CN101902371A - 安全监控方法、签名密钥发送方法、终端、服务器及*** - Google Patents
安全监控方法、签名密钥发送方法、终端、服务器及*** Download PDFInfo
- Publication number
- CN101902371A CN101902371A CN 201010239403 CN201010239403A CN101902371A CN 101902371 A CN101902371 A CN 101902371A CN 201010239403 CN201010239403 CN 201010239403 CN 201010239403 A CN201010239403 A CN 201010239403A CN 101902371 A CN101902371 A CN 101902371A
- Authority
- CN
- China
- Prior art keywords
- terminal
- network application
- signature key
- network
- conversation request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种集中式的网络应用安全监控方法、签名密钥的发送方法、终端、NACC服务器及***,所述方法包括:当部署在终端上的安全性证实声明个人防火墙SHF监测到终端发起会话请求时,若部署在终端上的SHF确定会话请求的网络应用满足获取的网络应用监控安全策略,则从网络应用监控中心NACC服务器请求并获得会话请求的第一签名密钥;部署在终端上的SHF根据第一签名密钥生成对应的安全性证实声明SVC,并向对端发送SVC;若部署在终端上的SHF接收到对端返回的对SVC验证成功的消息时,所述会话建立成功。本发明以对终端上的网络应用进行监控,使符合安全策略的网络应用进行正常的网络通信,从而提高内网安全性。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种集中式的网络应用安全监控方法、签名密钥的发送方法、终端、NACC服务器及***。
背景技术
随着互联网的快速发展,网络应用程序越来越丰富,网络终端上安装的应用程序越来越繁杂,而大部分应用程序并未经安全声明,木马、病毒、恶意代码和后门等危害很可能潜伏在这些应用中。在内网环境中,如果不对网络终端上的应用程序进行有效监管,则一些恶意程序,尤其是具有网络连接和网络传播功能的程序,很可能危及内网安全,使内网机器遭受攻击并导致严重损失。所以,对内网终端上的网络应用进行监管非常重要。
传统的内网安全防护对网络终端上的应用程序监管较弱,大部分基于网络的安全设备,例如防火墙、入侵检测***(IDS)等只能从网络协议层面来分析和判断网络会话的安全性,无法对参与会话的实际应用程序进行识别和检测;而安装在网络终端上的安全防护软件(例如防病毒软件、个人防火墙等)虽然能识别和检测本地应用程序,却无法获取通信的对端程序的安全信息。因此,从网络会话过程来看,参与通信的各个网络终端各自的安全状态可能不一样,但通信双方只能从网络协议层识别对方的基本信息(例如IP地址、主机名等),而不能识别对方的主机和通信程序是否真实可信,比如,可能正在与自己通信的程序本质是一个黑客程序。
在对现有技术的研究和实践过程中,本发明的发明人发现,现有的实现方式中,基于网络安全设备的安全防护,在网络终端接入网络之前,网络管理员无从知晓网络终端的安全性,而网络终端接入后则很可能受黑客、木马、蠕虫或病毒的控制对内网进行破坏和传播,使内网遭受严重威胁。而使用个人防火墙进行安全防护,由于个人防火墙没有针对每一个会话进行控制,控制粒度较粗,对外部接入请求缺乏判断依据。
发明内容
本发明实施例提供一种集中式网络应用安全监控方法、签名密钥的发送方法、终端、NACC服务器及***,以对终端上的网络应用进行监控,使符合安全策略的网络应用进行正常的网络通信,从而提高内网安全性。
为此,本发明实施例提供一种集中式网络应用安全监控方法,所述方法包括:
当部署在终端上的安全性证实声明个人防火墙SHF监测到所述终端发起会话请求时,若所述部署在终端上的SHF确定所述会话请求的网络应用满足获取的网络应用监控安全策略,则从网络应用监控中心NACC服务器请求并获得所述会话请求的第一签名密钥;
所述部署在终端上的SHF根据所述第一签名密钥生成对应的安全性证实声明SVC,并向对端发送所述SVC;
若所述部署在终端上的SHF接收到对端返回的对所述SVC验证成功的消息时,所述会话建立成功。
本发明是实施例提供一种签名密钥的发送方法,所述方法包括:
网络应用监控中心NACC服务器接收第一终端发送的会话请求;
NACC服务器根据所述会话请求生成用于第一终端与第二终端进行会话的第一签名密钥;
所述NACC服务器向所述第一终端返回所述第一签名密钥。
本发明是实施例还提供一种集中式网络应用安全监控方法,所述方法包括:
当安全性证实声明网络防火墙SNF网络设备监测到外网终端发起与内网终端进行会话的会话请求时,若所述SNF网络设备确定所述会话请求的网络应用满足获取的网络应用监控安全策略,则向网络应用监控中心NACC服务器请求并获得所述会话请求的第一签名密钥;
所述SNF网络设备根据所述第一签名密钥生成对应的安全性证实声明SVC,并向所述内网终端发送所述SVC;
若所述SNF网络设备接收到所述内网终端返回的对所述SVC验证成功的消息时,则会话建立成功。
相应的,本发明实施例一种终端,该终端上部署有安全性证实声明个人防火墙SHF,所述SHF包括:
监控单元,用于监测所述终端是否有发起会话请求;
会话签名密钥获取单元,用于在所述监控单元监测到所述终端发起会话请求,且所述监测到的会话请求的网络应用满足获取的网络应用监控安全策略时,从网络应用监控中心NACC服务器上获取会话请求的第一签名密钥;
生成单元,用于根据所述第一签名密钥生成对应的安全性证实声明SVC;
收发单元,用于向对端发送所述SVC,并接收对端返回的对所述SVC验证成功的消息,所述消息用于表示会话建立成功。
本发明实施例还提供一种NACC服务器,包括:
会话请求接收单元,用于接收第一终端发送的会话请求;
会话签名密钥生成单元,用于根据所述会话请求生成第一终端与第二终端进行会话的第一签名密钥;
会话签名密钥发送单元,用于向所述第一终端返回所述第一签名密钥。
本发明实施例还提供一种具有安全性证实声明网络防火墙SNF的网络设备,包括:
会话请求检测单元,用于监测是否有外网终端发起与内网终端进行会话的会话请求;
会话签名密钥获取单元,用于在所述会话请求检测单元监测到会话请求且检测到的所述会话请求的网络应用满足获取的网络应用监控安全策略时,向NACC服务器请求并获得所述会话请求的第一签名密钥;
生成单元,用于根据所述第一签名密钥生成对应的安全性证实声明SVC;
收发单元,用于向所述内网终端发送所述SVC,并接收所述内网终端返回的对所述SVC验证成功的消息,所述消息用于表示会话建立成功。
本发明实施例还提供一种集中式网络应用安全监控***,包括:部署有安全性证实声明个人防火墙SHF的终端和网络应用监控中心NACC服务器,其中,
所述SHF,用于在监测到该终端发起会话请求时,若确定所述会话请求的网络应用满足获取的网络应用监控安全策略时,则从NACC服务器上请求并获得所述会话请求的第一签名密钥;以及根据所述第一签名密钥生成对应的安全性证实声明SVC,向对端发送所述SVC;并在接收到对端返回的对所述SVC验证成功的消息时,所述会话建立成功;
所述NACC服务器,用于接收所述终端发送的会话请求,根据所述会话请求生成所述终端与目标终端进行会话的第一签名密钥,并向所述终端发送所述第一签名密钥。
由上述实施例可知,本发明实施例中,由于在终端部署了安全性证实声明个人防火墙SHF,当终端发起会话请求时,SHF就监测到所述会话请求,并确定所述会话请求的网络应用是否满足获取的网络应用监控安全策略,并在满足时,向网络应用监控中心NACC服务器发送会话请求,NACC服务器根据所述会话请求生成用于第一终端与第二终端进行会话的第一签名密钥,并向该终端返回所述第一签名密钥;然后,该终端根据所述第一签名密钥生成对应的安全性证实声明SVC,并向对端发送所述SVC,以及在接收到对端反馈的对所述SVC验证成功的消息时,所述会话建立成功。也就是说,部署在终端的SHF可以对每个网络会话的发起和接收程序进行监控,并判断是否满足获取的网络应用监控安全策略,如果满足,则对该会话进行放行。从而使符合网络应用监控安全策略的网络应用可以进行正常的网络通信,提高整个网络的安全性。
附图说明
图1为本发明实施例中提供的一种集中式网络应用安全监控方法的流程图;
图2为本发明实施例中提供的一种签名密钥的发送方法的流程图;
图3为本发明实施例中提供的又一种集中式网络应用安全监控方法的流程图;
图4为本发明实施例中提供的一种集中式网络应用安全监控方法的第一应用实例图;
图5为本发明实施例中提供的一种集中式网络应用安全监控方法的第二应用实例图;
图6为本发明实施例中提供的一种集中式网络应用安全监控方法的第三应用实例图;
图7为本发明实施例中提供的一种集中式网络应用安全监控方法的第四应用实例图;
图8a为本发明实施例中提供的一种终端的结构示意图;
图8b为本发明实施例中提供的另一种终端的结构示意图;
图9a为本发明实施例中提供的一种NACC服务器的结构示意图;
图9b为本发明实施例中提供的另一种NACC服务器的结构示意图;
图10a为本发明实施例中提供的一种具有安全性证实声明网络防火墙SNF的网络设备的结构示意图;
图10b为本发明实施例中提供的另一种具有安全性证实声明网络防火墙SNF的网络设备的结构示意图;
图11为本发明实施例中提供的一种集中式网络应用安全监控***的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例的方案,下面结合附图和实施方式对本发明实施例作进一步的详细说明。
请参阅图1,为本发明实施例提供的一种集中式网络应用安全监控方法的流程图,在该实施例中,先在终端上部署安全性证实声明个人防火墙SHF,所述终端上SHF预先从网络应用监控中心服务器上获取配置的网络应用监控安全策略;所述方法包括:
步骤101:当部署在终端上的安全性证实声明个人防火墙SHF监测到所述终端发起会话请求时,若所述部署在终端上的SHF确定所述会话请求的网络应用满足获取的网络应用监控安全策略,则从网络应用监控中心NACC服务器请求并获得所述会话请求的第一签名密钥;其中,第一签名密钥为用于本终端与目标终端会话/通信的签名密钥,亦可称为会话签名密钥;
步骤101中,所述部署在终端上的SHF在监测到该终端发起会话请求时,对终端发起的会话请求的网络应用进行判断,判断该网络应用是否满足获取的网络应用监控安全策略,如果满足,才允许该网络应用进行通信,即向网络应用监控中心NACC服务器请求并获得所述会话请求的第一签名密钥;如果不满足,则阻止该网络应用,以提高网络应用的安全性。比如,所述部署在终端上的SHF监测该终端发起会话建立请求,则该部署在终端上的SHF采用Has算法对该会话请求进行特征提取,并与监控安全策略进行匹配,如果匹配成功,则允许该终端获从所述网络应用监控中心服务器上获取会话请求的会话签名密钥,若匹配失败,则该阻断请求、拒绝或者依照配置向网络应用监控中心NACC服务器汇报相关信息。
步骤102:所述部署在终端上的SHF根据所述第一签名密钥生成对应的安全性证实声明SVC,并向对端发送所述SVC;
步骤103:若所述部署在终端上的SHF接收到对端返回的对所述SVC验证成功的消息时,所述会话建立成功。
可见,本发明实施例提供了一种集中式的网络应用安全监控方法,其目的是实现对内网终端上的网络应用(比如建立会话连接等)的严格监控,使符合网络应用监控安全策略的网络应用可以进行正常的网络通信,而对违规的网络应用被阻断,及时发现和警告异常流量,提高内网安全。
其中,在上述实施例中,若所述会话请求为第一内网终端向第二内网终端发起的会话请求,则所述对端为内网中具有SVC个人防火墙功能的另一终端;
若所述会话请求为内网终端向外网终端发起的会话请求,则所述对端为具有SVC网络防火墙的网络设备。
在本实施例中的所述安全性证实声明(SVC,Secuirty Validation Claim)可以包括:网络会话特征信息和签名信息,其中,网络会话特征信息可以包括但不限于如下内容:网络应用的主程序标识、会话的基本信息、声明有效时间,还可以包括:程序的完整性声明;其中,会话的基本信息包括:协议类型(比如TCP/UDP/IP/ICMP等)、协议源端口号、协议目的端口号、源地址、目的地址等;主程序标识为发起该请求的程序标识等;签名信息是由会话签名密钥对网络会话特征信息进行签名运算后得到。签名运算可以用会话签名密钥对网络特征信息进行hash或者加密操作得到。但不限于此,当然,也可以包括其他的会话特征信息和签名信息,本实施例不作限制。
其中,本实施例中的SVC:就是终端(比如主机)上的安全检查软件(SHF,SVC个人防火墙,SVC Host Firewall)对某个网络会话的发起程序的安全性(通过验证其软件完整性或者根据其他原则)与合法性进行检测后产生的一组描述数据,其中,所述SVC包括:网络应用主程序标识,该程序的完整性声明(可选),会话的基本信息(如协议类型、源/目IP地址、端口),声明有效时间、签名等。
SVC可通过固定数据结构、XML或其它文本描述格式来保存,在网络上可通过UDP协议或TCP协议方式传送到目标终端(比如内网终端)或外网网络设备(比如SNF网络设备)。在一个内部网络中,为了安全组件间可相互识别彼此的SVC,应该采用统一的描述格式。
进一步,在上述实施例中,所述方法还可以包括:利用哈希算法对监测到的所述会话请求的网络应用的特征信息进行提取,并将提取结果与所述网络应用监控安全策略进行匹配,如果匹配成功,则确定所述会话请求的网络应用满足所述网络应用监控安全策略。其中,该实施例中,并不限于哈希算法,也可以是其他相应的算法。
进一步,在上述实施例中,所述根据所述会话签名密钥生成对应的安全性证实声明SVC包括:所述部署在终端上的SHF根据所述会话签名密钥对所述会话请求的安全性与合法性进行检测,并在安全性与合法性检测通过后,产生包含网络会话特征信息和签名信息的安全性证实声明SVC
进一步,在上述实施例中,所述方法还可以包括:
若所述部署在终端上的SHF判断所述网络应用不满足预先获取的网络应用监控安全策略,则向所述网络应用监控中心服务器汇报所述相关信息,并终止该会话请求。
进一步,在上述实施例中,所述方法还可以包括:所述部署在终端上的SHF向所述网络应用监控中心服务器发送注册请求,以请求该终端的第二签名密钥;所述部署在终端上的SHF接收所述NACC返回的所述第二签名密钥,以便于发起建立会话请求。其中,第二签名密钥为终端签名密钥。
进一步,在上述实施例中,所述方法还可以包括:
所述部署在终端上的SHF定期接收所述网络应用监控中心服务器发送的网络应用监控安全策略,并对所述获取的网络应用监控安全策略进行更新。
本发明实施例中,部署在终端的SHF可以对每个网络会话的发起和接收程序进行监控,并判断是否满足获取的网络应用监控安全策略,如果满足,则对该会话进行放行,如果不满足,则阻止。从而使符合网络应用监控安全策略的网络应用可以进行正常的网络通信,提高整个网络的安全性,加强网络边界防护。即,对从内网发起的外部访问会话进行细粒度监控,能从网络应用的程序级别进行访问控制,及时发现隐藏的恶意流量;同时,也为安装个人防火墙SHF的终端提供更强的访问控制能力,即安装个人防火墙的终端可以获取到请求连接的应用程序概要信息,并可根据这些信息制定访问控制策略;进一步,网络应用监控中心服务器可以统一收集、监视和控制整个内网中网络应用使用情况。
也就是说,本发明实施例提供的一套安全监控机制,可以对每个网络会话的发起和接收程序进行安全检查与声明,并能根据检查结果决定是否放行或禁用,从而能从很大程度上提高整个网络的安全性,相比传统安全防护,这种安全控制力度将更细更高。
相应的,还请参阅图2,为本发明实施例提供的一种签名密钥的发送方法的流程图,在该实施例中,第一签名密钥为会话签名密钥,第二签名密钥为终端自身的签名密钥;所述方法包括:
步骤201:网络应用监控中心(NACC,Network Application Control Center)服务器接收第一终端的会话请求;
