专利名称:多级信息系统间的数据安全传输方法
技术领域:
本发明涉及等级保护领域,特别涉及多级信息系统间的数据安全传输方法。
背景技术:
等级保护作为国家致力推行的一项政策,已逐渐作为一种信息安全防护的手段, 成为信息安全领域研究的重要内容。它依据信息系统的使命与目标,根据系统重要程度,将信息系统划分为不同的安全等级,并综合平衡安全成本和风险,形成不同等级的安全措施, 实现对信息系统的安全保护。在《计算机信息系统安全保护等级划分准则》(GB 17859)中,我国将计算机信息系统安全保护能力划分为五个等级,即用户自主保护级(第一级)、系统审计保护级(第二级)、安全标记保护级(第三级)、结构化保护级(第四级)、访问验证保护级(第五级)。 2007年国家基本完成了信息系统的定级工作,今后的主要任务是为信息系统的安全进行整改建设,这也标志着我国等级保护工作的全面实施。但是,信息系统在安全整改后势必会造成信息的孤岛,这与信息化建设中信息交换的实际相违背。因此,如何在系统定级后保持不同安全等级或同等级的信息系统之间的互联互通,是面向等级保护的系统安全整改工作必须解决的关键问题。根据信息系统的定级结果来看,全国三级信息系统多达五万多个,而三级以上信息系统必须要具有安全标记功能。因此,研究安全标记对我国信息系统的整改工作具有非常重要的意义,它是多等级信息系统间安全互联的基础。针对安全标记方面的研究,国外的研究比较多,主要集中在多级安全(MLS)方面 StJiif^o Bell DE % LaPadula L J ¢: 1973 ^ ((Secure computersystem -.a mathematical model》以及 Biba K j 在 1977 年《Integrityconsiderations for secure computer systems))中提出的BLP和BIBA模型都将安全标记定义为主体、客体的一个安全属性,它包括级别和范畴。其中,级别是指主体、客体的等级,通常包括机密、秘密、公开等,而范畴是指主体、客体活动的范围。通过安全标记的上述属性能够完成数据的机密性和完整性保护,但是其仅仅限制在了敏感级别、范畴集,对其他的安全属性带来的影响并没有进行必要的说明。此外,在这两个模型中,也未阐述安全标记与信息、数据流如何绑定的问题。RFC1457 (Security Label Framework for the Internet,互联网安全标记框架) 中将安全标记定义为机密性安全标记、完整性标记,在其文档中说明了如何实现对数据的机密性与完整性保护,并给出了安全标记的作用与目的。但是在其安全标记中,机密性与完整性是分开进行定义与说明的,并未指出安全标记具体还涵盖哪些内容,未能实现机密性与完整性的统一。此外,文档只是大概说明了在OSI七层结构中标记在每一层的实现方式与作用,并简要说明了中间节点与端系统处理标记数据的方式,但是互联网发展到今天,文献中的许多内容已经不适合或是不能在现今网络中应用,文献中也并没有给出安全标记的具体内容与格式,以及安全标记的具体实施方法。FIPS PUB 188 (Standard Security Label for Information Transfer,信息传输安全标记)中定义了安全标记的格式,并进行了说明,但是其定义还存在一些局限性,未能实现多维安全属性标记的统一,而且在多级安全策略实施中,还存在着灵活性差的问题,同时也未阐述安全标记如何与数据流进行绑定以及安全性问题。国内对安全标记的研究,侧重于BLP、BIBA模型中安全标记的应用,应用研究的对象主要为操作系统,并没有将安全标记的限定信息的读写拓展到网络当中,这显然无法满足我国保护多级信息系统安全互联的需求。
发明内容
