一种网关准入控制方法
【技术领域】
[0001]本发明属于信息安全技术领域,更具体地,涉及一种网关准入控制方法。
【背景技术】
[0002]随着计算机应用的普及和互联网以及移动存储设备的发展,电子信息化建设力度的不断加大,网络准入控制已经日益得到企业用户的重视,只有确保网内接入的设备可信并受控,才能有效的保障网络安全。
[0003]现有的准入网关系统,是通过TCP/IP协议中的IP地址和端口,或者数据链路层协议的MAC地址来控制客户终端的对服务器的访问,通过该方法解决网络准入问题时有很多局限性:譬如,当网络环境内需要新增一台客户端,则需要管理员手动添加对应的IP或MAC地址规则;当需要准入的客户终端数量很多的时候,手动设置的规则表就会显得繁杂不够清晰,且存在安全隐患:非法的客户端可以通过复制规则表中允许准入的IP或MAC地址,假冒合法的客户端,达到绕过准入网关的目的;因此现有的准入网关系统及方法在准入规则设置的安全性和灵活性方面存在缺陷。
【发明内容】
[0004]针对现有技术的以上缺陷或改进需求,本发明提供了一种网关准入控制方法,其目的在于在网关上设置监听模块,并在客户端上设置终端模块,终端模块与监听模块间通过自定义的协议收发数据包,由此解决针对性准入控制的技术问题。
[0005]为实现上述目的,按照本发明的一个方面,提供了一种网关准入控制方法,该方法基于网关上设置的监听模块以及客户端上设置的与所述监听模块匹配的终端模块,具体如下:
[0006](I)监听模块实时接收终端模块信息,包括客户端IP地址、客户端MAC地址和客户端准入权限信息;
[0007](2)根据终端模块信息和服务器IP地址实时生成一一对应的客户关系表;所述客户关系表用于维护准入客户端与服务器之间的路径信息;
[0008](3)解析客户端发送的请求信息,获取源地址和目的地址;
[0009](4)将所述源地址和目的地址与客户关系表进行匹配;若匹配通过,则在相应的客户端与服务器之间建立连接;若匹配失败,则将数据包丢弃,同时向客户端反馈连接失败的信息;所述匹配,是指遍历客户关系表,检索源地址与目的地址之间的路径是否存在;
[0010](5)对于已经建立的连接,根据所述目的地址源地址完成数据转发。
[0011]优选的,客户关系表的生成方式具体为:网关接收到装有终端模块的客户端所发送的数据包,验证为自定义数据包后,将对应的客户端信息添加到网关的客户关系表中;对于添加到客户关系表中的客户端,网关准予其连接指定对应的服务器。
[0012]优选的,对于客户关系表,可根据用户与服务器之间的约定添加约束信息,生成黑?白名单;其中,白名单填充允许访问的客户端信息,黑名单填充禁止访问的客户端信息。
[0013]优选的,客户关系表实时更新,对于已存在于客户关系表内的客户端,当在一段时间没有收到其发送的自定义数据包,则将该客户端信息从客户关系表中清除,以防止非法客户端冒充该客户端访问服务器。
[0014]总体而言,通过本发明所构思的以上技术方案与现有技术相比,具有下列有益效果:
[0015](I)由于本发明提供的网关准入控制方法是基于网关上设置监听模块与客户端上设置的终端模块的匹配关系,因此实现了针对性准入控制;
[0016](2)由于本发明提供的网关准入控制方法采用实时自动更新的客户关系表来维护客户端与服务器之间的准入关系,不必在网关上人工设置准入客户端的IP和MAC地址,因此实现了自动化的准入控制;
[0017](3)由于本发明采用的客户关系表实时更新,一段时间无接入请求的客户端信息将被删除以释放空间,以防止非法客户端冒充合法客户端访问服务器;
[0018](4)由于本发明的终端模块用户不具备修改客户关系表的权限,客户关系表不会被终端模块用户随意修改,相比于现有技术的IP/MAC地址的准入控制,本发明提供的网关准入控制方法具备更高的安全性和可靠性;
[0019](5)由于本发明的优选方案提供了添加黑.白名单的客户关系表,相当于开辟了在特殊情况下使用的网关准入绿色通道,使得本发明的控制方法具有了更高的灵活性。
【附图说明】
[0020]图1是本发明实施例1提供的网关准入控制方法的应用部署示意图;
[0021]图2是本发明实施例2提供的网关准入控制方法的流程图。
【具体实施方式】
[0022]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
[0023]如附图1所示的,在实施例1中,与现有技术的区别在于,将网关部署在交换机与服务器之间,本发明提供的网关准入控制方法加载于网关上;基于网关上的监听模块以及客户端上设置的与所述监听模块匹配的终端模块实现。具体的网关准入控制方法的实现流程具体如图2所示:
[0024](I)将网关部署在客户端和服务器之间;其中,客户端设置有终端模块;
[0025](2)网关开始接管客户端流向服务器所有的数据包;
[0026](3)发往服务器的数据包均禁止通过,等待网关的验证;
[0027](4)网关上的监听模块启动;
[0028](5)网关接收到装有终端模块的客户端所发送的数据包,进行检测分析,验证为自定义数据包后,将该客户端信息添加到网关的客户关系表中;添加成功后,网关准予该客户端连接指定对应的服务器;
[0029](6)客户关系表实时更新,若一段时间内没有收到已在客户关系表内的客户端发送的自定义数据包,网关将所述该客户端的信息从客户关系表中清除;被清除的客户端所发出的网络数据包将无法通过网关,进而无法访问服务器。
[0030]本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种网关准入控制方法,其特征在于,所述方法基于网关上设置的监听模块以及客户端上设置的与所述监听模块匹配的终端模块,具体如下: (1)监听模块实时接收终端模块信息,包括客户端IP地址、客户端MAC地址和客户端准入权限信息; (2)根据终端模块信息和服务器IP地址实时生成一一对应的客户关系表;所述客户关系表用于维护准入客户端与服务器之间的路径信息; (3)解析客户端发送的请求信息,获取源地址和目的地址; (4)将所述源地址和目的地址与客户关系表进行匹配;若匹配通过,则在相应的客户端与服务器之间建立连接;若匹配失败,则将数据包丢弃,同时向客户端反馈连接失败的信息; (5)对于已经建立的连接,根据所述目的地址源地址完成数据转发。
2.如权利要求1所述的网关准入控制方法,其特征在于,所述客户关系表的生成方式具体为:网关接收到装有终端模块的客户端所发送的数据包,验证为自定义数据包后,将对应的客户端信息添加到网关的客户关系表中;对于添加到客户关系中的客户端,网关准予其连接指定对应的服务器。
3.如权利要求1或2所述的网关准入控制方法,其特征在于,根据用户与服务器之间的约定对所述客户关系表添加约束信息,生成黑.白名单;其中,白名单填充允许访问的客户端信息,黑名单填充禁止访问的客户端信息。
4.如权利要求1至3任一项所述的网关准入控制方法,其特征在于,所述客户关系表实时更新,对于已存在于客户关系表内的客户端,当在一段时间没有收到其发送的自定义数据包,则将所述客户端信息从客户关系表中清除。
【专利摘要】本发明公开了一种网关准入控制方法,所述方法基于网关上设置的监听模块以及客户端上设置的终端模块,所述终端模块与监听模块间通过自定义的协议收发数据包,通过在网关上建立并实时更新与终端模块对应的客户关系表,维护具有接入权限的客户准入信息,有针对性的控制客户端对服务器的访问;通过本发明提供的方法能够精细的根据具体应用层网络协议的行为,有针对性的对客户端访问请求进行管控,以满足企业对服务器数据的权限操作和安全要求,达到保障内网服务器访问控制权限安全的目的。
【IPC分类】H04L29-06, H04L12-66
【公开号】CN104753926
【申请号】CN201510107881
【发明人】陈永府
【申请人】华中科技大学
【公开日】2015年7月1日
【申请日】2015年3月11日