一種基于網(wǎng)絡(luò)標(biāo)記的報(bào)文訪問(wèn)控制方法【專利摘要】本發(fā)明公開(kāi)了一種基于網(wǎng)絡(luò)標(biāo)記的報(bào)文訪問(wèn)控制方法��,其實(shí)施步驟如下:1)預(yù)先在操作系統(tǒng)中設(shè)置訪問(wèn)控制策略并添加強(qiáng)制訪問(wèn)控制模塊��;在網(wǎng)絡(luò)層的防火墻中添加用于對(duì)篩選通過(guò)的報(bào)文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)的功能��;2)通過(guò)防火墻對(duì)進(jìn)出防火墻的網(wǎng)絡(luò)報(bào)文流的每一個(gè)報(bào)文進(jìn)行篩選過(guò)濾�����,對(duì)篩選通過(guò)的報(bào)文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí);3)針對(duì)篩選通過(guò)的每一個(gè)當(dāng)前報(bào)文,通過(guò)強(qiáng)制訪問(wèn)控制模塊檢查訪問(wèn)控制策略��,如果訪問(wèn)控制策略中對(duì)應(yīng)當(dāng)前報(bào)文的允許訪問(wèn)狀態(tài)為允許�,則繼續(xù)當(dāng)前報(bào)文的后續(xù)收發(fā)處理;否則�,丟棄當(dāng)前報(bào)文��。本發(fā)明具有訪問(wèn)控制與主機(jī)的強(qiáng)制訪問(wèn)控制技術(shù)結(jié)合�、網(wǎng)絡(luò)安全性高、不需要外部基礎(chǔ)設(shè)施和標(biāo)記協(xié)議�����、標(biāo)記和實(shí)施隔離、易于擴(kuò)展和實(shí)現(xiàn)的優(yōu)點(diǎn)���?����!緦@f(shuō)明】一種基于網(wǎng)絡(luò)標(biāo)記的報(bào)文訪問(wèn)控制方法【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明涉及計(jì)算機(jī)操作系統(tǒng)中的網(wǎng)絡(luò)訪問(wèn)控制技術(shù),具體涉及一種基于網(wǎng)絡(luò)標(biāo)記的報(bào)文訪問(wèn)控制方法。【
背景技術(shù):
】[0002]當(dāng)今網(wǎng)絡(luò)技術(shù)迅速發(fā)展,機(jī)器之間的交互日益頻繁,但是在網(wǎng)絡(luò)環(huán)境下���,網(wǎng)絡(luò)通信的安全無(wú)法得到保證��。雖然采用防火墻等技術(shù)可以在一定程度上保護(hù)內(nèi)部計(jì)算機(jī)免受來(lái)自外部網(wǎng)絡(luò)的威脅����,但防火墻僅針對(duì)網(wǎng)絡(luò)分組的物理特性進(jìn)行保護(hù),例如源/目標(biāo)地址、端口號(hào)����、應(yīng)用類型等,無(wú)法提供更高層次的保護(hù)����。[0003]網(wǎng)絡(luò)訪問(wèn)控制技術(shù)是一種根據(jù)報(bào)文的特征信息對(duì)其訪問(wèn)的目的進(jìn)行控制的技術(shù)�,通常用于將內(nèi)部網(wǎng)絡(luò)和公眾網(wǎng)絡(luò)(互聯(lián)網(wǎng))分開(kāi),網(wǎng)絡(luò)訪問(wèn)控制技術(shù)可以為兩個(gè)進(jìn)行通信的網(wǎng)絡(luò)設(shè)置一個(gè)訪問(wèn)控制標(biāo)準(zhǔn)�����。在基于互聯(lián)網(wǎng)協(xié)議(IP)的網(wǎng)絡(luò)中�����,通常是根據(jù)IP報(bào)文的源地址和目的地址�、應(yīng)用的協(xié)議類型以及IP報(bào)文所承載的傳輸控制協(xié)議/用戶數(shù)據(jù)報(bào)協(xié)議(TCP/UDP)端口對(duì)網(wǎng)絡(luò)間的訪問(wèn)進(jìn)行控制。目前被廣泛應(yīng)用的是根據(jù)所需要的網(wǎng)絡(luò)訪問(wèn)控制要求配置一組可對(duì)報(bào)文進(jìn)行匹配的訪問(wèn)控制列表(ACL)���,每個(gè)ACL中包含多條規(guī)則���,每條規(guī)則里包含了允許或禁止的報(bào)文的特征信息。例如���,允許主機(jī)A使用文件傳輸協(xié)議(FTP)使用21號(hào)端口訪問(wèn)主機(jī)B���。但是這種訪問(wèn)控制沒(méi)有與主機(jī)的強(qiáng)制訪問(wèn)控制技術(shù)結(jié)合,網(wǎng)絡(luò)的安全性無(wú)法得到更好的保證����?����!?br/>發(fā)明內(nèi)容】[0004]本發(fā)明要解決的技術(shù)問(wèn)題是:針對(duì)現(xiàn)有技術(shù)的上述技術(shù)問(wèn)題����,提供一種訪問(wèn)控制與主機(jī)的強(qiáng)制訪問(wèn)控制技術(shù)結(jié)合����、網(wǎng)絡(luò)安全性高、不需要外部基礎(chǔ)設(shè)施和標(biāo)記協(xié)議�、標(biāo)記和實(shí)施隔離、易于擴(kuò)展和實(shí)現(xiàn)的基于網(wǎng)絡(luò)標(biāo)記的報(bào)文訪問(wèn)控制方法�。[0005]為了解決上述技術(shù)問(wèn)題,本發(fā)明采用的技術(shù)方案為:一種基于網(wǎng)絡(luò)標(biāo)記的報(bào)文訪問(wèn)控制方法��,其實(shí)施步驟如下:1)預(yù)先在操作系統(tǒng)中設(shè)置訪問(wèn)控制策略并添加基于所述訪問(wèn)控制策略的強(qiáng)制訪問(wèn)控制模塊�,所述訪問(wèn)控制策略中的每一個(gè)表項(xiàng)包括應(yīng)用程序、安全性網(wǎng)絡(luò)標(biāo)識(shí)和是否允許訪問(wèn)狀態(tài)��;在網(wǎng)絡(luò)層的防火墻中添加用于對(duì)篩選通過(guò)的報(bào)文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)的功能�����;2)通過(guò)所述防火墻根據(jù)預(yù)設(shè)的防火墻規(guī)則以及報(bào)文的網(wǎng)絡(luò)信息對(duì)進(jìn)出防火墻的網(wǎng)絡(luò)報(bào)文流中的每一個(gè)報(bào)文進(jìn)行篩選過(guò)濾�����,并對(duì)篩選通過(guò)的報(bào)文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)���;3)針對(duì)篩選通過(guò)的每一個(gè)當(dāng)前報(bào)文�����,通過(guò)所述強(qiáng)制訪問(wèn)控制模塊根據(jù)當(dāng)前報(bào)文的安全性網(wǎng)絡(luò)標(biāo)識(shí)����、當(dāng)前報(bào)文對(duì)應(yīng)的應(yīng)用程序來(lái)檢查訪問(wèn)控制策略����,如果所述訪問(wèn)控制策略中對(duì)應(yīng)當(dāng)前報(bào)文的是否允許訪問(wèn)狀態(tài)為允許,則繼續(xù)當(dāng)前報(bào)文的后續(xù)收發(fā)處理��;否則����,丟棄當(dāng)前報(bào)文。[0006]優(yōu)選地����,所述步驟1)中添加基于所述訪問(wèn)控制策略的強(qiáng)制訪問(wèn)控制模塊具體是指針對(duì)操作系統(tǒng)中的Netfilter模塊的target構(gòu)件進(jìn)行擴(kuò)展��,通過(guò)擴(kuò)展增加強(qiáng)制訪問(wèn)控制結(jié)構(gòu)來(lái)添加基于所述訪問(wèn)控制策略的強(qiáng)制訪問(wèn)控制模塊����;所述在網(wǎng)絡(luò)層的防火墻中添加用于對(duì)篩選通過(guò)的報(bào)文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)的功能具體是指在網(wǎng)絡(luò)層的iptables防火墻中添加用于對(duì)篩選通過(guò)的報(bào)文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)的功能。[0007]優(yōu)選地,所述步驟1)中的設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)具體是指對(duì)報(bào)文進(jìn)行完整性驗(yàn)證得到的完整性標(biāo)識(shí)或者對(duì)報(bào)文進(jìn)行機(jī)密性驗(yàn)證得到的機(jī)密性標(biāo)識(shí)����。[0008]優(yōu)選地,所述步驟2)中報(bào)文的網(wǎng)絡(luò)信息具體包括源地址�����、目標(biāo)地址��、源端口號(hào)����、目標(biāo)端口號(hào)�、應(yīng)用協(xié)議類型。[0009]優(yōu)選地�,所述步驟3)的詳細(xì)步驟如下:針對(duì)篩選通過(guò)的每一個(gè)當(dāng)前報(bào)文,獲取當(dāng)前報(bào)文對(duì)應(yīng)的應(yīng)用程序���,如果當(dāng)前報(bào)文為應(yīng)用程序發(fā)送的報(bào)文��,則當(dāng)前報(bào)文對(duì)應(yīng)的應(yīng)用程序?yàn)榘l(fā)送當(dāng)前報(bào)文的應(yīng)用程序����,如果所述當(dāng)前報(bào)文為來(lái)自網(wǎng)絡(luò)結(jié)構(gòu)的報(bào)文��,則當(dāng)前報(bào)文對(duì)應(yīng)的應(yīng)用程序?yàn)榻邮债?dāng)前報(bào)文的應(yīng)用程序���;通過(guò)所述強(qiáng)制訪問(wèn)控制模塊根據(jù)當(dāng)前報(bào)文的安全性網(wǎng)絡(luò)標(biāo)識(shí)��、當(dāng)前報(bào)文對(duì)應(yīng)的應(yīng)用程序來(lái)檢查訪問(wèn)控制策略��,如果所述訪問(wèn)控制策略中對(duì)應(yīng)當(dāng)前報(bào)文的是否允許訪問(wèn)狀態(tài)為允許�����,則繼續(xù)當(dāng)前報(bào)文的后續(xù)收發(fā)處理���;否則,丟棄當(dāng)前報(bào)文�。[0010]本發(fā)明基于網(wǎng)絡(luò)標(biāo)記的報(bào)文訪問(wèn)控制方法具有下述優(yōu)點(diǎn):本發(fā)明預(yù)先在操作系統(tǒng)中設(shè)置訪問(wèn)控制策略并添加基于所述訪問(wèn)控制策略的強(qiáng)制訪問(wèn)控制模塊,所述訪問(wèn)控制策略中的每一個(gè)表項(xiàng)包括應(yīng)用程序���、安全性網(wǎng)絡(luò)標(biāo)識(shí)和是否允許訪問(wèn)狀態(tài)�����;在網(wǎng)絡(luò)層的防火墻中添加用于對(duì)篩選通過(guò)的報(bào)文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)的功能���,后續(xù)則使用防火墻對(duì)篩選通過(guò)的報(bào)文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)��,并通過(guò)所述強(qiáng)制訪問(wèn)控制模塊根據(jù)訪問(wèn)控制策略對(duì)報(bào)文進(jìn)行訪問(wèn)控制實(shí)施���,將強(qiáng)制訪問(wèn)控制技術(shù)MAC(MandatoryAccessControl)擴(kuò)展到網(wǎng)絡(luò)級(jí),將iptables與主機(jī)強(qiáng)制訪問(wèn)控制機(jī)制相結(jié)合且基于網(wǎng)絡(luò)標(biāo)記對(duì)報(bào)文進(jìn)行訪問(wèn)控制��,從而實(shí)現(xiàn)保護(hù)網(wǎng)絡(luò)安全的目的���,具有訪問(wèn)控制與主機(jī)的強(qiáng)制訪問(wèn)控制技術(shù)結(jié)合���、網(wǎng)絡(luò)安全性高、不需要外部基礎(chǔ)設(shè)施和標(biāo)記協(xié)議���、標(biāo)記和實(shí)施隔離��、易于擴(kuò)展的優(yōu)點(diǎn)����。【專利附圖】【附圖說(shuō)明】[0011]圖1為本發(fā)明實(shí)施例的實(shí)施流程示意圖��。[0012]圖2為本發(fā)明實(shí)施例接收?qǐng)?bào)文的流程示意圖���。[0013]圖3為本發(fā)明實(shí)施例發(fā)送報(bào)文的流程示意圖�。[0014]圖4為本發(fā)明實(shí)施例應(yīng)用于完整性控制的流程示意圖���。【具體實(shí)施方式】[0015]如圖1所示�,本實(shí)施例基于網(wǎng)絡(luò)標(biāo)記的報(bào)文訪問(wèn)控制方法的實(shí)施步驟如下:1)預(yù)先在操作系統(tǒng)中設(shè)置訪問(wèn)控制策略并添加基于訪問(wèn)控制策略的強(qiáng)制訪問(wèn)控制模塊,訪問(wèn)控制策略中的每一個(gè)表項(xiàng)包括應(yīng)用程序�����、安全性網(wǎng)絡(luò)標(biāo)識(shí)和是否允許訪問(wèn)狀態(tài)����;在網(wǎng)絡(luò)層的防火墻中添加用于對(duì)篩選通過(guò)的報(bào)文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)的功能;2)通過(guò)防火墻根據(jù)預(yù)設(shè)的防火墻規(guī)則以及報(bào)文的網(wǎng)絡(luò)信息對(duì)進(jìn)出防火墻的網(wǎng)絡(luò)報(bào)文流中的每一個(gè)報(bào)文進(jìn)行篩選過(guò)濾��,并對(duì)篩選通過(guò)的報(bào)文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)�����;3)針對(duì)篩選通過(guò)的每一個(gè)當(dāng)前報(bào)文,通過(guò)強(qiáng)制訪問(wèn)控制模塊根據(jù)當(dāng)前報(bào)文的安全性網(wǎng)絡(luò)標(biāo)識(shí)�����、當(dāng)前報(bào)文對(duì)應(yīng)的應(yīng)用程序來(lái)檢查訪問(wèn)控制策略���,如果訪問(wèn)控制策略中對(duì)應(yīng)當(dāng)前報(bào)文的是否允許訪問(wèn)狀態(tài)為允許�����,則繼續(xù)當(dāng)前報(bào)文的后續(xù)收發(fā)處理�;否則�,丟棄當(dāng)前報(bào)文。[0016]本實(shí)施例中��,步驟1)中添加基于所述訪問(wèn)控制策略的強(qiáng)制訪問(wèn)控制模塊具體是指針對(duì)操作系統(tǒng)中的Netfilter模塊的target構(gòu)件進(jìn)行擴(kuò)展���,通過(guò)擴(kuò)展增加強(qiáng)制訪問(wèn)控制結(jié)構(gòu)(MandatoryAccessControl結(jié)構(gòu)�����,簡(jiǎn)稱MAC結(jié)構(gòu))來(lái)添加基于訪問(wèn)控制策略的強(qiáng)制訪問(wèn)控制模塊�����;在網(wǎng)絡(luò)層的防火墻中添加用于對(duì)篩選通過(guò)的報(bào)文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)的功能具體是指在網(wǎng)絡(luò)層的iptables防火墻中添加用于對(duì)篩選通過(guò)的報(bào)文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)的功能��,除了現(xiàn)有的報(bào)文選擇過(guò)濾模塊(用于篩選過(guò)濾)以外���,本實(shí)施例在在網(wǎng)絡(luò)層的iptables防火墻中增加了報(bào)文標(biāo)記模塊�����,通過(guò)報(bào)文標(biāo)記模塊添加用于對(duì)篩選通過(guò)的報(bào)文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)的功能�����,對(duì)操作系統(tǒng)中的iptables防火墻修改后,修改添加iptables對(duì)進(jìn)出防火墻的報(bào)文進(jìn)行選擇過(guò)濾并打安全標(biāo)記�����,后繼的訪問(wèn)控制判斷遞交由強(qiáng)制訪問(wèn)控制模塊按照訪問(wèn)控制策略來(lái)進(jìn)行訪問(wèn)控制實(shí)施�����。[0017]本實(shí)施例中�,步驟2)中報(bào)文的網(wǎng)絡(luò)信息具體包括源地址�、目標(biāo)地址���、源端口號(hào)�、目標(biāo)端口號(hào)����、應(yīng)用協(xié)議類型。[0018]如圖2所示�,對(duì)于從網(wǎng)絡(luò)進(jìn)入本地網(wǎng)絡(luò)接口的報(bào)文,iptables防火墻根據(jù)防火墻規(guī)則以及源地址���、目標(biāo)地址����、源端口號(hào)�、目標(biāo)端口號(hào)、應(yīng)用協(xié)議類型等進(jìn)行選擇過(guò)濾�����,并對(duì)匹配iptables標(biāo)記規(guī)則(篩選通過(guò))的報(bào)文設(shè)置相應(yīng)的安全標(biāo)記��;強(qiáng)制訪問(wèn)控制模塊按照訪問(wèn)控制策略實(shí)施訪問(wèn)控制檢查��,如果策略允許相應(yīng)應(yīng)用接收該標(biāo)記的報(bào)文,則該報(bào)文通過(guò)iptables防火墻并被該應(yīng)用接收��,如果策略不允許相應(yīng)應(yīng)用接收該標(biāo)記的報(bào)文�,則該報(bào)文被iptables防火墻丟棄。[0019]如圖3所示���,對(duì)于本地應(yīng)用程序發(fā)送的報(bào)文���,iptables防火墻根據(jù)防火墻規(guī)則進(jìn)行選擇,并對(duì)匹配iptables標(biāo)記規(guī)則的報(bào)文設(shè)置相應(yīng)的安全標(biāo)記��;強(qiáng)制訪問(wèn)控制模塊按照基于主機(jī)的訪問(wèn)控制策略實(shí)施訪問(wèn)控制檢查�����,如果策略允許相應(yīng)應(yīng)用發(fā)送該標(biāo)記的報(bào)文��,則該報(bào)文通過(guò)iptables防火墻并被發(fā)送到網(wǎng)絡(luò)目的地�,如果策略不允許相應(yīng)應(yīng)用發(fā)送該標(biāo)記的報(bào)文�,則該報(bào)文被iptables防火墻丟棄。[0020]本實(shí)施例中�����,步驟3)的詳細(xì)步驟如下:針對(duì)篩選通過(guò)的每一個(gè)當(dāng)前報(bào)文,獲取當(dāng)前報(bào)文對(duì)應(yīng)的應(yīng)用程序����,如果當(dāng)前報(bào)文為應(yīng)用程序發(fā)送的報(bào)文,則當(dāng)前報(bào)文對(duì)應(yīng)的應(yīng)用程序?yàn)榘l(fā)送當(dāng)前報(bào)文的應(yīng)用程序�,如果當(dāng)前報(bào)文為來(lái)自網(wǎng)絡(luò)結(jié)構(gòu)的報(bào)文,則當(dāng)前報(bào)文對(duì)應(yīng)的應(yīng)用程序?yàn)榻邮债?dāng)前報(bào)文的應(yīng)用程序����;通過(guò)強(qiáng)制訪問(wèn)控制模塊根據(jù)當(dāng)前報(bào)文的安全性網(wǎng)絡(luò)標(biāo)識(shí)、當(dāng)前報(bào)文對(duì)應(yīng)的應(yīng)用程序來(lái)檢查訪問(wèn)控制策略��,如果訪問(wèn)控制策略中對(duì)應(yīng)當(dāng)前報(bào)文的是否允許訪問(wèn)狀態(tài)為允許��,則繼續(xù)當(dāng)前報(bào)文的后續(xù)收發(fā)處理���;否則��,丟棄當(dāng)前報(bào)文�����。[0021]本實(shí)施例具體被應(yīng)用于利用Biba模型解決信息在網(wǎng)絡(luò)環(huán)境中的完整性問(wèn)題�����,設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)具體是指對(duì)報(bào)文進(jìn)行完整性驗(yàn)證得到的完整性標(biāo)識(shí)��,即將上述的安全標(biāo)記換成完整性標(biāo)記�,通過(guò)系統(tǒng)的完整性強(qiáng)制訪問(wèn)控制策略實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的完整性保護(hù),此時(shí)訪問(wèn)控制策略則可稱為“完整性訪問(wèn)控制策略”(參見(jiàn)圖4)�。如圖4所示,本實(shí)施例具體被應(yīng)用于利用Biba模型進(jìn)行信息接收的步驟如下:1-1)報(bào)文從網(wǎng)絡(luò)進(jìn)入到本地網(wǎng)絡(luò)接口�����;l_2)iptables防火墻基于防火墻規(guī)則對(duì)報(bào)文進(jìn)行篩選過(guò)濾���;l_3)iptables防火墻對(duì)經(jīng)過(guò)防火墻篩選的報(bào)文按照完整性控制策略�����,對(duì)報(bào)文進(jìn)行完整性驗(yàn)證得到的完整性標(biāo)識(shí)并進(jìn)行完整性標(biāo)識(shí)�;1-4)將進(jìn)行完整性標(biāo)識(shí)的報(bào)文與接收?qǐng)?bào)文的應(yīng)用程序進(jìn)行系統(tǒng)的完整性強(qiáng)制訪問(wèn)控制檢查���,如果符合完整性控制策略則執(zhí)行步驟1-5)�,否則執(zhí)行步驟1-6);1-5)系統(tǒng)應(yīng)用接收?qǐng)?bào)文���;1-6)丟棄報(bào)文��。本實(shí)施例具體被應(yīng)用于利用Biba模型進(jìn)行信息發(fā)送的步驟如下:2-1)應(yīng)用發(fā)送報(bào)文'2-2����、iptables防火墻基于防火墻規(guī)則對(duì)報(bào)文進(jìn)行篩選�����;2_3)iptables防火墻對(duì)經(jīng)過(guò)篩選通過(guò)的報(bào)文按照完整性控制策略進(jìn)行完整性標(biāo)識(shí)�;2_4)將進(jìn)行完整性標(biāo)識(shí)的報(bào)文與發(fā)送報(bào)文的應(yīng)用程序進(jìn)行完整性強(qiáng)制訪問(wèn)控制檢查,如果符合完整性控制策略則執(zhí)行步驟2-5)��,否則執(zhí)行步驟2-6)����;2-5)應(yīng)用發(fā)送報(bào)文;2-6)丟棄報(bào)文����。[0022]眾所周知,BellLapadula模型(即BLP模型)和Biba模型具有相似性�,因此通過(guò)對(duì)本發(fā)明成果的稍作變動(dòng),將設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)具體變更為對(duì)報(bào)文進(jìn)行機(jī)密性驗(yàn)證得到的機(jī)密性標(biāo)識(shí)����,即可較容易地為網(wǎng)絡(luò)信息提供機(jī)密性保護(hù)�����,其與本實(shí)施例原理相同���,在此不再贅述。[0023]以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式�,本發(fā)明的保護(hù)范圍并不僅局限于上述實(shí)施例,凡屬于本發(fā)明思路下的技術(shù)方案均屬于本發(fā)明的保護(hù)范圍��。應(yīng)當(dāng)指出��,對(duì)于本【
技術(shù)領(lǐng)域:
】的普通技術(shù)人員來(lái)說(shuō)�����,在不脫離本發(fā)明原理前提下的若干改進(jìn)和潤(rùn)飾��,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍�����?!緳?quán)利要求】1.一種基于網(wǎng)絡(luò)標(biāo)記的報(bào)文訪問(wèn)控制方法��,其特征在于實(shí)施步驟如下:1)預(yù)先在操作系統(tǒng)中設(shè)置訪問(wèn)控制策略并添加基于所述訪問(wèn)控制策略的強(qiáng)制訪問(wèn)控制模塊��,所述訪問(wèn)控制策略中的每一個(gè)表項(xiàng)包括應(yīng)用程序、安全性網(wǎng)絡(luò)標(biāo)識(shí)和是否允許訪問(wèn)狀態(tài)�;在網(wǎng)絡(luò)層的防火墻中添加用于對(duì)篩選通過(guò)的報(bào)文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)的功能;2)通過(guò)所述防火墻根據(jù)預(yù)設(shè)的防火墻規(guī)則以及報(bào)文的網(wǎng)絡(luò)信息對(duì)進(jìn)出防火墻的網(wǎng)絡(luò)報(bào)文流中的每一個(gè)報(bào)文進(jìn)行篩選過(guò)濾�����,并對(duì)篩選通過(guò)的報(bào)文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)���;3)針對(duì)篩選通過(guò)的每一個(gè)當(dāng)前報(bào)文���,通過(guò)所述強(qiáng)制訪問(wèn)控制模塊根據(jù)當(dāng)前報(bào)文的安全性網(wǎng)絡(luò)標(biāo)識(shí)、當(dāng)前報(bào)文對(duì)應(yīng)的應(yīng)用程序來(lái)檢查訪問(wèn)控制策略�,如果所述訪問(wèn)控制策略中對(duì)應(yīng)當(dāng)前報(bào)文的是否允許訪問(wèn)狀態(tài)為允許�����,則繼續(xù)當(dāng)前報(bào)文的后續(xù)收發(fā)處理�����;否則,丟棄當(dāng)前報(bào)文��。2.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)標(biāo)記的報(bào)文訪問(wèn)控制方法�,其特征在于:所述步驟I)中添加基于所述訪問(wèn)控制策略的強(qiáng)制訪問(wèn)控制模塊具體是指針對(duì)操作系統(tǒng)中的Netfilter模塊的target構(gòu)件進(jìn)行擴(kuò)展,通過(guò)擴(kuò)展增加強(qiáng)制訪問(wèn)控制結(jié)構(gòu)來(lái)添加基于所述訪問(wèn)控制策略的強(qiáng)制訪問(wèn)控制模塊;所述在網(wǎng)絡(luò)層的防火墻中添加用于對(duì)篩選通過(guò)的報(bào)文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)的功能具體是指在網(wǎng)絡(luò)層的iptables防火墻中添加用于對(duì)篩選通過(guò)的報(bào)文設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)的功能��。3.根據(jù)權(quán)利要求2所述的基于網(wǎng)絡(luò)標(biāo)記的報(bào)文訪問(wèn)控制方法��,其特征在于:所述步驟O中的設(shè)置安全性網(wǎng)絡(luò)標(biāo)識(shí)具體是指對(duì)報(bào)文進(jìn)行完整性驗(yàn)證得到的完整性標(biāo)識(shí)或者對(duì)報(bào)文進(jìn)行機(jī)密性驗(yàn)證得到的機(jī)密性標(biāo)識(shí)���。4.根據(jù)權(quán)利要求3所述的基于網(wǎng)絡(luò)標(biāo)記的報(bào)文訪問(wèn)控制方法,其特征在于:所述步驟2)中報(bào)文的網(wǎng)絡(luò)信息具體包括源地址�、目標(biāo)地址、源端口號(hào)�、目標(biāo)端口號(hào)���、應(yīng)用協(xié)議類型�。5.根據(jù)權(quán)利要求4所述的基于網(wǎng)絡(luò)標(biāo)記的報(bào)文訪問(wèn)控制方法�����,其特征在于,所述步驟3)的詳細(xì)步驟如下:針對(duì)篩選通過(guò)的每一個(gè)當(dāng)前報(bào)文�,獲取當(dāng)前報(bào)文對(duì)應(yīng)的應(yīng)用程序,如果當(dāng)前報(bào)文為應(yīng)用程序發(fā)送的報(bào)文��,則當(dāng)前報(bào)文對(duì)應(yīng)的應(yīng)用程序?yàn)榘l(fā)送當(dāng)前報(bào)文的應(yīng)用程序�,如果所述當(dāng)前報(bào)文為來(lái)自網(wǎng)絡(luò)結(jié)構(gòu)的報(bào)文,則當(dāng)前報(bào)文對(duì)應(yīng)的應(yīng)用程序?yàn)榻邮债?dāng)前報(bào)文的應(yīng)用程序����;通過(guò)所述強(qiáng)制訪問(wèn)控制模塊根據(jù)當(dāng)前報(bào)文的安全性網(wǎng)絡(luò)標(biāo)識(shí)����、當(dāng)前報(bào)文對(duì)應(yīng)的應(yīng)用程序來(lái)檢查訪問(wèn)控制策略�,如果所述訪問(wèn)控制策略中對(duì)應(yīng)當(dāng)前報(bào)文的是否允許訪問(wèn)狀態(tài)為允許,則繼續(xù)當(dāng)前報(bào)文的后續(xù)收發(fā)處理����;否則,丟棄當(dāng)前報(bào)文���?���!疚臋n編號(hào)】H04L29/06GK104394175SQ201410780465【公開(kāi)日】2015年3月4日申請(qǐng)日期:2014年12月17日優(yōu)先權(quán)日:2014年12月17日【發(fā)明者】魏立峰,王玉成,王曉川,黃辰林,董攀,丁滟,陳松政,羅軍申請(qǐng)人:中國(guó)人民解放軍國(guó)防科學(xué)技術(shù)大學(xué)