专利名称:一种分域溯源式全局网络安全体系的构建方法
技术领域:
本发明涉及到一种基于TCP/IP协议的计算机互联网全局网络安全架构,特别涉及一种基于分域溯源式全局网络安全架构。
背景技术:
因特网的出现和广泛应用改变了传统意义上的工作、通信、商务和安全理念。而同时,也因为其资源的开放性,因特网的安全性成为了一个极具挑战性的问题。
传统的网络安全防护主要是通过在网络边界点设置防火墙(FW)等安全工具,将需要防御的内网与外网隔离开来。如图1所示,这种封闭、孤立的防御架构存在很多缺陷和不足,它不仅无法防止来自网络内部的攻击,对来自外网的应用层攻击也无法进行有效防御,从这个意义上而言,传统的安全防护架构存在内、外两个安全黑洞。为了解决内网的安全问题,Cisco等设备厂商联合提出了一系列准入、控制标准,它通过在内网引入安全矫正服务、安全策略控制等方式确保在授予终端访问权利前,每个终端都符合网络安全策略。
这些厂商提出的解决方案在一定程度上解决了部分来自内网的安全威胁问题,但对于来自业务层的新型攻击仍然难以防御,互联网的外部安全黑洞仍然存在,同时过于严格的安全准入限制有可能妨碍互联网新业务的部署,其频繁的认证维护导致安全开销大大增加,用户的权限、隐私、自由也遭到严重的破坏。
特别是对于跨越了不同管辖边界的因特网而言,不同网络区域之间的监管控制由于技术、利益、地域等多方面的原因制约,难以形成统一的标准,这些解决方案在实现网络安全架构的平滑过渡和域间的安全控制监管时存在较大的难点和缺陷。
发明内容
本发明的目的是为了克服现有的网络安全防护体系难以防御业务层的攻击,在实现网络安全架构的平滑过渡和域间的安全控制监管时存在较大的难点和缺陷,提供一种安全、高效的网络安全体系。
为了实现上述目的,本发明提供了一种分域溯源式全局网络安全体系的构建方法,包括1)、将互联网划分出网络安全域,在每个网络安全域中设有安全控制点;2)、互联网中的所述的网络安全域组成虚拟安全网区域,互联网中的其余部分为非虚拟安全网区域,在虚拟安全网区域内,按安全控制点的处理能力和部署功能,将安全控制点分为核心安全控制点与边缘安全控制点;3)、每一个所述的网络安全域内的安全控制点对进入本网络安全域的流量进行检测,如果该流量来自虚拟安全网区域,则采用处理开销较小的安全访问准入策略,而对来自非虚拟安全网区域的流量,则使用多重安全机制的安全访问准入策略;4)、每一个所述的网络安全域内的安全控制点通过客户端反馈、端口监测等多种不同方式对域内各节点的安全状态进行监控,当检测到外来攻击流或疑似攻击流,对流的来源进行判断,如果该流来自虚拟安全网内,则安全控制点生成溯源通告信息,并经过核心安全控制点转发至流源头所属的安全控制点,如果流来自非虚拟安全网,则屏蔽该攻击流;5)、当流源头所属的安全控制点收到来自其他安全控制点的溯源通告信息时,对溯源通告信息所指向的节点执行严格的安全策略检查,如果该节点可确定或疑似为攻击源,则对该节点采取相应的安全措施,同时,向发出溯源通告信息的安全控制点发送溯源成功的响应信息,如果该节点被其所在安全控制点判定为正常网络行为,则向发出溯源通告信息的安全控制点发送溯源失败信息;6)、当发出溯源通告信息的安全控制点收到溯源失败信息后,根据自身制定的安全策略,决定是否将本地检测为攻击流或疑似攻击流进行屏蔽隔离。
上述技术方案中,在所述的步骤1)中,所述的安全控制点可对网络安全域内的任一节点进行访问控制;可对任一节点的安全状态进行检测分析;可对接入安全域的节点进行基本的准入和控制策略;可对所有节点同时进行并行的控制与管理;其中,所述的基本的准入和控制策略包括加载防病毒软件、消除系统安全漏洞。
上述技术方案中,在所述的步骤1)中,所述的网络安全域在划分时,遵循以下原则存在一个统一的安全策略控制中心,用P表示,具有相同的安全访问控制策略,用C表示,域内节点具有相同或相近的安全需求,用R表示,域内节点具有较紧密的相互信任关系,用T表示,在满足适中的管理复杂性M的条件下所选取的最大网络区域,构建为一个最小网络安全域,其形式化描述为Domain=Max{P∩C∩R∩T∩M}。
上述技术方案中,在所述的步骤2)中,所述的核心安全控制点负责为所述的边缘安全控制点之间建立可信的第三方认证连接,并提供溯源信息解析、转发等功能。
上述技术方案中,在所述的步骤3)中,所述的处理开销较小的安全访问准入策略包括简单的防火墙过滤机制或直接放行,所述的多重安全机制的安全访问准入策略包括防火墙过滤、流量模式检测、应用层分析。
上述技术方案中,在所述的步骤5)中,所述的安全策略包括补丁加载、端口隔离、检疫分析。
采用本发明提出的分域溯源式全局网络安全系统,可以为互联网的安全防御提供明晰的安全边界和合理的安全域划分手段。它兼顾了安全与效率,主动的溯源方式可以提供传统架构无法做到的应用层攻击防护,是一种彻底解决DDoS类攻击的有效防御架构。本发明使用虚拟网技术进行虚拟安全网的构建,可以为方案的过渡到全面部署提供良好的可扩展性支持,是倡导协同控制、全局安全的未来网络架构的一个很有前景的安全解决方案。
图1为现有的网络安全防护体系的架构示意图;图2为本发明的分域溯源式全局网络安全系统的构建方法的流程图;图3为网络安全域建立的流程图;图4为本发明的分域溯源式全局网络安全系统在一个实施例中的架构图。
具体实施例方式
下面结合附图和具体实施方式
,对本发明作进一步的说明。
如图2所示,本发明的分域溯源式全局网络安全系统的构建方法具体包括以下步骤步骤10、将整个互联网分为多个网络安全域,在每个网络安全域中都有安全控制点。
所述的安全控制点至少具有以下功能可对网络安全域内的任一节点进行访问控制;可对任一节点的安全状态进行检测分析;可对接入安全域的节点进行基本的准入和控制策略,如要求加载防病毒软件、消除系统安全漏洞等;可对所有节点同时进行并行的控制与管理。
所述的网络安全域在划分时,遵循以下原则存在一个统一的安全策略控制中心,用P表示,具有相同的安全访问控制策略,用C表示,域内节点具有相同或相近的安全需求,用R表示,域内节点具有较紧密的相互信任关系,用T表示,在满足适中的管理复杂性M的条件下所选取的最大网络区域,构建为一个最小网络安全域,其形式化描述为Domain=Max{P∩C∩R∩T∩M}。
步骤20、互联网中的所有网络安全域组成虚拟安全网区域,互联网中除了网络安全域的其他部分组成非虚拟安全网区域。虚拟安全网内的安全控制点采取树形+网状结构层次式混合的逻辑连接方式。在虚拟安全网区域内,按安全控制点的处理能力和部署功能,将安全控制点分为核心安全控制点与边缘安全控制点。核心安全控制点可负责为边缘安全控制点之间建立可信的第三方认证连接,同时提供溯源信息解析、转发等功能。
步骤30、各个网络安全域内的安全控制点对进入安全域的流量进行检测,如果该流量来自虚拟安全域,则采用处理开销较小的安全访问准入策略,如简单的防火墙过滤机制或直接放行,而对来自非虚拟安全域的流量,则使用多重安全机制来保证安全域的安全性,所述的多重安全机制包括防火墙过滤、流量模式检测、应用层分析等。
步骤40、各个网络安全域内的安全控制点通过客户端反馈、端口监测等多种不同方式对域内各节点的安全状态进行监控,一旦检测到外来攻击流或疑似攻击流,对流的来源进行判断,如果该流来自虚拟安全网,控制点即时生成溯源通告信息,并经过核心安全控制点转发至该流源头所属的安全控制点,如果其来自非虚拟安全网,则屏蔽该攻击流。
步骤50、当流源头所属的安全控制点收到来自其他安全控制点的溯源通告信息时,按约定对溯源通告信息所指向的节点执行严格的安全策略检查,如果该节点可确定或疑似为攻击源,则对该节点采取相应的安全措施,如补丁加载、端口隔离、检疫分析等。同时,向发出溯源通告信息的安全控制点发送溯源成功的响应信息。如果该节点被其所在安全控制点判定为正常网络行为,则向发出溯源通告信息的安全控制点发送溯源失败信息。
步骤60、当发出溯源通告信息的安全控制点收到溯源失败信息后,根据自身制定的安全策略,决定是否将本地检测为攻击流或疑似攻击流进行屏蔽隔离。
本发明提供的方法要求各个从属不同组织、机构的网络域遵循一些基本的安全协同防御约定,并依照是否遵从这些约定将网络节点属性进行分类。对于遵从基本安全协同防御约定的网络节点,由于相互之间具有可溯源和间接控制能力,因而在安全域的入口可给予较宽松的安全策略,而对不遵从该约定的网络节点发出的流量,入口可设置多重检测、分析与过滤,确保网络域内的安全性。
下面结合附图和一个具体实施例对本发明的分域溯源式全局网络安全系统进行说明。
图4示出了两个网络安全域A、B,以及分属A、B的终端主机/服务器A1、B1,A1、B1通过支持802.1x端口认证协议的交换机A2、B2分别接入网络。其安全域的构建通过图3所示的流程完成,A0、B0为安全域A、B的安全控制点,它们是一些包括AAA服务器、AV防护服务器、DNS服务器、故障修复服务器、访问策略服务器、访问控制中心等功能的抽象点。
安全控制点对请求接入的终端通过802.1x的扩展认证(EAP)协议检查其接入权限,同时通过远程用户拨号认证系统(Radius)协议,透过接入点,检测接入终端是否符合基本的安全接入要求,如是否加载了病毒软件、是否打好了漏洞补丁等。对不符合安检的系统,直接将其转接至安全控制点的安全服务器群,自动补上这些安全漏洞,整个流程如图7所示。
安全控制点A0、B0通过身份标识协议(Host Identity Protocol以下简称HIP)、IPSec等认证协议相互之间或通过第三方来建立可信关系,每个网络安全域分配一个唯一的安全域号来进行标识。
从网络安全域发出的每个IP包,通过HIP协议,在介于IP层与应用层的HIP层打上安全域标识。各个安全域的入口根据安全域标识来决定相应的准入措施。
在本例中,假定A0、B0都属于虚拟安全网节点,相互之间存在信任关系,则A0对B1的流量采取较低的安全准入措施。
如果当B1对A1试图进行攻击,只要被A1自身的安全系统或是接入点A2的端口监测系统或是安全域内的其他监测设备所检测到,它们都将通过相应的协议(如EAP、Radius)等向安全控制点A0发送攻击源信息。A0将根据HIP层提供的B1的身份和所在安全域,发送包含B1身份、攻击信息等内容的溯源通告帧至B0。
B0接收到A0发出的溯源通告后,对B1发送警告信息,同时透过接入点B2对B1进行有针对性的严格的安全状态检查和深入业务层的攻击类型分析。如果B1确实具有攻击行为,B0将对其执行安全隔离措施,并通过自动或人工的方式纠正其行为后再重新入网,同时发送溯源成功信息给A0。如果经过以上步骤,B0仍不能判定B1为攻击源或疑似攻击源,则返回溯源失败信息给A0。
接收到溯源失败信息的A0可根据自身策略对B1重新制定屏蔽或忽略的安全措施。
权利要求
1.一种分域溯源式全局网络安全体系的构建方法,包括1)、将互联网划分出网络安全域,在每个网络安全域中设有安全控制点;2)、互联网中的所述的网络安全域组成虚拟安全网区域,互联网中的其余部分为非虚拟安全网区域,在虚拟安全网区域内,按安全控制点的处理能力和部署功能,将安全控制点分为核心安全控制点与边缘安全控制点;3)、每一个所述的网络安全域内的安全控制点对进入本网络安全域的流量进行检测,如果该流量来自虚拟安全网区域,则采用处理开销较小的安全访问准入策略,而对来自非虚拟安全网区域的流量,则使用多重安全机制的安全访问准入策略;4)、每一个所述的网络安全域内的安全控制点通过客户端反馈、端口监测等多种不同方式对域内各节点的安全状态进行监控,当检测到外来攻击流或疑似攻击流,对流的来源进行判断,如果该流来自虚拟安全网内,则安全控制点生成溯源通告信息,并经过核心安全控制点转发至流源头所属的安全控制点,如果流来自非虚拟安全网,则屏蔽该攻击流;5)、当流源头所属的安全控制点收到来自其他安全控制点的溯源通告信息时,对溯源通告信息所指向的节点执行严格的安全策略检查,如果该节点可确定或疑似为攻击源,则对该节点采取相应的安全措施,同时,向发出溯源通告信息的安全控制点发送溯源成功的响应信息,如果该节点被其所在安全控制点判定为正常网络行为,则向发出溯源通告信息的安全控制点发送溯源失败信息;6)、当发出溯源通告信息的安全控制点收到溯源失败信息后,根据自身制定的安全策略,决定是否将本地检测为攻击流或疑似攻击流进行屏蔽隔离。
2.根据权利要求1所述的分域溯源式全局网络安全体系的构建方法,其特征在于,在所述的步骤1)中,所述的安全控制点可对网络安全域内的任一节点进行访问控制;可对任一节点的安全状态进行检测分析;可对接入安全域的节点进行基本的准入和控制策略;可对所有节点同时进行并行的控制与管理;其中,所述的基本的准入和控制策略包括加载防病毒软件、消除系统安全漏洞。
3.根据权利要求1所述的分域溯源式全局网络安全体系的构建方法,其特征在于,在所述的步骤1)中,所述的网络安全域在划分时,遵循以下原则存在一个统一的安全策略控制中心,用P表示,具有相同的安全访问控制策略,用C表示,域内节点具有相同或相近的安全需求,用R表示,域内节点具有较紧密的相互信任关系,用T表示,在满足适中的管理复杂性M的条件下所选取的最大网络区域,构建为一个最小网络安全域,其形式化描述为Domain=Max{P∩C∩R∩T∩M}。
4.根据权利要求1所述的分域溯源式全局网络安全体系的构建方法,其特征在于,在所述的步骤2)中,所述的核心安全控制点负责为所述的边缘安全控制点之间建立可信的第三方认证连接,并提供溯源信息解析、转发等功能。
5.根据权利要求1所述的分域溯源式全局网络安全体系的构建方法,其特征在于,在所述的步骤3)中,所述的处理开销较小的安全访问准入策略包括简单的防火墙过滤机制或直接放行,所述的多重安全机制的安全访问准入策略包括防火墙过滤、流量模式检测、应用层分析。
6.根据权利要求1所述的分域溯源式全局网络安全体系的构建方法,其特征在于,在所述的步骤5)中,所述的安全策略包括补丁加载、端口隔离、检疫分析。
全文摘要
本发明公开了一种分域溯源式全局网络安全体系的构建方法,包括将互联网划分出网络安全域;将网络安全域组成虚拟安全网区域,互联网中除了网络安全域的其他部分组成非虚拟安全网区域;根据进入安全域的流的源头对流采用不同的安全访问准入策略;监控节点的安全状态,对攻击流发出溯源通告;安全控制点根据溯源通告对节点作安全检查,根据检查结果,判断溯源是否成功,若成功,发送溯源成功的响应信息,若不成功,发出溯源通告的安全控制点采取相应的安全措施。本发明可以为互联网的安全防御提供明晰的安全边界和合理的安全域划分手段,兼顾安全与效率,溯源方式可以提供传统架构无法做到的应用层攻击防护,是一种解决DDoS类攻击的防御架构。
文档编号H04L29/06GK1917514SQ200610011219
公开日2007年2月21日 申请日期2006年1月18日 优先权日2006年1月18日
发明者李彦君, 张国清, 沈苏彬 申请人:中国科学院计算技术研究所