[发明专利]一种主机接入控制系统及方法

说明书

技术领域

本发明涉及网络安全领域，特别是涉及一种主机接入控制系统及方法。

背景技术

随着计算机网络在政府和企事业单位应用的高速发展，内网安全越来越受到重视，特别是对主机接入控制越来越高。目前对主机接入控制普遍采用基于ARP(Address Resolution Protocol地址解析协议)欺骗或基于NAC(NetworkAdmission control)技术。

现有基于ARP欺骗的技术方案中主机接入控制系统的结构图参见图1所示，该系统由GUI管理模块、抓包模块、分析模块和阻断模块组成。GUI管理模块负责与用户进程交互，包括登录认证、主机策略(主机白名单)管理等；抓包模块采用PCAP开发包的抓包方法负责对ARP协议数据包的抓取，把抓取结果送给分析模块进行分析处理；分析模块负责对ARP协议数据包的解码分析，把解码结果送给阻断模块；阻断模块根据GUI管理模块送来的主机白名单策略和分析模块送来的ARP包进行逻辑判断，对非法接入主机的发送ARP欺骗包，从而达到对主机的非法接入行为进行阻断的目的。

基于ARP欺骗技术的主机接入控制系统存在如下缺点：

对部署了ARP防火墙的主机接入无法阻断

目前出现不少的个人版ARP防火墙系统，这些系统可以配置IP地址与MAC地址的绑定策略，防止ARP欺骗。

对部分三层交换机不起作用

目前，大部分三层交换机具有IP/MAC绑定功能，能对ARP欺骗包进行过滤。

现有基于CISCO的NAC技术方案中接入控制系统的拓扑图参见图2所示，该系统主要由支持802.1X协议的交换机、策略服务器以及部署了NAC客户端软件的主机所组成，其中交换机通过802.1X协议对主机的访问进行认证，只有认证通过的主机才能接入网络；其中策略服务器用于配置接入控制策略，交换机通过TFTP协议与策略服务器进行通信，获得策略清单。

基于CISCO的NAC技术方案的主机接入控制系统存在如下缺点：

该技术方案只有支持802.1X的交换机才能使用，对于大部分的老式交换机和集线器无能为力；

客户端只能部署NAC客户端软件才能与支持802.1X的交换机进行接入认证，目前对于WINDOWS家庭来说只有WIN7默认自带NAC客户端。

综上，现有技术的安全性和通用性存在缺陷，无法有效阻断主机非法接入内网的行为。

发明内容

本发明提供了一种主机接入控制系统及方法，用以解决现有技术无法有效防止非法主机接入内网的问题。

本发明的一种主机接入控制方法，包括下列步骤：发送方代理客户端判断目标主机是否在防火墙白名单策略中，若是，则直接发出数据包，否则，加密数据包之后再发出；接收方代理客户端判断源主机是否在防火墙白名单策略中，若是，则直接接收数据包，否则，解密数据包之后再接收。

本发明的一种主机接入控制系统，包括：发送方代理客户端，用于判断目标主机是否在防火墙白名单策略中，若是，则直接发出数据包，否则，加密数据包之后再发出；接收方代理客户端，用于判断源主机是否在防火墙白名单策略中，若是，则直接接收数据包，否则，解密数据包之后再接收。

本发明有益效果如下：

由于本发明安全内网中的合法主机之间通过统一管理的密钥加解密传输数据或者通过防火墙白名单策略传输数据，所以解决了针对普通主机接口控制系统的局限性，是一套通用性、安全性、可控性和可扩展性较强的主机接入控制的解决方案。

附图说明

图1为现有基于ARP欺骗的技术方案中主机接入控制系统的结构图；

图2为现有基于CISCO的NAC技术方案中主机接入控制系统的拓扑图；

图3为本发明实施例中的系统拓扑结构图；

图4为本发明实施例中的模块化系统逻辑结构图；

图5为本发明实施例中的方法步骤流程图；

图6为本发明实施例中的控制中心应用层数据包处理流程图；

图7为本发明实施例中的NDIS层过滤驱动工作原理图。

具体实施方式

为了有效阻断主机非法(未授权)接入安全内网的行为，本发明提供了一种主机接入控制系统及方法，以下详细说明。

本发明实施例中的系统拓扑结构，参见图3所示，可采用C/S体系结构，其包括若干包含代理客户端的代理主机，进一步由控制中心管理各代理主机。控制中心负责对代理主机的监控管理和主机策略的管理，代理主机通过代理客户端(可通过代理主机软件实现，以下不再赘述)与控制中心进行通信，接收来自控制中心的动态加密钥、主机白名单策略、防火墙策略。