專利名稱:互聯(lián)網(wǎng)加密安全通訊控制方法
技術領域:
本發(fā)明涉及一種電信技術領域的通信控制方法�,具體是一種互聯(lián)網(wǎng)加密安全 通訊控制方法。
背景技術:
隨著計算機�����、互聯(lián)網(wǎng)通信技術的發(fā)展���,網(wǎng)絡安全已經成為當前信息時代的一 個重要問題���。在網(wǎng)絡安全領域,控制網(wǎng)絡中存在的不良信息(如色情��、反動)��, 防止其傳播蔓延是維護網(wǎng)絡安舍健康的重要內容�,加密通訊軟件通信控制技術成 為解決當前網(wǎng)絡安全問題的關鍵。網(wǎng)絡安全問題通常是指通過非法網(wǎng)站或網(wǎng)頁傳 播不良信息�����,通過傳播色情信息或者煽動社會動亂�、顛覆國家政權的信息形式危 害社會安全。實際上不良信息的傳播途徑可分為兩種���,即主動發(fā)送和被動接受方 式�,主動發(fā)送方式是傳播者通過發(fā)送惡意郵件形式進行傳播����,這種方式的傳播信 息量不大,影響范圍較??����;被動接受方式是把不良信息公布到互聯(lián)網(wǎng)絡��,訪問者 利用搜索引擎或者特殊的加密通訊軟件獲取這些非法信息�����,其中后者的危害范圍 廣泛��,監(jiān)管難讀較大��。
目前存在針對互聯(lián)網(wǎng)絡通信控制的主要方式是網(wǎng)址(URL��, Uniform Resource Location)過濾技術和文本內容過濾技術�����。網(wǎng)址過濾技術是針對因特網(wǎng)上統(tǒng)一資 源定位符URL作為文檔標志的唯一性特征���,首先收集大量的非法網(wǎng)頁的網(wǎng)址,然 后將這些網(wǎng)址集合制作成為一個列表作為網(wǎng)絡運營商在寬帶路由器或者網(wǎng)關設 置不良網(wǎng)站的標準���,通過屏蔽掉列表中的不良網(wǎng)址鏈接來防范非法信息傳播��。這 種方式的實現(xiàn)比較簡單�����,但是存在很大的弱點�,即現(xiàn)在互聯(lián)網(wǎng)上的非法網(wǎng)站網(wǎng)址 太多且增長速度過快難以收集網(wǎng)址��,另一方面非法網(wǎng)站的網(wǎng)址也會根據(jù)過濾情況 適時動態(tài)更換網(wǎng)址�����,從而造成需要過濾的網(wǎng)址無法及時更新而不能達到控制效 果��。另一種方式是文本內容過濾技術����,這種技術類似于信息檢索技術,通過檢索 算法分析文檔內容����,把帶有不良信息的網(wǎng)頁屏蔽掉。當前常見主要的此類檢索算 法有關鍵字匹配法���、潛在語義索引法和神經網(wǎng)絡法��,這里不再詳細敘述這些算法 的工作過程��。但是這種方法也存在弊端����,首先用于匹配規(guī)則的關鍵字內容不夠全
4面,不良信息可以通過使用同義詞達到逃避過濾的效果���,另一方面這種文本匹配 過濾技術對于加密通訊軟件加密后的信息傳輸無法起到過濾作用�����。目前還存在把 這兩種技術相結合開發(fā)出相關加密通訊軟件或硬件控制設施��,應用在客戶機終端 來進行過濾不良信息�,但是這無法阻止用戶通過特殊的加密通訊軟件逃避上述兩 種過濾方式訪問非法信息的行為��。
針對當前主流的過濾控制技術��,互聯(lián)網(wǎng)存在一些特殊的加密通訊軟件����,如自 由門(FreeGate)、無界瀏覽(UltraSurf)����、花園(Garden)加密通訊軟件��,這類加 密通訊軟件首先通過加密通訊軟件內置DNS或特殊IP地址獲取更新加密代理網(wǎng) 址���,再把大量非法信息加密,通過動態(tài)更新的代理服務器的傳輸?shù)皆L問者的終端 機����,然后客戶機上應用的加密通訊軟件解密非法信息并肆意傳播�。這種信息傳播
