主机安全接入方法、隔离方法及安全接入和隔离的系统

摘要

本发明公开了一种主机安全接入的方法、隔离方法以及安全接入和隔离的系统，其中，主机安全接入方法包括：在主机发起接入时，从安全检查策略服务器获取安全检查策略，并根据安全检查策略对主机进行安全检查；在未通过安全检查的情况下，将接入设备的工作模式设置为Guest Vlan模式，使得主机能够访问受限区域，其中，受限区域包括安全检查策略服务器以及补丁和病毒库服务器；在通过安全检查的情况下，向接入设备发起认证请求，并且在认证成功的情况下，将接入设备的工作模式设置为工作Vlan模式，使得主机能够访问网络和受限区域。通过上述技术方案，能够提高网路的安全性。

说明书

技术领域

本发明涉及通信领域，并且特别地，涉及一种主机安全接入方法、隔离方法及安全接入和隔离的系统。

背景技术

随着网络的不断普及，802.1x网络接入技术得到了广泛的应用，并且拥有广阔的市场。网络的普及也使得网络的安全性面临着巨大挑战，网络中的各种病毒/木马泛滥，各种形式的网络扫描与网络攻击也大量不在，危害了网络安全及网络用户的信息安全。

经过研究发现，如果能够保证网络中每一台主机的安全性，网络的整体安全性将得到提高。例如，假如网络中的每一台主机都安装了杀毒软件、将病毒库升级到最新、安装了防火墙且封闭了不必要的端口、以及安装了最新的系统补丁从而填补了系统漏洞，这样，主机就很难受到病毒的感染和黑客的攻击，从而可以阻止网络病毒的迅速传播，保证了整个网络的安全性。

但是，由于网络用户的水平不同，并不是每一个网络用户都会有意识的进行上面的操作以保证主机的安全性，因此，需要一种不依赖于用户的操作方法来保证接入主机的安全性并对已接入的不安全的主机进行隔离和修复。

发明内容

考虑到无法保证网络中接入主机的安全性、以及无法对已接入的不安全主机进行隔离和修复的问题而做出本发明，为此，本发明的主要目的在于提供一种主机安全接入的方法、隔离方法以及安全接入和隔离的系统，以解决相关技术中的上述问题。

根据本发明的一个方面，提供了一种主机安全接入方法。

根据本发明实施例的主机安全接入方法包括：在主机发起接入时，从安全检查策略服务器获取安全检查策略，并根据安全检查策略对主机进行安全检查；在未通过安全检查的情况下，将接入设备的工作模式设置为Guest Vlan模式，使得主机能够访问受限区域，其中，受限区域包括安全检查策略服务器以及补丁和病毒库服务器；在通过安全检查的情况下，向接入设备发起认证请求，并且在认证成功的情况下，将接入设备的工作模式设置为工作Vlan模式，使得主机能够访问网络和受限区域。

此外，在上述主机向接入设备发起认证请求之后，进一步包括：响应于认证请求，接入设备将用户信息发送到认证服务器进行合法性认证；在认证失败的情况下，将接入设备的工作模式设置为保持Guest Vlan模式，使得主机能够访问受限区域。

此外，在未通过安全检查的情况下，将上述接入设备的工作模式设置为Guest Vlan模式，使得主机能够访问受限区域后，进一步包括：主机访问受限区域的安全策略服务器以及补丁和病毒库服务器，获取更新的安全检查策略和自动修复策略，并进行自动修复；在自动修复完成后，根据安全检查策略对主机进行安全检查。

根据本发明的另一方面，提供了一种主机隔离方法，用于对接入网络的不安全主机进行隔离。

根据本发明实施例的主机隔离方法包括：在主机接入网络后，从安全检查策略服务器获取安全检查策略，并根据安全检查策略对主机进行安全检查；在未通过安全检查的情况下，通知认证服务器向主机的接入设备发送下线消息；响应于下线消息，接入设备向主机发送下线通知，并且将接入设备的工作模式设置为Guest Vlan模式，使得主机能够访问受限区域，其中，受限区域包括安全检查策略服务器以及补丁和病毒库服务器。

其中，在未通过安全检查的情况下，通知认证服务器向主机的接入设备发送下线消息具体为：认证服务器接收来自主机的下线通知，下线通知中包括主机的地址信息；认证服务器根据主机的地址信息，查找主机的会话信息，其中，会话信息中包括主机的用户名和接入设备信息；认证服务器根据会话信息构造下线消息，并将下线消息发送到接入设备。

此外，将上述接入设备的工作模式设置为Guest Vlan模式，使得主机能够访问受限区域后，进一步包括：接入设备向认证服务器发送记账终止报文，通知认证服务器主机已经下线。

此外，进一步包括：上述主机访问受限区域的安全策略服务器以及补丁和病毒库服务器，获取更新的安全检查策略和自动修复策略，并进行自动修复；在自动修复完成后，主机重新发起认证请求，在认证请求通过的情况下，将接入设备的工作模式设置为工作Vlan模式，使得主机能够访问网络和受限区域。

根据本发明的再一方面，提供了一种主机安全接入和隔离的系统。

根据本发明实施例的主机安全接入和隔离的系统包括：受限区域服务器，用于提供安全检查策略和自动修复策略；客户端模块，用于从受限区域服务器获取安全检查策略，对主机安全状态进行检查，以及发起认证请求；认证服务器，用于对主机进行认证、授权；接入设备，用于将主机接入网络和/或受限区域服务器。

此外，上述接入设备进一步包括：第一接入模块，运行于工作Vlan模式，用于将主机接入网络和受限区域服务器；第二接入模块，运行于Guest Vlan模式，用于将主机接入受限区域服务器；调用模块，用于调用第一接入模块和第二接入模块。

此外，上述客户端模块进一步包括：获取模块，用于从受限区域服务器中获取安全检查策略和自动修复策略；安全检查模块，用于对主机进行安全检查；认证请求模块，用于发起认证请求；修复模块，用于对主机进行修复。

此外，上述调用模块用于在主机未通过安全检查模块的安全检查的情况下，调用第一接入模块；以及在主机通过安全检查模块的安全检查以及在认证服务器认证通过的情况下，调用第二接入模块。

此外，上述获取模块用于在主机未通过安全检查模块的安全检查的情况下，从受限区域服务器中获取安全检查策略和自动修复策略；修复模块用于使用获取模块获取的自动修复策略对主机进行修复；认证请求模块用于在修复模块完成修复的情况下发起认证请求。

通过上述技术方案，能够保证接入网络的主机是安全的，并且对已经接入网络的主机进行动态检查，对不安全主机进行隔离修复，能够根据实际需要更新安全检查策略，提高了网路的安全性。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1是根据本发明是方法实施例的主机安全接入方法的流程图；

图2是根据本发明方法实施例的主机安全接入方法的详细处理的流程图；

图3是根据本发明是方法实施例的主机隔离方法的流程图；

图4是根据本发明是方法实施例的主机隔离方法的详细处理的流程图；

图5是根据本发明系统实施例的主机安全接入和隔离系统的框图；

图6是根据本发明系统实施例的主机安全接入和隔离系统的示意图；

图7是根据本发明系统实施例的主机隔离的信令流程图。

具体实施方式

以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

方法实施例一

在本实施例中，提供了一种主机安全接入方法，图1是根据本发明是实施例的主机安全接入方法的流程图，如图1所示，包括以下处理：

步骤S102，在主机发起接入时，从安全检查策略服务器获取安全检查策略，并根据安全检查策略对主机进行安全检查；

另外，客户端(客户端模块)会定时的向安全策略服务器查询是否有更新的安全检查策略，如果有，则下载最新的安全检查策略，在获得安全检查策略后，客户端会定时根据安全检查策略对接入主机进行检查，检查是否符合安全检查策略。

步骤S104，在未通过安全检查的情况下，将接入设备的工作模式设置为Guest Vlan模式，使得主机能够访问受限区域，其中，受限区域包括安全检查策略服务器以及补丁和病毒库服务器；

步骤S106，在通过安全检查的情况下，向接入设备发起认证请求，如果用户名和密码正确，即，如果认证成功，则用户可以成功接入网络，此时，将接入设备的工作模式设置为工作Vlan模式，使得主机能够访问网络和受限区域。

步骤S106中，在向接入设备发起认证请求之后，进一步包括：响应于认证请求，接入设备将用户信息发送到认证服务器进行合法性认证；在认证失败的情况下，将接入设备的工作模式设置为保持Guest Vlan模式，使得主机能够访问受限区域。

此外，在未通过安全检查的情况下，将上述接入设备的工作模式设置为Guest Vlan模式，使得主机能够访问受限区域后，进一步包括：主机访问受限区域的安全策略服务器以及补丁和病毒库服务器，获取更新的安全检查策略和自动修复策略，并进行自动修复；在自动修复完成后，根据安全检查策略对主机进行安全检查。另外，当客户端不能自动完成修复时将提示用户自行手工对主机进行修复。

通过以上描述可以看出，在用户不在线(离线状态)的情况下，通过交换机(接入设备)设置的GuestVlan模式，用户仅可以访问受限区域，即，安全策略服务器和病毒库补丁服务器，而不能访问网络，此时，用户处于“隔离”状态，在用户认证通过后，经过Vlan跳转进入正常的工作Vlan模式，此时，用户可以同时访问网络和受限区域。

下面，结合附图，对上述技术方案的处理过程进行详细说明。如图2所示，用户进行接入前安全检查包括以下步骤：

1、客户端首先根据策略判断接入主机是否安全；

2、在接入主机未通过安全检查，即主机不安全的情况下，客户端不为用户发起认证，并且提示用户等待主机通过安全检查后进行登录，处理流程结束；

3、在用户主机已经通过安全检查的情况下，客户端为用户向接入交换机发起认证请求，交换机将用户信息(例如，用户名、密码)送到Radius服务器进行合法性检查；

4、在用户信息不正确时，用户不能认证通过，用户继续在GuestVlan内访问受限区域；

5、在用户信息正确时，用户认证通过；

6、在用户认证通过后，接入交换机进行Vlan跳转，由Guest Vlan跳转到工作Vlan，此时用户可以访问网络和受限区域。

通过上述的实施例，实现了保证接入主机安全性的目的。

方法实施例二

在用户接入网络后，由于策略变更或主机安全状态变更使得主机不能通过安全检查，此时，认证客户端或安全检查策略服务器可以直接或间接的通知Radius服务器该主机已经不再安全，并附加必要的主机信息(例如，接入主机网卡的MAC地址)用于Radius定位主机以便进行下一步操作。当Radius服务器收到信息后，根据主机信息确定登陆用户所使用的用户名以及所在的接入交换机，构造下线消息(RFC3576)并发送到接入交换机，接入交换机在收到下线消息后，会向客户端发送认证失败消息使得用户下线，并停止为用户提供网络接入服务，用户从工作Vlan模式跳转回Guest Vlan模式，对用户进行隔离和修复。

下面，对上述技术方案进行详细说明。

在本实施例中，提供了一种主机隔离方法，用于对接入网络的不安全主机进行隔离，图3是根据本发明是实施例的主机隔离方法的流程图，如图3所示，包括：

步骤S302，在主机接入网络后，从安全检查策略服务器获取安全检查策略，并根据安全检查策略对主机进行安全检查；

步骤S304，在未通过安全检查的情况下，通知认证服务器(即，Radius服务器)向主机的接入设备发送下线消息；具体地，认证服务器接收来自主机的下线通知，下线通知中包括主机的地址信息；认证服务器根据主机的地址信息，查找主机的会话信息，其中，会话信息中包括主机的用户名和接入设备信息；认证服务器根据会话信息构造下线消息，并将下线消息发送到接入设备；

步骤S306，响应于下线消息，接入设备向主机发送下线通知，并且将接入设备的工作模式设置为Guest Vlan模式，使得主机能够访问受限区域，其中，受限区域包括安全检查策略服务器以及补丁和病毒库服务器。

之后，接入设备可以向认证服务器发送记账终止报文，通知认证服务器主机已经下线。并且，主机可以访问受限区域的安全策略服务器以及补丁和病毒库服务器，获取更新的安全检查策略和自动修复策略，并进行自动修复；在自动修复完成后，主机重新发起认证请求，在认证请求通过的情况下，将接入设备的工作模式设置为工作Vlan模式，使得主机能够访问网络和受限区域。

下面，结合附图，对上述技术方案的处理过程进行详细说明。如图4所示，包括以下步骤：

1、客户端定时根据安全策略对主机是否安全进行检查，该操作由定时器触发；

2、在主机通过安全检查的情况下，处理流程结束；

3、在主机未能通过安全检查的情况下，向Radius服务器发送消息，在消息中包括必要的主机网卡的MAC地址，通知Radius服务器该主机不安全；

4、Radius服务器在接收到消息后，根据网卡的MAC地址查找用户的会话信息，其中，会话信息包括用户名称、接入交换机等重要信息，Radius服务器根据这些消息构造下线消息(例如，RFC3576)并发送到用户登陆所在的交换机；

5、交换机在收到Radius服务器的下线消息后，向该用户发送EAP-Failure消息通知用户下线；

6、将用户登陆所使用的端口从工作Vlan跳转到Guest Vlan，对用户进行隔离，在用户在被隔离后，只能访问安全策略服务器和补丁病毒库下载服务器，在客户端或用户手工对主机的安全性进行修复后，用户可以再次登陆接入网络；

7、在用户隔离后，交换机向Radius服务器发送记账终止报文，通知Radius服务器用户已经下线；

通过上述的实施例，实现了对接入主机安全状态的实时监控，并实时的对不安全的主机进行隔离修复。

系统实施例

在本实施例中，提供了一种主机安全接入和隔离系统，该系统的工作主要分为两个部分，一个是用户接入时的主机安全性检查，另一个是用户接入网络后的主机安全性实时检查。图5是根据本发明实施例的主机安全接入和隔离系统的框图，如图5所示，包括：

受限区域服务器50，用于提供安全检查策略和自动修复策略；如图6所示，包括安全检查策略服务器和病毒库补丁服务器，其中，安全检查策略服务器能够供用户设置安全检查策略，以方便用户根据不同的情况设置不同的策略，策略服务器还应该支持策略的下载功能，以便客户端实时更新安全检查策略，此外，病毒库补丁服务器，主要提供系统补丁、杀毒软件病毒库及相关软件下载功能；

客户端模块52，用于从受限区域服务器获取安全检查策略，对主机安全状态进行检查，以及发起认证请求，具体地，如图6所示，客户端模块还52包括认证功能，能够使用EAPoL协议进行认证并接入网络，另外，应该包括主机安全状态检测功能，与安全策略服务器通讯并下载安全检查策略功能，补丁和病毒库自动下载和自动安装功能；

认证服务器(Radius服务器)54，用于对主机进行认证、动态授权，并且，Radius服务器应该支持记账功能；

接入设备56，用于将主机接入网络和/或受限区域服务器，具体地，接入设备56应该支持802.1x认证及远程用户拨号认证系统(Remote Authentication Dial In User Service，简称为RADIUS)认证(RFC2865)和动态授权功能(RFC3576)，另外还需要支持GuestVlan和Vlan跳转功能。

此外，接入设备56进一步包括：

第一接入模块，运行于工作Vlan模式，用于将主机接入网络和受限区域服务器；

第二接入模块，运行于Guest Vlan模式，用于将主机接入受限区域服务器；

调用模块，用于调用第一接入模块和第二接入模块，具体地，调用模块用于在主机未通过安全检查模块的安全检查的情况下，调用第一接入模块；在主机通过安全检查模块的安全检查的情况下，以及在认证服务器认证通过的情况下，调用第二接入模块。

此外，上述客户端模块52进一步包括：

获取模块，用于从受限区域服务器中获取安全检查策略和自动修复策略；

安全检查模块，用于对主机进行安全检查；认证请求模块，用于发起认证请求；

修复模块，用于对主机进行修复。

具体地，获取模块用于在主机未通过安全检查模块的安全检查的情况下，从受限区域服务器中获取安全检查策略和自动修复策略；修复模块用于使用获取模块获取的自动修复策略对主机进行修复；认证请求模块用于在修复模块完成修复的情况下发起认证请求。

图7示出了上述系统在主机接入网络后，对主机进行隔离的系统信令流程图，如图7所示，客户端定时对主机安全状态进行检查，在没有通过安全检查的情况下，发送消息通知Radius服务器主机已经不安全，Radius服务器向接入交换机发送下线消息，接入交换机向客户端发送EAR-failure下线消息通知客户端下线，并将端口模式设置为Guest Vlan模式，并发送记账终止报文通知Radius服务器用户已经下线。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。