CN108683496B - 一种与路由解耦的统一威胁管理系统 - Google Patents
一种与路由解耦的统一威胁管理系统 Download PDFInfo
- Publication number
- CN108683496B CN108683496B CN201810345268.7A CN201810345268A CN108683496B CN 108683496 B CN108683496 B CN 108683496B CN 201810345268 A CN201810345268 A CN 201810345268A CN 108683496 B CN108683496 B CN 108683496B
- Authority
- CN
- China
- Prior art keywords
- security
- data packet
- threat management
- network
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种与路由解耦的统一威胁管理系统,用于部署网络中的安全管理设备,作为一种统一威胁管理安全服务部署在公共的Internet之上,用于保护内网的安全和服务器的安全;为用户提供非绕开、按需定制、轻量级的安全服务,使得UTM实现分布式部署和协助,拓展了UTM的功能,还可以促进不同安全厂商之间的竞争、合作和进步。本发明代表了UTM整合化、分离化、标准化、统一化的发展方向。
Description
技术领域
本发明涉及网络技术领域领域,更具体地,涉及一种与路由解耦的统一威胁管理系统。
背景技术
Internet设计之初只提供尽力而为(best-effort)的数据传送服务,并不涉及网络的安全。这意味着,应用程序需要对自己的安全负责,即查看数据包的内容,分辨出数据包是否有害。但实际上,应用程序无法控制网络行为,主机的处理能力也有限,无法胜任此项工作。所以,Internet引入了防火墙来保护用户的安全。防火墙设立在网络边界处,进出网络的数据包都需要经过防火墙的检查,可疑的数据包会被丢弃。
随着网络安全威胁从网络层发展到传输层、应用层,新的攻击手段不断涌现,如SYN泛洪攻击、应用层DDoS攻击、病毒、蠕虫、木马等。防火墙已经不足以为了给用户提供安全的网络环境,所以网络中增加了越来越多的安全设备,如入侵检测系统(IDS)、病毒检测系统、访问控制系统等。随着设备的增加,其部署和维护工作也越来越复杂,故统一威胁管理系统(UTM,Unified Threat Management)应运而生。
统一威胁管理系统(UTM)是由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,它将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。UTM集防火墙、入侵检测和防御、防病毒等多项功能于一身,部署在网络出入口或者服务器前端,全面防御网络链路层到应用层的各种攻击,抵御各种威胁,俨然一副“一夫当关、万夫莫开”的架势。
但是,无论是防火墙还是统一威胁管理系统,他们的策略生效(policyenforcement)的前提是设备部署在数据包的必经之路上。即,安全策略与路由耦合,网络层的路由必须经过细心的配置,来保证数据包经过安全设备。这带来了以下多个问题:
(1)安全设备的多种特性都违反Internet的设计原则,使得Internet的通信变得异常。部署了网络地址转换(NAT)会使得节点失去全局可路由的地址,这会阻碍VoIP、P2P等建立连接。安全设备启用代理功能会打破端到端 (End-to-End)通信模式,使得用户端软件需要改变;
(2)防护理念过时,导致路由畸形。无论防火墙还是统一威胁管理系统,其防护理念都是认为内部网络是安全的,外部网络是不安全的,从外部网络进入内部网络的数据需要经过检查。但是当今的网络威胁已不局限于外部网络,大量的安全威胁源于内部网络,如越权访问、病毒传播、僵尸网络传播等。为了使内部网络之间的数据流量也经过安全设备的检查,网络管理员需要配置畸形的路由条目,使得内部流量绕到网络边界,“变成”外部流量。这不仅增加了数据包的传输时延,而且使得网络配置难以管理、容易出错;
(3)安全策略能否实施与网络拓扑相关。网络管理员需小心的配置路由条目,使得数据包经过安全设备。当内部网络有多个连接到外部网络的链路时,此问题尤为严重。另外,当网络拓扑发生改变时,路由条目也会随之发生变化。一旦出现能绕开安全设备访问外部网络的链路,安全设备就变成“马其诺防线”,无法保护内部网络的安全;
(4)网络存在流量瓶颈和单点失效的威胁。因为所有数据包都要经过安全设备,所以安全设备的数据转发能力成为了网络的流量瓶颈。更严重的是,为了提供高级的安全防护,如病毒检测、应用层入侵检测,安全设备需要启用深度包检测(DPI,deep packetinspection)功能,安全设备的运算能力将受到很大挑战。一旦安全设备不堪重负导致失效,轻则使得内部网络无法访问外部网络(使用默认拒绝方式),重则使内部网络完全不受保护的暴露在网络攻击之中(使用默认通行方式)。
值得注意的是,上述第四点缺陷在UTM中尤为突出。UTM产品具有三大技术特点:吞吐密集、运算密集、应用层特性匹配密集。这三大特点对硬件平台提出了极大的挑战,使得UTM饱尝性能瓶颈之苦。例如,在X86架构下,UTM受制于总线带宽普遍无法实现千兆线速;开启病毒检测、入侵检测等功能后,CPU占用率大幅升高,使得整机性能通常下降80%。所以,为了兼顾安全和网络性能,用户需要购买昂贵和高端的UTM设备。
