午夜毛片免费看,老师老少妇黄色网站,久久本道综合久久伊人,伊人黄片子

一種基于安全標(biāo)記的訪問控制方法和相關(guān)系統(tǒng)的制作方法

文檔序號(hào):7930076閱讀:277來源:國(guó)知局
專利名稱:一種基于安全標(biāo)記的訪問控制方法和相關(guān)系統(tǒng)的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及中間件技術(shù)領(lǐng)域,尤其涉及一種基于安全標(biāo)記的訪問控制方法和相關(guān)系統(tǒng)。
背景技術(shù)
保護(hù)信息安全的一項(xiàng)重要技術(shù)就是訪問控制技術(shù),所謂訪問控制,是指按主體身份及其所歸屬的某預(yù)定義組來限制主體對(duì)某些客體的訪問。實(shí)施訪問控制主要有三方面目的一、防止非法主體訪問受保護(hù)客體。二、允許合法主體訪問受保護(hù)的客體。三、防止合法主體對(duì)受保護(hù)的客體進(jìn)行非授權(quán)的訪問。為了加強(qiáng)信息安全保護(hù)工作,我國(guó)出臺(tái)了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》和《信息系統(tǒng)安全等級(jí)保護(hù)要求》,建立起信息安全等級(jí)保護(hù)制度,這對(duì)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的建設(shè)提出了新的技術(shù)要求。而基于安全標(biāo)記的訪問控制技術(shù)就是強(qiáng)制訪問控制(Mandatory Access Control, MAC)技術(shù),所謂MAC,是指主體與客體都被標(biāo)記了固定的安全屬性,如安全級(jí)、訪問權(quán)限等,在每次訪問發(fā)生時(shí),系統(tǒng)檢測(cè)安全屬性以便確定主體是否有權(quán)訪問該客體。MAC 技術(shù)能夠滿足上述建設(shè)信息安全等級(jí)保護(hù)制度的需要。目前,在中間件技術(shù)中訪問控制是由應(yīng)用程序自行進(jìn)行操作的,每個(gè)應(yīng)用程序都根據(jù)自身的需要進(jìn)行應(yīng)用和授權(quán)的開發(fā)。但是,根據(jù)目前這種由應(yīng)用程序自行進(jìn)行操作的訪問控制方法,每個(gè)應(yīng)用程序都需要進(jìn)行應(yīng)用和授權(quán)的開發(fā),無法在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理,同時(shí)也無法適應(yīng)建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要。

發(fā)明內(nèi)容
有鑒于此,本發(fā)明提供了一種基于安全標(biāo)記的訪問控制方法和相關(guān)系統(tǒng),用于將 MAC技術(shù)應(yīng)用于中間件層,以便在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要。一種基于安全標(biāo)記的訪問控制方法,包括中間件套件獲取web訪問請(qǐng)求消息;所述中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱,所述主體為訪問方,所述客體為被訪問方;所述中間件套件查詢所述客體的名稱并獲取所述客體的安全標(biāo)記;所述中間件套件根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)web訪問進(jìn)行訪問控制。一種基于安全標(biāo)記的訪問控制系統(tǒng),包括中間件套件,所述中間件套件包括第一獲取模塊,用于獲取web訪問請(qǐng)求消息;
第二獲取模塊,用于從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱, 所述主體為訪問方,所述客體為被訪問方;第三獲取模塊,用于查詢所述客體的名稱并獲取所述客體的安全標(biāo)記;訪問控制模塊,用于根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)web訪問進(jìn)行訪問控制。從以上技術(shù)方案可以看出,本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)通過獲取主體的安全標(biāo)記和客體的安全標(biāo)記,使得中間件套件能夠根據(jù)所述安全標(biāo)記就主體和客體進(jìn)行訪問控制,因此能夠在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理, 而且本方法是基于安全標(biāo)記實(shí)現(xiàn)的,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要。


圖1為本發(fā)明第一實(shí)施例基于安全標(biāo)記的訪問控制方法基本流程圖;圖2為本發(fā)明第二實(shí)施例基于安全標(biāo)記的訪問控制方法詳細(xì)流程圖;圖3為本發(fā)明第三實(shí)施例基于安全標(biāo)記的訪問控制方法詳細(xì)流程圖;圖4為本發(fā)明第四實(shí)施例基于安全標(biāo)記的訪問控制方法詳細(xì)流程圖;圖5為本發(fā)明第五實(shí)施例基于安全標(biāo)記的訪問控制系統(tǒng)基本結(jié)構(gòu)圖;圖6為本發(fā)明第六實(shí)施例基于安全標(biāo)記的訪問控制系統(tǒng)詳細(xì)結(jié)構(gòu)圖。
具體實(shí)施例方式本發(fā)明實(shí)施例提供了一種基于安全標(biāo)記的訪問控制方法,用于將MAC技術(shù)應(yīng)用于中間件層,以便在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要。本發(fā)明實(shí)施例還提供相關(guān)的系統(tǒng),以下分別進(jìn)行詳細(xì)的說明。本發(fā)明第一實(shí)施例的基于安全標(biāo)記的訪問控制方法基本流程圖請(qǐng)參見圖1,主要包括步驟101、中間件套件獲取web訪問請(qǐng)求消息。其中,主體對(duì)客體進(jìn)行訪問之前,向中間件發(fā)送web訪問請(qǐng)求消息,中間件套件可以獲取該web訪問請(qǐng)求消息,該web訪問請(qǐng)求消息中包含主體安全標(biāo)記和客體的名稱等信肩、ο102、中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱。其中,web訪問請(qǐng)求消息由主體向中間件套件發(fā)送,中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱。103、中間件套件查詢所述客體的名稱并獲取所述客體的安全標(biāo)記。其中,中間件套件根據(jù)從web訪問請(qǐng)求消息中所獲取的客體的名稱查詢客體,并獲取該客體的安全標(biāo)記。104、中間件套件根據(jù)主體的安全標(biāo)記和客體的安全標(biāo)記對(duì)web訪問進(jìn)行訪問控制。其中,中間件套件將以主體的安全標(biāo)記和客體的安全標(biāo)記作為訪問控制依據(jù),對(duì)該主體的web訪問進(jìn)行訪問控制。訪問控制結(jié)果可以是授權(quán)主體對(duì)客體進(jìn)行訪問,也可以是拒絕主體對(duì)客體進(jìn)行訪問。在本實(shí)施例中,通過獲取主體的安全標(biāo)記和客體的安全標(biāo)記,使得中間件套件能夠根據(jù)所述安全標(biāo)記就主體和客體進(jìn)行訪問控制,因此能夠在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理,而且本方法是基于安全標(biāo)記實(shí)現(xiàn)的,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要。本發(fā)明第二實(shí)施例將對(duì)第一實(shí)施例中的基于安全標(biāo)記的訪問控制方法進(jìn)行詳細(xì)描述,其中,安全標(biāo)記包括安全等級(jí)和安全范疇,相關(guān)的中間件套件根據(jù)主體的安全標(biāo)記和客體的安全標(biāo)記對(duì)web訪問進(jìn)行訪問控制的步驟將在本實(shí)施例中詳細(xì)描述。本實(shí)施例流程圖請(qǐng)參見圖2,主要包括步驟201、中間件套件獲取web訪問請(qǐng)求消息。其中,主體對(duì)客體進(jìn)行訪問之前,向中間件發(fā)送web訪問請(qǐng)求消息,中間件套件可以獲取該web訪問請(qǐng)求消息,該web訪問請(qǐng)求消息中包含主體安全標(biāo)記和客體的名稱等信肩、ο202、中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱。其中,web訪問請(qǐng)求消息由主體向中間件套件發(fā)送,中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱。所述主體的安全標(biāo)記包括所述主體的安全等級(jí)和所述主體的安全范疇,并且主體的安全等級(jí)是根據(jù)國(guó)家信息安全標(biāo)準(zhǔn)進(jìn)行定義的。203、中間件套件查詢所述客體的名稱并獲取所述客體的安全標(biāo)記。其中,中間件套件根據(jù)從web訪問請(qǐng)求消息中所獲取的客體的名稱查詢客體,并獲取該客體的安全標(biāo)記。所述客體的安全標(biāo)記包括所述客體的安全等級(jí)和所述客體的安全范疇,并且客體的安全等級(jí)是根據(jù)國(guó)家信息安全標(biāo)準(zhǔn)進(jìn)行定義的。204、中間件套件判斷主體的安全等級(jí)是否高于客體的安全等級(jí),并判斷客體的安全范疇是否為主體的安全范疇的子集。其中,若所述主體的安全等級(jí)高于所述客體的安全等級(jí),且所述客體的安全范疇為所述主體的安全范疇的子集,則可以確定所述主體具有對(duì)所述客體的訪問權(quán)限,則所述中間件套件將授權(quán)所述主體對(duì)所述客體進(jìn)行訪問,否則可以確定所述主體不具有對(duì)所述客體的訪問權(quán)限,則中間件套件將拒絕所述主體對(duì)所述客體進(jìn)行訪問。在本實(shí)施例中,通過獲取主體的安全標(biāo)記和客體的安全標(biāo)記,使得中間件套件能夠根據(jù)所述安全標(biāo)記就主體對(duì)客體是否具有訪問權(quán)限進(jìn)行訪問控制,因此能夠在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理,而且本方法是基于安全標(biāo)記實(shí)現(xiàn)的,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要。本發(fā)明第三實(shí)施例將對(duì)第二實(shí)施例中的基于安全標(biāo)記的訪問控制方法進(jìn)行詳細(xì)描述,其中,將對(duì)如何為主體和客體賦予安全標(biāo)記進(jìn)行詳細(xì)描述。本實(shí)施例流程圖請(qǐng)參見圖 3,主要包括步驟301、應(yīng)用系統(tǒng)為主體賦予安全標(biāo)記。其中,應(yīng)用系統(tǒng)根據(jù)現(xiàn)有的信息安全標(biāo)準(zhǔn)為主體賦予安全等級(jí)和安全范疇。所述的現(xiàn)有的信息安全標(biāo)準(zhǔn)是根據(jù)國(guó)家的法律法規(guī)確定的,故主體的安全等級(jí)和安全范疇是可以進(jìn)行適應(yīng)性調(diào)整的。302、中間件套件為客體賦予安全標(biāo)記。
其中,客體作為web資源,由中間件套件統(tǒng)一進(jìn)行安全標(biāo)記的賦予,中間件套件根據(jù)現(xiàn)有的信息安全標(biāo)準(zhǔn)為客體賦予安全等級(jí)和安全范疇。所述的現(xiàn)有的信息安全標(biāo)準(zhǔn)是根據(jù)國(guó)家的法律法規(guī)確定的,故客體的安全等級(jí)和安全范疇是可以進(jìn)行適應(yīng)性調(diào)整的。303、中間件套件獲取web訪問請(qǐng)求消息。其中,主體對(duì)客體進(jìn)行訪問之前,向中間件發(fā)送web訪問請(qǐng)求消息,中間件套件可以獲取該web訪問請(qǐng)求消息,該web訪問請(qǐng)求消息中包含主體安全標(biāo)記和客體的名稱等信肩、ο304、中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱。其中,web訪問請(qǐng)求消息由主體向中間件套件發(fā)送,中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱。所述主體的安全標(biāo)記包括所述主體的安全等級(jí)和所述主體的安全范疇,并且主體的安全等級(jí)是根據(jù)國(guó)家信息安全標(biāo)準(zhǔn)進(jìn)行定義的。305、中間件套件查詢所述客體的名稱并獲取所述客體的安全標(biāo)記。其中,中間件套件根據(jù)從web訪問請(qǐng)求消息中所獲取的客體的名稱查詢客體,并獲取該客體的安全標(biāo)記。所述客體的安全標(biāo)記包括所述客體的安全等級(jí)和所述客體的安全范疇,并且客體的安全等級(jí)是根據(jù)國(guó)家信息安全標(biāo)準(zhǔn)進(jìn)行定義的。306、中間件套件判斷主體的安全等級(jí)是否高于客體的安全等級(jí),并判斷客體的安全范疇是否為主體的安全范疇的子集。其中,若所述主體的安全等級(jí)高于所述客體的安全等級(jí),且所述客體的安全范疇為所述主體的安全范疇的子集,則可以確定所述主體具有對(duì)所述客體的訪問權(quán)限,則所述中間件套件將授權(quán)所述主體對(duì)所述客體進(jìn)行訪問,否則可以確定所述主體不具有對(duì)所述客體的訪問權(quán)限,則中間件套件將拒絕所述主體對(duì)所述客體進(jìn)行訪問。在本實(shí)施例中,通過應(yīng)用系統(tǒng)為主體賦予安全標(biāo)記,中間件套件為客體賦予安全標(biāo)記,當(dāng)主體要對(duì)客體進(jìn)行訪問時(shí),主體向中間件發(fā)送web訪問請(qǐng)求消息,中間件套件獲取主體的安全標(biāo)記和客體的安全標(biāo)記,使得中間件套件能夠根據(jù)所述安全標(biāo)記就主體對(duì)客體是否具有訪問權(quán)限進(jìn)行訪問控制,因此能夠在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理, 而且本方法是基于安全標(biāo)記實(shí)現(xiàn)的,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要。本發(fā)明第四實(shí)施例將對(duì)第三實(shí)施例中的基于安全標(biāo)記的訪問控制方法進(jìn)行詳細(xì)描述,其中,將對(duì)應(yīng)用系統(tǒng)為主體賦予安全標(biāo)記的步驟進(jìn)行詳細(xì)描述。本實(shí)施例流程圖請(qǐng)參見圖4,主要包括步驟401、應(yīng)用系統(tǒng)為具有相同訪問權(quán)限的主體賦予同一個(gè)角色。其中,很多主體對(duì)客體有相同的訪問權(quán)限,所以將需要被賦予相同的安全等級(jí)和安全范疇,這些主體如果逐一進(jìn)行安全標(biāo)記的賦予,則會(huì)產(chǎn)生較大的工作量,若這些主體需要全部進(jìn)行修改安全標(biāo)記,則還是會(huì)產(chǎn)生較大的工作量。為了簡(jiǎn)化主體安全標(biāo)記的賦予過程,應(yīng)用系統(tǒng)為具有相同訪問權(quán)限的主體賦予同一個(gè)角色。402、應(yīng)用系統(tǒng)為不同的角色賦予對(duì)應(yīng)的安全標(biāo)記。其中,應(yīng)用系統(tǒng)根據(jù)現(xiàn)有的信息安全標(biāo)準(zhǔn)為不同的角色賦予不同的安全等級(jí)和的安全范疇。所述的現(xiàn)有的信息安全標(biāo)準(zhǔn)是根據(jù)國(guó)家的法律法規(guī)確定的,故角色的安全等級(jí)和安全范疇是可以進(jìn)行適應(yīng)性調(diào)整的。
403、中間件套件為客體賦予安全標(biāo)記。其中,客體作為web資源,由中間件套件統(tǒng)一進(jìn)行安全標(biāo)記的賦予,中間件套件根據(jù)現(xiàn)有的信息安全標(biāo)準(zhǔn)為客體賦予安全等級(jí)和安全范疇。所述的現(xiàn)有的信息安全標(biāo)準(zhǔn)是根據(jù)國(guó)家的法律法規(guī)確定的,故客體的安全等級(jí)和安全范疇是可以進(jìn)行適應(yīng)性調(diào)整的。404、中間件套件獲取web訪問請(qǐng)求消息。其中,主體對(duì)客體進(jìn)行訪問之前,向中間件發(fā)送web訪問請(qǐng)求消息,中間件套件可以獲取該web訪問請(qǐng)求消息,該web訪問請(qǐng)求消息中包含主體安全標(biāo)記和客體的名稱等信肩、ο 405、中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱。其中,web訪問請(qǐng)求消息由主體向中間件套件發(fā)送,中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱。所述主體的安全標(biāo)記包括所述主體的安全等級(jí)和所述主體的安全范疇,并且主體的安全等級(jí)是根據(jù)國(guó)家信息安全標(biāo)準(zhǔn)進(jìn)行定義的。406、中間件套件查詢所述客體的名稱并獲取所述客體的安全標(biāo)記。其中,中間件套件根據(jù)從web訪問請(qǐng)求消息中所獲取的客體的名稱查詢客體,并獲取該客體的安全標(biāo)記。所述客體的安全標(biāo)記包括所述客體的安全等級(jí)和所述客體的安全范疇,并且客體的安全等級(jí)是根據(jù)國(guó)家信息安全標(biāo)準(zhǔn)進(jìn)行定義的。407、中間件套件判斷主體的安全等級(jí)是否高于客體的安全等級(jí),并判斷客體的安全范疇是否為主體的安全范疇的子集。其中,若所述主體的安全等級(jí)高于所述客體的安全等級(jí),且所述客體的安全范疇為所述主體的安全范疇的子集,則可以確定所述主體具有對(duì)所述客體的訪問權(quán)限,則所述中間件套件將授權(quán)所述主體對(duì)所述客體進(jìn)行訪問,否則可以確定所述主體不具有對(duì)所述客體的訪問權(quán)限,則中間件套件將拒絕所述主體對(duì)所述客體進(jìn)行訪問。在本實(shí)施例中,通過應(yīng)用系統(tǒng)為主體賦予角色,再對(duì)角色賦予安全標(biāo)記,簡(jiǎn)化了對(duì)主體賦予安全標(biāo)記的過程,中間件套件為客體賦予安全標(biāo)記。當(dāng)主體要對(duì)客體進(jìn)行訪問時(shí),主體向中間件發(fā)送web訪問請(qǐng)求消息,中間件套件獲取主體的安全標(biāo)記和客體的安全標(biāo)記,使得中間件套件能夠根據(jù)所述安全標(biāo)記就主體對(duì)客體是否具有訪問權(quán)限進(jìn)行訪問控制,因此能夠在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理,而且本方法是基于安全標(biāo)記實(shí)現(xiàn)的,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要。本發(fā)明第五實(shí)施例的提供基于安全標(biāo)記的訪問控制系統(tǒng),其基本結(jié)構(gòu)圖請(qǐng)參見圖 5,主要包括中間件套件501,用于在中間件層對(duì)主體訪問客體進(jìn)行訪問控制。中間件套件501 進(jìn)一步包括第一獲取模塊5011,用于獲取web訪問請(qǐng)求消息。第二獲取模塊5012,用于從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱,并將所獲取的主體的安全標(biāo)記發(fā)送至訪問控制模塊5014,將所獲取的客體的名稱發(fā)送至第三獲取模塊5013。第三獲取模塊5013,用于接收第二獲取模塊5012發(fā)送的客體的名稱所述客體的名稱,查詢所述客體的名稱,并獲取客體的安全標(biāo)記,再將所述客體的安全標(biāo)記發(fā)送至訪問控制模塊5014。
訪問控制模塊5014,用于接收第二獲取模塊5012發(fā)送的主體的安全標(biāo)記,和接收第三獲取模塊5013發(fā)送的客體的安全標(biāo)記,并根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)web訪問進(jìn)行訪問控制。在本實(shí)施例中,通過第二獲取模塊5012獲取主體的安全標(biāo)記,通過第三獲取模塊 5013獲取客體的安全標(biāo)記,訪問控制模塊5014根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)所述web訪問進(jìn)行訪問控制,因此能夠在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理,而且本系統(tǒng)是基于安全標(biāo)記運(yùn)行的,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要。本發(fā)明第六實(shí)施例將對(duì)第五實(shí)施例的基于安全標(biāo)記的訪問控制系統(tǒng)進(jìn)行詳細(xì)描述,其中,訪問控制模塊6013包括判斷單元60131和決策單元60132。中間件套件還進(jìn)一步包括第一標(biāo)記賦予模塊6015,另外,本系統(tǒng)除中間件套件外還包括標(biāo)記賦予裝置602,標(biāo)記賦予裝置602進(jìn)一步包括角色賦予模塊6021和第二標(biāo)記賦予模塊6022,其詳細(xì)結(jié)構(gòu)圖請(qǐng)參見圖6,主要包括中間件套件601,用于在中間件層對(duì)主體訪問客體進(jìn)行訪問控制。中間件套件601 進(jìn)一步包括第一獲取模塊6011,用于獲取web訪問請(qǐng)求消息。第二獲取模塊6012,用于從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱,并將所獲取的主體的安全標(biāo)記發(fā)送至訪問控制模塊6014,將所獲取的客體的名稱發(fā)送至第三獲取模塊6013。第三獲取模塊6013,用于接收第二獲取模塊6012發(fā)送的客體的名稱所述客體的名稱,查詢所述客體的名稱,并獲取客體的安全標(biāo)記,再將所述客體的安全標(biāo)記發(fā)送至訪問控制模塊6014。訪問控制模塊6014,用于接收第二獲取模塊6012發(fā)送的主體的安全標(biāo)記,和接收第三獲取模塊6013發(fā)送的客體的安全標(biāo)記,并根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)web訪問進(jìn)行訪問控制。訪問控制模塊6014進(jìn)一步包括判斷單元60141和決策單元60142。判斷單元60141用于接收接收第二獲取模塊6012發(fā)送的主體的安全標(biāo)記,和接收第三獲取模塊6013發(fā)送的客體的安全標(biāo)記,并判斷所述主體的安全標(biāo)記和所述客體安全標(biāo)記的關(guān)系。決策單元60142,用于根據(jù)判斷單元60141的判斷結(jié)果進(jìn)行訪問控制決策。訪問控制決策包括授權(quán)主體對(duì)客體進(jìn)行訪問和拒絕主體對(duì)客體進(jìn)行訪問兩種。第一標(biāo)記賦予模塊6015,用于為客體賦予安全標(biāo)記。標(biāo)記賦予裝置602,用于為主體賦予安全標(biāo)記。標(biāo)記賦予裝置602進(jìn)一步包括角色賦予模塊6021,用于為具有相同訪問權(quán)限的主體賦予同一個(gè)角色。第二標(biāo)記賦予模塊6022,用于為不同的角色賦予對(duì)應(yīng)的安全標(biāo)記。在本實(shí)施例中,通過第一標(biāo)記賦予模塊6015為客體賦予安全標(biāo)記,通過第二標(biāo)記賦予模塊6022具有不同角色的主體賦予不同的安全標(biāo)記,第二獲取模塊5012獲取主體的安全標(biāo)記,通過第三獲取模塊5013獲取客體的安全標(biāo)記,訪問控制模塊5014根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)所述web訪問進(jìn)行訪問控制,因此能夠在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理,而且本系統(tǒng)是基于安全標(biāo)記運(yùn)行的,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件完成,所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中,上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器,磁盤或光盤等。以上對(duì)本發(fā)明所提供的一種基于安全標(biāo)記的訪問控制方法和相關(guān)系統(tǒng)進(jìn)行了詳細(xì)介紹,對(duì)于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明實(shí)施例的思想,在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變之處,綜上所述,本說明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制。
權(quán)利要求
1.一種基于安全標(biāo)記的訪問控制方法,其特征在于,包括 中間件套件獲取web訪問請(qǐng)求消息;所述中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱,所述主體為訪問方,所述客體為被訪問方;所述中間件套件查詢所述客體的名稱并獲取所述客體的安全標(biāo)記; 所述中間件套件根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)web訪問進(jìn)行訪問控制。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述主體的安全標(biāo)記包括所述主體的安全等級(jí)和所述主體的安全范疇; 所述客體的安全標(biāo)記包括所述客體的安全等級(jí)和所述客體的安全范疇; 所述主體的安全等級(jí)和所述客體的安全等級(jí)是根據(jù)國(guó)家信息安全標(biāo)準(zhǔn)進(jìn)行定義的。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述中間件套件根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)所述web訪問進(jìn)行訪問控制包括步驟所述中間件套件判斷所述主體的安全等級(jí)是否高于所述客體的安全等級(jí),并判斷所述客體的安全范疇是否為所述主體的安全范疇的子集;若所述主體的安全等級(jí)高于所述客體的安全等級(jí),且所述客體的安全范疇為所述主體的安全范疇的子集,則所述中間件套件授權(quán)所述主體對(duì)所述客體進(jìn)行訪問,否則拒絕所述主體對(duì)所述客體進(jìn)行訪問。
