本发明专利技术公开了一种适应信息对象业务安全属性的网络层标记动态生成方法及系统。本方法为:1)设置系统对象的业务安全标记,标明系统对象的业务安全属性;所述业务安全标记包括安全级别和业务属性;2)系统对象连接协议栈,请求发送网络数据;3)协议栈根据请求中的业务安全标记转换生成网络层业务安全标记,并封装到IP数据包内;其中,网络层业务安全标记标明IP数据包内数据的安全级别、业务类别。本发明专利技术能够支持相关安全机制在相关网络节点或环境实施细粒度控制,在网络传输和其他环境中面向数据的业务安全要求实现其全生命周期管控。
A method and system for dynamic generation of network layer tags to adapt to the business security attributes of information objects
【技术实现步骤摘要】
一种适应信息对象业务安全属性的网络层标记动态生成方法及系统
本专利技术涉及一种根据数据的业务安全属性对数据进行网络层数据标记的方法,属于网络及信息安全
技术介绍
访问控制是信息安全领域主要的安全机制。传统的访问控制主要解决某一系统内主体和客体之间的访问控制问题。但在网络环境下,传统访问控制方法难以实现相关数据经网络传输进入其他系统后,仍可指示其他系统正确理解该数据的业务安全性质,从而在网络传输和其他环境中根据业务安全要求对其进行全生命周期管控。
技术实现思路
针对数据在网络环境下全生命周期管控需求,本专利技术的目的在于提供一种根据数据的业务安全属性动态为网络层数据包添加业务安全标记的方法和系统。为实现数据在网络环境下的全生命周期管控,就需要根据数据的业务安全属性为其对应的网络数据赋予一致的安全属性,从而指示相关安全机制在相关网络节点或环境实施相应的控制。基于此特点,本专利技术主要思路是:在应用、服务或进程发送网络数据时,不是根据这些主体的安全标记,而是将拟发送数据的业务安全标记动态转换为相应的网络层数据标记,并附加到IP数据包的扩展字段中。为实现上述目的,本专利技术提供适应信息对象的业务安全属性的网络层标记动态生成方法,该方法包括以下步骤:步骤1:通过网络发送数据的系统对象应配置业务安全标记。系统对象包括应用、服务或进程等数据发送主体,系统对象的业务安全标记表明这些系统对象的安全级别、业务类别等业务安全属性;步骤2:系统对象连接协议栈,请求发送网络数据。此步骤分为两种情况,情况1(静态标记模式),这种情况下,系统对象不区分拟发送数据的业务安全属性,默认这些数据具有与系统对象一致的安全级别及业务属性等,系统对象在请求中仅提交其自身业务安全标记;情况2(动态标记模式),这种情况下,系统对象理解并动态区分拟发送数据所具有的业务安全属性,系统对象在请求中提交其自身业务安全标记和拟发送数据的业务安全标记,其中数据的业务安全标记表明数据的安全级别、业务类别、环境要求、操作控制要求等业务安全属性。步骤3:协议栈根据请求中的业务安全标记转换生成网络层业务安全标记,并封装到IP数据包内。网络层业务安全标记表明IP数据包内数据的安全级别、业务类别等。生成规则:针对步骤2中的情况1(静态标记模式),直接将系统对象的业务安全标记转换为网络层业务安全标记;针对步骤2中的情况2(动态标记模式),将拟发送数据的业务安全标记转换为网络层业务安全标记。预设信息1:系统环境中的数据等信息对象具有业务安全标记,表明数据的安全级别、业务类别、环境要求、操作控制要求等业务安全属性。预设信息2:系统中的应用、服务和进程等系统对象应配置业务安全标记,表明其安全等级、业务类别等业务安全属性。系统对象的业务安全标记可以通过配置指定,或根据其用户主体的业务安全标记进行定义。为实现上述目的,本专利技术还提供了一种适应信息对象业务安全属性的网络层标记动态生成系统,其特征在于,包括业务安全标记配置模块和支持业务安全标记的协议栈。所述业务安全标记配置模块,用于设置系统对象的业务安全标记,标明系统对象的业务安全属性;所述业务安全标记包括安全级别和业务属性;所述支持业务安全标记的协议栈,用于接收系统对象的数据发送请求,并将数据发送请求中的业务安全标记转换生成网络层业务安全标记,并封装到IP数据包内;其中,网络层业务安全标记标明IP数据包内数据的安全级别、业务类别。所述支持业务安全标记的协议栈提供应用接口支持应用、服务、进程等系统对象提交数据发送请求。上述应用接口根据业务需求可设计为采用双接口分别支持静态标记模式与动态标记模式,或者采用统一接口支持混合模式。其中,静态标记模式要求系统对象请求发送数据时需提交其自身的业务安全标记;动态标记模式要求系统对象请求发送数据时需提交其自身的业务安全标记和拟发送数据的业务安全标记。与现有技术相比,本专利技术的积极效果为:在数据进行网络传输时,根据数据的业务安全属性为对应的IP数据包赋予了相应的网络层业务安全标记,以表明数据包内承载信息的业务安全属性,指示其他系统正确理解该网络数据的业务安全性质,从而支持相关安全机制在相关网络节点或环境实施细粒度控制,在网络传输和其他环境中面向数据的业务安全要求实现其全生命周期管控。附图说明图1为适应信息对象业务安全属性的网络层标记动态生成流程;图2为适应信息对象业务安全属性的网络层标记动态生成系统功能架构。具体实施方式以下结合附图对本专利技术的优选实施例进行说明,应当理解,此处所描述的实施例仅用于说明和解释本专利技术,并不用于限定本专利技术。图1为根据本专利技术的适应信息对象业务安全属性的网络层标记动态生成流程图,下面将参考图1对本专利技术的适应信息对象业务安全属性的网络层标记动态生成方法进行详述:1.业务安全标记配置业务安全标记M为一个包含多种业务安全属性的多元组,M=<C,G,F>。其中C为安全级别;G为多个业务安全属性Gi的集合,G={g1,g2,…gn},gi可以为业务类别、工作组、角色、环境要求等业务安全属性;F为操作控制属性fj的集合,F={f1,f2,…fm},fj可以为读写控制、打印控制、刻录控制、拷贝控制等操作类属性。数据等信息对象(资源)的业务安全标记记为M(r)=<Cr,Gr,Fr>,系统对象等主体的业务安全标记记为M(s)=<Cs,Gs>。主体标记M(s)与资源标记M(r)之间的关系有两种:支配关系与不可比。标记M(s)支配标记M(r),当Cs≥Cr且我们记为M(s)≥M(r),表示主体可支配客体。如果M(s)与M(r)之间不存在支配关系,则它们之间不可比,主体无权支配客体。如果则主体应根据该标记包含的具体操作控制属性fj限制对资源进行相应操作。根据上述定义,为表述方便,可将系统环境中的数据、文件等信息对象的业务安全标记记为M(r),表明数据的安全级别、业务类别、操作控制等属性;将系统中的用户对象的业务安全标记记为M(u),表明用户的安全级别、业务类别等业务安全属性;将系统中的应用、服务、进程、模块、端口等系统对象的业务安全标记记为M(o),表明系统对象的安全等级、业务类别等业务安全属性,根据主体与资源支配关系语义,也可以将该标记其理解为系统对象能够处理的数据的安全等级、业务类别等要求。系统对象的业务安全标记可以通过配置指定,或系统对象创建时,根据当前用户的业务安全标记M(u)指定。2.系统对象送请求发送网络数据系统对象提交数据发送请求,此时分为两种情况,情况1(静态标记模式),这种情况下,系统对象在请求中仅提交其自身业务安全标记M(o);情况2(动态标记模式),这种情况下,系统对象在请求中提交其自身业务安全标记M(o)和拟发送数据的业务安全标记M(r)。3.网络层安全标记动态生成针对上述情况1(静态标记模式),直接将系统对象的业务安全标记M(o)转换为网络层业务安全标记M(r’),M(r’)=M(o)。针对上述情况2(动态标记模式),将拟发送数据的业务安全标记M(r)转换为网络层业务安全标记M(r’),M(r’)=M(r)。4.安全标记封装根据上述步骤,将生成的网络层业务安全标记M(r’)添加到IP数据包的扩展字段中。图2为根据本专利技术的适应信息对象业务安全属本文档来自技高网...
【技术保护点】
1.一种适应信息对象业务安全属性的网络层标记动态生成方法,其步骤包括:1)设置系统对象的业务安全标记,标明系统对象的业务安全属性;所述业务安全标记包括安全级别和业务属性;2)系统对象连接协议栈,请求发送网络数据;3)协议栈根据请求中的业务安全标记转换生成网络层业务安全标记,并封装到IP数据包内;其中,网络层业务安全标记标明IP数据包内数据的安全级别、业务类别。
【技术特征摘要】
1.一种适应信息对象业务安全属性的网络层标记动态生成方法,其步骤包括:1)设置系统对象的业务安全标记,标明系统对象的业务安全属性;所述业务安全标记包括安全级别和业务属性;2)系统对象连接协议栈,请求发送网络数据;3)协议栈根据请求中的业务安全标记转换生成网络层业务安全标记,并封装到IP数据包内;其中,网络层业务安全标记标明IP数据包内数据的安全级别、业务类别。2.如权利要求1所述的方法,其特征在于,所述协议栈或其各端口配置有业务安全标记M(n)=<Cn,Gn>,表明协议栈或端口可处理的数据的安全级别、业务类别;a)步骤2)中,系统对象连接协议栈请求采用动态标记模式发送网络数据时,首先检查协议栈的业务安全标记M(n)与拟发送数据的业务安全标记M(r)是否匹配,如果M(n)≥M(r),则协议栈可支配拟发送数据,进入步骤3);如果M(n)与M(r)之间不存在支配关系,则协议栈拒绝发送请求并生成相关日志;b)步骤2)中,系统对象连接协议栈请求采用静态标记模式发送网络数据时,首先检查协议栈的业务安全标记M(n)与系统对象的业务安全标记M(o)是否匹配,若M(n)≥M(o),进入步骤3),否则拒绝发送请求并生成相关日志。3.如权利要求1或2所述的方法,其特征在于,步骤2)中,系统对象连接协议栈,请求发送网络数据,系统对象采用静态标记模式发送数据,即默认拟发送数据的业务安全属性与系统对象的业务安全属性一致,系统对象将数据发送请求发送给协议栈,其中该数据发送请求中包含系统对象自身的业务安全标记。4.如权利要求3所述的方法,其特征在于,生成网络层业务安全标记的方法为:直接将系统对象的业务安全标记转换为网络层业务安全标记。5.如权利要求1或2所述的方法,其特征在于,步骤2)中,系统对象连接协议栈,请求发送...
【专利技术属性】
技术研发人员:于海波,刘坤颖,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。