CN1512706A - 一种网络环境中实现多级安全访问控制的技术方法 - Google Patents

一种网络环境中实现多级安全访问控制的技术方法 Download PDF

Info

Publication number
CN1512706A
CN1512706A CNA021281238A CN02128123A CN1512706A CN 1512706 A CN1512706 A CN 1512706A CN A021281238 A CNA021281238 A CN A021281238A CN 02128123 A CN02128123 A CN 02128123A CN 1512706 A CN1512706 A CN 1512706A
Authority
CN
China
Prior art keywords
access control
mac
tcp
udp
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA021281238A
Other languages
English (en)
Other versions
CN1326347C (zh
Inventor
张志文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SANLINGSHENG-AN INFORMATION SYSTEM Co Ltd CHENGDU CITY
Original Assignee
SANLINGSHENG-AN INFORMATION SYSTEM Co Ltd CHENGDU CITY
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SANLINGSHENG-AN INFORMATION SYSTEM Co Ltd CHENGDU CITY filed Critical SANLINGSHENG-AN INFORMATION SYSTEM Co Ltd CHENGDU CITY
Priority to CNB021281238A priority Critical patent/CN1326347C/zh
Publication of CN1512706A publication Critical patent/CN1512706A/zh
Application granted granted Critical
Publication of CN1326347C publication Critical patent/CN1326347C/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种网络环境中实现多级安全访问控制的技术方法,其特征是修改操作系统核心TCP/IP协议栈,包括修改UDP报文、修改TCP的握手过程,在TCP/UDP层实施网络强制访问控制措施;其优点是:能在操作系统核心实现,具有更高的效率和安全性,能有效防止内部用户泄露信息,支持复杂的信任关系,完全兼容当前网络应用以及配置管理简单容易等。

Description

一种网络环境中实现多级安全访问控制的技术方法
技术领域
本发明涉及一种网络环境下的信息安全技术,确切说是涉及一种能有效防止内部用户,在网络中随便泄漏信息的多级安全访问的控制方法。
背景技术
由于计算机和网络的广泛使用,计算机之间的信息共享快速增长,而目前操作系统的安全机制主要考虑单机系统的信息安全,忽视了网络环境下的信息安全。计算机网络的安全问题一直是研究的热点,过去对网络环境信息安全的研究,主要考虑信息在网络上传送时其本身的安全问题,比如机密性、有效性问题,主要是针对信息的非法窃听,这些问题可以通过加密技术来解决,而对合法用户的信息泄露问题却很少关心。然而,当两个或两个以上独立自主的主机互联构成计算机网络时,操作系统本身的保护机制已经不适合保护计算机网络的通信。由于网络的分布特性,高度开放性,网络信息的共享性,合法用户是可以随便泄露自己所知道的信息,只要允许用户使用网络,只需简单的SOCKET编程,简单的C/S程序就可以将自己所知道的信息传递到世界的任何地方。这对于计算机网络系统来说,自然存在一个很大的漏洞。虽然,网络通信已有TCP/IP协议,但是这个协议对网络通信的控制是脆弱的,通过网络两个用户是很容易通信的,它几乎不受任何限制。解决这个问题,要求对网络间的通信有安全策略,对信息共享应实施控制。
早期的多级安全网络的研究主要针对局域网,采用专用的网络接口设备,通过修改链路层协议,或者通过构造逻辑网络,由逻辑网关来实施对逻辑网络的强制访问控制;或者通过逻辑抽象,对数据报实施强制访问控制,来达到主机之间的强制访问控制目的。其缺点是:①要靠硬件实现,不经济;②要修改链路层协议,带来不兼容的问题;③通过逻辑网关控制,粒度较粗。
发明内容
本发明的目的在于:针对网络安全存在的上述问题,提供一种能在操作系统核心实现,具有更高的网络效率和网络应用的兼容性、配置管理简单容易、能有效防止内部用户泄漏息信,在网络环境中实现多级安全访问控制的技术方法。
本发明的目的是这样实现的:
一种网络环境中实现多级安全访问控制的技术方法,其特征在于:修改操作系统核心TCP/IP协议栈,包括修改UDP报文,修改TCP的握手过程,在TCP/UDP层实施网络强制访问控制措施。
UDP报文的修改内容是:
①发送
由于UDP是按数据包为单位进行通信的,因此每个UDP数据应包含MAC信息,而进程又不知道对等进程的其他任何信息,因此需要将MAC信息封装在UDP数据上,具体做法是将MAC信息封装在有效数据的头部,然后才是有效数据;UDP在发送数据时,在用户数据前面封装上MAC信息,再加上UDP头信息,交给IP层发送。
②接收
对等实体收到UDP数据报后,先按通常情况解封,取得对方的MAC信息,然后与自己的MAC信息比较,根据多级安全策略,以确定是否可以接受此数据报,否者丢弃。
对TCP三次握手过程的修改是:
①连接请求
在请求方发送连接请求时,除了发送通常的信息外,还要发送自己的MAC信息;将自己的MAC信息和SYN请求一起发送;
②响应请求
服务器方接受到连接请求后,发回响应信息的同时也发回自己的MAC信息;
③连接建立
连接请求的建立应和通常的TCP/IP协议相一致;
在TCP/UDP层实施网络强制访问控制
通过TCP连接建立的三次握手过程,客户/服务方已经完成了MAC信息的交换,可以实施强制访问控制安全策略;
(1)发送
在发送数据时,首先将自己的MAC标签与对方的MAC标签比较,若对方的MAC标签支配自己的MAC标签则可以发送,否则不发送;对于没有MAC标签的主机,是不能发送的;
(2)接收
接收到的数据,都是在发送时通过了强制访问安全策略检查的,所以是可以接收的;通过上述机制,可以实现网络环境下的强制安全策略,有效的控制主机之间的信息交换。
本发明的优点在于:①在操作系统核心实现,具有更高的效率和安全性;
由于本发明实现了修改操作系统核心TCP/IP协议栈,包括修改UDP报文,修改TCP的握手过程,在TCP/UDP层实施网络强制访问控制,因而对现有技术提供了最大的兼容性。如果在IP层实施,可能是最简单的方法,但是IP层关系到网络的寻径问题,而且如果每个IP报都包含一个MAC信息,其效率是低下的。因此在TCP/UDP层实现几乎可以不影响效率,特别是对TCP通信还会提高网络的效率,避免垃圾数据在网络上传送。
②有效防止内部用户泄漏信息,支持复杂的信任关系;当前网络安全产品,如防火墙,主要针对外部用户的保护,而对内部用户是无能为力的,而强制访问控制可以支持复杂的信任关系,以及通信的安全端。
③完全兼容当前的网络应用;本发明与目前的网络应用完全兼容,所用应用和服务仍然可以正常使用。除了提高了安全性和在增强了访问控制能力之外,没有其他任何影响。
④配置管理简单容易;由于本发明具有很好的兼容性,并充分考虑了用户的实用习惯,因而配置和管理起来就十分方便和简单。
附图说明
图1为本发明中UDP数据报中MAC信息的封装和解封示意图
图2为本发明中用户与服务间的MAC信息交换示意图
具体实施方式
根据上面的技术方案,下面给出一个基于Linux操作系统的实现举例。
1.软件设计
要实施网络环境下的强制访问控制机制,需要解决以下几个问题:
1)各主机节点间的MAC标签的传送问题;
2)各主机节点间的MAC标签的相互认识问题;
3)对TCP/UDP协议包的修改处理;
4)还要考虑兼容现存的应用问题;
另外一点要考虑的问题是,是否需要设置网络特权主机的问题;如果设置,则该主机就可以和任何其他主机通信,而不管其MAC标签。一方面,可以带来方便;另一方面,也会带来安全隐患,就像OS中的ROOT用户。
当前的设计支持16个敏感级别,28个类别集合。原因是LINUX核心TCP/IP协议栈固有的限制,当然还可以小部分的增加:虽然表示的能力有限,但也能满足一定的应用场合。
LINUX为应用程序提供的网络接口是BSD SOCKET API,因此,SOCKET是主要的控制对象。当由系统调用创建SOCKET时,它缺少继承创建进程的MAC标签,若SOCKET是由连接创建的,它继承监听SOCKET的MAC标签。LINUX的AF-INET协议族创建两个类型的SOCKET,即TCP和UDP。对面向连接的协议,消息的MAC标签就是发送SOCKET的MAC标签;对无连接的协议,每个消息都需要携带MAC标签。
主机之间的信息交换主要是通过TCP/IP协议完成的。当主机A想同主机B通信时;
1)对TCP协议:SERVER进程一直在监听CLIENT的请求,若有请求到达,则SERVER取得CLIENT的MAC标签,调用检验函数以确定是否接受请求,建立连接。为此需要区分请求的类型,比如是请求取得数据,还是发出数据;
2)对UDP协议:SERVER进程一直在等待CLIENT的数据报,在处理之前要根据到达的数据报的MAC标签,以确定是否做进一步的处理。
通过修改TCP/IP协议栈,实施对主机之间通信的强制访问控制。
2.应用举例
2.1前提条件
下面举一个实际应用的例子。为了便于描述,我们首先假定如下几个前提条件:
1.有一个网络安全管理员,负责主机之间的通信控制;
2.参与通信的主机A和主机B都有网络MAC机制的TCP/IP核心协议栈;
3.主机A和主机B在物理上是可以通信的;
4.希望限制主机A和主机B之间的通信。
2.2具体操作步骤
A.UDP协议举例
我们希望通过配置达到如下目的:
主机A可以向主机B发送数据,主机B不能向主机A发送数据,只能接受主机A发送的数据。
则具体配置方式如下:
1.主机A的安全级别LA;
2.配置主机B的安全级别LB,适得LA小于等于LB;
3.配置主机A的类别集合CA;
4.配置主机B的类别集合CB,使得CB包含CA;
5.启动网络MAC机制。
B.TCP协议举例
我们希望通过配置达到如下目的:
主机A和主机B通过TCP协议相互通信。
则具体配置方式如下:
1.配置主机A的安全级别LA;
2.配置主机A的类别集合CA;
3.配置主机B的安全级别LB,使得LB=LA;
4.配置主机B的类别集合CB,使得CB=CA;
5.启动网络MAC机制;