4.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱之前進(jìn)一步包括步驟應(yīng)用系統(tǒng)為主體賦予安全標(biāo)記; 所述中間件套件為客體賦予安全標(biāo)記。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述應(yīng)用系統(tǒng)為主體賦予安全標(biāo)記包括步驟應(yīng)用系統(tǒng)為具有相同訪問權(quán)限的主體賦予同一個(gè)角色; 所述應(yīng)用系統(tǒng)為不同的角色賦予對(duì)應(yīng)的安全標(biāo)記。
6.一種基于安全標(biāo)記的訪問控制系統(tǒng),其特征在于,包括 中間件套件,所述中間件套件包括第一獲取模塊,用于獲取web訪問請(qǐng)求消息;第二獲取模塊,用于從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱,所述主體為訪問方,所述客體為被訪問方;第三獲取模塊,用于查詢所述客體的名稱并獲取所述客體的安全標(biāo)記; 訪問控制模塊,用于根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)web訪問進(jìn)行訪問控制。
7.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,所述訪問控制模塊包括判斷單元,用于判斷所述主體的安全等級(jí)是否高于所述客體的安全等級(jí),并判斷所述客體的安全范疇是否為所述主體的安全范疇的子集;決策單元,用于根據(jù)所述判斷單元的判斷結(jié)果進(jìn)行訪問控制決策;若所述主體的安全等級(jí)高于所述客體的安全等級(jí),且所述客體的安全范疇為所述主體的安全范疇的子集,則所述中間件套件授權(quán)所述主體對(duì)所述客體進(jìn)行訪問,否則拒絕所述主體對(duì)所述客體進(jìn)行訪問。
8.根據(jù)權(quán)利要求6或7所述的系統(tǒng),其特征在于,所述中間件套件進(jìn)一步包括 第一標(biāo)記賦予模塊,用于為主體賦予安全標(biāo)記。
9.根據(jù)權(quán)利要求6或7所述的系統(tǒng),其特征在于,所述系統(tǒng)進(jìn)一步包括 標(biāo)記賦予裝置,用于為主體賦予安全標(biāo)記。
10.根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于,所述標(biāo)記賦予模塊包括 角色賦予模塊,用于為具有相同訪問權(quán)限的主體賦予同一個(gè)角色; 第二標(biāo)記賦予模塊,用于為不同的角色賦予對(duì)應(yīng)的安全標(biāo)記。
全文摘要
本發(fā)明實(shí)施例公開了一種基于安全標(biāo)記的訪問控制方法和相關(guān)系統(tǒng),用于在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理。本發(fā)明方法包括中間件套件獲取web訪問請(qǐng)求消息;所述中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱,所述主體為訪問方,所述客體為被訪問方;所述中間件套件查詢所述客體的名稱并獲取所述客體的安全標(biāo)記;所述中間件套件根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)web訪問進(jìn)行訪問控制。通過實(shí)施本發(fā)明技術(shù)方案,能夠在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理,而且本方法是基于安全標(biāo)記實(shí)現(xiàn)的,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要。
文檔編號(hào)H04L29/12GK102413198SQ201110300599
公開日2012年4月11日 申請(qǐng)日期2011年9月30日 優(yōu)先權(quán)日2011年9月30日
發(fā)明者劉春 , 劉歡迎, 趙欣, 車帥 申請(qǐng)人:山東中創(chuàng)軟件商用中間件股份有限公司, 山東中創(chuàng)軟件工程股份有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1