【技术实现步骤摘要】
基于标记与审计结合的跨域访问控制方法及系统
本专利技术涉及计算机信息安全领域,特别涉及一种基于标记与审计结合的跨域访问控制方法及系统,可以应用于电子交易系统,如铁路客票系统、航空票务系统、电子政务与电子商务系统等大中型企业系统的跨域安全保护与互联互通。
技术介绍
随着计算机与网络技术的不断发展,国内外信息化进程迅速发展,电子商务、电子商务、大中型企业信息系统的应用已经逐渐广泛化和复杂化。伴随着信息化网络系统应用带来的讯息方便快捷的同时,信息的安全问题成为应用发展面临的主要问题。我国在1999年发布及2008年修订了《信息系统安全等级保护定级指南》(GB/22240-2008),要求信息系统的建设需要进行分等级的信息安全保护。而随着系统应用的大型和复杂化,往往一个应用系统中含有不同安全等级域的情况,现有的大中型电子商务、电子政务系统,以及大中型企业的信息化系统就是这样的情况。在这些信息化的应用系统中,一方面由于信息共享的需要,以及业务协同,提升业务系统效率的需要,要求系统中属于不同安全等级域的子系统等能够互联互通,共享信息;另一方面,在不同的网络系统与子系统之间信息...
【技术保护点】
一种基于标记与审计结合的跨域访问控制方法,其特征在于,包括如下步骤:在第一安全等级域中的访问主体向第二安全等级域中的被访问主体发送访问请求时,对所述访问主体与被访问主体的属性进行认证及审查,以判断访问主体与被访问主体的合法性;所述属性包括:角色及所属域的安全标记;当访问主体与被访问主体的属性均审查为合法时,根据预设的角色映射关系表判断所述访问主体与被访问主体之间是否具有角色映射关系,如果有,则授予访问主体访问权,授予被访问主体被访问权,否则不授予访问主体访问权,不授予被访问主体被访问权;对域中访问主体的访问行为和过程进行记录检查和统计审计;根据授权结果及安全审计结果审查访问...
【技术特征摘要】
1.一种基于标记与审计结合的跨域访问控制方法,其特征在于,包括如下步骤:在第一安全等级域中的访问主体向第二安全等级域中的被访问主体发送访问请求时,对所述访问主体与被访问主体的属性进行认证及审查,以判断访问主体与被访问主体的合法性;所述属性包括:角色及所属域的安全标记;当访问主体与被访问主体的属性均审查为合法时,根据预设的角色映射关系表判断所述访问主体与被访问主体之间是否具有角色映射关系,如果有,则授予访问主体访问权,授予被访问主体被访问权,否则不授予访问主体访问权,不授予被访问主体被访问权;对域中访问主体的访问行为和过程进行记录检查和统计审计;根据授权结果及安全审计结果审查访问主体与被访问主体的权限是否与对应的访问控制措施一致,如果一致,则允许访问主体与被访问主体之间进行跨域访问,并生成允许访问消息,否则,不允许访问主体与被访问主体之间进行跨域访问,并生成不允许访问消息;当允许访问主体与被访问主体之间进行跨域访问时,在访问主体与被访问主体之间建立私密通道,否则,不建立私密通道;当访问主体与被访问主体之间生成的访问消息为允许访问消息时,基于所建立的私密通道,完成跨域访问;否则,终止跨域访问;记录访问结果及业务数据的变化信息,并据此对其进行审计。2.如权利要求1所述的基于标记与审计结合的跨域访问控制方法,其特征在于,所述属性还包括:权限、所在安全等级域中的IP地址。3.如权利要求2所述的基于标记与审计结合的跨域访问控制方法,其特征在于,所述角色映射关系表中包含了访问主体的角色及安全标记与被访问主体的角色及访问对象之间的映射关系。4.如权利要求1所述的基于标记与审计结合的跨域访问控制方法,其特征在于,所述访问主体包括:访问用户、访问终端、接入网络。5.如权利要求1所述的基于标记与审计结合的跨域访问控制方法,其特征在于,所述被访问主体包括:业务系统、服务系统、数据库。6.如权利要求1所述的基于标记与审计结合的跨域访问控制方法,其特征在于,所述记录访问结果及业务数据的变化信息,并据此对其进行审计的步骤包括:对访问主体的请求相关的访问主体、被访问主体属性、请求行为发生的时间、域信息、标记信息进行记录和审计检查;对被访问...
【专利技术属性】
技术研发人员:郑伟范,戚建淮,彭华,姚兆东,刘建辉,
申请(专利权)人:深圳市永达电子股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。