一种可信网络的接入方法、设备以及存储介质与流程

本发明涉及通信网络领域，具体涉及一种可信网络的接入方法、设备以及存储介质。

背景技术：

传统网络安全的思想主要是以防范为主，防御的重点放在对服务器和网络边界安全设备的保护上，而忽略网络终端接入者本身的安全，但绝大多数的攻击事件都是由终端不安全而引发的，一旦黑客攻破网关而潜入某台内部主机，便可肆无忌惮地侵犯局域网内的所有其他主机，本文设计的可信网络接入方法将聚焦于网络接入控制，这是一种主动性的防御方法。

网络访问控制是在终端接入网络时，按照安全策略对其进行安全检查，根据符合策略的情况，对其访问网络的能力进行动态控制，其中心思想是“先检查，后接入”，目前国内外许多公司及研究机构都在这个方面进行了研究，虽然产品众多，但是网络访问控制却没有一个统一的标准架构。目前最有影响力的架构有如下三种：可信计算组织(trustedcomputinggroup，tcg)的可信网络连接架构tnc，思科的网络接入控制架构(cisconetworkaccesscontrol，nac)，微软的网络访问保护架构(networkaccessprotection，nap)，但是nap和nac的标准是不开放的，tcg工作组制定的tnc标准是一套开放的标准网络接入控制架构，旨在跨越多个平台、外围和产品，因为tcg-tnc开放架构越来越受关注。

以上方案虽然一定程度上解决了网络接入控制、网络访问控制等问题，但是无法判断客户端是否一直处于可信状态。

技术实现要素：

有鉴于此，为了克服上述问题的至少一个方面，本发明实施例的提出一种可信网络的接入方法，包括步骤：

s1，接受并检测客户端发送的第一认证信息；

s2，响应于所述第一认证信息正确，向所述客户端发送可信状态检测请求；

s3，接收客户端返回的基于所述可信状态检测请求的检测结果；

s4，根据所述检测结果判断所述客户端是否处于可信状态；

s5，响应于所述客户端处于可信状态，允许所述客户端接入，并返回步骤s1；

s6，响应于任意一次检测到的所述第一认证信息错误和/或所述客户端处于不可信状态，断开与所述客户端的连接。

在一些实施例中，在步骤s1之前，所述方法还包括步骤：

建立与所述客户端的加密通道。

在一些实施例中，步骤s1进一步包括：

通过所述加密通道接收所述用户名和密码，其中所述第一认证信息为用户名和密码。

在一些实施例中，步骤s2还包括：

响应于所述第一认证信息错误，禁止所述客户端的接入。

在一些实施例中，步骤s2进一步包括：

判断接收到的用户名和密码是否包含在数据库中，响应于所述用户名和密码包含在数据库中，则判断所述第一认证信息正确，否则判断所述第一认证信息错误。

在一些实施例中，步骤s3进一步包括：

通过所述加密通道接收所述检测结果，其中所述检测结果包括对文件完整性的检测，对杀毒软件的检测以及对usb接口的检测。

在一些实施例中，步骤s5进一步包括：

响应于所述客户端处于不可信状态，禁止所述客户端的接入。

在一些实施例中，s4包括：判断接收到的检测结果是否符合预设标准，响应于所述检测结果符合预设标准，则判断所述客户端处于可信状态，否则判断所述客户端处于不可信状态。

基于同一发明构思，根据本发明的另一个方面，本发明的实施例还提供了一种计算机设备，包括：

至少一个处理器；以及

存储器，所述存储器存储有可在所述处理器上运行的计算机程序，所述处理器执行所述程序时执行如上所述的任一种可信网络的接入方法的步骤。

基于同一发明构思，根据本发明的另一个方面，本发明的实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时执行如上所述的任一种可信网络的接入方法的步骤。

本发明具有以下有益技术效果：本发明提出的可信网络的接入方法采用用户名密码认证和可信因子认证两种认证方式，该方式可保证能够满足普通客户端网络接入认证的需求，也能保证网络中接入的客户端均属于可信客户端，并且客户端在第一次认证成功接入网络之后，会动态的进行循环度量，如果客户端环境的可信因子完整性或用户名密码被破坏，则客户端立即被停止授权退出网络可信区。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的实施例。

图1为本发明的实施例提供的可信网络的接入方法的流程示意图；

图2为本发明实施例提出的客户端和服务端的网络认证过程示意图；

图3为本发明的实施例提供的计算机设备的结构示意图；

图4为本发明的实施例提供的计算机可读存储介质的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明实施例进一步详细说明。

需要说明的是，本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量，可见“第一”“第二”仅为了表述的方便，不应理解为对本发明实施例的限定，后续实施例对此不再一一说明。

根据本发明的一个方面，本发明的实施例提出一种可信网络的接入方法，如图1所示，其可以包括步骤：

s1，接受并检测客户端发送的第一认证信息；

s2，响应于所述第一认证信息正确，向所述客户端发送可信状态检测请求；

s3，接收客户端返回的基于所述可信状态检测请求的检测结果；

s4，根据所述检测结果判断所述客户端是否处于可信状态；

s5，响应于所述客户端处于可信状态，允许所述客户端接入，并返回步骤s1；

s6，响应于任意一次检测到的所述第一认证信息错误和/或所述客户端处于不可信状态，断开与所述客户端的连接。

本发明提出的可信网络的接入方法采用用户名密码认证和可信因子认证两种认证方式，该方式可保证能够满足普通客户端网络接入认证的需求，也能保证网络中接入的客户端均属于可信客户端，并且客户端在第一次认证成功接入网络之后，会动态的进行循环度量，如果客户端环境的可信因子完整性或用户名密码被破坏，则客户端立即被停止授权退出网络可信区。

下面结合图1和图2具体说明本发明实施例提供的可信网络的接入方法。

在进行可信网络的接入前，需要对客户端、交换机以及服务端进行如下预设配置

客户端：

安装提供tnc开源框架可信认证的开源软件tnc-fhh，以检查本地杀毒软件、usb接口、文件完整性等可信因子；安装提供基于802.1x协议的eap认证方式的开源软件wpa-supplicant；修改wpa-supplicant软件配置文件，使其网络接入认证方式为eap-ttls。同时配置客户端ip，例如192.168.1.3。

服务端：

安装开源软件tnc-fhh，该软件提供tnc开源框架可信认证，可检查本地杀毒软件、usb接口、文件完整性等可信因子；安装开源软件freeradius，该软件一般用于网络中鉴权记账的radius服务器；配置freeradius使用mysql数据库，并建立账户数据库，密码明文保存；配置freeradius基于eap-ttls协议采用md5和tnc两种认证方式。同时配置freeradius服务端ip，例如192.168.1.1。并将服务端freeradius配置文件目录raddb下的certs证书目录完整拷贝到客户端，将tnc可信认证的配置文件/etc/tnc_config进行客户端和服务端的同步，保证可信认证配置相同。最后freeradius服务器启动，在服务器中执行radiusd-x命令。

交换机：

打开802.1x协议，配置客户端802.1xaccess端口，配置radius方案，配置共享密钥和radius服务器端口。

需要说明的是，客户端和服务端均可以是linux操作系统平台，交换机可以支持802.1x协议。

对客户端、交换机以及服务端预设配置后，进行初始化认证，如图2所示，通过以下步骤进行：

1、客户端向交换机发送eapol-start；

2、交换机返回eapol-request/identity；

3、客户端向交换机发送eap-response/identity(myid)；

4、交换机向服务端发送access-request；

5、服务端向交换机发送access-challenge；

6、交换机向客户端发送eap-request。

具体的，通过修改客户端wpa_supplicant配置文件，将包含在freeradius服务器账户数据库中的用户名/密码正确填入，在客户端执行wpa_supplicant-ieth0-cwpa_supplicant.conf-dd命令，然后客户端发送认证消息，进入认证过程，认证通过后，服务端发送access-accept消息，客户端显示success，且客户端可以ping通该可信网络中任意一台主机。

如图2所示，在进行可信网络的接入前，需要建立与所述客户端的加密通道tls，以接收相应的认证信息，例如客户端发送的第一认证信息或者可信因子的检测结果。

在一些实施例中，所述第一认证信息为用户名和密码。

在一些实施例中，步骤s2还包括响应于所述第一认证信息错误，禁止所述客户端的接入。

具体的，判断接收到的用户名和密码是否包含在数据库中，响应于所述用户名和密码包含在数据库中，则判断所述第一认证信息正确，否则判断所述第一认证信息错误。

在一些实施例中，当客户端发送的第一认证信息，也即用户名和密码经过服务器端判断为正确，则进行可信因子的验证，此时服务端发送可信状态检测请求，客户端接收到该请求后，进行可信因子的检测，例如，检测文件完整性、杀毒软件以及usb接口等。然后客户端将检测结果发送至服务端。

在一些实施例中，步骤s5进一步包括：响应于所述客户端处于不可信状态，禁止所述客户端的接入。

具体的，在一些实施例中，s4包括：判断接收到的检测结果是否符合预设标准，响应于所述检测结果符合预设标准，则判断所述客户端处于可信状态，否则判断所述客户端处于不可信状态。在一些实施例中，客户端环境不同，预设标准也不同，因此预设标准可以根据实际情况具体设定，只要能够通过预设标准判断出客户端是否可信即可。

基于同一发明构思，根据本发明的另一个方面，如图3所示，本发明的实施例还提供了一种计算机设备501，包括：

至少一个处理器520；以及

存储器510，存储器510存储有可在处理器上运行的计算机程序511，处理器520执行程序时执行如上的任一种可信网络的接入方法的步骤。

基于同一发明构思，根据本发明的另一个方面，如图4所示，本发明的实施例还提供了一种计算机可读存储介质601，计算机可读存储介质601存储有计算机程序610，计算机程序610被处理器执行时执行如上的任一种可信网络的接入方法的步骤。

最后需要说明的是，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关硬件来完成，的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，的存储介质可为磁碟、光盘、只读存储记忆体(rom)或随机存储记忆体(ram)等。上述计算机程序的实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。

此外，典型地，本发明实施例公开的装置、设备等可为各种电子终端设备，例如手机、个人数字助理(pda)、平板电脑(pad)、智能电视等，也可以是大型终端设备，如服务器等，因此本发明实施例公开的保护范围不应限定为某种特定类型的装置、设备。本发明实施例公开的客户端可以是以电子硬件、计算机软件或两者的组合形式应用于上述任意一种电子终端设备中。

此外，根据本发明实施例公开的方法还可以被实现为由cpu执行的计算机程序，该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被cpu执行时，执行本发明实施例公开的方法中限定的上述功能。

此外，上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。

此外，应该明白的是，本文的计算机可读存储介质(例如，存储器)可以是易失性存储器或非易失性存储器，或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的，非易失性存储器可以包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦写可编程rom(eeprom)或快闪存储器。易失性存储器可以包括随机存取存储器(ram)，该ram可以充当外部高速缓存存储器。作为例子而非限制性的，ram可以以多种形式获得，比如同步ram(dram)、动态ram(dram)、同步dram(sdram)、双数据速率sdram(ddrsdram)、增强sdram(esdram)、同步链路dram(sldram)、以及直接rambusram(drram)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。

本领域技术人员还将明白的是，结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性，已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能，但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。

结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里功能的下列部件来实现或执行：通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器，但是可替换地，处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合，例如，dsp和微处理器的组合、多个微处理器、一个或多个微处理器结合dsp和/或任何其它这种配置。

结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在ram存储器、快闪存储器、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移动盘、cd-rom、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器，使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中，存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在asic中。asic可以驻留在用户终端中。在一个替换方案中，处理器和存储介质可以作为分立组件驻留在用户终端中。

在一个或多个示例性设计中，功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现，则可以将功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质，该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的，该计算机可读介质可以包括ram、rom、eeprom、cd-rom或其它光盘存储设备、磁盘存储设备或其它磁性存储设备，或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外，任何连接都可以适当地称为计算机可读介质。例如，如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(dsl)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件，则上述同轴线缆、光纤线缆、双绞线、dsl或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的，磁盘和光盘包括压缩盘(cd)、激光盘、光盘、数字多功能盘(dvd)、软盘、蓝光盘，其中磁盘通常磁性地再现数据，而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。

以上是本发明公开的示例性实施例，但是应当注意，在不背离权利要求限定的本发明实施例公开的范围的前提下，可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外，尽管本发明实施例公开的元素可以以个体形式描述或要求，但除非明确限制为单数，也可以理解为多个。

应当理解的是，在本文中使用的，除非上下文清楚地支持例外情况，单数形式“一个”旨在也包括复数形式。还应当理解的是，在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。

上述本发明实施例公开实施例序号仅仅为了描述，不代表实施例的优劣。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子；在本发明实施例的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，并存在如上的本发明实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。因此，凡在本发明实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明实施例的保护范围之内。