[发明专利]一种基于标签的信息资产强制访问控制方法

说明书

本发明提供的一种基于标签的信息资产强制访问控制方法，所述控制方法包括：自定义标签管理体系，确定标签类型、定义和标签级别；对信息资产进行打标操作，对信息资产赋予满足业务的标签；为主体赋予标签，确定访问主体，对所述访问主体进行打标操作；为所述标签构建访问策略，对不同类型的标签设置过滤规则；构建信息资产访问过滤器，根据标签的过滤规则，对主体携带的标签与客体携带的标签进行匹配，如果在权限范围内，允许访问；否则，拒绝访问。以强制访问控制机制为基础，引入标签访问控制策略，通过基于标签的访问控制实现了对信息资产的细粒度的访问控制，可实现对象级、行级权限控制，对数据资产的安全提供了更强力的保障。

技术领域

本发明涉及计算机软件数据库领域，尤其涉及一种基于标签的信息资产强制访问控制方法。

背景技术

强制访问控制对访问主体和受控对象标识两个安全标签，一个是具有偏序关系的安全等级标签，另一个是非等级分类标签，他们是实施强制访问控制的依据，系统通过比较主体和客体的访问标签来决定一个主体是否能够访问某个客体。用户的程序不能更改它自己以及任何其他客体的安全标签，只有管理员才能确定用户和组的访问权限。

强制访问控制更多应用于安全领域，且更多是面向不同级别的信息的访问，系统根据主体被信任的程度和客体所包含的信息的机密性或敏感程度来决定主体对客体的访问权，这种控制通过给主、客体赋以安全标记来实现。这种访问控制方式比较局限，对于一些其他的场景，如需要访问某一类特定的信息资产时不能提供支持。

而自主访问控制对于数据资产的主动授权有一定的局限性，在需要授权不同数据表中的数据资产时，往往需要记录更多的授权信息来标记权限，且在申请人与申请次数较多情况下会非常复杂。

发明内容

鉴于上述问题，提出了本发明以便提供克服上述问题或者至少部分地解决上述问题的一种基于标签的信息资产强制访问控制方法。

根据本发明的一个方面，提供了一种基于标签的信息资产强制访问控制方法，利用强制访问控制策略控制，利用主体与客体之间的标签匹配规则，所述控制方法包括：

自定义标签管理体系，确定标签类型、定义和标签级别；

对信息资产进行打标操作，对信息资产赋予满足业务的标签；

为主体赋予标签，确定访问主体，对所述访问主体进行打标操作；

为所述标签构建访问策略，对不同类型的标签设置过滤规则；

构建信息资产访问过滤器，根据标签的过滤规则，对主体携带的标签与客体携带的标签进行匹配，如果在权限范围内，允许访问；否则，拒绝访问。

可选的，所述标签类型具体包括：

枚举型标签，为一个标签集合，所述标签集合中的标签属于一个业务集合，集合中的标签之间互不关联；

值域型标签，为不同级别、不同值域的标签；

层级型标签，为按照层级级别分类的标签。

可选的，所述为所述标签构建访问策略，对不同类型的标签设置过滤规则具体包括：

所述枚举型标签设置的过滤策略为直接匹配，主体与客体的标签对应匹配上可返回数据；

所述值域型标签设置的过滤策略为级别匹配，主体的标签如果高于客体的标签，则返回数据；否则，不返回数据；

所述层次型标签设置的过滤策略为父级标签访问子级标签，否则，不返回数据。

可选的，所述构建信息资产访问过滤器，根据标签的过滤规则，对主体携带的标签与客体携带的标签进行匹配，如果在权限范围内具体包括：

执行程序主体访问信息资产，所述执行程序主体通过标准计算机语言；