專利名稱:網(wǎng)絡安全防護系統(tǒng)及方法
技術領域:
本發(fā)明涉及計算機或通信領域中的安全技術,尤指一種網(wǎng)絡安全防護系統(tǒng)及方法�����。
背景技術:
隨著計算機網(wǎng)絡尤其是互聯(lián)網(wǎng)(INTERNET)在全球的普及和深入����,企業(yè)網(wǎng)在證券部門����、銀行系統(tǒng)����、企事業(yè)單位的大力推廣和應用��,使得人們越來越多的接觸網(wǎng)絡和使用網(wǎng)絡��。通過網(wǎng)絡可以進行貿易活動����,也可以進行郵件傳送,但同時��,病毒數(shù)量也伴隨著網(wǎng)絡迅速得以倍增���,很多近乎絕跡的病毒也時有發(fā)生����,宏病毒因其不分操作系統(tǒng)��,在網(wǎng)絡上傳播更是神速���。大力發(fā)展網(wǎng)絡的同時��,病毒也得到大發(fā)展���。網(wǎng)絡中的病毒有的是良性��,不作任何破壞�,僅影響系統(tǒng)的正常運行而已����,但更多的病毒是惡性的,會發(fā)作�����,發(fā)作的現(xiàn)象各有千秋有的格式化硬盤����,有的刪除系統(tǒng)文件,有的破壞數(shù)據(jù)庫等等���。因此����,有病毒時必須要盡快醫(yī)治,對網(wǎng)絡更是如此��,它對網(wǎng)絡的破壞性遠大于單機用戶��,損失則更不用談了���。
另外網(wǎng)絡上的網(wǎng)絡攻擊越來越多,對寬帶接入服務器的沖擊也很大���,往往一個用戶進行攻擊���,會導致在同一個區(qū)域的其它用戶不能正常訪問網(wǎng)絡,給電信運營商帶來很大的困擾����。
現(xiàn)有查殺病毒的方法依然是下載補丁和殺毒軟件,但是一個寬帶城域網(wǎng)有數(shù)千上萬臺機器�,只要有一臺機器沒有及時殺毒和打補丁,就會影響整個網(wǎng)絡����,甚至會導致整個網(wǎng)絡反復中毒。
因此���,總體來看�����,現(xiàn)有方法沒有很好地解決網(wǎng)絡病毒的隔離和反復感染問題�����,并且用戶需要經(jīng)常的更新殺毒軟件和系統(tǒng)補丁�,增加了用戶操作復雜度。
發(fā)明內容
本發(fā)明解決的問題是提供一種網(wǎng)絡安全防護系統(tǒng)及方法���,避免網(wǎng)絡病毒造成反復感染����。
為解決上述問題���,本發(fā)明網(wǎng)絡安全防護系統(tǒng)包括認證服務器���,用于網(wǎng)絡接入認證,根據(jù)含有安全性信息的認證結果決定用戶是否可以接入網(wǎng)絡���;安全策略服務器�,用于配置安全策略并下發(fā)安全策略,且判斷用戶是安全用戶還是非安全用戶�,并把判斷結果發(fā)送至所述的認證服務器;寬帶接入服務器����,用于用戶網(wǎng)絡接入,接收所述安全策略并根據(jù)所述的安全策略監(jiān)控接入網(wǎng)絡的用戶的報文����,將監(jiān)控信息發(fā)送給所述的安全策略服務器以判斷用戶安全性����,且所述的寬帶接入服務器根據(jù)來自所述認證服務器的判斷結果或認證結果中的安全性信息拒絕非安全用戶接入網(wǎng)絡。
所述的認證服務器具有表示用戶是否安全的安全屬性����;而所述的寬帶接入服務器具有表示用戶是否安全的用戶安全屬性。所述的認證服務器的安全屬性值根據(jù)所述的安全策略服務器的安全性判斷結果來設置���,并將當前安全屬性值發(fā)送給寬帶接入服務器�����;寬帶接入服務器的用戶安全屬性值根據(jù)接收到的安全屬性值設置用戶安全屬性值并根據(jù)用戶安全屬性值拒絕非安全用戶接入網(wǎng)�。
