新四季網

計算機網絡安全系統及用於防止計算機網絡資源的未授權訪問的方法

2023-09-23 06:26:45

專利名稱:計算機網絡安全系統及用於防止計算機網絡資源的未授權訪問的方法
技術領域:
本發明通常涉及數據安全系統,具體涉及用於防止網絡資源的未授權訪問的系統和方法。
背景技術:
隨著計算機網絡特別是網際網路的到來,連接到這些網絡上的計算機客戶訪問各種資源。這些資源是文檔、文件、技術和經濟數據以及其它電子內容。從一方面來說,這種對資源的遠程或本地訪問給了獨立於它們的位置而使用這些資源的可能性。從另一方面來說,由於對它們的特性來說,這些資源在大多數情況下是至關重要的,當被未授權的客戶訪問時,這帶來了危險。
從技術的角度來看,由在作業系統的控制下的網絡服務其提供這些資源。需要訪問資源的遠程或本地客戶向伺服器發送請求,作為響應,伺服器將資源發送給(給予訪問)遠程或本地客戶。由於大多數資源是有價值的和重要的,僅由授權的遠程或本地客戶可以訪問它們。遠程或本地客戶的一種驗證方法是要求正確輸入用戶名和密碼。只有那些通過了驗證的遠程或本地客戶可以訪問資源。用戶名-密碼方案是使得伺服器對特定客戶(用戶)限制訪問的驗證機制。
然而,經常發生在一個計算機網絡中,不同的網絡資源在不同的作業系統的控制下工作。在這種情況下問題在於連接到域控制器的遠程或本地客戶,當他們登陸到由域控制器控制的域上時,如果可戶安裝不是授權的視窗NT/2000客戶安裝,能夠旁路域控制器。
這將使得未授權的遠程或本地客戶沒有在會話啟動時登陸到域控制器而訪問網絡資源,例如UNIX伺服器,該網絡資源沒有由視窗NT/2000域控制器控制驗證。
本領域中執行遠程客戶的驗證的一個解決方案,即被稱為遠程訪問伺服器(RAS),可以被安置到遠程客戶和域控制器之間的通路上。驗證階段之後的RAS給予對網絡的訪問,而不僅僅是域控制器。這意味著在RAS已經驗證遠程客戶之後,可以旁路域控制器。然而,從網絡安全的角度看,域控制器應驗證並授權所有由遠程或本地客戶啟動的會話,以將所有驗證過程放置在一個伺服器上。

發明內容
有對用於防止網絡資源的未授權訪問的計算計網絡安全系統和方法的需求,其避免或克服現有技術中的缺點。
根據本發明的第一方面,提供了如權利要求1所要求的計算機網絡安全系統。
根據本發明的第二方面,提供了如權利要求11所要求的用於防止計算機網絡資源的未驗證訪問的方法。
本發明有利地允許1.減小客戶和遍歷(traverse)域控制器的伺服器之間的網絡業務。
2.當主域控制器不工作時,可以由備用域控制器接管主域控制器的功能。
3.應由域控制器驗證的連接到域控制器位置的遠程或本地客戶,與域控制器位置相比,可以位於任何位置。


從下面結合附圖對試實例的詳細說明中,可以更加完全地理解和評價本發明,其中圖1是在本發明的一個實施例中的計算機網絡安全系統的框圖,圖2是在本發明的第二實施例中的計算機網絡安全系統的框圖,圖3是在本發明的第三實施例中的計算機網絡安全系統的框圖,圖4是說明在本發明的一個實施例中的用於防止計算機網絡資源的未授權訪問的方法的流程圖。
具體實施例方式
參照圖1,說明了根據發明的計算機網絡安全系統100的一個實施例。計算機網絡系統100包括網絡傳輸設備102,其負責將數據分組指引到它們的目的地IP位址。在一個實施例中,所述網絡傳輸設備102可以是路由器,在另一個實施例中它可以是轉換器。所述網絡傳輸設備連接到域控制器(也稱為DC)104以及連接到UNIX伺服器106。客戶108操作地連接到用於監測驗證(authentication)的裝置110,該用於監測驗證的裝置110連接到所述網絡傳輸設備102。如果所述客戶108位於遠離由所述域控制器104控制的域,則所述客戶1經由具有WAN或撥號接口的路由器連接到用於監測驗證的裝置110。
參照圖2和3,說明了所述計算機網絡安全系統的另一個實施例。如果至少一個客戶位於由所述域控制器控制的域內(本地客戶218),以及至少一個用戶位於遠程(遠程客戶202),所述本地客戶218經由轉換器或集線器220連接到用於監測驗證的第二裝置216,以及所述遠程客戶經由具有WAN或撥號接口112的路由器連接到用於監測驗證的第一裝置206。或者,如果在域中共享僅一個用於監測驗證的裝置,具有WAN或撥號接口112的所述路由器連接到轉換器或所述集線器220。
如果所述域控制器104和所述UNIX伺服器106在不同的作業系統的控制下工作,那麼所述域控制器104不對所述UNIX伺服器106的訪問進行驗證控制。當客戶108在域控制器104的控制下,對在域中的伺服器108或主機開始會話時,基於目的地IP位址,由用於監測驗證的裝置將所述客戶108定向到所述域控制器104。在對所述域中的網絡資源的訪問被允許或拒絕之前,所述域控制器104驗證所述客戶108。在驗證之前,用於監測驗證的所述裝置110僅允許與所述域控制器104連接。
參照圖4,在一個實施例中示出了用於防止計算機網絡資源的未授權訪問的方法。在圖4中,將用於監測驗證的所述裝置指代為「AM」。在會話開始時,所述客戶108向由所述域控制器104控制的所述域請求驗證402。
所述用於監測驗證的裝置110校驗所述客戶108的IP目的地地址404,以防止訪問沒有驗證控制的網絡資源。只有那些IP目的地地址是所述域控制器406的IP目的地地址的客戶被路由到所述域控制器104來驗證。如果在驗證之前所述客戶108的目的地IP位址不是所述域控制器104的目的地IP位址,所述用於監測驗證的裝置110改變所述目的地IP位址並僅允許路由到所述域控制器104。
驗證過程可以基於所述客戶108和所述域控制器104之間達成的加密機制。如果所述客戶被驗證410,將接受(acceptance)分組從所述域控制器104經由所述用於監測驗證的裝置110發送到所述客戶108。基於該信息,所述用於監測驗證的裝置110對所述客戶開啟414到所述域內的網絡資源的連接。結果,所述會話的通路不限於域控制器104和客戶108之間的通路,而且在所述會話期間所述客戶108可以接觸其他伺服器106和214。所述用於監測驗證的裝置110基於該會話的加密算法和密鑰來記錄會話。基於加密並由所述用於監測驗證的裝置110所使用的驗證機制僅在所述用於監測驗證的裝置110和所述客戶108之間的通路上出現。這是因為客戶108訪問的例如UNIX伺服器和其它網絡設備在適當的地方可能不具有加密機制。
如果所述驗證失敗或者在預設時間周期內沒有被執行,所述用於監測驗證的裝置110斷開422所述客戶108。
為了保持對連接到域的客戶進行控制,所述用於監測驗證的裝置110將關於由所述客戶接觸的所述網絡資源的信息發送416到所述域控制器104。所述用於監測驗證的裝置110收集由所述客戶108接觸的IP位址和UDP/TCP埠號,並將該信息發送416到所述域控制器104。作為響應,所述域控制器104將關於允許或拒絕訪問所述網絡資源的信息發送418到所述用於監測驗證的裝置110。所述用於監測驗證的裝置將所述關於允許或拒絕訪問的信息轉換為動態IP分組過濾器。如果所述用戶試圖連接到所述客戶未被授權的網絡資源,所述用於監測驗證的裝置110斷開所述用戶108。
只要在驗證期問開始的會話是有效的,保持對所述網絡資源214的訪問。所述用於監測驗證的裝置110基於所述客戶108的源IP位址和加密機制來確定該會話是否屬於所述客戶108。
為提供計算機網絡的安全,由在所述域控制器104和客戶中已經實現的特性來執行在驗證期間所使用的客戶108的密碼的標準加密。在域控制器在視窗NT/2000下運行的情況下,在客戶和域控制器之間發生加密機制,使得運行過程可信。即,為不是正確客戶的客戶複製該過程是非常困難的。
為加密在所述客戶108和所述網絡資源之間的會話,其不被所述域控制器104控制,使用虛擬個人網絡通道。在所述客戶108和所述用於監測驗證的裝置110或者例如具有WAN接口112的路由器的區域網上的接入點之間建立所述虛擬個人網絡通道。
在一個實施例中,以可以在所述網絡傳輸設備102(例如,路由器)上執行的軟體來實現所述用於監測驗證的裝置110。軟體實現相對低成本並允許簡單的重新配置。然而硬體實現也是可以的。然而,應理解本發明可以被實現為硬體或軟體並用於計算機網絡中。
值得強調,本發明的實施例允許試圖訪問在一個域中在不同作業系統下控制的網絡資源的客戶的驗證。此外,所有驗證過程和所有關於由所述客戶接觸的網絡資源的信息放置在一個伺服器上。
權利要求
1.一種計算機網絡安全系統(100),包括操作地連接以形成計算機網絡的網絡傳輸設備(102)、域控制器(104)、至少一個網絡資源(106)以及至少一個客戶(108),特徵在於,一種用於對所述域控制器(104)監測所述客戶(108)的驗證的裝置(110),在所述網絡傳輸設備(102)和所述客戶(108)之間連接。
2.如權利要求1的計算機網絡安全系統,其中所述域控制器不控制訪問所述網絡資源的驗證。
3.如權利要求1或2的計算機網絡安全系統,其中所述用於監測驗證的裝置包括用於如果所述驗證失敗,則斷開所述客戶的裝置。
4.如權利要求3的計算機網絡安全系統,其中所述用於監測驗證的裝置包括用於如果在預設時間周期內沒有執行所述驗證,則斷開所述客戶的裝置。
5.如以上任何一個權利要求的計算機網絡安全系統,其中所述用於監測驗證的裝置包括用於如果所述客戶試圖連接到所述客戶沒有被授權的網絡資源,則斷開所述客戶的裝置。
6.如以上任何一個權利要求的計算機網絡安全系統,其中裝備有WAN或撥號接口的第二網絡傳輸設備(112)連接在所述客戶(108)和所述用於監測驗證的裝置(110)之間。
7.如以上任何一個權利要求的計算機網絡安全系統,其中所述網絡傳輸設備是路由器。
8.如以上任何一個權利要求的計算機網絡安全系統,其中所述網絡傳輸設備是轉換器。
9.如以上任何一個權利要求的計算機網絡安全系統,其中所述客戶位於遠程。
10.如以上任何一個權利要求的計算機網絡安全系統,其中所述客戶位於由所述域控制器控制的域內。
11.一種用於防止計算機網絡資源的未授權訪問的方法,包括步驟a)客戶向由域控制器控制的域請求驗證(402);特徵在於b)用於監測驗證的裝置,校驗所述客戶的IP目的地地址(404);c)如果所述IP目的地地址是所述域控制器的IP目的地地址(406),將所述客戶路由到所述域控制器用於驗證(408);d)如果驗證了所述用戶(410),將接受分組從所述域控制器經由所述用於監測驗證的裝置發送(412)到所述客戶;e)所述用於監測驗證的裝置對所述客戶開啟到所述域內的網絡資源的連接(414)。
12.如權利要求11的方法,還包括步驟f)所述用於監測驗證的裝置將關於由所述客戶接觸的所述網絡資源的信息發送(416)到所述域控制器;g)所述域控制器將關於允許或拒絕訪問所述網絡資源的信息發送(418)到所述用於監測驗證的裝置;h)所述用於監測驗證的裝置將所述關於允許或拒絕訪問的信息轉換(420)為動態IP分組過濾器。
13.如權利要求11或12的方法,其中通過僅允許路由到域控制器IP位址來實現所述路由。
14.如權利要求11至13的任一的方法,其中為驗證所述網絡資源,使用IP位址或UDP/TCP埠號。
15.如權利要求11至14的任一的方法,其中如果所述驗證失敗,所述用於監測驗證的裝置斷開422所述客戶。
16.如權利要求11至14的任一的方法,其中如果在預設時間周期內沒有執行所述驗證,所述用於監測驗證的裝置斷開422所述客戶。
17.如權利要求11至14的任一的方法,其中如果所述客戶試圖連接到所述客戶未被授權連接的網絡資源,所述用於監測驗證的裝置斷開所述客戶。
18.如權利要求11至14的任一的方法,其中只要在驗證期間開始的會話是有效的,保持對所述網絡資源的訪問。
19.如權利要求11至18的任一的方法,其中為了加密所述客戶和所述網絡資源之間的會話,其不被所述域控制器控制,使用虛擬個人網絡通道。
20.如權利要求19的方法,其中在所述客戶和所述用於監測驗證的裝置之間建立所述虛擬個人網絡通道。
21.如權利要求18至20的方法,其中所述用於監測驗證的裝置基於所述客戶的源IP位址和加密機制來確定該會話是否屬於所述客戶。
22.如權利要求20的方法,其中在所述客戶和區域網上的接入點之間建立所述虛擬個人網絡通道。
23.如權利要求11至22的任一的方法,其中所述域控制器不控制訪問至少部分所述網絡資源的驗證。
24.一種路由器或轉換器,適於執行上述權利要求11至23的任一的任何方法步驟。
全文摘要
一種計算機網絡安全系統(100),包括操作地連接以形成計算機網絡的網絡傳輸設備(102)、域控制器(104)、至少一個網絡資源(106)以及至少一個客戶(108),其中,在所述網絡傳輸設備(102)和所述客戶(108)之間連接的一種用於對所述域控制器(104)監測所述客戶的驗證的裝置(110)。
文檔編號H04L12/26GK1846421SQ200480024922
公開日2006年10月11日 申請日期2004年6月29日 優先權日2003年8月28日
發明者延斯-克裡斯蒂安·約爾根森 申請人:摩託羅拉公司

同类文章

一種新型多功能組合攝影箱的製作方法

一種新型多功能組合攝影箱的製作方法【專利摘要】本實用新型公開了一種新型多功能組合攝影箱,包括敞開式箱體和前攝影蓋,在箱體頂部設有移動式光源盒,在箱體底部設有LED脫影板,LED脫影板放置在底板上;移動式光源盒包括上蓋,上蓋內設有光源,上蓋部設有磨沙透光片,磨沙透光片將光源封閉在上蓋內;所述LED脫影

壓縮模式圖樣重疊檢測方法與裝置與流程

本發明涉及通信領域,特別涉及一種壓縮模式圖樣重疊檢測方法與裝置。背景技術:在寬帶碼分多址(WCDMA,WidebandCodeDivisionMultipleAccess)系統頻分復用(FDD,FrequencyDivisionDuplex)模式下,為了進行異頻硬切換、FDD到時分復用(TDD,Ti

個性化檯曆的製作方法

專利名稱::個性化檯曆的製作方法技術領域::本實用新型涉及一種檯曆,尤其涉及一種既顯示月曆、又能插入照片的個性化檯曆,屬於生活文化藝術用品領域。背景技術::公知的立式檯曆每頁皆由月曆和畫面兩部分構成,這兩部分都是事先印刷好,固定而不能更換的。畫面或為風景,或為模特、明星。功能單一局限性較大。特別是畫

一種實現縮放的視頻解碼方法

專利名稱:一種實現縮放的視頻解碼方法技術領域:本發明涉及視頻信號處理領域,特別是一種實現縮放的視頻解碼方法。背景技術: Mpeg標準是由運動圖像專家組(Moving Picture Expert Group,MPEG)開發的用於視頻和音頻壓縮的一系列演進的標準。按照Mpeg標準,視頻圖像壓縮編碼後包

基於加熱模壓的纖維增強PBT複合材料成型工藝的製作方法

本發明涉及一種基於加熱模壓的纖維增強pbt複合材料成型工藝。背景技術:熱塑性複合材料與傳統熱固性複合材料相比其具有較好的韌性和抗衝擊性能,此外其還具有可回收利用等優點。熱塑性塑料在液態時流動能力差,使得其與纖維結合浸潤困難。環狀對苯二甲酸丁二醇酯(cbt)是一種環狀預聚物,該材料力學性能差不適合做纖

一種pe滾塑儲槽的製作方法

專利名稱:一種pe滾塑儲槽的製作方法技術領域:一種PE滾塑儲槽一、 技術領域 本實用新型涉及一種PE滾塑儲槽,主要用於化工、染料、醫藥、農藥、冶金、稀土、機械、電子、電力、環保、紡織、釀造、釀造、食品、給水、排水等行業儲存液體使用。二、 背景技術 目前,化工液體耐腐蝕貯運設備,普遍使用傳統的玻璃鋼容

釘的製作方法

專利名稱:釘的製作方法技術領域:本實用新型涉及一種釘,尤其涉及一種可提供方便拔除的鐵(鋼)釘。背景技術:考慮到廢木材回收後再加工利用作業的方便性與安全性,根據環保規定,廢木材的回收是必須將釘於廢木材上的鐵(鋼)釘拔除。如圖1、圖2所示,目前用以釘入木材的鐵(鋼)釘10主要是在一釘體11的一端形成一尖

直流氧噴裝置的製作方法

專利名稱:直流氧噴裝置的製作方法技術領域:本實用新型涉及ー種醫療器械,具體地說是ー種直流氧噴裝置。背景技術:臨床上的放療過程極易造成患者的局部皮膚損傷和炎症,被稱為「放射性皮炎」。目前對於放射性皮炎的主要治療措施是塗抹藥膏,而放射性皮炎患者多伴有局部疼痛,對於止痛,多是通過ロ服或靜脈注射進行止痛治療

新型熱網閥門操作手輪的製作方法

專利名稱:新型熱網閥門操作手輪的製作方法技術領域:新型熱網閥門操作手輪技術領域:本實用新型涉及一種新型熱網閥門操作手輪,屬於機械領域。背景技術::閥門作為流體控制裝置應用廣泛,手輪傳動的閥門使用比例佔90%以上。國家標準中提及手輪所起作用為傳動功能,不作為閥門的運輸、起吊裝置,不承受軸向力。現有閥門

用來自動讀取管狀容器所載識別碼的裝置的製作方法

專利名稱:用來自動讀取管狀容器所載識別碼的裝置的製作方法背景技術:1-本發明所屬領域本發明涉及一種用來自動讀取管狀容器所載識別碼的裝置,其中的管狀容器被放在循環於配送鏈上的文檔匣或託架裝置中。本發明特別適用於,然而並非僅僅專用於,對引入自動分析系統的血液樣本試管之類的自動識別。本發明還涉及專為實現讀