专利名称:验证接入主机安全性的访问认证系统和方法
技术领域:
本发明涉及一种验证接入主机安全性的访问认证系统和方法,确切地说,涉及一种基于安全健康指纹验证接入主机安全性的访问认证系统和方法,属于数据通信中的网络安全技术领域。
背景技术:
随着网络系统或软件的漏洞不断发现,网络蠕虫(Worm)攻击日益泛滥,网络蠕虫攻击是一种能够进行自我复制,利用系统或网络服务漏洞进行传播的攻击行为。网络蠕虫攻击的主要目标是存在漏洞的主机。现在,许多存在漏洞的主机在没有进行安全检查的情况下接入到企业网、互联网上,把各种安全隐患扩散到整个网络,影响到网络上的其它主机、服务器和网络设备,造成服务器宕机、整个网络拥塞甚至瘫痪。
目前主要的认证技术还是传统的采用用户名/密码进行的身份认证,这种认证方法只能验证用户的合法身份,无法针对主机的安全性进行验证,因此也无法防止或减少网络蠕虫的爆发。
网络接入一般有三种方式通过交换机与电信网、其他网段、或Internet相连、通过VPN接入企事业内部局域网和通过宽带接入服务器接入互联网。这些接入仍然都是只对用户身份进行验证。如果能够同时再对接入主机进行安全性验证,则会大大提高网络的安全性。因此,如何对网络接入的认证体系进行改造,以便能够对接入主机进行基于安全性的鉴权认证,就成为业内技术人员迫切需要解决的新课题。
发明内容
有鉴于此,本发明的目的是提供一种验证接入主机安全性的访问认证系统和方法,本发明改变了利用用户名/密码对接入主机进行用户身份认证的传统技术,提出一种全新的基于安全健康指纹的访问认证系统和方法,验证接入网络的各种主机或终端设备的安全性,有效保证了网络安全。
为了达到上述目的,本发明提供了一种验证接入主机安全性的访问认证系统,其特征在于该系统采用安全健康指纹信息对接入网络的主机安全性进行访问认证,系统组成构件包括认证客户端,为接入网络而需要验证其安全性的主机,机内安装有用于安全健康指纹认证的客户端软件,该客户端软件能够采集该主机的安全健康指纹信息,经由接入控制装置、认证服务器发送到安全健康指纹认证装置进行验证;接入控制装置,为用户提供接入的网络设备,其内部设有提供用户接入的端口和接入控制模块;在收到安全健康指纹认证装置返回的认证结果后,控制主机的接入请求允许接入、拒绝接入或只允许访问部分提供服务的网元;认证服务器,为通过用户名/密码进行身份认证的传统服务器,用于与安全健康指纹认证装置配合,对用户进行用户身份和主机安全性的双重认证;安全健康指纹认证装置,为用户主机接入的验证设备,其内部设有一个安全健康策略库和一个信息接口,负责接收客户端的安全健康指纹,并针对指纹中的信息在安全健康策略库进行查找比对,根据综合的指纹比对结果评估出该主机的安全状态级别;如果该主机的安全状态级别低于策略中的规定值,则向接入控制装置发送不允许接入消息或访问控制策略;如果该主机的安全状态级别大于等于策略中的规定值,则向接入系统发送接入允许消息。
所述主机的安全健康指纹信息包括但不限于操作系统类型、操作系统版本号、补丁情况、文件共享情况、开放的传输控制协议TCP端口、开放的用户数据报协议UDP端口、运行的系统服务、用户口令强度、来宾Guest用户账号使用情况、账户锁定策略、账户口令策略、启动信息、浏览器版本、浏览器补丁情况、Email客户端版本、Email客户端补丁情况。
所述安全健康指纹信息封装成格式为“类型、长度、内容”的数据包,其中类型字段为特殊标识,表明该数据包需要送交安全健康指纹认证装置进行安全认证,且由客户端、认证服务器和安全健康指纹认证装置三者共同定义。
所述接入控制装置中提供用户接入的端口有两个逻辑端口受控端口,只在认证通过状态下开启,用于传递网络资源和服务;不受控端口,始终处于双向连通状态,以供客户端随时发出或接收认证。
所述接入网络是内部局域网时,为支持该网络端口的接入控制,所述客户端需要支持的通信协议为局域网扩展认证协议EAPOL(Extensible AuthenticationProtocol Over LAN)。
所述接入网络是虚拟专用网VPN时,为支持该网络端口的接入控制,所述客户端需要支持的通信协议至少包括下述VPN隧道协议点对点隧道协议PPTP(Point To Point Tunneling Protocol)、第二层隧道协议L2TP(Layer 2Tunneling Protocol)、Internet安全协议IPSEC(Internet Protocol security)。
所述接入网络是电信接入网时,为支持该网络端口的接入控制,所述客户端需要支持的通信协议为在以太网上传送点对点数据包协议PPPOE(Point ToPoint Protocol Over Ethernet)。
为了达到上述目的,本发明还提供了一种采用验证接入主机安全性的访问认证系统的认证方法,其特征在于采用安全健康指纹信息对接入主机的安全性进行验证,以防范网络蠕虫和黑客攻击;包括下列步骤(1)在客户端发起接入请求时,客户端软件提取本机的安全健康指纹信息,并将该信息封装成格式为“类型、长度、内容”的数据包,发送给接入控制装置;(2)接入控制装置发现指纹信息的认证数据包后,直接转发给认证服务器;或者提取其中用于认证的安全健康指纹信息重新封装后,转发给认证服务器;(3)认证服务器与安全健康指纹认证装置通信,将安全健康指纹信息发送给安全健康指纹认证装置;(4)安全健康指纹认证装置将该指纹信息中的相关字段与其策略库中的信息进行比对,并对各项信息的比较结果和相关条件进行综合评判,给出其安全状态等级,再将该等级值与安全准入的要求进行比较,如果该等级值大于或等于准入值,则发送认证通过信息;否则,发送认证失败或有限制接入消息;
(5)接入控制装置读取访问控制指令,并根据该指令对接入主机设置相应的授权状态如果是认证通过的消息,则完成主机的接入;如果是认证未通过的消息,则拒绝主机的接入,并在客户端软件上给出接入失败提示;如果是有限制接入的消息,则由接入控制模块配置对应的访问策略。例如让该感染蠕虫病毒的主机只能访问网络中的补丁服务器,以给该设备及时打上补丁修补漏洞,降低再次感染蠕虫的可能。
所述步骤(1)中客户端软件发送认证数据包时使用的网络通信协议包括但不限于TCP、UDP、ICMP、或EAPOL。
所述步骤(3)中认证服务器与安全健康指纹认证装置之间的通信采用的协议是远程用户拨号认证系统RADIUS。
本发明具有以下优点(1)有效阻止感染病毒的主机访问网络,保证网络安全本发明的访问认证系统根据主机的安全健康指纹信息对该主机进行准入控制,阻止或限制感染病毒的主机接入网络,切断了其感染其他设备的途径,从而有效防止了网络中蠕虫等病毒的泛滥。认证方法中配置的访问控制策略只允许感染病毒的主机访问网络中的补丁服务器,使该设备及时打上补丁修补漏洞,从而降低再次感染病毒的可能。
(2)访问认证的针对性强,不影响其它接入设备本发明系统基于端口或用户身份进行访问控制,直接将接入的某一用户的主机或终端设备进行隔离,其他用户的接入设备对网络的访问不受影响。在安全健康策略库中配置有不同安全等级的访问控制策略,针对不同的接入设备发送不同的访问控制指令。
(3)系统结构简单,软、硬件投资费用少客户端仅需配置能够自动收集该设备安全健康指纹信息、并以设定格式打包发送给安全健康指纹认证装置的客户端软件,其功能比较简单,容易实现。整个系统需要添置的硬件设备只有安全指纹认证装置,且可以利用现有的认证服务器软硬件开发,既可加快研制进度,还可方便地实现和传统认证服务器的接口。
综上所述,本发明基于安全健康指纹验证接入主机安全性的访问认证系统和方法将由安全指纹信息所得出的主机安全等级作为对该主机进行访问控制的依据,通过安全认证装置下发针对网络设备具体端口的访问控制策略,能在其他主机或设备正常访问网络的情况下,有效阻止安全等级较低的主机接入网络;同时,通过合理设置,还能使用户及时为感染病毒的主机打上补丁。本发明可以广泛应用于企业内网的安全防御,能够有效隔离网络蠕虫和黑客攻击,极大降低网络蠕虫、黑客攻击对主机和网络的影响。
图1是本发明验证接入主机安全性的访问认证系统的组成结构示意图。
图2是本发明访问认证系统的认证方法的操作步骤流程图。
图3是本发明访问认证系统的第一实施例的组成部件及内部架构方框图。
图4是本发明访问认证系统的第一实施例的结构组成示意图。
图5是本发明访问认证系统的第二实施例的结构组成示意图。
图6是本发明访问认证系统的第二实施例的结构组成示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图和实施例对本发明作进一步的详细描述。
参见图1,本发明是一种采用安全健康指纹信息验证接入主机安全性的访问认证系统,该系统组成构件包括客户端1,为接入网络而需要验证其安全性能的主机,机内安装有用于安全健康指纹认证的客户端软件,该软件能采集该主机的安全健康指纹信息,并经由接入控制装置、认证服务器发送到安全健康指纹认证装置进行验证;其中安全健康指纹主要包括但不仅限于下述信息操作系统类型、操作系统版本号、补丁情况、文件共享情况、开放的TCP端口、开放的UDP端口、运行的系统服务、用户口令强度、来宾Guest用户账号使用情况、账户锁定策略、账户口令策略、启动信息、浏览器版本、浏览器补丁情况、Email客户端版本、Email客户端补丁情况。
接入控制装置2,为用户提供接入的网络设备,其内部设有提供用户接入的端口和接入控制模块;在收到安全健康指纹认证装置返回的认证结果后,控制主机的接入请求允许接入、拒绝接入或只允许访问部分提供服务的网元;认证服务器3,为通过用户名/密码进行身份认证的传统服务器,用于与安全健康指纹认证装置配合,对用户进行用户身份和主机安全性的双重认证;安全健康指纹认证装置4,为用户主机接入的验证设备,其内部设有一个安全健康策略库和一个信息接口,从客户端接收安全健康指纹,并针对指纹中的信息在安全健康策略库进行查找比对,根据综合的指纹比对结果评估出该主机的安全状态级别;再根据主机的安全状态级别与访问控制策略中的规定值的比较结果,向接入控制装置分别发送接入允许消息、不允许接入消息或访问控制策略。
本发明基于安全健康指纹的访问认证技术可以有效控制接入主机的安全性,最大限度地防范蠕虫爆发和黑客攻击,保障主机和网络的安全稳定。
参见图2,介绍本发明采用安全健康指纹信息对接入主机的安全性进行访问认证方法的具体操作步骤(1)在客户端发起接入请求时,客户端软件提取本机的安全健康指纹信息,并将该信息封装成格式为“类型、长度、内容”的认证数据包,使用包括TCP、UDP、ICMP、或EAPOL等网络通信协议将数据包发送给接入控制装置;(2)接入控制装置发现指纹信息的认证数据包后,直接转发给认证服务器;或者提取其中用于认证的安全健康指纹信息重新封装后,转发给认证服务器;(3)认证服务器与安全健康指纹认证装置之间采用RADIUS协议进行交互通信,将安全健康指纹信息发送给安全健康指纹认证装置;(4)安全健康指纹认证装置将该指纹信息中的相关字段与其策略库中的信息进行比对,并对各项信息的比较结果和相关条件进行综合评判,给出其安全状态等级,再将该等级值与安全准入的要求进行比较,如果该等级值大于或等于准入值,则发送认证通过信息;否则,发送认证失败或有限制接入消息;
(5)接入控制装置读取访问控制指令,并根据该指令对接入主机设置相应的授权状态如果是认证通过的消息,则完成主机的接入;如果是认证未通过的消息,则拒绝主机的接入,并在客户端软件上给出接入失败提示;如果是有限制接入的消息,则由接入控制模块配置对应的访问策略,给访问控制系统发送相应的访问控制指令;例如让该感染蠕虫病毒的主机只能访问网络中的补丁服务器,以给该设备及时打上补丁修补漏洞,降低再次感染蠕虫的可能。
下面结合三个不同接入网络,分别说明本发明的三个实施例。
首先是在IEEE802.1x基于端口的访问控制技术的基础上接入企事业内部局域网的实例。参见图3,此时,本发明系统包括四个部分认证客户端1、接入控制装置2、认证服务器3和安全健康指纹认证装置4。
在IEEE802.1x接入认证体系中一般将用户终端作为客户端1,该终端通常要安装一个客户端软件,用户通过启动这个客户端软件发起用户身份认证,接入控制装置根据安全健康指纹认证装置认证的结果决定该用户终端是否能够访问网络。
为支持基于端口的接入控制,客户端1需要支持EAPOL协议。为了支持对主机健康指纹的安全认证,客户端1应该能够收集该主机的安全健康指纹信息,并发送到认证装置进行验证。认证数据包封装为“类型、长度、内容”格式,其中类型字段为特殊标识,表明该数据包需要进行安全健康指纹认证。
通常支持IEEE802.1x认证方式的网络设备(即接入控制装置2)对应于不同用户设备的端口(物理端口或用户设备的MAC地址、VLAN、IP等)有两个用于用户接入的逻辑端口受控端口和不受控端口。不受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,可保证客户端随时可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。如果用户没有通过认证,则受控端口处于未授权的关闭状态,用户无法访问认证系统提供的服务。开始时用户受控端口处于未授权状态,无法访问任何网络资源;只有经过用户身份认证后,受控端口才被设为授权的开启状态。在本实施例中,接入控制装置2可用支持IEEE802.1x协议的网络设备(图示为交换机)来实现,其中的接入端口为接入网络设备的物理端口,接入控制模块为接入设备的控制模块。该端口的接入控制模块将认证信息重新封装为EAPOL协议帧,然后用RADIUS协议发送给认证服务器3。
由于EAPOL协议是由IEEE802.1x协议所定义,通常支持IEEE802.1x协议的设备都能支持EAPOL协议,本发明的安全健康指纹认证装置4只需使用标准的RADIUS协议与认证服务器3进行通信交互,即可完成认证。在此过程中,认证服务器3作为RADIUS的客户端,负责将用RADIUS协议封装的EAPOL协议帧中的指纹信息提取出来,然后重新用RADIUS包格式封装后,再发送给RADIUS的服务器端-安全健康指纹认证装置4。安全健康指纹信息内容则以“类型、长度、内容”格式封装在RADIUS包中,其中类型字段的值必须由客户端1、认证服务器3和安全健康指纹认证装置4三者统一定义,使得三者都能够了解特定字段的含义。
图4展示了该实施例系统的组成设备的部署结构,其中内部局域网的各个主机(即客户端)通过接入控制装置-交换机-连入内部局域网(图中用矩形虚线框出)。
参见图5,介绍本发明在基于VPN访问控制技术的基础上接入企事业内部局域网的实例。该系统实施例的结构组成与图4大体相同,区别只是在接入控制装置3;也是由四个部分组成认证客户端1、VPN接入控制装置2、认证服务器3和安全健康指纹认证装置4。。
在VPN接入认证体系中一般将用户终端作为客户端1,该终端通常要安装一个客户端软件,用户通过启动该客户端软件发起用户身份认证,VPN接入控制装置根据安全健康指纹认证装置认证的结果决定该用户终端允许或阻止访问网络。
为支持基于VPN的接入控制,客户端1需要支持PPTP、L2TP、IPSEC等各种VPN隧道协议。为了支持主机健康指纹的安全认证,客户端1应该能够收集该终端安全健康指纹信息,并发送到认证装置进行验证。认证数据包以“类型、长度、内容”格式封装,其中类型字段为特殊标识,表明该数据包需要进行安全健康指纹的安全性访问认证。
在第二实施例中,接入控制装置2可用支持一种或多种VPN隧道协议的网络设备来实现,其中的接入端口为VPN接入设备的物理或逻辑端口,接入控制模块为VPN接入设备的控制模块。该接入控制模块首先将认证信息解密,提取出认证信息,然后用RADIUS协议发送给认证服务器3。
认证服务器3负责从RADIUS协议封装的认证包中提取指纹信息,然后重新用RADIUS包格式封装后,发送给安全健康指纹认证装置4。认证服务器3使用标准的RADIUS协议与安全健康指纹认证装置4进行通信,在此过程中,认证服务器3为RADIUS的客户端,安全健康指纹认证装置4为RADIUS的服务器端。安全健康指纹信息的内容以“类型、长度、内容”格式封装在RADIUS包中,其中类型字段的值必须由客户端1、认证服务器3和安全健康指纹认证装置4三者统一定义,使得三者都了解特定字段的含义。
图5展示了该实施例系统组成设备的部署结构,外部网络的各主机通过VPN接入设备连入内部局域网(图中用矩形虚线框出)。
参见图6,介绍本发明在基于PPPOE拨号接入访问控制技术的基础上接入电信网的实例。该系统实施例的结构组成与图4、图5大体相同,区别只是在接入控制装置3;也是由四个部分组成认证客户端1、PPPOE接入控制装置2、认证服务器3和安全健康指纹认证装置4。
在PPPOE接入认证体系中一般将用户终端作为客户端1,该终端通常要安装一个客户端软件,用户通过启动这个客户端软件发起用户身份认证,PPPOE接入控制装置根据安全健康指纹认证装置认证的结果允许或阻止用户终端访问网络。
为支持基于PPPOE的接入控制,客户端1需支持PPPOE协议。为支持主机健康指纹的安全认证,客户端1应该能够收集该终端安全健康指纹信息,并发送到认证装置进行验证。认证数据包封装为“类型、长度、内容”格式,其中类型字段为特殊标识,表明该数据包需要进行安全健康指纹的安全性访问认证。
在该第三实施例中,接入装置2可用PPPOE协议的网络设备来实现,其中的接入端口为PPPOE接入设备的物理或逻辑端口,接入控制模块为PPPOE接入设备的控制模块。
PPPOE协议提供了在广播式的网络中多台主机连接到远端的访问集中器上的一种标准。在这种网络模型中,所有用户的主机都需要能独立地初始化自已的PPP协议栈,而且通过PPP协议本身所具有的一些特点,实现在广播式网络上对用户进行计费和管理。
PPPOE协议共包括两个阶段,即PPPOE的发现阶段(PPPOE DiscoveryStage)和PPPOE的会话阶段(PPPOE Session Stage)。
当一个客户端主机希望开始一个PPPOE会话时,它首先会在广播式的网络上寻找一个访问集中器,当该主机选择了其所需要的接入服务器后,就开始和该接入服务器建立一个PPPOE会话进程。在这个过程中,访问集中器会为每一个PPPOE会话分配一个唯一的进程标识ID,会话建立起来后,就开始了PPPOE的会话阶段。在该阶段中已建立好点对点连接的双方就采用PPP协议来交换数据报文,从而完成一系列PPP的过程,最终将在这条点对点的逻辑通道上进行网络层数据报的传送。
PPPOE接入控制装置2的接入控制模块首先通过PPPOE认证对客户端1发送过来的用户名和密码进行验证。认证通过后,接入控制模块将收到的安全健康指纹信息用RADIUS协议发送给认证服务器3和安全健康指纹认证装置4。
认证服务器3负责从RADIUS协议封装的认证包中提取指纹信息,然后重新用RADIUS包格式封装后,发送给安全健康指纹认证装置4。认证服务器3使用标准的RADIUS协议与安全健康指纹认证装置4进行通信,在此过程中,认证服务器3为RADIUS的客户端,安全健康指纹认证装置4为RADIUS的服务器端。安全健康指纹信息的内容以“类型、长度、内容”格式封装在RADIUS包中,其中类型字段的值必须由客户端1、认证服务器3和安全健康指纹认证装置4三者统一定义,使得三者都了解特定字段的含义。
安全健康指纹认证装置4针对主机的安全情况进行评估后,决定是否允许该主机接入网络。
图6展示了该第三实施例的访问认证系统组成设备的部署结构,各个拨号用户主机(即客户端)通过PPPOE接入设备连入被访问的公共电信网络(图中用矩形虚线框出)。
权利要求
1.一种验证接入主机安全性的访问认证系统,其特征在于该系统采用安全健康指纹信息对接入网络的主机安全性进行访问认证,系统组成构件包括认证客户端,为接入网络而需要验证其安全性的主机,机内安装有用于安全健康指纹认证的客户端软件,该客户端软件能够采集该主机的安全健康指纹信息,经由接入控制装置、认证服务器发送到安全健康指纹认证装置进行验证;接入控制装置,为用户提供接入的网络设备,其内部设有提供用户接入的端口和接入控制模块;在收到安全健康指纹认证装置返回的认证结果后,控制主机的接入请求允许接入、拒绝接入或只允许访问部分提供服务的网元;认证服务器,为通过用户名/密码进行身份认证的传统服务器,用于与安全健康指纹认证装置配合,对用户进行用户身份和主机安全性的双重认证;安全健康指纹认证装置,为用户主机接入的验证设备,其内部设有一个安全健康策略库和一个信息接口,负责接收客户端的安全健康指纹,并针对指纹中的信息在安全健康策略库进行查找比对,根据综合的指纹比对结果评估出该主机的安全状态级别;如果该主机的安全状态级别低于策略中的规定值,则向接入控制装置发送不允许接入消息或访问控制策略;如果该主机的安全状态级别大于等于策略中的规定值,则向接入系统发送接入允许消息。
2.根据权利要求1所述的访问认证系统,其特征在于所述主机的安全健康指纹信息包括但不限于操作系统类型、操作系统版本号、补丁情况、文件共享情况、开放的传输控制协议TCP端口、开放的用户数据报协议UDP端口、运行的系统服务、用户口令强度、来宾Guest用户账号使用情况、账户锁定策略、账户口令策略、启动信息、浏览器版本、浏览器补丁情况、Email客户端版本、Email客户端补丁情况。
3.根据权利要求1或2所述的访问认证系统,其特征在于所述安全健康指纹信息封装成格式为“类型、长度、内容”的数据包,其中类型字段为特殊标识,表明该数据包需要送交安全健康指纹认证装置进行安全认证,且由客户端、认证服务器和安全健康指纹认证装置三者共同定义。
4.根据权利要求1所述的访问认证系统,其特征在于所述接入控制装置中提供用户接入的端口有两个逻辑端口受控端口,只在认证通过状态下开启,用于传递网络资源和服务;不受控端口,始终处于双向连通状态,以供客户端随时发出或接收认证。
5.根据权利要求1所述的访问认证系统,其特征在于所述接入网络是内部局域网时,为支持该网络端口的接入控制,所述客户端需要支持的通信协议为局域网扩展认证协议EAPOL。
6.根据权利要求1所述的访问认证系统,其特征在于所述接入网络是虚拟专用网VPN时,为支持该网络端口的接入控制,所述客户端需要支持的通信协议至少包括下述VPN隧道协议点对点隧道协议PPTP、第二层隧道协议L2TP、Internet安全协议IPSEC。
7.根据权利要求1所述的访问认证系统,其特征在于所述接入网络是电信接入网时,为支持该网络端口的接入控制,所述客户端需要支持的通信协议为在以太网上传送点对点数据包协议PPPOE。
8.一种采用权利要求1所述的验证接入主机安全性的访问认证系统的认证方法,其特征在于采用安全健康指纹信息对接入主机的安全性进行验证,以防范网络蠕虫和黑客攻击;包括下列步骤(1)在客户端发起接入请求时,客户端软件提取本机的安全健康指纹信息,并将该信息封装成格式为“类型、长度、内容”的数据包,发送给接入控制装置;(2)接入控制装置发现指纹信息的认证数据包后,直接转发给认证服务器;或者提取其中用于认证的安全健康指纹信息重新封装后,转发给认证服务器;(3)认证服务器与安全健康指纹认证装置通信,将安全健康指纹信息发送给安全健康指纹认证装置;(4)安全健康指纹认证装置将该指纹信息中的相关字段与其策略库中的信息进行比对,并对各项信息的比较结果和相关条件进行综合评判,给出其安全状态等级,再将该等级值与安全准入的要求进行比较,如果该等级值大于或等于准入值,则发送认证通过信息;否则,发送认证失败或有限制接入消息;(5)接入控制装置读取访问控制指令,并根据该指令对接入主机设置相应的授权状态如果是认证通过的消息,则完成主机的接入;如果是认证未通过的消息,则拒绝主机的接入,并在客户端软件上给出接入失败提示;如果是有限制接入的消息,则由接入控制模块配置对应的访问策略。
9.根据权利要求8所述的认证方法,其特征在于所述步骤(1)中客户端软件发送认证数据包时使用的网络通信协议包括但不限于TCP、UDP、ICMP、或EAPOL。
10.根据权利要求8所述的认证方法,其特征在于所述步骤(3)中认证服务器与安全健康指纹认证装置之间的通信采用的协议是远程用户拨号认证系统RADIUS。
全文摘要
一种验证接入主机安全性的访问认证系统,由客户端、接入控制装置、认证用户身份的认证服务器和安全健康指纹认证装置组成。其中客户端为接入主机,机内客户端软件采集该主机的安全健康指纹信息,经由接入控制装置、认证服务器发送到安全健康指纹认证装置进行验证。接入控制装置内有供用户接入的端口和接入控制模块;在收到返回的认证结果后,控制主机的接入请求允许接入、拒绝接入或只允许访问部分提供服务的网元。安全健康指纹认证装置内有安全健康策略库,用于指纹信息的查找比对,并根据比对结果评估主机的安全性,决定是否允许接入网络。本发明基于安全健康指纹的访问认证方法,能够验证各种接入网络的主机的安全性,有效保证网络安全。
文档编号H04L9/32GK1744494SQ20051011252
公开日2006年3月8日 申请日期2005年9月30日 优先权日2005年9月30日
发明者余晓光, 陈珣, 金华敏, 王帅, 沈军 申请人:广东省电信有限公司研究院