專利名稱:基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信網(wǎng)絡(luò)安全領(lǐng)域�,尤其涉及一種基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全 準(zhǔn)入控制的方法和系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)網(wǎng)絡(luò)規(guī)模和應(yīng)用的加速發(fā)展����,IPv6以其巨大地址空間����、靈活的地址配 置方式以及移動(dòng)性���、安全性等特點(diǎn)�����,成為下一代網(wǎng)絡(luò)發(fā)展的目標(biāo)�����。IPv6協(xié)議的一個(gè)突出特點(diǎn) 是支持網(wǎng)絡(luò)節(jié)點(diǎn)的地址自動(dòng)配置�,實(shí)現(xiàn)了網(wǎng)絡(luò)設(shè)備的“即插即用”���。IPv6節(jié)點(diǎn)通過(guò)地址自動(dòng)配置得到IPv6地址和網(wǎng)關(guān)地址。IPv6地址自動(dòng)配置機(jī)制 包括無(wú)狀態(tài)地址自動(dòng)配置和狀態(tài)地址自動(dòng)配置兩種方式����,其中,無(wú)狀態(tài)自動(dòng)配置不需部署 DHCPv6服務(wù)器��,只是要求本地鏈路支持組播����,而且網(wǎng)絡(luò)接口能夠發(fā)送和接收組播��。無(wú)狀態(tài)自動(dòng)配置包括以下三個(gè)步驟進(jìn)行自動(dòng)配置的節(jié)點(diǎn)首先必須確定自己的鏈 路本地地址��;然后驗(yàn)證該鏈路本地地址在鏈路上的唯一性�����;最后節(jié)點(diǎn)必須確定需要配置的 信息��。具體過(guò)程為主機(jī)首先通過(guò)將它的網(wǎng)卡MAC地址附加在鏈路本地地址前綴1111111010 (FE80) 之后���,產(chǎn)生一個(gè)鏈路本地地址(IEEE已經(jīng)將網(wǎng)卡MAC地址由48位改為了 64位。如果主機(jī) 采用的網(wǎng)卡的MAC地址依然是48位����,那么IPv6網(wǎng)卡驅(qū)動(dòng)程序會(huì)將48位MAC地址轉(zhuǎn)換為64 位MAC地址)。接著主機(jī)向該地址發(fā)出一個(gè)被稱為鄰居發(fā)現(xiàn)(ND��,Neighbor Discovery)的 請(qǐng)求�����,以驗(yàn)證地址的唯一性�����。如果請(qǐng)求沒(méi)有得到響應(yīng),則表明主機(jī)自我設(shè)置的鏈路本地地址 是唯一的�。否則��,主機(jī)將使用一個(gè)隨機(jī)產(chǎn)生的接口 ID附加在鏈路本地地址前綴之后組成一 個(gè)新的鏈路本地地址���。主機(jī)以已確定的唯一鏈路本地地址為源地址���,向本地鏈接中所有路 由器多點(diǎn)廣播一個(gè)被稱為路由器請(qǐng)求(RS����,RouterSolicitation)的配置信息請(qǐng)求,路由器 以一個(gè)包含可聚集全局單點(diǎn)廣播地址前綴和其它相關(guān)配置信息的路由器通告響應(yīng)該請(qǐng)求�����。 主機(jī)用獲得的全局地址前綴加上自己的接口 ID��,自動(dòng)配置全局地址��,從而實(shí)現(xiàn)無(wú)狀態(tài)的地 址自動(dòng)配置��。通常�,路由器也會(huì)周期性發(fā)送路由器通告,指明子網(wǎng)前綴等配置信息�。節(jié)點(diǎn)可 以等待路由器的通告,也可以通過(guò)發(fā)送組播請(qǐng)求給所有路由器的組播地址來(lái)請(qǐng)求路由器發(fā) 送通告���。隨著網(wǎng)絡(luò)系統(tǒng)或軟件的漏洞不斷被發(fā)現(xiàn)�����,存在漏洞的主機(jī)成為網(wǎng)絡(luò)蠕蟲(chóng)攻擊的主 要目標(biāo)�。網(wǎng)絡(luò)蠕蟲(chóng)攻擊是一種能夠進(jìn)行自我復(fù)制���,利用系統(tǒng)或網(wǎng)絡(luò)服務(wù)漏洞進(jìn)行傳播的攻 擊行為���。在沒(méi)有安全檢查的情況下,大量存在漏洞的主機(jī)接入企業(yè)網(wǎng)���、互聯(lián)網(wǎng)時(shí)�,會(huì)把各種 安全隱患擴(kuò)散到整個(gè)網(wǎng)絡(luò)�,并影響到網(wǎng)絡(luò)上其它的主機(jī)、服務(wù)器和網(wǎng)絡(luò)設(shè)備�����,造成服務(wù)器宕 機(jī),乃至整個(gè)網(wǎng)絡(luò)擁塞甚至癱瘓����。由于在IPv6協(xié)議無(wú)狀態(tài)地址自配置方式下,無(wú)法對(duì)接入 終端的安全性進(jìn)行驗(yàn)證����,無(wú)法保證只有安全的終端才能接入網(wǎng)絡(luò),因此���,也無(wú)法防止或減少 網(wǎng)絡(luò)蠕蟲(chóng)的爆發(fā)��。綜上所述�����,如何在IPv6地址自動(dòng)配置的同時(shí)實(shí)現(xiàn)終端的安全性接入成為本領(lǐng)域 亟待解決的技術(shù)問(wèn)題��。
發(fā)明內(nèi)容
本發(fā)明要解決的一個(gè)技術(shù)問(wèn)題是提供一種基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入 控制的方法和系統(tǒng)����,通過(guò)在IPv6地址自動(dòng)配置的同時(shí)對(duì)接入終端進(jìn)行安全性驗(yàn)證����,實(shí)現(xiàn)了 終端的安全接入,保障了網(wǎng)絡(luò)的安全性����。進(jìn)一步地,本發(fā)明要解決的另一個(gè)技術(shù)問(wèn)題是提供一種基于接口標(biāo)識(shí)的多接入方 式并發(fā)傳輸?shù)木W(wǎng)絡(luò)側(cè)設(shè)備與終端設(shè)備�,對(duì)IPv6地址自配置機(jī)制進(jìn)行一定的改造,以實(shí)現(xiàn)基 于IPv6地址自動(dòng)配置的終端準(zhǔn)入控制��。本發(fā)明的一個(gè)方面提供了一種基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方 法�����,該方法包括接入控制系統(tǒng)接收終端設(shè)備發(fā)送的包含認(rèn)證信息和接口 ID信息的路由請(qǐng) 求包�����;提取出認(rèn)證信息����,重新封裝后轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器,并記錄接口 ID信息�;接收認(rèn)證服務(wù) 器的認(rèn)證通知消息;根據(jù)認(rèn)證通知消息�,接入控制系統(tǒng)讀取訪問(wèn)控制指令,控制對(duì)終端設(shè)備 的準(zhǔn)入。本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法的一個(gè)實(shí)施例 中����,該方法還包括在步驟“接入控制系統(tǒng)接收終端設(shè)備發(fā)送的包含認(rèn)證信息和接口 ID信 息的路由請(qǐng)求包”之前,在發(fā)起接入請(qǐng)求時(shí)����,終端設(shè)備將認(rèn)證信息、終端設(shè)備產(chǎn)生的接口 ID 信息封裝成路由請(qǐng)求包發(fā)送給接入控制系統(tǒng)����。本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法的一個(gè)實(shí)施例 中,該方法還包括在步驟“提取出認(rèn)證信息�,重新封裝后轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器,并記錄接口 ID信息”之后�,認(rèn)證服務(wù)器將認(rèn)證信息中的字段信息與終端安全策略數(shù)據(jù)庫(kù)中的安全基準(zhǔn) 信息進(jìn)行比對(duì),綜合各項(xiàng)信息的比對(duì)結(jié)果給出綜合的安全狀態(tài)評(píng)級(jí)��;以及將安全狀態(tài)評(píng)級(jí) 與預(yù)定的安全準(zhǔn)入閾值進(jìn)行比較�;如果大于或等于準(zhǔn)入閾值,則認(rèn)證服務(wù)器向接入控制系 統(tǒng)發(fā)送認(rèn)證成功消息����;否則,發(fā)送認(rèn)證失敗消息���。本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法的一個(gè)實(shí)施例 中���,步驟“根據(jù)認(rèn)證通知消息,接入控制系統(tǒng)讀取訪問(wèn)控制指令���,控制對(duì)終端設(shè)備的準(zhǔn)入”具 體包括如果認(rèn)證通知消息是認(rèn)證成功消息�,則接入控制系統(tǒng)生成一個(gè)隨機(jī)數(shù)����,并將其封裝 到路由通告中發(fā)送給終端設(shè)備;以及記錄隨機(jī)數(shù)�����,并設(shè)置其與路由前綴�����、接口 ID信息的對(duì) 應(yīng)關(guān)系����;如果認(rèn)證通知消息是認(rèn)證失敗消息,則接入控制系統(tǒng)向終端設(shè)備發(fā)送錯(cuò)誤通知消 息���,告知終端設(shè)備認(rèn)證失?。唤K端設(shè)備將無(wú)法獲取路由通告信息以接入網(wǎng)絡(luò)����。本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法的一個(gè)實(shí)施例 中,該方法還包括終端設(shè)備接收到路由通告后�����,完成IPv6地址配置�����;讀取路由通告中的隨 機(jī)數(shù)����,將隨機(jī)數(shù)與所配置的IPv6地址一起計(jì)算哈希值,哈希值作為附加的擴(kuò)展頭插入隨后 發(fā)送的IP包頭�����;以及終端設(shè)備向接入控制系統(tǒng)發(fā)送IP包�。本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法的一個(gè)實(shí)施例 中,該方法還包括接入控制系統(tǒng)檢查終端設(shè)備上傳的IP包����;如果IP包中沒(méi)有附加的擴(kuò)展 頭���,則將該IP包直接丟棄;如果IP包中有附加的擴(kuò)展頭����,則接入控制系統(tǒng)利用之前記錄的 路由前綴�、接口 ID信息和隨機(jī)數(shù)同樣計(jì)算哈希值,并將所計(jì)算的哈希值與從擴(kuò)展頭中讀取 的哈希值進(jìn)行比較�����;如果相同�����,則向路由設(shè)備轉(zhuǎn)發(fā)IP包�����,否則��,將IP包丟棄�����。本發(fā)明的另一個(gè)方面提供了一種基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系
