一種基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明屬于計算機信息安全【技術(shù)領(lǐng)域】，特別是涉及一種基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制方法和系統(tǒng)。方法包括：終端在IP數(shù)據(jù)包發(fā)送前根據(jù)終端內(nèi)部配置策略確認數(shù)據(jù)是否能夠發(fā)送，如果能夠發(fā)送對待發(fā)送的IP數(shù)據(jù)包追加設(shè)備標簽數(shù)據(jù)后發(fā)送；終端在接收IP數(shù)據(jù)包時驗證設(shè)備標簽數(shù)據(jù)，根據(jù)終端內(nèi)部配置策略判斷IP包是否能夠接收，如果設(shè)備標簽數(shù)據(jù)合法則解除標簽數(shù)據(jù)，接收IP數(shù)據(jù)包，否則丟棄此IP包。本發(fā)明的優(yōu)點有：實現(xiàn)同級別域終端雙向訪問、低級別域內(nèi)終端數(shù)據(jù)單向流入高級別域終端等分級分域訪問控制，同時在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中只有被注冊終端識別，以此保網(wǎng)絡(luò)數(shù)據(jù)的安全性。
【專利說明】一種基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計算機信息安全【技術(shù)領(lǐng)域】，特別是涉及一種基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制方法和系統(tǒng)。
【背景技術(shù)】
[0002]涉密信息系統(tǒng)分級保護是以系統(tǒng)所處理信息的最高密級來確定安全等級的，在合理劃分安全域邊界安全可控的情況下，各安全域可根據(jù)涉密高定級單獨定級，實施“分域分級防護”的策略，從而保障信息安全。目前現(xiàn)有的分級分域訪問控制大多是基于權(quán)限的用戶層分級分域訪問控制方法，該方法無法實現(xiàn)終端分級分域管理。

【發(fā)明內(nèi)容】

[0003]本發(fā)明所要解決的技術(shù)問題是提供一種基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制方法和系統(tǒng)，區(qū)別于普通的基于權(quán)限的用戶層分級分域訪問控制，本發(fā)明不僅能夠?qū)崿F(xiàn)分級分域訪問控制功能，而且能夠保障網(wǎng)絡(luò)數(shù)據(jù)安全。
[0004]本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是:一種基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制方法，具體包括以下步驟:
1)終端在IP數(shù)據(jù)包發(fā)送前根據(jù)終端內(nèi)部配置策略確認數(shù)據(jù)是否能夠發(fā)送，如果能夠發(fā)送對待發(fā)送的IP數(shù)據(jù)包追加設(shè)備標簽數(shù)據(jù)后發(fā)送；
2)終端在接收IP數(shù)據(jù)包時驗證設(shè)備標簽數(shù)據(jù)，根據(jù)終端內(nèi)部配置策略判斷IP包是否能夠接收，如果設(shè)備標簽數(shù)據(jù)合法則解除標簽數(shù)據(jù)，接收IP數(shù)據(jù)包，否則丟棄此IP包；
所述標簽數(shù)據(jù)包括網(wǎng)絡(luò)域標識、網(wǎng)絡(luò)級別標識、主體標識和訪問權(quán)限。
[0005]優(yōu)選的，所述步驟I)之前還包括策略管理系統(tǒng)配置終端訪問控制策略步驟，具體包括配置終端所在網(wǎng)絡(luò)域劃分、網(wǎng)絡(luò)級別指定、運行主體指定、通信協(xié)議、接入接出控制、終端之間訪問控制。
[0006]優(yōu)選的，所述配置終端訪問控制策略步驟之前還包括終端客戶端下載安裝注冊步驟，具體包括以下子步驟:
31)終端下載策略管理系統(tǒng)提供的終端客戶端安裝包；
32)終端對下載好的客戶端安裝包執(zhí)行安裝；
33)終端在安裝過程中將終端注冊到策略管理系統(tǒng)中，同時在終端內(nèi)加載相關(guān)訪問控制引擎。
[0007]優(yōu)選的，還包括終端客戶端定時向策略管理系統(tǒng)請求更新策略信息步驟。
[0008]優(yōu)選的，所述的標簽數(shù)據(jù)來源于策略管理系統(tǒng)。
[0009]本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是:還提供一種基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制系統(tǒng)，終端內(nèi)部包括發(fā)送單元，所述發(fā)送單元用于在IP數(shù)據(jù)包發(fā)送前根據(jù)終端內(nèi)部配置策略確認數(shù)據(jù)是否能夠發(fā)送，如果能夠發(fā)送對待發(fā)送的IP數(shù)據(jù)包追加設(shè)備標簽數(shù)據(jù)后發(fā)送；終端內(nèi)部還包括接收單元，所述接收單元在接收IP數(shù)據(jù)包時驗證設(shè)備標簽數(shù)據(jù)，根據(jù)終端內(nèi)部配置策略判斷IP包是否能夠接收，如果設(shè)備標簽數(shù)據(jù)合法則解除標簽數(shù)據(jù)，接收IP數(shù)據(jù)包，否則丟棄此IP包；所述標簽數(shù)據(jù)包括網(wǎng)絡(luò)域標識、網(wǎng)絡(luò)級別標識、主體標識、訪問權(quán)限。
[0010]優(yōu)選的，還包括策略管理系統(tǒng)，所述策略管理系統(tǒng)用于配置終端訪問控制策略，具體包括配置終端所在網(wǎng)絡(luò)域劃分、網(wǎng)絡(luò)級別指定、運行主體指定、通信協(xié)議、接入接出控制、終端之間訪問控制。
[0011]優(yōu)選的，所述終端在策略管理系統(tǒng)配置終端之前下載策略管理系統(tǒng)提供的終端客戶端安裝包，并執(zhí)行安裝，終端在安裝過程中將終端注冊到策略管理系統(tǒng)中，同時在終端內(nèi)加載相關(guān)訪問控制引擎。
[0012]優(yōu)選的，還包括終端客戶端策略更新單元，用于終端客戶端定時向策略管理系統(tǒng)請求更新策略信息步驟。
[0013]優(yōu)選的，所述的標簽數(shù)據(jù)來源于策略管理系統(tǒng)。
[0014]有益效果
由于采用了上述的技術(shù)方案，本發(fā)明與現(xiàn)有技術(shù)相比，具有以下的優(yōu)點和積極效果: 第一:能夠?qū)崿F(xiàn)終端分級分域管理
通過策略管理系統(tǒng)對終端指定網(wǎng)絡(luò)域、網(wǎng)絡(luò)級別，終端在發(fā)送數(shù)據(jù)時依據(jù)自身策略和目標終端域、級別標識判斷IP數(shù)據(jù)包是否能夠發(fā)送到目標終端；終端在接收數(shù)據(jù)時依據(jù)自身策略和源終端域、級別標識判斷IP數(shù)據(jù)包是否能夠接收；如此實現(xiàn)低級別域內(nèi)終端數(shù)據(jù)單向流入高級別域，同級別域終端可以雙向訪問等訪問控制。
[0015]第二:能夠保障網(wǎng)絡(luò)數(shù)據(jù)安全
通過IP數(shù)據(jù)增加網(wǎng)絡(luò)標簽數(shù)據(jù)通信，在網(wǎng)絡(luò)傳輸?shù)腎P數(shù)據(jù)只有被管理的終端能夠識別，普通未被管理的終端無法識別，提升了網(wǎng)絡(luò)數(shù)據(jù)安全性。
【專利附圖】

【附圖說明】
[0016]圖1是本發(fā)明基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制系統(tǒng)結(jié)構(gòu)圖。
【具體實施方式】
[0017]下面結(jié)合具體實施例，進一步闡述本發(fā)明。應(yīng)理解，這些實施例僅用于說明本發(fā)明而不用于限制本發(fā)明的范圍。此外應(yīng)理解，在閱讀了本發(fā)明講授的內(nèi)容之后，本領(lǐng)域技術(shù)人員可以對本發(fā)明作各種改動或修改，這些等價形式同樣落于本申請所附權(quán)利要求書所限定的范圍。
[0018]本發(fā)明的第一實施方式涉及一種基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制方法，具體包括以下步驟:
1)終端在IP數(shù)據(jù)包發(fā)送前根據(jù)終端內(nèi)部配置策略確認數(shù)據(jù)是否能夠發(fā)送，如果能夠發(fā)送對待發(fā)送的IP數(shù)據(jù)包追加設(shè)備標簽數(shù)據(jù)后發(fā)送；
2)終端在接收IP數(shù)據(jù)包時驗證設(shè)備標簽數(shù)據(jù)，根據(jù)終端內(nèi)部配置策略判斷IP包是否能夠接收，如果設(shè)備標簽數(shù)據(jù)合法則解除標簽數(shù)據(jù)，接收IP數(shù)據(jù)包，否則丟棄此IP包；
所述標簽數(shù)據(jù)包括網(wǎng)絡(luò)域標識、網(wǎng)絡(luò)級別標識、主體標識和訪問權(quán)限。
[0019]本實施例中，在步驟I)之前還包括策略管理系統(tǒng)配置終端訪問控制策略步驟，具體包括配置終端所在網(wǎng)絡(luò)域劃分、網(wǎng)絡(luò)級別指定、運行主體指定、通信協(xié)議、接入接出控制、終端之間訪問控制。策略管理系統(tǒng)主要作用在于管理終端、配置終端訪問控制策略，因此實施時首先需要將策略管理系統(tǒng)成功架設(shè)。策略管理系統(tǒng)提供終端客戶端安裝包下載，終端下載客戶端安裝程序進行安裝，安裝包在安裝過程中將終端注冊到了策略管理系統(tǒng)中，同時在終端內(nèi)加載了相關(guān)訪問控制引擎。策略管理系統(tǒng)提供標簽數(shù)據(jù)。終端客戶端定時向策略管理系統(tǒng)中請求最新策略信息，訪問控制引擎即可根據(jù)策略信息實現(xiàn)分級分域等網(wǎng)絡(luò)訪問控制。
[0020]本發(fā)明的第二實施方式涉及一種基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制系統(tǒng)，如圖1所示，終端內(nèi)部包括發(fā)送單元，所述發(fā)送單元用于在IP數(shù)據(jù)包發(fā)送前根據(jù)終端內(nèi)部配置策略確認數(shù)據(jù)是否能夠發(fā)送，如果能夠發(fā)送對待發(fā)送的IP數(shù)據(jù)包追加設(shè)備標簽數(shù)據(jù)后發(fā)送；終端內(nèi)部還包括接收單元，所述接收單元在接收IP數(shù)據(jù)包時驗證設(shè)備標簽數(shù)據(jù)，根據(jù)終端內(nèi)部配置策略判斷IP包是否能夠接收，如果設(shè)備標簽數(shù)據(jù)合法則解除標簽數(shù)據(jù)，接收IP數(shù)據(jù)包，否則丟棄此IP包；所述標簽數(shù)據(jù)包括網(wǎng)絡(luò)域標識、網(wǎng)絡(luò)級別標識、主體標識、訪問權(quán)限。
[0021]如圖1所示，本系統(tǒng)還包括策略管理系統(tǒng)，所述策略管理系統(tǒng)用于配置終端訪問控制策略，具體包括配置終端所在網(wǎng)絡(luò)域劃分、網(wǎng)絡(luò)級別指定、運行主體指定、通信協(xié)議、接入接出控制、終端之間訪問控制。前述的標簽數(shù)據(jù)來源于策略管理系統(tǒng)。
[0022]所述終端在策略管理系統(tǒng)配置終端之前下載策略管理系統(tǒng)提供的終端客戶端安裝包，并執(zhí)行安裝，終端在安裝過程中將終端注冊到策略管理系統(tǒng)中，同時在終端內(nèi)加載相關(guān)訪問控制引擎。
[0023]本系統(tǒng)還包括終端客戶端策略更新單元，用于終端客戶端定時向策略管理系統(tǒng)請求更新策略信息步驟。
[0024]不難發(fā)現(xiàn)，通過策略管理系統(tǒng)對終端指定網(wǎng)絡(luò)域、網(wǎng)絡(luò)級別，終端在發(fā)送數(shù)據(jù)時依據(jù)自身策略和目標終端域、級別標識判斷IP數(shù)據(jù)是否能夠發(fā)送到目標端；終端在接收數(shù)據(jù)時依據(jù)自身策略和源終端域、級別標識判斷IP數(shù)據(jù)是否能夠接收；如此實現(xiàn)低級別域單向訪問高級別域，同級別域可以雙向訪問等訪問控制。
[0025]另外，通過IP數(shù)據(jù)增加網(wǎng)絡(luò)標簽數(shù)據(jù)通信，在網(wǎng)絡(luò)傳輸?shù)腎P數(shù)據(jù)只有被管理的終端識別，普通未被管理的終端無法識別，提升了網(wǎng)絡(luò)數(shù)據(jù)安全性。
[0026]本發(fā)明權(quán)利要求保護范圍不限于上述實施例。
【權(quán)利要求】
1.一種基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制方法，其特征在于，具體包括以下步驟: 1)終端在IP數(shù)據(jù)包發(fā)送前根據(jù)終端內(nèi)部配置策略確認數(shù)據(jù)是否能夠發(fā)送，如果能夠發(fā)送對待發(fā)送的IP數(shù)據(jù)包追加設(shè)備標簽數(shù)據(jù)后發(fā)送； 2)終端在接收IP數(shù)據(jù)包時驗證設(shè)備標簽數(shù)據(jù)，根據(jù)終端內(nèi)部配置策略判斷IP包是否能夠接收，如果設(shè)備標簽數(shù)據(jù)合法則解除標簽數(shù)據(jù)，接收IP數(shù)據(jù)包，否則丟棄此IP包； 所述標簽數(shù)據(jù)包括網(wǎng)絡(luò)域標識、網(wǎng)絡(luò)級別標識、主體標識和訪問權(quán)限。
2.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制方法，其特征在于，所述步驟I)之前還包括策略管理系統(tǒng)配置終端訪問控制策略步驟，具體包括配置終端所在網(wǎng)絡(luò)域劃分、網(wǎng)絡(luò)級別指定、運行主體指定、通信協(xié)議、接入接出控制、終端之間訪問控制。
3.根據(jù)權(quán)利要求2所述的基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制方法，其特征在于，所述配置終端訪問控制策略步驟之前還包括終端客戶端下載安裝注冊步驟，具體包括以下子步驟: 31)終端下載策略管理系統(tǒng)提供的終端客戶端安裝包； 32)終端對下載好的客戶端安裝包執(zhí)行安裝； 33)終端在安裝過程中將終端注冊到策略管理系統(tǒng)中，同時在終端內(nèi)加載相關(guān)訪問控制引擎。
4.根據(jù)權(quán)利要求3所述的基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制方法，其特征在于，還包括終端客戶端定時向策略管理系統(tǒng)請求更新策略信息步驟。
5.根據(jù)權(quán)利要求2所述的基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制方法，其特征在于，所述的標簽數(shù)據(jù)來源于策略管理系統(tǒng)。
6.一種基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制系統(tǒng)，其特征在于，終端內(nèi)部包括發(fā)送單元，所述發(fā)送單元用于在IP數(shù)據(jù)包發(fā)送前根據(jù)終端內(nèi)部配置策略確認數(shù)據(jù)是否能夠發(fā)送，如果能夠發(fā)送對待發(fā)送的IP數(shù)據(jù)包追加設(shè)備標簽數(shù)據(jù)后發(fā)送；終端內(nèi)部還包括接收單元，所述接收單元在接收IP數(shù)據(jù)包時驗證設(shè)備標簽數(shù)據(jù)，根據(jù)終端內(nèi)部配置策略判斷IP包是否能夠接收，如果設(shè)備標簽數(shù)據(jù)合法則解除標簽數(shù)據(jù)，接收IP數(shù)據(jù)包，否則丟棄此IP包；所述標簽數(shù)據(jù)包括網(wǎng)絡(luò)域標識、網(wǎng)絡(luò)級別標識、主體標識、訪問權(quán)限。
7.根據(jù)權(quán)利要求6所述的基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制系統(tǒng)，其特征在于，還包括策略管理系統(tǒng)，所述策略管理系統(tǒng)用于配置終端訪問控制策略，具體包括配置終端所在網(wǎng)絡(luò)域劃分、網(wǎng)絡(luò)級別指定、運行主體指定、通信協(xié)議、接入接出控制、終端之間訪問控制。
8.根據(jù)權(quán)利要求7所述的基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制系統(tǒng)，其特征在于，所述終端在策略管理系統(tǒng)配置終端之前下載策略管理系統(tǒng)提供的終端客戶端安裝包，并執(zhí)行安裝，終端在安裝過程中將終端注冊到策略管理系統(tǒng)中，同時在終端內(nèi)加載相關(guān)訪問控制引擎。
9.根據(jù)權(quán)利要求8所述的基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制系統(tǒng)，其特征在于，還包括終端客戶端策略更新單元，用于終端客戶端定時向策略管理系統(tǒng)請求更新策略信息步驟。
10.根據(jù)權(quán)利要求7所述的基于網(wǎng)絡(luò)標簽通信的分級分域訪問控制系統(tǒng)，其特征在于，所述的標簽 數(shù)據(jù)來 源于策略管理系統(tǒng)。
【文檔編號】H04L29/06GK103944884SQ201410110186
【公開日】2014年7月23日 申請日期:2014年3月24日 優(yōu)先權(quán)日:2014年3月24日
【發(fā)明者】劉毅, 余維偉, 彭濤, 彭光學, 吳崢 申請人:瑞達信息安全產(chǎn)業(yè)股份有限公司