[发明专利]网络安全控制服务器识别终端计算机合法性的方法

说明书

技术领域

本发明涉及网络管理技术领域，特别涉及网络安全控制服务器的控制管理技术领域，具体是网络安全控制服务器识别终端计算机合法性的方法。

背景技术

随着社会信息化程度不断提高，企业规模越来越大，企业中所拥有的计算机数量也越来越多。对终端计算机进行管理的要求也越来越高，为了有效的管理终端计算机，需要在局域网中安装网络安全控制服务器，通过网络安全控制服务器来判断入网终端计算机是否合法。

现有技术中，网络安全控制服务器通过识别终端计算机的IP地址判断终端计算机是否合法，对非法终端计算机发送的TCP数据包进行阻断。但这种技术有明显的缺点，就是当终端计算机与网络安全控制服务器之间设置NAT地址转换设备（网络地址转换设备），终端计算机向互联网或数据服务器所发送的TCP数据包在经过NAT地址转换设备后，TCP数据包的源IP地址（即终端计算机的IP地址）转换为NATIP地址（NAT地址转换设备指定的IP地址），TCP数据包的源端口（即终端计算机的端口）转换成NAT端口，网络安全控制服务器接收到TCP数据包后，无法通过识别终端计算机的IP地址的方法区分出是哪台终端计算机发送的，因此无法识别终端计算机是否合法。

发明内容

为了克服上述现有技术的不足，本发明提供一种网络安全控制服务器识别终端计算机合法性的方法，网络安全控制服务器以TCP数据包的连接为单位，对终端计算机向互联网或数据服务器建立的每个TCP连接进行合法性判断，解决了由于在终端计算机与网络安全控制服务器之间设置NAT地址转换设备，网络安全控制服务器无法通过识别终端计算机的IP地址的方法区分出是哪台终端计算机发送的，因此无法识别终端计算机是否合法的问题。

为了实现上述目的，本发明采用如下技术方案：

网络安全控制服务器识别终端计算机合法性的方法，包括如下步骤：

a.网络安全控制服务器默认阻断所有终端计算机通过TCP连接发送的数据包：

网络安全控制服务器默认阻断所有终端计算机向互联网或数据服务器通过TCP连接发送的数据包，允许所有终端计算机向互联网或数据服务器通过TCP连接发送的握手包，目的用于阻断非法终端计算机向互联网或数据服务器通过TCP连接发送的数据包；

b.终端计算机与互联网或数据服务器建立TCP连接，发送握手包：

终端计算机访问互联网或数据服务器，新建立一个TCP连接，向互联网或数据服务器发送握手包，该握手包信息包括：终端计算机的IP地址、目的IP地址、终端计算机的端口、目的端口、握手包中IP协议层的标识；

c.网络安全控制服务器接收经过NAT地址转换设备后TCP连接的握手包：

网络安全控制服务器接收经过NAT地址转换设备后TCP连接的握手包，因为TCP连接的握手包经过NAT地址转换设备，所以TCP连接的握手包中的终端计算机的IP地址转换为NATIP地址，TCP连接的握手包中的源端口转换成NAT端口，网络安全控制服务器记录该经过NAT地址转换设备转换的TCP连接的握手包信息作为该TCP连接信息，包括：NATIP地址、目的IP地址、NAT端口、目的端口、握手包中IP协议层的标识，并将该TCP连接信息默认标记为非法，并以链表形式保存到网络安全控制服务器内存中；

d.网络安全控制服务器识别终端计算机是否合法：

如果终端计算机已安装合法的应用软件，该终端计算机能够拦截通过TCP连接发送的数据包，也能够向网络安全控制服务器发送TCP连接认证信息，识别已安装合法的应用软件的终端计算机是否合法步骤如下；

d1A.终端计算机将所述握手包信息以链表形式保存到终端计算机的内存中；

d2A.终端计算机拦截通过TCP连接发送的数据包：

终端计算机通过驱动拦截通过该TCP连接发送的数据包；

d3A.终端计算机向网络安全控制服务器发送TCP连接认证信息：

终端计算机从内存中找到该TCP连接信息中的目的IP地址、目的端口、握手数据包中IP协议层的标识作为TCP连接认证信息，发送给网络安全控制服务器进行认证；

d4A.网络安全控制服务器接收终端计算机发送的TCP连接认证信息：

网络安全控制服务器接收终端计算机发送的TCP连接认证信息，并根据该TCP连接认证信息，在网络安全控制服务器内存中,找到该TCP连接认证信息对应的TCP连接信息，并将该TCP连接信息标记为合法；

d5A.终端计算机取消拦截通过TCP连接发送的数据包：