5統(tǒng),該系統(tǒng)包括終端設(shè)備��,用于在發(fā)起接入請(qǐng)求時(shí)�,將認(rèn)證信息、終端設(shè)備產(chǎn)生的接口 ID 信息封裝成路由請(qǐng)求包發(fā)送給接入控制系統(tǒng)�;接入控制系統(tǒng),用于接收終端設(shè)備發(fā)送的包 含認(rèn)證信息和接口 ID信息的路由請(qǐng)求包����;提取出認(rèn)證信息,重新封裝后轉(zhuǎn)發(fā)給認(rèn)證服務(wù) 器��,并記錄接口 ID信息����;接收認(rèn)證服務(wù)器的認(rèn)證通知消息;根據(jù)認(rèn)證通知消息����,接入控制系 統(tǒng)讀取訪問(wèn)控制指令,控制對(duì)終端設(shè)備的準(zhǔn)入�����;認(rèn)證服務(wù)器,用于將認(rèn)證信息中的字段信息 與終端安全策略數(shù)據(jù)庫(kù)中的信息進(jìn)行比對(duì)�����,綜合各項(xiàng)信息的比對(duì)結(jié)果給出綜合的安全狀態(tài) 評(píng)級(jí)�����;以及將安全狀態(tài)評(píng)級(jí)與預(yù)定的安全準(zhǔn)入閾值進(jìn)行比較���;如果大于或等于準(zhǔn)入閾值, 則認(rèn)證服務(wù)器向接入控制系統(tǒng)發(fā)送認(rèn)證成功消息����;否則,發(fā)送認(rèn)證失敗消息�����。本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)的一個(gè)實(shí)施例 中��,該接入控制系統(tǒng)還用于如果認(rèn)證通知消息是認(rèn)證成功消息�,則生成一個(gè)隨機(jī)數(shù),并將 其封裝到路由通告中發(fā)送給終端設(shè)備��;以及記錄隨機(jī)數(shù),并設(shè)置其與路由前綴����、接口 ID信 息的對(duì)應(yīng)關(guān)系;如果認(rèn)證通知消息是認(rèn)證失敗消息����,則向終端設(shè)備發(fā)送錯(cuò)誤通知消息,告知 終端設(shè)備認(rèn)證失?�?�;終端設(shè)備將無(wú)法獲取路由通告信息以接入網(wǎng)絡(luò)�。本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)的一個(gè)實(shí)施例 中,終端設(shè)備還用于在接收到路由通告后�,完成IPv6地址配置;讀取路由通告中的隨機(jī) 數(shù)��,將隨機(jī)數(shù)與所配置的IPv6地址一起計(jì)算哈希值����,哈希值作為附加的擴(kuò)展頭插入隨后發(fā) 送的IP包頭;以及向接入控制系統(tǒng)發(fā)送IP包���。本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)的一個(gè)實(shí)施例 中�,接入控制系統(tǒng)還用于檢查終端設(shè)備上傳的IP包;如果IP包中沒(méi)有附加的擴(kuò)展頭����,則 將該IP包直接丟棄;如果IP包中有附加的擴(kuò)展頭���,則接入控制系統(tǒng)利用之前記錄的路由前 綴�����、接口 ID信息和隨機(jī)數(shù)同樣計(jì)算哈希值���,并將所計(jì)算的哈希值與從擴(kuò)展頭中讀取的哈希 值進(jìn)行比較;如果相同���,則向路由設(shè)備轉(zhuǎn)發(fā)IP包,否則��,將IP包丟棄����。本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)的一個(gè)實(shí)施例 中,認(rèn)證服務(wù)器進(jìn)一步包括信息接口模塊、安全評(píng)級(jí)模塊和終端安全策略數(shù)據(jù)庫(kù)����,其中信息 接口模塊,用于接收接入控制系統(tǒng)重新封裝后的����、含有認(rèn)證信息的消息;以及根據(jù)安全評(píng)級(jí) 模塊給出的安全狀態(tài)評(píng)級(jí)發(fā)送認(rèn)證通知消息����;安全評(píng)級(jí)模塊,用于接收信息接口模塊獲取 的認(rèn)證信息���,讀取終端安全策略數(shù)據(jù)庫(kù)中預(yù)先存儲(chǔ)的安全基準(zhǔn)信息����,以及將認(rèn)證信息中的 字段信息與終端安全策略數(shù)據(jù)庫(kù)中預(yù)先存儲(chǔ)的安全基準(zhǔn)信息進(jìn)行比對(duì)�,綜合各項(xiàng)信息的比 對(duì)結(jié)果給出綜合的安全狀態(tài)評(píng)級(jí);以及將安全狀態(tài)評(píng)級(jí)與預(yù)定的安全準(zhǔn)入閾值進(jìn)行比較�; 終端安全策略數(shù)據(jù)庫(kù),用于預(yù)先存儲(chǔ)安全基準(zhǔn)信息���,作為對(duì)安全評(píng)級(jí)模塊獲取的認(rèn)證信息 進(jìn)行綜合評(píng)價(jià)的基準(zhǔn)�。本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)的一個(gè)實(shí)施例 中,信息接口模塊還用于如果安全狀態(tài)評(píng)級(jí)大于或等于準(zhǔn)入閾值��,則向接入控制系統(tǒng)發(fā)送 認(rèn)證成功消息��;否則�����,發(fā)送認(rèn)證失敗消息�。本發(fā)明供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法及設(shè)備,對(duì)IPv6地 址自配置機(jī)制進(jìn)行一定的改造�,通過(guò)在IPv6地址自動(dòng)配置的同時(shí)對(duì)接入終端進(jìn)行安全性 驗(yàn)證,實(shí)現(xiàn)了基于IPv6地址自動(dòng)配置的終端準(zhǔn)入控制�,保障了網(wǎng)絡(luò)的安全性。
圖1示出本發(fā)明實(shí)施例提供的一種基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的 方法的流程圖�;圖2示出本發(fā)明提供的基于IPv6 個(gè)實(shí)施例的流程圖;圖3示出本發(fā)明提供的基于IPv6 個(gè)實(shí)施例的流程圖����;圖4示出本發(fā)明提供的基于IPv6 個(gè)實(shí)施例的流程圖;圖5示出本發(fā)明提供的基于IPv6 個(gè)實(shí)施例的流程圖�����;圖6示出本發(fā)明提供的基于IPv6 設(shè)備認(rèn)證成功的實(shí)現(xiàn)流程圖�����;圖7示出本發(fā)明提供的基于IPv6 設(shè)備認(rèn)證失敗的實(shí)現(xiàn)流程圖��;圖8示出本發(fā)明實(shí)施例提供的一種基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的 系統(tǒng)的結(jié)構(gòu)示意圖�����;圖9示出本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)的另一 個(gè)實(shí)施例的結(jié)構(gòu)示意圖�;圖10示出本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)的一個(gè)具體實(shí)施方式
的結(jié)構(gòu)示意圖。
具體實(shí)施例方式下面參照附圖對(duì)本發(fā)明進(jìn)行更全面的描述�,其中說(shuō)明本發(fā)明的示例性實(shí)施例。圖1示出本發(fā)明實(shí)施例提供的一種基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的 方法的流程圖�����。如圖1所示��,基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法100包括步驟102���, 接入控制系統(tǒng)接收終端設(shè)備發(fā)送的包含認(rèn)證信息和接口 ID信息的路由請(qǐng)求包���。例如,接入 控制系統(tǒng)接收由客戶端設(shè)備發(fā)送的�、包含本機(jī)的認(rèn)證信息和由本機(jī)產(chǎn)生的接口 ID信息的���、 使用ICMPv6路由請(qǐng)求報(bào)文格式所封裝的請(qǐng)求包。本發(fā)明中��,用于對(duì)終端設(shè)備進(jìn)行認(rèn)證的信 息選自操作系統(tǒng)類型����、操作系統(tǒng)版本號(hào)、補(bǔ)丁情況����、文件共享情況、開(kāi)放的TCP端口���、開(kāi)放 的UDP端口�����、運(yùn)行的系統(tǒng)服務(wù)�、用戶口令強(qiáng)度�、Guest用戶使用情況、賬戶鎖定策略����、賬戶口 令策略、啟動(dòng)信息���、瀏覽器版本���、瀏覽器補(bǔ)丁情況、Email客戶端版本���、Email客戶端補(bǔ)丁情 況中的至少任意一種���。步驟104,提取出認(rèn)證信息���,重新封裝后轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器�,并記錄接口 ID信息��。 例如���,接入控制系統(tǒng)從所接收到的CMPv6路由請(qǐng)求報(bào)文格式所封裝的請(qǐng)求包中提取出終端 設(shè)備的認(rèn)證信息和接口 ID信息后���,對(duì)所述認(rèn)證信息進(jìn)行重新封裝,將新封裝的含有認(rèn)證信 息的數(shù)據(jù)包發(fā)送給認(rèn)證服務(wù)器�����,并將接口 ID信息保存在接入控制系統(tǒng)的存儲(chǔ)器中。步驟106�,接收認(rèn)證服務(wù)器的認(rèn)證通知消息。例如����,認(rèn)證服務(wù)器接收到接入控制系
自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法的另一 自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法的另一 自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法的另一 自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法的另一 自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法中終端 自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法中終端統(tǒng)重新封裝的含有認(rèn)證信息的數(shù)據(jù)包后,對(duì)其中所含有的認(rèn)證信息進(jìn)行評(píng)級(jí)認(rèn)證���,以及根據(jù) 認(rèn)證的評(píng)級(jí)結(jié)果向接入控制服務(wù)器發(fā)送認(rèn)證通知消息��,例如��,認(rèn)證成功消息或認(rèn)證失敗消息����。 稍后的其它實(shí)施例中將舉例對(duì)認(rèn)證服務(wù)器可以采用的具體認(rèn)證流程作進(jìn)一步的詳細(xì)介紹����。步驟108,根據(jù)認(rèn)證通知消息����,接入控制系統(tǒng)讀取訪問(wèn)控制指令�����,控制對(duì)終端設(shè)備 的準(zhǔn)入。例如��,根據(jù)認(rèn)證服務(wù)器發(fā)送的認(rèn)證通知消息(如認(rèn)證成功消息或認(rèn)證失敗消息)�����, 接入控制系統(tǒng)根據(jù)預(yù)先設(shè)置的策略�����,讀取相應(yīng)的訪問(wèn)控制命令�����,向終端設(shè)備發(fā)出允許接入 或拒絕接入的消息����。本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法的一個(gè)實(shí)施例, 通過(guò)對(duì)終端設(shè)備IPv6地址自動(dòng)配置的同時(shí)�����,執(zhí)行對(duì)接入終端設(shè)備的安全性驗(yàn)證,大大加強(qiáng) 網(wǎng)絡(luò)的安全性����,實(shí)現(xiàn)了基于IPv6地址自動(dòng)配置的終端設(shè)備的準(zhǔn)入控制。圖2示出本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法的另一 個(gè)實(shí)施例的流程圖����。 如圖2所示,基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法600包括步驟201�、 202,204,206和208,其中步驟202,204,206和208可以分別執(zhí)行與圖1所示的步驟102���、 104,106和108相同或相似的技術(shù)內(nèi)容����,為簡(jiǎn)潔起見(jiàn)����,這里不再贅述其技術(shù)內(nèi)容。如圖2所示�����,在步驟202“接入控制系統(tǒng)接收終端設(shè)備發(fā)送的包含認(rèn)證信息和接口 ID信息的路由請(qǐng)求包”之前,執(zhí)行步驟201�,在發(fā)起接入請(qǐng)求時(shí),終端設(shè)備將認(rèn)證信息���、終端 設(shè)備產(chǎn)生的接口 ID信息封裝成路由請(qǐng)求包發(fā)送給接入控制系統(tǒng)���。具體來(lái)說(shuō),終端設(shè)備在接 入請(qǐng)求發(fā)起時(shí)����,可以通過(guò)客戶端軟件來(lái)提取本機(jī)的認(rèn)證信息(認(rèn)證信息選自操作系統(tǒng)類 型��、操作系統(tǒng)版本號(hào)����、補(bǔ)丁情況、文件共享情況���、開(kāi)放的TCP端口�、開(kāi)放的UDP端口�����、運(yùn)行的系 統(tǒng)服務(wù)、用戶口令強(qiáng)度����、Guest用戶使用情況、賬戶鎖定策略�、賬戶口令策略、啟動(dòng)信息��、瀏覽 器版本���、瀏覽器補(bǔ)丁情況�����、Email客戶端版本��、Email客戶端補(bǔ)丁情況中的至少任意一種)����, 并將認(rèn)證信息與本機(jī)所產(chǎn)生的接口 ID —起使用ICMPv6路由請(qǐng)求報(bào)文格式進(jìn)行封裝�,然后 將所封裝的請(qǐng)求包發(fā)送給接入控制系統(tǒng)。圖3示出本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法的另一 個(gè)實(shí)施例的流程圖��。如圖3所示����,一種基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法300包括步驟 302����、304��、3050-3052�、3060、3061和308�����,其中步驟302����、304和308可以分別執(zhí)行與圖1所示 的步驟102�、104和108相同或相似的技術(shù)內(nèi)容,為簡(jiǎn)潔起見(jiàn)����,這里不再贅述其技術(shù)內(nèi)容。如圖3所示��,在步驟304之后�����,執(zhí)行步驟3050,認(rèn)證服務(wù)器將認(rèn)證信息中的字段信 息與終端安全策略數(shù)據(jù)庫(kù)中的安全基準(zhǔn)信息進(jìn)行比對(duì)�����,綜合各項(xiàng)信息的比對(duì)結(jié)果給出綜合 的安全狀態(tài)評(píng)級(jí)�����。本發(fā)明的一個(gè)實(shí)施例中�����,“安全基準(zhǔn)信息”可根據(jù)具體應(yīng)用的策略自行 定義�����,需要涵蓋客戶端收集的認(rèn)證信息類型���;例如可以包括操作系統(tǒng)類型��、操作系統(tǒng)版本 號(hào)�、補(bǔ)丁情況����、文件共享情況�����、開(kāi)放的TCP端口�、開(kāi)放的UDP端口�、運(yùn)行的系統(tǒng)服務(wù)、用戶口令 強(qiáng)度�����、Guest用戶使用情況����、賬戶鎖定策略、賬戶口令策略���、啟動(dòng)信息、瀏覽器版本���、瀏覽器補(bǔ) 丁情況�、Email客戶端版本�����、Email客戶端補(bǔ)丁情況等屬性中的至少任意一種。關(guān)于安全基 準(zhǔn)信息��,本領(lǐng)域技術(shù)人員可以根據(jù)具體應(yīng)用中的要求來(lái)合理設(shè)置其表述形式及格式含義��。步驟3051�,將安全狀態(tài)評(píng)級(jí)與預(yù)定的安全準(zhǔn)入閾值進(jìn)行比較。步驟3052����,判斷比較結(jié)果是否大于或等于預(yù)先設(shè)定的準(zhǔn)入閾值;如果是���,執(zhí)行步驟3060 �;否則執(zhí)行步驟3061��。步驟3060�,如果大于或等于準(zhǔn)入閾值,則認(rèn)證服務(wù)器向接入控制系統(tǒng)發(fā)送認(rèn)證成 功消息��。步驟3061�����,如果小于準(zhǔn)入閾值,則認(rèn)證服務(wù)器向接入控制系統(tǒng)發(fā)送認(rèn)證失敗消息���。圖4示出本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法的另一 個(gè)實(shí)施例的流程圖�。 如圖4所示�����,基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法400包括步驟402����, 接入控制系統(tǒng)接收終端設(shè)備發(fā)送的包含認(rèn)證信息和接口 ID信息的路由請(qǐng)求包。例如����,接入 控制系統(tǒng)接收由客戶端設(shè)備發(fā)送的、包含本機(jī)的認(rèn)證信息和由本機(jī)產(chǎn)生的接口 ID信息的��、 使用ICMPv6路由請(qǐng)求報(bào)文格式所封裝的請(qǐng)求包����。本發(fā)明中�����,用于對(duì)終端設(shè)備進(jìn)行認(rèn)證的信 息選自操作系統(tǒng)類型、操作系統(tǒng)版本號(hào)�、補(bǔ)丁情況、文件共享情況���、開(kāi)放的TCP端口���、開(kāi)放 的UDP端口、運(yùn)行的系統(tǒng)服務(wù)�����、用戶口令強(qiáng)度��、Guest用戶使用情況�、賬戶鎖定策略、賬戶口 令策略��、啟動(dòng)信息�、瀏覽器版本、瀏覽器補(bǔ)丁情況�、Email客戶端版本、Email客戶端補(bǔ)丁情 況中的至少任意一種�。步驟404,提取出認(rèn)證信息�,重新封裝后轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器���,并記錄接口 ID信息。 例如���,接入控制系統(tǒng)從所接收到的CMPv6路由請(qǐng)求報(bào)文格式所封裝的請(qǐng)求包中提取出終端 設(shè)備的認(rèn)證信息和接口 ID信息后��,對(duì)所述認(rèn)證信息進(jìn)行重新封裝��,將新封裝的含有認(rèn)證信 息的數(shù)據(jù)包發(fā)送給認(rèn)證服務(wù)器��,并將接口 ID信息保存在接入控制系統(tǒng)的存儲(chǔ)器中��。步驟405��,認(rèn)證服務(wù)器將認(rèn)證信息中的字段信息與終端安全策略數(shù)據(jù)庫(kù)中的安全 基準(zhǔn)信息進(jìn)行比對(duì)�����,綜合各項(xiàng)信息的比對(duì)結(jié)果給出綜合的安全狀態(tài)評(píng)級(jí)���。步驟406,將安全狀態(tài)評(píng)級(jí)與預(yù)定的安全準(zhǔn)入閾值進(jìn)行比較��。步驟407,判斷比較結(jié)果是否大于或等于預(yù)先設(shè)定的準(zhǔn)入閾值�;如果是�,執(zhí)行步驟 408 ;否則執(zhí)行步驟409��。步驟408�,如果大于或等于準(zhǔn)入閾值,則認(rèn)證服務(wù)器向接入控制系統(tǒng)發(fā)送認(rèn)證成功消息��。步驟409�,如果小于準(zhǔn)入閾值,則認(rèn)證服務(wù)器向接入控制系統(tǒng)發(fā)送認(rèn)證失敗消息����。步驟410,接入控制系統(tǒng)生成一個(gè)隨機(jī)數(shù)�,并將其封裝到路由通告中發(fā)送給終端設(shè) 備;以及記錄隨機(jī)數(shù)�,并設(shè)置其與路由前綴、接口 ID信息的對(duì)應(yīng)關(guān)系���。例如�����,當(dāng)接入控制系 統(tǒng)接收到的認(rèn)證通知消息是認(rèn)證成功消息���,則接入控制系統(tǒng)生成一個(gè)隨機(jī)數(shù)��,并將其封裝 到路由通告中發(fā)送給終端設(shè)備�;以及記錄隨機(jī)數(shù)�,并設(shè)置其與路由前綴、接口 ID信息的對(duì) 應(yīng)關(guān)系����。本發(fā)明的一個(gè)實(shí)施例中,隨機(jī)數(shù)可以是采用隨機(jī)數(shù)發(fā)生器產(chǎn)生的一組無(wú)序的無(wú)關(guān) 數(shù)字�����,如 2910374853����。步驟410,接入控制系統(tǒng)向終端設(shè)備發(fā)送錯(cuò)誤通知消息����,告知終端設(shè)備認(rèn)證失敗。 例如�,當(dāng)接入控制系統(tǒng)接收到的認(rèn)證通知消息是認(rèn)證失敗消息�����,則接入控制系統(tǒng)向終端設(shè) 備發(fā)送錯(cuò)誤通知消息�����,告知終端設(shè)備認(rèn)證失敗���;終端設(shè)備將無(wú)法獲取路由通告信息以接入 網(wǎng)絡(luò)��。圖5示出本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法的另一 個(gè)實(shí)施例的流程圖����。如圖5所示����,一種基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法500包括步驟502、504-514�、518-520、522���,其中步驟502,504-511可以分別執(zhí)行與圖4所示的步驟402���、 404-411相同或相似的技術(shù)內(nèi)容��,為簡(jiǎn)潔起見(jiàn)���,這里不再贅述其技術(shù)內(nèi)容。如圖5所示�����,在步驟510之后����,執(zhí)行步驟512,終端設(shè)備接收到路由通告后���,完成 IPv6地址配置�����;讀取路由通告中的隨機(jī)數(shù)����,將隨機(jī)數(shù)與所配置的IPv6地址一起計(jì)算哈希 值�����,哈希值作為附加的擴(kuò)展頭插入隨后發(fā)送的IP包頭;以及終端設(shè)備向接入控制系統(tǒng)發(fā)送 IP包����。步驟514,接入控制系統(tǒng)檢查終端設(shè)備上傳的IP包�����。步驟516���,判斷IP包中是否有附加的擴(kuò)展頭。如果有�����,則執(zhí)行不足后518 �;否則執(zhí) 行步驟519。步驟518�,接入控制系統(tǒng)利用之前記錄的路由前綴、接口 ID信息和隨機(jī)數(shù)同樣計(jì) 算哈希值���,并將所計(jì)算的哈希值與從擴(kuò)展頭中讀取的哈希值進(jìn)行比較���。步驟519����,接入控制系統(tǒng)將該IP包丟棄��。例如�,如果IP包中沒(méi)有附加的擴(kuò)展頭,則 將該IP包直接丟棄�;或者是接入控制系統(tǒng)計(jì)算的哈希值與從擴(kuò)展頭中讀取的哈希值不相 等,則接入控制系統(tǒng)將該IP包丟棄�。步驟520,判斷接入控制系統(tǒng)計(jì)算的哈希值與從擴(kuò)展頭中讀取的哈希值是否相等���。 如果相等���,則執(zhí)行步驟522 ;否則執(zhí)行步驟519����。步驟522,接入控制系統(tǒng)向路由設(shè)備轉(zhuǎn)發(fā)IP包�,允許終端設(shè)備接入網(wǎng)絡(luò)。圖6示出本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法中終端 設(shè)備認(rèn)證成功的實(shí)現(xiàn)流程圖���。以本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法在IPv6無(wú)狀態(tài) 地址自動(dòng)配置網(wǎng)絡(luò)環(huán)境下進(jìn)行實(shí)施為例進(jìn)行說(shuō)明����。如圖6所示,在該環(huán)境下�,一般將IPv6 用戶終端設(shè)備作為客戶端系統(tǒng),該終端設(shè)備通常安裝有客戶端軟件���;用戶通過(guò)啟動(dòng)這個(gè)客 戶端軟件發(fā)起接入認(rèn)證請(qǐng)求���,并且可以由通過(guò)客戶端軟件來(lái)手機(jī)終端設(shè)備的認(rèn)證信息,認(rèn) 證信息可以選自操作系統(tǒng)類型�����、操作系統(tǒng)版本號(hào)���、補(bǔ)丁情況、文件共享情況��、開(kāi)放的TCP端 口����、開(kāi)放的UDP端口���、運(yùn)行的系統(tǒng)服務(wù)、用戶口令強(qiáng)度�����、Guest用戶使用情況����、賬戶鎖定策略、 賬戶口令策略�、啟動(dòng)信息、瀏覽器版本�����、瀏覽器補(bǔ)丁情況�、Email客戶端版本、Email客戶端 補(bǔ)丁情況中的至少任意一種����。步驟1,終端設(shè)備將包含認(rèn)證信息和接口 ID信息的封裝成路由請(qǐng)求包��,并發(fā)送給 接入控制系統(tǒng)。步驟2����,接入控制系統(tǒng)向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求。具體來(lái)說(shuō)�����,接入控制系統(tǒng)從所 接收到的請(qǐng)求包中提取認(rèn)證信息和接口 ID信息�����,并以RADIUS或Diameter等認(rèn)證協(xié)議來(lái)重 新封裝所述認(rèn)證信息�����,將新封裝的認(rèn)證信息發(fā)送給認(rèn)證服務(wù)器����。以及由所述接入控制系統(tǒng) 保存所述接口 ID信息。隨后由認(rèn)證服務(wù)器對(duì)比認(rèn)證信息�,判斷終端設(shè)備的安全性狀況�。如果符合安全閾 值要求(如大于或等于閾值要求),則執(zhí)行步驟3���。步驟3�,由認(rèn)證服務(wù)器向接入控制系統(tǒng)發(fā)送認(rèn)證成功消息。步驟4��,接入控制系統(tǒng)在接收到認(rèn)證成功消息后�����,重新生成路由請(qǐng)求��,并向路由器 發(fā)送路由請(qǐng)求�。步驟5,路由器接收到接入控制系統(tǒng)的路由請(qǐng)求后����,向接入控制系統(tǒng)發(fā)送路由通
10告。接入控制系統(tǒng)接收到路由器返回的路由通告后���,生成隨機(jī)數(shù)����,將該隨機(jī)數(shù)封裝在 路由通告中���,并記錄路由前綴����、接口 ID信息和隨機(jī)數(shù)之間的對(duì)應(yīng)關(guān)系。具體來(lái)說(shuō)��,路由前 綴是指IPv6地址的前綴�,是地址中具有固定值的位數(shù)部分或表示網(wǎng)絡(luò)標(biāo)識(shí)的位數(shù)部分。 IPv6的子網(wǎng)標(biāo)識(shí)���、路由器和地址范圍前綴表示法與IPv4采用的CIDR(無(wú)類域間路由選擇���, Classless Inter Domain Routing)標(biāo)記法相同,其前綴可書(shū)寫(xiě)為地址/前綴長(zhǎng)度����。例如 21DA:D3: :/48是一個(gè)路由器前綴,而21DA:D302F3B: :/64是一個(gè)子網(wǎng)前綴����。步驟6,接入控制系統(tǒng)將重新封裝的路由通告發(fā)送給終端設(shè)備���。在IPv6協(xié)議中��,路 由通告消息采用ICMPv6協(xié)議格式封裝。終端設(shè)備接收到路由通告后,配置IPv6地址�����,將從路由通告中讀取的隨機(jī)數(shù)和 IPv6地址進(jìn)行Hash函數(shù)(哈希)運(yùn)算得到哈希值���,然后將該哈希值插入到后續(xù)生成的IP 包中��,作為IP包頭�����。步驟7�����,終端設(shè)備將IP包發(fā)送給接入控制系統(tǒng)�����。接入控制系統(tǒng)接收到IP包后����,提取Hash函數(shù)值���;以及根據(jù)接入控制系統(tǒng)存儲(chǔ)的 IPv6地址及其對(duì)應(yīng)的隨機(jī)數(shù)進(jìn)行Hash運(yùn)算���,將兩個(gè)哈希值進(jìn)行比較��。如果兩個(gè)哈希值相 等����,則執(zhí)行步驟8����。步驟8,接入控制系統(tǒng)向路由器發(fā)送合法的IPv6包����,從而根據(jù)認(rèn)證的結(jié)果允許終 端系統(tǒng)接入網(wǎng)絡(luò)。圖7示出本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法中終端 設(shè)備認(rèn)證失敗的實(shí)現(xiàn)流程圖��。以本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法在IPv6無(wú)狀態(tài) 地址自動(dòng)配置網(wǎng)絡(luò)環(huán)境下進(jìn)行實(shí)施為例進(jìn)行說(shuō)明���。