一种网络访问控制的方法和系统.pdf

本发明提出了一种网络访问控制的方法和系统，涉及网络传输安全技术领域。在移动办公终端受到严格的网络访问控制情况下，对终端的网络连接状态进行动态检测并根据所得到的相应检测状态能够让终端顺利通过Web和网关认证。本发明提供的方法，在保障设备的网络安全的同时，在复杂多变的网络环境下更兼容，可以提高网络访问控制的有效性，减少安全管理员的维护工作，也为设备的可访问网络资源提供支持和保障。

权利要求书1.  一种网络访问控制的方法和系统，其特征在于包括如下步骤： 步骤1：网络连接状态的动态检测 根据移动安全办公终端的本地网络设备状态信息、本地与域名解析服务器通信状态信 息以及本地与互联网Web主机通信状态信息，进行动态的综合性检测，分析检测结果； 步骤1.1：通过检测系统事件通知服务的消息，判断网络适配器是否启用，是则网络 连接状态为网络适配器已使用，否则为网络适配器未使用； 步骤1.2：通过与所在网络的DNS通信，解析某活动域名，判断DNS是否能正常返 回该域名解析后的IP地址，是则网络连接状态为DNS可用，否则为DNS不可用； 步骤1.3：通过访问互联网中活动的Web主机服务器获取资源内容，判断主机资源内 容是否可以成功获取，是则网络连接状态为有互联网访问，否则为无互联网访问； 步骤1.4：通过综合以上步骤，如果网络连接状态为网络适配器已使用且DNS可用且 无互联网访问，则网络连接状态为HTTP被重定向，否则为HTTP未重定向； 步骤2：Web和网关认证 当网络连接状态检测为HTTP被重定向时，临时修改过滤规则并执行Web和网关认证， 其他情况无需进行Web和网关认证；直到认证行为完成或有超时等异常出现，立即停止 Web和网关认证，恢复过滤规则； 步骤3：基于网络白名单的网络访问控制 应用程序将预置的网络白名单即可访问的IP与网址解析为相应的过滤规则，内核驱动 程序根据所述过滤规则对用户终端设备进行严格的网络访问控制，仅网络白名单内的地址 为可访问，其他均被拦截阻断； 所述方法应用于移动安全办公应用程序中，其中，移动安全办公应用程序包括安装在 用户管理控制中心计算设备上的移动安全办公服务端，以及安装在用户终端设备上的移动 安全办公终端，通过移动安全办公服务端实现对移动安全办公终端的统一管理以及网络白 名单的维护和更新； 所述的一种网络访问控制系统其特征包括，网络连接状态检测单元，Web和网关认证 支持单元，网络访问控制单元； 所述的网络连接状态检测单元，监听移动安全办公终端的本地网络设备状态信息、本 地与域名解析服务器通信状态信息以及本地与互联网Web主机通信状态信息等，综合分析 的检测结果为其他模块提供支持； 所述的Web和网关认证支持单元，当网络连接状态检测为HTTP被重定向时，则执行 Web和网关认证，与网络访问控制单元通信交互，临时修改过滤规则，并可通过浏览器打 开认证页面提交其他登录信息，直到身份认证完成或超时，恢复过滤规则，停用Web和网 关认证支持单元，等待下次网络连接状态检测单元的检测周期和认证周期； 所述的网络访问控制单元，响应移动安全办公终端的网络访问请求，依据采用白名单 机制所生成的过滤规则，对移动安全办公终端的网络资源访问进行严格控制，仅有过滤规 则允许的资源可以成功访问，网络访问控制单元作为系统的基础依托功能模块，随终端系 统的启用同步运行。

说明书一种网络访问控制的方法和系统
技术领域
本发明涉及网络传输安全技术领域，尤其涉及一种网络访问控制的方法和系 统。
背景技术
目前用户终端设备应用广泛，如用户上网浏览，日常办公，一般都安装微软 操作系统(windows)，这些操作系统支持用户自行安装和卸载任何软件，给系 统的安全带来了很大的隐患，容易遭受隐藏在自行安装软件中的病毒或木马等攻 击，办公系统属于单位的业务系统，涉及的数据是单位敏感数据，数据的泄露会 带来安全威胁。为了让用户在自己使用的终端设备上可以随意地安装软件、上网 浏览，又可以确保用户在使用办公系统时的安全，对用户终端设备进行网络访问 控制的管理方法随之应用起来。然而随着安全要求向移动办公和更加复杂的网络 环境的延伸，当前网络访问控制的方法和系统暴露出它的局限性。公告号为CN 102594814B，公告日为2014.11.12的发明专利提供了一种“基于端末的网络访 问控制系统”。该系统虽然实现根据用户身份进行网络认证以及服务端下发网络 访问控制策略和端末的中间层数据包过滤，但却局限于局域网等简单网络环境 中，没有考虑在复杂多变的移动网络环境中需要进行网络访问认证的情况。例如 一个企业的移动安全办公系统，移动安全办公终端(笔记本)受移动安全办公服 务端的严格管控，只有少数的可访问网络资源采用网络白名单机制通过服务端下 发至移动安全办公终端(笔记本)。当终端在企业内网(专网)或简单英特网(无 需Web和网关认证)环境中，该方法行之有效，但在某些复杂网络(需要Web 和网关认证)环境，该方法的效果会大打折扣。例如，在机场等要求身份认证的 无线网络环境中，移动安全办公终端(笔记本)需要访问网址www.abcd.com及 其内容(该网址为可访问网络资源，即在网络白名单内)就必须先接入到机场无 线网络，该网络的无线控制器会拦截HTTP请求并重定向至该网络的Web认证页 面进行身份验证，然而，由于白名单严格的访问限制，该页面无法显示，使得移 动安全办公终端(笔记本)对白名单内的网址www.abcd.com的正常访问受到限 制，在此情况下甚至会导致移动安全办公终端与服务端的连接无法建立，影响网 络访问控制的管理效果。
因此，在复杂多变的网络环境中，既要保障网络访问控制的安全性和可靠性， 又要尽可能的兼容网络，从而提高对网络访问控制的实效性。
发明内容
本发明提出了一种网络访问控制的方法和系统，在移动安全办公终端受到严 格的网络访问控制情况下，对终端的网络连接状态进行动态检测并根据所得到的 相应检测状态能够让终端顺利通过Web和网关认证。
本发明技术方案的一种网络访问控制方法，内容包括：
步骤1：网络连接状态的动态检测
根据移动安全办公终端的本地网络设备状态信息、本地与域名解析服务器通 信状态信息以及本地与互联网Web主机通信状态信息，进行动态的综合性检测， 分析检测结果；
步骤1.1：通过检测系统事件通知服务的消息，判断网络适配器是否启用， 是则网络连接状态为网络适配器已使用，否则为网络适配器未使用；
步骤1.2：通过与所在网络的DNS通信，解析某活动域名，判断DNS是否能 正常返回该域名解析后的IP地址，是则网络连接状态为DNS可用，否则为DNS 不可用；
步骤1.3：通过访问互联网中活动的Web主机服务器获取资源内容，判断主 机资源内容是否可以成功获取，是则网络连接状态为有互联网访问，否则为无互 联网访问；
步骤1.4：通过综合以上步骤，如果网络连接状态为网络适配器已使用且DNS 可用且无互联网访问，则网络连接状态为HTTP被重定向，否则为HTTP未重定向；
步骤2：Web和网关认证
当网络连接状态检测为HTTP被重定向时，临时修改过滤规则并执行Web和 网关认证，其他情况无需进行Web和网关认证；直到认证行为完成或有超时等异 常出现，立即停止Web和网关认证，恢复过滤规则；
步骤3：基于网络白名单的网络访问控制
应用程序将预置的网络白名单即可访问的IP与网址解析为相应的过滤规 则，内核驱动程序根据所述过滤规则对用户终端设备进行严格的网络访问控制， 仅网络白名单内的地址为可访问，其他均被拦截阻断；
所述方法应用于移动安全办公应用程序中，其中，移动安全办公应用程序包 括安装在用户管理控制中心计算设备上的移动安全办公服务端，以及安装在用户 终端设备上的移动安全办公终端，通过移动安全办公服务端实现对移动安全办公 终端的统一管理以及网络白名单的维护和更新；
所述的一种网络访问控制系统其特征包括，网络连接状态检测单元，Web和 网关认证支持单元，网络访问控制单元；
所述的网络连接状态检测单元，监听移动安全办公终端的本地网络设备状态 信息、本地与域名解析服务器通信状态信息以及本地与互联网Web主机通信状态 信息等，综合分析的检测结果为其他模块提供支持；
所述的Web和网关认证支持单元，当网络连接状态检测为HTTP被重定向时， 则执行Web和网关认证，与网络访问控制单元通信交互，临时修改过滤规则，并 可通过浏览器打开认证页面提交其他登录信息，直到身份认证完成或超时，恢复 过滤规则，停用Web和网关认证支持单元，等待下次网络连接状态检测单元的检 测周期和认证周期；
所述的网络访问控制单元，响应移动安全办公终端的网络访问请求，依据采 用白名单机制所生成的过滤规则，对移动安全办公终端的网络资源访问进行严格 控制，仅有过滤规则允许的资源可以成功访问，网络访问控制单元作为系统的基 础依托功能模块，随终端系统的启用同步运行。
本发明与现有技术相比，具有以下明显的优势和有益效果：
基于本发明上述内容提供的一种网络访问控制的方法和系统，采用白名单机 制规定可访问的网络资源并据此生成过滤规则，终端的网络访问根据该过滤规则 受到严格的控制；根据设备的本地网络设备状态信息、本地与域名解析服务器通 信状态信息以及本地与互联网Web主机通信状态信息等多种网络状态信息，进行 综合性动态检测；当检测出的网络连接状态为HTTP被重定向时，临时修改网络 访问控制的过滤规则，用以支持Web和网关认证，待认证完成或认证超时即恢复 过滤规则，确保对用户终端设备的网络访问控制效果。
本发明提供的方法，在保障设备的网络安全的同时，在复杂多变的网络环境 下更兼容，可以提高网络访问控制的有效性，减少安全管理员的维护工作，也为 设备的可访问网络资源提供支持和保障。
附图说明
图1一种网络访问控制方法的一种实施例示意图；
图2一种网络访问控制系统的一种实施例示意图；
图3一种网络访问控制方法的的流程示意图。
具体实施方式
下面将结合本发明实施例中的示意图，对本发明实施例中的技术方案进行清 楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全 部的实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件 和步骤的相对布置不限制本发明的范围。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本 发明及其应用或使用的任何限制。基于本发明中的实施例，本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范 围。
对于相关领域普通技术人员已知的技术、方法和系统可能不作详细讨论，但 在适当情况下，所述技术、方法和系统应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的， 而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
本发明实施例的应用背景为移动安全办公，由于当前应用最广泛的办公操作 系统仍然为微软Windows系列，并且Windows XP及之前版本不再受到官方维护， 故为了便于描述，本发明实施例提供的网络访问控制方法的执行主体以windows 7为例。
一种网络访问控制的方法的一种实施例示意图如图1所示。实施例的应用场 景为终端-服务端形式的移动安全办公系统，其中移动安全办公服务端负责统一 管理移动安全办公终端并维护和更新网络白名单(包括IP，网址等可访问网络 资源)，白名单为移动安全办公终端的网络访问控制过滤规则的依据，移动安全 办公终端有内网(专网)和外网(非专网)两种方式接入服务端，移动安全办公 终端处于外网时需要通过VPN接入服务端以确保数据传输安全性。在移动安全办 公终端的具体实施过程中，含有以下处理步骤：
步骤S101：设置移动安全办公终端与移动安全办公服务端的通信线程，验 证终端并更新网络白名单。
步骤S102：网络连接状态检测模块，根据移动安全办公终端的本地网络设 备状态信息、本地与DNS(Domain Name System，域名解析服务器)通信状态信 息以及本地与互联网Web主机通信信息等，进行动态的综合性检测，分析检测结 果，为其他模块单元提供状态信息支持。当移动安全办公终端的网络连接状态为 HTTP被重定向时，则检测结果为需要其他登录信息。
1)通过检测操作系统的事件通知服务的消息，判断网络适配器是否启用； Windows 7系统默认安装并自动运行SENS(System Event Notification Service, 系统事件消息服务)，该服务监视并跟踪计算机事件(如Windows登录网络和电 源事件等)。使用Win32的API函数Bool IsNetworkAlive(_Out_LPDWORD  lpdwFlags)会根据该服务获取当前网络适配器的使用情况，如果得到返回值 NETWORK_ALIVE_LAN或NETWORK_ALIVE_WAN则网络适配器已使用，否则网络适配 器未使用。
2)通过与所在网络的默认DNS通信，解析某活动域名(dns.testncsi.com)； 使用Win32的网络API函数struct hostent*FAR gethostbyname(_In_const  char*name)可以在本地发送DNS解析请求，并获取响应信息作为参数和返回值， 如果正常返回且IP地址合法则DNS可用，否则DNS不可用。
3)通过访问互联网中活动的Web主机服务器 (http://www.testncsi.com/test.txt)获取资源内容，判断主机资源内容 (test.txt)是否可以成功获取；使用Windows网络编程的CInternetSession， CHttpConnection，CHttpFile类方法，构造网络会话访问 http://www.testncsi.com/test.txt，成功访问资源test.txt内容则网络连接 状态为有互联网访问，否则为无互联网访问。
4)通过综合以上步骤，如果网络连接状态为网络适配器已使用且DNS可用 且无互联网访问，则网络连接状态为HTTP被重定向，否则为HTTP未重定向。
步骤S103：根据步骤S102的检测结果，需要Web和网关认证的网络环境即 移动安全办公终端的网络连接状态为HTTP被重定向，则执行步骤S104；否则为 不需要Web和网关认证的网络环境即HTTP未重定向，直接执行步骤S105。
步骤S104：在步骤S103中，网络连接状态检测分析结果为移动安全办公终 端需要其他登录信息即HTTP被重定向，执行Web和网关认证，并通知网络访问 控制模块，临时修改过滤规则，使得终端能够完成Web认证，通过浏览器等提交 其他登录信息。一但认证行为完成或有超时等其他异常出现，立即停止Web和网 关认证，并恢复过滤规则。其中与网络访问控制模块通信使用Win32的API应用 接口函数DeviceIoControl()，该函数可以与内核驱动服务程序进行数据和信 息的通信，进行Web认证时发送修改放行信号，认证结束或超时等异常时发送恢 复阻断信号。
步骤S105：网络访问控制模块，解析网络白名单(可访问的IP，网址等) 为相应的网络过滤规则，根据解析的网络过滤规则对移动安全办公终端的网络访 问行为进行控制，设备只能访问过滤规则许可的网络资源(包括IP，网址等)。 按照白名单形式，未经过滤规则许可的一切网络资源均受到严格限制。其中，对 数据包的截获、解析、匹配、过滤等在内核态实现，使用WFP(windows filter platform，微软过滤平台)开发。在Windows的内核中注册WFP过滤引擎会话子 层，同时注册过滤引擎的ALE标注并添加到子层中，在ALE的标注中注册回调函 数，在所述回调函数中截获所有该层数据包，解析数据包IP地址、端口号等信 息并与过滤规则进行匹配，最终实现内核态的过滤。
一种网络访问控制系统的一种实施例示意图如图2所示。实施例的应用场景 为终端-服务端形式的移动安全办公系统，其中移动安全办公服务端负责统一管 理移动安全办公终端并维护和更新网络白名单(包括IP，网址等可访问网络资 源)，为移动安全办公终端的网络访问控制提供过滤规则的依据，移动安全办公 终端有内网(专网)和外网(非专网)两种方式接入接入，移动安全办公终端处 于外网时需要通过VPN接入服务端以确保数据传输安全性。该实施例包括：
通信单元201，设置移动安全办公终端与移动安全办公服务端通信线程，移 动安全办公终端有内网(专网)和外网(非专网)两种方式接入服务端，服务端 可以验证终端并更新网络白名单(IP，网址等可访问网络资源)。所述网络白名 单为生成过滤规则的依据。
网络连接状态检测单元202，监听移动安全办公终端的本地网络设备状态信 息、本地与DNS(Domain Name System，域名解析服务器)设备通信状态信息以 及本地与互联网Web主机通信信息等，综合分析的检测结果为其他模块单元提供 支持。
Web和网关认证支持单元203，当移动安全办公终端的网络连接状态为需要 其他登录信息时，即HTTP被重定向，则执行Web和网关认证，与网络访问控制 单元204通信交互，临时修改过滤规则，移动安全办公终端可通过浏览器打开认 证页面提交其他登录信息，直到身份认证完成或超时，恢复过滤规则，停用Web 和网关认证支持单元，等待下次网络连接状态检测单元202的检测周期和认证周 期。
网络访问控制单元204，响应移动安全办公终端的网络访问请求，依据白名 单机制的过滤规则，对移动安全办公终端的网络资源访问进行严格控制。网络访 问控制单元204作为系统的基础依托功能模块，随终端系统的启用同步运行。
一种网络访问控制的方法的流程示意图如图3所示，含有以下处理步骤：
步骤S301：网络连接状态检测模块，根据移动安全办公终端的本地网络设 备状态信息、本地与DNS(Domain Name System，域名解析服务器)通信状态信 息以及本地与互联网Web主机通信信息等网络状态信息，进行动态的综合性检 测，分析检测结果，为其他模块单元提供状态信息。当移动安全办公终端当前的 网络连接状态为HTTP被重定向时，则检测结果为需要其他登录信息。
步骤S302：在步骤S301中，当网络连接状态检测分析结果为移动安全办公 终端需要其他登录信息时即HTTP被重定向，则执行Web和网关认证，并通知网 络访问控制模块，临时修改过滤规则，使得移动安全办公终端能够完成Web认 证，通过浏览器打开认证页面提交其他登录信息。一但认证行为完成或有超时等 其他异常出现，立即停止Web和网关认证，通知网络访问控制模块恢复过滤规 则。其他情况即不需要其他登录信息的，则无需执行Web和网关认证。
步骤S303：网络访问控制模块，根据预置的网络过滤规则对移动安全办公 终端的网络访问行为进行控制，设备只能访问过滤规则许可的网络资源(包括IP， 网址等)。按照白名单形式，未经过滤规则许可的一切网络资源均受到严格限制。
总之，在本发明的实施例中，可以实现基于网络白名单严格网络访问控制中 的Web和网关认证，尤其是应用在移动安全办公系统场景下。安装使用移动安全 办公终端的用户在异地办公时，需要访问移动安全办公服务端，由于用户当前所 处网络的接入要求进行Web认证，然而Web认证的页面因为不在网络白名单的可 访问资源内被网络访问控制限制，网络连接状态检测到此情况并执行Web和网关 认证，临时修改过滤规则，使得Web认证页面可访问并能够完成认证过程，最终 移动安全办公终端能够顺利访问服务端，解决所述情境问题。在复杂多变的网络 环境中，既可以保障网络访问控制的安全性和可靠性，又尽可能的兼容网络，从 而提高对网络访问控制的实际有效性。此外，由于在内核态就可以实现过滤，因 此可以避免内核层到用户层的数据拷贝，实现底层过滤，节省系统资源的开支。