一种制播系统的信息安全访问控制方法及装置的制造方法
【技术领域】
[0001] 本申请设及制播系统安全技术领域,尤其设及一种制播系统的信息安全访问控制 方法及装置。
【背景技术】
[0002] 访问控制是计算机保护中极其重要的一环,它是在身份识别的基础上,根据访问 发起者的身份对提出的资源访问请求加W控制。在访问控制中,需要进行访问控制的各种 资源称为客体,如文件、设备、信号量等;访问发起者称为主体,如进程、应用程序或用户等; 第=个元素为访问控制规则,它定义了主体与客体间可能的相互作用途径。
[0003] 现阶段较为常用的访问控制方案为强制访问控制(MAC,MandatoryAccess Control),它是由系统强制主体服从访问控制策略,也即,由系统对用户创建的对象,按照 预设规则控制用户权限及操作对象的访问。在MAC中,每个用户及文件都被赋予一定的安 全级别,只有系统管理员才可W确定用户的访问权限,系统通过比较用户和访问文件的安 全级别来决定用户是否可W访问该文件。
[0004] 现有技术不足在于:
[0005] MAC对于专用系统或简单系统较为有效,而对于较为复杂的制播系统并不适用,无 法根据不同的业务流程进行全流程的访问控制。
【发明内容】
[0006] 本申请实施例提出了一种制播系统的信息安全访问控制方法及装置,W解决现有 技术中MC不适用于较为复杂的制播系统、无法根据不同的业务流程进行全流程的访问控 制的技术问题。
[0007] 本申请实施例提供了一种制播系统的信息安全访问控制方法,所述制播系统包括 播出系统和外部系统,包括如下步骤:
[000引通过外部系统与播出系统之间预先建立的可信互连隧道并按照预先配置的开放 协议和端口,接收所述外部系统发送的客体,所述可信互连隧道为外部系统和播出系统利 用预先部署的可信互连部件建立的,所述可信互连部件为节点之间经可信认证后在节点之 间建立可信互连隧道的部件;
[0009] 当所述客体经过播出系统的边界时,通过预先部署的网络隔离交换组件对所述客 体进行访问控制;
[0010] 在播出系统内不同的业务流程中业务流经的节点通过预先部署的可信互连部件 和标记与强制访问控制部件,对业务流程的每个环节进行不同的访问控制;所述标记与强 制访问控制部件为标记对客体有操作权限的主体并根据所述标记进行访问控制的部件。
[0011] 本申请实施例还提供了一种制播系统的信息安全访问控制装置,所述制播系统包 括播出系统和外部系统,包括:
[0012] 接收模块,用于通过外部系统与播出系统之间预先建立的可信互连隧道并按照预 先配置的开放协议和端口,接收所述外部系统发送的客体;所述可信互连隧道为外部系统 和播出系统利用预先部署的可信互连部件建立的,所述可信互连部件为节点之间经可信认 证后在节点之间建立可信互连隧道的部件;
[0013] 边界访问控制模块,用于当所述客体经过播出系统的边界时,通过预先部署的网 络隔离交换组件对所述客体进行访问控制;
[0014] 业务访问控制模块,用于在播出系统内不同的业务流程中业务流经的节点通过预 先部署的可信互连部件和标记与强制访问控制部件,对业务流程的每个环节进行不同的访 问控制;所述标记与强制访问控制部件为标记对客体有操作权限的主体并根据所述标记进 行访问控制的部件。
[001引有益效果如下;
[0016] 本申请实施例所提供的信息安全访问控制方法及装置,通过外部系统与播出系统 之间预先建立的可信互连隧道并按照预先配置的开放协议和端口,接收所述外部系统发送 的客体;所述可信互连隧道为外部系统和播出系统利用预先部署的可信互连部件建立的, 所述可信互连部件为节点之间经可信认证后在节点之间建立可信互连隧道的部件;当所 述客体经过播出系统的边界时,通过预先部署的网络隔离交换组件对所述客体进行访问控 审IJ;在播出系统内不同的业务流程中业务流经的节点通过预先部署的可信互连部件和标记 与强制访问控制部件,对业务流程的每个环节进行不同的访问控制;所述标记与强制访问 控制部件为标记对客体有操作权限的主体并根据所述标记进行访问控制的部件。由于本申 请实施例通过预先配置的开放协议和端口、部署的网络隔离交换组件对客体进行接收和访 问控制,并在播出系统与外部媒资系统之间、播出系统内各节点之间根据不同的业务流程 通过预先部署的可信互连部件,在不同的业务流程中不同节点间均建立了可信互连隧道, 在协议、端口、边界W及通信隧道等方面进行了访问控制,确保安全通信;其次,本申请实施 例还根据不同的业务流程通过预先部署的标记与强制访问控制部件实现了主、客体的权限 控制;相比现有的强制访问控制,本申请实施例所提供的技术方案可W在制播系统中将访 问控制机制与业务流程相结合,按照业务流程的不同环节由相应环节的安全机制实施访问 控制,从而实现全流程的访问控制。
【附图说明】
[0017] 下面将参照附图描述本申请的具体实施例,其中:
[001引图1示出了本申请实施例中制播系统的信息安全访问控制方法实施的流程示意 图;
[0019] 图2示出了本申请实施例中制播系统的框架示意图;
[0020] 图3示出了本申请实施例中制播系统的播出整备业务流程示意图;
[0021] 图4示出了本申请实施例中制播系统的节目单业务流程示意图;
[0022] 图5示出了本申请实施例中制播系统的播出控制流程示意图;
[0023] 图6示出了本申请实施例中制播系统的信息安全访问控制装置的结构示意图。
【具体实施方式】
[0024] 为了使本申请的技术方案及优点更加清楚明白,W下结合附图对本申请的示例性 实施例进行进一步详细的说明,显然,所描述的实施例仅是本申请的一部分实施例,而不是 所有实施例的穷举。并且在不冲突的情况下,本说明中的实施例及实施例中的特征可W互 相结合。
[0025] 本申请实施例中各术语的名词解释:
[0026] 可信互连部件:节点之间实施可信度检验,并建立可信连接的技术措施或设备;
[0027] 可信互连隧道;节点之间实施可信互连所建立的安全通信隧道;
[002引标记与强制访问控制部件;对系统内主体和客体进行标记,并根据需求实施强制 访问控制的技术措施或设备;
[0029] 标记;表示客体安全级别并描述客体数据敏感性的一组信息,作为强制访问控制 决策的依据;
[0030] 其中,标记的生成可W通过对可信度、敏感度等参数进行计算得到,具体的计算方 式可W采用现有的算法,本申请对此不作限制。
[0031] 针对现有技术的不足,本申请实施例提出了一种制播系统的信息安全访问控制方 法及装置,下面进行说明。
[0032] 图1示出了本申请实施例中制播系统的信息安全访问控制方法实施的流程示意 图,所述制播系统包括播出系统和外部系统,如图所示,信息安全访问控制方法可W包括如 下步骤:
[0033] 步骤101、通过外部系统与播出系统之间预先建立的可信互连隧道并按照预先配 置的开放协议和端口,接收所述外部系统发送的客体,所述可信互连隧道为外部系统和播 出系统利用预先部署的可信互连部件建立的,所述可信互连部件为节点之间经可信认证后 在节点之间建立可信互连隧道的部件;
[0034] 步骤102、当所述客体经过播出系统的边界时,通过预先部署的网络隔离交换组件 对所述客体进行访问控制;
[0035] 步骤103、在播出系统内不同的业务流程中业务流经的节点通过预先部署的可信 互连部件和标记与强制访问控制部件,对业务流程的每个环节进行不同的访问控制;所述 标记与强制访问控制部件为标记对客体有操作权限的主体并根据所述标记进行访问控制 的部件。
[0036] 其中,主体可W是指进程、应用程序或者用户,客体可W是指节目视频文件、节目 单等可W被主体访问的