專利名稱:安全監(jiān)控方法�、簽名密鑰發(fā)送方法、終端�����、服務(wù)器及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域��,特別涉及一種集中式的網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法���、簽 名密鑰的發(fā)送方法�����、終端�����、NACC服務(wù)器及系統(tǒng)�。
背景技術(shù):
隨著互聯(lián)網(wǎng)的快速發(fā)展����,網(wǎng)絡(luò)應(yīng)用程序越來越豐富����,網(wǎng)絡(luò)終端上安裝的應(yīng)用程序 越來越繁雜�,而大部分應(yīng)用程序并未經(jīng)安全聲明�,木馬、病毒�、惡意代碼和后門等危害很可 能潛伏在這些應(yīng)用中。在內(nèi)網(wǎng)環(huán)境中��,如果不對網(wǎng)絡(luò)終端上的應(yīng)用程序進(jìn)行有效監(jiān)管���,則一 些惡意程序����,尤其是具有網(wǎng)絡(luò)連接和網(wǎng)絡(luò)傳播功能的程序��,很可能危及內(nèi)網(wǎng)安全�����,使內(nèi)網(wǎng)機(jī) 器遭受攻擊并導(dǎo)致嚴(yán)重?fù)p失����。所以,對內(nèi)網(wǎng)終端上的網(wǎng)絡(luò)應(yīng)用進(jìn)行監(jiān)管非常重要。傳統(tǒng)的內(nèi)網(wǎng)安全防護(hù)對網(wǎng)絡(luò)終端上的應(yīng)用程序監(jiān)管較弱��,大部分基于網(wǎng)絡(luò)的安全 設(shè)備���,例如防火墻�、入侵檢測系統(tǒng)(IDS)等只能從網(wǎng)絡(luò)協(xié)議層面來分析和判斷網(wǎng)絡(luò)會話的 安全性��,無法對參與會話的實(shí)際應(yīng)用程序進(jìn)行識別和檢測�����;而安裝在網(wǎng)絡(luò)終端上的安全防 護(hù)軟件(例如防病毒軟件��、個(gè)人防火墻等)雖然能識別和檢測本地應(yīng)用程序����,卻無法獲取通 信的對端程序的安全信息。因此����,從網(wǎng)絡(luò)會話過程來看,參與通信的各個(gè)網(wǎng)絡(luò)終端各自的安 全狀態(tài)可能不一樣�,但通信雙方只能從網(wǎng)絡(luò)協(xié)議層識別對方的基本信息(例如IP地址、主 機(jī)名等)��,而不能識別對方的主機(jī)和通信程序是否真實(shí)可信,比如���,可能正在與自己通信的 程序本質(zhì)是一個(gè)黑客程序。在對現(xiàn)有技術(shù)的研究和實(shí)踐過程中��,本發(fā)明的發(fā)明人發(fā)現(xiàn)���,現(xiàn)有的實(shí)現(xiàn)方式中�,基 于網(wǎng)絡(luò)安全設(shè)備的安全防護(hù)��,在網(wǎng)絡(luò)終端接入網(wǎng)絡(luò)之前�����,網(wǎng)絡(luò)管理員無從知曉網(wǎng)絡(luò)終端的 安全性���,而網(wǎng)絡(luò)終端接入后則很可能受黑客�、木馬����、蠕蟲或病毒的控制對內(nèi)網(wǎng)進(jìn)行破壞和傳 播,使內(nèi)網(wǎng)遭受嚴(yán)重威脅���。而使用個(gè)人防火墻進(jìn)行安全防護(hù)�,由于個(gè)人防火墻沒有針對每一 個(gè)會話進(jìn)行控制,控制粒度較粗���,對外部接入請求缺乏判斷依據(jù)���。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法、簽名密鑰的發(fā)送方法����、終 端、NACC服務(wù)器及系統(tǒng)��,以對終端上的網(wǎng)絡(luò)應(yīng)用進(jìn)行監(jiān)控��,使符合安全策略的網(wǎng)絡(luò)應(yīng)用進(jìn)行 正常的網(wǎng)絡(luò)通信��,從而提高內(nèi)網(wǎng)安全性�����。為此��,本發(fā)明實(shí)施例提供一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法��,所述方法包括當(dāng)部署在終端上的安全性證實(shí)聲明個(gè)人防火墻SHF監(jiān)測到所述終端發(fā)起會話請 求時(shí),若所述部署在終端上的SHF確定所述會話請求的網(wǎng)絡(luò)應(yīng)用滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控 安全策略���,則從網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC服務(wù)器請求并獲得所述會話請求的第一簽名密鑰�����;所述部署在終端上的SHF根據(jù)所述第一簽名密鑰生成對應(yīng)的安全性證實(shí)聲明 SVC,并向?qū)Χ税l(fā)送所述SVC;若所述部署在終端上的SHF接收到對端返回的對所述SVC驗(yàn)證成功的消息時(shí)��,所 述會話建立成功�。
6
本發(fā)明是實(shí)施例提供一種簽名密鑰的發(fā)送方法,所述方法包括網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC服務(wù)器接收第一終端發(fā)送的會話請求�;NACC服務(wù)器根據(jù)所述會話請求生成用于第一終端與第二終端進(jìn)行會話的第一簽 名密鑰;所述NACC服務(wù)器向所述第一終端返回所述第一簽名密鑰����。本發(fā)明是實(shí)施例還提供一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法,所述方法包括當(dāng)安全性證實(shí)聲明網(wǎng)絡(luò)防火墻SNF網(wǎng)絡(luò)設(shè)備監(jiān)測到外網(wǎng)終端發(fā)起與內(nèi)網(wǎng)終端進(jìn) 行會話的會話請求時(shí)���,若所述SNF網(wǎng)絡(luò)設(shè)備確定所述會話請求的網(wǎng)絡(luò)應(yīng)用滿足獲取的網(wǎng)絡(luò) 應(yīng)用監(jiān)控安全策略�,則向網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC服務(wù)器請求并獲得所述會話請求的第一 簽名密鑰��;所述SNF網(wǎng)絡(luò)設(shè)備根據(jù)所述第一簽名密鑰生成對應(yīng)的安全性證實(shí)聲明SVC�,并向 所述內(nèi)網(wǎng)終端發(fā)送所述SVC;若所述SNF網(wǎng)絡(luò)設(shè)備接收到所述內(nèi)網(wǎng)終端返回的對所述SVC驗(yàn)證成功的消息時(shí)��, 則會話建立成功��。相應(yīng)的��,本發(fā)明實(shí)施例一種終端���,該終端上部署有安全性證實(shí)聲明個(gè)人防火墻 SHF,所述SHF包括監(jiān)控單元,用于監(jiān)測所述終端是否有發(fā)起會話請求��;會話簽名密鑰獲取單元�����,用于在所述監(jiān)控單元監(jiān)測到所述終端發(fā)起會話請求����,且 所述監(jiān)測到的會話請求的網(wǎng)絡(luò)應(yīng)用滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略時(shí),從網(wǎng)絡(luò)應(yīng)用監(jiān)控 中心NACC服務(wù)器上獲取會話請求的第一簽名密鑰�;生成單元,用于根據(jù)所述第一簽名密鑰生成對應(yīng)的安全性證實(shí)聲明SVC ����;收發(fā)單元,用于向?qū)Χ税l(fā)送所述SVC���,并接收對端返回的對所述SVC驗(yàn)證成功的消 息��,所述消息用于表示會話建立成功�。本發(fā)明實(shí)施例還提供一種NACC服務(wù)器,包括會話請求接收單元�����,用于接收第一終端發(fā)送的會話請求��;會話簽名密鑰生成單元����,用于根據(jù)所述會話請求生成第一終端與第二終端進(jìn)行會 話的第一簽名密鑰���;會話簽名密鑰發(fā)送單元�����,用于向所述第一終端返回所述第一簽名密鑰����。本發(fā)明實(shí)施例還提供一種具有安全性證實(shí)聲明網(wǎng)絡(luò)防火墻SNF的網(wǎng)絡(luò)設(shè)備����,包 括會話請求檢測單元�����,用于監(jiān)測是否有外網(wǎng)終端發(fā)起與內(nèi)網(wǎng)終端進(jìn)行會話的會話請 求����;會話簽名密鑰獲取單元�,用于在所述會話請求檢測單元監(jiān)測到會話請求且檢測到 的所述會話請求的網(wǎng)絡(luò)應(yīng)用滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略時(shí),向NACC服務(wù)器請求并 獲得所述會話請求的第一簽名密鑰�����;生成單元����,用于根據(jù)所述第一簽名密鑰生成對應(yīng)的安全性證實(shí)聲明SVC ;收發(fā)單元���,用于向所述內(nèi)網(wǎng)終端發(fā)送所述SVC��,并接收所述內(nèi)網(wǎng)終端返回的對所述 SVC驗(yàn)證成功的消息�����,所述消息用于表示會話建立成功��。本發(fā)明實(shí)施例還提供一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控系統(tǒng)��,包括部署有安全性證實(shí)聲明個(gè)人防火墻SHF的終端和網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC服務(wù)器�,其中,所述SHF�,用于在監(jiān)測到該終端發(fā)起會話請求時(shí),若確定所述會話請求的網(wǎng)絡(luò)應(yīng)用 滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略時(shí)��,則從NACC服務(wù)器上請求并獲得所述會話請求的第 一簽名密鑰��;以及根據(jù)所述第一簽名密鑰生成對應(yīng)的安全性證實(shí)聲明SVC��,向?qū)Χ税l(fā)送所 述SVC ��;并在接收到對端返回的對所述SVC驗(yàn)證成功的消息時(shí)���,所述會話建立成功;所述NACC服務(wù)器��,用于接收所述終端發(fā)送的會話請求�,根據(jù)所述會話請求生成所 述終端與目標(biāo)終端進(jìn)行會話的第一簽名密鑰,并向所述終端發(fā)送所述第一簽名密鑰�����。由上述實(shí)施例可知,本發(fā)明實(shí)施例中���,由于在終端部署了安全性證實(shí)聲明個(gè)人防 火墻SHF�����,當(dāng)終端發(fā)起會話請求時(shí)��,SHF就監(jiān)測到所述會話請求����,并確定所述會話請求的網(wǎng) 絡(luò)應(yīng)用是否滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略��,并在滿足時(shí)�����,向網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC服 務(wù)器發(fā)送會話請求�����,NACC服務(wù)器根據(jù)所述會話請求生成用于第一終端與第二終端進(jìn)行會話 的第一簽名密鑰,并向該終端返回所述第一簽名密鑰���;然后����,該終端根據(jù)所述第一簽名密鑰 生成對應(yīng)的安全性證實(shí)聲明SVC��,并向?qū)Χ税l(fā)送所述SVC���,以及在接收到對端反饋的對所述 SVC驗(yàn)證成功的消息時(shí)��,所述會話建立成功�。也就是說���,部署在終端的SHF可以對每個(gè)網(wǎng)絡(luò) 會話的發(fā)起和接收程序進(jìn)行監(jiān)控���,并判斷是否滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略,如果滿 足�����,則對該會話進(jìn)行放行�。從而使符合網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略的網(wǎng)絡(luò)應(yīng)用可以進(jìn)行正常的 網(wǎng)絡(luò)通信,提高整個(gè)網(wǎng)絡(luò)的安全性����。
