CN1326347C - 一种网络环境中实现多级安全访问控制的技术方法 - Google Patents
一种网络环境中实现多级安全访问控制的技术方法 Download PDFInfo
- Publication number
- CN1326347C CN1326347C CNB021281238A CN02128123A CN1326347C CN 1326347 C CN1326347 C CN 1326347C CN B021281238 A CNB021281238 A CN B021281238A CN 02128123 A CN02128123 A CN 02128123A CN 1326347 C CN1326347 C CN 1326347C
- Authority
- CN
- China
- Prior art keywords
- access control
- client
- mac information
- service end
- control mac
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络环境中实现多级安全访问控制的技术方法,其特征是修改操作系统核心TCP/IP协议栈,包括修改UDP报文、修改TCP的握手过程,在TCP/UDP层实施网络强制访问控制措施;其优点是:能在操作系统核心实现,具有更高的效率和安全性,能有效防止内部用户泄露信息,支持复杂的信任关系,完全兼容当前网络应用以及配置管理简单容易等。
Description
技术领域
本发明涉及一种网络环境下的信息安全技术,确切说是涉及一种能有效防止内部用户,在网络中随便泄漏信息的多级安全访问的控制方法。
背景技术
由于计算机和网络的广泛使用,计算机之间的信息共享快速增长,而目前操作系统的安全机制主要考虑单机系统的信息安全,忽视了网络环境下的信息安全。计算机网络的安全问题一直是研究的热点,过去对网络环境信息安全的研究,主要考虑信息在网络上传送时其本身的安全问题,比如机密性、有效性问题,主要是针对信息的非法窃听,这些问题可以通过加密技术来解决,而对合法用户的信息泄露问题却很少关心。然而,当两个或两个以上独立自主的主机互联构成计算机网络时,操作系统本身的保护机制已经不适合保护计算机网络的通信。由于网络的分布特性,高度开放性,网络信息的共享性,合法用户是可以随便泄露自己所知道的信息,只要允许用户使用网络,只需简单的SOCKET编程,简单的C/S程序就可以将自己所知道的信息传递到世界的任何地方。这对于计算机网络系统来说,自然存在一个很大的漏洞。虽然,网络通信已有TCP/IP协议,但是这个协议对网络通信的控制是脆弱的,通过网络两个用户是很容易通信的,它几乎不受任何限制。解决这个问题,要求对网络间的通信有安全策略,对信息共享应实施控制。
早期的多级安全网络的研究主要针对局域网,采用专用的网络接口设备,通过修改链路层协议,或者通过构造逻辑网络,由逻辑网关来实施对逻辑网络的强制访问控制;或者通过逻辑抽象,对数据包报实施强制访问控制,来达到主机之间的强制访问控制目的。其缺点是:①要靠硬件实现,不经济;②要修改链路层协议,带来不兼容的问题;③通过逻辑网关控制,粒度较粗。
发明内容
本发明的目的在于:针对网络安全存在的上述问题,提供一种能在操作系统核心实现,具有更高的网络效率和网络应用的兼容性、配置管理简单容易、能有效防止内部用户泄漏息信,在网络环境中实现多级安全访问控制的技术方法。
本发明的目的是这样实现的:
一种网络环境中实现多级安全访问控制的方法,其特征在于:通过修改操作系统核心协议栈,包括修改UDP报文,修改TCP握手过程,在TCP/UDP层实施强制访问控制MAC,具体步骤是:
对UDP报文,将强制访问控制MAC信息,封装在UDP报文中,其修改UDP报文包括发送与接收两个方面,对于发送:将强制访问控制MAC信息封装在有效数据的头部,再封装UDP报文头,以UDP报文加上强制访问控制MAC信息加上有效数据DATA的方式交给IP层发送;对于接收:对等实体收到UDP报文后,解封UDP报文头,再解封强制访问控制MAC信息,得到报文的强制访问控制MAC信息,然后将解封UDP报文得到的强制访问MAC信息与自己的强制访问控制MAC信息进行比较,以确定接收或拒绝此UDP报文的有效数据DATA;
对TCP会话,通过修改TCP建立连接的三次握手过程,实现客户端/服务端交换强制访问控制信息,对于连接请求,即第一次握手:客户端向服务端发送连接请求时,将客户端自己的强制访问控制MAC信息与SYN连接请求报文一起发送;对于请求响应,即第二次握手:服务端在收到连接请求后,暂存客户端的强制访问控制MAC信息,并向客户端发送SYN应答加上服务端的强制访问控制MAC信息的响应报文;第三次握手:客户端收到服务端的响应报文后,暂存服务端的强制访问控制MAC信息,至此客户端和服务端完成了强制访问控制MAC信息的交换,然后,客户端向服务端发送数据序号响应报文,完成了三次握手过程双方建立了连接;此后,客户端在向服务端发送数据前,将暂存的服务端的强制访问控制MAC信息与客户端自己的强制访问控制MAC信息进行比较,以确定是否可以向服务端发送数据;而服务端向客户端发送数据前,将暂存的客户端的强制访问控制MAC信息与服务端自己的强制访问控制MAC信息进行比较,以确定是否可以向客户端发送数据;以此过程实现多级安全访问控制。
本发明的优点在于:①在操作系统核心实现,具有更高的效率和安全性;由于本发明实现了修改操作系统核心TCP/IP协议栈,包括修改UDP报文,修改TCP的握手过程,在TCP/UDP层实施网络强制访问控制,因而对现有技术提供了最大的兼容性。如果在IP层实施,可能是最简单的方法,但是IP层关系到网络的寻径问题,而且如果每个IP报文都包含一个MAC信息,其效率是低下的。因此在TCP/UDP层实现几乎可以不影响效率,特别是对TCP通信,还会提高网络的效率,避免垃圾数据在网络上传送。②有效防止内部用户泄漏信息,支持复杂的信任关系;当前网络安全产品,如防火墙,主要针对外部用户的保护,而对内部用户是无能为力的,而强制访问控制可以支持复杂的信任关系,以及通信的安全端。③完全兼容当前的网络应用;本发明完全与目前的网络应用兼容,所以应用和服务仍然可以正常使用。除了提高了安全性和在增强了访问控制能力之外,没有其他任何影响。④配置管理简单容易;由于本发明具有很好的兼容性,并充分考虑了用户的实用习惯,因而配置和管理起来就十分方便和简单。
附图说明
图1为本发明中UDP数据包中MAC信息的封装和解封示意图
图2为本发明中用户与服务间的MAC信息交换示意图
具体实施方式
根据上面的技术方案,下面给出一个基于Linux操作系统的实现举例。
1.软件设计
要实施网络环境下的强制访问控制机制,需要解决以下几个问题:
1)各主机节点间的MAC标签的传送问题;
2)各主机节点间的MAC标签的相互认识问题;
3)对TCP/UDP协议包的修改处理;
4)还要考虑兼容现存的应用问题;
另外一点要考虑的问题是,是否需要设置网络特权主机的问题;如果设置,则该主机就可以和任何其他主机通信,而不管其MAC标签。一方面,可以带来方便;另一方面,也会带来安全隐患,就像OS中的ROOT用户。
当前的设计支持16个敏感级别,28个类别集合。原因是LINUX核心TCP/IP协议栈固有的限制,当然还可以小部分的增加:虽然表示的能力有限,但也能满足一定的应用场合。
LINUX为应用程序提供的网络接口是BSD SOCKET API,因此,SOCKET是主要的控制对象。当由系统调用创建SOCKE时,它缺少继承创建进程的MAC标签,若SOCKET是由连接创建的,它继承监听SOCKET的MAC标签。LINUX的AF-INET协议族创建两个类型的SOCKET,即TCP和UDP。对面向连接的协议,消息的MAC标签就是发送SOCKET的MAC标签;对无连接的协议,每个消息都需要携带MAC标签。
主机之间的信息交换主要是通过TCP/IP协议完成的。当主机A想同主机B通信时:
1)对TCP协议:SERVER进程一直在监听CLIENT的请求,若有请求到达,则SERVER取得CLIENT的MAC标签,调用检验函数以确定是否接受请求,建立连接。为此需要区分请求的类型,比如是请求取得数据,还是发出数据;
2)对UDP协议:SERVER进程一直在等待CLIENT的数据报,在处理之前要根据到达的数据报的MAC标签,以确定是否做进一步的处理。通过修改TCP/IP协议栈,实施对主机之间通信的强制访问控制。
2.应用举例
2.1前提条件
下面举一个实际应用的例子。为了便于描述,我们首先假定如下几个前提条件:
1.有一个网络安全管理员,负责主机之间的通信控制;
2.参与通信的主机A和主机B都有网络MAC机制的TCP/IP核心协议栈;
3.主机A和主机B在物理上是可以通信的;
4.希望限制主机A和主机B之间的通信。
2.2具体操作步骤
A.UDP协议举例
我们希望通过配置达到如下目的:
主机A可以向主机B发送数据,主机B不能向主机A发送数据,只能接受主机A发送的数据。
则具体配置方式如下:
1.主机A的安全级别LA;
2.配置主机B的安全级别LB,适得LA小于等于LB;
3.配置主机A的类别集合CA;
4.配置主机B的类别集合CB,使得CB包含CA;
5.启动网络MAC机制。
B.TCP协议举例
我们希望通过配置达到如下目的:
主机A和主机B通过TCP协议相互通信。
则具体配置方式如下:
1.配置主机A的安全级别LA;
2.配置主机A的类别集合CA;
3.配置主机B的安全级别LB,使得LB=LA;
4.配置主机B的类别集合CB,使得CB=CA;
5.启动网络MAC机制。
Claims (1)
1、一种网络环境中实现多级安全访问控制的方法,其特征在于:通过修改操作系统核心协议栈,包括修改UDP报文,修改TCP握手过程,在TCP/UDP层实施强制访问控制MAC,具体步骤是:
对UDP报文,将强制访问控制MAC信息,封装在UDP报文中,其修改UDP报文包括发送与接收两个方面,对于发送:将强制访问控制MAC信息封装在有效数据的头部,再封装UDP报文头,以UDP报文加上强制访问控制MAC信息加上有效数据DATA的方式交给IP层发送;对于接收:对等实体收到UDP报文后,解封UDP报文头,再解封强制访问控制MAC信息,得到报文的强制访问控制MAC信息,然后将解封UDP报文得到的强制访问MAC信息与自己的强制访问控制MAC信息进行比较,以确定接收或拒绝此UDP报文的有效数据DATA;
对TCP会话,通过修改TCP建立连接的三次握手过程,实现客户端/服务端交换强制访问控制信息,对于连接请求,即第一次握手:客户端向服务端发送连接请求时,将客户端自己的强制访问控制MAC信息与SYN连接请求报文一起发送;对于请求响应,即第二次握手:服务端在收到连接请求后,暂存客户端的强制访问控制MAC信息,并向客户端发送SYN应答加上服务端的强制访问控制MAC信息的响应报文;第三次握手:客户端收到服务端的响应报文后,暂存服务端的强制访问控制MAC信息,至此客户端和服务端完成了强制访问控制MAC信息的交换,然后,客户端向服务端发送数据序号响应报文,完成了三次握手过程双方建立了连接;此后,客户端在向服务端发送数据前,将暂存的服务端的强制访问控制MAC信息与客户端自己的强制访问控制MAC信息进行比较,以确定是否可以向服务端发送数据;而服务端在向客户端发送数据前,将暂存的客户端的强制访问控制MAC信息与服务端自己的强制访问控制MAC信息进行比较,以确定是否可以向客户端发送数据;以此过程实现多级安全访问控制。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB021281238A CN1326347C (zh) | 2002-12-30 | 2002-12-30 | 一种网络环境中实现多级安全访问控制的技术方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB021281238A CN1326347C (zh) | 2002-12-30 | 2002-12-30 | 一种网络环境中实现多级安全访问控制的技术方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1512706A CN1512706A (zh) | 2004-07-14 |
CN1326347C true CN1326347C (zh) | 2007-07-11 |
Family
ID=34231233
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB021281238A Expired - Fee Related CN1326347C (zh) | 2002-12-30 | 2002-12-30 | 一种网络环境中实现多级安全访问控制的技术方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1326347C (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101325539B (zh) * | 2007-06-15 | 2012-01-11 | 中兴通讯股份有限公司 | 一种局域网内可靠通信的方法 |
CN105099992B (zh) * | 2014-04-29 | 2018-07-24 | 杭州迪普科技股份有限公司 | 一种报文修改装置及方法 |
CN107105339B (zh) * | 2017-03-31 | 2019-10-25 | 广州酷狗计算机科技有限公司 | 一种播放直播视频的方法、装置和系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1173256A (zh) * | 1995-09-18 | 1998-02-11 | 数字保证网络技术股份有限公司 | 网络安全装置 |
US6393484B1 (en) * | 1999-04-12 | 2002-05-21 | International Business Machines Corp. | System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks |
CN1357997A (zh) * | 2000-12-15 | 2002-07-10 | 华为技术有限公司 | 以太网接入网中的虚拟局域网接入方法 |
-
2002
- 2002-12-30 CN CNB021281238A patent/CN1326347C/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1173256A (zh) * | 1995-09-18 | 1998-02-11 | 数字保证网络技术股份有限公司 | 网络安全装置 |
US6393484B1 (en) * | 1999-04-12 | 2002-05-21 | International Business Machines Corp. | System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks |
CN1357997A (zh) * | 2000-12-15 | 2002-07-10 | 华为技术有限公司 | 以太网接入网中的虚拟局域网接入方法 |
Also Published As
Publication number | Publication date |
---|---|
CN1512706A (zh) | 2004-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8065402B2 (en) | Network management using short message service | |
US9137334B2 (en) | Interconnection method, apparatus, and system based on socket remote invocation | |
CN100425025C (zh) | 应用服务器安全法与网络安全法的安全系统与方法 | |
CN100358280C (zh) | 一种网络安全装置及其实现方法 | |
TWI360781B (en) | Method for configuring a computer device using loa | |
US7925693B2 (en) | NAT access control with IPSec | |
US20040260837A2 (en) | Data Translation Architecture | |
US20030126230A1 (en) | Method and system for transmitting information across a firewall | |
US20040057430A1 (en) | Transmission of broadcast packets in secure communication connections between computers | |
US20120222108A1 (en) | System and method for automatically initiating and dynamically establishing secure internet connections between a fire-walled server and a fire-walled client | |
US20090222542A1 (en) | Virtual system and method in a virtual system | |
US20030088787A1 (en) | Method and apparatus to manage address translation for secure connections | |
Groenbaek | Conversion between the TCP and ISO transport protocols as a method of achieving interoperability between data communications systems | |
JP2002502152A (ja) | Tcp/ipネットワーク・アドレス携帯端末のためのプロキシ・サーバ | |
CN100505734C (zh) | 一种实现网络计算机的外部设备映射的方法 | |
KR101472685B1 (ko) | 망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템 | |
CN101984693A (zh) | 终端接入局域网的监控方法和监控装置 | |
JP2001036561A (ja) | Tcp/ipネットワークシステム | |
CN1326347C (zh) | 一种网络环境中实现多级安全访问控制的技术方法 | |
US6976054B1 (en) | Method and system for accessing low-level resources in a network device | |
CN100484132C (zh) | 一种防范网际协议以太网中假冒主机的方法 | |
CN113114643B (zh) | 一种运维审计系统的运维接入方法及系统 | |
KR20020058480A (ko) | 이동통신 시스템에서의 프로세서간 정합 방법 | |
CN110351308B (zh) | 一种虚拟专用网络通信方法和虚拟专用网络设备 | |
Cisco | Configuring PPP for Wide-Area Networking |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070711 Termination date: 20191230 |