[发明专利]一种支持业务安全标记的身份鉴别方法及装置

权利要求书

1.一种支持业务安全标记的身份鉴别方法，其特征在于，该方法用于计算机系统或计算机设备基于业务安全标记在对用户进行身份鉴别的同时完成用户登录后的业务身份授权，该方法包括以下步骤：

配置计算机系统或计算机设备的业务安全标记；所述计算机系统或计算机设备的业务安全标记包含计算机系统或计算机设备的业务安全属性，所述业务安全属性包括安全级别、业务类别；所述计算机系统或计算机设备的业务安全标记记为M(s)＝C_s，G_s；其中C_s为计算机系统或计算机设备的安全级别，G_s为计算机系统或计算机设备的多个业务安全属性的集合；

获取待登录所述计算机系统或计算机设备的用户的业务安全标记；所述用户的业务安全标记包含用户的的业务安全属性，包括安全级别和业务类别；所述用户的业务安全标记记为M(u)＝C_u，G_u，其中C_u为用户的安全级别，G_u为用户的多个业务安全属性的集合；

对计算机系统或计算机设备的业务安全标记M(s)和用户的业务安全标记M(u)进行匹配运算，根据所述匹配运算的结果决定是否允许用户登录，即：如果则拒绝用户登录；否则，允许用户登录；

通过所述匹配运算产生新的业务安全标记M(su)＝C_su，G_su并将其赋予登录的用户，表明该用户登录所述计算机系统或计算机设备后所具有的业务安全属性及资源访问权限，依据此业务安全标记M(su)对登录的用户进行系统资源授权和控制；其中M(su)＝C_su，G_su的匹配运算规则如下：

C_su＝min{C_s，C_u}，即取C_u和C_s中的最低值；

G_su＝G_s∩G_u，即取Gu和Gs的交集。

2.根据权利要求1所述的方法，其特征在于，所述计算机系统或计算机设备的业务安全标记，为计算机系统或计算机设备内的资源和系统对象具有的业务安全标记，由管理人员进行配置、或者由外部导入、或者继承相关用户的业务安全标记。

3.根据权利要求2所述的方法，其特征在于，所述资源的业务安全标记记为M(r)＝C_r，G_r，F_r，所述系统对象的业务安全标记记为M(o)＝C_o，G_o；其中C_r为资源的安全级别，G_r为资源的多个业务安全属性g_i的集合，F_r为资源的操作控制属性f_j的集合，C_o为系统对象的安全级别，G_o为系统对象的多个业务安全属性的集合。

4.根据权利要求3所述的方法，其特征在于，M(o)与M(r)之间的关系有两种：支配关系与不可比；如果C_o≥C_r且记为M(o)≥M(r)，则标记M(o)支配标记M(r)，表示主体可支配客体；如果M(o)与M(r)之间不存在支配关系，则它们之间不可比，主体无权支配客体；如果则主体即系统对象应根据该标记包含的具体操作控制属性f_j限制对资源进行相应操作。

5.根据权利要求1所述的方法，其特征在于，通过以下5种方式中的一种或多种获取用户的业务安全标记：从用户的身份证书中获取；从用户的属性证书中获取；从系统外部的身份管理系统中获取；从用户提供的usbKey等硬件或其他介质中获取；从系统内设置的用户信息中获取。