技術(shù)領(lǐng)域

本發(fā)明涉及一種在計算機網(wǎng)絡(luò)內(nèi)實現(xiàn)非對等訪問的控制方法和控 制系統(tǒng)，特別是在計算機網(wǎng)絡(luò)內(nèi)實現(xiàn)計算機與計算機之間非對等訪問的 控制方法和控制系統(tǒng)，屬于計算機網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。

背景技術(shù)

網(wǎng)絡(luò)技術(shù)正在改變傳統(tǒng)的生產(chǎn)、經(jīng)營和生活方式，成為新的經(jīng)濟增 長點。信息網(wǎng)絡(luò)國際化、社會化、開放化、個人化的特點，使得外部網(wǎng) 絡(luò)非法入侵和內(nèi)部被非法訪問的問題愈來愈突出，因此，如何利用現(xiàn)有 技術(shù)實現(xiàn)對網(wǎng)絡(luò)的有效管理，從而將無序網(wǎng)絡(luò)變?yōu)橐粋€有序的網(wǎng)絡(luò)，進 一步保證整個網(wǎng)絡(luò)的可控、可管，這個問題是目前信息化過程中亟待解 決的問題。現(xiàn)有大多網(wǎng)絡(luò)技術(shù)主要集中精力解決網(wǎng)絡(luò)互聯(lián)互通的問題或 通信數(shù)據(jù)傳輸?shù)耐暾缘膯栴}，而很少關(guān)注在互聯(lián)互通的基礎(chǔ)上解決計 算機與計算機之間的單向訪問控制問題。

發(fā)明內(nèi)容

本發(fā)明的第一個目的在于，克服現(xiàn)有技術(shù)的缺點，提供一種在計算 機網(wǎng)絡(luò)內(nèi)實現(xiàn)非對等訪問的控制方法，使得本地或遠(yuǎn)程在計算機網(wǎng)絡(luò)內(nèi) 實現(xiàn)計算機與計算機之間非對等訪問控制，運行在內(nèi)核中的網(wǎng)絡(luò)層控制 程序不會被惡意篡改，不會被非法卸載。同時，用于注冊的本地計算機 信息全面，包括：硬件信息、軟件信息、網(wǎng)絡(luò)配置信息和操作系統(tǒng)信息。

本發(fā)明的另一個目的在于：提供一種在計算機網(wǎng)絡(luò)內(nèi)實現(xiàn)非對等訪 問的控制系統(tǒng)，以便實現(xiàn)上述一種在計算機網(wǎng)絡(luò)內(nèi)實現(xiàn)非對等訪問的控 制方法。

本發(fā)明的一種在計算機網(wǎng)絡(luò)內(nèi)實現(xiàn)非對等訪問的控制方法技術(shù)方 案是：所述方法包括如下程序：

A.注冊計算機信息：網(wǎng)絡(luò)內(nèi)的計算機集中向網(wǎng)絡(luò)管理中心注冊 本地計算機信息，網(wǎng)絡(luò)內(nèi)的計算機從網(wǎng)絡(luò)管理中心獲得安全測試；

B.制定訪問策略：由網(wǎng)絡(luò)管理中心制定非對等訪問策略；

C.請求策略服務(wù)，獲得訪問控制策略：當(dāng)源計算機訪問目標(biāo)計 算機時，首先從網(wǎng)絡(luò)管理中心請求策略服務(wù)，并獲得非對等訪問控制策 略；

D.對數(shù)據(jù)包過濾處理：源計算機的網(wǎng)絡(luò)層控制程序截獲到所有 進出的IP數(shù)據(jù)包后，進行包過濾處理，實施網(wǎng)絡(luò)管理中心的非對等訪 問控制策略，執(zhí)行IP數(shù)據(jù)包放行或丟包處理：

D-1.不合格，對數(shù)據(jù)包丟包處理；

D-2.合格，對數(shù)據(jù)包放行；

所述的過濾處理為：

a.當(dāng)截獲的數(shù)據(jù)包是有狀態(tài)的數(shù)據(jù)包TCP，則過濾驅(qū)動程序檢查 TCP數(shù)據(jù)包的TCP頭信息的標(biāo)志位SYN、ACK、FIN，根據(jù)該數(shù)據(jù)包 的TCP頭信息判斷，如果此次連接動作是目標(biāo)計算機主動發(fā)起的，則禁 止通過，否則允許通過；

b.當(dāng)截獲的數(shù)據(jù)包是無狀態(tài)的數(shù)據(jù)包UDP、ICMP，則將該數(shù)據(jù) 包的信息與訪問控制列表進行匹配，當(dāng)該數(shù)據(jù)包的信息在訪問控制列表 里面，則允許通過，否則禁止通過；

所述的安全測試為：由網(wǎng)絡(luò)層控制程序直接與網(wǎng)絡(luò)管理中心的服 務(wù)器通信，從而使源計算機中的非對等訪問控制策略總是與網(wǎng)絡(luò)管理中 心的策略一致。

在上述方法技術(shù)方案的基礎(chǔ)上更進一步的技術(shù)方案有：

所述的網(wǎng)絡(luò)內(nèi)的本地計算機信息包括：計算機終端的硬件信息、軟 件信息、網(wǎng)絡(luò)配置信息和操作系統(tǒng)信息。

所述的網(wǎng)絡(luò)層控制程序，它是對計算機所有進出的IP數(shù)據(jù)包進行 過濾處理。

所述的數(shù)據(jù)包的信息包括源IP、目標(biāo)IP、源端口、目標(biāo)端口、源 MAC、目標(biāo)MAC。

所述的將數(shù)據(jù)包的信息與訪問控制列表進行匹配是利用訪問控制 列表對無狀態(tài)的數(shù)據(jù)包UDP、ICMP的檢測，訪問控制列表包括：源IP、 目標(biāo)IP、源端口、目標(biāo)端口、源MAC、目標(biāo)MAC、超時。

本發(fā)明的一種在計算機網(wǎng)絡(luò)內(nèi)實現(xiàn)非對等訪問的控制系統(tǒng)的技術(shù) 方案：它是在網(wǎng)絡(luò)內(nèi)的計算機操作系統(tǒng)的網(wǎng)絡(luò)層上有一個網(wǎng)絡(luò)層控制程 序單元，用于控制計算機網(wǎng)絡(luò)層所有數(shù)據(jù)包的進出流向，該網(wǎng)絡(luò)層控制 程序單元與計算機內(nèi)核中安全單元聯(lián)通，用于當(dāng)網(wǎng)絡(luò)層控制程序被惡意 篡改，則系統(tǒng)重新啟動，并執(zhí)行修復(fù)處理，防止運行在內(nèi)核中的網(wǎng)絡(luò)層 控制程序被非法卸載；所述的網(wǎng)絡(luò)層控制程序單元直接與網(wǎng)絡(luò)管理中心 的服務(wù)器聯(lián)通，用于使源計算機中的非對等訪問控制策略總是與網(wǎng)絡(luò)管 理中心的策略一致。

在上述系統(tǒng)的技術(shù)方案基礎(chǔ)上更進一步的技術(shù)方案有：

所述的網(wǎng)絡(luò)層控制程序單元與計算機所有進出的IP數(shù)據(jù)接口聯(lián) 通，用于對計算機所有進出的IP數(shù)據(jù)包進行過濾處理。