本發明涉及一種應用級安全跨域通信方法及系統，對信息標記安全標簽，基于安全標簽對信息進行安全審查，從而在實現信息跨域傳輸的同時滿足安全要求；所述跨域通信是指在執行不同安全策略的兩個或者多個網絡/區域之間進行信息傳輸；所述安全標簽是和信息綁定的一段數字實體，記錄了信息的安全級別、安全類別、安全標簽顯示屬性及自定義擴展信息。

技術領域

本發明涉及通信技術領域，具體涉及跨域通信技術方法及系統。

背景技術

隨著網絡技術的發展，處于不同網絡域的同一組織以及不同組織之間存在跨域共享部分信息以進行協同工作的需求。針對該問題，CN200510070361.4提出了一種基于媒體網關的跨域通信方法，解決了不同IP域之間的媒體流接續的跨域通信問題。CN201310634790.4給出了一種解決不同運營商之間用戶信息共享的方法，基于接收者賬號信息信息判斷目標接收類型，并基于目標接收類型采用不同跨域通信方法進行通信。CN201410433474.5、CN201410508440.8主要解決網頁訪問時跨域通信問題。上述方案均只是解決如何進行跨域信息共享，并共享的信息進行控制。CN200910260082.2提出了一種SIP視頻監控系統跨域訪問安全方法，該方法主要是對跨域通信服務器身份進行驗證，抵抗了仿冒服務器攻擊和重放攻擊，并且解決了跨域訪問用戶單點登錄的問題。CN201410664196.4通過在兩個不同域中的服務器之間建立VPN端口，并進行加密傳輸，保證跨域通信的機密性、完整性以及不可抵賴性。

綜上可治，現有的安全跨域通信方法存在如下問題：(1)偏重于解決如何進行跨域通信，對跨域傳輸的信息內容并未進行審查；(2)現有安全跨域通信方法偏重于對跨域數據的完整性、機密性以及不可抵賴性進行保護，無法對信息流向進行控制，因此無法實現在不同域內依據安全要求只對部分信息進行共享。

發明內容

本發明技術解決問題：克服現有技術的不足，提供一種應用級跨域通信方法及系統，在實現跨域信息共享的同時，對信息進行應用級安全審查，達到控制信息流向，并避免木馬病毒以及惡意內容入侵到組織內部。

本發明技術解決方案：一種應用級安全跨域通信方法，對信息標記安全標簽，基于安全標簽對信息進行安全審查，從而在實現信息跨域傳輸的同時滿足安全要求；所述跨域通信是指在執行不同安全策略的兩個或者多個網絡/區域之間進行信息傳輸；所述安全標簽是和信息綁定的一段數字實體，記錄了信息的安全級別、安全類別、安全標簽顯示屬性及自定義擴展信息。

所述安全審查的內容包括信息過濾、安全標簽檢查、加密流量過濾、信息流向控制和信息內容審查；

所述信息過濾：刪除跨域通信的信息中的關鍵字段，確保信息合法傳輸；

所述安全標簽檢查：根據安全策略，判斷安全標簽的安全級別、安全類別是否在預定的范圍內，若在預定的范圍內，則判定為合法標簽；否則，判定為非法標簽；

所述安全標簽轉換：根據安全策略中定義的標簽等價映射原則，將安全標簽映射到與目標相關聯的安全策略；

所述標簽等價映射原則：同一信息，在一個域中由安全標簽所確定的知悉范圍與目標域中由安全標簽所確定的知悉范圍應保持一致；

所述目標域是指跨域傳輸信息的接收域；

所述加密流量過濾：對由于加密導致無法執行應用級檢查的信息流量進行過濾，防止信息在加密以后進行非法跨域傳輸；

所述信息流向控制：若信息具有合法的安全標簽，依據安全要求，對信息轉發進行控制；

所述信息內容審查：對跨域通信的信息內容進行審查，避免木馬病毒以及敏感信息入侵到組織內部。