專利名稱::安全網(wǎng)絡(luò)體系結(jié)構(gòu)的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及網(wǎng)絡(luò)安全,更具體地但不排他地涉及在不安全網(wǎng)絡(luò)或網(wǎng)絡(luò)集合(例如因特網(wǎng))上提供安全的虛擬網(wǎng)絡(luò)(例如,企業(yè)內(nèi)部網(wǎng))。
背景技術(shù):
:對公用網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的用戶而言,網(wǎng)絡(luò)安全始終是一個問題。虛擬專用網(wǎng)絡(luò)(VPN)可用于在因特網(wǎng)之上擴(kuò)展專用網(wǎng)絡(luò)以例如允許遠(yuǎn)程用戶訪問該專用網(wǎng)絡(luò)。通常,一旦遠(yuǎn)程用戶越過了防火墻,該用戶就可對該專用網(wǎng)絡(luò)進(jìn)行完全的訪問。類似地,在專用網(wǎng)絡(luò)內(nèi)部連接的用戶通常也可對該網(wǎng)絡(luò)進(jìn)行完全的訪問,或者基于在專用網(wǎng)絡(luò)內(nèi)的獨立資源處設(shè)置的安全規(guī)定而對他們的訪問進(jìn)行限制。諸如廣域網(wǎng)(WAN)的分布式專用網(wǎng)絡(luò)通常使用專線來耦合地理位置分離的局域網(wǎng)(LAN),然而這是昂貴的,通常要求每個站點處防火墻規(guī)則協(xié)同設(shè)置,這是復(fù)雜的,并且由于不同的本地要求,還可能隨時間而產(chǎn)生分歧,導(dǎo)致連接困難。
發(fā)明內(nèi)容概括地,在一個方面,本發(fā)明提供了一種星形連接網(wǎng)絡(luò),其中中央服務(wù)器節(jié)點例如在因特網(wǎng)之上使用各自加密的連接(諸如安全套接字層(SSL)會話)耦合到多個客戶機(jī)節(jié)點。客戶機(jī)節(jié)點的外部通信被限制為使用與服務(wù)器節(jié)點的各自加密的連接,因此兩個客戶機(jī)節(jié)點之間的分組要經(jīng)由服務(wù)器節(jié)點路由(至少是為了開始連接)。服務(wù)器節(jié)點包括用于建立與每個客戶機(jī)節(jié)點的加密連接的裝置,例如,諸如SSL服務(wù)器的VPN服務(wù)器。來自客戶機(jī)節(jié)點的分組通過防火墻路由到VPN服務(wù)器,發(fā)往客戶機(jī)節(jié)點的分組通過防火墻從VPN服務(wù)器路由,該防火墻根據(jù)多個規(guī)則準(zhǔn)許或拒絕進(jìn)入的分組和外發(fā)的分組。這些規(guī)則取決于各自加密的連接的建立,因而,例如,與建立的加密連接無關(guān)的分組可以被阻擋或拒絕。這些規(guī)則還取決于安全策略,該安全策略可以包括與發(fā)送/接收分組所涉及的客戶機(jī)節(jié)點(例如,該客戶機(jī)節(jié)點是否對應(yīng)于對訪問其他客戶機(jī)節(jié)點具有某些限制的雇員或?qū)?yīng)于遠(yuǎn)程連接的客戶機(jī)節(jié)點)相關(guān)的附加限制。這種布置允許這樣的安全策略使用防火墻集中控制網(wǎng)絡(luò)的所有客戶機(jī)節(jié)點。在一實施方式中,該虛擬專用網(wǎng)絡(luò)服務(wù)器是被配置成經(jīng)由防火墻接收和發(fā)送所有分組的SSL服務(wù)器。該VPN服務(wù)器還被配置成產(chǎn)生建立的加密連接的列表,該列表可以被輸入到用于實現(xiàn)安全策略的安全策略引擎以產(chǎn)生用于更新防火墻中的現(xiàn)有規(guī)則的一組規(guī)則。在一實施方式中,各客戶機(jī)節(jié)點包括安全存儲在防篡改硬件模塊中的認(rèn)證信息以用于對建立與服務(wù)器節(jié)點的加密連接進(jìn)行認(rèn)證。防篡改硬件模塊可以限制對服務(wù)器節(jié)點的外部接入,且可以使用安全存儲的私鑰簽署公共證書,以使得服務(wù)器節(jié)點能夠通過使用與該私鑰相關(guān)的相應(yīng)公鑰來驗證該公共證書來自于相應(yīng)客戶機(jī)節(jié)點。在一實施方式中,該安全策略引擎包括諸如AT&T實驗室的KeyNote這樣的高級引擎,用于響應(yīng)于接收了對應(yīng)于識別出的客戶機(jī)的虛擬專用網(wǎng)絡(luò)的建立指示的上下文處理器或者其他軟件模塊提供的多個會話參數(shù)和諸如客戶機(jī)公鑰這樣的客戶機(jī)標(biāo)識,返回準(zhǔn)許或拒絕判定。該上下文處理器將客戶機(jī)標(biāo)識和會話參數(shù)處理或者轉(zhuǎn)換為具有用于策略引擎的預(yù)定格式的查詢,且將返回的判定轉(zhuǎn)換成相應(yīng)的更新后的防火墻規(guī)則。該會話參數(shù)包括目的地地址;會話類型;用于會話的應(yīng)用類型;端口號。優(yōu)選地,一旦服務(wù)器授權(quán)了用于特定應(yīng)用的連接(即,從安全策略弓I擎接收到準(zhǔn)許判定之后),則將用于獲得許可判定的會話參數(shù)記錄為當(dāng)前會話參數(shù)設(shè)置,并且,隨后檢査每個進(jìn)入分組(任一方向)以確保該分組匹配其存儲的當(dāng)前會話參數(shù)設(shè)置之一。這通過判斷應(yīng)用標(biāo)識方便地完成,該應(yīng)用標(biāo)識識別作為分組去往目的地或者分組來源的應(yīng)用;具體而言,在一實施方式中,這能夠通過檢查各分組的套接字標(biāo)識(源和目的地IP地址以及端口號)是否匹配當(dāng)前會話參數(shù)之一而完成,因為這些當(dāng)前會話參數(shù)唯一地將每個分組與相關(guān)應(yīng)用相關(guān)聯(lián)。當(dāng)服務(wù)器例如通過觀察TCP連接斷開或者當(dāng)連接不被使用的超時周期耗盡時而檢測出應(yīng)用希望結(jié)束特定連接時,服務(wù)器可以刪除相應(yīng)會話參數(shù)設(shè)置,使得僅適度地存儲當(dāng)前設(shè)置。優(yōu)選地,服務(wù)器或者防火墻接收的與存儲的當(dāng)前會話參數(shù)設(shè)置之一不匹配的任意分組被丟棄。在一實施方式中,使用虛擬局域網(wǎng)(VLAN)在一個或更多個互連分組交換網(wǎng)狀網(wǎng)絡(luò)上實現(xiàn)星形連接網(wǎng)絡(luò),來支持加密連接。VLAN在第2層實現(xiàn),這增加了客戶機(jī)節(jié)點和服務(wù)器節(jié)點之間的加密連接上的數(shù)據(jù)通信的速度。在另一方面,提供了一種服務(wù)器節(jié)點,該服務(wù)器節(jié)點用于具有多個客戶機(jī)節(jié)點的星形連接網(wǎng)絡(luò);且其包括用于建立與各客戶機(jī)節(jié)點的加密連接的裝置,諸如VPN服務(wù)器,該VPN服務(wù)器被布置以經(jīng)由防火墻且使用兩個相應(yīng)加密連接在兩個客戶機(jī)之間對分組進(jìn)行路由,該防火墻被設(shè)置以根據(jù)多個規(guī)則阻擋或者允許所述分組,使用上述兩個加密連接的所述分組通過該防火墻進(jìn)行路由,且該規(guī)則依賴于與客戶機(jī)節(jié)點的各自的加密連接的建立且依照預(yù)定的安全策略。在另一方面,提供了一種客戶機(jī)節(jié)點,該客戶機(jī)節(jié)點用于具有多個客戶機(jī)節(jié)點和一服務(wù)器節(jié)點的星形網(wǎng)絡(luò);該客戶機(jī)節(jié)點包括使用加密連接限制跨越網(wǎng)絡(luò)與服務(wù)器節(jié)點通信的裝置;以及使用加密連接經(jīng)由服務(wù)器節(jié)點將分組路由到另一客戶機(jī)節(jié)點的裝置。在一實施方式中,該客戶機(jī)節(jié)點包括防篡改硬件模塊以加強(qiáng)該限制和路由,并提供用于建立加密鏈接的認(rèn)證證明。在另選的實施方式中,最初由外圍節(jié)點(對應(yīng)于第一實施方式的客戶機(jī)節(jié)點)進(jìn)行與中央控制節(jié)點(對應(yīng)于服務(wù)器節(jié)點)的外部通信,但是不要求所有后續(xù)分組也都分別通過中央控制節(jié)點和各通信外圍節(jié)點之間的加密SSL連接經(jīng)過中央控制節(jié)點,在該實施方式中,與中央節(jié)點的初始連接用于建立兩個通信外圍節(jié)點(用作對等節(jié)點,或者一個用作客戶機(jī)且另一個用作服務(wù)器)之間的(更直接的)連接。受信任的計算模塊可用于加強(qiáng)策略,由此,僅可以在從中央控制裝置獲得明確授權(quán)之后才能建立到中央控制節(jié)點之外的其他目的地的連接。優(yōu)選地,這包括要求接收了明確授權(quán)的連接(不需要經(jīng)過中央控制節(jié)點/配置)所涉及的所有節(jié)點在需要時發(fā)送、接收和/或轉(zhuǎn)發(fā)合適的數(shù)據(jù)分組。優(yōu)選地,這種授權(quán)是有時間限制的且當(dāng)授權(quán)時間期滿時,要求來自中央控制節(jié)點/配置的新的授權(quán)。在又一另選實施方式中,不是具有單個中央控制節(jié)點,而是存在多個中央控制節(jié)點,這些中央控制節(jié)點彼此互連,且從外圍節(jié)點和用于網(wǎng)絡(luò)活動記錄目的的角度,其行為就像單個節(jié)點一樣。因而,根據(jù)這些另選實施方式,提供了一種具有很多外圍節(jié)點和一中央控制配置的星形連接網(wǎng)絡(luò);其中,各外圍節(jié)點具有除非該外圍節(jié)點已經(jīng)從中央控制配置接收了明確的建立另一連接的授權(quán)以外,使用相應(yīng)加密連接限制跨越網(wǎng)絡(luò)到中央控制節(jié)點的通信裝置;并且其中,該中央控制配置包括用于建立與各外圍節(jié)點的加密連接的裝置;使用兩個或更多各自的加密連接與兩個或更多外圍節(jié)點交換控制分組,以建立兩個外圍節(jié)點之間的授權(quán)連接的裝置;存儲安全策略信息的數(shù)據(jù)庫,該安全策略信息規(guī)定外圍節(jié)點之間的何種連接被允許;以及使用該控制分組交換裝置根據(jù)存儲的安全策略信息授權(quán)允許的連接的授權(quán)裝置。在這種布置中,根據(jù)其希望實現(xiàn)的功能,外圍節(jié)點可用作客戶機(jī)、服務(wù)器、對等點或代理服務(wù)器。各外圍節(jié)點能夠通過發(fā)起連接本身或響應(yīng)于從中央控制配置接收到建立這種連接的請求,而建立與中央控制配置的安全連接。優(yōu)選地,該中央控制配置包括攻擊檢測模塊,該模塊可操作以分析未被授權(quán)的連接嘗試且試圖檢測這種無效嘗試中的任意模式。在一實施方式中,任何檢測出的模式都被報告給管理員,管理員然后可以設(shè)置丟棄或登陸的策略,然后丟棄匹配該模式的任意后續(xù)連接嘗試,而不發(fā)送任意響應(yīng)或執(zhí)行任意加密相關(guān)處理。在另選的配置中,該攻擊檢測模塊可以自動地應(yīng)用這種策略而不是依靠人類管理員來完成。優(yōu)選地,該中央控制配置采取的任意這種行為仍然被報告給管理員以使得管理員能夠在必要時超控任意自動應(yīng)用的策略。以這種方式,代表攻擊的集中點的集中體系結(jié)構(gòu)能夠魯棒地防范可能的攻擊,包括對用于建立安全連接的多個請求形式的服務(wù)攻擊的分布式拒絕。本發(fā)明還提供操作星形連接網(wǎng)絡(luò)、服務(wù)器節(jié)點和客戶機(jī)節(jié)點的相應(yīng)方法。這些方法可以使用存儲在包括有形數(shù)據(jù)存儲設(shè)備的載體裝置上的計算機(jī)程序來實現(xiàn)?,F(xiàn)在將參照下面的附圖以僅為示例而非限制性的方式描述實施方式,附圖中-圖1是示出了根據(jù)一實施方式的網(wǎng)絡(luò)體系結(jié)構(gòu)的示意圖;圖2是示出了根據(jù)一實施方式處理分組的方法的流程圖;圖3是示出了根據(jù)一實施方式查詢策略引擎的方法的流程圖;圖4是示出了用于底層網(wǎng)絡(luò)的星形連接網(wǎng)絡(luò)安全覆蓋的示意圖;圖5是根據(jù)一實施方式在服務(wù)器節(jié)點和客戶機(jī)節(jié)點之間建立加密連接的方法;以及圖6是類似于圖1的示意圖,但是其示出了根據(jù)另一實施方式的網(wǎng)絡(luò)體系結(jié)構(gòu)。具體實施例方式圖1示出了在很多IP或其他分組交換網(wǎng)絡(luò)之上實現(xiàn)的且根據(jù)一實施方式的安全星形連接虛擬網(wǎng)絡(luò)的示意圖。安全虛擬網(wǎng)絡(luò)或虛擬因特網(wǎng)(VI)100包括服務(wù)器節(jié)點110以及經(jīng)由兩個分組交換網(wǎng)絡(luò)150與該服務(wù)器節(jié)點110耦合的很多客戶機(jī)節(jié)點160。在該實施方式中,底層互連網(wǎng)絡(luò)是因特網(wǎng)150a和由上覆式安全虛擬網(wǎng)絡(luò)(overlyingsecurevirtualnetwork)100的運營商運營的局域網(wǎng)(LAN)150b。然而,該網(wǎng)絡(luò)配置用于使解釋簡單,可以使用不同底層網(wǎng)絡(luò)體系結(jié)構(gòu)實現(xiàn)各種另選實施方式,例如,僅使用因特網(wǎng)、使用多個互連的WLAN和LAN、因特網(wǎng)和蜂窩網(wǎng)絡(luò)或任意數(shù)目的分組和/或電路交換網(wǎng)絡(luò)的其他組合。每個客戶機(jī)節(jié)點160包括受信任平臺模塊(TPM)170,其是集成到客戶機(jī)中的防篡改硬件設(shè)備。TPM170在每個客戶機(jī)節(jié)點160上執(zhí)行嚴(yán)格的安全策略,確保節(jié)點160僅通過各自的互連網(wǎng)絡(luò)150a和/或150b與中央服務(wù)器節(jié)點110通信。這例如可以通過實現(xiàn)局部防火墻且利用TPM170上的端口進(jìn)行外部接口來實現(xiàn)。另選地或者另外地,客戶機(jī)TPM170上的軟件將監(jiān)控客戶機(jī)節(jié)點160上運行了何種處理。TPM170將僅準(zhǔn)許對這樣的處理或者應(yīng)用進(jìn)行外部訪問所述處理或者應(yīng)用可被配置以僅準(zhǔn)許去往虛擬網(wǎng)絡(luò)100或來自虛擬網(wǎng)絡(luò)100的通信量。在文檔服務(wù)器和其他資源或者甚至目的地或第二客戶機(jī)節(jié)點上,可以使用開放源apache(阿帕奇)網(wǎng)絡(luò)服務(wù)器,其中配置文件被設(shè)置為拒絕到公共IP地址的請求,但是接受與虛擬網(wǎng)絡(luò)服務(wù)器110相關(guān)的IP地址。這防止了客戶機(jī)從這些節(jié)點訪問資源而不經(jīng)過服務(wù)器節(jié)點110。TPMno還為各個各自的客戶機(jī)節(jié)點160提供諸如安全數(shù)字證書的認(rèn)證書,以及用于與中央服務(wù)器節(jié)點110連接的安全加密工具。TPM170還可以被布置為在允許去往/來自服務(wù)器110的通信量之前要求客戶機(jī)160的用戶進(jìn)行認(rèn)證。中央服務(wù)器節(jié)點(VI)110包括諸如防火墻115之類的分組過濾器、諸如安全套接字層(SSL)服務(wù)器120的加密連接或會話服務(wù)器、上下文處理器125、安全策略引擎130以及安全策略135的存儲器。到互連網(wǎng)絡(luò)150的所有連接都經(jīng)由防火墻115,該防火墻115將每個進(jìn)入分組和外發(fā)分組與一系列防火墻規(guī)則相匹配。所述分組可以與各種參數(shù)相匹配,所述參數(shù)例如是分組的源和目的地地址、端口地址、分組相關(guān)的應(yīng)用,以及本領(lǐng)域技術(shù)人員將意識到的且取決于服務(wù)器運營商的安全策略135的各種其他安全相關(guān)參數(shù)。中央服務(wù)器110通常也包括TPM170,其為SSL服務(wù)器120提供諸如用于服務(wù)器的安全數(shù)字證書的認(rèn)證證明以及用于與客戶機(jī)節(jié)點160相連的安全加密工具。SSL服務(wù)器120或其他加密連接服務(wù)器能夠在服務(wù)器節(jié)點110和各客戶機(jī)節(jié)點160之間建立和維持單獨的加密連接。使用相互認(rèn)證和以及存儲在各自的客戶機(jī)節(jié)點160和服務(wù)器110的TPM170中的密匙和加密算法建立各SSL會話。應(yīng)當(dāng)理解,每個SSL會話或連接加密和封裝各自的客戶機(jī)節(jié)點160和服務(wù)器110之間的分組。從客戶機(jī)節(jié)點接收的分組然后通過防火墻115路由,如果它們滿足防火墻規(guī)則,則被準(zhǔn)許或允許經(jīng)過SSL服務(wù)器120。典型地,防火墻規(guī)則將詢問接收的分組和其封裝分組有效載荷的源和目的地地址。SSL服務(wù)器120將照常使用SSL操作解封裝和解密接收的分組以恢復(fù)封裝的分組。目的地地址被識別且分組被再封裝、再加密且然后經(jīng)由防火墻115轉(zhuǎn)發(fā)到目的地客戶機(jī)節(jié)點160。同樣,防火墻115根據(jù)防火墻規(guī)則詢問外發(fā)分組。每個客戶機(jī)節(jié)點160因此被有效地分配到其自己的單獨安全域,傳遞到或來自其他客戶機(jī)節(jié)點的任意分組必須經(jīng)過防火墻115。這允許網(wǎng)絡(luò)100的安全策略被集中管理且應(yīng)用于網(wǎng)絡(luò)100的所有客戶機(jī)節(jié)點160。這與防火墻用作兩個分立網(wǎng)絡(luò)(例如因特網(wǎng)和內(nèi)部LAN)之間的安全接口的典型布置不同。位于現(xiàn)有系統(tǒng)的LAN內(nèi)的客戶機(jī)節(jié)點不經(jīng)過防火墻實現(xiàn)的安全策略,且被假定為是值得信任的。類似地,一旦遠(yuǎn)程計算機(jī)越過了防火墻,典型地,其將被準(zhǔn)許進(jìn)行與LAN安全域中其他用戶相同的訪問(權(quán)限)。作為附加的安全措施,使用SSL或者使用各客戶機(jī)節(jié)點160上的TPM170實現(xiàn)的其他加密連接工具,在該實施方式中,使用服務(wù)器節(jié)點110上的TPM,來加密各個客戶機(jī)節(jié)點160和服務(wù)器節(jié)點IIO之間的連接。作為又一安全措施,當(dāng)與客戶機(jī)節(jié)點160建立新的SSL連接/會話時以及當(dāng)現(xiàn)有SSL連接/會話例如因為遠(yuǎn)程用戶退出因特網(wǎng)150a而終止時,防火墻規(guī)則自動更新。防火墻規(guī)則的更新使用上下文處理器125完成,該上下文處理器125是服務(wù)器節(jié)點處理器上實現(xiàn)的軟件模塊,且其從SSL服務(wù)器120接收當(dāng)前SSL會話的列表。通過比較這些列表與存儲的先前的SSL會話列表或者根據(jù)當(dāng)前防火墻規(guī)則確定的SSL會話列表,上下文處理器125可以判斷新的和終止的SSL會話且相應(yīng)地更新防火墻規(guī)則。典型地,這將涉及使用新設(shè)置代替防火墻115上的諸如iptable(IP表)的現(xiàn)有防火墻規(guī)則,該新設(shè)置包括涉及到與新的和終止的SSL會話相關(guān)的客戶機(jī)160的更新規(guī)則。在最簡單的配置中,規(guī)則將被更新以現(xiàn)在準(zhǔn)許或允許具有與和新SSL會話相關(guān)的客戶機(jī)節(jié)點向?qū)?yīng)的源和目的地地址的分組。類似地,規(guī)則將更新,以拒絕或者阻止具有與終止的SSL會話相關(guān)的客戶機(jī)節(jié)點相對應(yīng)的源和目的地地址的分組。然而,與各客戶機(jī)節(jié)點160相關(guān)的規(guī)則通常更加復(fù)雜,例如可以基于雇員類型實現(xiàn)限制,其中對某些服務(wù)器(例如160d)的訪問被限制為某些雇員類型。類似地,可以基于地點,例如基于客戶機(jī)節(jié)點是經(jīng)由因特網(wǎng)還是本地LAN連接到服務(wù)器節(jié)點而對訪問進(jìn)行限制。上下文處理器125因而將請求針對該或各新客戶機(jī)節(jié)點160的策略細(xì)節(jié)。這可以通過輸入客戶機(jī)標(biāo)識完成,該客戶機(jī)標(biāo)識例如是網(wǎng)絡(luò)內(nèi)唯一編號或者其他引用(reference),諸如與和SSL服務(wù)器120建立了SSL連接的客戶機(jī)節(jié)點160r相關(guān)的公鑰。策略引擎130在策略數(shù)據(jù)庫135中査詢與新連接的客戶機(jī)節(jié)點160r相關(guān)的策略陳述。這些策略陳述可以對于客戶機(jī)節(jié)點160r唯一,或者可以與一組這種客戶機(jī)節(jié)點160(例如,特定雇員等級)相關(guān)。這些策略陳述被傳遞回上下文處理器125,該上下文處理器將它們轉(zhuǎn)換成用于更新防火墻115的iptable或其他防火墻規(guī)則。另選地,上下文處理器125可以被配置為向策略引擎130轉(zhuǎn)發(fā)取決于新的(和/或終止的)客戶機(jī)節(jié)點160的特定格式的查詢。策略引擎130然后返回針對特定資源的各請求的準(zhǔn)許/拒絕型響應(yīng)(格式化的查詢)。這些響應(yīng)被上下文處理器125解釋且被轉(zhuǎn)換成更新的防火墻規(guī)則。在該實施方式中,策略引擎130以高級語言形式的策略陳述來操作,所述策略陳述然后被上下文處理器轉(zhuǎn)換成iptable規(guī)則或者其他詳細(xì)的防火墻規(guī)則。這使得可以更靈活地改變用于各個客戶機(jī)節(jié)點或客戶機(jī)節(jié)點組的安全策略。然而,策略引擎130和上下文處理器125的功能可以合并,使得可以根據(jù)新連接的客戶機(jī)節(jié)點160r自動檢索詳細(xì)的防火墻規(guī)則,且然后將它們寫入到防火墻中。該實施方式提供了很多優(yōu)點。不管用戶位于被安全虛擬網(wǎng)絡(luò)運營商運營的"內(nèi)部"網(wǎng)絡(luò)150b上還是位于不受信任因特網(wǎng)150a上;在網(wǎng)絡(luò)100上都統(tǒng)一被假設(shè)為是"外部訪問",即從不受運營商控制的互連網(wǎng)絡(luò)全虛擬網(wǎng)絡(luò)100的用戶的訪問。該系統(tǒng)還允許對各用戶的在虛擬網(wǎng)絡(luò)100上的訪問權(quán)利進(jìn)行完全控制,且?guī)椭_??蛻魴C(jī)節(jié)點160、中央服務(wù)器節(jié)點100的安全性,并且將安全虛擬網(wǎng)絡(luò)或系統(tǒng)100作為整體加以維護(hù)。通過使用輻射形或星形連接體系結(jié)構(gòu)來產(chǎn)生虛擬安全覆蓋,用戶和資源被劃分到分離的安全域,這使得更加難以不經(jīng)檢測就建立兩個裝置或節(jié)點之間的連接,因而減小了安全缺口攻擊成功的風(fēng)險。這種劃分還允許基于諸如物理位置、機(jī)器安全狀態(tài)以及基于角色的特權(quán)這樣的因素,而給予不同級別的連接性和特權(quán)。這反過來提供了高靈活和粒度的中央訪問控制。而且,因為所有系統(tǒng)流量都經(jīng)過中央服務(wù)器110,因而所有系統(tǒng)活動能夠被容易地記錄和稽核;例如,用于檢測闖入。如有需要,防火墻可以即刻鎖定整個系統(tǒng)。附加優(yōu)點在于,受益于以減小的成本提供相同或更好的安全性的基于因特網(wǎng)的解決方案,可以消除用于內(nèi)部安全的防火墻保護(hù)的物理LAN的使用,——對于SME尤其如此。類似地,不再需要用于WAN基礎(chǔ)設(shè)施的專線的使用。在需要安全域劃分的情況下也可以體現(xiàn)成本的節(jié)約,因為不再需要域間附加的防火墻或者實際的附加物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施,因為這種域劃分可以使用服務(wù)器節(jié)點iio集中地實現(xiàn)。下面參照圖2和圖3中示出的方法,更詳細(xì)地描述系統(tǒng)100的操作。這些方法涉及經(jīng)由中央服務(wù)器節(jié)點110路由的請求方客戶機(jī)節(jié)點160r和文檔服務(wù)器客戶機(jī)節(jié)點160d之間的通信。圖2示出了操作防火墻115和SSL服務(wù)器120的方法。該方法(200)最初在防火墻110處接收來自第一節(jié)點或者請求方節(jié)點160r的分組(205)。所述分組可能已經(jīng)在因特網(wǎng)150a、由與安全虛擬網(wǎng)絡(luò)或安全系統(tǒng)100相同實體控制的LAN150b或者很多網(wǎng)絡(luò)組合上傳送。該分組可以是加密SSL或其他加密連接分組,或者可以是例如包括請求建立加密連接的請求在內(nèi)的無加密連接分組。防火墻115然后將接收分組與典型地已知以iptable實現(xiàn)的很多防火墻規(guī)則進(jìn)行匹配。防火墻規(guī)則通常將指示哪些目的地和源地址是允許的以及哪些是要被阻擋的。它們也可以限制允許的分組的端口和應(yīng)用程序類型。在分組是SSL分組的情況,可以另外檢測封裝分組的目的地和源以及可13能的其他參數(shù)——對于本領(lǐng)域技術(shù)人員而言這已知為深度分組檢測。與用于建立加密連接的已知初始請求類型相關(guān)且尋址到SSL或其他加密連接服務(wù)器120的無封裝分組通常將被自動允許(210,是)。被尋址到中央服務(wù)器110的其它部分的分組通常將被阻擋。在分組是SSL分組的情況,防火墻將通過檢査封裝分組的源和目的地地址判斷發(fā)送客戶機(jī)160r是否被允許與(最終)目的地客戶機(jī)160d通信。在分組由于違反防火墻規(guī)則之一而被防火墻阻擋的情況(210N),可以向分組的發(fā)送方返回錯誤消息(215)。例如,可以返回指示特定通信在星形連接虛擬安全網(wǎng)絡(luò)100中不被允許的錯誤消息。在分組被防火墻允許的情況下(210Y),所述分組然后被路由到VPN或SSL服務(wù)器(220)。SSL服務(wù)器判斷所述分組是否與SSL連接建立或終止請求相關(guān)(225),且如果不相關(guān)(225,否),則解封裝和解密所述分組以恢復(fù)封裝的分組(230)。如已知的,SSL分組含有對應(yīng)于發(fā)送客戶機(jī)節(jié)點160r的源地址以及對應(yīng)于SSL服務(wù)器120的目的地地址。然而封裝分組將包括對應(yīng)于發(fā)給客戶機(jī)160r的源地址和對應(yīng)于最終目的客戶機(jī)160d的目的地地址。SSL服務(wù)器120然后識別封裝分組的目的地地址(235),在該示例中,為文檔服務(wù)器節(jié)點160d。該方法然后再加密和封裝分組(240)?,F(xiàn)在,再加密分組然后被轉(zhuǎn)發(fā)到防火墻(245),該再加密分組通常在SSL服務(wù)器120和第二或文檔服務(wù)器客戶機(jī)節(jié)點160d之間的不同SSL連接上。SSL服務(wù)器120將通常被配置為使得所有外發(fā)分組都被路由到防火墻115。防火墻115然后同樣對照防火墻規(guī)則檢查來自于SSL服務(wù)器120的分組(250)。和前面一樣,這例如可能涉及檢査再加密分組的源和目的地地址以及分組的端口地址和應(yīng)用類型。同樣,可以使用其中解封裝和解密分組也被防火墻檢測的深度分組檢測。如果分組被阻擋(250,否),則錯誤信息被產(chǎn)生且通常被發(fā)送到原始發(fā)送方——請求方客戶機(jī)節(jié)點160r。然而,如果分組被防火墻允許(250,是),則所述分組然后被路由到目的地或第二客戶機(jī)節(jié)點(265),在該示例中為文檔服務(wù)器160d。請求方或者第一客戶機(jī)節(jié)點160r發(fā)送到文檔服務(wù)器或者第二客戶機(jī)節(jié)點160d的分組可能涉及對文檔的請求。使用如上所述的在文檔服務(wù)器和中央服務(wù)器之間以及請求方節(jié)點160r和中央服務(wù)器110之間的獨立的SSL加密連接,包含該文檔的分組然后經(jīng)由中央服務(wù)器110被發(fā)送到請求方節(jié)點160r。這樣,形成為重疊在互連網(wǎng)狀網(wǎng)絡(luò)150a和150b上的安全星形連接系統(tǒng)100的一部分的客戶機(jī)節(jié)點160之間的所有通信都經(jīng)由中央服務(wù)器110在相應(yīng)加密隧道或連接之上路由,且防火墻115向所有這些通信應(yīng)用合適的安全策略。在來自客戶機(jī)節(jié)點160的進(jìn)入分組涉及建立或終止與SSL服務(wù)器120的SSL連接時(225,是),它們被防火墻115所允許。該方法(200)然后判斷所述分組涉及新的VPN連接請求還是涉及終止現(xiàn)有VPN連接的請求(270)。終止客戶機(jī)節(jié)點160和SSL服務(wù)器之間的現(xiàn)有SSL連接的請求(270,否)導(dǎo)致連接以本領(lǐng)域技術(shù)人員所熟悉的方式斷開。SSL服務(wù)器120維護(hù)當(dāng)前SSL連接的列表,且該列表在連接斷開時更新(290)。典型地,列表將包括各自的客戶機(jī)節(jié)點160的公鑰,這些公鑰視需要而被標(biāo)記為被終止或被連接;另選地,可以簡單地從列表中移除被終止的客戶機(jī)節(jié)點連接的公鑰。某些標(biāo)準(zhǔn)SSL服務(wù)器120可能需要修改其軟件來提供這種列表。當(dāng)所述分組與用于客戶機(jī)節(jié)點(例如160r)和SSL服務(wù)器120之間的新的SSL連接的請求相關(guān)時,實現(xiàn)SSL連接建立過程(280)。SSL連接建立過程(280)可以采用已知的SSL建立方法,不過通常使用進(jìn)行請求的客戶機(jī)節(jié)點的TPM(例如170r)。認(rèn)證機(jī)構(gòu)(CA)將簽署分別存儲在客戶機(jī)160r和服務(wù)器節(jié)點110的TPM170r、170s中的針對服務(wù)器和客戶機(jī)公鑰兩者的證書。在SSL協(xié)議中,這些證書被交換和驗證。這允許它們使用公鑰密碼來產(chǎn)生會話密匙。數(shù)字證書還使用存儲在TPM中的相應(yīng)私鑰簽署/加密。相應(yīng)的TPM公鑰然后用于驗證公共數(shù)字證書來自相應(yīng)TPM。這增強(qiáng)了系統(tǒng)的安全性。當(dāng)客戶機(jī)節(jié)點(160r)被服務(wù)器節(jié)點(110)認(rèn)證且建立了SSL連接時,當(dāng)前SSL連接的列表被更新以包括新認(rèn)證和連接的客戶機(jī)節(jié)點(160r)。為了增強(qiáng)安全性,本實施方式的防火墻115使用的防火墻規(guī)則響應(yīng)于SSL服務(wù)器120維護(hù)的當(dāng)前SSL連接的變化而自動更新。因而,例如,當(dāng)客戶機(jī)節(jié)點(例如160r)沒有與SSL服務(wù)器120建立SSL連接時,防火墻規(guī)則阻擋去往或來自該客戶機(jī)節(jié)點(160r)的任意分組。該規(guī)則的例外是涉及建立SSL連接的從"未連接"客戶機(jī)節(jié)點(160r)尋址到SSL服務(wù)器120的無封裝分組(以及從SSL服務(wù)器120到客戶機(jī)節(jié)點160r的無封裝分組)。除了基于是否與相應(yīng)客戶機(jī)節(jié)點160建立了SSL連接來允許或阻擋分組之外,防火墻規(guī)則還附加地實現(xiàn)更高級別的安全策略。這種策略可以限制特定節(jié)點160r和其他客戶機(jī)節(jié)點160之間的通信。這可以基于與客戶機(jī)節(jié)點160的正?;蛑付ㄓ脩粝嚓P(guān)的某些參數(shù)。例如,用戶不可以訪問企業(yè)的人力資源數(shù)據(jù)庫或其他敏感數(shù)據(jù),除非該用戶來自于相關(guān)部門。另外,當(dāng)用戶通過公共因特網(wǎng)150a連接到系統(tǒng)100時,可以限制其對于某些其他客戶機(jī)節(jié)點(例如160y)的訪問,但是當(dāng)他們通過企業(yè)內(nèi)部LAN150b連接時則不受此限制。類似地,可以基于去往/來自客戶機(jī)160的分組相關(guān)的應(yīng)用的類型限制訪問。例如,當(dāng)經(jīng)由公共因特網(wǎng)150a連接時,特定用戶的客戶機(jī)節(jié)點160r可以被限制為檢査電子郵件,而當(dāng)經(jīng)由內(nèi)部LAN150b連接時可以不實現(xiàn)該限制。這種性質(zhì)的各種其他安全限制將被本領(lǐng)域技術(shù)人員意識到,且意在由本實施方式實施。為了實現(xiàn)這些特征,本實施方式使用上下文處理器125和策略引擎130。參考圖3描述這些功能的操作,圖3示出了操作上下文處理器125的方法。方法(300)定期查詢SSL服務(wù)器120維護(hù)的當(dāng)前SSL連接的列表(305)。當(dāng)前列表可以與先前的列表進(jìn)行比較以判斷己經(jīng)建立的新的SSL連接和已經(jīng)終止的舊SSL連接。對于每個終止的SSL連接(310,終止),該方法使得與客戶機(jī)節(jié)點相關(guān)的防火墻規(guī)則返回為缺省設(shè)置;典型地,阻擋去往/來自客戶機(jī)節(jié)點的所有分組,但是涉及與SSL服務(wù)器120建立新連接的分組除外(315)。與建立新SSL連接相關(guān)的一組全局防火墻規(guī)則被維護(hù),且與終止的客戶機(jī)節(jié)點的附加訪問權(quán)限相關(guān)的任何規(guī)則都被刪除。對于每個新SSL連接(310,新),該方法針對與新SSL連接相關(guān)的客戶機(jī)(例如160r)査詢策略引擎130(325)。典型地,這將涉及形成標(biāo)準(zhǔn)查詢格式的策略請求,該請求包括諸如用于客戶機(jī)的系統(tǒng)唯一標(biāo)識(IDclient)(例如客戶機(jī)公鑰),以及用于客戶機(jī)的目的地地址(Addr-dest)的細(xì)節(jié),以例如確立客戶機(jī)裝置正使用哪個網(wǎng)絡(luò)(150a或150b)連接到系統(tǒng)IOO。該信息也可從SSL服務(wù)器120維護(hù)的列表獲得,且由根據(jù)本方法(300)操作的上下文處理器125檢索和轉(zhuǎn)換為用于策略引擎130的適當(dāng)格式??梢栽诓呗耘卸ㄖ惺褂玫哪承┢渌?xì)節(jié)包括源/目的地端口、關(guān)于請求的目的地的精細(xì)細(xì)節(jié)(目錄、文件、數(shù)據(jù)庫條目)、環(huán)境細(xì)節(jié)、環(huán)境細(xì)節(jié)、時/天/日期、當(dāng)前系統(tǒng)負(fù)荷。下面將更詳細(xì)地描述使用用于策略引擎130.的KeyNot^和用于防火墻的iptable的示例實施方式。策略引擎130從上下文處理器125接收請求,且查詢系統(tǒng)的運營商陳述的各種安全策略135(330)。為了實現(xiàn)安全策略135的靈活管理,這些策略通常以諸如Keynote的高級語言陳述,其中單個策略例如可以應(yīng)用于各組客戶機(jī)。上下文處理器125中的合適的轉(zhuǎn)換功能能夠?qū)⑦@些策略例如實現(xiàn)為iptable中的單獨的防火墻規(guī)則,并且僅涉及各自的客戶機(jī)。策略引擎130針對從上下文處理器125接收的客戶機(jī)身份,判斷是否存在與安全策略135的任意匹配(330)。如果沒有匹配,則防火墻規(guī)則不更新,且這將典型地意味著進(jìn)行請求的客戶機(jī)節(jié)點在安全策略135下沒有訪問特權(quán)。去往/來自該客戶機(jī)的分組因此將繼續(xù)被防火墻115阻擋。然而,如果客戶機(jī)身份匹配一個或更多個安全策略,則這種匹配策略用于從搜索引擎130返回對上下文處理器的查詢的準(zhǔn)許/拒絕判定(330)。策略可以例如基于客戶機(jī)節(jié)點160的位置來限制客戶機(jī)節(jié)點分組可以向其轉(zhuǎn)發(fā)或從其接收的目的地地址。類似地,還可以限制端口號和應(yīng)用類型。各種其他訪問限制將被本領(lǐng)域技術(shù)人員所了解且可以通過本實施方式實現(xiàn)。策略引擎130返回的策略判定然后被上下文處理器125轉(zhuǎn)換為防火墻規(guī)則(335)。對應(yīng)于策略判定的特定防火墻規(guī)則將依賴于實現(xiàn)的防火墻115,且典型示例是iptable,不過也可以使用其他類型。高級策略引擎130與上下文處理器125的一起使用允許采用模塊化方法來實現(xiàn)自動防火墻更新。因而,例如,如果實現(xiàn)不同防火墻U5,這僅需要修改上下文處理器的轉(zhuǎn)換軟件。然而,在另選實施方式中,上下文處理器125和策略引擎130功能可以合并到單個軟件模塊中。已經(jīng)獲得了涉及新連接的客戶機(jī)的防火墻規(guī)則之后,防火墻115的iptable被更新(340)。已知這可以通過使用針對新連接的客戶機(jī)的附加的或變化了的規(guī)則來重寫所有iptable并且刷新防火墻來實現(xiàn)。一旦防火墻規(guī)則被更新,則連接到SSL服務(wù)器120的客戶機(jī)現(xiàn)在可以經(jīng)由SSL服務(wù)器120向/從其他客戶機(jī)節(jié)點轉(zhuǎn)發(fā)/接收分組,各分組被防火墻115允許或阻擋。盡管加密連接被描述為SSL,但另選地可以使用各種其他加密隧道技術(shù),例如包括,IPsec和傳輸層安全(TLS)。而且,盡管通常SSL要求會限制可實現(xiàn)的應(yīng)用的瀏覽器,但可以使用存在的各種SSL軟件客戶端(諸如Stunnel)來在本身不具備SSL能力的非瀏覽器應(yīng)用(例如郵件客戶機(jī))中實現(xiàn)SSL能力。SSL隧道或VPN可以在虛擬LAN(VLAN)體系結(jié)構(gòu)(諸如SSL上以太網(wǎng))上運行。示例的包包括0penVPN和0penSSL。這些包不要求諸如另一防火墻和VPN集線器這樣的專用硬件,且可以僅使用軟件實現(xiàn)??墒褂酶鞣NLinux開源應(yīng)用來創(chuàng)建第2層(例如TCP上以太網(wǎng))加密連接。BrctlLinux以太網(wǎng)橋接軟件允許基于以太網(wǎng)地址而非IP地址轉(zhuǎn)發(fā)分組。這意味著所有較高層協(xié)議可以透明地穿過該橋。對于將被隧穿(tunnelled)的每個客戶機(jī)節(jié)點的物理聯(lián)網(wǎng)接口來說橋是需要的。為了橋接虛擬接口,換句話說為了旁路服務(wù)器自身的操作系統(tǒng)接口驅(qū)動器,橋?qū)τ诜?wù)器來說也是需要的;例如,用以使能加密連接上的加密。服務(wù)器橋?qū)τ诎ê芏嗫蛻魴C(jī)節(jié)點160的各VLAN或VLAN組來說是必需的。Stimnel可以在客戶機(jī)和中央服務(wù)器兩者上實現(xiàn)以分別請求和創(chuàng)建SSL連接。因而,Stunnel允許在SSL內(nèi)對任意TCP連接進(jìn)行加密以提供VLAN隧道頂部的各種SSL隧道。VTun可以在客戶機(jī)上使用以將物理接口與由vtim會話建立的虛擬接口相綁定。這通過調(diào)用反饋接口且然后調(diào)用Stimnel完成。服務(wù)器上的Vtim在第2層將新隧道綁定在一起以創(chuàng)建很多虛擬以太網(wǎng)。Vtim服務(wù)器的單個實例運行單個配置文件,該配置文件定義VLAN/橋接組的細(xì)節(jié)。圖4示出了在圖1的網(wǎng)絡(luò)體系結(jié)構(gòu)(100)之上實現(xiàn)的星形連接網(wǎng)絡(luò)400。星形連接網(wǎng)絡(luò)400具有作為其星形連接點的中央服務(wù)器節(jié)點410,每個客戶機(jī)節(jié)點460使用諸如SSL會話490的加密連接而連接到服務(wù)器節(jié)點410。軟件模塊480安裝在每個客戶機(jī)節(jié)點460上,其包括各種軟件和/或硬件工具(例如修改的個人防火墻和/或apache網(wǎng)絡(luò)服務(wù)器)以實現(xiàn)加密會話(例如Sturmel),并限制從客戶機(jī)通信端口到中央服務(wù)器的通信。在上述VLAN實施方式中,軟件模塊480還包括Brctl和Vtun以在第2層實現(xiàn)VLAN體系結(jié)構(gòu),從而在星形連接網(wǎng)絡(luò)配置內(nèi)優(yōu)化客戶機(jī)節(jié)點和服務(wù)器節(jié)點410之間的通信。中央服務(wù)器410還包括相應(yīng)的軟件模塊485,在該實施方式中,該軟件模塊包括Stunnel、Brctl和Vtun,用于實現(xiàn)SSL會話490以及用于實現(xiàn)星形連接網(wǎng)絡(luò)400的第二層VLAN體系結(jié)構(gòu)。該圖示出了通過分立的SSL連接490(概括地由標(biāo)號495示出)經(jīng)由服務(wù)器節(jié)點410進(jìn)行的兩個客戶機(jī)節(jié)點460r和460y之間的通信。盡管描述了VLAN方法用于與現(xiàn)有的基于Linux軟件工具一起來實現(xiàn)現(xiàn)有因特網(wǎng)450a和其他網(wǎng)絡(luò)450b之上的星形連接網(wǎng)絡(luò)400,但也可以使用各種另選的方法。例如,對于小型星形連接網(wǎng)絡(luò)400,可以簡單地在因特網(wǎng)或LAN上實現(xiàn)SSL連接490而不使用VL認(rèn)。在這種情況下,Stunnel或某些其他基于VPN的技術(shù)可以被添加到客戶機(jī)節(jié)點和服務(wù)器節(jié)點以實現(xiàn)SSL連接。在又一另選中,可以使用另選的基于VPN的技術(shù),諸如點對點隧道協(xié)議(PPPTP)、第二層隧道協(xié)議(L2TP)、L2TPv3,多協(xié)議標(biāo)簽交換(MPLS)和第二層轉(zhuǎn)發(fā)(L2F)協(xié)議。而且,盡管提到了適于在本實施方式中實現(xiàn)的各種特定軟件包,但技術(shù)人員將熟悉,可以另選地不經(jīng)修改或經(jīng)過微小修改而使用的來自開源或?qū)@Y源(ProprietarySource)的其^也軟件包。TPM170可用于加強(qiáng)安全策略,使得客戶機(jī)節(jié)點160上的外部通信必須只能與VI服務(wù)器節(jié)點110進(jìn)行。TPM通常將要求客戶機(jī)節(jié)點的用戶為進(jìn)行VI訪問而向TPM認(rèn)證其自身。這可以使用密碼和/或從用戶測量的生物參數(shù)來完成。在參照圖1至圖3描述的實施方式中,KeyNoteTM策略引擎可以與使用iptable的防火墻一起使用。iptable通常是靜態(tài)和固定且復(fù)雜的。然而,在某些實施方式中,它們可以動態(tài)地操縱。為使得管理更加容易,安全策略以基本格式陳述,然后在運行時間被解釋和執(zhí)行。KeyNote對照一組策略處理已正確格式化的查詢??梢栽谑跈?quán)人、許可人、條件和簽名方面實現(xiàn)所述策略。授權(quán)人是具有創(chuàng)建所有策略的權(quán)力的實體(服務(wù)器節(jié)點110以及虛擬網(wǎng)絡(luò)100的運營商)的公鑰。其被安全存儲在服務(wù)器TPM170中,并且可以或者另選地被硬編碼進(jìn)服務(wù)器110代碼,使得攻擊者不能替換為其自身的密匙。給定策略的許可人是準(zhǔn)許進(jìn)行訪問的用戶的公鑰,其通過TPM產(chǎn)生。條件將判斷準(zhǔn)予訪問的用戶的必要條件,例如策略的唯一標(biāo)識符、策略的有效周期、用戶被允許訪問的應(yīng)用。簽名字段是使用授權(quán)人私鑰簽署的策略的內(nèi)容的數(shù)字簽名。其是TPM私鑰,且僅能夠由該特定服務(wù)器節(jié)點或特定專用遠(yuǎn)程節(jié)點上的密匙簽署。策略引擎讀取客戶機(jī)公鑰,且查詢策略以得出允許客戶進(jìn)行什么訪問。所述查詢包括客戶機(jī)公鑰;應(yīng)用的名稱;當(dāng)前時間;調(diào)用的策略(每個策略必須被單獨調(diào)用)的列表。這些細(xì)節(jié)能夠由上下文處理器在提交查詢之前建立。策略引擎然后返回允許的資源/行為的列表。針對策略引擎130的査詢的準(zhǔn)備由上下文處理器125進(jìn)行,該上下文處理器125從SSL服務(wù)器120檢索要求的信息且進(jìn)行適當(dāng)?shù)霓D(zhuǎn)換。類似地,當(dāng)從策略引擎130檢索到允許的行為/資源的列表時,上下文處理器125將其轉(zhuǎn)換為用于更新防火墻115的iptable。圖5示出了修改的SSL連接建立方法,其中使用客戶機(jī)裝置上的TPM工具以及VI服務(wù)器上的相應(yīng)硬編碼密匙??蛻魴C(jī)最初向服務(wù)器發(fā)送SSL客戶機(jī)問候消息(505)。該消息包括客戶機(jī)節(jié)點160的TPM170產(chǎn)生的隨機(jī)數(shù)據(jù)。該消息還包括標(biāo)準(zhǔn)SSL握手信息,諸如最高SSL版本、支持的密碼、數(shù)據(jù)壓縮方法和會話ID。該客戶機(jī)問候消息被SSL服務(wù)器120接收且以本領(lǐng)域技術(shù)人員已知的常規(guī)方式處理。另外,使用預(yù)定密匙和算法處理該隨機(jī)數(shù)據(jù),該預(yù)定密匙和算法可以被硬編碼到SSL服務(wù)器120中,或者單獨但是安全地存儲在中央服務(wù)器110的TPM170上。這種經(jīng)處理的隨機(jī)數(shù)據(jù)然后被包括在響應(yīng)于客戶機(jī)問候消息而發(fā)送到客戶機(jī)節(jié)點的服務(wù)器問候消息中(510)。如所知的,服務(wù)器問候消息通常還包含所選SSL版本、所選密碼、所選數(shù)據(jù)壓縮方法以及分配的會話ID。該消息被客戶機(jī)節(jié)點接收,且處理的隨機(jī)數(shù)據(jù)可用作后續(xù)認(rèn)證處理的一部分。服務(wù)器然后轉(zhuǎn)發(fā)數(shù)字證書,該數(shù)字證書包括CA簽署的公鑰(515)。服務(wù)器的公鑰通常被硬編碼進(jìn)SSL服務(wù)器代碼,以使得惡意實體不可能改變它。客戶機(jī)節(jié)點160接收服務(wù)器證書,且使用存儲在其TPM170上的私鑰進(jìn)行認(rèn)證。這通常要求TPM進(jìn)行用戶認(rèn)證以確定用戶的身份,例如由用戶在客戶機(jī)節(jié)點160鍵入密碼或進(jìn)行其他登陸過程來進(jìn)行該認(rèn)證??蛻魴C(jī)160然后從其TPM170檢索其自己的數(shù)字證書,該數(shù)字證書由CA簽署。包括客戶機(jī)公鑰和認(rèn)證簽名的該證書被發(fā)送到服務(wù)器(520)。服務(wù)器以己知的方式認(rèn)證客戶機(jī)證書??蛻魴C(jī)節(jié)點160和SSL服務(wù)器120然后協(xié)商會話密匙(525),這通常利用Diffe-Hellman交換,使用在客戶問候消息中最初發(fā)送的隨機(jī)數(shù)據(jù)進(jìn)行。在會話密匙同意之后,如通常一樣,可以進(jìn)行客戶機(jī)和服務(wù)器之間的加密數(shù)據(jù)傳輸(530)。圖6示出了另選實施方式,其中中央服務(wù)器功能分布在多個中央服務(wù)器C1、C2、C3和C4之間。這些中央服務(wù)器彼此互連。因為中央服務(wù)器操作以提供虛擬企業(yè)內(nèi)部網(wǎng)(VI),此后它們將被稱為VI中央控制服務(wù)器C1-C4。圖6還示出了多個局部外圍客戶機(jī)節(jié)點P1-P8。因為在外圍節(jié)點之間具有各種直接連接,各外圍節(jié)點具有到VI服務(wù)器節(jié)點的至少兩個直接連接;然而,在圖6中,為清晰起見,僅示出了用于三個外圍節(jié)點P1、P2和P3的連接。VI服務(wù)器部分地或者完全網(wǎng)格化,g卩,每個VI服務(wù)器連接到多于兩個的其他VI服務(wù)器以引入更多的可靠性和冗余,使得可以實現(xiàn)高可用性和負(fù)載均衡。而且,每個外圍節(jié)點直接連接到至少兩個VI服務(wù)器,一個是缺省服務(wù)器,另一格是備份服務(wù)器。因此,在圖6中,可以看出,Pl、P2和P3分別具有缺省中央服務(wù)器C1、C2和C3以及備份中央服務(wù)器C2、C1和C3。執(zhí)行如上所述的VI服務(wù)器功能所要求的信息分布在VI服務(wù)器的整個網(wǎng)絡(luò)上。變型例在很多情況下,網(wǎng)絡(luò)具有分開的控制平面和數(shù)據(jù)平面是有利的。這可以幫助改善網(wǎng)絡(luò)的性能(在傳輸數(shù)據(jù)的速度方面)并改善網(wǎng)絡(luò)的安全性(通常當(dāng)客戶被限制為僅使用數(shù)據(jù)平面時,惡意客戶更加難以訪問控制平面)。在本實施方式的虛擬企業(yè)內(nèi)部網(wǎng)中,這可以以下面的方式(再次參考圖6作為示例網(wǎng)絡(luò))(一定程度地)實現(xiàn)。在系統(tǒng)引導(dǎo)期間,網(wǎng)絡(luò)將使用諸如0SPF的傳統(tǒng)IGP基于當(dāng)前網(wǎng)絡(luò)拓?fù)涠諗?。由此,每個VI服務(wù)器能夠計算所有外圍節(jié)點對之間的路徑。另外,常規(guī)遠(yuǎn)程訪問技術(shù)可用于準(zhǔn)許遠(yuǎn)程和/或移動節(jié)點(例如,雇員的家用PC或者膝上電腦)使用諸如RADIUS的常規(guī)遠(yuǎn)程訪問協(xié)議連接到中央控制配置。當(dāng)任意外圍節(jié)點希望連接到另一外圍節(jié)點以獲取某一服務(wù)或應(yīng)用時,即使在一些外圍節(jié)點對之間存在直接鏈路,在沒有從分布式中央VI控制服務(wù)器功能獲得授權(quán)的情況下,也不允許它們形成直接連接。因此,代替地,進(jìn)行請求的外圍節(jié)點必須發(fā)送初始請求到其缺省VI服務(wù)器,供其考慮。例如,假設(shè)P1希望連接到P3,它必須發(fā)送請求到其缺省控制節(jié)點Cl,Cl能夠認(rèn)證Pl且基于本地存儲的安全策略調(diào)查Pl是否具有特權(quán)來使用請求的服務(wù)。在授權(quán)處理之后,Cl開始發(fā)送請求信息到目的地外圍節(jié)點P3。Cl知道C3是用于P3的缺省VI服務(wù)器且當(dāng)前啟動并運行。因為IGP協(xié)議,Cl知道怎樣經(jīng)由直接鏈路(或者如果不存在直接連接,則經(jīng)由其他中間VI服務(wù)器)發(fā)送請求到C3。C3然后可以將該請求轉(zhuǎn)發(fā)到P3。如果P3能夠處理該請求,它發(fā)送"請求接受"消息到C3,C3繼續(xù)將其傳遞到C1,然后C1能夠開始針對每個中間節(jié)點(中間節(jié)點可以是,并且在本示例中是所有客戶機(jī)節(jié)點)的査詢處理,以確保它們具有足夠的資源來提供發(fā)送服務(wù)。最后,Cl發(fā)送"請求接受"消息到P1,并告知其到P3的路由。P1能夠啟動與P2的對話,告知P2下面的分組的目的地是P3。因為P2受C2命令向Pl提供發(fā)送服務(wù),所以它可以從Pl接收分組且向P3轉(zhuǎn)發(fā)所有的分組。優(yōu)選地,為實現(xiàn)這點,通過安全的方式,例如安全傳輸層(TLS)協(xié))協(xié)議,所述分組以使用合適協(xié)議的加密形式發(fā)送。這類似于如上所述的主實施方式,只不過此處不是具有兩個分離的SSL連接,而是僅具有可能橋接一個或更多個中間節(jié)點的一個這種連接,而且與主實施方式的情況不同,不需要任意中間節(jié)點來進(jìn)行加密和解密,僅所述兩個通信節(jié)點需要進(jìn)行加密和解密。實際上,即使連接經(jīng)由n服務(wù)器節(jié)點(或者非分布式實施方式中的單獨的服務(wù)器節(jié)點),通過不使(多個)VI服務(wù)器節(jié)點作為兩個分離SSL連接的端點進(jìn)行解密和加密,也會節(jié)省了(多個)VI服務(wù)器節(jié)點的相當(dāng)可觀的處理資源。如上所述的資源協(xié)商和預(yù)留處理是典型的,如果目的地客戶機(jī)不能處理請求或不能提供所要求的服務(wù),則進(jìn)行請求的客戶機(jī)被告知這點(其可以判定怎樣完成它,例如,稍后再試一次或者試圖發(fā)現(xiàn)另選源);另選地,如果中間節(jié)點不能提供所要求的發(fā)送資源,可以尋覓另選路由。例如,如果P3不能滿足作為服務(wù)提供方的請求,它發(fā)送"請求拒絕"消息到C3,隨后C3將其轉(zhuǎn)發(fā)到C1且C1告知P1。另夕卜,如果諸如P2的任意中間客戶機(jī)不能提供用于Pl的發(fā)送服務(wù),它們告知它們自己的缺省VI服務(wù)器(例如,P2將告知其缺省服務(wù)器C2且C2將傳遞該信息到Cl)。協(xié)同服務(wù)器(即用于該請求客戶機(jī)的缺省服務(wù)器,在本示例中即為C1)然后可以通過運行IGP或某些其他類似的路由發(fā)現(xiàn)協(xié)議試圖發(fā)現(xiàn)另選路徑(例如用于P1到達(dá)P3),并最終可以獲得另選路徑(諸如P1-P4-P3),然后進(jìn)行與上述處理類似的處理。一般而言,諸如網(wǎng)絡(luò)路由信息、請求初始化、認(rèn)證、授權(quán)、系統(tǒng)登錄、安全策略管理等的控制信息全部由VI服務(wù)器(分布式或非分布式)處理??蛻袅髁客ǔMㄟ^中間客戶機(jī)分發(fā)。通過避免與控制流量相比量相對大的客戶流量(數(shù)據(jù))經(jīng)由VI服務(wù)器,這幫助緩解了VI服務(wù)器的負(fù)載,這還具有顯著減小了經(jīng)由客戶數(shù)據(jù)平面發(fā)起的拒絕服務(wù)(DoS)攻擊的可能性的安全益處。DoS攻擊即通過發(fā)送大量數(shù)據(jù)試圖淹沒VI服務(wù)器,但是因為僅經(jīng)過授權(quán)(并且僅可能是經(jīng)TPM檢查為未被攻陷的(uncompromised)授權(quán)設(shè)備)才被允許發(fā)送數(shù)據(jù),所以受Dos攻擊的風(fēng)險比較低。再者,通過減小VI服務(wù)器的工作負(fù)荷,其對這樣的DoS攻擊將更加魯棒,該DoS攻擊包括未授權(quán)設(shè)備在實際沒有任何希望或者意圖來發(fā)起連接或發(fā)送任何數(shù)據(jù)的情況下試圖發(fā)起連接。使用TPM防止外圍節(jié)點不經(jīng)控制配置的授權(quán)而彼此建立直接連接的一種方法是規(guī)定一個節(jié)點僅在被中央控制配置授權(quán)并且進(jìn)行連接的節(jié)點提供的證明正確地將該節(jié)點認(rèn)證為標(biāo)識的節(jié)點時,該節(jié)點才允許進(jìn)行從不同于中央控制配置的任意其他節(jié)點進(jìn)入到它們的直接連接。能夠使用進(jìn)行連接的節(jié)點的TPM來提供這些受信任證明。使用這種布置,系統(tǒng)管理員能夠進(jìn)行布置使得最敏感設(shè)備(例如,存儲公司敏感信息的文件服務(wù)器)只能被合法的、未被攻陷的設(shè)備接觸;通常,諸如文件服務(wù)器的設(shè)備本身一般不需要建立連接,使得它們幾乎沒有疏忽地接觸可能危及安全的機(jī)器的風(fēng)險,這樣的話即使較不重要的節(jié)點(例如雇員的膝上電腦)將變得危及安全,并允許進(jìn)行從未授權(quán)設(shè)備到它的連接,或者試圖進(jìn)行未授權(quán)的連接,這樣的風(fēng)險也不會引起(像未授權(quán)設(shè)備能夠啟動與其完整性對于公司安全很重要的未被攻陷的節(jié)點的未授權(quán)連接那樣的)大的安全威脅。可以代替更常規(guī)的TPM的使用,或者在更常規(guī)的TPM的使用之外,來進(jìn)行這一點,以確保設(shè)備完整性不被運行在設(shè)備上的軟件的未授權(quán)添加或修改而被攻陷。力教無鄉(xiāng)控因為虛擬企業(yè)內(nèi)部網(wǎng)絡(luò)服務(wù)器體系結(jié)構(gòu)基于針對其服務(wù)的所有客戶機(jī)的虛擬星形拓?fù)?,所以設(shè)備之間的所有通信必須經(jīng)過虛擬企業(yè)內(nèi)部網(wǎng)絡(luò)服務(wù)器。因此,如果VI服務(wù)器在所有隧道端點執(zhí)行"深度分組檢測",則虛擬網(wǎng)絡(luò)中的每一個單個流可以被檢測、記錄,且在需要時被報告或甚至阻擋。隨著隧道終止且解封裝的底層兩個分組被呈現(xiàn)給使用虛擬接口為虛擬LAN網(wǎng)段,此時,將使用軟件入侵檢測系統(tǒng)(IDS)庫對分組進(jìn)行檢測且重建到TCP流中。隨著各新的隧道被建立,新的IDS處理將被調(diào)用,因而確保所有連接被監(jiān)控。該功能是極其有用的,因為它可用于信息交易和每個客戶機(jī)的行為的內(nèi)部監(jiān)控。例如,其可以被配置以向系統(tǒng)管理員發(fā)出警報以例如指示正發(fā)生某些異常行為,諸如發(fā)送大量文檔、在工作時間之外頻繁地訪問系統(tǒng)或者在沒有必要授權(quán)等的情況下試圖猜出密碼等。//薪攻擊腳每個VI服務(wù)器被基于簽名的入侵檢測系統(tǒng)保護(hù),該系統(tǒng)在識別已知攻擊方面是十分精確的,然而其不能認(rèn)出任意新類型的攻擊。在VI基礎(chǔ)設(shè)施中,VI服務(wù)器可以是中央點,攻擊者可以在該中央點發(fā)起各種攻擊。例如,惡意人員能夠使用低速DDoS攻擊技術(shù),其通過以較低速度(即每秒小于5個分組)發(fā)送請求但是要求較大計算工作量來處理諸如認(rèn)證、訪問控制等。這是一種協(xié)同行為,其試圖隱藏其攻擊網(wǎng)絡(luò)的意圖,并且一般會被IDS系統(tǒng)忽視,但是其目的在于使VI服務(wù)器的計算能力超負(fù)荷并且劣化其性能。當(dāng)一個VI服務(wù)器識別到諸如大量無效認(rèn)證、丟失分組等某些異常時,它開始分析所有這種請求的行為且創(chuàng)建針對這些分組的基本模式,諸如報頭、源地址、目的地地址、有效載荷、消息等。在直接的情況,可以創(chuàng)建用于攻擊的新的簽名并警告網(wǎng)絡(luò)管理員進(jìn)行人工分析。在人工確認(rèn)之后,其然后將新的簽名廣播到所有VI服務(wù)器并要求它們更新自己的簽名數(shù)據(jù)庫。否則,它將發(fā)送可疑行為的摘要到所有VI服務(wù)器并獲得響應(yīng)。然后,它可以使用某些"事件相關(guān)技術(shù)"創(chuàng)建用于新攻擊的簽名或?qū)⑵涮幚頌楣收暇瘓?。一般而言,每個VI服務(wù)器在正常情況下在本地保存其所有系統(tǒng)登陸信息,數(shù)據(jù)將取決于操作要求在VI服務(wù)器上存儲固定時間(即3天),然后將過期的數(shù)據(jù)傳輸?shù)奖镜卮鎯ΡP或存儲網(wǎng)絡(luò)。因為VI服務(wù)器提供整個網(wǎng)絡(luò)服務(wù),且網(wǎng)絡(luò)上的每個點都由上述處理監(jiān)控,因而能夠?qū)崿F(xiàn)更高質(zhì)量的威脅評估和異常檢測。技術(shù)人員將意識到,上述設(shè)備和方法可以實施為諸如盤、CD或DVD-ROM的載體介質(zhì)、諸如只讀存儲器(固件)的編程存儲器或者諸如光學(xué)和電學(xué)信號載體的數(shù)據(jù)載體上的處理器控制代碼。對于很多應(yīng)用,本發(fā)明的實施方式將實現(xiàn)在DSP(數(shù)字信號處理器)、ASIC(特定用途集成電路)或FPGA(現(xiàn)場可編程門陣列)上。因而,所述代碼可以包括常規(guī)編程代碼或微代碼或者例如用于建立或控制ASIC或FPGA的代碼。所述代碼還可以包括用于動態(tài)配置諸如可再編程邏輯門陣列的可再配置設(shè)備的代碼。類似地,所述代碼可以包括用于硬件描述語言(諸如Verilog或VHDL(超高速集成電路硬件描述語言))的代碼。技術(shù)人員將意識到,所述代碼可以分布在多個彼此通信的耦合組件之間。當(dāng)合適時,實施方式還可以使用運行在現(xiàn)場可(再)編程模擬陣列或類似裝置上的代碼實現(xiàn)以配置模擬硬件。技術(shù)人員還將意識到,一般地,根據(jù)上述教導(dǎo),各種實施方式及針對它們描述的具體特征將可以與其他實施方式或其具體描述的特征自由組合。技術(shù)人員還將認(rèn)識到,可以針對描述的具體示例做出各種另選和修改而不偏離所附權(quán)利要求的范圍。權(quán)利要求1.一種具有服務(wù)器節(jié)點和多個客戶機(jī)節(jié)點的星形連接網(wǎng)絡(luò),用于準(zhǔn)許客戶機(jī)節(jié)點彼此間建立間接通信會話,其中各客戶機(jī)節(jié)點在其能夠在網(wǎng)絡(luò)上建立的直接通信的類型方面被限制為其能夠使用各自的加密連接建立與所述服務(wù)器節(jié)點的直接通信,但是不能直接建立與任何其他客戶機(jī)節(jié)點的連接,且各客戶機(jī)節(jié)點可操作經(jīng)由各自的加密連接向所述服務(wù)器節(jié)點請求啟動間接通信會話,該會話請求指定一個或更多個會話參數(shù),所述一個或更多個會話參數(shù)包括與啟動該間接通信會話的應(yīng)用相關(guān)的應(yīng)用標(biāo)識;且其中該服務(wù)器節(jié)點包括連接控制器,用于建立與各客戶機(jī)節(jié)點的加密連接;存儲器,針對由客戶機(jī)節(jié)點上運行的應(yīng)用啟動的各準(zhǔn)許的當(dāng)前會話,存儲包括應(yīng)用標(biāo)識符在內(nèi)的會話參數(shù)設(shè)置;路由控制器,使用兩個各自加密的連接在兩個客戶機(jī)節(jié)點之間對分組進(jìn)行路由;以及防火墻,根據(jù)各個這種分組是否包括與存儲的會話參數(shù)設(shè)置相關(guān)或包含在存儲的會話參數(shù)設(shè)置中的應(yīng)用標(biāo)識,來允許或阻擋所述分組。2.根據(jù)權(quán)利要求l所述的網(wǎng)絡(luò),其中該會話參數(shù)設(shè)置在建立和終止加密連接時自動更新。3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò),其中該連接控制器包括被配置成經(jīng)由該防火墻接收和發(fā)送所有分組的虛擬專用網(wǎng)絡(luò)服務(wù)器。4.根據(jù)前述任意權(quán)利要求所述的網(wǎng)絡(luò),其中各客戶機(jī)節(jié)點具有安全存儲在防篡改硬件模塊中的認(rèn)證信息,用于對建立與該服務(wù)器節(jié)點的加密連接進(jìn)行認(rèn)證。5.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò),該網(wǎng)絡(luò)還包括安全策略引擎,該安全策略引擎可操作以響應(yīng)于請求與另一客戶機(jī)節(jié)點建立通信鏈路的客戶機(jī)節(jié)點提供的客戶機(jī)標(biāo)識和多個會話參數(shù)而返回準(zhǔn)許或拒絕判定。6.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò),其中所述會話參數(shù)包括源和目的地網(wǎng)絡(luò)地址;會話類型;用于會話的應(yīng)用類型;以及端口號。7.根據(jù)前述任意權(quán)利要求所述的網(wǎng)絡(luò),其中使用虛擬局域網(wǎng)在一個或更多個互連分組交換網(wǎng)狀網(wǎng)路上實現(xiàn)該星形連接網(wǎng)絡(luò),來支持加密連接。8.—種用于具有服務(wù)器節(jié)點和多個客戶機(jī)節(jié)點的星形連接網(wǎng)絡(luò)的服務(wù)器節(jié)點,該網(wǎng)絡(luò)可操作以準(zhǔn)許這些客戶機(jī)節(jié)點彼此間建立間接通信會話,其中該服務(wù)器節(jié)點包括連接控制器,用于建立與各客戶機(jī)節(jié)點的加密連接;存儲器,針對在客戶機(jī)節(jié)點上運行的應(yīng)用啟動的各準(zhǔn)許的當(dāng)前會話,存儲包括應(yīng)用標(biāo)識符在內(nèi)的會話參數(shù)設(shè)置;路由控制器,使用兩個各自加密的連接在兩個客戶機(jī)節(jié)點之間對分組進(jìn)行路由;以及防火墻,根據(jù)每個這種分組是否包括與存儲的會話參數(shù)設(shè)置相關(guān)或包含在存儲的會話參數(shù)設(shè)置中的應(yīng)用標(biāo)識,來允許或阻擋所述分組。9.一種操作具有服務(wù)器節(jié)點和多個客戶機(jī)節(jié)點的星形連接網(wǎng)絡(luò)以準(zhǔn)許這些客戶機(jī)節(jié)點彼此間建立間接通信會話的方法,該方法包括在各客戶機(jī)節(jié)點能夠在網(wǎng)絡(luò)上建立的直接通信的類型方面將各客戶機(jī)節(jié)點限制為其能夠使用各自的加密連接建立與該服務(wù)器節(jié)點的直接通信,但是不能直接建立與任意其他客戶機(jī)節(jié)點的連接,在啟動客戶機(jī)節(jié)點和該服務(wù)器節(jié)點之間建立加密連接;在該啟動客戶機(jī)節(jié)點處產(chǎn)生會話請求,以啟動與目的地客戶機(jī)節(jié)點的間接通信,并且經(jīng)由該啟動客戶機(jī)節(jié)點和該服務(wù)器節(jié)點之間的加密連接將該會話請求發(fā)送到該服務(wù)器節(jié)點,該目的地客戶機(jī)節(jié)點是另一客戶機(jī)節(jié)點,該會話請求指定了一個或更多個會話參數(shù),所述一個或更多個會話參數(shù)包括與負(fù)責(zé)啟動該間接通信會話的該啟動客戶機(jī)節(jié)點上運行的應(yīng)用相關(guān)的應(yīng)用標(biāo)識;基于存儲的安全策略判斷是否準(zhǔn)許該會話,且如果會話被準(zhǔn)許,則建立該服務(wù)器節(jié)點和該目的地客戶機(jī)節(jié)點之間的加密連接;針對該準(zhǔn)許的會話,存儲包括與負(fù)責(zé)啟動該會話的應(yīng)用相關(guān)的應(yīng)用標(biāo)識在內(nèi)的會話參數(shù)設(shè)置;以及使用該各自的加密連接在該啟動客戶機(jī)節(jié)點和目的地客戶機(jī)節(jié)點之間對包括該應(yīng)用標(biāo)識的分組進(jìn)行路由。10.根據(jù)權(quán)利要求9所述的方法,該方法還包括丟棄所接收的不包括與存儲在會話參數(shù)設(shè)置中的與當(dāng)前準(zhǔn)許的會話相關(guān)的標(biāo)識的分組。11.處理器可執(zhí)行指令,用于使得客戶機(jī)節(jié)點或服務(wù)器節(jié)點根據(jù)權(quán)利要求9或10所述的方法進(jìn)行操作。12.—種有形數(shù)據(jù)存儲裝置,存儲根據(jù)權(quán)利要求ll所述的處理器可執(zhí)行指令。全文摘要本發(fā)明提供了一種具有中央控制配置(C1-C4)和多個外圍節(jié)點(P1-P8)的星形連接網(wǎng)絡(luò)(C1-C4,P1-P8)。每個外圍節(jié)點具有這樣的裝置,該裝置將網(wǎng)絡(luò)上的通信限制為使用相應(yīng)加密連接與該中央控制配置,除非該外圍節(jié)點從該控制配置接收了與另一外圍節(jié)點建立直接連接的明確授權(quán)。該中央控制配置包括用于建立與各外圍節(jié)點的加密連接的裝置;使用兩個或更多各自的加密連接在兩個或更多個外圍節(jié)點之間交換控制分組以在兩個外圍節(jié)點之間建立授權(quán)連接的裝置;用于存儲指定外圍節(jié)點之間的何種連接被允許的安全策略信息的數(shù)據(jù)庫;以及使用該控制分組交換裝置根據(jù)存儲的安全策略信息授權(quán)可允許的連接的授權(quán)裝置。文檔編號H04L29/06GK101543005SQ200780043063公開日2009年9月23日申請日期2007年11月20日優(yōu)先權(quán)日2006年11月20日發(fā)明者何利文,克里斯多佛·拉瑟福德,布賴恩·利特萊法爾,托馬斯·馬丁,迪內(nèi)?!たɡ厣暾埲?英國電訊有限公司