專利名稱:保護雙向通信信道的方法及實現(xiàn)該方法的裝置的制作方法
技術(shù)領域:
本發(fā)明涉及一種保護雙向通信信道的方法及實現(xiàn)該方法的裝置��。本發(fā)明顯著地能 夠在具有不同安全等級的多個網(wǎng)絡之間建立通信�。
背景技術(shù):
關于具有不同安全等級的網(wǎng)絡之間的通信的安全標準,通常造成與所述網(wǎng)絡之間 的協(xié)同工作能力的需要以及數(shù)據(jù)傳輸方面所需的性能相矛盾的約束�����。舉例來說��,公司內(nèi)部網(wǎng)絡經(jīng)授權(quán)從外部網(wǎng)絡接收一定的數(shù)據(jù)�����,但是來自內(nèi)部網(wǎng)絡 的數(shù)據(jù)不能以非加密的形式傳輸?shù)酵獠烤W(wǎng)絡��。因此,例如���,如果通過中間公共網(wǎng)絡——例如 互聯(lián)網(wǎng)——通信的兩個公司網(wǎng)絡想要交換機密信息�,要在這些公司網(wǎng)絡的每一個輸出端放 置加密/解密裝置����。所有數(shù)據(jù)在發(fā)送公司網(wǎng)絡的輸出端被加密�����,這些數(shù)據(jù)通過接收公司網(wǎng) 絡被解密�,以此方式使得沒有源自公司網(wǎng)絡的數(shù)據(jù)以非加密的形式傳輸?shù)街虚g公共網(wǎng)絡。在一方面�����,為了能夠在上行鏈路方向上傳輸數(shù)據(jù)��,即從外部網(wǎng)絡到內(nèi)部公司網(wǎng)絡�����, 換言之�����,從低敏感度網(wǎng)絡到更高敏感度等級的網(wǎng)絡,數(shù)據(jù)傳輸協(xié)議通常要求在下行鏈路方 向上傳輸數(shù)據(jù)�,即從內(nèi)部網(wǎng)絡到外部網(wǎng)絡。事實上�,除了待傳輸?shù)挠杏脭?shù)據(jù)之外(通常稱為 “用戶通信計劃”的數(shù)據(jù)組),在通過該協(xié)議的數(shù)據(jù)傳輸管理中還固有地包含信令和控制數(shù) 據(jù)���,所述數(shù)據(jù)必須同時在上行鏈路和下行鏈路方向上傳輸���。該信令和控制數(shù)據(jù),對于IP(互 聯(lián)網(wǎng)協(xié)議)和以太網(wǎng)協(xié)議來說顯著存在���,其為例如接收確認或優(yōu)先權(quán)標記器��,從而在數(shù)據(jù) 傳輸會話期間管理服務質(zhì)量����。另一方面�����,不論數(shù)據(jù)的類型如何�,應用于該數(shù)據(jù)的處理(總加 密)是一樣的����,這在結(jié)合了語音���、數(shù)據(jù)或視頻的多媒體通信信道的開發(fā)環(huán)境中�����,變得越來越 難。此外�����,為了從某些基本服務例如服務管理質(zhì)量中獲益�,必須建立加密的雙向通信 信道,或者授權(quán)要在受保護網(wǎng)絡和中間公共網(wǎng)絡之間傳輸?shù)男帕詈?或控制數(shù)據(jù)�����。此外��,缺少使數(shù)據(jù)以受保護方式在具有不同安全等級的網(wǎng)絡之間交換的裝置���,也 導致了設備及相關聯(lián)的管理資源的重復����。例如,每個網(wǎng)絡必須包括域名服務器���、全局時鐘服 務器或目前為非機密的但是對其操作是必要的任何其他類型的服務器�。此外��,不能通過加 密/解密裝置來對公共網(wǎng)絡的狀態(tài)進行診斷�。例如,不可能向公共網(wǎng)絡發(fā)送指示在受保護 網(wǎng)絡上出現(xiàn)的事件的信號來作為簡單的故障警告���,該信號固有地為非機密的��,不能從受保 護網(wǎng)絡傳輸?shù)骄哂懈偷谋Wo等級的網(wǎng)絡���。可選的解決方案包括授權(quán)所選的特定類型的數(shù)據(jù)以非加密形式且不進行控制的 通過公共網(wǎng)絡進行傳輸�����,換言之����,為特定類型的數(shù)據(jù)建立額外的通信信道�����。然而��,該解決方 案存在風險�,因為攻擊者能夠利用該信道來造成信息從受保護網(wǎng)絡泄露�。
發(fā)明內(nèi)容
本發(fā)明的一個目的是提出一種用于改善具有不同安全等級的網(wǎng)絡之間的協(xié)同工 作能力的手段,同時限制危及敏感數(shù)據(jù)安全的風險�����。為達此目的��,本發(fā)明的主題是一種保護方法����,用于保護至少在網(wǎng)絡m和安全等級低于網(wǎng)絡m的網(wǎng)絡N2之間的雙向通信信道�,其 特征在于該保護方法至少包括以下步驟-限定被授權(quán)從m傳輸?shù)絅2的一種或多種數(shù)據(jù)類型;-對于從m傳輸?shù)絅2的數(shù)據(jù)-如果該數(shù)據(jù)是被授權(quán)在m和N2之間傳輸?shù)念愋?����,將該?shù)據(jù)路由到第一過濾步驟�,否則�,將給數(shù)據(jù)路由到加密步驟�����,-如果該數(shù)據(jù)被路由到第一過濾步驟〇儲存與該數(shù)據(jù)相關聯(lián)的內(nèi)容〇對該數(shù)據(jù)應用一個或多個分析過濾器以防止建立隱藏通信信道����,-對于從N2傳輸?shù)絤的數(shù)據(jù)-如果該數(shù)據(jù)是被授權(quán)在m和N2之間傳輸?shù)念愋停瑢⒃摂?shù)據(jù)路由到第二過濾步 驟�����,否則將該數(shù)據(jù)路由到解密步驟����;-如果該數(shù)據(jù)被路由到第二過濾步驟〇將該數(shù)據(jù)的內(nèi)容與在第一過濾步驟期間儲存的內(nèi)容進行對比,如果內(nèi)容不一 致��,則阻止該數(shù)據(jù)���,〇否則��,對該數(shù)據(jù)應用一個或多個分析過濾器�����。根據(jù)一個實施例���,所述過濾步驟包括數(shù)據(jù)的語法分析階段����,所述階段根據(jù)用于傳 輸該數(shù)據(jù)的協(xié)議檢查數(shù)據(jù)的格式的有效性�����。根據(jù)一個實施例��,所述過濾步驟包括數(shù)據(jù)的語意分析階段���,所述階段檢查從網(wǎng)絡 N2傳輸?shù)骄W(wǎng)絡m的響應相對于由網(wǎng)絡m傳輸?shù)骄W(wǎng)絡N2的請求的一致性�。根據(jù)一個實施例���,所述過濾步驟包括數(shù)據(jù)的行為分析階段,所述階段根據(jù)這兩個 網(wǎng)絡之間的互聯(lián)的預定場景�����,評估在網(wǎng)絡m和網(wǎng)絡N2之間交換的數(shù)據(jù)無害的可能性����,互聯(lián) 場景基于數(shù)據(jù)傳輸協(xié)議控制器的狀態(tài)來限定這些狀態(tài)之間轉(zhuǎn)換的期望的持續(xù)時間�����。根據(jù)一個實施例�,所述過濾步驟包括對由第一協(xié)議格式化的數(shù)據(jù)進行轉(zhuǎn)錄的階 段���,從而將其重譯為由第二協(xié)議格式化的數(shù)據(jù)�。本發(fā)明的主題還包括一種建立雙向通信信道的裝置����,該雙向通信信道建立在至少 第一網(wǎng)絡m和安全等級低于第一網(wǎng)絡m的第二網(wǎng)絡N2之間,該裝置包括加密模塊和解密 模塊���,該裝置至少包括第一路由模塊����、第二路由模塊和過濾模塊�,第一路由模塊將源自第一 網(wǎng)絡m的數(shù)據(jù)包引導到加密模塊或者過濾模塊,第二路由模塊將源自第二網(wǎng)絡N2的數(shù)據(jù) 包引導到解密模塊或過濾模塊��,該過濾模塊實現(xiàn)上文所述的方法。
以下將通過非限制的示例����,并且參考附圖詳細描述其他特征,其中-圖1示出了通過應用根據(jù)本發(fā)明的保護方法�,將數(shù)據(jù)從第一網(wǎng)絡傳輸?shù)桨踩?級比第一網(wǎng)絡低的第二網(wǎng)絡的步驟的概要圖(下行鏈路方向);-圖2示出了通過應用根據(jù)本發(fā)明的保護方法���,在與圖1所示的相同網(wǎng)絡之間以相 反方向傳輸數(shù)據(jù)的步驟的概要圖(上行鏈路方向)���;-圖3是實現(xiàn)根據(jù)本發(fā)明的保護方法的裝置的結(jié)構(gòu)示例;-圖4示出了利用根據(jù)本發(fā)明的保護裝置使兩個受保護網(wǎng)絡通過中間公共網(wǎng)絡彼此通信的概要圖�。 為了清楚起見,不同附圖中以相同附圖標記標注的元件是相同的���。
具體實施例方式圖1示出了通過應用根據(jù)本發(fā)明的方法�����,將數(shù)據(jù)從第一網(wǎng)絡111傳輸?shù)诙W(wǎng)絡112 的步驟的概要圖��,其中第二網(wǎng)絡112的安全等級比第一網(wǎng)絡低���。首先,通過路由模塊102接收源自第一網(wǎng)絡111的數(shù)據(jù)101���,該路由模塊將所述數(shù) 據(jù)101引導到加密步驟103或過濾步驟104�����。由路由模塊102根據(jù)數(shù)據(jù)101的類型�,來決定 將數(shù)據(jù)傳輸?shù)竭@兩個步驟103����,104中的哪一個。數(shù)據(jù)101的類型是通過由傳輸協(xié)議分析與 數(shù)據(jù)相關聯(lián)的元數(shù)據(jù)(metadata)來確定��。例如��,檢查與OSI (開放系統(tǒng)互連“Open System Interconnection")模型的層3相關聯(lián)的IP協(xié)議的元數(shù)據(jù)�����,例如發(fā)送器和/或接收器或采 用的通信端口的IP地址�,來確定路由模塊102必須將數(shù)據(jù)101引導到步驟103和104中的 哪一個。事實上�,在本示例中,一些地址和/或通信端口與服務相關聯(lián)���,所述服務被授權(quán)通 過第二網(wǎng)絡112經(jīng)由不同的通信信道傳輸信息����,其他地址和/或通信端口用于傳輸敏感信 息,因此需要系統(tǒng)化加密��。例如�����,由第一網(wǎng)絡111發(fā)送到位于第二網(wǎng)絡112中的域名服務器的請求被引導到 過濾步驟104�����,而不引導到加密步驟103����,因為包含在該請求中的數(shù)據(jù)可以不被認為是非 敏感的。該示例可拓展到多個服務器——例如����,帶寬資源預留服務器、目錄�、全局時鐘服務 器——顯著地取決于所關心的網(wǎng)絡上施加的安全約束。因此該方法可看作具有受控的不透 明性的加密方法���,根據(jù)被授權(quán)通過過濾步驟104傳輸信息的服務部分�,以及根據(jù)使用情況 和相關聯(lián)的威脅的等級來配置不透明性等級�����。對于需要高保護等級的網(wǎng)絡��,不透明性當然 保持在高等級�。可進一步通過不授權(quán)任何通過過濾步驟104的傳輸���,來獲得整體加密的傳 統(tǒng)情況���。換言之,通過強迫路由模塊102將接收到的數(shù)據(jù)系統(tǒng)地引導到加密步驟103�。然而,在具有不同安全等級的網(wǎng)絡之間傳輸數(shù)據(jù)的授權(quán)必須伴隨著保護措施��。事 實上��,可能轉(zhuǎn)移顯得無害的通信從而建立隱藏的或輔助的通信信道����。特別地�����,對于數(shù)據(jù)包序 列����,每個單獨的數(shù)據(jù)包可能不包含敏感性信息��,然而這些連續(xù)地數(shù)據(jù)包可能導致產(chǎn)生通信 代碼����。例如,在將相同類型的請求序列從第一網(wǎng)絡111傳輸?shù)降诙W(wǎng)絡112時�,每個請求之 間出現(xiàn)的或多或少的長時間間隔可能構(gòu)成代碼,利用該代碼可能導致信息泄漏到第一網(wǎng)絡 111之外�。例如,在對數(shù)據(jù)包進行標記來管理所述包的路由中的服務質(zhì)量的情況下���,在包序 列傳輸期間服務質(zhì)量標記器的值中的異常變化也可構(gòu)成隱藏的通信信道����。第二�����,如果將數(shù)據(jù)引導到加密步驟103,由所述步驟產(chǎn)生的加密數(shù)據(jù)101’被傳輸 到第二網(wǎng)絡112 �;如果數(shù)據(jù)被引導到過濾步驟104,該步驟將進行處理以取代攻擊方建立隱 藏通信信道的任何企圖����。因此該處理產(chǎn)生的數(shù)據(jù)101”是已經(jīng)從可能發(fā)生的輔助信道被過 濾和凈化的數(shù)據(jù)���。在本示例中��,過濾步驟104的處理包括語法分析階段��、語義分析階段和行 為分析階段��。在最開始確定數(shù)據(jù)的類型從而初始化每個分析階段的參數(shù)�。語法分析檢查要傳輸?shù)臄?shù)據(jù)是否嚴格符合標準��,例如RFC(意見請求“Request For Comments")文檔或采用的協(xié)議的標準��,且檢查沒有字段轉(zhuǎn)移自其對象(object)���。特別地����, 檢測字段值中的異常。例如���,在DNS(域名系統(tǒng)“Domain Name System")請求的情況下���,應 確保待解析的主機名稱與RFC1034和1035描述的格式相符合。特別地����,假定要解析的主機名稱是大小寫不敏感的,也即是�,可以是小寫或者大寫,根據(jù)一實施例�,過濾步驟104可以 重寫(overwrite)大寫或小寫請求,或通過將兩者結(jié)合來減少所用排版(typography)中的
隱藏信道���。語義分析實現(xiàn)多個功能�����。在一方面��,檢查針對給定協(xié)議的可能狀態(tài)的控制器�����,以及 所述狀態(tài)的串聯(lián)的一致性�。另一方面,語義分析檢測任何請求或?qū)υ撜埱蟮捻憫袧撛诘?隱藏含義��。此外���,語義分析管理連接內(nèi)容�����,確保源自較不敏感的第二網(wǎng)絡112的響應確實與 傳輸自更敏感的第一網(wǎng)絡111的激活請求相關聯(lián)。根據(jù)一個實施例�,除了確保響應對應于例如可由一對(IP源地址_源端口 ;IP目 的地地址-目的地端口)限定的激活內(nèi)容之外�����,語義分析檢查響應是否有效��,也即是���,響應 對應于在協(xié)議方面可能的響應情況����。在由第一網(wǎng)絡111傳輸?shù)降诙W(wǎng)絡112上的DNS服務 器的DNS( “域名系統(tǒng)”)請求的例子中,第一網(wǎng)絡111期望只有一個響應�。此外,該響應必 須與傳輸?shù)恼埱笠恢?。如果DNS請求是為了獲得主機名的解析,語義分析階段必須檢查獲 得的響應是否與提交的請求一致(如果解析成功�����,必須在此獲得被解析的主機的IP地址)�, 以及例如檢查獲得的IP地址是否對應于實際上可聯(lián)系的主機,也即是����,通過簡單的IP路由 可訪問。行為分析優(yōu)選地在上文提到的語法和語義分析階段之后進行����。行為分析階段基于 認知處理,也即是����,一種用于給出信息交換處理含義的結(jié)構(gòu)。為了描述這一過濾分析中的新 方法��,可采用互聯(lián)的場景的可能示例,其中每個場景可對應于給定協(xié)議的預定使用����,不僅考 慮通信的連續(xù)方面(sequential aspect),也考慮暫時方面(temporal aspect)�����。例如可采 用統(tǒng)計采樣來檢查針對選定的協(xié)議��,在特定的時間周期期間第一網(wǎng)絡111和第二網(wǎng)絡112 之間傳輸?shù)臄?shù)據(jù)量����。然后異常高的數(shù)據(jù)量可表示為攻擊。相似地���,可分析從第一網(wǎng)絡111 到第二網(wǎng)絡112的第一數(shù)據(jù)傳輸和所述網(wǎng)絡之間的第二數(shù)據(jù)傳輸之間的時間間隔。因此�����, 在通過協(xié)議的數(shù)據(jù)交換期間����,如果協(xié)議控制器的兩個狀態(tài)之間的轉(zhuǎn)換持續(xù)時間與期望的持 續(xù)時間相比異常短或異常長,則觸發(fā)攻擊警報。 例如��,在分析DNS請求的情況下��,相同的用戶通??梢越邮苓B續(xù)發(fā)送幾次DNS請求 以解析多個域名,即便在非常短的時間內(nèi)�����。相反地��,如果相同的用戶通過例如其IP源地址 識別為在比其DNS高速緩存的持續(xù)時間短的時間內(nèi)�����,為了解析相同DNS主機的IP地址而連 續(xù)發(fā)送幾次請求�����,那么可能被懷疑為惡意行為�����,因為其工作站通常應該將解析的IP地址保 留限定的�����、用參數(shù)表示的時間內(nèi)(通常幾分鐘)。為了限制虛假警報�,建議限定可用參數(shù)表 示的閾值,基于該閾值來建議觸發(fā)警報��。在與針對DHCP請求(動態(tài)主機配置協(xié)議“Dynamic Host Configuration Protocol”����,允許在有限的租期內(nèi)分配IP地址)的行為分析相關的不 同示例中,對于例如通過其MAC(以太網(wǎng))地址識別的客戶主機���,通?��?梢越邮苊刻鞄状伟l(fā) 送DHCP請求以獲得IP地址(考慮到,例如網(wǎng)絡纜線的多個支路)����,然而服務器主機將只在 更新其租期或重啟時提交一次該請求。如果檢測到異常����,則不將數(shù)據(jù)傳輸?shù)降诙W(wǎng)絡112���。在檢測到異常時��,可進行其他 處理操作���。例如�,可觸發(fā)警報以阻止與該包含在異常中的數(shù)據(jù)同類的數(shù)據(jù)在不同敏感度的 網(wǎng)絡之間傳輸���。這可以通過改變路由模塊102的配置來實現(xiàn)��。根據(jù)一不同的實施例����,過濾步驟104只執(zhí)行上文所述的分析階段的一部分��,例如���, 只執(zhí)行語法分析和語義分析階段�����。
根據(jù)一個實施例�����,過濾步驟104也實現(xiàn)數(shù)據(jù)轉(zhuǎn)錄步驟��,以減少信息從第一網(wǎng)絡111 泄露的風險�。因此,在由第一網(wǎng)絡111傳輸?shù)恼埱笮蛄械那闆r下(例如SIP(會話初始協(xié)議 "Session Initialization Protocol")請求)����,將所述序列中的一些請求用具有相似功能 的不同協(xié)議的形式重新表示(例如,SIP請求重新轉(zhuǎn)換為H. 323請求)以消除冗余信息和/ 或改變請求的格式���,從而提高建立隱藏通信信道的難度���。圖2示出了數(shù)據(jù)在與圖1所示的相同網(wǎng)絡之間以相反方向傳輸?shù)牟襟E的概要圖。 通過應用根據(jù)本發(fā)明的保護方法���,將數(shù)據(jù)201從第二網(wǎng)絡112傳輸?shù)降谝痪W(wǎng)絡111���,其中第 一網(wǎng)絡具有比第二網(wǎng)絡更高的安全等級。首先�����,通過路由模塊202接收數(shù)據(jù)201�����,路由模塊202將數(shù)據(jù)引導到解密步驟203 或內(nèi)容檢查步驟204���。如果數(shù)據(jù)201被加密(如果是例如通過IPSec (互聯(lián)網(wǎng)協(xié)議安全“ Internet Protocol Security")協(xié)議傳輸?shù)臄?shù)據(jù))����,則將該數(shù)據(jù)201引導到解密步驟203�。如果正確 地執(zhí)行了解密,那么將從該解密步驟203得出的解密后的數(shù)據(jù)201’傳輸?shù)降谝痪W(wǎng)絡111�。相反地,如果數(shù)據(jù)201沒有被加密���,則該數(shù)據(jù)被引導到內(nèi)容檢查步驟204��。該步驟 分析在過濾步驟104(圖1)期間儲存的內(nèi)容參數(shù)方面的數(shù)據(jù)的內(nèi)容�。這包括�����,例如�����,對與 OSI模型層3有關的字段進行檢查,例如��,檢查用于管理服務質(zhì)量的DSCP(區(qū)別服務代碼 點 “Differentiated Services Code Point”)字段�����,或檢查 MTU (最大傳輸單元 “Maximum Transmission Unit”)尺寸以及授權(quán)的MTU尺寸變化���。也可包括應用層(0SI模型中的層7) 中的檢查�,例如分析RSVP(源預留協(xié)議“Resource ReSerVation Protocol”)源預留請求或 DNS請求��。如果該內(nèi)容與先前在過濾步驟104中記錄的內(nèi)容不一致��,則阻止該數(shù)據(jù)206��,并 觸發(fā)警報��。例如����,如果盡管沒有請求從第一網(wǎng)絡111傳輸?shù)降诙W(wǎng)絡112 (沒有建立內(nèi)容), 仍然從第二網(wǎng)絡112接收到了響應��,則阻止該響應。否則�,如果該內(nèi)容與記錄的內(nèi)容一致, 則將數(shù)據(jù)201傳輸?shù)竭^濾步驟205���,該過濾步驟執(zhí)行上文參照圖1所述的分析階段。圖3示出了實現(xiàn)根據(jù)本發(fā)明的方法的裝置的結(jié)構(gòu)的示例�。裝置300插在機密網(wǎng)絡 331和公共網(wǎng)絡312之間。其包括第一路由模塊301���、加密模塊302����、解密模塊303����、過濾模 塊304和第二路由模塊305。該裝置300包括連接到機密網(wǎng)絡311的第一輸入端300a��,連接到公共網(wǎng)絡312的 第二輸入端300a�,,連接到機密網(wǎng)絡311的第一輸出端300b和第二輸出端300c���,連接到公 共網(wǎng)絡312的第三輸出端300b’和第四輸出端300c’��。第一路由模塊301包括輸入端301a和兩個輸出端301b����、301c,其輸入端301a連接 到裝置300的第一輸入端300a���。第二路由模塊305包括輸入端305a和兩個輸出端305b��、 305c�,其輸入端305a連接到裝置300的第二輸入端300a����,。加密模塊302包括連接到第一路由模塊301的第一輸出端301b的輸入端302a��,以 及連接到裝置300的第三輸出端300b��,的輸出端302b��。解密模塊303包括連接到第二路由 模塊305的第一輸出端305b的輸入端303a���,以及連接到裝置300的第一輸出端300b的輸 出端303b�。加密模塊302和解密模塊303基于常規(guī)的密碼技術(shù)�����。過濾模塊304包括兩個輸入端304a、304b和兩個輸出端304c��、304d��,其第一輸入端 304a連接到第一路由模塊301的第二輸出端301c�,其第二輸入端304b連接到第二路由模 塊305的第二輸出端305c,其第一輸出端304c連接到裝置300的第二輸出端300c�����,其第二輸出端304d連接到裝置300的第四輸出端300c�����,�。過濾模塊304主要基于過濾器數(shù)據(jù)庫��,每個過濾器對應于待檢查的一類數(shù)據(jù)���。每 個過濾器實現(xiàn)過濾步驟104的一個或多個分析階段(圖1)����。過濾器由例如一組參數(shù)和/或 軟件單元構(gòu)成。一旦識別了數(shù)據(jù)類型�����,過濾模塊304加載并執(zhí)行與該類型的待檢查數(shù)據(jù)相 對應的參數(shù)和可能的軟件單元�。