一種防止非認(rèn)證計算機設(shè)備接入企業(yè)內(nèi)網(wǎng)的保護方法及系統(tǒng)的制作方法
【專利摘要】一種防止非認(rèn)證計算機設(shè)備接入企業(yè)內(nèi)網(wǎng)的保護方法及系統(tǒng),為了解決目前采用的企業(yè)內(nèi)網(wǎng)阻止非認(rèn)證計算機接入方法實現(xiàn)底層網(wǎng)絡(luò)實現(xiàn)全面覆蓋操作復(fù)雜的問題,和現(xiàn)有的接入系統(tǒng)的維護工作量大、網(wǎng)絡(luò)出口速度慢的問題。本發(fā)明是在服務(wù)器上運行的服務(wù)軟件,通過串行通訊接口或帶內(nèi)管理方式對二級單位出口路由器進行配置,在欲接入企業(yè)內(nèi)網(wǎng)的計算機設(shè)備上安裝客戶端認(rèn)證軟件,通過用戶名加密碼的方式或數(shù)字證書密鑰方式對用戶的合法身份進行確認(rèn);客戶端認(rèn)證軟件每隔一段固定間隔的時間通過網(wǎng)絡(luò)向服務(wù)器發(fā)送經(jīng)過加密的認(rèn)證主機信息。服務(wù)器根據(jù)合法主機信息自動修改出口路由器的路由策略,確保合法IP地址的數(shù)據(jù)包正確轉(zhuǎn)發(fā)。用于企業(yè)內(nèi)網(wǎng)的保護。
【專利說明】一種防止非認(rèn)證計算機設(shè)備接入企業(yè)內(nèi)網(wǎng)的保護方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種防止非認(rèn)證計算機設(shè)備接入企業(yè)內(nèi)網(wǎng)的保護方法及系統(tǒng)。
【背景技術(shù)】
[0002]目前企業(yè)內(nèi)網(wǎng)阻止非認(rèn)證計算機接入主要有以下幾種方式:1、利用網(wǎng)絡(luò)交換機的標(biāo)準(zhǔn)IEEE802.1x協(xié)議功能,對每個接入交換機接口的設(shè)備進行認(rèn)證,認(rèn)證通過以后再開放端口進行數(shù)據(jù)包轉(zhuǎn)發(fā)。這種方式配置起來十分復(fù)雜,需要對所有下屬部門的全部二層交換設(shè)備的接口進行配置,管理十分不便,經(jīng)常有不具備IEEE802.1x認(rèn)證功能的低端交換機在網(wǎng)絡(luò)接入層形成認(rèn)證的空白區(qū)域,產(chǎn)生安全漏洞。2、在網(wǎng)關(guān)出口的位置使用防火墻等訪問控制設(shè)備,配置靜態(tài)的訪問控制列表,對預(yù)先登記的合法IP地址放行,對非預(yù)先登記的IP地址進行阻擋。這種方式需要預(yù)先統(tǒng)計大量的IP地址表,對于新增或移除IP地址需要大量的審批和維護工作,同時當(dāng)某個IP主機關(guān)機的時候,該IP地址容易被非法計算機盜用。
3、使用專門的認(rèn)證服務(wù)器接管網(wǎng)關(guān)處的所有網(wǎng)絡(luò)會話,對經(jīng)過認(rèn)證客戶端軟件認(rèn)證過的網(wǎng)絡(luò)會話予以放行,丟棄沒有經(jīng)過客戶端軟件認(rèn)證過的網(wǎng)絡(luò)會話。這種方式需要將所有的網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)到這臺認(rèn)證服務(wù)器上,由于認(rèn)證服務(wù)器對網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)速度較慢,容易形成網(wǎng)絡(luò)速度的瓶頸。
【發(fā)明內(nèi)容】
[0003]本發(fā)明目的是為了解決目前采用的企業(yè)內(nèi)網(wǎng)阻止非認(rèn)證計算機接入方法實現(xiàn)底層網(wǎng)絡(luò)實現(xiàn)全面覆蓋操作復(fù)雜的問題,和現(xiàn)有的接入系統(tǒng)的維護工作量大、網(wǎng)絡(luò)出口速度慢的問題,提供了一種防止非認(rèn)證計算機設(shè)備接入企業(yè)內(nèi)網(wǎng)的保護方法及系統(tǒng)。
[0004]本發(fā)明所述一種防止非認(rèn)證計算機設(shè)備接入企業(yè)內(nèi)網(wǎng)的保護方法,所述方法是基于下述裝置實現(xiàn)的,所述裝置包括N個計算機終端、服務(wù)器和出口路由器網(wǎng)關(guān),所述N個計算機終端中的每個計算機終端的輸入輸出端分別與服務(wù)器的相應(yīng)的輸出輸入端連接;所述服務(wù)器通過出口路由器網(wǎng)關(guān)與企業(yè)內(nèi)網(wǎng)連接;所述N個計算機終端均嵌入合法客戶端認(rèn)證模塊;
[0005]所述防止非認(rèn)證計算機設(shè)備接入的方法是由嵌入在服務(wù)器中的軟件實現(xiàn)的,所述方法包括以下步驟:
[0006]接收由計算機終端每隔時間m發(fā)來的認(rèn)證結(jié)果和IP地址的步驟,所述認(rèn)證結(jié)果和IP地址都是經(jīng)加密處理的;
[0007]對比接收到的認(rèn)證結(jié)果,將經(jīng)過合法認(rèn)證的認(rèn)證結(jié)果對應(yīng)的IP地址定義為合法IP地址的步驟;
[0008]將所有合法IP地址對應(yīng)的計算機終端所發(fā)送的數(shù)據(jù)包配置成正確路由的步驟;
[0009]將所有其它的網(wǎng)段都配置成黑洞路由的步驟;
[0010]對所有合法IP地址都分別對應(yīng)一個老化時間n的步驟,其中,n代表從上次接收到該合法IP地址發(fā)送過來的合法認(rèn)證結(jié)果到當(dāng)前時刻所經(jīng)歷的時間;
[0011]當(dāng)η > 3m時,在出口路由網(wǎng)關(guān)內(nèi)刪除該合法IP地址對應(yīng)的有效路由條目的步驟。
[0012]一種防止非認(rèn)證計算機設(shè)備接入企業(yè)內(nèi)網(wǎng)的保護系統(tǒng),包括N個計算機終端、月艮務(wù)器和出口路由器網(wǎng)關(guān),所述N個計算機終端中的每個計算機終端的輸入輸出端分別與服務(wù)器的相應(yīng)的輸出輸入端連接;所述服務(wù)器通過出口路由器網(wǎng)關(guān)與企業(yè)內(nèi)網(wǎng)連接;所述N個計算機終端均嵌入合法客戶端認(rèn)證模塊;
[0013]所述服務(wù)器內(nèi)部嵌入有軟件實現(xiàn)的控制裝置,該裝置包括:
[0014]用于接收由計算機終端每隔時間m發(fā)來的認(rèn)證結(jié)果和IP地址的模塊,所述認(rèn)證結(jié)果和IP地址都是經(jīng)加密處理的;
[0015]用于對比接收到的認(rèn)證結(jié)果,將經(jīng)過合法認(rèn)證的認(rèn)證結(jié)果對應(yīng)的IP地址定義為合法IP地址的模塊;
[0016]用于將所有合法IP地址對應(yīng)的計算機終端所發(fā)送的數(shù)據(jù)包配置成正確路由的模塊;
[0017]用于將所有其它的網(wǎng)段都配置成黑洞路由的模塊;
[0018]用于對所有合法IP地址都分別對應(yīng)一個老化時間η的模塊,其中,η代表從上次接收到該合法IP地址發(fā)送過來的合法認(rèn)證結(jié)果到當(dāng)前時刻所經(jīng)歷的時間;
[0019]用于當(dāng)η > 3m時,在出口路由網(wǎng)關(guān)內(nèi)刪除該合法IP地址對應(yīng)的有效路由條目的模塊。
[0020]本發(fā)明的優(yōu)點:使用本發(fā)明的方法對企業(yè)內(nèi)網(wǎng)進行安全接入控制,可以對底層網(wǎng)絡(luò)實現(xiàn)全面覆蓋,實現(xiàn)所有下屬單位網(wǎng)絡(luò)接入的計算機設(shè)備如果沒有經(jīng)過本系統(tǒng)的認(rèn)證都無法通過網(wǎng)關(guān)訪問企業(yè)內(nèi)網(wǎng)的其它部分;且系統(tǒng)部署完成以后,維護工作極少,網(wǎng)絡(luò)管理員再也不用為增加或移除某個IP地址去手工配置網(wǎng)絡(luò)設(shè)備。由于控制數(shù)據(jù)包是否通過的隔離設(shè)備仍采用原有網(wǎng)絡(luò)出口處的路由設(shè)備,不需要額外購買新的網(wǎng)絡(luò)設(shè)備,對網(wǎng)絡(luò)出口速度的影響也微乎其微。
【專利附圖】
【附圖說明】
[0021]圖1是本發(fā)明所述一種防止非認(rèn)證計算機設(shè)備接入企業(yè)內(nèi)網(wǎng)的保護系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實施方式】
[0022]【具體實施方式】一:下面結(jié)合圖1說明本實施方式,本實施方式所述一種防止非認(rèn)證計算機設(shè)備接入企業(yè)內(nèi)網(wǎng)的保護方法,所述方法是基于下述裝置實現(xiàn)的,所述裝置包括N個計算機終端1、服務(wù)器2和出口路由器網(wǎng)關(guān)3,所述N個計算機終端I中的每個計算機終端I的輸入輸出端分別與服務(wù)器2的相應(yīng)的輸出輸入端連接;所述服務(wù)器2通過出口路由器網(wǎng)關(guān)3與企業(yè)內(nèi)網(wǎng)連接;所述N個計算機終端I均嵌入合法客戶端認(rèn)證模塊;
[0023]所述防止非認(rèn)證計算機設(shè)備接入的方法是由嵌入在服務(wù)器2中的軟件實現(xiàn)的,所述方法包括以下步驟:
[0024]接收由計算機終端I每隔時間m發(fā)來的認(rèn)證結(jié)果和IP地址的步驟,所述認(rèn)證結(jié)果和IP地址都是經(jīng)加密處理的;[0025]對比接收到的認(rèn)證結(jié)果,將經(jīng)過合法認(rèn)證的認(rèn)證結(jié)果對應(yīng)的IP地址定義為合法IP地址的步驟;
[0026]將所有合法IP地址對應(yīng)的計算機終端I所發(fā)送的數(shù)據(jù)包配置成正確路由的步驟;
[0027]將所有其它的網(wǎng)段都配置成黑洞路由的步驟;
[0028]對所有合法IP地址都分別對應(yīng)一個老化時間n的步驟,其中,n代表從上次接收到該合法IP地址發(fā)送過來的合法認(rèn)證結(jié)果到當(dāng)前時刻所經(jīng)歷的時間;
[0029]當(dāng)n> 3m時,在出口路由網(wǎng)關(guān)內(nèi)刪除該合法IP地址對應(yīng)的有效路由條目的步驟。
[0030]【具體實施方式】二:下面結(jié)合圖1說明本實施方式,本實施方式對實施方式一作進一步說明,所述認(rèn)證結(jié)果和IP地址的加密處理是由計算機終端I內(nèi)嵌入的合法客戶端認(rèn)證模塊實現(xiàn)的,具體實現(xiàn)步驟為:
[0031]將認(rèn)證結(jié)果采用非對稱加密算法加密的步驟;
[0032]將計算機終端I的IP地址采用非對稱加密算法加密的步驟。
[0033]【具體實施方式】三:下面結(jié)合圖1說明本實施方式,本實施方式所述一種防止非認(rèn)證計算機設(shè)備接入企業(yè)內(nèi)網(wǎng)的保護系統(tǒng),包括N個計算機終端1、服務(wù)器2和出口路由器網(wǎng)關(guān)3,所述N個計算機終端I中的每個計算機終端I的輸入輸出端分別與服務(wù)器2的相應(yīng)的輸出輸入端連接;所述服務(wù)器2通過出口路由器網(wǎng)關(guān)3與企業(yè)內(nèi)網(wǎng)連接;所述N個計算機終端I均嵌入合法客戶端認(rèn)證模塊;
[0034]所述服務(wù)器2內(nèi)部嵌入有軟件實現(xiàn)的控制裝置,該裝置包括:
[0035]用于接收由計算機終端I每隔時間m發(fā)來的認(rèn)證結(jié)果和IP地址的模塊,所述認(rèn)證結(jié)果和IP地址都是經(jīng)加密處理的;
[0036]用于對比接收到的認(rèn)證結(jié)果,將經(jīng)過合法認(rèn)證的認(rèn)證結(jié)果對應(yīng)的IP地址定義為合法IP地址的模塊;
[0037]用于將所有合法IP地址對應(yīng)的計算機終端I所發(fā)送的數(shù)據(jù)包配置成正確路由的模塊;
[0038]用于將所有其它的網(wǎng)段都配置成黑洞路由的模塊;
[0039]用于對所有合法IP地址都分別對應(yīng)一個老化時間n的模塊,其中,n代表從上次接收到該合法IP地址發(fā)送過來的合法認(rèn)證結(jié)果到當(dāng)前時刻所經(jīng)歷的時間;
[0040]用于當(dāng)n > 3m時,在出口路由網(wǎng)關(guān)內(nèi)刪除該合法IP地址對應(yīng)的有效路由條目的模塊。
[0041]【具體實施方式】四:下面結(jié)合圖1說明本實施方式,本實施方式是對【具體實施方式】三的進一步說明,所述認(rèn)證結(jié)果和IP地址的加密處理是由計算機終端I內(nèi)嵌入的合法客戶端認(rèn)證模塊實現(xiàn)的,該模塊包括:
[0042]用于將認(rèn)證結(jié)果采用非對稱加密算法加密的單元;
[0043]用于將計算機終端I的IP地址采用非對稱加密算法加密的單元。
[0044]工作原理:在企業(yè)多個二級單位出口路由器下端的交換機上連接一臺服務(wù)器2。服務(wù)器2上運行的服務(wù)軟件可以通過串行通訊接口或者帶內(nèi)管理方式對二級單位出口路由器進行配置直接修改。在所有需要接入企業(yè)內(nèi)網(wǎng)的計算機設(shè)備上安裝客戶端認(rèn)證軟件,通過用戶名加密碼的方式或者數(shù)字證書密鑰方式對用戶的合法身份進行確認(rèn)。對于確認(rèn)后的合法接入計算機設(shè)備,客戶端認(rèn)證軟件每隔一段固定間隔的時間通過網(wǎng)絡(luò)向服務(wù)器2發(fā)送經(jīng)過加密的認(rèn)證主機信息。服務(wù)器2根據(jù)本單位下屬的所有客戶端認(rèn)證軟件提交的合法主機信息自動修改出口路由器的路由策略,確保來自所有在線合法主機IP地址的數(shù)據(jù)包能夠被正確的路由轉(zhuǎn)發(fā),而不在合法主機范圍內(nèi)的其它IP地址向企業(yè)內(nèi)網(wǎng)發(fā)送的數(shù)據(jù)包會被轉(zhuǎn)發(fā)到黑洞路由而丟棄。
【權(quán)利要求】
1.一種防止非認(rèn)證計算機設(shè)備接入企業(yè)內(nèi)網(wǎng)的保護方法,所述方法是基于下述裝置實現(xiàn)的,所述裝置包括N個計算機終端(I)、服務(wù)器(2)和出口路由器網(wǎng)關(guān)(3),所述N個計算機終端(I)中的每個計算機終端(I)的輸入輸出端分別與服務(wù)器(2)的相應(yīng)的輸出輸入端連接;所述服務(wù)器(2)通過出口路由器網(wǎng)關(guān)(3)與企業(yè)內(nèi)網(wǎng)連接;所述N個計算機終端(I)均嵌入合法客戶端認(rèn)證模塊; 其特征在于,所述防止非認(rèn)證計算機設(shè)備接入的方法是由嵌入在服務(wù)器(2)中的軟件實現(xiàn)的,所述方法包括以下步驟: 接收由計算機終端(I)每隔時間m發(fā)來的認(rèn)證結(jié)果和IP地址的步驟,所述認(rèn)證結(jié)果和IP地址都是經(jīng)加密處理的; 對比接收到的認(rèn)證結(jié)果,將經(jīng)過合法認(rèn)證的認(rèn)證結(jié)果對應(yīng)的IP地址定義為合法IP地址的步驟; 將所有合法IP地址對應(yīng)的計算機終端(I)所發(fā)送的數(shù)據(jù)包配置成正確路由的步驟; 將所有其它的網(wǎng)段都配置成黑洞路由的步驟; 對所有合法IP地址都分別對應(yīng)一個老化時間η的步驟,其中,η代表從上次接收到該合法IP地址發(fā)送過來的合法認(rèn)證結(jié)果到當(dāng)前時刻所經(jīng)歷的時間; 當(dāng)η > 3m時,在出口路由網(wǎng)關(guān)內(nèi)刪除該合法IP地址對應(yīng)的有效路由條目的步驟。
2.根據(jù)權(quán)利要求1所述一種防止非認(rèn)證計算機設(shè)備接入企業(yè)內(nèi)網(wǎng)的保護方法,其特征在于,所述認(rèn)證結(jié)果和IP地址的加密處理是由計算機終端(I)內(nèi)嵌入的合法客戶端認(rèn)證模塊實現(xiàn)的,具體實現(xiàn)步驟為:` 將認(rèn)證結(jié)果采用非對稱加密算法加密的步驟; 將計算機終端(I)的IP地址采用非對稱加密算法加密的步驟。
3.一種防止非認(rèn)證計算機設(shè)備接入企業(yè)內(nèi)網(wǎng)的保護系統(tǒng),包括N個計算機終端(I )、服務(wù)器(2 )和出口路由器網(wǎng)關(guān)(3 ),所述N個計算機終端(I)中的每個計算機終端(I)的輸入輸出端分別與服務(wù)器(2)的相應(yīng)的輸出輸入端連接;所述服務(wù)器(2)通過出口路由器網(wǎng)關(guān)(3)與企業(yè)內(nèi)網(wǎng)連接;所述N個計算機終端(I)均嵌入合法客戶端認(rèn)證模塊; 其特征在于,所述服務(wù)器(2)內(nèi)部嵌入有軟件實現(xiàn)的控制裝置,該裝置包括: 用于接收由計算機終端(I)每隔時間m發(fā)來的認(rèn)證結(jié)果和IP地址的模塊,所述認(rèn)證結(jié)果和IP地址都是經(jīng)加密處理的; 用于對比接收到的認(rèn)證結(jié)果,將經(jīng)過合法認(rèn)證的認(rèn)證結(jié)果對應(yīng)的IP地址定義為合法IP地址的模塊; 用于將所有合法IP地址對應(yīng)的計算機終端(I)所發(fā)送的數(shù)據(jù)包配置成正確路由的模塊; 用于將所有其它的網(wǎng)段都配置成黑洞路由的模塊; 用于對所有合法IP地址都分別對應(yīng)一個老化時間η的模塊,其中,η代表從上次接收到該合法IP地址發(fā)送過來的合法認(rèn)證結(jié)果到當(dāng)前時刻所經(jīng)歷的時間; 用于當(dāng)n> 3m時,在出口路由網(wǎng)關(guān)內(nèi)刪除該合法IP地址對應(yīng)的有效路由條目的模塊。
4.根據(jù)權(quán)利要求3所述一種防止非認(rèn)證計算機設(shè)備接入企業(yè)內(nèi)網(wǎng)的保護系統(tǒng),其特征在于,所述認(rèn)證結(jié)果和IP地址的加密處理是由計算機終端(I)內(nèi)嵌入的合法客戶端認(rèn)證模塊實現(xiàn)的,該模塊包括:用于將認(rèn)證結(jié)果采用非對稱加密算法加密的單元;用于將計算機終端(I) 的IP地址采用非對稱加密算法加密的單元。
【文檔編號】H04L12/24GK103532987SQ201310556869
【公開日】2014年1月22日 申請日期:2013年11月11日 優(yōu)先權(quán)日:2013年11月11日
【發(fā)明者】趙君 申請人:國家電網(wǎng)公司, 國網(wǎng)黑龍江省電力有限公司信息通信公司