本发明的目的是克服现有技术中的安全标记的维度少,缺乏如何利用安全标记进行数据传输的相关方法的缺陷,从而提供一种利用安全标记实现多级信息系统间的数据安全传输的方法。为了实现上述目的,本发明提供了一种多级信息系统间的数据安全传输方法,包括步骤10)、一信息系统中的一主体向另一信息系统中的一客体发起访问请求;步骤20)、所述主体所在信息系统的区域边界网关根据所述访问请求中所包含的所述主体的安全标记判定是否要做安全性处理,当需要做安全性处理时,执行下一步,否则进一步判断是直接通过该请求消息还是拒绝,若为直接通过,则转入步骤40),若为拒绝,则丢弃该请求消息的数据包;其中,所述安全标记包括头部分与安全标签集,所述安全标签集包括有至少一个安全标签,一个所述的安全标签描述了至少一种安全标记实施策略;所述安全标签包含安全标签类型,所述安全标签类型为机密性标签、完整性标签与可用性标签中的一种;步骤30)、所述主体所在系统的区域边界网关根据所述主体与所述客体的安全标记查找是否存在相应的标记安全通道,若不存在,创建新的标记安全通道,然后执行下一步,否则,直接执行下一步;步骤40)、将所述主体的安全标记中的信息写入所述访问请求的数据包的IP选项字段,然后将数据包通过所述标记安全通道转发到所述客体所在的信息系统,由所述客体所在信息系统的区域边界网关经由所述标记安全通道接收所述数据包;步骤50)、由所述客体的安全标记与所述主体的安全标记得到安全策略,将所述安全策略与所述主体所在信息系统的区域边界网关的安全策略进行比较,在比较结果一致的前提下放行所述数据包,否则丢弃所述数据包;步骤60)、所述客体接收到数据包后,根据所述主体的安全标记、所述客体的安全标记以及访问控制规则判断所述主体对所述客体的操作类型,根据所述操作类型实现所述主体对所述客体的读或写。上述技术方案中,在所述的步骤10)与步骤20)之间,还包括步骤11)、所述主体所在信息系统的区域边界网关对所述访问请求消息的数据包做轨迹跟踪处理,查找标记连接状态表,得到返回值,若其返回值表示已经绑定到某一轨迹且符合标记连接状态,则直接执行步骤40),若其返回值为新建状态,那么查找主体安全标记,然后执行步骤20),若其返回值表示已绑定到某一轨迹,但不符合该轨迹状态,则释放此数据包;
5
在所述的步骤20)中,还包括当该请求消息被拒绝时,将安全标记动态绑定到此会话连接,建立标记状态连接表;在所述的步骤40)与步骤50)之间,还包括步骤41)、对所述数据包进行轨迹跟踪处理,得到返回值,若所述返回值表示为已经绑定到某一轨迹且符合标记连接状态,直接将数据包按照标记连接状态中的处理方式进行处理;若返回值为新建状态,执行步骤50);若返回值为已经绑定到某一轨迹且不符合标记连接状态,则丢弃数据包;在所述步骤50)中还包括在丢弃所述数据包后,将安全标记动态绑定到此会话连接,建立标记状态连接表。上述技术方案中,在所述的步骤30)中,所述的创建新的标记安全通道包括步骤30-1)、所述主体所在信息系统的区域边界网关发送建立标记安全通道的请求消息到所述客体所在信息系统的区域边界网关;该请求消息包括所述主体的安全标记信息,所述客体的标识信息;步骤30-2)、所述客体所在信息系统的区域边界网关查找所述客体的安全标记,结合所述主体的安全标记决定是否允许建立所述标记安全通道,若允许,发送响应消息给所述主体所在信息系统的区域边界网关;所述响应消息包括所述标记安全通道的级别、算法在内的标记安全通道参数;步骤30-3)、所述主体所在信息系统的区域边界网关获得标记安全通道参数后,向所述客体所在信息系统的区域边界网关返回确认消息,建立所述的标记安全通道。上述技术方案中,所述主体所在信息系统的区域边界网关与所述客体所在信息系统的区域边界网关各自对所发送的消息进行加密,对所接收的消息进行解密。上述技术方案中,在所述的步骤40)中,在将所述主体的安全标记中的信息写入所述访问请求的数据包的选项字段后,还包括对所述数据包进行加密、认证、封装的操作, 然后再将数据包通过所述标记安全通道转发到所述客体所在的信息系统;在所述步骤40)中,所述客体所在信息系统的区域边界网关经由所述标记安全通道接收所述数据包时,还要对所述数据包做解密、认证、解封装的操作。上述技术方案中,所述的访问控制规则包括①若主体安全级为LLL,客体安全级为LLL,则主体对客体所允许的操作为可读可写;若客体安全级为111^、!11^、丽1^、丽!1,则不允许主体对客体的操作;②若主体安全级为HLL,客体为HLL,则主体对客体所允许的操作为可读可写;若客体安全级为LLL、HLH、HHL、HHH,则主体对客体所允许的操作为可写;③若主体安全级为HLH,客体安全级为HLL,则主体对客体所允许的操作为可读; 若客体安全级为HLH,则主体对客体所允许的操作为可读可写,若客体安全级为HHH,则主体对客体所允许的操作为可写;若客体安全级为LLL和HHL,则不允主体对客体的操作;④若主体安全级为HHL,客体安全级为HLL,则主体对客体所允许的操作为可读; 若客体安全级为HHL则主体对客体所允许的操作为可读可写;若客体安全级为HHH,则主体对客体所允许的操作为可写;若客体安全级为LLL和HLH,则不允许主体对客体的操作;⑤若主体安全级为HHH,客体安全级为HLL,则主体对客体所允许的操作为可读; 若客体安全级为HLH,则主体对客体所允许的操作为可读;若客体安全级为HHH,则主体对客体所允许的操作为可读可写;若客体安全级为LLL,则不允许主体对客体的操作;其中,L表示低,H表示高。本发明的优点在于1、本发明将安全标记拓展到等级保护网络,提出了网络安全标记与数据流的绑定方法,实现了多级信息系统之间的数据安全传输,对消除等级保护引起的信息孤岛,促进不同等级信息系统间的信息共享,推动信息系统整改工作,使等级保护在信息化建设中发挥重要作用。2、本发明将标记与会话连接进行动态逻辑绑定,有效地提高了系统的安全处理数据包的效率。
图1为一个实施例中本发明的网络安全标记的数据格式示意图;图2为一个实施例中本发明的网络安全标签的数据格式示意图;图3为密级的线性关系示意图;图4为在一个实施例中本发明中所涉及的范畴的树形表示示意图;图5为安全标记的三维安全属性的示意图;图6为在一个实施例中的安全标记生成系统的示意图;图7为在一个实施例中所涉及的IPSO数据格式的示意图;图8为在一个实施例中,多级信息系统间安全传输实例的示意图;图9为在一个实施例中多级信息系统间安全传输数据报文格式的示意图;图10多级信息系统间安全传输数据包外出处理图11多级信息系统间安全传输数据包进入处理
具体实施例方式下面结合附图和具体实施方式
对本发明加以说明。基本概念在对本发明的具体实现做详细说明之前,首先对本发明中所涉及的一些概念做统一的说明。(1)、主体(Subject)本申请中的主体是指对某类资源发起访问的请求者或者是双方通信的发起者。比如用户、主机、子网、地址范围、用户组、子网组以及地址组等,均可定义为主体。O)、客体(Object)客体是与主体相对的概念,它是指被主体访问的资源。比如文件、数据库、web服务、ftp服务、子网、主机、地址范围、地址组等,均可定义为客体。(3)、安全标记(Secure Label)安全标记是主体、客体安全属性的一类描述,它规定了主体、客体的访问或被访问的权限、活动的领域等。0)、安全标签(Secure Tag)安全标签是安全标记的数据部分,用于标识主体、客体的安全实施策略。
7
(5)、保护域(Protected Domain)保护域是具有某种共同安全利益关系,并在需要时允许进行密码通信的可信主体、客体的集合。保护域可为物理的域,也可指逻辑意义上的域。安全标记与安全标签的数据格式在对本申请中所涉及的相关概念做上述说明后,下面对之前提到的安全标记与安全标签的数据格式做详细说明。在图1中示出了在一个实施例中,本申请所涉及的安全标记的数据格式,安全标记至少包括安全标记的头部分和安全标签集两大部分。安全标记头部分主要包括安全标记符、安全标记长度、安全标记类型、安全标签集名、例外策略位,这些部分所要表达的具体含义如下安全标记符用于对安全标记进行功能、用途等各个方面的描述。安全标记长度用于描述安全标记的整个长度。安全标记的最大长度为40字节, 若长度超过40字节,则可扩展到TCPSO、UDPSO中,可扩展部分的长度不超过20字节。安全标记类型安全标记类型规定了安全标记的用途,比如应用层安全标记、网络层标记符、安全标记服务等。有了安全标记类型,多种不同类型的安全标记就能够用相同的数据格式加以表示,有效完成了多种安全标记的统一。安全标签集名一个安全标记中允许有多个安全标签,这些在同一安全标记中的所有安全标签的集合被称为安全标签集,安全标签集名用来表示安全标签集的名称。安全标签总长度用于说明安全标记携带了多少个安全标签。例外策略位用于可信实体的例外策略以及主体的例外策略。关于例外策略将会在下文中加以描述。安全标记的数据部分包含了多个安全标签,这些安全标签组成所述的安全标签集。在一个安全标签内,描述了至少一种安全标记实施策略,因此,主体通过一个安全标记能够实现对不同安全域内信息的客体的处理。每个安全标签的数据格式是相同的,在图2 中给出了在一个实施例中安全标签的数据格式,它包括安全标签描述、安全标签名、安全标签类型、安全标签长度、安全级别、范畴属性、范畴数据。这些部分所要表达的具体含义如下安全标签描述用于对安全标签进行详细说明,包括用途、功能、特别声明等,安全标签描述也可以为空。安全标签名定义安全标签的名称,并能在一定程度上反映安全标签的含义与用途。例如某一客体安全标记中安全标签名为SendTo,这代表“这个文档是发送至哪些人? 而其它人则不可以接收”,而D印tOnly则代表“仅仅这个部门的成员可以访问”。安全标签类型在本实施例中,安全标签类型可以为机密性标签、完整性标签、可用性标签中的一种,它有效保证了多维安全属性的有机统一。安全标签的具体类型可扩展。安全标签长度单个安全标签的长度。安全级别是指敏感级别,可为绝密、机密、秘密、内文、无分类,也可分为局长、处长、科长、科员等,可根据管理者的习惯进行合理的定义。在下文对安全级别的描述中有进一步的说明。范畴属性范畴属性是指范畴数据属于哪一个类型,它有两种类型,一种是范围类型,一种是枚举类型。范围类型是指主体能够访问的具体领域,而枚举类型则是根据主体身份而规定的特殊访问进行限制。在下文中将会对范畴要详细说明。范畴数据依据范畴属性,描述范畴内容的值。在下文中还将对范畴的相关概念有进一步的说明。安全级别Gecure Label)在信息系统的等级保护中,安全级别是一个必然要涉及到的概念。安全级别L是一个线性偏序关系,(L,彡)称作线性等级系统。对于任意的Ii, Ij e L,Ii彡Ip当且仅当
图3说明了在一个实施例中,线性等级系统的划分;一般的,将一个信息系统的级别划分为五个安全等级,它们的关系是unclassified (公开的)< restricted (受限的)< confidential (秘密的)< secret (机密的)< top_secret (绝密的)。一个线性等级系统(L,彡)中存在1。,对于所有的i,I0彡Ii ;同样,存在元素lr,对于所有的i,Ii彡U那么,Itl, L分别被称为这个等级系统的最大元与最小元,也就是这个等级系统的最低安全级别与最高安全级别。一个多级安全信息系统中,可以依据实际需求来进行密级划分,比如可采用简单的静态线性关系的划分,也可以采用动态多级安全标记密级划分方法。范畴(Category)范畴中的元素用于说明主体、客体所作用的范围,是基于数据信息的一种强制性范围划分,比一个公司的各部门,可以划分为人事部、财政部、设计部等等,范畴的划分对于保护数据是非常重要的。范畴为划分的域,它的标识可用树的形式进行表示。假设某一信息系统范畴节点的表示形式为4位数字,那么每个范畴下面最多可设置16个不同的子集节点。以图4为例,范围最大的范畴节点用0000表示,在它之下的范围较小的范畴节点可以用00000001、00000010,00000011 等表示。范畴的分配应遵循的原则具有上下属关系的范畴集,由于它们之间存在包含关系,因此主体不能跨越两个具有上下属关系的两个范畴集,若跨越,则将出现策略的冗余,所以主体可以跨越不存在上下属关系的范畴集。范畴类型分为范围类型和枚举两种类型。(1)、范围类型范围类型指的不是从小到大这样一个范围,而是指主体或客体作用的领域,领域包括若干子域,各个域之间构建为树形结构,也就说,作用于父域的主体,同样可以作用于子域。例如某一单位的子机关包括有行政管理机关、人事处、组织处、信息中心,而在人事处下又包括有办公室、档案室,在信息中心下又包括有办公室、管理中心。在范畴集中,单位用0000表示,人事处用00000001表示,人事处下的办公室、档案室分别用000000010001、000000010010表示,组织处用00000010表示,信息中心用00000011表示,信息中心之下的办公室、管理中心分别用000000110001,000000110010表示。如图4所示。O)、枚举类型枚举类型指的是由于特权问题而对某一域的访问进行限制。由于范畴具有包含关系,所以针对特权访问时,需严格限制因包含关系而引起的权限泛滥。
9
比如某一主体S,其范畴为000000110010,但由于单位需要借调到行政管理机关 (0000)帮忙,此时S的范畴将扩大到0000,权限也随之扩大,但显然该主体S不应该能够查询行政管理机关下的所有信息,因此在特权访问时,应该控制其作用领域,严格限制范畴的包含关系。之前提到,安全标签中的范畴属性会对范畴的类型进行标记。规则集(RuleSet)本申请将数据流的访问控制属性分为四类读出、读入、写入、写出。其中,读出 “ro”表示内网主机欲通过边界访问外网主机的行为;读入“ri”表示外网主机欲通过边界访问内部主机的行为;写入“wi”表示外网主机响应内网访问的返回包欲通过边界的行为; 写出“wo”表示内网主机响应外网的返回包欲通过边界的行为。根据边界上机密性和完整性的需求,可以将“ro”和“ri ”统一抽象为“读”行为,将“wo,,和“wi ”统一抽象为“写”行为。因此,所制定的规则限制了对客体的读写。在之前对安全标记的数据格式的描述中,安全标记中的安全标签可分为机密性标签、完整性标签、可用性标签,较现有的BLP模型、BIBA模型在安全维度上有进一步提高。由于安全标记在机密性、完整性以及可用性这三种安全属性上都有所体现,因此本申请中的安全标记又被称为三维的安全标记。如图5所示,在每一维中可根据需求分为不同的安全等级。一个安全标记中可同时包含上述三种类型的安全标签(即有三种安全属性),但也可选择其中的任意一种。若系统采用单维安全属性,则系统控制规则按照机密性、完整性、可用性的所遵循的访问控制规则。其规则如下①针对机密性安全属性来说,若主体安全级小于客体安全级则为写操作,若主体安全级别大于客体级别则为读操作;②针对完整性安全属性来说,若主体安全级别大于客体安全级别则为写操作,若主体安全级别小于客体安全级别则为读操作;③针对可用性安全属性来说,若主体可用性安全级别大于客体可用性安全级别则为写操作,若主体可用性安全级别小于客体可用性安全级别则为读操作。若系统采用三维统一的安全属性,系统的控制规则应遵循以下原则①读允许当且仅且{(机密性读允许)AND (完整性读允许)AND (可用性读允许)}。②写允许当且仅且{(机密性写允许)AND (完整性写允许)AND (可用性写允许)}。根据三维安全标记的读写规则,所形成的可用的访问控制规则如下①若主体安全级为LLL,客体安全级为LLL,则主体对客体所允许的操作为rw ;若客体安全级为HLL、HLH、HHL、HHH,则不允许主体对客体的操作。②若主体安全级为HLL,客体为HLL,则主体对客体所允许的操作为rw ;若客体安全级为LLL、HLH、HHL、HHH,则主体对客体所允许的操作为w ;③若主体安全级为HLH,客体安全级为HLL,则主体对客体所允许的操作为r ;若客体安全级为HLH,则主体对客体所允许的操作为rw,若客体安全级为HHH,则主体对客体所允许的操作为w ;若客体安全级为LLL和HHL,则不允主体对客体的操作。④若主体安全级为HHL,客体安全级为HLL,则主体对客体所允许的操作为r ;若客体安全级为HHL则主体对客体所允许的操作为rw ;若客体安全级为HHH,则主体对客体所允许的操作为w ;若客体安全级为LLL和HLH,则不允许主体对客体的操作。
10
⑤若主体安全级为HHH,客体安全级为HLL,则主体对客体所允许的操作为r ;若客体安全级为HLH,则主体对客体所允许的操作为r ;若客体安全级为HHH,则主体对客体所允许的操作为rw ;若客体安全级为LLL,则不允许主体对客体的操作。上述的访问规则中,L代表“低”,H代表“高”,安全级中的三个标志位分别代表机密性、完整性、可用性。上述的访问控制规则也可以用规则函数表示,规则函数的形式为f(C,I,A),C表示机密性安全属性参数,I表示完整性安全属性参数,A表示可用性安全属性参数,结果为主体的权限集。以上部分描述了主体在三维安全属性下,对某一级别客体的访问权限,其他未描述的部分表示未授权。安全标记的产生在要求有安全标记的多级信息系统中,主体、客体的安全标记要随着主体、客体的产生而产生,当主体或是客体产生时必须为其分配相应的安全标记,系统才能够实施正确的多级安全策略,进而对其进行访问控制。下面分别对主体、客体的安全标记的产生方式进行说明。(1)客体安全标记的产生①如果新客体产生0是由主体S所产生,那么客体的安全标记继承于主体的安全标记,其安全级别、范畴集应该与主体安全标记保持一致。②如果一个新客体0+是由已存在客体0新增加一些信息而生成的,那么客体0+的安全标记属性必须高于客体0的安全标记,即由于客体0+中写入了新的信息,所以其安全级别应高于原有客体0,其范畴集应该是客体0的范畴集的子集。③如果一个新客体0是由已存在客体O1与A组合而成,那么客体0的安全标记由O1与A的安全标记结合形成,新客体ο的安全级别应该是O1W2中较大的安全级别,其范畴集是Op O2范畴集的交集。以上原则给出了客体安全标记产生方法,基于这些原则满足BLP强制访问控制策略,通过上述原则,主体不允许产生一个安全标记属性低于其主体的客体,即不能够下写;同样可以保证主体不能够进行上读的操作。(2)主体安全标记的产生主体安全标记应该由安全中心管理员依据用户、角色或设备等相应主体的职责与权限进行标记,指配相应的安全标记,并随其安全属性的变化而动态发生改变,主体安全标记也具有继承的特性,比如代表用户进程的主体可以具有与用户一样的安全标记属性。(3)安全标记生成系统安全标记可以由安全标记生成系统自动生成,如图6所示,安全标记生成系统中包含主、客体数据库组件(SOD)、策略管理组件(PM)、安全标签注册组件(TR)、安全策略标识机制(PIM)、安全级选择机制(SLFM)、标签选择机制(TR)以及安全标记的签名。安全标记生成系统中主、客体数据库中包含有多级信息系统中注册的主客体,主体可以是用户及代表用户的进程等,客体可以是数据文件,也可以是网络设备等;策略管理组件用于为主、客体配置相应的安全策略,生成适合的安全标记,使安全标记与安全策略相关;安全标签注册组件用于多级安全信息系统注册相应的安全标签,使得在一个安全域内安全标签具有统一的标识意义,安全标签中可以声明安全安全策略,可以更加精确的实施访问控制。安全标记的安全性保护
安全标记在产生时,由提供可信的安全标记服务的安全标记产生系统对安全标记进行可信性签名,主要采用公开的数字签名算法(SigAlg)和安全标记生成系统的私钥Kprv进行加密,从而保证安全标记的可信性。为了保证安全标记的安全性,安全标记在应用过程中的组成应包括安全标记明文SUsecure label,安全标记)和安全标记数字签名SigAlg(Kprv, H(SL))两个部分。当数据安全传输时,将客体0和安全标记进行单向hash散列,得到散列值hash(0+SL),以确保安全标记与信息客体的一致性,避免在传输过程中安全标记冒用问题。安全标记与数据流绑定,实现多级信息系统间数据的安全传输在上述描述的基础上,下面对不同安全级别的信息系统间如何利用所述的安全标记实现数据传输进行说明。在不同安全级别的信息系统间做数据传输时,对安全标记的使用有显式与隐式之分。对安全标记的隐式使用是指通信双方根据安全标记中的相关参数协商建立安全的通信信道(可被称为标记安全通道),然后主体对客体的访问受到此标记安全通道的保护,由此实现访问控制检查。对安全标记的显式使用是指将安全标记写入到数据流中,使之成为数据报文的一部分,当某一主体访问客体时,携带自身的安全标记,通过从数据流中提取安全标记来判定此主体是否可以访问某一个客体,从而完成网络强制访问控制。被显式使用的安全标记也被称为显式安全标记,被隐式使用的安全标记也被称为隐式安全标记。在本发明的一个实施例中,将对安全标记的显式使用与隐式使用结合起来,实现不同安全级别的信息系统间的数据传输。为了便于理解,在对数据传输过程做详细说明之前,首先对安全标记的隐式使用与对安全标记的显式使用的实现细节进行说明。前文中已经提到,对安全标记的隐式使用需要在通信双方之间建立标记安全通道。所述的标记安全通道是一个逻辑通道,在本发明的一个实施例中,标记安全通道建立在通信过程中的主体所在信息系统的区域边界网关与客体所在信息系统的区域边界网关之间。由于主体与客体的安全标记有多种安全级别,为了适应不同安全级别的主体与客体间的通信需求,标记安全通道也应当有多种类型,如绝密级安全隧道、机密级安全隧道、秘密级安全隧道、内文级安全隧道以及其他级别的安全隧道,针对不同级别的信息,可采用相应级别的标记通道进行保护。标记安全通道的类型主要由安全通道参数LSA((Labled secureassociaton,标记安全关联)决定。主体与客体在进行数据通信时,将主体与客体的安全标记中的诸如安全级别的信息与所述标记安全通道的安全通道参数进行比较,从而决定选择何种类型的标记安全通道。不同类型的标记安全通道的使用可以保证多级环境下不同密级数据流的隔离保护与多密级子网的划分。对安全标记的显式使用需要将安全标记写入数据报文。显而易见,在将安全标记写入数据报文时,不应当影响数据报文的正常功能,因此,在本发明的一个实施例中,采用IP选项字段(IPSO)来携带安全标记,以实现数据流与安全标记的随包传递,该字段通常用于网络的测试和调试,对实际的通信没有多大的影响。IP报头的长度规定为40个字节,IP头部固定为20字节,因此,安全选项的长度最大为20个字节。也就是说,本发明所描述的安全标记的最大长度为20个字节。若安全标记所携带的安全标签长度超过20字节,则可将其有效地扩展到TCPSO、UDPSO、ICMPSO中。当然TCPSO、UDPSO, ICMPSO等需要开发者设
12计相应的安全通信协议,以保证安全标记在数据流中得到有效的实施,同时也保证数据的安全传输。在图7中给出了 IPSO选项的数据格式。IPSO选项包括固定长度字段与可变长度字段,可变长度字段指的是安全标记中的安全标签,因此对于超过20字节的安全标记信息来说,若拓展到TCPS0、UDPS0时,只可能为安全标签。具体的说,IPSO选项格式的第一个字节为类型字段,固定值为133 ;第二部分为解释域,占4个字节,它是安全域的唯一标识;后面部分为安全标记,包括安全标记的头部和安全标签部分,用于标识主体安全标记信息。安全标签可定义多个,用于表示不同的安全标签策略;安全标记最大长度为35个字节。在本发明的一个实施例中,安全标记密级的表示方法如表1所示,范畴的表示在之前已经有相应的说明。
权利要求
1.一种多级信息系统间的数据安全传输方法,包括步骤10)、一信息系统中的一主体向另一信息系统中的一客体发起访问请求; 步骤20)、所述主体所在信息系统的区域边界网关根据所述访问请求中所包含的所述主体的安全标记判定是否要做安全性处理,当需要做安全性处理时,执行下一步,否则进一步判断是直接通过该请求消息还是拒绝,若为直接通过,则转入步骤40),若为拒绝,则丢弃该请求消息的数据包;其中,所述安全标记包括头部分与安全标签集,所述安全标签集包括有至少一个安全标签, 一个所述的安全标签描述了至少一种安全标记实施策略;所述安全标签包含安全标签类型,所述安全标签类型为机密性标签、完整性标签与可用性标签中的一种;步骤30)、所述主体所在系统的区域边界网关根据所述主体与所述客体的安全标记查找是否存在相应的标记安全通道,若不存在,创建新的标记安全通道,然后执行下一步,否则,直接执行下一步;步骤40)、将所述主体的安全标记中的信息写入所述访问请求的数据包的IP选项字段,然后将数据包通过所述标记安全通道转发到所述客体所在的信息系统,由所述客体所在信息系统的区域边界网关经由所述标记安全通道接收所述数据包;步骤50)、由所述客体的安全标记与所述主体的安全标记得到安全策略,将所述安全策略与所述主体所在信息系统的区域边界网关的安全策略进行比较,在比较结果一致的前提下放行所述数据包,否则丢弃所述数据包;步骤60)、所述客体接收到数据包后,根据所述主体的安全标记、所述客体的安全标记以及访问控制规则判断所述主体对所述客体的操作类型,根据所述操作类型实现所述主体对所述客体的读或写。
2.根据权利要求1所述的多级信息系统间的数据安全传输方法,其特征在于,在所述的步骤10)与步骤20)之间,还包括步骤11)、所述主体所在信息系统的区域边界网关对所述访问请求消息的数据包做轨迹跟踪处理,查找标记连接状态表,得到返回值,若其返回值表示已经绑定到某一轨迹且符合标记连接状态,则直接执行步骤40),若其返回值为新建状态,那么查找主体安全标记,然后执行步骤20),若其返回值表示已绑定到某一轨迹,但不符合该轨迹状态,则释放此数据包;在所述的步骤20)中,还包括当该请求消息被拒绝时,将安全标记动态绑定到此会话连接,建立标记状态连接表;在所述的步骤40)与步骤50)之间,还包括步骤41)、对所述数据包进行轨迹跟踪处理,得到返回值,若所述返回值表示为已经绑定到某一轨迹且符合标记连接状态,直接将数据包按照标记连接状态中的处理方式进行处理;若返回值为新建状态,执行步骤50);若返回值为已经绑定到某一轨迹且不符合标记连接状态,则丢弃数据包;在所述步骤50)中还包括在丢弃所述数据包后,将安全标记动态绑定到此会话连接, 建立标记状态连接表。
3.根据权利要求1或2所述的多级信息系统间的数据安全传输方法,其特征在于,在所述的步骤30)中,所述的创建新的标记安全通道包括步骤30-1)、所述主体所在信息系统的区域边界网关发送建立标记安全通道的请求消息到所述客体所在信息系统的区域边界网关;该请求消息包括所述主体的安全标记信息, 所述客体的标识信息;步骤30-2)、所述客体所在信息系统的区域边界网关查找所述客体的安全标记,结合所述主体的安全标记决定是否允许建立所述标记安全通道,若允许,发送响应消息给所述主体所在信息系统的区域边界网关;所述响应消息包括所述标记安全通道的级别、算法在内的标记安全通道参数;步骤30-3)、所述主体所在信息系统的区域边界网关获得标记安全通道参数后,向所述客体所在信息系统的区域边界网关返回确认消息,建立所述的标记安全通道。
4.根据权利要求3所述的多级信息系统间的数据安全传输方法,其特征在于,所述主体所在信息系统的区域边界网关与所述客体所在信息系统的区域边界网关各自对所发送的消息进行加密,对所接收的消息进行解密。
5.根据权利要求1或2所述的多级信息系统间的数据安全传输方法,其特征在于,在所述的步骤40)中,在将所述主体的安全标记中的信息写入所述访问请求的数据包的选项字段后,还包括对所述数据包进行加密、认证、封装的操作,然后再将数据包通过所述标记安全通道转发到所述客体所在的信息系统;在所述步骤40)中,所述客体所在信息系统的区域边界网关经由所述标记安全通道接收所述数据包时,还要对所述数据包做解密、认证、解封装的操作。
6.根据权利要求1或2所述的多级信息系统间的数据安全传输方法,其特征在于,所述的访问控制规则包括①若主体安全级为LLL,客体安全级为LLL,则主体对客体所允许的操作为可读可写; 若客体安全级为HLL、HLH、HHL、HHH,则不允许主体对客体的操作;②若主体安全级为HLL,客体为HLL,则主体对客体所允许的操作为可读可写;若客体安全级为LLL、HLH、HHL、HHH,则主体对客体所允许的操作为可写;③若主体安全级为HLH,客体安全级为HLL,则主体对客体所允许的操作为可读;若客体安全级为HLH,则主体对客体所允许的操作为可读可写,若客体安全级为HHH,则主体对客体所允许的操作为可写;若客体安全级为LLL和HHL,则不允主体对客体的操作;④若主体安全级为HHL,客体安全级为HLL,则主体对客体所允许的操作为可读;若客体安全级为HHL则主体对客体所允许的操作为可读可写;若客体安全级为HHH,则主体对客体所允许的操作为可写;若客体安全级为LLL和HLH,则不允许主体对客体的操作;⑤若主体安全级为HHH,客体安全级为HLL,则主体对客体所允许的操作为可读;若客体安全级为HLH,则主体对客体所允许的操作为可读;若客体安全级为HHH,则主体对客体所允许的操作为可读可写;若客体安全级为LLL,则不允许主体对客体的操作;其中,L表示低,H表示高。
全文摘要
本发明提供了一种多级信息系统间的数据安全传输方法,包括主体所在信息系统的区域边界网关根据访问请求中所包含的主体的安全标记判定是否要做安全性处理;主体所在系统的区域边界网关根据所述主体与客体的安全标记查找是否存在相应的标记安全通道,若不存在,创建新的标记安全通道,然后执行下一步,否则,直接执行下一步;将主体的安全标记中的信息写入访问请求的数据包的IP选项字段,然后将数据包通过标记安全通道转发到客体所在的信息系统,由其区域边界网关经由标记安全通道接收数据包;将安全策略进行比较,比较结果一致则放行数据包,否则丢弃;客体接收到数据包后,判断主体对客体的操作类型,根据操作类型实现主体对客体的读或写。
文档编号H04L29/06GK102368760SQ20101061798
公开日2012年3月7日 申请日期2010年12月31日 优先权日2010年12月31日
发明者孙奕, 张红旗, 曹利峰, 杜学绘, 王超, 陈性元 申请人:中国人民解放军信息工程大学