本发明专利技术的目的是提供一种用于访问控制的方法、设备与系统。本发明专利技术通过基于访问请求中主体与客体的安全角色类型以及安全等级,来确定与该访问请求相对应的操作信息。与现有技术相比,本发明专利技术通过实施基于角色的多等级模型,在基于角色的强制访问控制的基础上增加分等级角色,解决了当同一角色用户过多时,仅基于角色的强制访问控制无法满足要求的问题,有效地同时保证保密性和完整性,相比较传统的BLP、RBAC模型更适应现代社会多元化的要求。
【技术实现步骤摘要】
【专利摘要】本专利技术的目的是提供一种用于访问控制的方法、设备与系统。本专利技术通过基于访问请求中主体与客体的安全角色类型以及安全等级,来确定与该访问请求相对应的操作信息。与现有技术相比,本专利技术通过实施基于角色的多等级模型,在基于角色的强制访问控制的基础上增加分等级角色,解决了当同一角色用户过多时,仅基于角色的强制访问控制无法满足要求的问题,有效地同时保证保密性和完整性,相比较传统的BLP、RBAC模型更适应现代社会多元化的要求。【专利说明】一种用于访问控制的方法、设备与系统
本专利技术涉及信息安全
,尤其涉及一种用于访问控制的技术。
技术介绍
随着计算机技术和网络的飞速发展,人们对计算机的使用也愈加频繁、使用范围愈加广泛,如通过计算机进行交流、娱乐、休闲等。然而,对计算机的依赖也为使用者的信息安全带来了威胁。访问控制,就是控制主体对系统中资源的访问。访问控制三个要素:主体(Subject),指一个提出请求或要求的实体,是访问操作的主动发起者;客体(Object),接受其他实体访问的被动实体;控制策略,是指主体对客体的操作行为集和约束条件集。信息安全的三元组:保密性(Confidentiality),是指确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体;可用性(Availability),确保授权用户或实体对信息及资源的正常使用不被异常拒绝,允许其可靠而及时地访问信息;完整性(Integrity),确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。强制访问控制中,信息分成等级和类,主体与客体都被标记了固定的安全属性(SP安全标记)。系统中所有对象必须遵循强制访问控制,在每次访问发生时,系统检测安全属性以确定主体是否有权访问客体,保证每个用户只能访问被标明可以访问的信息系统。常见的强制访问控制模型一般包括以下两类:Bell-Lapadula模型(BLP模型),主要用于保证信息的保密性,防止保密信息被未授权的主体访问。依照信息的保密性设置级别(绝密,机密,秘密等)。特征是“下读上写”,即主体可以读安全级别比他低或相等的客体,可以写安全级别比他高或相等的客体。Biba模型,用于解决应用程序数据的完整性问题。依照信息的完整性设置级别(高完整性、中完整性、低完整性)。特征与BLP相反,为“上读下写”,即主体可以读安全级别高于他的客体,可以写安全级别低于他的客体。Be 11-Lapadula和Biba模型虽然适用于不同的领域,但Be I Ι-Lapadula模型和Biba模型在实际的运用中都存在一定的局限性,保证完整性就不能保证保密性,而保证了保密性完整性又可能遭到破坏,因此两者均无法兼具保密性与完整性。
技术实现思路
本专利技术的目的是提供一种用于访问控制的方法、设备与系统。根据本专利技术的一个方面,提供了一种在第一设备端用于访问控制的方法,其中,该方法包括以下步骤:X获取与系统内的各类对象相对应的安全角色类型以及安全等级;其中,该方法还包括以下步骤:a获取主体对客体的访问请求,其中,所述主体与客体属于所述系统内的对象;b根据所述主体与所述客体所对应的安全角色类型,结合所述主体与所述客体所对应的安全等级,确定与所述访问请求相对应的操作信息。优选地,所述步骤b包括:-基于所述客体所对应的类别,根据所述主体与所述客体所对应的安全角色类型,结合所述主体与所述客体所对应的安全等级,确定与所述访问请求相对应的操作信息。优选地,所述步骤b包括:-确定所述主体与所述客体所对应的安全角色类型是否相同;-若所述主体与所述客体所对应的安全角色类型相同,则基于所述主体与所述客体所对应的安全等级,确定与所述访问请求相对应的操作信息。优选地,所述确定与所述访问请求相对应的操作信息的步骤包括以下至少任一项:-若所述主体与所述客体所对应的安全角色类型相同,且所述主体与所述客体所对应的安全等级相同,则所述主体对所述客体可执行任意操作;-若所述主体与所述客体所对应的安全角色类型相同,且所述主体的安全等级高于所述客体所对应的安全等级,则所述主体对所述客体可执行只读操作;-若所述主体与所述客体所对应的安全角色类型相同,且所述主体的安全等级低于所述客体所对应的安全等级,则所述主体对所述客体不可执行任何操作。优选地,该方法还包括以下步骤:-根据系统内的各类对象的历史记录信息,确定或调整与所述对象相对应的安全角色类型以及安全等级。更优选地,所述历史记录信息包括以下至少任一项:-所述主体的操作历史记录;-所述客体的被操作历史记录。优选地,该方法还包括以下步骤:-获取第二设备端所发送的访问控制设置规则;其中,所述步骤X包括:-根据所述访问控制设置规则,确定与系统内的各类对象相对应的安全角色类型以及安全等级。更优选地,所述步骤b包括:-根据所述主体与所述客体所对应的安全角色类型,结合所述主体与所述客体所对应的安全等级,基于所述访问控制设置规则,确定与所述访问请求相对应的操作信息。根据本专利技术的另一方面,还提供了一种用于访问控制的第一设备,其中,该设备包括:安全获取装置,用于获取与系统内的各类对象相对应的安全角色类型以及安全等级;其中,该设备还包括:请求获取装置,用于获取主体对客体的访问请求,其中,所述主体与客体属于所述系统内的对象;确定装置,用于根据所述主体与所述客体所对应的安全角色类型,结合所述主体与所述客体所对应的安全等级,确定与所述访问请求相对应的操作信息。优选地,所述确定装置用于:-基于所述客体所对应的类别,根据所述主体与所述客体所对应的安全角色类型,结合所述主体与所述客体所对应的安全等级,确定与所述访问请求相对应的操作信息。优选地,所述确定装置包括:类型确定单元,用于确定所述主体与所述客体所对应的安全角色类型是否相同;确定单元,用于若所述主体与所述客体所对应的安全角色类型相同,则基于所述主体与所述客体所对应的安全等级,确定与所述访问请求相对应的操作信息。优选地,所述确定单元用于以下至少任一项:-若所述主体与所述客体所对应的安全角色类型相同,且所述主体与所述客体所对应的安全等级相同,则所述主体对所述客体可执行任意操作;-若所述主体与所述客体所对应的安全角色类型相同,且所述主体的安全等级高于所述客体所对应的安全等级,则所述主体对所述客体可执行只读操作;-若所述主体与所述客体所对应的安全角色类型相同,且所述主体的安全等级低于所述客体所对应的安全等级,则所述主体对所述客体不可执行任何操作。优选地,该设备还包括:调整装置,用于根据系统内的各类对象的历史记录信息,确定或调整与所述对象相对应的安全角色类型以及安全等级。更优选地,所述历史记录信息包括以下至少任一项:-所述主体的操作历史记录;-所述客体的被操作历史记录。优选地,该设备还包括:规则获取装置,用于获取第二设备端所发送的访问控制设置规则;其中,所述安全获取装置用于:-根据所述访问控制设置规则,确定与系统内的各类对象相对应的安全角色类型以及安全等级。更优选地,所述确定装置用于:-根据所述主体与所述客体所对应的安全角色类型,结合所述主体与所述客体所对应的安全等级,基于所述访问控制设置规则,确定与所述访问请求相对应的操本文档来自技高网...
【技术保护点】
一种在第一设备端用于访问控制的方法,其中,该方法包括以下步骤:x获取与系统内的各类对象相对应的安全角色类型以及安全等级;其中,该方法还包括以下步骤:a获取主体对客体的访问请求,其中,所述主体与客体属于所述系统内的对象;b根据所述主体与所述客体所对应的安全角色类型,结合所述主体与所述客体所对应的安全等级,确定与所述访问请求相对应的操作信息。
【技术特征摘要】
【专利技术属性】
技术研发人员:梁继良,马骅,田昕辉,夏攀,窦雯,
申请(专利权)人:北京优炫软件股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。