【CN109600395A】一种终端网络接入控制系统的装置及实现方法【专利】
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
方法 ( 57 )摘要
本发明公开了一种终端网络接入控制系统 的 装置及实现方法 ,属于终端安全领域 ,本发明 要解决的技术问题为如何保证终端网络接入控 制系统的 安全性 ,采 用的 技术方案为 :①一 种终 端网络接入控制系统的装置 ,该装置包括管理 端 、服务端 和客 户端 ,管理端 用于对终端网络接 入的 策略 进行实时 配置以 及对网 络接入的 审计 日志信息进行展示;服务端用于配置策略及审计 信息的传输,具体包括将管理端配置的策略发送 至客 户端以 及将客 户端产生的 审计日 志传递到 管理端;客户端用于解析和存储服务端发送来的 策略 ,依据预处理后的配置策略对数据包进行相 应的处理 ,根据处理结果产生 相应的 审计日 志 , 并发送到服务端。本发明还公开了一种终端网络 接入控制系统的实现方法。
(74)专利代理机构 济南信达专利事务所有限公 司 37100
代理人 孙园园
(51)Int .Cl . H04L 29/06(2006 .01) H04L 29/08(2006 .01)
(10)申请公布号 CN 109600395 A (43)申请公布日 2019.04.09
( 54 )发明 名称 一种终端网络接入控制系统的装置及实现
8 .根据权利要求7所述的终端网络接入控制系统的装置,其特征在于,所述客户端的策 略 用于解析和存储服务端发送来的策略 ,依据预处理后的配置策略对数据包进行相应的处 理,根据处理结果并产生相应的审计日志,并发送到服务端,具体步骤如下:
①、策略预处理模块响应服务端的策略配置命令,通过启动一个SOCKET,对某个端口进 行监听;
( 19 )中华人民 共和国国家知识产权局
( 12 )发明专利申请
(21)申请号 201910062313 .2
(22)申请日 2019 .01 .23
(71)申请人 山东超越数控电子股份有限公司 地址 250100 山东省济南市高新区孙村镇 科航路2877号
(72)发明人 刘维霞 朱书彬 何孟宁 赵全烈
2
CN 109600395 A
权 利 要 求 书
2/2 页
据包可以作为一个整体进行处理;在struct nf_conn结构中添加一个结构成员,该结构成 员用于记录每条流的连接属性和内核功能模块的处理状态;
Linux内核连接跟踪机 制的 基本原理 :每个数据包进入内核后都将被链接到 相应流的 记录项中,内核功能模块很容易找到struct nf_conn中添加的成员,并在处理一条流的前 面的数据包时把处理状态和结果存储该结构的 相应字段中 ,并能根据这些值决定接下来对 该数据包是丢弃还是放行,或者需要继续进行相关处理。
权利要求书2页 说明书5页 附图1页
CN 109600395 A
CN 109600395 A
源自文库
权 利 要 求 书
1/2 页
1 .一种终端网络接入控制系统的装置,其特征在于,该装置包括, 管理端,用于对终端网络接入的策略进行实时配置以及对网络接入的审计日志信息进 行展示; 服务端 ,用于配置策略 及审计 信息的 传输 ,具体包括将管理 端配置的 策略 发 送至客 户 端以及将客户端产生的审计日志传递到管理端; 客 户端 ,用于解析和存储服务端发送来的策略 ,依据预处理后的 配置策略 对数据包进 行相应的处理,根据处理结果产生相应的审计日志,并发送到服务端。 2 .根据权利要求1所述的终端网络接入控制系统的装置,其特征在于,所述管理端包括 策略配置模块和消息显示模块;管理端通过WEB网址的方式实现; 其中 ,策略配置模块 用于对终端网络接入的策略进行实时配置 ,主要包括添加、删除或 修改不同的网络接入策略 ; 消息显示模块用于对网络接入的审计日志信息进行展示。 3 .根据权利要求2所述的终端网络接入控制系统的装置,其特征在于,所述服务端包括 策略传输模块,策略传输模块用于策略配置请求监听和审计日志接收处理; 策略传输模块包括策略配置请求监听模块和审计日志接收处理模块。 4 .根据权利要求3所述的终端网络接入控制系统的装置,其特征在于,所述策略配置请 求监听模块用于监听网络接入策略配置请求命令并将其发送给客户端,策略配置请求监听 模块维护一个网络访问IP列表及SOCKET编程来实现; 审计日志接收处理模块用于接收客户端发送来的审计日志,并对审计日志进行解析处 理,包括查询、查看、分析审计日志;审计日志接收处理模块通过对审计日志分类来实现。 5 .根据权利要求1或2或3或4所述的终端网络接入控制系统的装置,其特征在于,所述 客户端包括策略预处理模块、内核功能模块和策略反馈模块; 策略预处理模块 用于解析和存储服务端发送来的策略 ,并在适当的时候对内核功能模 块的参数进行配置修改,策略预处理模块通过SOCKET编程来实现; 内核功能模块 用于依据预处理后的 配置策略 对数据包进行 相应的处理 ,内核功能模块 运行于内核的网络子系统中; 策略反馈模块用于根据内核功能模块的处理结果产生相应的审计日志,并发送到服务 端。 6 .根据权利要求5所述的终端网络接入控制系统的装置,其特征在于,所述内核功能模 块基于Netfilter框架以及Linux内核连接跟踪机制实现Linux数据流连接跟踪;Netfilter 框架是Linux的一个标准组件,与IP协议栈结合,通过在IP协议栈的报文处理流程中插入多 个控制点 ,并在控制点处嵌入处理逻辑对网络设备传输的 报文进行处理 ,从而实现特定安 全机制。 7 .根据权利要求6所述的终端网络接入控制系统的装置,其特征在于,所述内核功能模 块将不同网络配置策略对应的逻辑加载到在Netfilter的NF_IP_LOCAL_IN和NF_IP_LOCAL_ OUT控制点,NF_IP_LOCAL_IN处嵌入的逻辑主处理非法终端的连接、NF_IP_LOCAL_OUT处的 逻辑用于监测终端主动发起的连接; Linux内核连接跟踪机制中每个数据包进入网络栈时,都将被连接到一个struct nf_ conn结构的连接跟踪记录项中 ,同 一流的数据包被连接到同 一个记录项中 ,对同 一流的数
本发明公开了一种终端网络接入控制系统 的 装置及实现方法 ,属于终端安全领域 ,本发明 要解决的技术问题为如何保证终端网络接入控 制系统的 安全性 ,采 用的 技术方案为 :①一 种终 端网络接入控制系统的装置 ,该装置包括管理 端 、服务端 和客 户端 ,管理端 用于对终端网络接 入的 策略 进行实时 配置以 及对网 络接入的 审计 日志信息进行展示;服务端用于配置策略及审计 信息的传输,具体包括将管理端配置的策略发送 至客 户端以 及将客 户端产生的 审计日 志传递到 管理端;客户端用于解析和存储服务端发送来的 策略 ,依据预处理后的配置策略对数据包进行相 应的处理 ,根据处理结果产生 相应的 审计日 志 , 并发送到服务端。本发明还公开了一种终端网络 接入控制系统的实现方法。
(74)专利代理机构 济南信达专利事务所有限公 司 37100
代理人 孙园园
(51)Int .Cl . H04L 29/06(2006 .01) H04L 29/08(2006 .01)
(10)申请公布号 CN 109600395 A (43)申请公布日 2019.04.09
( 54 )发明 名称 一种终端网络接入控制系统的装置及实现
8 .根据权利要求7所述的终端网络接入控制系统的装置,其特征在于,所述客户端的策 略 用于解析和存储服务端发送来的策略 ,依据预处理后的配置策略对数据包进行相应的处 理,根据处理结果并产生相应的审计日志,并发送到服务端,具体步骤如下:
①、策略预处理模块响应服务端的策略配置命令,通过启动一个SOCKET,对某个端口进 行监听;
( 19 )中华人民 共和国国家知识产权局
( 12 )发明专利申请
(21)申请号 201910062313 .2
(22)申请日 2019 .01 .23
(71)申请人 山东超越数控电子股份有限公司 地址 250100 山东省济南市高新区孙村镇 科航路2877号
(72)发明人 刘维霞 朱书彬 何孟宁 赵全烈
2
CN 109600395 A
权 利 要 求 书
2/2 页
据包可以作为一个整体进行处理;在struct nf_conn结构中添加一个结构成员,该结构成 员用于记录每条流的连接属性和内核功能模块的处理状态;
Linux内核连接跟踪机 制的 基本原理 :每个数据包进入内核后都将被链接到 相应流的 记录项中,内核功能模块很容易找到struct nf_conn中添加的成员,并在处理一条流的前 面的数据包时把处理状态和结果存储该结构的 相应字段中 ,并能根据这些值决定接下来对 该数据包是丢弃还是放行,或者需要继续进行相关处理。
权利要求书2页 说明书5页 附图1页
CN 109600395 A
CN 109600395 A
源自文库
权 利 要 求 书
1/2 页
1 .一种终端网络接入控制系统的装置,其特征在于,该装置包括, 管理端,用于对终端网络接入的策略进行实时配置以及对网络接入的审计日志信息进 行展示; 服务端 ,用于配置策略 及审计 信息的 传输 ,具体包括将管理 端配置的 策略 发 送至客 户 端以及将客户端产生的审计日志传递到管理端; 客 户端 ,用于解析和存储服务端发送来的策略 ,依据预处理后的 配置策略 对数据包进 行相应的处理,根据处理结果产生相应的审计日志,并发送到服务端。 2 .根据权利要求1所述的终端网络接入控制系统的装置,其特征在于,所述管理端包括 策略配置模块和消息显示模块;管理端通过WEB网址的方式实现; 其中 ,策略配置模块 用于对终端网络接入的策略进行实时配置 ,主要包括添加、删除或 修改不同的网络接入策略 ; 消息显示模块用于对网络接入的审计日志信息进行展示。 3 .根据权利要求2所述的终端网络接入控制系统的装置,其特征在于,所述服务端包括 策略传输模块,策略传输模块用于策略配置请求监听和审计日志接收处理; 策略传输模块包括策略配置请求监听模块和审计日志接收处理模块。 4 .根据权利要求3所述的终端网络接入控制系统的装置,其特征在于,所述策略配置请 求监听模块用于监听网络接入策略配置请求命令并将其发送给客户端,策略配置请求监听 模块维护一个网络访问IP列表及SOCKET编程来实现; 审计日志接收处理模块用于接收客户端发送来的审计日志,并对审计日志进行解析处 理,包括查询、查看、分析审计日志;审计日志接收处理模块通过对审计日志分类来实现。 5 .根据权利要求1或2或3或4所述的终端网络接入控制系统的装置,其特征在于,所述 客户端包括策略预处理模块、内核功能模块和策略反馈模块; 策略预处理模块 用于解析和存储服务端发送来的策略 ,并在适当的时候对内核功能模 块的参数进行配置修改,策略预处理模块通过SOCKET编程来实现; 内核功能模块 用于依据预处理后的 配置策略 对数据包进行 相应的处理 ,内核功能模块 运行于内核的网络子系统中; 策略反馈模块用于根据内核功能模块的处理结果产生相应的审计日志,并发送到服务 端。 6 .根据权利要求5所述的终端网络接入控制系统的装置,其特征在于,所述内核功能模 块基于Netfilter框架以及Linux内核连接跟踪机制实现Linux数据流连接跟踪;Netfilter 框架是Linux的一个标准组件,与IP协议栈结合,通过在IP协议栈的报文处理流程中插入多 个控制点 ,并在控制点处嵌入处理逻辑对网络设备传输的 报文进行处理 ,从而实现特定安 全机制。 7 .根据权利要求6所述的终端网络接入控制系统的装置,其特征在于,所述内核功能模 块将不同网络配置策略对应的逻辑加载到在Netfilter的NF_IP_LOCAL_IN和NF_IP_LOCAL_ OUT控制点,NF_IP_LOCAL_IN处嵌入的逻辑主处理非法终端的连接、NF_IP_LOCAL_OUT处的 逻辑用于监测终端主动发起的连接; Linux内核连接跟踪机制中每个数据包进入网络栈时,都将被连接到一个struct nf_ conn结构的连接跟踪记录项中 ,同 一流的数据包被连接到同 一个记录项中 ,对同 一流的数