专利名称:一种主机接入控制系统及方法
技术领域:
本发明涉及网络安全领域,特别是涉及一种主机接入控制系统及方法。
背景技术:
随着计算机网络在政府和企事业单位应用的高速发展,内网安全越来越受到重 视,特别是对主机接入控制越来越高。目前对主机接入控制普遍采用基于ARP(AddreSS Resolution ProtocolS^Cile^STNAC(NetworkAdmission control) *。现有基于ARP欺骗的技术方案中主机接入控制系统的结构图参见图1所示,该系 统由GUI管理模块、抓包模块、分析模块和阻断模块组成。GUI管理模块负责与用户进程交 互,包括登录认证、主机策略(主机白名单)管理等;抓包模块采用PCAP开发包的抓包方法 负责对ARP协议数据包的抓取,把抓取结果送给分析模块进行分析处理;分析模块负责对 ARP协议数据包的解码分析,把解码结果送给阻断模块;阻断模块根据⑶I管理模块送来的 主机白名单策略和分析模块送来的ARP包进行逻辑判断,对非法接入主机的发送ARP欺骗 包,从而达到对主机的非法接入行为进行阻断的目的。基于ARP欺骗技术的主机接入控制系统存在如下缺点对部署了 ARP防火墙的主机接入无法阻断目前出现不少的个人版ARP防火墙系统,这些系统可以配置IP地址与MAC地址的 绑定策略,防止ARP欺骗。对部分三层交换机不起作用目前,大部分三层交换机具有IP/MAC绑定功能,能对ARP欺骗包进行过滤。现有基于CISCO的NAC技术方案中接入控制系统的拓扑图参见图2所示,该系统 主要由支持802. IX协议的交换机、策略服务器以及部署了 NAC客户端软件的主机所组成, 其中交换机通过802. IX协议对主机的访问进行认证,只有认证通过的主机才能接入网络; 其中策略服务器用于配置接入控制策略,交换机通过TFTP协议与策略服务器进行通信,获 得策略清单。基于CISCO的NAC技术方案的主机接入控制系统存在如下缺点该技术方案只有支持802. IX的交换机才能使用,对于大部分的老式交换机和集 线器无能为力;客户端只能部署NAC客户端软件才能与支持802. IX的交换机进行接入认证,目前 对于WINDOWS家庭来说只有WIN7默认自带NAC客户端。综上,现有技术的安全性和通用性存在缺陷,无法有效阻断主机非法接入内网的 行为。
发明内容
本发明提供了一种主机接入控制系统及方法,用以解决现有技术无法有效防止非 法主机接入内网的问题。
本发明的一种主机接入控制方法,包括下列步骤发送方代理客户端判断目标主 机是否在防火墙白名单策略中,若是,则直接发出数据包,否则,加密数据包之后再发出;接 收方代理客户端判断源主机是否在防火墙白名单策略中,若是,则直接接收数据包,否则, 解密数据包之后再接收。本发明的一种主机接入控制系统,包括发送方代理客户端,用于判断目标主机是 否在防火墙白名单策略中,若是,则直接发出数据包,否则,加密数据包之后再发出;接收方 代理客户端,用于判断源主机是否在防火墙白名单策略中,若是,则直接接收数据包,否则, 解密数据包之后再接收。本发明有益效果如下由于本发明安全内网中的合法主机之间通过统一管理的密钥加解密传输数据或 者通过防火墙白名单策略传输数据,所以解决了针对普通主机接口控制系统的局限性,是 一套通用性、安全性、可控性和可扩展性较强的主机接入控制的解决方案。
图1为现有基于ARP欺骗的技术方案中主机接入控制系统的结构图;图2为现有基于CISCO的NAC技术方案中主机接入控制系统的拓扑图;图3为本发明实施例中的系统拓扑结构图;图4为本发明实施例中的模块化系统逻辑结构图;图5为本发明实施例中的方法步骤流程图;图6为本发明实施例中的控制中心应用层数据包处理流程图;图7为本发明实施例中的NDIS层过滤驱动工作原理图。
具体实施例方式为了有效阻断主机非法(未授权)接入安全内网的行为,本发明提供了一种主机 接入控制系统及方法,以下详细说明。本发明实施例中的系统拓扑结构,参见图3所示,可采用C/S体系结构,其包括若 干包含代理客户端的代理主机,进一步由控制中心管理各代理主机。控制中心负责对代理 主机的监控管理和主机策略的管理,代理主机通过代理客户端(可通过代理主机软件实 现,以下不再赘述)与控制中心进行通信,接收来自控制中心的动态加密钥、主机白名单策 略、防火墙策略。更为具体的,发送方代理客户端,用于判断目标主机是否在防火墙白名单策略中, 若是,则直接发出数据包,否则,加密数据包之后再发出;接收方代理客户端,用于判断源主 机是否在防火墙白名单策略中,若是,则直接接收数据包,否则,解密数据包之后再接收。通过控制中心的主机白名单策略实现对代理主机的安装、注册和登录认证进行控制,只有策略允许的主机方可成功安装代理主机软件。发送方代理客户端和接收方代理客户端加解密所用的密钥由控制中心统一生成, 登录成功后从控制中心获得密钥,基于加密强度和性能的权衡考虑,加解密采用RC4流加 解密算法,密钥长度为256。发送方代理客户端和接收方代理客户端所用的防火墙白名单策 略也是在发送方代理客户端和接收方代理客户端登录控制中心后,由控制中心下发。
可见,对于部署了代理软件的主机可以互相通信,可称为可信主机,对于没有部署 代理软件的主机因为其发出的数据包或接收的数据包没有加解密所以无法与可信主机进 行通信,从而实现非法主机的接入控制。另外,对于无法部署代理主机软件的服务器或主机 (例如网关设备、其它网络设备或其它非WINDOWS平台的主机或服务器),可将该主机加入 到防火墙白名单例外策略,该策略记录有不包含代理主机软件的合法主机的IP地址或MAC 地址,对这些主机的网络通信数据包将不做加/解密处理,从而提高本系统的兼容性和适 应能力。本发明实施例中的系统逻辑结构,参见图4所示,由控制中心和部署在代理主机 的代理主机软件所组成,下面介绍各组成部分的详细情况控制中心作为本系统的总控中心,由主服务程序、COM组件和TOB程序三部分组 成。WEB程序作为与用户交互部分用户的部分操作事件通过COM组件通知主服务程
序。COM组件作为TOB程序与主服务程序的中间桥梁,把TOB的事件通知送给主服务程 序,再把主服务程序的处理结果返回给WEB程序。主服务程序作为控制中心的核心的部分,由服务程序主模块、策略管理模块、通信 模块、COM接口模块和日志模块等组成。其中服务程序主模块作为总调度模块;策略管理模 块负责管理主机白名单策略、防火墙白名单、主机防火墙策略、动态密钥策略等;通信模块 负责与代理主机软件进行通信,包括参数和策略的下发和日志的接收等;COM接口模块负 责处理来自COM组件的事件;日志模块负责处理系统的监控日志。代理主机软件中包括通信模块,用于与控制中心通信,发起注册、登录流程,以及 接收下发的防火墙白名单策略和加解密密钥等。服务程序主模块作为总调度模块。防火墙 模块是核心功能模块,用于实现对网络数据包的加解密,具体可采用基于WINDOWS网络驱 动程序接口规范(NDIS)开发的网络驱动过滤程序,该驱动过滤程序实现了对网络数据包 有针对性的加/解密处理。参见图5所示,本发明实施例中的方法包括下列主要步骤Si、发送方代理客户端判断目标主机是否在防火墙白名单策略中,若是,则直接发 出数据包,否则,加密数据包之后再发出。S2、接收方代理客户端判断源主机是否在防火墙白名单策略中,若是,则直接接收 数据包,否则,解密数据包之后再接收。更为具体的,控制中心的主机白名单策略实现对代理主机的安装和登录认证进行 控制,只有策略允许的主机方可安装代理主机软件。参见图6所示,控制中心与代理主机通 信采用TCP方式,控制中心作为监听端,代理主机作为连接的发起端,其中控制中心应用层 数据包处理流程如下控制中心接收并缓冲主机发来的请求;之后处理该请求的数据包。 若为登录认证包,则从登录认证包中取得发起端主机的MAC信息;根据主机白名单策略判 断该主机是否合法,若合法,则构造合法响应包,并录入发送队列等待处理,否则构造非法 响应包,并录入发送队列等待处理。若为注册请求包,则从注册请求包中取得发起端主机的 MAC信息;根据主机白名单策略判断该主机是否合法,若合法,则构造合法响应包,并录入 发送队列等待处理,否则构造非法响应包,并录入发送队列等待处理。若为其它类型包,则从其它类型包中取得发起端主机的MAC信息;判断是否登陆或注册是否超时,若是,则构造 非法响应包,并录入发送队列等待处理,否则,将该请求返回缓冲区等待该主机成功注册或登录。 上述加解密密钥由控制中心统一生成,主机登录成功后可从控制中心获得密钥, 基于加密强度和性能的权衡考虑,加解密采用RC4流加解密算法,密钥长度为256。具体可 采用基于WINDOWS网络驱动程序接口规范(NDIS)开发的网络驱动过滤程序,该驱动过滤程 序实现了对网络数据包有针对性的加/解密处理。上述防火墙白名单策略也是在发送方代 理客户端和接收方代理客户端登录控制中心后,由控制中心下发。具体NDIS层过滤驱动工 作原理,参见图7所示,发送流程如下待发送的数据包进入发送队列;从IP包中取得目标 IP地址和MAC地址;根据防火墙白名单策略判断目标IP地址或MAC地址是否为例外,若是, 则直接发送,否则加密数据包后再发送。接收流程如下待接收的数据包进入接收队列;从 IP包中取得源IP地址和MAC地址;根据防火墙白名单策略判断源IP地址或MAC地址是否 为例外,若是,则直接接收,否则解密处理后再接收。可见,对于部署了代理软件的主机可以互相通信,可称为可信主机,对于没有部署 代理软件的主机因为其发出的包或接收的包没有加解密所以无法与可信主机进行通信,从 而实现非法主机的接入控制。另外,对于无法部署代理主机软件的服务器或主机(例如网 关设备、其它网络设备或其它非WINDOWS平台的主机或服务器),可将该主机加入到防火墙 白名单例外策略,该策略记录有不包含代理主机软件的合法主机的IP地址或MAC地址,对 这些主机的网络通信数据包将不做加/解密处理,从而提高本系统的兼容性和适应能力。综上,本发明解决了针对普通主机接口控制系统的局限性,提供了一套通用性、安 全性、可控性和可扩展性较强的主机接入控制的解决方案。通用性既适应于采用传统网络互联设备(如HUB、老式交换机等)的局域网环 境,又适合采用先进(如三层交换机)环境,故整体适应性较强。安全性对可信主机的通信数据包进行加/解密处理,使用不管非法主机如何接 入都无法访问安全局域网中的任何一台主机,故安全性较高。可控性本系统可对代理主机的安装和登录认证进行授权,故可控性较高。可扩展性目前桌面主机操作系统大部分还是微软的WINDOWS系统,随着LINUX桌 面平台的发展(如UBUNTU等),今后将有部分桌面主机采用LINUX操作系统,为了使安装 LINUX操作系统的终端主机也安全接入到本系统,则可利用LINUX平台的Netfilter防火墙 技术开发相应的代理软件,功能和WINDOWS平台相同,故本技术方案具有较强的可扩展性。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围 之内,则本发明也意图包含这些改动和变型在内。
权利要求
一种主机接入控制方法,其特征在于,包括下列步骤发送方代理客户端判断目标主机是否在防火墙白名单策略中,若是,则直接发出数据包,否则,加密数据包之后再发出;接收方代理客户端判断源主机是否在防火墙白名单策略中,若是,则直接接收数据包,否则,解密数据包之后再接收。
2.如权利要求1所述的主机接入控制方法,其特征在于,控制中心通过主机白名单控 制网内合法主机中的代理客户端的注册和登录。
3.如权利要求2所述的主机接入控制方法,其特征在于,所述发送方代理客户端和接 收方代理客户端加解密所用的密钥由控制中心统一生成,并在登录后下发。
4.如权利要求1所述的主机接入控制方法,其特征在于,所述防火墙白名单策略中记 录有不包含代理客户端的合法主机的IP地址或MAC地址。
5.如权利要求1所述的主机接入控制方法,其特征在于,所述判断是否在防火墙白名 单策略中的过程以及加解密的过程通过基于WINDOWS网络驱动程序接口规范开发的网络 驱动过滤程序实现。
6.一种主机接入控制系统,其特征在于,包括发送方代理客户端,用于判断目标主机是否在防火墙白名单策略中,若是,则直接发出 数据包,否则,加密数据包之后再发出;接收方代理客户端,用于判断源主机是否在防火墙白名单策略中,若是,则直接接收数 据包,否则,解密数据包之后再接收。
7.如权利要求6所述的主机接入控制系统,其特征在于,还包括控制中心,用于通过主机白名单控制网内合法主机中的代理客户端的注册和登录。
8.如权利要求7所述的主机接入控制系统,其特征在于,所述发送方代理客户端和接 收方代理客户端加解密所用的密钥由控制中心生成,并在登录后下发。
9.如权利要求7所述的主机接入控制系统,其特征在于,所述防火墙白名单策略在发 送方代理客户端和接收方代理客户端登录控制中心后,由控制中心下发。
10.如权利要求6或9所述的主机接入控制系统,其特征在于,所述防火墙白名单策略 中记录有不包含代理客户端的合法主机的IP地址或MAC地址。
全文摘要
本发明公开了一种主机接入控制系统及方法,涉及网络安全领域,用以解决现有技术无法有效防止非法主机接入内网的问题。方法包括发送方代理客户端判断目标主机是否在防火墙白名单策略中,若是,则直接发出数据包,否则,加密数据包之后再发出;接收方代理客户端判断源主机是否在防火墙白名单策略中,若是,则直接接收数据包,否则,解密数据包之后再接收。系统包括发送方代理客户端和接收方代理客户端。由于本发明安全内网中的合法主机之间通过统一管理的密钥加解密传输数据或者通过防火墙白名单策略传输数据,所以解决了针对普通主机接口控制系统的局限性,是一套通用性、安全性、可控性和可扩展性较强的主机接入控制的解决方案。
文档编号H04L9/08GK101820414SQ201010104940
公开日2010年9月1日 申请日期2010年1月29日 优先权日2010年1月29日
发明者柯宗庆, 柯宗贵 申请人:蓝盾信息安全技术股份有限公司