[发明专利]一种网络访问控制的方法和系统

说明书

技术领域

本发明涉及网络传输安全技术领域，尤其涉及一种网络访问控制的方法和系统。

背景技术

目前用户终端设备应用广泛，如用户上网浏览，日常办公，一般都安装微软操作系统(windows)，这些操作系统支持用户自行安装和卸载任何软件，给系统的安全带来了很大的隐患，容易遭受隐藏在自行安装软件中的病毒或木马等攻击，办公系统属于单位的业务系统，涉及的数据是单位敏感数据，数据的泄露会带来安全威胁。为了让用户在自己使用的终端设备上可以随意地安装软件、上网浏览，又可以确保用户在使用办公系统时的安全，对用户终端设备进行网络访问控制的管理方法随之应用起来。然而随着安全要求向移动办公和更加复杂的网络环境的延伸，当前网络访问控制的方法和系统暴露出它的局限性。公告号为CN102594814B，公告日为2014.11.12的发明专利提供了一种“基于端末的网络访问控制系统”。该系统虽然实现根据用户身份进行网络认证以及服务端下发网络访问控制策略和端末的中间层数据包过滤，但却局限于局域网等简单网络环境中，没有考虑在复杂多变的移动网络环境中需要进行网络访问认证的情况。例如一个企业的移动安全办公系统，移动安全办公终端(笔记本)受移动安全办公服务端的严格管控，只有少数的可访问网络资源采用网络白名单机制通过服务端下发至移动安全办公终端(笔记本)。当终端在企业内网(专网)或简单英特网(无需Web和网关认证)环境中，该方法行之有效，但在某些复杂网络(需要Web和网关认证)环境，该方法的效果会大打折扣。例如，在机场等要求身份认证的无线网络环境中，移动安全办公终端(笔记本)需要访问网址www.abcd.com及其内容(该网址为可访问网络资源，即在网络白名单内)就必须先接入到机场无线网络，该网络的无线控制器会拦截HTTP请求并重定向至该网络的Web认证页面进行身份验证，然而，由于白名单严格的访问限制，该页面无法显示，使得移动安全办公终端(笔记本)对白名单内的网址www.abcd.com的正常访问受到限制，在此情况下甚至会导致移动安全办公终端与服务端的连接无法建立，影响网络访问控制的管理效果。

因此，在复杂多变的网络环境中，既要保障网络访问控制的安全性和可靠性，又要尽可能的兼容网络，从而提高对网络访问控制的实效性。

发明内容

本发明提出了一种网络访问控制的方法和系统，在移动安全办公终端受到严格的网络访问控制情况下，对终端的网络连接状态进行动态检测并根据所得到的相应检测状态能够让终端顺利通过Web和网关认证。

本发明技术方案的一种网络访问控制方法，内容包括：

步骤1：网络连接状态的动态检测

根据移动安全办公终端的本地网络设备状态信息、本地与域名解析服务器通信状态信息以及本地与互联网Web主机通信状态信息，进行动态的综合性检测，分析检测结果；

步骤1.1：通过检测系统事件通知服务的消息，判断网络适配器是否启用，是则网络连接状态为网络适配器已使用，否则为网络适配器未使用；

步骤1.2：通过与所在网络的DNS通信，解析某活动域名，判断DNS是否能正常返回该域名解析后的IP地址，是则网络连接状态为DNS可用，否则为DNS不可用；

步骤1.3：通过访问互联网中活动的Web主机服务器获取资源内容，判断主机资源内容是否可以成功获取，是则网络连接状态为有互联网访问，否则为无互联网访问；

步骤1.4：通过综合以上步骤，如果网络连接状态为网络适配器已使用且DNS可用且无互联网访问，则网络连接状态为HTTP被重定向，否则为HTTP未重定向；

步骤2：Web和网关认证

当网络连接状态检测为HTTP被重定向时，临时修改过滤规则并执行Web和网关认证，其他情况无需进行Web和网关认证；直到认证行为完成或有超时等异常出现，立即停止Web和网关认证，恢复过滤规则；

步骤3：基于网络白名单的网络访问控制

应用程序将预置的网络白名单即可访问的IP与网址解析为相应的过滤规则，内核驱动程序根据所述过滤规则对用户终端设备进行严格的网络访问控制，仅网络白名单内的地址为可访问，其他均被拦截阻断；

所述方法应用于移动安全办公应用程序中，其中，移动安全办公应用程序包括安装在用户管理控制中心计算设备上的移动安全办公服务端，以及安装在用户终端设备上的移动安全办公终端，通过移动安全办公服务端实现对移动安全办公终端的统一管理以及网络白名单的维护和更新；

所述的一种网络访问控制系统其特征包括，网络连接状态检测单元，Web和网关认证支持单元，网络访问控制单元；