本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，具體涉及一種基于wfp平臺的網(wǎng)絡(luò)訪問控制方法及裝置。

背景技術(shù)：

sslvpn軟件使用spi注入或者h(yuǎn)ook技術(shù)，將應(yīng)用的網(wǎng)絡(luò)訪問重定向到本地的代理模塊，通過本地代理模塊建立的虛擬安全通道實(shí)現(xiàn)相關(guān)服務(wù)的訪問。對于windows10系統(tǒng)上出現(xiàn)的windowsapps無法獲取網(wǎng)絡(luò)訪問過程，比如edge瀏覽器就屬于windowsapps，sslvpn軟件針對windows10系統(tǒng)上的某些應(yīng)用存在兼容行問題。網(wǎng)絡(luò)行為控制軟件，根據(jù)設(shè)置不同，可以限制程序可以訪問的遠(yuǎn)程ip或端口，或者限制某些程序訪問網(wǎng)絡(luò)。

為了網(wǎng)絡(luò)訪問的安全，現(xiàn)有技術(shù)中的網(wǎng)絡(luò)重定向技術(shù)如如圖1所示。

1)應(yīng)用程序啟動；

2)用戶進(jìn)行交互操作；

3)判斷是否退出保護(hù)，如果是，則結(jié)束，否則跳轉(zhuǎn)到步驟4)；

4)是否進(jìn)行網(wǎng)絡(luò)訪問，如果是，對網(wǎng)絡(luò)訪問重定向，進(jìn)行處理處理；否則，跳轉(zhuǎn)到步驟5)；

5)進(jìn)行其他處理，跳轉(zhuǎn)到步驟2)。

上述網(wǎng)絡(luò)重定向技術(shù)，只針對普通應(yīng)用程序有效，windows10系統(tǒng)上的windowsapps使用全新的技術(shù)，使原來的網(wǎng)絡(luò)重定向技術(shù)失效，不能實(shí)現(xiàn)windowsapps的網(wǎng)絡(luò)重定向。

技術(shù)實(shí)現(xiàn)要素：

為解決上述技術(shù)問題，本發(fā)明提供了一種基于wfp(windowsfilterplatform)平臺的網(wǎng)絡(luò)訪問控制方法，包括以下步驟：

1).操作系統(tǒng)啟動相關(guān)系統(tǒng)服務(wù)；

2).啟動進(jìn)程監(jiān)控模塊及策略解析模塊；

3).啟動網(wǎng)絡(luò)代理模塊；

4).用戶啟動應(yīng)用程序；

5).所述應(yīng)用程序訪問遠(yuǎn)程數(shù)據(jù)；

6).核心驅(qū)動模塊截獲所述應(yīng)用程序的網(wǎng)絡(luò)訪問行為，根據(jù)配置的控制策略和代理信息，進(jìn)行網(wǎng)絡(luò)訪問的禁止、放行、或者重定向操作。

優(yōu)選的，所述步驟1)操作系統(tǒng)啟動相關(guān)系統(tǒng)服務(wù)包括：初始化桌面環(huán)境、運(yùn)行核心驅(qū)動模塊及系統(tǒng)服務(wù)。

優(yōu)選的，所述步驟2)啟動進(jìn)程監(jiān)控模塊及策略解析模塊包括：

2.1).所述進(jìn)程監(jiān)控模塊及策略解析模塊啟動后，等待進(jìn)程創(chuàng)建通知；

2.2).接收到進(jìn)程創(chuàng)建通知后，進(jìn)行進(jìn)程識別，進(jìn)行進(jìn)程配置策略數(shù)據(jù)解析；

2.3).進(jìn)程配置策略數(shù)據(jù)解析完成后，通知所述核心驅(qū)動模塊，更新相關(guān)進(jìn)程配置策略數(shù)據(jù)；

2.4).判斷是否為退出事件，如果是退出，則響應(yīng)動作，退出進(jìn)程；否則返回步驟2.1)。

優(yōu)選的，所述步驟3)啟動網(wǎng)絡(luò)代理模塊包括：

3.1).所述網(wǎng)絡(luò)代理模塊啟動后，將代理進(jìn)程信息通知核心驅(qū)動模塊；

3.2).代理進(jìn)程進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)；

3.3).判斷是否為退出事件，如果是退出，則響應(yīng)動作，退出進(jìn)程；否則返回步驟3.2)。

為解決上述技術(shù)問題，本發(fā)明提供了一種基于wfp(windowsfilterplatform)平臺的網(wǎng)絡(luò)訪問控制系統(tǒng)，該系統(tǒng)包括：應(yīng)用策略配置層、核心驅(qū)動層、重定向代理層；

其中，所述應(yīng)用策略配置層，負(fù)責(zé)進(jìn)程啟動監(jiān)控及策略配置數(shù)據(jù)解析下發(fā)；

所述核心驅(qū)動層，接收策略配置數(shù)據(jù)和代理配置數(shù)據(jù)，處理進(jìn)程網(wǎng)絡(luò)訪問行為；

所述重定向代理層，負(fù)責(zé)代理信息設(shè)置，處理網(wǎng)絡(luò)訪問數(shù)據(jù)。

優(yōu)選的，所述應(yīng)用策略配置層由進(jìn)程啟動監(jiān)控模塊和策略解析模塊組成；

所述進(jìn)程啟動監(jiān)控模塊，負(fù)責(zé)監(jiān)控進(jìn)程的啟動和關(guān)閉；

所述策略解析模塊，根據(jù)進(jìn)程啟動監(jiān)控模塊提供的進(jìn)程信息，將所述策略配置數(shù)據(jù)進(jìn)行解析，返回與進(jìn)程相關(guān)的策略數(shù)據(jù)。

優(yōu)選的，所述進(jìn)程啟動監(jiān)控模塊，負(fù)責(zé)監(jiān)控進(jìn)程的啟動和關(guān)閉具體包括：進(jìn)程啟動時，進(jìn)行進(jìn)程識別并調(diào)用策略解析模塊分析進(jìn)程應(yīng)用的策略，將進(jìn)程的策略配置數(shù)據(jù)下發(fā)給核心驅(qū)動層；進(jìn)程關(guān)閉時，下發(fā)命令給核心驅(qū)動層，清除相關(guān)策略配置數(shù)據(jù)。

優(yōu)選的，所述核心驅(qū)動層，基于wfp平臺的callout驅(qū)動插件，負(fù)責(zé)接收應(yīng)用策略配置層下發(fā)的進(jìn)程策略配置數(shù)據(jù)和重定向代理層下發(fā)的代理配置信息，并根據(jù)策略配置數(shù)據(jù)對相關(guān)進(jìn)程的網(wǎng)絡(luò)訪問進(jìn)行控制，做出禁止、放行、重定向等操作。

優(yōu)選的，所述重定向代理層包括：加密庫、網(wǎng)絡(luò)代理模塊；重定向代理層將所述網(wǎng)絡(luò)代理模塊的進(jìn)程信息下發(fā)到所述核心驅(qū)動層，同時代理受控進(jìn)程的網(wǎng)絡(luò)訪問，根據(jù)所述策略配置數(shù)據(jù)對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密處理。

為解決上述技術(shù)問題，本發(fā)明提供了一種計(jì)算設(shè)備，該計(jì)算設(shè)備包括處理器和存儲介質(zhì)，所述存儲介質(zhì)包括計(jì)算機(jī)程序指令，所述處理器通過執(zhí)行所述計(jì)算機(jī)程序指令實(shí)現(xiàn)權(quán)利要求1-4之一的方法。

通過本發(fā)明的技術(shù)方案，本發(fā)明的架構(gòu)先進(jìn)，技術(shù)穩(wěn)定，兼容性高；兼容windowsapps，實(shí)現(xiàn)進(jìn)進(jìn)程粒度的網(wǎng)絡(luò)訪問控制，權(quán)限控制靈活；客戶端安全性高。

附圖說明

圖1是現(xiàn)有技術(shù)實(shí)現(xiàn)流程圖

圖2是本發(fā)明的系統(tǒng)架構(gòu)圖

圖3是本發(fā)明具體方法流程圖

圖4是本發(fā)明一實(shí)施例的方法流程圖

具體實(shí)施方式

名詞解釋：

windowsapps：windows通用平臺的應(yīng)用，比如windows10操作系統(tǒng)自帶的edge瀏覽器、應(yīng)用商店等。

win10：指微軟最新的windows10操作系統(tǒng)。

wfp：windowsfilterplatform，為網(wǎng)絡(luò)過濾應(yīng)用開發(fā)平臺提供支持的api和系統(tǒng)服務(wù)的集合。

sslvpn：指的是基于安全套接層協(xié)議(securitysocketlayer-ssl)建立遠(yuǎn)程安全訪問通道的vpn技術(shù)。它是近年來興起的vpn技術(shù)，其應(yīng)用隨著web的普及和電子商務(wù)、遠(yuǎn)程辦公的興起而發(fā)展迅速。

本發(fā)明從實(shí)際需求和應(yīng)用的角度出發(fā)，基于windows系統(tǒng)的wfp過濾平臺，使用內(nèi)核技術(shù)，實(shí)現(xiàn)callout驅(qū)動。在內(nèi)核層攔截所有應(yīng)用的網(wǎng)絡(luò)訪問行為，根據(jù)每個應(yīng)用配置的不同策略，實(shí)現(xiàn)對網(wǎng)絡(luò)訪問的禁止、放行或者重定向操作；可以根據(jù)配置，對重定向數(shù)據(jù)進(jìn)行加密傳輸。針對windows應(yīng)用，本技術(shù)可以完全兼容，減少了安全漏洞。

如圖2，基于wfp過濾平臺的網(wǎng)絡(luò)控制方法，總體上劃分為三個層次：應(yīng)用策略配置層、核心驅(qū)動層、重定向代理層。應(yīng)用策略配置層，負(fù)責(zé)進(jìn)程啟動監(jiān)控及策略配置解析下發(fā)；核心驅(qū)動層，接收策略配置數(shù)據(jù)和代理配置數(shù)據(jù)，處理進(jìn)程網(wǎng)絡(luò)訪問行為；重定向代理層，負(fù)責(zé)代理信息設(shè)置，處理網(wǎng)絡(luò)訪問數(shù)據(jù)。

應(yīng)用策略配置層，位于總體架構(gòu)的最上層，由進(jìn)程啟動監(jiān)控模塊和策略數(shù)據(jù)解析模塊組成。進(jìn)程啟動監(jiān)控模塊，負(fù)責(zé)監(jiān)控進(jìn)程的啟動和關(guān)閉，進(jìn)程啟動時，進(jìn)行進(jìn)程識別并調(diào)用策略解析模塊分析進(jìn)程應(yīng)用的策略，將進(jìn)程的策略數(shù)據(jù)下發(fā)給內(nèi)核驅(qū)動模塊；進(jìn)程關(guān)閉時，下發(fā)命令給驅(qū)動，清除相關(guān)策略數(shù)據(jù)。策略解析模塊，根據(jù)進(jìn)程監(jiān)控模塊提供的進(jìn)程信息，將配置的策略數(shù)據(jù)進(jìn)行解析，返回與進(jìn)程相關(guān)的策略數(shù)據(jù)。

核心驅(qū)動層，基于wfp平臺的callout驅(qū)動插件，負(fù)責(zé)接收應(yīng)用策略配置層下發(fā)的進(jìn)程策略數(shù)據(jù)和重定向代理層下發(fā)的代理配置信息，并根據(jù)配置數(shù)據(jù)對相關(guān)進(jìn)程的網(wǎng)絡(luò)訪問進(jìn)行控制，做出禁止、放行、重定向等操作。

重定向代理層，位于整體架構(gòu)的最下層，將代理模塊的進(jìn)程信息下發(fā)到核心驅(qū)動層，同時代理受控進(jìn)程的網(wǎng)絡(luò)訪問，根據(jù)配置可對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密處理(需遠(yuǎn)端代理配合，支持國密算法)。

如圖3，為本發(fā)明的系統(tǒng)執(zhí)行流程。

在此，描述下本架構(gòu)的系統(tǒng)流程：

1、系統(tǒng)開機(jī)后，操作系統(tǒng)啟動相關(guān)系統(tǒng)服務(wù)，初始化桌面環(huán)境，運(yùn)行核心驅(qū)動及系統(tǒng)服務(wù)。

