計算機網絡安全系統及用於防止計算機網絡資源的未授權訪問的方法
2023-09-23 06:26:45
專利名稱:計算機網絡安全系統及用於防止計算機網絡資源的未授權訪問的方法
技術領域:
本發明通常涉及數據安全系統,具體涉及用於防止網絡資源的未授權訪問的系統和方法。
背景技術:
隨著計算機網絡特別是網際網路的到來,連接到這些網絡上的計算機客戶訪問各種資源。這些資源是文檔、文件、技術和經濟數據以及其它電子內容。從一方面來說,這種對資源的遠程或本地訪問給了獨立於它們的位置而使用這些資源的可能性。從另一方面來說,由於對它們的特性來說,這些資源在大多數情況下是至關重要的,當被未授權的客戶訪問時,這帶來了危險。
從技術的角度來看,由在作業系統的控制下的網絡服務其提供這些資源。需要訪問資源的遠程或本地客戶向伺服器發送請求,作為響應,伺服器將資源發送給(給予訪問)遠程或本地客戶。由於大多數資源是有價值的和重要的,僅由授權的遠程或本地客戶可以訪問它們。遠程或本地客戶的一種驗證方法是要求正確輸入用戶名和密碼。只有那些通過了驗證的遠程或本地客戶可以訪問資源。用戶名-密碼方案是使得伺服器對特定客戶(用戶)限制訪問的驗證機制。
然而,經常發生在一個計算機網絡中,不同的網絡資源在不同的作業系統的控制下工作。在這種情況下問題在於連接到域控制器的遠程或本地客戶,當他們登陸到由域控制器控制的域上時,如果可戶安裝不是授權的視窗NT/2000客戶安裝,能夠旁路域控制器。
這將使得未授權的遠程或本地客戶沒有在會話啟動時登陸到域控制器而訪問網絡資源,例如UNIX伺服器,該網絡資源沒有由視窗NT/2000域控制器控制驗證。
本領域中執行遠程客戶的驗證的一個解決方案,即被稱為遠程訪問伺服器(RAS),可以被安置到遠程客戶和域控制器之間的通路上。驗證階段之後的RAS給予對網絡的訪問,而不僅僅是域控制器。這意味著在RAS已經驗證遠程客戶之後,可以旁路域控制器。然而,從網絡安全的角度看,域控制器應驗證並授權所有由遠程或本地客戶啟動的會話,以將所有驗證過程放置在一個伺服器上。
發明內容
有對用於防止網絡資源的未授權訪問的計算計網絡安全系統和方法的需求,其避免或克服現有技術中的缺點。
根據本發明的第一方面,提供了如權利要求1所要求的計算機網絡安全系統。
根據本發明的第二方面,提供了如權利要求11所要求的用於防止計算機網絡資源的未驗證訪問的方法。
本發明有利地允許1.減小客戶和遍歷(traverse)域控制器的伺服器之間的網絡業務。
2.當主域控制器不工作時,可以由備用域控制器接管主域控制器的功能。
3.應由域控制器驗證的連接到域控制器位置的遠程或本地客戶,與域控制器位置相比,可以位於任何位置。
從下面結合附圖對試實例的詳細說明中,可以更加完全地理解和評價本發明,其中圖1是在本發明的一個實施例中的計算機網絡安全系統的框圖,圖2是在本發明的第二實施例中的計算機網絡安全系統的框圖,圖3是在本發明的第三實施例中的計算機網絡安全系統的框圖,圖4是說明在本發明的一個實施例中的用於防止計算機網絡資源的未授權訪問的方法的流程圖。
具體實施例方式
參照圖1,說明了根據發明的計算機網絡安全系統100的一個實施例。計算機網絡系統100包括網絡傳輸設備102,其負責將數據分組指引到它們的目的地IP位址。在一個實施例中,所述網絡傳輸設備102可以是路由器,在另一個實施例中它可以是轉換器。所述網絡傳輸設備連接到域控制器(也稱為DC)104以及連接到UNIX伺服器106。客戶108操作地連接到用於監測驗證(authentication)的裝置110,該用於監測驗證的裝置110連接到所述網絡傳輸設備102。如果所述客戶108位於遠離由所述域控制器104控制的域,則所述客戶1經由具有WAN或撥號接口的路由器連接到用於監測驗證的裝置110。
參照圖2和3,說明了所述計算機網絡安全系統的另一個實施例。如果至少一個客戶位於由所述域控制器控制的域內(本地客戶218),以及至少一個用戶位於遠程(遠程客戶202),所述本地客戶218經由轉換器或集線器220連接到用於監測驗證的第二裝置216,以及所述遠程客戶經由具有WAN或撥號接口112的路由器連接到用於監測驗證的第一裝置206。或者,如果在域中共享僅一個用於監測驗證的裝置,具有WAN或撥號接口112的所述路由器連接到轉換器或所述集線器220。
如果所述域控制器104和所述UNIX伺服器106在不同的作業系統的控制下工作,那麼所述域控制器104不對所述UNIX伺服器106的訪問進行驗證控制。當客戶108在域控制器104的控制下,對在域中的伺服器108或主機開始會話時,基於目的地IP位址,由用於監測驗證的裝置將所述客戶108定向到所述域控制器104。在對所述域中的網絡資源的訪問被允許或拒絕之前,所述域控制器104驗證所述客戶108。在驗證之前,用於監測驗證的所述裝置110僅允許與所述域控制器104連接。
參照圖4,在一個實施例中示出了用於防止計算機網絡資源的未授權訪問的方法。在圖4中,將用於監測驗證的所述裝置指代為「AM」。在會話開始時,所述客戶108向由所述域控制器104控制的所述域請求驗證402。
所述用於監測驗證的裝置110校驗所述客戶108的IP目的地地址404,以防止訪問沒有驗證控制的網絡資源。只有那些IP目的地地址是所述域控制器406的IP目的地地址的客戶被路由到所述域控制器104來驗證。如果在驗證之前所述客戶108的目的地IP位址不是所述域控制器104的目的地IP位址,所述用於監測驗證的裝置110改變所述目的地IP位址並僅允許路由到所述域控制器104。
驗證過程可以基於所述客戶108和所述域控制器104之間達成的加密機制。如果所述客戶被驗證410,將接受(acceptance)分組從所述域控制器104經由所述用於監測驗證的裝置110發送到所述客戶108。基於該信息,所述用於監測驗證的裝置110對所述客戶開啟414到所述域內的網絡資源的連接。結果,所述會話的通路不限於域控制器104和客戶108之間的通路,而且在所述會話期間所述客戶108可以接觸其他伺服器106和214。所述用於監測驗證的裝置110基於該會話的加密算法和密鑰來記錄會話。基於加密並由所述用於監測驗證的裝置110所使用的驗證機制僅在所述用於監測驗證的裝置110和所述客戶108之間的通路上出現。這是因為客戶108訪問的例如UNIX伺服器和其它網絡設備在適當的地方可能不具有加密機制。
如果所述驗證失敗或者在預設時間周期內沒有被執行,所述用於監測驗證的裝置110斷開422所述客戶108。
為了保持對連接到域的客戶進行控制,所述用於監測驗證的裝置110將關於由所述客戶接觸的所述網絡資源的信息發送416到所述域控制器104。所述用於監測驗證的裝置110收集由所述客戶108接觸的IP位址和UDP/TCP埠號,並將該信息發送416到所述域控制器104。作為響應,所述域控制器104將關於允許或拒絕訪問所述網絡資源的信息發送418到所述用於監測驗證的裝置110。所述用於監測驗證的裝置將所述關於允許或拒絕訪問的信息轉換為動態IP分組過濾器。如果所述用戶試圖連接到所述客戶未被授權的網絡資源,所述用於監測驗證的裝置110斷開所述用戶108。
只要在驗證期問開始的會話是有效的,保持對所述網絡資源214的訪問。所述用於監測驗證的裝置110基於所述客戶108的源IP位址和加密機制來確定該會話是否屬於所述客戶108。
為提供計算機網絡的安全,由在所述域控制器104和客戶中已經實現的特性來執行在驗證期間所使用的客戶108的密碼的標準加密。在域控制器在視窗NT/2000下運行的情況下,在客戶和域控制器之間發生加密機制,使得運行過程可信。即,為不是正確客戶的客戶複製該過程是非常困難的。
為加密在所述客戶108和所述網絡資源之間的會話,其不被所述域控制器104控制,使用虛擬個人網絡通道。在所述客戶108和所述用於監測驗證的裝置110或者例如具有WAN接口112的路由器的區域網上的接入點之間建立所述虛擬個人網絡通道。
在一個實施例中,以可以在所述網絡傳輸設備102(例如,路由器)上執行的軟體來實現所述用於監測驗證的裝置110。軟體實現相對低成本並允許簡單的重新配置。然而硬體實現也是可以的。然而,應理解本發明可以被實現為硬體或軟體並用於計算機網絡中。
值得強調,本發明的實施例允許試圖訪問在一個域中在不同作業系統下控制的網絡資源的客戶的驗證。此外,所有驗證過程和所有關於由所述客戶接觸的網絡資源的信息放置在一個伺服器上。
權利要求
1.一種計算機網絡安全系統(100),包括操作地連接以形成計算機網絡的網絡傳輸設備(102)、域控制器(104)、至少一個網絡資源(106)以及至少一個客戶(108),特徵在於,一種用於對所述域控制器(104)監測所述客戶(108)的驗證的裝置(110),在所述網絡傳輸設備(102)和所述客戶(108)之間連接。
2.如權利要求1的計算機網絡安全系統,其中所述域控制器不控制訪問所述網絡資源的驗證。
3.如權利要求1或2的計算機網絡安全系統,其中所述用於監測驗證的裝置包括用於如果所述驗證失敗,則斷開所述客戶的裝置。
4.如權利要求3的計算機網絡安全系統,其中所述用於監測驗證的裝置包括用於如果在預設時間周期內沒有執行所述驗證,則斷開所述客戶的裝置。
5.如以上任何一個權利要求的計算機網絡安全系統,其中所述用於監測驗證的裝置包括用於如果所述客戶試圖連接到所述客戶沒有被授權的網絡資源,則斷開所述客戶的裝置。
6.如以上任何一個權利要求的計算機網絡安全系統,其中裝備有WAN或撥號接口的第二網絡傳輸設備(112)連接在所述客戶(108)和所述用於監測驗證的裝置(110)之間。
7.如以上任何一個權利要求的計算機網絡安全系統,其中所述網絡傳輸設備是路由器。
8.如以上任何一個權利要求的計算機網絡安全系統,其中所述網絡傳輸設備是轉換器。
9.如以上任何一個權利要求的計算機網絡安全系統,其中所述客戶位於遠程。
10.如以上任何一個權利要求的計算機網絡安全系統,其中所述客戶位於由所述域控制器控制的域內。
11.一種用於防止計算機網絡資源的未授權訪問的方法,包括步驟a)客戶向由域控制器控制的域請求驗證(402);特徵在於b)用於監測驗證的裝置,校驗所述客戶的IP目的地地址(404);c)如果所述IP目的地地址是所述域控制器的IP目的地地址(406),將所述客戶路由到所述域控制器用於驗證(408);d)如果驗證了所述用戶(410),將接受分組從所述域控制器經由所述用於監測驗證的裝置發送(412)到所述客戶;e)所述用於監測驗證的裝置對所述客戶開啟到所述域內的網絡資源的連接(414)。
12.如權利要求11的方法,還包括步驟f)所述用於監測驗證的裝置將關於由所述客戶接觸的所述網絡資源的信息發送(416)到所述域控制器;g)所述域控制器將關於允許或拒絕訪問所述網絡資源的信息發送(418)到所述用於監測驗證的裝置;h)所述用於監測驗證的裝置將所述關於允許或拒絕訪問的信息轉換(420)為動態IP分組過濾器。
13.如權利要求11或12的方法,其中通過僅允許路由到域控制器IP位址來實現所述路由。
14.如權利要求11至13的任一的方法,其中為驗證所述網絡資源,使用IP位址或UDP/TCP埠號。
15.如權利要求11至14的任一的方法,其中如果所述驗證失敗,所述用於監測驗證的裝置斷開422所述客戶。
16.如權利要求11至14的任一的方法,其中如果在預設時間周期內沒有執行所述驗證,所述用於監測驗證的裝置斷開422所述客戶。
17.如權利要求11至14的任一的方法,其中如果所述客戶試圖連接到所述客戶未被授權連接的網絡資源,所述用於監測驗證的裝置斷開所述客戶。
18.如權利要求11至14的任一的方法,其中只要在驗證期間開始的會話是有效的,保持對所述網絡資源的訪問。
19.如權利要求11至18的任一的方法,其中為了加密所述客戶和所述網絡資源之間的會話,其不被所述域控制器控制,使用虛擬個人網絡通道。
20.如權利要求19的方法,其中在所述客戶和所述用於監測驗證的裝置之間建立所述虛擬個人網絡通道。
21.如權利要求18至20的方法,其中所述用於監測驗證的裝置基於所述客戶的源IP位址和加密機制來確定該會話是否屬於所述客戶。
22.如權利要求20的方法,其中在所述客戶和區域網上的接入點之間建立所述虛擬個人網絡通道。
23.如權利要求11至22的任一的方法,其中所述域控制器不控制訪問至少部分所述網絡資源的驗證。
24.一種路由器或轉換器,適於執行上述權利要求11至23的任一的任何方法步驟。
全文摘要
一種計算機網絡安全系統(100),包括操作地連接以形成計算機網絡的網絡傳輸設備(102)、域控制器(104)、至少一個網絡資源(106)以及至少一個客戶(108),其中,在所述網絡傳輸設備(102)和所述客戶(108)之間連接的一種用於對所述域控制器(104)監測所述客戶的驗證的裝置(110)。
文檔編號H04L12/26GK1846421SQ200480024922
公開日2006年10月11日 申請日期2004年6月29日 優先權日2003年8月28日
發明者延斯-克裡斯蒂安·約爾根森 申請人:摩託羅拉公司