CN108111536B - 一种应用级安全跨域通信方法及系统 - Google Patents
一种应用级安全跨域通信方法及系统 Download PDFInfo
- Publication number
- CN108111536B CN108111536B CN201810033989.4A CN201810033989A CN108111536B CN 108111536 B CN108111536 B CN 108111536B CN 201810033989 A CN201810033989 A CN 201810033989A CN 108111536 B CN108111536 B CN 108111536B
- Authority
- CN
- China
- Prior art keywords
- information
- security
- domain
- peer
- label
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种应用级安全跨域通信方法及系统,对信息标记安全标签,基于安全标签对信息进行安全审查,从而在实现信息跨域传输的同时满足安全要求;所述跨域通信是指在执行不同安全策略的两个或者多个网络/区域之间进行信息传输;所述安全标签是和信息绑定的一段数字实体,记录了信息的安全级别、安全类别、安全标签显示属性及自定义扩展信息。
Description
技术领域
本发明涉及通信技术领域,具体涉及跨域通信技术方法及系统。
背景技术
随着网络技术的发展,处于不同网络域的同一组织以及不同组织之间存在跨域共享部分信息以进行协同工作的需求。针对该问题,CN200510070361.4提出了一种基于媒体网关的跨域通信方法,解决了不同IP域之间的媒体流接续的跨域通信问题。CN201310634790.4给出了一种解决不同运营商之间用户信息共享的方法,基于接收者账号信息信息判断目标接收类型,并基于目标接收类型采用不同跨域通信方法进行通信。CN201410433474.5、CN201410508440.8主要解决网页访问时跨域通信问题。上述方案均只是解决如何进行跨域信息共享,并共享的信息进行控制。CN200910260082.2提出了一种SIP视频监控系统跨域访问安全方法,该方法主要是对跨域通信服务器身份进行验证,抵抗了仿冒服务器攻击和重放攻击,并且解决了跨域访问用户单点登录的问题。CN201410664196.4通过在两个不同域中的服务器之间建立VPN端口,并进行加密传输,保证跨域通信的机密性、完整性以及不可抵赖性。
综上可治,现有的安全跨域通信方法存在如下问题:(1)偏重于解决如何进行跨域通信,对跨域传输的信息内容并未进行审查;(2)现有安全跨域通信方法偏重于对跨域数据的完整性、机密性以及不可抵赖性进行保护,无法对信息流向进行控制,因此无法实现在不同域内依据安全要求只对部分信息进行共享。
发明内容
本发明技术解决问题:克服现有技术的不足,提供一种应用级跨域通信方法及系统,在实现跨域信息共享的同时,对信息进行应用级安全审查,达到控制信息流向,并避免木马病毒以及恶意内容入侵到组织内部。
本发明技术解决方案:一种应用级安全跨域通信方法,对信息标记安全标签,基于安全标签对信息进行安全审查,从而在实现信息跨域传输的同时满足安全要求;所述跨域通信是指在执行不同安全策略的两个或者多个网络/区域之间进行信息传输;所述安全标签是和信息绑定的一段数字实体,记录了信息的安全级别、安全类别、安全标签显示属性及自定义扩展信息。
所述安全审查的内容包括信息过滤、安全标签检查、加密流量过滤、信息流向控制和信息内容审查;
所述信息过滤:删除跨域通信的信息中的关键字段,确保信息合法传输;
所述安全标签检查:根据安全策略,判断安全标签的安全级别、安全类别是否在预定的范围内,若在预定的范围内,则判定为合法标签;否则,判定为非法标签;
所述安全标签转换:根据安全策略中定义的标签等价映射原则,将安全标签映射到与目标相关联的安全策略;
所述标签等价映射原则:同一信息,在一个域中由安全标签所确定的知悉范围与目标域中由安全标签所确定的知悉范围应保持一致;
所述目标域是指跨域传输信息的接收域;
所述加密流量过滤:对由于加密导致无法执行应用级检查的信息流量进行过滤,防止信息在加密以后进行非法跨域传输;
所述信息流向控制:若信息具有合法的安全标签,依据安全要求,对信息转发进行控制;
所述信息内容审查:对跨域通信的信息内容进行审查,避免木马病毒以及敏感信息入侵到组织内部。
本发明应用级安全跨域通信系统,包括跨域交换设备以及跨域交换设备中的对等控制模块,实现应用级信息安全审查,所述安全审查包括信息过滤、安全标签检查、加密流量过滤、信息流向控制和信息内容审查;
步骤11:当对等控制模块检测到有信息需要进行跨域传输时,则执行步骤12;
步骤12:对所传输信息的类型进行检查,所述传输信息的类型包括消息和文件;若信息类型为文件,则提示无法进行文件直接传输,需请提交文件获取请求申请;否则执行步骤13;
步骤13:对等控制模块对所传输加密信息进行解密,若无法解密进行审查,则执行步骤21;否则,执行步骤14;
步骤14:对等控制模块对所传输信息的内容进行审查,若信息中有木马病毒以及敏感信息,则执行步骤21;否则,执行步骤15;
步骤15:对等控制模块检查所传输信息是否为规定接收范围的信息,若是规定范围内接受信息,则执行步骤16;否则,执行步骤19;所述规定接收范围为多用户共享、一对一的信息;
步骤16:对等控制模块解析所接收信息的安全标签,根据安全策略判定目标域是否有权限访问信息,若目标域有权限访问信息,则执行步骤17;否则,执行步骤19;
步骤17:对等控制模块根据安全策略对所接收到的信息进行安全标签转换,并将信息路由至目标域的对等控制模块;所述安全标签映射规则是指在将一个域中安全标签的安全级别、安全类别以及安全标签显示属性解析并转换为目标域中等价的安全级别、安全类别以及安全标签显示属性;
步骤18:目标域对等控制模块接收跨域信息;
步骤19:放弃转发信息。
本发明与现有技术相比的优点在于:
(1)基于安全标签进行信息的流向控制,能够对信息的安全类别、安全级别进行识别,并根据接收方对信息的访问权限判断信息是否应该进行跨域传输,从而保证避免信息在跨域传输时知悉范围不受控的问题;
(2)对跨域传输的信息进行过滤,在共享必要信息内容的同时,避免信息中所包含的敏感字段信息泄露;
(3)提供了安全标签转换方法,使得当信息从一个域传输到目标域以后,依然能够对信息进行基于安全标签的处理;
(4)对进行跨域传输的文件进行过滤,杜绝文件直接进行跨域传输,避免文件在内容审查不完全情况下跨域发送造成知悉范围扩散的问题;
(5)对加密后无法进行应用级安全审查的流量进行过滤,避免在进行跨域传输时造成信息知悉范围扩散、木马病毒入侵以及恶意内容传播问题;
(6)对信息内容进行审查,避免在进行跨域传输时造成木马病毒入侵以及恶意内容传播问题。
附图说明
图1为本发明基于安全标签的跨域通信具体实施方式图;
图2为本发明基于安全标签的跨域通信方法流程图。
具体实施方式
本发明提出了一种在跨域通信中,为通信的双方提供安全保障并进行流量检查与控制的方法。当信息进行跨域传输时,基于安全标签控制信息在不同域之间合法安全进行流转,同时进行病毒和恶意信息检查防止其侵入组织内部。
如图2所示,基于安全标签的跨域通信系统具体实施方式如图2所示,具体描述如下:
步骤11:当对等控制模块检测到有信息需要进行跨域传输时,则执行步骤12;
步骤12:对所传输信息的类型进行检查,所述传输信息的类型包括消息和文件;若信息类型为文件,则提示无法进行文件直接传输,需请提交文件获取请求申请;否则执行步骤13;
步骤13:对等控制模块对所传输加密信息进行解密,若无法解密进行审查,则执行步骤21;否则,执行步骤14;
步骤14:对等控制模块对所传输信息的内容进行审查,若信息中有木马病毒以及敏感信息,则执行步骤21;否则,执行步骤15;
步骤15:对等控制模块检查所传输信息是否为规定接收范围的信息,若是规定范围内接受信息,则执行步骤16;否则,执行步骤19;所述规定接收范围为多用户共享、一对一的信息;
步骤16:对等控制模块解析所接收信息的安全标签,根据安全策略判定目标域是否有权限访问信息,若目标域有权限访问信息,则执行步骤17;否则,执行步骤19;
步骤17:对等控制模块根据安全策略对所接收到的信息进行安全标签转换,并将信息路由至目标域的对等控制模块;所述安全标签映射规则是指在将一个域中安全标签的安全级别、安全类别以及安全标签显示属性解析并转换为目标域中等价的安全级别、安全类别以及安全标签显示属性;
步骤18:目标域对等控制模块接收跨域信息;
步骤19:放弃转发所述信息。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (2)
1.一种应用级安全跨域通信方法,其特征在于:对信息标记安全标签,基于安全标签对信息进行安全审查,从而在实现信息跨域传输的同时满足安全要求;所述跨域通信是指在执行不同安全策略的两个或者多个网络/区域之间进行信息传输;所述安全标签是和信息绑定的一段数字实体,记录了信息的安全级别、安全类别、安全标签显示属性及自定义扩展信息;
所述安全审查的内容包括信息过滤、安全标签检查、加密流量过滤、信息流向控制和信息内容审查;
所述信息过滤:删除跨域通信的信息中的关键字段,确保信息合法传输;
所述安全标签检查:根据安全策略,判断安全标签的安全级别、安全类别是否在预定的范围内,若在预定的范围内,则判定为合法标签;否则,判定为非法标签;
所述安全标签转换:根据安全策略中定义的标签等价映射原则,将安全标签映射到与目标相关联的安全策略;
所述标签等价映射原则:同一信息,在一个域中由安全标签所确定的知悉范围与目标域中由安全标签所确定的知悉范围应保持一致;
所述目标域是指跨域传输信息的接收域;
所述加密流量过滤:对由于加密导致无法执行应用级检查的信息流量进行过滤,防止信息在加密以后进行非法跨域传输;
所述信息流向控制:若信息具有合法的安全标签,依据安全要求,对信息转发进行控制;
所述信息内容审查:对跨域通信的信息内容进行审查,避免木马病毒以及敏感信息入侵到组织内部。
2.一种应用级安全跨域通信系统,其特征在于:包括跨域交换设备以及跨域交换设备中的对等控制模块,实现应用级信息安全审查,所述安全审查包括信息过滤、安全标签检查、加密流量过滤、信息流向控制和信息内容审查;
步骤11:当对等控制模块检测到有信息需要进行跨域传输时,则执行步骤12;
步骤12:对所传输信息的类型进行检查,所述传输信息的类型包括消息和文件;若信息类型为文件,则提示无法进行文件直接传输,需请提交文件获取请求申请;否则执行步骤13;
步骤13:对等控制模块对所传输加密信息进行解密,若无法解密进行审查,则执行步骤21;否则,执行步骤14;
步骤14:对等控制模块对所传输信息的内容进行审查,若信息中有木马病毒以及敏感信息,则执行步骤21;否则,执行步骤15;
步骤15:对等控制模块检查所传输信息是否为规定接收范围的信息,若是规定范围内接受信息,则执行步骤16;否则,执行步骤19;所述规定接收范围为多用户共享、一对一的信息;
步骤16:对等控制模块解析所接收信息的安全标签,根据安全策略判定目标域是否有权限访问信息,若目标域有权限访问信息,则执行步骤17;否则,执行步骤19;
步骤17:对等控制模块根据安全策略对所接收到的信息进行安全标签转换,并将信息路由至目标域的对等控制模块;所述安全标签映射规则是指在将一个域中安全标签的安全级别、安全类别以及安全标签显示属性解析并转换为目标域中等价的安全级别、安全类别以及安全标签显示属性;
步骤18:目标域对等控制模块接收跨域信息;
步骤19:放弃转发信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810033989.4A CN108111536B (zh) | 2018-01-15 | 2018-01-15 | 一种应用级安全跨域通信方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810033989.4A CN108111536B (zh) | 2018-01-15 | 2018-01-15 | 一种应用级安全跨域通信方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108111536A CN108111536A (zh) | 2018-06-01 |
CN108111536B true CN108111536B (zh) | 2020-05-26 |
Family
ID=62218976
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810033989.4A Active CN108111536B (zh) | 2018-01-15 | 2018-01-15 | 一种应用级安全跨域通信方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108111536B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109218406B (zh) * | 2018-08-13 | 2020-12-15 | 广西大学 | 一种面向智慧城市的跨域协作服务方法 |
CN111083177B (zh) * | 2018-10-19 | 2022-10-11 | 中国电子科技集团公司第十五研究所 | 基于协同网关的跨域协同交互方法 |
CN112511613B (zh) * | 2020-11-19 | 2022-07-12 | 深圳市风云实业有限公司 | 一种基于内容分析的跨域传输系统及方法 |
CN115242432B (zh) * | 2022-06-13 | 2023-05-16 | 中国电子科技集团公司第三十研究所 | 一种跨域时间同步装置及方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103902917A (zh) * | 2012-12-27 | 2014-07-02 | 北京中船信息科技有限公司 | 一种跨域文件知悉范围及活动轨迹的全视图监视方法 |
-
2018
- 2018-01-15 CN CN201810033989.4A patent/CN108111536B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103902917A (zh) * | 2012-12-27 | 2014-07-02 | 北京中船信息科技有限公司 | 一种跨域文件知悉范围及活动轨迹的全视图监视方法 |
Non-Patent Citations (6)
Title |
---|
基于安全标记的网络安全通信模型及其关键技术研究;杨晓红;《中国优秀硕士学位论文全文数据库 信息科技辑》;20120715(第7期);第4章 * |
基于数据标识的跨域增量数据交换模型;欧海文;《北京电子科技学院学报》;20121231;第20卷(第4期);全文 * |
曹利峰.面向多级安全的网络安全通信模型及其关键技术研究.《中国博士学位论文全文数据库 信息科技辑》.2014,(第1期), * |
肖柳林.面向多级安全的跨域交换技术研究.《通信技术》.2014,第47卷(第6期), * |
面向多级安全的网络安全通信模型及其关键技术研究;曹利峰;《中国博士学位论文全文数据库 信息科技辑》;20140115(第1期);第32、40页 * |
面向多级安全的跨域交换技术研究;肖柳林;《通信技术》;20140630;第47卷(第6期);第1-3节 * |
Also Published As
Publication number | Publication date |
---|---|
CN108111536A (zh) | 2018-06-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11882136B2 (en) | Process-specific network access control based on traffic monitoring | |
US10728252B2 (en) | Client application based access control in cloud security systems for mobile devices | |
US10003616B2 (en) | Destination domain extraction for secure protocols | |
US9866528B2 (en) | System and method for interlocking a host and a gateway | |
US9413785B2 (en) | System and method for interlocking a host and a gateway | |
US10289857B1 (en) | Enforcement of same origin policy for sensitive data | |
US8230505B1 (en) | Method for cooperative intrusion prevention through collaborative inference | |
CN108111536B (zh) | 一种应用级安全跨域通信方法及系统 | |
JP2008508805A (ja) | 電子トラフィックを特徴づけ、管理するシステムおよび方法 | |
US20220337555A1 (en) | Firewall offloading | |
US9154475B1 (en) | User authentication and authorization in distributed security system | |
US11539695B2 (en) | Secure controlled access to protected resources | |
Sangster et al. | Network endpoint assessment (NEA): Overview and requirements | |
Khan | Securing network infrastructure with cyber security | |
KR20190055009A (ko) | 보안 서비스를 제공하기 위한 방법 및 이를 위한 장치 | |
US20220086649A1 (en) | Partial limitation of a mobile network device | |
Vidhani et al. | Security Challenges in 5G Network: A technical features survey and analysis | |
Barrett et al. | CompTIA Security+ SY0-401 Exam Cram | |
Swamy | A Study on Security Attributes of Software-Defined Wide Area Network | |
US20240154986A1 (en) | Providing identity protection | |
US11960944B2 (en) | Interprocessor procedure calls | |
US20240129321A1 (en) | Zero Trust System Architecture | |
US20230319012A1 (en) | Hybrid web application firewall | |
Ganapathy | Virtual Dispersive Network in the Prevention of Third Party Interception: A Way of Dealing with Cyber Threat | |
Simpson | Zero trust philosophy versus architecture |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |