[发明专利]网络安全控制服务器识别终端计算机合法性的方法

摘要

本发明公开了网络安全控制服务器识别终端计算机合法性的方法，该方法以TCP数据包的连接为单位对终端计算机的每个TCP连接进行合法性判断，解决了在终端计算机与网络安全控制服务器之间放置NAT地址转换设备，使终端计算机所发送的TCP数据包的源IP地址发生了转换，网络安全控制服务器从而无法判断终端计算机合法性的问题。本发明可以广泛应用于各种网络结构。

主权项

一种网络安全控制服务器识别终端计算机合法性的方法，包括如下步骤：a.网络安全控制服务器默认阻断所有终端计算机通过TCP连接发送的数据包：网络安全控制服务器默认阻断所有终端计算机向互联网或数据服务器通过TCP连接发送的数据包，允许所有终端计算机向互联网或数据服务器通过TCP连接发送的握手包，目的用于阻断非法终端计算机向互联网或数据服务器通过TCP连接发送的数据包；b.终端计算机与互联网或数据服务器建立TCP连接，发送握手包：终端计算机访问互联网或数据服务器，新建立一个TCP连接，向互联网或数据服务器发送握手包，该握手包信息包括：终端计算机的IP地址、目的IP地址、终端计算机的端口、目的端口、握手包中IP协议层的标识；c.网络安全控制服务器接收经过NAT地址转换设备后TCP连接的握手包：网络安全控制服务器接收经过NAT地址转换设备后TCP连接的握手包，因为TCP连接的握手包经过NAT地址转换设备，所以TCP连接的握手包中的终端计算机的IP地址转换为NATIP地址，TCP连接的握手包中的源端口转换成NAT端口，网络安全控制服务器记录该经过NAT地址转换设备转换的TCP连接的握手包信息作为该TCP连接信息，包括：NATIP地址、目的IP地址、NAT端口、目的端口、握手包中IP协议层的标识，并将该TCP连接信息默认标记为非法，并以链表形式保存到网络安全控制服务器内存中；d.网络安全控制服务器识别终端计算机是否合法：如果终端计算机已安装合法的应用软件，该终端计算机能够拦截通过TCP连接发送的数据包，也能够向网络安全控制服务器发送TCP连接认证信息，识别已安装合法的应用软件的终端计算机是否合法步骤如下；d1A.终端计算机将所述握手包信息以链表形式保存到终端计算机的内存中；d2A.终端计算机拦截通过TCP连接发送的数据包：d3A.终端计算机向网络安全控制服务器发送TCP连接认证信息：终端计算机从内存中找到该TCP连接信息中的目的IP地址、目的端口、握手数据包中IP协议层的标识作为TCP连接认证信息，发送给网络安全控制服务器进行认证；d4A.网络安全控制服务器接收终端计算机发送的TCP连接认证信息：网络安全控制服务器接收终端计算机发送的TCP连接认证信息，并根据该TCP连接认证信息，在网络安全控制服务器内存中,找到该TCP连接认证信息对应的TCP连接信息，并将该TCP连接信息标记为合法；d5A.终端计算机取消拦截通过TCP连接发送的数据包：d6A.终端计算机通过TCP连接发送数据包：终端计算机通过该TCP连接向互联网或数据服务器发送数据包；d7A.网络安全控制服务器接收终端计算机通过TCP连接发送的数据包：d8A网络安全控制服务器识别终端计算机合法网络安全控制服务器根据接收到的通过TCP连接发送的数据包中的NATIP地址、目的IP地址、NAT端口、目的端口，在网络安全控制服务器内存中找到对应的TCP连接信息，由于该TCP连接信息已经标记为合法，则该终端计算机合法，并允许该终端计算机通过TCP连接发送的数据包；如果终端计算机未安装合法的应用软件，该终端计算机不能够拦截通过TCP连接发送的数据包，也不能够向网络安全控制服务器发送TCP连接认证信息，识别未安装合法的应用软件的终端计算机是否合法步骤如下；d1B.终端计算机通过TCP连接发送数据包：终端计算机通过该TCP连接向互联网或数据服务器发送数据包；d2B.网络安全控制服务器接收终端计算机通过TCP连接发送的数据包：d3B.网络安全控制服务器识别终端计算机非法网络安全控制服务器根据接收到的通过TCP连接发送的数据包中的NATIP地址、目的IP地址、NAT端口、目的端口，网络安全控制服务器内存中找到对应的TCP连接信息，由于终端计算机无法向网络安全控制服务器发送TCP连接认证信息，并且TCP连接信息已经默认标记为非法，则该终端计算机非法，阻断该终端计算机通过TCP连接发送的数据包。