所述安全策略包括檢查項,用于指示寬帶接入服務器檢查的內容���;觸發(fā)條件��,用于指示觸發(fā)條件�����;操作�,用于指示在滿足觸發(fā)條件時寬帶接入服務器執(zhí)行具體操作�。所述操作指寬帶接入服務器監(jiān)控用戶的報文并在滿足觸發(fā)條件時將相應報文作為監(jiān)控信息復制給安全策略服務器,則安全策略服務器根據(jù)該報文來判斷用戶的安全性���。
該系統(tǒng)還包括門戶服務器���,用于隔離非安全用戶,且寬帶接入服務器控制非安全用戶訪問該門戶服務器��。
相應地����,本發(fā)明網(wǎng)絡安全防護方法包括以下步驟安全策略配置步驟,安全策略服務器下發(fā)安全策略至寬帶接入服務器;認證步驟���,認證時檢查用戶是否安全��,并向寬帶接入服務器返回用戶的安全性信息的認證結果���;監(jiān)控步驟,根據(jù)認證結果���,依安全策略對接入網(wǎng)絡的用戶的報文進行監(jiān)控�����,并將監(jiān)控信息反饋給安全策略服務器�;判斷步驟,安全策略服務器根據(jù)監(jiān)控信息判斷用戶安全性�����,并將判斷結果經(jīng)由認證服務器���;處理步驟��,認證服務器下發(fā)判斷結果至寬帶接入服務器中,寬帶服務器根據(jù)判斷結果拒絕非安全用戶接入網(wǎng)絡。
所述安全策略包括檢查項�����,用于指示寬帶接入服務器檢查的內容�;觸發(fā)條件�����,用于指示觸發(fā)條件�;操作,用于指示在滿足觸發(fā)條件時寬帶接入服務器執(zhí)行具體操作�。監(jiān)控信息指滿足觸發(fā)條件時,寬帶接入服務器所監(jiān)控的用戶的報文�,操作指將該報文復制給安全策略服務器����。
認證服務器具有用來表示用戶是否安全的安全屬性���;而寬帶接入服務器具有用來表示用戶是否安全的用戶安全屬性。認證步驟進一步包括寬帶接入服務器向認證服務器發(fā)送認證請求��;認證服務器進行認證并讀取該用戶的安全屬性值�;將包含有安全屬性值的認證結果反饋給寬帶接入服務器。
所述接入步驟進一步包括如下步驟寬帶接入服務器根據(jù)認證結果判斷是否通過認證�����;如果通過認證�����,則根據(jù)認證結果中的安全屬性值設置用戶安全屬性����;根據(jù)用戶安全屬性值判斷用戶是否安全;如果不安全�����,則拒絕接入網(wǎng)絡�,如果安全接入網(wǎng)絡并同時執(zhí)行監(jiān)控步驟�����。
所述監(jiān)控步驟進一步包括寬帶接入服務器根據(jù)安全策略監(jiān)控用戶的報文;在滿足觸發(fā)條件時����,將相應的報文作為監(jiān)控信息復制給安全策略服務器。
所述處理步驟進一步包括認證服務器根據(jù)安全策略服務器的安全性判斷結果,設置安全屬性值�����,并將當前安全屬性值發(fā)送給寬帶接入服務器;寬帶接入服務器根據(jù)接收到的安全屬性值設置用戶安全屬性值并拒絕非安全用戶接入網(wǎng)絡�;非安全用戶強制訪問門戶服務器���;門戶服務器為中毒的非安全用戶提供殺毒工具以殺毒,對進行網(wǎng)絡攻擊的非安全用戶警告其禁止進行網(wǎng)絡攻擊;對殺過毒的用戶進行安全評估,若安全則通知認證服務器設置該用戶的安全屬性為安全;認證服務器修改用戶的安全屬性為安全并下發(fā)給寬帶接入服務器���;寬帶接入服務器修改用戶安全屬性為安全并轉到監(jiān)控步驟��。
