CN103647772A - 一种对网络数据包进行可信访问控制的方法 - Google Patents
一种对网络数据包进行可信访问控制的方法 Download PDFInfo
- Publication number
- CN103647772A CN103647772A CN201310672128.8A CN201310672128A CN103647772A CN 103647772 A CN103647772 A CN 103647772A CN 201310672128 A CN201310672128 A CN 201310672128A CN 103647772 A CN103647772 A CN 103647772A
- Authority
- CN
- China
- Prior art keywords
- packet
- network
- user
- uid
- ipv6
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及计算机信息安全技术领域,特别涉及一种对网络数据包进行可信访问控制的方法。本发明基于可信和信誉度来对网络通信作控制,用户访问时,判断用户的信誉度,结合网络多元组(IP/端口、进程)等对网络访问作有效可信网络控制,网络中每一台主机都必须采用身份校验和关键资源完整性检查,才能被授权访问相关网络,本发明有效的防御了网络感染和恶意病毒等的发作。
Description
技术领域
本发明涉及计算机信息安全技术领域,特别涉及一种对网络数据包进行可信访问控制的方法。
背景技术
可信网络的访问控制是网络安全的重要环节,国内外研究机构IPv6为解决计算机病毒、木马、恶意软件和软件漏洞而提出。网络面临严重的安全威胁,在IPv6协议数据包通信中 ,IPv6技术也带来了“下一代网络信息安全”的问题。
TCG(可信计算工作组)在2004年提出了TNC(可信网络连接)的概念。包括的实体如下:访问请求方(AR)、策略执行方(PEP)和策略决断方(PDP)等。PDP作安全访问控制规则判断的实体,PEP是得到访问规则之后的执行方。
对IPv4/IPv6双协议栈作安全标记,具有较高的安全性和较好的服务质量。IPv4包标记在IP头的OPTIONS字段,将安全等级和用户相关信息写入。基于IPv6协议扩展首部对数据包作标记,IPv6为128为地址。包标记算法选择报头不用的区域作为标记存放地,IPv6报头中的通信流类别和流标签字段可用于保存包标记,但只有28bit。也可采用扩展首部的hop-by-hop作为标记区域。可由扩展头寻找标记区的存放位置。RFC2460标准约定IPv6扩展报头包括:hop报头、目标选项报头、路由报头、片段报头、身份验证报头和ESP(封装安全载荷)。在hop扩展报头新增字段可能导致报文长度超出MTU值,IPv6不支持报文拆分,新增的包可能会丢弃。为防止此类情况发生,需要对MTU发现算法作一定修改。操作系统安全网络应满足BLP保密模型。
可信网络核心模块根据数据包协议类型做解析,得到安全级别、用户ID和信用度等信息,根据网络访问规则作相应的动作。对没有网络标记的通信不允许接入,对安全级别低的通信也做禁止。
发明内容
为了解决现有技术的问题,本发明提供了一种对网络数据包进行可信访问控制的方法,其基于可信和信誉度来对网络通信作控制,用户访问时,判断用户的信誉度,结合网络多元组(IP/端口、进程)等对网络访问作有效可信网络控制,网络中每一台主机都必须采用身份校验和关键资源完整性检查,才能被授权访问相关网络,本发明有效的防御了网络感染和恶意病毒等的发作。
本发明通过由操作系统内核扩展模块修改IPv4/IPv6的数据报包头,对发送到网络上的IP数据包的包头,如果是IPv4包头,则修改IP OPTIONS字段,添加安全标记和用户ID等信息;在该数据包接收方由操作系统内核扩展模块对带有安全标记的IP数据包根据本机预先配置的用户安全标记策略,做接入限制和进行可信网络访问控制,该访问控制基于BLP(机密性保护)及BIBA(完整性保护)强制访问控制理论,只需使用内核模块机制在现有操作系统上添加功能扩展即可实现,本方法适用于IPv4/IPv6协议通信。
本发明所采用的具体技术方案如下:
一种对网络数据包进行可信访问控制的方法,是一种通过操作系统网络驱动内核模块,对IPv4/IPv6双协议栈数据包进行网络安全标记设置与标记检查的方法。
进行网络安全标记设置的方法具体包括以下步骤:
A、加载网络驱动和相应的可信系统,当用户进程发送的数据包经过此网络驱动时,操作系统内核拦截该数据包;
B、判断协议类型IPv4/IPv6,如为IPv4数据包,在数据包头IP OPTIONS中设置用户UID及安全密级标记;
如果是IPv6协议,则在IPv6包头的通信流类别和流标签字段添加用户UID和安全密级标记;
C、得到获取发送该数据包的进程所属用户的UID,内核驱动模块根据所获取的用户UID,获取用户安全标记策略;
D、在完成安全标记设置后,记录相关日志。
进行网络安全标记检查的方法具体包括以下步骤:
A1、当要被用户进程接收的数据包进入操作系统驱动模块后,首先判断是否为IPv4或IPv6协议;
A2、解析相应IP头,读IP头相关安全标记字段,获取将要接收该数据包的进程所属用户的UID;如果没有安全标记字段,可拒绝网络访问;
A3、在获取数据包接收者用户UID后,根据UID获取用户安全标记策略;
A4在获取到对应的用户安全标记策略后,开始把该数据包携带的安全标记与用户策略规则中的安全标记进行匹配检查,根据检查结果进行裁决;
A5、根据信誉度和网络多元规则判断是放行该数据包,还是抛弃该数据包,如果抛弃该数据包,则记录违规日志到日志设备。
本发明中,安全标记集成在Windows操作系统内核中,为网络可信计算提供安全密级和基于信誉度的强制访问控制、提供用户和管理员可信的审计日志等。在不同密级的网络之间做访问时,根据所属用户信誉度和安全等级决定访问和共享权限等。
本发明实施例提供的技术方案带来的有益效果是:
本发明的一种对网络数据包进行可信访问控制的方法,是一种对Windows平台下网络数据包进行可信访问控制的方法,遵循和参考《GB/-2010可信计算规范》等国家标准,包括对用户身份的识别、平台和协议版本识别和关键网络模块资源验证信息等。兼顾网络可信和可控制能力,结合访问控制技术提出了一种可信网络的接入技术。在不同安全密级的网段之间互相访问做了相应的权限和访问控制,对网络安全作有效访问控制。
本发明基于可信和信誉度来对网络通信作控制,用户访问时,判断用户的信誉度,结合网络多元组(IP/端口、进程)等对网络访问作有效可信网络控制,网络中每一台主机都必须采用身份校验和关键资源完整性检查,才能被授权访问相关网络,本发明有效的防御了网络感染和恶意病毒等的发作。
附图说明
图1为本发明的一种对网络数据包进行可信访问控制的方法的可信安全通信访问控制总体图;
图2为本发明的一种对网络数据包进行可信访问控制的方法的对被发送的数据包中设置安全标记流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
本发明涉及在于提供一种对网络数据包进行可信访问控制的方法,在遵循《GB/-2010可信计算规范》的网络通信环境中,所有通过IPv4/IPv6(TCP/UDP)进行的通信数据包都要带有安全标记,各通信主机都要根据自己的操作系统上配置的用户标记策略,对进出本操作系统的IPv4/IPv6(TCP/UDP)数据包进行标记设置及检查检查,以使强制访问控制这种安全机制能从单一操作系统上延伸到网络上。通过安全标记和用户信誉度等对数据包作相应的控制,如图1所示。
本发明的工作原理:
在发送数据包过程中,安全标记设置过程为:
a.当用户进程发送的数据包经过操作系统网络驱动模块时,系统拦截该数据包,即获取发送该数据包的进程所属用户的UID;
b.根据获取的用户UID,对比驱动内置规则链表等数据结构,获取用户安全标记策略;
c.根据获取的用户安全标记策略,在数据包中设置用户安全标记(安全密级,用户UID);
d.在完成安全标记设置后,记录相关日志,如图2所示。
在接收数据包过程中,安全标记接收和检查过程为:
a1.当要被用户进程接收的数据包进入操作系统网络驱动模块后,判断协议类型,如果是IPv4或IPv6则进入下一步骤;
b1.得到数据包头,解析并获取该数据包的安全标记,得到发包用户的UID;
c1.在获取数据包接收者用户UID后,根据UID获取用户安全标记策略。与内置的规则链表数据结构比对,得到用户信誉度和安全密级等;
d1.在获取到对应的用户相应的安全密级和信誉度后,根据安全密级和信誉度等对数据封包做访问控制。放行或丢弃该数据包;
e1.记录违规日志到日志数据库 。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (3)
1.一种对网络数据包进行可信访问控制的方法,是一种通过操作系统网络驱动内核模块,对IPv4/IPv6双协议栈数据包进行网络安全标记设置与标记检查的方法。
2.根据权利要求1所述的一种对网络数据包进行可信访问控制的方法,其特征在于,所述进行网络安全标记设置的方法具体包括以下步骤:
A、加载网络驱动和相应的可信系统,当用户进程发送的数据包经过此网络驱动时,操作系统内核拦截该数据包;
B、判断协议类型IPv4/IPv6,如为IPv4数据包,在数据包头IP OPTIONS中设置用户UID及安全密级标记;
如果是IPv6协议,则在IPv6包头的通信流类别和流标签字段添加用户UID和安全密级标记;
C、得到获取发送该数据包的进程所属用户的UID,内核驱动模块根据所获取的用户UID,获取用户安全标记策略;
D、在完成安全标记设置后,记录相关日志。
3.根据权利要求1所述的一种对网络数据包进行可信访问控制的方法,其特征在于,所述进行网络安全标记检查的方法具体包括以下步骤:
A1、当要被用户进程接收的数据包进入操作系统驱动模块后,首先判断是否为IPv4或IPv6协议;
A2、解析相应IP头,读IP头相关安全标记字段,获取将要接收该数据包的进程所属用户的UID;如果没有安全标记字段,可拒绝网络访问;
A3、在获取数据包接收者用户UID后,根据UID获取用户安全标记策略;
A4在获取到对应的用户安全标记策略后,开始把该数据包携带的安全标记与用户策略规则中的安全标记进行匹配检查,根据检查结果进行裁决;
A5、根据信誉度和网络多元规则判断是放行该数据包,还是抛弃该数据包,如果抛弃该数据包,则记录违规日志到日志设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310672128.8A CN103647772A (zh) | 2013-12-12 | 2013-12-12 | 一种对网络数据包进行可信访问控制的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310672128.8A CN103647772A (zh) | 2013-12-12 | 2013-12-12 | 一种对网络数据包进行可信访问控制的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103647772A true CN103647772A (zh) | 2014-03-19 |
Family
ID=50252928
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310672128.8A Pending CN103647772A (zh) | 2013-12-12 | 2013-12-12 | 一种对网络数据包进行可信访问控制的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103647772A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106169054A (zh) * | 2016-07-13 | 2016-11-30 | 浪潮电子信息产业股份有限公司 | 一种基于可信状态的访问控制方法 |
| CN106302386A (zh) * | 2016-07-25 | 2017-01-04 | 深圳信息职业技术学院 | 一种提升IPv6协议数据包安全性的方法 |
| CN109379404A (zh) * | 2018-09-14 | 2019-02-22 | 厦门天锐科技股份有限公司 | 基于tdi驱动和代理服务器有效代理转发数据的方法 |
| CN109600395A (zh) * | 2019-01-23 | 2019-04-09 | 山东超越数控电子股份有限公司 | 一种终端网络接入控制系统的装置及实现方法 |
| CN110290128A (zh) * | 2019-06-20 | 2019-09-27 | 中国科学院信息工程研究所 | 一种基于业务安全标记的网络隔离与交换控制方法及装置 |
| CN110324326A (zh) * | 2019-06-20 | 2019-10-11 | 中国科学院信息工程研究所 | 一种基于业务安全标记的网络数据传输控制方法及装置 |
| CN110417731A (zh) * | 2019-06-20 | 2019-11-05 | 中国科学院信息工程研究所 | 一种适应信息对象业务安全属性的网络层标记动态生成方法及系统 |
| CN110427770A (zh) * | 2019-06-20 | 2019-11-08 | 中国科学院信息工程研究所 | 一种支持业务安全标记的数据库访问控制方法及系统 |
| CN110427747A (zh) * | 2019-06-20 | 2019-11-08 | 中国科学院信息工程研究所 | 一种支持业务安全标记的身份鉴别方法及装置 |
| CN110427744A (zh) * | 2019-06-20 | 2019-11-08 | 中国科学院信息工程研究所 | 一种支持业务安全标记的身份管理方法及系统 |
| CN110427759A (zh) * | 2019-06-20 | 2019-11-08 | 中国科学院信息工程研究所 | 一种支持业务安全标记的网络资源浏览控制方法及系统 |
| CN110457961A (zh) * | 2019-06-20 | 2019-11-15 | 中国科学院信息工程研究所 | 一种支持业务安全标记的移动存储系统接入控制方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009140248A2 (en) * | 2008-05-12 | 2009-11-19 | Raytheon Company | System and method for transferring information through a trusted network |
| CN102594814A (zh) * | 2012-02-10 | 2012-07-18 | 福建升腾资讯有限公司 | 基于端末的网络访问控制系统 |
-
2013
- 2013-12-12 CN CN201310672128.8A patent/CN103647772A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009140248A2 (en) * | 2008-05-12 | 2009-11-19 | Raytheon Company | System and method for transferring information through a trusted network |
| CN102594814A (zh) * | 2012-02-10 | 2012-07-18 | 福建升腾资讯有限公司 | 基于端末的网络访问控制系统 |
Non-Patent Citations (1)
| Title |
|---|
| 马相林: "基于安全标记的区域边界访问控制技术研究", 《中国优秀硕士论文全文库 信息科技辑》 * |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106169054A (zh) * | 2016-07-13 | 2016-11-30 | 浪潮电子信息产业股份有限公司 | 一种基于可信状态的访问控制方法 |
| CN106302386A (zh) * | 2016-07-25 | 2017-01-04 | 深圳信息职业技术学院 | 一种提升IPv6协议数据包安全性的方法 |
| CN109379404A (zh) * | 2018-09-14 | 2019-02-22 | 厦门天锐科技股份有限公司 | 基于tdi驱动和代理服务器有效代理转发数据的方法 |
| CN109600395A (zh) * | 2019-01-23 | 2019-04-09 | 山东超越数控电子股份有限公司 | 一种终端网络接入控制系统的装置及实现方法 |
| CN110290128A (zh) * | 2019-06-20 | 2019-09-27 | 中国科学院信息工程研究所 | 一种基于业务安全标记的网络隔离与交换控制方法及装置 |
| CN110324326A (zh) * | 2019-06-20 | 2019-10-11 | 中国科学院信息工程研究所 | 一种基于业务安全标记的网络数据传输控制方法及装置 |
| CN110417731A (zh) * | 2019-06-20 | 2019-11-05 | 中国科学院信息工程研究所 | 一种适应信息对象业务安全属性的网络层标记动态生成方法及系统 |
| CN110427770A (zh) * | 2019-06-20 | 2019-11-08 | 中国科学院信息工程研究所 | 一种支持业务安全标记的数据库访问控制方法及系统 |
| CN110427747A (zh) * | 2019-06-20 | 2019-11-08 | 中国科学院信息工程研究所 | 一种支持业务安全标记的身份鉴别方法及装置 |
| CN110427744A (zh) * | 2019-06-20 | 2019-11-08 | 中国科学院信息工程研究所 | 一种支持业务安全标记的身份管理方法及系统 |
| CN110427759A (zh) * | 2019-06-20 | 2019-11-08 | 中国科学院信息工程研究所 | 一种支持业务安全标记的网络资源浏览控制方法及系统 |
| CN110457961A (zh) * | 2019-06-20 | 2019-11-15 | 中国科学院信息工程研究所 | 一种支持业务安全标记的移动存储系统接入控制方法及装置 |
| CN110417731B (zh) * | 2019-06-20 | 2020-10-27 | 中国科学院信息工程研究所 | 一种网络层标记动态生成方法及系统 |
| CN110427759B (zh) * | 2019-06-20 | 2021-04-20 | 中国科学院信息工程研究所 | 一种支持业务安全标记的网络资源浏览控制方法及系统 |
| CN110427747B (zh) * | 2019-06-20 | 2021-12-14 | 中国科学院信息工程研究所 | 一种支持业务安全标记的身份鉴别方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103647772A (zh) | 一种对网络数据包进行可信访问控制的方法 | |
| CN104618396B (zh) | 一种可信网络接入与访问控制方法 | |
| CN100553212C (zh) | 一种基于三元对等鉴别的可信网络接入控制系统 | |
| CN105282157B (zh) | 一种安全通信控制方法 | |
| US20080005359A1 (en) | Method and apparatus for OS independent platform based network access control | |
| US20070240197A1 (en) | Platform posture and policy information exchange method and apparatus | |
| CN103621038A (zh) | 中间件机器环境中支持子网管理数据包防火墙限制和业务保护中的至少一项的系统和方法 | |
| US20090126002A1 (en) | System and method for safeguarding and processing confidential information | |
| CN101572704B (zh) | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 | |
| CN104994094B (zh) | 基于虚拟交换机的虚拟化平台安全防护方法、装置和系统 | |
| CN104322001A (zh) | 使用服务名称识别的传输层安全流量控制 | |
| KR102041341B1 (ko) | 블록체인을 이용한 사물인터넷 보안 시스템 및 보안 방법 | |
| CN103139058A (zh) | 一种物联网安全接入网关 | |
| CN105847251B (zh) | 采用s7协议的工控系统安全防护方法及系统 | |
| CN106992984A (zh) | 一种基于电力采集网的移动终端安全接入信息内网的方法 | |
| US8336093B2 (en) | Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof | |
| CN103905466A (zh) | 一种存储系统数据访问控制系统及其方法 | |
| CN102143158A (zh) | 基于tpm的数据防泄漏方法 | |
| CN107196932A (zh) | 一种基于虚拟化的文档集中管控系统 | |
| JP2002533792A (ja) | 信頼された内部ネットワ−クの作動を保護方法およびシステム | |
| CN110061991A (zh) | 一种实现高速公路收费专网安全接入互联网的网关设置方法 | |
| CN110417739A (zh) | 一种基于区块链技术的安全的网络带内测量方法 | |
| CN103457958A (zh) | 一种云计算网络服务器内核安全访问方法 | |
| CN103905402B (zh) | 一种基于安全标签的保密安全管理方法 | |
| CN101820414A (zh) | 一种主机接入控制系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140319 |