專利名稱:網絡安全實施系統的制作方法
技術領域:
本發明涉及計算機網絡安全和網絡脆弱性評估。公開了新的安全檢查代理以及中央控制器,包括單次口令、壓縮和加密并且特有小的占用空間(footprint)和高安全性技術。在本發明中考慮了對IP網絡中的安全和配置參數的監視以及在所述參數偏離標準值后自主地觸發預定義的事件。這里給出的系統允許檢測出在傳統系統中檢測不出來的安全缺陷。
背景技術:
當今,IP網絡內的入侵檢測通常都是利用主動過濾技術實現的,這些技術可以檢測可能存在的安全威脅。這些過濾技術通常依靠已知的網絡攻擊或誤用的簽名來對網絡數據包進行成功的簽名分析或模式匹配算法。在包一級進行過濾,從而對進入網絡的每個IP包進行認真地分析。這種方法需要系統維護一個攻擊的簽名的最新數據庫。由于存儲器的稀缺性,系統可能丟包或者關閉計算強度大的分析。此外,隨著網絡規模的擴張,該技術大大加重了網絡的負擔。更糟糕的是,如果沒有明智地選擇過濾引擎的處理能力來應付網絡流量的增加,那么該技術有可能導致整個網絡崩潰。
通常采用的另一種方法包括在存在于網絡中的機器中部署智能安全代理。代理駐留在機器中,每個代理僅僅在它所在的機器上運行。除了安全參數監視以外,代理還可以執行預設的給定任務。智能代理定期將被監視的機器的狀態報告給中央控制器。報告的頻率、代理和控制器之間的通信模式等可被設置為滿足給定網絡的約束。這種方法大大減輕了由網絡安全系統產生的網絡負載。然而,雖然減少了流量,但是在代理和控制器之間不經常發生的通信仍使整體系統性能下降。該方法的主要缺點在于實際的代理可以從網絡內被操縱,因此可被容易地轉變成惡意用戶針對網絡的危險武器。
發明內容
為了解決該問題,本發明引入了啞代理(dumb agent)。啞代理是精心設計的軟件程序,它們運行在網絡的節點上。使用啞代理大大降低了從網絡內觸發的安全事件的風險。
為此,在本發明的第一方面中,提供了一種網絡實施安全系統,包括適配于發送質詢(challenge)的中央位置;至少一個客戶站,所述至少一個客戶站中的每一個都配備一個代理并且與所述中央位置進行通信;一組S獨立的單次口令,所述單次口令中的每一個都與一個索引值相關聯;從而,響應于由中央位置發送到所述至少一個客戶站中的至少一個的質詢,所述代理向所述中央位置返回與正確響應相對應的單次口令,否則所述中央位置認為所述客戶站是不安全的。
本發明的另一方面涉及一種用于在中央位置和至少一個客戶站之間進行安全通信的方法,包括以下步驟(a)生成初始機密并將其存儲在中央位置中;(b)生成一組單次口令,其中每一個單次口令都與一個索引相關聯;(c)將所述一組單次口令的一個子集存儲在客戶站中;(d)從中央位置向客戶站發送質詢,其中所述質詢是所述一組單次口令的所述子集的索引;(e)從客戶站向中央位置發送與所述索引相關聯的單次口令。
圖1描繪了網絡安全實施系統及其主要組件,這些組件是○在存在于網絡中的單工作站上運行的微型啞代理。它包括掃描引擎和簽名生成引擎之間的通信接口。
○維護攻擊簽名以及用于客戶端簽名驗證的客戶端公鑰的最新數據庫的中央控制器。在成功地觸發數據收集請求后在這里進行數據分析。
○安全網絡地圖○安全事件檢測算法圖2圖示了客戶端服務器通信。
○由客戶端發送的信息的數字簽名是強制的。控制器維護正在網絡中運行的客戶端的公鑰的列表。
○消息壓縮對于系統效率而言是必需的。
○安全分析模塊將輸入的客戶端配置與存儲在數據庫中的參考值進行比較。在這里進行數據準備并呈現給系統管理員。
圖3描繪了單次口令生成過程。
○用戶的靜態口令是客戶端和服務器之間的共享機密。該口令在用戶設置期間通常存儲在服務器上,再也不會通過網絡傳送。
○種子起初初始化新的一組單次口令,因而定義單次口令的生命期。種子在客戶端側被用于單次口令生成,而在服務器側用于單次口令驗證。
○卡ID或RFID令牌序列號是用戶持有的附加機密。卡存儲器用于存儲一個單次口令池。
圖4描繪了有單個機密存儲在存儲器中的RFID標簽的存儲器組織。該機密然后可以由一個密碼函數反復使用,以生成隨后的單次口令。
圖5描繪了有多個機密存儲在存儲器中的RFID標簽的存儲器組織。為了進行驗證,這些機密中只有一個機密被隨機地選擇為對質詢的響應。
圖6給出了在RFID標簽不能計算密碼函數的系統中的單次口令驗證過程。
圖7給出了在RFID標簽配備有用于密碼函數計算的裝置的系統中的單次口令驗證過程。
具體實施例方式
為了有效,假設當今的安全系統應當采用以下三個元素。
中央控制器它可以包括防火墻、抗病毒、IP過濾、網絡攻擊簽名映射和IDS功能。
單次口令阻止自動口令破解。
檢查客戶端位于每臺機器中。檢測第一防御系統中的漏洞并向中央控制器發出警報。
這種三支柱的方式允許有效地解決網絡安全問題。因此,可以制訂措施根據攻擊的起源和它們的嚴重性來抵御攻擊。
因此,本發明廣泛涉及一種網絡安全監視和脆弱性評估系統,其中啞代理被用于檢測終端硬盤或存儲器的配置變化。該信息被傳送到集中式網絡狀況分析器,該分析器將客戶端報告的配置與不斷更新并包含所有相關信息的狀況表進行比較。由于客戶端只能執行很受局限的一組命令,因此從這個意義上講,該客戶端是啞的。這防止客戶端被來自網絡內的惡意用戶操縱。
此外,通過單次口令對代理和控制器之間的通信進行加密和驗證。本發明的重要方面在于壓縮系統,它大大減輕了網絡負載,同時在客戶端和控制器之間保持實時通信。
啞代理代理本質上向中央控制器報告它們運行所在的節點的配置。該報告可以由所有的可執行文件、設備和相應的設備驅動程序以及系統的物理參數組成。為了防止客戶端被惡意用戶操縱,中央控制器維護一個當前在網絡中處于活動狀態的客戶端的簽名列表。此外,精心設計客戶端,以便只執行受到很大局限的一組命令,該組命令包括常規回應和系統信息公開。任何偏離這些命令的請求都被自動歸檔為可能的安全威脅。啞代理以壓縮和有序的方式發送其信息。通過廣泛使用橢圓密碼術來實現小的占用空間。
中央控制器中央控制器使用遍及網絡的代理來獲得網絡信息。中央控制器分析軟件代理所提供的信息,并基于系統管理員所提供的某些參數作出決定。中央控制器觸發報告的開始和結束,因而指明一個給定的客戶端應當完成的報告的類型。
單次口令,驗證和加密單次口令的使用針對在客戶端和服務器之間的通信被攻擊者監視,因而按此方式獲得的信息被用于模仿合法用戶時的被動的通信偷聽和重放攻擊提供保護。利用加密和數字數據簽名來實施消息保密性和隱私。
壓縮系統壓縮系統使得分配給安全管理機構的網絡帶寬大大減少,因而允許更多的帶寬專用于用戶和系統應用。
盤點(inventory)機制本發明的一種實施方式代表盤點系統。在所述配置中,幾個代理分布于需要盤點的網絡化物件中。由中央控制器對代理的正常輪詢確定一個物件的存在與否。這可以用在公共接入計算機網絡中,例如學校或教育機構中,以防止外圍設備例如鍵盤、監視器或打印機被竊。
使用適當的算法對客戶端發送的信息進行壓縮和數字簽名,例如RSA或ECC。然而,在本文中,基于ECC的簽名應當是優選的,因為它們非常有助于滿足對小占用空間的需要,而小的占用空間是本發明的目標。實際上,客戶端生成的簽名極大地依賴于用戶提供的靜態口令以及由客戶端生成并存儲在用戶擁有的智能卡或RFID令牌的存儲器中的單次口令。
網絡脆弱性評估系統一旦從客戶端接收的信息和存儲在適當的數據庫中的參考值之間不一致,控制器就觸發警報機構,該警報機構通知網絡管理員所遇問題的嚴重性以及可能的解決辦法。警報信息可以是視覺或聽覺屬性的,或者二者的結合。此外,在網絡上收集的信息被用于建立和維護一份網絡脆弱性地圖,該地圖標識并歸類網絡內的安全缺陷。這樣一份地圖在與安全有關的未來投資方面對于管理人員是極其有用的。
與傳統系統相反,本發明特有的是在出現安全事件時,不授權客戶端在終端側采取動作。因此,決定的作出完全聽從于控制器。換言之,客戶端不檢測問題。客戶端僅僅收集與主機有關的相關信息,并將該信息發送到中央控制器。這種細微的差別對于這里記載的系統是至關重要的,因為它防止惡意用戶操縱客戶端。
盤點系統在盤點系統配置中,幾個代理分布于待盤點的網絡化物件中。由中央控制器對代理的正常輪詢確定一個物件的存在與否,因而在必要時觸發警報。這可以用在公共接入計算機網絡中,例如學校或教育機構中,以防止外圍設備例如鍵盤、監視器或打印機被竊。
口令管理系統圖3描繪了單次口令生成過程。從網絡控制器接收的質詢(種子)與用戶靜態口令以及用戶卡ID(或者RFID令牌序列號)合并,以便生成初始機密。此時,需要考慮兩種情況。在第一種情況中,卡只具備用于數據存儲的存儲器,沒有用于計算密碼函數的裝置。在第二種情況中,考慮配備有可以執行密碼函數的裝置的卡。
●在第一種情形中,RFID標簽僅擁有用于數據存儲的存儲器,從初始機密開始,控制器系統計算一組S獨立的單次口令,該組口令被存儲在中央控制器上的口令文件中。每個單次口令與相應的索引存儲在一起。隨后,S的一個小的子集S′以安全的方式被存儲在卡上。在登錄時,一旦出現RFID標簽,中央控制器就向該標簽發出質詢。該質詢僅僅是從存儲在標簽中的單次口令子集S′中選擇一個單次口令的隨機索引i。作為對質詢的響應,RFID標簽發送存儲在存儲器中、與質詢i相對應的單次口令。如果該單次口令與存儲在口令文件中索引i處的單次口令相匹配,則驗證成功,否則驗證失敗。由于該方法不要求用戶保留單次口令的小冊子,所以它是非常高效的。由于口令被存儲在RFID標簽中,所以該方法不易受到越肩(over-the-shoulder)攻擊。此外,由于單次口令是隨機選擇的,并且子集S′可以被選擇得足夠小,足以允許對存儲在RFID標簽中的口令進行頻繁刷新,所以監視RFID標簽和中央控制器之間的通信的被動偷聽將不能預測卡將要發送的下一個單次口令。圖6提供了該方案的概圖。
●在第二種情形(參考圖7)中,從初始機密開始,通過密碼函數f對初始機密的迭代,生成額外的口令。為了對系統進行驗證,用戶對初始機密施加密碼函數f的i次迭代。該信息然后被發送到控制器。控制器對從RFID標簽而來的信息額外施加密碼函數f來證實信息的正確性。結果與先前存儲在控制器中的i+1次迭代的值進行比較。如果匹配,則驗證成功,i的新值連同f的結果被存儲在控制器中。否則,驗證失敗,i的值被放棄。該系統在某種程度上與S/KEY系統有關,區別在于在我們這里給出的系統中,計算完全是在RFID標簽上進行的。此外,標簽序列號在這里被用于構建初始機密。
在以上兩種情形中,單次口令可以隨后被用來保證客戶端和中央控制器之間的后續通信的安全,如圖2所示。如果這樣做的話,用戶口令絕不會以明文方式被發送到中央控制器。該方法的微小改變還允許對客戶端的控制器驗證。
就發明人所知,這代表了用于可靠地實施沒有電池的單次口令系統的第一方式。實際上,由客戶端或服務器計算出的一組單次口令可以基于橢圓曲線或者基于RSA方案或者基于任何其他偽隨機函數。然而,基于RSA的單次口令很難滿足小的占用空間的需要。
如圖2所示,用戶的靜態口令、會話單次口令和壓縮數據的哈希(hash)值被用作數字簽名算法的輸入。這保證了單次口令有意義地確定用于每個會話的客戶端和服務器之間的通信流。
這種機制可以與游戲幣(casino chip)或者其他類型的游戲牌一起用于牌驗證的目的。在該特定的實施例中,第一方式應當是優選的,因為它僅僅要求RFID標簽擁有用于數據存儲的存儲器。
雖然上面已經利用優選實施方式解釋了本發明,但是應當指出,在所附權利要求的范圍內對該優選實施方式的任何修改都不被視為更改或改變了本發明的本質和范圍。
權利要求
1.一種網絡實施安全系統,包括配置為發送質詢的中央位置;至少一個客戶站,所述至少一個客戶站中的每一個都配有代理并與所述中央位置通信;一組S獨立的單次口令,所述單次口令中的每一個都與一個索引值相關聯;從而,響應于由所述中央位置發送到所述至少一個客戶站中的至少一個的質詢,所述代理向所述中央位置返回與正確的響應相對應的單次口令,否則所述中央位置認為所述客戶站是不安全的。
2.根據權利要求1所述的系統,其中,所述客戶站是RFID標簽,所述一組S獨立的單次口令包括獨立的單次口令的一個子集S′,所述子集S′中的每個單次口令都與索引i相關聯,所述子集S′被安全地存儲在所述RFID標簽中,由中央位置發送的所述質詢是隨機索引i,被返回到所述中央位置的單次口令是對應于所述索引i的單次口令。
3.根據權利要求1所述的系統,其中,所述客戶站被配置為基于初始機密并且基于密碼函數f對初始機密的迭代來計算單次口令。
4.根據權利要求2所述的系統,其中,所述中央控制器和所述客戶站之間的通信被加密。
5.根據權利要求3所述的系統,其中,所述中央控制器和所述客戶站之間的通信被加密。
6.根據權利要求1所述的系統,其中,所述代理被配置為執行預定的命令列表,所述命令列表被存儲在所述中央位置中,從而當所述代理執行不在所述命令列表中的命令時,所述中央位置確定該代理被存儲在的客戶站受到安全威脅。
7.根據權利要求1所述的系統,其中,所述中央位置和所述客戶站之間的通信在被發送前被壓縮。
8.根據權利要求1所述的系統,其中,所述中央位置配備有所有活動客戶站的簽名列表,并且其中,所述中央位置輪詢所述客戶站,以構建盤點清單。
9.根據權利要求1所述的系統,其中,所述客戶站是RFID標簽、游戲幣、計算機、手持設備、便攜式數字助手或者它們的組合。
10.一種在中央位置和至少一個客戶站之間進行安全通信的方法,包括以下步驟(a)生成初始機密,并將該初始機密存儲在所述中央位置中;(b)生成一組單次口令,所述單次口令中的每一個都與一個索引相關聯;(c)將所述一組單次口令的一個子集存儲在所述客戶站中;(d)從所述中央位置向所述客戶站發送質詢,其中所述質詢是所述一組單次口令的所述子集的索引;(e)從所述客戶站向所述中央位置發送與所述索引相關聯的單次口令。
11.一種在中央位置和至少一個客戶站之間進行安全通信的方法,包括以下步驟(a)生成初始機密,并將該初始機密存儲在所述中央位置和所述至少一個客戶站中;(b)從所述中央位置向所述至少一個客戶站發送質詢,所述質詢是一個索引;(c)在所述客戶站生成單次口令,所述單次口令是密碼函數對所述初始機密的迭代,所述迭代與所述索引有關;(d)將所述單次口令發送到所述中央位置。
12.根據權利要求11所述的方法,其中,所述至少一個客戶站是RFID標簽,所述RFID標簽還配有唯一的序列號,其中所述唯一的序列號被用來生成所述初始機密。
全文摘要
一種網絡安全實施系統包括被配置為發送質詢的中央位置;和至少一個客戶站,所述客戶站中的每一個都配有代理并與中央位置通信。該系統包括一組S獨立的單次口令,每個單次口令都與一個索引值相關聯。響應于由中央位置發送到客戶站中的至少一個的質詢,代理向中央位置返回與正確的響應相對應的單次口令,否則,中央位置認為客戶站是不安全的。
文檔編號H04L9/32GK101015163SQ200580024637
公開日2007年8月8日 申請日期2005年6月16日 優先權日2004年6月16日
發明者蓋伊-阿曼德·卡門杰, 克里斯蒂·理查德 申請人:奎爾泰克技術銷售公司