專(zhuān)利名稱(chēng):一種面向橫向聯(lián)網(wǎng)的安全訪問(wèn)控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種橫向聯(lián)網(wǎng)的安全訪問(wèn)控制方法��。
背景技術(shù):
現(xiàn)有的橫向聯(lián)網(wǎng)系統(tǒng)���,例如財(cái)稅庫(kù)橫向聯(lián)網(wǎng)系統(tǒng)���,其特點(diǎn)是多模塊、多角色����、多業(yè)務(wù),而且稅款入庫(kù)環(huán)節(jié)眾多,速度緩慢��。因此�,財(cái)稅部門(mén)對(duì)經(jīng)收稅款的專(zhuān)業(yè)銀行缺乏有效的監(jiān)督管理手段,而且業(yè)務(wù)員在業(yè)務(wù)量較大時(shí)也容易出現(xiàn)差錯(cuò)���。目前�����,財(cái)稅橫向聯(lián)網(wǎng)面臨著內(nèi)部和外部的安全威脅�,從內(nèi)部來(lái)說(shuō)�,由于工作人員hternet網(wǎng)絡(luò),外接有毒U盤(pán)等行為���,存在將病毒傳染至業(yè)務(wù)網(wǎng)絡(luò)的威脅�����;從外部來(lái)說(shuō)����,存在非授權(quán)人員私自介入財(cái)稅業(yè)務(wù)網(wǎng)絡(luò)���,傳播病毒��、竊取或篡改數(shù)據(jù)等安全威脅�。另外,在多個(gè)終端計(jì)算機(jī)在進(jìn)行業(yè)務(wù)數(shù)據(jù)傳輸與交換時(shí)�,容易出現(xiàn)流程不規(guī)范,從而引發(fā)數(shù)據(jù)外泄���,由此也會(huì)為財(cái)稅橫向聯(lián)網(wǎng)的安全造成威脅?���,F(xiàn)有財(cái)稅部門(mén)信息系統(tǒng)一般采用“B/S”架構(gòu)和基于“用戶名+ 口令”的身份認(rèn)證方式來(lái)解決上述安全威脅���。但是���,隨著財(cái)稅部門(mén)業(yè)務(wù)工作站數(shù)量增加����,以及移動(dòng)手提電腦等移動(dòng)介質(zhì)的普及,用戶可以在業(yè)務(wù)相關(guān)范圍外的設(shè)備上登陸信息系統(tǒng)���,信息泄露和口令被破解的可能隨之增加����。因此,用戶這種單一的身份認(rèn)證方式已經(jīng)不能滿足財(cái)稅部門(mén)信息系統(tǒng)的擴(kuò)展�����、保障安全性需求����。為了保證橫向網(wǎng)網(wǎng)絡(luò)安全,大部分財(cái)稅部門(mén)為業(yè)務(wù)主機(jī)安裝了殺毒軟件�����,但由于工作站主機(jī)數(shù)較多��,維護(hù)量大���,工作人員無(wú)法同時(shí)更新病毒數(shù)據(jù)庫(kù)�,操作系統(tǒng)補(bǔ)丁更新也存在相關(guān)問(wèn)題�,無(wú)法從根本解決財(cái)稅部門(mén)信息安全的威脅。部分財(cái)稅部門(mén)為了防止外來(lái)人員隨意接入財(cái)稅部門(mén)內(nèi)部網(wǎng)絡(luò)���,在接入層交換機(jī)設(shè)置IP����、MAC地址與端口的綁定操作還有一些部門(mén)安裝了 DS入侵檢測(cè)系統(tǒng)。但是����,綁定IP和 MAC地址的安全防御行為工作量較大,IP和MAC地址的更改較為輕松����,導(dǎo)致地址綁定無(wú)效, IDS入侵檢測(cè)系統(tǒng)在威脅出現(xiàn)時(shí)僅僅能夠給出警報(bào)信息����,無(wú)法進(jìn)行自動(dòng)的防御和糾正。另外財(cái)政橫向聯(lián)網(wǎng)系統(tǒng)中安全訪問(wèn)入侵檢測(cè)過(guò)濾系統(tǒng)是系統(tǒng)中比較重要與核心的部分�����,而傳統(tǒng)的入侵檢測(cè)過(guò)濾過(guò)程采用順序匹配方法�,直到第一條匹配的規(guī)則,一個(gè)過(guò)濾規(guī)則可能是幾百條或更多�����。由于過(guò)濾規(guī)則的順序匹配算法效率太低從而使系統(tǒng)防火墻吞吐量急劇下降���,嚴(yán)重影響了網(wǎng)絡(luò)的性能�,傳統(tǒng)防火墻之所以采用順序匹配是因?yàn)橐?guī)則之間存在某種關(guān)系����,它們的順序決定了所使用的安全策略,如果順序改變則相應(yīng)的安全策略也會(huì)發(fā)生變化��,所以首先來(lái)分析規(guī)則之間的關(guān)系�����。
發(fā)明內(nèi)容
為了克服已有橫向聯(lián)網(wǎng)的安全訪問(wèn)控制方法的安全性較低���、安全控制工作效率較低的不足����,本發(fā)明提供一種提高安全控制工作效率�����、提升安全性能的面向橫向聯(lián)網(wǎng)的安全訪問(wèn)控制方法�。本發(fā)明解決其技術(shù)問(wèn)題所采用的技術(shù)方案是一種面向橫向聯(lián)網(wǎng)的安全訪問(wèn)控制方法,所述控制方法包括以下步驟
步驟1���、首先根據(jù)源���、目的地址��,源��、目的端口號(hào)��,協(xié)議來(lái)設(shè)定的過(guò)濾規(guī)則�����,基于過(guò)濾規(guī)則這些域的比較來(lái)分析它們之間的聯(lián)系�,其規(guī)則判斷如下 如果規(guī)則Rx的任何域都不是規(guī)則Ry的子集超集�����,或者相等�����,那么Rx與Ry是完全無(wú)關(guān)的��;如果規(guī)則Rx的任何域和規(guī)則Ry的相應(yīng)域相等,那么那么Rx與Ry是相等的�;如果規(guī)則Rx的任何域都是規(guī)則Ry的相應(yīng)域的子集超集或者相等�,那么Rx與Ry 是包換關(guān)系;步驟2����、根據(jù)設(shè)定過(guò)濾規(guī)則對(duì)數(shù)據(jù)包進(jìn)行分類(lèi),哈希函數(shù)Hkey設(shè)計(jì)為取IP地址���、 端口號(hào)各部分折疊����、異或運(yùn)算后����、以哈希表長(zhǎng)度取模;首先將規(guī)則按照哈希函數(shù)進(jìn)行排列����,通過(guò)哈希函數(shù)運(yùn)算,如果兩條規(guī)則經(jīng)過(guò)哈希函數(shù)運(yùn)算后落到同一位置��,則把這兩條規(guī)則按照插入順序組成一個(gè)鏈表結(jié)構(gòu)���;基于索引結(jié)構(gòu)的算法主要將有關(guān)的規(guī)則組成一個(gè)鏈表����,并按照規(guī)則的設(shè)置順序排列,為它們建立快速索引�;步驟3、通過(guò)對(duì)Rx��,Ry相應(yīng)的域進(jìn)行比較判斷兩條規(guī)則是否存在屏蔽異常��、相關(guān)性異常����、包含異常、冗余異常�����,如果Ry的任何域都是Rx的相應(yīng)域子集或者相等���,并且有相同的動(dòng)作�����,則Ry是Rx的冗余�����,如果動(dòng)作不同����,則Ry被Rx屏蔽�;如果Ry的任何域都是Rx的相應(yīng)域的超集,并且動(dòng)作相同��,則Rx是Ry的潛在冗余����,動(dòng)作不同則Ry是Rx的泛化;如果Rx的一些域是Ry的相應(yīng)域的子集或者相等�,并且Rx的一些域是Ry相應(yīng)域的超集,并且動(dòng)作不同�,則Rx與Ry相關(guān)異常;步驟4�����、訪問(wèn)請(qǐng)求者向橫向聯(lián)網(wǎng)系統(tǒng)提出訪問(wèn)請(qǐng)求�;步驟5、系統(tǒng)驗(yàn)證登陸計(jì)算機(jī)IP和MAC地址����,如果IP地址或者M(jìn)AC不在授權(quán)范圍內(nèi)���,將進(jìn)行請(qǐng)求駁回,在授權(quán)范圍內(nèi)����,轉(zhuǎn)入步驟6 ;步驟6���、驗(yàn)證用戶名與口令匹配的正確性���,根據(jù)原始的授權(quán)注冊(cè)信息在用戶表中進(jìn)行匹配,匹配成功則進(jìn)入下一步驟����,不成功則給出錯(cuò)誤提示;步驟7�����、進(jìn)行核查用戶賬戶的默認(rèn)權(quán)限�����,分析用戶提出的數(shù)據(jù)庫(kù)訪問(wèn)請(qǐng)求語(yǔ)句,根據(jù)該SQL數(shù)據(jù)庫(kù)訪問(wèn)語(yǔ)句����,提取出其中涉及到的數(shù)據(jù)表名、字段名以及查詢過(guò)濾條件�,然后生成一棵分析樹(shù);最后�����,根據(jù)生成分析樹(shù)�����,判定該用戶是否有對(duì)該數(shù)據(jù)庫(kù)相關(guān)數(shù)據(jù)操作的權(quán)限�����,如果判定成功�����,則允許進(jìn)行相關(guān)操作�,如果判斷不成功��,則拒絕繼續(xù)訪問(wèn)。進(jìn)一步���,所述控制方法還包括以下步驟步驟8���、操作步驟的實(shí)時(shí)動(dòng)態(tài)監(jiān)控首先建立事務(wù)流程規(guī)范數(shù)據(jù)庫(kù),根據(jù)合法用戶發(fā)出具體業(yè)務(wù)請(qǐng)求調(diào)用數(shù)據(jù)庫(kù)相應(yīng)事物操作流程����,如果發(fā)生限定時(shí)間內(nèi)無(wú)序操作,或者限定時(shí)間內(nèi)的不合規(guī)操作���,便進(jìn)行強(qiáng)制退出�。本發(fā)明的技術(shù)構(gòu)思為對(duì)于橫向聯(lián)網(wǎng)系統(tǒng)����,例如在財(cái)稅部門(mén)信息系統(tǒng)快速的發(fā)展過(guò)程中,傳統(tǒng)的基于角色的訪問(wèn)控制策略和靜態(tài)授權(quán)模式已不能適應(yīng)當(dāng)前信息系統(tǒng)復(fù)雜的發(fā)展趨勢(shì)����。并且基于角色的傳統(tǒng)訪問(wèn)控制模型產(chǎn)生的規(guī)則順序嚴(yán)重影響著系統(tǒng)的防護(hù)效率。因此在此基礎(chǔ)之上�����,因此,一種基于事務(wù)�、時(shí)間、空間環(huán)境制約因素的角色訪問(wèn)控制模型 -TLRTBAC (time-location-role-transaction-based aceess control)�����,根據(jù)哈希表規(guī)則禾口索引規(guī)則設(shè)定合理的規(guī)則順利���,用來(lái)改進(jìn)基于角色的傳統(tǒng)訪問(wèn)控制模型�����。一旦發(fā)生威脅入侵,系統(tǒng)可進(jìn)行自動(dòng)攔截�����,以防止更大危害的入侵�,從而提高系統(tǒng)的安全控制工作效率,使其能夠更好地滿足財(cái)稅部門(mén)信息系統(tǒng)的安全性需求�����。
TLRTBAC訪問(wèn)控制模型的基本思想使用系統(tǒng)工作的相關(guān)工作人員以一定的角色身份來(lái)訪問(wèn)系統(tǒng)��,其訪問(wèn)行為首先受到時(shí)間因素制約,其次受到MAC地址與IP地址因素制約����,再次受到角色權(quán)限的審核與及相關(guān)事務(wù)處理規(guī)則的制約。本發(fā)明的有益效果主要表現(xiàn)在提高安全控制工作效率����、提升安全性能。
圖1是面向橫向聯(lián)網(wǎng)的安全訪問(wèn)控制模型示意圖�。
具體實(shí)施例方式下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步描述。