CN1086086C

CN1086086C - 用于防止未经授权的通信的安全系统和方法

Info

Publication number: CN1086086C
Application number: CN95191513A
Authority: CN
Inventors: 艾德华·J·盖伯
Original assignee: Matsushita Electric Corp of America
Current assignee: Panasonic Holdings Corp; Panasonic Corp of North America
Priority date: 1994-12-07
Filing date: 1995-06-08
Publication date: 2002-06-05
Anticipated expiration: 2015-06-08
Also published as: KR100225574B1; IL114178A; RU2152691C1; CA2182777C; AU687575B2; MX9602964A; CA2182777A1; EP0744107A1; CN1140519A; JPH09505719A; AU2820295A; US5550984A; EP0744107A4; WO1996018253A1; TW279292B; JP3009737B2; IL114178A0; KR970700969A

Abstract

提供一种用于将第一计算机网络(10)连接到第二计算机网络(26)的安全系统。所述安全系统具有一对计算机母板(12、20)，每个母板都具有一个网络接口适配器(14或22)，用于接收和传送由一个计算机网络至传送适配器的通信，以便通过其它计算机母板(20)上的传送适配器(18)和网络接口适配器(22)将其发送到其它计算机网络(24)上。每个母板(12或20)还提供协议转换软件，将第一协议转换成第二协议并从传输到另一母板的通信上除去源和目的地址信息。应用程序接口切片软件或动态链接库软件提供两个母板间的通信控制，以传送必要的程序码来请求或接受另一个计算机网络的服务。

Description

用于防止未经授权的通信的安全系统和方法

本发明涉及一种安全系统用于防止一个计算机网络和另一个计算机网络间非经授权的通信，特别是涉及防止从一个公用网络(如互联网，Internet)未经授权地去访问一个专用的计算机网络。

近来在技术上的发展已使得存取公众可用的计算机网络如互联网变得更容易了。专用计算机网络和连上互联网的用户间的信息交换造成了对如何保护这种专用网络上的信息不被外界互联网用户未经授权地存取及不被专用用户未经授权地输出到外界的一种挑战。例如，为同一单位工作的一组个人用户可能需要存取共有数据但必须保护上述信息以免泄露给外人。最近已公布，即使是五角大楼的计算机系统也容易被称为“破坏者”的公用互联网用户入侵。入侵专用计算机网络后，破坏者已能删除文件或磁盘、取消程序、截取敏感的信息，甚至将计算机病毒、特洛伊木马码、及(或)错误引入到这些专用网络。

另一个相关问题是有关专用计算机网络间的安全性问题。例如许多公司在国内有许多分公司，每个分公司可能有它的计算机网络，并且这些局域计算机网络被相互联接在一个覆盖全公司的计算机网络里，在使用这种计算机网络时就有必要防止从一个局域计算机网络未经授权地去访问另一个局域计算机网络。

传输控制协议/网络互联协议(TCP/IP)的协议组合提供了一种计算机网络节点间和计算机网络间的标准的通信格式，以便于在互联网上进行通信。这个协议组合也适用于专用计算机网络内部及相互间。专用计算机网络常被连接到其它专用计算机网络，例如在一个公司中，多个用户组以其相对应的多个计算机网络存在组织中，被另一个专用网络入侵及计算机被误用的危险是存在的：例如一个不满的员工可从公司组织中一个局域网络入侵到公司另一个组织的专用网络并且造成文件被更改或删除，或者将病毒、特洛伊木马码、或错误引入到那个网络内的节点。

专用计算机网络有各种形式和多种用途：如信用卡计算机网络，用于把网络通信业务导向银行以便授权及交易公告；一些大学的计算机网络，用于维护学生信息或科学研究信息；也有专用的公司计算机网络，它包含各项专门信息。将来，由于对家用电视及多媒体服务进行计算机化，会有更多通向计算机网络的链接。对家用计算机用户而言，提供一个安全系统以对抗所谓破坏者，将会是同等地重要。

近来安全系统常被证明不是在防止专用计算机网络被入侵上有效性不够，就是在存取通信服务以和其它网络通信上有重大限制。总之，现存安全系统使得一些计算机网络间重要的通信服务失去效用。例如，以互联网为例，如文件传输协议(FTP)、琐细文件传输协议(TFTP)及HTTP之类的文件传输应用程序等重要通信服务，和电信网络应用之类的终端模拟服务等已因安全之故而被取消。然而，当此类服务被取消后，大部分和其它计算机网络通信的功能都不见了，专用网络剩下的只有诸如简易邮件传输协议(SMTP)和POP3等应用程序所提供的基本电子邮件(E-mail)服务。即使将此类文件传输和模拟服务取消，专用网络还是无法避免破坏者从公用互联网或其它专用网络的入侵。一个外部人员可从包含重要数据的电子邮件中所使用的发送邮件及页面描述文件中获得头信息，以模拟一合法用户进入特权文件。

