[发明专利]网络接入控制系统

说明书

技术领域

本发明属于一种网络接入控制系统，具体涉及一种具有基于PKI数字证书身份认证功能的系统。

背景技术

随着企业信息化工作的开展，信息安全对于企业网络和涉密信息系统的重要性日益突出，网络在支持业务运行方面发挥着至关重要的作用。但传统的终端安全系统(病毒防护软件、桌面防火墙等)和网络边界安全防护系统(防火墙、入侵检测等)对于未授权计算机接入内部网络却无能为力。未授权计算机接入内部网络同样可以和内网的电脑通信，由此可能带来网络攻击，网络入侵者可以通过连接任意端口进入企业内部网络，通过一些技术手段进行破坏和窃密活动，因此这对网络接入认证技术提出了迫切的需求。潜在的安全风险主要体现在以下方面：

(1)将计算机病毒传入网络；

(2)成为攻击内部网络的接入点；

(3)将内部网络中的信息拷贝到未授权的电脑，造成信息泄密。

因此，保护网络接入控制变得无比重要。

现有的技术手段是交换机MAC地址绑定技术。

原理：交换机记录网内计算机的MAC地址信息，将MAC地址与IP或端口绑定，当发现新接入计算机，若其MAC地址与设定的地址不同，则阻断其进行网络连接。

缺点是：(1)在交换机端口层面实现MAC地址的认定，未在整体网络层面认定允许接入网络的MAC地址，限制了计算机的在内部网络中的可移动性，造成网络人工维护量过大，且易因人工配置疏忽导致完全开放的交换机端口的存在。(2)存在MAC地址仿冒的风险，安全隐患较大。

发明内容

本发明的目的是提供一种网络接入控制系统，在终端用户入网前进行基于数字证书PKI系统的身份认证、终端安全状态检测，保证接入涉密网主机的身份合法、状态健康。

本发明是这样实现的，网络接入控制系统，包括两个专用模块完成网络接入控制和安全性检查功能，两个模块分别是，网络接入控制模块和安全性检查模块。

所述的网络接入控制模块包括客户端和服务器端，客户端运行在要执行安全性检查的用户主机上，系统支持用户名密码和PKI数字证书两种认证方式，客户端运行后将认证信息先发送到与主机相连接的交换机上，交换机将得到的认证信息发送到认证服务器上进行认证，服务器返回认证结果，交换机根据认证结果控制端口的状态。

所述的安全性检查模块分为客户端和服务器端两部分，服务端功能：通过服务端控制台确定各个客户端需要安装的软件情况，并确定安全策略：如果客户端不符合安全策略，则根据安全策略的设置做不同的响应：警告、隔离和断网；客户端功能：用户登陆系统后，终端控制软件立即做终端的安全性检查，判断客户端是否和控制台的安全要求符合，如不符合则按照安全策略定义的方式响应。

本发明的优点是，网络接入控制系统采用基于PKI数字证书身份认证技术，确保终端设备在接入网络前需要认证，并检查入网终端的安全状态，只有认证通过并且安全状态检查后完全遵循本地网络的安全策略，才能接入工作网络。未认证的端点无法接入网络，认证通过但不符合安全策略的端点无法接入工作网络、可跳转到补救的隔离区供终端修正其自身安全状态，确保只有自身安全状态符合安全策略时才可接入工作。

附图说明

图1：802.1x网络接入认证示意图；

图2：网络接入控制部署图。

具体实施方式

下面结合附图和实施例对本发明进行详细介绍：

网络接入控制系统包括两个专用模块完成网络接入控制和安全性检查功能，两个模块协同工作，两个模块分别是，网络接入控制模块和安全性检查模块，其主要实现的功能如下所述：

网络接入控制模块

802.1X是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。802.1X认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证失败就使这个端口保持“关闭”或者接入GuestVLAN中，即只允许802.1X的认证协议报文通过。

如图1所示：网络接入控制模块分为客户端和服务器端，客户端运行在要执行安全性检查的用户主机上，系统支持用户名密码和PKI数字证书两种认证方式，客户端程序运行后将认证信息先发送到与主机相连接的交换机上，交换机将得到的认证信息发送到认证服务器上进行认证，服务器返回认证结果，交换机根据认证结果控制端口的状态。

网络接入控制系统认证前和认证后端口状态如下表：