步骤202:NACC服务器根据所述会话请求生成用于第一终端与第二终端进行会话的第一签名密钥;
步骤203:所述NACC服务器向所述第一终端发送所述第一签名密钥。
在步骤201之前,所述方法还可以包括:
网络应用监控中心NACC服务器接收第一终端发送的注册请求;
所述NACC服务器对所述第一终端的注册请求进行验证,并在验证成功时,生成第二签名密钥;
所述NACC服务器向所述第一终端发送该第二签名密钥。
在步骤201之前,所述方法还可以包括:NACC服务器预先对内网中各个终端的网络应用监控安全策略进行集中统一配置,并向该终端发送所述网络应用监控安全策略。
其中,所述根据会话请求生成用于第一终端与第二终端进行会话的第一签名密钥包括:所述NACC服务器将所述会话请求关联的第二终端的签名密钥与所述会话请求中包含会话的特征信息进行哈希计算,得到第一签名密钥。其中,计算的方式可以采用哈希计算,也可以采用其他的算法,本实施例不作限制。
在该实施例中,由于该实施例中的服务器中部署了网络应用监控中心NACC,所述NACC是一组服务程序,其基本功能包括:对内网的网络应用监控策略进行集中统一配置;为网络应用监控安全组件提供监控策略下发功能;接收和管理网络应用监控安全组件的监控事件汇报;提供签名密钥管理功能,即部署在各终端上的网络应用监控安全组件,可通过安全通道向NACC服务器询问自身的签名密钥(即第一签名密钥)和与目标终端(即目前主机)通信的SVC的签名密钥(即第二签名密钥)。其中,SVC的签名密钥是用于保障SVC真实性和防止伪造的重要信息,必须有一套完整的处理方案,在本发明实施例提供一种简单有效的实施模式,但并不限于此:
NACC服务器动态生成各终端的签名密钥KEYs(即第二签名密钥),并对各终端的签名密钥KEYs进行管理;
终端上的安全组件SVC个人防火墙(SHF,SVC Host Firewall)在接入内网后首先向NACC注册,获取自身的签名密钥KEYs;
当需要对目标主机IP发送SVC时,部署在终端上的SHF需向NACC服务器询问获取该对主机IP的签名密钥KEYs,NACC服务器把目标主机的KEYs与请求主机的IP进行计算后得到会话密钥KEYcs(即第一签名密钥),并将会话密钥KEYcs所述发送给请求的终端;其中,计算的方式可以通过哈希(hash)计算得到KEYcs;也可以把…Keys与网络特征信息,或者其中的一部分比如目的IP地址进行hash计算后得到KEYcs;还可以是其他的算法,本实施例不作限制。
由于目标主机中的SHF可以直接利用该终端自身的KEYs结合SVC中的源IP地址计算出每个接入会话的会话密钥KEYcs,所以可对SVC的真实性进行验证。其中,会话密钥KEYcs可以是终端签名密钥KEYs和网络会话特征信息进行运算得到,或者会话密钥KEYcs也可以是终端签名密钥KEYs和网络会话特征信息的部分内容运算得到。
还请参阅图3,为本发明实施例提供的又一种集中式网络应用安全监控方法的流程图,在该实施例中,第一签名密钥为会话签名密钥,第二签名密钥为终端自身的签名密钥,亦可简称为终端签名密钥;所述方法包括:
步骤301:当安全性证实声明网络防火墙SNF网络设备监测到外网终端发起与内网终端进行会话的会话请求时,若所述SNF网络设备确定所述会话请求的网络应用满足获取的网络应用监控安全策略,则向网络应用监控中心NACC服务器请求并获得所述会话请求的第一签名密钥;
步骤302:所述SNF网络设备根据所述第一签名密钥生成对应的安全性证实声明SVC,并向所述内网终端发送所述SVC;
其中,所述安全性证实声明SVC包括:网络会话特征信息和签名信息,具体详见上述。
步骤303:若所述SNF网络设备接收到所述内网终端返回的对所述SVC验证成功的消息时,则会话建立成功。
进一步,所述方法还可以包括:SNF利用哈希算法对会话请求的网络应用的特征信息进行提取,并与所述网络应用监控安全策略进行匹配,如果匹配成功,则确定所述会话请求的网络应用满足获取的网络应用监控安全策略。
进一步,所述生成安全性证实声明SVC包括:所述SNF网络设备根据所述会话签名密钥对所述会话请求的安全性与合法性进行检测,并在安全性与合法性检测通过后,产生包括网络会话特征信息和签名信息的安全性证实声明SVC。
该实施例为外网终端向内网终端请求建立会话的过程,即网络设备中的SNF在监测到外网终端访问内网终端时,根据从内网的网络应用监控中心服务器获得的内网应用监控安全策略,判断该会话请求的网络应用是否满足内网应用监控安全策略,如果所述网络应用满足内网应用监控安全策略,则允许通过,否则,阻止该网络应用。从而提高网络的安全性。
为了便于本领域技术人员的理解,下面以具体的应用实例来说明。
请参阅图4,为本发明实施例提供的一种集中式网络应用安全监控方法的第一应用实例图,该应用实例为终端注册的实现过程,在该实施例中,管理员预先在NACC服务器上配置网络应用监控安全策略,并设定该内网终端上允许使用的网络应用的程序的检测特征值,该检测特征值具体可以与IP地址绑定。该实施例中的终端,为部署SHF软件功能的终端,或是部署SNF软件功能的网络设备,为了便于描述,本实施例中的内网终端以SHF终端为例,网络设备以部署SNF的网络设备为例,其SHF终端/SNF网络设备注册的过程类似,具体包括:
步骤401:NACC服务器配置网络应用监控安全策略,并设定内网终端上允许使用的网络应用的程序的检测特征值;
也可以是管理员在NACC服务器上配置网络应用监控安全策略,并设定内网终端上允许使用的网络应用的程序的检测特征值,
步骤402:SHF终端/SNF网络设备接入内网后,向指定的NACC服务器发送注册请求;即获取自身的签名密钥KEYs;该KEYs为终端签名密钥;
步骤403:NACC服务器对该SHF终端或SNF网络设备进行验证,如果验证成功,根据所述注册请求生成该SHF终端的终端签名密钥/者SNF网络设备的签名密钥;为例便于描述,本实施例中,SHF终端/SNF网络设备的签名密钥都用签名密钥KEYs表示,但在实际应用中,二者的签名密钥不同。
步骤404:NACC服务器将所述签名密钥KEYs发送给SHF终端/SNF网络设备;同时下发所述网络应用监控安全策略。
进一步,在该SHF终端/SNF网络设备注册成功后,该SHF终端/SNF网络设备可以定期接收NACC下发新的网络应用监控安全策略,并根据原来的网络应用监控安全策略。
在该实施例中,NACC服务器对用于监测内网终端的网络应用监控策略进行集中统一配置,并为各个内网终端下发网络应用监控安全策略;以及提供签名密钥管理功能,各SHF终端/SNF网络设备接入内网后,可以通过安全通道向NACC服务器询问自身的签名密钥,当然,还可以获取与目标终端通信的会话签名密钥。与目标终端通信的会话签名密钥主要是用于生成安全性证实声明SVC,而SVC是用于保障网络应用的SVC真实性和防止伪造的重要信息。
进一步,后续该终端需要对目标终端IP生成的SVC时,该SHF终端需向NACC服务器请求并获取该会话的会话签名密钥KEYcs,NACC服务器把目标终端的KEYs与请求终端的IP进行哈希(HASH)计算后得到会话的会话签名密钥KEYcs,并将会话签名密钥KEYcs发送给该请求的终端;
由于目标SHF终端可以直接利用自身的KEYs结合SVC中的源IP地址计算出每个接入会话的KEYcs,所以可对SVC的真实性进行验证。
还请参阅图5,为本发明提供的一种集中式网络应用安全监控方法的第二应用实例图,该实施例为外网向内网请求建立会话的过程,在该实施例中,终端1和终端2分别为部署有SHF软件的终端,即SHF终端1和SHF终端2。SHF终端1和SHF终端2建立会话的过程具体包括:
步骤501:SHF终端1向终端2建立会话请求;
步骤502:SHF终端1(可以理解为,部署在终端上的SHF,下同)按照从NACC服务器上获取的网络应用监控安全策略对该建立的会话请求会话的网络应用进行监控;其中,该网络应用监控安全策略可以是预先获取的,也可以是会话建立过程中实时获取的,本实施例不作限制。
步骤503:SHF终端1判断该网络应用是否与获取的网络应用监控安全策略相匹配,如果不匹配,执行步骤504,否则,执行步骤505;
步骤504:SHF终端1将相关信息汇报给NACC服务器,并阻断或拒绝本次会话请求,结束本次会话请求;