圖1為本發(fā)明實(shí)施例中提供的一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法的流程圖;圖2為本發(fā)明實(shí)施例中提供的一種簽名密鑰的發(fā)送方法的流程圖�;圖3為本發(fā)明實(shí)施例中提供的又一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法的流程圖;圖4為本發(fā)明實(shí)施例中提供的一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法的第一應(yīng)用實(shí) 例圖�;圖5為本發(fā)明實(shí)施例中提供的一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法的第二應(yīng)用實(shí) 例圖;圖6為本發(fā)明實(shí)施例中提供的一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法的第三應(yīng)用實(shí) 例圖����;圖7為本發(fā)明實(shí)施例中提供的一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法的第四應(yīng)用實(shí) 例圖;圖8a為本發(fā)明實(shí)施例中提供的一種終端的結(jié)構(gòu)示意圖�;圖8b為本發(fā)明實(shí)施例中提供的另一種終端的結(jié)構(gòu)示意圖;圖9a為本發(fā)明實(shí)施例中提供的一種NACC服務(wù)器的結(jié)構(gòu)示意圖��;圖9b為本發(fā)明實(shí)施例中提供的另一種NACC服務(wù)器的結(jié)構(gòu)示意圖��;圖10a為本發(fā)明實(shí)施例中提供的一種具有安全性證實(shí)聲明網(wǎng)絡(luò)防火墻SNF的網(wǎng)絡(luò) 設(shè)備的結(jié)構(gòu)示意圖����;圖10b為本發(fā)明實(shí)施例中提供的另一種具有安全性證實(shí)聲明網(wǎng)絡(luò)防火墻SNF的網(wǎng) 絡(luò)設(shè)備的結(jié)構(gòu)示意圖���;圖11為本發(fā)明實(shí)施例中提供的一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控系統(tǒng)的結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例的方案���,下面結(jié)合附圖和實(shí)施 方式對本發(fā)明實(shí)施例作進(jìn)一步的詳細(xì)說明�����。請參閱圖1�����,為本發(fā)明實(shí)施例提供的一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法的流程圖���, 在該實(shí)施例中,先在終端上部署安全性證實(shí)聲明個(gè)人防火墻SHF����,所述終端上SHF預(yù)先從網(wǎng) 絡(luò)應(yīng)用監(jiān)控中心服務(wù)器上獲取配置的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略;所述方法包括步驟101 當(dāng)部署在終端上的安全性證實(shí)聲明個(gè)人防火墻SHF監(jiān)測到所述終端發(fā) 起會話請求時(shí)����,若所述部署在終端上的SHF確定所述會話請求的網(wǎng)絡(luò)應(yīng)用滿足獲取的網(wǎng)絡(luò) 應(yīng)用監(jiān)控安全策略,則從網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC服務(wù)器請求并獲得所述會話請求的第一 簽名密鑰���;其中�����,第一簽名密鑰為用于本終端與目標(biāo)終端會話/通信的簽名密鑰����,亦可稱為 會話簽名密鑰�����;步驟101中���,所述部署在終端上的SHF在監(jiān)測到該終端發(fā)起會話請求時(shí)��,對終端 發(fā)起的會話請求的網(wǎng)絡(luò)應(yīng)用進(jìn)行判斷�,判斷該網(wǎng)絡(luò)應(yīng)用是否滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全 策略��,如果滿足�,才允許該網(wǎng)絡(luò)應(yīng)用進(jìn)行通信,即向網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC服務(wù)器請求并 獲得所述會話請求的第一簽名密鑰�����;如果不滿足,則阻止該網(wǎng)絡(luò)應(yīng)用�,以提高網(wǎng)絡(luò)應(yīng)用的安 全性。比如�����,所述部署在終端上的SHF監(jiān)測該終端發(fā)起會話建立請求�,則該部署在終端上 的SHF采用Has算法對該會話請求進(jìn)行特征提取,并與監(jiān)控安全策略進(jìn)行匹配�,如果匹配成 功,則允許該終端獲從所述網(wǎng)絡(luò)應(yīng)用監(jiān)控中心服務(wù)器上獲取會話請求的會話簽名密鑰�,若 匹配失敗,則該阻斷請求��、拒絕或者依照配置向網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC服務(wù)器匯報(bào)相關(guān)信 肩�、o步驟102 所述部署在終端上的SHF根據(jù)所述第一簽名密鑰生成對應(yīng)的安全性證 實(shí)聲明SVC,并向?qū)Χ税l(fā)送所述SVC ��;步驟103 若所述部署在終端上的SHF接收到對端返回的對所述SVC驗(yàn)證成功的 消息時(shí)����,所述會話建立成功?�?梢?��,本發(fā)明實(shí)施例提供了一種集中式的網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法����,其目的是實(shí)現(xiàn) 對內(nèi)網(wǎng)終端上的網(wǎng)絡(luò)應(yīng)用(比如建立會話連接等)的嚴(yán)格監(jiān)控�,使符合網(wǎng)絡(luò)應(yīng)用監(jiān)控安全 策略的網(wǎng)絡(luò)應(yīng)用可以進(jìn)行正常的網(wǎng)絡(luò)通信,而對違規(guī)的網(wǎng)絡(luò)應(yīng)用被阻斷����,及時(shí)發(fā)現(xiàn)和警告 異常流量,提高內(nèi)網(wǎng)安全��。其中���,在上述實(shí)施例中�,若所述會話請求為第一內(nèi)網(wǎng)終端向第二內(nèi)網(wǎng)終端發(fā)起的 會話請求����,則所述對端為內(nèi)網(wǎng)中具有SVC個(gè)人防火墻功能的另一終端;若所述會話請求為內(nèi)網(wǎng)終端向外網(wǎng)終端發(fā)起的會話請求�����,則所述對端為具有SVC 網(wǎng)絡(luò)防火墻的網(wǎng)絡(luò)設(shè)備���。在本實(shí)施例中的所述安全性證實(shí)聲明(SVC�,Secuirty Validation Claim)可以包 括網(wǎng)絡(luò)會話特征信息和簽名信息,其中����,網(wǎng)絡(luò)會話特征信息可以包括但不限于如下內(nèi)容 網(wǎng)絡(luò)應(yīng)用的主程序標(biāo)識、會話的基本信息�����、聲明有效時(shí)間����,還可以包括程序的完整性聲明; 其中����,會話的基本信息包括協(xié)議類型(比如TCP/UDP/IP/ICMP等)、協(xié)議源端口號���、協(xié)議目 的端口號���、源地址、目的地址等;主程序標(biāo)識為發(fā)起該請求的程序標(biāo)識等���;簽名信息是由會
9話簽名密鑰對網(wǎng)絡(luò)會話特征信息進(jìn)行簽名運(yùn)算后得到���。簽名運(yùn)算可以用會話簽名密鑰對網(wǎng) 絡(luò)特征信息進(jìn)行hash或者加密操作得到。但不限于此��,當(dāng)然���,也可以包括其他的會話特征 信息和簽名信息,本實(shí)施例不作限制����。其中,本實(shí)施例中的SVC:就是終端(比如主機(jī))上的安全檢查軟件(SHF���,SVC個(gè) 人防火墻���,SVC Host Firewall)對某個(gè)網(wǎng)絡(luò)會話的發(fā)起程序的安全性(通過驗(yàn)證其軟件完 整性或者根據(jù)其他原則)與合法性進(jìn)行檢測后產(chǎn)生的一組描述數(shù)據(jù),其中���,所述SVC包括: 網(wǎng)絡(luò)應(yīng)用主程序標(biāo)識�,該程序的完整性聲明(可選)�,會話的基本信息(如協(xié)議類型�、源/目 IP地址�����、端口)���,聲明有效時(shí)間����、簽名等�。SVC可通過固定數(shù)據(jù)結(jié)構(gòu)、XML或其它文本描述格式來保存����,在網(wǎng)絡(luò)上可通過UDP 協(xié)議或TCP協(xié)議方式傳送到目標(biāo)終端(比如內(nèi)網(wǎng)終端)或外網(wǎng)網(wǎng)絡(luò)設(shè)備(比如SNF網(wǎng)絡(luò)設(shè) 備)。在一個(gè)內(nèi)部網(wǎng)絡(luò)中����,為了安全組件間可相互識別彼此的SVC,應(yīng)該采用統(tǒng)一的描述格 式��。進(jìn)一步���,在上述實(shí)施例中�,所述方法還可以包括利用哈希算法對監(jiān)測到的所述會 話請求的網(wǎng)絡(luò)應(yīng)用的特征信息進(jìn)行提取,并將提取結(jié)果與所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略進(jìn)行 匹配�����,如果匹配成功���,則確定所述會話請求的網(wǎng)絡(luò)應(yīng)用滿足所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略��。其 中���,該實(shí)施例中���,并不限于哈希算法���,也可以是其他相應(yīng)的算法。進(jìn)一步�,在上述實(shí)施例中,所述根據(jù)所述會話簽名密鑰生成對應(yīng)的安全性證實(shí)聲 明SVC包括所述部署在終端上的SHF根據(jù)所述會話簽名密鑰對所述會話請求的安全性與 合法性進(jìn)行檢測���,并在安全性與合法性檢測通過后�,產(chǎn)生包含網(wǎng)絡(luò)會話特征信息和簽名信 息的安全性證實(shí)聲明SVC進(jìn)一步,在上述實(shí)施例中��,所述方法還可以包括若所述部署在終端上的SHF判斷所述網(wǎng)絡(luò)應(yīng)用不滿足預(yù)先獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控 安全策略��,則向所述網(wǎng)絡(luò)應(yīng)用監(jiān)控中心服務(wù)器匯報(bào)所述相關(guān)信息����,并終止該會話請求。進(jìn)一步�,在上述實(shí)施例中,所述方法還可以包括所述部署在終端上的SHF向所述 網(wǎng)絡(luò)應(yīng)用監(jiān)控中心服務(wù)器發(fā)送注冊請求�����,以請求該終端的第二簽名密鑰����;所述部署在終端 上的SHF接收所述NACC返回的所述第二簽名密鑰,以便于發(fā)起建立會話請求���。其中��,第二 簽名密鑰為終端簽名密鑰�。進(jìn)一步��,在上述實(shí)施例中,所述方法還可以包括所述部署在終端上的SHF定期接收所述網(wǎng)絡(luò)應(yīng)用監(jiān)控中心服務(wù)器發(fā)送的網(wǎng)絡(luò)應(yīng) 用監(jiān)控安全策略�����,并對所述獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略進(jìn)行更新����。本發(fā)明實(shí)施例中,部署在終端的SHF可以對每個(gè)網(wǎng)絡(luò)會話的發(fā)起和接收程序進(jìn)行 監(jiān)控���,并判斷是否滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略����,如果滿足���,則對該會話進(jìn)行放行,如 果不滿足�����,則阻止����。從而使符合網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略的網(wǎng)絡(luò)應(yīng)用可以進(jìn)行正常的網(wǎng)絡(luò)通 信����,提高整個(gè)網(wǎng)絡(luò)的安全性�����,加強(qiáng)網(wǎng)絡(luò)邊界防護(hù)����。即,對從內(nèi)網(wǎng)發(fā)起的外部訪問會話進(jìn)行細(xì) 粒度監(jiān)控��,能從網(wǎng)絡(luò)應(yīng)用的程序級別進(jìn)行訪問控制���,及時(shí)發(fā)現(xiàn)隱藏的惡意流量��;同時(shí)�����,也為 安裝個(gè)人防火墻SHF的終端提供更強(qiáng)的訪問控制能力����,即安裝個(gè)人防火墻的終端可以獲取 到請求連接的應(yīng)用程序概要信息���,并可根據(jù)這些信息制定訪問控制策略�����;進(jìn)一步����,網(wǎng)絡(luò)應(yīng)用 監(jiān)控中心服務(wù)器可以統(tǒng)一收集、監(jiān)視和控制整個(gè)內(nèi)網(wǎng)中網(wǎng)絡(luò)應(yīng)用使用情況��。也就是說�����,本發(fā)明實(shí)施例提供的一套安全監(jiān)控機(jī)制��,可以對每個(gè)網(wǎng)絡(luò)會話的發(fā)起
10和接收程序進(jìn)行安全檢查與聲明�����,并能根據(jù)檢查結(jié)果決定是否放行或禁用�,從而能從很大 程度上提高整個(gè)網(wǎng)絡(luò)的安全性����,相比傳統(tǒng)安全防護(hù)�����,這種安全控制力度將更細(xì)更高��。相應(yīng)的�����,還請參閱圖2��,為本發(fā)明實(shí)施例提供的一種簽名密鑰的發(fā)送方法的流程 圖��,在該實(shí)施例中�����,第一簽名密鑰為會話簽名密鑰���,第二簽名密鑰為終端自身的簽名密鑰; 所述方法包括步驟201 網(wǎng)絡(luò)應(yīng)用監(jiān)控中心(NACC���,Network Application Control Center)月艮 務(wù)器接收第一終端的會話請求�;步驟202 :NACC服務(wù)器根據(jù)所述會話請求生成用于第一終端與第二終端進(jìn)行會話 的第一簽名密鑰����;步驟203 所述NACC服務(wù)器向所述第一終端發(fā)送所述第一簽名密鑰�����。在步驟201之前���,所述方法還可以包括網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC服務(wù)器接收第一終端發(fā)送的注冊請求;所述NACC服務(wù)器對所述第一終端的注冊請求進(jìn)行驗(yàn)證��,并在驗(yàn)證成功時(shí)�����,生成第 二簽名密鑰�����;所述NACC服務(wù)器向所述第一終端發(fā)送該第二簽名密鑰��。在步驟201之前��,所述方法還可以包括NACC服務(wù)器預(yù)先對內(nèi)網(wǎng)中各個(gè)終端的網(wǎng) 絡(luò)應(yīng)用監(jiān)控安全策略進(jìn)行集中統(tǒng)一配置����,并向該終端發(fā)送所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略。其中�,所述根據(jù)會話請求生成用于第一終端與第二終端進(jìn)行會話的第一簽名密鑰 包括所述NACC服務(wù)器將所述會話請求關(guān)聯(lián)的第二終端的簽名密鑰與所述會話請求中包 含會話的特征信息進(jìn)行哈希計(jì)算,得到第一簽名密鑰��。其中�,計(jì)算的方式可以采用哈希計(jì) 算���,也可以采用其他的算法���,本實(shí)施例不作限制。在該實(shí)施例中�����,由于該實(shí)施例中的服務(wù)器中部署了網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC�����,所述 NACC是一組服務(wù)程序����,其基本功能包括對內(nèi)網(wǎng)的網(wǎng)絡(luò)應(yīng)用監(jiān)控策略進(jìn)行集中統(tǒng)一配置; 為網(wǎng)絡(luò)應(yīng)用監(jiān)控安全組件提供監(jiān)控策略下發(fā)功能;接收和管理網(wǎng)絡(luò)應(yīng)用監(jiān)控安全組件的監(jiān) 控事件匯報(bào)����;提供簽名密鑰管理功能,即部署在各終端上的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全組件�����,可通過 安全通道向NACC服務(wù)器詢問自身的簽名密鑰(即第一簽名密鑰)和與目標(biāo)終端(即目前 主機(jī))通信的SVC的簽名密鑰(即第二簽名密鑰)�。其中,SVC的簽名密鑰是用于保障SVC 真實(shí)性和防止偽造的重要信息����,必須有一套完整的處理方案,在本發(fā)明實(shí)施例提供一種簡 單有效的實(shí)施模式����,但并不限于此NACC服務(wù)器動(dòng)態(tài)生成各終端的簽名密鑰KEYs (即第二簽名密鑰),并對各終端的 簽名密鑰KEYs進(jìn)行管理����;終端上的安全組件SVC個(gè)人防火墻(SHF,SVC Host Firewall)在接入內(nèi)網(wǎng)后首先 向NACC注冊�,獲取自身的簽名密鑰KEYs ;當(dāng)需要對目標(biāo)主機(jī)IP發(fā)送SVC時(shí)����,部署在終端上的SHF需向NACC服務(wù)器詢問獲 取該對主機(jī)IP的簽名密鑰KEYs�,NACC服務(wù)器把目標(biāo)主機(jī)的KEYs與請求主機(jī)的IP進(jìn)行計(jì) 算后得到會話密鑰KEYcs (即第一簽名密鑰)���,并將會話密鑰KEYcs所述發(fā)送給請求的終端; 其中�����,計(jì)算的方式可以通過哈希(hash)計(jì)算得到KEYcs ��;也可以把…Keys與網(wǎng)絡(luò)特征信息��, 或者其中的一部分比如目的IP地址進(jìn)行hash計(jì)算后得到KEYcs ��;還可以是其他的算法��,本 實(shí)施例不作限制����。
11
由于目標(biāo)主機(jī)中的SHF可以直接利用該終端自身的KEYs結(jié)合SVC中的源IP地址 計(jì)算出每個(gè)接入會話的會話密鑰KEYcs,所以可對SVC的真實(shí)性進(jìn)行驗(yàn)證��。其中��,會話密鑰 KEYcs可以是終端簽名密鑰KEYs和網(wǎng)絡(luò)會話特征信息進(jìn)行運(yùn)算得到,或者會話密鑰KEYcs 也可以是終端簽名密鑰KEYs和網(wǎng)絡(luò)會話特征信息的部分內(nèi)容運(yùn)算得到���。還請參閱圖3�,為本發(fā)明實(shí)施例提供的又一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法的流 程圖�����,在該實(shí)施例中����,第一簽名密鑰為會話簽名密鑰,第二簽名密鑰為終端自身的簽名密 鑰��,亦可簡稱為終端簽名密鑰��;所述方法包括步驟301 當(dāng)安全性證實(shí)聲明網(wǎng)絡(luò)防火墻SNF網(wǎng)絡(luò)設(shè)備監(jiān)測到外網(wǎng)終端發(fā)起與內(nèi) 網(wǎng)終端進(jìn)行會話的會話請求時(shí)�����,若所述SNF網(wǎng)絡(luò)設(shè)備確定所述會話請求的網(wǎng)絡(luò)應(yīng)用滿足獲 取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略���,則向網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC服務(wù)器請求并獲得所述會話請 求的第一簽名密鑰��;步驟302 所述SNF網(wǎng)絡(luò)設(shè)備根據(jù)所述第一簽名密鑰生成對應(yīng)的安全性證實(shí)聲明 SVC���,并向所述內(nèi)網(wǎng)終端發(fā)送所述SVC �����;其中���,所述安全性證實(shí)聲明SVC包括網(wǎng)絡(luò)會話特征信息和簽名信息,具體詳見上 述���。步驟303 若所述SNF網(wǎng)絡(luò)設(shè)備接收到所述內(nèi)網(wǎng)終端返回的對所述SVC驗(yàn)證成功 的消息時(shí),則會話建立成功���。進(jìn)一步���,所述方法還可以包括SNF利用哈希算法對會話請求的網(wǎng)絡(luò)應(yīng)用的特征 信息進(jìn)行提取,并與所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略進(jìn)行匹配����,如果匹配成功,則確定所述會話 請求的網(wǎng)絡(luò)應(yīng)用滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略��。進(jìn)一步���,所述生成安全性證實(shí)聲明SVC包括所述SNF網(wǎng)絡(luò)設(shè)備根據(jù)所述會話簽名 密鑰對所述會話請求的安全性與合法性進(jìn)行檢測���,并在安全性與合法性檢測通過后�,產(chǎn)生 包括網(wǎng)絡(luò)會話特征信息和簽名信息的安全性證實(shí)聲明SVC�。該實(shí)施例為外網(wǎng)終端向內(nèi)網(wǎng)終端請求建立會話的過程,即網(wǎng)絡(luò)設(shè)備中的SNF在監(jiān) 測到外網(wǎng)終端訪問內(nèi)網(wǎng)終端時(shí)�,根據(jù)從內(nèi)網(wǎng)的網(wǎng)絡(luò)應(yīng)用監(jiān)控中心服務(wù)器獲得的內(nèi)網(wǎng)應(yīng)用監(jiān) 控安全策略,判斷該會話請求的網(wǎng)絡(luò)應(yīng)用是否滿足內(nèi)網(wǎng)應(yīng)用監(jiān)控安全策略�����,如果所述網(wǎng)絡(luò) 應(yīng)用滿足內(nèi)網(wǎng)應(yīng)用監(jiān)控安全策略�,則允許通過,否則���,阻止該網(wǎng)絡(luò)應(yīng)用���。從而提高網(wǎng)絡(luò)的安 全性。為了便于本領(lǐng)域技術(shù)人員的理解�,下面以具體的應(yīng)用實(shí)例來說明。請參閱圖4����,為本發(fā)明實(shí)施例提供的一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法的第一應(yīng) 用實(shí)例圖��,該應(yīng)用實(shí)例為終端注冊的實(shí)現(xiàn)過程���,在該實(shí)施例中,管理員預(yù)先在NACC服務(wù)器 上配置網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略����,并設(shè)定該內(nèi)網(wǎng)終端上允許使用的網(wǎng)絡(luò)應(yīng)用的程序的檢測特 征值,該檢測特征值具體可以與IP地址綁定��。該實(shí)施例中的終端�����,為部署SHF軟件功能的 終端��,或是部署SNF軟件功能的網(wǎng)絡(luò)設(shè)備����,為了便于描述����,本實(shí)施例中的內(nèi)網(wǎng)終端以SHF終 端為例,網(wǎng)絡(luò)設(shè)備以部署SNF的網(wǎng)絡(luò)設(shè)備為例�,其SHF終端/SNF網(wǎng)絡(luò)設(shè)備注冊的過程類似�����, 具體包括步驟401 :NACC服務(wù)器配置網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略��,并設(shè)定內(nèi)網(wǎng)終端上允許使用 的網(wǎng)絡(luò)應(yīng)用的程序的檢測特征值��;也可以是管理員在NACC服務(wù)器上配置網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略����,并設(shè)定內(nèi)網(wǎng)終端
12上允許使用的網(wǎng)絡(luò)應(yīng)用的程序的檢測特征值���,步驟402 :SHF終端/SNF網(wǎng)絡(luò)設(shè)備接入內(nèi)網(wǎng)后��,向指定的NACC服務(wù)器發(fā)送注冊請 求�;即獲取自身的簽名密鑰KEYs ����;該KEYs為終端簽名密鑰;步驟403 :NACC服務(wù)器對該SHF終端或SNF網(wǎng)絡(luò)設(shè)備進(jìn)行驗(yàn)證�����,如果驗(yàn)證成功��,根 據(jù)所述注冊請求生成該SHF終端的終端簽名密鑰/者SNF網(wǎng)絡(luò)設(shè)備的簽名密鑰;為例便于 描述�����,本實(shí)施例中�,SHF終端/SNF網(wǎng)絡(luò)設(shè)備的簽名密鑰都用簽名密鑰KEYs表示,但在實(shí)際 應(yīng)用中�,二者的簽名密鑰不同。步驟404 :NACC服務(wù)器將所述簽名密鑰KEYs發(fā)送給SHF終端/SNF網(wǎng)絡(luò)設(shè)備����;同時(shí) 下發(fā)所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略。進(jìn)一步��,在該SHF終端/SNF網(wǎng)絡(luò)設(shè)備注冊成功后��,該SHF終端/SNF網(wǎng)絡(luò)設(shè)備可以 定期接收NACC下發(fā)新的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略�,并根據(jù)原來的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略��。在該實(shí)施例中�����,NACC服務(wù)器對用于監(jiān)測內(nèi)網(wǎng)終端的網(wǎng)絡(luò)應(yīng)用監(jiān)控策略進(jìn)行集中 統(tǒng)一配置���,并為各個(gè)內(nèi)網(wǎng)終端下發(fā)網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略�;以及提供簽名密鑰管理功能����,各 SHF終端/SNF網(wǎng)絡(luò)設(shè)備接入內(nèi)網(wǎng)后�,可以通過安全通道向NACC服務(wù)器詢問自身的簽名密 鑰�,當(dāng)然,還可以獲取與目標(biāo)終端通信的會話簽名密鑰�。與目標(biāo)終端通信的會話簽名密鑰主 要是用于生成安全性證實(shí)聲明SVC,而SVC是用于保障網(wǎng)絡(luò)應(yīng)用的SVC真實(shí)性和防止偽造的 重要信息�。進(jìn)一步,后續(xù)該終端需要對目標(biāo)終端IP生成的SVC時(shí)�,該SHF終端需向NACC服務(wù) 器請求并獲取該會話的會話簽名密鑰KEYcs,NACC服務(wù)器把目標(biāo)終端的KEYs與請求終端的 IP進(jìn)行哈希(HASH)計(jì)算后得到會話的會話簽名密鑰KEYcs����,并將會話簽名密鑰KEYcs發(fā)送 給該請求的終端;由于目標(biāo)SHF終端可以直接利用自身的KEYs結(jié)合SVC中的源IP地址計(jì)算出每個(gè) 接入會話的KEYcs���,所以可對SVC的真實(shí)性進(jìn)行驗(yàn)證����。還請參閱圖5,為本發(fā)明提供的一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法的第二應(yīng)用實(shí) 例圖���,該實(shí)施例為外網(wǎng)向內(nèi)網(wǎng)請求建立會話的過程���,在該實(shí)施例中,終端1和終端2分別為 部署有SHF軟件的終端��,即SHF終端1和SHF終端2���。SHF終端1和SHF終端2建立會話的 過程具體包括步驟501 SHF終端1向終端2建立會話請求���;步驟502 :SHF終端1 (可以理解為,部署在終端上的SHF�,下同)按照從NACC服務(wù) 器上獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略對該建立的會話請求會話的網(wǎng)絡(luò)應(yīng)用進(jìn)行監(jiān)控;其中���, 該網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略可以是預(yù)先獲取的�,也可以是會話建立過程中實(shí)時(shí)獲取的�,本實(shí) 施例不作限制。步驟503 :SHF終端1判斷該網(wǎng)絡(luò)應(yīng)用是否與獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略相匹 配�,如果不匹配,執(zhí)行步驟504���,否則�,執(zhí)行步驟505 ����;步驟504 :SHF終端1將相關(guān)信息匯報(bào)給NACC服務(wù)器,并阻斷或拒絕本次會話請 求�,結(jié)束本次會話請求;步驟505 :SHF終端1向NACC服務(wù)器發(fā)送會話請求�,會話請求用于請求獲取與SHF 終端2備進(jìn)行會話的會話簽名密鑰;步驟506 :NACC服務(wù)器根據(jù)所述會話請求生成該次會話的會話簽名密鑰���;
步驟507 :NACC服務(wù)器將所述會話簽名密鑰發(fā)動(dòng)給SHF終端1 ���;其中,NACC服務(wù)器生成該次會話的簽名密鑰為NACC服務(wù)器將SHF終端2的KEYs 與SHF終端1的IP進(jìn)行哈希(HASH)計(jì)算��,得到本地會話的簽名密鑰KEYcs��,并將簽名密鑰 KEYcs發(fā)送給該SHF終端1 ����;步驟508 :SHF終端1在接收到本次會話的會話簽名密鑰后,生成一個(gè)安全性證實(shí) 聲明SVC ��;步驟509 SHF終端1將所述SVC發(fā)送給SHF終端2 ;步驟510 :SHF終端2驗(yàn)證接收到的所述SVC的合法性�,如果合法,則執(zhí)行步驟511 ���; 否則����,執(zhí)行步驟512;步驟511 如果所述SVC合法���,所述SHF終端2和SHF終端1之間的會話成功建立���;步驟512 如果所述SVC不合法,則所述SHF終端2和SHF終端1之間會話建立失 敗���。本實(shí)施例中�����,對于內(nèi)網(wǎng)建立會話時(shí)�,對SHF終端1發(fā)起建立會話的網(wǎng)絡(luò)應(yīng)用進(jìn)行監(jiān) 測��,并判斷該網(wǎng)絡(luò)應(yīng)用是否滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略�,若滿足�,則允許該SHF終端 1發(fā)起會話����,并向NACC服務(wù)器獲取該會話請求的會話簽名密鑰�,以及在獲取該會話請求的 會話簽名密鑰時(shí),生成SVC����,并發(fā)送所述SVC給SHF終端2,以及在接收到SHF終端2發(fā)送的 驗(yàn)證成功消息時(shí)����,會話建立成功。也就是說�,本實(shí)施例對接入內(nèi)網(wǎng)終端發(fā)起的會話請求的網(wǎng) 絡(luò)應(yīng)用進(jìn)行監(jiān)控,即對發(fā)起會話請求的SHF終端1進(jìn)行檢測����,并判斷發(fā)起會話的網(wǎng)絡(luò)應(yīng)用是 否滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略,對滿足網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略的網(wǎng)絡(luò)會話�����,允許會 話���,并在允許會話之前對每個(gè)會話產(chǎn)生一個(gè)安全性證實(shí)聲明SVC����,并將SVC發(fā)送到對端;對 不滿足網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略的網(wǎng)絡(luò)會話�����,則阻止或中斷該網(wǎng)絡(luò)應(yīng)用�。也就是說,本實(shí)施例 中的SHF終端(即安裝SVC處理功能的個(gè)人防火墻的終端)為對傳統(tǒng)終端(即安裝現(xiàn)有個(gè) 人防火墻的終端)的個(gè)人防火墻功能的擴(kuò)展���,打開了一個(gè)新的市場空間�,即本實(shí)施例中提 供的安裝SVC處理功能的個(gè)人防火墻的終端不但可以識別本地應(yīng)用的程序信息����,也可識別 接入應(yīng)用的程序信息,從而提高了網(wǎng)絡(luò)的安全性�。還請參閱圖6,為本發(fā)明實(shí)施例提供的一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法的第三 應(yīng)用實(shí)例圖�����,該實(shí)施例為內(nèi)網(wǎng)終端向外網(wǎng)終端請求建立會話的過程��,在該實(shí)施例中,終端1 為安裝SHF軟件的內(nèi)網(wǎng)終端���,即SHF內(nèi)網(wǎng)終端�����,該內(nèi)網(wǎng)的網(wǎng)絡(luò)服務(wù)器為安裝SNF軟件功能的 服務(wù)器,即SNF服務(wù)器(或網(wǎng)絡(luò)設(shè)備)���,該內(nèi)網(wǎng)的監(jiān)測服務(wù)器為安裝NACC軟件功能的服務(wù) 器�����,即NACC服務(wù)器�����。其中�����,所述內(nèi)網(wǎng)終端向外網(wǎng)終端請求建立會話具體包括步驟601 :SHF內(nèi)網(wǎng)終端向外網(wǎng)終端建立會話請求�����;步驟602 :SHF內(nèi)網(wǎng)終端按照預(yù)先從NACC服務(wù)器上獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略 對該建立的會話請求會話的網(wǎng)絡(luò)應(yīng)用進(jìn)行監(jiān)控�;步驟603 :SHF內(nèi)網(wǎng)終端判斷該網(wǎng)絡(luò)應(yīng)用程序是否與預(yù)先獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安 全策略相匹配,如果不匹配��,執(zhí)行步驟604���,否則���,執(zhí)行步驟605 ;步驟604 :SHF內(nèi)網(wǎng)終端將相關(guān)信息匯報(bào)給服務(wù)器NACC��,并阻斷或拒絕本次會話請 求�,結(jié)束本次會話請求;步驟605 :SHF內(nèi)網(wǎng)終端向NACC服務(wù)器請求獲取該會話的簽名密鑰�����;步驟606 :NACC服務(wù)器生成本次會話的會話簽名密鑰�����;
步驟607 :NACC服務(wù)器將所述會話簽名密鑰發(fā)送給SHF內(nèi)網(wǎng)終端���;步驟608 :SHF內(nèi)網(wǎng)終端在接收到所述會話簽名密鑰后�����,生成一個(gè)安全性證實(shí)聲明 SVC ���;步驟609 :SHF內(nèi)網(wǎng)終端將所述SVC發(fā)送給相應(yīng)的SNF服務(wù)器(即部署SVC網(wǎng)絡(luò)防 火墻的服務(wù)器)�����;步驟610 :SNF內(nèi)網(wǎng)終端驗(yàn)證接收到的所述SVC的合法性����,如果合法�,執(zhí)行步驟 611 �����;步驟611 如果SVC合法����,會話建立成功。當(dāng)然了�,如果所述SVC不合法,則會話建立失敗����,就不連接外網(wǎng)終端(圖中未示)����。該實(shí)施例為內(nèi)網(wǎng)終端向外網(wǎng)終端發(fā)起會話建立的過程���,該過程與上述應(yīng)用實(shí)例二 的過程基本相同���,其不同之處,SNF內(nèi)網(wǎng)終端需要將生成的SVC發(fā)送給SNF服務(wù)器進(jìn)行驗(yàn)證���, 并在接收到SNF服務(wù)器發(fā)送驗(yàn)證成功時(shí)����,會話建立成功�。也就是說,具備SVC處理功能的網(wǎng) 絡(luò)(邊界)防火墻�����,可以彌補(bǔ)傳統(tǒng)防火墻只能從網(wǎng)絡(luò)協(xié)議上識別網(wǎng)絡(luò)應(yīng)用的缺陷����,對網(wǎng)絡(luò)邊 界的控制力度更強(qiáng)����,尤其適合控制企業(yè)網(wǎng)絡(luò)的Internet出口����。還請參閱圖7,為本發(fā)明提供的一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法的第四應(yīng)用實(shí) 例圖���,該實(shí)施例為外網(wǎng)終端向內(nèi)網(wǎng)終端請求建立會話的過程��,在該實(shí)施例中�,終端1為安裝 SHF軟件的內(nèi)網(wǎng)終端�,即SHF內(nèi)網(wǎng)終端,該內(nèi)網(wǎng)的網(wǎng)絡(luò)服務(wù)器為安裝SNF軟件功能的服務(wù)器���, 即SNF服務(wù)器,該內(nèi)網(wǎng)的監(jiān)測服務(wù)器為安裝NACC軟件功能的服務(wù)器���,即NACC服務(wù)器�����。其中���, 所述外網(wǎng)終端向內(nèi)網(wǎng)終端請求建立會話的過程具體包括步驟701 外網(wǎng)終端向SNF服務(wù)器請求與SHF內(nèi)網(wǎng)終端會話����;步驟702 :SNF服務(wù)器判斷所述請求會話的網(wǎng)絡(luò)應(yīng)用是否滿足預(yù)先從NACC服務(wù)器 上獲取的內(nèi)網(wǎng)應(yīng)用監(jiān)控安全策略�,如果不滿足,執(zhí)行步驟703 ��;否則��,執(zhí)行步驟704 ���;步驟703 :SNF服務(wù)器丟棄該會話請求�����,拒絕接入�����,結(jié)束本次會話的建立�����;步驟704 SNF服務(wù)器向NACC服務(wù)器發(fā)送會話請求�����,該會話請求用于請求獲取該本 次會話的會話簽名密鑰�����;步驟705 :NACC服務(wù)器根據(jù)所述會話請求生成本次會話的會話簽名密鑰�����;步驟706 :NACC服務(wù)器將所述會話簽名密鑰發(fā)送給SNF服務(wù)器�����;步驟707 :SNF服務(wù)器根據(jù)所述會話簽名密鑰��,為該會話請求生成一個(gè)SVC ���;步驟708 :SNF服務(wù)器將SVC發(fā)送給相應(yīng)的SHF內(nèi)網(wǎng)終端;步驟709 :SHF內(nèi)網(wǎng)終端驗(yàn)證SVC的合法性�;若合法,執(zhí)行步驟710 �����;步驟710 如果SVC合法,會話建立 功���。當(dāng)然了�,如果SVC不合法��,會話建立失敗(圖中未示)���。該實(shí)施例中�����,SNF服務(wù)器中�����,由于安裝了 SVC處理功能的網(wǎng)絡(luò)(邊界)防火墻�����,可 以彌補(bǔ)傳統(tǒng)防火墻只能從網(wǎng)絡(luò)協(xié)議上識別網(wǎng)絡(luò)應(yīng)用的缺陷�����,對網(wǎng)絡(luò)邊界的控制力度更強(qiáng)��, 尤其適合控制企業(yè)網(wǎng)絡(luò)的Internet出口��。本發(fā)明實(shí)施例還提供一種終端�,其結(jié)構(gòu)示意圖詳見圖8a,在該終端上部署有安全 性證實(shí)聲明個(gè)人防火墻SHF�����,所述SHF包括監(jiān)控單元81��,會話簽名密鑰獲取單元82���,生成 單元83和收發(fā)單元84���,其中監(jiān)控單元81,用于監(jiān)測所述終端是否有發(fā)起會話請求����;
會話簽名密鑰獲取單元82,用于在所述監(jiān)控單元監(jiān)測到所述終端發(fā)起會話請求���, 且所述監(jiān)測到的會話請求的網(wǎng)絡(luò)應(yīng)用滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略時(shí)���,從網(wǎng)絡(luò)應(yīng)用監(jiān) 控中心NACC服務(wù)器上獲取會話請求的第一簽名密鑰;生成單元83�����,用于根據(jù)所述第一簽名密鑰生成對應(yīng)的安全性證實(shí)聲明SVC ��; 收發(fā)單元84����,用于向?qū)Χ税l(fā)送所述SVC,并接收對端返回的對所述SVC驗(yàn)證成功的 消息����,所述消息用于表示會話建立成功。進(jìn)一步�����,如圖8b所示�,所述終端還可以包括確定單元85,用于在所述監(jiān)控單元監(jiān) 測到所述終端發(fā)起建立會話請求時(shí)����,利用哈希算法對建立會話請求的網(wǎng)絡(luò)應(yīng)用的特征信息 進(jìn)行提取�����,并將提取的結(jié)果與所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略進(jìn)行匹配����,如果匹配成功�����,則確定 所述網(wǎng)絡(luò)應(yīng)用滿足所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略�����;當(dāng)提取的結(jié)果與所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策 略不匹配����,確定所述網(wǎng)絡(luò)應(yīng)用不滿足所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略;相應(yīng)的��,所述會話簽名密鑰獲取單元82具體用于在所述確定單元確定所述會話 請求的網(wǎng)絡(luò)應(yīng)用滿足所述獲取的所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略時(shí)���,向所述NACC服務(wù)器請求 并獲得所述會話請求的第一簽名密鑰���。進(jìn)一步�����,還可以包括安全策略獲取單元89,用于預(yù)先從網(wǎng)絡(luò)應(yīng)用監(jiān)控中心服務(wù) 器上獲取預(yù)先配置的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略�����。進(jìn)一步���,還可以包括匯報(bào)單元88�,用于在所述網(wǎng)絡(luò)應(yīng)用不滿足獲取的網(wǎng)絡(luò)應(yīng)用 監(jiān)控安全策略時(shí)���,向所述網(wǎng)絡(luò)應(yīng)用監(jiān)控中心服務(wù)器匯報(bào)相關(guān)信息��,并終止該會話請求���。進(jìn)一步,還可以包括注冊單元86和終端簽名密鑰獲取單元87�����,其中,注冊單元 86�,用于在終端接入網(wǎng)絡(luò)后,向NACC服務(wù)器發(fā)送注冊請求�,以請求該終端的第二簽名密鑰; 終端簽名密鑰獲取單元87�����,用于接收所述NACC服務(wù)器發(fā)送的第二簽名密鑰���,以便于發(fā)起會 話請求�����。其結(jié)構(gòu)示意圖如圖8b所示��。進(jìn)一步�����,所述方法還可以包括更新單元80����,用于定期接收所述網(wǎng)絡(luò)應(yīng)用監(jiān)控中 心服務(wù)器發(fā)送的新的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略�,并對所述獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略進(jìn)行 更新。所述裝置中各個(gè)單元的實(shí)現(xiàn)過程詳見上述對應(yīng)方法的實(shí)現(xiàn)過程,在此不再贅述���?���?梢?����,本發(fā)明實(shí)施例中���,由于在終端部署了安全性證實(shí)聲明個(gè)人防火墻SHF,當(dāng)終 端發(fā)起會話請求時(shí)��,SHF就監(jiān)測到所述會話請求�,并確定所述會話請求的網(wǎng)絡(luò)應(yīng)用是否滿足 獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略,并在滿足時(shí)���,向網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC服務(wù)器發(fā)送會話請 求�,NACC服務(wù)器根據(jù)所述會話請求生成用于第一終端與第二終端進(jìn)行會話的第一簽名密 鑰���,并向該終端返回所述第一簽名密鑰���;然后���,該終端根據(jù)所述第一簽名密鑰生成對應(yīng)的安 全性證實(shí)聲明SVC,并向?qū)Χ税l(fā)送所述SVC�,以及在接收到對端反饋的對所述SVC驗(yàn)證成功 的消息時(shí),所述會話建立成功���。也就是說�����,部署在終端的SHF可以對每個(gè)網(wǎng)絡(luò)會話的發(fā)起和 接收程序進(jìn)行監(jiān)控���,并判斷是否滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略,如果滿足����,則對該會話 進(jìn)行放行。從而使符合網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略的網(wǎng)絡(luò)應(yīng)用可以進(jìn)行正常的網(wǎng)絡(luò)通信�,提高 整個(gè)網(wǎng)絡(luò)的安全性。相應(yīng)的����,本發(fā)明實(shí)施例還提供一種NACC服務(wù)器��,其結(jié)構(gòu)示意圖參見圖9a��,所述裝 置包括會話請求接收單元91�,會話簽名密鑰生成單元92和會話簽名密鑰發(fā)送單元93��,其 中
會話請求接收單元91��,用于接收第一終端發(fā)送的會話請求����,其中,該會話請求用于 請求與目標(biāo)終端進(jìn)行會話的會話簽名密鑰����;會話簽名密鑰生成單元92�����,用于根據(jù)所述會話請求生成第一終端與第二終端進(jìn)行 會話的第一簽名密鑰�����;會話簽名密鑰發(fā)送單元93����,用于向所述第一終端返回所述第一簽名密鑰���。進(jìn)一步,如圖9b所示����,所述NACC服務(wù)器還可以包括注冊請求接收單元94,驗(yàn)證 單元95���,終端簽名密鑰生成單元96和終端簽名密鑰發(fā)送單元97��,其結(jié)構(gòu)示意圖參見圖%�����, 其中注冊請求接收單元94����,用于接收第一終端發(fā)送的注冊請求�;驗(yàn)證單元95,用于對所述第一終端的注冊請求進(jìn)行驗(yàn)證�;終端簽名密鑰生成單元96,用于在所述驗(yàn)證單元驗(yàn)證成功時(shí)��,生成該第一終端的 第二簽名密鑰;終端簽名密鑰發(fā)送單元97�����,用于向所述第一終端發(fā)送所述第二簽名密鑰�,以便于 所述第一終端發(fā)起會話請求。其中���,本實(shí)施例中�,所述會話簽名密鑰生成單元92具體用于將所述會話請求關(guān)聯(lián) 的第二終端的簽名密鑰與所述會話請求中包含的會話的特征信息進(jìn)行哈希計(jì)算�����,得到第一 簽名密鑰��。進(jìn)一步��,所述裝置還可以包括安全策略配置單元和安全策略發(fā)送單元(圖中未 示出)�����;其中����,安全策略配置單元,用于預(yù)先對內(nèi)網(wǎng)中各個(gè)終端的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略進(jìn) 行集中統(tǒng)一配置����;安全策略發(fā)送單元,用于在接收到終端發(fā)起建立會話請求時(shí)����,向該終端發(fā) 送所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略。所述裝置中各個(gè)單元的實(shí)現(xiàn)過程詳見上述對應(yīng)方法的實(shí)現(xiàn)過程�����,在此不再贅述�����?��?梢?,本發(fā)明實(shí)施例中�,在部署有安全性證實(shí)聲明個(gè)人防火墻SHF的第一終端發(fā) 起會話請求時(shí),NACC服務(wù)器根據(jù)所述會話請求生成用于第一終端與第二終端進(jìn)行會話的第 一簽名密鑰�����,并向第一終端返回所述第一簽名密鑰,從而便于該第一終端根據(jù)所述第一簽 名密鑰生成對應(yīng)的安全性證實(shí)聲明SVC���,并向?qū)Χ税l(fā)送所述SVC�,以及在接收到對端反饋的 對所述SVC驗(yàn)證成功的消息時(shí)�,所述會話建立成功。由于在終端部署了安全性證實(shí)聲明個(gè)人防火墻SHF�����,當(dāng)終端發(fā)起會話請求時(shí)�,SHF 就監(jiān)測到所述會話請求,并確定所述會話請求的網(wǎng)絡(luò)應(yīng)用是否滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安 全策略���,并在滿足時(shí)�,向網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC服務(wù)器發(fā)送會話請求�,也就是說,部署在終 端的SHF可以對每個(gè)網(wǎng)絡(luò)會話的發(fā)起和接收程序進(jìn)行監(jiān)控�,并判斷是否滿足獲取的網(wǎng)絡(luò)應(yīng) 用監(jiān)控安全策略,如果滿足���,則對該會話進(jìn)行放行。從而使符合網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略的網(wǎng) 絡(luò)應(yīng)用可以進(jìn)行正常的網(wǎng)絡(luò)通信���,提高整個(gè)網(wǎng)絡(luò)的安全性�����。相應(yīng)的��,本發(fā)明實(shí)施例還提供一種具有安全性證實(shí)聲明網(wǎng)絡(luò)防火墻SNF的網(wǎng)絡(luò)設(shè) 備���,其結(jié)構(gòu)示意圖參見圖10a����,所述裝置包括會話請求檢測單元110��,會話簽名密鑰獲取單 元111����,生成單元112,收發(fā)單元113�,其中所述會話請求檢測單元110,用于監(jiān)測是否有外網(wǎng)終端發(fā)起與內(nèi)網(wǎng)終端進(jìn)行會話 的會話請求���;會話簽名密鑰獲取單元111��,用于在所述會話請求檢測單元監(jiān)測到會話請求且檢
17測到的所述會話請求的網(wǎng)絡(luò)應(yīng)用滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略時(shí)�����,向NACC服務(wù)器請 求并獲得所述會話請求的第一簽名密鑰�����;生成單元112����,用于根據(jù)所述第一簽名密鑰生成對應(yīng)的安全性證實(shí)聲明SVC ;收發(fā)單元113�����,用于向所述內(nèi)網(wǎng)終端發(fā)送所述SVC����,并接收所述內(nèi)網(wǎng)終端返回的對 所述SVC驗(yàn)證成功的消息,所述消息用于表示會話建立成功���。進(jìn)一步�,如圖10b所示�,所述裝置還可以包括確定單元114�,用于在所述會話請求 檢測單元110監(jiān)測到外網(wǎng)終端發(fā)起與內(nèi)網(wǎng)終端進(jìn)行會話的會話請求時(shí)�����,利用哈希算法對所 述會話請求的網(wǎng)絡(luò)應(yīng)用的特征信息進(jìn)行提取�,并將提取的結(jié)果與所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策 略進(jìn)行匹配��,如果匹配成功����,則確定所述網(wǎng)絡(luò)應(yīng)用滿足所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略;所述會話簽名密鑰獲取單元111具體用于在所述確定單元114確定所述會話請求 的網(wǎng)絡(luò)應(yīng)用滿足從NACC服務(wù)器上獲取的所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略時(shí)�����,向NACC服務(wù)器請 求并獲得所述會話請求的第一簽名密鑰��。進(jìn)一步����,所述方法還可以包括更新單元115,用于定期接收所述NACC服務(wù)器發(fā)送 的新的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略�,并對所述獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略進(jìn)行更新。所述裝置中各個(gè)單元的實(shí)現(xiàn)過程詳見上述對應(yīng)方法的實(shí)現(xiàn)過程���,在此不再贅述���?��?梢姡景l(fā)明實(shí)施例中�,當(dāng)安全性證實(shí)聲明網(wǎng)絡(luò)防火墻SNF網(wǎng)絡(luò)設(shè)備監(jiān)測到外網(wǎng) 終端發(fā)起與內(nèi)網(wǎng)終端進(jìn)行會話的會話請求時(shí),若所述SNF網(wǎng)絡(luò)設(shè)備確定所述會話請求的網(wǎng) 絡(luò)應(yīng)用滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略�����,則向網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC服務(wù)器請求并獲 得所述會話請求的第一簽名密鑰����;所述SNF網(wǎng)絡(luò)設(shè)備根據(jù)所述第一簽名密鑰生成對應(yīng)的安 全性證實(shí)聲明SVC,并向所述內(nèi)網(wǎng)終端發(fā)送所述SVC �����;若所述SNF網(wǎng)絡(luò)設(shè)備接收到所述內(nèi)網(wǎng) 終端返回的對所述SVC驗(yàn)證成功的消息時(shí)�,則會話建立成功。也就是說�����,安全性證實(shí)聲明網(wǎng) 絡(luò)防火墻SNF網(wǎng)絡(luò)設(shè)備可以對每個(gè)網(wǎng)絡(luò)會話的發(fā)起和接收程序進(jìn)行監(jiān)控,并判斷是否滿足 獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略���,如果滿足��,則對該會話進(jìn)行放行。從而使符合網(wǎng)絡(luò)應(yīng)用監(jiān)控 安全策略的網(wǎng)絡(luò)應(yīng)用可以進(jìn)行正常的網(wǎng)絡(luò)通信�,提高整個(gè)網(wǎng)絡(luò)的安全性。相應(yīng)的�����,本發(fā)明實(shí)施例還提供一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控系統(tǒng)���,其結(jié)構(gòu)示意圖 詳見圖11�,所述系統(tǒng)包括部署有安全性證實(shí)聲明個(gè)人防火墻SHF的終端121和網(wǎng)絡(luò)應(yīng)用監(jiān) 控中心NACC服務(wù)器122����,其中部署在所述終端上的安全性證實(shí)聲明個(gè)人防火墻SHF,用于在監(jiān)測到該終端發(fā)起 會話請求時(shí)�,若確定所述會話請求的網(wǎng)絡(luò)應(yīng)用滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略時(shí),則從 NACC服務(wù)器上請求并獲得所述會話請求的第一簽名密鑰���;以及根據(jù)所述第一簽名密鑰生 成對應(yīng)的安全性證實(shí)聲明SVC�,向?qū)Χ税l(fā)送所述SVC ;并在接收到對端返回的對所述SVC驗(yàn) 證成功的消息時(shí)�����,所述會話建立成功�;所述NACC服務(wù)器122,用于接收所述終端發(fā)送的會話請求��,根據(jù)所述會話請求生 成所述終端與目標(biāo)終端進(jìn)行會話的第一簽名密鑰����,并向所述終端發(fā)送所述第一簽名密鑰。其中�,若所述終端發(fā)起的會話請求為第一內(nèi)網(wǎng)終端向第二內(nèi)網(wǎng)終端發(fā)起的會話請 求,則所述對端為該內(nèi)網(wǎng)中具有SVC個(gè)人防火墻功能的另一終端�;若所述終端發(fā)起的會話請求為內(nèi)網(wǎng)終端向外網(wǎng)終端發(fā)起的會話請求,則所述對端 為具有SVC網(wǎng)絡(luò)防火墻的網(wǎng)絡(luò)設(shè)備����。進(jìn)一步,所述系統(tǒng)還可以包括安全性證實(shí)聲明網(wǎng)絡(luò)防火墻SNF網(wǎng)絡(luò)設(shè)備(圖中未
18示出)����,用于在監(jiān)測到有外網(wǎng)終端發(fā)起與內(nèi)網(wǎng)終端的會話請求;若確定所述會話請求的網(wǎng) 絡(luò)應(yīng)用滿足獲取的所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略時(shí)���,向NACC服務(wù)器請求并獲得所述會話請 求的第一簽名密鑰���;并根據(jù)所述第一簽名密鑰生成對應(yīng)的安全性證實(shí)聲明SVC ��;向所述內(nèi) 網(wǎng)終端發(fā)送所述SVC ����;以及在接收到所述內(nèi)網(wǎng)終端返回的對所述SVC驗(yàn)證成功的消息時(shí)�,所 述會話建立成功�。所述裝置中各個(gè)單元的實(shí)現(xiàn)過程詳見上述對應(yīng)方法的實(shí)現(xiàn)過程,在此不再贅述��。在本發(fā)明實(shí)施例中��,預(yù)先在NACC服務(wù)器上配置網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略����,在終端的 主機(jī)上需要安裝SVC個(gè)人防火墻(SHF),其中���,安全性證實(shí)聲明(SVC)是對某個(gè)網(wǎng)絡(luò)會話的 發(fā)起程序的安全性與合法性進(jìn)行檢測后產(chǎn)生的一組描述數(shù)據(jù)����,其步驟包括終端主機(jī)接入 網(wǎng)絡(luò),部署在終端上的SHF向指定的NACC注冊��;對于不符合NACC安全策略的網(wǎng)絡(luò)應(yīng)用�,網(wǎng) 絡(luò)訪問請求被阻斷、拒絕或依照配置向NACC匯報(bào)相關(guān)信息���;對于符合NACC安全策略的網(wǎng) 絡(luò)應(yīng)用�����,SHF產(chǎn)生一個(gè)SVC�����,如果會話目標(biāo)地址是外網(wǎng)����,則SVC發(fā)送到相應(yīng)的SVC網(wǎng)絡(luò)防火 墻SNF�����,如果是內(nèi)網(wǎng)則發(fā)送到對端節(jié)點(diǎn)的SHF ��;部署在終端上的SHF監(jiān)聽和接收來自請求節(jié) 點(diǎn)的SVC����,如果符合安全策略�����,則建立會話����;否則�����,拒絕服務(wù)�。SNF監(jiān)聽和接收來自內(nèi)部網(wǎng)絡(luò) 節(jié)點(diǎn)的SVC���,如果符合安全策略���,則放行;否則���,拒絕服務(wù)�����。同時(shí)監(jiān)聽來自外網(wǎng)的網(wǎng)絡(luò)會話請 求���,并為合法的網(wǎng)絡(luò)請求生成SVC���,發(fā)送給內(nèi)網(wǎng)對應(yīng)的終端。為了便于理解����,還請參閱下述一種典型的應(yīng)用實(shí)例,具體包括假設(shè)在某個(gè)內(nèi)網(wǎng)環(huán)境下�,管理員只允許PC節(jié)點(diǎn)間通過特定的程序PA進(jìn)行相互通 信,PA的服務(wù)端TCP端口為1234���,PA的客戶端TCP端口由操作系統(tǒng)隨機(jī)產(chǎn)生��。管理員對PA 進(jìn)行特征提取并在NACC設(shè)置了策略��。以內(nèi)網(wǎng)的計(jì)算機(jī)PC1和PC2為例���,兩節(jié)點(diǎn)都部署了 SHF,以下是這兩個(gè)節(jié)點(diǎn)間PA通信時(shí)應(yīng)用監(jiān)控系統(tǒng)的主要工作流程����。PC1和PC2接入內(nèi)網(wǎng)后�����,各自的SHF向NACC注冊����,獲取了各自的會話簽名KEYs�����,并 更新了 NACC設(shè)定的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略�。當(dāng)PC1上的PA程序向PC2的PA程序發(fā)起TCP連接請求會話S1時(shí),PC1上的SHF 基于NACC的安全策略���,監(jiān)控到了該事件�����,采用Hash算法對PA進(jìn)行特征提取,并與安全策略 進(jìn)行匹配����,根據(jù)規(guī)則,該應(yīng)用可提供TCP監(jiān)聽服務(wù)并可對外發(fā)起連接,所以連接請求會話S1 可通過�����。PC1上的SHF在會話S1發(fā)起首個(gè)網(wǎng)絡(luò)包前�����,生成一個(gè)安全性證實(shí)聲明SVC并發(fā)送 到PC2�����,該SVC中包含了 S1的TCP特征信息(協(xié)議類型�、源地址、目標(biāo)地址��、源端口和目標(biāo)端 口)����,以及發(fā)起程序PA的標(biāo)識信息等。PC2上的SHF監(jiān)聽和接收來自請求節(jié)點(diǎn)SVC�����,在接收到S1的SVC后�,SHF依據(jù)簽名 以及時(shí)間等信息對其有效性進(jìn)行判別和處理���,判別S1為可通過。隨后����,S1的TCP請求包到 達(dá)時(shí),SHF根據(jù)其TCP五元組信息匹配到曾接收到S1的有效SVC��,會話可通過��。假如有另一臺計(jì)算機(jī)PC3接入到了內(nèi)網(wǎng)���,由于某種原因����,沒有安裝SHF��,其系統(tǒng)上 的PA程序也嘗試訪問PC2上的PA����,由于發(fā)起連接前,沒有發(fā)送對應(yīng)的SVC到PC2����,所以PC2 上的SHF在監(jiān)測到該事件后,會阻斷該會話�,并會向NACC發(fā)出告警。從而能從很大程度上 提高整個(gè)網(wǎng)絡(luò)的安全性�。由此可見,本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)應(yīng)用管理機(jī)制���,該機(jī)制具有比傳統(tǒng)方式 更強(qiáng)的監(jiān)管和控制能力�,適合于對安全要求較高的企業(yè)網(wǎng)絡(luò)���。進(jìn)一步�����,由于本實(shí)施例中的終
19端安裝了具有SVC處理功能的個(gè)人防火墻����,即具備SVC處理功能的個(gè)人防火墻終端不但可 以識別本地應(yīng)用的程序信息���,也可識別接入應(yīng)用的程序信息����,從而提高了網(wǎng)絡(luò)的安全性�����。進(jìn) 一步,具備SVC處理功能的網(wǎng)絡(luò)(邊界)防火墻網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)服務(wù)器���,可以彌補(bǔ)傳統(tǒng)防火 墻只能從網(wǎng)絡(luò)協(xié)議上識別網(wǎng)絡(luò)應(yīng)用的缺陷��,對網(wǎng)絡(luò)邊界的控制力度更強(qiáng)���,從而也進(jìn)一步提 高了網(wǎng)絡(luò)的安全性。需要說明的是�����,本文中���,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個(gè)實(shí)體 或者操作與另一個(gè)實(shí)體或操作區(qū)分開來��,而不一定要求或者暗示這些實(shí)體或操作之間存在 任何這種實(shí)際的關(guān)系或者順序��。而且�,術(shù)語“包括”�、“包含”或者其任何其他變體意在涵蓋非 排他性的包含,從而使得包括一系列要素的過程�、方法����、物品或者設(shè)備不僅包括那些要素�, 而且還包括沒有明確列出的其他要素����,或者是還包括為這種過程、方法����、物品或者設(shè)備所固 有的要素。在沒有更多限制的情況下����,由語句“包括一個(gè)……”限定的要素,并不排除在包 括所述要素的過程����、方法、物品或者設(shè)備中還存在另外的相同要素�����。通過以上的實(shí)施方式的描述�,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助 軟件加必需的通用硬件平臺的方式來實(shí)現(xiàn)���,當(dāng)然也可以通過硬件,但很多情況下前者是更 佳的實(shí)施方式���?��;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的 部分可以以軟件產(chǎn)品的形式體現(xiàn)出來�����,該計(jì)算機(jī)軟件產(chǎn)品可以存儲在存儲介質(zhì)中��,如ROM/ RAM��、磁碟�、光盤等,包括若干指令用以使得一臺計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)���,服務(wù)器��, 或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法����。以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出����,對于本技術(shù)領(lǐng)域的普通技術(shù)人 員來說,在不脫離本發(fā)明原理的前提下�����,還可以作出若干改進(jìn)和潤飾�,這些改進(jìn)和潤飾也應(yīng) 視為本發(fā)明的保護(hù)范圍���。
權(quán)利要求
一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法��,其特征在于��,包括當(dāng)部署在終端上的安全性證實(shí)聲明個(gè)人防火墻SHF監(jiān)測到所述終端發(fā)起會話請求時(shí)�����,若所述部署在終端上的SHF確定所述會話請求的網(wǎng)絡(luò)應(yīng)用滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略����,則從網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC服務(wù)器請求并獲得所述會話請求的第一簽名密鑰����;所述部署在終端上的SHF根據(jù)所述第一簽名密鑰生成對應(yīng)的安全性證實(shí)聲明SVC����,并向?qū)Χ税l(fā)送所述SVC����;若所述部署在終端上的SHF接收到對端返回的對所述SVC驗(yàn)證成功的消息時(shí),所述會話建立成功���。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于��,若所述會話請求為第一內(nèi)網(wǎng)終端向第二內(nèi)網(wǎng)終端發(fā)起的會話請求��,則所述對端為內(nèi)網(wǎng) 中具有SVC個(gè)人防火墻功能的另一終端�����;若所述會話請求為內(nèi)網(wǎng)終端向外網(wǎng)終端發(fā)起的會話請求����,則所述對端為具有SVC網(wǎng)絡(luò) 防火墻的網(wǎng)絡(luò)設(shè)備。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述方法還包括利用哈希算法對監(jiān)測到的所述會話請求的網(wǎng)絡(luò)應(yīng)用的特征信息進(jìn)行提取����,并將提取結(jié) 果與所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略進(jìn)行匹配,如果匹配成功�����,則確定所述會話請求的網(wǎng)絡(luò)應(yīng) 用滿足所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略����。
4.根據(jù)權(quán)利要求1所述的方法�����,其特征在于���,所述根據(jù)所述會話簽名密鑰生成對應(yīng)的 安全性證實(shí)聲明SVC包括所述部署在終端上的SHF根據(jù)所述會話簽名密鑰對所述會話請 求的安全性與合法性進(jìn)行檢測�,并在安全性與合法性檢測通過后�,產(chǎn)生包含網(wǎng)絡(luò)會話特征 信息和簽名信息的安全性證實(shí)聲明SVC。
5.根據(jù)權(quán)利要求1至4任一項(xiàng)所述的方法,其特征在于��,所述方法還包括所述部署在終端上的SHF向所述網(wǎng)絡(luò)應(yīng)用監(jiān)控中心服務(wù)器發(fā)送注冊請求���,以請求該終 端的第二簽名密鑰��;所述部署在終端上的SHF接收所述NACC返回的所述第二簽名密鑰�����,以便于發(fā)起會話請求�����。
6.根據(jù)權(quán)利要求1至4任一項(xiàng)所述的方法���,其特征在于,所述方法還包括所述部署在終端上的SHF定期接收所述網(wǎng)絡(luò)應(yīng)用監(jiān)控中心服務(wù)器發(fā)送的網(wǎng)絡(luò)應(yīng)用監(jiān) 控安全策略����,并對所述獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略進(jìn)行更新。
7.—種簽名密鑰的發(fā)送方法�,其特征在于,包括網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC服務(wù)器接收第一終端發(fā)送的會話請求����;NACC服務(wù)器根據(jù)所述會話請求生成用于第一終端與第二終端進(jìn)行會話的第一簽名密鑰�����;所述NACC服務(wù)器向所述第一終端返回所述第一簽名密鑰�����。
8.根據(jù)權(quán)利要求7所述的方法����,其特征在于��,所述方法還包括 NACC服務(wù)器接收所述第一終端發(fā)送的注冊請求�;所述NACC服務(wù)器對所述第一終端的注冊請求進(jìn)行驗(yàn)證,并在驗(yàn)證成功時(shí)�,生成第二簽 名密鑰����;所述NACC服務(wù)器向所述第一終端發(fā)送該第二簽名密鑰。
9.根據(jù)權(quán)利要求7或8所述的方法����,其特征在于��,所述根據(jù)會話請求生成用于第一終 端與第二終端進(jìn)行會話的第一簽名密鑰包括所述NACC服務(wù)器將所述會話請求關(guān)聯(lián)的第 二終端的簽名密鑰與所述會話請求中包含會話的特征信息進(jìn)行哈希計(jì)算����,得到第一簽名密 鑰�。
10.一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法,其特征在于�����,包括當(dāng)安全性證實(shí)聲明網(wǎng)絡(luò)防火墻SNF網(wǎng)絡(luò)設(shè)備監(jiān)測到外網(wǎng)終端發(fā)起與內(nèi)網(wǎng)終端進(jìn)行會 話的會話請求時(shí)����,若所述SNF網(wǎng)絡(luò)設(shè)備確定所述會話請求的網(wǎng)絡(luò)應(yīng)用滿足獲取的網(wǎng)絡(luò)應(yīng)用 監(jiān)控安全策略,則向網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC服務(wù)器請求并獲得所述會話請求的第一簽名 密鑰����;所述SNF網(wǎng)絡(luò)設(shè)備根據(jù)所述第一簽名密鑰生成對應(yīng)的安全性證實(shí)聲明SVC,并向所述 內(nèi)網(wǎng)終端發(fā)送所述SVC;若所述SNF網(wǎng)絡(luò)設(shè)備接收到所述內(nèi)網(wǎng)終端返回的對所述SVC驗(yàn)證成功的消息時(shí)�,則會 話建立成功。
11.根據(jù)權(quán)利要求10所述的方法��,其特征在于���,所述方法還包括利用哈希算法對會話請求的網(wǎng)絡(luò)應(yīng)用的特征信息進(jìn)行提取�����,并與所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安 全策略進(jìn)行匹配�����,如果匹配成功��,則確定所述會話請求的網(wǎng)絡(luò)應(yīng)用滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān) 控安全策略���。
12.根據(jù)權(quán)利要求10或11所述的方法�����,其特征在于�����,所述生成安全性證實(shí)聲明SVC包 括所述SNF網(wǎng)絡(luò)設(shè)備根據(jù)所述會話簽名密鑰對所述會話請求的安全性與合法性進(jìn)行檢 測�,并在安全性與合法性檢測通過后�����,產(chǎn)生包括網(wǎng)絡(luò)會話特征信息和簽名信息的安全性證 實(shí)聲明SVC��。
13.—種終端���,其特征在于��,該終端上部署有安全性證實(shí)聲明個(gè)人防火墻SHF���,所述SHF 包括監(jiān)控單元,用于監(jiān)測所述終端是否有發(fā)起會話請求�����;會話簽名密鑰獲取單元����,用于在所述監(jiān)控單元監(jiān)測到所述終端發(fā)起會話請求,且所述 監(jiān)測到的會話請求的網(wǎng)絡(luò)應(yīng)用滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略時(shí)��,從網(wǎng)絡(luò)應(yīng)用監(jiān)控中心 NACC服務(wù)器上獲取會話請求的第一簽名密鑰�;生成單元,用于根據(jù)所述第一簽名密鑰生成對應(yīng)的安全性證實(shí)聲明SVC �����;收發(fā)單元�����,用于向?qū)Χ税l(fā)送所述SVC,并接收對端返回的對所述SVC驗(yàn)證成功的消息���, 所述消息用于表示會話建立成功��。
14.根據(jù)權(quán)利要求13所述的裝置��,其特征在于�����,還包括確定單元�����,用于在所述監(jiān)控單 元監(jiān)測到所述終端發(fā)起建立會話請求時(shí)����,利用哈希算法對建立會話請求的網(wǎng)絡(luò)應(yīng)用的特征 信息進(jìn)行提取�,并將提取的結(jié)果與所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略進(jìn)行匹配,如果匹配成功����,則 確定所述網(wǎng)絡(luò)應(yīng)用滿足所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略;當(dāng)提取的結(jié)果與所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安 全策略不匹配����,確定所述網(wǎng)絡(luò)應(yīng)用不滿足所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略;所述會話簽名密鑰獲取單元具體用于在所述確定單元確定所述會話請求的網(wǎng)絡(luò)應(yīng)用 滿足所述獲取的所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略時(shí)���,向所述NACC服務(wù)器請求并獲得所述會話 請求的第一簽名密鑰���。
15.根據(jù)權(quán)利要求13或14所述的裝置,其特征在于�����,還包括匯報(bào)單元�,用于在所述網(wǎng)絡(luò)應(yīng)用不滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略時(shí),向所述網(wǎng)絡(luò) 應(yīng)用監(jiān)控中心服務(wù)器匯報(bào)相關(guān)信息�,并終止該會話請求。
16.根據(jù)權(quán)利要求13或14所述的裝置���,其特征在于���,還包括注冊單元,用于在終端接入網(wǎng)絡(luò)后,預(yù)先向NACC服務(wù)器發(fā)送注冊請求����,以請求該終端 的第二簽名密鑰;終端簽名密鑰獲取單元�����,用于接收所述NACC服務(wù)器發(fā)送的第二簽名密鑰�。
17.根據(jù)權(quán)利要求13或14所述的裝置,其特征在于�����,還包括更新單元���,用于定期接收所述NACC服務(wù)器發(fā)送的新的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略��,并對所 述獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略進(jìn)行更新����。
18.—種NACC服務(wù)器�,其特征在于,包括會話請求接收單元��,用于接收第一終端發(fā)送的會話請求;會話簽名密鑰生成單元�,用于根據(jù)所述會話請求生成第一終端與第二終端進(jìn)行會話的 第一簽名密鑰;會話簽名密鑰發(fā)送單元����,用于向所述第一終端返回所述第一簽名密鑰���。
19.根據(jù)權(quán)利要求18所述的裝置�����,其特征在于����,還包括注冊請求接收單元�,用于接收第一終端發(fā)送的注冊請求;驗(yàn)證單元��,用于對所述第一終端的注冊請求進(jìn)行驗(yàn)證����;終端簽名密鑰生成單元,用于在所述驗(yàn)證單元驗(yàn)證成功時(shí)����,生成該第一終端的第二簽 名密鑰�����;終端簽名密鑰發(fā)送單元�,用于向所述第一終端發(fā)送所述第二簽名密鑰�。
20.根據(jù)權(quán)利要求18或19所述的裝置,其特征在于�����,所述會話簽名密鑰生成單元具體 用于將所述會話請求關(guān)聯(lián)的第二終端的簽名密鑰與所述會話請求中包含的會話的特征信 息進(jìn)行哈希計(jì)算���,得到第一簽名密鑰�����。
21.一種具有安全性證實(shí)聲明網(wǎng)絡(luò)防火墻SNF的網(wǎng)絡(luò)設(shè)備���,其特征在于,包括會話請求檢測單元����,用于監(jiān)測是否有外網(wǎng)終端發(fā)起與內(nèi)網(wǎng)終端進(jìn)行會話的會話請求����;會話簽名密鑰獲取單元�,用于在所述會話請求檢測單元監(jiān)測到會話請求且檢測到的所 述會話請求的網(wǎng)絡(luò)應(yīng)用滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略時(shí),向NACC服務(wù)器請求并獲得 所述會話請求的第一簽名密鑰���;生成單元���,用于根據(jù)所述第一簽名密鑰生成對應(yīng)的安全性證實(shí)聲明SVC ���;收發(fā)單元��,用于向所述內(nèi)網(wǎng)終端發(fā)送所述SVC��,并接收所述內(nèi)網(wǎng)終端返回的對所述SVC 驗(yàn)證成功的消息�,所述消息用于表示會話建立成功�。
22.根據(jù)權(quán)利要求21所述的裝置,其特征在于��,還包括確定單元����,用于在所述會話請求檢測單元監(jiān)測到外網(wǎng)終端發(fā)起與內(nèi)網(wǎng)終端進(jìn)行會話的 會話請求時(shí)���,利用哈希算法對所述會話請求的網(wǎng)絡(luò)應(yīng)用的特征信息進(jìn)行提取,并將提取的 結(jié)果與所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略進(jìn)行匹配�,如果匹配成功,則確定所述網(wǎng)絡(luò)應(yīng)用滿足所 述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略�;所述會話簽名密鑰獲取單元,具體用于在所述確定單元確定所述會話請求的網(wǎng)絡(luò)應(yīng)用 滿足從NACC服務(wù)器上獲取的所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略時(shí)�,向NACC服務(wù)器請求并獲得所 述會話請求的第一簽名密鑰。
23.根據(jù)權(quán)利要求21或22所述的裝置��,其特征在于����,還包括更新單元,用于定期接收所述NACC服務(wù)器發(fā)送的新的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略����,并對所 述獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略進(jìn)行更新。
24.一種集中式網(wǎng)絡(luò)應(yīng)用安全監(jiān)控系統(tǒng)��,其特征在于�����,包括部署有安全性證實(shí)聲明個(gè) 人防火墻SHF的終端和網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC服務(wù)器����,其中����,所述SHF�����,用于在監(jiān)測到該終端發(fā)起會話請求時(shí)����,若確定所述會話請求的網(wǎng)絡(luò)應(yīng)用滿 足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略時(shí),則從NACC服務(wù)器上請求并獲得所述會話請求的第一 簽名密鑰�����;以及根據(jù)所述第一簽名密鑰生成對應(yīng)的安全性證實(shí)聲明SVC����,向?qū)Χ税l(fā)送所述 SVC ��;并在接收到對端返回的對所述SVC驗(yàn)證成功的消息時(shí)����,所述會話建立成功����;所述NACC服務(wù)器�����,用于接收所述終端發(fā)送的會話請求��,根據(jù)所述會話請求生成所述終 端與目標(biāo)終端進(jìn)行會話的第一簽名密鑰��,并向所述終端發(fā)送所述第一簽名密鑰�。
25.根據(jù)權(quán)利要求24所述的系統(tǒng),其特征在于�����,若所述終端發(fā)起的會話請求為第一內(nèi)網(wǎng)終端向第二內(nèi)網(wǎng)終端發(fā)起的會話請求���,則所述 對端為該內(nèi)網(wǎng)中具有SVC個(gè)人防火墻功能的另一終端�����;若所述終端發(fā)起的會話請求為內(nèi)網(wǎng)終端向外網(wǎng)終端發(fā)起的會話請求��,則所述對端為具 有SVC網(wǎng)絡(luò)防火墻的網(wǎng)絡(luò)設(shè)備�。
26.根據(jù)權(quán)利要求24或25所述的系統(tǒng),其特征在于���,還包括安全性證實(shí)聲明網(wǎng)絡(luò)防火墻SNF網(wǎng)絡(luò)設(shè)備����,用于在監(jiān)測到有外網(wǎng)終端發(fā)起與內(nèi)網(wǎng)終端 的會話請求�;若確定所述會話請求的網(wǎng)絡(luò)應(yīng)用滿足獲取的所述網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略時(shí), 向NACC服務(wù)器請求并獲得所述會話請求的第一簽名密鑰��;并根據(jù)所述第一簽名密鑰生成 對應(yīng)的安全性證實(shí)聲明SVC �����;向所述內(nèi)網(wǎng)終端發(fā)送所述SVC ��;以及在接收到所述內(nèi)網(wǎng)終端返 回的對所述SVC驗(yàn)證成功的消息時(shí)��,所述會話建立成功��。
全文摘要
本發(fā)明提供一種集中式的網(wǎng)絡(luò)應(yīng)用安全監(jiān)控方法�����、簽名密鑰的發(fā)送方法���、終端���、NACC服務(wù)器及系統(tǒng),所述方法包括當(dāng)部署在終端上的安全性證實(shí)聲明個(gè)人防火墻SHF監(jiān)測到終端發(fā)起會話請求時(shí)����,若部署在終端上的SHF確定會話請求的網(wǎng)絡(luò)應(yīng)用滿足獲取的網(wǎng)絡(luò)應(yīng)用監(jiān)控安全策略,則從網(wǎng)絡(luò)應(yīng)用監(jiān)控中心NACC服務(wù)器請求并獲得會話請求的第一簽名密鑰���;部署在終端上的SHF根據(jù)第一簽名密鑰生成對應(yīng)的安全性證實(shí)聲明SVC��,并向?qū)Χ税l(fā)送SVC���;若部署在終端上的SHF接收到對端返回的對SVC驗(yàn)證成功的消息時(shí),所述會話建立成功���。本發(fā)明以對終端上的網(wǎng)絡(luò)應(yīng)用進(jìn)行監(jiān)控��,使符合安全策略的網(wǎng)絡(luò)應(yīng)用進(jìn)行正常的網(wǎng)絡(luò)通信��,從而提高內(nèi)網(wǎng)安全性��。
文檔編號H04L29/06GK101902371SQ20101023940
公開日2010年12月1日 申請日期2010年7月26日 優(yōu)先權(quán)日2010年7月26日
發(fā)明者宋成, 尹瀚, 陳震, 黃石海 申請人:華為技術(shù)有限公司