CN111416824A - 一种网络接入认证控制系统 - Google Patents
一种网络接入认证控制系统 Download PDFInfo
- Publication number
- CN111416824A CN111416824A CN202010206859.3A CN202010206859A CN111416824A CN 111416824 A CN111416824 A CN 111416824A CN 202010206859 A CN202010206859 A CN 202010206859A CN 111416824 A CN111416824 A CN 111416824A
- Authority
- CN
- China
- Prior art keywords
- authentication
- access
- terminal
- module
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种网络接入认证控制系统,包括:接入认证控制器、安装在终端上的认证客户端、网络接入模块和接入策略库模块;网络接入模块开始监听终端发送出的连接请求事件,对连接请求事件进行判断,如果符合接入策略库模块的合法规则,则向认证客户端通知该事件;认证客户端用于在收到网络接入模块的通知后,启动接入认证流程,由接入认证控制器对终端进行认证,同时终端也对接入认证控制器进行认证,当两个认证同时通过后,建立相应的网络访问通道,允许终端通过该接入认证控制器接入网络。本发明采用数字证书对终端和接入认证控制器进行身份认证;终端和接入认证控制器采用双向认证机制,保证安全的终端接入安全的网络。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种网络接入认证控制系统。
背景技术
近年来网络应用飞速发展,在某些应用场景下需要对接入网络的终端进行接入认证控制,只有通过认证的终端可以接入网络。常见的网络接入认证控制方法包括“基 于802.1x协议的接入认证控制方法”和“基于mac地址的接入认证控制方法”。
图1描述了基于802.1x协议的接入认证控制系统,该系统使用802.1x协议对终 端进行认证和接入控制。该系统包括安装在终端的“认证客户端”软件、“802.1x接 入认证控制器”和“认证服务器”。用户在终端打开“认证客户端”软件,输入用户 名和密码,便可以可以开始终端的认证过程了。“认证客户端”软件和“802.1x接入 认证控制器”采用EAPOL(EAPover LAN。802.1x协议规定的报文格式。)报文相互 沟通,而“802.1x接入认证控制器”作为终端的代理和“认证服务器”进行沟通(采 用EAP中继或EAP终结方式)。合法用户信息存储在“认证服务器”中。一旦认证通 过,则“802.1x接入认证控制器”允许该终端接入网络。
“基于802.1x协议的接入认证控制方法”提供两种用户访问控制方法,分别为“基于端口的用户访问控制”和“基于mac地址的用户访问控制”。“基于端口的用户访 问控制”以端口为单位进行接入控制,一旦“802.1x接入认证控制器”的某个端口下 的某个终端通过认证,则该端口下的所有终端均可接入网络;“基于mac地址的用户 访问控制”以终端的mac地址为单位进行接入控制,802.1x接入认证控制器根据报文 的mac地址决定是否允许该报文通过。由于“基于mac地址的用户访问控制”安全性 较高,所以更常用。
图2描述了基于mac地址的接入认证控制系统,该系统使用“基于mac地址的接 入认证控制方法”对终端进行接入认证和接入控制。“基于mac地址的接入认证控制 方法”比“基于802.1x协议的接入认证控制方法”更简单,不需要在终端安装软件。 “接入认证控制器”从“认证服务器”获取合法的终端mac地址,拥有合法mac地址 的终端发出的报文,以及这些报文所属会话的回程报文都被允许通过。
“基于802.1x协议的接入认证控制方法”和“基于mac地址的接入认证控制方法”都存在安全隐患。本发明提出的网络接入认证控制系统针对这些隐患做出了改进。
网络基础设施接入控制方式一般采用“基于802.1x协议的接入认证控制方法”和“基于mac地址的接入认证控制方法”。从安全性的角度,二者存在如下问题。
1、接入认证控制器用终端的mac地址标识终端。如果有其他非法终端和已认证终端具有相同mac地址,则该非法终端也可非法接入网络。
2、只是接入控制器对终端进行认证,终端不对接入控制器进行认证。这样,终端可能被接入不安全的网络,存在安全隐患。
3、一旦终端认证成功,终端上的任何应用均可访问网络,对访问的目的地没有任何限制。
4、一旦终端认证成功,网络和已认证终端直接连通,网络上的设备可以直接访 问已认证终端,使之完全暴露在网络攻击的威胁之下,存在安全隐患。
“基于802.1x协议的接入认证控制方法”特有的问题:
终端需要安装“认证客户端”软件,该软件和接入控制器交互完成认证。但“认 证客户端”软件无法和应用程序交互,无法按照应用程序的需要动态接入网络和断开 网络。而往往在终端开机时进行自动认证,即使终端的应用软件没有联网需求,已认 证终端也始终暴露在网络攻击的威胁之下,存在安全隐患;另外,某些“认证客户端” 软件不能自动认证,只能手工执行,使用起来十分不便。
“基于mac地址的接入认证控制方法”特有的问题:
终端不需安装“认证客户端”软件,不需要输入用户名和密码,接入控制器只根 据报文的mac地址判断是否允许该报文通过。非法终端通过修改自己的mac地址便可 以非法访问网络,存在较大安全隐患。
发明内容
本发明的目的旨在至少解决所述技术缺陷之一。
为此,本发明的目的在于提出一种网络接入认证控制系统。
为了实现上述目的,本发明的实施例提供一种网络接入认证控制系统,包括:
接入认证控制器、安装在终端上的认证客户端、网络接入模块和接入策略库模块,其 中,所述接入认证控制器分别与所述终端和网络基础设施通信连接;
所述接入认证控制器包括:网桥模块、认证模块和接入控制模块,其中,
所述网桥模块用于在终端和网络基础设施之间进行数据转发,所述网桥模块配置的IP地址与所述终端位于同一网段;
所述认证模块在所述网桥模块的指定TCP端口上进行监听,提供认证服务;
所述接入控制模块用于对放行的协议报文进行控制;
所述接入策略库模块用于定义允许网络接入的合法规则;
所述网络接入模块用于在终端启动后,开始监听所述终端发送出的连接请求事件,对 所述连接请求事件进行判断,如果符合所述接入策略库模块的合法规则,则向所述认证客 户端通知该事件;
所述认证客户端用于在收到网络接入模块的通知后,启动接入认证流程,与所述认证 模块进行认证协议的交互,
由接入认证控制器对终端进行认证,同时所述终端也对所述接入认证控制器进行认证, 当上述两个认证同时通过后,由网络接入模块和所述接入控制模块分别建立相应的网络访 问通道,允许所述终端通过该接入认证控制器接入网络。
进一步,所述网桥模块通过LAN网口与所述终端连接,通过WAN网口与所述网络基础 设施连接。
进一步,所述网络接入模块还用于在发现存在已建立的网络访问通道在预设时间内没 有报文通过时,则将该事件上报给所述认证客户端模块,所述网络接入模块响应所述认证 客户端模块的指令,创建或关闭网络访问通道。
进一步,在所述终端启动后,通过DHCP协议获得IP地址、子网掩码和默认网关,由所述网络接入模块监听所述终端发送出的网络报文,并通过所述接入控制模块放行DHCP协议、ARP协议和认证协议报文,丢弃其他报文。
进一步,所述网络接入模块箱所述认证客户端通知终端发送连接请求事件时,通知内 容包括终端网口的mac地址、终端网口IP地址、目的IP地址、协议、源端口号、目的端口号。
进一步,所述认证客户端和认证模块之间交互认证协议,包括:
所述认证客户端向所述认证模块发送消息s1;
所述认证模块收到消息s1后,检查终端证书的有效性;如果有效,则生成随机数r1_acc 并构造s2消息发送给所述认证客户端;
所述认证客户端收到s2消息后,检查所述认证模块的数字证书的有效性;如果有效, 则使用其私钥对s2消息中的密文c1进行解密,得到r2_acc。终端生成随机数r1_client后,构造s3消息发送给所述接入认证控制器;
所述认证模块收到s3消息后,使用其私钥对s3消息中的密文c1进行解密,得到r3_acc, 如果r3_acc和r1_acc相同,则终端的身份得到认证;使用其私钥对s3消息中的密文c2进行解密,得到r2_client;
所述认证模块构造s4消息发送给认证客户端,认证客户端收到s4消息后,使用其私 钥对s4消息中的密文c1进行解密,得到r3_client,如果r3_client和r1_client相同,则所述认证模块的身份得到认证,所述认证客户端向所述认证模块发送认证成功消息s5;
所述认证模块收到s5消息后,通知接入控制模块创建相应的网络访问通道。
进一步,所述消息s1包括终端的数字证书、目的IP地址、目的端口号、协议、源ip址、源端口号、终端的mac地址;
所述s2消息包括:所述接入认证控制器的数字证书cert_acc,和使用终端数字证书 中的公钥对r1_acc加密后的密文c1;
所述s3消息包括使用“接入认证控制器”证书中的公钥对r2_acc加密后的密文c1,和使用“接入认证控制器”证书中的公钥对r1_client加密后的密文c2;
所述s4消息包括使用终端证书中的公钥对r2_client加密后的密文c1。
进一步,当所述网络接入模块在预设时间内没有检测到所述网络访问通道有流量通过 时,则关闭该网络访问通道。
进一步,所述终端向所述接入认证控制器发送k1消息,其中,所述k1消息内容包括使用接入认证控制器证书中的公钥对r1_client和r2_acc按位异或后的结果进行加密后的密文和表示要关闭的网络通道的dip、dport、proto、sip、sport、mac;
所述接入认证控制器收到k1消息后,使用其私钥解密c1,得到r4,如果r4和r2_client 和r1_acc按位异或的结果相同,则终端身份得到认证;所述接入认证控制器向终端发送成 功消息k2;
所述认证模块收到k1消息并确认终端身份后,通知所述接入控制模块关闭dip、dport、 proto、sip、sport、mac指定的网络访问通道;所述网络接入模块收到k2消息后,关闭 dip、dport、proto、sip、sport、mac指定的网络访问通道。
根据本发明实施例的网络接入认证控制系统,采用数字证书对终端和接入认证控制器 进行身份认证;终端和接入认证控制器采用双向认证机制,保证安全的终端接入安全的网 络;以网络报文的目的ip地址+源ip地址+协议+目的端口号+源端口号+报文的mac地址作 为接入控制的单位,细化了接入控制的粒度;动态的“网络访问通道”的创建和关闭机制。
本发明提出的网络接入认证控制系统具有更高的安全性。具体体现在,
1、根据终端收发的网络报文的mac地址、源目的IP地址、协议、端口号来决定是否放行该报文,这使得通过使用仿冒身份的方式非法使用网络变得不可能。因为终端上的仿冒者应用只能将其数据发送给被允许的服务器,这显然使仿冒者应用无法达到其非法传输数据的目的;即使仿冒者终端将mac地址改为已通过认证终端的mac地址,也无法冒充合 法终端,因为接入认证控制系统还会对网络报文的源目的IP地址、协议、端口号进行检查。
2、除了终端和“接入认证控制器”之间进行双向的身份认证外,还根据终端的“接入 策略库”合法规则对要访问的网络资源进行评估,只有通过评估的网络访问才被允许。“基 于802.1x协议的接入认证控制方法”只以终端提供的用户名和密码是否正确作为可否访问 网络的依据,而不关注终端访问的网络资源是否合法。当接入认证通过后,终端上的应用 可以随意访问网络资源,网络存在被滥用的风险,如木马程序非法向其服务器传送终端的 机密信息、广告软件非法从其服务器下载最新的广告信息等。“基于mac地址的接入认证控 制方法”也存在类似的问题。
