一種基于網(wǎng)絡(luò)標(biāo)記的報文訪問控制方法技術(shù)

本發(fā)明專利技術(shù)公開了一種基于網(wǎng)絡(luò)標(biāo)記的報文訪問控制方法，其實施步驟如下：1）預(yù)先在操作系統(tǒng)中設(shè)置訪問控制策略并添加強(qiáng)制訪問控制模塊；在網(wǎng)絡(luò)層的防火墻中添加用于對篩選通過的報文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識的功能；2）通過防火墻對進(jìn)出防火墻的網(wǎng)絡(luò)報文流的每一個報文進(jìn)行篩選過濾，對篩選通過的報文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識；3）針對篩選通過的每一個當(dāng)前報文，通過強(qiáng)制訪問控制模塊檢查訪問控制策略，如果訪問控制策略中對應(yīng)當(dāng)前報文的允許訪問狀態(tài)為允許，則繼續(xù)當(dāng)前報文的后續(xù)收發(fā)處理；否則，丟棄當(dāng)前報文。本發(fā)明專利技術(shù)具有訪問控制與主機(jī)的強(qiáng)制訪問控制技術(shù)結(jié)合、網(wǎng)絡(luò)安全性高、不需要外部基礎(chǔ)設(shè)施和標(biāo)記協(xié)議、標(biāo)記和實施隔離、易于擴(kuò)展和實現(xiàn)的優(yōu)點。

【技術(shù)實現(xiàn)步驟摘要】
一種基于網(wǎng)絡(luò)標(biāo)記的報文訪問控制方法
本專利技術(shù)涉及計算機(jī)操作系統(tǒng)中的網(wǎng)絡(luò)訪問控制技術(shù)，具體涉及一種基于網(wǎng)絡(luò)標(biāo)記的報文訪問控制方法。
技術(shù)介紹
當(dāng)今網(wǎng)絡(luò)技術(shù)迅速發(fā)展，機(jī)器之間的交互日益頻繁，但是在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)通信的安全無法得到保證。雖然采用防火墻等技術(shù)可以在一定程度上保護(hù)內(nèi)部計算機(jī)免受來自外部網(wǎng)絡(luò)的威脅，但防火墻僅針對網(wǎng)絡(luò)分組的物理特性進(jìn)行保護(hù)，例如源/目標(biāo)地址、端口號、應(yīng)用類型等，無法提供更高層次的保護(hù)。網(wǎng)絡(luò)訪問控制技術(shù)是一種根據(jù)報文的特征信息對其訪問的目的進(jìn)行控制的技術(shù)，通常用于將內(nèi)部網(wǎng)絡(luò)和公眾網(wǎng)絡(luò)（互聯(lián)網(wǎng)）分開，網(wǎng)絡(luò)訪問控制技術(shù)可以為兩個進(jìn)行通信的網(wǎng)絡(luò)設(shè)置一個訪問控制標(biāo)準(zhǔn)。在基于互聯(lián)網(wǎng)協(xié)議（IP）的網(wǎng)絡(luò)中，通常是根據(jù)IP報文的源地址和目的地址、應(yīng)用的協(xié)議類型以及IP報文所承載的傳輸控制協(xié)議/用戶數(shù)據(jù)報協(xié)議（TCP/UDP）端口對網(wǎng)絡(luò)間的訪問進(jìn)行控制。目前被廣泛應(yīng)用的是根據(jù)所需要的網(wǎng)絡(luò)訪問控制要求配置一組可對報文進(jìn)行匹配的訪問控制列表（ACL），每個ACL中包含多條規(guī)則，每條規(guī)則里包含了允許或禁止的報文的特征信息。例如，允許主機(jī)A使用文件傳輸協(xié)議（FTP）使用21號端口訪問主機(jī)B。但是這種訪問控制沒有與主機(jī)的強(qiáng)制訪問控制技術(shù)結(jié)合，網(wǎng)絡(luò)的安全性無法得到更好的保證。
技術(shù)實現(xiàn)思路
本專利技術(shù)要解決的技術(shù)問題是：針對現(xiàn)有技術(shù)的上述技術(shù)問題，提供一種訪問控制與主機(jī)的強(qiáng)制訪問控制技術(shù)結(jié)合、網(wǎng)絡(luò)安全性高、不需要外部基礎(chǔ)設(shè)施和標(biāo)記協(xié)議、標(biāo)記和實施隔離、易于擴(kuò)展和實現(xiàn)的基于網(wǎng)絡(luò)標(biāo)記的報文訪問控制方法。為了解決上述技術(shù)問題，本專利技術(shù)采用的技術(shù)方案為：一種基于網(wǎng)絡(luò)標(biāo)記的報文訪問控制方法，其實施步驟如下：1）預(yù)先在操作系統(tǒng)中設(shè)置訪問控制策略并添加基于所述訪問控制策略的強(qiáng)制訪問控制模塊，所述訪問控制策略中的每一個表項包括應(yīng)用程序、安全性網(wǎng)絡(luò)標(biāo)識和是否允許訪問狀態(tài)；在網(wǎng)絡(luò)層的防火墻中添加用于對篩選通過的報文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識的功能；2）通過所述防火墻根據(jù)預(yù)設(shè)的防火墻規(guī)則以及報文的網(wǎng)絡(luò)信息對進(jìn)出防火墻的網(wǎng)絡(luò)報文流中的每一個報文進(jìn)行篩選過濾，并對篩選通過的報文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識；3）針對篩選通過的每一個當(dāng)前報文，通過所述強(qiáng)制訪問控制模塊根據(jù)當(dāng)前報文的安全性網(wǎng)絡(luò)標(biāo)識、當(dāng)前報文對應(yīng)的應(yīng)用程序來檢查訪問控制策略，如果所述訪問控制策略中對應(yīng)當(dāng)前報文的是否允許訪問狀態(tài)為允許，則繼續(xù)當(dāng)前報文的后續(xù)收發(fā)處理；否則，丟棄當(dāng)前報文。優(yōu)選地，所述步驟1）中添加基于所述訪問控制策略的強(qiáng)制訪問控制模塊具體是指針對操作系統(tǒng)中的Netfilter模塊的target構(gòu)件進(jìn)行擴(kuò)展，通過擴(kuò)展增加強(qiáng)制訪問控制結(jié)構(gòu)來添加基于所述訪問控制策略的強(qiáng)制訪問控制模塊；所述在網(wǎng)絡(luò)層的防火墻中添加用于對篩選通過的報文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識的功能具體是指在網(wǎng)絡(luò)層的iptables防火墻中添加用于對篩選通過的報文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識的功能。優(yōu)選地，所述步驟1）中的設(shè)置安全性網(wǎng)絡(luò)標(biāo)識具體是指對報文進(jìn)行完整性驗證得到的完整性標(biāo)識或者對報文進(jìn)行機(jī)密性驗證得到的機(jī)密性標(biāo)識。優(yōu)選地，所述步驟2）中報文的網(wǎng)絡(luò)信息具體包括源地址、目標(biāo)地址、源端口號、目標(biāo)端口號、應(yīng)用協(xié)議類型。優(yōu)選地，所述步驟3）的詳細(xì)步驟如下：針對篩選通過的每一個當(dāng)前報文，獲取當(dāng)前報文對應(yīng)的應(yīng)用程序，如果當(dāng)前報文為應(yīng)用程序發(fā)送的報文，則當(dāng)前報文對應(yīng)的應(yīng)用程序為發(fā)送當(dāng)前報文的應(yīng)用程序，如果所述當(dāng)前報文為來自網(wǎng)絡(luò)結(jié)構(gòu)的報文，則當(dāng)前報文對應(yīng)的應(yīng)用程序為接收當(dāng)前報文的應(yīng)用程序；通過所述強(qiáng)制訪問控制模塊根據(jù)當(dāng)前報文的安全性網(wǎng)絡(luò)標(biāo)識、當(dāng)前報文對應(yīng)的應(yīng)用程序來檢查訪問控制策略，如果所述訪問控制策略中對應(yīng)當(dāng)前報文的是否允許訪問狀態(tài)為允許，則繼續(xù)當(dāng)前報文的后續(xù)收發(fā)處理；否則，丟棄當(dāng)前報文。本專利技術(shù)基于網(wǎng)絡(luò)標(biāo)記的報文訪問控制方法具有下述優(yōu)點：本專利技術(shù)預(yù)先在操作系統(tǒng)中設(shè)置訪問控制策略并添加基于所述訪問控制策略的強(qiáng)制訪問控制模塊，所述訪問控制策略中的每一個表項包括應(yīng)用程序、安全性網(wǎng)絡(luò)標(biāo)識和是否允許訪問狀態(tài)；在網(wǎng)絡(luò)層的防火墻中添加用于對篩選通過的報文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識的功能，后續(xù)則使用防火墻對篩選通過的報文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識，并通過所述強(qiáng)制訪問控制模塊根據(jù)訪問控制策略對報文進(jìn)行訪問控制實施，將強(qiáng)制訪問控制技術(shù)MAC（MandatoryAccessControl）擴(kuò)展到網(wǎng)絡(luò)級，將iptables與主機(jī)強(qiáng)制訪問控制機(jī)制相結(jié)合且基于網(wǎng)絡(luò)標(biāo)記對報文進(jìn)行訪問控制，從而實現(xiàn)保護(hù)網(wǎng)絡(luò)安全的目的，具有訪問控制與主機(jī)的強(qiáng)制訪問控制技術(shù)結(jié)合、網(wǎng)絡(luò)安全性高、不需要外部基礎(chǔ)設(shè)施和標(biāo)記協(xié)議、標(biāo)記和實施隔離、易于擴(kuò)展的優(yōu)點。附圖說明圖1為本專利技術(shù)實施例的實施流程示意圖。圖2為本專利技術(shù)實施例接收報文的流程示意圖。圖3為本專利技術(shù)實施例發(fā)送報文的流程示意圖。圖4為本專利技術(shù)實施例應(yīng)用于完整性控制的流程示意圖。具體實施方式如圖1所示，本實施例基于網(wǎng)絡(luò)標(biāo)記的報文訪問控制方法的實施步驟如下：1）預(yù)先在操作系統(tǒng)中設(shè)置訪問控制策略并添加基于訪問控制策略的強(qiáng)制訪問控制模塊，訪問控制策略中的每一個表項包括應(yīng)用程序、安全性網(wǎng)絡(luò)標(biāo)識和是否允許訪問狀態(tài)；在網(wǎng)絡(luò)層的防火墻中添加用于對篩選通過的報文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識的功能；2）通過防火墻根據(jù)預(yù)設(shè)的防火墻規(guī)則以及報文的網(wǎng)絡(luò)信息對進(jìn)出防火墻的網(wǎng)絡(luò)報文流中的每一個報文進(jìn)行篩選過濾，并對篩選通過的報文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識；3）針對篩選通過的每一個當(dāng)前報文，通過強(qiáng)制訪問控制模塊根據(jù)當(dāng)前報文的安全性網(wǎng)絡(luò)標(biāo)識、當(dāng)前報文對應(yīng)的應(yīng)用程序來檢查訪問控制策略，如果訪問控制策略中對應(yīng)當(dāng)前報文的是否允許訪問狀態(tài)為允許，則繼續(xù)當(dāng)前報文的后續(xù)收發(fā)處理；否則，丟棄當(dāng)前報文。本實施例中，步驟1）中添加基于所述訪問控制策略的強(qiáng)制訪問控制模塊具體是指針對操作系統(tǒng)中的Netfilter模塊的target構(gòu)件進(jìn)行擴(kuò)展，通過擴(kuò)展增加強(qiáng)制訪問控制結(jié)構(gòu)（MandatoryAccessControl結(jié)構(gòu)，簡稱MAC結(jié)構(gòu)）來添加基于訪問控制策略的強(qiáng)制訪問控制模塊；在網(wǎng)絡(luò)層的防火墻中添加用于對篩選通過的報文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識的功能具體是指在網(wǎng)絡(luò)層的iptables防火墻中添加用于對篩選通過的報文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識的功能，除了現(xiàn)有的報文選擇過濾模塊（用于篩選過濾）以外，本實施例在在網(wǎng)絡(luò)層的iptables防火墻中增加了報文標(biāo)記模塊，通過報文標(biāo)記模塊添加用于對篩選通過的報文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識的功能，對操作系統(tǒng)中的iptables防火墻修改后，修改添加iptables對進(jìn)出防火墻的報文進(jìn)行選擇過濾并打安全標(biāo)記，后繼的訪問控制判斷遞交由強(qiáng)制訪問控制模塊按照訪問控制策略來進(jìn)行訪問控制實施。本實施例中，步驟2）中報文的網(wǎng)絡(luò)信息具體包括源地址、目標(biāo)地址、源端口號、目標(biāo)端口號、應(yīng)用協(xié)議類型。如圖2所示，對于從網(wǎng)絡(luò)進(jìn)入本地網(wǎng)絡(luò)接口的報文，iptables防火墻根據(jù)防火墻規(guī)則以及源地址、目標(biāo)地址、源端口號、目標(biāo)端口號、應(yīng)用協(xié)議類型等進(jìn)行選擇過濾，并對匹配iptables標(biāo)記規(guī)則（篩選通過）的報文設(shè)置相應(yīng)的安全標(biāo)記；強(qiáng)制訪問控制模塊按照訪問控制策略實施訪問控制檢查，如果策略允許相應(yīng)應(yīng)用接收該標(biāo)記的報文，則該報文通過iptables防火墻并被該應(yīng)用接收，如果策略不允許相應(yīng)應(yīng)用接收該標(biāo)記的報文，則該報文被iptables防火墻丟棄。如圖3所示，對于本地應(yīng)用本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點】
一種基于網(wǎng)絡(luò)標(biāo)記的報文訪問控制方法，其特征在于實施步驟如下：1）預(yù)先在操作系統(tǒng)中設(shè)置訪問控制策略并添加基于所述訪問控制策略的強(qiáng)制訪問控制模塊，所述訪問控制策略中的每一個表項包括應(yīng)用程序、安全性網(wǎng)絡(luò)標(biāo)識和是否允許訪問狀態(tài)；在網(wǎng)絡(luò)層的防火墻中添加用于對篩選通過的報文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識的功能；2）通過所述防火墻根據(jù)預(yù)設(shè)的防火墻規(guī)則以及報文的網(wǎng)絡(luò)信息對進(jìn)出防火墻的網(wǎng)絡(luò)報文流中的每一個報文進(jìn)行篩選過濾，并對篩選通過的報文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識；3）針對篩選通過的每一個當(dāng)前報文，通過所述強(qiáng)制訪問控制模塊根據(jù)當(dāng)前報文的安全性網(wǎng)絡(luò)標(biāo)識、當(dāng)前報文對應(yīng)的應(yīng)用程序來檢查訪問控制策略，如果所述訪問控制策略中對應(yīng)當(dāng)前報文的是否允許訪問狀態(tài)為允許，則繼續(xù)當(dāng)前報文的后續(xù)收發(fā)處理；否則，丟棄當(dāng)前報文。

【技術(shù)特征摘要】
1.一種基于網(wǎng)絡(luò)標(biāo)記的報文訪問控制方法，其特征在于實施步驟如下：1）預(yù)先在操作系統(tǒng)中設(shè)置訪問控制策略并添加基于所述訪問控制策略的強(qiáng)制訪問控制模塊，所述訪問控制策略中的每一個表項包括應(yīng)用程序、安全性網(wǎng)絡(luò)標(biāo)識和是否允許訪問狀態(tài)；在網(wǎng)絡(luò)層的防火墻中添加用于對篩選通過的報文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識的功能；所述安全性網(wǎng)絡(luò)標(biāo)識具體是指對報文進(jìn)行完整性驗證得到的完整性標(biāo)識或者對報文進(jìn)行機(jī)密性驗證得到的機(jī)密性標(biāo)識；2）通過所述防火墻根據(jù)預(yù)設(shè)的防火墻規(guī)則以及報文的網(wǎng)絡(luò)信息對進(jìn)出防火墻的網(wǎng)絡(luò)報文流中的每一個報文進(jìn)行篩選過濾，并對篩選通過的報文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識；3）針對篩選通過的每一個當(dāng)前報文，通過所述強(qiáng)制訪問控制模塊根據(jù)當(dāng)前報文的安全性網(wǎng)絡(luò)標(biāo)識、當(dāng)前報文對應(yīng)的應(yīng)用程序來檢查訪問控制策略，如果所述訪問控制策略中對應(yīng)當(dāng)前報文的是否允許訪問狀態(tài)為允許，則繼續(xù)當(dāng)前報文的后續(xù)收發(fā)處理；否則，丟棄當(dāng)前報文。2.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)標(biāo)記的報文訪問控制方法，其特征在于：所述步驟1）中添加基于所述訪問控制策略的強(qiáng)制訪問控制模塊具體是指針對操作系統(tǒng)中的Netfilter模塊...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：魏立峰，王玉成，王曉川，黃辰林，董攀，丁滟，陳松政，羅軍，
申請(專利權(quán))人：中國人民解放軍國防科學(xué)技術(shù)大學(xué)，
類型：發(fā)明
國別省市：湖南;43