本发明专利技术涉及一种内网终端准入控制方法,所述方法由与核心交换机连接的准入控制网关和安装在终端设备上的安全检查助手实现。首先由准入控制网关从捕获的网络数据包中获取网络会话的源IP和目的IP地址;然后向目的IP地址发送断开会话数据包,结束原有网络会话;最后通过网关控制端口向源IP设备发送会话重定向数据包,使源IP地址的终端设备所有的网络访问行为重定向指定的地址,强制其只能访问指定的网络资源,使未进行入网注册或未通过所述安全检查助手进行的安全检查的终端设备无法使用内网资源。本发明专利技术可以实现对终端设备入网的有效控制,规范内网终端设备的安全配置水平,提升内网安全管理力度和安全防护能力,大大降低管理工作量。
【技术实现步骤摘要】
本专利技术属于信息安全领域,涉及。
技术介绍
当前,中国国内针对终端设备(如计算机)内网准入控制安全管理问题进行了深入研究。经查阅相关资料发现,现有的内网准入控制方法普遍采用基于Arp欺骗、基于交换机端口(如 8O2.1X 认证)或基于 DHCP (Dynamic Host Configurat1n Protocol,动态主机配置协议)等控制授权手段。但是原有的控制方式都存在着一定的局限性。目前很多安全软件都具备Arp防火墙功能,能够抵御Arp欺骗,使得基于Arp欺骗技术准入控制功能失效。802.1X协议认证采用基于端口认证的方式,如果终端设备和认证交换机中间采用了共享设备,则存在一台终端设备认证通过,其他共享设备均可访问网络问题。另一种基于端口认证的方式是通过交换机采集新终端,提取终端的唯一标识,将终端与交换机的端口关联;将唯一标识与准入数据库的MAC地址比对,进行判断,但这种方式存在MAC伪造的可能性。基于DHCP服务器以及终端准入控制方法,通过DHCP服务器对IP资源池中的内网IP进行管理,有效分配IP的使用。虽然通过对内网中合法的客户端预先进行处理,使用非对称加密对二者直接的传输内容进行加密,有效地防止了伪MAC地址欺骗风险,但是采用DHCP服务器对内网中终端设备IP地址进行动态分配,无法满足内网中每个客户端具备的固定IP的要求,不便于进行内网安全管理。
技术实现思路
针对现有技术中存在的上述问题,本专利技术提出,通过网络数据监听、会话劫持、身份认证和安全性检查等主动式网络安全管理技术,实现对终端设备(如终端计算机)接入内网进行认证和安全检查,控制终端设备的访问权限,有效限制不可信、非安全终端设备对内网资源的访问,从而达到保护网络及终端设备安全的目的。为实现上述目的,本专利技术采取如下技术手段。—种内网终端准入控制方法,由采用镜像方式与核心交换机连接的准入控制网关和安装在终端设备上的安全检查助手实现。其特征在于,所述准入控制方法包括以下步骤:首先由所述准入控制网关从捕获的网络数据包中获取网络会话的源IP和目的IP地址;然后向目的IP地址发送断开会话数据包,结束原有网络会话;最后通过网关控制端口向源IP设备发送会话重定向数据包,使得源IP地址的终端设备所有的网络访问行为重定向指定的地址,强制其只能访问指定的网络资源,使未进行入网注册或未通过所述安全检查助手进行的安全检查的终端设备无法使用内网资源。进一步地,所述安全检查助手进行的安全检查包括:对准备入网的终端设备进行安全检查,对已入网的终端设备进行定期安全检查。检查终端设备的安全配置是否符合入网条件,并将检查结果上报准入控制网关。所述安全配置内容包括:补丁安装,杀毒软件安装,账户口令设定,应用安装。进一步地,所述网络访问行为重定向通过访问白名单和灰名单实现,所述白名单中的设备为已注册且通过安全检查的设备和设置为保护的设备,所述灰名单中的设备为已注册但未通过安全检查的设备。具体方法如下:所述准入控制网关根据源IP地址查找白名单和灰名单。