一种基于802.1x的接入控制系统的制作方法

专利名称：一种基于802.1x的接入控制系统的制作方法
技术领域：
本发明涉及网络信息安全领域，主要针对局域网数据安全的应用，用于增强局域 网安全性的客户端接入控制。
背景技术：
随着网络和信息技术的发展，目前，国内政府机关、保密部门、科研机构、金融及 企事业单位已具备相当规模的内部网络，然而内部网络自身却存在着不可忽视的安全隐 患，在极大提高生产工作效率的同时也对数据安全构成严重的威胁。数据安全不仅仅关系 到个人的隐私问题，也关系到企业的商业机密和生存问题，甚至关系到一个国家的安全问 题。由于大量的业务和技术数据都存储于内网的计算机之中，一旦由于安全问题而出现数 据泄露、破坏的事件，将可能给企业或者国家造成难以挽回的损失。另外，据美国联邦调查局和中国国家信息安全评测认证中心的调查结果可知，80% 以上的安全威胁来自内部，企业和政府机构因重要数据被窃造成的损失远远超过病毒感染 和黑客攻击所造成的损失，调查结果同时也证明了信息安全问题主要来自内部泄密，而不 是由病毒和外来黑客引起，并且与互联网相比，内网的安全措施更加薄弱，接入速度更快， 更容易引发安全问题，因此解决局域网数据安全问题具有十分重要的现实意义。目前，影响内网数据安全的一个重要的安全威胁在于对内网缺乏有效的接入控制 手段，只要用户能够接入局域网交换机，就可以顺利接入内网，访问内网中的设备或资源。 目前主要的接入控制技术包括PPPoE、Web+VLAN以及802. lx。1.PPPoE (Point-to-PointProtocoloverEthernet)
PPPoE技术是一种早期的接入认证技术，目前在宽带接入服务方面仍具有很高的使 用率。PPPoE利用PPP协议封装以太帧发起一个点到点的连接请求，通过以太网交换机 或DSL设备，连到接入网关设备上。接入网关设备和RADIUS认证服务器共同完成用户的 接入认证。PPPoE技术的不足在于接入用户到接入设备间用的是点到点连接，对组播的 实现造成了困难；接入认证阶段产生大量的广播报文，会对网络性能产生较大的影响，效 率比较低下，不适合用在局域网中进行接入控制。PPPoE技术的详细介绍见文献《AMethod forTransmittingPPPOverEthernet (PPPoE))) (L. Mamakos, K. Lidl, J. Evarts, D. Carrel, D. Simone-RFC2516, Februaryl999)。2. WEB+DHCP
WEB+DHCP是一种较流行的接入认证技术，其对客户的认证是通过在浏览的页面中输入 用户名和密码来实现的。首先用户接入时将先通过DHCP服务器分配认证地址，并由局端设 备对该IP地址强制URL访问登录页面，用户输入用户名和密码后由TOB认证服务器完成用 户的接入认证。WEB+DHCP认证技术不需要专门的客户端软件，但由于WEB认证承载在应用 层协议之上，对网络设备的要求较高，建网成本高，用户的连接性差且难以检测用户是否离 线。3. 802. lx802. lx是一种基于端口的接入控制方案，主要用于解决用户接入局域网时的身份认证 问题。802. lx协议的体系结构由三个部分构成客户端系统(请求者)、认证者系统、认 证服务器，如图1所示。(1)客户端系统(请求者)请求者通常是支持802. lx认证的用户终端设备，用户 通过启动客户端软件发起802. lx认证。(2)认证者系统认证系统对连接到链路对端的认证请求者进行认证。认证系统 通常为支持802. lx协议的网络设备，为请求者提供服务端口。认证系统的端口在逻辑上 又可分为“可控端口 ”与“不可控端口 ”。“不可控端口 ”始终处于双向连通状态，用于传递 802. lx认证所需的EAP数据包，保证客户端系统始终可以向认证者系统发送和接收认证消 息。“可控端口 ”则只在客户端认证通过的情况下才会打开，认证成功后，请求者就可以通过 “可控端口，，访问网络资源并获得相应的服务；否则受控端口处于未认证状态，用户无法访 问认证系统提供的服务。(3)认证服务器认证服务器是为认证系统提供认证服务的实体，通常使用 RADIUS服务器来实现认证服务器的认证和授权功能。以802. lx协议的MD5Challenge认证为例，802. lx的认证过程如下
(1)用户接入网络时，使用802. lx客户端程序，发起连接请求，此时，客户端程序将 发出EAPOL-Start报文给认证系统(交换机)，开始一次认证过程。(2)认证系统收到请求认证的数据报文后，将发出一个EAP-Request/Identity请 求报文给用户的客户端，要求客户端程序发送用户输入的用户名。(3)客户端程序响应认证系统发出的请求，将用户名信息通过EAP-Response/ Identity报文发给认证系统。认证系统将客户端送上来的数据报文转发给认证服务器进行 处理。(4)认证服务器收到认证系统转发上来的用户名信息后，用随机生成的一个加密 字对它进行加密处理，同时也将此加密字封装成数据报文传送给认证系统，由认证系统将 数据报文传给客户端程序。(5)客户端程序收到由认证系统传来的加密字后，用该加密字对口令部分进行加 密处理(如计算其hash值)，返回EAP-Response报文并通过认证系统传给认证服务器。(6)认证服务器收到认证系统转发的加密后的口令信息后，将其和自己经过加密 运算后的口令信息进行比较，如果匹配，则认为该用户为合法用户，反馈EAP-Success认 证成功信息，认证系统打开端口，用户可以访问网络。否则，反馈EAP-Failure认证失败 的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通 过802. lx协议的提出在某种程度上缓解了内网所面临的用户接入控制问题，但是在 实际使用中也暴露除了一系列问题。如
(1)客户端提交的身份认证信息主要包括用户名和密码、数字证书等，基于用户名和密 码的认证方式缺乏足够的安全性，而数字证书的认证方式虽然能够提供较高的安全性，但 却需要较复杂的基础设施的支持，比较繁琐，难以广泛应用。(2)802. lx在实际应用过程中存在一些安全控制的问题，如难以实现用户级的接入控制、认证后用户行为缺乏控制以及难以实现细粒度的访问控制等(如MAC地址 复制问题等)。802. lx技术的详细介绍见文献《IEEE802. lxRemoteAuthenticationDia llnUserService(RADIUS)UsageGuidelines》(P. Congdon, B. Aboba, A. Smith, G. Zorn, J. Roese-RFC3580, September, 2003)。针对上述需求，本发明在802. lx协议的基础上进行创新，提出一种具有更高安全 性、更细控制粒度、更好灵活性的接入控制系统方案，以助于进一步解决局域网用户接入控 制问题。

发明内容
本发明的目的就是在原有802. lx接入控制系统的基础上，提供一个具有更高安 全性、更细控制粒度、更好灵活性的用户接入控制系统。本发明采用以下方案实现一种基于802. lx的接入控制系统，其特征在于包括 客户端系统、认证者系统及认证服务器，所述的客户端系统包括802. lx认证模块，负责与 所述认证者系统、认证服务器交互，发送和接受认证信息，完成用户认证和接入控制；网络 接入设备监控模块，负责监控客户端网络接入设备的状态变化并通知802. lx认证模块； USBKEY监控模块，负责获取USBKEY状态变化信息和USBKEY内的认证信息，并通知802. lx 认证模块；分组过滤引擎，通过分组过滤实现用户级的细粒度网络访问控制；客户端完整 性检测模块，负责对客户端各模块的完整性进行检测，确保用户不能使用未经认证或更改 过的客户端进行802. lx认证。本发明在原有802. lx接入控制系统的基础上，整合网络接入设备监控、USBKEY监 控认证、分组过滤引擎、完整性检测于一体，是一种有效的接入控制手段，解决了局域网中 所存在的安全隐患。


图1是传统的802. lx协议的体系结构示意图。图2是本发明的系统结构示意图。
具体实施例方式下面结合附图及实施例子对本发明做进一步说明。如图2所示，本发明提供一种基于802. lx的接入控制系统，其特征在于包括 客户端系统、认证服务器及认证者系统，所述的客户端系统包括802. lx认证模块，负责与 所述认证者系统、认证服务器交互，发送和接受认证信息，完成用户认证和接入控制；网络 接入设备监控模块，负责监控客户端网络接入设备的状态变化并通知802. lx认证模块； USBKEY监控模块，负责获取USBKEY状态变化信息和USBKEY内的认证信息，并通知802. lx 认证模块；分组过滤引擎，通过分组过滤实现用户级的细粒度网络访问控制；客户端完整 性检测模块，负责对客户端各模块的完整性进行检测，确保用户不能使用未经认证或更改 过的客户端进行802. lx认证。本实施例子中认证者系统与标准的802. lx接入控制系统中 的认证者系统相同，通常为支持802. lx协议的各种网络设备，一般为接入交换机。认证服 务器通常为Radius服务器。
为了让一般技术人员更好的了解本发明，下面分别详细介绍本发明的各个模块。首先描述802. lx认证模块，该模块除实现802. lx协议规定的标准认证流程外，还 包含与网络接入设备监控模块、USBKEY监控模块的接口，通过与网络接入设备监控模块的 接口获得网卡状态变化信息与网卡MAC地址；通过与USBKEY监控模块的接口获得USBKEY 状态变化信息以及USBKEY中存储的认证码。802. lx认证模块使用通过接口获得的MAC地 址以及USBKEY中存储的认证码构成发送给认证者系统的组合认证信息。其次描述网络接入设备监控模块，网络接入设备监控模块通过Windows系统提供 的NDIS网络驱动接口获取网卡的MAC地址并且监控MAC地址的更改情况，网络接入设备监 控模块获取的MAC地址将通过其与802. lx认证模块间的通信接口发送给改进802. lx认证 模块作为用户认证信息之一；此外，通过事先设置的控制策略，网络接入设备监控模块可禁 止用户修改MAC地址，防止恶意用户利用802. lx协议认证过程的缺陷，通过修改MAC为合 法用户所在客户端的MAC地址绕过802. lx认证机制接入局域网。 再次，描述USBKEY监控模块，USBKEY监控模块的功能是通过USBKEY驱动程序获 取USBKEY中存储的认证信息并监控USBKEY状态的变化。当用户进行接入身份认证时， USBKEY监控模块接受来自802. lx协议认证模块的获取认证信息指令，通过USBKEY监控 模块和802. lx协议认证模块间的通信接口向801. lx认证模块返回身份认证信息；USBKEY 监控模块同时监控USBKEY状态的变化并将状态变化信息通过USBKEY监控模块和802. lx 认证模块间的通信接口通知802. lx认证模块。当用户拔除USBKEY时，USBKEY监控模块 向802. lx协议认证模块发送USBKEY已拔出的状态信息，802. lx认证模块将向认证者系 统发送LOGOFF消息并重置客户端的认证状态；当用户插入USBKEY时，USBKEY监控模块向 802. lx认证模块发送USBKEY已插入的消息，802. lx认证模块将向认证者发送START消息， 启动网络接入身份认证的过程。接着，描述客户端分组过滤引擎。802. lx协议是一个基于端口的认证协议，也就 是说802. lx的操作粒度为端口，端口在逻辑上又可分为“可控端口”与“不可控端口”。“不 可控端口 ”始终处于双向连通状态，用于传递802. lx认证所需的EAP数据包，保证客户端始 终可以向认证者发送和接收认证消息。“可控端口”则只在客户端认证通过的情况下才会打 开，认证成功后，请求者就可以通过“可控端口”访问网络资源并获得相应的服务。虽然上 述方式能够有效控制客户端对局域网的访问，但是缺乏用户级的控制粒度，无法区分从同 一客户端上登录并访问网络的不同用户，在大多数应用场合缺乏足够的灵活性。因此本发 明所描述的认证方案引入了客户端分组过滤弓I擎(PraPacketFilteringEngine)的概念， 在客户端系统通过认证后，认证服务器从认证者系统的用户控制策略数据库中提取和某个 认证用户绑定的认证策略，封装入数据报后返回认证策略给802. lx认证模块，802. lx认证 模块将认证策略中的网络访问控制策略部分通过802. lx认证模块与PFE间的通信接口发 送给PFE，PFE依据接收到的网络访问控制策略设置分组过滤规则，并依据分组过滤规则对 客户端上特定用户发送和接收的数据包进行过滤。PFE的引入以及上述的分组过滤策略实 现了用户级的接入控制，并且可以针对不同服务提供细粒度的网络访问控制能力，满足实 际需要。最后，描述客户端完整性检测模块，客户端完整性检测模块的功能是保证客户端 802. lx认证模块、客户端网络接入设备监控模块、客户端USBKEY监控模块、客户端分组过
6滤引擎的完整性，确保在接入控制过程中使用的是未经修改、删减的上述各模块，从而防止用户通过使用第三方认证模块替代原功能模块或者Crack原功能模块的方式绕过本方案 定义的标准认证过程。该模块对本发明所描述的接入认证方案的有效执行具有重要意义。 客户端完整性检测模块的检测流程如下
(1)用户使用802.Ix认证模块，发起连接请求，即向认证者系统发送EAPOL-Start报
文；
(2)认证者系统收到请求认证的数据报文后，发送EAP-Request/Identity请求报文给 客户端系统，要求802. Ix认证模块发送用户输入的用户名；
(3)802. Ix认证模块响应认证者系统请求，通过EAP-Response/Identity报文将用户 名发给认证者系统；
(4)认证服务器收到认证者系统转发的用户名信息后，认证服务器根据用户名确定和 该用户绑定的USBKEY认证信息；
(5)认证者系统向客户端发送EAP-Request/Notification报文，要求客户端发送客户 端完整性检测模块检测的完整性检测信息；
(6)802. Ix认证模块响应认证者系统请求，首先利用MD5算法计算802. Ix认证模块、 网络接入设备监控模块、USBKEY监控模块、分组过滤引擎的可执行文件的散列值，再对各模 块的散列值进行求和运算，然后以USBKEY中存储的唯一的ID作为密钥对散列运算的结果 进行加密生成完整性检测信息，并将完整性认证信息封装到EAP-Response/Notification 报文中，通过认证者系统转发到认证服务器；
(7)认证服务器收到完整性检测报文后，根据客户端系统发送的用户名信息在认证服 务器数据库中提取和用户绑定的USBKEY的ID，使用USBKEY的ID作为密钥进行解密，将完 整性检测信息和认证服务器中存储的原版模块的散列值进行比较，如果相同，说明模块未 经变动，完整性检测通过，继续后续操作；否则说明模块已被非法改动，认证服务器将终止 与客户端的交互。 以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所做的均等变化与 修饰，皆应属本发明的涵盖范围。
权利要求
一种基于802.1x的接入控制系统，其特征在于包括客户端系统、认证服务器及认证者系统，所述的客户端系统包括802.1x认证模块，负责与所述认证者系统、认证服务器交互，发送和接受认证信息，完成用户认证和接入控制；网络接入设备监控模块，负责监控客户端网络接入设备的状态变化并通知802.1x认证模块；USB KEY监控模块，负责获取USB KEY状态变化信息和USB KEY内的认证信息，并通知802.1x认证模块；分组过滤引擎，通过分组过滤实现用户级的细粒度网络访问控制；客户端完整性检测模块，负责对客户端各模块的完整性进行检测，确保用户不能使用未经认证或更改过的客户端进行802.1x认证。
2.根据权利要求1所述的基于802.lx的接入控制系统，其特征在于所述的分组过 滤引擎的工作流程包括在客户端系统通过认证后，认证服务器从用户控制策略数据库中 提取和某个认证用户绑定的认证策略，封装入数据报后通过认证者系统返回认证策略给 802. lx认证模块，802. lx认证模块将认证策略中的网络访问控制策略部分通过802. lx认 证模块与PFE间的通信接口发送给PFE，PFE依据接收到的网络访问控制策略设置分组过滤 规则，并依据分组过滤规则对客户端上特定用户发送和接收的数据包进行过滤。
3.根据权利要求1所述的基于802.lx的接入控制系统，其特征在于所述客户端完整 性检测模块的检测流程包括(1)用户使用802.lx认证模块，发起连接请求，即向认证者系统发送EAPOL-Start报文；(2)认证者系统收到请求认证的数据报文后，发送EAP-Request/Identity请求报文 给客户端系统，要求802. lx认证模块发送用户输入的用户名；(3)802. lx认证模块响应认证者系统请求，通过EAP-Response/Identity报文将用户 名发给认证者系统；(4)认证服务器收到认证者系统转发的用户名信息后，认证服务器根据用户名确定和 该用户绑定的USBKEY认证信息；(5)认证者系统向客户端发送EAP-Request/Notification报文，要求客户端发送客户 端完整性检测模块检测的完整性检测信息；(6)802.lx认证模块响应认证者系统请求，首先利用MD5算法计算802. lx认证模块、网 络接入设备监控模块、USBKEY监控模块、分组过滤引擎的可执行文件的散列值，再对各模块 的散列值进行求和运算，然后以USBKEY中存储的唯一的ID作为密钥对散列运算的结果进 行加密生成完整性检测信息，并将完整性认证信息封装到EAP-Response/Notification报 文中，通过认证者系统转发到认证服务器；认证服务器收到完整性检测报文后，根据客户端系统发送的用户名信息在认证服务器 数据库中提取和用户绑定的USBKEY的ID，使用USBKEY的ID作为密钥进行解密，将完整性 检测信息和认证服务器中存储的原版模块的散列值进行比较，如果相同，说明模块未经变 动，完整性检测通过，继续后续操作；否则说明模块已被非法改动，认证服务器将终止与客 户端的交互。
全文摘要
本发明涉及一种基于802.1x的接入控制系统，其特征在于包括客户端系统、认证服务器及认证者系统，所述的客户端系统包括802.1x认证模块，负责与所述认证者系统、认证服务器交互，发送和接受认证信息，完成用户认证和接入控制；网络接入设备监控模块，负责监控客户端网络接入设备的状态变化并通知802.1x认证模块；USBKEY监控模块，负责获取USBKEY状态变化信息和USBKEY内的认证信息，并通知802.1x认证模块；本发明在原有802.1x接入控制系统的基础上，提供一个具有更高安全性、更细控制粒度、更好灵活性的接入控制系统。
文档编号H04L12/26GK101867588SQ201010228710
公开日2010年10月20日 申请日期2010年7月16日 优先权日2010年7月16日
发明者郭文忠, 陈国龙, 陈羽中 申请人:福州大学