CN103532987A - 一种防止非认证计算机设备接入企业内网的保护方法及系统 - Google Patents
一种防止非认证计算机设备接入企业内网的保护方法及系统 Download PDFInfo
- Publication number
- CN103532987A CN103532987A CN201310556869.XA CN201310556869A CN103532987A CN 103532987 A CN103532987 A CN 103532987A CN 201310556869 A CN201310556869 A CN 201310556869A CN 103532987 A CN103532987 A CN 103532987A
- Authority
- CN
- China
- Prior art keywords
- address
- terminal
- legitimate
- authentication
- authentication result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种防止非认证计算机设备接入企业内网的保护方法及系统,为了解决目前采用的企业内网阻止非认证计算机接入方法实现底层网络实现全面覆盖操作复杂的问题,和现有的接入系统的维护工作量大、网络出口速度慢的问题。本发明是在服务器上运行的服务软件,通过串行通讯接口或带内管理方式对二级单位出口路由器进行配置,在欲接入企业内网的计算机设备上安装客户端认证软件,通过用户名加密码的方式或数字证书密钥方式对用户的合法身份进行确认;客户端认证软件每隔一段固定间隔的时间通过网络向服务器发送经过加密的认证主机信息。服务器根据合法主机信息自动修改出口路由器的路由策略,确保合法IP地址的数据包正确转发。用于企业内网的保护。
Description
技术领域
本发明涉及一种防止非认证计算机设备接入企业内网的保护方法及系统。
背景技术
目前企业内网阻止非认证计算机接入主要有以下几种方式:1、利用网络交换机的标准IEEE802.1x协议功能,对每个接入交换机接口的设备进行认证,认证通过以后再开放端口进行数据包转发。这种方式配置起来十分复杂,需要对所有下属部门的全部二层交换设备的接口进行配置,管理十分不便,经常有不具备IEEE802.1x认证功能的低端交换机在网络接入层形成认证的空白区域,产生安全漏洞。2、在网关出口的位置使用防火墙等访问控制设备,配置静态的访问控制列表,对预先登记的合法IP地址放行,对非预先登记的IP地址进行阻挡。这种方式需要预先统计大量的IP地址表,对于新增或移除IP地址需要大量的审批和维护工作,同时当某个IP主机关机的时候,该IP地址容易被非法计算机盗用。3、使用专门的认证服务器接管网关处的所有网络会话,对经过认证客户端软件认证过的网络会话予以放行,丢弃没有经过客户端软件认证过的网络会话。这种方式需要将所有的网络流量转发到这台认证服务器上,由于认证服务器对网络数据包的转发速度较慢,容易形成网络速度的瓶颈。
发明内容
本发明目的是为了解决目前采用的企业内网阻止非认证计算机接入方法实现底层网络实现全面覆盖操作复杂的问题,和现有的接入系统的维护工作量大、网络出口速度慢的问题,提供了一种防止非认证计算机设备接入企业内网的保护方法及系统。
本发明所述一种防止非认证计算机设备接入企业内网的保护方法,所述方法是基于下述装置实现的,所述装置包括N个计算机终端、服务器和出口路由器网关,所述N个计算机终端中的每个计算机终端的输入输出端分别与服务器的相应的输出输入端连接;所述服务器通过出口路由器网关与企业内网连接;所述N个计算机终端均嵌入合法客户端认证模块;
所述防止非认证计算机设备接入的方法是由嵌入在服务器中的软件实现的,所述方法包括以下步骤:
接收由计算机终端每隔时间m发来的认证结果和IP地址的步骤,所述认证结果和IP地址都是经加密处理的;
对比接收到的认证结果,将经过合法认证的认证结果对应的IP地址定义为合法IP地址的步骤;
将所有合法IP地址对应的计算机终端所发送的数据包配置成正确路由的步骤;
将所有其它的网段都配置成黑洞路由的步骤;
对所有合法IP地址都分别对应一个老化时间n的步骤,其中,n代表从上次接收到该合法IP地址发送过来的合法认证结果到当前时刻所经历的时间;
当n>3m时,在出口路由网关内删除该合法IP地址对应的有效路由条目的步骤。
一种防止非认证计算机设备接入企业内网的保护系统,包括N个计算机终端、服务器和出口路由器网关,所述N个计算机终端中的每个计算机终端的输入输出端分别与服务器的相应的输出输入端连接;所述服务器通过出口路由器网关与企业内网连接;所述N个计算机终端均嵌入合法客户端认证模块;
所述服务器内部嵌入有软件实现的控制装置,该装置包括:
用于接收由计算机终端每隔时间m发来的认证结果和IP地址的模块,所述认证结果和IP地址都是经加密处理的;
用于对比接收到的认证结果,将经过合法认证的认证结果对应的IP地址定义为合法IP地址的模块;
用于将所有合法IP地址对应的计算机终端所发送的数据包配置成正确路由的模块;
用于将所有其它的网段都配置成黑洞路由的模块;
用于对所有合法IP地址都分别对应一个老化时间n的模块,其中,n代表从上次接收到该合法IP地址发送过来的合法认证结果到当前时刻所经历的时间;
用于当n>3m时,在出口路由网关内删除该合法IP地址对应的有效路由条目的模块。
本发明的优点:使用本发明的方法对企业内网进行安全接入控制,可以对底层网络实现全面覆盖,实现所有下属单位网络接入的计算机设备如果没有经过本系统的认证都无法通过网关访问企业内网的其它部分;且系统部署完成以后,维护工作极少,网络管理员再也不用为增加或移除某个IP地址去手工配置网络设备。由于控制数据包是否通过的隔离设备仍采用原有网络出口处的路由设备,不需要额外购买新的网络设备,对网络出口速度的影响也微乎其微。
附图说明
图1是本发明所述一种防止非认证计算机设备接入企业内网的保护系统的结构示意图。
具体实施方式
具体实施方式一:下面结合图1说明本实施方式,本实施方式所述一种防止非认证计算机设备接入企业内网的保护方法,所述方法是基于下述装置实现的,所述装置包括N个计算机终端1、服务器2和出口路由器网关3,所述N个计算机终端1中的每个计算机终端1的输入输出端分别与服务器2的相应的输出输入端连接;所述服务器2通过出口路由器网关3与企业内网连接;所述N个计算机终端1均嵌入合法客户端认证模块;
所述防止非认证计算机设备接入的方法是由嵌入在服务器2中的软件实现的,所述方法包括以下步骤:
接收由计算机终端1每隔时间m发来的认证结果和IP地址的步骤,所述认证结果和IP地址都是经加密处理的;
对比接收到的认证结果,将经过合法认证的认证结果对应的IP地址定义为合法IP地址的步骤;
将所有合法IP地址对应的计算机终端1所发送的数据包配置成正确路由的步骤;
将所有其它的网段都配置成黑洞路由的步骤;
对所有合法IP地址都分别对应一个老化时间n的步骤,其中,n代表从上次接收到该合法IP地址发送过来的合法认证结果到当前时刻所经历的时间;
当n>3m时,在出口路由网关内删除该合法IP地址对应的有效路由条目的步骤。
具体实施方式二:下面结合图1说明本实施方式,本实施方式对实施方式一作进一步说明,所述认证结果和IP地址的加密处理是由计算机终端1内嵌入的合法客户端认证模块实现的,具体实现步骤为:
将认证结果采用非对称加密算法加密的步骤;
将计算机终端1的IP地址采用非对称加密算法加密的步骤。
具体实施方式三:下面结合图1说明本实施方式,本实施方式所述一种防止非认证计算机设备接入企业内网的保护系统,包括N个计算机终端1、服务器2和出口路由器网关3,所述N个计算机终端1中的每个计算机终端1的输入输出端分别与服务器2的相应的输出输入端连接;所述服务器2通过出口路由器网关3与企业内网连接;所述N个计算机终端1均嵌入合法客户端认证模块;
所述服务器2内部嵌入有软件实现的控制装置,该装置包括:
用于接收由计算机终端1每隔时间m发来的认证结果和IP地址的模块,所述认证结果和IP地址都是经加密处理的;
用于对比接收到的认证结果,将经过合法认证的认证结果对应的IP地址定义为合法IP地址的模块;
用于将所有合法IP地址对应的计算机终端1所发送的数据包配置成正确路由的模块;
用于将所有其它的网段都配置成黑洞路由的模块;
用于对所有合法IP地址都分别对应一个老化时间n的模块,其中,n代表从上次接收到该合法IP地址发送过来的合法认证结果到当前时刻所经历的时间;
用于当n>3m时,在出口路由网关内删除该合法IP地址对应的有效路由条目的模块。
具体实施方式四:下面结合图1说明本实施方式,本实施方式是对具体实施方式三的进一步说明,所述认证结果和IP地址的加密处理是由计算机终端1内嵌入的合法客户端认证模块实现的,该模块包括:
用于将认证结果采用非对称加密算法加密的单元;
用于将计算机终端1的IP地址采用非对称加密算法加密的单元。
工作原理:在企业多个二级单位出口路由器下端的交换机上连接一台服务器2。服务器2上运行的服务软件可以通过串行通讯接口或者带内管理方式对二级单位出口路由器进行配置直接修改。在所有需要接入企业内网的计算机设备上安装客户端认证软件,通过用户名加密码的方式或者数字证书密钥方式对用户的合法身份进行确认。对于确认后的合法接入计算机设备,客户端认证软件每隔一段固定间隔的时间通过网络向服务器2发送经过加密的认证主机信息。服务器2根据本单位下属的所有客户端认证软件提交的合法主机信息自动修改出口路由器的路由策略,确保来自所有在线合法主机IP地址的数据包能够被正确的路由转发,而不在合法主机范围内的其它IP地址向企业内网发送的数据包会被转发到黑洞路由而丢弃。
Claims (4)
1.一种防止非认证计算机设备接入企业内网的保护方法,所述方法是基于下述装置实现的,所述装置包括N个计算机终端(1)、服务器(2)和出口路由器网关(3),所述N个计算机终端(1)中的每个计算机终端(1)的输入输出端分别与服务器(2)的相应的输出输入端连接;所述服务器(2)通过出口路由器网关(3)与企业内网连接;所述N个计算机终端(1)均嵌入合法客户端认证模块;
其特征在于,所述防止非认证计算机设备接入的方法是由嵌入在服务器(2)中的软件实现的,所述方法包括以下步骤:
接收由计算机终端(1)每隔时间m发来的认证结果和IP地址的步骤,所述认证结果和IP地址都是经加密处理的;
对比接收到的认证结果,将经过合法认证的认证结果对应的IP地址定义为合法IP地址的步骤;
将所有合法IP地址对应的计算机终端(1)所发送的数据包配置成正确路由的步骤;
将所有其它的网段都配置成黑洞路由的步骤;
对所有合法IP地址都分别对应一个老化时间n的步骤,其中,n代表从上次接收到该合法IP地址发送过来的合法认证结果到当前时刻所经历的时间;
当n>3m时,在出口路由网关内删除该合法IP地址对应的有效路由条目的步骤。
2.根据权利要求1所述一种防止非认证计算机设备接入企业内网的保护方法,其特征在于,所述认证结果和IP地址的加密处理是由计算机终端(1)内嵌入的合法客户端认证模块实现的,具体实现步骤为:
将认证结果采用非对称加密算法加密的步骤;
将计算机终端(1)的IP地址采用非对称加密算法加密的步骤。
3.一种防止非认证计算机设备接入企业内网的保护系统,包括N个计算机终端(1)、服务器(2)和出口路由器网关(3),所述N个计算机终端(1)中的每个计算机终端(1)的输入输出端分别与服务器(2)的相应的输出输入端连接;所述服务器(2)通过出口路由器网关(3)与企业内网连接;所述N个计算机终端(1)均嵌入合法客户端认证模块;
其特征在于,所述服务器(2)内部嵌入有软件实现的控制装置,该装置包括:
用于接收由计算机终端(1)每隔时间m发来的认证结果和IP地址的模块,所述认证结果和IP地址都是经加密处理的;
用于对比接收到的认证结果,将经过合法认证的认证结果对应的IP地址定义为合法IP地址的模块;
用于将所有合法IP地址对应的计算机终端(1)所发送的数据包配置成正确路由的模块;
用于将所有其它的网段都配置成黑洞路由的模块;
用于对所有合法IP地址都分别对应一个老化时间n的模块,其中,n代表从上次接收到该合法IP地址发送过来的合法认证结果到当前时刻所经历的时间;
用于当n>3m时,在出口路由网关内删除该合法IP地址对应的有效路由条目的模块。
4.根据权利要求3所述一种防止非认证计算机设备接入企业内网的保护系统,其特征在于,所述认证结果和IP地址的加密处理是由计算机终端(1)内嵌入的合法客户端认证模块实现的,该模块包括:
用于将认证结果采用非对称加密算法加密的单元;
用于将计算机终端(1)的IP地址采用非对称加密算法加密的单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310556869.XA CN103532987B (zh) | 2013-11-11 | 2013-11-11 | 一种防止非认证计算机设备接入企业内网的保护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310556869.XA CN103532987B (zh) | 2013-11-11 | 2013-11-11 | 一种防止非认证计算机设备接入企业内网的保护方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103532987A true CN103532987A (zh) | 2014-01-22 |
| CN103532987B CN103532987B (zh) | 2016-06-29 |
Family
ID=49934666
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310556869.XA Active CN103532987B (zh) | 2013-11-11 | 2013-11-11 | 一种防止非认证计算机设备接入企业内网的保护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103532987B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104135729A (zh) * | 2014-07-30 | 2014-11-05 | 国家电网公司 | 一种无线终端安全接入信息内网的系统及方法 |
| CN108933794A (zh) * | 2018-08-22 | 2018-12-04 | 广州视源电子科技股份有限公司 | 一种加入企业策略的方法、装置、设备及服务器 |
| WO2022227799A1 (zh) * | 2021-04-29 | 2022-11-03 | 华为技术有限公司 | 设备注册方法及装置、计算机设备、存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050063399A1 (en) * | 2003-08-11 | 2005-03-24 | Makoto Zaitsu | Public internet connecting service system and access line connecting device |
| CN1992710A (zh) * | 2005-12-27 | 2007-07-04 | 中兴通讯股份有限公司 | 一种用户终端接入软交换网络的安全交互方法 |
| CN101127600A (zh) * | 2006-08-14 | 2008-02-20 | 华为技术有限公司 | 一种用户接入认证的方法 |
| CN201479143U (zh) * | 2009-09-17 | 2010-05-19 | 北京鼎普科技股份有限公司 | 内网安全管理系统 |
| CN101841525A (zh) * | 2010-03-02 | 2010-09-22 | 中国联合网络通信集团有限公司 | 安全接入方法、系统及客户端 |
| US20100332820A1 (en) * | 2008-02-25 | 2010-12-30 | Hideki Matsushima | Information security device and information security system |
-
2013
- 2013-11-11 CN CN201310556869.XA patent/CN103532987B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050063399A1 (en) * | 2003-08-11 | 2005-03-24 | Makoto Zaitsu | Public internet connecting service system and access line connecting device |
| CN1992710A (zh) * | 2005-12-27 | 2007-07-04 | 中兴通讯股份有限公司 | 一种用户终端接入软交换网络的安全交互方法 |
| CN101127600A (zh) * | 2006-08-14 | 2008-02-20 | 华为技术有限公司 | 一种用户接入认证的方法 |
| US20100332820A1 (en) * | 2008-02-25 | 2010-12-30 | Hideki Matsushima | Information security device and information security system |
| CN201479143U (zh) * | 2009-09-17 | 2010-05-19 | 北京鼎普科技股份有限公司 | 内网安全管理系统 |
| CN101841525A (zh) * | 2010-03-02 | 2010-09-22 | 中国联合网络通信集团有限公司 | 安全接入方法、系统及客户端 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104135729A (zh) * | 2014-07-30 | 2014-11-05 | 国家电网公司 | 一种无线终端安全接入信息内网的系统及方法 |
| CN108933794A (zh) * | 2018-08-22 | 2018-12-04 | 广州视源电子科技股份有限公司 | 一种加入企业策略的方法、装置、设备及服务器 |
| CN108933794B (zh) * | 2018-08-22 | 2021-08-10 | 广州视源电子科技股份有限公司 | 一种加入企业策略的方法、装置、设备及服务器 |
| WO2022227799A1 (zh) * | 2021-04-29 | 2022-11-03 | 华为技术有限公司 | 设备注册方法及装置、计算机设备、存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103532987B (zh) | 2016-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101585936B1 (ko) | 가상 사설 망 관리 시스템 및 그 방법 | |
| US8886934B2 (en) | Authorizing physical access-links for secure network connections | |
| US7917621B2 (en) | Method and system for network access control | |
| US8407462B2 (en) | Method, system and server for implementing security access control by enforcing security policies | |
| US20130332724A1 (en) | User-Space Enabled Virtual Private Network | |
| EP3432523A1 (en) | Method and system for connecting virtual private network by terminal, and related device | |
| US10785196B2 (en) | Encryption key management of client devices and endpoints within a protected network | |
| ITTO20070853A1 (it) | Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali | |
| US20130283050A1 (en) | Wireless client authentication and assignment | |
| EP2706717A1 (en) | Method and devices for registering a client to a server | |
| WO2018213330A1 (en) | Certificate pinning by a tunnel endpoint | |
| WO2014046604A2 (en) | Method and device for network communication management | |
| CN103532987B (zh) | 一种防止非认证计算机设备接入企业内网的保护方法及系统 | |
| KR101047994B1 (ko) | 네트워크 기반 단말인증 및 보안방법 | |
| CN100466599C (zh) | 一种专用局域网的安全访问方法及用于该方法的装置 | |
| KR101821794B1 (ko) | 보안 ip 통신 서비스를 제공하기 위한 장치, 방법 및 통신 시스템 | |
| Funmilola et al. | Review of Computer Network Security System | |
| Cisco | Network Design Considerations | |
| Dubroca | MACsec: Encryption for the wired LAN | |
| Leischner et al. | Security through VLAN segmentation: Isolating and securing critical assets without loss of usability | |
| WO2013072046A1 (en) | Secure tunneling platform system and method | |
| US20240195795A1 (en) | Computer-implemented methods and systems for establishing and/or controlling network connectivity | |
| Tr | Principles and practices for securing software-defined networks | |
| Lin et al. | Security research of VPN technology based on MPLS | |
| KR20160119549A (ko) | 네트워크 vpn 기반의 네트워크 가상화 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Zhao Jun Inventor after: Zhao Wei Inventor after: Chen Hong Inventor after: Wang Guoqing Inventor after: Wu Weidong Inventor after: Gong Benchao Inventor after: Sun Shaohui Inventor after: Zhang Shuang Inventor before: Zhao Jun |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |