CN102088453A - 一种控制主机接入的方法、系统及装置 - Google Patents
一种控制主机接入的方法、系统及装置 Download PDFInfo
- Publication number
- CN102088453A CN102088453A CN2010101049197A CN201010104919A CN102088453A CN 102088453 A CN102088453 A CN 102088453A CN 2010101049197 A CN2010101049197 A CN 2010101049197A CN 201010104919 A CN201010104919 A CN 201010104919A CN 102088453 A CN102088453 A CN 102088453A
- Authority
- CN
- China
- Prior art keywords
- main frame
- connection request
- compartment wall
- fire compartment
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种控制主机接入的方法、系统及装置,涉及网络安全领域,用以解决现有技术不能有效控制主机接入的问题。方法包括:防火墙收到主机的连接请求后,向该主机的外接认证系统请求验证信息;防火墙以访问策略对获得的验证信息进行认证;若认证通过,则允许访问目的连接;若认证未通过,则阻断该连接请求。系统包括:主机,与主机相连的外接认证系统,以及部署于主机和互联网之间的防火墙。防火墙包括:验证管理模块,连接跟踪模块,阻断模块。本发明技术中验证信息的获取不依赖于访问请求、IP地址、MAC地址等,而是根据主机的外接认证系统,可有效控制主机接入。
Description
技术领域
本发明涉及网络安全领域,特别是涉及一种控制主机接入的方法、系统及装置。
背景技术
防火墙即能控制Inernet对企业内网的访问,也控制内网主机对Internet的访问。企业内网连接Internet的出口带宽,一般都是有带宽控制的,属于有限资源。为了管理和合理利用有限的出口带宽,需要在防火墙上设置一定的访问策略,以控制内网主机对Internet的访问。
参见图1所示,防火墙的典型部署位置在Internet与内部网络之间。传统防火墙上,可以有诸多访问控制策略,如可以针对内网用户的IP地址、网卡MAC地址等,有的还实现了身份认证的验证机制。
但是,现有的防火墙控制内网主机接入Internet的技术存在以下缺点:
其一,由于用户可以自己修改IP地址,或经路由器后数据包MAC地址会发生变化,所以不利于确定访问用户的真实身份,进而不能有效控制主机接入。
其二,现有基于身份认证的机制,大多要在用户机上安装认证软件,不利于移动用户或公司客户等临时接入的需求,而且用户主机系统的多样化,使得用户主机上认证软件很难统一部署和管理。
发明内容
本发明提供一种控制主机接入的方法、系统及装置,用以解决现有技术不能有效控制主机接入的问题。
本发明的一种控制主机接入的方法,包括下列步骤:防火墙收到主机的连接请求后,向该主机的外接认证系统请求验证信息;防火墙以访问策略对获得的验证信息进行认证;若认证通过,则允许访问目的连接;若认证未通过,则阻断该连接请求。
本发明的一种控制主机接入的系统,包括:主机,与主机相连的外接认证系统,以及部署于主机和互联网之间的防火墙;其中,主机,用于发起连接请求;防火墙,用于在收到主机的连接请求后,向该主机的外接认证系统请求验证信息,并以访问策略对获得的验证信息进行认证;若认证通过,则允许访问目的连接;若认证未通过,则阻断该连接请求;外接认证系统,用于为防火墙提供与其相连的主机的验证信息。
本发明的一种防火墙,包括:验证管理模块,用于在防火墙收到主机的连接请求后,向与该主机相连并且独立于该主机的外接认证系统请求验证信息;并以访问策略对获得的验证信息进行认证;连接跟踪模块,在认证通过时被触发,用于为主机连接到访问目的连接;阻断模块,在认证未通过时被触发,用于阻断该连接请求。
本发明有益效果如下:
本发明技术中验证信息的获取不依赖于访问请求、IP地址、MAC地址等,而是根据主机的外接认证系统,可以将验证信息加密保存在外接认证系统(如USB盘)里。认证的处理过程对主机透明,不需要在主机上安装认证软件,利于移动客户端的接入管理。进而可有效控制主机接入。
附图说明
图1为现有技术中防火墙的典型部署示意图;
图2为本发明实施例中的方法步骤流程图;
图3为本发明实施例中的系统结构示意图;
图4为本发明实施例中的防火墙结构示意图;
图5为本发明实施例中的防火墙与主机USB通信流程图。
具体实施方式
防火墙的部署位置决定了其是网络安全的第一道安全屏障,所以其自身的软件安全要求是极高的,所用操作系统也是专有的或经过安全加固的。USB(Universal Serial BUS通用串行总线)接口是现代主机系统上标准外设接口,具有通用性和广泛性。本发明主要思路是利用防火墙与主机USB系统通信,实现用户的身份认证机制,从而有效控制主机接入,使非授权内网主机不能访问Internet。
参见图2所示,本发明实施例中提供了一种控制主机接入的方法,包括下列主要步骤:
S1、防火墙收到内网主机发起的连接请求。
防火墙收到连接请求后,根据该连接请求的数据包内容,获得该主机的IP地址信息。
S2、防火墙向该主机的外接认证系统请求验证信息。具体的是根据S1中获得的IP地址信息向该IP地址请求验证信息;外接认证系统可以是独立于主机的USB认证系统,并通过USB接口与主机相连,所以防火墙向该IP地址请求验证信息时,先由主机接收,再转发给USB认证系统,之后USB认证系统通过主机向防火墙提供验证信息或者通过无线网或其它网络直接向防火墙提供验证信息。
S3、防火墙以访问策略对获得的验证信息进行认证;若认证通过,则转入S4,否则转入S5。
S4、允许访问目的连接,流程终结。
S5、阻断该连接请求,还可记录该连接请求的信息,流程终结。
参见图3所示,本发明实施例中提供了一种控制主机接入的系统,包括:内网主机,与主机相连的外接认证系统,以及部署于主机和互联网之间的防火墙。
主机,用于发起连接请求。
防火墙,用于在收到主机的连接请求后,根据该连接请求的数据包内容,获得该主机的IP地址信息,根据获得的IP地址信息向该IP地址请求验证信息。防火墙向该IP地址请求验证信息时,先由主机接收,再转发给与主机相连的外接认证系统。收到验证信息后,以访问策略对获得的验证信息进行认证;若认证通过,则允许访问目的连接;若认证未通过,则阻断该连接请求。
外接认证系统,可以是独立于主机的USB认证系统,并通过USB接口与主机相连,其用于通过主机向防火墙提供验证信息或者通过无线网或其它网络直接向防火墙提供验证信息。
参见图4所示,本发明实施例中提供了一种防火墙,包括:
验证管理模块,用于在防火墙收到主机的连接请求后,向与该主机相连并且独立于该主机的外接认证系统请求验证信息(外接认证系统与主机之间通过USB接口相连);并以访问策略对获得的验证信息进行认证。
连接跟踪模块,在认证通过时被触发,用于为主机连接到访问目的连接。
阻断模块,在认证未通过时被触发,用于阻断该连接请求。
进一步,还可包括:连接管理模块,用于接收主机的连接请求,并根据该连接请求的数据包内容,获得所述主机的IP地址信息,并交由验证管理模块,以备其向所述外接认证系统请求验证信息。
日志模块,用于在阻断所述连接请求后,记录该连接请求的信息。
参见图5所示,以下将模块结合流程进行描述。
1、内网的客户主机发出访问,提交一个连接请求给防火墙的连接管理模块;
2、防火墙的连接管理模块根据请求数据包的内容,获得访问源的IP地址信息,并提交给验证管理模块;
3、验证管理模块向访问源IP地址主机的USB认证系统请求验证信息,访问源的USB认证系统将验证信息提交给防火墙的验证管理模块;防火墙的验证管理模块根据收到的验证信息,以及访问策略,决定本连接请求是否允许通过;
4、认证通过进入连接跟踪模块,并转入步骤7;
5、认证未通过的连接,进入阻断模块,本连接被阻断,并转入步骤6;
6、记录日志。
7、建立到访问目的的连接,开始访问。
综上,认证的过程独立于主机,使用USB标准,处理过程简单高效,容易部署和实现。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种控制主机接入的方法,其特征在于,包括下列步骤:
防火墙收到主机的连接请求后,向该主机的外接认证系统请求验证信息;
防火墙以访问策略对获得的验证信息进行认证;
若认证通过,则允许访问目的连接;
若认证未通过,则阻断该连接请求。
2.如权利要求1所述控制主机接入的方法,其特征在于,防火墙收到主机的连接请求后,还包括步骤:根据所述连接请求的数据包内容,获得所述主机的IP地址信息,以备向该主机的外接认证系统请求验证信息。
3.如权利要求1所述控制主机接入的方法,其特征在于,所述外接认证系统为独立于主机的USB认证系统。
4.如权利要求1所述控制主机接入的方法,其特征在于,阻断所述连接请求后,记录该连接请求的信息。
5.一种控制主机接入的系统,其特征在于,包括:主机,与主机相连的外接认证系统,以及部署于主机和互联网之间的防火墙;
其中,主机,用于发起连接请求;
防火墙,用于在收到主机的连接请求后,向该主机的外接认证系统请求验证信息,并以访问策略对获得的验证信息进行认证;若认证通过,则允许访问目的连接;若认证未通过,则阻断该连接请求;
外接认证系统,用于为防火墙提供与其相连的主机的验证信息。
6.如权利要求5所述控制主机接入的系统,其特征在于,所述外接认证系统与主机之间通过USB接口相连。
7.一种防火墙,其特征在于,包括:
验证管理模块,用于在防火墙收到主机的连接请求后,向与该主机相连并且独立于该主机的外接认证系统请求验证信息;并以访问策略对获得的验证信息进行认证;
连接跟踪模块,在认证通过时被触发,用于为主机连接到访问目的连接;
阻断模块,在认证未通过时被触发,用于阻断该连接请求。
8.如权利要求7所述的防火墙,其特征在于,还包括:
连接管理模块,用于接收主机的连接请求,并根据该连接请求的数据包内容,获得所述主机的IP地址信息,并交由验证管理模块,以备其向所述外接认证系统请求验证信息。
9.如权利要求7所述的防火墙,其特征在于,还包括:
日志模块,用于在阻断所述连接请求后,记录该连接请求的信息。
10.如权利要求7所述的防火墙,其特征在于,所述外接认证系统与主机之间通过USB接口相连。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101049197A CN102088453A (zh) | 2010-01-29 | 2010-01-29 | 一种控制主机接入的方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101049197A CN102088453A (zh) | 2010-01-29 | 2010-01-29 | 一种控制主机接入的方法、系统及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102088453A true CN102088453A (zh) | 2011-06-08 |
Family
ID=44100068
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010101049197A Pending CN102088453A (zh) | 2010-01-29 | 2010-01-29 | 一种控制主机接入的方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102088453A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187459A (zh) * | 2015-10-28 | 2015-12-23 | 广州睿颢软件技术有限公司 | 账户隐私数据安保系统及其数据保护方法 |
| CN105404796A (zh) * | 2015-10-21 | 2016-03-16 | 浪潮电子信息产业股份有限公司 | 一种JavaScript源文件保护的方法及装置 |
| WO2020042471A1 (zh) * | 2018-08-31 | 2020-03-05 | 平安科技(深圳)有限公司 | 防火墙策略验证方法、系统、设备及可读存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5826014A (en) * | 1996-02-06 | 1998-10-20 | Network Engineering Software | Firewall system for protecting network elements connected to a public network |
| WO1999005813A2 (en) * | 1997-07-23 | 1999-02-04 | Visto Corporation | User authentication applet in a computer network |
| US20020069366A1 (en) * | 2000-12-01 | 2002-06-06 | Chad Schoettger | Tunnel mechanis for providing selective external access to firewall protected devices |
| US20030196122A1 (en) * | 1996-10-17 | 2003-10-16 | Wesinger Ralph E. | Firewall providing enhanced network security and user transparency |
| KR20050107891A (ko) * | 2004-05-10 | 2005-11-16 | 주식회사 모비스 | 네트워크 장치 간의 통신 방법 |
| CN1838592A (zh) * | 2006-04-26 | 2006-09-27 | 南京大学 | 一种基于高速网络数据处理平台的防火墙方法和系统 |
| CN1874223A (zh) * | 2006-06-27 | 2006-12-06 | 天津移动通信有限责任公司 | 实现网络设备mac/ip绑定的接入控制系统及方法 |
| CN101026516A (zh) * | 2006-02-22 | 2007-08-29 | 迈世亚(北京)科技有限公司 | 建立虚拟个人网络连接的方法 |
| CN100379231C (zh) * | 2003-10-21 | 2008-04-02 | 西安西邮双维通信技术有限公司 | 一种多媒体通信安全代理网关及安全代理方法 |
-
2010
- 2010-01-29 CN CN2010101049197A patent/CN102088453A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5826014A (en) * | 1996-02-06 | 1998-10-20 | Network Engineering Software | Firewall system for protecting network elements connected to a public network |
| US20030196122A1 (en) * | 1996-10-17 | 2003-10-16 | Wesinger Ralph E. | Firewall providing enhanced network security and user transparency |
| WO1999005813A2 (en) * | 1997-07-23 | 1999-02-04 | Visto Corporation | User authentication applet in a computer network |
| US20020069366A1 (en) * | 2000-12-01 | 2002-06-06 | Chad Schoettger | Tunnel mechanis for providing selective external access to firewall protected devices |
| CN100379231C (zh) * | 2003-10-21 | 2008-04-02 | 西安西邮双维通信技术有限公司 | 一种多媒体通信安全代理网关及安全代理方法 |
| KR20050107891A (ko) * | 2004-05-10 | 2005-11-16 | 주식회사 모비스 | 네트워크 장치 간의 통신 방법 |
| CN101026516A (zh) * | 2006-02-22 | 2007-08-29 | 迈世亚(北京)科技有限公司 | 建立虚拟个人网络连接的方法 |
| CN1838592A (zh) * | 2006-04-26 | 2006-09-27 | 南京大学 | 一种基于高速网络数据处理平台的防火墙方法和系统 |
| CN1874223A (zh) * | 2006-06-27 | 2006-12-06 | 天津移动通信有限责任公司 | 实现网络设备mac/ip绑定的接入控制系统及方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105404796A (zh) * | 2015-10-21 | 2016-03-16 | 浪潮电子信息产业股份有限公司 | 一种JavaScript源文件保护的方法及装置 |
| CN105187459A (zh) * | 2015-10-28 | 2015-12-23 | 广州睿颢软件技术有限公司 | 账户隐私数据安保系统及其数据保护方法 |
| CN105187459B (zh) * | 2015-10-28 | 2018-09-14 | 广州睿颢软件技术有限公司 | 账户隐私数据安保系统及其数据保护方法 |
| WO2020042471A1 (zh) * | 2018-08-31 | 2020-03-05 | 平安科技(深圳)有限公司 | 防火墙策略验证方法、系统、设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10523656B2 (en) | Session migration between network policy servers | |
| CN102047262B (zh) | 用于分布式安全内容管理系统的认证 | |
| CA2868896C (en) | Secure mobile framework | |
| WO2015101125A1 (zh) | 网络接入控制方法和设备 | |
| US11451959B2 (en) | Authenticating client devices in a wireless communication network with client-specific pre-shared keys | |
| CN104202338B (zh) | 一种适用于企业级移动应用的安全接入方法 | |
| KR20160114620A (ko) | 동적 네트워크 액세스 관리를 위한 방법들, 디바이스들 및 시스템들 | |
| WO2009037700A2 (en) | Remote computer access authentication using a mobile device | |
| WO2012094841A1 (zh) | 网络接入方法、装置及系统 | |
| DK2924944T3 (en) | Presence authentication | |
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| US20070165582A1 (en) | System and method for authenticating a wireless computing device | |
| JP2013504832A (ja) | 信頼できる認証およびログオンのための方法および装置 | |
| CN101309272A (zh) | 认证服务器及虚拟专用网的移动通信终端接入控制方法 | |
| WO2016202007A1 (zh) | 一种设备运维方法及系统 | |
| US20150249639A1 (en) | Method and devices for registering a client to a server | |
| CN106488453A (zh) | 一种portal认证的方法及系统 | |
| EP2442516A1 (en) | Access control method for tri-element peer authentication credible network connection structure | |
| EP3876497A1 (en) | Updated compliance evaluation of endpoints | |
| CN101883106A (zh) | 基于数字证书的网络接入认证方法和网络接入认证服务器 | |
| CN102185840A (zh) | 一种认证方法、设备及系统 | |
| CN101697550A (zh) | 一种双栈网络访问权限控制方法和系统 | |
| CN102271120A (zh) | 一种增强安全性的可信网络接入认证方法 | |
| CN102088453A (zh) | 一种控制主机接入的方法、系统及装置 | |
| CN101516091A (zh) | 一种基于端口的无线局域网接入控制系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification to Make Rectification |
|
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification that Application Deemed to be Withdrawn |
|
| C06 | Publication | ||
| PB01 | Publication | ||
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Examination on Formalities |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110608 |