CN108781207B - 动态创建访问控制列表的方法和系统 - Google Patents
动态创建访问控制列表的方法和系统 Download PDFInfo
- Publication number
- CN108781207B CN108781207B CN201680073058.6A CN201680073058A CN108781207B CN 108781207 B CN108781207 B CN 108781207B CN 201680073058 A CN201680073058 A CN 201680073058A CN 108781207 B CN108781207 B CN 108781207B
- Authority
- CN
- China
- Prior art keywords
- computing device
- network
- policy enforcement
- information corresponding
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
一种用于动态创建网络访问控制列表的方法包括:通过处理器接收对访问控制列表(ACL)的请求。该方法进一步包括,响应于接收对ACL的所述请求:从第一数据源接收多个资源描述,从第二数据源,接收所述网络的策略执行点(PEP)图,以及使用所述多个资源描述和所述PEP图来生成所述ACL,其中所述ACL包括用于控制通过所述网络的PEP的网络流量的至少一个策略。多个资源描述中的每一个与网络中的多个计算设备相关联,每个资源描述包括以下中的一个或多个:与计算设备的互联网协议(IP)定义相对应的信息,与所述计算设备的期望的访问相对应的信息,以及与所述计算设备的被许可的访问相对应的信息。
Description
相关申请及优先权
本专利申请要求于2016年3月21日提交的美国专利申请No.15/075,458的优先权。该优先权申请的公开通过引用被完全并入本文。
背景技术
在网络中,网络设备(如路由器,交换机和防火墙)利用访问控制列表(ACL)来许可和限制数据流进和流出网络接口。ACL指定哪些用户或系统过程可以被授予对对象的访问权限,以及对给定对象允许的操作。当在接口上配置ACL时,网络设备会分析经过该接口的数据,将该数据与ACL中描述的标准进行比较,并且许可数据流或者禁止该数据流。通常可以将ACL配置为,通过限制用户和设备对非期望的地址和/或端口的访问和非期望的地址和/或端口对用户和设备的访问来控制入站和出站流量。具体来说,尽管其他设备可以过滤数据包,但是一般在路由器接口处,ACL通过控制路由数据包是被转发还是被阻挡来过滤网络流量。ACL标准可以是流量的源地址或流量的目的地地址、目标端口,或协议或这些中的一些组合。一般地,互联网协议(IP)地址充当在基于IP的网络上的源设备的标识符。
传统的访问控制系统使用手动维护的和/或配置的ACL。但是,考虑到大型IP网络可能有数以万计的节点和数百个路由器和网关,由于会导致大量的ACL,所以手动管理和创建ACL会给这些网络带来无数的困难。此外,相对于特定流量流的ACL之间的空间关系通常仅为ACL管理团队所知,因此传统的网络ACL存在于两个任意安全域之间的隔绝环境中。这样在进行手动ACL更改时,会有很大的机会犯错,因为团队成员可能忘记特定的流量流是可能的。另外,手动配置的ACL与其负责保护的服务或环境没有明确的连接,并且在ACL的任一侧删除或添加服务对ACL本身没有影响。因为ACL管理团队并不知情,特定的访问控制条目可能随着时间的推移而被一组新的服务所使用,这些会导致严重的ACL维护问题。
本发明公开了用于自动创建动态访问控制列表以解决上述问题的系统和方法。
发明内容
在实施例中,用于动态创建网络访问控制列表的方法(和系统)可以包括通过处理器接收对访问控制列表(ACL)的请求。该方法还包括,响应于接收对ACL的所述请求:从第一数据源接收多个资源描述,从第二数据源,接收所述网络的策略执行点(PEP)图,以及使用所述多个资源描述和所述PEP图来生成所述ACL,其中所述ACL包括用于控制通过所述网络的PEP的网络流量的至少一个策略,其中所述网络包括一个或多个PEP。多个资源描述中的每一个与网络中的多个计算设备相关联,每个资源描述包括以下中的一个或多个:与计算设备的互联网协议(IP)定义相对应的信息,与所述计算设备的期望的访问相对应的信息,以及与所述计算设备的被许可的访问相对应的信息。
在实施例中,接收对所述ACL的所述请求包括,从以下中的一个或多个接收所述请求:所述网络的PEP,其中所述PEP从所述网络中的所述多个计算设备的一个或多个端口接收通信并将通信发送到所述多个计算设备的一个或多个端口,所述网络中的计算设备,与用户相关联的计算设备。在某些实施例中,接收对所述ACL的所述请求包括,响应于在所述PEP处从第一计算设备接收将被递送到第二计算设备的数据包,从所述网络的所述PEP接收所述请求。该方法还包括,在所述PEP接收所述生成的ACL,在所述PEP解析所述ACL,以确定所述至少一个策略是否允许将所述数据包递送到所述第二计算设备,以及在所述PEP使用所述解析的结果来决定是否阻挡或递送所述数据包到所述第二计算设备,并且作为响应,阻挡或递送所述数据包。对所述ACL的所述请求还包括来自数据包的信息。在某些实施例中,来自所述数据包的信息包括以下中的一个或多个:源计算设备的IP地址,目的地计算设备的IP地址,MAC地址,时间戳,PEP的标识符,协议信息,源计算设备端口信息,或目的地计算设备端口信息。
在至少一个实施例中,使用所述多个资源描述和所述策略执行点图来生成所述ACL包括:识别所述网络的所述计算设备之间的多个路径,使用所述资源描述来放弃所述多个路径的子集,以生成PEP向量,以及使用所述策略执行点向量来生成ACL。所述多个路径中的每一个包括在所述PEP图上的至少一个PEP。在一些实施例中,使用所述资源描述放弃所述多个路径的子集包括,针对所述多个路径中的每一个:为所述多个路径中的每一个识别源计算设备,为所述多个路径中的每一个识别目的地计算设备,使用与所述源计算设备的期望的访问相对应的信息和与所述目的地计算设备的被许可的访问相对应的信息,来确定网络流量在路径上是否被允许。如果网络流量不被允许,则该系统放弃所述路径。
