专利名称:基于物理位置的网络安全系统的制作方法
技术领域:
本发明涉及用于监控、跟踪和授权网络登陆的物理位置的网络安全系统和方法。更具体地说,本发明涉及保存授权的网络用户的记录并监控、跟踪和授权那些用户被授权访问计算机网络的物理位置的系统。
背景技术:
在许多企业中,雇员被分配了他们自己的计算机网络访问号码交换机,以使雇员可与公司的计算机网络对接。访问号为公司的网络提供了安全性,并防止那些未授权使用网络系统的人访问该网络。然而,存在这样的情况未授权访问公司网络的用户可能恶意进入网络系统,以便获得非法访问有价值信息或破坏网络程序。这个不幸的问题并不孤立于网络外部的用户;还存在这样的情况具有授权或盗取授权的雇员出于破坏网络程序或获得专有信息的目的而访问网络。
在现有技术中,保存公司网络安全的问题是众所周知的。一种类型处理网络安全性问题的系统是防火墙。防火墙是防止专用网或内部网络资源受到网络外部用户损害并还控制网络外部资源用户可访问的一系列相关程序。防火墙位于网络的网关服务器,网络入口点,并常被安装在与网络分开的特别指定的计算机中。实质上,防火墙检查每个网络包,或在因特网或其它网络上的起点和终点之间路由的数据单元,以确定是否应该其转发到其终点。防火墙屏蔽方法包括例如屏蔽请求,以确保请求来自可接受域名和因特网协议地址。移动网用户被允许通过使用安全登陆过程和认证来远程访问网络。
在这种系统中,网络安全的焦点是防止网络受到其它网络用户的破坏。也就是说,防火墙防止专用网受到公司网络的未授权外部用户(诸如众所周知的计算机黑客)的破坏。然而,不存在防止专用网受到内部网络用户(诸如流氓雇员)破坏的安全系统或设备。由于雇员一般具有访问公司网络的授权,也就是说,授权的用户名和密码,因此最可能的破坏性安全威胁并不是由因特网上的外部用户造成的,而是由局域网上公司本身内部用户造成的,即“内部黑客”。现有技术系统无法防止这种类型的安全威胁。
因此,虽然对于设计用于应用而言,上述系统已经足够了,但是存在对能防止其它授权网络用户的非法或未授权行为的附加网络安全系统的需要。
发明内容
本发明涉及用于监控、跟踪和授权网络登陆物理位置的网络安全系统和方法。更具体地说,本发明涉及保存授权网络用户的记录并监控、跟踪和授权那些用户被授权访问计算机网络的物理位置的系统。
本发明的系统一般包括软件部件和硬件部件。软件部件监控网络用户的访问,并构建数据库,所述数据库可包括网络登陆尝试的记录以及如下信息诸如例如登陆ID,或用户名和密码等;工作站名,包括IP/MAC地址,以及登陆的物理位置和时间。
本发明的硬件部件包括用于确定用户尝试连接到网络的物理位置的系统。硬件部件包括微处理器,所述微处理器监控数据端口的连接并产生数据库,该数据库包含与网络计算机和相关装置相关联的物理位置信息。
当用户尝试连接或连接到网络时,本发明的系统监控网络安全服务器,并记录登陆信息,该网络安全服务器准许或拒绝对网络的初始访问。具体地说,硬件部件的微处理器(其连续监控数据端口的连接)将数据端口连接信息传递到数据库。软件部件查找由硬件部件产生的数据库上的物理位置信息,以确定其中用户是否被授权从登陆的特定物理位置登陆。也就是说,软件部件监控安全服务器准许的访问,以确定已被准许初始访问的特定用户是否被授权从特定位置登陆。如果用户没被授权从特定登陆位置登陆,则软件部件可采取预防措施,诸如命令硬件部件的开关或接插板关闭用户的数据端口。软件部件还将网络登陆尝试的记录保存在事件日志中。
通过结合附图考虑的以下详细描述,本发明的其它目的和特征将变得明显。然而,应理解的是,这些附图仅设计用于图示目的,并不作为本发明限制的定义,本发明的限制应参考所附权利要求书。
在附图中,并没按比例绘制,并且仅是说明性的,其中在所有若干视图中相同的标号表示相同的元件图1是示出本发明整个系统的示意图;图2是示出根据本发明一个实施例的数据端口连接信息的数据库的表格。
具体实施例方式
本发明涉及用于监控、跟踪和授权网络登陆的物理位置的网络安全系统和方法。更具体地说,本发明涉及保存网络用户登陆记录并监控、跟踪和授权物理位置的系统,那些用户被允许从该物理位置访问计算机网络。
图1示出了根据本发明一个实施例的网络安全系统的示意图。一般来说,该系统使网络管理员(诸如公司)可以控制网络登陆,从而防止或禁止破坏网络安全性,和/或出于调查或管理目的跟踪或监控用户访问网络的物理位置。
从图1可看出,本发明的网络安全系统包括工作站,一般表示为101-110,该工作站包括计算机(其可以是桌面型或膝上型)及其它相关装置。每个工作站101-110与特定物理位置相关联,这些物理位置一般表示为111-120,诸如例如办公室、建筑物地面、建筑物或车间的部分地面或任何其它类型的期望物理边界。工作站101-110经由局域网(LAN)(一般表示为150)彼此耦合。更具体地说,工作站101-110、安全服务器(一般表示为152)、管理终端(一般表示为154)和本发明的硬件部件都经由LAN 150通信。
网络用户或雇员可与一个特定工作站101-110和一个物理位置111-120或多个工作站和/或物理位置相关联。如下将更详细描述的,在特定物理位置的工作站处的用户输入用户名和密码。安全服务器152(其可包括一个或多个安全服务器)可耦合到LAN 150,或直接耦合到各个工作站,并基于用户输入的用户名和密码来准许或拒绝初始网络访问。
连接到LAN 150的本发明的硬件部件监控开关或接插板上数据端口的连接模式。硬件部件包括用于确定数据端口连接的系统,其包括电连接到微处理器的开关或接插板,该微处理器连续记录和更新数据端口连接信息。在发布的美国专利No.6574586中描述了一个这样的系统。在本领域已知其它的这种硬件系统,并在本文中考虑了。也就是说,本发明并不局限于任何特定硬件部件,并将与可确定尝试登陆的物理位置的任何类型硬件部件一起同样良好地工作。本发明还考虑了无硬件系统的实施例,其中数据端口连接信息被人工地输入到微处理器的数据库中。
本发明的软件部件监控安全服务器152的活动,确定用户是否被授权在特定登陆位置登陆网络,在确定用户未被授权时采取必要措施,并保存登陆尝试的记录。安全服务器152基于用户输入的用户名和密码与存储在安全服务器152或另一个网络PC/服务器上的用户名和密码的比较来准许或拒绝对网络的初始访问。软件部件然后查找由硬件部件产生的数据端口连接信息,以确定用户是否已被准许授权从该特定物理位置访问网络。如果用户未被授权从该特定物理位置访问网络,则软件部件可采取各种预防措施,例如,命令硬件部件的开关或接插板关闭用户的数据端口,或者向管理终端154发出警报。
软件部件还保存登陆尝试的记录,成功的或不成功的。具体地说,软件部件产生数据库或事件日志,其包含登陆识别信息,诸如例如用户名和密码;工作站识别信息,包括IP/MAC地址、每个登陆尝试的日期和时间、每个授权登录的日期和时间、登陆类型描述、网络安全代理、域地址、访问的网络资源、服务器标识、无论所尝试的登陆是成功还是不成功、登陆尝试的次数、设备标识(例如主机名)、IP地址、MAC地址、插孔或插座标识、插孔或插座位置、端口标识以及任何其它电路跟踪信息。
现在将参考图2并继续参考图1来更详细地描述硬件部件的数据库。硬件部件的数据库包括以下描述的信息表。本领域技术人员可理解,表中如下信息布置是示例性的,并且其它布置也在本发明的保护范围之内。
硬件部件的数据库包括数据端口连接信息表200,如图2所示。一般来说,数据端口连接信息表200包括每个工作站的记录,如工作站ID所标识的。每个这种记录包括IP/MAC地址和物理位置(诸如办公室)。例如,工作站101与地址1和位置111相关联。工作站102与地址2和位置112相关联。工作站103与地址3和位置113相关联。工作站104与地址4和位置114相关联。其余工作站类似标号为表200中所标识的。
已经描述了本实施例的部件,现在将描述这些部件的操作。首先,网络管理员向安全服务器数据库提供用户识别信息。更具体地说,网络管理员向安全服务器152或另一个网络PC/服务器提供每个网络用户的用户名和密码。在本发明的一个实施例中,网络管理员经管理终端154将用户识别信息人工地输入到安全服务器数据库152中。
一旦用户将用户名和密码输入网络计算机,输入的信息就经LAN150传递到安全服务器152。安全服务器152接收该信息,并将其与存储在安全服务器数据库中的信息相比较。具体地说,安全服务器152基于输入的用户名和密码来准许或拒绝初始网络访问。
同时,本发明的硬件部件监控数据端口的连接。具体地说,诸如在发布的美国专利No.6574586中公开的系统确定每个工作站和相关装置的连接性及它们的物理位置。硬件部件内的微处理器连续接收、记录和更新数据端口连接信息的数据库。
当用户登陆到网络上时,软件部件检索识别工作站(图1的101-110)和位置(图1的111-120)的信息,用户从该位置尝试登陆上网。如上所述,如果需要,软件部件记录登陆信息并采取预防措施。
通过示例的方式,参考图1和图2,如上所述,用户与工作站101和位置111相关联。用户输入用户名和密码,并由安全服务器152准许或拒绝初始网络访问。根据本发明,如果用户从位置113的工作站103访问网络,则软件部件从表200表示的硬件部件数据库中检索数据端口连接信息,以确定用户是否被授权在该位置处登陆网络。虽然用户可能已通过输入正确的用户名和密码被准许对网络初始访问,但工作站103和位置113不与该用户相关联。因此,用户的访问可能被断开,或者警报消息可能被发到管理终端154。此外,软件部件记录关于该失败的登陆事件的信息。
在另一个示例中,工作站101-110可以是膝上型计算机或其它便携式工作站,并因此可用在各种位置。如上所述,用户与工作站101和位置111相关联。根据本发明,如果用户在位置113的工作站101处访问网络,则软件部件从表200表示的硬件部件数据库中检索数据端口连接信息,以确定用户是否被授权在该位置登陆网络。虽然用户可能已经通过输入正确用户名和密码的方式被准许对网络初始访问,并且虽然工作站101与该用户相关联,但位置113不与该用户相关联。因此,用户的访问可能被断开,或者警报消息可能被发到管理终端154。此外,软件部件记录关于该失败的登陆事件的信息。
在备选实施例中,本发明的软件部件也可监控用户名和密码,以便准许或拒绝对网络的初始访问。
虽然已经示出、描述和指出了应用到本发明优选实施例的本发明的新颖特征,但应理解到,在不脱离本发明精神的前提下,本领域技术人员可对所公开发明的形式和细节进行各种省略、替换和修改。因此,期望本发明的保护范围仅由所附权利要求书指示的来限定。
还应理解到,以下权利要求书旨在覆盖本文描述的本发明的所有一般和具体特征,以及作为语言问题可以说成落入其间的本发明范围的所有语句。
权利要求
1.一种通过监控网络登陆或登陆尝试的物理位置而向计算机网络提供安全性的方法,所述方法包括将工作站与物理位置相关联;将网络用户与所述工作站相关联;监控计算机网络,以确定所述用户的网络登陆或尝试登陆;确定所述登陆或尝试登陆的物理位置;确定所述用户是否被授权从所述登陆或尝试登陆的所述物理位置访问所述网络。
2.如权利要求1所述的方法,还包括确定预防措施是否必要,并且如果必要,则自动启动预防措施。
3.如权利要求2所述的方法,其中所述预防措施包括产生警报。
4.如权利要求2所述的方法,其中所述预防措施包括从所述网络断开所述工作站。
5.如权利要求2所述的方法,其中所述预防措施包括产生所述用户正在从未授权位置访问所述计算机网络的通知消息。
6.如权利要求1所述的方法,还包括存储关于所述登陆或尝试登陆的所述物理位置的信息。
7.如权利要求1所述的方法,还包括存储关于与所述登陆或尝试登陆相关联的所述工作站的信息。
8.如权利要求7所述的方法,其中所述工作站信息包括以下类型信息中的一个或多个所述工作站的IP/MAC地址、每个登陆尝试的日期和时间、每个成功登陆的日期和时间、登陆类型描述、网络安全代理、域地址、关于访问了哪些网络资源的信息、服务器标识、登陆尝试的次数、主机名数据、插孔或插座信息、端口标识或任何其它的电路跟踪信息。
9.如权利要求1所述的方法,还包括产生事件日志。
10.如权利要求7所述的方法,其中所述事件日志包括关于所述登陆或尝试登陆的所述物理位置的信息以及关于所述用户的信息。
11.如权利要求1所述的方法,还包括将所述用户与工作站相关联。
12.一种通过监控从特定工作站的网络登陆或登陆尝试而向计算机网络提供安全性的方法,所述方法包括将工作站与物理位置相关联;将网络用户与所述工作站相关联;监控计算机网络,以确定所述用户的网络登陆或尝试登陆;确定所述登陆或尝试登陆是从哪个工作站产生的;确定所述用户是否被授权从所述登陆或尝试登陆的所述工作站访问所述网络。
13.一种用于通过局域网耦合的多个工作站的网络安全系统,所述网络安全系统包括电子存储器,用于将所述工作站与用户和物理位置相关联;以及一个或多个处理器,用于接收来自所述工作站的登陆信息,并访问所述电子存储器,以确定所述用户或所述工作站是否被授权从所述物理位置登陆所述网络。
14.如权利要求13所述的系统,其中所述一个或多个处理器基于所述确定产生警报。
15.如权利要求14所述的系统,其中所述警报包括电子邮件通知。
16.如权利要求14所述的系统,其中所述警报包括寻呼机通知。
17.如权利要求14所述的系统,其中所述警报包括终止信号。
18.如权利要求14所述的系统,其中所述一个或多个处理器产生事件日志。
19.如权利要求18所述的系统,其中所述事件日志包括所述访问的时间。
20.如权利要求18所述的系统,其中所述事件日志包括所述物理位置。
21.计算机可读介质,其具有计算机可读代码,所述代码用于使一个或多个处理器将工作站与物理位置相关联;将网络用户与所述工作站相关联;监控计算机网络以确定所述用户的网络登陆或尝试登陆;确定所述登陆或尝试登陆的物理位置;确定所述用户是否被授权从所述登陆或尝试登陆的所述物理位置访问所述网络。
22.一种用于通过局域网耦合的多个工作站的网络安全系统,每个工作站与特定用户相关联,并耦合到接插板的多个数据端口中的一个,所述接插板耦合到计算机网络,所述安全系统包括与物理位置和用户相关联的工作站;用于确定所述用户的网络登陆或尝试登陆的监控设备;用于确定所述登陆或尝试登陆的物理位置的设备;其中所述系统确定所述用户是否被授权从所述登陆或尝试登陆的所述物理位置访问所述网络。
全文摘要
用于监控、跟踪和授权网络登陆的物理位置的网络安全系统。更具体地说,本发明涉及保存授权网络用户的记录(200)并监控、跟踪和授权物理位置的系统,从这些物理位置那些用户被授权访问计算机网络。
文档编号G06F21/00GK1795440SQ200480014564
公开日2006年6月28日 申请日期2004年4月5日 优先权日2003年4月7日
发明者P·L·佩拉 申请人:艾特拉克斯公司