一種對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行強制訪問控制的方法
【專利摘要】本發(fā)明涉及計算機信息安全【技術(shù)領(lǐng)域】����,特別涉及一種對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行強制訪問控制的方法。其通過由操作系統(tǒng)內(nèi)核擴(kuò)展模塊的對本操作系統(tǒng)將發(fā)送到網(wǎng)絡(luò)上的IP數(shù)據(jù)包的包頭的IPOPTIONS字段��,添加CIPSO安全標(biāo)記信息����;在該數(shù)據(jù)包接收方由操作系統(tǒng)內(nèi)核擴(kuò)展模塊對帶有CIPSO標(biāo)記的IP數(shù)據(jù)包根據(jù)本機預(yù)先配置的用戶CIPSO標(biāo)記策略,進(jìn)行強制訪問控制.本方法不需要重新編譯整個內(nèi)核�����,及定制或?qū)S玫牟僮飨到y(tǒng)���,只需使用內(nèi)核模塊機制在現(xiàn)有操作系統(tǒng)上添加功能擴(kuò)展即可實現(xiàn)�����,操作容易實現(xiàn)���,且能夠有效提高網(wǎng)絡(luò)安全性,達(dá)到信息安全等級要求�。
【專利說明】一種對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行強制訪問控制的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機信息安全【技術(shù)領(lǐng)域】,特別涉及一種對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行強制訪問控制的方法�����。
【背景技術(shù)】
[0002]訪問控制是計算機系統(tǒng)中最基礎(chǔ)和最重要的安全機制�����,是保護(hù)計算機系統(tǒng)中數(shù)據(jù)安全的重要手段之一�。訪問控制分為自主訪問控制和強制訪問控制。在《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》(GB / T 20272 — 2006)中要求第三級(安全標(biāo)記保護(hù)級)及以上級別的操作系統(tǒng)�,必須擁有基于安全標(biāo)記(標(biāo)簽,以下與標(biāo)記通用)強制訪問控制機制����。美國國防部發(fā)表的《可信計算機系統(tǒng)評估準(zhǔn)則》(TCSEC)中對B1級及以上級別的系統(tǒng)有同樣的要求。
[0003]信息安全等級保護(hù)是我國經(jīng)濟(jì)建設(shè)和信息化發(fā)展的一項基本政策�。安全標(biāo)記保護(hù)級(三級)信息系統(tǒng)的建設(shè)在等級保護(hù)的研究和實施工作中占有重要地位����,區(qū)域邊界安全防護(hù)作為三級信息系統(tǒng)建設(shè)中的一項關(guān)鍵技術(shù)���,是當(dāng)前信息系統(tǒng)安全整改中的重要課題��。但當(dāng)前對區(qū)域邊界的研究側(cè)重于應(yīng)用區(qū)域邊界防護(hù)����,不能有效滿足三級信息系統(tǒng)對區(qū)域邊界的安全需求��,特別是對帶有安全標(biāo)記的網(wǎng)絡(luò)數(shù)據(jù)流的訪問控制�。《COMMERCIAL IPSECURITY OPTION (CIPSO 2.2)》正是為此而制訂���,盡管一直沒有成為正式的RFC協(xié)議���,但它已經(jīng)成為安全操作系統(tǒng)廠商實現(xiàn)強制訪問控制從操作系統(tǒng)主機延伸到網(wǎng)絡(luò)數(shù)據(jù)包的事實標(biāo)準(zhǔn),它使得由實現(xiàn)安全標(biāo)記保護(hù)級的安全操作系統(tǒng)構(gòu)成的各個安全孤島由于實現(xiàn)《COMMERCIAL IP SECURITY OPTION (CIPSO 2.2)》協(xié)議而真正成為一個實現(xiàn)安全標(biāo)記保護(hù)級的安全標(biāo)記網(wǎng)絡(luò)����。
[0004]CIPS0安全標(biāo)記信息,是指基于CIPS0 (混沌免疫粒子群優(yōu)化)算法的安全標(biāo)記信
肩����、Ο
【發(fā)明內(nèi)容】
[0005]為了解決現(xiàn)有技術(shù)的問題����,本發(fā)明提供了一種對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行強制訪問控制的方法���,其通過由操作系統(tǒng)內(nèi)核擴(kuò)展模塊的對本操作系統(tǒng)將發(fā)送到網(wǎng)絡(luò)上的IP數(shù)據(jù)包的包頭的IP OPTIONS字段,添加CIPS0安全標(biāo)記信息�����;在該數(shù)據(jù)包接收方由操作系統(tǒng)內(nèi)核擴(kuò)展模塊對帶有CIPS0標(biāo)記的IP數(shù)據(jù)包根據(jù)本機預(yù)先配置的用戶CIPS0標(biāo)記策略�����,進(jìn)行強制訪問控制����,該強制訪問控制基于BLP (機密性保護(hù))及BIBA (完整性保護(hù))強制訪問控制理論,該方法不需要重新編譯整個內(nèi)核�����,及定制或?qū)S玫牟僮飨到y(tǒng)�,只需使用內(nèi)核模塊機制在現(xiàn)有操作系統(tǒng)上添加功能擴(kuò)展即可實現(xiàn)��,本方法僅限于IPv4的TCP及UDP通信�����。
[0006]本發(fā)明所采用的技術(shù)方案如下:
一種對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行強制訪問控制的方法�����,是通過為操作系統(tǒng)的內(nèi)核擴(kuò)展模塊對將要發(fā)送到網(wǎng)絡(luò)上的IP數(shù)據(jù)包的包頭的IP OPTIONS字段添加CIPS0安全標(biāo)記信息��,并在該數(shù)據(jù)包接收方由操作系統(tǒng)內(nèi)核擴(kuò)展模塊對帶有CIPS0安全標(biāo)記信息的IP數(shù)據(jù)包根據(jù)預(yù)先配置的用戶CIPSO標(biāo)記策略���,進(jìn)行強制訪問控制的方法,操作系統(tǒng)啟用內(nèi)核擴(kuò)展標(biāo)記模塊后����,當(dāng)操作系統(tǒng)內(nèi)的用戶進(jìn)程與外部其它系統(tǒng)進(jìn)行IPv4網(wǎng)絡(luò)通信時,會進(jìn)行內(nèi)核擴(kuò)展標(biāo)記模塊的CIPS0標(biāo)記設(shè)置及CIPS0標(biāo)記檢查過程��。
[0007]CIPS0標(biāo)記設(shè)置的過程具體包括以下步驟:
A��、當(dāng)用戶進(jìn)程發(fā)送的數(shù)據(jù)包經(jīng)過操作系統(tǒng)擴(kuò)展標(biāo)記模塊時�,操作系統(tǒng)擴(kuò)展標(biāo)記模塊攔截該數(shù)據(jù)包,獲取發(fā)送該數(shù)據(jù)包的進(jìn)程所屬用戶的用戶身份證明WD ����;
B�、操作系統(tǒng)擴(kuò)展標(biāo)記模塊根據(jù)所獲取的用戶身份證明WD��,獲取用戶的CIPS0標(biāo)記策
略�;
C、操作系統(tǒng)擴(kuò)展標(biāo)記模塊根據(jù)獲取的用戶CIPS0標(biāo)記策略��,在數(shù)據(jù)包中設(shè)置用戶CIPS0標(biāo)記���;
D、在完成CIPS0標(biāo)記設(shè)置后��,記錄相關(guān)日志�����。
[0008]CIPS0標(biāo)記檢查的過程具體包括以下步驟:
A1����、當(dāng)要被用戶進(jìn)程接收的數(shù)據(jù)包進(jìn)入操作系統(tǒng)擴(kuò)展標(biāo)記模塊后,操作系統(tǒng)擴(kuò)展標(biāo)記模塊獲取將要接收該數(shù)據(jù)包的進(jìn)程所屬用戶的用戶身份證明UID �;
B1、在獲取數(shù)據(jù)包接收者用戶身份證明UID后�,根據(jù)UID獲取用戶CIPS0標(biāo)記策略����;
C1���、在獲取到對應(yīng)的用戶CIPS0標(biāo)記策略后����,開始把該數(shù)據(jù)包攜帶的CIPS0標(biāo)記與步驟B1中獲取的用戶策略中的CIPS0標(biāo)記進(jìn)行匹配檢查����,根據(jù)檢查結(jié)果進(jìn)行裁決,是放行該數(shù)據(jù)包���,還是拋棄該數(shù)據(jù)包�,如果拋棄該數(shù)據(jù)包���,則記錄違規(guī)日志到日志設(shè)備����。
[0009]本發(fā)明提供的技術(shù)方案帶來的有益效果是:
本發(fā)明的一種對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行強制訪問控制的方法�����,在遵循《COMMERCIAL IPSECURITY OPTION (CIPSO 2.2)》的網(wǎng)絡(luò)通信環(huán)境中,所有通信主機發(fā)送和接收的IPv4數(shù)據(jù)包均攜帶用戶預(yù)先定義好的CIPS0標(biāo)記�����,即每一個數(shù)據(jù)包的CIPS0標(biāo)記都與發(fā)送此數(shù)據(jù)包的某操作系統(tǒng)用戶進(jìn)程的CIPS0標(biāo)記相一致�,并可根據(jù)用戶CIPS0策略的動態(tài)更新而隨時應(yīng)用新的策略。
[0010]通過由操作系統(tǒng)內(nèi)核擴(kuò)展模塊LABEL對本操作系統(tǒng)將發(fā)送到網(wǎng)絡(luò)上的IPv4包的包頭的IP OPTIONS字段�����,添加CIPS0安全標(biāo)記信息�����;在該數(shù)據(jù)包接收方由操作系統(tǒng)內(nèi)核擴(kuò)展模塊LABEL對帶有CIPS0標(biāo)記的IPv4數(shù)據(jù)包�����,根據(jù)本機預(yù)先配置的用戶CIPS0標(biāo)記策略���,進(jìn)行強制訪問控制,并使用虛擬連接信息表加快查找用戶標(biāo)記策略的速度���。
[0011]本方法不需要重新編譯整個內(nèi)核���,及定制或?qū)S玫牟僮飨到y(tǒng)����,只需使用內(nèi)核模塊機制在現(xiàn)有操作系統(tǒng)上添加功能擴(kuò)展即可實現(xiàn)����,操作容易實現(xiàn),且能夠有效提高網(wǎng)絡(luò)安全性�����,達(dá)到信息安全等級要求�。
【專利附圖】
【附圖說明】
[0012]圖1為本發(fā)明的一種對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行強制訪問控制的方法中,對被發(fā)送的數(shù)據(jù)包中設(shè)置CIPS0標(biāo)記的流程圖�;
圖2為本發(fā)明的一種對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行強制訪問控制的方法中,對被發(fā)送的數(shù)據(jù)包中檢查CIPS0標(biāo)記的流程圖����。
【具體實施方式】[0013]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚�,下面將結(jié)合附圖對本發(fā)明實施方式作進(jìn)一步地詳細(xì)描述。
[0014]實施例一
本發(fā)明涉及一種對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行強制訪問控制的方法�,在遵循《COMMERCIAL IPSECURITY OPTION (CIPSO 2.2)》的網(wǎng)絡(luò)通信環(huán)境中�����,所有通過IPv4 (TCP/UDP)進(jìn)行的通信數(shù)據(jù)包都要帶有CIPS0標(biāo)記����,各通信主機都要根據(jù)自己的操作系統(tǒng)上配置的用戶標(biāo)記策略����,對進(jìn)出本操作系統(tǒng)的IPv4(TCP/UDP)數(shù)據(jù)包進(jìn)行標(biāo)記設(shè)置及檢查檢查,以使強制訪問控制這種安全機制能從單一操作系統(tǒng)上延伸到網(wǎng)絡(luò)上����。
[0015]本發(fā)明的工作過程包括CIPS0標(biāo)記設(shè)置過程和CIPS0標(biāo)記檢查過程:
在發(fā)送數(shù)據(jù)包過程中,CIPS0標(biāo)記設(shè)置過程為:
a.當(dāng)用戶進(jìn)程發(fā)送的數(shù)據(jù)包經(jīng)過操作系統(tǒng)擴(kuò)展標(biāo)記模塊LABEL時����,LABEL攔截該數(shù)據(jù)包,進(jìn)入步驟1����,即獲取發(fā)送該數(shù)據(jù)包的進(jìn)程所屬用戶的WD ���;
b.LABEL模塊根據(jù)步驟1所獲取的用戶WD����,在步驟2處獲取用戶CIPS0標(biāo)記策略;
c.LABEL模塊根據(jù)步驟2獲取的用戶CIPS0標(biāo)記策略���,在步驟3中�����,在數(shù)據(jù)包中設(shè)置用戶CIPS0標(biāo)記�����;
d.在完成CIPSO標(biāo)記設(shè)置后,記錄相關(guān)日志�����,如圖1所不�����。
[0016]在接收數(shù)據(jù)包過程中�,CIPS0標(biāo)記檢查過程為:
a.當(dāng)要被用戶進(jìn)程接收的數(shù)據(jù)包進(jìn)入操作系統(tǒng)擴(kuò)展標(biāo)記模塊LABEL后����,LABEL進(jìn)入步驟1�����,獲取將要接收該數(shù)據(jù)包的進(jìn)程所屬用戶的WD ����;
b.在獲取數(shù)據(jù)包接收者用戶UID后�,進(jìn)入步驟2,根據(jù)UID獲取用戶CIPS0標(biāo)記策略�;
c.在獲取到對應(yīng)的用戶CIPS0標(biāo)記策略后,進(jìn)行步驟3��,開始把該數(shù)據(jù)包攜帶的CIPS0標(biāo)記與步驟2獲取的用戶策略中的CIPS0標(biāo)記進(jìn)行匹配檢查�����,根據(jù)檢查結(jié)果進(jìn)行裁決���,是放行該數(shù)據(jù)包����,還是拋棄該數(shù)據(jù)包����,如果是后者,則記錄違規(guī)日志到日志設(shè)備��,如圖2所示���。
[0017]以上所述僅為本發(fā)明的較佳實施例���,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)���,所作的任何修改�、等同替換�、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��。
【權(quán)利要求】
1.一種對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行強制訪問控制的方法���,是通過為操作系統(tǒng)的內(nèi)核擴(kuò)展模塊對將要發(fā)送到網(wǎng)絡(luò)上的IP數(shù)據(jù)包的包頭的IP OPTIONS字段添加CIPS0安全標(biāo)記信息�,并在該數(shù)據(jù)包接收方由操作系統(tǒng)內(nèi)核擴(kuò)展模塊對帶有CIPS0安全標(biāo)記信息的IP數(shù)據(jù)包根據(jù)預(yù)先配置的用戶CIPS0標(biāo)記策略��,進(jìn)行強制訪問控制的方法���,操作系統(tǒng)啟用內(nèi)核擴(kuò)展標(biāo)記模塊后�����,當(dāng)操作系統(tǒng)內(nèi)的用戶進(jìn)程與外部其它系統(tǒng)進(jìn)行IPv4網(wǎng)絡(luò)通信時�,會進(jìn)行內(nèi)核擴(kuò)展標(biāo)記模塊的CIPS0標(biāo)記設(shè)置及CIPS0標(biāo)記檢查過程。
2.根據(jù)權(quán)利要求1所述的一種對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行強制訪問控制的方法���,其特征在于���,所述的CIPS0標(biāo)記設(shè)置的過程具體包括以下步驟:A、當(dāng)用戶進(jìn)程發(fā)送的數(shù)據(jù)包經(jīng)過操作系統(tǒng)擴(kuò)展標(biāo)記模塊時�,操作系統(tǒng)擴(kuò)展標(biāo)記模塊攔截該數(shù)據(jù)包,獲取發(fā)送該數(shù)據(jù)包的進(jìn)程所屬用戶的用戶身份證明nD �����;B�、操作系統(tǒng)擴(kuò)展標(biāo)記模塊根據(jù)所獲取的用戶身份證明WD,獲取用戶的CIPS0標(biāo)記策略�����;C����、操作系統(tǒng)擴(kuò)展標(biāo)記模塊根據(jù)獲取的用戶CIPS0標(biāo)記策略�����,在數(shù)據(jù)包中設(shè)置用戶CIPS0標(biāo)記;D����、在完成CIPS0標(biāo)記設(shè)置后,記錄相關(guān)日志�。
3.根據(jù)權(quán)利要求1所述的一種對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行強制訪問控制的方法,其特征在于����,所述的CIPS0標(biāo)記檢查的過程具體包括以下步驟:A1、當(dāng)要被用戶進(jìn)程接收的數(shù)據(jù)包進(jìn)入操作系統(tǒng)擴(kuò)展標(biāo)記模塊后�,操作系統(tǒng)擴(kuò)展標(biāo)記模塊獲取將要接收該數(shù)據(jù)包的進(jìn)程所屬用戶的用戶身份證明UID ;B1���、在獲取數(shù)據(jù)包接收者用戶身份證明UID后�,根據(jù)UID獲取用戶CIPS0標(biāo)記策略�����;C1���、在獲取到對應(yīng)的用戶CIPS0標(biāo)記策略后�,開始把該數(shù)據(jù)包攜帶的CIPS0標(biāo)記與步驟B1中獲取的用戶策略中的CIPS0標(biāo)記進(jìn)行匹配檢查,根據(jù)檢查結(jié)果進(jìn)行裁決�����,是放行該數(shù)據(jù)包�����,還是拋棄該數(shù)據(jù)包�,如果拋棄該數(shù)據(jù)包,則記錄違規(guī)日志到日志設(shè)備��。
【文檔編號】H04L29/06GK103647771SQ201310671068
【公開日】2014年3月19日 申請日期:2013年12月12日 優(yōu)先權(quán)日:2013年12月12日
【發(fā)明者】周水波, 王超, 任元 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司