CN100426755C - 可信网络核心设备 - Google Patents
可信网络核心设备 Download PDFInfo
- Publication number
- CN100426755C CN100426755C CNB2006101376830A CN200610137683A CN100426755C CN 100426755 C CN100426755 C CN 100426755C CN B2006101376830 A CNB2006101376830 A CN B2006101376830A CN 200610137683 A CN200610137683 A CN 200610137683A CN 100426755 C CN100426755 C CN 100426755C
- Authority
- CN
- China
- Prior art keywords
- network
- decision
- access controller
- result
- mentioned
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明提供了一套实现可信网络的核心设备。该套核心设备包括:可信接入控制器(Trusted Access Control,TAC)、可信信息处理器(Trusted InformationProcessor,TIP)和网络行为监控器(Network Behavior Monitor,NBM)。该套核心设备,能够实现在不改变现有网络的体系结构和传输协议的前提下,对用户接入进行控制及接入后的行为进行监控。同时,该套设备还可以对移动用户进行远程校验,设备之间相互协作来完成攻击溯源、抑制和恢复,并为上述功能提供标准接口,从而为兼容不同厂商的可信计算平台、接入控制设备、认证设备和网络安全设备提供了基础。
Description
技术领域
本发明涉及计算机网络、网络通信、网络通信规范、计算机程序,尤其涉及一套实现可信性接入过程和可信性监控的网络核心设备。
背景技术
在当今的信息时代,计算机网络的应用无所不在,因而网络的安全性也就成为网络应用最关键的课题之一。然而,基于TCP/IP架构的网络是一个开放和自由的网络,各种网络攻击和信息窃取行为的层出不穷,导致人们对网络的不信任。为了解决人们对网络的依赖性日益增加与安全服务能力有限之间的矛盾,研究人员提出了可信网络,在实现在保障信息私密性、完整性和可用性的同时,保障网络系统的安全性、可生存性和可控性。
可信网络是在容错计算和可信计算的基础上发展起来的。目前国际上可信计算技术的权威机构是可信计算组织(Trusted Computing Group,TCG),该组织从一开始就致力于可信赖终端及相关技术标准的制定,但是随着网络的发展,可信终端面临着各种网络攻击行为的强有力挑战,针对这个问题TCG专门制定了一个基于可信计算技术的网络连接规范(Trusted Network Connect,TNC)。
TNC包括了开放的终端完整性架构和一套确保安全互操作的规范。TNC的目标就是保护终端和网络,但是目前,其重点放在接入的控制上,初衷是通过对用户接入时的认证和安全性检验将攻击隔离在网络之外,这虽然极大地减少了被动攻击(受害用户在不知情的情况下被黑客利用对网络进行破坏)的发生,但仍然无法避免主动攻击(即黑客主动发起的攻击,既然他要进行破坏必然会想办法通过接入时的认证)的发生,因为网络目前面临的巨大问题就是复杂的攻击形式,如:病毒、蠕虫、后门、恶意攻击等,且传播速度快。这些攻击形式仅依靠人力是无法战胜的,亟需新型的网络防御框架和技术出现。
本发明提供的一套实现可信网络的核心设备,不仅能够对可信终端接入网络进行控制,还能够对终端接入网络后的行为和网络状态进行监控和管理,完成对移动用户进行远程校验,攻击溯源、抑制和恢复,同时为兼容不同厂商的可信计算平台、接入控制设备、认证设备和网络安全设备提供了基础。该设备以事件管理为主线,辅以有效的管理、监视与响应功能,为用户构建动态的可信网络管理体系。
发明内容
本发明提供了一套实现可信网络的核心设备。该套核心设备包括:包括可信接入控制器(TAC)、可信信息处理器(TIP)和网络行为监控器(NBM)。通过该套核心设备以及它们之间的通信规范能够实现在不改变现有网络的体系结构和传输协议的前提下,对用户接入进行控制及接入后的行为进行监控和管理。本发明按照附图1所示的体系结构进行部署,可信接入控制器按照附图2的所示工作流程进行工作,可信信息处理器按照附图3所示的工作流程进行工作,网络行为监控器按照附图4所示的工作流程进行工作。
附图说明
图1核心设备体系结构。
图2可信接入控制器工作流程图。
图3可信信息处理器工作流程图。
图4网络行为监控器工作流程图。
具体实施方式
硬件组成:
●两套完整的主机系统,包括处理器、存储器、网络适配器
●网络处理器(NP)
●高速数据采集卡
软件组成:
●操作系统
●网络行为监控器中网络异常校验模块
●网络行为监控器中NBM服务器模块
●可信信息处理器中完整性测量校验模块
●可信信息处理器中TIP服务器模块
●可信接入控制器中数据转发、映射以及策略执行模块
●NBM客户端模块
●运行状态信息收集模块
在具备上述硬件设备后,网络处理器作为可信性接入控制器的硬件基础,加载如下模块:数据转发、映射以及策略执行模块,其工作流程如图2所示。
一台主机系统作可信信息处理器的硬件基础,操作系统加载如下模块:完整性测量校验模块、TIP服务器模块,其工作流程如图3所示。
另一台主机系统可以作为网络行为监控器的硬件基础,操作系统加载如下模块:网络异常校验模块、NBM服务器模块,其工作流程如图4所示。
附图1所示的是该套实现可信网络的网络设备体系结构和功能分布,其中,可信接入控制器、可信信息处理器、网络行为监控器是实现可信网络的三种设备,这三种设备被连接在一个自治域中,用来实现本域内可信网络连接;“自治域”有多个工作域组成;“工作域A”和“工作域B”是本域内众多工作域的示意,每个工作域的端系统都直接或间接接到可信接入控制器上;“Internet”是泛指广域网。
附图2所示的是可信接入控制器工作流程,其中,“通信数据流“是指用户对本域外主机通信的数据流,对于这个数据流,可信接入控制器需要经过判断才能确定是否让数据流通过;“决策消息”是来自于可信信息处理器或是网络行为监控器,是可信接入控制器能够执行的决策结果;“接入控制消息”是用户要求接入可信网络的请求消息;“消息接收”是一个处理过程,负责接收通信数据流、决策消息、接入控制消息,再调用不同的处理过程来处理不同的消息;“提取相关信息”是一个处理过程,对通信数据流中的数据包的包头相关信息进行提取;“相关数据”是提取相关信息处理过程的处理结果;“访问策略表”是一个处理过程,根据相关数据从策略表中找到适合相关数据的策略;“相关数据和策略”作为对外通信判断的输入;“对外通信判断”是一个处理过程,根据相关数据和策略来判断是否允许该用户对外通信;“拒绝通信”和“允许通信”是对外通信判断的两种结果;“丢弃数据包”和“转发数据报”是分别用于把数据包丢弃、清理空间和把数据包转发出去;“转发”是对用户的接入控制请求消息转发给可信信息处理器;“决策结果分析”对决策消息进行处理,生成决策结果;“允许接入”和“拒绝接入”是两个决策结果;“构造新策略”是根据决策结果,分别构造新的策略;“新策略”是构造新策略处理过程生成的新策略:“加入策略表”是把新生成的策略加入策略表。
附图3所示的是可信信息处理器的工作流程,其中,“其它TIP消息”指的是来自其它可信信息处理器的安全消息;“接入请求”是来自用户的,要求接入可信网络的请求,这个请求是由可信接入控制器转发过来的;“消息接收”是负责接收以上两种消息,在调用不同的处理过程来处理不同的消息;“信息处理”是处理来自其它可信信息处理器的安全消息;“处理结果”信息处理过程的输出,作为决策过程的输入;“端主机完整性信息获取”是用于获取要求接入网络的端主机的完整性信息;“端主机完整性信息”是从端主机获取的数据;“可信性接入评估”是用于评估端主机的可信性;“评估结果”是可信性接入评估过程的输出,作为决策的输入;“决策”是对评估结果和处理结果进行决策;“形成决策结果”是对决策的结果形成可信接入控制器能够执行的形式,即决策结果;“决策结果”是形成决策结果过程的输出;“决策结果发送TAC”是将决策结果发送给可信接入控制器。
附图4所示的是网络行为监控器工作流程,其中,“流量数据采集”是用于采集网络行为监控器所能监控的域内的网络流量数据;“流量数据”是流量数据采集的结果;“数据分析”对流量采集的数据进行分析;“分析结果”主要是异常的结果数据,用于安全问题的发现;“安全问题发现”是对数据分析结果进行处理,以便发现安全问题,“否”是指没有发现安全问题,可以继续进行数据采集,“是”是指发现了安全问题,要对这个安全问题进行处理;“终端网络状况信息获取”是用于获取被发现有安全问题的端主机的网络状况;“分析数据”是指安全问题发现的结果数据和终端网络状况数据,作为对比分析的输入;“对比分析”对分析数据进行对比处理;”分析结果”是对比分析的处理结果;“安全问题确定”根据分析结果确定是否有安全问题,“否”是指没有安全问题,可以继续进行数据采集,“是”是指有安全问题,进行安全问题处理;“向其它NBM发送消息”是如果发现安全问题,向相邻网络行为监控器发送安全消息;“形成决策结果”根据前面的处理结果形成决策结果;“决策结果”是一个决策,可以由可信接入控制器执行;“向TAC发送决策结果”是向可信接入控制器发送一个决策;“NBM消息”是来自其它网络行为监控器的安全消息;“接收其它NBM消息”是接受来自其它网络行为监控器的安全消息,调用相应功能处理它;“消息内容”是指来自其它网络行为监控器的安全消息的具体内容,作为消息分析处理过程的输入;“消息分析”对安全消息进行分析生成分析结果;“分析结果”是指是否有安全问题的结论;“本地安全问题”是调用不同的过程来处理是否有安全问题,“是”是指有安全问题,则转向终端网络状况信息获取处理过程,“否”是指没有安全问题,则转向其它NBM发送消息和形成决策结果等处理过程。
该套可信网络核心设备能够实现可信网络,它们之间相互协作完成两个主要的工作:
1.可信性接入过程,完整工作流程如下:
a)可信终端在每次启动时,TIP客户端向TIP服务器发送连接请求,这个请求通过TAC专发给TIP服务器;
b)TIP服务器将这个请求信息转交给完整信测量校验器;
c)完整性测量校验器处理后向TIP服务器发送消息,要求可信终端提供自己的完整性测量信息,TIP服务器通过TAC向可信终端转发这个消息;
d)TIP客户端接受这个消息,将这个消息转交给完整性测量信息收集器;
e)完整性测量信息收集器收集可信终端的完整性测量信息,交给TIP客户端,由TIP客户端通过TAC向完整信测量校验器转发这些信息;
f)完整信测量校验器处理完可信终端的完整性测量信息,经由TIP服务器向TAC发送决策结果;
g)TAC接受这个决策结果,形成策略,加入自己的策略库;
h)移动可信终端在其它的域内要接入网络,可以通过域内的TIP服务器与家乡TIP服务器通信来完成可信性接入。
2.可信性安全监控和管理,完整工作流程如下:
a)网络行为监控器通过高速数据采集卡采集网络流量数据,由网络异常校验器来分析本域内主机当前的网络安全状态;
b)如果发现本域内的终端被攻击,网络异常校验器就会通过NBM服务器向相邻的NBM发送攻击源的信息;同时向TAC发送决策消息,阻断一切来自该攻击源的数据包;
c)如果发现本域内有终端对外的攻击,首先会向TAC发送决策结果,阻断TAC的一切对外通信;网络异常校验器经由NBM服务器向可信终端发送消息,要求提供终端的运行状态信息,这个消息由TAC转发;终端上的NBM客户端接收这个消息,将这个消息转给运行状态信息收集器;运行状态信息收集器收集到当前终端的运行状态信息,NBM客户端将这些信息发送给NBM服务器;NBM服务器将这些消息交给网络异常校验器;网络异常校验器进行对比分析来决定是否本域内的这个终端发起的攻击,形成决策结果,并将这个决策结果发送给TAC去执行;
d)如果NBM接收到相邻NBM报告的攻击源信息,首先检查该攻击源消息在最近一段时间内是否已经接到,如果已经接到,就不进行内处理,否则就检查该攻击源是否在本域内;如果在本域内,则按步骤3)进行处理;如果不在本域内,则先形成决策结果,阻断一切来自攻击源的数据,由TAC来执行该决策,同时向其它相邻的NBM发送这个关于攻击源的消息。
Claims (1)
1、一套实现可信网络的核心设备,用于实现用户的可信性接入以及接入之后对用户行为进行监控,其特征在于,所述核心设备包括可信接入控制器、可信信息处理器和网络行为监控器;
上述可信接入控制器与其它可信接入控制器相连并与本域内的可信信息处理器和网络行为监控器相通信,上述可信接入控制器是决策结果的执行部件,用于执行主机是否能接入网络和对外通信的决定和进行正常的数据流传输;
上述可信信息处理器与其它可信信息处理器以及本域内的可信接入控制器通信,用于处理由上述其它可信信息处理器发来的安全消息和可信接入控制器转发过来的用户接入请求,对处理结果进行决策,将决策结果发送给可信接入控制器;
上述网络行为监控器与其它网络行为监控器以及本域内的可信接入控制器通信,用于采集和分析上述网络行为监控器所能监控的域内的网络流量数据,根据上述分析的分析结果发现安全问题后,获取被发现有安全问题的端主机的网络状况,对比分析上述网络状况和接收到的来自上述其它网络行为监控器的安全消息的分析结果,判断是否确定有安全问题,如果是,则形成决策结果,将决策结果发送给可信接入控制器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2006101376830A CN100426755C (zh) | 2006-11-06 | 2006-11-06 | 可信网络核心设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2006101376830A CN100426755C (zh) | 2006-11-06 | 2006-11-06 | 可信网络核心设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1960286A CN1960286A (zh) | 2007-05-09 |
CN100426755C true CN100426755C (zh) | 2008-10-15 |
Family
ID=38071788
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2006101376830A Expired - Fee Related CN100426755C (zh) | 2006-11-06 | 2006-11-06 | 可信网络核心设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100426755C (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100496025C (zh) | 2007-11-16 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制方法 |
CN102065003A (zh) * | 2010-08-24 | 2011-05-18 | 吉林大学 | 实现车载信息系统可信安全路由的方法、系统和设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5954797A (en) * | 1997-05-14 | 1999-09-21 | Ncr Corporation | System and method for maintaining compatibility among network nodes connected to a computer network |
CN1703014A (zh) * | 2005-02-28 | 2005-11-30 | 联想(北京)有限公司 | 一种对被管理设备进行监控的方法 |
CN1741527A (zh) * | 2005-09-23 | 2006-03-01 | 北京交通大学 | 一种应用于ad hoc网络的合作增强机制的方法 |
CN1744515A (zh) * | 2005-09-26 | 2006-03-08 | 深圳市深信服电子科技有限公司 | 一种在网关、网桥上实现用户安全接入外网的方法 |
CN1783811A (zh) * | 2004-09-29 | 2006-06-07 | 微软公司 | 将网络上的软件部署与外部恶意入侵隔离 |
-
2006
- 2006-11-06 CN CNB2006101376830A patent/CN100426755C/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5954797A (en) * | 1997-05-14 | 1999-09-21 | Ncr Corporation | System and method for maintaining compatibility among network nodes connected to a computer network |
CN1783811A (zh) * | 2004-09-29 | 2006-06-07 | 微软公司 | 将网络上的软件部署与外部恶意入侵隔离 |
CN1703014A (zh) * | 2005-02-28 | 2005-11-30 | 联想(北京)有限公司 | 一种对被管理设备进行监控的方法 |
CN1741527A (zh) * | 2005-09-23 | 2006-03-01 | 北京交通大学 | 一种应用于ad hoc网络的合作增强机制的方法 |
CN1744515A (zh) * | 2005-09-26 | 2006-03-08 | 深圳市深信服电子科技有限公司 | 一种在网关、网桥上实现用户安全接入外网的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN1960286A (zh) | 2007-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9848016B2 (en) | Identifying malicious devices within a computer network | |
Modi et al. | A survey of intrusion detection techniques in cloud | |
KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
CN1656731B (zh) | 基于多方法网关的网络安全系统和方法 | |
Verba et al. | Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS) | |
CN106909847A (zh) | 一种恶意代码检测的方法、装置及系统 | |
CN106411562A (zh) | 一种电力信息网络安全联动防御方法及系统 | |
JP2002342279A (ja) | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム | |
JP2008146660A (ja) | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム | |
CN101364981A (zh) | 基于因特网协议版本6的混合式入侵检测方法 | |
CN107347047A (zh) | 攻击防护方法和装置 | |
CN107911244A (zh) | 一种云网结合的多用户蜜罐终端系统及其实现方法 | |
Neu et al. | Lightweight IPS for port scan in OpenFlow SDN networks | |
CN102130920A (zh) | 一种僵尸网络的发现方法及其系统 | |
CN111314381A (zh) | 安全隔离网关 | |
CN102130792A (zh) | 通信量监视系统 | |
CN100426755C (zh) | 可信网络核心设备 | |
CN101453363A (zh) | 网络入侵检测系统 | |
RU2703329C1 (ru) | Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак | |
Saxena et al. | DDoS prevention using third party auditor in cloud computing | |
KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
Gad et al. | Hierarchical events for efficient distributed network analysis and surveillance | |
Chang et al. | Strengthening Existing Internet of Things System Security: Case Study of Improved Security Structure in Smart Health. | |
Barika et al. | Agent IDS based on misuse approach | |
CN111107035B (zh) | 基于行为辨识的安全态势感知与防护方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20081015 Termination date: 20091207 |