方式的特點是長期動態(tài)地更新代理服務器網(wǎng)址, 一方面躲過網(wǎng)址過濾�����,另一方面 由于非法信息被加密而逃避了文本內容過濾方式的信息過濾控制���。目前這類加密 通訊軟件越來越流行��,而且版本也在不斷的更新升級換代�����,造成大量非法信息肆 意傳播�,給社會帶來巨大的危害。傳統(tǒng)的信息過濾控制技術僅僅能對明文信息進 行控制過濾���,.對于動態(tài)更換網(wǎng)址的非法信息無法有效地監(jiān)管控制�����,目前對于這種 利用加密通訊軟件傳輸?shù)男畔⑸袥]有通用的控制方法�����。
經對現(xiàn)有技術的文獻檢索發(fā)現(xiàn)�,William S. Duvall于1999年3月16號發(fā) 明登記的該類專利�,申請?zhí)枮?884033,名稱為"Internet filtering system for filtering data transferred over the internet utilizing immediate and deferred filtering action"(應用于網(wǎng)絡傳輸數(shù)據(jù)即時和延遲過濾的網(wǎng)絡過濾 系統(tǒng))��,該技術提供一種網(wǎng)絡通信過濾方法�����,包括開放一個接口從網(wǎng)絡服務器接 受數(shù)據(jù)信息��,維護一個包含有過濾程序表的過濾信息數(shù)據(jù)庫�����,過濾程序表具體說 明了即時過濾方法和延遲過濾方法,根據(jù)對比確定是否屏蔽掉通過接口的信息�����, 該技術所提供的過濾方法也能夠通過收集網(wǎng)址來比較域名或直接比較網(wǎng)址來屏 蔽掉不良信息��。但是該技術主要還是針對固定的網(wǎng)站發(fā)布明文信息進行網(wǎng)址或文 本信息過濾�����,不能夠有效地過濾控制加密通訊軟件利用動態(tài)更新網(wǎng)址的代理進行 訪問的信息傳輸情況��。
在進一步的檢索中���,尚未見有報道過有那種能夠對加密通訊軟件動態(tài)改變網(wǎng) 絡傳輸?shù)刂凡⒓用軅鬏斝畔⑦M行控制的過濾系統(tǒng)。隨著加密通訊軟件的發(fā)展和流 行�,針對這類加密通訊軟件的控制過濾系統(tǒng),無疑會為互聯(lián)網(wǎng)提供更安全的保護��,其應用前景將非?����?捎^。
發(fā)明內容
本發(fā)明的目的是針對上述現(xiàn)有技術的不足����,提出一種互聯(lián)網(wǎng)加密安全通訊控 制方法,通過提取加密通訊軟件進行通信的代理服務器地址����,通過網(wǎng)關自動設置 屏蔽所有對于這些代理地址的訪問,完全高效地控制加密信息通過代理服務器的 傳播���。
本發(fā)明是通過以下技術^"案實現(xiàn)的��,本發(fā)明包括以下步驟 第一步���、'L首先提取加密地址,包括提取內置加密域名解析地址��、內置IP 地址和公開網(wǎng)頁空間地址�。
所述的提取加密地址,采用逆向分析方法����,包括以下步驟
1) 收集加密通訊軟件運行后所發(fā)起的訪問請求以及運行提示信息,對可執(zhí) 行的加密通訊軟件文件進行反匯編�、反編譯,得到加密通訊軟件的匯編和高級語 言代碼及對應的結構信息和邏輯信息;
2) 通過調試器加載運行加密通訊軟件的匯編和高級語言代碼并記錄整個運 行過程中涉及的內存代碼信息��、寄存器地址信息�����、內存地址信息和輸入輸出數(shù)據(jù) 以及這些數(shù)據(jù)在內存中的地址�����;
3) 在調試器中對此地址設置斷點�,再次利用調試器加載運行加密通訊軟件 的匯編和高級語言代碼,并在產生中斷時由調試器暫停以得到被訪問地址的相應 代碼����,根據(jù)此時堆棧調用情況得到代碼對應的層次關系;
4) 找到和需要判定性質的數(shù)據(jù)匹配的內容�,然后根據(jù)代碼分析模塊對產生
或者訪問信息的相應代碼進行處理給出的結果��,判定出哪些指令和數(shù)據(jù)處理有 關�,通過程序的運行流程和內存地址的變化,判斷需要提取的數(shù)據(jù)來源���,對于來 自加密通訊軟件內部固化的數(shù)據(jù)�,將其提取出來。
5) 按照前述代碼定位方法��,用調試器加載程序并找到產生或訪問數(shù)據(jù)信息
的代碼位置�,并找到函數(shù)調用鏈,直到找到數(shù)據(jù)生成的代碼行�,根據(jù)代碼分析模 塊的分析結果,判定數(shù)據(jù)信息來內部固化生成�,并進行提取。
第二步�、解密加密地址,然后通過黑盒測試方法驗證解密后的加密地址��。
所述的解密加密地址���,采用密碼學分析法包括AES密碼����、DES密碼和IDEA 密碼����。
所述的黑盒測試是指利用數(shù)據(jù)抓包分析方法査看加密通訊軟件運行后訪問的地址信息,當數(shù)據(jù)抓包的地址信息與解密固化數(shù)據(jù)的地址信息相符�,表明黑盒 測試成功,可進一步截取加密通訊軟件的臨時緩存文件�;當數(shù)據(jù)抓包的地址信息 與解密固化數(shù)據(jù)不相符����,表明黑盒測試失敗���,同時返回第一步重新提取正確的內 置域名解析地址或內置特定IP����。
第三步��、截取加密的臨時緩存文件���,得到加密地址�,然后解密這些加密地址���。 第四步�、將解密加密她址應用于網(wǎng)關進行網(wǎng)絡地址過濾����,并根據(jù)屏蔽前后的 數(shù)據(jù)進行屏蔽效果測試����。
所述的屏蔽效果測試是指在網(wǎng)關上分別設置兩臺獨立的數(shù)據(jù)采集儀器���,該
數(shù)據(jù)采集儀器中保持需要屏蔽的內置加密域名解析地址和內置特定IP地址,兩 臺數(shù)據(jù)采集儀器根據(jù)這些地址信息計算屏蔽前和屏蔽后的采集到的數(shù)據(jù)包�����,并根
據(jù)以下公式進行評估測量過濾效果-
流入數(shù)據(jù)=流出數(shù)據(jù)+流入數(shù)據(jù)中落在屏蔽策略范圍內的IP數(shù)據(jù)包的數(shù)
據(jù)
當上述式成立�,則說明當前屏蔽設置規(guī)則合適; 當式不成立��,則說明網(wǎng)關未能實現(xiàn)有效屏蔽�。
第五步、根據(jù)屏蔽效果測試的結果確定繼續(xù)釆用已經提取的地址作為目標屏 蔽地址����,或重復第一步操作進行新一輪過濾控制。 與現(xiàn)有技術相比�,本發(fā)明具有如下有益效果
其一,針對傳統(tǒng)網(wǎng)絡過濾控制系統(tǒng)無法解決網(wǎng)址過濾方式下屏蔽效率低���,動 態(tài)網(wǎng)址更新快的情況�����,本發(fā)明通過實時更新動態(tài)屏蔽代理網(wǎng)址數(shù)據(jù)��,有效地解決 了動態(tài)網(wǎng)址更新��、增加快造成的屏蔽效率低問題�,能夠提高信息過濾效率。
其二�。針對傳統(tǒng)網(wǎng)絡對于加密信息傳輸無法通過文本過濾控制的情況,本發(fā) 明從分析加密通訊軟件運行機理及加密通訊軟件內部固化信息著手��,設計過濾控 制系統(tǒng)屏蔽掉代理傳輸網(wǎng)址���,從根本上防止加密信息的傳輸���。
其三,本發(fā)明并沒有直接解密加密通訊軟件的加密通信內容進行文本過濾控 制���,而是從屏蔽轉輸?shù)拇矸掌骶W(wǎng)址����,極大提高了信息過濾控制效率��。
其四��,本發(fā)明根據(jù)過濾控制測評結果實時調節(jié)過濾控制系統(tǒng)�,及時調整屏蔽 規(guī)則����,加強信息控制效果����。
具體實施例方式
下面結合附圖對本發(fā)明的實施例作詳細說明本實施例在以本發(fā)明過濾控制 系統(tǒng)為前提下進行實施����,給出了詳細的實施方式和具體的操作過程,但本發(fā)明的 保護范圍不限于下述的實施例�。
如圖1所示,本實施例硬件環(huán)境包括動態(tài)代理地址獲取機A����、 B、 C���,數(shù)據(jù) 采集儀器A���、 B,過濾網(wǎng)關服務器��,交換機���,用戶端�����,其中用戶端通過交換機 連接到數(shù)據(jù)采集儀器.B���,數(shù)據(jù)采集儀器B連接到濾網(wǎng)^^服務器通過交換機鏈接到
數(shù)據(jù)采集儀器"A�, fclg釆集儀器A連接到外部網(wǎng)絡���,其中動態(tài)代理地址獲取機A��、 B�����、 C連接在數(shù)據(jù)采集儀器A和過濾網(wǎng)關服務器之間的交換機��。
客戶端包括三臺主機連接到交換機���,通過網(wǎng)關服務器可以訪問外部網(wǎng)絡,客 戶端主機都安裝了加密通訊軟件�����,且能夠訪問外部互聯(lián)網(wǎng)絡。
動態(tài)代理地址獲取機通過交換機連接到數(shù)據(jù)釆集儀器A和網(wǎng)關服務器����,把在 采集到的用于解析域名����、DNS服務器地址、內置IP地址網(wǎng)站個人空間網(wǎng)址和代 理地址信息發(fā)送給數(shù)據(jù)釆集儀器A和網(wǎng)關服務器�。
網(wǎng)關服務器用于實施屏蔽模塊,網(wǎng)關服務器通過交換機取得動態(tài)代理機收集 的需要過濾控制的地址信息����,過濾控制后的數(shù)據(jù)傳送給用戶端訪問。
本實施例中所述的互聯(lián)網(wǎng)加密安全通訊控制系統(tǒng)應用于針對加密通訊工具 無界瀏覽8. 8版本(UltraSurf V8. 8)通信的過濾控制�, 一個完整的過濾控制系 統(tǒng)實施過程包括以下步驟
本實施例包括以下步驟-
第一步、第一步�、首先提取加密地址,包括提取內置加密域名解析地址���、 內置IP地址和公開網(wǎng)頁空間地址�。
所述的提取加密地址�����,采用逆向分析方法,包括以下步驟
1) 收集加密通訊軟件運行后所發(fā)起訪問請求以及運行提示信息���,對可執(zhí)行 的加密通訊軟件文件進行反匯編�����、反編譯��,得到匯編和高級語言代碼及對應的結 構信息和邏輯信息����,并將經過分析處理后的可執(zhí)行文件進一步進行調試與信息提
?�?��;通過外部記錄的方式收集其輸入輸出數(shù)據(jù)�,對于其中需要判定性質的部分進 行篩選�;
2) 加載運行加密通訊軟件的匯編和高級語言代碼并記錄整個運行過程中涉 及的內存代碼信息、寄存器地址信息���、內存地址信息和輸入輸出數(shù)據(jù)以及這些數(shù)
8據(jù)在內存中的地址����;,����;
3) 在調試器中對此地址設置斷點,再次利用調試器加載運行加密通訊軟件 的匯編和高級語言代碼�,并在產生中斷時由調試器暫停以得到被訪問地址的相應 代碼,根據(jù)此時堆棧調用情況得到代碼對應的層次關系����;
4) 找到和需要判定性質的數(shù)據(jù)匹配的內容��,然后根據(jù)代碼分析模塊對產生 或者訪問信息的相應代碼進行處理給出的結果�,判定出哪些指令和數(shù)據(jù)處理有 關,通過程序的運行流程和內存地址的變化�,判斷需要提取的數(shù)據(jù)來源,對于來 自加密通訊軟件內部固化的數(shù)據(jù)�����,將其提取出來��。
5) 按照前述代碼定位方法����,用調試器加載程序并找到產生或訪問數(shù)據(jù)信息 的代碼位置���,并找到函數(shù)調用鏈,此函數(shù)調用鏈可能為Function A-〉Function B-〉Function C-> ..'. -〉.Function D���,其中每一個函數(shù)均在前一個函數(shù)中被調用���, 從調用鏈的最前端開始進行單步調試,在函數(shù)體中遇到函數(shù)調用時不跟蹤進入���, 除非此函數(shù)調用為調用鏈中的函數(shù)���。依此方法單步運行,直到找到數(shù)據(jù)生成的代 碼行�,根據(jù)代碼分析模塊的分析結果,判定數(shù)據(jù)信息來內部固化生成����,并進行提 取。
第二步�����、解密加密地址,然后通過黑盒測試方法驗證解密后的加密地址���,本 實施例中具體通過密碼學分析法解密加密的內置域名解析地址和內置特定IP地 址和公開網(wǎng)頁空間地址���,然后通過黑盒測試方法驗證解密后的加密的內置域名解 析地址和內置特定IP地址及公開網(wǎng)頁空間地址正確性,具體步驟為
針對加密通訊軟件中加密存儲的固定的數(shù)據(jù)信息���,這些數(shù)據(jù)存儲在文件中���, 并使用密碼學分析法進行加密解密,使其在第一步中提取信息不可辨識�。密碼學 分析法的功能是分析加密通訊軟件'中可能使用的加密解密算法,確定其影響的數(shù) 據(jù)范圍���,同時給出加密通訊軟件可能使用的解密算法和密鑰;這種方法能夠分析 加密通訊軟件二進制代碼中包含的數(shù)據(jù)常量�����,與已知密碼學分析法特征值進行匹 配(常見的公開密碼學分析法中�,AES, DES�����, IDEA均有特殊的常數(shù)值),同時導 入已知密碼學分析法的標準測試向量�����,對涉及加密解密的代碼進行輸入輸出測 試��,利用調試器�����,在運行加密解密算法時修改輸入數(shù)據(jù)和密鑰值�����,將其更改為標 準的測試向量和測試密鑰��,觀察輸出是否和此類算法所給出的測試標準相同�,將 代碼輸出數(shù)據(jù)和標準輸出數(shù)據(jù)進行對比。若特征值和代碼輸出數(shù)據(jù)均與已知密碼 學分析法的特征值和標準輸出數(shù)據(jù)匹配�,則確定加密通訊軟件使用了已知密碼學分析法,通過這種方法對涉及密碼學分析法的代碼位置信息定位�,然后利用第一 步中方法對加密通訊軟件調試并提取信息,識別其加密算法和數(shù)據(jù)��。
通過黑盒測試.方法驗證解密后的內置加密的域名解析地址和內置特定IP地 址及公開網(wǎng)頁空間地址正確性;采用wireshark數(shù)據(jù)抓包工具查看加密通訊軟件 運行后訪問的目標地址��,如果抓取的數(shù)據(jù)包的地址信息與解密固化數(shù)據(jù)的地址信 息相符��,表明驗證成功�,可進一步截取加密通訊軟件的臨時緩存文件;如果抓取 數(shù)據(jù)包的解析地址信息與解密出來的軟件內置固化數(shù)據(jù)的地址信息不相符�����,表明 驗證失敗���,—需要重復第'歩提取正確的內置域名解析地址或內置特定.IP地址����, 公開網(wǎng)頁空間地址信息����。
加密通訊軟件有三種獲取加密代理地址的方式����,其一,通過訪問解密出來的 內置特定DNS服務器船lL解析解密出來的內置域名�����,獲取大量的加密代理地址 信息;其二�,直接訪問解密出來的特定內置IP地址獲取大量加密代理地址信息; 其三���,訪問公開網(wǎng)站的介人空間地址�����,下載并獲取加密代理地址信息�����。根據(jù)對加 密通訊軟件運行后通信數(shù)據(jù)進行數(shù)據(jù)抓包解析可發(fā)現(xiàn)����,一般情況下加密通訊軟件 首先選擇內置DNS服務器解析單元獲取代理����,如果這種方式失敗然后選用直接訪 問特定內置IP地址或者訪問公開網(wǎng)站個人空間來獲取加密代理地址信息。
加密通訊軟件首先選擇內置DNS服務器域名解析單元獲取代理服務器地址�, 根據(jù)對加密通訊軟件分析,初步提取的用于解析的域名如下所示
nsl.928d27eld. net
nsl.97el625fd.net
nsl. a4b40091b. net
內置DNS地址列表如下所示 12. 104. 244. 61
12. 106.212.40
12. 168. 226. 2
如在無界瀏覽8. 8對選擇DNS域名解析單元進行獲取代理地址失敗,加密通 訊軟件會再次通過使用內置的大量固定的IP地址請求獲取代理服務器地址����,這 些IP地址類似于上述的域名和DNS地址,是獲取代理服務器地址的關鍵�。如下 所得到的內置特定服務器IP列表67. 15.183.80 67.15.183.81 67. 15. 183. 82
如果請求再次失敗,加密通訊軟件啟動訪問Yahoo和MSN網(wǎng)站的一些個人網(wǎng) 頁���,從中獲取代理服務器的地址��,加密通訊軟件所利用的MSN�����、 Yahoo網(wǎng)站的請 求地址往往有一定韻特征���,邦下為加密通訊軟件內置的網(wǎng)址
http:〃cn. profiles, yahoo, com/hhw8hcsh2g
http://spaces, msn. com/kingkooong/profile/
以上這些地址信息都是加密通訊軟件用于更新代理地址的,提取這些信息后 通過發(fā)送接收模塊發(fā)送的網(wǎng)關服務器���,采用相應的方式屏蔽過濾掉對這些地址的 '訪問�����,阻止加密通訊軟件更新代理地址。
第三步�����、截取加密通訊軟件的臨時緩存文件,從中獲取加密代理服務器地址 加密通訊軟件使用中將利用這些代理服務器間接訪問大量非法網(wǎng)站���。利用第一步 中的提取內部固化數(shù)據(jù)方法確定特定環(huán)境下加密通訊軟件所生成的臨時文件夾 位置���,根據(jù)對加密通訊軟件的函數(shù)調用連跟蹤分析,定位到存放代理地址信息的 文件位置���,如在本實施例中所獲取代理服務器地址所存文件緩存地址是
C:\D0CUME~1\sjtu\L0CALS~l\Temp\Vqaadwqs
在該臨時文件內保存的代理地址列表一般使用不公開的加密算法加密�,這些 加密算法在對加密通訊軟件分析過程中可以提取���,利用第二步中識別密碼學分析 法的方法定位相應的加密解密算法位置�����,然后利用提取軟件內部固化數(shù)據(jù)方法提 取解密后代理地址信息���,并在下一步中利用網(wǎng)管服務器屏蔽對代理服務器的訪 問,阻止加密通訊軟件的正常通信過程�。
第四步、將解密內置加密域名解析地址內置特定IP地址,公開網(wǎng)頁空間地 址和大量代理地址應用于網(wǎng)關進行網(wǎng)絡地址過濾�,并根據(jù)屏蔽前后的數(shù)據(jù)進行屏 蔽效果測試,具體步驟為
1)過濾屏蔽加密代理對外部網(wǎng)絡的訪問�,在經過上述幾步的分析,得到加 密通訊軟件內置域名����、DNS服務器地址、特定IP及網(wǎng)站空間地址的加密信息以 及加密通訊軟件保存代理服務器地址緩存位置后�����,利用動態(tài)代理獲取機讀取該緩
11存地址的代理服務器地址及其它的解密地址信息��,整理并傳送到屏蔽網(wǎng)關進行過 濾對這些地址的訪問����;
2) 屏蔽網(wǎng)關接收到動態(tài)代理獲取機發(fā)送來的地址列表,利用這些列表中的 地址與網(wǎng)絡訪問地址進行匹配��,如果用戶訪問的IP地址落入這一屏蔽列表中�����, 屏蔽網(wǎng)關自動丟棄這些訪問請求數(shù)據(jù)��。
本實施例針對加密通訊軟件通過大型網(wǎng)站個人主頁訪問和域名解析單元獲 取代理服務器地址的情況,利用加密通訊軟件內部讀取到的網(wǎng)頁地址和域名作為 屏蔽的關鍵字���,在網(wǎng)關對所有訪問網(wǎng)址和解析的域名進行關鍵字匹配,如果用戶 訪問地址具有這些所提取的域名相符或者與待屏蔽的網(wǎng)址匹配���,屏蔽網(wǎng)關將會把 這類網(wǎng)絡訪問請求屏蔽掉�����,阻止加密通訊軟件通過此途獲取代理服務器地址���。
3) 在完成上述屏蔽的基礎上,利用數(shù)據(jù)采集儀讀取過縛之前和之后的網(wǎng)絡 數(shù)據(jù)包���,進行測量這些數(shù)據(jù)分析屏蔽網(wǎng)關過濾的效果�����。見附圖l����,在數(shù)據(jù)采集儀 器中保持最新的需要屏蔽掉的網(wǎng)絡地址列表或IP地址�����,兩臺數(shù)據(jù)采集儀器根據(jù) 這些地址信息計算屏蔽前和屏蔽后的采集到的數(shù)據(jù)包。根據(jù)以下公式進行評估測 量過濾效果��。
流入數(shù)據(jù)=流出數(shù)據(jù)+流入數(shù)據(jù)中落在屏蔽策略范圍內的IP數(shù)據(jù)包的數(shù)
據(jù)
如果式成立��,則說明當前屏蔽設置規(guī)則合適����,繼續(xù)使用當前的屏蔽策略。如 果式不成立����,則說明屏蔽網(wǎng)關沒有高效的過濾控制傳輸?shù)男畔ⅲ帘尉W(wǎng)關根據(jù)計 算結果向動態(tài)代理獲取機發(fā)送相應指令���,重新讀取加密通訊軟件緩存的更新地址 進行更新設置屏蔽策略�。
第五步�、根據(jù)屏蔽效果測試的結果確定是否進行新一輪的過濾控制,如果屏 蔽效果良好�,繼續(xù)采用己經提取的內置域名解析地址、內置特定IP地址和公開 網(wǎng)絡空間地址作為過濾屏蔽的地址列表�;相反,如果屏蔽效果無法達到要求�����,則 重復第一步操作進行新一輪的過濾控制。
本實施例能夠高效地過濾控制加密通訊軟件的信息傳輸�����,通過屏蔽代理服務 地址提高了屏蔽的效率���,且減少資源消耗。本實施例能夠保證對于傳統(tǒng)的過濾控 制規(guī)則下需要屏蔽的特定網(wǎng)址達到100%的屏蔽效果����,對于通過加密通訊軟件訪 問的信息可以達到99%以上的屏蔽效果。
權利要求
1���、一種互聯(lián)網(wǎng)加密安全通訊控制方法���,其特征在于,包括以下步驟第一步���、首先提取加密地址�����,包括提取內置加密域名解析地址�����、內置IP地址和公開網(wǎng)頁空間地址�;第二步、解密加密地址��,然后通過黑盒測試方法驗證解密后的加密地址�����;第三步�����、截取加密的臨時緩存文件����,得到加密地址,然后解密這些加密地址��;第四步�、將解密加密地址應用于網(wǎng)關進行網(wǎng)絡地址過濾,并根據(jù)屏蔽前后的數(shù)據(jù)進行屏蔽效果測試�;第五步�、根據(jù)屏蔽效果測試的結果確定繼續(xù)采用已經提取地址作為目標屏蔽地址����,或重復第一步操作進行新一輪過濾控制。
2�����、 根據(jù)權利要求1所述的互聯(lián)網(wǎng)加密安全通訊控制方法���,其特征是,所述 的提取加密地址�,采用逆向分析方法,包括以下步驟1) 收集加密通訊軟件運行后所發(fā)起的訪問請求以及運行提示信息�����,對可執(zhí) 行的加密通訊軟件文件進行反匯編���、反編譯��,得到加密通訊軟件的匯編和高級語 言代碼及對應的結構信息和邏輯信息��;2) 通過調試器加載運行加密通訊軟件的匯編和高級語言代碼并記錄整個運 行過程中涉及的內存代碼信息��、寄存器地址信息���、內存地址信息和輸入輸出數(shù)據(jù) 以及這些數(shù)據(jù)在內存中的地址�����;3) 在調試器中對此地址設置斷點�����,再次利用調試器加載運行加密通訊軟件 的匯編和高級語言代碼�,并在產生中斷時由調試器暫停以得到被訪問地址的相應 代碼�����,根據(jù)此時堆棧調用情況得到代碼對應的層次關系����;4) 找到和需要判定性質的數(shù)據(jù)匹配的內容,然后根據(jù)代碼分析模塊對產生 或者訪問信息的相應代碼進行處理給出的結果����,判定出哪些指令和數(shù)據(jù)處理有 關,通過程序的運行流程和內存地址的變化,判斷需要提取的數(shù)據(jù)來源��,對于來 自加密通訊軟件內部固化的數(shù)據(jù)��,將其提取出來���;5) 按照前述代碼定位方法���,用調試器加載程序并找到產生或訪問數(shù)據(jù)信息 的代碼位置,并找到函數(shù)調用鏈����,直到找到數(shù)據(jù)生成的代碼行,根據(jù)代碼分析模 塊的分析結果���,判定數(shù)據(jù)信息來內部固化生成,并進行提取�。
3、 根據(jù)權利要求1所述的互聯(lián)網(wǎng)加密安全通訊控制方法��,其特征是��,所述 的解密加密地址�����,采用密碼學分析法包括AES密碼、DES密碼和IDEA密碼�。
4、 根據(jù)權利要求1所述的互聯(lián)網(wǎng)加密安全通訊控制方法���,其特征是���,所述 的黑盒測試是指利用數(shù)據(jù)抓包分析方法査看加密通訊軟件運行后訪問的地址信 息,當數(shù)據(jù)抓包的地址信息與解密固化數(shù)據(jù)的地址信息相符�,表明黑盒測試成功, 可進一步截取加密通訊軟件的臨時緩存文件����;當數(shù)據(jù)抓包的地址信息與解密固化 數(shù)據(jù)不相符,表明黑盒測試失敗���,同時返回第一步重新提取正確的內-置域名解析 地址或內置特定IP�。
5����、 根據(jù)權利要求1所述的互聯(lián)網(wǎng)加密安全通訊控制方法,其特征是���,所述 的屏蔽效果測試是指在網(wǎng)關上分別設置兩臺獨立的數(shù)據(jù)采集儀器��,該數(shù)據(jù)采集 儀器中保持需要屏蔽的內置加密域名解析地址和內置特定IP地址���,兩臺數(shù)據(jù)采 集儀器根據(jù)這些地址信息計算屏蔽前和屏蔽后的采集到的數(shù)據(jù)包�,并根據(jù)以下公式進行評估測量過濾效果流入數(shù)據(jù)=流出數(shù)據(jù)+流入數(shù)據(jù)中落在屏蔽策略范圍內的IP數(shù)據(jù)包的數(shù)據(jù)�;當上述式成立,則說明當前屏蔽設置規(guī)則合適�����; 當式不成立�����,則說明網(wǎng)關未能實現(xiàn)有效屏蔽���。
全文摘要
一種信息技術領域的互聯(lián)網(wǎng)加密安全通訊控制方法��,通過提取加密通訊軟件進行通信的代理服務器地址,通過網(wǎng)關自動設置屏蔽所有對于這些代理地址的訪問��,完全高效地控制加密信息通過代理服務器的傳播����。與現(xiàn)有技術相比,本發(fā)明通過實時更新動態(tài)屏蔽代理網(wǎng)址數(shù)據(jù)��,有效地解決了動態(tài)網(wǎng)址更新��、增加快造成的屏蔽效率低問題�,能夠提高信息過濾效率����,從根本上防止加密信息的傳輸,加強信息控制效果�����。本發(fā)明對于傳統(tǒng)的過濾控制規(guī)則下需要屏蔽的特定網(wǎng)址達到100%的屏蔽效果�,對于通過加密通訊軟件訪問的信息可以達到99%以上的屏蔽效果。
文檔編號H04L29/06GK101594234SQ20091005454
公開日2009年12月2日 申請日期2009年7月9日 優(yōu)先權日2009年7月9日
發(fā)明者濤 尚, 李卷孺, 羅宇皓, 谷大武 申請人:上海交通大學