专利名称::安全网络体系结构的制作方法
技术领域:
:本发明涉及网络安全,更具体地但不排他地涉及在不安全网络或网络集合(例如因特网)上提供安全的虚拟网络(例如,企业内部网)。
背景技术:
:对公用网络和专用网络的用户而言,网络安全始终是一个问题。虚拟专用网络(VPN)可用于在因特网之上扩展专用网络以例如允许远程用户访问该专用网络。通常,一旦远程用户越过了防火墙,该用户就可对该专用网络进行完全的访问。类似地,在专用网络内部连接的用户通常也可对该网络进行完全的访问,或者基于在专用网络内的独立资源处设置的安全规定而对他们的访问进行限制。诸如广域网(WAN)的分布式专用网络通常使用专线来耦合地理位置分离的局域网(LAN),然而这是昂贵的,通常要求每个站点处防火墙规则协同设置,这是复杂的,并且由于不同的本地要求,还可能随时间而产生分歧,导致连接困难。
发明内容概括地,在一个方面,本发明提供了一种星形连接网络,其中中央服务器节点例如在因特网之上使用各自加密的连接(诸如安全套接字层(SSL)会话)耦合到多个客户机节点。客户机节点的外部通信被限制为使用与服务器节点的各自加密的连接,因此两个客户机节点之间的分组要经由服务器节点路由(至少是为了开始连接)。服务器节点包括用于建立与每个客户机节点的加密连接的装置,例如,诸如SSL服务器的VPN服务器。来自客户机节点的分组通过防火墙路由到VPN服务器,发往客户机节点的分组通过防火墙从VPN服务器路由,该防火墙根据多个规则准许或拒绝进入的分组和外发的分组。这些规则取决于各自加密的连接的建立,因而,例如,与建立的加密连接无关的分组可以被阻挡或拒绝。这些规则还取决于安全策略,该安全策略可以包括与发送/接收分组所涉及的客户机节点(例如,该客户机节点是否对应于对访问其他客户机节点具有某些限制的雇员或对应于远程连接的客户机节点)相关的附加限制。这种布置允许这样的安全策略使用防火墙集中控制网络的所有客户机节点。在一实施方式中,该虚拟专用网络服务器是被配置成经由防火墙接收和发送所有分组的SSL服务器。该VPN服务器还被配置成产生建立的加密连接的列表,该列表可以被输入到用于实现安全策略的安全策略引擎以产生用于更新防火墙中的现有规则的一组规则。在一实施方式中,各客户机节点包括安全存储在防篡改硬件模块中的认证信息以用于对建立与服务器节点的加密连接进行认证。防篡改硬件模块可以限制对服务器节点的外部接入,且可以使用安全存储的私钥签署公共证书,以使得服务器节点能够通过使用与该私钥相关的相应公钥来验证该公共证书来自于相应客户机节点。在一实施方式中,该安全策略引擎包括诸如AT&T实验室的KeyNote这样的高级引擎,用于响应于接收了对应于识别出的客户机的虚拟专用网络的建立指示的上下文处理器或者其他软件模块提供的多个会话参数和诸如客户机公钥这样的客户机标识,返回准许或拒绝判定。该上下文处理器将客户机标识和会话参数处理或者转换为具有用于策略引擎的预定格式的查询,且将返回的判定转换成相应的更新后的防火墙规则。该会话参数包括目的地地址;会话类型;用于会话的应用类型;端口号。优选地,一旦服务器授权了用于特定应用的连接(即,从安全策略弓I擎接收到准许判定之后),则将用于获得许可判定的会话参数记录为当前会话参数设置,并且,随后检査每个进入分组(任一方向)以确保该分组匹配其存储的当前会话参数设置之一。这通过判断应用标识方便地完成,该应用标识识别作为分组去往目的地或者分组来源的应用;具体而言,在一实施方式中,这能够通过检查各分组的套接字标识(源和目的地IP地址以及端口号)是否匹配当前会话参数之一而完成,因为这些当前会话参数唯一地将每个分组与相关应用相关联。当服务器例如通过观察TCP连接断开或者当连接不被使用的超时周期耗尽时而检测出应用希望结束特定连接时,服务器可以删除相应会话参数设置,使得仅适度地存储当前设置。优选地,服务器或者防火墙接收的与存储的当前会话参数设置之一不匹配的任意分组被丢弃。在一实施方式中,使用虚拟局域网(VLAN)在一个或更多个互连分组交换网状网络上实现星形连接网络,来支持加密连接。VLAN在第2层实现,这增加了客户机节点和服务器节点之间的加密连接上的数据通信的速度。在另一方面,提供了一种服务器节点,该服务器节点用于具有多个客户机节点的星形连接网络;且其包括用于建立与各客户机节点的加密连接的装置,诸如VPN服务器,该VPN服务器被布置以经由防火墙且使用两个相应加密连接在两个客户机之间对分组进行路由,该防火墙被设置以根据多个规则阻挡或者允许所述分组,使用上述两个加密连接的所述分组通过该防火墙进行路由,且该规则依赖于与客户机节点的各自的加密连接的建立且依照预定的安全策略。在另一方面,提供了一种客户机节点,该客户机节点用于具有多个客户机节点和一服务器节点的星形网络;该客户机节点包括使用加密连接限制跨越网络与服务器节点通信的装置;以及使用加密连接经由服务器节点将分组路由到另一客户机节点的装置。在一实施方式中,该客户机节点包括防篡改硬件模块以加强该限制和路由,并提供用于建立加密链接的认证证明。在另选的实施方式中,最初由外围节点(对应于第一实施方式的客户机节点)进行与中央控制节点(对应于服务器节点)的外部通信,但是不要求所有后续分组也都分别通过中央控制节点和各通信外围节点之间的加密SSL连接经过中央控制节点,在该实施方式中,与中央节点的初始连接用于建立两个通信外围节点(用作对等节点,或者一个用作客户机且另一个用作服务器)之间的(更直接的)连接。受信任的计算模块可用于加强策略,由此,仅可以在从中央控制装置获得明确授权之后才能建立到中央控制节点之外的其他目的地的连接。优选地,这包括要求接收了明确授权的连接(不需要经过中央控制节点/配置)所涉及的所有节点在需要时发送、接收和/或转发合适的数据分组。优选地,这种授权是有时间限制的且当授权时间期满时,要求来自中央控制节点/配置的新的授权。在又一另选实施方式中,不是具有单个中央控制节点,而是存在多个中央控制节点,这些中央控制节点彼此互连,且从外围节点和用于网络活动记录目的的角度,其行为就像单个节点一样。