[发明专利]一种终端可信接入认证系统及方法

说明书

技术领域

本发明属于网络安全管理技术领域，涉及一种安全管控系统，具体涉及一种终端可信接入认证系统及方法。

背景技术

目前由于网络环境的复杂性、网络设备的多样性、网络终端接入技术多样性，以及终端用户的不合规性，使得终端随意接入访问的网络边界接入安全问题日益突出显现。网络终端是接入和访问网络的入口，单个终端坏点足以能够导致整个网络系统的瘫痪。终端可信接入系统是保障网络安全的第一道也是最重要的安全防线。如何有效管控网络终端的安全接入，构建终端可信接入认证控制体系，从源头上防范非法接入安全隐患已成为当前网络安全管理的关键。

发明内容

本发明的目的在于解决上述问题，提供一种终端可信接入认证系统及方法。

为了实现上述目的，本发明所采用的技术方案是：

一种终端可信接入认证系统，包括用于实现终端用户的可信身份认证的用户身份认证模块以及用于实现终端节点的可信接入认证的终端接入认证模块。

所述的用户身份认证模块包括CA用户证书以及CA认证服务器；CA认证中心为每位用户配发一个USB-Key硬件设备，CA用户证书、私钥以及用户的基本信息保存在USB-Key硬件设备中；USB-Key硬件设备能够设置用户口令，且具有USB接口。

所述的终端接入认证模块包括接入认证交换机、CA认证服务器以及RADIUS认证服务器；RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。

一种终端可信接入认证方法，包括以下步骤：

1)可信身份认证

1-1)首先终端组件通过GetTimes()函数获取本地时间，然后将时间拼装成字符串格式；

1-2)通过GenSimpleKey(10)函数获取时间字符串的10位随机数；

1-3)调用本地的USB-Key硬件设备中的私钥对该随机数进行PKCS#7签名，签名函数CertificateSign_certThumbprint(strTexts,rtest)由相应CA认证中心提供；

1-4)签名完成后，调用CA认证服务器进行验证，服务器利用私钥解密出证书信息和本地时间，然后查看证书信息是否存在于白名单中，同时将本地时间与当前时间作比较，确保验证过程在允许的时间间隔内完成。

2)可信接入认证

2-1)用户插入USB-Key硬件设备，终端组件广播发送EAPOL-Start包，请求认证；

2-2)接入认证交换机返回请求用户名包；

2-3)终端组件自动获取数字证书设备中的入网号作为用户名，发送封装用户名的数据包；

2-4)RADIUS服务器产生MD5-Challenge加密字，并由接入认证交换机返回给终端组件；

2-5)客户端发送用户名和加密密码包；

2-6)接入认证交换机将用户名和密码包转发给RADIUS服务器进行验证，合法则返回成功认证包，否则返回认证失败包。

与现有技术相比，本发明具有以下有益效果：

本发明是基于CA的802.1x的终端可信接入认证系统，通过CA将用户的公钥和标识信息(姓名、工作单位、e-mail、地址)捆绑并存放在电子证书内，实现了用户的身份认证；结合数据加密和数字签名技术保证了用户信息的保密性、完整性和不可抵赖性；结合802.1x协议开发的终端接入组件具有主动发起认证的功能，且随机加密字由设备端产生，下接的终端设备通过用户名和密码的认证结果来决定端口的开启和闭合。其检测效率高、性能稳定，能够主动防御非法终端，解决了终端身份不确定的问题。对设备的整体性能要求不高，可以有效降低建网成本；支持组播业务；兼容PPP，扩展性和适应性良好；设计了可控端口和不可控端口，实现了业务和认证的分离；认证通过后，不再需要对数据包进行封装处理，效率高；可映射不同的用户等级到不同的VLAN，实现拥有不同权限的用户域的管理；具有实现方式简单、认证效率高、安全可靠、易于运营的优势。

附图说明

图1为本发明用户身份认证流程图；

图2为本发明终端接入认证流程图。

具体实施方式

下面结合附图和实施例对本发明做进一步详细的说明：