Claims (4)

1、一种网络环境中实现多级安全访问控制的技术方法,其特征在于:修改操作系统核心TCP/IP协议栈,包括修改UDP报文,修改TCP的握手过程,在TCP/UDP层实施强制访问控制措施。
2、按照权利要求1所述的网络环境中实现多级安全访问控制的技术方法,其特征在于:UDP报文的修改内容,包括发送与接收两方面;对于发送:是将MAC信息封装在有效数据的头部,UDP在发送数据时,在用户数据前面封装MAC信息,再加上UDP头信息,交给IP层发送;对于接受:对等实体收到UDP数据报后,先按通常情况解封,取得对方的MAC信息,然后与自己的MAC信息比较,根据多级安全策略,以确定是否可以接受此数据报,否则丢弃。
3、按照权利要求1所述的网络环境中实现多级安全访问控制的技术方法,其特征在于:修改TCP握手过程,包括连接请求、响应请求和连接建立三方面;对于连接请求:在请求方发送连接请求时,除了发送通常的信息外,还要发送自己的MAC信息,将自己的MAC信息和SYN请求一起发送;对于响应请求:服务方在接受到连接请求后,发回响应信息同时也发回自己的MAC信息;对于连接建立:连接请求的建立应和通常的TCP/IP协议相一致。
4、按照权利要求1所述的网络环境中实现多级安全访问控制的技术方法,其特征在于:在TCP/UDP层实施网络强制访问控制,是通过TCP连接建立的三次握手过程,客户/服务方已经完成了MAC信息的交换,可以实施强制访问控制安全策略,对于发送:在发送数据时,首先将自己的MAC标签与对方的MAC标签比较,若对方的MAC标签支配自己的MAC标签,则可以发送,否则不发送;对于没有MAC标签的主机,是不能发送的;对于接收:由于接收到的数据,都是在发送时通过了强制访问安全策略检查的,可以接收。
CNB021281238A 2002-12-30 2002-12-30 一种网络环境中实现多级安全访问控制的技术方法 Expired - Fee Related CN1326347C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNB021281238A CN1326347C (zh) 2002-12-30 2002-12-30 一种网络环境中实现多级安全访问控制的技术方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB021281238A CN1326347C (zh) 2002-12-30 2002-12-30 一种网络环境中实现多级安全访问控制的技术方法

Publications (2)

Publication Number Publication Date
CN1512706A true CN1512706A (zh) 2004-07-14
CN1326347C CN1326347C (zh) 2007-07-11

Family

ID=34231233

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB021281238A Expired - Fee Related CN1326347C (zh) 2002-12-30 2002-12-30 一种网络环境中实现多级安全访问控制的技术方法

Country Status (1)

Country Link
CN (1) CN1326347C (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101325539B (zh) * 2007-06-15 2012-01-11 中兴通讯股份有限公司 一种局域网内可靠通信的方法
CN105099992A (zh) * 2014-04-29 2015-11-25 杭州迪普科技有限公司 一种报文修改装置及方法
CN107105339A (zh) * 2017-03-31 2017-08-29 广州酷狗计算机科技有限公司 一种播放直播视频的方法、装置和系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5757924A (en) * 1995-09-18 1998-05-26 Digital Secured Networks Techolognies, Inc. Network security device which performs MAC address translation without affecting the IP address
US6393484B1 (en) * 1999-04-12 2002-05-21 International Business Machines Corp. System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks
CN1129272C (zh) * 2000-12-15 2003-11-26 华为技术有限公司 以太网接入网中的虚拟局域网接入方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101325539B (zh) * 2007-06-15 2012-01-11 中兴通讯股份有限公司 一种局域网内可靠通信的方法
CN105099992A (zh) * 2014-04-29 2015-11-25 杭州迪普科技有限公司 一种报文修改装置及方法
CN105099992B (zh) * 2014-04-29 2018-07-24 杭州迪普科技股份有限公司 一种报文修改装置及方法
CN107105339A (zh) * 2017-03-31 2017-08-29 广州酷狗计算机科技有限公司 一种播放直播视频的方法、装置和系统

Also Published As

Publication number Publication date
CN1326347C (zh) 2007-07-11

Similar Documents

Publication Publication Date Title
US6073176A (en) Dynamic bidding protocol for conducting multilink sessions through different physical termination points
US6772334B1 (en) System and method for preventing a spoofed denial of service attack in a networked computing environment
CN100425025C (zh) 应用服务器安全法与网络安全法的安全系统与方法
US7543070B1 (en) System and method for negotiating multi-path connections through boundary controllers in a networked computing environment
WO2013086869A1 (zh) 一种互联方法、装置和系统
CN1206600C (zh) 一种全分布式的集群网络服务器系统
US20100002693A1 (en) Method and systems for routing packets from an endpoint to a gateway
CN109688100B (zh) Nat穿透方法、装置、设备及存储介质
CN1309233C (zh) 在宽带接入设备上支持PPPoA的方法
CN1728671A (zh) 服务器设备及其控制方法和使用该服务器建立连接的方法
CN1842073A (zh) 一种实现网络计算机的外部设备映射的方法
CN1744494A (zh) 验证接入主机安全性的访问认证系统和方法
CN1252961C (zh) 一种对组播业务进行认证的方法
CN101047618A (zh) 获取网络路径信息的方法和系统
CN1744607A (zh) 一种阻断蠕虫攻击的系统和方法
CN1620034A (zh) 认证网关及其数据处理方法
CN101051967A (zh) 用户网络中用户设备的通信系统及其方法
CN103685315A (zh) 一种防御拒绝服务攻击的方法及系统
CN1917512A (zh) 一种建立对等直连通道的方法
JP2001036561A (ja) Tcp/ipネットワークシステム
CN1512706A (zh) 一种网络环境中实现多级安全访问控制的技术方法
CN100337222C (zh) 一种防火墙系统及其访问限制方法
CN1968118A (zh) 一种建立即时通信网络邻居的方法
CN1204713C (zh) 宽带网络中用户上网连接管理方法
CN1270532C (zh) 在嵌入式操作系统中支持非对称数字用户线路接入的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20070711

Termination date: 20191230