CN104394175B - 一种基于网络标记的报文访问控制方法 - Google Patents
一种基于网络标记的报文访问控制方法 Download PDFInfo
- Publication number
- CN104394175B CN104394175B CN201410780465.3A CN201410780465A CN104394175B CN 104394175 B CN104394175 B CN 104394175B CN 201410780465 A CN201410780465 A CN 201410780465A CN 104394175 B CN104394175 B CN 104394175B
- Authority
- CN
- China
- Prior art keywords
- message
- access control
- network
- current message
- screening
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于网络标记的报文访问控制方法,其实施步骤如下:1)预先在操作系统中设置访问控制策略并添加强制访问控制模块;在网络层的防火墙中添加用于对筛选通过的报文设置安全性网络标识的功能;2)通过防火墙对进出防火墙的网络报文流的每一个报文进行筛选过滤,对筛选通过的报文设置安全性网络标识;3)针对筛选通过的每一个当前报文,通过强制访问控制模块检查访问控制策略,如果访问控制策略中对应当前报文的允许访问状态为允许,则继续当前报文的后续收发处理;否则,丢弃当前报文。本发明具有访问控制与主机的强制访问控制技术结合、网络安全性高、不需要外部基础设施和标记协议、标记和实施隔离、易于扩展和实现的优点。
Description
技术领域
本发明涉及计算机操作系统中的网络访问控制技术,具体涉及一种基于网络标记的报文访问控制方法。
背景技术
当今网络技术迅速发展,机器之间的交互日益频繁,但是在网络环境下,网络通信的安全无法得到保证。虽然采用防火墙等技术可以在一定程度上保护内部计算机免受来自外部网络的威胁,但防火墙仅针对网络分组的物理特性进行保护,例如源/目标地址、端口号、应用类型等,无法提供更高层次的保护。
网络访问控制技术是一种根据报文的特征信息对其访问的目的进行控制的技术,通常用于将内部网络和公众网络(互联网)分开,网络访问控制技术可以为两个进行通信的网络设置一个访问控制标准。在基于互联网协议(IP)的网络中,通常是根据IP报文的源地址和目的地址、应用的协议类型以及IP报文所承载的传输控制协议/用户数据报协议(TCP/UDP)端口对网络间的访问进行控制。目前被广泛应用的是根据所需要的网络访问控制要求配置一组可对报文进行匹配的访问控制列表(ACL),每个ACL中包含多条规则,每条规则里包含了允许或禁止的报文的特征信息。例如,允许主机A使用文件传输协议(FTP)使用21号端口访问主机B。但是这种访问控制没有与主机的强制访问控制技术结合,网络的安全性无法得到更好的保证。
发明内容
本发明要解决的技术问题是:针对现有技术的上述技术问题,提供一种访问控制与主机的强制访问控制技术结合、网络安全性高、不需要外部基础设施和标记协议、标记和实施隔离、易于扩展和实现的基于网络标记的报文访问控制方法。
为了解决上述技术问题,本发明采用的技术方案为:
一种基于网络标记的报文访问控制方法,其实施步骤如下:
1)预先在操作系统中设置访问控制策略并添加基于所述访问控制策略的强制访问控制模块,所述访问控制策略中的每一个表项包括应用程序、安全性网络标识和是否允许访问状态;在网络层的防火墙中添加用于对筛选通过的报文设置安全性网络标识的功能;
2)通过所述防火墙根据预设的防火墙规则以及报文的网络信息对进出防火墙的网络报文流中的每一个报文进行筛选过滤,并对筛选通过的报文设置安全性网络标识;
3)针对筛选通过的每一个当前报文,通过所述强制访问控制模块根据当前报文的安全性网络标识、当前报文对应的应用程序来检查访问控制策略,如果所述访问控制策略中对应当前报文的是否允许访问状态为允许,则继续当前报文的后续收发处理;否则,丢弃当前报文。
优选地,所述步骤1)中添加基于所述访问控制策略的强制访问控制模块具体是指
针对操作系统中的Netfilter模块的target构件进行扩展,通过扩展增加强制访问控制结
构来添加基于所述访问控制策略的强制访问控制模块;所述在网络层的防火墙中添加用于
对筛选通过的报文设置安全性网络标识的功能具体是指在网络层的iptables防火墙中添
加用于对筛选通过的报文设置安全性网络标识的功能。
优选地,所述步骤1)中的设置安全性网络标识具体是指对报文进行完整性验证得到的完整性标识或者对报文进行机密性验证得到的机密性标识。
优选地,所述步骤2)中报文的网络信息具体包括源地址、目标地址、源端口号、目标端口号、应用协议类型。
优选地,所述步骤3)的详细步骤如下:针对筛选通过的每一个当前报文,获取当前报文对应的应用程序,如果当前报文为应用程序发送的报文,则当前报文对应的应用程序为发送当前报文的应用程序,如果所述当前报文为来自网络结构的报文,则当前报文对应的应用程序为接收当前报文的应用程序;通过所述强制访问控制模块根据当前报文的安全性网络标识、当前报文对应的应用程序来检查访问控制策略,如果所述访问控制策略中对应当前报文的是否允许访问状态为允许,则继续当前报文的后续收发处理;否则,丢弃当前报文。
本发明基于网络标记的报文访问控制方法具有下述优点:本发明预先在操作系统
中设置访问控制策略并添加基于所述访问控制策略的强制访问控制模块,所述访问控制策
略中的每一个表项包括应用程序、安全性网络标识和是否允许访问状态;在网络层的防火
墙中添加用于对筛选通过的报文设置安全性网络标识的功能,后续则使用防火墙对筛选通
过的报文设置安全性网络标识,并通过所述强制访问控制模块根据访问控制策略对报文进
行访问控制实施,将强制访问控制技术MAC(Mandatory Access Control)扩展到网络级,将
iptables与主机强制访问控制机制相结合且基于网络标记对报文进行访问控制,从而实现
保护网络安全的目的,具有访问控制与主机的强制访问控制技术结合、网络安全性高、不需
要外部基础设施和标记协议、标记和实施隔离、易于扩展的优点。
附图说明
图1为本发明实施例的实施流程示意图。
图2为本发明实施例接收报文的流程示意图。
图3为本发明实施例发送报文的流程示意图。
图4为本发明实施例应用于完整性控制的流程示意图。
具体实施方式
如图1所示,本实施例基于网络标记的报文访问控制方法的实施步骤如下:
1)预先在操作系统中设置访问控制策略并添加基于访问控制策略的强制访问控制模块,访问控制策略中的每一个表项包括应用程序、安全性网络标识和是否允许访问状态;在网络层的防火墙中添加用于对筛选通过的报文设置安全性网络标识的功能;
2)通过防火墙根据预设的防火墙规则以及报文的网络信息对进出防火墙的网络报文流中的每一个报文进行筛选过滤,并对筛选通过的报文设置安全性网络标识;
3)针对筛选通过的每一个当前报文,通过强制访问控制模块根据当前报文的安全性网络标识、当前报文对应的应用程序来检查访问控制策略,如果访问控制策略中对应当前报文的是否允许访问状态为允许,则继续当前报文的后续收发处理;否则,丢弃当前报文。
本实施例中,步骤1)中添加基于所述访问控制策略的强制访问控制模块具体是指
针对操作系统中的Netfilter模块的target构件进行扩展,通过扩展增加强制访问控制结
构(Mandatory Access Control结构,简称MAC结构)来添加基于访问控制策略的强制访问
控制模块;在网络层的防火墙中添加用于对筛选通过的报文设置安全性网络标识的功能具
体是指在网络层的iptables防火墙中添加用于对筛选通过的报文设置安全性网络标识的
功能,除了现有的报文选择过滤模块(用于筛选过滤)以外,本实施例在在网络层的
iptables防火墙中增加了报文标记模块,通过报文标记模块添加用于对筛选通过的报文设
置安全性网络标识的功能,对操作系统中的iptables防火墙修改后,修改添加iptables对
进出防火墙的报文进行选择过滤并打安全标记,后继的访问控制判断递交由强制访问控制
模块按照访问控制策略来进行访问控制实施。
本实施例中,步骤2)中报文的网络信息具体包括源地址、目标地址、源端口号、目标端口号、应用协议类型。
如图2所示,对于从网络进入本地网络接口的报文,iptables防火墙根据防火墙规
则以及源地址、目标地址、源端口号、目标端口号、应用协议类型等进行选择过滤,并对匹配
iptables标记规则(筛选通过)的报文设置相应的安全标记;强制访问控制模块按照访问控
制策略实施访问控制检查,如果策略允许相应应用接收该标记的报文,则该报文通过
iptables防火墙并被该应用接收,如果策略不允许相应应用接收该标记的报文,则该报文
被iptables防火墙丢弃。
如图3所示,对于本地应用程序发送的报文,iptables防火墙根据防火墙规则进行
选择,并对匹配iptables标记规则的报文设置相应的安全标记;强制访问控制模块按照基
于主机的访问控制策略实施访问控制检查,如果策略允许相应应用发送该标记的报文,则
该报文通过iptables防火墙并被发送到网络目的地,如果策略不允许相应应用发送该标记
的报文,则该报文被iptables防火墙丢弃。
本实施例中,步骤3)的详细步骤如下:针对筛选通过的每一个当前报文,获取当前报文对应的应用程序,如果当前报文为应用程序发送的报文,则当前报文对应的应用程序为发送当前报文的应用程序,如果当前报文为来自网络结构的报文,则当前报文对应的应用程序为接收当前报文的应用程序;通过强制访问控制模块根据当前报文的安全性网络标识、当前报文对应的应用程序来检查访问控制策略,如果访问控制策略中对应当前报文的是否允许访问状态为允许,则继续当前报文的后续收发处理;否则,丢弃当前报文。
本实施例具体被应用于利用Biba模型解决信息在网络环境中的完整性问题,设置
安全性网络标识具体是指对报文进行完整性验证得到的完整性标识,即将上述的安全标记
换成完整性标记,通过系统的完整性强制访问控制策略实现对网络数据的完整性保护,此
时访问控制策略则可称为“完整性访问控制策略”(参见图4)。如图4所示,本实施例具体被
应用于利用Biba模型进行信息接收的步骤如下:1-1)报文从网络进入到本地网络接口;1-
2)iptables防火墙基于防火墙规则对报文进行筛选过滤;1-3)iptables防火墙对经过防火
墙筛选的报文按照完整性控制策略,对报文进行完整性验证得到的完整性标识并进行完整
性标识;1-4)将进行完整性标识的报文与接收报文的应用程序进行系统的完整性强制访问
控制检查,如果符合完整性控制策略则执行步骤1-5),否则执行步骤1-6);1-5)系统应用接
收报文;1-6)丢弃报文。本实施例具体被应用于利用Biba模型进行信息发送的步骤如下:2-
1)应用发送报文;2-2)iptables防火墙基于防火墙规则对报文进行筛选;2-3)iptables防
火墙对经过筛选通过的报文按照完整性控制策略进行完整性标识;2-4)将进行完整性标识
的报文与发送报文的应用程序进行完整性强制访问控制检查,如果符合完整性控制策略则
执行步骤2-5),否则执行步骤2-6);2-5)应用发送报文;2-6)丢弃报文。
众所周知,Bell Lapadula模型(即BLP模型)和Biba模型具有相似性,因此通过对本发明成果的稍作变动,将设置安全性网络标识具体变更为对报文进行机密性验证得到的机密性标识,即可较容易地为网络信息提供机密性保护,其与本实施例原理相同,在此不再赘述。
以上所述仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (4)
1.一种基于网络标记的报文访问控制方法,其特征在于实施步骤如下:
1)预先在操作系统中设置访问控制策略并添加基于所述访问控制策略的强制访问控制模块,所述访问控制策略中的每一个表项包括应用程序、安全性网络标识和是否允许访问状态;在网络层的防火墙中添加用于对筛选通过的报文设置安全性网络标识的功能;所述安全性网络标识具体是指对报文进行完整性验证得到的完整性标识或者对报文进行机密性验证得到的机密性标识;
2)通过所述防火墙根据预设的防火墙规则以及报文的网络信息对进出防火墙的网络报文流中的每一个报文进行筛选过滤,并对筛选通过的报文设置安全性网络标识;
3)针对筛选通过的每一个当前报文,通过所述强制访问控制模块根据当前报文的安全性网络标识、当前报文对应的应用程序来检查访问控制策略,如果所述访问控制策略中对应当前报文的是否允许访问状态为允许,则继续当前报文的后续收发处理;否则,丢弃当前报文。
2.根据权利要求1所述的基于网络标记的报文访问控制方法,其特征在于:所述步骤1)中添加基于所述访问控制策略的强制访问控制模块具体是指针对操作系统中的Netfilter模块的target构件进行扩展,通过扩展增加强制访问控制结构来添加基于所述访问控制策略的强制访问控制模块;所述在网络层的防火墙中添加用于对筛选通过的报文设置安全性网络标识的功能具体是指在网络层的iptables防火墙中添加用于对筛选通过的报文设置安全性网络标识的功能。
3.根据权利要求2所述的基于网络标记的报文访问控制方法,其特征在于:所述步骤2)中报文的网络信息具体包括源地址、目标地址、源端口号、目标端口号、应用协议类型。
4.根据权利要求3所述的基于网络标记的报文访问控制方法,其特征在于,所述步骤3)的详细步骤如下:针对筛选通过的每一个当前报文,获取当前报文对应的应用程序,如果当前报文为应用程序发送的报文,则当前报文对应的应用程序为发送当前报文的应用程序,如果所述当前报文为来自网络结构的报文,则当前报文对应的应用程序为接收当前报文的应用程序;通过所述强制访问控制模块根据当前报文的安全性网络标识、当前报文对应的应用程序来检查访问控制策略,如果所述访问控制策略中对应当前报文的是否允许访问状态为允许,则继续当前报文的后续收发处理;否则,丢弃当前报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410780465.3A CN104394175B (zh) | 2014-12-17 | 2014-12-17 | 一种基于网络标记的报文访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410780465.3A CN104394175B (zh) | 2014-12-17 | 2014-12-17 | 一种基于网络标记的报文访问控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104394175A CN104394175A (zh) | 2015-03-04 |
| CN104394175B true CN104394175B (zh) | 2017-11-21 |
Family
ID=52612010
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410780465.3A Active CN104394175B (zh) | 2014-12-17 | 2014-12-17 | 一种基于网络标记的报文访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104394175B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104754564A (zh) * | 2015-04-10 | 2015-07-01 | 上海斐讯数据通信技术有限公司 | 一种基于iptables控制使用互联网的方法 |
| CN105187427A (zh) * | 2015-09-11 | 2015-12-23 | 浪潮集团有限公司 | 采用自定义表规则的细粒度内核防火墙实现方法 |
| CN106953789B (zh) * | 2017-02-20 | 2020-02-04 | 广州启生信息技术有限公司 | 一种可编程多拨号路由出口寻访系统的实现方法 |
| CN110417731B (zh) * | 2019-06-20 | 2020-10-27 | 中国科学院信息工程研究所 | 一种网络层标记动态生成方法及系统 |
| CN111262833B (zh) * | 2020-01-08 | 2022-05-06 | 广东电力通信科技有限公司 | 一种网络安全处理方法、终端及存储介质 |
| CN113079180B (zh) * | 2021-04-20 | 2023-03-10 | 成都安恒信息技术有限公司 | 一种基于执行上下文的防火墙细粒度访问控制方法及系统 |
| EP4167118A1 (en) * | 2021-10-18 | 2023-04-19 | Valeo Comfort and Driving Assistance | Method for controlling a transmission of a message from a source application to a target application |
| CN114697076A (zh) * | 2022-02-24 | 2022-07-01 | 深圳融安网络科技有限公司 | 应用的访问控制方法、装置、终端设备及介质 |
| CN115022251B (zh) * | 2022-06-02 | 2023-09-05 | 中国电子科技集团公司第二十八研究所 | 一种信息系统间双向报文收发控制方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102063466B (zh) * | 2010-12-03 | 2012-12-26 | 中国科学院软件研究所 | 基于策略的数据库强制访问控制方法及其系统 |
| CN102542182A (zh) * | 2010-12-15 | 2012-07-04 | 苏州凌霄科技有限公司 | 基于Windows平台的强制访问控制装置及控制方法 |
| CN102904889B (zh) * | 2012-10-12 | 2016-09-07 | 北京可信华泰信息技术有限公司 | 支持跨平台统一管理的强制访问控制系统及方法 |
-
2014
- 2014-12-17 CN CN201410780465.3A patent/CN104394175B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN104394175A (zh) | 2015-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104394175B (zh) | 一种基于网络标记的报文访问控制方法 | |
| CN104639504B (zh) | 网络协同防御方法、装置和系统 | |
| JP4555235B2 (ja) | ネットワーク装置、無線ネットワークの使用方法及び無線ネットワーク・セキュリティ方法 | |
| CN103428094B (zh) | 开放流OpenFlow系统中的报文转发方法及装置 | |
| US8335918B2 (en) | MAC frame provision method and apparatus capable of establishing security in IEEE 802.15.4 network | |
| CN106375493A (zh) | 一种跨网络通信的方法以及代理服务器 | |
| US20130133057A1 (en) | System for managing virtual private network and method thereof | |
| CN106332067A (zh) | 防止无线网络中直径信令攻击的方法、装置和系统 | |
| CN106797378B (zh) | 用于控制通信网络的装置和方法 | |
| TWI520002B (zh) | Protection Method and System of Cloud Virtual Network Security | |
| CN102739684A (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| CN109587167A (zh) | 一种报文处理的方法和装置 | |
| EP4002866A1 (en) | A device and method to establish a score for a computer application | |
| TW202137735A (zh) | 網路基礎架構可程式切換裝置 | |
| CN107689942A (zh) | 业务处理方法及装置 | |
| Swain et al. | A systematic study and analysis of security issues in mobile ad-hoc networks | |
| CN106161386A (zh) | 一种实现IPsec分流的方法和装置 | |
| US20190373017A1 (en) | Apparatus for providing training program against cyber threat | |
| CN103905407A (zh) | 一种防火墙访问控制策略的分析方法及装置 | |
| CN104641594B (zh) | 组播消息更新 | |
| TWI335160B (en) | Access-controlling method, pepeater, and sever | |
| Cheng et al. | Managing network security policies in tactical MANETs using DRAMA | |
| KR102412933B1 (ko) | 소프트웨어 정의 네트워크 기반 망 분리 서비스를 제공하는 시스템 및 방법 | |
| CN105471839B (zh) | 一种判断路由器数据是否被窜改的方法 | |
| CN103957197B (zh) | 一种蜂窝移动通信网分组数据网保护方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |