[发明专利]实现网络接入认证、传输加密、UTM的系统及方法

说明书

技术领域

本发明涉及网络通信安全领域，尤其涉及一种实现网络接入认证、传输 加密、UTM的系统及方法。

背景技术

目前，网络接入认证系统与设备、网络传输加密系统与设备、UTM系统 与设备在部署时基本上都是以单一产品应用、叠加部署的方式。而目前市场 上大多数安全交换机都只是带认证、VLAN划分功能；虽然也存在少数把防 毒、与IDS、IDP联动实现了概念的结合的交换机也已经有，但这些产品都只 是停留在产品的堆砌阶段，并不能实现上述功能的无缝集成。

因此，采用上述部署方式会不可避免地有如下缺点：不同产品之间联动 性极差、兼容性差；整体网络性能差；部署成本高。

发明内容

本发明所要解决的技术问题是：提供一种实现网络接入认证、传输加密、 UTM的方法，该方法可实现网络接入认证、传输加密、UTM的无缝集成， 增强系统部件联动性、提升整体网络性能、降低组网成本。

本发明进一步所要解决的技术问题是：提供一种实现网络接入认证、传 输加密、UTM的系统，该方法可实现网络接入认证、传输加密、UTM的无 缝集成，增强系统部件联动性、提升整体网络性能、降低组网成本。

为解决上述技术问题，本发明采用如下技术方案：

一种实现网络接入认证、传输加密、UTM的系统，该系统包括有：

网络接入认证子系统，用于根据预设的认证方式，对访问网络的用户进 行接入认证；

网络传输加/解密子系统，用于根据预设的密钥，在网络传输链路中，对 需要加/解密的网络数据包进行加/解密；

统一威胁管理子系统，用于按照预设的管理策略，对网络数据包进行统 一威胁管理；

网络流转控制子系统，与上述各子系统相连，判断网络数据包类型和有 效性，并根据其类型和有效性选择将其流转到所述网络接入认证子系统、或 者网络传输加/解密子系统和统一威胁管理子系统执行相应的接入认证、或者 加/解密和统一威胁管理，

所述网络流转控制子系统包括有：

过滤驱动主控模块，设置在网络驱动层，用于转发受控主机的认证客户 端或网络应用客户端与网络处理器之间的管理数据或业务数据；

网络协议栈，设置在交换节点的设备驱动层，用于将来自受控主机的网 络数据包根据其包类型和有效性流转到对应的网络接入认证子系统、或者网 络传输加/解密子系统和统一威胁管理子系统，执行对应的接入认证、或者加 /解密和统一威胁管理，并根据其接收到的被处理后的网络数据包类型，将所 述网络数据包通过所述过滤驱动主控模块发送到受控主机的认证客户端或网 络应用客户端。

相应地，本发明还公开了一种实现网络接入认证、传输加密、UTM的方 法，该方法包括以下步骤：

受控主机过滤驱动步骤，在受控主机的网络驱动层截获来自受控主机认 证客户端或网络应用客户端的网络数据包，判断网络数据包的类型，将其发 送到网络设备驱动层；

网络流转控制步骤，判断网络数据包的类型，并根据其类型和有效性选 择将其流转到网络接入认证子系统、或者网络传输加/解密子系统和统一威胁 管理子系统执行相应的接入认证、或者加/解密和统一威胁管理，

所述网络流转控制步骤具体包括：

过滤驱动主控模块将来自受控主机的认证客户端的管理数据包或者网络 应用客户端的业务数据包发送到认证代理模块；或者将来自认证代理模块的 管理数据包发送到所述认证客户端、业务数据包发送到所述网络应用客户端；

设备驱动层的网络协议栈判断来自所述过滤驱动主控模块的网络数据包 的类型和有效性，若为管理数据包，则将其流转到对应的网络接入认证子系 统执行接入认证，若为业务数据包，则将其流转到对应的网络传输加/解密子 系统和统一威胁管理子系统执行加/解密和统一威胁管理；或者将来自业务数 据交换网络或认证代理模块的网络数据包发送到所述过滤驱动主控模块。

本发明的有益效果是：

本发明的实施例通过在一个交换设备的一次收包过程中，实现了网络接 入认证、传输加密、以及UTM的无缝集成，从而增强了系统部件联动性、 提升了整体网络性能、并且降低了组网成本。

下面结合附图对本发明作进一步的详细描述。

附图说明

图1是本发明提供的实现网络接入认证、传输加密、UTM的系统的一个 实施例。