[发明专利]一种网络配置数据中继分发传输系统及方法

权利要求书

1.一种网络配置数据中继分发传输系统，其特征在于，包括：二系统安全互联装置和集中安全管理中心；

所述二系统安全互联装置包括互联仲裁系统、互联子系统，内部隔离传输子系统；

所述互联仲裁系统可根据主客体的安全标记来仲裁是否可以进行互联访问；在系统中引入具有可信度检查能力的主体，通过检查主体，对客体进行动态的调整以使主客体的级别在保证了系统保密性的同时，利用可信度标识和约束条件来保护系统的完整性；

所述互联子系统结合可信计算，采用白名单机制建立一个安全机制之间符合安全需求的通信路径；

所述内部隔离传输子系统是由互联双方效验成功后进行可信认证，认证通过后双方建立加密传输方式的系统；

所述集中安全管理中心为应用系统中的自然人、安全防护设备及关键的进程、模块制定主客体的安全标记，并将应用系统中的主客体信息，按照一定转换规则转换后，同步到二系统安全互联装置中，由二系统安全互联装置根据标记实现强制访问控制；所述集中安全管理中心与所述二系统安全互联装置的互联仲裁系统相连，对互联仲裁系统的配置数据集中管理中心直接下发，集中安全管理中心与互联子系统无直接数据交互路径，所述互联子系统的配置数据，由集中安全管理中心下发给互联仲裁系统，再由互联仲裁系统中继通过内部隔离传输子系统分发给互联子系统。

2.根据权利要求1所述的网络配置数据中继分发传输系统，其特征在于，所述集中安全管理中心包括后台管理页面模块、数据存储模块、客户端代理模块；

所述后台管理页面模块用于对集中安全管理中心进行管理和配置；

所述数据存储模块根据业务系统的需要，结合客体资源的重要程度确定系统中所有客体资源的安全级，生成全局客体标记列表；同时根据用户在业务系统中的权限和角色确定主体的安全标记，生成全局主体标记列表；

所述客户端代理模块根据集中安全管理中心的需求生成和执行主体相关的策略，在相应的计算节点执行相关策略。

3.根据权利要求1所述的网络配置数据中继分发传输系统，其特征在于，所述互联仲裁系统包括配置数据子模块、信息封装子模块、审计子模块以及协议转换子模块；

所述配置数据子模块对所有主体和客体实施身份管理、标记管理、授权管理和策略管理；

所述信息封装子模块确定系统中的所有合法用户的身份、工作密钥及证书与安全相关的内容；

所述审计子模块对身份认证、访问控制安全机制的仲裁结果进行记录；

所述协议转换子模块根据采用的通信安全机制，建立相应的加密传输方式。

4.根据权利要求1所述的网络配置数据中继分发传输系统，其特征在于，所述互联子系统包括信息封装子模块和协议转换子模块；

所述信息封装子模块确定系统中的所有合法用户的身份、工作密钥及证书与安全相关的内容；

所述协议转换子模块根据采用的通信安全机制，建立相应的加密传输方式；

所述协议转换子模块根据信息封装子模块的用户身份、工作密钥及证书与安全相关的内容建立相应的加密传输方式。

5.根据权利要求1所述的网络配置数据中继分发传输系统，其特征在于，所述内部隔离传输子系统在由外部代理模块、内部代理模块和隔离部件构成，外部代理模块与外部信息系统相连，为外部信息系统与内部信息系统互联提供代理服务；内部代理模块与内部信息系统相连，为内部信息系统与外部信息系统互联提供代理服务；隔离部件与内部代理模块、外部代理模块相连，为内外部二个信息系统互联提供策略执行。

6.一种网络配置数据中继分发传输方法，其特征在于，所述方法基于权利要求1-5中任一项所述的网络配置数据中继分发传输系统实施，其包括：

（1）当集中管理中心下发互联仲裁系统用户配置数据时，集中管理中心与互联仲裁系统直接交互，下发用户配置数据；

（2）当集中管理中心下发互联子系统配置数据时，集中管理中心与互联仲裁系统交互，将互联子系统配置数据下发给互联仲裁系统，互联仲裁系统接受到互联子系统配置数据后，通过内部隔离传输子系统将互联子系统的配置数据下发给互联子系统；

（3）当集中管理中心同时下发互联仲裁系统和互联子系统配置数据时，集中管理中心与互联仲裁系统交互，将互联仲裁系统配置数据和互联子系统配置数据下发给互联仲裁系统，互联仲裁系统识别配置数据类型，自身配置数据直接处理，互联子系统配置数据，通过内部隔离传输子系统将互联子系统的配置数据下发给互联子系统。