现有的安全设备之间无法进行信息交流,因此无法实施真正意义上的分布式部署。现有的分布式部署方式实质上是在网络中的不同位置部署多台UTM,使得每台UTM需要处理的任务有所减少。但是,这导致的管理困难与UTM“统一管理”的设计初衷相违背。另外,购置多台UTM也会大大增加用户的经济负担。
为了解决这些问题,分布式UTM逐渐浮出水面,根据瑞星公司的预测,UTM 将向着以下方向发展:
(1)更加整合。我们在这里所说的更加整合,并不是单纯的整合进更多的安全功能要素,而是整合的形态也将进一步获得发展。目前的整合式安全设备更像一种星型的整合,一个统一的管理核心周围连接着若干安全子功能。未来的UTM 应该是网状的整合,除了可以在统一的架构上使用多种安全功能之外,各个安全功能之间也可以进行完全的协同。当防病毒功能发现网络传输中带有非法行为之后,其它安全功能会经由惯用的“语言”被告知这一发现,并且所有安全功能可以综合各自发现的问题进行“讨论”,在统筹的角度对收集到的情况进行判断和决策。这是安全设备具有真正智能的第一步,也是安全技术和安全产品获得重大变革的标志。
(2)更加分离。除了更加整合之外,UTM会同时呈现出分布式的面貌。这两者并不矛盾,目前我们已经实现了具有UTM意义的安全设备,而且我们可以通过统一的架构和接口管理多个UTM安全设备。在未来,安全功能的整合将并不仅仅实现在物理设备当中,而是以一个更加广阔、更加抽象的形式进行管理。高度分布式的安全功能模块可以灵活的以任何形式被部署到任何节点,而所有的安全模块仍能够被统一的管理。整个安全体系就象是一部UTM设备,实现整个网络的融合式的安全管理。
(3)更加标准。无规矩不成方圆,美好愿景的实现必须通过规则进行保障。多年来IT领域的标准化为整个信息产业的发展做出了重要贡献,UTM领域同样会从中受益。无论是平台架构方面的标准还是规则语言方面的标准,都将是UTM 向前发展的必要动力。这些标准能够提高整个领域的效率,更多的资源可以被投入到具有创新价值的工作中去。
(4)更加UTM。UTM安全产品仅仅是一个开端,是冰山的一角。真正的UTM 概念还远没有被实现,而其概念自身也在不断发展。除了每个厂商提供具有整合功能的产品之外,如何整合各个厂商的产品仍然是没有解决的问题。单就功能整合来说也是如此,我们不能奢望所有最先进的技术和最优秀的功能都由一个厂商提供。所以,伴随着技术功能上的整合,厂商以及各方面力量的合作与整合将形成意义更加广泛的“UTM”。
可见,UTM的下一步发展是突破“Middle-box”的角色,融合到网络架构之中,甚至是自成一套网络,向用户提供便捷、快速、高效、可靠、与“云计算”的“Application as aservice”类似的安全服务。
关于安全服务融合到网络之中的现有研究成果主要有三个方向:分布式防火墙(distributed firewall)、以委托为导向的架构(DOA,Delegation-OrientedArchitecture)、端节点-中间节点-端节点架构(EMEA,End-Middle-End Architecture)。
分布式防火墙是指,在主机的网络接口卡(NIC,Network Interface Card) 上增加硬件资源,使得NIC能够进行简单的存储和运算,从而成为简单的硬件防火墙,他们执行中心服务器分发下来的安全策略。NIC上的硬件防火墙是独立与主机的操作系统的,能够保证硬件防火墙不受主机的影响,即恶意的用户不能禁用此硬件防火墙。NIC上的硬件防火墙只受中央服务器控制,从而保证安全策略能得到有效执行。
DOA认为应该修改Internet的架构来适应网络中的Middle-box。在DOA中,每一个节点都具有一个全局唯一的、扁平结构的、与拓扑无关的、具有密码学含义的标识符,称为EID。例如,可以将节点的公钥作为其EID。EID是节点在应用层的标识,EID可以映射为IP地址,也可以映射为其他EID组成的序列。前者将数据包直接送到对应IP地址的主机;后者将数据包按顺序发往EID序列中的每个主机,其思想与松散源路由类似。EID的解析通过DHT实现,也可以通过类似DNS的架构来实现。节点可以通过控制自身EID的映射条目来指定委托节点。下面举例说明DOA下的通信过程。节点A需要与节点B进行通信,会查询目标节点B的EID映射条目。若节点B的EID映射为序列EID_C--IP_A,则节点B会继续查询EID_C的映射条目,假定EID_C映射IP_C,则为数据包将首先发送给IP_C,然后C将数据包发送给IP_A。当数据包经过IP_C时,主机C会在数据包上进行数字签名,供节点B检查数据包是否经过EID_C,从而防止节点A绕开EID_C而直接将数据包发给IP_A。
EMEA认为数据流所经过的所有中间节点都有权力决定是否转发数据包,网络的管理节点掌握着网络通信的批准权。该架构引入了随路信令(on-path signaling)和旁路信令(off-path signaling),前者指信令传输路径与数据包传输路径相同,后者指信令传输路径与数据包传输路径无关。网络中的每个自治系统(AS)都部署了管理节点(Policy-box),节点进行通信前需要通过旁路信令向P-box进行申请。P-box根据自身的链路情况以及安全策略来决定是否让数据流通行。若通信的请求得到允许,则请求连接的主机会得到由P-box发放的令牌。数据流沿途经过的转发节点(on-path Middle-box)根据令牌来转发数据。数据链路建立之后,通信双方可以通过随路信令来维护数据流的链路。
从前述的安全管理策略可以看到,DOA和EMEA都是与路由耦合的。DOA通过节点EID映射策略来指定数据包的路由策略,通过指定数据包的路由策略来使得安全策略生效。EMEA甚至改变了Internet基于数据包的数据交换模式,变为基于虚链路的数据交换模式。虽然他们将安全检查分布到网络中,解决了流量瓶颈问题,但是安全策略与路由耦合的基本问题仍然存在,路由畸形等问题仍得不到解决。另外,两种架构都需要对Internet进行很大改动:DOA需要建立一套新的应用层命名架构和名字解析架构,传输层也需要进行改动,以适应在EID序列中IP地址的重新绑定;EMEA需要建立一套与数据网络平行的信令网络,而且将包交换模式变成虚链路交换模式,不符合Internet的设计思想,并且使得网络的管理变得异常复杂。
分布式防火墙是将安全策略与路由策略解耦,但是NIC的处理能力有限,无法完成高级的安全防护功能。而且,要求Internet上的主机都更换NIC,是不实际的。最后,局域网内的NIC都由一个中央管理节点来控制,此架构存在单点失效的可能性。
网络安全的最终目标是保护用户的安全,但这些架构都忽视了用户的主动性。虽然在DOA中,用户可以通过改变EID的映射条目来指定数据包所要经过的安全设备,但是这要求用户熟悉网络技术,而一般用户是无法满足此要求的。我们认为,一个好的安全架构需要考虑(take into consideration)用户的主动性,让用户对自身的安全负责。
用户对安全服务的需求有三个:第一是安全策略无法绕开,不存在绕开安全设备直达目的地的路径(non-bypass),这是用户安全的保证;第二是根据客户的需求来定制服务(customized),这使得在满足用户安全需求的前提下使得通信效率最大化;第三是对用户而言是轻量级的安全(light-weight),这指用户只需要执行简单的操作即可知道数据包是否安全,用户的运算能力应该用于他所专注的领域,而不是浪费在复杂困难的安全问题上,即安全服务需要转移到一个专门的服务机构。
由此可见,采用现有技术进行安全服务的部署与管理,无法同时满足用户对安全服务的需求,也无法使得网络的管理变得简便。因此,现有的安全服务部署与管理策略,不适用于未来的网络安全。
发明内容
本发明为克服上述现有技术所述的至少一种缺陷,提供一种与路由解耦的统一威胁管理系统,利用该技术可以使得网络提供与路由无关的安全服务,向用户提供非绕开(non-bypass)、按需定制(customized)、轻量级(light-weight) 的安全服务,并且,网络中安全服务的管理也非常便捷。
为解决上述技术问题,本发明的技术方案如下:
一种与路由解耦的统一威胁管理系统,用于部署网络中的安全管理设备,作为一种统一威胁管理安全服务部署在公共的Internet之上,用于保护内网的安全和服务器的安全;统一威胁管理安全服务系统是由分布式部署在Internet上的众多的安全设备组成;所述的统一威胁管理安全服务由众多安全设备和专有网络共同提供;所述的安全设备部署在网络中的任意地方,甚至部署在公共的 Internet之上;所述的安全设备之间通过高速专线或者安全隧道互连在一起,组成一个高速的专有或者虚拟专有网络;
统一威胁管理系统在用户层面包括安全设备的部署形式、安全服务的提供形式、用户显式指定安全服务以及用户对数据安全的验证四大方面的内容:
安全设备的部署形式:安全设备分布式的部署在Internet之中,每个安全设备只专注于提供一种安全服务;这样大大的降低了对安全设备性能的要求,而且网络中不会出现由安全设备造成的流量瓶颈。另外,由于流量相对集中,这些安全设备之间可以通过高速专线或者安全隧道互连在一起,组成一个高速的专有或者虚拟专有网络。这样不仅可以减少安全设备之间流量与Internet其他流量之间的相互干扰,而且可以优化Internet的流量分布,进一步降低数据包在网络中的传输时延。
安全服务的提供形式:用户通过服务的名字来对安全服务进行寻址;例如,使用“防病毒服务”可调用病毒检测安全设备,使用“防入侵服务”可调用入侵检测安全设备。安全服务提供商可以部署多台安全设备来实施某一种安全服务,攻击者可以对某一台安全设备发动拒绝服务(DoS)攻击,但无法对一项安全服务发动拒绝服务攻击,这大大的提高了网络安全设施的健壮性。
用户显式指定安全服务:指定数据包发往的哪一个统一威胁管理安全服务提供商,需要进行哪些安全检查;当节点A向节点B发起通信时,节点B会将安全需求显式的通知节点A,节点B所指定的安全需求中可以包含多项安全服务。节点A所发送的数据包逐一完成这些检查项目之后,才能被节点B所接收。通过按需(customized)的显式的指定安全服务,我们向网络安全引入了两点重要的改变。首先,用户被引入到网络安全之中。在目前的架构之中,网络安全是由网络来统一提供,网络管理员在网络边界处部署安全策略,用户不能参与到网络安全策略的制定和决策过程当中。其次,用户根据自身的要求来选择所需的安全服务,可实现通信效率最大化。不同的用户有不同的安全需求,同一用户在不同时间有不同的安全需求,同一用户同一时间所运行的不同应用程序有不同的安全需求,我们可以细粒度的为每一个程序每一次通信按需指定安全服务。在目前的架构中,UTM身后所有主机的所有数据包都要经过相同的安全检验。对于一些无关重要的流量,进行入侵检测、病毒检测、DDoS攻击检测等,不仅耗费巨大的运算资源,大大增加数据包的延时,而且影响其他通信的正常进行,增大网络流量瓶颈效应。
用户对数据安全的验证:用户接收数据包后,对数据包上的数字签名进行验证;若数据包上的数字签名完整和齐全,即,数字签名是由可信的安全服务提供商所签,且数字签名校验正确,则用户接收该数据包。否则,用户丢弃该数据包。此策略的执行点是用户端操作系统内核协议栈,是数据包经由网络传送到用户应用程序的必经步骤。所以在此架构中,不存在绕开安全策略而直接将数据包送给用户应用程序的途径。即,本架构是非绕开(non-bypass)的,能够彻底的保护用户的安全。网络拓扑的变化并不会影响安全策略的实施。另外,用户只需要验证数据包上的数字签名,不需要对数据包的内容进行复杂的安全检查,所以本架构不耗费用户端的运算功能,对用户端来说,是轻量级(light-weight)的。
本发明可以向用户提供非绕开(non-bypass)、按需定制(customized)、轻量级(light-weight)的安全服务,而且,安全服务的实施与路由无关。用户显式指定自身的安全服务提供商,数据包可经过任意的路径到安全服务提供商处盖章,再经过任意的路径到达目的地。网络拓扑发生变化、路由条目发生变化,都不会影响该安全架构的有效性。
统一威胁管理系统在服务提供商层面包括统一威胁管理安全服务提供商之间的服务调用、统一威胁管理安全服务提供商的身份验证以及统一威胁管理服务订制三大方面的内容:
统一威胁管理安全服务提供商之间的服务调用:统一威胁管理安全服务提供商的统一威胁管理专网中的安全设备为内网用户提供网络地址转换、防火墙、病毒查杀、入侵检测与防御、以及防止钓鱼网站和挂马网站等高级的、全面的安全服务。统一威胁管理安全服务提供商不需要亲自搭建每一项安全服务,可以调用其他统一威胁管理安全服务提供商所搭建的服务。统一威胁管理安全服务提供商通过调用多个其他提供商的安全服务,来组合成客户所订制的高级统一威胁管理服务,然后提供给用户。
统一威胁管理安全服务提供商的身份验证:统一威胁管理安全服务提供商用 CA证书来表明自己的身份,以及提供安全服务的能力。统一威胁管理安全服务提供商的“营业执照”,即身份证书,包括其提供安全服务的范围、执照的有效时间、统一威胁管理机构的公开密钥等,并且由一个全球皆知(well-known)的安全检验机构进行签名。该知名机构称为信任根,所有的计算机都具有信任根的公钥,可用于鉴定“营业执照”的真伪。统一威胁管理安全服务提供商之间相互调用服务前,需要协商安全服务参数,此时他们通过发送身份证书来建立信任关系。用户按照需要,向统一威胁管理安全服务提供商注册获取安全身份服务,由统一威胁管理安全服务提供商验证和保证用户身份的合法性;统一威胁管理安全服务提供商通过与用户建立TCP连接的方式,探测数据包来源地址的合法性。
统一威胁管理服务订制:用户向一个或多个统一威胁管理安全服务提供商购买安全服务,并为每一种应用指定一个默认的安全服务提供商。用户向统一威胁管理安全服务提供商购买的统一威胁管理服务可以包含多项具体的安全服务。当用户定制某项安全服务时,用户可以不指定安全服务提供商,即任意一个具有提供该项安全服务合法资质的安全服务提供商都符合要求;也可以指定安全服务所对应的服务提供商,例如,指定防病毒服务,且由赛门铁克提供。第一种情况下,统一威胁管理安全服务提供商将为用户选择各项安全服务的提供商,具体内容如“统一威胁管理安全服务提供商之间的服务调用”这点所述。第二种情况下,用户可以选择自己所信任的安全服务提供商,为其提供该项安全服务。该情况还适用于用户调用非公开的安全服务提供商的服务,非公开的安全服务提供商可以是临时搭建的,私有的。因为在该情况下,安全服务提供商的身份证书不需要经过全球信任根的签名。用户向统一威胁管理安全服务提供商订制服务时,需要将非公开的安全服务提供商的身份证书发给统一威胁管理安全服务提供商。
在一种优选的方案中,统一威胁管理系统保护内网安全的方法是,内网的出口路由器与统一威胁管理专网之间建立一条安全隧道,使得进出内网的数据包都必须经过统一威胁管理专网。
在一种优选的方案中,统一威胁管理系统保护服务器安全的方法是,用户根据服务器需求和提示,把数据包源路由到指定的统一威胁管理安全服务提供商,在数据包中显式地要求所需的安全服务;统一威胁管理安全服务提供商专网中的安全设备在检查数据包各项参数和内容之后,如果其符合安全要求,则对其进行数字签名,并按照其目的地发送到服务器;服务器在收到数据包后检查数据包上的数字签名;若数据包上的签名完整、齐全,则接收该数据包,否则丢弃该数据包。
在一种优选的方案中,所述的服务器按照自身的安全需求,提示用户获取安全验证:服务器首先向某一个统一威胁管理安全服务提供商订制所需的安全功能服务;当用户向服务器要求建立应用层会话时,服务器将其对身份验证、来源地址验证、代码安全验证、流量限制等安全功能需求告诉用户并指定一个统一威胁管理安全服务提供商。
在一种优选的方案中,所述的统一威胁管理安全服务系统用于云计算网络或者数据中心网络的安全,通过分布式的方法把云计算网络或者数据中心网络中大量计算机之间的流量的安全验证分散到网络各处。
在一种优选的方案中,流量的安全验证分散方法为把众多的统一威胁管理安全设备分布式地部署在云计算网络或者数据中心网络中的各处;该网络中的计算机根据通信对方的安全需求,把数据包源路由到统一威胁管理安全系统中的任一个安全设备,并在数据包中显式地要求所需的安全服务;统一威胁管理安全系统中的安全设备在检查数据包各项参数和内容之后,如果其符合安全要求,则对其进行数字签名,并按照其目的地发送到目的地计算机;目的地计算机在收到数据包后检查数据包上的数字签名;若数据包上的签名完整、齐全,则接收该数据包,否则丢弃该数据包。
