本发明专利技术公开了基于IP协议中的标识控制网络访问的方法,该方法通过对合法终端计算机网络数据包中IP协议中的Identification(标识)进行加密、网络安全控制服务器对接收到的网络数据包中IP协议中的Identification进行解密的方法,使网络安全控制服务器可以准确、快速地识别终端计算机的合法性,解决了由于在终端计算机与网络安全控制服务器之间放置NAT地址转换设备,使终端计算机所发送的TCP数据包的源IP地址发生了转换,网络安全控制服务器无法判断终端计算机合法性的问题。本发明专利技术可以广泛应用于各种网络结构。
【技术实现步骤摘要】
本专利技术涉及网络管理
,特别涉及网络安全控制服务器的控制管理
,具体是基于IP协议中的标识控制网络访问的方法。
技术介绍
随着社会信息化程度不断提高,企业规模不断扩大,企业中计算机的数量越来越多,对终端计算机进行管理的要求也越来越高。为了有效地管理終端计算机,需要在局域网中安装网络安全控制服务器,通过网络安全控制服务器来判断入网的终端计算机是否合法。·现有技术中,网络安全控制服务器通过识别終端计算机的IP地址判断終端计算机是否合法,对非法终端计算机发送的TCP数据包进行阻断,达到控制非法终端计算机访问指定网络(互联网、局域网内指定服务器群或任何指定网络区域)的目的。但这种技术有两个明显的缺点,ー是判别时间较长。该技术判别终端计算机合法性的方法是通过在合法列表中比对IP地址来实现的,局域网的规模越大,合法列表中的内容就越多,比对的次数就越多,因此判别的时间就越长;ニ是当终端计算机与网络安全控制服务器之间设置NAT地址转换设备(网络地址转换设备)吋,网络安全控制服务器无法识别终端计算机是否合法。終端计算机向指定网络所发送的TCP数据包在经过NAT地址转换设备后,TCP数据包的源IP地址(即终端计算机的IP地址)转换为NATIP地址(即NAT地址转换设备指定的IP地址),TCP数据包的源端ロ(即终端计算机的端ロ)转换成NAT端ロ,网络安全控制服务器接收到TCP数据包后,无法通过识别終端计算机IP地址的方法区分出是哪台终端计算机发送的,因此无法识别终端计算机是否合法。
技术实现思路
为了克服上述现有技术的不足,本专利技术提供基于IP协议中的标识控制网络访问的方法。该方法通过对合法终端计算机网络数据包中IP协议中的Identification (标识)进行加密、网络安全控制服务器对接收到的网络数据包中IP协议中的Identification进行解密的方法,使网络安全控制服务器可以准确、快速地识别终端计算机的合法性。为了实现上述目的,本专利技术采用如下技术方案 基于IP协议中的标识控制网络访问的方法,包括如下步骤 a.网络安全控制服务器每个设定间隔时间随机产生ー个新的密钥 网络安全控制服务器中首先产生并保存新、旧两个密钥,之后每个设定间隔时间随机产生ー个新的密钥,当新的密钥产生后,原有新密钥变为旧密钥保存,新产生的新的密钥作为新密钥保存,以此类推,所述新、旧密钥用于对TCP数据包中IP协议中的Identification进行解密; b.网络安全控制服务器将所述新的密钥发送给安装有对应终端软件的終端计算机; c.安装有对应终端软件的終端计算机接收从网络安全控制服务器发送的新的密钥安装有对应终端软件的終端计算机能够每个设定间隔时间接收从网络安全控制服务器发送的新的密钥,并将最新接收的新的密钥作为最新的密钥进行保存以更新上一次接收的密钥,该最新的密钥用于对所述安装有对应终端软件的終端计算机所要发送的TCP数据包中IP协议中的Identification进行加密; 而未安装有对应终端软件的终端计算机,因为其没有安装对应终端软件,因此不能够接收从网络安全控制服务器发送的新的密钥; d.終端计算机访问指定网络,发送TCP数据包 终端计算机访问指定网络,新建立ー个TCP连接,向指定网络发送TCP数据包; 如果是安装有对应终端软件的終端计算机,安装有对应终端软件的終端计算机通过其驱动拦截其向指定网络发送的TCP数据包,并用其保存的最新的密钥对TCP数据包中IP协议中的Identification进行加密,然后发送对Identification进行加密后的TCP数据包; 如果是未安装有对应终端软件的終端计算机,未安装有对应终端软件的终端计算机不能够接收从网络安全控制服务器发送的新的密钥,其驱动也不能够拦截其向指定网络发送的TCP数据包,因此无法对其发送的TCP数据包中IP协议中的Identification进行加密,因此直接发送TCP数据包; e.网络安全控制服务器接收终端计算机发送的TCP数据包 网络安全控制服务器接收终端计算机发送的TCP数据包,并获取TCP数据包中IP协议中的 Identification ; f.网络安全控制服务器对其所获取的TCP数据包中IP协议中的Identification进行校验 网络安全控制服务器用其保存的新、旧密钥分别对其所获取的TCP数据包中IP协议中的Identification进行解密,如果有ー个密钥解密成功,则校验成功,执行步骤g ;如果新、旧密钥都解密失败,则校验失败,执行步骤h ; g.判定向网络安全控制服务器发送TCP数据包的終端计算机合法,允许该终端计算机访问指定网络,结束; h.判定向网络安全控制服务器发送TCP数据包的終端计算机非法,阻断该终端计算机访问指定网络,结束。所述步骤a中,所述每个设定间隔时间为一分钟。所述步骤d、步骤g和步骤h中,所述指定网络为互联网、局域网内指定服务器群或任何指定网络区域。本专利技术的有益效果是通过对合法终端计算机网络数据包中IP协议中的Identification (标识)进行加密、网络安全控制服务器对接收到的网络数据包中IP协议中的Identification进行解密的方法,使网络安全控制服务器可以准确、快速地识别终端计算机的合法性,判断时间短,识别速度快。而且,在終端计算机与网络安全控制服务器之间设置了 NAT地址转换设备的环境,由于TCP数据包中IP协议中的Identification在经过NAT地址转换设备后不会发生改变,网络安全控制服务器仍可以判别終端计算机的合法性,解决了网络安全控制服务器无法通过终端计算机IP地址识别終端计算机合法性的问题。附图说明图I为本专利技术的基于IP协议中的标识控制网络访问的方法的流程 图2为本专利技术的实施例的应用环境示意图。具体实施例方式下面将结合附图及实施例,对本专利技术做进ー步详细描述。本专利技术的基于IP协议中的标识控制网络访问的方法,本实施例的应用环境如图2所示,包括互联网、路由器、交換机、网络安全控制服务器、NAT路由器、終端计算机I、終端计算机2 ;所述路由器的一端连接互联网,另一端连接交換机的以太网端ロ J1,该交换机的以太网端ロ J2连接网络安全控制服务器的以太网端ロ W1,该交换机的以太网端ロ J3连接NAT路由器的以太网端ロ NI,所述NAT路由器的以太网端ロ N2连接终端计算机1,所述NAT路由器的以太网端ロ N3连接终端计算机2 ;交換机的以太网端ロ J2是对以太网端ロ Jl的镜像,因此,当終端计算机I或終端计算机2访问互联网时,終端计算机发送的TCP数据包通过交换机的以太网端ロ Jl时,会被镜像到交換机的以太网端ロ J2上,此时网络安全控制 服务器通过交换机的以太网端ロ J2可以接收到終端计算机I或終端计算机2访问互联网时发送的TCP数据包,并对接收到的TCP数据包进行分析、处理; 本实施例具体采用如下设备 路由器TP-LINK TL-R4148 交换机Huawei Quidway S3900 网络安全控制服务器航天联志2000R NAT 路由器H3C Aolynk WBR204g实施例本实施例,其中終端计算机I安装有对应终端软件,因本文档来自技高网...
【技术保护点】
基于IP协议中的标识控制网络访问的方法,包括如下步骤:a.网络安全控制服务器每个设定间隔时间随机产生一个新的密钥:网络安全控制服务器中首先产生并保存新、旧两个密钥,之后每个设定间隔时间随机产生一个新的密钥,当新的密钥产生后,原有新密钥变为旧密钥保存,新产生的新的密钥作为新密钥保存,以此类推,所述新、旧密钥用于对TCP数据包中IP协议中的Identification进行解密;b.网络安全控制服务器将所述新的密钥发送给安装有对应终端软件的终端计算机;c.安装有对应终端软件的终端计算机接收从网络安全控制服务器发送的新的密钥:安装有对应终端软件的终端计算机能够每个设定间隔时间接收从网络安全控制服务器发送的新的密钥,并将最新接收的新的密钥作为最新的密钥进行保存以更新上一次接收的密钥,该最新的密钥用于对所述安装有对应终端软件的终端计算机所要发送的TCP数据包中IP协议中的Identification进行加密;而未安装有对应终端软件的终端计算机,因为其没有安装对应终端软件,因此不能够接收从网络安全控制服务器发送的新的密钥;d.终端计算机访问指定网络,发送TCP数据包:终端计算机访问指定网络,新建立一个TCP连接,向指定网络发送TCP数据包;如果是安装有对应终端软件的终端计算机,安装有对应终端软件的终端计算机通过其驱动拦截其向指定网络发送的TCP数据包,并用其保存的最新的密钥对TCP数据包中IP协议中的Identification进行加密,然后发送对Identification进行加密后的TCP数据包;如果是未安装有对应终端软件的终端计算机,则不能够接收从网络安全控制服务器发送的新的密钥,其驱动也不能够拦截其向指定网络发送的TCP数据包,因此无法对其发送的TCP数据包中IP协议中的Identification进行加密,因此直接发送TCP数据包;e.网络安全控制服务器接收终端计算机发送的TCP数据包:网络安全控制服务器接收终端计算机发送的TCP数据包,并获取TCP数据包中IP协议中的Identification;f.网络安全控制服务器对其所获取的TCP数据包中IP协议中的Identification进行校验:网络安全控制服务器用其保存的新、旧密钥分别对其所获取的TCP数据包中IP协议中的Identification进行解密,如果有一个密钥解密成功,则校验成功,执行步骤g;如果新、旧密钥都解密失败,则校验失败,执行步骤h;g.判定向网络安全控制服务器发送TCP数据包的终端计算机合法,允许该终端计算机访问指定网络,结束;h.判定向网络安全控制服务器发送TCP数据包的终端计算机非法,阻断该终端计算机访问指定网络,结束。...
【技术特征摘要】
1.基于IP协议中的标识控制网络访问的方法,包括如下步骤 a.网络安全控制服务器每个设定间隔时间随机产生ー个新的密钥 网络安全控制服务器中首先产生并保存新、旧两个密钥,之后每个设定间隔时间随机产生ー个新的密钥,当新的密钥产生后,原有新密钥变为旧密钥保存,新产生的新的密钥作为新密钥保存,以此类推,所述新、旧密钥用于对TCP数据包中IP协议中的Identification进行解密; b.网络安全控制服务器将所述新的密钥发送给安装有对应终端软件的終端计算机; c.安装有对应终端软件的終端计算机接收从网络安全控制服务器发送的新的密钥 安装有对应终端软件的終端计算机能够每个设定间隔时间接收从网络安全控制服务器发送的新的密钥,并将最新接收的新的密钥作为最新的密钥进行保存以更新上一次接收的密钥,该最新的密钥用于对所述安装有对应终端软件的終端计算机所要发送的TCP数据包中IP协议中的Identification进行加密; 而未安装有对应终端软件的终端计算机,因为其没有安装对应终端软件,因此不能够接收从网络安全控制服务器发送的新的密钥; d.終端计算机访问指定网络,发送TCP数据包 终端计算机访问指定网络,新建立ー个TCP连接,向指定网络发送TCP数据包; 如果是安装有对应终端软件的終端计算机,安装有对应终端软件的終端计算机通过其驱动拦截其向指定网络发送的TCP数据包,并用其保存的最新的密钥对TCP数据包中IP协议中的Identification进行加密,然后发...
【专利技术属性】
技术研发人员:张博,金魁,刘丹丹,
申请(专利权)人:沈阳通用软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。