專利名稱:用于網(wǎng)絡(luò)數(shù)據(jù)交換的安全平臺的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計算機網(wǎng)絡(luò)通信安全領(lǐng)域,尤其是一種用于數(shù)據(jù)交換網(wǎng)絡(luò)中數(shù)據(jù)內(nèi)容檢測及處理的安全平臺��。
背景技術(shù):
隨著電子計算機的普及和互聯(lián)網(wǎng)絡(luò)的急速發(fā)展�����,互聯(lián)網(wǎng)中的各種安全問題日趨嚴重各種網(wǎng)絡(luò)非法攻擊���,系統(tǒng)入侵事件迅速增多��;攻擊程序、蠕蟲等病毒大規(guī)模傳播直接危害計算機系統(tǒng)及網(wǎng)絡(luò)的安全�����;更有各種垃圾郵件及非法信息在網(wǎng)絡(luò)中四處流竄,不但嚴重影響網(wǎng)絡(luò)性能�����,還給計算機用戶帶來極大的不便等等���。
目前����,處理這些常見并且具有并發(fā)特點網(wǎng)絡(luò)問題的公知方法分別是1����、對于外部網(wǎng)絡(luò)非法黑客攻擊及入侵,采取修改有漏洞程序��,不停的對軟件系統(tǒng)進行更新?lián)Q代���,以彌補軟件安全漏洞帶來的系統(tǒng)危害����;或采用防火墻�����,對外部網(wǎng)絡(luò)進行一般的隔離,保障內(nèi)部網(wǎng)絡(luò)安全����;還有采用入侵檢測等系統(tǒng),對當前網(wǎng)段中的類攻擊行為進行記錄�����,以便攻擊發(fā)生時進行處理��。
2��、對于攻擊程序�,蠕蟲等病毒在網(wǎng)絡(luò)中攻擊與傳染,近期有一些反病毒廠商推出用于內(nèi)外網(wǎng)的防毒墻��,可以對已知可控的病毒程序及惡意代碼進行清除處理���,并通過反病毒庫的升級在一定程序上保障網(wǎng)絡(luò)的安全�。
3���、對于網(wǎng)絡(luò)中的各種垃圾郵件及非法信息的流竄�����,僅有部分網(wǎng)絡(luò)服務(wù)提供商的郵件服務(wù)有能力提供特定的網(wǎng)段郵件數(shù)據(jù)的拒絕���,垃圾郵件過濾等能力。
以上處理方法能夠在一定程度上解決所遇到的網(wǎng)絡(luò)特定問題����,但其在解決網(wǎng)絡(luò)整體安全方面還存在著非常大的不足1、現(xiàn)在的黑客攻擊和入侵技術(shù)層出不窮�����,防火墻僅能處理在網(wǎng)絡(luò)層及數(shù)據(jù)鏈路層的一般攻擊及入侵��,對于利于網(wǎng)絡(luò)應(yīng)用層漏洞�、以及利用網(wǎng)絡(luò)服務(wù)軟件系統(tǒng)漏洞等問題束手無策,入侵檢測系統(tǒng)能檢測出各種攻擊事件����,但其具有被動防御及記錄的特點,在攻擊處理及即時防范等方面存在不足��。近幾年在互聯(lián)網(wǎng)中不但增多的突破各種防火墻安全系統(tǒng)的攻擊及入侵事件證明了這些方面存在的不足�����。
2、網(wǎng)絡(luò)防毒墻對防止病毒及惡意代碼具備一定作用�����,但由于其使用網(wǎng)絡(luò)協(xié)議代理等機制��,很難對如圖2中所示的網(wǎng)絡(luò)服務(wù)器組進行有效保護���,而網(wǎng)絡(luò)服務(wù)器組正是網(wǎng)絡(luò)病毒及黑客程序傳播的主要渠道�。
3�����、部分網(wǎng)絡(luò)服務(wù)提供商的郵件服務(wù)提供的反垃圾郵件及非法信息僅緩解了使用這些提供商郵件服務(wù)的安全問題����,但互聯(lián)網(wǎng)絡(luò)中的更多的是各種公司及政府機構(gòu)的郵件服務(wù)系統(tǒng),適用于服務(wù)提供商的解決方案��,對于這些機構(gòu)由于開發(fā)���、應(yīng)用或維護成本過高而不適用��,使得使用這些郵件服務(wù)的廣大用戶依然深受其害�����。
4���、目前,網(wǎng)絡(luò)安全威脅的80%以上直接或間接地由內(nèi)部網(wǎng)絡(luò)的攻擊����、病毒傳播引發(fā),防火墻及防毒墻都無法克服由此帶來的問題�����,為網(wǎng)絡(luò)系統(tǒng)安全留下很大隱患����。
以上各種方式僅在一定程度上解決問題的某一方面,無法對網(wǎng)絡(luò)系統(tǒng)的安全問題進行全面保障����。
發(fā)明內(nèi)容
本發(fā)明正是基于上述網(wǎng)絡(luò)安全的綜合問題,以及各種解決方法的不足之處���,提出一種可運行于數(shù)據(jù)交換網(wǎng)絡(luò)中的全新數(shù)據(jù)交換安全支撐平臺����,可以對網(wǎng)絡(luò)中的各種協(xié)議族尤其是TCP/IP協(xié)議族數(shù)據(jù)進行安全監(jiān)管、數(shù)據(jù)安全處理及內(nèi)容過濾����。
本發(fā)明的另一目的還在于,為網(wǎng)絡(luò)通訊協(xié)議中的高級應(yīng)用協(xié)議中數(shù)據(jù)內(nèi)容的修改處理��、過濾等提供支撐系統(tǒng)平臺�。
本發(fā)明所采用的技術(shù)方案是一種用于網(wǎng)絡(luò)數(shù)據(jù)交換的安全平臺,安全平臺配置了網(wǎng)絡(luò)端口數(shù)據(jù)分析識別模塊并進行以下操作a.對網(wǎng)絡(luò)中收集的通信數(shù)據(jù)包進行協(xié)議識別�����,并判斷其屬于規(guī)定的類型��,如是合法數(shù)據(jù)包����,則提取基本的數(shù)據(jù)信息,包括源/目的地址信息����,協(xié)議類型����;b.根據(jù)數(shù)據(jù)包所屬協(xié)議類型���,當是高級應(yīng)用協(xié)議的數(shù)據(jù)包時����,提取應(yīng)用協(xié)議特定的數(shù)據(jù)信息��,包括源/目的通訊端口�;c.把經(jīng)過收集及識別后合法的數(shù)據(jù)包提交到下一模塊進行進一步的處理���;安全平臺還包括數(shù)據(jù)安全策略處理模塊和系統(tǒng)控制管理接口模塊�,(1)數(shù)據(jù)安全策略處理模塊進行以下操作d.根據(jù)c操作提取的數(shù)據(jù)包信息���,查找到靜態(tài)安全策略表中相應(yīng)的靜態(tài)安全策略��,否則跳過數(shù)據(jù)安全策略處理模塊的處理��;e.根據(jù)查找到的安全策略對數(shù)據(jù)包進行安全策略基本處理的操作����,包括禁止并丟棄數(shù)據(jù)包、允許并路由數(shù)據(jù)包�、重定位/動態(tài)偽裝并重新路由數(shù)據(jù)包、系統(tǒng)缺省處理四種操作�;
