专利名称:主机安全接入方法、隔离方法及安全接入和隔离的系统的制作方法
技术领域:
本发明涉及通信领域,并且特别地,涉及一种主机安全接入方 法、隔离方法及安全4妄入和隔离的系统。
背景技术:
随着网络的不断普及,802.lx网络接入技术得到了广泛的应用, 并且拥有广阔的市场。网络的普及也4吏得网络的安全性面临着巨大 挑战,网络中的各种病毒/木马泛滥,各种形式的网络扫描与网络攻 击也大量不在,危害了网络安全及网络用户的信息安全。经过研究发现,如果能够保证网络中每一台主机的安全性,网 络的整体安全性将得到提高。例如,假如网络中的每一台主机都安 装了杀毒软件、将病毒库升级到最新、安装了防火墙且封闭了不必 要的端口、以及安装了最新的系统补丁从而填补了系统漏洞,这样, 主才几就4艮难受到病毒的感染和黑客的攻击,从而可以阻止网络病毒 的迅速传播,保证了整个网络的安全性。4旦是,由于网络用户的水平不同,并不是每一个网络用户都会 有意识的进行上面的操作以保证主机的安全性,因此,需要一种不全的主机进行隔离和修复。发明内容考虑到无法保证网络中接入主机的安全性、以及无法对已接入 的不安全主机进行隔离和修复的问题而做出本发明,为此,本发明 的主要目的在于提供一种主机安全接入的方法、隔离方法以及安全 才妾入和隔离的系统,以解决相关4支术中的上述问题。才艮据本发明的一个方面,4是供了一种主才几安全"l妄入方法。才艮据本发明实施例的主才几安全4妄入方法包4舌在主才几发起4矣入 时,从安全检查策略服务器获取安全检查策略,并根据安全检查策 略对主机进行安全检查;在未通过安全检查的情况下,将接入设备 的工作模式设置为Guest Vlan模式,使得主机能够访问受限区域, 其中,受限区域包括安全检查策略服务器以及补丁和病毒库服务器; 在通过安全4企查的情况下,向4妄入i殳备发起i人i正i青求,并且在i人i正 成功的情况下,将接入设备的工作模式设置为工作Vlan模式,使得 主才几能够访问网症各和受限区域。此夕卜,在上述主冲几向4妄入i殳备发起iU正^青求之后,进一步包4舌 响应于认证请求,接入设备将用户信息发送到认证服务器进行合法 性认证;在认证失败的情况下,将接入设备的工作才莫式设置为保持 Guest Vlan模式,使得主机能够访问受限区域。此外,在未通过安全检查的情况下,将上述接入设备的工作模 式i殳置为Guest Vlan才莫式,4吏得主4几能够访问受限区域后,进一步 包括主机访问受限区域的安全策略服务器以及补丁和病毒库服务 器,获取更新的安全检查策略和自动修复策略,并进行自动修复; 在自动修复完成后,根据安全检查策略对主机进行安全检查。才艮据本发明的另一方面,提供了一种主机隔离方法,用于对接 入网络的不安全主机进行隔离。才艮据本发明实施例的主才几隔离方法包括在主4几接入网络后, 从安全检查策略服务器获取安全检查策略,并根据安全检查策略对 主才几进4于安全4全查;在未通过安全4全查的情况下,通知"i人i正力良务器 向主4几的接入设备发送下线消息;响应于下线消息,4妾入i丈备向主 机发送下线通知,并且将接入设备的工作模式设置为Guest Vlan模 式,使得主机能够访问受限区域,其中,受限区域包括安全4企查策 略服务器以及补丁和病毒库服务器。其中,在未通过安全检查的情况下,通知认证服务器向主机的 接入设备发送下线消息具体为认证服务器接收来自主机的下线通 知,下线通知中包括主机的地址信息;认证服务器根据主机的地址 信息,查找主机的会话信息,其中,会话信息中包括主机的用户名 和接入设备信息;认证服务器根据会话信息构造下线消息,并将下 线消息发送到接入设备。此外,将上述接入设备的工作模式设置为Guest Vlan模式,使 得主机能够访问受限区域后,进一步包括接入设备向认证服务器 发送记H长终止才艮文,通知i人i正;i良务器主才几已经下线。此外,进一步包括上述主才几访问受限区域的安全策略月良务器 以及补丁和病毒库服务器,获取更新的安全检查策略和自动修复策 略,并进4于自动4f复;在自动^f奮复完成后,主4几重新发起iU正i青求, 在认证请求通过的情况下,将接入设备的工作模式设置为工作Vlan 才莫式,使得主才几能够访问网络和受限区域。根据本发明的再一方面,提供了 一种主机安全接入和隔离的系统。根据本发明实施例的主机安全接入和隔离的系统包括受限区 域服务器,用于提供安全检查策略和自动修复策略;客户端模块,用于,人受限区域力良务器获取安全4全查策略,对主才几安全状态进行4全查,以及发起i人i正i青求;^人i正月良务器,用于对主才几进4亍iU正、4受4又; 接入设备,用于将主机接入网络和/或受限区域服务器。此外,上述接入设备进一步包括第一接入才莫块,运行于工作 Vlan模式,用于将主机接入网络和受限区域服务器;第二接入模块, 运行于Guest Vlan模式,用于将主机接入受限区域服务器;调用模 块,用于调用第一接入模块和第二接入模块。此外,上述客户端模块进一步包括获取模块,用于从受限区 域服务器中获取安全检查策略和自动修复策略;安全检查模块,用 于对主机进行安全4企查;认证请求模块,用于发起认证请求;修复 模块,用于对主机进行修复。此外,上述调用才莫块用于在主才几未通过安全检查4莫块的安全冲会 查的情况下,调用第一接入模块;以及在主机通过安全检查模块的 安全检查以及在认证服务器认证通过的情况下,调用第二接入模块。此外,上述获取模块用于在主机未通过安全检查模块的安全检 查的情况下,从受限区域服务器中获取安全检查策略和自动修复策 略;修复模块用于使用获取模块获取的自动修复策略对主机进行修 复;认证请求模块用于在修复模块完成修复的情况下发起认证请求。通过上述4支术方案,能够保证接入网络的主机是安全的,并且 对已经接入网络的主机进行动态检查,对不安全主机进行隔离修复, 能够根据实际需要更新安全检查策略,提高了网路的安全性。本发明的其它特征和优点将在随后的说明书中阐述,并且,部 分地从说明书中变得显而易见,或者通过实施本发明而了解。本发 明的目的和其他优点可通过在所写的说明书、权利要求书、以及附 图中所特别指出的结构来实现和获得。
附图用来提供对本发明的进一步理解,并且构成说明书的 一部 分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中图1流程图;图2 的流程图;图3是才艮据本发明是方法实施例的主才几隔离方法的流程图;图4是根据本发明是方法实施例的主机隔离方法的详细处理的 流程图;图5是根据本发明系统实施例的主机安全接入和隔离系统的框图;图6是根据本发明系统实施例的主机安全接入和隔离系统的示意图;图7是根据本发明系统实施例的主机隔离的信令流程图具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此 处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本 发明。方法实施例一在本实施例中,提供了一种主机安全接入方法,图l是才艮据本 发明是实施例的主机安全接入方法的流程图,如图1所示,包括以下处理步骤S102,在主机发起接入时,从安全检查策略服务器获取安 全才企查策略,并根据安全4全查策略对主机进行安全4企查;另外,客户端(客户端^^莫块)会定时的向安全策略服务器查询 是否有更新的安全检查策略,如果有,则下载最新的安全检查策略, 在获得安全检查策略后,客户端会定时根据安全检查策略对接入主 机进行检查,检查是否符合安全检查策略。步骤S104,在未通过安全检查的情况下,将接入设备的工作模 式设置为Guest Vlan模式,使得主机能够访问受限区域,其中,受 限区域包括安全4企查策略力良务器以及补丁和病毒库力良务器;步骤S106,在通过安全检查的情况下,向接入设备发起认证请 求,3口果用户名和密石马正确,即,如果iU正成功,则用户可以成功 接入网络,此时,将接入设备的工作模式设置为工作Vlan模式,使 -得主才几能够_沐问网络和受限区i或。步骤S106中,在向接入设备发起认证请求之后,进一步包括 响应于认证请求,接入设备将用户信息发送到认证服务器进行合法 性认证;在认证失败的情况下,将接入设备的工作模式设置为保持 Guest Vlan模式,使得主机能够访问受限区域。此外,在未通过安全检查的情况下,将上述接入设备的工作模 式设置为Guest Vlan模式,使得主机能够访问受限区域后,进一步 包括主才几访问受限区域的安全策略月艮务器以及补丁和病毒库月良务器,获取更新的安全检查策略和自动修复策略,并进行自动修复; 在自动修复完成后,根据安全检查策略对主机进行安全检查。另夕卜, 当客户端不能自动完成4务复时将提示用户自4亍手工对主4几进^^'务 复。通过以上描述可以看出,在用户不在线(离线状态)的情况下, 通过交换机"妄入"i殳备)_没置的GuestVlan才莫式,用户4又可以访问 受限区域,即,安全策略服务器和病毒库补丁服务器,而不能访问 网络,此时,用户处于"隔离"状态,在用户iU正通过后,经过Vlan 跳转进入正常的工作Vlan才莫式,此时,用户可以同时访问网络和受 限区域。下面,结合附图,对上述才支术方案的处理过考呈进^f亍详细"i兌明。 如图2所示,用户进行接入前安全检查包括以下步骤1、 客户端首先根据策略判断接入主机是否安全;2、 在接入主机未通过安全检查,即主冲几不安全的情况下,客户 端不为用户发起认证,并且提示用户等待主机通过安全检查后进行 登录,处理流程结束;3、 在用户主才几已经通过安全4企查的情况下,客户端为用户向4妄 入交换机发起认证请求,交换机将用户信息(例如,用户名、密码) 送到Radius服务器进行合法性检查;4、 在用户4言息不正确时,用户不能i^i正通过,用户继续在Guest Vlan内访问受限区域;5、 在用户信息正确时,用户认证通过;妄入交才奐才几进4亍Vlan3兆转,由Guest Vlan 跳转到工作Vlan,此时用户可以访问网络和受限区域。通过上述的实施例,实现了保证接入主机安全性的目的。方法实施例二在用户接入网络后,由于策略变更或主才几安全状态变更4吏得主 才几不能通过安全4企查,此时,认证客户端或安全4全查策略力良务器可 以直接或间接的通知Radius服务器该主机已经不再安全,并附加必 要的主^L信息(例如,4妄入主才几网卡的MAC地址)用于Radius定 位主机以便进行下一步操作。当Radius服务器收到信息后,根据主 机信息确定登陆用户所使用的用户名以及所在的接入交换机,构造 下线消息(RFC3576 )并发送到接入交换机,接入交换机在收到下 线消息后,会向客户端发送认证失败消息使得用户下线,并停止为 用户提供网络接入服务,用户从工作Vlan模式跳转回Guest Vlan 模式,对用户进行隔离和修复。下面,对上述技术方案进行详细说明。在本实施例中,提供了一种主机隔离方法,用于对接入网络的 不安全主机进行隔离,图3是根据本发明是实施例的主机隔离方法 的流禾呈图,如图3所示,包4舌步骤S302,在主机接入网络后,/人安全4全查策略月1务器获取安 全才佥查策略,并根据安全检查策略对主4几进行安全4佥查;步骤S304,在未通过安全检查的情况下,通知认证服务器(即, Radius服务器)向主机的接入设备发送下线消息;具体地,认证月良 务器4妄收来自主才几的下线通知,下线通知中包4舌主才几的地址信息; 认证服务器根据主机的地址信息,查找主机的会话信息,其中,会话信息中包括主机的用户名和接入设备信息;认证服务器根据会话 信息构造下线消息,并将下线消息发送到接入设备;
步骤S306,响应于下线消息,接入设备向主机发送下线通知, 并且将接入设备的工作模式设置为Guest Vlan模式,使得主机能够 访问受限区域,其中,受限区域包括安全检查策略服务器以及补丁 和病毒库力l务器。
之后,接入"i殳备可以向认证服务器发送记账终止才艮文,通知认 证服务器主机已经下线。并且,主机可以访问受限区域的安全策略 服务器以及补丁和病毒库服务器,获取更新的安全检查策略和自动 修复策略,并进行自动修复;在自动修复完成后,主机重新发起认 证请求,在认证请求通过的情况下,将接入设备的工作模式设置为 工作Vlan模式,使得主机能够访问网络和受限区域。
下面,结合附图,对上述才支术方案的处理过禾呈进4亍详细i兑明。 ^口图4所示,包4舌以下步艰《
1、 客户端定时根据安全策略对主机是否安全进行检查,该操作 由定时器触发;
2、 在主才几通过安全4企查的情况下,处理流禾呈结束;
3、 在主机未能通过安全检查的情况下,向Radius服务器发送 消息,在消息中包括必要的主机网卡的MAC地址,通知Radius月l 务器该主才几不安全;
4、 Radius服务器在接收到消息后,根据网卡的MAC地址查找 用户的会话信息,其中,会话信息包括用户名称、4妻入交换才几等重 要信息,Radius服务器根据这些消息构造下线消息(例如,RFC3576 ) 并发送到用户登陆所在的交换机;5、 交换机在收到Radius服务器的下线消息后,向该用户发送 EAP-Failure消息通4口用户下线;
6、 将用户登陆所使用的端口从工作Vlan跳转到Guest Vlan, 对用户进4亍隔离,在用户在^皮隔离后,只能访问安全策略服务器和 补丁病毒库下载服务器,在客户端或用户手工对主机的安全性进4亍 修复后,用户可以再次登陆接入网络;
7、 在用户隔离后,交换机向Radius服务器发送记账终止才艮文, 通知Radius月良务器用户已经下线;
通过上述的实施例,实现了对4妾入主才几安全状态的实时监控, 并实时的对不安全的主机进行隔离修复。
系纟克实施例
在本实施例中,提供了一种主机安全接入和隔离系统,该系统 的工作主要分为两个部分, 一个是用户接入时的主机安全性检查, 另 一个是用户接入网络后的主机安全性实时检查。图5是根据本发 明实施例的主机安全接入和隔离系统的框图,如图5所示,包括
受限区域服务器50,用于提供安全检查策略和自动修复策略; 如图6所示,包4舌安全4企查策略月良务器和病毒库补丁月l务器,其中, 安全检查策略服务器能够供用户设置安全检查策略,以方便用户根 据不同的情况_没置不同的策略,策略月l务器还应该支持策略的下载 功能,以便客户端实时更新安全才全查策略,此外,病毒库补丁月良务 器,主要提供系统补丁、杀毒软件病毒库及相关软件下载功能;
客户端模块52,用于从受限区域服务器获取安全检查策略,对 主机安全状态进4亍才企查,以及发起认证请求,具体地,如图6所示, 客户端模块还52包括认证功能,能够使用EAPoL协议进行认证并
15^妄入网络,另外,应该包括主才几安全状态才企测功能,与安全策略月l 务器通讯并下载安全4企查策略功能,补丁和病毒库自动下载和自动
安装功能;
认证服务器(Radius服务器)54,用于对主机进行认证、动态 授权,并且,Radius服务器应该支持记账功能;
接入设备56,用于将主机接入网络和/或受限区域服务器,具 体;也,4矣入i殳备56应该支持802.1 x iU正及远禾呈用户拨号iU正系统 (Remote Authentication Dial In User Service, 简称为RADIUS )认 证(RFC2865 )和动态4受权功能(RFC3576 ),另外还需要支持 GuestVlan和Vlan跳转功能。
此夕卜,接入设备56进一步包括
第一接入模块,运行于工作Vlan才莫式,用于将主机接入网络和 受限区域服务器;
第二接入模块,运行于Guest Vlan模式,用于将主机接入受限 区域服务器;
调用模块,用于调用第一接入模块和第二接入模块,具体地, 调用模块用于在主机未通过安全检查模块的安全检查的情况下,调 用第一接入模块;在主机通过安全检查模块的安全检查的情况下, 以及在认证服务器认证通过的情况下,调用第二接入模块。
此外,上述客户端才莫块52进一步包括
获取^t块,用于从受限区域服务器中获取安全^^查策略和自动 修复策略;安全检查模块,用于对主机进行安全检查;认证请求模块,用 于发起iU正"i青求;
修复模块,用于对主机进行修复。
具体地,获取模块用于在主机未通过安全4企查才莫块的安全4企查 的情况下,从受限区域服务器中获取安全^r查策略和自动修复策略; 修复模块用于使用获取模块获取的自动修复策略对主机进行修复; 认证请求模块用于在修复模块完成修复的情况下发起认证请求。
图7示出了上述系统在主机接入网络后,对主机进行隔离的系 统信令流程图,如图7所示,客户端定时对主才几安全状态进4亍4企查, 在没有通过安全检查的情况下,发送消息通知Radius服务器主机已 经不安全,Radius服务器向接入交换机发送下线消息,接入交换机 向客户端发送EAR-failure下线消息通知客户端下线,并将端口模式 设置为Guest Vlan模式,并发送记账终止报文通知Radius服务器用 户已经下线。
以上所述〗义为本发明的伊二选实施例而已,并不用于限制本发明, 对于本领域的才支术人员来i兌,本发明可以有各种更改和变4匕。凡在 本发明的精神和原则之内,所作的任何修改、等同替换、改进等, 均应包含在本发明的<呆护范围之内。
权利要求
1.一种主机安全接入方法,其特征在于,包括在主机发起接入时,从安全检查策略服务器获取安全检查策略,并根据所述安全检查策略对所述主机进行安全检查;在未通过安全检查的情况下,将接入设备的工作模式设置为Guest Vlan模式,使得所述主机能够访问受限区域,其中,所述受限区域包括所述安全检查策略服务器以及补丁和病毒库服务器;在通过安全检查的情况下,向所述接入设备发起认证请求,并且在认证成功的情况下,将所述接入设备的工作模式设置为工作Vlan模式,使得所述主机能够访问网络和所述受限区域。
2. 根据权利要求1所述的方法,其特征在于,在向所述接入设备 发起iU正i青求之后,进一步包4舌响应于所述认证请求,所述4妄入i殳备将用户信息发送到认 证服务器进行合法性认证;在认证失败的情况下,将所述接入设备的工作模式保持 Guest Vlan模式,使得所述主机能够访问所述受限区域。
3. 4艮据权利要求1所述的方法,其特征在于,在未通过安全4企查 的情况下,将所述接入设备的工作模式设置为Guest Vlan模 式,使得所述主机能够访问受限区域后,进一步包括所述主4几访问所述受限区i或的所述安全策略月良务器以及 所述补丁和病毒库服务器,获取更新的安全检查策略和自动修 复策略,并进4于自动{奮复;在自动修复完成后,根据所述安全^r查策略对所述主机进 行安全检查。
4. 一种主才/L隔离方法,用于对4妄入网络的不安全主才几进4亍隔离, 其特征在于,所述方法包括在主机接入网络后,从安全检查策略服务器获取安全检查 策略,并根据所述安全检查策略对所述主机进行安全4佥查;在未通过安全4企查的情况下,通知iU正月良务器向所述主才几 的接入设备发送下线消息;响应于所述下线消息,所述接入设备向所述主机发送下线 通知,并且将所述接入设备的工作模式设置为Guest Vlan模 式,使得所述主机能够访问受限区域,其中,所述受限区域包 括安全检查策略服务器以及补丁和病毒库服务器。
5. 根据权利要求4所述的方法,其特征在于,在未通过安全检查 的情况下,通知认证服务器向所述主机的接入设备发送下线消 息具体为所述iU正力l务器4妄收来自所述主才几的下线通知,所述下线 通知中包括所述主机的地址信息;所述认证服务器根据所述主机的地址信息,查找所述主机 的会话信息,其中,所述会话信息中包括所述主机的用户名和 接入设备信息;所述认证服务器根据所述会话信息构造下线消息,并将所 述下线消息发送到所述接入设备。
6. 根据权利要求4所述的方法,其特征在于,将所述接入设备的 工作模式设置为Guest Vlan模式,使得所述主机能够访问受限 区域后,进一步包括所述接入设备向所述认证服务器发送记账终止报文,通知所述iU正;R务器所述主才几已经下线。
7. 4艮据权利要求6所述的方法,其特征在于,进一步包括所述主才几访问所述受限区i或的所述安全策略月l务器以及 所述补丁和病毒库服务器,获取更新的安全4全查策略和自动4务 复策略,并进行自动4务复;在自动^f务复完成后,所述主一几重新发起认证请求,在所述 认证请求通过的情况下,将所述接入设备的工作才莫式设置为工 作Vlan模式,使得所述主机能够访问网络和受限区域。
8. —种主才几安全4妄入和隔离的系统,其特4正在于,包才舌受限区域服务器,用于提供安全检查策略和自动修复策略;客户端模块,用于从所述受限区域服务器获取安全检查策 略,只于主才几安全4犬态进4亍;险查,以及发起iU正i青求;认证服务器,用于对所述主机进行认证、授权;接入设备,用于将所述主机接入网络和/或受限区域服务器。
9. 根据权利要求8所述的系统,其特征在于,所述接入设备进一 步包括第一接入模块,运行于工作Vlan模式,用于将所述主机 4妻入所述网乡各和所述受限区域月l务器;第二接入模块,运行于Guest Vlan模式,用于将所述主机 接入所述受限区域服务器;调用模块,用于调用所述第一接入模块和所述第二接入模块。
10. 根据权利要求9所述的系统,其特征在于,所述客户端模块进 一步包4舌获取模块,用于从所述受限区域服务器中获取所述安全检 查策略和自动^f奮复策略;安全检查模块,用于对所述主机进行安全4企查;iU正i青求才莫块,用于发起i人i正:清求;修复模块,用于对所述主机进行修复。
11. 根据权利要求10所述的系统,其特征在于,所述调用模块用于在所述主机未通过所述安全检查模块 的安全检查的情况下,调用所述第一4姿入才莫块;以及在所述主 机通过所述安全4佥查才莫块的安全4企查以及在所述认证服务器 iU正通过的情况下,调用所述第二4妄入才莫块。
12. 根据权利要求IO所述的系统,其特征在于,所述获取模块用于在所述主机未通过所述安全检查模块 的安全检查的情况下,从所述受限区域服务器中获取所述安全 检查策略和自动修复策略;所述修复模块用于使用所述获取模块获取的所述自动修 复策略对所述主机进行修复;所述认证请求模块用于在所述修复模块完成修复的情况 下发起iU正i青求。
全文摘要
本发明公开了一种主机安全接入的方法、隔离方法以及安全接入和隔离的系统,其中,主机安全接入方法包括在主机发起接入时,从安全检查策略服务器获取安全检查策略,并根据安全检查策略对主机进行安全检查;在未通过安全检查的情况下,将接入设备的工作模式设置为Guest Vlan模式,使得主机能够访问受限区域,其中,受限区域包括安全检查策略服务器以及补丁和病毒库服务器;在通过安全检查的情况下,向接入设备发起认证请求,并且在认证成功的情况下,将接入设备的工作模式设置为工作Vlan模式,使得主机能够访问网络和受限区域。通过上述技术方案,能够提高网路的安全性。
文档编号H04L29/06GK101616137SQ20081012622
公开日2009年12月30日 申请日期2008年6月26日 优先权日2008年6月26日
发明者宇 赵 申请人:中兴通讯股份有限公司