一种网络安全的方法和系统的制作方法
【专利摘要】本发明描述了一个包含在网络设备上接收至少一个检测到的安全问题的信号指示的网络安全方法和系统。其中信号指示来自一个安全管理处理器上的一个安全代理。该方法包括:1.通过安全管理处理器轮询,至少一个其它的网络设备会响应并回馈处理器需要的附加的信息。2.通过安全管理处理器选择,至少一个可执行对象来回应这些信号指示和附加信息。3.通过安全管理处理器初始化至少一个可执行对象和网络设备之间的通信。
【专利说明】—种网络安全的方法和系统
【技术领域】
[0001]该技术涉及基于网络的通信的安全性的系统和方法,特别运用在拥有安全模块的公共通信网络进行通信。
【背景技术】
[0002]安全功能和设备已经成为通信网络的一个重要组成部分。例如蠕虫,病毒和间谍软件可以威胁网络安全,使网络设备无法操作或允许黑客或不法分子窃取敏感信息。如果企业网络没有足够的安全,黑客就可以从公司窃取商业机密和机密数据。没有安全保障的住宅系统,黑客可以假冒身份或破坏个人资料。目前很多的安全功能和设备可用于解决这类问题,但是,管理网络安全问题却是十分困难的,因为威胁会不断变化,导致系统通常非常复杂。例如,现在在市场上的杀毒软件很可能会由于即将出现的新的病毒的威胁而无法及时地保护用户。某些网络业务,如浏览互联网,并不需要很高的安全,而其他交易,如传输计算机之间的业务计划和技术发明,都必须保证足够的安全性。能提供或实现一个解决当前安全问题的安全性措施是十分必要的。数以百万计的计算机连接到网络,要在所有网络设备上实施和维护足够的安全措施,将是一项艰巨的任务。因此,面对当前网络的脆弱,实现一个最新的安全功能是相当有利的。
【发明内容】
[0003]本发明用于解决和维护网络安全的繁琐任务。其中的安全系统是利用一个集中的,主动的安全监测和几乎实时的维护过程来实现。该系统可以利用一组规则来监视安全性,检测安全威胁和解决安全问题。在本发明的另一实施例中,网络设备(如个人计算机)可以启动安全功能的请求。
[0004]安全问题被识别后,可执行安全对象或软件组件可以在一个集中的位置进行选择,或在通信系统中发送并由远程网络设备加载。该可执行文件的安全对象可以提供各种安全功能,如虚拟专用网络连接,防火墙,入侵检测,内容过滤,防病毒保护,反蠕虫防护,间谍软件防护,弹出窗口拦截,垃圾邮件过滤,入侵防御,安全套接字层保护,数字版权管理,无线应用协议和其他安全通信功能。其中的安全性方法包括:1.通过安全管理处理器轮询,至少一个其它的网络设备会响应并回馈处理器需要的附加的信息。2.通过安全管理处理器选择,至少一个可执行对象来回应这些信号指示和附加信息。3.通过安全管理处理器启动至少一个可执行对象和网络设备之间的通信。
[0005]在实施例中,系统包括至少一个处理器和一个存储器(内存),该存储器连接到至少一个处理器。该存储器包括一些指令:1.当由所述至少一个处理器执行时,引起所述至少一个处理器接收来自安全代理的信号指示,该指示表明一个网络设备出现了安全问题。
2.当由所述至少一个处理器执行时,引起所述至少一个处理器来轮询所述至少一个其他的网络设备,该网络设备回应处理器需要的有关检测安全问题的附加信息。3.当由所述至少一个处理器执行时,引起所述至少一个处理器,提供至少一个安全功能给网络设备,响应于所提供的信号指示和附加信息。
[0006]在实施例中,永久的计算机可读介质上存储了处理器执行的指令。该指令可以由处理器执行,接收来至少一个网络设备的安全问题的信号;确定至少一个其它的网络设备所需要回馈处理器的附加的信息;轮询至少一个网络设备,该网络设备回应处理器需要的有关检测安全问题的附加信息;选择至少一个安全功能给网络设备,响应于所提供的信号指示;启动至少一个安全对象和网络设备的通信。
【专利附图】
【附图说明】
[0007]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0008]图1是一个可以提供通信安全功能的通信网络的实施例说明。
