[发明专利]用于防止未经授权的通信的安全系统和方法

说明书

本发明涉及一种安全系统用于防止一个计算机网络和另一个计算机网络间非经授权的通信，特别是涉及防止从一个公用网络(如互联网，Internet)未经授权地去访问一个专用的计算机网络。

近来在技术上的发展已使得存取公众可用的计算机网络如互联网变得更容易了。专用计算机网络和连上互联网的用户间的信息交换造成了对如何保护这种专用网络上的信息不被外界互联网用户未经授权地存取及不被专用用户未经授权地输出到外界的一种挑战。例如，为同一单位工作的一组个人用户可能需要存取共有数据但必须保护上述信息以免泄露给外人。最近已公布，即使是五角大楼的计算机系统也容易被称为“破坏者”的公用互联网用户入侵。入侵专用计算机网络后，破坏者已能删除文件或磁盘、取消程序、截取敏感的信息，甚至将计算机病毒、特洛伊木马码、及(或)错误引入到这些专用网络。

另一个相关问题是有关专用计算机网络间的安全性问题。例如许多公司在国内有许多分公司，每个分公司可能有它的计算机网络，并且这些局域计算机网络被相互联接在一个覆盖全公司的计算机网络里，在使用这种计算机网络时就有必要防止从一个局域计算机网络未经授权地去访问另一个局域计算机网络。

传输控制协议/网络互联协议(TCP/IP)的协议组合提供了一种计算机网络节点间和计算机网络间的标准的通信格式，以便于在互联网上进行通信。这个协议组合也适用于专用计算机网络内部及相互间。专用计算机网络常被连接到其它专用计算机网络，例如在一个公司中，多个用户组以其相对应的多个计算机网络存在组织中，被另一个专用网络入侵及计算机被误用的危险是存在的：例如一个不满的员工可从公司组织中一个局域网络入侵到公司另一个组织的专用网络并且造成文件被更改或删除，或者将病毒、特洛伊木马码、或错误引入到那个网络内的节点。

专用计算机网络有各种形式和多种用途：如信用卡计算机网络，用于把网络通信业务导向银行以便授权及交易公告；一些大学的计算机网络，用于维护学生信息或科学研究信息；也有专用的公司计算机网络，它包含各项专门信息。将来，由于对家用电视及多媒体服务进行计算机化，会有更多通向计算机网络的链接。对家用计算机用户而言，提供一个安全系统以对抗所谓破坏者，将会是同等地重要。

近来安全系统常被证明不是在防止专用计算机网络被入侵上有效性不够，就是在存取通信服务以和其它网络通信上有重大限制。总之，现存安全系统使得一些计算机网络间重要的通信服务失去效用。例如，以互联网为例，如文件传输协议(FTP)、琐细文件传输协议(TFTP)及HTTP之类的文件传输应用程序等重要通信服务，和电信网络应用之类的终端模拟服务等已因安全之故而被取消。然而，当此类服务被取消后，大部分和其它计算机网络通信的功能都不见了，专用网络剩下的只有诸如简易邮件传输协议(SMTP)和POP3等应用程序所提供的基本电子邮件(E-mail)服务。即使将此类文件传输和模拟服务取消，专用网络还是无法避免破坏者从公用互联网或其它专用网络的入侵。一个外部人员可从包含重要数据的电子邮件中所使用的发送邮件及页面描述文件中获得头信息，以模拟一合法用户进入特权文件。

这类安全系统已有多种方式来实现，例如使用屏蔽路由器将往返于专用网络的传输限制在特定位置或特定类别上。然而这些限制本身也严重限制了和公用互联网或其它网络的通信服务。

基于主机的防火墙，亦称双宅防火墙(dual-homed firewalls)，通过在专用网络和公用互联网间插入一个单独的计算机系统而提供了另一级安全保护。在某些双宅防火墙中，互联网协议(IP)包送递功能被取消，以防止防火墙自动地依据IP包所提供的地址来为其选择路由。此类双宅防火墙也有一组特别的传输控制协议(TCP)应用软件(如代理商)以与专用网络外的用户通信。按此种方式，防火墙维护整个进出专用网络的通信控制。例如，一个专用网络上的用户可以使用如Telnet类的应用软件来进入基于主机的防火墙系统，然后专用网络用户会被要求输入端点的互联网地址，防火墙于是在专用网络用户和端点间建立一个通道并监视各点间的连接。基于主机的防火墙的一个缺点就是持续需要增加防火墙系统的大小来支援专用网络和公用互联网间增加的流量。基于主机的防火墙的另一个缺点是，破坏者为了访问专用网络只需克服单一计算机系统的安全防御功能。