[发明专利]一种基于业务安全标记的网络数据传输控制方法及装置有效
| 申请号: | 201910536194.X | 申请日: | 2019-06-20 |
| 公开(公告)号: | CN110324326B | 公开(公告)日: | 2020-12-22 |
| 发明(设计)人: | 于海波;李志谦;刘坤颖;祁峰 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京君尚知识产权代理有限公司 11200 | 代理人: | 余长江 |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 业务 安全 标记 网络 数据传输 控制 方法 装置 | ||
本发明提出一种基于业务安全标记的网络数据传输控制方法及装置,属于网络技术及计算机信息安全领域,通过识别网络数据包带有的业务安全标记,并根据标记包含的安全级别、业务类别等业务安全属性信息对网络数据进行相应的控制,从而基于业务层面的安全要求在网络层面高效实现数据的细粒度管控。
技术领域
本发明涉及一种网络数据传输控制方法,尤其涉及一种基于网络数据包的业务安全属性对网络数据传输进行管控的方法和装置,属于网络技术及计算机信息安全领域。
技术背景
目前,传统的网络数据控制方法主要利用五元组、源目的地址、数据包特征等网络层信息对数据包进行控制,无法根据业务层面的安全要求对网络数据进行细粒度的管控和审计,很难针对不同类别业务数据实现路由控制,难以根据业务应用要求对特定业务数据流向进行路径管控和异常发现,无法在安全域边界高效对不同类别的业务数据进行细粒度管控。
发明内容
针对网络数据的细粒度管控需求,本发明的目的在于提出一种基于业务安全标记的网络数据传输控制方法及装置,通过识别网络数据包带有的业务安全标记,并根据标记包含的安全级别、业务类别等业务安全属性信息对网络数据进行相应的控制,从而基于业务层面的安全要求在网络层面高效实现数据的细粒度管控。
为实现上述目的,本发明采用一种基于业务安全标记的网络数据传输控制方法,该方法包括以下步骤:
Step1:配置网络装置的标记控制策略,该标记控制策略指的是基于网络数据包的业务安全标记定义相关规则,以对网络数据进行管控;
Step2:网络数据包通过网络装置时,网络装置识别数据包是否带有业务安全标记,如果数据包不带有业务安全标记,则对数据包记录日志或做其他处理;
Step3:如果数据包带有业务安全标记,则网络装置根据配置的标记控制策略对数据包的业务安全标记进行匹配检查,如果检查通过,则放行,否则对数据包记录日志或做其他处理。
进一步地,业务安全标记为包含多种业务安全属性的多元组M=C,G,其中C为安全级别,G为业务安全属性集合,该业务安全属性集合G包括业务类别、工作组、角色、环境要求。
进一步地,业务安全标记包括信息对象的业务安全标记M(r)=Cr,Gr和系统对象的业务安全标记M(o)=Co,Go,其中信息对象包括数据,系统对象包括应用、服务、进程。
进一步地,M(o)与M(r)之间的关系有两种:支配与不可比;当Co≥Cr且记为M(o)≥M(r),则M(o)与M(r)之间具有支配关系,表示系统对象可支配信息对象;如果M(o)与M(r)之间不存在支配关系,则二者之间为不可比关系,表示系统对象无权支配信息对象。
进一步地,标记控制策略可表示为R=C,G,其中,R为标记控制策略,该式子表示满足指定属性的信息对象的集合。
进一步地,为网络装置s配置标记控制策略Rs=Cs,Gs,Rs指定的信息对象的业务安全标记为M(s)=Cs,Gs,若M(s)≥M(r),标记匹配检查通过;否则数据匹配检查不通过。
进一步地,所述其他处理包括告警、转发、丢弃或忽略等。
为实现上述目的,本发明还提供了一种基于业务安全标记的网络数据传输控制装置,包括标记控制策略管理模块、标记识别管控模块;
该标记控制策略管理模块,用于配置和管理网络装置的标记控制策略;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910536194.X/2.html,转载请声明来源钻瓜专利网。
