一種網絡終端節點的安全接入管控系統及方法

一種網絡終端節點的安全接入管控系統及方法
【技術領域】
[0001]本發明屬于網絡安全管理技術領域，涉及一種安全管控系統，具體涉及一種網絡終端節點的安全接入管控系統及方法。
【背景技術】
[0002]目前智能終端通過使用無線接入點后所帶來終端隨意接入訪問的網絡邊界接入安全問題日益突出顯現。隨意架設任何人都可訪問的無線熱點，沒有任何安全措施的智能終端通過無線熱點接入電子政務、電子稅務等專有網絡之中并且不加控制的隨意訪問，這些行為嚴重破壞了專有網絡邊界的完整性，為惡意入侵者大開方便之門，并輕易的為其提供了可乘之機。如何有效管控網絡終端的安全接入，構建可信的網絡終端準入控制體系，從源頭上防范非法接入安全隱患已成為當前網絡安全管理的關鍵。

【發明內容】

[0003]本發明的目的在于解決上述問題，提供一種網絡終端節點的安全接入管控系統及方法，該系統主要是基于身份認證和終端準入控制技術，實現了用戶身份認證、終端節點可信接入、違規操作鑒別、訪問權限控制和安全接入管控等功能。
[0004]為了實現上述目的，本發明所采用的技術方案是:
[0005]一種網絡終端節點的安全接入管控系統，包括用戶身份認證模塊、終端接入認證模塊、違規操作鑒別模塊、網絡訪問權限控制模塊以及安全接入管理模塊；
[0006]用戶身份認證模塊完成終端用戶的可信身份認證；
[0007]終端接入認證模塊完成終端節點的可信接入認證；
[0008]違規操作鑒別模塊實現對違規架設NAT和代理服務器的行為鑒別；
[0009]網絡訪問權限控制模塊實現對用戶網絡訪問權限的分組控制；
[0010]安全接入管理模塊實現網絡用戶與終端節點信息的審核管理和維護，實時監控用戶網絡狀態，并對在線時長和網絡流量進行統計。
[0011]所述的用戶身份認證模塊包括CA用戶證書以及CA認證服務器；CA認證中心為每位用戶配發一個USB-Key硬件設備，CA用戶證書、私鑰以及用戶的基本信息保存在USB-Key硬件設備中；USB_Key硬件設備能夠設置用戶口令，且具有USB接口。
[0012]所述的終端接入認證模塊包括接入認證交換機、CA認證服務器以及RADIUS認證服務器；RADIUS認證服務器根據用戶提交的認證賬號和密碼進行接入認證。
[0013]所述的違規操作鑒別模塊利用NPF驅動的過濾和捕獲功能，捕獲并分析數據包，根據分析結果判定用戶是否有私設代理的行為發生。
[0014]所述的安全接入管理模塊包括RADIUS認證服務器、數據庫服務器以及安全管理服務器。
[0015]一種網絡終端節點的安全接入管控方法，包括以下步驟:
[0016]I)利用用戶身份認證模塊，結合CA身份認證方式，完成接入網絡的終端用戶的可信身份認證；
[0017]2)利用終端接入認證模塊，對通過身份認證的可信用戶采用802.1x協議，完成終端節點的可信接入認證；
[0018]3)采用違規操作鑒別模塊，利用NPF組件捕獲數據包的功能，通過對數據包結構、相關屬性值以及協議的分析，對通過可信接入認證的終端節點進行違規架設NAT和代理服務器的行為鑒別；
[0019]4)采用網絡訪問權限控制模塊，利用基于組的安全訪問權限控制策略，對接入網絡的終端用戶進行分組管理并設定網絡訪問范圍；同時通過終端訪問控制組件對終端用戶的訪問過程進行管控，發現違規行為立即上報，通知管理員作出相應處理；
[0020]5)利用安全接入管理模塊對網絡用戶及其接入信息進行審核管理和維護控制，實時監控上網用戶的身份信息、接入驗證過程、上下線時間、上下行信息流量、上網終端所接交換設備的端口號以及IP地址信息，并對在線時長和網絡流量進行統計，實現對網絡終端節點全方位的安全接入管控。
[0021]所述的步驟I)中，可信身份認證的具體方法是:
[0022]1-1)首先終端組件通過GetTimes O函數獲取本地時間，然后將時間拼裝成字符串格式；
[0023]1-2)通過GenSimpleKey (10)函數獲取時間字符串的10位隨機數；
[0024]1-3)調用本地的USB-Key硬件設備中的私鑰對該隨機數進行PKCS#7簽名，簽名函數 Certif icateSign_certThumbprint (strTexts, rtest)由相應 CA 認證中心提供；
[0025]1-4)簽名完成后，調用CA認證服務器進行驗證，服務器利用私鑰解密出證書信息和本地時間，然后查看證書信息是否存在于白名單中，同時將本地時間與當前時間作比較，確保驗證過程在允許的時間間隔內完成。
[0026]所述的步驟2)中，可信接入認證的具體方法是:
[0027]2-1)用戶插入USB-Key硬件設備，終端組件廣播發送EAPOL-Start包，請求認證；
[0028]2-2)接入認證交換機返回請求用戶名包；
[0029]2-3)終端組件自動獲取數字證書設備中的入網號作為用戶名，發送封裝用戶名的數據包；
[0030]2-4)RADIUS服務器產生MD5_Challenge加密字，并由接入認證交換機返回給終端組件；
[0031]2-5)客戶端發送用戶名和加密密碼包；
[0032]2-6)接入認證交換機將用戶名和密碼包轉發給RADIUS服務器進行驗證，合法則返回成功認證包，否則返回認證失敗包。
[0033]所述的步驟3)中，違規操作鑒別的具體方法是:
[0034]I)數據包的捕獲
[0035]利用NPF驅動提供的數據包過濾和捕獲功能捕獲IP數據包，具體捕獲方法如下:
[0036]1-1)獲取所有存在的網絡設備的鏈表；
[0037]1-2)選擇物理網卡，用非混雜模式打開；
[0038]1-3)設置過濾器；
[0039]1-4)捕獲分析數據包；
[0040]如果不是IP數據包對其數據包放行，如果是IP數據包，復制該數據包，然后去掉數據鏈路層14字節的幀頭部后得到真正的IP包信息，采用數據結構IP_HEADER來保存IP頭部信息；
[0041]2)分析IP字段
[0042]根據報頭的地址段信息判斷該主機是否設置了 NAT服務；如果存在違規行為，自動將指定的異常情況向服務器報警，由管理員視情況作出相應處理或自動阻斷用戶的網絡接入；如果不存在違規行為，就分析協議字段；
[0043]3)根據協議類型字段從IP數據包中分離出TCP報文，分析TCP數據字段中的信息判定該主機是否提供了代理服務；如果存在違規行為，自動將指定的異常情況向服務器報警，如果不存在違規行為，就對該數據包直接放行。
[0044]所述的步驟4)中，網絡訪問權限控制的具體方法是:
[0045]用戶首次接入內網時，需要在內網數據庫進行信息補充和注冊，然后由管理員根據用戶信息完成審核和分組，將組別主要分為管理員、高級用戶和普通用戶；針對不同組的訪問權限設置控制策略有允許訪問、禁止訪問和限制訪問三種；允許訪問時所有地址全部允許；禁止訪問時所有地址全部禁止；限制訪問則依據黑白名單進行訪問，其中白名單地址訪問一律放行，黑名單地址訪問一律禁止。
[0046]與現有技術相比，本發明具有以下有益效果:
[0047]本發明能夠完成對用戶可信身份認證、終端節點可信接入、違規操作鑒別、訪問權限控制以及網絡接入狀態實時監控的功能；實現了基于身份認證的可信終端安全接入控制系統，系統穩定可靠，認證效率較高，對NAT和代理服務等違規行為的檢測預警準確，通過WEB管理界面對終端用戶網絡狀態進行監