CN116668197A - 信息流无干扰策略的网络强制访问控制实现方法及装置 - Google Patents

Abstract

本发明公开了一种信息流无干扰策略的网络强制访问控制实现方法及装置，该方法包括：设置基于信息流无干扰策略的强制访问控制模型；设置基于信息流无干扰策略的强控仲裁机；对应用协议进行深度检测及过滤。

Description

信息流无干扰策略的网络强制访问控制实现方法及装置

技术领域

本发明涉及可信计算的网络行为检测技术领域，更具体地说，涉及一种信息流无干扰策略的网络强制访问控制实现方法及装置。

背景技术

传统防火墙最擅长网络边界防护趋于“模糊与消失”，使以“防火墙、入侵检测和防病系统”的“老三样”安全防护越来越显得力不从心。

首先，防火墙防护能力有限。阻止或允许特定IP地址和端口，未能有限阻止未授权用户、未授权监听服务或守护进程。

第二，防火墙端口阻塞不再有效，无法有效防范客户端网络攻击。

第三，防火墙管理难度大，正确设置防火墙安全策略是痛点之一。

亟待着专家型的高性能可信防火云，用于全面网络威胁的强制访问控制，具有包过滤、状态检测、应用防御、网络强制访问控制等实时安全监测和快速响应的防御能力，自适应安全策略配置和专家系统，并具有为关保网络系统提供结构化保护，具有业务工作流强制的保障能力，可广泛应用于各种规模的企业、不同位置和工业环境。

防火墙是现代网络安全防护技术中的重要构成内容，通过内部与外部网络的中间过程，部署网络访问控制防御系统，可有效地防护外部的侵扰与影响。同时，具有一定的抗攻击能力，对于外部攻击具有自我保护的作用。

目前，网络访问控制方法，包含MAC地址过滤、VLAN隔离、ACL自主访问控制方法，和防火墙控制法，在最大限度上限制了源IP地址、目的IP地址、源上联端口号、目的上联端口号的访问权限，从而限制了每一业务流的通断。

从防护功能上，包过滤型防火墙、状态检测型防火墙、应用级防火墙和混合型防火墙，针对一些底层(网络层、传输层)的信息进行阻断，提供IP、端口防护，以及对应用层实施协议过滤等功能，包含不限于如下的安全问题：

第一，网络接入控制措施不完善。目前，边缘端不支持完整性检验，缺少用户授信与授权，存在着诸多安全风险。

第二，用户身份认证机制不统一。边缘端对不同网络的资源进行访问时，存在没有统一身份认证机制与用户账户管理。

第三，网络监控和授权机制不完善。现有的网络监控设备并没有预知安全状态变化的功能,缺少系统授权要求。

针对关键信息基础设施（简称：关基）中复杂网络拓扑、开放融合环境、多元接入终端、海量业务应用和未知威胁等带来的严峻挑战，提出了一种基于信息流无干扰策略，实现可信网络连接（TNC，Trusted Network Connection），包含网络连接控制机制、自主访问控制、强制访问控制和可信计算机制有机的结合，有效地解决传统防火墙“粗放”的访问控制机制，所带来的防护能力不足与难以有效地管控的安全问题。

首先，基于信息流无干扰理论，即在可信链传递模型中，采用形式化证明“信息流无干扰模型”与“二元多级安全模型”是等价的。

在网络环境信息域划分系统，引用监视器假设系统（也可定义“监管者/仲裁机”），在完整性条件下和机密性条件下一样都是符合无干扰或许可度量，在机密性保护的同时保护信息的完整性与二元多级安全模型（简称MLS：机密性与完整性双重保护）是等价的，其数学证明可参考相关的无干扰理论。

第二，二元多级安全模型MLS的强制访问控制，在现行的国家等保制度下，明确二元多级安全模型MLS，即要求三级以上的信息系统都具有强制访问控制。

这类敏感信息系统广泛支持经典的BLP改进模型，通过标记进行约束，实现信息从低向高流动，从而避免信息从高向低泄露。BLP模型的不足在于访问控制规则过于严格，从而导致灵活性不强，尤其是复杂网络计算环境下，BLP模型难以适应。

为了保证敏感信息系统的安全互操作特性，目前比较成熟的隔离方法有沙箱技术、虚拟机技术，虽一定程度上加强了安全性，但还是没法保证信息系统完整性的要求。

第三，可信计算与可信度量。

在这背景下，可性计算组织TCG（Trusted Computing Group）在规范中描述了可信定义以及信任的度量、信任传递和系统控制权，TCG用实体行为的预期性来定义可控性：当一个实体始终沿着预期的方式 (操作或行为)达到既定目标 ,则它就是可信的。

但是，各个环节的技术实现还有不少难点需要突破。

第四，信息流无干扰策略的强制访问控制模型，由访问控制模型和信息流模型构成。基于非传递无干扰信息流模型，用于描述信道控制及多域安全等问题，并与二元多级安全策略模型是等价的，通过该模型构建安全检测技术设备，能有效地发现系统中的隐蔽通道。

发明内容

本发明提供了一种信息流无干扰策略的网络强制访问控制实现方法及装置，解决传统防火墙防护能力不足与难以有效地管控的问题。

为解决上述问题，一方面，本发明提供一种信息流无干扰策略的网络强制访问控制实现方法，包括：

设置基于信息流无干扰策略的强制访问控制模型；

设置基于信息流无干扰策略的强控仲裁机；

对应用协议进行深度检测及过滤。

所述设置基于信息流无干扰策略的强制访问控制模型，包括：

在低等级信息域与高等级信息域之间的信道设立输入完整性检查室，以对于违反预设第一安全策略的操作，经输入完整性检查室检查后允许访问或拒绝访问；

在高等级信息域与低等级信息域之间的信道设立输出保密性检查室，以对于违反预设第二安全策略的操作，经输出保密性检查室检查后允许访问或拒绝访问；

在输入完整性检查室的输入端和输出端分别设立第一输入状态监视器及第一输出状态监视器；

在输出保密性检查室的输入端和输出端分别设立第二输入状态监视器及第二输出状态监视器；

基于信息流无干扰模型检测业务状态机，并构成业务任务序列，所述业务任务序列包括时序状态、空间状态和状态机变迁的触发条件，并设置多种违反安全原则的控制点，以构成业务流检测拓扑关系。

所述设置基于信息流无干扰策略的强控仲裁机，包括：

依据强制访问控制模型，将敏感信息系统划分为高等级信息域与低等级信息域，以使所有由高等级信息域向低等级信息域流动的信息需经过保密性检查室检查，防止高等级信息域泄露到低等级信息域；低等级信息域向高等级信息域流动的信息需经过完整性检查室检查，防止低等级信息域破坏高等级信息域；

通过外代理安全接入防止非授权接入，其中，低等级信息域发起接入访问，对发起方进行授权认证，并对业务执行操作的实体通过完整性认证，并对业务信息进行签字、验签，实现发起方可信接入，外代理安全接入由外代理状态监视器执行完整性度量验证；

设置无干扰策略模型组件，以检查由低等级信息域流向高等级信息域的信息，禁止破坏系统完整性的信息进入；并检查由高等级信息域流向低等级信息域的信息，禁止内部敏感信息外泄；设置网络隔离、通道隔离、协议净化和内容深度检查的功能组件，保证无干扰策略的强制访问控制；无干扰策略模型组件的完整性条件，由设立的完整性度量检测器进行验证；保密性条件，由设立的保密性度量检测器进行验证；

通过内代理安全接入进行非授权外联，通过预设的应用访问控制对高等级信息域的业务关键数据进行签字和验签，禁止内侧敏感信息外泄，并对高等级信息域执行无干扰模型所施加的信息流向策略集进行复核，审计高等级信息域未授权的用户和违规的操作，内代理安全接入由内代理状态监视器执行保密性度量验证；

设置安全管控中心，外代理状态监视器、内代理状态监视器、完整性度量检测器及保密性度量检测器通过公共管理总线与安全管控中心执行互操作。

所述设置基于信息流无干扰策略的强控仲裁机，还包括：

设置强控仲裁机所满足的第一特性及第二特性，其中，第一特性为主体s可读客体o，当且仅当λ(s)≥λ(o)和ω(s)≤ω(o)；第二特性为主体s可写客体o当且仅当λ(s)≤λ(o)和ω(s)≥ω(o)；主体s的保密性表示为λ(s)，主体s的完整性表示为ω(s)，客体o的保密性表示为λ(o)，客体o的完整性表示为ω(o)，≥和≤分别表示支配和被支配关系；

设置强制控制判决函数h(λ(s),λ(o),ω(s),ω(o),m,t)为真，当且仅当主体s与客体o同时满足第一特性及第二特性；并设置第三特性，第三特性为通信连接允许通过防火墙当且仅当h(λ(s),λ(o), ω(s),ω(o),m,t)为真；

设置访问控制判决函数a(S,O,m,t,r)和报文过滤函数K(d,t,r)，设置第四特性，第四特性为网络数据流允许通过防火墙并且仅当a(S,O,m,t,r)和K(d,t,r)同时为真；设置计算机主体S和网络服务器客体O，上传或下载的访问模式m，防火墙的过滤规则r，报文内容d，连接状态t；

将第三特性及第四特性组合以构成防火墙系统的自主和强制访问控制机制，a(s,o,m,t,r)、k(d,t,r)和h(λ(s),λ(o), ω(s),ω(o),m,t) 的共同作用保证一次网络通信连接的安全性。

所述对应用协议进行深度检测及过滤，包括：

将应用层协议编排成并行检测任务，并按特征匹配、多模匹配、自适应匹配和最优规则树匹配的梯度逼近，选择深度分析；

选择多模匹配算法；

采用多模匹配算法，在安全检测中表现其效能；

统计各协议变量特征及相关匹配模式特征，结合备选多模式匹配算法的性能特征，为规则匹配树节点选择最优的多模式匹配算法；

若统计值显示当前网络数据趋势稳定，则进行动态算法选择，确定是否有大幅超过当前算法效率的算法模块存在，并进行调用；

进行串匹配、协议字段匹配及多数据类型模式匹配，从而将多个模式中的相同协议字段归并，构建一个或多个树型模式结构，达到一次匹配多个模式的目的。

一方面，提供一种信息流无干扰策略的网络强制访问控制实现装置，包括：

模型设置模块，用于设置基于信息流无干扰策略的强制访问控制模型；

仲裁设置模块，用于设置基于信息流无干扰策略的强控仲裁机；

检测过滤模块，用于对应用协议进行深度检测及过滤。

所述模型设置模块包括：

完整性检查子模块，用于在低等级信息域与高等级信息域之间的信道设立输入完整性检查室，以对于违反预设第一安全策略的操作，经输入完整性检查室检查后允许访问或拒绝访问；

保密性检测子模块，用于在高等级信息域与低等级信息域之间的信道设立输出保密性检查室，以对于违反预设第二安全策略的操作，经输出保密性检查室检查后允许访问或拒绝访问；

第一监视设立子模块，用于在输入完整性检查室的输入端和输出端分别设立第一输入状态监视器及第一输出状态监视器；

第二监视设立子模块，用于在输出保密性检查室的输入端和输出端分别设立第二输入状态监视器及第二输出状态监视器；

序列构成子模块，用于基于信息流无干扰模型检测业务状态机，并构成业务任务序列，所述业务任务序列包括时序状态、空间状态和状态机变迁的触发条件，并设置多种违反安全原则的控制点，以构成业务流检测拓扑关系。

所述仲裁设置模块包括：

等级划分子模块，用于依据强制访问控制模型，将敏感信息系统划分为高等级信息域与低等级信息域，以使所有由高等级信息域向低等级信息域流动的信息需经过保密性检查室检查，防止高等级信息域泄露到低等级信息域；低等级信息域向高等级信息域流动的信息需经过完整性检查室检查，防止低等级信息域破坏高等级信息域；

外代理接入子模块，用于通过外代理安全接入防止非授权接入，其中，低等级信息域发起接入访问，对发起方进行授权认证，并对业务执行操作的实体通过完整性认证，并对业务信息进行签字、验签，实现发起方可信接入，外代理安全接入由外代理状态监视器执行完整性度量验证；

模型设置子模块，用于设置无干扰策略模型组件，以检查由低等级信息域流向高等级信息域的信息，禁止破坏系统完整性的信息进入；并检查由高等级信息域流向低等级信息域的信息，禁止内部敏感信息外泄；设置网络隔离、通道隔离、协议净化和内容深度检查的功能组件，保证无干扰策略的强制访问控制；无干扰策略模型组件的完整性条件，由设立的完整性度量检测器进行验证；保密性条件，由设立的保密性度量检测器进行验证；

内代理接入子模块，用于通过内代理安全接入进行非授权外联，通过预设的应用访问控制对高等级信息域的业务关键数据进行签字和验签，禁止内侧敏感信息外泄，并对高等级信息域执行无干扰模型所施加的信息流向策略集进行复核，审计高等级信息域未授权的用户和违规的操作，内代理安全接入由内代理状态监视器执行保密性度量验证；

管控设置子模块，用于设置安全管控中心，外代理状态监视器、内代理状态监视器、完整性度量检测器及保密性度量检测器通过公共管理总线与安全管控中心执行互操作；

第一特性设置子模块，用于设置强控仲裁机所满足的第一特性及第二特性，其中，第一特性为主体s可读客体o，当且仅当λ(s)≥λ(o)和ω(s)≤ω(o)；第二特性为主体s可写客体o当且仅当λ(s)≤λ(o)和ω(s)≥ω(o)；主体s的保密性表示为λ(s)，主体s的完整性表示为ω(s)，客体o的保密性表示为λ(o)，客体o的完整性表示为ω(o)，≥和≤分别表示支配和被支配关系；

第二特性设置子模块，用于设置强制控制判决函数h(λ(s),λ(o),ω(s),ω(o),m,t)为真，当且仅当主体s与客体o同时满足第一特性及第二特性；并设置第三特性，第三特性为通信连接允许通过防火墙当且仅当h(λ(s),λ(o), ω(s),ω(o),m,t)为真；

第三特性设置子模块，用于设置访问控制判决函数a(S,O,m,t,r)和报文过滤函数K(d,t,r)，设置第四特性，第四特性为网络数据流允许通过防火墙并且仅当a(S,O,m,t,r)和K(d,t,r)同时为真；设置计算机主体S和网络服务器客体O，上传或下载的访问模式m，防火墙的过滤规则r，报文内容d，连接状态t；

特性组合子模块，用于将第三特性及第四特性组合以构成防火墙系统的自主和强制访问控制机制，a(s,o,m,t,r)、k(d,t,r)和h(λ(s),λ(o), ω(s),ω(o),m,t) 的共同作用保证一次网络通信连接的安全性。

所述检测过滤模块包括：

协议编排子模块，用于将应用层协议编排成并行检测任务，并按特征匹配、多模匹配、自适应匹配和最优规则树匹配的梯度逼近，选择深度分析；

算法选择子模块，用于选择多模匹配算法；

算法采用子模块，用于采用多模匹配算法，在安全检测中表现其效能；

特征统计子模块，用于统计各协议变量特征及相关匹配模式特征，结合备选多模式匹配算法的性能特征，为规则匹配树节点选择最优的多模式匹配算法；

动态选择子模块，用于当统计值显示当前网络数据趋势稳定时，则进行动态算法选择，确定是否有大幅超过当前算法效率的算法模块存在，并进行调用；

模式匹配子模块，用于进行串匹配、协议字段匹配及多数据类型模式匹配，从而将多个模式中的相同协议字段归并，构建一个或多个树型模式结构，达到一次匹配多个模式的目的。

一方面，提供一种计算机可读存储介质，所述存储介质中存储有多条指令，所述指令适于由处理器加载以执行以上所述的一种信息流无干扰策略的网络强制访问控制实现方法。

本发明的有益效果是：通过可信网络访问控制体系架构，将多层访问控制技术和方法结合在一起，实现了网络接入、统一认证、网络监控、使用授权等方面的安全机制。

并且，建立了一套可信网络运行状况安全策略，并对网络安全状态进行度量，并加强网络安全强力检测与深度过滤、强制访问控制仲裁机制、业务工作流强控三套访问控制组件，具有较高安全检测与访问控制能力，可以根据不同的风险事件进行分类，同时生成形成以主动检测为核心的动态防御体系，及早发现自己的安全隐患和外界的入侵途径，支持大数据平台进行大数据分析、存储及备份，同时系统允许用户对网络中的设备进行渗透测试攻击，以检测系统中存在的安全风险，实现安全风险的可预见。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一实施例提供的一种信息流无干扰策略的网络强制访问控制实现方法的流程图；

图2是本发明一实施例提供的信息流无干扰策略的强制访问控制参考模型的结构框图；

图3是本发明一实施例提供的强控仲裁机的结构框图；

图4是本发明一实施例提供的多模匹配自适应算法示意图；

图5是本发明另一实施例提供的一种信息流无干扰策略的网络强制访问控制实现方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个特征。在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

在本发明中，“示例性”一词用来表示“用作例子、例证或说明”。本发明中被描述为“示例性”的任何实施例不一定被解释为比其它实施例更优选或更具优势。为了使本领域任何技术人员能够实现和使用本发明，给出了以下描述。在以下描述中，为了解释的目的而列出了细节。应当明白的是，本领域普通技术人员可以认识到，在不使用这些特定细节的情况下也可以实现本发明。在其它实例中，不会对公知的结构和过程进行详细阐述，以避免不必要的细节使本发明的描述变得晦涩。因此，本发明并非旨在限于所示的实施例，而是与符合本发明所公开的原理和特征的最广范围相一致。

本发明提供一种信息流无干扰策略的网络强制访问控制实现方法及装置，旨在实施可信网络连接（TNC，Trusted Network Connection），包含网络连接控制机制、自主访问控制、强制访问控制和可信计算机制有机的结合，有效地解决传统防火墙“粗放”的访问控制机制，所带来的防护能力不足与难以有效地管控的安全问题。

本发明所涉及到防火墙作为一种设置在被保护网络与因特网之间的信息流无干扰策略的网络强制访问控制实现方法及装置，经历了从包过滤+状态检测+应用协议访问控制，依据目前出现的混合式防火墙。

鉴于缺乏相关安全模型和安全理论的支持，目前的防火墙仍然存在以下无法解决的安全问题，不限于包含：无法有效地制止内部网络用户泄露敏感信息；无法有效地预防内部网络用户发起的网络攻击；无法有效地阻止各种数据驱动型网络攻击；无法有效地防止各种网络拒绝服务攻击等。

本发明所涉及一种实施强制访问控制机制，以多级安全模型为理论依据，采用无干扰信息流访问机制，并构造出多级、多层强制访问控制与可信网络连接机制有机结合，系统性实施网络强制访问控制，具有包过滤、状态检测、应用防御、网络强制访问控制等实时安全监测和快速响应的防御能力，并具备为关保信息系统提供结构化保护；基于业务工作流强制的保障能力。

本发明的目的在于提供一种信息流无干扰策略的网络强制访问控制实现方法及装置，具体技术实现方案如下：

基于信息流无干扰模型，针对计算环境建立用户操作工作流，不限于包含操作者、操作指令、服务响应链、操作负荷数据等安全检查基线，支持支持业务状态机的检测，并构成业务任务序列，包含时序状态、空间状态、和状态机变迁的触发条件，并设置三种以上违反安全原则的控制点，构成业务流检测拓扑关系，使攻击流无法逼近，实现基于业务任务序列的访问控制和主动防御。

同时，针对网络环境可独立的建立上/下行流量控制表，实现信道隔离、深度检测和协议净化，并通过“上行完整性检查规则”可管控对服务器非授权访问，而通过“下行保密性检查规则”可杜绝服务器敏感信息不外泄，达到高强度地强制访问控制。

并且，有机地融合Web防火墙、AI深度检测与网络防御，并集合统一安全威胁，不限于入侵防御、漏洞扫描、流量检测、数据库审计、安全检查工具，和渗透攻击等，在“安全目标和防御策略”支持下，聚会成“查、管、防、控”安全服务能力，既满足等保合规性的功能要求，又能分布式协同计算弹性扩展的优势，实现自动化安全能力编排和调度，真正满足国家三/四等级保护相应安全要求，从而能帮助企业快速实现等保合规和协同防御。

参见图1，图1是本发明一实施例提供的一种信息流无干扰策略的网络强制访问控制实现方法的流程图，所述信息流无干扰策略的网络强制访问控制实现方法包括S1-S3：

S1、设置基于信息流无干扰策略的强制访问控制模型。

本实施例中，信息流无干扰模型，对信息流进行分析，将组成应用的资源映射到不同的安全域中，通过限制安全域间的信息流动，隔离应用与环境间的恶意干扰，并可完成形式化描述与验证，证明了MLS类型的策略与传递的信息流无干扰策略是等价的，如图2所示，图2是本发明一实施例提供的信息流无干扰策略的强制访问控制参考模型的结构框图。

信息流无干扰策略的强制访问控制模型，由访问控制模型和信息流模型构成。基于非传递无干扰信息流模型，用于描述信道控制及多域安全等问题，并与二元多级安全策略模型是等价的。为了增强整个模型的可用性和灵活性，在可信域设置可信策略管理组件，因此步骤S1包括步骤S11-S15：

S11、在低等级信息域与高等级信息域之间的信道设立输入完整性检查室，以对于违反预设第一安全策略的操作，经输入完整性检查室检查后允许访问或拒绝访问。

本实施例中，在低等级信息域与高等级信息域之间信道，设立（输入）完整性检查室，对于违反安全策略（如完整性保护）的操作，由可信策略管理组件发起“完整性检查许可”可信令牌，经检查后允许或拒绝其访问。

S12、在高等级信息域与低等级信息域之间的信道设立输出保密性检查室，以对于违反预设第二安全策略的操作，经输出保密性检查室检查后允许访问或拒绝访问。

本实施例中，在高等级信息域与低等级信息域之间信道，设立（输出）保密性检查室，对于违反安全策略的操作，由可信策略管理组件发起“保密性检查许可”可信令牌，经检查后允许或拒绝其访问。

S13、在输入完整性检查室的输入端和输出端分别设立第一输入状态监视器及第一输出状态监视器。

本实施例中，在（输入）完整性检查室的输入端和输出端，各设立状态监视器(I,O),检查输入端和输出端的状态机，是否“干扰许可态”，完成完整性度量验证；在（输出）保密性检查室的输入端和输出端，各设立状态监视器(I,O),检查输入端和输出端的状态机，是否也在“干扰许可态”，完成保密行度量验证。

S14、在输出保密性检查室的输入端和输出端分别设立第二输入状态监视器及第二输出状态监视器。

本实施例中，由以上检查室和可信策略管理组件，共同完成安全检查、完整性度量验证、保密性度量验证和信道控制，构成非传递无干扰策略仲裁机制。

S15、基于信息流无干扰模型检测业务状态机，并构成业务任务序列，所述业务任务序列包括时序状态、空间状态和状态机变迁的触发条件，并设置多种违反安全原则的控制点，以构成业务流检测拓扑关系。

本实施例中，基于信息流无干扰模型，支持业务状态机的检测，并构成业务任务序列，包含时序状态、空间状态、和状态机变迁的触发条件，并设置三种以上违反安全原则的控制点，构成业务流检测拓扑关系，使攻击流无法逼近，实现基于业务任务序列的访问控制和主动防御。

通过此种方式，构建多个目标保护域，包含不限于端主体保护、通信网络保护、端客体（资源）保护，包含入网访问控制、主机系统服务级管控、网络权限限制、目录级管控、访问资源管控、网络服务器管控、网络进程（端口）管控和网络流量管控等，达到可信安全管控保障要求：“双向认证、准入检测、业务流访问控制，有效消除隐蔽信道”安全有效验证，实现了基于网络行为特征的业务系统的高效检测与管控，为解决业务网络行为的可信判别提供了一种全新的安全解决思路。

S2、设置基于信息流无干扰策略的强控仲裁机；参见图3，图3是本发明一实施例提供的强控仲裁机的结构框图，步骤S2包括步骤S21-S25：

S21、依据强制访问控制模型，将敏感信息系统划分为高等级信息域与低等级信息域，以使所有由高等级信息域向低等级信息域流动的信息需经过保密性检查室检查，防止高等级信息域泄露到低等级信息域；低等级信息域向高等级信息域流动的信息需经过完整性检查室检查，防止低等级信息域破坏高等级信息域。

本实施例中，基于信息流无干扰策略的强制访问控制，采用多级二元安全策略模型，并依据信息流无干扰模型，将敏感信息系统划分为不同级别的安全域，高安全级别的安全域处理的信息具有高保密和高完整性级别，所有由高级别向低级别流动的信息需经过保密检查室检查，防止高密级信息泄露到低安全级别；低安全级别向高级别流动的信息需经过完整性检查室检查，防止低完整性信息破坏高安全级别。

S22、通过外代理安全接入防止非授权接入，其中，低等级信息域发起接入访问，对发起方进行授权认证，并对业务执行操作的实体通过完整性认证，并对业务信息进行签字、验签，实现发起方可信接入，外代理安全接入由外代理状态监视器执行完整性度量验证。

本实施例中，外代理安全接入，用于防止非授权接入，低等级信息域发起接入访问，对发起方进行授权认证，并对业务执行操作的实体（如进程和上下文的任务序列）通过完整性认证，并对业务信息进行签字、验签，实现发起方可信接入，外代理安全接入由状态监视器执行完整性度量验证。

S23、设置无干扰策略模型组件，以检查由低等级信息域流向高等级信息域的信息，禁止破坏系统完整性的信息进入；并检查由高等级信息域流向低等级信息域的信息，禁止内部敏感信息外泄；设置网络隔离、通道隔离、协议净化和内容深度检查的功能组件，保证无干扰策略的强制访问控制；无干扰策略模型组件的完整性条件，由设立的完整性度量检测器进行验证；保密性条件，由设立的保密性度量检测器进行验证。

本实施例中，无干扰策略模型组件，检查所有由外侧(低等级端)流向内侧（高等级端）的信息，禁止破坏系统完整性的信息进入。并且检查所有由内侧（高等级端）流向外侧（低等级端）的信息，禁止内部敏感信息外泄，同时，设立了网络隔离、通道隔离、协议净化和内容深度检查的功能组件，保证无干扰策略的强制访问控制，达到“无干扰许可”的预期结果。无干扰策略模型组件的完整性条件，由设立的完整性度量检测器进行验证；保密性条件，由设立的保密性度量检测器进行验证。

S24、通过内代理安全接入进行非授权外联，通过预设的应用访问控制对高等级信息域的业务关键数据进行签字和验签，禁止内侧敏感信息外泄，并对高等级信息域执行无干扰模型所施加的信息流向策略集进行复核，审计高等级信息域未授权的用户和违规的操作，内代理安全接入由内代理状态监视器执行保密性度量验证。

本实施例中，内代理安全接入，用于非授权外联，通过设立的应用访问控制，对内侧高等级端的业务关键数据进行签字和验签，禁止内侧敏感信息外泄，并对内侧高等级端执行无干扰模型所施加的信息流向策略集进行复核，审计内侧端未授权的用户和违规的操作，内代理安全外联由状态监视器执行保密性度量验证。

S25、设置安全管控中心，外代理状态监视器、内代理状态监视器、完整性度量检测器及保密性度量检测器通过公共管理总线与安全管控中心执行互操作。

本实施例中，安全管控中心（SOSF）,用于非传递无干扰策略仲裁机的标记管理、策略下发和编排，提供可信密码平台的授权和鉴别、密码服务等，其中，内/外代理状态监视器、完整性度量检测器、保密性度量检测器通过公共管理总线，与安全管控中心（SOSF）执行互操作。

优选的，步骤S2还包括步骤S26-S29：

S26、设置强控仲裁机所满足的第一特性及第二特性，其中，第一特性为主体s可读客体o，当且仅当λ(s)≥λ(o)和ω(s)≤ω(o)；第二特性为主体s可写客体o当且仅当λ(s)≤λ(o)和ω(s)≥ω(o)；主体s的保密性表示为λ(s)，主体s的完整性表示为ω(s)，客体o的保密性表示为λ(o)，客体o的完整性表示为ω(o)，≥和≤分别表示支配和被支配关系。

本实施例中，基于信息流无干扰策略的强制访问控制模型，提供保密性与完整性双重保护机制，假定主体(网络访问客户)s和客体(网络服务器)o的保密性和完整性分别表示为λ(s)和λ(o)、ω(s)和ω(s)，≥和≤分别表示支配和被支配关系 。即≥和≤ 表示“读写”访问方式。保密性BLP表示：下读上写，完整性Biba模型：上读下写。保密性标记λ，完整性标记ω。如低等级S—>【完整性检查室】通过—>O(高),防止篡改高等级信息；低等级S<—通过【保密性检查室】<—O(高)，防止敏感信息外泄，这就是完整性与机密性双重保护。

强制访问控制仲裁机必须满足如下两个特性：

“SS—安全特性”：

主体s可以读客体o当且仅当：λ(s)≥λ(o)和ω(s)≤ω(o)；

“*—安全特性”：

主体s可以写客体o当且仅当：λ(s)≤λ(o)和ω(s)≥ω(o)。

S27、设置强制控制判决函数h(λ(s),λ(o),ω(s),ω(o),m,t)为真，当且仅当主体s与客体o同时满足第一特性及第二特性；并设置第三特性，第三特性为通信连接允许通过防火墙当且仅当h(λ(s),λ(o), ω(s),ω(o),m,t)为真。

本实施例中，定义强制控制判决函数h(λ(s),λ(o),ω(s),ω(o),m,t)为真 当且仅当s与o同时满足“SS--安全特性”和“*--安全特性”，从而上述定理可以形式化描述为：

“MS--安全特性”：通信连接允许通过防火墙当且仅当h(λ(s),λ(o), ω(s),ω(o),m,t)为真。

S28、设置访问控制判决函数a(S,O,m,t,r)和报文过滤函数K(d,t,r)，设置第四特性，第四特性为网络数据流允许通过防火墙并且仅当a(S,O,m,t,r)和K(d,t,r)同时为真；设置计算机主体S和网络服务器客体O，上传或下载的访问模式m，防火墙的过滤规则r，报文内容d，连接状态t。

本实施例中，访问控制模型：计算机主体S和网络服务器客体O，上传或下载的访问模式m，防火墙的过滤规则r，报文内容d，连接状态t，定义访问控制判决函数a(S,O,m,t,r)和报文过滤函数K(d,t,r)，则一个网络报文通过防火墙的访问控制必须满足DS--安全特性：网络数据流允许通过防火墙并且仅当a(S,O,m,t,r)和K(d,t,r)，同时为真，也就是说在防火墙的访问控制机制中，需要增加一条基于通信状态和报文内容，实施过滤机制K(d,t,r)函数实现，a(S,O,m,t,r)用于包过滤，K(d,t,r)用于内容和状态过滤。

S29、将第三特性及第四特性组合以构成防火墙系统的自主和强制访问控制机制，a(s,o,m,t,r)、k(d,t,r)和h(λ(s),λ(o), ω(s),ω(o),m,t) 的共同作用保证一次网络通信连接的安全性。

本实施例中，“MS—安全特性”和“DS—安全特性” 组合在一起构成了防火墙系统的自主和强制访问控制机制a(s,o,m,t,r)、k(d,t,r)和h(λ(s),λ(o), ω(s),ω(o),m,t)的共同作用保证了一次网络通信连接的安全性。尤其是h(λ(s),λ(o),ω(s),ω(o),m,t)在防火墙系统中的正确实现可以强制阻止网络欺骗、非法报文在防火墙中通过。

S3、对应用协议进行深度检测及过滤。步骤S3包括步骤S31-S36：

S31、将应用层协议编排成并行检测任务，并按特征匹配、多模匹配、自适应匹配和最优规则树匹配的梯度逼近，选择深度分析。

本实施例中，协议分析深度检测，可减少特征匹配的算力，提高匹配精度，高精度应用层协议分析，采用并行计算技术，将常用的应用层协议，包含不限于HTTP、FTP、P2P、SSH、SMTP等，编排成并行检测任务，并按特征匹配、多模匹配、自适应匹配和最优规则树匹配等梯度逼近，选择深度分析。特征匹配，基于攻击研究和特征知识库，进行初步协议分析，对于协议识别，和基于协议类别的访问控制，这项开销是避免不了的。

S32、选择多模匹配算法。

本实施例中，多模匹配算法选择，在报文匹配中，最为耗时的匹配运算是在报文中匹配多个串模式。

S33、采用多模匹配算法，在安全检测中表现其效能。

本实施例中，采用多模匹配算法，包含不限于AC算法、WM算法等，在安全检测中表现其效能，如图4采用动态和静静态自适应选择，图4是本发明一实施例提供的多模匹配自适应算法示意图。

S34、统计各协议变量特征及相关匹配模式特征，结合备选多模式匹配算法的性能特征，为规则匹配树节点选择最优的多模式匹配算法。

本实施例中，静态自适应在系统初始化时进行，统计各协议变量特征及相关匹配模式特征，结合备选多模式匹配算法的性能特征，为规则匹配树节点选择最优的多模式匹配算法。

S35、若统计值显示当前网络数据趋势稳定，则进行动态算法选择，确定是否有大幅超过当前算法效率的算法模块存在，并进行调用。

本实施例中，动态自适应在系统运行过程中采样统计影响算法效率的网络数据，如果统计值显示当前网络数据趋势稳定，则进行动态算法选择，确定是否有大幅超过当前算法效率的算法模块存在，并进行调用。

S36、进行串匹配、协议字段匹配及多数据类型模式匹配，从而将多个模式中的相同协议字段归并，构建一个或多个树型模式结构，达到一次匹配多个模式的目的。

本实施例中，最优规则树，特征匹配的过程不仅包括串匹配，还有对诸如地址、端口、协议类型等许多协议字段的匹配。为了提高匹配的效能，将其扩展到多数据类型模式匹配，即将多个模式中的相同协议字段归并，构建一个或多个树型模式结构，达到一次匹配多个模式的目的。

如图5所示，图5是本发明另一实施例提供的一种信息流无干扰策略的网络强制访问控制实现方法的流程图，本实施例的强制访问控制仲裁机包含四部分：访问判断模块(ADF，Access Control Decision Facilities)、访问实施模块(AEF，Access ControlEnforcement Facilities)、访问控制信息(ACI，Access Control Information)和安全管理中心（SOSF），强制访问控制实例化工作流程，如图5所示。

1.主体向访问实施模块(AEF)访问请求，AEF接到主体的访问请求之后，将主体、客体的安全属性、要求的访问模式等信息交给ADF，ADF接收相应的信息之后。

2.获取访问控制信息，不限于安全策略、自主访问控制列表（ACL）、强制访问控制列表（MAC）。

3.访问判断模块（ADF）决策请求，不限于强控仲裁机（S1）、应用层深度过滤（S3）、业务工作流强控（S4）和其他访问控制策略。

4.访问判断模块（ADF）根据访问控制策略进行优化对比，采用访问控制策略类或组合策略，不限于访问控制信息和策略，如自主访问控制列表ACL、强制访问控制列表MAC和应用协议过滤策略等。

5.实施访问判别模块（ADF）“决策判断”的结果，发送给访问控制模块（AEF）。

6.返回给主体访问判断模块（ADF）是否授权访问，还是拒绝访问的消息。

7.主体已经告知的消息，通知给访问判断模块（ADF）。

8.访问控制模块（ADF）及时更新访问控制信息。

9.跟新访问控制信息确认消息，通告给访问实施模块(AEF)。

10.以上通过后，主体可以访问客体的访问操作。

以上支持安全管理中心（SOSF）可下方、更新访问控制策略，支持对访问控制仲裁机授信和授权，支持主动监控和可信度量。

本发明还提供一种信息流无干扰策略的网络强制访问控制实现装置，包括：

模型设置模块，用于设置基于信息流无干扰策略的强制访问控制模型；

仲裁设置模块，用于设置基于信息流无干扰策略的强控仲裁机；

检测过滤模块，用于对应用协议进行深度检测及过滤。

所述模型设置模块包括：

完整性检查子模块，用于在低等级信息域与高等级信息域之间的信道设立输入完整性检查室，以对于违反预设第一安全策略的操作，经输入完整性检查室检查后允许访问或拒绝访问；

保密性检测子模块，用于在高等级信息域与低等级信息域之间的信道设立输出保密性检查室，以对于违反预设第二安全策略的操作，经输出保密性检查室检查后允许访问或拒绝访问；

第一监视设立子模块，用于在输入完整性检查室的输入端和输出端分别设立第一输入状态监视器及第一输出状态监视器；

第二监视设立子模块，用于在输出保密性检查室的输入端和输出端分别设立第二输入状态监视器及第二输出状态监视器；

序列构成子模块，用于基于信息流无干扰模型检测业务状态机，并构成业务任务序列，所述业务任务序列包括时序状态、空间状态和状态机变迁的触发条件，并设置多种违反安全原则的控制点，以构成业务流检测拓扑关系。

所述仲裁设置模块包括：

等级划分子模块，用于依据强制访问控制模型，将敏感信息系统划分为高等级信息域与低等级信息域，以使所有由高等级信息域向低等级信息域流动的信息需经过保密性检查室检查，防止高等级信息域泄露到低等级信息域；低等级信息域向高等级信息域流动的信息需经过完整性检查室检查，防止低等级信息域破坏高等级信息域；

外代理接入子模块，用于通过外代理安全接入防止非授权接入，其中，低等级信息域发起接入访问，对发起方进行授权认证，并对业务执行操作的实体通过完整性认证，并对业务信息进行签字、验签，实现发起方可信接入，外代理安全接入由外代理状态监视器执行完整性度量验证；

模型设置子模块，用于设置无干扰策略模型组件，以检查由低等级信息域流向高等级信息域的信息，禁止破坏系统完整性的信息进入；并检查由高等级信息域流向低等级信息域的信息，禁止内部敏感信息外泄；设置网络隔离、通道隔离、协议净化和内容深度检查的功能组件，保证无干扰策略的强制访问控制；无干扰策略模型组件的完整性条件，由设立的完整性度量检测器进行验证；保密性条件，由设立的保密性度量检测器进行验证；

内代理接入子模块，用于通过内代理安全接入进行非授权外联，通过预设的应用访问控制对高等级信息域的业务关键数据进行签字和验签，禁止内侧敏感信息外泄，并对高等级信息域执行无干扰模型所施加的信息流向策略集进行复核，审计高等级信息域未授权的用户和违规的操作，内代理安全接入由内代理状态监视器执行保密性度量验证；

管控设置子模块，用于设置安全管控中心，外代理状态监视器、内代理状态监视器、完整性度量检测器及保密性度量检测器通过公共管理总线与安全管控中心执行互操作；

第一特性设置子模块，用于设置强控仲裁机所满足的第一特性及第二特性，其中，第一特性为主体s可读客体o，当且仅当λ(s)≥λ(o)和ω(s)≤ω(o)；第二特性为主体s可写客体o当且仅当λ(s)≤λ(o)和ω(s)≥ω(o)；主体s的保密性表示为λ(s)，主体s的完整性表示为ω(s)，客体o的保密性表示为λ(o)，客体o的完整性表示为ω(o)，≥和≤分别表示支配和被支配关系；

第二特性设置子模块，用于设置强制控制判决函数h(λ(s),λ(o),ω(s),ω(o),m,t)为真，当且仅当主体s与客体o同时满足第一特性及第二特性；并设置第三特性，第三特性为通信连接允许通过防火墙当且仅当h(λ(s),λ(o), ω(s),ω(o),m,t)为真；

第三特性设置子模块，用于设置访问控制判决函数a(S,O,m,t,r)和报文过滤函数K(d,t,r)，设置第四特性，第四特性为网络数据流允许通过防火墙并且仅当a(S,O,m,t,r)和K(d,t,r)同时为真；设置计算机主体S和网络服务器客体O，上传或下载的访问模式m，防火墙的过滤规则r，报文内容d，连接状态t；

特性组合子模块，用于将第三特性及第四特性组合以构成防火墙系统的自主和强制访问控制机制，a(s,o,m,t,r)、k(d,t,r)和h(λ(s),λ(o), ω(s),ω(o),m,t) 的共同作用保证一次网络通信连接的安全性。

所述检测过滤模块包括：

协议编排子模块，用于将应用层协议编排成并行检测任务，并按特征匹配、多模匹配、自适应匹配和最优规则树匹配的梯度逼近，选择深度分析；

算法选择子模块，用于选择多模匹配算法；

算法采用子模块，用于采用多模匹配算法，在安全检测中表现其效能；

特征统计子模块，用于统计各协议变量特征及相关匹配模式特征，结合备选多模式匹配算法的性能特征，为规则匹配树节点选择最优的多模式匹配算法；

动态选择子模块，用于当统计值显示当前网络数据趋势稳定时，则进行动态算法选择，确定是否有大幅超过当前算法效率的算法模块存在，并进行调用；

模式匹配子模块，用于进行串匹配、协议字段匹配及多数据类型模式匹配，从而将多个模式中的相同协议字段归并，构建一个或多个树型模式结构，达到一次匹配多个模式的目的。

本领域普通技术人员可以理解，上述实施例的各种方法中的全部或部分步骤可以通过指令来完成，或通过指令控制相关的硬件来完成，该指令可以存储于一计算机可读存储介质中，并由处理器进行加载和执行。为此，本发明实施例提供一种存储介质，其中存储有多条指令，该指令能够被处理器进行加载，以执行本发明实施例所提供的任一种信息流无干扰策略的网络强制访问控制实现方法中的步骤。

其中，该存储介质可以包括：只读存储器(ROM，Read Only Memory)、随机存取记忆体(RAM，Random Access Memory)、磁盘或光盘等。

由于该存储介质中所存储的指令，可以执行本发明实施例所提供的任一种信息流无干扰策略的网络强制访问控制实现方法中的步骤，因此，可以实现本发明实施例所提供的任一种信息流无干扰策略的网络强制访问控制实现方法所能实现的有益效果，详见前面的实施例，在此不再赘述。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种信息流无干扰策略的网络强制访问控制实现方法，其特征在于，包括：

设置基于信息流无干扰策略的强制访问控制模型；

设置基于信息流无干扰策略的强控仲裁机；

对应用协议进行深度检测及过滤。

2.根据权利要求1所述的信息流无干扰策略的网络强制访问控制实现方法，其特征在于，所述设置基于信息流无干扰策略的强制访问控制模型，包括：

在低等级信息域与高等级信息域之间的信道设立输入完整性检查室，以对于违反预设第一安全策略的操作，经输入完整性检查室检查后允许访问或拒绝访问；

在高等级信息域与低等级信息域之间的信道设立输出保密性检查室，以对于违反预设第二安全策略的操作，经输出保密性检查室检查后允许访问或拒绝访问；

在输入完整性检查室的输入端和输出端分别设立第一输入状态监视器及第一输出状态监视器；

在输出保密性检查室的输入端和输出端分别设立第二输入状态监视器及第二输出状态监视器；

基于信息流无干扰模型检测业务状态机，并构成业务任务序列，所述业务任务序列包括时序状态、空间状态和状态机变迁的触发条件，并设置多种违反安全原则的控制点，以构成业务流检测拓扑关系。

3.根据权利要求2所述的信息流无干扰策略的网络强制访问控制实现方法，其特征在于，所述设置基于信息流无干扰策略的强控仲裁机，包括：

依据强制访问控制模型，将敏感信息系统划分为高等级信息域与低等级信息域，以使所有由高等级信息域向低等级信息域流动的信息需经过保密性检查室检查，防止高等级信息域泄露到低等级信息域；低等级信息域向高等级信息域流动的信息需经过完整性检查室检查，防止低等级信息域破坏高等级信息域；

通过外代理安全接入防止非授权接入，其中，低等级信息域发起接入访问，对发起方进行授权认证，并对业务执行操作的实体通过完整性认证，并对业务信息进行签字、验签，实现发起方可信接入，外代理安全接入由外代理状态监视器执行完整性度量验证；

设置无干扰策略模型组件，以检查由低等级信息域流向高等级信息域的信息，禁止破坏系统完整性的信息进入；并检查由高等级信息域流向低等级信息域的信息，禁止内部敏感信息外泄；设置网络隔离、通道隔离、协议净化和内容深度检查的功能组件，保证无干扰策略的强制访问控制；无干扰策略模型组件的完整性条件，由设立的完整性度量检测器进行验证；保密性条件，由设立的保密性度量检测器进行验证；

通过内代理安全接入进行非授权外联，通过预设的应用访问控制对高等级信息域的业务关键数据进行签字和验签，禁止内侧敏感信息外泄，并对高等级信息域执行无干扰模型所施加的信息流向策略集进行复核，审计高等级信息域未授权的用户和违规的操作，内代理安全接入由内代理状态监视器执行保密性度量验证；

设置安全管控中心，外代理状态监视器、内代理状态监视器、完整性度量检测器及保密性度量检测器通过公共管理总线与安全管控中心执行互操作。

4.根据权利要求3所述的信息流无干扰策略的网络强制访问控制实现方法，其特征在于，所述设置基于信息流无干扰策略的强控仲裁机，还包括：

设置强控仲裁机所满足的第一特性及第二特性，其中，第一特性为主体s可读客体o，当且仅当λ(s)≥λ(o)和ω(s)≤ω(o)；第二特性为主体s可写客体o当且仅当λ(s)≤λ(o)和ω(s)≥ω(o)；主体s的保密性表示为λ(s)，主体s的完整性表示为ω(s)，客体o的保密性表示为λ(o)，客体o的完整性表示为ω(o)，≥和≤分别表示支配和被支配关系；

设置强制控制判决函数h(λ(s),λ(o),ω(s),ω(o),m,t)为真，当且仅当主体s与客体o同时满足第一特性及第二特性；并设置第三特性，第三特性为通信连接允许通过防火墙当且仅当h(λ(s),λ(o), ω(s),ω(o),m,t)为真；

设置访问控制判决函数a(S,O,m,t,r)和报文过滤函数K(d,t,r)，设置第四特性，第四特性为网络数据流允许通过防火墙并且仅当a(S,O,m,t,r)和K(d,t,r)同时为真；设置计算机主体S和网络服务器客体O，上传或下载的访问模式m，防火墙的过滤规则r，报文内容d，连接状态t；

将第三特性及第四特性组合以构成防火墙系统的自主和强制访问控制机制，a(s,o,m,t,r)、k(d,t,r)和h(λ(s),λ(o), ω(s),ω(o),m,t) 的共同作用保证一次网络通信连接的安全性。

5.根据权利要求1所述的信息流无干扰策略的网络强制访问控制实现方法，其特征在于，所述对应用协议进行深度检测及过滤，包括：

将应用层协议编排成并行检测任务，并按特征匹配、多模匹配、自适应匹配和最优规则树匹配的梯度逼近，选择深度分析；

选择多模匹配算法；

采用多模匹配算法，在安全检测中表现其效能；

统计各协议变量特征及相关匹配模式特征，结合备选多模式匹配算法的性能特征，为规则匹配树节点选择最优的多模式匹配算法；

若统计值显示当前网络数据趋势稳定，则进行动态算法选择，确定是否有大幅超过当前算法效率的算法模块存在，并进行调用；

进行串匹配、协议字段匹配及多数据类型模式匹配，从而将多个模式中的相同协议字段归并，构建一个或多个树型模式结构，达到一次匹配多个模式的目的。

6.一种信息流无干扰策略的网络强制访问控制实现装置，其特征在于，包括：

模型设置模块，用于设置基于信息流无干扰策略的强制访问控制模型；

仲裁设置模块，用于设置基于信息流无干扰策略的强控仲裁机；

检测过滤模块，用于对应用协议进行深度检测及过滤。

7.根据权利要求6所述的信息流无干扰策略的网络强制访问控制实现装置，其特征在于，所述模型设置模块包括：

完整性检查子模块，用于在低等级信息域与高等级信息域之间的信道设立输入完整性检查室，以对于违反预设第一安全策略的操作，经输入完整性检查室检查后允许访问或拒绝访问；

保密性检测子模块，用于在高等级信息域与低等级信息域之间的信道设立输出保密性检查室，以对于违反预设第二安全策略的操作，经输出保密性检查室检查后允许访问或拒绝访问；

第一监视设立子模块，用于在输入完整性检查室的输入端和输出端分别设立第一输入状态监视器及第一输出状态监视器；

第二监视设立子模块，用于在输出保密性检查室的输入端和输出端分别设立第二输入状态监视器及第二输出状态监视器；

序列构成子模块，用于基于信息流无干扰模型检测业务状态机，并构成业务任务序列，所述业务任务序列包括时序状态、空间状态和状态机变迁的触发条件，并设置多种违反安全原则的控制点，以构成业务流检测拓扑关系。

8.根据权利要求7所述的信息流无干扰策略的网络强制访问控制实现装置，其特征在于，所述仲裁设置模块包括：

等级划分子模块，用于依据强制访问控制模型，将敏感信息系统划分为高等级信息域与低等级信息域，以使所有由高等级信息域向低等级信息域流动的信息需经过保密性检查室检查，防止高等级信息域泄露到低等级信息域；低等级信息域向高等级信息域流动的信息需经过完整性检查室检查，防止低等级信息域破坏高等级信息域；

外代理接入子模块，用于通过外代理安全接入防止非授权接入，其中，低等级信息域发起接入访问，对发起方进行授权认证，并对业务执行操作的实体通过完整性认证，并对业务信息进行签字、验签，实现发起方可信接入，外代理安全接入由外代理状态监视器执行完整性度量验证；

模型设置子模块，用于设置无干扰策略模型组件，以检查由低等级信息域流向高等级信息域的信息，禁止破坏系统完整性的信息进入；并检查由高等级信息域流向低等级信息域的信息，禁止内部敏感信息外泄；设置网络隔离、通道隔离、协议净化和内容深度检查的功能组件，保证无干扰策略的强制访问控制；无干扰策略模型组件的完整性条件，由设立的完整性度量检测器进行验证；保密性条件，由设立的保密性度量检测器进行验证；

内代理接入子模块，用于通过内代理安全接入进行非授权外联，通过预设的应用访问控制对高等级信息域的业务关键数据进行签字和验签，禁止内侧敏感信息外泄，并对高等级信息域执行无干扰模型所施加的信息流向策略集进行复核，审计高等级信息域未授权的用户和违规的操作，内代理安全接入由内代理状态监视器执行保密性度量验证；

管控设置子模块，用于设置安全管控中心，外代理状态监视器、内代理状态监视器、完整性度量检测器及保密性度量检测器通过公共管理总线与安全管控中心执行互操作；

第一特性设置子模块，用于设置强控仲裁机所满足的第一特性及第二特性，其中，第一特性为主体s可读客体o，当且仅当λ(s)≥λ(o)和ω(s)≤ω(o)；第二特性为主体s可写客体o当且仅当λ(s)≤λ(o)和ω(s)≥ω(o)；主体s的保密性表示为λ(s)，主体s的完整性表示为ω(s)，客体o的保密性表示为λ(o)，客体o的完整性表示为ω(o)，≥和≤分别表示支配和被支配关系；

第二特性设置子模块，用于设置强制控制判决函数h(λ(s),λ(o),ω(s),ω(o),m,t)为真，当且仅当主体s与客体o同时满足第一特性及第二特性；并设置第三特性，第三特性为通信连接允许通过防火墙当且仅当h(λ(s),λ(o), ω(s),ω(o),m,t)为真；

第三特性设置子模块，用于设置访问控制判决函数a(S,O,m,t,r)和报文过滤函数K(d,t,r)，设置第四特性，第四特性为网络数据流允许通过防火墙并且仅当a(S,O,m,t,r)和K(d,t,r)同时为真；设置计算机主体S和网络服务器客体O，上传或下载的访问模式m，防火墙的过滤规则r，报文内容d，连接状态t；

特性组合子模块，用于将第三特性及第四特性组合以构成防火墙系统的自主和强制访问控制机制，a(s,o,m,t,r)、k(d,t,r)和h(λ(s),λ(o), ω(s),ω(o),m,t) 的共同作用保证一次网络通信连接的安全性。

9.根据权利要求6所述的信息流无干扰策略的网络强制访问控制实现装置，其特征在于，所述检测过滤模块包括：

协议编排子模块，用于将应用层协议编排成并行检测任务，并按特征匹配、多模匹配、自适应匹配和最优规则树匹配的梯度逼近，选择深度分析；

算法选择子模块，用于选择多模匹配算法；

算法采用子模块，用于采用多模匹配算法，在安全检测中表现其效能；

特征统计子模块，用于统计各协议变量特征及相关匹配模式特征，结合备选多模式匹配算法的性能特征，为规则匹配树节点选择最优的多模式匹配算法；

动态选择子模块，用于当统计值显示当前网络数据趋势稳定时，则进行动态算法选择，确定是否有大幅超过当前算法效率的算法模块存在，并进行调用；

模式匹配子模块，用于进行串匹配、协议字段匹配及多数据类型模式匹配，从而将多个模式中的相同协议字段归并，构建一个或多个树型模式结构，达到一次匹配多个模式的目的。

10.一种计算机可读存储介质，其特征在于，所述存储介质中存储有多条指令，所述指令适于由处理器加载以执行权利要求1至5任一项所述的一种信息流无干扰策略的网络强制访问控制实现方法。