專利名稱:思科環境下的網絡準入控制系統的制作方法
技術領域:
本實用新型涉及網絡通信控制領域,特別涉及在思科(Cisco)環境下對網絡終端設備接入網絡的準入控制。
背景技術:
隨著企事業單位信息化建設水平的逐步提高,各類應用系統相繼部署,網絡用戶在享受到信息化帶來的便捷和高效的同時,對網絡和信息系統的依賴性也日益提高,而內部網絡安全事件一旦發生,整個網絡和信息系統的故障和被破壞將給所在機構的生產和工作帶來災難性的全局停頓和無法彌補的損失。在各種對網絡數據和信息構成的安全風險中,內部漏洞和攻擊造成的威脅遠遠大于從互聯網穿越防火墻構成的威脅,而內部漏洞和攻擊的源頭則絕大部分被追溯到接入網絡的各種終端設備。因此,對入網終端設備進行有效的接入控制和安全性檢查、隔離修復將切實有效地大大減少內部威脅造成的安全風險。針對上述問題,目前安全業界普遍采用的是基于IEEE 802. Ix協議,如圖1所示, 來進行端口級別的控制,其主要控制原理為初始狀態下,在靠近用戶一側的以太網交換機上的所有端口均處于關閉狀態,只有EAPoL(EAP over LAN)數據流才能通過,其他任何類型的網絡數據流,如動態主機配置協議、超文本傳輸協議(HTTP)、文件傳輸協議(FTP)、簡單郵件傳輸協議(SMTP)和郵局協議 (P0P3)等都被禁止傳輸。此時,交換機上將具有一個標準或非標準的EAP(extensible authentication protocol)代理,用戶PC機運行一個能夠生成EAPoL報文的客戶端與交換機通信。當用戶PC機發出攜帶用戶名和口令的EAPoL報文時,交換機將用戶提供的信息傳送到后臺的 Radius認證服務器上。如果用戶名及口令通過了驗證,則相應的以太網端口打開,允許用戶訪問ο但是,基于802. Ix協議的準入控制方案存在使用上的極大不便,無法在端口打開后根據用戶身份進行權限控制,另外在大部分環境下對hub的支持不足。首先,目前所有的802. Ix平臺都要求入網用戶必須安裝進行認證的EAPoL客戶端,這種情況存在許多缺陷其一、新入網設備如果未安裝客戶端,將無法通過認證進入網絡,而此時沒有任何提示信息,所有與網絡中資源的聯系均被切斷,用戶自身無法進行任何操作,如果依靠管理員手工安裝EAPoL客戶端,工作量將十分繁重;其二、網絡中的許多非桌面型ip設備(如網絡打印機)在無法安裝客戶端的情況下將被隔離出網絡。其次,大部分的802. Ix認證都是基于端口的,認證通過后端口完全放開,無法根據入網用戶身份角色的不同進行動態的權限控制,在入網用戶權限無法規范的情況下,很容易導致內部重要資源的泄密。而對于大部分交換機而言,標準的802. Ix協議也無法解決端口下掛hub的情況。 IEEE802. Ix協議是基于端口的,那么在端口下掛hub時,如果某一臺設備通過認證打開交
3換機端口,那么同一 hub下廣播域內的所有設備均無需認證就會直接入網,這是hub環境下的控制漏洞。最后,大部分的802. Ix架構中eap包的響應和處理都是基于軟件方式的,在通用的某臺服務器上,基于window系統安裝radius程序后進行處理和控制,其響應速度和處理效率都受到整體硬件環境和操作系統的制約,無法應用于大規模、高性能要求的網絡環境中。
發明內容針對現有技術存在網絡準入控制系統使用極不方便,無法在端口打開后根據用戶身份進行權限控制,且大部分環境下對hub的支持不足的缺陷,本實用新型提供一種對網絡終端設備進行有效的接入控制和權限管理的網絡準入控制系統。為實現上述發明目的,本實用新型采用如下的技術方案思科環境下的網絡準入控制系統,包括發出入網請求的終端設備、與請求的終端設備相連接的交換機,所述的交換機用于獲知發出入網請求的終端設備的狀態并產生查詢數據,還包括準入控制模塊,所述的準入控制模塊與交換機相連,用于接收和處理查詢數據、生成并傳輸應答數據到交換機。發出入網請求的終端設備通過網線接入網絡,交換機實時發現該設備并通過預先設置的規則產生查詢數據,準入控制模塊接收到查詢數據后會產生查詢動作,按照預先設置的規則生成應答數據,并將應答數據傳輸到交換機,交換機按照應答數據的指示來決定是否準入,或采取何種準入策略。作為優選,所述的準入控制模塊包括PHY物理層芯片,用于發送查詢數據和接收應答數據;Radius處理模塊,用于處理查詢數據和生成應答數據;Flash memory存貯模塊, 用于存貯設備狀態和接入策略;所述的嵌入式Radius處理模塊通過PHY物理層芯片與交換機相連接,所述的Flash memory存貯模塊與Radius處理模塊相連接。Radius模塊收到從 PHY物理層芯片發送過來的查詢數據幀,并提取出相關字段中的數據,從Flash memory存貯模塊中提取設備狀態和接入策略,按照預先設定的規則,生成應答數據并向PHY物理層芯片發送相關應答數據。作為優選,所述的準入控制模塊還包括顯示芯片電源,所述的顯示芯片、電源均與 Radius處理模塊相連接。顯示芯片用于設備狀態的顯示,電源為嵌入式Radius處理模塊提供電源支持。本實用新型的思科環境下網絡準入控制系統具有以下有效效果在思科的網絡環境中,其特有的radius的報文字段對傳統的802. Ix認證報文進行了擴展,增加了設備狀態(posture),接入策略(Access Policy)等一系列更精確的屬性,充分利用了本實用新型中radius處理模塊依據設備狀態計算出的應答指令與接入策略所對應的關系,利用不同的接入策略來通告思科網絡設備對入網終端進行相應控制。由于上述技術方案中所描述的radius平臺在通信過程中,充分利用了動態ACL 在網絡設備(交換機)中的功能,并將入網終端的身份和安全性轉化為一種“狀態”—— posture的概念,這是指試圖接入網絡的電腦所擁有的一系列憑證和屬性的集合,包含了用戶電腦的狀態或健康程度,以及電腦上安裝的程序信息,本實用新型最終將單臺設備-狀態-安全策略-動態ACL進行了多項綁定,因此控制粒度更細,控制功能更靈活,克服了網絡物理環境上的限制,克服了基于端口模式準入平臺的技術局限性。
圖1為基于IEEE 802. Ix協議的端口級別控制示意圖。圖2為實施例結構示意圖。圖3為下掛HUB的組網拓撲圖。
具體實施方式
下面結合圖2、圖3與具體實施方式
對本實用新型做進一步的說明。思科環境下的網絡準入控制系統,如圖2所示,包括依次連接的請求的終端設備 1、交換機2,準入控制模塊11,所述的準入控制模塊11包括順序連接的PHY物理層芯片3、 Radius處理模塊4、Flash memory存貯模塊5,所述的準入控制模塊11還包括顯示芯片6、 電源8,所述的顯示芯片6、電源8均與Radius處理模塊4相連接。所述的Radius處理模塊4包括ARM處理器9、以太網控制器10,所述的ARM處理器9內嵌TCP/IP協議棧、Radius 響應程序、uCOS操作系統。預先將接入設備的設備狀態和接入策略數據存儲在Flash memory存貯模塊5,設備狀態字段包括healthy、quarantine, guest、static四種基本狀態;其中,四種基本狀態對應了 radius模塊計算出的應答指令,指令中包括交換機需要應用的動態ACL名稱,包括 redirect-ACL、guest-ACL、permit-ACL 三種基本 ACL。三種基本 ACL 需要 radius 模塊和交換機進行事先的協商確定(例如radius模塊中加入對snmp協議的支持,對交換機進行管理后配置相應的ACL),確保應答指令中的ACL在交換機上切實存在。所述的應答數據報文包含的結構為
權利要求1.思科環境下的網絡準入控制系統,包括請求的終端設備(1)、與請求的終端設備(1) 相連接的交換機O),所述的交換機( 用于獲知請求的終端設備(1)的狀態并產生查詢數據,其特征在于還包括準入控制模塊(11),所述的準入控制模塊(11)與交換機( 相連, 用于接收和處理查詢數據、生成并傳輸應答數據到交換機(2)。
2.根據權利要求1所述的思科環境下的網絡準入控制系統,其特征在于所述的準入控制模塊(11)包括PHY物理層芯片(3),用于發送查詢數據和接收應答數據;Radius處理模塊G),用于處理查詢數據和生成應答數據;Flash memory存貯模塊(5),用于存貯設備狀態和接入策略;所述的Radius處理模塊(4)通過物理層芯片C3)與交換機( 相連接,所述的Flash memory存貯模塊( 與Radius處理模塊(4)相連接。
3.根據權利要求2所述的思科環境下的網絡準入控制系統,其特征在于所述的準入控制模塊(11)還包括顯示芯片(6)、電源(8),所述的顯示芯片(6)、電源(8)均與Radius 處理模塊(4)相連接。
專利摘要本實用新型涉及網絡通信控制領域,特別涉及在思科環境下對網絡終端設備接入網絡的準入控制。思科環境下的網絡準入控制系統,包括依次連接的發出入網請求的終端設備、交換機,準入控制模塊,準入控制模塊包括順序連接的PHY物理層芯片、Radius處理模塊、Flashmemory存貯模塊,Radius處理模塊包括ARM處理器、以太網控制器。本實用新型利用radius處理模塊來應答設備狀態和管理指令,是一種基于設備的準入技術,設備入網時無需利用客戶端發出認證報文,能夠克服hub的環境限制達到無客戶端入網、友好引導、訪問權限控制的準入效果,并且其專門的硬件處理模塊能夠有效的支撐大規模高性能網絡的安全需求。
文檔編號H04L29/06GK202334564SQ20112004810
公開日2012年7月11日 申請日期2011年2月25日 優先權日2011年2月25日
發明者何俊, 羅治華 申請人:杭州盈高科技有限公司