CN1512706A - 一种网络环境中实现多级安全访问控制的技术方法 - Google Patents
一种网络环境中实现多级安全访问控制的技术方法 Download PDFInfo
- Publication number
- CN1512706A CN1512706A CNA021281238A CN02128123A CN1512706A CN 1512706 A CN1512706 A CN 1512706A CN A021281238 A CNA021281238 A CN A021281238A CN 02128123 A CN02128123 A CN 02128123A CN 1512706 A CN1512706 A CN 1512706A
- Authority
- CN
- China
- Prior art keywords
- access control
- mac
- tcp
- udp
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种网络环境中实现多级安全访问控制的技术方法,其特征是修改操作系统核心TCP/IP协议栈,包括修改UDP报文、修改TCP的握手过程,在TCP/UDP层实施网络强制访问控制措施;其优点是:能在操作系统核心实现,具有更高的效率和安全性,能有效防止内部用户泄露信息,支持复杂的信任关系,完全兼容当前网络应用以及配置管理简单容易等。
Description
技术领域
本发明涉及一种网络环境下的信息安全技术,确切说是涉及一种能有效防止内部用户,在网络中随便泄漏信息的多级安全访问的控制方法。
背景技术
由于计算机和网络的广泛使用,计算机之间的信息共享快速增长,而目前操作系统的安全机制主要考虑单机系统的信息安全,忽视了网络环境下的信息安全。计算机网络的安全问题一直是研究的热点,过去对网络环境信息安全的研究,主要考虑信息在网络上传送时其本身的安全问题,比如机密性、有效性问题,主要是针对信息的非法窃听,这些问题可以通过加密技术来解决,而对合法用户的信息泄露问题却很少关心。然而,当两个或两个以上独立自主的主机互联构成计算机网络时,操作系统本身的保护机制已经不适合保护计算机网络的通信。由于网络的分布特性,高度开放性,网络信息的共享性,合法用户是可以随便泄露自己所知道的信息,只要允许用户使用网络,只需简单的SOCKET编程,简单的C/S程序就可以将自己所知道的信息传递到世界的任何地方。这对于计算机网络系统来说,自然存在一个很大的漏洞。虽然,网络通信已有TCP/IP协议,但是这个协议对网络通信的控制是脆弱的,通过网络两个用户是很容易通信的,它几乎不受任何限制。解决这个问题,要求对网络间的通信有安全策略,对信息共享应实施控制。
早期的多级安全网络的研究主要针对局域网,采用专用的网络接口设备,通过修改链路层协议,或者通过构造逻辑网络,由逻辑网关来实施对逻辑网络的强制访问控制;或者通过逻辑抽象,对数据报实施强制访问控制,来达到主机之间的强制访问控制目的。其缺点是:①要靠硬件实现,不经济;②要修改链路层协议,带来不兼容的问题;③通过逻辑网关控制,粒度较粗。
发明内容
本发明的目的在于:针对网络安全存在的上述问题,提供一种能在操作系统核心实现,具有更高的网络效率和网络应用的兼容性、配置管理简单容易、能有效防止内部用户泄漏息信,在网络环境中实现多级安全访问控制的技术方法。
本发明的目的是这样实现的:
一种网络环境中实现多级安全访问控制的技术方法,其特征在于:修改操作系统核心TCP/IP协议栈,包括修改UDP报文,修改TCP的握手过程,在TCP/UDP层实施网络强制访问控制措施。
UDP报文的修改内容是:
①发送
由于UDP是按数据包为单位进行通信的,因此每个UDP数据应包含MAC信息,而进程又不知道对等进程的其他任何信息,因此需要将MAC信息封装在UDP数据上,具体做法是将MAC信息封装在有效数据的头部,然后才是有效数据;UDP在发送数据时,在用户数据前面封装上MAC信息,再加上UDP头信息,交给IP层发送。
②接收
对等实体收到UDP数据报后,先按通常情况解封,取得对方的MAC信息,然后与自己的MAC信息比较,根据多级安全策略,以确定是否可以接受此数据报,否者丢弃。
对TCP三次握手过程的修改是:
①连接请求
在请求方发送连接请求时,除了发送通常的信息外,还要发送自己的MAC信息;将自己的MAC信息和SYN请求一起发送;
②响应请求
服务器方接受到连接请求后,发回响应信息的同时也发回自己的MAC信息;
③连接建立
连接请求的建立应和通常的TCP/IP协议相一致;
在TCP/UDP层实施网络强制访问控制
通过TCP连接建立的三次握手过程,客户/服务方已经完成了MAC信息的交换,可以实施强制访问控制安全策略;
(1)发送
在发送数据时,首先将自己的MAC标签与对方的MAC标签比较,若对方的MAC标签支配自己的MAC标签则可以发送,否则不发送;对于没有MAC标签的主机,是不能发送的;
(2)接收
接收到的数据,都是在发送时通过了强制访问安全策略检查的,所以是可以接收的;通过上述机制,可以实现网络环境下的强制安全策略,有效的控制主机之间的信息交换。
本发明的优点在于:①在操作系统核心实现,具有更高的效率和安全性;
由于本发明实现了修改操作系统核心TCP/IP协议栈,包括修改UDP报文,修改TCP的握手过程,在TCP/UDP层实施网络强制访问控制,因而对现有技术提供了最大的兼容性。如果在IP层实施,可能是最简单的方法,但是IP层关系到网络的寻径问题,而且如果每个IP报都包含一个MAC信息,其效率是低下的。因此在TCP/UDP层实现几乎可以不影响效率,特别是对TCP通信还会提高网络的效率,避免垃圾数据在网络上传送。
②有效防止内部用户泄漏信息,支持复杂的信任关系;当前网络安全产品,如防火墙,主要针对外部用户的保护,而对内部用户是无能为力的,而强制访问控制可以支持复杂的信任关系,以及通信的安全端。
③完全兼容当前的网络应用;本发明与目前的网络应用完全兼容,所用应用和服务仍然可以正常使用。除了提高了安全性和在增强了访问控制能力之外,没有其他任何影响。
④配置管理简单容易;由于本发明具有很好的兼容性,并充分考虑了用户的实用习惯,因而配置和管理起来就十分方便和简单。
附图说明
图1为本发明中UDP数据报中MAC信息的封装和解封示意图
图2为本发明中用户与服务间的MAC信息交换示意图
具体实施方式
根据上面的技术方案,下面给出一个基于Linux操作系统的实现举例。
1.软件设计
要实施网络环境下的强制访问控制机制,需要解决以下几个问题:
1)各主机节点间的MAC标签的传送问题;
2)各主机节点间的MAC标签的相互认识问题;
3)对TCP/UDP协议包的修改处理;
4)还要考虑兼容现存的应用问题;
另外一点要考虑的问题是,是否需要设置网络特权主机的问题;如果设置,则该主机就可以和任何其他主机通信,而不管其MAC标签。一方面,可以带来方便;另一方面,也会带来安全隐患,就像OS中的ROOT用户。
当前的设计支持16个敏感级别,28个类别集合。原因是LINUX核心TCP/IP协议栈固有的限制,当然还可以小部分的增加:虽然表示的能力有限,但也能满足一定的应用场合。
LINUX为应用程序提供的网络接口是BSD SOCKET API,因此,SOCKET是主要的控制对象。当由系统调用创建SOCKET时,它缺少继承创建进程的MAC标签,若SOCKET是由连接创建的,它继承监听SOCKET的MAC标签。LINUX的AF-INET协议族创建两个类型的SOCKET,即TCP和UDP。对面向连接的协议,消息的MAC标签就是发送SOCKET的MAC标签;对无连接的协议,每个消息都需要携带MAC标签。
主机之间的信息交换主要是通过TCP/IP协议完成的。当主机A想同主机B通信时;
1)对TCP协议:SERVER进程一直在监听CLIENT的请求,若有请求到达,则SERVER取得CLIENT的MAC标签,调用检验函数以确定是否接受请求,建立连接。为此需要区分请求的类型,比如是请求取得数据,还是发出数据;
2)对UDP协议:SERVER进程一直在等待CLIENT的数据报,在处理之前要根据到达的数据报的MAC标签,以确定是否做进一步的处理。
通过修改TCP/IP协议栈,实施对主机之间通信的强制访问控制。
2.应用举例
2.1前提条件
下面举一个实际应用的例子。为了便于描述,我们首先假定如下几个前提条件:
1.有一个网络安全管理员,负责主机之间的通信控制;
2.参与通信的主机A和主机B都有网络MAC机制的TCP/IP核心协议栈;
3.主机A和主机B在物理上是可以通信的;
4.希望限制主机A和主机B之间的通信。
2.2具体操作步骤
A.UDP协议举例
我们希望通过配置达到如下目的:
主机A可以向主机B发送数据,主机B不能向主机A发送数据,只能接受主机A发送的数据。
则具体配置方式如下:
1.主机A的安全级别LA;
2.配置主机B的安全级别LB,适得LA小于等于LB;
3.配置主机A的类别集合CA;
4.配置主机B的类别集合CB,使得CB包含CA;
5.启动网络MAC机制。
B.TCP协议举例
我们希望通过配置达到如下目的:
主机A和主机B通过TCP协议相互通信。
则具体配置方式如下:
1.配置主机A的安全级别LA;
2.配置主机A的类别集合CA;
3.配置主机B的安全级别LB,使得LB=LA;
4.配置主机B的类别集合CB,使得CB=CA;
5.启动网络MAC机制;
Claims (4)
1、一种网络环境中实现多级安全访问控制的技术方法,其特征在于:修改操作系统核心TCP/IP协议栈,包括修改UDP报文,修改TCP的握手过程,在TCP/UDP层实施强制访问控制措施。
2、按照权利要求1所述的网络环境中实现多级安全访问控制的技术方法,其特征在于:UDP报文的修改内容,包括发送与接收两方面;对于发送:是将MAC信息封装在有效数据的头部,UDP在发送数据时,在用户数据前面封装MAC信息,再加上UDP头信息,交给IP层发送;对于接受:对等实体收到UDP数据报后,先按通常情况解封,取得对方的MAC信息,然后与自己的MAC信息比较,根据多级安全策略,以确定是否可以接受此数据报,否则丢弃。
3、按照权利要求1所述的网络环境中实现多级安全访问控制的技术方法,其特征在于:修改TCP握手过程,包括连接请求、响应请求和连接建立三方面;对于连接请求:在请求方发送连接请求时,除了发送通常的信息外,还要发送自己的MAC信息,将自己的MAC信息和SYN请求一起发送;对于响应请求:服务方在接受到连接请求后,发回响应信息同时也发回自己的MAC信息;对于连接建立:连接请求的建立应和通常的TCP/IP协议相一致。
4、按照权利要求1所述的网络环境中实现多级安全访问控制的技术方法,其特征在于:在TCP/UDP层实施网络强制访问控制,是通过TCP连接建立的三次握手过程,客户/服务方已经完成了MAC信息的交换,可以实施强制访问控制安全策略,对于发送:在发送数据时,首先将自己的MAC标签与对方的MAC标签比较,若对方的MAC标签支配自己的MAC标签,则可以发送,否则不发送;对于没有MAC标签的主机,是不能发送的;对于接收:由于接收到的数据,都是在发送时通过了强制访问安全策略检查的,可以接收。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021281238A CN1326347C (zh) | 2002-12-30 | 2002-12-30 | 一种网络环境中实现多级安全访问控制的技术方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021281238A CN1326347C (zh) | 2002-12-30 | 2002-12-30 | 一种网络环境中实现多级安全访问控制的技术方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1512706A true CN1512706A (zh) | 2004-07-14 |
| CN1326347C CN1326347C (zh) | 2007-07-11 |
Family
ID=34231233
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB021281238A Expired - Fee Related CN1326347C (zh) | 2002-12-30 | 2002-12-30 | 一种网络环境中实现多级安全访问控制的技术方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1326347C (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101325539B (zh) * | 2007-06-15 | 2012-01-11 | 中兴通讯股份有限公司 | 一种局域网内可靠通信的方法 |
| CN105099992A (zh) * | 2014-04-29 | 2015-11-25 | 杭州迪普科技有限公司 | 一种报文修改装置及方法 |
| CN107105339A (zh) * | 2017-03-31 | 2017-08-29 | 广州酷狗计算机科技有限公司 | 一种播放直播视频的方法、装置和系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5757924A (en) * | 1995-09-18 | 1998-05-26 | Digital Secured Networks Techolognies, Inc. | Network security device which performs MAC address translation without affecting the IP address |
| US6393484B1 (en) * | 1999-04-12 | 2002-05-21 | International Business Machines Corp. | System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks |
| CN1129272C (zh) * | 2000-12-15 | 2003-11-26 | 华为技术有限公司 | 以太网接入网中的虚拟局域网接入方法 |
-
2002
- 2002-12-30 CN CNB021281238A patent/CN1326347C/zh not_active Expired - Fee Related
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101325539B (zh) * | 2007-06-15 | 2012-01-11 | 中兴通讯股份有限公司 | 一种局域网内可靠通信的方法 |
| CN105099992A (zh) * | 2014-04-29 | 2015-11-25 | 杭州迪普科技有限公司 | 一种报文修改装置及方法 |
| CN105099992B (zh) * | 2014-04-29 | 2018-07-24 | 杭州迪普科技股份有限公司 | 一种报文修改装置及方法 |
| CN107105339A (zh) * | 2017-03-31 | 2017-08-29 | 广州酷狗计算机科技有限公司 | 一种播放直播视频的方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1326347C (zh) | 2007-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6073176A (en) | Dynamic bidding protocol for conducting multilink sessions through different physical termination points | |
| US6772334B1 (en) | System and method for preventing a spoofed denial of service attack in a networked computing environment | |
| CN100425025C (zh) | 应用服务器安全法与网络安全法的安全系统与方法 | |
| US7543070B1 (en) | System and method for negotiating multi-path connections through boundary controllers in a networked computing environment | |
| WO2013086869A1 (zh) | 一种互联方法、装置和系统 | |
| CN1206600C (zh) | 一种全分布式的集群网络服务器系统 | |
| US20100002693A1 (en) | Method and systems for routing packets from an endpoint to a gateway | |
| CN109688100B (zh) | Nat穿透方法、装置、设备及存储介质 | |
| CN1309233C (zh) | 在宽带接入设备上支持PPPoA的方法 | |
| CN1728671A (zh) | 服务器设备及其控制方法和使用该服务器建立连接的方法 | |
| CN1842073A (zh) | 一种实现网络计算机的外部设备映射的方法 | |
| CN1744494A (zh) | 验证接入主机安全性的访问认证系统和方法 | |
| CN1252961C (zh) | 一种对组播业务进行认证的方法 | |
| CN101047618A (zh) | 获取网络路径信息的方法和系统 | |
| CN1744607A (zh) | 一种阻断蠕虫攻击的系统和方法 | |
| CN1620034A (zh) | 认证网关及其数据处理方法 | |
| CN101051967A (zh) | 用户网络中用户设备的通信系统及其方法 | |
| CN103685315A (zh) | 一种防御拒绝服务攻击的方法及系统 | |
| CN1917512A (zh) | 一种建立对等直连通道的方法 | |
| JP2001036561A (ja) | Tcp/ipネットワークシステム | |
| CN1512706A (zh) | 一种网络环境中实现多级安全访问控制的技术方法 | |
| CN100337222C (zh) | 一种防火墙系统及其访问限制方法 | |
| CN1968118A (zh) | 一种建立即时通信网络邻居的方法 | |
| CN1204713C (zh) | 宽带网络中用户上网连接管理方法 | |
| CN1270532C (zh) | 在嵌入式操作系统中支持非对称数字用户线路接入的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070711 Termination date: 20191230 |