3、对终端上的哪个应用可以使用网络也做了严格的限制。当终端的某一个应用访问特 定网路资源的请求被接入认证控制系统允许后,会为其动态建立一个“网络访问通道”,该 通道是这个应用访问这个特定网络资源的专用通道,该终端其他应用或其他终端的应用均 无法使用这个通道访问网络资源。对于“基于802.1x协议的接入认证控制方法”和“基于 mac地址的接入认证控制方法”,只要终端通过接入认证,则终端上的所有应用都可以访问 网络。
4、采用终端和“接入认证控制器”双向认证机制,“接入认证控制器”对终端认证的同时,终端也对“接入认证控制器”进行认证。在高安全性等级的应用场景中,可避免终 端接入非法网络的问题。“基于802.1x协议的接入认证控制方法”和“基于mac地址的接 入认证控制方法”,只是“接入认证控制器”对终端进行单向认证,不具备双向认证功能。
5、在终端部署“网络接入”模块,实时检查应用发送的网络报文,根据网络报文决定 是否启动相应的接入认证流程;当网络接入认证控制系统为某应用访问特定网络资源已经 建立“网络访问通道”后,“网络接入”模块检查通过该通道的网络报文,一旦发现在特定 时间内该“网络访问通道”没有报文通过,则启动该“网络访问通道”的关闭流程,防止该通道被滥用。上述“网络访问通道”的建立和关闭,都是自动的,可以使网络适时有度 地打开和及时地关闭。“基于802.1x协议的接入认证控制方法”和“基于mac地址的接入 认证控制方法”无法动态的打开和关闭网络,缺乏灵活性。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显 和容易理解,其中:
图1为基于802.1x协议的接入认证控制系统的示意图;
图2为基于mac地址的接入认证控制系统的示意图;
图3为根据本发明实施例的网络接入认证控制系统框图;
图4为根据本发明实施例的认证协议流程的流程图;
图5为根据本发明实施例的关闭“网络访问通道”的流程图。
具体实施方式
下面详细描述本发明的实施例,实施例的示例在附图中示出,其中自始至终相同或类 似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的 实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
本发明提出一种更安全的网络接入认证控制系统,只允许终端访问合法的网络资源; 该终端上的非法软件和其他终端均无法利用已通过认证的合法应用软件建立的网络访问通 道访问网络;网络中设备也无法利用已通过认证的合法应用软件建立的网络访问通道非法 地访问终端资源;接入认证控制器对终端认证的同时,终端也对接入认证控制器进行认证, 两个认证必须同时通过,该终端才能通过该接入认证控制器接入网络;根据终端应用软件 的需求,动态地建立或关闭网络访问通道。
如图3所示,本发明实施例的网络接入认证控制系统,包括:接入认证控制器200、安 装在终端100上的认证客户端120、网络接入模块130和接入策略库模块110,其中,接入认证控制器200分别与终端100和网络基础设施300通信连接。
接入认证控制器200包括:网桥模块220、认证模块210和接入控制模块230。
网桥模块220用于在终端100和网络基础设施之间进行数据转发,网桥模块220配置 的IP地址与终端100位于同一网段。
在本发明的实施例中,网桥模块220通过LAN网口与终端100连接,通过WAN网口与网络基础设施连接,在两个网口之间进行二层转发(基于目的mac地址的转发)。
认证模块210在网桥模块220的指定TCP端口上进行监听,提供认证服务。接入控制模块230用于对放行的协议报文进行控制。
接入策略库模块110用于定义允许网络接入的合法规则。其中,该接入策略模块可定 义多个合法规则,每个合法规则规定了终端100应用程序可以访问什么样的网络资源。只 有满足合法规则的报文才能够被允许通过。
网络接入模块130用于在终端100启动后,开始监听终端100发送出的连接请求事件, 对连接请求事件进行判断,如果符合接入策略库模块110的合法规则,则向认证客户端120 通知该事件。在本发明的实施例中,网络接入模块130向认证客户端120通知终端100发送连接请求事件时,通知内容包括终端100网口的mac地址、终端100网口IP地址、目的 IP地址、协议、源端口号、目的端口号。
此外,网络接入模块130还用于在发现存在已建立的网络访问通道在预设时间内没有 报文通过时,则将该事件上报给认证客户端120模块,网络接入模块130响应认证客户端 120模块的指令,创建或关闭网络访问通道。
即,终端100上的网络接入模块130对终端100发出的网络报文进行检查,当发现存在符合接入策略库中定义的合法规则的报文时,或已建立的网络访问通道在特定时间(可以配置该时间)内没有报文通过时,将此二类事件上报给认证客户端120模块。网络接入 模块130随时响应认证客户端120模块的指令,创建或关闭网络访问通道(即对特定的流 量放行或阻止)。
认证客户端120用于在收到网络接入模块130的通知后,启动接入认证流程,与认证 模块210进行认证协议的交互,由接入认证控制器200对终端100进行认证,同时终端100也对接入认证控制器200进行认证,当上述两个认证同时通过后,由网络接入模块130和 接入控制模块230分别建立相应的网络访问通道,允许终端100通过该接入认证控制器200 接入网络。
终端100上的认证客户端120模块接收网络认证模块210上报的事件,根据上报的事 件类型执行相应的接入认证流程;根据接入认证流程的结果,给网络接入模块130下发创 建或关闭网络访问通道的指令。接入认证控制器200的认证模块210和终端100的认证客户端120模块交互,完成接入认证流程;根据接入认证流程的结果,给接入控制模块230 下发创建或关闭网络访问通道的指令。接入认证控制器200的接入控制模块230,根据认 证结果,创建或关闭网络访问通道。
下面对本发明的网络接入认证控制系统的认证流程进行说明:
1、系统初始化
接入认证控制器200启动后,其LAN网口和WAN网口挂在网桥模块220之下,二接口之间进行二层转发(基于目的mac地址的转发)。为网桥模块220配置静态的IP地址、子 网掩码和默认网关,其IP地址应和终端100同一个网段。认证模块210在网桥模块220的 IP地址上的特定tcp端口(可配置)进行监听,提供认证服务。接入控制模块230默认放 行DHCP协议、ARP协议和认证协议的报文,其他报文均丢弃。此时未创建任何网络访问通 道。
终端100启动后,通过DHCP协议获得IP地址、子网掩码和默认网关(也可以静态配置)。网络接入模块130开始监听终端100发送出去的网络报文,并丢弃DHCP协议、ARP 协议和认证协议之外的任何报文。
2、建立网络访问通道
终端100的某应用软件向其服务器发送连接请求,如果该行为满足接入策略库定义的 合法规则,则网络接入模块130向认证客户端120模块通知该事件(携带终端100网口的 mac地址、终端100网口IP地址、目的IP地址、协议、源端口号、目的端口号)。认证客 户端120模块启动接入认证流程。认证客户端120模块和接入认证控制器200的认证模块 210进行认证协议的交互,如图4所示。
认证客户端120和认证模块210之间交互认证协议,包括:
认证客户端120向认证模块210发送消息s1;认证模块210收到消息s1后,检查终端100证书的有效性;如果有效,则生成随机数r1_acc并构造s2消息发送给认证客户端120;认证客户端120收到s2消息后,检查认证模块210的数字证书的有效性;如果有效,则使 用其私钥对s2消息中的密文c1进行解密,得到r2_acc。终端100生成随机数r1_client 后,构造s3消息发送给接入认证控制器200;认证模块210收到s3消息后,使用其私钥 对s3消息中的密文c1进行解密,得到r3_acc,如果r3_acc和r1_acc相同,则终端100 的身份得到认证;使用其私钥对s3消息中的密文c2进行解密,得到r2_client;认证模 块210构造s4消息发送给认证客户端120,认证客户端120收到s4消息后,使用其私钥 对s4消息中的密文c1进行解密,得到r3_client,如果r3_client和r1_client相同, 则认证模块210的身份得到认证,认证客户端120向认证模块210发送认证成功消息s5; 认证模块210收到s5消息后,通知接入控制模块230创建相应的网络访问通道。
具体来说,终端100向接入认证控制器200发送s1消息,消息内容包括终端100的数字证书(cert_client)、目的IP地址(dip)、目的端口号(dport)、协议(proto)、源ip址(sip)、源端口号(sport)、终端100的mac地址(mac)。接入认证控制器200收到s1消息 后,检查终端100证书的有效性(是否过期、是否被吊销)。如果有效,则生成随机数r1_acc 并构造s2消息发送给终端100。s2消息包括接入认证控制器200的数字证书cert_acc, 和使用终端100数字证书中的公钥对r1_acc加密后的密文c1(r1_acc,pubkey_client)。 终端100收到s2消息后,检查接入认证控制器200数字证书的有效性(是否过期、是否被 吊销)。如果有效,则使用其私钥对s2消息中的密文c1(r1_acc,pubkey_client)进行解密, 得到r2_acc。终端100生成随机数r1_client后,构造s3消息发送给接入认证控制器200。 s3消息包括使用接入认证控制器200证书中的公钥对r2_acc加密后的密文 c1(r2_acc,pubkey_acc),和使用接入认证控制器200证书中的公钥对r1_client加密后的 密文c2(r1_client,pubkey_acc)。接入认证控制器200收到s3消息后,使用其私钥对s3 消息中的密文c1(r2_acc,pubkey_acc)进行解密,得到r3_acc,如果r3_acc和r1_acc相 同,则终端100的身份得到认证;使用其私钥对s3消息中的密文c2(r1_client,pubkey_acc) 进行解密,得到r2_client。接入认证控制器200构造s4消息发送给终端100。s4消息包 括使用终端100证书中的公钥对r2_client加密后的密文c1(r2_client,pubkey_client)。 终端100收到s4消息后,使用其私钥对s4消息中的密文c1(r2_client,pubkey_client) 进行解密,得到r3_client,如果r3_client和r1_client相同,则接入认证控制器200 的身份得到认证。最后,终端100向接入认证控制器200发送认证成功消息s5。
终端100的认证客户端120模块收到s4消息并确认接入控制器身份后,通知网络接入 模块130创建相应的网络访问通道,即放行dip、dport、proto、sip、sport、mac指定的 报文及该会话的回程报文。接入认证控制器200的认证模块210收到s5消息后,通知接入 控制模块230创建相应的网络访问通道,即放行dip、dport、proto、sip、sport、mac指 定的报文及该会话的回程报文。如果认证流程中存在问题,如某一方的证书验证不通过、 随机数校验不通过等,则表示认证失败,终端100和接入控制器均不创建相应的网络访问 通道。
3、关闭网络访问通道
如图5所示,当网络接入模块130在预设时间内没有检测到网络访问通道有流量通过 时,则关闭该网络访问通道。
当终端100的网络接入模块130在特定时间(可以配置)内没有检测到某已建立的网络 访问通道有流量通过,则启动该网络访问通道的关闭流程。网络访问通道的关闭流程如图5 所示,终端100向接入认证控制器200发送k1消息。k1消息内容包括使用接入认证控制器 200证书中的公钥对r1_client和r2_acc按位异或后的结果进行加密后的密文和表示要关闭 的网络通道的dip、dport、proto、sip、sport、mac。接入认证控制器200收到k1消息后, 用其私钥解密c1,得到r4,如果r4和r2_client和r1_acc按位异或的结果相同,则终端100身份得到认证。接入认证控制器200向终端100发送成功消息k2。
接入认证控制器200的认证模块210收到k1消息并确认终端100身份后,通知接入控 制模块230关闭dip、dport、proto、sip、sport、mac指定的网络访问通道(丢弃dip、dport、proto、sip、sport、mac指定的报文和该会话的回程报文)。终端100的网络接入 模块130收到k2消息后,通知网络接入模块130关闭dip、dport、proto、sip、sport、 mac指定的网络访问通道。
根据本发明实施例的网络接入认证控制系统,采用数字证书对终端和接入认证控制器 进行身份认证;终端和接入认证控制器采用双向认证机制,保证安全的终端接入安全的网 络;以网络报文的目的ip地址+源ip地址+协议+目的端口号+源端口号+报文的mac地址作 为接入控制的单位,细化了接入控制的粒度;动态的“网络访问通道”的创建和关闭机制。
本发明提出的网络接入认证控制系统具有更高的安全性。具体体现在,
1、根据终端收发的网络报文的mac地址、源目的IP地址、协议、端口号来决定是否放行该报文,这使得通过使用仿冒身份的方式非法使用网络变得不可能。因为终端上的仿冒者应用只能将其数据发送给被允许的服务器,这显然使仿冒者应用无法达到其非法传输数据的目的;即使仿冒者终端将mac地址改为已通过认证终端的mac地址,也无法冒充合 法终端,因为接入认证控制系统还会对网络报文的源目的IP地址、协议、端口号进行检查。
2、除了终端和“接入认证控制器”之间进行双向的身份认证外,还根据终端的“接入 策略库”合法规则对要访问的网络资源进行评估,只有通过评估的网络访问才被允许。“基 于802.1x协议的接入认证控制方法”只以终端提供的用户名和密码是否正确作为可否访问 网络的依据,而不关注终端访问的网络资源是否合法。当接入认证通过后,终端上的应用 可以随意访问网络资源,网络存在被滥用的风险,如木马程序非法向其服务器传送终端的 机密信息、广告软件非法从其服务器下载最新的广告信息等。“基于mac地址的接入认证控 制方法”也存在类似的问题。
3、对终端上的哪个应用可以使用网络也做了严格的限制。当终端的某一个应用访问特 定网路资源的请求被接入认证控制系统允许后,会为其动态建立一个“网络访问通道”,该 通道是这个应用访问这个特定网络资源的专用通道,该终端其他应用或其他终端的应用均 无法使用这个通道访问网络资源。对于“基于802.1x协议的接入认证控制方法”和“基于 mac地址的接入认证控制方法”,只要终端通过接入认证,则终端上的所有应用都可以访问 网络。
4、采用终端和“接入认证控制器”双向认证机制,“接入认证控制器”对终端认证的同时,终端也对“接入认证控制器”进行认证。在高安全性等级的应用场景中,可避免终 端接入非法网络的问题。“基于802.1x协议的接入认证控制方法”和“基于mac地址的接 入认证控制方法”,只是“接入认证控制器”对终端进行单向认证,不具备双向认证功能。
5、在终端部署“网络接入”模块,实时检查应用发送的网络报文,根据网络报文决定 是否启动相应的接入认证流程;当网络接入认证控制系统为某应用访问特定网络资源已经 建立“网络访问通道”后,“网络接入”模块检查通过该通道的网络报文,一旦发现在特定 时间内该“网络访问通道”没有报文通过,则启动该“网络访问通道”的关闭流程,防止该通道被滥用。上述“网络访问通道”的建立和关闭,都是自动的,可以使网络适时有度 地打开和及时地关闭。“基于802.1x协议的接入认证控制方法”和“基于mac地址的接入 认证控制方法”无法动态的打开和关闭网络,缺乏灵活性。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者 特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述 不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在 任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的, 不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况 下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所 附权利要求及其等同限定。
Claims (9)
1.一种网络接入认证控制系统,其特征在于,包括:接入认证控制器、安装在终端上的认证客户端、网络接入模块和接入策略库模块,其中,所述接入认证控制器分别与所述终端和网络基础设施通信连接;
所述接入认证控制器包括:网桥模块、认证模块和接入控制模块,其中,
所述网桥模块用于在终端和网络基础设施之间进行数据转发,所述网桥模块配置的IP地址与所述终端位于同一网段;
所述认证模块在所述网桥模块的指定TCP端口上进行监听,提供认证服务;
所述接入控制模块用于对放行的协议报文进行控制;
所述接入策略库模块用于定义允许网络接入的合法规则;
所述网络接入模块用于在终端启动后,开始监听所述终端发送出的连接请求事件,对所述连接请求事件进行判断,如果符合所述接入策略库模块的合法规则,则向所述认证客户端通知该事件;
所述认证客户端用于在收到网络接入模块的通知后,启动接入认证流程,与所述认证模块进行认证协议的交互,
由接入认证控制器对终端进行认证,同时所述终端也对所述接入认证控制器进行认证,当上述两个认证同时通过后,由网络接入模块和所述接入控制模块分别建立相应的网络访问通道,允许所述终端通过该接入认证控制器接入网络。
