專利名稱:網(wǎng)絡(luò)安全實施系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機(jī)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)脆弱性評估����。公開了新的安全檢查代理以及中央控制器����,包括單次口令、壓縮和加密并且特有小的占用空間(footprint)和高安全性技術(shù)���。在本發(fā)明中考慮了對IP網(wǎng)絡(luò)中的安全和配置參數(shù)的監(jiān)視以及在所述參數(shù)偏離標(biāo)準(zhǔn)值后自主地觸發(fā)預(yù)定義的事件。這里給出的系統(tǒng)允許檢測出在傳統(tǒng)系統(tǒng)中檢測不出來的安全缺陷�����。
背景技術(shù):
當(dāng)今,IP網(wǎng)絡(luò)內(nèi)的入侵檢測通常都是利用主動過濾技術(shù)實現(xiàn)的�,這些技術(shù)可以檢測可能存在的安全威脅。這些過濾技術(shù)通常依靠已知的網(wǎng)絡(luò)攻擊或誤用的簽名來對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行成功的簽名分析或模式匹配算法��。在包一級進(jìn)行過濾��,從而對進(jìn)入網(wǎng)絡(luò)的每個IP包進(jìn)行認(rèn)真地分析����。這種方法需要系統(tǒng)維護(hù)一個攻擊的簽名的最新數(shù)據(jù)庫。由于存儲器的稀缺性�,系統(tǒng)可能丟包或者關(guān)閉計算強(qiáng)度大的分析。此外�����,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)張���,該技術(shù)大大加重了網(wǎng)絡(luò)的負(fù)擔(dān)���。更糟糕的是,如果沒有明智地選擇過濾引擎的處理能力來應(yīng)付網(wǎng)絡(luò)流量的增加����,那么該技術(shù)有可能導(dǎo)致整個網(wǎng)絡(luò)崩潰�����。
通常采用的另一種方法包括在存在于網(wǎng)絡(luò)中的機(jī)器中部署智能安全代理�。代理駐留在機(jī)器中�����,每個代理僅僅在它所在的機(jī)器上運(yùn)行�。除了安全參數(shù)監(jiān)視以外,代理還可以執(zhí)行預(yù)設(shè)的給定任務(wù)����。智能代理定期將被監(jiān)視的機(jī)器的狀態(tài)報告給中央控制器。報告的頻率��、代理和控制器之間的通信模式等可被設(shè)置為滿足給定網(wǎng)絡(luò)的約束��。這種方法大大減輕了由網(wǎng)絡(luò)安全系統(tǒng)產(chǎn)生的網(wǎng)絡(luò)負(fù)載�。然而,雖然減少了流量����,但是在代理和控制器之間不經(jīng)常發(fā)生的通信仍使整體系統(tǒng)性能下降�。該方法的主要缺點在于實際的代理可以從網(wǎng)絡(luò)內(nèi)被操縱����,因此可被容易地轉(zhuǎn)變成惡意用戶針對網(wǎng)絡(luò)的危險武器�����。
發(fā)明內(nèi)容
為了解決該問題�����,本發(fā)明引入了啞代理(dumb agent)�。啞代理是精心設(shè)計的軟件程序,它們運(yùn)行在網(wǎng)絡(luò)的節(jié)點上�����。使用啞代理大大降低了從網(wǎng)絡(luò)內(nèi)觸發(fā)的安全事件的風(fēng)險���。
為此�����,在本發(fā)明的第一方面中��,提供了一種網(wǎng)絡(luò)實施安全系統(tǒng)�����,包括適配于發(fā)送質(zhì)詢(challenge)的中央位置��;至少一個客戶站�,所述至少一個客戶站中的每一個都配備一個代理并且與所述中央位置進(jìn)行通信;一組S獨(dú)立的單次口令���,所述單次口令中的每一個都與一個索引值相關(guān)聯(lián)���;從而,響應(yīng)于由中央位置發(fā)送到所述至少一個客戶站中的至少一個的質(zhì)詢��,所述代理向所述中央位置返回與正確響應(yīng)相對應(yīng)的單次口令���,否則所述中央位置認(rèn)為所述客戶站是不安全的�����。
本發(fā)明的另一方面涉及一種用于在中央位置和至少一個客戶站之間進(jìn)行安全通信的方法���,包括以下步驟(a)生成初始機(jī)密并將其存儲在中央位置中��;(b)生成一組單次口令��,其中每一個單次口令都與一個索引相關(guān)聯(lián)�;(c)將所述一組單次口令的一個子集存儲在客戶站中���;(d)從中央位置向客戶站發(fā)送質(zhì)詢,其中所述質(zhì)詢是所述一組單次口令的所述子集的索引�;(e)從客戶站向中央位置發(fā)送與所述索引相關(guān)聯(lián)的單次口令。
圖1描繪了網(wǎng)絡(luò)安全實施系統(tǒng)及其主要組件���,這些組件是○在存在于網(wǎng)絡(luò)中的單工作站上運(yùn)行的微型啞代理�。它包括掃描引擎和簽名生成引擎之間的通信接口�����。
○維護(hù)攻擊簽名以及用于客戶端簽名驗證的客戶端公鑰的最新數(shù)據(jù)庫的中央控制器��。在成功地觸發(fā)數(shù)據(jù)收集請求后在這里進(jìn)行數(shù)據(jù)分析�。
○安全網(wǎng)絡(luò)地圖○安全事件檢測算法圖2圖示了客戶端服務(wù)器通信。
○由客戶端發(fā)送的信息的數(shù)字簽名是強(qiáng)制的����?���?刂破骶S護(hù)正在網(wǎng)絡(luò)中運(yùn)行的客戶端的公鑰的列表����。
○消息壓縮對于系統(tǒng)效率而言是必需的。
○安全分析模塊將輸入的客戶端配置與存儲在數(shù)據(jù)庫中的參考值進(jìn)行比較�。在這里進(jìn)行數(shù)據(jù)準(zhǔn)備并呈現(xiàn)給系統(tǒng)管理員。
圖3描繪了單次口令生成過程���。
○用戶的靜態(tài)口令是客戶端和服務(wù)器之間的共享機(jī)密��。該口令在用戶設(shè)置期間通常存儲在服務(wù)器上��,再也不會通過網(wǎng)絡(luò)傳送�����。
○種子起初初始化新的一組單次口令����,因而定義單次口令的生命期��。種子在客戶端側(cè)被用于單次口令生成��,而在服務(wù)器側(cè)用于單次口令驗證。
○卡ID或RFID令牌序列號是用戶持有的附加機(jī)密�。卡存儲器用于存儲一個單次口令池��。
圖4描繪了有單個機(jī)密存儲在存儲器中的RFID標(biāo)簽的存儲器組織����。該機(jī)密然后可以由一個密碼函數(shù)反復(fù)使用,以生成隨后的單次口令�。
圖5描繪了有多個機(jī)密存儲在存儲器中的RFID標(biāo)簽的存儲器組織�����。為了進(jìn)行驗證�����,這些機(jī)密中只有一個機(jī)密被隨機(jī)地選擇為對質(zhì)詢的響應(yīng)��。
圖6給出了在RFID標(biāo)簽不能計算密碼函數(shù)的系統(tǒng)中的單次口令驗證過程�。
圖7給出了在RFID標(biāo)簽配備有用于密碼函數(shù)計算的裝置的系統(tǒng)中的單次口令驗證過程。
具體實施例方式
為了有效��,假設(shè)當(dāng)今的安全系統(tǒng)應(yīng)當(dāng)采用以下三個元素�。
中央控制器它可以包括防火墻���、抗病毒、IP過濾���、網(wǎng)絡(luò)攻擊簽名映射和IDS功能���。
單次口令阻止自動口令破解。
檢查客戶端位于每臺機(jī)器中��。檢測第一防御系統(tǒng)中的漏洞并向中央控制器發(fā)出警報�����。
這種三支柱的方式允許有效地解決網(wǎng)絡(luò)安全問題�����。因此�,可以制訂措施根據(jù)攻擊的起源和它們的嚴(yán)重性來抵御攻擊。
因此�,本發(fā)明廣泛涉及一種網(wǎng)絡(luò)安全監(jiān)視和脆弱性評估系統(tǒng),其中啞代理被用于檢測終端硬盤或存儲器的配置變化����。該信息被傳送到集中式網(wǎng)絡(luò)狀況分析器�,該分析器將客戶端報告的配置與不斷更新并包含所有相關(guān)信息的狀況表進(jìn)行比較���。由于客戶端只能執(zhí)行很受局限的一組命令���,因此從這個意義上講,該客戶端是啞的�����。這防止客戶端被來自網(wǎng)絡(luò)內(nèi)的惡意用戶操縱���。
此外,通過單次口令對代理和控制器之間的通信進(jìn)行加密和驗證�。本發(fā)明的重要方面在于壓縮系統(tǒng),它大大減輕了網(wǎng)絡(luò)負(fù)載����,同時在客戶端和控制器之間保持實時通信。
啞代理代理本質(zhì)上向中央控制器報告它們運(yùn)行所在的節(jié)點的配置����。該報告可以由所有的可執(zhí)行文件、設(shè)備和相應(yīng)的設(shè)備驅(qū)動程序以及系統(tǒng)的物理參數(shù)組成。為了防止客戶端被惡意用戶操縱��,中央控制器維護(hù)一個當(dāng)前在網(wǎng)絡(luò)中處于活動狀態(tài)的客戶端的簽名列表����。此外,精心設(shè)計客戶端���,以便只執(zhí)行受到很大局限的一組命令�,該組命令包括常規(guī)回應(yīng)和系統(tǒng)信息公開����。任何偏離這些命令的請求都被自動歸檔為可能的安全威脅。啞代理以壓縮和有序的方式發(fā)送其信息�����。通過廣泛使用橢圓密碼術(shù)來實現(xiàn)小的占用空間����。
中央控制器中央控制器使用遍及網(wǎng)絡(luò)的代理來獲得網(wǎng)絡(luò)信息。中央控制器分析軟件代理所提供的信息�����,并基于系統(tǒng)管理員所提供的某些參數(shù)作出決定。中央控制器觸發(fā)報告的開始和結(jié)束���,因而指明一個給定的客戶端應(yīng)當(dāng)完成的報告的類型�。
單次口令�����,驗證和加密單次口令的使用針對在客戶端和服務(wù)器之間的通信被攻擊者監(jiān)視�,因而按此方式獲得的信息被用于模仿合法用戶時的被動的通信偷聽和重放攻擊提供保護(hù)。利用加密和數(shù)字?jǐn)?shù)據(jù)簽名來實施消息保密性和隱私���。
壓縮系統(tǒng)壓縮系統(tǒng)使得分配給安全管理機(jī)構(gòu)的網(wǎng)絡(luò)帶寬大大減少�,因而允許更多的帶寬專用于用戶和系統(tǒng)應(yīng)用���。
盤點(inventory)機(jī)制本發(fā)明的一種實施方式代表盤點系統(tǒng)�。在所述配置中�,幾個代理分布于需要盤點的網(wǎng)絡(luò)化物件中�。由中央控制器對代理的正常輪詢確定一個物件的存在與否。這可以用在公共接入計算機(jī)網(wǎng)絡(luò)中����,例如學(xué)校或教育機(jī)構(gòu)中,以防止外圍設(shè)備例如鍵盤��、監(jiān)視器或打印機(jī)被竊���。
使用適當(dāng)?shù)乃惴▽蛻舳税l(fā)送的信息進(jìn)行壓縮和數(shù)字簽名����,例如RSA或ECC����。然而,在本文中��,基于ECC的簽名應(yīng)當(dāng)是優(yōu)選的�,因為它們非常有助于滿足對小占用空間的需要,而小的占用空間是本發(fā)明的目標(biāo)����。實際上,客戶端生成的簽名極大地依賴于用戶提供的靜態(tài)口令以及由客戶端生成并存儲在用戶擁有的智能卡或RFID令牌的存儲器中的單次口令����。
網(wǎng)絡(luò)脆弱性評估系統(tǒng)一旦從客戶端接收的信息和存儲在適當(dāng)?shù)臄?shù)據(jù)庫中的參考值之間不一致,控制器就觸發(fā)警報機(jī)構(gòu)�����,該警報機(jī)構(gòu)通知網(wǎng)絡(luò)管理員所遇問題的嚴(yán)重性以及可能的解決辦法。警報信息可以是視覺或聽覺屬性的���,或者二者的結(jié)合�����。此外���,在網(wǎng)絡(luò)上收集的信息被用于建立和維護(hù)一份網(wǎng)絡(luò)脆弱性地圖,該地圖標(biāo)識并歸類網(wǎng)絡(luò)內(nèi)的安全缺陷�����。這樣一份地圖在與安全有關(guān)的未來投資方面對于管理人員是極其有用的���。
與傳統(tǒng)系統(tǒng)相反�����,本發(fā)明特有的是在出現(xiàn)安全事件時���,不授權(quán)客戶端在終端側(cè)采取動作。因此���,決定的作出完全聽從于控制器���。換言之,客戶端不檢測問題��?�?蛻舳藘H僅收集與主機(jī)有關(guān)的相關(guān)信息��,并將該信息發(fā)送到中央控制器�。這種細(xì)微的差別對于這里記載的系統(tǒng)是至關(guān)重要的,因為它防止惡意用戶操縱客戶端�����。
盤點系統(tǒng)在盤點系統(tǒng)配置中�����,幾個代理分布于待盤點的網(wǎng)絡(luò)化物件中����。由中央控制器對代理的正常輪詢確定一個物件的存在與否���,因而在必要時觸發(fā)警報。這可以用在公共接入計算機(jī)網(wǎng)絡(luò)中�����,例如學(xué)?���;蚪逃龣C(jī)構(gòu)中,以防止外圍設(shè)備例如鍵盤���、監(jiān)視器或打印機(jī)被竊����。
口令管理系統(tǒng)圖3描繪了單次口令生成過程�����。從網(wǎng)絡(luò)控制器接收的質(zhì)詢(種子)與用戶靜態(tài)口令以及用戶卡ID(或者RFID令牌序列號)合并��,以便生成初始機(jī)密��。此時�,需要考慮兩種情況�。在第一種情況中����,卡只具備用于數(shù)據(jù)存儲的存儲器�����,沒有用于計算密碼函數(shù)的裝置�����。在第二種情況中����,考慮配備有可以執(zhí)行密碼函數(shù)的裝置的卡。
●在第一種情形中����,RFID標(biāo)簽僅擁有用于數(shù)據(jù)存儲的存儲器,從初始機(jī)密開始��,控制器系統(tǒng)計算一組S獨(dú)立的單次口令����,該組口令被存儲在中央控制器上的口令文件中��。每個單次口令與相應(yīng)的索引存儲在一起����。隨后�,S的一個小的子集S′以安全的方式被存儲在卡上。在登錄時�����,一旦出現(xiàn)RFID標(biāo)簽����,中央控制器就向該標(biāo)簽發(fā)出質(zhì)詢。該質(zhì)詢僅僅是從存儲在標(biāo)簽中的單次口令子集S′中選擇一個單次口令的隨機(jī)索引i���。作為對質(zhì)詢的響應(yīng)����,RFID標(biāo)簽發(fā)送存儲在存儲器中����、與質(zhì)詢i相對應(yīng)的單次口令。如果該單次口令與存儲在口令文件中索引i處的單次口令相匹配,則驗證成功�,否則驗證失敗。由于該方法不要求用戶保留單次口令的小冊子�����,所以它是非常高效的���。由于口令被存儲在RFID標(biāo)簽中,所以該方法不易受到越肩(over-the-shoulder)攻擊���。此外����,由于單次口令是隨機(jī)選擇的����,并且子集S′可以被選擇得足夠小,足以允許對存儲在RFID標(biāo)簽中的口令進(jìn)行頻繁刷新�,所以監(jiān)視RFID標(biāo)簽和中央控制器之間的通信的被動偷聽將不能預(yù)測卡將要發(fā)送的下一個單次口令。圖6提供了該方案的概圖��。
