CN103607374A - 基于身份认证和数据包过滤技术的网络资源访问控制方法 - Google Patents
基于身份认证和数据包过滤技术的网络资源访问控制方法 Download PDFInfo
- Publication number
- CN103607374A CN103607374A CN201310515700.XA CN201310515700A CN103607374A CN 103607374 A CN103607374 A CN 103607374A CN 201310515700 A CN201310515700 A CN 201310515700A CN 103607374 A CN103607374 A CN 103607374A
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- access
- request
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种基于身份认证和数据包过滤技术的网络资源访问控制方法。在网络资源访问请求客户端和服务端过滤网络访问请求,在客户端上拦截用户发起的网络请求,并要求用户完成身份认证,认证成功后,客户端将用户身份信息和访问请求转发给服务端;服务端拦截网络请求,验证该请求是否通过身份认证,如果已经通过,则允许该用户访问指定的网络资源。通过Windows Sockets提供的SPI编程接口,在Socket中插入一层,过滤网络数据包,实现网络连接请求过滤的目标;结合第三方身份认证系统,通过其提供的接口,实现身份认证等功能。本发明将访问网络资源的请求与用户身份结合在一起,能够实现细粒度的网络资源访问。
Description
技术领域
本发明属于网络安全技术领域,涉及一种基于身份认证和数据包过滤技术的网络资源访问控制方法。
背景技术
随着信息技术的发展,信息成为组织机构的重要资产。针对信息资产的保护越来越受到重视,尤其是在网络技术飞速发展的今天,多数组织机构都会通过网络完成数据交互等操作,信息成为网络资源,在提高工作效率的同时,也面临着信息被非法访问和使用的风险,如何实现网络资源访问控制成为迫切的需求。
目前,主要的网络访问控制手段是基于路由器、交换机、防火墙等设备的策略配置,能够在一定程度上起到访问控制的目的和作用。但是,这些访问控制手段通常都是基于主机,通过主机地址等特征实现访问控制,没有考虑到资源访问发起者的身份。这种访问控制主要存在以下不足:
一是访问控制过程中缺乏对网络资源访问者身份的确认,仍然存在网络资源被非法使用的风险;
二是不能防范内部网络中网络资源的非法访问控制;
三是不利于对网络资源进行细粒度的访问控制。
发明内容
针对现有技术中存在的上述问题,本发明提出一种基于身份认证和数据包过滤技术的网络资源访问控制方法,将访问网络资源的请求与用户身份结合在一起,能够实现细粒度的网络资源访问,以及有效的事后审计分析。
本发明的基本原理是,在网络资源访问请求发起端(客户端)和网络资源访问接收端(服务端)过滤网络访问请求,在客户端上拦截用户发起的网络请求,并要求用户完成身份认证,认证成功后,客户端将用户身份信息和访问请求转发给服务端;服务端拦截网络请求,验证该请求是否通过身份认证,如果该请求已经通过身份认证,则允许该用户访问指定的网络资源。通过Windows Sockets提供的SPI编程接口,在Socket中插入一层,过滤网络数据包,实现网络连接请求过滤的目标;结合第三方身份认证系统,通过其提供的接口,实现身份认证等功能。
一种基于身份认证和数据包过滤技术的网络资源访问控制方法,包括以下步骤:
步骤1:用户通过客户端请求访问服务端上的指定资源。
步骤2:客户端拦截该请求,要求用户进行身份认证,并与身份认证服务器交互,完成身份认证过程。如果通过身份认证,客户端将用户身份信息和用户请求转发给服务器端;否则,通知用户身份认证失败,不能访问服务端。
步骤3:服务端拦截访问请求,并与身份认证服务器交互,验证该用户是否通过身份认证。如果该用户已经通过认证,则结合资源访问控制规则设置,允许其访问指定的网络资源;否则,不允许该用户访问网络资源。
与现有技术相比,本发明具有以下优点:
(1)在用户访问网络资源前进行身份认证,能够有效防范非法用户通过客户端访问网络资源;
(2)能够结合用户身份设置资源访问控制规则,实现网络资源细粒度的访问控制;
(3)能够实现内部网络中的资源访问控制,有效防范网络内部的非法访问行为;
(4)通过记录访问网络资源的用户身份等信息,能够实现准确的事后审计分析,为网络行为溯源和审计分析提供技术支撑。
附图说明
图1为本发明所涉及的设备连接图;
图2为本发明所涉及的网络资源访问控制方法流程图;
图3为客户端拦截用户请求的工作流程图;
图4为服务端拦截用户请求的工作流程图。
具体实施方式
下面结合附图和实施例对本发明做进一步说明。
实施例的设备连接图如图1所示。本发明中参与通信的客户端和服务端基于windows操作系统,支持Windows Sockets的2.0版本程序开发。其中,用户通过客户端发出网络资源访问请求,服务端接收客户端的网络资源访问请求并提供指定资源,身份认证服务器用于完成用户的身份认证。