與現(xiàn)有技術相比�����,本發(fā)明具有以下優(yōu)點通過安全策略服務器下發(fā)安全策略�����,然后在BAS上進行資源檢查以監(jiān)控,很容易判斷用戶是否中毒或者進行網(wǎng)絡攻擊���,由于通過安全策略服務器更新安全策略方便靈活,因此對于新病毒和新的網(wǎng)絡攻擊手段能夠及時應變��;將用戶區(qū)分為安全用戶和非安全用戶���,安全用戶上網(wǎng)沒有限制���,而非安全用戶只能訪問門戶服務器���,從而避免非安全用戶感染安全用戶���;安全策略服務器上安全策略可以和殺毒廠商防治黑客廠商共同合作完成�,因此能夠保證安全策略更新迅速及時;對于用戶來說��,不必總是關注最新的補丁和病毒信息����,降低了對用戶病毒知識的要求,并且減少了用戶受病毒感染的風險�����;對于運行商來說����,該發(fā)明可以有效解決病毒和網(wǎng)絡攻擊造成的系統(tǒng)資源浪費�,對于病毒問題,可以快速識別中毒用戶�����,并進行隔離��,防止中毒用戶進一步傳染其它正常用戶���,另外通過有償提供下載殺病毒工具進行收費獲得新的利潤增長點����;對于黑客問題,能夠及時發(fā)現(xiàn)黑客的攻擊行為����,從而可以進行下一步的處理;對于殺毒廠商防治黑客廠商來說�����,可以通過提供最新的病毒信息和殺毒工具進行收費����,從而達到雙贏的效果。
圖1是本發(fā)明網(wǎng)絡安全防護系統(tǒng)框圖��。
圖2是認證服務器的安全屬性設置實施例示意圖��。
圖3本發(fā)明網(wǎng)絡安全防護方法中安全策略配置步驟流程圖����。
圖4是本發(fā)明網(wǎng)絡安全防護方法中認證、監(jiān)控步驟流程圖�。
圖5是本發(fā)明網(wǎng)絡安全防護方法中判斷步驟流程圖。
圖6是本發(fā)明網(wǎng)絡安全防護方法中處理步驟流程圖�����。
圖7是本發(fā)明網(wǎng)絡安全防護方法中非安全用戶處理流程圖。
具體實施例方式
本發(fā)明網(wǎng)絡安全防護系統(tǒng)及方法基于現(xiàn)有的網(wǎng)絡系統(tǒng)實現(xiàn)的��,所述現(xiàn)有網(wǎng)絡系統(tǒng)一般包括有寬帶接入服務器(BAS�,Broadband Access Server)主要完成用戶的接入,通常有xDSL//LAN/HFC(x數(shù)字用戶線/局域網(wǎng)/光纖/同軸混合網(wǎng))等接入方式�。
認證服務器AAA是驗證、授權和計費(Authentication����,Authorization andAccounting)的簡稱,提供一個用來對驗證�����、授權和計費這三種安全功能進行配置的一致的框架�。而AAA通常使用遠程認(驗)證拔號用戶服務協(xié)議(Radius�����,Remote Authentication Dial-In User Service)來完成��。認證服務器就是一臺實現(xiàn)Radius協(xié)議的PC或者網(wǎng)絡設備�����,通過和寬帶接入服務器配合,完成用戶的驗證��、授權和計費��。
門戶(Portal)服務器Portal服務是ISP提供給用戶的一種新型業(yè)務��,使用戶可以通過訪問門戶服務器來靈活的選擇適合用戶自己的業(yè)務��,或者提供相關網(wǎng)絡資源(如HTTP連接�����,F(xiàn)TP下載等)�����。
寬帶接入服務器與其他服務器的關系��,詳述如下���。
寬帶接入服務器和認證服務器當用戶想要通過與寬帶接入服務器建立連接從而獲得訪問其他網(wǎng)絡的權利(或取得使用某些網(wǎng)絡資源的權利)時�,寬帶接入服務器起到了檢查用戶(或這個連接)的作用��。寬帶接入服務器負責把用戶的驗證,授權�,記賬信息傳遞給認證服務器。而認證服務器接收用戶的認證請求后��,完成驗證��,并把傳遞給用戶所需的配置信息返回給寬帶接入服務器�。寬帶接入服務器根據(jù)認證服務器返回的結果決定用戶是否可以訪問以及能夠訪問什么資源。
寬帶接入服務器和門戶服務器目前門戶服務器主要完成兩種功能�����,第一種是用戶認證通過后�,門戶服務器提供一個網(wǎng)頁,用戶可以在網(wǎng)頁上訪問ISP(Internet Service Provider���,Internet服務提供者)提供的業(yè)務�,如VOD(VideoOn Demand���,視頻點播),游戲���,軟件下載等����;另外一種是用戶在認證通過之前訪問門戶服務器頁面,頁面上提示用戶輸入用戶名和密碼來進行認證����,然后門戶服務器將用戶名和密碼發(fā)送給寬帶接入服務器,寬帶接入服務器然后和認證服務器交互來確定用戶的權限�,最后寬帶接入服務器將認證結果通知給門戶服務器。
因此���,現(xiàn)有寬帶接入服務器一般只管理用戶的認證計費����,而不管用戶上網(wǎng)執(zhí)行了哪些活動�。所有網(wǎng)絡病毒對于寬帶接入服務器來說是不可見的,寬帶接入服務器僅僅當作是用戶數(shù)據(jù)處理�����。而寬帶接入服務器和各種服務器之間配置���,能夠完成用戶的認證��、計費功能��,但是不能完成病毒防護和防治黑客功能�����。
請參照圖1所示���,本發(fā)明網(wǎng)絡安全防護系統(tǒng)�,包括認證服務器1���,用于網(wǎng)絡接入認證���,根據(jù)含有安全性信息的認證結果決定用戶是否可以接入網(wǎng)絡3;安全策略服務器4����,用于配置安全策略(指安全策略的增加、刪除����、修改)并下發(fā)安全策略,且判斷用戶的安全性�����,并把判斷結果發(fā)送至認證服務器1����;寬帶接入服務器5,用于用戶網(wǎng)絡接入�,接收安全策略并根據(jù)安全策略監(jiān)控接入網(wǎng)絡3的用戶的報文,將監(jiān)控信息發(fā)送給安全策略服務器4以判斷用戶安全性���,且寬帶接入服務器5根據(jù)來自認證服務器1的判斷結果或認證結果中的安全性信息拒絕非安全用戶接入網(wǎng)絡3���。
這樣,通過利用寬帶接入服務器5對用戶的監(jiān)控功能�����,可以很好地解決網(wǎng)絡蠕蟲病毒的隔離和查殺問題��。一方面���,寬帶接入服務器5通過實時檢查用戶報文���,經(jīng)由安全策略服務器4判斷用戶是否中毒或者惡意攻擊。另一方面,對上面查到的用戶進行網(wǎng)段隔離�,并引導用戶進行殺毒,防止影響其它用戶�����,從而減少交叉反復感染和破壞網(wǎng)絡�����。
請參照圖2所示��,認證服務器1具有表示用戶是否安全的安全屬性�����,在現(xiàn)有認證服務器上增加一項屬性安全屬性�,取值為“安全”或者“不安全”,所有用戶的缺省安全屬性為“安全”�����,例如��,在shiva(一種Radius服務器軟件)中���,添加一個自定義屬性安全屬性“Safety-State”����,其取值為“Safe”或者“Unsafe”。認證服務器1的安全屬性值根據(jù)安全策略服務器4的安全性判斷結果來設置�����,并將當前安全屬性值發(fā)送給寬帶接入服務器5�。
寬帶接入服務器5具有表示用戶是否安全的用戶安全屬性���,取值為“安全”或者“不安全”��。寬帶接入服務器5的用戶安全屬性值根據(jù)接收到的安全屬性值設置用戶安全屬性值并根據(jù)用戶安全屬性值拒絕非安全用戶接入網(wǎng)���。
從類型上,所述安全策略分為防病毒策略和防攻擊策略�����;從結構上��,安全策略包括檢查項�����,用于指示寬帶接入服務器5檢查的內容;觸發(fā)條件����,用于指示觸發(fā)條件;操作�,用于指示在滿足觸發(fā)條件時寬帶接入服務器5執(zhí)行具體操作。所述操作指寬帶接入服務器5監(jiān)控用戶的報文并在滿足觸發(fā)條件時將相應報文作為監(jiān)控信息復制給安全策略服務器4����,則安全策略服務器4根據(jù)該報文來判斷用戶的安全性。安全策略項的配置可以使用多種方法實現(xiàn)���,例如可以擴展ACL(Access Control List�,訪問控制列表)���,增加操作類型���。下面以檢查沖擊波病毒為例進行說明,沖擊波病毒安全策略的檢查項定義為“檢查用戶報文中協(xié)議為TCP����,目的端口號為135端口的報文”���;觸發(fā)條件定義為“當檢查報文的速率超過每秒3個時觸發(fā)”,操作定義為“發(fā)送報文的TCP頭給安全策略服務器”�。
另外,本發(fā)明網(wǎng)絡安全防護系統(tǒng)��,還包括門戶服務器6�����,用于隔離非安全用戶�����,且寬帶接入服務器5控制非安全用戶訪問該門戶服務器6���。在該Portal主頁上提示用戶已經(jīng)中毒或者在進行網(wǎng)絡攻擊,對于中毒的情況�����,提示用戶需要殺毒或者安全補丁��,并在主頁上提供補丁或者殺病毒程序供用戶下載�����;當用戶操作(安裝補丁、殺毒等)完畢后����,門戶服務器6對用戶進行安全評估,當安全評估結果為不安全時��,提示用戶繼續(xù)殺毒�;當安全評估結果為安全時門戶服務器6通知認證服務器1修改該用戶的安全屬性為安全。對于網(wǎng)絡攻擊的情況�,提示用戶停止網(wǎng)絡攻擊,并可以按照一定的規(guī)則進行下一步的處理����,例如用戶連續(xù)三次進行網(wǎng)絡攻擊就禁止用戶上網(wǎng)等。誠然�,對非安全用戶的處理也可以不訪問門戶服務器6來隔離,例如直接使非安全用戶下線即可�����,也可以達到避免網(wǎng)絡病毒交叉��、反復感染����。
請參照圖3至7所示���,本發(fā)明網(wǎng)絡安全防護方法包括以下步驟安全策略配置步驟(見圖3、4)����,安全策略服務器下發(fā)安全策略至寬帶接入服務器,安全策略的下發(fā)可以使用多種方法����,例如安全策略服務器通過Telnet(一種用于遠程聯(lián)接服務的標準協(xié)議)連接到寬帶接入服務器,然后執(zhí)行配置命令��;認證步驟(見圖4)��,認證時檢查用戶是否安全��,并向寬帶接入服務器返回用戶的安全性信息的認證結果���;監(jiān)控步驟(見圖4),根據(jù)認證結果�����,依安全策略對接入網(wǎng)絡的用戶的報文進行監(jiān)控,并將監(jiān)控信息反饋給安全策略服務器����;判斷步驟(見圖5),安全策略服務器根據(jù)監(jiān)控信息判斷用戶安全性���,并將判斷結果經(jīng)由認證服務器�����;處理步驟�,認證服務器下發(fā)判斷結果至寬帶接入服務器中���,寬帶服務器根據(jù)判斷結果拒絕非安全用戶接入網(wǎng)絡�����。
所述安全策略包括檢查項�,用于指示寬帶接入服務器檢查的內容����;觸發(fā)條件,用于指示觸發(fā)條件;操作����,用于指示在滿足觸發(fā)條件時寬帶接入服務器執(zhí)行具體操作。
所述監(jiān)控信息指滿足觸發(fā)條件時����,寬帶接入服務器所監(jiān)控的用戶的報文,操作指將該報文復制給安全策略服務器����。
所述認證服務器具有用來表示用戶是否安全的安全屬性;而寬帶接入服務器具有用來表示用戶是否安全的用戶安全屬性�����。
