專利名稱:一種基于可信協(xié)議的網(wǎng)絡(luò)監(jiān)控方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)信息安全領(lǐng)域,涉及網(wǎng)絡(luò)安全中主機(jī)非法連接監(jiān)視 及控制技術(shù)���。
背景技術(shù):
現(xiàn)階段�,信息泄露問題在高度網(wǎng)絡(luò)化發(fā)展的現(xiàn)實(shí)中顯得尤為突出?�,F(xiàn)在一 臺(tái)普通的計(jì)算機(jī)擁有各種豐富的外部接口���,可以通過各種途徑連接互聯(lián)網(wǎng)�,這 就給一些保密單位及部門對(duì)核心信息的安全保護(hù)提出了很高的要求�����。國家最近 幾年一直非常關(guān)注網(wǎng)絡(luò)信息泄密問題,這不僅是個(gè)人問題��,很多情況下還涉及 到國家利益��。
現(xiàn)有的主機(jī)連接互聯(lián)網(wǎng)的方式非常多�,通常有以下幾種
(1) 通過以太網(wǎng)網(wǎng)線,連接互聯(lián)網(wǎng)網(wǎng)關(guān)方式接入互聯(lián)網(wǎng)�;
(2) 通過無線網(wǎng)卡接入互聯(lián)網(wǎng);
(3) 通過Modem����、 ADSL、上網(wǎng)卡等設(shè)備撥號(hào)接入互聯(lián)網(wǎng)����;
(4) 通過移動(dòng)通信設(shè)備,如手機(jī)�,使用GPRS、 CDMA等網(wǎng)絡(luò)接入互聯(lián)網(wǎng)���。 在不允許連接互聯(lián)網(wǎng)的內(nèi)部網(wǎng)絡(luò)環(huán)境中�����,主機(jī)可能通過以上途徑違規(guī)方式
進(jìn)行外聯(lián)����,從而可能導(dǎo)致涉密信息的泄露。這里的違規(guī)外聯(lián)是指對(duì)不允許連接 互聯(lián)網(wǎng)的計(jì)算機(jī)進(jìn)行互聯(lián)網(wǎng)訪問操作的行為�。因此��,需要通過對(duì)這些違規(guī)外聯(lián) 行為進(jìn)行檢測�����,來防止涉密信息的外泄��。
目前���,對(duì)違規(guī)外聯(lián)監(jiān)控檢測手段主要有以下兩種
(1) 通過物理隔絕或外設(shè)控制的方式�����。即禁用特定的外設(shè)(如網(wǎng)線����、無線 網(wǎng)卡�����、USB接口等),由此來控制實(shí)現(xiàn)禁止計(jì)算機(jī)通過這些接口連接互 聯(lián)網(wǎng)��;
(2) 通過檢測是否連通知名網(wǎng)站的方式���。即定期檢測一些互聯(lián)網(wǎng)地址是否 連通��,如果連通則說明存在違規(guī)行為�。
第一種方式具有很大的局限性���, 一方面由于外設(shè)類型的不斷增加可能造成控 制失敗�,另一方面會(huì)造成使用上的不方便(如物理隔絕后造成無法訪問內(nèi)網(wǎng)中
的其他合法子網(wǎng))����。第二種方式有一個(gè)重大問題它是一種事后檢測的機(jī)制,也 就是說通過該檢測方式檢測到主機(jī)連接了互聯(lián)網(wǎng)時(shí)����,可能使用者己經(jīng)訪問互聯(lián) 網(wǎng)并泄露了信息,這是由于訪問與檢測存在時(shí)間差造成的�����。
發(fā)明內(nèi)容
本發(fā)明目的是為防止非法的網(wǎng)絡(luò)連接行為,提出一種基于可信協(xié)議的網(wǎng)絡(luò) 監(jiān)控方法���,通過設(shè)定訪問規(guī)則來限定只有符合該訪問規(guī)則的主機(jī)才允許通信�, 對(duì)不符合訪問規(guī)則的通信行為視為非法連接并對(duì)其進(jìn)行攔截��。本發(fā)明方法使用 攔截判斷���,基于可信協(xié)議的方式對(duì)連接網(wǎng)絡(luò)的操作進(jìn)行控制,保證只有可信主 機(jī)之間能夠通信���,除此以外的連接將被阻斷���,因而外聯(lián)行為也就不能進(jìn)行,從 而杜絕因非法外聯(lián)帶來的信息泄露�����。
