一種制播系統的信息安全訪問控制方法及裝置的制造方法
【技術領域】
[0001] 本申請設及制播系統安全技術領域,尤其設及一種制播系統的信息安全訪問控制 方法及裝置。
【背景技術】
[0002] 訪問控制是計算機保護中極其重要的一環,它是在身份識別的基礎上,根據訪問 發起者的身份對提出的資源訪問請求加W控制。在訪問控制中,需要進行訪問控制的各種 資源稱為客體,如文件、設備、信號量等;訪問發起者稱為主體,如進程、應用程序或用戶等; 第=個元素為訪問控制規則,它定義了主體與客體間可能的相互作用途徑。
[0003] 現階段較為常用的訪問控制方案為強制訪問控制(MAC,MandatoryAccess Control),它是由系統強制主體服從訪問控制策略,也即,由系統對用戶創建的對象,按照 預設規則控制用戶權限及操作對象的訪問。在MAC中,每個用戶及文件都被賦予一定的安 全級別,只有系統管理員才可W確定用戶的訪問權限,系統通過比較用戶和訪問文件的安 全級別來決定用戶是否可W訪問該文件。
[0004] 現有技術不足在于:
[0005] MAC對于專用系統或簡單系統較為有效,而對于較為復雜的制播系統并不適用,無 法根據不同的業務流程進行全流程的訪問控制。
【發明內容】
[0006] 本申請實施例提出了一種制播系統的信息安全訪問控制方法及裝置,W解決現有 技術中MC不適用于較為復雜的制播系統、無法根據不同的業務流程進行全流程的訪問控 制的技術問題。
[0007] 本申請實施例提供了一種制播系統的信息安全訪問控制方法,所述制播系統包括 播出系統和外部系統,包括如下步驟:
[000引通過外部系統與播出系統之間預先建立的可信互連隧道并按照預先配置的開放 協議和端口,接收所述外部系統發送的客體,所述可信互連隧道為外部系統和播出系統利 用預先部署的可信互連部件建立的,所述可信互連部件為節點之間經可信認證后在節點之 間建立可信互連隧道的部件;
[0009] 當所述客體經過播出系統的邊界時,通過預先部署的網絡隔離交換組件對所述客 體進行訪問控制;
[0010] 在播出系統內不同的業務流程中業務流經的節點通過預先部署的可信互連部件 和標記與強制訪問控制部件,對業務流程的每個環節進行不同的訪問控制;所述標記與強 制訪問控制部件為標記對客體有操作權限的主體并根據所述標記進行訪問控制的部件。
[0011] 本申請實施例還提供了一種制播系統的信息安全訪問控制裝置,所述制播系統包 括播出系統和外部系統,包括:
[0012] 接收模塊,用于通過外部系統與播出系統之間預先建立的可信互連隧道并按照預 先配置的開放協議和端口,接收所述外部系統發送的客體;所述可信互連隧道為外部系統 和播出系統利用預先部署的可信互連部件建立的,所述可信互連部件為節點之間經可信認 證后在節點之間建立可信互連隧道的部件;
[0013] 邊界訪問控制模塊,用于當所述客體經過播出系統的邊界時,通過預先部署的網 絡隔離交換組件對所述客體進行訪問控制;
[0014] 業務訪問控制模塊,用于在播出系統內不同的業務流程中業務流經的節點通過預 先部署的可信互連部件和標記與強制訪問控制部件,對業務流程的每個環節進行不同的訪 問控制;所述標記與強制訪問控制部件為標記對客體有操作權限的主體并根據所述標記進 行訪問控制的部件。
[001引有益效果如下;
[0016] 本申請實施例所提供的信息安全訪問控制方法及裝置,通過外部系統與播出系統 之間預先建立的可信互連隧道并按照預先配置的開放協議和端口,接收所述外部系統發送 的客體;所述可信互連隧道為外部系統和播出系統利用預先部署的可信互連部件建立的, 所述可信互連部件為節點之間經可信認證后在節點之間建立可信互連隧道的部件;當所 述客體經過播出系統的邊界時,通過預先部署的網絡隔離交換組件對所述客體進行訪問控 審IJ;在播出系統內不同的業務流程中業務流經的節點通過預先部署的可信互連部件和標記 與強制訪問控制部件,對業務流程的每個環節進行不同的訪問控制;所述標記與強制訪問 控制部件為標記對客體有操作權限的主體并根據所述標記進行訪問控制的部件。由于本申 請實施例通過預先配置的開放協議和端口、部署的網絡隔離交換組件對客體進行接收和訪 問控制,并在播出系統與外部媒資系統之間、播出系統內各節點之間根據不同的業務流程 通過預先部署的可信互連部件,在不同的業務流程中不同節點間均建立了可信互連隧道, 在協議、端口、邊界W及通信隧道等方面進行了訪問控制,確保安全通信;其次,本申請實施 例還根據不同的業務流程通過預先部署的標記與強制訪問控制部件實現了主、客體的權限 控制;相比現有的強制訪問控制,本申請實施例所提供的技術方案可W在制播系統中將訪 問控制機制與業務流程相結合,按照業務流程的不同環節由相應環節的安全機制實施訪問 控制,從而實現全流程的訪問控制。
【附圖說明】
[0017] 下面將參照附圖描述本申請的具體實施例,其中:
[001引圖1示出了本申請實施例中制播系統的信息安全訪問控制方法實施的流程示意 圖;
[0019] 圖2示出了本申請實施例中制播系統的框架示意圖;
[0020] 圖3示出了本申請實施例中制播系統的播出整備業務流程示意圖;
[0021] 圖4示出了本申請實施例中制播系統的節目單業務流程示意圖;
[0022] 圖5示出了本申請實施例中制播系統的播出控制流程示意圖;
[0023] 圖6示出了本申請實施例中制播系統的信息安全訪問控制裝置的結構示意圖。
【具體實施方式】
[0024] 為了使本申請的技術方案及優點更加清楚明白,W下結合附圖對本申請的示例性 實施例進行進一步詳細的說明,顯然,所描述的實施例僅是本申請的一部分實施例,而不是 所有實施例的窮舉。并且在不沖突的情況下,本說明中的實施例及實施例中的特征可W互 相結合。
[0025] 本申請實施例中各術語的名詞解釋:
[0026] 可信互連部件:節點之間實施可信度檢驗,并建立可信連接的技術措施或設備;
[0027] 可信互連隧道;節點之間實施可信互連所建立的安全通信隧道;
[002引標記與強制訪問控制部件;對系統內主體和客體進行標記,并根據需求實施強制 訪問控制的技術措施或設備;
[0029] 標記;表示客體安全級別并描述客體數據敏感性的一組信息,作為強制訪問控制 決策的依據;
[0030] 其中,標記的生成可W通過對可信度、敏感度等參數進行計算得到,具體的計算方 式可W采用現有的算法,本申請對此不作限制。
[0031] 針對現有技術的不足,本申請實施例提出了一種制播系統的信息安全訪問控制方 法及裝置,下面進行說明。
[0032] 圖1示出了本申請實施例中制播系統的信息安全訪問控制方法實施的流程示意 圖,所述制播系統包括播出系統和外部系統,如圖所示,信息安全訪問控制方法可W包括如 下步驟:
[0033] 步驟101、通過外部系統與播出系統之間預先建立的可信互連隧道并按照預先配 置的開放協議和端口,接收所述外部系統發送的客體,所述可信互連隧道為外部系統和播 出系統利用預先部署的可信互連部件建立的,所述可信互連部件為節點之間經可信認證后 在節點之間建立可信互連隧道的部件;
[0034] 步驟102、當所述客體經過播出系統的邊界時,通過預先部署的網絡隔離交換組件 對所述客體進行訪問控制;
[0035] 步驟103、在播出系統內不同的業務流程中業務流經的節點通過預先部署的可信 互連部件和標記與強制訪問控制部件,對業務流程的每個環節進行不同的訪問控制;所述 標記與強制訪問控制部件為標記對客體有操作權限的主體并根據所述標記進行訪問控制 的部件。
[0036] 其中,主體可W是指進程、應用程序或者用戶,客體可W是指節目視頻文件、節目 單等可W被主體訪問的