专利名称:一种在计算机网络内实现非对等访问的控制方法和控制系统的制作方法
技术领域:
本发明涉及 一 种在计算机网络内实现非对等访问的控制方法和控 制系统,特别是在计算机网络内实现计算机与计算机之间非对等访问的 控制方法和控制系统,属于计算机网络安全技术领域。
背景技术:
网络技术iT.在改变传统的生产、经营和生活方式,成为新的经济增 长点。信息网络国际化、社会化、开放化、个人化的特点,使得外部网 络非法入侵和内部被非法访问的问题愈來愈突出,因此,如何利用现有 技术实现对网络的有效管理,从而将无序网络变为 一 个有序的网络,进-歩保证整个网络的可控、可管,这个问题是目甜信息化过程中亟待解决的问题。现有大多网络技术主要集中精力解决网络互联互通的问题或通信数据传输的完整性的问题,而很少关注在互联互通的基础上解决计算机与计算机之间的单向访问控制问题。发明内容本发明的第 一 个目的在于,克服现有技术的缺点、提供 一 种在计算机网络内实现非对等访问的控制方法,使得本地或远程在计算机网络内实现计算机与计算机之间非对等访问控制,运行在内核中的网络层控制程序不会被恶意篡改,不会被非法卸载。同时,用于注册的本地计算机信息全面,包括硬件信息、软件信息、网络配置信息和操作系统信息。 本发明的另 一 个目的在于提供 一 种在计算机网络内实现非对等访问的控制系统,以便实现上述 一 种在计算机网络内实现非对等访问的控制方法。本发明的 一 种在计算机网络内实现非对等访问的控制方法技术方 案是所述方法包括如下程序A. 注册计算机信息网络内的计算机集中向网络管理中心注册 本地计算机信息,网络内的计算机从网络管理中心获得安全测试;B. 制定访问策略由网络管理中心制定非对等访问策略;C. 请求策略服务,获得访问控制策略当源计算机访问目标计 算机时,首先从网络管理中心请求策略服务,并获得非对等访问控制策 略;D. 对数据包过滤理源计算机的网络层控制程序截获到所有进 出的IP数据包后,进行包过滤处理,实施网络管理中心的非对等访问 控制策略,执行I P数据包放行或丢包处理不合格对数据包丢包处理;D-2.合格,对数据包放行。在上述方法技术方案的基础上更进 一 步的技术方案有所述的网络内的本地计算机信息包括计算机终端的硬件信息、软件信息、网络配置信息和操作系统信息。所述的网络内的源计算机从网络管理中心获得安全测试包括由网络层控制程序直接与网络管理中心的服务器通信,从而使源计算机中的非对等访问控制策略总是与网络管理中心的策略 一 致。所述的网络层控制程序,它是对计算机所有进出的IP数据包进过滤处理。所述的过滤处理为a.当截获的数据包是有状态的数据包(TCP),则过滤驱动程序检查TCP数据包的TCP头信息的标志位(S YN 、 ACK 、 FIN ),根据该 数据包的TCP头信息判断,如果此次连接动作是计算机主动发起的,则 禁止通过,否则允许通过;b.当截获的数据包是无状态的数据包(UDP、 ICMP),则将该数 据包的信息与ACL列表进行匹配,当该数据包的信息在ACL列表単面,则允许通过,否则禁止通过。所述的数据包的信息包括源IP、目标IP、源端口、目标端口、源 MAC、目标MAC。所述的将数据包的信息与ACL列表进行匹配是利用ACL列表对无 状态的数据包(UDP、 ICMP)的检测,ACL列表包括源IP、目标IP、 源端口、目标端口、源MAC、目标MAC、超时(Timeout)。本发明的 一 种在计算机网络内实现非对等访问的控制系统的技术 方案它是在网络内的计算机操作系统的网络层上有 一 个网络层控制程 序单元,用于控制计算机网络层所有数据包的进出流向,该网络层控制 程序单元与计算机内核中安全单元联通,用于当网络层控制程序被恶意 篡改,则系统重新启动,并执行修复处理,防止运行在内核中的网络层 控制程序被非法卸载;所述的网络层控制程序单元直接与网络管理中心 的服务器联通,用于使源计算机中的非对等访问控制策略总是与网络管 理中心的策略 一 致。