一种主机接入控制系统及方法.pdf

一种主机接入控制系统及方法
    【技术领域】

    本发明涉及网络安全领域，特别是涉及一种主机接入控制系统及方法。

    背景技术

    随着计算机网络在政府和企事业单位应用的高速发展，内网安全越来越受到重视，特别是对主机接入控制越来越高。目前对主机接入控制普遍采用基于ARP(Address Resolution Protocol地址解析协议)欺骗或基于NAC(NetworkAdmission control)技术。

    现有基于ARP欺骗的技术方案中主机接入控制系统的结构图参见图1所示，该系统由GUI管理模块、抓包模块、分析模块和阻断模块组成。GUI管理模块负责与用户进程交互，包括登录认证、主机策略(主机白名单)管理等；抓包模块采用PCAP开发包的抓包方法负责对ARP协议数据包的抓取，把抓取结果送给分析模块进行分析处理；分析模块负责对ARP协议数据包的解码分析，把解码结果送给阻断模块；阻断模块根据GUI管理模块送来的主机白名单策略和分析模块送来的ARP包进行逻辑判断，对非法接入主机的发送ARP欺骗包，从而达到对主机的非法接入行为进行阻断的目的。

    基于ARP欺骗技术的主机接入控制系统存在如下缺点：

    对部署了ARP防火墙的主机接入无法阻断

    目前出现不少的个人版ARP防火墙系统，这些系统可以配置IP地址与MAC地址的绑定策略，防止ARP欺骗。

    对部分三层交换机不起作用

    目前，大部分三层交换机具有IP/MAC绑定功能，能对ARP欺骗包进行过滤。

    现有基于CISCO的NAC技术方案中接入控制系统的拓扑图参见图2所示，该系统主要由支持802.1X协议的交换机、策略服务器以及部署了NAC客户端软件的主机所组成，其中交换机通过802.1X协议对主机的访问进行认证，只有认证通过的主机才能接入网络；其中策略服务器用于配置接入控制策略，交换机通过TFTP协议与策略服务器进行通信，获得策略清单。

    基于CISCO的NAC技术方案的主机接入控制系统存在如下缺点：

    该技术方案只有支持802.1X的交换机才能使用，对于大部分的老式交换机和集线器无能为力；

    客户端只能部署NAC客户端软件才能与支持802.1X的交换机进行接入认证，目前对于WINDOWS家庭来说只有WIN7默认自带NAC客户端。

    综上，现有技术的安全性和通用性存在缺陷，无法有效阻断主机非法接入内网的行为。

    【发明内容】

    本发明提供了一种主机接入控制系统及方法，用以解决现有技术无法有效防止非法主机接入内网的问题。

    本发明的一种主机接入控制方法，包括下列步骤：发送方代理客户端判断目标主机是否在防火墙白名单策略中，若是，则直接发出数据包，否则，加密数据包之后再发出；接收方代理客户端判断源主机是否在防火墙白名单策略中，若是，则直接接收数据包，否则，解密数据包之后再接收。

    本发明的一种主机接入控制系统，包括：发送方代理客户端，用于判断目标主机是否在防火墙白名单策略中，若是，则直接发出数据包，否则，加密数据包之后再发出；接收方代理客户端，用于判断源主机是否在防火墙白名单策略中，若是，则直接接收数据包，否则，解密数据包之后再接收。

    本发明有益效果如下：

    由于本发明安全内网中的合法主机之间通过统一管理的密钥加解密传输数据或者通过防火墙白名单策略传输数据，所以解决了针对普通主机接口控制系统的局限性，是一套通用性、安全性、可控性和可扩展性较强的主机接入控制的解决方案。

    【附图说明】

    图1为现有基于ARP欺骗的技术方案中主机接入控制系统的结构图；

    图2为现有基于CISCO的NAC技术方案中主机接入控制系统的拓扑图；

    图3为本发明实施例中的系统拓扑结构图；

    图4为本发明实施例中的模块化系统逻辑结构图；

    图5为本发明实施例中的方法步骤流程图；

    图6为本发明实施例中的控制中心应用层数据包处理流程图；

    图7为本发明实施例中的NDIS层过滤驱动工作原理图。

    【具体实施方式】

    为了有效阻断主机非法(未授权)接入安全内网的行为，本发明提供了一种主机接入控制系统及方法，以下详细说明。

    本发明实施例中的系统拓扑结构，参见图3所示，可采用C/S体系结构，其包括若干包含代理客户端的代理主机，进一步由控制中心管理各代理主机。控制中心负责对代理主机的监控管理和主机策略的管理，代理主机通过代理客户端(可通过代理主机软件实现，以下不再赘述)与控制中心进行通信，接收来自控制中心的动态加密钥、主机白名单策略、防火墙策略。

    更为具体的，发送方代理客户端，用于判断目标主机是否在防火墙白名单策略中，若是，则直接发出数据包，否则，加密数据包之后再发出；接收方代理客户端，用于判断源主机是否在防火墙白名单策略中，若是，则直接接收数据包，否则，解密数据包之后再接收。

    通过控制中心的主机白名单策略实现对代理主机的安装、注册和登录认证进行控制，只有策略允许的主机方可成功安装代理主机软件。

    发送方代理客户端和接收方代理客户端加解密所用的密钥由控制中心统一生成，登录成功后从控制中心获得密钥，基于加密强度和性能的权衡考虑，加解密采用RC4流加解密算法，密钥长度为256。发送方代理客户端和接收方代理客户端所用的防火墙白名单策略也是在发送方代理客户端和接收方代理客户端登录控制中心后，由控制中心下发。

    可见，对于部署了代理软件的主机可以互相通信，可称为可信主机，对于没有部署代理软件的主机因为其发出的数据包或接收的数据包没有加解密所以无法与可信主机进行通信，从而实现非法主机的接入控制。另外，对于无法部署代理主机软件的服务器或主机(例如网关设备、其它网络设备或其它非WINDOWS平台的主机或服务器)，可将该主机加入到防火墙白名单例外策略，该策略记录有不包含代理主机软件的合法主机的IP地址或MAC地址，对这些主机的网络通信数据包将不做加/解密处理，从而提高本系统的兼容性和适应能力。

    本发明实施例中的系统逻辑结构，参见图4所示，由控制中心和部署在代理主机的代理主机软件所组成，下面介绍各组成部分的详细情况：

    控制中心作为本系统的总控中心，由主服务程序、COM组件和WEB程序三部分组成。

    WEB程序作为与用户交互部分用户的部分操作事件通过COM组件通知主服务程序。

    COM组件作为WEB程序与主服务程序的中间桥梁，把WEB的事件通知送给主服务程序，再把主服务程序的处理结果返回给WEB程序。

    主服务程序作为控制中心的核心的部分，由服务程序主模块、策略管理模块、通信模块、COM接口模块和日志模块等组成。其中服务程序主模块作为总调度模块；策略管理模块负责管理主机白名单策略、防火墙白名单、主机防火墙策略、动态密钥策略等；通信模块负责与代理主机软件进行通信，包括参数和策略的下发和日志的接收等；COM接口模块负责处理来自COM组件的事件；日志模块负责处理系统的监控日志。

    代理主机软件中包括：通信模块，用于与控制中心通信，发起注册、登录流程，以及接收下发的防火墙白名单策略和加解密密钥等。服务程序主模块作为总调度模块。防火墙模块是核心功能模块，用于实现对网络数据包的加解密，具体可采用基于WINDOWS网络驱动程序接口规范(NDIS)开发的网络驱动过滤程序，该驱动过滤程序实现了对网络数据包有针对性的加/解密处理。

    参见图5所示，本发明实施例中的方法包括下列主要步骤：

    S1、发送方代理客户端判断目标主机是否在防火墙白名单策略中，若是，则直接发出数据包，否则，加密数据包之后再发出。

    S2、接收方代理客户端判断源主机是否在防火墙白名单策略中，若是，则直接接收数据包，否则，解密数据包之后再接收。

    更为具体的，控制中心的主机白名单策略实现对代理主机的安装和登录认证进行控制，只有策略允许的主机方可安装代理主机软件。参见图6所示，控制中心与代理主机通信采用TCP方式，控制中心作为监听端，代理主机作为连接的发起端，其中控制中心应用层数据包处理流程如下：控制中心接收并缓冲主机发来的请求；之后处理该请求的数据包。若为登录认证包，则从登录认证包中取得发起端主机的MAC信息；根据主机白名单策略判断该主机是否合法，若合法，则构造合法响应包，并录入发送队列等待处理，否则构造非法响应包，并录入发送队列等待处理。若为注册请求包，则从注册请求包中取得发起端主机的MAC信息；根据主机白名单策略判断该主机是否合法，若合法，则构造合法响应包，并录入发送队列等待处理，否则构造非法响应包，并录入发送队列等待处理。若为其它类型包，则从其它类型包中取得发起端主机的MAC信息；判断是否登陆或注册是否超时，若是，则构造非法响应包，并录入发送队列等待处理，否则，将该请求返回缓冲区等待该主机成功注册或登录。

    上述加解密密钥由控制中心统一生成，主机登录成功后可从控制中心获得密钥，基于加密强度和性能的权衡考虑，加解密采用RC4流加解密算法，密钥长度为256。具体可采用基于WINDOWS网络驱动程序接口规范(NDIS)开发的网络驱动过滤程序，该驱动过滤程序实现了对网络数据包有针对性的加/解密处理。上述防火墙白名单策略也是在发送方代理客户端和接收方代理客户端登录控制中心后，由控制中心下发。具体NDIS层过滤驱动工作原理，参见图7所示，发送流程如下：待发送的数据包进入发送队列；从IP包中取得目标IP地址和MAC地址；根据防火墙白名单策略判断目标IP地址或MAC地址是否为例外，若是，则直接发送，否则加密数据包后再发送。接收流程如下：待接收的数据包进入接收队列；从IP包中取得源IP地址和MAC地址；根据防火墙白名单策略判断源IP地址或MAC地址是否为例外，若是，则直接接收，否则解密处理后再接收。

    可见，对于部署了代理软件的主机可以互相通信，可称为可信主机，对于没有部署代理软件的主机因为其发出的包或接收的包没有加解密所以无法与可信主机进行通信，从而实现非法主机的接入控制。另外，对于无法部署代理主机软件的服务器或主机(例如网关设备、其它网络设备或其它非WINDOWS平台的主机或服务器)，可将该主机加入到防火墙白名单例外策略，该策略记录有不包含代理主机软件的合法主机的IP地址或MAC地址，对这些主机的网络通信数据包将不做加/解密处理，从而提高本系统的兼容性和适应能力。

    综上，本发明解决了针对普通主机接口控制系统的局限性，提供了一套通用性、安全性、可控性和可扩展性较强的主机接入控制的解决方案。

    通用性：既适应于采用传统网络互联设备(如HUB、老式交换机等)的局域网环境，又适合采用先进(如三层交换机)环境，故整体适应性较强。

    安全性：对可信主机的通信数据包进行加/解密处理，使用不管非法主机如何接入都无法访问安全局域网中的任何一台主机，故安全性较高。

    可控性：本系统可对代理主机的安装和登录认证进行授权，故可控性较高。

    可扩展性：目前桌面主机操作系统大部分还是微软的WINDOWS系统，随着LINUX桌面平台的发展(如UBUNTU等)，今后将有部分桌面主机采用LINUX操作系统，为了使安装LINUX操作系统的终端主机也安全接入到本系统，则可利用LINUX平台的Netfilter防火墙技术开发相应的代理软件，功能和WINDOWS平台相同，故本技术方案具有较强的可扩展性。

    显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。