因而,根据这些另选实施方式,提供了一种具有很多外围节点和一中央控制配置的星形连接网络;其中,各外围节点具有除非该外围节点已经从中央控制配置接收了明确的建立另一连接的授权以外,使用相应加密连接限制跨越网络到中央控制节点的通信装置;并且其中,该中央控制配置包括用于建立与各外围节点的加密连接的装置;使用两个或更多各自的加密连接与两个或更多外围节点交换控制分组,以建立两个外围节点之间的授权连接的装置;存储安全策略信息的数据库,该安全策略信息规定外围节点之间的何种连接被允许;以及使用该控制分组交换装置根据存储的安全策略信息授权允许的连接的授权装置。在这种布置中,根据其希望实现的功能,外围节点可用作客户机、服务器、对等点或代理服务器。各外围节点能够通过发起连接本身或响应于从中央控制配置接收到建立这种连接的请求,而建立与中央控制配置的安全连接。优选地,该中央控制配置包括攻击检测模块,该模块可操作以分析未被授权的连接尝试且试图检测这种无效尝试中的任意模式。在一实施方式中,任何检测出的模式都被报告给管理员,管理员然后可以设置丢弃或登陆的策略,然后丢弃匹配该模式的任意后续连接尝试,而不发送任意响应或执行任意加密相关处理。在另选的配置中,该攻击检测模块可以自动地应用这种策略而不是依靠人类管理员来完成。优选地,该中央控制配置采取的任意这种行为仍然被报告给管理员以使得管理员能够在必要时超控任意自动应用的策略。以这种方式,代表攻击的集中点的集中体系结构能够鲁棒地防范可能的攻击,包括对用于建立安全连接的多个请求形式的服务攻击的分布式拒绝。本发明还提供操作星形连接网络、服务器节点和客户机节点的相应方法。这些方法可以使用存储在包括有形数据存储设备的载体装置上的计算机程序来实现。现在将参照下面的附图以仅为示例而非限制性的方式描述实施方式,附图中-图1是示出了根据一实施方式的网络体系结构的示意图;图2是示出了根据一实施方式处理分组的方法的流程图;图3是示出了根据一实施方式查询策略引擎的方法的流程图;图4是示出了用于底层网络的星形连接网络安全覆盖的示意图;图5是根据一实施方式在服务器节点和客户机节点之间建立加密连接的方法;以及图6是类似于图1的示意图,但是其示出了根据另一实施方式的网络体系结构。具体实施例方式图1示出了在很多IP或其他分组交换网络之上实现的且根据一实施方式的安全星形连接虚拟网络的示意图。安全虚拟网络或虚拟因特网(VI)100包括服务器节点110以及经由两个分组交换网络150与该服务器节点110耦合的很多客户机节点160。在该实施方式中,底层互连网络是因特网150a和由上覆式安全虚拟网络(overlyingsecurevirtualnetwork)100的运营商运营的局域网(LAN)150b。然而,该网络配置用于使解释简单,可以使用不同底层网络体系结构实现各种另选实施方式,例如,仅使用因特网、使用多个互连的WLAN和LAN、因特网和蜂窝网络或任意数目的分组和/或电路交换网络的其他组合。每个客户机节点160包括受信任平台模块(TPM)170,其是集成到客户机中的防篡改硬件设备。TPM170在每个客户机节点160上执行严格的安全策略,确保节点160仅通过各自的互连网络150a和/或150b与中央服务器节点110通信。这例如可以通过实现局部防火墙且利用TPM170上的端口进行外部接口来实现。另选地或者另外地,客户机TPM170上的软件将监控客户机节点160上运行了何种处理。TPM170将仅准许对这样的处理或者应用进行外部访问所述处理或者应用可被配置以仅准许去往虚拟网络100或来自虚拟网络100的通信量。在文档服务器和其他资源或者甚至目的地或第二客户机节点上,可以使用开放源apache(阿帕奇)网络服务器,其中配置文件被设置为拒绝到公共IP地址的请求,但是接受与虚拟网络服务器110相关的IP地址。这防止了客户机从这些节点访问资源而不经过服务器节点110。TPMno还为各个各自的客户机节点160提供诸如安全数字证书的认证书,以及用于与中央服务器节点110连接的安全加密工具。TPM170还可以被布置为在允许去往/来自服务器110的通信量之前要求客户机160的用户进行认证。中央服务器节点(VI)110包括诸如防火墙115之类的分组过滤器、诸如安全套接字层(SSL)服务器120的加密连接或会话服务器、上下文处理器125、安全策略引擎130以及安全策略135的存储器。到互连网络150的所有连接都经由防火墙115,该防火墙115将每个进入分组和外发分组与一系列防火墙规则相匹配。所述分组可以与各种参数相匹配,所述参数例如是分组的源和目的地地址、端口地址、分组相关的应用,以及本领域技术人员将意识到的且取决于服务器运营商的安全策略135的各种其他安全相关参数。中央服务器110通常也包括TPM170,其为SSL服务器120提供诸如用于服务器的安全数字证书的认证证明以及用于与客户机节点160相连的安全加密工具。SSL服务器120或其他加密连接服务器能够在服务器节点110和各客户机节点160之间建立和维持单独的加密连接。使用相互认证和以及存储在各自的客户机节点160和服务器110的TPM170中的密匙和加密算法建立各SSL会话。应当理解,每个SSL会话或连接加密和封装各自的客户机节点160和服务器110之间的分组。从客户机节点接收的分组然后通过防火墙115路由,如果它们满足防火墙规则,则被准许或允许经过SSL服务器120。典型地,防火墙规则将询问接收的分组和其封装分组有效载荷的源和目的地地址。SSL服务器120将照常使用SSL操作解封装和解密接收的分组以恢复封装的分组。目的地地址被识别且分组被再封装、再加密且然后经由防火墙115转发到目的地客户机节点160。同样,防火墙115根据防火墙规则询问外发分组。每个客户机节点160因此被有效地分配到其自己的单独安全域,传递到或来自其他客户机节点的任意分组必须经过防火墙115。这允许网络100的安全策略被集中管理且应用于网络100的所有客户机节点160。这与防火墙用作两个分立网络(例如因特网和内部LAN)之间的安全接口的典型布置不同。位于现有系统的LAN内的客户机节点不经过防火墙实现的安全策略,且被假定为是值得信任的。