(2)系統(tǒng)控制管理接口模塊接收并解析外部系統(tǒng)的調(diào)用,根據(jù)數(shù)據(jù)參數(shù)緩沖區(qū)中的命令控管類型��,實現(xiàn)對系統(tǒng)相應(yīng)裝置的控制及管理����,實現(xiàn)其相應(yīng)的處理。
數(shù)據(jù)安全策略處理模塊還進行以下操作f.根據(jù)c步驟提取的數(shù)據(jù)包信息����,檢查動態(tài)鏈路表,如果有相應(yīng)動態(tài)鏈路安全處理策略�����,則對數(shù)據(jù)包進行e步驟處理�����;否則進入h步驟���;g.根據(jù)數(shù)據(jù)包信息����,檢查靜態(tài)鏈路安全策略,如果有相應(yīng)的靜態(tài)鏈路安全策略�����,則根據(jù)靜態(tài)鏈路安全策略對數(shù)據(jù)包進行h步驟處理�,否則跳過數(shù)據(jù)安全策略處理模塊的處理;h.根據(jù)靜態(tài)鏈路安全策略的選項要求���,決定是否生成此數(shù)據(jù)包的動態(tài)鏈路安全策略��,若決定生成���,生成動態(tài)鏈路安全策略后對數(shù)據(jù)包進行e步驟處理��,否則根據(jù)靜態(tài)安全鏈路安全策略對數(shù)據(jù)包進行e步驟處理���。
重定位/動態(tài)偽裝并重新路由數(shù)據(jù)包,進行以下操作i.判斷數(shù)據(jù)包的類型����,修改協(xié)議端口�����,進行端口的重定位/動態(tài)偽裝���;j.判斷數(shù)據(jù)包的地址類型,修改地址��,進行地址的重定位/動態(tài)偽裝�����;k.校驗修改后的數(shù)據(jù)包�;l.判斷地址信息是否改變,若改變地址信息�,重新路由經(jīng)修改的數(shù)據(jù)包,完成數(shù)據(jù)包的重定位/動態(tài)偽裝����。
安全平臺還包括數(shù)據(jù)交換協(xié)議鏈路管理模塊,進行以下操作m.根據(jù)不同的數(shù)據(jù)包協(xié)議���、來源地址�、目的地址,在與協(xié)議相對應(yīng)的動態(tài)鏈路表中搜索���,若找到相應(yīng)的數(shù)據(jù)鏈路��,進行o步驟操作����,否則進行n步驟操作���;n.根據(jù)不同數(shù)據(jù)包協(xié)議��,創(chuàng)建相應(yīng)數(shù)據(jù)協(xié)議的動態(tài)數(shù)據(jù)鏈路����,并進行o步驟操作�����,對于不合法的數(shù)據(jù)包不進行鏈路的維護���;o.進行相應(yīng)協(xié)議類型的動態(tài)數(shù)據(jù)鏈路維護,包括修改通信狀態(tài)�����、鏈路通信數(shù)據(jù)量統(tǒng)計和鏈路最后訪問標記的操作。
靜態(tài)鏈路安全策略由用戶或系統(tǒng)控制管理接口模塊調(diào)用生成�����;動態(tài)鏈路安全策略由靜態(tài)鏈路安全策略生成或者根據(jù)系統(tǒng)控制管理接口模塊調(diào)用生成���。
系統(tǒng)控制管理接口模塊的相應(yīng)的處理���,包括靜態(tài)策略的控制管理處理分為靜態(tài)策略查詢,靜態(tài)策略刪除和靜態(tài)策略修改�����;所述的系統(tǒng)控制管理接口模塊的相應(yīng)的處理還包括(1)動態(tài)策略的控制管理處理�����,其包括
p.動態(tài)策略查詢根據(jù)控管命令類型從參數(shù)緩沖區(qū)中提取出與命令相應(yīng)的參數(shù)集的動態(tài)鏈路策略元素����,查找動態(tài)安全策略表,找出相應(yīng)的動態(tài)策略的集合����,并填充到數(shù)據(jù)緩沖區(qū)�;q.動態(tài)策略刪除根據(jù)控管命令類型從參數(shù)緩沖區(qū)中提取出與命令相應(yīng)的參數(shù)集的動態(tài)鏈路策略元素���,查找動態(tài)安全策略表�����,找出相應(yīng)的動態(tài)策略的集合���,并刪除;r.動態(tài)策略修改根據(jù)控管命令類型從參數(shù)緩沖區(qū)中提取出與命令相應(yīng)的參數(shù)集的動態(tài)鏈路策略元素����,查找動態(tài)安全策略表,找出相應(yīng)的動態(tài)策略項����,并根據(jù)控管提供的元素的集合,修改動態(tài)策略中的相應(yīng)元素的集合��;(2)動態(tài)鏈路維護處理��,其包括s.協(xié)議鏈路查詢根據(jù)控管命令類型從參數(shù)緩沖區(qū)中提取出與命令相應(yīng)的參數(shù)集的協(xié)議鏈路元素��,查找應(yīng)用協(xié)議鏈路表��,找出相應(yīng)的鏈路項��,并將鏈路項信息填充到數(shù)據(jù)緩沖區(qū)��;t.協(xié)議鏈路刪除根據(jù)控管命令類型從參數(shù)緩沖區(qū)中提取出與命令相應(yīng)的參數(shù)集的協(xié)議鏈路元素�,查找應(yīng)用協(xié)議鏈路表,找出相應(yīng)的鏈路項���,刪除此數(shù)據(jù)鏈路�����;u.協(xié)議鏈路修改根據(jù)控管命令類型從參數(shù)緩沖區(qū)中提取出與命令相應(yīng)的參數(shù)集的協(xié)議鏈路元素�,查找應(yīng)用協(xié)議鏈路表��,如未找出相應(yīng)的鏈路項����,則根據(jù)提供的鏈路元素創(chuàng)建鏈路,如已找到鏈路項���,則修改協(xié)議鏈路中的相應(yīng)元素的集合��。
動態(tài)鏈路策略元素包括協(xié)議類型��、源地址��、源協(xié)議端口���、目的地址�����、目的協(xié)議端口����、重定位/偽裝地址和重定位/偽裝協(xié)議端口��;協(xié)議鏈路元素包括協(xié)議類型�、源地址、源端口�、目的地址和目的端口。
本發(fā)明的有益效果在于通過上述方案及其處理步驟����,可達到對交換網(wǎng)絡(luò)中各協(xié)議層數(shù)據(jù)進行特定安全處理操作,禁止及丟棄有害或威脅網(wǎng)絡(luò)安全的數(shù)據(jù),或直接交換��,并把高級應(yīng)用協(xié)議中的可疑數(shù)據(jù)傳遞到高級應(yīng)用協(xié)議交換安全服務(wù)中進行安全處理�,從而達到網(wǎng)絡(luò)中的通訊數(shù)據(jù)的完整內(nèi)容安全���。
下面結(jié)合附圖����,對本發(fā)明做出詳細描述�����。
圖1是本發(fā)明網(wǎng)絡(luò)數(shù)據(jù)交換安全平臺的在一般用戶的內(nèi)外網(wǎng)間的應(yīng)用示意圖�;圖2是平臺在網(wǎng)絡(luò)服務(wù)器(組)網(wǎng)絡(luò)前置的應(yīng)用示意圖;圖3是平臺的基本組成結(jié)構(gòu)及關(guān)系圖�����;
圖4是平臺處理TCP/IP協(xié)議族安全的網(wǎng)絡(luò)端口數(shù)據(jù)分析識別模塊的示例性過程����;圖5是平臺處理TCP/IP協(xié)議族安全的數(shù)據(jù)安全策略處理模塊的示例性過程;圖6是平臺處理TCP/IP協(xié)議族安全的數(shù)據(jù)交換協(xié)議鏈路管理模塊的示例性過程�����;圖7是平臺處理TCP/IP協(xié)議族安全的數(shù)據(jù)重定位/偽裝的示例性過程;圖8是平臺處理TCP/IP協(xié)議族安全的系統(tǒng)控制管理接口模塊的示例性過程���。
具體實施例方式
本發(fā)明在交換網(wǎng)絡(luò)中通過建立數(shù)據(jù)交換的安全平臺�,監(jiān)控及處理網(wǎng)絡(luò)中的各種協(xié)議的數(shù)據(jù)��。下面將以在類Linux系統(tǒng)上的TCP/IPv4協(xié)議族網(wǎng)絡(luò)中實現(xiàn)的數(shù)據(jù)交換安全平臺為例�,說明本發(fā)明的實現(xiàn)原理及詳細步驟。
圖1�����、圖2僅提供數(shù)據(jù)交換安全平臺及其硬件系統(tǒng)的典型應(yīng)用示意圖��,但其不僅僅局限于這二個應(yīng)用示例���,在圖1中�,數(shù)據(jù)交換安全平臺運用于內(nèi)外網(wǎng)之間���,為內(nèi)部網(wǎng)絡(luò)提供安全服務(wù)����,除提供了外部網(wǎng)絡(luò)的安全隔離外,還可對內(nèi)網(wǎng)各內(nèi)部成員的相互訪問權(quán)限進行控制�,高級應(yīng)用協(xié)議的內(nèi)容過濾、數(shù)據(jù)處理等�����。
圖中包括下面多個組成裝置裝置101已運行本發(fā)明數(shù)據(jù)交換安全平臺的網(wǎng)絡(luò)服務(wù)器��;裝置111提供對外部網(wǎng)絡(luò)訪問的網(wǎng)關(guān)服務(wù)器����;裝置134臺式PC機��,通過網(wǎng)絡(luò)協(xié)議訪問上面二種服務(wù)器的本地或遠程普通臺式電腦�;裝置135內(nèi)部工作站,表示通過網(wǎng)絡(luò)協(xié)議訪問上面二種服務(wù)器的本地或遠程計算裝置����;裝置146本地局域網(wǎng)內(nèi)運行文件及打印服務(wù)的工作組服務(wù)器;裝置147本地局域網(wǎng)內(nèi)運行郵件及Web系統(tǒng)服務(wù)的網(wǎng)絡(luò)組服務(wù)器���;裝置148本地局域網(wǎng)內(nèi)運行數(shù)據(jù)庫存儲服務(wù)的部門級服務(wù)器����。
在圖2中,交換安全平臺運用于服務(wù)器(組)前端��,為服務(wù)器提供安全服務(wù)�,并為應(yīng)用服務(wù)器提供應(yīng)用協(xié)議內(nèi)容安全處理為郵件服務(wù)器提供SMTP/POP3等郵件協(xié)議的郵件內(nèi)容掃描、信息過濾����、協(xié)議安全檢測等,為Web服務(wù)器提供HTTP協(xié)議的數(shù)據(jù)內(nèi)容檢測�����、過濾處理��、HTTP協(xié)議安全檢測等服務(wù)�。
除在圖1中出現(xiàn)的裝置外,其包括下面多個裝置裝置212郵件服務(wù)器�,提供POP3、SMTP等郵件協(xié)議服務(wù)的網(wǎng)絡(luò)服務(wù)器�;裝置213Web服務(wù)器,提供HTTP協(xié)議服務(wù)的網(wǎng)絡(luò)服務(wù)器����;裝置234臺式PC機,通過網(wǎng)絡(luò)協(xié)議訪問上面二種服務(wù)器的本地或遠程普通臺式電腦���;裝置235內(nèi)部工作站��,表示通過網(wǎng)絡(luò)協(xié)議訪問上面二種服務(wù)器的本地或遠程計算裝置�。
圖3為基本組成結(jié)構(gòu)及關(guān)系圖,此安全平臺由網(wǎng)絡(luò)端口數(shù)據(jù)分析識別模塊�,安全策略處理處理模塊,數(shù)據(jù)交換協(xié)議鏈路管理模塊���,系統(tǒng)控制管理接口模塊構(gòu)成��,并根據(jù)高級應(yīng)用協(xié)議的安全需要,增加相應(yīng)高級應(yīng)用協(xié)議內(nèi)容安全交換服務(wù)����,各主要組成裝置關(guān)系見圖3。下面以TCP/IP協(xié)議族的安全交換為例�����,下面描述各裝置的基本實現(xiàn)原理及方式�,在具體實施方式
中介紹詳細的實現(xiàn)細節(jié)1.網(wǎng)絡(luò)端口數(shù)據(jù)分析識別模塊裝置即圖3中301,其功能和完成動作如下1)對網(wǎng)絡(luò)中收集的通信數(shù)據(jù)包進行協(xié)議識別���,并判斷其屬于TCP/IP協(xié)議族中的類型���,如是合法數(shù)據(jù)包則提取基本的IP協(xié)議上的數(shù)據(jù)信息����,包括源/目的地址信息�����,協(xié)議類型等����;2)根據(jù)數(shù)據(jù)包所屬TCP/IP協(xié)議類型,當是高級應(yīng)用協(xié)議TCP/UDP的數(shù)據(jù)包時�,提取應(yīng)用協(xié)議特定的數(shù)據(jù)信息,包括源/目的通訊端口等���;3)把經(jīng)過收集及識別后合法的數(shù)據(jù)包提交到安全策略處理處理模塊進行進一步處理����。
2.安全策略處理處理模塊即圖3中302�,其功能和完成動作如下1)根據(jù)上面提取的數(shù)據(jù)包信息,檢查動態(tài)鏈路表��,如果有相應(yīng)動態(tài)鏈路安全處理策略�����,則按相應(yīng)的動態(tài)鏈路安全處理策略對數(shù)據(jù)包進行處理;2)根據(jù)上面提取的數(shù)據(jù)包信息�,檢查靜態(tài)安全策略,如果有相應(yīng)的靜態(tài)安全策略�,則根據(jù)靜態(tài)安全策略對數(shù)據(jù)包進行處理,并根據(jù)靜態(tài)安全策略的要求�����,決定是否生成此數(shù)據(jù)包的動態(tài)鏈路及安全策略�����,以加快數(shù)據(jù)包的策略處理及適應(yīng)其處理的特殊性要求���;3)當數(shù)據(jù)包需建立動態(tài)鏈路安全策略或其適合已建立的動態(tài)鏈路安全策略時,在處理此數(shù)據(jù)包前���,把數(shù)據(jù)包提供給數(shù)據(jù)交換協(xié)議鏈路管理模塊���,以根據(jù)提取的數(shù)據(jù)包信息進行協(xié)議的動態(tài)鏈路狀態(tài)維護;4)安全策略基本處理操作包括禁止并丟棄數(shù)據(jù)包�、允許并路由數(shù)據(jù)包����、重定位/動態(tài)偽裝并重新路由數(shù)據(jù)包�����、系統(tǒng)缺省處理四種操作���,以完成數(shù)據(jù)包的安全檢測���,應(yīng)用協(xié)議內(nèi)容處理支持等功能。
3.數(shù)據(jù)交換協(xié)議鏈路管理模塊即圖3中303�,其功能和完成動作如下1)根據(jù)數(shù)據(jù)包基本信息及協(xié)議類型,在與協(xié)議相對應(yīng)的動態(tài)鏈路表中搜索����,當沒有相應(yīng)的動態(tài)鏈路存在時,根據(jù)協(xié)議類型判斷當前數(shù)據(jù)包是否創(chuàng)建動態(tài)鏈路�����;2)當在動態(tài)鏈路表中發(fā)現(xiàn)存在與當前數(shù)據(jù)包相應(yīng)的動態(tài)鏈路時�����,進行此協(xié)議的動態(tài)數(shù)據(jù)鏈路維護,其包括修改鏈路通信狀態(tài)�����,鏈路通信數(shù)據(jù)量統(tǒng)計����,鏈路最后訪問標記等操作;
3)數(shù)據(jù)包查找到或建立了相應(yīng)的動態(tài)數(shù)據(jù)鏈路項后���,當其不屬于合法的協(xié)議鏈路數(shù)據(jù)包����,則禁止并丟棄此數(shù)據(jù)包�����。
4.系統(tǒng)控制管理接口模塊即圖3中304��,其功能和完成動作如下1)接收外部系統(tǒng)調(diào)用����,并解析系統(tǒng)調(diào)用中的數(shù)據(jù)參數(shù)緩沖區(qū)����;2)對數(shù)據(jù)參數(shù)緩沖區(qū)進行命令解析����,找出命令控管類型及相對應(yīng)于控制管理命令類型的參數(shù)集��;3)根據(jù)控制管理命令類型����,把其相應(yīng)參數(shù)集傳遞到系統(tǒng)相應(yīng)裝置的控制及管理實現(xiàn)支持進行處理;4)把控制管理處理結(jié)果進行組合并填充到緩沖區(qū)中����,并返回到控管調(diào)用者。
下面將以在類Linux系統(tǒng)上的TCP/IPv4協(xié)議族網(wǎng)絡(luò)中實現(xiàn)的數(shù)據(jù)交換安全平臺為例�,說明本發(fā)明的實現(xiàn)原理及詳細步驟。
數(shù)據(jù)識別分析圖4是數(shù)據(jù)報文的識別分析裝置的實現(xiàn)流程����,系統(tǒng)由步驟401網(wǎng)絡(luò)數(shù)據(jù)端口接收到數(shù)據(jù)包后,根據(jù)當前所屬的鏈路層報文格式�����,經(jīng)步驟403取出當前報文類型,當前報文類型不屬于IP棧數(shù)據(jù)包時�,在判斷405時失敗,則此數(shù)據(jù)報不屬于IP數(shù)據(jù)交換安全系統(tǒng)管理范圍�,經(jīng)步驟407跳過數(shù)據(jù)包的處理,使用Linux的缺省系統(tǒng)處理方式進行處理��。
當在判斷405成功時��,進入步驟409�����,獲取數(shù)據(jù)包基本的IP信息�,即完成下述詳細工作1、獲取報文及長度��;2��、獲取報文總長度及IP應(yīng)用協(xié)議����;3、檢驗數(shù)據(jù)報文長度�、校驗數(shù)據(jù)合法性;4��、取出數(shù)據(jù)報文源地址與目的地址��;經(jīng)過此步驟后���,得到報文的IP協(xié)議基本數(shù)據(jù)信息����,進入判斷411進行傳輸層協(xié)議識別���,當其是TCP/UDP數(shù)據(jù)協(xié)議報文時�,進入高級應(yīng)用協(xié)議的信息獲取步驟1����、檢驗數(shù)據(jù)報文長度、校驗數(shù)據(jù)合法性��;2����、獲取高級協(xié)議使用源端口與目的端口;3�、如果是TCP協(xié)議,則提取TCP標志位信息���,TCP數(shù)據(jù)報文的序列號及確認號�����;至此�,基本完成IP數(shù)據(jù)報文的協(xié)議分析及基本信息提取,進入圖5��,交換安全平臺的主處理流程-網(wǎng)絡(luò)數(shù)據(jù)的安全策略處理階段���。結(jié)合流程圖5��,描述此階段處理的實現(xiàn)原理及步驟�。
安全策略處理本發(fā)明數(shù)據(jù)交換安全系統(tǒng)的策略由靜態(tài)策略表和動態(tài)策略表兩種組成�,共同完成數(shù)據(jù)報文的處理。動態(tài)策略完成特定鏈路的數(shù)據(jù)報文的處理���,這里指的鏈路在IP協(xié)議中由元素源地址����、目的地址�、源端口、目的端口����;在數(shù)據(jù)報文重定位情況下����,還包括重定位地址�、重定位端口構(gòu)成�����;在數(shù)據(jù)報文偽裝情況下�����,還包括偽裝地址�、偽裝端口。
動態(tài)安全策略其由兩個方面產(chǎn)生�����,一是由靜態(tài)安全策略生成�,用于輔助及標記跟蹤特定鏈路的數(shù)據(jù)報文處理及審計;一種是由應(yīng)用系統(tǒng)手動生成����,一般在系統(tǒng)中被用于數(shù)據(jù)報文的偽裝處理����,是高級應(yīng)用協(xié)議安全交換的基礎(chǔ)��。
靜態(tài)安全策略表內(nèi)容由用戶或系統(tǒng)指定���,完成一定鏈路范圍的訪問控制��,類似于常見安全系統(tǒng)中的訪問控制列表�����,不同的是其可以用于創(chuàng)建生成動態(tài)策略�����,以跟蹤處理特定鏈路的數(shù)據(jù)報文�����。靜態(tài)和動態(tài)安全策略表都可由第四部分交換安全平臺的管理控制接口進行查詢�、刪除��、修改�、創(chuàng)建等操作�����。
靜態(tài)策略和動態(tài)策略的基本處理操作已經(jīng)在發(fā)明內(nèi)容中描述����,不再重述���。靜態(tài)安全策略除基本處理操作外,還有輔助處理標志�,以表明是否創(chuàng)建當前數(shù)據(jù)報文所屬鏈路的動態(tài)安全策略項。
安全交換平臺的靜態(tài)策略表由靜態(tài)策略表項數(shù)組組成��,通過數(shù)組元素的創(chuàng)建����、查詢、修改完成靜態(tài)策略表的維護��。
步驟501從數(shù)據(jù)識別分析處理裝置得到數(shù)據(jù)報文及提取的報文信息�,通過步驟503查找相符的動態(tài)鏈路策略,經(jīng)過判斷505如果查找失敗�,則在查找靜態(tài)安全策略。步驟508判斷靜態(tài)安全策略是否查找成功�,當沒有找到相符的靜態(tài)策略���,安全系統(tǒng)由步驟510跳過此數(shù)據(jù)報文的安全處理;當找到相符的靜態(tài)策略時���,判斷512決定是否根據(jù)數(shù)據(jù)報文�����、找到的靜態(tài)策略生成動態(tài)策略��。
裝置520表述數(shù)據(jù)報文的策略基本處理流程����,其包括對經(jīng)判斷505找到的動態(tài)策略���、經(jīng)步驟514生成的動態(tài)策略��,以及經(jīng)判斷512失敗時傳遞的靜態(tài)策略進行策略基本處理�����,下面表述基于“當前策略”來代表此三種策略情況之一�����。
判斷512決定當前策略基本處理是否禁止并丟棄數(shù)據(jù)報文��,是則經(jīng)過步驟523�����,進行報文資源釋放��,并進入完成策略處理538����。
判斷526決定當前策略基本處理是否允許當前數(shù)據(jù)報文通行���,是則經(jīng)過步驟528���,進行報文直接傳遞,并進入完成策略處理538�。
判斷531決定當前策略基本處理是否重定位或偽裝數(shù)據(jù)報文,是則進入裝置700����,進行報文的重定位或偽裝處理,完成后進入完成策略處理538��。
如果在上述三個判斷中都失敗,則按安全平臺缺省處理動作�,丟棄、允許或放棄處理三種選擇之一對數(shù)據(jù)報文進行處理���。
步驟538完成對數(shù)據(jù)報文的安全策略處理��,釋放處理過程中使用的資源���,并進入應(yīng)用協(xié)議的動態(tài)鏈路維護。
協(xié)議鏈路管理通過應(yīng)用協(xié)議鏈路管理����,可以對交換網(wǎng)絡(luò)中存在的數(shù)據(jù)鏈路進行控制、審計及跟蹤�����,以及為安全系統(tǒng)提供抗拒絕服務(wù)攻擊等安全功能的支持���。
圖6描述協(xié)議鏈路管理裝置的處理流程�����,步驟601從安全策略處理裝置得到數(shù)據(jù)報文及提取的報文信息�,步驟603中根據(jù)提取報文信息中鏈路元素為查找因素,對已有協(xié)議的數(shù)據(jù)鏈路進行搜索���,在判斷605失敗時進入動態(tài)鏈路創(chuàng)建流程步驟608-步驟624��。
判斷608決定當前IP報文是否為TCP協(xié)議報文�����,如是進入步驟610��,判斷是否屬于合法的TCP協(xié)議鏈路連接報文���,對于TCP協(xié)議而言,基本合法性指是否含有連接發(fā)起標志SYN����,當其為合法TCP鏈路連接報文時���,進入高級應(yīng)用協(xié)議鏈路創(chuàng)建步驟616�����,在分配的鏈路表項中保存TCP報文中的鏈路信息協(xié)議類型[TCP]�、TCP鏈路當前狀態(tài)、TCP鏈路的序列號����、確認號,源IP地址��、目的IP地址���,源端口���,目的IP端口等。
在判斷614中��,決定是否創(chuàng)建UDP動態(tài)鏈路��,當是UDP協(xié)議�,則進入高級應(yīng)用協(xié)議鏈路創(chuàng)建步驟616,在分配的動態(tài)鏈路表項中保存UDP報文中的鏈路信息協(xié)議類型[UDP]��、源IP地址����、目的IP地址���,源端口,目的IP端口等��。當不是UDP協(xié)議時��,則進入IP數(shù)據(jù)鏈路創(chuàng)建步驟619����,在分配的鏈路表項中保存此IP報文的鏈路信息協(xié)議類型[UDP]、源IP地址���、目的IP地址等��。
步驟624完成從步驟605查找成功��、或從步驟616/619創(chuàng)建成功的數(shù)據(jù)鏈路的當前維護工作��,包括更新鏈路項中的相關(guān)鏈路元素��,時間信息����,報文統(tǒng)計信息等�����。
步驟626完成IP協(xié)議的鏈路鏈護���,具體步驟如下如果是TCP報文�,查看當前鏈路狀態(tài)是否已經(jīng)雙向關(guān)閉或重置�����,如是則此鏈路可刪除��,以釋放占用的鏈路資源����;根據(jù)系統(tǒng)配置遍歷一定數(shù)目的已有鏈路,找出已經(jīng)超時的鏈路����,如果已經(jīng)超時,則增加其超時次數(shù)����,對于達到超時次數(shù)閥值的鏈路進行刪除,以釋放占用的鏈路資源����;圖7詳細描述IP報文的策略處理中重定位或偽裝策略處理步驟���,其為高級應(yīng)用協(xié)議的安全交換提供核心支持。
步驟710繼判斷531獲得數(shù)據(jù)報文及提取的報文信息�����,通過步驟703獲取當前的IP報文協(xié)議類型后����,進入判斷705,如果判斷成功即此IP報文是TCP/UDP數(shù)據(jù)包����,則進入TCP/UDP數(shù)據(jù)報文的端口重定位或偽裝處理步驟707,細節(jié)如下1��、如果當前策略基本處理是報文偽裝����,則修改此TCP/UDP報文源端口成偽裝端口;2��、如果當前策略基本處理是報文重定位����,則修改此TCP/UDP報文目的端口成重定位端口;如果判斷705失敗�����,則進入判斷710�,決定是否進行IP報文的地址重定位或偽裝處理,如判斷成功即需要進入步驟712��,完成IP數(shù)據(jù)報文的地址重定位或偽裝處理�����,步驟712其實現(xiàn)細節(jié)如下1�����、如果當前策略基本處理是報文偽裝���,則修改此IP報文源IP地址成偽裝IP地址�;2��、如果當前策略基本處理是報文重定位�,則修改此IP報文目的IP地址成重定位地址�����;步驟715進行經(jīng)步驟707或步驟712的報文修改后的報文重校驗��,其實現(xiàn)細節(jié)如下1����、如果當前報文是TCP/UDP協(xié)議報文���,則對TCP/UDP協(xié)議的數(shù)據(jù)內(nèi)容進行重新校驗�����,并重置報文中TCP/UDP協(xié)議數(shù)據(jù)頭的校驗域����;2�����、對IP協(xié)議的數(shù)據(jù)內(nèi)容進行重新校驗�,并重置IP報文頭中的校驗域;完成步驟715后,判斷717確定IP數(shù)據(jù)報文的源地址/目的地址是否已經(jīng)被策略處理修改�����,如已經(jīng)修改��,即進入步驟719��,完成對此IP數(shù)據(jù)報文的重新路由���,以選擇合適的發(fā)送網(wǎng)絡(luò)適配器或網(wǎng)絡(luò)端口進行發(fā)送。步驟726結(jié)束對數(shù)據(jù)包的重定位或偽裝策略處理��,釋放相關(guān)策略處理過程中使用的資源�����。
系統(tǒng)控管接口交換安全平臺的控制及管理接口相對獨立于其他系統(tǒng)裝置�,其實現(xiàn)依賴于前面三個裝置中的相關(guān)控管支持,圖8是控管接口的處理流程�����,在此實施方式中此部分依賴于Linux系統(tǒng)套接字的選項控制實現(xiàn)�����。
步驟801從外部控管調(diào)用接收控管數(shù)據(jù),經(jīng)過步驟803提取控管命令類型�,并根據(jù)控管命令類型從參數(shù)緩沖區(qū)中提取出與命令相應(yīng)的參數(shù)集,下面描述中提到‘根據(jù)提供的’即指與此命令的參數(shù)集中的參數(shù)�。
通過判斷805確定是否命令類型屬于靜態(tài)策略控管,當是時進入步驟807進行靜態(tài)安全策略的控制管理處理�����,其包括1�����、靜態(tài)策略查詢根據(jù)提供的參數(shù)[起始策略��、查詢總數(shù)]���,找出相應(yīng)的靜態(tài)策略項集,并填充到數(shù)據(jù)緩沖區(qū)���;2�����、靜態(tài)策略刪除根據(jù)提供的參數(shù)[起始策略�����、刪除總數(shù)]�����,找出相應(yīng)的靜態(tài)策略項集,并刪除����;3、靜態(tài)策略修改根據(jù)提供的參數(shù)[起始策略�����、修改總數(shù)],找出相應(yīng)的靜態(tài)策略項集,并修改為指定的靜態(tài)策略項集合�;通過判斷810確定是否命令類型屬于動態(tài)策略控管�,當是時進入步驟812進行動態(tài)安全策略的控制管理處理���,其包括1、動態(tài)策略查詢根據(jù)提供的動態(tài)鏈路策略元素[IP協(xié)議類型、源IP地址����、源協(xié)議端口����、目的IP地址、目的協(xié)議端口��、重定位或偽裝IP地址�、重定位或偽裝協(xié)議端口],查找動態(tài)安全策略表�,找出相應(yīng)的動態(tài)策略項集,并填充到數(shù)據(jù)緩沖區(qū);2、動態(tài)策略刪除根據(jù)提供的動態(tài)鏈路策略元素��,查找動態(tài)安全策略表,找出相應(yīng)的動態(tài)策略項[集]��,并刪除;3�、動態(tài)策略修改根據(jù)提供的動態(tài)鏈路策略元素,查找動態(tài)安全策略表���,找出相應(yīng)的動態(tài)策略項�,并根據(jù)控管提供的元素項[集],修改動態(tài)策略中的相應(yīng)元素項[集]通過判斷814確定是否命令類型屬于協(xié)議鏈路控管,當是時進入步驟816進行協(xié)議鏈路維護的控制管理處理����,其包括1、協(xié)議鏈路查詢根據(jù)提供的協(xié)議鏈路元素[IP協(xié)議類型�����、源IP地址、源IP端口��、目的IP地址��、目的IP端口]��,查找應(yīng)用協(xié)議鏈路表����,找出相應(yīng)的鏈路項����,并將鏈路項信息填充到數(shù)據(jù)緩沖區(qū);2、協(xié)議鏈路刪除根據(jù)提供的協(xié)議鏈路元素�����,查找應(yīng)用協(xié)議鏈路表�,找出相應(yīng)的鏈路項,刪除此數(shù)據(jù)鏈路�����,此為手動刪除方式��,步驟626中進行的為自動鏈路刪除方式��;3��、協(xié)議鏈路修改根據(jù)提供的協(xié)議鏈路元素�����,查找應(yīng)用協(xié)議鏈路表�,如未找出相應(yīng)的鏈路項,則根據(jù)提供的鏈路元素創(chuàng)建鏈路����,如已找到鏈路項,則修改協(xié)議鏈路中的相應(yīng)元素項[集],此為手動創(chuàng)建或手動修改方式����,步驟616和步驟619中進行的為自動鏈路創(chuàng)建或修改方式���。
通過步驟820組合返回數(shù)據(jù)到輸出緩沖區(qū)��,通過步驟826完成控制管理調(diào)用�����。
上述實施方式基于TCP/IPv4協(xié)議族實現(xiàn)��,同時適用于其他通訊協(xié)議族����,包括IPv6通訊協(xié)議族�。
權(quán)利要求
1.一種用于網(wǎng)絡(luò)數(shù)據(jù)交換的安全平臺,安全平臺配置了網(wǎng)絡(luò)端口數(shù)據(jù)分析識別模塊并進行以下操作a.對網(wǎng)絡(luò)中收集的通信數(shù)據(jù)包進行協(xié)議識別���,并判斷其屬于規(guī)定的類型��,如是合法數(shù)據(jù)包�,則提取基本的數(shù)據(jù)信息,包括源/目的地址信息�,協(xié)議類型;b.根據(jù)數(shù)據(jù)包所屬協(xié)議類型�����,當是高級應(yīng)用協(xié)議的數(shù)據(jù)包時�,提取應(yīng)用協(xié)議特定的數(shù)據(jù)信息,包括源/目的通訊端口��;c.把經(jīng)過收集及識別后合法的數(shù)據(jù)包提交到下一模塊進行進一步的處理�;其特征在于,安全平臺還包括數(shù)據(jù)安全策略處理模塊和系統(tǒng)控制管理接口模塊���,(1)數(shù)據(jù)安全策略處理模塊進行以下操作d.根據(jù)c操作提取的數(shù)據(jù)包信息�,查找到靜態(tài)安全策略表中相應(yīng)的靜態(tài)安全策略���,否則跳過數(shù)據(jù)安全策略處理模塊的處理�;e.根據(jù)查找到的安全策略對數(shù)據(jù)包進行安全策略基本處理的操作��,包括禁止并丟棄數(shù)據(jù)包��、允許并路由數(shù)據(jù)包�、重定位/動態(tài)偽裝并重新路由數(shù)據(jù)包���、系統(tǒng)缺省處理四種操作;(2)系統(tǒng)控制管理接口模塊接收并解析外部系統(tǒng)的調(diào)用���,根據(jù)數(shù)據(jù)參數(shù)緩沖區(qū)中的命令控管類型���,實現(xiàn)對系統(tǒng)相應(yīng)裝置的控制及管理����,實現(xiàn)其相應(yīng)的處理。
2.根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)數(shù)據(jù)交換的安全平臺���,其特征在于數(shù)據(jù)安全策略處理模塊還進行以下操作f.根據(jù)c步驟提取的數(shù)據(jù)包信息��,檢查動態(tài)鏈路表���,如果有相應(yīng)動態(tài)鏈路安全處理策略,則對數(shù)據(jù)包進行e步驟處理����;否則進入h步驟;g.根據(jù)數(shù)據(jù)包信息�,檢查靜態(tài)鏈路安全策略����,如果有相應(yīng)的靜態(tài)鏈路安全策略�����,則根據(jù)靜態(tài)鏈路安全策略對數(shù)據(jù)包進行h步驟處理���,否則跳過數(shù)據(jù)安全策略處理模塊的處理�;h.根據(jù)靜態(tài)鏈路安全策略的選項要求����,決定是否生成此數(shù)據(jù)包的動態(tài)鏈路安全策略,若決定生成����,生成動態(tài)鏈路安全策略后對數(shù)據(jù)包進行e步驟處理,否則根據(jù)靜態(tài)安全鏈路安全策略對數(shù)據(jù)包進行e步驟處理�����。
3.根據(jù)權(quán)利要求1或2所述的一種網(wǎng)絡(luò)數(shù)據(jù)交換的安全平臺��,其特征在于所述的重定位/動態(tài)偽裝并重新路由數(shù)據(jù)包����,進行以下操作i.判斷數(shù)據(jù)包的類型����,修改協(xié)議端口�,進行端口的重定位/動態(tài)偽裝;j.判斷數(shù)據(jù)包的地址類型���,修改地址��,進行地址的重定位/動態(tài)偽裝;k.校驗修改后的數(shù)據(jù)包���;l.判斷地址信息是否改變��,若改變地址信息�,重新路由經(jīng)修改的數(shù)據(jù)包�,完成數(shù)據(jù)包的重定位/動態(tài)偽裝。
4.根據(jù)權(quán)利要求2所述的一種網(wǎng)絡(luò)數(shù)據(jù)交換的安全平臺����,其特征在于安全平臺還包括數(shù)據(jù)交換協(xié)議鏈路管理模塊,進行以下操作m.根據(jù)不同的數(shù)據(jù)包協(xié)議�、來源地址���、目的地址,在與協(xié)議相對應(yīng)的動態(tài)鏈路表中搜索���,若找到相應(yīng)的數(shù)據(jù)鏈路����,進行o步驟操作��,否則進行n步驟操作�;n.根據(jù)不同數(shù)據(jù)包協(xié)議,創(chuàng)建相應(yīng)數(shù)據(jù)協(xié)議的動態(tài)數(shù)據(jù)鏈路�,并進行o步驟操作,對于不合法的數(shù)據(jù)包不進行鏈路的維護�����;o.進行相應(yīng)協(xié)議類型的動態(tài)數(shù)據(jù)鏈路維護�����,包括修改通信狀態(tài)���、鏈路通信數(shù)據(jù)量統(tǒng)計和鏈路最后訪問標記的操作����。
5.根據(jù)權(quán)利要求1或2所述的一種網(wǎng)絡(luò)數(shù)據(jù)交換的安全平臺,其特征在于所述的靜態(tài)鏈路安全策略由用戶或系統(tǒng)控制管理接口模塊調(diào)用生成��。
6.根據(jù)權(quán)利要求2所述的一種網(wǎng)絡(luò)數(shù)據(jù)交換的安全平臺����,其特征在于所述的動態(tài)鏈路安全策略由靜態(tài)鏈路安全策略生成或者根據(jù)系統(tǒng)控制管理接口模塊調(diào)用生成。
7.根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)數(shù)據(jù)交換的安全平臺�,系統(tǒng)控制管理接口模塊的相應(yīng)的處理,包括靜態(tài)策略的控制管理處理分為靜態(tài)策略查詢���,靜態(tài)策略刪除和靜態(tài)策略修改����;其特征在于所述的系統(tǒng)控制管理接口模塊的相應(yīng)的處理還包括(1)動態(tài)策略的控制管理處理��,其包括p.動態(tài)策略查詢根據(jù)控管命令類型從參數(shù)緩沖區(qū)中提取出與命令相應(yīng)的參數(shù)集的動態(tài)鏈路策略元素��,查找動態(tài)安全策略表���,找出相應(yīng)的動態(tài)策略的集合,并填充到數(shù)據(jù)緩沖區(qū)�;q.動態(tài)策略刪除根據(jù)控管命令類型從參數(shù)緩沖區(qū)中提取出與命令相應(yīng)的參數(shù)集的動態(tài)鏈路策略元素��,查找動態(tài)安全策略表�,找出相應(yīng)的動態(tài)策略的集合����,并刪除;r.動態(tài)策略修改根據(jù)控管命令類型從參數(shù)緩沖區(qū)中提取出與命令相應(yīng)的參數(shù)集的動態(tài)鏈路策略元素�����,查找動態(tài)安全策略表�,找出相應(yīng)的動態(tài)策略項,并根據(jù)控管提供的元素的集合�����,修改動態(tài)策略中的相應(yīng)元素的集合�;(2)動態(tài)鏈路維護處理,其包括s.協(xié)議鏈路查詢根據(jù)控管命令類型從參數(shù)緩沖區(qū)中提取出與命令相應(yīng)的參數(shù)集的協(xié)議鏈路元素�����,查找應(yīng)用協(xié)議鏈路表�,找出相應(yīng)的鏈路項,并將鏈路項信息填充到數(shù)據(jù)緩沖區(qū);t.協(xié)議鏈路刪除根據(jù)控管命令類型從參數(shù)緩沖區(qū)中提取出與命令相應(yīng)的參數(shù)集的協(xié)議鏈路元素���,查找應(yīng)用協(xié)議鏈路表����,找出相應(yīng)的鏈路項����,刪除此數(shù)據(jù)鏈路;u.協(xié)議鏈路修改根據(jù)控管命令類型從參數(shù)緩沖區(qū)中提取出與命令相應(yīng)的參數(shù)集的協(xié)議鏈路元素�,查找應(yīng)用協(xié)議鏈路表,如未找出相應(yīng)的鏈路項����,則根據(jù)提供的鏈路元素創(chuàng)建鏈路,如已找到鏈路項��,則修改協(xié)議鏈路中的相應(yīng)元素的集合�。
8.根據(jù)權(quán)利要求7所述的一種網(wǎng)絡(luò)數(shù)據(jù)交換的安全平臺,其特征在于所述的動態(tài)鏈路策略元素包括協(xié)議類型�、源地址���、源協(xié)議端口��、目的地址����、目的協(xié)議端口、重定位/偽裝地址和重定位/偽裝協(xié)議端口�����。
9.根據(jù)權(quán)利要求7所述的一種網(wǎng)絡(luò)數(shù)據(jù)交換的安全平臺�,其特征在于所述的協(xié)議鏈路元素包括協(xié)議類型、源地址�、源端口、目的地址和目的端口���。
全文摘要
一種用于網(wǎng)絡(luò)數(shù)據(jù)交換的安全平臺���,此安全平臺由網(wǎng)絡(luò)端口數(shù)據(jù)分析識別模塊,安全策略處理處理模塊���,數(shù)據(jù)交換協(xié)議鏈路管理模塊�����,系統(tǒng)控制管理接口模塊構(gòu)成�,并根據(jù)高級應(yīng)用協(xié)議的安全需要,增加相應(yīng)高級應(yīng)用協(xié)議內(nèi)容安全交換服務(wù)����,可達到對交換網(wǎng)絡(luò)中各協(xié)議層數(shù)據(jù)進行特定安全處理操作,禁止及丟棄有害或威脅網(wǎng)絡(luò)安全的數(shù)據(jù)����,或直接交換,并把高級應(yīng)用協(xié)議中的可疑數(shù)據(jù)傳遞到高級應(yīng)用協(xié)議交換安全服務(wù)中進行安全處理���,從而達到網(wǎng)絡(luò)中的通訊數(shù)據(jù)的完整內(nèi)容安全���。
文檔編號H04L12/56GK1581803SQ20041000910
公開日2005年2月16日 申請日期2004年5月20日 優(yōu)先權(quán)日2004年5月20日
發(fā)明者林溯奕 申請人:中國科學院軟件研究所