CN103647771A - 一种对网络数据包进行强制访问控制的方法 - Google Patents
一种对网络数据包进行强制访问控制的方法 Download PDFInfo
- Publication number
- CN103647771A CN103647771A CN201310671068.8A CN201310671068A CN103647771A CN 103647771 A CN103647771 A CN 103647771A CN 201310671068 A CN201310671068 A CN 201310671068A CN 103647771 A CN103647771 A CN 103647771A
- Authority
- CN
- China
- Prior art keywords
- packet
- cipso
- operating system
- mark
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及计算机信息安全技术领域,特别涉及一种对网络数据包进行强制访问控制的方法。其通过由操作系统内核扩展模块的对本操作系统将发送到网络上的IP数据包的包头的IPOPTIONS字段,添加CIPSO安全标记信息;在该数据包接收方由操作系统内核扩展模块对带有CIPSO标记的IP数据包根据本机预先配置的用户CIPSO标记策略,进行强制访问控制.本方法不需要重新编译整个内核,及定制或专用的操作系统,只需使用内核模块机制在现有操作系统上添加功能扩展即可实现,操作容易实现,且能够有效提高网络安全性,达到信息安全等级要求。
Description
技术领域
本发明涉及计算机信息安全技术领域,特别涉及一种对网络数据包进行强制访问控制的方法。
背景技术
访问控制是计算机系统中最基础和最重要的安全机制,是保护计算机系统中数据安全的重要手段之一。访问控制分为自主访问控制和强制访问控制。在《信息安全技术 操作系统安全技术要求》(GB/T 20272-2006)中要求第三级(安全标记保护级)及以上级别的操作系统,必须拥有基于安全标记(标签,以下与标记通用)强制访问控制机制。美国国防部发表的《可信计算机系统评估准则》(TCSEC)中对 B1 级及以上级别的系统有同样的要求。
信息安全等级保护是我国经济建设和信息化发展的一项基本政策。安全标记保护级(三级)信息系统的建设在等级保护的研究和实施工作中占有重要地位,区域边界安全防护作为三级信息系统建设中的一项关键技术,是当前信息系统安全整改中的重要课题。但当前对区域边界的研究侧重于应用区域边界防护,不能有效满足三级信息系统对区域边界的安全需求,特别是对带有安全标记的网络数据流的访问控制。 《COMMERCIAL IP SECURITY OPTION (CIPSO 2.2) 》正是为此而制订,尽管一直没有成为正式的RFC协议,但它已经成为安全操作系统厂商实现强制访问控制从操作系统主机延伸到网络数据包的事实标准,它使得由实现安全标记保护级的安全操作系统构成的各个安全孤岛由于实现《COMMERCIAL IP SECURITY OPTION (CIPSO 2.2) 》协议而真正成为一个实现安全标记保护级的安全标记网络。
CIPSO安全标记信息,是指基于CIPSO(混沌免疫粒子群优化)算法的安全标记信息。
发明内容
为了解决现有技术的问题,本发明提供了一种对网络数据包进行强制访问控制的方法,其通过由操作系统内核扩展模块的对本操作系统将发送到网络上的IP数据包的包头的IP OPTIONS字段,添加CIPSO安全标记信息;在该数据包接收方由操作系统内核扩展模块对带有CIPSO标记的IP数据包根据本机预先配置的用户CIPSO标记策略,进行强制访问控制,该强制访问控制基于BLP(机密性保护)及BIBA(完整性保护)强制访问控制理论,该方法不需要重新编译整个内核,及定制或专用的操作系统,只需使用内核模块机制在现有操作系统上添加功能扩展即可实现,本方法仅限于IPv4的TCP及UDP通信。
本发明所采用的技术方案如下:
一种对网络数据包进行强制访问控制的方法,是通过为操作系统的内核扩展模块对将要发送到网络上的IP数据包的包头的IP OPTIONS字段添加CIPSO安全标记信息,并在该数据包接收方由操作系统内核扩展模块对带有CIPSO安全标记信息的IP数据包根据预先配置的用户CIPSO标记策略,进行强制访问控制的方法,操作系统启用内核扩展标记模块后,当操作系统内的用户进程与外部其它系统进行IPv4网络通信时,会进行内核扩展标记模块的CIPSO标记设置及CIPSO标记检查过程。
CIPSO标记设置的过程具体包括以下步骤:
A、当用户进程发送的数据包经过操作系统扩展标记模块时,操作系统扩展标记模块拦截该数据包,获取发送该数据包的进程所属用户的用户身份证明UID;
B、操作系统扩展标记模块根据所获取的用户身份证明UID,获取用户的CIPSO标记策略;
C、操作系统扩展标记模块根据获取的用户CIPSO标记策略,在数据包中设置用户CIPSO标记;
D、在完成CIPSO标记设置后,记录相关日志。
CIPSO标记检查的过程具体包括以下步骤:
A1、当要被用户进程接收的数据包进入操作系统扩展标记模块后,操作系统扩展标记模块获取将要接收该数据包的进程所属用户的用户身份证明UID;
B1、在获取数据包接收者用户身份证明UID后,根据UID获取用户CIPSO标记策略;
C1、在获取到对应的用户CIPSO标记策略后,开始把该数据包携带的CIPSO标记与步骤B1中获取的用户策略中的CIPSO标记进行匹配检查,根据检查结果进行裁决,是放行该数据包,还是抛弃该数据包,如果抛弃该数据包,则记录违规日志到日志设备。
本发明提供的技术方案带来的有益效果是:
本发明的一种对网络数据包进行强制访问控制的方法,在遵循《COMMERCIAL IP SECURITY OPTION (CIPSO 2.2) 》的网络通信环境中,所有通信主机发送和接收的IPv4数据包均携带用户预先定义好的CIPSO标记,即每一个数据包的CIPSO标记都与发送此数据包的某操作系统用户进程的CIPSO标记相一致,并可根据用户CIPSO策略的动态更新而随时应用新的策略。