請繼續(xù)參照圖4所示�����,認證步驟進一步包括步驟40�����,寬帶接入服務器向認證服務器發(fā)送認證請求��;步驟41�����,認證服務器進行認證并讀取該用戶的安全屬性值����;步驟42,將包含有安全屬性值的認證結果反饋給寬帶接入服務器���。
所述監(jiān)控步驟進一步包括步驟43����,寬帶接入服務器根據(jù)認證結果判斷是否通過認證����;步驟44,如果通過認證��,則根據(jù)認證結果中的安全屬性值設置用戶安全屬性�����;如果沒通過認證則拒絕該用戶接入網(wǎng)絡��;步驟45,根據(jù)用戶安全屬性值判斷用戶是否安全���;步驟46��,如果不安全���,則拒絕接入網(wǎng)絡,如果安全接入網(wǎng)絡并同時執(zhí)行監(jiān)控步驟��。
步驟47�����,寬帶接入服務器根據(jù)安全策略監(jiān)控用戶的報文�,例如按照“沖擊波病毒安全策略項”的要求,當用戶建立新的TCP連接時��,BAS對于用戶的TCP報文的首包進行檢查��,統(tǒng)計報文協(xié)議類型為TCP�,目的端口號為135端口的報文;步驟48�,判斷是否滿足觸發(fā)條件步驟49��,在滿足觸發(fā)條件時,將相應的報文作為監(jiān)控信息復制給安全策略服務器���,例如���,當每秒的報文數(shù)操作3秒一個時,BAS發(fā)送報文的TCP頭給安全策略服務器�,如果不滿足則判斷用戶是否下線,如果沒有下線則返回步驟45繼續(xù)監(jiān)控����。
請參照圖5,所述判斷步驟進一步包括步驟51�,收到監(jiān)控信息;步驟52��,判斷用戶是否安全����,例如,當安全策略服務器收到BAS發(fā)過來的“目的端口號為135端口的報文”后���,發(fā)現(xiàn)報文速率大于10pps����,就認為用戶中了沖擊波病毒;步驟53�����,若安全則不進行操作����,若不安全則通知認證服務器設置用戶的安全屬性為“不安全”。
請參照圖6�、7所示,所述處理步驟進一步包括步驟60�,收到安全策略服務器的設置請求;步驟62��,認證服務器根據(jù)安全策略服務器的安全性判斷結果�����,設置安全屬性值���,步驟63���,當前安全屬性值發(fā)送給寬帶接入服務器;步驟64���,寬帶接入服務器根據(jù)接收到的安全屬性值設置用戶安全屬性值并拒絕非安全用戶接入網(wǎng)絡�����,非安全用戶強制(并且也只允許)訪問門戶服務器����;步驟65���,門戶服務器為中毒的非安全用戶提供殺毒工具以殺毒�,對進行網(wǎng)絡攻擊的非安全用戶警告其禁止進行網(wǎng)絡攻擊���;步驟66��,對殺過毒的用戶進行安全評估���,步驟67,若安全則通知認證服務器設置該用戶的安全屬性為安全�����;轉到步驟61����,認證服務器收到門戶服務器的設置請求����,修改用戶的安全屬性為安全并下發(fā)給寬帶接入服務器�����;寬帶接入服務器修改用戶安全屬性為安全并轉到監(jiān)控步驟��。
綜上所述�,通過安全策略服務器下發(fā)安全策略,然后在BAS上進行資源檢查以監(jiān)控����,很容易判斷用戶是否中毒或者進行網(wǎng)絡攻擊,因此能夠迅速應變����;將用戶區(qū)分為安全用戶和非安全用戶,安全用戶上網(wǎng)沒有限制����,而非安全用戶只能訪問門戶服務器,從而避免非安全用戶感染安全用戶;安全策略服務器上安全策略可以和殺毒廠商防治黑客廠商共同合作完成��,因此能夠保證迅速及時�;對于用戶來說,不必總是關注最新的補丁和病毒信息���,降低了對用戶病毒知識的要求;對于運行商來說���,能夠快速解決病毒和網(wǎng)絡攻擊造成的帶寬不足問題��,對于病毒問題�����,可以通過下載殺病毒進行收費獲得新的利潤增長點�����;對于黑客問題�����,能夠得到黑客的相關信息���,從而可以進行下一步的處理��;對于殺毒廠商防治黑客廠商來說�����,可以通過提供最新的信息進行收費�����,從而達到雙贏的效果��。
權利要求
1.一種網(wǎng)絡安全防護系統(tǒng)�,其特征在于�,該防護系統(tǒng)包括認證服務器,用于網(wǎng)絡接入認證���,根據(jù)含有安全性信息的認證結果決定用戶是否可以接入網(wǎng)絡�;安全策略服務器����,用于配置安全策略并下發(fā)安全策略,且判斷用戶是安全用戶還是非安全用戶���,并把判斷結果發(fā)送至所述的認證服務器�����;寬帶接入服務器���,用于用戶網(wǎng)絡接入�����,接收所述安全策略并根據(jù)所述的安全策略監(jiān)控接入網(wǎng)絡的用戶的報文����,將監(jiān)控信息發(fā)送給所述的安全策略服務器以判斷用戶安全性���,且所述的寬帶接入服務器根據(jù)來自所述認證服務器的判斷結果或認證結果中的安全性信息拒絕非安全用戶接入網(wǎng)絡。
2.如權利要求1所述的網(wǎng)絡安全防護系統(tǒng)�����,其特征在于�����,所述的認證服務器具有表示用戶是否安全的安全屬性;而所述的寬帶接入服務器具有表示用戶是否安全的用戶安全屬性���。
3.如權利要求2所述的網(wǎng)絡安全防護系統(tǒng)���,其特征在于,所述的認證服務器的安全屬性值根據(jù)所述的安全策略服務器的安全性判斷結果來設置���,并將當前安全屬性值發(fā)送給寬帶接入服務器�;寬帶接入服務器的用戶安全屬性值根據(jù)接收到的安全屬性值設置用戶安全屬性值并根據(jù)用戶安全屬性值拒絕非安全用戶接入網(wǎng)���。
4.如權利要求1所述的網(wǎng)絡安全防護系統(tǒng)�,其特征在于�,所述安全策略包括檢查項,用于指示寬帶接入服務器檢查的內容�;觸發(fā)條件,用于指示觸發(fā)條件�����;操作��,用于指示在滿足觸發(fā)條件時寬帶接入服務器執(zhí)行具體操作����。
5.如權利要求2所述的網(wǎng)絡安全防護系統(tǒng)����,其特征在于�����,所述操作指寬帶接入服務器監(jiān)控用戶的報文并在滿足觸發(fā)條件時將相應報文作為監(jiān)控信息復制給安全策略服務器�,則安全策略服務器根據(jù)該報文來判斷用戶的安全性。
6.如權利要求1至5任意一項所述的網(wǎng)絡安全防護系統(tǒng)����,其特征在于,該系統(tǒng)還包括門戶服務器���,用于隔離非安全用戶,且寬帶接入服務器控制非安全用戶訪問該門戶服務器�����。
7.一種網(wǎng)絡安全防護方法���,其特征在于����,該方法包括以下步驟安全策略配置步驟,安全策略服務器下發(fā)安全策略至寬帶接入服務器��;認證步驟�����,認證時檢查用戶是否安全����,并向寬帶接入服務器返回用戶的安全性信息的認證結果;監(jiān)控步驟����,根據(jù)認證結果,依安全策略對接入網(wǎng)絡的用戶的報文進行監(jiān)控�,并將監(jiān)控信息反饋給安全策略服務器;判斷步驟��,安全策略服務器根據(jù)監(jiān)控信息判斷用戶安全性��,并將判斷結果經(jīng)由認證服務器�����;處理步驟,認證服務器下發(fā)判斷結果至寬帶接入服務器中����,寬帶服務器根據(jù)判斷結果拒絕非安全用戶接入網(wǎng)絡。
8.如權利要求7所述的網(wǎng)絡安全防護方法��,其特征在于����,所述安全策略包括檢查項,用于指示寬帶接入服務器檢查的內容��;觸發(fā)條件���,用于指示觸發(fā)條件�;操作���,用于指示在滿足觸發(fā)條件時寬帶接入服務器執(zhí)行具體操作�。