在上述系统的技术方案基础上更进 一 歩的技术方案有 所述的网络层控制程序单元与计算机所有进出的IP数据接口联 通,用于对计算机所有进出的IP数据包进行过滤处理。 本发明的技术原理如下根据国际标准化组织ISO提出的开放系统互连(OSI)模型,计算 机网络数据通信主要有两种传输方式1、有状态的数据传输方式,如传输控制协议TCP,以这种传输方 式进行网络通信,在IP数据包里不仅标识了该包的网络流向(流进或流出),而且还通过这个TCP数据包的TCP头信息,表明该数据包是 主动连接请求还是被动连接请求。
一 个TCP头包含6个标志位,其意义分别为SYN:标志位用来建立连接,让连接双方同歩序列号。如果SYN =1而ACK = 0,则表示该数据包为连接请求,如果SYN=1而ACK=1 则表示接受连接。FIN:表示发送端已经没有数据要求传输了 ,希望释放连接。 RST:用来复位一个连接。RST标志置位的数据包称为复位包。一 般情况下,如果TCP收到的 一 个分段明显不是属于该主机上的任何一个连接,则向远端发送 一 个复位包。URG:为紧急数据标志。如果它为1,表示本数据包中包含紧急数 据。此时紧急数据指针有效。ACK:为确认标志位。如果为1,表示包中的确认号时有效的。否 则,包中的确认号无效。PSH:如果置位,表示接收端应尽快把数据传送给应用层。2、无状态的数据传输方式,如用户数据报协议UDP、差错与控制 报文协议ICMP,这种数据传输方式,在IP数据包里仅仅标识了该包的 网络流向(流进或流出),但是没有任何标识信息,表明该数据包是主 动连接请求还是被动连接请求。本发明的效果是在计算机网络内实现计算机与计算机之间在安全 环境状态下非对等访问,即 一 旦网络层控制程序被恶意篡改,则系统重 新启动,并执行修复处理,防止运行在内核中的网络层控制程序被非法 卸载,还有,用于注册的本地计算机信息全面,包括硬件信息、软件 信息、网络配置信息和操作系统信息,系统认证、识别能力强。
图1是本发明方法程序示意图。 图2是本发明系统结构示意图。
具体实施方式
结合附图和实施例对本发明作进 一 歩说明如下如图所示所述的 一 种在计算机网络内实现非对等访问的控制方法 的实施例所述方法程序为A.注册计算机信息网络内的计算机集中向网 络管理中心3注册本地计算机信息,所述的网络内的本地计算机信息 是计算机终端的硬件信息、软件信息、网络配置信息和操作系统信息; 网络内的计算机从网络管理中心3获得安全测试,所述的安全测试为 由网络层控制程序直接与网络管理中心3的服务器通信,从而使源计算 机1中的非对等访问控制策略总是与网络管理中心3的策略 一 致; B.制定访问策略由网络管理中心3制定非对等访问策略;C.请求策略服务,获得访问控制策略当源计算机1访问目标计算机2时,首 先从网络管理中心3请求策略服务,并获得非对等访问控制策略;D.对数据包过滤理源计算机1的网络层控制程序截获到所有进出的IP数据包后,进行包过滤处理,实施网络管理中心3的非对等访问控 制策略,执行IP数据包放行或丢包处理D-l.不合格,对数据包丢包处 理;D-2.合格,对数据包放行;上述的网络层控制程序,它是对计算机所 有进出的IP数据包进行过滤处理;上述的过滤处理为a. 当截获的数据包是有状态的数据包(TCP),则过滤驱动程序 检查TCP数据包的TCP头信息的标志位(SYN、 ACK、 FIN),根据该 数据包的TCP头信息判断,如果此次连接动作是计算机(2)主动发起 的,则禁止通过,否则允许通过;b. 