一種基於用戶連接信息的細粒度網絡訪問控制方法
2023-06-05 19:50:36 1
專利名稱::一種基於用戶連接信息的細粒度網絡訪問控制方法
技術領域:
:本發明屬於計算機網絡領域,具體地講是一種基於用戶連接信息的細粒度網絡訪問控制方法。
背景技術:
:網絡訪問控制,也叫網絡準入控制、網絡接入控制,其宗旨是防止病毒和蠕蟲等新興黑客技術對企業安全造成危害。藉助網絡訪問控制,客戶可以只允許合法的、值得信任的端點設備(例如Pc、伺服器、PDA)接入網絡,而不允許其它設備接入。目前進行網絡訪問控制的方法主要有MAC地址過濾、基於IP位址的訪問控制列表、802.1X身份認證等。MAC地址過濾是基於網絡設備唯一ID,通過MAC地址過濾,可以從根本上限制使用網絡資源的使用者。此種方式缺點為對系統進行重新配置工基於IP位址的訪問控制列表是一種基於包過濾的流向控制技術。標準訪問控制列表通過把源地址、目的地址以及埠號作為數據包檢查的基本元素,並可以自定義規定符合檢查條件的數據包。訪問控制列表通常應用在企業網絡的出口控制上,但非法用戶可以通過改變IP位址的方法非法訪問網絡資源。IEEE802.1X是根據用戶ID或設備,對網絡客戶端(或埠)進行鑑權的標準。該流程被稱為"埠級別的鑑權"。缺點為802.lx的設計並不具有成熟的過濾和處理用戶身份的功能,且需要特定的設備,造價昂貴。
發明內容本發明的目的是提供一種通過網關、認證伺服器、客戶端的三方架構實現基於用戶身份和權限對用戶發起的連接進行審計的基於用戶連接信息的細粒度網絡訪問控制方法。為了實現上述目的,本發明所採用的方法為步驟l:客戶端監聽當用戶發起新的連接試圖訪問被網關隔離的外網資源時,客戶端收集該連接的相關信息,並將其一併發送至認證伺服器,由認證伺服器決定對該連接的下一步操作;步驟2:網關對連接信息進行操作網關接收到步驟l發送的訪問外網資源連接,對該連接暫時阻塞,並將其放入待審計連接隊列,並開始運行步驟4的操作;步驟3:認證伺服器對步驟1發送的連接相關信息進行權限審計,具體包括期1.)如果該連接已過期,則拒絕該連接;否則繼續;2.)如果認證伺服器內存中不存在與該連接相關的訪問控制列表規則,從資料庫伺服器獲取網絡訪問控制列表的相關信息,並將其讀入內存;第二步根據內存中的訪問控制列表對步驟1的連接信息進行權限匹配,如果匹配到該連接所屬的權限組,則根據匹配到的訪問控制規則對該連接做出相應的決定;否則採取默認策略,丟棄該連接;第三步將步驟1的連接信息以及對該連接信息的匹配過程寫入系統日誌以備管理。;步驟4:網關詢問判斷網關向認證伺服器詢問步驟2中的待審計隊列中的連接信息的處理結果,等待認證伺服器對連接及所屬數據包的權限審計決定;步驟5:網關接收認證伺服器發送過來的連接處理決定,並應用該決定,對步驟1的連接採取放行/丟棄/拒絕的處理。至此,用戶訪問被隔離的外網資源的連接請求得到審計,且同一臺客本發明基於用戶ID實現對用戶連接的認證,有效的解決了用戶偽造信息的問題,且提高了用戶認證的靈活性。同時以客戶端、網關、伺服器三方為架構,實現了應用程式級的精度控制和層次性控制的功能。本發明對區域網內多個用戶的網絡訪問進行控制,具有較高的控制精度和靈活性,能夠滿足網絡訪問多層次性的控制要求以及靈活的用戶登錄方法。圖1為本發明的整體流程圖。圖2為本發明的整體示意圖。圖中虛線為用戶登錄認證身份步驟。圖3為本發明的客戶端流程圖。圖4為本發明的認證伺服器流程圖。圖5為本發明的網關流程圖。具體實施方式下面結合附圖和實施例對本發明作進一步的詳細說明。步驟1:客戶端收集新連接信息(圖3):第一步客戶端獲取用戶信息,發送用戶和密碼給認證伺服器,獲取該用戶的相關用戶信息,如用戶ID。第二步判斷用戶是否發起新的外網訪問連接,如果是轉第三步,否則持續本步驟。第三步客戶端後臺獲取新連接的相關信息以及客戶端主機信息。第四步客戶端把上一步所述連接相關信息、用戶信息及客戶端主機信息一起發送至認證伺服器,以備認證伺服器對該連接進行權限審計。發送完畢後轉至第二步,重新執行第二步至第四步直至程序退出。步驟2:網關獲取步驟1第二步中的用戶外網訪問連接,對該連接進行暫時阻塞,並將其放入待審計連接隊列。並開始執行步驟4的操作。完成步驟4操作則繼續步驟5操作,之後等待步驟1發送的連接請求。(如圖5標號2部分所示)步驟3:獲取網絡訪問控制列表規則,對連接信息做出處理並記入日誌(圖4)1)判斷用戶連接是否超出有效期根據用戶連接信息中的時間戳來判斷當前用戶的連接是否超出有效期,如超出有效期,則提示用戶並關閉連接;否則,至步驟2)2)獲取用戶所在的訪問控制權限組當用戶第一次與認證伺服器建立連接時,認證伺服器建立此用戶的連接信息,其中包括用戶所在的訪問控制列表組。訪問控制列表如下所示tableseeoriginaldocumentpage8上述表中帶的是可選項,該訪問控制列表的可選項還包括作業系統名(可以包括內核版本)、有效期、標誌等。1)初始化訪問控制列表當用戶所在組的訪問控制列表數據存在內存中且沒有過期時,至步驟3);否則,查詢資料庫獲取此用戶所屬的訪問控制列表,並將此訪問控制列表信息存放在內存中。2)對此連接信息做出決定根據訪問控制列表中的訪問規則和此連接的源IP位址、目的IP位址、源埠、目的埠、發起此連接的用戶、此連接所屬的應用程式等進行規則匹配,如果匹配成功,採取相應的策略;如果未匹配成功,將採取默認策略,丟棄此連接;3)將該用戶的連接信息及訪問控制列表處理結果寫入日誌,以備管4)檢查用戶連接隊列,如有信息,則至步驟l),否則輪詢等待用戶連接信息出現。步驟4:網關向認證伺服器詢問步驟2中的連接信息的處理結果(如圖541-43所示)。1)網關從待審計連接隊列中獲取此連接的具體信息,並將此信息拷貝至發送緩衝區中。2)若此發送緩衝區已滿,則將此緩沖區中的信息發送到認證伺服器;否則,至步驟l)3)接收認證伺服器發送回的連接處理決定。步驟5:對此連接信息做出處理(如圖551-52所示)1)檢測接收緩衝區中是否有信息,若有,則至步驟2),否則輪詢等待。2)依據連接信息的處理結果,通過作業系統低層機制對用戶連接^:出相應的處理。本說明書中未作詳細描述的內容屬於本領域專業技術人員公知的現有技術。權利要求1、一種基於用戶連接信息的細粒度網絡訪問控制方法,是通過網關、認證伺服器、客戶端的三方架構實現基於用戶身份和權限對用戶發起的連接進行審計的網絡訪問控制方法,其具體步驟為步驟1客戶端監聽當用戶發起新的連接試圖訪問被網關隔離的外網資源時,客戶端收集該連接的相關信息,並將其一併發送至認證伺服器,由認證伺服器決定對該連接的下一步操作;步驟2網關對連接信息進行操作網關接收到步驟1發送的訪問外網資源連接,對該連接暫時阻塞,並將其放入待審計連接隊列,並開始運行步驟4的操作;步驟3認證伺服器對步驟1發送的連接相關信息進行權限審計,具體包括第一步判斷內存中是否存在網絡訪問控制列表以及該連接是否過期1)如果該連接已過期,則拒絕該連接;否則繼續;2)如果認證伺服器內存中不存在與該連接相關的訪問控制列表規則,從資料庫伺服器獲取網絡訪問控制列表的相關信息,並將其讀入內存;第二步根據內存中的訪問控制列表對步驟1的連接信息進行權限匹配,如果匹配到該連接所屬的權限組,則根據匹配到的訪問控制規則對該連接做出相應的決定;否則採取默認策略,丟棄該連接;第三步將步驟1的連接信息以及對該連接信息的匹配過程寫入系統日誌以備管理;步驟4網關詢問判斷網關向認證伺服器詢問步驟2中的待審計隊列中的連接信息的處理結果,等待認證伺服器對連接及所屬數據包的權限審計決定;步驟5網關接收認證伺服器發送過來的連接處理決定,並應用該決定,對步驟1的連接採取放行/丟棄/拒絕的處理。2、如權利要求1所述的基於用戶連接信息的細粒度網絡訪問控制方法,其特徵在於步驟l客戶端發起新的連接時,獲取新連接的相關信息,該相關信息包括客戶端的硬體信息以及系統活動的網絡連接信息,將這些信息與用戶信息一併發送至認證伺服器處理。3、如權利要求1所述的基於用戶連接信息的細粒度網絡訪問控制方法,其特徵在於步驟3認證伺服器首先查找該用戶所屬的權限組,其次判斷該權限組規則信息是否存在內存中,然後根據該具體權限規則對步驟l所發起的連接信息做規則匹配,若匹配到該連接所屬的規則,再根據訪問控制規則對用戶連接做決定。4.特徵在於在用戶網絡接入設備中設置用戶網絡連接表,在網關中設置連接對列表、在伺服器中設置用戶權限表和訪問控制列表所述用戶網絡連接表,包括連接的源IP位址、目的IP位址、源埠、目的埠、用戶名、連接所屬進程名、時間戳;所述連接對列表,包括連接的源IP位址、目的IP位址、源埠、目的埠、時間戳、隊列ID;所述用戶權限表,包括用戶ID和用戶所屬的權限組;所述訪問控制列表,包括權限組ID,源IP位址、目的IP位址、源埠、目的埠、協議、軟體名稱、決定。全文摘要本發明涉及了一種基於用戶連接信息的細粒度網絡訪問控制方法,其核心思想是通過網關、認證伺服器、客戶端的三方架構實現基於用戶身份和權限對用戶發起的連接進行審計的網絡訪問控制方法。該方法通過將客戶端發起的的每個連接與用戶身份進行綁定實現了一種可以在認證伺服器端對客戶端所發起的每一個連接,以及發起該連接的網絡應用程式進行審計與控制的方案。本發明對區域網內多個用戶的網絡訪問進行控制,具有較高的控制精度和靈活性,能夠滿足網絡訪問多層次性的控制要求以及靈活的用戶登錄方法。文檔編號H04L12/56GK101616076SQ20091006335公開日2009年12月30日申請日期2009年7月28日優先權日2009年7月28日發明者毅劉,張立民,熊盛武,佳秦,坤管申請人:武漢理工大學