专利名称:一种实现可信局域网及互联网的方法
技术领域:
本发明涉及网络安全技术,特别涉及一种实现可信局域网及互联网的方法。
背景技术:
随着电子商务/政务的深入,社会正常运转对互联网的依赖越来越强,网络 入侵、网络犯罪等信息安全事件时有发生,建立可追溯、可监控、可信、有序的 安全的互联网空间越来越迫切。
现有的网络监管技术,通常都是通过日志对计算机进行反跟踪。而作为追溯 依据的日志,数据量大、分布广、更新快,使得追溯困难重重。
为了网络访问的安全以及节省IP开销、提高访问速度,代理服务成为网络 应用一个不可缺少的部分,所以,计算机A要访问计算机B中间可能跨过了许
多代理^,;^,…义",但是对B而言它只知道X"访问了它,要找到A必须通过 査找J^,…,A,A的日志。
但是如果仅仅是国内的代理还比较容易得到日志, 一旦其中还有国外的代 理,那么要获取代理日志就更难。
而且在浩瀚的日志中要査找到有效的信息是费时费力的,很有可能在没有找 到源机器时其中的一些代理已经更新了日志了 。而且破坏者有时为了毁灭自己访 问痕迹可能会将代理的日志信息删去,使得采证无法进行。
网络取证的手段,最好的方式莫过与可以从目标机器上取得源机器的信息, 这样就无需要经过重重的路由器、代理服务器来査找源机器到底在哪里,实现直 接取证,大大减短找到源头的时间。
我们知道,IP协议是TCP/IP协议族中最为核心的协议。所有的TCP、UDP、 ICMP 及IGMP数据都以IP数据报格式传输。IP数据报的格式如图1所示,普通的IP数据 报首部长为20个字节,除非含有选项字段。
这里的"选项"字段,是数据报中的一个可变长的可选信息。目前,这些任 选项定义如下
安全和处理限制(用于军事领域)
记录路径(让每个路由器都记下它的IP地址)
时间戳(让每个路由器都记下它的IP地址和时间)
宽松的源站选路(为数据报指定一系列必须经过的IP地址)
严格的源站选路(与宽松的源站选路类似,但是要求只能经过指定的这些 地址,不能经过其他的地址)。
这些选项很少被使用,而且并非所有的主机和路由器都支持这些选项。
选项字段一直都是以32 bit作为界限,在必要的时候插入值为O的填充字节。 这样就保证IP首部始终是32 bit的整数倍(这是首部长度字段所要求的)。
IP数据报是不可靠的,因为IP并没有做任何事情来确认数据包是按顺序发 送的或者没有被破坏。根据IP数据报无法获得或无法准确获得的数据发送方标 识(机器的IP地址、MAC地址或用户的唯一标识),IP数据报也没有签名及验 证机制,依靠现有技术难以满足我们在可追溯、可监控、可信、有序等方面的需 求。
发明内容
本发明目的在于克服上述现有技术中存在的缺陷,提供一种实现可信局域网 及互联网的方法。
本发明提供一种实现可信局域网及互联网的方法,包括以下步骤
(1) 在构成局域网或互联网的每台数据接收或发送设备上的安装并运行 IP数据报收发程序,以替换操作系统的协议处理部分;
(2) IP数据报收发程序对数据发送方设备将要发出的IP数据报进行电子 签名,重构IP数据报;
(3) 数据接收方设备接收IP数据报,对该IP数据报的"选项"字段的签 名部分作签名验证,如正确则转发,接受;如不正确则拒绝转发,丢 弃。
所述的数据接收或发送设备是计算机、网关、路由器等。
步骤(2)中所述的重构IP数据报,是将"数据发送方的标识"和电子签 名一起,附加写入IP数据报的"选项"字段;
所述的"数据发送方的标识"可以是机器的IP地址、MAC地址或用户的唯 一标识,或它们的组合。
本发明在IP数据报的"选项"字段中填入我们需要的验证信息,在需要进 行网络取证时,可以从目标机器上取得源机器的信息,这样就无需要经过重重的 路由器、代理服务器来査找源机器到底在哪里,实现直接取证,大大减短找到源 头的时间。有效实现了可追溯的、可监控、可信、有序的安全局域网及互联网。-
图1是现有TCP/IP协议的IP数据报格式说明图; 图2是本发明的可信局域网的IP数据报格式说明图; 图3是本发明实施例中步骤(2)的流程图4是本发明实施例中步骤(3)的流程图;
图5是本发明的可信局域网及互联网工作原理图。
具体实施例方式
下面结合附图和具体实施例对本发明作进一步详细描述
如图2、 3、 4、 5所示,本实施例的一种实现可信局域网的方法,包括以下
步骤
(1) 在构成局域网或互联网的每台数据接收或发送设备上的安装并运行 IP数据报收发程序,以替换操作系统的协议处理部分;
(2) IP数据报收发程序对数据发送方设备将要发出的IP数据报进行电 子签名,重构IP数据报;
(3) 数据接收方设备接收IP数据报,对该IP数据报的"选项"字段的 签名部分作签名验证,如正确则转发,接受;如不正确则拒绝转发,丢 弃。
所述的数据接收或发送设备是计算机、网关、路由器等。 步骤(2)中所述的重构IP数据报,是将"数据发送方的标识"和电子签 名一起,附加写入IP数据报的"选项"字段,如图2;所述的"数据发送方的标识"可以是机器的IP地址、MAC地址或用户的唯 一标识,或它们的组合。
应用时如图5所示,在构成局域网的每台计算机上安装IP数据报收发程序 并运行,网关起到过滤IP数据报的功能,每接收到一个数据报,就根据标识, 计算其相应的签名,并验证签名是否正确,如果正确则转发、接收,否则拒绝转 发、丢弃。本发明解决安全互联网的第一步,即可信的局域网,实现可追溯的、 可监控、可信、有序的安全局域网。由可信局域网组成的互联网,也就是可追溯、 可监控、可信、有序的互联网。
权利要求
1、一种实现可信局域网及互联网的方法,包括以下步骤(1)在构成局域网或互联网的每台数据接收或发送设备上安装并运行IP数据报收发程序,以替换操作系统的协议处理部分;(2)IP数据报收发程序对数据发送方设备将要发出的IP数据报进行电子签名,重构IP数据报;(3)数据接收方设备接收IP数据报,对该IP数据报的“选项”字段的签名部分作签名验证,如正确则转发,接受;如不正确则拒绝转发,丢弃。
2、 根据权利要求l所述的一种实现可信局域网及互联网的方法,其特征 在于,所述的数据接收或发送设备是计算机、网关、路由器。
3、 根据权利要求l所述的一种实现可信局域网及互联网的方法,其特征在 于,步骤(2)中所述的重构IP数据报,是将数据发送方的标识和电子签名一起, 附加写入IP数据报的"选项"字段。
4、 根据权利要求3所述的一种实现可信局域网及互联网的方法,其特征在 于,所述的数据发送方的标识是指机器的IP地址、MAC地址或用户的唯一标识, 或它们的组合。
全文摘要
本发明公开了一种实现可信局域网及互联网的方法,它包括以下步骤(1)在构成局域网或互联网的每台数据接收或发送设备上的安装并运行IP数据报收发程序,以替换操作系统的协议处理部分;(2)IP数据报收发程序对数据发送方设备将要发出的IP数据报进行电子签名,重构IP数据报——将“数据发送方的标识”和电子签名一起,附加写入IP数据报的“选项”字段;(3)数据接收方设备接收IP数据报,对该IP数据报的“选项”字段的签名部分作签名验证,如正确则转发,接受;否则拒绝转发,丢弃。本发明在需要进行网络取证时,可以从目标机器上取得源机器的信息,这样就无需要经过重重的路由器、代理服务器来查找源机器到底在哪里,实现直接取证,大大减短找到源头的时间。有效实现了可追溯的、可监控、可信、有序的安全局域网及互联网。
文档编号H04L12/28GK101355564SQ20081019863
公开日2009年1月28日 申请日期2008年9月19日 优先权日2008年9月19日
发明者田文春, 程海龙, 郑东曦 申请人:广东南方信息安全产业基地有限公司