本发明专利技术提出一种多粒度分布式信息流控制方法及系统,该方法包括步骤1,设置多粒度管控类别列表,所述多粒度管控类别列表包括多个管控类别,通过相应的管控类别,对数据进行多粒度的访问控制,其中每个所述管控类别对应一种全局级别管控与一种全局进程级别管控;步骤2,创建全局能力表与细粒度能力表,并设置信息流控制规则,通过所述全局能力表、所述细粒度能力表、所述信息流控制规则,对数据进行多粒度多强度访问控制,其中所述全局能力表用于粗粒度能力授予,其与所述多粒度管控类别列表相对应。本发明专利技术在分布式信息流模型基础上添加多粒度能力授权方案,方便全局粗粒度的数据隔离保护和细粒度的数据共享,具备了传统访问控制模型和分布式信息流控制模型的优点。
【技术实现步骤摘要】
本专利技术涉及访问控制,特别涉及一种多粒度分布式信息流控制方法及系统。
技术介绍
数据安全由于其在实际应用中的基础性地位,已经成为最亟待突破和解决的首要问题。在研究和实践过程中,本专利技术的专利技术人发现:传统访问控制模型如自主访问控制模型,权限授予基本单位为用户,管控粒度较粗,但管理方便,实际应用较多;分布式信息流控制模型,可管控进程级的行为,管控粒度较细,但管理复杂,实际应用相对较少。
技术实现思路
针对现有技术的不足,本专利技术提出一种多粒度分布式信息流控制方法及系统。本专利技术提出一种多粒度分布式信息流控制方法,包括:步骤1,设置多粒度管控类别列表,所述多粒度管控类别列表包括多个管控类别,通过相应的管控类别,对数据进行多粒度的访问控制,其中每个所述管控类别对应一种全局级别管控与一种全局进程级别管控;步骤2,创建全局能力表与细粒度能力表,并设置信息流控制规则,通过所述全局能力表、所述细粒度能力表、所述信息流控制规则,对数据进行多粒度多强度访问控制,其中所述全局能力表用于粗粒度能力授予,其与所述多粒度管控类别列表相对应。用于访问控制的主体为:客体标记、主体标记。用p,q表示主体或者客体,Sp表示p的机密性标签集,Ip表示p的完整性标签集,Dp表示p的双权限标签集,Rp表示p的可删除标签集,Ap表示p的可添加标签集,所述信息流控制规则为:1)如果p和q的安全标记满足以下关系且则从p到q的数据流动为安全;2)如果不满足1)的关系,但是满足且则从p到q的数据流动为安全的,而且无需改变p,q的安全标记,直接进行通信;3)如果不满足1)和2)的关系,但是满足且则p和q可以进行通信,但在通信之前,将安全标记改变,以满足且粗粒度能力授权的授权粒度为全局授权粒度,并有多种的全局粒度级别,对应各自的全局能力表;细粒度能力授权的授权粒度关联到某一类进程,并有多种的细粒度级别,对应各自的细粒度能力表。还包括全局能力授权方式:主体将创建的能力添加到全局能力表,实现对全局粒度级别的数据保护隔离和共享;细粒度能力授权方式:主体将创建的能力添加到细粒度能力表,实现对细粒度级别的数据共享;细粒度能力申请方式:主体向能力创建者申请所述能力,能力创建者判断是否授予能力,若授予能力,则将所述能力添加到相应列表。本专利技术还提出一种多粒度分布式信息流控制系统,包括:设置多粒度管控类别列表模块,用于设置多粒度管控类别列表,所述多粒度管控类别列表包括多个管控类别,通过相应的管控类别,对数据进行多粒度的访问控制,其中每个所述管控类别对应一种全局级别管控与一种全局进程级别管控;访问控制模块,用于创建全局能力表与细粒度能力表,并设置信息流控制规则,通过所述全局能力表、所述细粒度能力表、所述信息流控制规则,对数据进行多粒度多强度访问控制,其中所述全局能力表用于粗粒度能力授予,其与所述多粒度管控类别列表相对应。用于访问控制的主体为:客体标记、主体标记。用p,q表示主体或者客体,Sp表示p的机密性标签集,Ip表示p的完整性标签集,Dp表示p的双权限标签集,Rp表示p的可删除标签集,Ap表示p的可添加标签集,所述信息流控制规则为:1)如果p和q的安全标记满足以下关系且则从p到q的数据流动为安全;2)如果不满足1)的关系,但是满足且则从p到q的数据流动为安全的,而且无需改变p,q的安全标记,直接进行通信;3)如果不满足1)和2)的关系,但是满足且则p和q可以进行通信,但在通信之前,将安全标记改变,以满足且粗粒度能力授权的授权粒度为全局授权粒度,并有多种的全局粒度级别,对应各自的全局能力表;细粒度能力授权的授权粒度关联到某一类进程,并有多种的细粒度级别,对应各自的细粒度能力表。还包括全局能力授权方式:主体将创建的能力添加到全局能力表,实现对全局粒度级别的数据保护隔离和共享;细粒度能力授权方式:主体将创建的能力添加到细粒度能力表,实现对细粒度级别的数据共享;细粒度能力申请方式:主体向能力创建者申请所述能力,能力创建者判断是否授予能力,若授予能力,则将所述能力添加到相应列表。由以上方案可知,本专利技术的优点在于:第一、在分布式信息流模型基础上添加多粒度能力授权方案,方便全局粗粒度的数据隔离保护和细粒度的数据共享,具备了传统访问控制模型和分布式信息流控制模型的优点;第二、提供全面的能力授权方式和零机密主体能力授权机制,方便了能力授权,进而方便了数据的隔离保护和共享;第三、通过设计适用于云平台的多粒度管控类型列表,能扩展到云平台的数据保护。附图说明图1为一种多粒度能力授权方案图;图2为全面的能力授权方式图;图3为零机密进程能力授权机制图。具体实施方式本专利技术提出一种多粒度分布式信息流控制模型:特征1)提供多粒度的能力授权,包括粗粒度能力授权和细粒度能力授权;特征2)提供全面的能力授权方式;特征3)使用零机密主体实施能力授权;特征4)可同时实现传统访问控制的粗粒度管控和分布式信息流控制的细粒度管控的能力;特征5)能扩展到云平台的数据保护。多粒度分布式信息流控制模型拥有多粒度管控类别列表:ControlTypeList=[ControlType1,ControlType2,ControlType3,…,ControlTypeN];一个多粒度管控类别列表包含多个管控类别,通过不同的管控类别,实现对数据的不同粒度的访问控制;每一种管控类别可对应一种全局级别管控和一种全局进程级别管控。如图1所示,为当ControlTypeList=[OSGroup,OSRole,OSUser]时的多粒度能力授权方案。。在传统访问控制模型中,可包含的管控类别有:用户组(OSGroup),角色(OSRole),用户(OSUser)。则多粒度管控类别列表为OSControlTypeList=[OSGroup,OSRole,OSUser]。该模型中用于访问控制的实体如下:客体标记,包括安全标签、安全属性。客体的安全标签,包括机密性标签和完整性标签,表达了客体创建者对客体添加的安全属性,用于保护客体的机密性和完整性。主体在创建客体时,可创建标签,并向该客体添加标签。客体的安全属性,包括用于访问控制的客体属性,如客体所属主体(客体创建者);客体标记可设计为:[TagSets(IntegrityTagSet,SecurityTagSet);SecurityAttribute]主体标记,包括安全标签、安全能力、安全属性。主体的安全标签,包括机密性标签和完整性标签,表达了主体的安全属性,也表达了主体的操作权限。主体可通过自身能力添加标签和删除标签。主体的安全能力,每个标签对应可添加标签和可删除标签,分别实现向主体添加标签和删除标签,所以一共有四种能力。主体在创建客体时,可以创建标签,同时产生可添加标签能力和可删除标签能力。主体向客体添加标签,设置客体的安全属性和访问要求;也可以通过能力授权,将能力分享出去,实现对客体数据共享。主体的能力可来自自己创建标签时产生的能力,也可来自其它主体的能力授予。主体的安全属性,包括用于访问控制的客体属性,如主体的用户组,主体的角色,主体的用户等;主体标记可设计为:[TagSets(IntegrityTagSet,SecurityTagSet);CapSets(AddIntegrityTagSe本文档来自技高网...
【技术保护点】
一种多粒度分布式信息流控制方法,其特征在于,包括:步骤1,设置多粒度管控类别列表,所述多粒度管控类别列表包括多个管控类别,通过相应的管控类别,对数据进行多粒度的访问控制,其中每个所述管控类别对应一种全局级别管控与一种全局进程级别管控;步骤2,创建全局能力表与细粒度能力表,并设置信息流控制规则,通过所述全局能力表、所述细粒度能力表、所述信息流控制规则,对数据进行多粒度多强度访问控制,其中所述全局能力表用于粗粒度能力授予,其与所述多粒度管控类别列表相对应。
【技术特征摘要】
1.一种多粒度分布式信息流控制方法,其特征在于,包括:步骤1,设置多粒度管控类别列表,所述多粒度管控类别列表包括多个管控类别,通过相应的管控类别,对数据进行多粒度的访问控制,其中每个所述管控类别对应一种全局级别管控与一种全局进程级别管控;步骤2,创建全局能力表与细粒度能力表,并设置信息流控制规则,通过所述全局能力表、所述细粒度能力表、所述信息流控制规则,对数据进行多粒度多强度访问控制,其中所述全局能力表用于粗粒度能力授予,其与所述多粒度管控类别列表相对应。2.如权利要求1所述的多粒度分布式信息流控制方法,其特征在于,用于访问控制的主体为:客体标记、主体标记。3.如权利要求1所述的多粒度分布式信息流控制方法,其特征在于,用p,q表示主体或者客体,Sp表示p的机密性标签集,Ip表示p的完整性标签集,Dp表示p的双权限标签集,Rp表示p的可删除标签集,Ap表示p的可添加标签集,所述信息流控制规则为:1)如果p和q的安全标记满足以下关系且则从p到q的数据流动为安全;2)如果不满足1)的关系,但是满足且则从p到q的数据流动为安全的,而且无需改变p,q的安全标记,直接进行通信;3)如果不满足1)和2)的关系,但是满足且则p和q可以进行通信,但在通信之前,将安全标记改变,以满足且4.如权利要求1所述的多粒度分布式信息流控制方法,其特征在于,粗粒度能力授权的授权粒度为全局授权粒度,并有多种的全局粒度级别,对应各自的全局能力表;细粒度能力授权的授权粒度关联到某一类进程,并有多种的细粒度级别,对应各自的细粒度能力表。5.如权利要求1所述的多粒度分布式信息流控制方法,其特征在于,还包括全局能力授权方式:主体将创建的能力添加到全局能力表,实现对全局粒度级别的数据保护隔离和共享;细粒度能力授权方式:主体将创建的能力添加到细粒度能力表,实现对细粒度级别的数据共享;细粒度能力申请方式:主体向能力创建者申请所述能力,能力创建者判断是否授予能力,若授予能力,则将所述能力添加到相应列表。6.一种多粒度分布...
【专利技术属性】
技术研发人员:金舒原,郭小兵,何晓位,王燕霞,
申请(专利权)人:中国科学院计算技术研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。