一種基于終端主機安全狀態(tài)的準入控制方法和系統(tǒng)與流程

文檔序號：12890006閱讀：293來源：國知局

本發(fā)明涉及網(wǎng)絡安全及準入控制領域，具體涉及一種基于終端主機安全狀態(tài)的準入控制方法和系統(tǒng)。

背景技術：

目前準入控制領域按照7層協(xié)議劃分的話，主要分為接入層準入控制和網(wǎng)絡層基于ip的準入控制，接入層控制主要有802.1x認證，但802.1x認證存在一定的缺陷，一方面由于802.1x是基于端口級別的認證，一旦認證通過就無法做進一步的訪問控制，造成一定的安全問題，另一方面如果此端口下接的是nat設備的話，只要nat下有一個終端認證通過，其余終端也就被認為安全的，無法實現(xiàn)精確的接入控制，而網(wǎng)絡層準入控制，主要有portal認證，portal認證使用方便，但同時也存在一些弊端，無法對接入設備進行合法性判斷，只能對使用者做合法性校驗，所以容易產(chǎn)生設備本身不安全或者存在漏洞、病毒而對網(wǎng)絡產(chǎn)生威脅。

技術實現(xiàn)要素：

本發(fā)明的目的在于，為解決上述技術問題，提供一種能夠同時對接入設備進行合法性判斷及使用者做合法性校驗的基于終端主機安全狀態(tài)的準入控制方法和系統(tǒng)。

為解決上述技術問題，本發(fā)明采用如下的技術方案：一種基于終端主機安全狀態(tài)的準入控制方法，該方法包括：通過判定訪問網(wǎng)絡資源的接入終端的接入狀態(tài)，判斷將所述接入終端直接切換為入網(wǎng)設備或進入準入階段；所述準入階段包括管理注冊、注冊審核、安全檢測、認證和權限管理。

如前述的基于終端主機安全狀態(tài)的準入控制方法，分為如下步驟：

s1、審查接入終端是否處于準入控制系統(tǒng)的白名單中，若是直接切換為入網(wǎng)設備；若不是，則所述接入終端進入準入階段，并且，所述接入終端的http訪問將被重定向到注冊界面；

s2、接入終端進行注冊，在注冊界面登記接入終端及其使用者的相關信息；

s3、在所述接入終端完成注冊后，將對其進行合法性審核，審核通過后所述接入終端被切換為注冊設備，審核未通過的所述接入終端，其http訪問將重定向至注冊界面；

s4、對審核通過后的所述注冊設備，根據(jù)定制的安全策略進行安全檢測，檢測注冊設備及其運行環(huán)境是否符合安全要求，并依據(jù)檢測結果對注冊設備進行狀態(tài)遷移；

s5、安全檢測未通過的注冊設備仍然處于準入階段，需重新進行安全檢測；；

s6、注冊設備通過安全檢測后，對注冊設備的使用者進行身份認證，并根據(jù)身份認證結果對注冊設備進行狀態(tài)遷移；

s7、身份認證未通過的注冊設備仍然處于準入階段，需重新進行身份認證；

s8、注冊設備通過身份認證后，將被切換為入網(wǎng)設備；

s9、對所述入網(wǎng)設備進行權限控制。

如前述的基于終端主機安全狀態(tài)的準入控制方法，所述判定訪問網(wǎng)絡資源的接入終端的接入狀態(tài)具體包括：根據(jù)接入終端訪問網(wǎng)絡資源中發(fā)生的流量，準入控制系統(tǒng)接收所述流量，并提取流量中的ip信息，檢查所述ip信息是否在所述白名單的列表中。

如前述的基于終端主機安全狀態(tài)的準入控制方法，所述步驟s2之前還包括：所述接入終端在客戶端下載模塊下載客戶端，在完成客戶端下載前接入終端訪問http請求都會被重定向到注冊界面。

如前述的基于終端主機安全狀態(tài)的準入控制方法，所述步驟s2還包括：客戶端將注冊設備的唯一標識id上報至準入控制系統(tǒng)，準入控制系統(tǒng)依據(jù)id號來識別設備。

如前述的基于終端主機安全狀態(tài)的準入控制方法，所述步驟s3還包括：所述客戶端檢測接入終端本身的安全性，所述安全性包括：是否存在安全漏洞，是否安裝殺毒軟件，是否安裝了必要的安全管理軟件；所述客戶端將安全性檢測結果掃描并且上報準入控制系統(tǒng)。

如前述的基于終端主機安全狀態(tài)的準入控制方法，所述準入系統(tǒng)依據(jù)安全檢測的結果對注冊設備進行狀態(tài)遷移，具體為：

若安全檢測通過，則進入到認證階段；若安全檢測不通過，則將注冊設備置為隔離狀態(tài)，處于隔離狀態(tài)的設備等待下一次安全檢測。

如前述的基于終端主機安全狀態(tài)的準入控制方法，所述根據(jù)身份認證結果對注冊設備進行狀態(tài)遷移，具體包括：

身份認證通過，進入入網(wǎng)階段，身份認證不通過仍然處于未認證狀態(tài)，等待下一次認證。

如前述的基于終端主機安全狀態(tài)的準入控制方法，在所述準入階段的設備只能訪問權限控制中允許訪問的隔離域資源。

如前述的基于終端主機安全狀態(tài)的準入控制方法，所述入網(wǎng)設備在超過一定時限沒有進行任何操作后，自動切換為離線設備；離線設備要重新入網(wǎng)，則需再次進行準入控制流程。

本發(fā)明又提供一種基于終端主機安全狀態(tài)的準入控制系統(tǒng)，包括：

白名單模塊，用于審查接入終端是否處于準入控制系統(tǒng)的白名單中，若是直接切換為入網(wǎng)設備；若不是，則所述接入終端進入準入階段，并且，所述接入終端的http訪問將被重定向到注冊界面；

設備管理模塊，用于對所述接入終端進行注冊，在注冊界面登記接入終端及其使用者的相關信息；在所述接入終端完成注冊后，將對其進行合法性審核，審核通過后所述接入終端切被換為注冊設備，審核未通過的所述接入終端，其http訪問將重定向至注冊界面；

安檢模塊，用于對審核通過后的所述注冊設備，根據(jù)定制的安全策略進行安全檢測，檢測注冊設備及其運行環(huán)境是否符合安全要求，并依據(jù)檢測結果對注冊設備進行狀態(tài)遷移；

設備狀態(tài)遷移模塊，通過設備所處的不同階段將設備切換到不同的狀態(tài)；

認證模塊，用于在注冊設備通過安全檢測后，對注冊設備的使用者進行身份認證，并根據(jù)身份認證結果對注冊設備進行狀態(tài)遷移；

權限管理模塊，用于對通過身份認證后進入入網(wǎng)狀態(tài)的注冊設備進行權限控制；

接收和發(fā)送模塊，用于系統(tǒng)與終端進行通信；同時產(chǎn)生http報文控制接入終端及注冊設備的行為，具體為產(chǎn)生tcp回復包影響終端的鏈接進行控制；

重定向模塊，用于在所述接入終端注冊失敗、審核失敗、安全檢測失敗、認證失敗和所擁有的權限不能訪問某些資源時，為其顯示當前結果并提供引導性操作，將其重定向至相應的準入階段。

與現(xiàn)有技術相比，本發(fā)明通過判定訪問網(wǎng)絡資源的接入終端的安全狀態(tài)，判斷將所述接入終端直接切換為入網(wǎng)設備或進入準入階段；所述準入階段包括管理注冊、注冊審核、安全檢測、認證和權限管理，從而能夠對設備的唯一性和對設備本身做安全檢查，確保設備的安全，并且對使用設備的人做認證，確保使用者安全合法，到達入網(wǎng)階段后，使用者還要受到權限管控，達到不同的使用者具有不同的訪問權限，從而實現(xiàn)精確的接入控制。

附圖說明

圖1為本發(fā)明第一實施例提供的一種基于終端主機安全狀態(tài)的準入控制方法流程圖；

圖2為本發(fā)明第二實施例提供的一種基于終端主機安全狀態(tài)的準入控制系統(tǒng)結構圖；

圖3為本發(fā)明第三實施例提供的一種基于終端主機安全狀態(tài)的準入控制系統(tǒng)的部署示意圖。

下面結合附圖和具體實施方式對本發(fā)明作進一步的說明。

具體實施方式

為使本發(fā)明實施例的目的、技術方案和優(yōu)點更加清楚，下面將結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚地描述，顯然，所描述的實施例是本發(fā)明一部分實施例，而不是全部的實施例。

如圖1所示，本實施例公開了一種基于終端主機安全狀態(tài)的準入控制方法，該方法包括：通過判定訪問網(wǎng)絡資源的接入終端的接入狀態(tài)，判斷將所述接入終端直接切換為入網(wǎng)設備或進入準入階段；所述準入階段包括管理注冊、注冊審核、安全檢測、認證和權限管理。

本實施例中通過分階段：管理注冊、注冊審核、安全檢測、認證和權限管理，達到了設備安全、人員安全和網(wǎng)絡資源訪問安全的目的，細化了設備入網(wǎng)流程。

在一個具體的例子一中，前述的基于終端主機安全狀態(tài)的準入控制方法，該方法分為如下步驟：

s1、審查接入終端是否處于準入控制系統(tǒng)的白名單中，若是直接切換為入網(wǎng)設備；若不是，則所述接入終端進入準入階段，并且，所述接入終端的http訪問將被重定向到注冊界面；因而能夠加強準入流程的易用性，對于某些用戶和該用戶使用的設備，當其在之前就已經(jīng)通過了準入階段，并且已處于準入控制系統(tǒng)的白名單中時，就能夠直接切換為入網(wǎng)設備并進行資源訪問。

、接入終端進行注冊，在注冊界面登記接入終端及其使用者的相關信息；

其中，所述合法性審核包括人工審核和實名審核，人工審核是通過管理員直接去審核該注冊設備，主要去審核該設備的注冊者，電話，郵箱等基本的注冊信息去決定是否通過審核；實名審核是使用注冊信息匹配系統(tǒng)的實名列表，實名列表包括基本的注冊者、電話、郵箱、ip地址等數(shù)據(jù)，只有通過實名審核的設備才能進入下一階段；

s4、對審核通過后的所述注冊設備根據(jù)定制的策略進行安全檢測，檢測注冊設備的運行環(huán)境是否符合安全要求，并依據(jù)檢測結果對注冊設備進行狀態(tài)遷移；

因而能夠確保設備的安全性，比如防止病毒，木馬等。

其中，注冊設備的安全性包括：設備是否安裝了必要的殺毒軟件，指定軟件，補丁，是否關閉了遠程桌面，共享資源，是否存在必須啟動的服務，進程信息；設備的這些基本檢查信息由系統(tǒng)提供的準入客戶端掃描得到，然后上報到控制系統(tǒng)；

s5、安全檢測未通過的注冊設備仍然處于準入階段，需重新進行安全檢測；

因而可以訪問一些不是很重要但又是必須要用到的資源，舉例如下：

如果安檢失敗的原因是沒有安裝殺毒軟件，那么就可以把殺毒軟件隔離域中，這樣就可以下載并安裝，然后在重新安檢，這樣安檢就能通過了。

、注冊設備通過安全檢測后，對注冊設備的使用者進行身份認證，并根據(jù)身份認證結果對注冊設備進行狀態(tài)遷移；

因而確保使用者是安全的，舉例如下：

如果接入設備注冊，審核，安檢都通過后，當外來人員拿到該設備后，因為他認證不成功，即這個人是不安全的，他是訪問不了公司的內(nèi)網(wǎng)資源的。

、身份認證未通過的注冊設備仍然處于準入階段，需重新進行身份認證；

s8、注冊設備通過身份認證后，將被切換為入網(wǎng)設備；

s9、對所述入網(wǎng)設備進行權限控制；

因而可以對使用者進行資源訪問管理，舉例如下：

比如一臺設備是屬于財務部的，當該設備注冊，審核，安全檢測都通過后，如果是財務人員使用該設備，在認證成功后，財務人員就可以訪問相關的財務信息，如果是研發(fā)人員，認證成功后，因為他是研發(fā)人員，即使設備是安全的，仍然無法訪問財務信息。

其中，權限控制指對設備訪問的資源的控制，準入系統(tǒng)通過對設備訪問的目的域的獲取，達到對不同的設備訪問權限的控制，只有符合權限控制才放行，準許其訪問資源，如果設備無權限訪問某一資源，則準入系統(tǒng)會通過http阻斷該訪問鏈接；

入網(wǎng)設備也需要進行權限控制，不同的入網(wǎng)設備由于不同的使用者從而產(chǎn)生不同的權限，例如只有研發(fā)人員才能訪問研發(fā)服務器，銷售人員不能訪問研發(fā)的服務器，雖然都是入網(wǎng)設備，但是由于設備的使用者的不用，訪問的權限也會不同，從而達到精確控制。

因而能夠通過部署準入控制系統(tǒng)，達到設備，使用者，核心資源的精確控制，保證網(wǎng)絡的安全。

當接入終端在規(guī)定的時間內(nèi)沒有任何的網(wǎng)絡資源訪問行為發(fā)生，接入終端將被設置為離線設備，當該設備再次進行網(wǎng)絡資源訪問時，將會重新進行入網(wǎng)安全檢查，這就在時間維度上保證了終端入網(wǎng)的安全性。

在一個具體的例子二中，例子一中的基于終端主機安全狀態(tài)的準入控制方法，步驟s1中判定訪問網(wǎng)絡資源的接入終端的接入狀態(tài)具體包括：根據(jù)接入終端訪問網(wǎng)絡資源中發(fā)生的流量，準入控制系統(tǒng)接收所述流量，并提取流量中的ip信息，檢查所述ip信息是否在所述白名單的列表中。

在一個具體的例子三中，例子一中的基于終端主機安全狀態(tài)的準入控制方法，所述步驟s2之前還包括：所述接入終端在客戶端下載模塊下載客戶端，在完成客戶端下載前接入終端訪問http請求都會被重定向到注冊界面。

在一個具體的例子四中，例子三中的基于終端主機安全狀態(tài)的準入控制方法，所述步驟s2還包括：客戶端將注冊設備的唯一標識id上報至準入控制系統(tǒng)，準入控制系統(tǒng)依據(jù)id號來識別設備；因此即使nat環(huán)境，也能確定此nat下多設備的唯一性，解決802.1x存在的nat環(huán)境下認證的問題。

在一個具體的例子五中，例子一中的基于終端主機安全狀態(tài)的準入控制方法，所述步驟s3還包括：所述客戶端檢測接入終端本身的安全性，所述安全性包括：是否存在安全漏洞，是否安裝殺毒軟件；所述客戶端將安全性檢測結果掃描并且上報準入控制系統(tǒng)。

在一個具體的例子六中，例子一中的基于終端主機安全狀態(tài)的準入控制方法，所述“準入系統(tǒng)依據(jù)安檢的結果對注冊設備進行狀態(tài)遷移”的一種優(yōu)選實施方式，具體包括圖1中未示出的步驟具體為：

若安全檢測通過，則進入到認證階段；若安全檢測不通過，則將注冊設備置為隔離狀態(tài)，處于隔離狀態(tài)的設備等待下一次安全檢測。

在一個具體的例子七中，例子一中的基于終端主機安全狀態(tài)的準入控制方法，所述“根據(jù)身份認證結果對注冊設備進行狀態(tài)遷移”的一種優(yōu)選實施方式，具體為：身份認證通過，進入入網(wǎng)階段，身份認證不通過仍然處于未認證狀態(tài)，等待下一次認證。

在一個具體的例子八中，例子一中的基于終端主機安全狀態(tài)的準入控制方法，在所述準入階段的設備只能訪問權限控制中允許訪問的隔離域資源。

在一個具體的例子九中，例子一中的基于終端主機安全狀態(tài)的準入控制方法，所述入網(wǎng)設備在超過一定時限沒有進行任何操作后，自動切換為離線設備；離線設備要重新入網(wǎng)，則需再次進行準入控制流程。

如圖2所示，本實施例公開了一種基于終端主機安全狀態(tài)的準入控制系統(tǒng)，包括：

白名單模塊11，用于審查接入終端是否處于準入控制系統(tǒng)的白名單中，若是直接切換為入網(wǎng)設備；若不是，則所述接入終端進入準入階段，并且，所述接入終端的http訪問將被重定向到注冊界面；

設備管理模塊12，用于對所述接入終端進行注冊，在注冊界面登記接入終端及其使用者的相關信息；在所述接入終端完成注冊后，將對其進行合法性審核，審核通過后所述接入終端切被換為注冊設備，審核未通過的所述接入終端，其http訪問將重定向至注冊界面；

安檢模塊13，用于對審核通過后的所述注冊設備，根據(jù)定制的安全策略進行安全檢測，檢測注注冊設備及其運行環(huán)境是否符合安全要求，并依據(jù)檢測結果對注冊設備進行狀態(tài)遷移；

