專利名稱::安全網絡體系結構的制作方法
技術領域:
:本發明涉及網絡安全,且更具體而言但不排他地,涉及在不安全網絡或網絡集合(例如因特網)上提供安全的虛擬網絡(例如,企業內部網)。
背景技術:
:對公用網絡和專用網絡的用戶而言,網絡安全始終是一個問題。虛擬專用網絡(VPN)可用于在因特網之上擴展專用網絡以例如允許遠程用戶訪問該專用網絡。通常,一旦遠程用戶越過了防火墻,該用戶就可對該專用網絡進行完全的訪問。類似地,在專用網絡內部連接的用戶通常也可對該網絡進行完全的訪問,或者基于在專用網絡內的獨立資源處設置的安全規定而對他們的訪問進行限制。諸如廣域網(WAN)的分布式專用網絡通常使用專線來耦合地理位置分離的周域網(LAN),然而這是昂貴的,通常要求每個站點處防火墻規則協同設置,這是復雜的,并且由于不同的本地要求,還可能隨時間而產生分歧,導致連接困難。
發明內容概括地,在一個方面,本發明提供了一種星形連接網絡,其中中央服務器節點例如在因特網之上使用各自加密的連接(諸如安全套接層(SSL)會話)耦合到多個客戶機節點。客戶機節點的外部通信被限制為使用與服務器節點的各自加密的連接,因此兩個客戶機節點之間的分組要經由服務器節點路由(至少是為了開始連接)。服務器節點包括用于建立與每個客戶機節點的加密連接的裝置,例如,諸如SSL服務器的VPN服務器。來自客戶機節點的分組通過防火墻路由到VPN服務器,發往客戶機節點的分組通過防火墻從VPN服務器路由,該防火墻根據多個規則準許或拒絕進入的分組和外發的分組。這些規則取決于各自加密的連接的建立,因而,例如,與建立的加密連接無關的分組可以被阻擋或拒絕。這些規則還取決于安全策略,該安全策略可以包括與發送/接收分組所涉及的客戶機節點(例如,該客戶機節點是否對應于對訪問其他客戶機節點具有某些限制的雇員或對應于遠程連接的客戶機節點)相關的附加限制。這種布置允許這樣的安全策略使用防火墻集中控制網絡的所有客戶機節點。在一實施方式中,該虛擬專用網絡服務器是被配置成經由防火墻接收和發送所有分組的SSL服務器。該VPN服務器還被配置成產生建立的加密連接的列表,該列表可以被輸入到用于實現安全策略的安全策略引擎以產生用于更新防火墻中的現有規則的一組規則。在一實施方式中,各客戶機節點包括安全存儲在防篡改硬件模塊中的認證信息以用于在建立與服務器節點的加密連接時進行認證。防篡改硬件模塊可以限制對服務器節點的外部接入,且可以使用安全存儲的私鑰簽署公共證書以使得服務器節點能夠通過使用與該私鑰相關的相應公鑰來驗證該公共證書來自于相應客戶機節點。在一實施方式中,該安全策略引擎包括諸如AT&T實驗室的KeyNote這樣的高級引擎,用于響應于接收了對應于識別出的客戶機的虛擬專用網絡的建立指示的上下文處理器或者其他軟件模塊提供的多個會話參數和諸如客戶機公鑰這樣的客戶機標識,返回準許或拒絕判定。該上下文處理器將客戶機標識和會話參數處理或者轉換為具有用于策略引擎的預定格式的查詢,且將返回的判定轉換成相應的更新后的防火墻規則。該會話參數包括目的地地址;會話類型;用于會話的應用類型;端口號。優選地,一旦服務器授權了用于特定應用的連接(即,從安全策略引擎接收到準許判定之后),則將用于獲得許可判定的會話參數記錄為當前會話參數設置且隨后檢查每個進入分組(任一方向)以確保該分組匹配其存儲的當前會話參數設置之一。這通過判斷應用標識方便地完成,該應用標識識別作為分組去往目的地或者分組來源的應用;具體而言,在一實施方式中,這能夠通過檢查各分組的套接字標識(源和目的地IP地址以及端口號)是否匹配當前會話參數之一而完成,因為這些當前會話參數唯一地將每個分組與相關應用相關聯。當服務器例如通過觀察TCP連接斷開或者當連接不被使用的超時周期耗盡時而檢測出應用希望結束特定連接時,服務器可以刪除相應會話參數設置,使得僅適度地存儲當前設置。優選地,服務器或者防火墻接收的與存儲的當前會話參數設置之一不匹配的任意分組被丟棄。在一實施方式中,使用虛擬局域網(VLAN)在一個或更多個互連分組交換網狀網絡上實現星形連接網絡,來支持加密連接。VLAN在第2層實現,這增加了客戶機節點和服務器節點之間的加密連接上的數據通信的速度。在另一方面,提供了一種服務器節點,該服務器節點用于具有多個客戶機節點的星形連接網絡;且其包括用于建立與各客戶機節點的加密連接的裝置,諸如VPN服務器,該VPN服務器被布置以經由防火墻且使用兩個相應加密連接在兩個客戶機之間路由分組,該防火墻被設置以根據多個規則阻擋或者允許所述分組,使用上述兩個加密連接的所述分組通過該防火墻路由,且該規則依賴于與客戶機節點的各自的加密連接的建立且依照預定的安全策略。在另一方面,提供了一種客戶機節點,該客戶機節點用于具有多個客戶機節點和一服務器節點的星形網絡;該客戶機節點包括使用加密連接限制跨越網絡與服務器節點通信的裝置;以及使用加密連接經由服務器節點將分組路由到另一客戶機節點的裝置。在一實施方式中,該客戶機節點包括防篡改硬件模塊以加強該限制和路由,并提供用于建立加密鏈接的認證證明。在另選的實施方式中,最初由外圍節點(對應于第一實施方式的客戶機節點)進行與中央控制節點(對應于服務器節點)的外部通信,但是不要求所有后續分組也都分別通過中央控制節點和各通信外圍節點之間的加密SSL連接經過中央控制節點,在該實施方式中,與中央節點的初始連接用于建立兩個通信外圍節點(用作對等節點,或者一個用作客戶機且另一個用作服務器)之間的(更直接的)連接。受信任的計算模塊可用于加強策略,由此,僅可以在從中央控制裝置獲得明確授權之后才能建立到中央控制節點之外的其他目的地的連接。優選地,這包括要求接收了明確授權的連接(不需要經過中央控制節點/配置)所涉及的所有節點在需要時發送、接收和/或轉發合適的數據分組。優選地,這種授權是有時間限制的且當授權時間期滿時,要求來自中央控制節點/配置的新的授權。在又一另選實施方式中,不是具有單個中央控制節點,而是存在多個中央控制節點,這些中央控制節點彼此互連,且從外圍節點和用于網絡活動記錄目的的角度,其行為就像單個節點一樣。因而,根據這些另選實施方式,提供了一種具有很多外圍節點和一中央控制配置的星形連接網絡;其中,各外圍節點具有除非該外圍節點已經從中央控制配置接收了明確的建立另一連接的授權以外,使用相應加密連接限制跨越網絡到中央控制節點的通信裝置;并且其中,該中央控制配置包括用于建立與各外圍節點的加密連接的裝置;使用兩個或更多各自的加密連接與兩個或更多外圍節點交換控制分組以建立兩個外圍節點之間的授權連接的裝置;存儲安全策略信息的數據庫,該安全策略信息規定外圍節點之間的何種連接被允許;以及使用該控制分組交換裝置根據存儲的安全策略信息授權允許的連接的授權裝置。在這種布置中,根據其希望實現的功能,外圍節點可用作客戶機、服務器、對等點或代理服務器。各外圍節點能夠通過發起連接本身或響應于從中央控制配置接收到建立這種連接的請求,而建立與中央控制配置的安全連接。優選地,該中央控制配置包括攻擊檢測模塊,該模塊可操作以分析未被授權的連接嘗試且試圖檢測這種無效嘗試中的任意模式。在一實施方式中,任何檢測出的模式都被報告給管理員,管理員然后可以設置丟棄或登陸的策略且然后丟棄匹配該模式的任意后續連接嘗試,而不發送任意響應或執行任意加密相關處理。在另選的配置中,該攻擊檢測模塊可以自動地應用這種策略而不是依靠人類管理員來完成。優選地,該中的任意這種行為仍然被報告給管理員以使得管理員能夠在必要時超控任意自動應用的策略。以這種方式,代表攻擊的集中點的集中體系結構能夠魯棒地防范可能的攻擊,包括對用于建立安全連接的多個請求形式的服務攻擊的分布式拒絕。本發明還提供操作星形連接網絡、服務器節點和客戶機節點的相應方法。這些方法可以使用存儲在包括有形數據存儲設備的載體裝置上的計算機程序來實現。現在將參照下面的附圖以僅為示例而非限制性的方式描述實施方式,附圖中-圖1是示出了根據一實施方式的網絡體系結構的示意圖;圖2是示出了根據一實施方式處理分組的方法的流程圖;圖3是示出了根據一實施方式査詢策略引擎的方法的流程圖4是示出了用于底層網絡的星形連接網絡安全覆蓋的示意圖5是根據一實施方式在服務器節點和客戶機節點之間建立加密連接的方法;以及圖6是類似于圖1的示意圖,但是其示出了根據另一實施方式的網絡體系結構。具體實施例方式圖1示出了在很多IP或其他分組交換網絡之上實現的且根據一實施方式的安全星形連接虛擬網絡的示意圖。安全虛擬網絡或虛擬因特網(VI)100包括服務器節點110以及經由兩個分組交換網絡150與該服務器節點IIO耦合的很多客戶機節點160。在該實施方式中,底層互連網絡是因特網150a和由上覆式安全虛擬網絡(overlyingsecurevirtualnetwork)100的運營商運營的局域網(LAN)150b。然而,該網絡配置用于使解釋簡單,可以使用不同底層網絡體系結構實現各種另選實施方式,例如,僅使用因特網、使用多個互連的WLJVN和IJIN、因特網和蜂窩網絡或任意數目的分組和/或電路交換網絡的其他組合。每個客戶機節點160包括受信任平臺模塊(TPM)170,其是集成到客戶機中的防篡改硬件設備。TPM170在每個客戶機節點160上執行嚴格的安全策略,確保節點160僅通過各自的互連網絡150a和/或150b與中央服務器節點110通信。這例如可以通過實現局部防火墻且利用TPM170上的端口進行外部接口來實現。另選地或者另外地,客戶機TPM170上的軟件將監控客戶機節點160上運行了何種處理。TPM170將僅準許對這樣的處理或者應用進行外部訪問所述處理或者應用可被配置以僅準許去往虛擬網絡100或來自虛擬網絡100的通信量。在文檔服務器和其他資源或者甚至目的地或第二客戶機節點上,可以使用開放源apache(阿帕奇)網絡服務器,其中配置文件被設置為拒絕到公共IP地址的請求,但是接受與虛擬網絡服務器110相關的IP地址。這防止了客戶機從這些節點訪問資源而不經過服務器節點110。TPM170還為各各自的客戶機節點160提供諸如安全數字證書的認證書以及用于與中央服務器節點110連接的安全加密工具。TPM170還可以被布置以在允許去往/來自服務器110的通信量之前要求客戶機160的用戶進行認證。中央服務器節點(VI)110包括諸如防火墻115之類的分組過濾器、諸如安全套接字層(SSL)服務器120的加密連接或會話服務器、上下文處理器125、安全策略引擎130以及安全策略135的存儲器。到互連網絡150的所有連接都經由防火墻115,該防火墻115將每個進入分組和外發分組與一系列防火墻規則相匹配。所述分組可以與各種參數相匹配,所述參數例如是分組的源和目的地地址、端口地址、分組相關的應用以及本領域技術人員將意識到的且取決于服務器運營商的安全策略135的各種其他安全相關參數。中央服務器110通常也包括TPM170,其為SSL服務器120提供諸如用于服務器的安全數字證書的認證證明以及用于與客戶機節點160相連的安全加密工具。SSL服務器120或其他加密連接服務器能夠在服務器節點110和各客戶機節點160之間建立和維持單獨的加密連接。使用相互認證和以及存儲在各自的客戶機節點160和服務器110的TPM170中的密匙和加密算法建立各SSL會話。應當理解,每個SSL會話或連接加密和封裝各自的客戶機節點160和服務器110之間的分組。從客戶機節點接收的分組然后通過防火墻115路由,如果它們滿足防火墻規則,則被準許或允許經過SSL服務器120。典型地,防火墻規則將詢問接收的分組和其封裝分組有效載荷的源和目的地地址。SSL服務器120將照常使用SSL操作解封裝和解密接收的分組以恢復封裝的分組。目的地地址被識別且分組被再封裝、再加密且然后經由防火墻115轉發到目的地客戶機節點160。同樣,防火墻115根據防火墻規則詢問外發分組。每個客戶機節點160因此被有效地分配到其自己的單獨安全域,傳遞到或來自其他客戶機節點的任意分組必須經過防火墻115。這允許網絡100的安全策略被集中管理且應用于網絡100的所有客戶機節點160。這與防火墻用做兩個分立網絡(例如因特網和內部LAN)之間的安全接口的典型布置不同。位于現有系統的LAN內的客戶機節點不經過防火墻實現的安全策略,且被假定為是值得信任的。類似地,一旦遠程計算機越過了防火墻,典型地,其將被準許進行與LAN安全域中其他用戶相同的訪問(權限)。