一種網(wǎng)絡(luò)訪問控制的方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及網(wǎng)絡(luò)傳輸安全技術(shù)領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)訪問控制的方法和系統(tǒng)��。
【背景技術(shù)】
[0002]目前用戶終端設(shè)備應(yīng)用廣泛���,如用戶上網(wǎng)瀏覽����,日常辦公��,一般都安裝微軟操作系統(tǒng)(windows)��,這些操作系統(tǒng)支持用戶自行安裝和卸載任何軟件�����,給系統(tǒng)的安全帶來了很大的隱患����,容易遭受隱藏在自行安裝軟件中的病毒或木馬等攻擊,辦公系統(tǒng)屬于單位的業(yè)務(wù)系統(tǒng)���,涉及的數(shù)據(jù)是單位敏感數(shù)據(jù)�,數(shù)據(jù)的泄露會帶來安全威脅��。為了讓用戶在自己使用的終端設(shè)備上可以隨意地安裝軟件��、上網(wǎng)瀏覽��,又可以確保用戶在使用辦公系統(tǒng)時的安全����,對用戶終端設(shè)備進(jìn)行網(wǎng)絡(luò)訪問控制的管理方法隨之應(yīng)用起來。然而隨著安全要求向移動辦公和更加復(fù)雜的網(wǎng)絡(luò)環(huán)境的延伸��,當(dāng)前網(wǎng)絡(luò)訪問控制的方法和系統(tǒng)暴露出它的局限性��。公告號為CN102594814B�����,公告日為2014.11.12的發(fā)明專利提供了一種“基于端末的網(wǎng)絡(luò)訪問控制系統(tǒng)”��。該系統(tǒng)雖然實(shí)現(xiàn)根據(jù)用戶身份進(jìn)行網(wǎng)絡(luò)認(rèn)證以及服務(wù)端下發(fā)網(wǎng)絡(luò)訪問控制策略和端末的中間層數(shù)據(jù)包過濾���,但卻局限于局域網(wǎng)等簡單網(wǎng)絡(luò)環(huán)境中�,沒有考慮在復(fù)雜多變的移動網(wǎng)絡(luò)環(huán)境中需要進(jìn)行網(wǎng)絡(luò)訪問認(rèn)證的情況���。例如一個企業(yè)的移動安全辦公系統(tǒng)�,移動安全辦公終端(筆記本)受移動安全辦公服務(wù)端的嚴(yán)格管控,只有少數(shù)的可訪問網(wǎng)絡(luò)資源采用網(wǎng)絡(luò)白名單機(jī)制通過服務(wù)端下發(fā)至移動安全辦公終端(筆記本)��。當(dāng)終端在企業(yè)內(nèi)網(wǎng)(專網(wǎng))或簡單英特網(wǎng)(無需Web和網(wǎng)關(guān)認(rèn)證)環(huán)境中�,該方法行之有效,但在某些復(fù)雜網(wǎng)絡(luò)(需要Web和網(wǎng)關(guān)認(rèn)證)環(huán)境���,該方法的效果會大打折扣��。例如�����,在機(jī)場等要求身份認(rèn)證的無線網(wǎng)絡(luò)環(huán)境中��,移動安全辦公終端(筆記本)需要訪問網(wǎng)址WWW.abed, com及其內(nèi)容(該網(wǎng)址為可訪問網(wǎng)絡(luò)資源�����,即在網(wǎng)絡(luò)白名單內(nèi))就必須先接入到機(jī)場無線網(wǎng)絡(luò)���,該網(wǎng)絡(luò)的無線控制器會攔截HTTP請求并重定向至該網(wǎng)絡(luò)的Web認(rèn)證頁面進(jìn)行身份驗(yàn)證,然而�,由于白名單嚴(yán)格的訪問限制�����,該頁面無法顯示���,使得移動安全辦公終端(筆記本)對白名單內(nèi)的網(wǎng)址WWW.abed, com的正常訪問受到限制�����,在此情況下甚至?xí)?dǎo)致移動安全辦公終端與服務(wù)端的連接無法建立��,影響網(wǎng)絡(luò)訪問控制的管理效果���。
[0003]因此���,在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中,既要保障網(wǎng)絡(luò)訪問控制的安全性和可靠性����,又要盡可能的兼容網(wǎng)絡(luò),從而提高對網(wǎng)絡(luò)訪問控制的實(shí)效性��。
【發(fā)明內(nèi)容】
