专利名称:互联网加密安全通讯控制方法
技术领域:
本发明涉及一种电信技术领域的通信控制方法,具体是一种互联网加密安全 通讯控制方法。
背景技术:
随着计算机、互联网通信技术的发展,网络安全已经成为当前信息时代的一 个重要问题。在网络安全领域,控制网络中存在的不良信息(如色情、反动), 防止其传播蔓延是维护网络安舍健康的重要内容,加密通讯软件通信控制技术成 为解决当前网络安全问题的关键。网络安全问题通常是指通过非法网站或网页传 播不良信息,通过传播色情信息或者煽动社会动乱、颠覆国家政权的信息形式危 害社会安全。实际上不良信息的传播途径可分为两种,即主动发送和被动接受方 式,主动发送方式是传播者通过发送恶意邮件形式进行传播,这种方式的传播信 息量不大,影响范围较小;被动接受方式是把不良信息公布到互联网络,访问者 利用搜索引擎或者特殊的加密通讯软件获取这些非法信息,其中后者的危害范围 广泛,监管难读较大。
目前存在针对互联网络通信控制的主要方式是网址(URL, Uniform Resource Location)过滤技术和文本内容过滤技术。网址过滤技术是针对因特网上统一资 源定位符URL作为文档标志的唯一性特征,首先收集大量的非法网页的网址,然 后将这些网址集合制作成为一个列表作为网络运营商在宽带路由器或者网关设 置不良网站的标准,通过屏蔽掉列表中的不良网址链接来防范非法信息传播。这 种方式的实现比较简单,但是存在很大的弱点,即现在互联网上的非法网站网址 太多且增长速度过快难以收集网址,另一方面非法网站的网址也会根据过滤情况 适时动态更换网址,从而造成需要过滤的网址无法及时更新而不能达到控制效 果。另一种方式是文本内容过滤技术,这种技术类似于信息检索技术,通过检索 算法分析文档内容,把带有不良信息的网页屏蔽掉。当前常见主要的此类检索算 法有关键字匹配法、潜在语义索引法和神经网络法,这里不再详细叙述这些算法 的工作过程。但是这种方法也存在弊端,首先用于匹配规则的关键字内容不够全
4面,不良信息可以通过使用同义词达到逃避过滤的效果,另一方面这种文本匹配 过滤技术对于加密通讯软件加密后的信息传输无法起到过滤作用。目前还存在把 这两种技术相结合开发出相关加密通讯软件或硬件控制设施,应用在客户机终端 来进行过滤不良信息,但是这无法阻止用户通过特殊的加密通讯软件逃避上述两 种过滤方式访问非法信息的行为。
针对当前主流的过滤控制技术,互联网存在一些特殊的加密通讯软件,如自 由门(FreeGate)、无界浏览(UltraSurf)、花园(Garden)加密通讯软件,这类加 密通讯软件首先通过加密通讯软件内置DNS或特殊IP地址获取更新加密代理网 址,再把大量非法信息加密,通过动态更新的代理服务器的传输到访问者的终端 机,然后客户机上应用的加密通讯软件解密非法信息并肆意传播。这种信息传播
方式的特点是长期动态地更新代理服务器网址, 一方面躲过网址过滤,另一方面 由于非法信息被加密而逃避了文本内容过滤方式的信息过滤控制。目前这类加密 通讯软件越来越流行,而且版本也在不断的更新升级换代,造成大量非法信息肆 意传播,给社会带来巨大的危害。传统的信息过滤控制技术仅仅能对明文信息进 行控制过滤,.对于动态更换网址的非法信息无法有效地监管控制,目前对于这种 利用加密通讯软件传输的信息尚没有通用的控制方法。
经对现有技术的文献检索发现,William S. Duvall于1999年3月16号发 明登记的该类专利,申请号为5884033,名称为"Internet filtering system for filtering data transferred over the internet utilizing immediate and deferred filtering action"(应用于网络传输数据即时和延迟过滤的网络过滤 系统),该技术提供一种网络通信过滤方法,包括开放一个接口从网络服务器接 受数据信息,维护一个包含有过滤程序表的过滤信息数据库,过滤程序表具体说 明了即时过滤方法和延迟过滤方法,根据对比确定是否屏蔽掉通过接口的信息, 该技术所提供的过滤方法也能够通过收集网址来比较域名或直接比较网址来屏 蔽掉不良信息。但是该技术主要还是针对固定的网站发布明文信息进行网址或文 本信息过滤,不能够有效地过滤控制加密通讯软件利用动态更新网址的代理进行 访问的信息传输情况。
在进一步的检索中,尚未见有报道过有那种能够对加密通讯软件动态改变网 络传输地址并加密传输信息进行控制的过滤系统。随着加密通讯软件的发展和流 行,针对这类加密通讯软件的控制过滤系统,无疑会为互联网提供更安全的保护,其应用前景将非常可观。
发明内容
本发明的目的是针对上述现有技术的不足,提出一种互联网加密安全通讯控 制方法,通过提取加密通讯软件进行通信的代理服务器地址,通过网关自动设置 屏蔽所有对于这些代理地址的访问,完全高效地控制加密信息通过代理服务器的 传播。
本发明是通过以下技术^"案实现的,本发明包括以下步骤 第一步、'L首先提取加密地址,包括提取内置加密域名解析地址、内置IP 地址和公开网页空间地址。
所述的提取加密地址,采用逆向分析方法,包括以下步骤
1) 收集加密通讯软件运行后所发起的访问请求以及运行提示信息,对可执 行的加密通讯软件文件进行反汇编、反编译,得到加密通讯软件的汇编和高级语 言代码及对应的结构信息和逻辑信息;
2) 通过调试器加载运行加密通讯软件的汇编和高级语言代码并记录整个运 行过程中涉及的内存代码信息、寄存器地址信息、内存地址信息和输入输出数据 以及这些数据在内存中的地址;
3) 在调试器中对此地址设置断点,再次利用调试器加载运行加密通讯软件 的汇编和高级语言代码,并在产生中断时由调试器暂停以得到被访问地址的相应 代码,根据此时堆栈调用情况得到代码对应的层次关系;
4) 找到和需要判定性质的数据匹配的内容,然后根据代码分析模块对产生
或者访问信息的相应代码进行处理给出的结果,判定出哪些指令和数据处理有 关,通过程序的运行流程和内存地址的变化,判断需要提取的数据来源,对于来 自加密通讯软件内部固化的数据,将其提取出来。
5) 按照前述代码定位方法,用调试器加载程序并找到产生或访问数据信息
的代码位置,并找到函数调用链,直到找到数据生成的代码行,根据代码分析模 块的分析结果,判定数据信息来内部固化生成,并进行提取。
第二步、解密加密地址,然后通过黑盒测试方法验证解密后的加密地址。
所述的解密加密地址,采用密码学分析法包括AES密码、DES密码和IDEA 密码。
所述的黑盒测试是指利用数据抓包分析方法査看加密通讯软件运行后访问的地址信息,当数据抓包的地址信息与解密固化数据的地址信息相符,表明黑盒 测试成功,可进一步截取加密通讯软件的临时缓存文件;当数据抓包的地址信息 与解密固化数据不相符,表明黑盒测试失败,同时返回第一步重新提取正确的内 置域名解析地址或内置特定IP。
第三步、截取加密的临时缓存文件,得到加密地址,然后解密这些加密地址。 第四步、将解密加密她址应用于网关进行网络地址过滤,并根据屏蔽前后的 数据进行屏蔽效果测试。
所述的屏蔽效果测试是指在网关上分别设置两台独立的数据采集仪器,该
数据采集仪器中保持需要屏蔽的内置加密域名解析地址和内置特定IP地址,两 台数据采集仪器根据这些地址信息计算屏蔽前和屏蔽后的采集到的数据包,并根
据以下公式进行评估测量过滤效果-
流入数据=流出数据+流入数据中落在屏蔽策略范围内的IP数据包的数
据
当上述式成立,则说明当前屏蔽设置规则合适; 当式不成立,则说明网关未能实现有效屏蔽。
第五步、根据屏蔽效果测试的结果确定继续釆用已经提取的地址作为目标屏 蔽地址,或重复第一步操作进行新一轮过滤控制。 与现有技术相比,本发明具有如下有益效果
其一,针对传统网络过滤控制系统无法解决网址过滤方式下屏蔽效率低,动 态网址更新快的情况,本发明通过实时更新动态屏蔽代理网址数据,有效地解决 了动态网址更新、增加快造成的屏蔽效率低问题,能够提高信息过滤效率。
其二。针对传统网络对于加密信息传输无法通过文本过滤控制的情况,本发 明从分析加密通讯软件运行机理及加密通讯软件内部固化信息着手,设计过滤控 制系统屏蔽掉代理传输网址,从根本上防止加密信息的传输。
其三,本发明并没有直接解密加密通讯软件的加密通信内容进行文本过滤控 制,而是从屏蔽转输的代理服务器网址,极大提高了信息过滤控制效率。
其四,本发明根据过滤控制测评结果实时调节过滤控制系统,及时调整屏蔽 规则,加强信息控制效果。
具体实施例方式
下面结合附图对本发明的实施例作详细说明本实施例在以本发明过滤控制 系统为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的 保护范围不限于下述的实施例。
如图1所示,本实施例硬件环境包括动态代理地址获取机A、 B、 C,数据 采集仪器A、 B,过滤网关服务器,交换机,用户端,其中用户端通过交换机 连接到数据采集仪器.B,数据采集仪器B连接到滤网^^服务器通过交换机链接到
数据采集仪器"A, fclg釆集仪器A连接到外部网络,其中动态代理地址获取机A、 B、 C连接在数据采集仪器A和过滤网关服务器之间的交换机。
客户端包括三台主机连接到交换机,通过网关服务器可以访问外部网络,客 户端主机都安装了加密通讯软件,且能够访问外部互联网络。
动态代理地址获取机通过交换机连接到数据釆集仪器A和网关服务器,把在 采集到的用于解析域名、DNS服务器地址、内置IP地址网站个人空间网址和代 理地址信息发送给数据釆集仪器A和网关服务器。
网关服务器用于实施屏蔽模块,网关服务器通过交换机取得动态代理机收集 的需要过滤控制的地址信息,过滤控制后的数据传送给用户端访问。
本实施例中所述的互联网加密安全通讯控制系统应用于针对加密通讯工具 无界浏览8. 8版本(UltraSurf V8. 8)通信的过滤控制, 一个完整的过滤控制系 统实施过程包括以下步骤
本实施例包括以下步骤-
第一步、第一步、首先提取加密地址,包括提取内置加密域名解析地址、 内置IP地址和公开网页空间地址。
所述的提取加密地址,采用逆向分析方法,包括以下步骤
1) 收集加密通讯软件运行后所发起访问请求以及运行提示信息,对可执行 的加密通讯软件文件进行反汇编、反编译,得到汇编和高级语言代码及对应的结 构信息和逻辑信息,并将经过分析处理后的可执行文件进一步进行调试与信息提
取;通过外部记录的方式收集其输入输出数据,对于其中需要判定性质的部分进 行筛选;
2) 加载运行加密通讯软件的汇编和高级语言代码并记录整个运行过程中涉 及的内存代码信息、寄存器地址信息、内存地址信息和输入输出数据以及这些数
8据在内存中的地址;,;
3) 在调试器中对此地址设置断点,再次利用调试器加载运行加密通讯软件 的汇编和高级语言代码,并在产生中断时由调试器暂停以得到被访问地址的相应 代码,根据此时堆栈调用情况得到代码对应的层次关系;
4) 找到和需要判定性质的数据匹配的内容,然后根据代码分析模块对产生 或者访问信息的相应代码进行处理给出的结果,判定出哪些指令和数据处理有 关,通过程序的运行流程和内存地址的变化,判断需要提取的数据来源,对于来 自加密通讯软件内部固化的数据,将其提取出来。
5) 按照前述代码定位方法,用调试器加载程序并找到产生或访问数据信息 的代码位置,并找到函数调用链,此函数调用链可能为Function A-〉Function B-〉Function C-> ..'. -〉.Function D,其中每一个函数均在前一个函数中被调用, 从调用链的最前端开始进行单步调试,在函数体中遇到函数调用时不跟踪进入, 除非此函数调用为调用链中的函数。依此方法单步运行,直到找到数据生成的代 码行,根据代码分析模块的分析结果,判定数据信息来内部固化生成,并进行提 取。
第二步、解密加密地址,然后通过黑盒测试方法验证解密后的加密地址,本 实施例中具体通过密码学分析法解密加密的内置域名解析地址和内置特定IP地 址和公开网页空间地址,然后通过黑盒测试方法验证解密后的加密的内置域名解 析地址和内置特定IP地址及公开网页空间地址正确性,具体步骤为
针对加密通讯软件中加密存储的固定的数据信息,这些数据存储在文件中, 并使用密码学分析法进行加密解密,使其在第一步中提取信息不可辨识。密码学 分析法的功能是分析加密通讯软件'中可能使用的加密解密算法,确定其影响的数 据范围,同时给出加密通讯软件可能使用的解密算法和密钥;这种方法能够分析 加密通讯软件二进制代码中包含的数据常量,与已知密码学分析法特征值进行匹 配(常见的公开密码学分析法中,AES, DES, IDEA均有特殊的常数值),同时导 入已知密码学分析法的标准测试向量,对涉及加密解密的代码进行输入输出测 试,利用调试器,在运行加密解密算法时修改输入数据和密钥值,将其更改为标 准的测试向量和测试密钥,观察输出是否和此类算法所给出的测试标准相同,将 代码输出数据和标准输出数据进行对比。若特征值和代码输出数据均与已知密码 学分析法的特征值和标准输出数据匹配,则确定加密通讯软件使用了已知密码学分析法,通过这种方法对涉及密码学分析法的代码位置信息定位,然后利用第一 步中方法对加密通讯软件调试并提取信息,识别其加密算法和数据。
通过黑盒测试.方法验证解密后的内置加密的域名解析地址和内置特定IP地 址及公开网页空间地址正确性;采用wireshark数据抓包工具查看加密通讯软件 运行后访问的目标地址,如果抓取的数据包的地址信息与解密固化数据的地址信 息相符,表明验证成功,可进一步截取加密通讯软件的临时缓存文件;如果抓取 数据包的解析地址信息与解密出来的软件内置固化数据的地址信息不相符,表明 验证失败,—需要重复第'歩提取正确的内置域名解析地址或内置特定.IP地址, 公开网页空间地址信息。
加密通讯软件有三种获取加密代理地址的方式,其一,通过访问解密出来的 内置特定DNS服务器船lL解析解密出来的内置域名,获取大量的加密代理地址 信息;其二,直接访问解密出来的特定内置IP地址获取大量加密代理地址信息; 其三,访问公开网站的介人空间地址,下载并获取加密代理地址信息。根据对加 密通讯软件运行后通信数据进行数据抓包解析可发现,一般情况下加密通讯软件 首先选择内置DNS服务器解析单元获取代理,如果这种方式失败然后选用直接访 问特定内置IP地址或者访问公开网站个人空间来获取加密代理地址信息。
加密通讯软件首先选择内置DNS服务器域名解析单元获取代理服务器地址, 根据对加密通讯软件分析,初步提取的用于解析的域名如下所示
nsl.928d27eld. net
nsl.97el625fd.net
nsl. a4b40091b. net
内置DNS地址列表如下所示 12. 104. 244. 61
12. 106.212.40
12. 168. 226. 2
如在无界浏览8. 8对选择DNS域名解析单元进行获取代理地址失败,加密通 讯软件会再次通过使用内置的大量固定的IP地址请求获取代理服务器地址,这 些IP地址类似于上述的域名和DNS地址,是获取代理服务器地址的关键。如下 所得到的内置特定服务器IP列表67. 15.183.80 67.15.183.81 67. 15. 183. 82
如果请求再次失败,加密通讯软件启动访问Yahoo和MSN网站的一些个人网 页,从中获取代理服务器的地址,加密通讯软件所利用的MSN、 Yahoo网站的请 求地址往往有一定韵特征,邦下为加密通讯软件内置的网址
http:〃cn. profiles, yahoo, com/hhw8hcsh2g
http://spaces, msn. com/kingkooong/profile/
以上这些地址信息都是加密通讯软件用于更新代理地址的,提取这些信息后 通过发送接收模块发送的网关服务器,采用相应的方式屏蔽过滤掉对这些地址的 '访问,阻止加密通讯软件更新代理地址。
第三步、截取加密通讯软件的临时缓存文件,从中获取加密代理服务器地址 加密通讯软件使用中将利用这些代理服务器间接访问大量非法网站。利用第一步 中的提取内部固化数据方法确定特定环境下加密通讯软件所生成的临时文件夹 位置,根据对加密通讯软件的函数调用连跟踪分析,定位到存放代理地址信息的 文件位置,如在本实施例中所获取代理服务器地址所存文件缓存地址是
C:\D0CUME~1\sjtu\L0CALS~l\Temp\Vqaadwqs
在该临时文件内保存的代理地址列表一般使用不公开的加密算法加密,这些 加密算法在对加密通讯软件分析过程中可以提取,利用第二步中识别密码学分析 法的方法定位相应的加密解密算法位置,然后利用提取软件内部固化数据方法提 取解密后代理地址信息,并在下一步中利用网管服务器屏蔽对代理服务器的访 问,阻止加密通讯软件的正常通信过程。
第四步、将解密内置加密域名解析地址内置特定IP地址,公开网页空间地 址和大量代理地址应用于网关进行网络地址过滤,并根据屏蔽前后的数据进行屏 蔽效果测试,具体步骤为
1)过滤屏蔽加密代理对外部网络的访问,在经过上述几步的分析,得到加 密通讯软件内置域名、DNS服务器地址、特定IP及网站空间地址的加密信息以 及加密通讯软件保存代理服务器地址缓存位置后,利用动态代理获取机读取该缓
11存地址的代理服务器地址及其它的解密地址信息,整理并传送到屏蔽网关进行过 滤对这些地址的访问;
2) 屏蔽网关接收到动态代理获取机发送来的地址列表,利用这些列表中的 地址与网络访问地址进行匹配,如果用户访问的IP地址落入这一屏蔽列表中, 屏蔽网关自动丢弃这些访问请求数据。
本实施例针对加密通讯软件通过大型网站个人主页访问和域名解析单元获 取代理服务器地址的情况,利用加密通讯软件内部读取到的网页地址和域名作为 屏蔽的关键字,在网关对所有访问网址和解析的域名进行关键字匹配,如果用户 访问地址具有这些所提取的域名相符或者与待屏蔽的网址匹配,屏蔽网关将会把 这类网络访问请求屏蔽掉,阻止加密通讯软件通过此途获取代理服务器地址。
3) 在完成上述屏蔽的基础上,利用数据采集仪读取过缚之前和之后的网络 数据包,进行测量这些数据分析屏蔽网关过滤的效果。见附图l,在数据采集仪 器中保持最新的需要屏蔽掉的网络地址列表或IP地址,两台数据采集仪器根据 这些地址信息计算屏蔽前和屏蔽后的采集到的数据包。根据以下公式进行评估测 量过滤效果。
流入数据=流出数据+流入数据中落在屏蔽策略范围内的IP数据包的数
据
如果式成立,则说明当前屏蔽设置规则合适,继续使用当前的屏蔽策略。如 果式不成立,则说明屏蔽网关没有高效的过滤控制传输的信息,屏蔽网关根据计 算结果向动态代理获取机发送相应指令,重新读取加密通讯软件缓存的更新地址 进行更新设置屏蔽策略。
第五步、根据屏蔽效果测试的结果确定是否进行新一轮的过滤控制,如果屏 蔽效果良好,继续采用己经提取的内置域名解析地址、内置特定IP地址和公开 网络空间地址作为过滤屏蔽的地址列表;相反,如果屏蔽效果无法达到要求,则 重复第一步操作进行新一轮的过滤控制。
本实施例能够高效地过滤控制加密通讯软件的信息传输,通过屏蔽代理服务 地址提高了屏蔽的效率,且减少资源消耗。本实施例能够保证对于传统的过滤控 制规则下需要屏蔽的特定网址达到100%的屏蔽效果,对于通过加密通讯软件访 问的信息可以达到99%以上的屏蔽效果。
权利要求
1、一种互联网加密安全通讯控制方法,其特征在于,包括以下步骤第一步、首先提取加密地址,包括提取内置加密域名解析地址、内置IP地址和公开网页空间地址;第二步、解密加密地址,然后通过黑盒测试方法验证解密后的加密地址;第三步、截取加密的临时缓存文件,得到加密地址,然后解密这些加密地址;第四步、将解密加密地址应用于网关进行网络地址过滤,并根据屏蔽前后的数据进行屏蔽效果测试;第五步、根据屏蔽效果测试的结果确定继续采用已经提取地址作为目标屏蔽地址,或重复第一步操作进行新一轮过滤控制。
2、 根据权利要求1所述的互联网加密安全通讯控制方法,其特征是,所述 的提取加密地址,采用逆向分析方法,包括以下步骤1) 收集加密通讯软件运行后所发起的访问请求以及运行提示信息,对可执 行的加密通讯软件文件进行反汇编、反编译,得到加密通讯软件的汇编和高级语 言代码及对应的结构信息和逻辑信息;2) 通过调试器加载运行加密通讯软件的汇编和高级语言代码并记录整个运 行过程中涉及的内存代码信息、寄存器地址信息、内存地址信息和输入输出数据 以及这些数据在内存中的地址;3) 在调试器中对此地址设置断点,再次利用调试器加载运行加密通讯软件 的汇编和高级语言代码,并在产生中断时由调试器暂停以得到被访问地址的相应 代码,根据此时堆栈调用情况得到代码对应的层次关系;4) 找到和需要判定性质的数据匹配的内容,然后根据代码分析模块对产生 或者访问信息的相应代码进行处理给出的结果,判定出哪些指令和数据处理有 关,通过程序的运行流程和内存地址的变化,判断需要提取的数据来源,对于来 自加密通讯软件内部固化的数据,将其提取出来;5) 按照前述代码定位方法,用调试器加载程序并找到产生或访问数据信息 的代码位置,并找到函数调用链,直到找到数据生成的代码行,根据代码分析模 块的分析结果,判定数据信息来内部固化生成,并进行提取。
3、 根据权利要求1所述的互联网加密安全通讯控制方法,其特征是,所述 的解密加密地址,采用密码学分析法包括AES密码、DES密码和IDEA密码。
4、 根据权利要求1所述的互联网加密安全通讯控制方法,其特征是,所述 的黑盒测试是指利用数据抓包分析方法査看加密通讯软件运行后访问的地址信 息,当数据抓包的地址信息与解密固化数据的地址信息相符,表明黑盒测试成功, 可进一步截取加密通讯软件的临时缓存文件;当数据抓包的地址信息与解密固化 数据不相符,表明黑盒测试失败,同时返回第一步重新提取正确的内-置域名解析 地址或内置特定IP。
5、 根据权利要求1所述的互联网加密安全通讯控制方法,其特征是,所述 的屏蔽效果测试是指在网关上分别设置两台独立的数据采集仪器,该数据采集 仪器中保持需要屏蔽的内置加密域名解析地址和内置特定IP地址,两台数据采 集仪器根据这些地址信息计算屏蔽前和屏蔽后的采集到的数据包,并根据以下公式进行评估测量过滤效果流入数据=流出数据+流入数据中落在屏蔽策略范围内的IP数据包的数据;当上述式成立,则说明当前屏蔽设置规则合适; 当式不成立,则说明网关未能实现有效屏蔽。
全文摘要
一种信息技术领域的互联网加密安全通讯控制方法,通过提取加密通讯软件进行通信的代理服务器地址,通过网关自动设置屏蔽所有对于这些代理地址的访问,完全高效地控制加密信息通过代理服务器的传播。与现有技术相比,本发明通过实时更新动态屏蔽代理网址数据,有效地解决了动态网址更新、增加快造成的屏蔽效率低问题,能够提高信息过滤效率,从根本上防止加密信息的传输,加强信息控制效果。本发明对于传统的过滤控制规则下需要屏蔽的特定网址达到100%的屏蔽效果,对于通过加密通讯软件访问的信息可以达到99%以上的屏蔽效果。
文档编号H04L29/06GK101594234SQ20091005454
公开日2009年12月2日 申请日期2009年7月9日 优先权日2009年7月9日
发明者涛 尚, 李卷孺, 罗宇皓, 谷大武 申请人:上海交通大学