一种网络准入控制管理平台及管理方法与流程

本发明涉及网络安全技术，特别涉及一种网络准入控制管理平台及管理方法，是一种对接入网络系统的用户、终端、交换机端口、IP地址、Vlan、终端信息（包含硬盘序列号、操作系统版本、操作系统安装时间、必须运行的进程和服务等）进行识别，最终控制其是否能够接入网络的网络安全管理平台及管理方法。

背景技术：

网络准入控制是指对网络的边界进行保护,对接入的终端进行合规性检测。在网络准入控制领域，最经常使用的技术是国际标准的AAA（Authentication Authorization Accounting）管理框架，其在以太网下使用的标准为IEEE802.1x标准，经常使用的协议为Radius协议。

AAA管理框架，即身份验证(Authentication)、授权 (Authorization)和计费 (Accounting)三者统一的系统及框架。这三种安全服务功能的具体作用如下：

认证：确认远端访问用户的身份，判断访问者是否为合法用户；

授权：对不同的用户授予不同的权限，限制用户可以使用的服务；

计费：记录用户使用网络中的所有操作，包括起始时间、数据流量等，它不仅是一种计费手段，也对网络安全起到监视作用。

802.1x标准，是一种基于端口的访问控制协议（port-based network access control protocol），是针对Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机认证通过之前，802.1x只允许通过EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口，认证通过后，正常的数据可以顺利通过以太网端口。

Radius（Remote Authentication Dial In User Service）协议，是NAS（Network Access Server）设备与AAA服务器之间运行的主流协议。RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、CHAP、PEAP、EAP-TLS或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。由于RADIUS协议简单明确，可扩充，因此得到了广泛应用，包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN（Virtual Private Dialup Networks、基于拨号用户的虚拟专用拨号网业务）、 IPSEC VPN接入、移动电话预付费等业务。

Radius认证过程是接入设备（NAS）与AAA服务器的交互过程，其认证步骤如下：

Step1：接入设备在连接网线后，NAS设备向客户端发送响应包，要求用户提供合法的身份标识，如用户名、密码；

Step2：客户端收到响应后，提供身份和标识给接入交换机。由于此时客户端还未经过验证，因此验证流只能从接入交换机的未授权的逻辑端口经过，接入交换机通过Radius协议将认证流发给AAA服务器，进行认证；

Step3：如果认证通过，则接入交换机的受控端口打开；否则，端口保持受限状态，设备无法入网。

通用的基于AAA的准入控制方案在应对国内有分级保护或等级保护要求的网络准入管理方面存在4大缺点：1、对接入终端设备的IP地址很难进行统一有效的控制，遇到安全事件可追溯性差。2、只对用户信息进行验证（身份验证），无法对接入网络的终端设备的其他信息进行验证，管理颗粒度太粗。3、实现网络授权比较繁琐、不灵活，NAS设备的日常管理工作量无任何减少。4、检查终端信息必须另外安装客户端，部署麻烦，客户端兼容性也存在致命问题。

首先，在使用标准的AAA解决方案中，用户使用IP地址的管理方式有两种：一种是动态DHCP模式，一种是静态设置模式。不管使用哪种IP地址管理方式都无法通过统一的管理平台对IP地址进行有效的控制与审计。

其次，AAA标准下，只对接入设备的EAP（用户）信息进行核对，无法对其他信息进行核实，用户需要终端设备在入网时对终端的入网时间、入网设备的MAC地址、接入的端口等信息进行有效控制，此标准下无法管理。

再次，用户接入网络无有效的方式对其使用的VLAN信息进行有效的策略下发。管理异常麻烦。

最后，现在AAA解决方案中几乎全部使用安装客户端的方式来进行有效的网络准入控制管理和终端信息（包含硬盘序列号、操作系统版本、操作系统安装时间、必须运行的进程和服务等）检测，安装客户端会使终端性能大打折扣、兼容性也存在问题、实施部署异常麻烦。

技术实现要素：

为了克服上述现有技术存在的缺陷，本发明提供一种网络准入控制管理平台及管理办法，实现了对各个品牌的NAS设备、各种终端的网络准入的快速管理。形成了一套不需要在终端上另外安装客户端软件的，融合了网络准入控制、IP地址集中管控、终端策略检测等功能的网络准入控制管理平台。

为了实现上述目的，本发明技术方案之一是提供一种网络准入控制管理平台，包括：入网策略检测系统；IP地址集中管控系统；终端策略检测系统。所述入网策略检测系统对设备入网策略进行检测，所述IP地址集中管控系统对入网终端IP地址进行分配，所述终端策略检测系统对入网终端的终端策略进行检测。

作为优选，本发明所述入网策略检测系统，将Radius协议进行扩展，除了对用户凭证进行验证之外还对Radius协议中AVP属性的CallingStationID，NASPort，NASPortType，NASPortID，TimeStamp，NASIPAddress即终端接入时的MAC地址、接入交换机IP、接入交换机端口、接入交换机端口类型、接入时间等进行验证。对入网成功的终端，根据数据库中对此终端已经分配的网络Vlan信息对AVP中的Tunnel-Medium-Type,Tunnel-Pvt-Group-ID,Tunnel-Type属性进行调整，授权终端入网的Vlan信息，实现NAS设备的动态Vlan效果。

作为优选，本发明所述IP地址集中管控系统在现有DHCP机制上进行扩展，实际是一种受控的DHCP服务机制，对入网的终端可根据平台中管理员预先分配好的IP地址与MAC地址对应关系对IP地址进行下发，以达到对IP地址集中控制的目的。

作为优选，本发明所述终端策略检测系统，使用WMI接口从服务器端远程探测终端的相关信息，避免另外安装客户端的繁琐工序与兼容性问题。达到终端策略检测目的。

作为优选，本发明所述入网策略检测系统，包括身份认证模块、MAC地址检测模块、交换机及交换机端口检测模块、入网时间检测模块、Vlan推送模块。其可对入网终端的入网时间、入网身份、MAC地址、交换机及交换机端口进行检测。检测通过后可根据平台中录入的策略信息把终端分配至对应Vlan中，避免用户在CLI或者交换机管理界面下对交换机端口划分Vlan的麻烦。检测不通过，将终端推送至预先设置的隔离Vlan中或者直接关闭此交换机端口，为了适应用户需求，本平台的隔离VLAN可以根据安全级别进一步细分，可以根据终端设备的安全级别将不符合入网策略的终端推送至对应安全级别的隔离VLAN中，保证不同安全级别的终端之间的通信安全。

作为优选，本发明所述IP地址集中管控系统，包括IP地址下发模块、IP地址保留模块、IP地址回收（强制、自动）模块，终端在成功通过入网策略检测后，IP地址控制系统根据平台中分配的IP地址对终端进行强制IP推送。在IP地址控制系统中保留的IP地址，网络中无法使用。用户可手动的进行IP地址的强制回收工作或者在分配时设置自动回收的时间，待时间到达触发自动回收条件时，系统对IP自动回收，保证IP资源最大化利用率。

作为优选，本发明所述终端策略检测系统，包括基础检测模块、进程检测模块、服务检测模块、安装项检测模块、补丁检测模块、端口检测模块、硬件检测模块、终端安全策略检测模块、屏幕保护设置检测模块。终端设备通过入网策略检测，IP地址控制系统对其下发了IP地址后，终端策略检测系统开始对终端进行策略检测，此模块使用了WMI接口，无需终端安装任何客户端，即可实现上述终端检测功能。如检测不符，将终端推送至预先设置的隔离Vlan中或者直接关闭此交换机端口。

本发明的技术方案之二是提供一种网络准入控制管理平台的管理方法，包括如下步骤：

A、终端入网与NAS设备进行EAPoL通信；NAS设备与入网策略检测系统进行Radius通信；

B、对步骤A中的终端身份进行核实，并查找步骤A中的终端在平台中分配的Vlan信息；

C、对步骤A中的终端入网策略进行检查，检查不通过，则对NAS设备的端口下发隔离Vlan，检测通过，则对NAS设备的端口下发步骤B中的Vlan信息；

D、对步骤A中的终端进行日志记录；

E、对步骤A中的终端进行IP地址推送，IP地址控制系统根据系统中的分配策略，对步骤A中的终端推送IP地址；

F、终端策略检测模块对步骤A中的终端进行终端策略检查，检查不通过，将NAS设备接入端口推送至隔离Vlan；

G、对步骤A中的终端进行终端策略检查行为的记录。

本发明的有益效果是，全面实现接入交换机零维护，无客户端模式下，基于身份、MAC、交换机端口、时间的网络准入、IP地址全生命周期管理、终端策略检查的统一融合管理，提高了网络准入的安全性，实现了设备接入网络的管理自动化。

附图说明

图1为本发明管理平台的结构图。

图2为本发明管理方法的入网逻辑图。

图3为本发明管理方法的入网流程图。

具体实施方式

为了使本发明的创作特征、技术手段与达成目的易于明白理解，以下结合具体实施例进一步阐述本发明：

实施例：

一种网络准入控制管理平台，包括如图1所示入网策略检测系统（S1），IP地址集中管控系统(S2)，终端策略检测系统（S3），所述入网策略检测系统（S1）对入网设备的身份、MAC地址、接入的交换机端口、入网时间进行准入控制，所述IP地址集中管控系统（S2）对IP地址下发、IP地址保留、IP地址回收进行控制，所述终端策略检测系统（S3）对终端健康性、应用管理等进行实时监测。

参看图2，一种网络准入控制管理方法，包括逻辑步骤如下：终端入网与NAS设备进行EAPoL通信s1，NAS设备与入网策略检测系统进行Radius通信s2，入网策略检测系统去LDAP用户服务器核对用户身份与密码s3，如此终端的终端策略还未检测，则检测其入网策略的合法性，如此终端的终端策略不符则拒绝入网，置入隔离vlan s4，入网失败的进入隔离Vlan IP控制系统下发隔离Vlan地址，入网成功通知终端策略检测系统A终端入网成功s5，IP地址控制系统下发平台中对A分配的IP地址并通知终端策略检测系统A终端地址为X s6，终端策略检测系统对A的终端策略进行检测s7，如检测不符，则通知入网策略检测系统A终端的终端策略不符s8，重启交换机端口，入网策略检测系统将A强制置入隔离Vlan s9。

参看图3，一种网络准入控制管理方法，其流程如下：终端入网，入网策略检测系统检测其入网的合法性，对其MAC地址、交换机端口、帐号密码、入网时间进行检测，检测不合格，强制终端进入隔离Vlan。检测合格，终端进入系统分配的对应Vlan，IP地址集中管控系统按照系统中管理员预先分配的地址信息，将IP地址分配至终端，终端策略检测系统检测其终端策略，对机器名、硬盘序列号、操作系统等进行检测，检测合格，成功入网。检测不合格，强制终端进入隔离Vlan。