[0009]图2是一个流程图,阐释了一个为通信系统提供网络安全的方法。
【具体实施方式】
[0010]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
[0011]在本发明的一个安全系统的实施例中是利用一个集中的,主动的安全监测和几乎实时的维护过程来实现。该系统可以利用一组规则来监视安全性,检测安全威胁和解决安全问题。在另一实施例中,网络设备(如个人计算机)可以启动安全功能的请求。
[0012]安全问题被识别后,可执行安全对象或软件组件可以在一个集中的位置进行选择,或在通信系统中发送并由远程网络设备加载。该可执行文件的安全对象可以提供各种安全功能,如虚拟专用网络连接,防火墙,入侵检测,内容过滤,防病毒保护,反蠕虫防护,间谍软件防护,弹出窗口拦截,垃圾邮件过滤,入侵防御,安全套接字层保护,数字版权管理,无线应用协议和其他安全通信功能。在实施例中,一种安全性方法包括:1.通过安全管理处理器轮询,至少一个其它的网络设备会响应并回馈处理器需要的附加的信息。2.通过安全管理处理器选择,至少一个可执行对象来回应这些信号指示和附加信息。3.通过安全管理处理器启动至少一个可执行对象和网络设备之间的通信。
[0013]在实施例中,一个系统包括至少一个处理器和一个存储器,该存储器连接到至少一个处理器。该存储器包括一些指令,当由所述至少一个处理器执行时,引起所述至少一个处理器接收来自安全代理的信号指示,该指示表明一个网络设备出现了安全问题。该存储器还包括指令,当由所述至少一个处理器执行时,引起所述至少一个处理器来轮询所述至少一个其他的网络设备,该网络设备回应处理器需要的有关检测安全问题的附加信息。该存储器还包括指令,当由所述至少一个处理器执行时,引起所述至少一个处理器,提供至少一个安全功能给网络设备,响应于所提供的信号指示和附加信息。
[0014]在实施例中,永久的计算机可读介质上包含了处理器执行的指令。该指令可以由处理器执行,接收来至少一个网络设备的安全问题的信号;确定至少一个其它的网络设备所需要回馈处理器的附加的信息;轮询至少一个网络设备,该网络设备回应处理器需要的有关检测安全问题的附加信息;选择至少一个安全功能给网络设备,响应于所提供的信号指示;启动至少一个安全对象和网络设备的通信。
[0015]图1是一个典型的网络安全系统100。在该实施例中的安全管理128和第一个安全代理/巡视器124工作于通信运营商的运营中心102。但是,安全管理器128和安全代理124可以位于可访问网络的任何地方。例如,第二个安全巡视器130由第二个中心局108操作。运营中心102可以直接连接到通信网络104。
[0016]通信网络104可以连接到第一个中心局106,第二个中心局108,第三个中心局110和第四个中心局112。每个中心局可以被连接到一个客户站点,如第一个客户的第一个站点(FCFS) 114,第一个客户的第二个站点(FCSS) 116,第一个客户的第三个站点(FCTS) 118,第二个客户的第一个站点(SCFS) 120,第二个客户的第二个站点(SCSS) 122。
[0017]每一个客户站点都可以具有更小的内部网络,如局域网(LAN)和一些网络设备,如服务器,路由器,交换机和与其他计算机通信的计算机。在客户站点的服务器和路由器也可以于其他局域网上的其他网络设备通信,经由通信网络104。虽然只有一个运营中心102,四个中心局106-112和五个客户站点114-122在图中示出,本实施例所示的是仅仅是一个典型例子,可以提供给任意数量的中心局或站点使用。在一个结构中每一个安全管理器128有多个安全代理124。例如,一个安全代理124可以位于每个客户站点或中心局,多个安全代理可以向在运营中心中的一个安全管理器汇报信息。
[0018]FCFSl 14可能位于一个大都市区,FCSS116可能位于千里以外的另一个大都市区。FCTS118连接到两个不同的中心局(即108和110),以防在出现故障的情况下有备用的通信路径可利用。在这样一个庞大的网络,只提供网络安全管理一个客户都是一项复杂的任务。对于非常大的公司,有成千上万的计算机连接到大量的中心局和上百个局域网,则面临着更大的难度。
[0019]在大型广域网连接多个局域网中,有很多接入点,会导致非法入侵的安全漏洞发生。分配网络设备给8位于中心的安全代理或安全管理器128进行管理,可促进组织结构的安全功能,并提供统一的控制。例如,如果一个远程网络设备FCFS114要和网络设备FCTSl 18安全地进行通信,安全管理器128可以收到这样的请求,并执行一个安全功能,该安全功能提供两个网络设备一个虚拟的专用的网络可执行安全对象。因此,当VPN开始运作时,网络设备可以安全地进行通信。
[0020]一个可执行的安全对象,可以作为软件包或一个产品,该产品可以装载到一个网络设备或数据处理装置,并提供影响操作数据处理装置的指令。在另一实施例中的可执行安全对象可以是一个“补丁”,或者是解决问题的软件更新。可执行的安全对象,可以促进许多不同的安全功能,如入侵检测和病毒防护。
[0021]图1阐释了一个企业和个人的网络安全管理解决方案,通过提供基于网络的安全维护,检测和实施。在实施例中,提供近实时的安全管理,利用更新工具,软件可以进行自动安装,通过通信网络104传输可执行安全对象。这些自动化的安全功能可以保持最新的技术与通信网络的安全性,同时大大减少了人力资源。
[0022]按照本发明,安全代理124可能会出现在中心局,并作为一个巡视器,监控客户的站点,网络设备和主要的通信系统组件。此外,安全代理124可以解决网络设备的请求,并通知安全管理器128有关的安全缺陷和安全漏洞。对此,安全管理器128可以指定一个补救措施,其中包括建立一个安全配置文件用于标记网络设备和可以解决或阻止安全问题的可执行对象或软件。
[0023]安全管理器128可以作为管理员,并承担许多功能。例如,安全代理124可识别新连接的网络设备作为一个入侵者或授权但缺乏安全功能的设备。安全代理124还可以识别不安全的传输通讯。此外,安全代理124还可以冒充入侵者,黑客或窃听来测试系统的安全性。这些主动和被动的措施和对策,可以应用在新连接的装置和已在网络中运行很长一段时间的设备。
[0024]安全代理124可以在中心局实施,管理,促进连接到中心局的网络设备的安全功能实现。当一个网络设备请求安全功能,例如请求虚拟专用网络,或者当一个网络设备具有安全性相关的问题,或者当安全代理检测到一个问题,这些问题的结果都可以通过安全代理器124发送到安全管理器128。
[0025]安全代理124还可以提供定期的网络状态信息给安全管理器128。安全管理器128可以利用当前的网络状态信息判断系统是否是最新的和诊断安全问题以及选择的补救措施。另外,操作人员可以访问网络状态信息经由安全管理器128或安全管理器128可以通过e-mail或通信设备通知操作人员。
[0026]安全功能或补救方法可以以可执行安全对象的形式存储在的安全管理器128,并作为一个具体问题或特定的现象的一个解决办法。当有额外的信息可以帮助安全管理器128,安全管理器128可以轮询网络设备。在实施例中,安全管理器128可以轮询网络设备的ID,网络设备的位置,软件配置和其他信息,以提供更详细地概述当前系统并可以隔离异常的网络设备。
[0027]安全代理124或安全管理器128可以存储一份详细目录关于客户站点的网络设备类型,产品型号,设备状态,软件状态和这种设备的性能。同样,安全代理124和安全管理器128可以存储一份详细目录关于中心局106-122的网络设备。
[0028]安全管理器128可以选择可执行安全对象传送到有数据记录的网络设备上,并可以利用查表,以确定可执行的安全对象,用于解决特定的网络设备的特定安全问题。安全管理器128还可以存储,或确定和验证供应商提供的改进的安全功能,通过比较一个版本的版本号和新软件的重要性。此外,安全管理器128可确定更新的安全功能是否可以在不完善的网络设备上安装。
[0029]如果确定网络安全是不合格的(比如有一个网络警报从软件供应商产生,如微软),并需要一个新版本的软件来对付新的威胁,安全管理器128可以传输软件补丁或整个软件程序到相应的网络设备。安全代理124可能会收到多个软件对象或捆绑包中的可执行组件,解析封装成组件并将组件发送到相应的客户站点/网络设备。例如,当FCSS116需要一个安全套接字层或数字版权管理的安全功能与FCFSl 14进行通信,该客户端软件对象被发送到FCFS114,然后服务器软件对象被发送到客户端设备FCSS116。一个在FCFS114的客户端设备可以提供确认或回执到安全管理器128,同理在FCSS116的一个服务器设备也确认收到可执行安全对象。
[0030]当安全功能在网络设备FCFS114和FCSS 116之间建立,网络设备也可以发送一个确认到安全代理124表明安全功能正在运行。这种反馈可以发生的所有类型的安全功能的实现中。安全配置文件可能包含可执行安全对象,这些对象由设备类型然后是保护类型来分类组织。例如,许多可执行对象可以读取,并存储在个人计算机的一个文件上。当个人电脑遇到了一个安全漏洞或安全问题,安全配置文件可以被解析,解决发现的问题。安全引擎可以布置在网络设备上。而安全管理器128可以布置在一个中央位置上。安全管理器128可以存储安全引擎的参数,如软件所提供的操作,一个物理位置,网络地址,产品型号,序列号,设备类型标识符,设备性能,设备功能,安全状态,安全级别和软件版本修订号。在另一种配置中,安全管理器128中存储的已知问题和已知的现象,并将问题现象和可执行的安全对象联系起来,实施时可以快速解决这个问题。因此,安全管理器128可以通过许多不同的标准来选择可执行的安全对象。
[0031]基于安全系统的网络可以包括一个安全管理器128用于接收的从安全代理124或巡视器发出的信号。安全代理124可以检测到安全问题,并通过通信网络104将报警传达到安全管理器128。安全代理124可以检测出安全操作请求,或者根据非法入侵,弹出式广告,垃圾邮件,“裸”数据的传输或设备的异常操作来决定安全操作是否必要。另外,安全代理124可以发送信号到安全管理器128来表明安全等级已经低于预定等级。
[0032]安全管理器128还可以管理执行接收信息的网络安全功能。安全管理器128或安全代理124可以跟踪系统的安全级别,并验证安全功能已收到并实施了。因此,执行的安全功能应包括验证安全功能的可用性,解析安全配置文件包,确保安全程序,设备和通信媒体之间的兼容性,验证收到的安全功能,通知安全管理器功能实现。
[0033]安全管理器128,安全代理124和安全巡视器130,并且可以包括至少一个处理器和存储器,存储器存储的指令可以被用来存储和检索的软件程序。附加一个数据存储器,一种计算机可读存储介质来提供这样的安全功能。
[0034]在图2的示例性方法中阐释了提供了集中式的网络安全方法。在202,网络安全管理器可以存储可执行的安全对象,该对象可能与特定的安全威胁,或网络设备的特殊要求相关联。在204处,接收一个请求,该请求可以从一个网络设备发出,或检测网络缺乏安全时发出。在206,网络设备可以被识别以实现一个特定的安全功能,在208,选择一个可执行对象来提供这样的安全功能。在210,该可执行对象被发送到所识别的设备。在212,收到的可执行对象后,进行验证。在214,当可执行对象被执行,并且安全功能在正常运行时,发出运行确认。
[0035]按照本发明的方法,集中式安全系统提供了一个可扩展的网络,可以运用到少量用户的小型企业或几十万的用户的大型企业。集中安全系统可以在很短的时间内部署完毕,并不需要大量的维护工作拜去访客户的站点和数百台计算机。这里的安全代理和安全管理器可以自动完成大部分的安全功能。同时本系统总成本较低,利于为企业和安全供应商的使用。
【权利要求】
1.一种方法,其中包括:接收在网络设备中检测到的至少一个安全性问题的信号指示,其中,该指示从安全代理发出,由安全管理处理器接收,安全代理冒充为网络入侵者,所接收的指示响应于检测的至少一个的安全性问题;通过安全管理处理器轮询,至少一个其它网络设备响应于所述指示,以便检索附加信息;经由安全管理处理器选择,至少一个可执行安全对象响应于指示和附加信息,其中安全管理处理器要确保至少一个可执行安全对象,的移动设备,通信介质之间的兼容性。以及通过安全管理处理器传输至少一个可执行安全对象到网络设备,从而解决至少一个已知的安全问题。
2.权利要求1的方法,进一步包括:从安全代理周期性地接收网络状态信息;并以此确定网络的安全性是否是最新的。
3.权利要求2中,所述安全管理处理器要通过网络状态信息诊断一个或多个安全问题。
4.权利要求3中,所述安全管理处理器要通过网络状态信息来选择一个补救方法来解决一个或多个安全问题。
5.权利要求1的方法中,至少一个可执行安全对象包括一个软件更新去操作协调先前安装的软件。
6.权利要求1的方法中,所述附加信息包括一个或多个设备的标识符、物理位置和软件配置。
7.权利要求1的方法中,至少一个可执行安全对象提供了一个虚拟专用网络连接。
8.权利要求1的方法中,至少一个可执行安全对象提供入侵防御。·
9.权利要求1的方法中,至少一个可执行安全对象提供了防火墙。
10.权利要求1的方法中,至少一个可执行安全对象提供了安全套接字层保护。
11.一种系统,包括:至少一个处理器;一个存储器(内存)连接到所述至少一个处理器,存储器存储由所述至少一个处理器执行的指令;该指令能引起所述至少一个处理器进行下列操作:接收至少一个检测到的安全问题的信号指示,其中所述指示可以从安全代理处接收,安全代理伪装成入侵者,而该指示则表明测试系统安全性的结果;轮询至少一个其它网络设备,当至少一个处理器确定需要附加信息用于检测安全问题时,这些设备响应于所述指示;选择至少一个安全防护功能来响应信号指示和附加信息,同时确保安全功能、网络设备和通信介质之间的兼容性;传输所述至少一个安全保护功能到网络设备以提供保护解决至少一个检测到的安全问题。
12.权利要求11中的系统中,所述存储器还包括指令,由所述的至少一个处理器执行,根据附加信息以确定是否隔离网络上的一个或多个网络设备。
13.权利要求11中的系统中,安全代理管理所述的至少一个安全功能的实施。
14.权利要求11中的系统中,所述第一个客户站点连接到第一个中心局和第二个客户站点连接到第二个中心局,至少一个处理器提供了一个特定的安全功能给第一客户站点和第二个客户站点保证他们之间的安全通信。
15.一个永久性的计算机可读介质存储处理器执行的指令,进行以下操作:接收网络设备上检测到的至少一个安全问题的信号指示,其中,所述指示来源于冒充窃听者的安全代理,当网络设备无法阻止安全代理进行窃听时,该安全问题信号指示就会被接受到;轮询至少一个其它网络设备,响应于所述信号指示以便检索附加信息;选择至少一个可执行安全对象响应于信号指示,并确保可执行安全对象、网络设备、和通信介质之间的兼容性;发送至少一个可执行安全对象到网络设备,以提供解决安全问题的安全保护措施。
16.权利要求15中的永久性的计算机可读介质中,还包括:由处理器执行的指令,根据附加信息以确定是否要隔离一个或多个网络设备。
17.权利要求15中的永久性的计算机可读介质中,还包括:由处理器执行的指令,管理至少一个可执行安全对象的实施。
18.权利要求15中的永久性的计算机可读介质中,还包括:由处理器执行的指令,保证至少一个可执行安全对象、·网络设备和其它网络设备之间的兼容性。
【文档编号】H04L29/06GK103856456SQ201210512312
【公开日】2014年6月11日 申请日期:2012年12月4日 优先权日:2012年12月4日
【发明者】李圳龙, 罗笑南, 杨艾琳, 刘海亮, 汤武惊, 吴超如, 郭江波 申请人:中山大学深圳研究院