计算机网络安全系统及用于防止计算机网络资源的未授权访问的方法

摘要

一种计算机网络安全系统(100)，包括操作地连接以形成计算机网络的网络传输设备(102)、域控制器(104)、至少一个网络资源(106)以及至少一个客户(108)，其中，在所述网络传输设备(102)和所述客户(108)之间连接的一种用于对所述域控制器(104)监测所述客户的验证的装置(110)。

说明书

技术领域

本发明通常涉及数据安全系统，具体涉及用于防止网络资源的未授权访问的系统和方法。

背景技术

随着计算机网络特别是因特网的到来，连接到这些网络上的计算机客户访问各种资源。这些资源是文档、文件、技术和经济数据以及其它电子内容。从一方面来说，这种对资源的远程或本地访问给了独立于它们的位置而使用这些资源的可能性。从另一方面来说，由于对它们的特性来说，这些资源在大多数情况下是至关重要的，当被未授权的客户访问时，这带来了危险。

从技术的角度来看，由在操作系统的控制下的网络服务其提供这些资源。需要访问资源的远程或本地客户向服务器发送请求，作为响应，服务器将资源发送给(给予访问)远程或本地客户。由于大多数资源是有价值的和重要的，仅由授权的远程或本地客户可以访问它们。远程或本地客户的一种验证方法是要求正确输入用户名和密码。只有那些通过了验证的远程或本地客户可以访问资源。用户名-密码方案是使得服务器对特定客户(用户)限制访问的验证机制。

然而，经常发生在一个计算机网络中，不同的网络资源在不同的操作系统的控制下工作。在这种情况下问题在于连接到域控制器的远程或本地客户，当他们登陆到由域控制器控制的域上时，如果可户安装不是授权的视窗NT/2000客户安装，能够旁路域控制器。

这将使得未授权的远程或本地客户没有在会话启动时登陆到域控制器而访问网络资源，例如UNIX服务器，该网络资源没有由视窗NT/2000域控制器控制验证。

本领域中执行远程客户的验证的一个解决方案，即被称为远程访问服务器(RAS)，可以被安置到远程客户和域控制器之间的通路上。验证阶段之后的RAS给予对网络的访问，而不仅仅是域控制器。这意味着在RAS已经验证远程客户之后，可以旁路域控制器。然而，从网络安全的角度看，域控制器应验证并授权所有由远程或本地客户启动的会话，以将所有验证过程放置在一个服务器上。

发明内容

有对用于防止网络资源的未授权访问的计算计网络安全系统和方法的需求，其避免或克服现有技术中的缺点。

根据本发明的第一方面，提供了如权利要求1所要求的计算机网络安全系统。

根据本发明的第二方面，提供了如权利要求11所要求的用于防止计算机网络资源的未验证访问的方法。

本发明有利地允许：

1.减小客户和遍历(traverse)域控制器的服务器之间的网络业务。

2.当主域控制器不工作时，可以由备用域控制器接管主域控制器的功能。

3.应由域控制器验证的连接到域控制器位置的远程或本地客户，与域控制器位置相比，可以位于任何位置。

附图说明

从下面结合附图对试实例的详细说明中，可以更加完全地理解和评价本发明，其中：

图1是在本发明的一个实施例中的计算机网络安全系统的框图，

图2是在本发明的第二实施例中的计算机网络安全系统的框图，

图3是在本发明的第三实施例中的计算机网络安全系统的框图，

图4是说明在本发明的一个实施例中的用于防止计算机网络资源的未授权访问的方法的流程图。

具体实施方式

参照图1，说明了根据发明的计算机网络安全系统100的一个实施例。计算机网络系统100包括网络传输设备102，其负责将数据分组指引到它们的目的地IP地址。在一个实施例中，所述网络传输设备102可以是路由器，在另一个实施例中它可以是转换器。所述网络传输设备连接到域控制器(也称为DC)104以及连接到UNIX服务器106。客户108操作地连接到用于监测验证(authentication)的装置110，该用于监测验证的装置110连接到所述网络传输设备102。如果所述客户108位于远离由所述域控制器104控制的域，则所述客户1经由具有WAN或拨号接口的路由器连接到用于监测验证的装置110。

参照图2和3，说明了所述计算机网络安全系统的另一个实施例。如果至少一个客户位于由所述域控制器控制的域内(本地客户218)，以及至少一个用户位于远程(远程客户202)，所述本地客户218经由转换器或集线器220连接到用于监测验证的第二装置216，以及所述远程客户经由具有WAN或拨号接口112的路由器连接到用于监测验证的第一装置206。或者，如果在域中共享仅一个用于监测验证的装置，具有WAN或拨号接口112的所述路由器连接到转换器或所述集线器220。

如果所述域控制器104和所述UNIX服务器106在不同的操作系统的控制下工作，那么所述域控制器104不对所述UNIX服务器106的访问进行验证控制。当客户108在域控制器104的控制下，对在域中的服务器108或主机开始会话时，基于目的地IP地址，由用于监测验证的装置将所述客户108定向到所述域控制器104。在对所述域中的网络资源的访问被允许或拒绝之前，所述域控制器104验证所述客户108。在验证之前，用于监测验证的所述装置110仅允许与所述域控制器104连接。

参照图4，在一个实施例中示出了用于防止计算机网络资源的未授权访问的方法。在图4中，将用于监测验证的所述装置指代为“AM”。在会话开始时，所述客户108向由所述域控制器104控制的所述域请求验证402。

所述用于监测验证的装置110校验所述客户108的IP目的地地址404，以防止访问没有验证控制的网络资源。只有那些IP目的地地址是所述域控制器406的IP目的地地址的客户被路由到所述域控制器104来验证。如果在验证之前所述客户108的目的地IP地址不是所述域控制器104的目的地IP地址，所述用于监测验证的装置110改变所述目的地IP地址并仅允许路由到所述域控制器104。

验证过程可以基于所述客户108和所述域控制器104之间达成的加密机制。如果所述客户被验证410，将接受(acceptance)分组从所述域控制器104经由所述用于监测验证的装置110发送到所述客户108。基于该信息，所述用于监测验证的装置110对所述客户开启414到所述域内的网络资源的连接。结果，所述会话的通路不限于域控制器104和客户108之间的通路，而且在所述会话期间所述客户108可以接触其他服务器106和214。所述用于监测验证的装置110基于该会话的加密算法和密钥来记录会话。基于加密并由所述用于监测验证的装置110所使用的验证机制仅在所述用于监测验证的装置110和所述客户108之间的通路上出现。这是因为客户108访问的例如UNIX服务器和其它网络设备在适当的地方可能不具有加密机制。

如果所述验证失败或者在预设时间周期内没有被执行，所述用于监测验证的装置110断开422所述客户108。

为了保持对连接到域的客户进行控制，所述用于监测验证的装置110将关于由所述客户接触的所述网络资源的信息发送416到所述域控制器104。所述用于监测验证的装置110收集由所述客户108接触的IP地址和UDP/TCP端口号，并将该信息发送416到所述域控制器104。作为响应，所述域控制器104将关于允许或拒绝访问所述网络资源的信息发送418到所述用于监测验证的装置110。所述用于监测验证的装置将所述关于允许或拒绝访问的信息转换为动态IP分组过滤器。如果所述用户试图连接到所述客户未被授权的网络资源，所述用于监测验证的装置110断开所述用户108。

只要在验证期问开始的会话是有效的，保持对所述网络资源214的访问。所述用于监测验证的装置110基于所述客户108的源IP地址和加密机制来确定该会话是否属于所述客户108。

为提供计算机网络的安全，由在所述域控制器104和客户中已经实现的特性来执行在验证期间所使用的客户108的密码的标准加密。在域控制器在视窗NT/2000下运行的情况下，在客户和域控制器之间发生加密机制，使得运行过程可信。即，为不是正确客户的客户复制该过程是非常困难的。

为加密在所述客户108和所述网络资源之间的会话，其不被所述域控制器104控制，使用虚拟个人网络通道。在所述客户108和所述用于监测验证的装置110或者例如具有WAN接口112的路由器的局域网上的接入点之间建立所述虚拟个人网络通道。

在一个实施例中，以可以在所述网络传输设备102(例如，路由器)上执行的软件来实现所述用于监测验证的装置110。软件实现相对低成本并允许简单的重新配置。然而硬件实现也是可以的。然而，应理解本发明可以被实现为硬件或软件并用于计算机网络中。

值得强调，本发明的实施例允许试图访问在一个域中在不同操作系统下控制的网络资源的客户的验证。此外，所有验证过程和所有关于由所述客户接触的网络资源的信息放置在一个服务器上。