一种对接入网络的客户端进行安全认证的系统和方法

摘要

一种对接入网络的客户端进行安全认证的系统，其包括：客户端软件模块：对接入的客户端进行身份的验证；认证接入系统：与和客户端软件模块通过EAPOL协议实现交互，同时将EAPOL数据帧转换成radius认证报文；认证服务器：接收认证接入系统的radius认证报文，并对其进行认证，并将检查的结果和应该采取的动作告诉认证接入系统；该系统还包括杀毒服务器、企业核心网络和非核心网络，利用扩展的EAPOL协议的类型字段，所述客户端软件模块同时对接入的客户端进行网络安全方面的准入认证，而认证接入系统根据认证服务器的认证，将所述客户端接入到核心网络、非核心网络或杀毒服务器中的一个。从而对接入的客户端进行合法和安全健康状态的检测。

说明书

技术领域

本发明涉及一种网络的安全认证系统和方法，特别涉及一种对接入网络的客户端进行安全认证的系统和方法。

背景技术

网络病毒目前在校园网络和企业网络中肆意横行，并可以自动快速复制、繁衍、蔓延到整个企业网络系统中，对企业网络的设备及其业务带来巨大的破坏力。

网络病毒的肆意横行，一个主要原因是因为企业或校园没有对客户端上网的终端和设备实现严格的准入制度。许多网络病毒并非都是从外网进入内网传播的。就像传染病一样，我们需要从病毒的传播途径中发现规律，切断传染源。

一个典型的网络病毒传播途径是：企业中、校园网中有许多移动客户端，他们拿着笔记本或移动硬盘等，进入了网络。实际上，按照以往的进入企业内部网络的认证来看，他们是合法客户端，采用客户端名和密码绝对是合法的。其ip地址也是合法得到的；但病毒照样在企业内部传染开来，企业照样因为他们是合法的客户端而遭到了厄运。

所以，基于客户端身份的检查对于保证企业网络安全，保障企业正常的运作是不够的。能够使用企业网络的员工至少应该是合法的，而且是“网络体质健康”的。

802.1x协议是目前在宽带网络中应用得非常广泛的认证协议。目前在企业、校园网络中，多是使用该认证协议实现对接入客户端的认证。

图1是现有的802.1x的系统组成的框图，从图1中可以看出，该认证系统包括客户端、认证系统和认证服务器。其中客户端是—需要接入LAN，及享受switch(边缘交换机或无线接入设备)提供服务的设备(如PC机)，客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：802.1X-complain、Microsoft Windows XP，Switch是—根据客户的认证状态控制物理接入的设备，switch在客户和认证服务器间充当代理角色(proxy)。switch与客户端间通过EAPOL协议进行通讯，switch与认证服务器间通过EAPoRadius或EAP承载在其他高层协议上，以便穿越复杂的网络到达认证服务器(EAPRelay)；switch要求客户端提供身份(identity)，接收到后将EAP报文承载在Radius格式的报文中，再发送到认证服务器，返回等同；switch根据认证结果控制端口是否可用；认证服务器对客户进行实际认证，认证服务器核实客户的identity，通知swtich是否允许客户端访问LAN和交换机提供的服务，认证服务器接受认证者(Authenticator)传递过来的认证需求，认证完成后将认证结果下发给认证者，完成对端口的管理。由于EAP协议较为灵活，除了IEEE802.1x定义的端口状态外，认证服务器实际上也可以用于认证和下发更多客户端相关的信息，如VLAN、QOS、加密认证密钥、DHCP响应等。

但该认证的协议多是基于客户端身份的认证，对于进入网络的客户端是否是含有病毒，是否有安全漏洞，没有任何检测方法，也就对接入到网络中的客户没有任何的接入约束力。

发明内容

本发明所要解决的技术问题就是要提供一种对接入网络的客户端进行安全认证的系统和方法，通过使用该系统和方法，对接入到网络的客户端通过安全健康的准入制度，使企业的安全可控、可防，使企业的网络具有真正意义上的免疫性。

通过该发明，使企业能够更好地对企业网络的安全性进行统一部署，进行群体步控，第一时间发现病毒传染途径，并第一时间切断传染源，使企业的网络更加安全，保证企业的安全运作。同时，该发明具有很大的扩展性，第一次将网络设备，网管设备，客户端终端，反病毒软件集成起来，实现了安全无时不在，安全层层渗透，安全可以控制的网络环境。具有非常现实的重要意义。

本专利就是基于此提出的一种在企业或校园网络中，实现合法，健康认证的接入准入宽带认证方法。

本发明另外的特征和优点将在以下的描述中阐述，或可以通过本发明的实践获知。通过文字描述和权利要求中特别指出的技术方案和附图，将实现和获得本发明的目标和其他优点。

根据本发明要解决的技术问题，提供一种对接入网络的客户端进行安全认证的系统，该系统包括：客户端软件模块：其对接入的客户端进行身份的验证；认证接入系统：其与和客户端软件模块通过EAPOL协议实现交互，同时将EAPOL数据帧转换成radius认证报文；认证服务器：其接收认证接入系统的radius认证报文，并对其进行认证，并将检查的结果和应该采取的动作告诉认证接入系统；其中该系统还包括杀毒服务器、企业核心网络和非核心网络，利用扩展的EAPOL协议的类型字段，所述客户端软件模块同时对接入的客户端进行网络安全方面的准入认证，而认证接入系统根据认证服务器的认证，将所述客户端接入到核心网络、非核心网络或杀毒服务器中的一个。

优选的，所述扩展的EAPOL协议的类型字段包括：类型-11、类型-12、类型-13和类型-14。

优选的，所述客户端软件模块定期搜索网络安全的准入认证所对应的扩展的EAPOL协议的类型TYPE字段，并定期通过EAPOL的更新报文通知认证接入系统。

优选的，所述认证接入系统根据认证服务器的认证对客户端进行如下的处理：当对于认证通过而且经过检验，没有携带任何网络病毒且没有安全漏洞和符合公司网络安全规定的客户端，将其转入核心网络，进入企业的网络；对于认证不通过的客户端，将拒绝进入网络；对于身份认证通过，但带有安全漏洞，或不符合网络安全规定；或携带网络病毒，将其转入非核心网络或转入杀毒服务器进行杀毒。

根据本发明的另一方案，一种对接入网络的客户端进行安全认证的方法，该方法包括：对802.1X协议EAPOL报文进行扩展；利用扩展的EAPOL报文对接入网络的客户端进行合法性认证，同时对其进行网络的安全认证。

优选的，所述EAPOL报文的扩展是对其类型字段TYPE的域进行扩展，其包括类型-11、类型-12、类型-13和类型-14。

优选的，所述的方法进一步包括下列步骤：接收客户端的客户端名和密码；对客户端进行扫描，以获取各种信息；将信息打包到EAPOL数据帧及其扩展部分；将该数据帧发送到认证服务器；认证服务器获取数据帧中的MAC、虚拟局域网ID和源ip；与事先存储的客户端属性表进行比较，以对客户的合法性和健康状态进行检验；将数据帧及其检验的结果发送到客户端；客户端根据认证服务器的结果使客户端接入到核心网络、非核心网络或杀毒服务器。

优选的，所述认证接入系统根据认证服务器的认证对客户端进行接入的步骤包括：当对于认证通过而且经过检验，没有携带任何网络病毒且没有安全漏洞和符合公司网络安全规定的客户端，将其转入核心网络，进入企业的网络；对于认证不通过的客户端，将拒绝进入网络；对于身份认证通过，但带有安全漏洞，或不符合网络安全规定；或携带网络病毒，将其转入非核心网络或转入杀毒服务器进行杀毒。

优选的，所述客户端软件模块定期搜索网络安全的准入认证所对应的扩展的EAPOL协议的类型TYPE字段，并定期通过EAPOL的更新报文通知认证接入系统。

根据本发明的另一方案，一种对接入网络的客户端进行安全认证的方法，该方法包括下列步骤：1)客户端软件模块对接入网络的客户端进行扫描，以获取认证所需的各种信息，并将其设置到对应的EAPOL报文的数据帧及其扩展的类型字段中，然后发送给认证接入系统；2)认证接入系统接收来自多个客户端发送来的EAPOL报文，将其转换为RADIUS报文，然后透传给认证服务器；3)认证服务器接收RADIUS报文，与存储的客户端属性表进行比较，对客户端的合法性和安全性进行判断，并将判断结果发送到客户端；4)客户端根据判断的结果使客户端接入到核心网络、非核心网络或杀毒服务器。

优选的，该方法进一步包括：客户端发送许可报文给认证服务器，认证服务器将该客户端标记为许可。

优选的，所述方法进一步包括所述客户端软件模块定时搜索上述客户端的信息，通过EAPOL协议更新报文通知认证接入系统。

优选的，所述步骤1)包括下列步骤：输入客户端名和密码，客户端获取客户端名和密码；对客户端的操作系统进行检测，并设置扩展的EAPOL数据帧的TYPE 12；对系统中正在进行的线程进行扫描；对系统中正在运行的防病毒软件进行扫描，获取其版本，并设置并设置扩展的EAPOL数据帧的TYPE 13；对注册表进行扫描，获取安装软件的信息，并设置扩展的EAPOL数据帧的TYPE 14；对系统中存在的安全漏洞进行检测，并设置扩展的EAPOL数据帧的TYPE 11；然后客户端将扫描获取的信息打包成EAPOL数据帧；将该数据帧发送给认证服务器，结束开始认证阶段。

优选的，所述步骤3)包括下列步骤：确认该报文是否是REQ报文，如果是，则获取该MAC、虚拟局域网ID和源ip，对其进行散列；查找服务器中事先存储的客户端属性表，查找是否有该客户端的历史记录，如果没有查到，则增加该记录；如果在结果中发现该客户端属于黑名单，则直接拒绝该客户端；根据从表中得到的客户端的编码，分别对客户端的许可证，健康状况进行检验；逐个提取相关的信息，并根据企业IT系统的安全相关规定进行判断，并在EAPOL的“TYPEDATA”字段中置出相关的标记；将检测的结果写到MAC、虚拟局域网ID和源ip表中；将数据帧及其检验的结果附上，以认证ACK的方式发送给客户端。

优选的，所述步骤4)包括下列步骤：判断接收的报文是否是ACK报文，如果是，则提取认证检测的结果，否则转该报文到其他状态的处理；根据提取的结果，判断该客户端是否合法，如果合法，则进入下一步，如果不合法，则提示该客户端不合法；然后判断该客户是否健康，如果健康，则进入下一步，如果不健康，则提示客户端不健康，并启动强制portal，强制到安全服务器，提示客户端进行更新；然后判断该客户端是否遵守安全规定，如果遵守，则进入下一步，如果不遵守，则启动强制portal，强制到安全服务器，提示客户端进行更新；然后判断该客户端是否通过安全审计，如果通过安全审计，则进入下一步；如果未通过安全审计，则启动强制portal，强制到安全服务器，提示客户端进行更新；然后提示客户端可以使用网络，通道打开。

通过本发明提供的方法，可以为企业网络带来如下好处：

使企业网安全通过本发明提供的软件和网络设备组合，实现安全健康的准入制度，使安全可控，可防；减少企业或校园网由于流动性大，带来频繁的网络安全事故；

使企业网能够将客户端终端，网络设备，认证系统，计费系统，和安全免疫系统通过分布式软件架构有机结合起来，组成了安全认证的企业网接入；

能够象预防传染病一样，预防层出不穷的病毒，使企业网具有真正意义上的免疫性。

减少了企业网络由于病毒造成的业务瘫痪，给企业一个真正意义上的安全网络。

附图说明

附图用于提供本发明进一步的理解，作为说明书一部分的附图，与说明书一起示出了本发明的实施例，用来解释本发明的原理。在附图中：

图1示出了现有技术的802.1x认证系统的结构示意图；

图2是本发明的扩展的EAPOL报文所包含的结构；

图3示出了根据本发明的一个实施例的安全认证系统的结构示意图；

图4是一个典型的校园和企业网络；

图5是客户端进行认证的方法的流程图；

图6说明认证服务器的认证方法的流程图；

图7是客户端根据标记的内容进行处理的流程图。

具体实施方式

现在将详细地说明本发明的一个或多个实施例，在附图中示出了这些实施例的范例。

我们对802.1x协议进行了扩充。将安全接入作为认证的一项内容来对员工进入企业内部网络的准入指标进行认证，以确保企业网络不受外来病毒的入侵。

本发明涉及三个逻辑模块：

802.1x客户端软件模块：该模块主要对接入的客户端进行身份的验证；同时进行网络安全方面的准入认证；

802.1x认证系统：该模块主要和客户端软件通过EAPOL协议实现交互，同时将EAPOL数据帧转换成radius认证报文，将radius认证报文交给radius服务器，通过radius服务器实现对客户端的认证。作为认证系统，必须保证未认证授权的客户端不能通过该系统上网；只有认证通过的报文才可以使用网络。在本发明中，还对认证服务器发送的客户端的设备是否带有病毒，是否具备进入内部核心网络的资格执行相应的动作。

认证服务器：该软件模块实现对radius认证报文进行认证，判断该客户端身份是否合法，同时根据本发明的要求，能够实现对客户端的终端设备是否安全，进行判断识别，并将检查的结果和应该采取的动作告诉认证系统。

参见图2，本发明主要是对EAPOL报文进行扩展，利用扩展的EAPOL报文对接入网络的客户端进行安全认证。其中具体的扩展方法是对图2所示的EAPOL报文的“类型(type)”域进行扩展，其原有的域是TYPE＝1表示“标识符(identifer)”，TYPE＝2表示“通知(notification)”，TYPE＝3表示“NAK(仅响应)”，TYPE＝4表示“MD5-Challenge”，TYPE＝5表示“某时密码(one-time Password)(OTP)”，而将“TYPE”进一步扩展为TYPE＝11表示“是否含病毒检查”，TYPE＝12表示“是否进行安全漏洞检查”，TYPE＝13表示“是否进行身份认证检查”，TYPE＝14表示“是否进行符合安全规定检查”。

然后本发明利用该EAPOL报文的“类型数据(Type data)”的值来对接入网络的客户端进行安全认证，而“Type Data”的结构定义为：

TypeData的结构定义：

    Typedef Struct stSecurityData

     {

        使能病毒检查；0--使能；

                      1--不使能

          检查状态：0---未检查；

                    1---检查成功

                    2---检查不成功；

参见图3，其为本发明的对接入网络的客户端进行安全认证的系统。本系统有六个部分组成：1)802.1x客户端，即认证客户端；2)认证接入系统；3)认证服务器；4)进行防病毒及其安全漏洞的服务器，即杀毒服务器；5)企业核心网络；6)和核心网络隔离的未授权网络，即非核心网络。

各个部分实现的接口功能如下所示：

1.802.1x客户端需要完成如下功能：

提供客户端输入相关的客户端名密码；

通过一个线程完成对终端的安全状态的检查，可以采取如下方式：

通过相关的IDS软件实现对目前接入终端的安全漏洞的快速扫描；如果发现有安全漏洞，则置相应的非健康标志——TYPE 12；

通过对系统的线程扫描，观察正在运行的线程是否具有radius服务器配置的黑名单的病毒线程；如果存在，置相应的非健康标志——TYPE13；

通过对系统的线程扫描，判断该员工使用的病毒软件的进程名是否符合公司或学校规定的反病毒软件和其版本号是否符合规定的版本号，如果不符合，则置非健康标志——TYPE 11；

通过对系统扫描，判断该员工使用的操作系统是否是某种没有打补丁的操作系统版本，这种没有打补丁的版本可能会遭到某种网络蠕虫病毒的攻击；如果是，则置非健康标志——TYPE 12；

通过对系统扫描，判断该员工是否安装了某些不符合公司规定的软件，如学校不允许安装的sygate，等proxy软件，如果是，则置非健康标志----TYPE 14；

……

将这些检查的结果按照扩展的EAPOL的格式(含有上述TYPE 11-14)发送给认证接入系统；

802.1x客户端将定时(每隔10分钟)搜索上述特征，以防客户端的恶意操作；并定期通过EAPOL的更新报文通知认证接入系统。

2.认证接入系统实现的功能：

接收来自多个客户端终端发送过来的EAPOL报文；

将EAPOL报文转换为RADIUS报文；

在客户端没有认证之前，禁止该客户端的除EAPOL报文或广播报文的其他任何报文的通过；客户端认证后，可以让客户端的流量报文进入核心企业网络；

根据认证服务器所定义的动作，对于下列报文进行如下处理：

1).对于认证通过而且经过检验，没有携带任何网络病毒且没有安全漏洞和符合公司网络安全规定的客户端，将其转入核心网络，客户端可以进入企业的网络；

2).对于认证不通过的报文，将拒绝客户端进入网络；

3).对于认证通过，但带有安全漏洞，或不符合公司网络安全规定；或携带网络病毒，将其转入非核心网络或转入杀毒服务器进行杀毒。

3.认证服务器实现的功能：

接收来自认证接入系统发送的radius报文；

可以由企业网络的管理员配置客户端身份及其密码；

可以由企业网络管理员配置相关的病毒进程；安全漏洞扫描条件；病毒软件及其版本；当前健康操作系统版本号；当前违规的软件；

可以由企业网络管理员配置相关身份合法或不合法；非健康标志相关位设置应该采取的动作；

将上述配置的命令或动作通过radius扩展协议交给认证接入系统，认证接入系统根据扩展协议做好接入核心网络或拒绝进入核心网络的准备；

实时接收来自认证接入系统的报文，判断客户端的身份合法性和健康准入性。

杀毒服务器

属于企业或园区网络中设置杀毒软件的设备，将对于检验出存在病毒的客户端，可以在线实现杀毒和预防。

核心网络

企业中许多重要数据库及其重要客户端，是网络中需要重点保护的网络区域，只有客户端合法而且没有携带网络病毒及其没有安全隐患和遵守企业安全规则的客户端可以进入该核心网络区域。

非核心网络

物理和核心网络分离，属于合法客户端，但存在携带病毒或有安全隐患或有安全漏洞或没有遵守安全规则的客户端，可以入网进行修补，入网获取相关的信息，或入网得到相关的工具，以便取得进入核心网络资格的网络区域。

下面将通过一个实例来说明该技术方案：

图4是一个典型的校园和企业网络。从该图可以看出，其包括至少一个客户端，该客户端为802.1X客户端；其接入交换机和宽带认证交换机、路由器和交换机等构成认证接入系统；安全预防服务器用作为防病毒服务器；802.1x认证服务器用作为认证服务器，还包括核心网络和非核心网络。根据该发明，该客户端不是windows等操作系统自带的客户端软件，而是应该是根据该发明所要求的一个客户端软件，即具有802.1x认证客户端，其具备的功能同上所述。

在网络中可以根据企业网络的部署，设置成核心网络，非核心网络，用不同的vlan(虚拟局域网)物理划分；保证该两区域互不影响；接入交换机将客户端准备进入核心网络的EAPOL报文透传给认证核心交换机；认证核心交换机充当认证接入系统；确保没有认证的客户端报文无法进入核心网络；确保没有通过健康准入的客户端进入非核心网络或安全预防服务器进行安全检测和病毒检查；认证服务器可以由单独的服务器担任；负责radius报文的分发和安全健康特性的配置。

下面将结合附图5-7详细描述在该实例中的对客户端进行认证的方法。

首先参考附图5，其是客户端进行认证的方法的流程图。

a.)假设企业员工xx需要使用企业网络资源，则其打开客户端；

b)将客户端名和密码输入到客户端界面中，客户端获取客户端名和密码；

c)其客户端的软件开始如下的流程：

c1)802.1x同时对客户端的操作系统进行检测，并设置扩展的EAPOL数据帧的TYPE 12；

c2)对系统中正在进行的线程进行扫描；

c3)对系统中正在运行的防病毒软件进行扫描，获取其版本，并设置并设置扩展的EAPOL数据帧的TYPE 13；

c4)对注册表进行扫描，获取安装软件的信息，并设置扩展的EAPOL数据帧的TYPE 14；

c5)对系统中存在的安全漏洞进行检测，并设置扩展的EAPOL数据帧的TYPE 11；

c6)然后客户端将扫描获取的信息打包成EAPOL数据帧；

c7)将该数据帧发送给认证服务器，结束开始认证阶段。

下面参考图6说明认证服务器的流程。

d)认证服务器收到EAPOL数据帧后，首先确认该报文是否是REQ报文，如果是，则获取该MAC、虚拟局域网ID和源ip，对其进行散列(HASH)，然后查找服务器中事先存储的客户端属性表，查找是否有该客户端的历史记录，如果没有查到，则增加该记录；如果在结果中发现该客户端属于黑名单(健康标记有问题或客户端名属于违禁行列)，则直接拒绝该客户端；根据从表中得到的客户端的编码(其类似于EAPOL数据帧中的“使能”或“不使能”)，分别对客户端的许可证(客户端名、密码)，健康状况(操作系统安全漏洞，防病毒软件状况，当前的线程是否含有病毒，是否安装合法软件等)进行检验；然后服务器逐个提取相关的信息，并根据企业IT系统的安全相关规定进行判断，并在EAPOL的“TYPE DATA”字段中置出相关的标记，如对病毒检查“0”表示“使能”；“1”表示“不使能”；对检查状态“0”表示未检查，“1”表示“检查成功”，“2”表示“检查不成功”。

e)服务器将检测的结果x写到MAC、虚拟局域网ID和源ip表中；

f)然后服务器将数据帧及其检验的结果附上，以认证ACK的方式发送给客户端。

下面参照图7描述客户端根据标记的内容进行处理的流程g)：

g1)首先，客户端判断接收的报文是否是ACK报文；

g2)如果是，则提取认证检测的结果，否则转该报文到其他状态的处理；

g3)根据提取的结果，判断该客户端是否合法，即判断TYPE13和其对应的TYPE DATA值，如果合法，则进入下一步；如果不合法，则提示该客户端不合法；

g4)然后判断该客户是否健康，即判断TYPE11和其对应的TYPEDATA值，如果健康，则进入下一步；如果不健康，则提示客户端不健康，并启动强制portal，强制到安全服务器，提示客户端进行更新；

g5)然后判断该客户端是否遵守安全规定，即判断TYPE14和其对应的TYPE DATA值，如果遵守，则进入下一步；如果不遵守，则启动强制portal，强制到安全服务器，提示客户端进行更新；

g6)然后判断该客户端是否通过安全审计，即判断TYPE12和其对应的TYPE DATA值，如果通过安全审计，则进入下一步；如果未通过安全审计，则启动强制portal，强制到安全服务器，提示客户端进行更新；

g7)然后提示客户端可以使用网络，通道打开。

h).客户端发送通过许可报文给认证服务器，认证服务器将该客户端标记为许可。

I).客户端进入企业网络资源，可以访问企业网络。

J).802.1x客户端将定时(每隔10分钟)搜索上述特征，通过EAPOL的hello更新报文通知认证接入系统；

K).客户端下线，则客户端将关闭线程，并发送下线报文通知服务器。

在未背离本发明的精神或范围的条件下，本发明中可做出各种修改和变化，这对于本领域的技术人员将是显而易见的。本发明意在覆盖在附加权利要求书和其等效变换范围内的本发明的修改和变化。