本發(fā)明的技術(shù)方案是在需要進(jìn)行網(wǎng)絡(luò)監(jiān)控的網(wǎng)絡(luò)環(huán)境中�,為每一臺(tái)需要 監(jiān)控的主機(jī)安裝代理程序,安裝了代理程序并且服務(wù)器中設(shè)置了該主機(jī)IP之后 的主機(jī)稱為可信主機(jī)��。代理程序負(fù)責(zé)監(jiān)視可信主機(jī)的網(wǎng)絡(luò)連接行為并進(jìn)行判斷����, 只有合法的連接行為才允許通行����,非法的連接行為將被阻斷�。為檢測網(wǎng)絡(luò)連接 行為是否合法,系統(tǒng)采用基于IBE的公鑰體系�,在該網(wǎng)絡(luò)環(huán)境中部署服務(wù)器, 并在服務(wù)器中部署一個(gè)可信主機(jī)管理模塊���,可信主機(jī)管理模塊為每一臺(tái)可信主 機(jī)分發(fā)一個(gè)私鑰����,該私鑰對(duì)應(yīng)的公鑰是相應(yīng)的可信主機(jī)IP地址�����,私鑰通過安全 的方式發(fā)送給每一臺(tái)可信主機(jī)���。
可信主機(jī)代理程序分為兩部分 一是可信主機(jī)攔截模塊��,二是可信主機(jī)探 測模塊��??尚胖鳈C(jī)攔截模塊以網(wǎng)路驅(qū)動(dòng)的形式存在,負(fù)責(zé)截獲可信主機(jī)的所有 網(wǎng)絡(luò)連接行為����,并通知可信主機(jī)探測模塊探測被訪問方,判斷其是否可信,如果 可信主機(jī)探測模塊返回的是不可信消息����,可信主機(jī)攔截模塊將丟棄網(wǎng)絡(luò)數(shù)據(jù)包, 拒絕訪問���;若返回的是可信消息����,就允許網(wǎng)絡(luò)數(shù)據(jù)包通行���。
為防止網(wǎng)絡(luò)內(nèi)部出現(xiàn)可信主機(jī)進(jìn)行非法外聯(lián)、非可信主機(jī)假冒可信主機(jī)進(jìn) 行非法外聯(lián)或非法內(nèi)聯(lián)的情況�,系統(tǒng)服務(wù)器中的可信主機(jī)管理模塊將維護(hù)一個(gè) 可信主機(jī)IP地址列表(也就是公鑰列表),該列表存放在可信主機(jī)管理模塊中����, 各可信主機(jī)將定期從服務(wù)器下載最新的公鑰列表進(jìn)行查詢,并更新本地的公鑰 列表�����。可信主機(jī)中的可信主機(jī)攔截模塊在通知可信主機(jī)探測模塊進(jìn)行探測之前�����, 將首先判斷被訪問方的IP是否在該可信主機(jī)列表中�����,如果不在��,就丟棄數(shù)據(jù)包����,
若在,則通知可信主機(jī)探測模塊進(jìn)行可信探測���。
在網(wǎng)絡(luò)內(nèi)部的相互訪問過程中����,為防止出現(xiàn)可信主機(jī)與非可信主機(jī)間出現(xiàn) 訪問的情況����,本發(fā)明使用可信主機(jī)探測協(xié)議��,通過采用隨機(jī)數(shù)挑戰(zhàn)/響應(yīng)的方式�,
探測方將以被訪問方的IP地址作為公鑰����,系統(tǒng)使用IBE算法通過該公鑰加密一 個(gè)隨機(jī)數(shù),并將加密后的結(jié)果發(fā)送給被訪問方��,然后等待被訪問方的響應(yīng)���,如 果響應(yīng)結(jié)果等于發(fā)送的隨機(jī)數(shù)加一�,則表示被訪問方可信����,否則為不可信。每 臺(tái)可信主機(jī)都維護(hù)一個(gè)可信探測列表�,該列表中包含已被探測并通過驗(yàn)證的可 信主機(jī)IP地址��,以及最近一次的驗(yàn)證時(shí)刻(即被訪問方返回正確相應(yīng)結(jié)果的時(shí) 刻)�����。如果新的探測請(qǐng)求中包含的被訪問方IP地址在該列表中�,并且當(dāng)前時(shí)刻 與最近一次驗(yàn)證時(shí)刻的間隔在2分鐘之內(nèi)�����,就無需再進(jìn)行探測�,系統(tǒng)認(rèn)定該訪 問對(duì)象為可信���,從而提高系統(tǒng)監(jiān)控的效率和可靠性��。為防止可信主機(jī)探測模塊 所發(fā)送的探測數(shù)據(jù)包被可信主機(jī)攔截模塊阻擋�,可信主機(jī)攔截模塊首先檢測被 訪問方的接收端口是否'為其可信主機(jī)探測模塊使用的專用端口��, 一旦可信主機(jī) 攔截模塊檢測到通信端口是可信主機(jī)探測模塊使用的專用端口 ����,就直接放行該 數(shù)據(jù)包。
本發(fā)明對(duì)域名訪問使用的DNS協(xié)議不進(jìn)行控制��,但當(dāng)被訪問方域名解析完 成����,需要使用對(duì)方的IP地址訪問對(duì)方時(shí),就將受到可信主機(jī)攔截模塊的控制��。 本發(fā)明所提出的一種基于可信協(xié)議的網(wǎng)絡(luò)監(jiān)控方法����,具體步驟如下-
A. 在需進(jìn)行監(jiān)控的網(wǎng)絡(luò)中配置服務(wù)器�����,并在服務(wù)器中安裝可信主機(jī)管理模 塊�,然后進(jìn)行步驟B;
B. 在需要進(jìn)行監(jiān)控的客戶機(jī)中安裝可信主機(jī)代理程序�,并在服務(wù)器中將這 些客戶機(jī)的IP設(shè)置成可信IP,然后進(jìn)行步驟C;
C. 可信主機(jī)管理模塊做為可信主機(jī)的密鑰分發(fā)中心�����,系統(tǒng)使用基于IBE算 法���,將各可信主機(jī)的IP地址做為公開密鑰(公鑰)����,并生成私有密鑰(私 鑰)���,將私鑰發(fā)送給相應(yīng)的可信主機(jī)���,隨后進(jìn)行步驟D;
D. 可信主機(jī)管理模塊將公鑰信息��,即公鑰列表,放置于可信主機(jī)管理模塊 中可公開訪問的位置進(jìn)行發(fā)布���;
E. 各可信主機(jī)通過各自的可信主機(jī)代理程序從服務(wù)器中獲取經(jīng)步驟D發(fā)布 的最新公鑰列表��,并存儲(chǔ)在本地�����,更新原來的公鑰列表����;
F. 當(dāng)可信主機(jī)有應(yīng)用程序欲訪問網(wǎng)絡(luò)時(shí)����,可信主機(jī)攔截模塊截獲該訪問請(qǐng)求,并獲取目標(biāo)地址(即被訪問方的IP地址)及其端口號(hào)�����,隨后進(jìn)行步 驟G;
G. 判斷目標(biāo)地址是否在公鑰列表中�,如果不在,則丟棄數(shù)據(jù)包��,拒絕訪問����,
如果在公鑰列表中�����,則繼續(xù)步驟H;
H. 判斷目標(biāo)端口 (即被訪問方的端口)是否為可信主機(jī)探測模塊使用的探 測服務(wù)端口�����,如果是���,則允許數(shù)據(jù)包通過,否則進(jìn)行步驟I;
I. 判斷最近一次驗(yàn)證目標(biāo)IP可信的時(shí)刻與當(dāng)前時(shí)刻間隔大小�����,如果當(dāng)前時(shí) 刻與最近一次驗(yàn)證時(shí)刻的間隔在兩分鐘之內(nèi)���,則將可信探測列表中該目 標(biāo)IP對(duì)應(yīng)的驗(yàn)證時(shí)間更新為當(dāng)前時(shí)刻����,然后通知可信主機(jī)攔截模塊,告
知其該目標(biāo)主機(jī)為可信主機(jī)�����,允許數(shù)據(jù)包通過�;如果時(shí)間超出可接受的
范圍,說明該可信時(shí)間無效��,進(jìn)行步驟J; J.與被訪問方的可信主機(jī)探測模塊使用的專用端口建立TCP連接�����,如果連 接結(jié)果顯示為失敗���,則更新本地的可信探測列表���,判斷對(duì)方主機(jī)為不可 信主機(jī),丟棄數(shù)據(jù)包�����,拒絕訪問���,否則進(jìn)行步驟K;
K.探測方將以被訪問方的IP地址作為公鑰��,系統(tǒng)使用IBE算法通過該公鑰 加密一個(gè)隨機(jī)數(shù)�,再將加密數(shù)據(jù)發(fā)送給對(duì)方主機(jī),然后進(jìn)行步驟U
L.等待接收對(duì)方主機(jī)響應(yīng)���,如果超時(shí)沒有回應(yīng)����,則更新可信主機(jī)探測列表���, 判斷對(duì)方主機(jī)為不可信主機(jī)����,丟棄數(shù)據(jù)包���,拒絕訪問����;若收到對(duì)方的響 應(yīng)數(shù)據(jù)�����,則繼續(xù)步驟M;
M.判斷接收到的響應(yīng)數(shù)據(jù)是否等于步驟K中的隨機(jī)數(shù)加一���,如果不相等����, 則更新可信主機(jī)探測列表,判斷對(duì)方主機(jī)為不可信主機(jī)�����,丟棄數(shù)據(jù)包��, 拒絕訪問�����;若結(jié)果顯示相等���,則更新可信主機(jī)探測列表,判斷對(duì)方主機(jī) 為可信主機(jī)����,允許數(shù)據(jù)包通過。 有益效果
本發(fā)明提出的一種基于可信協(xié)議的網(wǎng)絡(luò)監(jiān)控方法具有以下優(yōu)點(diǎn)
(1) 解決了現(xiàn)有的網(wǎng)絡(luò)監(jiān)控方法中由時(shí)間差造成的安全問題���,能夠杜絕因 外聯(lián)造成的信息泄露���;
(2) 能防止多種形式的未授權(quán)外聯(lián)行為����。例如攻擊者趁可信主機(jī)不在線 時(shí)�����,使用其他相同IP的非可信主機(jī)冒充可信主機(jī)����,并與外網(wǎng)相連試圖泄露信息; 或者將某個(gè)普通主機(jī)的IP修改為可信主機(jī)的IP�����,并通過它做代理上網(wǎng)����;(3)不僅能實(shí)時(shí)監(jiān)視外聯(lián)行為,還能實(shí)時(shí)阻斷外聯(lián)行為�����,是一種主動(dòng)防御 技術(shù)���。
圖1為系統(tǒng)結(jié)構(gòu)示意圖2為本方法工作原理圖3為網(wǎng)絡(luò)監(jiān)控工作流程圖4為可信主機(jī)探測協(xié)議流程圖5為外聯(lián)探測用例圖���。
具體實(shí)施例方式
如圖1所示�����,為實(shí)現(xiàn)本發(fā)明所述的方法��,本發(fā)明設(shè)計(jì)一套基于可信協(xié)議的 外聯(lián)監(jiān)控系統(tǒng)��,系統(tǒng)部署在需要進(jìn)行網(wǎng)絡(luò)監(jiān)控的局域網(wǎng)中���,系統(tǒng)包括服務(wù)器及 客戶機(jī)兩個(gè)部分�。可信主機(jī)管理模塊部署在服務(wù)器上��,可信主機(jī)代理模塊部署 在客戶機(jī)上��??尚胖鳈C(jī)代理模塊又劃分為可信主機(jī)攔截模塊和可信主機(jī)探測模
塊兩個(gè)部分。系統(tǒng)中各個(gè)部分的功能如下
可信主機(jī)管理模塊負(fù)責(zé)管理系統(tǒng)中的可信主機(jī)�。所有可信主機(jī)信息在可 信主機(jī)管理模塊中匯總。管理內(nèi)容包括密鑰的管理及可信主機(jī)列表的管理���。
可信主機(jī)攔截模塊以網(wǎng)絡(luò)驅(qū)動(dòng)(如采用NDIS驅(qū)動(dòng)模型)的形式在可信主 機(jī)中安裝����,對(duì)可信主機(jī)發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包在網(wǎng)絡(luò)IP層進(jìn)行控制,其控制流程見 圖3所示����。
可信主機(jī)探測模塊包含兩個(gè)部分 一是可信主機(jī)探測客戶端模塊,二是 可信主機(jī)探測服務(wù)模塊����。每個(gè)可信主機(jī)中都具有這兩個(gè)模塊??尚胖鳈C(jī)探測模 塊的客戶端部分以應(yīng)用程序形式存在于可信主機(jī)中,負(fù)責(zé)與對(duì)方可信主機(jī)探測 服務(wù)模塊建立連接�����,并執(zhí)行可信協(xié)議驗(yàn)證對(duì)方是否可信��?��?尚胖鳈C(jī)探測服務(wù)模 塊以網(wǎng)絡(luò)服務(wù)形式存在于可信主機(jī)中�,負(fù)責(zé)接收可信主機(jī)探測客戶端模塊的連 接請(qǐng)求�,并執(zhí)行可信協(xié)議通信。
下面通過一個(gè)具體例子來說明本發(fā)明方法如何在實(shí)際環(huán)境中有效的進(jìn)行檢 測及阻斷違規(guī)外聯(lián)行為���。
圖5為一個(gè)典型的局域網(wǎng)絡(luò)環(huán)境����,在圖中服務(wù)器中安裝可信主機(jī)管理模塊,
在客戶機(jī)A及客戶機(jī)B中安裝可信主機(jī)代理模塊�����,客戶機(jī)A與客戶機(jī)B的IP地 址分別記為IPa及IPB��,客戶機(jī)A與客戶機(jī)B的私鑰分別為ra及rb�,客戶機(jī)C是 模擬的非法接入的主機(jī)。通過本發(fā)明的設(shè)計(jì)��,以下幾種非法外聯(lián)企圖將被禁止:
(1) 客戶機(jī)A與客戶機(jī)C通信�;
(2) 客戶機(jī)A企圖連接互聯(lián)網(wǎng)�;
(3) 客戶機(jī)C在客戶機(jī)B不在線時(shí)冒用客戶機(jī)B的地址,此時(shí)客戶機(jī)C與 客戶機(jī)A通信�����。
在第(1)種情況中��,由于客戶機(jī)C的IP地址并不在可信主機(jī)列表中���,因 此��,當(dāng)客戶機(jī)A與客戶機(jī)C連接時(shí)����,可信主機(jī)探測模塊將返回一個(gè)禁止訪問的 信息給可信主機(jī)攔截模塊,拒絕主機(jī)A連接不可信的主機(jī)C����。
在第(2)種情況中,主機(jī)A訪問網(wǎng)絡(luò)時(shí)被訪問方的域名解析可以完成��,但 當(dāng)使用對(duì)方的IP地址訪問時(shí)���,由于對(duì)方IP地址不在可信主機(jī)列表中�����,同樣會(huì) 被拒絕�����。
在第(3)種情況中���,由于可信主機(jī)探測協(xié)議執(zhí)行失敗將使得通信不成功����。 事實(shí)上��,當(dāng)主機(jī)A與主機(jī)C連接時(shí)��,可信主機(jī)探測模塊檢測到主機(jī)C的IP (冒 用IPB)在可信主機(jī)列表中�����,因此���,發(fā)送由IPB加密的隨機(jī)數(shù)給主機(jī)C���,由于主機(jī) C并沒有主機(jī)管理模塊分發(fā)的IPB對(duì)應(yīng)的私鑰,因此不能解密數(shù)據(jù)而獲得隨機(jī)數(shù)�, 此時(shí),主機(jī)A將不能收到隨機(jī)數(shù)加一�����,協(xié)議握手失敗��,主機(jī)A的攔截模塊將禁 止連接行為��。
以上列舉的三種通信行為對(duì)將可能發(fā)生的非法外聯(lián)情況進(jìn)行了一些列舉��, 從以上描述可以看出�,本發(fā)明使用的外聯(lián)監(jiān)控方法可有效的杜絕可信主機(jī)的外 聯(lián)行為。
權(quán)利要求
1.一種基于可信協(xié)議的網(wǎng)絡(luò)監(jiān)控方法�,其特征在于,具體步驟如下A.在需進(jìn)行監(jiān)控的網(wǎng)絡(luò)中配置服務(wù)器�,并在服務(wù)器中安裝可信主機(jī)管理模塊,然后進(jìn)行步驟B�����;B.在需要進(jìn)行監(jiān)控的客戶機(jī)中安裝可信主機(jī)代理程序�����,并在服務(wù)器中將這些客戶機(jī)的IP設(shè)置成可信IP��,然后進(jìn)行步驟C���;C.可信主機(jī)管理模塊做為可信主機(jī)的密鑰分發(fā)中心����,系統(tǒng)使用基于IBE算法,將各可信主機(jī)的IP地址做為公開密鑰�,即公鑰,并生成私有密鑰���,即私鑰���,將私鑰發(fā)送給相應(yīng)的可信主機(jī),隨后進(jìn)行步驟D�����;D.可信主機(jī)管理模塊將公鑰信息���,即公鑰列表�����,放置于可信主機(jī)管理模塊中可公開訪問的位置進(jìn)行發(fā)布�����;E.各可信主機(jī)通過各自的可信主機(jī)代理程序從服務(wù)器中獲取經(jīng)步驟D發(fā)布的最新公鑰列表�����,并存儲(chǔ)在本地����,更新原來的公鑰列表�;F.當(dāng)可信主機(jī)有應(yīng)用程序欲訪問網(wǎng)絡(luò)時(shí),可信主機(jī)攔截模塊截獲該訪問請(qǐng)求�����,并獲取目標(biāo)地址���,即被訪問方的IP地址�����,及其端口號(hào)��,隨后進(jìn)行步驟G�����;G.判斷目標(biāo)地址是否在公鑰列表中���,如果不在�����,則丟棄數(shù)據(jù)包����,拒絕訪問�,如果在公鑰列表中,則繼續(xù)步驟H�����;H.判斷目標(biāo)端口���,即被訪問方的端口���,是否為可信主機(jī)探測模塊使用的探測服務(wù)端口,如果是��,則允許數(shù)據(jù)包通過��,否則進(jìn)行步驟I�;I.判斷最近一次驗(yàn)證目標(biāo)IP可信的時(shí)刻與當(dāng)前時(shí)刻間隔大小,如果當(dāng)前時(shí)刻與最近一次驗(yàn)證時(shí)刻的間隔在兩分鐘之內(nèi)���,則將可信探測列表中該目標(biāo)IP對(duì)應(yīng)的驗(yàn)證時(shí)間更新為當(dāng)前時(shí)刻����,然后通知可信主機(jī)攔截模塊�,告知其該目標(biāo)主機(jī)為可信主機(jī),允許數(shù)據(jù)包通過����;如果時(shí)間超出可接受的范圍,說明該可信時(shí)間無效����,進(jìn)行步驟J;J.與被訪問方的可信主機(jī)探測模塊使用的專用端口建立TCP連接�����,如果連接結(jié)果顯示為失敗��,則更新本地的可信探測列表����,判斷對(duì)方主機(jī)為不可信主機(jī),丟棄數(shù)據(jù)包��,拒絕訪問,否則進(jìn)行步驟K����;K.探測方將以被訪問方的IP地址作為公鑰,系統(tǒng)使用IBE算法通過該公鑰加密一個(gè)隨機(jī)數(shù)�����,再將加密數(shù)據(jù)發(fā)送給對(duì)方主機(jī)���,然后進(jìn)行步驟L���;L.等待接收對(duì)方主機(jī)響應(yīng),如果超時(shí)沒有回應(yīng)�����,則更新可信主機(jī)探測列表�,判斷對(duì)方主機(jī)為不可信主機(jī),丟棄數(shù)據(jù)包���,拒絕訪問���;若收到對(duì)方的響應(yīng)數(shù)據(jù)��,則繼續(xù)步驟M�����;M.判斷接收到的響應(yīng)數(shù)據(jù)是否等于步驟K中的隨機(jī)數(shù)加一���,如果不相等�,則更新可信主機(jī)探測列表,判斷對(duì)方主機(jī)為不可信主機(jī)�,丟棄數(shù)據(jù)包,拒絕訪問�����;若結(jié)果顯示相等��,則更新可信主機(jī)探測列表���,判斷對(duì)方主機(jī)為可信主機(jī)��,允許數(shù)據(jù)包通過��。
全文摘要
本發(fā)明屬于網(wǎng)絡(luò)信息安全領(lǐng)域�����,具體涉及一種基于可信協(xié)議的網(wǎng)絡(luò)監(jiān)控方法�����。本發(fā)明采用一種主動(dòng)攔截技術(shù)�����,通過設(shè)定訪問規(guī)則來限定只有符合該訪問規(guī)則的主機(jī)才允許通信�,對(duì)不符合訪問規(guī)則的通信行為視為非法連接并對(duì)其進(jìn)行攔截。使用攔截判斷����,基于可信協(xié)議的方式對(duì)連接網(wǎng)絡(luò)的操作進(jìn)行控制,保證只有可信主機(jī)之間能夠通信���,除此以外的連接將被阻斷�����,從而杜絕因非法外聯(lián)帶來的信息泄露����。本發(fā)明所采用的方法廣泛適用于各種涉密網(wǎng)絡(luò),控制涉密主機(jī)的非法外聯(lián)行為��,防止涉密信息泄露����。
文檔編號(hào)H04L9/30GK101355459SQ20081011943
公開日2009年1月28日 申請(qǐng)日期2008年8月29日 優(yōu)先權(quán)日2008年8月29日
發(fā)明者昊 張, 李志勇, 李繼勇, 華 杜, 然 陶 申請(qǐng)人:北京理工大學(xué)