本发明专利技术公开了一种用于复杂场景的多控制域安全内核构建方法及系统,其技术方案要点是获取用户的登陆信息;定义当前需要保护的各个访问控制域,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列;将用户的每个角色信息映射为权限操作序列,基于用户在当前访问控制域中操作节点的操作动作,以将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行匹配;在该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作匹配时,验证用户的权限操作序列的每个原子操作是否与预设原子操作序列的每个原子操作相匹配;若是,则执行该操作节点的操作动作。本发明专利技术具有灵活性高的特点。
【技术实现步骤摘要】
一种用于复杂场景的多控制域安全内核构建方法及系统
本专利技术涉及计算机安全的
,特别涉及一种用于复杂场景的多控制域安全内核构建方法及系统。
技术介绍
在企业级信息领域中,传统的安全内核基于标准RBAC模型构建。参照图1所示,主体通过访问控制器访问对象,访问控制器利用访问控制数据库中的安全方针校验主体的访问行为,同时保存审计信息到物理文件,即保存用户的操作日志,以方便系统后续追溯。传统的安全内核构建技术主要用于操作系统领域,是一种分层的控制结构,但在云计算的场景中,安全模型本身不一定是严格的层次结构,传统的安全内核如图2所示,在操作系统领域,安全内核直接构建在硬件层之上,当用户程序需要访问硬件资源时,都会受到安全内核的限制,如操作系统内一个程序能够使用多少物理内存,必须通过安全的控制,如果该程序使用超出数量的内存,安全内核可以拒绝更多的内存分配动作,类似的,其他各种资源访问请求都会受到安全内核的集中化管控,形成了层次化的控制结构,即用户程序、操作系统、安全内核至硬件层。但在云计算场景中,用户需要访问的资源分布在全球的各个地方,资源分散度高,同时需要访问的资源类型也是各种各样,如内存、图片、某个天气查询功能,整个云平台的异构程度高。此时,采用集中化的安全内核管控,无论是性能上,还是数据量上都达不到要求。为此,在云计算中,可选的一种多域控制方式是采用系统间的相互授权来实现,但这种方式主要用来解决第三方系统登陆。另外可以采用不同域中的角色相互关联达到访问控制的目的,但这种方式会导致系统复杂度高,太多角色关联使得灵活性较差,因此存在一定的改进之处。
技术实现思路
针对现有技术存在的不足,本专利技术的目的在于提供一种用于复杂场景的多控制域安全内核构建方法,具有灵活性高的特点。本专利技术的上述技术目的是通过以下技术方案得以实现的:一种用于复杂场景的多控制域安全内核构建方法,包括如下步骤:获取用户的登陆信息,其中,登陆信息中配置有至少一个角色信息;定义当前需要保护的各个访问控制域,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列;将用户的每个角色信息映射为权限操作序列,基于用户在当前访问控制域中操作节点的操作动作,以将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行匹配;在该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作匹配时,验证用户的权限操作序列的每个原子操作是否与预设原子操作序列的每个原子操作相匹配;若是,则通过验证以执行该操作节点的操作动作。优选的,将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行内容和顺序的匹配。优选的,每个原子操作的内容包括主体集合、动作集合和对象资源集合。优选的,预设原子操作序列的每个原子操作的内容通过访问控制矩阵理论进行定义。优选的,在定义当前需要保护的各个访问控制域,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列的步骤中,还包括如下步骤:建立每一操作节点中原子操作序列的禁用事项;根据禁用事项禁用该操作节点的原子操作序列时,该操作节点的原子操作序列的每个原子操作不与该用户的权限操作序列的每个原子操作进行匹配。针对现有技术存在的不足,本专利技术的目的在于提供一种用于复杂场景的多控制域安全内核构建系统,具有灵活性高的特点。本专利技术的上述技术目的是通过以下技术方案得以实现的:一种用于复杂场景的多控制域安全内核构建系统,包括:获取单元,用于获取用户的登陆信息,其中,登陆信息中配置有至少一个角色信息;域定义单元,用于定义当前需要保护的各个访问控制域,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列;权限操作单元,用于将用户的每个角色信息映射为权限操作序列,基于用户在当前访问控制域中操作节点的操作动作,以将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行匹配;安全内核单元,用于在该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作匹配时,验证用户的权限操作序列的每个原子操作是否与预设原子操作序列的每个原子操作相匹配;执行单元,用于在用户的权限操作序列的每个原子操作与预设原子操作序列的每个原子操作相匹配时,通过验证以执行该操作节点的操作动作。优选的,所述权限操作单元用于将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行内容和顺序的匹配。优选的,每个原子操作的内容包括主体集合、动作集合和对象资源集合。优选的,所述安全内核中配置有序列定义单元,所述序列定义单元用于通过访问控制矩阵理论进行定义预设原子操作序列的每个原子操作的内容。优选的,所述域定义单元中配置有事项配置单元;所述事项配置单元用于建立每一操作节点中原子操作序列的禁用事项,并根据禁用事项禁用该操作节点的原子操作序列,以使该操作节点的原子操作序列的每个原子操作不与该用户的权限操作序列的每个原子操作进行匹配。综上所述,本专利技术对比于现有技术的有益效果为:1、本申请主要用于需要在不同环境下有不同访问控制要求的系统,利用访问控制域的在每个操作节点的原子操作序列和角色信息的权限操作序列进行相互配对来构建整个安全内核系统,灵活性高;2、本申请可以在每个访问控制域的每个操作节点停用或启用原子操作序列配对的工作,但最终都是通过安全内核单元验证后执行,既保证了灵活性又保证了安全性。附图说明图1为
技术介绍
中主体集合访问的示意图;图2为
技术介绍
中安全内核的层级结构示意图;图3为本专利技术技术方案中多控制域安全内核构建方法的流程示意图;图4为本专利技术技术方案中多控制域安全内核构建系统的第一系统框图;图5为本专利技术技术方案中多控制域安全内核构建系统的第二系统框图;图6为本专利技术技术方案中原子操作序列和权限操作序列的比对示意图;图7为本专利技术技术方案中访问控制矩阵理论的定义示意图。附图标记:100、获取单元;200、域定义单元;300、权限操作单元;400、安全内核单元;500、执行单元。具体实施方式以下结合附图对本专利技术作进一步详细说明。一种用于复杂场景的多控制域安全内核构建方法及系统,以用于在云计算中的访问控制中,相较于传统多域控制方式是采用系统间的相互授权,以及采用不同域中的角色相互关联达到访问控制的目的,解决传统系统复杂度高,太多角色关联使得灵活性较差的问题。实施例一一种用于复杂场景的多控制域安全内核构建方法,结合图3和图4所示,包括如下步骤:步骤S100,获取用户的登陆信息,其中,登陆信息中配置有至少一个角色信息。具体地,本申请根据业务需求定义每个用户所拥有角色信息,由此用户通过账号密码进行登陆时,能够获取到用户的登陆信息,以相应获取到登陆信息中的角色信息。步骤S200,定义当前需要保护的各个访问控制域,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列。具体地,举一个例子进行说明,用户可在本系统中预先定义硬件资源访问控制域、图片存储访问控制域、业务功能访问控制域;硬件资源访问控制域用于控制用户可以使用多少内存、CPU等,该硬件资源访问控制域记为A1;图片存储访问控制域用于控制用户对图片可进行的操作等,该图片存储访问控制域记为A2;业务功能访本文档来自技高网...
【技术保护点】
1.一种用于复杂场景的多控制域安全内核构建方法,其特征在于,包括如下步骤:获取用户的登陆信息,其中,登陆信息中配置有至少一个角色信息;定义当前需要保护的各个访问控制域,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列;将用户的每个角色信息映射为权限操作序列,基于用户在当前访问控制域中操作节点的操作动作,以将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行匹配;在该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作匹配时,验证用户的权限操作序列的每个原子操作是否与预设原子操作序列的每个原子操作相匹配;若是,则通过验证以执行该操作节点的操作动作。
【技术特征摘要】
1.一种用于复杂场景的多控制域安全内核构建方法,其特征在于,包括如下步骤:获取用户的登陆信息,其中,登陆信息中配置有至少一个角色信息;定义当前需要保护的各个访问控制域,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列;将用户的每个角色信息映射为权限操作序列,基于用户在当前访问控制域中操作节点的操作动作,以将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行匹配;在该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作匹配时,验证用户的权限操作序列的每个原子操作是否与预设原子操作序列的每个原子操作相匹配;若是,则通过验证以执行该操作节点的操作动作。2.根据权利要求1所述的一种用于复杂场景的多控制域安全内核构建方法,其特征在于,将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行内容和顺序的匹配。3.根据权利要求1所述的一种用于复杂场景的多控制域安全内核构建方法,其特征在于,每个原子操作的内容包括主体集合、动作集合和对象资源集合。4.根据权利要求1所述的一种用于复杂场景的多控制域安全内核构建方法,其特征在于,预设原子操作序列的每个原子操作的内容通过访问控制矩阵理论进行定义。5.根据权利要求1所述的一种用于复杂场景的多控制域安全内核构建方法,其特征在于,在定义当前需要保护的各个访问控制域,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列的步骤中,还包括如下步骤:建立每一操作节点中原子操作序列的禁用事项;根据禁用事项禁用该操作节点的原子操作序列时,该操作节点的原子操作序列的每个原子操作不与该用户的权限操作序列的每个原子操作进行匹配。6.一种用于复杂场景的多控制域安全内核构建系统,其特征在于,包括:获取单元(100),用于获取用户的登陆信息...
【专利技术属性】
技术研发人员:朱凯旋,
申请(专利权)人:维正知识产权服务有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。