[发明专利]网络接入控制应用系统的安全检查方法及安全策略服务器

说明书

技术领域

本发明涉及网络接入控制领域，尤其涉及一种网络接入控制应用系统的安全检查方法及安全策略服务器。

背景技术

随着网络应用的不断普及与深入，网络安全成为各企业极为重视的问题。NAC(Network Access Control，网络接入控制)应用系统为企业提供了一个相对完整的网络安全解决方案，如H3C(华三通信)的EAD(Endpoint Admission Defense，端点准入防御)，Cisco(思科)的CNAC(Cisco Network Admission Control，思科网络准入控制)以及微软尚未发布的MS-NAP(Microsoft Network Access Protection，微软网络访问保护)等应用系统。

如图1所示，通常NAC应用系统包括AAA(AuthenticationAuthorization Accounting，认证、授权与计费)服务器110、安全策略服务器120、接入设备130和分别安装在各个接入终端150上的NAC客户端软件。当接入终端150通过接入设备130接入网络时，NAC应用系统一般对其进行两级控制——身份认证和安全检查。需要说明的是，图1中各个服务器是具有相应功能的逻辑单元，根据具体的网络环境，这些服务器可能由不同数量的物理设备来实现。

NAC应用系统首先由AAA服务器110对使用接入终端150的用户的身份进行认证，在用户通过身份认证前该接入终端150不能访问任何其他的网络资源，甚至没有可用的IP地址；在通过身份认证后，用户可以通过该接入终端150访问一个逻辑的隔离区，在隔离区可以进行病毒库更新、终端软件的补丁更新等，处在隔离区的用户相互之间不能通信。

NAC应用系统的安全检查由安全策略服务器120结合接入终端150上的NAC客户端进行，对隔离区中的接入终端150是否符合安全要求予以检测，在检测结果为符合安全要求时对接入终端150解除隔离限制。安全检查的内容包括多个安全检查项，例如检测接入终端150上是否存在病毒、检测接入终端150上是否开启了某特定监听端口或运行了某特定软件等。

为了更好地实现网络安全，企业根据自身特点往往希望将各种各样的安全检查项列入NAC应用系统的安全检查范围中，这些安全检查项的检测有的是DM(Desktop Management，桌面管理)应用系统已经具有的功能。如图1所示，DM应用系统通常包括DM服务器140和安装在接入终端150上的DM客户端软件，能够对接入终端150的某个或某些安全检查项进行检测。在出现网络接入控制技术之前，传统的桌面管理应用系统，如防病毒系统、补丁管理、软件防火墙等已经有了非常普及的应用。为保护现有投资，企业在引入NAC应用系统增强其网络安全的同时，会要求NAC应用系统与正在使用的DM应用系统能够协同进行安全检查工作。

一个NAC应用系统一般由一家网络解决方案提供商提供，NAC应用系统提供商会提出一个NAC框架，并推动DM应用系统提供商融入到这个NAC框架中来。现有技术中，NAC框架中包括一系列与DM应用系统的接口规范，这些接口规范不仅与DM应用系统的业务功能相关，而且还与每个DM系统对该功能的具体实现相关。

例如，在针对NAC框架与防病毒DM应用系统的接口规范中会有获取接入终端上防病毒客户端的病毒库更新日期的接口，这个接口是与防病毒业务功能相关的。这样，对NAC应用系统而言，防病毒方面的接口规范可以适用于不同厂商开发的防病毒DM应用系统，但不适用于其它类型的DM应用系统。比如要把补丁管理系统融入NAC框架，需要针对补丁管理系统制定一套新的接口规范。也就是说，针对不同类型的DM系统存在不同的接口规范，每当NAC框架支持一类新的DM应用系统时，都要制定一套相应的接口规范，扩展性差。

而对DM应用系统而言，由于NAC框架中的接口规范与DM应用系统的具体实现相关，一个独立的DM应用系统要融入到一个NAC框架中，需要按照其具体实现来进行适配开发，以便在DM应用系统侧实现由NAC框架制定的接口规范，如提供相应的动态链接库。

以DM应用系统提供DLL(Dynamic Linkage Library，动态链接库)为例，通常在NAC应用系统中安装各个DM应用系统的DLL库，为NAC应用系统提供DM应用系统所具有的安全检查功能的调用接口。当NAC应用系统进行某个安全检查项检测时，可以调用具有对应功能的DM应用系统的DLL接口，由DM应用系统中实现该功能的模块就该安全检查项对接入终端进行检测。