[发明专利]一种制播系统的信息安全访问控制方法及装置

说明书

技术领域

本申请涉及制播系统安全技术领域，尤其涉及一种制播系统的信息安全访问控制方法及装置。

背景技术

访问控制是计算机保护中极其重要的一环，它是在身份识别的基础上，根据访问发起者的身份对提出的资源访问请求加以控制。在访问控制中，需要进行访问控制的各种资源称为客体，如文件、设备、信号量等；访问发起者称为主体，如进程、应用程序或用户等；第三个元素为访问控制规则，它定义了主体与客体间可能的相互作用途径。

现阶段较为常用的访问控制方案为强制访问控制(MAC，Mandatory Access Control)，它是由系统强制主体服从访问控制策略，也即，由系统对用户创建的对象，按照预设规则控制用户权限及操作对象的访问。在MAC中，每个用户及文件都被赋予一定的安全级别，只有系统管理员才可以确定用户的访问权限，系统通过比较用户和访问文件的安全级别来决定用户是否可以访问该文件。

现有技术不足在于：

MAC对于专用系统或简单系统较为有效，而对于较为复杂的制播系统并不适用，无法根据不同的业务流程进行全流程的访问控制。

发明内容

本申请实施例提出了一种制播系统的信息安全访问控制方法及装置，以解决现有技术中MAC不适用于较为复杂的制播系统、无法根据不同的业务流程进行全流程的访问控制的技术问题。

本申请实施例提供了一种制播系统的信息安全访问控制方法，所述制播系统包括播出系统和外部系统，包括如下步骤：

通过外部系统与播出系统之间预先建立的可信互连隧道并按照预先配置的开放协议和端口，接收所述外部系统发送的客体，所述可信互连隧道为外部系统和播出系统利用预先部署的可信互连部件建立的，所述可信互连部件为节点之间经可信认证后在节点之间建立可信互连隧道的部件；

当所述客体经过播出系统的边界时，通过预先部署的网络隔离交换组件对所述客体进行访问控制；

在播出系统内不同的业务流程中业务流经的节点通过预先部署的可信互连部件和标记与强制访问控制部件，对业务流程的每个环节进行不同的访问控制；所述标记与强制访问控制部件为标记对客体有操作权限的主体并根据所述标记进行访问控制的部件。

本申请实施例还提供了一种制播系统的信息安全访问控制装置，所述制播系统包括播出系统和外部系统，包括：

接收模块，用于通过外部系统与播出系统之间预先建立的可信互连隧道并按照预先配置的开放协议和端口，接收所述外部系统发送的客体；所述可信互连隧道为外部系统和播出系统利用预先部署的可信互连部件建立的，所述可信互连部件为节点之间经可信认证后在节点之间建立可信互连隧道的部件；

边界访问控制模块，用于当所述客体经过播出系统的边界时，通过预先部署的网络隔离交换组件对所述客体进行访问控制；

业务访问控制模块，用于在播出系统内不同的业务流程中业务流经的节点通过预先部署的可信互连部件和标记与强制访问控制部件，对业务流程的每个环节进行不同的访问控制；所述标记与强制访问控制部件为标记对客体有操作权限的主体并根据所述标记进行访问控制的部件。

有益效果如下：

本申请实施例所提供的信息安全访问控制方法及装置，通过外部系统与播出系统之间预先建立的可信互连隧道并按照预先配置的开放协议和端口，接收所述外部系统发送的客体；所述可信互连隧道为外部系统和播出系统利用预先部署的可信互连部件建立的，所述可信互连部件为节点之间经可信认证后在节点之间建立可信互连隧道的部件；当所述客体经过播出系统的边界时，通过预先部署的网络隔离交换组件对所述客体进行访问控制；在播出系统内不同的业务流程中业务流经的节点通过预先部署的可信互连部件和标记与强制访问控制部件，对业务流程的每个环节进行不同的访问控制；所述标记与强制访问控制部件为标记对客体有操作权限的主体并根据所述标记进行访问控制的部件。由于本申请实施例通过预先配置的开放协议和端口、部署的网络隔离交换组件对客体进行接收和访问控制，并在播出系统与外部媒资系统之间、播出系统内各节点之间根据不同的业务流程通过预先部署的可信互连部件，在不同的业务流程中不同节点间均建立了可信互连隧道，在协议、端口、边界以及通信隧道等方面进行了访问控制，确保安全通信；其次，本申请实施例还根据不同的业务流程通过预先部署的标记与强制访问控制部件实现了主、客体的权限控制；相比现有的强制访问控制，本申请实施例所提供的技术方案可以在制播系统中将访问控制机制与业务流程相结合，按照业务流程的不同环节由相应环节的安全机制实施访问控制，从而实现全流程的访问控制。