[发明专利]一种远程主机接入的控制方法

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种远程主机接入的控制方法。

背景技术

当前随着企业信息化程度越来越高，IP网络的建设也在企业当中越来越深入，几乎在企业的任何地方人们都可以通过网线或无线网将终端远程接入到企业网中，实现信息的获取或传送。但是由于以太网的特性决定了这些终端在接入到网络中是没有经过任何身份认证的，由此会带来巨大的安全隐患。

现有的远程主机接入方法是先要检查主机的合法性，包括接入的帐号是否异常，有无安装违规软件和有无安装杀毒软件等，然后再进行主机身份验证，包括验证主板信息，CPU型号，硬盘序列号，网卡MAC地址，IP地址，终端主机名等，验证成功后就可以连接入内网，过程简单。但是上述方法有缺点，由于以太网的特性决定了内网是明文传输数据的，并且只能在内网传输，不能跨外网传输，所以该方法不能保证数据的安全性，也不能跨外网接入。

另外一种远程主机接入的方法是通过VPN接入，VPN可以跨外网组建一个虚拟的局域网，并且通信可以加密，这样可以保证数据的安全性。但是通过VPN接入，只能验证账号和密码，不能对远程主机进行合法性检查和身份验证，验证过程过于简单。

发明内容

本发明为了解决现有技术中远程主机接入验证简单的缺点或不足，采用了合法性检查和身份验证的方法，通过虚拟物理网络传输，实现从外网进行高强度验证的远程主机接入的目的。

一种远程主机接入的控制方法，包括下列步骤：

客户端传输的数据从应用层到达驱动层被拦截，由驱动层转化为IP包并把IP包加密，进行主机合法性检查；然后加入收集到的主机的身份信息，再和服务端的数据库进行比较验证；如果验证成功则把加密的IP包和一些必要的交换验证数据一起通过驱动层，再一次发送到物理网络中去；网络中如果存在未验证的主机，接收到加密后的IP数据包不能解密，即不能接入内网，如果存在验证成功的主机，则进行解密，实现网络通信，并且这个过程对操作系统是透明的，操作系统并不知道底层如何实现。

在该方法中进行主机合法性检查，包括接入的帐号是否异常，有无安装违规软件和有无安装杀毒软件。主机的身份信息，包括主板信息，CPU型号，硬盘序列号，网卡MAC地址，IP地址，终端主机名。

本发明技术方案带来的有益效果：相比现有的技术方案，本方法的验证接入过程更加可靠稳定，而且在网络传输的过程中加密，数据的安全性更加有保障，并且通过虚拟物理网络传输，欺骗操作系统，实现从外网进行远程验证接入，不限于内网使用等优点。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1是现有技术中远程主机接入的方法架构图；

图2是本发明的远程主机接入的方法架构图；

图3是现有技术中两个客户端通信的方法架构图；

图4是本发明的实施例中两个客户端通信的方法架构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明方法针对现有技术的优缺点，在传统的VPN客户端和服务端加上对远程主机进行合法性检查和身份验证的功能，做到远程主机可以跨外网接入，和对通信数据进行加密，从而实现了高强度验证的远程主机接入的目的。

如图1所示为现有技术中远程主机接入的方法架构图，现有的远程主机接入方法是在客户端接入到内部网络的时候，客户端的主机接入程序检查和收集本机的信息，比如先要检查主机的合法性，包括接入的帐号是否异常，有无安装违规软件和有无安装杀毒软件等，然后再收集主机的身份信息，包括主板信息，CPU型号，硬盘序列号，网卡MAC地址，IP地址，终端主机名等，再和服务端的数据库进行比较验证，如果验证成功，则允许客户端接入内网，内网中验证成功的主机可以进行通信，验证不成功的主机不能接入内网。