一種基于雙單向隔離網(wǎng)閘的邊界訪問控制方法
【專利摘要】本發(fā)明公開了一種基于雙單向隔離網(wǎng)閘的邊界訪問控制方法,本發(fā)明采用了基于雙單向隔離網(wǎng)閘的邊界訪問控制模式來實現(xiàn)信息的雙向交換,通過保證兩條單向傳輸通道的獨(dú)立、隔離來控制高密級信息不會由高等級安全域流向低等級安全域,并有效屏蔽了基于雙向網(wǎng)絡(luò)協(xié)議的惡意攻擊,提高了安全域邊界的防護(hù)能力;通過加入信息源的身份可信認(rèn)證和數(shù)據(jù)加密技術(shù),引入了信息發(fā)送源的身份認(rèn)證信息,并通過身份信息對傳輸?shù)膽?yīng)用數(shù)據(jù)進(jìn)行加密,只有判斷信息的來源可信后,才能對應(yīng)用數(shù)據(jù)進(jìn)行還原處理,如果信息源的身份可信認(rèn)證未通過,則不會解密相關(guān)數(shù)據(jù),在應(yīng)用層面加入可信認(rèn)證、內(nèi)容檢測等安全機(jī)制提高了安全域間信息傳輸?shù)目尚判院捅C苄?,提高了系統(tǒng)的抗風(fēng)險能力。
【專利說明】—種基于雙單向隔離網(wǎng)閘的邊界訪問控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種基于雙單向隔離網(wǎng)閘的邊界訪問控制方法,屬于光單向隔離技術(shù)和信息源的身份可信驗證【技術(shù)領(lǐng)域】,光單向隔離技術(shù)主要用于不同等級安全域之間的邊界隔離防護(hù)和信息單向傳輸,而在光單向隔離技術(shù)中引入信息源的身份可信驗證技術(shù)主要用于安全域間數(shù)據(jù)的可信交換。
【背景技術(shù)】
[0002]面對信息化的迅速發(fā)展和日益猖獗的網(wǎng)絡(luò)攻擊發(fā)展態(tài)勢,如何解決網(wǎng)絡(luò)的安全隔離與數(shù)據(jù)的安全交換,已成為普遍關(guān)心的問題。為滿足日益增長的網(wǎng)絡(luò)安全需求,安全廠商不斷發(fā)布新產(chǎn)品和研發(fā)新技術(shù),先后誕生了防火墻、雙向隔離網(wǎng)閘和光單向隔離網(wǎng)閘等網(wǎng)絡(luò)邊界防護(hù)產(chǎn)品。
[0003]光單向隔離網(wǎng)閘采用了光單向性的傳輸技術(shù),提供了無數(shù)據(jù)信息反饋信號的單向數(shù)據(jù)通道,光單向隔離網(wǎng)閘能夠保證信息的單向傳輸。由于涉密信息系統(tǒng)的保密要求中,要求高密級網(wǎng)絡(luò)中的高密級數(shù)據(jù)不能流向低密級網(wǎng)絡(luò),但低密級網(wǎng)絡(luò)的低密級數(shù)據(jù)可以流向高密級網(wǎng)絡(luò),對數(shù)據(jù)單向流動提出要求。對于此類場景,光單向隔離網(wǎng)閘能夠完全滿足要求,但是在現(xiàn)實生活中,許多可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間均存在著信息雙向交互的應(yīng)用需求,如何在保證信息保密性的前提下,滿足信息的雙向可信交換?目前對于不同安全域之間隔離防護(hù)措施主要有采用防火墻和采用雙向隔離網(wǎng)閘方式。就協(xié)議而言,防火墻采用通用的TCP/IP協(xié)議,能增強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性,通過雙向最小授權(quán)原則可加強(qiáng)網(wǎng)絡(luò)邊界的安全防護(hù),但防火墻安全策略配置有誤或防火墻設(shè)備本身存在漏洞,將可能導(dǎo)致內(nèi)部網(wǎng)絡(luò)邊界從外部被突破,整個內(nèi)部網(wǎng)絡(luò)將受到威脅;再者,防火墻是基于軟件的邏輯隔離,對于黑客和內(nèi)部用戶而言是可能被操縱的,無法滿足政府、軍工企業(yè)等重要部門和敏感單位對數(shù)據(jù)安全的要求。而雙向隔離網(wǎng)閘采用私有協(xié)議進(jìn)行數(shù)據(jù)傳輸,能夠抵御基于協(xié)議的攻擊,提高了網(wǎng)絡(luò)的安全性,雙向隔離網(wǎng)閘的重點是完全割斷內(nèi)外網(wǎng)之間網(wǎng)絡(luò)協(xié)議的直接連通,采用裸數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制,保護(hù)內(nèi)部網(wǎng)絡(luò)和主機(jī)的安全,但是雙向隔離網(wǎng)閘只有一條信息傳輸通道,且允許信息的雙向流動,只要存在信息傳輸,就存在創(chuàng)建隱蔽通道的可能性。
【發(fā)明內(nèi)容】
[0004]本發(fā)明解決問題的是:克服現(xiàn)有技術(shù)的不足,提供了一種基于雙單向隔離網(wǎng)閘的邊界訪問控制方法,克服了現(xiàn)有邊界控制模式下不同等級安全域之間互聯(lián)產(chǎn)生的安全問題,本發(fā)明能夠屏蔽基于雙向協(xié)議的網(wǎng)絡(luò)攻擊行為,并建立了不同安全域之間信息傳輸?shù)幕バ艡C(jī)制,保障了安全域之間信息交換的安全可靠性。
[0005]本發(fā)明的技術(shù)解決方案是:一種基于雙單向隔離網(wǎng)閘的邊界訪問控制方法,步驟如下:
