CN105007283B - 一种网络安全防护方法 - Google Patents

一种网络安全防护方法 Download PDF

Info

Publication number
CN105007283B
CN105007283B CN201510493270.5A CN201510493270A CN105007283B CN 105007283 B CN105007283 B CN 105007283B CN 201510493270 A CN201510493270 A CN 201510493270A CN 105007283 B CN105007283 B CN 105007283B
Authority
CN
China
Prior art keywords
network
unit
lan
rule
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201510493270.5A
Other languages
English (en)
Other versions
CN105007283A (zh
Inventor
陈虹宇
王峻岭
罗阳
苗宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SICHUAN SHENHU TECHNOLOGY Co Ltd
Original Assignee
SICHUAN SHENHU TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SICHUAN SHENHU TECHNOLOGY Co Ltd filed Critical SICHUAN SHENHU TECHNOLOGY Co Ltd
Priority to CN201510493270.5A priority Critical patent/CN105007283B/zh
Publication of CN105007283A publication Critical patent/CN105007283A/zh
Application granted granted Critical
Publication of CN105007283B publication Critical patent/CN105007283B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种网络安全防护方法,该方法包括:客户端在访问网络时,服务端和客户端进行双方完整性检验,将整个网络划分为多个逻辑局域网,实现对不同可信级别的用户设备进行分类管理和分类控制。本发明提出了一种网络安全防护方法,在用户端系统没有安装任何软件时,也可以提供多种防护,适合在异构网络部署。

Description

一种网络安全防护方法
技术领域
本发明涉及网络安全,特别涉及一种网络安全防护方法。
背景技术
在当今网络信息系统高度发达的时代,网络系统中的访问单元多种多样,对网络服务系统的管理提出了更高的要求,使访问控制变得更加复杂。当前系统一般都是基于服务器是可信情况下,仅解决客户端的认证访问问题,它不会对服务器进行验证,也缺乏对客户端的完整性进行检验。在网络连接建立以前,服务器端对客户端进行完整性检查,以确保其可信度。服务器同样有可能在不知情的情况下遭受木马攻击,该木马可能冒充企业受理业务,给用户造成严重损失,因此,也应该考虑服务器端的不可信问题。
发明内容
为解决上述现有技术所存在的问题,本发明提出了一种网络安全防护方法,包括:
客户端在访问网络时,服务端和客户端进行双方完整性检验,将整个网络划分为多个逻辑局域网,实现对不同可信级别的用户设备进行分类管理和分类控制。
优选地,所述服务端包括安全监测单元、安全防护单元、数据服务器、用户管理单元、规则执行单元、网络访问单元;网络访问单元访问网络,需要获得用户管理单元授权,合法用户进入后安全监测单元用于对用户进行系统扫描,扫描成功的用户才能注册成功,安全防护单元通过规则执行单元授权使用网络访问;网络访问单元用于建立网络连接,进行网络访问申请,网络访问单元包括:网络访问申请者、网络连接客户端和完整性规则收集器三个功能组件,访问申请者与要访问的网络进行对话,有多个网络访问申请者与不同网络连接;网络连接客户端整合来自多个规则收集器的完整性度量信息,将本机平台的状况报告和来自规则收集器的规则进行协调;完整性规则收集器主要是度量网络访问单元的完整性安全问题,所述问题包括网络访问单元上的病毒库、个人防火墙状态、软件版本信息,用户根据提供的产品配置完整性规则;规则执行单元根据规则制定单元的决定来确定是否授权访问网络,执行规则制定单元的规则,控制访问网络,实现设备访问或防护操作;规则制定单元实现网络访问认证、授权、网络连接服务器和完整性规则审核,包括网络访问授权单元和完整性规则审核单元;网络访问授权单元是决定是否允许网络访问单元访问的部件,根据网络连接服务器建议来确定网络访问单元的完整性度量是否符合规则制定单元的安全规则;网络连接服务器用于管理完整性规则审核单元和完整性规则收集器之间的信息流,并聚合来自多个规则审核单元的行为建议,把这些行为建议整合起来成为网络连接服务器行为建议,传给网络访问授权单元;完整性规则审核单元根据接收到的规则收集器的度量信息或其它数据,来验证网络访问单元某一特定方面的完整性。
优选地,所述将整个网络划分为多个逻辑局域网,进一步包括:
将局域网划分为MAC监测局域网、注册局域网、防护局域网、一般局域网和可信局域网;其中MAC监测局域网没有任何服务资源,用于设备的初始监测,所有的设备初始状态都在该局域网中;注册局域网用于放入未注册的设备,该局域网中设备未访问资源系统,不能访问系统资源,设备只能访问注册服务器;防护局域网用于存放违例的终端,服务器可以对其采取补救措施,包括打系统补丁,病毒库升级;一般局域网通过认证注册和系统服务器主动安全监测的设备,该局域网中的设备获得一部分访问系统服务资源的授权;可信局域网主要针对安装有可信终端模块的设备,与服务器进行单向或双向安全性和完整性认证;局域网控制程序启动后读取路由器配置参数,并进行相应设置,通过接收各功能服务器的指令,对路由器进行控制来完成局域网的防护。
优选地,所述对路由器进行控制来完成局域网的防护,进一步包括:
(1)当一个主机连接到路由器端口,路由器发送一个“建立”信息给系统主机,系统主机立即把这个端口放入MAC监测局域网,当路由器获得该MAC地址,局域网控制检查该主机在数据库中的状态,并把这个端口放到相应的局域网中,当某个设备掉电或断开时,路由器向系统主机发送一个“断开”信息,系统主机就把这个端口放到MAC监测局域网;
(2)处于注册局域网中的主机,访问认证服务器进行认证注册。
(3)一般主机认证通过后,系统安全服务器根据预先设置的规则对其进行扫描,监测其主机安全性和完整性并进行评估;评估未通过的设备转入防护局域网,已通过的设备转入一般局域网,获得相应的授权;
(4)安装有可信终端模块的主机认证请求送往认证服务器进行认证,认证服务器对其进行用户认证、终端完整性验证,根据相应的规则进行授权,对符合访问规则的终端,将其访问可信局域网;对通过用户认证而有完整性缺陷的终端,根据访问规则拒绝其访问网络或进行隔离。
本发明相比现有技术,具有以下优点:
本发明提出了一种网络安全防护方法,在用户端系统没有安装任何软件时,也可以提供多种防护,适合在异构网络部署。
附图说明
图1是根据本发明实施例的网络安全防护方法的流程图。
具体实施方式
下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
本发明的一方面提供了一种网络安全防护方法。图1是根据本发明实施例的网络安全防护方法流程图。
本发明以网络安全防护系统为基础,融入了基于可靠网络连接的可信访问技术,提出了完整的安全防护方案,实现用户认证和集中式的系统评估和检验,完成系统的分级分类访问控制管理。客户端在访问网络时,系统服务器和客户端双方要进行完整性检验,阻止非法主机访问,也能防止可信主机访问不可信网络。
安全防护系统服务端包括安全监测单元、安全防护单元、数据服务器、用户管理单元、规则执行单元、网络访问单元;网络访问单元访问网络,需要获得用户管理单元授权,合法用户进入后安全监测单元用于对用户进行系统扫描,扫描成功的用户才能注册成功,安全防护单元通过规则执行单元授权使用网络访问。
网络访问单元是主要用于建立网络连接的组件,进行网络访问申请,其上也可能包括网络连接客户端和端点设备完整性规则收集的功能。网络访问单元包括:网络访问申请者、网络连接客户端和完整性规则收集器三个功能组件。网络访问申请者、网络客户端、规则收集器是运行在网络访问单元上的一个软件部件;访问申请者与要访问的网络进行对话,可以有多个网络访问申请者与不同网络连接;网络连接客户端整合来自多个规则收集器的完整性度量信息,将本机平台的状况报告和来自规则收集器的规则进行协调;完整性规则收集器主要是度量网络访问单元的完整性安全问题,这些问题包括网络访问单元上的病毒库、个人防火墙状态、软件版本等信息。用户可以根据提供的产品配置复杂的完整性规则。
规则执行单元根据规则制定单元的决定来确定是否授权访问网络,执行规则制定单元的规则,控制访问网络,实现设备访问或防护等操作。规则制定单元实现网络访问认证、授权、网络连接服务器和完整性规则审核功能。规则制定单元组件包括网络访问授权单元、网络连接服务器和完整性规则审核单元三个功能组件。网络访问授权单元是决定是否允许网络访问单元访问的部件。它根据网络连接服务器建议来确定网络访问单元的完整性度量是否符合规则制定单元的安全规则;网络连接服务器用于管理完整性规则审核单元和完整性规则收集器之间的信息流,并聚合来自多个规则审核单元的行为建议,把这些行为建议整合起来成为网络连接服务器行为建议,传给网络访问授权单元;完整性规则审核单元根据接收到的规则收集器的度量信息或其它数据,来验证网络访问单元某一特定方面的完整性。
网络监测点完成网络设备监测、完整性收集等功能。数据仓库用于存储规则、授权、认证信息等系统数据。用户管理域主要提供系统管理接口,为用户管理单元提供有效的手段。
系统根据资源分配和管理要求将整个网络划分为多个逻辑局域网,以实现对不同可信级别的用户设备进行分类管理。将整个网络划分为可信局域网、一般局域网、防护局域网、注册局域网,MAC监测局域网,通过将主机终端动态设置不同的局域网来实现对访问的终端设备分类控制。
MAC监测局域网没有任何服务资源,用于设备的初始监测,所有的设备初始状态都在该局域网中。
注册局域网用于放入未注册的设备,该局域网中设备未访问资源系统,不能访问系统资源,提供DHCP服务,设备只能访问注册服务器。
防护局域网用于存放违例的终端,服务器可以对其采取一些补救措施,如打系统补丁,病毒库升级等。
一般局域网通过认证注册和系统服务器主动安全监测的设备,该局域网中的设备获得一部分访问系统服务资源的授权。
可信局域网主要针对安全性和完整性要求较高的设备,设备中需要安装有可信终端模块,需要跟服务器进行单向或双向安全性和完整性认证。
局域网控制程序启动后读取路由器配置参数,并进行相应设置,通过接收各功能服务器的指令,对路由器进行控制来完成局域网防护。进一步包括:
(1)当一个主机连接到路由器端口,路由器发送一个“建立”信息给系统主机,系统主机立即把这个端口放入MAC监测局域网,当路由器获得该MAC地址,局域网控制检查该主机在数据库中的状态,并把这个端口放到相应的局域网中。当某个设备掉电或断开时,路由器向系统主机发送一个“断开”信息,系统主机就把这个端口放到MAC监测局域网。
(2)处于注册局域网中的主机,访问认证服务器进行认证注册。
(3)一般主机认证通过后,系统安全服务器根据预先设置的规则对其进行扫描,监测其主机安全性和完整性并进行评估;评估未通过的设备转入防护局域网,已通过的转入一般局域网,获得相应的授权。
(4)安装有可信终端模块的主机认证请求送往认证服务器进行认证,认证服务器对其进行用户认证、终端完整性验证,根据相应的规则,对其作相应的授权,对符合访问规则的终端,将其访问可信局域网;对通过用户认证而有完整性缺陷的,根据访问规则拒绝其访问网络或进行隔离。
综上所述,本发明提出了一种网络安全防护方法,在用户端系统没有安装任何软件时,也可以提供多种防护,适合在异构网络部署。
显然,本领域的技术人员应该理解,上述的本发明的各模块或各步骤可以用通用的计算系统来实现,它们可以集中在单个的计算系统上,或者分布在多个计算系统所组成的网络上,可选地,它们可以用计算系统可执行的程序代码来实现,从而,可以将它们存储在存储系统中由计算系统来执行。这样,本发明不限制于任何特定的硬件和软件结合。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

Claims (3)

1.一种网络安全防护方法,其特征在于,包括:
客户端在访问网络时,服务端和客户端进行双方完整性检验,将整个网络划分为多个逻辑局域网,实现对不同可信级别的用户设备进行分类管理和分类控制;
所述服务端包括安全监测单元、安全防护单元、数据服务器、用户管理单元、规则执行单元、网络访问单元;网络访问单元访问网络,需要获得用户管理单元授权,合法用户进入后安全监测单元用于对用户进行系统扫描,扫描成功的用户才能注册成功,安全防护单元通过规则执行单元授权使用网络访问;网络访问单元用于建立网络连接,进行网络访问申请,网络访问单元包括:网络访问申请者、网络连接客户端和完整性规则收集器三个功能组件,访问申请者与要访问的网络进行对话,有多个网络访问申请者与不同网络连接;网络连接客户端整合来自多个规则收集器的完整性度量信息,将本机平台的状况报告和来自规则收集器的规则进行协调;完整性规则收集器度量网络访问单元的完整性安全问题,所述问题包括网络访问单元上的病毒库、个人防火墙状态、软件版本信息,用户根据提供的产品配置完整性规则;规则执行单元根据规则制定单元的决定来确定是否授权访问网络,执行规则制定单元的规则,控制访问网络,实现设备访问或防护操作;规则制定单元实现网络访问认证、授权、网络连接服务器和完整性规则审核,包括网络访问授权单元和完整性规则审核单元;网络访问授权单元是决定是否允许网络访问单元访问的部件,根据网络连接服务器建议来确定网络访问单元的完整性度量是否符合规则制定单元的安全规则;网络连接服务器用于管理完整性规则审核单元和完整性规则收集器之间的信息流,并聚合来自多个规则审核单元的行为建议,把这些行为建议整合起来成为网络连接服务器行为建议,传给网络访问授权单元;完整性规则审核单元根据接收到的规则收集器的度量信息来验证网络访问单元某一特定方面的完整性。
2.根据权利要求1所述的方法,其特征在于,所述将整个网络划分为多个逻辑局域网,进一步包括:
将局域网划分为MAC监测局域网、注册局域网、防护局域网、一般局域网和可信局域网;其中MAC监测局域网没有任何服务资源,用于设备的初始监测,所有的设备初始状态都在该局域网中;注册局域网用于放入未注册的设备,该局域网中设备未访问资源系统,不能访问系统资源,设备只能访问认证服务器;防护局域网用于存放违例的终端,服务器可以对其采取补救措施,包括打系统补丁,病毒库升级;一般局域网通过认证注册和系统服务器主动安全监测的设备,该局域网中的设备获得一部分访问系统服务资源的授权;可信局域网针对安装有可信终端模块的设备,与服务器进行单向或双向安全性和完整性认证;局域网控制程序启动后读取路由器配置参数,并进行相应设置,通过接收各功能服务器的指令,对路由器进行控制来完成局域网的防护。
3.根据权利要求2所述的方法,其特征在于,所述对路由器进行控制来完成局域网的防护,进一步包括:
(1)当一个主机连接到路由器端口,路由器发送一个“建立”信息给系统主机,系统主机立即把这个端口放入MAC监测局域网,当路由器获得MAC地址,局域网控制检查该主机在数据库中的状态,并把这个端口放到相应的局域网中,当某个设备掉电或断开时,路由器向系统主机发送一个“断开”信息,系统主机就把这个端口放到MAC监测局域网;
(2)处于注册局域网中的主机,访问认证服务器进行认证注册;
(3)一般主机认证通过后,系统安全服务器根据预先设置的规则对其进行扫描,监测其主机安全性和完整性并进行评估;评估未通过的设备转入防护局域网,已通过的设备转入一般局域网,获得相应的授权;
(4)安装有可信终端模块的主机认证请求送往认证服务器进行认证,认证服务器对其进行用户认证、终端完整性验证,根据相应的规则进行授权,对符合访问规则的终端,将其访问可信局域网;对通过用户认证而有完整性缺陷的终端,根据访问规则拒绝其访问网络或进行隔离。
CN201510493270.5A 2015-08-12 2015-08-12 一种网络安全防护方法 Expired - Fee Related CN105007283B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510493270.5A CN105007283B (zh) 2015-08-12 2015-08-12 一种网络安全防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510493270.5A CN105007283B (zh) 2015-08-12 2015-08-12 一种网络安全防护方法

Publications (2)

Publication Number Publication Date
CN105007283A CN105007283A (zh) 2015-10-28
CN105007283B true CN105007283B (zh) 2018-01-30

Family

ID=54379804

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510493270.5A Expired - Fee Related CN105007283B (zh) 2015-08-12 2015-08-12 一种网络安全防护方法

Country Status (1)

Country Link
CN (1) CN105007283B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1885788A (zh) * 2005-06-22 2006-12-27 杭州华为三康技术有限公司 网络安全防护方法及系统
CN101562558A (zh) * 2008-04-15 2009-10-21 华为技术有限公司 一种终端等级划分的方法、系统和设备
US8230220B2 (en) * 2007-09-14 2012-07-24 China Iwncomm Co., Ltd. Method for realizing trusted network management
CN102724175A (zh) * 2011-08-26 2012-10-10 北京天地互连信息技术有限公司 泛在绿色社区控制网络的远程通信安全管理架构与方法
CN104618395A (zh) * 2015-03-04 2015-05-13 浪潮集团有限公司 一种基于可信网络连接的动态跨域访问控制系统及方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1885788A (zh) * 2005-06-22 2006-12-27 杭州华为三康技术有限公司 网络安全防护方法及系统
US8230220B2 (en) * 2007-09-14 2012-07-24 China Iwncomm Co., Ltd. Method for realizing trusted network management
CN101562558A (zh) * 2008-04-15 2009-10-21 华为技术有限公司 一种终端等级划分的方法、系统和设备
CN102724175A (zh) * 2011-08-26 2012-10-10 北京天地互连信息技术有限公司 泛在绿色社区控制网络的远程通信安全管理架构与方法
CN104618395A (zh) * 2015-03-04 2015-05-13 浪潮集团有限公司 一种基于可信网络连接的动态跨域访问控制系统及方法

Also Published As

Publication number Publication date
CN105007283A (zh) 2015-10-28

Similar Documents

Publication Publication Date Title
US7774824B2 (en) Multifactor device authentication
CN110213215B (zh) 一种资源访问方法、装置、终端和存储介质
US8713672B2 (en) Method and apparatus for token-based context caching
CN101136928B (zh) 一种可信网络接入控制系统
US8219496B2 (en) Method of and apparatus for ascertaining the status of a data processing environment
CN111917714B (zh) 一种零信任架构系统及其使用方法
US20060005254A1 (en) Integration of policy compliance enforcement and device authentication
US9253197B2 (en) Method and apparatus for token-based real-time risk updating
KR20130054358A (ko) 트러스티드 연결 아키텍처에 적용되는 플랫폼 인증 폴리시 관리 방법 및 장치
WO2013025453A2 (en) Method and apparatus for token-based re-authentication
US8458781B2 (en) Method and apparatus for token-based attribute aggregation
US20130047240A1 (en) Method and Apparatus for Token-Based Container Chaining
TW201525755A (zh) 合法性驗證方法、中間伺服器及電腦可讀取儲存介質
US8474056B2 (en) Method and apparatus for token-based virtual machine recycling
CN101562558B (zh) 一种终端等级划分的方法、系统和设备
US8726361B2 (en) Method and apparatus for token-based attribute abstraction
CN110061987A (zh) 一种基于角色和终端可信性的接入访问控制方法及装置
CN102740296A (zh) 一种移动终端可信网络接入方法和系统
US9361443B2 (en) Method and apparatus for token-based combining of authentication methods
CN105391705A (zh) 一种对应用服务进行认证的方法及装置
CN106209905A (zh) 一种网络安全管理方法和装置
CN103780395B (zh) 网络接入证明双向度量的方法和系统
KR20100099773A (ko) 로그인 처리 시스템 및 방법
CN103384249B (zh) 网络接入认证方法、装置及系统、认证服务器
US8752143B2 (en) Method and apparatus for token-based reassignment of privileges

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20180130

Termination date: 20210812

CF01 Termination of patent right due to non-payment of annual fee