专利名称:检查项可定制的网络访问控制方法
技术领域:
本发明涉及一种信息安全技术领域的方法,具体是一种检査项可定制的网络 访问控制方法。
背景技术:
随着网络互联技术的应用和发展,网络与信息安全问题日益突出,网络的安 全性越来越难以得到保证。针对目前出现的网络安全威胁,多种网络安全系统应 运而生,如防火墙、入侵检测系统以及网络漏洞扫描系统等。在目前已有的各种 网络安全技术中,网络访问控制技术是比较常用的网络安全技术之一,网络防火 墙以及多种形式的网络连接控制设备的核心技术就是网络访问控制技术。
网络访问控制技术的基本原理是在网络出/入口 (网关等)处,截获或监视 进出内部网络的报文,按照一定的规则,对网络报文的相关字段进行检查,对符 合检査条件的网络报文给予放行,而拒绝不满足检查条件的报文通过。
报文检査规则的对象和内容是网络访问控制的核心问题之一,具体来说包含 三个层次的问题对哪些网络协议的报文进行检查,对指定协议报文中的哪些字 段进行检査以及对指定字段进行哪种类型的检查。如果我们将针对指定协议的指 定字段进行的检查称为一个检査项,如何确定检查项以及如何实现相应的检査是 网络访问控制实施的关键问题之一。
对一个既定的网络访问控制系统而言,一方面网络安全需求的改变会导致所 要求的检査项发生改变,另一方面该网络访问控制系统的应用环境发生改变也可 能导致所要求的检査项发生改变。因此实现一个能够按需求定制检査项的网络访 问控制系统就显得非常重要。
经对现有技术文献资料的检索发现,Gilbert Held在"Cisco Security Architecture" (Cisco安全体系结构,机械工业出版社,1999.10) —书中提出了 Access Control List,ACL技术(访问控制列表技术),该技术限定了检查项为协议 类型、源地址、目的地址、源端口和目的端口。目前已有的网络访问控制系统(如
4防火墙、安全网关等)在实现网络访问控制模块时常采用ACL技术,因而该类网
络访问控制系统所能支持的检査项固定为协议类型、源地址、目的地址、源端口
和目的端口,在系统维护和使用灵活性上存在一定的不足,具体表现在系统在 设计和实现之后,所能支持的检查项就固定下来, 一旦应用场景或网络需求发生 改变,要对另外的网络协议或者原有协议的其它字段进行检查和控制时,即需要 增加新的检査项,只能以重新开发系统的方式来实现,而无法通过配置原有系统 的方式来实现。
发明内容
本发明针对现有技术的不足和缺陷,提出一种检査项可定制的网络访问控制 方法,以增强目前网络访问控制系统的使用灵活性。本发明利用协议的格式定义, 使得网络访问控制系统在进行网络访问控制时,基于所描述的检査项进行检查和 控制,在检査项的确定上具有好的灵活性和扩展性,能有效解决目前网络访问控 制系统不能扩展新检査项的不足。
本发明是通过以下技术方案实现的,本发明包括以下步骤 第一步、检查项定制首先通过检査项定制界面选取待配置检査项的特征要 素,然后由检査项生成模块生成符合检査项特征描述语言格式规范的检査项脚 本;
所述的待配置检査项是指在特定的网络访问控制中对网络报文进行检査和 控制的若干特征要素。
所述的检査项定制界面是指以计算机软件的形式描述出特定的网络访问控 制中的特征要素,实现检査项定制的人机交互界面。
所述的检査项特征描述语言是指描述和定义待配置检查项的特征要素的形 式化语言。
所述的待配置检査项的特征要素包括字段特征要素和协议特征要素两部分, 其中字段特征要素包括检查项名称、对应的待检査的协议字段名、待检查字段 在报文中位置、待检査字段的宽度、待检査字段的数据类型、待检查字段内容的 表示形式、待检査字段的取值范围和待检査字段所支持的运算类型;协议特征要 素包括协议层次、协议号、协议字段数量和协议头长度。
所述的检查项生成模块通过检査项定制界面,将所配置检查项的特征要素按照检査项特征描述语言的格式规范生成检査项脚本。
所述的检査项脚本是指描述待配置检査项的特征要素的文本文件,其格式 和内容符合检查项特征描述语言规范。
第二步、网络访问控制规则的生成通过访问控制规则配置界面,采用与或 方式进行逻辑组合,配置相应的网络访问控制规则并保存为访问控制规则库;
所述的访问控制规则库是指以文件或数据库形式存在的记录结合,每条记 录对应一条网络访问控制规则,该网络访问控制规则包括检査项、对应检查项 的检査结果逻辑计算方式和访问控制决策结果。
第三步、网络访问控制的实施当网络访问控制系统收到网络报文后,根据 第一步中生成的检查项脚本进行协议字段分析,以确定网络报文所涉及的检査 项,并从第二步中得到的访问控制规则库中提取出网络访问控制规则,最终实现 网络报文的检查和控制。
所述的网络报文的检查和控制是指解析网络访问控制规则,分析出该规则 所涉及的检査项,并获得这些检査项所对应的协议字段特征,依据此逐一对截获 报文中的相应字段进行检查,根据检査结果对该报文实施相应的网络访问控制。
基于本发明实现的网络访问控制系统在检查项支持方面具有灵活性特征,如
果该系统在使用过程中,由于安全需求的改变(如禁止新的网络服务)等原因需 要针对新的协议类型以及新的协议字段进行安全检查和访问控制,并不需要重新 开发或二次开发该系统,只需进行相应的配置,该系统就能支持新需要的安全检 査项目。这种新检查项支持方式既节约了网络访问控制系统的维护和升级成本, 又能对用户的新安全检查需求做出快速的响应。此外,基于本发明开发的网络访 问控制系统能够应用于安全检査项目各不相同的多个行业和应用领域,扩大了系 统的使用和销售范围,能获得更好的经济效益。
图1本发明方法示意图。
具体实施例方式
下面结合附图对本发明的实施例作详细说明。本实施例以本发明的技术方案 为前提进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范 围不限于下述的实施例。如图l所示,检査项可定制的网络访问控制系统实施包括三方面的工作检 査项特征定义实施(即检査项定制实施),基于定制检査项的网络访问控制规则 配置实施(即访问控制规则配置实施),基于检查项特征定义和网络访问控制规 则的报文检査和控制实施(即网络访问控制实施)。
(1) 检査项定制
检査项定制实施部分以Linux操作系统中可执行程序的形式存在,以TCP/IP 系列协议的字段为检査对象定制检查项,该程序完成的具体功能包含
Z提供检査项特征配置界面,该界面列出检査项所有的特征要素,以引导 安全管理员配置出检查项的各类特征,从而完成检査项的定制。
Z将安全管理员配置出的检査项按照检査项特征描述语言约定的格式,保 存到一个文本文件中,该文件即为检査项脚本。
检查项定制实施程序的输入是安全管理员借助于检査项特征配置界面进行 检查项特征配置的各类操作。
检查项定制实施程序的输出是符合检査项特征描述语言约定格式的检查项 脚本文件,其中描述了所有定制检査项的各种特征。
(2) 访问控制规则配置实施 访问控制规则配置实施部分对应一个提供人机交互界面的配置程序,该程序
运行在Linux操作系统的平台上,功能包括
Z提供访问控制规则配置界面,以便于安全管理员通过组合所支持的检査
项,配置相应的网络访问控制规则。 Z将安全管理员配置出的网络访问控制规则按照一定格式保存在访问控
制规则库中。
访问控制规则配置实施程序的输入是1)检查项脚本,从中获知所支持的 检查项;2)安全管理员借助于访问控制规则配置界面进行规则配置的相关操作。
访问控制规则配置实施程序的输出是访问控制规则库,包含安全管理员配 置出的所有网络访问控制规则。
(3) 网络访问控制实施
网络访问控制实施部分对应一个独立的报文检査和控制程序,该程序部署在
网络接入处(网关等),以Linux系统作为操作系统运行平台。该程序的功能有Z通过Netfilter机制,截获出入内部网络的报文。 Z检査和判定该报文是否符合网络访问控制规则,具体为首先判定出该 报文适用的网络访问控制规则,进一步解析出该规则所涉及到的检查 项;根据检査项的协议字段特征,从报文的相应字段中获得待检査对象 的具体值,然后依据网络访问控制规则对待检查对象进行检査。 Z依据检查结果对网络报文进行控制,如果符合网络访问控制规则,放行
该报文,否则拒绝该报文通过。 本实施例中的网络访问控制系统实现了本发明希望得到的检查项灵活支持, 具体表现为(1)检查对象不局限于特定的字段类型,只要是TCP/IP协议簇中 协议字段就能进行相应的安全检査,检査方式覆盖目前常见的运算类型;(2)系 统在使用过程中,无论是新协议的出现还是安全需求的改变导致需对新的协议字 段进行安全检查,都能完成相应的检査项定制和相应的检査控制;(3)基于图形 化的配置交互,就能立即实现新检査项的定制和相应的检査控制,无需进行二次 开发。
该实施例表明,基于该发明所实现的网络访问控制系统在应对检査项新增所 带来的功能变化方面具有很好的效果,不仅能够节减二次开发等带来的维护费 用,又能即刻实现对新检查项的支持,从而削减相应的时间成本。
权利要求
1、一种检查项可定制的网络访问控制方法,其特征在于,包括以下步骤第一步、检查项定制首先通过检查项定制界面选取待配置检查项的特征要素,然后由检查项生成模块生成符合检查项特征描述语言规范的检查项脚本;第二步、网络访问控制规则的生成通过访问控制规则配置界面,采用与或方式进行逻辑组合,配置相应的网络访问控制规则并保存为访问控制规则库;第三步、网络访问控制的实施当网络访问控制系统收到网络报文后,根据第一步中生成的检查项脚本进行协议字段分析以确定网络报文所涉及的检查项,并从第二步中得到的访问控制规则库中提取出网络访问控制规则,最终实现网络报文的检查和控制。
2、 根据权利要求1所述的检查项可定制的网络访问控制方法,其特征是, 第一步中所述的待配置检查项是指在特定的网络访问控制中对网络报文进行检 查和控制的若干特征要素。
3、 根据权利要求1所述的检查项可定制的网络访问控制方法,其特征是, 第一步中所述的检查项定制界面是指以计算机软件的形式描述出特定的网络访 问控制中的特征要素,实现检查项定制的人机交互界面。
4、 根据权利要求l所述的检查项可定制的网络访问控制方法,其特征是,第一步中所述的检査项特征描述语言是指描述和定义待配置检査项的特征要素 的形式化语言。
5、 根据权利要求1或2或4所述的检査项可定制的网络访问控制方法,其 特征是,所述的待配置检査项的特征要素包括字段特征要素和协议特征要素两部 分,其中字段特征要素包括检査项名称、对应的待检査的协议字段名、待检查字段在报文中位置、待检査字段的宽度、待检查字段的数据类型、待检查字段内容的表示形式、待检查字段的取值范围和待检査字段所支持的运算类型;协议特征要素包括协议层次、协议号、协议字段数量和协议头长度。
6、 根据权利要求l所述的检査项可定制的网络访问控制方法,其特征是,第一步中所述的检查项生成模块通过检査项定制界面,将所配置检查项的特征要 素按照检查项特征描述语言规范生成检査项脚本。
7、 根据权利要求1或6所述的检查项可定制的网络访问控制方法,其特征 是,所述的检査项脚本是指描述待配置检查项的特征要素的文本文件,其格式和 内容符合检査项特征描述语言规范。
8、 根据权利要求1所述的检査项可定制的网络访问控制方法,其特征是, 第二步中所述的访问控制规则库是指以文件或数据库形式存在的记录结合,每 条记录对应一条网络访问控制规则,该网络访问控制规则包括检査项、对应检 査项的检査结果逻辑计算方式和访问控制决策结果。
9、 根据权利要求1所述的检査项可定制的网络访问控制方法,其特征是, 第三步中所述的网络报文的检査和控制是指解析网络访问控制规则,分析出该 规则所涉及的检査项,并获得这些检查项所对应的协议字段特征,依据此逐一对 截获报文中的相应字段进行检査,根据检査结果对该报文实施相应的网络访问控 制。
全文摘要
一种信息安全技术领域的检查项可定制的网络访问控制方法,包括检查项定制,生成检查项脚本;生成网络访问控制规则;实施网络访问控制。本发明通过设计一套检查项特征描述语言,进而实现检查项的定制,检查项的定制仅通过一般性的文本配置完成。基于本发明实现的网络访问控制系统,在因安全需求改变等原因需要针对新的协议字段进行检查控制时,并不需要重新开发或二次开发该系统,只需进行相应的配置,该系统就能支持对该新协议字段的检查控制。这种新检查项支持方式既节约了网络访问控制系统的维护和升级成本,又能对用户的新安全检查需求做出快速的响应。
文档编号H04L12/24GK101562610SQ20091005213
公开日2009年10月21日 申请日期2009年5月27日 优先权日2009年5月27日
发明者亮 姚, 姚立红, 理 潘, 质 薛, 訾小超 申请人:上海交通大学