CN100539499C - 一种安全的星形局域网计算机系统 - Google Patents

Abstract

本发明属于网络安全技术领域，其特征在于，该系统由资源服务器、网络应用服务器、安全终端和监控单元构成，资源服务器提供所有安全终端使用的包括操作系统、应用软件和数据文件在内的资源，且给每个资源一个安全级别；监控单元根据资源的安全级别，为使用该资源的安全终端分配一个相等的安全级别，并监控安全终端之间、安全终端与资源用务器、网络应用服务器之间的通信，并提出相应的监控策略：安全终端只能与安全级别与自身相等的其它安全终端通信，安全终端的安全级别取决于资源的安全级别：当资源的安全级别高于安全终端时，安全终端获取资源的安全级别作其安全级别，否则，安全终端的安全级别不变。本发明有更高的安全性与主动性。

Description

一种安全的星形局域网计算机系统

技术领域

本发明属于网络安全技术领域。

背景技术

随着网络技术的不断发展，计算机已经从传统的单台计算机形式演变为目前的多台计算机互连的网络系统形式。在这个发展过程中，计算机系统所面临的安全问题也变得日益严重，它已经从传统的单机形式演变为基于网络的形式，包括通过网络传播病毒木马等程序的非法入侵，此外还包括基于网络的信息窃取等攻击手段。

分析表明，局域网计算机系统所面临的安全问题与网络、计算机的存储系统(包括移动存储设备)等因素有非常密切的关系，安全问题的发生、传播与扩散总是离不开这些因素。例如，病毒、木马等程序是作为存储在硬盘上的程序代码而运行；非法文件拷贝、泄密等恶意行为通常是在取得重要数据后利用网络、移动存储设备、甚至打印机等输出设备把数据泄漏出去；网络监听、各种网络攻击以及众多恶意程序的传播都与网络密不可分。表1列出了安全问题与这些因素的关系。

表1 常见安全问题所涉及的关键因素

另一方面，局域网中的每台计算机是独立的实体，具有完整的硬盘、网络接口等设备，各个独立的计算机实体之间通过相互协作来完成整个局域网系统的正常工作。由于局域网系统缺乏有效的集中统一控制手段，因此从系统角度很难对每台独立计算机上存储的数据、运行的程序代码与利用网络传输的信息进行集中统一的监视、控制与管理，这使得各种安全问题层出不穷，难以遏制。

面对众多的安全问题，现有的安全系统大都关注某些具体的安全问题，很少从体系结构方面考虑局域网系统的安全，更没有从体系结构角度对与安全问题相关的因素进行控制，所以它们都存在一定的局限性。表2与表3列出了目前常见的安全解决方案与所解决安全问题的相关情况。

表2 常见安全方案与所解决安全问题涉及的关键因素

表3 常见安全方案与所解决的安全问题分类

另一方面，局域网的安全又是广域网安全的基础，即在解决广域网安全问题之前首先要保证局域网安全。因此，本文从体系结构方面提出了一种安全的局域网络结构，对局域网计算机系统进行保护，从而为广域网安全打下坚实的基础。

发明内容

本发明的目的在于提供一种用于对局域网计算机系统进行自动保护的安全的星形局域网络计算机系统。

本发明的特征在于：

该系统含有资源服务器、网络应用服务器、监控单元和安全终端，其中：

a.资源服务器，设有：提供给所有安全终端使用的包括操作系统、应用软件和数据文件在内的资源、每一资源的访问权限，也称安全级别，作为确定用户的身份用的身份认证标识以及访问资源时的日志记录；

b.安全终端，在该终端的本地客户机上设有监控控制指令输入端、资源数据输入端、用户名口令输入端或USB接口；

c.监控单元，包括主监控单元与多个和该主控单元相连的子监控单元，每一个子监控单元与多个安全终端相连，某个子或主监控单元与一个连接外网的网关相连，在主监控单元上设有：与该资源服务器的接口，与所连网络服务器的接口；还设有监控策略集，其中包括：每个客户机的IP地址、每个客户机与包括局域网中的其它客户机、网络打印机、外部网络在内的其它计算机的连接权限、各种攻击行为的特征信息、必要时对各客户机实施的强制重启权以及为该网络应用服务器上存储的或其他安全应用系统提供的敏感数据设立的安全级别，并根据安全级别对这些敏感数据分类，其中，所述的安全级别是一个由小到大的正整数序列，数值越小则安全级别越高，同时，对访问到该敏感数据的安全终端赋予同等的安全级别，而且，用户只能与安全级别不低于包括等于自身的其他用户进行通讯，对于外网或者安全级别低于自己的用户，该监控单元将进行物理隔离，避免敏感数据外泄，所述监控单元采用的监控方法依次含有以下步骤。

步骤(1).安全终端启动与用户登录，

步骤(1.1).用户通过监控单元从资源服务器下载操作系统启动需要的程序与数据文件，并启动监控单元；

步骤(1.2).用户通过与自己相连的子监控单元向主监控单元输入用户名口令或使用USBKEY设备进行身份认证的标识和数据请求，登录成功；

步骤(2).用户身份认证；

步骤(2.1).步骤(1.2)中所述子监控单元通过主监控单元向该资源服务器转发用户身份标识和数据请求；

步骤(2.2).该资源服务器收到步骤(2.1)用户发送的身份标识后，经过身份认证后发送数据响应或发送错误通知给主监控单元；

步骤(2.3).该主监控单元通过相应的子监控单元向安全终端发送数据响应或发送错误通知；

步骤(3).监控单元监控安全终端之间、安全终端与资源服务器和网络服务器之间的通信流程，依次含有以下步骤。

步骤(3.1).监控单元把各安全终端的安全级别初始化为最低，即普通级别；

步骤(3.2).监控单元判别提出访问请求的安全终端的级别：

若：提出请求的安全终端与被访问的安全终端的安全级别相等，则允许通信；否则，拒绝通信；

若：当安全终端在访问资源服务器或网络应用服务器时，所要访问的资源的安全级别高于该安全终端自身的安全级别时，所述安全终端的安全级别被赋为要访问的资源的安全级别，否则所述安全终端自身的安全级别不变；

d.网络应用服务器，为电子邮件服务器、打印服务器、数据服务器、WEB服务器中的任意一个或他们的组合，设有与所述主监控单元相连的接口。

本文提出了一种安全的局域网络体系结构，从体系结构方面入手处理和解决局域网的安全问题，具有更高的安全性和主动性。与其它方案相比，该方案的主要优点是：

■从体系结构角度入手解决安全问题

现有的安全系统通常只关注解决某一类安全问题，或者是多种安全方案的整合系统，由于它们没有从体系结构角度入手解决安全问题，因此不能更好地应对局域网所面临的各种安全需求。

■采用集中统一的管理与控制手段

网络计算机系统中各计算机的独立特点是该系统产生安全问题的一个重要原因，因此如何能够集中控制网络中的各独立个体是控制安全问题的核心。该方案对局域网系统的集中控制提出了一种思路。

■可进行动态物理隔离

在金融、国防等领域，往往将涉密的计算机与网络隔绝，或者采用专用网络，并使用额外的计算机接入互联网，这不仅操作复杂，并且成本很高。通过利用监控器部件与监控策略集，该方案可以将涉密的计算机与外部网络进行物理隔离，用户可采用同一台计算机进行工作，有利于降低成本。

附图说明

图1本发明所述系统的结构图。

图2安全终端启动与登录流程图。

图3监控单元监控安全终端与资源服务器通信流程图。

图4监控单元监控安全终端之间、安全终端与资源服务器、网络应用服务器之间的通信流程图：

(1)A，B，C，D可相互通信，可访问外网，可访问网络应用服务器；

(2)B，C，D可相互通信、可访问外网、可访问网络应用服务器，A不可访问外网与网络应用服务器、不能与B，C，D通信；

(3)B，C可相互通信、可访问外网、可访问网络应用服务器，A，D不可访问外网与网络应用服务器、不能与B，C通信，A，D之间可通信。

具体实施方式

系统中的主要模块包括安全终端、资源服务器、监控单元、网络应用服务器四类，分别描述如下。

安全终端是本系统为用户提供的操作终端，用户通过使用安全终端来完成在通常计算机上进行的使用工作。安全终端在运行机制上与通常的计算机不同，系统要求在安全终端上运行的软件程序和使用的数据都来自局域网内的资源服务器，即本系统内的所有程序文件和数据文件资源都存储在资源服务器之上，而安全终端只能通过网络使用这些资源，同时，要求对这些资源的使用是对用户透明的，也就是说是用户无法感知的。

安全终端的主要功能包括：

■通过网络访问资源服务器，为本地计算机提供透明的资源存储服务。系统要求：安全终端使用的操作系统、应用软件以及数据文件都要来自系统的资源服务器，从而避免用户运行未经授权的程序，也可以有效地防范病毒木马等恶意程序；

■采用本地计算模式。安全终端上运行的程序是在安全终端计算机本地运行的，是一种本地计算模式，不是服务器计算模式；

■可接受监控器的控制指令，实现强制重新启动功能；

■安全终端本机的USB、IEEE1394等常用输入输出接口只能与经过系统授权的指定设备相连，以避免通过这些接口连接移动存储设备以泄漏重要数据；

■安全终端可通过USB KEY设备或者用户名口令来确认用户的身份，并可将用户的身份标识转交给资源服务器等设备。

资源服务器为系统内的所有安全终端提供程序和数据资源，即本系统内的所有程序文件和数据文件资源都存储在资源服务器之上，并且资源服务器还为每个资源维护了访问权限、包括可读、可写、可执行等权限，从而对安全终端访问程序和数据等资源的行为进行限制和管理。

资源服务器的主要功能包括：

■通过网络为安全终端提供所需的资源；

■对自身提供的每一个资源提供访问权限控制机制，以保证只有合法的用户才能访问到对应的资源；

■采用身份认证机制确定安全终端及其使用者的身份，从而明确资源访问控制的主体；

一般情况下，系统中的安全终端与资源服务器的数据通信要经过若干监控单元，设安全终端为A，资源服务器为B，与资源服务器直接相连的监控单元为C，则安全终端与资源服务器的通信流程如图3所示。设备C根据B的响应将监控策略控制指令(如果存在)发送给与相关的监控单元集合，以改变目标监控单元的监控策略集，从而使得系统实现根据安全终端与资源服务器之间的数据通信过程动态控制网络通信行为的功能。

监控单元主要负责传递、监视和控制网络上传输的数据。系统中的各个部件通过网络直接连接到监控单元之上，系统中所有的数据传输都经过监控单元。

监控单元内部维护了一个监控策略集，监控单元根据监控策略集控制数据传输过程。监控策略主要包括：

a)每个客户机与其它计算机的网络连接权限：其中，其它计算机包括局域网中的其它客户机、网络共享的打印机、外部网络等等；

b)各种攻击行为的特征信息：监控单元对网络上传输的数据做出相应的处理；

c)对数据服务器上的存储的或其它安全应用系统提供的敏感数据，提供强制性控制策略：即对敏感的数据的安全级别进行分级，访问到敏感数据的用户被赋予同样的安全级别，并按照用户的安全级别对其通信范围进行限制，例如，要求用户A只能与安全级别不低于自身的其他用户进行通信，对于外网或者安全级别低于A的用户，监控单元将进行物理隔离，从而避免这些敏感数据外泄；

d)对某客户机的控制权：系统应该拥有对客户机的绝对控制权，在必要时，可以强制要求客户机重启以夺取控制权。

监控单元通过监控策略，可以实现如下的功能：

■拦截网络攻击：由于监控单元处于星形网络的中心，监控单元可以对中转的数据进行分析过滤，以确认数据中是否含有病毒木马等恶意程序，或者其它的网络攻击行为。当监控单元一旦发现来自某主机的数据中含有此类恶意数据，就可以切断当前的数据交换过程，以防止恶意行为危害到系统内的其他主机。

