一种反向接入控制系统及方法技术方案

本发明专利技术涉及一种反向接入控制方法，S1、根据应用服务器操作系统的类型，应用服务器安装服务器端系统；S2、客户端注册单元提取服务器CPU序列号，将服务器唯一ID注入客户端系统完成客户端系统注册；S3、使计算机终端成为授权网络中的计算机终端；S4、中断策略设置单元设置中断策略，并向中断策略接收与推送单元发送中断策略信息；S5、将其推送至客户端中断策略接收单元；S6、客户端中断策略接收单元接收中断策略信息；S7、客户端守护进程模块进行合法性校验。本发明专利技术通过计算机终端中安装的客户端守护进程模块与不易伪造的服务器进行验证，防止授权网络中的计算机终端通过网络接口非授权连接到外部信息设备或网络中。

【技术实现步骤摘要】
一种反向接入控制系统及方法
本专利技术涉及网络中计算机终端信息安全
，尤其涉及一种反向接入控制系统及方法。
技术介绍
随着信息技术蓬勃发展，政府与企业越来越依赖信息系统处理各项工作，为保障本单位信息安全，部分政府与企业组建了本单位与外界物理隔离的局域网，以防范内部信息系统中的单位内部信息泄露。然而由于环境、人为等因素，可能使授权网络内的信息通过非正常网络渠道流转至外部网络中，从而给政府或企业带来较大损失。为避免上述情况的发生，单位普遍采用接入控制技术控制设备的网络连接。目前国内外接入控制技术主要为网络准入控制技术和网络寻址技术。网络准入控制技术包括以MAC地址绑定技术、802.1X接入控制技术和DHCP地址分配技术等，其主要作用是对接入授权网络中的计算机终端的合法性进行验证，能防止外部设备非授权接入到授权网络内。网络寻址技术用于对设备网络访问行为进行监控和阻断，通过客户端系统向国际互联网中的固定网络地址发起验证，验证通过则产生报警并阻断计算机终端与网络连接，能防止授权网络中的计算机终端中敏感信息不通过国际互联网泄露。但网络本文档来自技高网...

【技术保护点】
1.一种反向接入控制系统，其特征在于，包括：服务器端系统和客户端系统，其中服务器端系统包括服务器端系统管理模块和服务器端守护进程模块，客户端系统包括客户端守护进程模块和客户端托盘模块；/n服务器端系统管理模块，包括客户端注册单元、中断策略设置单元、审计日志查看单元和服务器端证书管理单元，用于管理员进行客户端注册、中断策略设置、查看审计日志以及服务器端证书管理；/n客户端注册单元：应用服务器安装服务器端系统后，管理员在客户端注册单元提取应用服务器CPU序列号信息，通过编码生成服务器唯一ID，将服务器唯一ID注入客户端系统；/n中断策略设置单元：管理员在此设置中断策略；/n审计日志查看单元：管理员...

【技术特征摘要】
1.一种反向接入控制系统，其特征在于，包括：服务器端系统和客户端系统，其中服务器端系统包括服务器端系统管理模块和服务器端守护进程模块，客户端系统包括客户端守护进程模块和客户端托盘模块；
服务器端系统管理模块，包括客户端注册单元、中断策略设置单元、审计日志查看单元和服务器端证书管理单元，用于管理员进行客户端注册、中断策略设置、查看审计日志以及服务器端证书管理；
客户端注册单元：应用服务器安装服务器端系统后，管理员在客户端注册单元提取应用服务器CPU序列号信息，通过编码生成服务器唯一ID，将服务器唯一ID注入客户端系统；
中断策略设置单元：管理员在此设置中断策略；
审计日志查看单元：管理员审计计算机终端违规接入非授权信息设备或非授权网络的情况，计算机终端执行中断策略是否成功，计算机终端配置信息有无异常的日志信息；
服务器端证书管理单元：管理员在此输入服务器端的注册证书，保证一种反向接入控制系统的正常运行；
服务器端守护进程模块，包括中断策略接收及推送单元、服务器端合法性校验单元和审计日志存取单元，用于中断策略接收及推送、合法性校验以及审计日志存取；
中断策略接收及推送单元：接收中断策略设置单元发来的中断策略信息，将其推送至客户端中断策略接收单元；
服务器端合法性校验单元：接收客户端合法性校验单元发来的合法性校验请求，向客户端合法性校验单元发送合法性校验结果；
审计日志存取单元：接收客户端审计日志接收单元发来的审计日志数据，并存入数据库；接收审计日志查看单元发来的查询日志请求，按照请求内容向审计日志查看单元提供审计日志数据；
客户端守护进程模块，包括客户端中断策略接收单元、客户端合法性校验单元、网卡数据采集单元、网络连接控制单元、客户端审计日志接收单元及进程保护单元，用于中断策略接收、合法性校验、网卡数据采集、网络连接控制、审计日志接收以及进程保护；
客户端中断策略接收单元：接收中断策略接收及推送单元发来的中断策略信息，并存入计算机终端；
客户端合法性校验单元：向服务器端合法性校验单元发送合法性校验请求，并接收服务器端合法性校验单元发送的合法性校验结果；
网卡数据采集单元：当客户端守护进程模块合法性校验失败时，将流经网卡的数据包IP地址与MAC地址信息上传至客户端审计日志接收单元中，存储至本地形成本地审计日志；
网络连接控制单元：根据客户端中断策略接收单元接收到的中断策略及客户端合法性校验单元接收到的合法性校验结果执行中断策略；
客户端审计日志接收单元：将计算机终端中断网卡驱动信息、重启网卡驱动进行合法性校验信息、处于非授权网络或接入非授权信息设备中时流经网卡的MAC地址信息存储至本地，并在判断计算机终端重新处于授权网络中后，将本地存储的审计日志信息发送审计日志存取单元；
进程保护单元：将客户端守护进程在任务管理器中隐藏，防止攻击者中止客户端守护进程导致客户端系统，从而失去判断计算机终端是否处于授权网络的能力；
客户端托盘模块，包含退出保护单元、客户端审计日志查看单元、配置变更单元，用于退出保护、审计日志查看以及配置变更；
退出保护单元：仅管理员可修改客户端系统退出口令，须输入管理员口令才可退出客户端系统；
客户端审计日志查看单元：可查看本地存储的中断策略信息和本地审计日志，根据本地审计日志可判断计算机终端何时处于非授权网络环境中；
配置变更单元：管理员可在配置变更单元修改客户端系统的配置信息。


2.如权利要求1所述的一种反向接入控制系统，其特征在于，管理员在中断策略设置单元设置中断策略包括：设置合法性校验成功时持续进行合法性校验的固定频率，设置合法性校验失败时重启网卡的固定频率及持续进行合法性校验的固定频率。


3.如权利要求1所述的一种反向接入控制系统，其特征在于，审计日志查看单元中，管理员同时审计日志单元自动分析有哪些计算...

【专利技术属性】
技术研发人员：薛惠锋，张文涛，杨海，杨轩，韩磊，郭莉丽，边悦，
申请(专利权)人：中国航天系统科学与工程研究院，
类型：发明
国别省市：北京;11