计算机终端安全控制系统

计算机终端安全控制系统设计方案

课题名称计算机终端安全控制系统

摘要Abstract

课题背景及介绍

本课题主要应用于办公网、信息网的用户管理和野战指控系统开设，采用计算机存储技术、PCI总线技术、网络管理编程技术，实现IP地址自动分发，用户网络配置绑定等功能，达到网络用户透明快速配置、用户IP地址绑定、指挥所快速开设、网络远程管理。

一、功能描述 Function Description

（一）研制目的

当前，随着计算机网络的成熟应用，网络办公、网络资源共享已深入到部队的训练、生活、学习和工作中，特别是异地网络传输、野战指控保障成为不可或缺的通信手段，为提高网络安全性能和应用功效，总结历次演习保障和现实网络应用需求，本着解决“部队网络建设需要什么？部队网络如何管理？”的目的，提出计算机终端安全控制系统设计方案，主要依据以下需求：需求一：“IP地址自动分发”。野战指控系统开设或计算机网络教室管理，往往需要专人逐个终端进行IP地址配置，存在因误操作或用户改变地址，造成网络地址冲突；同时，野外指控系统

开设时，各用户终端部署位置较远，地址配置效率低，缺少自动分

发的功能。

需求二：“用户地址绑定，防地址篡改，防止非法接入”。军

事综合信息网覆盖面广，延伸至班、排与网络教室，用户数量巨

大，一直以来，都没有较好用户接入控制和管理的措施与手段，特

别是终端出现感染病毒或存在攻击行为时，各级自动化站人员需要

逐一排查，故障定位难。

（二）主要功能

为较好的解决以上问题，所研制的计算机终端安全控制系统具

有以下功能。

1、局域网配置管理。能够远程快速开设野战指挥所，实现终

端无人干预即可实现网络接入，并防止因地址冲突、用户修改地址

等原因造成网络故障。

2、IP地址自动分发。解决安装域控制器比较繁琐，应用性较

差的问题，实现局域网内任意一台终端，网管员均可分发配置计算

机IP地址。

3、地址绑定，防非法接入。实现计算机终端MAC地址与IP地

址绑定，禁止用户修改地址，地址配置对用户透明，限制非法用户

接入。

二、系统方案和工作原理System plan and technical Principles

（一）系统方案

系统设计按照功能划分为服务端模块、客户端模块与PCI控制

卡，设计框图与流程图分别见图1-3所示。总体设计思路：

服务端模块：主要实现局域网网络配置与管理，可随机布设在

局域网任何一台终端上，提供IP地址规划、分发、终端初始化与非法接入控制等，由两部分组成，一部分完成客户端IP地址申请，为用户自动分配地址，第二部分对指定用户授权，开放变更地址入网的需求，此外，还要监控非法接入，发送干扰包，防止非法用户接入。

客户端模块：实现客户端管理，接收服务端配置信息，进行IP地址自动配置，同时与PCI控制卡通信，读写本终端配置信息，自动检测终端配置进行匹配检测，发现冲突则自动更新，实现网络自愈功能。

PCI控制卡：是实现地址自动分发管理的关键部件，应用PCI 总线技术，与主机通信机制稳定、快速。实现客户端软件通信，在串行储存器中记录用户配置信息，自动地址配置，实现用户透明网

络接入。

（二）工作原理

工作原理是：在PCI控制卡的扩展ROM中烧入初始内网地址（如设置为私有地址），初次完成安装将从ROM中读出本地IP地址，利用此地址与网管终端通信，由网管终端自动批量设置有效IP地址，同时客户端软件与PCI控制卡进行通信，将用户新的地址与物理地址写入ROM中，以便再次启动时可从中读出正确地址，当发生用户私自更改IP，系统会自动读取控制卡配置信息，将用户终端重新配置，从而实现地址绑定，有效阻止违规行为，当

用户确需更改IP时，需从网管终端获得权限，系统在分配IP时，在网管终端记录该终端MAC地址（或其它相关信息），将这些信息与IP绑定，当发现局域网内出现非法地址时，自动向该地址发送ARP或ICMP干扰包，防止其接入网络，实现网络接入控制管理。

三、系统框图 Diagrams

框图

图1 PCI控制卡电路原理图

四、流程图 Flow Chart

软件流程（定义输入输出和控制操作）

图2：服务端软件流程图

图3：客户端软件流程图

五、项目进度安排 Time Frame 时间表Time schedule