作為附加的安全措施,使用SSL或者使用各客戶機節點160上的TPM170實現的其他加密連接工具,在該實施方式中,使用服務器節點110上的TPM,來加密各個客戶機節點160和服務器節點110之間的連接。作為又一安全措施,當與客戶機節點160建立新的SSL連接/會話時以及當現有SSL連接/會話例如因為遠程用戶退出因特網150a而終止時,防火墻規則自動更新。防火墻規則的更新使用上下文處理器125完成,該上下文處理器125是服務器節點處理器上實現的軟件模塊,且其從SSL服務器120接收當前SSL會話的列表。通過比較這些列表與存儲的先前的SSL會話列表或者根據當前防火墻規則確定的SSL會話列表,上下文處理器125可以判斷新的和終止的SSL會話且相應地更新防火墻規則。典型地,這將涉及使用新設置代替防火墻115上的諸如iptable(IP表)的現有防火墻規則,該新設置包括涉及到與新的和終止的SSL會話相關的客戶機160的更新規則。在最簡單的配置中,規則將被更新以現在準許或允許具有與和新SSL會話相關的客戶機節點向對應的源和目的地地址的分組。類似地,規則將更新,以拒絕或者阻止具有與終止的SSL會話相關的客戶機節點相對應的源和目的地地址的分組。然而,與各客戶機節點160相關的規則通常更加復雜,例如可以基于雇員類型實現限制,其中對某些服務器(例如160d)的訪問被限制為某些雇員類型。類似地,可以基于地點,例如基于客戶機節點是經由因特網還是本地LAN連接到服務器節點而對訪問進行限制。上下文處理器125因而將請求針對該或各新客戶機節點160的策略細節。這可以通過輸入客戶機標識完成,該客戶機標識例如是網絡內唯一編號或者其他引用(reference),諸如與和SSL服務器120建立了SSL連接的客戶機節點160r相關的公鑰。策略引擎130在策略數據庫135中查詢與新連接的客戶機節點160r相關的策略陳述。這些策略陳述可以對于客戶機節點160r唯一,或者可以與一組這種客戶機節點160(例如,特定雇員等級)相關。這些策略陳述被傳遞回上下文處理器125,該上下文處理器將它們轉換成用于更新防火墻115的iptable或其他防火墻規則。另選地,上下文處理器125可以被配置為向策略引擎130轉發取決于新的(和/或終止的)客戶機節點160的特定格式的查詢。策略引擎130然后返回針對特定資源的各請求的準許/拒絕型響應(格式化的查詢)。這些響應被上下文處理器125解釋且被轉換成更新的防火墻規則。在該實施方式中,策略引擎130以高級語言形式的策略陳述來操作,所述策略陳述然后被上下文處理器轉換成iptable規則或者其他詳細的防火墻規則。這使得可以更靈活地改變用于各個客戶機節點或客戶機節點組的安全策略。然而,策略引擎130和上下文處理器125的功能可以合并,使得可以根據新連接的客戶機節點160r自動檢索詳細的防火墻規則,且然后將它們寫入到防火墻中。該實施方式提供了很多優點。不管用戶位于被安全虛擬網絡運營商運營的"內部"網絡150b上還是位于不受信任因特網150a上;在網絡100上都統一被假設為是"外部訪問",即從不受運營商控制的互連網絡150a到系統或者安全虛擬網絡100的用戶的訪問。該系統還允許對各用戶的在虛擬網絡100上的訪問權利進行完全控制,且幫助確保客戶機節點160、中央服務器節點100的安全性,并且將安全虛擬網絡或系統100作為整體加以維護。通過使用輻射形或星形連接體系結構來產生虛擬安全覆蓋,用戶和資源被劃分到分離的安全域,這使得更加難以不經檢測就建立兩個裝置或節點之間的連接,因而減小了安全缺口攻擊成功的風險。這種劃分還允許基于諸如物理位置、機器安全狀態以及基于角色的特權這樣的因素,而給予不同級別的連接性和特權。這反過來提供了高靈活和粒度的中央訪問控制。而且,因為所有系統流量都經過中央服務器IIO,因而所有系統活動能夠被容易地記錄和稽核;例如,用于檢測闖入。如有需要,防火墻可以即刻鎖定整個系統。附加優點在于,受益于以減小的成本提供相同或更好的安全性的基于因特網的解決方案,可以消除用于內部安全的防火墻保護的物理LAN的使用,——對于SME尤其如此。類似地,不再需要用于WAN基礎設施的專線的使用。在需要安全域劃分的情況下也可以體現成本的節約,因為不再需要域間附加的防火墻或者實際的附加物理網絡基礎設施,因為這種域劃分可以使用服務器節點IIO集中地實現。下面參照圖2和圖3中示出的方法,更詳細地描述系統100的操作。這些方法涉及經由中央服務器節點IIO路由的請求方客戶機節點160r和文檔服務器客戶機節點160d之間的通信。圖2示出了操作防火墻115和SSL服務器120的方法。該方法(200)最初在防火墻110處接收來自第一節點或者請求方節點160r的分組(205)。所述分組可能己經在因特網150a、由與安全虛擬網絡或安全系統100相同實體控制的LAN150b或者很多網絡組合上傳送。該分組可以是加密SSL或其他加密連接分組,或者可以是例如包括請求建立加密連接的請求在內的無加密連接分組。防火墻115然后將接收分組與典型地已知以iptable實現的很多防火墻規則進行匹配。防火i規則通常將指示哪些目的地和源地址是允許的以及哪些是要被阻擋的。它們也可以限制允許的分組的端口和應用程序類型。在分組是SSL分組的情況,可以另外檢測封裝分組的目的地和源以及可能的其他參數——對于本領域技術人員而言這已知為深度分組檢測。與用于建立加密連接的已知初始請求類型相關且尋址到SSL或其他加密連接服務器120的無封裝分組通常將被自動允許(210,是)。被尋址到中央服務器110的其它部分的分組通常將被阻擋。在分組是SSL分組的情況,防火墻將通過檢查封裝分組的源和目的地地址判斷發送客戶機160r是否被允許與(最終)目的地客戶機160d通信。在分組由于違反防火墻規則之一而被防火墻阻擋的情況(210N),可以向分組的發送方返回錯誤消息(215)。例如,可以返回指示特定通信在星形連接虛擬安全網絡100中不被允許的錯誤消息。在分組被防火墻允許的情況下(210Y),所述分組然后被路由到VPN或SSL服務器(220)。