专利名称:网络接入控制应用系统的安全检查方法及安全策略服务器的制作方法
技术领域:
本发明涉及网络接入控制领域,尤其涉及一种网络接入控制应用系 统的安全检査方法及安全策略服务器。
背景技术:
随着网络应用的不断普及与深入,网络安全成为各企业极为重视的问题。NAC (Network Access Control,网络接入控制)应用系统为企业提供了一个相对完整的网络安全解决方案,如H3C (华三通信)的EAD (Endpoint Admission Defense,端点准入防御),Cisco (思科)的CNAC (Cisco Network Admission Control,思科网络准入控制)以及微软尚未发布的MS-NAP (Microsoft Network Access Protection,微软网络访问保护)等应用系统。如图1所示,通常NAC应用系统包括AAA ( Authentication Authorization Accounting,认证、授权与计费)服务器110、安全策略服 务器120、接入设备130和分别安装在各个接入终端150上的NAC客户 端软件。当接入终端150通过接入设备130接入网络时,NAC应用系统 一般对其进行两级控制一一身份认证和安全检査。需要说明的是,图1 中各个服务器是具有相应功能的逻辑单元,根据具体的网络环境,这些 服务器可能由不同数量的物理设备来实现。NAC应用系统首先由AAA服务器110对使用接入终端150的用户 的身份进行认证,在用户通过身份认证前该接入终端150不能访问任何 其他的网络资源,甚至没有可用的IP地址;在通过身份认证后,用户可 以通过该接入终端150访问一个逻辑的隔离区,在隔离区可以进行病毒 库更新、终端软件的补丁更新等,处在隔离区的用户相互之间不能通信。NAC应用系统的安全检査由安全策略服务器120结合接入终端150 上的NAC客户端进行,对隔离区中的接入终端150是否符合安全要求予 以检测,在检测结果为符合安全要求时对接入终端150解除隔离限制。 安全检査的内容包括多个安全检查项,例如检测接入终端150上是否存 在病毒、检测接入终端150上是否开启了某特定监听端口或运行了某特 定软件等。为了更好地实现网络安全,企业根据自身特点往往希望将各种各样 的安全检查项列入NAC应用系统的安全检査范围中,这些安全检查项的 检测有的是DM (Desktop Management,桌面管理)应用系统己经具有的 功能。如图1所示,DM应用系统通常包括DM服务器140和安装在接 入终端150上的DM客户端软件,能够对接入终端150的某个或某些安 全检査项进行检测。在出现网络接入控制技术之前,传统的桌面管理应 用系统,如防病毒系统、补丁管理、软件防火墙等已经有了非常普及的 应用。为保护现有投资,企业在引入NAC应用系统增强其网络安全的同 时,会要求NAC应用系统与正在使用的DM应用系统能够协同进行安全 检查工作。一个NAC应用系统一般由一家网络解决方案提供商提供,NAC应 用系统提供商会提出一个NAC框架,并推动DM应用系统提供商融入到 这个NAC框架中来。现有技术中,NAC框架中包括一系列与DM应用 系统的接口规范,这些接口规范不仅与DM应用系统的业务功能相关, 而且还与每个DM系统对该功能的具体实现相关。例如,在针对NAC框架与防病毒DM应用系统的接口规范中会有获 取接入终端上防病毒客户端的病毒库更新日期的接口,这个接口是与防 病毒业务功能相关的。这样,对NAC应用系统而言,防病毒方面的接口 规范可以适用于不同厂商开发的防病毒DM应用系统,但不适用于其它 类型的DM应用系统。比如要把补丁管理系统融入NAC框架,需要针对 补丁管理系统制定一套新的接口规范。也就是说,针对不同类型的DM 系统存在不同的接口规范,每当NAC框架支持一类新的DM应用系统时, 都要制定一套相应的接口规范,扩展性差。而对DM应用系统而言,由于NAC框架中的接口规范与DM应用系 统的具体实现相关,一个独立的DM应用系统要融入到一个NAC框架中, 需要按照其具体实现来进行适配开发,以便在DM应用系统侧实现由 NAC框架制定的接口规范,如提供相应的动态链接库。以DM应用系统提供DLL (Dynamic Linkage Library,动态链接库) 为例,通常在NAC应用系统中安装各个DM应用系统的DLL库,为NAC 应用系统提供DM应用系统所具有的安全检查功能的调用接口 。