专利名称:通过相邻监督对网络非法节点进行检测的方法
技术领域:
本发明属于计算机安全领域,用于对网络非法节点进行检测。
背景技术:
网络非法节点指非法外联和非法接入的计算机节点统称为非法节点。通常各个单位的局域网会有一个统一的出口,即由网关来跟Internet连接,而且都设置防火墙,这样局域网用户通过网关上网安全性提高,或者有些安全要求更高的单位,其局域网根本就是封闭的,不允许连接Internet。但从另一个角度来说,安全是以受限制限制为代价的,局域网用户为了达到某种目的,采用其他方式非法接入Internet,该连接的风险是使主机同时暴露于内网和外网。目前已经有很多的安全产品来检测内网中的节点非法接入外网,通常称之为非法外联。非法外联是指内网主机在未授权的前提下,通过网络设备建立一条进出内网的通路,非法外联行为有很多种,如连接上网、双网卡上网、GPRS、红外等。然而随着便携式计算机、移动介质(移动硬盘、U盘等)广泛使用,这种非法外联不再仅局限在内网中的主机,还有私自携带笔记本等设备非法接入的行为存在。
在各行各业都构建自身行业的专用网络,如金融、铁路、军工信息系统网络等,这些专用网络在自身行业内部进行数据传输和交换发挥着重大作用,然而为加强安全管理通常在制度上严格禁止自带笔记本等便携式电脑接入或随意更换接入的位置,在技术上采用虚拟专网、认证签权等方法来防止非法访问,然而这些措施依然不能防止恶意非法节点的接入。如图1所示显示与外网存在离散连接的内部专网。
在这一结构中内部专网每一时刻都没有与外网直接连接的物理链路,但是内部专网与外网之间存在若干台游离的主机或存储介质,这些主机有时接在外网上,有时接入内部专网,则可认为在一段时间内内部专网与外部的外网存在微弱的连接。这一模型的提出主要目的在于分析独立专网网络虽与外网物理隔离状态下,仍然可能由于这些离散连接的存在而受到攻击。在这一模型中入侵者要对内部专网进行探测,则需借助这些游离的主机,当游离主机接在外网网络时,对其攻击并注入后门和病毒,当游离主机接入内部网时,病毒对内部专网进行探测并传播、扩散,当游离主机接回外网时,它将搜集、窃取的信息传到指定地点。
目前大多采用以下两种方法进行监督管理。
1、行政管理通过行政手段,制定禁止非法外联管理制度,指派专人负责检查落实,可以定时或不定时的巡逻检查,甚至可以强制卸除非法外联设备,如Modem、多余网卡、GPRS芯片等,但这作为一种原始的手段,执行起来比较困难,一方面作为执行者跟被管理者之间的人际关系不好处理,另一方面也不能做到时刻检查,难免有纰漏。
2、技术手段目前,市场上流行的非法外联监控软件分两种,一种是基于设备驱动监控的代理监控方案(即C/S方式),简称C/S方式,另一种是基于网络监控的内外配合探测方案,简称双机方式。
(1)C/S方式C/S方式是一种面向主机的内嵌检测程序方案,是通过底层开发,将监控程序嵌入系统的设备驱动中,通过对监控非法外连设备的通信来实现对非法外联行为的监控的。
C/S方式可以是单机方式,也可以是网络管理方式,即C/S——客户端/服务器方式,一个控制中心可以同时管理多个客户端,同时也可以由多级控制中心,这样就可以实现跨地区的复杂网络环境进行统一监控。客户端安装在被监控主机上,并以服务方式随被监控主机的启动而自动无界面运行,同时,客户端服务还有自身安全保护措施,比如进程不可杀、服务不可停、服务属性不可修改、服务不可卸载等,控制中心负责制定并下发监控策略,比如允许某个客户端连接、允许拨某些号、允许连接时间等,客户端会让策略允许的主机连接,而阻断策略禁止的主机连接,同时实时形成报警信息上传到上一级控制中心。
C/S方式的优点有a、能够阻断连接行为;b、同时还能离线监控,即有效监控拔掉网线或禁用网卡后才进行的非法连接行为;c、能实现对大规模复杂网络的监控;同时,C/S方式也存在一些局限性,主要表现如下a、需要在每台被监控主机上安装代理程序,如果监控范围很大的话,工作量会很大,而且需要很强的行政辅助才能顺利让被监控机器的主人接受安装。
b、自身安全问题,目前能做到的只是做了一些简单的进程不可杀、服务不可停、服务属性不可修改、服务不可卸载等防护,很容易突破代理程序的限制。
c、对非法接入的节点无法进行监管,非法接入的节点无C/S的客户端不受监控,同时该节点会伪装合法节点的MAC地址和IP地址等信息,从而在网络内进行非法通信和数据嗅探等破坏活动。
(2)双机方式双机方式由一台置于受保护内网的扫描机和一台置于公网Internet的报警机组成一个非授权外联行为的监控系统。
扫描机安装在受保护的网络(内网)内部,其主要作用是扫描,探测并记录受保护网络内的计算机设备及其参数(如机器名、操作系统、IP地址、MAC地址等)信息,发出连接外网的探测信息。扫描机伪造报警机的IP向所有被监控主机定时发送探测包,即探测包的源IP为报警机服务器的IP,而目的地址为被探测的主机IP,当然为了让报警机能够准确判断,探测包还应该具有一些必要的特征,如可以在探测包头的SEQ字段中加载一些特征值。被监控主机接到探测包后会向报警机发送一个回应包,当扫描机接收到回应包并经过分析以后,即可通过获取的SEQ字段特征值、源IP等判断该主机已进行非法连接。
各行业专网采取了大量的措施来防范非法访问,而对非法节点的接入缺乏有效地检测机制,本发明针对这种模型存在的危害从技术手段提供解决方案。
发明内容
内部专用网络在管理上禁止非法节点接入网络,在技术上通过加密签权来授权访问,而没有较好的非法节点检测机制,本发明提供一种主动检测的方法来发现、定位非法节点。
本发明的基本原理是利用相邻节点主动检测和网络认证服务器主动检测的机制来主动检测接入网络的计算机的合法性,从而改进传统模式的被动认证方式,不是被动地等待认证,而是主动发送查询数据进行认证;不是仅依赖于监控服务进行检测,还利用相邻节点相互监督进行检测。
本发明提出的通过相邻监督对网络非法节点进行检测的方法,包括以下几个步骤(1)建立C/S方式非法节点监控网络;(2)在服务器上建立认证服务对合法节点进行认证;(3)通过认证的合法节点可以从认证服务器获得网络中的通行密钥;(4)服务器定期主动扫描网络,检测在线节点是否能够反馈合法的身份信息来监管网络节点;(5)相邻节点主动扫描网络,检测相邻节点是否能够反馈合法的认证信息来相互监督;(6)发现非法节点,相邻节点主动向服务器告警,同时对非法节点发拒绝服务报文或干扰等方法迫使非法节点离线或干扰其对网络通信的侦听。
在上述(3)中采用多级网络认证结构,主机m到n进行通信,在计算机m中携带设有允许其访问主机网段的代理服务器赋于的访问密码,每经过一个代理服务器都需要经行密码的验证,m不能提供访问密码,其数据便不能通过代理服务器,在整个通信过程中都采用非对称加密。
对上述(5)进行相邻监督,其步骤如下(1)AC服务器发布的密钥对(公钥Kac和私钥Pac),该密钥对在各个主机上都是一致的。
(2)A产生一个随机数Ra,用私钥将Pac将Ra加密,然后将加密后的结果送给B。
(3)B用公钥Kac将密文解开,得到随机数Ra,B将解密后的数发给A,A验证收到的数是否与自身产生的随机数Ra相同,如果相等,则信任B;如果不等则B可能是非法节点或A不属于B所在的授权网段,A不信任B。
(4)B产生一个随机数Rb,用私钥将Pac将Rb加密,然后将加密后的结果送给A。
(5)A用公钥Kac将密文解开,得到随机数Rb,A将解密后的数发给B,B验证收到的数是否与自身产生的随机数Rb相同,如果相等,则信任A;如果不等则A可能是非法节点或B不属于A所在的授权网段,B不信任A。
(6)建立信任关系的主机之间可以进行相互通信,无信任关系的主机不能进行通信。信任关系与不信任关系定期更新来防止中途替换和错误干扰。信任主机之间相互通报不信任主机信息,并向服务器警,然后联合其他信任主机对不信任节点实施干扰或攻击。
本发明提出的通过相邻监督对网络非法节点进行检测的方法,具有以下优点(1)弥补C/S网络节点监控方式中无法对非法接入节点屏蔽扫描而无法监管的缺点。非法节点没有安装客户端程序,且通过防火墙屏蔽服务器的扫描来躲避监管。由于采取了相邻监督,只要非法节点接入网络虽然其不与监控服务器进行通信,但相邻计算机能截获到其发出的报文,从而主动要求进行相邻认证,如果认证失败,则向服务器告警。
(2)由于是相邻监督,这样可以通过两到三个合法节点的告警可以准确地定位非法节点所在网络位置。
(3)发现节点后采用主动反击措施可以减小非法节点带来的危害,同时由于是相邻节点进行反击不会对其他网段造成影响。
图1是与外网存在离散连接的内部专网示意图。
图2是多级认证结构图。
图3是相邻认证流程图。
具体实施例方式
离散状态存在诸多不确定因素,对其防范则需考虑周全,同时还需有效的方法来检测非法节点的存在,及时发出警告。合法节点的认证采用公钥\私钥对与认证服务器进行认证,每天的文件操作密钥需不断更换,但又必须能对以前加密过的文件进行解密,可采用时间戳作为加密、解密种子,以每个文件的保存时间作为时间戳,在管理服务器中保存各个时间戳的操作密钥。对于非法节点的检测,可采用图2所示的多级认证结构。
主机m到n进行通信,在计算机m中携带设有允许其访问主机网段的代理服务器赋于的访问密码,每经过一个代理服务器都需要经行密码的验证,m不能提供访问密码,其数据便不能通过代理服务器,在整个通信过程中都采用非对称加密,其中B-F为代理服务器,X为网段中不安全主机,m在每次通信中的报头目标指向B,在报文中携带一密文为路径请求和与下一代理服务器通信的密钥、目标,传输到B后,B得知报文将传给C,且得到与C通信的密钥,报文传到C,C获得报文后,取得与下一服务器通信的密钥,这样将报文传到目标站点n,而网络中不安全主机X从报头上只能得知B与C、C与B在通信,若X无访问C的密钥,则X也不能访问C,以及C后的资源,同时C记录X经常进行非法请求,则可断定X有问题,各代理服务器通过逆向查询访问路由可进一步验证该请求的合法性。该认证方法可较好的控制网络中的访问级别,同时还可很快定位不安全主机。
每个专网主机节点与归属网络有签约关系。初始化时,网络认证中心AC给用户分配一个惟一的标识符——用户标识ID、认证密钥Ki和有效期限TIME。Ki作为主密钥,用于认证和导出子密钥。ID、认证密钥Ki和有效期限TIME保存在专网主机EPROM中和认证中心AC中。为保证专网主机ID机密性,网络用临时专网主机标识TID替代用户标识ID,TID由每次产生的随机数通过一定的算法与ID运算产生,使第三方无法在信道上跟踪。认证密钥Ki用于对用户的合法身份进行认证。当网络正常能访问网络认证中心AC时,认证中心AC定期检测认证密钥Ki的合法性,并在固定的时间间隔内更新。当网络认证中心AC故障或网络故障时,无法检测Ki的合法性,则采用相邻认证。
认证发生在网络知道用户身份(ID/TID)之后、信道加密之前。认证过程也用于设置加密密钥。当专网主机要使用网络或者位置更新时,需要网络方认证。
认证系统包括证书服务器和认证授权控制台。证书服务器上建有证书数据库和用户一角色信息数据库,用以保存用户证书和角色信息,并提供证书查询服务;认证授权控制台用于对证书服务器的管理,可完成证书的生成、撤消、修改及查阅等操作,同时要维护用户一角色信息。当AC为用户生成证书时,便生成一对密钥,公钥包含在证书中存放于证书服务器上,私钥则由用户保管。私钥存放的方法不一,一般采用对称密钥方法进行加密后存放在专网主机上。计算机接入网络时,专网主机自动与AC进行认证(1)计算机开机,专网主机向AC服务器发出登录请求,并提供用户信息。
(2)服务器接收到用户请求,取用户ID信息,如果用户信息不正确,根据系统策略一般将该请求丢弃,认为该用户无权访问网络;如果用户信息正确则,证书授权服务器查询该用户公钥证书,若查询到证书则在内存中保留证书,否则产生新证书。
(3)使用公钥机制验证用户身份。AC服务器调用随机数生成程序,产生一个认证随机数作为验证实体,将此随机数发送给客户机。
(4)客户机得到随机数后,使用专网主机的私钥对认证随机数进行签名运算,并将运算结果发往AC服务器。
(5)服务器端收到经过签名的随机数后,从证书中取得该专网主机的公钥,并进行签名验证,将解密得到的内容与原始的随机数进行比对,如一致则签名验证通过,否则身份验证失败。验证通过后,服务器将用户的证书信息发送给客户端。在以后访问网络的过程中,用户将利用该证书中的角色信息访问网络中的资源。
在AC认证的基础上引入相邻认证,合法节点通过服务器认证后获得相应证书。证书中包含有AC服务器发布的密钥对(公钥Kac和私钥Pac),该密钥对在各个主机上都是一致的,主机A、B相邻认证过程如下,流程图如图3所示(1)AC服务器发布的密钥对(公钥Kac和私钥Pac),该密钥对在各个主机上都是一致的。
(2)A产生一个随机数Ra,用私钥将Pac将Ra加密,然后将加密后的结果送给B。
(3)B用公钥Kac将密文解开,得到随机数Ra,B将解密后的数发给A,A验证收到的数是否与自身产生的随机数Ra相同,如果相等,则信任B;如果不等则B可能是非法节点或A不属于B所在的授权网段,A不信任B。
(4)B产生一个随机数Rb,用私钥将Pac将Rb加密,然后将加密后的结果送给A。
(5)A用公钥Kac将密文解开,得到随机数Rb,A将解密后的数发给B,B验证收到的数是否与自身产生的随机数Rb相同,如果相等,则信任A;如果不等则A可能是非法节点或B不属于A所在的授权网段,B不信任A。
(6)只有建立信任关系的主机之间可以进行相互通信,无信任关系的主机不能进行通信。信任关系与不信任关系定期更新来防止中途替换和错误干扰。信任主机之间相互通报不信任主机信息,并向服务器警,然后联合其他信任主机对不信任节点实施干扰或攻击。
权利要求
1.一种通过相邻监督对网络非法节点进行检测的方法,其特征在于(1)建立C/S方式非法节点监控网络;(2)在服务器上建立认证服务对合法节点进行认证;(3)通过认证的合法节点可以从认证服务器获得网络中的通行密钥;(4)服务器定期主动扫描网络,检测在线节点是否能够反馈合法的身份信息来监管网络节点;(5)相邻节点主动扫描网络,检测相邻节点是否能够反馈合法的认证信息来相互监督;(6)发现非法节点,相邻节点主动向服务器告警,同时对非法节点发拒绝服务报文或干扰等方法迫使非法节点离线或干扰其对网络通信的侦听。
2.根据权利要求1所述一种通过相邻监督对网络非法节点进行检测的方法,其特征在于所述权利要求1中(3)在采用多级网络认证结构,主机m到n进行通信,在计算机m中携带设有允许其访问主机网段的代理服务器赋于的访问密码,每经过一个代理服务器都需要经行密码的验证,m不能提供访问密码,其数据便不能通过代理服务器,在整个通信过程中都采用非对称加密。
3.根据权利要求1所述一种通过相邻监督对网络非法节点进行检测的方法,其特征在于对所述权利要求1中(5)进行相邻监督,其步骤如下(1)AC服务器发布的密钥对(公钥Kac和私钥Pac),该密钥对在各个主机上都是一致的;(2)A产生一个随机数Ra,用私钥将Pac将Ra加密,然后将加密后的结果送给B;(3)B用公钥Kac将密文解开,得到随机数Ra,B将解密后的数发给A,A验证收到的数是否与自身产生的随机数Ra相同,如果相等,则信任B;如果不等则B可能是非法节点或A不属于B所在的授权网段,A不信任B;(4)B产生一个随机数Rb,用私钥将Pac将Rb加密,然后将加密后的结果送给A;(5)A用公钥Kac将密文解开,得到随机数Rb,A将解密后的数发给B,B验证收到的数是否与自身产生的随机数Rb相同,如果相等,则信任A;如果不等则A可能是非法节点或B不属于A所在的授权网段,B不信任A;(6)建立信任关系的主机之间可以进行相互通信,无信任关系的主机不能进行通信;信任关系与不信任关系定期更新来防止中途替换和错误干扰;信任主机之间相互通报不信任主机信息,并向服务器警,然后联合其他信任主机对不信任节点实施干扰或攻击。
全文摘要
本发明属于计算机安全领域,用于对网络非法节点进行检测,利用相邻节点主动检测和网络认证服务器主动检测的机制来主动检测接入网络的计算机的合法性,从而改进传统模式的被动认证方式,不是被动地等待认证,而是主动发送查询数据进行认证;不是仅依赖于监控服务进行检测,还利用相邻节点相互监督进行检测,能较好的检测、定位非法节点,为网络提供安全保障。
文档编号H04L29/06GK1925428SQ20061015253
公开日2007年3月7日 申请日期2006年9月28日 优先权日2006年9月28日
发明者陶然, 李志勇, 张昊, 杜华 申请人:北京理工大学