專利名稱:基于智能交換機(jī)的星形網(wǎng)絡(luò)防入侵和攻擊的方法
技術(shù)領(lǐng)域:
本發(fā)明屬于互聯(lián)網(wǎng)安全����,尤其設(shè)計(jì)防入侵和攻擊的技術(shù)領(lǐng)域。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展�,計(jì)算機(jī)已經(jīng)從傳統(tǒng)的單臺計(jì)算機(jī)形式演變?yōu)槟壳暗亩嗯_計(jì)算機(jī)互連的網(wǎng)絡(luò)系統(tǒng)形式。在這個(gè)發(fā)展過程中�����,計(jì)算機(jī)系統(tǒng)所面臨的安全問題也變得日益嚴(yán)重����,它已經(jīng)從傳統(tǒng)的單機(jī)形式演變?yōu)榛诰W(wǎng)絡(luò)的形式,所發(fā)生的安全問題包括通過網(wǎng)絡(luò)傳播病毒木馬等程序的非法入侵��,此外還包括基于網(wǎng)絡(luò)的信息竊取等攻擊手段。目前���,已有的交換機(jī)智能由管理員手工配置���,智能化程度較低。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種具有自反應(yīng)性的基于智能交換機(jī)的網(wǎng)絡(luò)防入侵和攻擊的方法��。
本發(fā)明的特征在于智能交換機(jī)最大的特點(diǎn)是自反應(yīng)性�����。目前已有的交換機(jī)只能由管理員手工配置����,智能化較低。智能交換機(jī)中的策略生成平臺中有一系列的策略機(jī)制����,可以根據(jù)不同的網(wǎng)絡(luò)狀況配置不同的安全策略,并由高性能交換機(jī)模塊完成具體的策略執(zhí)行�。這樣,就可以大大提高反應(yīng)速度����,降低由于反應(yīng)不及時(shí)所造成的損失���。
該方法依次會有以下步驟步驟(1)在智能交換機(jī)上建立所述星形網(wǎng)絡(luò)中所有客戶機(jī)的IP地址表,同時(shí)用從小到大的正整數(shù)表示的安全級別序列���,數(shù)字越小表示安全級別越高����,并把該安全級別序列分組����,按組決定密級�����,設(shè)定通訊規(guī)則為同一組的各客戶機(jī)之間的通信為合法通信���,否則為非法通信����;步驟(2)郵件服務(wù)器不斷把各客戶端使用的涉密文件的安全級別通知該智能交換機(jī)���;步驟(3)該智能交換機(jī)根據(jù)從該服務(wù)器獲得的涉密文件的安全級別�����,給相應(yīng)的客戶機(jī)定義密級�,并建立客戶機(jī)的密級相對于其IP地址的一對多的映射表,以此對該星形網(wǎng)絡(luò)中的所有客戶機(jī)的安全行為進(jìn)行限定�����;步驟(4)各客戶機(jī)在每次啟動時(shí)��,都被置為最低安全級別���,即安全級別序列中的最大值�,隨后���,當(dāng)客戶從該郵件服務(wù)器上獲取涉密文件時(shí)�����,該智能交換機(jī)根據(jù)該文件的安全級別�����,為該客戶機(jī)指定一個(gè)密級�����,并根據(jù)安全級別所在的密級�,決定是否修改所述映射表,據(jù)此生成相應(yīng)的客戶機(jī)的通訊規(guī)則��;步驟(5)步驟(4)中所述的客戶機(jī)而智能交換機(jī)發(fā)出通訊請求要與另一個(gè)客戶機(jī)通訊時(shí)�,智能服務(wù)器便根據(jù)所述映射表制定,這兩個(gè)客戶機(jī)是否數(shù)據(jù)同一組�,若屬于同一組,便轉(zhuǎn)發(fā)該通訊請求��,否則�,便向發(fā)送通訊請求的客戶機(jī)發(fā)出拒絕通訊的信號��;步驟(6)當(dāng)該智能交換機(jī)發(fā)現(xiàn)步驟(4)中所述的客戶機(jī)內(nèi)無涉密文件時(shí)�,便把該客戶機(jī)的密級降到最低。
圖1����、帶智能交換機(jī)網(wǎng)絡(luò)的安全級別分配圖;1.安全級別分組A1�,2,3;安全級別分組B4�����,5���,6����;安全級別分組C7���,8�����,9機(jī)器標(biāo)識(IP地址) 安全級別192.168.1.23192.168.1.36192.168.1.372.智能交換機(jī)給局域網(wǎng)中的每個(gè)客戶機(jī)都指定了一個(gè)安全級別3.智能交換機(jī)根據(jù)獲得的各終端的涉密情況生成一套安全策略�,給各終端指定安全級別�,安全級別屬于同一組的客戶機(jī)之間的通信為合法通信。并由此控制各終端的通訊能力�。
圖2、帶智能交換機(jī)網(wǎng)絡(luò)的保障安全*的流程圖����;4.客戶機(jī)A具有較高的安全級別��,它要和具有較低安全級別的客戶機(jī)B通信5.客戶機(jī)A將通過智能交換機(jī)與客戶機(jī)B通訊6.智能交換機(jī)根據(jù)客戶機(jī)A和客戶機(jī)B的標(biāo)識���,查找對應(yīng)的交換表,發(fā)現(xiàn)客戶機(jī)A不能和客戶機(jī)B通訊���。則判定本次通訊非法��,否定本次通訊�����。
具體的實(shí)施方式智能交換機(jī)的主要功能就是控制內(nèi)網(wǎng)數(shù)據(jù)流傳播�,防止敏感資料外泄��。其核心思想是通過將涉密資料和涉密終端層次化�����。根據(jù)各終端的涉密程度生成不同的安全策略����,控制其網(wǎng)絡(luò)行為���,進(jìn)而防止敏感資料的外泄��。
智能交換機(jī)由兩部分組成高性能交換機(jī)和策略生成平臺��。
與Hub����、中繼器不同,智能交換機(jī)是一個(gè)二層以上的設(shè)備�。在部署了智能交換機(jī)后,網(wǎng)絡(luò)的基本拓?fù)浣Y(jié)構(gòu)會由總線形式變?yōu)樾切谓Y(jié)構(gòu)����。在星形結(jié)構(gòu)中,所有的網(wǎng)絡(luò)數(shù)據(jù)流都將通過中間結(jié)點(diǎn)�����,即智能交換機(jī)����。這樣我們就可以通過智能交換機(jī)控制所有終端的數(shù)據(jù)通訊,根據(jù)策略布置情況允許或是截?cái)嘟K端的數(shù)據(jù)通訊���。
策略生成平臺的主要功能是根據(jù)各個(gè)終端的涉密程度制定安全�����、合適的策略�����,并將策略轉(zhuǎn)換為具體的端口通訊規(guī)則�����,再交由高性能交換機(jī)完成具體的通訊控制�����。
具體地講���,監(jiān)控策略主要包括(1)每個(gè)客戶機(jī)與其它計(jì)算機(jī)的網(wǎng)絡(luò)連接權(quán)限其中��,其它計(jì)算機(jī)包括局域網(wǎng)中的其它客戶機(jī)��、網(wǎng)絡(luò)共享的打印機(jī)�����、外部網(wǎng)絡(luò)等等��;(2)對數(shù)據(jù)服務(wù)器上的存儲的或其它安全應(yīng)用系統(tǒng)提供的敏感數(shù)據(jù)�����,提供強(qiáng)制性控制策略即對敏感的數(shù)據(jù)的安全級別進(jìn)行分級����,訪問到敏感數(shù)據(jù)的用戶被賦予同樣的安全級別���,并按照用戶的安全級別對其通信范圍進(jìn)行限制��,例如�,要求用戶A只能與安全級別不低于自身的其他用戶進(jìn)行通信�,對于外網(wǎng)或者安全級別低于A的用戶,監(jiān)控器將進(jìn)行物理隔離����,從而避免這些敏感數(shù)據(jù)外泄;(3)對某客戶機(jī)的控制權(quán)系統(tǒng)應(yīng)該擁有對客戶機(jī)的絕對控制權(quán)�,在必要時(shí),可以強(qiáng)制要求客戶機(jī)重啟以奪取控制權(quán)����。
高性能交換機(jī)的主要功能是根據(jù)策略生成平臺產(chǎn)生的端口通訊規(guī)則配置具體的各端口通訊表��。
智能交換機(jī)的工作流程如下(1)智能交換機(jī)給局域網(wǎng)中的每個(gè)客戶機(jī)都指定一個(gè)安全級別(可以用一組數(shù)字來表示���,比如說1,2����,3…N,數(shù)字越小表示安全級別越高�����。具體各客戶機(jī)的安全級別由其從服務(wù)器中獲得的涉密文件的安全級別決定���,服務(wù)器會時(shí)時(shí)將各客戶端使用涉密文件情況通知智能交換機(jī)��,智能交換機(jī)根據(jù)安全策略給各客戶端定密級)�����,同時(shí)系統(tǒng)管理員會在智能交換機(jī)上配置一組安全策略�,這組安全策略將整個(gè)安全級別域分為若干組��,安全級別屬于同一組的客戶機(jī)之間的通信為合法通信,而安全級別屬于不同組的客戶機(jī)之間的通信為非法通信(如圖1所示)�����。
(2)同時(shí)智能交換機(jī)會依據(jù)配置的安全策略��,對局域網(wǎng)上的所有終端的通訊行為進(jìn)行限定���,嚴(yán)格禁止違反規(guī)則的通訊行為。(如圖2所示)����。
權(quán)利要求
1.基于智能交換機(jī)的星形網(wǎng)絡(luò)防入侵和攻擊的方法,其特征在于�����,該方法依次會有以下步驟步驟(1)在智能交換機(jī)上建立所述星形網(wǎng)絡(luò)中所有客戶機(jī)的IP地址表��,同時(shí)用從小到大的正整數(shù)表示的安全級別序列��,數(shù)字越小表示安全級別越高���,并把該安全級別序列分組�����,按組決定密級����,設(shè)定通訊規(guī)則為同一組的各客戶機(jī)之間的通信為合法通信,否則為非法通信�;步驟(2)服務(wù)器不斷把各客戶端使用的涉密文件的安全級別通知該智能交換機(jī);步驟(3)該智能交換機(jī)根據(jù)從該服務(wù)器獲得的涉密文件的安全級別���,給相應(yīng)的客戶機(jī)定義密級��,并建立客戶機(jī)的密級相對于其IP地址的一對多的映射表��,以此對該星形網(wǎng)絡(luò)中的所有客戶機(jī)的安全行為進(jìn)行限定���;步驟(4)各客戶機(jī)在每次啟動時(shí),都被置為最低安全級別����,即安全級別序列中的最大值,隨后���,當(dāng)客戶從該郵件服務(wù)器上獲取涉密文件時(shí)���,該智能交換機(jī)根據(jù)該文件的安全級別���,為該客戶機(jī)指定一個(gè)密級,并根據(jù)安全級別所在的密級���,決定是否修改所述映射表,據(jù)此生成相應(yīng)的客戶機(jī)的通訊規(guī)則���;步驟(5)步驟(4)中所述的客戶機(jī)而智能交換機(jī)發(fā)出通訊請求要與另一個(gè)客戶機(jī)通訊時(shí)�,智能服務(wù)器便根據(jù)所述映射表制定���,這兩個(gè)客戶機(jī)是否屬于同一組�,若屬于同一組�,便轉(zhuǎn)發(fā)該通訊請求,否則���,便向發(fā)送通訊請求的客戶機(jī)發(fā)出拒絕通訊的信號�;步驟(6)當(dāng)該智能交換機(jī)發(fā)現(xiàn)步驟(4)中所述的客戶機(jī)內(nèi)無涉密文件時(shí)���,便把該客戶機(jī)的密級降到最低��。
全文摘要
本發(fā)明屬于星形網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�����,其特征在于智能服務(wù)器收到各客戶機(jī)要求的涉密文件后�,根據(jù)涉密文件的安全級別為相應(yīng)的客戶機(jī)設(shè)定一個(gè)密級,相應(yīng)地建立一個(gè)星形網(wǎng)絡(luò)中所有客戶機(jī)的IP地址與他們的根據(jù)該安全級別劃分的密級的對應(yīng)表�����,設(shè)定屬于同一個(gè)組密級類別的客戶機(jī)之間允許通訊�;若不屬于同一組內(nèi)的各客戶機(jī)之間拒絕通訊;當(dāng)某一客戶機(jī)獲取的涉密文件安全級別因文件的不同而改變時(shí)�,便判斷是否需要改變該客戶機(jī)的密級。本發(fā)明具有很強(qiáng)的自適應(yīng)性���,克服了目前由管理員手工配置的缺點(diǎn)����。
文檔編號H04L12/54GK1889502SQ20061001209
公開日2007年1月3日 申請日期2006年6月2日 優(yōu)先權(quán)日2006年6月2日
發(fā)明者戴一奇, 陳嘉, 司天歌, 程磊, 劉鐸, 譚智勇, 鄒嘉, 張堯?qū)W, 賈培發(fā), 雷釗杰, 龔婕, 戴瑞, 陳偉, 栗文平 申請人:清華大學(xué)