專利名稱：：一種基于用戶連接信息的細粒度網(wǎng)絡(luò)訪問控制方法
技術(shù)領(lǐng)域：
：本發(fā)明屬于計算機網(wǎng)絡(luò)領(lǐng)域，具體地講是一種基于用戶連接信息的細粒度網(wǎng)絡(luò)訪問控制方法。
背景技術(shù)：
：網(wǎng)絡(luò)訪問控制，也叫網(wǎng)絡(luò)準入控制、網(wǎng)絡(luò)接入控制，其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對企業(yè)安全造成危害。借助網(wǎng)絡(luò)訪問控制，客戶可以只允許合法的、值得信任的端點設(shè)備(例如Pc、服務(wù)器、PDA)接入網(wǎng)絡(luò)，而不允許其它設(shè)備接入。目前進行網(wǎng)絡(luò)訪問控制的方法主要有MAC地址過濾、基于IP地址的訪問控制列表、802.1X身份認證等。MAC地址過濾是基于網(wǎng)絡(luò)設(shè)備唯一ID，通過MAC地址過濾，可以從根本上限制使用網(wǎng)絡(luò)資源的使用者。此種方式缺點為對系統(tǒng)進行重新配置工基于IP地址的訪問控制列表是一種基于包過濾的流向控制技術(shù)。標準訪問控制列表通過把源地址、目的地址以及端口號作為數(shù)據(jù)包檢查的基本元素，并可以自定義規(guī)定符合檢查條件的數(shù)據(jù)包。訪問控制列表通常應(yīng)用在企業(yè)網(wǎng)絡(luò)的出口控制上，但非法用戶可以通過改變IP地址的方法非法訪問網(wǎng)絡(luò)資源。IEEE802.1X是根據(jù)用戶ID或設(shè)備，對網(wǎng)絡(luò)客戶端(或端口)進行鑒權(quán)的標準。該流程被稱為"端口級別的鑒權(quán)"。缺點為802.lx的設(shè)計并不具有成熟的過濾和處理用戶身份的功能，且需要特定的設(shè)備，造價昂貴。
發(fā)明內(nèi)容本發(fā)明的目的是提供一種通過網(wǎng)關(guān)、認證服務(wù)器、客戶端的三方架構(gòu)實現(xiàn)基于用戶身份和權(quán)限對用戶發(fā)起的連接進行審計的基于用戶連接信息的細粒度網(wǎng)絡(luò)訪問控制方法。為了實現(xiàn)上述目的，本發(fā)明所采用的方法為步驟l:客戶端監(jiān)聽當用戶發(fā)起新的連接試圖訪問被網(wǎng)關(guān)隔離的外網(wǎng)資源時，客戶端收集該連接的相關(guān)信息，并將其一并發(fā)送至認證服務(wù)器，由認證服務(wù)器決定對該連接的下一步操作；步驟2:網(wǎng)關(guān)對連接信息進行操作網(wǎng)關(guān)接收到步驟l發(fā)送的訪問外網(wǎng)資源連接，對該連接暫時阻塞，并將其放入待審計連接隊列，并開始運行步驟4的操作；步驟3:認證服務(wù)器對步驟1發(fā)送的連接相關(guān)信息進行權(quán)限審計，具體包括期1.)如果該連接已過期，則拒絕該連接；否則繼續(xù)；2.)如果認證服務(wù)器內(nèi)存中不存在與該連接相關(guān)的訪問控制列表規(guī)則，從數(shù)據(jù)庫服務(wù)器獲取網(wǎng)絡(luò)訪問控制列表的相關(guān)信息，并將其讀入內(nèi)存；第二步根據(jù)內(nèi)存中的訪問控制列表對步驟1的連接信息進行權(quán)限匹配，如果匹配到該連接所屬的權(quán)限組，則根據(jù)匹配到的訪問控制規(guī)則對該連接做出相應(yīng)的決定；否則采取默認策略，丟棄該連接；第三步將步驟1的連接信息以及對該連接信息的匹配過程寫入系統(tǒng)日志以備管理。；步驟4:網(wǎng)關(guān)詢問判斷網(wǎng)關(guān)向認證服務(wù)器詢問步驟2中的待審計隊列中的連接信息的處理結(jié)果，等待認證服務(wù)器對連接及所屬數(shù)據(jù)包的權(quán)限審計決定；步驟5:網(wǎng)關(guān)接收認證服務(wù)器發(fā)送過來的連接處理決定，并應(yīng)用該決定，對步驟1的連接采取放行/丟棄/拒絕的處理。至此，用戶訪問被隔離的外網(wǎng)資源的連接請求得到審計，且同一臺客本發(fā)明基于用戶ID實現(xiàn)對用戶連接的認證，有效的解決了用戶偽造信息的問題，且提高了用戶認證的靈活性。同時以客戶端、網(wǎng)關(guān)、服務(wù)器三方為架構(gòu)，實現(xiàn)了應(yīng)用程序級的精度控制和層次性控制的功能。本發(fā)明對局域網(wǎng)內(nèi)多個用戶的網(wǎng)絡(luò)訪問進行控制，具有較高的控制精度和靈活性，能夠滿足網(wǎng)絡(luò)訪問多層次性的控制要求以及靈活的用戶登錄方法。圖1為本發(fā)明的整體流程圖。圖2為本發(fā)明的整體示意圖。圖中虛線為用戶登錄認證身份步驟。圖3為本發(fā)明的客戶端流程圖。圖4為本發(fā)明的認證服務(wù)器流程圖。圖5為本發(fā)明的網(wǎng)關(guān)流程圖。具體實施方式下面結(jié)合附圖和實施例對本發(fā)明作進一步的詳細說明。步驟1:客戶端收集新連接信息(圖3):第一步客戶端獲取用戶信息，發(fā)送用戶和密碼給認證服務(wù)器，獲取該用戶的相關(guān)用戶信息，如用戶ID。第二步判斷用戶是否發(fā)起新的外網(wǎng)訪問連接，如果是轉(zhuǎn)第三步，否則持續(xù)本步驟。第三步客戶端后臺獲取新連接的相關(guān)信息以及客戶端主機信息。第四步客戶端把上一步所述連接相關(guān)信息、用戶信息及客戶端主機信息一起發(fā)送至認證服務(wù)器，以備認證服務(wù)器對該連接進行權(quán)限審計。發(fā)送完畢后轉(zhuǎn)至第二步，重新執(zhí)行第二步至第四步直至程序退出。步驟2:網(wǎng)關(guān)獲取步驟1第二步中的用戶外網(wǎng)訪問連接，對該連接進行暫時阻塞，并將其放入待審計連接隊列。并開始執(zhí)行步驟4的操作。完成步驟4操作則繼續(xù)步驟5操作，之后等待步驟1發(fā)送的連接請求。(如圖5標號2部分所示)步驟3:獲取網(wǎng)絡(luò)訪問控制列表規(guī)則，對連接信息做出處理并記入日志(圖4)1)判斷用戶連接是否超出有效期根據(jù)用戶連接信息中的時間戳來判斷當前用戶的連接是否超出有效期，如超出有效期，則提示用戶并關(guān)閉連接；否則，至步驟2)2)獲取用戶所在的訪問控制權(quán)限組當用戶第一次與認證服務(wù)器建立連接時，認證服務(wù)器建立此用戶的連接信息，其中包括用戶所在的訪問控制列表組。訪問控制列表如下所示<table>tableseeoriginaldocumentpage8</column></row><table>上述表中帶()的是可選項，該訪問控制列表的可選項還包括操作系統(tǒng)名(可以包括內(nèi)核版本)、有效期、標志等。1)初始化訪問控制列表當用戶所在組的訪問控制列表數(shù)據(jù)存在內(nèi)存中且沒有過期時，至步驟3);否則，查詢數(shù)據(jù)庫獲取此用戶所屬的訪問控制列表，并將此訪問控制列表信息存放在內(nèi)存中。2)對此連接信息做出決定根據(jù)訪問控制列表中的訪問規(guī)則和此連接的源IP地址、目的IP地址、源端口、目的端口、發(fā)起此連接的用戶、此連接所屬的應(yīng)用程序等進行規(guī)則匹配，如果匹配成功，采取相應(yīng)的策略；如果未匹配成功，將采取默認策略，丟棄此連接；3)將該用戶的連接信息及訪問控制列表處理結(jié)果寫入日志，以備管4)檢查用戶連接隊列，如有信息，則至步驟l)，否則輪詢等待用戶連接信息出現(xiàn)。步驟4:網(wǎng)關(guān)向認證服務(wù)器詢問步驟2中的連接信息的處理結(jié)果(如圖541-43所示)。1)網(wǎng)關(guān)從待審計連接隊列中獲取此連接的具體信息，并將此信息拷貝至發(fā)送緩沖區(qū)中。2)若此發(fā)送緩沖區(qū)已滿，則將此緩沖區(qū)中的信息發(fā)送到認證服務(wù)器；否則，至步驟l)3)接收認證服務(wù)器發(fā)送回的連接處理決定。步驟5:對此連接信息做出處理(如圖551-52所示)1)檢測接收緩沖區(qū)中是否有信息，若有，則至步驟2)，否則輪詢等待。2)依據(jù)連接信息的處理結(jié)果，通過操作系統(tǒng)低層機制對用戶連接^:出相應(yīng)的處理。本說明書中未作詳細描述的內(nèi)容屬于本領(lǐng)域?qū)I(yè)技術(shù)人員公知的現(xiàn)有技術(shù)。權(quán)利要求1、一種基于用戶連接信息的細粒度網(wǎng)絡(luò)訪問控制方法，是通過網(wǎng)關(guān)、認證服務(wù)器、客戶端的三方架構(gòu)實現(xiàn)基于用戶身份和權(quán)限對用戶發(fā)起的連接進行審計的網(wǎng)絡(luò)訪問控制方法，其具體步驟為步驟1客戶端監(jiān)聽當用戶發(fā)起新的連接試圖訪問被網(wǎng)關(guān)隔離的外網(wǎng)資源時，客戶端收集該連接的相關(guān)信息，并將其一并發(fā)送至認證服務(wù)器，由認證服務(wù)器決定對該連接的下一步操作；步驟2網(wǎng)關(guān)對連接信息進行操作網(wǎng)關(guān)接收到步驟1發(fā)送的訪問外網(wǎng)資源連接，對該連接暫時阻塞，并將其放入待審計連接隊列，并開始運行步驟4的操作；步驟3認證服務(wù)器對步驟1發(fā)送的連接相關(guān)信息進行權(quán)限審計，具體包括第一步判斷內(nèi)存中是否存在網(wǎng)絡(luò)訪問控制列表以及該連接是否過期1)如果該連接已過期，則拒絕該連接；否則繼續(xù)；2)如果認證服務(wù)器內(nèi)存中不存在與該連接相關(guān)的訪問控制列表規(guī)則，從數(shù)據(jù)庫服務(wù)器獲取網(wǎng)絡(luò)訪問控制列表的相關(guān)信息，并將其讀入內(nèi)存；第二步根據(jù)內(nèi)存中的訪問控制列表對步驟1的連接信息進行權(quán)限匹配，如果匹配到該連接所屬的權(quán)限組，則根據(jù)匹配到的訪問控制規(guī)則對該連接做出相應(yīng)的決定；否則采取默認策略，丟棄該連接；第三步將步驟1的連接信息以及對該連接信息的匹配過程寫入系統(tǒng)日志以備管理；步驟4網(wǎng)關(guān)詢問判斷網(wǎng)關(guān)向認證服務(wù)器詢問步驟2中的待審計隊列中的連接信息的處理結(jié)果，等待認證服務(wù)器對連接及所屬數(shù)據(jù)包的權(quán)限審計決定；步驟5網(wǎng)關(guān)接收認證服務(wù)器發(fā)送過來的連接處理決定，并應(yīng)用該決定，對步驟1的連接采取放行/丟棄/拒絕的處理。2、如權(quán)利要求1所述的基于用戶連接信息的細粒度網(wǎng)絡(luò)訪問控制方法，其特征在于步驟l客戶端發(fā)起新的連接時，獲取新連接的相關(guān)信息，該相關(guān)信息包括客戶端的硬件信息以及系統(tǒng)活動的網(wǎng)絡(luò)連接信息，將這些信息與用戶信息一并發(fā)送至認證服務(wù)器處理。3、如權(quán)利要求1所述的基于用戶連接信息的細粒度網(wǎng)絡(luò)訪問控制方法，其特征在于步驟3認證服務(wù)器首先查找該用戶所屬的權(quán)限組，其次判斷該權(quán)限組規(guī)則信息是否存在內(nèi)存中，然后根據(jù)該具體權(quán)限規(guī)則對步驟l所發(fā)起的連接信息做規(guī)則匹配，若匹配到該連接所屬的規(guī)則，再根據(jù)訪問控制規(guī)則對用戶連接做決定。4.特征在于在用戶網(wǎng)絡(luò)接入設(shè)備中設(shè)置用戶網(wǎng)絡(luò)連接表，在網(wǎng)關(guān)中設(shè)置連接對列表、在服務(wù)器中設(shè)置用戶權(quán)限表和訪問控制列表所述用戶網(wǎng)絡(luò)連接表，包括連接的源IP地址、目的IP地址、源端口、目的端口、用戶名、連接所屬進程名、時間戳;所述連接對列表，包括連接的源IP地址、目的IP地址、源端口、目的端口、時間戳、隊列ID;所述用戶權(quán)限表，包括用戶ID和用戶所屬的權(quán)限組；所述訪問控制列表，包括權(quán)限組ID，源IP地址、目的IP地址、源端口、目的端口、協(xié)議、軟件名稱、決定。全文摘要本發(fā)明涉及了一種基于用戶連接信息的細粒度網(wǎng)絡(luò)訪問控制方法，其核心思想是通過網(wǎng)關(guān)、認證服務(wù)器、客戶端的三方架構(gòu)實現(xiàn)基于用戶身份和權(quán)限對用戶發(fā)起的連接進行審計的網(wǎng)絡(luò)訪問控制方法。該方法通過將客戶端發(fā)起的的每個連接與用戶身份進行綁定實現(xiàn)了一種可以在認證服務(wù)器端對客戶端所發(fā)起的每一個連接，以及發(fā)起該連接的網(wǎng)絡(luò)應(yīng)用程序進行審計與控制的方案。本發(fā)明對局域網(wǎng)內(nèi)多個用戶的網(wǎng)絡(luò)訪問進行控制，具有較高的控制精度和靈活性，能夠滿足網(wǎng)絡(luò)訪問多層次性的控制要求以及靈活的用戶登錄方法。文檔編號H04L12/56GK101616076SQ20091006335公開日2009年12月30日申請日期2009年7月28日優(yōu)先權(quán)日2009年7月28日發(fā)明者毅劉,張立民,熊盛武,佳秦,坤管申請人:武漢理工大學