如圖6所示��,在該環(huán)境下�,一般將IPv6 用戶終端設(shè)備作為客戶端系統(tǒng)�����,該終端設(shè)備通常安裝有客戶端軟件�;用戶通過(guò)啟動(dòng)這個(gè)客 戶端軟件發(fā)起接入認(rèn)證請(qǐng)求,并且可以由通過(guò)客戶端軟件來(lái)手機(jī)終端設(shè)備的認(rèn)證信息����,認(rèn) 證信息可以選自操作系統(tǒng)類型、操作系統(tǒng)版本號(hào)�、補(bǔ)丁情況、文件共享情況�、開(kāi)放的TCP端 口、開(kāi)放的UDP端口�、運(yùn)行的系統(tǒng)服務(wù)、用戶口令強(qiáng)度�、Guest用戶使用情況、賬戶鎖定策略�、 賬戶口令策略、啟動(dòng)信息�、瀏覽器版本、瀏覽器補(bǔ)丁情況���、Email客戶端版本��、Email客戶端 補(bǔ)丁情況中的至少任意一種����。步驟1,終端設(shè)備將包含認(rèn)證信息和接口 ID信息的封裝成路由請(qǐng)求包����,并發(fā)送給 接入控制系統(tǒng)。步驟2�����,接入控制系統(tǒng)向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求���。具體來(lái)說(shuō)����,接入控制系統(tǒng)從所 接收到的請(qǐng)求包中提取認(rèn)證信息和接口 ID信息�����,并以RADIUS或Diameter等認(rèn)證協(xié)議來(lái)重 新封裝所述認(rèn)證信息�����,將新封裝的認(rèn)證信息發(fā)送給認(rèn)證服務(wù)器���。以及由所述接入控制系統(tǒng) 保存所述接口 ID信息����。隨后由認(rèn)證服務(wù)器對(duì)比認(rèn)證信息,判斷終端設(shè)備的安全性狀況���。如果不符合安全 閾值要求(如小于閾值要求),則執(zhí)行步驟3����。步驟3,由認(rèn)證服務(wù)器向接入控制系統(tǒng)發(fā)送認(rèn)證失敗消息�。步驟4,接入控制系統(tǒng)在接收到認(rèn)證失敗消息后�,向終端設(shè)備返回ICMPv6錯(cuò)誤消 肩、ο
終端設(shè)備在收到接入控制系統(tǒng)返回的ICMPv6錯(cuò)誤消息后����,向用戶提示認(rèn)證失敗, 阻止終端系統(tǒng)接入網(wǎng)絡(luò)���。圖8示出本發(fā)明實(shí)施例提供的一種基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的 系統(tǒng)的結(jié)構(gòu)示意圖���。如圖8所示����,基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)800包括終端設(shè)備 802�����、接入控制系統(tǒng)804和認(rèn)證服務(wù)器806��。其中終端設(shè)備802�,用于在發(fā)起接入請(qǐng)求時(shí),將認(rèn)證信息����、終端設(shè)備802產(chǎn)生的接口 ID 信息封裝成路由請(qǐng)求包發(fā)送給接入控制系統(tǒng)804。接入控制系統(tǒng)804�����,至少包括接入控制模塊����,用于接收終端設(shè)備802發(fā)送的包含認(rèn) 證信息和接口 ID信息的路由請(qǐng)求包;提取出認(rèn)證信息����,重新封裝后轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器806�, 并記錄接口 ID信息�;接收認(rèn)證服務(wù)器的認(rèn)證通知消息;根據(jù)認(rèn)證通知消息�����,接入控制系統(tǒng) 讀取訪問(wèn)控制指令��,控制對(duì)終端設(shè)備802的準(zhǔn)入����。認(rèn)證服務(wù)器806�����,用于將認(rèn)證信息中的字段信息與終端安全策略數(shù)據(jù)庫(kù)中的信 息進(jìn)行比對(duì)�����,綜合各項(xiàng)信息的比對(duì)結(jié)果給出綜合的安全狀態(tài)評(píng)級(jí)���;以及將安全狀態(tài)評(píng)級(jí)與 預(yù)定的安全準(zhǔn)入閾值進(jìn)行比較�;如果大于或等于準(zhǔn)入閾值,則認(rèn)證服務(wù)器向接入控制系統(tǒng) 804發(fā)送認(rèn)證成功消息�����;否則��,發(fā)送認(rèn)證失敗消息���。本發(fā)明還提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)的一個(gè)實(shí)施例 中���,接入控制系統(tǒng)還用于如果認(rèn)證通知消息是認(rèn)證成功消息,則生成一個(gè)隨機(jī)數(shù)�,并將其 封裝到路由通告中發(fā)送給終端設(shè)備;以及記錄隨機(jī)數(shù)��,并設(shè)置其與路由前綴�����、接口 ID信息 的對(duì)應(yīng)關(guān)系��;如果認(rèn)證通知消息是認(rèn)證失敗消息�,則向終端設(shè)備發(fā)送錯(cuò)誤通知消息,告知終 端設(shè)備認(rèn)證失?�。唤K端設(shè)備將無(wú)法獲取路由通告信息以接入網(wǎng)絡(luò)�。本發(fā)明還提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)的一個(gè)實(shí)施例 中,終端設(shè)備還用于在接收到路由通告后�,完成IPv6地址配置;讀取路由通告中的隨機(jī) 數(shù)���,將隨機(jī)數(shù)與所配置的IPv6地址一起計(jì)算哈希值��,哈希值作為附加的擴(kuò)展頭插入隨后發(fā) 送的IP包頭����;以及向接入控制系統(tǒng)發(fā)送IP包����。本發(fā)明還提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)的一個(gè)實(shí)施例 中,接入控制系統(tǒng)還用于檢查終端設(shè)備上傳的IP包����;如果IP包中沒(méi)有附加的擴(kuò)展頭����,則 將該IP包直接丟棄;如果IP包中有附加的擴(kuò)展頭����,則接入控制系統(tǒng)利用之前記錄的路由前 綴����、接口 ID信息和隨機(jī)數(shù)同樣計(jì)算哈希值�����,并將所計(jì)算的哈希值與從擴(kuò)展頭中讀取的哈希 值進(jìn)行比較�����;如果相同�,則向路由設(shè)備轉(zhuǎn)發(fā)IP包,否則�,將IP包丟棄。圖9示出本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)的另一 個(gè)實(shí)施例的結(jié)構(gòu)示意圖��。如圖9所示��,基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)900主要包括終 端設(shè)備902�、接入控制系統(tǒng)904和認(rèn)證服務(wù)器906 ;其中終端設(shè)備902和接入控制系統(tǒng)904 分別可以是與圖8所示終端設(shè)備802和接入控制系統(tǒng)804具有相同或相似的功能模塊���;為 簡(jiǎn)潔起見(jiàn)��,這里不再贅述�����。如圖9所示���,認(rèn)證服務(wù)器906進(jìn)一步包括信息接口模塊9061����、安全評(píng)級(jí)模塊9062 和終端安全策略數(shù)據(jù)庫(kù)9063����,其中信息接口模塊9061,用于接收接入控制系統(tǒng)重新封裝后的����、含有認(rèn)證信息的消息;以及根據(jù)安全評(píng)級(jí)模塊給出的安全狀態(tài)評(píng)級(jí)發(fā)送認(rèn)證通知消息�。安全評(píng)級(jí)模塊9062,用于接收信息接口模塊獲取的認(rèn)證信息��,讀取終端安全策略 數(shù)據(jù)庫(kù)中預(yù)先存儲(chǔ)的安全基準(zhǔn)信息���,以及將認(rèn)證信息中的字段信息與終端安全策略數(shù)據(jù)庫(kù) 中預(yù)先存儲(chǔ)的安全基準(zhǔn)信息進(jìn)行比對(duì)��,綜合各項(xiàng)信息的比對(duì)結(jié)果給出綜合的安全狀態(tài)評(píng) 級(jí)���;以及將安全狀態(tài)評(píng)級(jí)與預(yù)定的安全準(zhǔn)入閾值進(jìn)行比較。終端安全策略數(shù)據(jù)庫(kù)9063���,用于預(yù)先存儲(chǔ)安全基準(zhǔn)信息���,作為對(duì)安全評(píng)級(jí)模塊獲 取的認(rèn)證信息進(jìn)行綜合評(píng)價(jià)的基準(zhǔn)。本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)的一個(gè)實(shí)施例 中�,信息接口模塊還用于如果安全狀態(tài)評(píng)級(jí)大于或等于準(zhǔn)入閾值,則向接入控制系統(tǒng)發(fā)送 認(rèn)證成功消息���;否則����,發(fā)送認(rèn)證失敗消息�����。本發(fā)明提供一種基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)����,對(duì)IPv6地址 自配置機(jī)制進(jìn)行一定的改造��,通過(guò)在IPv6地址自動(dòng)配置的同時(shí)對(duì)接入終端進(jìn)行安全性驗(yàn) 證��,實(shí)現(xiàn)了基于IPv6地址自動(dòng)配置的終端準(zhǔn)入控制�����,保障了網(wǎng)絡(luò)的安全性�����。圖10示出本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)的一個(gè)具體實(shí)施方式