与现有技术相比,本发明技术方案的有益效果是:一种与路由解耦的统一威胁管理系统,用于部署网络中的安全管理设备,作为一种统一威胁管理安全服务部署在公共的Internet之上,用于保护内网的安全和服务器的安全;体现了UTM 的发展方向:整合、分离、标准化、统一。第一,安全设备整合的形态从星形结构发展为网状结构,与网络结构相融合;第二,不同的统一威胁管理服务之间相互融合,服务之间可以相互调用,相互依赖,例如提供DDoS防护服务的统一威胁管理安全服务提供商可以调用其他的提供商所提供身份验证服务来识别用户是否合法;入侵检测服务可以通知身份验证服务修改某个恶意用户的权限等级;第三,本架构由很多高度分布式的安全功能模块所组成,他们分布式部署在网络之中,用户伸手可及,数据包就近传输,不存在流量瓶颈;第四,本架构是一个标准化的平台,具有一致的接口(信任关系和验证策略),添加与删除安全功能模块变得很简便;第五,不同的统一威胁管理安全服务提供商的产品都可以部署在该架构中,该架构有利于竞争与进步,也利于合作与整合。
附图说明
图1为本发明实施例1的网络拓扑示意图;
图2为本发明实施例1的不指定安全服务提供商的通信过程示意图;
图3为本发明实施例1的不指定安全服务提供商的情况下数据包格式示意图。
图4为本发明实施例1的指定安全服务提供商的情况下数据包格式示意图。
图5为本发明实施例1的数字签名的具体方法。
图6为本发明实施例1的安全服务提供商的营业执照格式。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
为了更好说明本实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;
对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
下面结合附图和实施例对本发明的技术方案做进一步的说明。
实施例1
如图1所示,UTM由多个提供不同服务的安全功能模块组成,安全功能模块分布式的部署在网络中的任意位置,不需要中心控制器。这些安全设备之间通过高速专线或者安全隧道互连在一起,组成一个高速的专有或者虚拟专有网络,这些安全设备和专有网络共同提供完备的统一威胁管理安全服务。
统一威胁管理安全服务提供商部署有多个安全功能模块,提供相同服务的安全功能模块的地位是相同的,每个安全功能模块执行一项安全检查。部分安全服务模块是公开、免费提供给用户使用的,部分安全服务模块是收费使用的。用户若想使用高级安全服务,需要向统一威胁管理安全服务提供商付费订制服务。统一威胁管理安全服务提供商之间可以相互调用服务,根据客户的安全需求,组合成统一威胁管理服务,然后提供给用户。
统一威胁管理安全服务提供商所安全功能模块向DNS(域名解析系统)注册其位置、所提供的服务、所属的统一威胁管理安全服务提供商等信息。用户可以向DNS查询到所有安全服务的列表,还可以查询出某项服务对应的安全功能模块的IP地址。此IP地址可以是单播(unicast)IP地址,也可以是任播(anycast) IP地址。前者适用于指定某个具体的安全服务模块来为用户服务,后者适用于就近选择安全服务模块来提供服务。
用户根据服务器需求和提示,把数据包源路由到指定的统一威胁管理安全服务提供商,在数据包中显式地要求所需的安全服务;统一威胁管理安全服务提供商专网中的安全设备在检查数据包各项参数和内容之后,如果其符合安全要求,则对其进行数字签名,并按照其目的地发送到服务器;服务器在收到数据包后检查数据包上的数字签名;若数据包上的签名完整、齐全,则接收该数据包,否则丢弃该数据包。
不同的安全服务(包括统一威胁管理安全服务提供商内部的不同服务,以及不同的统一威胁管理安全服务提供商所提供的服务)之间可以进行层次化的调用,若服务A调用服务B,则提供服务A的安全模块只需检查数据包是否有提供服务B的安全模块的数字签名。若有,说明数据包已经经过服务B的验证;若无,则可将数据包转发给提供服务B的安全模块,或直接丢弃数据包。
由图1可见,Server指定了统一威胁管理安全服务提供商UTMS_A作为其服务提供商,Client与Server通信时,需要将数据包发送给UTMS_A进行安全检查。统一威胁管理安全服务提供商UTMS_A提供两项安全服务,分别是Security Service A和Security ServiceB。其中,UTMS_A亲自部署了两台设备进行 Security Service B的检查,而对于SecurityService A,UTMS_A没有亲自部署设备,而是调用了统一威胁管理安全服务提供商UTMS_B所提供的服务。
假定Server向UTMS_A订制的统一威胁管理服务中包含有Security Service A和Security Service B。客户机访问服务器时,数据包需要经过安全服务A和安全服务B的检查。数据包经过安全服务A检查后,可以送到安全服务设备B1,也可以送到安全服务B2。图中标出了两条传输路径,两条路径都是可行的,可见UTM安全策略的实施与路由解耦。另外,统一威胁管理安全服务提供商可以根据业务量按需的增加或移除安全功能模块,或调用其他提供商的安全服务,具有很大的灵活性和扩展性。而这些变化都是对用户透明的,网络中安全模块的变化和网络拓扑的变化不会影响安全策略的执行。
