[发明专利]一种网络传输的安全状态管理方法及系统

说明书

本发明公开了一种网络传输的安全状态管理方法，包括：拦截从远程计算机或虚拟机上的一个或多个源指向本地连接的加密处理器的命令，从而获得截取的命令序列；将一组一个或多个安全规则应用于截获的命令序列以获得修改的命令序列；将修改的命令序列指向加密处理器；从加密处理器接收对修改的命令序列中的每个命令的响应；和基于加密处理器响应和一组一个或多个安全规则，向一个或多个源提供对每个被截取命令的答复。

技术领域

本发明涉及互联网技术领域，具体而言，涉及一种网络传输的安全状态管理方法及系统。

背景技术

随着Internet的发展，网络安全问题也越发突出，尤其是如何利用因特网进行加密通信目前已经成为一个热点问题。目前主要通过虚拟网卡SSL VPN技术来解决这一问题。但是利用虚拟网卡进行通信需要安装VPN客户端，对通信报文进行加密和封装，因此这种加密方式属于软件加密范畴。需要进行SSL VPN加密的报文无论是发送还是接收都会两次经过协议栈的处理，这自然会在一定程度上导致数据交换性能下降。通过对虚拟网卡的SSLVPN技术数据包发送流程分析可知，发送端主机与外界有两个交换通道，从而当发送端主机在建立SSL隧道后并未切断与Internet的数据交互，可能会受到来自Internet的攻击，因此基于虚拟网卡的SSL VPN技术存在安全问题。

VPN客户端通常是在操作系统核心层安装一个数据截获的模块，VPN客户端的开发只能针对特定的Windows、Linux操作系统，无法广泛应用于大型设备中。为了解决基于虚拟网卡的SSL VPN技术的数据交换性能低、安全性不高、适用范围有限等问题，急需提供一种基于硬件加密的安全网络传输方法。

发明内容

本发明提出了一种网络传输的安全状态管理方法，包括：

拦截从远程计算机或虚拟机上的一个或多个源指向本地连接的加密处理器的命令，从而获得截取的命令序列；

将一组一个或多个安全规则应用于截获的命令序列以获得修改的命令序列；

将修改的命令序列指向加密处理器；

从加密处理器接收对修改的命令序列中的每个命令的响应；和

基于加密处理器响应和一组一个或多个安全规则，向一个或多个源提供对每个被截取命令的答复。

所述的方法，其中所述拦截，应用，指导，接收和提供操作由具有加密处理器作为物理连接外围设备的客户计算机执行，其中客户端计算机通过网络耦合到远程计算机或虚拟机，以及其中所述一组一个或多个安全规则防止用户提供的认证信息穿过网络。

所述的方法，还包括：

监控加密处理器是否处于认证状态，

其中该组包括至少一个安全规则，该安全规则延迟用于加密操作的截取命令，直到该加密处理器处于认证状态；还包括：检测到加密处理器未处于认证状态；在修改的命令序列中插入一个或多个命令，以将加密处理器置于认证状态；还包括：在所述插入之前，提示用户提供个人识别码(PIN)或其他识别信息；和至少部分地基于用户提供的信息生成一个或多个插入的命令。

所述的方法，还包括：丢弃用户提供的信息以防止在所述生成之后进一步使用；在所述插入之前，利用独立于所述加密处理器的安全机制执行认证过程；所述安全机制是基于加密处理器的智能卡或可信平台模块；还包括：

监控加密处理器是否处于认证状态，其中，所述集合包括至少一个安全规则，该安全规则在达到认证状态之后保留安全状态。

所述的方法，所述至少一个安全规则防止所述修改的命令序列具有将破坏所述认证状态的命令；还包括：基于来自加密处理器的响应确定加密处理器所属的类，其中所述集包括至少一个安全规则，该安全规则基于加密处理器的类阻止所有或至少一些预定类型的响应信息被包括在对所述一个或多个源的所述答复中。