本發明公開了一種網絡傳輸的安全狀態管理方法，包括：攔截從遠程計算機或虛擬機上的一個或多個源指向本地連接的加密處理器的命令，從而獲得截取的命令序列；將一組一個或多個安全規則應用于截獲的命令序列以獲得修改的命令序列；將修改的命令序列指向加密處理器；從加密處理器接收對修改的命令序列中的每個命令的響應；和基于加密處理器響應和一組一個或多個安全規則，向一個或多個源提供對每個被截取命令的答復。

技術領域

本發明涉及互聯網技術領域，具體而言，涉及一種網絡傳輸的安全狀態管理方法及系統。

背景技術

隨著Internet的發展，網絡安全問題也越發突出，尤其是如何利用因特網進行加密通信目前已經成為一個熱點問題。目前主要通過虛擬網卡SSL VPN技術來解決這一問題。但是利用虛擬網卡進行通信需要安裝VPN客戶端，對通信報文進行加密和封裝，因此這種加密方式屬于軟件加密范疇。需要進行SSL VPN加密的報文無論是發送還是接收都會兩次經過協議棧的處理，這自然會在一定程度上導致數據交換性能下降。通過對虛擬網卡的SSLVPN技術數據包發送流程分析可知，發送端主機與外界有兩個交換通道，從而當發送端主機在建立SSL隧道后并未切斷與Internet的數據交互，可能會受到來自Internet的攻擊，因此基于虛擬網卡的SSL VPN技術存在安全問題。

VPN客戶端通常是在操作系統核心層安裝一個數據截獲的模塊，VPN客戶端的開發只能針對特定的Windows、Linux操作系統，無法廣泛應用于大型設備中。為了解決基于虛擬網卡的SSL VPN技術的數據交換性能低、安全性不高、適用范圍有限等問題，急需提供一種基于硬件加密的安全網絡傳輸方法。

發明內容

本發明提出了一種網絡傳輸的安全狀態管理方法，包括：

攔截從遠程計算機或虛擬機上的一個或多個源指向本地連接的加密處理器的命令，從而獲得截取的命令序列；

將一組一個或多個安全規則應用于截獲的命令序列以獲得修改的命令序列；

將修改的命令序列指向加密處理器；

從加密處理器接收對修改的命令序列中的每個命令的響應；和

基于加密處理器響應和一組一個或多個安全規則，向一個或多個源提供對每個被截取命令的答復。

所述的方法，其中所述攔截，應用，指導，接收和提供操作由具有加密處理器作為物理連接外圍設備的客戶計算機執行，其中客戶端計算機通過網絡耦合到遠程計算機或虛擬機，以及其中所述一組一個或多個安全規則防止用戶提供的認證信息穿過網絡。

所述的方法，還包括：

監控加密處理器是否處于認證狀態，

其中該組包括至少一個安全規則，該安全規則延遲用于加密操作的截取命令，直到該加密處理器處于認證狀態；還包括：檢測到加密處理器未處于認證狀態；在修改的命令序列中插入一個或多個命令，以將加密處理器置于認證狀態；還包括：在所述插入之前，提示用戶提供個人識別碼(PIN)或其他識別信息；和至少部分地基于用戶提供的信息生成一個或多個插入的命令。

所述的方法，還包括：丟棄用戶提供的信息以防止在所述生成之后進一步使用；在所述插入之前，利用獨立于所述加密處理器的安全機制執行認證過程；所述安全機制是基于加密處理器的智能卡或可信平臺模塊；還包括：

監控加密處理器是否處于認證狀態，其中，所述集合包括至少一個安全規則，該安全規則在達到認證狀態之后保留安全狀態。

所述的方法，所述至少一個安全規則防止所述修改的命令序列具有將破壞所述認證狀態的命令；還包括：基于來自加密處理器的響應確定加密處理器所屬的類，其中所述集包括至少一個安全規則，該安全規則基于加密處理器的類阻止所有或至少一些預定類型的響應信息被包括在對所述一個或多個源的所述答復中。