[发明专利]网络准入控制方法及系统

说明书

技术领域

本发明涉及一种基于数字签名的ARP扩展协议的网络准入控制方法及系统。

背景技术

随着互联网技术的发展，用户可通过各种接入技术，利用各种操作系统，从世界上的每个角落随时接入企业内部网络。对于试图接入到企业内部网络的可管理或不可管理的设备，网管人员根本无法在其接入网络前知晓它们的来源。面对手段高明的黑客入侵，用户设备很可能在不知不觉间被植入后门或感染致命的病毒。任何此类恶意应用都将威胁到企业的信息资产的安全，并对生产率产生严重影响，从而使企业付出惨重的代价。因此提供一套有效的网络准入控制方案变得十分重要。

目前，已经出现了几种网络准入控制解决方案，例如：802.1x协议技术、Cisco NAC技术等。

关于802.1x协议实现网络准入控制解决方案，IEEE802LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1x协议。后来，802.1x协议作为一个接入控制机制在以太网中被广泛应用，主要解决以太网内用户认证的问题。802.1x协议是一种基于端口的网络接入控制协议(Port Based Network Access Control)。“基于端口的网络接入控制”是指在局域网认证设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

关于Cisco NAC实现网络准入控制解决方案，NAC(网络准入控制)是一项由思科发起、多家厂商参加的计划，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC，客户可以只允许合法的、值得信任的主机接入网络，而不允许其它设备接入。在初始阶段，当主机进入网络时，NAC能够帮助思科路由器实施访问权限控制。

上述网络准入控制技术基本上可以较好的完成对非授信主机的接入限制。但这些方法都和具体的硬件设备相绑定，需要企业采购新式的交换机或路由器。这在无形中，增加了企业的投入成本。我们需要一种纯软件的解决方案，使其不依赖于硬件，完成企业内部网络的准入控制。

发明内容

鉴于上述技术问题，本发明提供一种基于数字签名的ARP扩展协议的网络准入控制方法及系统，其通过纯软件的方法，完成企业内部网络的准入控制。

本发明所涉及的基于数字签名的ARP扩展协议的网络准入控制方法，包括以下步骤：签发步骤：签名服务器为用户端主机签发数字签名证书；下发步骤：将所述数字签名证书下发到所述用户端主机；以及扩展步骤：所述用户端主机使用所述数字签名证书扩展ARP协议进行网络通信。

在上述的网络准入控制方法中，所述扩展步骤包括：生成步骤，所述用户端主机生成证书数据库，所述证书数据库用于存储、验证由所述签发服务器签发的所述数字签名证书。

在上述的网络准入控制方法中，所述扩展步骤还包括数据包发送步骤，用于所述用户端主机发送数据包，所述数据包发送步骤包括：截获步骤，所述证书数据库截获待发送的ARP数据包；计算步骤，计算ARP数据包签名信息；填充步骤，当所述ARP数据包签名信息不是扩展ARP数据包时，填充扩展的主机和签名字段，获得扩展ARP数据包；以及发送步骤，发送所述扩展ARP数据包。

在上述的网络准入控制方法中，所述扩展步骤还包括数据包接收步骤，用于所述用户端主机接收数据包，所述数据包接收步骤包括：接收步骤，所述用户端主机接收ARP数据包；第一判断步骤，对接收到的ARP数据包，判断是否是扩展ARP数据包；验证步骤，当通过所述第一判断步骤中判断出是所述扩展ARP数据包时，由所述证书数据库对数字签名是否合法进行验证；还原步骤，当通过所述验证步骤验证为合法的数字签名时，将所述扩展ARP数据包还原为标准ARP数据包；以及交付步骤，将所述标准ARP数据包交付给所述用户端主机。

在上述的网络准入控制方法中，所述数据包接收步骤还包括：丢弃步骤，当通过所述验证步骤验证为非法的数字签名时，丢弃所述扩展ARP数据包。

在上述的网络准入控制方法中，所述数据包接收步骤还包括：第二判断步骤，当通过所述第一判断步骤判断出所述ARP数据包不是扩展ARP数据包时，进一步判断所述ARP数据包是否是网关ARP数据包，当是网关ARP数据包时，进入所述交付步骤，否则进行丢弃。