CN100559763C - 一种远程网络服务的完整性检验方法 - Google Patents

一种远程网络服务的完整性检验方法 Download PDF

Info

Publication number
CN100559763C
CN100559763C CNB2007101208558A CN200710120855A CN100559763C CN 100559763 C CN100559763 C CN 100559763C CN B2007101208558 A CNB2007101208558 A CN B2007101208558A CN 200710120855 A CN200710120855 A CN 200710120855A CN 100559763 C CN100559763 C CN 100559763C
Authority
CN
China
Prior art keywords
network service
check
service
network
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CNB2007101208558A
Other languages
English (en)
Other versions
CN101127645A (zh
Inventor
沈建军
卿斯汉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Software of CAS
Original Assignee
Institute of Software of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Software of CAS filed Critical Institute of Software of CAS
Priority to CNB2007101208558A priority Critical patent/CN100559763C/zh
Publication of CN101127645A publication Critical patent/CN101127645A/zh
Application granted granted Critical
Publication of CN100559763C publication Critical patent/CN100559763C/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种远程网络服务的完整性检验方法,包括网络服务检验协议和服务器端的完整性检验机制:协议规定客户通过向远程服务器的特定网络端口发送特定格式的报文请求检验指定网络服务的完整性,报文中指定待检验网络服务使用的侦听端口;远程服务器在接受检验请求后,基于网络服务策略检查对应的服务进程、服务程序映像文件等相关文件的完整性以判定网络服务的当前安全状态,并将检验结果回复客户,从而建立远程客户访问网络服务的可信路径。该方法通用于不同网络服务且对应用透明,能够兼容使用普通服务器端和客户端程序。并且,该方法可以由服务器端的一个可信模块或可信进程实施,其可靠性不依赖于具体网络服务程序、不受恶意应用程序侵扰。

