基于信任檢測的應用指紋通信方法及系統的制作方法

專利名稱：：基于信任檢測的應用指紋通信方法及系統的制作方法基于信任檢測的應用指紋通信方法及系統方法
技術領域：
：本發明涉及一種網絡安全通信實現形式——種基于信任檢測的應用指紋通^言方法及系統。
背景技術：
：現有的防火墻、VPN等安全產品都將建立一個安全的通信隧道，然而在這有效的安全隧道里卻難保證是何應用程序發出的數據報文到目的機器；IDS、反病毒產品對此是個補充，必須預先給出知識庫又給此補充帶來諸多麻煩和對不可預見威脅防范不可行；本方法通過基于信任檢測的應用指紋通信方法及系統，來保證在預先提供的通信隧道里，不論其是否相對安全，只傳輸指定的應用程序數據報文到目的機器。
發明內容本發明的目的就是設計一種網絡安全通信實現形式，通過基于信任檢測的應用指紋通信方法及系統，使得客戶機與邊界設備間使用同一應用指紋進行做標識與識別加密與解密的步驟來保證在預先提供的通信隧道里，不論其是否相對安全，只傳輸指定的應用程序數據報文，基于信任檢測的應用指紋通信系統，其特征在于包括客戶機模塊用于與管理服務器認證并取得應用指紋，并用該應用指紋對預先指定的應用程序發出的數據進行標識和加密等；管理服務器認證子模塊用于與客戶機模塊認證，并產生應用指紋發給邊界設備模塊和認證子模塊等，管理服務器管理子模塊用于日常維護、管理、配置、結果查看、報表輸出等；邊界設備模塊用于識別并解密信任的數據報文，阻斷非信任的報文，并200610122297.4說明書第2/6頁產生告警等。所述管理服務器認證子模塊、管理服務器管理子模塊、邊界設備模塊均可以被物理地歸并為一到三個模塊。基于信任檢測的應用指紋通信方法，其特征在于包括步驟一客戶機模塊向管理服務器驗證身份并請求獲得該次認證的應用指紋；步驟二當確認了客戶機身份，管理服務器將隨機產生本次認證的應用指紋，將客戶機的IP地址和MAC地址以及對應的應用指紋發給邊界設備，在邊界設備上形成白名單和應用指紋表；步驟三當得到邊界設備接受回應，服務器又將認證成功信號以及該應用指紋發回給客戶機模塊，否則給客戶機模塊發回認證失敗信號；步驟四客戶機模塊在應用指紋有效期內，對預先指定的應用程序發出的數據報文進行與應用指紋加密及做記號后發出，對其他應用程序發出的數據報文將不予理會或進行阻斷，在認證期間所有應用程序數據報文暫緩發送；步驟五邊界設備收到客戶機發來的數據報文后，判斷客戶機在白名單內則將數據報文與應用指紋表對應并解密，將解密后的數據報文發向目的機器，對與應用指紋無法匹配的數據報文將不予轉發，并按預先的設定給予報警；步驟六邊界設備對客盧機到管理服務器之間的認證信號將被特殊識別并通行。當新的連接產生或應用指紋有效時間到達之前，客戶機模塊將重新以上步驟一到步驟五，如此保證只有指定的應用程序發出的數據報文才能從客戶機發到目的機器，使得目的機器不受客戶機的網絡攻擊威脅。上述步驟一為客戶機模塊在新的連接創建或者舊的應用指紋將失效的時候主動向管理服務器發起的認證請求數據報文。上述步驟二為管理服務器將認證內容與預先通過管理服務器管理子模塊存放在數據庫里的客戶機身份信息對比，確認身份后產生應用指紋。上述步驟三明確表明邊界設備較客戶機更先接收到新的應用指紋。上述步驟四，在認證期間所有應用程序數據^^艮文暫緩發送。上述步驟六描述特別申明邊界設備對客戶機到管理服務器之間的認證信號是特殊處理的。本發明具有以下優點1、保證在預先提供的通信隧道里，不論其是否相對安全，只傳輸指定的應用程序數據報文。2、無需關心非信任內容的特征，沒有特征庫升級等需求。3、數據報文加密計算量小，傳輸效率高。4、告警數據可進行二次挖掘，進行更深層的分析。圖1是本實用新型基于信任檢測的應用指紋通信系統的結構示意圖；圖2為客戶機模塊數據流程圖；圖3為管理服務器的數據流程圖；圖4為邊界設備的數據流程圖。具體實施方式圖1為本發明基于信任檢測的應用指紋通信系統的結構示意圖，見說明書附圖1。如圖所述本發明系統包括客戶機模塊11、管理服務器12,以及邊界設備13,客戶機模塊ll:用于與管理服務器認證并取得應用指紋，并用該應用指紋對預先指定的應用程序發出的數據進行標識和加密等；其中管理服務器12包括管理服務器認證子模塊121和管理服務器管理子模塊122管理服務器認證子模塊21:用于與客戶機模塊認證，并產生應用指纟丈發給邊界設備模塊和認證子模塊等；管理服務器管理子模塊122:用于日常維護、管理、配置、結果查看、報表輸出等；邊界設備模塊13:用于識別并解密信任的數據報文，阻斷非信任的報文，并產生告警等；應用指紋是個代名詞，其實是隨機產生一段數據內容，由于其隨機性導致其相對唯一性，與現實生活中指紋相類似，并且是針對預先指定的應用程序而使用的，故而用應用指紋代名，其中客戶機模塊11將從操作系統底層驅動方式攔截數據報文，可以撰改數據報文內容，并控制其是否被發出，由此可以完成客戶機模塊所承擔的工作。客戶機還將從數據報文中的協議和端口從操作系統反查出是哪個應用程序發出。邊界設備13也將從操作系統底層捕獲數據報文、撰改數據報文并控制是否轉發。實現的方式可以驅動抓包發包方式、操作系統接口、應用程序掛接(如Linux的Iptable接口編程)等。管理服務器12內含管理服務器管理模塊和管理服務器認證模塊，實際應用中可根據容量和性能需求剝離這兩個模塊，甚至添加數據庫服務器和證書服務器，也可用第三方的證書服務器。客戶機模塊11到管理服務器12之間的認證方式將采用加密的TCP數據報文進行傳輸，同樣管理服務器12與邊界設備13間也將采用加密的TCP數據報文進行傳輸以保證內容保密性、完整性和可用性。管理服務器管理12模塊主要用客戶機/服務器模式(C/S)或者瀏覽器/服務器模式(B/S)來進行客戶機用戶的注冊、變更等操作，后者更為被推薦。以上管理服務器認證子模塊121、管理服務器管理子模塊122、邊界設備模塊13均可以被物理地歸并為-一到三個模塊。圖2為客戶機模塊數據流程圖，如圖2所示，步驟一當客戶才;Mt塊攔截到所有應用程序發出的數據報文，步驟二對其是否為指令的應用程序發出的數據報文進行判斷，步驟三如果是應用程序發出的數據報文，進一步判斷本次連接是否已經認證(即是否獲得應用指紋)，步驟四如果是再判斷應用指紋是否到期，步驟五如果沒有到期，即利用應用指紋對其發出的數據報文進行標記和加密，而發出此數據報文。其中，如果步驟二中如果發送的不是為指定的應用程序發出的數據報文，則不用關心其是否發出或者阻斷；步驟三中，如果本次連接沒有認證，則回到步驟一，請求認證，而后等待認證信號，符合條件從而獲得認證結果，步驟六判斷認證是否通過，如果認證通過，轉到步驟五對其數據報文進行加密而后發出此數據報文；上述當在等待認證信號超時和如果認證沒有通過，則丟棄此數據報文。圖3為管理服務器的數據流程圖，如圖3所示，步驟一管理服務器接收到認證請求信號，對其進行認證，步驟二判斷其認證是否通過，如果通過，則生成應用指紋，而后向邊界設備發送客戶機IP地址，MAC地址以及應用指纟丈，步驟三等待邊界設備的回應，是否超時，如果不超時，向客戶機模塊發送認證成功及應用指紋。其中，步驟二中認證沒有通過或者或步驟三中已經超時則該管理服務器回應認證失敗。圖4為邊界設備的數據流程圖，如圖4所示，包括步驟一當邊界設備受到所有的數據報文，對其進行判斷，是否為管理服務器的認證信號，步驟二如果不是，進一步判斷其是否為管理服務器發出的白名單與應用指紋更新信號，步驟三再進一步判斷客戶機的IP地址，MAC地址是否在白名單中，如果是，步驟四判斷是否與應用指紋相符合，利用應用指紋解密，而發送到目的機器。其中，步驟一中判斷如果是管理服務器的認證信號，則轉發到管理服務器；其中，步驟二中，如果不是為管理服務器發出的白名單與應用指紋更新信號，則更新白名單與應用指紋列表，而后向管理服務器發送更新成功信號；其中，步驟三、步驟四中如果客戶機的IP地址，MAC地址不在白名單中或者與應用指紋不相符合則不轉發該數據文報。本發明具有以下優點1、保證在預先提供的通信隧道里，不論其是否相對安全，只傳輸指定的應用程序數據才艮文。2、無需關心非信任內容的特征，沒有特征庫升級等需求。3、數據報文加密計算量小，傳輸效率高。4、告警數據可進行二次挖掘，進行更深層的分析。以上所述者，僅為本發明最佳實施例而已，并非用于限制本發明的范圍，凡依本發明申請專利范圍所作的等效變化或修飾，皆為本發明所涵蓋。權利要求1.基于信任檢測的應用指紋通信系統，其特征在于包括客戶機模塊用于與管理服務器認證并取得應用指紋，并用該應用指紋對預先指定的應用程序發出的數據進行標識和加密等；管理服務器認證子模塊用于與客戶機模塊認證，并產生應用指紋發給邊界設備模塊和認證子模塊等；管理服務器管理子模塊用于日常維護、管理、配置、結果查看、報表輸出等；邊界設備模塊用于識別并解密信任的數據報文，阻斷非信任的報文，并產生告警等。2.如權利要求1所述的網絡安全事件的基于信任檢測的應用指紋通信系統，其特征在于所述管理服務器認證子模塊、管理服務器管理子模塊、邊界設備模塊均可以被物理地歸并為一到三個模塊。3.基于信任檢測的應用指紋通信方法，其特征在于包括步驟一客戶機模塊向管理服務器驗證身份并請求獲得該次認證的應用指紋；步驟二當確認了客戶機身份，管理服務器將隨機產生本次認證的應用指紋，將客戶機的IP地址和MAC地址以及對應的應用指紋發給邊界設備，在邊界設備上形成白名單和應用指紋表；步驟三當得到邊界設備接受回應，服務器又將認證成功信號以及該應用指紋發回給客戶機模塊，否則給客戶機模塊發回認證失敗信號；步驟四客戶機模塊在應用指紋有效期內，對預先指定的應用程序發出的數據報文進行與應用指紋加密及做記號后發出，對其他應用程序發出的數據報文將不予理會或進行阻斷，在認證期間所有應用程序數據報文暫緩發送；步驟五邊界設備收到客戶機發來的數據報文后，判斷客戶機在白名單內則將數據報文與應用指紋表對應并解密，將解密后的數據報文發向目的機器，對與應用指紋無法匹配的數據報文將不予轉發，并按預先的設定給予報警；步驟六邊界設備對客戶機到管理服務器之間的認證信號將被特殊識別并通行。4.如權利要求3所述的基于信任檢測的應用指紋通信方法，其特征在于當新的連接產生或應用指紋有效時間到達之前，客戶機模塊將重新以上步驟一到步驟五，如此保證只有指定的應用程序發出的數據報文才能從客戶機發到目的機器，使得目的機器不受客戶機的網絡攻擊威脅。5.如權利要求3所述的基于信任檢測的應用指紋通信方法，其特征在于上述步驟一為客戶機模塊在新的連接創建或者舊的應用指紋將失效的時候主動向管理服務器發起的認證請求數據報文。6.如權利要求3所述的基于信任檢測的應用指紋通信方法，其特征在于上述步驟二為管理服務器將認證內容與預先通過管理服務器管理子模塊存放在數據庫里的客戶機身份信息對比，確認身份后產生應用指紋。7.如權利要求3所述的基于信任檢測的應用指紋通信方法，其特征在于上述步驟三明確表明邊界設備較客戶機更先接收到新的應用指紋。8.如權利要求3所述的基于信任檢測的應用指紋通信方法，其特征在于上述步驟四，在認證期間所有應用程序數據報文暫緩發送。9.如權利要求3所述的基于信任檢測的應用指紋通信方法，其特征在于上述步驟六描述特別申明邊界設備對客戶機到管理服務器之間的認證信號是特殊處理的。全文摘要基于信任檢測的應用指紋通信方法及系統，其系統包括客戶機模塊用于與管理服務器認證并取得應用指紋，并用該應用指紋對預先指定的應用程序發出的數據進行標識和加密等；管理服務器認證子模塊用于與客戶機模塊認證，并產生應用指紋發給邊界設備模塊和認證子模塊等；管理服務器管理子模塊用于日常維護、管理、配置、結果查看、報表輸出等；邊界設備模塊用于識別并解密信任的數據報文，阻斷非信任的報文，并產生告警等。本發明具有以下優點保證在預先提供的通信隧道里，不論其是否相對安全，只傳輸指定的應用程序數據報文，無需關心非信任內容的特征，沒有特征庫升級等需求。文檔編號H04L9/00GK101150390SQ20061012229公開日2008年3月26日申請日期2006年9月22日優先權日2006年9月22日發明者衛周,文張,陳建芳申請人:周衛;張文