技术领域
[0001] 本
发明涉及通信网络技术领域,尤其涉及一种基于ACL的TNC权限控制方法和系统。
背景技术
[0002] 随着互联网应用的迅速普及,人们与网络的关系变得越来越紧密。然而,由于互联网具有开放性、互联性等特征,致使网络存在很多不安全因素,恶意
软件的肆意攻击,黑客不轨的破坏行为都严重地威胁了人们的利益安全。因此,需要一套既能够保护计算机不受恶意攻击,又能够为
访问网络提供安全保障的解决方案。由可信计算组织(TCG)提出的TNC(Trusted Network Connect,可信网络连接)就是在这样的背景下产生的。
[0003] TNC是一个开放的通用架构,不依赖于具体的技术或者模型,但又能和各种技术进行良好的互操作。TNC架构利用并且结合现存的网络访问控制技术来提供下面的功能:
[0004] a、平台认证:验证一个网络访问
请求终端设备的平台身份和平台完整性验证。
[0005] b、终端完整性认证(授权):建立一个终端的可信等级,例如确保指令应用程序的表现,状态和软件版本,病毒签名
数据库的完整性,入侵检测和防御系统程序,以及终端
操作系统和程序的
补丁等级。策略遵从性也可以被看作是授权,这种意义上终端完整性检验被当作授权决策的输入来获得对网络的访问。
[0006] c、访问策略:确保终端机器和/或它的用户授权并且公开了他们的安全状况在连接网络之前,利用一些现有的标准、产品或者技术。
[0007] d、评估,隔离和修补:确保那些要求访问网络的系统,但是不满足终端安全策略需求,能够被隔离或者检查从网络的其他部分,并且如果可能进行适当的修补,例如更新软件或者病毒签名数据库来加强对安全策略的适应并且使与网络其他部分的连接变得合格。
[0008] 通过上述方法,TNC允许检验合格的终端能够接入网络,并且对检验不合格的终端,能够进行隔离修补。另外,通过对用户以及平台的认证,来确保用户及使用平台的合法性。
[0009] ACL(Access Control List,访问控制列表)是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
[0010] ACL是应用在路由器
接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、
服务器的关键作用。作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。ACL是用来实现数据识别功能的,ACL表由一条或若干条ACE(Access Control Entry,访问控制表项,即规则表项,也称为规则链)顺序链接而成。数据在ACE链中查找匹配规则,查找到匹配规则后,根据匹配规则定义的动作,对数据进行过滤。ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
[0011]
现有技术虽然一定程度上解决了网络接入控制、网络访问控制等问题,但是仍然存在安全状态检测程度不够的问题。
发明内容
[0012] 鉴于上述问题,提出了本发明的技术方案以便提供一种克服上述问题或者至少部分地解决或者减缓上述问题。
[0013] 根据本发明的一个方面,提供了一种基于ACL的TNC权限控制方法:
[0014] 请求终端设备通过身份认证发起网络接入请求,然后从决策服务器接收网络接入控制策略;
[0015] 请求终端设备按照网络接入控制策略执行安全可信检测,将检测结果发送到决策服务器;
[0016] 决策服务器根据检测结果和对访问控制列表ACL的查询结果判断请求终端设备安全状态,并将对应的安全域数字标签特征发送到请求终端设备;
[0017] 请求终端设备在后续网络访问过程中对网络数据包打数字标签,控制服务器根据网络数据包中数字标签判断请求终端设备网络访问是否合法。
[0018] 进一步的,所述决策服务器根据检测结果和对访问控制列表ACL的查询结果判断请求终端设备安全状态包括:
[0019] 所述决策服务器对检测结果进行解析,并与对应的安全可信策略预期值比对,从而得出请求终端设备的安全等级。
[0020] 进一步的,所述决策服务器根据检测结果和对访问控制列表ACL的查询结果判断请求终端设备安全状态包括:
[0021] 决策服务器根据用户名在访问控制列表ACL中查询请求终端设备的安全等级。
[0022] 进一步的,所述决策服务器根据检测结果和对访问控制列表ACL的查询结果判断请求终端设备安全状态包括:
[0023] 决策服务器对检测结果对应的安全等级和访问控制列表ACL的查询结果对应的安全等级进行加权和操作,并将加权和的结果与安全等级列表做比较,从而得到请求终端设备的安全等级。
[0024] 进一步的,所述决策服务器根据检测结果和对访问控制列表ACL的查询结果判断请求终端设备安全状态包括:
[0025] 决策服务器对检测结果对应的安全等级和访问控制列表ACL的查询结果对应的安全等级进行比较,将其中的低安全等级作为请求终端设备的安全等级。
[0026] 进一步的,所述决策服务器将对应的安全域数字标签特征发送到请求终端设备之后还包括:
[0027] 决策服务器更新安全可信域,并下发到网络接入控制者;
[0028] 控制服务器接收到更新的安全可信域后解析保存到本地内存中。
[0029] 进一步的,所述方法还包括对于不同等级的安全可信域,网络跨域访问控制操作步骤,具体如下:
[0030] 请求终端设备接收到数字标签后,将数字标签下发到
内核网络过滤
驱动器;
[0031] 网络过滤驱动器
对流出的网络数据包进行拦截,
修改数据包中IP部分,对网络数据包进行打标签,重新计算数据包校验和,更新到数据包中,将数据包通过网络设备发送出去;
[0032] 所述控制服务器拦截网络数据包,解析出IP地址和数字标签信息;
[0033] 在控制服务器保存在本地内存中的安全可信域中查找对比IP地址与数字标签,根据IP地址与数字标签判断网络中目的地址是否处于同一安全可信域中。
[0034] 进一步的,所述安全可信检测包括:
[0035] 检测平台完整性PCR值、系统文件完整性、操作系统版本、
杀毒软件版本及状态。
[0036] 根据本发明的另一方面,提供了一种基于访问控制列表ACL的可信网络连接TNC权限控制系统:
[0037] 所述系统包括请求终端设备终端设备、决策服务器、控制服务器,所述请求终端设备、决策服务器、控制服务器通过网络通信设备相互连接;
[0038] 请求终端设备通过身份认证发起网络接入请求,然后从决策服务器接收网络接入控制策略;
[0039] 请求终端设备按照网络接入控制策略执行安全可信检测,将检测结果发送到决策服务器;
[0040] 决策服务器根据检测结果和对访问控制列表ACL的查询结果判断请求终端设备安全状态,并将对应的安全域数字标签特征发送到请求终端设备;
[0041] 请求终端设备在后续网络访问过程中对网络数据包打数字标签,控制服务器根据网络数据包中数字标签判断请求终端设备网络访问是否合法。
[0042] 进一步的,所述决策服务器根据检测结果和对访问控制列表ACL的查询结果判断请求终端设备安全状态包括:
[0043] 所述决策服务器对检测结果进行解析,并与对应的安全可信策略预期值比对,从而得出请求终端设备的安全等级。
[0044] 进一步的,所述决策服务器根据检测结果和对访问控制列表ACL的查询结果判断请求终端设备安全状态包括:
[0045] 决策服务器根据用户名在访问控制列表ACL中查询请求终端设备的安全等级。
[0046] 进一步的,所述决策服务器根据检测结果和对访问控制列表ACL的查询结果判断请求终端设备安全状态包括:
[0047] 决策服务器对检测结果对应的安全等级和访问控制列表ACL的查询结果对应的安全等级进行加权和操作,并将加权和的结果与安全等级列表做比较,从而得到请求终端设备的安全等级。
[0048] 进一步的,所述决策服务器根据检测结果和对访问控制列表ACL的查询结果判断请求终端设备安全状态包括:
[0049] 决策服务器对检测结果对应的安全等级和访问控制列表ACL的查询结果对应的安全等级进行比较,将其中的低安全等级作为请求终端设备的安全等级。
[0050] 进一步的,所述决策服务器将对应的安全域数字标签特征发送到请求终端设备之后还包括:
[0051] 决策服务器更新安全可信域,并下发到控制服务器;
[0052] 控制服务器接收到更新的安全可信域后解析保存到本地内存中。
[0053] 进一步的,所述系统还包括网络过滤驱动器,其中
[0054] 请求终端设备接收到数字标签后,将数字标签下发到内核网络过滤驱动器;
[0055] 网络过滤驱动器对流出的网络数据包进行拦截,修改数据包中IP部分,对网络数据包进行打标签,重新计算数据包校验和,更新到数据包中,将数据包通过网络设备发送出去;
[0056] 所述控制服务器拦截网络数据包,解析出IP地址和数字标签信息;
[0057] 在控制服务器保存在本地内存中的安全可信域中查找对比IP地址与数字标签,根据IP地址与数字标签判断网络中目的地址是否处于同一安全可信域中。
[0058] 进一步的,所述安全可信检测包括:
[0059] 检测平台完整性PCR值、系统文件完整性、操作系统版本、杀毒软件版本及状态。
[0060] 本发明的有益效果为:
[0061] 本发明的技术方案在可信网络连接TNC的
基础上进行身份认证、安全可信度检测、以及数字标签技术,从而避免了身份伪造等手段造成的非法访问;而在此基础上采用了访问控制列表ACL进行权限控制,进一步加强了安全管理,从而为网络安全提供了可靠的保障。
[0062] 上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照
说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
[0063] 通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0064] 图1为本发明的基于ACL的TNC权限控制方法流程示意图;
[0065] 图2为本发明具体
实施例中的请求终端设备身份认证方法流程示意图;
[0066] 图3为本发明具体实施例中的请求终端设备执行安全可信检测的方法流程示意图;
[0067] 图4为本发明具体实施例中的网络跨域访问控制方法流程示意图;
[0068] 图5为本发明具体实施例中的基于ACL的TNC权限控制系统结构
框图。
具体实施方式
[0069] 下面结合附图和具体的实施方式对本发明作进一步的描述。
[0070] 图1为本发明的基于ACL的TNC权限控制方法流程示意图。
[0071] 本发明提供了一种基于ACL的TNC权限控制方法。
[0072] 步骤1、网络接入决策服务器采用数字标签技术将整个网络划分为不同的安全域。
[0073] 网络安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。广义可理解为具有相同业务要求和安全要求的IT系统要素的集合。网络安全域一般可划分为四个部分:本地网络、远程网络、公共网络、伙伴访问。而在不同的安全域之间需要设置
防火墙以进行安全保护。本地网络域的安全内容有:桌面管理,应用程序管理,用户帐号管理,登录验证管理、文件、打印资源管理,通信通道管理以及灾难恢复管理等与安全相关的内容等。远程网络域的安全内容为:安全远程用户以及远程办公室对网络的访问。公共网络域的安全内容为:安全内部用户访问互联网以及互联网用户访问内网服务。伙伴访问域的安全内容为:保证企业合作伙伴对网络的访问安全,保证传输的可靠性以数据的真实性和机密性。一个大的安全域还可根据内部不同部分的不同安全需求再划分为很多小的区域。
[0074] 步骤2、请求终端设备通过身份认证发起网络接入请求,然后从决策服务器接收网络接入控制策略。
[0075] 如图2所示,请求终端设备身份认证具体实施步骤如下:
[0076] 步骤S201:请求终端设备发起网络接入请求,将平台身份AIK证书发送到决策服务器,决策服务器对平台身份进行认证,若认证失败则禁止网络接入;
[0077] 步骤S202:若认证成功,决策服务器将平台身份认证结果返回给终端,终端将用户输入的用户名、密码通过TCM对称密码
算法加密后使用AIK私钥签名,签名后发送到决策服务器;
[0078] 步骤S203:决策服务器接收到终端认证信息后,对认证信息进行验签,并解密认证信息,解密后进行身份认证;若认证通过则下发安全可信策略,否则禁止网络接入;
[0079] 步骤S204:请求终端设备认证成功后与决策服务器维持心跳,每隔一段时间发送一次心跳并接受决策服务器的返回,决策服务器根据心跳判断终端用户的在线状态。
[0080] 为了支持不同的终端采用不同的安全等级,所述安全可信策略以策略组形式存在,并能根据用户名对不同用户分配不同安全可信策略,安全可信策略包含平台完整性、杀毒软件、服务程序、文件完整性、网络端口等。
[0081] 步骤3、请求终端设备按照网络接入控制策略执行安全可信检测,将检测结果发送到决策服务器。
[0082] 如图3所示,所述网络接入请求终端设备执行安全可信检测的具体实施步骤如下:
[0083] 步骤S301:请求终端设备身份认证通过后,决策服务器根据用户名查询对应的安全可信策略,并将策略下发到请求终端设备;
[0084] 步骤S302:请求终端设备接收到安全可信策略后对策略解析,并开始安全可信策略的执行,收集网络接入请求终端设备完整性、网络端口等状态,收集完成后对检测结果打包签名,发送到决策服务器。
[0085] 步骤4、决策服务器根据检测结果和对访问控制列表ACL的查询结果判断请求终端设备安全状态,并将对应的安全域数字标签特征发送到请求终端设备;
[0086] 所述决策服务器根据检测结果和对访问控制列表ACL的查询结果判断请求终端设备安全状态包括:
[0087] 所述决策服务器对检测结果进行解析,并与对应的安全可信策略预期值比对,从而得出请求终端设备的安全等级。
[0088] 进一步的,决策服务器对检测结果对应的安全等级和访问控制列表ACL的查询结果对应的安全等级进行加权和操作,并将加权和的结果与安全等级列表做比较,从而得到请求终端设备的安全等级。该方法综合考虑了安全可信检测结果和ACL的查询结果,有利于全面提升网络的安全性能。
[0089] 决策服务器根据用户名在访问控制列表ACL中查询请求终端设备的安全等级。
[0090] 进一步的,决策服务器对检测结果对应的安全等级和访问控制列表ACL的查询结果对应的安全等级进行比较,将其中的低安全等级作为请求终端设备的安全等级。该方法在将安全可信检测结果和ACL的查询结果做比较之后,以低安全等级作为最终的安全等级,从而最大限度的提升了网络的安全性能,将安全隐患降到了最低。
[0091] 所述决策服务器将对应的安全域数字标签特征发送到请求终端设备之后还包括:
[0092] 决策服务器更新安全可信域,并下发到控制服务器;
[0093] 控制服务器接收到更新的安全可信域后解析保存到本地内存中。
[0094] 步骤5、请求终端设备在后续网络访问过程中对网络数据包打数字标签,控制服务器根据网络数据包中数字标签判断请求终端设备网络访问是否合法。
[0095] 所述安全可信域的更新方式主要包括:
[0096] (1)、根据终端安全等级自动调整:保证网络的安全实时性。
[0097] (2)、手动添加终端:将某终端直接添加到安全可信域中,此时终端所处的安全可信域不再随终端安全可信状态更新。
[0098] (3)、终端在线状态改变:当终端下线时会将终端本地数字标签清空,同时服务器检测到终端下线立即更新安全可信域。
[0099] (4)、强制更新整体的安全可信域:即在原有安全可信域的基础上,根据实际的需求整体提升至少一个级别,或者整体下降至少一个级别。
[0100] 如图4所示,所述方法还包括对于不同等级的安全可信域,网络跨域访问控制操作步骤,具体如下:
[0101] 步骤S501:请求终端设备接收到数字标签后,将数字标签下发到内核网络过滤驱动器;
[0102] 步骤S502:网络过滤驱动器对流出的网络数据包进行拦截,修改数据包中IP部分,对网络数据包进行打标签,重新计算数据包校验和,更新到数据包中,将数据包通过网络设备发送出去;
[0103] 步骤S503:所述控制服务器拦截网络数据包,解析出IP地址和数字标签信息;
[0104] 步骤S504:在控制服务器保存在本地内存中的安全可信域中查找对比IP地址与数字标签,根据IP地址与数字标签判断网络中目的地址是否处于同一安全可信域中。
[0105] 本发明还提供了一种基于访问控制列表ACL的可信网络连接TNC权限控制系统,具体的原理框图如图5所示:
[0106] 所述系统包括请求终端设备终端设备、决策服务器、控制服务器,所述请求终端设备、决策服务器、控制服务器通过网络通信设备相互连接;
[0107] 请求终端设备通过身份认证发起网络接入请求,然后从决策服务器接收网络接入控制策略;
[0108] 请求终端设备按照网络接入控制策略执行安全可信检测,将检测结果发送到决策服务器;
[0109] 决策服务器根据检测结果和对访问控制列表ACL的查询结果判断请求终端设备安全状态,并将对应的安全域数字标签特征发送到请求终端设备;
[0110] 请求终端设备在后续网络访问过程中对网络数据包打数字标签,控制服务器根据网络数据包中数字标签判断请求终端设备网络访问是否合法。
[0111] 由于本发明的系统的运作原理与方法相同,因此在此就不再赘述。具体实施方式可参见前面对方法部分的描述。
[0112] 本发明的各个部件实施例可以以
硬件实现,或者以在一个或者多个处理器上运行的软件模
块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用
微处理器或者数字
信号处理器(DSP)来实现根据本发明实施例中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置。这样的实现本发明的程序可以存储在计算机可读介质上。
[0113] 本文中所称的“一个实施例”、“实施例”或者“一个或者多个实施例”意味着,结合实施例描述的特定特征、结构或者特性包括在本发明的至少一个实施例中。此外,请注意,这里“在一个实施例中”的词语例子不一定全指同一个实施例。
[0114] 在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
[0115] 应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附
权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
[0116] 此外,还应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。