[0004]本發(fā)明提出了一種網(wǎng)絡(luò)訪問控制的方法和系統(tǒng)�,在移動安全辦公終端受到嚴(yán)格的網(wǎng)絡(luò)訪問控制情況下����,對終端的網(wǎng)絡(luò)連接狀態(tài)進(jìn)行動態(tài)檢測并根據(jù)所得到的相應(yīng)檢測狀態(tài)能夠讓終端順利通過Web和網(wǎng)關(guān)認(rèn)證���。
[0005]本發(fā)明技術(shù)方案的一種網(wǎng)絡(luò)訪問控制方法����,內(nèi)容包括:
[0006]步驟1:網(wǎng)絡(luò)連接狀態(tài)的動態(tài)檢測
[0007]根據(jù)移動安全辦公終端的本地網(wǎng)絡(luò)設(shè)備狀態(tài)信息��、本地與域名解析服務(wù)器通信狀態(tài)信息以及本地與互聯(lián)網(wǎng)Web主機(jī)通信狀態(tài)信息����,進(jìn)行動態(tài)的綜合性檢測,分析檢測結(jié)果�;
[0008]步驟1.1:通過檢測系統(tǒng)事件通知服務(wù)的消息,判斷網(wǎng)絡(luò)適配器是否啟用���,是則網(wǎng)絡(luò)連接狀態(tài)為網(wǎng)絡(luò)適配器已使用�,否則為網(wǎng)絡(luò)適配器未使用�;
[0009]步驟1.2:通過與所在網(wǎng)絡(luò)的DNS通信,解析某活動域名�����,判斷DNS是否能正常返回該域名解析后的IP地址,是則網(wǎng)絡(luò)連接狀態(tài)為DNS可用�����,否則為DNS不可用����;
[0010]步驟1.3:通過訪問互聯(lián)網(wǎng)中活動的Web主機(jī)服務(wù)器獲取資源內(nèi)容�����,判斷主機(jī)資源內(nèi)容是否可以成功獲取��,是則網(wǎng)絡(luò)連接狀態(tài)為有互聯(lián)網(wǎng)訪問���,否則為無互聯(lián)網(wǎng)訪問����;
[0011]步驟1.4:通過綜合以上步驟�����,如果網(wǎng)絡(luò)連接狀態(tài)為網(wǎng)絡(luò)適配器已使用且DNS可用且無互聯(lián)網(wǎng)訪問�,則網(wǎng)絡(luò)連接狀態(tài)為HTTP被重定向�,否則為HTTP未重定向��;
[0012]步驟2:ffeb和網(wǎng)關(guān)認(rèn)證
[0013]當(dāng)網(wǎng)絡(luò)連接狀態(tài)檢測為HTTP被重定向時����,臨時修改過濾規(guī)則并執(zhí)行Web和網(wǎng)關(guān)認(rèn)證,其他情況無需進(jìn)行Web和網(wǎng)關(guān)認(rèn)證�����;直到認(rèn)證行為完成或有超時等異常出現(xiàn)����,立即停止Web和網(wǎng)關(guān)認(rèn)證,恢復(fù)過濾規(guī)則��;
[0014]步驟3:基于網(wǎng)絡(luò)白名單的網(wǎng)絡(luò)訪問控制
[0015]應(yīng)用程序?qū)㈩A(yù)置的網(wǎng)絡(luò)白名單即可訪問的IP與網(wǎng)址解析為相應(yīng)的過濾規(guī)則���,內(nèi)核驅(qū)動程序根據(jù)所述過濾規(guī)則對用戶終端設(shè)備進(jìn)行嚴(yán)格的網(wǎng)絡(luò)訪問控制�����,僅網(wǎng)絡(luò)白名單內(nèi)的地址為可訪問�,其他均被攔截阻斷;
[0016]所述方法應(yīng)用于移動安全辦公應(yīng)用程序中��,其中�,移動安全辦公應(yīng)用程序包括安裝在用戶管理控制中心計(jì)算設(shè)備上的移動安全辦公服務(wù)端,以及安裝在用戶終端設(shè)備上的移動安全辦公終端�����,通過移動安全辦公服務(wù)端實(shí)現(xiàn)對移動安全辦公終端的統(tǒng)一管理以及網(wǎng)絡(luò)白名單的維護(hù)和更新��;
[0017]所述的一種網(wǎng)絡(luò)訪問控制系統(tǒng)其特征包括�����,網(wǎng)絡(luò)連接狀態(tài)檢測單元�����,Web和網(wǎng)關(guān)認(rèn)證支持單元���,網(wǎng)絡(luò)訪問控制單元;