例如,數(shù)據(jù)庫包括用于檢查DHCP請求的過濾器�����、用于DNS請求的過濾器��、和用于采 用RSVP協(xié)議(源預留協(xié)議“Resource ReSerVation Protocol”)的源預留請求的過濾器�。 此外,非常期望有開放和模塊化的結(jié)構(gòu)�,這樣的結(jié)構(gòu)能夠集成新的過濾器和/或?qū)⑦^濾器 從數(shù)據(jù)庫中移除,而不會對其他過濾器的操作產(chǎn)生負面影響����。因此,可逐個過濾器地進行安 全審批����,僅通過審批的過濾器可以集成到過濾器數(shù)據(jù)庫中。根據(jù)一不同的實施例��,可通過電 子電路,例如在可編程元件上實現(xiàn)一些過濾器���。此外�����,保護裝置300優(yōu)選地安裝在受控空間����,例如��,在機密網(wǎng)絡311中����,從而物理地 保護其第二輸入端300a’及其第二輸出端300c不受潛在的攻擊�����。有利地����,保護裝置300被物理屏蔽,以顯著地避免通過輔助信道的攻擊�����,特別是通 過分析由該裝置消耗的電流和該裝置發(fā)射的電磁輻射。圖4示出了根據(jù)本發(fā)明的裝置的應用的概要圖���,其用于使兩個受保護網(wǎng)絡410���、 402通過中間公共網(wǎng)絡403彼此通信。第一公司網(wǎng)絡401必須與第二公司網(wǎng)絡402通信���。這兩個網(wǎng)絡401���、402通過公共 網(wǎng)絡403通信。這兩個公司網(wǎng)絡401�、402上出現(xiàn)的數(shù)據(jù)是機密的,這些數(shù)據(jù)不能以非加密 的方式在公共網(wǎng)絡403上傳輸����。因此通過在公司網(wǎng)絡401、402每個的輸出端設置根據(jù)本發(fā) 明的保護裝置411����、412來建立這兩個公司網(wǎng)絡401、402之間的受保護的鏈接��,以此方式公 司網(wǎng)的所有進來和出去的數(shù)據(jù)都被加密/解密411a、412a或過濾411b���、412b��。因此根據(jù)本 發(fā)明的保護裝置能夠建立與常規(guī)的加密通信信道平行的通信信道����,該平行的通信信道授權(quán) 有在公司網(wǎng)絡401���、402和公共網(wǎng)絡403之間的受控的互通性����。在兩個公司網(wǎng)絡401�����、402已經(jīng)通過常規(guī)保護鏈接連接的情況下���,該常規(guī)保護鏈接 包括在每個公司網(wǎng)絡401、402的輸出端具有加密器�����,通常能夠用根據(jù)本發(fā)明的保護裝置替 代每個加密器。因此���,本發(fā)明的一個優(yōu)點是其容易實現(xiàn)于現(xiàn)有的保護結(jié)構(gòu)中���。根據(jù)本發(fā)明的裝置包括多個優(yōu)點。其使得設備能夠分享��,并且人力和操作程序得 以簡化���。此外���,通過實施在具有不同安全等級的網(wǎng)絡之間的信令數(shù)據(jù)的受控交換的方案,其 在負載變化或周圍網(wǎng)絡拓撲變化的情況下����,使具有更高的安全等級的網(wǎng)絡具有更高的響應 性。
8
權(quán)利要求
一種保護方法��,用于保護位于至少網(wǎng)絡N1和安全等級低于網(wǎng)絡N1的網(wǎng)絡N2之間的雙向通信信道�����,其特征在于該保護方法包括至少以下步驟 限定被授權(quán)從N1傳輸?shù)絅2的一種或多種數(shù)據(jù)類型; 對于從N1傳輸?shù)絅2的數(shù)據(jù) 如果該數(shù)據(jù)是被授權(quán)在N1和N2之間傳輸?shù)念愋?�,則將該數(shù)據(jù)路由到第一過濾步驟(104)�,否則將該數(shù)據(jù)路由到加密步驟(103), 如果該數(shù)據(jù)被路由到第一過濾步驟(104)○儲存與該數(shù)據(jù)相關聯(lián)的內(nèi)容�����,○對該數(shù)據(jù)應用一個或多個分析過濾器以防止產(chǎn)生隱藏通信信道�����, 對于從N2傳輸?shù)絅1的數(shù)據(jù) 如果該數(shù)據(jù)是被授權(quán)在N1和N2之間傳輸?shù)念愋?��,將該?shù)據(jù)路由到第二過濾步驟(204����,205)���,否則���,將該數(shù)據(jù)路由到解密步驟(203)�; 如果該數(shù)據(jù)被路由到第二過濾步驟(204.,205)○將該數(shù)據(jù)的內(nèi)容與在第一過濾步驟(104)中儲存的內(nèi)容進行對比���,如果內(nèi)容不一致���,則阻止該數(shù)據(jù)�,○否則�,對該數(shù)據(jù)應用一個或多個分析過濾器。
2.根據(jù)權(quán)利要求1所述的保護方法����,其特征在于過濾步驟(104)包括數(shù)據(jù)的語法分析 階段,所述階段根據(jù)用于傳輸該數(shù)據(jù)的協(xié)議檢查該數(shù)據(jù)的格式的有效性�。
3.根據(jù)前述權(quán)利要求中任意一項所述的保護方法,其特征在于所述過濾步驟(104)包 括數(shù)據(jù)的語義分析階段����,所述階段檢查從網(wǎng)絡N2傳輸?shù)骄W(wǎng)絡m的響應相對于由網(wǎng)絡m傳 輸?shù)骄W(wǎng)絡N2的請求的一致性。
4 根據(jù)前述權(quán)利要求中任意一項所述的保護方法���,其特征在于過濾步驟(104)包括數(shù) 據(jù)的行為分析階段���,所述階段根據(jù)針對用于網(wǎng)絡m和網(wǎng)絡N2之間的互聯(lián)的預定場景,評估 在這兩個網(wǎng)絡之間的數(shù)據(jù)交換無害的可能性����,互聯(lián)場景基于由數(shù)據(jù)傳輸協(xié)議定義的控制器 的狀態(tài)來限定這些狀態(tài)之間的轉(zhuǎn)換的期望持續(xù)時間����。
5.根據(jù)前述權(quán)利要求中任意一項所述的保護方法�,其特征在于過濾步驟(104)包括對 由第一協(xié)議格式化的數(shù)據(jù)進行轉(zhuǎn)錄的階段,從而將其重譯為由第二協(xié)議格式化的數(shù)據(jù)�。
6.一種建立雙向通信信道的裝置,該雙向通信信道位于至少第一網(wǎng)絡m和安全等級 低于第一網(wǎng)絡m的第二網(wǎng)絡N2之間�����,該裝置包括加密模塊(302)和解密模塊(303)��,其 特征在于該裝置包括至少第一路由模塊(301)�����、第二路由模塊(305)和過濾模塊(304)����, 該第一路由模塊(301)將源自第一網(wǎng)絡m的數(shù)據(jù)包引導到加密模塊(302)或過濾模塊 (304),第二路由模塊(305)將源自第二網(wǎng)絡N2的數(shù)據(jù)包引導到解密模塊(303)或過濾模 塊(304)��,過濾模塊(304)實現(xiàn)如前述權(quán)利要求中任意一項所述的保護方法��。
全文摘要
本發(fā)明涉及一種用于保護位于至少網(wǎng)絡N1和安全等級低于網(wǎng)絡N1的網(wǎng)絡N2之間的雙向通信信道的方法,���,以及實現(xiàn)該方法的裝置。該方法包括至少以下步驟限定一種或多種被授權(quán)從N1傳輸?shù)絅2的數(shù)據(jù)類型��;根據(jù)該數(shù)據(jù)類型�,將數(shù)據(jù)引導到加密/解密模塊或過濾模塊。本發(fā)明特別用于在具有不同安全等級的多個網(wǎng)絡之間建立通信�。
文檔編號H04L29/06GK101911639SQ200880123527
公開日2010年12月8日 申請日期2008年11月27日 優(yōu)先權(quán)日2007年11月30日
發(fā)明者D·卡佩, J-Y·厄澤納, S·貝爾東 申請人:泰勒斯公司