[发明专利]基于扩展802.1x认证系统的安全接入方法

说明书

技术领域

本发明涉及数据通信的接入技术，特别涉及终端设备利用802.1x协议通过 二层接入设备安全接入的技术。

背景技术

伴随着网络应用的深入，网络安全问题也愈演愈烈，包括拒绝服务攻击，病 毒、黑客入侵、间谍软件、网络钓鱼等在内的安全问题发生的几率越来越大，而 且带来的危害也日益严重，成为互联网安全的重大威胁。传统网络通过分层安全 性抵御安全攻击，如为网络周边、关键网络段和面向应用的授权等提供级别越来 越高的安全保护；这些模式提供全面的网络接入，可以保护资源，防止外部威胁 和非法应用接入，但仅靠网络边缘的外围设备已无法保证网络的安全性；即便运 行着防火墙等网络周边安全机制，病毒、电子邮件蠕虫、特洛伊木马、拒绝服务 攻击和其他恶意行为仍频繁利用终端用户设备渗入内部网络环境。在不安全端点 的用户，也会不经意间将以上威胁带入内部网络，而用户对此却毫不觉察，甚至 某些威胁随后可能会迅速蔓延，以致造成网络中断。人们意识到，传统的网络解 决方案无法解决这些问题，必须要从接入终端的安全性着手，保证通过网络边缘 设备接入的终端是安全的、可信的，使得用户身份识别和验证必须与端点评估结 合在一起，且必须应用于每个会话及会话内部。现在面临的挑战是要找到尽可能 利用现有网络基础设施的适当方法，同时为各类用户接入资源和应用提供简单 安全的模式。

针对于此，业界提出了几种安全接入技术，目前具有代表性的技术包括：思 科的网络接入控制NAC(Network AdmissionControl)技术，微软的网络接入保护 技术NAP(Network AccessProtection)以及TCG组织的可信网络连接TNC(Trusted NetworkConnect)技术等。这些技术的主要思路都是从终端着手，通过事先制定的 安全策略，对接入网络的主机进行安全性检测，自动拒绝不安全的主机接入，保 护网络直到这些主机符合网络的安全策略为止。可信网络连接(TNC)是针对这 种情况而提出的一种解决方案，旨在通过提供一致的安全服务体系结构来为网络 提供安全性保障。可信网络连接(TNC)，是可信计算组织(Trusted ComputingGroup，简称TCG)的一个部门，也指开放的标准网络接入控制架构。 TNC是建立在基于主机的可信计算技术之上的，其主要目的在于通过使用可信 主机提供的终端技术，实现网络访问控制的协同工作。又因为完整性校验被终端 作为安全状态的证明技术，所以用TNC的权限控制策略可以估算目标网络的终 端适应度。TNC网络构架会结合已存在的网络访问控制策略来实现访问控制功 能。TNC规范的主要思想是，当终端要访问网络之前，要对终端的身份进行识别， 并对其完整性状态进行检测并与系统的安全策略进行比较，如果满足安全策略要 求，则允许终端接入网络；否则，则拒绝或是对该终端进行隔离。当终端处于 隔离状态时，可以对该终端进行修复；当终端的完整性及其它安全属性达到系统 安全策略的要求时，方可允许该终端接入网络。这样，可大大提高整个网络系统 的安全性及可信性。

现有终端设备通过二层设备接入网络的方案中，802.1x协议是在接入身份认 证方面广泛应用的协议，它是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。关于802.1X协议的工作原理可参见公开号 为CN1567868A(申请号03145192.6，公开日2005年1月19日)的专利申请说 明书第1-4页和附图1-5。在这种接入模式下，用户终端作为支持局域网承载扩 展认证协议(Extensible Authentication Protocol over LAN，简称EAPOL)的认证 请求者，二层接入设备是支持802.1x协议的认证者，采用RADIUS认证服务器 来对用户终端系统的身份进行认证；这种方式可以有效地解决接入用户身份认证 的问题，但是无法同时解决终端的安全可信接入问题。因此，有必要对这种认证 方式进行改进，来满足终端用户通过二层设备安全可信的接入网络的需求。

发明内容

本发明提供了一种基于扩展802.1x认证系统的安全接入方法，从而克服现 有802.1x认证协议无法实现终端用户可信接入的问题。