設備狀態(tài)遷移模塊14，通過設備所處的不同階段將設備切換到不同的狀態(tài)；

認證模塊15，用于在注冊設備通過安全檢測后，對注冊設備的使用者進行身份認證，并根據(jù)身份認證結果對注冊設備進行狀態(tài)遷移；

權限管理模塊16，用于對通過身份認證后進入入網(wǎng)狀態(tài)的注冊設備進行權限控制；

接收和發(fā)送模塊：用于系統(tǒng)與終端進行通信；同時產(chǎn)生http報文控制接入終端及注冊設備的行為，具體為產(chǎn)生tcp回復包影響終端的鏈接進行控制；

重定向模塊17，用于在所述接入終端注冊失敗、審核失敗、安全檢測失敗、認證失敗和所擁有的權限不能訪問某些資源時，為其顯示當前結果，并提供引導性操作，將其重定向至相應的準入階段；

報文發(fā)送和接收模塊18，用于白名單模塊11、設備管理模塊12、安檢模塊13、設備狀態(tài)遷移模塊14、認證模塊15和權限管理模塊16提供需要的一些信息，比如ip地址，mac地址，注冊信息，安全檢測結果等，都是從報文中提取的，報文發(fā)送和接收就是提取這些信息供其他模塊使用，是一個基礎模塊。

本實施例公開的基于終端主機安全狀態(tài)的準入控制系統(tǒng)，可實現(xiàn)圖1所示的基于終端主機安全狀態(tài)的準入控制方法流程，因此，本實施例中的裝置的效果及說明可參見圖1所示的方法實施例，在此不再贅述。

在一個具體的例子十中，給出圖2所示的白名單模塊11的優(yōu)選實施方式：所述白名單模塊11還包括：ip提取模塊，用于根據(jù)接入終端訪問網(wǎng)絡資源中發(fā)生的流量，準入控制系統(tǒng)接收所述流量，并提取流量中的ip信息，檢查所述ip信息是否在所述白名單的列表中。

在一個具體的例子十一中，給出圖2所示的注冊審核模塊的優(yōu)選實施方式：所述注冊審核模塊還包括：客戶端下載模塊，用于所述接入終端在客戶端下載模塊下載客戶端，在完成客戶端下載前接入終端訪問http請求都會被重定向到注冊界面。

在一個具體的例子十二中，給出圖2所示的注冊審核模塊的優(yōu)選實施方式：所述注冊審核模塊還包括：id綁定模塊，用于客戶端將注冊設備的唯一標識id上報至準入控制系統(tǒng)，準入控制系統(tǒng)依據(jù)id號來識別設備。

在一個具體的例子十三中，給出圖2所示的客戶端的優(yōu)選實施方式：所述客戶端還包括：客戶端安全性檢查模塊，所述客戶端用其檢測接入終端本身的安全性，所述安全性包括：是否存在安全漏洞，是否安裝殺毒軟件；所述客戶端將安全性檢測結果掃描并且上報準入控制系統(tǒng)。

在一個具體的例子十四中，給出圖2所示的狀態(tài)遷移模塊24的優(yōu)選實施方式：

所述狀態(tài)遷移模塊功能還包括：

若安全檢測通過，則進入到認證階段；若安全檢測不通過，則將注冊設備置為隔離狀態(tài)，處于隔離狀態(tài)的設備等待下一次安全檢測。

在一個具體的例子十五中，給出圖2所示的狀態(tài)遷移模塊24的優(yōu)選實施方式，所述狀態(tài)遷移模塊功能包括：

身份認證通過，進入入網(wǎng)階段，身份認證不通過仍然處于未認證狀態(tài)，等待下一次認證。

在一個具體的例子十六中，給出圖2所示的狀態(tài)遷移模塊24的優(yōu)選實施方式，所述狀態(tài)遷移模塊功能還包括：身份認證通過，進入入網(wǎng)階段，身份認證不通過仍然處于未認證狀態(tài)，等待下一次認證。

如圖3所示，本實施例公開了一種基于終端主機安全狀態(tài)的準入控制系統(tǒng)的部署結構，包括：路由器21、核心交換機22、交換機23、認證服務器24、準入控制系統(tǒng)25和終端26；所述核心交換機22連至路由器21、交換機23、認證服務器24和準入控制系統(tǒng)25；所述交換機23連至終端26；