《一种私网资产的远程安全评估方法.pdf》由会员分享,可在线阅读,更多相关《一种私网资产的远程安全评估方法.pdf(9页珍藏版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 104243261 A (43)申请公布日 2014.12.24 CN 104243261 A (21)申请号 201410393627.8 (22)申请日 2014.08.12 H04L 12/46(2006.01) H04L 29/06(2006.01) G06Q 10/06(2012.01) (71)申请人 福建富士通信息软件有限公司 地址 350000 福建省福州市鼓楼区五凤街道 软件大道 89 号 12 号楼 (72)发明人 陈健 (74)专利代理机构 福州市鼓楼区京华专利事务 所 ( 普通合伙 ) 35212 代理人 王美花 (54) 发明名称 一种私网资。
2、产的远程安全评估方法 (57) 摘要 本发明提供一种私网资产的远程安全评估方 法, 包括建立 SOC 平台的公共代理与业务平台的 本地代理之间的 L2TP 隧道 ; 进行安全评估任务 时, 将公共代理的网卡设置为混杂模式, 捕获到评 估工具中扫描工具的原始扫描报文, 封装该原始 扫描报文发送给本地代理 ; 将该原始扫描报文的 源IP地址修改为本地IP, 被扫描的资产根据扫描 内容进行响应, 将扫描后的结果报文发送给本地 代理 ; 将结果报文的本地 IP 地址还原, 并封装结 果报文, 公共代理收到封装的结果报文后, 转发给 评估工具进行结果报文分析, 得到资产的安全分 析结果, 本发明还提供一。
3、种私网资产的远程安全 评估装置, 使得远程评估可行, 大大提高了评估效 率以及降低了评估成本。 (51)Int.Cl. 权利要求书 2 页 说明书 4 页 附图 2 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书2页 说明书4页 附图2页 (10)申请公布号 CN 104243261 A CN 104243261 A 1/2 页 2 1. 一种私网资产的远程安全评估方法, 其特征在于 : 包括如下步骤 : 步骤 1、 建立 SOC 平台的公共代理与业务平台的本地代理之间的 L2TP 隧道 ; 步骤2、 SOC平台进行安全评估任务时, 设定扫描资产的私网IP地址及其关。
4、联的本地代 理 IP 地址, 之后将评估工具的网关配置为公共代理地址, 将公共代理的网卡设置为混杂模 式, 捕获到评估工具中扫描工具的原始扫描报文, 封装该原始扫描报文, 通过 L2TP 隧道发 送给本地代理 ; 步骤 3、 本地代理接收封装后的原始扫描报文, 将封装的原始扫描报文中的 L2TP 隧道 报头拆除, 变为原始扫描报文, 并将该原始扫描报文的源 IP 地址修改为本地 IP, 同时建立 map 映射表, 并记录下该映射关系, 之后将修改的原始报文发送给指定的被扫描的资产 ; 步骤 4、 被扫描的资产根据扫描内容进行响应, 将扫描后的结果报文发送给本地代理 ; 步骤 5、 本地代理收到。
5、结果报文, 根据 map 映射表的映射关系, 将结果报文的本地 IP 地 址还原, 并封装结果报文, 通过 L2TP 隧道发送给公共代理 ; 步骤 6、 公共代理收到封装的结果报文后, 将其 L2TP 隧道报头拆除, 露出内层原始的结 果报文, 并转发给评估工具, 评估工具得到扫描结果报文进行分析, 得到资产的安全分析结 果。 2.根据权利要求1所述的一种私网资产的远程安全评估方法, 其特征在于 : 所述步骤1 进一步具体为 : 步骤 11、 业务平台的本地代理向 SOC 平台的公共代理发起 L2TP 隧道建立请求, 进行信 令报文交互协商成功后建立 L2TP 隧道 ; 步骤 12、 通过心跳。
6、机制来验证 L2TP 隧道存在。 3. 根据权利要求 1 所述的一种私网资产的远程安全评估方法, 其特征在于 : 所述本地 代理 IP 地址为通过 L2TP 隧道后拨号获得的唯一地址。 4. 一种私网资产的远程安全评估装置, 其特征在于 : 包括如下模块 : 隧道组建模块, 建立 SOC 平台的公共代理与业务平台的本地代理之间的 L2TP 隧道 ; 发送模块, SOC 平台进行安全评估任务时, 设定扫描资产的私网 IP 地址及其关联的本 地代理 IP 地址, 之后将评估工具的网关配置为公共代理地址, 将公共代理的网卡设置为混 杂模式, 捕获到评估工具中扫描工具的原始扫描报文, 封装该原始扫描报。
7、文, 通过 L2TP 隧 道发送给本地代理 ; 业务接收处理模块, 本地代理接收封装后的原始扫描报文, 将封装的原始扫描报文中 的 L2TP 隧道报头拆除, 变为原始扫描报文, 并将该原始扫描报文的源 IP 地址修改为本地 IP, 同时建立 map 映射表, 并记录下该映射关系, 之后将修改的原始报文发送给指定的被扫 描的资产 ; 扫描模块, 被扫描的资产根据扫描内容进行响应, 将扫描后的结果报文发送给本地代 理 ; 回送模块, 本地代理收到结果报文, 根据 map 映射表的映射关系, 将结果报文的本地 IP 地址还原, 并封装结果报文, 通过 L2TP 隧道发送给公共代理 ; 评估模块, 公。
8、共代理收到封装的结果报文后, 将其 L2TP 隧道报头拆除, 露出内层原始 的结果报文, 并转发给评估工具, 评估工具得到扫描结果报文进行分析, 得到资产的安全分 析结果。 权 利 要 求 书 CN 104243261 A 2 2/2 页 3 5. 根据权利要求 4 所述的一种私网资产的远程安全评估装置, 其特征在于 : 所述隧道 组建模块进一步具体为 : 隧道组件单元, 业务平台的本地代理向 SOC 平台的公共代理发起 L2TP 隧道建立请求, 进行信令报文交互协商成功后建立 L2TP 隧道 ; 隧道保活单元, 通过心跳机制来验证 L2TP 隧道存在。 6. 根据权利要求 4 所述的一种私网。
9、资产的远程安全评估装置, 其特征在于 : 所述本地 代理 IP 地址为通过 L2TP 隧道后拨号获得的唯一地址。 权 利 要 求 书 CN 104243261 A 3 1/4 页 4 一种私网资产的远程安全评估方法 技术领域 0001 本发明涉及一种私网资产的远程安全评估方法。 背景技术 0002 运营商各地市城域网、 各业务平台内存在普遍现象 : 其中 SOC 平台中的安全评估 子系统位于一个内网 ( 即私网 ) 中, 而资产群部署于防火墙 NAT 之后, 即这些资产群在其他 的内网中, 所述资产群包括一个企业内部的电脑、 主机, 只有个别会映射到公网 IP, 因此在 网络层通路层面上, 造。
10、成安全评估工具无法对大部分防火墙 NAT 后的资产进行访问, 导致 评估工具中的扫描工具没有办法扫描到这类型资产, 最终导致远程安全评估没有办法有效 开展。 0003 当前低效的办法由运营商运维人员, 采用手持远程安全评估工具到现场, 针对这 些 NAT 后不可达资产进行本地评估, 大大降低了安全评估的便捷性以及评估工具的利用 率, 含有以下缺陷 : 0004 缺陷一 : 安全评估工具重复购买, 增加运营商成本 ; 为了对私网资产进行评估, 需 购买移动式评估工具。 0005 缺陷二 : 增加安全评估工作时间成本 : 评估人员需多次变更空间位置, 接入不同 的私网进行安全评估, 评估时间延长。。
