| 发明名称 | 一种基于可信协议的网络监控方法 | ||
| 摘要 | 本发明属于网络信息安全领域,具体涉及一种基于可信协议的网络监控方法。本发明采用一种主动拦截技术,通过设定访问规则来限定只有符合该访问规则的主机才允许通信,对不符合访问规则的通信行为视为非法连接并对其进行拦截。使用拦截判断,基于可信协议的方式对连接网络的操作进行控制,保证只有可信主机之间能够通信,除此以外的连接将被阻断,从而杜绝因非法外联带来的信息泄露。本发明所采用的方法广泛适用于各种涉密网络,控制涉密主机的非法外联行为,防止涉密信息泄露。 | ||
| 申请公布号 | CN101355459A | 申请公布日期 | 2009.01.28 |
| 申请号 | CN200810119433.3 | 申请日期 | 2008.08.29 |
| 申请人 | 北京理工大学 | 发明人 | 陶然;李继勇;李志勇;张昊;杜华 |
| 分类号 | H04L12/26(2006.01);H04L12/24(2006.01);H04L29/08(2006.01);H04L9/30(2006.01);H04L9/32(2006.01) | 主分类号 | H04L12/26(2006.01) |
| 代理机构 | 北京理工大学专利中心 | 代理人 | 张利萍 |
| 主权项 | 1.一种基于可信协议的网络监控方法,其特征在于,具体步骤如下:A.在需进行监控的网络中配置服务器,并在服务器中安装可信主机管理模块,然后进行步骤B;B.在需要进行监控的客户机中安装可信主机代理程序,并在服务器中将这些客户机的IP设置成可信IP,然后进行步骤C;C.可信主机管理模块做为可信主机的密钥分发中心,系统使用基于IBE算法,将各可信主机的IP地址做为公开密钥,即公钥,并生成私有密钥,即私钥,将私钥发送给相应的可信主机,随后进行步骤D;D.可信主机管理模块将公钥信息,即公钥列表,放置于可信主机管理模块中可公开访问的位置进行发布;E.各可信主机通过各自的可信主机代理程序从服务器中获取经步骤D发布的最新公钥列表,并存储在本地,更新原来的公钥列表;F.当可信主机有应用程序欲访问网络时,可信主机拦截模块截获该访问请求,并获取目标地址,即被访问方的IP地址,及其端口号,随后进行步骤G;G.判断目标地址是否在公钥列表中,如果不在,则丢弃数据包,拒绝访问,如果在公钥列表中,则继续步骤H;H.判断目标端口,即被访问方的端口,是否为可信主机探测模块使用的探测服务端口,如果是,则允许数据包通过,否则进行步骤I;I.判断最近一次验证目标IP可信的时刻与当前时刻间隔大小,如果当前时刻与最近一次验证时刻的间隔在两分钟之内,则将可信探测列表中该目标IP对应的验证时间更新为当前时刻,然后通知可信主机拦截模块,告知其该目标主机为可信主机,允许数据包通过;如果时间超出可接受的范围,说明该可信时间无效,进行步骤J;J.与被访问方的可信主机探测模块使用的专用端口建立TCP连接,如果连接结果显示为失败,则更新本地的可信探测列表,判断对方主机为不可信主机,丢弃数据包,拒绝访问,否则进行步骤K;K.探测方将以被访问方的IP地址作为公钥,系统使用IBE算法通过该公钥加密一个随机数,再将加密数据发送给对方主机,然后进行步骤L;L.等待接收对方主机响应,如果超时没有回应,则更新可信主机探测列表,判断对方主机为不可信主机,丢弃数据包,拒绝访问;若收到对方的响应数据,则继续步骤M;M.判断接收到的响应数据是否等于步骤K中的随机数加一,如果不相等,则更新可信主机探测列表,判断对方主机为不可信主机,丢弃数据包,拒绝访问;若结果显示相等,则更新可信主机探测列表,判断对方主机为可信主机,允许数据包通过。 | ||
| 地址 | 100081北京市海淀区中关村南大街5号 | ||