[0018]所述的網(wǎng)絡(luò)連接狀態(tài)檢測單元��,監(jiān)聽移動安全辦公終端的本地網(wǎng)絡(luò)設(shè)備狀態(tài)信息��、本地與域名解析服務(wù)器通信狀態(tài)信息以及本地與互聯(lián)網(wǎng)Web主機(jī)通信狀態(tài)信息等,綜合分析的檢測結(jié)果為其他模塊提供支持�����;
[0019]所述的Web和網(wǎng)關(guān)認(rèn)證支持單元��,當(dāng)網(wǎng)絡(luò)連接狀態(tài)檢測為HTTP被重定向時����,則執(zhí)行Web和網(wǎng)關(guān)認(rèn)證,與網(wǎng)絡(luò)訪問控制單元通信交互�����,臨時修改過濾規(guī)則��,并可通過瀏覽器打開認(rèn)證頁面提交其他登錄信息����,直到身份認(rèn)證完成或超時,恢復(fù)過濾規(guī)則��,停用Web和網(wǎng)關(guān)認(rèn)證支持單元�����,等待下次網(wǎng)絡(luò)連接狀態(tài)檢測單元的檢測周期和認(rèn)證周期;
[0020]所述的網(wǎng)絡(luò)訪問控制單元�����,響應(yīng)移動安全辦公終端的網(wǎng)絡(luò)訪問請求����,依據(jù)采用白名單機(jī)制所生成的過濾規(guī)則,對移動安全辦公終端的網(wǎng)絡(luò)資源訪問進(jìn)行嚴(yán)格控制�,僅有過濾規(guī)則允許的資源可以成功訪問,網(wǎng)絡(luò)訪問控制單元作為系統(tǒng)的基礎(chǔ)依托功能模塊��,隨終端系統(tǒng)的啟用同步運(yùn)行��。
[0021]本發(fā)明與現(xiàn)有技術(shù)相比����,具有以下明顯的優(yōu)勢和有益效果:
[0022]基于本發(fā)明上述內(nèi)容提供的一種網(wǎng)絡(luò)訪問控制的方法和系統(tǒng),采用白名單機(jī)制規(guī)定可訪問的網(wǎng)絡(luò)資源并據(jù)此生成過濾規(guī)則�����,終端的網(wǎng)絡(luò)訪問根據(jù)該過濾規(guī)則受到嚴(yán)格的控制�;根據(jù)設(shè)備的本地網(wǎng)絡(luò)設(shè)備狀態(tài)信息�、本地與域名解析服務(wù)器通信狀態(tài)信息以及本地與互聯(lián)網(wǎng)Web主機(jī)通信狀態(tài)信息等多種網(wǎng)絡(luò)狀態(tài)信息,進(jìn)行綜合性動態(tài)檢測;當(dāng)檢測出的網(wǎng)絡(luò)連接狀態(tài)為HTTP被重定向時��,臨時修改網(wǎng)絡(luò)訪問控制的過濾規(guī)則��,用以支持Web和網(wǎng)關(guān)認(rèn)證�����,待認(rèn)證完成或認(rèn)證超時即恢復(fù)過濾規(guī)則�,確保對用戶終端設(shè)備的網(wǎng)絡(luò)訪問控制效果。
[0023]本發(fā)明提供的方法�,在保障設(shè)備的網(wǎng)絡(luò)安全的同時,在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境下更兼容�����,可以提高網(wǎng)絡(luò)訪問控制的有效性�,減少安全管理員的維護(hù)工作,也為設(shè)備的可訪問網(wǎng)絡(luò)資源提供支持和保障�����。
【附圖說明】
[0024]圖1 一種網(wǎng)絡(luò)訪問控制方法的一種實(shí)施例示意圖���;
[0025]圖2 —種網(wǎng)絡(luò)訪問控制系統(tǒng)的一種實(shí)施例示意圖�;
[0026]圖3 —種網(wǎng)絡(luò)訪問控制方法的的流程示意圖。
【具體實(shí)施方式】
[0027]下面將結(jié)合本發(fā)明實(shí)施例中的示意圖�����,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚���、完整地描述�,顯然���,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例��。應(yīng)注意到:除非另外具體說明�����,否則在這些實(shí)施例中闡述的部件和步驟的相對布置不限制本發(fā)明的范圍�。
[0028]以下對至少一個示例性實(shí)施例的描述實(shí)際上僅僅是說明性的���,決不作為對本發(fā)明及其應(yīng)用或使用的任何限制���。基于本發(fā)明中的實(shí)施例��,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例���,都屬于本發(fā)明保護(hù)的范圍����。
[0029]對于相關(guān)領(lǐng)域普通技術(shù)人員已知的技術(shù)����、方法和系統(tǒng)可能不作詳細(xì)討論,但在適當(dāng)情況下�����,所述技術(shù)���、方法和系統(tǒng)應(yīng)當(dāng)被視為授權(quán)說明書的一部分��。
[0030]在這里示出和討論的所有示例中����,任何具體值應(yīng)被解釋為僅僅是示例性的,而不是作為限制�。因此,示例性實(shí)施例的其它示例可以具有不同的值���。
[0031]本發(fā)明實(shí)施例的應(yīng)用背景為移動安全辦公���,由于當(dāng)前應(yīng)用最廣泛的辦公操作系統(tǒng)仍然為微軟Windows系列,并且Windows XP及之前版本不再受到官方維護(hù)�����,故為了便于描述���,本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)訪問控制方法的執(zhí)行主體以windows7為例�。
[0032]一種網(wǎng)絡(luò)訪問控制的方法的一種實(shí)施例示意圖如圖1所示�����。實(shí)施例的應(yīng)用場景為終端-服務(wù)端形式的移動安全辦公系統(tǒng)�����,其中移動安全辦公服務(wù)端負(fù)責(zé)統(tǒng)一管理移動安全辦公終端并維護(hù)和更新網(wǎng)絡(luò)白名單(包括IP����,網(wǎng)址等可訪問網(wǎng)絡(luò)資源),白名單為移動安全辦公終端的網(wǎng)絡(luò)訪問控制過濾規(guī)則的依據(jù)��,移動安全辦公終端有內(nèi)網(wǎng)(專網(wǎng))和外網(wǎng)(非專網(wǎng))兩種方式接入服務(wù)端���,移動安全辦公終端處于外網(wǎng)時需要通過VPN接入服務(wù)端以確保數(shù)據(jù)傳輸安全性�����。在移動安全辦公終端的具體實(shí)施過程中���,含有以下處理步驟:
[0033]步驟SlOl:設(shè)置移動安全辦公終端與移動安全辦公服務(wù)端的通信線程,驗(yàn)證終端并更新網(wǎng)絡(luò)白名單��。
[0034]步驟S102:網(wǎng)絡(luò)連接狀態(tài)檢測模塊����,根據(jù)移動安全辦公終端的本地網(wǎng)絡(luò)設(shè)備狀態(tài)信息、本地與DNS (Domain Name System���,域名解析服務(wù)器)通信狀態(tài)信息以及本地與互聯(lián)網(wǎng)Web主機(jī)通信信息等�,進(jìn)行動態(tài)的綜合性檢測��,分析檢測結(jié)果,為其他模塊單元提供狀態(tài)信息支持�����。當(dāng)移動安全辦公終端的網(wǎng)絡(luò)連接狀態(tài)為HTTP被重定向時����,則檢測結(jié)果為需要其他登錄信息。
[0035]I)通過檢測操作系統(tǒng)的事件通知服務(wù)的消息�����,判斷網(wǎng)絡(luò)適配器是否啟用�����;Windows 7 系統(tǒng)默認(rèn)安裝并自動運(yùn)行 SENS (System Event Notificat1n Service,系統(tǒng)事件消息服務(wù))�����,該服務(wù)監(jiān)視并跟蹤計(jì)算機(jī)事件(如Windows登錄網(wǎng)絡(luò)和電源事件等)����。使用Win32 的 API 函數(shù) Bool IsNetworkAlive (_Out_LPDWORD IpdwFlags)會根據(jù)該服務(wù)獲取當(dāng)前網(wǎng)絡(luò)適配器的使用情況,如果得到返回值NETWORK_ALIVE_LAN或NETWORK_ALIVE_WAN則網(wǎng)絡(luò)適配器已使用,否則網(wǎng)絡(luò)適配器未使用�����。
[0036]2)通過與所在網(wǎng)絡(luò)的默認(rèn)DNS通信�����,解析某活動域名(dns.testncs1.com);使用Win32 的網(wǎng)絡(luò) API 函數(shù) struct hostent*FAR gethostbyname (_In_const char*name