一種主機接入控制系統及方法

專利名稱：一種主機接入控制系統及方法
技術領域：
本發明涉及網絡安全領域，特別是涉及一種主機接入控制系統及方法。
背景技術：
隨著計算機網絡在政府和企事業單位應用的高速發展，內網安全越來越受到重 視，特別是對主機接入控制越來越高。目前對主機接入控制普遍采用基于ARP(AddreSS Resolution ProtocolS^Cile^STNAC(NetworkAdmission control) *。現有基于ARP欺騙的技術方案中主機接入控制系統的結構圖參見圖1所示，該系 統由GUI管理模塊、抓包模塊、分析模塊和阻斷模塊組成。GUI管理模塊負責與用戶進程交 互，包括登錄認證、主機策略(主機白名單)管理等；抓包模塊采用PCAP開發包的抓包方法 負責對ARP協議數據包的抓取，把抓取結果送給分析模塊進行分析處理；分析模塊負責對 ARP協議數據包的解碼分析，把解碼結果送給阻斷模塊；阻斷模塊根據⑶I管理模塊送來的 主機白名單策略和分析模塊送來的ARP包進行邏輯判斷，對非法接入主機的發送ARP欺騙 包，從而達到對主機的非法接入行為進行阻斷的目的。基于ARP欺騙技術的主機接入控制系統存在如下缺點對部署了 ARP防火墻的主機接入無法阻斷目前出現不少的個人版ARP防火墻系統，這些系統可以配置IP地址與MAC地址的 綁定策略，防止ARP欺騙。對部分三層交換機不起作用目前，大部分三層交換機具有IP/MAC綁定功能，能對ARP欺騙包進行過濾。現有基于CISCO的NAC技術方案中接入控制系統的拓撲圖參見圖2所示，該系統 主要由支持802. IX協議的交換機、策略服務器以及部署了 NAC客戶端軟件的主機所組成， 其中交換機通過802. IX協議對主機的訪問進行認證，只有認證通過的主機才能接入網絡； 其中策略服務器用于配置接入控制策略，交換機通過TFTP協議與策略服務器進行通信，獲 得策略清單。基于CISCO的NAC技術方案的主機接入控制系統存在如下缺點該技術方案只有支持802. IX的交換機才能使用，對于大部分的老式交換機和集 線器無能為力；客戶端只能部署NAC客戶端軟件才能與支持802. IX的交換機進行接入認證，目前 對于WINDOWS家庭來說只有WIN7默認自帶NAC客戶端。綜上，現有技術的安全性和通用性存在缺陷，無法有效阻斷主機非法接入內網的 行為。

發明內容
本發明提供了一種主機接入控制系統及方法，用以解決現有技術無法有效防止非 法主機接入內網的問題。
本發明的一種主機接入控制方法，包括下列步驟發送方代理客戶端判斷目標主 機是否在防火墻白名單策略中，若是，則直接發出數據包，否則，加密數據包之后再發出；接 收方代理客戶端判斷源主機是否在防火墻白名單策略中，若是，則直接接收數據包，否則， 解密數據包之后再接收。本發明的一種主機接入控制系統，包括發送方代理客戶端，用于判斷目標主機是 否在防火墻白名單策略中，若是，則直接發出數據包，否則，加密數據包之后再發出；接收方 代理客戶端，用于判斷源主機是否在防火墻白名單策略中，若是，則直接接收數據包，否則， 解密數據包之后再接收。本發明有益效果如下由于本發明安全內網中的合法主機之間通過統一管理的密鑰加解密傳輸數據或 者通過防火墻白名單策略傳輸數據，所以解決了針對普通主機接口控制系統的局限性，是 一套通用性、安全性、可控性和可擴展性較強的主機接入控制的解決方案。