[0006](A)建立由應(yīng)用服務(wù)器A、同步服務(wù)器B、認(rèn)證服務(wù)器S1、票據(jù)授權(quán)服務(wù)器Tl、應(yīng)用服務(wù)器B、同步服務(wù)器A、認(rèn)證服務(wù)器S2、票據(jù)授權(quán)服務(wù)器T2和兩個單向隔離網(wǎng)閘組成的邊界訪問控制系統(tǒng),其中應(yīng)用服務(wù)器A、同步服務(wù)器B、認(rèn)證服務(wù)器SI和票據(jù)授權(quán)服務(wù)器Tl組成不可信安全域,應(yīng)用服務(wù)器B、同步服務(wù)器A、認(rèn)證服務(wù)器S2和票據(jù)授權(quán)服務(wù)器T2組成可信安全域,不可信安全域與可信安全域之間通過兩個單向隔離網(wǎng)閘相連接;
[0007](B)當(dāng)外到內(nèi)單向隔離網(wǎng)閘的外端機(jī)檢測到不可信安全域有數(shù)據(jù)發(fā)送請求時,具體的控制方法為:
[0008](I)外到內(nèi)單向隔離網(wǎng)閘的外端機(jī)接收應(yīng)用服務(wù)器A中的應(yīng)用數(shù)據(jù)和身份信息;
[0009](2)外端機(jī)向認(rèn)證服務(wù)器SI發(fā)送應(yīng)用服務(wù)器A身份信息的認(rèn)證請求;
[0010](3)認(rèn)證服務(wù)器SI對身份信息的認(rèn)證請求進(jìn)行答復(fù)并向外端機(jī)返回會話密鑰和信任憑證構(gòu)成的認(rèn)證信息;
[0011](4)外端機(jī)根據(jù)會話密鑰和應(yīng)用服務(wù)器A的身份信息生成應(yīng)用服務(wù)器A的身份認(rèn)證符,并利用應(yīng)用服務(wù)器A的身份認(rèn)證符和信任憑證對應(yīng)用數(shù)據(jù)加密,外端機(jī)將應(yīng)用服務(wù)器A的身份認(rèn)證符、信任憑證和加密后的應(yīng)用數(shù)據(jù)發(fā)送至內(nèi)端機(jī);
[0012](5)內(nèi)端機(jī)將應(yīng)用服務(wù)器A的身份認(rèn)證符和信任憑證發(fā)送至票據(jù)授權(quán)服務(wù)器T2 ;
[0013](6)票據(jù)授權(quán)服務(wù)器T2先后解密信任憑證和應(yīng)用服務(wù)器A的身份認(rèn)證符,分別獲得應(yīng)用服務(wù)器A的身份信息,然后對從信任憑證和身份認(rèn)證符中解密得到的身份信息進(jìn)行比對驗證,驗證通過后,票據(jù)授權(quán)服務(wù)器T2向內(nèi)端機(jī)反饋驗證通過信息,如果驗證未通過,內(nèi)端機(jī)終止對應(yīng)用數(shù)據(jù)的同步;
[0014](7)內(nèi)端機(jī)利用應(yīng)用服務(wù)器A的身份認(rèn)證符和信任憑證對應(yīng)用數(shù)據(jù)進(jìn)行解密,內(nèi)端機(jī)將解密后的應(yīng)用數(shù)據(jù)發(fā)送至同步服務(wù)器A。
[0015](C)當(dāng)內(nèi)到外單向隔離網(wǎng)閘的外端機(jī)檢測到可信安全域有數(shù)據(jù)發(fā)送請求時,具體的控制方法為:
[0016](8)內(nèi)到外單向隔離網(wǎng)閘的外端機(jī)接收應(yīng)用服務(wù)器B中的應(yīng)用數(shù)據(jù)和身份信息;
[0017](9)外端機(jī)向認(rèn)證服務(wù)器S2發(fā)送應(yīng)用服務(wù)器B身份信息的認(rèn)證請求;
[0018](10)認(rèn)證服務(wù)器S2對身份信息的認(rèn)證請求進(jìn)行答復(fù)并向外端機(jī)返回會話密鑰和信任憑證構(gòu)成的認(rèn)證信息;
[0019](11)外端機(jī)根據(jù)會話密鑰和應(yīng)用服務(wù)器B的身份信息生成應(yīng)用服務(wù)器B的身份認(rèn)證符,并利用應(yīng)用服務(wù)器B的身份認(rèn)證符和信任憑證對應(yīng)用數(shù)據(jù)加密,外端機(jī)將應(yīng)用服務(wù)器B的身份認(rèn)證符、信任憑證和加密后的應(yīng)用數(shù)據(jù)發(fā)送至內(nèi)端機(jī);
[0020](12)內(nèi)端機(jī)將應(yīng)用服務(wù)器B的身份認(rèn)證符和信任憑證發(fā)送至票據(jù)授權(quán)服務(wù)器Tl ;
[0021](13)票據(jù)授權(quán)服務(wù)器Tl先后解密信任憑證和應(yīng)用服務(wù)器B的身份認(rèn)證符,分別獲得應(yīng)用服務(wù)器B的身份信息,然后對從信任憑證和身份認(rèn)證符中得到的身份信息進(jìn)行比對驗證,驗證通過后,票據(jù)授權(quán)服務(wù)器Tl向內(nèi)端機(jī)反饋驗證通過信息,如果驗證未通過,內(nèi)端機(jī)終止對應(yīng)用數(shù)據(jù)的同步;
[0022]( 14)內(nèi)端機(jī)利用應(yīng)用服務(wù)器B的身份認(rèn)證符和信任憑證對應(yīng)用數(shù)據(jù)進(jìn)行解密,內(nèi)端機(jī)將解密后的應(yīng)用數(shù)據(jù)發(fā)送至同步服務(wù)器B。
[0023]所述外到內(nèi)單向隔離網(wǎng)閘或內(nèi)到外單向隔離網(wǎng)閘的工作過程如下:
[0024](I)當(dāng)不可信安全域與可信安全域之間需要進(jìn)行數(shù)據(jù)同步時,外到內(nèi)單向隔離網(wǎng)閘或內(nèi)到外單向隔離網(wǎng)閘外端機(jī)中的同步模塊接收應(yīng)用服務(wù)器的身份信息以及應(yīng)用數(shù)據(jù);[0025](2)同步模塊接收完應(yīng)用數(shù)據(jù)和應(yīng)用服務(wù)器的身份信息后,外端機(jī)的內(nèi)容審查模塊對應(yīng)用數(shù)據(jù)進(jìn)行安全檢查,如果安全檢查未通過,則終止信息交換,否則進(jìn)入步驟(3);
[0026](3)外端機(jī)的信任請求模塊向認(rèn)證服務(wù)器發(fā)送認(rèn)證請求對應(yīng)用服務(wù)器的身份信息進(jìn)行認(rèn)證,認(rèn)證服務(wù)器針對應(yīng)用服務(wù)器身份信息的認(rèn)證請求進(jìn)行答復(fù)并向信任請求模塊返回會話密鑰和信任憑證構(gòu)成的認(rèn)證信息;
[0027](4)信任請求模塊向發(fā)送模塊發(fā)送會話密鑰和信任憑證,發(fā)送模塊根據(jù)會話密鑰和應(yīng)用服務(wù)器的身份信息生成應(yīng)用服務(wù)器的身份認(rèn)證符,發(fā)送模塊再利用應(yīng)用服務(wù)器的身份認(rèn)證符和信任憑證對應(yīng)用數(shù)據(jù)進(jìn)行加密;
[0028](5)發(fā)送模塊將應(yīng)用服務(wù)器的身份認(rèn)證符、信任憑證和加密后的應(yīng)用數(shù)據(jù)采用私有協(xié)議封裝成靜態(tài)文件同步至內(nèi)端機(jī);
[0029](6)內(nèi)端機(jī)的接收模塊將靜態(tài)文件中應(yīng)用服務(wù)器的身份認(rèn)證符和信任憑證解析出來發(fā)送給內(nèi)端機(jī)的驗證模塊;
[0030](7)內(nèi)端機(jī)的驗證模塊將應(yīng)用服務(wù)器的身份認(rèn)證符和信任憑證發(fā)送給票據(jù)授權(quán)服務(wù)器,票據(jù)授權(quán)服務(wù)器先后解密信任憑證和應(yīng)用服務(wù)器的身份認(rèn)證符,分別獲得應(yīng)用服務(wù)器的身份信息,票據(jù)授權(quán)服務(wù)器對從信任憑證和身份認(rèn)證符中解密得到的身份信息進(jìn)行比對驗證,若未通過驗證,則終止信息交換,否則票據(jù)授權(quán)服務(wù)器向內(nèi)端機(jī)的驗證模塊返回驗證通過信息,然后進(jìn)入步驟(8);
[0031](8)內(nèi)端機(jī)的數(shù)據(jù)處理模塊根據(jù)應(yīng)用服務(wù)器的身份認(rèn)證符和信任憑證將應(yīng)用數(shù)據(jù)進(jìn)行解密;
[0032](9)內(nèi)端機(jī)的同步模塊將解密后的應(yīng)用數(shù)據(jù)發(fā)送至同步服務(wù)器。
[0033]本發(fā)明與現(xiàn)有技術(shù)相比的有益效果為:目前基于單向隔離網(wǎng)閘的信息傳輸方式缺少對發(fā)送方身份的可信認(rèn)證,無法有效的對數(shù)據(jù)來源的可信程度進(jìn)行甄別。本發(fā)明采用了基于雙單向隔離網(wǎng)閘的邊界訪問控制模式來實現(xiàn)信息的雙向交換,通過保證兩條單向傳輸通道的獨(dú)立、隔離來控制高密級信息不會由高等級安全域流向低等級安全域,并有效屏蔽了基于雙向網(wǎng)絡(luò)協(xié)議的惡意攻擊,提高了安全域邊界的防護(hù)能力;通過加入信息源的身份可信認(rèn)證和數(shù)據(jù)加密技術(shù),引入了信息發(fā)送源的身份認(rèn)證信息,并通過身份信息對傳輸?shù)膽?yīng)用數(shù)據(jù)進(jìn)行加密,只有判斷信息的來源可信后,才能對應(yīng)用數(shù)據(jù)進(jìn)行還原處理,如果信息源的身份可信認(rèn)證未通過,則不會解密相關(guān)數(shù)據(jù),在應(yīng)用層面加入可信認(rèn)證、內(nèi)容檢測等安全機(jī)制提高了安全域間信息傳輸?shù)目尚判院捅C苄裕岣吡讼到y(tǒng)的抗風(fēng)險能力。
[0034]由于純單向信息交換模式、雙單向信息交換模式數(shù)據(jù)同步原理的一致性,本發(fā)明完全可以應(yīng)用于這兩種信息交換模式。相比防火墻和雙向隔離網(wǎng)閘,單向隔離網(wǎng)閘能更加有效地提高安全域邊界防護(hù)能力。采用雙單向邊界控制模式,既能滿足安全域間雙邊信息交換的可行性,又能極大的提高的風(fēng)險防御能力。對于數(shù)控網(wǎng)絡(luò)、測控網(wǎng)絡(luò)、物聯(lián)網(wǎng)網(wǎng)絡(luò)等不可信安全域與涉密信息系統(tǒng)互聯(lián)的應(yīng)用場景,本發(fā)明安全可以應(yīng)用。
【專利附圖】
【附圖說明】
[0035]圖1為本發(fā)明邊界訪問控制流程圖;
[0036]圖2為本發(fā)明單向隔離網(wǎng)閘的工作流程圖;
[0037]圖3為本發(fā)明實施例單向訪問控制流程圖?!揪唧w實施方式】
[0038]本發(fā)明通過在兩個安全域之間部署兩臺單向隔離設(shè)備,完成不同安全域之間的安全隔離與信息交換,同時使基于TCP/IP協(xié)議的攻擊工具無法正常工作;在單向隔離網(wǎng)閘的應(yīng)用層加入控制機(jī)制,引入信息源的身份可信認(rèn)證模塊,建立安全域之間的信息可信傳輸。單向隔離網(wǎng)閘實現(xiàn)了網(wǎng)絡(luò)層、應(yīng)用層的訪問控制功能?;陔p單向隔離網(wǎng)閘的邊界訪問控制模型,既實現(xiàn)了可信安全域與不可信安全域之間的安全隔離,又實現(xiàn)了可信安全域與不可信安全域之間的信息交換。具體內(nèi)容如下:
[0039](I)構(gòu)造雙單向傳輸通道,實現(xiàn)雙向信息的可控交換。單向隔離網(wǎng)閘是利用光單向性傳輸?shù)奶攸c,以單根光纖作為傳輸介質(zhì),保證一端只能發(fā)送數(shù)據(jù),一端只能接收數(shù)據(jù),從而實現(xiàn)文件數(shù)據(jù)跨網(wǎng)間的單向傳輸。在可信安全域與不可信安全域之間部署兩個單向隔離網(wǎng)閘滿足兩個方向的信息交換需求。當(dāng)不可信安全域有數(shù)據(jù)發(fā)送請求時,單向隔離網(wǎng)閘(夕卜到內(nèi))的外端機(jī)采用私有協(xié)議將數(shù)據(jù)轉(zhuǎn)發(fā),處于可信安全域的單向隔離網(wǎng)閘(外到內(nèi))的內(nèi)端機(jī)將傳來的數(shù)據(jù)解析并轉(zhuǎn)發(fā);當(dāng)可信安全域有數(shù)據(jù)發(fā)送請求時,單向隔離網(wǎng)閘(內(nèi)到外)的外端機(jī)采用私有協(xié)議將數(shù)據(jù)轉(zhuǎn)發(fā),處于可信安全域的單向隔離網(wǎng)閘(內(nèi)到外)的內(nèi)端機(jī)將傳來的數(shù)據(jù)解析并轉(zhuǎn)發(fā)。通過構(gòu)造雙單向傳輸通道,在滿足雙單向信息交換的同時,通過單向網(wǎng)閘的安全控制機(jī)制,有效的降低了基于網(wǎng)絡(luò)協(xié)議的惡意攻擊。在網(wǎng)絡(luò)層,單向隔離網(wǎng)閘在訪問控制方面具有包括過濾防火墻所有的安全功能,能實現(xiàn)對源/目的IP地址、通信端口、訪問時間等屬性的全面控制。在應(yīng)用層,單向隔離網(wǎng)閘能對應(yīng)用數(shù)據(jù)的來源進(jìn)行可信驗證,對應(yīng)用數(shù)據(jù)的內(nèi)容進(jìn)行深度審查、過濾,使得只有符合安全策略的數(shù)據(jù)才被傳輸。通過貫穿整個協(xié)議棧的訪問控制,單向隔離網(wǎng)閘能夠有效過濾非法連接、數(shù)據(jù)的非法傳輸。
[0040](2)單向隔離網(wǎng)閘實現(xiàn)了網(wǎng)絡(luò)層、應(yīng)用層的訪問控制功能。當(dāng)不可信安全域有數(shù)據(jù)發(fā)送請求時,在單向隔離網(wǎng)閘(外到內(nèi))上實施的訪問控制策略生效;當(dāng)可信安全域有數(shù)據(jù)發(fā)送請求時,在單向隔離網(wǎng)閘(內(nèi)到外)上實施的訪問控制策略生效。通過可信安全域與不可信安全域之間實施雙重邊界訪問控制策略,有效的保障了安全域間的隔離防護(hù)。單向隔離網(wǎng)閘只能實現(xiàn)信息的單向傳輸,因此對于兩個安全域之間互相有信息交換的需求場景,本發(fā)明采用部署兩臺單向隔離設(shè)備的方式,在基于安全域之間隔離的基礎(chǔ)上,分別實現(xiàn)可信安全域到不可信安全域的信息傳輸、不可信安全域到可信安全域的信息傳輸功能。
[0041]下面結(jié)合圖1、圖2和圖3對本發(fā)明做進(jìn)一步說明。
[0042]如圖1所示,本發(fā)明的實現(xiàn)步驟如下:
[0043](A)建立由應(yīng)用服務(wù)器A、同步服務(wù)器B、認(rèn)證服務(wù)器S1、票據(jù)授權(quán)服務(wù)器Tl、應(yīng)用服務(wù)器B、同步服務(wù)器A、認(rèn)證服務(wù)器S2、票據(jù)授權(quán)服務(wù)器T2和兩個單向隔離網(wǎng)閘組成的邊界訪問控制系統(tǒng),其中應(yīng)用服務(wù)器A、同步服務(wù)器B、認(rèn)證服務(wù)器SI和票據(jù)授權(quán)服務(wù)器Tl組成不可信安全域,應(yīng)用服務(wù)器B、同步服務(wù)器A、認(rèn)證服務(wù)器S2和票據(jù)授權(quán)服務(wù)器T2組成可信安全域,不可信安全域與可信安全域之間通過兩個單向隔離網(wǎng)閘相連接;
[0044](B)當(dāng)外到內(nèi)單向隔離網(wǎng)閘的外端機(jī)檢測到不可信安全域有數(shù)據(jù)發(fā)送請求時,具體的控制方法為:
[0045](I)外到內(nèi)單向隔離網(wǎng)閘的外端機(jī)接收應(yīng)用服務(wù)器A中的應(yīng)用數(shù)據(jù)和身份信息;
[0046](2)外端機(jī)向認(rèn)證服務(wù)器SI發(fā)送應(yīng)用服務(wù)器A身份信息的認(rèn)證請求;[0047](3)認(rèn)證服務(wù)器SI對身份信息的認(rèn)證請求進(jìn)行答復(fù)并向外端機(jī)返回會話密鑰和信任憑證構(gòu)成的認(rèn)證信息;
[0048](4)外端機(jī)根據(jù)會話密鑰和應(yīng)用服務(wù)器A的身份信息生成應(yīng)用服務(wù)器A的身份認(rèn)證符,并利用應(yīng)用服務(wù)器A的身份認(rèn)證符和信任憑證對應(yīng)用數(shù)據(jù)加密,外端機(jī)將應(yīng)用服務(wù)器A的身份認(rèn)證符、信任憑證和加密后的應(yīng)用數(shù)據(jù)發(fā)送至內(nèi)端機(jī);
[0049](5)內(nèi)端機(jī)將應(yīng)用服務(wù)器A的身份認(rèn)證符和信任憑證發(fā)送至票據(jù)授權(quán)服務(wù)器T2 ;
[0050](6)票據(jù)授權(quán)服務(wù)器T2先后解密信任憑證和應(yīng)用服務(wù)器A的身份認(rèn)證符,分別獲得應(yīng)用服務(wù)器A的身份信息,然后對從信任憑證和身份認(rèn)證符中解密得到的身份信息進(jìn)行比對驗證,驗證通過后,票據(jù)授權(quán)服務(wù)器T2向內(nèi)端機(jī)反饋驗證通過信息,如果驗證未通過,內(nèi)端機(jī)終止對應(yīng)用數(shù)據(jù)的同步;
[0051](7)內(nèi)端機(jī)利用應(yīng)用服務(wù)器A的身份認(rèn)證符和信任憑證對應(yīng)用數(shù)據(jù)進(jìn)行解密,內(nèi)端機(jī)將解密后的應(yīng)用數(shù)據(jù)發(fā)送至同步服務(wù)器A。
[0052](C)當(dāng)內(nèi)到外單向隔離網(wǎng)閘的外端機(jī)檢測到可信安全域有數(shù)據(jù)發(fā)送請求時,具體的控制方法為:
[0053](8)內(nèi)到外單向隔離網(wǎng)閘的外端機(jī)接收應(yīng)用服務(wù)器B中的應(yīng)用數(shù)據(jù)和身份信息;
[0054](9)外端機(jī)向認(rèn)證服務(wù)器S2發(fā)送應(yīng)用服務(wù)器B身份信息的認(rèn)證請求;
[0055](10)認(rèn)證服務(wù)器S2對身份信息的認(rèn)證請求進(jìn)行答復(fù)并向外端機(jī)返回會話密鑰和信任憑證構(gòu)成的認(rèn)證信息;
[0056](11)外端機(jī)根據(jù)會話密鑰和應(yīng)用服務(wù)器B的身份信息生成應(yīng)用服務(wù)器B的身份認(rèn)證符,并利用應(yīng)用服務(wù)器B的身份認(rèn)證符和信任憑證對應(yīng)用數(shù)據(jù)加密,外端機(jī)將應(yīng)用服務(wù)器B的身份認(rèn)證符、信任憑證和加密后的應(yīng)用數(shù)據(jù)發(fā)送至內(nèi)端機(jī);
[0057](12)內(nèi)端機(jī)將應(yīng)用服務(wù)器B的身份認(rèn)證符和信任憑證發(fā)送至票據(jù)授權(quán)服務(wù)器Tl ;
[0058](13)票據(jù)授權(quán)服務(wù)器Tl先后解密信任憑證和應(yīng)用服務(wù)器B的身份認(rèn)證符,分別獲得應(yīng)用服務(wù)器B的身份信息,然后對從信任憑證和身份認(rèn)證符中得到的身份信息進(jìn)行比對驗證,驗證通過后,票據(jù)授權(quán)服務(wù)器Tl向內(nèi)端機(jī)反饋驗證通過信息,如果驗證未通過,內(nèi)端機(jī)終止對應(yīng)用數(shù)據(jù)的同步;
[0059](14)內(nèi)端機(jī)利用應(yīng)用服務(wù)器B的身份認(rèn)證符和信任憑證對應(yīng)用數(shù)據(jù)進(jìn)行解密,內(nèi)端機(jī)將解密后的應(yīng)用數(shù)據(jù)發(fā)送至同步服務(wù)器B。
[0060]如圖2所示,外到內(nèi)單向隔離網(wǎng)閘或內(nèi)到外單向隔離網(wǎng)閘的工作過程如下:
[0061](I)當(dāng)不可信安全域與可信安全域之間需要進(jìn)行數(shù)據(jù)同步時,外到內(nèi)單向隔離網(wǎng)閘或內(nèi)到外單向隔離網(wǎng)閘外端機(jī)中的同步模塊接收應(yīng)用服務(wù)器的身份信息以及應(yīng)用數(shù)據(jù);
[0062](2)同步模塊接收完應(yīng)用數(shù)據(jù)和應(yīng)用服務(wù)器的身份信息后,外端機(jī)的內(nèi)容審查模塊對應(yīng)用數(shù)據(jù)進(jìn)行安全檢查,如果安全檢查未通過,則終止信息交換,否則進(jìn)入步驟(3);
[0063](3)外端機(jī)的信任請求模塊向認(rèn)證服務(wù)器發(fā)送認(rèn)證請求對應(yīng)用服務(wù)器的身份信息進(jìn)行認(rèn)證,認(rèn)證服務(wù)器針對應(yīng)用服務(wù)器身份信息的認(rèn)證請求進(jìn)行答復(fù)并向信任請求模塊返回會話密鑰和信任憑證構(gòu)成的認(rèn)證信息;
[0064](4)信任請求模塊向發(fā)送模塊發(fā)送會話密鑰和信任憑證,發(fā)送模塊根據(jù)會話密鑰和應(yīng)用服務(wù)器的身份信息生成應(yīng)用服務(wù)器的身份認(rèn)證符,發(fā)送模塊再利用應(yīng)用服務(wù)器的身份認(rèn)證符和信任憑證對應(yīng)用數(shù)據(jù)進(jìn)行加密;
[0065](5)發(fā)送模塊將應(yīng)用服務(wù)器的身份認(rèn)證符、信任憑證和加密后的應(yīng)用數(shù)據(jù)采用私有協(xié)議封裝成靜態(tài)文件同步至內(nèi)端機(jī);
[0066](6)內(nèi)端機(jī)的接收模塊將靜態(tài)文件中應(yīng)用服務(wù)器的身份認(rèn)證符和信任憑證解析出來發(fā)送給內(nèi)端機(jī)的驗證模塊;
[0067](7)內(nèi)端機(jī)的驗證模塊將應(yīng)用服務(wù)器的身份認(rèn)證符和信任憑證發(fā)送給票據(jù)授權(quán)服務(wù)器,票據(jù)授權(quán)服務(wù)器先后解密信任憑證和應(yīng)用服務(wù)器的身份認(rèn)證符,分別獲得應(yīng)用服務(wù)器的身份信息,票據(jù)授權(quán)服務(wù)器對從信任憑證和身份認(rèn)證符中解密得到的身份信息進(jìn)行比對驗證,若未通過驗證,則終止信息交換,否則票據(jù)授權(quán)服務(wù)器向內(nèi)端機(jī)的驗證模塊返回驗證通過信息,然后進(jìn)入步驟(8);
[0068](8)內(nèi)端機(jī)的數(shù)據(jù)處理模塊根據(jù)應(yīng)用服務(wù)器的身份認(rèn)證符和信任憑證將應(yīng)用數(shù)據(jù)進(jìn)行解密;
[0069](9)內(nèi)端機(jī)的同步模塊將解密后的應(yīng)用數(shù)據(jù)發(fā)送至同步服務(wù)器。
[0070]單向訪問控制的具體實例如圖3所示:
[0071](I)當(dāng)單向隔離網(wǎng)閘外端機(jī)的數(shù)據(jù)同步模塊檢測到有數(shù)據(jù)需要同步時,外端機(jī)先采集完應(yīng)用服務(wù)器的身份信息,采集的身份信息如下:
[0072]{a, tgs, timestamp, addr}
[0073]采集信息的內(nèi)容包括應(yīng)用服務(wù)器的名稱(a)、票據(jù)授權(quán)服務(wù)器的名稱(tgs)、應(yīng)用服務(wù)器的IP地址(addr)以及時間戳(timestamp)。時間戳用于向身份認(rèn)證服務(wù)器(AS)表示這一身份請求是新的。
[0074]采集完應(yīng)用服務(wù)器的相關(guān)信息后,開始接收TCP/IP包,并驗證所傳輸?shù)腡CP/IP包是否符合單向隔離網(wǎng)閘設(shè)置的訪問控制策略。若不符合相關(guān)訪問控制策略,則終止數(shù)據(jù)接收,并產(chǎn)生告警日志,否則進(jìn)入步驟(2);
[0075](2)接收完所有的TCP/IP包后,外端機(jī)的內(nèi)容審查模塊對數(shù)據(jù)的內(nèi)容、格式等進(jìn)行安全檢查,確保只有通過安全檢查的數(shù)據(jù)才能進(jìn)行交換。如果沒有通過安全檢查,外端機(jī)會立即刪除接收的數(shù)據(jù),然后產(chǎn)生告警日志,否則進(jìn)入步驟(3);
[0076](3)安全檢查結(jié)束后,外端機(jī)的信任請求模塊與認(rèn)證服務(wù)器AS進(jìn)行信息交互,具體過程如下:
[0077]>外端機(jī)的信任請求模塊將應(yīng)用服務(wù)器的相關(guān)信息發(fā)送給認(rèn)證服務(wù)器AS,用于向認(rèn)證服務(wù)器AS發(fā)出應(yīng)用服務(wù)器訪問票據(jù)授權(quán)服務(wù)器TGS的請求,請求以報文形式發(fā)送。報文內(nèi)容如下:
[0078]a,tgs, timestamp, addr
[0079]請求報文包括應(yīng)用服務(wù)器(a)、票據(jù)授權(quán)服務(wù)器的名稱(tgs)、應(yīng)用服務(wù)器的IP地址(addr)以及時間戳(timestamp)。
[0080]當(dāng)AS收到請求報文后,在其數(shù)據(jù)庫中查找外端機(jī)的加密密鑰Kw,并產(chǎn)生隨機(jī)會話密鑰Ka,tgs和Ta,tgs (TGS的票據(jù)TGT)作為應(yīng)答報文。會話密鑰Ka,tgs用于應(yīng)用服務(wù)器與TGS進(jìn)行加密通信,用Kw加密。Ta,tgs的內(nèi)容包括:TGS的名稱(tgs)、應(yīng)用服務(wù)器的名稱(a)、應(yīng)用服務(wù)器的IP地址(addr)、時間戳(timestamp)、有效生存期限(lifetime)以及會話密鑰Ka,tgs,這些數(shù)據(jù)使用TGS的密鑰Ktgs進(jìn)行加密,以保證只有TGS才能解密。這一部分的應(yīng)答報文為:{Ka,tgs,Tajtgs }Kw, ^pI11 Ta tgs= {tgs, a, addr, timestamp, lifetime, Ka tgsIKtgst,
[0081]AS向外端機(jī)發(fā)出應(yīng)答,應(yīng)答內(nèi)容用外端機(jī)的密鑰Kw加密,使得只有外端機(jī)才能解密該報文的內(nèi)容。
[0082]>外端機(jī)收到AS返回的應(yīng)答報文后,通過Kw對報文進(jìn)行解密,就得到Ka,tgs和Ta,tgs0外端機(jī)后續(xù)就可以把Ta,tgs發(fā)送給TGS來證明應(yīng)用服務(wù)器具有訪問TGS的合法身份。外端機(jī)同時從AS處得到了應(yīng)用服務(wù)器與TGS的會話密鑰Ka,tgs,應(yīng)用服務(wù)器用它來與TGS進(jìn)行加密通信。
[0083](4)外端機(jī)的數(shù)據(jù)發(fā)送模塊首先利用返回的會話密鑰(Ka,tgs)生成應(yīng)用服務(wù)器的身份認(rèn)證符K’tgs,認(rèn)證符K, tgs的內(nèi)容如下:
[0084]Aa,tgs= {a, addr, timestamp} Ka,tgs
[0085]認(rèn)證符的內(nèi)容包括應(yīng)用服務(wù)器的名字(a)、應(yīng)用服務(wù)器的IP地址(addr)以及時間戳(timestamp),認(rèn)證符Aa,tgs的內(nèi)容用應(yīng)用服務(wù)器和TGS的會話密鑰Ka,tgs進(jìn)行加密。
[0086]外端機(jī)的數(shù)據(jù)發(fā)送模塊然后根據(jù)身份認(rèn)證符(Aa,tgs)和信任憑證票據(jù)(Ta,tgs)將需同步的應(yīng)用數(shù)據(jù)進(jìn)行加密處理。
[0087](5)外端機(jī)采用私有協(xié)議將身份認(rèn)證符(Aa,tgs)、信任憑證票據(jù)(Ta,tgs)以及加密后的數(shù)據(jù)封裝成靜態(tài)文件,然后靜態(tài)文件通過單向傳輸通道同步至至單向隔離網(wǎng)閘的內(nèi)端機(jī)。
[0088](6)內(nèi)端機(jī)接收到外端機(jī)發(fā)送的靜態(tài)文件后,內(nèi)端機(jī)的數(shù)據(jù)接收模塊首先根據(jù)私有協(xié)議將靜態(tài)文件進(jìn)行解析,獲得Aa,tgs和Ta,tgs的信息。
[0089](7)內(nèi)端機(jī)的信任驗證模塊與票據(jù)授權(quán)服務(wù)器TGS進(jìn)行信息交互,具體過程如下:
[0090]>內(nèi)端機(jī)的信任驗證模塊向票據(jù)授權(quán)服務(wù)器TGS發(fā)送應(yīng)用數(shù)據(jù)同步的請求報文,報文內(nèi)容包括Ta,tgs (TGS的票據(jù)TGT)以及認(rèn)證符Aa,tgs。Ta,tgs的內(nèi)容是用TGS的密鑰Ktgs加密的(見步驟(3 )),只有TGS才能解開,認(rèn)證符K’ tgs的內(nèi)容用應(yīng)用服務(wù)器和TGS的會話密鑰Ka,tgs進(jìn)行加密(見步驟(4)),以保證只有TGS才能解開。Ta,tgs并不能證明任何人的身份,可以重復(fù)使用而且有效期較長,而認(rèn)證符Aa,tgs則用來證明應(yīng)用服務(wù)器的身份,只能使用一次而且有效期很短。
[0091]> TGS收到內(nèi)端機(jī)發(fā)來的請求報文后,用自己的密鑰Ktgs對Ta,tgs進(jìn)行解密處理,得知外端機(jī)已經(jīng)從AS處得到了應(yīng)用服務(wù)器與自己的會話密鑰Ka,tgs。TGS然后用Ka,tgs解密認(rèn)證符Aa,tgs,并將認(rèn)證符Aa,tgs中的身份信息與Ta,tgs中的身份信息(a, addr, timestamp等)進(jìn)行比較。如果校驗失敗,內(nèi)端機(jī)會立即刪除內(nèi)端機(jī)接收的數(shù)據(jù),終止數(shù)據(jù)同步流程并產(chǎn)生告警日志,否則進(jìn)入步驟(8);
[0092](8)內(nèi)端機(jī)傳遞的驗證信息通過TGS信任校驗后,TGS可以相信Ta,tgs的發(fā)送者(應(yīng)用服務(wù)器)就是Ta,tgs的實際持有者,于是給內(nèi)端機(jī)返回一條確認(rèn)信息,然后內(nèi)端機(jī)的數(shù)據(jù)處理模塊會將加密后的應(yīng)用數(shù)據(jù)進(jìn)行解密處理;
[0093](9)最后內(nèi)端機(jī)的數(shù)據(jù)同步模塊建立與同步服務(wù)器的連接,并完成應(yīng)用數(shù)據(jù)的同步傳輸。
[0094]從身份校驗的過程可以看出,通過嚴(yán)格的身份驗證,保證了在信息交換時信息來源的可信,能夠有效地阻斷不 可信安全域中惡意攻擊者的網(wǎng)絡(luò)試探、網(wǎng)絡(luò)攻擊行為,提高了系統(tǒng)的安全防護(hù)能力。
[0095]本發(fā)明未詳細(xì)描述內(nèi)容為本領(lǐng)域技術(shù)人員公知技術(shù)。
【權(quán)利要求】
1.一種基于雙單向隔離網(wǎng)閘的邊界訪問控制方法,其特征在于步驟如下: (A)建立由應(yīng)用服務(wù)器A、同步服務(wù)器B、認(rèn)證服務(wù)器S1、票據(jù)授權(quán)服務(wù)器Tl、應(yīng)用服務(wù)器B、同步服務(wù)器A、認(rèn)證服務(wù)器S2、票據(jù)授權(quán)服務(wù)器T2和兩個單向隔離網(wǎng)閘組成的邊界訪問控制系統(tǒng),其中應(yīng)用服務(wù)器A、同步服務(wù)器B、認(rèn)證服務(wù)器SI和票據(jù)授權(quán)服務(wù)器Tl組成不可信安全域,應(yīng)用服務(wù)器B、同步服務(wù)器A、認(rèn)證服務(wù)器S2和票據(jù)授權(quán)服務(wù)器T2組成可信安全域,不可信安全域與可信安全域之間通過兩個單向隔離網(wǎng)閘相連接; (B)當(dāng)外到內(nèi)單向隔離網(wǎng)閘的外端機(jī)檢測到不可信安全域有數(shù)據(jù)發(fā)送請求時,具體的控制方法為: (1)外到內(nèi)單向隔離網(wǎng)閘的外端機(jī)接收應(yīng)用服務(wù)器A中的應(yīng)用數(shù)據(jù)和身份信息; (2)外端機(jī)向認(rèn)證服務(wù)器SI發(fā)送應(yīng)用服務(wù)器A身份信息的認(rèn)證請求; (3)認(rèn)證服務(wù)器SI對身份信息的認(rèn)證請求進(jìn)行答復(fù)并向外端機(jī)返回會話密鑰和信任憑證構(gòu)成的認(rèn)證信息; (4)外端機(jī)根據(jù)會話密鑰和應(yīng)用服務(wù)器A的身份信息生成應(yīng)用服務(wù)器A的身份認(rèn)證符,并利用應(yīng)用服務(wù)器A的身份認(rèn)證符和信任憑證對應(yīng)用數(shù)據(jù)加密,外端機(jī)將應(yīng)用服務(wù)器A的身份認(rèn)證符、信任憑證和加密后的應(yīng)用數(shù)據(jù)發(fā)送至內(nèi)端機(jī); (5)內(nèi)端機(jī)將應(yīng)用服務(wù)器A的身份認(rèn)證符和信任憑證發(fā)送至票據(jù)授權(quán)服務(wù)器T2; (6)票據(jù)授權(quán)服務(wù)器T2先后解密信任憑證和應(yīng)用服務(wù)器A的身份認(rèn)證符,分別獲得應(yīng)用服務(wù)器A的身份信息,然后對從信任憑證和身份認(rèn)證符中解密得到的身份信息進(jìn)行比對驗證,驗證通過后,票據(jù)授 權(quán)服務(wù)器T2向內(nèi)端機(jī)反饋驗證通過信息,如果驗證未通過,內(nèi)端機(jī)終止對應(yīng)用數(shù)據(jù)的同步; (7)內(nèi)端機(jī)利用應(yīng)用服務(wù)器A的身份認(rèn)證符和信任憑證對應(yīng)用數(shù)據(jù)進(jìn)行解密,內(nèi)端機(jī)將解密后的應(yīng)用數(shù)據(jù)發(fā)送至同步服務(wù)器A。 (C)當(dāng)內(nèi)到外單向隔離網(wǎng)閘的外端機(jī)檢測到可信安全域有數(shù)據(jù)發(fā)送請求時,具體的控制方法為: (8)內(nèi)到外單向隔離網(wǎng)閘的外端機(jī)接收應(yīng)用服務(wù)器B中的應(yīng)用數(shù)據(jù)和身份信息; (9)外端機(jī)向認(rèn)證服務(wù)器S2發(fā)送應(yīng)用服務(wù)器B身份信息的認(rèn)證請求; (10)認(rèn)證服務(wù)器S2對身份信息的認(rèn)證請求進(jìn)行答復(fù)并向外端機(jī)返回會話密鑰和信任憑證構(gòu)成的認(rèn)證信息; (11)外端機(jī)根據(jù)會話密鑰和應(yīng)用服務(wù)器B的身份信息生成應(yīng)用服務(wù)器B的身份認(rèn)證符,并利用應(yīng)用服務(wù)器B的身份認(rèn)證符和信任憑證對應(yīng)用數(shù)據(jù)加密,外端機(jī)將應(yīng)用服務(wù)器B的身份認(rèn)證符、信任憑證和加密后的應(yīng)用數(shù)據(jù)發(fā)送至內(nèi)端機(jī); (12)內(nèi)端機(jī)將應(yīng)用服務(wù)器B的身份認(rèn)證符和信任憑證發(fā)送至票據(jù)授權(quán)服務(wù)器Tl; (13)票據(jù)授權(quán)服務(wù)器Tl先后解密信任憑證和應(yīng)用服務(wù)器B的身份認(rèn)證符,分別獲得應(yīng)用服務(wù)器B的身份信息,然后對從信任憑證和身份認(rèn)證符中得到的身份信息進(jìn)行比對驗證,驗證通過后,票據(jù)授權(quán)服務(wù)器Tl向內(nèi)端機(jī)反饋驗證通過信息,如果驗證未通過,內(nèi)端機(jī)終止對應(yīng)用數(shù)據(jù)的同步; (14)內(nèi)端機(jī)利用應(yīng)用服務(wù)器B的身份認(rèn)證符和信任憑證對應(yīng)用數(shù)據(jù)進(jìn)行解密,內(nèi)端機(jī)將解密后的應(yīng)用數(shù)據(jù)發(fā)送至同步服務(wù)器B。
2.根據(jù)權(quán)利要求1所述的一種基于雙單向隔離網(wǎng)閘的邊界訪問控制方法,其特征在于:所述外到內(nèi)單向隔離網(wǎng)閘或內(nèi)到外單向隔離網(wǎng)閘的工作過程如下: (1)當(dāng)不可信安全域與可信安全域之間需要進(jìn)行數(shù)據(jù)同步時,外到內(nèi)單向隔離網(wǎng)閘或內(nèi)到外單向隔離網(wǎng)閘外端機(jī)中的同步模塊接收應(yīng)用服務(wù)器的身份信息以及應(yīng)用數(shù)據(jù); (2)同步模塊接收完應(yīng)用數(shù)據(jù)和應(yīng)用服務(wù)器的身份信息后,外端機(jī)的內(nèi)容審查模塊對應(yīng)用數(shù)據(jù)進(jìn)行安全檢查,如果安全檢查未通過,則終止信息交換,否則進(jìn)入步驟(3); (3)外端機(jī)的信任請求模塊向認(rèn)證服務(wù)器發(fā)送認(rèn)證請求對應(yīng)用服務(wù)器的身份信息進(jìn)行認(rèn)證,認(rèn)證服務(wù)器針對應(yīng)用服務(wù)器身份信息的認(rèn)證請求進(jìn)行答復(fù)并向信任請求模塊返回會話密鑰和信任憑證構(gòu)成的認(rèn)證信息; (4)信任請求模塊向發(fā)送模塊發(fā)送會話密鑰和信任憑證,發(fā)送模塊根據(jù)會話密鑰和應(yīng)用服務(wù)器的身份信息生成應(yīng)用服務(wù)器的身份認(rèn)證符,發(fā)送模塊再利用應(yīng)用服務(wù)器的身份認(rèn)證符和信任憑證對應(yīng)用數(shù)據(jù)進(jìn)行加密; (5)發(fā)送模塊將應(yīng)用服務(wù)器的身份認(rèn)證符、信任憑證和加密后的應(yīng)用數(shù)據(jù)采用私有協(xié)議封裝成靜態(tài)文件同步至內(nèi)端機(jī); (6)內(nèi)端機(jī)的接收模塊將靜態(tài)文件中應(yīng)用服務(wù)器的身份認(rèn)證符和信任憑證解析出來發(fā)送給內(nèi)端機(jī)的驗證模塊; (7)內(nèi)端機(jī)的驗證模塊將應(yīng)用服務(wù)器的身份認(rèn)證符和信任憑證發(fā)送給票據(jù)授權(quán)服務(wù)器,票據(jù)授權(quán)服務(wù)器先后解密信任憑證和應(yīng)用服務(wù)器的身份認(rèn)證符,分別獲得應(yīng)用服務(wù)器的身份信息,票據(jù)授權(quán)服務(wù)器對從信任憑證和身份認(rèn)證符中解密得到的身份信息進(jìn)行比對驗證,若未通過驗證,則終止信息交換,否則票據(jù)授權(quán)服務(wù)器向內(nèi)端機(jī)的驗證模塊返回驗證通過信息,然后進(jìn)入步驟(8); (8)內(nèi)端機(jī)的數(shù)據(jù)處理模塊根據(jù)應(yīng)用服務(wù)器的身份認(rèn)證符和信任憑證將應(yīng)用數(shù)據(jù)進(jìn)行解密;` (9)內(nèi)端機(jī)的同步模塊將解密后的應(yīng)用數(shù)據(jù)發(fā)送至同步服務(wù)器。
【文檔編號】H04L29/06GK103491072SQ201310403023
【公開日】2014年1月1日 申請日期:2013年9月6日 優(yōu)先權(quán)日:2013年9月6日
【發(fā)明者】張文濤, 艾偉, 趙斌, 楊海 申請人:北京信息控制研究所