一种面向横向联网的安全访问控制方法

摘要

一种面向横向联网的安全访问控制方法，包括以下步骤：步骤1、首先根据源、目的地址，源、目的端口号，协议来设定的过滤规则，基于过滤规则这些域的比较来分析它们之间的联系；步骤2、根据设定过滤规则对数据包进行分类；步骤3、通过对Rx，Ry相应的域进行比较判断两条规则是否存在屏蔽异常、相关性异常、包含异常、冗余异常；步骤4、访问请求者向横向联网系统提出访问请求；步骤5、系统验证登陆计算机IP和MAC地址；步骤6、验证用户名与口令匹配的正确性；步骤7、进行核查用户账户的默认权。本发明提高安全控制工作效率、提升安全性能。

主权项

一种面向横向联网的安全访问控制方法，其特征在于：所述控制方法包括以下步骤：步骤1、首先根据源、目的地址，源、目的端口号，协议来设定的过滤规则，基于过滤规则这些域的比较来分析它们之间的联系，其规则判断如下：如果规则Rx的任何域都不是规则Ry的子集超集，或者相等，那么Rx与Ry是完全无关的；如果规则Rx的任何域和规则Ry的相应域相等，那么那么Rx与Ry是相等的；如果规则Rx的任何域都是规则Ry的相应域的子集超集或者相等，那么Rx与Ry是包换关系；步骤2、根据设定过滤规则对数据包进行分类，哈希函数Hkey设计为：取IP地址、端口号各部分折叠、异或运算后、以哈希表长度取模；首先将规则按照哈希函数进行排列，通过哈希函数运算，如果两条规则经过哈希函数运算后落到同一位置，则把这两条规则按照插入顺序组成一个链表结构；基于索引结构的算法主要将有关的规则组成一个链表，并按照规则的设置顺序排列，为它们建立快速索引；步骤3、通过对Rx，Ry相应的域进行比较判断两条规则是否存在屏蔽异常、相关性异常、包含异常、冗余异常，如果Ry的任何域都是Rx的相应域子集或者相等，并且有相同的动作，则Ry是Rx的冗余，如果动作不同，则Ry被Rx屏蔽；如果Ry的任何域都是Rx的相应域的超集，并且动作相同，则Rx是Ry的潜在冗余，动作不同则Ry是Rx的泛化；如果Rx的一些域是Ry的相应域的子集或者相等，并且Rx的一些域是Ry相应域的超集，并且动作不同，则Rx与Ry相关异常；步骤4、访问请求者向横向联网系统提出访问请求；步骤5、系统验证登陆计算机IP和MAC地址，如果IP地址或者MAC不在授权范围内，将进行请求驳回，在授权范围内，转入步骤6；步骤6、验证用户名与口令匹配的正确性，根据原始的授权注册信息在用户表中进行匹配，匹配成功则进入下一步骤，不成功则给出错误提示；步骤7、进行核查用户账户的默认权限，分析用户提出的数据库访问请求语句，根据该SQL数据库访问语句，提取出其中涉及到的数据表名、字段名以及查询过滤条件，然后生成一棵分析树；最后，根据生成分析树，判定该用户是否有对该数据库相关数据操作的权限，如果判定成功，则允许进行相关操作，如果判断不成功，则拒绝继续访问。