圖1為現有基于ARP欺騙的技術方案中主機接入控制系統的結構圖；圖2為現有基于CISCO的NAC技術方案中主機接入控制系統的拓撲圖；圖3為本發明實施例中的系統拓撲結構圖；圖4為本發明實施例中的模塊化系統邏輯結構圖；圖5為本發明實施例中的方法步驟流程圖；圖6為本發明實施例中的控制中心應用層數據包處理流程圖；圖7為本發明實施例中的NDIS層過濾驅動工作原理圖。
具體實施例方式為了有效阻斷主機非法(未授權)接入安全內網的行為，本發明提供了一種主機 接入控制系統及方法，以下詳細說明。本發明實施例中的系統拓撲結構，參見圖3所示，可采用C/S體系結構，其包括若 干包含代理客戶端的代理主機，進一步由控制中心管理各代理主機。控制中心負責對代理 主機的監控管理和主機策略的管理，代理主機通過代理客戶端(可通過代理主機軟件實 現，以下不再贅述)與控制中心進行通信，接收來自控制中心的動態加密鑰、主機白名單策 略、防火墻策略。更為具體的，發送方代理客戶端，用于判斷目標主機是否在防火墻白名單策略中， 若是，則直接發出數據包，否則，加密數據包之后再發出；接收方代理客戶端，用于判斷源主 機是否在防火墻白名單策略中，若是，則直接接收數據包，否則，解密數據包之后再接收。通過控制中心的主機白名單策略實現對代理主機的安裝、注冊和登錄認證進行控制，只有策略允許的主機方可成功安裝代理主機軟件。發送方代理客戶端和接收方代理客戶端加解密所用的密鑰由控制中心統一生成， 登錄成功后從控制中心獲得密鑰，基于加密強度和性能的權衡考慮，加解密采用RC4流加 解密算法，密鑰長度為256。發送方代理客戶端和接收方代理客戶端所用的防火墻白名單策 略也是在發送方代理客戶端和接收方代理客戶端登錄控制中心后，由控制中心下發。
可見，對于部署了代理軟件的主機可以互相通信，可稱為可信主機，對于沒有部署 代理軟件的主機因為其發出的數據包或接收的數據包沒有加解密所以無法與可信主機進 行通信，從而實現非法主機的接入控制。另外，對于無法部署代理主機軟件的服務器或主機 (例如網關設備、其它網絡設備或其它非WINDOWS平臺的主機或服務器)，可將該主機加入 到防火墻白名單例外策略，該策略記錄有不包含代理主機軟件的合法主機的IP地址或MAC 地址，對這些主機的網絡通信數據包將不做加/解密處理，從而提高本系統的兼容性和適 應能力。本發明實施例中的系統邏輯結構，參見圖4所示，由控制中心和部署在代理主機 的代理主機軟件所組成，下面介紹各組成部分的詳細情況控制中心作為本系統的總控中心，由主服務程序、COM組件和TOB程序三部分組 成。WEB程序作為與用戶交互部分用戶的部分操作事件通過COM組件通知主服務程
序。COM組件作為TOB程序與主服務程序的中間橋梁，把TOB的事件通知送給主服務程 序，再把主服務程序的處理結果返回給WEB程序。主服務程序作為控制中心的核心的部分，由服務程序主模塊、策略管理模塊、通信 模塊、COM接口模塊和日志模塊等組成。其中服務程序主模塊作為總調度模塊；策略管理模 塊負責管理主機白名單策略、防火墻白名單、主機防火墻策略、動態密鑰策略等；通信模塊 負責與代理主機軟件進行通信，包括參數和策略的下發和日志的接收等；COM接口模塊負 責處理來自COM組件的事件；日志模塊負責處理系統的監控日志。代理主機軟件中包括通信模塊，用于與控制中心通信，發起注冊、登錄流程，以及 接收下發的防火墻白名單策略和加解密密鑰等。服務程序主模塊作為總調度模塊。防火墻 模塊是核心功能模塊，用于實現對網絡數據包的加解密，具體可采用基于WINDOWS網絡驅 動程序接口規范(NDIS)開發的網絡驅動過濾程序，該驅動過濾程序實現了對網絡數據包 有針對性的加/解密處理。參見圖5所示，本發明實施例中的方法包括下列主要步驟Si、發送方代理客戶端判斷目標主機是否在防火墻白名單策略中，若是，則直接發 出數據包，否則，加密數據包之后再發出。S2、接收方代理客戶端判斷源主機是否在防火墻白名單策略中，若是，則直接接收 數據包，否則，解密數據包之后再接收。更為具體的，控制中心的主機白名單策略實現對代理主機的安裝和登錄認證進行 控制，只有策略允許的主機方可安裝代理主機軟件。參見圖6所示，控制中心與代理主機通 信采用TCP方式，控制中心作為監聽端，代理主機作為連接的發起端，其中控制中心應用層 數據包處理流程如下控制中心接收并緩沖主機發來的請求；之后處理該請求的數據包。 若為登錄認證包，則從登錄認證包中取得發起端主機的MAC信息；根據主機白名單策略判 斷該主機是否合法，若合法，則構造合法響應包，并錄入發送隊列等待處理，否則構造非法 響應包，并錄入發送隊列等待處理。若為注冊請求包，則從注冊請求包中取得發起端主機的 MAC信息；根據主機白名單策略判斷該主機是否合法，若合法，則構造合法響應包，并錄入 發送隊列等待處理，否則構造非法響應包，并錄入發送隊列等待處理。若為其它類型包，則從其它類型包中取得發起端主機的MAC信息；判斷是否登陸或注冊是否超時，若是，則構造 非法響應包，并錄入發送隊列等待處理，否則，將該請求返回緩沖區等待該主機成功注冊或登錄。 上述加解密密鑰由控制中心統一生成，主機登錄成功后可從控制中心獲得密鑰， 基于加密強度和性能的權衡考慮，加解密采用RC4流加解密算法，密鑰長度為256。具體可 采用基于WINDOWS網絡驅動程序接口規范(NDIS)開發的網絡驅動過濾程序，該驅動過濾程 序實現了對網絡數據包有針對性的加/解密處理。上述防火墻白名單策略也是在發送方代 理客戶端和接收方代理客戶端登錄控制中心后，由控制中心下發。具體NDIS層過濾驅動工 作原理，參見圖7所示，發送流程如下待發送的數據包進入發送隊列；從IP包中取得目標 IP地址和MAC地址；根據防火墻白名單策略判斷目標IP地址或MAC地址是否為例外，若是， 則直接發送，否則加密數據包后再發送。接收流程如下待接收的數據包進入接收隊列；從 IP包中取得源IP地址和MAC地址；根據防火墻白名單策略判斷源IP地址或MAC地址是否 為例外，若是，則直接接收，否則解密處理后再接收。可見，對于部署了代理軟件的主機可以互相通信，可稱為可信主機，對于沒有部署 代理軟件的主機因為其發出的包或接收的包沒有加解密所以無法與可信主機進行通信，從 而實現非法主機的接入控制。另外，對于無法部署代理主機軟件的服務器或主機(例如網 關設備、其它網絡設備或其它非WINDOWS平臺的主機或服務器)，可將該主機加入到防火墻 白名單例外策略，該策略記錄有不包含代理主機軟件的合法主機的IP地址或MAC地址，對 這些主機的網絡通信數據包將不做加/解密處理，從而提高本系統的兼容性和適應能力。綜上，本發明解決了針對普通主機接口控制系統的局限性，提供了一套通用性、安 全性、可控性和可擴展性較強的主機接入控制的解決方案。通用性既適應于采用傳統網絡互聯設備(如HUB、老式交換機等)的局域網環 境，又適合采用先進(如三層交換機)環境，故整體適應性較強。安全性對可信主機的通信數據包進行加/解密處理，使用不管非法主機如何接 入都無法訪問安全局域網中的任何一臺主機，故安全性較高。可控性本系統可對代理主機的安裝和登錄認證進行授權，故可控性較高。可擴展性目前桌面主機操作系統大部分還是微軟的WINDOWS系統，隨著LINUX桌 面平臺的發展(如UBUNTU等)，今后將有部分桌面主機采用LINUX操作系統，為了使安裝 LINUX操作系統的終端主機也安全接入到本系統，則可利用LINUX平臺的Netfilter防火墻 技術開發相應的代理軟件，功能和WINDOWS平臺相同，故本技術方案具有較強的可擴展性。顯然，本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精 神和范圍。這樣，倘若本發明的這些修改和變型屬于本發明權利要求及其等同技術的范圍 之內，則本發明也意圖包含這些改動和變型在內。
權利要求
一種主機接入控制方法，其特征在于，包括下列步驟發送方代理客戶端判斷目標主機是否在防火墻白名單策略中，若是，則直接發出數據包，否則，加密數據包之后再發出；接收方代理客戶端判斷源主機是否在防火墻白名單策略中，若是，則直接接收數據包，否則，解密數據包之后再接收。
2.如權利要求1所述的主機接入控制方法，其特征在于，控制中心通過主機白名單控 制網內合法主機中的代理客戶端的注冊和登錄。
3.如權利要求2所述的主機接入控制方法，其特征在于，所述發送方代理客戶端和接 收方代理客戶端加解密所用的密鑰由控制中心統一生成，并在登錄后下發。
4.如權利要求1所述的主機接入控制方法，其特征在于，所述防火墻白名單策略中記 錄有不包含代理客戶端的合法主機的IP地址或MAC地址。
5.如權利要求1所述的主機接入控制方法，其特征在于，所述判斷是否在防火墻白名 單策略中的過程以及加解密的過程通過基于WINDOWS網絡驅動程序接口規范開發的網絡 驅動過濾程序實現。
6.一種主機接入控制系統，其特征在于，包括發送方代理客戶端，用于判斷目標主機是否在防火墻白名單策略中，若是，則直接發出 數據包，否則，加密數據包之后再發出；接收方代理客戶端，用于判斷源主機是否在防火墻白名單策略中，若是，則直接接收數 據包，否則，解密數據包之后再接收。
7.如權利要求6所述的主機接入控制系統，其特征在于，還包括控制中心，用于通過主機白名單控制網內合法主機中的代理客戶端的注冊和登錄。
8.如權利要求7所述的主機接入控制系統，其特征在于，所述發送方代理客戶端和接 收方代理客戶端加解密所用的密鑰由控制中心生成，并在登錄后下發。
9.如權利要求7所述的主機接入控制系統，其特征在于，所述防火墻白名單策略在發 送方代理客戶端和接收方代理客戶端登錄控制中心后，由控制中心下發。
10.如權利要求6或9所述的主機接入控制系統，其特征在于，所述防火墻白名單策略 中記錄有不包含代理客戶端的合法主機的IP地址或MAC地址。
全文摘要
本發明公開了一種主機接入控制系統及方法，涉及網絡安全領域，用以解決現有技術無法有效防止非法主機接入內網的問題。方法包括發送方代理客戶端判斷目標主機是否在防火墻白名單策略中，若是，則直接發出數據包，否則，加密數據包之后再發出；接收方代理客戶端判斷源主機是否在防火墻白名單策略中，若是，則直接接收數據包，否則，解密數據包之后再接收。系統包括發送方代理客戶端和接收方代理客戶端。由于本發明安全內網中的合法主機之間通過統一管理的密鑰加解密傳輸數據或者通過防火墻白名單策略傳輸數據，所以解決了針對普通主機接口控制系統的局限性，是一套通用性、安全性、可控性和可擴展性較強的主機接入控制的解決方案。
文檔編號H04L9/08GK101820414SQ201010104940
公開日2010年9月1日 申請日期2010年1月29日 優先權日2010年1月29日
發明者柯宗慶, 柯宗貴 申請人:藍盾信息安全技術股份有限公司