[发明专利]一种强制访问的控制方法和装置

说明书

本发明涉及一种强制访问的控制方法和装置，该方法包括：对被访问的终端设备的主体和客体的访问权限进行配置，得到配置文件；配置文件包括主体域和客体域，主体域对应有至少一个主体，客体域对应有至少一个客体；获取用户对被访问的终端设备的访问请求；访问请求携带有该用户的访问权限、用于表征访问主体的第一属性信息和用于表征被访问客体的第二属性信息；加载配置文件，根据预先设置好的映射关系以及该访问请求包括的第一属性信息和第二属性信息，确定与该用户对应的目标主体域和目标客体域；基于该用户的访问权限以及目标主体域对目标客体域的访问权限，确定该用户的访问请求是否被允许。本发明的方案能够满足用户的多种应用场景。

技术领域

本发明涉及计算机技术领域，尤其涉及强制访问的控制方法和装置。

背景技术

常规的模型如windows访问控制模型（AccessControlModel）,分为两部分内容：访问令牌（AccessToken）和安全描述符（SecurityDescriptor），它们分别是访问者和被访问者拥有的东西。访问令牌是与特定的Windows账户关联的，所以当同一账户访问其它具有同类安全描述符的文件时，对访问的对象权限是一样的，无法满足强制访问控制要求。

而传统的强制访问的安全模型（如BLP、BIBA模型）是将用户和被访问的文件简单的分为极高、高、中、低、极低级别，权限也比较单一，因此也无法满足用户的多种应用场景。

例如，公开号为CN105959322A的专利公开了一种基于多保护策略融合的强制访问控制方法及系统，该方法主要是利用传统的BLP、BIBA两种安全模型，BLP模型特点为上读下写，即高权限向低权限访问时只有读属性，而低权限向高权限访问时只有写属性；而BIBA模型特点正好相反，两种模型形式均比较单一，在实际的应用过程中，无法满足用户的多种应用场景。

再例如，公开号为CN108614969A的专利公开了一种系统启动后加载的强制访问控制方法及系统，虽然没有使用传统的BLP、BIBA安全模型，但仍将主客体标记设为0-15级，其中，0级为最低级，15级为最高级，因此也无法满足用户的多种应用场景。

因此，针对以上不足，需要提供一种强制访问的控制方法和装置。

发明内容

本发明要解决的技术问题在于不能满足用户的多种应用场景，针对现有技术中的缺陷，提供一种强制访问的控制方法和装置。

为了解决上述技术问题，本发明提供了一种强制访问的控制方法，包括：

对被访问的终端设备的主体和客体的访问权限进行配置，得到配置文件；其中，所述配置文件包括主体域和客体域，所述主体域对应有至少一个主体，所述客体域对应有至少一个客体，所述主体域具有对所述客体域的至少一个访问权限；

获取用户对被访问的终端设备的访问请求；其中，所述访问请求携带有该用户的访问权限、用于表征访问主体的第一属性信息和用于表征被访问客体的第二属性信息；

加载所述配置文件，根据预先设置好的映射关系以及该访问请求包括的第一属性信息和第二属性信息，确定与该用户对应的目标主体域和目标客体域；其中，所述映射关系包括：第一属性信息和主体域的对应关系，以及第二属性信息和客体域的对应关系；

基于该用户的访问权限以及所述目标主体域对所述目标客体域的访问权限，确定该用户的访问请求是否被允许。

在一种可能的实现方式中，所述对被访问的终端设备的主体和客体的访问权限进行配置，包括：

基于预设的安全模型，确定第一主体域和第一客体域；其中，预设的安全模型包括BLP安全模型和BIBA安全模型；