CN101355459B - 一种基于可信协议的网络监控方法 - Google Patents
一种基于可信协议的网络监控方法 Download PDFInfo
- Publication number
- CN101355459B CN101355459B CN2008101194333A CN200810119433A CN101355459B CN 101355459 B CN101355459 B CN 101355459B CN 2008101194333 A CN2008101194333 A CN 2008101194333A CN 200810119433 A CN200810119433 A CN 200810119433A CN 101355459 B CN101355459 B CN 101355459B
- Authority
- CN
- China
- Prior art keywords
- trusted host
- trusted
- host
- module
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明属于网络信息安全领域,具体涉及一种基于可信协议的网络监控方法。本发明采用一种主动拦截技术,通过设定访问规则来限定只有符合该访问规则的主机才允许通信,对不符合访问规则的通信行为视为非法连接并对其进行拦截。使用拦截判断,基于可信协议的方式对连接网络的操作进行控制,保证只有可信主机之间能够通信,除此以外的连接将被阻断,从而杜绝因非法外联带来的信息泄露。本发明所采用的方法广泛适用于各种涉密网络,控制涉密主机的非法外联行为,防止涉密信息泄露。
Description
技术领域
本发明属于计算机网络信息安全领域,涉及网络安全中主机非法连接监视及控制技术。
背景技术
现阶段,信息泄露问题在高度网络化发展的现实中显得尤为突出。现在一台普通的计算机拥有各种丰富的外部接口,可以通过各种途径连接互联网,这就给一些保密单位及部门对核心信息的安全保护提出了很高的要求。国家最近几年一直非常关注网络信息泄密问题,这不仅是个人问题,很多情况下还涉及到国家利益。
现有的主机连接互联网的方式非常多,通常有以下几种:
(1)通过以太网网线,连接互联网网关方式接入互联网;
(2)通过无线网卡接入互联网;
(3)通过Modem、ADSL、上网卡等设备拨号接入互联网;
(4)通过移动通信设备,如手机,使用GPRS、CDMA等网络接入互联网。
在不允许连接互联网的内部网络环境中,主机可能通过以上途径违规方式进行外联,从而可能导致涉密信息的泄露。这里的违规外联是指对不允许连接互联网的计算机进行互联网访问操作的行为。因此,需要通过对这些违规外联行为进行检测,来防止涉密信息的外泄。
目前,对违规外联监控检测手段主要有以下两种:
(1)通过物理隔绝或外设控制的方式。即禁用特定的外设(如网线、无线网卡、USB接口等),由此来控制实现禁止计算机通过这些接口连接互联网;
(2)通过检测是否连通知名网站的方式。即定期检测一些互联网地址是否连通,如果连通则说明存在违规行为。
第一种方式具有很大的局限性,一方面由于外设类型的不断增加可能造成控制失败,另一方面会造成使用上的不方便(如物理隔绝后造成无法访问内网中的其他合法子网)。第二种方式有一个重大问题:它是一种事后检测的机制,也就是说通过该检测方式检测到主机连接了互联网时,可能使用者已经访问互联网并泄露了信息,这是由于访问与检测存在时间差造成的。
发明内容
本发明目的是为防止非法的网络连接行为,提出一种基于可信协议的网络监控方法,通过设定访问规则来限定只有符合该访问规则的主机才允许通信,对不符合访问规则的通信行为视为非法连接并对其进行拦截。本发明方法使用拦截判断,基于可信协议的方式对连接网络的操作进行控制,保证只有可信主机之间能够通信,除此以外的连接将被阻断,因而外联行为也就不能进行,从而杜绝因非法外联带来的信息泄露。
本发明的技术方案是:在需要进行网络监控的网络环境中,为每一台需要监控的主机安装代理程序,安装了代理程序并且服务器中设置了该主机IP之后的主机称为可信主机。代理程序负责监视可信主机的网络连接行为并进行判断,只有合法的连接行为才允许通行,非法的连接行为将被阻断。为检测网络连接行为是否合法,系统采用基于IBE的公钥体系,在该网络环境中部署服务器,并在服务器中部署一个可信主机管理模块,可信主机管理模块为每一台可信主机分发一个私钥,该私钥对应的公钥是相应的可信主机IP地址,私钥通过安全的方式发送给每一台可信主机。
可信主机代理程序分为两部分:一是可信主机拦截模块,二是可信主机探测模块。可信主机拦截模块以网路驱动的形式存在,负责截获可信主机的所有网络连接行为,并通知可信主机探测模块探测被访问方,判断其是否可信,如果可信主机探测模块返回的是不可信消息,可信主机拦截模块将丢弃网络数据包,拒绝访问;若返回的是可信消息,就允许网络数据包通行。
为防止网络内部出现可信主机进行非法外联、非可信主机假冒可信主机进行非法外联或非法内联的情况,系统服务器中的可信主机管理模块将维护一个可信主机IP地址列表(也就是公钥列表),该列表存放在可信主机管理模块中,各可信主机将定期从服务器下载最新的公钥列表进行查询,并更新本地的公钥列表。可信主机中的可信主机拦截模块在通知可信主机探测模块进行探测之前,将首先判断被访问方的IP是否在该可信主机列表中,如果不在,就丢弃数据包,若在,则通知可信主机探测模块进行可信探测。
在网络内部的相互访问过程中,为防止出现可信主机与非可信主机间出现访问的情况,本发明使用可信主机探测协议,通过采用随机数挑战/响应的方式,探测方将以被访问方的IP地址作为公钥,系统使用IBE算法通过该公钥加密一个随机数,并将加密后的结果发送给被访问方,然后等待被访问方的响应,如果响应结果等于发送的随机数加一,则表示被访问方可信,否则为不可信。每台可信主机都维护一个可信探测列表,该列表中包含已被探测并通过验证的可信主机IP地址,以及最近一次的验证时刻(即被访问方返回正确相应结果的时刻)。如果新的探测请求中包含的被访问方IP地址在该列表中,并且当前时刻与最近一次验证时刻的间隔在2分钟之内,就无需再进行探测,系统认定该访问对象为可信,从而提高系统监控的效率和可靠性。为防止可信主机探测模块所发送的探测数据包被可信主机拦截模块阻挡,可信主机拦截模块首先检测被访问方的接收端口是否为其可信主机探测模块使用的专用端口,一旦可信主机拦截模块检测到通信端口是可信主机探测模块使用的专用端口,就直接放行该数据包。
本发明对域名访问使用的DNS协议不进行控制,但当被访问方域名解析完成,需要使用对方的IP地址访问对方时,就将受到可信主机拦截模块的控制。
本发明所提出的一种基于可信协议的网络监控方法,具体步骤如下:
A.在需进行监控的网络中配置外联监控系统,系统包括服务器及客户机两部分,并在服务器中安装可信主机管理模块,然后进行步骤B;
B.在需要进行监控的客户机中安装可信主机代理模块,可信主机的代理模块又划分为可信主机的拦截模块和可信主机探测模块,并在服务器中将这些客户机的IP设置成可信IP,然后进行步骤C;
C.可信主机管理模块做为可信主机的密钥分发中心,外联监控系统使用基于IBE(Identity Based Encryption)算法,将各可信主机的IP地址做为公开密钥,即公钥,并生成私有密钥,即私钥,将私钥发送给相应的可信主机,随后进行步骤D;
D.可信主机管理模块将公钥信息,即公钥列表,放置于可信主机管理模块中可公开访问的位置进行发布;
E.各可信主机通过各自的可信主机代理程序从服务器中获取经步骤D发布的最新公钥列表,并存储在本地,更新原来的公钥列表;
F.当可信主机有应用程序欲访问网络时,可信主机拦截模块截获该访问请求,并获取目标地址,即被访问方的IP地址,及其端口号,随后进行步骤G;
G.可信主机拦截模块判断目标地址是否在可信主机管理模块上的公钥列表中,如果不在,则丢弃数据包,拒绝访问,如果在公钥列表中,则继续步骤H;
H.可信主机拦截模块判断目标端口,即被访问方的端口,是否为可信主机探测模块使用的探测服务端口,如果是,则允许数据包通过,否则进行步骤I;
I.可信主机探测模块判断最近一次验证目标IP可信的时刻与当前时刻间隔大小,如果当前时刻与最近一次验证时刻的间隔在两分钟之内,则将可信主机探测列表中该目标IP对应的验证时间更新为当前时刻,然后通知可信主机拦截模块,告知其该目标主机为可信主机,允许数据包通过;如果时间超出两分钟,说明该可信时间无效,进行步骤J;
J.可信主机探测模块与被访问方的可信主机探测模块使用的专用端口建立TCP连接,如果连接结果显示为失败,则更新本地的可信主机探测列表,判断对方主机为不可信主机,丢弃数据包,拒绝访问,否则进行步骤K;
K.探测方将以被访问方的IP地址作为公钥,系统使用IBE(Identity BasedEncryption)算法通过该公钥加密一个随机数,再将加密数据发送给被访问方主机,然后进行步骤L;
L.可信主机探测模块等待接收被访问方主机响应,如果超时没有回应,则更新可信主机探测列表,判断被访问方主机为不可信主机,丢弃数据包,拒绝访问;若收到被访问方的响应数据,则继续步骤M;
M.可信主机探测模块判断接收到的响应数据是否等于步骤K中的随机数加一,如果不相等则更新可信主机探测列表,判断被访问方主机为不可信主机,丢弃数据包,拒绝访问;若结果显示相等,则更新可信主机探测列表,判断被访问方主机为可信主机,允许数据包通过。
有益效果
本发明提出的一种基于可信协议的网络监控方法具有以下优点:
(1)解决了现有的网络监控方法中由时间差造成的安全问题,能够杜绝因外联造成的信息泄露
(2)能防止多种形式的未授权外联行为。例如:攻击者趁可信主机不在线时,使用其他相同IP的非可信主机冒充可信主机,并与外网相连试图泄露信息;或者将某个普通主机的IP修改为可信主机的IP,并通过它做代理上网;
(3)不仅能实时监视外联行为,还能实时阻断外联行为,是一种主动防御技术。
附图说明
图1为系统结构示意图;
图2为本方法工作原理图;
图3为网络监控工作流程图;
图4为可信主机探测协议流程图;
图5为外联探测用例图。
具体实施方式
如图1所示,为实现本发明所述的方法,本发明设计一套基于可信协议的外联监控系统,系统部署在需要进行网络监控的局域网中,系统包括服务器及客户机两个部分。可信主机管理模块部署在服务器上,可信主机代理模块部署在客户机上。可信主机代理模块又划分为可信主机拦截模块和可信主机探测模块两个部分。系统中各个部分的功能如下:
可信主机管理模块:负责管理系统中的可信主机。所有可信主机信息在可信主机管理模块中汇总。管理内容包括密钥的管理及可信主机列表的管理。
可信主机拦截模块:以网络驱动(如采用NDIS驱动模型)的形式在可信主机中安装,对可信主机发送的网络数据包在网络IP层进行控制,其控制流程见图3所示。
可信主机探测模块:包含两个部分:一是可信主机探测客户端模块,二是可信主机探测服务模块。每个可信主机中都具有这两个模块。可信主机探测模块的客户端部分以应用程序形式存在于可信主机中,负责与对方可信主机探测服务模块建立连接,并执行可信协议验证对方是否可信。可信主机探测服务模块以网络服务形式存在于可信主机中,负责接收可信主机探测客户端模块的连接请求,并执行可信协议通信。
下面通过一个具体例子来说明本发明方法如何在实际环境中有效的进行检测及阻断违规外联行为。
图5为一个典型的局域网络环境,在图中服务器中安装可信主机管理模块,在客户机A及客户机B中安装可信主机代理模块,客户机A与客户机B的IP地址分别记为IPA及IPB,客户机A与客户机B的私钥分别为RA及RB,客户机C是模拟的非法接入的主机。通过本发明的设计,以下几种非法外联企图将被禁止:
(1)客户机A与客户机C通信;
(2)客户机A企图连接互联网;
(3)客户机C在客户机B不在线时冒用客户机B的地址,此时客户机C与客户机A通信。
在第(1)种情况中,由于客户机C的IP地址并不在可信主机列表中,因此,当客户机A与客户机C连接时,可信主机探测模块将返回一个禁止访问的信息给可信主机拦截模块,拒绝主机A连接不可信的主机C。
在第(2)种情况中,主机A访问网络时被访问方的域名解析可以完成,但当使用对方的IP地址访问时,由于对方IP地址不在可信主机列表中,同样会被拒绝。
在第(3)种情况中,由于可信主机探测协议执行失败将使得通信不成功。事实上,当主机A与主机C连接时,可信主机探测模块检测到主机C的IP(冒用IPB)在可信主机列表中,因此,发送由IPB加密的随机数给主机C,由于主机C并没有主机管理模块分发的IPB对应的私钥,因此不能解密数据而获得随机数,此时,主机A将不能收到随机数加一,协议握手失败,主机A的拦截模块将禁止连接行为。
以上列举的三种通信行为对将可能发生的非法外联情况进行了一些列举,从以上描述可以看出,本发明使用的外联监控方法可有效的杜绝可信主机的外联行为。
Claims (1)
1.一种基于可信协议的网络监控方法,其特征在于,具体步骤如下:
A.在需进行监控的网络中配置外联监控系统,系统包括服务器及客户机两部分,并在服务器中安装可信主机管理模块,然后进行步骤B;
B.在需要进行监控的客户机中安装可信主机代理模块,可信主机的代理模块又划分为可信主机的拦截模块和可信主机探测模块,并在服务器中将这些客户机的IP设置成可信IP,然后进行步骤C;
C.可信主机管理模块做为可信主机的密钥分发中心,外联监控系统使用基于IBE(Identity Based Encryption)算法,将各可信主机的IP地址做为公开密钥,即公钥,并生成私有密钥,即私钥,将私钥发送给相应的可信主机,随后进行步骤D;
D.可信主机管理模块将公钥信息,即公钥列表,放置于可信主机管理模块中可公开访问的位置进行发布;
E.各可信主机通过各自的可信主机代理程序从服务器中获取经步骤D发布的最新公钥列表,并存储在本地,更新原来的公钥列表;
F.当可信主机有应用程序欲访问网络时,可信主机拦截模块截获该访问请求,并获取目标地址,即被访问方的IP地址,及其端口号,随后进行步骤G;
G.可信主机拦截模块判断目标地址是否在可信主机管理模块上的公钥列表中,如果不在,则丢弃数据包,拒绝访问,如果在公钥列表中,则继续步骤H;
H.可信主机拦截模块判断目标端口,即被访问方的端口,是否为可信主机探测模块使用的探测服务端口,如果是,则允许数据包通过,否则进行步骤I;
I.可信主机探测模块判断最近一次验证目标IP可信的时刻与当前时刻间隔大小,如果当前时刻与最近一次验证时刻的间隔在两分钟之内,则将可信主机探测列表中该目标IP对应的验证时间更新为当前时刻,然后通知可信主机拦截模块,告知其该目标主机为可信主机,允许数据包通过;如果时间超出两分钟,说明该可信时间无效,进行步骤J;
J.可信主机探测模块与被访问方的可信主机探测模块使用的专用端口建立TCP连接,如果连接结果显示为失败,则更新本地的可信主机探测列表,判断对方主机为不可信主机,丢弃数据包,拒绝访问,否则进行步骤K;
K.探测方将以被访问方的IP地址作为公钥,系统使用IBE(Identity BasedEncryption)算法通过该公钥加密一个随机数,再将加密数据发送给被访问方主机,然后进行步骤L;
L.可信主机探测模块等待接收被访问方主机响应,如果超时没有回应,则更新可信主机探测列表,判断被访问方主机为不可信主机,丢弃数据包,拒绝访问;若收到被访问方的响应数据,则继续步骤M;
M.可信主机探测模块判断接收到的响应数据是否等于步骤K中的随机数加一,如果不相等则更新可信主机探测列表,判断被访问方主机为不可信主机,丢弃数据包,拒绝访问;若结果显示相等,则更新可信主机探测列表,判断被访问方主机为可信主机,允许数据包通过。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101194333A CN101355459B (zh) | 2008-08-29 | 2008-08-29 | 一种基于可信协议的网络监控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101194333A CN101355459B (zh) | 2008-08-29 | 2008-08-29 | 一种基于可信协议的网络监控方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101355459A CN101355459A (zh) | 2009-01-28 |
| CN101355459B true CN101355459B (zh) | 2010-08-25 |
Family
ID=40308067
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101194333A Expired - Fee Related CN101355459B (zh) | 2008-08-29 | 2008-08-29 | 一种基于可信协议的网络监控方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101355459B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105516179A (zh) * | 2015-12-30 | 2016-04-20 | 绿网天下(福建)网络科技股份有限公司 | 一种防网络入侵的数据安全传输系统及方法 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102156839A (zh) * | 2011-04-12 | 2011-08-17 | 浪潮电子信息产业股份有限公司 | 一种利用强制访问控制限制云计算特权用户权限的方法 |
| CN103631643B (zh) * | 2012-08-24 | 2017-11-10 | 腾讯科技(深圳)有限公司 | 一种应用程序联网控制方法及系统 |
| CN110266710B (zh) * | 2019-06-27 | 2022-08-09 | 深信服科技股份有限公司 | 一种集群安全防护方法、装置、服务器及存储介质 |
| CN110278127B (zh) * | 2019-07-02 | 2020-12-01 | 成都安恒信息技术有限公司 | 一种基于安全传输协议的Agent部署方法及系统 |
| CN111131183B (zh) * | 2019-12-05 | 2022-05-31 | 任子行网络技术股份有限公司 | 网络安全监控方法、计算机设备及计算机可读存储介质 |
| CN112966260A (zh) * | 2021-03-03 | 2021-06-15 | 北京中安星云软件技术有限公司 | 一种基于国产化可信计算平台的数据安全代理系统及方法 |
| CN113079178A (zh) * | 2021-04-15 | 2021-07-06 | 江苏保旺达软件技术有限公司 | 一种终端非法外联的识别方法、装置、设备及存储介质 |
| CN113438119B (zh) * | 2021-08-25 | 2021-11-09 | 北京信达环宇安全网络技术有限公司 | 加固软件部署方法、装置、电子设备及存储介质 |
| CN113992358B (zh) * | 2021-09-29 | 2023-07-07 | 杭州迪普科技股份有限公司 | 网络安全策略的分配方法及装置 |
| CN113973303B (zh) * | 2021-11-02 | 2024-04-02 | 上海格尔安全科技有限公司 | 基于数据包分析的移动终端设备接入控制网关的实现方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101242401A (zh) * | 2007-08-08 | 2008-08-13 | 西安西电捷通无线网络通信有限公司 | 一种增强安全性的可信网络连接系统 |
-
2008
- 2008-08-29 CN CN2008101194333A patent/CN101355459B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101242401A (zh) * | 2007-08-08 | 2008-08-13 | 西安西电捷通无线网络通信有限公司 | 一种增强安全性的可信网络连接系统 |
Non-Patent Citations (2)
| Title |
|---|
| 林闯 等.新型网络环境下的访问控制技术.《软件学报》.2007,第18卷(第4期),第955-966页. |
| 林闯等.新型网络环境下的访问控制技术.《软件学报》.2007,第18卷(第4期),第955-966页. * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105516179A (zh) * | 2015-12-30 | 2016-04-20 | 绿网天下(福建)网络科技股份有限公司 | 一种防网络入侵的数据安全传输系统及方法 |
| CN105516179B (zh) * | 2015-12-30 | 2018-09-21 | 绿网天下(福建)网络科技股份有限公司 | 一种防网络入侵的数据安全传输系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101355459A (zh) | 2009-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101355459B (zh) | 一种基于可信协议的网络监控方法 | |
| Hongsong et al. | Security and trust research in M2M system | |
| CN103391216B (zh) | 一种违规外联报警及阻断方法 | |
| EP2328319B1 (en) | Method, system and server for realizing the secure access control | |
| EP3085020B1 (en) | Security gateway for a regional/home network | |
| CN103310161B (zh) | 一种用于数据库系统的防护方法及系统 | |
| US20030037258A1 (en) | Information security system and method` | |
| CN101714927B (zh) | 内网安全综合管理的网络接入控制方法 | |
| CN100484036C (zh) | 通过相邻监督对网络非法节点进行检测的方法 | |
| CN102355467B (zh) | 基于信任链传递的输变电设备状态监测系统安全防护方法 | |
| CN103297437A (zh) | 一种移动智能终端安全访问服务器的方法 | |
| JP2008152791A (ja) | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム | |
| CN101795271A (zh) | 网络安全打印系统及打印方法 | |
| CN106027463A (zh) | 一种数据传输的方法 | |
| CN105282157A (zh) | 一种安全通信控制方法 | |
| US20220103584A1 (en) | Information Security Using Blockchain Technology | |
| CN111314381A (zh) | 安全隔离网关 | |
| CN110198297A (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
| CN106899561A (zh) | 一种基于acl的tnc权限控制方法和系统 | |
| CN106027476A (zh) | 一种身份证云认证系统及读卡系统 | |
| Rekik et al. | A cyber-physical threat analysis for microgrids | |
| CN101369995A (zh) | 一种基于安全可信连接技术的拨号网关 | |
| CN117749533B (zh) | 一种零信任林业物联网管理平台系统及安全防护方法 | |
| CN102333068A (zh) | 一种基于ssh、sftp隧道智能管控系统及方法 | |
| CN102185867A (zh) | 一种实现网络安全的方法和一种星形网络 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100825 Termination date: 20110829 |