这类安全系统已有多种方式来实现，例如使用屏蔽路由器将往返于专用网络的传输限制在特定位置或特定类别上。然而这些限制本身也严重限制了和公用互联网或其它网络的通信服务。

基于主机的防火墙，亦称双宅防火墙(dual-homed firewalls)，通过在专用网络和公用互联网间插入一个单独的计算机系统而提供了另一级安全保护。在某些双宅防火墙中，互联网协议(IP)包送递功能被取消，以防止防火墙自动地依据IP包所提供的地址来为其选择路由。此类双宅防火墙也有一组特别的传输控制协议(TCP)应用软件(如代理商)以与专用网络外的用户通信。按此种方式，防火墙维护整个进出专用网络的通信控制。例如，一个专用网络上的用户可以使用如Telnet类的应用软件来进入基于主机的防火墙系统，然后专用网络用户会被要求输入端点的互联网地址，防火墙于是在专用网络用户和端点间建立一个通道并监视各点间的连接。基于主机的防火墙的一个缺点就是持续需要增加防火墙系统的大小来支援专用网络和公用互联网间增加的流量。基于主机的防火墙的另一个缺点是，破坏者为了访问专用网络只需克服单一计算机系统的安全防御功能。

另一种防火墙系统被称为棱堡主机(bastion hosts)，也是一种应用层防火墙，通过提供一个主机次网络来控制进出专用网络的通信业务以克服这些基于主机的防火墙的缺点。这个次网络当容量须增加时可以通过增加主机予以扩充。对于棱堡主机，公用网络只允许存取到外部路由器R2，而专用网络可允许存取到内部路由器R1。在路由器间提供了一组代理主机，用以控制对各种应用软件的访问，这些应用软件用于和专用及公用网络的通信。此系统的一个缺点是，必须针对每个允许经由次网络的应用特别编写代码，这样如果要改变应用程序的适用性就会增加成本且费时。另一个缺点是作为系统的主机，需维护一个次网络和多个计算机系统，从而导致成本及复杂度增加。

相对应地，本发明的一个目的在于提供一种安全系统以将一专用计算机网络连接到另一个提供全方位计算机网络服务的专用或公用计算机网络，且维护专用计算机网络的安全以免破坏者从公用或其它专用计算机网络未授权的访问。

本发明的另一个目的是提供一种安全系统，由可得到的标准硬件和软件部件构成而无需高成本的特别程序代码或硬件。

本发明的另一个目的是提供一种安全系统可整个包含在一个单元中并可从中控制。

本发明的再一目的是提供一种安全系统，防止连到专用计算机网络的Unix和MVS主机被连到专用局域网络(LAN)或广域网络(WAN)的专用网络用户未经授权地存取资料。

本发明更深一层目的是提供一种安全系统，其具有两个计算机母板用以从一个计算机母板到另一个备份重要的网络通信信息。

本发明的另一个目的是提供未受公用互联网注册程序限制的专用网络的非限制性TCP/IP地址使用，由此允许域名、次网络掩蔽(mask)，和ICP/IP网络/主机名称地址可独立地在专用网络中被确定。

本发明的另一个目的是提供第一和第二计算机网络间的一种通信链接，其中用于第一计算机网络内部通信的次网络掩蔽可独立地从第二网络接口的次网络掩蔽来建立。

相应地，本发明的这些和其它目的提供一种安全装置以防止第一计算机网络和第二计算机网络间未经授权的通信。我们发现可提供一种安全系统来达到网络间的安全，此系统包括一个第一网络母板和一个第二个网络母板。每个母板具有一个网络接口适配器以分别和第一和第二计算机网络通信。每个网络母板还有一个传送适配器用以将在其自己的网络接口适配器接收到的通信传送到其它网络母板上的传送适配器。传送适配器必须相配合且一致。实施这种安全系统所需的所有必要的硬件和软件是可从多个来源得到的而且并不需要特别设计的硬件或软件。

由连到第一和第二计算机网络母板的网络接口适配器按传输控制协议/网络互联协议(TCP/IP)格式或按装在互联网包交换IP(IPX)的网络互联协议接收的通信，会被转换成网间包交换(IPX)格式通信，以便分别进一步地传输到连到其它公用或专用计算机网络的网络母板。这种转换过程除去了上层TCP协议层和次网络掩蔽，并防止含有IP头信息、IP目的地址和IP源地址的原有IP数据报被进一步传输到其它网络。路由服务：IP包传递、TCP/IP路由信息协议(RIP)、地址解析协议(ARP)和网间控制报文协议(ICMP)都被禁止以免在网络接口适配器和每个网络母板的传送适配器间传送。去掉原有IP数据报头和取消路由选择服务功能防止了第一和第二计算机网络的未经授权的用户获得必要的IP地址和相对应的实际地址用以在其它网络节点上作通信导向。

第二网络母板进一步提供API切片(API Shim)软件和客户机/服务器软件以允许通过请求第一个网络的节点的通信服务进出第二个计算机网络；此外，动态链接程序库可用于取代或额外增加于API切片软件以允许这种通信。

第二个网络母板进一步建立一个域名、IP地址、及一个次网络掩蔽以允许第二个网络的用户寻找及连接到第二个网络母板。该域名、IP地址及次网络掩蔽是独立于在进入第一个网络主机板的网络接口适配器中使用的原有域名、IP地址及次网络掩蔽。次网络掩蔽的独立性允许一个专用网络连接到本发明的安全系统，以包含尽可能多的节点并独立于由第二个网络母板呈现在公用网络方面的次网络掩蔽。

图1示出了本发明的安全系统的方块图以及与专用及公用互联计算机网络的连接。

本发明的一个实施例如图1所示。在图1中，两个母板12和20共享一共用电源28。母板20连到一公用网络26，如互联网，而母板12连到一专用网络10。另外，母板20可连到另一个专用计算机网络26，例如公司的其它分公司。另外，多个专用及/或公用网络可依照本发明互联。每个公用或专用网络是一组互联节点，节点是任何可共址或共连的装置，其可以是计算机如工作站、文件服务器、Unix或MVS主机或其它数字装置如路由器、打印机、控制器、外设等。

母板12、20分别各自有一对网络适配器14、16和18、22。网络适配器14和22是网络接口适配器，用以分别接收和传输来往专用和公用网络10和26的通信。网络适配器16和18是用以在母板12和20间通信的传送适配器。传送适配器16和18可以是任何以太网络(Ethernet)型式或ARC网(ARCnet)形式的卡，只要它们是一致且相配合的。传送适配器16和18不能在同一个母板上。

每个母板具有标准元件如微处理器、硬盘、随机存贮器(最好有32MB或更多)、ROMBIOS和一个视频卡。此外，每个母板具有自己单独的网络操作软件，其可能是例如Novell Netware(R)或MicrosoftNT(TM)。母板12和20的相互结合使用减少了挤塞及CPU的使用且分隔了专用和公用网络。此外，两个母板可以是(如所述母板12和20)，除了共用电源28外包含最少元件的分离的独立计算机系统。

母板20的网络接口适配器22最好是一个令牌环(token-ring)或以太网卡，该卡通过路由器24经共用存取供应线56K、T1或T3或其它类似线路(以虚线表示)而连到互联网26或其它专用网络。将网络接口适配器22捆扎到互联网或其它专用网络的软件提供了域名服务器信息、一个互联网tcp/ip地址和一个允许公用网络用户去寻找及附连到安全系统前端的次网络掩蔽。例如，Novell Netware(R)版本3.12或4.X和Novell Networe(R)IP(R)或微软NT3.5+(TM)或微软NT3.5+(TM)可用于建立一个通向互联网的不同的TCP/IP连接。网络操作软件提供用户数据报协议(UDP)及传输控制协议(TCP)服务以和互联网或其它专用网络26作来往通信。UDP提供一种不需连接的传递服务以传送和接收来自互联网的发送和接收节点间特殊进程的信息包。TCP在网络互联协议的不需连接包传递服务外加进可靠的流传递。

母板12的网络接口适配器14可以是个令牌环卡、一个以太网络卡或一个ARC网络卡以连到专用网络10，而网络10可以是个局网络或广域网络。将网络接口适配器14捆扎到专用网络10的软件提供TCP/IP服务或IP(IPX)服务以便和专用网络10进行通信。适合网络接口适配器14的网络软件可以是Novell Netware(R)多重协议路由器(MPR)软件或与Novell Netware(R)IP(R)结合使用的Novell Netware(R)版本3.12或4.X。也可以使用其它软件文件服务器软件包如微软WindowsNTA3.5+.，这种软件提供TCP/IP地址和一个次网络掩蔽，它们和用于公用方面母板20上的网络接口适配器的域名服务器、ICP/IP地址和次网络掩蔽等无关且不同，而且也允许专用网络用户寻找及附连到公用网络方面的母板20上。

由专用网络10通过网络接口适配器14接收的TCP/IP格式或IP(IPX)格式的通信，会被转换成互联网包交换(IPX)通信以由传送适配器16传输到公用网络方面的母板20的传送适配器18上。同样地，从公用网络26由网络接口适配器22按TCP/IP格式接收到的通信也会被转换成互联网包交换通信以由传送适配器18传输到专用网络方面的母板12的传送适配器16。转换成IPX格式时从传输于每个母板上网络接口适配器和传送适配器间的通信中去掉上层TCP协议层、包含头信息的原有IP数据报头、源IP地址和目的IP地址。

每个母板上网络操作软件所提供的捆扎指令用于分别取消所有路由选择服务功能，如地址解析协议(ARP)，路由信息协议(RIP)和网络接口适配器14、22与传送适配器16、18间的互联网控制消息协议(ICMP)。IP数据报头的去除和路由服务的取消阻止了连到专用网络装置的物理地址(和以太网络卡一起使用时也称“媒体存取控制”地址)传输。

在公用网络母板20上由网络接口适配器22所使用的网络操作软件最好提供以针对用户实际位置的节点地址或被用以附连的计算机节点地址来辨别每个进入母板20的用户的可能性。当以太网络卡被用作传送适配器时，这项信息会被保留。以太网络卡的使用会允许使用节点地址当作另一个安全特征来阻止多个专用网络用户从非其特定工作站存取母板20。然而当ARC网络卡被用作传送适配器时，这个功能将不可使用，因为节点地址信息不会被保留。

应用程序接口切片(API Shims)或动态链接程序库(DLL)被用于允许从专用网络10来的用户连到母板20以和互联网作进一步的通信。它们提供另外的机制以在称作客户工作站的专用网络装置到当作服务器母板20之间传送可执行码，以便于与互联网作应用程序或文件传输。商用API切片和诸如Winsock相兼容版本1.1X(TM)系列的DLL的使用和在传送适配器16和18间的IPX ODI连接，允许从母板20要求执行应用的可执行码的传输。

除了用于向母板20的API切片或DLL传送可执行码外，此外，客户服务器软件如NCSA马赛克，康乃而大学CELLO，Ameritech/NOTISWINGOPHER，Pegasus EMAIL等被用于通过公用网络母板20向专用网络用户提供互联网服务。这将允许专用网络上的用户使用全部互联网络服务如模拟协议Telnet，Telnet 3270，Telnet5250及传输协议HTTP、FTP、TFTP、不具名FTP、SMTP及P0P3，来观看公用网络。然而，这种在母板20上的客户服务器软件不允许在LAN或WAN上未经授权的专用网络用户去访问专用网络上的Unix(R)、MVS(R)或VM(R)主机，因为访问它们所必需的较高层模拟服务如Telnet已在传送适配器16和18间被取消功能了。

在母板20上最好有额外提供的软件，包含病毒监视检查软件、口令软件，用于扫描用户和监督者帐号以通过发现已知的危险口令来分辨出网络安全中的潜在漏洞并允许加密自动退出软件，以应付不具活性的工作站、安全及存取审核软件，用于审核特别的用户和工作站及公用网络上的目录和文件存取，且也在用户工作站上相似结构的安全服务间提供加密。最好也允许安装在母板20上面同时安装加密及非加密过程的软件如PGP。

为了多个专用或公用计算机网络的互联，应该在每对计算机网络间的介面上提供依照本发明的安全系统。例如，当有三个计算机网络要互联时，可将如图1所示的实施例的安全系统放置在专用网络10和每个第二及第三计算机网络间。

如何在专用网络和公用互联网间使用本发明来引导通信而防止公用互联网用户获得直接和专用网络工作站通信所需的重要地址信息的举例如下：专用网络母板12的网络接口适配器14从专用网络10上的工作站接收到一个TCP/IP格式通信，请求互联网络存取服务。母板20向连到专用网络的工作站提供互联网络存取服务如Telnet模拟协议，文件传输协议如FTP、TFTP和电子邮件服务如SMTP等，其方式是经由可由母板12通过传送适配器16和18间的接口呼叫的API切片或DLL。

向外的通信有一用于辨别是哪个工作站发出通信的IP源地址及一个用于辨认网络接口适配器14的IP目的地址。通信被转换成IPX格式以传输到母板12上的传送适配器16以便进一步传输到公用网络母板20上的传送适配器的18。在将通信转换成IPX格式时从通信中去掉了原有的IP源和目的地址。另外，所有在两个母板间的路由选择服务如ARP、RIP和ICMP都被取消以防止链接连到专用网络的工作站的IP地址与其对应的实际地址的路由更新的传输；对于此方式，从专用网络向外的通信不提供可使公用网络用户直接和专用网络工作站通信的寻址信息。

母板20通过传送适配器18接收IPX通信并重新将其转换为TCP/IP格式的通信，其具有一TCP/IP源地址、一次网络掩蔽和域名以辨别网络接口适配器22为通信的起始。在母板20之前的通信必须通过额外的安全软件如密码控制或保护来传送并存取软件。通信随后被传输到互联网并由母板20等待应答。当接收到应答后，母板20把应答从TCP/IP格式转换回IPX格式并经由传送适配器18至传送适配器16传送回到母板12。母板12进一步地将应答转换成TCP/IP格式以便进行返回到公用网络10的通信。来自公用网络的应答的原有IP源和目的地址同样地在这个转换过程中被去掉。对于回来的通信，路由选择服务也被取消，于是防止了链接连到公用网络的装置的IP地址与其对应实际地址的路由更新的传输。于是，从公用网络回来的通信不提供可使专用网络用户直接和专用网络工作站通信的寻址信息。对于此方式，专用网络用户也被无法获得连到公用网络的装置的寻址信息，所以也无法直接与它们通信，以从专用网络上未经授权地输出数据。

虽然本发明在此依照所附较佳实施例作了详细说明，本领域技术人员可对其做出许多修改或变动。相对应地，所附加的权利要求将涵盖所有此类的修改和变动。

Claims

1.一种防止第一计算机网络和第二计算机网络之间未经授权的通信的安全系统，包含：

一个第一计算机网络母板和一个第二计算机网络母板，该第一和第二网络母板各自分别具有网络接口适配器用以和该第一和第二计算机网络通信；

每个所述网络母板还具有传送适配器用以和所述其它网络母板的所述传送适配器通信，所述传送适配器是彼此一致且相配合的，每个所述网络母板具有网络操作软件来防止每个所述网络母板的所述网络接口适配器与所述传送适配器间路由选择服务信息的传输，每个所述网络母板还具有协议转换软件来防止较上层的协议信息和起始的源和目的地址信息在每个所述网络母板的所述网络接口适配器与所述传送适配器间传送；且至少所述网络母板其中之一具有应用程序界面切片软件以向连接到所述至少一网络母板的计算机提供应用层的通信服务。

2.如权利要求1所述的安全系统，其中所述第二计算机网络是公用的，且所述第二网络母板具有API切片软件用以向连接到所述第二个网络母板的所述网络接口适配器的计算机提供应用层面的通信服务。

3.如权利要求1所述的安全系统，其中每个所述第一和所述第二计算机网络是专用的，且每个所述网络母板具有API切片软件以向连接到每个所述网络母板的所述网络接口适配器的计算机提供应用层的通信服务。

4.如权利要求1所述的安全系统，其中每个所述网络母板位于一个共用单元内且分享一个共用电源。

5.如权利要求1所述的安全系统，其中每个所述网络母板包含一个磁性储存设备和用以从每个所述磁性储存设备将信息备份到每个其它的所述磁性储存设备上的装置。

6.如权利要求5所述的安全系统，其中所述磁性储存装置具相同容量。

7.一种防止在一个第一计算机网络和一个第二计算机网络间未经授权通信的方法，此种方法包含步骤：

从第一计算机网络的第一母板接收一个按第一网络协议格式的通信；

防止来自所述第一计算机网络的路由选择服务通信的传输；

将所述通信转换成一个第二个网络协议格式，由此将起始的源和目的地址信息从该通信中去除；

将所述通信传输到一个第二母板；

在所述第二个母板，再将所述通信转换成所述第一个网络协议格式；

将所述再转换的通信传输到第二所述计算机网络；

借此防止连接到所述第一或第二计算机网络的用户获得路由选择服务信息和地址信息，因而防止连接到所述第一和所述第二计算机网络的计算机间作未经授权的通信。

8.如权利要求7所述的方法，进一步包含在所述第二网络母板，借连接到所述第一网络母板的装置来控制对所述第二计算机网络的访问的步骤。