一种网络终端节点的安全接入管控系统的制作方法
一种网络终端节点的安全接入管控系统的制作方法
【技术领域】
[0001]本实用新型属于网络安全管理技术领域,涉及一种安全管控系统,具体涉及一种网络终端节点的安全接入管控系统。
【背景技术】
[0002]目前智能终端通过使用无线接入点后所带来终端随意接入访问的网络边界接入安全问题日益突出显现。随意架设任何人都可访问的无线热点,没有任何安全措施的智能终端通过无线热点接入电子政务、电子税务等专有网络之中并且不加控制的随意访问,这些行为严重破坏了专有网络边界的完整性,为恶意入侵者大开方便之门,并轻易的为其提供了可乘之机。如何有效管控网络终端的安全接入,构建可信的网络终端准入控制体系,从源头上防范非法接入安全隐患已成为当前网络安全管理的关键。
【实用新型内容】
[0003]本实用新型的目的在于解决上述问题,提供一种网络终端节点的安全接入管控系统,该系统主要是基于身份认证和终端准入控制技术,实现了用户身份认证、终端节点可信接入、违规操作鉴别、访问权限控制和安全接入管控等功能。
[0004]为了实现上述目的,本实用新型所采用的技术方案是:
[0005]一种网络终端节点的安全接入管控系统,包括用户身份认证模块、终端接入认证模块、违规操作鉴别模块、网络访问权限控制模块以及安全接入管理模块;
[0006]用户身份认证模块完成终端用户的可信身份认证;
[0007]终端接入认证模块完成终端节点的可信接入认证;
[0008]违规操作鉴别模块实现对违规架设NAT和代理服务器的行为鉴别;
[0009]网络访问权限控制模块实现对用户网络访问权限的分组控制;
[0010]安全接入管理模块实现网络用户与终端节点信息的审核管理和维护,实时监控用户网络状态,并对在线时长和网络流量进行统计;
[0011]安全接入客户端及安全管理客户端通过接入认证交换机与CA认证服务器和服务器相连,服务器包括RADIUS认证服务器、安全管理服务器以及数据库服务器。
[0012]所述的用户身份认证模块包括CA用户证书以及CA认证服务器;CA认证中心为每位用户配发一个USB-Key硬件设备,CA用户证书、私钥以及用户的基本信息保存在USB-Key硬件设备中;USB_Key硬件设备能够设置用户口令,且具有USB接口。
[0013]所述的终端接入认证模块包括接入认证交换机、CA认证服务器以及RADIUS认证服务器;RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。
[0014]所述的违规操作鉴别模块利用NPF驱动的过滤和捕获功能,捕获并分析数据包,根据分析结果判定用户是否有私设代理的行为发生。
[0015]所述的安全接入管理模块包括RADIUS认证服务器、数据库服务器以及安全管理服务器。
[0016]与现有技术相比,本实用新型具有以下有益效果:
[0017]本实用新型能够完成对用户可信身份认证、终端节点可信接入、违规操作鉴别、访问权限控制以及网络接入状态实时监控的功能;实现了基于身份认证的可信终端安全接入控制系统,系统稳定可靠,认证效率较高,对NAT和代理服务等违规行为的检测预警准确,通过WEB管理界面对终端用户网络状态进行监测与控制,完全能够满足专有网络安全管理的需要。
【附图说明】
[0018]图1为本实用新型网络节点的安全管控系统架构图;
[0019]图2为本实用新型用户身份认证流程图;
[0020]图3为本实用新型终端接入认证流程图;
[0021]图4为本实用新型违规行为鉴别流程图;
[0022]图5为本实用新型访问权限控制模块客户端的流程图;
[0023]图6为本实用新型安全接入管控系统的功能模块示意图。
【具体实施方式】
[0024]下面结合附图和实施例对本实用新型做进一步详细的说明:
[0025]本实用新型网络节点的安全管控系统,包括用户身份认证模块、终端接入认证模块、违规操作鉴别模块、网络访问权限控制模块以及安全接入管理模块;用户身份认证模块完成终端用户的可信身份认证;用户身份认证模块包括CA用户证书以及CA认证服务器;CA认证中心为每位用户配发一个USB-Key硬件设备,CA用户证书、私钥以及用户的基本信息保存在USB-Key硬件设备中;USB_Key硬件设备能够设置用户口令,且具有USB接口。终端节点可信接入模块完成终端用户的可信接入认证;终端节点可信接入模块包括接入认证交换机、CA认证服务器以及RADIUS认证服务器;RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。违规操作鉴别模块实现违规架设NAT和代理服务器的行为鉴别;违规操作鉴别模块利用NPF驱动的过滤和捕获功能,捕获并分析数据包,根据分析结果判定用户是否有私设代理的行为发生。网络访问权限控制模块用于对网络用户组的划分,并为不同的组赋予相应的网络访问权限;安全接入管理模块对网络用户信息的审核管理和维护,实时监控用户网络状态,并对在线时长和网络流量进行统计。安全接入管理模块包括RADIUS认证服务器、数据库服务器以及Π展示界面。
[0026]本实用新型还公开了一种网络终端节点的安全接入管控方法,包括以下步骤:
[0027]I)利用用户身份认证模块,结合CA身份认证方式,完成接入网络的终端用户的可信身份认证;可信身份认证的具体方法是:
[0028]1-1)首先终端组件通过GetTimes O函数获取本地时间,然后将时间拼装成字符串格式;
[0029]1-2)通过GenSimpleKey (10)函数获取时间字符串的10位随机数;
[0030]1-3)调用本地的USB-Key硬件设备中的私钥对该随机数进行PKCS#7签名,签名函数 Certif icateSign_certThumbprint (strTexts, rtest)由相应 CA 认证中心提供;
[0031]1-4)签名完成后,调用CA认证服务器进行验证,服务器利用私钥解密出证书信息和本地时间,然后查看证书信息是否存在于白名单中,同时将本地时间与当前时间作比较,看是否在一定的时间间隔内,验证完成。
[0032]2)利用终端节点可信接入模块,对通过可信身份认证的终端用户采用802.1x协议,完成终端用户的可信接入认证;可信接入认证的具体方法是:
[0033]2-1)用户插入USB-Key硬件设备,终端组件发送EAPOL-Start包,请求认证;
[0034]2-2)接入认证交换机返回请求用户名包;
[0035]2-3)终端组件自动获取数字证书设备中的入网号作为用户名,发送封装用户名的数据包;
[0036]2-4)RADIUS服务器产生MD5_Challenge加密字,并由接入接入认证交换机返回给终端组件;
[0037]2-5)客户端发送用户名和加密密码包;
[0038]2-6)接入认证交换机将用户名和密码包转发给RADIUS服务器进行验证,合法则返回成功认证包,否则返回认证失败包。
[0039]3)采用违规操作鉴别模块,利用NPF组件捕获数据包的功能,通过对数据包结构、相关属性值以及协议的分析,对通过可信接入认证的终端用户完成违规架设NAT和代理服务器的行为鉴别;违规操作鉴别的具体方法是:
[0040]终端组件利用NPF驱动的过滤和捕获功能,捕获并分析数据包,启用分析模块进行分析,根据分析结果判定是否有NAT或者私设代理的行为发生;如果存在违规行为,自动将指定的异常情况向服务器报警,由管理员作出相应处理。
[0041]4)利用基于组的安全访问权限划分策略的网络访问权限控制模块,对接入网络的终端用户分组并设定网络访问范围,通过终端组件对终端用户行为进行管控,发现违规行为立即上报,由管理员作出相应处理;网络访问权限控制的具体方法是:
[0042]用户首次接入内网时,需要在内网数据库进行信息补充和注册,然后由管理员根据用户信息完成审核和分组,将组别主要分为管理员、高级用户和普通用户;针对不同组的访问权限设置控制策略有允许访问、禁止访问和限制访问三种;允许访问时所有地址全部允许;禁止访问时所有地址全部禁止;限制访问则依据黑白名单进行访问,其中白名单地址访问一律放行,黑名单地址访问一律禁止。
[0043]5)利用安全接入管理模块对网络用户及其接入信息进行审核管理和维护控制,实时监控上网用户的身份信息、接入验证过程、上下线时间、上下行信息流量、上网终端所接交换设备的端口号以及IP地址信息,并对在线时长和网络流量进行统计,实现网络终端的安全接入管控。
[0044]本实用新型的原理:
[0045]本实用新型利用CA身份认证技术、802.1x协议接入认证技术以及NPF驱动模块等关键技术,实现终端的可信身份认证、可信接入认证、违规操作鉴别、访问权限控制和系统安全接入管控等功能。并在以上基础上,结合兼容性、安全性、稳定性、界面友好性等设计原则,开发一套结合身份认证的可信终端接入控制系统,并在真实的的网络环境下进行测试。主要实现了:1、采用CA身份认证技术,完成终端用户的可信身份认证;2、采用802.1x协议接入认证方式,完成终端节点的可信接入;3、利用NPF组件捕获数据包,通过对数据包结构、相关属性值以及协议的分析,实现违规架设NAT和代理服务器的行为鉴别;4、设计基于组的安全访问权限划分策略,对接入网络的用户分组并设定网络访问范围,通过终端组件对用户行为进行管控,发现违规行为立即上报,由管理员根据实际情况作出相应处理;5、设计安全接入管控系统界面,对网络用户及其接入信息进行审核管理和维护控制,实时监控上网用户的身份信息、接入验证过程、上下线时间、上下行信息流量、上网终端所接交换设备的端口号以及IP地址等信息,并对在线时长和网络流量进行统计,实现网络终端的安全接入管控。
[0046]本实用新型的结构原理:
[0047]本实用新型的设计符合802.1x协议的终端通用认证组件,结合CA身份认证技术,通过储存有数字证书的USB-Key硬件设备与CA中心服务器的联动来完成用户身份认证;使用内置于USB-Key硬件设备中的入网号和PIN码作为终端认证节点的唯一标识,通过终端组件、中间接入设备和RADIUS认证服务器三个实体之间的信息交互完成终端接入认证;终端组件利用NPF驱动软件包完成获取网络设备信息和过滤、捕获网络数据包的功能,通过对终端主机多网卡的检测和对数据包内容及协议的解析,实现了对终端违规操作的鉴别;制定了以组划分用户、按组下放权限的策略,实现了用户访问网络权限的可控性;最后开发了安全接入管控界面,用于实时监测终端用户和终端主机 的接入过程和网络状态,辅助管理员更好的管理网络。
[0048]本实用新型的总体框架:
[0049]如图1所示,本实用新型主要由客户端、中间接入设备、RADIUS认证服务器、CA认证服务器、安全管理服务器和相关数据库服务器等组件构成,采用C/S与B/S相结合的模式。客户端与CA认证服务器、客户端与RADIUS认证服务器之间采用C/S架构,分别负责用户身份认证和终端接入认证;客户端与安全管理服务器之间采用B/S架构,主要负责用户信息的注册审核、网络访问组权限的设定和实时的安全接入管控。
[0050]本实用新型的工作流程:
[0051]本实用新型将可信的用户身份认证、可信终端接入认证、终端违规操作的鉴别、可控的网络访问权限、系统安全接入管控等功能与现有业务流程相结合,达到安全接入、可信访问的目的。
[0052]本实用新型是在802.1x协议的原型上结合CA身份认证技术实现的。终端接入网络后首先会被接入层接入认证交换机划入客户区,该区域的终端计算机只可以访问隔离网络区。终端组件开始运行后,首先检测是否插入了 USB-Key硬件设备,通过CA智能助手可查看USB-Key硬件设备中的证书信息;终端组件将证书信息提交给CA认证服务器进行签名认证,证书有效期经由CA认证服务器进行验证。
[0053]身份认证通过后,进入接入认证阶段。终端组件获取USB-Key硬件设备中的特定信息作为登录账号和密码,首次登录时需要在局域网内部数据库进行信息补全和注册,接入认证时终端组件通过中间设备将合法的用户名和密码提交给RADIUS认证服务器进行验证。
[0054]接入认证通过后,终端组件根据服务器下发的管理策略控制用户网络访问权限,同时实时对用户的违规操作进行鉴别,如果用户私自架设了 NAT或代理服务器,终端组件将该行为上报服务器并由管理员处理,必要情况下可自动阻断用户的网络接入。
[0055]本实用新型功能模块的设计:
[0056]本实用新型主要包括用户身份认证模块、终端可信接入模块、违规操作鉴别模块、网络访问权限控制模块、安全接入管理模块。
[0057]用户身份认证模块
[0058]本实用新型采用CA身份认证技术,由CA认证中心为每位用户配发一个USB-Key硬件设备硬件设备,设备中保存有数字证书、私钥以及用户的基本信息,USB-Key硬件设备还能够设置用户口令,进一步增强证书和私钥的安全性。USB-Key硬件设备具有通用的USB接口,能够满足用户移动办公的需求。此模块通过Internet连接CA认证中心,根据USB-Key硬件设备中的内置信息进行身份认证。根据数字证书的签名判定终端硬件是否合法,根据时间戳判定终端设备是否处于有效期。用户身份认证模块主要由硬件设备USB-Key硬件设备、终端接入组件和CA认证服务器组成,用户身份认证流程如图2所示。
[0059]主要实现过程如下:
[0060]①首先终端组件通过GetTimes O函数获取本地时间,然后将时间拼装成字符串格式;
[0061]②通过GenSimpleKey (10)函数获取时间字符串的10位随机数;
[0062]③调用本地的USBKey中的私钥对该随机数进行签名,本实用新型采用PKCS#7签名,因为PKCS#7签名和其他签名相比,优势在于除了签名值外,还附带有证书信息,签名函数 CertificateSign_certThumbprint (strTexts, rtest)由 CA 认证中心提供;
[0063]④签名完成后,调用CA认证服务器进行验证,服务器利用私钥解密出证书信息(可以是客服信任号、颁发者等信息)和本地时间,然后查看证书信息是否存在于白名单中,同时将本地时间与当前时间作比较,看是否在一定的时间间隔内,验证完成。
[0064]终端节点可信接入模块
[0065]本实用新型在严格按照802.1x协议编写的基础上对终端组件进行了改进,实现了终端组件在不同Unix、Linux和Windows系列操作系统上与各厂家的网络设备使用的兼容性和通用性。系统采用EAP-MD5质询的认证方式主动触发802.1x协议认证,利用USB-Key硬件设备中的13位入网号和PIN码作为合法的登录账号和密码,接入认证主要流程如下:
[0066]①终端用户插入USB-Key硬件设备,终端组件发送EAPOL-Start包,请求认证;
[0067]②接入认证交换机返回请求用户名包;
[0068]③终端组件自动获取数字证书中的入网号作为用户名,发送封装用户名的数据包;
[0069]④RADIUS服务器产生MD5_Challenge加密字,由接入认证交换机返回给终端组件;
[0070]⑤客户端发送用户名和加密密码包;
[0071]⑥接入认证交换机将用户名和密码包转发给RADIUS服务器验证,合法则返回成功认证包,否则返回认证失败包。
[0072]此模块主要由终端组件、接入认证交换机和RADIUS认证服务器组成,终端接入认证流程如图3所示。终端首次接入内网时,首先开辟一个URL指向用户内网信息注册网页,注册成功后由管理员进行信息审核,审核通过后成为合法的内网终端。终端请求接入认证时,开辟一个URL指向RADIUS认证服务器,RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。
