一种可信网络接入与访问控制系统及方法.pdf

本发明公开了一种可信网络接入与访问控制系统，所述控制系统包括网络接入请求者、网络接入决策者、网络接入控制者，网络接入请求者在接入网络时进行平台身份认证，检测请求者安全可信状态，将安全可信状态发送到网络接入决策者，由决策者判断请求者安全可信等级，并给出网络访问决策，将网络访问决策发送到网络接入控制者，由控制者限制请求的网络访问本发明还公开了一种可信网络接入与方法。本发明基于TCM进行平台身份认证，保证网络接入控制同时，避免身份伪造；基于数字标签技术划分网络区域，网络区域动态动态更新，实现网络自适应，保证不同逻辑区域访问安全；配置安全可信策略，结合TCM密码算法保证请求者平台状态安全可信。

权利要求书1.  一种可信网络接入与访问控制系统，其特征在于：所述控制系统包括网络接入请求者、网络接入决策者、网络接入控制者，其中：网络接入请求者包含身份认证模块、安全可信状态检测模块、信息上报模块、在线状态维持模块、数字标签标记模块；网络接入决策者包含身份验证模块、安全可信状态验证模块、策略分发模块、请求者在线状态维持模块、安全域管理模块；网络接入控制者包含数字标签验证模块、网络访问控制模块；网络接入请求者在接入网络时进行平台身份认证，检测请求者安全可信状态，将安全可信状态发送到网络接入决策者，由决策者判断请求者安全可信等级，并给出网络访问决策，将网络访问决策发送到网络接入控制者，由控制者限制请求的网络访问。2.  根据权利要求1所述的一种可信网络接入与访问控制系统，其特征在于：所述控制系统的网络接入请求者、网络接入决策者、网络接入控制者操作过程全部使用TCM密码算法进行加解密与签名，保证信息交互安全。3.  根据权利要求1或2所述的一种可信网络接入与访问控制系统，其特征在于：所述网络接入决策者预制安全可信域与安全可信域属性，安全可信域属性包含数字标签特征、安全等级。4.  根据权利要求3所述的一种可信网络接入与访问控制系统，其特征在于：所述网络接入决策者设置安全可信策略，用于终端进行安全可信状态检查。5.  一种可信网络接入与访问控制方法，其特征在于：网络接入决策者采用数字标签技术将整个网络划分为不同的安全域，网络接入请求者通过身份认证发起网络接入请求，然后从网络接入决策者接收网络接入控制策略，网络接入请求者按照网络接入控制策略执行安全可信检查，将检查结果发送到网络决策者，决策者根据检查结果判断请求者安全状态，并将对应的安全域数字标签特征发送到请求者，请求者在后续网络访问过程中对网络数据包打数字标签，网络接入控制者根据网络数据包中数字标签判断请求者网络访问是否合法。6.  根据权利要求5所述的一种可信网络接入与访问控制方法，其特征在于：结合国产TCM芯片与数字标签技术，所述控制方法包含步骤如下：步骤V101：网络接入请求者首先将AIK证书发送到网络接入决策者，由网络接入决策者验证请求者的平台身份；步骤V102：网络接入请求者AIK证书认证通过后，使用TCM对称加密算法对用户名、密码加密，并使用AIK私钥对加密信息签名，将签名后信息发送到网络接入决策者；步骤V103：网络接入决策者首先使用AIK公钥对加密数据验签，验证通过后使用TCM对称加密算法解密加密用户名、密码并对用户名密码认证，如果认证失败拒绝接入网络；步骤V104：身份认证通过后网络接入请求者从网络接入服务器请求安全可信策略；步骤V105：网络请求者根据安全可信策略执行本地安全可信状态检测，检测结果包含平台完整性PCR值、系统文件完整性、杀毒软件版本及状态，使用AIK私钥对检测结果签名，并将检测结果发送到所述网络接入决策者；步骤V106：网络接入决策者对网络接入请求者安全可信检测结果进行对比评分，根据评分将对应的安全域数字标签特征发送到网络接入请求者，同时更新安全域，并将最新安全域信息发送到网络接入控制者；步骤V107：网络接入请求者接收到对应安全域数字标签，对网络出口数据包打数字标签；步骤V108：网络接入控制者对网络接入请求者数据包进行过滤，判断数字标签，当数字标签与网络数据包中目的地址所在安全域数字标签特征相同时则认为访问合法，放行数据包，反之，禁止网络访问。7.  根据权利要求6所述的一种可信网络接入与访问控制方法，其特征在于：所述网络接入决策者对网络接入请求者安全可信检测的具体实施步骤如下：步骤S201：网络接入请求者身份认证通过后，接入决策者根据用户名查询对应的安全可信策略，并将策略下发到网络接入请求者；步骤S202：网络接入请求者接收到安全可信策略后对策略解析，并开始安全可信策略的执行，收集网络接入请求者完整性、网络端口状态，收集完成后对检测结果打包签名，发送到网络接入决策者；步骤S203：网络接入决策者接收到检测结果后，对检测结果解析，并与对应的安全可信策略预期值对比，得出安全等级；步骤S204：网络接入决策者得出网络接入请求者安全等级后，将对应等级的安全可信域数字标签特征下发到网络接入请求者，并更新安全可信域，并下发到网络接入控制者；步骤S205：网络接入控制者接收到更新的安全可信域后解析保存到本地内存中。8.  根据权利要求7所述的一种可信网络接入与访问控制方法，其特征在于：对于不同等级的安全可信域，网络跨域访问控制操作步骤如下：步骤S301：网络接入请求者接收到数字标签后，将数字标签下发到内核网络过滤驱动；步骤S302：网络过滤驱动对流出的网络数据包进行拦截，修改数据包中IP部分，对网络数据包进行打标签，重新计算数据包校验和，更新到数据包中，将数据包通过网络设备发送出去；步骤S303：网络数据包在到达目的地前流经网络接入控制者，网络接入控制者拦截网络数据包，解析出IP地址、数字标签信息；步骤S304：在S205步骤保存在内存中的安全可信域查找对比IP地址与数字标签，根据IP地址与数字标签判断网络中目的地址是否处于同一安全可信域中，处于同一域放行，否则禁止网络访问。

说明书一种可信网络接入与访问控制系统及方法
技术领域
本发明涉及通信控制领域，具体涉及一种可信网络接入与访问控制系统及方法。
背景技术
随着信息技术的发展，越来越多的重要信息存储于企业内部服务器中，来自互联网的常规攻击可通过防火墙、UTM等产品进行保护，方案也比较成熟，而越来越多的信息泄密行为发生在网络内部，网络管理混乱、随意接入、终端主机感染病毒等都是影响网络安全的重要因素，因此加强对网络的管理、细化网络访问权限、控制网络接入成为必不可少的网络安全措施。
TNC@FHH是一个开源实现的可信网络连接架构，采用基于802.1x网络接入控制技术，使用FreeRedius作为接入认证服务器。用户通过交换机将网络划分不同的VLAN，不同VLAN之间无法相互访问，从而实现网络隔离；结合FreeRedius认证服务器实现网络接入认证，只有通过FreeRedius服务器认证的终端才允许接入网络，从而实现网络接入控制。该方案从物理端口上划分网络区域，会占用大量的物理资源，对于多层网络部署难度大、不灵活。
另外一种方案属于传统网络准入控制范畴，该方案集成多种身份认证方式（LDAP、AD等），加强了网络接入控制，除身份认证外，需要对终端安全状态进行检查，只有检查合格才可接入网络，但是该方案没有对网络细分，终端只要接入网络便可随意访问网络内资源，一旦攻击者获取用户身份便可获取网络内数据。
以上方案虽然一定程度上解决了网络接入控制、网络访问控制等问题，但是存在部署难度大、占用资源高、无法自适应不同网络环境等问题。
发明内容
本发明要解决的技术问题是：本发明为克服上述方案存在的问题，提供一种可信网络接入与访问控制方法及系统。
本发明所采用的技术方案为：
一种可信网络接入与访问控制系统，所述控制系统包括网络接入请求者、网络接入决策者、网络接入控制者，其中：
网络接入请求者包含身份认证模块、安全可信状态检测模块、信息上报模块、在线状态维持模块、数字标签标记模块；
网络接入决策者包含身份验证模块、安全可信状态验证模块、策略分发模块、请求者在线状态维持模块、安全域管理模块；
网络接入控制者包含数字标签验证模块、网络访问控制模块；
网络接入请求者在接入网络时进行平台身份认证，检测请求者安全可信状态，将安全可信状态发送到网络接入决策者，由决策者判断请求者安全可信等级，并给出网络访问决策，将网络访问决策发送到网络接入控制者，由控制者限制请求的网络访问。
所述控制系统的网络接入请求者、网络接入决策者、网络接入控制者操作过程全部使用TCM密码算法进行加解密与签名，保证信息交互安全。
为了保证网络接入终端安全可信，所述网络接入决策者预制安全可信域与安全可信域属性，安全可信域属性包含数字标签特征、安全等级。
所述网络接入决策者设置安全可信策略，用于终端进行安全可信状态检查。
一种可信网络接入与访问控制方法，网络接入决策者采用数字标签技术将整个网络划分为不同的安全域，网络接入请求者通过身份认证发起网络接入请求，然后从网络接入决策者接收网络接入控制策略，网络接入请求者按照网络接入控制策略执行安全可信检查，将检查结果发送到网络决策者，决策者根据检查结果判断请求者安全状态，并将对应的安全域数字标签特征发送到请求者，请求者在后续网络访问过程中对网络数据包打数字标签，网络接入控制者根据网络数据包中数字标签判断请求者网络访问是否合法。
结合国产TCM芯片与数字标签技术，所述控制方法包含步骤如下：
步骤V101：网络接入请求者首先将AIK证书（平台身份证书）发送到网络接入决策者，由网络接入决策者验证请求者的平台身份；
步骤V102：网络接入请求者AIK证书认证通过后，使用TCM对称加密算法对用户名、密码加密，并使用AIK私钥对加密信息签名，将签名后信息发送到网络接入决策者；
步骤V103：网络接入决策者首先使用AIK公钥对加密数据验签，验证通过后使用TCM对称加密算法解密加密用户名、密码并对用户名密码认证，如果认证失败拒绝接入网络；
步骤V104：身份认证通过后网络接入请求者从网络接入服务器请求安全可信策略；
步骤V105：网络请求者根据安全可信策略执行本地安全可信状态检测，检测结果包含平台完整性PCR值、系统文件完整性、杀毒软件版本及状态等，使用AIK私钥对检测结果签名，并将检测结果发送到所述网络接入决策者；
步骤V106：网络接入决策者对网络接入请求者安全可信检测结果进行对比评分，根据评分将对应的安全域数字标签特征发送到网络接入请求者，同时更新安全域，并将最新安全域信息发送到网络接入控制者；
步骤V107：网络接入请求者接收到对应安全域数字标签，对网络出口数据包打数字标签；
步骤V108：网络接入控制者对网络接入请求者数据包进行过滤，判断数字标签，当数字标签与网络数据包中目的地址所在安全域数字标签特征相同时则认为访问合法，放行数据包，反之，禁止网络访问。
为了支持不同的终端采用不同的安全等级，所述安全可信策略以策略组形式存在，并能根据用户名对不同用户分配不同安全可信策略，安全可信策略包含平台完整性、杀毒软件、服务程序、文件完整性、网络端口等。
所述网络接入决策者对网络接入请求者安全可信检测的具体实施步骤如下：具体实施步骤如下：
步骤S201：网络接入请求者身份认证通过后，接入决策者根据用户名查询对应的安全可信策略，并将策略下发到网络接入请求者；
步骤S202：网络接入请求者接收到安全可信策略后对策略解析，并开始安全可信策略的执行，收集网络接入请求者完整性、网络端口等状态，收集完成后对检测结果打包签名，发送到网络接入决策者；
步骤S203：网络接入决策者接收到检测结果后，对检测结果解析，并与对应的安全可信策略预期值对比，得出安全等级；
步骤S204：网络接入决策者得出网络接入请求者安全等级后，将对应等级的安全可信域数字标签特征下发到网络接入请求者，并更新安全可信域，并下发到网络接入控制者；
步骤S205：网络接入控制者接收到更新的安全可信域后解析保存到本地内存中。
对于不同等级的安全可信域，网络跨域访问控制操作步骤如下：
步骤S301：网络接入请求者接收到数字标签后，将数字标签下发到内核网络过滤驱动；
步骤S302：网络过滤驱动对流出的网络数据包进行拦截，修改数据包中IP部分，对网络数据包进行打标签，重新计算数据包校验和，更新到数据包中，将数据包通过网络设备发送出去；
步骤S303：网络数据包在到达目的地前流经网络接入控制者，网络接入控制者拦截网络数据包，解析出IP地址、数字标签信息；
步骤S304：在S205步骤保存在内存中的安全可信域查找对比IP地址与数字标签，根据IP地址与数字标签判断网络中目的地址是否处于同一安全可信域中，处于同一域放行，否则禁止网络访问。
本发明的有益效果为：本发明所述方法，通过平台身份认证、数字标签技术，实现网络接入控制与网络访问控制，具有以下有益效果：
1.基于TCM进行平台身份认证，保证网络接入控制同时，避免身份伪造；
2.基于数字标签技术划分网络区域，网络区域动态动态更新，实现网络自适应，保证不同逻辑区域访问安全；
3.配置安全可信策略，结合TCM密码算法保证请求者平台状态安全可信。
附图说明
图1为可信网络部署方式示意图；
图2为网络接入请求者身份认证流程图；
图3为网络接入请求者安全可信状态检测流程图；
图4为网络跨域访问控制流程示意图。
具体实施方式
下面参照附图所示，通过具体实施方式对本发明进一步说明：
实施例1：
一种可信网络接入与访问控制系统，如图1所示，通常在原有网络基础上在增加网络接入控制者设备与网络接入决策设备，两者可为同一台设备，为了保证网络接入终端安全可信，网络接入决策服务器预制安全可信域与安全可信域属性，安全可信域属性包含数字标签特征、安全等级，另外网络接入决策服务器设置安全可信策略，用于终端进行安全可信状态检查。
实施例2：
一种可信网络接入与访问控制方法，网络接入决策者采用数字标签技术将整个网络划分为不同的安全域，网络接入请求者通过身份认证发起网络接入请求，然后从网络接入决策者接收网络接入控制策略，网络接入请求者按照网络接入控制策略执行安全可信检查，将检查结果发送到网络决策者，决策者根据检查结果判断请求者安全状态，并将对应的安全域数字标签特征发送到请求者，请求者在后续网络访问过程中对网络数据包打数字标签，网络接入控制者根据网络数据包中数字标签判断请求者网络访问是否合法。
实施例3：
如图2所示，网络接入请求者身份认证具体实施步骤如下：
步骤S101：接入终端发起网络接入请求，将平台身份AIK证书发送到网络接入决策服务器，网络接入决策服务器对平台身份进行认证，认证失败禁止网络接入；
步骤S102：认证成功，网络接入决策服务器将平台身份认证结果返回给终端，终端将用户输入的用户名、密码通过TCM对称密码算法加密后使用AIK私钥签名，签名后发送到决策服务器；
步骤S103：决策服务器接收到终端认证信息后，对认证信息进行验签，并解密认证信息，解密后进行身份认证，认证通过则下发安全可信策略，否则禁止网络接入；
终端认证成功后与接入策略服务器维持心跳，每隔一段时间发送一次心跳并接受服务器返回，接入策略服务器根据心跳判断终端用户的在线状态。
实施例4：
在实施例2或3的基础上，本实施例为了支持不同的终端采用不同的安全等级，安全可信策略以策略组形式存在，并可根据用户名对不同用户分配不同安全可信策略，安全可信策略包含平台完整性、杀毒软件、服务程序、文件完整性、网络端口等。
实施例5：
在实施例3的基础上，如图3所示，所述网络接入决策者对网络接入请求者安全可信检测的具体实施步骤如下：
步骤S201：终端身份认证通过后，接入决策服务器根据用户名查询对应的安全可信策略，并将策略下发到终端；
步骤S202：终端接收到安全可信策略后对策略解析，并开始安全可信策略的执行，收集终端完整性、网络端口等状态，收集完成后对检测结果打包签名，发送到网络接入决策服务器；
步骤S203：网络接入决策服务器接收到检测结果后，对检测结果解析，并与对应的安全可信策略预期值对比，得出安全等级；
步骤S204：网络接入决策服务器得出终端安全等级后，将对应等级的安全可信域数字标签特征下发到终端，并更新安全可信域，并下发到网络接入控制设备；
步骤S205：网络接入控制设备接收到更新的安全可信域后解析保存到本地内存中。
实施例5：
在实施例3的基础上，本实施例所述安全可信域根据终端安全等级自动调整，保证网络的安全实时性，另外，安全可信域还提供手动添加终端功能，可将某终端直接添加到安全可信域中，此时终端所处的安全可信域不再随终端安全可信状态更新。另外一种更新安全可信域的情况是终端在线状态改变，当终端下线时会将终端本地数字标签清空，同时服务器检测到终端下线立即更新安全可信域。
实施例6：
如图4所示，在实施例5的基础上，本实施例对于不同等级的安全可信域，网络跨域访问控制操作步骤如下：
步骤S301：终端接收到数字标签后，将数字标签下发到内核网络过滤驱动；
步骤S302：网络过滤驱动对流出的网络数据包进行拦截，修改数据包中IP部分，对网络数据包进行打标签，重新计算数据包校验和，更新到数据包中，将数据包通过网络设备发送出去；
步骤S303：网络数据包在到达目的地前流经网络接入控制设备，网络接入控制设备拦截网络数据包，解析出IP地址、数字标签信息；
步骤S304：在S205步骤保存在内存中的安全可信域查找对比IP地址与数字标签，根据IP地址与数字标签判断网络中目的地址是否处于同一安全可信域中，处于同一域放行，否则禁止网络访问。
以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。