神州數码安全终端接入认证系统技术白皮书.docVIP

神州数码安全终端接入认证系统 技术白皮书 神州数码（合肥）有限公司 2009年5月 1、结构描述 3 2、功能描述 4 3、具体实现 5 3.1 客户端 5 3.2 服务端 5 1、结构描述 神州数码安全终端接入认证系统用来进行网络接入认证，在不改变现有网络接入的状态下，对于非AD域中的主机接入到企业网络中进行认证，认证的目的是有效的控制非AD域用户对TCP服务的访问，也就是说，一旦非AD域用户访问TCP服务，需要预先认证。 本次设计不涉及UDP网络访问。 需要说明的是，能安装客户端代理的终端，其阻断、认证的自动弹出均由代理程序完成。 不能安装客户端的由认证的服务器来完成。 总体上来说，不能安装客户端的终端属于少数，所以，系统的稳定性等均比全部采用在服务端完成的高许多。 神州数码安全终端接入认证系统的结构如下： 2、功能描述 客户端分为两种，一种为可以安装代理软件的，一种为不能安装代理软件的。可以安装代理软件的客户端通过代理软件要完成以下功能： TCP 连接的监控与阻断： 没有进入到AD域的机器在认证之前需要阻断；认证之后不需要阻断。 进入到AD域的机器不需要阻断。 认证信息的维持和删除 应保证该认证信息是具有一定时效的，同时认证信息应该和机器的第一块网卡的MAC地址绑定，一旦网络断开则需要删除基本的认证信息（或者让认证信息失效），一旦迅速改变接入机器需要重新认证 认证 与认证服务器进行认证，采用 SSL + APACHE + 用户名 + 密码认证。 状态告知 周期性的告知认证服务器当前终端的状态：：AD域的状态，认证的状态。 服务器端主要功能 提供认证服务。 维持可信主机（已认证主机以及AD域主机）列表。 对不可信主机的WEB访问重定向到认证服务器。 分析交换机镜像数据，并且对未知主机（不在可信主机列表中的）进行阻断 对所有的认证进行日志记录：查询，增加、修改 提供用户的管理：查询，增加、修改 3、具体实现 3.1 客户端 采用winpcap驱动，进行数据监听，根据条件阻断，阻断采用发本地reset包。 采用delphi 开发。 终端的状态告知采用UDP包，具体的格式见其他开发文档。 3.2 服务端 数据的收集，采用libpcap 技术截获数据 采用UDP服务器维持终端的登录状态。 对于不能安装客户端的终端，采用mac地址欺骗方式完成重定向，采用发RESET包来阻断。 数据审计采用 apache + tomcat + mysql 用户基本信息管理也采用apache + tomcat + mysql  神州数码安全终端接入认证系统技术白皮书 - 5 -