CN1997026B - 一种基于802.1x协议的扩展安全认证方法 - Google Patents
一种基于802.1x协议的扩展安全认证方法 Download PDFInfo
- Publication number
- CN1997026B CN1997026B CN2006101698406A CN200610169840A CN1997026B CN 1997026 B CN1997026 B CN 1997026B CN 2006101698406 A CN2006101698406 A CN 2006101698406A CN 200610169840 A CN200610169840 A CN 200610169840A CN 1997026 B CN1997026 B CN 1997026B
- Authority
- CN
- China
- Prior art keywords
- client
- side program
- information
- verification
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
一种基于802.1X协议的扩展安全认证方法涉及网络接入中的认证方法。目前网络存在多方面的脆弱性,主要体现在:1.操作系统漏洞;2.客户端感染病毒概率大大增加;3.客户端认证程序可能被病毒感染,其客户端的可信度受到质疑。为了解决以上涉及的安全问题,本发明采用认证和监控统一的思想,需要对操作系统、杀毒软件、客户端认证程序进行完整性度量,并将度量结果作为认证信息,只有客户端系统符合可信标准,并且通过用户密码验证才能成为合法用户,否则需要对系统升级。上述方案可以有效地控制接入网络客户端的安全指标,能够在一定组网条件下最大限度的提升网络安全程度。该方法可以有效地提高接入网络客户端的安全可信度。
Description
技术领域
本发明涉及网络接入中的认证方法,尤其是涉及基于802.1X协议认证的方法;本发明将对认证平台的操作系统、杀毒软件、客户端程序进行完整性度量,度量结果作为一部分认证信息,从而有效控制客户端安全程度。
背景技术
现在局域网经常出现在学校、企业以及机关单位,其规模越来越大,有的大学局域网中可能同时存在几万名用户。经过20多年的发展,以太网技术已经逐渐成为局域网最主要的组网技术。以太网具有使用简单方便、价格低、速度快等特点,目前以太网的速度已经达到千兆。因为其广泛的使用,人们也不断提出新的技术,满足需求的增长,802.1X就是出于网络安全的考虑和计费的需要,而产生的一个新的认证协议。
网络管理员和网络运营商都明显地感到了控制客户端接入以太网端口的重要性。如果能够将用户身份认证与用户的接入端口联系在一起,网络管理者将很容易地通过对指定端口的控制,允许合法用户入网和拒绝非法用户的访问;相应地,对接入端口的控制能力也意味着管理者也可以把网络安全、费用的收取与端口挂钩。这就是802.1X标准出现的背景。
802.1X源于IEEE 802.11无线以太网协议(EAPOW),是IEEE为了解决基于端口的接入控制而定义的标准,被称为基于端口的访问控制协议(Portbased network access control protocol)。因为其特有的体系结构,它在以太网中的引入解决了传统的PPPoE和Web/Portal认证方式带来的部分问题,消除了网络瓶颈,减轻了网络封装开销,降低了建网成本。
IEEE 802.1X协议是基于局域网数据链路层的增强协议,实现简单,不需要利用网络层,因此具备802.1X的网络环境可以建立在第2层交换平台之上,对设备的整体性能要求不高,也可以有效地降低建网成本,适用范围广。
IEEE 802.1X的认证体系结构,如参考图1所示,主要分为3个部分:客 户端系统、认证系统、认证服务器系统。客户端多为认证软件,装载在接入用户的PC中。认证系统主要是能够终结EAPOL的智能交换机。而认证服务器系统多为具有认证、计费、授权功能的AAA服务器。客户端和认证系统之间通过EAPOL认证协议进行通讯。认证系统和认证服务器系统之间通过RADIUS协议加载上扩展的认证协议EAP进行协商。
IEEE 802.1X的认证体系结构中将一个以太网的物理端口划分为两个逻辑端口:“受控端口(Controlled port)”和“非受控端口(Uncontrolled port)”,从而可以实现用户业务数据流与认证流的分离。非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
目前对于接入客户端的可信度度量已经不仅仅是简单的身份验证了。由于接入局域网的用户群体的多样性,影响安全的因素可能来自于更多的方面。通过研究近几年危及网络安全的事件,不难发现利用客户端系统漏洞造成安全问题的案例占到很大比重。同时,也存在安全意识薄弱的用户,他们不安装杀毒软件或者不进行病毒库的更新,这些都给网络病毒以可乘之机。这种破坏性不仅影响到接入用户,更糟糕的是造成整个网络的瘫痪,酿成巨大损失。
目前网络接入终端存在的安全问题主要体现在:
●利用系统漏洞:现在很多网络病毒注重利用系统漏洞,采取主动攻击方法入侵主机,如果用户防范意识薄弱,没有及时进行系统升级那么可能造成巨大危害,例如,2003年的冲击波(Worm Blaster)病毒,运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统。
●杀毒软件版本:现在杀毒软件产品繁多,在大型局域网中用户使用的类型和版本不尽相同,甚者可能没有安装杀毒软件。各杀毒软件公司对于病毒库的更新速度和病毒的预防报警能力实力参差不齐。而且用户防范意识薄弱可能没有即时进行病毒库更新。以上3点导致客户端感染病毒概 率大大增加。
●客户端认证程序:用户在使用网络设备享用网络服务时,必须在接入点使用客户端软件通过认证,这样增强了对边缘客户端的控制力。如果客户端被植入木马程序,当客户端程序运行的时候,用户的认证信息将会被别人盗走,这样会对用户的安全造成威胁。如果客户端程序被病毒破坏,那么这个软件本身就是不安全的,也就是说失去了认证客户端的意义。虽然已经安装了杀毒软件,但是并不能保证客户端不会被植入恶意代码。目前,大多数反病毒软件对已知病毒防御能力很有效,但对未知病毒无能为力。
为了解决以上涉及的安全问题,本发明采用认证和监控统一的思想,利用802.1X认证协议,将可信度的范围从基于接入端口、身份认证,扩展到对接入平台的完整性度量,从而提高接入个体的安全程度。只有满足网络对客户端系统的安全认可并且通过用户密码验证才能成为合法用户,否则需要对系统升级。上述方案可以有效地控制接入网络客户端的安全指标,能够在一定组网条件下最大限度的提升网络安全程度。
发明内容
本发明的目的在于提供一种基于802.1X协议的扩展安全认证方法。使用该方法可以有效提高接入用户的安全可信程度,保证网络安全。
为达到上述目的,本发明通过验证操作系统版本信息、杀毒软件版本信息、客户端认证程序,对接入平台进行完整性度量,并将度量结果作为认证的扩展信息来衡量接入端的安全性。
为实现上述目标,需要以下步骤:
步骤1:在启动客户端程序的时候,自动检验客户端文件是否被感染文件病毒;检验调用的DLL文件的可信度,以防调用木马程序;提取客户端程序的版本信息;
如果客户端自我检验发现非法篡改,则停止启动,用户需要重新安装客户端程序,再次执行步骤1;如果经过检测一切正常,继续启动客户端程序, 并获得客户端程序的版本信息;
步骤2:用户通过客户端程序发起认证;客户端程序获得操作系统的版本信息;客户端程序获得系统的杀毒软件信息;
步骤3:客户端软件向认证系统发送开始认证报文,开始认证过程,并进行用户名和密码的校验;
步骤4:将操作系统信息、杀毒软件信息、以及客户端程序信息作为接入平台的完整性度量;并在EAP-Response/MD5-Challenge报文中将平台完整性度量进行MD5运算,发给认证系统,再由认证系统将此信息发给后台的认证服务器,进行完整性校验;
步骤5:如果校验成功,则客户端通过认证,认证系统打开受控端口;用户可以接入网络,使用网络资源;如果校验失败,则由认证服务器下发一条ACL访问控制列表命令到客户端的接入端口;客户端系统升级成功后,再次发起认证,回到步骤1。
上述ACL只允许客户端通过受控端口访问局域网某个特定的系统版本升级服务器。用户可以通过连接服务器升级系统和软件。
在步骤1中,客户端程序启动时需要对自身进行完整性校验,需要完成3个工作,1.检验客户端文件是否被感染文件病毒;2.检验调用的DLL文件的可信度,以防调用木马程序;3.提取客户端程序的版本信息。如果客户端自我检验发现非法篡改,则停止启动,用户需要重新安装客户端程序,再次执行步骤1。
在步骤2中,客户端程序从系统注册表中,获取操作系统的版本信息,包括:操作系统类型(Windows、Linux、Mac)、版本号、内部版本号以及补丁等信息;此步骤中,除系统信息外,客户端程序还需要从系统注册表中,获取杀毒软件的版本号、杀毒软件存在状态、更新日期等信息。
在步骤2中,针对于客户端不同的杀毒软件或者是操作系统,客户端将会有不同的版本,其核心不进行改动,唯一变化的是如何获得所对应环境下的操作系统和杀毒软件的信息。一般情况下,一个局域网都会指定一两款杀毒软件供用户使用。
在步骤4中,将(会话ID+用户密码+客户端完整性度量字符串+认证服务器随机数)进行MD5运算。将摘要运算结果和客户端完整性度量值的明文一起发送给认证系统,再由认证系统发给后台的认证服务器。认证服务器根据接收的摘要信息,可以验证明文信息的完整性。认证服务器根据完整性度量的明文信息,可以判断当前客户端软件版本、操作系统版本、以及杀毒软件版本,三个系统中的哪个部分不符合要求,并将消息传送给用户,指导用户进行升级。
本发明在原有802.1X认证基础上进行扩展,保留原有的数据链路层协议EAPOL在网络中透传的特点。本发明需要具有802.1X功能的智能交换机支持ACL控制功能。在原有的认证流程的基础上,进行简单的修改。在最后认证失败的时候,需要后台认证服务器下发ACL列表到认证系统。认证系统打开受控端口,并根据ACL配置受控端口,限制用户可访问的网络资源。
附图说明
图1是IEEE 802.1X体系结构图
图2是普通MD5-Challenge认证协议交互过程
图3是平台完整性校验的MD5-Challenge认证协议交互过程
图4是ACL访问控制系统软件服务器
