一种支持业务安全标记的身份鉴别方法及装置制造方法及图纸

本发明专利技术涉及一种支持业务安全标记的身份鉴别方法及装置。该方法包括：配置计算机系统或计算机设备的业务安全标记；获取待登录所述计算机系统或计算机设备的用户的业务安全标记；对计算机系统或计算机设备的业务安全标记和用户的业务安全标记进行匹配运算，根据所述匹配运算的结果决定是否允许用户登录；通过所述匹配运算产生新的业务安全标记并将其赋予登录的用户，作为该用户登录所述计算机系统或计算机设备后的资源访问权限。本发明专利技术使得用户在登陆计算机系统或设备时，可以基于系统的业务安全属性与用户的业务安全属性控制登录行为，并对登录用户进行细粒度授权，从而确保用户对系统内资源仅拥有业务所需的最小访问权限，提升了系统的安全性。

An identification method and device supporting service security mark

The invention relates to an identity authentication method and a device supporting a service security mark. The method includes: configuring the business security mark of the computer system or computer equipment; obtaining the business security mark of the user to log in to the computer system or computer equipment; matching the business security mark of the computer system or computer equipment with the business security mark of the user, and deciding whether to allow the user to log in according to the result of the matching operation; and The matching operation generates a new business security mark and assigns it to the logged in user as the resource access right after the user logs in the computer system or computer device. The invention enables the user to control the login behavior based on the business security attribute of the system and the business security attribute of the user when logging in the computer system or equipment, and authorizes the login user in a fine-grained way, so as to ensure that the user only has the minimum access right required by the business to the resources in the system, and improves the security of the system.

【技术实现步骤摘要】
一种支持业务安全标记的身份鉴别方法及装置
本专利技术涉及一种身份鉴别方法及装置，尤其涉及一种基于业务安全标记的身份鉴别方法及装置，属于计算机信息安全领域。
技术介绍
为了有效保护数据信息安全，计算机系统和设备通常应用身份鉴别技术验证登陆用户身份的合法性。用户在登陆系统时进行身份验证，通过身份验证的用户被授权在系统内执行相关操作。但目前的身份鉴别系统仅对用户身份的合法性进行鉴别并提供相关属性信息，不能理解系统的业务安全属性，无法基于用户与系统的业务安全属性进行细粒度的匹配和授权，以确保用户对系统内资源仅拥有业务所需的最小访问权限。
技术实现思路
针对现有计算机系统和设备的难以面向业务进行授权的问题，本专利技术的目的在于提供一种方法，支持用户在进行身份鉴别时，获取用户的业务安全标记，从而根据用户的业务安全属性对用户进行访问授权。为实现上述目的，本专利技术提供一种支持业务安全标记的身份鉴别方法，该方法包括以下步骤：Step1：配置计算机系统或计算机设备的业务安全标记。为计算机系统或计算机设备等配置业务安全标记，表明其具有的安全级别、业务类别等业务安全属性。该业务安全标记可由管理人员进行配置。其中，计算机系统或计算机设备，是指由软件和硬件等构成，能够按照设定程序进行相关操作的系统或设备的统称。Step2：获取用户的业务安全标记。当用户登陆系统进行身份鉴别时，获取用户的业务安全标记，该标记表明用户的安全级别、业务类别等业务安全属性。Step3：基于业务安全标记进行登录授权。对用户的业务安全标记与系统的业务安全标记进行匹配运算，根据匹配运算结果决定是否允许用户登录，并将匹配运算产生的业务安全标记赋予登录用户，表明该用户具有的业务安全属性，作为该用户登录系统后可用的资源访问权限。预设信息：计算机系统或设备内的资源和系统对象具有业务安全标记，表明其具有的安全级别、业务类别等业务安全属性。该业务安全标记可由管理人员进行配置、外部导入或继承相关用户的业务安全标记。为实现上述目的，本专利技术还提供了一种支持业务安全标记的身份鉴别装置，主要包括系统标记配置模块、标记匹配与授权模块；所述系统标记配置模块主要为计算机系统或设备配置业务安全标记，或对其业务安全标记进行变更。所述标记匹配与授权模块主要实现获取用户的业务安全标记，并与系统的业务安全标记进行匹配运算，根据匹配运算结果决定是否允许用户登录，并将匹配运算产生的业务安全标记赋予登录用户，作为该用户登录系统后可用的资源访问权限。另一方面，本专利技术还提供一种计算机系统(或计算机设备)，其包括上面所述的支持业务安全标记的身份鉴别装置。与现有技术相比，本专利技术的积极效果为：本专利技术的支持业务安全标记的身份鉴别方法及装置，提供了一种面向业务安全要求的身份鉴别及授权机制，可以配置并标识系统的业务安全属性，使得用户在登陆计算机系统或设备时，可以基于系统的业务安全属性与用户的业务安全属性控制登录行为，并对登录用户进行细粒度授权，从而确保用户对系统内资源仅拥有业务所需的最小访问权限，提升了系统的安全性。附图说明图1为本专利技术的支持业务安全标记的身份鉴别方法的基本流程图；图2为本专利技术的支持业务安全标记的身份鉴别装置的基本结构图。具体实施方式为使本专利技术的上述目的、特征和优点能够更加明显易懂，以下结合附图对本专利技术的优选实施例进行说明，应当理解，此处所描述的实施例仅用于说明和解释本专利技术，并不用于限定本专利技术。本专利技术第一实施例的支持业务安全标记的身份鉴别方法的基本流程图请参见图1，下面将参考图1对本专利技术的支持业务安全标记的身份鉴别方法进行详述：1.业务安全标记业务安全标记M为一个包含多种业务安全属性的多元组，M＝<C，G，F>。其中C为安全级别；G为多个业务安全属性gi的集合，G＝{g1,g2,…gn}，gi可以为业务类别、工作组、角色、环境要求等业务安全属性；F为操作控制属性fj的集合，F＝{f1,f2,…fm}，fj可以为读写控制、打印控制、刻录控制、拷贝控制等操作类属性。计算机系统或设备中，数据等信息对象(资源)的业务安全标记记为M(r)＝<Cr，Gr，Fr>，系统、设备和进程等系统对象(主体)的业务安全标记记为M(o)＝<Co，Go>。主体标记M(o)与资源标记M(r)之间的关系有两种：支配关系与不可比。标记M(o)支配标记M(r)，当Co≥Cr且我们记为M(o)≥M(r)，表示主体可支配客体。如果M(o)与M(r)之间不存在支配关系，则它们之间不可比，主体无权支配客体。如果则主体应根据该标记包含的具体操作控制属性fj限制对资源进行相应操作。在这种抽象定义下，计算机系统或设备内的任一系统对象pi具有的业务安全标记可记为M(pi)＝<Cpi，Gpi>，表明其具有的安全级别、业务类别等业务安全属性。2.配置系统对象的业务安全标记为计算机系统或设备配置的业务安全标记记为M(s)＝<Cs，Gs>，该标记表明计算机系统或设备的安全级别、业务类别等业务安全属性。3.获取用户的业务安全标记当任一用户登陆系统进行身份鉴别时，获取用户的业务安全标记，记为M(u)＝<Cu，Gu>，该标记表明用户的安全级别、业务类别等业务安全属性。用户的业务安全标记至少可以通过以下常见的5种方式获取：方式1：从用户的身份证书中获取；方式2：从用户的属性证书中获取；方式3：从系统外部的身份管理系统中获取；方式4：从用户提供的usbKey等硬件或其他介质中获取；方式5：从系统内设置的用户信息中获取。4.业务安全标记匹配及登录授权基于业务安全标记进行访问授权。对用户的业务安全标记M(u)与系统的业务安全标记M(s)进行匹配运算，如果则拒绝用户登录；否则，允许用户登录，并将匹配运算产生的业务安全标记M(su)赋予登录用户，作为该用户登录系统后可用的资源访问权限。所述登录用户的业务安全标记M(su)＝<Csu，Gsu>的匹配运算规则如下：Csu＝min{Cs，Cu}，即取Cu和Cs中的最低(最小)值；Gsu＝Gs∩Gu，即取Gu和Gs的交集。本实施例中，用户在登陆计算机系统或设备时，通过将用户的业务安全标记与系统的业务安全标记进行匹配运算，以限定用户在获取系统合法身份信息时，同时获取合规的业务安全标记信息，实现基于数据信息的业务安全属性进行相应的授权和管控。本专利技术第二实施例的支持业务安全标记的身份鉴别装置的基本结构图请参见图2，下面将参考图2，对本专利技术的支持业务安全标记的身份鉴别装置进行详述。身份鉴别装置主要包括系统标记配置模块、标记匹配与授权模块：1.系统标记配置模块系统标记配置模块主要配置计算机系统或设备的业务安全标记M(s)，或对其业务安全标记M(s)进行变更。2.标记匹配与授权模块标记匹配与授权模块主要包括3部分功能，获取用户的业务安全标记，进行业务安全标记匹配运算，为登录用户授权。(1)获取用户的业务安全标记M(u)功能。此功能至少有5种设计方式，方式1，设计从用户的身份证书中读取该用户的业务安全标记M(u)；方式2，设计从用户的属性证书中读取该用户的业务安全标记M(u)；方式3，设计从外部的身份管理系统中读取该用户的业务安全标记M(u)；方式4，设计从用户提供的u本文档来自技高网...

【技术保护点】
1.一种支持业务安全标记的身份鉴别方法，其特征在于，包括以下步骤：配置计算机系统或计算机设备的业务安全标记；获取待登录所述计算机系统或计算机设备的用户的业务安全标记；对计算机系统或计算机设备的业务安全标记和用户的业务安全标记进行匹配运算，根据所述匹配运算的结果决定是否允许用户登录；通过所述匹配运算产生新的业务安全标记并将其赋予登录的用户，表明该用户登录所述计算机系统或计算机设备后所具有的业务安全属性及资源访问权限。

【技术特征摘要】
1.一种支持业务安全标记的身份鉴别方法，其特征在于，包括以下步骤：配置计算机系统或计算机设备的业务安全标记；获取待登录所述计算机系统或计算机设备的用户的业务安全标记；对计算机系统或计算机设备的业务安全标记和用户的业务安全标记进行匹配运算，根据所述匹配运算的结果决定是否允许用户登录；通过所述匹配运算产生新的业务安全标记并将其赋予登录的用户，表明该用户登录所述计算机系统或计算机设备后所具有的业务安全属性及资源访问权限。2.根据权利要求1所述的方法，其特征在于，所述业务安全标记包含业务安全属性，所述业务安全属性包括安全级别、业务类别。3.根据权利要求2所述的方法，其特征在于，所述计算机系统或计算机设备的业务安全标记，为计算机系统或计算机设备内的资源和系统对象具有的业务安全标记，由管理人员进行配置、或者由外部导入、或者继承相关用户的业务安全标记。4.根据权利要求3所述的方法，其特征在于，所述资源的业务安全标记记为M(r)＝<Cr，Gr，Fr>，所述系统对象的业务安全标记记为M(o)＝<Co，Go>；其中C为安全级别，G为多个业务安全属性gi的集合，F为操作控制属性fj的集合。5.根据权利要求4所述的方法，其特征在于，M(o)与M(r)之间的关系有两种：支配关系与不可比；如果Co≥Cr且记为M(o)≥M(r)，则标记M(o)支配标记M(r)，表示主体可支配客体；如果M(o)与M(r)之间不存在支配关系，则它们之间不可比，主体无权支配客体；如果则主体即系统对象应根据该标记包含的具体操作控制属性fj限制对资源进行相应操作。6.根据权利要求4或5所述的方法，其特征在于，...

【专利技术属性】
技术研发人员：于海波，李宏宝，刘坤颖，肖俊超，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11