CN102368760B - 多级信息系统间的数据安全传输方法 - Google Patents
多级信息系统间的数据安全传输方法 Download PDFInfo
- Publication number
- CN102368760B CN102368760B CN201010617987.3A CN201010617987A CN102368760B CN 102368760 B CN102368760 B CN 102368760B CN 201010617987 A CN201010617987 A CN 201010617987A CN 102368760 B CN102368760 B CN 102368760B
- Authority
- CN
- China
- Prior art keywords
- safety label
- main body
- packet
- information system
- label
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明提供了一种多级信息系统间的数据安全传输方法,包括:主体所在信息系统的区域边界网关根据访问请求中所包含的主体的安全标记判定是否要做安全性处理;主体所在系统的区域边界网关根据所述主体与客体的安全标记查找是否存在相应的标记安全通道,若不存在,创建新的标记安全通道,然后执行下一步,否则,直接执行下一步;将主体的安全标记中的信息写入访问请求的数据包的IP选项字段,然后将数据包通过标记安全通道转发到客体所在的信息系统,由其区域边界网关经由标记安全通道接收数据包;将安全策略进行比较,比较结果一致则放行数据包,否则丢弃;客体接收到数据包后,判断主体对客体的操作类型,根据操作类型实现主体对客体的读或写。
Description
技术领域
本发明涉及等级保护领域,特别涉及多级信息系统间的数据安全传输方法。
背景技术
等级保护作为国家致力推行的一项政策,已逐渐作为一种信息安全防护的手段,成为信息安全领域研究的重要内容。它依据信息系统的使命与目标,根据系统重要程度,将信息系统划分为不同的安全等级,并综合平衡安全成本和风险,形成不同等级的安全措施,实现对信息系统的安全保护。
在《计算机信息系统安全保护等级划分准则》(GB 17859)中,我国将计算机信息系统安全保护能力划分为五个等级,即:用户自主保护级(第一级)、系统审计保护级(第二级)、安全标记保护级(第三级)、结构化保护级(第四级)、访问验证保护级(第五级)。2007年国家基本完成了信息系统的定级工作,今后的主要任务是为信息系统的安全进行整改建设,这也标志着我国等级保护工作的全面实施。但是,信息系统在安全整改后势必会造成信息的孤岛,这与信息化建设中信息交换的实际相违背。因此,如何在系统定级后保持不同安全等级或同等级的信息系统之间的互联互通,是面向等级保护的系统安全整改工作必须解决的关键问题。
根据信息系统的定级结果来看,全国三级信息系统多达五万多个,而三级以上信息系统必须要具有安全标记功能。因此,研究安全标记对我国信息系统的整改工作具有非常重要的意义,它是多等级信息系统间安全互联的基础。
针对安全标记方面的研究,国外的研究比较多,主要集中在多级安全(MLS)方面的研究。Bell DE与LaPadula L J在1973年《Secure computersystem:a mathematical model》以及Biba K j在1977年《Integrityconsiderations for secure computer systems》中提出的BLP和BIBA模型都将安全标记定义为主体、客体的一个安全属性,它包括级别和范畴。其中,级别是指主体、客体的等级,通常包括机密、秘密、公开等,而范畴是指主体、客体活动的范围。通过安全标记的上述属性能够完成数据的机密性和完整性保护,但是其仅仅限制在了敏感级别、范畴集,对其他的安全属性带来的影响并没有进行必要的说明。此外,在这两个模型中,也未阐述安全标记与信息、数据流如何绑定的问题。
RFC1457(Security Label Framework for the Internet,互联网安全标记框架)中将安全标记定义为机密性安全标记、完整性标记,在其文档中说明了如何实现对数据的机密性与完整性保护,并给出了安全标记的作用与目的。但是在其安全标记中,机密性与完整性是分开进行定义与说明的,并未指出安全标记具体还涵盖哪些内容,未能实现机密性与完整性的统一。此外,文档只是大概说明了在OSI七层结构中标记在每一层的实现方式与作用,并简要说明了中间节点与端系统处理标记数据的方式,但是互联网发展到今天,文献中的许多内容已经不适合或是不能在现今网络中应用,文献中也并没有给出安全标记的具体内容与格式,以及安全标记的具体实施方法。
FIPS PUB 188(Standard Security Label for Information Transfer,信息传输安全标记)中定义了安全标记的格式,并进行了说明,但是其定义还存在一些局限性,未能实现多维安全属性标记的统一,而且在多级安全策略实施中,还存在着灵活性差的问题,同时也未阐述安全标记如何与数据流进行绑定以及安全性问题。
国内对安全标记的研究,侧重于BLP、BIBA模型中安全标记的应用,应用研究的对象主要为操作系统,并没有将安全标记的限定信息的读写拓展到网络当中,这显然无法满足我国保护多级信息系统安全互联的需求。
发明内容
本发明的目的是克服现有技术中的安全标记的维度少,缺乏如何利用安全标记进行数据传输的相关方法的缺陷,从而提供一种利用安全标记实现多级信息系统间的数据安全传输的方法。
为了实现上述目的,本发明提供了一种多级信息系统间的数据安全传输方法,包括:
步骤10)、一信息系统中的一主体向另一信息系统中的一客体发起访问请求;
步骤20)、所述主体所在信息系统的区域边界网关根据所述访问请求中所包含的所述主体的安全标记判定是否要做安全性处理,当需要做安全性处理时,执行下一步,否则进一步判断是直接通过该请求消息还是拒绝,若为直接通过,则转入步骤40),若为拒绝,则丢弃该请求消息的数据包;其中,
所述安全标记包括头部分与安全标签集,所述安全标签集包括有至少一个安全标签,一个所述的安全标签描述了至少一种安全标记实施策略;所述安全标签包含安全标签类型,所述安全标签类型为机密性标签、完整性标签与可用性标签中的一种;
步骤30)、所述主体所在系统的区域边界网关根据所述主体与所述客体的安全标记查找是否存在相应的标记安全通道,若不存在,创建新的标记安全通道,然后执行下一步,否则,直接执行下一步;
步骤40)、将所述主体的安全标记中的信息写入所述访问请求的数据包的IP选项字段,然后将数据包通过所述标记安全通道转发到所述客体所在的信息系统,由所述客体所在信息系统的区域边界网关经由所述标记安全通道接收所述数据包;
步骤50)、由所述客体的安全标记与所述主体的安全标记得到安全策略,将所述安全策略与所述主体所在信息系统的区域边界网关的安全策略进行比较,在比较结果一致的前提下放行所述数据包,否则丢弃所述数据包;
步骤60)、所述客体接收到数据包后,根据所述主体的安全标记、所述客体的安全标记以及访问控制规则判断所述主体对所述客体的操作类型,根据所述操作类型实现所述主体对所述客体的读或写。
上述技术方案中,在所述的步骤10)与步骤20)之间,还包括:
步骤11)、所述主体所在信息系统的区域边界网关对所述访问请求消息的数据包做轨迹跟踪处理,查找标记连接状态表,得到返回值,若其返回值表示已经绑定到某一轨迹且符合标记连接状态,则直接执行步骤40),若其返回值为新建状态,那么查找主体安全标记,然后执行步骤20),若其返回值表示已绑定到某一轨迹,但不符合该轨迹状态,则释放此数据包;
在所述的步骤20)中,还包括:当该请求消息被拒绝时,将安全标记动态绑定到此会话连接,建立标记状态连接表;
在所述的步骤40)与步骤50)之间,还包括:
步骤41)、对所述数据包进行轨迹跟踪处理,得到返回值,若所述返回值表示为已经绑定到某一轨迹且符合标记连接状态,直接将数据包按照标记连接状态中的处理方式进行处理;若返回值为新建状态,执行步骤50);若返回值为已经绑定到某一轨迹且不符合标记连接状态,则丢弃数据包;
在所述步骤50)中还包括:在丢弃所述数据包后,将安全标记动态绑定到此会话连接,建立标记状态连接表。
上述技术方案中,在所述的步骤30)中,所述的创建新的标记安全通道包括:
步骤30-1)、所述主体所在信息系统的区域边界网关发送建立标记安全通道的请求消息到所述客体所在信息系统的区域边界网关;该请求消息包括所述主体的安全标记信息,所述客体的标识信息;
步骤30-2)、所述客体所在信息系统的区域边界网关查找所述客体的安全标记,结合所述主体的安全标记决定是否允许建立所述标记安全通道,若允许,发送响应消息给所述主体所在信息系统的区域边界网关;所述响应消息包括所述标记安全通道的级别、算法在内的标记安全通道参数;
步骤30-3)、所述主体所在信息系统的区域边界网关获得标记安全通道参数后,向所述客体所在信息系统的区域边界网关返回确认消息,建立所述的标记安全通道。
上述技术方案中,所述主体所在信息系统的区域边界网关与所述客体所在信息系统的区域边界网关各自对所发送的消息进行加密,对所接收的消息进行解密。
上述技术方案中,在所述的步骤40)中,在将所述主体的安全标记中的信息写入所述访问请求的数据包的选项字段后,还包括对所述数据包进行加密、认证、封装的操作,然后再将数据包通过所述标记安全通道转发到所述客体所在的信息系统;
在所述步骤40)中,所述客体所在信息系统的区域边界网关经由所述标记安全通道接收所述数据包时,还要对所述数据包做解密、认证、解封装的操作。
上述技术方案中,所述的访问控制规则包括:
①若主体安全级为LLL,客体安全级为LLL,则主体对客体所允许的操作为可读可写;若客体安全级为HLL、HLH、HHL、HHH,则不允许主体对客体的操作;
②若主体安全级为HLL,客体为HLL,则主体对客体所允许的操作为可读可写;若客体安全级为LLL、HLH、HHL、HHH,则主体对客体所允许的操作为可写;
③若主体安全级为HLH,客体安全级为HLL,则主体对客体所允许的操作为可读;若客体安全级为HLH,则主体对客体所允许的操作为可读可写,若客体安全级为HHH,则主体对客体所允许的操作为可写;若客体安全级为LLL和HHL,则不允主体对客体的操作;
④若主体安全级为HHL,客体安全级为HLL,则主体对客体所允许的操作为可读;若客体安全级为HHL则主体对客体所允许的操作为可读可写;若客体安全级为HHH,则主体对客体所允许的操作为可写;若客体安全级为LLL和HLH,则不允许主体对客体的操作;
⑤若主体安全级为HHH,客体安全级为HLL,则主体对客体所允许的操作为可读;若客体安全级为HLH,则主体对客体所允许的操作为可读;若客体安全级为HHH,则主体对客体所允许的操作为可读可写;若客体安全级为LLL,则不允许主体对客体的操作;
其中,L表示低,H表示高。
本发明的优点在于:
1、本发明将安全标记拓展到等级保护网络,提出了网络安全标记与数据流的绑定方法,实现了多级信息系统之间的数据安全传输,对消除等级保护引起的信息孤岛,促进不同等级信息系统间的信息共享,推动信息系统整改工作,使等级保护在信息化建设中发挥重要作用。
2、本发明将标记与会话连接进行动态逻辑绑定,有效地提高了系统的安全处理数据包的效率。
附图说明
图1为一个实施例中本发明的网络安全标记的数据格式示意图;
图2为一个实施例中本发明的网络安全标签的数据格式示意图;
图3为密级的线性关系示意图;
图4为在一个实施例中本发明中所涉及的范畴的树形表示示意图;
图5为安全标记的三维安全属性的示意图;
图6为在一个实施例中的安全标记生成系统的示意图;
图7为在一个实施例中所涉及的IPSO数据格式的示意图;
图8为在一个实施例中,多级信息系统间安全传输实例的示意图;
图9为在一个实施例中多级信息系统间安全传输数据报文格式的示意图;
图10多级信息系统间安全传输数据包外出处理
图11多级信息系统间安全传输数据包进入处理
具体实施方式
下面结合附图和具体实施方式对本发明加以说明。
基本概念
在对本发明的具体实现做详细说明之前,首先对本发明中所涉及的一些概念做统一的说明。
(1)、主体(Subject)
本申请中的主体是指对某类资源发起访问的请求者或者是双方通信的发起者。比如用户、主机、子网、地址范围、用户组、子网组以及地址组等,均可定义为主体。
(2)、客体(Object)
客体是与主体相对的概念,它是指被主体访问的资源。比如文件、数据库、web服务、ftp服务、子网、主机、地址范围、地址组等,均可定义为客体。
(3)、安全标记(Secure Label)
安全标记是主体、客体安全属性的一类描述,它规定了主体、客体的访问或被访问的权限、活动的领域等。
(4)、安全标签(Secure Tag)
安全标签是安全标记的数据部分,用于标识主体、客体的安全实施策略。
(5)、保护域(Protected Domain)
保护域是具有某种共同安全利益关系,并在需要时允许进行密码通信的可信主体、客体的集合。保护域可为物理的域,也可指逻辑意义上的域。
安全标记与安全标签的数据格式
在对本申请中所涉及的相关概念做上述说明后,下面对之前提到的安全标记与安全标签的数据格式做详细说明。
在图1中示出了在一个实施例中,本申请所涉及的安全标记的数据格式,安全标记至少包括安全标记的头部分和安全标签集两大部分。安全标记头部分主要包括安全标记符、安全标记长度、安全标记类型、安全标签集名、例外策略位,这些部分所要表达的具体含义如下:
安全标记符:用于对安全标记进行功能、用途等各个方面的描述。
安全标记长度:用于描述安全标记的整个长度。安全标记的最大长度为40字节,若长度超过40字节,则可扩展到TCPSO、UDPSO中,可扩展部分的长度不超过20字节。
安全标记类型:安全标记类型规定了安全标记的用途,比如应用层安全标记、网络层标记符、安全标记服务等。有了安全标记类型,多种不同类型的安全标记就能够用相同的数据格式加以表示,有效完成了多种安全标记的统一。
