一种安全通信控制方法
【技术领域】
[0001] 本发明涉及可信计算及网络通信领域,具体而言,涉及一种安全通信控制方法。
【背景技术】
[0002] 随着信息技术的发展,网络通信安全已成为制约信息发展的重要问题。如何保障 网络互联安全,实现网络中各设备间安全通信,已成为目前急需解决的问题。
[0003] 当前,主要是通过网络中的终端通过入侵检测和病毒防护等技术,对自身接收到 的信息进行安全检测,排查恶意攻击的非法信息,以保障网络通信的安全。
[0004]但是通过入侵检测和病毒防护等技术只能检测出终端接收到的信息中是否包含 病毒或木马,而无法对不同网域之间的通信进行安全控制,终端可能向其无访问权限的网 域发送信息,也可能接收到来自无访问权限的网域的终端发送的信息。
【发明内容】
[0005]有鉴于此,本发明实施例的目的在于提供一种安全通信控制方法,实现不同网域 之间的安全通信。
[0006]第一方面,本发明实施例提供了一种安全通信控制方法,所述方法包括:
[0007] 可信终端通过网络过滤驱动截获数据包,根据所述数据包的源地址和目的地址, 判断所述数据包的类型,所述数据包的类型包括流出型和流入型;
[0008] 当判断出所述数据包的类型为流出型时,所述可信终端根据所述目的地址和终端 安全策略文件对所述数据包进行安全处理;
[0009] 当判断出所述数据包的类型为流入型时,所述可信终端根据所述源地址和所述终 端安全策略文件对所述数据包进行安全检验。
[0010] 结合第一方面,本发明实施例提供了上述第一方面的第一种可能的实现方式,其 中,所述可信终端根据所述目的地址和终端安全策略文件对所述数据包进行安全处理,包 括:
[0011] 所述可信终端根据所述目的地址,判断接收终端是否与所述可信终端位于同一可 信网关对应的范围内;
[0012] 如果是,则发送所述数据包给所述接收终端;如果否,则根据所述目的地址和终端 安全策略文件包括的访问控制表,判断所述接收终端是否属于例外设备;
[0013] 如果属于例外设备,将所述数据包发送给所述接收终端;如果不属于例外设备,则 为所述数据包生成流标签,将所述流标签添加在所述数据包中,将添加所述流标签的所述 数据包发送给所述接收终端。
[0014] 结合第一方面的第一种可能的实现方式,本发明实施例提供了上述第一方面的第 二种可能的实现方式,其中,所述为所述数据包生成流标签,将所述流标签添加在所述数据 包中,包括:
[0015]所述可信终端获取自身所属的安全域的安全等级;
[0016] 根据所述数据包的端口号从所述终端安全策略文件包括的标签配置表中获取所 述端口号对应的优先级别;
[0017] 从所述终端安全策略文件包括的组播密钥表中获取所述可信终端所属的安全域 的标识及所述安全域对应的组播密钥;
[0018] 通过所述组播密钥对所述安全域的标识、所述安全等级、所述优先级别、所述数据 包的源地址、目的地址、虚拟机标识、预留字段及数据段进行哈希运算,得到校验值;
[0019] 将所述安全域的标识、所述优先级别、所述虚拟机标识、所述预留字段和所述校验 值组成所述数据包的流标签,将所述流标签添加到所述数据包的数据包头中。
[0020] 结合第一方面,本发明实施例提供了上述第一方面的第三种可能的实现方式,其 中,所述可信终端根据所述源地址和所述终端安全策略文件对所述数据包进行安全检验, 包括:
[0021] 所述可信终端判断所述数据包的数据包头中是否包含流标签;
[0022] 若判断出不包含流标签,则根据所述数据包的源地址和所述终端安全策略文件包 括的访问控制表,判断发送终端是否为例外设备,如果是,则接收所述数据包,如果否,则丢 弃所述数据包;
[0023] 若判断出包含流标签,则对所述流标签进行检验,若检验通过,则接收所述数据 包,若检验未通过,则丢弃所述数据包。
[0024] 结合第一方面的第三种可能的实现方式,本发明实施例提供了上述第一方面的第 四种可能的实现方式,其中,所述对所述流标签进行检验,包括:
[0025] 获取所述流标签包括的安全域的标识、优先级别、虚拟机标识、预留字段和校验 值,以及从所述数据包中获取源地址、目的地址及数据段;
[0026] 根据所述安全域的标识,获取所述安全域的组播密钥及安全等级;
[0027] 通过所述组播密钥对所述安全域的标识、所述虚拟机标识、所述预留字段、所述安 全等级、所述优先级别、所述数据包的源地址、目的地址及数据段进行哈希运算,将哈希运 算的值与所述校验值进行比较,若两者相同,则检验通过,若两者不相同,则检验未通过。
[0028] 结合第一方面,本发明实施例提供了上述第一方面的第五种可能的实现方式,其 中,所述方法还包括:
[0029] 所述可信终端接收管理中心发送的终端安全策略文件,所述终端安全策略文件包 括标签配置表、组播密钥表、访问控制表及安全域相关表;
[0030] 所述可信终端记录访问行为信息,将所述访问行为信息组成终端安全日志,并每 隔第一预设时间段发送所述终端安全日志给所述管理中心。
[0031] 第二方面,本发明实施例提供了一种安全通信控制方法,所述方法包括:
[0032] 可信网关接收终端发送的数据包,判断所述数据包是否包含流标签;
[0033] 若判断出不包含流标签,则根据所述数据包的源地址和网关安全策略文件包括的 例外设备列表,判断所述终端是否为例外设备,如果是,则转发所述数据包,如果否,则丢弃 所述数据包;
[0034] 若判断出包含流标签,则根据所述网关安全策略文件对所述流标签进行检验,若 检验通过,则转发所述数据包,若检验未通过,则丢弃所述数据包。
[0035] 结合第二方面,本发明实施例提供了上述第二方面的第一种可能的实现方式,其 中,所述可信网关接收终端发送的数据包之前,还包括:
[0036] 所述可信网关接收管理中心发送的网关安全策略文件,所述网关安全策略文件包 括例外设备列表、验签策略表及安全域组播密钥表。
[0037] 结合第二方面,本发明实施例提供了上述第二方面的第二种可能的实现方式,其 中,所述方法还包括:
[0038] 所述可信网关记录数据包异常信息,将所述数据包异常信息组成网关安全日志, 并每隔第二预设时间段将所述网关安全日志发送给管理中心。
[0039] 第三方面,本发明实施例提供了一种安全通信控制方法,所述方法包括:
[0040] 管理中心发送终端安全策略文件给可信终端,以及发送网关安全策略文件给可信 网关,使所述可信终端根据所述终端安全策略文件进行安全通信控制,以及使所述可信网 关根据所述网关安全策略文件进行安全通信控制;
[0041] 所述管理中心接收所述可信终端发送的终端安全日志,以及接收所述可信网关发 送的网关安全日志,根据所述终端安全日志及所述网关安全日志分别对所述可信终端和所 述可信网关进行安全监控。
[0042] 在本发明实施例提供的方法中,管理中心为可信终端配置终端安全策略文件,以 及为可信网关配置网关安全策略文件。可信终端根据终端安全策略文件对流入或流出可信 终端的数据包进行安全控制。可信网关根据网关安全策略文件对经过可信网关的数据包进 行安全控制。如此可以实现不同网域之间的安全通信,避免无访问权限的网域之间的恶意 访问。
[0043] 为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合 所附附图,作详细说明如下。
【附图说明】
[0044] 为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附 图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对 范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这 些附图获得其他相关的附图。
[0045] 图1示出了本发明实施例1所提供的一种安全通信控制的方法流程图;
[0046] 图2A示出了本发明实施例2所提供的一种安全通信控制的信令交互图;
[0047] 图2B示出了本发明实施例2所提供的一种可信终端处理数据包的示意图;
[0048] 图2C不出了本发明实施例2所提供的一种验签策略不意图;
[0049] 图2D示出了本发明实施例2所提供的一种通信网络示意图;
[0050]图3示出了本发明实施例3所提供的一种安全通信控制的系统结构示意图。
【具体实施方式】
[0051] 下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整 地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在 此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因 此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的 范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做 出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0052] 考虑到相关技术中无法对不同网域之间的通信进行安全控制,终端可能向其无访 问权限的网域发送信息,也可能接收到来自无访问权限的网域的终端发送的信息。基于此, 本发明实施例提供了一种安全通信控制方法。下面通过实施例进行描述。
[0053] 实施例1
[0054] 参见图1,本发明实施例提供了一种安全通信控制方法。该方法具体包括以下步 骤:
[0055] 步骤101 :管理中心发送终端安全策略文件