[發明專利]一種終端網絡接入控制系統的裝置及實現方法在審
| 申請號: | 201910062313.2 | 申請日: | 2019-01-23 |
| 公開(公告)號: | CN109600395A | 公開(公告)日: | 2019-04-09 |
| 發明(設計)人: | 劉維霞;朱書彬;何孟寧;趙全烈 | 申請(專利權)人: | 山東超越數控電子股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/08 |
| 代理公司: | 濟南信達專利事務所有限公司 37100 | 代理人: | 孫園園 |
| 地址: | 250100 山東省*** | 國省代碼: | 山東;37 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 終端網絡 接入控制系統 管理端 客戶端 服務端 配置策略 審計日志 預處理 審計日志信息 存儲服務端 策略發送 審計信息 實時配置 網絡接入 終端安全 配置的 數據包 解析 并發 發送 傳輸 傳遞 展示 保證 | ||
1.一種終端網絡接入控制系統的裝置,其特征在于,該裝置包括,
管理端,用于對終端網絡接入的策略進行實時配置以及對網絡接入的審計日志信息進行展示;
服務端,用于配置策略及審計信息的傳輸,具體包括將管理端配置的策略發送至客戶端以及將客戶端產生的審計日志傳遞到管理端;
客戶端,用于解析和存儲服務端發送來的策略,依據預處理后的配置策略對數據包進行相應的處理,根據處理結果產生相應的審計日志,并發送到服務端。
2.根據權利要求1所述的終端網絡接入控制系統的裝置,其特征在于,所述管理端包括策略配置模塊和消息顯示模塊;管理端通過WEB網址的方式實現;
其中,策略配置模塊用于對終端網絡接入的策略進行實時配置,主要包括添加、刪除或修改不同的網絡接入策略;
消息顯示模塊用于對網絡接入的審計日志信息進行展示。
3.根據權利要求2所述的終端網絡接入控制系統的裝置,其特征在于,所述服務端包括策略傳輸模塊,策略傳輸模塊用于策略配置請求監聽和審計日志接收處理;
策略傳輸模塊包括策略配置請求監聽模塊和審計日志接收處理模塊。
4.根據權利要求3所述的終端網絡接入控制系統的裝置,其特征在于,所述策略配置請求監聽模塊用于監聽網絡接入策略配置請求命令并將其發送給客戶端,策略配置請求監聽模塊維護一個網絡訪問IP列表及SOCKET編程來實現;
審計日志接收處理模塊用于接收客戶端發送來的審計日志,并對審計日志進行解析處理,包括查詢、查看、分析審計日志;審計日志接收處理模塊通過對審計日志分類來實現。
5.根據權利要求1或2或3或4所述的終端網絡接入控制系統的裝置,其特征在于,所述客戶端包括策略預處理模塊、內核功能模塊和策略反饋模塊;
策略預處理模塊用于解析和存儲服務端發送來的策略,并在適當的時候對內核功能模塊的參數進行配置修改,策略預處理模塊通過SOCKET編程來實現;
內核功能模塊用于依據預處理后的配置策略對數據包進行相應的處理,內核功能模塊運行于內核的網絡子系統中;
策略反饋模塊用于根據內核功能模塊的處理結果產生相應的審計日志,并發送到服務端。
6.根據權利要求5所述的終端網絡接入控制系統的裝置,其特征在于,所述內核功能模塊基于Netfilter框架以及Linux內核連接跟蹤機制實現Linux數據流連接跟蹤;Netfilter框架是Linux的一個標準組件,與IP協議棧結合,通過在IP協議棧的報文處理流程中插入多個控制點,并在控制點處嵌入處理邏輯對網絡設備傳輸的報文進行處理,從而實現特定安全機制。
7.根據權利要求6所述的終端網絡接入控制系統的裝置,其特征在于,所述內核功能模塊將不同網絡配置策略對應的邏輯加載到在Netfilter的NF_IP_LOCAL_IN和NF_IP_LOCAL_OUT控制點,NF_IP_LOCAL_IN處嵌入的邏輯主處理非法終端的連接、NF_IP_LOCAL_OUT處的邏輯用于監測終端主動發起的連接;
Linux內核連接跟蹤機制中每個數據包進入網絡棧時,都將被連接到一個struct nf_conn結構的連接跟蹤記錄項中,同一流的數據包被連接到同一個記錄項中,對同一流的數據包可以作為一個整體進行處理;在struct nf_conn結構中添加一個結構成員,該結構成員用于記錄每條流的連接屬性和內核功能模塊的處理狀態;
Linux內核連接跟蹤機制的基本原理:每個數據包進入內核后都將被鏈接到相應流的記錄項中,內核功能模塊很容易找到struct nf_conn中添加的成員,并在處理一條流的前面的數據包時把處理狀態和結果存儲該結構的相應字段中,并能根據這些值決定接下來對該數據包是丟棄還是放行,或者需要繼續進行相關處理。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于山東超越數控電子股份有限公司,未經山東超越數控電子股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910062313.2/1.html,轉載請聲明來源鉆瓜專利網。
