[发明专利]多级信息系统间的数据安全传输方法

说明书

技术领域

本发明涉及等级保护领域，特别涉及多级信息系统间的数据安全传输方法。

背景技术

等级保护作为国家致力推行的一项政策，已逐渐作为一种信息安全防护的手段，成为信息安全领域研究的重要内容。它依据信息系统的使命与目标，根据系统重要程度，将信息系统划分为不同的安全等级，并综合平衡安全成本和风险，形成不同等级的安全措施，实现对信息系统的安全保护。

在《计算机信息系统安全保护等级划分准则》(GB 17859)中，我国将计算机信息系统安全保护能力划分为五个等级，即：用户自主保护级(第一级)、系统审计保护级(第二级)、安全标记保护级(第三级)、结构化保护级(第四级)、访问验证保护级(第五级)。2007年国家基本完成了信息系统的定级工作，今后的主要任务是为信息系统的安全进行整改建设，这也标志着我国等级保护工作的全面实施。但是，信息系统在安全整改后势必会造成信息的孤岛，这与信息化建设中信息交换的实际相违背。因此，如何在系统定级后保持不同安全等级或同等级的信息系统之间的互联互通，是面向等级保护的系统安全整改工作必须解决的关键问题。

根据信息系统的定级结果来看，全国三级信息系统多达五万多个，而三级以上信息系统必须要具有安全标记功能。因此，研究安全标记对我国信息系统的整改工作具有非常重要的意义，它是多等级信息系统间安全互联的基础。

针对安全标记方面的研究，国外的研究比较多，主要集中在多级安全(MLS)方面的研究。Bell DE与LaPadula L J在1973年《Secure computersystem：a mathematical model》以及Biba K j在1977年《Integrityconsiderations for secure computer systems》中提出的BLP和BIBA模型都将安全标记定义为主体、客体的一个安全属性，它包括级别和范畴。其中，级别是指主体、客体的等级，通常包括机密、秘密、公开等，而范畴是指主体、客体活动的范围。通过安全标记的上述属性能够完成数据的机密性和完整性保护，但是其仅仅限制在了敏感级别、范畴集，对其他的安全属性带来的影响并没有进行必要的说明。此外，在这两个模型中，也未阐述安全标记与信息、数据流如何绑定的问题。

RFC1457(Security Label Framework for the Internet，互联网安全标记框架)中将安全标记定义为机密性安全标记、完整性标记，在其文档中说明了如何实现对数据的机密性与完整性保护，并给出了安全标记的作用与目的。但是在其安全标记中，机密性与完整性是分开进行定义与说明的，并未指出安全标记具体还涵盖哪些内容，未能实现机密性与完整性的统一。此外，文档只是大概说明了在OSI七层结构中标记在每一层的实现方式与作用，并简要说明了中间节点与端系统处理标记数据的方式，但是互联网发展到今天，文献中的许多内容已经不适合或是不能在现今网络中应用，文献中也并没有给出安全标记的具体内容与格式，以及安全标记的具体实施方法。

FIPS PUB 188(Standard Security Label for Information Transfer，信息传输安全标记)中定义了安全标记的格式，并进行了说明，但是其定义还存在一些局限性，未能实现多维安全属性标记的统一，而且在多级安全策略实施中，还存在着灵活性差的问题，同时也未阐述安全标记如何与数据流进行绑定以及安全性问题。

国内对安全标记的研究，侧重于BLP、BIBA模型中安全标记的应用，应用研究的对象主要为操作系统，并没有将安全标记的限定信息的读写拓展到网络当中，这显然无法满足我国保护多级信息系统安全互联的需求。

发明内容

本发明的目的是克服现有技术中的安全标记的维度少，缺乏如何利用安全标记进行数据传输的相关方法的缺陷，从而提供一种利用安全标记实现多级信息系统间的数据安全传输的方法。

为了实现上述目的，本发明提供了一种多级信息系统间的数据安全传输方法，包括：

步骤10)、一信息系统中的一主体向另一信息系统中的一客体发起访问请求；

步骤20)、所述主体所在信息系统的区域边界网关根据所述访问请求中所包含的所述主体的安全标记判定是否要做安全性处理，当需要做安全性处理时，执行下一步，否则进一步判断是直接通过该请求消息还是拒绝，若为直接通过，则转入步骤40)，若为拒绝，则丢弃该请求消息的数据包；其中，