●在第二種情形(參考圖7)中��,從初始機(jī)密開始,通過密碼函數(shù)f對初始機(jī)密的迭代��,生成額外的口令�����。為了對系統(tǒng)進(jìn)行驗證�����,用戶對初始機(jī)密施加密碼函數(shù)f的i次迭代��。該信息然后被發(fā)送到控制器�。控制器對從RFID標(biāo)簽而來的信息額外施加密碼函數(shù)f來證實信息的正確性��。結(jié)果與先前存儲在控制器中的i+1次迭代的值進(jìn)行比較�。如果匹配,則驗證成功��,i的新值連同f的結(jié)果被存儲在控制器中����。否則,驗證失敗��,i的值被放棄。該系統(tǒng)在某種程度上與S/KEY系統(tǒng)有關(guān)��,區(qū)別在于在我們這里給出的系統(tǒng)中�����,計算完全是在RFID標(biāo)簽上進(jìn)行的����。此外,標(biāo)簽序列號在這里被用于構(gòu)建初始機(jī)密���。
在以上兩種情形中,單次口令可以隨后被用來保證客戶端和中央控制器之間的后續(xù)通信的安全���,如圖2所示�����。如果這樣做的話��,用戶口令絕不會以明文方式被發(fā)送到中央控制器���。該方法的微小改變還允許對客戶端的控制器驗證。
就發(fā)明人所知,這代表了用于可靠地實施沒有電池的單次口令系統(tǒng)的第一方式�。實際上,由客戶端或服務(wù)器計算出的一組單次口令可以基于橢圓曲線或者基于RSA方案或者基于任何其他偽隨機(jī)函數(shù)�。然而,基于RSA的單次口令很難滿足小的占用空間的需要���。
如圖2所示���,用戶的靜態(tài)口令、會話單次口令和壓縮數(shù)據(jù)的哈希(hash)值被用作數(shù)字簽名算法的輸入���。這保證了單次口令有意義地確定用于每個會話的客戶端和服務(wù)器之間的通信流���。
這種機(jī)制可以與游戲幣(casino chip)或者其他類型的游戲牌一起用于牌驗證的目的。在該特定的實施例中�����,第一方式應(yīng)當(dāng)是優(yōu)選的�,因為它僅僅要求RFID標(biāo)簽擁有用于數(shù)據(jù)存儲的存儲器。
雖然上面已經(jīng)利用優(yōu)選實施方式解釋了本發(fā)明�����,但是應(yīng)當(dāng)指出,在所附權(quán)利要求的范圍內(nèi)對該優(yōu)選實施方式的任何修改都不被視為更改或改變了本發(fā)明的本質(zhì)和范圍�����。
權(quán)利要求
1.一種網(wǎng)絡(luò)實施安全系統(tǒng)�,包括配置為發(fā)送質(zhì)詢的中央位置;至少一個客戶站�,所述至少一個客戶站中的每一個都配有代理并與所述中央位置通信;一組S獨(dú)立的單次口令�����,所述單次口令中的每一個都與一個索引值相關(guān)聯(lián)���;從而��,響應(yīng)于由所述中央位置發(fā)送到所述至少一個客戶站中的至少一個的質(zhì)詢�,所述代理向所述中央位置返回與正確的響應(yīng)相對應(yīng)的單次口令����,否則所述中央位置認(rèn)為所述客戶站是不安全的���。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其中��,所述客戶站是RFID標(biāo)簽����,所述一組S獨(dú)立的單次口令包括獨(dú)立的單次口令的一個子集S′,所述子集S′中的每個單次口令都與索引i相關(guān)聯(lián)�,所述子集S′被安全地存儲在所述RFID標(biāo)簽中,由中央位置發(fā)送的所述質(zhì)詢是隨機(jī)索引i�����,被返回到所述中央位置的單次口令是對應(yīng)于所述索引i的單次口令����。
3.根據(jù)權(quán)利要求1所述的系統(tǒng),其中�����,所述客戶站被配置為基于初始機(jī)密并且基于密碼函數(shù)f對初始機(jī)密的迭代來計算單次口令����。
4.根據(jù)權(quán)利要求2所述的系統(tǒng)���,其中,所述中央控制器和所述客戶站之間的通信被加密�。
5.根據(jù)權(quán)利要求3所述的系統(tǒng),其中���,所述中央控制器和所述客戶站之間的通信被加密����。
6.根據(jù)權(quán)利要求1所述的系統(tǒng)�,其中,所述代理被配置為執(zhí)行預(yù)定的命令列表�����,所述命令列表被存儲在所述中央位置中�,從而當(dāng)所述代理執(zhí)行不在所述命令列表中的命令時,所述中央位置確定該代理被存儲在的客戶站受到安全威脅�。
7.根據(jù)權(quán)利要求1所述的系統(tǒng)����,其中,所述中央位置和所述客戶站之間的通信在被發(fā)送前被壓縮��。
8.根據(jù)權(quán)利要求1所述的系統(tǒng),其中�,所述中央位置配備有所有活動客戶站的簽名列表,并且其中���,所述中央位置輪詢所述客戶站�,以構(gòu)建盤點清單�����。
9.根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其中�����,所述客戶站是RFID標(biāo)簽�����、游戲幣����、計算機(jī)���、手持設(shè)備、便攜式數(shù)字助手或者它們的組合����。
10.一種在中央位置和至少一個客戶站之間進(jìn)行安全通信的方法,包括以下步驟(a)生成初始機(jī)密�����,并將該初始機(jī)密存儲在所述中央位置中��;(b)生成一組單次口令�,所述單次口令中的每一個都與一個索引相關(guān)聯(lián);(c)將所述一組單次口令的一個子集存儲在所述客戶站中��;(d)從所述中央位置向所述客戶站發(fā)送質(zhì)詢����,其中所述質(zhì)詢是所述一組單次口令的所述子集的索引;(e)從所述客戶站向所述中央位置發(fā)送與所述索引相關(guān)聯(lián)的單次口令�。
11.一種在中央位置和至少一個客戶站之間進(jìn)行安全通信的方法,包括以下步驟(a)生成初始機(jī)密���,并將該初始機(jī)密存儲在所述中央位置和所述至少一個客戶站中����;(b)從所述中央位置向所述至少一個客戶站發(fā)送質(zhì)詢��,所述質(zhì)詢是一個索引���;(c)在所述客戶站生成單次口令�,所述單次口令是密碼函數(shù)對所述初始機(jī)密的迭代���,所述迭代與所述索引有關(guān)���;(d)將所述單次口令發(fā)送到所述中央位置。
12.根據(jù)權(quán)利要求11所述的方法���,其中�����,所述至少一個客戶站是RFID標(biāo)簽���,所述RFID標(biāo)簽還配有唯一的序列號,其中所述唯一的序列號被用來生成所述初始機(jī)密。
全文摘要
一種網(wǎng)絡(luò)安全實施系統(tǒng)包括被配置為發(fā)送質(zhì)詢的中央位置�����;和至少一個客戶站�����,所述客戶站中的每一個都配有代理并與中央位置通信�����。該系統(tǒng)包括一組S獨(dú)立的單次口令��,每個單次口令都與一個索引值相關(guān)聯(lián)���。響應(yīng)于由中央位置發(fā)送到客戶站中的至少一個的質(zhì)詢���,代理向中央位置返回與正確的響應(yīng)相對應(yīng)的單次口令,否則����,中央位置認(rèn)為客戶站是不安全的。
文檔編號H04L9/32GK101015163SQ200580024637
公開日2007年8月8日 申請日期2005年6月16日 優(yōu)先權(quán)日2004年6月16日
發(fā)明者蓋伊-阿曼德·卡門杰, 克里斯蒂·理查德 申請人:奎爾泰克技術(shù)銷售公司