CN104796261A - 一种网络终端节点的安全接入管控系统及方法 - Google Patents
一种网络终端节点的安全接入管控系统及方法 Download PDFInfo
- Publication number
- CN104796261A CN104796261A CN201510180990.6A CN201510180990A CN104796261A CN 104796261 A CN104796261 A CN 104796261A CN 201510180990 A CN201510180990 A CN 201510180990A CN 104796261 A CN104796261 A CN 104796261A
- Authority
- CN
- China
- Prior art keywords
- access
- network
- authentication
- user
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络终端节点的安全接入管控系统及方法,安全接入客户端与CA认证服务器、安全接入客户端与RADIUS认证服务器之间采用C/S架构,分别负责用户身份认证和终端接入认证;安全管理客户端与安全管理服务器之间采用B/S架构,主要负责用户信息的注册审核、网络访问组权限的设定和实时的安全接入管控与监测。本发明能够完成对接入终端的可信身份认证、可信接入认证、终端代理鉴别、网络访问权限控制以及网络接入状态实时监控的功能;实现了基于身份认证的可信终端准入控制系统,系统稳定可靠,认证效率较高,对NAT和代理服务等违规行为的检测预警准确,通过WEB管理界面对终端用户网络状态进行监测与控制,完全能够满足专有网络安全管理的需要。
Description
技术领域
本发明属于网络安全管理技术领域,涉及一种安全管控系统,具体涉及一种网络终端节点的安全接入管控系统及方法。
背景技术
目前智能终端通过使用无线接入点后所带来终端随意接入访问的网络边界接入安全问题日益突出显现。随意架设任何人都可访问的无线热点,没有任何安全措施的智能终端通过无线热点接入电子政务、电子税务等专有网络之中并且不加控制的随意访问,这些行为严重破坏了专有网络边界的完整性,为恶意入侵者大开方便之门,并轻易的为其提供了可乘之机。如何有效管控网络终端的安全接入,构建可信的网络终端准入控制体系,从源头上防范非法接入安全隐患已成为当前网络安全管理的关键。
发明内容
本发明的目的在于解决上述问题,提供一种网络终端节点的安全接入管控系统及方法,该系统主要是基于身份认证和终端准入控制技术,实现了用户身份认证、终端节点可信接入、违规操作鉴别、访问权限控制和安全接入管控等功能。
为了实现上述目的,本发明所采用的技术方案是:
一种网络终端节点的安全接入管控系统,包括用户身份认证模块、终端接入认证模块、违规操作鉴别模块、网络访问权限控制模块以及安全接入管理模块;
用户身份认证模块完成终端用户的可信身份认证;
终端接入认证模块完成终端节点的可信接入认证;
违规操作鉴别模块实现对违规架设NAT和代理服务器的行为鉴别;
网络访问权限控制模块实现对用户网络访问权限的分组控制;
安全接入管理模块实现网络用户与终端节点信息的审核管理和维护,实时监控用户网络状态,并对在线时长和网络流量进行统计。
所述的用户身份认证模块包括CA用户证书以及CA认证服务器;CA认证中心为每位用户配发一个USB-Key硬件设备,CA用户证书、私钥以及用户的基本信息保存在USB-Key硬件设备中;USB-Key硬件设备能够设置用户口令,且具有USB接口。
所述的终端接入认证模块包括接入认证交换机、CA认证服务器以及RADIUS认证服务器;RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。
所述的违规操作鉴别模块利用NPF驱动的过滤和捕获功能,捕获并分析数据包,根据分析结果判定用户是否有私设代理的行为发生。
所述的安全接入管理模块包括RADIUS认证服务器、数据库服务器以及安全管理服务器。
一种网络终端节点的安全接入管控方法,包括以下步骤:
1)利用用户身份认证模块,结合CA身份认证方式,完成接入网络的终端用户的可信身份认证;
2)利用终端接入认证模块,对通过身份认证的可信用户采用802.1x协议,完成终端节点的可信接入认证;
3)采用违规操作鉴别模块,利用NPF组件捕获数据包的功能,通过对数据包结构、相关属性值以及协议的分析,对通过可信接入认证的终端节点进行违规架设NAT和代理服务器的行为鉴别;
4)采用网络访问权限控制模块,利用基于组的安全访问权限控制策略,对接入网络的终端用户进行分组管理并设定网络访问范围;同时通过终端访问控制组件对终端用户的访问过程进行管控,发现违规行为立即上报,通知管理员作出相应处理;
5)利用安全接入管理模块对网络用户及其接入信息进行审核管理和维护控制,实时监控上网用户的身份信息、接入验证过程、上下线时间、上下行信息流量、上网终端所接交换设备的端口号以及IP地址信息,并对在线时长和网络流量进行统计,实现对网络终端节点全方位的安全接入管控。
所述的步骤1)中,可信身份认证的具体方法是:
1-1)首先终端组件通过GetTimes()函数获取本地时间,然后将时间拼装成字符串格式;
1-2)通过GenSimpleKey(10)函数获取时间字符串的10位随机数;
1-3)调用本地的USB-Key硬件设备中的私钥对该随机数进行PKCS#7签名,签名函数CertificateSign_certThumbprint(strTexts,rtest)由相应CA认证中心提供;
1-4)签名完成后,调用CA认证服务器进行验证,服务器利用私钥解密出证书信息和本地时间,然后查看证书信息是否存在于白名单中,同时将本地时间与当前时间作比较,确保验证过程在允许的时间间隔内完成。
所述的步骤2)中,可信接入认证的具体方法是:
2-1)用户插入USB-Key硬件设备,终端组件广播发送EAPOL-Start包,请求认证;
2-2)接入认证交换机返回请求用户名包;
2-3)终端组件自动获取数字证书设备中的入网号作为用户名,发送封装用户名的数据包;
2-4)RADIUS服务器产生MD5-Challenge加密字,并由接入认证交换机返回给终端组件;
2-5)客户端发送用户名和加密密码包;
2-6)接入认证交换机将用户名和密码包转发给RADIUS服务器进行验证,合法则返回成功认证包,否则返回认证失败包。