2.如权利要求1所述的网络接入认证控制系统,其特征在于,所述网桥模块通过LAN网口与所述终端连接,通过WAN网口与所述网络基础设施连接。
3.如权利要求1所述的网络接入认证控制系统,其特征在于,所述网络接入模块还用于在发现存在已建立的网络访问通道在预设时间内没有报文通过时,则将该事件上报给所述认证客户端模块,所述网络接入模块响应所述认证客户端模块的指令,创建或关闭网络访问通道。
4.如权利要求1所述的网络接入认证控制系统,其特征在于,在所述终端启动后,通过DHCP协议获得IP地址、子网掩码和默认网关,由所述网络接入模块监听所述终端发送出的网络报文,并通过所述接入控制模块放行DHCP协议、ARP协议和认证协议报文,丢弃其他报文。
5.如权利要求1所述的网络接入认证控制系统,其特征在于,所述网络接入模块向所述认证客户端通知终端发送连接请求事件时,通知内容包括终端网口的mac地址、终端网口IP地址、目的IP地址、协议、源端口号、目的端口号。
6.如权利要求1所述的网络接入认证控制系统,其特征在于,所述认证客户端和认证模块之间交互认证协议,包括:
所述认证客户端向所述认证模块发送消息s1;
所述认证模块收到消息s1后,检查终端证书的有效性;如果有效,则生成随机数r1_acc并构造s2消息发送给所述认证客户端;
所述认证客户端收到s2消息后,检查所述认证模块的数字证书的有效性;如果有效,则使用其私钥对s2消息中的密文c1进行解密,得到r2_acc。终端生成随机数r1_client后,构造s3消息发送给所述接入认证控制器;
所述认证模块收到s3消息后,使用其私钥对s3消息中的密文c1进行解密,得到r3_acc,如果r3_acc和r1_acc相同,则终端的身份得到认证;使用其私钥对s3消息中的密文c2进行解密,得到r2_client;
所述认证模块构造s4消息发送给认证客户端,认证客户端收到s4消息后,使用其私钥对s4消息中的密文c1进行解密,得到r3_client,如果r3_client和r1_client相同,则所述认证模块的身份得到认证,所述认证客户端向所述认证模块发送认证成功消息s5;
所述认证模块收到s5消息后,通知接入控制模块创建相应的网络访问通道。
7.如权利要求6所述的网络接入认证控制系统,其特征在于,所述消息s1包括终端的数字证书、目的IP地址、目的端口号、协议、源ip址、源端口号、终端的mac地址;
所述s2消息包括:所述接入认证控制器的数字证书cert_acc,和使用终端数字证书中的公钥对r1_acc加密后的密文c1;
所述s3消息包括使用“接入认证控制器”证书中的公钥对r2_acc加密后的密文c1,和使用“接入认证控制器”证书中的公钥对r1_client加密后的密文c2;
所述s4消息包括使用终端证书中的公钥对r2_client加密后的密文c1。
8.如权利要求1所述的网络接入认证控制系统,其特征在于,当所述网络接入模块在预设时间内没有检测到所述网络访问通道有流量通过时,则关闭该网络访问通道。
9.如权利要求8所述的网络接入认证控制系统,其特征在于,
所述终端向所述接入认证控制器发送k1消息,其中,所述k1消息内容包括使用接入认证控制器证书中的公钥对r1_client和r2_acc按位异或后的结果进行加密后的密文和表示要关闭的网络通道的dip、dport、proto、sip、sport、mac;
所述接入认证控制器收到k1消息后,使用其私钥解密c1,得到r4,如果r4和r2_client和r1_acc按位异或的结果相同,则终端身份得到认证;所述接入认证控制器向终端发送成功消息k2;
所述认证模块收到k1消息并确认终端身份后,通知所述接入控制模块关闭dip、dport、proto、sip、sport、mac指定的网络访问通道;所述网络接入模块收到k2消息后,关闭dip、dport、proto、sip、sport、mac指定的网络访问通道。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010206859.3A CN111416824B (zh) | 2020-03-23 | 2020-03-23 | 一种网络接入认证控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010206859.3A CN111416824B (zh) | 2020-03-23 | 2020-03-23 | 一种网络接入认证控制系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111416824A true CN111416824A (zh) | 2020-07-14 |
| CN111416824B CN111416824B (zh) | 2022-04-15 |
Family
ID=71494676
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010206859.3A Active CN111416824B (zh) | 2020-03-23 | 2020-03-23 | 一种网络接入认证控制系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111416824B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113660091A (zh) * | 2021-07-28 | 2021-11-16 | 北京宝兰德软件股份有限公司 | 一种请求认证方法、装置、设备及可读存储介质 |
| CN115150204A (zh) * | 2022-09-05 | 2022-10-04 | 广州中浩控制技术有限公司 | 一种数据传输系统 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006086932A1 (fr) * | 2005-02-21 | 2006-08-24 | China Iwncomm Co., Ltd. | Methode d'authentification d'acces adaptee aux reseaux avec et sans fils |
| WO2008034360A1 (fr) * | 2006-09-23 | 2008-03-27 | China Iwncomm Co., Ltd. | Procédé d'authentification et d'autorisation d'accès au réseau et procédé de mise à jour de clé d'autorisation |
| US20080077791A1 (en) * | 2006-09-27 | 2008-03-27 | Craig Lund | System and method for secured network access |
| US20080077592A1 (en) * | 2006-09-27 | 2008-03-27 | Shane Brodie | method and apparatus for device authentication |
| WO2009088252A2 (en) * | 2008-01-09 | 2009-07-16 | Lg Electronics Inc. | Pre-authentication method for inter-rat handover |
| WO2011017847A1 (zh) * | 2009-08-14 | 2011-02-17 | 华为技术有限公司 | 交换密钥的方法及设备 |
| CN104468532A (zh) * | 2014-11-19 | 2015-03-25 | 成都卫士通信息安全技术有限公司 | 一种跨多级网络边界的网络资源访问接入控制方法 |
| CN104660523A (zh) * | 2013-11-25 | 2015-05-27 | 遵义供电局 | 一种网络准入控制系统 |
| CN105407106A (zh) * | 2015-12-23 | 2016-03-16 | 北京奇虎科技有限公司 | 一种接入控制方法和装置 |
| CN107196906A (zh) * | 2017-03-31 | 2017-09-22 | 山东超越数控电子有限公司 | 一种安全域网络接入控制方法及系统 |
| CN107624238A (zh) * | 2015-05-19 | 2018-01-23 | 微软技术许可有限责任公司 | 对基于云的应用的安全访问控制 |
-
2020
- 2020-03-23 CN CN202010206859.3A patent/CN111416824B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006086932A1 (fr) * | 2005-02-21 | 2006-08-24 | China Iwncomm Co., Ltd. | Methode d'authentification d'acces adaptee aux reseaux avec et sans fils |
| EP1852999A1 (en) * | 2005-02-21 | 2007-11-07 | China Iwncomm Co., Ltd | An access authentication method suitable for the wire-line and wireless network |
| WO2008034360A1 (fr) * | 2006-09-23 | 2008-03-27 | China Iwncomm Co., Ltd. | Procédé d'authentification et d'autorisation d'accès au réseau et procédé de mise à jour de clé d'autorisation |
| US20080077791A1 (en) * | 2006-09-27 | 2008-03-27 | Craig Lund | System and method for secured network access |
| US20080077592A1 (en) * | 2006-09-27 | 2008-03-27 | Shane Brodie | method and apparatus for device authentication |
| WO2009088252A2 (en) * | 2008-01-09 | 2009-07-16 | Lg Electronics Inc. | Pre-authentication method for inter-rat handover |
| WO2011017847A1 (zh) * | 2009-08-14 | 2011-02-17 | 华为技术有限公司 | 交换密钥的方法及设备 |
| CN104660523A (zh) * | 2013-11-25 | 2015-05-27 | 遵义供电局 | 一种网络准入控制系统 |
| CN104468532A (zh) * | 2014-11-19 | 2015-03-25 | 成都卫士通信息安全技术有限公司 | 一种跨多级网络边界的网络资源访问接入控制方法 |
| CN107624238A (zh) * | 2015-05-19 | 2018-01-23 | 微软技术许可有限责任公司 | 对基于云的应用的安全访问控制 |
| CN105407106A (zh) * | 2015-12-23 | 2016-03-16 | 北京奇虎科技有限公司 | 一种接入控制方法和装置 |
| CN107196906A (zh) * | 2017-03-31 | 2017-09-22 | 山东超越数控电子有限公司 | 一种安全域网络接入控制方法及系统 |
Non-Patent Citations (7)
| Title |
|---|
| IEEE: ""IEEE Standard for Wireless Access in Vehicular Environments--Security Services for Applications and Management Messages"", 《EEE STD 1609.2-2016》 * |
| 万明等: "基于身份标签的一体化网络接入认证方案", 《铁道学报》 * |
| 仓海军等: "手机彩信签名研究", 《电脑知识与技术(学术交流)》 * |
| 张鑫,杨晓元,朱率率,杨海滨: ""物联网环境下移动节点可信接入认证协议"", 《计算机应用》 * |
| 彭竹: ""电力行业工控终端设备安全接入系统的设计与实现"", 《中国优秀硕士学位论文全文数据库(电子期刊) 信息科技辑》 * |
| 管军: "基于数字证书认证机制的应用研究", 《信息化研究》 * |
| 邓所云等: "一个无线双向认证和密钥协商协议", 《电子学报》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113660091A (zh) * | 2021-07-28 | 2021-11-16 | 北京宝兰德软件股份有限公司 | 一种请求认证方法、装置、设备及可读存储介质 |
| CN113660091B (zh) * | 2021-07-28 | 2023-09-15 | 北京宝兰德软件股份有限公司 | 一种请求认证方法、装置、设备及可读存储介质 |
| CN115150204A (zh) * | 2022-09-05 | 2022-10-04 | 广州中浩控制技术有限公司 | 一种数据传输系统 |
| CN115150204B (zh) * | 2022-09-05 | 2023-01-10 | 广州中浩控制技术有限公司 | 一种数据传输系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111416824B (zh) | 2022-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI362859B (zh) | ||
| CN100563158C (zh) | 网络接入控制方法及系统 | |
| AU2008213766B2 (en) | Method and system for registering and verifying the identity of wireless networks and devices | |
| US20070033643A1 (en) | User authentication in connection with a security protocol | |
| JP2010086529A (ja) | 連続する再認証を必要としないsipシグナリング | |
| CN1889430A (zh) | 基于802.1x的终端宽带接入的安全认证控制方法 | |
| CN111918284B (zh) | 一种基于安全通信模组的安全通信方法及系统 | |
| US20180115520A1 (en) | Dark virtual private networks and secure services | |
| AU2003294304B2 (en) | Systems and apparatuses using identification data in network communication | |
| US8386783B2 (en) | Communication apparatus and communication method | |
| CN110830446A (zh) | 一种spa安全验证的方法和装置 | |
| CN111416824B (zh) | 一种网络接入认证控制系统 | |
| CN113904809A (zh) | 一种通信方法、装置、电子设备及存储介质 | |
| CN114553430B (zh) | 一种基于sdp的电力业务终端的安全接入系统 | |
| CN114726513A (zh) | 数据传输方法、设备、介质及产品 | |
| CN113645115B (zh) | 虚拟专用网络接入方法和系统 | |
| CN101094063B (zh) | 一种游牧终端接入软交换网络系统的安全交互方法 | |
| KR100819024B1 (ko) | 아이디/패스워드를 이용한 사용자 인증 방법 | |
| KR101089269B1 (ko) | 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템 | |
| CN115801347A (zh) | 一种基于单包授权技术增强网络安全的方法和系统 | |
| JP4768547B2 (ja) | 通信装置の認証システム | |
| Cisco | Introduction to Cisco IPsec Technology | |
| JP2005165671A (ja) | 認証サーバの多重化システム及びその多重化方法 | |
| CN116938603B (zh) | 基于隐身网关的流量传输方法、装置、设备及存储介质 | |
| Aboba et al. | RFC3579: RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |