专利名称:基于扩展802.1x认证系统的安全接入方法
技术领域:
本发明涉及数据通信的接入技术,特别涉及终端设备利用802. lx协议通过二层 接入设备安全接入的技术。
背景技术:
伴随着网络应用的深入,网络安全问题也愈演愈烈,包括拒绝服务攻击,病毒、黑 客入侵、间谍软件、网络钓鱼等在内的安全问题发生的几率越来越大,而且带来的危害也日 益严重,成为互联网安全的重大威胁。传统网络通过分层安全性抵御安全攻击,如为网络周 边、关键网络段和面向应用的授权等提供级别越来越高的安全保护;这些模式提供全面的 网络接入,可以保护资源,防止外部威胁和非法应用接入,但仅靠网络边缘的外围设备已无 法保证网络的安全性;即便运行着防火墙等网络周边安全机制,病毒、电子邮件蠕虫、特洛 伊木马、拒绝服务攻击和其他恶意行为仍频繁利用终端用户设备渗入内部网络环境。在不 安全端点的用户,也会不经意间将以上威胁带入内部网络,而用户对此却毫不觉察,甚至某 些威胁随后可能会迅速蔓延,以致造成网络中断。人们意识到,传统的网络解决方案无法解 决这些问题,必须要从接入终端的安全性着手,保证通过网络边缘设备接入的终端是安全 的、可信的,使得用户身份识别和验证必须与端点评估结合在一起,且必须应用于每个会话 及会话内部。现在面临的挑战是要找到尽可能利用现有网络基础设施的适当方法,同时为 各类用户接入资源和应用提供简单安全的模式。 针对于此,业界提出了几种安全接入技术,目前具有代表性的技术包括思科的网 络接入控制NAC(Network AdmissionControl)技术,微软的网络接入保护技术NAP(Network AccessProtection)以及TCG组织的可信网络连接TNC(TrustedNetworkConnect)技术 等。这些技术的主要思路都是从终端着手,通过事先制定的安全策略,对接入网络的主机 进行安全性检测,自动拒绝不安全的主机接入,保护网络直到这些主机符合网络的安全策 略为止。可信网络连接(TNC)是针对这种情况而提出的一种解决方案,旨在通过提供一 致的安全服务体系结构来为网络提供安全性保障。可信网络连接(TNC),是可信计算组织 (TrustedComputingGroup,简称TCG)的一个部门,也指开放的标准网络接入控制架构。TNC 是建立在基于主机的可信计算技术之上的,其主要目的在于通过使用可信主机提供的终端 技术,实现网络访问控制的协同工作。又因为完整性校验被终端作为安全状态的证明技术, 所以用TNC的权限控制策略可以估算目标网络的终端适应度。TNC网络构架会结合已存在 的网络访问控制策略来实现访问控制功能。TNC规范的主要思想是,当终端要访问网络之 前,要对终端的身份进行识别,并对其完整性状态进行检测并与系统的安全策略进行比较, 如果满足安全策略要求,则允许终端接入网络;否则,则拒绝或是对该终端进行隔离。当终 端处于隔离状态时,可以对该终端进行修复;当终端的完整性及其它安全属性达到系统安 全策略的要求时,方可允许该终端接入网络。这样,可大大提高整个网络系统的安全性及可 信性。 现有终端设备通过二层设备接入网络的方案中,802. lx协议是在接入身份认
4证方面广泛应用的协议,它是IEEE为了解决基于端口的接入控制(Port-BasedAccess Control)而定义的一个标准。关于802. 1X协议的工作原理可参见公开号为CN1567868A (申 请号03145192.6,
公开日2005年1月19日)的专利申请说明书第1_4页和附图1_5。在这 种接入模式下,用户终端作为支持局域网承载扩展认证协议(Extensible Authentication Protocol over LAN,简称EAPOL)的认证请求者,二层接入设备是支持802. lx协议的认证 者,采用RADIUS认证服务器来对用户终端系统的身份进行认证;这种方式可以有效地解决 接入用户身份认证的问题,但是无法同时解决终端的安全可信接入问题。因此,有必要对这 种认证方式进行改进,来满足终端用户通过二层设备安全可信的接入网络的需求。
发明内容
本发明提供了一种基于扩展802. lx认证系统的安全接入方法,从而克服现有 802. lx认证协议无法实现终端用户可信接入的问题。 基于扩展802. lx认证系统的安全接入方法,所述扩展802. lx认证系统包括认证 请求者、认证点、认证服务器和策略服务器,其特征在于,所述认证请求者和认证点之间运 行扩展的EAP0L协议,所述认证点与认证服务器之间运行鉴权用高层协议,所述认证方法 包括如下步骤 a、认证请求者向认证点发起标准EAP0L认证请求,启动认证;
b、认证点向认证请求者发送身份认证请求报文; c、认证请求者向认证点发送扩展的身份认证应答报文,该扩展的身份认证应答报 文带有安全接入标记; d、认证点收到认证请求者的身份认证应答报文后,记录该认证请求者身份信息带 有安全接入标记,到对应的认证服务器进行认证; e、认证点收到认证服务器认证成功消息后,查询到该认证请求者身份信息带有安 全接入标记后,通知认证请求者策略服务器的IP地址和端口信息,打开通向策略服务器的 数据通道; f、认证请求者通过认证点接收到策略服务器的信息后,会通过加密通道连接策略 服务器,请求安全规则; g、策略服务器通过认证点将安全规则下发到认证请求者,认证请求者运行安全规 则并计算安全结果,通知认证点; h、认证点根据安全结果,决定是否打开通向访问网络的数据通道或将认证请求者 重定向到隔离区。 进一步的,步骤c中,所述扩展的身份认证应答报文带有的安全接入标记是在标 准身份认证应答报文的最后添加的。 其中,步骤d中,认证点到对应的认证服务器进行认证的具体步骤包括, dl、认证点提交认证请求者的身份信息给认证服务器; d2、认证服务器产生向认证点返回一个身份验证质询请求报文; d3、认证点将身份验证质询请求报文发送给认证请求者; d4、认证请求者向认证点答复身份验证质询请求报文; d5、认证点将认证请求者的答复结果通过访问请求报文发送到认证服务器;
d6、认证服务器根据存储的认证请求信息判断该认证请求者是否合法,然后回应 成功/失败报文到认证点。 其中,步骤e中,所述打开通向策略服务器的数据通道是在固定时间内打开的,且 该固定时间是可以配置的。 其中,步骤f中,所述的加密通道是指SSL隧道。 具体的,步骤h中,认证点根据安全计算结果打开通向访问网络的数据通道的条 件是,认证请求者安全级别计算结果不低于预定义的级别要求。 具体的,所述认证点与认证服务器之间运行鉴权用高层协议为RADIUS服务器。
本发明的有益效果是,通过扩展标准EAP0L协议,能够较好的满足二层接入设备 对终端的接入控制;在不改变传统接入认证方式的情况下,充分保证了接入网络的边缘设 备的真实、可信。
图1是本发明中扩展的802. lx认证系统结构示意图。
图2是现有技术的标准的802. lx认证流程图。
图3是本发明方法中安全接入的流程示意图。
具体实施例方式
本发明针对二层接入设备的特点,通过扩展EAP0L协议,实现一种终端安全可信 接入的方法。如图1,扩展的802. 1X的认证系统包括,认证请求者,认证点、认证服务器和策 略服务器。其中认证请求者对应安全终端、认证点对应二层接入设备;策略服务器用于向安 全终端下发安全策略和对接入设备的安全管理。所述的安全终端安装在用户的计算机上, 提供EAPOL协议支持和安全等级计算功能。所述的二层接入设备一般指以太网交换机,支 持EAPOL协议。标准的EAPOL协议仅仅从用户名和密码角度对用户的安全进行限制,但是 在可信接入的框架下,接入的用户不仅仅要求进行密码认证,还需要对终端安全级别进行 判断,从而双重验证后,才判断是否可以接入。 以EAP-MD5方式,说明现有技术的802. lx的工作过程,如图2所示 1)认证请求者产生认证开始报文,启动认证; 2)认证点发送回应报文,要求认证请求者提供身份信息; 3)认证请求者向认证点发送含有用户名的身份认证应答报文; 4)认证点将此报文封装在鉴权用高层协议报文中,发送给认证服务器; 5)认证服务器产生一个MD5质询,发送给认证点, 6)认证点转发该MD5质询到认证请求者; 7)认证请求者收到该报文后,根据返回的MD5算法,计算出用户密码的MD5结果发 送到认证点; 8)认证点将此MD5密码信息封装在鉴权用高层协议报文中,发送给认证服务器;
9)认证服务器根据返回的加密后的密码值,对该认证请求者用户进行身份认证, 将认证成功或失败的信息传送给认证点;
11)认证点将根据结果,开启或关闭数据通路。
本发明的安全接入方法是在EAPOL标准协议的基础上,一方面扩展了安全终端 EAP0L协议身份认证应答报文,另外增加了认证点和认证服务器和策略服务器交互的安全 等级信息报文,从而实现终端用户通过二层接入设备安全可信接入网络。
实施例 现结合图3,对本发明的安全接入过程进行详细说明当安全终端用户和二层接 入设备建立好物理连接后,安全终端向二层接入设备按照标准EAP0L协议发送一个EAPOL 认证开始报文,启动802. lxR认证,二层接入设备向安全终端发送EAP身份认证请求报文, 要求安全终端提交用户名。安全终端回应一个扩展的EAP身份认证应答报文给二层接入设 备,该应答报文中包含用户名信息,同时带有安全接入的标记信息。二层接入设备记录该带 有安全标记的应答报文,并将用户名提交给RADIUS认证服务。RADIUS认证服务器产生一 个128位的质询,并向二层接入设备回应一个访问质询报文,里面含有EAP-MD5质询请求报 文。二层接入设备将EAP-MD5质询请求报文发送给安全终端,安全终端收到后,将密码采用 MD5算法进行加密,产生质询密码,通过EAP-MD5质询应答报文把质询密码发给二层接入设 备。二层接入设备将质询密码通过访问请求报文发送到RADIUS认证服务器,由RADIUS认 证服务器进行认证,RADIUS认证服务器根据存储的认证请求信息判断该安全终端用户是否 合法,然后回应成功/失败报文到二层接入设备。二层接入设备根据认证成功结果,进入安 全控制流程通知安全终端策略服务器的IP地址和端口信息,并在一个固定的时间内打开 数据通路(如果超时,安全控制流程自动结束,策略服务器通道关闭);安全终端收到了策 略服务器的通知消息后,会通过SSL连接策略服务器,请求安全规则;策略服务器将安全规 则下发到安全终端用户本地,安全终端用户的安全计算模块运行规则并计算安全结果;终 端用户将计算出的安全结果通知给二层接入设备;二层接入设备根据安全结果,决定是否 继续打开或关闭数据通道;二层接入设备通知终端用户最终请求结果。 本发明的关键点就在在终端用户应答认证点的身份认证请求报文时,在标准 EAPOL协议的IdentifyName消息的最后,添加一定字节的标识字段,具体字节数可以根据 用户自定义的特殊标识而定。当带有该安全接入标记的IdentifyName消息到达认证点后, 认证点可以根据该标记控制该安全终端进入安全接入流程;否则可以直接按照标准的认证 结果来执行相应的操作。 二层接入设备在进入安全接入控制流程后,为了安全角度考虑,可以在一个固定 时间内暂时开放接入策略服务器的数据通道;超时则关闭该通道,拒绝该安全终端用户接 入内网。 本发明充分利用了 EAPOL协议的原有特点和优势,即在基于二层接入设备上实现 了在密码认证和终端安全级别双认证,然后又实施对终端用户准予接入的安全可信接入策 略,是安全可信接入标准框架在二层接入设备上的一种实现方式。同时二层接入设备上扩 展的协议也同时兼容原有标准EAPOL协议终端,不论对于我方扩展终端用户或第三方终端 用户,都可以保持兼容。
权利要求
基于扩展802.1x认证系统的安全接入方法,所述扩展802.1x认证系统包括认证请求者、认证点、认证服务器和策略服务器,其特征在于,所述认证请求者和认证点之间运行扩展的EAPOL协议,所述认证点与认证服务器之间运行鉴权用高层协议,所述认证方法包括如下步骤a、认证请求者向认证点发起标准EAPOL认证请求,启动认证;b、认证点向认证请求者发送身份认证请求报文;c、认证请求者向认证点发送扩展的身份认证应答报文,该扩展的身份认证应答报文带有安全接入标记;d、认证点收到认证请求者的身份认证应答报文,记录该认证请求者身份信息带有安全接入标记后,到对应的认证服务器进行认证;e、认证点收到认证服务器认证成功消息后,查询到该认证请求者身份信息带有安全接入标记后,通知认证请求者策略服务器的IP地址和端口信息,打开通向策略服务器的数据通道;f、认证请求者通过认证点接收到策略服务器的信息后,会通过加密通道连接策略服务器,请求安全规则;g、策略服务器通过认证点将安全规则下发到认证请求者,认证请求者运行安全规则并计算安全结果,通知认证点;h、认证点根据安全结果,决定是否打开通向访问网络的数据通道或将认证请求者重定向到隔离区。
2. 如权利要求1所述基于扩展802. lx认证系统的安全接入方法,其特征在于,步骤c 中,所述扩展的身份认证应答报文带有的安全接入标记是在标准身份认证应答报文的最后 添加的。
3. 如权利要求2所述基于扩展802. lx认证系统的安全接入方法,其特征在于,所述步 骤d中,认证点到对应的认证服务器进行认证的具体步骤包括,dl、认证点提交认证请求者的身份信息给认证服务器; d2 、认证服务器产生向认证点返回一个身份验证质询请求报文; d3、认证点将身份验证质询请求报文发送给认证请求者; d4、认证请求者向认证点答复身份验证质询请求报文; d5、认证点将认证请求者的答复结果通过访问请求报文发送到认证服务器; d6、认证服务器根据存储的认证请求信息判断该认证请求者是否合法,然后回应成功/ 失败报文到认证点。
4. 如权利要求1-3任一项所述基于扩展802. lx认证系统的安全接入方法,其特征在 于,步骤e中,所述的打开通向策略服务器的数据通道是在固定时间内打开的,且该固定时 间是可以配置的。
5. 如权利要求4所述基于扩展802. lx认证系统的安全接入方法,其特征在于,步骤f 中,所述的加密通道是指SSL隧道。
6. 如权利要求4所述基于扩展802. lx认证系统的安全接入方法,其特征在于,步骤h 中,认证点根据安全计算结果打开通向访问网络的数据通道的条件是,认证请求者安全级 别计算结果不低于预定义的级别要求。
7.如权利要求4所述基于扩展802. lx认证系统的安全接入方法,其特征在于,所述认 证点与认证服务器之间运行鉴权用高层协议为RADIUS服务器。
全文摘要
本发明公开了一种基于扩展802.1x认证系统的安全接入方法,是在EAPOL标准协议的基础上,通过扩展认证请求者EAPOL协议身份认证应答报文,增加安全接入标记,从而使得认证点控制进入安全接入流程;认证服务器和策略服务器通过认证点交互安全等级信息报文,从而实现认证请求者即终端用户通过二层接入设备安全可信接入网络。本发明通过扩展标准EAPOL协议,能够较好的满足二层接入设备对终端的接入控制;在不改变传统接入认证方式的情况下,充分保证了接入网络的边缘设备的真实、可信。
文档编号H04L9/32GK101764788SQ20081014795
公开日2010年6月30日 申请日期2008年12月23日 优先权日2008年12月23日
发明者何恐, 佘健 申请人:迈普通信技术股份有限公司