CN111698248B - 一种基于标签的网络授权管理方法及系统 - Google Patents

Abstract

本发明公开了一种基于标签的网络授权管理方法及系统，其目的是为解决在动态变化的网络中，实现一种简单方便的网络授权管理方法。依据用户身份认证模块，实时上传用户的身份信息至管理平台，由管理平台生成用户标签数据及用户自定义的应用标签数据，并同步至标签同步模块，转换成可以用于标签匹配模块的二进制标签数据。由操作系统内核模块的标签匹配模块采用区间树(interval‑tree)检索算法和匹配缓存,实现快速对所有数据包进行应用标签和用户标签进行匹配，通过不同的匹配结果执行对应流量操作(封堵或者放行)。

Description

一种基于标签的网络授权管理方法及系统

技术领域

本发明涉及IP技术领域，具体涉及一种基于标签的网络授权管理方法及系统。

背景技术

IT的快速发展已改变网络边界的面貌，很多企业采用云、大数据分析和自动化来加速应用的交付，从而推动业务发展。随着访问应用越来越容易，这使得网络变得更复杂，网络安全问题也变得尤为关键，需要更精细化网络授权管理方法。

传统网络使用防火墙设备对入站出站的南北向网络流量进行监管，基于一些自定义的安全规则来放行或者封堵特定流量，此方法管理比较繁杂，无法根据应用、设备直接进行有效的管理，更无法实现企业内部网络的东西向流量进行监管。

总之，现有的网络安全策略规则的管理上，很难达到精细化、动态可调整的方式。为了能实现更高效、更精细化的网络安全策略，我们需要一种基于标签的管理方法，以实现对网络进行灵活、高效管理。

发明内容

本发明提供了一种基于标签的网络授权管理方法，通过网络设备的网络数据包，将匹配到一个或多个已定义的应用标签和用户标签，并执行相应的安全规则，封堵或者放行数据包传输，为网络安全策略提供一种高效、精细化的管理。

一种基于标签的网络授权管理方法，包括以下步骤：

1)管理平台创建应用标签数据；

2)终端用户通过多种接入认证方式接入到部署在网络中的用户身份认证模块，用户身份认证模块对应的终端用户的信息上报到管理平台，由管理平台生成该终端用户的用户标签数据；

3)由标签同步模块向管理平台同步步骤1)的应用标签数据和步骤2)的用户标签数据，并将同步后的应用标签数据和用户标签数据转换成固定格式的应用标签和固定格式的用户标签；

4)标签匹配模块捕获网络数据包，提取网络数据包中的三层网络协议数据，然后标签匹配模块将提取到的三层网络协议数据与步骤3)得到的固定格式的应用标签和固定格式的用户标签进行匹配并根据匹配结果进行封堵或放行，进行网络授权管理。

以下作为本发明的优选技术方案：

步骤1)中，所述的应用标签包括出入站类型、IP地址、端口号、通信协议、应用类型、标签名。

步骤3)中，所述的固定格式的应用标签包括：

标签ID、出入站类型、IP地址、端口号、通信协议、应用类型、授权用户ID或者分组ID的列表。

进一步优选，所述的固定格式的应用标签包括：

8字节标签ID、1字节出入站类型、16字节IP地址、2字节端口号、1字节协议类型、4字节应用类型以及最大512字节的授权用户ID或者最大512字节的分组ID的列表。

所述的固定格式的用户标签包括：

标签ID、用户IP地址、用户ID、用户分组ID。

进一步优选，所述的固定格式的用户标签包括：

8字节标签ID、16字节用户IP地址、4字节用户ID、4字节应用类型、4字节用户分组ID。

步骤4)中，所述的三层网络协议数据包括源地址IP、源端口号、目的地址IP、目的端口号、通信协议、应用类型。

进行匹配并根据匹配结果进行封堵或放行，具体包括：

A)、标签匹配模块对固定周期有效的匹配记录缓存数据进行查找，如果查找到结果，则代表已经存在匹配记录，执行对应缓存中记录的封堵或者放行操作；

B)、如果在固定周期有效的匹配记录缓存数据中没有查找到结果，则将三层网络协议数据与应用标签匹配；

C)、如果三层网络协议数据没有匹配到应用标签,则对三层网络协议数据直接采用默认封堵的操作，并加入到匹配记录缓存中；

如果三层网络协议数据匹配到应用标签，则根据应用标签类型进行区分；

D)、如果是出站类型,即源地址IP和源端口号是应用标签的IP地址和端口号，则将使用目的地址IP去匹配用户标签，如果匹配不到用户标签将采用默认封堵数据包的操作，并将此次匹配结果和操作加入到匹配记录缓存中；

如果是入站类型，即目的地址IP和目的端口号是应用标签的IP地址和端口号，则将使用源地址IP去匹配用户标签，如果匹配不到用户标签将采用默认封堵数据包的操作，并将此次匹配结果和操作加入到匹配记录缓存中；

E)、如果标签匹配模块匹配到用户标签，则将用户标签中的用户ID或者用户分组ID去进一步匹配应用标签的授权用户ID，如果匹配不上，则将采用默认封堵数据包的操作；如果匹配到，则将进行放行操作，并将此次匹配结果加入到匹配记录缓存中。

步骤A)中，所述的固定周期为标签匹配模块预置的更新周期，一般默认为3～10秒有效期，进一步优选为5秒有效期，5秒之后对应的匹配记录缓存将清空。

步骤E)中，所述的匹配记录缓存包括：

采用基于内存的多种缓存方式，如使用基于红黑树的数据结构或者平衡二叉树的数据结构存储。

一种基于标签的网络授权管理系统，包括：

用于创建应用标签并生成用户标签的管理平台。

用于终端用户接入认证并上报到所述管理平台的用户身份认证模块；

用于向所述管理平台同步应用标签数据和用户标签数据并转成固定格式的应用标签和用户标签的标签同步模块；

用于三层网络协议数据与应用标签和用户标签进行匹配的标签匹配模块。

与现有技术相比，本发明具有如下优点：

本发明采用两种标签方式进行定义应用和用户，通过用户身份认证模块可以实现用户标签的实时更新，通过管理平台可以根据模板实现应用标签的自定义，从而将繁杂的网络授权管理方式转为容易理解的标签方式。

应用标签可以灵活的组合授权，例如同一个应用标签，可以授权给一个或者多个用户，设备，也可以授权给分组(一系列用户或者设备的组合)。此外管理平台支持对用户或者设备的应用定义，可直接将动态接入的用户做为一个应用标签，并将该应用标签授权到其他用户或者设备，该功能将非常便捷的用于管理动态标签。管理平台通过接收用户身份认证模块实时上传的身份信息数据，从而更新标签数据，并下发给标签同步模块，实现标签数据的动态更新。例如：定义一个某个用户的测试设备的应用，授权给测试分组，通过这种方式，即使用户的测试设备的IP地址变更也不会影响到该标签授权，对于网络授权管理非常的方便；

本发明采用将原本依赖于比较复杂，且难以管理的网络授权及安全策略规则，变为一种具备管理简单，控制更为精细，可组合控制的更多样化的管理方式。

附图说明

图1是根据本发明的实施例中的网络授权管理系统框图；

图2是根据本发明的实施例中的管理平台与标签同步的程图；

图3是根据本发明的实施例中的应用标签生成和同步流程图；

图4是根据本发明的实施例中的用户标签生成和同步流程图；

图5是根据本发明的实施例中的标签匹配的流程图。

具体实施方式

下面结合示例性的标签式网络授权管理系统对本发明作进一步解释，以提供对发明的透彻理解。本发明涉及以下几个模块：

如图1所示，一种基于标签的网络授权管理方法，包括以下几个步骤：

1)根据部署环境设置用户身份认证模块，用户身份认证模块主要用于用户接入管理，接入方式支持802.1x认证，以及MAC地址等认证方式。用户身份认证模块将同步管理平台中定义的用户身份信息。在完成用户的接入认证之后，实时将接入的设备信息(IP地址、用户信息、MAC地址等)上报至管理平台。

步骤1)中，所述的用户接入是指通过WIFI，或者有线网络接入到网络中，一般采用802.1x认证协议接入，也可以使用MAC地址等其他认证方式接入。

2)管理平台将实现对用户和设备的身份管理，以及应用标签定义，标签授权。所有的标签定义都需要在管理平台上操作实现，支持对不同应用的标签定义，以及对该标签进行授权操作。管理平台同步到用户身份认证模块的设备信息时，将根据平台所定义的用户数据，以及上报的设备信息，生成新的用户标签数据。新的用户标签数据将同步至标签同步模块。

3)管理平台创建应用标签，通过平台构建对应应用标签数据，主要包括出入站类型、IP地址、端口号、通信协议、应用类型、标签名。该标签ID将由平台自动生成，并更新标签数据库，同时同步最新标签数据至标签同步模块。

4)标签同步模块接收到管理平台的数据之后，将区分两种标签数据类型，进行不同的转换格式。分为应用标签和用户标签，应用标签将从同步的数据中提取，并转换成应用标签固定格式数据。用户标签数据转换成用户标签固定格式数据。将两种标签数据分别存储至不同的文件中，由标签匹配模块周期性进行同步。

5)标签匹配模块，通过操作系统内核的标签匹配模块，将周期性的同步应用标签数据和用户标签数据至对应的应用标签缓存和用户标签缓存中，如果标签数据没有发生变更，则跳过同步。标签缓存一般采用区间树(interval-tree)算法存储。

步骤5)中，区间树是一种增强型的红黑树，可是使区间的元素的查找和插入的时间复杂度为O(logN)。

应用标签固定数据格式为：8字节标签ID，1字节出入站类型，16字节IP地址，2字节端口号数据，1字节协议类型，4字节应用类型，最大512字节的授权用户ID，或者分组ID的列表。

用户标签固定数据格式为：8字节标签ID,16字节用户IP地址，4字节应用类型，4字节用户ID，4字节用户分组ID。

6)该标签匹配模块内部将采用一个高等级的安全规则，默认即为不放行，只要没有匹配到应用标签的数据包，都将采用封堵操作。当数据包通过标签匹配模块时，提取数据包的数据，提取数据包括源地址IP，源端口号，目的地址IP，目的端口号，通信协议，应用类型。将以上这几个数据从网络标签匹配模块中固定周期有效的匹配记录缓存数据进行查找。如果查找到结果，则代表已经存在匹配记录，执行对应缓存中记录的封堵或者放行操作。

步骤6)中，封堵操作即内核模块对数据进行丢弃处理。

放行操作即内核模块对数据进行允许转发操作处理。

固定周期为标签匹配模块预置的更新周期，一般默认为5秒有效期，5秒之后对应的匹配记录缓存将清空。

7)如果没有从缓存中查找到结果，需要对数据包中的提取的数据与应用标签缓存进行匹配。如果没有匹配到应用标签则对数据包直接采用默认封堵的操作，并加入到匹配记录缓存中；如果匹配到应用标签，则根据应用标签类型，如果是出站类型(即源地址和源端口号是应用标签的IP地址和端口号)，则将使用目的IP地址去匹配用户标签，如果匹配不到用户标签将采用默认封堵数据包的操作；如果是入站类型(即目的地址和目的端口号是应用标签的IP地址和端口号)，则将使用源IP地址去匹配用户标签缓存，如果匹配不到用户标签将采用默认封堵数据包的操作；匹配到用户标签缓存的数据，则需要进一步匹配授权ID，即用户ID或者用户分组ID是否存在应用标签缓存的授权ID列表中。如果对应的用户ID或者用户分组ID不存在应用标签缓存的授权ID列表中，则将用默认封堵数据包的操作；如果存在应用标签缓存授权ID列表中，则将进行放行操作，并将此次匹配结果加入到匹配记录缓存中。

一种基于标签的网络授权管理系统，包括：用于创建应用标签并生成用户标签的管理平台；用于终端用户接入认证并上报到所述管理平台的用户身份认证模块；用于向所述管理平台同步应用标签数据和用户标签数据并转成固定格式的应用标签和用户标签的标签同步模块；用于三层网络协议数据与应用标签和用户标签进行匹配的标签匹配模块。

本发明用到了用户身份认证模块、标签同步模块、标签匹配模块和管理平台。

如图3所示，本发明通过管理平台实现对用户和设备的身份管理的用户标签定义，以及应用标签定义，标签授权。所有的标签定义都在管理平台上实现，支持对不同应用的标签定义，以及对该标签进行授权操作，通过应用标签可以灵活的组合授权，例如同一个应用标签，可以授权给一个或者多个用户、设备，也可以授权给某个分组(一系列用户或者设备的组合)。此外管理平台支持对用户或者设备的应用定义，可直接将动态接入的用户作为一个应用标签，并将该应用标签授权到其他用户或者设备，该功能将非常便捷的用于动态管理应用标签。管理平台通过接收用户身份认证模块实时上传的身份信息数据，从而更新标签数据，并下发给标签同步模块，实现标签数据的动态更新。例如：定义一个某个用户的测试设备的应用，授权给“研发部门”分组，通过这种方式，即使用户的测试的IP变更也不会影响到该应用标签授权的有效性，对于网络授权管理工作变得非常方便；

如图4所示，用户身份认证模块实现用户接入管理，该接入方式支持802.1x认证，以及MAC地址等认证方式。本发明中用户身份认证模块主要作用是用于用户数据的识别，从而实现将用户的设备网络信息标签化。用户身份认证模块将同步管理平台中定义的用户身份信息，用于身份认证。身份认证设备完成用户的接入认证之后，实时将接入的设备信息(IP地址、用户信息、MAC地址等)上报至管理平台。管理平台更新对应身份认证设备所接入的用户或者设备信息，并生成或更新用户标签数据，同时下发用户标签同步请求至标签同步模块，实现高效、实时的标签数据更新。

如图2所示，为管理平台与标签同步的流程图。标签同步模块通过实时更新管理平台下发的标签数据，从而保证标签数据的实时性。标签数据分为2种类型：1、应用标签；2、用户标签。应用标签则是通过管理平台创建不同应用所对应的具体描述标签，一般包括入站或者出站的IP、端口号、协议等定义，用户标签则是通过用户身份认证模块对应用户接入时产生的用户数据，生成对应的用户标签，一般包括用户身份标识，用户IP和MAC地址等信息。标签同步模块将需要对管理平台下发的标签数据进行转换，转换成对应的数据格式，并将合并授权信息到应用标签数据中。用户标签中包含唯一的标签ID，用户ID，分组ID，以及设备ID，IP地址。应用标签中包含唯一的标签ID，应用出入站IP地址，应用出入站端口号列表，应用协议类型，以及该应用所授权的用户ID和分组列表。标签ID为标签数据内容的特殊Hash值，从而保障标签数据的准确性，如果标签内容发生变更，对应的标签ID也将对应变化，否则将为无效标签数据。

如图5所示，标签匹配模块,是内核级别的标签匹配模块，替代传统的iptables管理规则，实现高效匹配，安全可靠。该标签匹配模块内部将采用一个高等级的安全规则，默认即为不授权，只要没有匹配到应用标签的数据包，都将采用封堵操作。当数据包通过内核标签匹配模块时，提取数据包的数据，提取的数据包括源地址IP，源端口号，目的地址IP，目的端口号，协议类型。将以上这几个数据从标签匹配模块中固定周期有效的缓存数据进行查找，如果查找到结果，则代表已经存在匹配记录，执行对应缓存中记录的操作(封堵、放行)。固定周期为网络标签匹配模块预置的更新周期，一般默认为5秒有效期，5秒之后对应的缓存将清空。如果没有从缓存中查找到结果，需要对数据包中提取的数据与应用标签数据进行匹配。

标签匹配模块，同时也周期性的加载标签同步模块所实时同步的应用标签数据和用户标签数据，分别将两个标签数据加载到不同的标签数据区间树中存储，每一个应用标签数据对应的数据格式为：8字节标签ID，1字节出入站类型，16字节IP地址，2字节端口号数据，1字节协议类型，4字节应用类型，最大512字节的授权用户ID，或者分组ID的列表。每一个用户标签数据对应的数据格式为：8字节标签ID,16字节用户IP地址，4字节应用类型，4字节用户ID，4字节用户分组ID。提取的数据与应用标签数据进行匹配时，将先匹配应用标签，如果没有匹配到应用标签则直接采用默认封堵数据包的操作，并加入到红黑树匹配缓存中；如果匹配到应用标签，则根据应用标签类型，如果是出站(即源地址是应用标签的IP地址和端口号)，则将使用目的IP地址去匹配用户标签，如果匹配不到用户标签将采用默认封堵数据包的操作；匹配到用户标签的数据，则需要进一步匹配授权ID，即用户ID是否存在授权ID列表中，或者用户分组ID是否存在授权ID列表中。如果存在授权ID列表中，则将进行放行操作，并将此次匹配结果信息加入到匹配缓存中。

通过应用标签和用户标签进行对安全策略规则进行重新定义，实现标签化的网络授权管理，更灵活、更高效。

Claims (10)

1.一种基于标签的网络授权管理方法，其特征在于，包括以下步骤：

1)管理平台创建应用标签数据；

2)终端用户使用多种接入认证方式，通过部署在网络中的用户身份认证模块接入到网络中，用户身份认证模块对应的终端用户的信息上报到管理平台，由管理平台生成该终端用户的用户标签数据；

3)由标签同步模块向管理平台同步步骤1)的应用标签数据和步骤2)的用户标签数据，并将同步后的应用标签数据和用户标签数据转换成固定格式的应用标签和固定格式的用户标签；

4)标签匹配模块捕获网络数据包，提取网络数据包中的三层网络协议数据，其中，所述三层网络协议数据包括：源地址IP、源端口号、目的地址IP、目的端口号；然后标签匹配模块将提取到的三层网络协议数据与步骤3)得到的固定格式的应用标签和固定格式的用户标签进行匹配并根据匹配结果进行封堵或放行，进行网络授权管理；

其中，步骤4)中进行匹配并根据匹配结果进行封堵或放行具体包括：

如果三层网络协议数据匹配到应用标签，则根据应用标签类型进行区分；

如果应用标签类型是出站类型，即源地址IP和源端口号是应用标签的IP地址和端口号，则使用目的地址IP去匹配用户标签；如果匹配不到用户标签则采用默认封堵数据包的操作，如果匹配到了用户标签，则将用户标签中的用户ID或者用户分组ID去进一步匹配应用标签的授权用户ID；如果匹配不上，则采用默认封堵数据包的操作，如果匹配上了应用标签的授权用户ID，进行放行操作；以及

如果应用标签类型是入站类型，即目的地址IP和目的端口号是应用标签的IP地址和端口号，则将使用源地址IP去匹配用户标签；如果匹配不到用户标签则采用默认封堵数据包的操作，如果匹配到了用户标签，则将用户标签中的用户ID或者用户分组ID去进一步匹配应用标签的授权用户ID；如果匹配不上，则采用默认封堵数据包的操作，如果匹配上了应用标签的授权用户ID，进行放行操作。

2.根据权利要求1所述的基于标签的网络授权管理方法，其特征在于，步骤1)中，所述的应用标签包括出入站类型、IP地址、端口号、通信协议、标签名。

3.根据权利要求1所述的基于标签的网络授权管理方法，其特征在于，步骤3)中，所述的固定格式的应用标签包括：

标签ID、出入站类型、IP地址、端口号、通信协议、应用类型、授权用户ID或者分组ID的列表。

4.根据权利要求3所述的基于标签的网络授权管理方法，其特征在于，步骤3)中，所述的固定格式的应用标签包括：

8字节标签ID、1字节出入站类型、16字节IP地址、2字节端口号、1字节协议类型、4字节应用类型以及最大512字节的授权用户ID或者最大512字节的分组ID的列表。

5.根据权利要求1所述的基于标签的网络授权管理方法，其特征在于，步骤3)中，所述的固定格式的用户标签包括：

标签ID、用户IP地址、用户ID、用户分组ID。

6.根据权利要求5所述的基于标签的网络授权管理方法，其特征在于，步骤3)中，所述的固定格式的用户标签包括：

8字节标签ID、16字节用户IP地址、4字节应用类型、4字节用户ID、4字节用户分组ID。

7.根据权利要求1所述的基于标签的网络授权管理方法，其特征在于，步骤4)中，所述的三层网络协议数据包括通信协议、应用类型。

8.根据权利要求1所述的基于标签的网络授权管理方法，其特征在于，步骤4)中，进行匹配并根据匹配结果进行封堵或放行，具体包括：

A)、标签匹配模块对固定周期有效的匹配记录缓存数据进行查找，如果查找到结果，则代表已经存在匹配记录，执行对应缓存中记录的封堵或者放行操作；

B)、如果在固定周期有效的匹配记录缓存数据中没有查找到结果，则将三层网络协议数据与应用标签匹配；

C)、如果三层网络协议数据没有匹配到应用标签,则对三层网络协议数据直接采用默认封堵的操作，并加入到匹配记录缓存中；

如果三层网络协议数据匹配到应用标签，则将匹配结果和操作加入到匹配记录缓存中。

9.根据权利要求8所述的基于标签的网络授权管理方法，其特征在于，步骤A)中，所述的固定周期为3～10秒有效期。

10.一种基于标签的网络授权管理系统，其特征在于，包括：

用于创建应用标签并生成用户标签的管理平台；

用于终端用户接入认证并上报到所述管理平台的用户身份认证模块；

用于向所述管理平台同步应用标签数据和用户标签数据并转成固定格式的应用标签和用户标签的标签同步模块；

用于三层网络协议数据与应用标签和用户标签进行匹配的标签匹配模块，所述三层网络协议数据包括：源地址IP、源端口号、目的地址IP、目的端口号；

其中，标签匹配模块进一步配置为：

如果三层网络协议数据匹配到应用标签，则根据应用标签类型进行区分；

如果应用标签类型是出站类型，即源地址IP和源端口号是应用标签的IP地址和端口号，则使用目的地址IP去匹配用户标签；如果匹配不到用户标签则采用默认封堵数据包的操作，如果匹配到了用户标签，则将用户标签中的用户ID或者用户分组ID去进一步匹配应用标签的授权用户ID；如果匹配不上，则采用默认封堵数据包的操作，如果匹配上了应用标签的授权用户ID，进行放行操作；以及

如果应用标签类型是入站类型，即目的地址IP和目的端口号是应用标签的IP地址和端口号，则将使用源地址IP去匹配用户标签；如果匹配不到用户标签则采用默认封堵数据包的操作，如果匹配到了用户标签，则将用户标签中的用户ID或者用户分组ID去进一步匹配应用标签的授权用户ID；如果匹配不上，则采用默认封堵数据包的操作，如果匹配上了应用标签的授权用户ID，进行放行操作。

Images