的結(jié)構(gòu)示意圖���。如圖10所示,本發(fā)明在IPv6無(wú)狀態(tài)地址自動(dòng)配置網(wǎng)絡(luò)環(huán)境下進(jìn)行實(shí)施的基于 IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)�,主要包括終端設(shè)備(或客戶端)、接入(控 制)系統(tǒng)和認(rèn)證服務(wù)器����。在該環(huán)境下,一般將IPv6用戶終端系統(tǒng)作為客戶端系統(tǒng)�����,該終端系統(tǒng)通常要安裝 一個(gè)客戶端軟件,用戶通過(guò)啟動(dòng)這個(gè)客戶端軟件發(fā)起接入認(rèn)證����,認(rèn)證服務(wù)器根據(jù)認(rèn)證的結(jié) 果允許或阻止終端系統(tǒng)接入網(wǎng)絡(luò)���。為支持終端安全狀況的準(zhǔn)入認(rèn)證���,客戶端需要能夠收集終端安全認(rèn)證信息并發(fā)送 給接入控制系統(tǒng);其中����,該認(rèn)證信息至少包括如下內(nèi)容操作系統(tǒng)類型、操作系統(tǒng)版本號(hào)�����、 補(bǔ)丁情況����、文件共享情況、開(kāi)放的TCP端口����、開(kāi)放的UDP端口、運(yùn)行的系統(tǒng)服務(wù)���、用戶口令強(qiáng) 度���、Guest用戶使用情況�、賬戶鎖定策略����、賬戶口令策略、啟動(dòng)信息��、瀏覽器版本���、瀏覽器補(bǔ)丁 情況���、Email客戶端版本、Email客戶端補(bǔ)丁情況等��。該認(rèn)證信息以ICMPv6路由請(qǐng)求包的 格式封裝�。為了防止終端系統(tǒng)周期性發(fā)送路由請(qǐng)求包,客戶端需要能夠抑制終端系統(tǒng)周期 性路由請(qǐng)求的發(fā)送����,只有在用戶啟動(dòng)客戶端軟件發(fā)起認(rèn)證請(qǐng)求時(shí),才發(fā)送包含有認(rèn)證信息 的路由請(qǐng)求包。在認(rèn)證通過(guò)后��,終端系統(tǒng)所發(fā)出的IPv6數(shù)據(jù)包均被標(biāo)記為一預(yù)先設(shè)定的 業(yè)務(wù)流類別���,本領(lǐng)域技術(shù)人員可以根據(jù)實(shí)際應(yīng)用的需要,對(duì)這一預(yù)先設(shè)定的業(yè)務(wù)流類別在 IPv6協(xié)議中作進(jìn)一步詳細(xì)的定義�����,并被終端系統(tǒng)和接入系統(tǒng)所識(shí)別��。識(shí)別路由通告信息中 的隨機(jī)數(shù)����,并將其與IPv6地址一起進(jìn)行哈希計(jì)算,將得出的哈希值作為一個(gè)擴(kuò)展頭插入后 續(xù)IPv6包頭�����。終端設(shè)備還能夠識(shí)別ICMPv6錯(cuò)誤消息�,在接收到該錯(cuò)誤消息時(shí),能在客戶端 界面上提示認(rèn)證失敗����。本發(fā)明中可以將支持IPv6協(xié)議的路由器作為接入控制系統(tǒng),該接入系統(tǒng)一般都 支持ICMPv6協(xié)議,在接收到終端設(shè)備發(fā)送的路由請(qǐng)求信息后發(fā)送路由通告�,并具備周期性 發(fā)送路由通告的功能。為了能根據(jù)認(rèn)證結(jié)果控制接入系統(tǒng)路由通告的發(fā)送����,需要在接入系 統(tǒng)增加接入控制模塊。接入控制模塊屏蔽路由器的周期性路由通告����,將認(rèn)證信息從路由請(qǐng) 求包中提取出來(lái),以“類型�����、長(zhǎng)度��、內(nèi)容”格式重新封裝后以RADIUS協(xié)議發(fā)送給認(rèn)證服務(wù)器�����。當(dāng)接收到認(rèn)證服務(wù)器的認(rèn)證成功的消息�����,接入控制模塊將向請(qǐng)求認(rèn)證的終端發(fā)送路由通 告���;否則���,接入控制模塊不發(fā)送路由通告���,而是發(fā)送一個(gè)ICMPv6錯(cuò)誤消息,告知客戶端認(rèn)證 失敗�����,不準(zhǔn)許終端接入網(wǎng)絡(luò)����,該類錯(cuò)誤消息可以在ICMPv6協(xié)議中進(jìn)行定制����。接入控制模塊 接收到終端所發(fā)送的IPv6數(shù)據(jù)包,查看數(shù)據(jù)包的業(yè)務(wù)流類別���,若為許接入的預(yù)先定制業(yè)務(wù) 流類別���,則向終端發(fā)送包含隨機(jī)數(shù)的路由通告,并對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)�����;否則,丟棄數(shù)據(jù)包�����。認(rèn)證服務(wù)器通過(guò)對(duì)現(xiàn)有認(rèn)證服務(wù)器進(jìn)行改造實(shí)現(xiàn)���,負(fù)責(zé)將用RADIUS協(xié)議以“類 型��、長(zhǎng)度��、內(nèi)容”格式封裝的認(rèn)證信息提取出來(lái)�,其中類型字段的值必須由接入系統(tǒng)和認(rèn)證 服務(wù)器進(jìn)行統(tǒng)一定制�,使得兩者都可以了解相應(yīng)字段的含義。認(rèn)證服務(wù)器針對(duì)認(rèn)證信息中 的內(nèi)容在終端安全策略庫(kù)進(jìn)行查找比對(duì)����;根據(jù)綜合的認(rèn)證信息比對(duì)結(jié)果評(píng)估出終端的安全 狀態(tài)級(jí)別;如果終端的安全狀態(tài)級(jí)別低于策略中的規(guī)定值�,則向接入控制系統(tǒng)發(fā)送認(rèn)證失 敗消息;如果終端的安全狀態(tài)級(jí)別大于等于策略中的規(guī)定值��,則向接入控制系統(tǒng)發(fā)送認(rèn)證 成功消息���。接下來(lái)以本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)在企業(yè) 局域網(wǎng)環(huán)境下的應(yīng)用為例進(jìn)行說(shuō)明�。該基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)至少包括終端設(shè)備、接入控 制系統(tǒng)和認(rèn)證服務(wù)器�����;其中終端設(shè)備通常要安裝一個(gè)客戶端軟件��,用戶通過(guò)啟動(dòng)這個(gè)客戶端軟件發(fā)起接入認(rèn) 證�,接入控制系統(tǒng)根據(jù)認(rèn)證的結(jié)果允許或阻止終端系統(tǒng)接入網(wǎng)絡(luò)。為支持終端安全狀況的 準(zhǔn)入認(rèn)證�,客戶端需要能夠收集終端安全認(rèn)證信息并發(fā)送到認(rèn)證服務(wù)器進(jìn)行驗(yàn)證。認(rèn)證信 息封裝在ICMPv6路由請(qǐng)求包中�����,同時(shí)�,將生成的接口 ID也封裝在路由請(qǐng)求包中����。為了防止 終端系統(tǒng)周期性發(fā)送路由請(qǐng)求包,客戶端需要能夠抑制終端系統(tǒng)周期性路由請(qǐng)求的發(fā)送���, 只有在用戶啟動(dòng)客戶端軟件發(fā)起認(rèn)證請(qǐng)求時(shí)����,才發(fā)送包含有認(rèn)證信息的路由請(qǐng)求包。在認(rèn) 證通過(guò)后�,終端系統(tǒng)所發(fā)出的IPv6數(shù)據(jù)包均被插入包含IPv6地址和隨機(jī)數(shù)的哈希值的擴(kuò) 展頭,這一擴(kuò)展包頭需要在IPv6協(xié)議中定義�,并被終端系統(tǒng)和接入系統(tǒng)所識(shí)別。接入控制系統(tǒng)可作為單獨(dú)的系統(tǒng)����,也可作為交換機(jī)或路由設(shè)備的一個(gè)功能模塊。 該接入控制系統(tǒng)至少包括接入控制模塊�����,接入控制模塊屏蔽路由器的周期性路由通告�����,將 認(rèn)證信息從路由請(qǐng)求包中提取出來(lái)����,以“類型、長(zhǎng)度����、內(nèi)容”格式重新封裝后以RADIUS或 Diameter等協(xié)議發(fā)送給認(rèn)證服務(wù)器��,同時(shí)記錄其中的接口 ID信息�����。當(dāng)接收到認(rèn)證服務(wù)器的 認(rèn)證成功的消息�,接入控制模塊生成隨機(jī)數(shù)���,將該隨機(jī)數(shù)封裝到路由通告中發(fā)送給請(qǐng)求認(rèn) 證的終端��,記錄該隨機(jī)數(shù)并將其與路由前綴及接口 ID對(duì)應(yīng)�;否則�,接入控制模塊不向請(qǐng)求 認(rèn)證的終端發(fā)送路由通告,而是發(fā)送一個(gè)ICMPv6錯(cuò)誤消息���,告知客戶端認(rèn)證失敗,不準(zhǔn)許 終端接入網(wǎng)絡(luò)���,該類錯(cuò)誤消息需要在ICMPv6協(xié)議中進(jìn)行定義�����。接入控制模塊接收到終端所 發(fā)送的IPv6數(shù)據(jù)包��,查看數(shù)據(jù)包的IPv6地址和隨機(jī)數(shù)的哈希值����,并與自身計(jì)算的哈希值比 對(duì),若兩者相同�,則對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā);否則����,丟棄數(shù)據(jù)包。認(rèn)證服務(wù)器通過(guò)對(duì)現(xiàn)有認(rèn)證服務(wù)器進(jìn)行改造實(shí)現(xiàn)���,負(fù)責(zé)將用RADIUS或Diameter 等協(xié)議以“類型�、長(zhǎng)度����、內(nèi)容”格式封裝的認(rèn)證信息提取出來(lái),其中類型字段的值必須由接入 控制系統(tǒng)和認(rèn)證服務(wù)器統(tǒng)一定義��,使得兩者都可以了解特定字段的含義�。接下來(lái)以本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)在 PPPoE接入環(huán)境下的應(yīng)用為例進(jìn)行說(shuō)明。
該基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)至少包括終端設(shè)備����、接入控 制系統(tǒng)和認(rèn)證服務(wù)器�;其中終端系統(tǒng)通常要安裝一個(gè)客戶端軟件�����,用戶通過(guò)啟動(dòng)這個(gè)客戶端軟件發(fā)起接入認(rèn) 證�����,接入控制系統(tǒng)根據(jù)認(rèn)證的結(jié)果允許或阻止終端系統(tǒng)接入網(wǎng)絡(luò)��。為支持終端安全狀況的 準(zhǔn)入認(rèn)證�,客戶端需要能夠收集終端安全認(rèn)證信息并發(fā)送到認(rèn)證服務(wù)器進(jìn)行驗(yàn)證。認(rèn)證信 息封裝在ICMPv6路由請(qǐng)求包中��,同時(shí)�,將生成的接口 ID也封裝在路由請(qǐng)求包中。為了防止 終端系統(tǒng)周期性發(fā)送路由請(qǐng)求包�����,客戶端需要能夠抑制終端系統(tǒng)周期性路由請(qǐng)求的發(fā)送���, 只有在用戶啟動(dòng)客戶端軟件發(fā)起認(rèn)證請(qǐng)求時(shí),才發(fā)送包含有認(rèn)證信息的路由請(qǐng)求包�����。在認(rèn) 證通過(guò)后,終端系統(tǒng)所發(fā)出的IPv6數(shù)據(jù)包均被插入包含IPv6地址和隨機(jī)數(shù)的哈希值的擴(kuò) 展頭�,這一擴(kuò)展包頭需要在IPv6協(xié)議中定義,并被終端系統(tǒng)和接入系統(tǒng)所識(shí)別�。接入控制系統(tǒng)可作為單獨(dú)的系統(tǒng),也可作為PPPoE接入設(shè)備或路由設(shè)備的一個(gè) 功能模塊��。該接入控制系統(tǒng)至少包括接入控制模塊�,接入控制模塊屏蔽路由器的周期性 路由通告,將認(rèn)證信息從路由請(qǐng)求包中提取出來(lái)�����,以“類型��、長(zhǎng)度����、內(nèi)容”格式重新封裝后以 RADIUS或Diameter等協(xié)議發(fā)送給認(rèn)證服務(wù)器,同時(shí)記錄其中的接口 ID信息�����。當(dāng)接收到認(rèn) 證服務(wù)器的認(rèn)證成功的消息,接入控制模塊生成隨機(jī)數(shù)��,將該隨機(jī)數(shù)封裝到路由通告中發(fā) 送給請(qǐng)求認(rèn)證的終端�,記錄該隨機(jī)數(shù)并將其與路由前綴及接口 ID對(duì)應(yīng);否則��,接入控制模 塊不向請(qǐng)求認(rèn)證的終端發(fā)送路由通告�,而是發(fā)送一個(gè)ICMPv6錯(cuò)誤消息,告知客戶端認(rèn)證失 敗��,不準(zhǔn)許終端接入網(wǎng)絡(luò)�����,該類錯(cuò)誤消息需要在ICMPv6協(xié)議中進(jìn)行定義��。接入控制模塊接 收到終端所發(fā)送的IPv6數(shù)據(jù)包����,查看數(shù)據(jù)包的IPv6地址和隨機(jī)數(shù)的哈希值,并與自身計(jì)算 的哈希值比對(duì)�,若兩者相同,則對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)��;否則����,丟棄數(shù)據(jù)包。認(rèn)證服務(wù)器通過(guò)對(duì)現(xiàn)有認(rèn)證服務(wù)器進(jìn)行改造實(shí)現(xiàn)�����,負(fù)責(zé)將用RADIUS或Diameter 等協(xié)議以“類型����、長(zhǎng)度、內(nèi)容”格式封裝的認(rèn)證信息提取出來(lái)�,其中類型字段的值必須由接入 控制系統(tǒng)和認(rèn)證服務(wù)器統(tǒng)一定義,使得兩者都可以了解特定字段的含義��。接下來(lái)以本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)在VPN 接入環(huán)境下的應(yīng)用為例進(jìn)行說(shuō)明�。該基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)至少包括終端設(shè)備、接入控 制系統(tǒng)和認(rèn)證服務(wù)器�;其中終端系統(tǒng)通常要安裝一個(gè)客戶端軟件,用戶通過(guò)啟動(dòng)這個(gè)客戶端軟件發(fā)起接入認(rèn) 證�����,接入控制系統(tǒng)根據(jù)認(rèn)證的結(jié)果允許或阻止終端系統(tǒng)接入網(wǎng)絡(luò)�。為支持終端安全狀況的 準(zhǔn)入認(rèn)證,客戶端需要能夠收集終端安全認(rèn)證信息并發(fā)送到認(rèn)證服務(wù)器進(jìn)行驗(yàn)證����。認(rèn)證信 息封裝在ICMPv6路由請(qǐng)求包中��,同時(shí)�,將生成的接口 ID也封裝在路由請(qǐng)求包中�。為了防止 終端系統(tǒng)周期性發(fā)送路由請(qǐng)求包,客戶端需要能夠抑制終端系統(tǒng)周期性路由請(qǐng)求的發(fā)送�, 只有在用戶啟動(dòng)客戶端軟件發(fā)起認(rèn)證請(qǐng)求時(shí),才發(fā)送包含有認(rèn)證信息的路由請(qǐng)求包�。在認(rèn) 證通過(guò)后,終端系統(tǒng)所發(fā)出的IPv6數(shù)據(jù)包均被插入包含IPv6地址和隨機(jī)數(shù)的哈希值的擴(kuò) 展頭�,這一擴(kuò)展包頭需要在IPv6協(xié)議中定義,并被終端系統(tǒng)和接入系統(tǒng)所識(shí)別���。接入控制系統(tǒng)可作為單獨(dú)的系統(tǒng)�,也可作為VPN接入設(shè)備或路由設(shè)備的一個(gè)功能 模塊����。該接入控制系統(tǒng)至少包括接入控制模塊,接入控制模塊屏蔽路由器的周期性路由通 告���,將認(rèn)證信息從路由請(qǐng)求包中提取出來(lái)�,以“類型�、長(zhǎng)度�、內(nèi)容”格式重新封裝后以RADIUS 或Diameter等協(xié)議發(fā)送給認(rèn)證服務(wù)器�����,同時(shí)記錄其中的接口 ID信息�����。當(dāng)接收到認(rèn)證服務(wù)
15器的認(rèn)證成功的消息��,接入控制模塊生成隨機(jī)數(shù)���,將該隨機(jī)數(shù)封裝到路由通告中發(fā)送給請(qǐng) 求認(rèn)證的終端,記錄該隨機(jī)數(shù)并將其與路由前綴及接口 ID對(duì)應(yīng)��;否則�����,接入控制模塊不向 請(qǐng)求認(rèn)證的終端發(fā)送路由通告���,而是發(fā)送一個(gè)ICMPv6錯(cuò)誤消息�,告知客戶端認(rèn)證失敗�����,不 準(zhǔn)許終端接入網(wǎng)絡(luò),該類錯(cuò)誤消息需要在ICMPv6協(xié)議中進(jìn)行定義���。接入控制模塊接收到終 端所發(fā)送的IPv6數(shù)據(jù)包����,查看數(shù)據(jù)包的IPv6地址和隨機(jī)數(shù)的哈希值��,并與自身計(jì)算的哈希 值比對(duì)��,若兩者相同�����,則對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)��;否則�����,丟棄數(shù)據(jù)包����。認(rèn)證服務(wù)器通過(guò)對(duì)現(xiàn)有認(rèn)證服務(wù)器進(jìn)行改造實(shí)現(xiàn)�,負(fù)責(zé)將用RADIUS或Diameter 等協(xié)議以“類型��、長(zhǎng)度���、內(nèi)容”格式封裝的認(rèn)證信息提取出來(lái)��,其中類型字段的值必須由接入 控制系統(tǒng)和認(rèn)證服務(wù)器統(tǒng)一定義��,使得兩者都可以了解特定字段的含義����。參考前述本發(fā)明示例性的描述�����,本領(lǐng)域技術(shù)人員可以清楚的知曉本發(fā)明具有以下 優(yōu)點(diǎn)1����、本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法及系統(tǒng)的一個(gè) 實(shí)施例�,在IPv6地址自動(dòng)配置的同時(shí)對(duì)接入終端進(jìn)行安全性驗(yàn)證,解決了終端的安全接 入���、保障網(wǎng)絡(luò)安全性的技術(shù)問(wèn)題��。2���、本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法及系統(tǒng)的一個(gè) 實(shí)施例��,對(duì)IPv6地址自配置機(jī)制進(jìn)行一定的改造���,實(shí)現(xiàn)了基于IPv6地址自動(dòng)配置的終端準(zhǔn) 入控制。本發(fā)明的描述是為了示例和描述起見(jiàn)而給出的��,而并不是無(wú)遺漏的或者將本發(fā)明 限于所公開(kāi)的形式�����。很多修改和變化對(duì)于本領(lǐng)域的普通技術(shù)人員而言是顯然的����。選擇和描 述實(shí)施例是為了更好說(shuō)明本發(fā)明的原理和實(shí)際應(yīng)用,并且使本領(lǐng)域的普通技術(shù)人員能夠理 解本發(fā)明從而設(shè)計(jì)適于特定用途的帶有各種修改的各種實(shí)施例����。
權(quán)利要求
一種基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法,其特征在于����,所述方法包括接入控制系統(tǒng)接收終端設(shè)備發(fā)送的包含認(rèn)證信息和接口ID信息的路由請(qǐng)求包���;提取出所述認(rèn)證信息,重新封裝后轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器�����,并記錄所述接口ID信息���;接收所述認(rèn)證服務(wù)器的認(rèn)證通知消息�����;根據(jù)所述認(rèn)證通知消息���,所述接入控制系統(tǒng)讀取訪問(wèn)控制指令��,控制對(duì)所述終端設(shè)備的準(zhǔn)入��。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述方法還包括在步驟“接入控制系統(tǒng) 接收終端設(shè)備發(fā)送的包含認(rèn)證信息和接口 ID信息的路由請(qǐng)求包”之前,在發(fā)起接入請(qǐng)求時(shí)�,終端設(shè)備將認(rèn)證信息、所述終端設(shè)備產(chǎn)生的接口 ID信息封裝成路 由請(qǐng)求包發(fā)送給所述接入控制系統(tǒng)�。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述方法還包括在步驟“提取出所述認(rèn) 證信息����,重新封裝后轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器�����,并記錄所述接口 ID信息”之后���,所述認(rèn)證服務(wù)器將所述認(rèn)證信息中的字段信息與終端安全策略數(shù)據(jù)庫(kù)中的安全基準(zhǔn) 信息進(jìn)行比對(duì)����,綜合各項(xiàng)信息的比對(duì)結(jié)果給出綜合的安全狀態(tài)評(píng)級(jí)�����;以及將所述安全狀態(tài)評(píng)級(jí)與預(yù)定的安全準(zhǔn)入閾值進(jìn)行比較�;如果大于或等于所述準(zhǔn)入閾 值,則所述認(rèn)證服務(wù)器向所述接入控制系統(tǒng)發(fā)送認(rèn)證成功消息;否則�,發(fā)送認(rèn)證失敗消息。
4.根據(jù)權(quán)利要求1所述的方法��,其特征在于�,步驟“根據(jù)所述認(rèn)證通知消息,所述接入 控制系統(tǒng)讀取訪問(wèn)控制指令�����,控制對(duì)所述終端設(shè)備的準(zhǔn)入”具體包括如果所述認(rèn)證通知消息是認(rèn)證成功消息�,則所述接入控制系統(tǒng)生成一個(gè)隨機(jī)數(shù),并將 其封裝到路由通告中發(fā)送給所述終端設(shè)備��;以及記錄所述隨機(jī)數(shù)����,并設(shè)置其與路由前綴、所 述接口 ID信息的對(duì)應(yīng)關(guān)系����;如果所述認(rèn)證通知消息是認(rèn)證失敗消息���,則所述接入控制系統(tǒng)向所述終端設(shè)備發(fā)送錯(cuò) 誤通知消息�,告知所述終端設(shè)備認(rèn)證失敗����;所述終端設(shè)備將無(wú)法獲取路由通告信息以接入 網(wǎng)絡(luò)。
5.根據(jù)權(quán)利要求4所述的方法���,其特征在于�����,所述方法還包括 所述終端設(shè)備接收到所述路由通告后����,完成IPv6地址配置���;讀取所述路由通告中的隨機(jī)數(shù)���,將所述隨機(jī)數(shù)與所配置的IPv6地址一起計(jì)算哈希值, 所述哈希值作為附加的擴(kuò)展頭插入隨后發(fā)送的IP包頭���;以及 所述終端設(shè)備向所述接入控制系統(tǒng)發(fā)送IP包��。
6.根據(jù)權(quán)利要求4所述的方法���,其特征在于��,所述方法還包括 所述接入控制系統(tǒng)檢查所述終端設(shè)備上傳的所述IP包���;如果所述IP包中沒(méi)有所述附加的擴(kuò)展頭,則將該IP包直接丟棄��; 如果所述IP包中有所述附加的擴(kuò)展頭��,則所述接入控制系統(tǒng)利用之前記錄的所述路 由前綴���、所述接口 ID信息和所述隨機(jī)數(shù)同樣計(jì)算哈希值����,并將所計(jì)算的哈希值與從所述擴(kuò) 展頭中讀取的哈希值進(jìn)行比較�;如果相同,則向路由設(shè)備轉(zhuǎn)發(fā)所述IP包�,否則,將所述IP包 丟棄��。
7.一種基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的系統(tǒng)����,其特征在于,所述系統(tǒng)包括終端設(shè)備�����,用于在發(fā)起接入請(qǐng)求時(shí)����,將認(rèn)證信息、所述終端設(shè)備產(chǎn)生的接口 ID信息封 裝成路由請(qǐng)求包發(fā)送給接入控制系統(tǒng)���;接入控制系統(tǒng)�,用于接收所述終端設(shè)備發(fā)送的包含認(rèn)證信息和接口 ID信息的路由請(qǐng) 求包���;提取出所述認(rèn)證信息����,重新封裝后轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器��,并記錄所述接口 ID信息�;接收 所述認(rèn)證服務(wù)器的認(rèn)證通知消息;根據(jù)所述認(rèn)證通知消息�����,所述接入控制系統(tǒng)讀取訪問(wèn)控 制指令,控制對(duì)所述終端設(shè)備的準(zhǔn)入��;所述認(rèn)證服務(wù)器��,用于將所述認(rèn)證信息中的字段信息與終端安全策略數(shù)據(jù)庫(kù)中的信息 進(jìn)行比對(duì)��,綜合各項(xiàng)信息的比對(duì)結(jié)果給出綜合的安全狀態(tài)評(píng)級(jí)���;以及將所述安全狀態(tài)評(píng)級(jí) 與預(yù)定的安全準(zhǔn)入閾值進(jìn)行比較����;如果大于或等于所述準(zhǔn)入閾值���,則所述認(rèn)證服務(wù)器向所 述接入控制系統(tǒng)發(fā)送認(rèn)證成功消息�;否則�����,發(fā)送認(rèn)證失敗消息���。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)�����,其特征在于�,所述接入控制系統(tǒng)還用于如果所述認(rèn)證通知消息是認(rèn)證成功消息����,則生成一個(gè)隨機(jī)數(shù),并將其封裝到路由通告 中發(fā)送給所述終端設(shè)備���;以及記錄所述隨機(jī)數(shù)�����,并設(shè)置其與路由前綴�、所述接口 ID信息的 對(duì)應(yīng)關(guān)系����;如果所述認(rèn)證通知消息是認(rèn)證失敗消息,則向所述終端設(shè)備發(fā)送錯(cuò)誤通知消息��,告知 所述終端設(shè)備認(rèn)證失?。凰鼋K端設(shè)備將無(wú)法獲取路由通告信息以接入網(wǎng)絡(luò)��。
9.根據(jù)權(quán)利要求7所述的系統(tǒng)�,其特征在于��,所述終端設(shè)備還用于在接收到所述路 由通告后��,完成IPv6地址配置��;讀取所述路由通告中的隨機(jī)數(shù)����,將所述隨機(jī)數(shù)與所配置的 IPv6地址一起計(jì)算哈希值��,所述哈希值作為附加的擴(kuò)展頭插入隨后發(fā)送的IP包頭���;以及向 所述接入控制系統(tǒng)發(fā)送IP包�。
10.根據(jù)權(quán)利要求7所述的系統(tǒng)���,其特征在于����,所述接入控制系統(tǒng)還用于檢查所述終 端設(shè)備上傳的所述IP包��;如果所述IP包中沒(méi)有所述附加的擴(kuò)展頭���,則將該IP包直接丟棄���;如果所述IP包中有所述附加的擴(kuò)展頭���,則所述接入控制系統(tǒng)利用之前記錄的所述路 由前綴、所述接口 ID信息和所述隨機(jī)數(shù)同樣計(jì)算哈希值��,并將所計(jì)算的哈希值與從所述擴(kuò) 展頭中讀取的哈希值進(jìn)行比較�����;如果相同����,則向路由設(shè)備轉(zhuǎn)發(fā)所述IP包���,否則�����,將所述IP包 丟棄�����。
11.根據(jù)權(quán)利要求7所述的系統(tǒng)���,其特征在于�,所述認(rèn)證服務(wù)器進(jìn)一步包括信息接口模 塊��、安全評(píng)級(jí)模塊和終端安全策略數(shù)據(jù)庫(kù)�,其中所述信息接口模塊,用于接收所述接入控制系統(tǒng)重新封裝后的����、含有所述認(rèn)證信息的 消息;以及根據(jù)所述安全評(píng)級(jí)模塊給出的安全狀態(tài)評(píng)級(jí)發(fā)送所述認(rèn)證通知消息�����;所述安全評(píng)級(jí)模塊��,用于接收所述信息接口模塊獲取的所述認(rèn)證信息��,讀取所述終端 安全策略數(shù)據(jù)庫(kù)中預(yù)先存儲(chǔ)的安全基準(zhǔn)信息�,以及將所述認(rèn)證信息中的字段信息與所述終 端安全策略數(shù)據(jù)庫(kù)中預(yù)先存儲(chǔ)的安全基準(zhǔn)信息進(jìn)行比對(duì),綜合各項(xiàng)信息的比對(duì)結(jié)果給出綜 合的安全狀態(tài)評(píng)級(jí)����;以及將所述安全狀態(tài)評(píng)級(jí)與預(yù)定的安全準(zhǔn)入閾值進(jìn)行比較����;所述終端安全策略數(shù)據(jù)庫(kù)�,用于預(yù)先存儲(chǔ)安全基準(zhǔn)信息,作為對(duì)所述安全評(píng)級(jí)模塊獲 取的所述認(rèn)證信息進(jìn)行綜合評(píng)價(jià)的基準(zhǔn)���。
12.根據(jù)權(quán)利要求11所述的系統(tǒng)���,其特征在于,所述信息接口模塊還用于如果所述安 全狀態(tài)評(píng)級(jí)大于或等于所述準(zhǔn)入閾值���,則向所述接入控制系統(tǒng)發(fā)送認(rèn)證成功消息;否則����,發(fā) 送認(rèn)證失敗消息。
全文摘要
本發(fā)明公開(kāi)一種基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法及設(shè)備��,該方法包括接入控制系統(tǒng)接收終端設(shè)備發(fā)送的包含認(rèn)證信息和接口ID信息的路由請(qǐng)求包��;提取出認(rèn)證信息���,重新封裝后轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器�����,并記錄接口ID信息����;接收認(rèn)證服務(wù)器的認(rèn)證通知消息;根據(jù)認(rèn)證通知消息�����,接入控制系統(tǒng)讀取訪問(wèn)控制指令����,控制對(duì)終端設(shè)備的準(zhǔn)入。本發(fā)明提供的基于IPv6自動(dòng)配置實(shí)現(xiàn)終端安全準(zhǔn)入控制的方法及設(shè)備��,對(duì)IPv6地址自配置機(jī)制進(jìn)行一定的改造�����,通過(guò)在IPv6地址自動(dòng)配置的同時(shí)對(duì)接入終端進(jìn)行安全性驗(yàn)證��,實(shí)現(xiàn)了基于IPv6地址自動(dòng)配置的終端準(zhǔn)入控制����,保障了網(wǎng)絡(luò)的安全性��。
文檔編號(hào)H04L29/06GK101902482SQ20101026433
公開(kāi)日2010年12月1日 申請(qǐng)日期2010年8月23日 優(yōu)先權(quán)日2010年8月23日
發(fā)明者沈軍, 王帥, 金華敏 申請(qǐng)人:中國(guó)電信股份有限公司