SSL服務器判斷所述分組是否與SSL連接建立或終止請求相關(225),且如果不相關(225,否),則解封裝和解密所述分組以恢復封裝的分組(230)。如己知的,SSL分組含有對應于發送客戶機節點160r的源地址以及對應于SSL服務器120的目的地地址。然而封裝分組將包括對應于發給客戶機160r的源地址和對應于最終目的客戶機160d的目的地地址。SSL服務器120然后識別封裝分組的目的地地址(235),在該示例中,為文檔服務器節點160d。該方法然后再加密和封裝分組(240)。現在,通常在SSL服務器120和第二或文檔服務器客戶機節點160d之間的不同SSL連接上的再加密分組然后被轉發到防火墻(245)。SSL服務器120將通常被配置為使得所有外發分組都被路由到防火墻115。防火墻115然后同樣對照防火墻規則檢查來自于SSL服務器120的分組(250)。和前面一樣,這例如可能涉及檢查再加密分組的源和目的地地址以及分組的端口地址和應用類型。同樣,可以使用其中解封裝和解密分組也被防火墻檢測的深度分組檢測。如果分組被阻擋(250,否),則錯誤信息被產生且通常被發送到原始發送方——請求方客戶機節點160r。然而,如果分組被防火墻允許(250,是),則所述分組然后被路由到目的地或第二客戶機節點(265),在該示例中為文檔服務器160d。請求方或者第一客戶機節點160r發送到文檔服務器或者第二客戶機節點160d的分組可能涉及對文檔的請求。使用如上所述的在文檔服務器和中央服務器之間以及請求方節點160r和中央服務器110之間的獨立的SSL加密連接,含該文檔的分組然后經由中央服務器110被發送到請求方節點160r。這樣,形成了重疊在互連網狀網絡150a和150b上的安全星形連接系統100的一部分的客戶機節點160之間的所有通信都經由中央服務器110在相應加密隧道或連接之上路由,且防火墻115向所有這些通信應用合適的安全策略。在來自客戶機節點160的進入分組涉及建立或終止與SSL服務器120的SSL連接時(225,是),它們被防火墻115所允許。該方法(200)然后判斷所述分組涉及新的VPN連接請求還是涉及終止現有VPN連接的請求(270)。終止客戶機節點160和SSL服務器之間的現有SSL連接的請求(270,否)導致連接以本領域技術人員所熟悉的方式斷開。SSL服務器120維護當前SSL連接的列表,且該列表在連接斷開時更新(290)。典型地,列表將包括各自的客戶機節點160的公鑰,這些公鑰視需要而被標記為被終止或被連接;另選地,可以簡單地從列表中移除被終止的客戶機節點連接的公鑰。某些標準SSL服務器120可能需要修改其軟件來提供這種列表。當所述分組與用于客戶機節點(例如160r)和SSL服務器120之間的新的SSL連接的請求相關時,實現SSL連接建立過程(280)。SSL連接建立過程(280)可以采用己知的SSL建立方法,不過通常使用進行請求的客戶機節點的TPM(例如170r)。認證機構(CA)將簽署分別存儲在客戶機160r和服務器節點110的TPM170r、170s中的針對服務器和客戶機公鑰兩者的證書。在SSL協議中,這些證書被交換和驗證。這允許它們使用公鑰密碼來產生會話密匙。數字證書還使用存儲在TPM中的相應私鑰簽署/加密。相應的TPM公鑰然后用于驗證公共數字證書來自相應TPM。這增強了系統的安全性。當客戶機節點(160r)被服務器節點(110)認證且建立了SSL連接時,當前SSL連接的列表被更新以包括新認證和連接的客戶機節點(160r)。為了增強安全性,本實施方式的防火墻115使用的防火墻規則響應于SSL服務器120維護的當前SSL連接的變化而自動更新。因而,例如,當客戶機節點(例如160r)沒有與SSL服務器120建立SSL連接時,防火墻規則阻擋去往或來自該客戶機節點(160r)的任意分組。該規則的例外是涉及建立SSL連接的從"未連接"客戶機節點(160r)尋址到SSL服務器120的無封裝分組(以及從SSL服務器120到客戶機節點160r的無封裝分組)。除了基于是否與相應客戶機節點160建立了SSL連接來允許或阻擋分組之外,防火墻規則還附加地實現更高級別的安全策略。這種策略可以限制特定節點160r和其他客戶機節點160之間的通信。這可以基于與客戶機節點160的正常或指定用戶相關的某些參數。例如,用戶不可以訪問企業的人力資源數據庫或其他敏感數據,除非該用戶來自于相關部門。另外,當用戶通過公共因特網150a連接到系統100時,可以限制其對于某些其他客戶機節點(例如160y)的訪問,但是當他們通過企業內部LAN150b連接時則不受此限制。類似地,可以基于去往/來自客戶機160的分組相關的應用的類型限制訪問。例如,當經由公共因特網150a連接時,特定用戶的客戶機節點160r可以被限制為檢査電子郵件,而當經由內部LAN150b連接時可以不實現該限制。這種性質的各種其他安全限制將被本領域技術人員意識到,且意在由本實施方式實施。為了實現這些特征,本實施方式使用上下文處理器125和策略引擎130。參考圖3描述這些功能的操作,圖3示出了操作上下文處理器125的方法。方法(300)定期查詢SSL服務器120維護的當前SSL連接的列表(305)。當前列表可以與先前的列表進行比較以判斷己經建立的新的SSL連接和已經終止的舊SSL連接。對于每個終止的SSL連接(310,終止),該方法使得與客戶機節點相關的防火墻規則返回為缺省設置;典型地,阻擋去往/來自客戶機節點的所有分組,但是涉及與SSL服務器120建立新連接的分組除外(315)。與建立新SSL連接相關的一組全局防火墻規則被維護,且與終止的客戶機節點的附加訪問權限相關的任何規則都被刪除。對于每個新SSL連接(310,新),該方法針對與新SSL連接相關的客戶機(例如160r)查詢策略引擎130(325)。典型地,這將涉及形成標準査詢格式的策略請求,該請求包括諸如用于客戶機的系統唯一標識(IDclient)(例如客戶機公鑰)以及用于客戶機的目的地地址(Addr-dest)的細節以例如確立客戶機裝置正使用哪個網絡(150a或150b)連接到系統100。該信息也可從SSL服務器120維護的列表獲得,且由根據本方法(300)操作的上下文處理器125檢索和轉換為用于策略引擎130的適當格式。可以在策略判定中使用的某些其他細節包括源/目的地端口、關于請求的目的地的精細細節(目錄、文件、數據庫條目)、環境細節、環境細節、時/天/日期、當前系統負荷。下面將更詳細地描述使用用于策略引擎130的KeyNoteTM和用于防火墻的iptable的示例實施方式。策略引擎130從上下文處理器125接收請求,且査詢系統的運營商陳述的各種安全策略135(330)。為了實現安全策略135的靈活管理,這些策略通常以諸如Keynote的高級語言陳述,其中單個策略例如可以應用于各組客戶機。上下文處理器125中的合適的轉換功能能夠將這些策略例如實現為iptable中的單獨的防火墻規則,并且僅涉及各自的客戶機。策略引擎130針對從上下文處理器125接收的客戶機身份,判斷是否存在與安全策略135的任意匹配(330)。如果沒有匹配,則防火墻規則不更新,且這將典型地意味著進行請求的客戶機節點在安全策略135下沒有訪問特權。去往/來自該客戶機的分組因此將繼續被防火墻115阻擋。然而,如果客戶機身份匹配一個或更多個安全策略,則這種匹配策略用于從搜索引擎130返回對上下文處理器的查詢的準許/拒絕判定(330)。策略可以例如基于客戶機節點160的位置限制客戶機節點分組可以向其轉發或從其接收的目的地地址。類似地,還可以限制端口號和應用類型。各種其他訪問限制將被本領域技術人員所了解且可以通過本實施方式實現。策略引擎130返回的策略判定然后被上下文處理器125轉換為防火墻規則(335)。對應于策略判定的特定防火墻規則將依賴于實現的防火墻115,且典型示例是iptable,不過也可以使用其他類型。高級策略引擎130與上下文處理器125的一起使用允許采用模塊化方法來實現自動防火墻更新。因而,例如,如果實現不同防火墻U5,這僅需要修改上下文處理器的轉換軟件。然而,在另選實施方式中,上下文處理器125和策略引擎130功能可以合并到單個軟件模塊中。已經獲得了涉及新連接的客戶機的防火墻規則之后,防火墻115的iptable被更新(340)。已知這可以通過使用針對新連接的客戶機的附加的或變化了的規則重寫所有iptable并且刷新防火墻來實現。一旦防火墻規則被更新,則連接到SSL服務器120的客戶機現在可以經由SSL服務器120向/從其他客戶機節點轉發/接收分組,各分組被防火墻115允許或阻擋。盡管加密連接被描述為SSL,但另選地可以使用各種其他加密隧道技術,例如包括,IPsec和傳輸層安全(TLS)。而且,盡管通常SSL要求會限制可實現的應用的瀏覽器,但可以使用存在的各種SSL軟件客戶端(諸如Stunnel)來在本身不具備SSL能力的非瀏覽器應用(例如郵件客戶機)中實現SSL能力。SSL隧道或VPN可以在虛擬LAN(VLAN)體系結構(諸如SSL上以太網)上運行。示例的包包括0penVPN和0penSSL。這些包不要求諸如另一防火墻和VPN集線器這樣的專用硬件,且可以僅使用軟件實現。可使用各種Linux開源應用來創建第2層(例如TCP上以太網)加密連接。BrctlLinux以太網橋接軟件允許基于以太網地址而非IP地址轉發分組。這意味著所有較高層協議可以透明地穿過該橋。該橋將被將被隧穿的各個客戶機物理聯網接口所需要。該橋還將被服務器所需要以橋接虛擬接口,換句話說,旁路服務器本身的操作系統接口驅動器;例如,用以使能加密連接上的加密。服務器橋為包括很多客戶機節點160的各VLAN或VL認組所要求。Stunnel可以在客戶機和中央服務器兩者上實現以分別請求和創建SSL連接。因而,Stunnel允許在SSL內對任意TCP連接進行加密以提供VLAN隧道頂部的各種SSL隧道。VTun可以在客戶機上使用以將物理接口與由vtun會話建立的虛擬接口相綁定。這通過調用反饋接口且然后調用SUrnnel完成。服務器上的Vtun在第2層將新隧道綁定在一起以創建很多虛擬以太網。Vtun服務器的單個實例運行單個配置文件,該配置文件定義VLAN/橋接組的細節。圖4示出了在圖1的網絡體系結構(100)之上實現的星形連接網絡400。星形連接網絡400具有作為其星形連接點的中央服務器節點410,每個客戶機節點460使用諸如SSL會話490的加密連接而連接到服務器節點410。軟件模塊480安裝在每個客戶機節點460上且其包括各種軟件和/或硬件工具(例如修改的個人防火墻和/或apache網絡服務器)以實現加密會話(例如Sturmel)且限制從客戶機通信端口到中央服務器的通信。在上述VL認實施方式中,軟件模塊480還包括Brctl和Vtun以在第2層實現VLAN體系結構以在星形連接網絡配置內優化客戶機節點和服務器節點410之間的通信。中央服務器410還包括相應的軟件模塊485,在該實施方式中,該軟件模塊包括SUmnel、Brctl和Vtun以實現SSL會話490和用于實現星形連接網絡400的第二層VLAN體系結構。該圖示出了通過分立的SSL連接490(概括地由標號495示出)經由服務器節點410進行的兩個客戶機節點460r和460y之間的通信。盡管描述了VLAN方法用于與現有的基于Linux軟件工具一起來實現現有因特網450a和其他網絡450b之上的星形連接網絡400,但也可以使用各種另選的方法。例如,對于小型星形連接網絡400,可以簡單地在因特網或L認上實現SSL連接490而不使用VL緒。在這種情況下,Stunnel或某些其他基于VPN的技術可以被添加到客戶機節點和服務器節點以實現SSL連接。在又一另選中,可以使用另選的基于VPN的技術,諸如點對點隧道協議(PPPTP)、第二層隧道協議(L2TP)、L2TPv3,多協議標簽交換(MPLS)和第二層轉發(L2F)協議。而且,盡管提到了適于在本實施方式中實現的各種特定軟件包,但技術人員將熟悉可以另選地不經修改或經過微小修改而使用的來自開源或專利資源(ProprietarySource)的其他軟件包。TPM170可用于加強安全策略,使得客戶機節點160上的外部通信必須只能與VI服務器節點110進行。TPM通常將要求客戶機節點的用戶為進行VI訪問而向TPM認證其自身。這可以使用密碼和/或從用戶測量的生物參數來完成。在參照圖1至圖3描述的實施方式中,KeyNot,策略引擎可以與使用iptable的防火墻一起使用。iptable通常是靜態和固定且復雜的。然而,在某些實施方式中,它們可以動態地操縱。為使得管理更加容易,安全策略以基本格式陳述,且然后在運行時間被解釋和執行。KeyNote對照一組策略處理正確格式化的査詢。可以在授權人、許可人、條件和簽名方面實現策略。授權人是具有創建所有策略的權力的實體(服務器節點110的運營商以及因此虛擬網絡100的運營商)的公鑰。其被安全存儲在服務器TPM170中并且可以或者另選地被硬編碼進服務器110代5馬,使得攻擊者不能代之以其自身密匙。給定策略的許可人是準許進行訪問的用戶的公鑰,其通過TPM產生。條件將判斷準予訪問的用戶的必要條件,例如策略的唯一標識符、策略的有效周期、用戶被允許訪問的應用。簽名字段是使用授權人私鑰簽署的策略的內容的數字簽名。其是TPM私鑰,且僅能夠由該特定服務器節點或特定專用遠程節點上的密匙簽署。策略引擎讀取客戶機公鑰,且查詢策略以得出允許客戶進行什么訪問。所述查詢包括客戶機公鑰;應用的名稱;當前時間;調用的策略(每個策略必須被單獨調用)的列表。這些細節能夠由上下文處理器在提交査詢之前建立。策略引擎然后返回允許的資源/行為的列表。針對策略引擎130的査詢的準備由上下文處理器125進行,該上下文處理器125從SSL服務器120檢索要求的信息且進行適當的轉換。類似地,當從策略引擎130檢索到允許的行為/資源的列表時,上下文處理器125將其轉換為用于更新防火墻115的iptable。圖5示出了修改的SSL連接建立方法,其中使用客戶機裝置上的TPM工具以及VI服務器上的相應硬編碼密匙。客戶機最初向服務器發送SSL客戶機問候消息(505)。該消息包括客戶機節點160的TPM170產生的隨機數據。該消息還包括標準SSL握手信息,諸如最高SSL版本、支持的密碼、數據壓縮方法和會話ID。該客戶機問候消息被SSL服務器120接收且以本領域技術人員己知的常規方式處理。另外,使用預定密匙和算法處理該隨機數據,該預定密匙和算法可以被硬編碼到SSL服務器120中,或者單獨但是安全地存儲在中央服務器110的TPM170上。這種經處理的隨機數據然后被包括在響應于客戶機問候消息而發送到客戶機節點的服務器問候消息中(510)。如所知的,服務器問候消息通常還包含所選SSL版本、所選密碼、所選數據壓縮方法以及分配的會話ID。該消息被客戶機節點接收,且處理的隨機數據可用作后續認證處理的一部分。服務器然后轉發數字證書,該數字證書包括CA簽署的公鑰(515)。服務器的公鑰通常被硬編碼進SSL服務器代碼使得惡意實體不可能改變它。客戶機節點160接收服務器證書,且使用存儲在其TPM170上的私鑰進行認證。這通常要求TPM進行用戶認證以確定用戶的身傷、例如由用戶在客戶機節點160鍵入密碼或進行其他登陸過程來進行該認證。客戶機160然后從其TPM170檢索其自己的數字證書,該數字證書由CA簽署。包括客戶機公鑰和認證簽名的該證書被發送到服務器(520)。服務器以已知的方式認證客戶機證書。客戶機節點160和SSL服務器120然后協商會話密匙(525),這通常利用Diffe-Hellman交換,使用在客戶問候消息中最初發送的隨機數據進行。在會話密匙同意之后,如通常一樣,可以進行客戶機和服務器之間的加密數據傳輸(530)。圖6示出了另選實施方式,其中中央服務器功能分布在多個中央服務器C1、C2、C3和C4之間。這些中央服務器彼此互連。因為中央服務器操作以提供虛擬企業內部網(VI),此后它們將被^^為VI中央控制服務器C1-C4。圖6還示出了多個局部外圍客戶機節點P1-P8。因為在外圍節點之間具有各種直接連接,各外圍節點具有到VI服務器節點的至少兩個直接連接;然而,在圖6中,為清晰起見,僅示出了用于三個外圍節點P1、P2和P3的連接。VI服務器部分地或者完全網格化,B卩,每個VI服務器連接到多于兩個的其他VI服務器以引入更多的可靠性和冗余,使得可以實現高可用性和負載均衡。而且,每個外圍節點直接連接到至少兩個VI服務器,一個是缺省服務器,另一格是備份服務器。因此,在圖6中,可以看出,Pl、P2和P3分別具有缺省中央服務器C1、C2和C3以及備份中央服務器C2、C1和C3。執行如上所述的VI服務器功能所要求的信息在VI服務器的整個網絡分布。變型例在很多情況下,網絡具有分開的控制平面和數據平面是有利的。這可以幫助改善網絡的性能(在傳輸數據的速度方面)且改善網絡的安全性(通常當客戶被限制為僅使用數據平面時,惡意客戶更加難以訪問控制平面)。在本實施方式的虛擬企業內部網中,這可以以下面的方式(再次參考圖6作為示例網絡)(一定程度地)實現。在系統引導期間,網絡將使用諸如0SPF的傳統IGP基于當前網絡拓撲而收斂。由此,每個VI服務器能夠計算所有外圍節點對之間的路徑。另外,常規遠程訪問技術可用于準許遠程和/或移動節點(例如,雇員的家用PC或者膝上電腦)使用諸如RADIUS的常規遠程訪問協議連接到中央控制配置。當任意外圍節點希望連接到另一外圍節點以獲取某一服務或應用時,即使在一些外圍節點對之間存在直接鏈路,在沒有從分布式中央VI控制服務器功能獲得授權的情況下,也不允許它們形成直接連接。因此,代替地,進行請求的外圍節點必須發送初始請求到其缺省VI服務器,供其考慮。例如,假設P1希望連接到P3,它必須發送請求到其缺省控制節點Cl,Cl能夠認證Pl且基于本地存儲的安全策略調查Pl是否具有特權來使用請求的服務。在授權處理之后,Cl開始發送請求信息到目的地外圍節點P3。Cl知道C3是用于P3的缺省VI服務器且當前啟動并運行。因為IGP協議,Cl知道怎樣經由直接鏈路(或者如果不存在直接連接,則經由其他中間VI服務器)發送請求到C3。C3然后可以將該請求轉發到P3。如果P3能夠處理該請求,它發送"請求接受"消息到C3且C3繼續將其傳遞到C1,且然后C1能夠開始針對每個中間節點(中間節點可以是,并且在本示例中是,所有客戶機節點)的查詢處理,以確保它們具有足夠的資源來提供發送服務。最后,Cl發送"請求接受"消息到P1,且告知其到P3的路由。Pl能夠啟動與P2的對話,告知P2下面的分組的目的地是P3。因為P2受C2命令向P1提供發送服務,所以它可以從P1接收分組且向P3轉發所有的分組。優選地,為實現這點,通過安全的方式,例如安全傳輸層(TLS)協議或安全套接字層(SSL)協議,所述分組以使用合適協議的加密形式發送。這類似于如上所述的主實施方式,只不過此處不是具有兩個分離的SSL連接,而是僅具有可能橋接一個或更多個中間節點的一個這種連接,而且與主實施方式的情況不同,不需要任意中間節點來進行加密和解密,僅所述兩個通信節點需要進行加密和解密。實際上,即使連接經由VI服務器節點(或者非分布式實施方式中的單獨的服務器節點),通過不使(多個)VI服務器節點作為兩個分離SSL連接的端點進行解密和加密,也會節省(多個)VI服務器節點的相當可觀的處理資源。而且,一旦建立了授權連接,就避免了VI服務器節點或中心防火墻(例如,形成中心控制配置的一部分的防火墻)對每個到來的分組進行深度分組檢查的需要,這同樣節省了中心控制配置的處理資源。一旦建立了"直接"連接,就免除了對中心控制配置的繁重的處理要求,特別是加密/解密以及優選地深度分組檢查,這里的"直接"連接特征化了作為本說明書中使用的術語"直接連接",不是指單獨的分組在目的周圍節點之間的發送中不經過中間節點(特別是當它們作為路由器或開關運行時等)。如上所述的資源協商和預留處理是典型的,如果目的地客戶機不能處理請求或不能提供所要求的服務,則進行請求的客戶機被告知這點(且其可以判定怎樣完成它,例如,稍后再試一次或者試圖發現另選源);另選地,如果中間節點不能提供所要求的發送資源,可以尋覓另選路由。例如,如果P3不能滿足作為服務提供方的請求,它發送"請求拒絕"消息到C3,且隨后C3將其轉發到C1且C1告知P1。另夕卜,如果諸如P2的任意中間客戶機不能提供用于P1的發送服務,它們告知它們自己的缺省VI服務器(例如,P2將告知其缺省服務器C2且C2將傳遞該信息到Cl)。協同服務器(即用于該請求客戶機的缺省服務器,在本示例中即為Cl)然后可以通過運行IGP或某些其他類似的路由發現協議試圖發現另選路徑(例如用于P1到達P3),且最終可以獲得另選路徑(諸如P1-P4-P3)且然后進行與上述處理類似的處理。一般而言,諸如網絡路由信息、請求初始化、認證、授權、系統登錄、安全策略管理等的控制信息全部由VI服務器(分布式或非分布式)處理。客戶流量通常通過中間客戶機分發。通過避免與控制流量相比量相對大的客戶流量(數據)經由VI服務器,這幫助緩解了VI服務器的負載,這還具有顯著減小了經由客戶數據平面發起的拒絕服務(DoS)攻擊的可能性的安全益處。DoS攻擊即通過發送大量數據試圖淹沒VI服務器,但是因為僅經過授權(并且僅可能是經TPM檢查為未被攻陷的(uncompromised)授權設備)才被允許發送數據,所以受Dos攻擊的風險比較低。再者,通過減小VI服務器的工作負荷,其對這樣的DoS攻擊將更加魯棒,該DoS攻擊包括未授權設備在實際沒有任何希望或者意圖來發起連接或發送任何數據的情況下試圖發起連接。使用TPM防止外圍節點不經控制配置的授權而彼此建立直接連接的一種方法是規定一個節點僅在被中央控制配置授權并且進行連接的節點提供的證明正確地將該節點認證為標識的節點時,該節點才允許從不同于中央控制配置的任意其他節點進行到它們的進入直接連接(即它們僅僅完成到它們的到來的直接連接)。能夠使用進行連接的節點的TPM來提供這些受信任證明。使用這種布置,系統管理員能夠進行布置使得最敏感設備(例如,存儲公司敏感信息的文件服務器)僅被合法且未被攻陷的設備接觸;通常,諸如文件服務器的設備本身一般不需要建立連接,使得它們幾乎沒有不經意地接觸可能危及安全的機器的風險,即使較不重要的節點(例如雇員的膝上電腦)將變得危及安全且允許從未授權設備進行與其的連接或者試圖進行未授權連接這樣的風險也不會引起(像未授權設備能夠啟動與其不受損害對于公司安全很重要的未被攻陷的節點的未授權連接那樣的)大的安全威脅。可以代替更常規的TPM的使用,或者在更常規的TPM的使用之外,來進行這一點,以確保設備正直性不被運行在設備上的軟件的未授權添加或修改而被攻陷。力薪週微因為虛擬企業內部網絡服務器體系結構基于針對其服務的所有客戶機的虛擬星形拓撲,所以設備之間的所有通信必須經過虛擬企業內部網絡服務器。因此,如果VI服務器在所有隧道端點執行"深度分組檢測",則虛擬網絡中的每一個單個流可以被檢測、記錄,且在需要時被報告或甚至阻擋。隨著隧道終止且解封裝的底層兩個分組被呈現給使用虛擬接口為虛擬L認網段,此時,將使用軟件入侵檢測系統(IDS)庫對分組進行檢測且重建到TCP流中。隨著各新的隧道被建立,新的IDS處理將被調用,因而確保所有連接被監控。該功能是極其有用的,因為它可用于信息交易和每個客戶機的行為的內部監控。例如,其可以被配置以向系統管理員發出警報以例如指示正發生某些異常行為,諸如發送大量文檔、在工作時間之外頻繁地訪問系統或者在沒有必要授權等的情況下試圖猜出密碼等。每個VI服務器被基于簽名的入侵檢測系統保護,該系統在識別已知攻擊方面是十分精確的,然而其不能認出任意新類型的攻擊。在VI基礎設施中,VI服務器可以是中央點,攻擊者可以在該中央點發起各種攻擊。例如,惡意人員能夠使用低速DDoS攻擊技術,其通過以較低速度(即每秒小于5個分組)發送請求但是要求較大計算工作量來處理諸如認證、訪問控制等。這是一種協同行為,其試圖隱藏其攻擊網絡的意圖且一般會被IDS系統忽視,但是目的在于使VI服務器的計算能力過度負荷從而劣化其性能。當一個VI服務器識別到諸如大量無效認證、丟失分組等某些異常時,它開始分析所有這種請求的行為且創建針對這些分組的基本模式,諸如報頭、源地址、目的地地址、有效載荷、消息等。在直接的情況,可以創建用于攻擊的新的簽名并警告網絡管理員進行人工分析。在人工確認之后,其然后將新的簽名廣播到所有VI服務器并要求它們更新自己的簽名數據庫。否則,它將發送可疑行為的摘要到所有VI服務器,并獲得響應。