[发明专利]一种应用级安全跨域通信方法及系统

说明书

本发明涉及一种应用级安全跨域通信方法及系统，对信息标记安全标签，基于安全标签对信息进行安全审查，从而在实现信息跨域传输的同时满足安全要求；所述跨域通信是指在执行不同安全策略的两个或者多个网络/区域之间进行信息传输；所述安全标签是和信息绑定的一段数字实体，记录了信息的安全级别、安全类别、安全标签显示属性及自定义扩展信息。

技术领域

本发明涉及通信技术领域，具体涉及跨域通信技术方法及系统。

背景技术

随着网络技术的发展，处于不同网络域的同一组织以及不同组织之间存在跨域共享部分信息以进行协同工作的需求。针对该问题，CN200510070361.4提出了一种基于媒体网关的跨域通信方法，解决了不同IP域之间的媒体流接续的跨域通信问题。CN201310634790.4给出了一种解决不同运营商之间用户信息共享的方法，基于接收者账号信息信息判断目标接收类型，并基于目标接收类型采用不同跨域通信方法进行通信。CN201410433474.5、CN201410508440.8主要解决网页访问时跨域通信问题。上述方案均只是解决如何进行跨域信息共享，并共享的信息进行控制。CN200910260082.2提出了一种SIP视频监控系统跨域访问安全方法，该方法主要是对跨域通信服务器身份进行验证，抵抗了仿冒服务器攻击和重放攻击，并且解决了跨域访问用户单点登录的问题。CN201410664196.4通过在两个不同域中的服务器之间建立VPN端口，并进行加密传输，保证跨域通信的机密性、完整性以及不可抵赖性。

综上可治，现有的安全跨域通信方法存在如下问题：(1)偏重于解决如何进行跨域通信，对跨域传输的信息内容并未进行审查；(2)现有安全跨域通信方法偏重于对跨域数据的完整性、机密性以及不可抵赖性进行保护，无法对信息流向进行控制，因此无法实现在不同域内依据安全要求只对部分信息进行共享。

发明内容

本发明技术解决问题：克服现有技术的不足，提供一种应用级跨域通信方法及系统，在实现跨域信息共享的同时，对信息进行应用级安全审查，达到控制信息流向，并避免木马病毒以及恶意内容入侵到组织内部。

本发明技术解决方案：一种应用级安全跨域通信方法，对信息标记安全标签，基于安全标签对信息进行安全审查，从而在实现信息跨域传输的同时满足安全要求；所述跨域通信是指在执行不同安全策略的两个或者多个网络/区域之间进行信息传输；所述安全标签是和信息绑定的一段数字实体，记录了信息的安全级别、安全类别、安全标签显示属性及自定义扩展信息。

所述安全审查的内容包括信息过滤、安全标签检查、加密流量过滤、信息流向控制和信息内容审查；

所述信息过滤：删除跨域通信的信息中的关键字段，确保信息合法传输；

所述安全标签检查：根据安全策略，判断安全标签的安全级别、安全类别是否在预定的范围内，若在预定的范围内，则判定为合法标签；否则，判定为非法标签；

所述安全标签转换：根据安全策略中定义的标签等价映射原则，将安全标签映射到与目标相关联的安全策略；

所述标签等价映射原则：同一信息，在一个域中由安全标签所确定的知悉范围与目标域中由安全标签所确定的知悉范围应保持一致；

所述目标域是指跨域传输信息的接收域；

所述加密流量过滤：对由于加密导致无法执行应用级检查的信息流量进行过滤，防止信息在加密以后进行非法跨域传输；

所述信息流向控制：若信息具有合法的安全标签，依据安全要求，对信息转发进行控制；

所述信息内容审查：对跨域通信的信息内容进行审查，避免木马病毒以及敏感信息入侵到组织内部。