專利名稱:一種實現(xiàn)可信局域網(wǎng)及互聯(lián)網(wǎng)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)���,特別涉及一種實現(xiàn)可信局域網(wǎng)及互聯(lián)網(wǎng)的方法。
背景技術(shù):
隨著電子商務(wù)/政務(wù)的深入�,社會正常運轉(zhuǎn)對互聯(lián)網(wǎng)的依賴越來越強,網(wǎng)絡(luò) 入侵�、網(wǎng)絡(luò)犯罪等信息安全事件時有發(fā)生,建立可追溯�����、可監(jiān)控�、可信、有序的 安全的互聯(lián)網(wǎng)空間越來越迫切。
現(xiàn)有的網(wǎng)絡(luò)監(jiān)管技術(shù)�����,通常都是通過日志對計算機進行反跟蹤���。而作為追溯 依據(jù)的日志,數(shù)據(jù)量大�、分布廣、更新快��,使得追溯困難重重����。
為了網(wǎng)絡(luò)訪問的安全以及節(jié)省IP開銷、提高訪問速度���,代理服務(wù)成為網(wǎng)絡(luò) 應(yīng)用一個不可缺少的部分�,所以���,計算機A要訪問計算機B中間可能跨過了許
多代理^,;^,…義"���,但是對B而言它只知道X"訪問了它,要找到A必須通過 査找J^,…,A,A的日志。
但是如果僅僅是國內(nèi)的代理還比較容易得到日志����, 一旦其中還有國外的代 理,那么要獲取代理日志就更難���。
而且在浩瀚的日志中要査找到有效的信息是費時費力的�,很有可能在沒有找 到源機器時其中的一些代理已經(jīng)更新了日志了 ���。而且破壞者有時為了毀滅自己訪 問痕跡可能會將代理的日志信息刪去�,使得采證無法進行����。
網(wǎng)絡(luò)取證的手段,最好的方式莫過與可以從目標(biāo)機器上取得源機器的信息��, 這樣就無需要經(jīng)過重重的路由器��、代理服務(wù)器來査找源機器到底在哪里�,實現(xiàn)直 接取證,大大減短找到源頭的時間��。
我們知道�,IP協(xié)議是TCP/IP協(xié)議族中最為核心的協(xié)議。所有的TCP、UDP��、 ICMP 及IGMP數(shù)據(jù)都以IP數(shù)據(jù)報格式傳輸���。IP數(shù)據(jù)報的格式如圖1所示��,普通的IP數(shù)據(jù) 報首部長為20個字節(jié),除非含有選項字段��。
這里的"選項"字段�,是數(shù)據(jù)報中的一個可變長的可選信息。目前�,這些任 選項定義如下
安全和處理限制(用于軍事領(lǐng)域)
記錄路徑(讓每個路由器都記下它的IP地址)
時間戳(讓每個路由器都記下它的IP地址和時間)
寬松的源站選路(為數(shù)據(jù)報指定一系列必須經(jīng)過的IP地址)
嚴(yán)格的源站選路(與寬松的源站選路類似,但是要求只能經(jīng)過指定的這些 地址��,不能經(jīng)過其他的地址)���。
這些選項很少被使用�����,而且并非所有的主機和路由器都支持這些選項�。
選項字段一直都是以32 bit作為界限�����,在必要的時候插入值為O的填充字節(jié)。 這樣就保證IP首部始終是32 bit的整數(shù)倍(這是首部長度字段所要求的)����。
IP數(shù)據(jù)報是不可靠的,因為IP并沒有做任何事情來確認(rèn)數(shù)據(jù)包是按順序發(fā) 送的或者沒有被破壞����。根據(jù)IP數(shù)據(jù)報無法獲得或無法準(zhǔn)確獲得的數(shù)據(jù)發(fā)送方標(biāo) 識(機器的IP地址、MAC地址或用戶的唯一標(biāo)識)�,IP數(shù)據(jù)報也沒有簽名及驗 證機制,依靠現(xiàn)有技術(shù)難以滿足我們在可追溯�����、可監(jiān)控�、可信、有序等方面的需 求��。
發(fā)明內(nèi)容
本發(fā)明目的在于克服上述現(xiàn)有技術(shù)中存在的缺陷�,提供一種實現(xiàn)可信局域網(wǎng) 及互聯(lián)網(wǎng)的方法。
本發(fā)明提供一種實現(xiàn)可信局域網(wǎng)及互聯(lián)網(wǎng)的方法��,包括以下步驟
(1) 在構(gòu)成局域網(wǎng)或互聯(lián)網(wǎng)的每臺數(shù)據(jù)接收或發(fā)送設(shè)備上的安裝并運行 IP數(shù)據(jù)報收發(fā)程序�����,以替換操作系統(tǒng)的協(xié)議處理部分;
(2) IP數(shù)據(jù)報收發(fā)程序?qū)?shù)據(jù)發(fā)送方設(shè)備將要發(fā)出的IP數(shù)據(jù)報進行電子 簽名��,重構(gòu)IP數(shù)據(jù)報�����;
(3) 數(shù)據(jù)接收方設(shè)備接收IP數(shù)據(jù)報�,對該IP數(shù)據(jù)報的"選項"字段的簽 名部分作簽名驗證,如正確則轉(zhuǎn)發(fā)����,接受�����;如不正確則拒絕轉(zhuǎn)發(fā)�,丟 棄。
所述的數(shù)據(jù)接收或發(fā)送設(shè)備是計算機�����、網(wǎng)關(guān)���、路由器等����。
步驟(2)中所述的重構(gòu)IP數(shù)據(jù)報,是將"數(shù)據(jù)發(fā)送方的標(biāo)識"和電子簽 名一起����,附加寫入IP數(shù)據(jù)報的"選項"字段;
所述的"數(shù)據(jù)發(fā)送方的標(biāo)識"可以是機器的IP地址�����、MAC地址或用戶的唯 一標(biāo)識���,或它們的組合�����。
本發(fā)明在IP數(shù)據(jù)報的"選項"字段中填入我們需要的驗證信息����,在需要進 行網(wǎng)絡(luò)取證時�����,可以從目標(biāo)機器上取得源機器的信息,這樣就無需要經(jīng)過重重的 路由器���、代理服務(wù)器來査找源機器到底在哪里���,實現(xiàn)直接取證,大大減短找到源 頭的時間��。有效實現(xiàn)了可追溯的����、可監(jiān)控、可信�、有序的安全局域網(wǎng)及互聯(lián)網(wǎng)。-
圖1是現(xiàn)有TCP/IP協(xié)議的IP數(shù)據(jù)報格式說明圖���; 圖2是本發(fā)明的可信局域網(wǎng)的IP數(shù)據(jù)報格式說明圖; 圖3是本發(fā)明實施例中步驟(2)的流程圖4是本發(fā)明實施例中步驟(3)的流程圖;
圖5是本發(fā)明的可信局域網(wǎng)及互聯(lián)網(wǎng)工作原理圖��。
具體實施例方式
下面結(jié)合附圖和具體實施例對本發(fā)明作進一步詳細(xì)描述
如圖2���、 3�、 4����、 5所示����,本實施例的一種實現(xiàn)可信局域網(wǎng)的方法���,包括以下
步驟
(1) 在構(gòu)成局域網(wǎng)或互聯(lián)網(wǎng)的每臺數(shù)據(jù)接收或發(fā)送設(shè)備上的安裝并運行 IP數(shù)據(jù)報收發(fā)程序���,以替換操作系統(tǒng)的協(xié)議處理部分;
(2) IP數(shù)據(jù)報收發(fā)程序?qū)?shù)據(jù)發(fā)送方設(shè)備將要發(fā)出的IP數(shù)據(jù)報進行電 子簽名���,重構(gòu)IP數(shù)據(jù)報�;
(3) 數(shù)據(jù)接收方設(shè)備接收IP數(shù)據(jù)報����,對該IP數(shù)據(jù)報的"選項"字段的 簽名部分作簽名驗證,如正確則轉(zhuǎn)發(fā)���,接受��;如不正確則拒絕轉(zhuǎn)發(fā)�,丟 棄�。
所述的數(shù)據(jù)接收或發(fā)送設(shè)備是計算機�����、網(wǎng)關(guān)���、路由器等。 步驟(2)中所述的重構(gòu)IP數(shù)據(jù)報���,是將"數(shù)據(jù)發(fā)送方的標(biāo)識"和電子簽 名一起����,附加寫入IP數(shù)據(jù)報的"選項"字段���,如圖2;所述的"數(shù)據(jù)發(fā)送方的標(biāo)識"可以是機器的IP地址��、MAC地址或用戶的唯 一標(biāo)識��,或它們的組合�。
應(yīng)用時如圖5所示��,在構(gòu)成局域網(wǎng)的每臺計算機上安裝IP數(shù)據(jù)報收發(fā)程序 并運行����,網(wǎng)關(guān)起到過濾IP數(shù)據(jù)報的功能,每接收到一個數(shù)據(jù)報���,就根據(jù)標(biāo)識���, 計算其相應(yīng)的簽名,并驗證簽名是否正確�,如果正確則轉(zhuǎn)發(fā)、接收����,否則拒絕轉(zhuǎn) 發(fā)、丟棄�����。本發(fā)明解決安全互聯(lián)網(wǎng)的第一步��,即可信的局域網(wǎng)���,實現(xiàn)可追溯的�����、 可監(jiān)控�、可信、有序的安全局域網(wǎng)���。由可信局域網(wǎng)組成的互聯(lián)網(wǎng)�����,也就是可追溯��、 可監(jiān)控���、可信、有序的互聯(lián)網(wǎng)����。
權(quán)利要求
1、一種實現(xiàn)可信局域網(wǎng)及互聯(lián)網(wǎng)的方法�����,包括以下步驟(1)在構(gòu)成局域網(wǎng)或互聯(lián)網(wǎng)的每臺數(shù)據(jù)接收或發(fā)送設(shè)備上安裝并運行IP數(shù)據(jù)報收發(fā)程序��,以替換操作系統(tǒng)的協(xié)議處理部分�����;(2)IP數(shù)據(jù)報收發(fā)程序?qū)?shù)據(jù)發(fā)送方設(shè)備將要發(fā)出的IP數(shù)據(jù)報進行電子簽名����,重構(gòu)IP數(shù)據(jù)報;(3)數(shù)據(jù)接收方設(shè)備接收IP數(shù)據(jù)報�����,對該IP數(shù)據(jù)報的“選項”字段的簽名部分作簽名驗證��,如正確則轉(zhuǎn)發(fā)�,接受;如不正確則拒絕轉(zhuǎn)發(fā)�����,丟棄��。
2����、 根據(jù)權(quán)利要求l所述的一種實現(xiàn)可信局域網(wǎng)及互聯(lián)網(wǎng)的方法,其特征 在于����,所述的數(shù)據(jù)接收或發(fā)送設(shè)備是計算機��、網(wǎng)關(guān)����、路由器�����。
3�、 根據(jù)權(quán)利要求l所述的一種實現(xiàn)可信局域網(wǎng)及互聯(lián)網(wǎng)的方法,其特征在 于���,步驟(2)中所述的重構(gòu)IP數(shù)據(jù)報�����,是將數(shù)據(jù)發(fā)送方的標(biāo)識和電子簽名一起��, 附加寫入IP數(shù)據(jù)報的"選項"字段���。
4、 根據(jù)權(quán)利要求3所述的一種實現(xiàn)可信局域網(wǎng)及互聯(lián)網(wǎng)的方法����,其特征在 于�,所述的數(shù)據(jù)發(fā)送方的標(biāo)識是指機器的IP地址���、MAC地址或用戶的唯一標(biāo)識, 或它們的組合����。
全文摘要
本發(fā)明公開了一種實現(xiàn)可信局域網(wǎng)及互聯(lián)網(wǎng)的方法,它包括以下步驟(1)在構(gòu)成局域網(wǎng)或互聯(lián)網(wǎng)的每臺數(shù)據(jù)接收或發(fā)送設(shè)備上的安裝并運行IP數(shù)據(jù)報收發(fā)程序�,以替換操作系統(tǒng)的協(xié)議處理部分;(2)IP數(shù)據(jù)報收發(fā)程序?qū)?shù)據(jù)發(fā)送方設(shè)備將要發(fā)出的IP數(shù)據(jù)報進行電子簽名�,重構(gòu)IP數(shù)據(jù)報——將“數(shù)據(jù)發(fā)送方的標(biāo)識”和電子簽名一起,附加寫入IP數(shù)據(jù)報的“選項”字段����;(3)數(shù)據(jù)接收方設(shè)備接收IP數(shù)據(jù)報,對該IP數(shù)據(jù)報的“選項”字段的簽名部分作簽名驗證��,如正確則轉(zhuǎn)發(fā)��,接受���;否則拒絕轉(zhuǎn)發(fā)���,丟棄���。本發(fā)明在需要進行網(wǎng)絡(luò)取證時,可以從目標(biāo)機器上取得源機器的信息���,這樣就無需要經(jīng)過重重的路由器�����、代理服務(wù)器來查找源機器到底在哪里�����,實現(xiàn)直接取證�,大大減短找到源頭的時間��。有效實現(xiàn)了可追溯的���、可監(jiān)控����、可信����、有序的安全局域網(wǎng)及互聯(lián)網(wǎng)���。
文檔編號H04L12/28GK101355564SQ20081019863
公開日2009年1月28日 申請日期2008年9月19日 優(yōu)先權(quán)日2008年9月19日
發(fā)明者田文春, 程海龍, 鄭東曦 申請人:廣東南方信息安全產(chǎn)業(yè)基地有限公司