然后,它可以使用某些"事件相關技術"創建用于新攻擊的簽名或將其處理為故障警報。一般而言,每個VI服務器在正常情況中本地保存其所有系統登陸信息,取決于操作要求,數據將在VI服務器上存儲固定時間(即3天),然后將過期的數據傳輸到本地存儲盤或存儲網絡。因為VI服務器提供整個網絡服務且網絡上的每個點都由上述處理監控,因而能夠實現更高質量的威脅評估和異常檢測。技術人員將意識到,上述設備和方法可以實施為諸如盤、CD或DVD-ROM的載體介質、諸如只讀存儲器(固件)的編程存儲器或者諸如光學和電學信號載體的數據載體上的處理器控制代碼。對于很多應用,本發明的實施方式將實現在DSP(數字信號處理器)、AS工C(特定用途集成電路)或FPGA(現場可編程門陣列)上。因而,所述代碼可以包括常規編程代碼或微代碼或者例如用于建立或控制ASIC或FPGA的代碼。所述代碼還可以包括用于動態配置諸如可再編程邏輯門陣列的可再配置設備的代碼。類似地,所述代碼可以包括用于硬件描述語言(諸如Verilog或VHDL(超高速集成電路硬件描述語言))的代碼。技術人員將意識到,所述代碼可以分布在多個彼此通信的耦合組件之間。當合適時,實施方式還可以使用運行在現場可(再)編程模擬陣列或類似裝置上的代碼實現以配置模擬硬件。技術人員還將意識到,一般地,根據上述教導,各種實施方式及針對它們描述的具體特征將可以與其他實施方式或其具體描述的特征自由組合。技術人員還將認識到,可以針對描述的具體示例做出各種另選和修改而不偏離所附權利要求的范圍。權利要求1、一種具有中心控制配置和許多外圍節點的星形連接網絡,其中各外圍節點在其能夠在網絡上建立的直接通信的類型方面被限制為能夠使用各自的加密連接建立與所述中心控制配置的直接通信,但是不能直接建立與任何其他外圍節點的連接,除非至少該外圍節點或相應的目標外圍節點從所述中心控制配置接收到了建立或完成所述直接通信的明確授權;以及其中所述中心控制配置包括用于建立與各外圍節點的加密連接的裝置;用于使用兩個或更多個各自的加密連接與兩個或更多個外圍節點交換控制分組,從而在兩個外圍節點之間建立授權連接的裝置;數據庫,其用于存儲規定外圍節點之間可允許什么連接的安全策略信息;以及授權裝置,其用于使用所述控制分組交換裝置基于所存儲的安全策略信息對可允許的連接進行授權。2、根據權利要求1的網絡,其中所述中心控制配置的功能分布在多個中心控制服務器節點之間。3、根據權利要求1或2的網絡,其中所述用于建立與各外圍節點的加密連接的裝置包括虛擬專用網絡服務器,其被配置為通過防火墻接收所有分組,所述防火墻會丟棄所有分組,除非所述分組指向或源于所述中心控制配置,或者與兩個外圍節點之間的明確授權的連接相關,其中所述直接授權連接通過所述虛擬專用網絡服務器進行。4、根據權利要求3的網絡,其中所述中心控制配置包括攻擊檢測模塊,其可操作對未能被授權的連接嘗試進行分析并且嘗試檢測這樣的未能被授權的嘗試中的任何模式。5、根據前述權利要求的任何一個權利要求的網絡,其中各外圍節點包括安全存儲在防篡改硬件模塊中的認證信息,用于對建立與所述中心控制的加密連接或在來自所述中心控制配置的明確授權之后與外圍節點的加密連接進行認證。6、根據權利要求4的網絡,其中所述中心控制配置包括安全策略引擎,其包括高級引擎,該高級引擎響應于接收到建立了與所標識的客戶機對應的虛擬專用網絡的建立的指示的上下文處理器提供的客戶機標識和多個會話參數而返回準許或拒絕判定,所述上下文處理器將所返回的決定處理為對應的更新規則。7、根據權利要求6的網絡,其中所述會話參數包括源和目的地網絡地址,以及端口號。8、根據權利要求7的網絡,其中所述會話參數還包括,應用程序標識,所述應用程序標識用于標識希望發起所述連接的所述應用程序或者應用程序類型。9、根據前述權利要求的任何一個權利要求的網絡,其中使用虛擬局域網在一個或更多個互連分組交換網狀網絡上實現所述星形連接網絡,來支持所述加密連接。10、一種用于具有許多外圍節點的星形連接網絡的中心控制配置;所述中心控制配置包括用于建立與各外圍節點的加密連接的裝置;用于使用兩個或更多個各自的加密連接與兩個或更多個外圍節點交換控制分組,從而在兩個外圍節點之間建立授權連接的裝置;數據庫,其用于存儲規定可允許外圍節點之間什么連接的安全策略信息;以及授權裝置,其用于使用所述控制分組交換裝置基于所存儲的安全策略信息對可允許的連接進行授權。11、一種操作具有中心控制配置和多個外圍節點的星形連接網絡的方法;該方法包括將網絡上的通信限制為所述中心控制配置與外圍節點之間使用各自的加密連接的通信,除非所述外圍節點從所述中心控制配置接收到了建立另一連接的明確授權;建立兩個或更多個外圍節點與所述中心控制配置之間的加密連接;使用兩個或更多個各自加密連接與兩個或更多個外圍節點交換控制分組,以建立兩個外圍節點之間的授權連接;存儲規定允許在外圍節點之間的什么連接的安全策略信息;以及基于所存儲的安全策略信息授權可允許的連接,并且從所述中心控制配置向相應的外圍節點發送對應的授權消息。12、一套用于執行權利要求ll所述方法的計算機程序。13、有形數據存儲裝置,其用于存儲一個或多個權利要求12所述的計算機程序。全文摘要本發明提供了一種具有中央控制配置(C1-C4)和多個外圍節點(P1-P8)的星形連接網絡(C1-C4,P1-P8)。每個外圍節點具有這樣的裝置,該裝置將網絡上的通信限制為使用相應加密連接與該中央控制配置,除非該外圍節點從該控制配置接收了與另一外圍節點建立直接連接的明確授權。該中央控制配置包括用于建立與各外圍節點的加密連接的裝置;使用兩個或更多各自的加密連接在兩個或更多個外圍節點之間交換控制分組以在兩個外圍節點之間建立授權連接的裝置;用于存儲指定外圍節點之間的何種連接被允許的安全策略信息的數據庫;以及使用該控制分組交換裝置根據存儲的安全策略信息授權可允許的連接的授權裝置。文檔編號H04L29/06GK101543004SQ200780043053公開日2009年9月23日申請日期2007年11月20日優先權日2006年11月20日發明者何利文,克里斯多佛·拉瑟福德,布賴恩·利特萊法爾,托馬斯·馬丁,迪內希·卡拉特申請人:英國電訊有限公司