当NAC 应用系统进行某个安全检查项检测时,可以调用具有对应功能的DM应 用系统的DLL接口,由DM应用系统中实现该功能的模块就该安全检査 项对接入终端进行检测。由于不同NAC应用系统提供商制定的NAC框架也往往与其具体实 现相关,DM应用系统的开发的接口规范也不具有通用性,不得不针对 不同NAC应用系统分别开发。发明内容本发明要解决的是现有技术中NAC应用系统同DM应用系统协同工 作时通用性和扩展性差,需要进行大量开发工作的问题。本发明提供了一种NAC应用系统的安全检査方法,包括 获取DM应用系统支持的安全检査项;指令DM应用系统对接入终端进行至少一项其支持的安全检査项的 检测;接收DM应用系统返回的检测结果。本发明还提供了一种DM应用系统在网络接入控制中的安全检査方 法,包括接收NAC应用系统的指令,所述指令中包括要对接入终端进行检测 的至少一个安全检査项;对接入终端进行所述安全检査项的检测; 向NAC应用系统返回检测结果。本发明公开的一种NAC应用系统的安全策略服务器,包括 能力信息获取单元,用于获取DM应用系统支持的安全检查项; 检测指示单元,用于根据能力信息获取单元获取的信息指示安全检 查项的检测及指示进行所述检测的DM应用系统;
检测结果单元,用于接收所述安全检査项检测的结果。本发明提供的一种DM应用系统的DM服务器,包括 指令接收单元,用于接收NAC应用系统的指令,所述指令中包括要对接入终端进行检测的至少一个安全检查项;指令执行单元,用于指示所述接入终端的DM客户端进行所述安全检査项的检测;结果上报单元,用于接收DM客户端的检测结果并将其上报至NAC 应用系统。本发明还公开了一种接入终端,包括NAC应用系统的NAC客户端 和DM应用系统的DM客户端,其中NAC客户端用于接收安全策略服务器指示的安全检査项检测及进行 检测的DM应用系统,指令所述DM应用系统的DM客户端进行安全检 查项的检测,并将DM客户端的检测结果上报至安全策略服务器;DM客户端用于按照NAC客户端的指令进行安全检査项的检测,并 向其返回检测结果。本发明中由NAC应用系统指令DM应用系统进行哪些安全检查项的 检测,由DM应用系统完成检测并返回结果;相比于现有技术中由NAC 应用系统调用DM应用系统的底层功能模块完成相应安全检査项检测的 方式,本发明采用安全检查项作为NAC应用系统和DM应用系统的接口, 与NAC应用系统或DM应用系统对功能模块的具体实现相分离,具有良 好的通用性,便于扩展,并且能够节约开发成本。
图1: NAC应用系统与DM应用系统协同工作的网络结构示意图;图2:本发明所述安全检査方法实施例一的流程图;图3:本发明所述安全检查方法实施例二的流程图;图4:本发明应用示例中安全检查通用分类规范表的构成示意图;图5:本发明应用示例中安全检査分类及其安全检査项的构成示意图;图6:本发明应用示例中安全策略确定界面的示意图; 图7:本发明所述NAC应用系统与DM应用系统实施例一的结构示 意图;图8:本发明所述NAC应用系统与DM应用系统实施例二的结构示意图。
具体实施方式
DM应用系统已经有了相当长时间的发展,不同DM应用系统之间 不仅提供的安全检査项检测功能的种类和数量不同,而且对同一个安全 检査项检测功能的实现也存在很大区别。现有技术中,NAC应用系统通 过DLL库调用DM应用系统中的检测功能模块,这样NAC应用系统参 与到DM应用系统对安全检査项的实际检测中,因而两个应用系统的协 同工作就需要考虑每个应用系统的具体实现。事实上,虽然不同DM应用系统的具体实现不同,但对于相同的安 全检査项,不同DM应用系统能够提供的检测功能却区别不大。本发明 中,NAC应用系统将需要DM应用系统进行检测的安全检查项指示给 DM应用系统,由DM应用系统按照其实现独立完成检测并返回检测结 果;这样,NAC应用系统同样可以利用该DM应用系统的相应检测功能, 而不必关心该DM应用系统对检测功能的具体实现。同时,安全检査项 可以在各个NAC应用系统和DM应用系统之间通用,因此本发明具有良 好的通用性。本发明所述安全检査方法实施例一的流程如图2所示。本实施例中, NAC应用系统包括安全策略服务器和安装在至少一个接入终端上的 NAC客户端,DM应用系统包括DM服务器和与NAC客户端安装在相同 接入终端上的DM客户端。步骤S210:安全策略服务器获取DM应用系统支持的安全检查项。 可以由DM应用系统的DM服务器在启动时向安全策略服务器注册, 在注册信息中携带本DM应用系统支持的安全检査项。由于DM应用系 统所支持的安全检査项通常只有在应用系统升级时才会发生变化,因而 也可以在安全策略服务器上由管理员手工注册各个DM应用系统,并设 置每个DM应用系统支持的安全检査项,这些DM应用系统与该NAC应10
用系统在安全检査中协同工作。DM服务器也可以在满足其他设定条件时告知安全策略服务器其支持的安全检査项,或者由安全策略服务器向DM服务器査询上述信息。例如,假设一个DM系统支持以下安全检査项,这些安全检査项的 总和构成了这个DM系统的安全检査能力禁止Everyone (每个用户)共享设置,即发现某终端上设置有 Everyone共享设置则认为不符合安全要求;禁止系统默认共享设置,即发现某终端上设置有系统默认的共享, 如c$ (驱动器C) 、 d$ (驱动器D)等则认为不符合安全要求;禁止写入共享设置,即发现某终端上提供了写入共享则认为不符合 安全要求;禁止任何共享设置,即发现某终端上有任何共享设置、不论是读共 享还是写共享,则认为不符合安全要求;禁止提供远程桌面登录功能,即发现某终端上提供远程桌面登录功能,则认为不符合安全要求;禁止提供远程FTP (File Transfer Protocol,文件传输协议)访问, 即发现某终端上提供远程FTP访问,则认为不符合安全要求;禁止提供远程Telnet登录,即发现某终端上提供远程Telnet登录, 则认为不符合安全要求;禁止提供Web server (万维网服务器)服务,即发现某终端上提供 Web server服务,则认为不符合安全要求。在本步骤中,可以由管理员在安全策略服务器上为DM应用系统进 行手工注册,并将其支持的上述安全检査项配置在安全策略服务器上; 也可以由该DM系统的DM服务器向安全策略服务器发送双方约定格式 的报文,通知安全策略服务器该DM系统支持的安全检査项。步骤S220:确定NAC应用系统要检测哪些安全检查项以及这些安 全检査项由哪个DM应用系统来进行检测,即生成本NAC应用系统包括 上述内容的安全策略。一个NAC应用系统往往与多个DM应用系统协同工作,这些DM应 用系统支持的安全检査项可能相同,也可能不同。基于步骤S210中所获 取的各DM系统支持的安全检査项,安全策略服务器可以对NAC应用系 统的安全检査进行集中管理,生成本NAC应用系统的安全策略。安全策 略可以根据实际网络环境的需求来定制,在所有安全检査项中选择部分 或全部,由一个至多个DM应用系统对其支持的安全检査项进行检测。例如,当DM应用系统a和DM应用系统b均支持某个安全检查项 时,安全策略服务器可以确定由DM应用系统a对部分请求接入的用户 进行该安全检査项的检测,由DM应用系统b对其余请求接入的用户进 行该安全检査项的检测;也可以确定由DM应用系统a对初次接入的用 户进行该安全检査项的检测,由DM应用系统b对成功接入网络后的用 户进行定期监控,以确定接入后用户的该安全检査项持续满足NAC应用 系统的要求。当NAC应用系统只与一个DM应用系统协同工作并且对其支持的全 部安全检査项进行检测时,由于在步骤S210中获取的信息已经生成了 NAC应用系统的安全策略,则本步骤可以省略。步骤S230:安全策略服务器向接入终端的NAC客户端下发安全策 略,将要检测的安全检查项及对其进行检测的DM应用系统通知接入终 端的NAC客户端。对不同的用户或者接入终端,安全策略服务器可以下发不同的安全 策略,进行不同安全检査项的检测或者由不同的DM应用系统进行检测。步骤S240: NAC客户端指令该接入终端的DM客户端进行安全检査 项的检测。对下发的安全策略中涉及的一个或多个DM应用系统,NAC客户端 向这些DM应用系统在同一个接入终端上的DM客户端发出指令,指令 其进行安全策略确定的相应安全检査项的检测。步骤S250: DM客户端向NAC客户端返回检测结果。DM应用系统的DM客户端完成检测后,向同一个接入终端上的NAC 客户端返回检测结果。根据DM应用系统的具体实现,对一些安全检査 项的检测过程可能包括对不符合安全要求的接入终端进行自动修复。DM应用系统返回的检测结果中,通常包括接入终端是否通过该安全 检查项检测的结论。
步骤S260: NAC客户端将检测结果上报至安全策略服务器。在一些情况下,如对请求接入的用户进行安全检查时,NAC客户端 可以将不同DM应用系统的检测结果汇集后一并上报安全策略服务器。步骤S230与S240中,NAC应用系统指令DM应用系统对接入终端 进行至少一项其支持的安全检査项的检测;步骤S250与S260中,被指 令的DM应用系统向NAC应用系统返回检测结果。本实施例中,在同一个接入终端上由NAC客户端与一种或多种DM 客户端进行信息交互来完成安全检査过程,在安全检査过程中不需要安 全策略服务器与DM服务器之间进行直接交互。图3所示为本发明所述安全检査方法实施例二的流程。本实施例中, NAC应用系统包括安全策略服务器,DM应用系统包括DM服务器和安 装在至少一个接入终端上的DM客户端。本实施例的步骤S310与S320分别与本发明安全检査方法实施例一 中的步骤S210与S220相同,具体描述请参见上述实施例,不再重复。步骤S330:安全策略服务器指令DM服务器进行安全检査项的检测。对安全策略中涉及的一个或多个DM应用系统,安全策略服务器向 这些DM应用系统的DM服务器发出指令,指定其进行至少一项所支持 的安全检査项的检测,这些安全检査项在安全策略中确定由该DM系统 来执行检测。步骤S340: DM服务器指令DM客户端对其所在的接入终端进行本 DM应用系统被指定的安全检査项的检测。步骤S350: DM客户端向DM服务器上报对上述安全检查项的检测 结果。步骤S340与S350是在现有的DM应用系统中已经具有的功能。 步骤S360: DM服务器向安全策略服务器返回本DM应用系统的检 测结果。根据DM应用系统的具体实现,对一些安全检査项的检测过程可能 包括对不符合安全要求的接入终端进行自动修复。DM应用系统返回的 检测结果中,通常包括接入终端是否通过该安全检査项检测的结论。本实施例与上述实施例的不同之处在于,对NAC应用系统指令DM
应用系统对接入终端进行安全检査项检测由步骤S330至S340实现,而 被指令的DM应用系统向NAC应用系统返回检测结果由步骤S350至360实现。本实施例中,在安全检查过程中由NAC安全策略服务器与一个或多 个DM服务器进行信息交互,而不需要NAC客户端与DM客户端之间进 行直接交互。以下通过一个应用示例来说明本发明推荐的一种具体实现。在下述 应用示例中,采用安全检査通用分类规范表作为NAC应用系统和DM应 用系统之间传递安全检査项相关信息的接口。对有DM应用系统支持的 安全检查项进行归纳分类可以形成安全检査通用分类规范表,其包括一 个至多个安全检査分类,每个安全检查分类包括一个至多个安全检査项。如图4所示,安全检査项(Item)在安全检査通用分类规范表中按其 所属的安全检査分类(Category)陈列。以树来打比方,安全检査分类是 树根或树枝,安全检査项则是树叶。可以令一个安全检查分类中的每个安全检査项占用一个二进制的位 (ItemID),以该二进制位的值来表示所传递的信息中是否指定了该安 全检査项;同时,每个安全检査分类可以用与其具有对应关系的一个其 CategoryID来表征。这样, 一个安全检查分类的取值(Category Value), 即安全检查分类中所有安全检査项对应的二进制位取值的总和,可以表 明其中哪些安全检査项被指定,即值对〈CategorylD, CategoryValue、就 可以表示一个安全检査分类中所有被指定的安全检査项。例如, 一个NAC应用系统的安全检査通用分类规范表中,安全检査 分类文件共享设置检查和远程服务提供设置检查的构成如图5所示文 件共享设置检查的CategoryID为1000,其所属的ItemID 1、 2、 4、 8分 别对应于安全检査项禁止Everyone共享、禁用系统默认共享、禁用写入 共享和禁用任何共享设置;远程服务提供设置检查的CategoryID为1001 , 其所属的ItemIDl、 2、 4、 8、 16分别对应于安全检査项禁止提供远程桌 面登录功能、禁止提供远程FTP访问、禁止提供远程Tdnet登录、禁止 提供上网代理服务和禁止提供Web Server服务。这样,在NAC应用系统与DM应用系统的通信中,可以采用值对 <1000, 1>表示安全检査项禁用Everyone共享被指定,采用值对<1000, 2>表示安全检查项禁用系统默认共享被指定,采用值对<1000, 3>表示两 个安全检査项用Everyone共享和禁用系统默认共享均被指定。 一个DM 应用系统H3C-iChecker在上述两个安全检査分类中仅不具有禁止提供上 网代理服务的安全检査功能,则其所支持的安全检査项可以用如下的值 对集合来表示{<1000, 15>, <1001,23>}。安全检査通用分类规范表在安全策略服务器上可以保存在一个文本 文件中。如以文件UniversalCategories—cn.ini来存放,其文件内容包括[1000]name-文件共享设置检査 1=禁用Everyone共享 2=禁用系统默认共享 4=禁用写入共享 8=禁用任何共享设置[1001]nam^远程服务提供设置检査 1=禁止提供远程桌面登录功能 2=禁止提供远程FTP访问 4=禁止提供远程Telnet登录 8=禁止提供上网代理服务 16=禁止提供Web Server服务安全检查通用分类规范表中的其他安全检査分类及其安全检查项也 按照上述格式存储在文件UniversalCategories—cn.ini中,不再列举。在NAC应用系统与DM应用系统协同工作前,先在安全策略服务器 上进行DM应用系统的注册。DM应用系统的注册是把一个DM系统的 支持的安全检査项告知NAC应用系统。注册DM应用系统一般包括登记该DM应用系统的唯一标识,如MS-WSUS, H3C-iChecker;登记该DM应用系统支持哪些安全检査项,即登记该DM应用系统 的值对集合{<CategoryId-l , CategoryValue-l〉, …,<CategoryId-N , CategoryValue-N>},其中每个值对表示该DM应用系统支持的安全检査 分类及其中的安全检査项。例如,DM应用系统H3C-iChecker的值对结 合为{<1000, 15>, <1001,23>}。DM应用系统的注册操作可以通过在NAC应用系统的安全策略服务 器上导入如下所示的一个XML (extensible Markup Language,可扩展置 标语言)文件即可<software id="H3C-iChecker"><category id=1000 value=15/> <category id=1001 value=23/></software>一个NAC应用系统可以注册多个DM应用系统,也可以注销一个或 多个已经注册的DM应用系统。注销DM应用系统时,只需根据该DM 应用系统的唯一标识查找到对应的XML文件,将该DM应用系统的注册 信息删除即可。完成DM应用系统注册后,可以在NAC应用系统的安全策略服务器 上集中进行安全策略的设置,其界面可以如图6所示。在设置安全策略 时,可以根据实际需要选择对哪些安全检查分类进行检测,对哪些安全 检査分类不做检测;可以根据实际需()求灵活地选择DM应用系统支 持的全部或部分安全检査项,例如,NAC应用系统没有采用DM应用系 统H3C-iChecker支持的禁用任何共享设置的安全检査项;还可以根据实 际需要设置当接入终端未通过某个安全检査项检测时,所要进行具体操 作,如隔离还是提醒。在图6所示的安全策略设置界面中,安全检查分类来自于安全检査 通用分类规范表。对每个安全检査分类而言,管理员首先确定是否要对 该安全检査分类进行检测(即选中要进行检测的安全检查分类的复选 框),并进一步确定把该安全检查分类的检测指派给哪一个DM应用系 统(即在该安全检査分类名称的右侧下拉列表中选择对应的DM应用系 统标识),以及确定让该DM应用系统对该分类下具体哪些安全检查项 实施检测(即选中要进行检测的安全检査项的复选框)。这样,所有的安全策略可以在NAC应用系统的安全策略服务器上进 行集中管理,方便管理员从整体把握安全策略的设置;同时本应用示例 中将一个安全检査分类交由一个DM应用系统处理,有效降低了配置的 复杂度,进一步增强了管理的便利性。当接入终端发起安全检査请求后,NAC应用系统的安全策略服务器 会根据设置的安全策略,把要进行的安全检査项以值对集合的形式分别 发送给对应DM应用系统。如把值对集合{<1000, 7>, <1001, 23>}分发 给DM应用系统H3C-iChecker,指令其检测指定的安全检查项,由DM 应用系统对该接入终端进行检测。可以由NAC应用系统定期向各个DM应用系统査询检测结果,也可 以DM应用系统自行返回检测结果。各个DM应用系统可以通过如下四 元组的形式返回安全检査项的检测结果<CategoryId, Itemld, dwRtnVal, strlnfo〉其中,Categoryld和Itemld指示安全检查分类中的安全检査项,表 示本检测结果对应于哪个安全检查项。dwRtnVal表示检测的当前结果,可以具有如下的取值及含义 0:检测完成,符合安全要求;1:检测完成,不符合安全要求,不支持自动修复;2:检测完成,不符合安全要求,正在自动修复;3:检测被中断或被取消;4:自动修复失败;5:自动修复被中断或被取消;6:自动修复完成;7及大于7的值保留供以后扩展。strlnfo可以是一个XML格式的字符串信息,用于当dwRtnVal的取 值不能完全表达检査结果的补充信息。如当dwRtnVal为1或2时,可能 需要strlnfo进一步携带有关检测不通过的详细信息。本领域普通技术人员可以理解实现上述方法实施例的全部或部分 步骤可以通过程序指令相关的硬件来完成,所述的程序可以存储于一计 算机可读取存储介质中,该程序在执行时,包括上述方法实施例中的全 部或部分步骤;所述的存储介质包括ROM/RAM (Read Only Memory/ Random-Access /Memory,只读存储器/随机访问内存)、磁碟或者光盘等。 本发明所述NAC应用系统与DM应用系统实施例一的结构可以如图 7所示,其中NAC应用系统包括安全策略服务器400和接入终端500上 的NAC客户端520,安全策略服务器400包括能力信息获取单元410、 检测指示单元420和检测结果单元430; DM应用系统包括接入终端500 上的DM客户端510,还可以包括DM服务器(图中未示出)。本领域 技术人员知道,安全策略服务器400可以连接一个至多个接入终端,每 个接入终端上可以包括一个至多个DM应用系统的DM客户端。安全策略服务器400的能力信息获取单元410用来获取DM应用系 统支持的安全检査项。这一信息可以由管理员通过能力信息获取单元410 手工配置,也可以由DM应用系统的DM服务器向能力信息获取单元410 上报。检测指示单元420按照能力信息获取单元410获得的信息,指示接 入终端500的NAC客户端520要检测的安全检查项的检测及对其进行检 测的DM应用系统。检测指示单元420包括策略确定模块421和策略下 发模块422。能力信息获取单元410将其获取的DM应用系统及其支持 的安全检査项输出至策略确定模块421,策略确定模块421按照上述信息 确定本NAC应用系统的安全策略,即要对哪些安全检査项进行检测以及 由哪些DM应用系统对这些安全检査项进行检测。策略下发模块422向 接入终端500的NAC客户端下发所确定的安全策略,安全策略可以因接 入终端或用户的不同而不同。当NAC应用系统只与一个DM应用系统协 同工作并且对其支持的全部安全检査项进行检测时,策略确定模块421 可以省略。接入终端500的NAC客户端520接收到安全策略服务器400下发的 安全策略,得知接入终端500上需要由哪个DM应用系统来进行哪些安 全检测项的检测。NAC客户端520向DM应用系统在同一接入终端500 上DM客户端510发出指令,指令其进行对应于该DM应用系统的安全 检查项的检测。DM客户端510按照指令执行上述安全检查项的检测, 并向NAC客户端520返回检测结果。NAC客户端将DM客户端返回的 检测结果上报至安全策略服务器400的检测结果单元430。
检测结果单元430接收各个接入终端上报的安全检査项检测结果, 从而得知每个终端是否符合NAC应用系统的安全要求。本发明所述NAC应用系统与DM应用系统实施例二的结构参见图8, 其中NAC应用系统包括安全策略服务器600,在安全策略服务器600中 包括能力信息获取单元410、检测指示单元620和检测结果单元430。 DM 应用系统包括DM服务器700和接入终端800,其中DM服务器700包 括指令接收单元720、指令执行单元730和结果返回单元730,还可以包 括能力上包括单元710;接入终端800包括DM应用系统的DM客户端 810。同样地,安全策略服务器600可以连接一个至多个接入终端,每个 接入终端上可以包括一个至多个DM应用系统的DM客户端。安全策略服务器400的能力信息获取单元410用来获取DM应用系 统支持的安全检查项。这一信息可以由管理员通过能力信息获取单元410 手工配置,也可以由DM服务器700的能力信息上报单元710向能力信 息获取单元410上报。检测指示单元620按照能力信息获取单元410获得的信息,指令DM 服务器700进行至少一项其支持的安全检査项的检测。检测指示单元620 包括策略确定模块421和检测指令模块622。策略确定模块421按照能力 信息获取单元410获取的信息确定本NAC应用系统的安全策略,即要对 哪些安全检査项进行检测以及由哪些DM应用系统对这些安全检査项进 行检测。按照安全策略,检测指令模块622指令DM服务器700进行安 全检査项的检测,这些安全检査项在安全策略中确定由DM服务器700 所在的DM应用系统进行检测。DM服务器700的指令接收单元720接收安全策略服务器600的指 令,并将其输出至指令执行单元730。指令执行单元730指示接入终端 800上本DM应用系统的DM客户端810对安全策略服务器600的指令 中指定的安全检査项进行检测。DM客户端810将检测结果上报至DM 服务器700的结果返回单元740。结果返回单元740将本DM应用系统 的安全检查项检测结果返回至安全策略服务器600的检测结果单元430。检测结果单元430接收DM服务器700上报的安全检查项检测结果, 从而得知各个终端是否符合NAC应用系统的安全要求。
由于安全检査项本身的通用性,本发明采用安全检查项作为NAC应 用系统和DM应用系统之间的接口,实现了良好的通用性。同时,随着 DM系统的检査能力的丰富,只需要把新的安全检査项纳入到接口中即 可,而无需NAC应用系统和DM应用系统侧配合开发,实现了良好的扩 展性。另外,NAC应用系统的安全策略可以在安全策略服务器上集中配 置,便于管理。需要声明的是,上述发明内容及具体实施方式
意在证明本发明所提 供技术方案的实际应用,不应解释为对本发明保护范围的限定。本领域 技术人员在本发明的精神和原理内,当可作各种修改、等同替换、或改 进。本发明的保护范围以所附权利要求书为准。
权利要求
1. 一种网络接入控制NAC应用系统的安全检査方法,其特征在于,包括获取桌面管理DM应用系统支持的安全检査项;指令DM应用系统对接入终端进行至少一项其支持的安全检査项的 检测;接收DM应用系统返回的检测结果。
2. 如权利要求1所述NAC应用系统的安全检査方法,其特征在于, 在指令DM应用系统对接入终端进行安全检査项的检测前,所述方法还 包括分别在各个DM应用系统支持的安全检查项中确定其进行检测的 安全检查项。
3. 如权利要求1所述NAC应用系统的安全检査方法,其特征在于, 所述获取DM应用系统支持的安全检査项进一步包括接收DM应用系 统上报的其支持的安全检査项。
4. 如权利要求1至3任意一项所述NAC应用系统的安全检査方法, 其特征在于,所述NAC应用系统包括安全策略服务器和NAC客户端, 所述DM应用管理系统包括DM客户端;所述指令DM应用系统对接入终端进行安全检查项的检测进一步包括-安全策略服务器向所述接入终端的NAC客户端下发安全策略,所述 安全策略包括要检测的安全检査项及对其进行检测的DM应用系统;所述NAC客户端指令所述接入终端的DM客户端进行所述安全检查 项的检测;所述接收DM应用系统返回的检测结果进一步包括所述NAC客户 端接收到DM客户端返回的检测结果后,将其上报至安全策略服务器。
5. 如权利要求1至3任意一项所述NAC应用系统的安全检査方法, 其特征在于,所述NAC应用系统包括安全策略服务器,所述DM应用管 理系统包括DM服务器和DM客户端;所述指令DM应用系统对接入终端进行安全检査项的检测进一步包 括安全策略服务器指令DM服务器进行所述安全检査项的检测;所述接收DM应用系统返回的检测结果进一步包括安全策略服务 器接收DM服务器返回的检测结果。
6. 如权利要求1所述NAC应用系统的安全检查方法,其特征在于, 所述DM应用系统支持的安全检查项以所述安全检査项所属的安全检査 分类及其取值来表示,安全检查分类中的每个安全检查项对应于一个二 进制的位,按照该位的取值不同表示DM应用系统是否支持对应的安全 检査项;所述指令DM应用系统进行安全检査项的检测通过所述安全检查分 类及其取值来进行,以二进制位的取值不同表示是否进行对应安全检査 项的检测。
7. —种DM应用系统在网络接入控制中的安全检查方法,其特征在 于,包括接收NAC应用系统的指令,所述指令中包括要对接入终端进行检测 的至少一个安全检查项;对接入终端进行所述安全检査项的检测; 向NAC应用系统返回检测结果。
8. 如权利要求7所述DM应用系统在网络接入控制中的安全检查方 法,其特征在于,所述方法在接收NAC应用系统的指令前还包括向 NAC应用系统上报本DM应用系统支持的安全检査项。
9. 如权利要求7或8所述DM应用系统在网络接入控制中的安全检 査方法,其特征在于,所述NAC应用系统包括NAC客户端,所述DM 应用系统包括DM客户端;所述接收NAC应用系统的指令进一步包括DM客户端接收NAC 客户端的所述指令;所述向NAC应用系统返回检测结果进一步包括DM客户端向NAC 客户端返回检测结果。
10. 如权利要求7或8所述DM应用系统在网络接入控制中的安全 检査方法,其特征在于,所述NAC应用系统包括安全策略服务器,所述 DM应用系统包括DM服务器和DM客户端; 所述接收NAC应用系统的指令进一步包括DM服务器接收安全策 略服务器的所述指令;所述对接入终端进行安全检査项的检测进一步包括:DM服务器指令DM客户端对其所在的接入终端进行所述安全检查项的检测;所述向NAC应用系统返回检测结果进一步包括DM服务器将DM 客户端上报的检测结果返回至安全策略服务器。
11. 如权利要求7所述DM应用系统在网络接入控制中的安全检査 方法,其特征在于,所述指令包括的安全检査项以所述安全检査项所属 的安全检查分类及其取值来表示,安全检査分类中的每个安全检査项对 应于一个二进制的位,按照该位的取值不同表示是否检测对应的安全检 査项。
12. —种NAC应用系统的安全策略服务器,其特征在于,包括 能力信息获取单元,用于获取DM应用系统支持的安全检査项; 检测指示单元,用于根据能力信息获取单元获取的信息指示安全检査项的检测及指示进行所述检测的DM应用系统;检测结果单元,用于接收所述安全检查项检测的结果。
13. 如权利要求12所述NAC应用系统的安全策略服务器,其特征 在于,所述检测指示单元包括检测指令模块,用于指令DM应用系统进 行其所支持的至少一项安全检査项的检测;所述检测结果单元从被指令的DM应用系统接收检测结果。
14. 如权利要求12所述NAC应用系统的安全策略服务器,其特征 在于,所述检测指示单元包括策略下发模块,用于向所述NAC应用系统 的NAC客户端下发安全策略,以指示要进行检测的安全检查项及对应的 DM应用系统;所述检测结果单元从所述NAC客户端接收检测结果。
15. 如权利要求12至14任意一项所述NAC应用系统的安全策略服 务器,其特征在于,所述检测指示单元还包括策略确定模块,用于根据 能力信息获取单元获取的信息确定要进行检测的安全检查项及对其进行 检测的DM应用系统。
16. —种DM应用系统的DM服务器,其特征在于,包括 指令接收单元,用于接收NAC应用系统的指令,所述指令中包括要 对接入终端进行检测的至少一个安全检査项;指令执行单元,用于指示所述接入终端的DM客户端进行所述安全 检査项的检测;结果上报单元,用于接收DM客户端的检测结果并将其上报至NAC 应用系统。
17. 如权利要求16所述DM应用系统的DM服务器,其特征在于, 所述DM服务器还包括能力上报单元,用于向NAC应用系统上报本DM 应用系统支持的安全检査项。
18. —种接入终端,其特征在于,包括NAC应用系统的NAC客户 端和DM应用系统的DM客户端,其中NAC客户端用于接收安全策略服务器指示的安全检査项检测及进行 检测的DM应用系统,指令所述DM应用系统的DM客户端进行安全检 查项的检测,并将DM客户端的检测结果上报至安全策略服务器;DM客户端用于按照NAC客户端的指令进行安全检查项的检测,并 向其返回检测结果。
全文摘要
本发明公开了一种NAC应用系统的安全检查方法,包括获取桌面管理DM应用系统支持的安全检查项;指令DM应用系统对接入终端进行至少一项其支持的安全检查项的检测;接收DM应用系统返回的检测结果。本发明在NAC应用系统和DM应用系统间采用安全检查项的通用接口,具有良好的通用性,便于扩展,并且能够节约开发成本。
文档编号H04L12/28GK101123493SQ20071015183
公开日2008年2月13日 申请日期2007年9月20日 优先权日2007年9月20日
发明者卢志坚 申请人:杭州华三通信技术有限公司