一种基于网络安全的镜像方法及系统转让专利
申请号 : CN200910237454.X
文献号 : CN101707561B
文献日 : 2012-06-06
发明人 : 张洁 , 周炎金
申请人 : 中兴通讯股份有限公司
摘要 :
本发明公开了一种基于网络安全的镜像方法,该方法包括:用户启用设置的无镜像(NO-MIRROR)选项;将用户的身份标识信息写入设置的NO-MIRROR表;在执行镜像操作之前检查NO-MIRROR表,根据采用流镜像方式或端口镜像方式时与NO-MIRROR表匹配的不同结果,分别执行拒绝用户的流量被镜像的操作。本发明还公开了一种基于网络安全的镜像系统,该系统中,拒绝被镜像执行单元,用于在执行镜像操作之前检查NO-MIRROR表,根据采用流镜像方式或端口镜像方式时与NO-MIRROR表匹配的不同结果,分别执行拒绝用户的流量被镜像的操作。采用本发明的方法及系统,能有效地防止流量被镜像。
权利要求 :
1.一种基于网络安全的镜像方法,其特征在于,该方法包括:
用户启用设置在客户端的无镜像NO-MIRROR选项;
将所述用户的身份标识信息写入设置在服务器的NO-MIRROR表;
在采用流镜像方式或端口镜像方式执行镜像操作之前检查NO-MIRROR表,当流量与NO-MIRROR表相匹配时,执行拒绝所述用户的流量被镜像的操作。
2.根据权利要求1所述的方法,其特征在于,所述在采用流镜像方式或端口镜像方式执行镜像操作之前检查NO-MIRROR表,当流量与NO-MIRROR表相匹配时,执行拒绝所述用户的流量被镜像的操作的步骤具体包括:采用流镜像方式执行镜像操作之前检查NO-MIRROR表;
将通过访问控制列表匹配到的流量与NO-MIRROR表进行匹配;
当获取到与NO-MIRROR表中所述用户的身份标识信息相匹配的流量时,执行拒绝当前匹配的流量被镜像的操作。
3.根据权利要求1所述的方法,其特征在于,所述在采用流镜像方式或端口镜像方式执行镜像操作之前检查NO-MIRROR表,当流量与NO-MIRROR表相匹配时,执行拒绝所述用户的流量被镜像的操作的步骤具体包括:采用端口镜像方式执行镜像操作之前检查NO-MIRROR表;
将源端口中的所有流量与NO-MIRROR表进行匹配;
当获取到与NO-MIRROR表中所述用户的身份标识信息相匹配的流量时,执行拒绝整个源端口的流量被镜像的操作。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述用户的身份标识信息包括:用户的网际协议(IP)地址、或媒体接入控制(MAC)地址。
5.一种基于网络安全的镜像系统,其特征在于,该系统包括:启用单元、写入单元和拒绝被镜像执行单元;其中,启用单元,用于用户启用设置在客户端的无镜像NO-MIRROR选项;
写入单元,用于将所述用户的身份标识信息写入设置在服务器的NO-MIRROR表;
拒绝被镜像执行单元,用于在采用流镜像方式或端口镜像方式执行镜像操作之前检查NO-MIRROR表,当流量与NO-MIRROR表相匹配时,执行拒绝所述用户的流量被镜像的操作。
6.根据权利要求5所述的系统,其特征在于,所述拒绝被镜像执行单元,具体用于采用流镜像方式执行镜像操作之前检查NO-MIRROR表;将通过访问控制列表匹配到的流量与NO-MIRROR表进行匹配;当获取到与NO-MIRROR表中所述用户的身份标识信息相匹配的流量时,执行拒绝当前匹配的流量被镜像的操作。
7.根据权利要求5所述的系统,其特征在于,所述拒绝被镜像执行单元,具体用于采用端口镜像方式执行镜像操作之前检查NO-MIRROR表;将源端口中的所有流量与NO-MIRROR表进行匹配;当获取到与NO-MIRROR表中所述用户的身份标识信息相匹配的流量时,执行拒绝整个源端口的流量被镜像的操作。
说明书 :
一种基于网络安全的镜像方法及系统
技术领域
[0001] 本发明涉及网络通信安全技术,尤其涉及一种用来保护重要数据流量在传输过程中基于网络安全的镜像方法及系统。
背景技术
[0002] 镜像是将网络上符合预设匹配条件的流量复制到目的端口,实现对网络的监听和检测。分为端口镜像和流镜像两种具体实现方式。
[0003] 采用端口镜像方式时,需要配置镜像的源端口和目的端口。实现时将源端口接收到的所有流量都复制到目的端口,以实现对于源端口所有流量的监测,这种镜像方法比较简单和直接,容易实现,比较适用于大范围网络监听的情况。缺点是对于流量没有挑选性,属于无选择地复制来自源端口的所有流量。来自源端口的所有流量被全部监听,增加了监听的工作量。
[0004] 采用流镜像方式时,正好完善了端口镜像的这个缺点,它与访问控制列表有效的结合在一起,是有选择地复制来自源端口的流量,流镜像仅将访问控制列表允许的流量复制到镜像的目的端口。访问控制列表可以根据流量的协议号、源网际协议(IP)地址、目的IP地址、源媒体接入控制(MAC)地址、目的MAC地址、端口号等特性,有效的对流量进行控制。流镜像巧妙的和访问控制列表结合在一起,这样就避免了其他不关心的流量对监听工作造成的困扰,增加了针对性,提高了监听工作的效率。以下对采用端口镜像方式、流镜像方式实现流量被镜像的流程进行举例阐述。
[0005] 如图1所示为现有技术中流量被镜像的流程图,该流程包括以下步骤:
[0006] 步骤101、用户登录服务器;流量在网络上正常传输。
[0007] 步骤102、判断是否有机构打算监听该流量;如果是,则执行步骤103;否则,转入执行步骤107。
[0008] 步骤103、判断是否使用流镜像方式,如果是,则执行步骤105;否则,转入执行步骤104。
[0009] 步骤104、使用端口镜像方式,匹配到源端口的所有流量;转入执行步骤[0010] 106。
[0011] 步骤105、根据访问控制列表匹配到流量。
[0012] 步骤106、流量被镜像、监听。
[0013] 步骤107、流量传输到目的端口。
[0014] 但是随着网络通信的不断发展,网络上出现了很多不法、非法的行为,严重影响了网络通信的安全,在网络上传送信息变得不再安全由于存在着端口镜像、流镜像这样的业务,传送的信息在网络的任何一个地方都有可能很容易地被不法分子复制获得。一些个人隐私、商业秘密,甚至国家机密都受到了严重的威胁。如何保证网络通信的安全,防止诸如个人隐私、商业秘密,国家机密等重要数据流量不被随意镜像,成了当下网络通信的一件刻不容缓的事情。然而,目前尚未存在防止流量被镜像的实现方案。
发明内容
[0015] 有鉴于此,本发明的主要目的在于提供一种基于网络安全的镜像方法及系统,能有效地防止流量被镜像,从而保证流量在传输过程中的网络通信安全。
[0016] 为达到上述目的,本发明的技术方案是这样实现的:
[0017] 一种基于网络安全的镜像方法,该方法包括:
[0018] 用户启用设置在客户端的无镜像(NO-MIRROR)选项;
[0019] 将所述用户的身份标识信息写入设置在服务器的NO-MIRROR表;
[0020] 在采用流镜像方式或端口镜像方式执行镜像操作之前检查NO-MIRROR表,当流量与NO-MIRROR表相匹配时,执行拒绝所述用户的流量被镜像的操作。
[0021] 其中,所述在采用流镜像方式或端口镜像方式执行镜像操作之前检查NO-MIRROR表,当流量与NO-MIRROR表相匹配时,执行拒绝所述用户的流量被镜像的操作的步骤具体包括:
[0022] 采用流镜像方式执行镜像操作之前检查NO-MIRROR表;
[0023] 将通过访问控制列表匹配到的流量与NO-MIRROR表进行匹配;
[0024] 当获取到与NO-MIRROR表中所述用户的身份标识信息相匹配的流量时,执行拒绝当前匹配的流量被镜像的操作。
[0025] 其中,所述在采用流镜像方式或端口镜像方式执行镜像操作之前检查NO-MIRROR表,当流量与NO-MIRROR表相匹配时,执行拒绝所述用户的流量被镜像的操作的步骤具体包括:
[0026] 采用端口镜像方式执行镜像操作之前检查NO-MIRROR表;
[0027] 将源端口中的所有流量与NO-MIRROR表进行匹配;
[0028] 当获取到与NO-MIRROR表中所述用户的身份标识信息相匹配的流量时,执行拒绝整个源端口的流量被镜像的操作。
[0029] 其中,所述用户的身份标识信息包括:用户的网际协议(IP)地址、或媒体接入控制(MAC)。
[0030] 一种基于网络安全的镜像系统,该系统包括:启用单元、写入单元和拒绝被镜像执行单元;其中,
[0031] 启用单元,用于用户启用设置在客户端的无镜像NO-MIRROR选项;
[0032] 写入单元,用于将所述用户的身份标识信息写入设置在服务器的NO-MIRROR表;
[0033] 拒绝被镜像执行单元,用于在采用流镜像方式或端口镜像方式执行镜像操作之前检查NO-MIRROR表,当流量与NO-MIRROR表相匹配时,执行拒绝所述用户的流量被镜像的操作。
[0034] 其中,所述拒绝被镜像执行单元,具体用于采用流镜像方式执行镜像操作之前检查NO-MIRROR表;将通过访问控制列表匹配到的流量与NO-MIRROR表进行匹配;当获取到与NO-MIRROR表中所述用户的身份标识信息相匹配的流量时,执行拒绝当前匹配的流量被镜像的操作。
[0035] 其中,所述拒绝被镜像执行单元,具体用于所述端口镜像方式执行镜像操作之前检查NO-MIRROR表;将源端口中的所有流量与NO-MIRROR表进行匹配;当获取到与NO-MIRROR表中所述用户的身份标识信息相匹配的流量时,执行拒绝整个源端口的流量被镜像的操作。
[0036] 本发明用户启用设置的无镜像(NO-MIRROR)选项;将用户的身份标识信息写入设置的NO-MIRROR表;在执行镜像操作之前检查NO-MIRROR表,根据采用流镜像方式或端口镜像方式时与NO-MIRROR表匹配的不同结果,分别执行拒绝用户的流量被镜像的操作。
[0037] 采用本发明,通过增加的NO-MIRROR表,以及在启动增设的NO-MIRROR选项后,在NO-MIRROR表中写入用户的身份标识信息,可以标识拒绝被镜像的用户;在执行镜像操作之前检查NO-MIRROR表,根据与NO-MIRROR表匹配的不同结果,分别执行拒绝用户的流量被镜像的操作,有效地防止了拒绝被镜像的用户流量被镜像,从而保证了流量在传输过程中的网络通信安全。
附图说明
[0038] 图1为现有技术中流量被镜像的流程图;
[0039] 图2为本发明方法实施例一的实现流程图;
[0040] 图3为本发明方法实施例二的实现流程图。
具体实施方式
[0041] 本发明的基本思想是:用户启用设置的NO-MIRROR选项;将用户的身份标识信息写入设置的NO-MIRROR表;在执行镜像操作之前检查NO-MIRROR表,根据采用流镜像方式或端口镜像方式时与NO-MIRROR表匹配的不同结果,分别执行拒绝用户的流量被镜像的操作。
[0042] 下面结合附图对技术方案的实施作进一步的详细描述。
[0043] 一种基于网络安全的镜像方法,该方法包括以下步骤:
[0044] 步骤201、用户启用设置的NO-MIRROR选项。
[0045] 这里,本发明中启用NO-MIRROR选项的用户为拒绝被镜像的用户,以下不作赘述。区别与现有技术,本发明的用户可以在其客户端上新增一个NO-MIRROR选项,如果用户不希望用户数据流量在之后的流量传输中被镜像,则当用户通过客户端登录到服务器时,可以启用设置的NO-MIRROR选项,以与在服务器侧设置的NO-MIRROR表相配合,防止流量被镜像;如果用户不关心用户数据流量在之后的流量传输中是否会被镜像,则当用户通过客户端登录到服务器时,可以不启用设置的NO-MIRROR选项。
[0046] 步骤202、将该用户的身份标识信息写入设置的NO-MIRROR表。
[0047] 这里,NO-MIRROR表设置于服务器侧。当用户通过服务器的认证,并成功登录到服务器后,服务器会将用户的身份标识信息写入设置的NO-MIRROR表。用户的身份信息用于唯一标识用户,表明符合身份标识信息的用户,其数据流量在之后的流量传输中不希望被镜像,以防止其他设备之后对该用户的数据流量进行镜像操作。
[0048] 步骤203、在执行镜像操作之前检查NO-MIRROR表,根据采用流镜像方式或端口镜像方式时与NO-MIRROR表匹配的不同结果,分别执行拒绝该用户的流量被镜像的操作。
[0049] 这里,其他设备在执行镜像操作之前需先检查NO-MIRROR表。由于采用流镜像方式或端口镜像方式时执行镜像操作的机制不同,因此,采用流镜像方式或端口镜像方式时与NO-MIRROR表匹配的机制不同,匹配结果也不同。从而需要根据不同的匹配结果,分别执行拒绝该用户的流量被镜像的操作。
[0050] 针对以上由步骤201~203构成的技术方案而言,采用不同的镜像方式执行镜像操作时,步骤203的具体实现有所不同,以下分两种情况分别阐述。
[0051] 第一种情况:采用流镜像方式执行镜像操作的情况。
[0052] 此时,步骤203的具体过程包括以下步骤:
[0053] 步骤2031a、采用流镜像方式执行镜像操作之前检查NO-MIRROR表。
[0054] 步骤2032a、将通过访问控制列表匹配到的流量与NO-MIRROR表进行匹配。
[0055] 步骤2033a、当获取到与NO-MIRROR表中该用户的身份标识信息相匹配的流量时,执行拒绝当前匹配的流量被镜像的操作,从而实现了拒绝该用户的流量被镜像的操作。
[0056] 第二种情况:采用端口镜像方式执行镜像操作的情况。
[0057] 此时,步骤203的具体过程包括以下步骤:
[0058] 步骤2031b、采用端口镜像方式执行镜像操作之前检查NO-MIRROR表。
[0059] 步骤2032b、将源端口中的所有流量与NO-MIRROR表进行匹配。
[0060] 步骤2033b、当获取到与NO-MIRROR表中该用户的身份标识信息相匹配的流量时,执行拒绝整个源端口的流量被镜像的操作,从而实现了拒绝该用户的流量被镜像的操作。
[0061] 这里,由于采用端口镜像方式是无选择复制,而流镜像方式是有选择复制,因此,采用端口镜像方式时,只要发现与NO-MIRROR表中该用户的身份标识信息相匹配的流量,就执行拒绝整个源端口的流量被镜像的操作。
[0062] 这里,用户的身份标识信息包括:用户的IP地址、或MAC地址等信息。这里的用户为拒绝被镜像的用户,即启用NO-MIRROR选项的用户。
[0063] 综上所述,本发明主要包括以下内容:
[0064] 本发明防止流量被镜像的方案是一种有效的网络安全方案。针对时下比较流行的端口镜像、流镜像方式,采用本发明提供的这种网络安全机制,用户可以选择自己的流量拒绝被镜像,保护网络用户的权益和网络通信的安全进行。
[0065] 本发明的技术方案主要包括:如果用户不希望自己的数据流量在流量传输过程中被其他个人或机构秘密监听,也就是不允许采用包括端口镜像、流镜像方式等的镜像方式,使流量被镜像到监听端口,那么可以在用户登陆的客户端上,新增一个NO-MIRROR选项,这样用户在认证登陆到服务器的时候,启用该NO-MIRROR选项。这样用户成功登陆到服务器后,服务器会自动将该用户的IP地址,MAC地址等信息存进NO-MIRROR表中,里面记载着该拒绝镜像用户的IP地址,MAC地址等信息。网络中不同设备比如交换机、路由器会定期交互这张NO-MIRROR表,更新其中的信息。
[0066] 现有技术中,由于采用流镜像方式是与访问控制列表相结合的,因此配置了流镜像方式是需要先通过访问控制列表,匹配到流量,然后将其复制到目的端口。采用本发明,由于用户登陆服务器时,设定了NO-MIRROR后,因此,如果有不法分子,想通过流镜像窃取某用户传输的流量,在流镜像指令配置完成后,设备首先执行访问控制列表,通过其中的规则,匹配到一定特征值的流量。这时,设备在执行镜像行为之前,还需要查找NO-MIRROR表,将访问控制列表匹配到的流量,在NO-MIRROR表中搜索一下,看看有没有也被NO-MIRROR表匹配的流量。如果没有,则采用流镜像功能执行镜像行为。如果有,则将该流量的流镜像功能设置失效,不进行复制该流量的操作。而仅将访问控制列表匹配到的、NO-MIRROR表没有匹配到的流量复制到目的端口。这样就可以起到防止重要数据流量在网络中传输时,被恶意窃取的问题。
[0067] 其中,以上涉及的设备包括:服务器和网络中的所有交换机、路由器。因为镜像可能不是只出现在服务器上,还可能出现在网络中的任何一个环节。以上涉及到的一定特征值指:由访问控制列表控制的特征值,包括:IP地址、MAC地址、虚拟局域网(VLAN)优先级、IP优先级等。
[0068] 现有技术中,采用端口镜像方式和流镜像方式不同,端口镜像方式不区分流,是将整个源端口的流量全部复制到目的端口。采用本发明,如果要实现同样的防止端口镜像的情况,需要在配置了端口镜像指令后,将源端口中的所有流量在NO-MIRROR表中进行查找。如果发现源端口流量中有NO-MIRROR表中记录的流量,则拒绝整个源端口流量的镜像工作。这样也能有效地确保用户数据流量的安全传输,防止重要数据流量在网络中传输时,被恶意窃取的问题。
[0069] 综上所述,与现有技术相比较,本发明是一种有利于网络安全通信的防止镜像的方案。在用户登陆的客户端上,新增一个NO-MIRROR选项,如果用户在认证登陆到服务器的时候,启用该NO-MIRROR选项,这样用户成功登陆到服务器后,服务器会自动将该用户的IP地址,MAC地址等信息存进NO-MIRROR表中,里面记载着该拒绝镜像用户的IP地址,MAC地址等信息。网络中不同交换机、路由器会定期交互这张NO-MIRROR表,更新其中的信息。设备在执行镜像行为之前,会先检查这张NO-MIRROR表,然后根据流镜像和端口镜像的不同实现机制,分别执行拒绝镜像的操作。
[0070] 以下对本发明进行举例阐述。
[0071] 方法实施例一:采用流镜像方式时,如图2所示,本发明增强网络安全通信的防止流镜像的流程包括以下步骤:
[0072] 步骤301:用户登陆服务器。
[0073] 步骤302:判断是否进行保密通信,即:是否拒绝用户的流量被镜像;如果是,则执行步骤303,否则执行步骤305。
[0074] 步骤303:服务器将该用户的信息记录进NO-MIRROR表。
[0075] 这里,该用户的信息即包括IP地址、MAC地址等的用户身份标识信息。
[0076] 步骤304:NO-MIRROR表在整个网络中交互。
[0077] 这里,交互即为:在整个网络中的设备,比如交换机、路由器中交互,并不断更新NO-MIRROR表。
[0078] 步骤305:用户通信的流量在网络中传输。
[0079] 步骤306:判断网络中是否有配置流镜像的情况,即:是否使用流镜像窃取该用户通信的流量;如果是,执行步骤307,否则执行步骤313。
[0080] 步骤307:查找访问控制列表匹配到的流量。
[0081] 步骤308:判断流量是否匹配到访问控制列表,如果是,则执行步骤309,否则执行步骤313。
[0082] 步骤309:查找NO-MIRROR表。
[0083] 步骤310:判断流量是否匹配到NO-MIRROR表,如果是,则执行步骤311,否则执行步骤312。
[0084] 步骤311:设备将该流量的流镜像功能设置为失效,即:不执行复制该流量到目的端口的流镜像操作;执行步骤313。
[0085] 步骤312:进行流镜像操作,即:将没有匹配上MIRROR表的流量,镜像到目的端口。
[0086] 步骤313:流量在网络中传输到达接收的目的端口。
[0087] 方法实施例二:采用端口镜像方式时,如图3所示,本发明增强网络安全通信的防止流镜像的流程包括以下步骤:
[0088] 步骤401:用户登陆服务器。
[0089] 步骤402:判断是否进行保密通信,即:是否拒绝用户的流量被镜像;如果是,则执行步骤403,否则执行步骤405。
[0090] 步骤403:服务器将该用户的信息记录进NO-MIRROR表。
[0091] 这里,该用户的信息即包括IP地址、MAC地址等的用户身份标识信息。
[0092] 步骤404:NO-MIRROR表在整个网络中交互。
[0093] 这里,交互即为:在整个网络中的设备,比如交换机、路由器中交互,并不断更新NO-MIRROR表。
[0094] 步骤405:用户通信的流量在网络中传输。
[0095] 步骤406:判断网络中是否有配置端口镜像的情况,即:是否使用端口镜像窃取该用户通信的流量;如果是,执行步骤407,否则执行步骤411。
[0096] 步骤407:查找NO-MIRROR表。
[0097] 步骤408:判断流量是否匹配到NO-MIRROR表,如果是,则执行步骤409,否则执行步骤410。
[0098] 步骤409:设备将该端口镜像功能设置为失效,即:不对该源端口的任何流量进行复制操作,也就是说,整个端口的所有流镜像失效;执行步骤411。
[0099] 步骤410:进行端口镜像操作,即:执行复制操作,将源端口的所有流量都镜像到目的端口。
[0100] 步骤411:流量在网络中传输到达接收的目的端口。
[0101] 一种基于网络安全的镜像系统,该系统包括:启用单元、写入单元和拒绝被镜像执行单元。其中,启用单元,用于用户启用设置的NO-MIRROR选项。写入单元,用于将该用户的身份标识信息写入设置的NO-MIRROR表。拒绝被镜像执行单元,用于在执行镜像操作之前检查NO-MIRROR表,根据采用流镜像方式或端口镜像方式时与NO-MIRROR表匹配的不同结果,分别执行拒绝用户的流量被镜像的操作。
[0102] 这里,由于采用不同的镜像方式执行镜像操作时,执行拒绝用户的流量被镜像的操作是不同的,因此,拒绝被镜像执行单元的具体实现有所不同,以下分别阐述。
[0103] 第一种具体实现:拒绝被镜像执行单元进一步用于采用流镜像方式执行镜像操作之前检查NO-MIRROR表;将通过访问控制列表匹配到的流量与NO-MIRROR表进行匹配;当获取到与NO-MIRROR表中该用户的身份标识信息相匹配的流量时,执行拒绝当前匹配的流量被镜像的操作。
[0104] 第二种具体实现:拒绝被镜像执行单元进一步用于采用端口镜像方式执行镜像操作之前检查NO-MIRROR表;将源端口中的所有流量与NO-MIRROR表进行匹配;当获取到与NO-MIRROR表中该用户的身份标识信息相匹配的流量时,执行拒绝整个源端口的流量被镜像的操作。
[0105] 以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。