专利名称:信息安全管理多级分布式传输控制方法
技术领域:
本发明属网络安全技术领域,具体涉及一种适用于网络内部管理的信息安全管理多级分布式传输控制方法。
背景技术:
随着网络安全事件的不断发生,国内外对网络安全的研究越来越深,从最初的防止外部攻击到现在内部安全管理,这种网络安全的认识转变对安全管理技术也提出了新的要求。经权威部门统计,目前发生的电脑安全事件有80%以上来自于内部。近几年国内外都在研究如何更有效的对内部网络进行管理和控制,特别是涉密网络。并且随着网络的普及,网络规模越来越大,跨域跨地区的办公和管理成为发展趋势,如何对这种大规模的网络环境进行管理是国内外正在研究的新课题,其中多级的传输协议研究还相对较少,目前还没有相关的文献报导。申请人在多年分布式管理技术的研究基础上,利用IP和IPSEC等协议的部分传输原理研制了信息安全管理多级分布式传输控制方法。
发明内容
本发明的目的在于提出一种安全性好、适用于网络内部管理的信息安全管理多级分布式传输控制方法。
本发明提出的适用于网络内部管理的信息安全管理多级分布式传输控制方法,包括连接握手协议和控制信息传输两个部分。
连接握手协议首先通过TCP协议进行远程可靠连接,然后通过密码身份认证,协商一个随机的密码和加密算法,其流程见图1所示。具体步骤如下被管理客户端或下一级管理中心先向上一级管理中心发送包含本机信息身份的认证包,此身份认证包由系统缺省的加密算法(在握手成功之前,所有的信息加密都使用缺省加密算法)进行加密,密码在系统安装实施时指定客户端发送身份认证后等待管理中心的握手协议包,指定后续的加密算法和动态的密码。如果在一定时间没有收到此信息表示网络切断或身份认证没通过,重新进行连接;管理中心验证收到的身份认证的正确性,如果错误则直接切断本次连接,否则随机在密码算法库中选择一种算法,并产生一个随机密码,发送到被管理客户端,握手成功;后续的传输全部采用此算法和密码。
控制信息传输在信息传输中所有通讯包都采用帧方式,来控制信息传输。每个帧格式如图2所示,这是解密后的格式。该帧格式包括帧头、帧内容、完整性验证码和帧尾标识。其中,帧头包括帧头标识、版本号、帧长度、传输标识、扩充头标识、扩充头长度和可选扩充头等内容。每个帧由帧头标识开始,以帧尾标识结束,版本号表示当前协议版本,为以后升级扩充准备,帧长度包括帧头和帧尾,传输标识指示此帧是往下下发策略还是往上传输信息,扩充头标识指示此帧是否有扩充头,扩充头长度以字节为单位,扩充头下面就是帧的内容,完整性验证对除了帧头和帧尾外所有的数据进行摘要算法处理。
扩充头内容如图3所示,由扩充内容标识、扩充内容长度和扩充内容组成。扩充内容标识指示当前扩充内容的类型。有多种扩充内容的情况下,后面的扩充内容直接跟随接入前一个扩充内容之后,总长度应与帧头的扩充头长度相同。
帧内容有两种格式一是控制内容,二是信息传输内容。
控制内容格式包括控制内容头和控制内容,控制内容头包括头长度、内容长度、来源中心、下发级数、目标主机和控制标识,如图4所示。此格式用于管理中心向被管理客户端或下一级管理中心下发控制策略之用。来源中心标志下发策略的管理中心标识,下发级数表示从本中心开始往下有多少级客户端需用此控制命令,目标主机可以为空或不空,为不空时表示此命令仅下发到此客户端或管理中心。一组控制命令可以由多个帧来发送,控制标识指示本帧是控制命令的开始、命令体或是命令结束。
信息传输内容格式包括信息内容头和信息内容,信息内容头包括头长度、内容长度、来源主机、目标中心和信息来源路径,见图5所示。信息传输内容格式用于被管理客户端或下一级管理中心向上传输信息之用。来源主机表示此信息由哪个主机结点产生,目标中心表示信息最络发送到此中心为止,不再往上传输。信息来源路径记录了此信息从源主机到到前中心所经过的各级中心地址,地址以中心级别从低到高排列,中间以“.”分隔。
本发明的信息安全管理多级分布式传输控制方法,其级数可以是2级、3级、4级,甚至更多。本发明可实现网络内部安全、有效的管理。
本发明可以应用于任何基于多级的或跨域的网络管理体系中,特别适用于资产管理、网络安全管理、全网监控、电子商务、电子政务、电子党务以及军队管理等系统上的应用。
网络规模正在呈几何级的速度发展,各种无纸化办公和电子应用在世界范围内部署,对跨地区的规模管理提出要求,这种管理只能是通过网络来实现,策略的分发和信息的传输是多级管理的基础,本发明方法在各种管理系统中会有大规模的应用。
图1为连接握手协议流程框图。
图2为通讯包的帧格式图示。
图3为帧格式中扩充头内容图示。
图4为帧内容中控制内容格式图示。
图5为帧内容中信息传输内容格式图示。
图6为本发明应用例的系统图示。
具体实施例方式
本发明作为一种信息与策略的分发管理方法或协议,具体开发实施中可根据实际情况对各环节进行定义。加密算法库可以自由选择,传输协议中各字段也可以根据需要定义其长度。
根据本发明方法,发明人已经设计了信息安全综合强审计系统。综合强审计系统是一个信息安全管理多级分布式的跨域安全管理系统,图6为系统的多级示意图。系统内置了五种加密算法,缺省算法为3DES,采用32位密钥长度。所有加密仅对帧内容进行加密,帧头、完整性验证码和帧尾不进行加密,完整性验证码验证帧头和帧内容。
每个帧由0x7E开始,0x7F结束,即帧头和帧尾标识,各占用一个字节;版本号有两个字节组成,前一字节为主版本号,后一字节为副版本号;帧长度由四个字节组成,为一个integer型变量,按主机字节顺序存放;传输标识占用一个字节,有三种取值0xFF表示为身份认证包,0x01表示此帧往下一级发送,0x10表示此帧往上一级发送;扩充头标识和扩充头长度合用四个字节,以主机字节顺序存放,最高位为0表示无扩充头,否则其余的31位指出整个扩充头的长度;扩充内容标识现只有一个取值,为0x01,表示扩充内容为此帧经过的节点全路径;控制内容和传输内容的头长度为一个字节,内容长度为四个字节,以主机顺序存放;控制内容帧的下发级数有两个字节组成,第一个字节表示此帧需下发的级数,第二字节表示已下发到的级数,级数以0开始,制定策略的中心为第0级,由此中心直接管理的下一级中心为第1级,以此类推,每到一个中心把已下发级数加一。如果此级数和前一字节的需下发级数相同,则不再把此帧再往下一级发送,否则向所有本级所管理的下一级中心下发。每个中心在收到控制帧时只向所管理的传感器中与目标主机相匹配的传感器发送此控制命令,目标主机如果为0,则表示向所有的传感器发送此控制命令,每个传感器(即主机)和各级中心由16个字节的字串来表示,其唯一性根据从主机中提取的软硬件信息通过一定算法来确定,在多级情况下由经过的全路径来唯一确定;控制标识由一个字节组成,第一位表示为控制命令的开始,第二位表示控制命令的结束,第三位表示控制命令体,当设置为开始或结束标志时此帧也包含一个控制命令体,开始和结束位可以同时设置,表示此控制命令只有一个帧;信息内容由传感器直接传送到管理此传感器的中心,此中心根据策略决定是否把此信息往上一级中心传送,以此类推,最终可以传送到最高一级管理中心。信息来源路径标识了此信息的转发过程,各经过的中心从低到高排列,中间以“.”分隔。
目前信息安全综合强审计系统应用最大分级为三级,此用户的总公司与子公司分处两地,子公司下又有多个部门,总公司可以管理和查询各部门的信息,具体实施中以总公司为第一级管理中心,子公司为二级管理中心,部门为三级管理中心,从上到下可以分发策略,总公司可以制定策略从各部门主机中获取需要的管理和审计信息,目前运行良好,用户满意。
权利要求
1.一种信息安全管理多级分布式传输控制方法,其特征在于首先通过TCP协议进行远程可靠连接,然后通过密码身份认证,协商一个随机的密码和加密算法,具体步骤如下被管理客户端或下一级管理中心先向上一级管理中心发送包含本机信息身份的认证包,此身份认证包由系统缺省的加密算法进行加密,密码在系统安装实施时指定客户端发送身份认证后等待管理中心的握手协议包,指定后续的加密算法和动态的密码;如果在一定时间没有收到此信息表示网络切断或身份认证没通过,重新进行连接;管理中心验证收到的身份认证的正确性,如果错误则直接切断本次连接,否则随机在密码算法库中选择一种算法,并产生一个随机密码,发送到被管理客户端,握手成功。
2.根据权利要求1所述的方法,其特征在于信息传输中,所有通讯包都采用帧方式,该帧格式包括帧头、帧内容、完整性验证码和帧尾标识;其中,帧头包括帧头标识、版本号、帧长度、传输标识、扩充头标识、扩充头长度和可选扩充头等内容;每个帧由帧头标识开始,以帧尾标识结束,版本号表示当前协议版本,为以后升级扩充准备,帧长度包括帧头和帧尾,传输标识指示此帧是往下下发策略还是往上传输信息,扩充头标识指示此帧是否有扩充头,扩充头长度以字节为单位,扩充头下面就是帧的内容,完整性验证对除了帧头和帧尾外所有的数据进行摘要算法处理。
3.根据权利要求2所述的方法,其特征在于所述的扩充头由扩充内容标识、扩充内容长度和扩充内容组成;扩充内容标识指示当前扩充内容的类型;有多种扩充内容的情况下,后面的扩充内容直接跟随接入前一个扩充内容之后,总长度应与帧头的扩充头长度相同。
4.根据权利要求2所述的方法,其特征在于所述的帧内容有两种格式控制内容格式和信息内容格式。
5.根据权利要求4所述的方法,其特征在于所述的控制内容格式包括控制内容头和控制内容,控制内容头包括头长度、内容长度、来源中心、下发级数、目标主机和控制标识;来源中心标志下发策略的管理中心标识,下发级数表示从本中心开始往下有多少级客户端需用此控制命令,目标主机为空或不空,为不空时表示此命令仅下发到此客户端或管理中心;一组控制命令由多个帧来发送,控制标识指示本帧是控制命令的开始、命令体或是命令结束。
6.根据权利要求2所述的方法,其特征在于所述的信息传输内容格式包括信息内容头和信息内容,信息内容头包括头长度、内容长度、来源主机、目标中心和信息来源路径;来源主机表示此信息由哪个主机结点产生,目标中心表示信息最络发送到此中心为止,不再往上传输,信息来源路径记录了此信息从源主机到到前中心所经过的各级中心地址,地址以中心级别从低到高排列,中间以“.”分隔。
全文摘要
本发明属于网络安全技术领域,具体为一种适用于网络内容管理的信息安全管理多级分布式传输控制方法。该方法包括连接握手协议和控制信息传输两个部分。首先通过TCP协议进行远程可靠连接,然后通过密码身份认证,协调一个随机的密码和加密算法;在信息传输中,所有的通讯包均采用帧方式来控制信息传输。本发明可实现网络内容的安全、有效的管理,可以用于任何基于多级的或跨域的网络管理体系中。
文档编号H04L12/24GK1773991SQ20051011045
公开日2006年5月17日 申请日期2005年11月17日 优先权日2005年11月17日
发明者陆中威 申请人:上海汉邦京泰数码技术有限公司