一种面向高安全等级业务与应用需求的安全标签实现系统技术方案

本发明专利技术涉及一种面向高安全等级业务与应用需求的安全标签实现系统，包括：标准化层、处理接口层和业务处理层；所述标准化层包括：安全标签单元和安全标签协议单元：所述处理接口层包括安全标签处理模块和安全标签管理模块两部分；所述业务处理层包括客户端应用处理单元、业务服务处理单元和管理单元；本发明专利技术通过安全标签实施框架的建设，能够面向高安全等级业务与应用需求，实现业务系统的安全增强，对于业务与应用具有较好的适应性。

A security label implementation framework for high security level business and application requirements

The invention relates to a security label implementation framework for high security level business and application requirements, including: the standardization layer, the processing interface layer and the business processing layer; the standardized layer includes the security label unit and the security label protocol unit: the processing interface layer includes the security label processing module and the security label tube. The two part of the module; the business processing layer includes a client application processing unit, a business service processing unit, and a management unit; the invention can be built by the security label implementation framework to meet the high security level business and application requirements, implement the security enhancement of the business system, and have a better suitability for the business and application. Stress.

【技术实现步骤摘要】
一种面向高安全等级业务与应用需求的安全标签实现框架
本专利技术涉及信息安全
，具体涉及一种面向高安全等级业务与应用需求的安全标签实现框架，即面向高安全等级业务与应用需求的安全标签实现系统。
技术介绍
互联网技术的飞速发展极大的提高了办公效率，但是在一些敏感领域，受限于技术、政策的限制，仍然无法享受互联网技术发展所带来的便利，这些领域应用互联网技术的障碍在于如何保障业务与应用数据安全地被使用。目前，敏感领域的业务与应用类型众多，现有技术手段仅着眼网络层面，即利用防火墙、入侵检测等设备进行传统安全防护，这些防护方法由于不能理解业务逻辑，因此无法对数据的使用进行控制。针对该问题，CN201410821099.1提出了一种基于电力系统安全标签的强制访问控制方法，该方法中所述的安全标签仅包含了主客体的身份信息，且该专利所述方法仅对远端浏览服务中的第一个网络数据包进行截获和判断，并仅控制到服务器端口中所启动的服务；CN201210581789.5提出了一种基于安全标签的安全管理方法，该方法中所述安全标签仅限于级别信息，对于该级别数据均以一种方式进行控制，同时该方法中所涉及的操作控制仅适用于电子文档，应用范围受限；CN201410070296.4及CN201710351467.4分别提出了一种使用电子文件安全标签保证电子文件安全的方法及系统和一种基于安全标签的电子文档全生命周期安全防护方法，这两种方法仅适用于电子文档流转和存储控制，应用范围受限。总结以上方法有如下问题：(1)未对安全标签以及如何在数据处理过程中使用安全标签进行描述；(2)对于业务与应用协议的适应性不足，即，仅实现服务层面控制或者仅适用于电子文档的流转控制，而大多数业务与应用其内容多在数据负载中，该数据负载的处理是关键。
技术实现思路
本专利技术技术解决问题：克服现有技术的不足，提供一种面向高安全等级业务与应用需求的安全标签实现框架，通过安全标签基础设施的建设，能够面向高安全等级业务与应用需求，实现业务系统的安全增强，对于业务与应用具有较好的适应性。本专利技术技术解决方案：一种面向高安全等级业务与应用需求的安全标签实现框架，包括：标准化层、处理接口层和业务处理层；所述标准化层包括：安全标签单元和安全标签协议单元：所述处理接口层包括安全标签处理模块和安全标签管理模块两部分；所述业务处理层包括客户端应用处理单元、业务服务处理单元和管理单元；安全标签单元对安全标签进行定义，用于统一业务数据中所嵌入的安全标签的格式和内容；所述安全标签，遵循安全标签单元中的定义，安全标签将嵌入业务数据中，并随数据一起传输，客户端应用处理单元、业务服务处理单元和管理单元根据安全标签对业务数据执行安全策略，包含安全级别、安全类别和安全策略三部分，具体描述如下：所述安全标签是和信息绑定的一段数字实体，记录了信息的安全策略、安全级别、安全类别、显示属性、自定义扩展信息；所述安全策略，具有唯一编号，包括安全标签的合法值定义及显示方式，并为客户端应用处理单元、业务服务处理单元和管理单元提供安全标签的处理方法；所述安全级别，与使用安全标签的高安全等级业务与应用系统相关，与系统已有的级别定义保持一致；所述安全类别，用于判断当访问用户的安全级别不低于数据的安全级别时，用户是否能够对数据进行访问；所述显示属性，用于定义安全标签显示时的名称、字体、大小、颜色信息；所述自定义扩展信息是指预留出的一段数字实体，可根据使用安全标签的业务与应用系统的安全需求进行填充；安全标签协议单元对客户端应用处理单元、业务服务处理单元和管理单元之间交互的协议进行定义，用于统一安全标签协议数据包的格式和内容、协议数据包的生成与解析方法；所述安全标签协议，作为应用层负载的一部分存在，包含协议头和协议体，协议头包括类型、安全选项，协议体包括请求/响应数据；所述处理接口层，遵循统一标准的接口规范向业务处理层中的处理单元提供接口，在接口不变化的情况下，支持功能的扩展，实现对业务处理层的适配，其处理过程由业务与应用对应的处理流程触发，包括安全标签处理模块和安全标签管理模块两部分；所述安全标签处理模块，为带有安全标签数据在业务与应用系统中的流转处理过程提供所需要的功能，嵌入、解析、验证、请求、判定、存储和显示；所述安全标签管理模块，为安全标签自身的控制提供所需要的功能，包括创建、编辑、生成、过滤、转换、资源判定；所述业务处理层，将处理接口层中的处理模块与业务流程结合，以配置项形式运行在不同类型的业务与应用处理单元中，包括客户端应用处理单元、业务服务处理单元和管理单元；所述业务处理层，以统一的实现框架与业务流程进行结合，业务处理层的各个处理单元分别由客户端应用、业务服务、管理服务在启动时进行加载，加载后业务处理层的各个处理单元将所需要的处理接口层中的处理模块在客户端应用、业务服务、管理服务中进行注册和初始化，等待业务处理过程中的调用；当客户端应用、业务服务、管理服务结束其功能时，应同时释放业务处理层中各个处理单元所占用的系统资源，并注销对应的处理模块；所述业务处理过程中的调用，需要修改客户端应用、业务服务、管理服务中涉及安全标签处理的部分，将客户端应用处理单元、业务服务处理单元和管理单元以配置项的方式运行在对应的系统组件中。所述客户端应用处理单元，运行在客户端应用中，由客户端业务流程触发，根据不同的业务调用安全标签处理模块中的接口，并以配置项形式工作在客户端应用中，与客户端应用通过调用方式进行交互，用于对客户端应用中待发送、已收到业务数据中的安全标签进行显示、判定处理；所述业务服务处理单元，运行在业务服务器中，由业务服务流程触发，根据不同的业务调用安全标签处理模块中的接口，并以配置项形式工作在业务服务器中，与业务服务通过调用方式进行交互，并对业务服务收到的业务数据中的安全标签执行判定处理，并能够根据业务类型与管理单元交互，发起安全标签获取请求及资源访问权限判定请求；所述管理单元，运行在管理服务器中，由管理操作触发，根据不同的管理操作调用安全标签管理模块中的接口形成管理单元，该管理单元以配置项形式工作在管理服务器中，与管理服务器通过调用方式进行交互，用于对安全标签执行创建、编辑、生成、过滤、转换、资源判定的操作。所述安全标签处理模块具体实现如下：所述安全标签嵌入，安全标签处理模块依据安全标签单元中的定义形成安全标签，并将安全标签按照安全标签协议单元中定义的安全标签协议格式嵌入发送的数据中；所述安全标签解析验证，安全标签处理模块能够从客户端收到的业务数据中按照安全标签协议单元中定义的安全标签协议格式提取安全标签，并对安全标签的真实性和完整性进行校验；所述安全标签显示，安全标签处理模块能够从客户端收到的业务数据中解析验证安全标签，；并根据保存的安全策略对安全标签的显示进行控制；所述安全标签判定，安全标签处理模块能够从业务服务收到的业务数据中解析并验证安全标签，并根据安全标签判断业务服务及业务数据获取方是否有权限处理当前业务数据；所述安全标签请求，安全标签处理模块能够根据客户端应用发起的业务类型向业务服务器发送安全标签获取请求，业务服务能够自动判断请求类型并自动生成安全标签获取请求，业务服务接收到响应后将业务数据对应的安全标签反馈给客户端本文档来自技高网...

