CN1298141C - 实现安全交换网络数据的方法 - Google Patents
实现安全交换网络数据的方法 Download PDFInfo
- Publication number
- CN1298141C CN1298141C CNB200410009105XA CN200410009105A CN1298141C CN 1298141 C CN1298141 C CN 1298141C CN B200410009105X A CNB200410009105X A CN B200410009105XA CN 200410009105 A CN200410009105 A CN 200410009105A CN 1298141 C CN1298141 C CN 1298141C
- Authority
- CN
- China
- Prior art keywords
- link
- data
- protocol
- dynamic
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种用于网络数据交换的安全平台,此安全平台由网络端口数据分析识别模块,安全策略处理模块,数据交换协议链路管理模块,系统控制管理接口模块构成,并根据高级应用协议的安全需要,增加相应高级应用协议内容安全交换服务,可达到对交换网络中各协议层数据进行特定安全处理操作,禁止及丢弃有害或威胁网络安全的数据,或直接交换,并把高级应用协议中的可疑数据传递到高级应用协议交换安全服务中进行安全处理,从而达到网络中的通讯数据的完整内容安全。
Description
技术领域
本发明属于计算机网络通信安全领域,尤其是一种实现安全交换网络数据的方法。
背景技术
随着电子计算机的普及和互联网络的急速发展,互联网中的各种安全问题日趋严重:各种网络非法攻击,系统入侵事件迅速增多;攻击程序、蠕虫等病毒大规模传播直接危害计算机系统及网络的安全;更有各种垃圾邮件及非法信息在网络中四处流窜,不但严重影响网络性能,还给计算机用户带来极大的不便等等。
目前,处理这些常见并且具有并发特点网络问题的公知方法分别是:
1、对于外部网络非法黑客攻击及入侵,采取修改有漏洞程序,不停的对软件系统进行更新换代,以弥补软件安全漏洞带来的系统危害;或采用防火墙,对外部网络进行一般的隔离,保障内部网络安全;还有采用入侵检测等系统,对当前网段中的类攻击行为进行记录,以便攻击发生时进行处理。
2、对于攻击程序,蠕虫等病毒在网络中攻击与传染,近期有一些反病毒厂商推出用于内外网的防毒墙,可以对已知可控的病毒程序及恶意代码进行清除处理,并通过反病毒库的升级在一定程序上保障网络的安全。
3、对于网络中的各种垃圾邮件及非法信息的流窜,仅有部分网络服务提供商的邮件服务有能力提供特定的网段邮件数据的拒绝,垃圾邮件过滤等能力。
以上处理方法能够在一定程度上解决所遇到的网络特定问题,但其在解决网络整体安全方面还存在着非常大的不足:
1、现在的黑客攻击和入侵技术层出不穷,防火墙仅能处理在网络层及数据链路层的一般攻击及入侵,对于利于网络应用层漏洞、以及利用网络服务软件系统漏洞等问题束手无策,入侵检测系统能检测出各种攻击事件,但其具有被动防御及记录的特点,在攻击处理及即时防范等方面存在不足。近几年在互联网中不但增多的突破各种防火墙安全系统的攻击及入侵事件证明了这些方面存在的不足。
2、网络防毒墙对防止病毒及恶意代码具备一定作用,但由于其使用网络协议代理等机制,很难对如图2中所示的网络服务器组进行有效保护,而网络服务器组正是网络病毒及黑客程序传播的主要渠道。
3、部分网络服务提供商的邮件服务提供的反垃圾邮件及非法信息仅缓解了使用这些提供商邮件服务的安全问题,但互联网络中的更多的是各种公司及政府机构的邮件服务系统,适用于服务提供商的解决方案,对于这些机构由于开发、应用或维护成本过高而不适用,使得使用这些邮件服务的广大用户依然深受其害。
4、目前,网络安全威胁的80%以上直接或间接地由内部网络的攻击、病毒传播引发,防火墙及防毒墙都无法克服由此带来的问题,为网络系统安全留下很大隐患。
以上各种方式仅在一定程度上解决问题的某一方面,无法对网络系统的安全问题进行全面保障。
发明内容
本发明正是基于上述网络安全的综合问题,以及各种解决方法的不足之处,提出一种实现安全交换网络数据的方法,可以对网络中的各种协议族尤其是TCP/IP协议族数据进行安全监管、数据安全处理及内容过滤。
本发明的另一目的还在于,为网络通讯协议中的高级应用协议中数据内容的修改处理、过滤等提供支撑系统。
本发明所采用的技术方案是:
一种实现安全交换网络数据的方法,安全平台配置了网络端口数据分析识别模块、数据安全策略处理模块和系统控制管理接口模块,
网络端口数据分析识别模块进行以下操作:
a.对网络中收集的通信数据包进行协议识别,并判断其属于规定的类型,如是合法数据包,则提取基本的数据信息,包括源/目的地址信息,协议类型;
b.根据数据包所属协议类型,当是高级应用协议的数据包时,提取应用协议特定的数据信息,包括源/目的通讯端口;
