本发明专利技术提供的一种基于标签的信息资产强制访问控制方法,所述控制方法包括:自定义标签管理体系,确定标签类型、定义和标签级别;对信息资产进行打标操作,对信息资产赋予满足业务的标签;为主体赋予标签,确定访问主体,对所述访问主体进行打标操作;为所述标签构建访问策略,对不同类型的标签设置过滤规则;构建信息资产访问过滤器,根据标签的过滤规则,对主体携带的标签与客体携带的标签进行匹配,如果在权限范围内,允许访问;否则,拒绝访问。以强制访问控制机制为基础,引入标签访问控制策略,通过基于标签的访问控制实现了对信息资产的细粒度的访问控制,可实现对象级、行级权限控制,对数据资产的安全提供了更强力的保障。对数据资产的安全提供了更强力的保障。对数据资产的安全提供了更强力的保障。
【技术实现步骤摘要】
一种基于标签的信息资产强制访问控制方法
[0001]本专利技术涉及计算机软件数据库领域,尤其涉及一种基于标签的信息资产强制访问控制方法。
技术介绍
[0002]强制访问控制对访问主体和受控对象标识两个安全标签,一个是具有偏序关系的安全等级标签,另一个是非等级分类标签,他们是实施强制访问控制的依据,系统通过比较主体和客体的访问标签来决定一个主体是否能够访问某个客体。用户的程序不能更改它自己以及任何其他客体的安全标签,只有管理员才能确定用户和组的访问权限。
[0003]强制访问控制更多应用于安全领域,且更多是面向不同级别的信息的访问,系统根据主体被信任的程度和客体所包含的信息的机密性或敏感程度来决定主体对客体的访问权,这种控制通过给主、客体赋以安全标记来实现。这种访问控制方式比较局限,对于一些其他的场景,如需要访问某一类特定的信息资产时不能提供支持。
[0004]而自主访问控制对于数据资产的主动授权有一定的局限性,在需要授权不同数据表中的数据资产时,往往需要记录更多的授权信息来标记权限,且在申请人与申请次数较多情况下会非常复杂。
技术实现思路
[0005]鉴于上述问题,提出了本专利技术以便提供克服上述问题或者至少部分地解决上述问题的一种基于标签的信息资产强制访问控制方法。
[0006]根据本专利技术的一个方面,提供了一种基于标签的信息资产强制访问控制方法,利用强制访问控制策略控制,利用主体与客体之间的标签匹配规则,所述控制方法包括:
[0007]自定义标签管理体系,确定标签类型、定义和标签级别;
[0008]对信息资产进行打标操作,对信息资产赋予满足业务的标签;
[0009]为主体赋予标签,确定访问主体,对所述访问主体进行打标操作;
[0010]为所述标签构建访问策略,对不同类型的标签设置过滤规则;
[0011]构建信息资产访问过滤器,根据标签的过滤规则,对主体携带的标签与客体携带的标签进行匹配,如果在权限范围内,允许访问;否则,拒绝访问。
[0012]可选的,所述标签类型具体包括:
[0013]枚举型标签,为一个标签集合,所述标签集合中的标签属于一个业务集合,集合中的标签之间互不关联;
[0014]值域型标签,为不同级别、不同值域的标签;
[0015]层级型标签,为按照层级级别分类的标签。
[0016]可选的,所述为所述标签构建访问策略,对不同类型的标签设置过滤规则具体包括:
[0017]所述枚举型标签设置的过滤策略为直接匹配,主体与客体的标签对应匹配上可返
回数据;
[0018]所述值域型标签设置的过滤策略为级别匹配,主体的标签如果高于客体的标签,则返回数据;否则,不返回数据;
[0019]所述层次型标签设置的过滤策略为父级标签访问子级标签,否则,不返回数据。
[0020]可选的,所述构建信息资产访问过滤器,根据标签的过滤规则,对主体携带的标签与客体携带的标签进行匹配,如果在权限范围内具体包括:
[0021]执行程序主体访问信息资产,所述执行程序主体通过标准计算机语言;
[0022]获取所述执行程序主体上所携带的标签,获得主体标签;
[0023]根据所述主体标签类型确定对应的过滤策略;
[0024]采用编译器将计算机语言的语句进行语法和词法解析,形成语法树;
[0025]获取标签转换信息转换为语法树的节点,并重构抽象语法树;
[0026]将所述抽象语法树转化为RelNode树,并转为物理执行计划;
[0027]连接数据源,根据查询计划进行操作处理,将所述物理执行计划转化成可在特定的平台执行的程序;
[0028]执行完成后,获取执行完成后的信息资产,并返回结果。
[0029]本专利技术提供的一种基于标签的信息资产强制访问控制方法,利用强制访问控制策略控制,利用主体与客体之间的标签匹配规则,所述控制方法包括:自定义标签管理体系,确定标签类型、定义和标签级别;对信息资产进行打标操作,对信息资产赋予满足业务的标签;为主体赋予标签,确定访问主体,对所述访问主体进行打标操作;为所述标签构建访问策略,对不同类型的标签设置过滤规则;构建信息资产访问过滤器,根据标签的过滤规则,对主体携带的标签与客体携带的标签进行匹配,如果在权限范围内,允许访问;否则,拒绝访问。以强制访问控制机制为基础,引入标签访问控制策略,通过基于标签的访问控制实现了对信息资产的细粒度的访问控制,可实现对象级、行级权限控制,对数据资产的安全提供了更强力的保障。
[0030]上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。
附图说明
[0031]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0032]图1为本专利技术实施例提供的一种基于标签的信息资产强制访问控制方法的流程图。
具体实施方式
[0033]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例
所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0034]本专利技术的说明书实施例和权利要求书及附图中的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元。
[0035]下面结合附图和实施例,对本专利技术的技术方案做进一步的详细描述。
[0036]如图1所示,一种基于标签的信息资产强制访问控制方法,利用强制访问控制策略控制,利用主体与客体之间的标签匹配规则,控制方法包括:
[0037]自定义标签管理体系,确定标签类型、定义和标签级别。
[0038]标签类型具体包括:枚举型标签,为一个标签集合,标签集合中的标签属于一个业务集合,集合中的标签之间互不关联,例如性别类标签;值域型标签,为不同级别、不同值域的标签,例如安全类标签;层级型标签,为按照层级级别分类的标签,例如机构类标签和地域类标签。
[0039]对信息资产进行打标操作,对信息资产赋予满足业务的标签;
[0040]为主体赋予标签,确定访问主体,对访问主体进行打标操作;
[0041]为标签构建访问策略,对不同类型的标签设置过滤规则;
[0042]枚举型标签设置的过滤策略为直接匹配,主体与客体的标签对应匹配上可返回数据;值域型标签设置的过滤策略为级别匹配,主体的标签如果高于客体的标签,则返回数据;否则,不返回数据;层次型标签设置的过滤策略为父本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于标签的信息资产强制访问控制方法,其特征在于,利用强制访问控制策略控制,利用主体与客体之间的标签匹配规则,所述控制方法包括:自定义标签管理体系,确定标签类型、定义和标签级别;对信息资产进行打标操作,对信息资产赋予满足业务的标签;为主体赋予标签,确定访问主体,对所述访问主体进行打标操作;为所述标签构建访问策略,对不同类型的标签设置过滤规则;构建信息资产访问过滤器,根据标签的过滤规则,对主体携带的标签与客体携带的标签进行匹配,如果在权限范围内,允许访问;否则,拒绝访问。2.根据权利要求1所述的一种基于标签的信息资产强制访问控制方法,其特征在于,所述标签类型具体包括:枚举型标签,为一个标签集合,所述标签集合中的标签属于一个业务集合,集合中的标签之间互不关联;值域型标签,为不同级别、不同值域的标签;层级型标签,为按照层级级别分类的标签。3.根据权利要求2所述的一种基于标签的信息资产强制访问控制方法,其特征在于,所述为所述标签构建访问策略,对不同类型的标签设置过滤规则具体包括:所述枚举型标签...
【专利技术属性】
技术研发人员:蒋旭,吴国勇,李涛,谭炜波,柴力伟,李晓雪,王超,王传铭,王德鑫,丁岩,
申请(专利权)人:北京神舟航天软件技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。