本发明涉及电子技术、通信技术及计算机领域,具体是一种集中管理式计算机访问控制系统。
背景技术:
当今计算机技术飞速发展,各行各业使用数以万计的计算机进行计算处理,享用应用软件,数据处理给我们提供的信息化便利,然而,随之而来的信息安全问题,如非法使用、病毒、恶意攻击等安全隐患始终威胁着政府、企事业单位特别是具有涉密需求的相关组织的信息安全,用户数据急需安全保护,用户迫切要求全面的访问控制安全策略。
访问控制系统研究的是如何构建对用户合理地分配权限,阻止用户对系统进行越权访问的系统。审查系统研究的是如何区别非法操作和合法操作,并将用户非法操作予以阻止的软、硬件实现。但现有的计算机访问控制系统,容易通过软件方式破解,占用目标计算机系统资源,运行慢效率低,在硬件层面上无法杜绝用户对目标计算机系统的破解,用户桌面上需要放置计算机主机,用户端硬件占用空间大,不利于监控用户对目标计算机的所有操作,不能实时阻断用户对计算机的非法操作,以及留下用户对计算机的完整操作日志。
技术实现要素:
本发明的目的在于提供一种集中管理式计算机访问控制系统,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种集中管理式计算机访问控制系统,包括集中式的计算机机房、将计算机外设端口转换为网络数据流的局端网关、网络交换机、用于审计网络数据包的内容审查和认证系统及将网络数据流转换为计算机外设端口的用户网关,所述局端网关能够进行网络访问及端口转换、视频编码和系统管理,所述用户网关能够进行网络访问及端口转换、视频解码和系统管理,所述内容审查和认证系统能够进行网络监测、认证和日志存储。
作为本发明进一步的方案:所述局端网关的网络访问及端口转换,能够访问内部私网,接收由用户网关发送的请求与操作,并与目标计算机的各外设端口进行交互;视频编码,能够将目标计算机的显示端口输出的视频信号进行适当地编码,使得在网络上传输的带宽符合网络的承载能力;系统管理,能够对目标计算机的状态进行检测,确保目标计算机的状态正常,并能够执行用户网关发送的系统管理请求。
作为本发明进一步的方案:所述用户网关的网络访问及端口转换,能够访问内部私网,传输用户的身份验证信息,并与各外设进行交互,取得用户对目标计算机的操作,将其转换为请求数据送往局端网关;视频解码,能够将局端网关传输的已编码的视频信号进行解码,并将其转换为显示器接口,使得显示器能够显示目标计算机输出的图像;系统管理,能够就用户的操作对局端网关进行请求,询问目标计算机的状态,并接受用户的系统管理操作。
作为本发明进一步的方案:所述用户网关与局端网关之间建立连接需要互相验证对方身份,确保对方为合法的局端设备和用户,并且系统需要动态地交换密钥。
作为本发明进一步的方案:所述内容审查和认证系统插入在网络核心层中,能够对各个端口中的数据流进行合法的监测,数据流包括用户的操作及计算机的状态;内容审查系统由两部分组成,实时分析和日志记录系统;认证系统能够产生用户的身份验证信息,设定、分配用户的权限,与内容审查系统联合,在硬件层面上保证用户无法做出越权操作。
作为本发明进一步的方案:所述实时分析系统对用户企图使用各种设备、算法泄露敏感信息的行为进行管控。
作为本发明进一步的方案:所述日志记录系统记录用户所有对目标计算机系统的操作,形成日志以备系统管理员进行分析和查看。
与现有技术相比,本发明的有益效果是:该集中管理式计算机访问控制系统,完全是硬件的,无法通过软件方式破解,并且不占用目标计算机系统资源,运行快速效率高;由于网关及审计系统的存在,使得用户无法直接取得对目标计算机的直接物理访问,能够在硬件层面上杜绝用户对目标计算机系统的破解,达到阻止敏感信息泄露的目的,且系统的计算机集中存放于机房中,使得用户桌面上无须放置计算机主机,用户端硬件最简化,达到节能、节约的目的;由于系统分开了目标计算机和其外设,故审计系统能够直接在硬件层面上监控用户对目标计算机的所有操作,能够实时阻断用户对计算机的非法操作,并留下用户对计算机的完整操作日志供查阅。
附图说明
图1为本发明的系统简化示意图。
图2为本发明中的局端网关组成原理图。
图3为本发明中的用户网关组成原理图。
图4为本发明的内容审查系统框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1~4,本发明实施例中,一种集中管理式计算机访问控制系统,包括集中式的计算机机房(用于放置目标计算机,虚拟化或实机均可)、将计算机外设端口转换为网络数据流的网关、网络交换机、用于审计网络数据包的内容审查和认证系统及将网络数据流转换为计算机外设端口的网关。
目标计算机的软件无需更改,所有功能皆为硬件实现。并且,系统的计算机集中存放于机房中,使得用户桌面上无须放置计算机主机,由此使得用户端硬件最简化,达到节能、节约的目的,系统简化图如图1所示。
在用户端仅有网关,用户无法对目标计算机进行物理上的接触,此外由于系统所有功能均为硬件实现,并有相互认证,这保证了用户无法通过对目标计算机的硬件进行修改的方式取得对目标计算机系统的完全控制权。
局端网关用于将目标计算机的各端口(如显示口、USB口等)转换为网络数据流,达到用户间接操作目标计算机的目的,局端网关组成结构图如图2所示。
用户网关用于将网络数据流转换为目标计算机的各个端口,达到接驳各个计算机外设,如显示器、键盘、鼠标、外部存储设备等的目的,由此用户可以使用网关对一台或多台目标计算机进行间接操作,用户网关组成结构图如图3所示。
由于显示接口(VGA/DVI/HDMI/DP等)数据流量较高,各网关必须具备视频编解码能力,使得网络上的流量能够降到系统可以承载的程度。用户网关与局端网关之间的通信是加密的,并是定期交换密钥的,能够有效防止被非法窃听,保证系统通讯安全。同时,用户网关和局端网关之间需要相互认证,用以确认用户是否具有合法的身份验证信息,目标计算机是否有合法的入网条件。用户网关与局端网关具有系统管理能力,用户网关能够在系统授权的范围内对局端网关所管理的计算机执行系统管理操作,如开机、关机等操作。
内容审查和认证系统插入在网络核心层中,能够对各个端口中的数据流进行合法的监测,数据流包括用户的操作及计算机的状态,保证系统安全运行。内容审查系统由两部分组成,实时分析和日志记录系统,实时分析系统对用户企图使用各种设备、算法泄露敏感信息的行为进行管控,如外接存储设备复制文件,从通信端口窃取文件等高危敏感操作进行限制;日志记录系统记录用户所有对目标计算机系统的操作,形成日志以备系统管理员进行分析和查看,内容审查系统如图4所示。认证系统能够产生用户的身份验证信息,设定、分配用户的权限,与内容审查系统联合,在硬件层面上保证用户无法做出越权操作。
该集中管理式计算机访问控制系统,完全是硬件的,无法通过软件方式破解,并且不占用目标计算机系统资源,运行快速效率高;由于网关及审计系统的存在,使得用户无法直接取得对目标计算机的直接物理访问,能够在硬件层面上杜绝用户对目标计算机系统的破解,达到阻止敏感信息泄露的目的,且系统的计算机集中存放于机房中,使得用户桌面上无须放置计算机主机,用户端硬件最简化,达到节能、节约的目的;由于系统分开了目标计算机和其外设,故审计系统能够直接在硬件层面上监控用户对目标计算机的所有操作,能够实时阻断用户对计算机的非法操作,并留下用户对计算机的完整操作日志供查阅。
以上的仅是本发明的优选实施方式,应当指出,对于本领域的技术人员来说,在不脱离本发明构思的前提下,还可以作出若干变形和改进,这些也应该视为本发明的保护范围,这些都不会影响本发明实施的效果和专利的实用性。