步骤505:SHF终端1向NACC服务器发送会话请求,会话请求用于请求获取与SHF终端2备进行会话的会话签名密钥;
步骤506:NACC服务器根据所述会话请求生成该次会话的会话签名密钥;
步骤507:NACC服务器将所述会话签名密钥发动给SHF终端1;
其中,NACC服务器生成该次会话的签名密钥为:NACC服务器将SHF终端2的KEYs与SHF终端1的IP进行哈希(HASH)计算,得到本地会话的签名密钥KEYcs,并将签名密钥KEYcs发送给该SHF终端1;
步骤508:SHF终端1在接收到本次会话的会话签名密钥后,生成一个安全性证实声明SVC;
步骤509:SHF终端1将所述SVC发送给SHF终端2;
步骤510:SHF终端2验证接收到的所述SVC的合法性,如果合法,则执行步骤511;否则,执行步骤512;
步骤511:如果所述SVC合法,所述SHF终端2和SHF终端1之间的会话成功建立;
步骤512:如果所述SVC不合法,则所述SHF终端2和SHF终端1之间会话建立失败。
本实施例中,对于内网建立会话时,对SHF终端1发起建立会话的网络应用进行监测,并判断该网络应用是否满足获取的网络应用监控安全策略,若满足,则允许该SHF终端1发起会话,并向NACC服务器获取该会话请求的会话签名密钥,以及在获取该会话请求的会话签名密钥时,生成SVC,并发送所述SVC给SHF终端2,以及在接收到SHF终端2发送的验证成功消息时,会话建立成功。也就是说,本实施例对接入内网终端发起的会话请求的网络应用进行监控,即对发起会话请求的SHF终端1进行检测,并判断发起会话的网络应用是否满足获取的网络应用监控安全策略,对满足网络应用监控安全策略的网络会话,允许会话,并在允许会话之前对每个会话产生一个安全性证实声明SVC,并将SVC发送到对端;对不满足网络应用监控安全策略的网络会话,则阻止或中断该网络应用。也就是说,本实施例中的SHF终端(即安装SVC处理功能的个人防火墙的终端)为对传统终端(即安装现有个人防火墙的终端)的个人防火墙功能的扩展,打开了一个新的市场空间,即本实施例中提供的安装SVC处理功能的个人防火墙的终端不但可以识别本地应用的程序信息,也可识别接入应用的程序信息,从而提高了网络的安全性。
还请参阅图6,为本发明实施例提供的一种集中式网络应用安全监控方法的第三应用实例图,该实施例为内网终端向外网终端请求建立会话的过程,在该实施例中,终端1为安装SHF软件的内网终端,即SHF内网终端,该内网的网络服务器为安装SNF软件功能的服务器,即SNF服务器(或网络设备),该内网的监测服务器为安装NACC软件功能的服务器,即NACC服务器。其中,所述内网终端向外网终端请求建立会话具体包括:
步骤601:SHF内网终端向外网终端建立会话请求;
步骤602:SHF内网终端按照预先从NACC服务器上获取的网络应用监控安全策略对该建立的会话请求会话的网络应用进行监控;
步骤603:SHF内网终端判断该网络应用程序是否与预先获取的网络应用监控安全策略相匹配,如果不匹配,执行步骤604,否则,执行步骤605;
步骤604:SHF内网终端将相关信息汇报给服务器NACC,并阻断或拒绝本次会话请求,结束本次会话请求;
步骤605:SHF内网终端向NACC服务器请求获取该会话的签名密钥;
步骤606:NACC服务器生成本次会话的会话签名密钥;
步骤607:NACC服务器将所述会话签名密钥发送给SHF内网终端;
步骤608:SHF内网终端在接收到所述会话签名密钥后,生成一个安全性证实声明SVC;
步骤609:SHF内网终端将所述SVC发送给相应的SNF服务器(即部署SVC网络防火墙的服务器);
步骤610:SNF内网终端验证接收到的所述SVC的合法性,如果合法,执行步骤611;
步骤611:如果SVC合法,会话建立成功。
当然了,如果所述SVC不合法,则会话建立失败,就不连接外网终端(图中未示)。
该实施例为内网终端向外网终端发起会话建立的过程,该过程与上述应用实例二的过程基本相同,其不同之处,SNF内网终端需要将生成的SVC发送给SNF服务器进行验证,并在接收到SNF服务器发送验证成功时,会话建立成功。也就是说,具备SVC处理功能的网络(边界)防火墙,可以弥补传统防火墙只能从网络协议上识别网络应用的缺陷,对网络边界的控制力度更强,尤其适合控制企业网络的Internet出口。
还请参阅图7,为本发明提供的一种集中式网络应用安全监控方法的第四应用实例图,该实施例为外网终端向内网终端请求建立会话的过程,在该实施例中,终端1为安装SHF软件的内网终端,即SHF内网终端,该内网的网络服务器为安装SNF软件功能的服务器,即SNF服务器,该内网的监测服务器为安装NACC软件功能的服务器,即NACC服务器。其中,所述外网终端向内网终端请求建立会话的过程具体包括:
步骤701:外网终端向SNF服务器请求与SHF内网终端会话;
步骤702:SNF服务器判断所述请求会话的网络应用是否满足预先从NACC服务器上获取的内网应用监控安全策略,如果不满足,执行步骤703;否则,执行步骤704;
步骤703:SNF服务器丢弃该会话请求,拒绝接入,结束本次会话的建立;
步骤704:SNF服务器向NACC服务器发送会话请求,该会话请求用于请求获取该本次会话的会话签名密钥;
步骤705:NACC服务器根据所述会话请求生成本次会话的会话签名密钥;
步骤706:NACC服务器将所述会话签名密钥发送给SNF服务器;
步骤707:SNF服务器根据所述会话签名密钥,为该会话请求生成一个SVC;
步骤708:SNF服务器将SVC发送给相应的SHF内网终端;
步骤709:SHF内网终端验证SVC的合法性;若合法,执行步骤710;
步骤710:如果SVC合法,会话建立成功。
当然了,如果SVC不合法,会话建立失败(图中未示)。
该实施例中,SNF服务器中,由于安装了SVC处理功能的网络(边界)防火墙,可以弥补传统防火墙只能从网络协议上识别网络应用的缺陷,对网络边界的控制力度更强,尤其适合控制企业网络的Internet出口。
本发明实施例还提供一种终端,其结构示意图详见图8a,在该终端上部署有安全性证实声明个人防火墙SHF,所述SHF包括:监控单元81,会话签名密钥获取单元82,生成单元83和收发单元84,其中:
监控单元81,用于监测所述终端是否有发起会话请求;
会话签名密钥获取单元82,用于在所述监控单元监测到所述终端发起会话请求,且所述监测到的会话请求的网络应用满足获取的网络应用监控安全策略时,从网络应用监控中心NACC服务器上获取会话请求的第一签名密钥;
生成单元83,用于根据所述第一签名密钥生成对应的安全性证实声明SVC;
收发单元84,用于向对端发送所述SVC,并接收对端返回的对所述SVC验证成功的消息,所述消息用于表示会话建立成功。
进一步,如图8b所示,所述终端还可以包括:确定单元85,用于在所述监控单元监测到所述终端发起建立会话请求时,利用哈希算法对建立会话请求的网络应用的特征信息进行提取,并将提取的结果与所述网络应用监控安全策略进行匹配,如果匹配成功,则确定所述网络应用满足所述网络应用监控安全策略;当提取的结果与所述网络应用监控安全策略不匹配,确定所述网络应用不满足所述网络应用监控安全策略;
相应的,所述会话签名密钥获取单元82具体用于在所述确定单元确定所述会话请求的网络应用满足所述获取的所述网络应用监控安全策略时,向所述NACC服务器请求并获得所述会话请求的第一签名密钥。
进一步,还可以包括:安全策略获取单元89,用于预先从网络应用监控中心服务器上获取预先配置的网络应用监控安全策略。
进一步,还可以包括:汇报单元88,用于在所述网络应用不满足获取的网络应用监控安全策略时,向所述网络应用监控中心服务器汇报相关信息,并终止该会话请求。
进一步,还可以包括:注册单元86和终端签名密钥获取单元87,其中,注册单元86,用于在终端接入网络后,向NACC服务器发送注册请求,以请求该终端的第二签名密钥;终端签名密钥获取单元87,用于接收所述NACC服务器发送的第二签名密钥,以便于发起会话请求。其结构示意图如图8b所示。
进一步,所述方法还可以包括:更新单元80,用于定期接收所述网络应用监控中心服务器发送的新的网络应用监控安全策略,并对所述获取的网络应用监控安全策略进行更新。
所述装置中各个单元的实现过程详见上述对应方法的实现过程,在此不再赘述。
可见,本发明实施例中,由于在终端部署了安全性证实声明个人防火墙SHF,当终端发起会话请求时,SHF就监测到所述会话请求,并确定所述会话请求的网络应用是否满足获取的网络应用监控安全策略,并在满足时,向网络应用监控中心NACC服务器发送会话请求,NACC服务器根据所述会话请求生成用于第一终端与第二终端进行会话的第一签名密钥,并向该终端返回所述第一签名密钥;然后,该终端根据所述第一签名密钥生成对应的安全性证实声明SVC,并向对端发送所述SVC,以及在接收到对端反馈的对所述SVC验证成功的消息时,所述会话建立成功。也就是说,部署在终端的SHF可以对每个网络会话的发起和接收程序进行监控,并判断是否满足获取的网络应用监控安全策略,如果满足,则对该会话进行放行。从而使符合网络应用监控安全策略的网络应用可以进行正常的网络通信,提高整个网络的安全性。
相应的,本发明实施例还提供一种NACC服务器,其结构示意图参见图9a,所述装置包括:会话请求接收单元91,会话签名密钥生成单元92和会话签名密钥发送单元93,其中:
会话请求接收单元91,用于接收第一终端发送的会话请求,其中,该会话请求用于请求与目标终端进行会话的会话签名密钥;
会话签名密钥生成单元92,用于根据所述会话请求生成第一终端与第二终端进行会话的第一签名密钥;
会话签名密钥发送单元93,用于向所述第一终端返回所述第一签名密钥。
进一步,如图9b所示,所述NACC服务器还可以包括:注册请求接收单元94,验证单元95,终端签名密钥生成单元96和终端签名密钥发送单元97,其结构示意图参见图9b,其中:
注册请求接收单元94,用于接收第一终端发送的注册请求;
验证单元95,用于对所述第一终端的注册请求进行验证;
终端签名密钥生成单元96,用于在所述验证单元验证成功时,生成该第一终端的第二签名密钥;
终端签名密钥发送单元97,用于向所述第一终端发送所述第二签名密钥,以便于所述第一终端发起会话请求。
其中,本实施例中,所述会话签名密钥生成单元92具体用于将所述会话请求关联的第二终端的签名密钥与所述会话请求中包含的会话的特征信息进行哈希计算,得到第一签名密钥。
进一步,所述装置还可以包括:安全策略配置单元和安全策略发送单元(图中未示出);其中,安全策略配置单元,用于预先对内网中各个终端的网络应用监控安全策略进行集中统一配置;安全策略发送单元,用于在接收到终端发起建立会话请求时,向该终端发送所述网络应用监控安全策略。
所述装置中各个单元的实现过程详见上述对应方法的实现过程,在此不再赘述。
可见,本发明实施例中,在部署有安全性证实声明个人防火墙SHF的第一终端发起会话请求时,NACC服务器根据所述会话请求生成用于第一终端与第二终端进行会话的第一签名密钥,并向第一终端返回所述第一签名密钥,从而便于该第一终端根据所述第一签名密钥生成对应的安全性证实声明SVC,并向对端发送所述SVC,以及在接收到对端反馈的对所述SVC验证成功的消息时,所述会话建立成功。
由于在终端部署了安全性证实声明个人防火墙SHF,当终端发起会话请求时,SHF就监测到所述会话请求,并确定所述会话请求的网络应用是否满足获取的网络应用监控安全策略,并在满足时,向网络应用监控中心NACC服务器发送会话请求,也就是说,部署在终端的SHF可以对每个网络会话的发起和接收程序进行监控,并判断是否满足获取的网络应用监控安全策略,如果满足,则对该会话进行放行。从而使符合网络应用监控安全策略的网络应用可以进行正常的网络通信,提高整个网络的安全性。
相应的,本发明实施例还提供一种具有安全性证实声明网络防火墙SNF的网络设备,其结构示意图参见图10a,所述装置包括:会话请求检测单元110,会话签名密钥获取单元111,生成单元112,收发单元113,其中:
所述会话请求检测单元110,用于监测是否有外网终端发起与内网终端进行会话的会话请求;
会话签名密钥获取单元111,用于在所述会话请求检测单元监测到会话请求且检测到的所述会话请求的网络应用满足获取的网络应用监控安全策略时,向NACC服务器请求并获得所述会话请求的第一签名密钥;
生成单元112,用于根据所述第一签名密钥生成对应的安全性证实声明SVC;
收发单元113,用于向所述内网终端发送所述SVC,并接收所述内网终端返回的对所述SVC验证成功的消息,所述消息用于表示会话建立成功。
进一步,如图10b所示,所述装置还可以包括:确定单元114,用于在所述会话请求检测单元110监测到外网终端发起与内网终端进行会话的会话请求时,利用哈希算法对所述会话请求的网络应用的特征信息进行提取,并将提取的结果与所述网络应用监控安全策略进行匹配,如果匹配成功,则确定所述网络应用满足所述网络应用监控安全策略;
所述会话签名密钥获取单元111具体用于在所述确定单元114确定所述会话请求的网络应用满足从NACC服务器上获取的所述网络应用监控安全策略时,向NACC服务器请求并获得所述会话请求的第一签名密钥。
进一步,所述方法还可以包括:更新单元115,用于定期接收所述NACC服务器发送的新的网络应用监控安全策略,并对所述获取的网络应用监控安全策略进行更新。
所述装置中各个单元的实现过程详见上述对应方法的实现过程,在此不再赘述。
可见,本发明实施例中,当安全性证实声明网络防火墙SNF网络设备监测到外网终端发起与内网终端进行会话的会话请求时,若所述SNF网络设备确定所述会话请求的网络应用满足获取的网络应用监控安全策略,则向网络应用监控中心NACC服务器请求并获得所述会话请求的第一签名密钥;所述SNF网络设备根据所述第一签名密钥生成对应的安全性证实声明SVC,并向所述内网终端发送所述SVC;若所述SNF网络设备接收到所述内网终端返回的对所述SVC验证成功的消息时,则会话建立成功。也就是说,安全性证实声明网络防火墙SNF网络设备可以对每个网络会话的发起和接收程序进行监控,并判断是否满足获取的网络应用监控安全策略,如果满足,则对该会话进行放行。从而使符合网络应用监控安全策略的网络应用可以进行正常的网络通信,提高整个网络的安全性。
相应的,本发明实施例还提供一种集中式网络应用安全监控***,其结构示意图详见图11,所述***包括部署有安全性证实声明个人防火墙SHF的终端121和网络应用监控中心NACC服务器122,其中:
部署在所述终端上的安全性证实声明个人防火墙SHF,用于在监测到该终端发起会话请求时,若确定所述会话请求的网络应用满足获取的网络应用监控安全策略时,则从NACC服务器上请求并获得所述会话请求的第一签名密钥;以及根据所述第一签名密钥生成对应的安全性证实声明SVC,向对端发送所述SVC;并在接收到对端返回的对所述SVC验证成功的消息时,所述会话建立成功;
所述NACC服务器122,用于接收所述终端发送的会话请求,根据所述会话请求生成所述终端与目标终端进行会话的第一签名密钥,并向所述终端发送所述第一签名密钥。
其中,若所述终端发起的会话请求为第一内网终端向第二内网终端发起的会话请求,则所述对端为该内网中具有SVC个人防火墙功能的另一终端;
若所述终端发起的会话请求为内网终端向外网终端发起的会话请求,则所述对端为具有SVC网络防火墙的网络设备。
进一步,所述***还可以包括:安全性证实声明网络防火墙SNF网络设备(图中未示出),用于在监测到有外网终端发起与内网终端的会话请求;若确定所述会话请求的网络应用满足获取的所述网络应用监控安全策略时,向NACC服务器请求并获得所述会话请求的第一签名密钥;并根据所述第一签名密钥生成对应的安全性证实声明SVC;向所述内网终端发送所述SVC;以及在接收到所述内网终端返回的对所述SVC验证成功的消息时,所述会话建立成功。
所述装置中各个单元的实现过程详见上述对应方法的实现过程,在此不再赘述。
在本发明实施例中,预先在NACC服务器上配置网络应用监控安全策略,在终端的主机上需要安装SVC个人防火墙(SHF),其中,安全性证实声明(SVC)是对某个网络会话的发起程序的安全性与合法性进行检测后产生的一组描述数据,其步骤包括:终端主机接入网络,部署在终端上的SHF向指定的NACC注册;对于不符合NACC安全策略的网络应用,网络访问请求被阻断、拒绝或依照配置向NACC汇报相关信息;对于符合NACC安全策略的网络应用,SHF产生一个SVC,如果会话目标地址是外网,则SVC发送到相应的SVC网络防火墙SNF,如果是内网则发送到对端节点的SHF;部署在终端上的SHF监听和接收来自请求节点的SVC,如果符合安全策略,则建立会话;否则,拒绝服务。SNF监听和接收来自内部网络节点的SVC,如果符合安全策略,则放行;否则,拒绝服务。同时监听来自外网的网络会话请求,并为合法的网络请求生成SVC,发送给内网对应的终端。
为了便于理解,还请参阅下述一种典型的应用实例,具体包括:
假设在某个内网环境下,管理员只允许PC节点间通过特定的程序PA进行相互通信,PA的服务端TCP端口为1234,PA的客户端TCP端口由操作***随机产生。管理员对PA进行特征提取并在NACC设置了策略。以内网的计算机PC1和PC2为例,两节点都部署了SHF,以下是这两个节点间PA通信时应用监控***的主要工作流程。
PC1和PC2接入内网后,各自的SHF向NACC注册,获取了各自的会话签名KEYs,并更新了NACC设定的网络应用监控安全策略。
当PC1上的PA程序向PC2的PA程序发起TCP连接请求会话S1时,PC1上的SHF基于NACC的安全策略,监控到了该事件,采用Hash算法对PA进行特征提取,并与安全策略进行匹配,根据规则,该应用可提供TCP监听服务并可对外发起连接,所以连接请求会话S1可通过。
PC1上的SHF在会话S1发起首个网络包前,生成一个安全性证实声明SVC并发送到PC2,该SVC中包含了S1的TCP特征信息(协议类型、源地址、目标地址、源端口和目标端口),以及发起程序PA的标识信息等。
PC2上的SHF监听和接收来自请求节点SVC,在接收到S1的SVC后,SHF依据签名以及时间等信息对其有效性进行判别和处理,判别S1为可通过。随后,S1的TCP请求包到达时,SHF根据其TCP五元组信息匹配到曾接收到S1的有效SVC,会话可通过。
假如有另一台计算机PC3接入到了内网,由于某种原因,没有安装SHF,其***上的PA程序也尝试访问PC2上的PA,由于发起连接前,没有发送对应的SVC到PC2,所以PC2上的SHF在监测到该事件后,会阻断该会话,并会向NACC发出告警。从而能从很大程度上提高整个网络的安全性。
由此可见,本发明实施例提供了一种网络应用管理机制,该机制具有比传统方式更强的监管和控制能力,适合于对安全要求较高的企业网络。进一步,由于本实施例中的终端安装了具有SVC处理功能的个人防火墙,即具备SVC处理功能的个人防火墙终端不但可以识别本地应用的程序信息,也可识别接入应用的程序信息,从而提高了网络的安全性。进一步,具备SVC处理功能的网络(边界)防火墙网络设备或网络服务器,可以弥补传统防火墙只能从网络协议上识别网络应用的缺陷,对网络边界的控制力度更强,从而也进一步提高了网络的安全性。
需要说明的是,本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (26)
1.一种集中式网络应用安全监控方法,其特征在于,包括:
当部署在终端上的安全性证实声明个人防火墙SHF监测到所述终端发起会话请求时,若所述部署在终端上的SHF确定所述会话请求的网络应用满足获取的网络应用监控安全策略,则从网络应用监控中心NACC服务器请求并获得所述会话请求的第一签名密钥;
所述部署在终端上的SHF根据所述第一签名密钥生成对应的安全性证实声明SVC,并向对端发送所述SVC;
若所述部署在终端上的SHF接收到对端返回的对所述SVC验证成功的消息时,所述会话建立成功。
2.根据权利要求1所述的方法,其特征在于,
若所述会话请求为第一内网终端向第二内网终端发起的会话请求,则所述对端为内网中具有SVC个人防火墙功能的另一终端;
若所述会话请求为内网终端向外网终端发起的会话请求,则所述对端为具有SVC网络防火墙的网络设备。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
利用哈希算法对监测到的所述会话请求的网络应用的特征信息进行提取,并将提取结果与所述网络应用监控安全策略进行匹配,如果匹配成功,则确定所述会话请求的网络应用满足所述网络应用监控安全策略。
4.根据权利要求1所述的方法,其特征在于,所述根据所述会话签名密钥生成对应的安全性证实声明SVC包括:所述部署在终端上的SHF根据所述会话签名密钥对所述会话请求的安全性与合法性进行检测,并在安全性与合法性检测通过后,产生包含网络会话特征信息和签名信息的安全性证实声明SVC。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:
所述部署在终端上的SHF向所述网络应用监控中心服务器发送注册请求,以请求该终端的第二签名密钥;
所述部署在终端上的SHF接收所述NACC返回的所述第二签名密钥,以便于发起会话请求。
6.根据权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:
所述部署在终端上的SHF定期接收所述网络应用监控中心服务器发送的网络应用监控安全策略,并对所述获取的网络应用监控安全策略进行更新。
7.一种签名密钥的发送方法,其特征在于,包括:
网络应用监控中心NACC服务器接收第一终端发送的会话请求;
NACC服务器根据所述会话请求生成用于第一终端与第二终端进行会话的第一签名密钥;
所述NACC服务器向所述第一终端返回所述第一签名密钥。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
NACC服务器接收所述第一终端发送的注册请求;
所述NACC服务器对所述第一终端的注册请求进行验证,并在验证成功时,生成第二签名密钥;
所述NACC服务器向所述第一终端发送该第二签名密钥。
9.根据权利要求7或8所述的方法,其特征在于,所述根据会话请求生成用于第一终端与第二终端进行会话的第一签名密钥包括:所述NACC服务器将所述会话请求关联的第二终端的签名密钥与所述会话请求中包含会话的特征信息进行哈希计算,得到第一签名密钥。
10.一种集中式网络应用安全监控方法,其特征在于,包括:
当安全性证实声明网络防火墙SNF网络设备监测到外网终端发起与内网终端进行会话的会话请求时,若所述SNF网络设备确定所述会话请求的网络应用满足获取的网络应用监控安全策略,则向网络应用监控中心NACC服务器请求并获得所述会话请求的第一签名密钥;
所述SNF网络设备根据所述第一签名密钥生成对应的安全性证实声明SVC,并向所述内网终端发送所述SVC;
若所述SNF网络设备接收到所述内网终端返回的对所述SVC验证成功的消息时,则会话建立成功。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
利用哈希算法对会话请求的网络应用的特征信息进行提取,并与所述网络应用监控安全策略进行匹配,如果匹配成功,则确定所述会话请求的网络应用满足获取的网络应用监控安全策略。
12.根据权利要求10或11所述的方法,其特征在于,所述生成安全性证实声明SVC包括:所述SNF网络设备根据所述会话签名密钥对所述会话请求的安全性与合法性进行检测,并在安全性与合法性检测通过后,产生包括网络会话特征信息和签名信息的安全性证实声明SVC。
13.一种终端,其特征在于,该终端上部署有安全性证实声明个人防火墙SHF,所述SHF包括:
监控单元,用于监测所述终端是否有发起会话请求;
会话签名密钥获取单元,用于在所述监控单元监测到所述终端发起会话请求,且所述监测到的会话请求的网络应用满足获取的网络应用监控安全策略时,从网络应用监控中心NACC服务器上获取会话请求的第一签名密钥;
生成单元,用于根据所述第一签名密钥生成对应的安全性证实声明SVC;
收发单元,用于向对端发送所述SVC,并接收对端返回的对所述SVC验证成功的消息,所述消息用于表示会话建立成功。
14.根据权利要求13所述的装置,其特征在于,还包括:确定单元,用于在所述监控单元监测到所述终端发起建立会话请求时,利用哈希算法对建立会话请求的网络应用的特征信息进行提取,并将提取的结果与所述网络应用监控安全策略进行匹配,如果匹配成功,则确定所述网络应用满足所述网络应用监控安全策略;当提取的结果与所述网络应用监控安全策略不匹配,确定所述网络应用不满足所述网络应用监控安全策略;
所述会话签名密钥获取单元具体用于在所述确定单元确定所述会话请求的网络应用满足所述获取的所述网络应用监控安全策略时,向所述NACC服务器请求并获得所述会话请求的第一签名密钥。
15.根据权利要求13或14所述的装置,其特征在于,还包括:
汇报单元,用于在所述网络应用不满足获取的网络应用监控安全策略时,向所述网络应用监控中心服务器汇报相关信息,并终止该会话请求。
16.根据权利要求13或14所述的装置,其特征在于,还包括:
注册单元,用于在终端接入网络后,预先向NACC服务器发送注册请求,以请求该终端的第二签名密钥;
终端签名密钥获取单元,用于接收所述NACC服务器发送的第二签名密钥。
17.根据权利要求13或14所述的装置,其特征在于,还包括:
更新单元,用于定期接收所述NACC服务器发送的新的网络应用监控安全策略,并对所述获取的网络应用监控安全策略进行更新。
18.一种NACC服务器,其特征在于,包括:
会话请求接收单元,用于接收第一终端发送的会话请求;
会话签名密钥生成单元,用于根据所述会话请求生成第一终端与第二终端进行会话的第一签名密钥;
会话签名密钥发送单元,用于向所述第一终端返回所述第一签名密钥。
19.根据权利要求18所述的装置,其特征在于,还包括:
注册请求接收单元,用于接收第一终端发送的注册请求;
验证单元,用于对所述第一终端的注册请求进行验证;
终端签名密钥生成单元,用于在所述验证单元验证成功时,生成该第一终端的第二签名密钥;
终端签名密钥发送单元,用于向所述第一终端发送所述第二签名密钥。
20.根据权利要求18或19所述的装置,其特征在于,所述会话签名密钥生成单元具体用于将所述会话请求关联的第二终端的签名密钥与所述会话请求中包含的会话的特征信息进行哈希计算,得到第一签名密钥。
21.一种具有安全性证实声明网络防火墙SNF的网络设备,其特征在于,包括:
会话请求检测单元,用于监测是否有外网终端发起与内网终端进行会话的会话请求;
会话签名密钥获取单元,用于在所述会话请求检测单元监测到会话请求且检测到的所述会话请求的网络应用满足获取的网络应用监控安全策略时,向NACC服务器请求并获得所述会话请求的第一签名密钥;
生成单元,用于根据所述第一签名密钥生成对应的安全性证实声明SVC;
收发单元,用于向所述内网终端发送所述SVC,并接收所述内网终端返回的对所述SVC验证成功的消息,所述消息用于表示会话建立成功。
22.根据权利要求21所述的装置,其特征在于,还包括:
确定单元,用于在所述会话请求检测单元监测到外网终端发起与内网终端进行会话的会话请求时,利用哈希算法对所述会话请求的网络应用的特征信息进行提取,并将提取的结果与所述网络应用监控安全策略进行匹配,如果匹配成功,则确定所述网络应用满足所述网络应用监控安全策略;
所述会话签名密钥获取单元,具体用于在所述确定单元确定所述会话请求的网络应用满足从NACC服务器上获取的所述网络应用监控安全策略时,向NACC服务器请求并获得所述会话请求的第一签名密钥。
23.根据权利要求21或22所述的装置,其特征在于,还包括:
更新单元,用于定期接收所述NACC服务器发送的新的网络应用监控安全策略,并对所述获取的网络应用监控安全策略进行更新。
24.一种集中式网络应用安全监控***,其特征在于,包括:部署有安全性证实声明个人防火墙SHF的终端和网络应用监控中心NACC服务器,其中,
所述SHF,用于在监测到该终端发起会话请求时,若确定所述会话请求的网络应用满足获取的网络应用监控安全策略时,则从NACC服务器上请求并获得所述会话请求的第一签名密钥;以及根据所述第一签名密钥生成对应的安全性证实声明SVC,向对端发送所述SVC;并在接收到对端返回的对所述SVC验证成功的消息时,所述会话建立成功;
所述NACC服务器,用于接收所述终端发送的会话请求,根据所述会话请求生成所述终端与目标终端进行会话的第一签名密钥,并向所述终端发送所述第一签名密钥。
25.根据权利要求24所述的***,其特征在于,
若所述终端发起的会话请求为第一内网终端向第二内网终端发起的会话请求,则所述对端为该内网中具有SVC个人防火墙功能的另一终端;
若所述终端发起的会话请求为内网终端向外网终端发起的会话请求,则所述对端为具有SVC网络防火墙的网络设备。
26.根据权利要求24或25所述的***,其特征在于,还包括:
安全性证实声明网络防火墙SNF网络设备,用于在监测到有外网终端发起与内网终端的会话请求;若确定所述会话请求的网络应用满足获取的所述网络应用监控安全策略时,向NACC服务器请求并获得所述会话请求的第一签名密钥;并根据所述第一签名密钥生成对应的安全性证实声明SVC;向所述内网终端发送所述SVC;以及在接收到所述内网终端返回的对所述SVC验证成功的消息时,所述会话建立成功。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010239403 CN101902371A (zh) | 2010-07-26 | 2010-07-26 | 安全监控方法、签名密钥发送方法、终端、服务器及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010239403 CN101902371A (zh) | 2010-07-26 | 2010-07-26 | 安全监控方法、签名密钥发送方法、终端、服务器及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101902371A true CN101902371A (zh) | 2010-12-01 |
Family
ID=43227591
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010239403 Pending CN101902371A (zh) | 2010-07-26 | 2010-07-26 | 安全监控方法、签名密钥发送方法、终端、服务器及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101902371A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105430009A (zh) * | 2015-12-25 | 2016-03-23 | 北京奇虎科技有限公司 | 一种网络访问方法、终端和网关服务器 |
| CN105554005A (zh) * | 2015-12-24 | 2016-05-04 | 北京奇虎科技有限公司 | 企业网络安全管理方法、装置、***和安全网关 |
| CN105704066A (zh) * | 2016-01-12 | 2016-06-22 | 北京奇虎科技有限公司 | 联网控制方法和装置、***、安全网关、移动终端 |
| WO2020057360A1 (zh) * | 2018-09-19 | 2020-03-26 | 中兴通讯股份有限公司 | 一种提高终端安全性的方法及装置、计算机可读存储介质 |
| CN114389809A (zh) * | 2022-02-18 | 2022-04-22 | 山西清网信息技术有限公司 | 一种加密https协议的信息化网络安全防护方法 |
| CN115190581A (zh) * | 2016-07-01 | 2022-10-14 | 瑞典爱立信有限公司 | 用于用户设备(ue)注册的***和方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030115341A1 (en) * | 2001-12-17 | 2003-06-19 | Bhaskar Sinha | Method and system for authenticating a user in a web-based environment |
| US20030237004A1 (en) * | 2002-06-25 | 2003-12-25 | Nec Corporation | Certificate validation method and apparatus thereof |
| CN1700699A (zh) * | 2004-05-19 | 2005-11-23 | 阿尔卡特公司 | 提供用于对数据数字签名、认证或加密的签名密钥的方法和移动终端 |
| CN101047504A (zh) * | 2006-03-29 | 2007-10-03 | 腾讯科技(深圳)有限公司 | 一种网站登录认证方法及认证*** |
| CN101483866A (zh) * | 2009-02-11 | 2009-07-15 | 中兴通讯股份有限公司 | Wapi终端证书的管理方法、装置及*** |
-
2010
- 2010-07-26 CN CN 201010239403 patent/CN101902371A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030115341A1 (en) * | 2001-12-17 | 2003-06-19 | Bhaskar Sinha | Method and system for authenticating a user in a web-based environment |
| US20030237004A1 (en) * | 2002-06-25 | 2003-12-25 | Nec Corporation | Certificate validation method and apparatus thereof |
| CN1700699A (zh) * | 2004-05-19 | 2005-11-23 | 阿尔卡特公司 | 提供用于对数据数字签名、认证或加密的签名密钥的方法和移动终端 |
| CN101047504A (zh) * | 2006-03-29 | 2007-10-03 | 腾讯科技(深圳)有限公司 | 一种网站登录认证方法及认证*** |
| CN101483866A (zh) * | 2009-02-11 | 2009-07-15 | 中兴通讯股份有限公司 | Wapi终端证书的管理方法、装置及*** |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105554005A (zh) * | 2015-12-24 | 2016-05-04 | 北京奇虎科技有限公司 | 企业网络安全管理方法、装置、***和安全网关 |
| CN105430009A (zh) * | 2015-12-25 | 2016-03-23 | 北京奇虎科技有限公司 | 一种网络访问方法、终端和网关服务器 |
| CN105430009B (zh) * | 2015-12-25 | 2019-03-08 | 北京奇虎科技有限公司 | 一种网络访问方法、终端和网关服务器 |
| CN105704066A (zh) * | 2016-01-12 | 2016-06-22 | 北京奇虎科技有限公司 | 联网控制方法和装置、***、安全网关、移动终端 |
| CN105704066B (zh) * | 2016-01-12 | 2019-06-25 | 北京奇虎科技有限公司 | 联网控制方法和装置、***、安全网关、移动终端 |
| CN115190581A (zh) * | 2016-07-01 | 2022-10-14 | 瑞典爱立信有限公司 | 用于用户设备(ue)注册的***和方法 |
| US11864149B2 (en) | 2016-07-01 | 2024-01-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Systems and methods for user equipment (UE) registration |
| CN115190581B (zh) * | 2016-07-01 | 2024-05-14 | 瑞典爱立信有限公司 | 用于用户设备(ue)注册的***和方法 |
| WO2020057360A1 (zh) * | 2018-09-19 | 2020-03-26 | 中兴通讯股份有限公司 | 一种提高终端安全性的方法及装置、计算机可读存储介质 |
| CN114389809A (zh) * | 2022-02-18 | 2022-04-22 | 山西清网信息技术有限公司 | 一种加密https协议的信息化网络安全防护方法 |
| CN114389809B (zh) * | 2022-02-18 | 2024-05-03 | 山西清网信息技术有限公司 | 一种加密https协议的信息化网络安全防护方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109688105B (zh) | 一种威胁报警信息生成方法及*** | |
| CN114598540B (zh) | 访问控制***、方法、装置及存储介质 | |
| KR100835820B1 (ko) | 통합 인터넷 보안 시스템 및 방법 | |
| CN101902371A (zh) | 安全监控方法、签名密钥发送方法、终端、服务器及*** | |
| JP2002342279A (ja) | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム | |
| CN101690144A (zh) | 无线设备监视方法、无线设备监视***和制造品 | |
| CN114629719B (zh) | 资源访问控制方法和资源访问控制*** | |
| CN103314562A (zh) | 用于ip 多媒体子***(ims)核心以防御基于sip 注册的dos/odds 攻击的会话初始化协议(sip)防火墙 | |
| CN103581203A (zh) | 基于可信计算的可信网络连接方法 | |
| CN111510453A (zh) | 业务***访问方法、装置、***及介质 | |
| CN112688919A (zh) | 一种基于app接口的反爬虫方法、设备及介质 | |
| Alfaqih et al. | Internet of things security based on devices architecture | |
| CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| CN110830444A (zh) | 一种单包增强安全验证的方法和装置 | |
| CN117155716B (zh) | 访问校验方法和装置、存储介质及电子设备 | |
| CN112231679B (zh) | 一种终端设备验证方法、装置及存储介质 | |
| CN101247618B (zh) | 一种终端合法性检测方法及*** | |
| KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
| CN111064731B (zh) | 一种浏览器请求的访问权限的识别方法、识别装置及终端 | |
| CN113206852A (zh) | 一种安全防护方法、装置、设备及存储介质 | |
| Al-Ayed et al. | An Efficient Practice of Privacy Implementation: Kerberos and Markov Chain to Secure File Transfer Sessions. | |
| CN116032660B (zh) | Ad域威胁识别方法、装置、电子设备和存储介质 | |
| CN115242440B (zh) | 一种基于区块链的物联网设备可信调用方法、装置及设备 | |
| CN101572703B (zh) | 一种可保护平台配置信息的平台认证***及方法 | |
| Surendran et al. | A Study on IoT layered Attacks and Countermeasures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20101201 |