通过由操作系统内核扩展模块LABEL对本操作系统将发送到网络上的IPv4包的包头的IP OPTIONS字段,添加CIPSO安全标记信息;在该数据包接收方由操作系统内核扩展模块LABEL对带有CIPSO标记的IPv4数据包,根据本机预先配置的用户CIPSO标记策略,进行强制访问控制,并使用虚拟连接信息表加快查找用户标记策略的速度。
本方法不需要重新编译整个内核,及定制或专用的操作系统,只需使用内核模块机制在现有操作系统上添加功能扩展即可实现,操作容易实现,且能够有效提高网络安全性,达到信息安全等级要求。
附图说明
图1为本发明的一种对网络数据包进行强制访问控制的方法中,对被发送的数据包中设置CIPSO标记的流程图;
图2为本发明的一种对网络数据包进行强制访问控制的方法中,对被发送的数据包中检查CIPSO标记的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
本发明涉及一种对网络数据包进行强制访问控制的方法,在遵循《COMMERCIAL IP SECURITY OPTION (CIPSO 2.2) 》的网络通信环境中,所有通过IPv4(TCP/UDP)进行的通信数据包都要带有CIPSO标记,各通信主机都要根据自己的操作系统上配置的用户标记策略,对进出本操作系统的IPv4(TCP/UDP)数据包进行标记设置及检查检查,以使强制访问控制这种安全机制能从单一操作系统上延伸到网络上。
本发明的工作过程包括CIPSO标记设置过程和CIPSO标记检查过程:
在发送数据包过程中,CIPSO标记设置过程为:
a.当用户进程发送的数据包经过操作系统扩展标记模块LABEL时,LABEL拦截该数据包,进入步骤1,即获取发送该数据包的进程所属用户的UID;
b.LABEL模块根据步骤1所获取的用户UID,在步骤2处获取用户CIPSO标记策略;
c.LABEL模块根据步骤2获取的用户CIPSO标记策略,在步骤3中,在数据包中设置用户CIPSO标记;
d.在完成CIPSO标记设置后,记录相关日志,如图1所示。
在接收数据包过程中,CIPSO标记检查过程为:
a.当要被用户进程接收的数据包进入操作系统扩展标记模块LABEL后,LABEL进入步骤1,获取将要接收该数据包的进程所属用户的UID;
b.在获取数据包接收者用户UID后,进入步骤2,根据UID获取用户CIPSO标记策略;
c.在获取到对应的用户CIPSO标记策略后,进行步骤3, 开始把该数据包携带的CIPSO标记与步骤2获取的用户策略中的CIPSO标记进行匹配检查,根据检查结果进行裁决,是放行该数据包,还是抛弃该数据包,如果是后者,则记录违规日志到日志设备,如图2所示。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (3)
1.一种对网络数据包进行强制访问控制的方法,是通过为操作系统的内核扩展模块对将要发送到网络上的IP数据包的包头的IP OPTIONS字段添加CIPSO安全标记信息,并在该数据包接收方由操作系统内核扩展模块对带有CIPSO安全标记信息的IP数据包根据预先配置的用户CIPSO标记策略,进行强制访问控制的方法,操作系统启用内核扩展标记模块后,当操作系统内的用户进程与外部其它系统进行IPv4网络通信时,会进行内核扩展标记模块的CIPSO标记设置及CIPSO标记检查过程。
2.根据权利要求1所述的一种对网络数据包进行强制访问控制的方法,其特征在于,所述的CIPSO标记设置的过程具体包括以下步骤:
A、当用户进程发送的数据包经过操作系统扩展标记模块时,操作系统扩展标记模块拦截该数据包,获取发送该数据包的进程所属用户的用户身份证明UID;
B、操作系统扩展标记模块根据所获取的用户身份证明UID,获取用户的CIPSO标记策略;
C、操作系统扩展标记模块根据获取的用户CIPSO标记策略,在数据包中设置用户CIPSO标记;
D、在完成CIPSO标记设置后,记录相关日志。
3.根据权利要求1所述的一种对网络数据包进行强制访问控制的方法,其特征在于,所述的CIPSO标记检查的过程具体包括以下步骤:
A1、当要被用户进程接收的数据包进入操作系统扩展标记模块后,操作系统扩展标记模块获取将要接收该数据包的进程所属用户的用户身份证明UID;
B1、在获取数据包接收者用户身份证明UID后,根据UID获取用户CIPSO标记策略;
C1、在获取到对应的用户CIPSO标记策略后,开始把该数据包携带的CIPSO标记与步骤B1中获取的用户策略中的CIPSO标记进行匹配检查,根据检查结果进行裁决,是放行该数据包,还是抛弃该数据包,如果抛弃该数据包,则记录违规日志到日志设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310671068.8A CN103647771A (zh) | 2013-12-12 | 2013-12-12 | 一种对网络数据包进行强制访问控制的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310671068.8A CN103647771A (zh) | 2013-12-12 | 2013-12-12 | 一种对网络数据包进行强制访问控制的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103647771A true CN103647771A (zh) | 2014-03-19 |
Family
ID=50252927
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310671068.8A Pending CN103647771A (zh) | 2013-12-12 | 2013-12-12 | 一种对网络数据包进行强制访问控制的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103647771A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111181955A (zh) * | 2019-12-26 | 2020-05-19 | 北京卓讯科信技术有限公司 | 一种基于标记的会话控制方法和设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009140248A2 (en) * | 2008-05-12 | 2009-11-19 | Raytheon Company | System and method for transferring information through a trusted network |
| CN102495989A (zh) * | 2011-12-21 | 2012-06-13 | 北京诺思恒信科技有限公司 | 一种基于主体标记的访问控制方法及系统 |
| CN103049381A (zh) * | 2012-12-21 | 2013-04-17 | 清华大学 | 基于访问规则控制的内核扩展模块错误检测方法及装置 |
-
2013
- 2013-12-12 CN CN201310671068.8A patent/CN103647771A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009140248A2 (en) * | 2008-05-12 | 2009-11-19 | Raytheon Company | System and method for transferring information through a trusted network |
| CN102495989A (zh) * | 2011-12-21 | 2012-06-13 | 北京诺思恒信科技有限公司 | 一种基于主体标记的访问控制方法及系统 |
| CN103049381A (zh) * | 2012-12-21 | 2013-04-17 | 清华大学 | 基于访问规则控制的内核扩展模块错误检测方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| ORACLE: "trusted extensions配置与管理", 《URL:HTTPS://DOCS.ORACLE.COM/CD/E26926_01/HTML/E25904/IDX-54.HTML》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111181955A (zh) * | 2019-12-26 | 2020-05-19 | 北京卓讯科信技术有限公司 | 一种基于标记的会话控制方法和设备 |
| CN111181955B (zh) * | 2019-12-26 | 2022-02-08 | 北京卓讯科信技术有限公司 | 一种基于标记的会话控制方法、设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102255903B (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
| CN104301321B (zh) | 一种实现分布式网络安全防护的方法及系统 | |
| CN105591926A (zh) | 一种流量保护方法及装置 | |
| GB2521572A (en) | Providing services to virtual overlay network traffic | |
| SG11201800020UA (en) | Packet processing method in cloud computing system, host, and system | |
| WO2012058643A8 (en) | System and method for on the fly protocol conversion in obtaining policy enforcement information | |
| CN105704053A (zh) | 应用流量保护方法和系统、以及网关 | |
| CN103200123A (zh) | 一种交换机端口安全控制方法 | |
| CN104660554A (zh) | 一种虚拟机通信数据安全的实现方法 | |
| CN105391719A (zh) | 一种基于tcp/ip网络的智能设备远程控制系统及其交互方法 | |
| CN103763309A (zh) | 基于虚拟网络的安全域控制方法和系统 | |
| CN105141637A (zh) | 一种以流为粒度的传输加密方法 | |
| CN107749863B (zh) | 一种信息系统网络安全隔离的方法 | |
| CN103001966B (zh) | 一种私网ip的处理、识别方法及装置 | |
| US20130275552A1 (en) | Virtual desktop system | |
| CN103647771A (zh) | 一种对网络数据包进行强制访问控制的方法 | |
| CN101316239B (zh) | 一种在虚拟专用局域网业务网络中控制访问及转发的方法 | |
| CN105763661B (zh) | 一种网络协议ip地址的获取方法及通信设备 | |
| CN104318154A (zh) | 应用的安全防护方法及装置 | |
| CN102801610B (zh) | 一种外设及端口映射的网络端口合并的方法 | |
| CN205249272U (zh) | 一种多级信息封装加密装置 | |
| CN107508739B (zh) | 一种通过vpn隧道传输数据的鉴权方法 | |
| WO2014160455A3 (en) | Enabling ad hoc trusted connections among enclaved communication communities | |
| CN113132381B (zh) | 计算机网络信息安全控制器 | |
| CN214174879U (zh) | 面向电厂物联新安全分区的网络安全架构 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140319 |