一种对网络数据包进行强制访问控制的方法
【专利摘要】本发明涉及计算机信息安全【技术领域】,特别涉及一种对网络数据包进行强制访问控制的方法。其通过由操作系统内核扩展模块的对本操作系统将发送到网络上的IP数据包的包头的IPOPTIONS字段,添加CIPSO安全标记信息;在该数据包接收方由操作系统内核扩展模块对带有CIPSO标记的IP数据包根据本机预先配置的用户CIPSO标记策略,进行强制访问控制.本方法不需要重新编译整个内核,及定制或专用的操作系统,只需使用内核模块机制在现有操作系统上添加功能扩展即可实现,操作容易实现,且能够有效提高网络安全性,达到信息安全等级要求。
【专利说明】一种对网络数据包进行强制访问控制的方法
【技术领域】
[0001]本发明涉及计算机信息安全【技术领域】,特别涉及一种对网络数据包进行强制访问控制的方法。
【背景技术】
[0002]访问控制是计算机系统中最基础和最重要的安全机制,是保护计算机系统中数据安全的重要手段之一。访问控制分为自主访问控制和强制访问控制。在《信息安全技术操作系统安全技术要求》(GB / T 20272 — 2006)中要求第三级(安全标记保护级)及以上级别的操作系统,必须拥有基于安全标记(标签,以下与标记通用)强制访问控制机制。美国国防部发表的《可信计算机系统评估准则》(TCSEC)中对B1级及以上级别的系统有同样的要求。
[0003]信息安全等级保护是我国经济建设和信息化发展的一项基本政策。安全标记保护级(三级)信息系统的建设在等级保护的研究和实施工作中占有重要地位,区域边界安全防护作为三级信息系统建设中的一项关键技术,是当前信息系统安全整改中的重要课题。但当前对区域边界的研究侧重于应用区域边界防护,不能有效满足三级信息系统对区域边界的安全需求,特别是对带有安全标记的网络数据流的访问控制。《COMMERCIAL IPSECURITY OPTION (CIPSO 2.2)》正是为此而制订,尽管一直没有成为正式的RFC协议,但它已经成为安全操作系统厂商实现强制访问控制从操作系统主机延伸到网络数据包的事实标准,它使得由实现安全标记保护级的安全操作系统构成的各个安全孤岛由于实现《COMMERCIAL IP SECURITY OPTION (CIPSO 2.2)》协议而真正成为一个实现安全标记保护级的安全标记网络。
[0004]CIPS0安全标记信息,是指基于CIPS0 (混沌免疫粒子群优化)算法的安全标记信
肩、Ο
【发明内容】
[0005]为了解决现有技术的问题,本发明提供了一种对网络数据包进行强制访问控制的方法,其通过由操作系统内核扩展模块的对本操作系统将发送到网络上的IP数据包的包头的IP OPTIONS字段,添加CIPS0安全标记信息;在该数据包接收方由操作系统内核扩展模块对带有CIPS0标记的IP数据包根据本机预先配置的用户CIPS0标记策略,进行强制访问控制,该强制访问控制基于BLP (机密性保护)及BIBA (完整性保护)强制访问控制理论,该方法不需要重新编译整个内核,及定制或专用的操作系统,只需使用内核模块机制在现有操作系统上添加功能扩展即可实现,本方法仅限于IPv4的TCP及UDP通信。
[0006]本发明所采用的技术方案如下:
一种对网络数据包进行强制访问控制的方法,是通过为操作系统的内核扩展模块对将要发送到网络上的IP数据包的包头的IP OPTIONS字段添加CIPS0安全标记信息,并在该数据包接收方由操作系统内核扩展模块对带有CIPS0安全标记信息的IP数据包根据预先配置的用户CIPSO标记策略,进行强制访问控制的方法,操作系统启用内核扩展标记模块后,当操作系统内的用户进程与外部其它系统进行IPv4网络通信时,会进行内核扩展标记模块的CIPS0标记设置及CIPS0标记检查过程。
[0007]CIPS0标记设置的过程具体包括以下步骤:
A、当用户进程发送的数据包经过操作系统扩展标记模块时,操作系统扩展标记模块拦截该数据包,获取发送该数据包的进程所属用户的用户身份证明WD ;
B、操作系统扩展标记模块根据所获取的用户身份证明WD,获取用户的CIPS0标记策
略;
C、操作系统扩展标记模块根据获取的用户CIPS0标记策略,在数据包中设置用户CIPS0标记;
D、在完成CIPS0标记设置后,记录相关日志。
[0008]CIPS0标记检查的过程具体包括以下步骤:
A1、当要被用户进程接收的数据包进入操作系统扩展标记模块后,操作系统扩展标记模块获取将要接收该数据包的进程所属用户的用户身份证明UID ;
B1、在获取数据包接收者用户身份证明UID后,根据UID获取用户CIPS0标记策略;
C1、在获取到对应的用户CIPS0标记策略后,开始把该数据包携带的CIPS0标记与步骤B1中获取的用户策略中的CIPS0标记进行匹配检查,根据检查结果进行裁决,是放行该数据包,还是抛弃该数据包,如果抛弃该数据包,则记录违规日志到日志设备。
[0009]本发明提供的技术方案带来的有益效果是:
本发明的一种对网络数据包进行强制访问控制的方法,在遵循《COMMERCIAL IPSECURITY OPTION (CIPSO 2.2)》的网络通信环境中,所有通信主机发送和接收的IPv4数据包均携带用户预先定义好的CIPS0标记,即每一个数据包的CIPS0标记都与发送此数据包的某操作系统用户进程的CIPS0标记相一致,并可根据用户CIPS0策略的动态更新而随时应用新的策略。
[0010]通过由操作系统内核扩展模块LABEL对本操作系统将发送到网络上的IPv4包的包头的IP OPTIONS字段,添加CIPS0安全标记信息;在该数据包接收方由操作系统内核扩展模块LABEL对带有CIPS0标记的IPv4数据包,根据本机预先配置的用户CIPS0标记策略,进行强制访问控制,并使用虚拟连接信息表加快查找用户标记策略的速度。
[0011]本方法不需要重新编译整个内核,及定制或专用的操作系统,只需使用内核模块机制在现有操作系统上添加功能扩展即可实现,操作容易实现,且能够有效提高网络安全性,达到信息安全等级要求。
【专利附图】
【附图说明】
[0012]图1为本发明的一种对网络数据包进行强制访问控制的方法中,对被发送的数据包中设置CIPS0标记的流程图;
图2为本发明的一种对网络数据包进行强制访问控制的方法中,对被发送的数据包中检查CIPS0标记的流程图。
【具体实施方式】[0013]为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
[0014]实施例一
本发明涉及一种对网络数据包进行强制访问控制的方法,在遵循《COMMERCIAL IPSECURITY OPTION (CIPSO 2.2)》的网络通信环境中,所有通过IPv4 (TCP/UDP)进行的通信数据包都要带有CIPS0标记,各通信主机都要根据自己的操作系统上配置的用户标记策略,对进出本操作系统的IPv4(TCP/UDP)数据包进行标记设置及检查检查,以使强制访问控制这种安全机制能从单一操作系统上延伸到网络上。
[0015]本发明的工作过程包括CIPS0标记设置过程和CIPS0标记检查过程:
在发送数据包过程中,CIPS0标记设置过程为:
a.当用户进程发送的数据包经过操作系统扩展标记模块LABEL时,LABEL拦截该数据包,进入步骤1,即获取发送该数据包的进程所属用户的WD ;
b.LABEL模块根据步骤1所获取的用户WD,在步骤2处获取用户CIPS0标记策略;
c.LABEL模块根据步骤2获取的用户CIPS0标记策略,在步骤3中,在数据包中设置用户CIPS0标记;
d.在完成CIPSO标记设置后,记录相关日志,如图1所不。
[0016]在接收数据包过程中,CIPS0标记检查过程为:
a.当要被用户进程接收的数据包进入操作系统扩展标记模块LABEL后,LABEL进入步骤1,获取将要接收该数据包的进程所属用户的WD ;
b.在获取数据包接收者用户UID后,进入步骤2,根据UID获取用户CIPS0标记策略;
c.在获取到对应的用户CIPS0标记策略后,进行步骤3,开始把该数据包携带的CIPS0标记与步骤2获取的用户策略中的CIPS0标记进行匹配检查,根据检查结果进行裁决,是放行该数据包,还是抛弃该数据包,如果是后者,则记录违规日志到日志设备,如图2所示。
[0017]以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种对网络数据包进行强制访问控制的方法,是通过为操作系统的内核扩展模块对将要发送到网络上的IP数据包的包头的IP OPTIONS字段添加CIPS0安全标记信息,并在该数据包接收方由操作系统内核扩展模块对带有CIPS0安全标记信息的IP数据包根据预先配置的用户CIPS0标记策略,进行强制访问控制的方法,操作系统启用内核扩展标记模块后,当操作系统内的用户进程与外部其它系统进行IPv4网络通信时,会进行内核扩展标记模块的CIPS0标记设置及CIPS0标记检查过程。
2.根据权利要求1所述的一种对网络数据包进行强制访问控制的方法,其特征在于,所述的CIPS0标记设置的过程具体包括以下步骤:A、当用户进程发送的数据包经过操作系统扩展标记模块时,操作系统扩展标记模块拦截该数据包,获取发送该数据包的进程所属用户的用户身份证明nD ;B、操作系统扩展标记模块根据所获取的用户身份证明WD,获取用户的CIPS0标记策略;C、操作系统扩展标记模块根据获取的用户CIPS0标记策略,在数据包中设置用户CIPS0标记;D、在完成CIPS0标记设置后,记录相关日志。
3.根据权利要求1所述的一种对网络数据包进行强制访问控制的方法,其特征在于,所述的CIPS0标记检查的过程具体包括以下步骤:A1、当要被用户进程接收的数据包进入操作系统扩展标记模块后,操作系统扩展标记模块获取将要接收该数据包的进程所属用户的用户身份证明UID ;B1、在获取数据包接收者用户身份证明UID后,根据UID获取用户CIPS0标记策略;C1、在获取到对应的用户CIPS0标记策略后,开始把该数据包携带的CIPS0标记与步骤B1中获取的用户策略中的CIPS0标记进行匹配检查,根据检查结果进行裁决,是放行该数据包,还是抛弃该数据包,如果抛弃该数据包,则记录违规日志到日志设备。
【文档编号】H04L29/06GK103647771SQ201310671068
【公开日】2014年3月19日 申请日期:2013年12月12日 优先权日:2013年12月12日
【发明者】周水波, 王超, 任元 申请人:浪潮电子信息产业股份有限公司