[发明专利]一种细粒度强制访问的控制设计方法有效
申请号: | 201310279692.3 | 申请日: | 2013-07-04 |
公开(公告)号: | CN103312722B | 公开(公告)日: | 2017-02-08 |
发明(设计)人: | 张红斌;丁任霜;王超;裴庆祺;沈玉龙;王艳霞;王美华;顾振普;卿荟知 | 申请(专利权)人: | 河北科技大学;西安电子科技大学 |
主分类号: | H04L29/06 | 分类号: | H04L29/06 |
代理公司: | 北京科亿知识产权代理事务所(普通合伙)11350 | 代理人: | 汤东凤 |
地址: | 050000 河*** | 国省代码: | 河北;13 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 细粒度 强制 访问 控制 设计 方法 | ||
技术领域
本发明涉及信息安全访问控制领域中的强制访问控制、细粒度访问控制策略的设计,具体涉及一种细粒度强制访问的控制设计方法,应用于网络与信息系统的安全管理和安全控制等领域。
背景技术
在目前信息系统的安全管理中,常用访问控制方法有为自主访问控制,强制访问控制,基于角色的访问控制。
自主访问控制(Discretionary Access Control——DAC)是由客体的属主对自己的客体进行管理,由属主自己决定是否将自己客体的访问权或部分访问权授予其他主体,这种控制方式是自主的。在自主访问控制下,一个用户可以自主选择哪些用户可以共享他的文件。
强制访问控制(Mandatory Access Control——MAC),用于将系统中的信息分密级和类进行管理,以保证每个用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制。通俗的来说,在强制访问控制下,用户(或其他主体)与文件(或其他客体)都被标记了固定的安全属性(如安全级、访问权限等),在每次访问发生时,系统检测安全属性以便确定一个用户是否有权访问该文件。其中多级安全(MultiLevel Secure,MLS)就是一种强制访问控制策略。
基于角色的访问控制(Rule-based Access Control——RBAC)理论借鉴组织管理的经验和方法,将信息系统资源访问管理与组织人事管理相结合,根据用户在组织机构中的岗位职责抽象出用于信息系统资源访问控制的角色,建立基于角色的访问控制模型和方法。RBAC理论将角色定义为与某一岗位职责相关的一组访问权限的集合,通过给用户分配或撤销角色实现对用户访问权限的授予或撤销。通过角色的桥梁作用,RBAC简化了系统访问规则的设计和用户访问权限的管理。
在上述访问控制方法中,DAC难以适用于高安全等级的信息系统;MAC能够用于适用于高安全等级的信息系统,但难以实现细粒度的访问控制,也难以在复杂信息系统中设计实现;RBAC可以引入对信息系统动态特性的描述能力和对资源访问情境的关联能力实现细粒度的访问控制,此方法也满足了设计复杂信息系统的访问控制策略需求,但是在RBAC中引入细粒度将会降低资源访问控制的实时性,难以满足系统的实时性保护需求。
因此,需要针对高实时性复杂信息系统的细粒度访问控制需求,需要提出新型的细粒度强制访问控制设计方法。
发明内容
鉴于现有技术的不足,本发明针对高实时性复杂信息系统的访问控制安全问题,提出了一种细粒度强制访问的控制设计方法,本发明中的细粒度强制访问控制设计方法,既吸收了RBAC容易实现细粒度,适用于复杂信息系统的优点,也吸收了MAC高效安全的优势。
为了解决上述技术问题,实现设计细粒度的访问控制策略,以及使用MAC实现细粒度的访问控制,本发明旨在于提供一种细粒度强制访问的控制设计方法,所采用的技术方案如下:
一种细粒度强制访问的控制设计方法,所述方法包括以下步骤:
(1)使用RBAC设计系统组件的细粒度访问控制策略;
(2)使用解析模块将所有系统组件的细粒度访问控制策略解析,合并为全面覆盖系统访问控制策略的访问控制规则集合;
(3)利用访问控制规则集合反向构造访问规则主体和客体的层级偏序结构,实现设计系统的强制访问控制策略。
需要说明的是,其特征在于,所述以RBAC模型作为系统功能组件访问控制策略的设计平台,包括引入平台情境、空间上情境、时间情境和用户情境等多种环境因素设计具有环境感知能力的资源访问控制策略和方法,并通过环境因素构成的约束条件实现针对每个用户的细粒度控制,其中包括
用户应用根据自己的功能获得系统用户角色,但是在一次会话中真正能够使用的系统访问权限最终由两个情境约束约束条件决定:由用户角色激活环境约束条件决定哪些用户角色在一次会话中能够被激活;由访问权限情境约束条件决定被激活用户角色的哪些权限在会话中真正可以操作,两个环境约束条件的引入将访问控制决策与用户资源访问的实时状态关联起来,实现了动态的差异化的细粒度RBAC访问控制策略。
需要说明的是,其特征在于,将系统中所有功能模块的细粒度RBAC访问控制策略解析为:用户→资源,约束条件的形式访问控制规则,形成覆盖整体信息系统的细粒度访问控制策略的规则集合,其中包括
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于河北科技大学;西安电子科技大学,未经河北科技大学;西安电子科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201310279692.3/2.html,转载请声明来源钻瓜专利网。