专利名称:保护对经由实现本方法的设备可访问的数据或服务的访问的方法和相应设备的制作方法
技术领域:
本发明总体涉及数字数据通信,并更具体地涉及一种保护经由网络中连接的设备对数据和服务的访问的方法和装置。
背景技术:
本地网络一般都是围绕称为网关的中央设备组织的。网关则是本地网络或LAN(局域网)与外部网络或WAN (广域网)中的设备之间的用于通信的必经通道。现有技术表明,网关,特别是在家庭网络环境中,发挥了越发重要的作用。借助于家庭网络中的广泛部署的网关和多个连接网络的设备,网关正变为令黑客感兴趣的目标。家庭网络通常包括一个或多个经由USB(通用串行总线)、以太网或WiFi连接互连到网关的下列设备个人计算机(PC)、无线话机、IPTV (网络电视)机顶盒(IPTV STB)、DLNA (数字生活网络联盟)电视机和大容 量存储设备。为了保护家庭网络设备免受攻击,网关的安全措施通常降低到在PC上存在单独的杀毒和/或防火墙功能。家庭网络的安全进一步受益于网关中的网络地址转换(NAT)特性,网络地址转换(NAT)特性是一种允许将网络地址分配到家庭网络中的设备的特性,这些地址是不为家庭网络之外所知的。NAT特性的使用导致对外部网络上的设备隐藏本地网络中的设备的独立地址。因此,这意味着对网关自身和尚未装备杀毒和/或防火墙软件的其他相连的设备仅提供有限保护。另外,出于家庭网络管理目的而访问网关是在该网关中经由运行在网络浏览器应用上的基于网络的应用完成的,并且熟知的是,网络服务器对于安全性缺陷是易受攻击的。然后,网络浏览器中的易受攻击性可以让黑客访问连接到家庭网络中的不安全的设备,并且甚至可以让黑客访问家庭网络和外部网络的设备之间的全部通信,因为家庭网络和外部网络之间的全部通信(反之亦然)都通过网关。希望配置它们的网关(例如,改变或输入无线访问(例如,WPA (Wi-Fi保护访问))的安全密匙,或配置NAT端口映射,或配置在连接到网关的设备之间共享的本地文件)的用户通常必须登录网关的网络应用。这样的网络应用经由例如HTTPS协议(位于应用层的因特网协议集的一种协议)的HTTP是可访问的(因特网协议包括链路层、网络层、传输层和应用层;链路层协议的示例是ARP、DSL ;网络层协议的示例是IP、IGMP ;传输层协议的示例是TCP、UDP ;应用层协议的示例是所提及的HTTP/HTTP,但也包括DHCP、RTP、SOAP、SSH)。一旦成功验证,它们将被指定由会话识别符或会话ID识别的会话。然后,使用会话识别符的全部请求将被认为“安全”并且由网关上的网络服务器处理,从而访问权限于与用户关联的权利。因此恶意黑客将例如通过监视网关和连接到该网关的设备之间的通信,或通过访问网络浏览器所存储的信息并提取任何存储的会话ID,试图获得这样的会话ID,并随后使用所获得的会话ID以访问设备、数据和/或服务。此技术就是熟知的会话窃取(session-stealing)。使用各种机制以防止会话窃取。例如,随机生成会话ID以使得它们不可预测;网络浏览器拒绝访问cookies,其中根据在获得该会话ID之外的另一网站的环境中运行的代码存储该会话ID,在空闲超时之后删除会话ID。不过,总是存在有效会话ID被窃取的可能性。在此情况下,具有限制会话ID的有用性的额外保护机制是有用的。熟知的保护机制是将会话锁定到初始请求的来源的IP地址。实际上,例如对于经由代理服务器农场、装载平衡器或NAT访问网络服务器的用户,这会造成会话丢失。对于这样的用户,他们的IP地址可以合法地在多个请求之间更改。因此,存在以更好的方式保护网络设备免受目的在于获得网关控制或连接到网关的一个或多个设备的控制的恶意攻击的需求,该方式没有现有技术的缺点。
发明内容
本发明目的在于缓解现有技术的某些不便。
更准确地,本发明允许保护对数据或一个或多个服务(以下为“数据/服务”或“数据/多个服务”)的访问,所述数据或一个或多个服务经由实现一方法的设备(诸如网关设备)对于设备和应用是可访问的。为了保护对数据或一个或多个服务的访问,本发明提出保护对数据和服务的访问的方法,所述数据和服务经由实现该方法的网络设备来访问,该方法包括下列步骤接收访问数据或至少一个服务的请求,所述请求包括识别所述请求的源的源识别符;确定所述请求是初始请求还是后续请求,所述确定包括,当所述请求是后续请求时,检验会话识别符的请求的存在,所述会话识别符识别用于访问数据或服务的会话;如果所述请求是初始请求,则确定所述源识别符的源识别符组,并且如果可以确定所述源识别符组,则生成用以后续访问来自具有处于所确定的源识别符组中的源识别符的源的数据或至少一个服务的会话识别符,处理所述初始请求,并且将所生成的会话识别符发送到所述初始请求的源;如果所述请求是后续请求,则确定所述源识别符的源识别符组,并且如果可以确定所述源识别符组,则比较包括在所述后续请求中的所述会话识别符与用以访问来自具有处于所确定的源识别符组中的源识别符的源的数据或至少一个服务的所述会话识别符,并且如果所述源识别符对应,则处理所述后续请求。根据本发明的变式实施例,识别所述请求的源的所述信息识别发送所述请求的源。根据本发明的变式实施例,识别所述请求的源的所述信息识别接收所述请求的源。根据本发明的变式实施例,识别所述请求的源的所述信息指定多个物理连接器。根据本发明的变式实施例,,识别所述请求的源的所述信息指定多个网络接口。根据本发明的变式实施例,识别所述请求的源的所述信息指定网络接口地址。根据本发明的变式实施例,识别所述请求的源的所述信息指定软件应用的识别符。根据本发明的变式实施例,所述方法作用于因特网协议集的应用层。根据本发明的变式实施例,所述方法在网络应用中实现。本发明也包括一种用于保护对数据和服务的访问的网络设备,所述数据和服务经由该设备访问,所述设备包括用于接收访问数据或至少一个服务的请求的网络接口,所述请求包括识别所述请求的源的源识别符、和识别用于访问数据或服务的会话的可选会话识别符;用于确定所述请求是初始请求还是后续请求的部件,所述确定包括,当所述请求是后续请求时,检验会话识别符的请求的存在,所述会话识别符识别用于访问数据或服务的会话;如果所述请求是初始请求,则确定所述源识别符的源识别符组,并且如果可以确定所述源识别符组,则生成用以访问来自具有处于所确定的源识别符组中的源识别符的源的数据或至少一个服务的会话识别符,处理所述初始请求,并且所述网络接口将所生成的会话识别符发送到所述初始请求的源;如果所述请求是后续请求,则确定所述源识别符的源识别符组,并且如果可以确定所述源识别符组,则比较所述会话识别符与用以访问来自具有处于所确定的源识别符组中的源识别符的源的数据或至少一个服务的所述会话识别符,并且如果所述源识别符对应,则处理所述后续请求。
本发明的更多优点将通过本发明的特定、非限制性实施例的描述来呈现。将参考下列附图描述实施例图I示出了借助于网络互连的设备图示的本发明的特定实施例。图2示出了根据本发明特定实施例的图I的网关131。图3示出了根据本发明特定实施例的、图示接收数据/服务请求时的事件的序列的序列图。图4示出了实现本发明方法的特定实施例的例如通过图I的网关实现的算法。
具体实施例方式图I示出了互连不同网络的网关设备中的本发明的特定实施例。用户前提(premise) 130包括网关131和将该网关131与多媒体存储设备141互连的局域网136、DLNA电视机139、IPTV机顶盒143、便携式PC142和电话机133。设备133、139、141和143分别经由有线连接135、140、137和146连接到局域网136,而便携式PC 142通过132和138经由无线连接而连接到网关。网关131经由连接121进一步连接到外部网络120。外部网络120连接到两个局域网106和116。三个设备100、101和102连接到局域网106,而两个设备110和111连接到局域网116。全部这些设备100-102、110-111、131、133、139、141-143都可能是请求访问数据或服务的源。图2示出了根据本发明的特定实施例的图I的网关131。该网关131包括下列元件-中央处理单元200或CPU;-DSL (数字用户路)接口 206 ;-四种以太网型的网络接口201-202和204-205 ;-无线LAN型的第五网络接口203 ;-存储器205,包括源识别符组/源ID仓库2050、会话ID/源识别符组仓库2051和多用途存储器区2052 ;和-可选定时单元207。CPU 200、网络接口 201-205、存储器205、DSL接口 206和定时单元207通过数字数据通信总线210互连。设备131具有下列输入/输出输入/输出137连接到网络接口201,输入/输出140连接到网络接口 202,天线132连接到网络接口 203,输入/输出135连接到网络接口 204,输入/输出150连接到网络接口 205,输入/输出121连接到DSL接Π 206。在存储器205内,存储器区2050用以存储并取回源识别符组-源ID关系,存储器区2051用以存储和取回会话ID-源识别符组关系。此信息以诸如之后描述的表格I和2的表格形式存储。根据变式实施例,此信息存储在数据库中。可选定时单元207用以对会话ID增加超时延迟并且能够以各种方式用来进一步增加会话ID的安全性。例如,如果所生成的会话ID —定时间未使用,例如在一定量的时间内没有数据/服务的请求,则自动撤销会话ID。使用所撤销的会话ID的任何新请求随后被拒绝。例如,在一定超时延迟之后会话ID自动撤销,无论是否使用会话ID。中央处理单元200能够处理实现本发明的步骤的算法。该算法存储在多用途存储器区2052中。多用途存储器区2052进一步用于存储执行该算法所需的变量。 处理单元200能够确定并在存储器205中存储要用于一个或多个请求的初始识别符(会话识别符)。该处理单元200进一步能够处理访问数据或访问服务的请求。该处理单元200进一步能够根据存储在存储器205中的信息确定会话识别符的源识别符组。如果之前的确定表明存在会话识别符的至少一个源识别符组以及如果确定如同在请求中提供的源识别符包括在会话识别符的至少一个源识别符组中,则该处理单元200进一步能够处理访问数据或服务的请求。可以根据诸如基于随机数生成的已知方法来生成会话ID。图3示出了根据本发明特定实施例的、图示接收数据/服务请求时的事件的序列的序列图。该示了本发明的一些方面,并特别示出了根据本发明特定实施例的、在简单场景下局域网中的设备、实现本发明的网关和外部网络中的设备之间的交换的协议。借助四条垂直时间线来图示序列图,该垂直时间线代表到PC 142、网关131和位于LAN2116中的设备111的不同网络接口的两种连接。序列图开始于PC 142从网络接口 “NI3”经由连接132/138发送数据/服务“a”的请求300到网关131。“NI3”代表允许识别请求300源自的源的信息。根据本发明的特定实施例,此源ID是发出请求的源的网络接口(即,在网关131的接口 3的情况下)的IP地址,并且源ID因此识别接收请求的源。根据本发明的变式实施例,源ID是PC 142的网络接口 138的IP地址,并且该源ID因此识别传输请求的源。根据本发明的变式实施例,源ID指定从中发送请求或者从中接收请求的网络接口板上的特定物理连接器。根据再一变式,源ID是前述的任意组合,例如,从中发送请求的源的网络接口的IP地址与其上接收请求的网络接口的IP地址的组合。通过请求与用于发送该请求的网络链接之间的紧密耦接,此变式具有对访问数据/服务增加进一步的安全性的优点,这在需要限制性访问的情况下是有用的。这些单独的变式具有允许较宽松耦接的优点,该较宽松耦接在允许更大机动性的情形下可能是必需的。根据本发明的变式实施例,在此应用运行于设备PC 142 (请求的来源)上的情况下,此源ID是应用识别符。作为示例,该应用是VPN (虚拟专用网)应用,经由隧道技术(tunneling)提供对公司网络的安全访问。在接收请求300时,网关131生成会话识别符“z”,用箭头301图示。这样的会话ID仅在接收一系列后续请求的数据/服务的初始请求时生成。根据本发明的特定实施例,基于在网关131的存储器中存储的信息中检查是否已经对源ID生成会话ID来完成是否接收到初始或后续请求的确定。如果没有出现源ID的会话ID,则请求是初始请求,否则该请求就是后续请求。根据本发明的变式实施例,确定是否接收到初始或后续请求是基于该请求中会话ID的存在;如果该请求不包括会话ID,则它是初始请求,否则它是后续请求。此变式具有实现简单的优点,但是比较于上述特定实施例,具有更易于生成会话ID的缺点,而黑客可以利用此缺点获得关于所生成ID的类型的信息,并确定有效会话ID像什么。通过所描述的特定实施例,黑客更难以获得新会话ID,因为他第一次从相同源(ID)请求数据或服务时仅可以获得新会话ID。在图示的示例中,箭头301表明,接收到的请求是初始请求,在接收请求时生成会话ID。根据本发明的特定实施例,此会话ID随后被存储并被通信到请求者,用箭头302图示。根据本发明的变式实施例,该会话ID包括在对请求300的响应305中而不是直接通信到请求者,该请求300包括关于所请求的数据/服务的信息。请求者(此处是PC 142)存储会话ID并将其用于后续请求直到撤销会话ID。网关131基于在存储器区2050中存储的信息,对源ID确定一个或多个源识别符组。根据本发明的特定实施例,通过例如网络管理员的用户手动输入存储器区2050中的 源识别符组/源ID信息。根据本发明的变式实施例,例如基于网关131知晓的网络拓扑信息,或基于关于网关131知晓的应用的信息,自动生成存储器区2050中的源识别符组/源ID信息。根据本发明的再一变式实施例,部分地自动生成、部分地由用户手动输入存储器区2050中的源识别符组/源ID信息。后一种变式特别令人有兴趣,允许缓减用户手动输入大量数据的任务,同时允许他修改或适配自动生成的信息。在生成新会话ID时,网关131将会话ID (这里z)关联到对源ID (这里“NI3”)有效的源识别符组(例如LAN3)并存储此信息(即,所生成的会话ID及其对源识别符组的关联)到存储器区2051。在给定时刻,图3中图示的情形表明恶意黑客对局域网136的入侵303,准许该黑客访问由网关131生成的会话ID。接着,PC 142在不同于用于初始请求300 (“NI3”)的网络接口(“NI5”)上发布数据/服务(b)的后续请求306。该后续请求306包括关于所请求的数据/服务(b)的信息、作为该请求(“NI5”)来源的源识别的信息和为了后续请求从网关131接收的会话ID (这里z)。在接收后续请求306时,网关131借助于在存储器区2050(源ID组/源ID,参见表格I)中存储的信息来确定(307)源ID所属的源识别符组(LAN3)。根据本发明的特定实施例,如果没有找到源ID (310)的源识别符组,则网关131发送警告消息(311)到发布该请求的源。根据变式实施例,网关131将该请求者的源ID放到黑名单上,每当接收到数据/服务的请求时,检查该黑名单。如果源ID在黑名单上,则可以拒绝该请求而不用进一步处理。根据再一变式实施例,会话ID被认为受到破坏并被撤销,在此情况必须请求新会话ID。这些实施例的不同组合是可能的并增加了会话安全性。但是,如果找到源识别符组(307),则网关131借助于在存储器区2051(会话ID/源ID组,参见表格2)中存储的信息来确定请求306提供的会话ID (z)对所找到的源识别符组(LAN3)之一是否有效。如果没找到有效的源识别符组,则可以根据本发明不同的变式实施例应用上述同样的功能,即,警告消息、黑名单或两者。根据图示的示例,验证是OK并且数据/服务(b)被呈现给请求设备142,这用箭头308图示。但是,当黑客尝试通过发送包括窃取的会话ID (z)的数据/服务(c)的请求309来使用窃取的会话ID (z)时,确定会话识别符(z)的源识别符组的步骤(紧跟确定源ID (η)是否在确定的源识别符组(LAN3)中)将表明(310)该源ID(η)不在会话ID (ζ)的任何源识别符组中,因此该请求被拒绝,并且因此避免了会话ID的误用。根据特殊实施例,至少加密存储器区2050和2051中的信息,从而避免黑客获得关于会话ID如何关联到源识别符组以及针对这些源识别符组存在什么有效IP地址的信息,黑客可以使用该信息通过地址欺骗来获取对数据/服务的访问。该示了来自本地网络外部的入侵。当然,入侵也可以来自该网络内部,例如,黑客可以经由对网关131的无线或有线连接来获得对本地网络的访问。经由网关来访问对其请求访问的数据/服务。这意味着网关可以直接提供数据/服务,或者意味着网关仅是中间设备,数据/服务是通过经由网关连接的另一源提供的。 根据本发明,如在所讨论的图中所图示的,可允许的后续访问不需要来源于和发出初始请求的源相同的源。关于这点,本发明允许极大的灵活性,因而例如允许在请求之间改变源ID,只要该请求的源ID属于为所使用的会话ID而定义的(多个)源识别符组之一。网关存储源识别符组与源ID之间以及会话ID与源识别符组之间的关联。根据所存储的信息,如果确定对于请求中包括的会话ID存在一个或多个源识别符组,则检验源ID是否属于会话ID被分配的源ID的识别符组。如果是,则准许对所请求的数据/服务的访问;如果不是,则拒绝对所请求的数据/服务的访问。对于网关,这是使用额外安全性措施的机会,就像将源ID置于黑名单、撤销会话ID、警告网络管理员一样。根据特定实施例,这样机制的实现使用网关设备中存储的表格。下面给出这样的实现的示例。
权利要求
1.一种保护对数据和服务的访问的方法,所述数据和服务经由实现所述方法的网络设备来访问,其特征在于,所述方法包括下列步骤 -接收访问数据或至少一个服务的请求(300、306、401),所述请求(300、306、401)包括识别所述请求的源的源识别符; -确定(402)所述请求(300、306、401)是初始请求(300)还是后续请求(306),所述确定包括当所述请求是后续请求时,检验会话识别符的请求的存在,所述会话识别符识别用于访问数据或服务的会话; -如果所述请求是初始请求(300),则确定(404)所述源识别符的源识别符组,并且如果可以确定所述源识别符组,则生成(403)用以后续访问来自具有处于所确定的源识别符组中的源识别符的源的数据或至少一个服务的会话识别符,处理(305、406)所述初始请求,并且将所生成的会话识别符发送(302)到所述初始请求的源; -如果所述请求是后续请求(306),则确定(307、409)所述源识别符的源识别符组,并且如果可以确定所述源识别符组,则比较包括在所述后续请求中的所述会话识别符与用以访问来自具有处于所确定的源识别符组中的源识别符的源的数据或至少一个服务的所述会话识别符,并且如果所述源识别符对应,则处理(308、406)所述后续请求。
2.根据权利要求I的方法,其特征在于,识别所述请求(300、401)的源的所述信息识别发送所述请求(300、401)的源。
3.根据权利要求I或2的方法,其特征在于,识别所述请求(300、401)的源的所述信息识别接收所述请求(300、401)的源。
4.根据权利要求2到3的任一项的方法,其特征在于,识别所述请求的源的所述信息指定多个物理连接器。
5.根据权利要求2到4的任一项的方法,其特征在于,识别所述请求的源的所述信息指定多个网络接口。
6.根据权利要求2到5的任一项的方法,其特征在于,识别所述请求的源的所述信息指定网络接口地址。
7.根据权利要求2到6的任一项的方法,其特征在于,识别所述请求的源的所述信息指定软件应用的识别符。
8.根据权利要求I到7的任一项的方法,其特征在于,所述方法作用于因特网协议集的应用层。
9.根据权利要求8的方法,其特征在于,所述方法在网络应用中实现。
10.一种用于保护对数据和服务的访问的网络设备,所述数据和服务经由该设备访问,其特征在于,所述设备包括下列部件 -用于接收访问数据或至少一个服务的请求(300、401)的网络接口(201-206),所述请求(300、401)包括识别所述请求的源的源识别符、和识别用于访问数据或服务的会话的可选会话识别符; -用于确定(200、205)所述请求(300>306,401)是初始请求(300)还是后续请求(306)的部件,所述确定包括当所述请求是后续请求时,检验会话识别符的请求的存在,所述会话识别符识别用于访问数据或服务的会话; -如果所述请求是初始请求(300),则确定(200、205)所述源识别符的源识别符组,并且如果可以确定所述源识别符组,则生成(403)用以访问来自具有处于所确定的源识别符组中的源识别符的源的数据或至少一个服务的会话识别符,处理(305、406)所述初始请求,并且所述网络接口(201-206)将所生成的会话识别符发送(302)到所述初始请求的源;-如果所述请求是后续请求(306),则确定(200、205)所述源识别符的源识别符组,并 且如果可以确定所述源识别符组,则比较所述会话识别符与用以访问来自具有处于所确定的源识别符组中的源识别符的源的数据或至少一个服务的所述会话识别符,并且如果所述源识别符对应,则处理(308、406)所述后续请求。
全文摘要
本发明允许保护对数据或服务的访问,该数据或服务经由实现一方法的设备对该设备和应用可用。为了保护对经由网络设备访问的数据或一个或多个服务的访问,本发明提出一种避免对数据或一个或多个服务的未授权访问的方法和实现该方法的设备。
文档编号H04L29/06GK102823219SQ201180015324
公开日2012年12月12日 申请日期2011年3月21日 优先权日2010年3月22日
发明者D.费伊汤斯 申请人:汤姆森特许公司