專利名稱:一種主機接入控制系統(tǒng)及方法
技術領域:
本發(fā)明涉及網(wǎng)絡安全領域����,特別是涉及一種主機接入控制系統(tǒng)及方法。
背景技術:
隨著計算機網(wǎng)絡在政府和企事業(yè)單位應用的高速發(fā)展�����,內(nèi)網(wǎng)安全越來越受到重 視�����,特別是對主機接入控制越來越高�。目前對主機接入控制普遍采用基于ARP(AddreSS Resolution ProtocolS^Cile^STNAC(NetworkAdmission control) *?����,F(xiàn)有基于ARP欺騙的技術方案中主機接入控制系統(tǒng)的結構圖參見圖1所示�����,該系 統(tǒng)由GUI管理模塊、抓包模塊��、分析模塊和阻斷模塊組成���。GUI管理模塊負責與用戶進程交 互����,包括登錄認證����、主機策略(主機白名單)管理等;抓包模塊采用PCAP開發(fā)包的抓包方法 負責對ARP協(xié)議數(shù)據(jù)包的抓取���,把抓取結果送給分析模塊進行分析處理�����;分析模塊負責對 ARP協(xié)議數(shù)據(jù)包的解碼分析�����,把解碼結果送給阻斷模塊�����;阻斷模塊根據(jù)⑶I管理模塊送來的 主機白名單策略和分析模塊送來的ARP包進行邏輯判斷����,對非法接入主機的發(fā)送ARP欺騙 包,從而達到對主機的非法接入行為進行阻斷的目的����。基于ARP欺騙技術的主機接入控制系統(tǒng)存在如下缺點對部署了 ARP防火墻的主機接入無法阻斷目前出現(xiàn)不少的個人版ARP防火墻系統(tǒng)�,這些系統(tǒng)可以配置IP地址與MAC地址的 綁定策略,防止ARP欺騙���。對部分三層交換機不起作用目前���,大部分三層交換機具有IP/MAC綁定功能,能對ARP欺騙包進行過濾?,F(xiàn)有基于CISCO的NAC技術方案中接入控制系統(tǒng)的拓撲圖參見圖2所示����,該系統(tǒng) 主要由支持802. IX協(xié)議的交換機����、策略服務器以及部署了 NAC客戶端軟件的主機所組成, 其中交換機通過802. IX協(xié)議對主機的訪問進行認證����,只有認證通過的主機才能接入網(wǎng)絡��; 其中策略服務器用于配置接入控制策略�����,交換機通過TFTP協(xié)議與策略服務器進行通信����,獲 得策略清單?���;贑ISCO的NAC技術方案的主機接入控制系統(tǒng)存在如下缺點該技術方案只有支持802. IX的交換機才能使用,對于大部分的老式交換機和集 線器無能為力�;客戶端只能部署NAC客戶端軟件才能與支持802. IX的交換機進行接入認證���,目前 對于WINDOWS家庭來說只有WIN7默認自帶NAC客戶端。綜上��,現(xiàn)有技術的安全性和通用性存在缺陷�,無法有效阻斷主機非法接入內(nèi)網(wǎng)的 行為。
發(fā)明內(nèi)容
本發(fā)明提供了一種主機接入控制系統(tǒng)及方法��,用以解決現(xiàn)有技術無法有效防止非 法主機接入內(nèi)網(wǎng)的問題��。
本發(fā)明的一種主機接入控制方法�����,包括下列步驟發(fā)送方代理客戶端判斷目標主 機是否在防火墻白名單策略中�,若是,則直接發(fā)出數(shù)據(jù)包����,否則,加密數(shù)據(jù)包之后再發(fā)出���;接 收方代理客戶端判斷源主機是否在防火墻白名單策略中����,若是,則直接接收數(shù)據(jù)包��,否則����, 解密數(shù)據(jù)包之后再接收。本發(fā)明的一種主機接入控制系統(tǒng)����,包括發(fā)送方代理客戶端,用于判斷目標主機是 否在防火墻白名單策略中���,若是,則直接發(fā)出數(shù)據(jù)包����,否則,加密數(shù)據(jù)包之后再發(fā)出��;接收方 代理客戶端�����,用于判斷源主機是否在防火墻白名單策略中����,若是���,則直接接收數(shù)據(jù)包,否則����, 解密數(shù)據(jù)包之后再接收。本發(fā)明有益效果如下由于本發(fā)明安全內(nèi)網(wǎng)中的合法主機之間通過統(tǒng)一管理的密鑰加解密傳輸數(shù)據(jù)或 者通過防火墻白名單策略傳輸數(shù)據(jù)�,所以解決了針對普通主機接口控制系統(tǒng)的局限性,是 一套通用性����、安全性、可控性和可擴展性較強的主機接入控制的解決方案�。
圖1為現(xiàn)有基于ARP欺騙的技術方案中主機接入控制系統(tǒng)的結構圖;圖2為現(xiàn)有基于CISCO的NAC技術方案中主機接入控制系統(tǒng)的拓撲圖����;圖3為本發(fā)明實施例中的系統(tǒng)拓撲結構圖;圖4為本發(fā)明實施例中的模塊化系統(tǒng)邏輯結構圖�;圖5為本發(fā)明實施例中的方法步驟流程圖;圖6為本發(fā)明實施例中的控制中心應用層數(shù)據(jù)包處理流程圖�;圖7為本發(fā)明實施例中的NDIS層過濾驅動工作原理圖。
具體實施例方式為了有效阻斷主機非法(未授權)接入安全內(nèi)網(wǎng)的行為,本發(fā)明提供了一種主機 接入控制系統(tǒng)及方法���,以下詳細說明���。本發(fā)明實施例中的系統(tǒng)拓撲結構,參見圖3所示��,可采用C/S體系結構��,其包括若 干包含代理客戶端的代理主機�,進一步由控制中心管理各代理主機?��?刂浦行呢撠煂Υ?主機的監(jiān)控管理和主機策略的管理����,代理主機通過代理客戶端(可通過代理主機軟件實 現(xiàn)��,以下不再贅述)與控制中心進行通信���,接收來自控制中心的動態(tài)加密鑰、主機白名單策 略�����、防火墻策略。更為具體的����,發(fā)送方代理客戶端,用于判斷目標主機是否在防火墻白名單策略中��, 若是���,則直接發(fā)出數(shù)據(jù)包����,否則�,加密數(shù)據(jù)包之后再發(fā)出;接收方代理客戶端����,用于判斷源主 機是否在防火墻白名單策略中,若是�,則直接接收數(shù)據(jù)包,否則�����,解密數(shù)據(jù)包之后再接收。通過控制中心的主機白名單策略實現(xiàn)對代理主機的安裝�、注冊和登錄認證進行控制,只有策略允許的主機方可成功安裝代理主機軟件�。發(fā)送方代理客戶端和接收方代理客戶端加解密所用的密鑰由控制中心統(tǒng)一生成, 登錄成功后從控制中心獲得密鑰����,基于加密強度和性能的權衡考慮,加解密采用RC4流加 解密算法�,密鑰長度為256。發(fā)送方代理客戶端和接收方代理客戶端所用的防火墻白名單策 略也是在發(fā)送方代理客戶端和接收方代理客戶端登錄控制中心后���,由控制中心下發(fā)��。
可見��,對于部署了代理軟件的主機可以互相通信�,可稱為可信主機��,對于沒有部署 代理軟件的主機因為其發(fā)出的數(shù)據(jù)包或接收的數(shù)據(jù)包沒有加解密所以無法與可信主機進 行通信���,從而實現(xiàn)非法主機的接入控制。另外�,對于無法部署代理主機軟件的服務器或主機 (例如網(wǎng)關設備�、其它網(wǎng)絡設備或其它非WINDOWS平臺的主機或服務器)�,可將該主機加入 到防火墻白名單例外策略,該策略記錄有不包含代理主機軟件的合法主機的IP地址或MAC 地址�����,對這些主機的網(wǎng)絡通信數(shù)據(jù)包將不做加/解密處理�����,從而提高本系統(tǒng)的兼容性和適 應能力���。本發(fā)明實施例中的系統(tǒng)邏輯結構����,參見圖4所示����,由控制中心和部署在代理主機 的代理主機軟件所組成,下面介紹各組成部分的詳細情況控制中心作為本系統(tǒng)的總控中心�,由主服務程序、COM組件和TOB程序三部分組 成���。WEB程序作為與用戶交互部分用戶的部分操作事件通過COM組件通知主服務程
序�����。COM組件作為TOB程序與主服務程序的中間橋梁��,把TOB的事件通知送給主服務程 序��,再把主服務程序的處理結果返回給WEB程序���。主服務程序作為控制中心的核心的部分�����,由服務程序主模塊��、策略管理模塊�、通信 模塊����、COM接口模塊和日志模塊等組成。其中服務程序主模塊作為總調(diào)度模塊�;策略管理模 塊負責管理主機白名單策略、防火墻白名單��、主機防火墻策略��、動態(tài)密鑰策略等�����;通信模塊 負責與代理主機軟件進行通信���,包括參數(shù)和策略的下發(fā)和日志的接收等����;COM接口模塊負 責處理來自COM組件的事件���;日志模塊負責處理系統(tǒng)的監(jiān)控日志��。代理主機軟件中包括通信模塊���,用于與控制中心通信,發(fā)起注冊����、登錄流程,以及 接收下發(fā)的防火墻白名單策略和加解密密鑰等���。服務程序主模塊作為總調(diào)度模塊���。防火墻 模塊是核心功能模塊��,用于實現(xiàn)對網(wǎng)絡數(shù)據(jù)包的加解密�����,具體可采用基于WINDOWS網(wǎng)絡驅 動程序接口規(guī)范(NDIS)開發(fā)的網(wǎng)絡驅動過濾程序�,該驅動過濾程序實現(xiàn)了對網(wǎng)絡數(shù)據(jù)包 有針對性的加/解密處理�。參見圖5所示,本發(fā)明實施例中的方法包括下列主要步驟Si����、發(fā)送方代理客戶端判斷目標主機是否在防火墻白名單策略中,若是���,則直接發(fā) 出數(shù)據(jù)包��,否則�����,加密數(shù)據(jù)包之后再發(fā)出�。S2、接收方代理客戶端判斷源主機是否在防火墻白名單策略中����,若是,則直接接收 數(shù)據(jù)包�����,否則����,解密數(shù)據(jù)包之后再接收��。更為具體的���,控制中心的主機白名單策略實現(xiàn)對代理主機的安裝和登錄認證進行 控制�,只有策略允許的主機方可安裝代理主機軟件��。參見圖6所示����,控制中心與代理主機通 信采用TCP方式,控制中心作為監(jiān)聽端�,代理主機作為連接的發(fā)起端,其中控制中心應用層 數(shù)據(jù)包處理流程如下控制中心接收并緩沖主機發(fā)來的請求;之后處理該請求的數(shù)據(jù)包����。 若為登錄認證包,則從登錄認證包中取得發(fā)起端主機的MAC信息��;根據(jù)主機白名單策略判 斷該主機是否合法���,若合法����,則構造合法響應包�,并錄入發(fā)送隊列等待處理,否則構造非法 響應包����,并錄入發(fā)送隊列等待處理。若為注冊請求包����,則從注冊請求包中取得發(fā)起端主機的 MAC信息;根據(jù)主機白名單策略判斷該主機是否合法���,若合法���,則構造合法響應包�,并錄入 發(fā)送隊列等待處理��,否則構造非法響應包���,并錄入發(fā)送隊列等待處理���。若為其它類型包�,則從其它類型包中取得發(fā)起端主機的MAC信息;判斷是否登陸或注冊是否超時���,若是�,則構造 非法響應包����,并錄入發(fā)送隊列等待處理,否則�����,將該請求返回緩沖區(qū)等待該主機成功注冊或登錄���。 上述加解密密鑰由控制中心統(tǒng)一生成����,主機登錄成功后可從控制中心獲得密鑰, 基于加密強度和性能的權衡考慮��,加解密采用RC4流加解密算法���,密鑰長度為256���。具體可 采用基于WINDOWS網(wǎng)絡驅動程序接口規(guī)范(NDIS)開發(fā)的網(wǎng)絡驅動過濾程序,該驅動過濾程 序實現(xiàn)了對網(wǎng)絡數(shù)據(jù)包有針對性的加/解密處理�。上述防火墻白名單策略也是在發(fā)送方代 理客戶端和接收方代理客戶端登錄控制中心后,由控制中心下發(fā)�。具體NDIS層過濾驅動工 作原理,參見圖7所示����,發(fā)送流程如下待發(fā)送的數(shù)據(jù)包進入發(fā)送隊列;從IP包中取得目標 IP地址和MAC地址����;根據(jù)防火墻白名單策略判斷目標IP地址或MAC地址是否為例外,若是�, 則直接發(fā)送�,否則加密數(shù)據(jù)包后再發(fā)送���。接收流程如下待接收的數(shù)據(jù)包進入接收隊列����;從 IP包中取得源IP地址和MAC地址��;根據(jù)防火墻白名單策略判斷源IP地址或MAC地址是否 為例外���,若是�����,則直接接收,否則解密處理后再接收�����?����?梢?���,對于部署了代理軟件的主機可以互相通信�,可稱為可信主機�,對于沒有部署 代理軟件的主機因為其發(fā)出的包或接收的包沒有加解密所以無法與可信主機進行通信,從 而實現(xiàn)非法主機的接入控制�。另外,對于無法部署代理主機軟件的服務器或主機(例如網(wǎng) 關設備����、其它網(wǎng)絡設備或其它非WINDOWS平臺的主機或服務器),可將該主機加入到防火墻 白名單例外策略����,該策略記錄有不包含代理主機軟件的合法主機的IP地址或MAC地址,對 這些主機的網(wǎng)絡通信數(shù)據(jù)包將不做加/解密處理�����,從而提高本系統(tǒng)的兼容性和適應能力����。綜上,本發(fā)明解決了針對普通主機接口控制系統(tǒng)的局限性��,提供了一套通用性�、安 全性���、可控性和可擴展性較強的主機接入控制的解決方案。通用性既適應于采用傳統(tǒng)網(wǎng)絡互聯(lián)設備(如HUB����、老式交換機等)的局域網(wǎng)環(huán) 境,又適合采用先進(如三層交換機)環(huán)境����,故整體適應性較強。安全性對可信主機的通信數(shù)據(jù)包進行加/解密處理�,使用不管非法主機如何接 入都無法訪問安全局域網(wǎng)中的任何一臺主機,故安全性較高����。可控性本系統(tǒng)可對代理主機的安裝和登錄認證進行授權�,故可控性較高�����??蓴U展性目前桌面主機操作系統(tǒng)大部分還是微軟的WINDOWS系統(tǒng),隨著LINUX桌 面平臺的發(fā)展(如UBUNTU等)����,今后將有部分桌面主機采用LINUX操作系統(tǒng)����,為了使安裝 LINUX操作系統(tǒng)的終端主機也安全接入到本系統(tǒng)��,則可利用LINUX平臺的Netfilter防火墻 技術開發(fā)相應的代理軟件�,功能和WINDOWS平臺相同,故本技術方案具有較強的可擴展性�����。顯然��,本領域的技術人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精 神和范圍�����。這樣�,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權利要求及其等同技術的范圍 之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)����。
權利要求
一種主機接入控制方法,其特征在于��,包括下列步驟發(fā)送方代理客戶端判斷目標主機是否在防火墻白名單策略中,若是���,則直接發(fā)出數(shù)據(jù)包����,否則�����,加密數(shù)據(jù)包之后再發(fā)出���;接收方代理客戶端判斷源主機是否在防火墻白名單策略中�����,若是����,則直接接收數(shù)據(jù)包�����,否則�,解密數(shù)據(jù)包之后再接收。
2.如權利要求1所述的主機接入控制方法�����,其特征在于�,控制中心通過主機白名單控 制網(wǎng)內(nèi)合法主機中的代理客戶端的注冊和登錄。
3.如權利要求2所述的主機接入控制方法�,其特征在于,所述發(fā)送方代理客戶端和接 收方代理客戶端加解密所用的密鑰由控制中心統(tǒng)一生成��,并在登錄后下發(fā)�。
4.如權利要求1所述的主機接入控制方法,其特征在于��,所述防火墻白名單策略中記 錄有不包含代理客戶端的合法主機的IP地址或MAC地址�����。
5.如權利要求1所述的主機接入控制方法�,其特征在于,所述判斷是否在防火墻白名 單策略中的過程以及加解密的過程通過基于WINDOWS網(wǎng)絡驅動程序接口規(guī)范開發(fā)的網(wǎng)絡 驅動過濾程序實現(xiàn)���。
6.一種主機接入控制系統(tǒng)�����,其特征在于��,包括發(fā)送方代理客戶端���,用于判斷目標主機是否在防火墻白名單策略中����,若是��,則直接發(fā)出 數(shù)據(jù)包����,否則,加密數(shù)據(jù)包之后再發(fā)出����;接收方代理客戶端,用于判斷源主機是否在防火墻白名單策略中���,若是���,則直接接收數(shù) 據(jù)包����,否則�,解密數(shù)據(jù)包之后再接收���。
7.如權利要求6所述的主機接入控制系統(tǒng)�,其特征在于�����,還包括控制中心��,用于通過主機白名單控制網(wǎng)內(nèi)合法主機中的代理客戶端的注冊和登錄��。
8.如權利要求7所述的主機接入控制系統(tǒng)�����,其特征在于��,所述發(fā)送方代理客戶端和接 收方代理客戶端加解密所用的密鑰由控制中心生成�,并在登錄后下發(fā)。
9.如權利要求7所述的主機接入控制系統(tǒng)�����,其特征在于,所述防火墻白名單策略在發(fā) 送方代理客戶端和接收方代理客戶端登錄控制中心后�����,由控制中心下發(fā)��。
10.如權利要求6或9所述的主機接入控制系統(tǒng)��,其特征在于�,所述防火墻白名單策略 中記錄有不包含代理客戶端的合法主機的IP地址或MAC地址。
全文摘要
本發(fā)明公開了一種主機接入控制系統(tǒng)及方法�,涉及網(wǎng)絡安全領域,用以解決現(xiàn)有技術無法有效防止非法主機接入內(nèi)網(wǎng)的問題��。方法包括發(fā)送方代理客戶端判斷目標主機是否在防火墻白名單策略中�,若是,則直接發(fā)出數(shù)據(jù)包���,否則�����,加密數(shù)據(jù)包之后再發(fā)出�;接收方代理客戶端判斷源主機是否在防火墻白名單策略中,若是�����,則直接接收數(shù)據(jù)包���,否則,解密數(shù)據(jù)包之后再接收���。系統(tǒng)包括發(fā)送方代理客戶端和接收方代理客戶端���。由于本發(fā)明安全內(nèi)網(wǎng)中的合法主機之間通過統(tǒng)一管理的密鑰加解密傳輸數(shù)據(jù)或者通過防火墻白名單策略傳輸數(shù)據(jù),所以解決了針對普通主機接口控制系統(tǒng)的局限性����,是一套通用性、安全性����、可控性和可擴展性較強的主機接入控制的解決方案。
文檔編號H04L9/08GK101820414SQ201010104940
公開日2010年9月1日 申請日期2010年1月29日 優(yōu)先權日2010年1月29日
發(fā)明者柯宗慶, 柯宗貴 申請人:藍盾信息安全技術股份有限公司