专利名称::基于信任检测的应用指纹通信方法及系统的制作方法基于信任检测的应用指紋通信方法及系统方法
技术领域:
:本发明涉及一种网络安全通信实现形式——种基于信任检测的应用指紋通^言方法及系统。
背景技术:
:现有的防火墙、VPN等安全产品都将建立一个安全的通信隧道,然而在这有效的安全隧道里却难保证是何应用程序发出的数据报文到目的机器;IDS、反病毒产品对此是个补充,必须预先给出知识库又给此补充带来诸多麻烦和对不可预见威胁防范不可行;本方法通过基于信任检测的应用指紋通信方法及系统,来保证在预先提供的通信隧道里,不论其是否相对安全,只传输指定的应用程序数据报文到目的机器。
发明内容本发明的目的就是设计一种网络安全通信实现形式,通过基于信任检测的应用指紋通信方法及系统,使得客户机与边界设备间使用同一应用指紋进行做标识与识别加密与解密的步骤来保证在预先提供的通信隧道里,不论其是否相对安全,只传输指定的应用程序数据报文,基于信任检测的应用指紋通信系统,其特征在于包括客户机模块用于与管理服务器认证并取得应用指紋,并用该应用指紋对预先指定的应用程序发出的数据进行标识和加密等;管理服务器认证子模块用于与客户机模块认证,并产生应用指紋发给边界设备模块和认证子模块等,管理服务器管理子模块用于日常维护、管理、配置、结果查看、报表输出等;边界设备模块用于识別并解密信任的数据报文,阻断非信任的报文,并200610122297.4说明书第2/6页产生告警等。所述管理服务器认证子模块、管理服务器管理子模块、边界设备模块均可以被物理地归并为一到三个模块。基于信任检测的应用指紋通信方法,其特征在于包括步骤一客户机模块向管理服务器验证身份并请求获得该次认证的应用指紋;步骤二当确认了客户机身份,管理服务器将随机产生本次认证的应用指紋,将客户机的IP地址和MAC地址以及对应的应用指紋发给边界设备,在边界设备上形成白名单和应用指紋表;步骤三当得到边界设备接受回应,服务器又将认证成功信号以及该应用指紋发回给客户机模块,否则给客户机模块发回认证失败信号;步骤四客户机模块在应用指紋有效期内,对预先指定的应用程序发出的数据报文进行与应用指紋加密及做记号后发出,对其他应用程序发出的数据报文将不予理会或进行阻断,在认证期间所有应用程序数据报文暂緩发送;步骤五边界设备收到客户机发来的数据报文后,判断客户机在白名单内则将数据报文与应用指紋表对应并解密,将解密后的数据报文发向目的机器,对与应用指紋无法匹配的数据报文将不予转发,并按预先的设定给予报警;步骤六边界设备对客卢机到管理服务器之间的认证信号将被特殊识别并通行。当新的连接产生或应用指紋有效时间到达之前,客户机模块将重新以上步骤一到步骤五,如此保证只有指定的应用程序发出的数据报文才能从客户机发到目的机器,使得目的机器不受客户机的网络攻击威胁。上述步骤一为客户机模块在新的连接创建或者旧的应用指紋将失效的时候主动向管理服务器发起的认证请求数据报文。上述步骤二为管理服务器将认证内容与预先通过管理服务器管理子模块存放在数据库里的客户机身份信息对比,确认身份后产生应用指紋。上述步骤三明确表明边界设备较客户机更先接收到新的应用指紋。上述步骤四,在认证期间所有应用程序数据^^艮文暂緩发送。上述步骤六描述特别申明边界设备对客户机到管理服务器之间的认证信号是特殊处理的。本发明具有以下优点1、保证在预先提供的通信隧道里,不论其是否相对安全,只传输指定的应用程序数据报文。2、无需关心非信任内容的特征,没有特征库升级等需求。3、数据报文加密计算量小,传输效率高。4、告警数据可进行二次挖掘,进行更深层的分析。图1是本实用新型基于信任检测的应用指紋通信系统的结构示意图;图2为客户机模块数据流程图;图3为管理服务器的数据流程图;图4为边界设备的数据流程图。具体实施方式图1为本发明基于信任检测的应用指紋通信系统的结构示意图,见说明书附图1。如图所述本发明系统包括客户机模块11、管理服务器12,以及边界设备13,客户机模块ll:用于与管理服务器认证并取得应用指纹,并用该应用指紋对预先指定的应用程序发出的数据进行标识和加密等;其中管理服务器12包括管理服务器认证子模块121和管理服务器管理子模块122管理服务器认证子模块21:用于与客户机模块认证,并产生应用指纟丈发给边界设备模块和认证子模块等;管理服务器管理子模块122:用于日常维护、管理、配置、结果查看、报表输出等;边界设备模块13:用于识别并解密信任的数据报文,阻断非信任的报文,并产生告警等;应用指紋是个代名词,其实是随机产生一段数据内容,由于其随机性导致其相对唯一性,与现实生活中指紋相类似,并且是针对预先指定的应用程序而使用的,故而用应用指紋代名,其中客户机模块11将从操作系统底层驱动方式拦截数据报文,可以撰改数据报文内容,并控制其是否被发出,由此可以完成客户机模块所承担的工作。客户机还将从数据报文中的协议和端口从操作系统反查出是哪个应用程序发出。边界设备13也将从操作系统底层捕获数据报文、撰改数据报文并控制是否转发。实现的方式可以驱动抓包发包方式、操作系统接口、应用程序挂接(如Linux的Iptable接口编程)等。管理服务器12内含管理服务器管理模块和管理服务器认证模块,实际应用中可根据容量和性能需求剥离这两个模块,甚至添加数据库服务器和证书服务器,也可用第三方的证书服务器。客户机模块11到管理服务器12之间的认证方式将采用加密的TCP数据报文进行传输,同样管理服务器12与边界设备13间也将采用加密的TCP数据报文进行传输以保证内容保密性、完整性和可用性。管理服务器管理12模块主要用客户机/服务器模式(C/S)或者浏览器/服务器模式(B/S)来进行客户机用户的注册、变更等操作,后者更为被推荐。以上管理服务器认证子模块121、管理服务器管理子模块122、边界设备模块13均可以被物理地归并为-一到三个模块。图2为客户机模块数据流程图,如图2所示,步骤一当客户才;Mt块拦截到所有应用程序发出的数据报文,步骤二对其是否为指令的应用程序发出的数据报文进行判断,步骤三如果是应用程序发出的数据报文,进一步判断本次连接是否已经认证(即是否获得应用指紋),步骤四如果是再判断应用指紋是否到期,步骤五如果没有到期,即利用应用指紋对其发出的数据报文进行标记和加密,而发出此数据报文。其中,如果步骤二中如果发送的不是为指定的应用程序发出的数据报文,则不用关心其是否发出或者阻断;步骤三中,如果本次连接没有认证,则回到步骤一,请求认证,而后等待认证信号,符合条件从而获得认证结果,步骤六判断认证是否通过,如果认证通过,转到步骤五对其数据报文进行加密而后发出此数据报文;上述当在等待认证信号超时和如果认证没有通过,则丟弃此数据报文。图3为管理服务器的数据流程图,如图3所示,步骤一管理服务器接收到认证请求信号,对其进行认证,步骤二判断其认证是否通过,如果通过,则生成应用指紋,而后向边界设备发送客户机IP地址,MAC地址以及应用指纟丈,步骤三等待边界设备的回应,是否超时,如果不超时,向客户机模块发送认证成功及应用指紋。其中,步骤二中认证没有通过或者或步骤三中已经超时则该管理服务器回应认证失败。图4为边界设备的数据流程图,如图4所示,包括步骤一当边界设备受到所有的数据报文,对其进行判断,是否为管理服务器的认证信号,步骤二如果不是,进一步判断其是否为管理服务器发出的白名单与应用指紋更新信号,步骤三再进一步判断客户机的IP地址,MAC地址是否在白名单中,如果是,步骤四判断是否与应用指紋相符合,利用应用指紋解密,而发送到目的机器。其中,步骤一中判断如果是管理服务器的认证信号,则转发到管理服务器;其中,步骤二中,如果不是为管理服务器发出的白名单与应用指紋更新信号,则更新白名单与应用指紋列表,而后向管理服务器发送更新成功信号;其中,步骤三、步骤四中如果客户机的IP地址,MAC地址不在白名单中或者与应用指紋不相符合则不转发该数据文报。本发明具有以下优点1、保证在预先提供的通信隧道里,不论其是否相对安全,只传输指定的应用程序数据才艮文。2、无需关心非信任内容的特征,没有特征库升级等需求。3、数据报文加密计算量小,传输效率高。4、告警数据可进行二次挖掘,进行更深层的分析。以上所述者,仅为本发明最佳实施例而已,并非用于限制本发明的范围,凡依本发明申请专利范围所作的等效变化或修饰,皆为本发明所涵盖。权利要求1.基于信任检测的应用指纹通信系统,其特征在于包括客户机模块用于与管理服务器认证并取得应用指纹,并用该应用指纹对预先指定的应用程序发出的数据进行标识和加密等;管理服务器认证子模块用于与客户机模块认证,并产生应用指纹发给边界设备模块和认证子模块等;管理服务器管理子模块用于日常维护、管理、配置、结果查看、报表输出等;边界设备模块用于识别并解密信任的数据报文,阻断非信任的报文,并产生告警等。2.如权利要求1所述的网络安全事件的基于信任检测的应用指紋通信系统,其特征在于所述管理服务器认证子模块、管理服务器管理子模块、边界设备模块均可以被物理地归并为一到三个模块。3.基于信任检测的应用指紋通信方法,其特征在于包括步骤一客户机模块向管理服务器验证身份并请求获得该次认证的应用指紋;步骤二当确认了客户机身份,管理服务器将随机产生本次认证的应用指紋,将客户机的IP地址和MAC地址以及对应的应用指紋发给边界设备,在边界设备上形成白名单和应用指紋表;步骤三当得到边界设备接受回应,服务器又将认证成功信号以及该应用指紋发回给客户机模块,否则给客户机模块发回认证失败信号;步骤四客户机模块在应用指紋有效期内,对预先指定的应用程序发出的数据报文进行与应用指紋加密及做记号后发出,对其他应用程序发出的数据报文将不予理会或进行阻断,在认证期间所有应用程序数据报文暂緩发送;步骤五边界设备收到客户机发来的数据报文后,判断客户机在白名单内则将数据报文与应用指紋表对应并解密,将解密后的数据报文发向目的机器,对与应用指紋无法匹配的数据报文将不予转发,并按预先的设定给予报警;步骤六边界设备对客户机到管理服务器之间的认证信号将被特殊识别并通行。4.如权利要求3所述的基于信任检测的应用指紋通信方法,其特征在于当新的连接产生或应用指紋有效时间到达之前,客户机模块将重新以上步骤一到步骤五,如此保证只有指定的应用程序发出的数据报文才能从客户机发到目的机器,使得目的机器不受客户机的网络攻击威胁。5.如权利要求3所述的基于信任检测的应用指紋通信方法,其特征在于上述步骤一为客户机模块在新的连接创建或者旧的应用指紋将失效的时候主动向管理服务器发起的认证请求数据报文。6.如权利要求3所述的基于信任检测的应用指紋通信方法,其特征在于上述步骤二为管理服务器将认证内容与预先通过管理服务器管理子模块存放在数据库里的客户机身份信息对比,确认身份后产生应用指紋。7.如权利要求3所述的基于信任检测的应用指紋通信方法,其特征在于上述步骤三明确表明边界设备较客户机更先接收到新的应用指紋。8.如权利要求3所述的基于信任检测的应用指紋通信方法,其特征在于上述步骤四,在认证期间所有应用程序数据报文暂緩发送。9.如权利要求3所述的基于信任检测的应用指紋通信方法,其特征在于上述步骤六描述特别申明边界设备对客户机到管理服务器之间的认证信号是特殊处理的。全文摘要基于信任检测的应用指纹通信方法及系统,其系统包括客户机模块用于与管理服务器认证并取得应用指纹,并用该应用指纹对预先指定的应用程序发出的数据进行标识和加密等;管理服务器认证子模块用于与客户机模块认证,并产生应用指纹发给边界设备模块和认证子模块等;管理服务器管理子模块用于日常维护、管理、配置、结果查看、报表输出等;边界设备模块用于识别并解密信任的数据报文,阻断非信任的报文,并产生告警等。本发明具有以下优点保证在预先提供的通信隧道里,不论其是否相对安全,只传输指定的应用程序数据报文,无需关心非信任内容的特征,没有特征库升级等需求。文档编号H04L9/00GK101150390SQ20061012229公开日2008年3月26日申请日期2006年9月22日优先权日2006年9月22日发明者卫周,文张,陈建芳申请人:周卫;张文