專利名稱:語義完整的tcp連接隔離與控制方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域的方法和系統(tǒng)�����,具體是一種語義完整 的TCP連接隔離與控制方法和系統(tǒng)。
背景技術(shù):
隨著信息技術(shù)和網(wǎng)絡(luò)互聯(lián)技術(shù)的發(fā)展�,網(wǎng)絡(luò)與信息安全問題日益突出。由于 網(wǎng)絡(luò)攻擊方法和黑客技術(shù)不斷提高和發(fā)展�,普通網(wǎng)絡(luò)安全產(chǎn)品無法滿足重要網(wǎng)絡(luò) 和數(shù)據(jù)的安全需求。對于金融����、政府和科研機(jī)構(gòu)等對網(wǎng)絡(luò)安全有高等級要求的用 戶,它們往往是建立一個專用內(nèi)部網(wǎng)絡(luò)��,和公網(wǎng)之間采用物理或邏輯隔離�。這就 給不同信任域之間的信息交換帶來了不便,各種隔離技術(shù)應(yīng)運(yùn)而生�。
物理隔離技術(shù)(GAP技術(shù))最早由美國、以色列提出�,該技術(shù)利用專用硬件使 兩個網(wǎng)絡(luò)在不連通的情況下實(shí)現(xiàn)數(shù)據(jù)安全傳輸和資源共享,己被美國�����、以色列等 的軍政�����、航天�����、金融等要害部門以及其它電子政務(wù)網(wǎng)絡(luò)廣泛采用���。
國外有Whale公司的e-Gap系統(tǒng)�、Spearhead公司的NetGAP等����,國內(nèi)有北 京天行網(wǎng)安的天行安全隔離網(wǎng)閘(Topwalk-GAP),北京京泰的京泰安全信息交流 系統(tǒng)(安全網(wǎng)閘)����。Whale公司將e-Gap系統(tǒng)定位為應(yīng)用層的防護(hù)設(shè)備,該產(chǎn)品 通過隔離服務(wù)器�、數(shù)據(jù)暫存區(qū)、隔離開關(guān)(Air Gap Switch),并結(jié)合應(yīng)用層安 全控制來達(dá)到整體安全�。它集成了加密技術(shù)、授權(quán)認(rèn)證�����、PKI���、 HTTP鏡像���、規(guī)則 過濾��、Air Gap (空氣隔離)等技術(shù)構(gòu)成軟硬一體化安全平臺��。Spearhead公司 的NetGAP直接連接兩個網(wǎng)絡(luò)����。通過插在PCI槽的安全電路板與LVDS總線一起實(shí) 現(xiàn)了 "Reflective GAP"技術(shù)��,每個安全電路板包含一對雙開關(guān)結(jié)構(gòu)�����,雙開關(guān)結(jié) 構(gòu)確保了在兩個網(wǎng)絡(luò)之間鏈路層隔斷��。數(shù)據(jù)包從外網(wǎng)傳至內(nèi)網(wǎng)需要經(jīng)歷會話終 止���、剝離數(shù)據(jù)���、編碼、惡意代碼掃描���、傳輸恢復(fù)���、會話再生等過程,確保內(nèi)網(wǎng)的 安全性����。由于NetGAP對外部與內(nèi)部服務(wù)器的會話請求進(jìn)行規(guī)則過濾后重組,所 以出現(xiàn)過安全漏洞��,如過濾規(guī)則可被特殊編碼攻擊代碼繞過漏洞��,外部黑客可通過特殊URL組合穿過NetGAP拒絕規(guī)則而訪問內(nèi)部Web服務(wù)器�。
TCP連接容易導(dǎo)致很大的安全問題,很多網(wǎng)絡(luò)攻擊���,如序列號攻擊等��,都是 針對TCP連接的攻擊����。因此���,幾乎所有的網(wǎng)絡(luò)隔離技術(shù)和系統(tǒng)����,都不允許TCP連 接直接穿透所連接的內(nèi)網(wǎng)和外網(wǎng)。經(jīng)研究和分析發(fā)現(xiàn)����,TCP連接能夠在內(nèi)外網(wǎng)間 得到阻斷,但是TCP連接的語義完整性無法得到保證�。具體原因如下
要實(shí)現(xiàn)網(wǎng)絡(luò)隔離,需要存在兩個網(wǎng)絡(luò)處理單元(這里分別稱為內(nèi)網(wǎng)處理單元����、 外網(wǎng)處理單元)。假定由內(nèi)網(wǎng)的一個客戶端向外網(wǎng)的服務(wù)器發(fā)起一個TCP連接����, 原有網(wǎng)絡(luò)隔離系統(tǒng)幾乎都使用如下方法進(jìn)行TCP連接的隔離與控制內(nèi)網(wǎng)處理單 元先代替外網(wǎng)服務(wù)器和內(nèi)網(wǎng)的客戶端通過三次握手過程完成TCP連接的建立,然 后網(wǎng)絡(luò)隔離系統(tǒng)基于內(nèi)網(wǎng)客戶端和所連接的外網(wǎng)服務(wù)器的各種特征判斷是否應(yīng) 該支持該服務(wù)器和客戶端的信息交換�,如果能夠進(jìn)行信息交換,則內(nèi)網(wǎng)處理單元 將客戶端信息和所連接的服務(wù)器信息通過對應(yīng)的隔離交換技術(shù)傳輸?shù)酵饩W(wǎng)處理 單元���,外網(wǎng)處理單元模擬客戶端向外網(wǎng)服務(wù)器發(fā)起TCP連接請求��,連接建立后���,
就可以進(jìn)行相應(yīng)的數(shù)據(jù)隔離和信息交換了。
從上述的TCP連接的隔離和數(shù)據(jù)交換的過程中可以看出,如果客戶端發(fā)起 TCP連接最終能夠形成數(shù)據(jù)隔離交換通路�,TCP連接的語義完整性就沒有問題。 如果最終的TCP連接沒有形成對應(yīng)的隔離交換通路����,則TCP連接的語義完整性就 不能得到保證�����。假如外網(wǎng)服務(wù)器目前處于關(guān)機(jī)狀態(tài)���,外網(wǎng)處理單元代替客戶端向 外網(wǎng)服務(wù)器不能完成三次握手過程�����,也不能成功建立起TCP連接�。這時候�,外網(wǎng) 處理單元只能告知內(nèi)網(wǎng)處理單元對服務(wù)器連接失敗,這時候內(nèi)網(wǎng)處理單元只能關(guān) 閉與客戶端已經(jīng)建立起來的TCP連接���,或者通過超時等機(jī)制自動關(guān)閉TCP連接�����。 這樣對內(nèi)網(wǎng)的客戶端而言��,它不能理解為何TCP連接已經(jīng)成功建立�,又要被"服 務(wù)器"主動關(guān)閉,如果是服務(wù)器關(guān)閉����,TCP握手過程就應(yīng)該不能成功,而現(xiàn)在握 手過程成功后��,還沒有進(jìn)行信息傳遞就已經(jīng)關(guān)閉了���。這就是語義完整性��,也就是 說這種TCP連接隔離與控制方法會破壞TCP連接的完整性����。
發(fā)明內(nèi)容
本發(fā)明針對現(xiàn)有技術(shù)中存在的上述不足�,提供一種語義完整的TCP連接隔離 與控制方法和系統(tǒng),使其既可實(shí)現(xiàn)TCP連接的安全隔離�����,也能保證TCP連接語義 完整的網(wǎng)絡(luò)安全隔離系統(tǒng)���。本發(fā)明解決了上述網(wǎng)絡(luò)安全隔離系統(tǒng)不能保證TCP連接語義完整性的不足�,能夠支持各種基于TCP協(xié)議的網(wǎng)絡(luò)應(yīng)用,對客戶端呈現(xiàn)出 連接和數(shù)據(jù)交換許可一致的TCP連接特征�,即如果能夠建立TCP連接,就能完成 基于TCP的數(shù)據(jù)交換���。
本發(fā)明是通過如下技術(shù)方案實(shí)現(xiàn)的
本發(fā)明所述的語義完整的TCP連接隔離與控制方法,其中的網(wǎng)絡(luò)隔離和數(shù)據(jù) 交換分為兩個階段完成�����, 一是TCP連接建立階段���,二是應(yīng)用層數(shù)據(jù)控制和交換階 段����。在TCP連接建立階段��,需要修改網(wǎng)絡(luò)隔離系統(tǒng)中的操作系統(tǒng)協(xié)議棧��,更改 TCP連接的建立流程����。
當(dāng)內(nèi)網(wǎng)向外網(wǎng)發(fā)起TCP連接請求時,處理步驟如下
內(nèi)網(wǎng)處理單元的TCP協(xié)議棧在收到客戶端發(fā)來的SYN報文后,并不立即 向客戶端回復(fù)ACK/SYN報文����,而是將該SYN報文各種通信特征(如客戶端地址、 端口等)提取出來�。
*基于從SYN報文提取出的通信特征判斷是否滿足既定的安全策略,如不 滿足既定安全策略���,則終止報文處理(相當(dāng)于阻斷了該TCP連接建立過程)���,同 時進(jìn)行相應(yīng)的審計操作。
*若滿足既定的安全策略���,則將SYN報文的通信特征通過內(nèi)外處理單元的 安全數(shù)據(jù)通道發(fā)送到外網(wǎng)處理單元�����。
*外網(wǎng)處理單元接收到內(nèi)網(wǎng)處理單元發(fā)送來的SYN報文的通信特征�����,通過 修改的網(wǎng)絡(luò)協(xié)議棧生成相應(yīng)的SYN報文�����,發(fā)送到客戶端所要連接的服務(wù)器及對應(yīng) 端口�����,所生成的SYN報文不要求與客戶端發(fā)到內(nèi)網(wǎng)處理單元的SYN報文的序列號 相同����。
*外網(wǎng)處理單元等待外網(wǎng)的服務(wù)器發(fā)送回來的二次握手SYN/ACK報文,若 接收到相應(yīng)的二次握手報文���,則提取出該報文的通信特征���,然后基于內(nèi)外網(wǎng)處理 單元的安全數(shù)據(jù)通道將該通信特征發(fā)送到內(nèi)網(wǎng)處理單元��。
內(nèi)網(wǎng)處理單元在收到外網(wǎng)處理單元發(fā)送來的二次握手報文特征后��,根據(jù) 前面從客戶端接收到的SYN報文�����,生成相應(yīng)的二次握手報文發(fā)送到內(nèi)網(wǎng)的客戶 端����。
內(nèi)網(wǎng)處理單元等待內(nèi)網(wǎng)的客戶端發(fā)送回來的三次握手ACK報文�����,若接收 到相應(yīng)的三次握手報文�,則表明內(nèi)網(wǎng)處理單元已經(jīng)代替外網(wǎng)的服務(wù)器與客戶端建立起TCP連接���,同時提取出該報文的通信特征�����,然后基于內(nèi)外網(wǎng)處理單元的安全 數(shù)據(jù)通道將該通信特征發(fā)送到外網(wǎng)處理單元�。
外網(wǎng)處理單元根據(jù)收到的內(nèi)網(wǎng)處理單元發(fā)送來的三次握手報文特征�,基
于前面的一次和兩次握手報文,生成對應(yīng)的三次握手ACK報文����,發(fā)送到外網(wǎng)服務(wù) 器的對應(yīng)端口。
當(dāng)外網(wǎng)向內(nèi)網(wǎng)發(fā)起TCP連接請求時����,對應(yīng)的處理步驟與內(nèi)網(wǎng)至外網(wǎng)的處理步
驟類似,只是內(nèi)網(wǎng)處理單元功能和外網(wǎng)處理單元功能對調(diào)一下�����。
至此,內(nèi)網(wǎng)處理單元代替外網(wǎng)服務(wù)器與內(nèi)網(wǎng)客戶端建立起了TCP連接���,外網(wǎng) 處理單元代替內(nèi)網(wǎng)客戶端與服務(wù)器建立起了 TCP連接�����,這兩個TCP和內(nèi)網(wǎng)間的安 全數(shù)據(jù)通道一起構(gòu)成了一個應(yīng)用層數(shù)據(jù)交換通路�,依據(jù)對應(yīng)的安全策略開始第二 階段����,即應(yīng)用層數(shù)據(jù)控制和交換階段。
應(yīng)用層數(shù)據(jù)控制和交換階段的數(shù)據(jù)處理步驟如下
第一個網(wǎng)絡(luò)處理單元從網(wǎng)絡(luò)協(xié)議棧中接收數(shù)據(jù)包�����,分析出應(yīng)用層數(shù)據(jù)�����,
以及對應(yīng)的TCP連接參數(shù)(源�����、目標(biāo)地址�,端口等)。
將分析出的應(yīng)用層數(shù)據(jù)和TCP連接參數(shù)打包��,通過內(nèi)外網(wǎng)處理單元間的 安全數(shù)據(jù)交換通道���,發(fā)送到第二個網(wǎng)絡(luò)處理單元�。
*第二個網(wǎng)絡(luò)處理單元接收到第一個網(wǎng)絡(luò)處理單元發(fā)送來的應(yīng)用層數(shù)據(jù) 和TCP連接參數(shù)之后���,首先基于TCP連接參數(shù)判斷出該數(shù)據(jù)需要通過哪個TCP連 接發(fā)送出去�,然后通過該TCP連接將相應(yīng)的應(yīng)用層數(shù)據(jù)發(fā)送出去���。
本發(fā)明所述的語義完整的TCP連接隔離與控制系統(tǒng)���,包含如下模塊
TCP握手處理模塊主要用于保證語義完整的TCP握手過程,具體涉及三個 方面的內(nèi)容1)取消原有TCP協(xié)議握手報文的發(fā)送流程����;2)接收從網(wǎng)絡(luò)發(fā)來的 TCP握手報文,并提取相應(yīng)握手報文的特征信息��,并將握手報文的特征信息轉(zhuǎn)交 給應(yīng)用層協(xié)議處理模塊���;3)從應(yīng)用層協(xié)議處理模塊接收到有關(guān)另一端網(wǎng)絡(luò)發(fā)送 來的TCP握手報文的特征信息�,生成對應(yīng)的TCP握手報文發(fā)送出去。
TCP連接檢查模塊供應(yīng)用層協(xié)議處理模塊調(diào)用����,用于判斷客戶端向服務(wù)器 端發(fā)送的連接請求是否滿足既定安全策略的要求,應(yīng)用層協(xié)議處理模塊會根據(jù)該 模塊的判斷結(jié)果對TCP連接請求進(jìn)行相應(yīng)的處理����,即拒絕或允許。
應(yīng)用層數(shù)據(jù)檢查模塊供應(yīng)用層協(xié)議處理模塊調(diào)用�����,用于判斷客戶端向服務(wù)器端發(fā)送的應(yīng)用層數(shù)據(jù)是否滿足既定安全策略的要求��,應(yīng)用層協(xié)議處理模塊會根 據(jù)該模塊的判斷結(jié)果對應(yīng)用層數(shù)據(jù)進(jìn)行相應(yīng)的處理���,即拒絕應(yīng)用層數(shù)據(jù)交換或允 許應(yīng)用層數(shù)據(jù)交換����。
應(yīng)用層協(xié)議處理模塊該模塊完成兩個方面的功能����, 一是從TCP/IP協(xié)議棧 層接收協(xié)議數(shù)據(jù)或TCP握手報文的特征信息���,同時對協(xié)議數(shù)據(jù)進(jìn)行應(yīng)用層分析��, 分析出其中的通信特征�����,然后將對應(yīng)的特征信息交給TCP連接檢查模塊或應(yīng)用數(shù)
據(jù)檢査模塊�,若這些模塊判定滿足既定策略,則將這些特征信息和應(yīng)用層數(shù)據(jù)內(nèi)
容交給安全數(shù)據(jù)交換模塊通道�����,否則不進(jìn)行數(shù)據(jù)交換���,進(jìn)行相關(guān)安全審計��;二是 從安全數(shù)據(jù)交換通道獲得對應(yīng)報文特征信息和應(yīng)用層數(shù)據(jù)���,或交給TCP握手處理 模塊處理,或通過TCP/IP協(xié)議棧將應(yīng)用層協(xié)議和數(shù)據(jù)發(fā)送出去��。
安全數(shù)據(jù)交換通道模塊用于完成內(nèi)外網(wǎng)單元之間的安全�����、可靠的應(yīng)用層信 息交換,交換的內(nèi)容涉及以下三類應(yīng)用數(shù)據(jù)�,應(yīng)用層的協(xié)議特征信息,TCP握 手信息特征���。該模塊能夠保證所交換數(shù)據(jù)的可靠性得到保證����,不會出現(xiàn)數(shù)據(jù)丟失 的情況��。
從目前公開的資料看�����,現(xiàn)有的網(wǎng)絡(luò)隔離控制技術(shù)�����,主要在兩個層次上實(shí)現(xiàn) 1)網(wǎng)絡(luò)層的報文過濾和控制�����,該方式能夠保證TCP連接的語義完整性��,不會出 現(xiàn)服務(wù)器關(guān)閉時客戶端也能建立起TCP連接的情況�����,但是沒有進(jìn)行應(yīng)用層數(shù)據(jù)解 析�,同時也沒有阻斷TCP連接。2)基于應(yīng)用層代理機(jī)制的應(yīng)用層數(shù)據(jù)交換��,該 方式能夠進(jìn)行應(yīng)用層數(shù)據(jù)解析����,同時也能阻斷TCP連接,但不能保證TCP連接的 語義完整性��,可能會出現(xiàn)服務(wù)器關(guān)閉時客戶端也能建立起TCP連接的情況�。目前 還沒有發(fā)現(xiàn)即能實(shí)現(xiàn)應(yīng)用數(shù)據(jù)交換,又能保證TCP連接的語義完整性的方法或系 統(tǒng)�。
本發(fā)明方法和系統(tǒng)能夠隔離內(nèi)外網(wǎng)絡(luò)之間的TCP連接,進(jìn)行應(yīng)用層數(shù)據(jù)交 換���,保證信息交換的安全性�����,同時該系統(tǒng)能夠保證TCP的語義完整性����,不會出現(xiàn) 服務(wù)器關(guān)閉時客戶端也能建立起TCP連接的情況。修改TCP/IP協(xié)議棧中的握手 報文的處理步驟是保證TCP連接語義完整的物質(zhì)基礎(chǔ)和關(guān)鍵��,修改后TCP處理歩 驟保證收到SYN報文后�,不立即回復(fù)相應(yīng)的ACK報文,而是將該報文特征信息通 知到另外一個網(wǎng)絡(luò)處理單元���,由另外一個網(wǎng)絡(luò)處理單元重新生成該SYN報文�����,發(fā) 送到網(wǎng)絡(luò)上�,待另外一個網(wǎng)絡(luò)處理單元收到ACK后����,再由本協(xié)議棧生成對應(yīng)的報文。與已有的相應(yīng)技術(shù)相比�,該方法和系統(tǒng)不僅能夠隔離內(nèi)外網(wǎng)絡(luò)之間的TCP連 接,進(jìn)行應(yīng)用層數(shù)據(jù)交換����,也能夠保證TCP的語義完整性,不會出現(xiàn)服務(wù)器關(guān)閉 而客戶端也能建立起TCP連接的情況����。
圖1為本發(fā)明系統(tǒng)結(jié)構(gòu)框圖
具體實(shí)施例方式
下面結(jié)合附圖對本發(fā)明的實(shí)施例作詳細(xì)說明本實(shí)施例在以本發(fā)明技術(shù)方案 為前提下進(jìn)行實(shí)施�,給出了詳細(xì)的實(shí)施方式和具體的操作過程����,但本發(fā)明的保護(hù) 范圍不限于下述的實(shí)施例�。
如圖1所示,所述的語義完整的TCP連接隔離與控制系統(tǒng)�,其內(nèi)外網(wǎng)處理單 元上的模塊結(jié)構(gòu)是完全對等的,分別包括TCP握手處理模塊��、應(yīng)用層協(xié)議處理 模塊�����、TCP連接檢査模塊��、應(yīng)用數(shù)據(jù)檢査模塊�,以及涉及兩個處理單元的安全數(shù) 據(jù)交換通道模塊。
所述TCP握手處理模塊用于保證語義完整的TCP握手過程�,具體包括取消原 有TCP協(xié)議握手報文的發(fā)送流程;接收從網(wǎng)絡(luò)發(fā)來的TCP握手報文��,并提取相應(yīng) 握手報文的特征信息�,并將握手報文的特征信息轉(zhuǎn)交給應(yīng)用層協(xié)議處理模塊�;從 應(yīng)用層協(xié)議處理模塊接收到有關(guān)另一端網(wǎng)絡(luò)發(fā)送來的TCP握手報文的特征信息����, 生成對應(yīng)的TCP握手報文發(fā)送出去。
所述TCP連接檢査模塊供應(yīng)用層協(xié)議處理模塊調(diào)用����,用于判斷客戶端向服務(wù) 器端發(fā)送的連接請求是否滿足既定安全策略的要求,應(yīng)用層協(xié)議處理模塊會根據(jù) 該模塊的判斷結(jié)果對TCP連接請求進(jìn)行相應(yīng)的處理�����,即拒絕或允許�����。
所述應(yīng)用層數(shù)據(jù)檢查模塊供應(yīng)用層協(xié)議處理模塊調(diào)用�����,用于判斷客戶端向服 務(wù)器端發(fā)送的應(yīng)用層數(shù)據(jù)是否滿足既定安全策略的要求��,應(yīng)用層協(xié)議處理模塊會 根據(jù)該模塊的判斷結(jié)果對應(yīng)用層數(shù)據(jù)進(jìn)行相應(yīng)的處理��,即拒絕應(yīng)用層數(shù)據(jù)交換或 允許應(yīng)用層數(shù)據(jù)交換����。
所述應(yīng)用層協(xié)議處理模塊從TCP/IP協(xié)議棧層接收協(xié)議數(shù)據(jù)或TCP握手報文 的特征信息��,同時對協(xié)議數(shù)據(jù)進(jìn)行應(yīng)用層分析����,分析出其中的通信特征�,然后將 對應(yīng)的特征信息交給TCP連接檢查模塊或應(yīng)用數(shù)據(jù)檢查模塊��,若這些模塊判定滿 足既定策略����,則將這些特征信息和應(yīng)用層數(shù)據(jù)內(nèi)容交給安全數(shù)據(jù)交換模塊通道,否則不進(jìn)行數(shù)據(jù)交換����,進(jìn)行相關(guān)安全審計;應(yīng)用層協(xié)議處理模塊從安全數(shù)據(jù)交換 通道獲得對應(yīng)報文特征信息和應(yīng)用層數(shù)據(jù)���,或交給TCP握手處理模塊處理����,或通 過TCP/IP協(xié)議棧將應(yīng)用層協(xié)議和數(shù)據(jù)發(fā)送出去��。
所述安全數(shù)據(jù)交換通道模塊用于完成內(nèi)外網(wǎng)單元之間的安全、可靠的應(yīng)用層 信息交換��,交換的內(nèi)容涉及應(yīng)用數(shù)據(jù)�、應(yīng)用層的協(xié)議特征信息、TCP握手信息特 征�。
本實(shí)施例涉及到TCP/IP網(wǎng)絡(luò)協(xié)議棧的修改,因此選擇基于Li皿x操作系統(tǒng) 進(jìn)行實(shí)現(xiàn)�����,選用Linux的好處在于���,其TCP/IP協(xié)議棧實(shí)現(xiàn)的源代碼是公開的�����, 可以按照自己的需求進(jìn)行相應(yīng)的修改���,以完成本實(shí)施例中的TCP連接和控制的流 程。
具體的連接處理和數(shù)據(jù)交換的流程為
* 一網(wǎng)絡(luò)處理單元(記作A單元)的TCP握手處理模塊接收從網(wǎng)絡(luò)發(fā)來的 TCP握手報文�����,并提取相應(yīng)握手報文的特征信息,并將握手報文的特征信息轉(zhuǎn)交 給應(yīng)用層協(xié)議處理模塊�。
* A單元的應(yīng)用層數(shù)據(jù)檢查模塊從TCP/IP協(xié)議棧層接收協(xié)議數(shù)據(jù)或TCP握 手報文的特征信息,同時對協(xié)議數(shù)據(jù)進(jìn)行應(yīng)用層分析�����,分析出其中的通信特征�, 然后將對應(yīng)的特征信息交給TCP連接檢査模塊或應(yīng)用數(shù)據(jù)檢査模塊。
* A單元的TCP連接檢查模塊判斷客戶端向服務(wù)器端發(fā)送的TCP連接是否 滿足既定安全策略的要求��。
* A單元的應(yīng)用數(shù)據(jù)檢查模塊�����,判斷客戶端向服務(wù)器端發(fā)送的應(yīng)用層數(shù)據(jù) 是否滿足既定安全策略的要求��。
* A單元的應(yīng)用層數(shù)據(jù)檢査模塊根據(jù)TCP連接檢査模塊或應(yīng)用數(shù)據(jù)檢查模 塊的判斷結(jié)果對TCP連接或應(yīng)用層數(shù)據(jù)進(jìn)行相應(yīng)的處理����,即拒絕或允許TCP連接��、 應(yīng)用層數(shù)據(jù)交換�。若允許,將應(yīng)用層數(shù)據(jù)或TCP連接信息發(fā)送到安全數(shù)據(jù)交換通 道模塊�。
安全數(shù)據(jù)交換通道模塊將應(yīng)用層數(shù)據(jù)或TCP連接信息從A單元發(fā)送到另 一網(wǎng)絡(luò)處理單元(記作B單元)
* B單元的應(yīng)用層協(xié)議處理模塊從安全數(shù)據(jù)交換通道獲得對應(yīng)報文特征信 息和應(yīng)用層數(shù)據(jù),或交給TCP握手處理模塊處理�����,或通過TCP/IP協(xié)議棧將應(yīng)用層協(xié)議和數(shù)據(jù)發(fā)送出去。
* B單元的TCP握手處理模塊從應(yīng)用層協(xié)議處理模塊接收到有關(guān)另一端網(wǎng) 絡(luò)發(fā)送來的TCP握手報文的特征信息�,生成對應(yīng)的TCP握手報文發(fā)送出去。
本實(shí)施例經(jīng)在公安����、機(jī)要、電子政務(wù)網(wǎng)絡(luò)等重要部門的網(wǎng)絡(luò)中應(yīng)用����,測試和 試用初步表明本實(shí)施例既能保證隔離系統(tǒng)的應(yīng)用層數(shù)據(jù)交換的特性,又能夠 TCP連接的語義完整性和正確性���。
權(quán)利要求
1. 一種語義完整的TCP連接隔離與控制方法�,其特征在于���,分為兩個階段完成�,一是TCP連接建立階段�,二是應(yīng)用層數(shù)據(jù)控制和交換階段,其中所述TCP連接建立階段�����,當(dāng)內(nèi)網(wǎng)向外網(wǎng)發(fā)起TCP連接請求時,處理步驟如下●內(nèi)網(wǎng)處理單元的TCP協(xié)議棧在收到客戶端發(fā)來的SYN報文后��,并不立即向客戶端回復(fù)ACK/SYN報文���,而是將該SYN報文各種通信特征提取出來����;●基于從SYN報文提取出的通信特征判斷是否滿足既定的安全策略��,如不滿足既定安全策略��,則終止報文處理�,同時進(jìn)行相應(yīng)的審計操作;●若滿足既定的安全策略���,則將SYN報文的通信特征通過內(nèi)外處理單元的安全數(shù)據(jù)通道發(fā)送到外網(wǎng)處理單元;●外網(wǎng)處理單元接收到內(nèi)網(wǎng)處理單元發(fā)送來的SYN報文的通信特征���,通過修改的網(wǎng)絡(luò)協(xié)議棧生成相應(yīng)的SYN報文���,發(fā)送到客戶端所要連接的服務(wù)器及對應(yīng)端口,所生成的SYN報文不要求與客戶端發(fā)到內(nèi)網(wǎng)處理單元的SYN報文的序列號相同;●外網(wǎng)處理單元等待外網(wǎng)的服務(wù)器發(fā)送回來的二次握手SYN/ACK報文��,若接收到相應(yīng)的二次握手報文�����,則提取出該報文的通信特征��,然后基于內(nèi)外網(wǎng)處理單元的安全數(shù)據(jù)通道將該通信特征發(fā)送到內(nèi)網(wǎng)處理單元�����;●內(nèi)網(wǎng)處理單元在收到外網(wǎng)處理單元發(fā)送來的二次握手報文特征后���,根據(jù)前面從客戶端接收到的SYN報文�,生成相應(yīng)的二次握手報文發(fā)送到內(nèi)網(wǎng)的客戶端����;●內(nèi)網(wǎng)處理單元等待內(nèi)網(wǎng)的客戶端發(fā)送回來的三次握手ACK報文,若接收到相應(yīng)的三次握手報文��,則表明內(nèi)網(wǎng)處理單元已經(jīng)代替外網(wǎng)的服務(wù)器與客戶端建立起TCP連接����,同時提取出該報文的通信特征��,然后基于內(nèi)外網(wǎng)處理單元的安全數(shù)據(jù)通道將該通信特征發(fā)送到外網(wǎng)處理單元���;●外網(wǎng)處理單元根據(jù)收到的內(nèi)網(wǎng)處理單元發(fā)送來的三次握手報文特征,基于前面的一次和兩次握手報文���,生成對應(yīng)的三次握手ACK報文���,發(fā)送到外網(wǎng)服務(wù)器的對應(yīng)端口;至此����,內(nèi)網(wǎng)處理單元代替外網(wǎng)服務(wù)器與內(nèi)網(wǎng)客戶端建立起了TCP連接,外網(wǎng)處理單元代替內(nèi)網(wǎng)客戶端與服務(wù)器建立起了TCP連接�,這兩個TCP和內(nèi)網(wǎng)間的安全數(shù)據(jù)通道一起構(gòu)成了一個應(yīng)用層數(shù)據(jù)交換通路,依據(jù)對應(yīng)的安全策略開始第二階段��,即應(yīng)用層數(shù)據(jù)控制和交換階段����;所述應(yīng)用層數(shù)據(jù)控制和交換階段,其數(shù)據(jù)處理步驟如下●第一個網(wǎng)絡(luò)處理單元從網(wǎng)絡(luò)協(xié)議棧中接收數(shù)據(jù)包����,分析出應(yīng)用層數(shù)據(jù),以及對應(yīng)的TCP連接參數(shù)��;●將分析出的應(yīng)用層數(shù)據(jù)和TCP連接參數(shù)打包����,通過內(nèi)外網(wǎng)處理單元間的安全數(shù)據(jù)交換通道,發(fā)送到第二個網(wǎng)絡(luò)處理單元��;●第二個網(wǎng)絡(luò)處理單元接收到第一個網(wǎng)絡(luò)處理單元發(fā)送來的應(yīng)用層數(shù)據(jù)和TCP連接參數(shù)之后���,首先基于TCP連接參數(shù)判斷出該數(shù)據(jù)需要通過哪個TCP連接發(fā)送出去����,然后通過該TCP連接將相應(yīng)的應(yīng)用層數(shù)據(jù)發(fā)送出去����。
2、 根據(jù)權(quán)利要求1所述的語義完整的TCP連接隔離與控制方法�����,其特征是���, 所述通信特征���,包括客戶端地址����、端口��。
3����、 根據(jù)權(quán)利要求1所述的語義完整的TCP連接隔離與控制方法,其特征是�, 所述TCP連接參數(shù),包括源���、目標(biāo)地址��、端口��。
4��、 根據(jù)權(quán)利要求1所述的語義完整的TCP連接隔離與控制方法���,其特征是, 所述TCP連接建立階段����,當(dāng)外網(wǎng)向內(nèi)網(wǎng)發(fā)起TCP連接請求時,對應(yīng)的處理步驟與 內(nèi)網(wǎng)至外網(wǎng)的處理步驟相同����,只是內(nèi)網(wǎng)處理單元功能和外網(wǎng)處理單元功能對調(diào)一 下。
5����、 一種語義完整的TCP連接隔離與控制系統(tǒng),其特征在于�����,包括TCP握手 處理模塊��、TCP連接檢査模塊����、應(yīng)用層數(shù)據(jù)檢查模塊、應(yīng)用層協(xié)議處理模塊����、安 全數(shù)據(jù)交換通道模塊,其中所述TCP握手處理模塊用于保證語義完整的TCP握手過程�����,具體包括取消原 有TCP協(xié)議握手報文的發(fā)送流程;接收從網(wǎng)絡(luò)發(fā)來的TCP握手報文�,并提取相應(yīng) 握手報文的特征信息,并將握手報文的特征信息轉(zhuǎn)交給應(yīng)用層協(xié)議處理模塊���;從 應(yīng)用層協(xié)議處理模塊接收到有關(guān)另一端網(wǎng)絡(luò)發(fā)送來的TCP握手報文的特征信息�����, 生成對應(yīng)的TCP握手報文發(fā)送出去�����;所述TCP連接檢査模塊供應(yīng)用層協(xié)議處理模塊調(diào)用����,用于判斷客戶端向服務(wù) 器端發(fā)送的連接請求是否滿足既定安全策略的要求�����,應(yīng)用層協(xié)議處理模塊會根據(jù) 該模塊的判斷結(jié)果對TCP連接請求進(jìn)行相應(yīng)的處理��,即拒絕或允許;所述應(yīng)用層數(shù)據(jù)檢查模塊供應(yīng)用層協(xié)議處理模塊調(diào)用����,用于判斷客戶端向服 務(wù)器端發(fā)送的應(yīng)用層數(shù)據(jù)是否滿足既定安全策略的要求,應(yīng)用層協(xié)議處理模塊會 根據(jù)該模塊的判斷結(jié)果對應(yīng)用層數(shù)據(jù)進(jìn)行相應(yīng)的處理�����,即拒絕應(yīng)用層數(shù)據(jù)交換或 允許應(yīng)用層數(shù)據(jù)交換�����;所述應(yīng)用層協(xié)議處理模塊從TCP/IP協(xié)議棧層接收協(xié)議數(shù)據(jù)或TCP握手報文 的特征信息��,同時對協(xié)議數(shù)據(jù)進(jìn)行應(yīng)用層分析����,分析出其中的通信特征�,然后將 對應(yīng)的特征信息交給TCP連接檢查模塊或應(yīng)用數(shù)據(jù)檢査模塊,若這些模塊判定滿 足既定策略����,則將這些特征信息和應(yīng)用層數(shù)據(jù)內(nèi)容交給安全數(shù)據(jù)交換模塊通道, 否則不進(jìn)行數(shù)據(jù)交換�,進(jìn)行相關(guān)安全審計;所述安全數(shù)據(jù)交換通道模塊用于完成內(nèi)外網(wǎng)單元之間的安全、可靠的應(yīng)用層 信息交換��,交換的內(nèi)容涉及應(yīng)用數(shù)據(jù)����、應(yīng)用層的協(xié)議特征信息、TCP握手信息特 征����。
6、根據(jù)權(quán)利要求5所述的語義完整的TCP連接隔離與控制系統(tǒng)�,其特征是, 所述應(yīng)用層協(xié)議處理模塊從安全數(shù)據(jù)交換通道獲得對應(yīng)報文特征信息和應(yīng)用層 數(shù)據(jù)���,交給TCP握手處理模塊處理�����,或通過TCP/IP協(xié)議棧將應(yīng)用層協(xié)議和數(shù)據(jù) 發(fā)送出去��。
全文摘要
一種保證語義完整的TCP連接隔離與控制方法和系統(tǒng)�����,屬于信息安全領(lǐng)域��。本發(fā)明方法修改后TCP處理步驟保證收到SYN報文后�,將該報文特征信息通知到另外一個網(wǎng)絡(luò)處理單元,由另外一個網(wǎng)絡(luò)處理單元重新生成該SYN報文��,發(fā)送到網(wǎng)絡(luò)上���,待另外一個網(wǎng)絡(luò)處理單元收到ACK后�,再由本協(xié)議棧生成對應(yīng)的報文�����。本發(fā)明系統(tǒng)包括包括TCP握手處理模塊�、TCP連接檢查模塊�����、應(yīng)用層數(shù)據(jù)檢查模塊����、應(yīng)用層協(xié)議處理模塊、安全數(shù)據(jù)交換通道模塊�。本發(fā)明不僅能夠隔離內(nèi)外網(wǎng)絡(luò)之間的TCP連接,進(jìn)行應(yīng)用層數(shù)據(jù)交換���,也能夠保證TCP的語義完整性���,不會出現(xiàn)服務(wù)器關(guān)閉而客戶端也能建立起TCP連接的情況��。
文檔編號H04L29/08GK101286978SQ20081003782
公開日2008年10月15日 申請日期2008年5月22日 優(yōu)先權(quán)日2008年5月22日
發(fā)明者姚立紅, 李建華, 理 潘, 訾小超 申請人:上海交通大學(xué);上海鵬越驚虹信息技術(shù)發(fā)展有限公司