一种支持业务安全标记的移动存储系统接入控制方法及装置制造方法及图纸

本发明专利技术公开了一种支持业务安全标记的移动存储系统接入控制方法及装置。本方法为：1)设置移动存储系统的业务安全标记，标记该移动存储系统业务安全属性；移动存储系统的业务安全标记包括安全级别、业务类别；2)将该移动存储系统接入计算机环境时，获取该计算机环境的业务安全标记并将其与该移动存储系统的业务安全标记进行匹配检查；如果两者业务安全标记匹配，则允许该移动存储系统接入该计算机环境；否则，禁止接入该计算机环境。本发明专利技术大大提升了移动存储系统接入控制和数据管控能力。

An access control method and device for mobile storage system supporting service security mark

The invention discloses a mobile storage system access control method and device supporting service security mark. The method is as follows: 1) set the business security mark of the mobile storage system and mark the business security attribute of the mobile storage system; the business security mark of the mobile storage system includes security level and business category; 2) when the mobile storage system is connected to the computer environment, obtain the business security mark of the computer environment and match it with the business security mark of the mobile storage system Configuration check: if the two service security marks match, the mobile storage system is allowed to access the computer environment; otherwise, access to the computer environment is prohibited. The invention greatly improves the access control and data control ability of the mobile storage system.

【技术实现步骤摘要】
一种支持业务安全标记的移动存储系统接入控制方法及装置
本专利技术涉及一种移动数据存储系统接入和数据控制方法及装置，尤其涉及一种支持业务安全标记的数据存储系统和存储、访问方法，属于计算机

技术介绍
当前，为提升移动存储介质的安全性，主要在其接入认证、访问权限控制、数据加密等方面采取了相应安全措施。然而，现有的移动存储设备无法识别其接入的计算环境是否具有相同或更高的安全级别，也无法禁止高于移动存储设备安全级别的数据进行存储，难以面向业务安全要求提供细粒度的数据管控能力。
技术实现思路
针对当前安全加固移动存储系统不支持接入环境控制及数据细粒度管控等问题，本专利技术的目的在于提供一种支持业务安全标记的移动存储系统接入控制方法及装置，通过匹配检查移动存储介质的业务安全标记与所接入的计算机环境的业务安全标记，确保移动存储介质接入满足相关业务安全属性约束的计算机环境，并对数据存储和访问行为进行细粒度管控。该方法包括以下步骤：步骤1：设置移动存储系统的业务安全标记，表明该系统的安全级别、业务类别等业务安全属性。步骤2：将移动存储系统接入计算机环境时，对计算机环境的业务安全标记与移动存储系统的业务安全标记进行匹配检查。如果两者业务安全标记匹配，则允许移动存储系统接入该计算机环境；否则，禁止接入计算机环境。步骤3：接入计算机环境后，可对移动存储系统内的数据进行访问和存储等操作。此步骤分为两种情况。情况1：访问或拷出移动存储系统内的数据时，需对计算机环境的业务安全标记与数据的业务安全标记进行标记匹配检查。如果检查通过，则允许执行访问或拷贝操作；否则，禁止执行相关操作。情况2：向移动存储系统存储数据时，需对移动存储系统的业务安全标记与数据的业务安全标记进行标记匹配检查。如果检查通过，则允许执行存储操作；否则，禁止执行存储操作。预设信息1：移动存储系统和机算环境内的数据具有业务安全标记，表明该数据的安全级别、业务类别、环境要求、操作控制要求等业务安全属性。预设信息2：计算机环境具有业务安全标记，表明该计算机环境的安全等级、业务类别等业务安全属性。为实现上述目的，本专利技术还提供了一种支持业务安全标记的移动存储系统接入和数据控制装置，所述装置包括：系统标记配置管理模块，用于对移动存储系统标记业务安全标记，或对移动存储系统的业务安全标记进行变更。标记匹配管控模块，用于在移动存储系统接入计算机环境时，根据对计算机环境的业务安全标记的匹配检查结果，禁止接入或放行接入。当计算机环境对移动存储系统内的数据进行访问和存储等操作时，该模块对相关操作进行匹配检查和管控。与现有技术相比，本专利技术的积极效果为：支持业务安全标记的移动存储系统，可表明设备自身的安全级别及相关业务安全属性，并在接入计算机环境时，根据计算机环境的业务安全属性进行接入控制。在计算机环境对移动存储系统内的数据进行读取或存储等操作时，可以根据数据的安全属性对相关操作进行细粒度管控，提升了移动存储系统接入控制和数据管控能力。附图说明图1为支持业务安全标记的移动存储系统接入控制方法流程图；图2为支持业务安全标记的移动存储系统数据读取拷贝控制流程图；图3为支持业务安全标记的移动存储系统数据存储控制流程图；图4为支持业务安全标记的移动存储系统接入和数据控制装置系统原理框图。具体实施方式以下结合附图对本专利技术的优选实施例进行说明，应当理解，此处所描述的实施例仅用于说明和解释本专利技术，并不用于限定本专利技术。为实现上述目的，本专利技术提供一种支持业务安全标记的移动存储系统接入和数据控制方法，该方法包括以下步骤：业务安全标记定义：业务安全标记M为一个包含多种业务安全属性的多元组，M＝<C，G，F>。其中C为安全级别；G为多个业务安全属性Gi的集合，G＝{g1,g2,…gn}，gi可以为业务类别、工作组、角色、环境要求等业务安全属性；F为操作控制属性fj的集合，F＝{f1,f2,…fm}，fj可以为读写控制、打印控制、刻录控制、拷贝控制等操作类属性。数据等信息对象(资源)的业务安全标记记为M(r)＝<Cr，Gr，Fr>，应用、进程等系统对象(主体)的业务安全标记记为M(s)＝<Cs，Gs>。主体标记M(s)与资源标记M(r)之间的关系有两种：支配关系与不可比。标记M(s)支配标记M(r)，当Cs≥Cr且我们记为M(s)≥M(r)，表示主体可支配客体。如果M(s)与M(r)之间不存在支配关系，则它们之间不可比，主体无权支配客体。如果则主体应根据该标记包含的具体操作控制属性fj限制对资源进行相应操作。根据上述抽象定义，移动存储系统内的数据的业务安全标记可记为M(d)＝<Cd，Gd，Fd>，表明该数据的安全级别、业务类别、环境要求、操作控制要求等业务安全属性。接入的计算机环境的业务安全标记可记为M(c)＝<Cc，Gc>，表明该计算机环境的安全等级、业务类别等业务安全属性。步骤1：设置移动存储系统的业务安全标记M(u)，标明该移动存储系统的安全级别、业务类别等业务安全属性。步骤2：将移动存储系统接入计算机环境时，读取计算机环境的业务安全标记M(c)并与移动存储系统的业务安全标记M(u)进行匹配检查。若匹配成功，则允许移动存储系统接入该计算机环境；否则，禁止接入计算机环境。如图1所示。所述匹配规则为：若M(c)≥M(u)，则匹配成功，否则匹配不成功。步骤3：移动存储系统接入计算机环境后，可以对移动存储系统进行读取拷贝或存储操作。主要分为两种情况：(1)当计算机环境访问或拷贝移动存储系统的数据时，获取计算机环境的业务安全标记M(c)并与访问数据的业务安全标记M(d)进行标记匹配检查。若匹配成功，允许执行访问或拷贝操作；否则，禁止执行相关操作。如图2所示。所述匹配规则为：若M(c)≥M(d)，则匹配成功，否则匹配不成功。(2)当计算机环境向移动存储系统存储数据时，需对移动存储系统的业务安全标记M(u)与待存储数据的业务安全标记M(d)进行标记匹配检查。若匹配成功，允许执行存储操作；否则，禁止执行存储操作。如图3所示。所述匹配规则为：若M(u)≥M(d)，则匹配成功，否则匹配不成功。为实现上述目的，本专利技术还提供了一种支持业务安全标记的移动存储系统接入和数据控制装置，包括系统标记配置管理模块、标记匹配管控模块。如图4所示。所述系统标记配置管理模块，用于设置和管理移动存储系统标记业务安全标记M(u)。所述标记匹配管控模块，具有三大功能：(1)当移动存储系统接入计算机环境时，读取计算机环境的业务安全标记M(c)和移动存储系统的业务安全标记M(u)，并进行标记匹配检查，当M(c)≥M(u)时，允许移动存储系统接入该计算机环境，否则禁止接入计算机环境。(2)移动存储系统通过匹配检查接入计算机环境后，当计本文档来自技高网...

【技术保护点】
1.一种支持业务安全标记的移动存储系统接入控制方法，其步骤包括：/n1)设置移动存储系统的业务安全标记，标记该移动存储系统业务安全属性；移动存储系统的业务安全标记包括安全级别、业务类别；/n2)将该移动存储系统接入计算机环境时，获取该计算机环境的业务安全标记并将其与该移动存储系统的业务安全标记进行匹配检查；如果两者业务安全标记匹配，则允许该移动存储系统接入该计算机环境；否则，禁止接入该计算机环境。/n

【技术特征摘要】
1.一种支持业务安全标记的移动存储系统接入控制方法，其步骤包括：
1)设置移动存储系统的业务安全标记，标记该移动存储系统业务安全属性；移动存储系统的业务安全标记包括安全级别、业务类别；
2)将该移动存储系统接入计算机环境时，获取该计算机环境的业务安全标记并将其与该移动存储系统的业务安全标记进行匹配检查；如果两者业务安全标记匹配，则允许该移动存储系统接入该计算机环境；否则，禁止接入该计算机环境。


2.如权利要求1所述的方法，其特征在于，当该移动存储系统接入该计算机环境，该计算机环境需要对该移动存储系统内的数据进行访问或拷贝时，对该计算机环境的业务安全标记与数据的业务安全标记进行标记匹配检查，如果检查通过，则允许对所述数据执行对应访问或拷贝操作；否则，禁止执行相关操作。


3.如权利要求1所述的方法，其特征在于，当该移动存储系统接入该计算机环境，该计算机环境需要将数据写入该移动存储系统时，对该移动存储系统的业务安全标记与待写入数据的业务安全标记进行标记匹配检查，如果检查通过，则允许执行存储操作；否则，禁止执行存储操作。


4.如权利要求1所述的方法，其特征在于，数据的业务安全标记包括安全级别和业务类别；计算机环境的业务安全标记包括计算机环境的安全等级、业务类别。


5.如权利要求4所述的方法，其特征在于，数据的业务安全标记还包括环境要求、操作控制要求。


6....

【专利技术属性】
技术研发人员：于海波，祁峰，刘坤颖，邵飞，孙永，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京;11