發(fā)布時間：2021-03-31 05:22

　　近年來,與網(wǎng)絡(luò)信息系統(tǒng)相關(guān)的安全事件持續(xù)增多,病毒、木馬等程序的惡意入侵和攻擊不斷對企業(yè)網(wǎng)絡(luò)系統(tǒng)造成威脅。很多企業(yè)在網(wǎng)絡(luò)和信息系統(tǒng)規(guī)模逐漸擴大的同時,面臨著缺乏對接入企業(yè)內(nèi)部網(wǎng)絡(luò)終端有效管控和因終端操作系統(tǒng)、安全配置不合規(guī)而導(dǎo)致的企業(yè)整體網(wǎng)絡(luò)安全風(fēng)險增加的問題。如何按照企業(yè)制定的統(tǒng)一規(guī)則進行用戶終端的入網(wǎng)安全管控,并實現(xiàn)接入終端自主進行安全合規(guī)配置,已經(jīng)成為這些企業(yè)在網(wǎng)絡(luò)安全建設(shè)和升級中都必須面對的一個重要問題。本文的主要工作如下:（1）分析了企業(yè)辦公網(wǎng)絡(luò)存在的終端接入安全問題及需求,研究了RADIUS認(rèn)證協(xié)議、802.1x認(rèn)證、802.1x準(zhǔn)入控制等常用技術(shù)。（2）研究了企業(yè)辦公網(wǎng)絡(luò)準(zhǔn)入控制實現(xiàn)流程以及建立網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的方法,設(shè)計了基于網(wǎng)絡(luò)準(zhǔn)入和應(yīng)用準(zhǔn)入安全分層防護的企業(yè)辦公網(wǎng)絡(luò)終端準(zhǔn)入控制系統(tǒng),實現(xiàn)了企業(yè)網(wǎng)絡(luò)終端接入管控策略、技術(shù)與管理的結(jié)合。（3）給出了基于802.1x的準(zhǔn)入控制系統(tǒng)整體流程及系統(tǒng)架構(gòu),設(shè)計和實現(xiàn)了身份認(rèn)證、終端安全項合規(guī)檢查、阻斷與隔離、重定向與修復(fù)等功能模塊。（4）結(jié)合河南某航空運輸企業(yè)辦公網(wǎng)絡(luò)環(huán)境,測試了所設(shè)計的準(zhǔn)入控制系統(tǒng)整體流程及核心功能。測試結(jié)果表... 

【文章來源】：鄭州大學(xué)河南省 211工程院校

【文章頁數(shù)】：75 頁

【學(xué)位級別】：碩士

【部分圖文】：

終端安全接入問題受到企業(yè)關(guān)注度

2企業(yè)內(nèi)網(wǎng)安全與終端準(zhǔn)入控制技術(shù)62企業(yè)內(nèi)網(wǎng)安全與終端準(zhǔn)入控制技術(shù)2.1企業(yè)TCP/IP分層的網(wǎng)絡(luò)安全防護隨著企業(yè)信息化程度的不斷提高和網(wǎng)絡(luò)規(guī)模的日益增長，企業(yè)在日常的生產(chǎn)經(jīng)營的過程中無法避免地遭遇由網(wǎng)絡(luò)黑客和不法人員所發(fā)起的網(wǎng)絡(luò)入侵和網(wǎng)絡(luò)攻擊，而這些網(wǎng)絡(luò)入侵和攻擊大多是針對當(dāng)下TCP/IP協(xié)議層所存在的安全缺陷和安全漏洞而進行的，所以一般企業(yè)在進行安全防護部署時會針對性地對TCP/IP各層進行相應(yīng)的安全防護[8]。在圖2.1中可以看出一般企業(yè)鏈路層安全、網(wǎng)絡(luò)/IP層安全、應(yīng)用層安全分層的網(wǎng)絡(luò)安全模型。圖2.1TCP/IP分層的網(wǎng)絡(luò)安全模型在這些不同的TCP/IP層次上，企業(yè)可以相應(yīng)地在認(rèn)證、訪問控制、數(shù)據(jù)完整性、保密性、抗抵賴、審計、可用性等層面進行一一對應(yīng)的網(wǎng)絡(luò)安全防護[9]，如圖2.2所示。

2企業(yè)內(nèi)網(wǎng)安全與終端準(zhǔn)入控制技術(shù)7圖2.2TCP/IP不同層次的安全技術(shù)在對企業(yè)辦公網(wǎng)絡(luò)實施終端準(zhǔn)入控制時，應(yīng)該考慮到企業(yè)網(wǎng)絡(luò)終端安全防護方面存在的不足，結(jié)合TCP/IP分層防護的理念，在不同的網(wǎng)絡(luò)層次進行分析與設(shè)計。2.2802.1x相關(guān)準(zhǔn)入控制技術(shù)2.2.1RADIUS認(rèn)證協(xié)議遠程用戶撥號認(rèn)證服務(wù)(RemoteAuthenticationDailInUserService，RADIUS)是一種具有典型C/S結(jié)構(gòu)且應(yīng)用廣泛的認(rèn)證、授權(quán)、記賬（AAA）協(xié)議。一開始網(wǎng)絡(luò)接入服務(wù)器(NetAccessServer，NAS)被指定為RADIUS認(rèn)證系統(tǒng)中的客戶端，現(xiàn)今RADIUS協(xié)議在市場上各類信息產(chǎn)品的網(wǎng)絡(luò)接入認(rèn)證模塊中被頻繁使用，目前來說只要安裝了RADIUS軟件就可以被稱之為RADIUS客戶端，比如任意一臺支持RADIUS的電腦或網(wǎng)絡(luò)設(shè)備。RADIUS協(xié)議提供了不同的認(rèn)證方式供使用者選擇，相對來講其認(rèn)證的機制靈活、可擴展[10]。在RADIUS協(xié)議的認(rèn)證過程中，NAS會封裝試圖入網(wǎng)的終端用戶所發(fā)送的賬戶口令信息，并將該信息轉(zhuǎn)發(fā)給特定的RADIUS服務(wù)器，此時如果選用挑戰(zhàn)握手認(rèn)證協(xié)議（CHAP）的認(rèn)證方式，則參與認(rèn)證的客戶端和RADIUS服務(wù)器雙方需要按照相同的算法對密碼進行加密并共享密鑰，如MD5算法加密。已經(jīng)共享了密鑰的RADIUS服務(wù)器便能夠利用共享密鑰驗證終端用戶所發(fā)送的賬戶


本文編號：3110872