實現網絡接入認證、傳輸加密、utm的系統及方法

2023-04-26 09:29:21 1

專利名稱：實現網絡接入認證、傳輸加密、utm的系統及方法
技術領域：
本發明涉及網絡通信安全領域，尤其涉及一種實現網絡接入認證、傳輸加密、UTM 的系統及方法。
背景技術：
目前，網絡接入認證系統與設備、網絡傳輸加密系統與設備、UTM系統與設備在部 署時基本上都是以單一產品應用、疊加部署的方式。而目前市場上大多數安全交換機都只 是帶認證、VLAN劃分功能；雖然也存在少數把防毒、與IDS、IDP聯動實現了概念的結合的交 換機也已經有，但這些產品都只是停留在產品的堆砌階段，並不能實現上述功能的無縫集 成。 因此，採用上述部署方式會不可避免地有如下缺點不同產品之間聯動性極差、兼 容性差；整體網絡性能差；部署成本高。

發明內容
本發明所要解決的技術問題是提供一種實現網絡接入認證、傳輸加密、UTM的方 法，該方法可實現網絡接入認證、傳輸加密、UTM的無縫集成，增強系統部件聯動性、提升整 體網絡性能、降低組網成本。 本發明進一步所要解決的技術問題是提供一種實現網絡接入認證、傳輸加密、
UTM的系統，該方法可實現網絡接入認證、傳輸加密、UTM的無縫集成，增強系統部件聯動
性、提升整體網絡性能、降低組網成本。 為解決上述技術問題，本發明採用如下技術方案 —種實現網絡接入認證、傳輸加密、UTM的系統，該系統包括有 網絡接入認證子系統，用於根據預設的認證方式，對訪問網絡的用戶進行接入認
證； 網絡傳輸加解密子系統，用於根據預設的密鑰，在網絡傳輸鏈路中，對需要加/解 密的網絡數據包進行加/解密； 統一威脅管理子系統，用於按照預設的管理策略，對網絡數據包進行統一威脅管 理； 網絡流轉控制子系統，與上述各子系統相連，判斷網絡數據包類型和有效性，並根
據其類型和有效性選擇將其流轉到所述網絡接入認證子系統、或者網絡傳輸加密子系統和
統一威脅管理子系統執行相應的接入認證、或者加/解密和統一威脅管理。 相應地，本發明還公開了一種實現網絡接入認證、傳輸加密、UTM的方法，該方法包
括以下步驟 受控主機過濾驅動步驟，在受控主機的網絡驅動底層截獲來自受控主機認證客戶 端或網絡應用客戶端的網絡數據包，判斷網絡數據包的類型，將其發送到設備驅動層；
網絡流轉控制步驟，判斷網絡數據包的類型，並根據其類型和有效性選擇將其流
5轉到所述網絡接入認證子系統、或者網絡傳輸加密子系統和統一威脅管理子系統執行相應 的接入認證、或者加/解密和統一威脅管理。
本發明的有益效果是 本發明的實施例通過在一個交換設備的一次收包過程中，實現了網絡接入認證、 傳輸加密、以及UTM的無縫集成，從而增強了系統部件聯動性、提升了整體網絡性能、並且 降低了組網成本。 下面結合附圖對本發明作進一步的詳細描述。


圖1是本發明提供的實現網絡接入認證、傳輸加密、UTM的系統的一個實施例。
圖2是本發明提供的實現網絡接入認證、傳輸加密、UTM的系統的埠連接關係示 意圖。 圖3是本發明提供的實現網絡接入認證、傳輸加密、UTM的系統的組網結構示意 圖。
具體實施例方式
下面參考圖1詳細描述本發明提供的實現網絡接入認證、傳輸加密、UTM的系統的 一個實施例；如圖所示，本實施例主要包括有 網絡接入認證子系統l，用於根據預設的認證方式，對訪問網絡的用戶進行接入認 證； 網絡傳輸加密子系統2，用於根據預設的密鑰，在網絡傳輸鏈路中，對需要加/解 密的網絡數據包進行加/解密； 統一威脅管理子系統3，用於按照預設的管理策略，對網絡數據包進行統一威脅管 理； 網絡流轉控制子系統4，與上述各子系統相連，用於在受控主機的網絡驅動底層截 獲網絡數據包，判斷其類型和有效性，並根據其類型和有效性選擇將其流轉到所述網絡接 入認證子系統、或者網絡傳輸加密子系統和統一威脅管理子系統執行相應的接入認證、或 者加/解密和統一威脅管理。 具體實現時，所述網絡流轉控制子系統4具體包括有 過濾驅動主控模塊41，設置在受控主機的網絡驅動層，用於轉發受控主機的認證 客戶端或網絡應用客戶端與網絡處理器之間的管理數據或業務數據； 網絡協議棧42，設置在交換節點的設備驅動層，用於將來自受控主機的網絡數據
包根據其包類型和有效性流轉到對應的網絡接入認證子系統、或者網絡傳輸加密子系統和
統一威脅管理子系統，執行對應的接入認證、或者加解密和統一威脅管理，並根據其接收到
的被處理後的網絡數據包類型，將所述網絡數據包通過所述過濾驅動主控模塊發送到受控
主機的認證客戶端或網絡應用客戶端。
另外，所述網絡接入認證子系統1具體包括有 過濾驅動管理模塊ll，設置在所述認證客戶端與過濾驅動主控模塊之間，用於接 收來自所述認證客戶端的管理數據包，跟蹤並更新其認證狀態後，將其發送到所述過濾驅動主控模塊； 認證代理模塊12，設置在所述設備驅動層，用於通過管理數據交換網絡向所述網
絡層發送認證數據包，接收所述網絡層返回的認證回應數據包，並判斷該認證回應數據包
是否需要轉發給認證客戶端，若是，則將其轉化為預設的格式後發送給網絡協議棧； 認證服務模塊13，設置在所述網絡層，用於接收來自所述認證代理模塊的認證數
據包，並按照預設的認證流程向其發送認證回應數據包。 所述統一威脅管理子3系統具體包括有 UTM代理模塊31，設置在所述設備驅動層、通過管理數據交換網絡與伺服器相連， 用於從伺服器端獲得預設的UTM策略； UTM執行模塊32，設置在所述設備驅動層、與所述網絡協議棧相連，用於按照UTM 代理模塊31獲得的UTM策略對所述網絡協議棧發送的業務數據包執行統一威脅管理後，將
其發送到業務數據交換網絡，並將從業務數據交換網絡接收的業務數據包執行統一威脅管 理後，將其發送到所述網絡協議棧。 所述網絡傳輸加密子系統2具體包括有 傳輸加密代理模塊21，設置在交換節點的設備驅動層，通過管理數據交換網絡與 伺服器相連，用於與伺服器通信，獲得預設的密鑰； 過濾驅動加密模塊22，設置在所述受控主機的網絡應用客戶端與過濾驅動主控模 塊之間，用於將來自所述網絡應用客戶端的業務數據包以預設的密鑰加密後，發送給所述 過濾驅動主控模塊，並將來自所述過濾驅動主控模塊的加密業務數據包解密後，轉發到所 述網絡應用客戶端； 驅動層加解密模塊23，分別設置在所述設備驅動層的上行埠和下行埠 ，用於 根據預設的統一威脅管理策略的檢查深度判斷從所述上行埠接收和下行埠接收到的 加密業務數據包是否需要解密，若是則對其包進行解密，以及對符合預設的統一威脅管理 策略的需要加密的業務數據包進行加密； 網絡層加解密模塊24，設置在所述網絡層的業務通信口、並通過所述網橋連接到 業務數據交換網絡，用於對在交換節點內部及與其他網絡之間傳輸的需要加/解密的業務 數據進行加/解密。 下面參考圖2描述本發明提供的實現網絡接入認證、傳輸加密、UTM的方法的一個 實施例；如圖所示，本實施例實現一次實現網絡接入認證、傳輸加密、UTM的過程主要包括 以下步驟 受控主機過濾驅動步驟，在受控主機的網絡驅動層截獲來自受控主機認證客戶端
或網絡應用客戶端的網絡數據包，判斷網絡數據包的類型，將其發送到網絡設備驅動層； 網絡流轉控制步驟，判斷網絡數據包的類型，並根據其類型和有效性選擇將其流
轉到所述網絡接入認證子系統、或者網絡傳輸加密子系統和統一威脅管理子系統執行相應
的接入認證、或者加/解密和統一威脅管理。
具體實現時，所述網絡流轉控制步驟具體包括 過濾驅動主控模塊將來自受控主機的認證客戶端的管理數據包或者網絡應用客 戶端的業務數據包發送到認證代理模塊；或者將來認證代理模塊的管理數據包發送到所述 認證客戶端、業務數據包發送到所述網絡應用客戶端；
設備驅動層的網絡協議棧判斷來自所述過濾驅動主控模塊的網絡數據包的類型 和有效性，若為管理數據包，則將其流轉到對應的網絡接入認證子系統執行接入認證，若為 業務數據包，則將其流轉到對應的網絡傳輸加密子系統和統一威脅管理子系統執行加解密 和統一威脅管理；或者將來自所述業務數據交換網絡或認證代理模塊的網絡數據包發送到 所述過濾驅動主控模塊。 具體實現時，所述接入認證包括但不限於網絡通用的PPPoE、802. IX、 DHCP+WEB等 接入認證方式，網絡中的配置子系統負責所述認證方式的預設，而其具體認證處理過程如 下 過濾驅動管理模塊收到來自受控主機的認證客戶端的管理數據包後，跟蹤並更新 用戶的認證狀態，並通過過濾驅動主控模塊發送給認證代理模塊； 認證代理模塊將所述管理數據包按照預設的認證協議格式發送給認證執行模 塊； 認證執行模塊接收到所述管理數據包之後，向所述認證代理模塊發送一個認證回 應數據包； 認證代理模塊接收到所述認證回應數據包之後，判斷是否需要將其轉發給受控主 機認證客戶端，若是，則將其轉化為認證客戶端認證傳輸格式的數據包後，發送到網絡協議 棧； 網絡協議棧接收到所述認證回應數據包後，通過網絡處理器將其發送到過濾驅動 主控模塊； 過濾驅動主控模塊接收到所述認證回應數據包之後，判斷是否需要將其轉發給受
控主機認證客戶端，若是，則將其發送到受控主機的認證客戶端。 而所述UTM具體包括 與伺服器通信，獲得預設的UTM策略； 對所述網絡協議棧通過網橋發送的業務數據包按照所述UTM策略執行統一威脅 管理後，將其發送到所述業務數據交換網絡； 或者將從所述業務數據交換網絡接收到的數據包按照所述UTM策略執行統一威 脅管理後，發送到所述網絡協議棧。 另外，具體實現時，所述加解密算法包括但不限於aes、 twof ish、 serpent等加密 算法，所述配置子系統負責加解密算法的預設，而其具體加密處理過程如下
與伺服器通信，獲得預設的密鑰； 將來自所述網絡應用客戶端的業務數據包以預設的密鑰加密後，發送給所述過濾 驅動主控模塊，或者將來自所述過濾驅動主控模塊的加密業務數據包解密後，轉發到所述 網絡應用客戶端； 根據預設的統一威脅管理策略的檢查深度判斷從業務數據交換網絡接收或下行 埠接收到的加密業務數據包是否需要解密，若是則對其包進行解密，以及對符合預設的 統一威脅管理策略的需要加密的業務數據包進行加密； 對通過交換節點的業務通信口發送/接收到的需要加/解密的業務數據包進行加
/解密。 具體實現時，本實施例的配置系統可以B/S模式、C/S模式、或者配置文件等形式，此處不再贅述。 下面參考圖2詳細描述本實施例中各埠的連接關係；如圖所示，其埠分配如 下 下行口為交換節點的設備驅動層(IXP425系統)與受控主機通信的網口 ； 上行口為交換節點的設備驅動層(IXP425系統)IXP425與業務數據交換網絡通信
的網口 ； IXP425管理口為交換節點的設備驅動層(IXP425系統)與管理數據交換網絡通信 的網口 ； 業務口為交換節點的網絡層(X86系統)與業務數據流轉硬體網絡通信的網口 ；
層三口為交換節點的網絡層(X86系統)與通過路由器/NAT設備與其他交換節點 的網絡層進行業務通信的網口； 業務級聯口為交換節點的網絡層(X86系統)與其他交換節點的網絡層直接連接 (層二交換機)進行業務通信的網口； 解密口為交換節點的網絡層(X86系統)與非加密網絡進行業務通信的網口 ；
X86管理口為交換節點的網絡層(X86系統)與系統內所有網絡驅動層(IXP425系 統)通過管理數據交換網絡交換管理信息的網口； 級聯管理口為交換節點的網絡層(X86系統)與其他交換節點的網絡層交換管理 數據的網口。 具體實現時，不同業務數據交換網絡系統內的業務數據交換方式可以是一下三種 方式的任意組合 1、與對端業務數據流轉硬體網絡系統通過所述層三口連接；
2、與對端業務數據流轉硬體網絡系統通過所述業務級聯口連接；
3、與對端業務數據流轉硬體網絡系統通過所述的解密口連接。
圖3還示出了本實施例的組網結構。 本發明在一個交換設備的一次收包過程中，實現了網絡接入認證、傳輸加密、以及 UTM的無縫集成，從而增強了系統部件聯動性、提升了整體網絡性能、並且降低了組網成本。
以上所述是本發明的優選實施方式，應當指出，對於本技術領域的普通技術人員 來說，在不脫離本發明原理的前提下，還可以做出若干改進和潤飾，這些改進和潤飾也視為 本發明的保護範圍。
權利要求
一種實現網絡接入認證、傳輸加密、UTM的系統，其特徵在於，該系統包括有網絡接入認證子系統，用於根據預設的認證方式，對訪問網絡的用戶進行接入認證；網絡傳輸加解密子系統，用於根據預設的密鑰，在網絡傳輸鏈路中，對需要加/解密的網絡數據包進行加/解密；統一威脅管理子系統，用於按照預設的管理策略，對網絡數據包進行統一威脅管理；網絡流轉控制子系統，與上述各子系統相連，判斷網絡數據包類型和有效性，並根據其類型和有效性選擇將其流轉到所述網絡接入認證子系統、或者網絡傳輸加密子系統和統一威脅管理子系統執行相應的接入認證、或者加/解密和統一威脅管理。
2. 如權利要求1所述的實現網絡接入認證、傳輸加密、UTM的系統，其特徵在於，所述網絡流轉控制子系統包括有過濾驅動主控模塊，設置在所述網絡驅動層，用於轉發受控主機的認證客戶端或網絡應用客戶端與網絡處理器之間的管理數據或業務數據；網絡協議棧，設置在交換節點的設備驅動層，用於將來自受控主機的網絡數據包根據其包類型和有效性流轉到對應的網絡接入認證子系統、或者網絡傳輸加密子系統和統一威脅管理子系統，執行對應的接入認證、或者加解密和統一威脅管理，並根據其接收到的被處理後的網絡數據包類型，將所述網絡數據包通過所述過濾驅動主控模塊發送到受控主機的認證客戶端或網絡應用客戶端。
3. 如權利要求2所述的實現網絡接入認證、傳輸加密、UTM的系統，其特徵在於，所述網絡接入認證子系統包括有過濾驅動管理模塊，設置在所述認證客戶端與過濾驅動主控模塊之間，用於接收來自所述認證客戶端的管理數據包，跟蹤更新其認證狀態並將其發送到所述過濾驅動主控模塊；認證代理模塊，設置在所述設備驅動層，用於通過管理數據交換網絡向所述網絡層發送認證數據包，接收所述網絡層返回的認證回應數據包，並判斷該認證回應數據包是否需要轉發給認證客戶端，若是，則將其轉化為預設的格式後發送給網絡協議棧；認證服務模塊，設置在所述網絡層，用於接收來自所述認證代理模塊的認證數據包，並按照預設的認證流程向其發送認證回應數據包。
4. 如權利要求2或3所述的實現網絡接入認證、傳輸加密、UTM的系統，其特徵在於，所述統一威脅管理子系統包括有UTM代理模塊，設置在所述設備驅動層、通過管理數據交換網絡與伺服器相連，用於從伺服器端獲得預設的UTM策略；UTM執行模塊，設置在所述設備驅動層、與所述網絡協議棧相連，用於按照所述UTM代理模塊獲得的UTM策略對所述網絡協議棧發送的業務數據包執行統一威脅管理後，將其發送到業務數據交換網絡，並將從業務數據交換網絡接收的業務數據包執行統一威脅管理後，將其發送到所述網絡協議棧。
5. 如權利要求4所述的實現網絡接入認證、傳輸加密、UTM的系統，其特徵在於，所述網絡傳輸加密子系統包括有傳輸加密代理模塊，設置在交換節點的設備驅動層，通過管理數據交換網絡與伺服器相連，用於與伺服器通信，獲得預設的密鑰；過濾驅動加密模塊，設置在所述受控主機的網絡應用客戶端與過濾驅動主控模塊之 間，用於將來自所述網絡應用客戶端的業務數據包以預設的密鑰加密後，發送給所述過濾 驅動主控模塊，並將來自所述過濾驅動主控模塊的加密業務數據包解密後，轉發到所述網 絡應用客戶端；驅動層加解密模塊，分別設置在所述設備驅動層的上行埠和下行埠 ，用於根據預 設的統一威脅管理策略的檢查深度判斷從所述上行埠接收和下行埠接收到的加密業 務數據包是否需要解密，若是則對其包進行解密，以及對符合預設的統一威脅管理策略的 需要加密的業務數據包進行加密；網絡層加解密模塊，設置在所述網絡層的業務通信口、並通過所述網橋連接到業務數 據交換網絡，用於對在交換節點內部及與其他網絡之間傳輸的需要加/解密的業務數據進 行加/解密。
6. —種實現網絡接入認證、傳輸加密、UTM的方法，其特徵在於，該方法包括以下步驟 受控主機過濾驅動步驟，在受控主機的網絡驅動層截獲來自受控主機認證客戶端或網絡應用客戶端的網絡數據包，判斷網絡數據包的類型，將其發送到網絡設備驅動層；網絡流轉控制步驟，判斷網絡數據包的類型，並根據其類型和有效性選擇將其流轉到 所述網絡接入認證子系統、或者網絡傳輸加密子系統和統一威脅管理子系統執行相應的接 入認證、或者加/解密和統一威脅管理。
7. 如權利要求6所述的實現網絡接入認證、傳輸加密、UTM的方法，其特徵在於，所述網 絡流轉控制步驟具體包括過濾驅動主控模塊將來自受控主機的認證客戶端的管理數據包或者網絡應用客戶端 的業務數據包發送到認證代理模塊；或者將來自認證代理模塊的管理數據包發送到所述認 證客戶端、業務數據包發送到所述網絡應用客戶端；設備驅動層的網絡協議棧判斷來自所述過濾驅動主控模塊的網絡數據包的類型和有 效性，若為管理數據包，則將其流轉到對應的網絡接入認證子系統執行接入認證，若為業務 數據包，則將其流轉到對應的網絡傳輸加密子系統和統一威脅管理子系統執行加解密和統 一威脅管理；或者將來自業務數據交換網絡或認證代理模塊的網絡數據包發送到所述過濾 驅動主控模塊。
8. 如權利要求7所述的網絡接入認證、傳輸加密、UTM的方法，其特徵在於，所述接入認 證處理具體包括過濾驅動管理模塊收到來自受控主機的認證客戶端的管理數據包後，跟蹤並更新用戶的認證狀態，並通過過濾驅動主控模塊將其發送到認證代理模塊；認證代理模塊將所述管理數據包按照預設的認證協議格式發送給認證服務模塊； 認證服務模塊接收到所述管理數據包之後，向所述認證代理模塊發送一個認證回應數據包；認證代理模塊接收到所述認證回應數據包之後，判斷是否需要將其轉發給受控主機認 證客戶端，若是，則將其轉化為認證客戶端認證傳輸格式的數據包後，發送到網絡協議棧；網絡協議棧接收到所述認證回應數據包後，通過網絡處理器將其發送到過濾驅動主控 模塊；過濾驅動主控模塊接收到所述認證回應數據包之後，判斷是否需要將其轉發給受控主機認證客戶端，若是，則將其發送到受控主機的認證客戶端。
9. 如權利要求7所述的網絡接入認證、傳輸加密、UTM的方法，其特徵在於，所述UTM具 體包括與伺服器通信，獲得預設的UTM策略；對所述網絡協議棧發送的業務數據包按照所述UTM策略執行統一威脅管理後，將其發 送到所述業務數據交換網絡；或者將從所述業務數據交換網絡接收到的數據包按照所述UTM策略執行統一威脅管 理後，發送到所述網絡協議棧。
10. 如權利要求7所述的網絡接入認證、傳輸加密、UTM的方法，所述加解密處理具體包 括有與伺服器通信，獲得預設的密鑰；將來自所述網絡應用客戶端的業務數據包以預設的密鑰加密後，發送到所述過濾驅動 主控模塊，或者將來自所述過濾驅動主控模塊的加密業務數據包以預設的密鑰解密後，轉 發到所述網絡應用客戶端；根據預設的統一威脅管理策略的檢查深度判斷從業務數據交換網絡接收到的加密業 務數據包是否需要解密，若是則對其包進行解密，以及對符合預設的統一威脅管理策略的 需要加密的業務數據包進行加密；對通過交換節點的業務通信口發送/接收到的需要加/解密的業務數據包進行加/解密。
全文摘要
本發明公開一種實現網絡接入認證、傳輸加密、UTM的系統，包括網絡接入認證子系統，用於對訪問網絡的用戶進行接入認證；網絡傳輸加解密子系統，用於在網絡傳輸鏈路中對需要加/解密的網絡數據包進行加/解密；統一威脅管理子系統，用於對網絡數據包進行統一威脅管理；網絡流轉控制子系統，與上述各子系統相連，判斷網絡數據包類型和有效性並將其流轉到所述網絡接入認證子系統、或網絡傳輸加密子系統和統一威脅管理子系統執行相應的接入認證、或者加/解密和統一威脅管理。本發明還公開了相應的實現網絡接入認證、傳輸加密、UTM的方法。本發明可實現網絡接入認證、傳輸加密、UTM的無縫集成，同時可根據需要配置選用網絡接入認證、傳輸加密、UTM功能的不同組合。
文檔編號H04L12/56GK101783791SQ20091010512
公開日2010年7月21日 申請日期2009年1月16日 優先權日2009年1月16日
發明者藍曉敏 申請人:深圳市維信聯合科技有限公司