本实用新型专利技术是一种可信终端系统,包括:诸如以太网或无线局域网的局域网;通过所述局域网互联的多个计算机;经由所述局域网连接所述计算机的具有受控端口的交换机,该交换机可以根据认证结果接受或拒绝计算机的入网请求;以及连接所述交换机的认证服务器,该认证服务器对所述计算机经由交换机发送的认证请求进行认证或识别,并将认证或识别后得到的认证结果返回给交换机。本实用新型专利技术可以有效地防止外部计算机接入属于内部网络的局域网,从而提高了网络安全性能。(*该技术在2019年保护过期,可自由使用*)
【技术实现步骤摘要】
本技术涉及一种计算机内网系统,特别涉及一种只允许可信终端接入网络而阻止其他计算机接入网络的可信终端系统。
技术介绍
目前的一些终端认证大多从网络层控制计算机的非法接入,使得非授权终端数据 流可以进入网络,造成如ARP包、非法广播、ping攻击、恶意病毒、木马数据流在网络中泛 Y皿。 此外, 一些终端认证直接利用交换机的普通端口 ,没有对端口进行控制,只是对数 据的普通转发,不能对计算机的接入进行控制。 此外,一些终端认证为弹出界面,要求用户输入相关认证信息进行认证,非常麻 烦,并且也给非法破译密码等非法连入网络创造了条件。 因此,目前的内部网络不能阻止外界计算机非法接入,因而极易造成信息泄露,带 来很大的信息安全隐患,如何控制非法主机接入内部网络是目前很多企、事业单位共同关 心的问题。
技术实现思路
为了解决现有技术存在的非法主机接入问题,本技术提供了一种可信终端系统,以防止外部主机非法接入内部网络,保护网络内部计算机及数据安全。本技术的上述目的是这样实现的,一种可信终端系统,包括局域网;通过所述局域网互联的多个计算机;连接所述局域网的具有受控端口的交换机;以及连接所述交换机以对所述计算机经由所述交换机发出的认证请求进行认证的认证服务器。 其中,所述多个计算机之每个经由所述局域网分别连接所述交换机的一个相应的受控端口 ;所述认证服务器连接所述交换机的一个其他端口 。 其中,所述交换机包括具有多个分别连接所述多个计算机的受控端口和连接所述认证服务器其他端口的交换芯片;以及连接所述交换芯片以根据所述认证服务器的认证结果对连接所述计算机的端口进行控制的端口控制模块。 其中,所述计算机具有一个启动计算机工作的USB密钥。 本技术具有以下技术效果 1、可以对当前内部计算机网络的所有服务器、终端计算机进行访问控制的授权认 证。 2、可以保证只有经过主管部门授权认证的计算机,才可以顺利通过基于交换机端 口的访问控制认证,进而才可以自由的应用单位内部的计算机网络以及其中的资源。 3、通过可信终端管理程序和基于端口的访问控制机制的配合,使未经过相关主管 部门授权的计算机无法擅自接入内部的计算机网络。 以下结合附图对本技术进行详细说明。附图说明图1是本技术的可信终端系统的配置图; 图2是显示本技术的可信终端系统的对入网请求进行处理的示意图; 图3是图2所述的交换机的原理图; 图4是显示图3所示交换机的用于数据流交换和认证信息传输的示意图。具体实施方式图1显示了本技术的可信终端系统的配置,图1所示的可信终端系统包括局 域网2,它可以是以太网或无线局域网;通过所述局域网2互联的多个计算机1 ;经由所述 局域网2连接所述计算机1的具有受控端口的交换机3,该交换机3可以根据认证结果接受 或拒绝计算机的入网请求;以及连接所述交换机3的认证服务器4,该认证服务器4对所述 计算机1经由所述交换机3发送的认证请求进行认证或识别,并将认证或识别后得到的认 证结果返回给交换机3。 图2显示了交换机3和认证服务器4处理计算机1的入网请求的情形。如图2所 示,假定在计算机A、 B和C中,计算机A和B是可信计算机,而计算机C是非法接入的计算 机。当计算机A C启动时,分别经由交换机3向服务器4发送认证请求。由于计算机A 和B是可信计算机,因此服务器4向交换机3发送计算机A和B认证成功的认证结果, 使交换机3打开分别连接计算机A和B的受控端口 ;而由于计算机C不是可信计算机,因此 服务器4向交换机3发送计算机C认证失败的认证结果,使交换机3的连接计算机C的 受控端口处于断开状态,从而拒绝计算机C入网。 如图1和2所示,多个计算机1如计算机A C之每个经由局域网2分别连接所 述交换机1的一个相应的受控端口 ;认证服务器4连接所述交换机1的一个其他端口。 图3显示了本技术的可根据服务器的认证结果控制受控端口状态的交换机3 的原理。如图3所示,该交换机3包括具有多个经由局域网2分别连接所述计算机A C 的受控端口 311、312、313和连接认证服务器4的其他端口 314的交换芯片31 ;以及连接所 述交换芯片31以根据认证服务器的认证结果对连接计算机的端口进行控制的端口控制模 块32。 交换芯片31可以在来自计算机A C的数据包中添加受控端口号,以便端口控制模块32根据服务器4的认证结果的数据包对交换芯片31的受控端口进行控制。 服务器4通常用数据包中的标志位表示认证结果,这样端口控制芯片32就可以根据该标志位对交换芯片的受控端口进行控制,即当标志位为认证成功符号时,打开连接相应计算机的受控端口,允许该计算机的数据流传送;而当关于某个计算机认证请求的标志位为认证失败符号时,使相关的受控端口处于断开状态,从而拒绝该计算机入网。 此外,本技术的可信计算机1可以有一个启动计算机工作的USB密钥。 下面参照图4对本技术的原理进行详细说明。 对于不带USB密钥的可信计算机A和B,可信计算机A和B通过交换机认证信息 传送单元向认证服务器发送认证请求信息,认证服务器收到请求信息后,对信息进行识别, 通过交换机端口向可信终端转发应答信息。若成功,端口控制模块32根据认证成功的标志位,打开受控端口311和312(使其图中的开关闭合),使其可以通过数据流交换单元进行数 据交换;否则,端口控制模块32根据认证失败的标志位维持受控端口断开状态,拒绝计算 机A和B连入网络。 对于带有USB密钥的可信计算机A和B,必须首先插入USB密钥,启动时,可信计算 机读取USB密钥信息,将读取的信息通过交换机端口向认证服务器发送,认证服务器收到 请求信息后,对信息进行识别,通过交换机任意端口向可信终端转发应答信息。若成功,则 开始通信,否则,拒绝终端连入网络。 本技术基于端口的访问控制,在交换机的端口处对所有入网请求的计算机都 默认是阻断其信息流的,即,在该端口处除可信终端的认证信息数据流以外的其他所有数 据流全部被阻断。因此,对于未经主管部门授权认证的非法接入内部网络的计算机,在其通 过交换机连接内部计算机网络时,该非法接入的计算机既不可能向内部计算机网络发送任 何数据流,也不可能截获计算机网络内部的任何数据流,从而达到对计算机非法接入的控 制和对计算机网络内部数据流的保护。 本技术的可信计算机是指能够通过交换机和认证服务器认证的计算机。只有 以802. l.x协议向交换机发送认证信息,交换机才能收到该认证信息,交换机再把收到的 认证信息转发给认证服务器,认证服务器从认证信息中提取用户名和密码,当用户名和密 码完全正确时,请求才能通过,交换机默认为关闭的端口才会打开,数据才能正常交互。故, 可信计算机能以802. l.x协议向交换机发送包含有用户名和密码的认证信息,且能够通过 认证服务器认证,这样的终端计算机称为可信终端。 计算机的认证请求和服务器的认证结果的帧格式由三部分组成,第一部分包括本 机MAC、目标MAC和数据包类型;第二部分为标志位;第三部分为包括用户名和密码的数据 内容。服务器收到计算机发出的认证请求后,检查计算机的MAC、用户名和密码,如果它们是 正确的,则回送例如0x03的标志位表示的认证成功的认证结本文档来自技高网...
【技术保护点】
一种可信终端系统,其特征在于包括: 局域网(2); 通过所述局域网(2)互联的多个计算机(1); 连接所述局域网(2)的具有受控端口的交换机(3);以及 连接所述交换机(3)以对所述计算机(1)经由交换机(3)发出的认证请求进行认证的认证服务器(4)。
【技术特征摘要】
一种可信终端系统,其特征在于包括局域网(2);通过所述局域网(2)互联的多个计算机(1);连接所述局域网(2)的具有受控端口的交换机(3);以及连接所述交换机(3)以对所述计算机(1)经由交换机(3)发出的认证请求进行认证的认证服务器(4)。2. 根据权利要求l所述的可信终端系统,其特征在于,所述多个计算机(1)之每个经由 局域网(2)分别连接所述交换机(1)的一个相应的受控端口 ;认证服务器(4)连接所述交换机(...
【专利技术属性】
技术研发人员:于晴,王海洋,
申请(专利权)人:北京鼎普科技股份有限公司,
类型:实用新型
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。