专利名称:网络准入控制方法及系统的制作方法
技术领域:
本发明涉及一种基于数字签名的ARP扩展协议的网络准入控制方法及系统。
背景技术:
随着互联网技术的发展,用户可通过各种接入技术,利用各种操作系统,从世界上的每个角落随时接入企业内部网络。对于试图接入到企业内部网络的可管理或不可管理的设备,网管人员根本无法在其接入网络前知晓它们的来源。面对手段高明的黑客入侵,用户设备很可能在不知不觉间被植入后门或感染致命的病毒。任何此类恶意应用都将威胁到企业的信息资产的安全,并对生产率产生严重影响,从而使企业付出惨重的代价。因此提供一套有效的网络准入控制方案变得十分重要。目前,已经出现了几种网络准入控制解决方案,例如802. Ix协议技术、Cisco NAC 技术等。关于802. Ix协议实现网络准入控制解决方案,IEEE802LAN/WAN委员会为解决无线局域网网络安全问题,提出了 802. Ix协议。后来,802. Ix协议作为一个接入控制机制在以太网中被广泛应用,主要解决以太网内用户认证的问题。802. Ix协议是一种基于端口的网络接入控制协议(Port Based Network Access Control)。“基于端口的网络接入控制” 是指在局域网认证设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。关于Cisco NAC实现网络准入控制解决方案,NAC(网络准入控制)是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,客户可以只允许合法的、值得信任的主机接入网络,而不允许其它设备接入。 在初始阶段,当主机进入网络时,NAC能够帮助思科路由器实施访问权限控制。上述网络准入控制技术基本上可以较好的完成对非授信主机的接入限制。但这些方法都和具体的硬件设备相绑定,需要企业采购新式的交换机或路由器。这在无形中,增加了企业的投入成本。我们需要一种纯软件的解决方案,使其不依赖于硬件,完成企业内部网络的准入控制。
发明内容
鉴于上述技术问题,本发明提供一种基于数字签名的ARP扩展协议的网络准入控制方法及系统,其通过纯软件的方法,完成企业内部网络的准入控制。本发明所涉及的基于数字签名的ARP扩展协议的网络准入控制方法,包括以下步骤签发步骤签名服务器为用户端主机签发数字签名证书;下发步骤将所述数字签名证书下发到所述用户端主机;以及扩展步骤所述用户端主机使用所述数字签名证书扩展 ARP协议进行网络通信。在上述的网络准入控制方法中,所述扩展步骤包括生成步骤,所述用户端主机生成证书数据库,所述证书数据库用于存储、验证由所述签发服务器签发的所述数字签名证书。在上述的网络准入控制方法中,所述扩展步骤还包括数据包发送步骤,用于所述用户端主机发送数据包,所述数据包发送步骤包括截获步骤,所述证书数据库截获待发送的ARP数据包;计算步骤,计算ARP数据包签名信息;填充步骤,当所述ARP数据包签名信息不是扩展ARP数据包时,填充扩展的主机和签名字段,获得扩展ARP数据包;以及发送步骤,发送所述扩展ARP数据包。在上述的网络准入控制方法中,所述扩展步骤还包括数据包接收步骤,用于所述用户端主机接收数据包,所述数据包接收步骤包括接收步骤,所述用户端主机接收ARP数据包;第一判断步骤,对接收到的ARP数据包,判断是否是扩展ARP数据包;验证步骤,当通过所述第一判断步骤中判断出是所述扩展ARP数据包时,由所述证书数据库对数字签名是否合法进行验证;还原步骤,当通过所述验证步骤验证为合法的数字签名时,将所述扩展 ARP数据包还原为标准ARP数据包;以及交付步骤,将所述标准ARP数据包交付给所述用户端主机。在上述的网络准入控制方法中,所述数据包接收步骤还包括丢弃步骤,当通过所述验证步骤验证为非法的数字签名时,丢弃所述扩展ARP数据包。在上述的网络准入控制方法中,所述数据包接收步骤还包括第二判断步骤,当通过所述第一判断步骤判断出所述ARP数据包不是扩展ARP数据包时,进一步判断所述ARP 数据包是否是网关ARP数据包,当是网关ARP数据包时,进入所述交付步骤,否则进行丢弃。本发明所涉及的基于数字签名的ARP扩展协议的网络准入控制系统,包括签发模块签名服务器为用户端主机签发数字签名证书;下发模块将所述数字签名证书下发到所述用户端主机;以及扩展模块所述用户端主机使用所述数字签名证书扩展ARP协议进行网络通信。在上述的网络准入控制系统中,所述扩展模块包括生成模块,所述用户端主机生成证书数据库,所述证书数据库用于存储、验证由所述签发服务器签发的所述数字签名证书。在上述的网络准入控制系统中,所述扩展模块还包括数据包发送模块,用于所述用户端主机发送数据包,所述数据包发送模块包括截获模块,所述证书数据库截获待发送的ARP数据包;计算模块,计算ARP数据包签名信息;填充模块,当所述ARP数据包签名信息不是扩展ARP数据包时,填充扩展的主机和签名字段,获得扩展ARP数据包;以及发送模块,发送所述扩展ARP数据包。在上述的网络准入控制系统中,所述扩展模块还包括数据包接收模块,用于所述用户端主机接收数据包,所述数据包接收模块包括接收模块,所述用户端主机接收ARP数据包;第一判断模块,对接收到的ARP数据包,判断是否是扩展ARP数据包;验证模块,当通过所述第一判断模块判断出是所述扩展ARP数据包时,由所述证书数据库对数字签名是否合法进行验证;还原模块,当通过所述验证模块验证为合法的数字签名时,将所述扩展ARP 数据包还原为标准ARP数据包;以及交付模块,将所述标准ARP数据包交付给所述用户端主机。在上述的网络准入控制系统中,所述数据包接收模块还包括丢弃模块,当通过所述验证模块验证为非法的数字签名时,丢弃所述扩展ARP数据包。在上述的网络准入控制系统中,所述数据包接收模块还包括第二判断模块,当通过所述第一判断模块判断出所述ARP数据包不是扩展ARP数据包时,进一步判断所述ARP 数据包是否是网关ARP数据包,当是网关ARP数据包时,进入所述交付模块,否则进行丢弃。根据本发明的基于数字签名的ARP扩展协议的网络准入控制方法及方法,可以无需改变或追加硬件就可以可靠地完成企业内部网络的准入控制。
当结合附图考虑时,通过参照下面的详细描述,能够更完整更好地理解本发明以及容易得知其中许多伴随的优点,但此处所说明的附图用来提供对本发明的进一步理解, 构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定,其中图1是本发明应用部署示意图。图2是网络准入控制方法的流程图。图3是扩展ARP的报文格式。图4是在网络准入控制方法中用户端主机的一例工作流程图。图5是网络准入控制方法中的用户端主机的数据包发送步骤的流程图。图6是网络准入控制方法中的用户端主机的数据包接收步骤的流程图。图7是本发明的基于数字签名的ARP扩展协议的网络准入控制系统的功能框图。图8是在网络准入控制系统中用户端主机的扩展模块的一例框图。图9是数据包发送模块的功能框图。图10是数据包接收模块的功能框图。
具体实施例方式图1是本发明应用部署示意图,如图1所示,本发明所涉及的网络准入控制系统包括签名服务器100、接入网关200、路由器300和多台用户端主机400。签名服务器100负责为用户端主机400生成数字证书,用户端主机400在网络通信建立初期(进行地址解析期间)使用服务器100签发的数字证书证明自己的身份。接入网关200是多个网络之间的连接器,不同协议之间的转换器。路由器300是一种转发网络数据包的网络设备。用户端主机400通过在用户端主机部署代理程序,来修改ARP地址解析协议的报文,为其添加数字签名,以在通信过程中证明主机的合法身份。图2是网络准入控制方法的流程图。如图2所示,包括以下步骤签发步骤S210 签名服务器100为用户端主机400签发数字签名证书;下发步骤S220 将数字签名证书下发到用户端主机400 ;扩展步骤S230 用户端主机400使用数字签名证书扩展ARO协议进行网络通信。图3是扩展ARP的报文格式。如图3所示,操作(扩展码)定义分组类型。ARP 请求1,ARP应答2,扩展请求3,扩展应答4。主机ID 内网主机唯一标识。签名对ARP协议数据单元做的签名,例如操作字段值为3或4时有效。
图4是在网络准入控制方法中用户端主机的一例工作流程图,如图4所示,用户端主机400安装有代理程序,通过执行代理程序,执行以下步骤生成步骤S410 所述用户端主机生成证书数据库,所述证书数据库用于存储、验证由所述签发服务器签发的所述数字签名证书。数据包发送步骤S420 用于所述用户端主机发送数据包。负责存储、验证由签名服务器100签发的用户端主机的数字签名证书。数据包接收步骤S430 用于所述用户端主机接收数据包。将接收到的ARP数据包交付给证书数据库进行验证,丢弃非法数据包,放行合法数据包。图5是网络准入控制方法中的用户端主机的数据包发送步骤的流程图。如图5所示,数据包发送步骤包括截获步骤S510,所述证书数据库截获待发送的ARP数据包;计算步骤S520,计算ARP数据包签名信息;填充步骤S530,当所述ARP数据包签名信息不是扩展ARP数据包时,填充扩展的主机和签名字段,获得扩展ARP数据包;以及发送步骤S540,发送所述扩展ARP数据包。图6是网络准入控制方法中的用户端主机的数据包接收步骤的流程图。如图6所示,数据包接收步骤包括接收步骤S610,所述用户端主机接收ARP数据包;第一判断步骤S620,对接收到的ARP数据包,判断是否是扩展ARP数据包;第二判断步骤S630,当通过所述第一判断步骤判断出所述ARP数据包不是扩展 ARP数据包时,进一步判断所述ARP数据包是否是网关ARP数据包,当是网关ARP数据包时, 进入所述交付步骤,否则进行丢弃。验证步骤S640,当通过所述第一判断步骤中判断出是所述扩展ARP数据包时,由所述证书数据库对数字签名是否合法进行验证;还原步骤S650,当通过所述验证步骤验证为合法的数字签名时,将所述扩展ARP 数据包还原为标准ARP数据包;以及交付步骤S660,将所述标准ARP数据包交付给所述用户端主机。丢弃步骤S670,当通过所述验证步骤验证为非法的数字签名时,丢弃所述扩展 ARP数据包。图7是本发明的基于数字签名的ARP扩展协议的网络准入控制系统的整体功能框图。如图7所示,网络准入控制系统包括签发模块710 签名服务器为用户端主机签发数字签名证书;下发模块720 将所述数字签名证书下发到所述用户端主机;以及扩展模块730 所述用户端主机使用所述数字签名证书扩展ARP协议进行网络通信。图8是在网络准入控制系统中用户端主机的扩展模块的一例框图,如图8所示,用户端主机400安装有代理程序,通过执行代理程序,该扩展模块包括生成模块810,所述用户端主机生成证书数据库,所述证书数据库用于存储、验证由所述签发服务器签发的所述数字签名证书;数据包发送模块820 用于所述用户端主机发送数据包,负责存储、验证由签名服务器签发的用户端主机的数字签名证书;数据包接收模块830 用于所述用户端主机接收数据包,将接收到的ARP数据包交付给证书数据库进行验证,丢弃非法数据包,放行合法数据包。图9是数据包发送模块的功能框图,如图9所示,所述数据包发送模块包括截获模块910,所述证书数据库截获待发送的ARP数据包;计算模块920,计算ARP数据包签名信息;填充模块930,当所述ARP数据包签名信息不是扩展ARP数据包时,填充扩展的主机和签名字段,获得扩展ARP数据包;以及发送模块940,发送所述扩展ARP数据包。图10是数据包接收模块的功能框图,如图10所示,数据包接收模块包括接收模块1010,所述用户端主机接收ARP数据包;第一判断模块1020,对接收到的ARP数据包,判断是否是扩展ARP数据包;第二判断模块1030,当通过所述第一判断模块判断出所述ARP 数据包不是扩展ARP数据包时,进一步判断所述ARP数据包是否是网关ARP数据包,当是网关ARP数据包时,进入交付块,否则进行丢弃验证模块1040,当通过所述第一判断模块判断出是所述扩展ARP数据包时,由所述证书数据库对数字签名是否合法进行验证;还原模块1050,当通过所述验证模块验证为合法的数字签名时,将所述扩展ARP数据包还原为标准ARP数据包;交付模块1060,将所述标准ARP数据包交付给所述用户端主机;丢弃模块 1070,当通过所述验证模块验证为非法的数字签名时,丢弃所述扩展ARP数据包。在TCP/IP网络中,如果两台主机要通信,则必须知道彼此的MAC地址,ARP协议就是被设计用来获取主机MAC地址的。可见,ARP协议是网络通信的第一关,本发明通过扩展 ARP协议来实现。网络准入的根本是要知道接入到网络中的主机的身份是否为可信任的,如果是可信任的就允许接入,否则不允许接入。通过数字签名技术可以对授信主机进行有效的确认。通过在授信主机上安装代理程序,修改主机通信协议栈的ARP协议部分,为ARP协议增加数字签名字段,这样就可以有效识别出授信主机与非授信主机的网络通信(非授信主机无数字签名信息或签名不合法),从而达到网络准入控制的目的。如上所述,对本发明的实施例进行了详细地说明,但是只要实质上没有脱离本发明的发明点及效果可以有很多的变形,这对本领域的技术人员来说是显而易见的。因此,这样的变形例也全部包含在本发明的保护范围之内。
权利要求
1.一种基于数字签名的ARP扩展协议的网络准入控制方法,包括以下步骤 签发步骤签名服务器为用户端主机签发数字签名证书;下发步骤将所述数字签名证书下发到所述用户端主机;以及扩展步骤所述用户端主机使用所述数字签名证书扩展ARP协议进行网络通信。
2.根据权利要求1所述的网络准入控制方法,其中,所述扩展步骤包括生成步骤,所述用户端主机生成证书数据库,所述证书数据库用于存储、验证由所述签发服务器签发的所述数字签名证书。
3.根据权利要求2所述的网络准入控制方法,所述扩展步骤还包括数据包发送步骤,用于所述用户端主机发送数据包,所述数据包发送步骤包括 截获步骤,所述证书数据库截获待发送的ARP数据包; 计算步骤,计算ARP数据包签名信息;填充步骤,当所述ARP数据包签名信息不是扩展ARP数据包时,填充扩展的主机和签名字段,获得扩展ARP数据包;以及发送步骤,发送所述扩展ARP数据包。
4.根据权利要求2所述的网络准入控制方法,所述扩展步骤还包括 数据包接收步骤,用于所述用户端主机接收数据包,所述数据包接收步骤包括 接收步骤,所述用户端主机接收ARP数据包; 第一判断步骤,对接收到的ARP数据包,判断是否是扩展ARP数据包; 验证步骤,当通过所述第一判断步骤中判断出是所述扩展ARP数据包时,由所述证书数据库对数字签名是否合法进行验证;还原步骤,当通过所述验证步骤验证为合法的数字签名时,将所述扩展ARP数据包还原为标准ARP数据包;以及交付步骤,将所述标准ARP数据包交付给所述用户端主机。
5.根据权利要求4所述的网络准入控制方法,其中,所述数据包接收步骤还包括 丢弃步骤,当通过所述验证步骤验证为非法的数字签名时,丢弃所述扩展ARP数据包。
6.根据权利要求3或4所述的网络准入控制方法,其中,所述数据包接收步骤还包括 第二判断步骤,当通过所述第一判断步骤判断出所述ARP数据包不是扩展ARP数据包时,进一步判断所述ARP数据包是否是网关ARP数据包,当是网关ARP数据包时,进入所述交付步骤,否则进行丢弃。
7.一种基于数字签名的ARP扩展协议的网络准入控制系统,包括 签发模块签名服务器为用户端主机签发数字签名证书;下发模块将所述数字签名证书下发到所述用户端主机;以及扩展模块所述用户端主机使用所述数字签名证书扩展ARP协议进行网络通信。
8.根据权利要求7所述的网络准入控制系统,其中,生成模块,所述用户端主机生成证书数据库,所述证书数据库用于存储、验证由所述签发服务器签发的所述数字签名证书。
9.根据权利要求8所述的网络准入控制系统,所述扩展模块还包括数据包发送模块,用于所述用户端主机发送数据包,所述数据包发送模块包括 截获模块,所述证书数据库截获待发送的ARP数据包;计算模块,计算ARP数据包签名信息;填充模块,当所述ARP数据包签名信息不是扩展ARP数据包时,填充扩展的主机和签名字段,获得扩展ARP数据包;以及发送模块,发送所述扩展ARP数据包。
10.根据权利要求7所述的网络准入控制系统,所述扩展模块还包括数据包接收模块,用于所述用户端主机接收数据包,所述数据包接收模块包括 接收模块,所述用户端主机接收ARP数据包; 第一判断模块,对接收到的ARP数据包,判断是否是扩展ARP数据包; 验证模块,当通过所述第一判断模块判断出是所述扩展ARP数据包时,由所述证书数据库对数字签名是否合法进行验证;还原模块,当通过所述验证模块验证为合法的数字签名时,将所述扩展ARP数据包还原为标准ARP数据包;以及交付模块,将所述标准ARP数据包交付给所述用户端主机。
11.根据权利要求10所述的网络准入控制系统,其中,所述数据包接收模块还包括 丢弃模块,当通过所述验证模块验证为非法的数字签名时,丢弃所述扩展ARP数据包。
12.根据权利要求9或10所述的网络准入控制系统,其中,所述数据包接收模块还包括第二判断模块,当通过所述第一判断模块判断出所述ARP数据包不是扩展ARP数据包时,进一步判断所述ARP数据包是否是网关ARP数据包,当是网关ARP数据包时,交付给所述用户端主机,否则进行丢弃。
全文摘要
本发明公开了一种网络准入控制方法及系统,该方法包括生成步骤S210签名服务器为用户端主机生成数字签名证书;下发步骤S220将所述数字签名证书下发到所述用户端主机;以及扩展步骤S230所述用户端主机使用所述数字签名证书扩展ARP协议进行网络通信。根据本发明的基于数字签名的ARP扩展协议的网络准入控制方法及系统,可以无需改变或追加硬件就可以可靠地完成企业内部网络的准入控制。
文档编号H04L12/28GK102315996SQ201110323859
公开日2012年1月11日 申请日期2011年10月21日 优先权日2011年10月21日
发明者张伟, 曾勇, 许元进 申请人:北京海西赛虎信息安全技术有限公司