[发明专利]一种基于业务安全标记的网络数据传输控制方法及装置

权利要求书

1.一种基于业务安全标记的网络数据传输控制方法，通过识别网络数据包带有的业务安全标记，并根据标记中的安全级别、业务类别在内的业务安全属性信息对网络数据进行相应的控制，从而基于业务层面的安全要求在网络层面高效实现数据的细粒度管控，包括以下步骤：

配置网络装置的标记控制策略，该标记控制策略为基于网络数据包的业务安全标记定义相关规则，以对网络数据进行管控；业务安全标记为包含多种业务安全属性的多元组M=C,G，其中C为安全级别，G为业务安全属性集合，该业务安全属性集合G包括业务类别、工作组、角色、环境要求；业务安全标记包括信息对象的业务安全标记M(r)=C_r, G_r 和系统对象的业务安全标记M(o)=C_o,G_o，其中信息对象包括数据，系统对象包括应用、服务、进程；

网络数据包通过网络装置时，网络装置识别数据包是否带有业务安全标记，如果数据包不带有业务安全标记，则对数据包记录日志或做其他处理；

如果数据包带有业务安全标记，则网络装置根据配置的标记控制策略对数据包的业务安全标记进行匹配检查，如果检查通过，则放行，否则对数据包记录日志或做其他处理。

2.如权利要求1所述的方法，其特征在于，M(o)与M(r)之间的关系有两种：支配与不可比；当C_o ≥ C_r且G_o⊇G_r，记为M(o)≥M(r)，则M(o)与M(r)之间具有支配关系，表示系统对象可支配信息对象；如果M(o)与M(r)之间不存在支配关系，则二者之间为不可比关系，表示系统对象无权支配信息对象。

3. 如权利要求1所述的方法，其特征在于，标记控制策略表示为R=C, G，其中，R为标记控制策略，该式子表示满足指定属性的信息对象的集合。

4.如权利要求3所述的方法，其特征在于，为网络装置s配置标记控制策略R_s=C_s, G_s，R_s指定的信息对象的业务安全标记为M(s)=C_s, G_s，当C_s ≥ C_r且G_s⊇G_r，记为M(s)≥M(r)，若M(s)≥M(r)，表示标记匹配检查通过。

5.如权利要求1所述的方法，其特征在于，所述其他处理包括告警、转发、丢弃或忽略。