參照?qǐng)D1�,一種面向橫向聯(lián)網(wǎng)的安全訪問(wèn)控制方法,所述控制方法包括以下步驟步驟1���、首先根據(jù)源����、目的地址�,源、目的端口號(hào)�,協(xié)議來(lái)設(shè)定的過(guò)濾規(guī)則,基于過(guò)濾規(guī)則這些域的比較來(lái)分析它們之間的聯(lián)系����,其規(guī)則判斷如下如果規(guī)則Rx的任何域都不是規(guī)則Ry的子集超集�,或者相等���,那么Rx與Ry是完全無(wú)關(guān)的��; 如果規(guī)則Rx的任何域和規(guī)則Ry的相應(yīng)域相等��,那么那么Rx與Ry是相等的�����;如果規(guī)則Rx的任何域都是規(guī)則Ry的相應(yīng)域的子集超集或者相等����,那么Rx與Ry 是包換關(guān)系�����;步驟2����、根據(jù)設(shè)定過(guò)濾規(guī)則對(duì)數(shù)據(jù)包進(jìn)行分類(lèi)�����,哈希函數(shù)Hkey設(shè)計(jì)為取IP地址、 端口號(hào)各部分折疊���、異或運(yùn)算后��、以哈希表長(zhǎng)度取模�����;首先將規(guī)則按照哈希函數(shù)進(jìn)行排列����,通過(guò)哈希函數(shù)運(yùn)算���,如果兩條規(guī)則經(jīng)過(guò)哈希函數(shù)運(yùn)算后落到同一位置�,則把這兩條規(guī)則按照插入順序組成一個(gè)鏈表結(jié)構(gòu)�����;基于索引結(jié)構(gòu)的算法主要將有關(guān)的規(guī)則組成一個(gè)鏈表���,并按照規(guī)則的設(shè)置順序排列���,為它們建立快速索引�;步驟3���、通過(guò)對(duì)Rx�����,Ry相應(yīng)的域進(jìn)行比較判斷兩條規(guī)則是否存在屏蔽異常��、相關(guān)性異常����、包含異常���、冗余異常���,如果Ry的任何域都是Rx的相應(yīng)域子集或者相等,并且有相同的動(dòng)作��,則Ry是Rx的冗余����,如果動(dòng)作不同,則Ry被Rx屏蔽��;如果Ry的任何域都是Rx的相應(yīng)域的超集����,并且動(dòng)作相同,則Rx是Ry的潛在冗余����,動(dòng)作不同則Ry是Rx的泛化;如果Rx的一些域是Ry的相應(yīng)域的子集或者相等����,并且Rx的一些域是Ry相應(yīng)域的超集,并且動(dòng)作不同����,則Rx與Ry相關(guān)異常;步驟4�、訪問(wèn)請(qǐng)求者向橫向聯(lián)網(wǎng)系統(tǒng)提出訪問(wèn)請(qǐng)求;步驟5��、系統(tǒng)驗(yàn)證登陸計(jì)算機(jī)IP和MAC地址�,如果IP地址或者M(jìn)AC不在授權(quán)范圍內(nèi),將進(jìn)行請(qǐng)求駁回����,在授權(quán)范圍內(nèi)����,轉(zhuǎn)入步驟6 �����;步驟6���、驗(yàn)證用戶名與口令匹配的正確性����,根據(jù)原始的授權(quán)注冊(cè)信息在用戶表中進(jìn)行匹配�����,匹配成功則進(jìn)入下一步驟�����,不成功則給出錯(cuò)誤提示�����;步驟7、進(jìn)行核查用戶賬戶的默認(rèn)權(quán)限���,分析用戶提出的數(shù)據(jù)庫(kù)訪問(wèn)請(qǐng)求語(yǔ)句,根據(jù)該SQL數(shù)據(jù)庫(kù)訪問(wèn)語(yǔ)句���,提取出其中涉及到的數(shù)據(jù)表名�、字段名以及查詢過(guò)濾條件���,然后生成一棵分析樹(shù)�;最后�����,根據(jù)生成分析樹(shù)��,判定該用戶是否有對(duì)該數(shù)據(jù)庫(kù)相關(guān)數(shù)據(jù)操作的權(quán)限�,如果判定成功,則允許進(jìn)行相關(guān)操作����,如果判斷不成功,則拒絕繼續(xù)訪問(wèn)�。
進(jìn)一步��,所述控制方法還包括以下步驟步驟8��、操作步驟的實(shí)時(shí)動(dòng)態(tài)監(jiān)控首先建立事務(wù)流程規(guī)范數(shù)據(jù)庫(kù)���,根據(jù)合法用戶發(fā)出具體業(yè)務(wù)請(qǐng)求調(diào)用數(shù)據(jù)庫(kù)相應(yīng)事物操作流程,如果發(fā)生限定時(shí)間內(nèi)無(wú)序操作��,或者限定時(shí)間內(nèi)的不合規(guī)操作�,便進(jìn)行強(qiáng)制退出。本實(shí)施例中����,以財(cái)稅橫向聯(lián)網(wǎng)系統(tǒng)為例,形成財(cái)稅橫向聯(lián)網(wǎng)信息系統(tǒng)的各類(lèi)表單���, 并建立相關(guān)的數(shù)據(jù)庫(kù)文檔�����。主要包括以下幾個(gè)方面(1)在財(cái)稅橫向聯(lián)網(wǎng)信息安全部門(mén)在主題用戶分類(lèi)和信息資產(chǎn)識(shí)別的基礎(chǔ)上���,創(chuàng)建主題用戶表和客體資源表,描述兩者特征��;(2)依據(jù)主題用戶的行政級(jí)別和職責(zé)范圍,創(chuàng)建財(cái)稅橫向聯(lián)網(wǎng)信息系統(tǒng)的角色庫(kù)���; 確立主體和角色的對(duì)應(yīng)關(guān)系�����,形成會(huì)話集;(3)依據(jù)財(cái)稅橫向聯(lián)網(wǎng)信息系統(tǒng)包含的功能模塊�,創(chuàng)建功能可實(shí)現(xiàn)的操作與客體資源對(duì)應(yīng)的權(quán)限表。根據(jù)對(duì)應(yīng)關(guān)系�����,建立會(huì)話集�����,實(shí)現(xiàn)主題到角色的用戶指派��。主要包括以下幾個(gè)方(1)對(duì)角色表中各類(lèi)角色進(jìn)行權(quán)限指派,為其分配權(quán)限��。使得主題用戶可以對(duì)客體資源進(jìn)行訪問(wèn)和操作�����。(2)建立會(huì)話集�,主要包括主體-角色對(duì)對(duì)應(yīng)關(guān)系、角色以及角色與權(quán)限對(duì)的對(duì)應(yīng)關(guān)系���,時(shí)間空間及事務(wù)流程約束集對(duì)限制��。(3)劃定時(shí)間因素范疇����,包括在職時(shí)間與離職時(shí)間����、工作時(shí)間與非工作時(shí)間。(4)劃定空間因素范疇�,空間針對(duì)的是用戶接入財(cái)稅橫向聯(lián)網(wǎng)信息系統(tǒng)、行使其訪問(wèn)權(quán)限的物理方位����。一般對(duì)于其權(quán)限的行使僅限于各自的工作崗位。(5)劃定事務(wù)流程規(guī)范����,對(duì)不同角色的人員授予指定的權(quán)限,制定各項(xiàng)事務(wù)具體的流程操作步驟,根據(jù)流程錯(cuò)誤的程度給予相應(yīng)的安全防御策略����。首層安全機(jī)制是入網(wǎng)的訪問(wèn)控制。主要用來(lái)識(shí)別工作訪問(wèn)系統(tǒng)的時(shí)間和具體的IP 和MAC地址�����,同時(shí)對(duì)工作人員在網(wǎng)絡(luò)內(nèi)部的角色進(jìn)行識(shí)別����,從而控制可以處理的業(yè)務(wù)范圍����, 以及相關(guān)的業(yè)務(wù)處理流程。訪問(wèn)模型制約因素的設(shè)置主要是根據(jù)財(cái)稅系統(tǒng)的安全目標(biāo)和需求而設(shè)置�,時(shí)間和空間以及角色的職務(wù)權(quán)限是比較客觀的因素,通過(guò)加入相關(guān)事務(wù)處理流程規(guī)則�����,從而更為合理規(guī)范的控制安全訪問(wèn)�����。操作權(quán)限控制策略實(shí)現(xiàn)過(guò)程(1)用戶和用戶組被賦予一定的操作權(quán)限�����;(2)網(wǎng)絡(luò)管理員通過(guò)設(shè)置指定用戶和用戶組可以訪問(wèn)具體資源;(3)網(wǎng)絡(luò)管理員依據(jù)信息系統(tǒng)用戶的自身職責(zé)和用戶進(jìn)行業(yè)務(wù)操作的時(shí)間�、空間方面的具體要求來(lái)進(jìn)行動(dòng)態(tài)的操作權(quán)限控制。防火墻規(guī)則之間的關(guān)系�����。