【技術領域】

本發明涉及一種網絡安全通信實現形式-一種基于信任檢測的應用指紋通信方法及系統。

【背景技術】

現有的防火墻、VPN等安全產品都將建立一個安全的通信隧道，然而在這有效的安全隧道里卻難保證是何應用程序發出的數據報文到目的機器；IDS、反病毒產品對此是個補充，必須預先給出知識庫又給此補充帶來諸多麻煩和對不可預見威脅防范不可行；本方法通過基于信任檢測的應用指紋通信方法及系統，來保證在預先提供的通信隧道里，不論其是否相對安全，只傳輸指定的應用程序數據報文到目的機器。

【發明內容】

本發明的目的就是設計一種網絡安全通信實現形式，通過基于信任檢測的應用指紋通信方法及系統，使得客戶機與邊界設備間使用同一應用指紋進行做標識與識別加密與解密的步驟來保證在預先提供的通信隧道里，不論其是否相對安全，只傳輸指定的應用程序數據報文，基于信任檢測的應用指紋通信系統，其特征在于：包括客戶機模塊：用于與管理服務器認證并取得應用指紋，并用該應用指紋對預先指定的應用程序發出的數據進行標識和加密等；

管理服務器認證子模塊：用于與客戶機模塊認證，并產生應用指紋發給邊界設備模塊和認證子模塊等。

管理服務器管理子模塊：用于日常維護、管理、配置、結果查看、報表輸出等；

邊界設備模塊：用于識別并解密信任的數據報文，阻斷非信任的報文，并產生告警等。

所述管理服務器認證子模塊、管理服務器管理子模塊、邊界設備模塊均可以被物理地歸并為一到三個模塊。

基于信任檢測的應用指紋通信方法，其特征在于：包括：

步驟一：客戶機模塊向管理服務器驗證身份并請求獲得該次認證的應用指紋；

步驟二：當確認了客戶機身份，管理服務器將隨機產生本次認證的應用指紋，將客戶機的IP地址和MAC地址以及對應的應用指紋發給邊界設備，在邊界設備上形成白名單和應用指紋表；

步驟三：當得到邊界設備接受回應，服務器又將認證成功信號以及該應用指紋發回給客戶機模塊，否則給客戶機模塊發回認證失敗信號；

步驟四：客戶機模塊在應用指紋有效期內，對預先指定的應用程序發出的數據報文進行與應用指紋加密及做記號后發出，對其他應用程序發出的數據報文將不予理會或進行阻斷，在認證期間所有應用程序數據報文暫緩發送；

步驟五：邊界設備收到客戶機發來的數據報文后，判斷客戶機在白名單內則將數據報文與應用指紋表對應并解密，將解密后的數據報文發向目的機器，對與應用指紋無法匹配的數據報文將不予轉發，并按預先的設定給予報警；

步驟六：邊界設備對客戶機到管理服務器之間的認證信號將被特殊識別并通行。

當新的連接產生或應用指紋有效時間到達之前，客戶機模塊將重新以上步驟一到步驟五，如此保證只有指定的應用程序發出的數據報文才能從客戶機發到目的機器，使得目的機器不受客戶機的網絡攻擊威脅。

上述步驟一為客戶機模塊在新的連接創建或者舊的應用指紋將失效的時候主動向管理服務器發起的認證請求數據報文。

上述步驟二為管理服務器將認證內容與預先通過管理服務器管理子模塊存放在數據庫里的客戶機身份信息對比，確認身份后產生應用指紋。

上述步驟三明確表明邊界設備較客戶機更先接收到新的應用指紋。

上述步驟四，在認證期間所有應用程序數據報文暫緩發送。

上述步驟六描述特別申明邊界設備對客戶機到管理服務器之間的認證信號是特殊處理的。

本發明具有以下優點：

1、保證在預先提供的通信隧道里，不論其是否相對安全，只傳輸指定的應用程序數據報文。

2、無需關心非信任內容的特征，沒有特征庫升級等需求。

3、數據報文加密計算量小，傳輸效率高。

4、告警數據可進行二次挖掘，進行更深層的分析。

【附圖說明】

圖1是本實用新型基于信任檢測的應用指紋通信系統的結構示意圖；

圖2為客戶機模塊數據流程圖；

圖3為管理服務器的數據流程圖；

圖4為邊界設備的數據流程圖。

【具體實施方式】

圖1為本發明基于信任檢測的應用指紋通信系統的結構示意圖，見說明書附圖1。如圖所述本發明系統包括客戶機模塊11、管理服務器12，以及邊界設備13，

客戶機模塊11：用于與管理服務器認證并取得應用指紋，并用該應用指紋對預先指定的應用程序發出的數據進行標識和加密等；

其中管理服務器12包括管理服務器認證子模塊121和管理服務器管理子模塊122