如果所述源IP地址的终端设备不在白名单但在灰名单中,将其网络访问重定向至修复区,对所述终端设备进行安全修复;如果所述源IP地址的终端设备既不在白名单中,也不在灰名单中,则进行身份验证。如果未通过验证,则对其进行重定向处理,重定向到注册向导页;如果通过验证,则将其列入白名单。如果所述终端设备为保护设备,不进行身份验证,由所述准入网关将其直接列入白名单作保护标记,直接放行所述保护设备的网络访问行为。优选地,所述准入控制网关对白名单中的设备进行身份验证和安全检查,将未通过身份验证的设备从白名单中剔除,将未通过安全检查的设备加入灰名单。 进一步地,所述身份验证方法包括以下步骤:所述准入控制网关随机产生一个字符串,对所述字符串进行SM4加密运算后发送给源IP地址的终端设备;如果所述终端设备已入网注册,则所述终端设备上安装的安全检查助手在接到所述发送的加密数据包后,解密所述数据包取得字符串;所述安全助手对所述解密的字符串进行事先约定的逻辑运算,然后重新进行SM4加密运算,并发送给所述准入控制网关;所述准入控制网关接收到所述加密数据包后,解密所述数据包,取得经逻辑运算后的字符串。将该字符串与所述准入控制网关随机产生的字符串进行同样的逻辑运算后的结果进行比较,如果相同,则通过身份验证;如果不同,或未在指定时间内接受到终端设备回复的数据包,则未通过身份验证。与现有技术相比,本专利技术具有以下优点:(I)本专利技术采用会话重定向技术,实现引导终端设备满足安全管理要求的情况下方可入网控制;(2)通过主机安全检查和监控技术,使所有接入内网的终端设备的安全配置水平达到了统一的高度,并实现了对内网终端设备的安全配置的实时监控。(3)通过身份认证技术和认证密钥周期变换,避免了终端设备伪造攻击可能性的发生。【附图说明】图1为本专利技术实施例的系统部署图;图2为本专利技术实施例涉及的准入控制方法流程图。【具体实施方式】下面结合附图和实施例对本专利技术做进一步说明。本专利技术所涉及的内网终端准入控制系统的部署图如图1所示,包括准入控制网关和安装了安全检查助手的终端计算机。其中,准入控制网关采用镜像的方式接入到核心交换机上,通过监测所有访问服务区的网络数据包实现内网终端计算机入网的接入控制管理。准入控制网关通过分析网络数据包发现接入内网的终端计算机。对于新入网的计算机,在访问网络资源时,新入网计算机将被强制重定向到入网注册向导页面,强制用户按照内网管理要求安装注册安全检查助手。输入合法用户信息注册后,根据安全检查策略对新入网计算机进行安全检查。如果检查通过,允许新入网计算机入网并使用内网资源;如果检查未通过,对新入网计算机重定向安全修复区进行修复,直到安全检查通过后才允许其入网。对于已入网的终端计算机,安全检查助手同时监测其安全情况,根据准入控制网关配置的安全检查策略进行安全检查,如果发现不符合安全当前第1页1 2 本文档来自技高网...
【技术保护点】
一种内网终端准入控制方法,由采用镜像方式与核心交换机连接的准入控制网关和安装在终端设备上的安全检查助手实现;其特征在于,所述内网终端准入控制方法包括以下步骤:首先由所述准入控制网关从捕获的网络数据包中获取网络会话的源IP和目的IP地址;然后向目的IP地址发送断开会话数据包,结束原有网络会话;最后通过网关控制端口向源IP设备发送会话重定向数据包,使源IP地址的终端设备所有的网络访问行为重定向指定的地址,强制其只能访问指定的网络资源,使未进行入网注册或未通过所述安全检查助手进行的安全检查的终端设备无法使用内网资源。
【技术特征摘要】
【专利技术属性】
技术研发人员:李锁雷,李恒训,苏烈华,蒋勇,杨卫军,王晨,刘艳,赵鑫,孙论强,吕东哲,
申请(专利权)人:公安部第一研究所,北京中盾安全技术开发公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。