专利名称:用于基于开关的acl的ip的制作方法
技术领域:
本发明一般涉及针保护内部网络免遭内部威胁,尤其涉及经由向内部网络的 一部分提供便于限制对特定实体的访问的多层安全系统来保护内部网络免遭内部 威胁。发明背景由于计算技术的进步,相比几年前的基本类似的企业,如今的企业能够更有 效地运作。例如,内部联网允许公司的雇员通过电子邮件即时通信,将数据文件迅 速地传送给不同的雇员、处理数据文件、共享与项目有关的数据以便减少工作成果 中的重复等。从而,维护内部网络的安全是高优先级的。由于对这些内部网络的依 赖持续增长,保护这些网络内的数字资产将变得更重要。例如,如果恶意黑客获得 了对内部网络的访问,并破坏/更改网络内重要和/或敏感的数据,将导致不可估量 的损害。从而,开发了众多安全机制以便抗击对内部网络上驻留的数据的外部攻击。然而,对于内部网络上的内部攻击,却没有内部网络安全性的类似进步。例 如,不满的雇员可访问整个网络(例如,包括网络中与该雇员的雇佣完全无关的部 分)。更具体地,企业内的工程师可访问内部网络中包括工资单数据的一部分,即 使该工程师的雇佣与维护/提供工资单信息无关。而且,由于典型的内部网络利用 动态分配的IP地址,任何个人使用膝上型或其它计算设备都可连接至网络端口, 并能够具有完全的网络访问。内部网络的各部分可配备口令保护,从而仅允许知道口令的那些人能够访问内部网络的这一部分。然而,口令是易于泄露的。例如,它 们可被偷听、写在纸上并被放错地方、由黑客确定等。 少量较大的企业采用了内部防火墙和非军事区(dem他arizedzones)以便于保 护它们的内部网络。然而这些设备一般仅用来过滤服务点(例如,它们不排斥对网 络上的数据的请求的源)。这是因为大多数较大企业使得雇员按地理定位而不是按 职能定位(例如,大型汽车公司不将它所有的工程师安置在一个位置)。因此,仍 旧存在个人能够访问内部网络中与他们的雇佣职能无关的部分的问题。从而,存在对便于对内部网络坚固保护使之免于内部攻击的系统和/方法的强 烈需求。发明概述以下提供了本发明的简化的概述,以便提供对本发明的某些方面的基本理解。 该概述不是本发明的广泛的概观。它不旨在标识本发明的关键/重要的元素,也不 描绘本发明的范围。它唯一的目的是以简化的形式呈现作为之后呈现的更详细描述 的序言的本发明的某些概念。本发明便于保护内部网络免受内部攻击,而没有与对内部网络施加多重防火 墙相关联的成本和缺点。本发明利用多层安全性概念来限制对内部网络内的资源的 访问。更具体地,本发明提供一种用于确定实体是否被授权访问内部网络的系统和 /或方法,其中实体可以是用户、客户机、程序等。而且,可采用各种认证标准和/ 或协议来确定实体是否被授权访问内部网络。根据本发明的一个方面,可利用 802.1x认证标准来确定实体是否被授权来访问网络。然而,可以理解,可对本发明 利用用于确定实体是否被授权来访问内部网络的任何合适的机制。如果确定实体被授权来访问内部网络,则可根据实体的身份限制网络内的资 源。例如,实体可与公司内的特定角色(例如,工资单)相关联。当确定实体被授 权访问网络之后,可将实体限于访问网络上与工资单有关的资源。这样的限制实际 上可生成虚拟网络,其中这样的虚拟网络是仅包含与实体有关的资源的网络。这减 少了当在内部网络内存在恶意用户时可引起的问题,这是因为恶意用户将不能访问 可损害网络的敏感信息。而且,扫描蠕虫将不具有破坏整个网络的能力,这是因为 本发明的安全性限制了扫描蠕虫可得到的资源。根据本发明的一个特定方面,可采用基于开关的访问控制来将实体的访问限 于内部网络上与该实体有关的一部分。更具体地,可将一个或多个实体专用访问控 制列表(ACL)加载到与实体有关的开关中。ACL可包括网络和/或服务器上可用 的服务列表,还可包括被允许使用每一服务的主机(实体)。当将ACL加载到与实体有关的开关中之后,打开允许实体获得对网络上与该实体任务关系密切的特定 部分的访问的端口。因此,可生成实体专用ACL,并与开关一起用来创建虚拟网 络(例如,网络中特定实体可访问的一部分)。当与内部网络的常规安全性措施相比较时,可更好地理解本发明的益处。例 如,防火墙可将实体的访问限于网络的特定部分。然而,为不同用户/组安装多重 防火墙可能是非常昂贵的。此外,防火墙没有解决未经授权的用户在到达防火墙之 前进入内部网络的问题。本发明可采用直接连接至客户机的开关;从而,可阻止客户机对客户机的交互。相反,防火墙不能阻止这样的防火墙之前的客户机对客户机 的交互。从而,当利用防火墙时,可能发生例如对受版权保护的作品的非法共享。 为了达到前述和相关目的,此处结合以下描述和附图描述了本发明的某些说 明性的方面。然而,这些方面仅指示可在其中采用本发明的原理的各种方式中的少 数几种,而本发明旨在包括所有这样的方面及其等效方式。当结合附图考虑,通过 阅读本发明的以下详细描述时,本发明的其它优点和新颖的特征将是显而易见的。附图简述
图1是根据本发明的一方面便于保护内部网络免受内部攻击的系统的框图。图2是根据本发明的一方面便于保护内部网络免受内部攻击的系统的另一框图。图3是根据本发明的一方面便于保护内部网络免受内部攻击的系统的又一框图。图4是根据本发明的一方面便于保护内部网络免受内部攻击的系统的再一框图。图5是根据本发明的一方面便于保护内部网络免受内部攻击的系统的另一框图。图6是根据本发明的一方面用于为内部网络提供多层安全的方法的流程图。 图7是根据本发明的一方面用于为内部网络提供多层安全的方法的流程图。 图8是根据本发明的一方面用于为内部网络提供多层安全的方法的流程图。 图9是示出与本发明的一个或多个发明相关的益处的示例性实施例。 图IO是示出在内部网络中提供针对内部攻击的多层安全的一个特定实施例的 系统和方法。图11是根据本发明的一方面便于对于获得对内部网络的访问权的用户的认证 的系统。图12示出了其中本发明可工作的示例操作环境。图13示出了其中本发明可工作的另一示例操作环境。发明详述现在参考附图描述本发明,其中全文中使用相同的参考标号指示相同的元素。 在以下描述中,为说明起见,描述了各种特定细节以便于提供对本发明的全面理解。 然而,显然,本发明可无需这些特定细节而实现。在其它实例中,将公知结构和设 备以框图形式示出以便于描述本发明。如在本申请中所使用的,术语"组件"、"处理器"、"模型"、"系统" 等指的是计算机相关实体,或者是硬件、硬件和软件的组合、软件或者是执行中的 软件。例如,组件可以是,但不限于,运行在处理器上的进程、处理器、对象、可 执行代码、执行的线程、程序和/或计算机。作为说明,运行在服务器上的应用程 序和服务器本身都可以是组件。 一个或多个组件可以驻留在进程和/或执行中的线 程内,且组件可以位于一台计算机上和/或分布在两台或多台计算机之间。而且, 这些组件可从其上存储各种数据结构的各种计算机可读介质上执行。组件可经由本 地和/或远程进程,诸如根据含有一个或多个数据包的信号通信(例如,来自一个 组件的数据与本地系统、分布式系统中的另一组件和/或跨诸如因特网的网络与其 它系统经由信号交互)。现在转向图i,示出了便于针对内部攻击对内部网络坚固保护的系统ioo。系统IOO包括与特定任务、部门、角色、个人和/或组织(例如,企业、非营利性组 织…)内的其它类似群体相关的网络项104-110的集合102。例如,项A104可以 与工资单相关,项B106可与工程项目相关,项C108可以与人力资源相关,项D IIO可与特定商业战略相关。然而可以理解,项104-110可以与组织内的任何合适 的分组相关。此外,项104-110可以是网络内的任何合适的项(例如,服务器、因 特网代理…)。实体A和B 112-114是期望经由内部网络来内部访问项集合102 的实体。例如,实体112-114可以是雇员、程序或期望访问网络项集合102的其它 内部实体。尽管仅示出了实体A和B 112-114,可以理解任何合适数量的实体可期 望经由内部网络来访问网络项的集合102。如该图中所示,实体112-114期望访问集合102内的一个或多个项104-110。 提供多层安全组件116来确保实体112-114被授权来位于网络上,以及向实体112-114提供仅对对应于这样的实体112-114的项的访问。例如,应向实体A 112 给予仅对项A而不是集合102内所有项104-110的访问。根据本发明的一方面, 多层安全组件116可利用802.1x,它是对基于端口的网络访问控制的一种发布的标 准。802.1x向连接至LAN端口的设备提供认证,从而建立点对点连接,或者如果 认证失败则防止从该端口进行访问。尽管802.1x已成为调节无线环境中的访问的 标准,但802.1x也可在有线环境中使用。例如,802.1x可采用可扩展认证协议(EAP) 来提供对期望经由内部网络来访问集合102的实体112-114中的一个或多个的认 证。EAP是用于同样支持诸如令牌卡、Kerberos、 一次性口令、证书、公钥认证和 智能卡等多种认证方法的认证的通用协议。而且,802.1x可利用诸如受保护的可扩 展认证协议(PEAP)、轻量级可扩展认证协议(LEAP)和结合认证实体112-114 被授权来经由网络访问集合102内的项104-110所采用的其它类似协议。例如,当 在无线内部网络内使用认证数据(例如,用户名、口令…)时,可采用PEAP。 PEAP 通过在实体112-114和认证服务器(未示出)之间创建加密的SSL/TLS隧道,仅 使用服务器侧数字证书来认证无线LAN客户机。该隧道此后保护用户认证交换。 可以理解,尽管此处结合本发明的各方面描述了特定协议(例如,802.1x、EAP…), 但可采用用于实现所要求保护的本发明的各种功能的任何合适的协议,且对这样的 协议的采用旨在落入本申请的权利要求书的范围内。在确定实体A 112被授权经由内部网络访问数据存储102之后,多层安全组 件116确定实体112被授权访问集合102内的哪一项。例如,实体A 112被授权访 问项A104,实体B 114被授权访问项B 106。继续该示例,多层安全组件116向 实体A112提供对项A104但不对集合102内的任何其它项的访问。因此,数据存 储102内的项B、项C、项D和其它项对于来自实体A的攻击是安全的。同样地, 当确定实体B被授权经由内部网络访问集合102之后,多层安全组件116可向实 体B 114提供对项B 106和仅数据集B的访问。根据本发明的一个方面,可采用基 于访问的开关控制来分别限制实体112-114对项A和B 104-106的访问。更具体地, 多层安全组件116可对每一实体112-114采用自定义开关级访问控制。例如,当多 层安全组件116授权实体112之后,可将实体112专用的访问控制列表(ACL)加 载到提供对项A104 (且不对集合102内的任何其它项)的访问的开关。ACL是向 计算机操作系统告知实体112具有对内部网络的哪些许可或访问权的数据集。结合 开关采用实体专用ACL确保将仅对实体112-114授予对网络项集合102内它们被 授予许可的项的访问权。可以理解,ACL可按照众多方式定义。例如,ACL可按
照角色(例如,工程师、维护技师…)、职能、组、个体等来定义。更具体地,如 果ACL按照角色定义,则将仅对需要数据集来执行他们的角色的实体允许对这样 的数据集进行访问。系统IOO可为内部网络提供优于常规安全系统的多个益处。具体地,系统100 最小化了蠕虫(例如,NIMDA、扫描蠕虫…)的传播。这是因为数据流在内部网 络内高度受限。因此,蠕虫可被隔离到内部网络内的特定项,且不能到达其它项。 而且,由于内部网络一般以客户机-服务器方式操作,因此可采用本发明来减少非 法的文件贸易(例如,受版权保护的作品的复制和分发)。类似地,系统100可防 止未授权的服务器服务被客户机访问,以及保护客户机免于端口扫描其它客户机。 而且,如果内部网络采用简单网络管理协议或其它基本上类似的协议,可早期定位 扫描或通信量问题(繁重端口通信量、阻塞端口通信量),且可通知合适的技师。现在参考图2,示出了便于保护内部网络免受内部攻击的系统200。系统200 包括结合内部网络所使用的网络项的集合202。实体204期望经由内部网络访问集 合202,更具体地,期望恶意攻击集合202内的项B、 C和D 206-210。然而,实 体A 204仅具有访问项A的特权。例如,实体A 204可与组织内的特定角色相关 联,项A212是实体A204执行该角色所需的唯一的项。多层安全组件213被用来 维护内部网络(因而维护了至少部分组成网络的网络项的集合202)的安全性。多 层安全性组件包括确定实体A204被允许访问集合202的网络授权器214。例如, 网络授权器214可利用验证实体被授权来访问网络的任何合适的常规标准。根据本 发明的一个特定方面,网络授权器214可采用802.1x标准来认证实体A 204被授 权经由内部网络访问集合202。在实现802.1x标准的环境中,实体A204将不能经 由网络发送任何话务,直到这样的实体A204被认证。而且,由于基本上所有的操 作系统都提供对802.1x的支持,且认证处理对终端用户是透明的,因此利用802.1x标准实现本发明将是有效且低成本的。系统200还包括用来允许实体A204对特定项的访问的开关216。例如,如果 项A 212是服务器,则开关216可被用来允许实体A 204获得对该服务器而非内部 网络上任何其它服务器的访问。这可通过向开关216提供基于实体A 204专用的访 问控制列表生成的开关访问控制218来实现。开关216和开关访问控制218确保实 体A将仅被授予对它具有访问许可的服务器的访问权。当确定实体A 204具有的 对网络项的集合202的访问级别之后,实体A 204可经由开关216访问它具有访问 许可的一个或多个项。 现在转向图3,示出了便于保护内部网络免受内部攻击的系统300。系统300 包括在内部网络内采用的网络项(例如,服务器、因特网代理…)的集合302。更 具体地,网络项的集合302包括项A 304、项B 306、项C 308以及项D 310。尽管 集合302被示为包含四个网络项,但可以理解集合302可包括任何合适数量的网络 项。而且,网络项304-310可与特定的角色相关联。例如,项304可以与工资单相 关联,项B可与会计相关联等。系统300包括实体312,后者被分配与集合302内 实体312可访问的项有关的一组许可。根据本发明的一个方面,实体312可以是用 户。而且,实体312可以是期望访问一个或多个网络项304-310的程序。实体312期望经由内部网络问网络项的集合302。因此,实体312可试图请求 经由网络对网络项的集合302内的一个或多个特定项的访问。多层安全组件314 接收访问内部网络(且访问一个或多个项304-310)的请求。多层安全组件314确 保实体3i2被授权位于内部网络上,且如果是这样,则确定实体312具有访问许可 的是哪些项304-310。更具体地,多层安全组件314包括确定实体312是否被允许 处于内部网络上的网络授权器316。根据本发明的一个方面,网络授权器316利用 802.1x标准来进行这样的判断。一般,802.1x标准的认证处理包含三个不同的组件 实体312 (客户机)、认证器318 (—般为开关或接入点)以及认证服务器320。 根据本发明的一个方面,认证服务器320可以是远程访问拨入用户服务(RADIUS) 服务器。RADIUS系统可采用多个认证方案,诸如口令认证协议(PAP)和质询-握手认证协议(CHAP)。而且,认证服务器320可以是终端访问控制器访问控制 系统(TACACS)服务器、扩展TACACS服务器、TACACS+服务器和/或任何其它合适的认证服务器。实体(客户机)312、认证器318和认证服务器320按以下方式交互——首先, 实体312试图进入内部网络。认证器318然后请求实体312提供标识。实体312 之后将其标识提供给认证器318,后者将ID传到认证服务器320上。如果标识有 效,则认证服务器320向认证器318告知期望口令,且认证器318将此传递给实体 312。实体312以对应于该标识的口令响应,该口令被传递给认证服务器320。认 证服务器320之后向认证器318告知用户口令是否正确。如果口令不正确,则实体 312将被拒绝访问内部网络(从而被拒绝对网络项的集合302的访问)。如果口令 正确,则提供开关322来允许实体312获得对与分配给实体312的许可相符的项的 访问权。开关322利用开关访问控制324来确定实体312可访问哪些项。在一个示 例中,实体312具有仅访问来自内部网络项的集合302的项A 304的许可。因此,
项A (及其内容)可经由开关322被实体312访问,同时集合302内的其余项(项 B、 C和D)将不可被实体312访问。然而,可以理解,本发明构想了具有访问来 自项集合302的一个以上项(例如,项A、 B和D,但没有C)的许可的实体。现在参考图4,示出了降低内部网络内的内部攻击的风险的系统400。系统400 包括可由实体412经由内部网络访问的内部网络项404-410的集合402。而且,集 合402可由连接至内部网络的多个其它实体(未示出)访问。更具体地,在企业环 境中,每一客户机可具有对内部网络的访问权。提供多层安全组件414来确保实体 412被授权来访问集合402,并基于预定的许可进一步限制实体对集合402的访问。 例如,实体412可位于组织的特定部门内,其中该部门的成员仅利用项A404 (或 其上的数据)来完成分配给该部门的任务。因此,多层安全组件414可有效地限制 将实体的访问权仅限于项A404 (而不是项B406、项C408…)。多层安全组件414通过采用网络授权器416来确定实体412是否被批准处于 内部网络上来完成该任务。例如,网络授权器416可利用认证服务器等结合用户名 和口令来确定实体412是否应具有对内部网络的访问权(因此具有对项404-410中 的一个或多个的访问权)。多层安全组件414也利用开关418来过滤和转发实体 412与集合402之间的数据包。更具体地,生成开关418来允许实体412仅访问集 合402内实体412具有访问许可的项。开关418可防止对由实体412生成的数据包 的传递到达实体412不具有访问许可的项(例如,项406-410)。同样,开关418 可防止实体412接收来自实体412不具有访问许可的项的数据。与实体412有关的 许可至少部分地基于采用实体412专用的访问控制列表42的开关访问控制420来 生成。访问控制列表422本质上是集合402内实体412被授予访问许可的可用的项 和计算服务的列表。基于该访问控制列表422,可生成开关访问控制420,它控制 开关41S的操作。根据本发明的一个方面,访问控制列表422可在开关级上配置而 不是销售商专用的,从而创建了健壮且有效的安全设备。而且,访问控制列表422 可以与现有的帐户数据库(现用目录(Active Directory) 、 LDAP…)共同操作。 而且,访问控制列表422可在确定分配给实体412的何种许可时考虑到接入点。例 如,访问控制列表422可在用户的地理位置改变时包括不同的准则(由此,当用户 的地理位置改变时开关访问控制420将不同)。从而,系统400提供了解位置的认 证,并提供查明发生访问的物理位置的能力。系统400也提供用于不仅对整个网络 还对内部网络内的特定项记录和监察所有的访问请求的有效装置。而且,利用本发 明可减少未经授权的网络映射,并且采用本发明的一个或多个方面会引起可用网络
带宽的增加。现在参考图5,示出了便于保护内部网络免受内部攻击的系统500。系统500 包括组织的内部网络内或至少部分地创建内部网络的内部网络项504-510的集合 502。实体512期望访问集合502内的项504-510的至少其中之一。实体可以是在 客户机上操作的用户、自动请求对集合502的访问的程序等。由系统500采用多层 安全组件514以确保内部网络就对访问这样的网络的请求而言(例如,对集合502 内的项的请求)是安全的。多层安全组件514包括确保实体512应位于内部网络上 的网络授权器516。例如,在组织内销售的销售员一般不应被允许访问网络,且网 络授权器516将阻止这样的销售员获得访问。例如,可采用802.1x标准来确保未 经授权的用户被拒绝访问内部网络(从而被拒绝访问项504-510)。如果实体512 被允许访问内部网络,则网络授权器516告知开关518,且开关518基于许可向实 体授予对集合502的访问权。例如,可基于角色、职能、组或其它合适的组织标记 来分配许可。更具体地,实体可与企业中的工资单职能相关联,项A 504是集合 502内与工资单相关的唯一的项。然后采用开关518来过滤实体512与集合502之 间的通信,以实现仅在实体512与项A 504之间的通信。给定特定的实体和内部网 络项的集合,开关518与控制幵关518的操作的开关访问控制520相关联。系统500还包括确定实体512对于集合502内开关518授权实体512访问的 项可利用的权限的数据特权分配器522。例如,开关518可操作来向实体512提供 仅对项A 504的访问。数据特权分配器522确定实体512对传送给项A 504和/或 从其传送的数据可采用的权限。更具体地,项A 504可以是带有数据存储的服务器。 开关518可授予实体512对这样的服务器的访问权,且数据特权分配器522可向项 分配关于实体512的读操作、写操作等以及各种其它特权的权权。更具体地,可期 望允许实体512访问项A 504,但仅具有只读特权。例如,不被组织雇佣的销售员 可能期望获得商品目录信息,但允许销售员更改商品目录信息是不安全的(例如, 销售员能更改数字,使得看上去需要更多的设备)。因此,可采用数据特权分配器 522来分配与涉及集合502中的项的数据有关的特权。例如,可经由数据特权分配 器522分配只读、读/写、只写和其它类似的特权。而且,数据特权分配器522可 结合传感器524和实用程序组件526操作来向实体512分配特权。例如,可期望在 不同的时间或者当实体512位于不同的地理位置中时向实体分配不同的数据特权。 传感器(例如,GPS、客户机上的位置标识符…)可确定地理位置,而数据特权分 配器522可采用这样的信息来确定向实体512分配关于特定项的特权
而且,可采用实用程序组件526结合向实体512分配关于如开关518确定的 实体512能访问的特定项的适当的数据特权来完成成本效益分析。例如,实用程序 组件526可在给定正确性的概率、用户状态和上下文、历史数据等时,对分配不正 确的用户特权(例如,太受限制的特权)的成本与分配正确的特征的效益进行权衡。 而且,实用程序组件526可结合开关518操作来推断给定用户状态和环境,实体 512应能访问哪些项。如此处所使用的,术语"推论" 一般指的是从通过事件和/或数据捕捉到的一 组观察值中推出或推断系统、环境和/或用户的状态的过程。推论例如可以被用来 标识具体的上下文或动作,或者可以生成状态的概率分布。推论可以是概率性的,即,基于对数据和事件的考虑进行对所关心的状态上的概率分布的计算。推论也可 以指的是用于从一组事件和/或数据中组成更高级的事件的技术。这样的推论导致 从一组观察到的事件和/或存储的事件数据中构造出新的事件或动作,而不论原先 的事件是否在时间上紧密相关,也不论原先的事件和数据是来自一个还是若干个事 件和数据源。可结合根据本发明执行自动和/或推断的动作,采用各种分类方案和/ 或系统(例如,支持矢量机、神经网络、专家系统、贝叶斯置信网络、模糊逻辑、 数据融合引擎…)。因此,例如实用程序组件526可进行关于是否允许实体512访问集合502内 的一个或多个项的推断。在一个特定的示例中,组织的主管一般将具有内部网络上 的所有项(例如,集合502内的所有项504-510)的完全访问。然而,在某些情况 下,允许这样宽泛的访问可能造成对内部网络的损害。例如,在网络可能受到多个 病毒威胁的时候,可能期望将访问限于少量项。而且,当仅授予对用户完成任务所 需的项的访问权时可更有效地利用带宽。实用程序组件526可监控用户,并随时间 的推移来了解他们对访问集合502内的项的倾向。例如,能访问众多项的用户可在 一天的特定时间期间仅利用一个项。因此,实用程序组件526可了解倾向以便使得 系统500更有效和安全。现在参考图6,示出了用于针对内部攻击保护内部网络的方法600。然而,为 解释的简单起见,将方法600示出和描述为一连串动作,可以理解和领会,本发明 不受所示动作的顺序的限制,由于根据本发明,某些动作可以按不同的顺序和/或 与此处未提供和描述的其它动作同时发生。例如,本领域的技术人员可以理解和领 会,方法可以替换地被表示为诸如状态图中的一连串相互关联的状态或事件。而且, 不是所有示出的动作对实现根据本发明的方法都是必需的。
在602处,生成用于特定实体的访问控制列表。根据本发明的一个方面,实 体可以是一个用户或一组用户(例如,在组织的特定部门中工作的用户)。因此, 例如工资单中的雇员将具有基本类似的访问控制列表。而且,访问控制列表可单独 生成,其中向每一个人给予对网络内用于他们的雇佣的项的访问权。访问控制列表 结合网络开关来使用,且用于针对内部攻击来维护内部网络的安全性。在604处,从实体中接收对网络上的数据和/或项的请求。例如,可向内部网 络内的特定服务器(例如,组织内特定部门专用的服务器)请求信息。请求可以仅 是用户开启计算机设备,其中设备自动试图连接至网络。或者,特定的计算机程序 可请求对网络的访问以便完成需要驻留在网络内的特定数据的预定义任务。在606处,作出关于实体是否被授权访问网络的判断。可采用任何合适的授 权机制来判断实体是否被授权来访问网络。根据本发明的一个方面,利用标准 802.1x来实施对内部网络的授权使用。例如,可与认证器一起提供认证服务器以便 判断实体是否被授权来访问网络。更具体地,可在实体所利用的客户机、认证器和 认证服务器之间分程传递用户标识与口令。而且,根据本发明的一个方面,认证服 务器是RADIUS服务器。如果实体不具有访问网络的权限,则该方法在608处结 束。如果允许访问,则在610处,基于该实体的访问控制列表来激活端口。例如, 访问控制列表相关联的开关可限制实体对网络上该实体用于工作职的项和/或数据 的访问。因此,组织(企业)中第一部门中的用户将不被授予对与组织内第一部门 无关而与第二部门相关的数据的访问权。方法600因此有效地减少了网络上恶意内 部攻击的出现。例如,如果内部攻击影响了网络上的特定项,则可通过审阅具有访 问该项的特权的那些实体来定位攻击者,而不是询问这样的网络上的每个人。现在转向图7,示出了针对内部攻击保护网络的方法700。该方法参考802.1x 认证标准来描述一一然而,可以理解,任何合适的认证标准都可用于本发明。在 702处,向期望获得对网络的访问的客户机请求标识信息。开关或接入点(例如, 认证器)将标识请求传递给客户机(例如,特定用户用来访问网络的特定计算机)。在704处,客户机提供认证器所请求的标识。这样的标识信息然后可以被分 程传递给认证服务器以供分析。根据本发明的一个方面,诸如PEOP、 LEAP、 PAP 和其它合适的协议的认证协议可用于标识信息和口令的通信。而且,认证服务器可 以是RADIUS服务器、TACACS月艮务器、XTACAS服务器、TACAS+服务器或其 它合适的服务器。在706处,进行关于标识是否正确的判断。例如,可在认证服务 器处进行判断。如果给定的标识不正确,则在708处向客户机拒绝访问,且可由客户机分程传递和/或接收的信息是802.1x数据。如果标识正确,则在710处,向客户机请求口令。当认证服务器认证了由客 户机给出的标识之后,可从认证服务器中发起口令请求。认证器然后可接收该口令 请求,并将其分程传递给客户机。在712处,客户机提供请求口令,后者被传递给 认证器并被分程传递给认证服务器。之后,在714处,进行关于由客户机给出的口 令是否正确的判断。如果口令未识别和/或不正确,则在708处向客户机拒绝对网 络的访问。如果口令正确,则在716处将访问控制列表加载至开关中。根据本发明 的一个方面,将访问控制列表用作可向不同源授予特定访问级别的许可系统。因此, 结合访问控制列表的开关可被用来向客户机授予对网络上与利用客户机的用户所 涉及的职能、角色、组等相关的一部分的访问权。当将访问控制列表加载到开关中 时,在718处,客户机和包含期望信息的服务器之间的端口被激活。因此,客户机 可获得与用户有关的信息,但不能获得和/或损害与用户无关的信息/数据/项。现在参考图8,示出了便于减少网络上内部攻击的发生的方法。在802处,向特定实体分配访问控制列表。访问控制列表被用来控制开关,其中访问控制列表是用于向实体授予对网络上的资源的访问级别的许可系统。而且,不同的访问控制列 表可以具有不同的许可级别。例如,相比与办公室助理有关的访问控制列表,与组织的主管有关的访问控制列表可与更多许可相关联。在804处,接收实体(例如,客户机、用户、程序…)对网络数据的内部请 求。在806处,作出关于实体是否被允许访问网络的判断。根据本发明的一个方面, 认证服务器和开关和/或接入点被用于判断实体是否被授权访问网络。而且,可采 用各种协议在实体与认证服务器/开关/接入点之间传送认证数据。如果确定访问不 被允许,则在808处拒绝访问。如果实体被授权来访问网络,则在810处,按照能访问网络的实体向驻留在 网络上的数据分配特权。例如,可向特定的实体分配对网络上的特定数据的只读特 权,即使该实体被允许对这样的网络进行访问。类似地,可对于访问驻留在网络上 的数据的特定实体分配对这样的数据的读/写、只写和其它合适的特权。根据本发 明的另一方面,可利用上下文信息(用户状态、用户上下文、时间、入口点…)来 确定向网络上的数据分配的特权级别。在812处,基于实体的访问控制列表以及所分配的特权激活实体与所期望的 项之间的端口。例如,访问控制列表所关联的开关可限制实体对网络上该实体用于
工作职能的项和/或数据的访问。此外,特权可确定是否和/或如何可修改与项有关 的数据。方法800因此有效地减少了网络上的恶意内部攻击的发生,此外解决了关 于对所访问的项有关的数据的修改的问题。现在转向图9,示出了说明本发明的一个或多个益处的示例性实施例900。实 施例示出了网络基础架构902,其中该基础架构包括工资单应用程序服务器904、 数据库服务器906、会计应用程序服务器908、会计web服务器910、工资单web 服务器912以及因特网代理914。实施例900还示出了两个不同的用户工资单个 人916和会计个人918。在常规内部网络安全系统中, 一旦用户获得了对网络基础 结构的访问权,这样的用户即能访问基础架构内的所有项904-914。这是成问题的, 因为会计个人不需获得对工资单web服务器912的访问权。而且,敏感服务器(例 如,服务器904-卯8)不应可由工资单个人916或者会计个人918访问。利用本发明的多层安全性概念,工资单个人916能够访问仅包括与组织内他 们的角色相关的项的虚拟网络。更具体地,工资单web服务器916和因特网代理 914可由工资单个人916访问,而与工资单个人916的职能没有密切关系的其它项 对这样的工资单个人916不可用。类似地,为会计个人创建虚拟网络922,其中这 样的会计个人仅能获得对会计任务所需的项(例如,会计web服务器910和因特 网代理914)的访问。因此,多层安全性概念提供了对于网络基础架构902针对内部攻击的健壮的安全性。现在参考图10,示出了根据本发明的一种特定实现的系统和方法IOOO。根据 动作l,客户机1002经由802.1x将认证信息传递给网络连接存储(NAS)服务器 1004。 NAS服务器包括开关,这样的开关在动作2处将访问网络的请求分程传递 给RADIUS服务器1006。在动作3处,如果访问被授权,则RADIUS服务器1006 将为特定访问端口执行至少部分基于用户来设定访问控制列表的脚本。在动作4 处,当设定访问控制列表之后,RADIUS服务器将消息传递给NAS服务器1004, 后者将启用客户机1002与期望的项1008之间的端口。之后,在动作5处,假如访 问控制列表允许这样的访问,则客户机1002通过开关访问项1008。在连接终止时, 该端口被禁用,并移除访问控制列表。系统1000也可包括包含Active Directory 的可任选帐户数据库1010, Active Directoiy⑧允许管理员向工作站分配策略、对众 多计算机部署程序并对整个组织应用关键更新。Active Directory⑧也存储关于其用 户的信息,且可按类似于电话簿的方式工作。这允许关于组织的所有信息和计算机 设定可存储在中央、有组织的数据库中。而且,可任选帐户数据库IOIO可利用轻
量级目录访问协议(LDAP)或其它合适的协议来访问来自目录的信息。现在转向图11,示出了用于认证请求者1102被授权访问网络上的资源的系统 1100。系统IIOO包括便于确定请求者是否被授权来访问内部网络的认证器1104。 根据本发明的一个方面,认证器1104可以是包括一个或多个开关和/或接入点的 NAS服务器。而且,在NAS服务器中提供的开关可以与向开关告知关于如何对请 求者1102和请求者1102期望访问的资源(未示出)操作的多个访问控制列表相关 联。认证器1104向请求者1102请求ID,并根据该请求,与请求者1102相关联的 用户可提供允许对网络的访问的标识。由请求者1102给出的标识经由开关被传递 给认证服务器1106。根据本发明的一个方面,认证服务器1106可以是RADIUS 服务器。如果标识有效,则认证服务器1106经由认证器1104中的开关向请求者 1102请求口令。请求者1102之后以口令响应该请求,该口令再次经由开关传递给 认证服务器1106。认证服务器1106然后向认证器1104告知请求者1102被授权访 问网络。尽管未示出,但然后可结合开关采用访问控制列表来为请求者U02创建 虚拟网络,类似于关于图9所示的那些。参考图12,用于实现本发明的各个方面的示例性环境1210包括计算机1212。 计算机1212包括处理单元1214、系统存储器1216以及系统总线1218。系统总线 1218将包括但不限于系统存储器1216的系统组件耦合至处理单元1214。处理单元 1214可以是各种可用处理器中的任何一种。也可采用双微处理器和其它多处理器 体系结构作为处理单元1214。系统总线1218可以是若干类型的总线结构中的任一种,包括存储器总线或存 储器控制器、外围总线或外部总线和/或使用各种可用的总线体系结构中的任一种 的局部总线,可用的总线体系结构包括,但不限于,11位总线、工业标准体系结 构(ISA)、微通道体系结构(MSA)、扩展的ISA (EISA)、智能驱动器电子接 口 (IDE) 、 VESA局部总线(VLB)、外围部件互连(PCI)、通用串行总线(USB)、 高级图形接口 (AGP)、个人计算机存储卡国际协会总线(PCMCIA)以及小型计 算机系统接口 (SCSI)。系统存储器1216包括易失性存储器1220和非易失性存储器1222。基本输入/ 输出系统(BIOS)包含诸如启动时在计算机1212中元件之间传递信息的基本例程, 它被存储在非易失性存储器1222中。作为说明,而非限制,非易失性存储器1222 可以包括只读存储器(ROM)、可编程ROM (PROM)、电可编程ROM (EPROM)、 电可擦除ROM (EEPROM)或闪存。易失性存储器1220可以包括用作外部高速
缓存的随机存取存储器(RAM)。作为说明,而非限制,RAM以多种形式可用, 诸如同步RAM (SRAM)、动态RAM (DRAM)、同步DRAM (SDRAM)、双 倍数据速率SDRAM (DDR SDRAM)、增强型SDRAM (ESDRAM)、同步链路 DRAM (SLDRAM)以及直接Rambus RAM (DRRAM)。计算机1212也包括可移动/不可以移动、易失性/非易失性计算机存储介质。 例如,图12示出磁盘存储1224。磁盘存储1224包括,但不限于,如磁盘驱动器、 软盘驱动器、磁带驱动器、Jaz驱动器、Zip驱动器、Ls-100驱动器、闪存卡或记 忆棒的设备。另外,磁盘存储1224可以包括独立或与其它存储介质结合的存储介 质,包括但不限于,诸如光盘ROM设备(CD-ROM) 、 CD可记录驱动器(CD-R 驱动器)、CD可重写驱动器(CD-RW驱动器)或数字多功能盘ROM驱动器 (DVD-ROM)等的光盘驱动器。为了便于将磁盘存储设备1224连接至系统总线 1218, 一般使用诸如接口 1226等可移动或不可移动接口。可以理解,图12描述了作为用户和在合适的操作环境1210中描述的基本计 算机资源之间的中介的软件。这样的软件包括操作系统1228。可被存储在磁盘存 储1224上的操作系统1228用来控制和分配计算机系统1212的资源。系统应用程 序1230利用了操作系统1228通过存储在系统存储器1216或者磁盘存储1224上的 程序模块1232和程序数据1234执行的资源管理。可以理解,本发明可以使用各种 操作系统或操作系统的组合来实现。用户通过输入设备1236向计算机1212输入命令或信息。输入设备1236包括, 但不限于,诸如鼠标、跟踪球、指示笔等定点设备、触摸垫、键盘、麦克风、操纵 杆、游戏垫、圆盘式卫星天线、扫描仪、TV调谐器卡、数码相机、数码摄像机、 网络摄像头等。这些和其它输入设备经由接口端口 1238通过系统总线1218连接至 处理单元1214。接口端口 1238包括,例如串行端口、并行端口、游戏端口和通用 串行总线(USB)。输出设备1240使用某些与输入设备1236相同类型的端口。从 而,例如,USB端口可以用于对计算机1212提供输入,并对输出设备1240提供 来自计算机1212的输出信息。提供输出适配器1242来示出存在类似监视器、扬声 器和打印机以及其它需要专用适配器的输出设备1240的某些输出设备1240。作为 说明而非限制,输出适配器1242包括提供输出设备1240和系统总线1218之间的 连接手段的显卡和声卡。应该注意,诸如远程计算机1244等其它设备和/或设备系 统同时提供输入和输出能力两者。计算机1212可使用至一台或多台远程计算机,诸如远程计算机1244的逻辑
连接在网络化环境中操作。远程计算机1244可以是个人计算机、服务器、路由器、 网络PC、工作站、基于微处理器的装置、对等设备或其它常见网络节点等,且通
常包括相对于计算机1212描述的许多或所有元件。为简洁起见,对于远程计算机 1244仅示出存储器存储设备1246。远程计算机1244通过网络接口 1248被逻辑连 接至计算机1212,并且然后通过通信连接1250被物理地连接。网络接口 1248包 括诸如局域网(LAN)和广域网(WAN)的通信网络。LAN技术包括光纤分布式 数据接口 (FDDI)、铜线分布式数据接口 (CDDI)、以太网/IEEE 1122.3、令牌 环/IEEE 1122.5等。WAN技术包括,但不限于,点对点链路、类似综合业务数字 网(ISDN)及其上变体的电路交换网络、分组交换网络和数字用户线(DSL)。
通信连接1250指的是用来将网络接口 1248连接至总线1218的硬件/软件。尽 管为说明清楚起见,将通信连接1250示为位于计算机1212内,然而它也可以在计 算机1212外部。仅为示例的目的,连接至网络接口 1248所必需的硬件/软件包括 内部和外部技术,诸如包括常规电话级调制解调器、线缆调制解调器和DSL调制 解调器等的调制解调器、ISDN适配器以及以太网卡。
图13是本发明可与之交互的示例计算环境1300的示意性框图。系统1300包 括一个或多个客户机1310。客户机1310可以是硬件和/或软件(例如,线程、进程、 计算设备)。系统1300也包括一个或多个服务器1330。服务器1330也可以是硬 件和/或软件(例如,线程、进程、计算设备)。服务器1330可容纳例如通过采用 本发明来执行变换的线程。客户机1310与服务器1330之间的一种可能的通信可以 采用适于在两个或多个计算机进程之间传输的数据包的形式。系统100包括可用于 便于客户机1310与服务器1330之间的通信的通信架构1350。客户机1310可操作 连接至可用来存储客户机1310本地的信息的一个或多个客户机数据存储1360。类 似地,服务器1330可操作连接至可用来存储服务器1330本地的信息的一个或多个 服务器数据存储1340。
以上描述的包括本发明的示例。当然,不可能为描述本发明而描述每个可想 象的组件或方法的组合,但是本领域的普通技术人员可以认识到,本发明的众多其 它组合和排列是可能的。从而,本发明旨在包括落入所附权利要求书精神和范围内 的所有这样的变更、修改和变化。而且,就在详细描述和权利要求书中都使用的术 语"包括"而言,当被用作权利要求书中的过渡词时,这样的术语旨在以类似于解 释术语"包含"的方式是包含性的。
权利要求
1.一种便于保护内部网络免受内部攻击的系统,包括接收访问所述内部网络的请求的组件,所述内部网络包括多个项;以及多层安全性组件,确定传递所述请求的实体被授权访问所述内部网络,并将所述实体的访问限于所述项的子集。
2. 如权利要求l所述的系统,其特征在于,所述多层安全性组件包括 确定所述实体被授权访问所述内部网络的网络授权器;以及 由幵关访问控制所控制的开关,所述开关便于将所述实体的访问限于所述项的子集。
3. 如权利要求2所述的系统,其特征在于,所述网络授权器采用802.1x标准 来确定所述实体被授权来访问所述内部网络。
4. 如权利要求3所述的系统,其特征在于,所述802.1x标准利用可扩展认证 协议来确定所述实体被授权来访问所述内部网络。
5. 如权利要求4所述的系统,其特征在于,所述可扩展认证协议利用令牌卡、 Kerberos、 一次性口令、证书、公钥认证和智能卡中的--种或多种来确定所述实体 被授权来访问所述内部网络。
6. 如权利要求3所述的系统,其特征在于,所述802.1x标准利用受保护的可 扩展认证协议和轻量级可扩展认证协议中的一种或多种。
7. 如权利要求2所述的系统,其特征在于,所述开关访问控制至少部分基于 与所述实体相关的访问控制列表。
8. 如权利要求7所述的系统,其特征在于,所述访问控制列表由所述实体的 组、职能和角色的至少其中之一来定义。
9. 如权利要求7所述的系统,其特征在于,所述访问控制列表与现有帐户数 据库共同操作。
10. 如权利要求7所述的系统,其特征在于,所述访问控制列表在确定向所 述实体分配哪些许可时考虑到所述内部网络内的接入点。
11. 如权利要求2所述的系统,其特征在于,所述网络授权器包括认证器和 认证服务器,所述认证器请求所述实体提供标识,并将这样的标识分程传递给所述 认证服务器。
12. 如权利要求ll所述的系统,其特征在于,所述认证服务器确定所述实体 提供了可接受的标识,并经由所述认证器请求所述实体提供口令。
13. 如权利要求1所述的系统,其特征在于,所述多层安全性组件利用RADIUS 服务器、TACACS服务器、XTACACS服务器以及TACACS+服务器中的一种或多种来所述实体被授权来访问所述内部网络。
14. 如权利要求13所述的系统,其特征在于,所述多层安全性组件采用口令 认证协议和质询-握手认证协议中的一种或多种。
15. 如权利要求1所述的系统,其特征在于,所述项的至少其中之一是服务器。
16. 如权利要求1所述的系统,其特征在于,所述项的至少其中之一是因特 网代理。
17. 如权利要求1所述的系统,其特征在于,还包括定义所述实体对于所述 项的子集所具有的特权的组件。
18. 如权利要求1所述的系统,其特征在于,所述多层安全性组件至少利用 用户名和口令来确定所述实体被授权来访问所述内部网络。
19. 如权利要求1所述的系统,其特征在于,用户名和口令从客户机传送, 并由验证所述用户名和口令的认证服务器接收。
20. 如权利要求1所述的系统,其特征在于,所述内部网络采用简单网络管 理协议。
21. 如权利要求1所述的系统,其特征在于,还包括对所述实体被授权访问 的项分配特权级别的数据特权分配器。
22. 如权利要求21所述的系统,其特征在于,所述特权级别包括只读特权、 只写特权和读写特权中的一个或多个。
23. 如权利要求21所述的系统,其特征在于,所述数据特权分配器包括实用 程序组件,所述实用程序组件至少部分基于数据、时间和地理位置中的一个或多个 来更改分配给所述实体的特权级别。
24. 如权利要求23所述的系统,其特征在于,所述实用程序组件执行成本/ 效益分析来更改分配给所述实体的特权级别。
25. —种包含如权利要求1所述的系统的无线网络。
26. —种保护内部网络免受内部攻击的方法,包括 提供内部网络,所述内部网络包括多个网络项; 将对所述内部网络内的特定项的访问权分配给实体; 确定所述实体被授权来访问所述内部网络;以及根据所分配的访问权来允许所述实体访问所述网络上的所述特定项。
27. 如权利要求26所述的方法,其特征在于,还包括生成用于所述实体的访 问控制列表,并至少部分基于所述访问控制列表来分配所述访问权。
28. 如权利要求26所述的方法,其特征在于,还包括在允许所述实体访问所 述内部网络之前认证与所述实体相关的实体标识和口令。
29. 如权利要求26所述的方法,其特征在于,还包括采用802.1x标准来确定 所述实体被授权来访问所述内部网络。
30. 如权利要求29所述的方法,其特征在于,还包括提供认证服务器和认证 器来确定所述实体被授权来访问所述内部网络。
31. 如权利要求30所述的方法,其特征在于,所述认证服务器是RADIUS服 务器、TACACS服务器、XTACACS服务器以及TACACS +服务器中的一个。
32. 如权利要求30所述的方法,其特征在于,所述认证器是开关和接入点之
33. 如权利要求26所述的方法,其特征在于,还包括将访问控制列表加载到 开关中来向所述实体分配访问权。
34. 如权利要求33所述的方法,其特征在于,还包括打开所述实体与包含所 述特定项的服务器之间的端口。
35. —种减少内部网络上内部攻击的方法,包括 将访问控制列表分配给期望访问所述内部网络的实体; 从所述实体接收访问所述网络的内部请求; 验证所述实体被授权来访问所述网络;至少部分基于所述实体的标识和所述访问控制列表的内容将访问特权分配给 所述内部网络上的数据。
36. 如权利要求35所述的方法,其特征在于,所述访问特权是只读特权、只 写特权以及读写特权中的一个或多个。
37. 如权利要求35所述的方法,其特征在于,还包括在验证所述实体被授权 来访问所述网络之后将所述访问控制列表加载到开关中。
38. 如权利要求35所述的方法,其特征在于,还包括根据所述访问控制列表 的内容将所述实体的访问限于对所述内部网络上的项的子集。
39. 如权利要求35所述的方法,其特征在于,还包括至少部分基于所述访问 控制列表的内容打开所述实体与所述项的子集之间的端口。
40. 如权利要求35所述的方法,其特征在于,还包括至少部分基于与所述实 体有关的上下文信息将所述访问特权分配给所述数据。
41. 一种维护内部网络安全性的系统,包括.-验证实体被授权来访问所述内部网络的认证组件;以及根据分配给所述实体的访问控制列表限制所述实体可访问的项的个数的组件。
42. 如权利要求41所述的系统,其特征在于,所述访问控制列表被分配给多 个实体。
43. 如权利要求41所述的系统,其特征在于,所述认证组件采用802.1x标准 来验证所述实体被授权来访问所述内部网络。
44. 一种便于维护内部网络上的安全性的系统,包括用于将对所述内部网络的访问限于授权实体的装置;以及 用于限制所述内部网络上所述实体被授权来访问哪些项的装置,所述用于限 制的装置至少部分基于与所述实体有关的访问控制列表。
45. 如权利要求44所述的系统,其特征在于,还包括用于将特权分配给驻留在所述内部网络上的数据的装置。
全文摘要
一种便于保护内部网络免受内部攻击的系统包括请求对内部网络的访问的实体,其中内部网络包括多个项。多层安全性组件确定实体被授权来访问内部网络,并将实体的访问限于项的子集。根据本发明的一个方面,可采用开关将实体的访问限于项的子集。
文档编号H04K1/00GK101129010SQ200580009561
公开日2008年2月20日 申请日期2005年2月17日 优先权日2004年2月19日
发明者D·D·布兰特, S·J·斯科特 申请人:洛克威尔自动控制技术股份有限公司