■动态数据传输控制功能：监控单元具有与交换机相同的数据转发功能，可以把计算机之间传输的网络数据进行转发。与交换机不同的是，监控单元可以根据监控策略控制计算机之间的网络数据传输。由于监控策略集的内容是动态变化的，因此监控单元的传输控制也是动态的。并且，监控单元是在中心链路上做控制，所以这种隔离措施是物理上的安全手段，是完全可靠的。

■防止由于网络监听引起的信息窃取：由于客户机直接与监控单元相连，因此监控单元可避免攻击者采用网络监听方式非法获取他人的通信数据。

■防止敏感数据泄漏：监控单元可以对数据服务器提供的服务协议进行监视，当某个用户访问了数据服务器上重要文件后，可以根据监控策略限制该用户所使用主机的网络访问权限，例如禁止该用户主机与其它未授权节点的所有数据通信，直至该主机重新启动为止。由于客户机没有本地存储器，所以本次所获得的秘密文件将无法泄漏给其它未授权的用户。此外，如果网关也与监控单元相连，则监控单元可以从物理链路上限制主机对外网的连接权限以避免敏感数据泄漏在外部网络。由于这些控制措施也是由监控单元根据监控策略在物理链路上进行的，因此更加安全可靠。

■监控策略管理服务：管理员可根据使用环境和安全需求制定监控单元使用的监控策略。此外，监控单元提供了安全的监控策略管理服务，可接受来自系统内其它模块的控制指令，动态地改变自身的监控策略，以实现对网络数据传输通路的动态控制；

总之，在该系统中，各个计算机只与监控单元直接相连，它们之间所有的数据通信都要经过监控单元，监控单元可根据设定的监控策略对通过的网络数据进行分析、过滤、控制和审计，从而阻止各种网络攻击行为以及防止机密信息通过网络泄漏给未授权用户，即有效地解决了由于网络互连在局域网中引起的安全问题。

局域网中通常存在一定的网络服务器，如电子邮件服务器、打印服务器、WEB服务器、数据服务器等。在本系统中，监控单元可根据监控策略集动态控制安全终端与这些服务器设备的网络连接关系，从而达到隔离安全攻击、避免通过网络泄密的目的。

安全终端启动与登录流程图见图2。

如前所述，监控单元的监控能力由监控策略集决定，而监控策略集通常是动态变换的，因此监控单元的控制范围也是动态变化的。

按照资源服务器上存储数据的敏感程度不通，系统为各种资源定义了安全级别属性，此外，系统为每台安全终端也维护了一个在运行期间可改变的安全级别属性，并且规定：

(1)安全终端的安全级别初始化为最低(即普通级别)；

(2)安全终端访问安全级别小于或等于自身级别的资源不影响其自身安全级别；

(3)在安全终端访问安全级别比自身级别高的资源之后，其安全级别被提升为资源的安全级别；

(4)安全终端只能与安全级别等于自身级别的其它终端通信；

(5)若局域网与外部网络相同，可假设外部网络为一个特殊的安全终端，其安全级别为是固定的，不会改变；

为说明监控单元的动态监控功能，本文以一个简单的使用环境为例进行说明。

若系统内的监控单元集合内有监控单元若干，安全终端分别为A、B、C、D。规定系统内的安全级别分为两级(0或1)，0表示普通级别，1表示敏感级别，并要求客户机启动后的安全级别为0。设资源服务器上的资源由3个文件组成，其文件名和对应的安全级别如表4。

 

文件名	安全级别
		filel	0
file2	0
		file3	1

表4 资源服务器上资源与安全级别列表

经过如上设定后，假设系统的状态分为3个阶段：

■第一阶段：A、B、C、D的安全级别为0，如图4(1)

各个终端之间可以相互通信，可以访问外部网络，可访问网络应用服务器。

■第二阶段：A的安全级别为1，B、C、D的安全级别为0，如图4(2)

如果A访问了安全级别为1的文件file3，则自身的安全级别提升为1；

B、C、D之间可以相互通信，可以访问外部网络，可访问网络应用服务器；

A不能与B、C、D通信，不可问外部网络，不可访问网络应用服务器。

■第三阶段：A、D的安全级别为1，B、C的安全级别为0，如图4(3)

如果D也访问了安全级别为1的文件file3，则自身的安全级别提升为1；

B、C之间可以相互通信，可以访问外部网络，可访问网络应用服务器；

A、D之间可以相互通信，A、D不能与B、C通信，不可问外部网络，不可访问网络应用服务器。

根据背景技术小节列出的各种安全问题，下面列出了本文提出的安全的局域网络体系结构对它们的防范情况。

由表格可见，本文提出的安全体系结构从体系结构上对局域网进行安全保护，有效地防御了多种攻击手段，提高了局域网系统的安全性。

Claims (1)

1.一种安全的星形局域网计算机系统，其特征在于，该系统含有资源服务器、网络应用服务器、监控单元和安全终端，其中：

a.资源服务器，设有：提供给所有安全终端使用的包括操作系统、应用软件和数据文件在内的资源、每一资源的访问权限，也称安全级别，作为确定用户的身份用的身份认证标识以及访问资源时的日志记录；

b.安全终端，在该终端的本地客户机上设有监控控制指令输入端、资源数据输入端、用户名口令输入端或USB接口；

c.监控单元，包括主监控单元与多个和该主监控单元相连的子监控单元，每一个子监控单元与多个安全终端相连，某个子监控单元或主监控单元与一个连接外网的网关相连，在主监控单元上设有：与所述的资源服务器的接口，与所述的网络应用服务器的接口；在监控单元还设有监控策略集，该监控策略集包括：每个所述的本地客户机的IP地址、每个所述的本地客户机与包括局域网中的其它所述的本地客户机、网络打印机、外部网络在内的其它计算机的连接权限、各种攻击行为的特征信息、必要时对所述的本地客户机实施的强制重启权以及为该网络应用服务器上存储的敏感数据设立的安全级别，并根据安全级别对这些敏感数据分类，其中，所述的安全级别是一个由小到大的正整数序列，数值越小则安全级别越高，同时，对访问到该敏感数据的安全终端赋予同等的安全级别，而且，所述的本地客户机的用户只能与安全级别不低于包括等于自身的安全级别的其他用户进行通讯，对于外网或者安全级别低于自己的用户，该监控单元将进行物理隔离，避免敏感数据外泄，所述监控单元采用的监控方法依次含有以下步骤：

步骤(1).安全终端启动与用户登录；

步骤(1.1).所述的本地客户机通过监控单元从资源服务器下载操作系统启动需要的程序与数据文件；

步骤(1.2).所述的本地客户机通过与自己相连的子监控单元向主监控单元输入用户名口令或使用USB KEY设备进行身份认证的标识和数据请求，在认证通过后，用户登录成功；

步骤(2).用户身份认证：

步骤(2.1).步骤(1.2)中所述子监控单元通过主监控单元向该资源服务器转发用户身份认证的标识和数据请求；

步骤(2.2).该资源服务器收到步骤(2.1)用户发送的身份标识后，经过身份认证后发送数据响应或发送错误通知给主监控单元；

步骤(2.3).该主监控单元通过相应的子监控单元向安全终端发送数据响应或发送错误通知；

步骤(3).监控单元监控安全终端之间、安全终端与资源服务器和网络应用服务器之间的通信流程，依次含有以下步骤：

步骤(3.1).监控单元把各安全终端的安全级别初始化为最低，即普通级别；

步骤(3.2).监控单元判别提出访问请求的安全终端的级别：

若：提出请求的安全终端与被访问的安全终端的安全级别相等，则允许通信；否则，拒绝通信；

若：当安全终端在访问资源服务器或网络应用服务器时，所要访问的资源的安全级别高于该安全终端自身的安全级别时，所述安全终端的安全级别被赋为要访问的资源的安全级别，否则所述安全终端自身的安全级别不变；

d.网络应用服务器，为电子邮件服务器、打印服务器、数据服务器、Web服务器中的任意一个或他们的组合，设有与所述主监控单元相连的接口。

Images