網絡安全控制伺服器識別終端計算機合法性的方法

2023-05-17 08:09:51 1

專利名稱：網絡安全控制伺服器識別終端計算機合法性的方法
技術領域：
本發明涉及網絡管理技術領域，特別涉及網絡安全控制伺服器的控制管理技術領 域，具體是網絡安全控制伺服器識別終端計算機合法性的方法。
背景技術：
〔0002〕 隨著社會信息化程度不斷提高，企業規模越來越大，企業中所擁有的計算機數量 也越來越多。對終端計算機進行管理的要求也越來越高，為了有效的管理終端計算機，需要 在區域網中安裝網絡安全控制伺服器，通過網絡安全控制伺服器來判斷入網終端計算機是 否合法。
〔0003〕 現有技術中，網絡安全控制伺服器通過識別終端計算機的I？地址判斷終端計算 機是否合法，對非法終端計算機發送的扣？數據包進行阻斷。但這種技術有明顯的缺點，就 是當終端計算機與網絡安全控制伺服器之間設置嫩I地址轉換設備(網絡地址轉換設備X 終端計算機向網際網路或數據伺服器所發送的扣？數據包在經過嫩I地址轉換設備後，10？數 據包的源I？地址(即終端計算機的I？地址)轉換為嫩了1？地址〔嫩!'地址轉換設備指定的 I？地址〉，10？數據包的源埠(即終端計算機的埠)轉換成嫩I埠，網絡安全控制服務 器接收到扣？數據包後，無法通過識別終端計算機的I？地址的方法區分出是哪臺終端計算 機發送的，因此無法識別終端計算機是否合法。

發明內容
〔0004〕 為了克服上述現有技術的不足，本發明提供一種網絡安全控制伺服器識別終端計 算機合法性的方法，網絡安全控制伺服器以扣？數據包的連接為單位，對終端計算機向互 聯網或數據伺服器建立的每個扣？連接進行合法性判斷，解決了由於在終端計算機與網絡 安全控制伺服器之間設置嫩I地址轉換設備，網絡安全控制伺服器無法通過識別終端計算 機的I？地址的方法區分出是哪臺終端計算機發送的，因此無法識別終端計算機是否合法 的問題。
〔0005〕 為了實現上述目的，本發明採用如下技術方案
網絡安全控制伺服器識別終端計算機合法性的方法，包括如下步驟
網絡安全控制伺服器默認阻斷所有終端計算機通過扣？連接發送的數據包
網絡安全控制伺服器默認阻斷所有終端計算機向網際網路或數據伺服器通過扣？連接 發送的數據包，允許所有終端計算機向網際網路或數據伺服器通過扣？連接發送的握手包， 目的用於阻斷非法終端計算機向網際網路或數據伺服器通過扣？連接發送的數據包；
匕終端計算機與網際網路或數據伺服器建立扣？連接，發送握手包
終端計算機訪問網際網路或數據伺服器，新建立一個扣？連接，向網際網路或數據伺服器 發送握手包，該握手包信息包括終端計算機的I？地址、目的I？地址、終端計算機的埠、 目的埠、握手包中I？協議層的標識；
網絡安全控制伺服器接收經過嫩I地址轉換設備後扣？連接的握手包nattcptcp m&
nat mmm^,pm tcpip mmm%
NATIP jéJah, TCPNAT m P,i MiM^
a nat mmmtcptcp i :natip ìéìil
g m IP JéJahNAT èm p > g M nip mXB WfeiK, tcp iafêff
d.mm%±mm^mpmmì-\-m)i^^i; ■.
mmmìfimmmmtmmmjt tcp mm%m m
WlWíQ,TCP fêiAiiHff M iRM
d2A. ^Miftcp■.
^MifTCP;
d3A. mrnm^famm%±mm^RmTcpmmikimM, ■.
tcpg éKj ip tit> g à^mP>iS^Mtì^
ip tijàlMWfeiK#* tcp mmximM,,Rm^mm%±mm&zm7iki￡ -, d4A. mm^±mm^mmmì-\-mmmm tcp■.
mm%±mm^zmmmì-\-mmmm tcp mmxìmM,, #um% tcp mmxiiHftm tcp giAiiHff j. ati tcp#
mM TCP m&f éMi ^^'íí; ;
d5A. rnmiftcp■.
^MifTCP 3afê2èi2i jf g^ J^#￡ ;
d6A. mmì-Yifi/uia tcp mmumm-MQ ■. mmi-Ymmm^ tcp-,
d7A. mm%±mm&zmmmìmtmj±7cpmmtRmùmM& ■.
d8A.■.
mm^±mm^mmmmmm.j± tcpm natip a il g m
IPifeèt>NAT^P> g W MP N^^^fê ^rt^^ JcilJX^ê^TCPêTT& TCP iafêff J., miM^mif J￥ l/l^è,J￥ l/UIil TCP '&&il^mif If W!￡^#ìM tcp '&&
Rmm§kM&, kXnmfamm%±mm^zRmTcp 3amimi,iK3ij*$ ^è
diB. mmif i/um tcp■.
mrn-Ymmm^ tcp-,
d2B. mm%±mm^mmmimtmj±TcpmmtRmmmM& ■.
d3B.■.
mm^±mm^mmmmmm.j± tcpnatip a il g w
IP Jé lhNAT M P > g M P,TCP fêff ,1, êTü端計算機無法向網絡安全控制伺服器發送TCP連接認證信息，並且TCP連接信息已經默認 標記為非法，則該終端計算機非法，阻斷該終端計算機通過TCP連接發送的數據包。本發明通過終端計算機與網絡安全控制伺服器之間對終端計算機發送的TCP連 接信息進行交互認證的識別方法，解決了終端計算機與網絡安全控制伺服器之間設置NAT 地址轉換設備，終端計算機向網際網路或數據伺服器所發送的TCP數據包在經過NAT地址轉 換設備後，TCP數據包的源IP位址轉換為NATIP位址，TCP數據包的源埠轉換成NAT端 口，網絡安全控制伺服器接收到TCP數據包後，無法通過識別終端計算機的IP位址的方法 區分出是哪臺終端計算機發送的，因此無法識別終端計算機是否合法的問題。


圖I為本發明的識別終端計算機合法性的方法的流程圖2為本發明的實施例的應用環境示意圖。
具體實施例方式下面將結合附圖及實施例，對本發明做進一步詳細描述。本發明的網絡安全控制伺服器識別終端計算機合法性的方法，本實施例的應用環 境如圖2所示，包括網際網路、路由器、交換機、網絡安全控制伺服器、NAT路由器、終端計算機 I、終端計算機2;
所述路由器的一端連接網際網路，另一端連接交換機的乙太網埠 J1，該交換機的以太 網埠 J2連接網絡安全控制伺服器W1，該交換機的乙太網埠 J3連接NAT路由器的以太 網埠 NI，所述NAT路由器的乙太網埠 N2連接終端計算機I，所述NAT路由器的乙太網 埠 N3連接終端計算機2 ;交換機的乙太網埠 J2是對乙太網埠 Jl的鏡像，因此，當終 端計算機I或終端計算機2訪問網際網路時，終端計算機發送的TCP數據包通過交換機的以 太網埠 Jl時，會被鏡像到交換機的乙太網埠 J2上，此時網絡安全控制伺服器通過交換 機的乙太網埠 J2可以接收到終端計算機I或終端計算機2訪問網際網路時發送的TCP數 據包，並對接收到的TCP數據包進行分析、處理。本實施例具體採用如下設備
路由器TP-LINK TL-R4148 ；
交換機Huawei Quidway S3900 ；
網絡安全控制伺服器航天聯志2000R ；
NAT 路由器H3C Aolynk WBR204g。
實施例本實施例，其中終端計算機I已安裝合法的應用軟體，終端計算機2未安裝合法的 應用軟體
當終端計算機I訪問網際網路時，具體工作過程如下
I.網絡安全控制伺服器默認阻斷通過TCP連接發送的數據包
網絡安全控制伺服器默認阻斷終端計算機I向網際網路通過TCP連接發送的數據包，允 許終端計算機I向網際網路通過TCP連接發送的握手包；目的用於阻斷非法終端計算機向網際網路通過TCP連接發送的數據包；
2.終端計算機1與網際網路建立TCP連接，發送握手包
終端計算機1訪問網際網路，新建立一個TCP連接，向網際網路發送握手包，該握手包信息 包括終端計算機1的IP位址(192. 168. 0. 2)、目的IP位址(220. 181. 111. 85)、終端計算 機1的埠(50436)、目的埠(80)、握手包中IP協議層的標識(32124)；
3.網絡安全控制伺服器接收經過NAT地址轉換設備後TCP連接的握手包
網絡安全控制伺服器接收經過NAT地址轉換設備後TCP連接的握手包，因為TCP連接 的握手包經過NAT地址轉換設備，所以TCP連接的握手包中的終端計算機1的IP位址轉換 為NATIP位址，TCP連接的握手包中的源埠轉換成NAT埠，網絡安全控制伺服器記錄該 經過NAT地址轉換設備轉換的TCP連接的握手包信息作為該TCP連接信息，包括NATIP地 址(192. 168. 1. 100)、目的 IP 地址(220. 181. 111. 85)、NAT 端 口 (30463)、目的端 口 (80)、 握手包中IP協議層的標識(32124)，並將該TCP連接默認標記為非法，並以鍊表形式保存到 網絡安全控制伺服器內存中；
4.網絡安全控制伺服器識別終端計算機1是否合法
因為終端計算機1已安裝合法的應用軟體，該終端計算機1能夠攔截通過TCP連接發 送的數據包，也能夠向網絡安全控制伺服器發送TCP連接認證信息，識別已安裝合法的應 用軟體的終端計算機1是否合法步驟如下；
4. 1A.終端計算機1將所述的握手包信息以鍊表形式保存到終端計算機1的內存中； 4. 2A.終端計算機1攔截通過TCP連接發送的數據包
終端計算機1採用驅動攔截通過該TCP連接發送的數據包；
4. 3A.終端計算機1向網絡安全控制伺服器發送TCP連接認證信息
終端計算機1從其內存中找到該TCP連接信息中的目的IP位址(220. 181. 111. 85)、目 的埠(80)、握手數據包中IP協議層的標識(32124)作為TCP連接認證信息，並發送給網 絡安全控制伺服器進行認證；
4. 4A.網絡安全控制伺服器接收終端計算機1發送的TCP連接認證信息
網絡安全控制伺服器接收終端計算機1發送的TCP連接認證信息，並根據接收到該TCP 連接認證信息在網絡安全控制伺服器的內存中，找到該TCP連接認證信息對應的TCP連接 信息，並將該TCP連接信息標記為合法；
4. 5A.終端計算機1取消攔截通過TCP連接發送的數據包 終端計算機1採用驅動取消攔截通過該TCP連接發送的數據包；
4. 6A.終端計算機1通過TCP連接發送數據包
終端計算機1通過該TCP連接向網際網路發送數據包；
4. 7A.網絡安全控制伺服器接收終端計算機1通過TCP連接發送的數據包
4. A8.網絡安全控制伺服器識別終端計算機1合法
網絡安全控制伺服器根據接收到的通過TCP連接發送的數據包中的NATIP位址 (192. 168. 1. 100)、目的 IP位址(220. 181. 111. 85)、NAT 埠(30463)、目的埠(80)，在網 絡安全控制伺服器內存中找到對應的TCP連接信息，因為該TCP連接已標記為合法，則該終 端計算機1合法，允許終端計算機1通過TCP連接發送的數據包。 當終端計算機2訪問網際網路時，具體工作過程如下1.網絡安全控制伺服器默認阻斷通過TCP連接發送的數據包
網絡安全控制伺服器默認阻斷終端計算機2向網際網路通過TCP連接發送的數據包，允 許終端計算機2向網際網路通過TCP連接發送的握手包；目的用於阻斷非法終端計算機向互 聯網通過TCP連接發送的數據包；
2.終端計算機2與網際網路建立TCP連接，發送握手包
終端計算機2訪問網際網路，新建立一個TCP連接，向網際網路發送握手包，該握手包包括 終端計算機2的IP位址(192. 168. 0. 3)、目的IP位址(220. 181. 111. 85)、終端計算機2的 埠(50457)、目的埠(80)、握手包中IP協議層的標識(32189)；
3.網絡安全控制伺服器接收新建立的TCP連接的握手包
網絡安全控制伺服器接收經過NAT地址轉換設備後TCP連接的握手包，因為TCP連接 的握手包經過NAT地址轉換設備，所以TCP連接的握手包中的終端計算機2的IP位址轉換 為NATIP位址，TCP連接的握手包中的源埠轉換成NAT埠，網絡安全控制伺服器記錄該 經過NAT地址轉換設備轉換的TCP連接的握手包信息作為該TCP連接信息，包括NATIP地 址(192. 168. 1. 100)、目的 IP 在址(220. 181. 111. 85)、NAT 埠 (20487)、目的埠 (80)、握 手包中IP協議層的標識(32189)，並將該TCP連接信息默認標記為非法，並以鍊表形式保存 到網絡安全控制伺服器內存中；
4.網絡安全控制伺服器識別終端計算機2是否合法
因為終端計算機2未安裝合法的應用軟體，該終端計算機2不能夠攔截通過TCP連接 發送的數據包，也不能夠向網絡安全控制伺服器發送TCP連接認證信息，識別未安裝合法 的應用軟體的終端計算機2是否合法步驟如下
4. 1B.終端計算機2通過TCP連接發送數據包
終端計算機2通過該TCP連接向網際網路發送數據包；
4. 2B.網絡安全控制伺服器接收終端計算機2通過TCP連接發送的數據包
4. 3B.網絡安全控制伺服器識別終端計算機2非法
網絡安全控制伺服器根據接收到的通過TCP連接發送的數據包中的NATIP位址 (192. 168. 1. 100)、目的 IP 在址(220. 181. 111. 85)、NAT 埠(20487)、目的埠(80)，在網 絡安全控制伺服器內存中找到對應的TCP連接信息，由於終端計算機2無法向網絡安全控 制伺服器發送TCP連接認證信息，並且TCP連接信息已經默認標記為非法，則該終端計算機 2非法，則阻斷終端計算機2通過TCP連接發送的數據包。 上述方法通過終端計算機與網絡安全控制伺服器之間對終端計算機發送的TCP 連接信息進行交互認證的識別方法，解決了終端計算機與網絡安全控制伺服器之間設置 NAT地址轉換設備，無法識別終端計算機是否合法的問題。
權利要求
1.一種網絡安全控制伺服器識別終端計算機合法性的方法，包括如下步驟 a.網絡安全控制伺服器默認阻斷所有終端計算機通過TCP連接發送的數據包 網絡安全控制伺服器默認阻斷所有終端計算機向網際網路或數據伺服器通過TCP連接發送的數據包，允許所有終端計算機向網際網路或數據伺服器通過TCP連接發送的握手包，目的用於阻斷非法終端計算機向網際網路或數據伺服器通過TCP連接發送的數據包； b.終端計算機與網際網路或數據伺服器建立TCP連接，發送握手包 終端計算機訪問網際網路或數據伺服器，新建立ー個TCP連接，向網際網路或數據伺服器發送握手包，該握手包信息包括終端計算機的IP位址、目的IP位址、終端計算機的端ロ、目的端ロ、握手包中IP協議層的標識； c.網絡安全控制伺服器接收經過NAT地址轉換設備後TCP連接的握手包 網絡安全控制伺服器接收經過NAT地址轉換設備後TCP連接的握手包，因為TCP連接的握手包經過NAT地址轉換設備，所以TCP連接的握手包中的終端計算機的IP位址轉換為NATIP位址，TCP連接的握手包中的源端ロ轉換成NAT端ロ，網絡安全控制伺服器記錄該經過NAT地址轉換設備轉換的TCP連接的握手包信息作為該TCP連接信息，包括=NATIP位址、目的IP位址、NAT端ロ、目的端ロ、握手包中IP協議層的標識，並將該TCP連接信息默認標記為非法，並以鍊表形式保存到網絡安全控制伺服器內存中； d.網絡安全控制伺服器識別終端計算機是否合法 如果終端計算機已安裝合法的應用軟體，該終端計算機能夠攔截通過TCP連接發送的數據包，也能夠向網絡安全控制伺服器發送TCP連接認證信息，識別已安裝合法的應用軟體的終端計算機是否合法步驟如下； dlA.終端計算機將所述握手包信息以鍊表形式保存到終端計算機的內存中； d2A.終端計算機攔截通過TCP連接發送的數據包 d3A.終端計算機向網絡安全控制伺服器發送TCP連接認證信息 終端計算機從內存中找到該TCP連接信息中的目的IP位址、目的端ロ、握手數據包中IP協議層的標識作為TCP連接認證信息，發送給網絡安全控制伺服器進行認證；d4A.網絡安全控制伺服器接收終端計算機發送的TCP連接認證信息 網絡安全控制伺服器接收終端計算機發送的TCP連接認證信息，井根據該TCP連接認證信息，在網絡安全控制伺服器內存中，找到該TCP連接認證信息對應的TCP連接信息，並將該TCP連接信息標記為合法； d5A.終端計算機取消攔截通過TCP連接發送的數據包 d6A.終端計算機通過TCP連接發送數據包 終端計算機通過該TCP連接向網際網路或數據伺服器發送數據包； d7A.網絡安全控制伺服器接收終端計算機通過TCP連接發送的數據包 d8A網絡安全控制伺服器識別終端計算機合法 網絡安全控制伺服器根據接收到的通過TCP連接發送的數據包中的NATIP位址、目的IP位址、NAT端ロ、目的端ロ，在網絡安全控制伺服器內存中找到對應的TCP連接信息，由於該TCP連接信息已經標記為合法，則該終端計算機合法，並允許該終端計算機通過TCP連接發送的數據包； 如果終端計算機未安裝合法的應用軟體，該終端計算機不能夠攔截通過TCP連接發送的數據包，也不能夠向網絡安全控制伺服器發送TCP連接認證信息，識別未安裝合法的應用軟體的終端計算機是否合法步驟如下； dlB.終端計算機通過TCP連接發送數據包 終端計算機通過該TCP連接向網際網路或數據伺服器發送數據包； d2B.網絡安全控制伺服器接收終端計算機通過TCP連接發送的數據包 d3B.網絡安全控制伺服器識別終端計算機非法 網絡安全控制伺服器根據接收到的通過TCP連接發送的數據包中的NATIP位址、目的 IP位址、NAT端ロ、目的端ロ，網絡安全控制伺服器內存中找到對應的TCP連接信息，由於終端計算機無法向網絡安全控制伺服器發送TCP連接認證信息，並且TCP連接信息已經默認標記為非法，則該終端計算機非法，阻斷該終端計算機通過TCP連接發送的數據包。
2.如權利要求I所述的網絡安全控制伺服器識別終端計算機合法性的方法，其特徵在於 所述步驟d2A終端計算機攔截通過TCP連接發送的數據包，終端計算機是通過驅動攔截通過該TCP連接發送的數據包。
3.如權利要求I所述的網絡安全控制伺服器識別終端計算機合法性的方法，其特徵在幹所述步驟d5A終端計算機取消攔截通過TCP連接發送的數據包，終端計算機是通過驅動取消對通過該TCP連接發送的數據包的攔截。
全文摘要
本發明公開了網絡安全控制伺服器識別終端計算機合法性的方法，該方法以TCP數據包的連接為單位對終端計算機的每個TCP連接進行合法性判斷，解決了在終端計算機與網絡安全控制伺服器之間放置NAT地址轉換設備，使終端計算機所發送的TCP數據包的源IP位址發生了轉換，網絡安全控制伺服器從而無法判斷終端計算機合法性的問題。本發明可以廣泛應用於各種網絡結構。
文檔編號H04L29/06GK102664890SQ201210119838
公開日2012年9月12日 申請日期2012年4月23日 優先權日2012年4月23日
發明者張博, 潘琳琳, 金魁 申請人:瀋陽通用軟體有限公司