本发明专利技术公开了一种多因素主机安全准入控制系统和方法,该系统包括主机、准入装置和网络接口,所述主机包括应用模块和主控装置;所述准入装置包括准入模块和网络防火墙;所述主控装置包括监控DLL模块,USBKEY,散列计算模块,主机IPSEC模块;所述准入模块包括存储单元,路径单元,准入IPSEC模块;主机通过网络接口连接准入装置。该方法包括建立合法名单;获取合法名单,提取对应运行参数并提出访问申请;接收访问申请,基于访问申请配置访问路径。本发明专利技术通过建立一个运行程序白名单,通过对符合白名单的应用程序进行主要进程监视,结合数字证书来提供安全检验能力,提高在隔离环境下的软件与内部的网络之间的通信管理能力,保证数据传递过程的安全性。
【技术实现步骤摘要】
本专利技术涉及一种多因素主机安全准入控制系统和方法,属于计算机通讯领域。
技术介绍
目前,常见的主机安全准入方法主要包括以下几种:IP地址准入控制、MAC地址准入控制、用户名口令准入控制、数字证书准入控制以及物理端口准入控制等。其中,IP地址准入控制和MAC地址准入控制容易被网络侦听和伪造,安全性较低。物理端口控制方式需要配合数字证书、IP地址等方式使用。用户名口令和数字证书方式只能对访问内部网络的用户进行认证和准入控制,当用户校验合法后,主机任何应用程序包括病毒、木马程序均可以连接内部网络。
技术实现思路
为了解决上述问题,本专利技术通过提供一种多因素主机安全准入控制系统和方法,实现内外网间的数据收发控制。本专利技术采用的技术方案一方面为一种多因素主机安全准入控制系统,包括主机、准入装置和网络接口,所述主机包括用于运行应用程序的应用模块和用于管理应用模块的主控装置;所述准入装置包括用于管理准入装置的准入模块和用于控制访问的网络防火墙;所述主控装置包括用于提取应用程序的参数的监控DLL模块,用于提供数字证书和本体ID的USBKEY,用于计算应用程序的HASH值和获取所述数字证书、本体名的散列计算模块,主机IPSEC模块;所述准入模块包括用于存储合法名单的存储单元,用于设置网络防火墙的路径单元,准入IPSEC模块;所述主控装置通过网络接口与准入模块连接;所述应用模块通过网络接口与网络防火墙单元连接。优选地,所述监控DLL模块与所述散列计算模块连接以获取应用程序的HASH值、数字证书和本体ID。优选地,所述监控DLL模块与应用模块连接以获取应用模块中的应用程序的网络连接信息,所述网络连接信息包括源IP、目的IP、源端口、目的端口和协议号。优选地,所述主控装置通过主机IPSEC模块与准入IPSEC模块之间的认证,建立与准入模块之间的加密通信信道。优选地,所述合法名单包括应用程序白名单和数字证书白名单,其中,应用程序白名单包括应用程序名称、应用程序的进程名称和进程SHA-1散列值;数字证书白名单包括主机ID、数字证书的序列号和USBKEY的本体ID。本专利技术采用的技术方案另一方面为一种多因素主机安全准入控制方法,包括以下步骤:准入模块建立用于认证应用程序的合法名单;主控装置获取合法名单,基于合法名单提取对应的应用程序的运行参数并提出访问申请;准入模块接收访问申请,基于访问申请配置访问路径。优选地,所述运行参数包括应用程序名称、应用程序的进程名称、进程SHA-1散列值和应用程序的HASH值。优选地,所述准入申请包括网络连接信息和数字证书信息,其中,网络连接信息包括源IP、目的IP、源端口、目的端口、协议号;数字证书信息包括数字证书的序列号和提供数字证书的USBKEY的本体ID。本专利技术的有益效果为通过建立一个运行程序白名单,通过对符合白名单的应用程序进行主要进程监视,结合数字证书来提供安全检验能力,提高在隔离环境下的软件与内部的网络之间的通信管理能力,保证数据传递过程的安全性。采用应用程序合法性准入控制与数字证书准入控制相结合的多因素主机安全准入控制方法,既实现了对使用者的合法性校验,又实现了对应用程序的合法性校验,弥补了上述常见准入控制方法的不足,实现识别与阻断非法应用程序连接,校验主机合法性,检查和保护接入内部网络应用程序完整性,以及防止病毒、木马连接内部网络的综合安全准入控制能力。附图说明图1所示为基于本专利技术实施例的一种多因素主机安全准入控制系统的示意图;图2所示为基于本专利技术实施例的一种多因素主机安全准入控制方法的示意图。具体实施方式以下结合实施例对本专利技术进行说明。基于专利技术的实施例,如图1所示一种多因素主机安全准入控制系统,包括主机、准入装置和网络接口,所述主机包括用于运行应用程序的应用模块和用于管理应用模块的主控装置;所述准入装置包括用于管理准入装置的准入模块和用于控制访问的网络防火墙;所述主控装置包括用于提取应用程序的参数的监控DLL模块,用于提供数字证书和本体ID的USBKEY,用于计算应用程序的HASH值和获取所述数字证书、本体名的散列计算模块,主机IPSEC模块;所述准入模块包括用于存储合法名单的存储单元,用于设置网络防火墙的路径单元,准入IPSEC模块;所述主控装置通过网络接口与准入模块连接;所述应用模块通过网络接口与网络防火墙单元连接。主机为一般定义上的电脑系统,准入装置为管制主机的应用程序的网络连接的装置;应用模块为运行应用程序所必需的元素的组合,如内存、内核驱动模块、CPU等,主要目的是提供一个应用程序的运行环境;主控装置主要是用于读取应用程序的运行数据,监控应用程序的建立和退出过程;准入模块主要用于与主机之间的验证活动和设置应用程序与网络防火墙之间的路径;USBKEY是一种USB接口的硬件设备,它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证,所述的本体ID即USBKEY的代码,因为根据需要,可能需要两个以上的USBKEY,那么就需要区分;所述监控DLL模块与所述散列计算模块连接以获取应用程序的HASH值、数字证书和本体ID。所述监控DLL模块与应用模块连接以获取应用模块中的应用程序的网络连接信息,所述网络连接信息包括源IP、目的IP、源端口、目的端口和协议号。源IP为网络连接的起始点(即应用程序所处地址),目的IP为网络连接的终点(即应用程序想要连接的地方),源端口为起始端口号,目的端口为终止端口号,协议号为协议代号。所述主控装置通过主机IPSEC模块与准入IPSEC模块之间的认证,建立与准入模块之间的加密通信信道。IPSEC为“Internet 协议安全性 (”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯,通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击,在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。其定义了在网际层使用的安全服务,其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。IPSec的安全服务要求支持共享密钥完成认证和/或保密,并且手工输入密钥的方式是必须要支持的,其目的是要保证IPSec协议的互操作性。当然,手工输入密钥方式的扩展能力很差,因此在IPSec协议中引入了一个密钥管理协议,称Internet密钥交换协议——IKE,该协议可以动态认证IPSec对等体,协商安全服务,并自动生成共享密钥。所述合法名单包括应用程序白名单和数字证书白名单,其中,应用程序白名单包括应用程序名称、应用程序的进程名称和进程SHA-1散列值;数字证书白名单包括主机ID、数字证书的序列号和USBKEY的本体ID。基于专利技术的实施例,如图2所示一种多因素主机安全准入控制方法,包括以下步骤:准入模块建立用于认证应用程序的合法名单;主控装置获取合法名单,基于合法名单提取对应的应用程序的运行参数并提出访问申请;准入模块接收访问申请,基于访问申请配置访问路径。管理员通过HTTPS协议输入正确的用户名口令后登录准入模块,对允许访问内部网络的主机配置应用程序白名单和数字证本文档来自技高网...
【技术保护点】
一种多因素主机安全准入控制系统,包括主机、准入装置和网络接口,其特征在于,所述主机包括用于运行应用程序的应用模块和用于管理应用模块的主控装置;所述准入装置包括用于管理准入装置的准入模块和用于控制访问的网络防火墙;所述主控装置包括用于提取应用程序的参数的监控DLL模块,用于提供数字证书和本体ID的USBKEY,用于计算应用程序的HASH值和获取所述数字证书、本体名的散列计算模块,主机IPSEC模块;所述准入模块包括用于存储合法名单的存储单元,用于设置网络防火墙的路径单元,准入IPSEC模块;所述主控装置通过网络接口与准入模块连接;所述应用模块通过网络接口与网络防火墙单元连接。
【技术特征摘要】
1.一种多因素主机安全准入控制系统,包括主机、准入装置和网络接口,其特征在于,所述主机包括用于运行应用程序的应用模块和用于管理应用模块的主控装置;所述准入装置包括用于管理准入装置的准入模块和用于控制访问的网络防火墙;所述主控装置包括用于提取应用程序的参数的监控DLL模块,用于提供数字证书和本体ID的USBKEY,用于计算应用程序的HASH值和获取所述数字证书、本体名的散列计算模块,主机IPSEC模块;所述准入模块包括用于存储合法名单的存储单元,用于设置网络防火墙的路径单元,准入IPSEC模块;所述主控装置通过网络接口与准入模块连接;所述应用模块通过网络接口与网络防火墙单元连接。2.根据权利要求1所述的一种多因素主机安全准入控制系统,其特征在于,所述监控DLL模块与所述散列计算模块连接以获取应用程序的HASH值、数字证书和本体ID。3.根据权利要求1所述的一种多因素主机安全准入控制系统,其特征在于,所述监控DLL模块与应用模块连接以获取应用模块中的应用程序的网络连接信息,所述网络连接信息包括源IP、目的IP、源端口、目的端口和协议号。4.根据权利要求1所述的一种多因素主机安全准入控制系统,其特征在...
【专利技术属性】
技术研发人员:吴丹,樊凯,吕华辉,
申请(专利权)人:中国南方电网有限责任公司信息中心,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。