CN105025016A - 一种内网终端准入控制方法 - Google Patents
一种内网终端准入控制方法 Download PDFInfo
- Publication number
- CN105025016A CN105025016A CN201510372960.5A CN201510372960A CN105025016A CN 105025016 A CN105025016 A CN 105025016A CN 201510372960 A CN201510372960 A CN 201510372960A CN 105025016 A CN105025016 A CN 105025016A
- Authority
- CN
- China
- Prior art keywords
- terminal equipment
- network
- safety inspection
- equipment
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种内网终端准入控制方法,所述方法由与核心交换机连接的准入控制网关和安装在终端设备上的安全检查助手实现。首先由准入控制网关从捕获的网络数据包中获取网络会话的源IP和目的IP地址;然后向目的IP地址发送断开会话数据包,结束原有网络会话;最后通过网关控制端口向源IP设备发送会话重定向数据包,使源IP地址的终端设备所有的网络访问行为重定向指定的地址,强制其只能访问指定的网络资源,使未进行入网注册或未通过所述安全检查助手进行的安全检查的终端设备无法使用内网资源。本发明可以实现对终端设备入网的有效控制,规范内网终端设备的安全配置水平,提升内网安全管理力度和安全防护能力,大大降低管理工作量。
Description
技术领域
本发明属于信息安全领域,涉及一种内网终端准入控制方法。
背景技术
当前,中国国内针对终端设备(如计算机)内网准入控制安全管理问题进行了深入研究。经查阅相关资料发现,现有的内网准入控制方法普遍采用基于Arp欺骗、基于交换机端口(如802.1X认证)或基于DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)等控制授权手段。但是原有的控制方式都存在着一定的局限性。目前很多安全软件都具备Arp防火墙功能,能够抵御Arp欺骗,使得基于Arp欺骗技术准入控制功能失效。802.1X协议认证采用基于端口认证的方式,如果终端设备和认证交换机中间采用了共享设备,则存在一台终端设备认证通过,其他共享设备均可访问网络问题。另一种基于端口认证的方式是通过交换机采集新终端,提取终端的唯一标识,将终端与交换机的端口关联;将唯一标识与准入数据库的MAC地址比对,进行判断,但这种方式存在MAC伪造的可能性。基于DHCP服务器以及终端准入控制方法,通过DHCP服务器对IP资源池中的内网IP进行管理,有效分配IP的使用。虽然通过对内网中合法的客户端预先进行处理,使用非对称加密对二者直接的传输内容进行加密,有效地防止了伪MAC地址欺骗风险,但是采用DHCP服务器对内网中终端设备IP地址进行动态分配,无法满足内网中每个客户端具备的固定IP的要求,不便于进行内网安全管理。
发明内容
针对现有技术中存在的上述问题,本发明提出一种内网终端准入控制方法,通过网络数据监听、会话劫持、身份认证和安全性检查等主动式网络安全管理技术,实现对终端设备(如终端计算机)接入内网进行认证和安全检查,控制终端设备的访问权限,有效限制不可信、非安全终端设备对内网资源的访问,从而达到保护网络及终端设备安全的目的。
为实现上述目的,本发明采取如下技术手段。
一种内网终端准入控制方法,由采用镜像方式与核心交换机连接的准入控制网关和安装在终端设备上的安全检查助手实现。其特征在于,所述准入控制方法包括以下步骤:
首先由所述准入控制网关从捕获的网络数据包中获取网络会话的源IP和目的IP地址;然后向目的IP地址发送断开会话数据包,结束原有网络会话;最后通过网关控制端口向源IP设备发送会话重定向数据包,使得源IP地址的终端设备所有的网络访问行为重定向指定的地址,强制其只能访问指定的网络资源,使未进行入网注册或未通过所述安全检查助手进行的安全检查的终端设备无法使用内网资源。
进一步地,所述安全检查助手进行的安全检查包括:对准备入网的终端设备进行安全检查,对已入网的终端设备进行定期安全检查。检查终端设备的安全配置是否符合入网条件,并将检查结果上报准入控制网关。所述安全配置内容包括:补丁安装,杀毒软件安装,账户口令设定,应用安装。
进一步地,所述网络访问行为重定向通过访问白名单和灰名单实现,所述白名单中的设备为已注册且通过安全检查的设备和设置为保护的设备,所述灰名单中的设备为已注册但未通过安全检查的设备。具体方法如下:
所述准入控制网关根据源IP地址查找白名单和灰名单。如果所述源IP地址的终端设备不在白名单但在灰名单中,将其网络访问重定向至修复区,对所述终端设备进行安全修复;如果所述源IP地址的终端设备既不在白名单中,也不在灰名单中,则进行身份验证。如果未通过验证,则对其进行重定向处理,重定向到注册向导页;如果通过验证,则将其列入白名单。如果所述终端设备为保护设备,不进行身份验证,由所述准入网关将其直接列入白名单作保护标记,直接放行所述保护设备的网络访问行为。
优选地,所述准入控制网关对白名单中的设备进行身份验证和安全检查,将未通过身份验证的设备从白名单中剔除,将未通过安全检查的设备加入灰名单。
进一步地,所述身份验证方法包括以下步骤:
所述准入控制网关随机产生一个字符串,对所述字符串进行SM4加密运算后发送给源IP地址的终端设备;
如果所述终端设备已入网注册,则所述终端设备上安装的安全检查助手在接到所述发送的加密数据包后,解密所述数据包取得字符串;
所述安全助手对所述解密的字符串进行事先约定的逻辑运算,然后重新进行SM4加密运算,并发送给所述准入控制网关;
所述准入控制网关接收到所述加密数据包后,解密所述数据包,取得经逻辑运算后的字符串。将该字符串与所述准入控制网关随机产生的字符串进行同样的逻辑运算后的结果进行比较,如果相同,则通过身份验证;如果不同,或未在指定时间内接受到终端设备回复的数据包,则未通过身份验证。
与现有技术相比,本发明具有以下优点:
(1)本发明采用会话重定向技术,实现引导终端设备满足安全管理要求的情况下方可入网控制;
(2)通过主机安全检查和监控技术,使所有接入内网的终端设备的安全配置水平达到了统一的高度,并实现了对内网终端设备的安全配置的实时监控。
(3)通过身份认证技术和认证密钥周期变换,避免了终端设备伪造攻击可能性的发生。
附图说明
图1为本发明实施例的系统部署图;
图2为本发明实施例涉及的准入控制方法流程图。
具体实施方式
下面结合附图和实施例对本发明做进一步说明。
本发明所涉及的内网终端准入控制系统的部署图如图1所示,包括准入控制网关和安装了安全检查助手的终端计算机。其中,准入控制网关采用镜像的方式接入到核心交换机上,通过监测所有访问服务区的网络数据包实现内网终端计算机入网的接入控制管理。准入控制网关通过分析网络数据包发现接入内网的终端计算机。对于新入网的计算机,在访问网络资源时,新入网计算机将被强制重定向到入网注册向导页面,强制用户按照内网管理要求安装注册安全检查助手。输入合法用户信息注册后,根据安全检查策略对新入网计算机进行安全检查。如果检查通过,允许新入网计算机入网并使用内网资源;如果检查未通过,对新入网计算机重定向安全修复区进行修复,直到安全检查通过后才允许其入网。对于已入网的终端计算机,安全检查助手同时监测其安全情况,根据准入控制网关配置的安全检查策略进行安全检查,如果发现不符合安全管理,阻断其使用内网资源,并将其重定向至安全修复区,要求其进行安全修复后才能再次入网。
本实施例所涉及的准入控制流程图如图2所示,具体包括以下步骤:
准入控制网关监听网络数据包,通过分析数据包获得网络会话的源IP和目的IP地址。然后,在白名单和灰名单中查找所述源IP地址的终端计算机,并根据查找结果进行以下操作:
若不在白名单但在灰名单中,将其网络访问重定向至修复区,要求终端计算机进行安全修复;
若既不在白名单中,也不在灰名单中,则进行身份验证,身份验证的方法如下:
(1)准入控制网关随机产生一个字符串,对该字符串进行SM4加密运算后发送给源IP地址的终端计算机;
(2)如果该终端计算机已入网注册,则在该终端计算机上安装的安全检查助手在接到步骤(1)发送的加密数据包后,解密该数据包取得字符串;
(3)安全助手对步骤(2)解密得到的字符串进行事先约定的逻辑运算,然后重新进行SM4加密运算,并发送给准入控制网关;
(4)准入控制网关接收到步骤(3)发送的加密数据包后,解密该数据包,取得经逻辑运算后的字符串。将该字符串与步骤(1)产生的字符串进行同样的逻辑运算后的结果进行比较,如果相同,则认为通过了身份验证;如果不同,或未在指定时间内接受到终端设备回复的数据包,则认为未通过身份验证。
为避免长时间密钥不发生变化,为攻击者破解加密提供机会,在系统部署初期随机生产一套密钥,根据系统设定的时间周期,系统将对密钥进行周期性变换。
如果未通过身份验证,则对该终端计算机进行重定向处理,重定向到注册向导页;如果通过验证,则将终端计算机列入白名单。如果终端设备为保护设备,不进行身份验证,由准入网关将其直接列入白名单作保护标记,直接放行保护设备的网络访问行为。
准入控制网关对白名单中的设备定期进行身份验证和安全检查,将未通过身份验证的设备从白名单中剔除,将未通过安全检查的设备加入灰名单。安全检查主要是检查终端设备安全配置是否符合入网条件,并将检查结果上报所述准入控制网关。所述安全配置包括:补丁安装,杀毒软件安装,账户口令设定,应用安装等。
本发明不限于上述实施方式,本领域技术人员所做出的对上述实施方式任何显而易见的改进或变更,都不会超出本发明的构思和所附权利要求的保护范围。
Claims (5)
1.一种内网终端准入控制方法,由采用镜像方式与核心交换机连接的准入控制网关和安装在终端设备上的安全检查助手实现;其特征在于,所述内网终端准入控制方法包括以下步骤:
首先由所述准入控制网关从捕获的网络数据包中获取网络会话的源IP和目的IP地址;然后向目的IP地址发送断开会话数据包,结束原有网络会话;最后通过网关控制端口向源IP设备发送会话重定向数据包,使源IP地址的终端设备所有的网络访问行为重定向指定的地址,强制其只能访问指定的网络资源,使未进行入网注册或未通过所述安全检查助手进行的安全检查的终端设备无法使用内网资源。
2.根据权利要求1所述的内网终端准入控制方法,其特征在于,所述安全检查助手进行的安全检查包括:对准备入网的终端设备进行安全检查,对已入网的终端设备进行安全检查;检查终端设备的安全配置是否符合入网条件,并将检查结果上报准入控制网关;所述安全配置包括:补丁安装,杀毒软件安装,账户口令设定,应用安装。
3.根据权利要求1所述的内网终端准入控制方法,其特征在于,所述网络访问行为重定向通过访问白名单和灰名单实现,所述白名单中的设备为已注册且通过安全检查的设备,所述灰名单中的设备为已注册但未通过安全检查的设备;具体方法如下:
所述准入控制网关根据源IP地址查找白名单和灰名单;如果所述源IP地址的终端设备不在白名单但在灰名单中,将其网络访问重定向至修复区,对所述终端设备进行安全修复;如果所述源IP地址的终端设备既不在白名单中,也不在灰名单中,则进行身份验证;如果未通过验证,则对其进行重定向处理,重定向到注册向导页;如果通过验证,则将其列入白名单;如果所述终端设备为保护设备,不进行身份验证,由所述准入网关将其直接列入白名单作保护标记,直接放行所述保护设备的网络访问行为。
4.根据权利要求3所述的内网终端准入控制方法,其特征在于,所述准入控制网关对白名单中的设备进行身份验证和安全检查,将未通过身份验证的设备从白名单中剔除,将未通过安全检查的设备加入灰名单。
5.根据权利要求4所述的内网终端准入控制方法,其特征在于,所述身份验证方法包括以下步骤:
所述准入控制网关随机产生一个字符串,对所述字符串进行SM4加密运算后发送给源IP地址的终端设备;
如果所述终端设备已入网注册,则所述终端设备上安装的安全检查助手在接到所述发送的加密数据包后,解密所述数据包取得字符串;
所述安全助手对所述解密的字符串进行事先约定的逻辑运算,然后重新进行SM4加密运算,并发送给所述准入控制网关;
所述准入控制网关接收到所述加密数据包后,解密所述数据包,取得经逻辑运算后的字符串;将该字符串与所述准入控制网关随机产生的字符串进行同样的逻辑运算后的结果进行比较,如果相同,则通过身份验证;如果不同,或未在指定时间内接受到终端设备回复的数据包,则未通过身份验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510372960.5A CN105025016A (zh) | 2015-06-30 | 2015-06-30 | 一种内网终端准入控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510372960.5A CN105025016A (zh) | 2015-06-30 | 2015-06-30 | 一种内网终端准入控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105025016A true CN105025016A (zh) | 2015-11-04 |
Family
ID=54414721
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510372960.5A Pending CN105025016A (zh) | 2015-06-30 | 2015-06-30 | 一种内网终端准入控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105025016A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106686003A (zh) * | 2017-02-28 | 2017-05-17 | 浙江远望信息股份有限公司 | 旁路部署的网络准入控制系统及方法 |
| CN106919621A (zh) * | 2015-12-28 | 2017-07-04 | 航天信息股份有限公司 | 交易信息查询方法、查询装置及查询系统 |
| CN107070951A (zh) * | 2017-05-25 | 2017-08-18 | 北京北信源软件股份有限公司 | 一种内网安全防护系统和方法 |
| CN107332803A (zh) * | 2016-04-29 | 2017-11-07 | 北京北信源软件股份有限公司 | 一种基于终端主机安全状态的准入控制方法和系统 |
| CN107483461A (zh) * | 2017-08-30 | 2017-12-15 | 北京奇安信科技有限公司 | 一种nat环境下的终端准入控制方法及装置 |
| CN109510829A (zh) * | 2018-11-21 | 2019-03-22 | 张天真 | 一种网络终端控制方法 |
| CN110519127A (zh) * | 2019-09-19 | 2019-11-29 | 腾讯科技(深圳)有限公司 | 网络延时的探测方法、装置和存储介质 |
| CN114124473A (zh) * | 2021-11-02 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 基于端口镜像的网络准入认证系统及认证方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1753364A (zh) * | 2005-10-26 | 2006-03-29 | 杭州华为三康技术有限公司 | 网络接入控制方法及系统 |
| CN1798064A (zh) * | 2004-12-30 | 2006-07-05 | 华为技术有限公司 | 一种保证无线宽带接入系统数据业务安全的方法及系统 |
| CN101714927A (zh) * | 2010-01-15 | 2010-05-26 | 福建伊时代信息科技股份有限公司 | 内网安全综合管理的网络接入控制方法 |
| CN103167491A (zh) * | 2011-12-15 | 2013-06-19 | 上海格尔软件股份有限公司 | 一种基于软件数字证书的移动终端唯一性认证方法 |
-
2015
- 2015-06-30 CN CN201510372960.5A patent/CN105025016A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1798064A (zh) * | 2004-12-30 | 2006-07-05 | 华为技术有限公司 | 一种保证无线宽带接入系统数据业务安全的方法及系统 |
| CN1753364A (zh) * | 2005-10-26 | 2006-03-29 | 杭州华为三康技术有限公司 | 网络接入控制方法及系统 |
| CN101714927A (zh) * | 2010-01-15 | 2010-05-26 | 福建伊时代信息科技股份有限公司 | 内网安全综合管理的网络接入控制方法 |
| CN103167491A (zh) * | 2011-12-15 | 2013-06-19 | 上海格尔软件股份有限公司 | 一种基于软件数字证书的移动终端唯一性认证方法 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106919621B (zh) * | 2015-12-28 | 2021-03-26 | 航天信息股份有限公司 | 交易信息查询方法、查询装置及查询系统 |
| CN106919621A (zh) * | 2015-12-28 | 2017-07-04 | 航天信息股份有限公司 | 交易信息查询方法、查询装置及查询系统 |
| CN107332803A (zh) * | 2016-04-29 | 2017-11-07 | 北京北信源软件股份有限公司 | 一种基于终端主机安全状态的准入控制方法和系统 |
| CN106686003A (zh) * | 2017-02-28 | 2017-05-17 | 浙江远望信息股份有限公司 | 旁路部署的网络准入控制系统及方法 |
| CN106686003B (zh) * | 2017-02-28 | 2019-05-24 | 浙江远望信息股份有限公司 | 旁路部署的网络准入控制系统及方法 |
| CN107070951A (zh) * | 2017-05-25 | 2017-08-18 | 北京北信源软件股份有限公司 | 一种内网安全防护系统和方法 |
| CN107483461A (zh) * | 2017-08-30 | 2017-12-15 | 北京奇安信科技有限公司 | 一种nat环境下的终端准入控制方法及装置 |
| CN107483461B (zh) * | 2017-08-30 | 2020-06-12 | 奇安信科技集团股份有限公司 | 一种nat环境下的终端准入控制方法及装置 |
| CN109510829A (zh) * | 2018-11-21 | 2019-03-22 | 张天真 | 一种网络终端控制方法 |
| CN110519127A (zh) * | 2019-09-19 | 2019-11-29 | 腾讯科技(深圳)有限公司 | 网络延时的探测方法、装置和存储介质 |
| CN110519127B (zh) * | 2019-09-19 | 2021-12-07 | 腾讯科技(深圳)有限公司 | 网络延时的探测方法、装置和存储介质 |
| CN114124473A (zh) * | 2021-11-02 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 基于端口镜像的网络准入认证系统及认证方法 |
| CN114124473B (zh) * | 2021-11-02 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 基于端口镜像的网络准入认证系统及认证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105025016A (zh) | 一种内网终端准入控制方法 | |
| US6745333B1 (en) | Method for detecting unauthorized network access by having a NIC monitor for packets purporting to be from itself | |
| CN100563158C (zh) | 网络接入控制方法及系统 | |
| CN111586025B (zh) | 一种基于sdn的sdp安全组实现方法及安全系统 | |
| CN101415012B (zh) | 一种防御地址解析协议报文攻击的方法和系统 | |
| US8060927B2 (en) | Security state aware firewall | |
| CN1889430A (zh) | 基于802.1x的终端宽带接入的安全认证控制方法 | |
| CN103428211A (zh) | 基于交换机的网络认证系统及其认证方法 | |
| CN102438028A (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
| CN110830446A (zh) | 一种spa安全验证的方法和装置 | |
| WO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
| US20170180382A1 (en) | Method and Apparatus for Using Software Defined Networking and Network Function Virtualization to Secure Residential Networks | |
| Srinath et al. | Detection and Prevention of ARP spoofing using Centralized Server | |
| CN105207778A (zh) | 一种在接入网关设备上实现包身份标识及数字签名的方法 | |
| KR101064382B1 (ko) | 통신 네트워크에서의 arp 공격 차단 시스템 및 방법 | |
| Pradana et al. | The dhcp snooping and dhcp alert method in securing dhcp server from dhcp rogue attack | |
| JP2013522786A (ja) | 方法を実行するデバイスを介してアクセス可能なデータまたはサービスに対するアクセスのセキュリティを保護する方法、およびそれに対応するデバイス | |
| CN100471167C (zh) | 无线接入宽带用户的管理方法及其装置 | |
| CN102045310A (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| JP5715030B2 (ja) | アクセス回線特定・認証システム | |
| KR101047994B1 (ko) | 네트워크 기반 단말인증 및 보안방법 | |
| Jadhav et al. | Detection and mitigation of arp spoofing attack | |
| US11539741B2 (en) | Systems and methods for preventing, through machine learning and access filtering, distributed denial of service (“DDoS”) attacks originating from IoT devices | |
| WO2024066059A1 (zh) | 基于sdp和边缘计算的工业互联网安全系统及方法 | |
| CN102136985A (zh) | 一种接入方法和接入设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151104 |