CN106209778B - 一种基于ndis过滤驱动的网络准入系统及方法 - Google Patents

一种基于ndis过滤驱动的网络准入系统及方法 Download PDF

Info

Publication number
CN106209778B
CN106209778B CN201610475224.7A CN201610475224A CN106209778B CN 106209778 B CN106209778 B CN 106209778B CN 201610475224 A CN201610475224 A CN 201610475224A CN 106209778 B CN106209778 B CN 106209778B
Authority
CN
China
Prior art keywords
ndis
computer
authentication
access equipment
filtration drive
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610475224.7A
Other languages
English (en)
Other versions
CN106209778A (zh
Inventor
高毅龙
涂高元
邱志斌
陈雅贤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
XIAMEN TIPRAY TECHNOLOGY Co Ltd
Original Assignee
XIAMEN TIPRAY TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by XIAMEN TIPRAY TECHNOLOGY Co Ltd filed Critical XIAMEN TIPRAY TECHNOLOGY Co Ltd
Priority to CN201610475224.7A priority Critical patent/CN106209778B/zh
Publication of CN106209778A publication Critical patent/CN106209778A/zh
Application granted granted Critical
Publication of CN106209778B publication Critical patent/CN106209778B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种基于NDIS过滤驱动的网络准入系统,包括一企业内部系统;一客户端;一NDIS准入设备,该NDIS准入设备包括应用层程序模块和NDIS过滤驱动模块;一认证服务器,用于提供Web认证页面;方法包括以下步骤:将计算机通过交换机设备连接NDIS准入设备,NDIS准入设备、认证服务器和企业内部系统分别通过三层交换机连接于以太网;NDIS准入设备根据未通过身份认证的计算机和通过身份认证的计算机,对过往的数据包进行放行、丢弃或者重定向;本发明通过基于NDIS准入设备的NDIS过滤驱动模块来实现网络准入的功能,不仅通用性强,成本低廉,而且安装和维护便捷,且在驱动层直接构造重定向的数据包,有效地提高了工作效率。

Description

一种基于NDIS过滤驱动的网络准入系统及方法
技术领域
本发明涉及网络准入系统领域,特别是涉及一种基于NDIS过滤驱动的网络准入系统及方法。
背景技术
企业内部的网络资源是公司的财产与机密,不能随意让外来电脑访问,需要在计算机访问网络资源前确保该计算机的身份是可信任的,所以要在对计算机访问网络前进行身份认证。身份认证也称为身份验证或身份鉴别,是指在计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。
现有技术中,身份认证通常是基于定制的硬件设备来实现PPPOE、Web+Portal、802.1x等网络准入方式,然而,上述的方式对计算机和网络系统提出了较高的硬件要求,不仅需要购买专门的硬件设备,存在通用性差、实施成本高等缺点,而且安装和维护较为麻烦,如果硬件发生损坏,需要找专门的机构维修,严重降低了工作效率。
有鉴于此,本发明人专门设计了一种基于NDIS过滤驱动的网络准入系统及方法,本案由此产生。
发明内容
本发明的目的在于提供一种基于NDIS过滤驱动的网络准入系统及方法,以无需依靠定制的硬件设备,便可实现网络准入的功能,加强其通用性,降低实施成本,方便安装和维护以及提高工作效率。
为了实现上述目的,本发明采用的技术方案如下:
一种基于NDIS过滤驱动的网络准入系统,包括:
一企业内部系统,用于存储企业内部的网络资源;
一客户端,用于访问网络,该客户端包括复数台计算机;
一NDIS准入设备,NDIS准入设备包括应用层程序模块和NDIS过滤驱动模块,该应用层程序模块用于接收认证结果及权限信息,并将该认证结果及权限信息发送至NDIS过滤驱动模块;该NDIS过滤驱动模块用于对过往的数据包进行放行、丢弃或者重定向;
一认证服务器,用于提供Web认证页面,未授权的计算机访问外网时,自动跳转到该Web认证页面进行登录,登录成功后将用户信息发给NDIS准入设备;
所述客户端与NDIS准入设备相互连接,企业内部系统、客户端和NDIS准入设备均连接于以太网。
所述NDIS准入设备是安装windows操作系统的双网卡电脑。
所述NDIS过滤驱动模块预先安装在NDIS准入设备上。
所述NDIS准入设备包括与认证服务器交互的通讯模块,该通讯模块用于与认证服务器通讯,并将把接收到的最新配置更新到NDIS过滤驱动模块。
一种基于NDIS过滤驱动的网络准入方法,包括以下步骤:
S01:将计算机通过交换机设备连接NDIS准入设备,NDIS准入设备、认证服务器和企业内部系统分别通过三层交换机连接于以太网;
S02:NDIS准入设备根据未通过身份认证的计算机和通过身份认证的计算机,对过往的数据包进行放行、丢弃或者重定向:
当未通过身份认证的计算机采用浏览器访问企业内部的网络资源时,NDIS准入设备对其进行截获,NDIS准入设备的NDIS过滤驱动模块通过网页重定向技术强制该未通过身份认证的计算机访问预先设定的认证服务器;
当该未通过身份认证的计算机通过认证服务器的认证之后,认证服务器就会把认证结果及权限信息发送至NDIS准入设备的应用层程序模块,NDIS准入设备的应用层程序模块再把该认证结果及权限信息下发给NDIS过滤驱动模块;
当通过身份认证的计算机再访问企业内部的网络资源时,NDIS准入设备的NDIS过滤驱动模块对该通过身份认证的计算机访问网络的数据进行放行,使该计算机可以正常地访问网络。
所述重定向具体步骤包括:
S21:NDIS过滤驱动模块对未通过身份认证的计算机进行检测,若检测到有未通过身份认证的计算机访问未授权的网络的第一次握手包,则NDIS过滤驱动模块构造第二次握手包,并发送至该未通过身份认证的计算机;
S22:该未通过身份认证的计算机发出第三次握手包至NDIS准入设备,该未通过身份认证的计算机的HTTP数据包访问NDIS准入设备,NDIS过滤驱动模块再次对未通过身份认证的计算机进行检测,若检测到有未通过身份认证的计算机用http协议访问未授权的网络,则NDIS过滤驱动模块构造http网页跳转的报文,并发送至未通过身份认证的计算机,该未通过身份认证的计算机浏览器对该http网页跳转报文进行解析,并通过http协议访问认证服务器的认证网站。
所述步骤S22中,未通过身份认证的计算机访问认证服务器的认证网站后,需要输入正确的用户名和密码,以通过认证服务器的认证。
采用上述方案后,本发明通过基于NDIS准入设备的NDIS过滤驱动模块来实现网络准入的功能,取代定制的硬件设备,不仅通用性强,成本低廉,而且安装和维护便捷,维护过程中无需硬件配置的指令,且在驱动层直接构造重定向的数据包,有效地提高了工作效率。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明结构示意图;
图2是本发明网络访问认证流程示意图;
图3是本发明网站重定向流程示意图。
具体实施方式
为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚、明白,以下结合附图和实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
如图1所示,本发明提供一种基于NDIS过滤驱动的网络准入系统,包括:
一企业内部系统,用于存储企业内部的网络资源;
一客户端,用于访问网络,该客户端包括复数台计算机;
一NDIS准入设备,NDIS准入设备包括应用层程序模块和NDIS过滤驱动模块,该应用层程序模块用于接收认证结果及权限信息(包括用户IP地址和MAC地址等),并将该认证结果及权限信息发送至NDIS过滤驱动模块;该NDIS过滤驱动模块用于对过往的数据包进行放行、丢弃或者重定向;
一认证服务器,用于提供Web认证页面,未授权的计算机访问外网时,自动跳转到该Web认证页面进行登录,登录成功后将用户信息发给NDIS准入设备;
上述的客户端与NDIS准入设备相互连接,企业内部系统、客户端和NDIS准入设备均连接于以太网。
此实施例的NDIS准入设备是安装windows操作系统的双网卡电脑,再将该双网卡电脑安装在企业内部的主干网络上,并对上下游网络进行桥接(如图1所示)。
同时,该NDIS过滤驱动模块预先安装在NDIS准入设备上,使得NDIS过滤驱动模块可以根据设定好的策略对过往的数据包进行放行、丢弃或者重定向,以进一步方便安装和维护。
在本实施例中,NDIS准入设备包括与认证服务器交互的通讯模块,该通讯模块用于与认证服务器通讯,并将把接收到的最新配置更新到NDIS过滤驱动模块,以更加地快速更新最新配置,有助于提高工作效率。
如图2所示,本发明还提供一种基于NDIS过滤驱动的网络准入方法,包括以下步骤:
S01:将计算机通过交换机设备连接NDIS准入设备,NDIS准入设备、认证服务器和企业内部系统分别通过三层交换机连接于以太网;
S02:NDIS准入设备根据未通过身份认证的计算机和通过身份认证的计算机,对过往的数据包进行放行、丢弃或者重定向:
当未通过身份认证的计算机采用浏览器访问企业内部的网络资源时,NDIS准入设备对其进行截获,NDIS准入设备的NDIS过滤驱动模块通过网页重定向技术强制该未通过身份认证的计算机访问预先设定的认证服务器;
当该未通过身份认证的计算机通过认证服务器的认证之后(即未通过身份认证的计算机变为通过身份认证的计算机),认证服务器就会把认证结果及权限信息发送至NDIS准入设备的应用层程序模块,NDIS准入设备的应用层程序模块再把该认证结果及权限信息下发给NDIS过滤驱动模块;
当通过身份认证的计算机再访问企业内部的网络资源时,NDIS准入设备的NDIS过滤驱动模块对该通过身份认证的计算机访问网络的数据进行放行,使该计算机可以正常地访问网络。
请继续参照图3,其中,重定向具体步骤包括:
S21:NDIS过滤驱动模块对未通过身份认证的计算机进行检测,若检测到有未通过身份认证的计算机访问未授权的网络的第一次握手包,则NDIS过滤驱动模块构造第二次握手包,并发送至该未通过身份认证的计算机;
S22:该未通过身份认证的计算机发出第三次握手包至NDIS准入设备,该未通过身份认证的计算机的HTTP数据包访问NDIS准入设备,NDIS过滤驱动模块再次对未通过身份认证的计算机进行检测,若检测到有未通过身份认证的计算机用http协议访问未授权的网络,则NDIS过滤驱动模块构造http网页跳转的报文,并发送至未通过身份认证的计算机,该未通过身份认证的计算机浏览器对该http网页跳转报文进行解析,并通过http协议访问认证服务器的认证网站。
在上述步骤S22中,未通过身份认证的计算机访问认证服务器的认证网站后,需要输入正确的用户名和密码,才能通过认证服务器的认证,以加强进一步加强网络准入的功能。
本发明通过基于NDIS准入设备的NDIS过滤驱动模块来实现网络准入的功能,取代定制的硬件设备,不仅通用性强,成本低廉,而且安装和维护便捷,维护过程中无需硬件配置的指令,且在驱动层直接构造重定向的数据包,有效地提高了工作效率。
上述说明示出并描述了本发明的优选实施例,如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。

Claims (6)

1.一种基于NDIS过滤驱动的网络准入系统,其特征在于,包括:
一企业内部系统,用于存储企业内部的网络资源;
一客户端,用于访问网络,该客户端包括复数台计算机;
一NDIS准入设备,NDIS准入设备包括应用层程序模块和NDIS过滤驱动模块,该应用层程序模块用于接收认证结果及权限信息,并将该认证结果及权限信息发送至NDIS过滤驱动模块;该NDIS过滤驱动模块用于对过往的数据包进行放行、丢弃或者重定向;
一认证服务器,用于提供Web认证页面,未授权的计算机访问外网时,自动跳转到该Web认证页面进行登录,登录成功后将用户信息发给NDIS准入设备;
所述客户端与NDIS准入设备相互连接,企业内部系统、客户端和NDIS准入设备均连接于以太网;
所述NDIS准入设备是安装windows操作系统的双网卡电脑。
2.根据权利要求1所述的一种基于NDIS过滤驱动的网络准入系统,其特征在于:所述NDIS过滤驱动模块预先安装在NDIS准入设备上。
3.根据权利要求1所述的一种基于NDIS过滤驱动的网络准入系统,其特征在于:所述NDIS准入设备包括与认证服务器交互的通讯模块,该通讯模块用于与认证服务器通讯,并将把接收到的最新配置更新到NDIS过滤驱动模块。
4.一种基于NDIS过滤驱动的网络准入方法,其特征在于,包括以下步骤:
S01:将计算机通过交换机设备连接NDIS准入设备,NDIS准入设备、认证服务器和企业内部系统分别通过三层交换机连接于以太网;
S02:NDIS准入设备根据未通过身份认证的计算机和通过身份认证的计算机,对过往的数据包进行放行、丢弃或者重定向:
当未通过身份认证的计算机采用浏览器访问企业内部的网络资源时,NDIS准入设备对其进行截获,NDIS准入设备的NDIS过滤驱动模块通过网页重定向技术强制该未通过身份认证的计算机访问预先设定的认证服务器;
当该未通过身份认证的计算机通过认证服务器的认证之后,认证服务器就会把认证结果及权限信息发送至NDIS准入设备的应用层程序模块,NDIS准入设备的应用层程序模块再把该认证结果及权限信息下发给NDIS过滤驱动模块;
当通过身份认证的计算机再访问企业内部的网络资源时,NDIS准入设备的NDIS过滤驱动模块对该通过身份认证的计算机访问网络的数据进行放行,使该计算机可以正常地访问网络。
5.根据权利要求4所述的一种基于NDIS过滤驱动的网络准入方法,其特征在于,所述重定向具体步骤包括:
S21:NDIS过滤驱动模块对未通过身份认证的计算机进行检测,若检测到有未通过身份认证的计算机访问未授权的网络的第一次握手包,则NDIS过滤驱动模块构造第二次握手包,并发送至该未通过身份认证的计算机;
S22:该未通过身份认证的计算机发出第三次握手包至NDIS准入设备,该未通过身份认证的计算机的HTTP数据包访问NDIS准入设备,NDIS过滤驱动模块再次对未通过身份认证的计算机进行检测,若检测到有未通过身份认证的计算机用http协议访问未授权的网络,则NDIS过滤驱动模块构造http网页跳转的报文,并发送至未通过身份认证的计算机,该未通过身份认证的计算机浏览器对该http网页跳转报文进行解析,并通过http协议访问认证服务器的认证网站。
6.根据权利要求5所述的一种基于NDIS过滤驱动的网络准入方法,其特征在于:所述步骤S22中,未通过身份认证的计算机访问认证服务器的认证网站后,需要输入正确的用户名和密码,以通过认证服务器的认证。
CN201610475224.7A 2016-06-26 2016-06-26 一种基于ndis过滤驱动的网络准入系统及方法 Active CN106209778B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610475224.7A CN106209778B (zh) 2016-06-26 2016-06-26 一种基于ndis过滤驱动的网络准入系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610475224.7A CN106209778B (zh) 2016-06-26 2016-06-26 一种基于ndis过滤驱动的网络准入系统及方法

Publications (2)

Publication Number Publication Date
CN106209778A CN106209778A (zh) 2016-12-07
CN106209778B true CN106209778B (zh) 2019-06-28

Family

ID=57460812

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610475224.7A Active CN106209778B (zh) 2016-06-26 2016-06-26 一种基于ndis过滤驱动的网络准入系统及方法

Country Status (1)

Country Link
CN (1) CN106209778B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109040112B (zh) * 2018-09-04 2020-01-03 北京明朝万达科技股份有限公司 网络控制方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1744464A (zh) * 2004-08-31 2006-03-08 西门子(中国)有限公司 时分-同步码分多址接入系统中用户设备测量报告的修正方法
CN101867588A (zh) * 2010-07-16 2010-10-20 福州大学 一种基于802.1x的接入控制系统
CN102123155A (zh) * 2011-03-21 2011-07-13 曾湘宁 一种基于NDIS驱动的Web服务器攻击过滤及综合防护方法
CN102420837A (zh) * 2009-11-10 2012-04-18 浙江省公众信息产业有限公司 基于ndis的方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7607015B2 (en) * 2002-10-08 2009-10-20 Koolspan, Inc. Shared network access using different access keys

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1744464A (zh) * 2004-08-31 2006-03-08 西门子(中国)有限公司 时分-同步码分多址接入系统中用户设备测量报告的修正方法
CN102420837A (zh) * 2009-11-10 2012-04-18 浙江省公众信息产业有限公司 基于ndis的方法及系统
CN101867588A (zh) * 2010-07-16 2010-10-20 福州大学 一种基于802.1x的接入控制系统
CN102123155A (zh) * 2011-03-21 2011-07-13 曾湘宁 一种基于NDIS驱动的Web服务器攻击过滤及综合防护方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
内网主机监控与接入控制研究;胡勇强;《中国优秀硕士学位论文全文数据库(信息科技辑)》;20120215(第02期);第I139-549页

Also Published As

Publication number Publication date
CN106209778A (zh) 2016-12-07

Similar Documents

Publication Publication Date Title
CN100563158C (zh) 网络接入控制方法及系统
CN1781099B (zh) 在公共热点中的客户终端的自动配置
CN101465856B (zh) 一种对用户进行访问控制的方法和系统
CN103825881B (zh) 基于无线访问控制器ac实现wlan用户的重定向方法及装置
US9071600B2 (en) Phishing and online fraud prevention
CN105635084B (zh) 终端认证装置及方法
Baitha et al. Session hijacking and prevention technique
CN101304388B (zh) 解决ip地址冲突的方法、装置及系统
CN103428211B (zh) 基于交换机的网络认证系统及其认证方法
CN108092988B (zh) 基于动态创建临时密码的无感知认证授权网络系统和方法
CN104158824A (zh) 网络实名认证方法及系统
CN103581184A (zh) 移动终端访问企业内网服务器的方法和系统
CN102739684A (zh) 一种基于虚拟IP地址的Portal认证方法及服务器
CN103796278A (zh) 移动终端无线网络接入控制方法
CN101577729A (zh) DNS重定向与Http重定向相结合的旁路阻断方法
CN109104475A (zh) 连接恢复方法、装置及系统
CN104484823B (zh) 电子银行pki服务方法及其系统
CN108200039B (zh) 基于动态创建临时账号密码的无感知认证授权系统和方法
CN103957194B (zh) 一种网络协议ip接入方法及接入设备
CN106209778B (zh) 一种基于ndis过滤驱动的网络准入系统及方法
CN106304057A (zh) 一种通用的wifi认证方法及系统
CN106878270A (zh) 基于portal协议的增强型接入控制设备
CN100471167C (zh) 无线接入宽带用户的管理方法及其装置
CN100438446C (zh) 接入控制设备、接入控制系统和接入控制方法
CN104202432A (zh) 一种远程web管理系统及管理方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant