专利名称:一种基于ieee 802.1x协议的局域网安全管理方法
技术领域:
本发明涉及一种网络安全管理方法,具体为一种基于IEEE 802.1X协议的局域网安全管理方法。将一种基于IEEE 802.1X协议认证体系进行功能扩展,并与网络管理中心和现有网络设备配合,以充分发挥该协议端口控制的特点,形成一个闭环的联动控制系统。本发明可应用于校园网、企业、小区宽带接入等园区网络进行网络安全管理。
背景技术:
经过20多年的发展,以太网技术已经逐渐成为局域网最主要的组网技术。以太网具有使用简单方便、价格低、速度快等特点,目前以太网的速度已经达到千兆。而规模日益扩大的局域网安全管理问题已经成为所有网管的梦魇。
网络管理员和网络运营商都明显地感到了控制客户端接入以太网端口的重要性,而IEEE 802.1X协议的出现正好给了这种需求必要的技术支持。
IEEE 802.1X源于IEEE 802.11无线以太网协议(EAPOW),是IEEE为了解决基于端口的接入控制而定义的标准,被称为基于端口的访问控制协议(Port based network access control protocol)。因为其特有的体系结构,它在以太网中的引入解决了传统的PPPoE和Web/Portal认证方式带来的部分问题,消除了网络瓶颈,减轻了网络封装开销,降低了建网成本。
IEEE 802.1X协议是基于局域网数据链路层的增强协议,实现简单,不需要利用网络层,因此具备802.1X的网络环境可以建立在第2层交换平台之上,对设备的整体性能要求不高,也可以有效地降低建网成本,适用范围广。
IEEE 802.1X的认证体系结构,如图1所示,主要分为3个部分客户端系统、认证系统、认证服务器系统。客户端多为认证软件,装载在接入用户的PC中;认证系统主要是能够终结EAPOL的智能交换机;而认证服务器系统多为具有认证、计费、授权功能的AAA服务器。客户端和认证系统之间通过EAPOL认证协议进行通讯。认证系统和认证服务器系统之间通过RADIUS协议加载上扩展的认证协议EAP进行协商。
IEEE 802.1X的认证体系结构中将一个以太网的物理端口划分为两个逻辑端口“受控端口(Controlled port)”和“非受控端口(Uncontrolled port)”,从而可以实现用户业务数据流与认证流的分离。非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
目前对内网检测的手段和方法主要是采用入侵检测分析器(IDS),或者具有流量统计功能的网络核心层设备,例如具有NetFlow功能的核心交换机等。其中IDS被并联放置在内部网络核心层的关键节点上,搜集和分析信息,匹配相关特征,以检测网络中是否存在异常。同时,网络设备也可以统计数据包信息,分析网络状态。收集的网络流量信息可以帮助网络管理人员进行网络规划、流量分析、病毒检测等等。
然而,以上检测方式存在着以下几点不足1.实现以上检测方式的设备多被安置在网络拓扑结构中的核心层,需要对所有流经核心层的数据进行检测,数据吞吐率大,性能要求较高,价格比较昂贵。
2.以上两种方法的检测点基本上被安置在层次较高的网络层上,对于未流经核心层的底层攻击束手无策。如果网络蠕虫病毒在开始的时候,只在某一个网段内进行传播和攻击,IDS和NetFlow是无法检测到的。一方面,这种攻击可能是基于数据链路层,或者只在某一个子网内进行,结果可能会导致局部网段的瘫痪,而核心层检测点却毫不知情;另一方面,一旦整个网段中被感染的病毒开始向外扩散的时候,瞬时数据流量会更大,破坏性也更强,控制也就更困难。所以是否能够将安全威胁扼杀在萌芽状态,是衡量一个网络管理体系的关键指标。
3.基于上面的观点2,很多企业实现了IDS的分布式检测,通过部署“代理检测引擎”到不同的二层交换机,达到覆盖全网的目的。但是仍然存在两个问题1)在类似学校、机场等庞大、复杂的局域网内,覆盖所有的网段需要大量的检测代理,无形中提高了成本;2)在这种开放式的网络环境中,用户可以自己组织网络,所以往往不可能做到100%覆盖率。
检测技术是为了发现安全威胁,没有包含如何对安全威胁进行控制,所以如果要发挥它们的作用,则必须与控制系统相结合,根据检测设备的分析结果有效地对威胁来源进行合理的阻断或者限流。目前有一种新的技术,入侵防护系统(IPS),将实时检测和实时控制结合在一起。因为这种技术是在线安装(In-Line)的,所以在检测出问题的第一时间就可以实施阻断,但是它仍然存在上述的缺点1、2,甚至这种设备会更昂贵,成为网络的瓶颈。所以在要求控制系统效率高的同时也要尽量降低成本。
发明内容
本发明的目的在于提供一种基于IEEE 802.1X协议的局域网安全管理方法。使用该方法可以有效提高网络检测效率,降低成本和风险;与现有网络设备配合,形成一个闭环的联动管理系统,以保证网络安全。
本发明通过将IEEE 802.1X体系结构与网络控制中心和网络设备组织成一个互动的系统;同时通过对客户端的扩展,加入终端的流量检测功能,以及与网络数据检测等设备的配合,来提高检测的效率。
为实现上述目标,需要实施如图2所示的网络框架。整个框架包括组成IEEE 802.1X体系的认证服务器、认证系统、以及客户端;还有网络数据检测设备(支持IDS、NetFlow等技术的设备);网络控制中心实现策略的制定与下发。
主要的检测、控制流程和步骤如下1)在IEEE 802.1X体系中终端接入用户1的客户端认证系统中增加对接入终端的流量检测。
2)当终端接入用户1的客户端软件发现终端流量超出预先设计阈值的时候,通过IEEE 802.1X协议向RADIUS服务器2发安全威胁报警8。
3)RADIUS接收到安全威胁报警8通知后,定位终端接入用户1,下发定向数据流9到终端接入用户1的接入层交换机3端口上。
4)接入层交换机3将客户端信息流10复制或者重定向到核心层的网络数据检测设备6上,进行检测分析。
5)同时网络数据检测设备6也会对核心层的网络数据19进行检测;6)通过对核心层和客户端的数据的分析,如果网络数据检测设备6发现网络威胁,将把检测结果11发送给网络控制中心7。
7)网络控制中心7的评估模块12通过对检测结果11的评估,将生成具体的评估结果13;8)网络控制中心7的定位模块14根据RADIUS中存储的网络接入信息16定位威胁源;9)网络控制中心7的决策模块15根据评估结果13以及威胁源的位置,生成访问控制列表ACL17;10)将访问控制列表ACL17通过RADIUS用IEEE 802.1X协议进行封装,形成下达策略18下发到相应的接入层交换机3上,对终端实施最终的控制。
所述的下达策略(18)分为四类,具体为1)直接关闭用户接入设备的端口;2)阻断特定攻击数据流;3)对特定流进行限速;4)标记特定流量为低优先级转发。
本发明实现IEEE 802.1X体系、网络检测设备以及网络控制中心的三者联动。此管理系统保证内部的各系统单元之间有效的协调工作,充分发挥各自的作用。当有异常情况出现的时候,能够及时地做出响应,定位非法用户的位置,并迅速执行控制策略。基于IEEE 802.1X技术的新网络框架,可以融合网络中其它的各种系统,互相协作,形成统一的管理体系,大大提高网络管理的效率。
客户端的流量检测功能则具备了以下一些优点
1.实现与IDS检测设备和网络控制中心的联动。如何更好地利用和融合现有的网络防护设备,是本解决方案的重要思想之一。客户端系统的流量监测并不是独立的,而是必须要和其它的网络设备以及网络控制中心组合起来,才能发挥更大的作用。考虑到用户端的负载问题,客户端软件只是进行基本的流量检测,当检测到异常,它就会马上通知网络控制中心,然后由网络控制中心将异常数据流重定向到IDS进行分析。这样客户端便成为了IDS伸向网络最边缘的代理(Agent)。
2.分布式检测的体系结构可以大大提高检测的性能,降低核心设备的负担。在大型局域网中,核心层的数据量非常大,要保证及时地判断出异常,要求IDS等设备具有相当高的性能。利用客户端作为检测网络数据流的代理,可以分担核心层IDS等设备繁重的工作。
3.客户端要接入网络必须安装合法的客户端,安装和升级软件的过程就是部署和更新的过程,不用网络管理员去实际操作,而是由用户自己完成,大大简化了维护的过程。
4.提高网络整体检测的响应速度。本发明中的检测点是被放置在网络中最不可控的客户端,针对于网络危险制造者进行直接和实时检测。所以病毒等安全威胁事件发作的时候,客户端可以在第一时间发现异常,进行报警,从最大程度上缩短了危险报警的时间,也最大程度保证了网络的可控性。
5.全网布点保证检测的健壮性。某一个客户端检测点出现不正常工作的问题,并不会影响到全局。因为网络病毒发作或者DOS攻击必然是一个多方参与和交互的过程,涉及多个网络终端组成的区域。当问题域内的某些点检测功能失灵时,还有若干个其它的终端在继续工作,所以可以保证异常流量被及时地检测到。
图1是IEEE 802.1X体系结构2是基于IEEE 802.1X协议的局域网安全管理框架图
具体实施例方式
根据图1和图2详细说明本实施方式。具体框架如图2所示。在此框架中,对IEEE 802.1X认证体系中客户端系统进行拓展,使客户端系统积极主动地参加网络实时检测。同时框架实现了IEEE 802.1X体系、网络数据检测设备以及网络控制中心的联动,实现积极的防御体系。主要的实施步骤如下首先在客户端软件中,在不影响用户正常工作的前提下,加入对流入流出客户端的网络数据进行不失一般性的统计功能,并尽量降低终端负载和占用的资源。
当客户端软件发现终端流量超出预先设计的阈值的时候,客户端首先怀疑流量异常,通过IEEE 802.1X协议向RADIUS服务器报警。报警的目的主要是通知RADIUS客户端的位置以及出现的特殊情况。
RADIUS接到报警信息后,根据信息内容定位威胁客户端,下发定向数据流命令到客户端接入的交换机端口上。交换机根据命令将客户端信息流复制或者重定向到核心层的网络数据检测设备进行检测分析。
经过检测设备的分析后,将分析报告发给网络控制中心,进行评估和决策。网络管理员会事先定义一系列的安全威胁标准,这些安全威胁标准是建立在检测设备的分析结果之上的,不同类型的威胁标准具有不同的威胁等级。根据定义的威胁标准对各种结果进行评估,如果网络中的实际统计结果超过规定的阈值,则存在一个威胁事件。
如果被认定是威胁事件,则根据分析结果中的IP、MAC等信息,结合IEEE802.1X体系中RADIUS存储的网络接入信息,可以非常方便的实现威胁事件定位。
网络控制中心完成威胁定位后,就要向这些威胁源下发策略。针对这些安全威胁标准,网络管理员会预先建立相关的管理策略。当发生安全威胁事件的时候,会按照事件所属的威胁标准,通过IEEE 802.1X体系下达相应的实施管理策略。管理策略主要分为4个类别1、直接关闭用户接入设备的端口;2、阻断特定攻击数据流;3、对特定流进行限速;4、标记特定流量为低优先级转发。对终端端口的策略实施,主要是通过发送访问控制列表(ACL)到攻击终端接入的交换机,通过ACL在交换机上的实施,控制异常数据流。具体的实施流程是网络控制中心生成策略,将策略发送给RADIUS服务器,RADIUS根据存储的网络基本信息,定位策略下发的逻辑位置,并将策略封装在IEEE 802.1X的扩展协议中,发送到相应的网络设备上,网络设备接收策略并实施。
同时,局域网中的网络数据检测设备除了分析客户端提交的异常流量,还会对流经网络核心层的数据进行分析。将有问题的分析结果发送给网络控制中心进行评估。
总之,在对原有IEEE 801.1X协议网络框架的扩展后,加入客户端流量检测机制;与网络检测设备和网络控制中心的联动,可以大大提高网络检测的效率,降低成本,实现全网的检测和管理的联动,实现统一的闭环控制系统。
权利要求
1.一种基于IEEE 802.1X协议的局域网安全管理方法,其特征在于,包括以下步骤1)在IEEE 802.1X体系中终端接入用户(1)的客户端认证系统中增加对接入终端的流量检测;2)当终端接入用户(1)的客户端软件发现终端流量超出预先设计阈值的时候,通过IEEE 802.1X协议向RADIUS服务器(2)发安全威胁报警(8);3)RADIUS(2)接到安全威胁报警(8)通知后,定位终端接入用户(1),下发定向数据流(9)到终端接入用户(1)的接入层交换机(3)端口上;4)接入层交换机(3)将客户端信息流(10)复制或者重定向到核心层的网络数据检测设备(6)上,进行检测分析;同时网络数据检测设备(6)也会对核心层的网络数据(19)进行检测;5)通过对核心层和客户端的数据的分析,如果网络数据检测设备(6)发现网络威胁,将把检测结果(11)发送给网络控制中心(7);6)网络控制中心(7)的评估模块(12)通过对检测结果(11)的评估,将生成具体的评估结果(13);7)网络控制中心(7)的定位模块(14)根据RADIUS(2)中存储的网络接入信息(16)定位威胁源;8)网络控制中心(7)的决策模块(15)根据评估结果(13)以及威胁源的位置,生成访问控制列表ACL(17);9)将访问控制列表ACL(17)通过RADIUS(2)用IEEE 802.1X协议进行封装,形成下达策略(18)下发到相应的接入层交换机(3)上,对终端实施最终的控制。
2.根据权利要求1所述的一种基于IEEE 802.1X协议的局域网安全管理方法,其特征在于所述的下达策略(18)分为四类,具体为1)直接关闭用户接入设备的端口;2)阻断特定攻击数据流;3)对特定流进行限速;4)标记特定流量为低优先级转发。
全文摘要
本发明公开了一种基于IEEE 802.1X协议的局域网安全管理方法,本发明将对基于IEEE 802.1X协议认证体系进行功能扩展,与网络控制中心和现有网络设备配合,形成一个闭环的联动控制系统。该方法结合IEEE 802.1X协议本身的各种特点,能够控制网络中接入的终端,具有细粒度控制的优点,从而将网络管理推向网络的最边缘。与传统的入侵检测系统(IDS)和流量分析(NetFlow)等方法相比,在性能、成本和部署等方面有显著优点,能提高网络检测效率,降低部署成本。
文档编号H04L12/28GK101022360SQ200710064449
公开日2007年8月22日 申请日期2007年3月16日 优先权日2007年3月16日
发明者赖英旭, 李晨, 张书杰, 李健 申请人:北京工业大学