所述的步骤3)中,违规操作鉴别的具体方法是:
1)数据包的捕获
利用NPF驱动提供的数据包过滤和捕获功能捕获IP数据包,具体捕获方法如下:
1-1)获取所有存在的网络设备的链表;
1-2)选择物理网卡,用非混杂模式打开;
1-3)设置过滤器;
1-4)捕获分析数据包;
如果不是IP数据包对其数据包放行,如果是IP数据包,复制该数据包,然后去掉数据链路层14字节的帧头部后得到真正的IP包信息,采用数据结构IP_HEADER来保存IP头部信息;
2)分析IP字段
根据报头的地址段信息判断该主机是否设置了NAT服务;如果存在违规行为,自动将指定的异常情况向服务器报警,由管理员视情况作出相应处理或自动阻断用户的网络接入;如果不存在违规行为,就分析协议字段;
3)根据协议类型字段从IP数据包中分离出TCP报文,分析TCP数据字段中的信息判定该主机是否提供了代理服务;如果存在违规行为,自动将指定的异常情况向服务器报警,如果不存在违规行为,就对该数据包直接放行。
所述的步骤4)中,网络访问权限控制的具体方法是:
用户首次接入内网时,需要在内网数据库进行信息补充和注册,然后由管理员根据用户信息完成审核和分组,将组别主要分为管理员、高级用户和普通用户;针对不同组的访问权限设置控制策略有允许访问、禁止访问和限制访问三种;允许访问时所有地址全部允许;禁止访问时所有地址全部禁止;限制访问则依据黑白名单进行访问,其中白名单地址访问一律放行,黑名单地址访问一律禁止。
与现有技术相比,本发明具有以下有益效果:
本发明能够完成对用户可信身份认证、终端节点可信接入、违规操作鉴别、访问权限控制以及网络接入状态实时监控的功能;实现了基于身份认证的可信终端安全接入控制系统,系统稳定可靠,认证效率较高,对NAT和代理服务等违规行为的检测预警准确,通过WEB管理界面对终端用户网络状态进行监测与控制,完全能够满足专有网络安全管理的需要。
附图说明
图1为本发明网络节点的安全管控系统架构图;
图2为本发明用户身份认证流程图;
图3为本发明终端接入认证流程图;
图4为本发明违规行为鉴别流程图;
图5为本发明访问权限控制模块客户端的流程图;
图6为本发明安全接入管控系统的功能模块示意图。
具体实施方式
下面结合附图和实施例对本发明做进一步详细的说明:
本发明网络节点的安全管控系统,包括用户身份认证模块、终端接入认证模块、违规操作鉴别模块、网络访问权限控制模块以及安全接入管理模块;用户身份认证模块完成终端用户的可信身份认证;用户身份认证模块包括CA用户证书以及CA认证服务器;CA认证中心为每位用户配发一个USB-Key硬件设备,CA用户证书、私钥以及用户的基本信息保存在USB-Key硬件设备中;USB-Key硬件设备能够设置用户口令,且具有USB接口。终端节点可信接入模块完成终端用户的可信接入认证;终端节点可信接入模块包括接入认证交换机、CA认证服务器以及RADIUS认证服务器;RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。违规操作鉴别模块实现违规架设NAT和代理服务器的行为鉴别;违规操作鉴别模块利用NPF驱动的过滤和捕获功能,捕获并分析数据包,根据分析结果判定用户是否有私设代理的行为发生。网络访问权限控制模块用于对网络用户组的划分,并为不同的组赋予相应的网络访问权限;安全接入管理模块对网络用户信息的审核管理和维护,实时监控用户网络状态,并对在线时长和网络流量进行统计。安全接入管理模块包括RADIUS认证服务器、数据库服务器以及UI展示界面。
本发明还公开了一种网络终端节点的安全接入管控方法,包括以下步骤:
1)利用用户身份认证模块,结合CA身份认证方式,完成接入网络的终端用户的可信身份认证;可信身份认证的具体方法是:
1-1)首先终端组件通过GetTimes()函数获取本地时间,然后将时间拼装成字符串格式;
1-2)通过GenSimpleKey(10)函数获取时间字符串的10位随机数;
1-3)调用本地的USB-Key硬件设备中的私钥对该随机数进行PKCS#7签名,签名函数CertificateSign_certThumbprint(strTexts,rtest)由相应CA认证中心提供;
1-4)签名完成后,调用CA认证服务器进行验证,服务器利用私钥解密出证书信息和本地时间,然后查看证书信息是否存在于白名单中,同时将本地时间与当前时间作比较,看是否在一定的时间间隔内,验证完成。
2)利用终端节点可信接入模块,对通过可信身份认证的终端用户采用802.1x协议,完成终端用户的可信接入认证;可信接入认证的具体方法是:
2-1)用户插入USB-Key硬件设备,终端组件发送EAPOL-Start包,请求认证;
2-2)接入认证交换机返回请求用户名包;
2-3)终端组件自动获取数字证书设备中的入网号作为用户名,发送封装用户名的数据包;
2-4)RADIUS服务器产生MD5-Challenge加密字,并由接入接入认证交换机返回给终端组件;
2-5)客户端发送用户名和加密密码包;
2-6)接入认证交换机将用户名和密码包转发给RADIUS服务器进行验证,合法则返回成功认证包,否则返回认证失败包。
3)采用违规操作鉴别模块,利用NPF组件捕获数据包的功能,通过对数据包结构、相关属性值以及协议的分析,对通过可信接入认证的终端用户完成违规架设NAT和代理服务器的行为鉴别;违规操作鉴别的具体方法是:
1)数据包的捕获
利用NPF驱动提供的数据包过滤和捕获功能捕获IP数据包,具体捕获方法如下:
1-1)获取所有存在的网络设备的链表;
1-2)选择物理网卡,用非混杂模式打开;
1-3)设置过滤器;
1-4)捕获分析数据包;
如果不是IP数据包对其数据包放行,如果是IP数据包,复制该数据包,然后去掉数据链路层14字节的帧头部后得到真正的IP包信息,采用数据结构IP_HEADER来保存IP头部信息;
2)分析IP字段
根据报头的地址段信息判断该主机是否设置了NAT服务;如果存在违规行为,自动将指定的异常情况向服务器报警,由管理员视情况作出相应处理或自动阻断用户的网络接入;如果不存在违规行为,就分析协议字段;
3)根据协议类型字段从IP数据包中分离出TCP报文,分析TCP数据字段中的信息判定该主机是否提供了代理服务;如果存在违规行为,自动将指定的异常情况向服务器报警,如果不存在违规行为,就对该数据包直接放行。
4)利用基于组的安全访问权限划分策略的网络访问权限控制模块,对接入网络的终端用户分组并设定网络访问范围,通过终端组件对终端用户行为进行管控,发现违规行为立即上报,由管理员作出相应处理;网络访问权限控制的具体方法是:
用户首次接入内网时,需要在内网数据库进行信息补充和注册,然后由管理员根据用户信息完成审核和分组,将组别主要分为管理员、高级用户和普通用户;针对不同组的访问权限设置控制策略有允许访问、禁止访问和限制访问三种;允许访问时所有地址全部允许;禁止访问时所有地址全部禁止;限制访问则依据黑白名单进行访问,其中白名单地址访问一律放行,黑名单地址访问一律禁止。
5)利用安全接入管理模块对网络用户及其接入信息进行审核管理和维护控制,实时监控上网用户的身份信息、接入验证过程、上下线时间、上下行信息流量、上网终端所接交换设备的端口号以及IP地址信息,并对在线时长和网络流量进行统计,实现网络终端的安全接入管控。
本发明的原理:
本发明利用CA身份认证技术、802.1x协议接入认证技术以及NPF驱动模块等关键技术,实现终端的可信身份认证、可信接入认证、违规操作鉴别、访问权限控制和系统安全接入管控等功能。并在以上基础上,结合兼容性、安全性、稳定性、界面友好性等设计原则,开发一套结合身份认证的可信终端接入控制系统,并在真实的的网络环境下进行测试。主要实现了:1、采用CA身份认证技术,完成终端用户的可信身份认证;2、采用802.1x协议接入认证方式,完成终端节点的可信接入;3、利用NPF组件捕获数据包,通过对数据包结构、相关属性值以及协议的分析,实现违规架设NAT和代理服务器的行为鉴别;4、设计基于组的安全访问权限划分策略,对接入网络的用户分组并设定网络访问范围,通过终端组件对用户行为进行管控,发现违规行为立即上报,由管理员根据实际情况作出相应处理;5、设计安全接入管控系统界面,对网络用户及其接入信息进行审核管理和维护控制,实时监控上网用户的身份信息、接入验证过程、上下线时间、上下行信息流量、上网终端所接交换设备的端口号以及IP地址等信息,并对在线时长和网络流量进行统计,实现网络终端的安全接入管控。
本发明的结构原理:
本发明的设计符合802.1x协议的终端通用认证组件,结合CA身份认证技术,通过储存有数字证书的USB-Key硬件设备与CA中心服务器的联动来完成用户身份认证;使用内置于USB-Key硬件设备中的入网号和PIN码作为终端认证节点的唯一标识,通过终端组件、中间接入设备和RADIUS认证服务器三个实体之间的信息交互完成终端接入认证;终端组件利用NPF驱动软件包完成获取网络设备信息和过滤、捕获网络数据包的功能,通过对终端主机多网卡的检测和对数据包内容及协议的解析,实现了对终端违规操作的鉴别;制定了以组划分用户、按组下放权限的策略,实现了用户访问网络权限的可控性;最后开发了安全接入管控界面,用于实时监测终端用户和终端主机的接入过程和网络状态,辅助管理员更好的管理网络。
本发明的总体框架:
如图1所示,本发明主要由客户端、中间接入设备、RADIUS认证服务器、CA认证服务器、安全管理服务器和相关数据库服务器等组件构成,采用C/S与B/S相结合的模式。客户端与CA认证服务器、客户端与RADIUS认证服务器之间采用C/S架构,分别负责用户身份认证和终端接入认证;客户端与安全管理服务器之间采用B/S架构,主要负责用户信息的注册审核、网络访问组权限的设定和实时的安全接入管控。
本发明的工作流程:
本发明将可信的用户身份认证、可信终端接入认证、终端违规操作的鉴别、可控的网络访问权限、系统安全接入管控等功能与现有业务流程相结合,达到安全接入、可信访问的目的。
本发明是在802.1x协议的原型上结合CA身份认证技术实现的。终端接入网络后首先会被接入层接入认证交换机划入客户区,该区域的终端计算机只可以访问隔离网络区。终端组件开始运行后,首先检测是否插入了USB-Key硬件设备,通过CA智能助手可查看USB-Key硬件设备中的证书信息;终端组件将证书信息提交给CA认证服务器进行签名认证,证书有效期经由CA认证服务器进行验证。
身份认证通过后,进入接入认证阶段。终端组件获取USB-Key硬件设备中的特定信息作为登录账号和密码,首次登录时需要在局域网内部数据库进行信息补全和注册,接入认证时终端组件通过中间设备将合法的用户名和密码提交给RADIUS认证服务器进行验证。
接入认证通过后,终端组件根据服务器下发的管理策略控制用户网络访问权限,同时实时对用户的违规操作进行鉴别,如果用户私自架设了NAT或代理服务器,终端组件将该行为上报服务器并由管理员处理,必要情况下可自动阻断用户的网络接入。
本发明功能模块的设计:
本发明主要包括用户身份认证模块、终端可信接入模块、违规操作鉴别模块、网络访问权限控制模块、安全接入管理模块。
用户身份认证模块
本发明采用CA身份认证技术,由CA认证中心为每位用户配发一个USB-Key硬件设备硬件设备,设备中保存有数字证书、私钥以及用户的基本信息,USB-Key硬件设备还能够设置用户口令,进一步增强证书和私钥的安全性。USB-Key硬件设备具有通用的USB接口,能够满足用户移动办公的需求。此模块通过Internet连接CA认证中心,根据USB-Key硬件设备中的内置信息进行身份认证。根据数字证书的签名判定终端硬件是否合法,根据时间戳判定终端设备是否处于有效期。用户身份认证模块主要由硬件设备USB-Key硬件设备、终端接入组件和CA认证服务器组成,用户身份认证流程如图2所示。
主要实现过程如下:
①首先终端组件通过GetTimes()函数获取本地时间,然后将时间拼装成字符串格式;
②通过GenSimpleKey(10)函数获取时间字符串的10位随机数;
③调用本地的USBKey中的私钥对该随机数进行签名,本发明采用PKCS#7签名,因为PKCS#7签名和其他签名相比,优势在于除了签名值外,还附带有证书信息,签名函数CertificateSign_certThumbprint(strTexts,rtest)由CA认证中心提供;
④签名完成后,调用CA认证服务器进行验证,服务器利用私钥解密出证书信息(可以是客服信任号、颁发者等信息)和本地时间,然后查看证书信息是否存在于白名单中,同时将本地时间与当前时间作比较,看是否在一定的时间间隔内,验证完成。
终端节点可信接入模块
本发明在严格按照802.1x协议编写的基础上对终端组件进行了改进,实现了终端组件在不同Unix、Linux和Windows系列操作系统上与各厂家的网络设备使用的兼容性和通用性。系统采用EAP-MD5质询的认证方式主动触发802.1x协议认证,利用USB-Key硬件设备中的13位入网号和PIN码作为合法的登录账号和密码,接入认证主要流程如下:
①终端用户插入USB-Key硬件设备,终端组件发送EAPOL-Start包,请求认证;
②接入认证交换机返回请求用户名包;
③终端组件自动获取数字证书中的入网号作为用户名,发送封装用户名的数据包;
④RADIUS服务器产生MD5-Challenge加密字,由接入认证交换机返回给终端组件;
⑤客户端发送用户名和加密密码包;
⑥接入认证交换机将用户名和密码包转发给RADIUS服务器验证,合法则返回成功认证包,否则返回认证失败包。
此模块主要由终端组件、接入认证交换机和RADIUS认证服务器组成,终端接入认证流程如图3所示。终端首次接入内网时,首先开辟一个URL指向用户内网信息注册网页,注册成功后由管理员进行信息审核,审核通过后成为合法的内网终端。终端请求接入认证时,开辟一个URL指向RADIUS认证服务器,RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。
违规操作鉴别模块
此模块主要针对用户私设代理的行为,终端组件利用NPF驱动的过滤和捕获功能,捕获并分析数据包,根据分析结果判定是否有网络地址转换或者私设代理的行为发生。如果存在违规行为,自动将指定的异常情况向服务器报警,由管理员视情况作出相应处理,必要情况下可自动阻断用户的网络接入。违规行为鉴别模块设计模型如图4所示。通过在终端组件加入网卡信息绑定、NAT和代理软件检测功能来阻止网络共享和违规代理的行为。本发明在对网卡数据包的捕捉中使用了网络底层驱动进行开发,在操作系统层面上完成了网卡信息的读写和网络数据包的捕获与处理,具有非常高的实时性和可靠性。
网络访问权限控制模块
此模块设计模型如图5所示,主要完成对网络用户组的划分,并为不同的组赋予相应的网络访问权限。网络用户主要分为管理员、高级用户、普通用户三个等级,不同等级的用户访问网络的范围是不同的,由管理员按照分组策略划分用户并设定网络访问权限。管理员可以添加、删除和更改用户信息,客户端也可以向管理员提出申请来修改信息。
该模块的具体实现:用户首次接入内网时,需要在内网数据库进行信息补全和注册,然后由管理员根据用户信息完成审核和分组,将组别主要分为管理员、高级用户和普通用户。针对不同组的访问权限设置控制策略有允许访问、禁止访问和限制访问三种;允许访问时所有地址全部允许;禁止访问时所有地址全部禁止;限制访问则依据黑白名单进行访问,其中白名单地址访问一律放行,黑名单地址访问一律禁止。
安全接入管理模块
系统安全接入管理模块主要由RADIUS服务器、关系数据库和UI管理界面组成,该模块实现功能如下:利用安全接入管理模块对网络用户及其接入信息进行审核管理和维护控制,实时监控上网用户的身份信息、认证过程、上下线时间、上下行信息流量、上网终端所接交换设备的端口号以及IP地址等信息,并对在线时长和网络流量进行统计,实现网络终端的安全接入管控。系统安全接入管控功能设计如图6所示。
以上内容仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明权利要求书的保护范围之内。
Claims (10)
1.一种网络终端节点的安全接入管控系统,其特征在于:包括用户身份认证模块、终端接入认证模块、违规操作鉴别模块、网络访问权限控制模块以及安全接入管理模块;
用户身份认证模块完成终端用户的可信身份认证;
终端接入认证模块完成终端节点的可信接入认证;
违规操作鉴别模块实现对违规架设NAT和代理服务器的行为鉴别;
网络访问权限控制模块实现对用户网络访问权限的分组控制;
安全接入管理模块实现网络用户与终端节点信息的审核管理和维护,实时监控用户网络状态,并对在线时长和网络流量进行统计。
2.根据权利要求1所述的网络终端节点的安全接入管控系统,其特征在于:所述的用户身份认证模块包括CA用户证书以及CA认证服务器;CA认证中心为每位用户配发一个USB-Key硬件设备,CA用户证书、私钥以及用户的基本信息保存在USB-Key硬件设备中;USB-Key硬件设备能够设置用户口令,且具有USB接口。
3.根据权利要求1所述的网络终端节点的安全接入管控系统,其特征在于:所述的终端接入认证模块包括接入认证交换机、CA认证服务器以及RADIUS认证服务器;RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。
4.根据权利要求1所述的网络终端节点的安全接入管控系统,其特征在于:所述的违规操作鉴别模块利用NPF驱动的过滤和捕获功能,捕获并分析数据包,根据分析结果判定用户是否有私设代理的行为发生。
5.根据权利要求1所述的网络终端节点的安全接入管控系统,其特征在于:所述的安全接入管理模块包括RADIUS认证服务器、数据库服务器以及安全管理服务器。
6.一种基于权利要求1-5任意一项所述系统的网络终端节点的安全接入管控方法,其特征在于,包括以下步骤:
1)利用用户身份认证模块,结合CA身份认证方式,完成接入网络的终端用户的可信身份认证;
2)利用终端接入认证模块,对通过身份认证的可信用户采用802.1x协议,完成终端节点的可信接入认证;
3)采用违规操作鉴别模块,利用NPF组件捕获数据包的功能,通过对数据包结构、相关属性值以及协议的分析,对通过可信接入认证的终端节点进行违规架设NAT和代理服务器的行为鉴别;
4)采用网络访问权限控制模块,利用基于组的安全访问权限控制策略,对接入网络的终端用户进行分组管理并设定网络访问范围;同时通过终端访问控制组件对终端用户的访问过程进行管控,发现违规行为立即上报,通知管理员作出相应处理;
5)利用安全接入管理模块对网络用户及其接入信息进行审核管理和维护控制,实时监控上网用户的身份信息、接入验证过程、上下线时间、上下行信息流量、上网终端所接交换设备的端口号以及IP地址信息,并对在线时长和网络流量进行统计,实现对网络终端节点全方位的安全接入管控。
7.根据权利要求6所述的网络终端节点的安全接入管控方法,其特征在于:所述的步骤1)中,可信身份认证的具体方法是:
1-1)首先终端组件通过GetTimes()函数获取本地时间,然后将时间拼装成字符串格式;
1-2)通过GenSimpleKey(10)函数获取时间字符串的10位随机数;
1-3)调用本地的USB-Key硬件设备中的私钥对该随机数进行PKCS#7签名,签名函数CertificateSign_certThumbprint(strTexts,rtest)由相应CA认证中心提供;
1-4)签名完成后,调用CA认证服务器进行验证,服务器利用私钥解密出证书信息和本地时间,然后查看证书信息是否存在于白名单中,同时将本地时间与当前时间作比较,确保验证过程在允许的时间间隔内完成。
8.根据权利要求6所述的网络终端节点的安全接入管控方法,其特征在于:所述的步骤2)中,可信接入认证的具体方法是:
2-1)用户插入USB-Key硬件设备,终端组件广播发送EAPOL-Start包,请求认证;
2-2)接入认证交换机返回请求用户名包;
2-3)终端组件自动获取数字证书设备中的入网号作为用户名,发送封装用户名的数据包;
2-4)RADIUS服务器产生MD5-Challenge加密字,并由接入认证交换机返回给终端组件;
2-5)客户端发送用户名和加密密码包;
2-6)接入认证交换机将用户名和密码包转发给RADIUS服务器进行验证,合法则返回成功认证包,否则返回认证失败包。
9.根据权利要求6所述的网络终端节点的安全接入管控方法,其特征在于:所述的步骤3)中,违规操作鉴别的具体方法是:
1)数据包的捕获
利用NPF驱动提供的数据包过滤和捕获功能捕获IP数据包,具体捕获方法如下:
1-1)获取所有存在的网络设备的链表;
1-2)选择物理网卡,用非混杂模式打开;
1-3)设置过滤器;
1-4)捕获分析数据包;
如果不是IP数据包对其数据包放行,如果是IP数据包,复制该数据包,然后去掉数据链路层14字节的帧头部后得到真正的IP包信息,采用数据结构IP_HEADER来保存IP头部信息;
2)分析IP字段
根据报头的地址段信息判断该主机是否设置了NAT服务;如果存在违规行为,自动将指定的异常情况向服务器报警,由管理员视情况作出相应处理或自动阻断用户的网络接入;如果不存在违规行为,就分析协议字段;
3)根据协议类型字段从IP数据包中分离出TCP报文,分析TCP数据字段中的信息判定该主机是否提供了代理服务;如果存在违规行为,自动将指定的异常情况向服务器报警,如果不存在违规行为,就对该数据包直接放行。
10.根据权利要求6所述的网络终端节点的安全接入管控方法,其特征在于:所述的步骤4)中,网络访问权限控制的具体方法是:
用户首次接入内网时,需要在内网数据库进行信息补充和注册,然后由管理员根据用户信息完成审核和分组,将组别主要分为管理员、高级用户和普通用户;针对不同组的访问权限设置控制策略有允许访问、禁止访问和限制访问三种;允许访问时所有地址全部允许;禁止访问时所有地址全部禁止;限制访问则依据黑白名单进行访问,其中白名单地址访问一律放行,黑名单地址访问一律禁止。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510180990.6A CN104796261A (zh) | 2015-04-16 | 2015-04-16 | 一种网络终端节点的安全接入管控系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510180990.6A CN104796261A (zh) | 2015-04-16 | 2015-04-16 | 一种网络终端节点的安全接入管控系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104796261A true CN104796261A (zh) | 2015-07-22 |
Family
ID=53560792
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510180990.6A Pending CN104796261A (zh) | 2015-04-16 | 2015-04-16 | 一种网络终端节点的安全接入管控系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104796261A (zh) |
Cited By (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105025032A (zh) * | 2015-07-31 | 2015-11-04 | 成都亿信标准认证集团有限公司 | 具有加密验证功能的客户管理服务器 |
CN105337811A (zh) * | 2015-12-03 | 2016-02-17 | 上海斐讯数据通信技术有限公司 | 基于Radius服务器的监控系统及监控方法 |
CN106060087A (zh) * | 2016-07-26 | 2016-10-26 | 中国南方电网有限责任公司信息中心 | 一种多因素主机安全准入控制系统和方法 |
CN106559408A (zh) * | 2015-11-27 | 2017-04-05 | 国网智能电网研究院 | 一种基于信任管理的sdn认证方法 |
CN107222433A (zh) * | 2017-04-18 | 2017-09-29 | 中国科学院信息工程研究所 | 一种基于sdn网络路径的访问控制方法及系统 |
CN107276997A (zh) * | 2017-06-06 | 2017-10-20 | 云南电网有限责任公司信息中心 | 一种电力移动应用终端的智能接入方法、装置及系统 |
CN107294952A (zh) * | 2017-05-18 | 2017-10-24 | 四川新网银行股份有限公司 | 一种实现零终端网络准入的方法及系统 |
CN107346330A (zh) * | 2017-06-20 | 2017-11-14 | 小草数语(北京)科技有限公司 | 数据比对方法及装置 |
CN107920082A (zh) * | 2017-12-04 | 2018-04-17 | 山西卓至飞高电子科技有限公司 | 网络终端安全接入系统和方法 |
CN108133008A (zh) * | 2017-12-22 | 2018-06-08 | 平安养老保险股份有限公司 | 数据库中业务数据的处理方法、装置、设备和存储介质 |
CN108173834A (zh) * | 2017-12-25 | 2018-06-15 | 北京计算机技术及应用研究所 | 终端指纹技术识别“一卡通”网络终端 |
CN109246257A (zh) * | 2018-10-12 | 2019-01-18 | 平安科技(深圳)有限公司 | 流量调配方法、装置、计算机设备及存储介质 |
CN110311922A (zh) * | 2019-07-16 | 2019-10-08 | 山东超越数控电子股份有限公司 | 一种高并发策略决策系统、可信网络系统及接入方法 |
CN110677435A (zh) * | 2019-10-28 | 2020-01-10 | 上海云赛智联信息科技有限公司 | 监控信息安全控制系统及监控管理系统 |
CN111049853A (zh) * | 2019-12-24 | 2020-04-21 | 南通理工学院 | 一种基于计算机网络的安全认证系统 |
CN111079110A (zh) * | 2019-11-27 | 2020-04-28 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于身份识别的电力系统网络安全防护方法、系统及装置 |
CN111092869A (zh) * | 2019-12-10 | 2020-05-01 | 中盈优创资讯科技有限公司 | 终端接入办公网络安全管控方法及认证服务器 |
CN111181961A (zh) * | 2019-12-30 | 2020-05-19 | 杭州迪普科技股份有限公司 | 一种用户下线检测方法及装置 |
CN111698248A (zh) * | 2020-06-11 | 2020-09-22 | 杭州商湾网络科技有限公司 | 一种基于标签的网络授权管理方法及系统 |
CN112565257A (zh) * | 2020-12-03 | 2021-03-26 | 国网安徽省电力有限公司检修分公司 | 基于电网专用和边缘物联代理的安全进程管理系统 |
CN112887265A (zh) * | 2020-12-31 | 2021-06-01 | 浙江远望信息股份有限公司 | 一种针对nat下防止未注册终端伪造为合法通信的准入方法 |
CN113271285A (zh) * | 2020-02-14 | 2021-08-17 | 北京沃东天骏信息技术有限公司 | 接入网络的方法和装置 |
CN113472778A (zh) * | 2021-06-30 | 2021-10-01 | 中国人民解放军国防科技大学 | 一种信息网络安全防护信任系统及方法 |
CN113472769A (zh) * | 2021-06-25 | 2021-10-01 | 苏州麦赫建筑装饰设计有限公司 | 一种办公网络管理方法及基于该方法的网络架构系统 |
CN113762702A (zh) * | 2021-04-19 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 工作流部署方法、装置、计算机系统和可读存储介质 |
CN113765905A (zh) * | 2021-08-27 | 2021-12-07 | 深圳市风云实业有限公司 | 一种基于可信服务代理的数据通信方法 |
CN114095213A (zh) * | 2021-10-29 | 2022-02-25 | 中国电子科技集团公司第三十研究所 | 一种网络访问控制策略管理系统 |
CN114599036A (zh) * | 2022-05-09 | 2022-06-07 | 北京乐开科技有限责任公司 | 一种多用户参与的nas文件安全操作方法及系统 |
CN115085980A (zh) * | 2022-05-31 | 2022-09-20 | 北京融讯智晖技术有限公司 | 一种基于融合视频云的网络准入管理系统 |
CN115314262A (zh) * | 2022-07-20 | 2022-11-08 | 杭州熠芯科技有限公司 | 一种可信网卡的设计方法及其组网方法 |
CN116032591A (zh) * | 2022-12-23 | 2023-04-28 | 迈普通信技术股份有限公司 | 一种哑终端仿冒识别方法及系统 |
CN117336101A (zh) * | 2023-11-29 | 2024-01-02 | 南京中孚信息技术有限公司 | 一种细粒度网络接入控制方法、系统、设备及介质 |
CN117596237A (zh) * | 2024-01-19 | 2024-02-23 | 安擎计算机信息股份有限公司 | 一种基于移动终端的服务器远程控制系统和方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101945249A (zh) * | 2009-07-07 | 2011-01-12 | 耶德托存取公司 | 处理流中的可录制内容 |
US20110055577A1 (en) * | 2009-09-01 | 2011-03-03 | Candelore Brant L | Location authentication |
CN103491054A (zh) * | 2012-06-12 | 2014-01-01 | 珠海市鸿瑞信息技术有限公司 | Sam准入系统 |
-
2015
- 2015-04-16 CN CN201510180990.6A patent/CN104796261A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101945249A (zh) * | 2009-07-07 | 2011-01-12 | 耶德托存取公司 | 处理流中的可录制内容 |
US20110055577A1 (en) * | 2009-09-01 | 2011-03-03 | Candelore Brant L | Location authentication |
CN103491054A (zh) * | 2012-06-12 | 2014-01-01 | 珠海市鸿瑞信息技术有限公司 | Sam准入系统 |
Non-Patent Citations (1)
Title |
---|
杜现: ""基于CA的802_1x终端准入控制技术研究"", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (48)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105025032A (zh) * | 2015-07-31 | 2015-11-04 | 成都亿信标准认证集团有限公司 | 具有加密验证功能的客户管理服务器 |
CN106559408A (zh) * | 2015-11-27 | 2017-04-05 | 国网智能电网研究院 | 一种基于信任管理的sdn认证方法 |
CN106559408B (zh) * | 2015-11-27 | 2019-12-13 | 国网智能电网研究院 | 一种基于信任管理的sdn认证方法 |
CN105337811B (zh) * | 2015-12-03 | 2018-09-28 | 上海斐讯数据通信技术有限公司 | 基于Radius服务器的监控系统及监控方法 |
CN105337811A (zh) * | 2015-12-03 | 2016-02-17 | 上海斐讯数据通信技术有限公司 | 基于Radius服务器的监控系统及监控方法 |
CN106060087A (zh) * | 2016-07-26 | 2016-10-26 | 中国南方电网有限责任公司信息中心 | 一种多因素主机安全准入控制系统和方法 |
CN107222433A (zh) * | 2017-04-18 | 2017-09-29 | 中国科学院信息工程研究所 | 一种基于sdn网络路径的访问控制方法及系统 |
CN107222433B (zh) * | 2017-04-18 | 2019-12-10 | 中国科学院信息工程研究所 | 一种基于sdn网络路径的访问控制方法及系统 |
CN107294952B (zh) * | 2017-05-18 | 2020-08-21 | 四川新网银行股份有限公司 | 一种实现零终端网络准入的方法 |
CN107294952A (zh) * | 2017-05-18 | 2017-10-24 | 四川新网银行股份有限公司 | 一种实现零终端网络准入的方法及系统 |
CN107276997A (zh) * | 2017-06-06 | 2017-10-20 | 云南电网有限责任公司信息中心 | 一种电力移动应用终端的智能接入方法、装置及系统 |
CN107346330A (zh) * | 2017-06-20 | 2017-11-14 | 小草数语(北京)科技有限公司 | 数据比对方法及装置 |
CN107920082A (zh) * | 2017-12-04 | 2018-04-17 | 山西卓至飞高电子科技有限公司 | 网络终端安全接入系统和方法 |
CN108133008A (zh) * | 2017-12-22 | 2018-06-08 | 平安养老保险股份有限公司 | 数据库中业务数据的处理方法、装置、设备和存储介质 |
CN108173834A (zh) * | 2017-12-25 | 2018-06-15 | 北京计算机技术及应用研究所 | 终端指纹技术识别“一卡通”网络终端 |
CN109246257B (zh) * | 2018-10-12 | 2021-10-08 | 平安科技(深圳)有限公司 | 流量调配方法、装置、计算机设备及存储介质 |
CN109246257A (zh) * | 2018-10-12 | 2019-01-18 | 平安科技(深圳)有限公司 | 流量调配方法、装置、计算机设备及存储介质 |
CN110311922A (zh) * | 2019-07-16 | 2019-10-08 | 山东超越数控电子股份有限公司 | 一种高并发策略决策系统、可信网络系统及接入方法 |
CN110311922B (zh) * | 2019-07-16 | 2021-11-09 | 超越科技股份有限公司 | 一种高并发策略决策系统、可信网络系统及接入方法 |
CN110677435A (zh) * | 2019-10-28 | 2020-01-10 | 上海云赛智联信息科技有限公司 | 监控信息安全控制系统及监控管理系统 |
CN111079110A (zh) * | 2019-11-27 | 2020-04-28 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于身份识别的电力系统网络安全防护方法、系统及装置 |
CN111092869A (zh) * | 2019-12-10 | 2020-05-01 | 中盈优创资讯科技有限公司 | 终端接入办公网络安全管控方法及认证服务器 |
CN111049853A (zh) * | 2019-12-24 | 2020-04-21 | 南通理工学院 | 一种基于计算机网络的安全认证系统 |
CN111181961A (zh) * | 2019-12-30 | 2020-05-19 | 杭州迪普科技股份有限公司 | 一种用户下线检测方法及装置 |
CN113271285A (zh) * | 2020-02-14 | 2021-08-17 | 北京沃东天骏信息技术有限公司 | 接入网络的方法和装置 |
CN113271285B (zh) * | 2020-02-14 | 2023-08-08 | 北京沃东天骏信息技术有限公司 | 接入网络的方法和装置 |
CN111698248A (zh) * | 2020-06-11 | 2020-09-22 | 杭州商湾网络科技有限公司 | 一种基于标签的网络授权管理方法及系统 |
CN112565257A (zh) * | 2020-12-03 | 2021-03-26 | 国网安徽省电力有限公司检修分公司 | 基于电网专用和边缘物联代理的安全进程管理系统 |
CN112887265A (zh) * | 2020-12-31 | 2021-06-01 | 浙江远望信息股份有限公司 | 一种针对nat下防止未注册终端伪造为合法通信的准入方法 |
CN112887265B (zh) * | 2020-12-31 | 2024-03-26 | 浙江远望信息股份有限公司 | 一种针对nat下防止未注册终端伪造为合法通信的准入方法 |
CN113762702A (zh) * | 2021-04-19 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 工作流部署方法、装置、计算机系统和可读存储介质 |
CN113472769A (zh) * | 2021-06-25 | 2021-10-01 | 苏州麦赫建筑装饰设计有限公司 | 一种办公网络管理方法及基于该方法的网络架构系统 |
CN113472778A (zh) * | 2021-06-30 | 2021-10-01 | 中国人民解放军国防科技大学 | 一种信息网络安全防护信任系统及方法 |
CN113765905B (zh) * | 2021-08-27 | 2023-04-18 | 深圳市风云实业有限公司 | 一种基于可信服务代理的数据通信方法 |
CN113765905A (zh) * | 2021-08-27 | 2021-12-07 | 深圳市风云实业有限公司 | 一种基于可信服务代理的数据通信方法 |
CN114095213B (zh) * | 2021-10-29 | 2023-05-16 | 中国电子科技集团公司第三十研究所 | 一种网络访问控制策略管理系统 |
CN114095213A (zh) * | 2021-10-29 | 2022-02-25 | 中国电子科技集团公司第三十研究所 | 一种网络访问控制策略管理系统 |
CN114599036A (zh) * | 2022-05-09 | 2022-06-07 | 北京乐开科技有限责任公司 | 一种多用户参与的nas文件安全操作方法及系统 |
CN115085980A (zh) * | 2022-05-31 | 2022-09-20 | 北京融讯智晖技术有限公司 | 一种基于融合视频云的网络准入管理系统 |
CN115085980B (zh) * | 2022-05-31 | 2024-02-27 | 北京融讯智晖技术有限公司 | 一种基于融合视频云的网络准入管理系统 |
CN115314262A (zh) * | 2022-07-20 | 2022-11-08 | 杭州熠芯科技有限公司 | 一种可信网卡的设计方法及其组网方法 |
CN115314262B (zh) * | 2022-07-20 | 2024-04-23 | 杭州熠芯科技有限公司 | 一种可信网卡的设计方法及其组网方法 |
CN116032591A (zh) * | 2022-12-23 | 2023-04-28 | 迈普通信技术股份有限公司 | 一种哑终端仿冒识别方法及系统 |
CN116032591B (zh) * | 2022-12-23 | 2024-07-19 | 迈普通信技术股份有限公司 | 一种哑终端仿冒识别方法及系统 |
CN117336101B (zh) * | 2023-11-29 | 2024-02-23 | 南京中孚信息技术有限公司 | 一种细粒度网络接入控制方法、系统、设备及介质 |
CN117336101A (zh) * | 2023-11-29 | 2024-01-02 | 南京中孚信息技术有限公司 | 一种细粒度网络接入控制方法、系统、设备及介质 |
CN117596237A (zh) * | 2024-01-19 | 2024-02-23 | 安擎计算机信息股份有限公司 | 一种基于移动终端的服务器远程控制系统和方法 |
CN117596237B (zh) * | 2024-01-19 | 2024-04-19 | 安擎计算机信息股份有限公司 | 一种基于移动终端的服务器远程控制系统和方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104796261A (zh) | 一种网络终端节点的安全接入管控系统及方法 | |
CN104166812B (zh) | 一种基于独立授权的数据库安全访问控制方法 | |
CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
CN109729180A (zh) | 全体系智慧社区平台 | |
KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
CN110233868A (zh) | 一种基于Fabric的边缘计算数据安全与隐私保护方法 | |
CN100486180C (zh) | 一种基于ieee 802.1x协议的局域网安全管理方法 | |
CN103269332B (zh) | 面向电力二次系统的安全防护系统 | |
CN109167754A (zh) | 一种网络应用层安全防护系统 | |
CN101425903A (zh) | 一种基于身份的可信网络架构 | |
CN106953855B (zh) | 一种对iec61850数字变电站goose报文的入侵检测的方法 | |
CN103179130A (zh) | 一种信息系统内网安全统一管理平台及管理方法 | |
KR102414334B1 (ko) | 자율협력주행 도로인프라 위협탐지 방법 및 장치 | |
Jiang et al. | BFLS: Blockchain and Federated Learning for sharing threat detection models as Cyber Threat Intelligence | |
CN107276983A (zh) | 一种基于dpi和云同步的流量安全控制方法及系统 | |
CN113114632B (zh) | 一种可插配式智能财务审核平台 | |
CN108337219A (zh) | 一种物联网防入侵的方法和存储介质 | |
CN109510841A (zh) | 一种控制装置及系统的安全隔离网关 | |
CN111314381A (zh) | 安全隔离网关 | |
CN109617875A (zh) | 一种终端通信网的安全接入平台及其实现方法 | |
CN104869111A (zh) | 一种终端可信接入认证系统及方法 | |
CN204697072U (zh) | 一种网络终端节点的安全接入管控系统 | |
CN108712369B (zh) | 一种工业控制网多属性约束访问控制决策系统和方法 | |
CN108390857B (zh) | 一种高敏感网络向低敏感网络导出文件的方法和装置 | |
Suo et al. | Research on the application of honeypot technology in intrusion detection system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
EXSB | Decision made by sipo to initiate substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150722 |
|
WD01 | Invention patent application deemed withdrawn after publication |