[发明专利]主机安全接入方法、隔离方法及安全接入和隔离的系统

说明书

技术领域

本发明涉及通信领域，并且特别地，涉及一种主机安全接入方 法、隔离方法及安全接入和隔离的系统。

背景技术

随着网络的不断普及，802.1x网络接入技术得到了广泛的应用， 并且拥有广阔的市场。网络的普及也使得网络的安全性面临着巨大 挑战，网络中的各种病毒/木马泛滥，各种形式的网络扫描与网络攻 击也大量不在，危害了网络安全及网络用户的信息安全。

经过研究发现，如果能够保证网络中每一台主机的安全性，网 络的整体安全性将得到提高。例如，假如网络中的每一台主机都安 装了杀毒软件、将病毒库升级到最新、安装了防火墙且封闭了不必 要的端口、以及安装了最新的系统补丁从而填补了系统漏洞，这样， 主机就很难受到病毒的感染和黑客的攻击，从而可以阻止网络病毒 的迅速传播，保证了整个网络的安全性。

但是，由于网络用户的水平不同，并不是每一个网络用户都会 有意识的进行上面的操作以保证主机的安全性，因此，需要一种不 依赖于用户的操作方法来保证接入主机的安全性并对已接入的不安 全的主机进行隔离和修复。

发明内容

考虑到无法保证网络中接入主机的安全性、以及无法对已接入 的不安全主机进行隔离和修复的问题而做出本发明，为此，本发明 的主要目的在于提供一种主机安全接入的方法、隔离方法以及安全 接入和隔离的系统，以解决相关技术中的上述问题。

根据本发明的一个方面，提供了一种主机安全接入方法。

根据本发明实施例的主机安全接入方法包括：在主机发起接入 时，从安全检查策略服务器获取安全检查策略，并根据安全检查策 略对主机进行安全检查；在未通过安全检查的情况下，将接入设备 的工作模式设置为Guest Vlan模式，使得主机能够访问受限区域， 其中，受限区域包括安全检查策略服务器以及补丁和病毒库服务器； 在通过安全检查的情况下，向接入设备发起认证请求，并且在认证 成功的情况下，将接入设备的工作模式设置为工作Vlan模式，使得 主机能够访问网络和受限区域。

此外，在上述主机向接入设备发起认证请求之后，进一步包括： 响应于认证请求，接入设备将用户信息发送到认证服务器进行合法 性认证；在认证失败的情况下，将接入设备的工作模式设置为保持 Guest Vlan模式，使得主机能够访问受限区域。

此外，在未通过安全检查的情况下，将上述接入设备的工作模 式设置为Guest Vlan模式，使得主机能够访问受限区域后，进一步 包括：主机访问受限区域的安全策略服务器以及补丁和病毒库服务 器，获取更新的安全检查策略和自动修复策略，并进行自动修复； 在自动修复完成后，根据更新的安全检查策略对主机进行安全检查。

根据本发明的另一方面，提供了一种主机隔离方法，用于对接 入网络的不安全主机进行隔离。

根据本发明实施例的主机隔离方法包括：在主机接入网络后， 从安全检查策略服务器获取安全检查策略，并根据安全检查策略对 主机进行安全检查；在未通过安全检查的情况下，通知认证服务器 向主机的接入设备发送下线消息；响应于下线消息，接入设备向主 机发送下线通知，并且将接入设备的工作模式设置为Guest Vlan模 式，使得主机能够访问受限区域，其中，受限区域包括安全检查策 略服务器以及补丁和病毒库服务器。

其中，在未通过安全检查的情况下，通知认证服务器向主机的 接入设备发送下线消息具体为：认证服务器接收来自主机的下线通 知，下线通知中包括主机的地址信息；认证服务器根据主机的地址 信息，查找主机的会话信息，其中，会话信息中包括主机的用户名 和接入设备信息；认证服务器根据会话信息构造下线消息，并将下 线消息发送到接入设备。

此外，将上述接入设备的工作模式设置为Guest Vlan模式，使 得主机能够访问受限区域后，进一步包括：接入设备向认证服务器 发送记账终止报文，通知认证服务器主机已经下线。

此外，进一步包括：上述主机访问受限区域的安全策略服务器 以及补丁和病毒库服务器，获取更新的安全检查策略和自动修复策 略，并进行自动修复；在自动修复完成后，主机重新发起认证请求， 在认证请求通过的情况下，将接入设备的工作模式设置为工作Vlan 模式，使得主机能够访问网络和受限区域。

根据本发明的再一方面，提供了一种主机安全接入和隔离的系 统。