【技术实现步骤摘要】
信息流无干扰策略的网络强制访问控制实现方法及装置
[0001]本专利技术涉及可信计算的网络行为检测
,更具体地说,涉及一种信息流无干扰策略的网络强制访问控制实现方法及装置。
技术介绍
[0002]传统防火墙最擅长网络边界防护趋于“模糊与消失”,使以“防火墙、入侵检测和防病系统”的“老三样”安全防护越来越显得力不从心。
[0003]首先,防火墙防护能力有限。阻止或允许特定IP地址和端口,未能有限阻止未授权用户、未授权监听服务或守护进程。
[0004]第二,防火墙端口阻塞不再有效,无法有效防范客户端网络攻击。
[0005]第三,防火墙管理难度大,正确设置防火墙安全策略是痛点之一。
[0006]亟待着专家型的高性能可信防火云,用于全面网络威胁的强制访问控制,具有包过滤、状态检测、应用防御、网络强制访问控制等实时安全监测和快速响应的防御能力,自适应安全策略配置和专家系统,并具有为关保网络系统提供结构化保护,具有业务工作流强制的保障能力,可广泛应用于各种规模的企业、不同位置和工业环境。
[0007]防火墙是现代网络安全防护技术中的重要构成内容,通过内部与外部网络的中间过程,部署网络访问控制防御系统,可有效地防护外部的侵扰与影响。同时,具有一定的抗攻击能力,对于外部攻击具有自我保护的作用。
[0008]目前,网络访问控制方法,包含MAC地址过滤、VLAN隔离、ACL自主访问控制方法,和防火墙控制法,在最大限度上限制了源IP地址、目的IP地址、源上联端口号、目的上联端口号的访问 ...
【技术保护点】
【技术特征摘要】
1.一种信息流无干扰策略的网络强制访问控制实现方法,其特征在于,包括:设置基于信息流无干扰策略的强制访问控制模型;设置基于信息流无干扰策略的强控仲裁机;对应用协议进行深度检测及过滤。2.根据权利要求1所述的信息流无干扰策略的网络强制访问控制实现方法,其特征在于,所述设置基于信息流无干扰策略的强制访问控制模型,包括:在低等级信息域与高等级信息域之间的信道设立输入完整性检查室,以对于违反预设第一安全策略的操作,经输入完整性检查室检查后允许访问或拒绝访问;在高等级信息域与低等级信息域之间的信道设立输出保密性检查室,以对于违反预设第二安全策略的操作,经输出保密性检查室检查后允许访问或拒绝访问;在输入完整性检查室的输入端和输出端分别设立第一输入状态监视器及第一输出状态监视器;在输出保密性检查室的输入端和输出端分别设立第二输入状态监视器及第二输出状态监视器;基于信息流无干扰模型检测业务状态机,并构成业务任务序列,所述业务任务序列包括时序状态、空间状态和状态机变迁的触发条件,并设置多种违反安全原则的控制点,以构成业务流检测拓扑关系。3.根据权利要求2所述的信息流无干扰策略的网络强制访问控制实现方法,其特征在于,所述设置基于信息流无干扰策略的强控仲裁机,包括:依据强制访问控制模型,将敏感信息系统划分为高等级信息域与低等级信息域,以使所有由高等级信息域向低等级信息域流动的信息需经过保密性检查室检查,防止高等级信息域泄露到低等级信息域;低等级信息域向高等级信息域流动的信息需经过完整性检查室检查,防止低等级信息域破坏高等级信息域;通过外代理安全接入防止非授权接入,其中,低等级信息域发起接入访问,对发起方进行授权认证,并对业务执行操作的实体通过完整性认证,并对业务信息进行签字、验签,实现发起方可信接入,外代理安全接入由外代理状态监视器执行完整性度量验证;设置无干扰策略模型组件,以检查由低等级信息域流向高等级信息域的信息,禁止破坏系统完整性的信息进入;并检查由高等级信息域流向低等级信息域的信息,禁止内部敏感信息外泄;设置网络隔离、通道隔离、协议净化和内容深度检查的功能组件,保证无干扰策略的强制访问控制;无干扰策略模型组件的完整性条件,由设立的完整性度量检测器进行验证;保密性条件,由设立的保密性度量检测器进行验证;通过内代理安全接入进行非授权外联,通过预设的应用访问控制对高等级信息域的业务关键数据进行签字和验签,禁止内侧敏感信息外泄,并对高等级信息域执行无干扰模型所施加的信息流向策略集进行复核,审计高等级信息域未授权的用户和违规的操作,内代理安全接入由内代理状态监视器执行保密性度量验证;设置安全管控中心,外代理状态监视器、内代理状态监视器、完整性度量检测器及保密性度量检测器通过公共管理总线与安全管控中心执行互操作。4.根据权利要求3所述的信息流无干扰策略的网络强制访问控制实现方法,其特征在于,所述设置基于信息流无干扰策略的强控仲裁机,还包括:
设置强控仲裁机所满足的第一特性及第二特性,其中,第一特性为主体s可读客体o,当且仅当λ(s)≥λ(o)和ω(s)≤ω(o);第二特性为主体s可写客体o当且仅当λ(s)≤λ(o)和ω(s)≥ω(o);主体s的保密性表示为λ(s),主体s的完整性表示为ω(s),客体o的保密性表示为λ(o),客体o的完整性表示为ω(o),≥和≤分别表示支配和被支配关系;设置强制控制判决函数h(λ(s),λ(o),ω(s),ω(o),m,t)为真,当且仅当主体s与客体o同时满足第一特性及第二特性;并设置第三特性,第三特性为通信连接允许通过防火墙当且仅当h(λ(s),λ(o), ω(s),ω(o),m,t)为真;设置访问控制判决函数a(S,O,m,t,r)和报文过滤函数K(d,t,r),设置第四特性,第四特性为网络数据流允许通过防火墙并且仅当a(S,O,m,t,r)和K(d,t,r)同时为真;设置计算机主体S和网络服务器客体O,上传或下载的访问模式m,防火墙的过滤规则r,报文内容d,连接状态t;将第三特性及第四特性组合以构成防火墙系统的自主和强制访问控制机制,a(s,o,m,t,r)、k(d,t,r)和h(λ(s),λ(o), ω(s),ω(o),m,t) 的共同作用保证一次网络通信连接的安全性。5.根据权利要求1所述的信息流无干扰策略的网络强制访问控制实现方法,其特征在于,所述对应用协议进行深度检测及过滤,包括:将应用层协议编排成并行检测任务,并按特征匹配、多模匹配、自适应匹配和最优规则树匹配的梯度逼近,选择深度分析;选择多模匹配算法;采用多模匹配算法,在安全检测中表现其效能;统计各协议变量特征及相关匹配模式特征,结合备选多模式匹配算法的性能特征,为规则匹配树节点选择最优的多模式匹配算法;若统计值显示当前网络数据趋势稳定,则进行动态算法选择,确定是否有大幅超过当前算法效率的算法模块存在,并进行调用;进行串匹配、协议字段匹配及多数据类型模式匹配,从而将多个模式中的相同协议字段归并,构建一个或多个树型模式结构,达到一次匹配多个模式的目的。6.一种信息流无干扰策略的网络强制访问控制实现装置,其特征在于,包括:模型设置模块,用于设置基于信息流无干扰策略的强制访问控制模型;仲裁设置模块,用于设置基于信息流无干扰策略的强控仲裁机;检测过滤模块,用于对应用协议进行深度检测及过滤。7....
【专利技术属性】
技术研发人员:胡金华,戚建淮,徐国前,唐娟,崔宸,
申请(专利权)人:深圳市永达电子信息股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。