实现网络接入认证、传输加密、UTM的系统及方法.pdf

上传人：e2

文档编号：1100801

上传时间：2018-03-31

格式：PDF

页数：11

大小：669.71KB

《实现网络接入认证、传输加密、UTM的系统及方法.pdf》由会员分享，可在线阅读，更多相关《实现网络接入认证、传输加密、UTM的系统及方法.pdf（11页完整版）》请在专利查询网上搜索。

本发明公开一种实现网络接入认证、传输加密、UTM的系统，包括：网络接入认证子系统，用于对访问网络的用户进行接入认证；网络传输加解密子系统，用于在网络传输链路中对需要加/解密的网络数据包进行加/解密；统一威胁管理子系统，用于对网络数据包进行统一威胁管理；网络流转控制子系统，与上述各子系统相连，判断网络数据包类型和有效性并将其流转到所述网络接入认证子系统、或网络传输加密子系统和统一威胁管理子系统执行相。

摘要
申请专利号：	CN200910105122.6	申请日：	2009.01.16
公开号：	CN101783791A	公开日：	2010.07.21
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20090116\|\|\|公开
IPC分类号：	H04L29/06; H04L29/08; H04L9/08; H04L12/56	主分类号：	H04L29/06
申请人：	深圳市维信联合科技有限公司
发明人：	蓝晓敏
地址：	518000 广东省深圳市福田区华强北路圣廷苑酒店B座6楼
优先权：
专利代理机构：	深圳市维邦知识产权事务所 44269	代理人：	黄莉
PDF完整版下载：	PDF下载

内容摘要

本发明公开一种实现网络接入认证、传输加密、UTM的系统，包括：网络接入认证子系统，用于对访问网络的用户进行接入认证；网络传输加解密子系统，用于在网络传输链路中对需要加/解密的网络数据包进行加/解密；统一威胁管理子系统，用于对网络数据包进行统一威胁管理；网络流转控制子系统，与上述各子系统相连，判断网络数据包类型和有效性并将其流转到所述网络接入认证子系统、或网络传输加密子系统和统一威胁管理子系统执行相应的接入认证、或者加/解密和统一威胁管理。本发明还公开了相应的实现网络接入认证、传输加密、UTM的方法。本发明可实现网络接入认证、传输加密、UTM的无缝集成，同时可根据需要配置选用网络接入认证、传输加密、UTM功能的不同组合。

