[发明专利]一种基于安全标签的访问控制方法及系统

说明书

本发明涉及一种基于安全标签的访问控制方法及系统，对信息访问主体标记安全许可，对信息标记安全标签，并依据安全要求生成安全策略；当信息处于流通过程中，在信息访问主体中启动访问控制机制解析信息中的安全标签，依据安全策略匹配安全许可和安全标签，根据匹配结果决定信息流向，从而达到控制信息知悉范围的目的，提高了安全性。

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于安全标签的访问控制系统及方法。

背景技术

在安全领域，信息通常会被划分为不同的安全等级，人员也会被划分不同的安全许可等级，不同安全许可等级的人员对信息具有不同的访问权限，比如低安全许可等级的人员不能访问高安全等级的信息，以符合安全要求。当物理信息被电子化，并在不同人员之间流动时，也需要对信息标记电子化安全标签，同时采用基于安全标签的访问控制机制，达到电子信息在网络空间中的流通规则与现实世界中的信息流通规则完全一致，防范信息知悉范围扩散等安全问题。

针对上述问题，CN201210581789.5给出了一种基于安全标签的保密安全管理方法，通过定义用户、安全域、主机节点及信息数据的安全标签，实现基于安全标签的信息资源在传输和使用时遵循“禁止高密级信息由高等级安全域流向低等级安全域”的机制，然而该方法无法保证信息知悉范围控制在某个组织内部，因此无法实现信息在网络空间中的流通规则与现实世界保持一致。CN201410070296.4及CN201710351467.4提出了基于安全标签的电子文件保护方法，为每个电子文件标记安全标签，当用户访问电子文件时，根据安全策略验证用户身份与操作行为的合法性，无法对实时产生的即时通信等信息标记安全标签，并控制其流向。

综上，目前的方法及系统无法解决如下问题：对实时产生的信息实时标记安全标签，并基于安全标签控制信息流向；对网络空间中所有流通的信息依据安全级别、安全类别等进行细粒度的访问控制与安全防护，从而无法达到电子信息在网络空间中的流通规则与现实实际中的信息流通规则保持一致，导致信息知悉范围扩大。

发明内容

本发明技术解决问题：克服现有技术的对实时产生的信息无法实时标记安全标签并进行访问控制，提供一种基于安全标签的访问控制方法及系统，对网络中实时产生的信息以及现有信息进行安全标记，标记其安全级别、安全类别以及显示属性信息，对网络中信息访问主体标记安全许可，基于安全要求生成安全策略，在信息流通过程中基于安全策略匹配信息安全标签与主体安全许可，从而达到对信息进行细粒度访问控制，保证电子信息在网络空间中的流通规则与现实世界中的信息流通规则完全一致，提高了安全性和可靠性。

本发明技术解决方案：一种基于安全标签的访问控制方法，步骤如下：对信息访问主体标记安全许可，对信息标记安全标签，并依据安全要求生成安全策略；当信息处于流通过程中，在信息访问主体中启动访问控制机制解析信息中的安全标签，依据安全策略匹配安全许可和安全标签，根据匹配结果决定信息流向，从而达到控制信息知悉范围的目的；

所述安全标签是和信息绑定的一段数字实体，记录了安全策略标识、安全级别、安全类别、显示属性以及自定义扩展信息；

所述安全许可是指信息访问主体所能处理信息的安全属性以及类别属性；

所述安全策略，具有唯一编号，包括安全标签的合法值定义以及显示方式、安全许可的合法值定义以及显示方式、安全标签与安全许可之间的匹配关系。

在信息访问主体设置访问控制决策单元，实施如下步骤：

(1)访问控制决策单元收到信息后，解析安全标签，首先解析安全级别、安全类别；再根据信息访问主体是否需要显示安全标签判断是否解析显示属性，若信息访问主体需要显示安全标签，则解析安全标签显示属性，否则不解析安全标签显示属性；

(2)访问控制决策单元解析安全许可的安全级别以及类别属性；