【技术实现步骤摘要】
一种适应信息对象业务安全属性的网络层标记动态生成方法及系统
本专利技术涉及一种根据数据的业务安全属性对数据进行网络层数据标记的方法,属于网络及信息安全
技术介绍
访问控制是信息安全领域主要的安全机制。传统的访问控制主要解决某一系统内主体和客体之间的访问控制问题。但在网络环境下,传统访问控制方法难以实现相关数据经网络传输进入其他系统后,仍可指示其他系统正确理解该数据的业务安全性质,从而在网络传输和其他环境中根据业务安全要求对其进行全生命周期管控。
技术实现思路
针对数据在网络环境下全生命周期管控需求,本专利技术的目的在于提供一种根据数据的业务安全属性动态为网络层数据包添加业务安全标记的方法和系统。为实现数据在网络环境下的全生命周期管控,就需要根据数据的业务安全属性为其对应的网络数据赋予一致的安全属性,从而指示相关安全机制在相关网络节点或环境实施相应的控制。基于此特点,本专利技术主要思路是:在应用、服务或进程发送网络数据时,不是根据这些主体的安全标记,而是将拟发送数据的业务安全标记动态转换为相应的网络层数据标记,并附加到IP数据包的扩展字段中。为实现上述目的,本...
【技术保护点】
1.一种适应信息对象业务安全属性的网络层标记动态生成方法,其步骤包括:1)设置系统对象的业务安全标记,标明系统对象的业务安全属性;所述业务安全标记包括安全级别和业务属性;2)系统对象连接协议栈,请求发送网络数据;3)协议栈根据请求中的业务安全标记转换生成网络层业务安全标记,并封装到IP数据包内;其中,网络层业务安全标记标明IP数据包内数据的安全级别、业务类别。
【技术特征摘要】
1.一种适应信息对象业务安全属性的网络层标记动态生成方法,其步骤包括:1)设置系统对象的业务安全标记,标明系统对象的业务安全属性;所述业务安全标记包括安全级别和业务属性;2)系统对象连接协议栈,请求发送网络数据;3)协议栈根据请求中的业务安全标记转换生成网络层业务安全标记,并封装到IP数据包内;其中,网络层业务安全标记标明IP数据包内数据的安全级别、业务类别。2.如权利要求1所述的方法,其特征在于,所述协议栈或其各端口配置有业务安全标记M(n)=<Cn,Gn>,表明协议栈或端口可处理的数据的安全级别、业务类别;a)步骤2)中,系统对象连接协议栈请求采用动态标记模式发送网络数据时,首先检查协议栈的业务安全标记M(n)与拟发送数据的业务安全标记M(r)是否匹配,如果M(n)≥M(r),则协议栈可支配拟发送数据,进入步骤3);如果M(n)与M(r)之间不存在支配关系,则协议栈拒绝发送请求并生成相关日志;b)步骤2)中,系统对象连接协议栈请求采用静态标记模式发送网络数据时,首先检查协议栈的业务安全标记M(n)与系统对象的业务安全标记M(o)是否匹配,若M(n)≥M(o),进入步骤3),否则拒绝发送请求并生成相关日志。3.如权利要求1或2所述的方法,其特征在于,步骤2)中,系统对象连接协议栈,请求发送网络数据,系统对象采用静态标记模式发送数据,即默认拟发送数据的业务安全属性与系统对象的业务安全属性一致,系统对象将数据发送请求发送给协议栈,其中该数据发送请求中包含系统对象自身的业务安全标记。4.如权利要求3所述的方法,其特征在于,生成网络层业务安全标记的方法为:直接将系统对象的业务安全标记转换为网络层业务安全标记。5.如权利要求1或2所述的方法,其特征在于,步骤2)中,系统对象连接协议栈,请求发送...
【专利技术属性】
技术研发人员:于海波,刘坤颖,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。