CN104618323B - 基于网络过滤驱动的业务系统传输安全加固方法 - Google Patents

基于网络过滤驱动的业务系统传输安全加固方法 Download PDF

Info

Publication number
CN104618323B
CN104618323B CN201410796110.3A CN201410796110A CN104618323B CN 104618323 B CN104618323 B CN 104618323B CN 201410796110 A CN201410796110 A CN 201410796110A CN 104618323 B CN104618323 B CN 104618323B
Authority
CN
China
Prior art keywords
message
address
list
terminal computer
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410796110.3A
Other languages
English (en)
Other versions
CN104618323A (zh
Inventor
李凯
金魁
李书浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
360 Digital Security Technology Group Co Ltd
Original Assignee
SHENYANG GENERALSOFT CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHENYANG GENERALSOFT CO Ltd filed Critical SHENYANG GENERALSOFT CO Ltd
Priority to CN201410796110.3A priority Critical patent/CN104618323B/zh
Publication of CN104618323A publication Critical patent/CN104618323A/zh
Application granted granted Critical
Publication of CN104618323B publication Critical patent/CN104618323B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Abstract

本发明公开了基于网络过滤驱动的业务系统传输安全加固方法,包括配置保护策略,捕获网络数据报文,将通信缓存列表转换为数据信息列表,实施保护策略。该方法通过网络过滤驱动的方式获取客户端发送或接收的网络数据报文,并将通信缓存列表中的网络数据报文转换为报文数据信息,并存储在数据信息列表中,根据报文数据信息的进程名是否在授权进程列表中、策略类型、对端IP地址、报文传输方向对报文数据信息的传输实施加密和解密的保护策略,解决了在任意网络环境下,不改动原有业务系统软件或网络配置无法进行网络传输透明加密的问题,实现了在不改变现有业务系统基础上,对业务系统的网络传输进行安全保护。

Description

基于网络过滤驱动的业务系统传输安全加固方法
技术领域
本发明涉及网络安全通信领域,尤其涉及一种基于网络过滤驱动的业务系统传输安全加固方法。
背景技术
在日常的网络应用中,TCP/IP协议为主要的通信传输协议,办公系统,业务系统,ERP软件,数据库,网站服务等都基于TCP/IP协议。由于TCP/IP协议本身并不涉及安全保护功能,所以在现有的业务系统中,如果业务系统软件的实现对通信安全性考虑不足,将导致业务系统关键数据被监听、盗取、篡改,从而造成严重损失。
现有技术中,一般使用HTTPS和IPsec(Internet Protocol Security)两种技术方式实现对业务系统的网络传输进行安全保护,第一种技术方式HTTPS仅适用于基于HTTPS协议的网络通信,对于局域网中常用的C/S结构的业务系统、ERP软件无法使用HTTPS技术方式进行传输加密,第二种技术方式IPsec可适用于局域网环境,计算机被加密后,所有网络通信都将被加密传输,并且需要更改每个计算机的网络配置,使用IPsec技术的计算机无法与未使用IPsec技术的计算机通信,在日常局域网环境部署实施难度较大。另外,IPsec协议要求对数据进行加密和验证,其中涉及很大的运算量,占用大量CPU资源,这样势必会导致系统性能的下降,难以达到高速处理数据的目的。综上所述,业务系统传输的安全保护存在较大局限性,HTTPS技术方式仅适用于基于HTTPS协议的网络通信,对于C/S结构的业务系统无法进行传输加密,IPsec技术方式需要改变局域网中每个计算机的现有网络配置进行传输加密,因此,需要一种安全通用的,适用于任何网络环境,且不改变计算机现有网络配置的业务系统传输安全加固方法解决上述问题。
发明内容
本发明的主要目的在于提供一种基于网络过滤驱动的业务系统传输安全加固方法,该方法无需改变计算机现有网络配置,在任意软件、任意硬件环境下,能够对业务系统传输进行安全加固保护。
为了达到上述目的,本发明所采用的技术方案如下:
基于网络过滤驱动的业务系统传输安全加固方法,包括以下步骤:
a.配置保护策略:配置策略类型、授权IP地址列表、授权进程列表;
所述策略类型包括:安全性优先、兼容性优先,根据所述策略类型的不同将执行不同的保护策略;
所述授权IP地址列表包括:若干个被授权的终端计算机IP地址;
所述授权进程列表包括:若干个被保护的业务系统的进程名;
b.捕获网络数据报文:通过网络过滤驱动的方式捕获发送或接收的网络数据报文,并将所述网络数据报文存储在通信缓存列表中;
所述网络数据报文包括:报文内容、报文长度、进程名、报文传输方向;
所述通信缓存列表包括:若干个网络数据报文;
c.将通信缓存列表转换为数据信息列表:通过分析所述通信缓存列表中存储的网络数据报文的报文内容、报文长度、进程名、报文传输方向,将网络数据报文转换为报文数据信息,并将该报文数据信息存储到数据信息列表中;
通过分析报文内容的IP头信息以及IP头信息中的目的地址字段获取对端IP地址;
所述报文数据信息包括:报文内容、报文长度、进程名、报文传输方向、对端IP地址;
所述数据信息列表包括:若干个报文数据信息;
d.读取所述报文数据信息中的进程名,如果该进程名包含在所述授权进程列表中,则继续执行步骤e,如果该进程名不包含在授权进程列表中,执行步骤f;
e.实施保护策略:将所述报文数据信息中的进程名作为保护进程的数据信息,实施保护策略;
f.如果所述报文数据信息的传输方向为发送,则传递报文内容、报文长度给操作系统的下层网络驱动;如果所述报文数据信息的传输方向为接收,则传递报文内容、报文长度给操作系统上层网络驱动,结束。
在所述步骤e中,将所述报文数据信息中的进程名作为保护进程的数据信息,实施保护策略,包括以下步骤:
e1.如果所配置的策略类型为安全性优先,则继续执行步骤e2;如果所配置的策略类型为兼容性优先,则执行步骤e3;
e2.如果对端IP地址包含在所述授权IP地址列表中,且报文传输方向为发送,则加密报文内容,其中报文内容中的IP头信息不加密,执行步骤e4;如果对端IP地址包含在所述授权IP地址列表中,且报文传输方向为接收,则解密报文内容,其中报文内容中的IP头信息不解密,执行步骤e4;
如果对端IP地址不包含在所述授权IP地址列表中,且报文传输方向为发送,则加密报文内容,其中报文内容中的IP头信息不加密,执行步骤e4;如果对端IP地址不包含在所述授权IP地址列表中,且报文传输方向为接收,则解密报文内容,其中报文内容中的IP头信息不解密,执行步骤e4;
e3.如果对端IP地址包含在所述授权IP地址列表中,且报文传输方向为发送,则加密报文内容,其中报文内容中的IP头信息不加密,执行步骤e4;如果对端IP地址包含在所述授权IP地址列表中,且报文传输方向为接收,则解密报文内容,其中报文内容中的IP头信息不解密,执行步骤e4;
如果对端地址不包含在所述授权IP地址列表中,则不处理,即不加密不解密,执行步骤e4;
e4.结束。
本发明的有益效果是:
本发明的基于网络过滤驱动的业务系统传输安全加固方法,该方法基于驱动层实现通信加密,适用于任何网络环境,在不改变终端计算机现有网络配置的情况下,实现了即兼容未加固的终端计算机、又可以严格匹配只能与已加固的终端计算机进行通信。有效地杜绝了网络监听、数据盗取、篡改等手段造成的安全损失,解决了业务系统实现安全加固时,在日常局域网环境部署实施难度较大、系统资源占用高、运营维护成本高,无法在不改变终端计算机现有网络配置实现业务系统传输透明加密的问题,极大地降低部署实施难度、减少了系统资源占用、降低了运营维护成本。
附图说明
图1是本发明的基于网络过滤驱动的业务系统传输安全加固方法的流程图;
图2是本发明的基于网络过滤驱动的业务系统传输安全加固方法步骤e的流程图;
图3是本发明的实施例的应用环境的结构示意图。
具体实施方式
下面结合附图和实施例,对本发明的基于网络过滤驱动的业务系统传输安全加固方法做进一步详细描述。
本发明的基于网络过滤驱动的业务系统传输安全加固方法,该方法基于驱动层实现通信加密,适用于任何网络环境,在不改变终端计算机现有网络配置的情况下,实现兼容未加固终端计算机、严格匹配只能与已加固终端计算机进行通信。
本实施例以财务管理系统(Finance)为例,如图3所示,该财务管理系统(Finance)包括60台终端计算机,终端计算机A1,A2,…,A60,以点对点方式星型连接。
财务管理系统中的60台终端计算机A1,A2,…,A60的IP地址全部存储在60台终端计算机的授权IP地址列表中。本实施例被授权的业务系统3个,包括安全管理系统、运维系统、财务管理系统,将所有被授权的3个业务系统进程名均存储在60台终端计算机的授权进程列表中,其中财务管理系统的进程名为Finance.exe。
以终端计算机A1和终端计算机A2进行财务管理系统文件传输为例进行说明。
终端计算机A1发送文件“财务明细.xlsx”,终端计算机A2接收终端计算机A1发送的文件“财务明细.xlsx”。
例如,终端计算机A1的账号为A1@dev.gsc.com、密码为123456,终端计算机A1发送文件名为“财务明细.xlsx”的文件到终端计算机A2的账号A2@dev.gsc.com中。
实施例1,策略类型为安全性优先:
如图1所示,本发明的基于网络过滤驱动的业务系统传输安全加固方法,具体工作步骤如下:
终端计算机A1工作步骤如下:
a.配置保护策略:配置终端计算机A1的策略类型,授权IP地址列表,授权进程列表;
配置终端计算机A1的策略类型为安全性优先;
配置终端计算机A1的IP地址为192.168.0.1,并存储到其授权IP地址列表;
配置终端计算机A2的IP地址为192.168.0.2,并存储到其授权IP地址列表;
配置终端计算机A3—A60的IP地址,并存储到其授权IP地址列表;
配置财务管理系统的进程名为Finance.exe,并存储到终端计算机A1和终端计算机A2的授权进程列表;
配置安全管理系统和运维系统的进程名,并存储到终端计算机A1和终端计算机A2的授权进程列表;
终端计算机A1的授权IP地址列表包括:被授权的终端计算机A1的IP地址192.168.0.1、被授权的终端计算机A2的IP地址192.168.0.2和被授权的终端计算机A3—A60的IP地址;
终端计算机A1的授权进程列表包括:被保护的业务系统:财务管理系统的进程名Finance.exe和安全管理系统、运维系统的进程名;
b.捕获网络数据报文:
终端计算机A1通过网络过滤驱动的方式捕获到发送的网络数据报文包括:报文内容:“账号:A1@dev.gsc.com,密码:123456,文件:财务明细.xlsx,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节、进程名:Finance.exe、报文传输方向:发送,终端计算机A1将捕获到发送的网络数据报文存储到其通信缓存列表;
终端计算机A1的通信缓存列表包括:终端计算机A1发送的网络数据报文;
c.将通信缓存列表转换为数据信息列表:
终端计算机A1分析其通信缓存列表中存储的发送的网络数据报文中的报文内容、报文长度、进程名、报文传输方向,将发送的网络数据报文转换为报文数据信息,并将该报文数据信息存储在其数据信息列表;
