本发明专利技术提出了一种网络访问控制的方法和系统,涉及网络传输安全技术领域。在移动办公终端受到严格的网络访问控制情况下,对终端的网络连接状态进行动态检测并根据所得到的相应检测状态能够让终端顺利通过Web和网关认证。本发明专利技术提供的方法,在保障设备的网络安全的同时,在复杂多变的网络环境下更兼容,可以提高网络访问控制的有效性,减少安全管理员的维护工作,也为设备的可访问网络资源提供支持和保障。
【技术实现步骤摘要】
一种网络访问控制的方法和系统
本专利技术涉及网络传输安全
,尤其涉及一种网络访问控制的方法和系统。
技术介绍
目前用户终端设备应用广泛,如用户上网浏览,日常办公,一般都安装微软操作系统(windows),这些操作系统支持用户自行安装和卸载任何软件,给系统的安全带来了很大的隐患,容易遭受隐藏在自行安装软件中的病毒或木马等攻击,办公系统属于单位的业务系统,涉及的数据是单位敏感数据,数据的泄露会带来安全威胁。为了让用户在自己使用的终端设备上可以随意地安装软件、上网浏览,又可以确保用户在使用办公系统时的安全,对用户终端设备进行网络访问控制的管理方法随之应用起来。然而随着安全要求向移动办公和更加复杂的网络环境的延伸,当前网络访问控制的方法和系统暴露出它的局限性。公告号为CN102594814B,公告日为2014.11.12的专利技术专利提供了一种“基于端末的网络访问控制系统”。该系统虽然实现根据用户身份进行网络认证以及服务端下发网络访问控制策略和端末的中间层数据包过滤,但却局限于局域网等简单网络环境中,没有考虑在复杂多变的移动网络环境中需要进行网络访问认证的情况。例如一个企业的移动安全办公系统,移动安全办公终端(笔记本)受移动安全办公服务端的严格管控,只有少数的可访问网络资源采用网络白名单机制通过服务端下发至移动安全办公终端(笔记本)。当终端在企业内网(专网)或简单英特网(无需Web和网关认证)环境中,该方法行之有效,但在某些复杂网络(需要Web和网关认证)环境,该方法的效果会大打折扣。例如,在机场等要求身份认证的无线网络环境中,移动安全办公终端(笔记本)需要访问网址www.abcd.com及其内容(该网址为可访问网络资源,即在网络白名单内)就必须先接入到机场无线网络,该网络的无线控制器会拦截HTTP请求并重定向至该网络的Web认证页面进行身份验证,然而,由于白名单严格的访问限制,该页面无法显示,使得移动安全办公终端(笔记本)对白名单内的网址www.abcd.com的正常访问受到限制,在此情况下甚至会导致移动安全办公终端与服务端的连接无法建立,影响网络访问控制的管理效果。因此,在复杂多变的网络环境中,既要保障网络访问控制的安全性和可靠性,又要尽可能的兼容网络,从而提高对网络访问控制的实效性。
技术实现思路
本专利技术提出了一种网络访问控制的方法和系统,在移动安全办公终端受到严格的网络访问控制情况下,对终端的网络连接状态进行动态检测并根据所得到的相应检测状态能够让终端顺利通过Web和网关认证。本专利技术技术方案的一种网络访问控制方法,内容包括:步骤1:网络连接状态的动态检测根据移动安全办公终端的本地网络设备状态信息、本地与域名解析服务器通信状态信息以及本地与互联网Web主机通信状态信息,进行动态的综合性检测,分析检测结果;步骤1.1:通过检测系统事件通知服务的消息,判断网络适配器是否启用,是则网络连接状态为网络适配器已使用,否则为网络适配器未使用;步骤1.2:通过与所在网络的DNS通信,解析某活动域名,判断DNS是否能正常返回该域名解析后的IP地址,是则网络连接状态为DNS可用,否则为DNS不可用;步骤1.3:通过访问互联网中活动的Web主机服务器获取资源内容,判断主机资源内容是否可以成功获取,是则网络连接状态为有互联网访问,否则为无互联网访问;步骤1.4:通过综合以上步骤,如果网络连接状态为网络适配器已使用且DNS可用且无互联网访问,则网络连接状态为HTTP被重定向,否则为HTTP未重定向;步骤2:Web和网关认证当网络连接状态检测为HTTP被重定向时,临时修改过滤规则并执行Web和网关认证,其他情况无需进行Web和网关认证;直到认证行为完成或有超时等异常出现,立即停止Web和网关认证,恢复过滤规则;步骤3:基于网络白名单的网络访问控制应用程序将预置的网络白名单即可访问的IP与网址解析为相应的过滤规则,内核驱动程序根据所述过滤规则对用户终端设备进行严格的网络访问控制,仅网络白名单内的地址为可访问,其他均被拦截阻断;所述方法应用于移动安全办公应用程序中,其中,移动安全办公应用程序包括安装在用户管理控制中心计算设备上的移动安全办公服务端,以及安装在用户终端设备上的移动安全办公终端,通过移动安全办公服务端实现对移动安全办公终端的统一管理以及网络白名单的维护和更新;所述的一种网络访问控制系统其特征包括,网络连接状态检测单元,Web和网关认证支持单元,网络访问控制单元;所述的网络连接状态检测单元,监听移动安全办公终端的本地网络设备状态信息、本地与域名解析服务器通信状态信息以及本地与互联网Web主机通信状态信息等,综合分析的检测结果为其他模块提供支持;所述的Web和网关认证支持单元,当网络连接状态检测为HTTP被重定向时,则执行Web和网关认证,与网络访问控制单元通信交互,临时修改过滤规则,并可通过浏览器打开认证页面提交其他登录信息,直到身份认证完成或超时,恢复过滤规则,停用Web和网关认证支持单元,等待下次网络连接状态检测单元的检测周期和认证周期;所述的网络访问控制单元,响应移动安全办公终端的网络访问请求,依据采用白名单机制所生成的过滤规则,对移动安全办公终端的网络资源访问进行严格控制,仅有过滤规则允许的资源可以成功访问,网络访问控制单元作为系统的基础依托功能模块,随终端系统的启用同步运行。本专利技术与现有技术相比,具有以下明显的优势和有益效果:基于本专利技术上述内容提供的一种网络访问控制的方法和系统,采用白名单机制规定可访问的网络资源并据此生成过滤规则,终端的网络访问根据该过滤规则受到严格的控制;根据设备的本地网络设备状态信息、本地与域名解析服务器通信状态信息以及本地与互联网Web主机通信状态信息等多种网络状态信息,进行综合性动态检测;当检测出的网络连接状态为HTTP被重定向时,临时修改网络访问控制的过滤规则,用以支持Web和网关认证,待认证完成或认证超时即恢复过滤规则,确保对用户终端设备的网络访问控制效果。本专利技术提供的方法,在保障设备的网络安全的同时,在复杂多变的网络环境下更兼容,可以提高网络访问控制的有效性,减少安全管理员的维护工作,也为设备的可访问网络资源提供支持和保障。附图说明图1一种网络访问控制方法的一种实施例示意图;图2一种网络访问控制系统的一种实施例示意图;图3一种网络访问控制方法的的流程示意图。具体实施方式下面将结合本专利技术实施例中的示意图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置不限制本专利技术的范围。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本专利技术及其应用或使用的任何限制。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。对于相关领域普通技术人员已知的技术、方法和系统可能不作详细讨论,但在适当情况下,所述技术、方法和系统应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。本专利技术实施本文档来自技高网...
【技术保护点】
一种网络访问控制的方法和系统,其特征在于包括如下步骤:步骤1:网络连接状态的动态检测根据移动安全办公终端的本地网络设备状态信息、本地与域名解析服务器通信状态信息以及本地与互联网Web主机通信状态信息,进行动态的综合性检测,分析检测结果;步骤1.1:通过检测系统事件通知服务的消息,判断网络适配器是否启用,是则网络连接状态为网络适配器已使用,否则为网络适配器未使用;步骤1.2:通过与所在网络的DNS通信,解析某活动域名,判断DNS是否能正常返回该域名解析后的IP地址,是则网络连接状态为DNS可用,否则为DNS不可用;步骤1.3:通过访问互联网中活动的Web主机服务器获取资源内容,判断主机资源内容是否可以成功获取,是则网络连接状态为有互联网访问,否则为无互联网访问;步骤1.4:通过综合以上步骤,如果网络连接状态为网络适配器已使用且DNS可用且无互联网访问,则网络连接状态为HTTP被重定向,否则为HTTP未重定向;步骤2:Web和网关认证当网络连接状态检测为HTTP被重定向时,临时修改过滤规则并执行Web和网关认证,其他情况无需进行Web和网关认证;直到认证行为完成或有超时等异常出现,立即停止Web和网关认证,恢复过滤规则;步骤3:基于网络白名单的网络访问控制应用程序将预置的网络白名单即可访问的IP与网址解析为相应的过滤规则,内核驱动程序根据所述过滤规则对用户终端设备进行严格的网络访问控制,仅网络白名单内的地址为可访问,其他均被拦截阻断;所述方法应用于移动安全办公应用程序中,其中,移动安全办公应用程序包括安装在用户管理控制中心计算设备上的移动安全办公服务端,以及安装在用户终端设备上的移动安全办公终端,通过移动安全办公服务端实现对移动安全办公终端的统一管理以及网络白名单的维护和更新;所述的一种网络访问控制系统其特征包括,网络连接状态检测单元,Web和网关认证支持单元,网络访问控制单元;所述的网络连接状态检测单元,监听移动安全办公终端的本地网络设备状态信息、本地与域名解析服务器通信状态信息以及本地与互联网Web主机通信状态信息等,综合分析的检测结果为其他模块提供支持;所述的Web和网关认证支持单元,当网络连接状态检测为HTTP被重定向时,则执行Web和网关认证,与网络访问控制单元通信交互,临时修改过滤规则,并可通过浏览器打开认证页面提交其他登录信息,直到身份认证完成或超时,恢复过滤规则,停用Web和网关认证支持单元,等待下次网络连接状态检测单元的检测周期和认证周期;所述的网络访问控制单元,响应移动安全办公终端的网络访问请求,依据采用白名单机制所生成的过滤规则,对移动安全办公终端的网络资源访问进行严格控制,仅有过滤规则允许的资源可以成功访问,网络访问控制单元作为系统的基础依托功能模块,随终端系统的启用同步运行。...
【技术特征摘要】
1.一种网络访问控制的方法,其特征在于,包括如下步骤:步骤1:网络连接状态的动态检测根据移动安全办公终端的本地网络设备状态信息、本地与域名解析服务器通信状态信息以及本地与互联网Web主机通信状态信息,进行动态的综合性检测,分析检测结果;步骤1.1:通过检测系统事件通知服务的消息,判断网络适配器是否启用,是则网络连接状态为网络适配器已使用,否则为网络适配器未使用;步骤1.2:通过与所在网络的DNS通信,解析某活动域名,判断DNS是否能正常返回该域名解析后的IP地址,是则网络连接状态为DNS可用,否则为DNS不可用;步骤1.3:通过访问互联网中活动的Web主机服务器获取资源内容,判断主机资源内容是否可以成功获取,是则网络连接状态为有互联网访问,否则为无互联网访问;步骤1.4:通过综合以上步骤,如果网络连接状态为网络适配器已使用且DNS可用且无互联网访问,则网络连接状态为HTTP被重定向,否则为HTTP未重定向;步骤2:Web和网关认证当网络连接状态检测为HTTP被重定向时,临时修改过滤规则并执行Web和网关认证,其他情况无需进行Web和网关认证;直到认证行为完成或有超时异常出现,立即停止Web和网关认证,恢复过滤规则;步骤3:基于网络白名单的网络访问控制应用程序将预置的网络白名单即可访问的IP与网址解析为相应的过滤规则,内核驱动程序根据所述过滤规则对用户终端设备进行严格的网络访问控制,仅网络白名单内的地址为可访问,其...
【专利技术属性】
技术研发人员:张建标,柴锐,阎林,林莉,刘燕辉,
申请(专利权)人:北京工业大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。