发明内容
基于此,有必要针对可信网络连接中各种网络资源容易出现混淆的问题,提供一种较为系统且安全的网络资源安全控制的方法和系统。
一种网络资源安全控制的方法,包括步骤:
根据访问请求端的访问请求收集所述访问请求端的身份认证信息和完整性信息,确认访问请求端的可信等级;
验证访问请求端访问要求的网络资源是否与所述访问请求端的可信等级相匹配,若匹配,则同意访问请求端的访问请求,若不匹配,则拒绝访问请求端的访问要求。
一种网络资源安全控制的系统,包括:策略执行单元、策略决策单元和验证判断单元;
所述策略执行单元用于接收访问请求端的访问要求,发送度量所述访问请求端可信等级的命令;
所述策略决策单元用于接收度量所述访问请求端可信等级的命令,收集所述访问请求端的身份认证信息和完整性信息,确认访问请求端的可信等级;
所述验证判断单元用于验证访问请求端访问要求的网络资源是否与所述访问请求端的可信等级相匹配,若匹配,则同意访问请求端的访问请求,若不匹配,则拒绝访问请求端的访问要求。
上述网络资源安全控制的方法和系统,通过对接收的访问请求进行可信等级度量,确定访问请求端的可信等级,根据不同的可信等级匹配相应的访问网络资源,进一步验证访问请求端访问要求的网络资源是否与所述访问请求端的可信等级相匹配,若匹配,则同意访问请求端的访问请求,若不匹配,则拒绝访问请求端的访问要求。利用可信等级来对网络资源进行划分,不具备相应的等级则不能访问相应的网络资源,这样对网络资源的划分使得网络资源的层次划分更为清晰,便于系统控制,且进一步讲网络资源和可信度绑定联系在一起,避免出现网络资源混淆的现象,防止不可信的访问请求端对网络进行破坏。
具体实施方式
如图1所示,一种网络资源安全控制的方法,包括步骤:
步骤S110,根据访问请求端的访问请求收集所述访问请求端的身份认证信息和完整性信息,确认访问请求端的可信等级;在本实施例中,系统在对所述访问请求端可信等级进行度量时,可以通过IMVs(IntegrityMeasurementVerifiers,完整性度量验证端)和访问请求端的IMCs(IntergrityMeasurementCollectors,完整性度量收集器)进行通信,来收集访问请求端的身份认证信息和完整性信息,具体可以包括:可信链的完整性、内核版本、系统版本、内核补丁和防火墙软件的签名信息等信息。系统通过访问请求端的身份认证信息和完整性信息对访问请求端的可信等级进行评定,确定访问请求端的可信等级。
步骤S120,验证访问请求端访问要求的网络资源是否与所述访问请求端的可信等级相匹配,若匹配,则同意访问请求端的访问请求,若不匹配,则拒绝访问请求端的访问要求。在本实施例中,系统内部可以划分可信等级,对应的可信等级匹配对应的网络资源,如果访问请求端访问要求的网络资源与所述访问请求端的可信等级相匹配,则系统可以接受访问请求端的访问请求,如果访问请求端访问要求的网络资源与所述访问请求端的可信等级不相相匹配,则系统不接受访问请求端的访问请求,保证访问请求端在可允许的权限内得到相应的网络资源,可以有效的避免访问请求端对网络进行破坏。
上述网络资源安全控制的方法,通过对接收的访问请求进行可信等级度量,确定访问请求端的可信等级,根据不同的可信等级匹配相应的访问网络资源,进一步验证访问请求端访问要求的网络资源是否与所述访问请求端的可信等级相匹配,若匹配,则同意访问请求端的访问请求,若不匹配,则拒绝访问请求端的访问要求。利用可信等级来对网络资源进行划分,不具备相应的等级则不能访问相应的网络资源,这样对网络资源的划分使得网络资源的层次划分更为清晰,便于系统控制,且进一步讲网络资源和可信度绑定联系在一起,避免出现网络资源混淆的现象,防止不可信的访问请求端对网络进行破坏。
在其中一种实施例中,所述的网络资源安全控制的方法,所述步骤S110,具体包括步骤:
通过完整性度量验证端与所述访问请求端的完整性度量收集器的信息交流,获取所述访问请求端的身份认证信息和完整性信息;
根据度量所述访问请求端可信等级的命令对所述访问请求端的身份认证信息和完整性信息是否符合预定满足额度进行认证:
若所述访问请求端的身份认证信息和完整性信息符合第一预定满足额度,则所述访问请求端可信等级为完全可信;
若所述访问请求端的身份认证信息和完整性信息符合第二预定满足额度,则所述访问请求端可信等级为非常可信;
若所述访问请求端的身份认证信息和完整性信息符合第三预定满足额度,则所述访问请求端可信等级为基本可信;
若所述访问请求端的身份认证信息和完整性信息符合第四预定满足额度,则所述访问请求端可信等级为非可信。
在本实施例中,在本实施例中,系统在对所述访问请求端可信等级进行度量时,可以通过IMVs(IntegrityMeasurementVerifiers,完整性度量验证端)和访问请求端的IMCs(IntergrityMeasurementCollectors,完整性度量收集器)进行通信,来收集访问请求端的身份认证信息和完整性信息,具体可以包括:可信链的完整性、内核版本、系统版本、内核补丁和防火墙软件的签名信息等信息。系统可以预先划分四个可信等级,在访问请求端满足预定条件时,访问请求端属于预先划分四个可信等级中的其中一个等级,在验证访问请求端可信链的完整性、内核版本、系统版本、内核补丁和防火墙软件的签名信息等信息时,若所述访问请求端的身份认证信息和完整性信息符合第一预定满足额度,则所述访问请求端可信等级为完全可信,可以设定为A等级;若所述访问请求端的身份认证信息和完整性信息符合第二预定满足额度,则所述访问请求端可信等级为非常可信,可以设定为B等级;若所述访问请求端的身份认证信息和完整性信息符合第三预定满足额度,则所述访问请求端可信等级为基本可信,可以设定为C等级;若所述访问请求端的身份认证信息和完整性信息符合第四预定满足额度,则所述访问请求端可信等级为非可信,可以设定为D等级。系统可以根据不同的可信等级匹配相应的网络资源信息:当AR可信等级处于D等级,即非可信等级时,访问请求端不能够得到任何网络资源,防止此时不可信的访问请求端做任何网络破坏;当处于C等级时,只允许访问请求端进行浏览普通网页,浏览邮件,P2P下载等网络服务;当处于B等级时,访问请求端不仅可以访问C等级的网络资源,同时也可以访问一些安全性的网页,使用高安全的邮件服务,甚至是使用VPN等;当可信等级处于A时,说明访问请求端是完全可信的,这时允许访问请求端访问任何网络资源。
在其中一种实施例中,所述的网络资源安全控制的方法,还包括步骤:当拒绝访问请求端的访问要求时,同时发送不具备访问权限的警告信息到所述访问请求端。在本实施例中,还可以当拒绝访问请求端的访问要求时,同时发送不具备访问权限的警告信息到所述访问请求端,警告信息可以是以弹出页面的形式对访问请求端对访问请求端进行提醒和警告,可以给与访问请求端以警示。
在其中一种实施例中,所述的网络资源安全控制的方法,还包括步骤:当拒绝所述访问请求端的访问要求的次数大于预定数值时,禁止接收访问请求端的访问要求。在本实施例中,可以设定当拒绝所述访问请求端的访问要求的次数大于三次时,禁止接收访问请求端的访问要求,可以有效防止此时不可信的访问请求端通过其他途径对网络进行破坏。
如图2所示,在其中一种实施例中,一种网络资源安全控制的系统,包括:策略执行单元210、策略决策单元220和验证判断单元230;
所述策略执行单元210用于接收访问请求端的访问要求,发送度量所述访问请求端可信等级的命令;
所述策略决策单元220用于接收度量所述访问请求端可信等级的命令,收集所述访问请求端的身份认证信息和完整性信息,确认访问请求端的可信等级;
所述验证判断单元230用于验证访问请求端访问要求的网络资源是否与所述访问请求端的可信等级相匹配,若匹配,则同意访问请求端的访问请求,若不匹配,则拒绝访问请求端的访问要求。
上述网络资源安全控制的方法和系统,通过对接收的访问请求进行可信等级度量,确定访问请求端的可信等级,根据不同的可信等级匹配相应的访问网络资源,进一步验证访问请求端访问要求的网络资源是否与所述访问请求端的可信等级相匹配,若匹配,则同意访问请求端的访问请求,若不匹配,则拒绝访问请求端的访问要求。利用可信等级来对网络资源进行划分,不具备相应的等级则不能访问相应的网络资源,这样对网络资源的划分使得网络资源的层次划分更为清晰,便于系统控制,且进一步讲网络资源和可信度绑定联系在一起,避免出现网络资源混淆的现象,防止不可信的访问请求端对网络进行破坏。
如图3所示,在其中一种实施例中,所述网络资源安全控制的系统,所述策略决策单元包括命令接收单元222、判断信息获取单元224和可信等级划分单元226;
所述命令接收单元222用于接收度量所述访问请求端可信等级的命令;
所述判断信息获取单元224用于通过完整性度量验证端与所述访问请求端的完整性度量收集器的信息交流,获取所述访问请求端的身份认证信息和完整性信息;
所述可信等级划分单元226用于对所述访问请求端的身份认证信息和完整性信息是否符合预定满足额度进行认证:
若所述访问请求端的身份认证信息和完整性信息符合第一预定满足额度,则所述访问请求端可信等级为完全可信;
若所述访问请求端的身份认证信息和完整性信息符合第二预定满足额度,则所述访问请求端可信等级为非常可信;
若所述访问请求端的身份认证信息和完整性信息符合第三预定满足额度,则所述访问请求端可信等级为基本可信;
若所述访问请求端的身份认证信息和完整性信息符合第四预定满足额度,则所述访问请求端可信等级为非可信。
如图4所示,在其中一种实施例中,所述网络资源安全控制的系统,还包括警告信息发送单元240,所述警告信息发送单元240用于当拒绝访问请求端的访问要求时,同时发送不具备访问权限的警告信息到所述访问请求端。
如图4所示,在其中一种实施例中,所述网络资源安全控制的系统,还包括接收控制单元250,所述接收控制单元250用于当拒绝所述访问请求端的访问要求的次数大于预定数值时,禁止接收访问请求端的访问要求。
由于所述网络资源安全控制的系统其他部分技术特征与上述方法相同,在此不予赘述。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。