CN100512109C - 验证接入主机安全性的访问认证系统和方法 - Google Patents
验证接入主机安全性的访问认证系统和方法 Download PDFInfo
- Publication number
- CN100512109C CN100512109C CNB2005101125240A CN200510112524A CN100512109C CN 100512109 C CN100512109 C CN 100512109C CN B2005101125240 A CNB2005101125240 A CN B2005101125240A CN 200510112524 A CN200510112524 A CN 200510112524A CN 100512109 C CN100512109 C CN 100512109C
- Authority
- CN
- China
- Prior art keywords
- access
- authentication
- safety
- network
- health
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
一种验证接入主机安全性的访问认证系统,由客户端、接入控制装置、认证用户身份的认证服务器和安全健康指纹认证装置组成。其中客户端为接入主机,机内客户端软件采集该主机的安全健康指纹信息,经由接入控制装置、认证服务器发送到安全健康指纹认证装置进行验证。接入控制装置内有供用户接入的端口和接入控制模块;在收到返回的认证结果后,控制主机的接入请求:允许接入、拒绝接入或只允许访问部分提供服务的网元。安全健康指纹认证装置内有安全健康策略库,用于指纹信息的查找比对,并根据比对结果评估主机的安全性,决定是否允许接入网络。本发明基于安全健康指纹的访问认证方法,能够验证各种接入网络的主机的安全性,有效保证网络安全。
Description
技术领域
本发明涉及一种验证接入主机安全性的访问认证系统和方法,确切地说,涉及一种基于安全健康指纹验证接入主机安全性的访问认证系统和方法,属于数据通信中的网络安全技术领域。
背景技术
随着网络系统或软件的漏洞不断发现,网络蠕虫(Worm)攻击日益泛滥,网络蠕虫攻击是一种能够进行自我复制,利用系统或网络服务漏洞进行传播的攻击行为。网络蠕虫攻击的主要目标是存在漏洞的主机。现在,许多存在漏洞的主机在没有进行安全检查的情况下接入到企业网、互联网上,把各种安全隐患扩散到整个网络,影响到网络上的其它主机、服务器和网络设备,造成服务器宕机、整个网络拥塞甚至瘫痪。
目前主要的认证技术还是传统的采用用户名/密码进行的身份认证,这种认证方法只能验证用户的合法身份,无法针对主机的安全性进行验证,因此也无法防止或减少网络蠕虫的爆发。
网络接入一般有三种方式:通过交换机与电信网、其他网段、或Internet相连、通过VPN接入企事业内部局域网和通过宽带接入服务器接入互联网。这些接入仍然都是只对用户身份进行验证。如果能够同时再对接入主机进行安全性验证,则会大大提高网络的安全性。因此,如何对网络接入的认证体系进行改造,以便能够对接入主机进行基于安全性的鉴权认证,就成为业内技术人员迫切需要解决的新课题。
发明内容
有鉴于此,本发明的目的是提供一种验证接入主机安全性的访问认证系统和方法,本发明改变了利用用户名/密码对接入主机进行用户身份认证的传统技术,提出一种全新的基于安全健康指纹的访问认证系统和方法,验证接入网络的各种主机或终端设备的安全性,有效保证了网络安全。
为了达到上述目的,本发明提供了一种验证接入主机安全性的访问认证系统,其特征在于:该系统采用安全健康指纹信息对接入网络的主机安全性进行访问认证,系统组成构件包括:
认证客户端,为接入网络而需要验证其安全性的主机,该主机内安装有用于安全健康指纹认证的客户端软件,该客户端软件能够采集该主机的安全健康指纹信息,经由接入控制装置、认证服务器发送到安全健康指纹认证装置进行验证;
接入控制装置,为用户提供接入的网络设备,其内部设有提供用户接入的端口和接入控制模块;在收到安全健康指纹认证装置返回的认证结果后,控制主机的接入请求:允许接入、拒绝接入或只允许访问部分提供服务的网元;
认证服务器,为通过用户名/密码进行身份认证的传统服务器,用于与安全健康指纹认证装置配合,对用户进行用户身份和主机安全性的双重认证;
安全健康指纹认证装置,为用户主机接入的验证设备,其内部设有一个安全健康策略库和一个信息接口,负责接收客户端的安全健康指纹,并针对指纹中的信息在安全健康策略库进行查找比对,根据综合的指纹比对结果评估出该主机的安全状态级别;如果该主机的安全状态级别低于策略中的规定值,则向接入控制装置发送不允许接入消息或访问控制策略;如果该主机的安全状态级别大于等于策略中的规定值,则向接入系统发送接入允许消息。
所述主机的安全健康指纹信息包括:操作系统类型、操作系统版本号、补丁情况、文件共享情况、开放的传输控制协议TCP端口、开放的用户数据报协议UDP端口、运行的系统服务、用户口令强度、来宾Guest用户账号使用情况、账户锁定策略、账户口令策略、启动信息、浏览器版本、浏览器补丁情况、Email客户端版本、Email客户端补丁情况。
所述安全健康指纹信息封装成格式为“类型、长度、内容”的数据包,其中类型字段为特殊标识,表明该数据包需要送交安全健康指纹认证装置进行安全认证,且由客户端、认证服务器和安全健康指纹认证装置三者共同定义。
所述接入控制装置中提供用户接入的端口有两个逻辑端口:
受控端口,只在认证通过状态下开启,用于传递网络资源和服务;
不受控端口,始终处于双向连通状态,以供客户端随时发出或接收认证。
所述接入网络是内部局域网时,为支持该内部局域网的网络端口的接入控制,所述客户端需要支持的通信协议为局域网扩展认证协议EAPOL(ExtensibleAuthentication Protocol Over LAN)。
所述接入网络是虚拟专用网VPN时,为支持该VPN网络端口的接入控制,所述客户端需要支持的通信协议至少包括下述VPN隧道协议:点对点隧道协议PPTP(Point To Point Tunneling Protocol)、第二层隧道协议L2TP(Layer 2Tunneling Protocol)、Internet安全协议IPSEC(Internet Protocol security)。
所述接入网络是电信接入网时,为支持该电信接入网的网络端口的接入控制,所述客户端需要支持的通信协议为在以太网上传送点对点数据包协议PPPOE(Point To Point Protocol Over Ethernet)。
为了达到上述目的,本发明还提供了一种采用验证接入主机安全性的访问认证系统的认证方法,其特征在于:采用安全健康指纹信息对接入主机的安全性进行验证,以防范网络蠕虫和黑客攻击;包括下列步骤:
(1)在客户端发起接入请求时,客户端软件提取本机的安全健康指纹信息,并将该信息封装成格式为“类型、长度、内容”的数据包,发送给接入控制装置;
(2)接入控制装置发现指纹信息的认证数据包后,直接转发给认证服务器;或者提取其中用于认证的安全健康指纹信息重新封装后,转发给认证服务器;
(3)认证服务器与安全健康指纹认证装置通信,将安全健康指纹信息发送给安全健康指纹认证装置;
(4)安全健康指纹认证装置将该指纹信息中的相关字段与其策略库中的信息进行比对,并对各项信息的比较结果和相关条件进行综合评判,给出其安全状态等级,再将该安全状态等级数值与安全准入要求的数值进行比较,如果该等级数值大于或等于准入数值,则发送认证通过信息;否则,发送认证失败或有限制接入消息;
(5)接入控制装置读取访问控制指令,并根据该指令对接入主机设置相应的授权状态:如果是认证通过的消息,则完成主机的接入;如果是认证未通过的消息,则拒绝主机的接入,并在客户端软件上给出接入失败提示;如果是有限制接入的消息,则由接入控制模块配置对应的访问策略。例如让该感染蠕虫病毒的主机只能访问网络中的补丁服务器,以给该设备及时打上补丁修补漏洞,降低再次感染蠕虫的可能。
所述步骤(1)中客户端软件发送认证数据包时使用的网络通信协议包括TCP、UDP、ICMP、或EAPOL。
所述步骤(3)中认证服务器与安全健康指纹认证装置之间的通信采用的协议是远程用户拨号认证系统RADIUS。
本发明具有以下优点:
(1)有效阻止感染病毒的主机访问网络,保证网络安全:本发明的访问认证系统根据主机的安全健康指纹信息对该主机进行准入控制,阻止或限制感染病毒的主机接入网络,切断了其感染其他设备的途径,从而有效防止了网络中蠕虫等病毒的泛滥。认证方法中配置的访问控制策略只允许感染病毒的主机访问网络中的补丁服务器,使该设备及时打上补丁修补漏洞,从而降低再次感染病毒的可能。
(2)访问认证的针对性强,不影响其它接入设备:本发明系统基于端口或用户身份进行访问控制,直接将接入的某一用户的主机或终端设备进行隔离,其他用户的接入设备对网络的访问不受影响。在安全健康策略库中配置有不同安全等级的访问控制策略,针对不同的接入设备发送不同的访问控制指令。
(3)系统结构简单,软、硬件投资费用少:客户端仅需配置能够自动收集该设备安全健康指纹信息、并以设定格式打包发送给安全健康指纹认证装置的客户端软件,其功能比较简单,容易实现。整个系统需要添置的硬件设备只有安全指纹认证装置,且可以利用现有的认证服务器软硬件开发,既可加快研制进度,还可方便地实现和传统认证服务器的接口。
综上所述,本发明基于安全健康指纹验证接入主机安全性的访问认证系统和方法将由安全指纹信息所得出的主机安全等级作为对该主机进行访问控制的依据,通过安全认证装置下发针对网络设备具体端口的访问控制策略,能在其他主机或设备正常访问网络的情况下,有效阻止安全等级较低的主机接入网络;同时,通过合理设置,还能使用户及时为感染病毒的主机打上补丁。本发明可以广泛应用于企业内网的安全防御,能够有效隔离网络蠕虫和黑客攻击,极大降低网络蠕虫、黑客攻击对主机和网络的影响。
附图说明
图1是本发明验证接入主机安全性的访问认证系统的组成结构示意图。
图2是本发明访问认证系统的认证方法的操作步骤流程图。
图3是本发明访问认证系统的第一实施例的组成部件及内部架构方框图。
图4是本发明访问认证系统的第一实施例的结构组成示意图。
图5是本发明访问认证系统的第二实施例的结构组成示意图。
图6是本发明访问认证系统的第二实施例的结构组成示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图和实施例对本发明作进一步的详细描述。
参见图1,本发明是一种采用安全健康指纹信息验证接入主机安全性的访问认证系统,该系统组成构件包括:
客户端1,为接入网络而需要验证其安全性能的主机,机内安装有用于安全健康指纹认证的客户端软件,该软件能采集该主机的安全健康指纹信息,并经由接入控制装置、认证服务器发送到安全健康指纹认证装置进行验证;其中安全健康指纹主要包括但不仅限于下述信息:操作系统类型、操作系统版本号、补丁情况、文件共享情况、开放的TCP端口、开放的UDP端口、运行的系统服务、用户口令强度、来宾Guest用户账号使用情况、账户锁定策略、账户口令策略、启动信息、浏览器版本、浏览器补丁情况、Email客户端版本、Email客户端补丁情况。
接入控制装置2,为用户提供接入的网络设备,其内部设有提供用户接入的端口和接入控制模块;在收到安全健康指纹认证装置返回的认证结果后,控制主机的接入请求:允许接入、拒绝接入或只允许访问部分提供服务的网元;
认证服务器3,为通过用户名/密码进行身份认证的传统服务器,用于与安全健康指纹认证装置配合,对用户进行用户身份和主机安全性的双重认证;
安全健康指纹认证装置4,为用户主机接入的验证设备,其内部设有一个安全健康策略库和一个信息接口,从客户端接收安全健康指纹,并针对指纹中的信息在安全健康策略库进行查找比对,根据综合的指纹比对结果评估出该主机的安全状态级别;再根据主机的安全状态级别与访问控制策略中的规定值的比较结果,向接入控制装置分别发送接入允许消息、不允许接入消息或访问控制策略。
本发明基于安全健康指纹的访问认证技术可以有效控制接入主机的安全性,最大限度地防范蠕虫爆发和黑客攻击,保障主机和网络的安全稳定。
参见图2,介绍本发明采用安全健康指纹信息对接入主机的安全性进行访问认证方法的具体操作步骤:
(1)在客户端发起接入请求时,客户端软件提取本机的安全健康指纹信息,并将该信息封装成格式为“类型、长度、内容”的认证数据包,使用包括TCP、UDP、ICMP、或EAPOL等网络通信协议将数据包发送给接入控制装置;
(2)接入控制装置发现指纹信息的认证数据包后,直接转发给认证服务器;或者提取其中用于认证的安全健康指纹信息重新封装后,转发给认证服务器;
(3)认证服务器与安全健康指纹认证装置之间采用RADIUS协议进行交互通信,将安全健康指纹信息发送给安全健康指纹认证装置;
(4)安全健康指纹认证装置将该指纹信息中的相关字段与其策略库中的信息进行比对,并对各项信息的比较结果和相关条件进行综合评判,给出其安全状态等级,再将该等级值与安全准入的要求进行比较,如果该等级值大于或等于准入值,则发送认证通过信息;否则,发送认证失败或有限制接入消息;
(5)接入控制装置读取访问控制指令,并根据该指令对接入主机设置相应的授权状态:如果是认证通过的消息,则完成主机的接入;如果是认证未通过的消息,则拒绝主机的接入,并在客户端软件上给出接入失败提示;如果是有限制接入的消息,则由接入控制模块配置对应的访问策略,给访问控制系统发送相应的访问控制指令;例如让该感染蠕虫病毒的主机只能访问网络中的补丁服务器,以给该设备及时打上补丁修补漏洞,降低再次感染蠕虫的可能。
下面结合三个不同接入网络,分别说明本发明的三个实施例。
首先是在IEEE 802.1x基于端口的访问控制技术的基础上接入企事业内部局域网的实例。参见图3,此时,本发明系统包括四个部分:认证客户端1、接入控制装置2、认证服务器3和安全健康指纹认证装置4。
在IEEE 802.1x接入认证体系中一般将用户终端作为客户端1,该终端通常要安装一个客户端软件,用户通过启动这个客户端软件发起用户身份认证,接入控制装置根据安全健康指纹认证装置认证的结果决定该用户终端是否能够访问网络。
为支持基于端口的接入控制,客户端1需要支持EAPOL协议。为了支持对主机健康指纹的安全认证,客户端1应该能够收集该主机的安全健康指纹信息,并发送到认证装置进行验证。认证数据包封装为“类型、长度、内容”格式,其中类型字段为特殊标识,表明该数据包需要进行安全健康指纹认证。
通常支持IEEE 802.1x认证方式的网络设备(即接入控制装置2)对应于不同用户设备的端口(物理端口或用户设备的MAC地址、VLAN、IP等)有两个用于用户接入的逻辑端口:受控端口和不受控端口。不受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,可保证客户端随时可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。如果用户没有通过认证,则受控端口处于未授权的关闭状态,用户无法访问认证系统提供的服务。开始时用户受控端口处于未授权状态,无法访问任何网络资源;只有经过用户身份认证后,受控端口才被设为授权的开启状态。在本实施例中,接入控制装置2可用支持IEEE 802.1x协议的网络设备(图示为交换机)来实现,其中的接入端口为接入网络设备的物理端口,接入控制模块为接入设备的控制模块。该端口的接入控制模块将认证信息重新封装为EAPOL协议帧,然后用RADIUS协议发送给认证服务器3。
由于EAPOL协议是由IEEE 802.1x协议所定义,通常支持IEEE 802.1x协议的设备都能支持EAPOL协议,本发明的安全健康指纹认证装置4只需使用标准的RADIUS协议与认证服务器3进行通信交互,即可完成认证。在此过程中,认证服务器3作为RADIUS的客户端,负责将用RADIUS协议封装的EAPOL协议帧中的指纹信息提取出来,然后重新用RADIUS包格式封装后,再发送给RADIUS的服务器端-安全健康指纹认证装置4。安全健康指纹信息内容则以“类型、长度、内容”格式封装在RADIUS包中,其中类型字段的值必须由客户端1、认证服务器3和安全健康指纹认证装置4三者统一定义,使得三者都能够了解特定字段的含义。
图4展示了该实施例系统的组成设备的部署结构,其中内部局域网的各个主机(即客户端)通过接入控制装置-交换机-连入内部局域网(图中用矩形虚线框出)。
参见图5,介绍本发明在基于VPN访问控制技术的基础上接入企事业内部局域网的实例。该系统实施例的结构组成与图4大体相同,区别只是在接入控制装置3;也是由四个部分组成:认证客户端1、VPN接入控制装置2、认证服务器3和安全健康指纹认证装置4。。
在VPN接入认证体系中一般将用户终端作为客户端1,该终端通常要安装一个客户端软件,用户通过启动该客户端软件发起用户身份认证,VPN接入控制装置根据安全健康指纹认证装置认证的结果决定该用户终端允许或阻止访问网络。
为支持基于VPN的接入控制,客户端1需要支持PPTP、L2TP、IPSEC等各种VPN隧道协议。为了支持主机健康指纹的安全认证,客户端1应该能够收集该终端安全健康指纹信息,并发送到认证装置进行验证。认证数据包以“类型、长度、内容”格式封装,其中类型字段为特殊标识,表明该数据包需要进行安全健康指纹的安全性访问认证。
在第二实施例中,接入控制装置2可用支持一种或多种VPN隧道协议的网络设备来实现,其中的接入端口为VPN接入设备的物理或逻辑端口,接入控制模块为VPN接入设备的控制模块。该接入控制模块首先将认证信息解密,提取出认证信息,然后用RADIUS协议发送给认证服务器3。
认证服务器3负责从RADIUS协议封装的认证包中提取指纹信息,然后重新用RADIUS包格式封装后,发送给安全健康指纹认证装置4。认证服务器3使用标准的RADIUS协议与安全健康指纹认证装置4进行通信,在此过程中,认证服务器3为RADIUS的客户端,安全健康指纹认证装置4为RADIUS的服务器端。安全健康指纹信息的内容以“类型、长度、内容”格式封装在RADIUS包中,其中类型字段的值必须由客户端1、认证服务器3和安全健康指纹认证装置4三者统一定义,使得三者都了解特定字段的含义。
图5展示了该实施例系统组成设备的部署结构,外部网络的各主机通过VPN接入设备连入内部局域网(图中用矩形虚线框出)。
参见图6,介绍本发明在基于PPPOE拨号接入访问控制技术的基础上接入电信网的实例。该系统实施例的结构组成与图4、图5大体相同,区别只是在接入控制装置3;也是由四个部分组成:认证客户端1、PPPOE接入控制装置2、认证服务器3和安全健康指纹认证装置4。
在PPPOE接入认证体系中一般将用户终端作为客户端1,该终端通常要安装一个客户端软件,用户通过启动这个客户端软件发起用户身份认证,PPPOE接入控制装置根据安全健康指纹认证装置认证的结果允许或阻止用户终端访问网络。
为支持基于PPPOE的接入控制,客户端1需支持PPPOE协议。为支持主机健康指纹的安全认证,客户端1应该能够收集该终端安全健康指纹信息,并发送到认证装置进行验证。认证数据包封装为“类型、长度、内容”格式,其中类型字段为特殊标识,表明该数据包需要进行安全健康指纹的安全性访问认证。
在该第三实施例中,接入装置2可用PPPOE协议的网络设备来实现,其中的接入端口为PPPOE接入设备的物理或逻辑端口,接入控制模块为PPPOE接入设备的控制模块。
PPPOE协议提供了在广播式的网络中多台主机连接到远端的访问集中器上的一种标准。在这种网络模型中,所有用户的主机都需要能独立地初始化自已的PPP协议栈,而且通过PPP协议本身所具有的一些特点,实现在广播式网络上对用户进行计费和管理。
PPPOE协议共包括两个阶段,即PPPOE的发现阶段(PPPOE DiscoveryStage)和PPPOE的会话阶段(PPPOE Session Stage)。
当一个客户端主机希望开始一个PPPOE会话时,它首先会在广播式的网络上寻找一个访问集中器,当该主机选择了其所需要的接入服务器后,就开始和该接入服务器建立一个PPPOE会话进程。在这个过程中,访问集中器会为每一个PPPOE会话分配一个唯一的进程标识ID,会话建立起来后,就开始了PPPOE的会话阶段。在该阶段中已建立好点对点连接的双方就采用PPP协议来交换数据报文,从而完成一系列PPP的过程,最终将在这条点对点的逻辑通道上进行网络层数据报的传送。
PPPOE接入控制装置2的接入控制模块首先通过PPPOE认证对客户端1发送过来的用户名和密码进行验证。认证通过后,接入控制模块将收到的安全健康指纹信息用RADIUS协议发送给认证服务器3和安全健康指纹认证装置4。
认证服务器3负责从RADIUS协议封装的认证包中提取指纹信息,然后重新用RADIUS包格式封装后,发送给安全健康指纹认证装置4。认证服务器3使用标准的RADIUS协议与安全健康指纹认证装置4进行通信,在此过程中,认证服务器3为RADIUS的客户端,安全健康指纹认证装置4为RADIUS的服务器端。安全健康指纹信息的内容以“类型、长度、内容”格式封装在RADIUS包中,其中类型字段的值必须由客户端1、认证服务器3和安全健康指纹认证装置4三者统一定义,使得三者都了解特定字段的含义。
安全健康指纹认证装置4针对主机的安全情况进行评估后,决定是否允许该主机接入网络。
图6展示了该第三实施例的访问认证系统组成设备的部署结构,各个拨号用户主机(即客户端)通过PPPOE接入设备连入被访问的公共电信网络(图中用矩形虚线框出)。
Claims (10)
1、一种验证接入主机安全性的访问认证系统,其特征在于:该系统采用安全健康指纹信息对接入网络的主机安全性进行访问认证,系统组成构件包括:
认证客户端,为接入网络而需要验证其安全性的主机,该主机内安装有用于安全健康指纹认证的客户端软件,该客户端软件能够采集该主机的安全健康指纹信息,经由接入控制装置、认证服务器发送到安全健康指纹认证装置进行验证;
接入控制装置,为用户提供接入的网络设备,其内部设有提供用户接入的端口和接入控制模块;在收到安全健康指纹认证装置返回的认证结果后,控制主机的接入请求:允许接入、拒绝接入或只允许访问部分提供服务的网元;
认证服务器,为通过用户名/密码进行身份认证的传统服务器,用于与安全健康指纹认证装置配合,对用户进行用户身份和主机安全性的双重认证;
安全健康指纹认证装置,为用户主机接入的验证设备,其内部设有一个安全健康策略库和一个信息接口,负责接收客户端的安全健康指纹,并针对指纹中的信息在安全健康策略库进行查找比对,根据综合的指纹比对结果评估出该主机的安全状态级别;如果该主机的安全状态级别低于策略中的规定值,则向接入控制装置发送不允许接入消息或访问控制策略;如果该主机的安全状态级别大于等于策略中的规定值,则向接入系统发送接入允许消息。
2、根据权利要求1所述的访问认证系统,其特征在于:所述主机的安全健康指纹信息包括:操作系统类型、操作系统版本号、补丁情况、文件共享情况、开放的传输控制协议TCP端口、开放的用户数据报协议UDP端口、运行的系统服务、用户口令强度、来宾Guest用户账号使用情况、账户锁定策略、账户口令策略、启动信息、浏览器版本、浏览器补丁情况、Email客户端版本、Email客户端补丁情况。
3、根据权利要求1或2所述的访问认证系统,其特征在于:所述安全健康指纹信息封装成格式为“类型、长度、内容”的数据包,其中类型字段为特殊标识,表明该数据包需要送交安全健康指纹认证装置进行安全认证,且由客户端、认证服务器和安全健康指纹认证装置三者共同定义。
4、根据权利要求1所述的访问认证系统,其特征在于:所述接入控制装置中提供用户接入的端口有两个逻辑端口:
受控端口,只在认证通过状态下开启,用于传递网络资源和服务;
不受控端口,始终处于双向连通状态,以供客户端随时发出或接收认证。
5、根据权利要求1所述的访问认证系统,其特征在于:所述接入网络是内部局域网时,为支持该内部局域网的网络端口的接入控制,所述客户端需要支持的通信协议为局域网扩展认证协议EAPOL。
6、根据权利要求1所述的访问认证系统,其特征在于:所述接入网络是虚拟专用网VPN时,为支持该VPN网络端口的接入控制,所述客户端需要支持的通信协议至少包括下述VPN隧道协议:点对点隧道协议PPTP、第二层隧道协议L2TP、Internet安全协议IPSEC。
7、根据权利要求1所述的访问认证系统,其特征在于:所述接入网络是电信接入网时,为支持该电信接入网的网络端口的接入控制,所述客户端需要支持的通信协议为在以太网上传送点对点数据包协议PPPOE。
8、一种采用权利要求1所述的验证接入主机安全性的访问认证系统的认证方法,其特征在于:采用安全健康指纹信息对接入主机的安全性进行验证,以防范网络蠕虫和黑客攻击;包括下列步骤:
(1)在客户端发起接入请求时,客户端软件提取本机的安全健康指纹信息,并将该信息封装成格式为“类型、长度、内容”的数据包,发送给接入控制装置;
(2)接入控制装置发现指纹信息的认证数据包后,直接转发给认证服务器;或者提取其中用于认证的安全健康指纹信息重新封装后,转发给认证服务器;
(3)认证服务器与安全健康指纹认证装置通信,将安全健康指纹信息发送给安全健康指纹认证装置;
(4)安全健康指纹认证装置将该指纹信息中的相关字段与其策略库中的信息进行比对,并对各项信息的比较结果和相关条件进行综合评判,给出其安全状态等级,再将该安全状态等级数值与安全准入要求的数值进行比较,如果该等级数值大于或等于准入数值,则发送认证通过信息;否则,发送认证失败或有限制接入消息;
(5)接入控制装置读取访问控制指令,并根据该指令对接入主机设置相应的授权状态:如果是认证通过的消息,则完成主机的接入;如果是认证未通过的消息,则拒绝主机的接入,并在客户端软件上给出接入失败提示;如果是有限制接入的消息,则由接入控制模块配置对应的访问策略。
9、根据权利要求8所述的认证方法,其特征在于:所述步骤(1)中客户端软件发送认证数据包时使用的网络通信协议包括TCP、UDP、ICMP、或EAPOL。
10、根据权利要求8所述的认证方法,其特征在于:所述步骤(3)中认证服务器与安全健康指纹认证装置之间的通信采用的协议是远程用户拨号认证系统RADIUS。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005101125240A CN100512109C (zh) | 2005-09-30 | 2005-09-30 | 验证接入主机安全性的访问认证系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005101125240A CN100512109C (zh) | 2005-09-30 | 2005-09-30 | 验证接入主机安全性的访问认证系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1744494A CN1744494A (zh) | 2006-03-08 |
| CN100512109C true CN100512109C (zh) | 2009-07-08 |
Family
ID=36139715
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005101125240A Active CN100512109C (zh) | 2005-09-30 | 2005-09-30 | 验证接入主机安全性的访问认证系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100512109C (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7793110B2 (en) * | 2006-05-24 | 2010-09-07 | Palo Alto Research Center Incorporated | Posture-based data protection |
| CN101330401B (zh) * | 2007-06-22 | 2010-12-08 | 华为技术有限公司 | 一种安全状态的评估方法、装置及系统 |
| CN101286846B (zh) * | 2008-05-19 | 2014-04-16 | 郑宽永 | 交互式身份认证方法 |
| US8959188B2 (en) * | 2008-10-01 | 2015-02-17 | Nokia Corporation | Method, system, and apparatus for configuring network accounts on devices for use therewith |
| CN101883123A (zh) * | 2009-05-04 | 2010-11-10 | 华为技术有限公司 | 对电信设备安全状态验证的方法、设备和系统 |
| CN102195949A (zh) * | 2010-03-16 | 2011-09-21 | 邵宇 | Vpn的指纹认证方法 |
| CN103457786A (zh) * | 2012-06-05 | 2013-12-18 | 中国移动通信集团公司 | 一种传感器接入检测方法、装置和系统 |
| CN102916943A (zh) * | 2012-09-20 | 2013-02-06 | 无锡华御信息技术有限公司 | 一种基于网络环境的移动存储设备的管理方法及系统 |
| CN103942472B (zh) * | 2014-04-14 | 2016-09-14 | 立德高科(北京)数码科技有限责任公司 | 用于屏蔽非授权使用者启动软件的方法及装置 |
| US9413738B2 (en) * | 2014-06-19 | 2016-08-09 | Microsoft Technology Licensing, Llc | Securing communications with enhanced media platforms |
| CN104618268A (zh) * | 2014-12-30 | 2015-05-13 | 北京奇虎科技有限公司 | 网络准入控制方法及认证服务器、终端 |
| CN107623665A (zh) * | 2016-07-15 | 2018-01-23 | 华为技术有限公司 | 一种认证方法、设备以及系统 |
| CN107944344A (zh) * | 2017-10-30 | 2018-04-20 | 国网浙江省电力公司绍兴供电公司 | 供电企业施工移动安全监督平台 |
| CN109522700A (zh) * | 2018-08-30 | 2019-03-26 | 深圳市国科亿道科技有限公司 | 一种主机与底座接口认证加密系统 |
| CN110213232B (zh) * | 2019-04-26 | 2020-01-31 | 特斯联(北京)科技有限公司 | 一种指纹特征和密钥双重验证方法和装置 |
| CN112672348A (zh) * | 2019-09-27 | 2021-04-16 | 华为技术有限公司 | 安全控制方法、装置、设备、系统及存储介质 |
| CN111177692B (zh) * | 2019-11-29 | 2022-07-12 | 云深互联(北京)科技有限公司 | 终端可信级别评估方法、装置、设备和存储介质 |
| CN113572773A (zh) * | 2021-07-27 | 2021-10-29 | 迈普通信技术股份有限公司 | 一种接入设备及终端接入控制方法 |
| CN115150833A (zh) * | 2022-09-05 | 2022-10-04 | 北京珞安科技有限责任公司 | 一种网络接入控制系统及方法 |
-
2005
- 2005-09-30 CN CNB2005101125240A patent/CN100512109C/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN1744494A (zh) | 2006-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100512109C (zh) | 验证接入主机安全性的访问认证系统和方法 | |
| CN100563158C (zh) | 网络接入控制方法及系统 | |
| US6487598B1 (en) | Virtual dial-up protocol for network communication | |
| US8194654B1 (en) | Virtual dial-up protocol for network communication | |
| CN100437550C (zh) | 一种以太网认证接入的方法 | |
| CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
| CN100464548C (zh) | 一种阻断蠕虫攻击的系统和方法 | |
| CN102333075B (zh) | 用于移动设备的具有动态故障转移的多服务vpn网络客户端 | |
| US20040098619A1 (en) | System, apparatuses, methods, and computer-readable media for identification of user and/or source of communication in a network | |
| US20050191997A1 (en) | Wireless provisioning device | |
| CN1845491A (zh) | 802.1x的接入认证方法 | |
| CN101695022B (zh) | 一种服务质量管理方法及装置 | |
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| WO2003081839A1 (fr) | Procede d'etablissement d'une liaison entre le dispositif d'acces au reseau et l'utilisateur mettant en oeuvre le protocole 802.1x | |
| CN102271120A (zh) | 一种增强安全性的可信网络接入认证方法 | |
| CN100471167C (zh) | 无线接入宽带用户的管理方法及其装置 | |
| CN101272379A (zh) | 基于IEEE802.1x安全认证协议的改进方法 | |
| CN101212375A (zh) | 控制用户使用代理上网的方法及系统 | |
| CN1225870C (zh) | 基于虚拟局域网的网络接入控制方法及装置 | |
| CN101516091A (zh) | 一种基于端口的无线局域网接入控制系统及方法 | |
| CN108712398B (zh) | 认证服务器的端口认证方法、服务器、交换机和存储介质 | |
| CN113783868B (zh) | 一种基于商用密码保护闸机物联网安全的方法及系统 | |
| CN1265579C (zh) | 一种对网络接入用户进行认证的方法 | |
| JP2006099590A (ja) | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム | |
| Cisco | CiscoSecure Profile and NAS Configuration Examples |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: CHINA TELECOMMUNICATION STOCK CO., LTD. Free format text: FORMER OWNER: CHINA TELECOMMUNICATION STOCK CO., LTD. GUANGDONG ACADEME Effective date: 20091113 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| C56 | Change in the name or address of the patentee |
Owner name: CHINA TELECOMMUNICATION STOCK CO., LTD. GUANGDONG Free format text: FORMER NAME: GUANGDONG PROVINCE TELECOMMUNICATION CO., LTD. RESEARCH INSTITUTE |
|
| CP03 | Change of name, title or address |
Address after: 20, building 109, West Zhongshan Avenue, Tianhe District, Guangzhou, Guangdong Patentee after: GUANGDONG RESEARCH INSTITUTE, CHINA TELECOM Co.,Ltd. Address before: No. 109, Zhongshan Avenue, Tianhe District, Guangdong, Guangzhou Patentee before: Guangdong Telecommunication Co.,Ltd. Institude |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20091113 Address after: No. 31, Finance Street, Beijing, Xicheng District Patentee after: CHINA TELECOM Corp.,Ltd. Address before: 20, building 109, West Zhongshan Avenue, Tianhe District, Guangzhou, Guangdong Patentee before: GUANGDONG RESEARCH INSTITUTE, CHINA TELECOM Co.,Ltd. |