一种远程主机接入的控制方法
【专利摘要】本发明公开了一种远程主机接入的控制方法,该方法在传统的VPN客户端和服务端加上对远程主机进行合法性检查和身份验证的功能,传输的数据由驱动层转化为IP包后,不会直接发出去,而是先把IP包加密,再进行主机合法性检查,然后加入收集到的主机的身份信息,再和服务端的数据库进行比较验证,如果验证成功则把加密的IP包和一些必要的交换验证数据一起通过驱动层,再一次发送到物理网络中去。如果网络中存在未验证的主机的话,接收到加密后的IP数据包都不能解密,即不能接入内网,但是如果存在验证成功的主机,则可以进行解密,实现网络通信,通过本发明做到远程主机能跨外网接入,对通信数据进行加密,从而实现了高强度验证的远程主机接入的目的。
【专利说明】一种远程主机接入的控制方法
【技术领域】
[0001] 本发明涉及网络安全【技术领域】,尤其涉及一种远程主机接入的控制方法。
【背景技术】
[0002] 当前随着企业信息化程度越来越高,IP网络的建设也在企业当中越来越深入,几 乎在企业的任何地方人们都可以通过网线或无线网将终端远程接入到企业网中,实现信息 的获取或传送。但是由于以太网的特性决定了这些终端在接入到网络中是没有经过任何身 份认证的,由此会带来巨大的安全隐患。
[0003] 现有的远程主机接入方法是先要检查主机的合法性,包括接入的帐号是否异常, 有无安装违规软件和有无安装杀毒软件等,然后再进行主机身份验证,包括验证主板信息, CPU型号,硬盘序列号,网卡MAC地址,IP地址,终端主机名等,验证成功后就可以连接入内 网,过程简单。但是上述方法有缺点,由于以太网的特性决定了内网是明文传输数据的,并 且只能在内网传输,不能跨外网传输,所以该方法不能保证数据的安全性,也不能跨外网接 入。
[0004] 另外一种远程主机接入的方法是通过VPN接入,VPN可以跨外网组建一个虚拟的 局域网,并且通信可以加密,这样可以保证数据的安全性。但是通过VPN接入,只能验证账 号和密码,不能对远程主机进行合法性检查和身份验证,验证过程过于简单。
【发明内容】
[0005] 本发明为了解决现有技术中远程主机接入验证简单的缺点或不足,采用了合法性 检查和身份验证的方法,通过虚拟物理网络传输,实现从外网进行高强度验证的远程主机 接入的目的。
[0006] 一种远程主机接入的控制方法,包括下列步骤:
[0007] 客户端传输的数据从应用层到达驱动层被拦截,由驱动层转化为IP包并把IP包 加密,进行主机合法性检查;然后加入收集到的主机的身份信息,再和服务端的数据库进行 比较验证;如果验证成功则把加密的IP包和一些必要的交换验证数据一起通过驱动层,再 一次发送到物理网络中去;网络中如果存在未验证的主机,接收到加密后的IP数据包不能 解密,即不能接入内网,如果存在验证成功的主机,则进行解密,实现网络通信,并且这个过 程对操作系统是透明的,操作系统并不知道底层如何实现。
[0008] 在该方法中进行主机合法性检查,包括接入的帐号是否异常,有无安装违规软件 和有无安装杀毒软件。主机的身份信息,包括主板信息,CPU型号,硬盘序列号,网卡MAC地 址,IP地址,终端主机名。
[0009] 本发明技术方案带来的有益效果:相比现有的技术方案,本方法的验证接入过程 更加可靠稳定,而且在网络传输的过程中加密,数据的安全性更加有保障,并且通过虚拟物 理网络传输,欺骗操作系统,实现从外网进行远程验证接入,不限于内网使用等优点。
【专利附图】
【附图说明】
[0010] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以 根据这些附图获得其它的附图。
[0011] 图1是现有技术中远程主机接入的方法架构图;
[0012] 图2是本发明的远程主机接入的方法架构图;
[0013] 图3是现有技术中两个客户端通信的方法架构图;
[0014] 图4是本发明的实施例中两个客户端通信的方法架构图。
【具体实施方式】
[0015] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。
[0016] 本发明方法针对现有技术的优缺点,在传统的VPN客户端和服务端加上对远程主 机进行合法性检查和身份验证的功能,做到远程主机可以跨外网接入,和对通信数据进行 加密,从而实现了高强度验证的远程主机接入的目的。
[0017] 如图1所示为现有技术中远程主机接入的方法架构图,现有的远程主机接入方法 是在客户端接入到内部网络的时候,客户端的主机接入程序检查和收集本机的信息,比如 先要检查主机的合法性,包括接入的帐号是否异常,有无安装违规软件和有无安装杀毒软 件等,然后再收集主机的身份信息,包括主板信息,CPU型号,硬盘序列号,网卡MAC地址,IP 地址,终端主机名等,再和服务端的数据库进行比较验证,如果验证成功,则允许客户端接 入内网,内网中验证成功的主机可以进行通信,验证不成功的主机不能接入内网。
[0018] 如图2所示为本发明的方法架构图,在现有的远程主机接入方法的基础上,把VPN 的实现流程增加到本发明方法中。在客户端访问网络的时候,传输的数据会由驱动层转化 为IP包发出去,实现网络访问。但是由于以太网的特性决定了内网是明文传输数据的,并 且只能在内网传输,不能跨外网传输,所以传统的网络接入有缺陷。
[0019] 本发明方法中,传输的数据由驱动层转化为IP包后,不会直接发出去,而是先把 IP包加密,再进行主机合法性检查,包括接入的帐号是否异常,有无安装违规软件和有无安 装杀毒软件等,然后加入收集到的主机的身份信息,包括主板信息,CPU型号,硬盘序列号, 网卡MAC地址,IP地址,终端主机名等,再和服务端的数据库进行比较验证,如果验证成功 则把加密的IP包和一些必要的交换验证数据一起通过驱动层,再一次发送到物理网络中 去。如果网络中存在未验证的主机的话,就算接收到加密后的IP数据包都不能解密,即不 能接入内网,但是如果存在验证成功的主机,则可以进行解密,实现网络通信,并且这个过 程对操作系统是透明的,操作系统并不知道底层如何实现。
[0020] 这样就能够在现有的远程主机接入方法的基础上实现虚拟的局域网来传输数据, 并且是加密和可以跨外网的。
[0021] 以上就是本发明的方法流程和技术要点,下面举例说明现有技术和本发明方法中 远程主机接入方案的两个客户端是如何通信的,以此可以比较出本发明方法的优越性。
[0022] 如图3所示,现有的远程主机接入方案中,客户端A的应用层数据先会经过接入检 查来确定合法性,然后通过驱动层打包,再发送到网络,当客户端B的驱动层接收到数据包 后就会进行解包,解包后的数据通过合法性检查之后,就会送上应用层继续处理。
[0023] 如图4所示,在本发明方法的实施例中,客户端A发送的数据从应用层到达驱动层 后就会被拦截,把整个数据包加密后,再经过合法性检查,然后加入一些自定义数据,就可 以发往驱动层进行打包,再发送到网络中去,客户端B的驱动层接收到数据包后,就把自定 义数据和加密的数据包解包出来,经过接入检查后,就进行解密,把原始的数据包解密出来 发往驱动层,驱动层再把原始数据发往应用层,客户端B的驱动层会误以为这个原始的数 据包是从客户端A的驱动层直接传输过来的,欺骗了操作系统,所以就可以实现跨外网的 虚拟局域网传输。
[0024] 以上对本发明实施例所提供的一种远程主机接入的控制方法进行了详细介绍,本 文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于 帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思 想,在【具体实施方式】及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对 本发明的限制。
【权利要求】
1. 一种远程主机接入的控制方法,其特征在于,包括下列步骤: 客户端传输的数据从应用层到达驱动层被拦截,由驱动层转化为IP包并把IP包加密, 进行主机合法性检查; 然后加入收集到的主机的身份信息,再和服务端的数据库进行比较验证; 如果验证成功则把加密的IP包和一些必要的交换验证数据一起通过驱动层,再一次 发送到物理网络中去; 网络中如果存在未验证的主机,接收到加密后的IP数据包不能解密,即不能接入内 网,如果存在验证成功的主机,则进行解密,实现网络通信,并且这个过程对操作系统是透 明的,操作系统并不知道底层如何实现。
2. 根据权利要求1所述的方法,其特征在于,进行主机合法性检查,包括接入的帐号是 否异常,有无安装违规软件和有无安装杀毒软件。
3. 根据权利要求1所述的方法,其特征在于,主机的身份信息,包括主板信息,CPU型 号,硬盘序列号,网卡MAC地址,IP地址,终端主机名。
4. 根据权利要求1所述的方法,其特征在于,该方法中的客户端之间通信流程如下: 发送方的客户端发送的数据从应用层到达驱动层后就会被拦截,把整个数据包加密后,再 经过合法性检查,然后加入一些自定义数据,就可以发往驱动层进行打包,再发送到网络中 去,接收方的客户端的驱动层接收到数据包后,就把自定义数据和加密的数据包解包出来, 经过接入检查后,就进行解密,把原始的数据包解密出来发往其驱动层,驱动层再把原始数 据发往应用层,接收方的客户端的驱动层会误以为这个原始的数据包是从发送方的客户端 的驱动层直接传输过来的,欺骗了操作系统,实现跨外网的虚拟局域网传输。
【文档编号】H04L29/06GK104065660SQ201410299627
【公开日】2014年9月24日 申请日期:2014年6月27日 优先权日:2014年6月27日
【发明者】杨育斌, 柯宗贵, 梁永秋 申请人:蓝盾信息安全技术有限公司