CN107332803A - 一种基于终端主机安全状态的准入控制方法和系统 - Google Patents

Abstract

本发明公开了一种基于终端主机安全状态的准入控制方法，该方法包括：通过判定访问网络资源的接入终端的接入状态，判断将所述接入终端直接切换为入网设备或进入准入阶段；所述准入阶段包括管理注册、注册审核、安全检测、认证和权限管理。本发明通过分阶段达到了设备安全、人员安全和网络资源访问安全的目的，细化了设备入网流程；通过多状态，使入网流程更加的精细化，达到了对处于不同状态设备进行精确的入网控制，通过权限控制，达到不同设备不同使用者的差异化控制。

Description

一种基于终端主机安全状态的准入控制方法和系统

技术领域

本发明涉及网络安全及准入控制领域，具体涉及一种基于终端主机安全状态的准入控制方法和系统。

背景技术

目前准入控制领域按照 7 层协议划分的话，主要分为接入层准入控制和网络层基于 IP 的准入控制，接入层控制主要有 802.1x 认证，但 802.1x 认证存在一定的缺陷，一方面由于 802.1x 是基于端口级别的认证，一旦认证通过就无法做进一步的访问控制，造成一定的安全问题，另一方面如果此端口下接的是 NAT 设备的话，只要 NAT 下有一个终端认证通过，其余终端也就被认为安全的，无法实现精确的接入控制，而网络层准入控制，主要有 PORTAL 认证， PORTAL 认证使用方便，但同时也存在一些弊端，无法对接入设备进行合法性判断，只能对使用者做合法性校验，所以容易产生设备本身不安全或者存在漏洞、病毒而对网络产生威胁。

发明内容

本发明的目的在于，为解决上述技术问题，提供一种能够同时对接入设备进行合法性判断及使用者做合法性校验的基于终端主机安全状态的准入控制方法和系统。

为解决上述技术问题，本发明采用如下的技术方案：一种基于终端主机安全状态的准入控制方法，该方法包括：通过判定访问网络资源的接入终端的接入状态，判断将所述接入终端直接切换为入网设备或进入准入阶段；所述准入阶段包括管理注册、注册审核、安全检测、认证和权限管理。

如前述的基于终端主机安全状态的准入控制方法，分为如下步骤：

S1 、审查接入终端是否处于准入控制系统的白名单中，若是直接切换为入网设备；若不是，则所述接入终端进入准入阶段，并且，所述接入终端的 http 访问将被重定向到注册界面；

S2 、接入终端进行注册，在注册界面登记接入终端及其使用者的相关信息；

S3 、在所述接入终端完成注册后，将对其进行合法性审核，审核通过后所述接入终端被切换为注册设备，审核未通过的所述接入终端，其 http 访问将重定向至注册界面；

S4 、对审核通过后的所述注册设备，根据定制的安全策略进行安全检测，检测注册设备及其运行环境是否符合安全要求，并依据检测结果对注册设备进行状态迁移；

S5 、安全检测未通过的注册设备仍然处于准入阶段，需重新进行安全检测；；

S6 、注册设备通过安全检测后，对注册设备的使用者进行身份认证，并根据身份认证结果对注册设备进行状态迁移；

S7 、身份认证未通过的注册设备仍然处于准入阶段，需重新进行身份认证；

S8 、注册设备通过身份认证后，将被切换为入网设备；

S9 、对所述入网设备进行权限控制。

如前述的基于终端主机安全状态的准入控制方法，所述判定访问网络资源的接入终端的接入状态具体包括：根据接入终端访问网络资源中发生的流量，准入控制系统接收所述流量，并提取流量中的 IP 信息，检查所述 IP 信息是否在所述白名单的列表中。

如前述的基于终端主机安全状态的准入控制方法，所述步骤 S2 之前还包括：所述接入终端在客户端下载模块下载客户端，在完成客户端下载前接入终端访问 http 请求都会被重定向到注册界面。

如前述的基于终端主机安全状态的准入控制方法，所述步骤 S2 还包括：客户端将注册设备的唯一标识 ID 上报至准入控制系统，准入控制系统依据 ID 号来识别设备。

如前述的基于终端主机安全状态的准入控制方法，所述步骤 S3 还包括：所述客户端检测接入终端本身的安全性，所述安全性包括：是否存在安全漏洞，是否安装杀毒软件，是否安装了必要的安全管理软件；所述客户端将安全性检测结果扫描并且上报准入控制系统。

如前述的基于终端主机安全状态的准入控制方法，所述准入系统依据安全检测的结果对注册设备进行状态迁移，具体为：

若安全检测通过，则进入到认证阶段；若安全检测不通过，则将注册设备置为隔离状态，处于隔离状态的设备等待下一次安全检测。

如前述的基于终端主机安全状态的准入控制方法，所述根据身份认证结果对注册设备进行状态迁移，具体包括：

身份认证通过，进入入网阶段，身份认证不通过仍然处于未认证状态，等待下一次认证。

如前述的基于终端主机安全状态的准入控制方法，在所述准入阶段的设备只能访问权限控制中允许访问的隔离域资源。

如前述的基于终端主机安全状态的准入控制方法，所述入网设备在超过一定时限没有进行任何操作后，自动切换为离线设备；离线设备要重新入网，则需再次进行准入控制流程。

本发明又提供一种基于终端主机安全状态的准入控制系统，包括：

白名单模块，用于审查接入终端是否处于准入控制系统的白名单中，若是直接切换为入网设备；若不是，则所述接入终端进入准入阶段，并且，所述接入终端的 http 访问将被重定向到注册界面；

设备管理模块，用于对所述接入终端进行注册，在注册界面登记接入终端及其使用者的相关信息；在所述接入终端完成注册后，将对其进行合法性审核，审核通过后所述接入终端切被换为注册设备，审核未通过的所述接入终端，其 http 访问将重定向至注册界面；

安检模块，用于对审核通过后的所述注册设备，根据定制的安全策略进行安全检测，检测注册设备及其运行环境是否符合安全要求，并依据检测结果对注册设备进行状态迁移；

设备状态迁移模块，通过设备所处的不同阶段将设备切换到不同的状态；

认证模块，用于在注册设备通过安全检测后，对注册设备的使用者进行身份认证，并根据身份认证结果对注册设备进行状态迁移；

权限管理模块，用于对通过身份认证后进入入网状态的注册设备进行权限控制；

接收和发送模块，用于系统与终端进行通信；同时产生 http 报文控制接入终端及注册设备的行为，具体为产生 tcp 回复包影响终端的链接进行控制；

重定向模块，用于在所述接入终端注册失败、审核失败、安全检测失败、认证失败和所拥有的权限不能访问某些资源时，为其显示当前结果并提供引导性操作，将其重定向至相应的准入阶段。

与现有技术相比，本发明通过判定访问网络资源的接入终端的安全状态，判断将所述接入终端直接切换为入网设备或进入准入阶段；所述准入阶段包括管理注册、注册审核、安全检测、认证和权限管理，从而能够对设备的唯一性和对设备本身做安全检查，确保设备的安全，并且对使用设备的人做认证，确保使用者安全合法，到达入网阶段后，使用者还要受到权限管控，达到不同的使用者具有不同的访问权限，从而实现精确的接入控制。

附图说明

图 1 为本发明第一实施例提供的一种基于终端主机安全状态的准入控制方法流程图；

图 2 为本发明第二实施例提供的一种基于终端主机安全状态的准入控制系统结构图；

图 3 为本发明第三实施例提供的一种基于终端主机安全状态的准入控制系统的部署示意图。

下面结合附图和具体实施方式对本发明作进一步的说明。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。

如图 1 所示，本实施例公开了一种基于终端主机安全状态的准入控制方法，该方法包括：通过判定访问网络资源的接入终端的接入状态，判断将所述接入终端直接切换为入网设备或进入准入阶段；所述准入阶段包括管理注册、注册审核、安全检测、认证和权限管理。

本实施例中通过分阶段：管理注册、注册审核、安全检测、认证和权限管理，达到了设备安全、人员安全和网络资源访问安全的目的，细化了设备入网流程。

在一个具体的例子一中，前述的基于终端主机安全状态的准入控制方法，该方法分为如下步骤：

S1 、审查接入终端是否处于准入控制系统的白名单中，若是直接切换为入网设备；若不是，则所述接入终端进入准入阶段，并且，所述接入终端的 http 访问将被重定向到注册界面；因而能够加强准入流程的易用性，对于某些用户和该用户使用的设备，当其在之前就已经通过了准入阶段，并且已处于准入控制系统的白名单中时，就能够直接切换为入网设备并进行资源访问。

、接入终端进行注册，在注册界面登记接入终端及其使用者的相关信息；

S3 、在所述接入终端完成注册后，将对其进行合法性审核，审核通过后所述接入终端被切换为注册设备，审核未通过的所述接入终端，其 http 访问将重定向至注册界面；

其中，所述合法性审核包括人工审核和实名审核，人工审核是通过管理员直接去审核该注册设备，主要去审核该设备的注册者，电话，邮箱等基本的注册信息去决定是否通过审核；实名审核是使用注册信息匹配系统的实名列表，实名列表包括基本的注册者、电话、邮箱、 IP 地址等数据，只有通过实名审核的设备才能进入下一阶段；

S4 、对审核通过后的所述注册设备根据定制的策略进行安全检测，检测注册设备的运行环境是否符合安全要求，并依据检测结果对注册设备进行状态迁移；

因而能够确保设备的安全性，比如防止病毒，木马等。

其中，注册设备的安全性包括：设备是否安装了必要的杀毒软件，指定软件，补丁，是否关闭了远程桌面，共享资源，是否存在必须启动的服务，进程信息；设备的这些基本检查信息由系统提供的准入客户端扫描得到，然后上报到控制系统；

S5 、安全检测未通过的注册设备仍然处于准入阶段，需重新进行安全检测；

因而可以访问一些不是很重要但又是必须要用到的资源，举例如下：

如果安检失败的原因是没有安装杀毒软件，那么就可以把杀毒软件隔离域中，这样就可以下载并安装，然后在重新安检，这样安检就能通过了。

、注册设备通过安全检测后，对注册设备的使用者进行身份认证，并根据身份认证结果对注册设备进行状态迁移；

因而确保使用者是安全的，举例如下：

如果接入设备注册，审核，安检都通过后，当外来人员拿到该设备后，因为他认证不成功，即这个人是不安全的，他是访问不了公司的内网资源的。

、身份认证未通过的注册设备仍然处于准入阶段，需重新进行身份认证；

S8 、注册设备通过身份认证后，将被切换为入网设备；

S9 、对所述入网设备进行权限控制；

因而可以对使用者进行资源访问管理，举例如下：

比如一台设备是属于财务部的，当该设备注册，审核，安全检测都通过后，如果是财务人员使用该设备，在认证成功后，财务人员就可以访问相关的财务信息，如果是研发人员，认证成功后，因为他是研发人员，即使设备是安全的，仍然无法访问财务信息。

其中，权限控制指对设备访问的资源的控制，准入系统通过对设备访问的目的域的获取，达到对不同的设备访问权限的控制，只有符合权限控制才放行，准许其访问资源，如果设备无权限访问某一资源，则准入系统会通过 http 阻断该访问链接；

入网设备也需要进行权限控制，不同的入网设备由于不同的使用者从而产生不同的权限，例如只有研发人员才能访问研发服务器，销售人员不能访问研发的服务器，虽然都是入网设备，但是由于设备的使用者的不用，访问的权限也会不同，从而达到精确控制。

因而能够通过部署准入控制系统，达到设备，使用者，核心资源的精确控制，保证网络的安全。

当接入终端在规定的时间内没有任何的网络资源访问行为发生，接入终端将被设置为离线设备，当该设备再次进行网络资源访问时，将会重新进行入网安全检查，这就在时间维度上保证了终端入网的安全性。

在一个具体的例子二中，例子一中的基于终端主机安全状态的准入控制方法，步骤 S1 中判定访问网络资源的接入终端的接入状态具体包括：根据接入终端访问网络资源中发生的流量，准入控制系统接收所述流量，并提取流量中的 IP 信息，检查所述 IP 信息是否在所述白名单的列表中。

在一个具体的例子三中，例子一中的基于终端主机安全状态的准入控制方法，所述步骤 S2 之前还包括：所述接入终端在客户端下载模块下载客户端，在完成客户端下载前接入终端访问 http 请求都会被重定向到注册界面。

在一个具体的例子四中，例子三中的基于终端主机安全状态的准入控制方法，所述步骤 S2 还包括：客户端将注册设备的唯一标识 ID 上报至准入控制系统，准入控制系统依据 ID 号来识别设备；因此即使 NAT 环境，也能确定此 NAT 下多设备的唯一性，解决 802.1x 存在的 NAT 环境下认证的问题。

在一个具体的例子五中，例子一中的基于终端主机安全状态的准入控制方法，所述步骤 S3 还包括：所述客户端检测接入终端本身的安全性，所述安全性包括：是否存在安全漏洞，是否安装杀毒软件；所述客户端将安全性检测结果扫描并且上报准入控制系统。

在一个具体的例子六中，例子一中的基于终端主机安全状态的准入控制方法，所述“准入系统依据安检的结果对注册设备进行状态迁移”的一种优选实施方式，具体包括图 1 中未示出的步骤具体为：

若安全检测通过，则进入到认证阶段；若安全检测不通过，则将注册设备置为隔离状态，处于隔离状态的设备等待下一次安全检测。

在一个具体的例子七中，例子一中的基于终端主机安全状态的准入控制方法，所述“根据身份认证结果对注册设备进行状态迁移”的一种优选实施方式，具体为：身份认证通过，进入入网阶段，身份认证不通过仍然处于未认证状态，等待下一次认证。

在一个具体的例子八中，例子一中的基于终端主机安全状态的准入控制方法，在所述准入阶段的设备只能访问权限控制中允许访问的隔离域资源。

在一个具体的例子九中，例子一中的基于终端主机安全状态的准入控制方法，所述入网设备在超过一定时限没有进行任何操作后，自动切换为离线设备；离线设备要重新入网，则需再次进行准入控制流程。

如图 2 所示，本实施例公开了一种基于终端主机安全状态的准入控制系统，包括：

白名单模块 11 ，用于审查接入终端是否处于准入控制系统的白名单中，若是直接切换为入网设备；若不是，则所述接入终端进入准入阶段，并且，所述接入终端的 http 访问将被重定向到注册界面；

设备管理模块 12 ，用于对所述接入终端进行注册，在注册界面登记接入终端及其使用者的相关信息；在所述接入终端完成注册后，将对其进行合法性审核，审核通过后所述接入终端切被换为注册设备，审核未通过的所述接入终端，其 http 访问将重定向至注册界面；

安检模块 13 ，用于对审核通过后的所述注册设备，根据定制的安全策略进行安全检测，检测注注册设备及其运行环境是否符合安全要求，并依据检测结果对注册设备进行状态迁移；

设备状态迁移模块 14 ，通过设备所处的不同阶段将设备切换到不同的状态；

认证模块 15 ，用于在注册设备通过安全检测后，对注册设备的使用者进行身份认证，并根据身份认证结果对注册设备进行状态迁移；

权限管理模块 16 ，用于对通过身份认证后进入入网状态的注册设备进行权限控制；

接收和发送模块：用于系统与终端进行通信；同时产生 http 报文控制接入终端及注册设备的行为，具体为产生 tcp 回复包影响终端的链接进行控制；

重定向模块 17 ，用于在所述接入终端注册失败、审核失败、安全检测失败、认证失败和所拥有的权限不能访问某些资源时，为其显示当前结果，并提供引导性操作，将其重定向至相应的准入阶段；

报文发送和接收模块 18 ，用于白名单模块 11 、设备管理模块 12 、安检模块 13 、设备状态迁移模块 14 、认证模块 15 和权限管理模块 16 提供需要的一些信息，比如 IP 地址， MAC 地址，注册信息，安全检测结果等，都是从报文中提取的，报文发送和接收就是提取这些信息供其他模块使用，是一个基础模块。

本实施例公开的基于终端主机安全状态的准入控制系统，可实现图 1 所示的基于终端主机安全状态的准入控制方法流程，因此，本实施例中的装置的效果及说明可参见图 1 所示的方法实施例，在此不再赘述。

在一个具体的例子十中，给出图 2 所示的白名单模块 11 的优选实施方式：所述白名单模块 11 还包括： IP 提取模块，用于根据接入终端访问网络资源中发生的流量，准入控制系统接收所述流量，并提取流量中的 IP 信息，检查所述 IP 信息是否在所述白名单的列表中。

在一个具体的例子十一中，给出图 2 所示的注册审核模块的优选实施方式：所述注册审核模块还包括：客户端下载模块，用于所述接入终端在客户端下载模块下载客户端，在完成客户端下载前接入终端访问 http 请求都会被重定向到注册界面。

在一个具体的例子十二中，给出图 2 所示的注册审核模块的优选实施方式：所述注册审核模块还包括： ID 绑定模块，用于客户端将注册设备的唯一标识 ID 上报至准入控制系统，准入控制系统依据 ID 号来识别设备。

在一个具体的例子十三中，给出图 2 所示的客户端的优选实施方式：所述客户端还包括：客户端安全性检查模块，所述客户端用其检测接入终端本身的安全性，所述安全性包括：是否存在安全漏洞，是否安装杀毒软件；所述客户端将安全性检测结果扫描并且上报准入控制系统。

在一个具体的例子十四中，给出图 2 所示的状态迁移模块 24 的优选实施方式：

所述状态迁移模块功能还包括：

若安全检测通过，则进入到认证阶段；若安全检测不通过，则将注册设备置为隔离状态，处于隔离状态的设备等待下一次安全检测。

在一个具体的例子十五中，给出图 2 所示的状态迁移模块 24 的优选实施方式，所述状态迁移模块功能包括：

身份认证通过，进入入网阶段，身份认证不通过仍然处于未认证状态，等待下一次认证。

在一个具体的例子十六中，给出图 2 所示的状态迁移模块 24 的优选实施方式，所述状态迁移模块功能还包括：身份认证通过，进入入网阶段，身份认证不通过仍然处于未认证状态，等待下一次认证。

如图 3 所示，本实施例公开了一种基于终端主机安全状态的准入控制系统的部署结构，包括：路由器 21 、核心交换机 22 、交换机 23 、认证服务器 24 、准入控制系统 25 和终端 26 ；所述核心交换机 22 连至路由器 21 、交换机 23 、认证服务器 24 和准入控制系统 25 ；所述交换机 23 连至终端 26 ；

所述认证服务器 24 用于存储用户认证信息；

所述准入控制系统 25 用于建立准入策略。

还包括：无线收发装置 27 ，所述无线收发装置 27 与所述交换机 23 连接，用于交换机 23 与终端 26 进行无线连接。

所述交换机 23 包括一个或多个。

本次发明可在实际环境中的核心交换机 22 上进行旁路部署，对原有的网络拓扑结构不会进行任何更改，使得部署非常简单。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (11)

1.一种基于终端主机安全状态的准入控制方法，其特征在于，该方法包括：通过判定访问网络资源的接入终端的接入状态，判断将所述接入终端直接切换为入网设备或进入准入阶段；所述准入阶段包括管理注册、注册审核、安全检测、认证和权限管理。

2.一种基于终端主机安全状态的准入控制方法，其特征在于，分为如下步骤：

S1、审查接入终端是否处于准入控制系统的白名单中，若是直接切换为入网设备；若不是，则所述接入终端进入准入阶段，并且，所述接入终端的http访问将被重定向到注册界面；

S2、接入终端进行注册，在注册界面登记接入终端及其使用者的相关信息；

S3、在所述接入终端完成注册后，将对其进行合法性审核，审核通过后所述接入终端被切换为注册设备，审核未通过的所述接入终端，其http访问将重定向至注册界面；

S4、对审核通过后的所述注册设备，根据定制的安全策略进行安全检测，检测注册设备及其运行环境是否符合安全要求，并依据检测结果对注册设备进行状态迁移；

S5、安全检测未通过的注册设备仍然处于准入阶段，需重新进行安全检测；

S6、注册设备通过安全检测后，对注册设备的使用者进行身份认证，并根据身份认证结果对注册设备进行状态迁移；

S7、身份认证未通过的注册设备仍然处于准入阶段，需重新进行身份认证；

S8、注册设备通过身份认证后，将被切换为入网设备；

S9、对所述入网设备进行权限控制。

3.如权利要求1所述的基于终端主机安全状态的准入控制方法，其特征在于，所述判定访问网络资源的接入终端的接入状态具体包括：根据接入终端访问网络资源中发生的流量，准入控制系统接收所述流量，并提取流量中的IP信息，检查所述IP信息是否在所述白名单的列表中。

4.如权利要求2所述的基于终端主机安全状态的准入控制方法，其特征在于，所述步骤S2之前还包括：所述接入终端在客户端下载模块下载客户端，在完成客户端下载前接入终端访问http请求都会被重定向到注册界面。

5.如权利要求4所述的基于终端主机安全状态的准入控制方法，其特征在于，所述步骤S2还包括：客户端将注册设备的唯一标识ID上报至准入控制系统，准入控制系统依据ID号来识别设备。

6.如权利要求4所述的基于终端主机安全状态的准入控制方法，其特征在于，所述步骤S3还包括：所述客户端检测接入终端本身的安全性，所述安全性包括：是否存在安全漏洞，是否安装杀毒软件，是否安装了必要的安全管理软件；所述客户端将安全性检测结果扫描并且上报准入控制系统。

7.如权利要求2所述的基于终端主机安全状态的准入控制方法，其特征在于，所述安检模块依据安全检测的结果对注册设备进行状态迁移，具体为：

若安全检测通过，则进入到认证阶段；若安全检测不通过，则将注册设备置为隔离状态，处于隔离状态的设备等待下一次安全检测。

8.如权利要求2所述的基于终端主机安全状态的准入控制方法，其特征在于，所述根据身份认证结果对注册设备进行状态迁移，具体包括：身份认证通过，进入入网阶段，身份认证不通过仍然处于未认证状态，等待下一次认证。

9.如权利要求2所述的基于终端主机安全状态的准入控制方法，其特征在于，在所述准入阶段的设备只能访问权限控制中允许访问的隔离域资源。

10.如权利要求2所述的基于终端主机安全状态的准入控制方法，其特征在于，所述入网设备在超过一定时限没有进行任何操作后，自动切换为离线设备；离线设备要重新入网，则需再次进行准入控制流程。

11.一种基于终端主机安全状态的准入控制系统，其特征在于，包括：

白名单模块，用于审查所述接入终端是否处于准入控制系统的白名单中，若是直接切换为入网设备，若不是，所述接入终端进入准入阶段；

设备管理模块，用于对所述接入终端进行注册，在注册界面登记接入终端及其使用者的相关信息，在完成注册前接入终端访问http的请求都会被重定向到注册界面；在所述接入终端完成注册后，将对其进行合法性审核，审核通过后所述接入终端切被换为注册设备；

安检模块，用于对审核通过后的所述注册设备，根据定制的安全策略进行安全检测，检测注册设备及其运行环境是否符合安全要求，并依据检测结果对注册设备进行状态迁移；

设备状态迁移模块，通过设备所处的不同阶段将设备切换到不同的状态；

认证模块，用于在注册设备通过安全检测后，对注册设备的使用者进行身份认证，并根据身份认证结果对注册设备进行状态迁移；

权限管理模块，用于对通过身份认证后进入入网状态的注册设备进行权限控制；

接收和发送模块，用于系统与终端进行通信；同时产生http报文控制接入终端及注册设备的行为，具体为产生tcp回复包影响终端的链接进行控制；

重定向模块，用于在所述接入终端注册失败、审核失败、安全检测失败、认证失败和所拥有的权限不能访问某些资源时，为其显示当前结果并提供引导性操作，将其重定向至相应的准入阶段。