本发明专利技术提供一种资源访问控制方法及设备;通过根据所述主体的名称确定所述主体所属的域,并根据所述客体的名称确定所述客体所属的组;根据所述主体所属的域和所述客体所属的组,确定所述主体所属的域对所述客体所属的组的第一可执行访问类型;根据所述访问类型及所述第一可执行访问类型,确定是否允许所述主体对所述客体执行所述访问类型;实现了基于主体所属的域和客体所属的组来进行访问控制。
【技术实现步骤摘要】
本专利技术实施例设及访问控制技术,尤其设及一种资源访问控制方法及设备。
技术介绍
访问控制是计算机保护中极其重要的一环,它是在身份识别的基础上,根据访问 发起者的身份对提出的资源访问请求加W控制。 在访问控制中,需要进行访问控制的各种资源称为客体,如文件、端口等;访问发 起者称为主体,如进程、用户等。并且,访问控制规则定义了主体与客体间可能的相互作用 途径。现有技术中,一种常见的访问控制方案为强制访问控制(MAC,MandatoryAccess Con化OI)。在MAC中每一个客体(例如,文件)和主体(例如,用户)都被赋予了 一定的安全级 另IJ,系统通过比较主体与客体的安全级别来界定主体是否可W访问该客体。例如,若系统的 访问控制规则为下读(readdown)和上写(writeup),则表示用户的安全级别大于文件的 安全级别时,用户可W对文件进行读操作,当用户的安全级别小于文件的安全级别时,用户 可W对文件进行写操作。 但是,现有技术中,存在MAC控制过于简单,无法实现基于主体和客体的分组进行 访问控制的问题。
技术实现思路
本专利技术提供一种资源访问控制方法及设备,用W解决现有技术中MAC控制过于简 单,无法实现基于主体和客体的分组进行访问控制的问题。 第一方面,本专利技术实施例提供一种资源访问控制方法,所述方法的执行主体为计 算机或通信设备,所述方法包括: 获取主体对客体的访问请求; 根据所述访问请求,确定所述主体的名称、所述客体的名称W及所述主体对所述 客体的访问类型; 根据所述主体的名称确定所述主体所属的域,并根据所述客体的名称确定所述客 体所属的组; 根据所述主体所属的域和所述客体所属的组,确定所述主体所属的域对所述客体 所属的组的第一可执行访问类型; 根据所述访问类型及所述第一可执行访问类型,确定是否允许所述主体对所述客 体执行所述访问类型。 结合第一方面,在第一方面的第一种可能实现的方式中,所述根据所述主体所属 的域和所述客体所属的组,确定所述主体所属的域对所述客体所属的组的第一可执行访问 类型之前,还包括: 获取用户输入的设置信息,所述设置信息包括所述主体所属的域、所述客体所属 的组及所述第一可执行访问类型; 根据所述设置信息,将所述主体所属的域对所述客体所属的组的可执行访问类型 设置为所述第一可执行访问类型。 本实施例中,通过设置信息,设置主体所属的域对客体所属的组的可执行访问类 型;使得可W设置根据主体所属的域和客体所属的组来进行访问控制时,具体的控制策略。 结合第一方面的第一种可能实现的方式,在第一方面的第二种可能实现的方式 中,所述根据所述主体所属的域和所述客体所属的组,确定所述主体所属的域对所述客体 所属的组的第一可执行访问类型,包括: 根据所述主体所属的域、所述客体所属的组查找访问控制表,确定所述访问控制 表的第一表项,并根据所述第一表项确定所述第一可执行访问类型;所述第一表项包括所 述客体所属的组、所述主体所属的域和所述第一可执行访问类型; 相应的,所述根据所述设置信息,将所述主体所属的域对所述客体所属的组的可 执行访问类型设置为第一可执行访问类型,包括: 根据所述设置信息,生成所述第一表项,并将所述第一表项添加至所述访问控制 表。 本实施例中,提供了通过查找访问控制表来确定所述主体所属的域对所述客体所 述的组的可执行访问类型的方式。 结合第一方面的第二种可能实现的方式,在第一方面的第=种可能实现的方式 中,所述第一表项中的各信息为数值型的信息;所述根据所述主体所属的域、所述客体所属 的组查找访问控制表,确定所述访问控制表的第一表项,包括: 将所述主体所属的域及所述客体所属的组转换为数值型的信息; 根据数值型的所述主体所属的域及所述客体所属的组,查找所述访问控制表,确 定所述第一表项。 本实施例中,由于数值的比较效率要远远高于字符串,且所占空间也要更少;因 此,通过将访问控制表的表项中的信息转换为数值型的信息,可W提高查找访问控制表的 效率表的效率,减小存储访问控制表所占的存储空间。 结合第一方面或第一方面的第一种至第=种任一种可能实现的方式,在第一方面 的第四种可能实现的方式中,所述根据所述主体的名称确定所述主体所属的域,根据所述 客体的名称确定所述客体所属的组之前,还包括: 根据所述主体的名称和所述客体的名称,确定所述主体的名称对所述客体的名称 的第二可执行访问类型; 根据所述访问类型及所述第二可执行访问类型,确定不允许所述主体对所述客体 执行所述访问类型。 本实施例中,通过首先根据所述主体的名称和所述客体的名称,确定所述主体的 名称对所述客体的名称的第二可执行访问类型;当根据所述第二可执行访问类型,确定不 允许所述主体对所述客体执行所述访问类型时,再根据所述主体所属的域和所述客体所属 的组,确定所述主体所属的域对所述客体所属的组的第一可执行访问类型;实现了在根据 组及域进行访问权限判断的基础上,优先根据客体的名称来进行访问权限的判断;提高了 对于可W直接通过名称进行访问权限判断的效率。 结合第一方面或第一方面的第一种至第四种任一种可能实现的方式,在第一方面 的第五种可能实现的方式中,所述获取主体对客体的访问请求之后,还包括:根据所述访问请求,确定所述客体的类别; 相应的,所述根据所述主体所属的域和所述客体所属的组,确定所述主体所属的 域对所述客体所属的组的第一可执行访问类型,包括:根据所述主体所属的域、所述客体所属的组及所述客体的类别,确定所述主体所 属的域对所述客体所属的组的所述第一可执行访问类型。本实施例中,通过根据所述主体所属的域、所述客体所属的组及所述客体的类别, 确定所述主体所属的域对所述客体所属的组的所述第一可执行访问类型;可W实现基于客 体的类别来区分不同类别的客体的可执行访问类型。第二方面,本专利技术实施例提供一种设备,所述设备为计算机或通信设备,所述设备 包括:获取模块,用于获取主体对客体的访问请求;确定模块,用于根据所述访问请求,确定所述主体的名称、所述客体的名称W及所 述主体对所述客体的访问类型;根据所述主体的名称确定所述主体所属的域,并根据所述 客体的名称确定所述客体所属的组;根据所述主体所属的域和所述客体所属的组,确定所 述主体所属的域对所述客体所属的组的第一可执行访问类型;判断模块,用于根据所述访问类型及所述第一可执行访问类型,确定是否允许所 述主体对所述客体执行所述访问类型。结合第二方面,在第二方面的第一种可能实现的方式中,所述获取模块,还用于获 取用户输入的设置信息,所述设置信息包括所述主体所属的域、所述客体所属的组及所述 第一可执行访问类型;所述设备,还包括:设置模块,用于根据所述设置信息,将所述主体所属的域对所 述客体所属的组的可执行访问类型设置为所述第一可执行访问类型。结合第二方面的第一种可能实现的方式,在第二方面的第二种可能实现的方式 中,所述确定模块根据所述主体所属的域和所述客体所属的组,确定所述主体所属的域对 所述客体所属的组的第一可执行访问类型,具体包括: 根据所述当前第1页1 2 3 4 5 本文档来自技高网...
【技术保护点】
一种资源访问控制方法,其特征在于,所述方法的执行主体为计算机或通信设备,所述方法包括:获取主体对客体的访问请求;根据所述访问请求,确定所述主体的名称、所述客体的名称以及所述主体对所述客体的访问类型;根据所述主体的名称确定所述主体所属的域,并根据所述客体的名称确定所述客体所属的组;根据所述主体所属的域和所述客体所属的组,确定所述主体所属的域对所述客体所属的组的第一可执行访问类型;根据所述访问类型及所述第一可执行访问类型,确定是否允许所述主体对所述客体执行所述访问类型。
【技术特征摘要】
【专利技术属性】
技术研发人员:王安宇,殷新星,訾小超,伍军,姚立红,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。