终端计算机A1通过分析报文内容的IP头信息以及IP头信息中的目的地址字段获取对端IP地址:192.168.0.2(即终端计算机2的IP地址);
终端计算机A1的报文数据信息包括:报文内容:“账号:A1@dev.gsc.com,密码:123456,文件:财务明细.xlsx,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节、进程名:Finance.exe、报文传输方向:发送、对端IP地址:192.168.0.2;
所述数据信息列表包括:终端计算机A1发送的报文数据信息;
d.终端计算机A1读取所述报文数据信息中的进程名Finance.exe,本实施例该进程名Finance.exe包含在其授权进程列表中,即为被保护的业务系统的进程名,继续执行步骤e;
(如果终端计算机A1读取所述报文数据信息的进程名Finance.exe不包含在其授权进程列表中,执行步骤f;)
e.实施保护策略:将终端计算机A1的报文数据信息中的进程名Finance.exe作为保护进程的数据信息,实施保护策略,具体步骤如下:
e1.判断终端计算机A1的策略类型为安全性优先,继续执行步骤e2;
e2.判断终端计算机A1报文数据信息中的对端IP地址为192.168.0.2,此IP地址包含在终端计算机A1的授权IP地址列表中,且报文传输方向为发送,则加密报文内容,其中报文内容中的IP头信息不加密;
(如果对端IP地址不包含在所述授权IP地址列表中,且报文传输方向为发送,则加密报文内容,其中报文内容中的IP头信息不加密;)
f.判断终端计算机A1报文数据信息中的报文传输方向为发送,则终端计算机A1将报文内容:“************,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”(其中************为不可见字符),报文长度:1450字节传递给操作系统的下层网络驱动。
终端计算机A2工作步骤如下:
a.配置保护策略:配置终端计算机A2的策略类型,授权IP地址列表,授权进程列表;
配置终端计算机A2的策略类型为安全性优先;
配置终端计算机A2的IP地址为192.168.0.2,并存储到其授权IP地址列表;
配置终端计算机A1的IP地址为192.168.0.1,并存储到其授权IP地址列表;
配置终端计算机A3—A60的IP地址,并存储到其授权IP地址列表;
配置财务管理系统的进程名为Finance.exe,并存储到终端计算机A2的授权进程列表;
配置安全管理系统和运维系统的进程名,并存储到终端计算机A1和终端计算机A2的授权进程列表;
终端计算机A2的授权IP地址列表包括:被授权的终端计算机A1的IP地址192.168.0.1、被授权的终端计算机A2的IP地址192.168.0.2和被授权的终端计算机A3—A60的IP地址;
终端计算机A2的授权进程列表包括:被保护的业务系统:财务管理系统的进程名Finance.exe和安全管理系统、运维系统的进程名;
b.捕获网络数据报文:
终端计算机A2通过网络过滤驱动的方式捕获到接收的网络数据报文包括:加密过的报文内容:“************,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节、进程名:Finance.exe、报文传输方向:接收,终端计算机A2将捕获到接收的网络数据报文存储在其通信缓存列表;
终端计算机A2的通信缓存列表包括:终端计算机A2接收的网络数据报文;
c.将通信缓存列表转换为数据信息列表:
终端计算机A2分析其通信缓存列表中存储的接收的网络数据报文中的报文内容、报文长度、进程名、报文传输方向,将接收的网络数据报文转换为报文数据信息,并将该报文数据信息存储到其数据信息列表;
终端计算机A2通过分析报文内容的IP头信息以及IP头信息中的目的地址字段获取对端IP地址:192.168.0.1(即终端计算机A1的IP地址);
终端计算机A2的报文数据信息包括:加密过的报文内容:“************,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节、进程名:Finance.exe、报文传输方向:接收、对端IP地址:192.168.0.1;
终端计算机A2的数据信息列表包括:终端计算机A2接收的报文数据信息;
d.终端计算机A2读取所述报文数据信息中的进程名Finance.exe,本实施例该进程名Finance.exe包含在其授权进程列表中,即为被保护的业务系统的进程名,继续执行步骤e;
(如果终端计算机A2读取所述报文数据信息的进程名Finance.exe不包含在其授权进程列表中,执行步骤f;)
e.实施保护策略:将终端计算机A2的报文数据信息中的进程名Finance.exe作为保护进程的数据信息,实施保护策略,具体步骤如下:
e1.判断终端计算机A2的策略类型为安全性优先,继续执行步骤e2;
e2.判断终端计算机A2报文数据信息中的对端IP地址为192.168.0.1,此IP地址包含在终端计算机A2的授权IP地址列表中,且报文传输方向为接收,则解密报文内容,其中报文内容中的IP头信息不解密,;
(如果对端IP地址不包含在其授权IP地址列表中,且报文传输方向为接收,则解密报文内容,其中报文内容中的IP头信息不解密,;)
f.判断终端计算机A2报文数据信息中的报文传输方向为接收,则终端计算机A2将解密出的报文内容:“账号:A1@dev.gsc.com,密码:123456,文件:财务明细.xlsx,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节传递给操作系统的上层网络驱动。
实施例2,策略类型为兼容性优先:
如图1所示,本发明的基于网络过滤驱动的业务系统传输安全加固方法,具体工作步骤如下:
终端计算机A1工作步骤如下:
a.配置保护策略:配置终端计算机A1的策略类型,授权IP地址列表,授权进程列表;
配置终端计算机A1的策略类型为兼容性优先;
配置终端计算机A1的IP地址为192.168.0.1,并存储到其授权IP地址列表;
配置终端计算机A2的IP地址为192.168.0.2,并存储到其授权IP地址列表;
配置终端计算机A3—A60的IP地址,并存储到其授权IP地址列表;
配置财务管理系统的进程名为Finance.exe,并存储到其授权进程列表;
配置安全管理系统和运维系统的进程名,并存储到终端计算机A1和终端计算机A2的授权进程列表;
终端计算机A1的授权IP地址列表包括:被授权的终端计算机A1的IP地址192.168.0.1、被授权的终端计算机A2的IP地址192.168.0.2和被授权的终端计算机A3—A60的IP地址;
终端计算机A1的授权进程列表包括:被保护的业务系统,即财务管理系统的进程名Finance.exe和安全管理系统、运维系统的进程名;
b.捕获网络数据报文:
终端计算机A1通过网络过滤驱动的方式捕获到发送的网络数据报文包括:报文内容:“账号:A1@dev.gsc.com,密码:123456,文件:财务明细.xlsx,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节、进程名:Finance.exe、报文传输方向:发送,终端计算机A1将捕获到的发送的网络数据报文存储到其通信缓存列表;
终端计算机A1的通信缓存列表包括:终端计算机A1发送的网络数据报文;
c.将通信缓存列表转换为数据信息列表:
终端计算机A1分析其通信缓存列表中存储的发送的网络数据报文中的报文内容、报文长度、进程名、报文传输方向,将发送的网络数据报文提取,分析转换为报文数据信息,并将该报文数据信息存储在其数据信息列表;
终端计算机A1通过分析报文内容的IP头信息以及IP头信息中的目的地址字段获取对端IP地址:192.168.0.2(即终端计算机A2的IP地址);
终端计算机A1的报文数据信息包括:报文内容:“账号:A1@dev.gsc.com,密码:123456,文件:财务明细.xlsx,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节、进程名:Finance.exe、报文传输方向:发送、对端IP地址:192.168.0.2;
终端计算机A1的数据信息列表包括:终端计算机A1发送的报文数据信息;
d.终端计算机A1读取所述报文数据信息中的进程名Finance.exe,本实施例该进程名Finance.exe包含在其授权进程列表中,即为被保护的业务系统的进程名,继续执行步骤e;
(如果终端计算机A1读取所述报文数据信息中的进程名Finance.exe不包含在其授权进程列表中,执行步骤f;)
e.实施保护策略:将终端计算机A1的报文数据信息中的进程名Finance.exe作为保护进程的数据信息,实施保护策略,具体步骤如下:
e1.判断终端计算机A1的策略类型为兼容性优先,执行步骤e3;
(e2.判断终端计算机A1的策略类型不为安全性优先,故不执行此步骤;)
e3.判断终端计算机A1报文数据信息中的对端IP地址为192.168.0.2,此IP地址包含在终端计算机A1的授权IP地址列表中,且报文传输方向为发送,则加密报文内容,其中报文内容中的IP头信息不加密;
(如果对端IP地址不包含在所述授权IP地址列表中,则不处理,即不加密不解密,结束;)
f.判断终端计算机A1报文数据信息中的报文传输方向为发送,则终端计算机A1将报文内容:“************,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”(其中************为不可见字符),报文长度:1450字节传递给操作系统的下层网络驱动;
终端计算机A2工作步骤如下:
a.配置保护策略:配置终端计算机A2的策略类型,授权IP地址列表,授权进程列表;
配置终端计算机A2的策略类型为兼容性优先;
配置终端计算机A2的IP地址为192.168.0.2,并存储到其授权IP地址列表;
配置终端计算机A1的IP地址为192.168.0.1,并存储到其授权IP地址列表;
配置终端计算机A3—A60的IP地址,并存储到其授权IP地址列表;
配置财务管理系统的进程名为Finance.exe,并存储到终端计算机A2的授权进程列表;
配置安全管理系统和运维系统的进程名,并存储到终端计算机A1和终端计算机A2的授权进程列表;
终端计算机A2的授权IP地址列表包括:被授权的终端计算机A1的IP地址192.168.0.1、被授权的终端计算机A2的IP地址192.168.0.2和被授权的终端计算机A3—A60的IP地址;
终端计算机A2的授权进程列表包括:被保护的业务系统:财务管理系统的进程名Finance.exe和安全管理系统、运维系统的进程名;
b.捕获网络数据报文:
终端计算机A2通过网络过滤驱动的方式捕获到接收的网络数据报文包括:加密过的报文内容:“************,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节、进程名:Finance.exe、报文传输方向:接收,终端计算机A2将捕获到接收的网络数据报文存储在其通信缓存列表;
终端计算机A2的通信缓存列表包括:终端计算机A2接收的网络数据报文;
c.将通信缓存列表转换为数据信息列表:
终端计算机A2分析其通信缓存列表中存储的接收的网络数据报文中的报文内容、报文长度、进程名、报文传输方向,将接收的网络数据报文提取,分析转换为报文数据信息,并将该报文数据信息存储到其数据信息列表;
终端计算机A2通过分析报文内容的IP头信息以及IP头信息中的目的地址字段获取对端IP地址:192.168.0.1(即终端计算机A1的IP地址);
终端计算机A2的报文数据信息包括:加密过的报文内容:“************,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节、进程名:Finance.exe、报文传输方向:接收、对端IP地址:192.168.0.1;
终端计算机A2的数据信息列表包括:终端计算机A2接收的报文数据信息;
d.终端计算机A2读取所述报文数据信息中的进程名Finance.exe,本实施例该进程名Finance.exe包含在其授权进程列表中,即为被保护的业务系统的进程名,继续执行步骤e;
(如果终端计算机A2读取所述报文数据信息的进程名Finance.exe不包含在其授权进程列表中,则不处理,即不加密不解密,执行步骤f;)
e.实施保护策略:将终端计算机A2的报文数据信息中的进程名Finance.exe作为保护进程的数据信息,实施保护策略,具体步骤如下:
e1.判断终端计算机A2的策略类型为兼容性优先,继续执行步骤e3;
(e2.判断终端计算机A2的策略类型不为安全性优先,故不执行此步骤;)
e3.判断终端计算机A2报文数据信息中的对端IP地址为192.168.0.1,此IP地址包含在终端计算机A2的授权IP地址列表中,且报文传输方向为接收,则解密报文内容,其中报文内容中的IP头信息不解密;
(如果对端IP地址不包含在其授权IP地址列表中,则不处理,即不加密不解密,执行步骤f;)
f.判断终端计算机A2报文数据信息中的报文传输方向为接收,则终端计算机A2将报文内容:“账号:A1@dev.gsc.com,密码:123456,文件:财务明细.xlsx,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节传递给操作系统的上层网络驱动。
上述方法也可应用于多终端计算机与服务器连接的网络应用系统中。
通过上述步骤实现了不改变终端计算机现有网络配置实现业务系统传输透明加密的问题,极大地降低部署实施难度、减少了系统资源占用、运营维护成本。

Claims (2)

1.基于网络过滤驱动的业务系统传输安全加固方法,包含以下步骤:
a.配置保护策略:配置策略类型、授权IP地址列表、授权进程列表;
所述策略类型包括:安全性优先、兼容性优先,根据所述策略类型的不同将执行不同的保护策略;
所述授权IP地址列表包括:若干个被授权的终端计算机IP地址;
所述授权进程列表包括:若干个被保护的业务系统的进程名;
b.捕获网络数据报文:通过网络过滤驱动的方式捕获发送或接收的网络数据报文,并将所述网络数据报文存储在通信缓存列表中;
所述网络数据报文包括:报文内容、报文长度、进程名、报文传输方向;
所述通信缓存列表包括:若干个网络数据报文;
c.将通信缓存列表转换为数据信息列表:通过分析所述通信缓存列表中存储的网络数据报文的报文内容、报文长度、进程名、报文传输方向,将网络数据报文转换为报文数据信息,并将该报文数据信息存储到数据信息列表中;
通过分析报文内容的IP头信息以及IP头信息中的目的地址字段获取对端IP地址;
所述报文数据信息包括:报文内容、报文长度、进程名、报文传输方向、对端IP地址;
所述数据信息列表包括:若干个报文数据信息;
d.读取所述报文数据信息中的进程名,如果该进程名包含在所述授权进程列表中,则继续执行步骤e,如果该进程名不包含在授权进程列表中,执行步骤f;
e.实施保护策略:将所述报文数据信息中的进程名作为保护进程的数据信息,实施保护策略;
f.如果所述报文数据信息的传输方向为发送,则传递报文内容、报文长度给操作系统的下层网络驱动;如果所述报文数据信息的传输方向为接收,则传递报文内容、报文长度给操作系统上层网络驱动,结束。
2.如权利要求1所述的基于网络过滤驱动的业务系统传输安全加固方法,将所述报文数据信息中的进程名作为保护进程的数据信息,实施保护策略,包括以下步骤:
e1.如果所配置的策略类型为安全性优先,则继续执行步骤e2;如果所配置的策略类型为兼容性优先,则执行步骤e3;
e2.如果对端IP地址包含在所述授权IP地址列表中,且报文传输方向为发送,则加密报文内容,其中报文内容中的IP头信息不加密,执行步骤e4;如果对端IP地址包含在所述授权IP地址列表中,且报文传输方向为接收,则解密报文内容,其中报文内容中的IP头信息不解密,执行步骤e4;
如果对端IP地址不包含在所述授权IP地址列表中,且报文传输方向为发送,则加密报文内容,其中报文内容中的IP头信息不加密,执行步骤e4;如果对端IP地址不包含在所述授权IP地址列表中,且报文传输方向为接收,则解密报文内容,其中报文内容中的IP头信息不解密,执行步骤e4;
e3.如果对端IP地址包含在所述授权IP地址列表中,且报文传输方向为发送,则加密报文内容,其中报文内容中的IP头信息不加密,执行步骤e4;如果对端IP地址包含在所述授权IP地址列表中,且报文传输方向为接收,则解密报文内容,其中报文内容中的IP头信息不解密,执行步骤e4;
如果对端地址不包含在所述授权IP地址列表中,则不处理,即不加密不解密,执行步骤e4;
e4.结束。
CN201410796110.3A 2014-12-22 2014-12-22 基于网络过滤驱动的业务系统传输安全加固方法 Active CN104618323B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410796110.3A CN104618323B (zh) 2014-12-22 2014-12-22 基于网络过滤驱动的业务系统传输安全加固方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410796110.3A CN104618323B (zh) 2014-12-22 2014-12-22 基于网络过滤驱动的业务系统传输安全加固方法

Publications (2)

Publication Number Publication Date
CN104618323A CN104618323A (zh) 2015-05-13
CN104618323B true CN104618323B (zh) 2017-12-22

Family

ID=53152599

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410796110.3A Active CN104618323B (zh) 2014-12-22 2014-12-22 基于网络过滤驱动的业务系统传输安全加固方法

Country Status (1)

Country Link
CN (1) CN104618323B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108848071A (zh) * 2018-05-30 2018-11-20 深圳市元征科技股份有限公司 一种数据传输方法、系统及设备和存储介质
CN110602053B (zh) * 2019-08-20 2022-05-13 华能四川能源开发有限公司 应用进程无感式内核层加解密系统及方法
CN110891025B (zh) * 2019-10-31 2022-04-05 上海众链科技有限公司 获取应用程序对端目的地址的系统和方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004047407A1 (en) * 2002-11-18 2004-06-03 Trusted Network Technologies, Inc. Systems and apparatuses using identification data in network communication
CN102014004A (zh) * 2010-12-16 2011-04-13 中国电子科技集团公司第三十研究所 一种网管系统管理网元的方法
CN102664890A (zh) * 2012-04-23 2012-09-12 沈阳通用软件有限公司 网络安全控制服务器识别终端计算机合法性的方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004047407A1 (en) * 2002-11-18 2004-06-03 Trusted Network Technologies, Inc. Systems and apparatuses using identification data in network communication
CN102014004A (zh) * 2010-12-16 2011-04-13 中国电子科技集团公司第三十研究所 一种网管系统管理网元的方法
CN102664890A (zh) * 2012-04-23 2012-09-12 沈阳通用软件有限公司 网络安全控制服务器识别终端计算机合法性的方法

Also Published As

Publication number Publication date
CN104618323A (zh) 2015-05-13

Similar Documents

Publication Publication Date Title
US10419348B2 (en) Efficient intercept of connection-based transport layer connections
CN100594690C (zh) 一种安全网关中进行安全策略统一处理的方法及装置
CN202206418U (zh) 流量管理设备、系统和处理器
CN101299753B (zh) 具有web服务安全控制机制的代理服务器
CN1949765B (zh) 获得被管设备的ssh主机公开密钥的方法和系统
CN104767748B (zh) Opc服务器安全防护系统
CN101136777B (zh) 网络管理系统中双加密通道协作的安全管理方法
CN104322001A (zh) 使用服务名称识别的传输层安全流量控制
US9769289B2 (en) TCP communication scheme
CN109150688A (zh) IPSec VPN数据传输方法及装置
US8782772B2 (en) Multi-session secure tunnel
CN105763318B (zh) 一种预共享密钥获取、分配方法及装置
CN108200104A (zh) 一种进行ssl握手的方法和系统
CN110324227A (zh) 一种vpn服务器中的数据传输方法及vpn服务器
CN104618323B (zh) 基于网络过滤驱动的业务系统传输安全加固方法
CN102761494A (zh) 一种ike协商处理方法及装置
CN103108037A (zh) 一种通信方法,Web服务器及Web通信系统
CN114301996A (zh) 传输数据处理方法及装置
CN102480473A (zh) 基于fsk的安全性信息交互系统及方法
CN101471839A (zh) 多核异步实现IPSec vpn的方法
CN102170434A (zh) 一种基于多核处理器实现ipsec的方法及其装置
CN104065660A (zh) 一种远程主机接入的控制方法
CN113810397A (zh) 协议数据的处理方法及装置
CN111988346B (zh) 数据泄露防护设备及报文处理方法
CN106355101A (zh) 一种面向简易存储服务的透明文件加解密系统及其方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210714

Address after: 100020 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing

Patentee after: Beijing Hongteng Intelligent Technology Co.,Ltd.

Address before: 110179 No.21, jinpenglong high tech Industrial Park, No.19, Wenhui street, Hunnan New District, Shenyang City, Liaoning Province

Patentee before: SHENYANG GENERALSOFT Co.,Ltd.

CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 100020 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing

Patentee after: Sanliu0 Digital Security Technology Group Co.,Ltd.

Address before: 100020 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing

Patentee before: Beijing Hongteng Intelligent Technology Co.,Ltd.