专利名称:操作系统中网络驱动层的数据访问控制方法
技术领域:
本发明涉及计算机科学与技术领域,特别涉及ー种操作系统中网络驱动层的数据访问控制方法。
背景技术:
访问控制是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。传统的通用操作系统基本都是采用在IP层或应用层来加入访问控制,从而允许或限制数据的传输。采用这种方法的问题是,当操作系统出现漏洞吋,通常能够轻易的绕过IP层或应用层,使得操作系统网络的安全性遭到破坏。
发明内容
本发明的目的旨在至少解决上述技术缺陷之一。为此,本发明提出ー种操作系统中网络驱动层的数据访问控制方法,该方法动态管理权限规则库,使用网卡访问控制监视器实时监测分析网络数据包以及相关信息并根据权限规则库规则进行处理。该方法通过在操作系统的网络驱动层引入访问控制技术,提高了操作系统对网络设备及网络数据的控制,增强了操作系统网络的安全性。本发明的实施例提出了ー种操作系统中网络驱动层的数据访问控制方法,包括如下步骤设置权限规则库,并对所述权限规则库进行动态管理,其中所述权限规则库记录操作系统的网络设备和网络数据包采用的规则;网卡访问控制监视器实时监测网卡的发送数据包和接收数据包以及所述发送数据包和接收数据包的信息,并抓取所述网络的当前数据通路上的数据包以及所述当前数据通路上的数据包对应的数据信息;所述网卡访问控制监视器加载所述权限规则库,并将所述当前数据通路上的数据包对应的数据信息与所述权限规则库中的规则进行匹配,根据匹配结果处理所述当前数据通路上的数据包。根据本发明的操作系统中网络驱动层的数据访问控制方法,在操作系统的网络驱动层引入访问控制技术,提高了操作系统对网络设备及网络数据的控制,增强了操作系统网络的安全性。在本发明的一个实施例中,所述权限规则库设置在所述操作系统内核所在的内存区域。在本发明的一个实施例中,所述对权限规则库进行动态管理,包括如下步骤对所述权限规则库的更新实时生效,以及将更新的所述权限规则实时推送至所述网卡访问控制监视器。在本发明的一个实施例中,所述权限规则库记录的权限规则包括默认规则,所述默认规则为系统预设的对网络设备和网络数据包采用的规则;和自定义规则,所述自定义规则为根据网络情况自定义的权限规则,其中,所述自定义规则的优先级高于所述默认规则。
在本发明的一个实施例中,所述网卡访问控制监视器位于网络驱动的抽象层和实际网卡驱动之间的数据通路上,能够实时监测分析网卡需要发送和接收的数据包及相关信肩、ο在本发明的一个实施例中,所述抓取所述网络的当前数据通路上的数据包,包括如下步骤对于每个当前数据通路上的数据包,所述网卡访问控制监视器建立网络数据包, 并将当前数据通路上的数据包复制到所述网络数据包中,对所述网络数据包中的数据进行分析处理。在本发明的一个实施例中,所述当前数据通路上的数据包对应的数据信息包括 MAC地址、源IP地址、目的IP地址以及对应的网卡设备的标识信息。在本发明的一个实施例中,所述将所述当前数据通路上的数据包对应的数据信息与所述权限规则库中的规则进行匹配,包括如下步骤所述网卡访问控制监视器检测所述MAC地址,并将所述当前数据通路上的数据包对应的数据信息与所述权限规则库规则中的规则进行匹配,如果所述当前数据通路上的数据包对应的数据信息与所述权限规则库规则中的规则匹配,则对所述数据包进行放行处理,否则丢弃所述数据包。在本发明的一个实施例中,所述对数据包进行放行处理,包括如下步骤将所述数据包发送给TCP/IP协议栈进行处理。本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中图1为根据本发明实施例的操作系统中网络驱动层的数据访问控制方法流程框图;图2为根据本发明实施例在计算机体系结构中所处位置示意图;以及图3为根据本发明实施例的网卡访问控制监视器的处理流程框图。
具体实施例方式下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过參考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。參照下面的描述和附图,将清楚本发明的实施例的这些和其他方面。在这些描述和附图中,具体公开了本发明的实施例中的ー些特定实施方式,来表示实施本发明的实施例的原理的ー些方式,但是应当理解,本发明的实施例的范围不受此限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。下面參考图1至图3描述根据本发明实施例的操作系统中网络驱动层的数据访问控制方法。
如图1所示,根据本发明实施例的操作系统中网络驱动层的数据访问控制方法, 包括如下步骤步骤SllO 首先设置权限规则库,然后对权限规则库进行动态管理。其中,权限规则库记录操作系统的网络设备和网络数据包采用的规则。权限规则库存储在操作系统内核所在的内存区域,可以由具有最高权限的系统管理员对该权限规则库进行维护和管理。在本发明的一个实施例中,权限规则库记录的权限规则包括以下两种(1)默认规则,默认规则为系统预设的对网络设备和网络数据包采用的规则,換言之默认规则为系统默认情况下对网络设备和网络数据包采用的规则。(2)自定义规则,自定义规则为根据网络情况自定义的权限规则,其中,自定义规则可以由系统管理员进行定义。在本发明的一个实施例中,自定义规则的优先级高于默认规则。权限规则库中记录的各项规则可以根据网络的实际情况进行更新,从而需要对权限规则库进行动态管理。具体地,对权限规则库的更新实时生效,換言之,当权限规则库中的某些规则发生修改吋,这些修改内容可以获得即时生效。此外,更新的权限规则可以实时推送至网卡访问控制监视器。步骤S120 网卡访问控制监视器实时监测网卡的发送数据包和接收数据包以及发送数据包和接收数据包的信息,并抓取网络的当前数据通路上的数据包以及对应的数据
イロ‘ >Ε、。如图2所示,网卡访问控制监视器位于网络驱动的抽象层和实际网卡驱动之间的数据通路上,并且可以接收由操作系统内核所在的内存区域实时推送的权限规则库。在本发明的一个实施例中,网卡访问控制监视器可以对ー个或多个网卡进行监视。图2示出了网卡访问控制监视器对三个网卡驱动的监控,分别为RTL8139网卡驱动、RTL8169网卡驱动和E1000网卡驱动。可以理解的吋,上述网卡驱动仅是出于示例的目的,而不是为了限制本发明。网卡访问控制监视器还可以对其他类型的网卡进行监控。网络访问控制监视器可以实时监测ー个或多个网卡的发送数据包和接收数据包以及发送机接收数据包的相关信息。网络访问控制监视器在监测上述数据包及相关信息的同吋,抓取网络的当前数据通路上的数据包。具体地,对于每个当前数据通路上的数据包,网卡访问控制监视器建立网络数据包,并将当前数据通路上的数据包复制到新创建的网络数据包中,对网络数据包中的数据进行分析处理。网络访问控制监视器还收集当前数据通路上的数据包对应的数据信息。在本发明的一个实施例中,当前数据通路上的数据包对应的数据信息包括MAC(Medium Access Control,介质访问控制层)地址、源IP (Internet Protocol,网络之间互连的协议)地址、 目的IP地址以及对应的网卡设备的标识信息,其中,根据对应的网卡设备的标识信息可以获知使用的网卡设备。步骤S130 在网络系统服务启动吋,网卡访问控制监视器加载操作系统内核所在的内存区域中的权限规则库,并且当规则被管理员实时修改后将更新过的规则推送至网卡访问控制监视器。然后,网卡访问控制监视器将当前数据通路上的数据包对应的数据信息与权限规则库中的规则进行匹配,根据匹配结果处理当前数据通路上的数据包。步骤S131 网卡访问控制监视器将当前数据通路上的数据包对应的数据信息与权限规则库中的规则进行匹配,包括如下步骤步骤S1311 网卡访问控制监视器检测MAC地址,并将当前数据通路上的数据包对应的数据信息与权限规则库规则中的规则进行匹配。步骤S1312 如果当前数据通路上的数据包对应的数据信息与权限规则库规则中的规则匹配,则对数据包进行放行处理(允许进入),否则丢弃数据包(放弃进入)。步骤S132 对数据包进行放行处理,包括如下步骤将数据包发送给TCP/IP协议栈进行处理。下面參考图3对本发明实施例的操作系统中网络驱动层的数据访问控制方法进行详细描述。如图3所示,网卡访问控制监视器的处理流程包括如下步骤。步骤S210 读取权限规则库的相关权限规则信息。网卡访问控制监视器加载权限规则库的数据,当权限规则被实时修改后会实时将更新过的权限规则推送给网卡访问控制监视器。步骤S220 对发送和接收到的数据包在网络驱动层进行拦截分析,此步骤与步骤 S120对应。步骤S230 检查MAC地址,判断需要使用的网卡设备及其他信息是否和规则库规则匹配。步骤S240 如果匹配,则放行处理,将数据包交给TCP/IP协议栈进行处理。步骤S250 如果不匹配,则阻止数据包进入,直接丢弃。根据本发明的操作系统中网络驱动层的数据访问控制方法,在操作系统的网络驱动层引入访问控制技术,提高了操作系统对网络设备及网络数据的控制,增强了操作系统网络的安全性。流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的順序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质"可以是任何可以包含、存储、通信、 传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPR0M或闪速存储器),光纤装置,以及便携式光盘只读存储器(⑶ROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另ー实施方式中一祥,可用本领域公知的下列技术中的任一项或他们的组合来实现具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。本技术领域的普通技术人员可以理解实现上述实施例方法携帯的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于ー种计算机可读存储介质中,该程序在执行吋,包括方法实施例的步骤之一或其組合。此外,在本发明各个实施例中的各功能単元可以集成在ー个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上単元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用吋,也可以存储在一个计算机可读取存储介质中。上述提到的存储介质可以是只读存储器,磁盘或光盘等。在本说明书的描述中,參考术语“ー个实施例”、“一些实施例”、“示例”、“具体示例”、或“ー些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少ー个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同限定。
权利要求
1.ー种操作系统中网络驱动层的数据访问控制方法,其特征在干,包括如下步骤设置权限规则库,并对所述权限规则库进行动态管理,其中所述权限规则库记录操作系统的网络设备和网络数据包采用的规则;网卡访问控制监视器实时监测网卡的发送数据包和接收数据包以及所述发送数据包和接收数据包的信息,并抓取所述网络的当前数据通路上的数据包以及所述当前数据通路上的数据包对应的数据信息;所述网卡访问控制监视器加载所述权限规则库,并将所述当前数据通路上的数据包对应的数据信息与所述权限规则库中的规则进行匹配,根据匹配结果处理所述当前数据通路上的数据包。
2.如权利要求1所述的操作系统中网络驱动层的数据访问控制方法,其特征在干,所述权限规则库设置在所述操作系统内核所在的内存区域。
3.如权利要求2所述的操作系统中的网络驱动层的数据访问控制方法,其特征在干, 所述对权限规则库进行动态管理,包括如下步骤对所述权限规则库的更新实时生效,以及将更新的所述权限规则实时推送至所述网卡访问控制监视器。
4.如权利要求1所述的操作系统中网络驱动层的数据访问控制方法,其特征在干,所述权限规则库记录的权限规则包括默认规则,所述默认规则为系统预设的对网络设备和网络数据包采用的规则;和自定义规则,所述自定义规则为根据网络情况自定义的权限规则,其中,所述自定义规则的优先级高于所述默认规则。
5.如权利要求1所述的操作系统中网络驱动层的数据访问控制方法,其特征在干,所述网卡访问控制监视器位于网络驱动的抽象层和实际网卡驱动之间的数据通路上。
6.如权利要求1所述的操作系统中网络驱动层的数据访问控制方法,其特征在干,所述抓取所述网络的当前数据通路上的数据包,包括如下步骤对于每个当前数据通路上的数据包,所述网卡访问控制监视器建立网络数据包,并将当前数据通路上的数据包复制到所述网络数据包中,对所述网络数据包中的数据进行分析处理。
7.如权利要求1所述的操作系统中网络驱动层的数据访问控制方法,其特征在干,所述当前数据通路上的数据包对应的数据信息包括MAC地址、源IP地址、目的IP地址以及对应的网卡设备的标识信息。
8.如权利要求7所述的操作系统中网络驱动层的数据访问控制方法,其特征在干,所述将所述当前数据通路上的数据包对应的数据信息与所述权限规则库中的规则进行匹配, 包括如下步骤所述网卡访问控制监视器检测所述MAC地址,并将所述当前数据通路上的数据包对应的数据信息与所述权限规则库规则中的规则进行匹配,如果所述当前数据通路上的数据包对应的数据信息与所述权限规则库规则中的规则匹配,则对所述数据包进行放行处理,否则丢弃所述数据包。
9.如权利要求8所述的操作系统中网络驱动层的数据访问控制方法,其特征在干,所述对数据包进行放行处理,包括如下步骤将所述数据包发送给TCP/IP协议栈进行处理。
全文摘要
本发明提出一种操作系统中网络驱动层的数据访问控制方法,包括设置权限规则库,并对权限规则库进行动态管理,其中权限规则库记录操作系统的网络设备和网络数据包采用的规则;网卡访问控制监视器实时监测网卡的发送数据包和接收数据包以及发送数据包和接收数据包的信息,并抓取所述网络的当前数据通路上的数据包以及当前数据通路上的数据包对应的数据信息;网卡访问控制监视器加载所述权限规则库,并将当前数据通路上的数据包对应的数据信息与权限规则库中的规则进行匹配,根据匹配结果处理当前数据通路上的数据包。本发明在操作系统的网络驱动层引入访问控制技术,提高了操作系统对网络设备及网络数据的控制,增强了操作系统网络的安全性。
文档编号H04L29/12GK102571434SQ20121000766
公开日2012年7月11日 申请日期2012年1月11日 优先权日2012年1月11日
发明者朱龙云, 胡事民, 赵鹏 申请人:清华大学