CN101064609A - 一种信息系统的访问控制方法及装置 - Google Patents
一种信息系统的访问控制方法及装置 Download PDFInfo
- Publication number
- CN101064609A CN101064609A CN 200710041275 CN200710041275A CN101064609A CN 101064609 A CN101064609 A CN 101064609A CN 200710041275 CN200710041275 CN 200710041275 CN 200710041275 A CN200710041275 A CN 200710041275A CN 101064609 A CN101064609 A CN 101064609A
- Authority
- CN
- China
- Prior art keywords
- access
- access control
- identify label
- information system
- role
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明揭示了一种信息系统的访问控制方法及装置,包括定义模块,定义所述信息系统的访问角色,所述访问角色是所述信息系统不同访问权限的集合;注册模块,为所述信息系统的用户提供注册并向所述用户创建身份标识;控制模块,将所述访问角色赋予所述身份标识并建立所述身份标识的访问控制表,所述访问控制表执行所述用户的访问控制。采用本发明所述的技术方案,由于建立了基于访问角色的访问控制模型,只需把新的注册用户创建给已定义的访问角色即可,无需为用户重新指定资源和操作,因而简化了数据安全管理工作。
Description
技术领域
本发明涉及数据信息系统的安全技术,更具体地说,涉及一种信息系统的访问控制方法及装置。
背景技术
目前越来越多的工作需要利用到各种各样的信息系统,而信息系统的安全性越来越得到人们的关注,例如在信息系统的访问控制方面就需要注重其安全性,在一个信息系统中具有级别不同的各种用户,特定的用户只能访问特定的数据,而如果安全措施不到位,那么会出现用户可以访问到其不该访问的数据,从而造成泄密等事故,就可能给国家和企业造成难以挽回的损失。以公共安全领域为例,公安系统信息量大,不同警种(如治安、交管、刑侦)、不同级别(部、省、市)的信息对不同的用户有不同程度的保密需求(无密级、秘密、机密、绝密),这就决定了对于不同级别的用户要创建不同的访问权限,这样才既能满足各用户的访问要求也能保证秘密数据不被泄漏。可见对于信息系统的用户访问需要进行相关安全策略的设计,从而达到对不同用户的访问进行控制的目的。
发明内容
本发明的目的在于提供一种信息系统的访问控制方法及装置,以实现对不同用户的访问进行控制的目的。
根据本发明的第一方面,提供一种信息系统的访问控制方法,包括以下步骤:
a.定义所述信息系统的访问角色,所述访问角色是所述信息系统不同访问权限的集合;
b.向注册的用户创建身份标识;
c.将所述a步骤定义的访问角色赋予所述b步骤的身份标识;
d.建立执行所述c步骤的身份标识的访问控制表,所述访问控制表执行所述用户的访问控制。
所述a步骤还定义了所述信息系统数据库的数据的保密等级,所述定义了保密等级的数据与所述访问角色匹配。
所述访问控制表包括所述访问角色与所述定义了保密等级的数据以及所述身份标识三者之间的联系规则,所述访问控制表存储在所述信息系统的数据库中。
所述访问控制表验证所述身份标识以及所述身份标识的访问目标的合法性。
所述b步骤的身份标识是唯一的,所述每个身份标识匹配一个密码。
根据本发明的第二方面,提供一种信息系统的访问控制装置,包括:
定义模块,所述定义模块定义所述信息系统的访问角色,所述访问角色是所述信息系统不同访问权限的集合;
注册模块,所述注册模块与所述定义模块连接,所述注册模块为所述信息系统的用户提供注册并向所述用户创建身份标识;
控制模块,所述控制模块连接并控制所述定义模块和所述注册模块,所述控制模块将所述访问角色赋予所述身份标识并建立所述身份标识的访问控制表。
所述定义模块还定义了所述信息系统数据库的数据的保密等级,所述定义了保密等级的数据与所述访问角色匹配。
所述访问控制表包括所述访问角色与所述定义了保密等级的数据以及所述身份标识三者之间的联系规则,所述访问控制表存储在所述信息系统的数据库中。
所述控制模块控制所述访问控制表验证所述身份标识以及所述身份标识的访问目标的合法性。
所述注册模块创建的身份标识是唯一的,所述每个身份标识匹配一个密码。
采用本发明所述的一种信息系统的访问控制方法及装置,由于本发明所述的方法及装置是基于访问角色的访问控制模型,即先定义访问角色,然后将此访问角色赋予注册的合法用户,再建立用户的访问控制表,把“用户 访问角色 操作 数据”关联到一起,实现非自主型访问控制策略,使用基于访问角色的访问控制模型可以减轻安全管理工作,这种方式只需把新的注册用户创建给已定义的访问角色即可,无需为用户重新指定资源和操作,因而简化了授权管理工作。
附图说明
图1为本发明所述的访问控制装置的原理示意图;
图2为本发明所述的访问控制方法的流程示意图;
图3为本发明所述的访问控制方法及装置的工作流程示意图。
图4为利用本发明所述的控制方法及装置进行数据访问查询的返回结果示意图。
具体实施方式
下面结合附图和实施例进一步说明本发明的技术方案。
参考图1,所述访问控制装置包括以下模块:
定义模块1,定义模块1定义所述信息系统的访问角色11,另外定义模块1还定义所述信息系统数据库的数据的保密等级,即将所述信息系统数据库的数据分为不同种的保密等级并定义之,这些被定义了保密等级的数据与访问角色11匹配,以供访问角色11调用,访问角色11是所述信息系统不同访问权限的集合。
注册模块2,注册模块2与定义模块1连接,注册模块2为所述信息系统的用户提供注册,在用户注册的同时注册模块2向所述用户创建,身份标识21是唯一存在的,就是说每个注册的用户的身份标识21均不同且唯一存在,每个身份标识21均有与之匹配的密码,这样用户就可以凭借身份标识21及其匹配的密码登陆所述信息系统。
控制模块3,控制模块3连接并控制定义模块1和注册模块2,控制模块3将访问角色11赋予身份标识21,使每个身份标识21对应相应的访问角色11,再建立身份标识21的访问控制表31、访问控制表31包括访问角色11与定义了保密等级的数据以及身份标识21三者之间的联系规则,由于访问控制表31具有以上特点,所以访问控制表31在控制模块3的控制下验证身份标识21以及身份标识21的访问目标的合法性,访问控制表31存储在所述信息系统的数据库中以供随时调用。
由上可以看出,通过调用访问控制表31可以清楚的知道每个身份标识21对应的访问角色11以及与之对应的定义了保密等级的数据,进一步说,就是知道了每个身份标识21能访问那些保密等级的数据,这样便能实现相关用户的访问控制了。
参考图2,图2是本发明所述的访问控制方法的流程示意图,包括以下步骤:
400.定义所述信息系统的访问角色11,在一实施例中还定义了所述信息系统数据库的数据的保密等级,这些被定义了保密等级的数据与访问角色11匹配,访问角色11是所述信息系统不同访问权限的集合。
500.向注册的用户创建身份标识21,创建的身份标识21是唯一存在的,并且每个身份标识21均有一个密码,这样用户就可以凭借身份标识21及其匹配的密码登陆所述信息系统。
600.将访问角色11赋予身份标识21,使每个身份标识21对应相应的访问角色11,这样每个身份标识21就有了对所述信息系统访问的访问权限。
700.建立身份标识21的访问控制表31,这里建立的访问控制表31是针对赋予了访问角色11的身份标识21建立的并存储在所述信息系统的数据库中,访问控制表31包括访问角色11与定义了保密等级的数据以及身份标识21三者之间的联系规则。
800.验证用户登录时身份标识21以及身份标识21的访问目标的合法性,由于访问控制表31具有步骤700所述的特点,所以在用户登录所述信息系统并发出访问请求时,访问控制表31验证身份标识21以及身份标识21的访问目标的合法性。
下面结合本发明所述技术方案的一具体实施例的工作流程来进一步说明本发明所述的访问控制方法及装置:
本发明所述的访问控制方法及装置可以应用在公安领域的信息系统中,参考图1和图3,首先定义模块1要将公安领域的信息系统数据库的数据定义为不同的保密等级,比如重点人口数据被定义为B级保密等级,定义模块1还要定义不同的访问角色,比如定义了一个访问角色11,访问角色11具有访问B级保密等级的重点人口数据的权限。当一个民警徐某在信息系统注册时,注册模块2为其创建唯一的身份标识21,并且匹配密码口令,注册模块2还将访问角色11赋予身份标识21。控制模块3为民警徐某的身份标识21创建访问控制表31,访问控制表31包括这样的规则:身份标识21具有特定的密码口令,身份标识21被赋予了访问角色11,并且具有访问B级保密等级的重点人口数据的权限。
参考图3,当民警徐某登陆所述信息系统时,调用访问控制表31针对民警徐某登陆时输入的身份标识21和密码口令进行合法性验证,当身份标识21与其特定的密码口令一致时,可进入系统,当不一致时返回登陆界面;进入系统后,民警徐某利用身份标识21发出查询请求,此时访问控制表31对身份标识21的访问角色11及其查询目标进行分析,如果身份标识21、访问角色11及身份标识21查询的目标数据符合访问控制表31的规则时,则执行查询并返回查询结果(参见图4),如果身份标识21、访问角色11及身份标识21查询的目标数据不符合访问控制表31的规则时,则返回“没有权限“的提示。
由上,当建立多个访问角色11、身份标识21以及访问控制表31,就可以对多个用户的数据访问进行控制。
本技术领域中的普通技术人员应当认识到,以上的实施例仅是用来说明本发明,而并非用作为对本发明的限定,只要在本发明的实质精神范围内,对以上实施例的变化、变型都将落在本发明的权利要求书范围内。
Claims (10)
1.一种信息系统的访问控制方法,其特征在于,包括以下步骤:
a.定义所述信息系统的访问角色,所述访问角色是所述信息系统不同访问权限的集合;
b.向注册的用户创建身份标识;
c.将所述a步骤定义的访问角色赋予所述b步骤的身份标识;
d.建立执行所述c步骤的身份标识的访问控制表,所述访问控制表执行所述用户的访问控制。
2.如权利要求1所述的访问控制方法,其特征在于,所述a步骤还定义了所述信息系统数据库的数据的保密等级,所述定义了保密等级的数据与所述访问角色匹配。
3.如权利要求2所述的访问控制方法,其特征在于,所述访问控制表包括所述访问角色与所述定义了保密等级的数据以及所述身份标识三者之间的联系规则,所述访问控制表存储在所述信息系统的数据库中。
4.如权利要求1所述的访问控制方法,其特征在于,所述访问控制表验证所述身份标识以及所述身份标识的访问目标的合法性。
5.如权利要求1所述的访问控制方法,其特征在于,所述b步骤的身份标识是唯一的,所述每个身份标识匹配一个密码。
6.一种信息系统的访问控制装置,其特征在于,包括:
定义模块,所述定义模块定义所述信息系统的访问角色,所述访问角色是所述信息系统不同访问权限的集合;
注册模块,所述注册模块与所述定义模块连接,所述注册模块为所述信息系统的用户提供注册并向所述用户创建身份标识;
控制模块,所述控制模块连接并控制所述定义模块和所述注册模块,所述控制模块将所述访问角色赋予所述身份标识并建立所述身份标识的访问控制表。
7.如权利要求6所述的访问控制装置,其特征在于,所述定义模块还定义了所述信息系统数据库的数据的保密等级,所述定义了保密等级的数据与所述访问角色匹配。
8.如权利要求7所述的访问控制装置,其特征在于,所述访问控制表包括所述访问角色与所述定义了保密等级的数据以及所述身份标识三者之间的联系规则,所述访问控制表存储在所述信息系统的数据库中。
9.如权利要求6所述的访问控制装置,其特征在于,所述控制模块控制所述访问控制表验证所述身份标识以及所述身份标识的访问目标的合法性。
10.如权利要求6所述的访问控制装置,其特征在于,所述注册模块创建的身份标识是唯一的,所述每个身份标识匹配一个密码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710041275 CN101064609A (zh) | 2007-05-25 | 2007-05-25 | 一种信息系统的访问控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710041275 CN101064609A (zh) | 2007-05-25 | 2007-05-25 | 一种信息系统的访问控制方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101064609A true CN101064609A (zh) | 2007-10-31 |
Family
ID=38965359
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200710041275 Pending CN101064609A (zh) | 2007-05-25 | 2007-05-25 | 一种信息系统的访问控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101064609A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101321063A (zh) * | 2008-07-17 | 2008-12-10 | 上海众恒信息产业有限公司 | 基于数字证书技术的系统用户访问管理系统及方法 |
| CN102893285A (zh) * | 2010-03-18 | 2013-01-23 | 奥撒萨斯私营有限责任公司 | 用于核对在计算机网络上访问数据的人的身份真实性的系统和方法 |
| CN103188105A (zh) * | 2011-12-31 | 2013-07-03 | 中国航天科工集团第二研究院七〇六所 | Nas 设备的安全增强系统及其方法 |
| WO2016015366A1 (zh) * | 2014-08-01 | 2016-02-04 | 苏州阔地网络科技有限公司 | 一种基于身份业务标识的资源控制架构及应用该架构方法 |
| CN105430013A (zh) * | 2015-12-28 | 2016-03-23 | 中国农业银行股份有限公司 | 一种信息访问控制方法及系统 |
| CN105528556A (zh) * | 2015-12-03 | 2016-04-27 | 中国人民解放军信息工程大学 | 一种混合的SQLite3安全访问方法 |
| CN105656837A (zh) * | 2014-11-11 | 2016-06-08 | 江苏威盾网络科技有限公司 | 一种安全可控的数据防护系统与方法 |
| WO2018126380A1 (zh) * | 2017-01-05 | 2018-07-12 | 深圳市前海中康汇融信息技术有限公司 | 数据库访问控制系统 |
| CN111046415A (zh) * | 2018-10-15 | 2020-04-21 | 珠海格力电器股份有限公司 | 一种涉密文件的智能分级预警系统及其方法 |
| CN111079110A (zh) * | 2019-11-27 | 2020-04-28 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于身份识别的电力系统网络安全防护方法、系统及装置 |
| CN113411295A (zh) * | 2021-05-07 | 2021-09-17 | 上海纽盾科技股份有限公司 | 基于角色的访问控制态势感知防御方法及系统 |
-
2007
- 2007-05-25 CN CN 200710041275 patent/CN101064609A/zh active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101321063A (zh) * | 2008-07-17 | 2008-12-10 | 上海众恒信息产业有限公司 | 基于数字证书技术的系统用户访问管理系统及方法 |
| CN102893285A (zh) * | 2010-03-18 | 2013-01-23 | 奥撒萨斯私营有限责任公司 | 用于核对在计算机网络上访问数据的人的身份真实性的系统和方法 |
| CN102893285B (zh) * | 2010-03-18 | 2016-08-03 | 奥撒萨斯私营有限责任公司 | 用于核对在计算机网络上访问数据的人的身份真实性的系统和方法 |
| CN103188105A (zh) * | 2011-12-31 | 2013-07-03 | 中国航天科工集团第二研究院七〇六所 | Nas 设备的安全增强系统及其方法 |
| WO2016015366A1 (zh) * | 2014-08-01 | 2016-02-04 | 苏州阔地网络科技有限公司 | 一种基于身份业务标识的资源控制架构及应用该架构方法 |
| CN105656837A (zh) * | 2014-11-11 | 2016-06-08 | 江苏威盾网络科技有限公司 | 一种安全可控的数据防护系统与方法 |
| CN105528556A (zh) * | 2015-12-03 | 2016-04-27 | 中国人民解放军信息工程大学 | 一种混合的SQLite3安全访问方法 |
| CN105430013A (zh) * | 2015-12-28 | 2016-03-23 | 中国农业银行股份有限公司 | 一种信息访问控制方法及系统 |
| CN105430013B (zh) * | 2015-12-28 | 2019-06-28 | 中国农业银行股份有限公司 | 一种信息访问控制方法及系统 |
| WO2018126380A1 (zh) * | 2017-01-05 | 2018-07-12 | 深圳市前海中康汇融信息技术有限公司 | 数据库访问控制系统 |
| CN111046415A (zh) * | 2018-10-15 | 2020-04-21 | 珠海格力电器股份有限公司 | 一种涉密文件的智能分级预警系统及其方法 |
| CN111079110A (zh) * | 2019-11-27 | 2020-04-28 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于身份识别的电力系统网络安全防护方法、系统及装置 |
| CN113411295A (zh) * | 2021-05-07 | 2021-09-17 | 上海纽盾科技股份有限公司 | 基于角色的访问控制态势感知防御方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101064609A (zh) | 一种信息系统的访问控制方法及装置 | |
| CN107342992B (zh) | 一种系统权限管理方法、装置及计算机可读存储介质 | |
| JP7222036B2 (ja) | モデルトレーニングシステムおよび方法および記憶媒体 | |
| CN111698228B (zh) | 系统访问权限授予方法、装置、服务器及存储介质 | |
| CN111783075B (zh) | 基于密钥的权限管理方法、装置、介质及电子设备 | |
| CN1313897C (zh) | 在一计算机环境中提供自适应安全访问的方法与装置 | |
| US9148435B2 (en) | Establishment of a trust index to enable connections from unknown devices | |
| EP2620893B1 (en) | Role-based access control permissions | |
| CN1893372B (zh) | 用于授权的方法与系统 | |
| US7908648B2 (en) | Method and system for enabling remote access to a computer system | |
| JP2008097419A (ja) | アプリケーション稼働制御システムおよびアプリケーション稼働制御方法 | |
| CN1855110A (zh) | 用于使文件系统免于恶意程序的增强安全层的系统和方法 | |
| US8095963B2 (en) | Securing resource stores with claims-based security | |
| CN101060407A (zh) | 用户访问权限的管理方法及系统 | |
| CN1818919A (zh) | 一种电子文档的许可认证方法和系统 | |
| CN103379089A (zh) | 基于安全域隔离的访问控制方法及其系统 | |
| CN101008970A (zh) | 权限管控的系统及方法 | |
| US20090260066A1 (en) | Single Sign-On To Administer Target Systems with Disparate Security Models | |
| CN1279551A (zh) | 通信网和移动代理者迁移的管理 | |
| CN100586123C (zh) | 基于角色管理的安全审计方法及系统 | |
| US8271785B1 (en) | Synthesized root privileges | |
| CN101067837A (zh) | 一种信息系统数据处理的安全控制方法及装置 | |
| CN1601954A (zh) | 不中断服务地横跨安全边界移动主体 | |
| KR20130029190A (ko) | 사용자 자원 접근 제어 시스템 및 방법 | |
| US7080403B2 (en) | Method and system for person data authentication and management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20071031 |