【技术保护点】
1.一种面向高安全等级业务与应用需求的安全标签实现框架，其特征在于：包括标准化层、处理接口层和业务处理层；所述标准化层包括：安全标签单元和安全标签协议单元：所述处理接口层包括安全标签处理模块和安全标签管理模块两部分；所述业务处理层包括客户端应用处理单元、业务服务处理单元和管理单元；安全标签单元对安全标签进行定义，用于统一业务数据中所嵌入的安全标签的格式和内容；所述安全标签，遵循安全标签单元中的定义，安全标签将嵌入业务数据中，并随数据一起传输，客户端应用处理单元、业务服务处理单元和管理单元根据安全标签对业务数据执行安全策略，包含安全级别、安全类别和安全策略三部分，具体描述如下：所述安全标签是和信息绑定的一段数字实体，记录了信息的安全策略、安全级别、安全类别、显示属性、自定义扩展信息；所述安全策略，具有唯一编号，包括安全标签的合法值定义及显示方式，并为客户端应用处理单元、业务服务处理单元和管理单元提供安全标签的处理方法；所述安全级别，与使用安全标签的高安全等级业务与应用系统相关，与系统已有的级别定义保持一致；所述安全类别，用于判断当访问用户的安全级别不低于数据的安全级别时，用户是否能够对数据进行访问；所述显示属性，用于定义安全标签显示时的名称、字体、大小、颜色信息；所述自定义扩展信息是指预留出的一段数字实体，可根据使用安全标签的业务与应用系统的安全需求进行填充；安全标签协议单元对客户端应用处理单元、业务服务处理单元和管理单元之间交互的协议进行定义，用于统一安全标签协议数据包的格式和内容、协议数据包的生成与解析方法；所述安全标签协议，作为应用层负载的一部分存在，包含协议头和协议体，协议头包括类型、安全选项，协议体包括请求/响应数据；所述处理接口层，遵循统一标准的接口规范向业务处理层中的处理单元提供接口，在接口不变化的情况下，支持功能的扩展，实现对业务处理层的适配，其处理过程由业务与应用对应的处理流程触发，包括安全标签处理模块和安全标签管理模块两部分；所述安全标签处理模块，为带有安全标签数据在业务与应用系统中的流转处理过程提供所需要的功能，嵌入、解析、验证、请求、判定、存储和显示；所述安全标签管理模块，为安全标签自身的控制提供所需要的功能，包括创建、编辑、生成、过滤、转换、资源判定；所述业务处理层，将处理接口层中的处理模块与业务流程结合，以配置项形式运行在不同类型的业务与应用处理单元中，包括客户端应用处理单元、业务服务处理单元和管理单元；所述业务处理层，以统一的实现框架与业务流程进行结合，业务处理层的各个处理单元分别由客户端应用、业务服务、管理服务在启动时进行加载，加载后业务处理层的各个处理单元将所需要的处理接口层中的处理模块在客户端应用、业务服务、管理服务中进行注册和初始化，等待业务处理过程中的调用；当客户端应用、业务服务、管理服务结束其功能时，应同时释放业务处理层中各个处理单元所占用的系统资源，并注销对应的处理模块；所述业务处理过程中的调用，需要修改客户端应用、业务服务、管理服务中涉及安全标签处理的部分，将客户端应用处理单元、业务服务处理单元和管理单元以配置项的方式运行在对应的系统组件中。所述客户端应用处理单元，运行在客户端应用中，由客户端业务流程触发，根据不同的业务调用安全标签处理模块中的接口，并以配置项形式工作在客户端应用中，与客户端应用通过调用方式进行交互，用于对客户端应用中待发送、已收到业务数据中的安全标签进行显示、判定处理；所述业务服务处理单元，运行在业务服务器中，由业务服务流程触发，根据不同的业务调用安全标签处理模块中的接口，并以配置项形式工作在业务服务器中，与业务服务通过调用方式进行交互，并对业务服务收到的业务数据中的安全标签执行判定处理，并能够根据业务类型与管理单元交互，发起安全标签获取请求及资源访问权限判定请求；所述管理单元，运行在管理服务器中，由管理操作触发，根据不同的管理操作调用安全标签管理模块中的接口形成管理单元，该管理单元以配置项形式工作在管理服务器中，与管理服务器通过调用方式进行交互，用于对安全标签执行创建、编辑、生成、过滤、转换、资源判定的操作。...

【技术特征摘要】
1.一种面向高安全等级业务与应用需求的安全标签实现框架，其特征在于：包括标准化层、处理接口层和业务处理层；所述标准化层包括：安全标签单元和安全标签协议单元：所述处理接口层包括安全标签处理模块和安全标签管理模块两部分；所述业务处理层包括客户端应用处理单元、业务服务处理单元和管理单元；安全标签单元对安全标签进行定义，用于统一业务数据中所嵌入的安全标签的格式和内容；所述安全标签，遵循安全标签单元中的定义，安全标签将嵌入业务数据中，并随数据一起传输，客户端应用处理单元、业务服务处理单元和管理单元根据安全标签对业务数据执行安全策略，包含安全级别、安全类别和安全策略三部分，具体描述如下：所述安全标签是和信息绑定的一段数字实体，记录了信息的安全策略、安全级别、安全类别、显示属性、自定义扩展信息；所述安全策略，具有唯一编号，包括安全标签的合法值定义及显示方式，并为客户端应用处理单元、业务服务处理单元和管理单元提供安全标签的处理方法；所述安全级别，与使用安全标签的高安全等级业务与应用系统相关，与系统已有的级别定义保持一致；所述安全类别，用于判断当访问用户的安全级别不低于数据的安全级别时，用户是否能够对数据进行访问；所述显示属性，用于定义安全标签显示时的名称、字体、大小、颜色信息；所述自定义扩展信息是指预留出的一段数字实体，可根据使用安全标签的业务与应用系统的安全需求进行填充；安全标签协议单元对客户端应用处理单元、业务服务处理单元和管理单元之间交互的协议进行定义，用于统一安全标签协议数据包的格式和内容、协议数据包的生成与解析方法；所述安全标签协议，作为应用层负载的一部分存在，包含协议头和协议体，协议头包括类型、安全选项，协议体包括请求/响应数据；所述处理接口层，遵循统一标准的接口规范向业务处理层中的处理单元提供接口，在接口不变化的情况下，支持功能的扩展，实现对业务处理层的适配，其处理过程由业务与应用对应的处理流程触发，包括安全标签处理模块和安全标签管理模块两部分；所述安全标签处理模块，为带有安全标签数据在业务与应用系统中的流转处理过程提供所需要的功能，嵌入、解析、验证、请求、判定、存储和显示；所述安全标签管理模块，为安全标签自身的控制提供所需要的功能，包括创建、编辑、生成、过滤、转换、资源判定；所述业务处理层，将处理接口层中的处理模块与业务流程结合，以配置项形式运行在不同类型的业务与应用处理单元中，包括客户端应用处理单元、业务服务处理单元和管理单元；所述业务处理层，以统一的实现框架与业务流程进行结合，业务处理层的各个处理单元分别由客户端应用、业务服务、管理服务在启动时进行加载，加载后业务处理层的各个处理单元将所需要的处理接口层中的处理模块在客户端应用、业务服务、管理服务中进行注册和初始化，等待业务处理过程中的调用；当客户端应用、业务服务、管理服务结束其功能时，应同时释放业务处理层中各个处理单元所占用的系统资源，并注销对应的处理模块；所述业务处理过程中的调用，需要修改客户端应用、业务服务、管理服务中涉及安全...

【专利技术属性】
技术研发人员：王利明，宋晨，胡亚辉，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11