专利名称:一种面向横向联网的安全访问控制方法
技术领域:
本发明涉及一种横向联网的安全访问控制方法。
背景技术:
现有的横向联网系统,例如财税库横向联网系统,其特点是多模块、多角色、多业务,而且税款入库环节众多,速度缓慢。因此,财税部门对经收税款的专业银行缺乏有效的监督管理手段,而且业务员在业务量较大时也容易出现差错。目前,财税横向联网面临着内部和外部的安全威胁,从内部来说,由于工作人员hternet网络,外接有毒U盘等行为,存在将病毒传染至业务网络的威胁;从外部来说,存在非授权人员私自介入财税业务网络,传播病毒、窃取或篡改数据等安全威胁。另外,在多个终端计算机在进行业务数据传输与交换时,容易出现流程不规范,从而引发数据外泄,由此也会为财税横向联网的安全造成威胁。现有财税部门信息系统一般采用“B/S”架构和基于“用户名+ 口令”的身份认证方式来解决上述安全威胁。但是,随着财税部门业务工作站数量增加,以及移动手提电脑等移动介质的普及,用户可以在业务相关范围外的设备上登陆信息系统,信息泄露和口令被破解的可能随之增加。因此,用户这种单一的身份认证方式已经不能满足财税部门信息系统的扩展、保障安全性需求。为了保证横向网网络安全,大部分财税部门为业务主机安装了杀毒软件,但由于工作站主机数较多,维护量大,工作人员无法同时更新病毒数据库,操作系统补丁更新也存在相关问题,无法从根本解决财税部门信息安全的威胁。部分财税部门为了防止外来人员随意接入财税部门内部网络,在接入层交换机设置IP、MAC地址与端口的绑定操作还有一些部门安装了 DS入侵检测系统。但是,绑定IP和 MAC地址的安全防御行为工作量较大,IP和MAC地址的更改较为轻松,导致地址绑定无效, IDS入侵检测系统在威胁出现时仅仅能够给出警报信息,无法进行自动的防御和纠正。另外财政横向联网系统中安全访问入侵检测过滤系统是系统中比较重要与核心的部分,而传统的入侵检测过滤过程采用顺序匹配方法,直到第一条匹配的规则,一个过滤规则可能是几百条或更多。由于过滤规则的顺序匹配算法效率太低从而使系统防火墙吞吐量急剧下降,严重影响了网络的性能,传统防火墙之所以采用顺序匹配是因为规则之间存在某种关系,它们的顺序决定了所使用的安全策略,如果顺序改变则相应的安全策略也会发生变化,所以首先来分析规则之间的关系。
发明内容
为了克服已有横向联网的安全访问控制方法的安全性较低、安全控制工作效率较低的不足,本发明提供一种提高安全控制工作效率、提升安全性能的面向横向联网的安全访问控制方法。本发明解决其技术问题所采用的技术方案是一种面向横向联网的安全访问控制方法,所述控制方法包括以下步骤
步骤1、首先根据源、目的地址,源、目的端口号,协议来设定的过滤规则,基于过滤规则这些域的比较来分析它们之间的联系,其规则判断如下 如果规则Rx的任何域都不是规则Ry的子集超集,或者相等,那么Rx与Ry是完全无关的;如果规则Rx的任何域和规则Ry的相应域相等,那么那么Rx与Ry是相等的;如果规则Rx的任何域都是规则Ry的相应域的子集超集或者相等,那么Rx与Ry 是包换关系;步骤2、根据设定过滤规则对数据包进行分类,哈希函数Hkey设计为取IP地址、 端口号各部分折叠、异或运算后、以哈希表长度取模;首先将规则按照哈希函数进行排列,通过哈希函数运算,如果两条规则经过哈希函数运算后落到同一位置,则把这两条规则按照插入顺序组成一个链表结构;基于索引结构的算法主要将有关的规则组成一个链表,并按照规则的设置顺序排列,为它们建立快速索引;步骤3、通过对Rx,Ry相应的域进行比较判断两条规则是否存在屏蔽异常、相关性异常、包含异常、冗余异常,如果Ry的任何域都是Rx的相应域子集或者相等,并且有相同的动作,则Ry是Rx的冗余,如果动作不同,则Ry被Rx屏蔽;如果Ry的任何域都是Rx的相应域的超集,并且动作相同,则Rx是Ry的潜在冗余,动作不同则Ry是Rx的泛化;如果Rx的一些域是Ry的相应域的子集或者相等,并且Rx的一些域是Ry相应域的超集,并且动作不同,则Rx与Ry相关异常;步骤4、访问请求者向横向联网系统提出访问请求;步骤5、系统验证登陆计算机IP和MAC地址,如果IP地址或者MAC不在授权范围内,将进行请求驳回,在授权范围内,转入步骤6 ;步骤6、验证用户名与口令匹配的正确性,根据原始的授权注册信息在用户表中进行匹配,匹配成功则进入下一步骤,不成功则给出错误提示;步骤7、进行核查用户账户的默认权限,分析用户提出的数据库访问请求语句,根据该SQL数据库访问语句,提取出其中涉及到的数据表名、字段名以及查询过滤条件,然后生成一棵分析树;最后,根据生成分析树,判定该用户是否有对该数据库相关数据操作的权限,如果判定成功,则允许进行相关操作,如果判断不成功,则拒绝继续访问。进一步,所述控制方法还包括以下步骤步骤8、操作步骤的实时动态监控首先建立事务流程规范数据库,根据合法用户发出具体业务请求调用数据库相应事物操作流程,如果发生限定时间内无序操作,或者限定时间内的不合规操作,便进行强制退出。本发明的技术构思为对于横向联网系统,例如在财税部门信息系统快速的发展过程中,传统的基于角色的访问控制策略和静态授权模式已不能适应当前信息系统复杂的发展趋势。并且基于角色的传统访问控制模型产生的规则顺序严重影响着系统的防护效率。因此在此基础之上,因此,一种基于事务、时间、空间环境制约因素的角色访问控制模型 -TLRTBAC (time-location-role-transaction-based aceess control),根据哈希表规则禾口索引规则设定合理的规则顺利,用来改进基于角色的传统访问控制模型。一旦发生威胁入侵,系统可进行自动拦截,以防止更大危害的入侵,从而提高系统的安全控制工作效率,使其能够更好地满足财税部门信息系统的安全性需求。
TLRTBAC访问控制模型的基本思想使用系统工作的相关工作人员以一定的角色身份来访问系统,其访问行为首先受到时间因素制约,其次受到MAC地址与IP地址因素制约,再次受到角色权限的审核与及相关事务处理规则的制约。本发明的有益效果主要表现在提高安全控制工作效率、提升安全性能。
图1是面向横向联网的安全访问控制模型示意图。
具体实施例方式下面结合附图对本发明作进一步描述。参照图1,一种面向横向联网的安全访问控制方法,所述控制方法包括以下步骤步骤1、首先根据源、目的地址,源、目的端口号,协议来设定的过滤规则,基于过滤规则这些域的比较来分析它们之间的联系,其规则判断如下如果规则Rx的任何域都不是规则Ry的子集超集,或者相等,那么Rx与Ry是完全无关的; 如果规则Rx的任何域和规则Ry的相应域相等,那么那么Rx与Ry是相等的;如果规则Rx的任何域都是规则Ry的相应域的子集超集或者相等,那么Rx与Ry 是包换关系;步骤2、根据设定过滤规则对数据包进行分类,哈希函数Hkey设计为取IP地址、 端口号各部分折叠、异或运算后、以哈希表长度取模;首先将规则按照哈希函数进行排列,通过哈希函数运算,如果两条规则经过哈希函数运算后落到同一位置,则把这两条规则按照插入顺序组成一个链表结构;基于索引结构的算法主要将有关的规则组成一个链表,并按照规则的设置顺序排列,为它们建立快速索引;步骤3、通过对Rx,Ry相应的域进行比较判断两条规则是否存在屏蔽异常、相关性异常、包含异常、冗余异常,如果Ry的任何域都是Rx的相应域子集或者相等,并且有相同的动作,则Ry是Rx的冗余,如果动作不同,则Ry被Rx屏蔽;如果Ry的任何域都是Rx的相应域的超集,并且动作相同,则Rx是Ry的潜在冗余,动作不同则Ry是Rx的泛化;如果Rx的一些域是Ry的相应域的子集或者相等,并且Rx的一些域是Ry相应域的超集,并且动作不同,则Rx与Ry相关异常;步骤4、访问请求者向横向联网系统提出访问请求;步骤5、系统验证登陆计算机IP和MAC地址,如果IP地址或者MAC不在授权范围内,将进行请求驳回,在授权范围内,转入步骤6 ;步骤6、验证用户名与口令匹配的正确性,根据原始的授权注册信息在用户表中进行匹配,匹配成功则进入下一步骤,不成功则给出错误提示;步骤7、进行核查用户账户的默认权限,分析用户提出的数据库访问请求语句,根据该SQL数据库访问语句,提取出其中涉及到的数据表名、字段名以及查询过滤条件,然后生成一棵分析树;最后,根据生成分析树,判定该用户是否有对该数据库相关数据操作的权限,如果判定成功,则允许进行相关操作,如果判断不成功,则拒绝继续访问。
进一步,所述控制方法还包括以下步骤步骤8、操作步骤的实时动态监控首先建立事务流程规范数据库,根据合法用户发出具体业务请求调用数据库相应事物操作流程,如果发生限定时间内无序操作,或者限定时间内的不合规操作,便进行强制退出。本实施例中,以财税横向联网系统为例,形成财税横向联网信息系统的各类表单, 并建立相关的数据库文档。主要包括以下几个方面(1)在财税横向联网信息安全部门在主题用户分类和信息资产识别的基础上,创建主题用户表和客体资源表,描述两者特征;(2)依据主题用户的行政级别和职责范围,创建财税横向联网信息系统的角色库; 确立主体和角色的对应关系,形成会话集;(3)依据财税横向联网信息系统包含的功能模块,创建功能可实现的操作与客体资源对应的权限表。根据对应关系,建立会话集,实现主题到角色的用户指派。主要包括以下几个方(1)对角色表中各类角色进行权限指派,为其分配权限。使得主题用户可以对客体资源进行访问和操作。(2)建立会话集,主要包括主体-角色对对应关系、角色以及角色与权限对的对应关系,时间空间及事务流程约束集对限制。(3)划定时间因素范畴,包括在职时间与离职时间、工作时间与非工作时间。(4)划定空间因素范畴,空间针对的是用户接入财税横向联网信息系统、行使其访问权限的物理方位。一般对于其权限的行使仅限于各自的工作岗位。(5)划定事务流程规范,对不同角色的人员授予指定的权限,制定各项事务具体的流程操作步骤,根据流程错误的程度给予相应的安全防御策略。首层安全机制是入网的访问控制。主要用来识别工作访问系统的时间和具体的IP 和MAC地址,同时对工作人员在网络内部的角色进行识别,从而控制可以处理的业务范围, 以及相关的业务处理流程。访问模型制约因素的设置主要是根据财税系统的安全目标和需求而设置,时间和空间以及角色的职务权限是比较客观的因素,通过加入相关事务处理流程规则,从而更为合理规范的控制安全访问。操作权限控制策略实现过程(1)用户和用户组被赋予一定的操作权限;(2)网络管理员通过设置指定用户和用户组可以访问具体资源;(3)网络管理员依据信息系统用户的自身职责和用户进行业务操作的时间、空间方面的具体要求来进行动态的操作权限控制。防火墙规则之间的关系。包过滤是工作在网络层过滤规则主要是根据源、目的地址、源、目的端口号、协议来设定的,所以基于过滤规则这些域的比较来分析它们之间的联系。基于哈希表与索引规则的匹配算法。哈希表规则主要处理完全无关和部分无关的规则,其中以部分无关占绝大多数。索引规则主要处理部分无关以及交叉相关、完全无关规则,其中以交叉相关占绝大多数。在哈希算法地址与端口的相加、异或中,CPU都是一次性计算,并且CPU占用较少,算法中地址、端口相加满足交换律,对通信双方发出的数据包可以使用同一运算结果,以此来避免二次匹配问题,所以算法执行效率比较高。基于索引结构的算法,把有关的规则组成一个链表,严格按照规则的设置顺序排列,而彼此之间无关的规则链顺序也任意,可以利用为它们建立快速索引来提高交叉规则的查找速度。威胁检测算法。通过对不同规则的比较,来选择合理的方法进行判断解决。检查异常的基本思想是首先把规则用规则树来表示,然后检查两条规则在规则树的路径上是否相交,如果规则树路径相交,则可能存在威胁异常,可以根据前面的异常定义来判断是何种类型,然后进行相关防护,如果规则树路径不相交,则不存在异常。经过测算,在哈希算法执行过程中,查找异常的时间复杂度为0(1),传统的顺序查找时间复杂度为O(N),并且当同时访问的数目增多时,顺序匹配算法的效率明显下降,可哈希算法则基本没有变化。对于索引算法来说,已经提前按照规则进行过排序,匹配查询采用折半查找,时间复杂度为O(Iog2N),当找到相关规则链便刻意进行顺序匹配规则。一般来说当完全无关和部分无关的规则较多时,采用哈希匹配算法效率比较快,当部分无关以及交叉相关、完全无关规则较多时,索引匹配效率较高,所以将两种方法结合后,先进行规则判断,再进行算法选择,大大提高了工作效率。威胁检测算法在两者的基础之上对访问请求进行控制,提高了地方财政横向联网的系统安全性。系统能根据设定的规则正确地过滤数据包,并且能够根据网络状态以及数据包状态动态改变过滤规则,能记录通过的流量,拒绝的数据包以及受到的攻击形成日志,有报警功能。规则检查能够提示用户存在的规则异常,在管理员插入规则时候能提示应该插入的候选位置,以及删除规则后引起的安全策略的变化等等。这个功能是传统防火墙所没有的,它能极大地减轻管理员的负担,减少人为错误配置规则所产生的安全问题。本实施例的面向财税横向联网的安全访问控制方法,步骤1中,如果规则Rx的任何域都不是规则Ry的子集超集,或者相等,那么Rx与 Ry 是完全无关的。Vi :i x[z+]>/<&[/]其中><e{c,〕,=},i e {prot, src_ip, src_port, dst_ ip, dst_port}。如果规则Rx的任何域和规则Ry的相应域相等,那么那么Rx与Ry是相等的。V^jRJ/] = ^ [/]如果规则Rx的任何域都是规则Ry的相应域的子集超集或者相等,那么Rx与Ry 是包换关系。Vi 础]口灿]and . x
W RM Λ, j ^ {prot, src_ip,src—port,dst_ip,dst—port}步骤4中,访问请求者向系统提出访问请求;如向财税横向联网Web服务访问提出访问请求,如电话报税、Web P0S、网上银行财政拨款、Web报关等。
权利要求
1.一种面向横向联网的安全访问控制方法,其特征在于所述控制方法包括以下步骤步骤1、首先根据源、目的地址,源、目的端口号,协议来设定的过滤规则,基于过滤规则这些域的比较来分析它们之间的联系,其规则判断如下如果规则Rx的任何域都不是规则Ry的子集超集,或者相等,那么Rx与Ry是完全无关的;如果规则Rx的任何域和规则Ry的相应域相等,那么那么Rx与Ry是相等的; 如果规则Rx的任何域都是规则Ry的相应域的子集超集或者相等,那么Rx与Ry是包换关系;步骤2、根据设定过滤规则对数据包进行分类,哈希函数Hkey设计为取IP地址、端口号各部分折叠、异或运算后、以哈希表长度取模;首先将规则按照哈希函数进行排列,通过哈希函数运算,如果两条规则经过哈希函数运算后落到同一位置,则把这两条规则按照插入顺序组成一个链表结构;基于索引结构的算法主要将有关的规则组成一个链表,并按照规则的设置顺序排列, 为它们建立快速索引;步骤3、通过对Rx,Ry相应的域进行比较判断两条规则是否存在屏蔽异常、相关性异常、包含异常、冗余异常,如果Ry的任何域都是Rx的相应域子集或者相等,并且有相同的动作,则Ry是Rx的冗余,如果动作不同,则Ry被Rx屏蔽;如果Ry的任何域都是Rx的相应域的超集,并且动作相同,则Rx是Ry的潜在冗余,动作不同则Ry是Rx的泛化;如果Rx的一些域是Ry的相应域的子集或者相等,并且Rx的一些域是Ry相应域的超集,并且动作不同, 则Rx与Ry相关异常;步骤4、访问请求者向横向联网系统提出访问请求;步骤5、系统验证登陆计算机IP和MAC地址,如果IP地址或者MAC不在授权范围内,将进行请求驳回,在授权范围内,转入步骤6 ;步骤6、验证用户名与口令匹配的正确性,根据原始的授权注册信息在用户表中进行匹配,匹配成功则进入下一步骤,不成功则给出错误提示;步骤7、进行核查用户账户的默认权限,分析用户提出的数据库访问请求语句,根据该 SQL数据库访问语句,提取出其中涉及到的数据表名、字段名以及查询过滤条件,然后生成一棵分析树;最后,根据生成分析树,判定该用户是否有对该数据库相关数据操作的权限, 如果判定成功,则允许进行相关操作,如果判断不成功,则拒绝继续访问。
2.如权利要求1所述的一种面向横向联网的安全访问控制方法,其特征在于所述控制方法还包括以下步骤步骤8、操作步骤的实时动态监控首先建立事务流程规范数据库,根据合法用户发出具体业务请求调用数据库相应事物操作流程,如果发生限定时间内无序操作,或者限定时间内的不合规操作,便进行强制退出。
全文摘要
一种面向横向联网的安全访问控制方法,包括以下步骤步骤1、首先根据源、目的地址,源、目的端口号,协议来设定的过滤规则,基于过滤规则这些域的比较来分析它们之间的联系;步骤2、根据设定过滤规则对数据包进行分类;步骤3、通过对Rx,Ry相应的域进行比较判断两条规则是否存在屏蔽异常、相关性异常、包含异常、冗余异常;步骤4、访问请求者向横向联网系统提出访问请求;步骤5、系统验证登陆计算机IP和MAC地址;步骤6、验证用户名与口令匹配的正确性;步骤7、进行核查用户账户的默认权。本发明提高安全控制工作效率、提升安全性能。
文档编号G06F17/30GK102316115SQ201110288079
公开日2012年1月11日 申请日期2011年9月26日 优先权日2011年9月26日
发明者刘东升, 封毅, 琚春华, 许翀寰, 陈庭贵, 高春园 申请人:浙江工商大学