Description

一种远程网络服务的完整性检验方法
技术领域
本发明涉及信息安全领域,尤其涉及远程网络服务的安全保障技术。
背景技术
一个安全系统必须提供一种机制保障用户到达系统的路径是安全可信的,不受恶意程序侵扰或伪造。对于通过本地终端访问系统的情况,现有操作系统一般都提供了可信路径机制,常见的实现方式有两种:一是,在系统的显示输出界面上保留一块不可覆盖的警示区域,用于指示系统当前的安全状态,并提供一种机制供用户调用将系统切换到一个安全状态;二即安全注意键(Secure Attention Key,SAK)机制。不同系统使用的SAK键设置可能不同,称呼和具体处理也可能有差异,但基本原理都是一致的,即在用户输入SAK键后系统确保立即进入一个安全状态。
操作系统内核通常被认为是整个系统的安全基础,上述两种可信路径机制常在内核中的设备驱动层实现。例如,对于第一种方式,警示区域可以是主显示屏上的一块保留区域或者指示灯等专用显示输出设备,此时可以修改显示设备的驱动程序保证该警示区域不会被非法篡改或干扰;对于第二种方式,SAK键可能是普通键盘的按键组合或者专用输入设备,此时可以修改键盘等输入设备的驱动程序,保证内核或可信程序首先截获用户的SAK键输入并将系统切入安全状态。
一种典型的SAK键响应方法是,终止系统中当前所有使用对应终端设备的应用进程,并重启终端到初始登录界面,这样恶意程序将无法伪造终端界面或窃取用户信息。Linux操作系统就采用了类似的机制。而Windows NT操作系统采用的方法是,将终端界面切换到一个由可信程序控制的安全界面,其它应用进程无法干扰和获取安全界面的输入/输出。
以上本地可信路径机制不能解决远程用户通过网络访问系统的安全问题。目前,一般把远程访问的可信路径留给网络服务的服务例程来实现。例如,IBM公司的安全操作系统Secure AIX提出一种Telnet服务的远程可信路径方案(参见美国专利4885789:“RemoteTrusted Path Mechanism for Telnet”),通过对Telnet协议和Telnet服务器程序的修改实现。此方案中,远程Telnet客户端向服务器端的Telnet服务器进程发送新增的Telnet命令:SAK,来请求建立访问Telnet服务的可信路径。Telnet服务器进程收到SAK命令后,把服务器端系统中当前所有在对应Telnet终端上运行的应用进程杀死,然后在该Telnet终端上重启一个可信Shell进程,并设置仅准许该Shell进程访问Telnet终端等候远程用户登录。
这种依赖于网络服务程序实施的远程可信路径方案的通用性、扩展性和应用兼容性差。为支持一种新的网络服务必须修改网络应用协议和服务器程序,网络应用协议的修改有时是很难甚至不可行的;对每种网络服务的可信访问,除了服务器端程序专用外,还必须通过专门支持的客户端程序,这就要求重新提供一整套服务器端和客户端程序而不能重用现有程序。更为重要的问题是,这种方案实际要求对网络服务的服务例程完全信任,不能应对服务程序本身存在安全漏洞、以及被恶意程序侵入或替换的情况。然而,由于网络服务程序通常也如同普通应用程序在应用层进程上下文中运行,同样存在被恶意程序侵染的可能,并不能委予全部信任。
发明内容
本发明的目的在于提出一种远程网络服务的完整性检验方法,用于建立远程客户访问网络服务的可信路径。
本发明的技术方案包括一个网络服务检验协议和服务器端的完整性检验机制。网络服务检验协议规定客户通过远程服务器的特定网络端口portv(该端口可为UDP或TCP端口)请求服务器检验指定网络服务的完整性。客户首先向远程服务器的portv端口发送检验请求报文,报文中指定了待检验网络服务所使用的侦听网络端口ports,待检验网络服务的服务例程就在远程服务器的ports端口上侦听并接受服务请求。上述的网络端口由协议和端口号定义,其中协议可为TCP或UDP协议。
如果服务器要求进行客户身份认证,检验请求报文中还应提供客户的身份认证信息,如:身份标识和口令等,或者先通过其它方式完成认证过程,若客户未提供身份认证信息或者身份认证失败,检验请求将被忽略。远程服务器在接受网络服务检验请求后,通过检查对应的服务进程、服务程序映像文件、加载的动态链接库文件、以及各相关文件的完整性来判定该网络服务的当前安全状态,并将检验结果回复客户。
远程服务器维护了一个可配置的网络服务策略库,库中每项策略通常由一个网络端口、一个服务程序文件、一组动态链接库文件、一组数据文件、以及上述各文件内容的完整性校验值定义。即,一项网络服务策略指定了使用给定侦听端口的网络服务对应的服务程序、在服务过程中可能加载的动态链接库、需要的相关数据和配置文件、以及上述各个文件的完整性校验值。远程服务器的服务检验模块在网络端口portv上侦听接受或截获客户发来的检验请求报文,得到待检验网络服务对应的网络端口ports,此后,按照以下步骤检验服务的完整性:
(1)使用ports值检索网络服务策略库,若找到一项策略的网络端口等于ports则进入下一步;否则检验失败。
(2)检查服务器系统中当前在网络端口ports上侦听的进程,若有进程(设为进程ps)正在侦听端口ports则进入下一步;否则检验失败。
(3)检查进程ps当前运行的可执行程序映像是否与网络服务策略指定的服务程序文件相符,若符合则进入下一步;否则检验失败。
(4)检查进程ps当前加载的动态链接库,若当前没有加载动态链接库或者加载的动态链接库都属于网络服务策略指定的动态链接库文件集合,则进入下一步;否则检验失败。
(5)重新计算网络服务策略指定的服务程序文件、各动态链接库文件、各数据和配置文件等网络服务相关文件的完整性校验值,若计算得出全部文件的完整性校验值都与策略列出的值一致,则检验成功;若有文件的完整性校验值相比策略列出的值发生了改变,则检验失败。
检验完成后,远程服务器将检验结果(成功或失败)封装到回复报文,发送给请求检验的客户。
远程服务器在一项网络服务的检验失败时,可以直接通知客户检验失败;也可以尝试恢复正确的网络服务,此时若能够成功恢复服务则也通知客户检验成功,而只有在恢复失败的情况下才通知客户服务检验失败。
对比于由网络服务的服务例程各自实施的检验方法,本发明的远程网络服务的完整性检验方法通用于不同网络服务并且对应用透明,能够兼容使用普通服务器端和客户端程序,其实现不需要修改网络应用协议、单个服务器端和客户端程序。更重要的是,该方法可以由服务器端的一个可信模块或可信进程实施,比如操作系统内核模块,其可靠性不依赖于具体网络服务程序、不受恶意应用程序侵扰。
利用本发明的方法,远程用户可以在访问某种网络服务(如:Ftp、Telnet、数据库服务、Web服务等)前,先请求远程服务器检验待访问网络服务的完整性,确认该网络服务当前是安全可信的、服务请求将被合法的服务器端程序接受并处理,然后才真正发起对该网络服务的访问;用户也可以在远程网络服务的访问过程中随时请求服务检验,当用户发现某个网络服务当前不可信时,可以立即中断服务访问,并且可能请求远程服务器使用其它配套措施恢复和重启正确的网络服务程序。通过以上方式,用户能够建立到达远程网络服务的可信路径,防止敏感信息被服务器端的恶意程序窃取或权力被滥用。
本发明所述方法假设远程服务器系统本身(或者说服务器系统的安全基部分)是可信的,并且要求服务器系统已被正确配置,但不要求网络服务的服务例程是可信的。具体来说,要求服务器系统的网络服务策略设置是合理的,服务器端应在策略中为各个开放的网络服务选择安全可靠的服务程序,并且确保网络服务策略库不受恶意程序篡改。
为达到更好的安全性,可以结合其它安全协议(如:IPSec、SSL等)对网络服务检验协议的通信过程实施加密保护,以及提供服务器系统和客户系统的双向认证。此外,还可以结合可信计算技术,在远程网络服务的检验过程中加入远程服务器的平台证明,以首先确认服务器系统本身是否可信。
附图说明
附图是利用本发明的方法进行一次远程网络服务检验的流程图。
具体实施方式
一次远程网络服务检验的流程如附图所示,其中,虚线框内的步骤为非必要步骤。整个流程包括:客户向远程服务器发送网络服务检验请求报文,然后等待服务器回复;服务器收到检验请求后先认证客户身份,然后处理合法请求检查指定网络服务的完整性,尝试恢复检验失败的服务,最后将网络服务的检验结果回复客户;客户由服务器的回复通知确认远程网络服务当前是否完整可靠,如果没有问题才发起服务访问。
本发明所述的远程网络服务完整性检验的客户端程序很容易实现,可以实现为各种网络服务通用的检验客户端软件,也可以与特定网络服务的客户端软件绑定配合使用。用户可以在访问某种远程网络服务(如:Ftp、Telnet、数据库服务、Web服务等)前,先调用检验客户端程序请求远程服务器检验待访问网络服务的完整性,确认该网络服务当前安全可信之后,才真正发起对该网络服务的访问;用户也可以在网络服务的访问过程中随时请求服务完整性检验,中断不安全的服务访问。
在服务器端,网络服务检验模块必须属于服务器系统的可信部分。例如,对于如Windows和Linux等通用操作系统,检验模块可以以操作系统内核模块或驱动程序的形式实现。一种可能方案是,启动一个内核线程侦听网络服务检验协议使用的网络端口portv,并完成对服务检验请求的处理响应;或者也可以通过类似于网络防火墙的方式,在操作系统内核中截获从端口portv接收到的检验请求报文。总之,必须在任何不可信的应用进程之前抢先截获网络服务的检验请求报文。
远程服务器在对某一网络服务的完整性检验失败时,如果网络服务策略定义了网络端口对应的网络服务程序,则可以尝试恢复正确的服务例程;如果网络服务策略库中根本没有包含网络端口对应的服务程序,则当然无法恢复网络服务。根据不同的检验失败情况,可能的网络服务恢复方式包括:(1)若侦听服务端口ports当前没有进程在侦听,则运行网络服务策略指定的服务程序文件即可;(2)若有进程在侦听服务端口,但进程的可执行映像与策略定义的服务程序文件不符,则强行终止该进程,并运行正确的服务程序文件;(3)若有网络服务相关文件的完整性校验值与策略中定义的值不一致,则尝试从备份区复原正确的文件,并重启网络服务程序。
文件的完整性校验值可以使用常见的摘要算法如:MD5、SHA等计算。网络服务检验协议在低层可以基于TCP或者UDP协议通信,相应地,服务器端的检验请求侦听端口portv可能是TCP端口或者UDP端口。此外,在服务器端可以同时部署一套网络服务策略库的配置管理工具。

Claims (9)

1.一种远程网络服务的完整性检验方法,首先建立一个网络服务检验协议,规定客户通过向远程服务器的特定网络端口portv发送检验请求报文来请求服务器检验指定网络服务的完整性,所述报文中包含待检验网络服务对应的网络端口ports;所述远程服务器维护一个可配置的网络服务策略库,库中每项网络服务策略指定了使用给定侦听端口的网络服务对应的服务程序文件、在服务过程中可能加载的动态链接库文件、需要的相关数据和配置文件、以及上述各个文件的完整性校验值;所述远程服务器在网络端口portv上侦听接受或截获客户发来的检验请求报文,得到待检验网络服务对应的网络端口ports后,按照以下步骤检验服务的完整性:
a.使用ports值检索网络服务策略库,若找到一项策略的网络端口等于ports则进入步骤b,否则检验失败;
b.检查服务器系统中当前在网络端口ports上侦听的进程,若有进程ps正在侦听端口ports则进入步骤c,否则检验失败;
c.检查进程ps当前运行的可执行程序映像是否与网络服务策略指定的服务程序文件相符,若符合则进入步骤d,否则检验失败;
d.检查进程ps当前加载的动态链接库,若当前没有加载动态链接库或者加载的动态链接库都属于网络服务策略指定的动态链接库文件集合,则进入步骤
e,否则检验失败;
e.重新计算网络服务策略指定的网络服务相关文件的完整性校验值,若计算得出全部文件的完整性校验值都与网络服务策略列出的值一致,则检验成功,否则检验失败,其中所述的网络服务相关文件包括服务程序文件、各动态链接库文件及各数据和配置文件;
最后,所述远程服务器将检验成功或失败的结果通知请求检验的客户。
2.根据权利要求1所述的远程网络服务的完整性检验方法,其特征在于:所述的网络服务检验协议在低层基于TCP或者UDP协议通信,相应地,所述的网络端口由TCP或UDP协议及端口号定义。
3.根据权利要求1所述的远程网络服务的完整性检验方法,其特征在于:在所述检验请求报文中还需要包含客户的身份认证信息,所述远程服务器在处理网络服务检验请求前首先对客户进行身份认证,若客户未提供身份认证信息或者身份认证失败,检验请求将被忽略。
4.根据权利要求1所述的远程网络服务的完整性检验方法,其特征在于:所述步骤a~e任何一步检验失败时,尝试恢复正确的网络服务,若能够成功恢复网络服务则通知客户检验成功,只有在完整性检验和恢复都失败的情况下才通知客户网络服务检验失败。
5.根据权利要求4所述的远程网络服务的完整性检验方法,其特征在于:恢复正确的网络服务方式包括:
1)若侦听端口ports当前没有进程在侦听,则运行网络服务策略指定的服务程序文件;
2)若有进程在侦听端口ports,但该进程的可执行映像与网络服务策略定义的服务程序文件不符,则强行终止该进程,并运行正确的服务程序文件;
3)若有网络服务相关文件的完整性校验值与策略中定义的值不一致,则尝试从备份区复原正确的文件,并重启网络服务程序。
6.根据权利要求1所述的远程网络服务的完整性检验方法,其特征在于:在所述步骤e使用摘要算法计算所述网络服务相关文件的完整性校验值。
7.根据权利要求1所述的远程网络服务的完整性检验方法,其特征在于:对网络服务检验协议的通信过程实施加密保护。
8.根据权利要求1~7中任一权利要求所述的远程网络服务的完整性检验方法,其特征在于:由远程服务器的一个可信模块或可信进程实施网络服务的完整性检验。
9.根据权利要求8所述的远程网络服务的完整性检验方法,其特征在于:所述的可信模块是远程服务器的操作系统内核模块。
CNB2007101208558A 2007-08-28 2007-08-28 一种远程网络服务的完整性检验方法 Expired - Fee Related CN100559763C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNB2007101208558A CN100559763C (zh) 2007-08-28 2007-08-28 一种远程网络服务的完整性检验方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB2007101208558A CN100559763C (zh) 2007-08-28 2007-08-28 一种远程网络服务的完整性检验方法

Publications (2)

Publication Number Publication Date
CN101127645A CN101127645A (zh) 2008-02-20
CN100559763C true CN100559763C (zh) 2009-11-11

Family

ID=39095577

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2007101208558A Expired - Fee Related CN100559763C (zh) 2007-08-28 2007-08-28 一种远程网络服务的完整性检验方法

Country Status (1)

Country Link
CN (1) CN100559763C (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101247410B (zh) * 2008-03-28 2011-06-08 上海中标软件有限公司 基于可信计算实现可信网络系统的方法
WO2010124476A1 (zh) * 2009-04-30 2010-11-04 华为技术有限公司 请求切换网络运营商的处理方法、装置及系统
CN102404315B (zh) * 2010-09-30 2015-01-14 微软公司 作为服务的可信设备声明
US9111079B2 (en) 2010-09-30 2015-08-18 Microsoft Technology Licensing, Llc Trustworthy device claims as a service
CN102724132B (zh) * 2012-06-29 2015-03-18 杭州迪普科技有限公司 一种提高tcp连接复用处理效率的方法及装置
CN103544151B (zh) * 2012-07-09 2018-01-02 上海斐讯数据通信技术有限公司 linux系统中数据处理的方法及系统
CN104038478A (zh) * 2014-05-19 2014-09-10 瑞达信息安全产业股份有限公司 一种嵌入式平台身份验证可信网络连接方法和系统
CN110717149B (zh) * 2019-10-09 2022-03-22 湖南国科微电子股份有限公司 一种安全架构及其运行方法、设备及可读存储介质
CN114257437B (zh) * 2021-12-16 2023-07-07 安天科技集团股份有限公司 远程访问方法、装置、计算设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1157035C (zh) * 2001-06-05 2004-07-07 华为技术有限公司 设置多链路捆绑用户服务器组的方法
CN1186723C (zh) * 2003-01-29 2005-01-26 西安海星现代科技股份有限公司 基于软件令牌的适用于网络的动态口令身份认证系统
CN1293492C (zh) * 2003-11-17 2007-01-03 联想(北京)有限公司 一种机群文件系统一致性动态检查方法
CN1901568A (zh) * 2005-07-22 2007-01-24 中兴通讯股份有限公司 一种网管系统中实现历史性能采集的方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1157035C (zh) * 2001-06-05 2004-07-07 华为技术有限公司 设置多链路捆绑用户服务器组的方法
CN1186723C (zh) * 2003-01-29 2005-01-26 西安海星现代科技股份有限公司 基于软件令牌的适用于网络的动态口令身份认证系统
CN1293492C (zh) * 2003-11-17 2007-01-03 联想(北京)有限公司 一种机群文件系统一致性动态检查方法
CN1901568A (zh) * 2005-07-22 2007-01-24 中兴通讯股份有限公司 一种网管系统中实现历史性能采集的方法

Also Published As

Publication number Publication date
CN101127645A (zh) 2008-02-20

Similar Documents

Publication Publication Date Title
CN100559763C (zh) 一种远程网络服务的完整性检验方法
CN112073400B (zh) 一种访问控制方法、系统、装置及计算设备
CN101626368A (zh) 一种防止网页被篡改的设备、方法和系统
SE524963C2 (sv) Nod och mobil anordning för ett mobiltelekommunikationsnätverk som tillhandahåller intrångsdetektering
KR100788256B1 (ko) 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법
JP2004258777A (ja) セキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラム
US7930745B2 (en) Network security system and method
CN111490981A (zh) 访问管理方法、装置、堡垒机及可读存储介质
CN111314381A (zh) 安全隔离网关
CN106447581A (zh) 一种交通事故自行协商快速处理系统及其方法
CN115701019A (zh) 零信任网络的访问请求处理方法、装置及电子设备
KR101089157B1 (ko) 클라이언트 가상화를 이용한 서버의 논리적 망분리 시스템 및 방법
CN112653664A (zh) 一种网络之间高安全可靠的数据交换系统及方法
CN111669371A (zh) 一种适用于电力网络的网络攻击还原系统及方法
KR101088084B1 (ko) 전자상거래 불법 침입 감시 및 차단 방법과 시스템
KR101160219B1 (ko) 네트워크 보안을 위한 접속 경로 추적시스템과 추적방법
US11310265B2 (en) Detecting MAC/IP spoofing attacks on networks
WO2023241366A1 (zh) 数据处理方法、系统、电子设备及计算机可读存储介质
CN110401621A (zh) 一种敏感指令的防护方法、设备及存储介质
CN113922975A (zh) 一种安全控制方法、服务器、终端、系统和存储介质
CN116962149A (zh) 网络故障的检测方法和装置、存储介质及电子设备
CN116996238A (zh) 一种网络异常访问的处理方法以及相关装置
CN113206852B (zh) 一种安全防护方法、装置、设备及存储介质
CN112333144B (zh) 一种通讯模组的数据安全系统及方法
JP4039361B2 (ja) ネットワークを用いた分析システム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20091111

Termination date: 20130828