CN1606307A - 基于安全操作系统的网络强制访问控制的方法 - Google Patents
基于安全操作系统的网络强制访问控制的方法 Download PDFInfo
- Publication number
- CN1606307A CN1606307A CN200410065711.3A CN200410065711A CN1606307A CN 1606307 A CN1606307 A CN 1606307A CN 200410065711 A CN200410065711 A CN 200410065711A CN 1606307 A CN1606307 A CN 1606307A
- Authority
- CN
- China
- Prior art keywords
- network
- packet
- access control
- mac
- mac head
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 17
- 230000005540 biological transmission Effects 0.000 claims description 13
- 230000008569 process Effects 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 claims description 3
- 238000012905 input function Methods 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 description 6
- 230000035945 sensitivity Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于安全控制系统的网络强制访问控制的方法,其实施步骤包括:1.修改安全操作系统原有TCP/IP协议栈,在IP数据包中利用扩展信息加上MAC头,MAC头里携带该客体的敏感标签信息;2.修改IP层的发送函数,在发送的数据到达网络设备之前调用IPMac_Output函数,以获取当前发送数据的用户的安全属性,根据获取的安全属性生成MAC头,并将MAC头加入数据包;3.修改IP层接收函数。本发明的显著优点是:能保证在网络环境下客体的敏感信息不被泄漏;且在网络中传送的字节数少,易于控制和实现;工作模式完全在操作系统内核,运行效率高。
Description
一、技术领域
本发明涉及一种操作系统和网络安全控制方法,特别是一种解决在网络环境下强制访问控制扩展和敏感标记一致性问题的方法。
二、背景技术
目前,国内外许多安全操作系统的研究项目主要是采取通过修改操作系统内核构造基于“访问监督器”(Reference Monitor)模型的“可信计算基”(TCB,Trusted Computing Base)技术路线。由于TCB中保存了本系统中所有主、客体的敏感标记,因此可以通过采取适当的访问控制技术来提高操作系统的安全性。另外,当今的网络技术迅速发展,机器之间的交互日益频繁,但是在网络环境下,由于无法感知网络通信的双方的安全属性(安全等级和安全类别),因而难以防止机密信息通过网络泄漏。虽然采用防火墙等技术可以在一定程度上保护内部计算机免受来自外部网络的威胁,但防火墙仅针对网络分组的物理特性进行保护,例如源/目标地址、端口号、应用类型等,而无法根据信息本身的敏感标记获得其安全属性并提供更高层次的保护。
三、发明内容
本发明的目的是将主机也即单机环境下的强制访问控制技术MAC(Mandatory Access Control)扩展到网络级,提出能够防止敏感信息在网络不同节点之间流动所造成的信息泄漏,并对信息进行机密性保护的方法。
为了实现上述目的,本发明所述的基于安全操作系统的网络强制访问控制的方法,其实施步骤包括:
1、修改安全操作系统原有TCP/IP(Transmission ControlProtocol/Internet Protocol)协议栈,在IP数据包中利用扩展信息加上MAC(Mandatory Access Control)头,MAC头里携带该客体的敏感标签信息;
2、修改IP层的发送函数,在发送的数据到达网络设备之前调用IPMac_Output(IP层的MAC信息发送)函数,以获取当前发送数据的用户的安全属性,根据获取的安全属性生成MAC头,并将MAC头加入数据包,而后调用TCP/IP协议的发送函数完成发送新数据包的任务;
3、修改IP层接收函数,在其处理流程的开始阶段调用IPMac_Input(IP层的MAC信息接受)函数,保证网络层一旦接收到数据包,首先经过分析处理,如果发现接收到的数据包不携带MAC头,则说明该数据包不来自安全主机,此时对接收到的客体赋予默认的最低等级,如果携带MAC头则对分析IP包头的扩展字段得出该客体的敏感标签,并使之与该客体相关联,至此网络级的敏感标签扩展结束。后继的访问控制判断递交有操作系统内核按照基于主机的访问控制策略实施。
本发明是利用Bell Lapadula模型,即BLP模型,解决信息在网络环境中的机密性问题。而信息的完整性以及可用性问题则不属于本发明的范畴,但考虑到BLP模型和Biba模型的相似性,因此通过对本发明成果的稍作变动,即可较容易地为网络信息提供完整性保护。
本发明的显著优点是:能保证在网络环境下客体的敏感信息不被泄漏;且在网络中传送的字节数少,易于控制和实现;工作模式完全在操作系统内核,运行效率高。
下面将结合附图对本发明进行详细说明。
四、附图说明
图1是本发明网络访问控制系统体系结构图。
图2是本发明网络传输中携带敏感标签的数据包。
图3是本发明修改后的SoftOS网络协议栈。
五、具体实施方式
图1所示是本发明的网络级访问控制系统体系结构的逻辑示意图。从图中可以看出该系统由安全策略服务器PS(Policy Server)、策略管理工具和策略代理进程组成。系统除了图中的网络TCB部分,其余在SoftOS(南京大学计算机系和江苏南大苏富特软件股份有限公司联合研制的基于Linux的并达到B1级的安全操作系统)中均已实现。
