[发明专利]一种强制访问控制方法及装置

说明书

本发明实施例涉及网络安全技术领域，尤其涉及一种强制访问控制方法及装置。该方法包括：响应于第一访问主体发起的第一访问请求，确定第一访问主体的互联网通信协议IP地址；其中，第一访问主体的IP地址是基于第一访问主体的注册请求而确定的权限标识生成的；权限标识用于表征第一访问主体的访问权限；根据第一访问主体的IP地址确定第一访问主体的访问权限；根据访问权限对第一访问请求进行强制访问控制。将IP地址的生成与访问权限的授予进行联合，一步实现对第一访问主体的强制访问控制，操作简单，且无需在第一访问主体安装访问控制软件客户端，保证了第一访问主体的数据安全。

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种强制访问控制方法、装置、计算设备及计算机可读存储介质。

背景技术

访问控制是计算机网络系统安全防范和保护的重要手段。一般来说，访问控制中会涉及到访问主体和访问客体。访问主体是访问动作的发起者，访问客体为访问动作的接受者。目前有两种典型的访问控制方法：自主访问控制和强制访问控制。

自主访问控制是指由访问客体的属主对自己的访问客体进行管理的访问控制方法，由属主自己决定是否将自己访问客体的部分访问权授予其他访问主体。强制访问控制是指由系统对访问主体和访问客体进行管理的访问控制方法，系统通过为各访问主体和各访问客体标记不同的安全属性，通过安全属性的比较，决定某一访问主体是否能够访问某一访问客体。

采用互联网通信协议第四版(Internet Protocol version 4，IPv4)进行强制访问控制的方案中，通常要求在各访问主体上安装访问控制软件客户端。该访问主体发送的每一条数据报文中会包含源IPv4地址、目标IPv4地址等信息。每一条数据报文都会先经过访问控制软件客户端进行打标，如修改数据报文的选项字段，从而实现对该访问主体对某一访问客体的访问控制。比如，访问主体A发出的每一条数据报文的选项字段都被标记为“有权限”，则每一条数据报文都会被其他访问客体接收，换言之，访问主体A具有访问其他各访问客体的权限。又比如，访问主体A发出的目标IPv4地址为访问客体B的数据报文的选项字段都被标记为“有权限”，而访问主体A发出的目标IPv4地址为访问客体C的数据报文的选项字段都被标记为“无权限”；则访问主体A的每一条发往访问客体B的数据报文都会被访问客体B接收，而访问主体A的每一条发往访问客体C的数据报文都不会被访问客体C接收。换言之，访问主体A具有访问访问客体B的权限，而不具有访问访问客体C的权限。在上述方法中，是由系统的管理人员对各访问主体的访问控制软件客户端进行管理，从而实现对每个访问主体的各数据报文进行打标。

在上述方法中，需要各访问主体安装访问控制软件客户端，各访问主体发出的每一条数据报文都会经由访问控制软件客户端进行打标，这对于安装了访问控制软件客户端的各访问主体而言具备强侵入性，难以保证访问主体的数据安全，且访问控制过程繁琐。

发明内容

本发明实施例提供一种强制访问控制方法，用以提高强制访问控制的效率，且不对访问主体的数据安全造成影响。

第一方面，本发明实施例提供一种强制访问控制方法，包括：

响应于第一访问主体发起的第一访问请求，确定所述第一访问主体的互联网通信协议IP地址；其中，所述第一访问主体的IP地址是基于所述第一访问主体的注册请求而确定的权限标识生成的；所述权限标识用于表征所述第一访问主体的访问权限；

根据所述第一访问主体的IP地址确定所述第一访问主体的访问权限；

根据所述访问权限对所述第一访问请求进行强制访问控制。