9.如權利要求8所述的網(wǎng)絡安全防護方法�,其特征在于��,監(jiān)控信息指滿足觸發(fā)條件時���,寬帶接入服務器所監(jiān)控的用戶的報文�,操作指將該報文復制給安全策略服務器。
10.如權利要求9所述任意一項的網(wǎng)絡安全防護方法���,其特征在于����,認證服務器具有用來表示用戶是否安全的安全屬性�����;而寬帶接入服務器具有用來表示用戶是否安全的用戶安全屬性��。
11.如權利要求10所述的網(wǎng)絡安全防護方法���,其特征在于�,認證步驟進一步包括寬帶接入服務器向認證服務器發(fā)送認證請求��;認證服務器進行認證并讀取該用戶的安全屬性值����;將包含有安全屬性值的認證結果反饋給寬帶接入服務器。
12.如權利要求11所述的網(wǎng)絡安全防護方法�,其特征在于���,所述接入步驟進一步包括如下步驟寬帶接入服務器根據(jù)認證結果判斷是否通過認證;如果通過認證�,則根據(jù)認證結果中的安全屬性值設置用戶安全屬性根據(jù)用戶安全屬性值判斷用戶是否安全;如果不安全���,則拒絕接入網(wǎng)絡����,如果安全接入網(wǎng)絡并同時執(zhí)行監(jiān)控步驟����。
13.如權利要求12所述的網(wǎng)絡安全防護方法,其特征在于��,所述監(jiān)控步驟進一步包括寬帶接入服務器根據(jù)安全策略監(jiān)控用戶的報文��;在滿足觸發(fā)條件時���,將相應的報文作為監(jiān)控信息復制給安全策略服務器�。
14.如權利要求13所述的網(wǎng)絡安全防護方法���,其特征在于�����,所述處理步驟進一步包括認證服務器根據(jù)安全策略服務器的安全性判斷結果,設置安全屬性值�,并將當前安全屬性值發(fā)送給寬帶接入服務器����;寬帶接入服務器根據(jù)接收到的安全屬性值設置用戶安全屬性值并拒絕非安全用戶接入網(wǎng)絡�����;非安全用戶強制訪問門戶服務器�;門戶服務器為中毒的非安全用戶提供殺毒工具以殺毒,對進行網(wǎng)絡攻擊的非安全用戶警告其禁止進行網(wǎng)絡攻擊�;對殺過毒的用戶進行安全評估,若安全則通知認證服務器設置該用戶的安全屬性為安全���;認證服務器修改用戶的安全屬性為安全并下發(fā)給寬帶接入服務器����;寬帶接入服務器修改用戶安全屬性為安全并轉到監(jiān)控步驟�����。
全文摘要
一種網(wǎng)絡安全防護系統(tǒng)及方法,其中����,該防護系統(tǒng)包括認證服務器,用于網(wǎng)絡接入認證���,根據(jù)含有安全性信息的認證結果決定用戶是否可以接入網(wǎng)絡��;安全策略服務器���,用于配置安全策略并下發(fā)安全策略,且判斷用戶是安全用戶還是非安全用戶�,并把判斷結果發(fā)送至所述的認證服務器;寬帶接入服務器���,用于用戶網(wǎng)絡接入�,接收所述安全策略并根據(jù)所述的安全策略監(jiān)控接入網(wǎng)絡的用戶的報文�,將監(jiān)控信息發(fā)送給所述的安全策略服務器以判斷用戶安全性,且所述的寬帶接入服務器根據(jù)來自所述認證服務器的判斷結果或認證結果中的安全性信息拒絕非安全用戶接入網(wǎng)絡����。相應地,本發(fā)明也公開網(wǎng)絡安全防護方法。
文檔編號H04L9/32GK1705262SQ200410042910
公開日2005年12月7日 申請日期2004年5月27日 優(yōu)先權日2004年5月27日
發(fā)明者肖鈞, 肖平 申請人:華為技術有限公司