專利名稱:多級信息系統間的數據安全傳輸方法
技術領域:
本發明涉及等級保護領域,特別涉及多級信息系統間的數據安全傳輸方法。
背景技術:
等級保護作為國家致力推行的一項政策,已逐漸作為一種信息安全防護的手段, 成為信息安全領域研究的重要內容。它依據信息系統的使命與目標,根據系統重要程度,將信息系統劃分為不同的安全等級,并綜合平衡安全成本和風險,形成不同等級的安全措施, 實現對信息系統的安全保護。在《計算機信息系統安全保護等級劃分準則》(GB 17859)中,我國將計算機信息系統安全保護能力劃分為五個等級,即用戶自主保護級(第一級)、系統審計保護級(第二級)、安全標記保護級(第三級)、結構化保護級(第四級)、訪問驗證保護級(第五級)。 2007年國家基本完成了信息系統的定級工作,今后的主要任務是為信息系統的安全進行整改建設,這也標志著我國等級保護工作的全面實施。但是,信息系統在安全整改后勢必會造成信息的孤島,這與信息化建設中信息交換的實際相違背。因此,如何在系統定級后保持不同安全等級或同等級的信息系統之間的互聯互通,是面向等級保護的系統安全整改工作必須解決的關鍵問題。根據信息系統的定級結果來看,全國三級信息系統多達五萬多個,而三級以上信息系統必須要具有安全標記功能。因此,研究安全標記對我國信息系統的整改工作具有非常重要的意義,它是多等級信息系統間安全互聯的基礎。針對安全標記方面的研究,國外的研究比較多,主要集中在多級安全(MLS)方面 StJiif^o Bell DE % LaPadula L J ¢: 1973 ^ ((Secure computersystem -.a mathematical model》以及 Biba K j 在 1977 年《Integrityconsiderations for secure computer systems))中提出的BLP和BIBA模型都將安全標記定義為主體、客體的一個安全屬性,它包括級別和范疇。其中,級別是指主體、客體的等級,通常包括機密、秘密、公開等,而范疇是指主體、客體活動的范圍。通過安全標記的上述屬性能夠完成數據的機密性和完整性保護,但是其僅僅限制在了敏感級別、范疇集,對其他的安全屬性帶來的影響并沒有進行必要的說明。此外,在這兩個模型中,也未闡述安全標記與信息、數據流如何綁定的問題。RFC1457 (Security Label Framework for the Internet,互聯網安全標記框架) 中將安全標記定義為機密性安全標記、完整性標記,在其文檔中說明了如何實現對數據的機密性與完整性保護,并給出了安全標記的作用與目的。但是在其安全標記中,機密性與完整性是分開進行定義與說明的,并未指出安全標記具體還涵蓋哪些內容,未能實現機密性與完整性的統一。此外,文檔只是大概說明了在OSI七層結構中標記在每一層的實現方式與作用,并簡要說明了中間節點與端系統處理標記數據的方式,但是互聯網發展到今天,文獻中的許多內容已經不適合或是不能在現今網絡中應用,文獻中也并沒有給出安全標記的具體內容與格式,以及安全標記的具體實施方法。FIPS PUB 188 (Standard Security Label for Information Transfer,信息傳輸安全標記)中定義了安全標記的格式,并進行了說明,但是其定義還存在一些局限性,未能實現多維安全屬性標記的統一,而且在多級安全策略實施中,還存在著靈活性差的問題,同時也未闡述安全標記如何與數據流進行綁定以及安全性問題。國內對安全標記的研究,側重于BLP、BIBA模型中安全標記的應用,應用研究的對象主要為操作系統,并沒有將安全標記的限定信息的讀寫拓展到網絡當中,這顯然無法滿足我國保護多級信息系統安全互聯的需求。
發明內容
本發明的目的是克服現有技術中的安全標記的維度少,缺乏如何利用安全標記進行數據傳輸的相關方法的缺陷,從而提供一種利用安全標記實現多級信息系統間的數據安全傳輸的方法。為了實現上述目的,本發明提供了一種多級信息系統間的數據安全傳輸方法,包括步驟10)、一信息系統中的一主體向另一信息系統中的一客體發起訪問請求;步驟20)、所述主體所在信息系統的區域邊界網關根據所述訪問請求中所包含的所述主體的安全標記判定是否要做安全性處理,當需要做安全性處理時,執行下一步,否則進一步判斷是直接通過該請求消息還是拒絕,若為直接通過,則轉入步驟40),若為拒絕,則丟棄該請求消息的數據包;其中,所述安全標記包括頭部分與安全標簽集,所述安全標簽集包括有至少一個安全標簽,一個所述的安全標簽描述了至少一種安全標記實施策略;所述安全標簽包含安全標簽類型,所述安全標簽類型為機密性標簽、完整性標簽與可用性標簽中的一種;步驟30)、所述主體所在系統的區域邊界網關根據所述主體與所述客體的安全標記查找是否存在相應的標記安全通道,若不存在,創建新的標記安全通道,然后執行下一步,否則,直接執行下一步;步驟40)、將所述主體的安全標記中的信息寫入所述訪問請求的數據包的IP選項字段,然后將數據包通過所述標記安全通道轉發到所述客體所在的信息系統,由所述客體所在信息系統的區域邊界網關經由所述標記安全通道接收所述數據包;步驟50)、由所述客體的安全標記與所述主體的安全標記得到安全策略,將所述安全策略與所述主體所在信息系統的區域邊界網關的安全策略進行比較,在比較結果一致的前提下放行所述數據包,否則丟棄所述數據包;步驟60)、所述客體接收到數據包后,根據所述主體的安全標記、所述客體的安全標記以及訪問控制規則判斷所述主體對所述客體的操作類型,根據所述操作類型實現所述主體對所述客體的讀或寫。上述技術方案中,在所述的步驟10)與步驟20)之間,還包括步驟11)、所述主體所在信息系統的區域邊界網關對所述訪問請求消息的數據包做軌跡跟蹤處理,查找標記連接狀態表,得到返回值,若其返回值表示已經綁定到某一軌跡且符合標記連接狀態,則直接執行步驟40),若其返回值為新建狀態,那么查找主體安全標記,然后執行步驟20),若其返回值表示已綁定到某一軌跡,但不符合該軌跡狀態,則釋放此數據包;
5
在所述的步驟20)中,還包括當該請求消息被拒絕時,將安全標記動態綁定到此會話連接,建立標記狀態連接表;在所述的步驟40)與步驟50)之間,還包括步驟41)、對所述數據包進行軌跡跟蹤處理,得到返回值,若所述返回值表示為已經綁定到某一軌跡且符合標記連接狀態,直接將數據包按照標記連接狀態中的處理方式進行處理;若返回值為新建狀態,執行步驟50);若返回值為已經綁定到某一軌跡且不符合標記連接狀態,則丟棄數據包;在所述步驟50)中還包括在丟棄所述數據包后,將安全標記動態綁定到此會話連接,建立標記狀態連接表。上述技術方案中,在所述的步驟30)中,所述的創建新的標記安全通道包括步驟30-1)、所述主體所在信息系統的區域邊界網關發送建立標記安全通道的請求消息到所述客體所在信息系統的區域邊界網關;該請求消息包括所述主體的安全標記信息,所述客體的標識信息;步驟30-2)、所述客體所在信息系統的區域邊界網關查找所述客體的安全標記,結合所述主體的安全標記決定是否允許建立所述標記安全通道,若允許,發送響應消息給所述主體所在信息系統的區域邊界網關;所述響應消息包括所述標記安全通道的級別、算法在內的標記安全通道參數;步驟30-3)、所述主體所在信息系統的區域邊界網關獲得標記安全通道參數后,向所述客體所在信息系統的區域邊界網關返回確認消息,建立所述的標記安全通道。上述技術方案中,所述主體所在信息系統的區域邊界網關與所述客體所在信息系統的區域邊界網關各自對所發送的消息進行加密,對所接收的消息進行解密。上述技術方案中,在所述的步驟40)中,在將所述主體的安全標記中的信息寫入所述訪問請求的數據包的選項字段后,還包括對所述數據包進行加密、認證、封裝的操作, 然后再將數據包通過所述標記安全通道轉發到所述客體所在的信息系統;在所述步驟40)中,所述客體所在信息系統的區域邊界網關經由所述標記安全通道接收所述數據包時,還要對所述數據包做解密、認證、解封裝的操作。上述技術方案中,所述的訪問控制規則包括①若主體安全級為LLL,客體安全級為LLL,則主體對客體所允許的操作為可讀可寫;若客體安全級為111^、!11^、麗1^、麗!1,則不允許主體對客體的操作;②若主體安全級為HLL,客體為HLL,則主體對客體所允許的操作為可讀可寫;若客體安全級為LLL、HLH、HHL、HHH,則主體對客體所允許的操作為可寫;③若主體安全級為HLH,客體安全級為HLL,則主體對客體所允許的操作為可讀; 若客體安全級為HLH,則主體對客體所允許的操作為可讀可寫,若客體安全級為HHH,則主體對客體所允許的操作為可寫;若客體安全級為LLL和HHL,則不允主體對客體的操作;④若主體安全級為HHL,客體安全級為HLL,則主體對客體所允許的操作為可讀; 若客體安全級為HHL則主體對客體所允許的操作為可讀可寫;若客體安全級為HHH,則主體對客體所允許的操作為可寫;若客體安全級為LLL和HLH,則不允許主體對客體的操作;⑤若主體安全級為HHH,客體安全級為HLL,則主體對客體所允許的操作為可讀; 若客體安全級為HLH,則主體對客體所允許的操作為可讀;若客體安全級為HHH,則主體對客體所允許的操作為可讀可寫;若客體安全級為LLL,則不允許主體對客體的操作;其中,L表示低,H表示高。本發明的優點在于1、本發明將安全標記拓展到等級保護網絡,提出了網絡安全標記與數據流的綁定方法,實現了多級信息系統之間的數據安全傳輸,對消除等級保護引起的信息孤島,促進不同等級信息系統間的信息共享,推動信息系統整改工作,使等級保護在信息化建設中發揮重要作用。2、本發明將標記與會話連接進行動態邏輯綁定,有效地提高了系統的安全處理數據包的效率。
圖1為一個實施例中本發明的網絡安全標記的數據格式示意圖;圖2為一個實施例中本發明的網絡安全標簽的數據格式示意圖;圖3為密級的線性關系示意圖;圖4為在一個實施例中本發明中所涉及的范疇的樹形表示示意圖;圖5為安全標記的三維安全屬性的示意圖;圖6為在一個實施例中的安全標記生成系統的示意圖;圖7為在一個實施例中所涉及的IPSO數據格式的示意圖;圖8為在一個實施例中,多級信息系統間安全傳輸實例的示意圖;圖9為在一個實施例中多級信息系統間安全傳輸數據報文格式的示意圖;圖10多級信息系統間安全傳輸數據包外出處理圖11多級信息系統間安全傳輸數據包進入處理
具體實施例方式下面結合附圖和具體實施方式
對本發明加以說明。基本概念在對本發明的具體實現做詳細說明之前,首先對本發明中所涉及的一些概念做統一的說明。(1)、主體(Subject)本申請中的主體是指對某類資源發起訪問的請求者或者是雙方通信的發起者。比如用戶、主機、子網、地址范圍、用戶組、子網組以及地址組等,均可定義為主體。O)、客體(Object)客體是與主體相對的概念,它是指被主體訪問的資源。比如文件、數據庫、web服務、ftp服務、子網、主機、地址范圍、地址組等,均可定義為客體。(3)、安全標記(Secure Label)安全標記是主體、客體安全屬性的一類描述,它規定了主體、客體的訪問或被訪問的權限、活動的領域等。0)、安全標簽(Secure Tag)安全標簽是安全標記的數據部分,用于標識主體、客體的安全實施策略。
7
(5)、保護域(Protected Domain)保護域是具有某種共同安全利益關系,并在需要時允許進行密碼通信的可信主體、客體的集合。保護域可為物理的域,也可指邏輯意義上的域。安全標記與安全標簽的數據格式在對本申請中所涉及的相關概念做上述說明后,下面對之前提到的安全標記與安全標簽的數據格式做詳細說明。在圖1中示出了在一個實施例中,本申請所涉及的安全標記的數據格式,安全標記至少包括安全標記的頭部分和安全標簽集兩大部分。安全標記頭部分主要包括安全標記符、安全標記長度、安全標記類型、安全標簽集名、例外策略位,這些部分所要表達的具體含義如下安全標記符用于對安全標記進行功能、用途等各個方面的描述。安全標記長度用于描述安全標記的整個長度。安全標記的最大長度為40字節, 若長度超過40字節,則可擴展到TCPSO、UDPSO中,可擴展部分的長度不超過20字節。安全標記類型安全標記類型規定了安全標記的用途,比如應用層安全標記、網絡層標記符、安全標記服務等。有了安全標記類型,多種不同類型的安全標記就能夠用相同的數據格式加以表示,有效完成了多種安全標記的統一。安全標簽集名一個安全標記中允許有多個安全標簽,這些在同一安全標記中的所有安全標簽的集合被稱為安全標簽集,安全標簽集名用來表示安全標簽集的名稱。安全標簽總長度用于說明安全標記攜帶了多少個安全標簽。例外策略位用于可信實體的例外策略以及主體的例外策略。關于例外策略將會在下文中加以描述。安全標記的數據部分包含了多個安全標簽,這些安全標簽組成所述的安全標簽集。在一個安全標簽內,描述了至少一種安全標記實施策略,因此,主體通過一個安全標記能夠實現對不同安全域內信息的客體的處理。每個安全標簽的數據格式是相同的,在圖2 中給出了在一個實施例中安全標簽的數據格式,它包括安全標簽描述、安全標簽名、安全標簽類型、安全標簽長度、安全級別、范疇屬性、范疇數據。這些部分所要表達的具體含義如下安全標簽描述用于對安全標簽進行詳細說明,包括用途、功能、特別聲明等,安全標簽描述也可以為空。安全標簽名定義安全標簽的名稱,并能在一定程度上反映安全標簽的含義與用途。例如某一客體安全標記中安全標簽名為SendTo,這代表“這個文檔是發送至哪些人? 而其它人則不可以接收”,而D印tOnly則代表“僅僅這個部門的成員可以訪問”。安全標簽類型在本實施例中,安全標簽類型可以為機密性標簽、完整性標簽、可用性標簽中的一種,它有效保證了多維安全屬性的有機統一。安全標簽的具體類型可擴展。安全標簽長度單個安全標簽的長度。安全級別是指敏感級別,可為絕密、機密、秘密、內文、無分類,也可分為局長、處長、科長、科員等,可根據管理者的習慣進行合理的定義。在下文對安全級別的描述中有進一步的說明。范疇屬性范疇屬性是指范疇數據屬于哪一個類型,它有兩種類型,一種是范圍類型,一種是枚舉類型。范圍類型是指主體能夠訪問的具體領域,而枚舉類型則是根據主體身份而規定的特殊訪問進行限制。在下文中將會對范疇要詳細說明。范疇數據依據范疇屬性,描述范疇內容的值。在下文中還將對范疇的相關概念有進一步的說明。安全級別Gecure Label)在信息系統的等級保護中,安全級別是一個必然要涉及到的概念。安全級別L是一個線性偏序關系,(L,彡)稱作線性等級系統。對于任意的Ii, Ij e L,Ii彡Ip當且僅當
圖3說明了在一個實施例中,線性等級系統的劃分;一般的,將一個信息系統的級別劃分為五個安全等級,它們的關系是unclassified (公開的)< restricted (受限的)< confidential (秘密的)< secret (機密的)< top_secret (絕密的)。一個線性等級系統(L,彡)中存在1。,對于所有的i,I0彡Ii ;同樣,存在元素lr,對于所有的i,Ii彡U那么,Itl, L分別被稱為這個等級系統的最大元與最小元,也就是這個等級系統的最低安全級別與最高安全級別。一個多級安全信息系統中,可以依據實際需求來進行密級劃分,比如可采用簡單的靜態線性關系的劃分,也可以采用動態多級安全標記密級劃分方法。范疇(Category)范疇中的元素用于說明主體、客體所作用的范圍,是基于數據信息的一種強制性范圍劃分,比一個公司的各部門,可以劃分為人事部、財政部、設計部等等,范疇的劃分對于保護數據是非常重要的。范疇為劃分的域,它的標識可用樹的形式進行表示。假設某一信息系統范疇節點的表示形式為4位數字,那么每個范疇下面最多可設置16個不同的子集節點。以圖4為例,范圍最大的范疇節點用0000表示,在它之下的范圍較小的范疇節點可以用00000001、00000010,00000011 等表示。范疇的分配應遵循的原則具有上下屬關系的范疇集,由于它們之間存在包含關系,因此主體不能跨越兩個具有上下屬關系的兩個范疇集,若跨越,則將出現策略的冗余,所以主體可以跨越不存在上下屬關系的范疇集。范疇類型分為范圍類型和枚舉兩種類型。(1)、范圍類型范圍類型指的不是從小到大這樣一個范圍,而是指主體或客體作用的領域,領域包括若干子域,各個域之間構建為樹形結構,也就說,作用于父域的主體,同樣可以作用于子域。例如某一單位的子機關包括有行政管理機關、人事處、組織處、信息中心,而在人事處下又包括有辦公室、檔案室,在信息中心下又包括有辦公室、管理中心。在范疇集中,單位用0000表示,人事處用00000001表示,人事處下的辦公室、檔案室分別用000000010001、000000010010表示,組織處用00000010表示,信息中心用00000011表示,信息中心之下的辦公室、管理中心分別用000000110001,000000110010表示。如圖4所示。O)、枚舉類型枚舉類型指的是由于特權問題而對某一域的訪問進行限制。由于范疇具有包含關系,所以針對特權訪問時,需嚴格限制因包含關系而引起的權限泛濫。
9
比如某一主體S,其范疇為000000110010,但由于單位需要借調到行政管理機關 (0000)幫忙,此時S的范疇將擴大到0000,權限也隨之擴大,但顯然該主體S不應該能夠查詢行政管理機關下的所有信息,因此在特權訪問時,應該控制其作用領域,嚴格限制范疇的包含關系。之前提到,安全標簽中的范疇屬性會對范疇的類型進行標記。規則集(RuleSet)本申請將數據流的訪問控制屬性分為四類讀出、讀入、寫入、寫出。其中,讀出 “ro”表示內網主機欲通過邊界訪問外網主機的行為;讀入“ri”表示外網主機欲通過邊界訪問內部主機的行為;寫入“wi”表示外網主機響應內網訪問的返回包欲通過邊界的行為; 寫出“wo”表示內網主機響應外網的返回包欲通過邊界的行為。根據邊界上機密性和完整性的需求,可以將“ro”和“ri ”統一抽象為“讀”行為,將“wo,,和“wi ”統一抽象為“寫”行為。因此,所制定的規則限制了對客體的讀寫。在之前對安全標記的數據格式的描述中,安全標記中的安全標簽可分為機密性標簽、完整性標簽、可用性標簽,較現有的BLP模型、BIBA模型在安全維度上有進一步提高。由于安全標記在機密性、完整性以及可用性這三種安全屬性上都有所體現,因此本申請中的安全標記又被稱為三維的安全標記。如圖5所示,在每一維中可根據需求分為不同的安全等級。一個安全標記中可同時包含上述三種類型的安全標簽(即有三種安全屬性),但也可選擇其中的任意一種。若系統采用單維安全屬性,則系統控制規則按照機密性、完整性、可用性的所遵循的訪問控制規則。其規則如下①針對機密性安全屬性來說,若主體安全級小于客體安全級則為寫操作,若主體安全級別大于客體級別則為讀操作;②針對完整性安全屬性來說,若主體安全級別大于客體安全級別則為寫操作,若主體安全級別小于客體安全級別則為讀操作;③針對可用性安全屬性來說,若主體可用性安全級別大于客體可用性安全級別則為寫操作,若主體可用性安全級別小于客體可用性安全級別則為讀操作。若系統采用三維統一的安全屬性,系統的控制規則應遵循以下原則①讀允許當且僅且{(機密性讀允許)AND (完整性讀允許)AND (可用性讀允許)}。②寫允許當且僅且{(機密性寫允許)AND (完整性寫允許)AND (可用性寫允許)}。根據三維安全標記的讀寫規則,所形成的可用的訪問控制規則如下①若主體安全級為LLL,客體安全級為LLL,則主體對客體所允許的操作為rw ;若客體安全級為HLL、HLH、HHL、HHH,則不允許主體對客體的操作。②若主體安全級為HLL,客體為HLL,則主體對客體所允許的操作為rw ;若客體安全級為LLL、HLH、HHL、HHH,則主體對客體所允許的操作為w ;③若主體安全級為HLH,客體安全級為HLL,則主體對客體所允許的操作為r ;若客體安全級為HLH,則主體對客體所允許的操作為rw,若客體安全級為HHH,則主體對客體所允許的操作為w ;若客體安全級為LLL和HHL,則不允主體對客體的操作。④若主體安全級為HHL,客體安全級為HLL,則主體對客體所允許的操作為r ;若客體安全級為HHL則主體對客體所允許的操作為rw ;若客體安全級為HHH,則主體對客體所允許的操作為w ;若客體安全級為LLL和HLH,則不允許主體對客體的操作。
10
⑤若主體安全級為HHH,客體安全級為HLL,則主體對客體所允許的操作為r ;若客體安全級為HLH,則主體對客體所允許的操作為r ;若客體安全級為HHH,則主體對客體所允許的操作為rw ;若客體安全級為LLL,則不允許主體對客體的操作。上述的訪問規則中,L代表“低”,H代表“高”,安全級中的三個標志位分別代表機密性、完整性、可用性。上述的訪問控制規則也可以用規則函數表示,規則函數的形式為f(C,I,A),C表示機密性安全屬性參數,I表示完整性安全屬性參數,A表示可用性安全屬性參數,結果為主體的權限集。以上部分描述了主體在三維安全屬性下,對某一級別客體的訪問權限,其他未描述的部分表示未授權。安全標記的產生在要求有安全標記的多級信息系統中,主體、客體的安全標記要隨著主體、客體的產生而產生,當主體或是客體產生時必須為其分配相應的安全標記,系統才能夠實施正確的多級安全策略,進而對其進行訪問控制。下面分別對主體、客體的安全標記的產生方式進行說明。(1)客體安全標記的產生①如果新客體產生0是由主體S所產生,那么客體的安全標記繼承于主體的安全標記,其安全級別、范疇集應該與主體安全標記保持一致。②如果一個新客體0+是由已存在客體0新增加一些信息而生成的,那么客體0+的安全標記屬性必須高于客體0的安全標記,即由于客體0+中寫入了新的信息,所以其安全級別應高于原有客體0,其范疇集應該是客體0的范疇集的子集。③如果一個新客體0是由已存在客體O1與A組合而成,那么客體0的安全標記由O1與A的安全標記結合形成,新客體ο的安全級別應該是O1W2中較大的安全級別,其范疇集是Op O2范疇集的交集。以上原則給出了客體安全標記產生方法,基于這些原則滿足BLP強制訪問控制策略,通過上述原則,主體不允許產生一個安全標記屬性低于其主體的客體,即不能夠下寫;同樣可以保證主體不能夠進行上讀的操作。(2)主體安全標記的產生主體安全標記應該由安全中心管理員依據用戶、角色或設備等相應主體的職責與權限進行標記,指配相應的安全標記,并隨其安全屬性的變化而動態發生改變,主體安全標記也具有繼承的特性,比如代表用戶進程的主體可以具有與用戶一樣的安全標記屬性。(3)安全標記生成系統安全標記可以由安全標記生成系統自動生成,如圖6所示,安全標記生成系統中包含主、客體數據庫組件(SOD)、策略管理組件(PM)、安全標簽注冊組件(TR)、安全策略標識機制(PIM)、安全級選擇機制(SLFM)、標簽選擇機制(TR)以及安全標記的簽名。安全標記生成系統中主、客體數據庫中包含有多級信息系統中注冊的主客體,主體可以是用戶及代表用戶的進程等,客體可以是數據文件,也可以是網絡設備等;策略管理組件用于為主、客體配置相應的安全策略,生成適合的安全標記,使安全標記與安全策略相關;安全標簽注冊組件用于多級安全信息系統注冊相應的安全標簽,使得在一個安全域內安全標簽具有統一的標識意義,安全標簽中可以聲明安全安全策略,可以更加精確的實施訪問控制。安全標記的安全性保護
安全標記在產生時,由提供可信的安全標記服務的安全標記產生系統對安全標記進行可信性簽名,主要采用公開的數字簽名算法(SigAlg)和安全標記生成系統的私鑰Kprv進行加密,從而保證安全標記的可信性。為了保證安全標記的安全性,安全標記在應用過程中的組成應包括安全標記明文SUsecure label,安全標記)和安全標記數字簽名SigAlg(Kprv, H(SL))兩個部分。當數據安全傳輸時,將客體0和安全標記進行單向hash散列,得到散列值hash(0+SL),以確保安全標記與信息客體的一致性,避免在傳輸過程中安全標記冒用問題。安全標記與數據流綁定,實現多級信息系統間數據的安全傳輸在上述描述的基礎上,下面對不同安全級別的信息系統間如何利用所述的安全標記實現數據傳輸進行說明。在不同安全級別的信息系統間做數據傳輸時,對安全標記的使用有顯式與隱式之分。對安全標記的隱式使用是指通信雙方根據安全標記中的相關參數協商建立安全的通信信道(可被稱為標記安全通道),然后主體對客體的訪問受到此標記安全通道的保護,由此實現訪問控制檢查。對安全標記的顯式使用是指將安全標記寫入到數據流中,使之成為數據報文的一部分,當某一主體訪問客體時,攜帶自身的安全標記,通過從數據流中提取安全標記來判定此主體是否可以訪問某一個客體,從而完成網絡強制訪問控制。被顯式使用的安全標記也被稱為顯式安全標記,被隱式使用的安全標記也被稱為隱式安全標記。在本發明的一個實施例中,將對安全標記的顯式使用與隱式使用結合起來,實現不同安全級別的信息系統間的數據傳輸。為了便于理解,在對數據傳輸過程做詳細說明之前,首先對安全標記的隱式使用與對安全標記的顯式使用的實現細節進行說明。前文中已經提到,對安全標記的隱式使用需要在通信雙方之間建立標記安全通道。所述的標記安全通道是一個邏輯通道,在本發明的一個實施例中,標記安全通道建立在通信過程中的主體所在信息系統的區域邊界網關與客體所在信息系統的區域邊界網關之間。由于主體與客體的安全標記有多種安全級別,為了適應不同安全級別的主體與客體間的通信需求,標記安全通道也應當有多種類型,如絕密級安全隧道、機密級安全隧道、秘密級安全隧道、內文級安全隧道以及其他級別的安全隧道,針對不同級別的信息,可采用相應級別的標記通道進行保護。標記安全通道的類型主要由安全通道參數LSA((Labled secureassociaton,標記安全關聯)決定。主體與客體在進行數據通信時,將主體與客體的安全標記中的諸如安全級別的信息與所述標記安全通道的安全通道參數進行比較,從而決定選擇何種類型的標記安全通道。不同類型的標記安全通道的使用可以保證多級環境下不同密級數據流的隔離保護與多密級子網的劃分。對安全標記的顯式使用需要將安全標記寫入數據報文。顯而易見,在將安全標記寫入數據報文時,不應當影響數據報文的正常功能,因此,在本發明的一個實施例中,采用IP選項字段(IPSO)來攜帶安全標記,以實現數據流與安全標記的隨包傳遞,該字段通常用于網絡的測試和調試,對實際的通信沒有多大的影響。IP報頭的長度規定為40個字節,IP頭部固定為20字節,因此,安全選項的長度最大為20個字節。也就是說,本發明所描述的安全標記的最大長度為20個字節。若安全標記所攜帶的安全標簽長度超過20字節,則可將其有效地擴展到TCPSO、UDPSO、ICMPSO中。當然TCPSO、UDPSO, ICMPSO等需要開發者設
12計相應的安全通信協議,以保證安全標記在數據流中得到有效的實施,同時也保證數據的安全傳輸。在圖7中給出了 IPSO選項的數據格式。IPSO選項包括固定長度字段與可變長度字段,可變長度字段指的是安全標記中的安全標簽,因此對于超過20字節的安全標記信息來說,若拓展到TCPS0、UDPS0時,只可能為安全標簽。具體的說,IPSO選項格式的第一個字節為類型字段,固定值為133 ;第二部分為解釋域,占4個字節,它是安全域的唯一標識;后面部分為安全標記,包括安全標記的頭部和安全標簽部分,用于標識主體安全標記信息。安全標簽可定義多個,用于表示不同的安全標簽策略;安全標記最大長度為35個字節。在本發明的一個實施例中,安全標記密級的表示方法如表1所示,范疇的表示在之前已經有相應的說明。
權利要求
1.一種多級信息系統間的數據安全傳輸方法,包括步驟10)、一信息系統中的一主體向另一信息系統中的一客體發起訪問請求; 步驟20)、所述主體所在信息系統的區域邊界網關根據所述訪問請求中所包含的所述主體的安全標記判定是否要做安全性處理,當需要做安全性處理時,執行下一步,否則進一步判斷是直接通過該請求消息還是拒絕,若為直接通過,則轉入步驟40),若為拒絕,則丟棄該請求消息的數據包;其中,所述安全標記包括頭部分與安全標簽集,所述安全標簽集包括有至少一個安全標簽, 一個所述的安全標簽描述了至少一種安全標記實施策略;所述安全標簽包含安全標簽類型,所述安全標簽類型為機密性標簽、完整性標簽與可用性標簽中的一種;步驟30)、所述主體所在系統的區域邊界網關根據所述主體與所述客體的安全標記查找是否存在相應的標記安全通道,若不存在,創建新的標記安全通道,然后執行下一步,否則,直接執行下一步;步驟40)、將所述主體的安全標記中的信息寫入所述訪問請求的數據包的IP選項字段,然后將數據包通過所述標記安全通道轉發到所述客體所在的信息系統,由所述客體所在信息系統的區域邊界網關經由所述標記安全通道接收所述數據包;步驟50)、由所述客體的安全標記與所述主體的安全標記得到安全策略,將所述安全策略與所述主體所在信息系統的區域邊界網關的安全策略進行比較,在比較結果一致的前提下放行所述數據包,否則丟棄所述數據包;步驟60)、所述客體接收到數據包后,根據所述主體的安全標記、所述客體的安全標記以及訪問控制規則判斷所述主體對所述客體的操作類型,根據所述操作類型實現所述主體對所述客體的讀或寫。
2.根據權利要求1所述的多級信息系統間的數據安全傳輸方法,其特征在于,在所述的步驟10)與步驟20)之間,還包括步驟11)、所述主體所在信息系統的區域邊界網關對所述訪問請求消息的數據包做軌跡跟蹤處理,查找標記連接狀態表,得到返回值,若其返回值表示已經綁定到某一軌跡且符合標記連接狀態,則直接執行步驟40),若其返回值為新建狀態,那么查找主體安全標記,然后執行步驟20),若其返回值表示已綁定到某一軌跡,但不符合該軌跡狀態,則釋放此數據包;在所述的步驟20)中,還包括當該請求消息被拒絕時,將安全標記動態綁定到此會話連接,建立標記狀態連接表;在所述的步驟40)與步驟50)之間,還包括步驟41)、對所述數據包進行軌跡跟蹤處理,得到返回值,若所述返回值表示為已經綁定到某一軌跡且符合標記連接狀態,直接將數據包按照標記連接狀態中的處理方式進行處理;若返回值為新建狀態,執行步驟50);若返回值為已經綁定到某一軌跡且不符合標記連接狀態,則丟棄數據包;在所述步驟50)中還包括在丟棄所述數據包后,將安全標記動態綁定到此會話連接, 建立標記狀態連接表。
3.根據權利要求1或2所述的多級信息系統間的數據安全傳輸方法,其特征在于,在所述的步驟30)中,所述的創建新的標記安全通道包括步驟30-1)、所述主體所在信息系統的區域邊界網關發送建立標記安全通道的請求消息到所述客體所在信息系統的區域邊界網關;該請求消息包括所述主體的安全標記信息, 所述客體的標識信息;步驟30-2)、所述客體所在信息系統的區域邊界網關查找所述客體的安全標記,結合所述主體的安全標記決定是否允許建立所述標記安全通道,若允許,發送響應消息給所述主體所在信息系統的區域邊界網關;所述響應消息包括所述標記安全通道的級別、算法在內的標記安全通道參數;步驟30-3)、所述主體所在信息系統的區域邊界網關獲得標記安全通道參數后,向所述客體所在信息系統的區域邊界網關返回確認消息,建立所述的標記安全通道。
4.根據權利要求3所述的多級信息系統間的數據安全傳輸方法,其特征在于,所述主體所在信息系統的區域邊界網關與所述客體所在信息系統的區域邊界網關各自對所發送的消息進行加密,對所接收的消息進行解密。
5.根據權利要求1或2所述的多級信息系統間的數據安全傳輸方法,其特征在于,在所述的步驟40)中,在將所述主體的安全標記中的信息寫入所述訪問請求的數據包的選項字段后,還包括對所述數據包進行加密、認證、封裝的操作,然后再將數據包通過所述標記安全通道轉發到所述客體所在的信息系統;在所述步驟40)中,所述客體所在信息系統的區域邊界網關經由所述標記安全通道接收所述數據包時,還要對所述數據包做解密、認證、解封裝的操作。
6.根據權利要求1或2所述的多級信息系統間的數據安全傳輸方法,其特征在于,所述的訪問控制規則包括①若主體安全級為LLL,客體安全級為LLL,則主體對客體所允許的操作為可讀可寫; 若客體安全級為HLL、HLH、HHL、HHH,則不允許主體對客體的操作;②若主體安全級為HLL,客體為HLL,則主體對客體所允許的操作為可讀可寫;若客體安全級為LLL、HLH、HHL、HHH,則主體對客體所允許的操作為可寫;③若主體安全級為HLH,客體安全級為HLL,則主體對客體所允許的操作為可讀;若客體安全級為HLH,則主體對客體所允許的操作為可讀可寫,若客體安全級為HHH,則主體對客體所允許的操作為可寫;若客體安全級為LLL和HHL,則不允主體對客體的操作;④若主體安全級為HHL,客體安全級為HLL,則主體對客體所允許的操作為可讀;若客體安全級為HHL則主體對客體所允許的操作為可讀可寫;若客體安全級為HHH,則主體對客體所允許的操作為可寫;若客體安全級為LLL和HLH,則不允許主體對客體的操作;⑤若主體安全級為HHH,客體安全級為HLL,則主體對客體所允許的操作為可讀;若客體安全級為HLH,則主體對客體所允許的操作為可讀;若客體安全級為HHH,則主體對客體所允許的操作為可讀可寫;若客體安全級為LLL,則不允許主體對客體的操作;其中,L表示低,H表示高。
全文摘要
本發明提供了一種多級信息系統間的數據安全傳輸方法,包括主體所在信息系統的區域邊界網關根據訪問請求中所包含的主體的安全標記判定是否要做安全性處理;主體所在系統的區域邊界網關根據所述主體與客體的安全標記查找是否存在相應的標記安全通道,若不存在,創建新的標記安全通道,然后執行下一步,否則,直接執行下一步;將主體的安全標記中的信息寫入訪問請求的數據包的IP選項字段,然后將數據包通過標記安全通道轉發到客體所在的信息系統,由其區域邊界網關經由標記安全通道接收數據包;將安全策略進行比較,比較結果一致則放行數據包,否則丟棄;客體接收到數據包后,判斷主體對客體的操作類型,根據操作類型實現主體對客體的讀或寫。
文檔編號H04L29/06GK102368760SQ20101061798
公開日2012年3月7日 申請日期2010年12月31日 優先權日2010年12月31日
發明者孫奕, 張紅旗, 曹利峰, 杜學繪, 王超, 陳性元 申請人:中國人民解放軍信息工程大學