WO2010031263A1 - 一种实现安全接入控制的方法及系统、服务器 - Google Patents

Description

一种实现安全接入控制的方法及系统、 服务器

本申请要求于 2008 年 9 月 19 日提交中国专利局、 申请号为 200810149348.1、发明名称为 "一种实现安全接入控制的方法及系统、服务器" 的中国专利申请的优先权， 其全部内容通过引用结合在本申请中。

技术领域

本发明涉及计算机互联网领域，尤其涉及一种实现安全接入控制的方法及 系统、 服务器。

背景技术

由于企业内部网络变得越来越庞大， 网络结构越来越复杂， 内部的终端数 也不断增长， 而且现实网络中病毒、 木马的泛滥， 非授权人员访问导致信息外 泄等，都给企业的网络安全带来了巨大的隐患，严重的干扰甚至中断企业的正 常业务， 于是企业纷纷寻找适合自己的网络安全方案。 除了部署防病毒和防火 墙系统之外，很多企业会通过部署网络接入控制系统来实现接入认证、对终端 进行安全性检查， 从而解决内网的安全性问题。

现有技术网络接入控制系统是在终端和内网或外网之间部署 802.1X交换 机， 在每个终端上安装安全控制软件。 802.1X 交换机对终端访问网络权限进 行控制， 安全控制软件执行服务器下发的安全策略， 监控终端的运行， 从而实 现终端访问网络的安全接入控制以及企业内网的安全。

在实现本发明的过程中， 发明人发现现有技术中至少存在如下问题： 802.1X 交换机控制终端上网权限是打开或关闭终端访问网络的权限， 一旦打 开终端访问网络的权限，终端就可以浏览内网或外网的任何信息而不受任何限 制， 现有技术的安全接入控制并不能精细地控制终端访问网络的权限。

发明内容

本发明实施例提供一种实现安全接入控制的方法及系统、服务器， 能够精 细地控制终端访问网络的权限。

为解决上述技术问题，本发明所提供的实现安全接入控制的方法及系统实 施例是通过以下技术方案实现的：

一种实现网络安全接入控制的方法， 包括：

接收交换机转发的使用双向加密方式加密的终端身份信息； 对所述使用双向加密方式加密的终端身份信息进行解密，并对解密后的终 端身份信息进行验证；

向所述交换机返回认证结果，以便交换机依据认证结果对所述终端访问网 络进行控制；

使用单向加密方式对所述解密后的终端身份信息进行加密；

对使用单向加密方式加密的终端身份信息进行验证；

向安全接入控制网关返回认证结果，以便安全接入控制网关依据认证结果 对所述终端访问网络资源进行控制；

向所述终端的安全控制模块下发安全策略，以便所述终端的安全控制模块 依据所述安全策略对所述终端进行监控。

一种服务器， 包括：

第一认证模块，用于接收交换机转发的使用双向加密方式加密的终端身份 信息； 将所述使用双向加密方式加密的终端身份信息进行解密， 并对解密后的 终端身份信息进行验证； 向所述交换机返回认证结果， 以便交换机依据所述认 证结果对所述终端访问网络进行控制；

第二认证模块，用于使用单向加密方式对所述第一认证模块解密的终端身 份信息进行加密；对所述使用单向加密方式加密的终端身份信息进行验证； 向 安全接入控制网关返回认证结果，以便安全接入控制网关依据所述认证结果对 所述终端访问网络资源进行控制； 向所述终端的安全控制模块下发安全策略， 所述终端安全控制模块依据所述安全策略对所述终端监控。

一种实现网络安全接入控制的系统， 包括： 服务器， 交换机， 安全接入控 制网关和终端； 所述终端包括： 发送模块和安全控制模块，

所述发送模块，用于向所述交换机发送使用双向加密方式加密的终端身份 信息；

所述安全控制模块，接收所述服务器下发的安全策略，依据所述安全策略 对终端进行监控；

所述服务器：用于接收所述交换机转发的使用双向加密方式加密的终端身 份信息； 将所述使用双向加密方式加密的终端身份信息进行解密， 并对解密后 的终端身份信息进行验证； 向所述交换机返回认证结果； 使用单向加密方式对 所述解密后的终端身份信息进行加密；对所述使用单向加密方式加密的终端身 份信息进行验证； 向所述安全接入控制网关返回认证结果； 向所述终端的安全 控制模块下发安全策略；

所述交换机，用于将所述终端发送的使用双向加密方式加密的终端身份信 息转发至所述服务器，接收所述服务器返回的认证结果， 并依据所述认证结果 对所述终端访问网络进行控制；

所述安全接入控制网关， 用于接收所述服务器返回的认证结果， 并依据所 述认证结果对所述终端访问网络资源进行控制。

本发明实施对使用双向加密方式和单向加密方式的终端身份信息验证之 后， 返回认证结果， 交换机根据认证结果对终端访问网络进行控制， 安全接入 控制网关根据返回的认证结果对终端访问网络资源进行控制； 且认证后， 向终 端发送安全策略，对终端进行监控。本发明实施例通过安全接入控制网关分别 对终端访问网络的权限进行控制，通过下发的安全策略对终端的运行情况进行 监控， 通过增加安全接入控制网关， 能更精细地控制终端的上网权限。 本发 明实施例能够更全面地解决内网的安全问题。

附图说明

为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要 使用的附图作一筒单地介绍，显而易见地， 下面描述中的附图仅仅是本发明的 一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。

图 1示出了本发明实施例提供的实现网络安全接入控制的系统部署结构； 图 2示出了本发明实施例提供的实现网络安全接入控制的方法流程图； 图 3示出了本发明实施例提供的服务器结构图；

图 4示出了本发明实施例提供的实现网络安全接入控制的系统图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清 楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是 全部的实施例。基于本发明中的实施例， 本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范围。 本发明实施例提供了一种实现网络安全接入控制的方法及系统、 服务器， 用于解决内网的安全性问题。

图 1示出了本发明实施例提供的实现网络安全接入控制的系统部署结构。 安全接入控制网关作为终端连接内网或外网的网关设备，交换机与安全接 入控制网关连接， 交换机下连接不同的终端， 终端上安装安全控制软件； 服务 器分别与安全接入控制网关和交换机连接，终端通过交换机向服务器发送身份 认证信息，服务器向交换机和安全接入控制网关返回认证结果， 并向终端的安 全控制模块返回安全策略。

服务器是维护一个合法用户的身份信息数据库，对终端用户进行接入身份 验证。服务器预先导入所有合法用户身份信息到数据库，保存每一个用户的帐 号和密码，在用户接入网络时验证其帐号和密码的正确性， 必要时还可以更深 入的审核终端的介质访问控制 （MAC, Media Access Control )地址信息、 用 户在要登录域服务器上的帐号信息、用户在要登录轻量级目录访问协议服务器 上的帐号信息等可以唯一表示用户或终端身份的信息，以确定是否让终端接入 指定网络网。

交换机支持 802.1x协议， 802.1x协议控制交换机端口的打开或者关闭， 在接入层隔离未经授权的终端接入网络。 另外， 802.1x协议控制交换机隔离 交换机各个端口连接的终端之间的互访，有效地控制终端之间文件或其他数据 的传输， 有效地隔离病毒在终端之间的感染。

安全接入控制网关根据服务器验证的终端用户访问网络的权限级别，限制 终端访问指定 IP段的网络资源。

终端上安装安全控制软件， 根据服务器下发的安全策略监控终端的运行， 监控终端访问网络的端口， 允许或禁止终端安装或运行管理员指定的软件，检 查和修正终端系统的补丁安装， 监视和禁止终端运行某些进程等。 总的来说， 安全软件根据服务器下发的安全策略监控终端的运行，检查和解决终端的安全 问题， 并监控和阻止终端上违反安全策略的操作。

需要说明的是： 内网是终端要访问的企业内网， 外网是终端要访问的互联 网或需要通过互联网连接的服务器等。

以下结合附图详细说明本发明实施例提供的实现网络安全接入控制的方 法及系统、 服务器。

图 2示出了本发明实施例提供的实现网络安全接入控制的方法流程图。 本实施例从终端向服务器发起认证开始，服务器验证终端的用户名和密码 信息， 确认是否对终端开放上网权限， 终端用户访问网络的级别， 对终端下发 怎样的安全策略等。 认证通过后， 支持 802.1x协议的交换机根据服务器返回 的认证结果， 开放或关闭终端访问网络的权限； 安全接入控制设备根据服务器 返回的终端访问网络的权限级别， 向终端开放指定 IP地址段的网络资源； 而 终端上的安全控制软件根据服务器下发的安全策略，监控终端的运行，监控终 端访问网络的端口， 允许或禁止终端安装或运行管理员指定的软件，检查和修 正终端系统的补丁安装， 监视和禁止终端运行某些进程等。 具体过程如下： 步骤 201、 终端通过交换机向服务器发送使用加密双向加密方式加密的终 端身份信息；

终端连接在交换机下，终端发送的加密的终端身份信息通过交换机发送到 服务器。 双向加密方式是交换机支持的双向加密方式， 可以采用 DES、 3DES 或 AES几种加密方式， 服务器收到交换机转发的加密的终端身份信息后， 执 行步骤 202。

步骤 202、 服务器将使用双向加密方式加密的终端身份信息进行解密， 并 对解密的终端身份信息进行验证；

服务器是维护一个合法用户的身份信息数据库，对终端用户进行接入身份 验证。服务器预先导入所有合法用户身份信息到数据库，保存每一个用户的帐 号和密码，在用户接入网络时验证其帐号和密码的正确性。服务器上与每个用 户对应的还有该用户的访问网络的权限，访问网络的权限级别以及所对应的需 要监控的安全策略。服务器验证终端用户名和密码正确后，再根据用户名返回 该用户的访问网络权限以及访问网络的权限级别， 以及所需要的安全策略。

步骤 203、 服务器向交换机返回认证结果， 交换机根据返回的认证结果打 开或关闭终端访问网络的端口；

服务器向交换机返回的认证结果包括： 该用户的上网权限； 包括： 若返回 的认证结果是终端有访问网络的权限， 则交换机打开终端访问网络的端口； 若 返回的认证结果是终端没有访问网络的权限，则交换机关闭终端访问网络的端 口。 此处所述端口是终端与交换机连接的端口。

步骤 204、 服务器使用单向加密方式对解密的终端身份信息进行加密； 单向加密方式是单向的加密方式， 具体可以是 MD5或 SHA1。

步骤 205、 服务器对使用单向加密方式加密的终端身份信息进行验证； 服务器是维护一个合法用户的身份信息数据库，对终端用户进行接入身份 验证。服务器预先导入所有合法用户身份信息到数据库，保存每一个用户的帐 号和密码，在用户接入网络时验证其帐号和密码的正确性。服务器上与每个用 户对应的还有该用户的访问网络的权限，访问网络的级别以及所对应的需要监 控的安全策略。服务器验证终端用户名和密码正确后，再根据其用户名返回该 用户的访问网络权限以及访问网络的权限级别， 以及所需要的安全策略。

步骤 206、 服务器向安全接入控制网关返回认证结果， 安全接入控制网关 依据认证结果对终端访问网络资源进行控制；

服务器向安全接入控制网关返回的认证结果包括：所述终端访问网络的权 限级别；

安全接入控制网关依据认证结果对终端访问网络资源进行控制， 包括： 安 全接入控制网关依据所述终端访问网络的权限级别通过交换机向终端开放访 问指定 IP地址段的网络资源。 访问网络的权限级别包括： 向终端开放所有的 访问权限， 向终端开放部分 IP地址的网络访问权限， 或者是向终端开放一个 或几个 IP地址的网络访问权限。

步骤 207、 服务器向终端下发安全策略；

服务器向终端下发的安全策略包括：监控终端访问网络的端口，监控终端 上运行的进程和检查终端是否安装非法软件；

终端上安装的安全控制软件依据所述安全策略对所述终端进行监控， 包 括： 监控终端访问网络的端口， 监控终端上运行的进程， 检查终端是否按照非 法软件。

综上所述， 本发明实施例提供的安全接入控制方法， 支持 802.1x协议的 交换机根据对终端身份信息的认证结果打开或关闭终端的上网权限，安全接入 控制网关根据对终端身份信息的认证结果对终端访问网络资源进行具体的控 制，终端上安装的安全控制软件具体执行服务器下发的安全策略对终端进行监 控； 本发明实施例通过交换机、 安全接入控制网关和安全控制软件共同作用， 实现对终端访问网络的精细控制， 保证网络内容的安全。 具体的， 安全接入控 制网关和支持 802.1x交换机控制终端访问内网的具体资源， 有效地控制非法 用户访问内网资源，且对终端用户的访问权限级别做限定， 更进一步保证内网 资源的安全性； 同时也实现控制终端访问外网的权限，有效控制内部终端信息 的泄露， 加强网络安全。 进一步的， 终端上运行安全控制软件， 根据服务器下 发的安全策略对终端进行监控，及时发现终端的异常， 更进一步保证部署网络 的安全。

如下提供实现上述方法的服务器结构实施例。

图 3示出了本发明实施例提供的服务器结构图。

一种服务器， 包括：

第一认证模块 310, 用于接收交换机转发的使用双向加密方式加密的终端 身份信息； 将所述使用双向加密方式加密的终端身份信息进行解密， 并对所述 解密的终端身份信息进行验证； 向所述交换机返回认证结果， 所述交换机依据 所述认证结果对所述终端访问网络进行控制；

第二认证模块 320, 用于使用单向加密方式对所述第一认证模块解密的终 端身份信息进行加密； 对所述使用单向加密方式加密的终端身份信息进行验 证； 向安全接入控制网关返回认证结果， 所述安全接入控制网关依据所述认证 结果对所述终端访问网络资源进行控制；向所述终端的安全控制模块下发安全 策略， 所述终端安全控制模块依据所述安全策略对所述终端监控。

进一步的，所述第一认证模块 310向所述交换机返回的认证结果包括所述 终端有访问网络的权限或终端没有访问网络的权限。

进一步的，所述第二认证模块 320向安全接入控制网关返回的认证结果包 括所述终端访问网络的权限级别。

进一步的，所述第二认证模块 320所述向终端的安全控制模块下发的安全 策略包括： 监控所述终端访问网络的端口，监控所述终端上运行的进程和检查 所述终端是否按照非法软件。

本发明实施例还提供实现网络安全接入控制的系统，图 4示出了本发明实 施例提供的实现网络安全接入控制的系统图。 一种实现网络安全接入控制的系统， 包括： 服务器 300, 交换机 200, 安 全接入控制网关 400和终端 100;

所述终端 100, 包括： 发送模块 110和安全控制模块 120;

所述发送模块 110, 用于向所述交换机 200发送使用双向加密方式加密的 终端身份信息；

所述安全控制模块 120, 用于接收所述服务器 300下发的安全策略， 依据 所述安全策略对终端进行监控；

服务器 300向终端 100的安全控制模块 120下发的安全策略包括：监控终 端访问网络的端口， 监控终端上运行的进程和检查终端是否安装非法软件； 安全控制模块 120依据安全策略对终端 100进行监控， 包括： 监控终端访 问网络的端口， 监控终端上运行的进程， 检查终端是否按照非法软件。

所述交换机 200, 用于将所述终端 100发送的使用双向加密方式加密的终 端身份信息转发至所述服务器 300, 接收所述服务器 300返回的认证结果， 并 依据所述认证结果对所述终端 100访问网络进行控制；

服务器 300向交换机 200返回的认证结果包括该用户的上网权限； 包括： 若返回的认证结果是终端有访问网络的权限，则交换机 200打开终端访问网络 的端口； 若返回的认证结果是终端没有访问网络的权限， 则交换机 200关闭终 端访问网络的端口。 此处所述端口是终端 100与交换机 200连接的端口。

所述服务器 300, 用于接收所述交换机 200转发的使用双向加密方式加密 的终端身份信息； 将所述使用双向加密方式加密的终端身份信息进行解密， 并 对所述解密的终端身份信息进行验证； 向所述交换机 200返回认证结果； 使用 单向加密方式对所述解密的终端身份信息进行加密；对所述使用单向加密方式 加密的终端身份信息进行验证； 向所述安全接入控制网关 400返回认证结果； 向所述终端 100的安全控制模块 120下发安全策略；

所述安全接入控制网关 400, 用于接收所述服务器 300返回的认证结果， 并依据所述认证结果对所述终端 100访问网络资源进行控制。

服务器向安全接入控制网关返回的认证结果包括：所述终端访问网络的权 限级别；

所述安全接入控制网关 400依据认证结果对终端访问网络资源进行控制， 包括：所述安全接入控制网关 400依据所述终端访问网络的权限级别通过交换 机 200向终端 100开放访问指定 IP地址段的网络资源。 访问网络的权限级别 包括： 向终端 100开放所有的访问权限， 向终端 100开放部分 IP地址的网络 访问权限， 或者是向终端 100开放一个或几个 IP地址的网络访问权限。

本发明实施例安全接入控制系统， 支持 802.1x协议的交换机 200根据对 终端身份信息的认证结果打开或关闭终端 100的上网权限，安全接入控制网关 400根据对终端身份信息的认证结果对终端访问网络资源进行具体的控制， 终 端 100的安全控制模块 120具体执行服务器 300下发的安全策略， 对终端 100 进行监控； 本发明实施例通过交换机 200、 安全接入控制网关 400和终端 100 的安全控制模块 120共同作用， 实现对终端访问网络的精细控制，保证网络内 容的安全。 具体的， 安全接入控制网关 400和支持 802.1x交换机 200控制终 端访问内网的具体资源，有效地控制非法用户访问内网资源，且对终端用户的 访问权限级别做限定， 更进一步保证内网资源的安全性； 同时也实现控制终端 访问外网的权限， 有效控制内部终端信息的泄露， 加强网络安全； 进一步的， 终端 100的安全控制模块 120, 根据服务器 300下发的安全策略对终端 100进 行监控， 及时发现终端 100的异常， 更进一步保证部署网络的安全。

在实现网络安全接入控制的系统中，可以存在多个终端， 同时通过交换机 与服务器和安全接入控制网关连接。本发明实施只以一个终端的网络安全接入 控制为例说明实现网络安全接入控制系统，同样适用与网络中其他终端的网络 安全接入控制。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程， 是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算 机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。 其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（Read-Only Memory, ROM )或随机存储记忆体（Random Access Memory, RAM )等。

以上对本发明所提供的一种实现网络安全接入控制的方法及系统、服务器 进行了详细介绍， 对于本领域的一般技术人员， 依据本发明实施例的思想， 在 具体实施方式及应用范围上均会有改变之处， 综上所述，本说明书内容不应理 解为对本发明的限制。

Claims

权 利 要 求

1、 一种实现网络安全接入控制的方法， 其特征在于， 包括：

接收交换机转发的使用双向加密方式加密的终端身份信息；

对所述使用双向加密方式加密的终端身份信息进行解密，并对解密后的终 端身份信息进行验证；

向所述交换机返回认证结果，以便交换机依据认证结果对所述终端访问网 络进行控制；

使用单向加密方式对所述解密后的终端身份信息进行加密；

对使用单向加密方式加密的终端身份信息进行验证；

向安全接入控制网关返回认证结果，以便安全接入控制网关依据认证结果 对所述终端访问网络资源进行控制；

向所述终端的安全控制模块下发安全策略，以便所述终端的安全控制模块 依据所述安全策略对所述终端进行监控。

2、 根据权利要求 1所述的实现网络安全接入控制的方法， 其特征在于， 所述向所述交换机返回的认证结果包括：

向所述交换机返回表示所述终端有访问网络的权限的认证结果，以便所述 交换机打开所述终端访问网络的端口； 或者

向所述交换机返回表示终端没有访问网络的权限的认证结果，以便所述交 换机关闭所述终端访问网络的端口。

3、 根据权利要求 1所述的实现网络安全接入控制的方法， 其特征在于， 所述向安全接入控制网关返回的认证结果包括： 所述终端访问网络的权限级 别，以便所述安全接入控制网关依据所述终端访问网络的权限级别向所述终端 开放访问指定 IP地址段的网络资源。

4、 根据权利要求 1所述的实现网络安全接入控制的方法， 其特征在于， 所述向终端的安全控制模块下发的安全策略包括：

向所述终端的安全控制模块下发关于监控所述终端访问网络的端口，和监 控所述终端上运行的进程， 和检查所述终端是否安装非法软件的安全策略， 以 便依据所述安全策略监控所述终端访问网络的端口，和监控所述终端上运行的 进程， 和检查所述终端是否按照非法软件。

5、 根据权利要求 1至 4所述的任一项实现网络安全接入控制的方法， 其 特征在于， 所述双向加密方式包括： DES、 3DES或 AES;

所述单向加密方式包括： MD5或 SHA1。

6、 一种服务器， 其特征在于， 包括：

第一认证模块，用于接收交换机转发的使用双向加密方式加密的终端身份 信息； 将所述使用双向加密方式加密的终端身份信息进行解密， 并对解密后的 终端身份信息进行验证； 向所述交换机返回认证结果， 以便所述交换机依据所 述认证结果对所述终端访问网络进行控制；

第二认证模块，用于使用单向加密方式对所述第一认证模块解密的终端身 份信息进行加密；对所述使用单向加密方式加密的终端身份信息进行验证； 向 安全接入控制网关返回认证结果，所述安全接入控制网关依据所述认证结果对 所述终端访问网络资源进行控制； 向所述终端的安全控制模块下发安全策略， 以便所述终端安全控制模块依据所述安全策略对所述终端监控。

7、 根据权利要求 6所述的服务器， 其特征在于， 所述第一认证模块向所 述交换机返回的认证结果包括：所述终端有访问网络的权限或终端没有访问网 络的权限。

8、 根据权利要求 7所述的服务器， 其特征在于， 所述第二认证模块向安 全接入控制网关返回的认证结果包括： 所述终端访问网络的权限级别。

9、 根据权利要求 8所述的服务器， 其特征在于， 所述第二认证模块所述 向终端的安全控制模块下发的安全策略包括： 监控所述终端访问网络的端口， 监控所述终端上运行的进程和检查所述终端是否按照非法软件。

10、 一种实现网络安全接入控制的系统， 其特征在于， 包括： 服务器， 交 换机， 安全接入控制网关和终端；

所述终端包括： 发送模块和安全控制模块，

所述发送模块，用于向所述交换机发送使用双向加密方式加密的终端身份 信息；

所述安全控制模块，接收所述服务器下发的安全策略，依据所述安全策略 对终端进行监控；

所述服务器：用于接收所述交换机转发的使用双向加密方式加密的终端身 份信息； 将所述使用双向加密方式加密的终端身份信息进行解密， 并对解密后 的终端身份信息进行验证； 向所述交换机返回认证结果； 使用单向加密方式对 所述解密后的终端身份信息进行加密；对所述使用单向加密方式加密的终端身 份信息进行验证； 向所述安全接入控制网关返回认证结果； 向所述终端的安全 控制模块下发安全策略；

所述交换机，用于将所述终端发送的使用双向加密方式加密的终端身份信 息转发至所述服务器，接收所述服务器返回的认证结果， 并依据所述认证结果 对所述终端访问网络进行控制；

所述安全接入控制网关， 用于接收所述服务器返回的认证结果， 并依据所 述认证结果对所述终端访问网络资源进行控制。