安全策略服务器PS用于保存系统中定义的所有(半)静态安全策略,它基于OpenLDAP服务器实现,采用目录树结构来组织系统中的所有安全策略;策略管理工具也是一个基于OpenLDAP客户端软件包实现的、供系统中的安全管理员使用的可视化策略编辑工具,其目的是为管理员管理全局的安全策略提供服务;策略代理进程主要功能是从PS获取与本主机相关的安全策略,将其翻译为本地系统可识别的格式后,通过本地系统提供的命令接口传送至操作系统内核的TCB中。
1、网络协议栈的修改。在实现本发明方法时,我们在安全操作系统SoftOS的MAC模块中加入新的规定——客体在网络上移动时,必须携带其敏感标签。这里借鉴了IPSec的处理方法,对系统原有TCP/IP协议栈进行了修改,在IP数据包头加上新的MAC头以携带该客体的敏感标签信息,如图2所示。添加MAC信息的空间利用的是IP数据包中的可选项IPOption,它是可以包含最大40字节的Option,RFC 791和RFC 1122定义了IPOption相关的内容及处理规则,并规定所有的路由器和主机都要处理IPOption。
网络中传输的MAC敏感标记为二元组<LEVEL,CATEGORY>,意义与主机的强制访问控制标记一致,即LEVEL代表客体的安全级别,CATEGORY代表客体所属的域。
网络强制访问控制的实现工作主要在于对网络协议栈的修改,包括敏感标签的传输机制和相应的MAC判断机制,如图3所示。敏感标签的传输利用原有TCP/IP协议栈函数处理,只是在发送和接受函数处按照2、3所述的步骤修改。MAC规则的判断逻辑依据主机的强制访问控制规则进行。
2、发送流程。修改IP层的发送函数,在发送的数据达到网络设备之前调用IPMac_Output函数,完成如下工作:获取当前发送数据的用户的安全属性,根据这个安全属性生产MAC头,将MAC头加入数据包,最后发送加工后的新数据包。
3、接受流程。修改IP层接收函数,在其处理流程的开始阶段调用IPMac_Input函数,保证网络层一旦接收到数据包,首先经过分析处理。如果发现接收到的数据包不携带MAC头,则说明该数据包不来自安装SoftOS的安全主机,此时对接收到的客体赋予默认的最低等级;如果携带MAC头则对其进行分析得出该客体的敏感标签,并使之与该客体相关联。
以上所有的修改对应用程序本身而言都是透明的,利用的是Linux2.4内核中网络协议栈的NetFilter机制,其效果与基于主机的强制访问控制相当。本方法实质就是将主机的访问控制扩展到网络中,以保证网络环境下信息的机密性。
Claims (3)
- 一种基于安全控制系统的网络强制访问控制的方法,其实施步骤包括:1、修改安全操作系统原有TCP/IP协议栈,在IP数据包中利用扩展信息加上MAC头,MAC头里携带该客体的敏感标签信息;
- 2、修改IP层的发送函数,在发送的数据到达网络设备之前调用IPMac_Output函数,以获取当前发送数据的用户的安全属性,根据获取的安全属性生成MAC头,并将MAC头加入数据包,而后调用TCP/IP协议的发送函数完成发送新数据包的任务;
- 3、修改IP层接收函数,在其处理流程的开始阶段调用IPMac_Input函数,保证网络层一旦接收到数据包,首先经过分析处理,如果发现接收到的数据包不携带MAC头,则说明该数据包不来自安全主机,此时对接收到的客体赋予默认的最低等级,如果携带MAC头则对分析IP包头的扩展字段得出该客体的敏感标签,并使之与该客体相关联,至此网络级的敏感标签扩展结束,后继的访问控制判断递交有操作系统内核按照基于主机的访问控制策略实施。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200410065711.3A CN1606307A (zh) | 2004-11-15 | 2004-11-15 | 基于安全操作系统的网络强制访问控制的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200410065711.3A CN1606307A (zh) | 2004-11-15 | 2004-11-15 | 基于安全操作系统的网络强制访问控制的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1606307A true CN1606307A (zh) | 2005-04-13 |
Family
ID=34764772
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200410065711.3A Pending CN1606307A (zh) | 2004-11-15 | 2004-11-15 | 基于安全操作系统的网络强制访问控制的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1606307A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739665A (zh) * | 2012-06-25 | 2012-10-17 | 成都卫士通信息产业股份有限公司 | 一种实现网络虚拟安全域的方法 |
| CN104506563A (zh) * | 2015-01-20 | 2015-04-08 | 宇龙计算机通信科技(深圳)有限公司 | 进程的访问控制方法、访问控制系统和终端 |
| CN107493262A (zh) * | 2016-06-13 | 2017-12-19 | 罗伯特·博世有限公司 | 用于传输数据的方法和装置 |
| CN108322432A (zh) * | 2017-12-14 | 2018-07-24 | 中国科学院信息工程研究所 | 一种基于树形组织模型的机构应用权限管理方法及服务系统 |
| CN111913875A (zh) * | 2014-10-24 | 2020-11-10 | 谷歌有限责任公司 | 用于基于软件执行跟踪自动加标签的方法和系统 |
-
2004
- 2004-11-15 CN CN200410065711.3A patent/CN1606307A/zh active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739665A (zh) * | 2012-06-25 | 2012-10-17 | 成都卫士通信息产业股份有限公司 | 一种实现网络虚拟安全域的方法 |
| CN102739665B (zh) * | 2012-06-25 | 2015-03-11 | 成都卫士通信息产业股份有限公司 | 一种实现网络虚拟安全域的方法 |
| CN111913875A (zh) * | 2014-10-24 | 2020-11-10 | 谷歌有限责任公司 | 用于基于软件执行跟踪自动加标签的方法和系统 |
| CN111913875B (zh) * | 2014-10-24 | 2024-04-26 | 谷歌有限责任公司 | 用于基于软件执行跟踪自动加标签的方法和系统 |
| CN104506563A (zh) * | 2015-01-20 | 2015-04-08 | 宇龙计算机通信科技(深圳)有限公司 | 进程的访问控制方法、访问控制系统和终端 |
| CN104506563B (zh) * | 2015-01-20 | 2018-09-07 | 宇龙计算机通信科技(深圳)有限公司 | 进程的访问控制方法、访问控制系统和终端 |
| CN107493262A (zh) * | 2016-06-13 | 2017-12-19 | 罗伯特·博世有限公司 | 用于传输数据的方法和装置 |
| CN107493262B (zh) * | 2016-06-13 | 2022-01-21 | 罗伯特·博世有限公司 | 用于传输数据的方法和装置 |
| CN108322432A (zh) * | 2017-12-14 | 2018-07-24 | 中国科学院信息工程研究所 | 一种基于树形组织模型的机构应用权限管理方法及服务系统 |
| CN108322432B (zh) * | 2017-12-14 | 2020-05-22 | 中国科学院信息工程研究所 | 一种基于树形组织模型的机构应用权限管理方法及服务系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11695731B2 (en) | Distributed identity-based firewalls | |
| CN110168499B (zh) | 在主机上执行上下文丰富的基于属性的服务 | |
| US11743289B2 (en) | Managing transmissions of virtual machines using a network interface controller | |
| WO2021017279A1 (zh) | 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质 | |
| US8004998B2 (en) | Capture and regeneration of a network data using a virtual software switch | |
| Tupakula et al. | Intrusion detection techniques for infrastructure as a service cloud | |
| JP2017532649A (ja) | 機密情報処理方法、装置、及び、サーバ、ならびに、セキュリティ決定システム | |
| CN104378387A (zh) | 一种虚拟化平台下保护信息安全的方法 | |
| JP7045050B2 (ja) | 通信監視システム及び通信監視方法 | |
| US20130003582A1 (en) | Network splitting device, system and method using virtual environments | |
| US20090119745A1 (en) | System and method for preventing private information from leaking out through access context analysis in personal mobile terminal | |
| CN108809975B (zh) | 一种内外网隔离系统及实现内外网隔离的方法 | |
| CN112738200B (zh) | 一种基于封闭式公网系统的便捷运维工具及方法 | |
| KR101076683B1 (ko) | 호스트 기반의 망분리 장치 및 방법 | |
| CN110226155A (zh) | 在主机上收集和处理上下文属性 | |
| CN104702571A (zh) | 一种Xen虚拟化环境下网络数据的入侵检测方法 | |
| CN1606307A (zh) | 基于安全操作系统的网络强制访问控制的方法 | |
| CN1897571B (zh) | 处理发往服务器系统的输入数据的方法和缓冲区溢出代理 | |
| CN103309722A (zh) | 一种云计算系统及其应用访问方法 | |
| CN105991789A (zh) | 一种虚拟机端口映射的实现方法、服务器及系统 | |
| CN106528267B (zh) | 基于Xen特权域的网络通信监控系统及方法 | |
| JP6569741B2 (ja) | 通信装置、システム、方法、及びプログラム | |
| CN105701400A (zh) | 一种虚拟机平台的安全控制方法及装置 | |
| CN113297567A (zh) | 网络过滤方法、装置、设备和系统 | |
| KR20210115873A (ko) | 클라우드 서비스 보안 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |