近年來,與網絡信息系統(tǒng)相關的安全事件持續(xù)增多,病毒、木馬等程序的惡意入侵和攻擊不斷對企業(yè)網絡系統(tǒng)造成威脅。很多企業(yè)在網絡和信息系統(tǒng)規(guī)模逐漸擴大的同時,面臨著缺乏對接入企業(yè)內部網絡終端有效管控和因終端操作系統(tǒng)、安全配置不合規(guī)而導致的企業(yè)整體網絡安全風險增加的問題。如何按照企業(yè)制定的統(tǒng)一規(guī)則進行用戶終端的入網安全管控,并實現(xiàn)接入終端自主進行安全合規(guī)配置,已經成為這些企業(yè)在網絡安全建設和升級中都必須面對的一個重要問題。本文的主要工作如下:（1）分析了企業(yè)辦公網絡存在的終端接入安全問題及需求,研究了RADIUS認證協(xié)議、802.1x認證、802.1x準入控制等常用技術。（2）研究了企業(yè)辦公網絡準入控制實現(xiàn)流程以及建立網絡準入控制系統(tǒng)的方法,設計了基于網絡準入和應用準入安全分層防護的企業(yè)辦公網絡終端準入控制系統(tǒng),實現(xiàn)了企業(yè)網絡終端接入管控策略、技術與管理的結合。（3）給出了基于802.1x的準入控制系統(tǒng)整體流程及系統(tǒng)架構,設計和實現(xiàn)了身份認證、終端安全項合規(guī)檢查、阻斷與隔離、重定向與修復等功能模塊。（4）結合河南某航空運輸企業(yè)辦公網絡環(huán)境,測試了所設計的準入控制系統(tǒng)整體流程及核心功能。測試結果表... 

【文章來源】：鄭州大學河南省 211工程院校

【文章頁數(shù)】：75 頁

【學位級別】：碩士

【部分圖文】：

終端安全接入問題受到企業(yè)關注度

2企業(yè)內網安全與終端準入控制技術62企業(yè)內網安全與終端準入控制技術2.1企業(yè)TCP/IP分層的網絡安全防護隨著企業(yè)信息化程度的不斷提高和網絡規(guī)模的日益增長，企業(yè)在日常的生產經營的過程中無法避免地遭遇由網絡黑客和不法人員所發(fā)起的網絡入侵和網絡攻擊，而這些網絡入侵和攻擊大多是針對當下TCP/IP協(xié)議層所存在的安全缺陷和安全漏洞而進行的，所以一般企業(yè)在進行安全防護部署時會針對性地對TCP/IP各層進行相應的安全防護[8]。在圖2.1中可以看出一般企業(yè)鏈路層安全、網絡/IP層安全、應用層安全分層的網絡安全模型。圖2.1TCP/IP分層的網絡安全模型在這些不同的TCP/IP層次上，企業(yè)可以相應地在認證、訪問控制、數(shù)據(jù)完整性、保密性、抗抵賴、審計、可用性等層面進行一一對應的網絡安全防護[9]，如圖2.2所示。

2企業(yè)內網安全與終端準入控制技術7圖2.2TCP/IP不同層次的安全技術在對企業(yè)辦公網絡實施終端準入控制時，應該考慮到企業(yè)網絡終端安全防護方面存在的不足，結合TCP/IP分層防護的理念，在不同的網絡層次進行分析與設計。2.2802.1x相關準入控制技術2.2.1RADIUS認證協(xié)議遠程用戶撥號認證服務(RemoteAuthenticationDailInUserService，RADIUS)是一種具有典型C/S結構且應用廣泛的認證、授權、記賬（AAA）協(xié)議。一開始網絡接入服務器(NetAccessServer，NAS)被指定為RADIUS認證系統(tǒng)中的客戶端，現(xiàn)今RADIUS協(xié)議在市場上各類信息產品的網絡接入認證模塊中被頻繁使用，目前來說只要安裝了RADIUS軟件就可以被稱之為RADIUS客戶端，比如任意一臺支持RADIUS的電腦或網絡設備。RADIUS協(xié)議提供了不同的認證方式供使用者選擇，相對來講其認證的機制靈活、可擴展[10]。在RADIUS協(xié)議的認證過程中，NAS會封裝試圖入網的終端用戶所發(fā)送的賬戶口令信息，并將該信息轉發(fā)給特定的RADIUS服務器，此時如果選用挑戰(zhàn)握手認證協(xié)議（CHAP）的認證方式，則參與認證的客戶端和RADIUS服務器雙方需要按照相同的算法對密碼進行加密并共享密鑰，如MD5算法加密。已經共享了密鑰的RADIUS服務器便能夠利用共享密鑰驗證終端用戶所發(fā)送的賬戶


本文編號：3110872