CN101453424A - 一种网络信息资源访问控制方法和系统 - Google Patents

Abstract

一种网络信息资源访问控制方法和系统。一种网络信息资源访问控制方法实施例，应用在对网络应用系统透明的网络信息资源访问控制系统中，包括：提取数据流单元的特征信息，所述数据流单元为网络信息资源访问控制中将数据流按照访问控制需求划分的数据项；将数据流单元的特征信息与访问控制策略集合进行匹配，获得匹配结果；根据匹配结果对数据流单元进行控制，过滤禁止访问的数据流单元，放行允许访问的数据流单元。利用本发明在网络信息资源访问控制中实现对网络应用系统的透明地细粒度访问控制。

Description

一种网络信息资源访问控制方法和系统

技术领域

本发明涉及网络安全技术领域，特别涉及一种网络信息资源访问控制方法和系统。

背景技术

访问控制就是通过某种途径显式地准许或限制访问能力及范围，从而限制对关键资源的访问，防止非法用户的侵入或者合法用户的不慎操作造成的破坏，它是对信息系统资源进行保护的重要措施。网络信息资源访问控制基本原理与访问控制一样，只是网络信息资源访问控制实现了对网络信息资源的访问控制，保证了网络信息资源不被非法使用和访问。

现有技术中，网络信息资源访问控制通常是与网络应用系统紧密结合在一起，或是直接在网络应用系统开发中增加网络信息资源访问控制模块，这两种方法的局限性在于网络信息资源访问控制逻辑同网络应用系统逻辑捆绑在一起，需要针对每个不同的网络应用系统开发相对应的访问控制系统，或需要对原有网络应用系统进行修改以满足网络信息资源访问控制系统的要求，这样造成的直接后果是网络信息资源访问控制系统对网络应用系统的透明性较差。

现有技术中的应用层访问控制网关在对网络信息资源实施访问控制过程中，在一定程度上解决了网络信息资源访问控制系统对网络应用系统透明性较差的缺点，但多采用较粗粒度的访问控制方法，对整个Web页面进行访问控制，不能对网络信息资源实施透明地细粒度访问控制。

现有技术中网络信息资源细粒度的访问控制多采用“元素级”访问控制，例如在Web页面资源“元素级”访问控制中，将页面原始文件中的元素作为基本访问控制单元，通过统一资源标识符(URI，Universal Resource Identifier)来标识页面，利用资源的路径标识符<Path>定位到资源实体，来标识资源在页面中的位置。对Web页面进行元素级的描述与表示，从而细化了访问控制的粒度；但须将页面的脚本代码与授权信息结合，在页面的生成过程中实现对网络信息资源的访问控制，使得网络信息资源访问控制系统与网络应用系统紧密耦合，互相不透明。

由上面可以看出，现有技术中网络信息资源的访问控制都不能更好地实现透明地访问控制，即不能实现对网络应用系统透明且透明地细粒度访问控制。

发明内容

本发明实施例的目的是提供一种网络信息资源访问控制方法和系统，实现网络信息资源访问控制对网络应用系统的透明且透明地细粒度访问控制。

为解决上述技术问题，本发明实施例提供一种网络信息资源访问控制方法和系统是这样实现的：

一种网络信息资源访问控制方法，应用在对网络应用系统透明的网络信息资源访问控制系统中，包括：

提取数据流单元的特征信息，所述数据流单元为网络信息资源访问控制中将数据流按照报文格式划分的数据项；

将数据流单元的特征信息与访问控制策略集合进行匹配，获得匹配结果；

根据匹配结果对数据流单元进行控制，过滤禁止访问的数据流单元，放行允许访问的数据流单元。

优选地，所述方法中，所述提取数据流单元的特征信息具体为：

提取请求数据流单元的特征信息或响应数据流单元的特征信息。

优选地，所述方法中，所述请求数据流单元的特征信息包括两部分：

(1)与请求数据流单元所属TCP连接相关的特征信息，包括TCP连接的源IP地址、源端口号、目的IP地址和目的端口号；

(2)与请求数据流单元所请求网络信息资源相关的特征信息，包括：方法字段、请求资源的统一资源标识符URL和请求参数集合，其中所述请求参数集合包括请求行相对URL中参数集合和请求实体参数集合。

优选地，所述方法中，所述响应数据流单元的特征信息包括两部分：

(1)与响应数据流所属TCP连接相关的特征信息，包括TCP连接的源IP地址、源端口号、目的IP地址、目的端口号；

(2)与响应数据流单元所包含网络信息资源相关的特征信息，包括：响应状态、响应资源类型和响应长度。

优选地，所述方法中，所述响应数据流单元包括细化分为数据片的响应数据流单元，所述数据片为一个页面元素或具有相同上级的几个相邻页面元素的集合。

优选地，所述方法中，所述数据片的特征信息包括：

数据片所属的响应数据流单元的特征信息；

数据片中动态资源的标识信息；

数据片自身的标识信息。

优选地，所述方法中，所述将数据流单元的特征信息与访问控制策略集合进行匹配之前进一步包括：

建立主体策略表，所述主体策略表包括主体和主体对应的策略，其中所述主体对应的策略包括URL字段和动态网络信息资源字段；

对主体策略表中每个主体对应的策略中的URL字段建立反向AC自动机；

对主体策略表中每个主体对应的策略中的动态网络信息资源字段建立反向AC自动机。

优选地，所述方法中，所述将数据流单元的特征信息与访问控制策略集合进行匹配具体为：

调用多模式匹配算法DSM，将数据流单元的特征信息作为目标串与作为多模式串的访问控制策略集合进行匹配，其中，所述多模式匹配算法DSM包括：

多模式串的预处理过程，用于建立多模式串的反向AC自动机、计算字符的位移函数；

多模式串的匹配过程，用于将多模式的反向AC自动机从目标串的首字符开始向结尾方向移动进行匹配，并将多模式串的预处理中的位移函数值作为字符匹配失败时的移动距离。

一种网络信息资源访问控制系统，对网络应用系统透明，包括：

特征提取匹配单元，用于提取数据流单元的特征信息，将数据流单元的特征信息与访问控制策略集合进行匹配，获得匹配结果，所述数据流单元为网络信息资源访问控制中将数据流按照报文格式划分的数据项；

过滤单元，根据匹配结果对数据流单元进行控制，过滤禁止访问的数据流单元，放行允许访问的数据流单元。。

优选地，所述系统中，所述数据流单元的特征提取匹配单元包括：

特征提取单元：用于提取数据流单元的特征信息；

访问控制匹配单元：用于将数据流单元的特征信息与访问控制策略集合进行匹配，获得匹配结果。

优选地，所述系统中，所述系统进一步包括：

访问控制策略预处理单元，用于建立主体策略表，对主体策略表中每个主体对应的策略中的URL字段建立反向AC自动机，对主体策略表中每个主体对应的策略中的动态网络信息资源字段建立反向AC自动机。

由以上本发明实施例提供的技术方案可见，通过对数据流单元特征信息的提取，再将数据流单元的特征信息与访问控制策略集合进行匹配，根据匹配结果对数据流单元进行过滤，实现了对网络信息资源的访问控制。本发明实施例应用于对网络信息资源透明的访问控制系统中，实现了网络信息资源访问控制与网络应用系统的分离，使得网络信息资源访问控制对网络应用系统透明；本发明实施例中将数据流较细粒度的划分为数据流单元，将数据流单元作为网络信息资源传输过程中对网络信息资源访问控制的基本单位，实现了对网络信息资源细粒度的透明访问控制。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种网络信息资源访问控制方法的流程图；

图2为本发明实施例提供的多模式匹配算法DSM示意图；

图3为本发明实施里提供的一种网络信息资源访问控制系统的示意图。

具体实施方式

本发明实施例提供一种网络信息资源访问控制方法和系统。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

以下介绍本发明网络信息资源访问控制的一方法实施例。图1示出了该实施例的流程，如图1所示，该方法应用在独立于网络应用系统的网络信息资源访问控制系统中，该方法实施例包括：

步骤101：提取数据流单元的特征信息，所述数据流单元为网络信息资源访问控制中将数据流划分的数据项，所述数据流单元为请求数据流单元或响应数据流单元；

数据流是指访问者访问网络信息资源时，访问端与网络应用系统(或服务器)之间传输的数据的比特流，数据流是随着网络信息资源访问控制过程而产生的。将数据流按照报文格式划分为数据项的有序集合，集合中的每个数据项称为一个数据流单元。

按照对数据流双向性特点的分析，根据请求与响应两个方向将数据流划分为请求数据流和响应数据流两类；根据报文格式将请求数据流和响应数据流划分为请求数据流单元集合和响应数据流单元集合，每个请求/响应数据流单元对应一个或连续的多个HTTP请求/响应报文，下面将分别分析和提取相应特征信息。

一、请求数据流单元特征信息及提取

1、请求数据流单元特征信息包括：

(1)与所属TCP连接相关的特征信息

一个TCP连接用它的两个端点来进行标识，而每一个端点又由IP地址和端口号共同确定，所以与所属TCP连接相关的特征信息用<<源IP地址、端口号>，<目的IP地址、端口号>>来表示。

(2)与所请求网络信息资源相关的特征信息

请求数据流单元中与网络信息资源相关的特征，以HTTP请求报文为例，其中与访问控制相关的信息主要包括“方法字段”、“请求资源的统一资源定位符(URL，Uniform Resource Locator)”、“请求参数集合”三部分。

“方法字段”表示将要以何种方式来访问由请求行中的URL指定的网络信息资源，如“get”，“post”等。

请求资源的URL，用于标识要请求的网络信息资源，由请求行中相对URL和Host字段两部分组成。

请求行中的URL，一般使用相对URL的形式(即省略了服务器的地址或域名)，如“/newsl/news.asp”，但是有些相对URL中还包含了参数部分，如“/show.aspx？id＝1675&cid＝11”。为了便于分析，本发明实施例将其分为请求行中的相对URL(不含参数)和相对URL参数两部分，并将相对URL参数与实体中的参数统一作为参数部分处理。Host字段定义了服务器IP地址(或域名)。相对URL(不包括参数)和Host字段共同组成了请求资源的统一资源标识符URL。

请求参数集合在HTTP请求中包括两部分：请求行相对URL参数集合和请求实体参数集合。请求参数集合是浏览器提交访问请求时重要的数据内容，请求参数集合中每个参数的取值直接影响了响应信息中动态网络资源信息的产生，请求参数集合中每个参数取值的限定范围直接影响访问者所能访问的网络信息资源的范围。

2、请求数据流单元特征信息的提取：

(1)请求数据流单元所属的TCP连接的<<源IP地址、端口号>，<目的IP地址、端口号>>可直接从数据包中提取；

(2)提取与请求网络信息资源相关特征信息，包括：

解析方法字段；

提取相对URL；

提取相对URL的参数部分；

提取Host字段；

提取实体中参数部分。

二、响应数据流单元特征信息及提取

1、响应数据流单元特征信息包括：

(1)与所属TCP连接相关的特征信息

响应数据流单元与其对应的请求数据流单元属于同一个TCP连接中，通过<<源IP地址、端口号>，<目的IP地址、端口号>>来表示响应数据流单元所在的TCP连接。

(2)与所包含网络信息资源相关的特征信息

与响应数据流单元所包含网络信息资源相关的特征信息，仍以HTTP响应报文为例，其中与访问控制相关的特征信息主要包括“响应状态”、“响应资源类型”、“响应长度”三部分。

“响应状态”由响应报文中的状态码来表示。通过“响应状态”可以判断当前响应报文中是否含有网络信息资源，在访问控制时，只需对含有网络信息资源的响应报文进行分析与控制，而对于不含网络信息资源的响应报文则无需处理。

“响应资源类型”，记录了当前响应报文中所含网络信息资源的类型。可以针对网络信息资源类型制定访问控制策略，控制用户所能访问的网络信息资源类型，例如：禁止访问jpg、gif、image等图片类型的网络信息资源。

“响应资源的长度”，记录了当前响应报文中所含网络信息资源的大小。可以针对网络信息资源长度制定访问控制策略，控制用户所能访问的网络信息资源的大小，例如：禁止访问单个文件>10M的网络信息资源。

2、响应数据流单元特征信息的提取：

(1)响应数据流单元所属TCP连接的<<源IP地址、端口号>，<目的IP地址、端口号>>可直接从数据包中提取；

(2)提取与所包含网络信息资源相关的特征信息，包括：

提取响应状态；

提取响应资源类型；

提取响应资源的长度。

3、响应数据流单元中数据片的特征信息及提取

对于网络信息资源而言，特别是动态生成的Web信息资源，为了对其进行更细粒度的访问控制，需要对其响应方向的数据流进行更细粒度的划分。根据所包含资源的类型，将响应数据流单元划分为文本型和非文本型响应数据流单元，其中根据文本型资源的特点，将文本型响应数据流单元的数据部分划分为更细粒度的响应数据流单元，称之为数据片。数据片是一个页面元素或具有相同上级的几个相邻页面元素的集合。

数据片是Web信息资源页面的一个有意义的区域(最小可以是一个结点，最大可以是一个完整的页面)，对应着页面树形结构中一个元素或几个相邻元素的集合。当Web信息资源以数据流的形式在传输时，数据片对应的是响应数据流中的一段连续的数据内容。

(1)数据片的特征信息包括：

A、所属响应数据流单元的特征信息

数据片是响应数据流单元的更细粒度的划分，所以，它的特征信息应该包含其所属的响应数据流单元的特征信息。

数据片位于响应数据流单元的数据部分，要确定数据片在响应数据流单元中的位置，须获取响应数据流单元的数据部分的首尾指针。

B、数据片中动态资源的标识信息

动态页面是由静态页面框架与动态生成内容组装而成的。根据数据片内部结点集的不同结构，下面将分4种情况讨论数据片中动态资源的标识信息：

B1、数据片中的动态资源由一个结点构成，可由结点的标签Node_label标识。

B2、数据片中的动态资源由多个结点构成数据片的一个子树，对此情况需要再细分为三种分情况：

分情况1、由子树的根结点RootNode_label作为该动态资源的标识信息。

分情况2、数据片中存在着与该动态资源具有相同根结点的子树，所以根结点不能作为动态资源唯一标识，但两个子树非根结点中有不同，所以可由该子树的结点集合NodeSet_label作为其标识信息。

分情况3、数据片中存在着这样的子树，它与该动态资源不仅根结点相同，而且非根结点也相同，即两个子树具有相同的树形结构，二者的不同在于其位置不同，因此可以通过树的遍历序列来区分它们。在数据流中，数据片对应的页面的树形结构正是以先根遍历的序列进行传输的，所以可以通过顺序扫描数据流中对应的数据内容来提取它们的标识信息。

B3、数据片中的动态资源由多个结点构成数据片的多个子树，可由多个子树的标识信息共同来表示。

B4、数据片中的动态资源是某个结点中的内容，应该以动态资源内容作为标识信息，如关键字“Report”等。

C、响应数据流单元中数据片的标识信息

数据片的标识信息为在响应数据流单元中数据片的位置和范围的标识信息，数据片在页面中的标识方法与数据片中动态资源的标识方法相同。

(2)响应数据流单元中数据片特征信息的提取：

提取所属响应数据流单元的特征信息；

提取数据片中动态资源的标识信息；

提取数据片的标识信息。

网络信息资源中不同区域的敏感程度不同，对于不同权限的用户需要分别为页面中的不同部分设置不同的权限，而不能简单的将整个文件作为访问控制的单元。所以基于数据流单元的网络信息资源访问控制方法，以数据流单元作为基本单位实现了透明地细粒度访问控制，对响应数据流单元中数据片的访问控制实现对网络信息的透明地更细粒度访问控制。

在文本型响应数据流单元中，动态网络信息资源分布于页面中不同的区域中，对这些动态网络信息资源的控制自然不能依赖对整个网页的控制，而是需要先将页面按照需求划分为不同的区域(即数据片)，将数据片作为动态网络信息资源的访问控制单元，通过对数据流中数据片的访问控制实现对网络信息中各个区域的动态网络信息资源的透明地访问控制。

步骤102：将数据流单元的特征信息与访问控制策略进行匹配，获得匹配结果；

基于数据流单元的访问控制策略可描述为{主体，客体，操作，[条件]}的形式，其中，主体为发出访问请求的主动方，通常可以是用户、角色或进程等；客体为被访问的对象，通常可以是被访问的文件、系统、信息或被调用的进程等；访问控制策略包含了对数据流单元特征的描述，即数据流单元的特征信息。按照数据流单元的分类，访问控制策略应该包括对请求数据流单元、响应数据流单元两类数据流单元的特征的描述。

在对数据流单元的特征信息与访问控制策略集合进行匹配之前进一步包括：对访问控制策略库中的访问控制策略集合进行预处理。

在访问控制实施之前，将访问控制策略库中已制定的访问控制策略按照一定的数据结构进行组织，使其能满足快速、实时的多模式匹配要求，其中对访问控制策略集合进行预处理包括：

102a：建立“主体策略”表；

“主体策略”表是一个“主体，策略集合”的二维表，用于管理与主体相关的策略集合。

102b：针对表中每个主体对应策略中的URL字段建立反向AC自动机；

102c：针对表中每个主体对应策略中的动态资源字段建立反向AC自动机。

访问控制策略集合中动态网络信息资源的标识对应了数据片中动态网络信息资源的标识信息，可以是结点或结点集的标签、遍历路径、关键字字符串等，这些都是以字符串的形式表示的。所以，关于策略中动态网络信息资源字段部分的匹配也是一个多模式匹配问题，在对访问控制策略集合的预处理过程中，为动态网络信息资源建立对应的反向AC自动机。

访问控制策略匹配流程包括：

(1)TCP建立连接时，提取出IP地址、端口号Port与访问控制策略进行匹配。

(2)从请求数据流单元中提取的特征信息与对应的访问控制策略集合进行匹配，例如从HTTP请求信息中提取相对URL、参数集合等。

(3)从响应数据流单元提取的特征信息与对应的访问控制策略集合进行匹配。

其中，前两个阶段是对请求数据流单元特征信息与对应的访问控制策略的匹配过程；第三个阶段是对响应数据流单元的特征信息与对应的访问控制策略的匹配过程。

数据流单元的特征信息与访问控制策略中对应字段的匹配过程核心是模式匹配。数据流单元的特征信息与访问控制策略的匹配，需要二者对应部分进行逐字节的比较运算，因此本质上是字符串的模式匹配问题。

访问控制策略库中存有多条策略，因此就需要将数据流单元中的特征信息与多条策略进行模式匹配，是一个多模式匹配的过程。本发明实施例调用多模式匹配算法DSM对数据流单元的特征信息与访问控制策略集合进行匹配。匹配过程是访问控制决策的核心部分，是在数据流传输过程中执行的。

多模式匹配算法DSM包括两部分：多模式串的预处理过程和多模式串的匹配过程。其中，多模式串的预处理过程用于建立多模式串的反向AC自动机和计算字符的位移函数；多模数串的匹配过程用于将多模式的AC自动机从目标串的首字符开始向结尾方向移动进行匹配，并将预处理中的位移函数值作为字符匹配失败时的移动距离。

步骤103：根据匹配结果，对数据流单元进行过滤。

根据匹配结果中匹配的访问控制策略，对数据流单元进行控制，如果访问控制策略禁止访问，对相应的数据流单元进行过滤，禁止相应的数据流单元通过；如果访问控制策略允许访问，允许相应的数据流单元通过。

本发明实施例调用多模式匹配算法DSM，将数据流单元的特征信息与访问控制策略集合进行匹配。

多模式匹配算法DSM包括：

1、多模式串的预处理过程

多模式串的预处理过程包括建立反向AC自动机和位移函数。

(1)反向AC自动机的建立

定义反向AC自动机为五元组{有穷状态集Q，有穷的输入字符表∑，转移函数goto()，初始状态q₀，终止状态F}，其中，有穷状态集Q表示反向AC自动机的所有状态集合，它是一个有限集合，集合中状态数目与模式串集合的每个模式串相关；有穷的输入字符表∑表示字符表集合，数目为2⁸＝256个字符；转移函数goto()表示反向AC自动机中的前一状态在该字符作用下，通过转移函数进入下一个状态；终止状态F表示当模式串添加到反向AC自动机后反向AC自动机的一个状态，表示当前字符串已经添加到反向AC自动机中。

建立过程如下：

[1]定义反向AC自动机和反向AC自动机的状态结点；

[2]定义初始状态q₀；

[3]依次取出每个模式串，逆序取出模式串中的字符，添加到反向AC自动机中。若模式串中的所有字符已经添加到反向AC自动机中，则将当前状态作为终止状态，表示当前字符串已经添加到反向AC自动机中；

[4]确定转移函数；

[5]如果没有匹配字符对应的下一状态，则增加新的状态结点，并进入下一状态，否则，直接进入下一状态；

[6]循环执行步骤[3]-[5]，将多模式串都添加到反向AC自动机中，完成反向AC自动机的建立。

(2)位移函数的建立

提高模式匹配算法效率的主要途径是利用模式串匹配失败时可以获取的信息进一步增大跳跃距离。本算法的位移函数定义了当多模式串的反向AC自动机与目标串匹配过程中“失配”时反向AC自动机应移动的最大距离。“失配”的含义是：反向AC自动机当前的状态为通过目标串中字符不能进入下一状态，则称反向AC自动机与目标串失配。

现有技术中BMH算法根据“失配”时目标串中的字符，确定模式串移动的距离，而BMHS算法则根据“失配”时目标串中字符的下一个字符，确定模式串的移动距离。本算法将二者综合以确定模式串移动距离，并应用到多模式匹配算法中，定义了多模式串反向AC自动机的位移函数。

定义当前字符失配最大位移函数skipH。当反向AC自动机与目标串失配时，若目标串的当前字符为T[i]，则反向AC自动机应移动的最大距离表示为skipH(T[i])。

定义下一字符失配最大位移函数为skipQ。当反向AC自动机与目标串失配时，若目标串的当前字符的下一个字符T[i+1]，则反向AC自动机应移动的最大距离表示为skipQ(T[i+1])。

skipH和skipQ函数求解过程为：

第一步：初始化skipH和skipQ。对字符集中每个字符char，令skipH(char)初始值为模式串集合中最小模式串的长度L，skipQ(char)初始值为模式串集合中最小模式串的长度L加1；

第二步：依次取出每个模式串中的前L个字符，重新计算每个字符char的skipH(char)和skipQ(char)的值，依次对skipH和skipQ的初始值进行修正；

如果字符char是模式串p的第j个字符(j＝0，1、、Length(p)-1，其中Length(p)为模式串p的长度)，则skipH(char)的修正值为Length(p)-j-1，而skipQ(char)的修正值为Length(p)-j，每个字符char的skipH(char)和skipQ(char)是唯一的。模式串中若出现同一个字符，则skipH(char)取最小值。

第三步：依次取出每个模式串，对于模式串结束字符的skipQ值直接取值为1。

经过上述三个步骤的求解，完成位移函数。

2、多模式串匹配过程

多模式串匹配过程：将反向AC自动机与目标串匹配，在匹配过程中，匹配从反向AC自动机的初始状态开始，采用逆序匹配，匹配任一模式串的尾字符，若匹配失败，则目标串的指针右移L个字符(L取skipH(T[i])和skipQ(T[i+1])二者的较大值)，直到找到某一模式串的尾字符，满足状态转移函数，进入下一状态继续匹配，若匹配成功，则匹配下一个字符；若匹配失败，则目标串指针右移L个字符(L取skipH(T[i])和skipQ(T[i+1])二者的较大值)，并从反向AC自动机的初始状态开始新的匹配。在匹配过程中，如果成功匹配到某个模式串，则输出模式串在目标串中的位置(先输出匹配成功的字符串，再输出匹配字符串在目标串中首字符的位置或尾字符的位置)。

本发明实施例采用多模式匹配算法DSM，将数据流单元的特征信息与访问控制策略集合进行匹配。采用DSM算法，极大地提高了访问控制决策时策略匹配的效率，从而较好地实现了多策略条件下高效、透明的访问控制，为更好地实现对动态网络信息资源的透明地访问控制和对网络信息资源的透明地细粒度访问控制提供了保证。

图2为本发明实施例提供的多模式串匹配算法DSM的示意图，如图2所示，多模式串由多个模式串(data，stream，based，multipa)组成，目标串为“datastreambasedmultipatternalgorith“，将多模式串与目标串进行多模式匹配运算，运算过程为：

(1)预处理过程：从初始状态状态0开始，依次取出多模式串中每个模式串的最后一个字符，如“data”的尾字符“a”开始，字符作为反向AC自动机状态转换条件，逐个添加到反向AC自动机中，依次进入状态1、2、3和4，“data”模式串添加完毕，当前状态4为终止状态，表明当前字符串已经添加到反向AC自动机中。以此类推将所有的模式串都添加到反向AC自动机中，完成多模式串的反向AC自动机的建立。同心圆表示的状态为终止状态，如状态4、10、15、21。

依据位移函数的计算方法获得字符的位移函数，位移函数表示当反向AC自动机与目标串的当前字符不匹配时，应该移动的距离。

(2)匹配过程

多模式串的反向AC自动机从目标串的首字符开始向结尾方向移动，与之进行逆向匹配，并将预处理中计算的位移函数值作为字符匹配失败时的移动距离。如从反向AC自动机的起始状态“0”开始，与目标串第1个字符“d”比较，相符进入状态“11”，因为字符“d”是第1个字符，所以则继续往下进行比较，目标串第2个“a”与“e”不同，则从状态“11”无法继续进行，则移动反向AC自动机与目标串的对应位置，失配字符“a”的位移函数值为2，则移动到目标串第4个字符“a”，而且反向AC自动机重新从状态0开始匹配比较。

接着从反向AC自动机的起始状态“0”开始，与目标串第4个字符“a”比较，相符进入状态1，则继续进行比较，采用逆序比较，比较目标串的第3个字符“d”，依次类推完成整个模式串的匹配过程，提取出匹配模式串。以此类推接着执行匹配比较，如果不是模式串尾字符的，接着往下进行，直至找到模式串的尾字符才开始逆向匹配比较，完成全部模式串的匹配过程。

以下介绍本发明网络信息资源访问控制的一系统实施例，图3示出了该系统实施例的框图，如图3所示，该系统实施例包括：

特征提取匹配单元，用于提取数据流单元的特征信息，将数据流单元的特征信息与访问控制策略集合进行匹配，获得匹配结果，发送匹配结果至过滤单元；

过滤单元，用于根据匹配结果中匹配的访问控制策略对数据流单元进行控制，如果访问控制策略禁止访问，对相应的数据流单元进行过滤，禁止相应的数据流单元通过；如果访问控制策略允许访问，允许相应的数据流单元通过。

其中，特征提取匹配单元与过滤单元相连接。

其中，访问控制策略库提供访问控制策略集合给特征提取匹配单元，其中的访问控制策略集合可以先经过访问控制策略的预处理后再提供给特征提取匹配单元，访问控制策略集合的预处理包括：

(1)建立“主体策略”表，“主体策略”表是一个“主体，策略集合”的二维表，用于管理与主体相关的策略集合；

(2)针对表中每个主体对应策略中的URL字段建立反向AC自动机；

(3)针对表中每个主体对应策略中的动态资源字段建立反向AC自动机。

其中，特征提取匹配单元包括特征提取单元和访问控制匹配单元，特征提取单元用于提取请求数据流单元和响应数据流单元的特征信息，发送至访问控制匹配单元；访问控制匹配单元用于调用多模式匹配算法DSM，将提取的请求数据流单元和响应数据流单元的特征信息与访问控制策略集合进行匹配，获得匹配结果，发送至过滤单元。

请求数据流单元和响应数据流单元的特征信息及提取以及多模式匹配算法DSM，详见前面一种网络信息资源访问控制方法中相应的文字描述。

本发明实施例提供的网络信息资源访问控制系统可以作为访问控制网关，部署于内网中的任意子网边界，需要为设备配置内网和外网的IP地址；也可以单独为每个应用系统配置一个访问控制系统，对应用系统实施资源的访问控制保护。

本发明实施例提供的一种网络资源访问控制方法和系统，通过对网络信息资源传输过程中的数据流单元分析实施访问控制，从而实现了对网络信息资源透明地访问控制。本发明实施例应用在独立于网络信息资源访问控制系统中，实现了网络信息资源访问控制与网络应用系统的分离，使得网络信息资源访问控制对网络应用系统透明；数据流单元作为网络信息资源访问控制的基本单位，能够实现对资源细粒度的透明访问控制；提取数据流单元中动态资源的特征信息，实现了透明地控制动态网络信息资源。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (11)

1、一种网络信息资源访问控制方法，其特征在于，应用在对网络应用系统透明的网络信息资源访问控制系统中，包括：

提取数据流单元的特征信息，所述数据流单元为网络信息资源访问控制中将数据流按照访问控制需求划分的数据项；

将数据流单元的特征信息与访问控制策略集合进行匹配，获得匹配结果；

根据匹配结果对数据流单元进行控制，过滤禁止访问的数据流单元，放行允许访问的数据流单元。

2、根据权利要求1所述的方法，其特征在于，所述提取数据流单元的特征信息具体为：

提取请求数据流单元的特征信息或响应数据流单元的特征信息。

3、根据权利要求2所述的方法，其特征在于，所述请求数据流单元的特征信息包括两部分：

(1)与请求数据流单元所属TCP连接相关的特征信息，包括TCP连接的源IP地址、源端口号、目的IP地址和目的端口号；

(2)与请求数据流单元所请求网络信息资源相关的特征信息，包括：方法字段、请求资源的统一资源标识符URL和请求参数集合，其中所述请求参数集合包括请求行相对URL中参数集合和请求实体参数集合。

4、根据权利要求2所述的方法，其特征在于，所述响应数据流单元的特征信息包括两部分：

(1)与响应数据流所属TCP连接相关的特征信息，包括TCP连接的源IP地址、源端口号、目的IP地址、目的端口号；

(2)与响应数据流单元所包含网络信息资源相关的特征信息，包括：响应状态、响应资源类型和响应长度。

5、根据权利要求2所述的方法，其特征在于，所述响应数据流单元包括细化分为数据片的响应数据流单元，所述数据片为一个页面元素或具有相同上级的几个相邻页面元素的集合。

6、根据权利要求5所述的方法，其特征在于，所述数据片的特征信息包括：

数据片所属的响应数据流单元的特征信息；

数据片中动态资源的标识信息；

数据片自身的标识信息。

7、根据权利要求1所述的方法，其特征在于，所述将数据流单元的特征信息与访问控制策略集合进行匹配之前进一步包括：

建立主体策略表，所述主体策略表包括主体和主体对应的策略，其中所述主体对应的策略包括URL字段和动态网络信息资源字段；

对主体策略表中每个主体对应的策略中的URL字段建立反向AC自动机；

对主体策略表中每个主体对应的策略中的动态网络信息资源字段建立反向AC自动机。

8、根据权利要求1所述的方法，其特征在于，所述将数据流单元的特征信息与访问控制策略集合进行匹配具体为：

调用多模式匹配算法DSM，将数据流单元的特征信息作为目标串与作为多模式串的访问控制策略集合进行匹配，其中，所述多模式匹配算法DSM包括：

多模式串的预处理过程，用于建立多模式串的反向AC自动机、计算字符的位移函数；

多模式串的匹配过程，用于将多模式的反向AC自动机从目标串的首字符开始向结尾方向移动进行匹配，并将多模式串的预处理中的位移函数值作为字符匹配失败时的移动距离。

9、一种网络信息资源访问控制系统，其特征在于，对网络应用系统透明，包括：

特征提取匹配单元，用于提取数据流单元的特征信息，将数据流单元的特征信息与访问控制策略集合进行匹配，获得匹配结果，所述数据流单元为网络信息资源访问控制中将数据流按照报文格式划分的数据项；

过滤单元，根据匹配结果对数据流单元进行控制，过滤禁止访问的数据流单元，放行允许访问的数据流单元。

10、根据权利要求9所述的系统，其特征在于，所述数据流单元的特征提取匹配单元包括：

特征提取单元：用于提取数据流单元的特征信息；

访问控制匹配单元：用于将数据流单元的特征信息与访问控制策略集合进行匹配，获得匹配结果。

11、根据权利要求9所述的系统，其特征在于，所述系统进一步包括：

访问控制策略预处理单元，用于建立主体策略表，对主体策略表中每个主体对应的策略中的URL字段建立反向AC自动机，对主体策略表中每个主体对应的策略中的动态网络信息资源字段建立反向AC自动机。

Images