本申请公开了一种基于安全标记的访问控制方法,该方法包括:接收来自网络的报文,读取所述报文中的安全标记信息,其中,所述安全标记信息包括安全级别字段、范畴字段、以及用于标识完整标记信息的标记索引字段,所述标记索引字段包括,用于标识业务应用的第一字段、以及用于标识业务应用上下文的第二字段,根据安全标记信息中的各个字段,进行检查,当通过检查时,则允许访问。本申请避免了传统访问控制中需要分别进行会话层、应用层、网络层的安全标记;利用标记索引,使得主客体完整标记信息与标记索引分离存储,减少了安全标记信息处理的复杂度,在不增加安全标记信息的复杂度的情形下,实现了多级安全。实现了多级安全。实现了多级安全。
【技术实现步骤摘要】
一种基于安全标记的访问控制方法
[0001]本专利技术涉及网络安全领域,特别地,涉及一种基于安全标记的访问控制方法。
技术介绍
[0002]在网络安全技术中,多级安全是指:允许信息系统具有存储不同敏感级(安全级)信息的能力;同一个系统中允许用户拥有不同的安全级和访问权限;如果用户没有一定的级别、权限或者自主访问的权力,则不允许用户访问信息。根据定义可将多级安全描述为:通过对主体、客体进行分级,分配安全标记,依据安全标记的比较结果确定主体的访问模式。其中:
[0003]主体是主动发起动作的实体,一般指进程;客体是主体发起动作的对象,一般指文档、图片等数据,也可以是进程;
[0004]安全标记代表与数据安全相关的属性,它标识了数据所采用的安全机制;数据的保密性与完整性是数据安全机制的两个重要方面,因此一般将安全标记分为保密性标记和完整性标记,保密性标记用于标识主客体机密性方面的属性,完整性标记用于标识主客体完整性方面的属性。
[0005]数据流与安全标记的绑定是使用安全标记的重要的步骤,鉴于数据流包括不同的种类,例如,至少包括有应用层、会话层、网络层等数据流,通常在网络层采用IPSO字段进行标记,在应用层和会话层采用不固定的结构数据进行描述。
[0006]参见图1所示,图1为用于网络层数据流的安全标记IPSO标记的一种示意图。在以太帧结构中,IP Option域包括有自定义标记字段,在该字段中包括有由安全级别(level)字段、范畴(category)字段组成安全标记字段。其中,范畴字段用于映射不同主机,换言之,主机可以用一个类别位图或多个类别位图的组合来定义。参见图2所示,图2为范畴字段包括的位序图的一种示意图。范畴字段中比特位序为从左到右,共240比特,每个字节的每个二进制位(置1)代表一个类别。按照这个原则,第0~29个字节中的第一个字节最高有效位(置1)代表Category 0;依此类推,第二个字节的最低有效位(置1)代表Category 15。所以,Category的范围为0~239,如图所示。如果用一个类别位图定义一台主机,则每个Level对应的主机最多有240台。一般来说,服务端主机是由多个类别位图的组合来定义,即其安全标记信息的Category字段包含多个类别位图。
[0007]对于应用层数据流,其安全标记一般在URL内进行标识,以用于说明应用层数据流对应的安全级别。在实际使用过程中,当应用层数据流到达目标主机时,由中间件或者数据库的安全模块利用应用层标记完成访问控制。
[0008]鉴于多级安全网络中访问控制保护面向应用层数据流和网络层数据流这两种客体,安全标记的绑定对象包括数据客体本身、以及网络传输数据流。目前基于安全标记的强制访问控制主要应用于操作系统内部,通过数据客体与安全标记的绑定,从而控制主体对客体的受限访问。
[0009]例如:
[0010]对于存储在磁盘、磁带等存储介质中的静态数据的访问控制,其数据操作的类型有两种:security和integrity,其中,security是与机密性相关的操作,一般是读,integrity是与完整性相关的操作,一般是写。
[0011]对于操作类型type为security的静态数据,当主体P所操作客体Q的类型type为security时,若主体P的机密性级别需高于客体,则主体P可以读取客体Q的数据,信息流由客体Q流向主体P,即Q
→
P;否则,可通过增加P的机密性等级、或者降低Q的机密性等级来使得主体P的机密性等级高于客体Q的机密性等级,这样,主体P或客体Q可以通过修改自身的机密性标记来完成访问。
[0012]对于操作类型type为integrity的静态数据,当主体P所操作客体Q的类型type为integrity时,主体P的完整性等级需低于客体Q的完整性等级。当条件满足时,主体P可以向客体Q中写入数据,信息流由主体P流向客体Q,即P
→
Q。当条件不满足时,可通过降低P的完整性等级、或者增加Q的完整性等级来满足主体P的机密性等级高于客体Q的机密性等级,这样,主体P或客体Q可以通过修改自身的完整性标记来完成访问。
[0013]目前,国内对等级保护的研究大多集中在主机的操作系统层面,特别是在应用层的安全标记、网络数据流的安全标记绑定、区域边界访问控制等方面,对等级保护的支持研究很少。此外,网络层和应用层标记信息不统一,导致网络层和应用层标记信息不匹配,造成在实际使用过程中复杂度高,有些情况下不得不放松约束要求,放宽控制条件。
技术实现思路
[0014]本专利技术提供了一种基于安全标记的访问控制方法,以解决网络层数据流的多级安全。
[0015]本专利技术提供的一种基于安全标记的访问控制方法,该方法包括:
[0016]接收来自网络的报文,读取所述报文中的安全标记信息,其中,所述安全标记信息包括安全级别字段、范畴字段、以及用于标识完整标记信息的标记索引字段,
[0017]根据安全标记信息中的各个字段,进行检查,
[0018]当通过检查时,则允许访问。
[0019]较佳地,所述标记索引字段包括,用于标识业务应用的第一字段、以及用于标识业务应用上下文的第二字段,
[0020]所述根据安全标记信息中的各个字段,进行检查,包括:
[0021]根据标记索引字段中的第一字段,检查该报文和业务应用的对应关系,根据标记索引字段中的第二字段,检查该报文和业务应用逻辑的对应关系,
[0022]当该报文与业务应用对应、且与业务应用逻辑对应时,则判断该报文是否进入业务应用,当需要进入业务应用时,则
[0023]根据标记索引字段,在完整标记数据库中查找标记索引对应的完整标记信息,
[0024]当所查找到的完整标记信息与客体匹配时,允许访问所述客体。
[0025]较佳地,所述根据安全标记信息中的各个字段,进行检查,还包括:
[0026]当所述报文不需要进入业务应用时,则访问所述客体。
[0027]较佳地,所述根据安全标记信息中的各个字段,进行检查,还包括:
[0028]如果报文与业务应用和/或业务应用逻辑不对应,和/或,
[0029]在完整标记数据库中未查找到标记索引对应的完整标记信息,和/或,
[0030]所查找到的完整标记信息与访问客体不匹配,
[0031]则丢弃所述报文。
[0032]较佳地,所述根据标记索引字段,检查该报文和业务应用的对应关系之前,还包括:
[0033]根据安全标记信息,判断所述报文的格式是否符合定义,如果不符合则丢弃该报文,如果符合,则
[0034]根据安全级别字段,判断所述报文是否满足对客体进行访问的安全级别,如果是,则根据范畴字段进行范畴检查,
[0035]当范畴检测通过时,则执行所述根据标记索引字段,检查该报文和业务应用的对应关系的步骤,否则,则丢弃该报文。
[0036]较佳地,所述完整标记信息包本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于安全标记的访问控制方法,其特征在于,该方法包括:接收来自网络的报文,读取所述报文中的安全标记信息,其中,所述安全标记信息包括安全级别字段、范畴字段、以及用于标识完整标记信息的标记索引字段,根据安全标记信息中的各个字段,进行检查,当通过检查时,则允许访问。2.如权利要求1所述的访问控制方法,其特征在于,所述标记索引字段包括,用于标识业务应用的第一字段、以及用于标识业务应用上下文的第二字段,所述根据安全标记信息中的各个字段,进行检查,包括:根据标记索引字段中的第一字段,检查该报文和业务应用的对应关系,根据标记索引字段中的第二字段,检查该报文和业务应用逻辑的对应关系,当该报文与业务应用对应、且与业务应用逻辑对应时,则判断该报文是否进入业务应用,当需要进入业务应用时,则根据标记索引字段,在完整标记数据库中查找标记索引对应的完整标记信息,当所查找到的完整标记信息与客体匹配时,允许访问所述客体。3.如权利要求2所述的访问控制方法,其特征在于,所述根据安全标记信息中的各个字段,进行检查,还包括:当所述报文不需要进入业务应用时,则访问所述客体。4.如权利要求2或3所述的访问控制方法,其特征在于,所述根据安全标记信息中的各个字段,进行检查,还包括:如果报文与业务应用和/或业务应用逻辑不对应,和/或,在完整标记数据库中未查找到标记索引对应的完整标记信息,和/或,所查找到的完整标记信息与访问客体不匹配,则丢弃所述报文。5.如权利要求2或3所述的访问控制方法,其特征在于,所述根据标记索引字段,检查该报文和业务应用的对应关系之前,还包括:根据安全标记信息,判断所述报文的格式是否符合定义,如果不符合则丢弃该报文,如果符合,则根据安全级别字段,判断所述报文是否满足对客体进行访问的安全级别,如果是,则根据范畴字段进行范畴检查,当范畴检测通过时,则执行所述根据标记索引字段,检查该报文和业务应用的对应关系的步骤,否则,则丢弃该报文。6.如权利要求1所述的访问控制方法,其特征在于,所述完整标记信息包括,主体完整标记信息以及客体完整标记信息,所述主体完整标记信息包括,主体安全级别信息,基础信息,扩展信息,以及标记索引;其中,所述基础信息包括主体类型、用于存储主体进程或者用户的签名...
【专利技术属性】
技术研发人员:施卫忠,朱涛,董鹏,季宏志,齐胜,
申请(专利权)人:中国铁路信息科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。