CN109309690A

CN109309690A - 一种基于报文认证码的软件白名单控制方法

Info

Publication number: CN109309690A
Application number: CN201811627029.7A
Authority: CN
Inventors: 王宝生; 王小峰; 王飞; 王楠; 郭佳朴; 罗艳; 刘宇靖
Original assignee: National University of Defense Technology
Current assignee: National University of Defense Technology
Priority date: 2018-12-28
Filing date: 2018-12-28
Publication date: 2019-02-05
Anticipated expiration: 2038-12-28
Also published as: CN109309690B

Abstract

本发明提出了一种基于报文认证码的软件白名单控制方法，是一种基于报文认证码实现网络对软件通信白名单控制方法，其核心思想是结合报文认证码、软件证书、软件白名单，终端白名单可信基判断报文是否需要携带认证码，通过网络上部署的认证码验证过滤设备，实现用户透明的网络对软件通信白名单控制，有效控制非授权软件和恶意软件通信。本发明弥补了当前软件通信控制机制容易被恶意软件旁路的缺陷，有效提升了通信控制系统的安全性能；本发明网内不影响软件网络通信；本发明有效控制恶意软件通信。

Description

一种基于报文认证码的软件白名单控制方法

技术领域

本发明涉及可信安全网络的基础通信领域，尤其涉及一种在网络上基于报文认证码的软件白名单控制方法。

背景技术

随着计算机网络的日益普及，各种新技术和设备的不断出现使得人们可以随时随地接入互联网，互联网给人们生活、工作、学习带来极大便利的同时，也使网络用户遭受着比以往更多的网络攻击和威胁。互联网创立时本着开放、共享的思想进行设计，基本没有考虑网络的安全问题，作为互联网通信核心的TCP/IP协议族主要考虑网络互联可靠性，尽最大能力来传输数据，通信过程中缺乏对信息源的认证以及对报文的加密和完整性保护机制，使得报文嗅探、篡改、仿冒、欺骗等网络攻击具有广阔的生存空间，互联网安全形势严峻。

现有软件通信控制机制，默认对所有软件开放网络通信，在防火墙以及访问控制策略的管控下，可依靠网络流特征码检测过滤恶意软件的通信流量。现有机制无法防御零日漏洞，需要终端安装控制软件，存在以下两方面的缺陷：控制策略需要合理设置，才能充分屏蔽恶意软件的流量，并且容易被恶意软件旁路；严格的控制策略可能导致正常软件流量被过滤，无法进行网络通信，对正常工作影响较大。

发明内容

针对目前不能有效检查、控制恶意软件通信的问题，本发明提出了一种基于报文认证码的软件通信白名单控制方法，是一种基于报文认证码实现网络对软件通信白名单控制方法，其核心思想是结合报文认证码、软件证书、软件白名单，终端白名单可信基判断报文是否需要携带认证码，通过网络上部署的认证码验证过滤设备，实现用户透明的网络对软件通信白名单控制，有效控制非授权软件和恶意软件通信。包括以下步骤：

1）为本域内的每台可信主机分发软件白名单、软件证书；

2）部署在客户端上的终端白名单可信基，解析软件白名单，生成白名单Hash表，并监视客户端进程启动信息，根据进程信息验证进程相关软件的真实性，度量软件文件资源完整性；在白名单Hash表中，删除未经过真实性验证和完整性度量的软件编号；

3）截获IP协议栈出口报文，白名单中软件发出的报文封装报文认证码；

4）认证码验证过滤设备，过滤掉未携带认证码或自认证码错误的网络通信报文；

作为本发明的进一步细化，所述步骤1）中：软件证书由软件认证中心发布，包含软件基本信息、文件资源MD5基准值和数字签名；软件白名单由认证授权服务器发布，管理者根据访问控制策略，按客户端权限预先配置软件白名单。

所述步骤2）的具体步骤如下：

2.1）客户端接收到认证授权报文，解析出软件白名单，将软件编号数据拷贝到内核空间生成白名单Hash表；

2.2）客户端部署的白名单可信基监视进程启动，获取进程的PID、占用端口号、可执行文件路径等信息，将进程映射到相关软件，验证软件证书的数字签名转入执行步骤2.3）；

2.3）客户端部署的终端可信度量软件资源完整性，计算软件文件资源的MD5值，与软件证书携带的基准库对比。在白名单Hash表中，删除未经过真实性验证和完整性度量的软件编号。

所述步骤3）中使用netfilter机制，截获IP协议栈出口的所有报文，检索白名单Hash表，如果发出该报文的软件编号，在白名单中，则将报文封装认证码，否则直接放行。

与现有技术相比，本发明的优点在于：

本发明提供一种终端不需过滤恶意流量的通信控制方法，弥补了当前软件通信控制机制容易被恶意软件旁路的缺陷，有效提升了通信控制系统的安全性能；

本发明网内不影响软件网络通信；

本发明有效控制恶意软件通信。

附图说明

构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。

图1是本发明实施例基于报文认证码的软件白名单控制通信方法实现流程示意图；

图2是本发明软件白名单发布流程示意图；

图3是本发明软件真实性验证和完整性度量示意图；

图4是本发明软件证书结构示意图。

具体实施方式

下面结合附图对本发明进行详细描述，本部分的描述仅是示范性和解释性，不应对本发明的保护范围有任何的限制作用。此外，本领域技术人员根据本文件的描述，可以对本文件中实施例中以及不同实施例中的特征进行相应组合。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例，例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本发明的目的在于设计一种基于报文认证码的软件白名单控制通信方法，基于报文认证码、软件白名单机制，充分控制恶意软件通信。

如图1-4所示，本实施例的基于报文认证码的软件白名单控制方法，包括以下步骤：

第一步：为本域内的每台可信主机分发软件白名单、软件证书；软件认证中心将软件证书和软件打包发布；

第二步：部署在客户端上的终端白名单可信基，解析软件白名单，生成白名单Hash表，并监视客户端进程启动信息，根据进程信息验证进程相关软件的真实性，度量软件文件资源完整性；在白名单Hash表中，删除未经过真实性验证和完整性度量的软件编号；

第三步：截获IP协议栈出口报文，白名单中软件发出的报文封装报文认证码；

第四步：认证码验证过滤设备，过滤掉未携带认证码或自认证码错误的网络通信报文。

认证授权服务器为客户端分发软件白名单，如图1所示，认证授权服务器负责接收网络终端服务注册请求指，根据网络终端所在用户组的权限检索管理员预先配置服务白名单数据库，并将软件服务白名单通过认证授权协议下发到网络终端。

客户端解析认证授权报文，获取软件白名单，并将用户层空间数据软件服务白名单拷贝的到内核空间。

作为优选地：

第一步中：软件证书由软件认证中心发布，包含软件基本信息、文件资源MD5基准值和数字签名；软件白名单由认证授权服务器发布，管理者根据访问控制策略，按客户端权限预先配置软件白名单。

作为优选地：

第二步包括以下步骤：

步骤2.1）客户端接收到认证授权报文，解析出软件白名单，将软件编号数据拷贝到内核空间生成白名单Hash表；

步骤2.2）客户端部署的白名单可信基监视进程启动，获取进程的PID、占用端口号、可执行文件路径信息，将进程映射到相关软件，验证软件证书的数字签名转入执行步骤2.3）；

步骤2.3）客户端部署的终端可信度量软件资源完整性，计算软件文件资源的MD5值，与软件证书携带的基准库对比；在白名单Hash表中，删除未经过真实性验证和完整性度量的软件编号。

作为优选地：

第三步中：使用netfilter机制，截获IP协议栈出口的所有报文，检索白名单Hash表，如果发出该报文的软件编号，在白名单中，则将报文封装认证码，否则直接放行。

客户端进程信息监视，监控所有fork系统调用，并过滤掉内核线程信息，再将监控结果组装，通过netlink通信接口发送到在用户层空间工作的软件真实性验证单元。

客户端软件真实性验证，验证软件证书的数字签名，如图4所示，并提取软件的基本信息核对，证书数字签名的验证是提取证书的附加验证信息，即签名信息，利用签名公钥解密，对证书有效数据信息进行哈希摘要运算，并和解密信息作比较，如果两者相同则证明该软件证书是合法的，如果两者不同则证明该软件证书是伪造的。

客户端软件完整性度量，软件完整性验证单元是对经过真实性验证的软件进一步检测，防止合法的软件服务被篡改，利用软件证书携带的文件基准MD5，鉴别被修改过的文件资源。

客户端报文认证码封装，接收软件完整性验证单元的验证结果，根据验证结果更新白名单Hash表，通过完整性验证则保留表项，未通过验证则删除表项；收到内核协议栈的数据报文后，从内存Hash表中查询软件服务白名单，如果发送该数据报文的应用层软件在白名单中，则将该报文封装报文认证码。否则不封装报文认证码。

部署在网络中的过滤设备过滤掉未携带认证码的报文。

以上所述仅是本发明的优选实施方式，本发明的保护范围并不仅局限于上述实施例，凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理前提下的若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

1.一种基于报文认证码的软件白名单控制方法，其特征在于包括以下步骤：

第一步：为本域内的每台可信主机分发软件白名单、软件证书；

2.根据权利要求1所述的基于报文认证码的软件白名单控制方法，其特征在于：

所述第一步中：软件证书由软件认证中心发布，包含软件基本信息、文件资源MD5基准值和数字签名；软件白名单由认证授权服务器发布，管理者根据访问控制策略，按客户端权限预先配置软件白名单。

3.根据权利要求1所述的基于报文认证码的软件白名单控制方法，其特征在于：

所述第二步包括以下步骤：

步骤2.1），客户端接收到认证授权报文，解析出软件白名单，将软件编号数据拷贝到内核空间生成白名单Hash表；

步骤2.2），客户端部署的白名单可信基监视进程启动，获取进程的PID、占用端口号、可执行文件路径信息，将进程映射到相关软件，验证软件证书的数字签名转入执行步骤2.3）；

步骤2.3），客户端部署的终端可信度量软件资源完整性，计算软件文件资源的MD5值，与软件证书携带的基准库对比;在白名单Hash表中，删除未经过真实性验证和完整性度量的软件编号。

4.根据权利要求1所述的基于报文认证码的软件白名单控制方法，其特征在于：

所述第三步中：使用netfilter机制，截获IP协议栈出口的所有报文，检索白名单Hash表，如果发出该报文的软件编号，在白名单中，则将报文封装认证码，否则直接放行。