[发明专利]一种支持多种密级类型的ERP数据强制访问控制方法

说明书

技术领域

本发明属于数据访问安全的MAC（Mandatory access control）技术领域，涉及一种支持多种密级类型的ERP数据强制访问控制方法。

背景技术

MAC是系统为保证更高程度的安全性，按照TDI/TCSEC标准中安全策略的要求，所采取的强制存取检查手段。它不是用户能直接感知或进行控制的。MAC适用于那些对数据有严格而固定密级分类的部门，例如军事部门或政府部门。

在MAC中，DBMS所管理的全部实体被分为主体和客体两大类。主体是系统中的活动实体，既包括DBMS所管理的实际用户，也包括代表用户的各进程。客体是系统中的被动实体，是受主体操纵的，包括文件、基表、索引、视图等。对于主体和客体，DBMS为它们每个实例（值）指派一个敏感度标记（Label）。

敏感度标记被分成若干级别，例如绝密（Top Secret）、机密（Secret）、可信（Confidential）、公开（Public）等。主体的敏感度标记称为许可证级别（Clearance Level），客体的敏感度标记称为密级（Classification Level）。MAC机制就是通过对比主体的Label和客体的Label，最终确定主体是否能够存取客体。

当某一用户（或某一主体）以标记label注册入系统时，系统要求他对任何客体的存取必须遵循如下规则：仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体；仅当主体的许可证级别等于客体的密级时，该主体才能写相应的客体。

强制存取控制（MAC）是对数据本身进行密级标记，无论数据如何复制，标记与数据是一个不可分的整体，只有符合密级标记要求的用户才可以操纵数据，从而提供了更高级别的安全性。

发明内容

为解决上述问题，本发明的目的在于提供一种支持多种密级类型的ERP数据强制访问控制方法。

为实现上述目的，本发明的技术方案为：

一种支持多种密级类型的ERP数据强制访问控制方法,包括如下步骤:

S10：定义密级类型;

S11：为用户标记密级属性;

S12：为业务单据设置密级控制信息;

S13：定义业务取数的密级强制访问控制。

进一步地,步骤S10中，密级类型统一定义，定义密级类型时，需设置存取密级数据的数据库表, 每种类型都有单独的数据表存储密级数据。

进一步地,步骤S10中，对密级数据库表进行抽象封装，定义密级数据库表接口，各密级类型的数据库表继承此实体接口，接口中描述了密级数据库表的基本结构。

进一步地,步骤S11中, 通过数据访问用户的密级属性标记，根据需要为用户标记一种或多种密级类型的密级标记。

进一步地,步骤S12中,受密级取数控制的业务单据，需要为其设置密级控制信息，指定单据控制的密级类型、单据的密集标识属性、以及为支持单据数据个性化密级控制的相应单据属性。

进一步地,步骤S13中, 提供统一的密级控制接口，每种密级类型都要实现此密级控制接口。

相较于现有技术，本发明一种支持多种密级类型的ERP数据强制访问控制方法能灵活满足ERP产品各模块、功能不同的数据强制访问控制需求。

附图说明

图1是本发明的流程图示；

图2是本发明的相关数据表结构图示。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1、图2所示，本发明一种支持多种密级类型的ERP数据强制访问控制方法，包括以下步骤：

S10：定义密级类型

S10中，密级类型统一定义，定义密级类型时，需设置存取密级数据的数据库表。每种类型都有单独的数据表存储密级数据。不同密级类型的密级数据库表可以相同，也可以不同。对密级数据库表进行抽象封装，定义密级数据库表接口，各密级类型的数据库表继承此实体接口，接口中描述了密级数据库表的基本结构：表名、密级数据ID列、密级数据名称列、密级类型ID列、密级等级列等。各种密级类型的具体密级数据分开维护，密级数据实体有统一的接口，每种密级数据都具体的实现类。如果某种密级类型对数据的过滤控制有个性化要求，可以设置单独的密级数据库表、密级实体类。

S11：为用户标记密级属性