权利要求书

1：一种实现网络接入认证、传输加密、UTM的系统，其特征在于，该系统包括有：网络接入认证子系统，用于根据预设的认证方式，对访问网络的用户进行接入认证；网络传输加解密子系统，用于根据预设的密钥，在网络传输链路中，对需要加/解密的网络数据包进行加/解密；统一威胁管理子系统，用于按照预设的管理策略，对网络数据包进行统一威胁管理；网络流转控制子系统，与上述各子系统相连，判断网络数据包类型和有效性，并根据其类型和有效性选择将其流转到所述网络接入认证子系统、或者网络传输加密子系统和统一威胁管理子系统执行相应的接入认证、或者加/解密和统一威胁管理。
2：如权利要求1所述的实现网络接入认证、传输加密、UTM的系统，其特征在于，所述网络流转控制子系统包括有：过滤驱动主控模块，设置在所述网络驱动层，用于转发受控主机的认证客户端或网络应用客户端与网络处理器之间的管理数据或业务数据；网络协议栈，设置在交换节点的设备驱动层，用于将来自受控主机的网络数据包根据其包类型和有效性流转到对应的网络接入认证子系统、或者网络传输加密子系统和统一威胁管理子系统，执行对应的接入认证、或者加解密和统一威胁管理，并根据其接收到的被处理后的网络数据包类型，将所述网络数据包通过所述过滤驱动主控模块发送到受控主机的认证客户端或网络应用客户端。
3：如权利要求2所述的实现网络接入认证、传输加密、UTM的系统，其特征在于，所述网络接入认证子系统包括有：过滤驱动管理模块，设置在所述认证客户端与过滤驱动主控模块之间，用于接收来自所述认证客户端的管理数据包，跟踪更新其认证状态并将其发送到所述过滤驱动主控模块；认证代理模块，设置在所述设备驱动层，用于通过管理数据交换网络向所述网络层发送认证数据包，接收所述网络层返回的认证回应数据包，并判断该认证回应数据包是否需要转发给认证客户端，若是，则将其转化为预设的格式后发送给网络协议栈；认证服务模块，设置在所述网络层，用于接收来自所述认证代理模块的认证数据包，并按照预设的认证流程向其发送认证回应数据包。
4：如权利要求2或3所述的实现网络接入认证、传输加密、UTM的系统，其特征在于，所述统一威胁管理子系统包括有： UTM代理模块，设置在所述设备驱动层、通过管理数据交换网络与服务器相连，用于从服务器端获得预设的UTM策略； UTM执行模块，设置在所述设备驱动层、与所述网络协议栈相连，用于按照所述UTM代理模块获得的UTM策略对所述网络协议栈发送的业务数据包执行统一威胁管理后，将其发送到业务数据交换网络，并将从业务数据交换网络接收的业务数据包执行统一威胁管理后，将其发送到所述网络协议栈。
5：如权利要求4所述的实现网络接入认证、传输加密、UTM的系统，其特征在于，所述网络传输加密子系统包括有：传输加密代理模块，设置在交换节点的设备驱动层，通过管理数据交换网络与服务器相连，用于与服务器通信，获得预设的密钥；过滤驱动加密模块，设置在所述受控主机的网络应用客户端与过滤驱动主控模块之间，用于将来自所述网络应用客户端的业务数据包以预设的密钥加密后，发送给所述过滤驱动主控模块，并将来自所述过滤驱动主控模块的加密业务数据包解密后，转发到所述网络应用客户端；驱动层加解密模块，分别设置在所述设备驱动层的上行端口和下行端口，用于根据预设的统一威胁管理策略的检查深度判断从所述上行端口接收和下行端口接收到的加密业务数据包是否需要解密，若是则对其包进行解密，以及对符合预设的统一威胁管理策略的需要加密的业务数据包进行加密；网络层加解密模块，设置在所述网络层的业务通信口、并通过所述网桥连接到业务数据交换网络，用于对在交换节点内部及与其他网络之间传输的需要加/解密的业务数据进行加/解密。
6：一种实现网络接入认证、传输加密、UTM的方法，其特征在于，该方法包括以下步骤：受控主机过滤驱动步骤，在受控主机的网络驱动层截获来自受控主机认证客户端或网络应用客户端的网络数据包，判断网络数据包的类型，将其发送到网络设备驱动层；网络流转控制步骤，判断网络数据包的类型，并根据其类型和有效性选择将其流转到所述网络接入认证子系统、或者网络传输加密子系统和统一威胁管理子系统执行相应的接入认证、或者加/解密和统一威胁管理。
7：如权利要求6所述的实现网络接入认证、传输加密、UTM的方法，其特征在于，所述网络流转控制步骤具体包括：过滤驱动主控模块将来自受控主机的认证客户端的管理数据包或者网络应用客户端的业务数据包发送到认证代理模块；或者将来自认证代理模块的管理数据包发送到所述认证客户端、业务数据包发送到所述网络应用客户端；设备驱动层的网络协议栈判断来自所述过滤驱动主控模块的网络数据包的类型和有效性，若为管理数据包，则将其流转到对应的网络接入认证子系统执行接入认证，若为业务数据包，则将其流转到对应的网络传输加密子系统和统一威胁管理子系统执行加解密和统一威胁管理；或者将来自业务数据交换网络或认证代理模块的网络数据包发送到所述过滤驱动主控模块。
8：如权利要求7所述的网络接入认证、传输加密、UTM的方法，其特征在于，所述接入认证处理具体包括：过滤驱动管理模块收到来自受控主机的认证客户端的管理数据包后，跟踪并更新用户的认证状态，并通过过滤驱动主控模块将其发送到认证代理模块；认证代理模块将所述管理数据包按照预设的认证协议格式发送给认证服务模块；认证服务模块接收到所述管理数据包之后，向所述认证代理模块发送一个认证回应数据包；认证代理模块接收到所述认证回应数据包之后，判断是否需要将其转发给受控主机认证客户端，若是，则将其转化为认证客户端认证传输格式的数据包后，发送到网络协议栈；网络协议栈接收到所述认证回应数据包后，通过网络处理器将其发送到过滤驱动主控模块；过滤驱动主控模块接收到所述认证回应数据包之后，判断是否需要将其转发给受控主机认证客户端，若是，则将其发送到受控主机的认证客户端。
9：如权利要求7所述的网络接入认证、传输加密、UTM的方法，其特征在于，所述UTM具体包括：与服务器通信，获得预设的UTM策略；对所述网络协议栈发送的业务数据包按照所述UTM策略执行统一威胁管理后，将其发送到所述业务数据交换网络；或者将从所述业务数据交换网络接收到的数据包按照所述UTM策略执行统一威胁管理后，发送到所述网络协议栈。
10：如权利要求7所述的网络接入认证、传输加密、UTM的方法，所述加解密处理具体包括有：与服务器通信，获得预设的密钥；将来自所述网络应用客户端的业务数据包以预设的密钥加密后，发送到所述过滤驱动主控模块，或者将来自所述过滤驱动主控模块的加密业务数据包以预设的密钥解密后，转发到所述网络应用客户端；根据预设的统一威胁管理策略的检查深度判断从业务数据交换网络接收到的加密业务数据包是否需要解密，若是则对其包进行解密，以及对符合预设的统一威胁管理策略的需要加密的业务数据包进行加密；对通过交换节点的业务通信口发送/接收到的需要加/解密的业务数据包进行加/解密。

说明书

实现网络接入认证、传输加密、UTM的系统及方法
    【技术领域】

    本发明涉及网络通信安全领域，尤其涉及一种实现网络接入认证、传输加密、UTM的系统及方法。

    背景技术

    目前，网络接入认证系统与设备、网络传输加密系统与设备、UTM系统与设备在部署时基本上都是以单一产品应用、叠加部署的方式。而目前市场上大多数安全交换机都只是带认证、VLAN划分功能；虽然也存在少数把防毒、与IDS、IDP联动实现了概念的结合的交换机也已经有，但这些产品都只是停留在产品的堆砌阶段，并不能实现上述功能的无缝集成。

    因此，采用上述部署方式会不可避免地有如下缺点：不同产品之间联动性极差、兼容性差；整体网络性能差；部署成本高。

    【发明内容】

    本发明所要解决的技术问题是：提供一种实现网络接入认证、传输加密、UTM的方法，该方法可实现网络接入认证、传输加密、UTM的无缝集成，增强系统部件联动性、提升整体网络性能、降低组网成本。

    本发明进一步所要解决的技术问题是：提供一种实现网络接入认证、传输加密、UTM的系统，该方法可实现网络接入认证、传输加密、UTM的无缝集成，增强系统部件联动性、提升整体网络性能、降低组网成本。

    为解决上述技术问题，本发明采用如下技术方案：

    一种实现网络接入认证、传输加密、UTM的系统，该系统包括有：

    网络接入认证子系统，用于根据预设的认证方式，对访问网络的用户进行接入认证；

    网络传输加解密子系统，用于根据预设的密钥，在网络传输链路中，对需要加/解密的网络数据包进行加/解密；

    统一威胁管理子系统，用于按照预设的管理策略，对网络数据包进行统一威胁管理；

    网络流转控制子系统，与上述各子系统相连，判断网络数据包类型和有效性，并根据其类型和有效性选择将其流转到所述网络接入认证子系统、或者网络传输加密子系统和统一威胁管理子系统执行相应的接入认证、或者加/解密和统一威胁管理。

    相应地，本发明还公开了一种实现网络接入认证、传输加密、UTM的方法，该方法包括以下步骤：

    受控主机过滤驱动步骤，在受控主机的网络驱动底层截获来自受控主机认证客户端或网络应用客户端的网络数据包，判断网络数据包的类型，将其发送到设备驱动层；

    网络流转控制步骤，判断网络数据包的类型，并根据其类型和有效性选择将其流转到所述网络接入认证子系统、或者网络传输加密子系统和统一威胁管理子系统执行相应的接入认证、或者加/解密和统一威胁管理。

    本发明的有益效果是：

    本发明的实施例通过在一个交换设备的一次收包过程中，实现了网络接入认证、传输加密、以及UTM的无缝集成，从而增强了系统部件联动性、提升了整体网络性能、并且降低了组网成本。

    下面结合附图对本发明作进一步的详细描述。

    【附图说明】

    图1是本发明提供的实现网络接入认证、传输加密、UTM的系统的一个实施例。

    图2是本发明提供的实现网络接入认证、传输加密、UTM的系统的端口连接关系示意图。

    图3是本发明提供的实现网络接入认证、传输加密、UTM的系统的组网结构示意图。

    【具体实施方式】

    下面参考图1详细描述本发明提供的实现网络接入认证、传输加密、UTM的系统的一个实施例；如图所示，本实施例主要包括有：

    网络接入认证子系统1，用于根据预设的认证方式，对访问网络的用户进行接入认证；

    网络传输加密子系统2，用于根据预设的密钥，在网络传输链路中，对需要加/解密的网络数据包进行加/解密；

    统一威胁管理子系统3，用于按照预设的管理策略，对网络数据包进行统一威胁管理；

    网络流转控制子系统4，与上述各子系统相连，用于在受控主机的网络驱动底层截获网络数据包，判断其类型和有效性，并根据其类型和有效性选择将其流转到所述网络接入认证子系统、或者网络传输加密子系统和统一威胁管理子系统执行相应的接入认证、或者加/解密和统一威胁管理。

    具体实现时，所述网络流转控制子系统4具体包括有：

    过滤驱动主控模块41，设置在受控主机的网络驱动层，用于转发受控主机的认证客户端或网络应用客户端与网络处理器之间的管理数据或业务数据；

    网络协议栈42，设置在交换节点的设备驱动层，用于将来自受控主机的网络数据包根据其包类型和有效性流转到对应的网络接入认证子系统、或者网络传输加密子系统和统一威胁管理子系统，执行对应的接入认证、或者加解密和统一威胁管理，并根据其接收到的被处理后的网络数据包类型，将所述网络数据包通过所述过滤驱动主控模块发送到受控主机的认证客户端或网络应用客户端。

    另外，所述网络接入认证子系统1具体包括有：

    过滤驱动管理模块11，设置在所述认证客户端与过滤驱动主控模块之间，用于接收来自所述认证客户端的管理数据包，跟踪并更新其认证状态后，将其发送到所述过滤驱动主控模块；

    认证代理模块12，设置在所述设备驱动层，用于通过管理数据交换网络向所述网络层发送认证数据包，接收所述网络层返回的认证回应数据包，并判断该认证回应数据包是否需要转发给认证客户端，若是，则将其转化为预设的格式后发送给网络协议栈；

    认证服务模块13，设置在所述网络层，用于接收来自所述认证代理模块的认证数据包，并按照预设地认证流程向其发送认证回应数据包。

    所述统一威胁管理子3系统具体包括有：

    UTM代理模块31，设置在所述设备驱动层、通过管理数据交换网络与服务器相连，用于从服务器端获得预设的UTM策略；

    UTM执行模块32，设置在所述设备驱动层、与所述网络协议栈相连，用于按照UTM代理模块31获得的UTM策略对所述网络协议栈发送的业务数据包执行统一威胁管理后，将其发送到业务数据交换网络，并将从业务数据交换网络接收的业务数据包执行统一威胁管理后，将其发送到所述网络协议栈。

    所述网络传输加密子系统2具体包括有：

    传输加密代理模块21，设置在交换节点的设备驱动层，通过管理数据交换网络与服务器相连，用于与服务器通信，获得预设的密钥；

    过滤驱动加密模块22，设置在所述受控主机的网络应用客户端与过滤驱动主控模块之间，用于将来自所述网络应用客户端的业务数据包以预设的密钥加密后，发送给所述过滤驱动主控模块，并将来自所述过滤驱动主控模块的加密业务数据包解密后，转发到所述网络应用客户端；

    驱动层加解密模块23，分别设置在所述设备驱动层的上行端口和下行端口，用于根据预设的统一威胁管理策略的检查深度判断从所述上行端口接收和下行端口接收到的加密业务数据包是否需要解密，若是则对其包进行解密，以及对符合预设的统一威胁管理策略的需要加密的业务数据包进行加密；

    网络层加解密模块24，设置在所述网络层的业务通信口、并通过所述网桥连接到业务数据交换网络，用于对在交换节点内部及与其他网络之间传输的需要加/解密的业务数据进行加/解密。

    下面参考图2描述本发明提供的实现网络接入认证、传输加密、UTM的方法的一个实施例；如图所示，本实施例实现一次实现网络接入认证、传输加密、UTM的过程主要包括以下步骤：

    受控主机过滤驱动步骤，在受控主机的网络驱动层截获来自受控主机认证客户端或网络应用客户端的网络数据包，判断网络数据包的类型，将其发送到网络设备驱动层；

    网络流转控制步骤，判断网络数据包的类型，并根据其类型和有效性选择将其流转到所述网络接入认证子系统、或者网络传输加密子系统和统一威胁管理子系统执行相应的接入认证、或者加/解密和统一威胁管理。

    具体实现时，所述网络流转控制步骤具体包括：

    过滤驱动主控模块将来自受控主机的认证客户端的管理数据包或者网络应用客户端的业务数据包发送到认证代理模块；或者将来认证代理模块的管理数据包发送到所述认证客户端、业务数据包发送到所述网络应用客户端；

    设备驱动层的网络协议栈判断来自所述过滤驱动主控模块的网络数据包的类型和有效性，若为管理数据包，则将其流转到对应的网络接入认证子系统执行接入认证，若为业务数据包，则将其流转到对应的网络传输加密子系统和统一威胁管理子系统执行加解密和统一威胁管理；或者将来自所述业务数据交换网络或认证代理模块的网络数据包发送到所述过滤驱动主控模块。

    具体实现时，所述接入认证包括但不限于网络通用的PPPoE、802.1X、DHCP+WEB等接入认证方式，网络中的配置子系统负责所述认证方式的预设，而其具体认证处理过程如下：

    过滤驱动管理模块收到来自受控主机的认证客户端的管理数据包后，跟踪并更新用户的认证状态，并通过过滤驱动主控模块发送给认证代理模块；

    认证代理模块将所述管理数据包按照预设的认证协议格式发送给认证执行模块；

    认证执行模块接收到所述管理数据包之后，向所述认证代理模块发送一个认证回应数据包；

    认证代理模块接收到所述认证回应数据包之后，判断是否需要将其转发给受控主机认证客户端，若是，则将其转化为认证客户端认证传输格式的数据包后，发送到网络协议栈；

    网络协议栈接收到所述认证回应数据包后，通过网络处理器将其发送到过滤驱动主控模块；

    过滤驱动主控模块接收到所述认证回应数据包之后，判断是否需要将其转发给受控主机认证客户端，若是，则将其发送到受控主机的认证客户端。

    而所述UTM具体包括：

    与服务器通信，获得预设的UTM策略；

    对所述网络协议栈通过网桥发送的业务数据包按照所述UTM策略执行统一威胁管理后，将其发送到所述业务数据交换网络；

    或者将从所述业务数据交换网络接收到的数据包按照所述UTM策略执行统一威胁管理后，发送到所述网络协议栈。

    另外，具体实现时，所述加解密算法包括但不限于aes、twofish、serpent等加密算法，所述配置子系统负责加解密算法的预设，而其具体加密处理过程如下：

    与服务器通信，获得预设的密钥；

    将来自所述网络应用客户端的业务数据包以预设的密钥加密后，发送给所述过滤驱动主控模块，或者将来自所述过滤驱动主控模块的加密业务数据包解密后，转发到所述网络应用客户端；

    根据预设的统一威胁管理策略的检查深度判断从业务数据交换网络接收或下行端口接收到的加密业务数据包是否需要解密，若是则对其包进行解密，以及对符合预设的统一威胁管理策略的需要加密的业务数据包进行加密；

    对通过交换节点的业务通信口发送/接收到的需要加/解密的业务数据包进行加/解密。

    具体实现时，本实施例的配置系统可以B/S模式、C/S模式、或者配置文件等形式，此处不再赘述。

    下面参考图2详细描述本实施例中各端口的连接关系；如图所示，其端口分配如下：

    下行口为交换节点的设备驱动层(IXP425系统)与受控主机通信的网口；

    上行口为交换节点的设备驱动层(IXP425系统)IXP425与业务数据交换网络通信的网口；

    IXP425管理口为交换节点的设备驱动层(IXP425系统)与管理数据交换网络通信的网口；

    业务口为交换节点的网络层(X86系统)与业务数据流转硬件网络通信的网口；

    层三口为交换节点的网络层(X86系统)与通过路由器/NAT设备与其他交换节点的网络层进行业务通信的网口；

    业务级联口为交换节点的网络层(X86系统)与其他交换节点的网络层直接连接(层二交换机)进行业务通信的网口；

    解密口为交换节点的网络层(X86系统)与非加密网络进行业务通信的网口；

    X86管理口为交换节点的网络层(X86系统)与系统内所有网络驱动层(IXP425系统)通过管理数据交换网络交换管理信息的网口；

    级联管理口为交换节点的网络层(X86系统)与其他交换节点的网络层交换管理数据的网口。

    具体实现时，不同业务数据交换网络系统内的业务数据交换方式可以是一下三种方式的任意组合：

    1、与对端业务数据流转硬件网络系统通过所述层三口连接；

    2、与对端业务数据流转硬件网络系统通过所述业务级联口连接；

    3、与对端业务数据流转硬件网络系统通过所述的解密口连接。

    图3还示出了本实施例的组网结构。

    本发明在一个交换设备的一次收包过程中，实现了网络接入认证、传输加密、以及UTM的无缝集成，从而增强了系统部件联动性、提升了整体网络性能、并且降低了组网成本。

    以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。