类似地,一旦远程计算机越过了防火墙,典型地,其将被准许进行与LAN安全域中其他用户相同的访问(权限)。作为附加的安全措施,使用SSL或者使用各客户机节点160上的TPM170实现的其他加密连接工具,在该实施方式中,使用服务器节点110上的TPM,来加密各个客户机节点160和服务器节点IIO之间的连接。作为又一安全措施,当与客户机节点160建立新的SSL连接/会话时以及当现有SSL连接/会话例如因为远程用户退出因特网150a而终止时,防火墙规则自动更新。防火墙规则的更新使用上下文处理器125完成,该上下文处理器125是服务器节点处理器上实现的软件模块,且其从SSL服务器120接收当前SSL会话的列表。通过比较这些列表与存储的先前的SSL会话列表或者根据当前防火墙规则确定的SSL会话列表,上下文处理器125可以判断新的和终止的SSL会话且相应地更新防火墙规则。典型地,这将涉及使用新设置代替防火墙115上的诸如iptable(IP表)的现有防火墙规则,该新设置包括涉及到与新的和终止的SSL会话相关的客户机160的更新规则。在最简单的配置中,规则将被更新以现在准许或允许具有与和新SSL会话相关的客户机节点向对应的源和目的地地址的分组。类似地,规则将更新,以拒绝或者阻止具有与终止的SSL会话相关的客户机节点相对应的源和目的地地址的分组。然而,与各客户机节点160相关的规则通常更加复杂,例如可以基于雇员类型实现限制,其中对某些服务器(例如160d)的访问被限制为某些雇员类型。类似地,可以基于地点,例如基于客户机节点是经由因特网还是本地LAN连接到服务器节点而对访问进行限制。上下文处理器125因而将请求针对该或各新客户机节点160的策略细节。这可以通过输入客户机标识完成,该客户机标识例如是网络内唯一编号或者其他引用(reference),诸如与和SSL服务器120建立了SSL连接的客户机节点160r相关的公钥。策略引擎130在策略数据库135中査询与新连接的客户机节点160r相关的策略陈述。这些策略陈述可以对于客户机节点160r唯一,或者可以与一组这种客户机节点160(例如,特定雇员等级)相关。这些策略陈述被传递回上下文处理器125,该上下文处理器将它们转换成用于更新防火墙115的iptable或其他防火墙规则。另选地,上下文处理器125可以被配置为向策略引擎130转发取决于新的(和/或终止的)客户机节点160的特定格式的查询。策略引擎130然后返回针对特定资源的各请求的准许/拒绝型响应(格式化的查询)。这些响应被上下文处理器125解释且被转换成更新的防火墙规则。在该实施方式中,策略引擎130以高级语言形式的策略陈述来操作,所述策略陈述然后被上下文处理器转换成iptable规则或者其他详细的防火墙规则。这使得可以更灵活地改变用于各个客户机节点或客户机节点组的安全策略。然而,策略引擎130和上下文处理器125的功能可以合并,使得可以根据新连接的客户机节点160r自动检索详细的防火墙规则,且然后将它们写入到防火墙中。该实施方式提供了很多优点。不管用户位于被安全虚拟网络运营商运营的"内部"网络150b上还是位于不受信任因特网150a上;在网络100上都统一被假设为是"外部访问",即从不受运营商控制的互连网络全虚拟网络100的用户的访问。该系统还允许对各用户的在虚拟网络100上的访问权利进行完全控制,且帮助确保客户机节点160、中央服务器节点100的安全性,并且将安全虚拟网络或系统100作为整体加以维护。通过使用辐射形或星形连接体系结构来产生虚拟安全覆盖,用户和资源被划分到分离的安全域,这使得更加难以不经检测就建立两个装置或节点之间的连接,因而减小了安全缺口攻击成功的风险。这种划分还允许基于诸如物理位置、机器安全状态以及基于角色的特权这样的因素,而给予不同级别的连接性和特权。这反过来提供了高灵活和粒度的中央访问控制。而且,因为所有系统流量都经过中央服务器110,因而所有系统活动能够被容易地记录和稽核;例如,用于检测闯入。如有需要,防火墙可以即刻锁定整个系统。附加优点在于,受益于以减小的成本提供相同或更好的安全性的基于因特网的解决方案,可以消除用于内部安全的防火墙保护的物理LAN的使用,——对于SME尤其如此。类似地,不再需要用于WAN基础设施的专线的使用。在需要安全域划分的情况下也可以体现成本的节约,因为不再需要域间附加的防火墙或者实际的附加物理网络基础设施,因为这种域划分可以使用服务器节点iio集中地实现。下面参照图2和图3中示出的方法,更详细地描述系统100的操作。这些方法涉及经由中央服务器节点110路由的请求方客户机节点160r和文档服务器客户机节点160d之间的通信。图2示出了操作防火墙115和SSL服务器120的方法。该方法(200)最初在防火墙110处接收来自第一节点或者请求方节点160r的分组(205)。所述分组可能已经在因特网150a、由与安全虚拟网络或安全系统100相同实体控制的LAN150b或者很多网络组合上传送。该分组可以是加密SSL或其他加密连接分组,或者可以是例如包括请求建立加密连接的请求在内的无加密连接分组。防火墙115然后将接收分组与典型地已知以iptable实现的很多防火墙规则进行匹配。防火墙规则通常将指示哪些目的地和源地址是允许的以及哪些是要被阻挡的。它们也可以限制允许的分组的端口和应用程序类型。在分组是SSL分组的情况,可以另外检测封装分组的目的地和源以及可13能的其他参数——对于本领域技术人员而言这已知为深度分组检测。与用于建立加密连接的已知初始请求类型相关且寻址到SSL或其他加密连接服务器120的无封装分组通常将被自动允许(210,是)。被寻址到中央服务器110的其它部分的分组通常将被阻挡。在分组是SSL分组的情况,防火墙将通过检査封装分组的源和目的地地址判断发送客户机160r是否被允许与(最终)目的地客户机160d通信。在分组由于违反防火墙规则之一而被防火墙阻挡的情况(210N),可以向分组的发送方返回错误消息(215)。例如,可以返回指示特定通信在星形连接虚拟安全网络100中不被允许的错误消息。在分组被防火墙允许的情况下(210Y),所述分组然后被路由到VPN或SSL服务器(220)。SSL服务器判断所述分组是否与SSL连接建立或终止请求相关(225),且如果不相关(225,否),则解封装和解密所述分组以恢复封装的分组(230)。如已知的,SSL分组含有对应于发送客户机节点160r的源地址以及对应于SSL服务器120的目的地地址。然而封装分组将包括对应于发给客户机160r的源地址和对应于最终目的客户机160d的目的地地址。SSL服务器120然后识别封装分组的目的地地址(235),在该示例中,为文档服务器节点160d。该方法然后再加密和封装分组(240)。现在,再加密分组然后被转发到防火墙(245),该再加密分组通常在SSL服务器120和第二或文档服务器客户机节点160d之间的不同SSL连接上。SSL服务器120将通常被配置为使得所有外发分组都被路由到防火墙115。防火墙115然后同样对照防火墙规则检查来自于SSL服务器120的分组(250)。和前面一样,这例如可能涉及检査再加密分组的源和目的地地址以及分组的端口地址和应用类型。同样,可以使用其中解封装和解密分组也被防火墙检测的深度分组检测。如果分组被阻挡(250,否),则错误信息被产生且通常被发送到原始发送方——请求方客户机节点160r。然而,如果分组被防火墙允许(250,是),则所述分组然后被路由到目的地或第二客户机节点(265),在该示例中为文档服务器160d。请求方或者第一客户机节点160r发送到文档服务器或者第二客户机节点160d的分组可能涉及对文档的请求。使用如上所述的在文档服务器和中央服务器之间以及请求方节点160r和中央服务器110之间的独立的SSL加密连接,包含该文档的分组然后经由中央服务器110被发送到请求方节点160r。这样,形成为重叠在互连网状网络150a和150b上的安全星形连接系统100的一部分的客户机节点160之间的所有通信都经由中央服务器110在相应加密隧道或连接之上路由,且防火墙115向所有这些通信应用合适的安全策略。在来自客户机节点160的进入分组涉及建立或终止与SSL服务器120的SSL连接时(225,是),它们被防火墙115所允许。该方法(200)然后判断所述分组涉及新的VPN连接请求还是涉及终止现有VPN连接的请求(270)。终止客户机节点160和SSL服务器之间的现有SSL连接的请求(270,否)导致连接以本领域技术人员所熟悉的方式断开。SSL服务器120维护当前SSL连接的列表,且该列表在连接断开时更新(290)。典型地,列表将包括各自的客户机节点160的公钥,这些公钥视需要而被标记为被终止或被连接;另选地,可以简单地从列表中移除被终止的客户机节点连接的公钥。某些标准SSL服务器120可能需要修改其软件来提供这种列表。当所述分组与用于客户机节点(例如160r)和SSL服务器120之间的新的SSL连接的请求相关时,实现SSL连接建立过程(280)。SSL连接建立过程(280)可以采用已知的SSL建立方法,不过通常使用进行请求的客户机节点的TPM(例如170r)。认证机构(CA)将签署分别存储在客户机160r和服务器节点110的TPM170r、170s中的针对服务器和客户机公钥两者的证书。在SSL协议中,这些证书被交换和验证。这允许它们使用公钥密码来产生会话密匙。数字证书还使用存储在TPM中的相应私钥签署/加密。相应的TPM公钥然后用于验证公共数字证书来自相应TPM。这增强了系统的安全性。当客户机节点(160r)被服务器节点(110)认证且建立了SSL连接时,当前SSL连接的列表被更新以包括新认证和连接的客户机节点(160r)。为了增强安全性,本实施方式的防火墙115使用的防火墙规则响应于SSL服务器120维护的当前SSL连接的变化而自动更新。因而,例如,当客户机节点(例如160r)没有与SSL服务器120建立SSL连接时,防火墙规则阻挡去往或来自该客户机节点(160r)的任意分组。该规则的例外是涉及建立SSL连接的从"未连接"客户机节点(160r)寻址到SSL服务器120的无封装分组(以及从SSL服务器120到客户机节点160r的无封装分组)。除了基于是否与相应客户机节点160建立了SSL连接来允许或阻挡分组之外,防火墙规则还附加地实现更高级别的安全策略。这种策略可以限制特定节点160r和其他客户机节点160之间的通信。这可以基于与客户机节点160的正常或指定用户相关的某些参数。例如,用户不可以访问企业的人力资源数据库或其他敏感数据,除非该用户来自于相关部门。另外,当用户通过公共因特网150a连接到系统100时,可以限制其对于某些其他客户机节点(例如160y)的访问,但是当他们通过企业内部LAN150b连接时则不受此限制。类似地,可以基于去往/来自客户机160的分组相关的应用的类型限制访问。例如,当经由公共因特网150a连接时,特定用户的客户机节点160r可以被限制为检査电子邮件,而当经由内部LAN150b连接时可以不实现该限制。这种性质的各种其他安全限制将被本领域技术人员意识到,且意在由本实施方式实施。为了实现这些特征,本实施方式使用上下文处理器125和策略引擎130。参考图3描述这些功能的操作,图3示出了操作上下文处理器125的方法。方法(300)定期查询SSL服务器120维护的当前SSL连接的列表(305)。当前列表可以与先前的列表进行比较以判断己经建立的新的SSL连接和已经终止的旧SSL连接。对于每个终止的SSL连接(310,终止),该方法使得与客户机节点相关的防火墙规则返回为缺省设置;典型地,阻挡去往/来自客户机节点的所有分组,但是涉及与SSL服务器120建立新连接的分组除外(315)。与建立新SSL连接相关的一组全局防火墙规则被维护,且与终止的客户机节点的附加访问权限相关的任何规则都被删除。对于每个新SSL连接(310,新),该方法针对与新SSL连接相关的客户机(例如160r)査询策略引擎130(325)。典型地,这将涉及形成标准查询格式的策略请求,该请求包括诸如用于客户机的系统唯一标识(IDclient)(例如客户机公钥),以及用于客户机的目的地地址(Addr-dest)的细节,以例如确立客户机装置正使用哪个网络(150a或150b)连接到系统IOO。该信息也可从SSL服务器120维护的列表获得,且由根据本方法(300)操作的上下文处理器125检索和转换为用于策略引擎130的适当格式。可以在策略判定中使用的某些其他细节包括源/目的地端口、关于请求的目的地的精细细节(目录、文件、数据库条目)、环境细节、环境细节、时/天/日期、当前系统负荷。下面将更详细地描述使用用于策略引擎130.的KeyNot^和用于防火墙的iptable的示例实施方式。策略引擎130从上下文处理器125接收请求,且查询系统的运营商陈述的各种安全策略135(330)。为了实现安全策略135的灵活管理,这些策略通常以诸如Keynote的高级语言陈述,其中单个策略例如可以应用于各组客户机。上下文处理器125中的合适的转换功能能够将这些策略例如实现为iptable中的单独的防火墙规则,并且仅涉及各自的客户机。策略引擎130针对从上下文处理器125接收的客户机身份,判断是否存在与安全策略135的任意匹配(330)。如果没有匹配,则防火墙规则不更新,且这将典型地意味着进行请求的客户机节点在安全策略135下没有访问特权。去往/来自该客户机的分组因此将继续被防火墙115阻挡。然而,如果客户机身份匹配一个或更多个安全策略,则这种匹配策略用于从搜索引擎130返回对上下文处理器的查询的准许/拒绝判定(330)。策略可以例如基于客户机节点160的位置来限制客户机节点分组可以向其转发或从其接收的目的地地址。类似地,还可以限制端口号和应用类型。各种其他访问限制将被本领域技术人员所了解且可以通过本实施方式实现。策略引擎130返回的策略判定然后被上下文处理器125转换为防火墙规则(335)。对应于策略判定的特定防火墙规则将依赖于实现的防火墙115,且典型示例是iptable,不过也可以使用其他类型。高级策略引擎130与上下文处理器125的一起使用允许采用模块化方法来实现自动防火墙更新。因而,例如,如果实现不同防火墙U5,这仅需要修改上下文处理器的转换软件。然而,在另选实施方式中,上下文处理器125和策略引擎130功能可以合并到单个软件模块中。已经获得了涉及新连接的客户机的防火墙规则之后,防火墙115的iptable被更新(340)。已知这可以通过使用针对新连接的客户机的附加的或变化了的规则来重写所有iptable并且刷新防火墙来实现。一旦防火墙规则被更新,则连接到SSL服务器120的客户机现在可以经由SSL服务器120向/从其他客户机节点转发/接收分组,各分组被防火墙115允许或阻挡。尽管加密连接被描述为SSL,但另选地可以使用各种其他加密隧道技术,例如包括,IPsec和传输层安全(TLS)。而且,尽管通常SSL要求会限制可实现的应用的浏览器,但可以使用存在的各种SSL软件客户端(诸如Stunnel)来在本身不具备SSL能力的非浏览器应用(例如邮件客户机)中实现SSL能力。SSL隧道或VPN可以在虚拟LAN(VLAN)体系结构(诸如SSL上以太网)上运行。示例的包包括0penVPN和0penSSL。这些包不要求诸如另一防火墙和VPN集线器这样的专用硬件,且可以仅使用软件实现。可使用各种Linux开源应用来创建第2层(例如TCP上以太网)加密连接。BrctlLinux以太网桥接软件允许基于以太网地址而非IP地址转发分组。这意味着所有较高层协议可以透明地穿过该桥。对于将被隧穿(tunnelled)的每个客户机节点的物理联网接口来说桥是需要的。为了桥接虚拟接口,换句话说为了旁路服务器自身的操作系统接口驱动器,桥对于服务器来说也是需要的;例如,用以使能加密连接上的加密。服务器桥对于包括很多客户机节点160的各VLAN或VLAN组来说是必需的。Stimnel可以在客户机和中央服务器两者上实现以分别请求和创建SSL连接。因而,Stunnel允许在SSL内对任意TCP连接进行加密以提供VLAN隧道顶部的各种SSL隧道。VTun可以在客户机上使用以将物理接口与由vtim会话建立的虚拟接口相绑定。这通过调用反馈接口且然后调用Stimnel完成。服务器上的Vtim在第2层将新隧道绑定在一起以创建很多虚拟以太网。Vtim服务器的单个实例运行单个配置文件,该配置文件定义VLAN/桥接组的细节。图4示出了在图1的网络体系结构(100)之上实现的星形连接网络400。星形连接网络400具有作为其星形连接点的中央服务器节点410,每个客户机节点460使用诸如SSL会话490的加密连接而连接到服务器节点410。软件模块480安装在每个客户机节点460上,其包括各种软件和/或硬件工具(例如修改的个人防火墙和/或apache网络服务器)以实现加密会话(例如Sturmel),并限制从客户机通信端口到中央服务器的通信。在上述VLAN实施方式中,软件模块480还包括Brctl和Vtun以在第2层实现VLAN体系结构,从而在星形连接网络配置内优化客户机节点和服务器节点410之间的通信。中央服务器410还包括相应的软件模块485,在该实施方式中,该软件模块包括Stunnel、Brctl和Vtun,用于实现SSL会话490以及用于实现星形连接网络400的第二层VLAN体系结构。该图示出了通过分立的SSL连接490(概括地由标号495示出)经由服务器节点410进行的两个客户机节点460r和460y之间的通信。尽管描述了VLAN方法用于与现有的基于Linux软件工具一起来实现现有因特网450a和其他网络450b之上的星形连接网络400,但也可以使用各种另选的方法。例如,对于小型星形连接网络400,可以简单地在因特网或LAN上实现SSL连接490而不使用VL認。在这种情况下,Stunnel或某些其他基于VPN的技术可以被添加到客户机节点和服务器节点以实现SSL连接。在又一另选中,可以使用另选的基于VPN的技术,诸如点对点隧道协议(PPPTP)、第二层隧道协议(L2TP)、L2TPv3,多协议标签交换(MPLS)和第二层转发(L2F)协议。而且,尽管提到了适于在本实施方式中实现的各种特定软件包,但技术人员将熟悉,可以另选地不经修改或经过微小修改而使用的来自开源或专利资源(ProprietarySource)的其^也软件包。TPM170可用于加强安全策略,使得客户机节点160上的外部通信必须只能与VI服务器节点110进行。TPM通常将要求客户机节点的用户为进行VI访问而向TPM认证其自身。这可以使用密码和/或从用户测量的生物参数来完成。在参照图1至图3描述的实施方式中,KeyNoteTM策略引擎可以与使用iptable的防火墙一起使用。iptable通常是静态和固定且复杂的。然而,在某些实施方式中,它们可以动态地操纵。为使得管理更加容易,安全策略以基本格式陈述,然后在运行时间被解释和执行。KeyNote对照一组策略处理已正确格式化的查询。可以在授权人、许可人、条件和签名方面实现所述策略。授权人是具有创建所有策略的权力的实体(服务器节点110以及虚拟网络100的运营商)的公钥。其被安全存储在服务器TPM170中,并且可以或者另选地被硬编码进服务器110代码,使得攻击者不能替换为其自身的密匙。给定策略的许可人是准许进行访问的用户的公钥,其通过TPM产生。条件将判断准予访问的用户的必要条件,例如策略的唯一标识符、策略的有效周期、用户被允许访问的应用。签名字段是使用授权人私钥签署的策略的内容的数字签名。其是TPM私钥,且仅能够由该特定服务器节点或特定专用远程节点上的密匙签署。策略引擎读取客户机公钥,且查询策略以得出允许客户进行什么访问。所述查询包括客户机公钥;应用的名称;当前时间;调用的策略(每个策略必须被单独调用)的列表。这些细节能够由上下文处理器在提交查询之前建立。策略引擎然后返回允许的资源/行为的列表。针对策略引擎130的査询的准备由上下文处理器125进行,该上下文处理器125从SSL服务器120检索要求的信息且进行适当的转换。类似地,当从策略引擎130检索到允许的行为/资源的列表时,上下文处理器125将其转换为用于更新防火墙115的iptable。图5示出了修改的SSL连接建立方法,其中使用客户机装置上的TPM工具以及VI服务器上的相应硬编码密匙。客户机最初向服务器发送SSL客户机问候消息(505)。该消息包括客户机节点160的TPM170产生的随机数据。该消息还包括标准SSL握手信息,诸如最高SSL版本、支持的密码、数据压縮方法和会话ID。该客户机问候消息被SSL服务器120接收且以本领域技术人员已知的常规方式处理。另外,使用预定密匙和算法处理该随机数据,该预定密匙和算法可以被硬编码到SSL服务器120中,或者单独但是安全地存储在中央服务器110的TPM170上。这种经处理的随机数据然后被包括在响应于客户机问候消息而发送到客户机节点的服务器问候消息中(510)。如所知的,服务器问候消息通常还包含所选SSL版本、所选密码、所选数据压縮方法以及分配的会话ID。该消息被客户机节点接收,且处理的随机数据可用作后续认证处理的一部分。服务器然后转发数字证书,该数字证书包括CA签署的公钥(515)。服务器的公钥通常被硬编码进SSL服务器代码,以使得恶意实体不可能改变它。客户机节点160接收服务器证书,且使用存储在其TPM170上的私钥进行认证。这通常要求TPM进行用户认证以确定用户的身份,例如由用户在客户机节点160键入密码或进行其他登陆过程来进行该认证。客户机160然后从其TPM170检索其自己的数字证书,该数字证书由CA签署。包括客户机公钥和认证签名的该证书被发送到服务器(520)。服务器以己知的方式认证客户机证书。客户机节点160和SSL服务器120然后协商会话密匙(525),这通常利用Diffe-Hellman交换,使用在客户问候消息中最初发送的随机数据进行。在会话密匙同意之后,如通常一样,可以进行客户机和服务器之间的加密数据传输(530)。图6示出了另选实施方式,其中中央服务器功能分布在多个中央服务器C1、C2、C3和C4之间。这些中央服务器彼此互连。因为中央服务器操作以提供虚拟企业内部网(VI),此后它们将被称为VI中央控制服务器C1-C4。图6还示出了多个局部外围客户机节点P1-P8。因为在外围节点之间具有各种直接连接,各外围节点具有到VI服务器节点的至少两个直接连接;然而,在图6中,为清晰起见,仅示出了用于三个外围节点P1、P2和P3的连接。VI服务器部分地或者完全网格化,g卩,每个VI服务器连接到多于两个的其他VI服务器以引入更多的可靠性和冗余,使得可以实现高可用性和负载均衡。而且,每个外围节点直接连接到至少两个VI服务器,一个是缺省服务器,另一格是备份服务器。因此,在图6中,可以看出,Pl、P2和P3分别具有缺省中央服务器C1、C2和C3以及备份中央服务器C2、C1和C3。执行如上所述的VI服务器功能所要求的信息分布在VI服务器的整个网络上。变型例在很多情况下,网络具有分开的控制平面和数据平面是有利的。这可以帮助改善网络的性能(在传输数据的速度方面)并改善网络的安全性(通常当客户被限制为仅使用数据平面时,恶意客户更加难以访问控制平面)。在本实施方式的虚拟企业内部网中,这可以以下面的方式(再次参考图6作为示例网络)(一定程度地)实现。在系统引导期间,网络将使用诸如0SPF的传统IGP基于当前网络拓扑而收敛。由此,每个VI服务器能够计算所有外围节点对之间的路径。另外,常规远程访问技术可用于准许远程和/或移动节点(例如,雇员的家用PC或者膝上电脑)使用诸如RADIUS的常规远程访问协议连接到中央控制配置。当任意外围节点希望连接到另一外围节点以获取某一服务或应用时,即使在一些外围节点对之间存在直接链路,在没有从分布式中央VI控制服务器功能获得授权的情况下,也不允许它们形成直接连接。因此,代替地,进行请求的外围节点必须发送初始请求到其缺省VI服务器,供其考虑。例如,假设P1希望连接到P3,它必须发送请求到其缺省控制节点Cl,Cl能够认证Pl且基于本地存储的安全策略调查Pl是否具有特权来使用请求的服务。在授权处理之后,Cl开始发送请求信息到目的地外围节点P3。Cl知道C3是用于P3的缺省VI服务器且当前启动并运行。因为IGP协议,Cl知道怎样经由直接链路(或者如果不存在直接连接,则经由其他中间VI服务器)发送请求到C3。C3然后可以将该请求转发到P3。如果P3能够处理该请求,它发送"请求接受"消息到C3,C3继续将其传递到C1,然后C1能够开始针对每个中间节点(中间节点可以是,并且在本示例中是所有客户机节点)的査询处理,以确保它们具有足够的资源来提供发送服务。最后,Cl发送"请求接受"消息到P1,并告知其到P3的路由。P1能够启动与P2的对话,告知P2下面的分组的目的地是P3。因为P2受C2命令向Pl提供发送服务,所以它可以从Pl接收分组且向P3转发所有的分组。优选地,为实现这点,通过安全的方式,例如安全传输层(TLS)协)协议,所述分组以使用合适协议的加密形式发送。这类似于如上所述的主实施方式,只不过此处不是具有两个分离的SSL连接,而是仅具有可能桥接一个或更多个中间节点的一个这种连接,而且与主实施方式的情况不同,不需要任意中间节点来进行加密和解密,仅所述两个通信节点需要进行加密和解密。实际上,即使连接经由n服务器节点(或者非分布式实施方式中的单独的服务器节点),通过不使(多个)VI服务器节点作为两个分离SSL连接的端点进行解密和加密,也会节省了(多个)VI服务器节点的相当可观的处理资源。如上所述的资源协商和预留处理是典型的,如果目的地客户机不能处理请求或不能提供所要求的服务,则进行请求的客户机被告知这点(其可以判定怎样完成它,例如,稍后再试一次或者试图发现另选源);另选地,如果中间节点不能提供所要求的发送资源,可以寻觅另选路由。例如,如果P3不能满足作为服务提供方的请求,它发送"请求拒绝"消息到C3,随后C3将其转发到C1且C1告知P1。另夕卜,如果诸如P2的任意中间客户机不能提供用于Pl的发送服务,它们告知它们自己的缺省VI服务器(例如,P2将告知其缺省服务器C2且C2将传递该信息到Cl)。协同服务器(即用于该请求客户机的缺省服务器,在本示例中即为C1)然后可以通过运行IGP或某些其他类似的路由发现协议试图发现另选路径(例如用于P1到达P3),并最终可以获得另选路径(诸如P1-P4-P3),然后进行与上述处理类似的处理。一般而言,诸如网络路由信息、请求初始化、认证、授权、系统登录、安全策略管理等的控制信息全部由VI服务器(分布式或非分布式)处理。客户流量通常通过中间客户机分发。通过避免与控制流量相比量相对大的客户流量(数据)经由VI服务器,这帮助缓解了VI服务器的负载,这还具有显著减小了经由客户数据平面发起的拒绝服务(DoS)攻击的可能性的安全益处。DoS攻击即通过发送大量数据试图淹没VI服务器,但是因为仅经过授权(并且仅可能是经TPM检查为未被攻陷的(uncompromised)授权设备)才被允许发送数据,所以受Dos攻击的风险比较低。再者,通过减小VI服务器的工作负荷,其对这样的DoS攻击将更加鲁棒,该DoS攻击包括未授权设备在实际没有任何希望或者意图来发起连接或发送任何数据的情况下试图发起连接。使用TPM防止外围节点不经控制配置的授权而彼此建立直接连接的一种方法是规定一个节点仅在被中央控制配置授权并且进行连接的节点提供的证明正确地将该节点认证为标识的节点时,该节点才允许进行从不同于中央控制配置的任意其他节点进入到它们的直接连接。能够使用进行连接的节点的TPM来提供这些受信任证明。使用这种布置,系统管理员能够进行布置使得最敏感设备(例如,存储公司敏感信息的文件服务器)只能被合法的、未被攻陷的设备接触;通常,诸如文件服务器的设备本身一般不需要建立连接,使得它们几乎没有疏忽地接触可能危及安全的机器的风险,这样的话即使较不重要的节点(例如雇员的膝上电脑)将变得危及安全,并允许进行从未授权设备到它的连接,或者试图进行未授权的连接,这样的风险也不会引起(像未授权设备能够启动与其完整性对于公司安全很重要的未被攻陷的节点的未授权连接那样的)大的安全威胁。可以代替更常规的TPM的使用,或者在更常规的TPM的使用之外,来进行这一点,以确保设备完整性不被运行在设备上的软件的未授权添加或修改而被攻陷。力教无鄉控因为虚拟企业内部网络服务器体系结构基于针对其服务的所有客户机的虚拟星形拓扑,所以设备之间的所有通信必须经过虚拟企业内部网络服务器。因此,如果VI服务器在所有隧道端点执行"深度分组检测",则虚拟网络中的每一个单个流可以被检测、记录,且在需要时被报告或甚至阻挡。随着隧道终止且解封装的底层两个分组被呈现给使用虚拟接口为虚拟LAN网段,此时,将使用软件入侵检测系统(IDS)库对分组进行检测且重建到TCP流中。随着各新的隧道被建立,新的IDS处理将被调用,因而确保所有连接被监控。该功能是极其有用的,因为它可用于信息交易和每个客户机的行为的内部监控。例如,其可以被配置以向系统管理员发出警报以例如指示正发生某些异常行为,诸如发送大量文档、在工作时间之外频繁地访问系统或者在没有必要授权等的情况下试图猜出密码等。//薪攻击腳每个VI服务器被基于签名的入侵检测系统保护,该系统在识别已知攻击方面是十分精确的,然而其不能认出任意新类型的攻击。在VI基础设施中,VI服务器可以是中央点,攻击者可以在该中央点发起各种攻击。例如,恶意人员能够使用低速DDoS攻击技术,其通过以较低速度(即每秒小于5个分组)发送请求但是要求较大计算工作量来处理诸如认证、访问控制等。这是一种协同行为,其试图隐藏其攻击网络的意图,并且一般会被IDS系统忽视,但是其目的在于使VI服务器的计算能力超负荷并且劣化其性能。当一个VI服务器识别到诸如大量无效认证、丢失分组等某些异常时,它开始分析所有这种请求的行为且创建针对这些分组的基本模式,诸如报头、源地址、目的地地址、有效载荷、消息等。在直接的情况,可以创建用于攻击的新的签名并警告网络管理员进行人工分析。在人工确认之后,其然后将新的签名广播到所有VI服务器并要求它们更新自己的签名数据库。否则,它将发送可疑行为的摘要到所有VI服务器并获得响应。然后,它可以使用某些"事件相关技术"创建用于新攻击的签名或将其处理为故障警报。一般而言,每个VI服务器在正常情况下在本地保存其所有系统登陆信息,数据将取决于操作要求在VI服务器上存储固定时间(即3天),然后将过期的数据传输到本地存储盘或存储网络。因为VI服务器提供整个网络服务,且网络上的每个点都由上述处理监控,因而能够实现更高质量的威胁评估和异常检测。技术人员将意识到,上述设备和方法可以实施为诸如盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的编程存储器或者诸如光学和电学信号载体的数据载体上的处理器控制代码。对于很多应用,本发明的实施方式将实现在DSP(数字信号处理器)、ASIC(特定用途集成电路)或FPGA(现场可编程门阵列)上。因而,所述代码可以包括常规编程代码或微代码或者例如用于建立或控制ASIC或FPGA的代码。所述代码还可以包括用于动态配置诸如可再编程逻辑门阵列的可再配置设备的代码。类似地,所述代码可以包括用于硬件描述语言(诸如Verilog或VHDL(超高速集成电路硬件描述语言))的代码。技术人员将意识到,所述代码可以分布在多个彼此通信的耦合组件之间。当合适时,实施方式还可以使用运行在现场可(再)编程模拟阵列或类似装置上的代码实现以配置模拟硬件。技术人员还将意识到,一般地,根据上述教导,各种实施方式及针对它们描述的具体特征将可以与其他实施方式或其具体描述的特征自由组合。技术人员还将认识到,可以针对描述的具体示例做出各种另选和修改而不偏离所附权利要求的范围。权利要求1.一种具有服务器节点和多个客户机节点的星形连接网络,用于准许客户机节点彼此间建立间接通信会话,其中各客户机节点在其能够在网络上建立的直接通信的类型方面被限制为其能够使用各自的加密连接建立与所述服务器节点的直接通信,但是不能直接建立与任何其他客户机节点的连接,且各客户机节点可操作经由各自的加密连接向所述服务器节点请求启动间接通信会话,该会话请求指定一个或更多个会话参数,所述一个或更多个会话参数包括与启动该间接通信会话的应用相关的应用标识;且其中该服务器节点包括连接控制器,用于建立与各客户机节点的加密连接;存储器,针对由客户机节点上运行的应用启动的各准许的当前会话,存储包括应用标识符在内的会话参数设置;路由控制器,使用两个各自加密的连接在两个客户机节点之间对分组进行路由;以及防火墙,根据各个这种分组是否包括与存储的会话参数设置相关或包含在存储的会话参数设置中的应用标识,来允许或阻挡所述分组。2.根据权利要求l所述的网络,其中该会话参数设置在建立和终止加密连接时自动更新。3.根据权利要求2所述的网络,其中该连接控制器包括被配置成经由该防火墙接收和发送所有分组的虚拟专用网络服务器。4.根据前述任意权利要求所述的网络,其中各客户机节点具有安全存储在防篡改硬件模块中的认证信息,用于对建立与该服务器节点的加密连接进行认证。5.根据权利要求4所述的网络,该网络还包括安全策略引擎,该安全策略引擎可操作以响应于请求与另一客户机节点建立通信链路的客户机节点提供的客户机标识和多个会话参数而返回准许或拒绝判定。6.根据权利要求6所述的网络,其中所述会话参数包括源和目的地网络地址;会话类型;用于会话的应用类型;以及端口号。7.根据前述任意权利要求所述的网络,其中使用虚拟局域网在一个或更多个互连分组交换网状网路上实现该星形连接网络,来支持加密连接。8.—种用于具有服务器节点和多个客户机节点的星形连接网络的服务器节点,该网络可操作以准许这些客户机节点彼此间建立间接通信会话,其中该服务器节点包括连接控制器,用于建立与各客户机节点的加密连接;存储器,针对在客户机节点上运行的应用启动的各准许的当前会话,存储包括应用标识符在内的会话参数设置;路由控制器,使用两个各自加密的连接在两个客户机节点之间对分组进行路由;以及防火墙,根据每个这种分组是否包括与存储的会话参数设置相关或包含在存储的会话参数设置中的应用标识,来允许或阻挡所述分组。9.一种操作具有服务器节点和多个客户机节点的星形连接网络以准许这些客户机节点彼此间建立间接通信会话的方法,该方法包括在各客户机节点能够在网络上建立的直接通信的类型方面将各客户机节点限制为其能够使用各自的加密连接建立与该服务器节点的直接通信,但是不能直接建立与任意其他客户机节点的连接,在启动客户机节点和该服务器节点之间建立加密连接;在该启动客户机节点处产生会话请求,以启动与目的地客户机节点的间接通信,并且经由该启动客户机节点和该服务器节点之间的加密连接将该会话请求发送到该服务器节点,该目的地客户机节点是另一客户机节点,该会话请求指定了一个或更多个会话参数,所述一个或更多个会话参数包括与负责启动该间接通信会话的该启动客户机节点上运行的应用相关的应用标识;基于存储的安全策略判断是否准许该会话,且如果会话被准许,则建立该服务器节点和该目的地客户机节点之间的加密连接;针对该准许的会话,存储包括与负责启动该会话的应用相关的应用标识在内的会话参数设置;以及使用该各自的加密连接在该启动客户机节点和目的地客户机节点之间对包括该应用标识的分组进行路由。10.根据权利要求9所述的方法,该方法还包括丢弃所接收的不包括与存储在会话参数设置中的与当前准许的会话相关的标识的分组。11.处理器可执行指令,用于使得客户机节点或服务器节点根据权利要求9或10所述的方法进行操作。12.—种有形数据存储装置,存储根据权利要求ll所述的处理器可执行指令。全文摘要本发明提供了一种具有中央控制配置(C1-C4)和多个外围节点(P1-P8)的星形连接网络(C1-C4,P1-P8)。每个外围节点具有这样的装置,该装置将网络上的通信限制为使用相应加密连接与该中央控制配置,除非该外围节点从该控制配置接收了与另一外围节点建立直接连接的明确授权。该中央控制配置包括用于建立与各外围节点的加密连接的装置;使用两个或更多各自的加密连接在两个或更多个外围节点之间交换控制分组以在两个外围节点之间建立授权连接的装置;用于存储指定外围节点之间的何种连接被允许的安全策略信息的数据库;以及使用该控制分组交换装置根据存储的安全策略信息授权可允许的连接的授权装置。文档编号H04L29/06GK101543005SQ200780043063公开日2009年9月23日申请日期2007年11月20日优先权日2006年11月20日发明者何利文,克里斯多佛·拉瑟福德,布赖恩·利特莱法尔,托马斯·马丁,迪内希·卡拉特申请人:英国电讯有限公司