CN201571068U - 一种网络系统、保护管理装置 - Google Patents
一种网络系统、保护管理装置 Download PDFInfo
- Publication number
- CN201571068U CN201571068U CN2009202196321U CN200920219632U CN201571068U CN 201571068 U CN201571068 U CN 201571068U CN 2009202196321 U CN2009202196321 U CN 2009202196321U CN 200920219632 U CN200920219632 U CN 200920219632U CN 201571068 U CN201571068 U CN 201571068U
- Authority
- CN
- China
- Prior art keywords
- account information
- protection
- terminal device
- client terminal
- server key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型公开了一种网络系统,用于提高网络的安全性。所述网络系统包括:保护客户端装置,用于对用户设备发送的上网帐户信息进行认证,在认证通过时从保护管理装置处获得与上网帐户信息绑定的关键服务器的地址信息,允许用户设备访问该地址信息;保护管理装置,用于配置与上网帐户信息绑定的关键服务器的地址信息;关键服务器,用于对用户设备发送的访问帐户信息进行认证,在认证通过时向用户设备提供应用系统的服务。本实用新型还公开了一种保护管理装置。
Description
技术领域
本实用新型涉及计算机及通信领域,特别是涉及网络系统、保护管理装置。
背景技术
随着通信技术的发展,网络给人们的生产生活带来众多便利,但同时网络安全也一直是人们关心的问题。
无论是企业内的局域网还是运营商提供的互联网,大多数的重要信息都存储于服务器内,对服务器的保护就成为安全防护的关键。保护服务器的方式有:物理隔离、访问控制表(ACL)隔离、虚拟局域网(Vlan)隔离和防火墙。其中使用较多的是Vlan隔离和防火墙隔离。
Vlan隔离是指:将允许访问和禁止访问服务器的用户处于不同的VLAN,这样就可以防止非授权用户对服务器的访问,达到保护服务器的目的。但是,如果服务器的数量较多,各服务器的授权用户各不相同,则需要划分较多Vlan,配置比较复杂。如果采用基于端口的Vlan技术,则非法用户只要插入属于该Vlan的交换机接口就能够访问服务器,无法保障安全性。如果采用基于媒体接入控制(MAC)的Vlan技术,则配置非常复杂,必须为每个访问用户配置MAC,并且操作系统的MAC是可以修改的,仍然存在安全性问题。
防火墙隔离是基于特征库的,通过特征库对访问报文进行过滤,如果特征库未记录的IP或者报文,则无法防护。
综上,现有技术中保护服务器的方式均存在安全隐患,并且均是通过互联网协议(IP)或MAC对设备的防护,如果变换IP和MAC地址便可绕过防护。
实用新型内容
本实用新型实施例提供一种网络系统,用于提高网络的安全性。
一种网络系统,包括:
保护客户端装置,用于对用户设备发送的上网帐户信息进行认证,在认证通过时从保护管理装置处获得与上网帐户信息绑定的关键服务器的地址信息,允许用户设备访问该地址信息;
保护管理装置,用于配置与上网帐户信息绑定的关键服务器的地址信息;
关键服务器,用于对用户设备发送的访问帐户信息进行认证,在认证通过时向用户设备提供应用系统的服务。
一种保护管理装置,包括:
接口模块,用于接收用户设备发送的上网帐户信息;
存储模块,用于存储上网帐户信息和与上网帐户信息绑定的关键服务器的地址信息;
认证模块,用于根据存储的上网帐户信息对接收到的上网帐户信息进行认证,在认证通过时将与上网帐户信息绑定的关键服务器的地址信息发送给用户设备,允许用户设备访问该地址信息对应的关键服务器。
本实施例中,用户在完成上网帐户信息的认证后,只能访问与上网帐户信息绑定的关键服务器,对其它关键服务器不具有访问权限。这样即使变换了用户设备的IP地址、MAC地址、交换机或交换机端口,也无法逃过这个限制。本实施例通过上网帐户信息和访问帐户信息两重认证来保证网络的安全性,即使有一个帐户信息丢失或被盗用,都仍然能保证网络的安全性。
附图说明
图1为本实用新型实施例中网络系统的主要结构图;
图2为本实用新型实施例中网络系统的详细结构图;
图3为本实用新型实施例中保护客户端装置的主要结构图;
图4为本实用新型实施例中保护客户端装置的详细结构图;
图5为本实用新型实施例中保护管理装置的主要结构图;
图6为本实用新型实施例中保护管理装置的详细结构图。
具体实施方式
本实用新型实施例对上网帐户信息和访问帐户信息进行认证,通过两重认证来提高网络的安全性,并且上网帐户信息是针对用户的,即使用户变更了用户设备的地址信息,也可以实现防护的目的。
参见图1,本实施例中的网络系统包括:用户设备101、保护客户端装置102、保护管理装置103和关键服务器104。本实施例中将应用系统所在的服务器称为关键服务器104。
用户设备101用于实现用户的上网行为,所有与网络的交互信息均通过保护客户端装置102实现,如将上网帐户信息发送给保护客户端装置102。
保护客户端装置102用于将用户设备101发送的上网帐户信息转发给保护管理装置103,以及在对上网帐户信息认证通过后,将用户设备101发送的访问帐户信息转发给关键服务器104。保护客户端装置102与用户设备101可以位于同一物理实体中。
保护管理装置103用于配置关于网络安全的所有信息,如配置与上网帐户信息绑定的关键服务器的地址信息。对上网帐户信息进行认证,在认证通过时将与上网帐户信息绑定的关键服务器的地址信息发送给保护客户端装置102,允许用户设备101访问该地址信息对应的关键服务器104。
关键服务器104用于对用户设备发送的访问帐户信息进行认证,在认证通过时向用户设备提供应用系统的服务。
网络系统还包括交换机105,参见图2所示,交换机105用于转发保护客户端装置102同保护管理装置103和关键服务器104之间的所有信息。
参见图3,本实施例中保护客户端装置102包括:用户接口模块301、存储模块302和网络接口模块303。
用户接口模块301用于与用户设备101进行交互,接收用户设备101发送的上网帐户信息和访问帐户信息等。本实施例中上网帐户信息包括上网帐号和密码,还可以包括用户设备101的IP地址和MAC地址、以及数字证书等。也就是将用户与用户设备绑定,进一步提高安全性。上网帐户信息还可以与交换机和交换机的端口绑定,有利于提高安全性。
存储模块302用于保存各种信息,如存储上网帐户信息。
网络接口模块303用于与网络侧进行交互,如通过交换机105与保护管理装置103和关键服务器104交互信息。
网络接口模块303接收保护管理装置103发送的与访问帐户信息绑定的关键服务器的地址信息。存储模块302存储与访问帐户信息绑定的关键服务器的地址信息。本实施例中的地址信息包括IP地址和端口号等。参见图4所示,保护客户端装置102还包括访问控制模块304,通过NDIS驱动和存储的关键服务器的地址信息控制用户设备101对关键服务器的访问。只允许用户设备101访问地址信息所对应的关键服务器及其端口。访问控制模块304还用于对用户设备101发送的报文进行控制。即,访问控制模块304包括特征库,如果用户设备101发送了特征库中记载的报文,或者连续发送的某报文达到预设的数量门限,则表示用户设备101有攻击行为,生成告警信号,并通过网络接口模块303发送给保护管理装置103。
保护客户端装置102还包括访问记录模块305用于记录用户设备的上网时间、下线时间、访问的关键服务器的地址信息和流量信息,并通过网络接口模块303上报给保护管理装置103。便于保护管理装置103发现用户设备101的网络攻击行为,以提高网络的安全性。
网络接口模块303接收保护管理装置103发送的流量门限和时间门限。保护客户端装置102还包括流量控制模块306用于对用户设备101的网络流量进行监控,尤其是监控访问关键服务器104的网络流量,并且不允许网络流量超过预设的流量门限。可以通过限制带宽来控制流量,或者当流量超过流量门限时做丢包处理。以及当网络流量达到流量门限的连续时间达到时间门限时,确定存在网络攻击行为,则生成告警信号,并通过网络接口模块303发送给保护管理装置103。保护管理装置103生成警告信息,并由保护客户端装置102的网络接口模块303接收,以及由用户接口模块301转发给用户设备101。保护管理装置103可以进一步生成下线命令,并由保护客户端装置102的网络接口模块303接收。网络接口模块303根据下线命令关闭接口,使用户设备101断开网络连接,终止其上网行为。
参见图5,本实施例中保护管理装置103包括:接口模块501、存储模块502、配置模块503和认证模块504。
接口模块501用于与终端侧交互,即通过交换机105与保护客户端装置102和用户设备101交互,接收保护客户端装置102发送的用户设备101的上网帐户信息、上网时间、下线时间、访问的关键服务器104的地址信息和流量信息,并保存在存储模块502中。其中,上网帐户信息、上网时间、下线时间、访问的关键服务器104的地址信息和流量信息等,也可以直接从用户设备101处获得。
存储模块502用于保存各种信息。
配置模块503用于配置各种与网络安全有关的信息,如配置上网帐户信息、与上网帐户信息绑定的关键服务器的地址信息、上网帐户信息对应的流量门限和数量门限等。在接口模块501收到保护客户端装置102的连接请求后,配置模块503通过接口模块501将配置信息发送给保护客户端装置102。
认证模块504用于将接收的上网帐户信息与存储的上网帐户信息进行匹配,若匹配一致,则认证通过。指示接口模块501将与上网帐户信息绑定的关键服务器的地址信息发送给保护客户端装置102。
保护管理装置103还包括访问查询模块505,参见图6所示。访问查询模块505用于查询存储模块502中的信息,如用户设备101的上网时间、下线时间、访问的关键服务器104的地址信息和流量信息,在发现用户设备101有攻击行为时,生成警告信息,并通过接口模块501发送给保护客户端装置102,由保护客户端装置102发送给用户设备101。用户设备101将警告信息输出给用户。
保护管理装置103还包括:下线模块506用于在访问查询模块505生成警告信息后,生成下线命令并通过接口模块501发送给保护客户端装置102。由保护客户端装置102根据下线命令使用户设备101断开网络连接。
本实施例通过上网帐户信息和访问帐户信息两重认证来保证网络的安全性,即使有一个帐户信息丢失或被盗用,都仍然能保证网络的安全性。
本实施例中,用户在完成上网帐户信息的认证后,只能访问与上网帐户信息绑定的关键服务器,对其它关键服务器不具有访问权限。这样即使变换了用户设备的IP地址、MAC地址、交换机或交换机端口,也无法逃过这个限制。还存在一种情况是上网帐户信息丢失或被盗用,可以通过绑定上网帐号和用户设备的地址以及交换机的地址和端口,来防止非法获得上网帐号的用户对关键服务器进行非法访问。并且,由于只有通过了上网帐户信息和访问帐户信息的认证才能够访问关键服务器,因此其他任何非法用户是无法对关键服务器进行攻击的。而且如果发生了攻击,也只有这些拥有合法帐号的用户会受到怀疑,由于保护管理装置有所有合法用户访问关键服务器的日志以供审计,因此可以避免这种情况的发生。
对于关键服务器上的应用系统,遭受攻击的一个主要攻击方式就是拒绝服务攻击,攻击用户可以通过不断的发送合法的或者非法的报文给应用服务器的监听端口,以达到攻击的目的,使关键服务器无法为其他用户提供服务。通过限制用户对关键服务器的网络访问流量和报文检测,能够在一定的程度上防止拒绝服务攻击的发生,并可以通过审计用户对关键服务器的访问流量是否超过限制来判断该用户是否发起了拒绝服务攻击。
显然,本领域的技术人员可以对本实用新型进行各种改动和变型而不脱离本实用新型的精神和范围。这样,倘若对本实用新型的这些修改和变型属于本实用新型权利要求及其等同技术的范围之内,则本实用新型也意图包含这些改动和变型在内。
Claims (9)
1.一种网络系统,其特征在于,包括:
保护客户端装置,用于将用户设备发送的上网帐户信息转发给保护管理装置,以及在对上网帐户信息认证通过后,将用户设备发送的访问帐户信息转发给关键服务器;
保护管理装置,用于对上网帐户信息进行认证,在认证通过时将与上网帐户信息绑定的关键服务器的地址信息发送给保护客户端装置,允许用户设备访问该地址信息对应的关键服务器;
关键服务器,用于对访问帐户信息进行认证,在认证通过时向用户设备提供应用系统的服务。
2.如权利要求1所述的网络系统,其特征在于,还包括:交换机,用于转发保护客户端装置与保护管理装置和保护客户端装置与关键服务器之间的信息。
3.如权利要求1所述的网络系统,其特征在于,保护客户端装置包括:
网络接口模块,用于接收保护管理装置发送的与访问帐户信息绑定的关键服务器的地址信息;
存储模块,用于存储与访问帐户信息绑定的关键服务器的地址信息;
访问控制模块,用于通过NDIS驱动和存储的关键服务器的地址信息控制用户设备对关键服务器的访问。
4.如权利要求1所述的网络系统,其特征在于,保护客户端装置包括:
流量控制模块,用于对用户设备访问所述关键服务器的网络流量进行监控,并且不允许网络流量超过预设的流量门限。
5.如权利要求1所述的网络系统,其特征在于,保护客户端装置包括:访问记录模块,用于记录用户设备的上网时间、下线时间、访问的关键服务器的地址信息和流量信息,并通过保护客户端装置中的网络接口模块上报给保护管理装置;
保护管理装置包括:接口模块,用于接收保护客户端装置发送的用户设备的上网时间、下线时间、访问的关键服务器的地址信息和流量信息,并保存在存储模块中;访问查询模块,用于查询存储模块中的信息,在发现用户设备有攻击行为时,生成警告信息,并通过接口模块发送给保护客户端装置,由保护客户端装置发送给用户设备。
6.如权利要求5所述的网络系统,其特征在于,保护管理装置还包括:下线模块,用于在访问查询模块生成警告信息后,生成下线命令并通过接口模块发送给保护客户端装置,由保护客户端装置根据下线命令使用户设备断开网络连接。
7.如权利要求1所述的网络系统,其特征在于,保护管理装置包括:
接口模块,用于接收保护客户端装置发送的上网帐户信息;
存储模块,用于存储上网帐户信息;
认证模块,用于将接收的上网帐户信息与存储的上网帐户信息进行匹配,若匹配一致,则认证通过。
8.一种保护管理装置,其特征在于,包括:
接口模块,用于接收用户设备发送的上网帐户信息;
存储模块,用于存储上网帐户信息和与上网帐户信息绑定的关键服务器的地址信息;
认证模块,用于根据存储的上网帐户信息对接收到的上网帐户信息进行认证,在认证通过时将与上网帐户信息绑定的关键服务器的地址信息发送给用户设备,允许用户设备访问该地址信息对应的关键服务器。
9.如权利要求8所述的保护管理装置,其特征在于,接口模块还用于接收保护客户端装置发送的用户设备的上网时间、下线时间、访问的关键服务器的地址信息和流量信息,并保存在存储模块中;
所述保护管理装置还包括:访问查询模块,用于查询存储模块中的信息,在发现用户设备有攻击行为时,生成警告信息,并通过接口模块发送给用户设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009202196321U CN201571068U (zh) | 2009-10-30 | 2009-10-30 | 一种网络系统、保护管理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009202196321U CN201571068U (zh) | 2009-10-30 | 2009-10-30 | 一种网络系统、保护管理装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN201571068U true CN201571068U (zh) | 2010-09-01 |
Family
ID=42663369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009202196321U Expired - Fee Related CN201571068U (zh) | 2009-10-30 | 2009-10-30 | 一种网络系统、保护管理装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN201571068U (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103218559A (zh) * | 2013-03-25 | 2013-07-24 | 苏州德鲁克供应链管理有限公司 | 供应链保护系统 |
| CN104869595A (zh) * | 2015-05-04 | 2015-08-26 | 小米科技有限责任公司 | 数据流量控制方法及装置 |
| CN105871835A (zh) * | 2016-03-29 | 2016-08-17 | 上海斐讯数据通信技术有限公司 | 管理接入计算机网络的设备的装置和方法 |
| CN109407528A (zh) * | 2018-09-19 | 2019-03-01 | 北京小米移动软件有限公司 | 安全访问方法、装置、服务器及存储介质 |
-
2009
- 2009-10-30 CN CN2009202196321U patent/CN201571068U/zh not_active Expired - Fee Related
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103218559A (zh) * | 2013-03-25 | 2013-07-24 | 苏州德鲁克供应链管理有限公司 | 供应链保护系统 |
| CN104869595A (zh) * | 2015-05-04 | 2015-08-26 | 小米科技有限责任公司 | 数据流量控制方法及装置 |
| CN105871835A (zh) * | 2016-03-29 | 2016-08-17 | 上海斐讯数据通信技术有限公司 | 管理接入计算机网络的设备的装置和方法 |
| CN105871835B (zh) * | 2016-03-29 | 2020-07-17 | 广西钦保网络科技有限公司 | 管理接入计算机网络的设备的装置和方法 |
| CN109407528A (zh) * | 2018-09-19 | 2019-03-01 | 北京小米移动软件有限公司 | 安全访问方法、装置、服务器及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109729180B (zh) | 全体系智慧社区平台 | |
| CN201479143U (zh) | 内网安全管理系统 | |
| CN101436934B (zh) | 一种控制用户上网的方法、系统及设备 | |
| US9510202B2 (en) | Method of securing network access radio systems | |
| CN101355459B (zh) | 一种基于可信协议的网络监控方法 | |
| JP2009515232A (ja) | ネットワークユーザ認証システム及び方法 | |
| CA2577504A1 (en) | Secure method of termination of service notification | |
| CN106992984A (zh) | 一种基于电力采集网的移动终端安全接入信息内网的方法 | |
| CN103249040B (zh) | 一种无线接入认证的方法及装置 | |
| KR101252787B1 (ko) | 다수의 중계 서버를 갖는 보안관리 시스템 및 보안관리 방법 | |
| CN102752269A (zh) | 基于云计算的身份认证的方法、系统及云端服务器 | |
| CN101188498B (zh) | 一种通信终端及通信方法 | |
| CN109995769B (zh) | 一种多级异构跨区域的全实时安全管控方法和系统 | |
| CN201571068U (zh) | 一种网络系统、保护管理装置 | |
| CN103986717A (zh) | 网络数据安全传输与存储系统及方法 | |
| CN101207475B (zh) | 一种网络系统的防止非授权连结方法 | |
| CN106506491A (zh) | 网络安全系统 | |
| CN110324330A (zh) | 一种实现互联网和公安内网数据传输的系统及方法 | |
| CN111212430A (zh) | 一种基于零知识证明的无线局域网保护系统 | |
| CN102185867A (zh) | 一种实现网络安全的方法和一种星形网络 | |
| CN201846357U (zh) | 非现场行业安全网络构架 | |
| CN1996960B (zh) | 一种即时通信消息的过滤方法及即时通信系统 | |
| Li et al. | Research on sensor-gateway-terminal security mechanism of smart home based on IOT | |
| CN105721458A (zh) | 一种基于isg安全密码技术的工业以太网交换方法 | |
| CN106571937A (zh) | 路由器、移动终端及告警信息发送和接收的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100901 Termination date: 20141030 |
|
| EXPY | Termination of patent right or utility model |