[发明专利]检查项可定制的网络访问控制方法

说明书

技术领域

本发明涉及一种信息安全技术领域的方法，具体是一种检查项可定制的网络访问控制方法。

背景技术

随着网络互联技术的应用和发展，网络与信息安全问题日益突出，网络的安全性越来越难以得到保证。针对目前出现的网络安全威胁，多种网络安全系统应运而生，如防火墙、入侵检测系统以及网络漏洞扫描系统等。在目前已有的各种网络安全技术中，网络访问控制技术是比较常用的网络安全技术之一，网络防火墙以及多种形式的网络连接控制设备的核心技术就是网络访问控制技术。

网络访问控制技术的基本原理是在网络出/入口(网关等)处，截获或监视进出内部网络的报文，按照一定的规则，对网络报文的相关字段进行检查，对符合检查条件的网络报文给予放行，而拒绝不满足检查条件的报文通过。

报文检查规则的对象和内容是网络访问控制的核心问题之一，具体来说包含三个层次的问题：对哪些网络协议的报文进行检查，对指定协议报文中的哪些字段进行检查以及对指定字段进行哪种类型的检查。如果我们将针对指定协议的指定字段进行的检查称为一个检查项，如何确定检查项以及如何实现相应的检查是网络访问控制实施的关键问题之一。

对一个既定的网络访问控制系统而言，一方面网络安全需求的改变会导致所要求的检查项发生改变，另一方面该网络访问控制系统的应用环境发生改变也可能导致所要求的检查项发生改变。因此实现一个能够按需求定制检查项的网络访问控制系统就显得非常重要。

经对现有技术文献资料的检索发现，Gilbert Held在“Cisco SecurityArchitecture”(Cisco安全体系结构，机械工业出版社，1999.10)一书中提出了Access Control List，ACL技术(访问控制列表技术)，该技术限定了检查项为协议类型、源地址、目的地址、源端口和目的端口。目前已有的网络访问控制系统(如防火墙、安全网关等)在实现网络访问控制模块时常采用ACL技术，因而该类网络访问控制系统所能支持的检查项固定为协议类型、源地址、目的地址、源端口和目的端口，在系统维护和使用灵活性上存在一定的不足，具体表现在：系统在设计和实现之后，所能支持的检查项就固定下来，一旦应用场景或网络需求发生改变，要对另外的网络协议或者原有协议的其它字段进行检查和控制时，即需要增加新的检查项，只能以重新开发系统的方式来实现，而无法通过配置原有系统的方式来实现。

发明内容

本发明针对现有技术的不足和缺陷，提出一种检查项可定制的网络访问控制方法，以增强目前网络访问控制系统的使用灵活性。本发明利用协议的格式定义，使得网络访问控制系统在进行网络访问控制时，基于所描述的检查项进行检查和控制，在检查项的确定上具有好的灵活性和扩展性，能有效解决目前网络访问控制系统不能扩展新检查项的不足。

本发明是通过以下技术方案实现的，本发明包括以下步骤：

第一步、检查项定制：首先通过检查项定制界面选取待配置检查项的特征要素，然后由检查项生成模块生成符合检查项特征描述语言格式规范的检查项脚本；

所述的待配置检查项是指在特定的网络访问控制中对网络报文进行检查和控制的若干特征要素。

所述的检查项定制界面是指以计算机软件的形式描述出特定的网络访问控制中的特征要素，实现检查项定制的人机交互界面。

所述的检查项特征描述语言是指描述和定义待配置检查项的特征要素的形式化语言。

所述的待配置检查项的特征要素包括字段特征要素和协议特征要素两部分，其中字段特征要素包括：检查项名称、对应的待检查的协议字段名、待检查字段在报文中位置、待检查字段的宽度、待检查字段的数据类型、待检查字段内容的表示形式、待检查字段的取值范围和待检查字段所支持的运算类型；协议特征要素包括：协议层次、协议号、协议字段数量和协议头长度。

所述的检查项生成模块通过检查项定制界面，将所配置检查项的特征要素按照检查项特征描述语言的格式规范生成检查项脚本。

所述的检查项脚本是指：描述待配置检查项的特征要素的文本文件，其格式和内容符合检查项特征描述语言规范。

第二步、网络访问控制规则的生成：通过访问控制规则配置界面，采用与或方式进行逻辑组合，配置相应的网络访问控制规则并保存为访问控制规则库；

所述的访问控制规则库是指：以文件或数据库形式存在的记录结合，每条记录对应一条网络访问控制规则，该网络访问控制规则包括：检查项、对应检查项的检查结果逻辑计算方式和访问控制决策结果。