[发明专利]实现网络接入认证、传输加密、UTM的系统及方法

权利要求书

1.一种实现网络接入认证、传输加密、UTM的系统，其特征在于，该 系统包括有：

网络接入认证子系统，用于根据预设的认证方式，对访问网络的用户进 行接入认证；

网络传输加/解密子系统，用于根据预设的密钥，在网络传输链路中，对 需要加/解密的网络数据包进行加/解密；

统一威胁管理子系统，用于按照预设的管理策略，对网络数据包进行统 一威胁管理；

网络流转控制子系统，与上述各子系统相连，判断网络数据包类型和有 效性，并根据其类型和有效性选择将其流转到所述网络接入认证子系统、或 者网络传输加/解密子系统和统一威胁管理子系统执行相应的接入认证、或者 加/解密和统一威胁管理，

所述网络流转控制子系统包括有：

过滤驱动主控模块，设置在网络驱动层，用于转发受控主机的认证客户 端或网络应用客户端与网络处理器之间的管理数据或业务数据；

网络协议栈，设置在交换节点的设备驱动层，用于将来自受控主机的网 络数据包根据其包类型和有效性流转到对应的网络接入认证子系统、或者网 络传输加/解密子系统和统一威胁管理子系统，执行对应的接入认证、或者加 /解密和统一威胁管理，并根据其接收到的被处理后的网络数据包类型，将所 述网络数据包通过所述过滤驱动主控模块发送到受控主机的认证客户端或网 络应用客户端。

2.如权利要求1所述的实现网络接入认证、传输加密、UTM的系统， 其特征在于，所述网络接入认证子系统包括有：

过滤驱动管理模块，设置在所述认证客户端与过滤驱动主控模块之间， 用于接收来自所述认证客户端的管理数据包，跟踪更新其认证状态并将其发 送到所述过滤驱动主控模块；

认证代理模块，设置在所述设备驱动层，用于通过管理数据交换网络向 网络层发送认证数据包，接收所述网络层返回的认证回应数据包，并判断该 认证回应数据包是否需要转发给认证客户端，若是，则将其转化为预设的格 式后发送给网络协议栈；

认证服务模块，设置在所述网络层，用于接收来自所述认证代理模块的 认证数据包，并按照预设的认证流程向其发送认证回应数据包。

3.如权利要求1或2所述的实现网络接入认证、传输加密、UTM的系 统，其特征在于，所述统一威胁管理子系统包括有：

UTM代理模块，设置在所述设备驱动层、通过管理数据交换网络与服务 器相连，用于从服务器端获得预设的UTM策略；

UTM执行模块，设置在所述设备驱动层、与所述网络协议栈相连，用于 按照所述UTM代理模块获得的UTM策略对所述网络协议栈发送的业务数据 包执行统一威胁管理后，将其发送到业务数据交换网络，并将从业务数据交 换网络接收的业务数据包执行统一威胁管理后，将其发送到所述网络协议栈。

4.如权利要求3所述的实现网络接入认证、传输加密、UTM的系统， 其特征在于，所述网络传输加/解密子系统包括有：

传输加密代理模块，设置在交换节点的设备驱动层，通过管理数据交换 网络与服务器相连，用于与服务器通信，获得预设的密钥；

过滤驱动加密模块，设置在所述受控主机的网络应用客户端与过滤驱动 主控模块之间，用于将来自所述网络应用客户端的业务数据包以预设的密钥 加密后，发送给所述过滤驱动主控模块，并将来自所述过滤驱动主控模块的 加密业务数据包解密后，转发到所述网络应用客户端；

驱动层加/解密模块，分别设置在所述设备驱动层的上行端口和下行端 口，用于根据预设的统一威胁管理策略的检查深度判断从所述上行端口接收 和下行端口接收到的加密业务数据包是否需要解密，若是则对其包进行解密， 以及对符合预设的统一威胁管理策略的需要加密的业务数据包进行加密；

网络层加/解密模块，设置在所述网络层的业务通信口、并通过网桥连接 到业务数据交换网络，用于对在交换节点内部及与其他网络之间传输的需要 加/解密的业务数据进行加/解密。