2、啟動進(jìn)程監(jiān)控及策略解析模塊。

a、模塊啟動后，等待進(jìn)程創(chuàng)建或關(guān)閉通知。

b、接收到進(jìn)程創(chuàng)建或關(guān)閉通知后，進(jìn)行進(jìn)程識別，進(jìn)行進(jìn)程配置策略解析。

c、進(jìn)程策略數(shù)據(jù)解析完成后，通知核心驅(qū)動層，更新相關(guān)策略數(shù)據(jù)。

d、判斷是否為退出事件，如果是退出，則響應(yīng)動作，退出程序；否則返回a，繼續(xù)接收進(jìn)程通知。

3、啟動網(wǎng)絡(luò)代理模塊。

a、模塊啟動后，將代理進(jìn)行信息通知和興驅(qū)動層。

b、代理進(jìn)程進(jìn)出數(shù)據(jù)轉(zhuǎn)發(fā)。

c、判斷是否為退出事件，如果是退出，則響應(yīng)動作，退出程序；否則返回b，繼續(xù)接收進(jìn)程通知。

4、用戶啟動應(yīng)用程序。

5、用戶操作程序訪問遠(yuǎn)程數(shù)據(jù)。

6、核心驅(qū)動截獲應(yīng)用的網(wǎng)絡(luò)訪問行為，根據(jù)配置的控制策略和代理信息，進(jìn)行禁止、放行、或者重定向操作。

7、用戶關(guān)閉應(yīng)用程序。

8、判斷用戶關(guān)機(jī)操作，如果非關(guān)機(jī)，則轉(zhuǎn)至4處執(zhí)行；否則轉(zhuǎn)至9處執(zhí)行。

9、系統(tǒng)關(guān)機(jī)。

如圖4，為應(yīng)用本發(fā)明的一個具體實(shí)施例。

1、計(jì)算機(jī)系統(tǒng)登錄后，登錄v3賬號系統(tǒng)，驗(yàn)證通過后轉(zhuǎn)至第2步處理。

2、v3后臺服務(wù)及相關(guān)模塊啟動初始化，完成后轉(zhuǎn)至第3步處理。

3、v3客戶端接收控制臺配置的用戶策略，完成后轉(zhuǎn)至第4步處理。

4、用戶啟動應(yīng)用程序，轉(zhuǎn)至第5步處理。

5、基于wfp平臺的內(nèi)核驅(qū)動，攔截網(wǎng)絡(luò)訪問，轉(zhuǎn)至第6步處理。

6、內(nèi)核驅(qū)動根據(jù)配置的進(jìn)程策略和代理進(jìn)程信息，控制應(yīng)用的網(wǎng)絡(luò)訪問行為(禁止訪問；放行；重定向至代理模塊處理)，轉(zhuǎn)至第7步處理。

7、用戶結(jié)束應(yīng)用程序，轉(zhuǎn)至第8步繼續(xù)處理

8、檢查是否退出系統(tǒng)，如果不是，則轉(zhuǎn)至第3步處理；否則退出系統(tǒng)，結(jié)束。

近幾年，隨著各種泄密事件突發(fā)，對國家安全和長遠(yuǎn)發(fā)展都構(gòu)成了極大威脅。因此國家專門成立了國家信息安全小組，十分重視網(wǎng)絡(luò)安全。針對關(guān)系到國計(jì)民生的金融行業(yè)等提出了更高的安全防護(hù)要求，避免發(fā)生泄密事件。

針對金融行業(yè)的特點(diǎn)，v3不斷更新完善，加強(qiáng)對網(wǎng)絡(luò)應(yīng)用的防護(hù)，各項(xiàng)功能得到金融業(yè)的廣泛認(rèn)可，在實(shí)際項(xiàng)目中得到大力推廣。

本發(fā)明架構(gòu)先進(jìn)，技術(shù)穩(wěn)定，兼容性高；兼容windowsapps，實(shí)現(xiàn)進(jìn)進(jìn)程粒度的網(wǎng)絡(luò)訪問控制，權(quán)限控制靈活；客戶端安全性高。

以上所述僅為本發(fā)明的較佳實(shí)施例而已，并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換以及改進(jìn)等，均應(yīng)保護(hù)在本發(fā)明的保護(hù)范圍之內(nèi)。