[发明专利]安全网络体系结构

说明书

技术领域

本发明涉及网络安全，且更具体而言但不排他地，涉及在不安全网 络或网络集合(例如因特网)上提供安全的虚拟网络(例如，企业内部 网)。

背景技术

对公用网络和专用网络的用户而言，网络安全始终是一个问题。虚 拟专用网络(VPN)可用于在因特网之上扩展专用网络以例如允许远程用 户访问该专用网络。通常，一旦远程用户越过了防火墙，该用户就可对 该专用网络进行完全的访问。类似地，在专用网络内部连接的用户通常 也可对该网络进行完全的访问，或者基于在专用网络内的独立资源处设 置的安全规定而对他们的访问进行限制。

诸如广域网(WAN)的分布式专用网络通常使用专线来耦合地理位置 分离的局域网(LAN)，然而这是昂贵的，通常要求每个站点处防火墙规 则协同设置，这是复杂的，并且由于不同的本地要求，还可能随时间而 产生分歧，导致连接困难。

发明内容

概括地，在一个方面，本发明提供了一种星形连接网络，其中中央 服务器节点例如在因特网之上使用各自加密的连接(诸如安全套接层 (SSL)会话)耦合到多个客户机节点。客户机节点的外部通信被限制为 使用与服务器节点的各自加密的连接，因此两个客户机节点之间的分组 要经由服务器节点路由(至少是为了开始连接)。服务器节点包括用于建 立与每个客户机节点的加密连接的装置，例如，诸如SSL服务器的VPN 服务器。来自客户机节点的分组通过防火墙路由到VPN服务器，发往客 户机节点的分组通过防火墙从VPN服务器路由，该防火墙根据多个规则 准许或拒绝进入的分组和外发的分组。这些规则取决于各自加密的连接 的建立，因而，例如，与建立的加密连接无关的分组可以被阻挡或拒绝。 这些规则还取决于安全策略，该安全策略可以包括与发送/接收分组所涉 及的客户机节点(例如，该客户机节点是否对应于对访问其他客户机节 点具有某些限制的雇员或对应于远程连接的客户机节点)相关的附加限 制。这种布置允许这样的安全策略：使用防火墙集中控制网络的所有客 户机节点。

在一实施方式中，该虚拟专用网络服务器是被配置成经由防火墙接 收和发送所有分组的SSL服务器。该VPN服务器还被配置成产生建立的 加密连接的列表，该列表可以被输入到用于实现安全策略的安全策略引 擎以产生用于更新防火墙中的现有规则的一组规则。

在一实施方式中，各客户机节点包括安全存储在防篡改硬件模块中 的认证信息以用于在建立与服务器节点的加密连接时进行认证。防篡改 硬件模块可以限制对服务器节点的外部接入，且可以使用安全存储的私 钥签署公共证书以使得服务器节点能够通过使用与该私钥相关的相应公 钥来验证该公共证书来自于相应客户机节点。

在一实施方式中，该安全策略引擎包括诸如AT&T实验室的KeyNote^TM这样的高级引擎，用于响应于接收了对应于识别出的客户机的虚拟专用 网络的建立指示的上下文处理器或者其他软件模块提供的多个会话参数 和诸如客户机公钥这样的客户机标识，返回准许或拒绝判定。该上下文 处理器将客户机标识和会话参数处理或者转换为具有用于策略引擎的预 定格式的查询，且将返回的判定转换成相应的更新后的防火墙规则。该 会话参数包括：目的地地址；会话类型；用于会话的应用类型；端口号。

优选地，一旦服务器授权了用于特定应用的连接(即，从安全策略 引擎接收到准许判定之后)，则将用于获得许可判定的会话参数记录为当 前会话参数设置且随后检查每个进入分组(任一方向)以确保该分组匹 配其存储的当前会话参数设置之一。这通过判断应用标识方便地完成， 该应用标识识别作为分组去往目的地或者分组来源的应用；具体而言， 在一实施方式中，这能够通过检查各分组的套接字标识(源和目的地IP 地址以及端口号)是否匹配当前会话参数之一而完成，因为这些当前会 话参数唯一地将每个分组与相关应用相关联。当服务器例如通过观察TCP 连接断开或者当连接不被使用的超时周期耗尽时而检测出应用希望结束 特定连接时，服务器可以删除相应会话参数设置，使得仅适度地存储当 前设置。优选地，服务器或者防火墙接收的与存储的当前会话参数设置 之一不匹配的任意分组被丢弃。