本申請公開了一種基于安全標記的訪問控制方法，該方法包括：接收來自網絡的報文，讀取所述報文中的安全標記信息，其中，所述安全標記信息包括安全級別字段、范疇字段、以及用于標識完整標記信息的標記索引字段，所述標記索引字段包括，用于標識業務應用的第一字段、以及用于標識業務應用上下文的第二字段，根據安全標記信息中的各個字段，進行檢查，當通過檢查時，則允許訪問。本申請避免了傳統訪問控制中需要分別進行會話層、應用層、網絡層的安全標記；利用標記索引，使得主客體完整標記信息與標記索引分離存儲，減少了安全標記信息處理的復雜度，在不增加安全標記信息的復雜度的情形下，實現了多級安全。

技術領域

本發明涉及網絡安全領域，特別地，涉及一種基于安全標記的訪問控制方法。

背景技術

在網絡安全技術中，多級安全是指：允許信息系統具有存儲不同敏感級(安全級)信息的能力；同一個系統中允許用戶擁有不同的安全級和訪問權限；如果用戶沒有一定的級別、權限或者自主訪問的權力，則不允許用戶訪問信息。根據定義可將多級安全描述為：通過對主體、客體進行分級，分配安全標記，依據安全標記的比較結果確定主體的訪問模式。其中：

主體是主動發起動作的實體，一般指進程；客體是主體發起動作的對象，一般指文檔、圖片等數據，也可以是進程；

安全標記代表與數據安全相關的屬性，它標識了數據所采用的安全機制；數據的保密性與完整性是數據安全機制的兩個重要方面，因此一般將安全標記分為保密性標記和完整性標記，保密性標記用于標識主客體機密性方面的屬性，完整性標記用于標識主客體完整性方面的屬性。

數據流與安全標記的綁定是使用安全標記的重要的步驟，鑒于數據流包括不同的種類，例如，至少包括有應用層、會話層、網絡層等數據流，通常在網絡層采用IPSO字段進行標記，在應用層和會話層采用不固定的結構數據進行描述。

參見圖1所示，圖1為用于網絡層數據流的安全標記IPSO標記的一種示意圖。在以太幀結構中，IP Option域包括有自定義標記字段，在該字段中包括有由安全級別(level)字段、范疇(category)字段組成安全標記字段。其中，范疇字段用于映射不同主機，換言之，主機可以用一個類別位圖或多個類別位圖的組合來定義。參見圖2所示，圖2為范疇字段包括的位序圖的一種示意圖。范疇字段中比特位序為從左到右，共240比特，每個字節的每個二進制位(置1)代表一個類別。按照這個原則，第0～29個字節中的第一個字節最高有效位(置1)代表Category 0；依此類推，第二個字節的最低有效位(置1)代表Category 15。所以，Category的范圍為0～239，如圖所示。如果用一個類別位圖定義一臺主機，則每個Level對應的主機最多有240臺。一般來說，服務端主機是由多個類別位圖的組合來定義，即其安全標記信息的Category字段包含多個類別位圖。

對于應用層數據流，其安全標記一般在URL內進行標識，以用于說明應用層數據流對應的安全級別。在實際使用過程中，當應用層數據流到達目標主機時，由中間件或者數據庫的安全模塊利用應用層標記完成訪問控制。

鑒于多級安全網絡中訪問控制保護面向應用層數據流和網絡層數據流這兩種客體，安全標記的綁定對象包括數據客體本身、以及網絡傳輸數據流。目前基于安全標記的強制訪問控制主要應用于操作系統內部，通過數據客體與安全標記的綁定，從而控制主體對客體的受限訪問。

例如：

對于存儲在磁盤、磁帶等存儲介質中的靜態數據的訪問控制，其數據操作的類型有兩種：security和integrity,其中，security是與機密性相關的操作，一般是讀，integrity是與完整性相關的操作，一般是寫。