[发明专利]多级信息系统间的数据安全传输方法

摘要

本发明提供了一种多级信息系统间的数据安全传输方法，包括：主体所在信息系统的区域边界网关根据访问请求中所包含的主体的安全标记判定是否要做安全性处理；主体所在系统的区域边界网关根据所述主体与客体的安全标记查找是否存在相应的标记安全通道，若不存在，创建新的标记安全通道，然后执行下一步，否则，直接执行下一步；将主体的安全标记中的信息写入访问请求的数据包的IP选项字段，然后将数据包通过标记安全通道转发到客体所在的信息系统，由其区域边界网关经由标记安全通道接收数据包；将安全策略进行比较，比较结果一致则放行数据包，否则丢弃；客体接收到数据包后，判断主体对客体的操作类型，根据操作类型实现主体对客体的读或写。

主权项

一种多级信息系统间的数据安全传输方法，包括：步骤10)、一信息系统中的一主体向另一信息系统中的一客体发起访问请求；步骤20)、所述主体所在信息系统的区域边界网关根据所述访问请求中所包含的所述主体的安全标记判定是否要做安全性处理，当需要做安全性处理时，执行下一步，否则进一步判断是直接通过该请求消息还是拒绝，若为直接通过，则转入步骤40)，若为拒绝，则丢弃该请求消息的数据包；其中，所述安全标记包括头部分与安全标签集，所述安全标签集包括有至少一个安全标签，一个所述的安全标签描述了至少一种安全标记实施策略；所述安全标签包含安全标签类型，所述安全标签类型为机密性标签、完整性标签与可用性标签中的一种；步骤30)、所述主体所在系统的区域边界网关根据所述主体与所述客体的安全标记查找是否存在相应的标记安全通道，若不存在，创建新的标记安全通道，然后执行下一步，否则，直接执行下一步；步骤40)、将所述主体的安全标记中的信息写入所述访问请求的数据包的IP选项字段，然后将数据包通过所述标记安全通道转发到所述客体所在的信息系统，由所述客体所在信息系统的区域边界网关经由所述标记安全通道接收所述数据包；步骤50)、由所述客体的安全标记与所述主体的安全标记得到安全策略，将所述安全策略与所述主体所在信息系统的区域边界网关的安全策略进行比较，在比较结果一致的前提下放行所述数据包，否则丢弃所述数据包；步骤60)、所述客体接收到数据包后，根据所述主体的安全标记、所述客体的安全标记以及访问控制规则判断所述主体对所述客体的操作类型，根据所述操作类型实现所述主体对所述客体的读或写。