专利名称:思科环境下的网络准入控制系统的制作方法
技术领域:
本实用新型涉及网络通信控制领域,特别涉及在思科环境下对网络终端设备接入网络的准入控制。
背景技术:
随着企事业单位信息化建设水平的逐步提高,各类应用系统相继部署,网络用户在享受到信息化带来的便捷和高效的同时,对网络和信息系统的依赖性也日益提高,而内部网络安全事件一旦发生,整个网络和信息系统的故障和被破坏将给所在机构的生产和工作带来灾难性的全局停顿和无法弥补的损失。在各种对网络数据和信息构成的安全风险中,内部漏洞和攻击造成的威胁远远大于从互联网穿越防火墙构成的威胁,而内部漏洞和攻击的源头则绝大部分被追溯到接入网络的各种终端设备。因此,对入网终端设备进行有效的接入控制和安全性检查、隔离修复将切实有效地大大减少内部威胁造成的安全风险。针对上述问题,目前安全业界普遍采用的是基于IEEE 802. Ix协议,如图1所示, 来进行端口级别的控制,其主要控制原理为初始状态下,在靠近用户一侧的以太网交换机上的所有端口均处于关闭状态,只有EAPoL (ΕΑΡ over LAN)数据流才能通过,其他任何类型的网络数据流,如动态主机配置协议、超文本传输协议(HTTP )、文件传输协议(FTP )、简单邮件传输协议(SMTP )和邮局协议 (P0P3)等都被禁止传输。此时,交换机上将具有一个标准或非标准的EAP (extensible authentication protocol)代理,用户PC机运行一个能够生成EAPoL报文的客户端与交换机通信。当用户PC 机发出携带用户名和口令的EAPoL报文时,交换机将用户提供的信息传送到后台的Radius 认证服务器上。如果用户名及口令通过了验证,则相应的以太网端口打开,允许用户访问。但是,基于802. Ix协议的准入控制方案存在使用上的极大不便,无法在端口打开后根据用户身份进行权限控制,另外在大部分环境下对hub的支持不足。首先,目前所有的802. Ix平台都要求入网用户必须安装进行认证的EAPoL客户端,这种情况存在许多缺陷其一、新入网设备如果未安装客户端,将无法通过认证进入网络,而此时没有任何提示信息,所有与网络中资源的联系均被切断,用户自身无法进行任何操作,如果依靠管理员手工安装EAPoL客户端,工作量将十分繁重;其二、网络中的许多非桌面型ip设备(如网络打印机)在无法安装客户端的情况下将被隔离出网络。其次,大部分的802. Ix认证都是基于端口的,认证通过后端口完全放开,无法根据入网用户身份角色的不同进行动态的权限控制,在入网用户权限无法规范的情况下,很容易导致内部重要资源的泄密。而对于大部分交换机而言,标准的802. Ix协议也无法解决端口下挂hub的情况。 IEEE 802. Ix协议是基于端口的,那么在端口下挂hub时,如果某一台设备通过认证打开交换机端口,那么同一 hub下广播域内的所有设备均无需认证就会直接入网,这是hub环境下
3的控制漏洞。最后,大部分的802. Ix架构中eap包的响应和处理都是基于软件方式的,在通用的某台服务器上,基于window系统安装radius程序后进行处理和控制,其响应速度和处理效率都受到整体硬件环境和操作系统的制约,无法应用于大规模、高性能要求的网络环境中。
发明内容针对现有技术存在网络准入控制系统使用极不方便,无法在端口打开后根据用户身份进行权限控制,且大部分环境下对hub的支持不足的缺陷,本实用新型提供一种对网络终端设备进行有效的接入控制和权限管理的网络准入控制系统。为实现上述发明目的,本实用新型采用如下的技术方案思科环境下的网络准入控制系统,包括电源、发出入网请求的终端设备、与请求的终端设备相连接的交换机,所述的交换机用于获知发出入网请求的终端设备的状态并产生查询数据,还包括准入控制模块,所述的准入控制模块与交换机相连,用于接收和处理查询数据、生成并传输应答数据到交换机,请求的终端设备与交换机之间通过数据线连接。发出入网请求的终端设备通过网线接入网络,交换机实时发现该设备并通过预先设置的规则产生查询数据,准入控制模块接收到查询数据后会产生查询动作,按照预先设置的规则生成应答数据,并将应答数据传输到交换机,交换机按照应答数据的指示来决定是否准入,或采取何种准入策略。作为优选,所述的准入控制模块包括PHY物理层芯片,用于发送查询数据和接收应答数据;Radius处理模块,用于处理查询数据和生成应答数据;Flash memory存贮模块,用于存贮设备状态和接入策略;所述的嵌入式Radius处理模块通过PHY物理层芯片与交换机相连接,所述的Flash memory存贮模块与Radius处理模块相连接。Radius模块收到从PHY物理层芯片发送过来的查询数据帧,并提取出相关字段中的数据,从Flash memory存贮模块中提取设备状态和接入策略,按照预先设定的规则,生成应答数据并向 PHY物理层芯片发送相关应答数据。作为优选,所述的准入控制模块还包括显示芯片电源,所述的显示芯片、电源均与 Radius处理模块相连接。显示芯片用于设备状态的显示,电源为嵌入式Radius处理模块提供电源支持。作为优选,所述的Radius处理模块包括ARM处理器、以太网控制器,所述的ARM处理器内嵌TCP/IP协议栈、Radius响应程序、uCOS操作系统。ARM处理器在uCOS操作系统上进行工作。所述的ARM处理器包括寄存器。所述的Radius响应程序是经过优化的基于 radius协议的分析程序。以太网控制器识别出PHY物理层芯片发送过来的查询数据以太帧,提取出其中的数据(ip数据报),交给上层;ARM处理器根据标准的TCP/IP协议栈,对数据进行层层解封装,通过Radius响应程序对解封装的数据进行分析,提取出radius协议相关的数据字段,存入ARM处理器的寄存器中;ARM处理器还根据查询数据以太帧中的Radius 相关查询字段向flash memory存贮模块发出读取指令,读取其中相关的设备状态字段和接入策略并放入ARM处理器的寄存器;ARM处理器处理寄存器中的radius协议相关的数据字段、设备状态字段、接入策略,得出相应的响应指令数据;ARM处理器根据标准的TCP/IP协议栈将响应指令数据和设备状态字段层层封装为应答数据以太帧并将应答数据以太帧发送给PHY物理层芯片。本实用新型的思科环境下网络准入控制系统具有以下有效效果在思科的网络环境中,其特有的radius的报文字段对传统的802. Ix认证报文进行了扩展,增加了设备状态(posture),接入策略(Access Policy)等一系列更精确的属性, 充分利用了本实用新型中radius处理模块依据设备状态计算出的应答指令与接入策略所对应的关系,利用不同的接入策略来通告思科网络设备对入网终端进行相应控制。由于上述技术方案中所描述的radius平台在通信过程中,充分利用了动态ACL 在网络设备(交换机)中的功能,并将入网终端的身份和安全性转化为一种“状态”—— posture的概念,这是指试图接入网络的电脑所拥有的一系列凭证和属性的集合,包含了用户电脑的状态或健康程度,以及电脑上安装的程序信息,本实用新型最终将单台设备-状态_安全策略_动态ACL进行了多项绑定,因此控制粒度更细,控制功能更灵活,克服了网络物理环境上的限制,克服了基于端口模式准入平台的技术局限性。
图1为基于IEEE 802. Ix协议的端口级别控制示意图。图2为实施例结构示意图。图3为下挂HUB的组网拓扑图。
具体实施方式
下面结合图2、图3与具体实施方式
对本实用新型做进一步的说明。思科环境下的网络准入控制系统,如图2所示,包括电源、依次连接的请求的终端设备1、交换机2,准入控制模块11,所述的准入控制模块11包括顺序连接的PHY物理层芯片3、Radius处理模块4、Flash memory存贮模块5,所述的准入控制模块11还包括显示芯片6、电源8,所述的显示芯片6、电源8均与Radius处理模块4相连接。所述的Radius 处理模块4包括ARM处理器9、以太网控制器10,所述的ARM处理器9内嵌TCP/IP协议栈、 Radius响应程序、uCOS操作系统。请求的终端设备(1)与交换机(2)之间通过数据线连接。预先将接入设备的设备状态和接入策略数据存储在Flash memory存贮模块5,设备状态字段包括healthy、quarantine, guest、static四种基本状态;其中,四种基本状态对应了 radius模块计算出的应答指令,指令中包括交换机需要应用的动态ACL名称,包括 redirect-ACL、guest-ACL、permit-ACL 三种基本 ACL。三种基本 ACL 需要 radius 模块和交换机进行事先的协商确定(例如radius模块中加入对snmp协议的支持,对交换机进行管理后配置相应的ACL),确保应答指令中的ACL在交换机上切实存在。所述的应答数据报文包含的结构为
权利要求1.思科环境下的网络准入控制系统,包括电源、请求的终端设备(1)、与请求的终端设备(1)相连接的交换机(2),所述的交换机(2)用于获知请求的终端设备(1)的状态并产生查询数据,其特征在于还包括准入控制模块(11),所述的准入控制模块(11)与交换机(2) 相连,用于接收和处理查询数据、生成并传输应答数据到交换机(2),请求的终端设备(1) 与交换机(2)之间通过数据线连接。
2.根据权利要求1所述的思科环境下的网络准入控制系统,其特征在于所述的准入控制模块(11)包括PHY物理层芯片(3),用于发送查询数据和接收应答数据;Radius处理模块(4),用于处理查询数据和生成应答数据;Flash memory存贮模块(5),用于存贮设备状态和接入策略;所述的Radius处理模块(4)通过物理层芯片(3)与交换机(2)相连接,所述的Flash memory存贮模块(5)与Radius处理模块(4)相连接。
3.根据权利要求2所述的思科环境下的网络准入控制系统,其特征在于所述的准入控制模块(11)还包括显示芯片(6)、电源(8),所述的显示芯片(6)、电源(8)均与Radius处理模块(4)相连接。
4.根据权利要求2或3所述的思科环境下的网络准入控制系统,其特征在于所述的 Radius处理模块(4)包括ARM处理器(9 )、以太网控制器(10 ),所述的ARM处理器(9 )内嵌 TCP/IP协议栈、Radius响应程序、uCOS操作系统。
专利摘要本实用新型涉及网络通信控制领域,特别涉及在思科环境下对网络终端设备接入网络的准入控制。公开了网络准入控制系统,包括依次连接的发出入网请求的终端设备、交换机,准入控制模块,准入控制模块包括顺序连接的PHY物理层芯片、Radius处理模块、Flashmemory存贮模块,Radius处理模块包括ARM处理器、以太网控制器。本实用新型利用radius处理模块来应答设备状态和管理指令,是一种基于设备的准入技术,设备入网时无需利用客户端发出认证报文,能够克服hub的环境限制达到无客户端入网、友好引导、访问权限控制的准入效果,并且其专门的硬件处理模块能够有效的支撑大规模高性能网络的安全需求。
文档编号H04L12/56GK201976140SQ20112008176
公开日2011年9月14日 申请日期2011年3月25日 优先权日2011年3月25日
发明者夏红光, 毛壹明, 胡松苗 申请人:舟山电力局