安全标签集名:一个安全标记中允许有多个安全标签,这些在同一安全标记中的所有安全标签的集合被称为安全标签集,安全标签集名用来表示安全标签集的名称。
安全标签总长度:用于说明安全标记携带了多少个安全标签。
例外策略位:用于可信实体的例外策略以及主体的例外策略。关于例外策略将会在下文中加以描述。
安全标记的数据部分包含了多个安全标签,这些安全标签组成所述的安全标签集。在一个安全标签内,描述了至少一种安全标记实施策略,因此,主体通过一个安全标记能够实现对不同安全域内信息的客体的处理。每个安全标签的数据格式是相同的,在图2中给出了在一个实施例中安全标签的数据格式,它包括安全标签描述、安全标签名、安全标签类型、安全标签长度、安全级别、范畴属性、范畴数据。这些部分所要表达的具体含义如下:
安全标签描述:用于对安全标签进行详细说明,包括用途、功能、特别声明等,安全标签描述也可以为空。
安全标签名:定义安全标签的名称,并能在一定程度上反映安全标签的含义与用途。例如某一客体安全标记中安全标签名为SendTo,这代表“这个文档是发送至哪些人?而其它人则不可以接收”,而DeptOnly则代表“仅仅这个部门的成员可以访问”。
安全标签类型:在本实施例中,安全标签类型可以为机密性标签、完整性标签、可用性标签中的一种,它有效保证了多维安全属性的有机统一。安全标签的具体类型可扩展。
安全标签长度:单个安全标签的长度。
安全级别:是指敏感级别,可为绝密、机密、秘密、内文、无分类,也可分为局长、处长、科长、科员等,可根据管理者的习惯进行合理的定义。在下文对安全级别的描述中有进一步的说明。
范畴属性:范畴属性是指范畴数据属于哪一个类型,它有两种类型,一种是范围类型,一种是枚举类型。范围类型是指主体能够访问的具体领域,而枚举类型则是根据主体身份而规定的特殊访问进行限制。在下文中将会对范畴要详细说明。
范畴数据:依据范畴属性,描述范畴内容的值。在下文中还将对范畴的相关概念有进一步的说明。
安全级别(Secure Label)
在信息系统的等级保护中,安全级别是一个必然要涉及到的概念。安全级别L是一个线性偏序关系,(L,≤)称作线性等级系统。对于任意的li,lj∈L,li≤lj,当且仅当i≤j。图3说明了在一个实施例中,线性等级系统的划分;一般的,将一个信息系统的级别划分为五个安全等级,它们的关系是unclassified(公开的)<restricted(受限的)<confidential(秘密的)<secret(机密的)<top_secret(绝密的)。
一个线性等级系统(L,≤)中存在l0,对于所有的i,l0≤li;同样,存在元素lr,对于所有的i,li≤lr,那么,l0,lr分别被称为这个等级系统的最大元与最小元,也就是这个等级系统的最低安全级别与最高安全级别。
一个多级安全信息系统中,可以依据实际需求来进行密级划分,比如可采用简单的静态线性关系的划分,也可以采用动态多级安全标记密级划分方法。
范畴(Category)
范畴中的元素用于说明主体、客体所作用的范围,是基于数据信息的一种强制性范围划分,比一个公司的各部门,可以划分为人事部、财政部、设计部等等,范畴的划分对于保护数据是非常重要的。
范畴为划分的域,它的标识可用树的形式进行表示。假设某一信息系统范畴节点的表示形式为4位数字,那么每个范畴下面最多可设置16个不同的子集节点。以图4为例,范围最大的范畴节点用0000表示,在它之下的范围较小的范畴节点可以用00000001、00000010、00000011等表示。
范畴的分配应遵循的原则:具有上下属关系的范畴集,由于它们之间存在包含关系,因此主体不能跨越两个具有上下属关系的两个范畴集,若跨越,则将出现策略的冗余,所以主体可以跨越不存在上下属关系的范畴集。
范畴类型分为范围类型和枚举两种类型。
(1)、范围类型
范围类型指的不是从小到大这样一个范围,而是指主体或客体作用的领域,领域包括若干子域,各个域之间构建为树形结构,也就说,作用于父域的主体,同样可以作用于子域。
例如某一单位的子机关包括有行政管理机关、人事处、组织处、信息中心,而在人事处下又包括有办公室、档案室,在信息中心下又包括有办公室、管理中心。在范畴集中,单位用0000表示,人事处用00000001表示,人事处下的办公室、档案室分别用000000010001、000000010010表示,组织处用00000010表示,信息中心用00000011表示,信息中心之下的办公室、管理中心分别用000000110001、000000110010表示。如图4所示。
(2)、枚举类型
枚举类型指的是由于特权问题而对某一域的访问进行限制。由于范畴具有包含关系,所以针对特权访问时,需严格限制因包含关系而引起的权限泛滥。
比如某一主体S,其范畴为000000110010,但由于单位需要借调到行政管理机关(0000)帮忙,此时S的范畴将扩大到0000,权限也随之扩大,但显然该主体S不应该能够查询行政管理机关下的所有信息,因此在特权访问时,应该控制其作用领域,严格限制范畴的包含关系。之前提到,安全标签中的范畴属性会对范畴的类型进行标记。
规则集(Rule Set)
本申请将数据流的访问控制属性分为四类:读出、读入、写入、写出。其中,读出“ro”表示内网主机欲通过边界访问外网主机的行为;读入“ri”表示外网主机欲通过边界访问内部主机的行为;写入“wi”表示外网主机响应内网访问的返回包欲通过边界的行为;写出“wo”表示内网主机响应外网的返回包欲通过边界的行为。根据边界上机密性和完整性的需求,可以将“ro”和“ri”统一抽象为“读”行为,将“wo”和“wi”统一抽象为“写”行为。因此,所制定的规则限制了对客体的读写。
在之前对安全标记的数据格式的描述中,安全标记中的安全标签可分为机密性标签、完整性标签、可用性标签,较现有的BLP模型、BIBA模型在安全维度上有进一步提高。由于安全标记在机密性、完整性以及可用性这三种安全属性上都有所体现,因此本申请中的安全标记又被称为三维的安全标记。如图5所示,在每一维中可根据需求分为不同的安全等级。一个安全标记中可同时包含上述三种类型的安全标签(即有三种安全属性),但也可选择其中的任意一种。
若系统采用单维安全属性,则系统控制规则按照机密性、完整性、可用性的所遵循的访问控制规则。其规则如下:
①针对机密性安全属性来说,若主体安全级小于客体安全级则为写操作,若主体安全级别大于客体级别则为读操作;
②针对完整性安全属性来说,若主体安全级别大于客体安全级别则为写操作,若主体安全级别小于客体安全级别则为读操作;
③针对可用性安全属性来说,若主体可用性安全级别大于客体可用性安全级别则为写操作,若主体可用性安全级别小于客体可用性安全级别则为读操作。
若系统采用三维统一的安全属性,系统的控制规则应遵循以下原则:
①读允许当且仅且{(机密性读允许)AND(完整性读允许)AND(可用性读允许)}。
②写允许当且仅且{(机密性写允许)AND(完整性写允许)AND(可用性写允许)}。
根据三维安全标记的读写规则,所形成的可用的访问控制规则如下:
①若主体安全级为LLL,客体安全级为LLL,则主体对客体所允许的操作为rw;若客体安全级为HLL、HLH、HHL、HHH,则不允许主体对客体的操作。
②若主体安全级为HLL,客体为HLL,则主体对客体所允许的操作为rw;若客体安全级为LLL、HLH、HHL、HHH,则主体对客体所允许的操作为w;
③若主体安全级为HLH,客体安全级为HLL,则主体对客体所允许的操作为r;若客体安全级为HLH,则主体对客体所允许的操作为rw,若客体安全级为HHH,则主体对客体所允许的操作为w;若客体安全级为LLL和HHL,则不允主体对客体的操作。
④若主体安全级为HHL,客体安全级为HLL,则主体对客体所允许的操作为r;若客体安全级为HHL则主体对客体所允许的操作为rw;若客体安全级为HHH,则主体对客体所允许的操作为w;若客体安全级为LLL和HLH,则不允许主体对客体的操作。
⑤若主体安全级为HHH,客体安全级为HLL,则主体对客体所允许的操作为r;若客体安全级为HLH,则主体对客体所允许的操作为r;若客体安全级为HHH,则主体对客体所允许的操作为rw;若客体安全级为LLL,则不允许主体对客体的操作。
上述的访问规则中,L代表“低”,H代表“高”,安全级中的三个标志位分别代表机密性、完整性、可用性。上述的访问控制规则也可以用规则函数表示,规则函数的形式为f(C,I,A),C表示机密性安全属性参数,I表示完整性安全属性参数,A表示可用性安全属性参数,结果为主体的权限集。以上部分描述了主体在三维安全属性下,对某一级别客体的访问权限,其他未描述的部分表示未授权。
安全标记的产生
在要求有安全标记的多级信息系统中,主体、客体的安全标记要随着主体、客体的产生而产生,当主体或是客体产生时必须为其分配相应的安全标记,系统才能够实施正确的多级安全策略,进而对其进行访问控制。下面分别对主体、客体的安全标记的产生方式进行说明。
(1)客体安全标记的产生
①如果新客体产生O是由主体S所产生,那么客体的安全标记继承于主体的安全标记,其安全级别、范畴集应该与主体安全标记保持一致。
②如果一个新客体O+是由已存在客体O新增加一些信息而生成的,那么客体O+的安全标记属性必须高于客体O的安全标记,即由于客体O+中写入了新的信息,所以其安全级别应高于原有客体O,其范畴集应该是客体O的范畴集的子集。
③如果一个新客体O是由已存在客体O1与O2组合而成,那么客体O的安全标记由O1与O2的安全标记结合形成,新客体O的安全级别应该是O1、O2中较大的安全级别,其范畴集是O1、O2范畴集的交集。
以上原则给出了客体安全标记产生方法,基于这些原则满足BLP强制访问控制策略,通过上述原则,主体不允许产生一个安全标记属性低于其主体的客体,即不能够下写;同样可以保证主体不能够进行上读的操作。
(2)主体安全标记的产生
主体安全标记应该由安全中心管理员依据用户、角色或设备等相应主体的职责与权限进行标记,指配相应的安全标记,并随其安全属性的变化而动态发生改变,主体安全标记也具有继承的特性,比如代表用户进程的主体可以具有与用户一样的安全标记属性。
(3)安全标记生成系统
安全标记可以由安全标记生成系统自动生成,如图6所示,安全标记生成系统中包含主、客体数据库组件(SOD)、策略管理组件(PM)、安全标签注册组件(TR)、安全策略标识机制(PIM)、安全级选择机制(SLFM)、标签选择机制(TR)以及安全标记的签名。安全标记生成系统中主、客体数据库中包含有多级信息系统中注册的主客体,主体可以是用户及代表用户的进程等,客体可以是数据文件,也可以是网络设备等;策略管理组件用于为主、客体配置相应的安全策略,生成适合的安全标记,使安全标记与安全策略相关;安全标签注册组件用于多级安全信息系统注册相应的安全标签,使得在一个安全域内安全标签具有统一的标识意义,安全标签中可以声明安全安全策略,可以更加精确的实施访问控制。
安全标记的安全性保护
安全标记在产生时,由提供可信的安全标记服务的安全标记产生系统对安全标记进行可信性签名,主要采用公开的数字签名算法(SigAlg)和安全标记生成系统的私钥Kprv进行加密,从而保证安全标记的可信性。为了保证安全标记的安全性,安全标记在应用过程中的组成应包括安全标记明文SL(secure label,安全标记)和安全标记数字签名SigAlg(Kprv,H(SL))两个部分。
当数据安全传输时,将客体O和安全标记进行单向hash散列,得到散列值hash(O+SL),以确保安全标记与信息客体的一致性,避免在传输过程中安全标记冒用问题。
安全标记与数据流绑定,实现多级信息系统间数据的安全传输
在上述描述的基础上,下面对不同安全级别的信息系统间如何利用所述的安全标记实现数据传输进行说明。
在不同安全级别的信息系统间做数据传输时,对安全标记的使用有显式与隐式之分。对安全标记的隐式使用是指通信双方根据安全标记中的相关参数协商建立安全的通信信道(可被称为标记安全通道),然后主体对客体的访问受到此标记安全通道的保护,由此实现访问控制检查。对安全标记的显式使用是指将安全标记写入到数据流中,使之成为数据报文的一部分,当某一主体访问客体时,携带自身的安全标记,通过从数据流中提取安全标记来判定此主体是否可以访问某一个客体,从而完成网络强制访问控制。被显式使用的安全标记也被称为显式安全标记,被隐式使用的安全标记也被称为隐式安全标记。在本发明的一个实施例中,将对安全标记的显式使用与隐式使用结合起来,实现不同安全级别的信息系统间的数据传输。
为了便于理解,在对数据传输过程做详细说明之前,首先对安全标记的隐式使用与对安全标记的显式使用的实现细节进行说明。
前文中已经提到,对安全标记的隐式使用需要在通信双方之间建立标记安全通道。所述的标记安全通道是一个逻辑通道,在本发明的一个实施例中,标记安全通道建立在通信过程中的主体所在信息系统的区域边界网关与客体所在信息系统的区域边界网关之间。由于主体与客体的安全标记有多种安全级别,为了适应不同安全级别的主体与客体间的通信需求,标记安全通道也应当有多种类型,如绝密级安全隧道、机密级安全隧道、秘密级安全隧道、内文级安全隧道以及其他级别的安全隧道,针对不同级别的信息,可采用相应级别的标记通道进行保护。标记安全通道的类型主要由安全通道参数LSA((Labled secure associaton,标记安全关联)决定。主体与客体在进行数据通信时,将主体与客体的安全标记中的诸如安全级别的信息与所述标记安全通道的安全通道参数进行比较,从而决定选择何种类型的标记安全通道。不同类型的标记安全通道的使用可以保证多级环境下不同密级数据流的隔离保护与多密级子网的划分。
对安全标记的显式使用需要将安全标记写入数据报文。显而易见,在将安全标记写入数据报文时,不应当影响数据报文的正常功能,因此,在本发明的一个实施例中,采用IP选项字段(IPSO)来携带安全标记,以实现数据流与安全标记的随包传递,该字段通常用于网络的测试和调试,对实际的通信没有多大的影响。IP报头的长度规定为40个字节,IP头部固定为20字节,因此,安全选项的长度最大为20个字节。也就是说,本发明所描述的安全标记的最大长度为20个字节。若安全标记所携带的安全标签长度超过20字节,则可将其有效地扩展到TCPSO、UDPSO、ICMPSO中。当然TCPSO、UDPSO、ICMPSO等需要开发者设计相应的安全通信协议,以保证安全标记在数据流中得到有效的实施,同时也保证数据的安全传输。
在图7中给出了IPSO选项的数据格式。IPSO选项包括固定长度字段与可变长度字段,可变长度字段指的是安全标记中的安全标签,因此对于超过20字节的安全标记信息来说,若拓展到TCPSO、UDPSO时,只可能为安全标签。具体的说,IPSO选项格式的第一个字节为类型字段,固定值为133;第二部分为解释域,占4个字节,它是安全域的唯一标识;后面部分为安全标记,包括安全标记的头部和安全标签部分,用于标识主体安全标记信息。安全标签可定义多个,用于表示不同的安全标签策略;安全标记最大长度为35个字节。在本发明的一个实施例中,安全标记密级的表示方法如表1所示,范畴的表示在之前已经有相应的说明。
| 格式 | 含义 |
| 00000001 | 保留4 |
| 00111101 | 绝密 |
| 01011010 | 机密 |
| 10010110 | 秘密 |
| 01100110 | 保留3 |
| 11001100 | 保留2 |
| 10101011 | 公开 |
| 11110001 | 保留1 |
表1
从表1中可以看出,在该实施例中,密级用八位数字表示,其中绝密为00111101,机密为01011010,秘密为10010110,公开为10101011,其他为可扩展的内容。这种分级方法不是绝对的,在其他实施例中,可根据各自单位的需求自行定义。比如定义为局长、处长、科长、科员、职工等,规定相应的编码格式,编码的格式遵从从大到小的排序。
通过IPSO语法及语义的松散匹配,显式安全标记格式可以支持多种安全策略,具有很好的可行性和可扩展性,而且显式安全标记在协议控制信息中带有实际的比特,在底层对数据包传输加以控制,具有灵活性、易实现性,有效解决了不同等级信息系统间的安全互联问题。
下面结合具体实例,对不同信息系统间如何利用隐式安全标记与显式安全标记做数据传输的方法进行说明。
如图8所示,若信息系统A中的主体S1访问信息系统B中的客体O1时,访问步骤如下:
步骤101、S1发送访问O1的请求消息到达区域边界网关SG_A,SG_A查找主体安全标记,根据所述主体安全标记中的安全传输策略判断是否要进行安全性处理,若是,转入步骤102,若不需要进行安全性处理,则根据安全传输策略进一步判断是直接通过该请求消息还是拒绝,若为直接通过,则转入步骤106,若为拒绝,则丢弃该请求消息的数据包。
步骤102、区域边界网关SG_A查找标记安全通道,若相应的标记安全通道存在则转入步骤105;若不存在,则转入步骤103。
步骤103、SG_A发送建立安全通道请求到客体O1所在信息系统的区域边界网关SG_B,该请求消息包含了主体安全标记信息、客体信息等,并用SG_B的公钥进行加密,SG_B接收到请求消息后,用自身的私钥进行解密,查找客体安全标记,并与主体S1的安全标记一起决定是否允许建立安全通道;若允许,则发送响应消息给SG_A,消息内容包括该通道级别、算法列表、以及会话密钥等,并用SG_A的公钥进行加密。
步骤104、SG_A接收到响应消息后,用自身私钥进行解密,获得通道安全参数。并发确认消息给SG_B。
步骤105、区域边界网关SG_A依据所选择的标记安全通道的标记安全通道参数,对数据包进行加密、认证、封装等处理,即“写”操作。
步骤106、将主体安全标记写入数据包的IPSO选项字段,随后由SG_A将该数据包进行转发。在图9中给出了经过加密、认证、主体安全标记写入IPSO选项字段后的数据包的数据格式。
步骤107、当SG_B接收到该数据包后,客体O1所在的信息系统首先根据数据包中的安全参数索引信息查找标记安全通道参数,对数据包进行解密、认证、解封装等处理,即“读”操作,然后查找客体O1的安全标记,并从数据流中提取主体S1的安全标记,从中查找安全策略,若该安全策略与对端SG_A的安全策略一致,则放行该数据包,若不一致,则丢弃。
步骤108、当数据包到达客体O1时,O1所在系统从数据流中提取主体安全标记,结合客体O1自身的安全标记,按照前述的访问控制规则判断该主体S1对客体O1的操作。
若为写操作,则允许S1的信息流流入客体O1,O1仅发送确认消息返回给S1。
若为读操作,则只允许O1的信息流流出到S1,S1仅发送数据访问请求,O1发送受访问的数据。
若为读写操作,则允许S1对O1进行访问、修改等操作,允许数据流的双向流动。
从客体O1的响应数据包的处理与上述过程类似,本申请不再进行详细赘述。
以上是对结合隐式安全标记与显式安全标记实现不同信息系统间数据传输的方法的说明。从上述步骤可以看出,在数据传输时,在执行步骤101、107时,主体或客体所在信息系统的区域边界网关每接收到一个数据包,都要利用前述的访问控制规则进行比较,以判断当前的访问是否可以进行,如此反复判断、比较过程的执行效率较低。因此,作为一种优选实现方式,在本发明的又一个实施例中,提出了将安全标记(包括隐式安全标记与显式安全标记)与会话连接进行动态逻辑绑定,进而实现数据传输的方法。这一数据传输方法也被称为基于标记连接的数据传输方法。该方法主要是通过在数据传输过程中利用轨迹跟踪技术得到标记连接的状态,然后利用该标记连接状态避免对属于同一会话连接的数据包做重复的安全策略的比较、判断操作,从而提高了系统性能及效率。
该方法中所用到的轨迹跟踪技术是指跟踪并记录IP会话连接的状态。“轨迹”就是一个连接,轨迹跟踪也被称为连接跟踪。这里“连接”不仅仅指的是通常意义上的TCP连接,同时也包括UDP、ICMP等协议的虚拟连接。每个连接都包括套接字对“源地址、目的地址、源端口和目的端口”以及协议类型、“连接”状态和超时时间等状态信息。在实现时,轨迹的状态在内存中被维持成表的形式,通过状态链表,系统能够检测每个连接的状态信息。
在本发明的一个实施例中,标记连接的实现是基于linux操作系统的。在linux2.6内核以上版本中,均对轨迹跟踪进行了实现,因此,可以拓展linux下的轨迹跟踪数据结构,使得安全标记成为状态跟踪的一个安全属性。通过强制访问控制规则表和状态表的共同配合,实现连接状态因素的识别,检测会话连接的每个数据包是否符合此次会话的状态,根据此次会话前面的数据包进行基于历史相关的访问控制,从而能够确保系统的安全性。
下面以一个例子来描述将安全标记与会话连接进行动态逻辑绑定,从而实现数据传输的方法。同样以图8为例,若信息系统A中主体S1访问信息系统B中的客体O1时,访问步骤如下:
步骤201、S1发送访问O1的请求消息到达区域边界网关SG_A,如图10所示,SG_A对该数据包进行轨迹跟踪处理,查找标记连接状态表,得到返回值,若返回值表示已经绑定到某一轨迹且符合标记连接状态,不必进行策略链的查找匹配,直接根据标记连接状态转入步骤205;若返回值为新建状态(即数据包尚未被绑定到某一会话连接上),那么查找主体安全标记,根据所述主体安全标记中的安全传输策略判断是否要进行安全性处理,若是,则转入步骤202,若不需要进行安全性处理,则根据安全传输策略进一步判断是直接通过该请求消息还是拒绝,若是直接通过,则转入步骤206,若是拒绝,则释放数据包,并将安全标记动态绑定到此会话连接,建立标记状态连接表对;若返回值表示已绑定到某一轨迹,但不符合该轨迹状态,此时很可能存在黑客的攻击行为,为了保证系统的安全性,因此释放此数据包。
步骤202、区域边界网关SG_A查找标记安全通道,若相应的标记安全通道存在则转入步骤205;若不存在,则转入步骤203。
步骤203、SG_A发送建立安全通道请求消息到客体O1所在信息系统的区域边界网关SG_B,该请求消息包含了主体安全标记信息、客体信息等,并用SG_B的公钥进行加密,SG_B接收到请求消息后,用自身的私钥进行解密,查找客体安全标记,并与主体S1的安全标记一起决定是否允许建立安全通道;若允许,则发送响应消息给SG_A,消息内容包括该通道级别、算法列表、以及会话密钥等,并用SG_A的公钥进行加密。
步骤204、SG_A接收到响应消息后,用自身私钥进行解密,获得通道安全参数。并发确认消息给SG_B。
步骤205、区域边界网关SG_A依据所选择的标记安全通道的标记安全通道参数,对数据包进行加密、认证、封装等处理,即“写”操作。
步骤206、将主体安全标记写入数据包的IPSO选项字段,随后由SG_A将该数据包进行转发。
步骤207、当SG_B接收到该数据包后,如图11所示,客体O1所在的信息系统首先根据数据包中的安全参数索引信息查找标记安全通道参数,对数据包进行解密、认证、解封装等处理,即“读”操作,然后对还原的数据包进行轨迹跟踪,若返回值表示为已经绑定到某一轨迹且符合标记连接状态,那么不需要进行安全策略检查,直接将数据包按照标记连接状态中的处理方式进行处理,即策略一致,通过数据包,若策略不一致,丢弃数据包;若返回值为新建状态,则查找客体O1的安全标记,并从数据流中提取主体S1的安全标记,查找安全策略,若该安全策略与对端SG_A的安全策略一致,则放行,若不一致,则丢弃,并将安全标记动态绑定到此会话连接,建立标记状态连接表;若返回值为已经绑定到某一轨迹且不符合标记连接状态,则丢弃数据包。
步骤208、当数据包到达客体O1时,O1所在系统从数据流中提取主体安全标记,按照前述的访问控制规则判断该主体S1对客体O1的操作。
若为写操作,则允许S1的信息流流入客体O1,O1仅发送确认消息返回给S1。
若为读操作,则只允许O1的信息流流出到S1,S1仅发送数据访问请求,O1发送受访问的数据。
若为读写操作,则允许S1对O1进行访问、修改等操作,允许数据流的双向流动。
从客体O1的响应数据包的处理与上述过程类似,本申请不再进行详细赘述。
将上述实施例中的方法与前一实施例中的方法进行比较可以看出,两种方法的差别主要在于主体S1所在信息系统的区域边界网关SG_A与客体O1所在信息系统的区域边界网关SG_B对相应数据包的处理。与步骤101相比,步骤201在查找主体安全标记之前首先要做轨迹跟踪处理,根据轨迹跟踪处理的返回值决定是否要根据访问控制规则对数据包做安全性处理。在实际应用中,除了会话连接尚未建立的少数情况,多数情况下并不需要做安全性处理,因此节省了反复判断、比较的过程,提高了执行效率。与步骤107相比,步骤207也存在类似的情况。
本发明的优点在于:将安全标记拓展到等级保护网络,提出了网络安全标记与数据流的绑定方法,实现了多级信息系统之间的数据安全传输,对消除等级保护引起的信息孤岛,促进不同等级信息系统间的信息共享,推动信息系统整改工作,使等级保护在信息化建设中发挥重要作用,具有重要现实意义。同时将标记与会话连接进行动态逻辑绑定,有效地提高了系统的安全处理数据包的效率。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,对本发明的技术方案进行修改或者等同替换,都不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (4)
1.一种多级信息系统间的数据安全传输方法,包括:
步骤10)、一信息系统中的一主体向另一信息系统中的一客体发起访问请求;
步骤20)、所述主体所在信息系统的区域边界网关根据所述访问请求中所包含的所述主体的安全标记判定是否要做安全性处理,当需要做安全性处理时,执行下一步,否则进一步判断是直接通过该请求消息还是拒绝,若为直接通过,则转入步骤40),若为拒绝,则丢弃该请求消息的数据包;其中,
所述安全标记包括头部分与安全标签集,所述安全标签集包括有至少一个安全标签,一个所述的安全标签描述了至少一种安全标记实施策略;所述安全标签包含安全标签类型,所述安全标签类型为机密性标签、完整性标签与可用性标签中的一种;
步骤30)、所述主体所在系统的区域边界网关根据所述主体与所述客体的安全标记查找是否存在相应的标记安全通道,若不存在,创建新的标记安全通道,然后执行下一步,否则,直接执行下一步;
步骤40)、将所述主体的安全标记中的信息写入所述访问请求的数据包的IP选项字段,然后将数据包通过所述标记安全通道转发到所述客体所在的信息系统,由所述客体所在信息系统的区域边界网关经由所述标记安全通道接收所述数据包;
步骤50)、由所述客体的安全标记与所述主体的安全标记得到安全策略,将所述安全策略与所述主体所在信息系统的区域边界网关的安全策略进行比较,在比较结果一致的前提下放行所述数据包,否则丢弃所述数据包;
步骤60)、所述客体接收到数据包后,根据所述主体的安全标记、所述客体的安全标记以及访问控制规则判断所述主体对所述客体的操作类型,根据所述操作类型实现所述主体对所述客体的读或写;
其中,在所述的步骤10)与步骤20)之间,还包括:
步骤11)、所述主体所在信息系统的区域边界网关对所述访问请求消息的数据包做轨迹跟踪处理,查找标记连接状态表,得到返回值,若其返回值表示已经绑定到某一轨迹且符合标记连接状态,则直接执行步骤40),若其返回值为新建状态,那么查找主体安全标记,然后执行步骤20),若其返回值表示已绑定到某一轨迹,但不符合该轨迹状态,则释放此数据包;
在所述的步骤20)中,还包括:当该请求消息被拒绝时,将安全标记动态绑定到相应的会话连接,建立标记状态连接表;
在所述的步骤40)与步骤50)之间,还包括:
步骤41)、对所述数据包进行轨迹跟踪处理,得到返回值,若所述返回值表示为已经绑定到某一轨迹且符合标记连接状态,直接将数据包按照标记连接状态中的处理方式进行处理;若返回值为新建状态,执行步骤50);若返回值为已经绑定到某一轨迹且不符合标记连接状态,则丢弃数据包;
在所述步骤50)中还包括:在丢弃所述数据包后,将安全标记动态绑定到相应的会话连接,建立标记状态连接表;
其中,所述步骤60)中,所述的访问控制规则包括:
①若主体安全级为LLL,客体安全级为LLL,则主体对客体所允许的操作为可读可写;若客体安全级为HLL、HLH、HHL、HHH,则不允许主体对客体的操作;
②若主体安全级为HLL,客体为HLL,则主体对客体所允许的操作为可读可写;若客体安全级为LLL、HLH、HHL、HHH,则主体对客体所允许的操作为可写;
③若主体安全级为HLH,客体安全级为HLL,则主体对客体所允许的操作为可读;若客体安全级为HLH,则主体对客体所允许的操作为可读可写,若客体安全级为HHH,则主体对客体所允许的操作为可写;若客体安全级为LLL和HHL,则不允主体对客体的操作;
④若主体安全级为HHL,客体安全级为HLL,则主体对客体所允许的操作为可读;若客体安全级为HHL则主体对客体所允许的操作为可读可写;若客体安全级为HHH,则主体对客体所允许的操作为可写;若客体安全级为LLL和HLH,则不允许主体对客体的操作;
⑤若主体安全级为HHH,客体安全级为HLL,则主体对客体所允许的操作为可读;若客体安全级为HLH,则主体对客体所允许的操作为可读;若客体安全级为HHH,则主体对客体所允许的操作为可读可写;若客体安全级为LLL,则不允许主体对客体的操作;
其中,L表示低,H表示高,安全级中的三个标志位分别代表机密性、完整性、可用性。
2.根据权利要求1所述的多级信息系统间的数据安全传输方法,其特征在于,在所述的步骤30)中,所述的创建新的标记安全通道包括:
步骤30-1)、所述主体所在信息系统的区域边界网关发送建立标记安全通道的请求消息到所述客体所在信息系统的区域边界网关;该请求消息包括所述主体的安全标记信息,所述客体的标识信息;
步骤30-2)、所述客体所在信息系统的区域边界网关查找所述客体的安全标记,结合所述主体的安全标记决定是否允许建立所述标记安全通道,若允许,发送响应消息给所述主体所在信息系统的区域边界网关;所述响应消息包括所述标记安全通道的级别、算法在内的标记安全通道参数;
步骤30-3)、所述主体所在信息系统的区域边界网关获得标记安全通道参数后,向所述客体所在信息系统的区域边界网关返回确认消息,建立所述的标记安全通道。
3.根据权利要求2所述的多级信息系统间的数据安全传输方法,其特征在于,所述主体所在信息系统的区域边界网关与所述客体所在信息系统的区域边界网关各自对所发送的消息进行加密,对所接收的消息进行解密。
4.根据权利要求1所述的多级信息系统间的数据安全传输方法,其特征在于,在所述的步骤40)中,在将所述主体的安全标记中的信息写入所述访问请求的数据包的选项字段后,还包括对所述数据包进行加密、认证、封装的操作,然后再将数据包通过所述标记安全通道转发到所述客体所在的信息系统;
在所述步骤40)中,所述客体所在信息系统的区域边界网关经由所述标记安全通道接收所述数据包时,还要对所述数据包做解密、认证、解封装的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010617987.3A CN102368760B (zh) | 2010-12-31 | 2010-12-31 | 多级信息系统间的数据安全传输方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010617987.3A CN102368760B (zh) | 2010-12-31 | 2010-12-31 | 多级信息系统间的数据安全传输方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102368760A CN102368760A (zh) | 2012-03-07 |
| CN102368760B true CN102368760B (zh) | 2014-10-22 |
Family
ID=45761310
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010617987.3A Active CN102368760B (zh) | 2010-12-31 | 2010-12-31 | 多级信息系统间的数据安全传输方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102368760B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752318B (zh) * | 2012-07-30 | 2015-02-04 | 中国人民解放军信息工程大学 | 一种基于互联网的信息安全验证方法和系统 |
| CN103581156B (zh) * | 2012-08-09 | 2018-02-06 | 中铁信弘远(北京)信息软件开发有限公司 | 一种可信网络和可信网络的工作方法 |
| CN102833251B (zh) * | 2012-08-28 | 2015-05-06 | 瑞达信息安全产业股份有限公司 | 一种面向等级保护系统的跨级互联安全策略管理方法 |
| CN103870763A (zh) * | 2014-02-28 | 2014-06-18 | 浪潮集团山东通用软件有限公司 | 一种支持多种密级类型的erp数据强制访问控制方法 |
| CN106101113B (zh) * | 2016-06-24 | 2019-04-30 | 中国科学院计算技术研究所 | 一种云计算数据安全标记管理方法及系统 |
| CN105959322A (zh) * | 2016-07-13 | 2016-09-21 | 浪潮(北京)电子信息产业有限公司 | 一种基于多保护策略融合的强制访问控制方法及系统 |
| CN112217831B (zh) * | 2017-09-18 | 2023-04-25 | 创新先进技术有限公司 | 关于物联网设备的信息交互方法、装置及设备 |
| CN110417731B (zh) * | 2019-06-20 | 2020-10-27 | 中国科学院信息工程研究所 | 一种网络层标记动态生成方法及系统 |
| CN113076462B (zh) * | 2021-03-25 | 2024-04-30 | 恒安嘉新(北京)科技股份公司 | 网络会话数据查询方法、装置、设备及介质 |
| CN113438216B (zh) * | 2021-06-15 | 2023-02-28 | 中国国家铁路集团有限公司 | 一种基于安全标记的访问控制方法 |
| CN113765884A (zh) * | 2021-07-29 | 2021-12-07 | 苏州浪潮智能科技有限公司 | 一种跨网络的文件强制访问控制方法、装置、系统 |
| CN113343282A (zh) * | 2021-07-29 | 2021-09-03 | 深圳市永达电子信息股份有限公司 | 强制访问控制的文件安全监控方法、系统及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101330757A (zh) * | 2008-07-28 | 2008-12-24 | 中兴通讯股份有限公司 | 一种下一代网络中业务安全等级实现方法 |
| CN101452397A (zh) * | 2008-11-27 | 2009-06-10 | 上海交通大学 | 虚拟化环境中的强制访问控制方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8607302B2 (en) * | 2006-11-29 | 2013-12-10 | Red Hat, Inc. | Method and system for sharing labeled information between different security realms |
| US20100058486A1 (en) * | 2008-08-28 | 2010-03-04 | International Business Machines Corporation | Method for secure access to and secure data transfer from a virtual sensitive compartmented information facility (scif) |
-
2010
- 2010-12-31 CN CN201010617987.3A patent/CN102368760B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101330757A (zh) * | 2008-07-28 | 2008-12-24 | 中兴通讯股份有限公司 | 一种下一代网络中业务安全等级实现方法 |
| CN101452397A (zh) * | 2008-11-27 | 2009-06-10 | 上海交通大学 | 虚拟化环境中的强制访问控制方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 徐璐.基于安全标记的Web应用访问控制技术研究.《中国硕士学位论文》.2009, * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102368760A (zh) | 2012-03-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102368760B (zh) | 多级信息系统间的数据安全传输方法 | |
| WO2021179655A1 (zh) | 跨区块链的数据迁移方法、装置、设备及存储介质 | |
| Prince et al. | Privacy enforced access control model for secured data handling in cloud-based pervasive health care system | |
| US11044097B2 (en) | Blockchain recordation of device usage | |
| WO2020154865A1 (zh) | 一种支持多模标识网络寻址渐进去ip的方法、系统及存储介质 | |
| Kumar et al. | Scalable and secure access control policy for healthcare system using blockchain and enhanced Bell–LaPadula model | |
| US5530758A (en) | Operational methods for a secure node in a computer network | |
| Barka et al. | Securing the web of things with role-based access control | |
| CN112968764A (zh) | 多链路密码逻辑区块链 | |
| Cha et al. | Privacy-aware and blockchain connected gateways for users to access legacy IoT devices | |
| KR20190077765A (ko) | 데이터를 블록체인을 이용하여 저장하는 방법 및 클라우드 시스템 | |
| CN107294963A (zh) | 一种基于联盟区块链的数据的安全加密方法及装置 | |
| AU2006205987A1 (en) | Identifier-based private key generating method and device | |
| BR112014015694B1 (pt) | Método de pseudonimização dinâmico para uma rede de perfilagem de dados, e, rede de perfilagem de dados | |
| CA2684023A1 (en) | Method and apparatus for verification of information access in ict-systems having multiple security dimensions and multiple security levels | |
| CN105516110A (zh) | 移动设备安全数据传送方法 | |
| CN104301301B (zh) | 一种基于云存储系统间的数据迁移加密方法 | |
| CN110990858B (zh) | 一种基于分布式信息流控制的跨云资源共享系统及方法 | |
| CN105450750A (zh) | 智能终端安全交互方法 | |
| CN110363017A (zh) | 混合云环境下基于客户端加密的数据安全共享方法及系统 | |
| Zhang et al. | A secure and privacy-preserving medical data sharing via consortium blockchain | |
| CN107395587B (zh) | 一种基于多点协作机制的数据管理方法及系统 | |
| JP2007334417A (ja) | 分散情報共有方法および端末装置 | |
| Köhler et al. | Confidential database-as-a-service approaches: taxonomy and survey | |
| US20070256117A1 (en) | Systems and methods for the secure control of data within heterogeneous systems and networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |