技術領域

本發明屬于計算機信息安全技術領域，特別是涉及一種基于網絡標簽通信的分級分域訪問控制方法和系統。

背景技術

涉密信息系統分級保護是以系統所處理信息的最高密級來確定安全等級的，在合理劃分安全域邊界安全可控的情況下，各安全域可根據涉密高定級單獨定級，實施“分域分級防護”的策略，從而保障信息安全。目前現有的分級分域訪問控制大多是基于權限的用戶層分級分域訪問控制方法，該方法無法實現終端分級分域管理。

發明內容

本發明所要解決的技術問題是提供一種基于網絡標簽通信的分級分域訪問控制方法和系統，區別于普通的基于權限的用戶層分級分域訪問控制，本發明不僅能夠實現分級分域訪問控制功能，而且能夠保障網絡數據安全。

本發明解決其技術問題所采用的技術方案是：一種基于網絡標簽通信的分級分域訪問控制方法，具體包括以下步驟：

1) 終端在IP數據包發送前根據終端內部配置策略確認數據是否能夠發送，如果能夠發送對待發送的IP數據包追加設備標簽數據后發送；

2) 終端在接收IP數據包時驗證設備標簽數據，根據終端內部配置策略判斷IP包是否能夠接收，如果設備標簽數據合法則解除標簽數據，接收IP數據包，否則丟棄此IP包；

所述標簽數據包括網絡域標識、網絡級別標識、主體標識和訪問權限。

優選的，所述步驟1）之前還包括策略管理系統配置終端訪問控制策略步驟，具體包括配置終端所在網絡域劃分、網絡級別指定、運行主體指定、通信協議、接入接出控制、終端之間訪問控制。

優選的，所述配置終端訪問控制策略步驟之前還包括終端客戶端下載安裝注冊步驟，具體包括以下子步驟：

31）終端下載策略管理系統提供的終端客戶端安裝包；

32）終端對下載好的客戶端安裝包執行安裝；

33）終端在安裝過程中將終端注冊到策略管理系統中，同時在終端內加載相關訪問控制引擎。

優選的，還包括終端客戶端定時向策略管理系統請求更新策略信息步驟。

優選的，所述的標簽數據來源于策略管理系統。

本發明解決其技術問題所采用的技術方案是：還提供一種基于網絡標簽通信的分級分域訪問控制系統，終端內部包括發送單元，所述發送單元用于在IP數據包發送前根據終端內部配置策略確認數據是否能夠發送，如果能夠發送對待發送的IP數據包追加設備標簽數據后發送；終端內部還包括接收單元，所述接收單元在接收IP數據包時驗證設備標簽數據，根據終端內部配置策略判斷IP包是否能夠接收，如果設備標簽數據合法則解除標簽數據，接收IP數據包，否則丟棄此IP包；所述標簽數據包括網絡域標識、網絡級別標識、主體標識、訪問權限。

優選的，還包括策略管理系統，所述策略管理系統用于配置終端訪問控制策略，具體包括配置終端所在網絡域劃分、網絡級別指定、運行主體指定、通信協議、接入接出控制、終端之間訪問控制。

優選的，所述終端在策略管理系統配置終端之前下載策略管理系統提供的終端客戶端安裝包，并執行安裝，終端在安裝過程中將終端注冊到策略管理系統中，同時在終端內加載相關訪問控制引擎。

優選的，還包括終端客戶端策略更新單元，用于終端客戶端定時向策略管理系統請求更新策略信息步驟。

優選的，所述的標簽數據來源于策略管理系統。

有益效果

由于采用了上述的技術方案，本發明與現有技術相比，具有以下的優點和積極效果：

第一：能夠實現終端分級分域管理

通過策略管理系統對終端指定網絡域、網絡級別，終端在發送數據時依據自身策略和目標終端域、級別標識判斷IP數據包是否能夠發送到目標終端；終端在接收數據時依據自身策略和源終端域、級別標識判斷IP數據包是否能夠接收；如此實現低級別域內終端數據單向流入高級別域，同級別域終端可以雙向訪問等訪問控制。

第二：能夠保障網絡數據安全

通過IP數據增加網絡標簽數據通信，在網絡傳輸的IP數據只有被管理的終端能夠識別，普通未被管理的終端無法識別，提升了網絡數據安全性。

附圖說明

圖1是本發明基于網絡標簽通信的分級分域訪問控制系統結構圖。

具體實施方式

下面結合具體實施例，進一步闡述本發明。應理解，這些實施例僅用于說明本發明而不用于限制本發明的范圍。此外應理解，在閱讀了本發明講授的內容之后，本領域技術人員可以對本發明作各種改動或修改，這些等價形式同樣落于本申請所附權利要求書所限定的范圍。