【摘要】 本发明属于网络信息安全领域,具体涉及一种基于可信协议的网络监控方法。本发明采用一种主动拦截技术,通过设定访问规则来限定只有符合该访问规则的主机才允许通信,对不符合访问规则的通信行为视为非法连接并对其进行拦截。使用拦截判断,基于可信协议的方式对连接网络的操作进行控制,保证只有可信主机之间能够通信,除此以外的连接将被阻断,从而杜绝因非法外联带来的信息泄露。本发明所采用的方法广泛适用于各种涉密网络,控制涉密主机的非法外联行为,防止涉密信息泄露。 【专利类型】发明授权 【申请人】北京理工大学 【申请人类型】学校 【申请人地址】100081 北京市海淀区中关村南大街5号 【申请人地区】中国 【申请人城市】北京市 【申请人区县】海淀区 【申请号】CN200810119433.3 【申请日】2008-08-29 【申请年份】2008 【公开公告号】CN101355459B 【公开公告日】2010-08-25 【公开公告年份】2010 【授权公告号】CN101355459B 【授权公告日】2010-08-25 【授权公告年份】2010.0 【IPC分类号】H04L12/26; H04L12/24; H04L29/08; H04L9/30; H04L9/32 【发明人】陶然; 李继勇; 李志勇; 张昊; 杜华 【主权项内容】一种基于可信协议的网络监控方法,其特征在于,具体步骤如下:A.在需进行监控的网络中配置外联监控系统,系统包括服务器及客户机两部分,并在服务器中安装可信主机管理模块,然后进行步骤B;B.在需要进行监控的客户机中安装可信主机代理模块,可信主机的代理模块又划分为可信主机的拦截模块和可信主机探测模块,并在服务器中将这些客户机的IP设置成可信IP,然后进行步骤C;C.可信主机管理模块做为可信主机的密钥分发中心,外联监控系统使用基于IBE(Identity Based Encryption)算法,将各可信主机的IP地址做为公开密钥,即公钥,并生成私有密钥,即私钥,将私钥发送给相应的可信主机,随后进行步骤D;D.可信主机管理模块将公钥信息,即公钥列表,放置于可信主机管理模块中可公开访问的位置进行发布;E.各可信主机通过各自的可信主机代理程序从服务器中获取经步骤D发布的最新公钥列表,并存储在本地,更新原来的公钥列表;F.当可信主机有应用程序欲访问网络时,可信主机拦截模块截获该访问请求,并获取目标地址,即被访问方的IP地址,及其端口号,随后进行步骤G;G.可信主机拦截模块判断目标地址是否在可信主机管理模块上的公钥列表中,如果不在,则丢弃数据包,拒绝访问,如果在公钥列表中,则继续步骤H;H.可信主机拦截模块判断目标端口,即被访问方的端口,是否为可信主机探测模块使用的探测服务端口,如果是,则允许数据包通过,否则进行步骤I;I.可信主机探测模块判断最近一次验证目标IP可信的时刻与当前时刻间隔大小,如果当前时刻与最近一次验证时刻的间隔在两分钟之内,则将可信主机探测列表中该目标IP对应的验证时间更新为当前时刻,然后通知可信主机拦截模块,告知其该目标主机为可信主机,允许数据包通过;如果时间超出两分钟,说明该可信时间无效,进行步骤J;J.可信主机探测模块与被访问方的可信主机探测模块使用的专用端口建立TCP连接,如果连接结果显示为失败,则更新本地的可信主机探测列表,判断对方主机为不可信主机,丢弃数据包,拒绝访问,否则进行步骤K;K.探测方将以被访问方的IP地址作为公钥,系统使用IBE(Identity BasedEncryption)算法通过该公钥加密一个随机数,再将加密数据发送给被访问方主机,然后进行步骤L;L.可信主机探测模块等待接收被访问方主机响应,如果超时没有回应,则更新可信主机探测列表,判断被访问方主机为不可信主机,丢弃数据包,拒绝访问;若收到被访问方的响应数据,则继续步骤M;M.可信主机探测模块判断接收到的响应数据是否等于步骤K中的随机数加一,如果不相等则更新可信主机探测列表,判断被访问方主机为不可信主机,丢弃数据包,拒绝访问;若结果显示相等,则更新可信主机探测列表,判断被访问方主机为可信主机,允许数据包通过。 【当前权利人】北京理工大学 【当前专利权人地址】北京市海淀区中关村南大街5号 【统一社会信用代码】12100000400009127B 【引证次数】2.0 【被引证次数】2 【他引次数】2.0 【被他引次数】2.0 【家族引证次数】2.0 【家族被引证次数】18
