一种多粒度分布式信息流控制方法及系统技术方案
【技术实现步骤摘要】
本专利技术涉及访问控制,特别涉及一种多粒度分布式信息流控制方法及系统。
技术介绍
数据安全由于其在实际应用中的基础性地位,已经成为最亟待突破和解决的首要问题。在研究和实践过程中,本专利技术的专利技术人发现:传统访问控制模型如自主访问控制模型,权限授予基本单位为用户,管控粒度较粗,但管理方便,实际应用较多;分布式信息流控制模型,可管控进程级的行为,管控粒度较细,但管理复杂,实际应用相对较少。
技术实现思路
针对现有技术的不足,本专利技术提出一种多粒度分布式信息流控制方法及系统。本专利技术提出一种多粒度分布式信息流控制方法,包括:步骤1,设置多粒度管控类别列表,所述多粒度管控类别列表包括多个管控类别,通过相应的管控类别,对数据进行多粒度的访问控制,其中每个所述管控类别对应一种全局级别管控与一种全局进程级别管控;步骤2,创建全局能力表与细粒度能力表,并设置信息流控制规则,通过所述全局能力表、所述细粒度能力表、所述信息流控制规则,对数据进行多粒度多强度访问控制,其中所述全局能力表用于粗粒度能力授予,其与所述多粒度管控类别列表相对应。用于访问控制的主体为:客体标记、主体标记。...
【技术保护点】
一种多粒度分布式信息流控制方法,其特征在于,包括:步骤1,设置多粒度管控类别列表,所述多粒度管控类别列表包括多个管控类别,通过相应的管控类别,对数据进行多粒度的访问控制,其中每个所述管控类别对应一种全局级别管控与一种全局进程级别管控;步骤2,创建全局能力表与细粒度能力表,并设置信息流控制规则,通过所述全局能力表、所述细粒度能力表、所述信息流控制规则,对数据进行多粒度多强度访问控制,其中所述全局能力表用于粗粒度能力授予,其与所述多粒度管控类别列表相对应。
【技术特征摘要】
1.一种多粒度分布式信息流控制方法,其特征在于,包括:步骤1,设置多粒度管控类别列表,所述多粒度管控类别列表包括多个管控类别,通过相应的管控类别,对数据进行多粒度的访问控制,其中每个所述管控类别对应一种全局级别管控与一种全局进程级别管控;步骤2,创建全局能力表与细粒度能力表,并设置信息流控制规则,通过所述全局能力表、所述细粒度能力表、所述信息流控制规则,对数据进行多粒度多强度访问控制,其中所述全局能力表用于粗粒度能力授予,其与所述多粒度管控类别列表相对应。2.如权利要求1所述的多粒度分布式信息流控制方法,其特征在于,用于访问控制的主体为:客体标记、主体标记。3.如权利要求1所述的多粒度分布式信息流控制方法,其特征在于,用p,q表示主体或者客体,Sp表示p的机密性标签集,Ip表示p的完整性标签集,Dp表示p的双权限标签集,Rp表示p的可删除标签集,Ap表示p的可添加标签集,所述信息流控制规则为:1)如果p和q的安全标记满足以下关系且则从p到q的数据流动为安全;2)如果不满足1)的关系,但是满足且则从p到q的数据流动为安全的,而且无需改变p,q的安全标记,直接进行通信;3)如果不满足1)和2)的关系,但是满足且则p和q可以进行通信,但在通信之前,将安全标记改变,以满足且4.如权利要求1所述的多粒度分布式信息流控制方法,其特征在于,粗粒度能力授权的授权粒度为全局授权粒度,并有多种的全局粒度级别,对应各自的全局能力表;细粒度能力授权的授权粒度关联到某一类进程,并有多种的细粒度级别,对应各自的细粒度能力表。5.如权利要求1所述的多粒度分布式信息流控制方法,其特征在于,还包括全局能力授权方式:主体将创建的能力添加到全局能力表,实现对全局粒度级别的数据保护隔离和共享;细粒度能力授权方式:主体将创建的能力添加到细粒度能力表,实现对细粒度级别的数据共享;细粒度能力申请方式:主体向能力创建者申请所述能力,能力创建者判断是否授予能力,若授予能力,则将所述能力添加到相应列表。6.一种多粒度分布...
【专利技术属性】
技术研发人员:金舒原,郭小兵,何晓位,王燕霞,
申请(专利权)人:中国科学院计算技术研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。