專利名稱:網(wǎng)絡(luò)封包安全性的處理系統(tǒng)與方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)安全協(xié)議(Security Architecture for the InternetProtocol,IPsec)處理系統(tǒng),應(yīng)用于Linux系統(tǒng)中,尤其涉及一種鉤取網(wǎng)絡(luò)封包并進(jìn)行網(wǎng)絡(luò)安全協(xié)議處理系統(tǒng)與方法。
背景技術(shù):
一種網(wǎng)絡(luò)安全協(xié)議(Security Architecture for the Internet Protocol,IPsec)機(jī)制,用以在網(wǎng)絡(luò)協(xié)議層對(duì)數(shù)據(jù)封包進(jìn)行安全性處理,提供數(shù)據(jù)源地驗(yàn)證、數(shù)據(jù)完整性、機(jī)密性、抗回放及有限業(yè)務(wù)流機(jī)密性等安全服務(wù),通過網(wǎng)絡(luò)安全協(xié)議機(jī)制各種應(yīng)用程序可以享用網(wǎng)絡(luò)協(xié)議層提供的安全服務(wù)和密鑰管理,而不必設(shè)計(jì)和實(shí)現(xiàn)自己的安全機(jī)制,因此減少密鑰協(xié)商的開銷,也降低了產(chǎn)生安全漏洞的可能性。
請(qǐng)參照?qǐng)D1,為一般網(wǎng)絡(luò)安全協(xié)議的處理系統(tǒng)方框圖,圖中虛線代表封包傳送處理路徑,而實(shí)線代表封包接收處理路徑,首先,操作系統(tǒng)中需注冊(cè)網(wǎng)絡(luò)安全協(xié)議虛擬設(shè)備12與網(wǎng)絡(luò)安全協(xié)議處理單元13,于封包傳送時(shí),先從網(wǎng)絡(luò)協(xié)議族單元10開始,經(jīng)過路由單元11查找,決定使用的網(wǎng)絡(luò)安全協(xié)議虛擬設(shè)備12,并與網(wǎng)絡(luò)安全協(xié)議處理單元13進(jìn)行安全性處理,接著,再將處理完的封包送至網(wǎng)絡(luò)協(xié)議族單元10,此時(shí)的封包已是標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議封包,并通過路由單元11將封包傳送權(quán)交給網(wǎng)絡(luò)連接單元14,以傳送封包。
于封包接收時(shí),操作系統(tǒng)中需注冊(cè)網(wǎng)絡(luò)安全協(xié)議族單元15,網(wǎng)絡(luò)連接單元14接收標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議格式的封包,并將封包交給網(wǎng)絡(luò)協(xié)議族單元10處理,經(jīng)由解析后發(fā)現(xiàn)接收到的封包格式與網(wǎng)絡(luò)安全協(xié)議族單元15中的格式相同,接著,封包即由網(wǎng)絡(luò)安全協(xié)議族單元15與網(wǎng)絡(luò)安全協(xié)議處理單元13進(jìn)行安全性處理,最后,封包進(jìn)入網(wǎng)絡(luò)協(xié)議族單元10,以完成封包接收處理程序,由上述處理程序可發(fā)現(xiàn)操作系統(tǒng)需注冊(cè)網(wǎng)絡(luò)安全協(xié)議虛擬設(shè)備12、網(wǎng)絡(luò)安全協(xié)議處理單元13及網(wǎng)絡(luò)安全協(xié)議族單元15,但于封包傳送處理過程中,未使用到網(wǎng)絡(luò)安全協(xié)議族單元15,于封包接收處理過程中,未使用到網(wǎng)絡(luò)安全協(xié)議虛擬設(shè)備12及路由單元11,故于系統(tǒng)資源運(yùn)用上,不甚理想,其處理系統(tǒng)架構(gòu)也較為復(fù)雜。
因此,如何能提供一種簡易的網(wǎng)絡(luò)封包安全性處理系統(tǒng)與方法,成為研究人員待解決問題之一。
發(fā)明內(nèi)容
鑒于以上的問題,本發(fā)明的主要目的在于提供一種網(wǎng)絡(luò)封包安全性的處理系統(tǒng)與方法,利用注冊(cè)鉤取單元于操作系統(tǒng),例如Linux系統(tǒng)中,以鉤取待傳送與已接收的網(wǎng)絡(luò)封包,并對(duì)鉤取的網(wǎng)絡(luò)封包進(jìn)行安全性處理,以達(dá)到簡化處理系統(tǒng)架構(gòu)的目的。
因此,為達(dá)到上述目的,本發(fā)明所揭示的網(wǎng)絡(luò)封包安全性的處理系統(tǒng),對(duì)一網(wǎng)絡(luò)封包進(jìn)行符合一網(wǎng)絡(luò)安全協(xié)議(IPsec)的安全性處理,該系統(tǒng)包含有接收封包鉤取單元、傳送封包鉤取單元及網(wǎng)絡(luò)安全協(xié)議處理單元。
接收封包鉤取(hook)單元,于一封包接收處理路徑的封包截獲點(diǎn)鉤取網(wǎng)絡(luò)封包,以進(jìn)行安全性處理;傳送封包鉤取單元,于一封包傳送處理路徑的封包截獲點(diǎn)鉤取網(wǎng)絡(luò)封包,以進(jìn)行安全性處理;以及網(wǎng)絡(luò)安全協(xié)議處理單元,用以選擇性對(duì)鉤取的網(wǎng)絡(luò)封包進(jìn)行安全性處理,于安全性處理完成后,將網(wǎng)絡(luò)封包送回至封包截獲點(diǎn)。
其中還包含有網(wǎng)絡(luò)協(xié)議族單元,具有一組共同運(yùn)作的標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議,用以處理該網(wǎng)絡(luò)封包,以符合該標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議的封包傳輸格式;網(wǎng)絡(luò)連接單元,用以傳送或接收網(wǎng)絡(luò)封包,例如網(wǎng)絡(luò)卡。
為達(dá)到上述目的,本發(fā)明所揭示的網(wǎng)絡(luò)封包安全性的處理方法,于一操作系統(tǒng)中注冊(cè)一接收封包鉤取單元與一傳送封包鉤取單元,以鉤取一網(wǎng)絡(luò)封包并進(jìn)行網(wǎng)絡(luò)封包的安全性處理,該方法包含有下列步驟首先,于網(wǎng)絡(luò)封包接收處理時(shí)接收封包鉤取單元于封包接收處理路徑上的封包截獲點(diǎn)鉤取網(wǎng)絡(luò)封包;接著,將鉤取的網(wǎng)絡(luò)封包送至一網(wǎng)絡(luò)安全協(xié)議處理單元;通過網(wǎng)絡(luò)安全協(xié)議處理單元解析鉤取的網(wǎng)絡(luò)封包,以選擇性進(jìn)行安全性處理;以及于安全性處理完成后,將網(wǎng)絡(luò)封包送回至封包截獲點(diǎn),以進(jìn)行后續(xù)封包處理作業(yè)。
于網(wǎng)絡(luò)封包傳送處理時(shí)傳送封包鉤取單元于封包傳送處理路徑上的封包截獲點(diǎn)鉤取網(wǎng)絡(luò)封包;接著,將鉤取的網(wǎng)絡(luò)封包送至一網(wǎng)絡(luò)安全協(xié)議處理單元;通過網(wǎng)絡(luò)安全協(xié)議處理單元解析鉤取的網(wǎng)絡(luò)封包,以選擇性進(jìn)行安全性處理;以及于安全性處理完成后,將網(wǎng)絡(luò)封包送回至封包截獲點(diǎn),以進(jìn)行后續(xù)封包處理作業(yè)。
其中網(wǎng)絡(luò)安全協(xié)議處理單元還通過比對(duì)配置文件的信息與鉤取網(wǎng)絡(luò)封包的內(nèi)容,以選擇性進(jìn)行安全性處理,而網(wǎng)絡(luò)封包的內(nèi)容包含有來源地址與目的地址。
借助這種網(wǎng)絡(luò)封包安全性的處理系統(tǒng)與方法,利用鉤取待傳送及已接收的網(wǎng)絡(luò)封包,并對(duì)鉤取的封包進(jìn)行解析,以決定是否進(jìn)行安全性處理,并于完成安全性處理后,將鉤取封包送回至封包截獲點(diǎn),通過直接鉤取網(wǎng)絡(luò)封包并進(jìn)行安全性處理,以簡化安全性處理的系統(tǒng)架構(gòu)。
有關(guān)本發(fā)明的特征與實(shí)作,茲配合附圖作最佳實(shí)施例詳細(xì)說明如下。
圖1為先前技術(shù)的網(wǎng)絡(luò)安全協(xié)議處理的系統(tǒng)方框圖;圖2為本發(fā)明所提供的網(wǎng)絡(luò)安全協(xié)議處理的系統(tǒng)方框圖;圖3A為本發(fā)明所提供的封包接收步驟流程圖;以及圖3B為本發(fā)明所提供的封包傳送步驟流程。
其中,附圖標(biāo)記說明如下10 網(wǎng)絡(luò)協(xié)議族單元11 路由單元12 網(wǎng)絡(luò)安全協(xié)議虛擬設(shè)備 13 網(wǎng)絡(luò)安全協(xié)議處理單元14 網(wǎng)絡(luò)連接單元 15 網(wǎng)絡(luò)安全協(xié)議族單元20 接收封包鉤取單元 21 傳送封包鉤取單元步驟 100 鉤取接收路徑上封包截獲點(diǎn)的網(wǎng)絡(luò)封包步驟 101 將鉤取封包送至網(wǎng)絡(luò)安全協(xié)議處理單元步驟 102 與配置文件比對(duì)是否符合處理?xiàng)l件步驟 103 對(duì)鉤取封包進(jìn)行安全性處理步驟 104 將處理完封包送回至封包截獲點(diǎn)步驟 105 通知主機(jī)丟棄鉤取封包并返回封包截獲點(diǎn)步驟 200 鉤取傳送路徑上封包截獲點(diǎn)的網(wǎng)絡(luò)封包步驟 201 將鉤取封包送至網(wǎng)絡(luò)安全協(xié)議處理單元步驟 202 與配置文件比對(duì)是否符合處理?xiàng)l件步驟 203 對(duì)鉤取封包進(jìn)行安全性處理步驟 204 將處理完封包送回至封包截獲點(diǎn)步驟 205 通知主機(jī)丟棄鉤取封包并返回封包截獲點(diǎn)具體實(shí)施方式
請(qǐng)參照?qǐng)D2,其為本發(fā)明的系統(tǒng)方框圖,包含有接收封包鉤取單元20、傳送封包鉤取單元21及網(wǎng)絡(luò)安全協(xié)議處理單元13,而圖中虛線路徑代表封包傳送處理路徑,而實(shí)線路徑代表封包接收處理路徑,以下說明以Linux操作系統(tǒng)為例。
網(wǎng)絡(luò)協(xié)議族(IP protocol family)單元10,設(shè)置于封包傳送與接收處理路徑上,具有一組共同運(yùn)作的通訊協(xié)議,用以處理網(wǎng)絡(luò)協(xié)議中物理層的網(wǎng)絡(luò)功能,以使網(wǎng)絡(luò)封包成為標(biāo)準(zhǔn)封包傳輸格式。
接收封包鉤取單元20,設(shè)置于封包接收處理路徑上,用以于封包截獲點(diǎn)鉤取每一從網(wǎng)絡(luò)連接單元14接收的網(wǎng)絡(luò)封包,并將鉤取的封包送至網(wǎng)絡(luò)安全協(xié)議處理單元13中進(jìn)行安全性處理程序。
傳送封包鉤取單元21,設(shè)置于封包傳送處理路徑上,用以于封包截獲點(diǎn)鉤取每一待傳送至網(wǎng)絡(luò)連接單元14的網(wǎng)絡(luò)封包,并將鉤取的封包送至網(wǎng)絡(luò)安全協(xié)議處理單元13中進(jìn)行安全性處理程序,其中接收封包鉤取單元20與傳送封包鉤取單元21可通過Linux操作系統(tǒng)中的應(yīng)用程序接口(ApplicationProgramming Interface,API)進(jìn)行注冊(cè),以作為執(zhí)行鉤取封包動(dòng)作的鉤取單元。
網(wǎng)絡(luò)安全協(xié)議處理單元13,用以檢視與解析接收封包鉤取單元20與傳送封包鉤取單元21所鉤取的封包內(nèi)容,其中通過設(shè)定對(duì)應(yīng)安全性處理?xiàng)l件的配置文件,以決定執(zhí)行安全性處理作業(yè)的條件與界限,并比對(duì)鉤取的封包內(nèi)容,例如來源地址與目的地址,與配置文件中的信息,以判斷是否需進(jìn)行安全性處理,若判斷結(jié)果為不符合進(jìn)行安全性處理的條件,則通知主機(jī)端(圖中未示)丟棄鉤取封包。
若判斷結(jié)果為符合進(jìn)行安全性處理的條件,則對(duì)鉤取封包進(jìn)行網(wǎng)絡(luò)安全協(xié)議的安全性處理,并于處理程序完成后,將鉤取封包送回封包截獲點(diǎn),以繼續(xù)其它操作程序。
網(wǎng)絡(luò)連接單元14,用以傳送網(wǎng)絡(luò)封包或接收網(wǎng)絡(luò)封包,為安全性處理系統(tǒng)中傳輸網(wǎng)絡(luò)封包的硬件裝置,而網(wǎng)絡(luò)連接單元14可為網(wǎng)絡(luò)卡。
如此,于封包傳送處理過程中,操作系統(tǒng)中不需注冊(cè)網(wǎng)絡(luò)安全協(xié)議虛擬設(shè)備12,與路由單元11(分別參照?qǐng)D1),而于封包接收處理過程中,操作系統(tǒng)中不需注冊(cè)網(wǎng)絡(luò)安全協(xié)議族單元15,藉以簡化網(wǎng)絡(luò)安全協(xié)議處理系統(tǒng)的架構(gòu)。
接下來,請(qǐng)參照?qǐng)D3A,其為本發(fā)明的封包接收步驟流程圖,以下分別就封包接收與傳送處理過程作說明,而網(wǎng)絡(luò)封包接收的處理路徑如圖2中實(shí)線路徑,首先,接收封包鉤取單元于封包接收處理路徑的封包截獲點(diǎn)鉤取網(wǎng)絡(luò)封包(步驟100);將鉤取的網(wǎng)絡(luò)封包送至網(wǎng)絡(luò)安全協(xié)議處理單元(步驟101),以進(jìn)行安全性處理;通過網(wǎng)絡(luò)安全協(xié)議處理單元解析鉤取的網(wǎng)絡(luò)封包,以選擇性進(jìn)行安全性處理,即通過比對(duì)配置文件與鉤取的封包內(nèi)容,例如來源地址與目的地址,以判斷是否符合安全性處理?xiàng)l件(步驟102);若與配置文件比對(duì)符合安全性處理?xiàng)l件,則對(duì)鉤取封包進(jìn)行安全性處理(步驟103),并于處理完成后將鉤取封包送回至封包截獲點(diǎn)(步驟104),以進(jìn)行后續(xù)操作。
若與配置文件比對(duì)不符合進(jìn)行安全性處理?xiàng)l件,則丟棄鉤取封包,并返回封包截獲點(diǎn)(步驟105),接下來,回到步驟100,以繼續(xù)處理其它封包。
請(qǐng)參照?qǐng)D3B,其為本發(fā)明的封包傳送步驟流程圖,而網(wǎng)絡(luò)封包傳送的處理路徑如圖2中虛線路徑,首先,傳送封包鉤取單元于封包傳送處理路徑的封包截獲點(diǎn)鉤取網(wǎng)絡(luò)封包(步驟200);將鉤取的網(wǎng)絡(luò)封包送至網(wǎng)絡(luò)安全協(xié)議處理單元(步驟201),以進(jìn)行安全性處理;通過網(wǎng)絡(luò)安全協(xié)議處理單元解析鉤取的網(wǎng)絡(luò)封包,以選擇性進(jìn)行安全性處理,即通過比對(duì)配置文件與鉤取的封包內(nèi)容,例如來源地址與目的地址,以判斷是否符合安全性處理?xiàng)l件(步驟202);若與配置文件比對(duì)符合安全性處理?xiàng)l件,則對(duì)鉤取封包進(jìn)行安全性處理(步驟203),并于處理完成后將鉤取封包送回至封包截獲點(diǎn)(步驟204),以進(jìn)行后續(xù)操作。
若與配置文件比對(duì)不符合進(jìn)行安全性處理?xiàng)l件,則丟棄鉤取封包,并返回封包截獲點(diǎn)(步驟205),接下來,回到步驟200,以繼續(xù)處理其它封包。
借助這種網(wǎng)絡(luò)封包安全性的處理系統(tǒng)及其方法,于操作系統(tǒng)中注冊(cè)一對(duì)鉤取單元,以鉤取每一待傳送或已接收的網(wǎng)絡(luò)封包,并通過對(duì)鉤取的網(wǎng)絡(luò)封包進(jìn)行網(wǎng)絡(luò)安全性處理,以簡化網(wǎng)絡(luò)封包安全性處理的系統(tǒng)架構(gòu)。
雖然本發(fā)明以前述的較佳實(shí)施例揭示如上,然而其并非用以限定本發(fā)明,任何本領(lǐng)域的技術(shù)人員,在不脫離本發(fā)明的精神和范圍內(nèi),可作一些更動(dòng)與潤飾。
權(quán)利要求
1.一種網(wǎng)絡(luò)封包安全性的處理系統(tǒng),對(duì)一網(wǎng)絡(luò)封包進(jìn)行符合一網(wǎng)絡(luò)安全協(xié)議的安全性處理,該系統(tǒng)包含有一接收封包鉤取單元,于一封包接收處理路徑的封包截獲點(diǎn)鉤取該網(wǎng)絡(luò)封包,以進(jìn)行該安全性處理;一傳送封包鉤取單元,于一封包傳送處理路徑的封包截獲點(diǎn)鉤取該網(wǎng)絡(luò)封包,以進(jìn)行該安全性處理;以及一網(wǎng)絡(luò)安全協(xié)議處理單元,選擇性對(duì)鉤取的該網(wǎng)絡(luò)封包進(jìn)行該安全性處理,于該安全性處理完成后,將該網(wǎng)絡(luò)封包送回至該封包截獲點(diǎn)。
2.根據(jù)權(quán)利要求1所述的處理系統(tǒng),其中還包含一網(wǎng)絡(luò)協(xié)議族單元,具有一組共同運(yùn)作的標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議,該網(wǎng)絡(luò)協(xié)議族單元處理該網(wǎng)絡(luò)封包,以符合該標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議的封包傳輸格式。
3.根據(jù)權(quán)利要求1所述的處理系統(tǒng),其中還包含一網(wǎng)絡(luò)連接單元,傳送或接收該網(wǎng)絡(luò)封包。
4.根據(jù)權(quán)利要求1所述的處理系統(tǒng),其中該網(wǎng)絡(luò)安全協(xié)議處理單元還通過一配置文件的信息比對(duì)該網(wǎng)絡(luò)封包的內(nèi)容,以選擇性進(jìn)行該安全性處理。
5.根據(jù)權(quán)利要求4所述的處理系統(tǒng),其中該網(wǎng)絡(luò)封包的該內(nèi)容包含有一來源地址與一目的地址。
6.根據(jù)權(quán)利要求4所述的處理系統(tǒng),其中比對(duì)該網(wǎng)絡(luò)封包的該內(nèi)容符合該配置文件的該信息時(shí),則對(duì)該網(wǎng)絡(luò)封包進(jìn)行該安全性處理。
7.根據(jù)權(quán)利要求4所述的處理系統(tǒng),其中比對(duì)該網(wǎng)絡(luò)封包的該內(nèi)容不符合該配置文件的該信息時(shí),則丟棄該網(wǎng)絡(luò)封包。
8.一種網(wǎng)絡(luò)封包安全性的處理方法,于一操作系統(tǒng)中注冊(cè)一接收封包鉤取單元與一傳送封包鉤取單元,以鉤取一網(wǎng)絡(luò)封包并進(jìn)行該網(wǎng)絡(luò)封包的安全性處理,該方法包含有于該網(wǎng)絡(luò)封包接收處理時(shí)該接收封包鉤取單元于一封包接收處理路徑的封包截獲點(diǎn)鉤取該網(wǎng)絡(luò)封包;將鉤取的該網(wǎng)絡(luò)封包送至一網(wǎng)絡(luò)安全協(xié)議處理單元;通過該網(wǎng)絡(luò)安全協(xié)議處理單元解析鉤取的該網(wǎng)絡(luò)封包,以選擇性進(jìn)行該安全性處理;以及于該安全性處理完成后,送回該網(wǎng)絡(luò)封包至該封包截獲點(diǎn);于該網(wǎng)絡(luò)封包傳送處理時(shí)該傳送封包鉤取單元于一封包傳送處理路徑的封包截獲點(diǎn)鉤取該網(wǎng)絡(luò)封包;將鉤取的該網(wǎng)絡(luò)封包送至一網(wǎng)絡(luò)安全協(xié)議處理單元;通過該網(wǎng)絡(luò)安全協(xié)議處理單元解析鉤取的該網(wǎng)絡(luò)封包,以選擇性進(jìn)行該安全性處理;以及于該安全性處理完成后,送回該網(wǎng)絡(luò)封包至該封包截獲點(diǎn)。
9.根據(jù)權(quán)利要求8所述的處理方法,其中該網(wǎng)絡(luò)安全協(xié)議處理單元還通過一配置文件的信息比對(duì)該網(wǎng)絡(luò)封包的內(nèi)容,以選擇性進(jìn)行該安全性處理。
10.根據(jù)權(quán)利要求9所述的處理方法,其中該網(wǎng)絡(luò)封包的該內(nèi)容包含有一來源地址與一目的地址。
11.根據(jù)權(quán)利要求9所述的處理方法,其中比對(duì)該網(wǎng)絡(luò)封包的該內(nèi)容符合該配置文件的該信息時(shí),則對(duì)該網(wǎng)絡(luò)封包進(jìn)行該安全性處理。
12.根據(jù)權(quán)利要求9所述的處理方法,其中比對(duì)該網(wǎng)絡(luò)封包的該內(nèi)容不符合該配置文件的該信息時(shí),則丟棄該網(wǎng)絡(luò)封包。
全文摘要
本發(fā)明涉及一種網(wǎng)絡(luò)封包安全性的處理系統(tǒng)與方法,該系統(tǒng)包含有接收封包鉤取單元,于封包接收處理路徑的封包截獲點(diǎn)鉤取該網(wǎng)絡(luò)封包;傳送封包鉤取單元,于封包傳送處理路徑的封包截獲點(diǎn)鉤取該網(wǎng)絡(luò)封包;以及網(wǎng)絡(luò)安全協(xié)議處理單元,選擇性對(duì)鉤取的該網(wǎng)絡(luò)封包進(jìn)行該安全性處理,于該安全性處理完成后,將該網(wǎng)絡(luò)封包送回至該封包截獲點(diǎn)。該系統(tǒng)與方法于操作系統(tǒng),例如Linux操作系統(tǒng)中注冊(cè)接收封包鉤取單元與傳送封包鉤取單元,以鉤取傳輸路徑上的網(wǎng)絡(luò)封包至網(wǎng)絡(luò)安全協(xié)議(IPsec)處理單元中進(jìn)行安全性處理,以使網(wǎng)絡(luò)封包符合網(wǎng)絡(luò)安全協(xié)議的要求,且通過直接鉤取網(wǎng)絡(luò)封包并對(duì)其進(jìn)行安全性處理,以簡化安全性處理的系統(tǒng)架構(gòu)。
文檔編號(hào)H04L29/06GK1805406SQ200510003940
公開日2006年7月19日 申請(qǐng)日期2005年1月10日 優(yōu)先權(quán)日2005年1月10日
發(fā)明者宋建福, 劉文涵, 崔佳 申請(qǐng)人:英業(yè)達(dá)股份有限公司