本发明专利技术公开了一种基于可信网络连接的动态跨域访问控制系统,所述系统结构包括:可信网络接入请求者、网络访问决策者、网络访问控制者,网络访问决策者根据网络接入请求者的状态动态将请求者移入不同安全可信域中,实现动态跨域访问控制。本发明专利技术还公开了一种基于可信网络连接的动态跨域访问控制方法,所述方法结合国产TCM芯片进行平台身份认证与完整性度量,对网络按照安全可信等级进行划分,根据终端身份认证与完整性度量结果动态限制终端对网络的访问。本发明专利技术在可信网络连接的基础上增加动态跨域访问控制,实时根据终端的安全可信状态将终端动态置入不同安全等级的网络域中,从而保证网络的安全可信访问。
【技术实现步骤摘要】
一种基于可信网络连接的动态跨域访问控制系统及方法
本专利技术涉及可信网络
,具体涉及一种基于可信网络连接的动态跨域访问控制系统及方法。
技术介绍
随着信息化的发展,恶意软件(Malware,比如病毒、蠕虫等)的问题异常突出。恶意软件数量与日俱增,每年都有众多的计算机被感染,而且这些问题也在逐年增加。面对如此严峻的形势,传统的防御技术已经难有大的突破了,必须换一个角度来解决问题,不仅需要解决安全的传输和数据输入时的检查,还要从源头上,即从每一台连接到网络的终端开始,遏制住恶意攻击。可信网络连接(TNC),本质上就是要从终端的完整性开始,建立安全可信的网络连接。首先,需要在可信接入控制系统中创建终端安全策略。然后只有遵守安全策略的终端才能访问网络,可信接入控制服务器将隔离和定位那些不符合安全策略的终端。安全策略可以是:是否安装杀毒软件,是否开启未授信服务,防火墙是否开启并正确配置,是否运行未授权软件等,同时安全策略还可以禁止某些行为,如:网络监听端口开启、外设使用等等。通常网络环境会按照组织结构进行区域划分,每一个网络区域内终端固定在某个网络区域内,一旦某个终端受到攻击将影响所在网络,可信网络连接解决了终端接入的安全可信,但是对于终端接入后网络内的访问没有进行控制。按照安全等级划分网络,在终端成功接入网络后实时对终端安全状态进行检测,根据终端安全状态动态划分网络区域,从而保证网络整个周期的安全。
技术实现思路
本专利技术要解决的技术问题是:目前可信网络仅仅在终端接入网络时对终端进行身份认证与完整性度量,无法保证在终端接入网络后的安全可信,而且没有对网络进行细粒度的划分,终端接入网络后可随意访问网络内所有资源。针对上述问题,结合国产化,本专利技术提出了一种基于可信网络连接的动态跨域访问控制系统及方法。本专利技术所采用的技术方案为:一种基于可信网络连接的动态跨域访问控制系统,所述系统结构包括:可信网络接入请求者、网络访问决策者、网络访问控制者,网络访问决策者根据网络接入请求者的状态动态将请求者移入不同安全可信域中,实现动态跨域访问控制,其中:可信网络接入请求者作为可信网络连接的发起者,完成平台身份认证,根据网络访问策略收集本地完整性信息并提交到网络访问决策者,然后等待网络访问决策者的网络访问决策,接入网络后实时进行完整性收集并上报给网络访问决策者;可信网络接入请求者包含身份认证模块、可信完整性收集模块;网络访问决策者,等待网络接入请求者发起的接入请求,对请求者进行平台身份认证,制定并分发访问策略,判断请求者的完整性结果,根据完整性结果将网络访问决策结果下发到网络访问控制者;网络访问决策者包含平台身份认证模块、完整性验证模块、安全访问策略模块;网络访问控制者,预先根据安全可信级别将网络划分为不用的安全可信域,接收网络访问决策者下发的网络访问决策,实现对网络接入请求者的跨域访问控制,网络访问控制者包含安全可信域管理模块、网络访问决策执行模块;其中:1)身份认证模块:用于进行网络接入身份与平台认证;2)安全访问策略模块:配置终端完整性检测项目及检测不通过后的规则;3)完整性验证模块:调用TCM芯片哈希算法对安全访问策略配置的文件进行完整性度量,并将完整性度量值发送到网络访问决策者判断;4)安全可信域管理模块:将网络根据不同安全等级划分不同区域;5)网络访问决策执行模块:根据网络访问决策者的结果将终端移入对应的安全区域,限制对终端对其他安全可信域的访问;6)TCM:即可信密码模块,用来对文件进行完整性度量,内置密码算法提供散列计算等密码学服务。一种基于可信网络连接的动态跨域访问控制方法,所述方法结合国产TCM芯片进行平台身份认证与完整性度量,对网络按照安全可信等级进行划分,根据终端身份认证与完整性度量结果动态限制终端对网络的访问。所述可信网络连接终端初次接入步骤如下:步骤I1:在网络访问决策端配置安全可信策略,包含端口检测、USB存储设备、文件完整性等;步骤I2:按照安全等级对网络进行安全可信域划分;步骤I3:打开终端可信网络认证软件,输入用户名/密码进行身份认证;步骤I4:身份认证通过后从网络访问决策端下载安全可信策略,并对策略进行解析;步骤I5:根据解析的安全可信策略在终端执行安全可信及完整性检查,将检查结果上传到网络访问决策端;步骤I6:网络访问决策端将终端完整性检查结果与本地检查结果对比,根据对比结果将终端置入不同的安全可信网络域中,并通知终端状态。所述动态跨域访问控制在终端接入可信网络后实时动态检测终端状态,步骤如下:步骤S1:终端网络认证软件执行计时器,计时器到达后与网络访问决策端通信,完成认证会话确认;步骤S2:身份认证会话确认通过后终端与网络决策者协商,下载安全可信策略;步骤S3:终端根据安全策略对本地进行完整性检查,将结果提交到网络访问决策者;步骤S4:网络访问决策者根据终端检测结果判断终端安全可信度,将终端置入对应的安全可信域中,终端只能与同一安全可信域终端通信;步骤S5:重新开始计时器,重复步骤S1。本专利技术的有益效果为:传统网络按照部门或组织结构对网络进行划分,每个终端固定在某网络区域,一旦终端受到攻击将影响所在网络安全,导致信息泄密。本专利技术在可信网络连接的基础上增加动态跨域访问控制,实时根据终端的安全可信状态将终端动态置入不同安全等级的网络域中,从而保证网络的安全可信访问。本专利技术所述方法通过对原有网络进行细粒度划分,将网络根据不同安全等级划分为不同的网络区域,结合终端身份认证信息与终端完整性检查结果,实现终端对网络访问的动态控制,实时根据终端当前安全状态限制终端对网络的访问,保证了终端网络访问的安全。附图说明图1为网络安全域访问控制示意图;图2为动态跨域访问控制流程图。具体实施方式下面参照附图所示,通过具体实施方式对本专利技术进一步说明:为实现终端动态跨域访问控制,首先需要将网络根据安全等级划分不同的安全可信域,如图1所示,具体过程如下:步骤V101:通过交换机将网络划分不同的Vlan,Vlan之间不可以互相访问;步骤V102:在网络访问决策者配置网络安全策略,通过配置文件配置终端安全可信策略,包含终端关键文件预期度量值、网络端口、服务进程等,并配置每种安全可信策略对应的安全等级;步骤V103:在网络访问决策者配置安全策略等级对应的具体的Vlan;步骤V104:启动网络访问决策服务器程序,等待终端网络接入请求。配置安全可信域及安全策略后,网络访问决策者将根据终端安全可信状态动态将终端置入不同的Vlan,如图2所示,详细步骤如下:步骤V201:通过终端网络认证软件输入用户名、密码,开始网络接入身份认证;步骤V202:网络访问决策者接收终端的用户名密码进行身份认证,将认证结果发送给终端,如果认证未通过限制网络接入,认证通过执行下一步;步骤V203:终端通过TCP网络通信从网络访问决策者下载安全可信策略到本地,并解析安全可信策略,根据安全可信策略对本地安全状态及完整性进行收集,并将收集结果打包通过TCP提交给网络访问决策者;步骤V204:网络访问决策者将终端提交的安全检测结果与配置的安全策略对比,并计算安全等级,根据安全等级查找对应的Vlan,然后通过SNMP协议通知交换机将终端端口置入对应的Vlan中本文档来自技高网...
【技术保护点】
一种基于可信网络连接的动态跨域访问控制系统,其特征在于:所述系统结构包括:可信网络接入请求者、网络访问决策者、网络访问控制者,网络访问决策者根据网络接入请求者的状态动态将请求者移入不同安全可信域中,实现动态跨域访问控制,其中:可信网络接入请求者作为可信网络连接的发起者,完成平台身份认证,根据网络访问策略收集本地完整性信息并提交到网络访问决策者,然后等待网络访问决策者的网络访问决策,接入网络后实时进行完整性收集并上报给网络访问决策者;可信网络接入请求者包含身份认证模块、可信完整性收集模块;网络访问决策者,等待网络接入请求者发起的接入请求,对请求者进行平台身份认证,制定并分发访问策略,判断请求者的完整性结果,根据完整性结果将网络访问决策结果下发到网络访问控制者;网络访问决策者包含平台身份认证模块、完整性验证模块、安全访问策略模块;网络访问控制者,预先根据安全可信级别将网络划分为不用的安全可信域,接收网络访问决策者下发的网络访问决策,实现对网络接入请求者的跨域访问控制,网络访问控制者包含安全可信域管理模块、网络访问决策执行模块;其中:1)身份认证模块:用于进行网络接入身份与平台认证;2)安全访问策略模块:配置终端完整性检测项目及检测不通过后的规则;3)完整性验证模块:调用TCM芯片哈希算法对安全访问策略配置的文件进行完整性度量,并将完整性度量值发送到网络访问决策者判断;4)安全可信域管理模块:将网络根据不同安全等级划分不同区域;5)网络访问决策执行模块:根据网络访问决策者的结果将终端移入对应的安全区域,限制对终端对其他安全可信域的访问;6)TCM:即可信密码模块,用来对文件进行完整性度量,内置密码算法提供散列计算等密码学服务。...
【技术特征摘要】
1.一种基于可信网络连接的动态跨域访问控制系统,其特征在于:所述系统结构包括:可信网络接入请求者、网络访问决策者、网络访问控制者,网络访问决策者根据可信网络接入请求者的状态动态将可信网络接入请求者移入不同安全可信域中,实现动态跨域访问控制,其中:可信网络接入请求者作为可信网络连接的发起者,完成平台身份认证,根据网络访问策略收集本地完整性信息并提交到网络访问决策者,然后等待网络访问决策者的网络访问决策,接入网络后实时进行完整性信息收集并上报给网络访问决策者;可信网络接入请求者包含身份认证模块、可信完整性收集模块;网络访问决策者,等待可信网络接入请求者发起的接入请求,对可信网络接入请求者进行平台身份认证,制定并分发网络访问策略,判断可信网络接入请求者的完整性结果,根据完整性结果将网络访问决策下发到网络访问控制者;网络访问决策者包含平台身份认证模块、完整性验证模块、安全访问策略模块;网络访问控制者,预先根据安全可信级别将网络划分为不同的安全可信域,接收网络访问决策者下发的网络访问决策,实现对可信网络接入请求者的跨域访问控制,网络访问控制者包含安全可信域管理模块、网络访问决策执行模块;其中:1)平台身份认证模块:用于进行网络接入身份与平台认证;2)安全访问策略模块:配置终端完整性检测项目及检测不通过后的规则;3)完整性验证模块:调用TCM芯片哈希算法对安全访问策略模块配置的文件进行完整性度量;4)安全可信域管理模块:将网络根据不同安全可信级别划分不同安全可信域;5)网络访问决策执行模块:根据网络访问决策者的网络访问决策将终端移入对应的安全可信域,限制终端对其他安全可信域的访问;6)TCM:即可信密码模块,用来对文件进行完整性度量,内置密码算法提供散列计算的...
【专利技术属性】
技术研发人员:郭猛善,冯磊,
申请(专利权)人:浪潮集团有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。