具体实施方式
如图2所示是目前最为常用的客户端与认证系统在认证阶段的协议流程。如图3所示是本发明在此基础上扩展的安全认证方法。其主要的实施步骤如下所示:
首先在用户没有认证前,认证系统的受控端口处于关闭状态,用户不能接入网络。但是非受控端口一直处于打开的状态,但是只允许EAPOL认证报文通过。
在开始阶段,客户端程序需要首先检验程序自身的安全性,包括客户端程序是否被改动和调用DLL文件的正确性。
当用户发出认证命令后,客户端程序继续获取用户操作系统的信息。操作系统不同,需要相对应的客户端软件获取其信息。需要获取的信息包括,操作系统名称、操作系统的版本、内部版本号、以及补丁信息。例如,如果现存操作系统是WindowsXP,则获取的信息包括,操作系统类型名称“WindowsXP”,版本信息“version 5.1”,内部版本号“2600”,补丁信息“512(Service Pack2)”。这些信息可以从Windows操作系统的注册表中获得。
同时,客户段程序继续获取用户杀毒软件的信息。虽然杀毒软件种类繁多,但是在局域网中可以指定只使用一款或两款规定的杀毒软件,这样对于整个网络的安全防范控制更加有效。只要网络门户及时要求更新杀毒软件补丁,所有接入网络的用户都会在第一时间内完成。这样可以保证全网防范的统一性。具体需要提取杀毒软件的信息包括:杀毒软件类型名称、杀毒软件的版本号、内部版本号、补丁版本、杀毒软件存在状态。
在完成上面步骤后,系统进入与认证系统交互的认证阶段。客户端通过发送EAPOL-Start报文,与认证系统取得联系。随后认证系统发给客户段EAP-RequestID,要求返回用户名。
客户端接收到后,发送EAP-ResponseID,回答询问。认证系统发送EAP-Request/MD5-Challenge,进行密码询问,随后用户将密码与随机数组合,并运算摘要回复给认证服务器。认证服务器在验证用户密码失败后,则返回EAP/Failure报文并结束认证。传统的认证方式下,如果检验成功,就会发送成功报文。但是在本发明中,如果密码认证成功则将继续进行一次会话过程,以验证接入平台的完整性。认证服务器继续询问接入端的平台信息。客户端回答来自认证系统的质询。平台完整性度量信息通过认证系统发到后台的认证服务器。再由认证服务器对完整性度量进行验证。如果认证服务器通过客户端认证,会发送成功报文到认证系统。认证系统也会发送成功报文到客户端,同时打开受控端口,用户顺利接入网络。
如果没有认证通过,如图4,认证服务器会发送一个失败报文,同时发送一个ACL到认证系统。认证接到失败报文和ACL后,也会将失败报文发给客户端,同时将受控端口打开,并在其上加载ACL。这样用户虽然认证失败,但是可以通过接入端口访问某个特定的服务器。服务器提供系统升级的补丁、杀毒软件的安装程序和补丁、以及最新的客户端软件等资源。用户按照要求下载,并更新自己的操作平台,以达到最新的要求,并可以再次发起认证。在实施过程中,局域网管理员需要建立一个提供用户下载平台软件的服务器。因为此服务器要暴露给非安全用户,所以需要具有比较强的防护措施,保证不被攻击。
总之,在对原有802.1X协议的简单扩展,加入平台信息的完整性度量,可以大大的减少客户端的系统漏洞,增强防杀病毒的及时性,以及保证客户端认证软件的可信度,实现对接入用户的控制。
Claims (3)
1.一种基于802.1X协议的扩展安全认证方法,其特征在于,包括以下步骤:
步骤1:在启动客户端程序的时候,自动检验客户端文件是否感染文件病毒;检验调用的DLL文件的可信度,以防调用木马程序;提取客户端程序的版本信息;
如果客户端自我检验发现非法篡改,则停止启动,用户需要重新安装客户端程序,再次执行步骤1;如果经过检测一切正常,继续启动客户端程序,并获得客户端程序的版本信息;
步骤2:用户通过客户端程序发起认证;客户端程序获得操作系统的版本信息;客户端程序获得系统的杀毒软件信息;
步骤3:客户端软件向认证系统发送开始认证报文,开始认证过程,并进行用户名和密码的校验;
步骤4:将操作系统信息、杀毒软件信息、以及客户端程序信息作为接入平台的完整性度量;并在EAP-Response/MD5-Challenge报文中将平台完整性度量进行MD5运算,发给认证系统,再由认证系统将此信息发给后台的认证服务器,进行完整性校验;
步骤5:如果校验成功,则客户端通过认证,认证系统打开受控端口;用户可以接入网络,使用网络资源;如果校验失败,则由认证服务器下发一条访问控制列表(ACL)命令到客户端的接入端口;客户端系统升级成功后,再次发起认证,回到步骤1。
2.根据权利要求1所述的一种基于802.1X协议的扩展安全认证方法,其特征在于:
在步骤2中,客户端程序从系统注册表中,获取操作系统的版本信息包括:操作系统类型、版本号、内部版本号以及补丁。
3.根据权利要求1所述的一种基于802.1X协议的扩展安全认证方法,其特征在于:
在步骤2中,客户端程序从系统注册表中,获取杀毒软件的版本号、杀毒软件存在状态和更新日期。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006101698406A CN1997026B (zh) | 2006-12-29 | 2006-12-29 | 一种基于802.1x协议的扩展安全认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006101698406A CN1997026B (zh) | 2006-12-29 | 2006-12-29 | 一种基于802.1x协议的扩展安全认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1997026A CN1997026A (zh) | 2007-07-11 |
CN1997026B true CN1997026B (zh) | 2011-05-04 |
Family
ID=38251949
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006101698406A Expired - Fee Related CN1997026B (zh) | 2006-12-29 | 2006-12-29 | 一种基于802.1x协议的扩展安全认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1997026B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101083589B (zh) | 2007-07-13 | 2010-08-11 | 华为技术有限公司 | 无源光网络中的终端检测认证方法、装置及操作管理系统 |
CN100553212C (zh) | 2007-11-16 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
CN100496025C (zh) | 2007-11-16 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制方法 |
CN101360020B (zh) * | 2008-09-28 | 2011-04-06 | 西安电子科技大学 | 基于eap的ieee802.1x安全协议的仿真平台及方法 |
CN101883123A (zh) * | 2009-05-04 | 2010-11-10 | 华为技术有限公司 | 对电信设备安全状态验证的方法、设备和系统 |
WO2010142149A1 (zh) * | 2009-06-12 | 2010-12-16 | 中兴通讯股份有限公司 | 对网络设备进行鉴权的方法及系统 |
CN101562609B (zh) * | 2009-05-27 | 2012-06-27 | 西北大学 | Vpn网络安全漏洞检测全局准入控制系统 |
CN101557406B (zh) * | 2009-06-01 | 2012-04-18 | 杭州华三通信技术有限公司 | 一种用户终端的认证方法、装置及系统 |
CN101827112B (zh) * | 2010-05-25 | 2016-05-11 | 中兴通讯股份有限公司 | 上网认证服务器识别客户端软件的方法及系统 |
CN105183508B (zh) * | 2015-08-26 | 2019-02-15 | 北京元心科技有限公司 | 容器系统内应用程序的监控方法以及智能终端 |
CN112235108B (zh) * | 2020-11-11 | 2022-09-16 | 西安热工研究院有限公司 | 一种基于802.1x的eap-tls认证系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004084464A2 (en) * | 2003-03-14 | 2004-09-30 | Thomson Licensing | A flexible wlan access point architecture capable of accommodating different user devices |
WO2005011205A1 (en) * | 2003-07-22 | 2005-02-03 | Thomson Licensing S.A. | Method and apparatus for controlling credit based access (prepaid) to a wireless network |
-
2006
- 2006-12-29 CN CN2006101698406A patent/CN1997026B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004084464A2 (en) * | 2003-03-14 | 2004-09-30 | Thomson Licensing | A flexible wlan access point architecture capable of accommodating different user devices |
WO2005011205A1 (en) * | 2003-07-22 | 2005-02-03 | Thomson Licensing S.A. | Method and apparatus for controlling credit based access (prepaid) to a wireless network |
Also Published As
Publication number | Publication date |
---|---|
CN1997026A (zh) | 2007-07-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1997026B (zh) | 一种基于802.1x协议的扩展安全认证方法 | |
US20190281028A1 (en) | System and method for decentralized authentication using a distributed transaction-based state machine | |
US8359464B2 (en) | Quarantine method and system | |
US7142851B2 (en) | Technique for secure wireless LAN access | |
US8387131B2 (en) | Enforcing secure internet connections for a mobile endpoint computing device | |
US8539544B2 (en) | Method of optimizing policy conformance check for a device with a large set of posture attribute combinations | |
JP6337642B2 (ja) | パーソナルデバイスからネットワークに安全にアクセスする方法、パーソナルデバイス、ネットワークサーバ、およびアクセスポイント | |
US20040107360A1 (en) | System and Methodology for Policy Enforcement | |
US20100197293A1 (en) | Remote computer access authentication using a mobile device | |
WO2018157247A1 (en) | System and method for securing communications with remote security devices | |
US7421503B1 (en) | Method and apparatus for providing multiple authentication types using an authentication protocol that supports a single type | |
US11823007B2 (en) | Obtaining device posture of a third party managed device | |
EP1779293A2 (en) | Method and apparatus for determining authentication capabilities | |
CN111031540B (zh) | 一种无线网络连接方法及计算机存储介质 | |
US9021253B2 (en) | Quarantine method and system | |
CN109726531A (zh) | 一种基于区块链智能合约的营销终端安全管控方法 | |
CN101640685A (zh) | 一种传递私有属性信息的方法及系统 | |
WO2006001647A1 (en) | Network integrated management system | |
CN112016073A (zh) | 一种服务器零信任连接架构的构建方法 | |
CN106888091A (zh) | 基于eap的可信网络接入方法和系统 | |
US8051464B2 (en) | Method for provisioning policy on user devices in wired and wireless networks | |
KR101879843B1 (ko) | Ip 주소와 sms를 이용한 인증 방법 및 시스템 | |
EP3738012B1 (en) | Asserting user, app, and device binding in an unmanaged mobile device | |
CN115277237A (zh) | 移动终端接入企业内网的控制方法及装置 | |
WO2008027653A1 (en) | Method and apparatus for conforming integrity of a client device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110504 Termination date: 20161229 |