11、 发明内容 0006 本发明要解决的技术问题之一, 在于提供一种私网资产的远程安全评估方法, 使 得远程评估可行, 大大提高了评估效率以及降低了评估成本。 0007 本发明之一是这样实现的 : 一种私网资产的远程安全评估方法, 包括如下步骤 : 0008 步骤 1、 建立 SOC 平台的公共代理与业务平台的本地代理之间的 L2TP 隧道 ; 0009 步骤2、 SOC平台进行安全评估任务时, 设定扫描资产的私网IP地址及其关联的本 地代理 IP 地址, 之后将评估工具的网关配置为公共代理地址, 将公共代理的网卡设置为混 杂模式, 捕获到评估工具中扫描工具的原始扫描报文, 封装该原始扫描报文, 。
12、通过 L2TP 隧 道发送给本地代理 ; 0010 步骤 3、 本地代理接收封装后的原始扫描报文, 将封装的原始扫描报文中的 L2TP 隧道报头拆除, 变为原始扫描报文, 并将该原始扫描报文的源 IP 地址修改为本地 IP, 同时 建立 map 映射表, 并记录下该映射关系, 之后将修改的原始报文发送给指定的被扫描的资 产 ; 0011 步骤 4、 被扫描的资产根据扫描内容进行响应, 将扫描后的结果报文发送给本地代 理 ; 0012 步骤 5、 本地代理收到结果报文, 根据 map 映射表的映射关系, 将结果报文的本地 IP 地址还原, 并封装结果报文, 通过 L2TP 隧道发送给公共代理 ;。
13、 0013 步骤 6、 公共代理收到封装的结果报文后, 将其 L2TP 隧道报头拆除, 露出内层原始 说 明 书 CN 104243261 A 4 2/4 页 5 的结果报文, 并转发给评估工具, 评估工具得到扫描结果报文进行分析, 得到资产的安全分 析结果。 0014 进一步地, 所述步骤 1 进一步具体为 : 0015 步骤 11、 业务平台的本地代理向 SOC 平台的公共代理发起 L2TP 隧道建立请求, 进 行信令报文交互协商成功后建立 L2TP 隧道 ; 0016 步骤 12、 通过心跳机制来验证 L2TP 隧道存在。 0017 进一步地, 所述本地代理 IP 地址为通过 L2TP 。
14、隧道后拨号获得的唯一地址。 0018 本发明要解决的技术问题之二, 在于提供一种私网资产的远程安全评估装置, 使 得远程评估可行, 大大提高了评估效率以及降低了评估成本。 0019 本发明之二是这样实现的 : 一种私网资产的远程安全评估装置, 包括如下模块 : 0020 隧道组建模块, 建立 SOC 平台的公共代理与业务平台的本地代理之间的 L2TP 隧 道 ; 0021 发送模块, SOC 平台进行安全评估任务时, 设定扫描资产的私网 IP 地址及其关联 的本地代理 IP 地址, 之后将评估工具的网关配置为公共代理地址, 将公共代理的网卡设置 为混杂模式, 捕获到评估工具中扫描工具的原始扫描。
15、报文, 封装该原始扫描报文, 通过 L2TP 隧道发送给本地代理 ; 0022 业务接收处理模块, 本地代理接收封装后的原始扫描报文, 将封装的原始扫描报 文中的L2TP隧道报头拆除, 变为原始扫描报文, 并将该原始扫描报文的源IP地址修改为本 地 IP, 同时建立 map 映射表, 并记录下该映射关系, 之后将修改的原始报文发送给指定的被 扫描的资产 ; 0023 扫描模块, 被扫描的资产根据扫描内容进行响应, 将扫描后的结果报文发送给本 地代理 ; 0024 回送模块, 本地代理收到结果报文, 根据 map 映射表的映射关系, 将结果报文的本 地 IP 地址还原, 并封装结果报文, 通过 。
16、L2TP 隧道发送给公共代理 ; 0025 评估模块, 公共代理收到封装的结果报文后, 将其 L2TP 隧道报头拆除, 露出内层 原始的结果报文, 并转发给评估工具, 评估工具得到扫描结果报文进行分析, 得到资产的安 全分析结果。 0026 进一步地, 所述隧道组建模块进一步具体为 : 0027 隧道组件单元, 业务平台的本地代理向SOC平台的公共代理发起L2TP隧道建立请 求, 进行信令报文交互协商成功后建立 L2TP 隧道 ; 0028 隧道保活单元, 通过心跳机制来验证 L2TP 隧道存在。 0029 进一步地, 所述本地代理 IP 地址为通过 L2TP 隧道后拨号获得的唯一地址。 00。
17、30 本发明具有如下优点 : 本发明一种私网资产的远程安全评估方法及装置, 有效的 解决了防火墙 NAT 后不可达资产的安全风险评估, 并且本发明不改变现网的组网架构, 大 大降低了部署的风险及成本, 远程的评估的实现使得评估成本大大的降低, 而且提高了评 估的速度。 附图说明 0031 下面参照附图结合实施例对本发明作进一步的说明。 说 明 书 CN 104243261 A 5 3/4 页 6 0032 图 1 为本发明方法执行流程图。 0033 图 2a 为本发明 L2TP 隧道协商过程示意一图。 0034 图 2b 为本发明 L2TP 隧道协商过程示意二图。 0035 图 3 为本发明 。
18、L2TP 隧道保活机制示意图。 具体实施方式 0036 如图 1 所示, 本发明私网资产的远程安全评估方法, 包括如下步骤 : 0037 步骤 1、 建立 SOC 平台的公共代理与业务平台的本地代理之间的 L2TP 隧道 ( 其中 L2TP即为Layer2Tunneling Protocol, 第二层隧道协议), 业务平台的本地代理向SOC平台 的公共代理发起L2TP隧道建立请求, 进行信令报文交互协商成功后建立L2TP隧道 ; 通过心 跳机制来验证 L2TP 隧道存在 ; 0038 步骤2、 SOC平台进行安全评估任务时, 设定扫描资产的私网IP地址及其关联的本 地代理 IP 地址, 所述本。
19、地代理 IP 地址为通过 L2TP 隧道后拨号获得的唯一地址, 之后将评 估工具的网关配置为公共代理地址, 将公共代理的网卡设置为混杂模式, 捕获到评估工具 中扫描工具的原始扫描报文, 封装该原始扫描报文, 通过 L2TP 隧道发送给本地代理 ; 0039 步骤 3、 本地代理接收封装后的原始扫描报文, 将封装的原始扫描报文中的 L2TP 隧道报头拆除, 变为原始扫描报文, 并将该原始扫描报文的源 IP 地址修改为本地 IP, 同时 建立 map 映射表, 并记录下该映射关系, 之后将修改的原始报文发送给指定的被扫描的资 产, 其中根据设定扫描资产的私网 IP 地址找到被扫描的资产 ; 004。
20、0 步骤 4、 被扫描的资产根据扫描内容进行响应, 将扫描后的结果报文发送给本地代 理 ; 0041 步骤 5、 本地代理收到结果报文, 根据 map 映射表的映射关系, 将结果报文的本地 IP 地址还原, 并封装结果报文, 通过 L2TP 隧道发送给公共代理 ; 0042 步骤 6、 公共代理收到封装的结果报文后, 将其 L2TP 隧道报头拆除, 露出内层原始 的结果报文, 并转发给评估工具, 评估工具得到扫描结果报文进行分析, 得到资产的安全分 析结果。 0043 本发明私网资产的远程安全评估装置, 包括如下模块 : 0044 隧道组建模块, 建立SOC平台的公共代理与业务平台的本地代理之。
21、间的L2TP隧道 进一步具体为 : 0045 隧道组件单元, 业务平台的本地代理向SOC平台的公共代理发起L2TP隧道建立请 求, 进行信令报文交互协商成功后建立 L2TP 隧道 ; 0046 隧道保活单元, 通过心跳机制来验证 L2TP 隧道存在 ; 0047 发送模块, SOC 平台进行安全评估任务时, 设定扫描资产的私网 IP 地址及其关联 的本地代理 IP 地址, 所述本地代理 IP 地址为通过 L2TP 隧道后拨号获得的唯一地址, 之后 将评估工具的网关配置为公共代理地址, 将公共代理的网卡设置为混杂模式, 捕获到评估 工具中扫描工具的原始扫描报文, 封装该原始扫描报文, 通过 L2。
22、TP 隧道发送给本地代理 ; 0048 业务接收处理模块, 本地代理接收封装后的原始扫描报文, 将封装的原始扫描报 文中的L2TP隧道报头拆除, 变为原始扫描报文, 并将该原始扫描报文的源IP地址修改为本 地 IP, 同时建立 map 映射表, 并记录下该映射关系, 之后将修改的原始报文发送给指定的被 说 明 书 CN 104243261 A 6 4/4 页 7 扫描的资产, 其中根据设定扫描资产的私网 IP 地址找到被扫描的资产 ; 0049 扫描模块, 被扫描的资产根据扫描内容进行响应, 将扫描后的结果报文发送给本 地代理 ; 0050 回送模块, 本地代理收到结果报文, 根据 map 映。
23、射表的映射关系, 将结果报文的本 地 IP 地址还原, 并封装结果报文, 通过 L2TP 隧道发送给公共代理 ; 0051 评估模块, 公共代理收到封装的结果报文后, 将其 L2TP 隧道报头拆除, 露出内层 原始的结果报文, 并转发给评估工具, 评估工具得到扫描结果报文进行分析, 得到资产的安 全分析结果。 0052 上述映射表里面存储真实的事件五元组与私网代理转换后的五元组对应关系, 即 : 0053 源 IP 地址真实源端口目的 IP 地址 目的端口协议 0054 VS 0055 本地 IP 地址 随机端口目的 IP 地址 目的端口协议 0056 其中目的 IP 地址即为资产在私网中的具。
24、体的 IP 地址。 0057 所有的私网远程评估工作都依赖于 L2TP 隧道, 因此首先是确保隧道的建立 ; 业务 平台的事先向 SOC 平台外网防火墙发起 L2TP 隧道建立请求, 进行信令报文交互协商成功 后建立 L2TP 隧道, 如图 2a 及图 2b 所示, 其中 LNS 是服务器 ( 即为 SOC 平台 ), LAC 是隧道 的发起人 ( 即为业务平台 ), SCCRQ(Start-Control-Connection-Request, 打开控制连接 请求, SCCRP(Start-Control-Connection-Reply), 启动控制连接的答复 ; SCCCN(Start-。
25、Con trol-connection-Connected), 启动控制连接 ; ICRQ(Incoming-Call-Request) 会话请求 ; ICRP(Incoming-Call-Reply) 会话答复 ; ICCN(Incoming-Call-Connected) 会话连接, 通过 这些报文的交互确定 L2TP 隧道的建立, 在建立完成之后可以通过心跳机制来验证 L2TP 隧 道存在, 即需要定时发送与对端的维护报文, 流程如图 3 所示, LNS 或 LAC 发送 Hello 报文, 此时 LAC 或 LNS 接受到 Hello 报文后发送确认报文 ( 即 ZLB 报文 ) 进行。
26、隧道保活。 0058 本发明具有如下优点 : 本发明一种私网资产的远程安全评估方法及装置, 有效的 解决了防火墙 NAT 后不可达资产的安全风险评估, 并且本发明不改变现网的组网架构, 大 大降低了部署的风险及成本, 远程的评估的实现使得评估成本大大的降低, 而且提高了评 估的速度。 0059 虽然以上描述了本发明的具体实施方式, 但是熟悉本技术领域的技术人员应当理 解, 我们所描述的具体的实施例只是说明性的, 而不是用于对本发明的范围的限定, 熟悉本 领域的技术人员在依照本发明的精神所作的等效的修饰以及变化, 都应当涵盖在本发明的 权利要求所保护的范围内。 说 明 书 CN 104243261 A 7 1/2 页 8 图 1 说 明 书 附 图 CN 104243261 A 8 2/2 页 9 图 2a图 2b图 3 说 明 书 附 图 CN 104243261 A 9 。