包過(guò)濾是工作在網(wǎng)絡(luò)層過(guò)濾規(guī)則主要是根據(jù)源����、目的地址、源�����、目的端口號(hào)��、協(xié)議來(lái)設(shè)定的���,所以基于過(guò)濾規(guī)則這些域的比較來(lái)分析它們之間的聯(lián)系����。基于哈希表與索引規(guī)則的匹配算法�����。哈希表規(guī)則主要處理完全無(wú)關(guān)和部分無(wú)關(guān)的規(guī)則���,其中以部分無(wú)關(guān)占絕大多數(shù)��。索引規(guī)則主要處理部分無(wú)關(guān)以及交叉相關(guān)����、完全無(wú)關(guān)規(guī)則�����,其中以交叉相關(guān)占絕大多數(shù)���。在哈希算法地址與端口的相加、異或中�,CPU都是一次性計(jì)算,并且CPU占用較少��,算法中地址��、端口相加滿足交換律,對(duì)通信雙方發(fā)出的數(shù)據(jù)包可以使用同一運(yùn)算結(jié)果��,以此來(lái)避免二次匹配問(wèn)題����,所以算法執(zhí)行效率比較高?����;谒饕Y(jié)構(gòu)的算法����,把有關(guān)的規(guī)則組成一個(gè)鏈表,嚴(yán)格按照規(guī)則的設(shè)置順序排列���,而彼此之間無(wú)關(guān)的規(guī)則鏈順序也任意�,可以利用為它們建立快速索引來(lái)提高交叉規(guī)則的查找速度�。威脅檢測(cè)算法。通過(guò)對(duì)不同規(guī)則的比較�����,來(lái)選擇合理的方法進(jìn)行判斷解決�����。檢查異常的基本思想是首先把規(guī)則用規(guī)則樹(shù)來(lái)表示,然后檢查兩條規(guī)則在規(guī)則樹(shù)的路徑上是否相交�,如果規(guī)則樹(shù)路徑相交,則可能存在威脅異常���,可以根據(jù)前面的異常定義來(lái)判斷是何種類(lèi)型���,然后進(jìn)行相關(guān)防護(hù),如果規(guī)則樹(shù)路徑不相交��,則不存在異常�。經(jīng)過(guò)測(cè)算,在哈希算法執(zhí)行過(guò)程中��,查找異常的時(shí)間復(fù)雜度為0(1)��,傳統(tǒng)的順序查找時(shí)間復(fù)雜度為O(N)���,并且當(dāng)同時(shí)訪問(wèn)的數(shù)目增多時(shí),順序匹配算法的效率明顯下降��,可哈希算法則基本沒(méi)有變化����。對(duì)于索引算法來(lái)說(shuō)��,已經(jīng)提前按照規(guī)則進(jìn)行過(guò)排序����,匹配查詢采用折半查找�����,時(shí)間復(fù)雜度為O(Iog2N)���,當(dāng)找到相關(guān)規(guī)則鏈便刻意進(jìn)行順序匹配規(guī)則�����。一般來(lái)說(shuō)當(dāng)完全無(wú)關(guān)和部分無(wú)關(guān)的規(guī)則較多時(shí)����,采用哈希匹配算法效率比較快�,當(dāng)部分無(wú)關(guān)以及交叉相關(guān)、完全無(wú)關(guān)規(guī)則較多時(shí)��,索引匹配效率較高��,所以將兩種方法結(jié)合后,先進(jìn)行規(guī)則判斷��,再進(jìn)行算法選擇���,大大提高了工作效率����。威脅檢測(cè)算法在兩者的基礎(chǔ)之上對(duì)訪問(wèn)請(qǐng)求進(jìn)行控制��,提高了地方財(cái)政橫向聯(lián)網(wǎng)的系統(tǒng)安全性�����。系統(tǒng)能根據(jù)設(shè)定的規(guī)則正確地過(guò)濾數(shù)據(jù)包���,并且能夠根據(jù)網(wǎng)絡(luò)狀態(tài)以及數(shù)據(jù)包狀態(tài)動(dòng)態(tài)改變過(guò)濾規(guī)則���,能記錄通過(guò)的流量,拒絕的數(shù)據(jù)包以及受到的攻擊形成日志��,有報(bào)警功能����。規(guī)則檢查能夠提示用戶存在的規(guī)則異常,在管理員插入規(guī)則時(shí)候能提示應(yīng)該插入的候選位置�����,以及刪除規(guī)則后引起的安全策略的變化等等��。這個(gè)功能是傳統(tǒng)防火墻所沒(méi)有的����,它能極大地減輕管理員的負(fù)擔(dān),減少人為錯(cuò)誤配置規(guī)則所產(chǎn)生的安全問(wèn)題�����。本實(shí)施例的面向財(cái)稅橫向聯(lián)網(wǎng)的安全訪問(wèn)控制方法�,步驟1中,如果規(guī)則Rx的任何域都不是規(guī)則Ry的子集超集��,或者相等����,那么Rx與 Ry 是完全無(wú)關(guān)的。Vi :i x[z+]>/<&[/]其中><e{c���,〕�,=},i e {prot, src_ip, src_port, dst_ ip, dst_port}�����。如果規(guī)則Rx的任何域和規(guī)則Ry的相應(yīng)域相等���,那么那么Rx與Ry是相等的����。V^jRJ/] = ^ [/]如果規(guī)則Rx的任何域都是規(guī)則Ry的相應(yīng)域的子集超集或者相等��,那么Rx與Ry 是包換關(guān)系���。Vi 礎(chǔ)]口燦]and . x
W RM Λ, j ^ {prot, src_ip���,src—port,dst_ip����,dst—port}步驟4中,訪問(wèn)請(qǐng)求者向系統(tǒng)提出訪問(wèn)請(qǐng)求����;如向財(cái)稅橫向聯(lián)網(wǎng)Web服務(wù)訪問(wèn)提出訪問(wèn)請(qǐng)求����,如電話報(bào)稅�、Web P0S�、網(wǎng)上銀行財(cái)政撥款、Web報(bào)關(guān)等����。
權(quán)利要求
1.一種面向橫向聯(lián)網(wǎng)的安全訪問(wèn)控制方法,其特征在于所述控制方法包括以下步驟步驟1�����、首先根據(jù)源�、目的地址,源�、目的端口號(hào),協(xié)議來(lái)設(shè)定的過(guò)濾規(guī)則�����,基于過(guò)濾規(guī)則這些域的比較來(lái)分析它們之間的聯(lián)系�,其規(guī)則判斷如下如果規(guī)則Rx的任何域都不是規(guī)則Ry的子集超集,或者相等,那么Rx與Ry是完全無(wú)關(guān)的�����;如果規(guī)則Rx的任何域和規(guī)則Ry的相應(yīng)域相等���,那么那么Rx與Ry是相等的��; 如果規(guī)則Rx的任何域都是規(guī)則Ry的相應(yīng)域的子集超集或者相等����,那么Rx與Ry是包換關(guān)系�����;步驟2���、根據(jù)設(shè)定過(guò)濾規(guī)則對(duì)數(shù)據(jù)包進(jìn)行分類(lèi)�����,哈希函數(shù)Hkey設(shè)計(jì)為取IP地址�����、端口號(hào)各部分折疊��、異或運(yùn)算后���、以哈希表長(zhǎng)度取模��;首先將規(guī)則按照哈希函數(shù)進(jìn)行排列�,通過(guò)哈希函數(shù)運(yùn)算���,如果兩條規(guī)則經(jīng)過(guò)哈希函數(shù)運(yùn)算后落到同一位置,則把這兩條規(guī)則按照插入順序組成一個(gè)鏈表結(jié)構(gòu)�����;基于索引結(jié)構(gòu)的算法主要將有關(guān)的規(guī)則組成一個(gè)鏈表����,并按照規(guī)則的設(shè)置順序排列, 為它們建立快速索引�;步驟3、通過(guò)對(duì)Rx�����,Ry相應(yīng)的域進(jìn)行比較判斷兩條規(guī)則是否存在屏蔽異常、相關(guān)性異常���、包含異常�����、冗余異常�,如果Ry的任何域都是Rx的相應(yīng)域子集或者相等�����,并且有相同的動(dòng)作����,則Ry是Rx的冗余,如果動(dòng)作不同��,則Ry被Rx屏蔽���;如果Ry的任何域都是Rx的相應(yīng)域的超集�����,并且動(dòng)作相同�,則Rx是Ry的潛在冗余,動(dòng)作不同則Ry是Rx的泛化����;如果Rx的一些域是Ry的相應(yīng)域的子集或者相等,并且Rx的一些域是Ry相應(yīng)域的超集��,并且動(dòng)作不同����, 則Rx與Ry相關(guān)異常;步驟4����、訪問(wèn)請(qǐng)求者向橫向聯(lián)網(wǎng)系統(tǒng)提出訪問(wèn)請(qǐng)求��;步驟5�、系統(tǒng)驗(yàn)證登陸計(jì)算機(jī)IP和MAC地址,如果IP地址或者M(jìn)AC不在授權(quán)范圍內(nèi)��,將進(jìn)行請(qǐng)求駁回�����,在授權(quán)范圍內(nèi)���,轉(zhuǎn)入步驟6 �����;步驟6�����、驗(yàn)證用戶名與口令匹配的正確性��,根據(jù)原始的授權(quán)注冊(cè)信息在用戶表中進(jìn)行匹配��,匹配成功則進(jìn)入下一步驟�,不成功則給出錯(cuò)誤提示;步驟7���、進(jìn)行核查用戶賬戶的默認(rèn)權(quán)限�����,分析用戶提出的數(shù)據(jù)庫(kù)訪問(wèn)請(qǐng)求語(yǔ)句�,根據(jù)該 SQL數(shù)據(jù)庫(kù)訪問(wèn)語(yǔ)句���,提取出其中涉及到的數(shù)據(jù)表名���、字段名以及查詢過(guò)濾條件����,然后生成一棵分析樹(shù)����;最后,根據(jù)生成分析樹(shù)�,判定該用戶是否有對(duì)該數(shù)據(jù)庫(kù)相關(guān)數(shù)據(jù)操作的權(quán)限, 如果判定成功�����,則允許進(jìn)行相關(guān)操作�����,如果判斷不成功�����,則拒絕繼續(xù)訪問(wèn)����。
2.如權(quán)利要求1所述的一種面向橫向聯(lián)網(wǎng)的安全訪問(wèn)控制方法,其特征在于所述控制方法還包括以下步驟步驟8����、操作步驟的實(shí)時(shí)動(dòng)態(tài)監(jiān)控首先建立事務(wù)流程規(guī)范數(shù)據(jù)庫(kù),根據(jù)合法用戶發(fā)出具體業(yè)務(wù)請(qǐng)求調(diào)用數(shù)據(jù)庫(kù)相應(yīng)事物操作流程���,如果發(fā)生限定時(shí)間內(nèi)無(wú)序操作�,或者限定時(shí)間內(nèi)的不合規(guī)操作����,便進(jìn)行強(qiáng)制退出。
全文摘要
一種面向橫向聯(lián)網(wǎng)的安全訪問(wèn)控制方法��,包括以下步驟步驟1�����、首先根據(jù)源��、目的地址�,源、目的端口號(hào)���,協(xié)議來(lái)設(shè)定的過(guò)濾規(guī)則�����,基于過(guò)濾規(guī)則這些域的比較來(lái)分析它們之間的聯(lián)系�����;步驟2�����、根據(jù)設(shè)定過(guò)濾規(guī)則對(duì)數(shù)據(jù)包進(jìn)行分類(lèi)�����;步驟3���、通過(guò)對(duì)Rx��,Ry相應(yīng)的域進(jìn)行比較判斷兩條規(guī)則是否存在屏蔽異常���、相關(guān)性異常����、包含異常�、冗余異常��;步驟4�����、訪問(wèn)請(qǐng)求者向橫向聯(lián)網(wǎng)系統(tǒng)提出訪問(wèn)請(qǐng)求��;步驟5���、系統(tǒng)驗(yàn)證登陸計(jì)算機(jī)IP和MAC地址���;步驟6、驗(yàn)證用戶名與口令匹配的正確性�;步驟7、進(jìn)行核查用戶賬戶的默認(rèn)權(quán)�。本發(fā)明提高安全控制工作效率、提升安全性能�。
文檔編號(hào)G06F17/30GK102316115SQ201110288079
公開(kāi)日2012年1月11日 申請(qǐng)日期2011年9月26日 優(yōu)先權(quán)日2011年9月26日
發(fā)明者劉東升, 封毅, 琚春華, 許翀寰, 陳庭貴, 高春園 申請(qǐng)人:浙江工商大學(xué)