CN110417731A - 一种适应信息对象业务安全属性的网络层标记动态生成方法及系统 - Google Patents

一种适应信息对象业务安全属性的网络层标记动态生成方法及系统 Download PDF

Info

Publication number
CN110417731A
CN110417731A CN201910536549.5A CN201910536549A CN110417731A CN 110417731 A CN110417731 A CN 110417731A CN 201910536549 A CN201910536549 A CN 201910536549A CN 110417731 A CN110417731 A CN 110417731A
Authority
CN
China
Prior art keywords
service
data
label
service security
system object
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910536549.5A
Other languages
English (en)
Other versions
CN110417731B (zh
Inventor
于海波
刘坤颖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201910536549.5A priority Critical patent/CN110417731B/zh
Publication of CN110417731A publication Critical patent/CN110417731A/zh
Application granted granted Critical
Publication of CN110417731B publication Critical patent/CN110417731B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种适应信息对象业务安全属性的网络层标记动态生成方法及系统。本方法为:1)设置系统对象的业务安全标记,标明系统对象的业务安全属性;所述业务安全标记包括安全级别和业务属性;2)系统对象连接协议栈,请求发送网络数据;3)协议栈根据请求中的业务安全标记转换生成网络层业务安全标记,并封装到IP数据包内;其中,网络层业务安全标记标明IP数据包内数据的安全级别、业务类别。本发明能够支持相关安全机制在相关网络节点或环境实施细粒度控制,在网络传输和其他环境中面向数据的业务安全要求实现其全生命周期管控。

Description

一种适应信息对象业务安全属性的网络层标记动态生成方法 及系统
技术领域
本发明涉及一种根据数据的业务安全属性对数据进行网络层数据标记的方法,属于网络及信息安全技术领域。
背景技术
访问控制是信息安全领域主要的安全机制。传统的访问控制主要解决某一系统内主体和客体之间的访问控制问题。但在网络环境下,传统访问控制方法难以实现相关数据经网络传输进入其他系统后,仍可指示其他系统正确理解该数据的业务安全性质,从而在网络传输和其他环境中根据业务安全要求对其进行全生命周期管控。
发明内容
针对数据在网络环境下全生命周期管控需求,本发明的目的在于提供一种根据数据的业务安全属性动态为网络层数据包添加业务安全标记的方法和系统。
为实现数据在网络环境下的全生命周期管控,就需要根据数据的业务安全属性为其对应的网络数据赋予一致的安全属性,从而指示相关安全机制在相关网络节点或环境实施相应的控制。基于此特点,本发明主要思路是:在应用、服务或进程发送网络数据时,不是根据这些主体的安全标记,而是将拟发送数据的业务安全标记动态转换为相应的网络层数据标记,并附加到IP数据包的扩展字段中。
为实现上述目的,本发明提供适应信息对象的业务安全属性的网络层标记动态生成方法,该方法包括以下步骤:
步骤1:通过网络发送数据的系统对象应配置业务安全标记。系统对象包括应用、服务或进程等数据发送主体,系统对象的业务安全标记表明这些系统对象的安全级别、业务类别等业务安全属性;
步骤2:系统对象连接协议栈,请求发送网络数据。此步骤分为两种情况,情况1(静态标记模式),这种情况下,系统对象不区分拟发送数据的业务安全属性,默认这些数据具有与系统对象一致的安全级别及业务属性等,系统对象在请求中仅提交其自身业务安全标记;情况2(动态标记模式),这种情况下,系统对象理解并动态区分拟发送数据所具有的业务安全属性,系统对象在请求中提交其自身业务安全标记和拟发送数据的业务安全标记,其中数据的业务安全标记表明数据的安全级别、业务类别、环境要求、操作控制要求等业务安全属性。
步骤3:协议栈根据请求中的业务安全标记转换生成网络层业务安全标记,并封装到IP数据包内。网络层业务安全标记表明IP数据包内数据的安全级别、业务类别等。生成规则:针对步骤2中的情况1(静态标记模式),直接将系统对象的业务安全标记转换为网络层业务安全标记;针对步骤2中的情况2(动态标记模式),将拟发送数据的业务安全标记转换为网络层业务安全标记。
预设信息1:系统环境中的数据等信息对象具有业务安全标记,表明数据的安全级别、业务类别、环境要求、操作控制要求等业务安全属性。
预设信息2:系统中的应用、服务和进程等系统对象应配置业务安全标记,表明其安全等级、业务类别等业务安全属性。系统对象的业务安全标记可以通过配置指定,或根据其用户主体的业务安全标记进行定义。
为实现上述目的,本发明还提供了一种适应信息对象业务安全属性的网络层标记动态生成系统,其特征在于,包括业务安全标记配置模块和支持业务安全标记的协议栈。
所述业务安全标记配置模块,用于设置系统对象的业务安全标记,标明系统对象的业务安全属性;所述业务安全标记包括安全级别和业务属性;
所述支持业务安全标记的协议栈,用于接收系统对象的数据发送请求,并将数据发送请求中的业务安全标记转换生成网络层业务安全标记,并封装到IP数据包内;其中,网络层业务安全标记标明IP数据包内数据的安全级别、业务类别。
所述支持业务安全标记的协议栈提供应用接口支持应用、服务、进程等系统对象提交数据发送请求。上述应用接口根据业务需求可设计为采用双接口分别支持静态标记模式与动态标记模式,或者采用统一接口支持混合模式。其中,静态标记模式要求系统对象请求发送数据时需提交其自身的业务安全标记;动态标记模式要求系统对象请求发送数据时需提交其自身的业务安全标记和拟发送数据的业务安全标记。
与现有技术相比,本发明的积极效果为:
在数据进行网络传输时,根据数据的业务安全属性为对应的IP数据包赋予了相应的网络层业务安全标记,以表明数据包内承载信息的业务安全属性,指示其他系统正确理解该网络数据的业务安全性质,从而支持相关安全机制在相关网络节点或环境实施细粒度控制,在网络传输和其他环境中面向数据的业务安全要求实现其全生命周期管控。
附图说明
图1为适应信息对象业务安全属性的网络层标记动态生成流程;
图2为适应信息对象业务安全属性的网络层标记动态生成系统功能架构。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的实施例仅用于说明和解释本发明,并不用于限定本发明。
图1为根据本发明的适应信息对象业务安全属性的网络层标记动态生成流程图,下面将参考图1对本发明的适应信息对象业务安全属性的网络层标记动态生成方法进行详述:
1.业务安全标记配置
业务安全标记M为一个包含多种业务安全属性的多元组,M=<C,G,F>。其中C为安全级别;G为多个业务安全属性Gi的集合,G={g1,g2,…gn},gi可以为业务类别、工作组、角色、环境要求等业务安全属性;F为操作控制属性fj的集合,F={f1,f2,…fm},fj可以为读写控制、打印控制、刻录控制、拷贝控制等操作类属性。
数据等信息对象(资源)的业务安全标记记为M(r)=<Cr,Gr,Fr>,系统对象等主体的业务安全标记记为M(s)=<Cs,Gs>。主体标记M(s)与资源标记M(r)之间的关系有两种:支配关系与不可比。标记M(s)支配标记M(r),当Cs≥Cr我们记为M(s)≥M(r),表示主体可支配客体。如果M(s)与M(r)之间不存在支配关系,则它们之间不可比,主体无权支配客体。如果则主体应根据该标记包含的具体操作控制属性fj限制对资源进行相应操作。
根据上述定义,为表述方便,可将系统环境中的数据、文件等信息对象的业务安全标记记为M(r),表明数据的安全级别、业务类别、操作控制等属性;将系统中的用户对象的业务安全标记记为M(u),表明用户的安全级别、业务类别等业务安全属性;将系统中的应用、服务、进程、模块、端口等系统对象的业务安全标记记为M(o),表明系统对象的安全等级、业务类别等业务安全属性,根据主体与资源支配关系语义,也可以将该标记其理解为系统对象能够处理的数据的安全等级、业务类别等要求。系统对象的业务安全标记可以通过配置指定,或系统对象创建时,根据当前用户的业务安全标记M(u)指定。
2.系统对象送请求发送网络数据
系统对象提交数据发送请求,此时分为两种情况,情况1(静态标记模式),这种情况下,系统对象在请求中仅提交其自身业务安全标记M(o);情况2(动态标记模式),这种情况下,系统对象在请求中提交其自身业务安全标记M(o)和拟发送数据的业务安全标记M(r)。
3.网络层安全标记动态生成
针对上述情况1(静态标记模式),直接将系统对象的业务安全标记M(o)转换为网络层业务安全标记M(r’),M(r’)=M(o)。
针对上述情况2(动态标记模式),将拟发送数据的业务安全标记M(r)转换为网络层业务安全标记M(r’),M(r’)=M(r)。
4.安全标记封装
根据上述步骤,将生成的网络层业务安全标记M(r’)添加到IP数据包的扩展字段中。
图2为根据本发明的适应信息对象业务安全属性的网络层标记动态生成系统的功能架构,下面将参考图2,对本发明的适应信息对象业务安全属性的网络层标记动态生成系统进行详述:
1.业务安全标记配置模块
所述业务安全标记配置模块,用于设置系统对象的业务安全标记,标明系统对象的业务安全属性;所述业务安全标记包括安全级别和业务属性。
2.支持业务安全标记的协议栈,用于接收系统对象的数据发送请求,并将数据发送请求中的业务安全标记转换生成网络层业务安全标记,并封装到IP数据包内。其包括应用接口、网络层业务安全标记生成、业务安全标记封装、基于业务安全标记的管控等功能。
1)应用接口
协议栈应用接口为应用、服务、进程等系统对象提供数据发送服务。此接口有2种:
方法1(双接口):分别提供静态模式接口和动态模式接口。系统对象可通过静态模式接口连接装置并提交数据发送请求,请求中的信息包括系统对象本身的业务安全标记M(o)、拟发送的内容、采用的端口、协议、目的地址等;系统对象可通过动态模式接口连接装置并提交发送请求,请求中的信息包括系统对象本身的业务安全标记M(o)、拟发送数据的业务安全标记M(r)、拟发送的内容、采用的端口、协议、目的地址等。
方法2(统一接口):提供统一的应用接口支持动态模式和静态模式,根据请求中的业务安全标记类型进行模式选择。
2)网络层业务安全标记生成
网络层业务安全标记有以下2种生成方法:
方法1(静态标记模式):直接将系统对象的业务安全标记M(o)转换为网络层业务安全标记M(r’)。
方法2(动态标记模式):将拟发送数据的业务安全标记M(r)转换为网络层业务安全标记M(r’)。
3)业务安全标记封装
对拟发送数据进行封装,并将网络层业务安全标记M(r’)附加到每个IP包头的扩展字段上。
4)基于业务安全标记的管控
为进一步提升系统对外发网络数据的管控能力,可以为本发明所述协议栈增加基于业务安全属性的管控功能,为协议栈或其各端口配置业务安全标记M(n)=<Cn,Gn>,表明协议栈或端口可处理的数据的安全级别、业务类别等要求。在上述方法步骤2中,系统对象连接协议栈请求发送数据时,可首先匹配检查协议栈业务安全标记M(n)与拟发送数据的业务安全标记M(r),如果M(n)≥M(r),则协议栈可支配拟发送数据,进入步骤3;如果M(n)与M(r)之间不存在支配关系,则协议栈拒绝发送请求并生成相关日志。若步骤2中系统对象采用静态标记模式发送数据,则与系统对象的业务安全标记M(o)进行匹配检查,若M(n)≥M(o),进入步骤3,否则拒绝发送请求并生成相关日志。
尽管为说明目的公开了本发明的具体内容、实施算法以及附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。本发明不应局限于本说明书最佳实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。

Claims (10)

1.一种适应信息对象业务安全属性的网络层标记动态生成方法,其步骤包括:
1)设置系统对象的业务安全标记,标明系统对象的业务安全属性;所述业务安全标记包括安全级别和业务属性;
2)系统对象连接协议栈,请求发送网络数据;
3)协议栈根据请求中的业务安全标记转换生成网络层业务安全标记,并封装到IP数据包内;其中,网络层业务安全标记标明IP数据包内数据的安全级别、业务类别。
2.如权利要求1所述的方法,其特征在于,所述协议栈或其各端口配置有业务安全标记M(n)=<Cn,Gn>,表明协议栈或端口可处理的数据的安全级别、业务类别;a)步骤2)中,系统对象连接协议栈请求采用动态标记模式发送网络数据时,首先检查协议栈的业务安全标记M(n)与拟发送数据的业务安全标记M(r)是否匹配,如果M(n)≥M(r),则协议栈可支配拟发送数据,进入步骤3);如果M(n)与M(r)之间不存在支配关系,则协议栈拒绝发送请求并生成相关日志;b)步骤2)中,系统对象连接协议栈请求采用静态标记模式发送网络数据时,首先检查协议栈的业务安全标记M(n)与系统对象的业务安全标记M(o)是否匹配,若M(n)≥M(o),进入步骤3),否则拒绝发送请求并生成相关日志。
3.如权利要求1或2所述的方法,其特征在于,步骤2)中,系统对象连接协议栈,请求发送网络数据,系统对象采用静态标记模式发送数据,即默认拟发送数据的业务安全属性与系统对象的业务安全属性一致,系统对象将数据发送请求发送给协议栈,其中该数据发送请求中包含系统对象自身的业务安全标记。
4.如权利要求3所述的方法,其特征在于,生成网络层业务安全标记的方法为:直接将系统对象的业务安全标记转换为网络层业务安全标记。
5.如权利要求1或2所述的方法,其特征在于,步骤2)中,系统对象连接协议栈,请求发送网络数据,系统对象采用动态标记模式发送数据,即首先获取拟发送数据的业务安全属性,并将其与系统对象自身的业务安全属性一起提交给协议栈;其中,数据的业务安全标记包括数据的安全级别、业务类别、环境要求、操作控制要求。
6.如权利要求5所述的方法,其特征在于,生成网络层业务安全标记的方法为:将拟发送数据的业务安全标记转换为网络层业务安全标记。
7.如权利要求1所述的方法,其特征在于,步骤1)中,通过配置设置系统对象的业务安全标记,或根据系统对象的用户主体的业务安全标记设置系统对象的业务安全标记;所述系统对象为用于发送网络数据的应用、服务或进程。
8.一种适应信息对象业务安全属性的网络层标记动态生成系统,其特征在于,包括业务安全标记配置模块和支持业务安全标记的协议栈;其中,
业务安全标记配置模块,用于设置系统对象的业务安全标记,标明系统对象的业务安全属性;所述业务安全标记包括安全级别和业务属性;
支持业务安全标记的协议栈,用于接收系统对象的数据发送请求,并将数据发送请求中的业务安全标记转换生成网络层业务安全标记,并封装到IP数据包内;其中,网络层业务安全标记标明IP数据包内数据的安全级别、业务类别。
9.一种支持业务安全标记的协议栈,其特征在于,包括一应用接口;所述应用接口,用于支持系统对象提交数据发送请求;包括标记生成及封装功能,即协议栈根据发送请求中的业务安全标记生成网络层业务安全标记,并封装到IP数据包内。
10.如权利要求9所述的协议栈,其特征在于,所述应用接口根据业务需求设计为双接口,分别支持静态标记模式与动态标记模式,或者采用统一接口支持混合模式;其中,静态标记模式要求系统对象请求发送数据时需提交其自身的业务安全标记;动态标记模式要求系统对象请求发送数据时需提交其自身的业务安全标记和拟发送数据的业务安全标记。
CN201910536549.5A 2019-06-20 2019-06-20 一种网络层标记动态生成方法及系统 Active CN110417731B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910536549.5A CN110417731B (zh) 2019-06-20 2019-06-20 一种网络层标记动态生成方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910536549.5A CN110417731B (zh) 2019-06-20 2019-06-20 一种网络层标记动态生成方法及系统

Publications (2)

Publication Number Publication Date
CN110417731A true CN110417731A (zh) 2019-11-05
CN110417731B CN110417731B (zh) 2020-10-27

Family

ID=68359413

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910536549.5A Active CN110417731B (zh) 2019-06-20 2019-06-20 一种网络层标记动态生成方法及系统

Country Status (1)

Country Link
CN (1) CN110417731B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102368760A (zh) * 2010-12-31 2012-03-07 中国人民解放军信息工程大学 多级信息系统间的数据安全传输方法
CN102413198A (zh) * 2011-09-30 2012-04-11 山东中创软件工程股份有限公司 一种基于安全标记的访问控制方法和相关系统
US20130139244A1 (en) * 2011-11-29 2013-05-30 Samsung Electronics Co., Ltd. Enhancing network controls in mandatory access control computing environments
CN103647772A (zh) * 2013-12-12 2014-03-19 浪潮电子信息产业股份有限公司 一种对网络数据包进行可信访问控制的方法
CN104394175A (zh) * 2014-12-17 2015-03-04 中国人民解放军国防科学技术大学 一种基于网络标记的报文访问控制方法
CN104683348A (zh) * 2015-03-13 2015-06-03 河南理工大学 一种基于属性的访问控制策略合成方法
CN105245543A (zh) * 2015-10-28 2016-01-13 中国人民解放军国防科学技术大学 一种基于安全标记随机化的操作系统强制访问控制方法
US20170163654A1 (en) * 2015-09-25 2017-06-08 T-Mobile, U.S.A., Inc. Secure data corridors for data feeds
CN108183915A (zh) * 2018-01-15 2018-06-19 中国科学院信息工程研究所 一种面向高安全等级业务与应用需求的安全标签实现框架
CN109376530A (zh) * 2018-10-12 2019-02-22 北京凝思软件股份有限公司 基于标记的进程强制行为控制方法和系统

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102368760A (zh) * 2010-12-31 2012-03-07 中国人民解放军信息工程大学 多级信息系统间的数据安全传输方法
CN102413198A (zh) * 2011-09-30 2012-04-11 山东中创软件工程股份有限公司 一种基于安全标记的访问控制方法和相关系统
US20130139244A1 (en) * 2011-11-29 2013-05-30 Samsung Electronics Co., Ltd. Enhancing network controls in mandatory access control computing environments
CN103647772A (zh) * 2013-12-12 2014-03-19 浪潮电子信息产业股份有限公司 一种对网络数据包进行可信访问控制的方法
CN104394175A (zh) * 2014-12-17 2015-03-04 中国人民解放军国防科学技术大学 一种基于网络标记的报文访问控制方法
CN104683348A (zh) * 2015-03-13 2015-06-03 河南理工大学 一种基于属性的访问控制策略合成方法
US20170163654A1 (en) * 2015-09-25 2017-06-08 T-Mobile, U.S.A., Inc. Secure data corridors for data feeds
CN105245543A (zh) * 2015-10-28 2016-01-13 中国人民解放军国防科学技术大学 一种基于安全标记随机化的操作系统强制访问控制方法
CN108183915A (zh) * 2018-01-15 2018-06-19 中国科学院信息工程研究所 一种面向高安全等级业务与应用需求的安全标签实现框架
CN109376530A (zh) * 2018-10-12 2019-02-22 北京凝思软件股份有限公司 基于标记的进程强制行为控制方法和系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
冯瑜: "多级安全网络中安全标记绑定关键技术研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 *

Also Published As

Publication number Publication date
CN110417731B (zh) 2020-10-27

Similar Documents

Publication Publication Date Title
TW504915B (en) System and process having a universal adapter framework and providing a global user interface and global messaging bus
EP0648354B1 (en) Method and system for implementation-independent interface specification
CN103092602B (zh) 软件开发套件
US7904111B2 (en) Mobile exchange infrastructure
EP0483037A2 (en) Remote and batch processing in an object oriented programming system
CN108255905A (zh) 接口调用数据处理方法、装置和计算机设备
CN102158482B (zh) 基于json数据协议的客运信息通信方法及系统
WO2002056541B1 (en) Methods and systems for testing comminications network components
ATE529994T1 (de) Flexible übertragung von typieren applikationsdaten
CN110114760A (zh) Rpc变换处理系统以及rpc变换方法
Postel Media type registration procedure
CN108667817A (zh) 报文转换系统和报文转换方法
CN110417731A (zh) 一种适应信息对象业务安全属性的网络层标记动态生成方法及系统
Deng et al. CVM–A communication virtual machine
CN105516269A (zh) 应用的配置方法和应用的配置装置
CN111400066B (zh) 一种消息分发方法及装置
CN107644322A (zh) 基于OnlineBox系统的多终端审批方法及系统
EP1241834B1 (en) Communication control apparatus and method
CN101247309B (zh) 一种通用访问多网格平台的系统
CN113360136B (zh) 一种基于sca核心框架控制接口的实现方法
CN105141674B (zh) 一种能力接入方法及系统
CN107102882A (zh) iOS系统的业务处理方法及装置
CN105740045B (zh) 一种适用于大规模分布式联合仿真的信息传输优化方法
CN103281322A (zh) 一种用于卫星测试数据采集与控制的中间件系统
CN112073449B (zh) 基于Kubernetes的环境切换处理方法和设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant