一种应用级安全跨域通信方法及系统技术方案

技术编号:18119398 阅读:28 留言:0更新日期:2018-06-03 11:12
本发明专利技术涉及一种应用级安全跨域通信方法及系统,对信息标记安全标签,基于安全标签对信息进行安全审查,从而在实现信息跨域传输的同时满足安全要求;所述跨域通信是指在执行不同安全策略的两个或者多个网络/区域之间进行信息传输;所述安全标签是和信息绑定的一段数字实体,记录了信息的安全级别、安全类别、安全标签显示属性及自定义扩展信息。

An application level secure cross domain communication method and system

The present invention relates to an application level secure cross domain communication method and system, which provides security tags for information tagged security tags and security checks based on security labels to meet security requirements while realizing transdomain transmission of information; the cross domain communication refers to two or more networks / regions that perform different security strategies. The security label is a digital entity bound to the information, which records the security level, the security category, the security label display property and the custom extended information.

【技术实现步骤摘要】
一种应用级安全跨域通信方法及系统
本专利技术涉及通信
,具体涉及跨域通信技术方法及系统。
技术介绍
随着网络技术的发展,处于不同网络域的同一组织以及不同组织之间存在跨域共享部分信息以进行协同工作的需求。针对该问题,CN200510070361.4提出了一种基于媒体网关的跨域通信方法,解决了不同IP域之间的媒体流接续的跨域通信问题。CN201310634790.4给出了一种解决不同运营商之间用户信息共享的方法,基于接收者账号信息信息判断目标接收类型,并基于目标接收类型采用不同跨域通信方法进行通信。CN201410433474.5、CN201410508440.8主要解决网页访问时跨域通信问题。上述方案均只是解决如何进行跨域信息共享,并共享的信息进行控制。CN200910260082.2提出了一种SIP视频监控系统跨域访问安全方法,该方法主要是对跨域通信服务器身份进行验证,抵抗了仿冒服务器攻击和重放攻击,并且解决了跨域访问用户单点登录的问题。CN201410664196.4通过在两个不同域中的服务器之间建立VPN端口,并进行加密传输,保证跨域通信的机密性、完整性以及不可抵赖性。综上可治,现有的安全跨域通信方法存在如下问题:(1)偏重于解决如何进行跨域通信,对跨域传输的信息内容并未进行审查;(2)现有安全跨域通信方法偏重于对跨域数据的完整性、机密性以及不可抵赖性进行保护,无法对信息流向进行控制,因此无法实现在不同域内依据安全要求只对部分信息进行共享。
技术实现思路
本专利技术技术解决问题:克服现有技术的不足,提供一种应用级跨域通信方法及系统,在实现跨域信息共享的同时,对信息进行应用级安全审查,达到控制信息流向,并避免木马病毒以及恶意内容入侵到组织内部。本专利技术技术解决方案:一种应用级安全跨域通信方法,对信息标记安全标签,基于安全标签对信息进行安全审查,从而在实现信息跨域传输的同时满足安全要求;所述跨域通信是指在执行不同安全策略的两个或者多个网络/区域之间进行信息传输;所述安全标签是和信息绑定的一段数字实体,记录了信息的安全级别、安全类别、安全标签显示属性及自定义扩展信息。所述安全审查的内容包括信息过滤、安全标签检查、加密流量过滤、信息流向控制和信息内容审查;所述信息过滤:删除跨域通信的信息中的关键字段,确保信息合法传输;所述安全标签检查:根据安全策略,判断安全标签的安全级别、安全类别是否在预定的范围内,若在预定的范围内,则判定为合法标签;否则,判定为非法标签;所述安全标签转换:根据安全策略中定义的标签等价映射原则,将安全标签映射到与目标相关联的安全策略;所述标签等价映射原则:同一信息,在一个域中由安全标签所确定的知悉范围与目标域中由安全标签所确定的知悉范围应保持一致;所述目标域是指跨域传输信息的接收域;所述加密流量过滤:对由于加密导致无法执行应用级检查的信息流量进行过滤,防止信息在加密以后进行非法跨域传输;所述信息流向控制:若信息具有合法的安全标签,依据安全要求,对信息转发进行控制;所述信息内容审查:对跨域通信的信息内容进行审查,避免木马病毒以及敏感信息入侵到组织内部。本专利技术应用级安全跨域通信系统,包括跨域交换设备以及跨域交换设备中的对等控制模块,实现应用级信息安全审查,所述安全审查包括信息过滤、安全标签检查、加密流量过滤、信息流向控制和信息内容审查;步骤11:当对等控制模块检测到有信息需要进行跨域传输时,则执行步骤12;步骤12:对所传输信息的类型进行检查,所述传输信息的类型包括消息和文件;若信息类型为文件,则提示无法进行文件直接传输,需请提交文件获取请求申请;否则执行步骤13;步骤13:对等控制模块对所传输加密信息进行解密,若无法解密进行审查,则执行步骤21;否则,执行步骤14;步骤14:对等控制模块对所传输信息的内容进行审查,若信息中有木马病毒以及敏感信息,则执行步骤21;否则,执行步骤15;步骤15:对等控制模块检查所传输信息是否为规定接收范围的信息,若是规定范围内接受信息,则执行步骤16;否则,执行步骤19;所述规定接收范围为多用户共享、一对一的信息;步骤16:对等控制模块解析所接收信息的安全标签,根据安全策略判定目标域是否有权限访问信息,若目标域有权限访问信息,则执行步骤17;否则,执行步骤19;步骤17:对等控制模块根据安全策略对所接收到的信息进行安全标签转换,并将信息路由至目标域的对等控制模块;所述安全标签映射规则是指在将一个域中安全标签的安全级别、安全类别以及安全标签显示属性解析并转换为目标域中等价的安全级别、安全类别以及安全标签显示属性;步骤18:目标域对等控制模块接收跨域信息;步骤19:放弃转发信息。本专利技术与现有技术相比的优点在于:(1)基于安全标签进行信息的流向控制,能够对信息的安全类别、安全级别进行识别,并根据接收方对信息的访问权限判断信息是否应该进行跨域传输,从而保证避免信息在跨域传输时知悉范围不受控的问题;(2)对跨域传输的信息进行过滤,在共享必要信息内容的同时,避免信息中所包含的敏感字段信息泄露;(3)提供了安全标签转换方法,使得当信息从一个域传输到目标域以后,依然能够对信息进行基于安全标签的处理;(4)对进行跨域传输的文件进行过滤,杜绝文件直接进行跨域传输,避免文件在内容审查不完全情况下跨域发送造成知悉范围扩散的问题;(5)对加密后无法进行应用级安全审查的流量进行过滤,避免在进行跨域传输时造成信息知悉范围扩散、木马病毒入侵以及恶意内容传播问题;(6)对信息内容进行审查,避免在进行跨域传输时造成木马病毒入侵以及恶意内容传播问题。附图说明图1为本专利技术基于安全标签的跨域通信具体实施方式图;图2为本专利技术基于安全标签的跨域通信方法流程图。具体实施方式本专利技术提出了一种在跨域通信中,为通信的双方提供安全保障并进行流量检查与控制的方法。当信息进行跨域传输时,基于安全标签控制信息在不同域之间合法安全进行流转,同时进行病毒和恶意信息检查防止其侵入组织内部。如图2所示,基于安全标签的跨域通信系统具体实施方式如图2所示,具体描述如下:步骤11:当对等控制模块检测到有信息需要进行跨域传输时,则执行步骤12;步骤12:对所传输信息的类型进行检查,所述传输信息的类型包括消息和文件;若信息类型为文件,则提示无法进行文件直接传输,需请提交文件获取请求申请;否则执行步骤13;步骤13:对等控制模块对所传输加密信息进行解密,若无法解密进行审查,则执行步骤21;否则,执行步骤14;步骤14:对等控制模块对所传输信息的内容进行审查,若信息中有木马病毒以及敏感信息,则执行步骤21;否则,执行步骤15;步骤15:对等控制模块检查所传输信息是否为规定接收范围的信息,若是规定范围内接受信息,则执行步骤16;否则,执行步骤19;所述规定接收范围为多用户共享、一对一的信息;步骤16:对等控制模块解析所接收信息的安全标签,根据安全策略判定目标域是否有权限访问信息,若目标域有权限访问信息,则执行步骤17;否则,执行步骤19;步骤17:对等控制模块根据安全策略对所接收到的信息进行安全标签转换,并将信息路由至目标域的对等控制模块;所述安全标签映射规则是指在将一个域中安全标签的安全级别、安全类别以及安全标签显示属性解析并转换为目标本文档来自技高网...
一种应用级安全跨域通信方法及系统

【技术保护点】
一种应用级安全跨域通信方法,其特征在于:对信息标记安全标签,基于安全标签对信息进行安全审查,从而在实现信息跨域传输的同时满足安全要求;所述跨域通信是指在执行不同安全策略的两个或者多个网络/区域之间进行信息传输;所述安全标签是和信息绑定的一段数字实体,记录了信息的安全级别、安全类别、安全标签显示属性及自定义扩展信息。

【技术特征摘要】
1.一种应用级安全跨域通信方法,其特征在于:对信息标记安全标签,基于安全标签对信息进行安全审查,从而在实现信息跨域传输的同时满足安全要求;所述跨域通信是指在执行不同安全策略的两个或者多个网络/区域之间进行信息传输;所述安全标签是和信息绑定的一段数字实体,记录了信息的安全级别、安全类别、安全标签显示属性及自定义扩展信息。2.根据权利要求1所述的应用级安全跨域通信方法,其特征在于:所述安全审查的内容包括信息过滤、安全标签检查、加密流量过滤、信息流向控制和信息内容审查;所述信息过滤:删除跨域通信的信息中的关键字段,确保信息合法传输;所述安全标签检查:根据安全策略,判断安全标签的安全级别、安全类别是否在预定的范围内,若在预定的范围内,则判定为合法标签;否则,判定为非法标签;所述安全标签转换:根据安全策略中定义的标签等价映射原则,将安全标签映射到与目标相关联的安全策略;所述标签等价映射原则:同一信息,在一个域中由安全标签所确定的知悉范围与目标域中由安全标签所确定的知悉范围应保持一致;所述目标域是指跨域传输信息的接收域;所述加密流量过滤:对由于加密导致无法执行应用级检查的信息流量进行过滤,防止信息在加密以后进行非法跨域传输;所述信息流向控制:若信息具有合法的安全标签,依据安全要求,对信息转发进行控制;所述信息内容审查:对跨域通信的信息内容进行审查,避免木马病毒以及敏感信息入侵到组织内部。3.一种应用级安全跨域通信系统,其特征在于:包括...

【专利技术属性】
技术研发人员:王利明胡亚辉宋晨
申请(专利权)人:中国科学院信息工程研究所
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1