本发明所述方法的流程图如图2所示,包括以下步骤:
步骤1:用户通过客户端请求访问服务端的指定资源。
步骤2:客户端拦截用户请求,要求用户进行身份认证,通过身份认证后,客户端转发用户身份信息和用户请求。
步骤2.1:客户端拦截用户的请求。
当用户通过客户端提出网络请求时,通过socket或WSASocket函数等完成网络通信,Windows操作系统会根据地址家族和套接字类型选择第一个符合条件的服务提供者,并将相应的DLL程序加载到内存中。在本发明中通过替换Windows操作系统的关于TCP/IPv4的所有基础服务提供者,实现拦截所有基于TCP/IPv4的网络请求。
客户端拦截用户请求的工作流程图如图3所示,具体包括以下步骤:
(1)在Winsock2应用程序调用SPI程序的初始化函数WSAStartup中调用自定义的WSPConnect函数,拦截用户网络访问请求,并在自定义的WSPConnect函数中完成用户身份认证等;
(2)在自定义WSPConnect函数中,要求用户提供身份信息,并与身份认证服务器交互,完成用户身份认证。
步骤2.2:进行身份认证。
在本发明中可以集成第三方身份认证软件,通过其开放的开发接口完成身份认证。
步骤2.3:客户端转发用户身份信息和访问请求。
如果用户身份认证成功,在WSPConnect函数中调用系统基础提供者的WSPConnect函数完成用户身份信息和访问请求的中转;否则,通知用户身份认证失败,不能访问指定的网络资源。
步骤3:服务端拦截用户请求,并与身份认证服务器交互,验证该用户是否通过身份认证,如果已经通过认证,结合网络资源访问控制规则,允许其访问指定的网络资源;否则,不允许该用户访问网络资源。
步骤3.1:服务端拦截用户请求。
服务端拦截访问请求的工作流程图如图4所示,包括以下步骤:
(1)在WSAStartup函数中调用自定义的WSPAccept函数,拦截用户网络访问请求,并在自定义的WSPAccept函数中完成用户身份认证结果验证和网络资源访问控制规则匹配等;
(2)在自定义WSPAccept函数中,根据用户身份信息,与身份认证服务器交互,验证该用户是否已经通过身份认证。
步骤3.2:验证该用户是否已经通过身份认证。
服务端与第三方身份认证软件交互,验证该用户是否已经通过身份认证。
步骤3.3:根据设置的网络资源访问控制规则,判断该用户是否能够访问指定的网络资源。
如果该用户已经通过身份认证,且符合设置的网络资源访问控制规则,则允许该用户访问指定的网络资源;如果该用户没有通过身份认证,或者通过身份认证,但不符合设置的访问控制规则,都不能访问指定的网络资源。
Claims (3)
1.一种基于身份认证和数据包过滤技术的网络资源访问控制方法,其特征在于包括以下步骤:
步骤1:用户通过客户端请求访问服务端的指定资源;
步骤2:客户端拦截用户请求,要求用户进行身份认证,通过身份认证后,客户端转发用户身份信息和用户请求;
步骤2.1:客户端拦截用户的请求;
步骤2.2:进行身份认证;
集成第三方身份认证软件,通过其开放的开发接口完成身份认证;
步骤2.3:客户端转发用户身份信息和访问请求;
如果用户身份认证成功,在WSPConnect函数中调用系统基础提供者的WSPConnect函数完成用户身份信息和访问请求的中转;否则,通知用户身份认证失败,不能访问指定的网络资源;
步骤3:服务端拦截用户请求,并与身份认证服务器交互,验证该用户是否通过身份认证,如果已经通过认证,结合网络资源访问控制规则,允许其访问指定的网络资源;否则,不允许该用户访问网络资源;
步骤3.1:服务端拦截用户请求;
步骤3.2:验证该用户是否已经通过身份认证;
服务端与第三方身份认证软件交互,验证该用户是否已经通过身份认证;
步骤3.3:根据设置的网络资源访问控制规则,判断该用户是否能够访问指定的网络资源;
如果该用户已经通过身份认证,且符合设置的网络资源访问控制规则,则允许该用户访问指定的网络资源;如果该用户没有通过身份认证,或者通过身份认证,但不符合设置的访问控制规则,都不能访问指定的网络资源。
2.根据权利要求1所述的一种基于身份认证和数据包过滤技术的网络资源访问控制方法,其特征在于,步骤2.1所述客户端拦截用户请求的方法如下:
(1)在Winsock2应用程序调用SPI程序的初始化函数WSAStartup中调用自定义的WSPConnect函数,拦截用户网络访问请求,并在自定义的WSPConnect函数中完成用户身份认证;
(2)在自定义WSPConnect函数中,要求用户提供身份信息,并与身份认证服务器交互,完成用户身份认证。
3.根据权利要求1所述的一种基于身份认证和数据包过滤技术的网络资源访问控制方法,其特征在于,步骤3.1所述服务端拦截访问请求的方法如下:
(1)在WSAStartup函数中调用自定义的WSPAccept函数,拦截用户网络访问请求,并在自定义的WSPAccept函数中完成用户身份认证结果验证和网络资源访问控制规则匹配;
(2)在自定义WSPAccept函数中,根据用户身份信息,与身份认证服务器交互,验证该用户是否已经通过身份认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310515700.XA CN103607374A (zh) | 2013-10-28 | 2013-10-28 | 基于身份认证和数据包过滤技术的网络资源访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310515700.XA CN103607374A (zh) | 2013-10-28 | 2013-10-28 | 基于身份认证和数据包过滤技术的网络资源访问控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103607374A true CN103607374A (zh) | 2014-02-26 |
Family
ID=50125574
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310515700.XA Pending CN103607374A (zh) | 2013-10-28 | 2013-10-28 | 基于身份认证和数据包过滤技术的网络资源访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103607374A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104065660A (zh) * | 2014-06-27 | 2014-09-24 | 蓝盾信息安全技术有限公司 | 一种远程主机接入的控制方法 |
| CN105808987A (zh) * | 2014-12-30 | 2016-07-27 | 中国移动通信集团公司 | 一种移动数据交互方法及设备 |
| CN105993156A (zh) * | 2015-10-23 | 2016-10-05 | 深圳还是威健康科技有限公司 | 服务器访问验证方法以及装置 |
| CN108270752A (zh) * | 2016-12-30 | 2018-07-10 | 北京国双科技有限公司 | 网络请求处理的方法及装置 |
| CN113965411A (zh) * | 2021-11-22 | 2022-01-21 | 北京计算机技术及应用研究所 | 基于身份认证和数据包过滤技术的网络资源访问控制方法 |
| CN117082147A (zh) * | 2023-10-16 | 2023-11-17 | 中国电子科技集团公司第三十研究所 | 应用程序网络访问控制方法、系统、设备和介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1781087A (zh) * | 2003-04-08 | 2006-05-31 | 丛林网络公司 | 安全访问带有客户端接收的专用网的方法和系统 |
| CN101247407A (zh) * | 2008-03-17 | 2008-08-20 | 华为技术有限公司 | 网络认证服务系统和方法 |
| US20110145908A1 (en) * | 2003-03-21 | 2011-06-16 | Ting David M T | System and Method for Data and Request Filtering |
-
2013
- 2013-10-28 CN CN201310515700.XA patent/CN103607374A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110145908A1 (en) * | 2003-03-21 | 2011-06-16 | Ting David M T | System and Method for Data and Request Filtering |
| CN1781087A (zh) * | 2003-04-08 | 2006-05-31 | 丛林网络公司 | 安全访问带有客户端接收的专用网的方法和系统 |
| CN101247407A (zh) * | 2008-03-17 | 2008-08-20 | 华为技术有限公司 | 网络认证服务系统和方法 |
Non-Patent Citations (1)
| Title |
|---|
| 王润高: "网络资源访问控制技术的研究与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》, 15 June 2007 (2007-06-15) * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104065660A (zh) * | 2014-06-27 | 2014-09-24 | 蓝盾信息安全技术有限公司 | 一种远程主机接入的控制方法 |
| CN105808987A (zh) * | 2014-12-30 | 2016-07-27 | 中国移动通信集团公司 | 一种移动数据交互方法及设备 |
| CN105993156A (zh) * | 2015-10-23 | 2016-10-05 | 深圳还是威健康科技有限公司 | 服务器访问验证方法以及装置 |
| WO2017066994A1 (zh) * | 2015-10-23 | 2017-04-27 | 深圳还是威健康科技有限公司 | 服务器访问验证方法以及装置 |
| CN105993156B (zh) * | 2015-10-23 | 2020-01-14 | 深圳市元征科技股份有限公司 | 服务器访问验证方法以及装置 |
| CN108270752A (zh) * | 2016-12-30 | 2018-07-10 | 北京国双科技有限公司 | 网络请求处理的方法及装置 |
| CN108270752B (zh) * | 2016-12-30 | 2021-05-14 | 北京国双科技有限公司 | 网络请求处理的方法及装置 |
| CN113965411A (zh) * | 2021-11-22 | 2022-01-21 | 北京计算机技术及应用研究所 | 基于身份认证和数据包过滤技术的网络资源访问控制方法 |
| CN117082147A (zh) * | 2023-10-16 | 2023-11-17 | 中国电子科技集团公司第三十研究所 | 应用程序网络访问控制方法、系统、设备和介质 |
| CN117082147B (zh) * | 2023-10-16 | 2023-12-15 | 中国电子科技集团公司第三十研究所 | 应用程序网络访问控制方法、系统、设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3467692B1 (en) | Message permission management method and device, and storage medium | |
| CN109600306B (zh) | 创建会话的方法、装置和存储介质 | |
| CN103607374A (zh) | 基于身份认证和数据包过滤技术的网络资源访问控制方法 | |
| US9723007B2 (en) | Techniques for secure debugging and monitoring | |
| CN110324338B (zh) | 数据交互方法、装置、堡垒机与计算机可读存储介质 | |
| CN112073400A (zh) | 一种访问控制方法、系统、装置及计算设备 | |
| CN102739664B (zh) | 提高网络身份认证安全性的方法和装置 | |
| CN116128497A (zh) | 促进用户帐户之间的资金转移 | |
| KR20160043044A (ko) | 대량의 vpn 접속들을 종료시키는 게이트웨이 디바이스 | |
| CN105229987A (zh) | 主动联合的移动认证 | |
| RU2676896C2 (ru) | Способ и система аутентификации пользователей для предоставления доступа к сетям передачи данных | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| DE102015000656A1 (de) | Laufzeitumgebung für mobiles Endgerät, die ein Bereitstellen eines Sicherheits-Dienstes ermöglicht | |
| CN104702562B (zh) | 终端融合业务接入方法、系统与终端 | |
| US10129074B2 (en) | Techniques for accessing logical networks via a virtualized gateway | |
| CN103379093B (zh) | 一种实现账号互通的方法及装置 | |
| CN114064303A (zh) | 远程服务调用方法、设备、系统、存储介质 | |
| CN107396362A (zh) | 一种用于对用户设备进行无线连接预授权的方法与设备 | |
| CN107734046A (zh) | 远程操作数据库的方法、服务端、客户端和系统 | |
| CN106209735A (zh) | 一种信息处理方法、装置及电子健康档案系统 | |
| CN114205112A (zh) | 一种云端mqtt访问权限控制方法 | |
| CN105787355A (zh) | 一种安全软件进程权限管理方法和装置 | |
| KR102292579B1 (ko) | 점검코드와 점검 스크립트를 이용한 하이브리드 기반의 취약점 점검 방법 및 이를 이용한 장치 | |
| WO2016045042A1 (zh) | 一种安全单元中内容管理的方法及装置 | |
| CN116915493A (zh) | 安全登录方法、装置、系统、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140226 |
|
| WD01 | Invention patent application deemed withdrawn after publication |