一种用于防火墙的安全系统(1)和方法。该系统包括:和应用程序(APP)通信的装置(11),该应用程序(APP)被提供用于通过该防火墙进行连接;识别由该应用程序(APP)提供的至少一个委托参数的装置(12),该识别装置(12)被提供,用于当委托参数遵照至少一个参考参数(PARA0)时,确认该应用程序能够建立连接;以及命令装置(13),用于根据来源于该应用程序的请求来建立连接。该安全系统还包括产生参考参数(PARA0)的装置(20),该产生装置(20)包括:自动产生装置(21),和/或用于自动地把参考参数分发给许可用户列表的命令装置(22)。从而,有可能预先把要提供为委托参数的参考参数传送给用户。
【技术实现步骤摘要】
本专利技术涉及用于防火墙的安全系统和方法,并涉及相关联的计算机程序。
技术介绍
因特网上的服务的快速发展将其成功部分地归功于极其容易互连以及进行所有种类的数据交换。然而,某些不合需要的数据流可能在网络上传播,并造成有害的效应(尤其是通信拥塞),乃至传输非法程序(病毒、蠕虫等)。当前用于补救这些问题的解决方法是在需要保护的网络(专用网)的入口处设置配备有防火墙的网关,也被称为网口(portal),用于专用网和因特网之间的安全接入。防火墙用于过滤进入和输出的数据流。因此,通过网口的任何分组都相对于已授权连接的列表而受到验证。网关可以采取三种类型的决策—如果分组属于已经被列为已授权的数据流,则该分组正常地通过网关,—如果分组属于已经被列为未被授权的数据流,则该分组不通过网关,以及—如果分组属于还未列出的数据流,则该分组即刻被阻塞,并且管理员被呼叫(交互式接口),来选择要采取的行动(授权或不授权)。实际上,随着因特网通信的稳定增加,“对等(peer-to-peer)”应用的成功,以及动态地创建新连接的多媒体应用的出现,安全网关管理员的负荷不断地在增加。因此,一般而言,表明形势是不能令人满意的,与得益于保护的专用网是由单一机器组成还是由几个机器组成无关。因此,当该网络被简化为单一机器,该单一机器也起安全网关的作用,则应用软件程序(或应用程序)的最终用户也是管理员。因此,他与机器的交互作用不断地被无吸引力的管理任务所中断。此外,当专用网由具有几个用户和几个应用程序的几个机器组成时,管理员难以快速地作出正确的决策,尤其是当他不是专家时(通常相对于家庭网络)。尤其是,常常难以知道应用程序实际上选择的端口值。在企业网络中,常常通过阻挡任何对等的连接,以及通过阻塞某些种类的数据流,诸如依据用户数据报协议(UDP)的数据流,来相当简单地限制安全网关。因此,降低了通信应用程序的性能和类型。文献EP-A2-0.910.197公开了一种改进的防火墙,该防火墙通过应用从几个可得的规则中选取的一个访问规则,来支持多个安全种类和/或多个用户。通过把(由防火墙管理员)预先加载的规则和动态规则结合起来使用,可以使防火墙处理变得更容易。例如,这种动态规则可以包括特定的源端口号和目的端口号,这种动态规则可以在任何时候由已授权的一方加载,该已授权的一方是,诸如信任应用程序,代理服务器,或者远程防火墙管理员。这些动态规则可以用作单一会话,具有随时间过去的有限使用,或者仅仅当某些条件满足时才被使用。这种解决方法提供了很高的灵活性,来适应防火墙中的过滤规则,并且使大大减少安全网关管理员的介入成为可能。尤其是,这种解决方法可以把某些连接授权任务的委托授权给满足某些准则(通常通过检验接收的消息的源和/或应用程序的类型来验证)的应用程序,代理服务器,或者远程管理员。然而,该技术引入了关于恶意侵入的系统弱点,并且尤其使以下成为可能按照选择的准则而被许可的非法应用程序渗透及改变安全规则。周知的技术还有,把防病毒系统实施在安全网关中,该防病毒系统负责阻止包括已识别病毒的所有应用程序。虽然这种技术可能是有用的,乃至可能是不可缺少的,但是这种技术仅仅用于,基于对已知的破坏性寄生程序的识别,或者满足特定的排除准则,来提供相当有限的过滤。另一方面,当应用程序不包含能够基于选择的准则识别的病毒时,相对于这些可能造成危害的应用程序而言,这种技术是无效的。另外,这种技术没有解决,在可接受的先验的应用程序的情况下,连接的授权和不授权的问题。一种改善防火墙的安全条件的诱人解决方法是,通过使检验倍增,来紧缩可适用的选择规则。根据现有文献EP-A2-0.910.197中公开的技术,规则的这种紧缩不仅可以适用于连接授权,而且可适用于信任应用程序、代理服务器或远程防火墙管理员的许可准则。例如,把任务委托给远程管理员将不仅需要他的源地址的检验,而且需要目的端口的检验和应用程序性质的检验。该解决方法能够用于提高系统的可靠性,但是不利于使用的灵活性。另外,该解决方法将在防火墙处的操作中需要更复杂和更高成本的处理,来收集要测试的数据以及执行验证算法。此外,相对于有可能授权和阻挡连接的用户,已经建议增强访问防火墙的安全性。这种类型的技术是基于用户的鉴定,并且特别是基于发送口令给防火墙系统,以便检验需要访问的用户的身份。因此,专利申请US-2003/0233582描述了一种用于网络防火墙的方法,这种防火墙可以通过鉴定机制被动态地配置。除预先加载的访问规则以外,可以使用动态规则,这些规则由防火墙管理员来添加或删除。为此,客户开启与防火墙管理员的会话,并且一旦被鉴定,就可以访问防火墙。专利US-6609154公开了一种通过对客户进行本地鉴定来控制网络访问的方法。为此的网络设备能够截取由客户发起的、并发往网络资源的网络通信的一项。如果鉴定成功,则网络设备被动态地配置,以便授权网络通信到达资源。这种技术降低了欺骗机器用户的身份的风险。然而,这种技术迫使相当复杂的本地管理,该本地管理用于考虑所有的许可用户和分别与这些用户相关联的鉴定参数。当几个用户使用同一个机器,例如具有Unix操作系统的同一机器,这种复杂性更大。另外,动态更改权限(例如,如果在预先定义的期间授予许可)的包括进一步增加了处理难度。
技术实现思路
本专利技术涉及用于防火墙的安全系统,该安全系统使防火墙处的分组过滤的高可靠性成为可能,同时能够在操作中使用相对简单、且成本不高的处理。另外,本专利技术的安全系统能够授权恶意侵入的风险的大大减少,以及能够大大简化配备有防火墙的安全网关的管理员的任务。本专利技术也涉及具有上述优点的安全方法和计算机程序。本专利技术特别适用于家庭网络和尤其是诸如因特网的广域外部网络之间的连接。为此,本专利技术尤其涉及用于防火墙的安全方法,该方法包括以下步骤和应用程序通信,该应用程序被提供以便通过防火墙进行连接,自动地识别由该应用程序提供的至少一个委托参数,以及当该委托参数遵照存储空间中记录的至少一个参考参数时,自动地确认应用程序能够通过防火墙建立连接,以及命令通过防火墙自动地建立连接,这些命令是基于来源于应用程序的请求的。根据本专利技术,该安全方法还包括步骤把要提供为委托参数的参考参数,预先发送给该应用程序的至少一个用户。从而,本专利技术的方法和现有的防病毒程序的不同之处在于通过与一个或多个参考参数进行比较,来识别一个或多个委托参数,如果一致,则应用程序能够建立连接。相反,具有防病毒程序的系统通过取消被认为是病毒载体的应用程序,通过排除,来执行后续的动作。在相反的情况下,允许它们通过。和文献EP-A2-0.910.197中公开的技术相比,本专利技术的方法使用了委托参数,该委托参数预先被传送给许可的用户。从而,该参数用作许可证标识符,随后如果这些用户首先给出该许可证标识符,则该许可证标识符允许这些用户为他们的应用程序获得在防火墙建立连接的权利。相反,在以上的现有技术中,委托参数是通过收到的消息的起源或性质被强加的,并且包括,例如源地址或者用于应用程序的协议实体。因此,委托参数自动地、隐含地被应用程序提供在被传送给防火墙的数据中。通过用户的自愿行动来验证本专利技术的方法的模式意想不到地与公知技术形成对照,其中用户实际上没有要采取的特殊行动,防火墙负责根据本文档来自技高网...
【技术保护点】
一种用于防火墙(10)的安全系统(1),包括:和应用程序(APP)通信的装置(11),所述应用程序(APP)被提供用于通过所述防火墙(10)进行连接,识别由所述应用程序(APP)提供的至少一个委托参数的装置(12),所述识别 装置(12)被提供,用于当所述委托参数遵照存储空间(30)中记录的至少一个参考参数(PARA0)时,确认所述应用程序能够通过防火墙(10)建立连接,以及命令装置(13),用于通过防火墙(10)建立连接,所述命令(CMD)是基于来源于 所述应用程序(APP)的请求的,其特征在于,所述安全系统(1)还包括产生所述参考参数(PARA0)的装置(20),所述产生装置(20)包括自动地产生要被记录在存储空间(30)中的所述参考参数(PARA0)的装置(21)。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:菲利普博德斯,菲利普吉约泰尔,蒂埃里维耶拉尔,
申请(专利权)人:汤姆森许可贸易公司,
类型:发明
国别省市:FR[法国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。