在实施例中,对应于所述计算设备的所述IP定义的所述信息包括对数据源的查询,所述查询针对以下中的一个或多个:所述计算设备的IP地址、域名或MAC地址。
在实施例中,与所述计算设备的期望的访问相对应的所述信息包括以下各项中的一个或多个:所述计算装置希望连接的一个或多个目的地计算设备的识别信息,所述计算设备希望连接的所述一个或多个目的地计算设备的一个或多个服务的识别信息,与所述一个或多个服务相对应的被许可的协议信息,或与所述一个或多个服务相对应的被许可的端口信息。
在另一个实施例中,对应于所述计算设备的被许可的访问的所述信息包括以下中的一个或多个:由所述计算设备提供的一个或多个服务的识别信息,所述计算设备授予访问许可的一个或多个源计算设备的识别信息,对应于所述一个或多个所提供的服务的被许可的协议信息,对应于所述一个或多个提供的服务的被许可的端口信息,或所述一个或多个提供的服务中的每一个的时限。
附图说明
图1是根据实施例的用于创建动态访问控制列表的网络系统的示例框图。
图2示出了根据实施例的用于生成动态访问控制列表的过程的示例流程图。
图3示出了根据实施例的示例的策略执行点(PEP)。
图4示出了根据实施例的示例PEP向量。
图5示出了根据实施例的可用于包含或实现程序指令的示例硬件的框图。
具体实施方式
本公开不限于所描述的特定系统,方法或协议,因为这些可以变化。在本说明书中使用的术语仅用于描述特定版本或实施例的目的,而不旨在限制范围。
如本文中所使用的,单数形式“一”,“一个”和“该”包括复数形式,除非上下文另有明确说明。除非另外定义,否则本文使用的所有技术和科学术语具有与本领域普通技术人员通常理解的含义相同的含义。本文档中提及的所有出版物均以引用方式并入本文。本文档中列举的所有尺寸仅作为示例,并且本发明不限于具有下面列举的特定尺寸或规模的结构。如本文所使用的,术语“包括”意思是“包括但不限于”。
为了本申请的目的,下列术语应具有以下记载的各自的含义:
“访问控制列表”或“ACL”是指用于控制经过网络设备的流量流的文件系统结构,以保护网络免受未经授权的访问。示例可以包括但不限于,诸如网关,路由器,交换机,防火墙等。ACL确定是否应该允许网络流量(例如数据包,比特流等)经过网络设备并且传递到网络设备通信的一个或多个计算设备。这种网络流量通常以数据包的形式传送,数据包内嵌入源系统和目标系统的网络地址。ACL包括规则列表,可以指示数据包的一个或多个属性以及与该数据包的属性对应的动作列表。数据包的属性可以包括从例如因特网协议(IP)和传输控制协议(TCP)报头导出的信息,该信息包括以太网帧(MAC)字段、IP地址和TCP端口和协议信息的组合。
“网络设备”是指许可各种计算设备之间使用网络的通信以使这些计算设备可以共享文件和资源的设备。示例可以包括但不限于网关,集线器,网桥,路由器,无线接入点,调制解调器,交换机,防火墙等。网络设备可以包括“策略执行点”(PEP),在其上执行或实施网络策略决策。应该注意的是,虽然本发明将网络设备作为PEP讨论,但是在不偏离本发明的原理的情况下,PEP可以应用于任何物理或虚拟设备,其可以不是网络设备。
“计算设备”或“电子设备”是指包括处理器和非暂时性计算机可读存储器的设备。存储器包括编程指令,该编程指令在由该处理器执行时,使该计算设备根据该编程指令执行一个或多个操作。如本说明书中所使用的,“计算设备”或“电子设备”可以是单个设备,或任何数量的具有一个或多个彼此通信并共享数据和/或指令的处理器的设备。计算设备或电子设备的示例包括但不限于个人计算机,服务器,大型机,游戏系统,电视机,以及诸如智能手机,个人数字助理,相机,平板电脑,膝上型计算机,媒体播放器等的便携式电子设备。以下参考图5描述计算设备或处理器的示例的各种部件。
图1是联网的计算机系统的一个实施例的框图。在图1的实施例中,多个源计算设备101a、101b、101c...101n经由网络110与一个或多个网络设备111a、111b和111c通信。在一个实施例中,网络110可以包括一个或多个有线和/或无线网络,诸如一个或多个局域网(LAN),广域网(WAN)和/或因特网。在实施例中,该系统可以包括大于一个的网络,并且可以包括公共和专用网络的组合。在实施例中,系统可以包括各种网络环境(由网络110表示),包括例如基于TCP/IP的网络(例如,速率控制协议或RCP,传输控制协议或TCP,快速TCP,基于流的TCP/IP或STCP,显式控制协议或XCP等),电信网络,无线网络,移动网络等。
在图1的实施例中,网络设备111a、111b和111c接收指定给一个或多个的目的地计算设备102a、102b、102c…102n的所有数据包。因此,联网系统上的源计算设备和目的地计算设备被配置为有助于网络上的通信的一个或多个网络设备所分开。网络设备111a、111b和111c被配置为确定每个传入数据包的目的地,并将传入的数据包路由到合适的目的地。在某些实施例中,网络设备111a、111b和111c可以被配置为充当PEP并且接收和/或生成动态ACL(如下所述)。网络设备还可以分析传入的和/或传出的数据包的属性(诸如协议、源地址、目的地地址等),并且使用动态ACL规则来选择性地阻挡不想要的数据包经过。网络设备还可以包括用于将网络设备彼此通信地互连并且互连到网络110的多个端口(输入端口和/或输出端口)。网络设备被配置为在连接到它的任何两个设备之间输送诸如数据包,比特流或帧的数据单元,直到该设备的端口最大数量。
网络设备一般包括多个接口,这些接口定义网络设备如何使用ACL来控制在各个接口处的或从各个接口发送的数据包流。如上所述,ACL包括信息的列表,网络设备可以该信息的列表来确定到达特定接口或从特定接口发送的数据包是否可以通过网络设备被通信。例如,ACL可能包含IP地址和该IP地址允许的协议类型的列表。在另一个示例中,ACL可以包括IP地址和端口标识符的列表。在任一示例中,ACL中的特有条目可以基于数据包中的一个或多个字段来控制对通信的许可或拒绝。
系统的一个或多个计算设备(源计算设备或目的地计算设备)可具有与其相关联的资源描述。在实施例中,计算设备的资源描述可以包括但不限于,与计算设备的IP定义(诸如IP地址)有关的信息,与期望的访问相对应的信息、以及与被许可的访问相对应的信息。在某些实施例中,资源定义还可选地包括描述计算设备和/或所提供的服务表示什么的文本描述。
在实施例中,与计算设备的IP定义有关的信息可以包括用于检索IP定义的对授权数据源的查询。在实施例中,IP定义将网络的一部分标识为流量流的源或目的地,诸如,源计算设备或目的地计算设备。示例可以包括但不限于IP地址,域名,MAC地址和/或诸如此类。
在实施例中,与期望的访问相对应的信息包括与其他计算设备寻求的连接有关的信息,即,期望连接到由其他计算设备提供的一个或多个服务。例如,在实施例中,对应于被许可的访问的信息可以包括计算设备的识别信息、由计算设备提供的服务的识别信息、计算设备(和/或服务)的协议和/或端口信息、和/或类似的等。
在实施例中,与被许可的访问相对应的信息包括关于计算设备的曝光的信息,即,计算设备的一个或多个服务和/或资源(诸如数据文件,网络访问,打印机服务,路由服务,传感器和/或等)对其他计算设备和服务相关的特定计算设备的可用性,端口和/或协议规范。例如,在实施例中,与被许可的访问相对应的信息可以包括所提供的服务的标识,被提供服务的计算设备的标识,正确的端口和协议的标识,提供服务的时限等。
在实施例中,定义资源描述的数据结构可以被存储在类似于两个数据承载节点中的文件系统的层级中:资源节点(对应于期望访问的信息)和曝光节点(对应于许可访问的信息)。资源节点还可以包括与计算设备的IP地址有关的信息。诸如矩阵的其他类型的数据结构也在本公开的范围内。
该系统还包括含有编程指令的计算机可读介质,该编程指令在被执行时,使得处理器生成并维护动态ACL,并将其发送到PEP。计算机可读介质可以是网络设备的存储单元,或者是诸如与网络设备通信的远程系统(这里未示出)的另一个设备的存储器。该系统还可以包括和/或可以访问一个或多个数据存储系统。该系统还可以包括和/或可以访问一个或多个数据源。
图2示出根据实施例的用于创建动态ACL的示例性流程图200。在步骤201中,系统接收对ACL的请求。
在实施例中,每当网络PEP接收到用于传输到计算设备和/或诸如PEP的网络的另一个节点的数据(诸如数据包)或网络流量时,系统可以从网络的PEP接收请求。在实施例中,请求还可以包括诸如,与PEP相关联的标识符,从在PEP处接收的网络流量或数据中提取的信息等的信息。从数据包提取的信息可以包括但不限于,包括源地址、目的地地址的因特网协议(IP)地址,源和目的地TCP/UDP端口,MAC地址,时间戳,PEP标识符等。
可选地和/或另外地,系统可以从诸如网络管理员等的用户接收对ACL的请求。在实施例中,系统还可以从计算设备接收对ACL的请求。
响应于接收到该请求,系统可以接收202与网络的一个或多个计算设备相关联的资源描述。在实施例中,系统可以分析在对ACL的请求中接收到的信息,以识别可以接收资源描述的计算设备。例如,如果对ACL的请求从PEP被接收到并且包括诸如源地址和目的地地址的数据包信息,则系统可以接收与源计算设备和目的地计算设备相关联的资源描述。可选地和/或另外地,系统可以在与PEP相关联的网络上接收与计算设备相关联的资源描述,其中,该请求是从该PEP接收到的。在另一个实施例中,系统可以基于PEP图(以下讨论)中的路径,接收与数据包穿过的PEP相关联的网络的计算设备相关联的资源描述。如上所述,资源描述可以包括但不限于,与计算设备的IP定义(诸如IP地址)有关的信息,与期望的访问相对应的信息,以及与许可的访问相对应的信息。
例如,对于包括以例如经由一组IP地址和监听端口的统一方式提供某些服务的A,B和C计算设备的示例网络,资源定义可以包括该组IP地址和端口。资源定义还可以包括对于每个对应设备,对应于期望访问和许可访问的信息,例如:
●A允许来自B和C的连接(计算设备A的许可访问)
●B允许来自C的连接(计算设备B的许可访问)
●C允许来自A的连接(计算设备C的许可访问)
●A不需要访问B或C(计算设备A的期望访问)
●B需要访问A和C(计算设备B的期望访问)
●C需要访问A(计算设备C的期望访问)
系统还可以接收203(和/或生成)网络的PEP图。PEP图定义了由相关资源描述和网络PEP定义的网络的计算设备之间的空间关系。应该注意,PEP图独立于定义了计算机网络的各种元素(例如链路,节点等)的布置的网络拓扑。
在实施例中,PEP图可以包括网络的计算设备之间的一个或多个路径,使得每条路径穿过至少一个PEP。用于生成提供对计算设备的一个或多个服务的访问的计算设备之间的所有可能路径的方法的示例包括但不限于,宽度优先搜索算法,深度优先搜索算法等。
另外,PEP图还包括对PEP图中的每个PEP的PEP描述。PEP描述包括但不限于,PEP标识符,与PEP的类型相对应的信息,关于PEP的任何附加元数据,前缀/后缀信息(当信息不能被表达为资源或计算设备之间的流和/或关系时,用于将要被前置或后置的信息指定为ACL的生成部分)等。图3示出了上述示例网络的示例PEP图300。如图3所示,PEP图300可以包括计算设备A,B和C之间的多个路径,并且每个路径穿过PEP 301、302和303中的一个或多个。
返回参考图2,系统然后可以使用用于计算设备的资源描述来放弃204PEP图中的一个或多个路径,以生成仅包括PEP图中的允许路径的PEP矢量。PEP矢量还指定位于计算设备之间的路径上的PEP。在实施例中,系统可以为每个路径识别源计算设备和目的地计算设备。然后系统可以使用源计算设备的期望的访问信息和目的地计算的被许可的访问信息,来确定是否在路径上允许网络流量。系统可以放弃不允许网络流量通过的路径。例如,如果目的地计算设备不许可另一个计算设备访问其资源,则系统放弃两个计算设备之间的路径。在另一个示例中,如果源计算设备不期望访问另一个计算设备的资源,则系统可以放弃两个计算设备之间的路径。类似地,系统可以放弃去往和/或来自计算设备的路径,该路径不匹配该计算设备的协议、端口或其他规范。因为C不许可来自B的访问,所以图4示出了通过从图3的PEP图300去除路径310而生成的上述示例网络的示例PEP向量400。
通过保存正在穿过PEP的每条路径的属性和策略,系统然后使用资源描述和生成的PEP矢量为每个PEP生成205ACL。在实施例中,系统可以使用合理的假设来生成ACL。例如,系统可以假设连接总是从高端口启动。系统使用“默认拒绝”,用于仅允许在PEP处的已声明的和可许可的访问。使用资源描述为具有PEP向量400的上述示例网络生成的示例ACL策略如下:
PEP 301的ACL策略:
PEP 302的ACL策略:
PEP 303的ACL策略:
如上所述,默认拒绝只允许在PEP的已声明的和可许可的访问。例如,根据上述生成的ACL策略,经由定义的协议和端口,PEP 301将只允许由C生成并指定给A的网络流量,并拒绝所有其他网络流量或访问请求。类似地,PEP 302将只允许经由各自定义的协议和端口,从C到A以及从B到A的访问,并且PEP 303将仅允许经由定义的协议和端口,从B到A的访问。
在实施例中,当网络的PEP从第一计算设备接收到访问第二计算设备的服务或资源(或指定给第二计算设备的数据包)的请求时,PEP可以请求动态ACL,并且使用动态ACL来确定该PEP是否应该接受或拒绝访问请求。具体来说,PEP可以使用生成的动态ACL来阻挡或传输网络中的数据包。
在实施例中,系统将上述生成的ACL策略格式化为与PEP兼容的供应商特定句法规则。
在实施例中,用户通过定义PEP图和/或通过调整资源描述来改变ACL策略,使得系统将自动生成修改的ACL。资源描述可以通过改变计算设备的IP定义,通过改变与计算设备的被许可访问相对应的信息,或者通过改变与计算设备的期望访问相对应的信息来被调整(虽然允许某些访问的决定取决于正在接收连接的计算设备,但路径的接收端和发起端都需要声明这样的连接功能)。
图5示出了根据实施例的可用于包含或实现诸如上面讨论的处理步骤的程序指令的内部硬件的示例的框图。总线500用作互连硬件的其他所示组件的信息高速公路。CPU505表示系统的一个或多个处理器,进行执行程序所需的计算和逻辑操作。单独或与图5中公开的一个或多个其他部件结合的CPU 505是如本公开中使用的术语的处理设备,计算设备或处理器的示例。只读存储器(ROM)510和随机存取存储器(RAM)515构成存储器设备或处理器可读存储介质的示例。
控制器520与一个或多个可选的有形计算机可读存储设备525对接到系统总线500。这些存储设备525可以包括例如外部或内部磁盘驱动器,硬盘驱动器,闪存,USB驱动器等。如前所述,这些各种驱动器和控制器都是可选设备。
用于提供接口并进行与一个或多个数据集相关联的任何查询或分析的程序指令,软件或交互式模块可被存储在ROM 510和/或RAM 515中。可选地,程序指令可以存储在有形的计算机可读介质525上,例如光盘,数字盘,闪存,存储卡,USB驱动器,诸如Blu-rayTM光盘的光盘存储介质,和/或经由磁盘控制器520控制的其他记录介质。
可选的显示界面540可许可来自总线500的信息以音频,视觉,图形或字母数字格式显示在显示器545上。可以使用各种通信端口550与诸如打印设备之类的外部设备进行通信。通信端口550可以附接到诸如互联网或内联网的通信网络。
硬件还可以包括接口555,其允许从诸如键盘560的输入设备或其他输入设备565接收数据,其他输入设备诸如是鼠标,操纵杆,触摸屏,遥控器,指向设备,视频输入设备和/或音频输入设备。
应该理解,各种上面公开的和其他的特征和功能,或其替代方案可以被期望地组合成许多其他不同的系统或应用,或者系统和应用的组合。此外,本领域技术人员随后可以进行各种目前无法预料的或未预料到的替代,修改,变化或改进,这些也意图被以下权利要求所涵盖。
Claims (20)
1.一种用于动态创建网络访问控制列表的方法,其特征在于,包括:
由处理器:
接收对访问控制列表的请求;和
响应于接收对所述访问控制列表的所述请求:
从第一数据源接收多个资源描述,其中所述多个资源描述中的每一个与网络中的多个计算设备相关联,并且其中每个资源描述包括以下中的一个或多个:
与计算设备的互联网协议定义相对应的信息,
与所述计算设备的期望的访问相对应的信息,以及
与所述计算设备的被许可的访问相对应的信息,
从第二数据源,接收用于所述网络的策略执行点图,以及
使用所述多个资源描述和所述策略执行点图来生成所述访问控制列表,其中所述访问控制列表包括用于控制通过所述网络的策略执行点的网络流量的至少一个策略,其中所述网络包括一个或多个策略执行点。
2.根据权利要求1所述的方法,其特征在于,接收对所述访问控制列表的所述请求包括,从以下中的一个或多个接收所述请求:
所述网络的策略执行点,其中所述策略执行点从所述网络中的所述多个计算设备的一个或多个端口接收通信并将所述通信发送到所述多个计算设备的所述一个或多个端口;
所述网络中的计算设备;或
与用户相关联的计算设备。
3.根据权利要求2所述的方法,其特征在于,接收对所述访问控制列表的所述请求包括,响应于在所述策略执行点处从第一计算设备接收将被递送到第二计算设备的数据包,从所述网络的所述策略执行点接收所述请求。
4.根据权利要求3所述的方法,其特征在于,还包括:
在所述策略执行点,接收所述访问控制列表;
在所述策略执行点,解析所述访问控制列表,以确定所述至少一个策略是否允许将所述数据包递送到所述第二计算设备;以及
在所述策略执行点,使用所述解析的结果来决定是否阻挡或递送所述数据包到所述第二计算设备,并且作为响应,阻挡或递送所述数据包。
5.根据权利要求1所述的方法,其特征在于,使用所述多个资源描述和所述策略执行点图来生成所述访问控制列表包括:
识别所述网络的所述计算设备之间的多个路径,其中所述多个路径中的每一个包括在所述策略执行点图上的至少一个策略执行点;
使用所述资源描述来放弃所述多个路径的子集,以生成策略执行点向量;以及
使用所述策略执行点向量来生成访问控制列表。
6.根据权利要求5所述的方法,其特征在于,使用所述资源描述放弃所述多个路径的子集包括,针对所述多个路径中的每一个:
为所述多个路径中的每一个识别源计算设备;
为所述多个路径中的每一个识别目的地计算设备;
使用与所述源计算设备的期望的访问相对应的信息和与所述目的地计算设备的被许可的访问相对应的信息,来确定网络流量在路径上是否被允许;以及
如果网络流量不被允许,则放弃所述路径。
7.根据权利要求1所述的方法,其特征在于,对应于所述计算设备的所述互联网协议定义的所述信息包括对数据源的查询,所述查询针对以下中的一个或多个:所述计算设备的互联网协议地址、域名或MAC地址。
8.根据权利要求1所述的方法,其特征在于,与所述计算设备的期望的访问相对应的所述信息包括以下中的一个或多个:
所述计算设备希望连接的一个或多个目的地计算设备的识别信息;
所述计算设备希望连接的所述一个或多个目的地计算设备的一个或多个服务的识别信息;
与所述一个或多个服务相对应的被许可的协议信息;或
与所述一个或多个服务相对应的被许可的端口信息。
9.根据权利要求1所述的方法,其特征在于,对应于所述计算设备的被许可的访问的所述信息包括以下中的一个或多个:
由所述计算设备提供的一个或多个服务的识别信息;
所述计算设备授予访问许可的一个或多个源计算设备的识别信息;
对应于所述一个或多个所提供的服务的被许可的协议信息;
对应于所述一个或多个提供的服务的被许可的端口信息;或
对于所述一个或多个提供的服务中的每一个的时限。
10.根据权利要求3所述的方法,其特征在于,对所述访问控制列表的请求还包括,来自所述数据包的信息,并且其中,来自所述数据包的所述信息包括以下中的一个或多个:
源计算设备的互联网协议地址;
目的地计算设备的互联网协议地址;
MAC地址;
时间戳;
策略执行点的标识符;
协议信息;
源计算设备端口信息;或
目的地计算设备端口信息。
11.一种用于动态创建网络访问控制列表的系统,其特征在于,包括:
多个计算设备;
网络多个点策略执行点;
经由所述网络与所述多个计算设备通信的处理器;以及
包含编程指令的计算机可读介质,所述编程指令被配置为当由所述处理器执行时,使所述处理器:
接收对访问控制列表的请求;以及
响应于接收对所述访问控制列表的所述请求:
从第一数据源接收多个资源描述,其中所述多个资源描述中的每一个与多个计算设备相关联,并且其中每个资源描述包括以下中的一个或多个:
与计算设备的互联网协议定义相对应的信息,
与所述计算设备的期望的访问相对应的信息,以及
与所述计算设备的被许可的访问相对应的信息,
从第二数据源,接收用于所述网络的策略执行点图,以及
使用所述多个资源描述和所述策略执行点图来生成所述访问控制列表,其中所述访问控制列表包括用于控制通过所述网络的策略执行点的网络流量的至少一个策略,其中所述网络包括一个或多个策略执行点。
12.根据权利要求11所述的系统,其特征在于,被配置为使所述处理器接收对所述访问控制列表的所述请求的所述编程指令包括,被配置为使所述处理器从以下中的一个或多个接收所述请求的编程指令:
所述网络的策略执行点,其中所述策略执行点从所述网络中的所述多个计算设备的一个或多个端口接收通信,并将所述通信发送到所述多个计算设备的所述一个或多个端口;
所述网络中的计算设备;或
与用户相关联的计算设备。
13.根据权利要求12所述的系统,其特征在于,被配置为使所述处理器接收对所述访问控制列表的所述请求的编程指令包括,被配置为使所述处理器响应于在所述策略执行点从第一计算设备接收将被递送到第二计算设备的数据包,从所述网络的所述策略执行点接收所述请求的编程指令。
14.根据权利要求13所述的系统,其特征在于,包含附加的编程指令,所述附加的编程指令被配置为当由所述处理器执行时使所述处理器:
在所述策略执行点接收所述访问控制列表;
在所述策略执行点解析所述访问控制列表,以确定所述至少一个所述策略是否允许将所述数据包递送到所述第二计算设备;以及
在所述策略执行点,使用所述解析的结果来决定是否阻挡或递送所述数据包到所述第二计算设备,并且作为响应,阻挡或递送所述数据包。
15.根据权利要求11所述的系统,其特征在于,被配置为使所述处理器使用所述多个资源描述和所述策略执行点图来生成所述访问控制列表的所述编程指令包括被配置为使所述处理器进行以下处理的编程指令:
识别所述网络的所述计算设备之间的多个路径,其中所述多个路径中的每一个包括在所述策略执行点图上的至少一个策略执行点;
使用所述资源描述来放弃所述多个路径的子集,以生成策略执行点向量;以及
使用所述策略执行点向量来生成所述访问控制列表。
16.根据权利要求15所述的系统,其特征在于,被配置为使所述处理器使用所述资源描述来放弃所述多个路径的子集的所述编程指令包括被配置为使所述处理器针对所述多个路径中的每一个进行以下处理的编程指令:
为所述多个路径中的每一个识别源计算设备;
为所述多个路径中的每一个识别目的地计算设备;
使用与所述源计算设备的期望的访问相对应的信息和与所述目的地计算设备的被许可的访问相对应的信息,来确定网络流量在路径上是否被允许;以及
如果网络流量不被允许,则放弃所述路径。
17.根据权利要求11所述的系统,其特征在于,对应于所述计算设备的所述互联网协议定义的所述信息包括对数据源的查询,所述查询针对以下中的一个或多个:所述计算设备的互联网协议地址、域名或MAC地址。
18.根据权利要求11所述的系统,其特征在于,与所述计算设备的期望的访问相对应的所述信息包括以下中的一个或多个:
所述计算设备希望连接的一个或多个目的地计算设备的识别信息;
所述计算设备希望连接的所述一个或多个目的地计算设备的一个或多个服务的识别信息;
与所述一个或多个服务相对应的被许可的协议信息;或
与所述一个或多个服务相对应的被许可的端口信息。
19.根据权利要求11所述的系统,其特征在于,对应于所述计算设备的被许可的访问的所述信息包括以下中的一个或多个:
由所述计算设备提供的一个或多个服务的识别信息;
所述计算设备授予访问许可的一个或多个源计算设备的识别信息;
对应于所述一个或多个所提供的服务的被许可的协议信息;
对应于所述一个或多个提供的服务的被许可的端口信息;或
所述一个或多个提供的服务中的每一个的时限。
20.根据权利要求13所述的系统,其特征在于,对所述访问控制列表的所述请求还包括来自所述数据包的信息,并且其中,来自所述数据包的信息包括以下中的一个或多个:
源计算设备的互联网协议地址;
目的地计算设备的互联网协议地址;
MAC地址;
时间戳;
策略执行点的标识符;
协议信息;
源计算设备端口信息;或
目的地计算设备端口信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/075,458 US10270778B2 (en) | 2016-03-21 | 2016-03-21 | Methods and systems for dynamic creation of access control lists |
| US15/075,458 | 2016-03-21 | ||
| PCT/US2016/066475 WO2017164945A1 (en) | 2016-03-21 | 2016-12-14 | Methods and systems for dynamic creation of access control lists |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108781207A CN108781207A (zh) | 2018-11-09 |
| CN108781207B true CN108781207B (zh) | 2021-03-12 |
Family
ID=57822027
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680073058.6A Active CN108781207B (zh) | 2016-03-21 | 2016-12-14 | 动态创建访问控制列表的方法和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US10270778B2 (zh) |
| EP (1) | EP3375163B1 (zh) |
| JP (1) | JP6526338B2 (zh) |
| KR (1) | KR101942364B1 (zh) |
| CN (1) | CN108781207B (zh) |
| WO (1) | WO2017164945A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11038896B2 (en) * | 2015-06-02 | 2021-06-15 | Dipankar Dasgupta | Adaptive multi-factor authentication system with multi-user permission strategy to access sensitive information |
| CN107332812B (zh) * | 2016-04-29 | 2020-07-07 | 新华三技术有限公司 | 网络访问控制的实现方法及装置 |
| US10944723B2 (en) | 2017-11-17 | 2021-03-09 | ShieldX Networks, Inc. | Systems and methods for managing endpoints and security policies in a networked environment |
| JP7003884B2 (ja) * | 2018-09-14 | 2022-01-21 | 株式会社デンソー | 車両用中継装置 |
| JP7040467B2 (ja) * | 2019-01-11 | 2022-03-23 | 日本電信電話株式会社 | 更新装置および更新方法 |
| CN111030971B (zh) * | 2019-03-21 | 2023-07-11 | 安天科技集团股份有限公司 | 一种分布式访问控制方法、装置及存储设备 |
| CN112438040A (zh) * | 2019-07-01 | 2021-03-02 | 思杰系统有限公司 | 用于使用命名空间访问计算资源的系统和方法 |
| US11695773B2 (en) | 2020-09-28 | 2023-07-04 | Salesforce, Inc. | Distributing dynamic access control lists for managing interactions with a cloud datacenter |
| US11757888B2 (en) | 2021-06-15 | 2023-09-12 | Fortinet, Inc. | Systems and methods for fine grained forward testing for a ZTNA environment |
| CN114826775B (zh) * | 2022-06-01 | 2023-11-07 | 北京东土军悦科技有限公司 | 数据包的过滤规则生成方法及装置、系统、设备和介质 |
| CN115514586B (zh) * | 2022-11-24 | 2023-03-21 | 河北纬坤电子科技有限公司 | 访问控制策略配置方法及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770169A (zh) * | 2004-11-05 | 2006-05-10 | 国际商业机器公司 | 向用户/组授予访问控制列表所有权的访问控制系统和方法 |
| CN102833227A (zh) * | 2012-07-11 | 2012-12-19 | 武汉虹信通信技术有限责任公司 | 一种无线访问控制器中访问控制列表实现方法和系统 |
| CN103457920A (zh) * | 2012-06-04 | 2013-12-18 | 中国科学院声学研究所 | 一种基于重叠网的分布式防火墙安全策略配置方法和系统 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7779247B2 (en) | 2003-01-09 | 2010-08-17 | Jericho Systems Corporation | Method and system for dynamically implementing an enterprise resource policy |
| US7188164B1 (en) | 2003-02-11 | 2007-03-06 | Cyber Operations, Llc | Secure network access control |
| US7526541B2 (en) | 2003-07-29 | 2009-04-28 | Enterasys Networks, Inc. | System and method for dynamic network policy management |
| JP4376711B2 (ja) | 2004-07-09 | 2009-12-02 | 富士通株式会社 | アクセス管理方法及びその装置 |
| US7917942B2 (en) * | 2006-02-24 | 2011-03-29 | Nokia Corporation | System and method for configuring security in a plug-and-play architecture |
| US8332939B2 (en) * | 2007-02-21 | 2012-12-11 | International Business Machines Corporation | System and method for the automatic identification of subject-executed code and subject-granted access rights |
| US8295198B2 (en) * | 2007-12-18 | 2012-10-23 | Solarwinds Worldwide Llc | Method for configuring ACLs on network device based on flow information |
| CN103430150B (zh) | 2010-11-22 | 2017-05-17 | 瑞典爱立信有限公司 | 在云计算系统中创建资源的技术 |
| US20150172320A1 (en) * | 2013-12-17 | 2015-06-18 | Khalifa University of Science, Technology, and Research | Method and devices for access control |
| US9563771B2 (en) | 2014-01-22 | 2017-02-07 | Object Security LTD | Automated and adaptive model-driven security system and method for operating the same |
| EP2993606A1 (en) * | 2014-09-05 | 2016-03-09 | Axiomatics AB | Provisioning system-level permissions using attribute-based access control policies |
-
2016
- 2016-03-21 US US15/075,458 patent/US10270778B2/en active Active
- 2016-12-14 WO PCT/US2016/066475 patent/WO2017164945A1/en active Application Filing
- 2016-12-14 EP EP16826796.1A patent/EP3375163B1/en active Active
- 2016-12-14 CN CN201680073058.6A patent/CN108781207B/zh active Active
- 2016-12-14 JP JP2018529141A patent/JP6526338B2/ja active Active
- 2016-12-14 KR KR1020187013785A patent/KR101942364B1/ko active IP Right Grant
-
2019
- 2019-03-19 US US16/358,024 patent/US11038888B2/en active Active
-
2021
- 2021-06-08 US US17/341,867 patent/US11750614B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770169A (zh) * | 2004-11-05 | 2006-05-10 | 国际商业机器公司 | 向用户/组授予访问控制列表所有权的访问控制系统和方法 |
| CN103457920A (zh) * | 2012-06-04 | 2013-12-18 | 中国科学院声学研究所 | 一种基于重叠网的分布式防火墙安全策略配置方法和系统 |
| CN102833227A (zh) * | 2012-07-11 | 2012-12-19 | 武汉虹信通信技术有限责任公司 | 一种无线访问控制器中访问控制列表实现方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| Network-Level Access ControlPolicy Analysis and Transformation;Cataldo Basile, Alberto Cappadonia, and Antonio Lioy, Member,IE;《IEEE / ACM TRANSACTIONS ON NETWORKING》;IEEE;20120801;第20卷(第4期);第985-998页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170272442A1 (en) | 2017-09-21 |
| WO2017164945A1 (en) | 2017-09-28 |
| EP3375163A1 (en) | 2018-09-19 |
| JP2018536363A (ja) | 2018-12-06 |
| US20210377270A1 (en) | 2021-12-02 |
| CN108781207A (zh) | 2018-11-09 |
| US11750614B2 (en) | 2023-09-05 |
| KR101942364B1 (ko) | 2019-01-25 |
| KR20180054926A (ko) | 2018-05-24 |
| JP6526338B2 (ja) | 2019-06-05 |
| US10270778B2 (en) | 2019-04-23 |
| US20190281060A1 (en) | 2019-09-12 |
| US11038888B2 (en) | 2021-06-15 |
| EP3375163B1 (en) | 2019-03-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108781207B (zh) | 动态创建访问控制列表的方法和系统 | |
| EP3494682B1 (en) | Security-on-demand architecture | |
| US10587698B2 (en) | Service function registration mechanism and capability indexing | |
| US7590733B2 (en) | Dynamic address assignment for access control on DHCP networks | |
| KR101685471B1 (ko) | 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스 | |
| US9215237B2 (en) | Communication system, control device, communication method, and program | |
| US20070156898A1 (en) | Method, apparatus and computer program for access control | |
| JPWO2006095438A1 (ja) | アクセス制御方法、アクセス制御システムおよびパケット通信装置 | |
| US20160205041A1 (en) | Bandwidth providing method based on multi-flow grouping | |
| KR101527377B1 (ko) | Sdn 기반의 서비스 체이닝 시스템 | |
| US20130275620A1 (en) | Communication system, control apparatus, communication method, and program | |
| JP4550145B2 (ja) | アクセス制御のための方法、装置、およびコンピュータ・プログラム | |
| JP6871108B2 (ja) | ファイアウォール装置の制御装置及びプログラム | |
| Wrona et al. | Integrated content-based information security for future military systems | |
| US20230319684A1 (en) | Resource filter for integrated networks | |
| Shimahara et al. | Access Control Management System for Edge Computing Environment Using Tag‐Based Matching and Cache Injection | |
| CN111327604B (zh) | 数据处理系统及其方法 | |
| Park et al. | Network Working Group S. Hyun Internet-Draft Chosun University Intended status: Standards Track J. Jeong Expires: January 3, 2019 Sungkyunkwan University | |
| Hares | Network Working Group S. Hyun Internet-Draft J. Jeong Intended status: Standards Track Sungkyunkwan University Expires: September 6, 2018 J. Park ETRI | |
| Matsumoto et al. | CREBAS: Enabling Network Access Control in a Home with One Click | |
| JP6649002B2 (ja) | アクセス管理システム及びアクセス管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |