技術領域

本發明涉及一種信息安全技術領域的方法，具體是一種檢查項可定制的網絡訪問控制方法。

背景技術

隨著網絡互聯技術的應用和發展，網絡與信息安全問題日益突出，網絡的安全性越來越難以得到保證。針對目前出現的網絡安全威脅，多種網絡安全系統應運而生，如防火墻、入侵檢測系統以及網絡漏洞掃描系統等。在目前已有的各種網絡安全技術中，網絡訪問控制技術是比較常用的網絡安全技術之一，網絡防火墻以及多種形式的網絡連接控制設備的核心技術就是網絡訪問控制技術。

網絡訪問控制技術的基本原理是在網絡出/入口(網關等)處，截獲或監視進出內部網絡的報文，按照一定的規則，對網絡報文的相關字段進行檢查，對符合檢查條件的網絡報文給予放行，而拒絕不滿足檢查條件的報文通過。

報文檢查規則的對象和內容是網絡訪問控制的核心問題之一，具體來說包含三個層次的問題：對哪些網絡協議的報文進行檢查，對指定協議報文中的哪些字段進行檢查以及對指定字段進行哪種類型的檢查。如果我們將針對指定協議的指定字段進行的檢查稱為一個檢查項，如何確定檢查項以及如何實現相應的檢查是網絡訪問控制實施的關鍵問題之一。

對一個既定的網絡訪問控制系統而言，一方面網絡安全需求的改變會導致所要求的檢查項發生改變，另一方面該網絡訪問控制系統的應用環境發生改變也可能導致所要求的檢查項發生改變。因此實現一個能夠按需求定制檢查項的網絡訪問控制系統就顯得非常重要。

經對現有技術文獻資料的檢索發現，Gilbert?Held在“Cisco?SecurityArchitecture”(Cisco安全體系結構，機械工業出版社，1999.10)一書中提出了Access?Control?List，ACL技術(訪問控制列表技術)，該技術限定了檢查項為協議類型、源地址、目的地址、源端口和目的端口。目前已有的網絡訪問控制系統(如防火墻、安全網關等)在實現網絡訪問控制模塊時常采用ACL技術，因而該類網絡訪問控制系統所能支持的檢查項固定為協議類型、源地址、目的地址、源端口和目的端口，在系統維護和使用靈活性上存在一定的不足，具體表現在：系統在設計和實現之后，所能支持的檢查項就固定下來，一旦應用場景或網絡需求發生改變，要對另外的網絡協議或者原有協議的其它字段進行檢查和控制時，即需要增加新的檢查項，只能以重新開發系統的方式來實現，而無法通過配置原有系統的方式來實現。

發明內容

本發明針對現有技術的不足和缺陷，提出一種檢查項可定制的網絡訪問控制方法，以增強目前網絡訪問控制系統的使用靈活性。本發明利用協議的格式定義，使得網絡訪問控制系統在進行網絡訪問控制時，基于所描述的檢查項進行檢查和控制，在檢查項的確定上具有好的靈活性和擴展性，能有效解決目前網絡訪問控制系統不能擴展新檢查項的不足。

本發明是通過以下技術方案實現的，本發明包括以下步驟：

第一步、檢查項定制：首先通過檢查項定制界面選取待配置檢查項的特征要素，然后由檢查項生成模塊生成符合檢查項特征描述語言格式規范的檢查項腳本；

所述的待配置檢查項是指在特定的網絡訪問控制中對網絡報文進行檢查和控制的若干特征要素。

所述的檢查項定制界面是指以計算機軟件的形式描述出特定的網絡訪問控制中的特征要素，實現檢查項定制的人機交互界面。

所述的檢查項特征描述語言是指描述和定義待配置檢查項的特征要素的形式化語言。

所述的待配置檢查項的特征要素包括字段特征要素和協議特征要素兩部分，其中字段特征要素包括：檢查項名稱、對應的待檢查的協議字段名、待檢查字段在報文中位置、待檢查字段的寬度、待檢查字段的數據類型、待檢查字段內容的表示形式、待檢查字段的取值范圍和待檢查字段所支持的運算類型；協議特征要素包括：協議層次、協議號、協議字段數量和協議頭長度。

所述的檢查項生成模塊通過檢查項定制界面，將所配置檢查項的特征要素按照檢查項特征描述語言的格式規范生成檢查項腳本。

所述的檢查項腳本是指：描述待配置檢查項的特征要素的文本文件，其格式和內容符合檢查項特征描述語言規范。

第二步、網絡訪問控制規則的生成：通過訪問控制規則配置界面，采用與或方式進行邏輯組合，配置相應的網絡訪問控制規則并保存為訪問控制規則庫；

所述的訪問控制規則庫是指：以文件或數據庫形式存在的記錄結合，每條記錄對應一條網絡訪問控制規則，該網絡訪問控制規則包括：檢查項、對應檢查項的檢查結果邏輯計算方式和訪問控制決策結果。