在具体实施过程中中不指定安全服务提供商情况下,节点间通信过程如图2 示。节点Client需要和节点Server建立通信连接。第一步,Client向Server 发送建立连接请求包。该数据包类似于TCP连接的SYN包,只有请求建立连接的标志位,不包含数据内容。第二步,Server将通信过程中的安全需求告诉Client。此安全需求是用户根据应用程序来指定的,可以是预先指定,也可以是Server 收到建立连接请求包后,提示用户,让用户来选择此次通信过程所需的安全服务。第三步,Client针对Server所规定的安全需求,选择一个安全服务提供商的安全模块。Client选择的依据可以是链路带宽、安全服务提供商的资费等。然后, Client通过DNS查询到安全服务的地址,并请求安全功能模块为本次通信提供安全服务。第四步,Client所选定的安全服务提供商向Server发送身份证明数据包。该数据包包括此次连接的信息,以及自身的“营业执照”,后者用于证明其具有提供此类安全服务的资质。第五步,连接正式建立,通信开始。Client 所发送的数据包先送到安全功能模块,安全功能模块对数据包进行检验和数字签名,然后将数据包发送给Server。
在具体实施过程中中指定安全服务提供商情况下,节点间通信过程与上述过程类似。其区别是Client需要选择Server所指定的安全服务提供商,来对本次通信进行安全检查。此情况适用于Server端有特殊的安全需求,Server端与某个安全服务提供商事先协商(可通过On-line方式,也可通过Off-line方式) 安全服务的内容。此项安全服务是为Server定制的,所以此项服务可以是私有的,不需要在DNS上注册。安全服务提供商的IP地址和安全服务的名字由Server 显式地告诉Client,Client不需要在DNS上查询安全服务的地址。
在具体实施过程中中不指定安全服务提供商的情况下,数据包格式如图3所示。其中每个数据包都包含目的地址(destination)和源地址(source),其余内容如下。第一步,数据包不需包含数据内容。第二步,数据内容为Security Service字段,即Server指定的安全服务的名字,Client通过此名字向DNS查询安全服务对应的地址。第三步,数据包中包含通信信息字段,内容为本次通信双方的地址、通信类型、需要的安全服务类型等,该数据包由Client用其私钥签名,作为安全服务提供商的计费依据。第四步,数据包中包含通信信息字段和安全服务提供商的license字段。前者从第三步的数据包中获得,供Server标识连接;后者用于证明安全服务提供商的合法性,并将其公钥告知Server,以便之后验证数字签名。第五步是正常的通信过程,在数据部分后面有指令字段, Client通过指令字段告诉安全功能模块在安全检查之后该如何处理数据包,如发送给下一个安全检查模块、发送给目的地、发回源端等。安全功能模块抽取指令后,在此字段填入数字签名,然后按指令来处理数据包。
在具体实施过程中中指定安全服务提供商的情况下,数据包格式如图4所示。其数据包格式在第二步、第三步、第四步与不指定安全服务情况下有所不同。第二步中,Server需要将安全服务提供商的名字和安全服务的名字都填入 Security Service字段,并且对该数据包进行签名。第三步中,Client根据 Security Service字段找到相应的安全服务模块,并同时传送Server的签名,作为安全服务提供商的计费依据。第四步中,安全功能模块只需将通信信息发给 Server,不需要将其license发给Server。
上述所涉及的数字签名的具体方法如图5所示,节点采用某种Hash函数对数据包进行哈希运算,即产生消息摘要。Hash函数可以在数据包中写明,也可以是通信双方协商。然后,节点使用自身的私钥对消息摘要进行加密。加密后的消息摘要即可视为该节点对数据包的签名,附在数据包后面进行传输。当通信的另一方收到数据包后,提取出加密的消息摘要,使用加密者的公钥进行解密,获得解密后的消息摘要。同时,数据包接收方对数据包的数据部分采用相同的Hash 函数进行哈希运算,获得另一份消息摘要。若两份消息摘要是一致的,即表明签名有效,数据包未被修改。否则表明签名无效。
在具体实施过程中,安全服务提供商的营业执照格式如图6所示。营业执照包含以下内容:安全服务提供商的名字、安全服务提供商所提供的服务的名字、安全服务提供商的公钥、营业执照的有效期。UTM部署范围内的信任根对每个营业执照使用一个约定的Hash函数进行哈希运算,产生消息摘要,并使用自身的私钥对消息摘要进行加密。加密后的消息摘要附在营业执照后面,用于证明此营业执照的合法性。若UTM的部署范围是整个Internet,我们可以使用PKI(Public Key Infrastructure)来进行密钥的分发和管理。若UTM的部署范围是企业内部网,即可由企业内部建立密钥的分发和管理体系。对于后者,为简便起见,可以只建立线下(Off-line)的密钥体系,不建立在线(On-line)的密钥体系。
相同或相似的标号对应相同或相似的部件;
附图中描述位置关系的用语仅用于示例性说明,不能理解为对本专利的限制;
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。
Claims (4)
1.一种与路由解耦的统一威胁管理系统,用于部署网络中的安全管理设备,其特征在于,作为一种统一威胁管理安全服务部署在公共的Internet之上,用于保护内网的安全和服务器的安全;统一威胁管理安全服务系统是由分布式部署在Internet上的众多的安全设备组成;所述的统一威胁管理安全服务由众多安全设备和专有网络共同提供;所述的安全设备部署在网络中的任意地方;所述的安全设备之间通过高速专线或者安全隧道互连在一起,组成一个高速的专有或者虚拟专有网络;
统一威胁管理系统在用户层面包括安全设备的部署形式、安全服务的提供形式、用户显式指定安全服务以及用户对数据安全的验证四大方面的内容:
安全设备的部署形式:安全设备分布式的部署在Internet之中,每个安全设备只专注于提供一种安全服务;
安全服务的提供形式:用户通过服务的名字来对安全服务进行寻址;
用户显式指定安全服务:指定数据包发往的哪一个统一威胁管理安全服务提供商,需要进行哪些安全检查;
用户对数据安全的验证:用户接收数据包后,对数据包上的数字签名进行验证;
统一威胁管理系统在服务提供商层面包括统一威胁管理安全服务提供商之间的服务调用、统一威胁管理安全服务提供商的身份验证以及统一威胁管理服务订制三大方面的内容:
统一威胁管理安全服务提供商之间的服务调用:统一威胁管理安全服务提供商的统一威胁管理专网中的安全设备为内网用户提供全面的安全服务;
统一威胁管理安全服务提供商的身份验证:统一威胁管理安全服务提供商用CA证书来表明自己的身份;
统一威胁管理服务订制:用户向一个或多个统一威胁管理安全服务提供商购买安全服务,并为每一种应用指定一个默认的安全服务提供商;
内网的出口路由器与统一威胁管理专网之间建立一条安全隧道,使得进出内网的数据包都必须经过统一威胁管理专网;
用户根据服务器需求和提示,把数据包源路由到指定的统一威胁管理安全服务提供商,在数据包中显式地要求所需的安全服务;统一威胁管理安全服务提供商专网中的安全设备在检查数据包各项参数和内容之后,如果其符合安全要求,则对其进行数字签名,并按照其目的地发送到服务器;服务器在收到数据包后检查数据包上的数字签名;若数据包上的签名完整、齐全,则接收该数据包,否则丢弃该数据包。
2.根据权利要求1所述的与路由解耦的统一威胁管理系统,其特征在于,所述的服务器按照自身的安全需求,提示用户获取安全验证:服务器首先向某一个统一威胁管理安全服务提供商订制所需的安全功能服务;当用户向服务器要求建立应用层会话时,服务器将其对身份验证、来源地址验证、代码安全验证、流量限制等安全功能需求告诉用户并指定一个统一威胁管理安全服务提供商。
3.根据权利要求1所述的与路由解耦的统一威胁管理系统,其特征在于,所述的统一威胁管理安全服务系统用于云计算网络或者数据中心网络的安全,通过分布式的方法把云计算网络或者数据中心网络中大量计算机之间的流量的安全验证分散到网络各处。
4.根据权利要求3所述的与路由解耦的统一威胁管理系统,其特征在于,流量的安全验证分散方法为把众多的统一威胁管理安全设备分布式地部署在云计算网络或者数据中心网络中的各处;该网络中的计算机根据通信对方的安全需求,把数据包源路由到统一威胁管理安全系统中的任一个安全设备,并在数据包中显式地要求所需的安全服务;统一威胁管理安全系统中的安全设备在检查数据包各项参数和内容之后,如果其符合安全要求,则对其进行数字签名,并按照其目的地发送到目的地计算机;目的地计算机在收到数据包后检查数据包上的数字签名;若数据包上的签名完整、齐全,则接收该数据包,否则丢弃该数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810345268.7A CN108683496B (zh) | 2018-04-17 | 2018-04-17 | 一种与路由解耦的统一威胁管理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810345268.7A CN108683496B (zh) | 2018-04-17 | 2018-04-17 | 一种与路由解耦的统一威胁管理系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108683496A CN108683496A (zh) | 2018-10-19 |
| CN108683496B true CN108683496B (zh) | 2020-10-20 |
Family
ID=63799924
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810345268.7A Active CN108683496B (zh) | 2018-04-17 | 2018-04-17 | 一种与路由解耦的统一威胁管理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108683496B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101938459A (zh) * | 2010-06-22 | 2011-01-05 | 北京豪讯美通科技有限公司 | 全程全网安全协同防御系统 |
| CN103749002B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 用于内部网络安全监控的信息获取通用系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080091681A1 (en) * | 2006-10-12 | 2008-04-17 | Saket Dwivedi | Architecture for unified threat management |
| US8607347B2 (en) * | 2008-09-29 | 2013-12-10 | Sophos Limited | Network stream scanning facility |
-
2018
- 2018-04-17 CN CN201810345268.7A patent/CN108683496B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103749002B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 用于内部网络安全监控的信息获取通用系统 |
| CN101938459A (zh) * | 2010-06-22 | 2011-01-05 | 北京豪讯美通科技有限公司 | 全程全网安全协同防御系统 |
Non-Patent Citations (1)
| Title |
|---|
| "一种面向SDN网络的云安全技术方案研究和实现";罗原;《电信工程技术与标准化》;20170715;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108683496A (zh) | 2018-10-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ferrazani Mattos et al. | AuthFlow: authentication and access control mechanism for software defined networking | |
| EP3494682B1 (en) | Security-on-demand architecture | |
| US7376134B2 (en) | Privileged network routing | |
| US8825889B2 (en) | Network traffic rate limiting system and method | |
| US9356909B2 (en) | System and method for redirected firewall discovery in a network environment | |
| US8146145B2 (en) | Method and apparatus for enabling enhanced control of traffic propagation through a network firewall | |
| US8800024B2 (en) | System and method for host-initiated firewall discovery in a network environment | |
| US9015484B2 (en) | Symmetric key distribution framework for the Internet | |
| US7536715B2 (en) | Distributed firewall system and method | |
| US6345299B2 (en) | Distributed security system for a communication network | |
| US7792990B2 (en) | Remote client remediation | |
| He et al. | Securing software defined wireless networks | |
| Almaini et al. | Lightweight edge authentication for software defined networks | |
| Hamad et al. | A communication framework for distributed access control in microkernel-based systems | |
| CN114884647B (zh) | 网络访问管理方法及相关设备 | |
| Griffioen et al. | VIP Lanes: High-speed custom communication paths for authorized flows | |
| CN108683496B (zh) | 一种与路由解耦的统一威胁管理系统 | |
| CN115065548A (zh) | 一种增强型网络安全接入区数据管控系统及方法 | |
| Scherrer et al. | Security, anonymity, privacy, and trust | |
| Ibrahim et al. | SDN Multi-Domain Supervisory Controller with Enhanced Computational Security Count | |
| Bossardt et al. | Enhanced Internet security by a distributed traffic control service based on traffic ownership | |
| WO2001091418A2 (en) | Distributed firewall system and method | |
| Gao et al. | An access control architecture for programmable routers | |
| Kaur | Cross-layer design in software defined networks (SDNs): issues and possible solutions | |
| EP1976219A1 (en) | Secure network architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |