[实用新型]可信终端系统

说明书

技术领域

本实用新型涉及一种计算机内网系统，特别涉及一种只允许可信终端接入网络而阻止其他计算机接入网络的可信终端系统。

背景技术

目前的一些终端认证大多从网络层控制计算机的非法接入，使得非授权终端数据流可以进入网络，造成如ARP包、非法广播、ping攻击、恶意病毒、木马数据流在网络中泛滥。

此外，一些终端认证直接利用交换机的普通端口，没有对端口进行控制，只是对数据的普通转发，不能对计算机的接入进行控制。

此外，一些终端认证为弹出界面，要求用户输入相关认证信息进行认证，非常麻烦，并且也给非法破译密码等非法连入网络创造了条件。

因此，目前的内部网络不能阻止外界计算机非法接入，因而极易造成信息泄露，带来很大的信息安全隐患，如何控制非法主机接入内部网络是目前很多企、事业单位共同关心的问题。

发明内容

为了解决现有技术存在的非法主机接入问题，本实用新型提供了一种可信终端系统，以防止外部主机非法接入内部网络，保护网络内部计算机及数据安全。

本实用新型的上述目的是这样实现的，一种可信终端系统，包括：局域网；通过所述局域网互联的多个计算机；连接所述局域网的具有受控端口的交换机；以及连接所述交换机以对所述计算机经由所述交换机发出的认证请求进行认证的认证服务器。

其中，所述多个计算机之每个经由所述局域网分别连接所述交换机的一个相应的受控端口；所述认证服务器连接所述交换机的一个其他端口。

其中，所述交换机包括：具有多个分别连接所述多个计算机的受控端口和连接所述认证服务器其他端口的交换芯片；以及连接所述交换芯片以根据所述认证服务器的认证结果对连接所述计算机的端口进行控制的端口控制模块。

其中，所述计算机具有一个启动计算机工作的USB密钥。

本实用新型具有以下技术效果：

1、可以对当前内部计算机网络的所有服务器、终端计算机进行访问控制的授权认证。

2、可以保证只有经过主管部门授权认证的计算机，才可以顺利通过基于交换机端口的访问控制认证，进而才可以自由的应用单位内部的计算机网络以及其中的资源。

3、通过可信终端管理程序和基于端口的访问控制机制的配合，使未经过相关主管部门授权的计算机无法擅自接入内部的计算机网络。

下面结合附图对本实用新型进行详细说明。

附图说明

图1是本实用新型的可信终端系统的配置图；

图2是显示本实用新型的可信终端系统的对入网请求进行处理的示意图；

图3是图2所述的交换机的原理图；

图4是显示图3所示交换机的用于数据流交换和认证信息传输的示意图。

具体实施方式

图1显示了本实用新型的可信终端系统的配置，图1所示的可信终端系统包括：局域网2，它可以是以太网或无线局域网；通过所述局域网2互联的多个计算机1；经由所述局域网2连接所述计算机1的具有受控端口的交换机3，该交换机3可以根据认证结果接受或拒绝计算机的入网请求；以及连接所述交换机3的认证服务器4，该认证服务器4对所述计算机1经由所述交换机3发送的认证请求进行认证或识别，并将认证或识别后得到的认证结果返回给交换机3。

图2显示了交换机3和认证服务器4处理计算机1的入网请求的情形。如图2所示，假定在计算机A、B和C中，计算机A和B是可信计算机，而计算机C是非法接入的计算机。当计算机A～C启动时，分别经由交换机3向服务器4发送认证请求。由于计算机A和B是可信计算机，因此服务器4向交换机3发送“计算机A和B认证成功”的认证结果，使交换机3打开分别连接计算机A和B的受控端口；而由于计算机C不是可信计算机，因此服务器4向交换机3发送“计算机C认证失败”的认证结果，使交换机3的连接计算机C的受控端口处于断开状态，从而拒绝计算机C入网。

如图1和2所示，多个计算机1如计算机A～C之每个经由局域网2分别连接所述交换机1的一个相应的受控端口；认证服务器4连接所述交换机1的一个其他端口。

图3显示了本实用新型的可根据服务器的认证结果控制受控端口状态的交换机3的原理。如图3所示，该交换机3包括：具有多个经由局域网2分别连接所述计算机A～C的受控端口311、312、313和连接认证服务器4的其他端口314的交换芯片31；以及连接所述交换芯片31以根据认证服务器的认证结果对连接计算机的端口进行控制的端口控制模块32。

交换芯片31可以在来自计算机A～C的数据包中添加受控端口号，以便端口控制模块32根据服务器4的认证结果的数据包对交换芯片31的受控端口进行控制。