[发明专利]一种基于终端主机安全状态的准入控制方法和系统

说明书

技术领域

本发明涉及网络安全及准入控制领域，具体涉及一种基于终端主机安全状态的准入控制方法和系统。

背景技术

目前准入控制领域按照7层协议划分的话，主要分为接入层准入控制和网络层基于IP的准入控制，接入层控制主要有802.1x认证，但802.1x认证存在一定的缺陷，一方面由于802.1x是基于端口级别的认证，一旦认证通过就无法做进一步的访问控制，造成一定的安全问题，另一方面如果此端口下接的是NAT设备的话，只要NAT下有一个终端认证通过，其余终端也就被认为安全的，无法实现精确的接入控制，而网络层准入控制，主要有PORTAL认证，PORTAL认证使用方便，但同时也存在一些弊端，无法对接入设备进行合法性判断，只能对使用者做合法性校验，所以容易产生设备本身不安全或者存在漏洞、病毒而对网络产生威胁。

发明内容

本发明的目的在于，为解决上述技术问题，提供一种能够同时对接入设备进行合法性判断及使用者做合法性校验的基于终端主机安全状态的准入控制方法和系统。

为解决上述技术问题，本发明采用如下的技术方案：一种基于终端主机安全状态的准入控制方法，该方法包括：通过判定访问网络资源的接入终端的接入状态，判断将所述接入终端直接切换为入网设备或进入准入阶段；所述准入阶段包括管理注册、注册审核、安全检测、认证和权限管理。

如前述的基于终端主机安全状态的准入控制方法，分为如下步骤：

S1、审查接入终端是否处于准入控制系统的白名单中，若是直接切换为入网设备；若不是，则所述接入终端进入准入阶段，并且，所述接入终端的http访问将被重定向到注册界面；

S2、接入终端进行注册，在注册界面登记接入终端及其使用者的相关信息；

S3、在所述接入终端完成注册后，将对其进行合法性审核，审核通过后所述接入终端被切换为注册设备，审核未通过的所述接入终端，其http访问将重定向至注册界面；

S4、对审核通过后的所述注册设备，根据定制的安全策略进行安全检测，检测注册设备及其运行环境是否符合安全要求，并依据检测结果对注册设备进行状态迁移；

S5、安全检测未通过的注册设备仍然处于准入阶段，需重新进行安全检测；；

S6、注册设备通过安全检测后，对注册设备的使用者进行身份认证，并根据身份认证结果对注册设备进行状态迁移；

S7、身份认证未通过的注册设备仍然处于准入阶段，需重新进行身份认证；

S8、注册设备通过身份认证后，将被切换为入网设备；

S9、对所述入网设备进行权限控制。

如前述的基于终端主机安全状态的准入控制方法，所述判定访问网络资源的接入终端的接入状态具体包括：根据接入终端访问网络资源中发生的流量，准入控制系统接收所述流量，并提取流量中的IP信息，检查所述IP信息是否在所述白名单的列表中。

如前述的基于终端主机安全状态的准入控制方法，所述步骤S2之前还包括：所述接入终端在客户端下载模块下载客户端，在完成客户端下载前接入终端访问http请求都会被重定向到注册界面。

如前述的基于终端主机安全状态的准入控制方法，所述步骤S2还包括：客户端将注册设备的唯一标识ID上报至准入控制系统，准入控制系统依据ID号来识别设备。