?��?偟膩?lái) 說(shuō),安全軟件根據(jù)服務(wù)器下發(fā)的安全策略監(jiān)控終端的運(yùn)行���,檢查和解決終端 的安全問(wèn)題���,并監(jiān)控和阻止終端上違反安全策略的梯:作��。
需要說(shuō)明的是內(nèi)網(wǎng)是終端要訪問(wèn)的企業(yè)內(nèi)網(wǎng)����,外網(wǎng)是終端要訪問(wèn)的互
聯(lián)網(wǎng)或需要通過(guò)互聯(lián)網(wǎng)連接的服務(wù)器等���。
以下結(jié)合附圖詳細(xì)說(shuō)明本發(fā)明實(shí)施例提供的實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的方 法及系統(tǒng)���、服務(wù)器。
圖2示出了本發(fā)明實(shí)施例提供的實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的方法流程圖�。
本實(shí)施例從終端向服務(wù)器發(fā)起認(rèn)證開(kāi)始,服務(wù)器驗(yàn)證終端的用戶(hù)名和密 碼信息�����,確認(rèn)是否對(duì)終端開(kāi)放上網(wǎng)權(quán)限�,終端用戶(hù)訪問(wèn)網(wǎng)絡(luò)的級(jí)別,對(duì)終端 下發(fā)怎樣的安全策略等��。認(rèn)證通過(guò)后,支持802.1x協(xié)議的交換機(jī)根據(jù)服務(wù)器 返回的認(rèn)證結(jié)果����,開(kāi)放或關(guān)閉終端訪問(wèn)網(wǎng)絡(luò)的權(quán)限;安全接入控制設(shè)備根據(jù) 服務(wù)器返回的終端訪問(wèn)網(wǎng)絡(luò)的權(quán)限級(jí)別����,向終端開(kāi)放指定IP地址—敬的網(wǎng)絡(luò)資 源;而終端上的安全控制軟件根據(jù)服務(wù)器下發(fā)的安全策略��,監(jiān)控終端的運(yùn)行��, 監(jiān)控終端訪問(wèn)網(wǎng)絡(luò)的端口 �����,允許或禁止終端安裝或運(yùn)行管理員指定的軟件����, 檢查和修正終端系統(tǒng)的補(bǔ)丁安裝,監(jiān)視和禁止終端運(yùn)行某些進(jìn)程等��。具體過(guò) 程如下
步驟201 �����、終端通過(guò)交換機(jī)向服務(wù)器發(fā)送使用加密雙向加密方式加密的終 端身份信息;
終端連接在交換機(jī)下��,終端發(fā)送的加密的終端身份信息通過(guò)交換機(jī)發(fā)送 到服務(wù)器�。雙向加密方式是交換機(jī)支持的雙向加密方式����,可以采用DES、 3DES 或AES幾種加密方式���,服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)的加密的終端身份信息后��,執(zhí) 行步驟202��。
步驟202���、服務(wù)器將使用雙向加密方式加密的終端身份信息進(jìn)行解密,并 對(duì)解密的終端身份信,t進(jìn)行驗(yàn)證���;
服務(wù)器是維護(hù)一個(gè)合法用戶(hù)的身份信息數(shù)據(jù)庫(kù)�����,對(duì)終端用戶(hù)進(jìn)行4矣入身 份驗(yàn)證�。服務(wù)器預(yù)先導(dǎo)入所有合法用戶(hù)身份信息到數(shù)據(jù)庫(kù),保存每一個(gè)用戶(hù) 的帳號(hào)和密碼����,在用戶(hù)接入網(wǎng)絡(luò)時(shí)驗(yàn)證其帳號(hào)和密碼的正確性。服務(wù)器上與
每個(gè)用戶(hù)對(duì)應(yīng)的還有該用戶(hù)的訪問(wèn)網(wǎng)絡(luò)的權(quán)限��,訪問(wèn)網(wǎng)絡(luò)的權(quán)限級(jí)別以及所 對(duì)應(yīng)的需要監(jiān)控的安全策略�����。服務(wù)器驗(yàn)證終端用戶(hù)名和密碼正確后��,再根據(jù) 用戶(hù)名返回該用戶(hù)的訪問(wèn)網(wǎng)絡(luò)權(quán)限以及訪問(wèn)網(wǎng)絡(luò)的權(quán)限級(jí)別�,以及所需要的 安全策略。
步驟203����、服務(wù)器向交換機(jī)返回認(rèn)證結(jié)杲,交換機(jī)根據(jù)返回的認(rèn)證結(jié)果打
開(kāi)或關(guān)閉終端訪問(wèn)網(wǎng)絡(luò)的端口 �����;
服務(wù)器向交換機(jī)返回的認(rèn)證結(jié)果包括該用戶(hù)的上網(wǎng)權(quán)限�;包括若返 回的認(rèn)證結(jié)果是終端有訪問(wèn)網(wǎng)絡(luò)的權(quán)限,則交換機(jī)打開(kāi)終端訪問(wèn)網(wǎng)絡(luò)的端口 �����; 若返回的認(rèn)證結(jié)果是終端沒(méi)有訪問(wèn)網(wǎng)絡(luò)的權(quán)限,則交換機(jī)關(guān)閉終端訪問(wèn)網(wǎng)絡(luò) 的端口��。此處所述端口是終端與交換機(jī)連接的端口����。
步驟204��、服務(wù)器使用單向加密方式對(duì)解密的終端身份信息進(jìn)行加密��;單向加密方式是單向的加密方式����,具體可以是MD5或SHA1。
步驟205��、服務(wù)器對(duì)使用單向加密方式加密的終端身份信息進(jìn)行驗(yàn)證��;
服務(wù)器是維護(hù)一個(gè)合法用戶(hù)的身份信息數(shù)據(jù)庫(kù)�,對(duì)終端用戶(hù)進(jìn)行接入身 份驗(yàn)證。l良務(wù)器預(yù)先導(dǎo)入所有合法用戶(hù)身份信息到數(shù)據(jù)庫(kù)��,保存每一個(gè)用戶(hù) 的帳號(hào)和密碼���,在用戶(hù)接入網(wǎng)絡(luò)時(shí)驗(yàn)證其帳號(hào)和密碼的正確性��。服務(wù)器上與 每個(gè)用戶(hù)對(duì)應(yīng)的還有該用戶(hù)的訪問(wèn)網(wǎng)*各的權(quán)限����,訪問(wèn)網(wǎng)絡(luò)的級(jí)別以及所對(duì)應(yīng) 的需要監(jiān)控的安全策略。服務(wù)器驗(yàn)證終端用戶(hù)名和密碼正確后��,再根據(jù)其用 戶(hù)名返回該用戶(hù)的訪問(wèn)網(wǎng)絡(luò)權(quán)限以及訪問(wèn)網(wǎng)絡(luò)的權(quán)限級(jí)別�����,以及所需要的安 全策略�����。
步驟206�����、服務(wù)器向安全接入控制網(wǎng)關(guān)返回認(rèn)證結(jié)果�,安全接入控制網(wǎng)關(guān) 依據(jù)認(rèn)證結(jié)果對(duì)終端訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行控制;
服務(wù)器向安全接入控制網(wǎng)關(guān)返回的認(rèn)證結(jié)果包括所述終端訪問(wèn)網(wǎng)絡(luò)的 權(quán)限級(jí)別��;
安全接入控制網(wǎng)關(guān)依據(jù)認(rèn)證結(jié)果對(duì)終端訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行控制���,包括 安全接入控制網(wǎng)關(guān)依據(jù)所述終端訪問(wèn)網(wǎng)絡(luò)的權(quán)限級(jí)別通過(guò)交換機(jī)向終端開(kāi)方支 訪問(wèn)指定IP地址段的網(wǎng)絡(luò)資源�。訪問(wèn)網(wǎng)絡(luò)的權(quán)限級(jí)別包括向終端開(kāi)放所有的訪問(wèn)權(quán)限,向終端開(kāi)放部分IP地址的網(wǎng)絡(luò)訪問(wèn)權(quán)限���,或者是向終端開(kāi)放一 個(gè)或幾個(gè)IP地址的網(wǎng)絡(luò)訪問(wèn)權(quán)限���。
步驟207、服務(wù)器向終端下發(fā)安全策略��;
服務(wù)器向終端下發(fā)的安全策略包括監(jiān)控終端訪問(wèn)網(wǎng)絡(luò)的端口����,監(jiān)控終 端上運(yùn)行的進(jìn)程和檢查終端是否安裝非法軟件�;
終端上安裝的安全控制軟件依據(jù)所述安全策略對(duì)所述終端進(jìn)行監(jiān)控,包 括監(jiān)控終端訪問(wèn)網(wǎng)絡(luò)的端口���,監(jiān)控終端上運(yùn)行的進(jìn)程�����,檢查終端是否按照 非法軟件��。
綜上所述���,本發(fā)明實(shí)施例提供的安全接入控制方法����,支持802.1x協(xié)議的 交換機(jī)根據(jù)對(duì)終端身份信息的認(rèn)證結(jié)果打開(kāi)或關(guān)閉終端的上網(wǎng)權(quán)限���,安全接 入控制網(wǎng)關(guān)根據(jù)對(duì)終端身份信息的認(rèn)證結(jié)果對(duì)終端訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行具體的 控制���,終端上安裝的安全控制軟件具體執(zhí)行服務(wù)器下發(fā)的安全策略對(duì)終端進(jìn) 行監(jiān)控;本發(fā)明實(shí)施例通過(guò)交換機(jī)���、安全接入控制網(wǎng)關(guān)和安全控制軟件共同 作用�,實(shí)現(xiàn)對(duì)終端訪問(wèn)網(wǎng)絡(luò)的精細(xì)控制�,保證網(wǎng)絡(luò)內(nèi)容的安全。具體的���,安 全接入控制網(wǎng)關(guān)和支持802.1x交換機(jī)控制終端訪問(wèn)內(nèi)網(wǎng)的具體資源�,有效地 控制非法用戶(hù)訪問(wèn)內(nèi)網(wǎng)資源�,且對(duì)終端用戶(hù)的訪問(wèn)權(quán)限級(jí)別做限定,更進(jìn)一 步保證內(nèi)網(wǎng)資源的安全性���;同時(shí)也實(shí)現(xiàn)控制終端訪問(wèn)外網(wǎng)的權(quán)限���,有效控制 內(nèi)部終端信息的泄露�����,加強(qiáng)網(wǎng)絡(luò)安全����。進(jìn)一步的�,終端上運(yùn)行安全控制軟件, 根據(jù)服務(wù)器下發(fā)的安全策略對(duì)終端進(jìn)行監(jiān)控�,及時(shí)發(fā)現(xiàn)終端的異常,更進(jìn)一 步保證部署網(wǎng)絡(luò)的安全�����。
如下提供實(shí)現(xiàn)上述方法的服務(wù)器結(jié)構(gòu)實(shí)施例��。 圖3示出了本發(fā)明實(shí)施例提供的服務(wù)器結(jié)構(gòu)圖�����。 一種服務(wù)器����,包括
第 一認(rèn)證模塊310,用于接收交換機(jī)轉(zhuǎn)發(fā)的使用雙向加密方式加密的終端 身份信息;將所述使用雙向加密方式加密的終端身份信息進(jìn)行解密�,并對(duì)所 述解密的終端身份信息進(jìn)行驗(yàn)證;向所述交換機(jī)返回認(rèn)證結(jié)果��,所述交換機(jī) 依據(jù)所述認(rèn)證結(jié)果對(duì)所述終端訪問(wèn)網(wǎng)絡(luò)進(jìn)行控制�;
第二認(rèn)證模塊320,用于使用單向加密方式對(duì)所述第 一認(rèn)證模塊解密的終 端身份信息進(jìn)行加密;對(duì)所述使用單向加密方式加密的終端身份信息進(jìn)行驗(yàn) 證���;向安全接入控制網(wǎng)關(guān)返回認(rèn)證結(jié)果����,所述安全接入控制網(wǎng)關(guān)依據(jù)所述認(rèn) 證結(jié)果對(duì)所述終端訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行控制�����;向所述終端的安全控制才莫塊下發(fā)
安全策略�,所述終端安全控制模塊依據(jù)所述安全策略對(duì)所述終端監(jiān)控。
進(jìn)一步的����,所述第一認(rèn)證模塊310向所述交換機(jī)返回的認(rèn)證結(jié)果包括所 述終端有訪問(wèn)網(wǎng)絡(luò)的權(quán)限或終端沒(méi)有訪問(wèn)網(wǎng)絡(luò)的權(quán)限。
進(jìn)一步的���,所述第二認(rèn)證模塊320向安全接入控制網(wǎng)關(guān)返回的認(rèn)證結(jié)果 包括所述終端訪問(wèn)網(wǎng)絡(luò)的權(quán)限級(jí)別���。
進(jìn)一步的�,所述第二認(rèn)證模塊320所述向終端的安全控制模塊下發(fā)的安 全策略包括監(jiān)控所述終端訪問(wèn)網(wǎng)絡(luò)的端口��,監(jiān)控所述終端上運(yùn)行的進(jìn)程和 檢查所述終端是否按照非法軟件��。
本發(fā)明實(shí)施例還提供實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的系統(tǒng)�����,圖4示出了本發(fā)明 實(shí)施例提供的實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的系統(tǒng)圖�����。
一種實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的系統(tǒng)�,包括服務(wù)器300,交換機(jī)200,安 全4妄入控制網(wǎng)關(guān)400和終端100;
所述終端100,包括發(fā)送模塊110和安全控制模塊120;
所述發(fā)送模塊110���,用于向所述交換機(jī)200發(fā)送使用雙向加密方式加密的 終端身份信息;
所述安全控制模塊120���,用于接收所述服務(wù)器300下發(fā)的安全策略�,依據(jù) 所述安全策略對(duì)終端進(jìn)4于監(jiān)控;
服務(wù)器300向終端100的安全控制模塊120下發(fā)的安全策略包括監(jiān)控 終端訪問(wèn)網(wǎng)絡(luò)的端口 �����,監(jiān)控終端上運(yùn)行的進(jìn)程和檢查終端是否安裝非法軟件�����;
安全控制模塊120依據(jù)安全策略對(duì)終端100進(jìn)行監(jiān)控�����,包括監(jiān)控終端 訪問(wèn)網(wǎng)絡(luò)的端口�����,監(jiān)控終端上運(yùn)行的進(jìn)程���,檢查終端是否按照非法軟件�。
所述交換機(jī)200���,用于將所述終端IOO發(fā)送的使用雙向加密方式加密的終 端身份信息轉(zhuǎn)發(fā)至所述服務(wù)器300,接收所述服務(wù)器300返回的認(rèn)證結(jié)果����,并 依據(jù)所述認(rèn)證結(jié)果對(duì)所述終端100訪問(wèn)網(wǎng)絡(luò)進(jìn)行控制;
服務(wù)器300向交換機(jī)200返回的認(rèn)證結(jié)果包括該用戶(hù)的上網(wǎng)權(quán)限����;包括 若返回的認(rèn)證結(jié)果是終端有訪問(wèn)網(wǎng)絡(luò)的權(quán)限,則交換機(jī)200打開(kāi)終端訪問(wèn)網(wǎng) 絡(luò)的端口���;若返回的認(rèn)證結(jié)果是終端沒(méi)有訪問(wèn)網(wǎng)絡(luò)的權(quán)限���,則交換機(jī)200關(guān) 閉終端訪問(wèn)網(wǎng)絡(luò)的端口 。此處所述端口是終端100與交換機(jī)200連接的端口 �����。
所述服務(wù)器300,用于接收所述交換機(jī)200轉(zhuǎn)發(fā)的使用雙向加密方式加密 的終端身份信息�;將所述使用雙向加密方式加密的終端身份信息進(jìn)行解密, 并對(duì)所述解密的終端身份信息進(jìn)行驗(yàn)證�����;向所述交換機(jī)200返回認(rèn)證結(jié)果���; 使用單向加密方式對(duì)所述解密的終端身份信息進(jìn)行加密��;對(duì)所述使用單向加 密方式加密的終端身份信息進(jìn)行驗(yàn)證�;向所述安全接入控制網(wǎng)關(guān)400返回認(rèn) 證結(jié)果�;向所述終端100的安全控制模塊120下發(fā)安全策略;
所述安全接入控制網(wǎng)關(guān)400,用于接收所述服務(wù)器300返回的認(rèn)證結(jié)果�����, 并依據(jù)所述認(rèn)證結(jié)果對(duì)所述終端100訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行控制��。
服務(wù)器向安全接入控制網(wǎng)關(guān)返回的認(rèn)證結(jié)果包括所述終端訪問(wèn)網(wǎng)絡(luò)的 權(quán)限級(jí)別��;
所述安全接入控制網(wǎng)關(guān)400依據(jù)認(rèn)證結(jié)果對(duì)終端訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行控制��, 包括所述安全接入控制網(wǎng)關(guān)400依據(jù)所述終端訪問(wèn)網(wǎng)絡(luò)的權(quán)限級(jí)別通過(guò)交 換機(jī)200向終端100開(kāi)放訪問(wèn)指定IP地址段的網(wǎng)絡(luò)資源�����。訪問(wèn)網(wǎng)絡(luò)的權(quán)限級(jí) 別包括向終端IOO開(kāi)放所有的訪問(wèn)權(quán)限��,向終端IOO開(kāi)放部分IP地址的網(wǎng) 絡(luò)訪問(wèn)權(quán)限�����,或者是向終端100開(kāi)》文一個(gè)或幾個(gè)IP地址的網(wǎng)絡(luò)訪問(wèn);〖又限�。
本發(fā)明實(shí)施例安全接入控制系統(tǒng),支持802.1x協(xié)議的交換機(jī)200根據(jù)對(duì) 終端身份信息的認(rèn)證結(jié)果打開(kāi)或關(guān)閉終端100的上網(wǎng)權(quán)限���,安全接入控制網(wǎng) 關(guān)400根據(jù)對(duì)終端身份信息的認(rèn)證結(jié)果對(duì)終端訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行具體的控制�, 終端100的安全控制模塊120具體執(zhí)行服務(wù)器300下發(fā)的安全策略,對(duì)終端 IOO進(jìn)行監(jiān)控��;本發(fā)明實(shí)施例通過(guò)交換機(jī)200��、安全接入控制網(wǎng)關(guān)400和終端 100的安全控制模塊120共同作用����,實(shí)現(xiàn)對(duì)終端訪問(wèn)網(wǎng)絡(luò)的精細(xì)控制,保證網(wǎng) 絡(luò)內(nèi)容的安全���。具體的�����,安全接入控制網(wǎng)關(guān)400和支持802.lx交換機(jī)200控 制終端訪問(wèn)內(nèi)網(wǎng)的具體資源����,有效地控制非法用戶(hù)訪問(wèn)內(nèi)網(wǎng)資源���,且對(duì)終端
用戶(hù)的訪問(wèn)權(quán)限級(jí)別做限定��,更進(jìn)一步保證內(nèi)網(wǎng)資源的安全性�;同時(shí)也實(shí)現(xiàn) 控制終端訪問(wèn)外網(wǎng)的權(quán)限,有效控制內(nèi)部終端信息的泄露���,加強(qiáng)網(wǎng)絡(luò)安全; 進(jìn)一步的����,終端100的安全控制模塊120,根據(jù)服務(wù)器300下發(fā)的安全策略對(duì) 終端IOO進(jìn)行監(jiān)控,及時(shí)發(fā)現(xiàn)終端IOO的異常����,更進(jìn)一步保證部署網(wǎng)絡(luò)的安 全。
在實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的系統(tǒng)中����,可以存在多個(gè)終端,同時(shí)通過(guò)交換 機(jī)與服務(wù)器和安全接入控制網(wǎng)關(guān)連接���。本發(fā)明實(shí)施只以一個(gè)終端的網(wǎng)絡(luò)安全 接入控制為例說(shuō)明實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制系統(tǒng)�����,同樣適用與網(wǎng)絡(luò)中其他終端 的網(wǎng)絡(luò)安全接入控制�。
程�,是可以通過(guò)計(jì)算機(jī)程序來(lái)指令相關(guān)的硬件來(lái)完成����,所述的程序可存儲(chǔ)于 一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中�����,該程序在執(zhí)行時(shí)����,可包括如上述各方法的實(shí)施 例的流程。其中���,所述的存儲(chǔ)介質(zhì)可為石茲碟�����、光盤(pán)�����、只讀存儲(chǔ)記憶體(Read-Only Memory, ROM)或隨機(jī)存儲(chǔ)記憶體(Random Access Memory, RAM)等��。
以上對(duì)本發(fā)明所提供的 一種實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的方法及系統(tǒng)���、服務(wù) 器進(jìn)行了詳細(xì)介紹�,對(duì)于本領(lǐng)域的一般技術(shù)人員����,依據(jù)本發(fā)明實(shí)施例的思想, 在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變之處����,綜上所述�,本說(shuō)明書(shū)內(nèi)容不 應(yīng)理解為對(duì)本發(fā)明的限制。
權(quán)利要求
1�、一種實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的方法,其特征在于�����,包括:接收交換機(jī)轉(zhuǎn)發(fā)的使用雙向加密方式加密的終端身份信息���;將所述使用雙向加密方式加密的終端身份信息進(jìn)行解密�,并對(duì)所述解密的終端身份信息進(jìn)行驗(yàn)證���;向所述交換機(jī)返回認(rèn)證結(jié)果�����,所述交換機(jī)依據(jù)所述認(rèn)證結(jié)果對(duì)所述終端訪問(wèn)網(wǎng)絡(luò)進(jìn)行控制���;使用單向加密方式對(duì)所述解密的終端身份信息進(jìn)行加密����;對(duì)所述使用單向加密方式加密的終端身份信息進(jìn)行驗(yàn)證�����;向安全接入控制網(wǎng)關(guān)返回認(rèn)證結(jié)果���,所述安全接入控制網(wǎng)關(guān)依據(jù)所述認(rèn)證結(jié)果對(duì)所述終端訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行控制��;向所述終端的安全控制模塊下發(fā)安全策略����,所述終端安全控制模塊依據(jù)所述安全策略對(duì)所述終端進(jìn)行監(jiān)控����。
2、 根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的方法�����,其特征在于, 所述向所述交換機(jī)返回的認(rèn)證結(jié)果包括所述終端有訪問(wèn)網(wǎng)絡(luò)的權(quán)限或終端 沒(méi)有訪問(wèn)網(wǎng)絡(luò)的權(quán)限���;回的認(rèn)證結(jié)果是所述終端有訪問(wèn)網(wǎng)絡(luò)的權(quán)限�����,則所述交換機(jī)打開(kāi)所述終端訪 問(wèn)網(wǎng)絡(luò)的端口�����;若返回的認(rèn)證結(jié)果是所述終端沒(méi)有訪問(wèn)網(wǎng)絡(luò)的權(quán)限,則所述 交換機(jī)關(guān)閉所述終端訪問(wèn)網(wǎng)絡(luò)的端口 ����。
3、 根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的方法����,其特征在于, 所述向安全接入控制網(wǎng)關(guān)返回的認(rèn)證結(jié)果包括所述終端訪問(wèn)網(wǎng)絡(luò)的權(quán)限級(jí) 別�����;所述安全接入控制網(wǎng)關(guān)依據(jù)所述認(rèn)證結(jié)果對(duì)所述終端訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行 控制包括所述安全接入控制網(wǎng)關(guān)依據(jù)所述終端訪問(wèn)網(wǎng)絡(luò)的權(quán)限級(jí)別向所述 終端開(kāi)放訪問(wèn)指定IP地址段的網(wǎng)絡(luò)資源。
4���、 根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的方法���,其特征在于, 所述向終端的安全控制模塊下發(fā)的安全策略包括監(jiān)控所述終端訪問(wèn)網(wǎng)絡(luò)的 端口 ����,監(jiān)控所述終端上運(yùn)行的進(jìn)程和檢查所述終端是否安裝非法軟件;所述終端的安全控制模塊依一居所述安全策略對(duì)所述終端進(jìn)行監(jiān)控包括 監(jiān)控所述終端訪問(wèn)網(wǎng)絡(luò)的端口����,監(jiān)控所述終端上運(yùn)行的進(jìn)程,檢查所述終端 是否按照非法軟件����。
5、 根據(jù)權(quán)利要求1至4所述的任一項(xiàng)實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的方法�����,其 特征在于���,所述雙向加密方式包括DES�����、 3DES或AES;所述單向加密方式包括MD5或SHA1����。
6、 一種服務(wù)器�����,其特征在于����,包括第 一認(rèn)證模塊,用于接收交換機(jī)轉(zhuǎn)發(fā)的使用雙向加密方式加密的終端身 份信息���;將所述使用雙向加密方式加密的終端身份信息進(jìn)行解密,并對(duì)所述 解密的終端身份信息進(jìn)行驗(yàn)證��;向所述交換機(jī)返回認(rèn)證結(jié)果���,所述交換機(jī)依 據(jù)所述認(rèn)證結(jié)果對(duì)所述終端訪問(wèn)網(wǎng)絡(luò)進(jìn)行控制�����;第二認(rèn)證^^莫塊��,用于^^用單向加密方式對(duì)所述第一i^證模塊解密的終端 身份信息進(jìn)行加密�;對(duì)所述使用單向加密方式加密的終端身份信息進(jìn)行驗(yàn)證; 向安全接入控制網(wǎng)關(guān)返回認(rèn)證結(jié)果�����,所述安全接入控制網(wǎng)關(guān)依據(jù)所述認(rèn)證結(jié) 果對(duì)所述終端訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行控制����;向所述終端的安全控制;f莫塊下發(fā)安全 策略,所述終端安全控制纟莫塊依據(jù)所述安全策略對(duì)所述終端監(jiān)控�。
7、 根據(jù)權(quán)利要求6所述的服務(wù)器�����,其特征在于��,所述第一認(rèn)證模塊向所 述交換機(jī)返回的認(rèn)證結(jié)果包括所述終端有訪問(wèn)網(wǎng)絡(luò)的權(quán)限或終端沒(méi)有訪問(wèn) 網(wǎng)絡(luò)的權(quán)限���。
8����、 根據(jù)權(quán)利要求7所述的服務(wù)器,其特征在于�����,所述第二認(rèn)證模塊向安 全接入控制網(wǎng)關(guān)返回的i人證結(jié)果包括所述終端訪問(wèn)網(wǎng)絡(luò)的權(quán)限級(jí)別����。
9、 根據(jù)權(quán)利要求8所述的服務(wù)器�,其特征在于,所述第二認(rèn)證模塊所述 向終端的安全控制模塊下發(fā)的安全策略包括監(jiān)控所述終端訪問(wèn)網(wǎng)絡(luò)的端口 ���, 監(jiān)控所述終端上運(yùn)行的進(jìn)程和^r查所述終端是否纟要照非法軟件���。
10、 一種實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的系統(tǒng)��,其特征在于��,包括服務(wù)器�����, 交換機(jī)����,安全接入控制網(wǎng)關(guān)和終端;所述終端包括發(fā)送模塊和安全控制模塊����,所述發(fā)送模塊,用于向所述交換機(jī)發(fā)送使用雙向加密方式加密的終端身 份信息����;所述安全控制模塊,接收所述服務(wù)器下發(fā)的安全策略����,依據(jù)所述安全策 略對(duì)終端進(jìn)行監(jiān)控;所述服務(wù)器用于接收所述交換機(jī)轉(zhuǎn)發(fā)的使用雙向加密方式加密的終端 身份信息�;將所述使用雙向加密方式加密的終端身份信息進(jìn)行解密,并對(duì)所 述解密的終端身份信息進(jìn)行驗(yàn)證�;向所述交換機(jī)返回認(rèn)證結(jié)果;使用單向加 密方式對(duì)所述解密的終端身份信息進(jìn)行加密�����;對(duì)所述使用單向加密方式加密 的終端身份信息進(jìn)行驗(yàn)證����;向所述安全接入控制網(wǎng)關(guān)返回認(rèn)證結(jié)果�;向所述 終端的安全控制模塊下發(fā)安全策略�;所述交換機(jī),用于將所述終端發(fā)送的使用雙向加密方式加密的終端身份 信息轉(zhuǎn)發(fā)至所述服務(wù)器�����,接收所述服務(wù)器返回的認(rèn)證結(jié)果��,并依據(jù)所述認(rèn)證 結(jié)果對(duì)所述終端訪問(wèn)網(wǎng)絡(luò)進(jìn)^f控制����;所述安全接入控制網(wǎng)關(guān),用于接收所述服務(wù)器返回的認(rèn)證結(jié)果�����,并依據(jù) 所述認(rèn)證結(jié)果對(duì)所述終端訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行控制�����。
全文摘要
本發(fā)明實(shí)施例公開(kāi)實(shí)現(xiàn)安全接入控制的方法及系統(tǒng)��、服務(wù)器���。本發(fā)明實(shí)施例實(shí)現(xiàn)網(wǎng)絡(luò)安全接入控制的方法包括接收交換機(jī)轉(zhuǎn)發(fā)的使用雙向加密方式加密的終端身份信息����;將使用雙向加密方式加密的終端身份信息進(jìn)行解密�,并對(duì)解密的終端身份信息進(jìn)行驗(yàn)證;向交換機(jī)返回認(rèn)證結(jié)果����,交換機(jī)依據(jù)認(rèn)證結(jié)果對(duì)終端訪問(wèn)網(wǎng)絡(luò)進(jìn)行控制;使用單向加密方式對(duì)解密的終端身份信息進(jìn)行加密����;對(duì)使用單向加密方式加密的終端身份信息進(jìn)行驗(yàn)證;向安全接入控制網(wǎng)關(guān)返回認(rèn)證結(jié)果��,安全接入控制網(wǎng)關(guān)依據(jù)認(rèn)證結(jié)果對(duì)終端訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行控制�;向終端的安全控制模塊下發(fā)安全策略,終端安全控制模塊依據(jù)安全策略對(duì)終端進(jìn)行監(jiān)控�����。本發(fā)明實(shí)施例能夠更全面地解決內(nèi)網(wǎng)的安全問(wèn)題�����。
文檔編號(hào)H04L9/32GK101378358SQ200810149348
公開(kāi)日2009年3月4日 申請(qǐng)日期2008年9月19日 優(yōu)先權(quán)日2008年9月19日
發(fā)明者孫微佳, 謝永方 申請(qǐng)人:成都市華為賽門(mén)鐵克科技有限公司