[发明专利]利用转换连接来管理无源网络设备的系统和方法无效
申请号: | 200910152381.4 | 申请日: | 2003-01-21 |
公开(公告)号: | CN101599864A | 公开(公告)日: | 2009-12-09 |
发明(设计)人: | P.埃夫拉德;O.纳沃;S.纳斯德罗维斯基;O.迪布瓦 | 申请(专利权)人: | 伊普-塔普英国公司 |
主分类号: | H04L12/24 | 分类号: | H04L12/24;H04L29/06 |
代理公司: | 中国专利代理(香港)有限公司 | 代理人: | 汤春龙;刘春元 |
地址: | 英国*** | 国省代码: | 英国;GB |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 利用 转换 连接 管理 无源网络 设备 系统 方法 | ||
技术领域
本发明涉及数据网络安全性领域,更具体地说,涉及用于从远程位置隐蔽地管理无源网络设备的系统和方法。
背景技术
因特网商务的出现迫使大的机构将其内部网连接到公共网,所导致的风险增加是不可避免的。安全性行业逐渐地提供程序、工具以及对策来应对这种增加的风险。安全性解决方案可以大致分成主动的或被动的。
若要求网络设备建立功能基础结构,则网络设备是有源的,并且可包括接入控制(防火墙)、内容过滤(反病毒)以及强大的鉴权(界限)等功能。相反,不需要建立功能基础结构的网络设备是无源的,通常用来建立第二条防线。无源设备包括例如入侵检测和网络扫描。
一些机构为获得网络安全性常用的两种工具包括作为有源部件的防火墙以及作为无源部件的入侵检测。
防火墙是有源部件,因为它对每个入境或出境分组肯定地判定是接受还是丢弃该分组。防火墙位于网络的关键点,即该处可控制所有进出公共网的业务的点。但是,虽然防火墙是网络安全性的重要部分,但是它由于至少三个原因而仍然脆弱。首先,防火墙无法避免隐藏在合法分组中的网络攻击;从协议流中产生的半开放连接攻击或者包分割是两个更为熟知的例子。其次,防火墙象其它软件实现一样无法避免软件错误。第三,防火墙由安全管理员来管理,而安全管理员可能出错或者可能未经过足够的训练以履行其职责。
至少由于这些原因,防火墙本身需要受保护。象任何其它保护设备一样,如果在规定的时间周期内未触发警告,则防火墙不能无限期地抵抗攻击,因而是脆弱的。因此,采用入侵检测系统来提供这种警告。
入侵检测系统可以是基于主机的或者基于网络的。基于主机的入侵检测系统安装在服务器上,并监测重要的系统资源(如文件)、进程和系统活动。基于网络的入侵检测系统连接到网络的关键点并监测进出公共网的业务。
为了保护它们本身以防范潜在的入侵者,一些无源网络设备需要保持为隐藏状态。这意味着,虽然它们在物理上连接到网络并能够分接任何网络业务,但是它们不对任何类型的请求作出应答。基于网络的入侵检测系统常常是不可见的,这意味着它们在其上捕获网络业务的网络接口卡(NIC)使其通信栈禁用。禁用通信栈是确保免于来自网络的攻击的绝对保护,应当是对必须保持不暴露的无源设备的要求。
当需要从远程位置管理隐藏的无源网络设备时,就出现问题。大多数基于网络的设备需要从管理中心进行管理或者需要与管理中心进行通信。为了完成这些,设备采用被推到本地网上的伪造分组或者连接到内部网的附加NIC,采用标准基于IP的业务来与管理服务器进行通信。这两种方法摧毁了无源设备所提供的保护保证;在第一种情况下,管理中心可能被暴露,在该情况下所产生的后果是不可预测的,而在第二种情况下,内部网是理想的后门。
因此,需要允许从远程位置隐蔽地管理无源网络设备的方法。
发明内容
鉴于上述问题,本发明的一个目的是通过使用无源网络设备的伙伴设备来克服从远程位置管理无源网络设备的困难,而不会暴露管理中心。
本发明的另一个目的是建立两个或两个以上伙伴设备之间的标准基于IP的会话作为第一通信信道,第一通信信道可供无源网络设备用来建立允许这种设备进行通信的第二通信信道。
本发明的另一个目的是建立一种系统,其中无源网络设备收听要发往另一接收者的网络业务,并从这种业务中提取需要的管理信息。
本发明的另一个目的是使无源网络设备能够产生模仿从合作节点发出的那些的协议数据单元(PDU),以便实现管理业务的反向。
本发明的另一个目的是提供一种系统和方法,其中,管理中心和无源网络设备在网络上都不直接可寻址,而是需要第三方以便相互通信。
本发明的另一个目的是利用在两个第三方之间建立的标准通信信道在管理中心与无源网络设备之间建立隐蔽管理信道。
根据这个和其它目的,本发明针对一种用于从本地或远程管理中心隐蔽地管理无源网络设备的系统和方法。在两个或两个以上伙伴设备之间的数据网络上建立的标准基于IP的会话在第一通信信道中进行。无源网络设备收听在与它们相连的数据网络上传递的网络业务。虽然这些业务不是发往无源网络设备的,而是在伙伴设备和合作设备之间传递,但是无源网络设备能够从这个业务中提取它们的管理信息,通过产生模仿预期节点发送的那些数据单元的协议数据单元(PDU),实现管理业务的反向。利用在第三方之间建立的通信信道以实现通信,管理中心和无源网络设备在网络上都不直接可寻址,而是对网络“透明”。业务交换被签字和加密,以便提供标准鉴权、保密性和完整性。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于伊普-塔普英国公司,未经伊普-塔普英国公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/200910152381.4/2.html,转载请声明来源钻瓜专利网。
- 上一篇:一种苦瓜皂甙和多糖混合物及其提取工艺与应用
- 下一篇:集成电路