[发明专利]一种面向横向联网的安全访问控制方法

说明书

技术领域

本发明涉及一种横向联网的安全访问控制方法。

背景技术

现有的横向联网系统，例如财税库横向联网系统，其特点是多模块、多角色、多业务，而且税款入库环节众多，速度缓慢。因此，财税部门对经收税款的专业银行缺乏有效的监督管理手段，而且业务员在业务量较大时也容易出现差错。目前，财税横向联网面临着内部和外部的安全威胁，从内部来说，由于工作人员Internet网络，外接有毒U盘等行为，存在将病毒传染至业务网络的威胁；从外部来说，存在非授权人员私自介入财税业务网络，传播病毒、窃取或篡改数据等安全威胁。另外，在多个终端计算机在进行业务数据传输与交换时，容易出现流程不规范，从而引发数据外泄，由此也会为财税横向联网的安全造成威胁。

现有财税部门信息系统一般采用“B/S”架构和基于“用户名+口令”的身份认证方式来解决上述安全威胁。但是，随着财税部门业务工作站数量增加，以及移动手提电脑等移动介质的普及，用户可以在业务相关范围外的设备上登陆信息系统，信息泄露和口令被破解的可能随之增加。因此，用户这种单一的身份认证方式已经不能满足财税部门信息系统的扩展、保障安全性需求。

为了保证横向网网络安全，大部分财税部门为业务主机安装了杀毒软件，但由于工作站主机数较多，维护量大，工作人员无法同时更新病毒数据库，操作系统补丁更新也存在相关问题，无法从根本解决财税部门信息安全的威胁。

部分财税部门为了防止外来人员随意接入财税部门内部网络，在接入层交换机设置IP、MAC地址与端口的绑定操作还有一些部门安装了DS入侵检测系统。但是，绑定IP和MAC地址的安全防御行为工作量较大，IP和MAC地址的更改较为轻松，导致地址绑定无效，IDS入侵检测系统在威胁出现时仅仅能够给出警报信息，无法进行自动的防御和纠正。

另外财政横向联网系统中安全访问入侵检测过滤系统是系统中比较重要与核心的部分，而传统的入侵检测过滤过程采用顺序匹配方法，直到第一条匹配的规则，一个过滤规则可能是几百条或更多。由于过滤规则的顺序匹配算法效率太低从而使系统防火墙吞吐量急剧下降，严重影响了网络的性能，传统防火墙之所以采用顺序匹配是因为规则之间存在某种关系，它们的顺序决定了所使用的安全策略，如果顺序改变则相应的安全策略也会发生变化，所以首先来分析规则之间的关系。

发明内容

为了克服已有横向联网的安全访问控制方法的安全性较低、安全控制工作效率较低的不足，本发明提供一种提高安全控制工作效率、提升安全性能的面向横向联网的安全访问控制方法。

本发明解决其技术问题所采用的技术方案是：

一种面向横向联网的安全访问控制方法，所述控制方法包括以下步骤：

步骤1、首先根据源、目的地址，源、目的端口号，协议来设定的过滤规则，基于过滤规则这些域的比较来分析它们之间的联系，其规则判断如下：

如果规则Rx的任何域都不是规则Ry的子集超集，或者相等，那么Rx与Ry是完全无关的；

如果规则Rx的任何域和规则Ry的相应域相等，那么那么Rx与Ry是相等的；

如果规则Rx的任何域都是规则Ry的相应域的子集超集或者相等，那么Rx与Ry是包换关系；

步骤2、根据设定过滤规则对数据包进行分类，哈希函数Hkey设计为：取IP地址、端口号各部分折叠、异或运算后、以哈希表长度取模；

首先将规则按照哈希函数进行排列，通过哈希函数运算，如果两条规则经过哈希函数运算后落到同一位置，则把这两条规则按照插入顺序组成一个链表结构；

基于索引结构的算法主要将有关的规则组成一个链表，并按照规则的设置顺序排列，为它们建立快速索引；

步骤3、通过对Rx，Ry相应的域进行比较判断两条规则是否存在屏蔽异常、相关性异常、包含异常、冗余异常，如果Ry的任何域都是Rx的相应域子集或者相等，并且有相同的动作，则Ry是Rx的冗余，如果动作不同，则Ry被Rx屏蔽；如果Ry的任何域都是Rx的相应域的超集，并且动作相同，则Rx是Ry的潜在冗余，动作不同则Ry是Rx的泛化；如果Rx的一些域是Ry的相应域的子集或者相等，并且Rx的一些域是Ry相应域的超集，并且动作不同，则Rx与Ry相关异常；

步骤4、访问请求者向横向联网系统提出访问请求；

步骤5、系统验证登陆计算机IP和MAC地址，如果IP地址或者MAC不在授权范围内，将进行请求驳回，在授权范围内，转入步骤6；