[0073]违规操作鉴别模块
[0074]此模块主要针对用户私设代理的行为,终端组件利用NPF驱动的过滤和捕获功能,捕获并分析数据包,根据分析结果判定是否有网络地址转换或者私设代理的行为发生。如果存在违规行为,自动将指定的异常情况向服务器报警,由管理员视情况作出相应处理,必要情况下可自动阻断用户的网络接入。违规行为鉴别模块设计模型如图4所示。通过在终端组件加入网卡信息绑定、NAT和代理软件检测功能来阻止网络共享和违规代理的行为。本实用新型在对网卡数据包的捕捉中使用了网络底层驱动进行开发,在操作系统层面上完成了网卡信息的读写和网络数据包的捕获与处理,具有非常高的实时性和可靠性。
[0075]网络访问权限控制模块
[0076]此模块设计模型如图5所示,主要完成对网络用户组的划分,并为不同的组赋予相应的网络访问权限。网络用户主要分为管理员、高级用户、普通用户三个等级,不同等级的用户访问网络的范围是不同的,由管理员按照分组策略划分用户并设定网络访问权限。管理员可以添加、删除和更改用户信息,客户端也可以向管理员提出申请来修改信息。
[0077]该模块的具体实现:用户首次接入内网时,需要在内网数据库进行信息补全和注册,然后由管理员根据用户信息完成审核和分组,将组别主要分为管理员、高级用户和普通用户。针对不同组的访问权限设置控制策略有允许访问、禁止访问和限制访问三种;允许访问时所有地址全部允许;禁止访问时所有地址全部禁止;限制访问则依据黑白名单进行访问,其中白名单地址访问一律放行,黑名单地址访问一律禁止。
[0078]安全接入管理模块
[0079]系统安全接入管理模块主要由RADIUS服务器、关系数据库和Π管理界面组成,该模块实现功能如下:利用安全接入管理模块对网络用户及其接入信息进行审核管理和维护控制,实时监控上网用户的身份信息、认证过程、上下线时间、上下行信息流量、上网终端所接交换设备的端口号以及IP地址等信息,并对在线时长和网络流量进行统计,实现网络终端的安全接入管控。系统安全接入管控功能设计如图6所示。
[0080]以上内容仅为说明本实用新型的技术思想,不能以此限定本实用新型的保护范围,凡是按照本实用新型提出的技术思想,在技术方案基础上所做的任何改动,均落入本实用新型权利要求书的保护范围之内。
【主权项】
1.一种网络终端节点的安全接入管控系统,其特征在于:包括用户身份认证模块、终端接入认证模块、违规操作鉴别模块、网络访问权限控制模块以及安全接入管理模块; 用户身份认证模块完成终端用户的可信身份认证; 终端接入认证模块完成终端节点的可信接入认证; 违规操作鉴别模块实现对违规架设NAT和代理服务器的行为鉴别; 网络访问权限控制模块实现对用户网络访问权限的分组控制; 安全接入管理模块实现网络用户与终端节点信息的审核管理和维护,实时监控用户网络状态,并对在线时长和网络流量进行统计; 安全接入客户端及安全管理客户端通过接入认证交换机与CA认证服务器和服务器相连,服务器包括RADIUS认证服务器、安全管理服务器以及数据库服务器。2.根据权利要求1所述的网络终端节点的安全接入管控系统,其特征在于:所述的用户身份认证模块包括CA用户证书以及CA认证服务器;CA认证中心为每位用户配发一个USB-Key硬件设备,CA用户证书、私钥以及用户的基本信息保存在USB-Key硬件设备中;USB-Key硬件设备能够设置用户口令,且具有USB接口。3.根据权利要求1所述的网络终端节点的安全接入管控系统,其特征在于:所述的终端接入认证模块包括接入认证交换机、CA认证服务器以及RADIUS认证服务器;RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。4.根据权利要求1所述的网络终端节点的安全接入管控系统,其特征在于:所述的违规操作鉴别模块利用NPF驱动的过滤和捕获功能,捕获并分析数据包,根据分析结果判定用户是否有私设代理的行为发生。5.根据权利要求1所述的网络终端节点的安全接入管控系统,其特征在于:所述的安全接入管理模块包括RADIUS认证服务器、数据库服务器以及安全管理服务器。
【专利摘要】本实用新型公开了一种网络终端节点的安全接入管控系统,安全接入客户端与CA认证服务器、安全接入客户端与RADIUS认证服务器之间采用C/S架构,分别负责用户身份认证和终端接入认证;安全管理客户端与安全管理服务器之间采用B/S架构,主要负责用户信息的注册审核、网络访问组权限的设定和实时的安全接入管控与监测。本实用新型能够完成对接入终端的可信身份认证、可信接入认证、终端代理鉴别、网络访问权限控制以及网络接入状态实时监控的功能;实现了基于身份认证的可信终端准入控制系统,系统稳定可靠,认证效率较高,对NAT和代理服务等违规行为的检测预警准确,通过WEB管理界面对终端用户网络状态进行监测与控制,完全能够满足专有网络安全管理的需要。
【IPC分类】H04L29/06, H04L9/32
【公开号】CN204697072
【申请号】CN201520232059
【发明人】屈立成, 李鹏, 曹伟, 孙大跃, 高小梅, 邱虹, 王文浩, 庞婷
【申请人】长安大学
【公开日】2015年10月7日
【申请日】2015年4月16日
【技术领域】
[0001]本实用新型属于网络安全管理技术领域,涉及一种安全管控系统,具体涉及一种网络终端节点的安全接入管控系统。
【背景技术】
[0002]目前智能终端通过使用无线接入点后所带来终端随意接入访问的网络边界接入安全问题日益突出显现。随意架设任何人都可访问的无线热点,没有任何安全措施的智能终端通过无线热点接入电子政务、电子税务等专有网络之中并且不加控制的随意访问,这些行为严重破坏了专有网络边界的完整性,为恶意入侵者大开方便之门,并轻易的为其提供了可乘之机。如何有效管控网络终端的安全接入,构建可信的网络终端准入控制体系,从源头上防范非法接入安全隐患已成为当前网络安全管理的关键。
【实用新型内容】
[0003]本实用新型的目的在于解决上述问题,提供一种网络终端节点的安全接入管控系统,该系统主要是基于身份认证和终端准入控制技术,实现了用户身份认证、终端节点可信接入、违规操作鉴别、访问权限控制和安全接入管控等功能。
[0004]为了实现上述目的,本实用新型所采用的技术方案是:
[0005]一种网络终端节点的安全接入管控系统,包括用户身份认证模块、终端接入认证模块、违规操作鉴别模块、网络访问权限控制模块以及安全接入管理模块;
[0006]用户身份认证模块完成终端用户的可信身份认证;
[0007]终端接入认证模块完成终端节点的可信接入认证;
[0008]违规操作鉴别模块实现对违规架设NAT和代理服务器的行为鉴别;
[0009]网络访问权限控制模块实现对用户网络访问权限的分组控制;
[0010]安全接入管理模块实现网络用户与终端节点信息的审核管理和维护,实时监控用户网络状态,并对在线时长和网络流量进行统计;
[0011]安全接入客户端及安全管理客户端通过接入认证交换机与CA认证服务器和服务器相连,服务器包括RADIUS认证服务器、安全管理服务器以及数据库服务器。
[0012]所述的用户身份认证模块包括CA用户证书以及CA认证服务器;CA认证中心为每位用户配发一个USB-Key硬件设备,CA用户证书、私钥以及用户的基本信息保存在USB-Key硬件设备中;USB_Key硬件设备能够设置用户口令,且具有USB接口。
[0013]所述的终端接入认证模块包括接入认证交换机、CA认证服务器以及RADIUS认证服务器;RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。
[0014]所述的违规操作鉴别模块利用NPF驱动的过滤和捕获功能,捕获并分析数据包,根据分析结果判定用户是否有私设代理的行为发生。
[0015]所述的安全接入管理模块包括RADIUS认证服务器、数据库服务器以及安全管理服务器。
[0016]与现有技术相比,本实用新型具有以下有益效果:
[0017]本实用新型能够完成对用户可信身份认证、终端节点可信接入、违规操作鉴别、访问权限控制以及网络接入状态实时监控的功能;实现了基于身份认证的可信终端安全接入控制系统,系统稳定可靠,认证效率较高,对NAT和代理服务等违规行为的检测预警准确,通过WEB管理界面对终端用户网络状态进行监测与控制,完全能够满足专有网络安全管理的需要。
【附图说明】
[0018]图1为本实用新型网络节点的安全管控系统架构图;
[0019]图2为本实用新型用户身份认证流程图;
[0020]图3为本实用新型终端接入认证流程图;
[0021]图4为本实用新型违规行为鉴别流程图;
[0022]图5为本实用新型访问权限控制模块客户端的流程图;
[0023]图6为本实用新型安全接入管控系统的功能模块示意图。
【具体实施方式】
[0024]下面结合附图和实施例对本实用新型做进一步详细的说明:
[0025]本实用新型网络节点的安全管控系统,包括用户身份认证模块、终端接入认证模块、违规操作鉴别模块、网络访问权限控制模块以及安全接入管理模块;用户身份认证模块完成终端用户的可信身份认证;用户身份认证模块包括CA用户证书以及CA认证服务器;CA认证中心为每位用户配发一个USB-Key硬件设备,CA用户证书、私钥以及用户的基本信息保存在USB-Key硬件设备中;USB_Key硬件设备能够设置用户口令,且具有USB接口。终端节点可信接入模块完成终端用户的可信接入认证;终端节点可信接入模块包括接入认证交换机、CA认证服务器以及RADIUS认证服务器;RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。违规操作鉴别模块实现违规架设NAT和代理服务器的行为鉴别;违规操作鉴别模块利用NPF驱动的过滤和捕获功能,捕获并分析数据包,根据分析结果判定用户是否有私设代理的行为发生。网络访问权限控制模块用于对网络用户组的划分,并为不同的组赋予相应的网络访问权限;安全接入管理模块对网络用户信息的审核管理和维护,实时监控用户网络状态,并对在线时长和网络流量进行统计。安全接入管理模块包括RADIUS认证服务器、数据库服务器以及Π展示界面。
[0026]本实用新型还公开了一种网络终端节点的安全接入管控方法,包括以下步骤:
[0027]I)利用用户身份认证模块,结合CA身份认证方式,完成接入网络的终端用户的可信身份认证;可信身份认证的具体方法是:
[0028]1-1)首先终端组件通过GetTimes O函数获取本地时间,然后将时间拼装成字符串格式;
[0029]1-2)通过GenSimpleKey (10)函数获取时间字符串的10位随机数;
[0030]1-3)调用本地的USB-Key硬件设备中的私钥对该随机数进行PKCS#7签名,签名函数 Certif icateSign_certThumbprint (strTexts, rtest)由相应 CA 认证中心提供;
[0031]1-4)签名完成后,调用CA认证服务器进行验证,服务器利用私钥解密出证书信息和本地时间,然后查看证书信息是否存在于白名单中,同时将本地时间与当前时间作比较,看是否在一定的时间间隔内,验证完成。
[0032]2)利用终端节点可信接入模块,对通过可信身份认证的终端用户采用802.1x协议,完成终端用户的可信接入认证;可信接入认证的具体方法是:
[0033]2-1)用户插入USB-Key硬件设备,终端组件发送EAPOL-Start包,请求认证;
[0034]2-2)接入认证交换机返回请求用户名包;
[0035]2-3)终端组件自动获取数字证书设备中的入网号作为用户名,发送封装用户名的数据包;
[0036]2-4)RADIUS服务器产生MD5_Challenge加密字,并由接入接入认证交换机返回给终端组件;
[0037]2-5)客户端发送用户名和加密密码包;
[0038]2-6)接入认证交换机将用户名和密码包转发给RADIUS服务器进行验证,合法则返回成功认证包,否则返回认证失败包。
[0039]3)采用违规操作鉴别模块,利用NPF组件捕获数据包的功能,通过对数据包结构、相关属性值以及协议的分析,对通过可信接入认证的终端用户完成违规架设NAT和代理服务器的行为鉴别;违规操作鉴别的具体方法是:
[0040]终端组件利用NPF驱动的过滤和捕获功能,捕获并分析数据包,启用分析模块进行分析,根据分析结果判定是否有NAT或者私设代理的行为发生;如果存在违规行为,自动将指定的异常情况向服务器报警,由管理员作出相应处理。
[0041]4)利用基于组的安全访问权限划分策略的网络访问权限控制模块,对接入网络的终端用户分组并设定网络访问范围,通过终端组件对终端用户行为进行管控,发现违规行为立即上报,由管理员作出相应处理;网络访问权限控制的具体方法是:
[0042]用户首次接入内网时,需要在内网数据库进行信息补充和注册,然后由管理员根据用户信息完成审核和分组,将组别主要分为管理员、高级用户和普通用户;针对不同组的访问权限设置控制策略有允许访问、禁止访问和限制访问三种;允许访问时所有地址全部允许;禁止访问时所有地址全部禁止;限制访问则依据黑白名单进行访问,其中白名单地址访问一律放行,黑名单地址访问一律禁止。
[0043]5)利用安全接入管理模块对网络用户及其接入信息进行审核管理和维护控制,实时监控上网用户的身份信息、接入验证过程、上下线时间、上下行信息流量、上网终端所接交换设备的端口号以及IP地址信息,并对在线时长和网络流量进行统计,实现网络终端的安全接入管控。
[0044]本实用新型的原理:
[0045]本实用新型利用CA身份认证技术、802.1x协议接入认证技术以及NPF驱动模块等关键技术,实现终端的可信身份认证、可信接入认证、违规操作鉴别、访问权限控制和系统安全接入管控等功能。并在以上基础上,结合兼容性、安全性、稳定性、界面友好性等设计原则,开发一套结合身份认证的可信终端接入控制系统,并在真实的的网络环境下进行测试。主要实现了:1、采用CA身份认证技术,完成终端用户的可信身份认证;2、采用802.1x协议接入认证方式,完成终端节点的可信接入;3、利用NPF组件捕获数据包,通过对数据包结构、相关属性值以及协议的分析,实现违规架设NAT和代理服务器的行为鉴别;4、设计基于组的安全访问权限划分策略,对接入网络的用户分组并设定网络访问范围,通过终端组件对用户行为进行管控,发现违规行为立即上报,由管理员根据实际情况作出相应处理;5、设计安全接入管控系统界面,对网络用户及其接入信息进行审核管理和维护控制,实时监控上网用户的身份信息、接入验证过程、上下线时间、上下行信息流量、上网终端所接交换设备的端口号以及IP地址等信息,并对在线时长和网络流量进行统计,实现网络终端的安全接入管控。
[0046]本实用新型的结构原理:
[0047]本实用新型的设计符合802.1x协议的终端通用认证组件,结合CA身份认证技术,通过储存有数字证书的USB-Key硬件设备与CA中心服务器的联动来完成用户身份认证;使用内置于USB-Key硬件设备中的入网号和PIN码作为终端认证节点的唯一标识,通过终端组件、中间接入设备和RADIUS认证服务器三个实体之间的信息交互完成终端接入认证;终端组件利用NPF驱动软件包完成获取网络设备信息和过滤、捕获网络数据包的功能,通过对终端主机多网卡的检测和对数据包内容及协议的解析,实现了对终端违规操作的鉴别;制定了以组划分用户、按组下放权限的策略,实现了用户访问网络权限的可控性;最后开发了安全接入管控界面,用于实时监测终端用户和终端主机 的接入过程和网络状态,辅助管理员更好的管理网络。
[0048]本实用新型的总体框架:
[0049]如图1所示,本实用新型主要由客户端、中间接入设备、RADIUS认证服务器、CA认证服务器、安全管理服务器和相关数据库服务器等组件构成,采用C/S与B/S相结合的模式。客户端与CA认证服务器、客户端与RADIUS认证服务器之间采用C/S架构,分别负责用户身份认证和终端接入认证;客户端与安全管理服务器之间采用B/S架构,主要负责用户信息的注册审核、网络访问组权限的设定和实时的安全接入管控。
[0050]本实用新型的工作流程:
[0051]本实用新型将可信的用户身份认证、可信终端接入认证、终端违规操作的鉴别、可控的网络访问权限、系统安全接入管控等功能与现有业务流程相结合,达到安全接入、可信访问的目的。
[0052]本实用新型是在802.1x协议的原型上结合CA身份认证技术实现的。终端接入网络后首先会被接入层接入认证交换机划入客户区,该区域的终端计算机只可以访问隔离网络区。终端组件开始运行后,首先检测是否插入了 USB-Key硬件设备,通过CA智能助手可查看USB-Key硬件设备中的证书信息;终端组件将证书信息提交给CA认证服务器进行签名认证,证书有效期经由CA认证服务器进行验证。
[0053]身份认证通过后,进入接入认证阶段。终端组件获取USB-Key硬件设备中的特定信息作为登录账号和密码,首次登录时需要在局域网内部数据库进行信息补全和注册,接入认证时终端组件通过中间设备将合法的用户名和密码提交给RADIUS认证服务器进行验证。
[0054]接入认证通过后,终端组件根据服务器下发的管理策略控制用户网络访问权限,同时实时对用户的违规操作进行鉴别,如果用户私自架设了 NAT或代理服务器,终端组件将该行为上报服务器并由管理员处理,必要情况下可自动阻断用户的网络接入。
[0055]本实用新型功能模块的设计:
[0056]本实用新型主要包括用户身份认证模块、终端可信接入模块、违规操作鉴别模块、网络访问权限控制模块、安全接入管理模块。
[0057]用户身份认证模块
[0058]本实用新型采用CA身份认证技术,由CA认证中心为每位用户配发一个USB-Key硬件设备硬件设备,设备中保存有数字证书、私钥以及用户的基本信息,USB-Key硬件设备还能够设置用户口令,进一步增强证书和私钥的安全性。USB-Key硬件设备具有通用的USB接口,能够满足用户移动办公的需求。此模块通过Internet连接CA认证中心,根据USB-Key硬件设备中的内置信息进行身份认证。根据数字证书的签名判定终端硬件是否合法,根据时间戳判定终端设备是否处于有效期。用户身份认证模块主要由硬件设备USB-Key硬件设备、终端接入组件和CA认证服务器组成,用户身份认证流程如图2所示。
[0059]主要实现过程如下:
[0060]①首先终端组件通过GetTimes O函数获取本地时间,然后将时间拼装成字符串格式;
[0061]②通过GenSimpleKey (10)函数获取时间字符串的10位随机数;
[0062]③调用本地的USBKey中的私钥对该随机数进行签名,本实用新型采用PKCS#7签名,因为PKCS#7签名和其他签名相比,优势在于除了签名值外,还附带有证书信息,签名函数 CertificateSign_certThumbprint (strTexts, rtest)由 CA 认证中心提供;
[0063]④签名完成后,调用CA认证服务器进行验证,服务器利用私钥解密出证书信息(可以是客服信任号、颁发者等信息)和本地时间,然后查看证书信息是否存在于白名单中,同时将本地时间与当前时间作比较,看是否在一定的时间间隔内,验证完成。
[0064]终端节点可信接入模块
[0065]本实用新型在严格按照802.1x协议编写的基础上对终端组件进行了改进,实现了终端组件在不同Unix、Linux和Windows系列操作系统上与各厂家的网络设备使用的兼容性和通用性。系统采用EAP-MD5质询的认证方式主动触发802.1x协议认证,利用USB-Key硬件设备中的13位入网号和PIN码作为合法的登录账号和密码,接入认证主要流程如下:
[0066]①终端用户插入USB-Key硬件设备,终端组件发送EAPOL-Start包,请求认证;
[0067]②接入认证交换机返回请求用户名包;
[0068]③终端组件自动获取数字证书中的入网号作为用户名,发送封装用户名的数据包;
[0069]④RADIUS服务器产生MD5_Challenge加密字,由接入认证交换机返回给终端组件;
[0070]⑤客户端发送用户名和加密密码包;
[0071]⑥接入认证交换机将用户名和密码包转发给RADIUS服务器验证,合法则返回成功认证包,否则返回认证失败包。
[0072]此模块主要由终端组件、接入认证交换机和RADIUS认证服务器组成,终端接入认证流程如图3所示。终端首次接入内网时,首先开辟一个URL指向用户内网信息注册网页,注册成功后由管理员进行信息审核,审核通过后成为合法的内网终端。终端请求接入认证时,开辟一个URL指向RADIUS认证服务器,RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。
[0073]违规操作鉴别模块
[0074]此模块主要针对用户私设代理的行为,终端组件利用NPF驱动的过滤和捕获功能,捕获并分析数据包,根据分析结果判定是否有网络地址转换或者私设代理的行为发生。如果存在违规行为,自动将指定的异常情况向服务器报警,由管理员视情况作出相应处理,必要情况下可自动阻断用户的网络接入。违规行为鉴别模块设计模型如图4所示。通过在终端组件加入网卡信息绑定、NAT和代理软件检测功能来阻止网络共享和违规代理的行为。本实用新型在对网卡数据包的捕捉中使用了网络底层驱动进行开发,在操作系统层面上完成了网卡信息的读写和网络数据包的捕获与处理,具有非常高的实时性和可靠性。
[0075]网络访问权限控制模块
[0076]此模块设计模型如图5所示,主要完成对网络用户组的划分,并为不同的组赋予相应的网络访问权限。网络用户主要分为管理员、高级用户、普通用户三个等级,不同等级的用户访问网络的范围是不同的,由管理员按照分组策略划分用户并设定网络访问权限。管理员可以添加、删除和更改用户信息,客户端也可以向管理员提出申请来修改信息。
[0077]该模块的具体实现:用户首次接入内网时,需要在内网数据库进行信息补全和注册,然后由管理员根据用户信息完成审核和分组,将组别主要分为管理员、高级用户和普通用户。针对不同组的访问权限设置控制策略有允许访问、禁止访问和限制访问三种;允许访问时所有地址全部允许;禁止访问时所有地址全部禁止;限制访问则依据黑白名单进行访问,其中白名单地址访问一律放行,黑名单地址访问一律禁止。
[0078]安全接入管理模块
[0079]系统安全接入管理模块主要由RADIUS服务器、关系数据库和Π管理界面组成,该模块实现功能如下:利用安全接入管理模块对网络用户及其接入信息进行审核管理和维护控制,实时监控上网用户的身份信息、认证过程、上下线时间、上下行信息流量、上网终端所接交换设备的端口号以及IP地址等信息,并对在线时长和网络流量进行统计,实现网络终端的安全接入管控。系统安全接入管控功能设计如图6所示。
[0080]以上内容仅为说明本实用新型的技术思想,不能以此限定本实用新型的保护范围,凡是按照本实用新型提出的技术思想,在技术方案基础上所做的任何改动,均落入本实用新型权利要求书的保护范围之内。
【主权项】
1.一种网络终端节点的安全接入管控系统,其特征在于:包括用户身份认证模块、终端接入认证模块、违规操作鉴别模块、网络访问权限控制模块以及安全接入管理模块; 用户身份认证模块完成终端用户的可信身份认证; 终端接入认证模块完成终端节点的可信接入认证; 违规操作鉴别模块实现对违规架设NAT和代理服务器的行为鉴别; 网络访问权限控制模块实现对用户网络访问权限的分组控制; 安全接入管理模块实现网络用户与终端节点信息的审核管理和维护,实时监控用户网络状态,并对在线时长和网络流量进行统计; 安全接入客户端及安全管理客户端通过接入认证交换机与CA认证服务器和服务器相连,服务器包括RADIUS认证服务器、安全管理服务器以及数据库服务器。2.根据权利要求1所述的网络终端节点的安全接入管控系统,其特征在于:所述的用户身份认证模块包括CA用户证书以及CA认证服务器;CA认证中心为每位用户配发一个USB-Key硬件设备,CA用户证书、私钥以及用户的基本信息保存在USB-Key硬件设备中;USB-Key硬件设备能够设置用户口令,且具有USB接口。3.根据权利要求1所述的网络终端节点的安全接入管控系统,其特征在于:所述的终端接入认证模块包括接入认证交换机、CA认证服务器以及RADIUS认证服务器;RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。4.根据权利要求1所述的网络终端节点的安全接入管控系统,其特征在于:所述的违规操作鉴别模块利用NPF驱动的过滤和捕获功能,捕获并分析数据包,根据分析结果判定用户是否有私设代理的行为发生。5.根据权利要求1所述的网络终端节点的安全接入管控系统,其特征在于:所述的安全接入管理模块包括RADIUS认证服务器、数据库服务器以及安全管理服务器。
【专利摘要】本实用新型公开了一种网络终端节点的安全接入管控系统,安全接入客户端与CA认证服务器、安全接入客户端与RADIUS认证服务器之间采用C/S架构,分别负责用户身份认证和终端接入认证;安全管理客户端与安全管理服务器之间采用B/S架构,主要负责用户信息的注册审核、网络访问组权限的设定和实时的安全接入管控与监测。本实用新型能够完成对接入终端的可信身份认证、可信接入认证、终端代理鉴别、网络访问权限控制以及网络接入状态实时监控的功能;实现了基于身份认证的可信终端准入控制系统,系统稳定可靠,认证效率较高,对NAT和代理服务等违规行为的检测预警准确,通过WEB管理界面对终端用户网络状态进行监测与控制,完全能够满足专有网络安全管理的需要。
【IPC分类】H04L29/06, H04L9/32
【公开号】CN204697072
【申请号】CN201520232059
【发明人】屈立成, 李鹏, 曹伟, 孙大跃, 高小梅, 邱虹, 王文浩, 庞婷
【申请人】长安大学
【公开日】2015年10月7日
【申请日】2015年4月16日
最新回复(0)