当截获的数据包是无状态的数据包(UDP、 ICMP),则将该数 据包的信息与ACL列表进行匹配,当该数据包的信息在ACL列表里面, 则允许通过,否则禁止通过;所述的数据包的信息包括源IP、目标IP、源端口、目标端口、源 MAC、目标MAC;所述的将数据包的信息与ACL列表进行匹配是利用 ACL列表对无状态的数据包(UDP、 ICMP)的检测,ACL列表包括 源IP 、目标IP 、源端口 、目标端口 、源MAC 、目标MAC 、超时(Timeout)。如图所示所述的 一 种在计算机网络内实现非对等访问的控制系统 的实施例所述方法的 一 种在计算机网络内实现非对等访问的控制系统,其特 征在于,在网络内的计算机操作系统的网络层上有 一 个网络层控制程序 单元,用于控制计算机网络层所有数据包的进出流向,该网络层控制程 序单元与计算机内核中安全单元联通,用于当网络层控制程序被恶意篡改,则系统重新启动,并执行修复处理,防止运行在内核中的网络层控 制程序被非法卸载;所述的网络层控制程序单元直接与网络管理中心3的服务器联通,用于使源计算机1中的非对等访问控制策略总是与网络 管理中心3的策略 一 致;所述的网络层控制程序单元与计算机所有进出 的IP数据接口联通,用于对计算机所有进出的IP数据包进行过滤处理。 结合原理和本发明实施例再作进 一 歩说明如下以下实例是从系统的网络层寻找实现网络单向访问控制的技术方1与PC2为例,都是Windows操作系统,要实现PCI 能访问PC2 ,但是PC2不能访问PC 1 :在PC1操作系统的网络层增加一个过滤驱动程序,截获所有网络 层的数据包,如果截获的数据包是本机发送给PC2的数据包,则允许 通过;如果截获的数据包是PC2发送给本机的数据包,则出现以下两 种情况1)、如果截获的数据包是有状态的数据包(TCP),则过滤驱 动程序检査TCP数据包的TCP头信息的标志位(SYN、 ACK、 FIN), 根据该数据包的TCP头信息判断如果此次连接动作PC2主动发起的, 则禁止通过,否则允许通过。2)、如果截获的数据包是无状态的数据包 (UDP ),则将该该数据包的信息(源IP 、目标IP 、源端口 、目标端口 、 源MAC 、目标MAC )与ACL列表进行匹配,如果该数据包的信息在 ACL列表里面,则允许通过,否则禁止通过。ACL列表是由过滤驱动程序在内存中建立的 一 套访问控制列表, 主要针对无状态的数据传输方式,它记录着PC1主动与其他终端通信 的信息(源IP 、目标IP 、源端口 、目标端口 、源M AC 、目标MAC ), 而形成的列表,同时在这个列表里面增加了 一个超时的字段 (TimeOut ),來表示这条记录在ACL列表里的有效时间,-一 旦这条记 录在ACL里的存活时间超过这个时间限制,则这条记录自动被删除。如PC 1主动向PC2发送UDP数据,ACL里会形成 一 条记录 (192.168.1.10 ,192.168.1.11 ,22 ,80 ,12-34-5 5-34-23-5 2 , fa-a5-e4-53-52-65,100s)如果PC2在100s内没有以UDP数据的方式回应PCl(源端口和目 标端口要匹配),则PC1的过滤驱动程序会从ACL内删除这条记录, 在此之后,PC2向PCI发送UDP数据包,那PCI认为这是PC2主动发 送的请求,于是拒绝PC2的请求。图中,若计算机2为源计算机,计算机1为被访问的目标计算机时, 程序与上述实施例相同。本发明所述网内计算机不少于两台。本专利保护范围不限于上述实施例。
权利要求
1.一种在计算机网络内实现非对等访问的控制方法,其特征在于,它包括如下程序A.注册计算机信息网络内的计算机集中向网络管理中心(3)注册本地计算机信息,网络内的计算机从网络管理中心(3)获得安全测试;B.制定访问策略由网络管理中心(3)制定非对等访问策略;C.请求策略服务,获得访问控制策略当源计算机(1)访问目标计算机(2)时,首先从网络管理中心(3)请求策略服务,并获得非对等访问控制策略;D.对数据包过滤理源计算机(1)的网络层控制程序截获到所有进出的IP数据包后,进行包过滤处理,实施网络管理中心(3)的非对等访问控制策略,执行IP数据包放行或丢包处理D-1.不合格,对数据包丢包处理;D-2.合格,对数据包放行。
2 .如权利要求1所述的方法,其特征在于,所述的网络内的本地计算机 信息包括计算机终端的硬件信息、软件信息、网络配置信息和操作系统信 息。
3. 如权利要求1所述的方法,其特征在于,所述的网络内的源计算机(1)从网络矜理中心(3)获得安全测试包括由网络层控制程序直接与网络钤理中心(3)的服务器通信,从而使源计算机(1)中的非对等访问控制策略总 是与网络符理中心(3)的策略一致。
4. 如权利要求l所述的方法,其特征在于,所述的网络层控制程序,它 是对计算机所有进出的IP数据包进行过滤处理。
5. 如权利要求1或4所述的方法,其特征在于,所述的过滤处理为a. 当截获的数据包是有状态的数据包(TCP ),则过滤驱动程序检查 TCP数据包的TCP头信息的标志位(SYN、 ACK、 FIN),根据该数据包的 TCP头信息判断,如果此次连接动作是计算机(2)冬:动发起的,则禁止通过, 否则允许通过;b. 当截获的数据包是无状态的数据包(UDP、 ICMP),则将该数据包 的信息与ACL列表进行匹配,当该数据包的信息在ACL列表里面,则允许 通过,否则禁止通过。
6. 如权利要求5所述的方法,其特征在于,所述的数据包的信息包括源 IP、目标IP、源端口、目标端口、源MAC、目标MAC。
7. 如权利要求5所述的方法,其特征在于,所述的将数据包的信息与 ACL列表进行匹配是利用ACL列表对无状态的数据包(UDP、 ICMP)的检 测,ACL列表包括源IP、目标IP、源端口 、目标端口 、源MAC、目标MAC、 超时(Timeout)。
8 . 种用于权利要求1所述方法的 种在计算机网络内实现非对等访问 的控制系统,其特征在于,在网络内的计算机操作系统的网络层il有 一 个网 络层控制程序单元,用于控制计算机网络层所有数据包的进出流向,该网络 层控制程序单元与计算机内核中安全单元联通,用于当网络层控制程序被恶 意篡改,则系统重新启动,并执行修复处理,防止运行在内核中的网络层控 制程序被非法卸载;所述的网络层控制程序单元直接与网络'矜理中心(3 )的 服务器联通,用于使源计算机(1)中的非对等访问控制策略总是与网络符理 中心(3)的策略一致。
9.如权利要求8所述的系统,其特征在于,所述的网络层控制程序单元 与计算机所有进出的IP数据接口联通,用于对计算机所有进出的IP数据包 进行过滤处理。
全文摘要
本发明涉及一种在计算机网络内实现非对等访问的控制方法和控制系统,属于计算机网络安全技术领域。方法包括如下程序A.注册计算机信息;B.制定访问策略;C.请求并获得访问控制策略;D.对数据包过滤处理。所述系统是在网络内的计算机操作系统的网络层上增加一个网络层控制程序,控制数据包的进出流向,保护网络层控制程序不被非法卸载的是内核保护机制。本发明的技术效果是在计算机网络内实现计算机与计算机之间在安全环境状态下非对等访问,即一旦网络层控制程序被恶意篡改,则系统重新启动,并执行修复处理,防止运行在内核中的网络层控制程序被非法卸载,还有,用于注册的本地计算机信息全面,认证、识别能力强。
文档编号H04L12/56GK101330495SQ200710052499
公开日2008年12月24日 申请日期2007年6月19日 优先权日2007年6月19日
发明者毅 刘, 张大鹏, 陈碧碧, 韩勇桥, 龚超雄 申请人:瑞达信息安全产业股份有限公司