一种加强型网络准入系统及方法与流程

本发明涉及网络安全，具体涉及一种加强型网络准入系统及方法。

背景技术：

1、802.1x是一个广泛使用在入网许可系统的通信协议，特点是基于端口实施网络访问控制。客户端缺省被拒绝访问网络，除非通过了身份认证并获取了授权。整个802.1x的实现设计三个部分，请求者系统、认证系统和认证服务器系统。请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备，用户通过启动客户端软件发起802.lx认证。认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.lx协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口也可以是逻辑端口，一般在用户接入设备(如lan switch和ap)上实现802.1x认证。认证服务器是为认证系统提供认证服务的实体，一般使用radius服务器来实现认证服务器的认证和授权功能。

2、目前大多数手持终端都支持基于802.1x的eap认证，输入相应的用户名密码，即可自动完成认证。pc设备上一般通过浏览器输入用户名密码，授权后即可访问网络，也有其他的方式，如短信认证、访客认证等。

3、当前方案一是必须输入用户认证凭证，如用户名、密码等，入网效率较低，二是账户等凭证数据容易被非法获取和使用，三是隐私数据容易被泄露。

技术实现思路

1、针对当前入网过程存在的问题，本发明提供一种加强型网络准入系统及方法。

2、第一方面，本发明技术方案提供一种加强型网络准入系统，包括网络访问控制终端和与网络访问控制终端连接的客户端、认证服务器和网络管控终端；认证服务器和网络管控终端连接；

3、客户端，用于保存入网凭证，入网时将入网凭证发送给网络访问控制终端，并根据网络访问控制终端转发的入网凭证的认证结果访问网络；

4、网络访问控制终端，用于将客户端发送的入网凭证转发给认证服务器，同时将客户端的标识以及客户端的入网凭证发送给网络管控终端，接收认证服务器返回的入网凭证的认证结果并根据所述认证结果控制客户端访问网络；

5、认证服务器，用于接收网络访问控制终端转发的入网凭证，对所述入网凭证进行认证，并返回认证结果给网络访问控制终端；

6、网络管控终端，用于接收网络访问控制终端转发的入网凭证，判断所述入网凭证是初始入网凭证时，生成新的入网凭证并将新的入网凭证发送给认证服务器进行存储，同时将新的入网凭证通过网络访问控制终端转发给客户端。

7、作为本发明技术方案的优选，客户端设置有可信执行环境，所述可信执行环境用于存储入网凭证，入网时将存储的入网凭证提交给网络访问控制终端。

8、作为本发明技术方案的优选，网络访问控制终端设置有可信执行环境；

9、网络管控终端，用于监测网络入侵事件和/或接收外部的入侵检测系统发送的入侵事件消息，发现入侵时发送阻断指令给网络访问控制终端；

10、网络访问控制终端，用于接收到阻断指令后切换到自身的可信执行环境并在所述可信执行环境发送清除指令给客户端；

11、客户端，用于响应清除指令切换到客户端自身的可信执行环境并在可信执行环境下清除认证通过标识断开网络连接。

12、作为本发明技术方案的优选，客户端和网络访问控制终端的数量为若干个；

13、每个客户端内置一个网络访问控制终端的ip，入网时客户端将入网凭证发送给所述ip对应的网络访问控制终端；

14、网络访问控制终端，用于接收到客户端发送的入网凭证时，将自身的nac标识、请求入网的客户端的标识以及客户端的入网凭证发送给网络管控终端；

15、网络管控终端，用于根据接收到的网络访问控制终端发送的nac标识判断是新的网络访问控制终端时，更新本地存储的网络访问控制终端列表；还用于根据接收到的nac标识和请求入网的客户端的标识生成nac与客户端对应关系表进行存储；

16、网络访问控制终端的可信执行环境中设置有网络准入服务程序；网络管控终端指定网络访问控制终端启动可信执行环境中设置的网络准入服务程序，同时根据nac与客户端对应关系表通知相应的客户端使用指定的网络访问控制终端及在报文中使用可信执行环境服务的标志。

17、作为本发明技术方案的优选，网络管控终端，用于监控网络访问控制终端与客户端的连接状态，当监控到网络访问控制终端对应连接的客户端数据量超过设置的阈值时，选择部分该网络访问控制终端连接的客户端，通过网络访问控制终端转发使用新网络访问控制终端的消息给选择的客户端，并更新nac与客户端对应关系表；

18、客户端，用于接收到使用新网络访问控制终端的消息后，切换到自身的可信执行环境保存收到的新网络访问控制终端的数据。

19、作为本发明技术方案的优选，网络管控终端设置有人工维护接口，用于接收用户通过所述人工维护接口输入的客户端标识、nac标识进行客户端的选择。

20、作为本发明技术方案的优选，网络管控模块与一个网络访问控制终端通信，定义该网络访问控制终端为第一网络访问控制终端，给第一网络访问控制终端发消息，要求所述第一网络访问控制终端在本地可信执行环境中启动新网络准入服务程序；第一网络访问控制终端启动运行于可信执行环境中的网络准入服务程序后，所述第一网络访问控制终端上同时存在着至少两个使用不同的服务端口的网络准入服务，两个网络准入服务包括一个可执行环境外网络准入服务和一个可执行环境内网络准入服务；

21、网络访问控制终端的可信执行环境中设置有网络准入服务程序；

22、网络管控终端，用于指定网络访问控制终端启动可信执行环境中设置的网络准入服务程序，同时根据nac与客户端对应关系表通知相应的客户端使用指定的网络访问控制终端及在报文中使用可信执行环境服务的标志；具体用于查找nac与客户端对应关系表确定有隐私需求的客户端目前所使用的网络访问控制终端，通过查找到的网络访问控制终端转发更换网络访问控制终端及使用可信执行环境网络准入服务的消息给确定有隐私需求的客户端，并更新本地的nac与客户端对应关系表；

23、所述客户端，用于收到所述消息后切换到自身的可信执行环境，保存新的网络访问控制终端的数据并设置使用可信执行环境服务标志，同时连接新的网络访问控制终端上的可信执行环境中的网络准入服务，并重新发起入网凭证进行认证，认证通过后，所述客户端的网络通信数据全部由新的网络访问控制终端上可信执行环境中的网络准入服务程序代理转发。

24、第二方面，本发明技术方案还提供一种基于第一方面所述系统的加强型网络准入方法，包括如下步骤：

25、客户端将入网凭证发送给网络访问控制终端；

26、网络访问控制终端将客户端发送的入网凭证转发给认证服务器；同时将客户端的标识以及客户端的入网凭证发送给网络管控终端；

27、认证服务器接收网络访问控制终端转发的入网凭证，将接收到的所述入网凭证与本地存储的凭证进行一致判断；当判断一致时，回复放行消息给网络访问控制终端；

28、网络访问控制终端将接收到的放行消息转发给客户端，客户端与网络访问控制终端的链路接通，网络访问控制终端正常转发客户端的数据；

29、网络管控终端接收网络访问控制终端转发的入网凭证，判断所述入网凭证是初始入网凭证时，生成新的入网凭证并将新的入网凭证发送给认证服务器进行存储，同时将新的入网凭证通过网络访问控制终端转发给客户端。

30、作为本发明技术方案的优选，客户端将入网凭证发送给网络访问控制终端的步骤包括：

31、客户端内的可信执行环境将存储的入网凭证提交给网络访问控制终端。

32、作为本发明技术方案的优选，该方法还包括：

33、网络管控终端监测网络入侵事件和/或接收外部的入侵检测系统发送的入侵事件消息，发现入侵时发送阻断指令给网络访问控制终端；

34、网络访问控制终端接收到阻断指令后切换到网络访问控制终端的可信执行环境并在所述可信执行环境发送清除指令给客户端；

35、客户端响应清除指令切换到客户端的可信执行环境并在可信执行环境下清除认证通过标识断开网络连接。

36、作为本发明技术方案的优选，该方法还包括：网络访问控制终端接收到客户端发送的入网凭证时，将自身的nac标识、请求入网的客户端的标识以及客户端的入网凭证发送给网络管控终端；

37、网络管控终端根据接收到的网络访问控制终端发送的nac标识判断是新的网络访问控制终端时，更新本地存储的网络访问控制终端列表；同时根据接收到的nac标识和请求入网的客户端的标识生成nac与客户端对应关系表进行存储。

38、作为本发明技术方案的优选，该方法还包括：

39、网络管控终端监控网络访问控制终端与客户端的连接状态，当监控到网络访问控制终端对应连接的客户端数据量超过设置的阈值时，选择部分该网络访问控制终端连接的客户端，通过网络访问控制终端转发使用新网络访问控制终端的消息给选择的客户端，并更新nac与客户端对应关系表；

40、客户端接收到使用新网络访问控制终端的消息后，切换到自身的可信执行环境保存收到的新网络访问控制终端的数据。

41、作为本发明技术方案的优选，该方法还包括：网络管控终端指定网络访问控制终端启动可信执行环境中设置的网络准入服务程序，同时根据nac与客户端对应关系表通知相应的客户端使用指定的网络访问控制终端及在报文中使用可信执行环境服务的标志。

42、作为本发明技术方案的优选，网络管控终端指定网络访问控制终端启动可信执行环境中设置的网络准入服务程序，同时根据nac与客户端对应关系表通知相应的客户端使用指定的网络访问控制终端及在报文中使用可信执行环境服务的标志的步骤包括：

43、网络管控终端指定网络访问控制终端启动可信执行环境中设置的网络准入服务程序，同时根据nac与客户端对应关系表通知相应的客户端使用指定的网络访问控制终端及在报文中使用可信执行环境服务的标志；具体用于查找nac与客户端对应关系表确定有隐私需求的客户端目前所使用的网络访问控制终端，通过查找到的网络访问控制终端转发更换网络访问控制终端及使用可信执行环境网络准入服务的消息给确定有隐私需求的客户端，并更新本地的nac与客户端对应关系表；

44、所述客户端收到所述消息后切换到自身的可信执行环境，保存新的网络访问控制终端的数据并设置使用可信执行环境服务标志，同时连接新的网络访问控制终端上的可信执行环境中的网络准入服务，并重新发起入网凭证进行认证，认证通过后，所述客户端的网络通信数据全部由新的网络访问控制终端上可信执行环境中的网络准入服务程序代理转发。

45、从以上技术方案可以看出，本发明具有以下优点：扩充了网络准入系统的业务应用场景，丰富了复杂应用场景下的网络管理控制方式，解决了必须由用户输入认证凭证导致的准入系统本身的安全问题，客户端的无感接入方式提升了网络使用效率和用户体验。结合tee技术加强了系统对数据保密性的保障，强化了认证凭证数据的机密性、完整性等，加强了敏感数据如财务数据的机密性、完整性，加强了网络准入控制方式的机密性。通过引入网络管控组件，带来了网络准入系统的高可用性和负载均衡等特性。

46、此外，本发明设计原理可靠，结构简单，具有非常广泛的应用前景。

47、由此可见，本发明与现有技术相比，具有突出的实质性特点和显著地进步，其实施的有益效果也是显而易见的。