c.把经过收集及识别后合法的数据包提交到数据安全策略处理模块进行处理;数据安全策略处理模块进行以下操作:
d.根据c步骤提取的数据包信息,检查动态链路表,如果有相应动态链路安全处理策略,则进入f步骤处理;
e.根据c操作提取的数据包信息,在静态安全策略表中查找相应的静态安全策略,若查找到与c操作所提取数据包相应的静态安全策略,则进入f步骤,否则跳过数据安全策略处理模块的处理;
f.根据查找到的安全策略对数据包进行安全策略基本处理的操作,包括:禁止并丢弃数据包、允许并路由数据包、重定位/动态伪装并重新路由数据包、系统缺省处理四种操作;
系统控制管理接口模块接收并解析外部系统的调用,根据数据参数缓冲区中的命令控管类型,实现对系统相应装置的控制及管理,实现其相应的处理。
数据安全策略处理模块还进行以下操作:
h.根据静态安全策略的选项要求,决定是否生成此数据包的动态链路安全策略,若决定生成,生成动态链路安全策略后对数据包进行f步骤处理,否则根据静态安全链路安全策略对数据包进行f步骤处理。
重定位/动态伪装并重新路由数据包,进行以下操作:
i.判断数据包的类型,修改协议端口,进行端口的重定位/动态伪装;
j.判断数据包的地址类型,修改地址,进行地址的重定位/动态伪装;
k.校验修改后的数据包;
l.判断地址信息是否改变,若改变地址信息,重新路由经修改的数据包,完成数据包的重定位/动态伪装。
安全平台还包括数据交换协议链路管理模块,进行以下操作:
m.根据不同的数据包协议、来源地址、目的地址,在与协议相对应的动态链路表中搜索,若找到相应的数据链路,进行o步骤操作,否则进行n步骤操作;
n.根据不同数据包协议,创建相应数据协议的动态数据链路,并进行o步骤操作,对于不合法的数据包不进行链路的维护;
o.进行相应协议类型的动态数据链路维护,包括修改通信状态、链路通信数据量统计和链路最后访问标记的操作。
静态安全策略由用户或系统控制管理接口模块调用生成;动态链路安全策略由静态安全策略生成或者根据系统控制管理接口模块调用生成。
系统控制管理接口模块的相应的处理,包括静态策略的控制管理处理:分为静态策略查询,静态策略删除和静态策略修改;所述的系统控制管理接口模块的相应的处理还包括:
(1)动态策略的控制管理处理,其包括:
p.动态策略查询:根据控管命令类型从参数缓冲区中提取出与命令相应的参数集的动态链路策略元素,查找动态安全策略表,找出相应的动态策略的集合,并填充到数据缓冲区;
q.动态策略删除:根据控管命令类型从参数缓冲区中提取出与命令相应的参数集的动态链路策略元素,查找动态安全策略表,找出相应的动态策略的集合,并删除;
r.动态策略修改:根据控管命令类型从参数缓冲区中提取出与命令相应的参数集的动态链路策略元素,查找动态安全策略表,找出相应的动态策略项,并根据控管提供的元素的集合,修改动态策略中的相应元素的集合;
(2)动态链路维护处理,其包括:
s.协议链路查询:根据控管命令类型从参数缓冲区中提取出与命令相应的参数集的协议链路元素,查找应用协议链路表,找出相应的链路项,并将链路项信息填充到数据缓冲区;
t.协议链路删除:根据控管命令类型从参数缓冲区中提取出与命令相应的参数集的协议链路元素,查找应用协议链路表,找出相应的链路项,删除此数据链路;
u.协议链路修改:根据控管命令类型从参数缓冲区中提取出与命令相应的参数集的协议链路元素,查找应用协议链路表,如未找出相应的链路项,则根据提供的链路元素创建链路,如已找到链路项,则修改协议链路中的相应元素的集合。
动态链路策略元素包括:协议类型、源地址、源协议端口、目的地址、目的协议端口、重定位/伪装地址和重定位/伪装协议端口;协议链路元素包括:协议类型、源地址、源端口、目的地址和目的端口。
本发明的有益效果在于:通过上述方案及其处理步骤,可达到对交换网络中各协议层数据进行特定安全处理操作,禁止及丢弃有害或威胁网络安全的数据,或直接交换,并把高级应用协议中的可疑数据传递到高级应用协议交换安全服务中进行安全处理,从而达到网络中的通讯数据的完整内容安全。
附图说明
下面结合附图,对本发明做出详细描述。
图1是本发明网络数据交换安全平台的在一般用户的内外网间的应用示意图;
图2是平台在网络服务器(组)网络前置的应用示意图;
图3是平台的基本组成结构及关系图;
图4是平台处理TCP/IP协议族安全的网络端口数据分析识别模块的示例性过程;
图5是平台处理TCP/IP协议族安全的数据安全策略处理模块的示例性过程;
图6是平台处理TCP/IP协议族安全的数据交换协议链路管理模块的示例性过程;
图7是平台处理TCP/IP协议族安全的数据重定位/伪装的示例性过程;
图8是平台处理TCP/IP协议族安全的系统控制管理接口模块的示例性过程。
具体实施方式
本发明在交换网络中通过建立数据交换的安全平台,监控及处理网络中的各种协议的数据。下面将以在类Linux系统上的TCP/IPv4协议族网络中实现的数据交换安全平台为例,说明本发明的实现原理及详细步骤。
图1、图2仅提供数据交换安全平台及其硬件系统的典型应用示意图,但其不仅仅局限于这二个应用示例,在图1中,数据交换安全平台运用于内外网之间,为内部网络提供安全服务,除提供了外部网络的安全隔离外,还可对内网各内部成员的相互访问权限进行控制,高级应用协议的内容过滤、数据处理等。
图中包括下面多个组成装置:
装置101:已运行本发明数据交换安全平台的网络服务器;
装置111:提供对外部网络访问的网关服务器;
装置134:台式PC机,通过网络协议访问上面二种服务器的本地或远程普通台式电脑;
装置135:内部工作站,表示通过网络协议访问上面二种服务器的本地或远程计算装置;
装置146:本地局域网内运行文件及打印服务的工作组服务器;
装置147:本地局域网内运行邮件及Web系统服务的网络组服务器;
装置148:本地局域网内运行数据库存储服务的部门级服务器。
在图2中,交换安全平台运用于服务器(组)前端,为服务器提供安全服务,并为应用服务器提供应用协议内容安全处理:为邮件服务器提供SMTP/POP3等邮件协议的邮件内容扫描、信息过滤、协议安全检测等,为Web服务器提供HTTP协议的数据内容检测、过滤处理、HTTP协议安全检测等服务。
除在图1中出现的装置外,其包括下面多个装置:
装置212:邮件服务器,提供POP3、SMTP等邮件协议服务的网络服务器;
装置213:Web服务器,提供HTTP协议服务的网络服务器;
装置234:台式PC机,通过网络协议访问上面二种服务器的本地或远程普通台式电脑;
装置235:内部工作站,表示通过网络协议访问上面二种服务器的本地或远程计算装置。
图3为基本组成结构及关系图,此安全平台由网络端口数据分析识别模块,安全策略处理处理模块,数据交换协议链路管理模块,系统控制管理接口模块构成,并根据高级应用协议的安全需要,增加相应高级应用协议内容安全交换服务,各主要组成装置关系见图3。下面以TCP/IP协议族的安全交换为例,下面描述各装置的基本实现原理及方式,在具体实施方式中介绍详细的实现细节:
1.网络端口数据分析识别模块装置即图3中301,其功能和完成动作如下:
1)对网络中收集的通信数据包进行协议识别,并判断其属于TCP/IP协议族中的类型,如是合法数据包则提取基本的IP协议上的数据信息,包括源/目的地址信息,协议类型等;
2)根据数据包所属TCP/IP协议类型,当是高级应用协议TCP/UDP的数据包时,提取应用协议特定的数据信息,包括源/目的通讯端口等;
3)把经过收集及识别后合法的数据包提交到安全策略处理处理模块进行进一步处理。
2.安全策略处理处理模块即图3中302,其功能和完成动作如下:
1)根据上面提取的数据包信息,检查动态链路表,如果有相应动态链路安全处理策略,则按相应的动态链路安全处理策略对数据包进行处理;
2)根据上面提取的数据包信息,检查静态安全策略,如果有相应的静态安全策略,则根据静态安全策略对数据包进行处理,并根据静态安全策略的要求,决定是否生成此数据包的动态链路及安全策略,以加快数据包的策略处理及适应其处理的特殊性要求;
3)当数据包需建立动态链路安全策略或其适合已建立的动态链路安全策略时,在处理此数据包前,把数据包提供给数据交换协议链路管理模块,以根据提取的数据包信息进行协议的动态链路状态维护;
4)安全策略基本处理操作包括禁止并丢弃数据包、允许并路由数据包、重定位/动态伪装并重新路由数据包、系统缺省处理四种操作,以完成数据包的安全检测,应用协议内容处理支持等功能。
3.数据交换协议链路管理模块即图3中303,其功能和完成动作如下:
1)根据数据包基本信息及协议类型,在与协议相对应的动态链路表中搜索,当没有相应的动态链路存在时,根据协议类型判断当前数据包是否创建动态链路;
2)当在动态链路表中发现存在与当前数据包相应的动态链路时,进行此协议的动态数据链路维护,其包括修改链路通信状态,链路通信数据量统计,链路最后访问标记等操作;
3)数据包查找到或建立了相应的动态数据链路项后,当其不属于合法的协议链路数据包,则禁止并丢弃此数据包。
4.系统控制管理接口模块即图3中304,其功能和完成动作如下:
1)接收外部系统调用,并解析系统调用中的数据参数缓冲区;
2)对数据参数缓冲区进行命令解析,找出命令控管类型及相对应于控制管理命令类型的参数集;
3)根据控制管理命令类型,把其相应参数集传递到系统相应装置的控制及管理实现支持进行处理;
4)把控制管理处理结果进行组合并填充到缓冲区中,并返回到控管调用者。
下面将以在类Linux系统上的TCP/IPv4协议族网络中实现的数据交换安全平台为例,说明本发明的实现原理及详细步骤。
数据识别分析
图4是数据报文的识别分析装置的实现流程,系统由步骤401网络数据端口接收到数据包后,根据当前所属的链路层报文格式,经步骤403取出当前报文类型,当前报文类型不属于IP栈数据包时,在判断405时失败,则此数据报不属于IP数据交换安全系统管理范围,经步骤407跳过数据包的处理,使用Linux的缺省系统处理方式进行处理。
当在判断405成功时,进入步骤409,获取数据包基本的IP信息,即完成下述详细工作:
1、获取报文及长度;
2、获取报文总长度及IP应用协议;
3、检验数据报文长度、校验数据合法性;
4、取出数据报文源地址与目的地址;
经过此步骤后,得到报文的IP协议基本数据信息,进入判断411进行传输层协议识别,当其是TCP/UDP数据协议报文时,进入高级应用协议的信息获取步骤:
1、检验数据报文长度、校验数据合法性;
2、获取高级协议使用源端口与目的端口;
3、如果是TCP协议,则提取TCP标志位信息,TCP数据报文的序列号及确认号;
至此,基本完成IP数据报文的协议分析及基本信息提取,进入图5,交换安全平台的主处理流程-网络数据的安全策略处理阶段。结合流程图5,描述此阶段处理的实现原理及步骤。
安全策略处理
本发明数据交换安全系统的策略由静态策略表和动态策略表两种组成,共同完成数据报文的处理。动态策略完成特定链路的数据报文的处理,这里指的链路在IP协议中由元素:源地址、目的地址、源端口、目的端口;在数据报文重定位情况下,还包括重定位地址、重定位端口构成;在数据报文伪装情况下,还包括伪装地址、伪装端口。
动态安全策略其由两个方面产生,一是由静态安全策略生成,用于辅助及标记跟踪特定链路的数据报文处理及审计;一种是由应用系统手动生成,一般在系统中被用于数据报文的伪装处理,是高级应用协议安全交换的基础。
静态安全策略表内容由用户或系统指定,完成一定链路范围的访问控制,类似于常见安全系统中的访问控制列表,不同的是其可以用于创建生成动态策略,以跟踪处理特定链路的数据报文。静态和动态安全策略表都可由第四部分交换安全平台的管理控制接口进行查询、删除、修改、创建等操作。
静态策略和动态策略的基本处理操作已经在发明内容中描述,不再重述。静态安全策略除基本处理操作外,还有辅助处理标志,以表明是否创建当前数据报文所属链路的动态安全策略项。
安全交换平台的静态策略表由静态策略表项数组组成,通过数组元素的创建、查询、修改完成静态策略表的维护。
步骤501从数据识别分析处理装置得到数据报文及提取的报文信息,通过步骤503查找相符的动态链路策略,经过判断505如果查找失败,则在查找静态安全策略。步骤508判断静态安全策略是否查找成功,当没有找到相符的静态策略,安全系统由步骤510跳过此数据报文的安全处理;当找到相符的静态策略时,判断512决定是否根据数据报文、找到的静态策略生成动态策略。
装置520表述数据报文的策略基本处理流程,其包括对经判断505找到的动态策略、经步骤514生成的动态策略,以及经判断512失败时传递的静态策略进行策略基本处理,下面表述基于“当前策略”来代表此三种策略情况之一。
判断512决定当前策略基本处理是否禁止并丢弃数据报文,是则经过步骤523,进行报文资源释放,并进入完成策略处理538。
判断526决定当前策略基本处理是否允许当前数据报文通行,是则经过步骤528,进行报文直接传递,并进入完成策略处理538。
判断531决定当前策略基本处理是否重定位或伪装数据报文,是则进入装置700,进行报文的重定位或伪装处理,完成后进入完成策略处理538。
如果在上述三个判断中都失败,则按安全平台缺省处理动作,丢弃、允许或放弃处理三种选择之一对数据报文进行处理。
步骤538完成对数据报文的安全策略处理,释放处理过程中使用的资源,并进入应用协议的动态链路维护。
协议链路管理
通过应用协议链路管理,可以对交换网络中存在的数据链路进行控制、审计及跟踪,以及为安全系统提供抗拒绝服务攻击等安全功能的支持。
图6描述协议链路管理装置的处理流程,步骤601从安全策略处理装置得到数据报文及提取的报文信息,步骤603中根据提取报文信息中链路元素为查找因素,对已有协议的数据链路进行搜索,在判断605失败时进入动态链路创建流程步骤608-步骤624。
判断608决定当前IP报文是否为TCP协议报文,如是进入步骤610,判断是否属于合法的TCP协议链路连接报文,对于TCP协议而言,基本合法性指是否含有连接发起标志SYN,当其为合法TCP链路连接报文时,进入高级应用协议链路创建步骤616,在分配的链路表项中保存TCP报文中的链路信息:协议类型[TCP]、TCP链路当前状态、TCP链路的序列号、确认号,源IP地址、目的IP地址,源端口,目的IP端口等。
在判断614中,决定是否创建UDP动态链路,当是UDP协议,则进入高级应用协议链路创建步骤616,在分配的动态链路表项中保存UDP报文中的链路信息:协议类型[UDP]、源IP地址、目的IP地址,源端口,目的IP端口等。当不是UDP协议时,则进入IP数据链路创建步骤619,在分配的链路表项中保存此IP报文的链路信息:协议类型[UDP]、源IP地址、目的IP地址等。
步骤624完成从步骤605查找成功、或从步骤616/619创建成功的数据链路的当前维护工作,包括更新链路项中的相关链路元素,时间信息,报文统计信息等:。
步骤626完成IP协议的链路链护,具体步骤如下:
如果是TCP报文,查看当前链路状态是否已经双向关闭或重置,如是则此链路可删除,以释放占用的链路资源;
根据系统配置遍历一定数目的已有链路,找出已经超时的链路,如果已经超时,则增加其超时次数,对于达到超时次数阀值的链路进行删除,以释放占用的链路资源;
图7详细描述IP报文的策略处理中重定位或伪装策略处理步骤,其为高级应用协议的安全交换提供核心支持。
步骤710继判断531获得数据报文及提取的报文信息,通过步骤703获取当前的IP报文协议类型后,进入判断705,如果判断成功即此IP报文是TCP/UDP数据包,则进入TCP/UDP数据报文的端口重定位或伪装处理步骤707,细节如下:
1、如果当前策略基本处理是报文伪装,则修改此TCP/UDP报文源端口成伪装端口;
2、如果当前策略基本处理是报文重定位,则修改此TCP/UDP报文目的端口成重定位端口;
如果判断705失败,则进入判断710,决定是否进行IP报文的地址重定位或伪装处理,如判断成功即需要进入步骤712,完成IP数据报文的地址重定位或伪装处理,步骤712其实现细节如下:
1、如果当前策略基本处理是报文伪装,则修改此IP报文源IP地址成伪装IP地址;
2、如果当前策略基本处理是报文重定位,则修改此IP报文目的IP地址成重定位地址;
步骤715进行经步骤707或步骤712的报文修改后的报文重校验,其实现细节如下:
1、如果当前报文是TCP/UDP协议报文,则对TCP/UDP协议的数据内容进行重新校验,并重置报文中TCP/UDP协议数据头的校验域;
2、对IP协议的数据内容进行重新校验,并重置IP报文头中的校验域;
完成步骤715后,判断717确定IP数据报文的源地址/目的地址是否已经被策略处理修改,如已经修改,即进入步骤719,完成对此IP数据报文的重新路由,以选择合适的发送网络适配器或网络端口进行发送。步骤726结束对数据包的重定位或伪装策略处理,释放相关策略处理过程中使用的资源。
系统控管接口
交换安全平台的控制及管理接口相对独立于其他系统装置,其实现依赖于前面三个装置中的相关控管支持,图8是控管接口的处理流程,在此实施方式中此部分依赖于Linux系统套接字的选项控制实现。
步骤801从外部控管调用接收控管数据,经过步骤803提取控管命令类型,并根据控管命令类型从参数缓冲区中提取出与命令相应的参数集,下面描述中提到‘根据提供的’即指与此命令的参数集中的参数。
通过判断805确定是否命令类型属于静态策略控管,当是时进入步骤807进行静态安全策略的控制管理处理,其包括:
1、静态策略查询:根据提供的参数[起始策略、查询总数],找出相应的静态策略项集,并填充到数据缓冲区;
2、静态策略删除:根据提供的参数[起始策略、删除总数],找出相应的静态策略项集,并删除;
3、静态策略修改:根据提供的参数[起始策略、修改总数],找出相应的静态策略项集,并修改为指定的静态策略项集合;
通过判断810确定是否命令类型属于动态策略控管,当是时进入步骤812进行动态安全策略的控制管理处理,其包括:
1、动态策略查询:根据提供的动态链路策略元素[IP协议类型、源IP地址、源协议端口、目的IP地址、目的协议端口、重定位或伪装IP地址、重定位或伪装协议端口],查找动态安全策略表,找出相应的动态策略项集,并填充到数据缓冲区;
2、动态策略删除:根据提供的动态链路策略元素,查找动态安全策略表,找出相应的动态策略项[集],并删除;
3、动态策略修改:根据提供的动态链路策略元素,查找动态安全策略表,找出相应的动态策略项,并根据控管提供的元素项[集],修改动态策略中的相应元素项[集]
通过判断814确定是否命令类型属于协议链路控管,当是时进入步骤816进行协议链路维护的控制管理处理,其包括:
1、协议链路查询:根据提供的协议链路元素[IP协议类型、源IP地址、源IP端口、目的IP地址、目的IP端口],查找应用协议链路表,找出相应的链路项,并将链路项信息填充到数据缓冲区;
2、协议链路删除:根据提供的协议链路元素,查找应用协议链路表,找出相应的链路项,删除此数据链路,此为手动删除方式,步骤626中进行的为自动链路删除方式;
3、协议链路修改:根据提供的协议链路元素,查找应用协议链路表,如未找出相应的链路项,则根据提供的链路元素创建链路,如已找到链路项,则修改协议链路中的相应元素项[集],此为手动创建或手动修改方式,步骤616和步骤619中进行的为自动链路创建或修改方式。
通过步骤820组合返回数据到输出缓冲区,通过步骤826完成控制管理调用。
上述实施方式基于TCP/IPv4协议族实现,同时适用于其他通讯协议族,包括IPv6通讯协议族。
Claims (9)
1.一种实现安全交换网络数据的方法,其步骤包括:
安全平台配置了网络端口数据分析识别模块、数据安全策略处理模块和系统控制管理接口模块,
网络端口数据分析识别模块进行以下操作:
a.对网络中收集的通信数据包进行协议识别,并判断其属于规定的类型,如是合法数据包,则提取基本的数据信息,包括源/目的地址信息,协议类型;
b.根据数据包所属协议类型,当是高级应用协议的数据包时,提取应用协议特定的数据信息,包括源/目的通讯端口;
c.把经过收集及识别后合法的数据包提交到数据安全策略处理模块进行处理;数据安全策略处理模块进行以下操作:
d.根据c步骤提取的数据包信息,检查动态链路表,如果有相应动态链路安全处理策略,则进入f步骤处理;
e.根据c操作提取的数据包信息,在静态安全策略表中查找相应的静态安全策略,若查找到与c操作所提取数据包相应的静态安全策略,则进入f步骤,否则跳过数据安全策略处理模块的处理;
f.根据查找到的安全策略对数据包进行安全策略基本处理的操作,包括:禁止并丢弃数据包、允许并路由数据包、重定位/动态伪装并重新路由数据包、系统缺省处理四种操作;
系统控制管理接口模块接收并解析外部系统的调用,根据数据参数缓冲区中的命令控管类型,实现对系统相应装置的控制及管理,实现其相应的处理。
2.根据权利要求1所述的实现安全交换网络数据的方法,其特征在于:数据安全策略处理模块还进行以下操作:
h.根据静态安全策略的选项要求,决定是否生成此数据包的动态链路安全策略,若决定生成,生成动态链路安全策略后对数据包进行f步骤处理,否则根据静态安全链路安全策略对数据包进行f步骤处理。
3.根据权利要求1或2所述的实现安全交换网络数据的方法,其特征在于:所述的重定位/动态伪装并重新路由数据包,进行以下操作:
i.判断数据包的类型,修改协议端口,进行端口的重定位/动态伪装;
j.判断数据包的地址类型,修改地址,进行地址的重定位/动态伪装;
k.校验修改后的数据包;
l.判断地址信息是否改变,若改变地址信息,重新路由经修改的数据包,完成数据包的重定位/动态伪装。
4.根据权利要求2所述的实现安全交换网络数据的方法,其特征在于:安全平台还包括数据交换协议链路管理模块,进行以下操作:
m.根据不同的数据包协议、来源地址、目的地址,在与协议相对应的动态链路表中搜索,若找到相应的数据链路,进行o步骤操作,否则进行n步骤操作;
n.根据不同数据包协议,创建相应数据协议的动态数据链路,并进行o步骤操作,对于不合法的数据包不进行链路的维护;
o.进行相应协议类型的动态数据链路维护,包括修改通信状态、链路通信数据量统计和链路最后访问标记的操作。
5.根据权利要求1或2所述的实现安全交换网络数据的方法,其特征在于:所述的静态安全策略由用户或系统控制管理接口模块调用生成。
6.根据权利要求2所述的实现安全交换网络数据的方法,其特征在于:所述的动态链路安全策略由静态安全策略生成或者根据系统控制管理接口模块调用生成。
7.根据权利要求1所述的实现安全交换网络数据的方法,系统控制管理接口模块的相应的处理,包括静态策略的控制管理处理:分为静态策略查询,静态策略删除和静态策略修改;其特征在于:所述的系统控制管理接口模块的相应的处理还包括:
(1)动态策略的控制管理处理,其包括:
p.动态策略查询:根据控管命令类型从参数缓冲区中提取出与命令相应的参数集的动态链路策略元素,查找动态安全策略表,找出相应的动态策略的集合,并填充到数据缓冲区;
q.动态策略删除:根据控管命令类型从参数缓冲区中提取出与命令相应的参数集的动态链路策略元素,查找动态安全策略表,找出相应的动态策略的集合,并删除;
r.动态策略修改:根据控管命令类型从参数缓冲区中提取出与命令相应的参数集的动态链路策略元素,查找动态安全策略表,找出相应的动态策略项,并根据控管提供的元素的集合,修改动态策略中的相应元素的集合;
(2)动态链路维护处理,其包括:
s.协议链路查询:根据控管命令类型从参数缓冲区中提取出与命令相应的参数集的协议链路元素,查找应用协议链路表,找出相应的链路项,并将链路项信息填充到数据缓冲区;
t.协议链路删除:根据控管命令类型从参数缓冲区中提取出与命令相应的参数集的协议链路元素,查找应用协议链路表,找出相应的链路项,删除此数据链路;
u.协议链路修改:根据控管命令类型从参数缓冲区中提取出与命令相应的参数集的协议链路元素,查找应用协议链路表,如未找出相应的链路项,则根据提供的链路元素创建链路,如已找到链路项,则修改协议链路中的相应元素的集合。
8.根据权利要求7所述的实现安全交换网络数据的方法,其特征在于:所述的动态链路策略元素包括:协议类型、源地址、源协议端口、目的地址、目的协议端口、重定位/伪装地址和重定位/伪装协议端口。
9.根据权利要求7所述的实现安全交换网络数据的方法,其特征在于:所述的协议链路元素包括:协议类型、源地址、源端口、目的地址和目的端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200410009105XA CN1298141C (zh) | 2004-05-20 | 2004-05-20 | 实现安全交换网络数据的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200410009105XA CN1298141C (zh) | 2004-05-20 | 2004-05-20 | 实现安全交换网络数据的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1581803A CN1581803A (zh) | 2005-02-16 |
| CN1298141C true CN1298141C (zh) | 2007-01-31 |
Family
ID=34581618
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB200410009105XA Expired - Fee Related CN1298141C (zh) | 2004-05-20 | 2004-05-20 | 实现安全交换网络数据的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1298141C (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1863193B (zh) * | 2005-05-10 | 2010-10-13 | 联想网御科技(北京)有限公司 | 实现网络安全装置安全策略的方法 |
| CN100456753C (zh) * | 2005-07-13 | 2009-01-28 | 华为技术有限公司 | 一种消息匹配的方法及系统 |
| US7647623B2 (en) * | 2005-10-17 | 2010-01-12 | Alcatel Lucent | Application layer ingress filtering |
| CN101388757B (zh) * | 2008-09-05 | 2011-02-09 | 北京锐安科技有限公司 | 一种网络保密传输方法及系统 |
| CN101741818B (zh) * | 2008-11-05 | 2013-01-02 | 南京理工大学 | 设置在网线的独立网络安全加密隔离方法 |
| CN101854342A (zh) * | 2009-03-31 | 2010-10-06 | 凹凸电子(武汉)有限公司 | 应用程序识别系统、装置以及识别网络应用程序的方法 |
| CN101714958B (zh) * | 2009-10-31 | 2011-11-30 | 福建伊时代信息科技股份有限公司 | 多功能综合安全网关系统 |
| TWI466500B (zh) * | 2010-02-03 | 2014-12-21 | Hon Hai Prec Ind Co Ltd | 封包轉發設備及其平衡負載的方法 |
| CN103095701B (zh) * | 2013-01-11 | 2016-04-13 | 中兴通讯股份有限公司 | 开放流表安全增强方法及装置 |
| CN104702584B (zh) * | 2013-12-10 | 2017-11-28 | 中国科学院沈阳自动化研究所 | 一种基于自学习规则的Modbus通信访问控制方法 |
| CN106470214B (zh) * | 2016-10-21 | 2020-03-06 | 杭州迪普科技股份有限公司 | 攻击检测方法和装置 |
| CN106454814A (zh) * | 2016-11-10 | 2017-02-22 | 中国科学院计算技术研究所 | 一种用于gtp隧道通信的系统与方法 |
| CN108574667B (zh) * | 2017-03-09 | 2021-01-15 | 华为技术有限公司 | 一种业务流的控制方法及装置 |
| CN111935070B (zh) * | 2020-06-18 | 2023-04-11 | 云南电网有限责任公司信息中心 | 一种基于自动编排的数据安全交换系统及方法 |
| CN113965386B (zh) * | 2021-10-25 | 2023-11-03 | 绿盟科技集团股份有限公司 | 工控协议报文处理方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1178951A (zh) * | 1997-07-23 | 1998-04-15 | 北京天融信技贸有限责任公司 | 专用分组过滤防火墙 |
| CN1275744A (zh) * | 2000-07-20 | 2000-12-06 | 成都久力信息技术有限公司 | 计算机应用层网络安全控管系统及其相关程序方法 |
| CN1404267A (zh) * | 2002-10-01 | 2003-03-19 | 华中科技大学 | 一种安全网络传输方法及其系统 |
| US20030065944A1 (en) * | 2001-09-28 | 2003-04-03 | Mao Yu Ming | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
-
2004
- 2004-05-20 CN CNB200410009105XA patent/CN1298141C/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1178951A (zh) * | 1997-07-23 | 1998-04-15 | 北京天融信技贸有限责任公司 | 专用分组过滤防火墙 |
| CN1275744A (zh) * | 2000-07-20 | 2000-12-06 | 成都久力信息技术有限公司 | 计算机应用层网络安全控管系统及其相关程序方法 |
| US20030065944A1 (en) * | 2001-09-28 | 2003-04-03 | Mao Yu Ming | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
| CN1404267A (zh) * | 2002-10-01 | 2003-03-19 | 华中科技大学 | 一种安全网络传输方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1581803A (zh) | 2005-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1298141C (zh) | 实现安全交换网络数据的方法 | |
| CN1295904C (zh) | 计算机安全和管理系统 | |
| CN101030977A (zh) | 用于防御非法通信的装置及其网络系统 | |
| CN1309214C (zh) | 基于协同入侵检测的大规模网络安全防御系统 | |
| CN1194309C (zh) | 服务器计算机保护的装置、方法和服务器计算机装置 | |
| CN101068253A (zh) | 通信架构、中间路由节点及其执行的方法 | |
| CN1968280A (zh) | 对非法头域进行检测和过滤的系统和方法 | |
| US7540025B2 (en) | Mitigating network attacks using automatic signature generation | |
| CN101040497A (zh) | 防火墙系统和防火墙控制方法 | |
| CN1885788A (zh) | 网络安全防护方法及系统 | |
| CN101030889A (zh) | 防范cc攻击的方法和设备 | |
| CN101039326A (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
| CN101052934A (zh) | 用于检测网络上未经授权的扫描的方法、系统和计算机程序 | |
| CN1612532A (zh) | 基于主机的网络入侵检测系统 | |
| CN1905555A (zh) | 基于ngn业务的防火墙控制系统及方法 | |
| CN1531284A (zh) | 网络基础结构的保护及控制信息的安全通信 | |
| CN1574840A (zh) | 对等名称解析电信协议及在此使用的消息格式数据结构 | |
| CN1855847A (zh) | 公共与专用网络服务管理系统和方法 | |
| CN1917426A (zh) | 端口扫描方法与设备及其检测方法与设备、端口扫描系统 | |
| CN1960246A (zh) | 过滤网络中终端与目的主机间传输的危害性数据的方法 | |
| CN1863211A (zh) | 内容过滤系统及其方法 | |
| CN1403952A (zh) | 一种以太网认证接入的方法 | |
| CN1859736A (zh) | 一种向移动终端提供安全服务的方法及系统 | |
| CN1859178A (zh) | 一种网络安全控制方法及系统 | |
| CN1801030A (zh) | 一种区分有害程序行为的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Assignee: Wuxi Zhongke Fangde Software Co.,Ltd. Assignor: Institute of Software, Chinese Academy of Sciences Contract record no.: 2010320000691 Denomination of invention: Safety platform for network data exchange Granted publication date: 20070131 License type: Exclusive License Open date: 20050216 Record date: 20100525 |
|
| EC01 | Cancellation of recordation of patent licensing contract |
Assignee: Wuxi Zhongke Fangde Software Co.,Ltd. Assignor: Institute of Software, Chinese Academy of Sciences Contract record no.: 2010320000691 Date of cancellation: 20101229 |
|
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070131 Termination date: 20130520 |