CN105959322A - 一种基于多保护策略融合的强制访问控制方法及系统 - Google Patents
一种基于多保护策略融合的强制访问控制方法及系统 Download PDFInfo
- Publication number
- CN105959322A CN105959322A CN201610551767.2A CN201610551767A CN105959322A CN 105959322 A CN105959322 A CN 105959322A CN 201610551767 A CN201610551767 A CN 201610551767A CN 105959322 A CN105959322 A CN 105959322A
- Authority
- CN
- China
- Prior art keywords
- main body
- confidentiality
- labelling
- integrity
- described main
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种基于多保护策略融合的强制访问控制方法及系统,该方法包括:当接收到主体发送的针对客体的访问请求,则提取主体上预先嵌入的安全标记以及提取客体上预先嵌入的安全标记;其中,主体的安全标记和客体的安全标记中均包括机密性标记和完整性标记;利用主体的安全标记和客体的安全标记,判断访问请求是否满足预设机密性控制规则和预设完整性控制规则,如果是,则对访问请求进行授权,如果否,则拒绝访问请求。本申请将机密性保护策略和完整性保护策略融合起来对访问请求进行访问控制,可有效地提升数据访问安全性。
Description
技术领域
本发明涉及数据访问技术领域,特别涉及一种基于多保护策略融合的强制访问控制方法及系统。
背景技术
随着计算机应用的飞速发展,信息安全变得越来越重要。访问控制是计算机中保护数据不被故意删除和破坏的重要方式,强制访问控制是其中最重要的方法之一。
强制访问控制是“强加”给访问主体的,即系统强制主体服从访问控制政策。强制访问控制的主要特征是对所有主体及其所控制的客体(如进程、文件或设备等)实施强制访问控制。强制访问控制一般与自主访问控制结合使用,一个主体只有通过了自主与强制性访问限制检查后,才能访问某个客体。由于用户不能直接改变强制访问控制属性,所以强制访问控制提供了一个更强的保护以防止用户偶然或故意的滥用自主访问控制。
基于强制访问控制模型产生了许多安全保护策略,其中包括机密性保护策略和完整性保护策略。但是,当前强制访问控制模型中通常只采用单一的保护策略来对访问进行控制,这样在一定程度上限制了数据访问安全性的进一步提升。
综上所述可以看出,如何进一步提升数据访问安全性是目前有待解决的问题。
发明内容
有鉴于此,本发明的目的在于提供一种基于多保护策略融合的强制访问控制方法及系统,进一步提升了数据访问安全性。其具体方案如下:
一种基于多保护策略融合的强制访问控制方法,包括:
当接收到主体发送的针对客体的访问请求,则提取所述主体上预先嵌入的安全标记以及提取所述客体上预先嵌入的安全标记;其中,所述主体的安全标记和所述客体的安全标记中均包括机密性标记和完整性标记;
利用所述主体的安全标记和所述客体的安全标记,判断所述访问请求是否满足预设机密性控制规则和预设完整性控制规则,如果是,则对所述访问请求进行授权,如果否,则拒绝所述访问请求。
优选的,所述主体的安全标记和所述客体的安全标记均嵌入在进程的内核数据结构和文件的内核数据结构上;
其中,所述进程的内核数据结构为struct task_struct—>cred—>security域;所述文件的内核数据结构为struct inode—>i_security域。
优选的,所述判断所述访问请求是否满足预设机密性控制规则和预设完整性控制规则的过程,包括:
根据所述主体的机密性标记和所述客体的机密性标记来确定所述主体和所述客体之间的安全级支配关系;
根据所述主体的完整性标记和所述客体的完整性标记来确定所述主体和所述客体之间的完整级支配关系;
根据所述安全级支配关系和所述完整级支配关系,来判断所述访问请求是否满足所述预设机密性控制规则和所述预设完整性控制规则。
优选的,所述预设机密性控制规则为遵循BLP多级安全模型的规则,包括:
当所述主体的安全级支配所述客体的安全级,则允许所述主体对所述客体进行读操作;
当所述客体的安全级支配所述主体的安全级,则允许所述主体对所述客体进行写操作。
优选的,所述预设完整性控制规则为遵循BIBA安全模型的规则,包括:
当所述客体的完整级支配所述主体的完整级,则允许所述主体对所述客体进行读操作;
当所述主体的完整级支配所述客体的完整级,则允许所述主体对所述客体进行写操作。
优选的,所述机密性标记包括机密性类别、机密性等级和机密性范畴;其中,所述机密性类别包括TYPE_UNDEF、TYPE_GEN、TYPE_LOW、TYPE_HIGH和TYPE_PUBLIC,所述机密性等级包括普通用户等级和管理员等级,所述管理员等级大于所述普通用户等级,所述机密性范畴包括N种范畴,N为不大于256的正整数。
优选的,所述根据所述主体的机密性标记和所述客体的机密性标记来确定所述主体和所述客体之间的安全级支配关系的过程,包括:
判断所述主体的机密性标记和所述客体的机密性标记是否满足第一支配条件,如果是,则判定所述主体的安全级支配所述客体的安全级,如果否,则判定所述客体的安全级支配所述主体的安全级;
其中,所述第一支配条件包括:
当所述主体的机密性类别为TYPE_HIGH;
或,当所述客体的机密性类别为TYPE_LOW;
或,当所述主体的机密性类别和所述客体的机密性类别中至少有一个的机密性类别为TYPE_PUBLIC;
或,当所述主体的机密性类别和所述客体的机密性类别均为TYPE_GEN,并且,所述主体的机密性等级大于或等于所述客体的机密性等级,且所述主体的机密性范畴包含所述客体的机密性范畴。
优选的,所述完整性标记包括完整性等级,所述完整性等级包括M种不同的等级,M为大于1且小于或等于16的整数。
优选的,所述根据所述主体的完整性标记和所述客体的完整性标记来确定所述主体和所述客体之间的完整级支配关系的过程,包括:
判断所述主体的完整性标记和所述客体的完整性标记是否满足第二支配条件,如果是,则判定所述主体的完整级支配所述客体的完整级,如果否,则判定所述客体的完整级支配所述主体的完整级;
其中,所述第二支配条件包括:
当所述主体的完整性标记中的完整性等级大于或等于所述客体的完整性标记中的完整性等级。
本发明还公开了一种基于多保护策略融合的强制访问控制系统,包括:
标记提取模块,用于当接收到主体发送的针对客体的访问请求,则提取所述主体上预先嵌入的安全标记以及提取所述客体上预先嵌入的安全标记;其中,所述主体的安全标记和所述客体的安全标记中均包括机密性标记和完整性标记;
访问控制模块,用于利用所述主体的安全标记和所述客体的安全标记,判断所述访问请求是否满足预设机密性控制规则和预设完整性控制规则,如果是,则对所述访问请求进行授权,如果否,则拒绝所述访问请求。
本发明中,强制访问控制方法,包括:当接收到主体发送的针对客体的访问请求,则提取主体上预先嵌入的安全标记以及提取客体上预先嵌入的安全标记;其中,主体的安全标记和客体的安全标记中均包括机密性标记和完整性标记;利用主体的安全标记和客体的安全标记,判断访问请求是否满足预设机密性控制规则和预设完整性控制规则,如果是,则对访问请求进行授权,如果否,则拒绝访问请求。可见,本发明预先在主体和客体上嵌入了包含机密性标记和完整性标记的安全标记,然后当主体向客体发起访问请求,则提取主体和客体上的安全标记,然后利用主体和客体上的安全标记来判断上述访问请求是否满足预设机密性控制规则和预设完整性控制规则,如果满足,则对访问请求进行授权,如果不满足,则拒绝上述访问请求。由上可见,本发明将机密性保护策略和完整性保护策略融合起来对访问请求进行访问控制,可有效地提升数据访问安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例公开的一种基于多保护策略融合的强制访问控制方法流程图;
图2为本发明实施例公开的一种基于多保护策略融合的强制访问控制系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种基于多保护策略融合的强制访问控制方法,参见图1所示,该方法包括:
步骤S11:当接收到主体发送的针对客体的访问请求,则提取主体上预先嵌入的安全标记以及提取客体上预先嵌入的安全标记;其中,主体的安全标记和客体的安全标记中均包括机密性标记和完整性标记。
可以理解的是,在接收到上述访问请求之前,以事先在主体和客体上均嵌入了各自的安全标记,其中,主体和客体的安全标记上均包括机密性标记和完整性标记。
步骤S12:利用主体的安全标记和客体的安全标记,判断上述访问请求是否满足预设机密性控制规则和预设完整性控制规则。
可以理解的是,在判断上述访问请求是否满足预设机密性控制规则的过程中,具体是基于主体上的机密性标记和客体上的机密性标记来展开判断的;同理,在判断上述访问请求是否满足预设完整性控制规则的过程中,具体是基于主体上的完整性标记和客体上的完整性标记来展开判断的。
另外,还需要说明的是,在判断上述访问请求是否满足预设机密性控制规则和预设完整性控制规则之前,还可对上述访问请求进行一般性错误检查以及自主访问控制,当一般性错误检查以及自主访问控制均通过后,方进行有关预设机密性控制规则和预设完整性控制规则的判断。
步骤S13:如果上述访问请求满足预设机密性控制规则和预设完整性控制规则,则对上述访问请求进行授权。
也即,只有当上述访问请求同时满足预设机密性控制规则和预设完整性控制规则,则对上述访问请求进行授权,以允许主体对客体进行访问。
步骤S14:如果上述访问请求不满足预设机密性控制规则和预设完整性控制规则,则拒绝上述访问请求。
也即,当上述访问请求无法同时满足预设机密性控制规则和预设完整性控制规则,则拒绝主体对客体进行访问的请求。
本发明实施例中,强制访问控制方法,包括:当接收到主体发送的针对客体的访问请求,则提取主体上预先嵌入的安全标记以及提取客体上预先嵌入的安全标记;其中,主体的安全标记和客体的安全标记中均包括机密性标记和完整性标记;利用主体的安全标记和客体的安全标记,判断访问请求是否满足预设机密性控制规则和预设完整性控制规则,如果是,则对访问请求进行授权,如果否,则拒绝访问请求。可见,本发明实施例预先在主体和客体上嵌入了包含机密性标记和完整性标记的安全标记,然后当主体向客体发起访问请求,则提取主体和客体上的安全标记,然后利用主体和客体上的安全标记来判断上述访问请求是否满足预设机密性控制规则和预设完整性控制规则,如果满足,则对访问请求进行授权,如果不满足,则拒绝上述访问请求。由上可见,本发明实施例将机密性保护策略和完整性保护策略融合起来对访问请求进行访问控制,可有效地提升数据访问安全性。
本发明实施例公开了一种具体的基于多保护策略融合的强制访问控制方法,相对于上一实施例,本实施例对技术方案作了进一步的说明和优化。具体的:
上一实施例步骤S11中,当接收到主体发起的访问请求,则提取主体和客体上的安全标记。本实施例中,主体的安全标记和客体的安全标记均嵌入在进程的内核数据结构和文件的内核数据结构上;
其中,进程的内核数据结构为struct task_struct—>cred—>security域;文件的内核数据结构为struct inode—>i_security域。
进一步的,上一实施例步骤S12中,判断访问请求是否满足预设机密性控制规则和预设完整性控制规则的过程,包括以下步骤S121至步骤S123;其中,
步骤S121:根据主体的机密性标记和客体的机密性标记来确定主体和客体之间的安全级支配关系;
步骤S122:根据主体的完整性标记和客体的完整性标记来确定主体和客体之间的完整级支配关系;
步骤S123:根据安全级支配关系和完整级支配关系,来判断访问请求是否满足预设机密性控制规则和预设完整性控制规则。
需要说明的是,上述步骤S121和步骤S122之间并无先后顺序的约束。
本实施例中,上述预设机密性控制规则为遵循BLP多级安全模型的规则,具体包括:当主体的安全级支配客体的安全级,则允许主体对客体进行读操作,以及,当客体的安全级支配主体的安全级,则允许主体对客体进行写操作。
另外,上述预设完整性控制规则为遵循BIBA安全模型的规则,具体包括:当客体的完整级支配主体的完整级,则允许主体对客体进行读操作,以及,当主体的完整级支配客体的完整级,则允许主体对客体进行写操作。
本实施例中,主体和客体上的机密性标记均包括机密性类别、机密性等级和机密性范畴;其中,机密性类别包括TYPE_UNDEF、TYPE_GEN、TYPE_LOW、TYPE_HIGH和TYPE_PUBLIC,机密性等级包括普通用户等级和管理员等级,管理员等级大于普通用户等级,机密性范畴包括N种范畴,N为不大于256的正整数。
具体的,上述步骤S121中,根据主体的机密性标记和客体的机密性标记来确定主体和客体之间的安全级支配关系的过程,包括:
判断主体的机密性标记和客体的机密性标记是否满足第一支配条件,如果是,则判定主体的安全级支配客体的安全级,如果否,则判定客体的安全级支配主体的安全级;
其中,上述第一支配条件包括:当主体的机密性类别为TYPE_HIGH;或,当客体的机密性类别为TYPE_LOW;或,当主体的机密性类别和客体的机密性类别中至少有一个的机密性类别为TYPE_PUBLIC;或,当主体的机密性类别和客体的机密性类别均为TYPE_GEN,并且,主体的机密性等级大于或等于客体的机密性等级,且主体的机密性范畴包含客体的机密性范畴。
进一步的,主体和客体上的完整性标记均包括完整性等级,其中,完整性等级包括M种不同的等级,M为大于1且小于或等于16的整数。
具体的,上述步骤S122中,根据主体的完整性标记和客体的完整性标记来确定主体和客体之间的完整级支配关系的过程,包括:
判断主体的完整性标记和客体的完整性标记是否满足第二支配条件,如果是,则判定主体的完整级支配客体的完整级,如果否,则判定客体的完整级支配主体的完整级;
其中,上述第二支配条件包括:当主体的完整性标记中的完整性等级大于或等于客体的完整性标记中的完整性等级。
相应的,本发明实施例还公开了一种基于多保护策略融合的强制访问控制系统,参见图2所示,该系统包括:
标记提取模块21,用于当接收到主体发送的针对客体的访问请求,则提取主体上预先嵌入的安全标记以及提取客体上预先嵌入的安全标记;其中,主体的安全标记和客体的安全标记中均包括机密性标记和完整性标记;
访问控制模块22,用于利用主体的安全标记和客体的安全标记,判断访问请求是否满足预设机密性控制规则和预设完整性控制规则,如果是,则对访问请求进行授权,如果否,则拒绝访问请求。
关于上述各个模块更加具体的工作过程可参考前述实施例中公开的具体内容,在此不再进行赘述。
可见,本发明实施例预先在主体和客体上嵌入了包含机密性标记和完整性标记的安全标记,然后当主体向客体发起访问请求,则提取主体和客体上的安全标记,然后利用主体和客体上的安全标记来判断上述访问请求是否满足预设机密性控制规则和预设完整性控制规则,如果满足,则对访问请求进行授权,如果不满足,则拒绝上述访问请求。由上可见,本发明实施例将机密性保护策略和完整性保护策略融合起来对访问请求进行访问控制,可有效地提升数据访问安全性。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种基于多保护策略融合的强制访问控制方法及系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种基于多保护策略融合的强制访问控制方法,其特征在于,包括:
当接收到主体发送的针对客体的访问请求,则提取所述主体上预先嵌入的安全标记以及提取所述客体上预先嵌入的安全标记;其中,所述主体的安全标记和所述客体的安全标记中均包括机密性标记和完整性标记;
利用所述主体的安全标记和所述客体的安全标记,判断所述访问请求是否满足预设机密性控制规则和预设完整性控制规则,如果是,则对所述访问请求进行授权,如果否,则拒绝所述访问请求。
2.根据权利要求1所述的基于多保护策略融合的强制访问控制方法,其特征在于,所述主体的安全标记和所述客体的安全标记均嵌入在进程的内核数据结构和文件的内核数据结构上;
其中,所述进程的内核数据结构为struct task_struct—>cred—>security域;所述文件的内核数据结构为struct inode—>i_security域。
3.根据权利要求1或2所述的基于多保护策略融合的强制访问控制方法,其特征在于,所述判断所述访问请求是否满足预设机密性控制规则和预设完整性控制规则的过程,包括:
根据所述主体的机密性标记和所述客体的机密性标记来确定所述主体和所述客体之间的安全级支配关系;
根据所述主体的完整性标记和所述客体的完整性标记来确定所述主体和所述客体之间的完整级支配关系;
根据所述安全级支配关系和所述完整级支配关系,来判断所述访问请求是否满足所述预设机密性控制规则和所述预设完整性控制规则。
4.根据权利要求3所述的基于多保护策略融合的强制访问控制方法,其特征在于,所述预设机密性控制规则为遵循BLP多级安全模型的规则,包括:
当所述主体的安全级支配所述客体的安全级,则允许所述主体对所述客体进行读操作;
当所述客体的安全级支配所述主体的安全级,则允许所述主体对所述客体进行写操作。
5.根据权利要求3所述的基于多保护策略融合的强制访问控制方法,其特征在于,所述预设完整性控制规则为遵循BIBA安全模型的规则,包括:
当所述客体的完整级支配所述主体的完整级,则允许所述主体对所述客体进行读操作;
当所述主体的完整级支配所述客体的完整级,则允许所述主体对所述客体进行写操作。
6.根据权利要求4所述的基于多保护策略融合的强制访问控制方法,其特征在于,所述机密性标记包括机密性类别、机密性等级和机密性范畴;其中,所述机密性类别包括TYPE_UNDEF、TYPE_GEN、TYPE_LOW、TYPE_HIGH和TYPE_PUBLIC,所述机密性等级包括普通用户等级和管理员等级,所述管理员等级大于所述普通用户等级,所述机密性范畴包括N种范畴,N为不大于256的正整数。
7.根据权利要求6所述的基于多保护策略融合的强制访问控制方法,其特征在于,所述根据所述主体的机密性标记和所述客体的机密性标记来确定所述主体和所述客体之间的安全级支配关系的过程,包括:
判断所述主体的机密性标记和所述客体的机密性标记是否满足第一支配条件,如果是,则判定所述主体的安全级支配所述客体的安全级,如果否,则判定所述客体的安全级支配所述主体的安全级;
其中,所述第一支配条件包括:
当所述主体的机密性类别为TYPE_HIGH;
或,当所述客体的机密性类别为TYPE_LOW;
或,当所述主体的机密性类别和所述客体的机密性类别中至少有一个的机密性类别为TYPE_PUBLIC;
或,当所述主体的机密性类别和所述客体的机密性类别均为TYPE_GEN,并且,所述主体的机密性等级大于或等于所述客体的机密性等级,且所述主体的机密性范畴包含所述客体的机密性范畴。
8.根据权利要求5所述的基于多保护策略融合的强制访问控制方法,其特征在于,所述完整性标记包括完整性等级,所述完整性等级包括M种不同的等级,M为大于1且小于或等于16的整数。
9.根据权利要求8所述的基于多保护策略融合的强制访问控制方法,其特征在于,所述根据所述主体的完整性标记和所述客体的完整性标记来确定所述主体和所述客体之间的完整级支配关系的过程,包括:
判断所述主体的完整性标记和所述客体的完整性标记是否满足第二支配条件,如果是,则判定所述主体的完整级支配所述客体的完整级,如果否,则判定所述客体的完整级支配所述主体的完整级;
其中,所述第二支配条件包括:
当所述主体的完整性标记中的完整性等级大于或等于所述客体的完整性标记中的完整性等级。
10.一种基于多保护策略融合的强制访问控制系统,其特征在于,包括:
标记提取模块,用于当接收到主体发送的针对客体的访问请求,则提取所述主体上预先嵌入的安全标记以及提取所述客体上预先嵌入的安全标记;其中,所述主体的安全标记和所述客体的安全标记中均包括机密性标记和完整性标记;
访问控制模块,用于利用所述主体的安全标记和所述客体的安全标记,判断所述访问请求是否满足预设机密性控制规则和预设完整性控制规则,如果是,则对所述访问请求进行授权,如果否,则拒绝所述访问请求。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610551767.2A CN105959322A (zh) | 2016-07-13 | 2016-07-13 | 一种基于多保护策略融合的强制访问控制方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610551767.2A CN105959322A (zh) | 2016-07-13 | 2016-07-13 | 一种基于多保护策略融合的强制访问控制方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105959322A true CN105959322A (zh) | 2016-09-21 |
Family
ID=56899954
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610551767.2A Pending CN105959322A (zh) | 2016-07-13 | 2016-07-13 | 一种基于多保护策略融合的强制访问控制方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105959322A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107016289A (zh) * | 2017-02-15 | 2017-08-04 | 中国科学院信息工程研究所 | 基于Web操作系统的移动瘦终端安全模型建立方法及装置 |
CN107944296A (zh) * | 2017-11-30 | 2018-04-20 | 郑州云海信息技术有限公司 | 一种云存储系统及其用户权限控制方法、设备、存储介质 |
CN111181955A (zh) * | 2019-12-26 | 2020-05-19 | 北京卓讯科信技术有限公司 | 一种基于标记的会话控制方法和设备 |
CN113255000A (zh) * | 2021-06-04 | 2021-08-13 | 曙光信息产业(北京)有限公司 | 数据访问控制方法、装置、电子设备及可读存储介质 |
CN113438216A (zh) * | 2021-06-15 | 2021-09-24 | 中国国家铁路集团有限公司 | 一种基于安全标记的访问控制方法 |
CN113612802A (zh) * | 2021-10-08 | 2021-11-05 | 苏州浪潮智能科技有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
CN115174185A (zh) * | 2022-06-30 | 2022-10-11 | 中国人民解放军战略支援部队信息工程大学 | 一种访问控制方法及装置 |
CN112836237B (zh) * | 2021-02-05 | 2023-08-15 | 广州海量数据库技术有限公司 | 一种在内容数据库中进行强制访问控制的方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100049974A1 (en) * | 2007-04-16 | 2010-02-25 | Eli Winjum | Method and apparatus for verification of information access in ict systems having multiple security dimensions and multiple security levels |
CN101727545A (zh) * | 2008-10-10 | 2010-06-09 | 中国科学院研究生院 | 一种安全操作系统强制访问控制机制的实施方法 |
CN101997912A (zh) * | 2010-10-27 | 2011-03-30 | 苏州凌霄科技有限公司 | 基于Android平台的强制访问控制装置及控制方法 |
CN102368760A (zh) * | 2010-12-31 | 2012-03-07 | 中国人民解放军信息工程大学 | 多级信息系统间的数据安全传输方法 |
CN104079569A (zh) * | 2014-06-27 | 2014-10-01 | 东湖软件产业股份有限公司 | 一种融入可信等级的blp改进模型及认证访问方法 |
CN105049445A (zh) * | 2015-08-19 | 2015-11-11 | 陆宝华 | 一种访问控制方法及独立式访问控制器 |
-
2016
- 2016-07-13 CN CN201610551767.2A patent/CN105959322A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100049974A1 (en) * | 2007-04-16 | 2010-02-25 | Eli Winjum | Method and apparatus for verification of information access in ict systems having multiple security dimensions and multiple security levels |
CN101727545A (zh) * | 2008-10-10 | 2010-06-09 | 中国科学院研究生院 | 一种安全操作系统强制访问控制机制的实施方法 |
CN101997912A (zh) * | 2010-10-27 | 2011-03-30 | 苏州凌霄科技有限公司 | 基于Android平台的强制访问控制装置及控制方法 |
CN102368760A (zh) * | 2010-12-31 | 2012-03-07 | 中国人民解放军信息工程大学 | 多级信息系统间的数据安全传输方法 |
CN104079569A (zh) * | 2014-06-27 | 2014-10-01 | 东湖软件产业股份有限公司 | 一种融入可信等级的blp改进模型及认证访问方法 |
CN105049445A (zh) * | 2015-08-19 | 2015-11-11 | 陆宝华 | 一种访问控制方法及独立式访问控制器 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107016289A (zh) * | 2017-02-15 | 2017-08-04 | 中国科学院信息工程研究所 | 基于Web操作系统的移动瘦终端安全模型建立方法及装置 |
CN107944296A (zh) * | 2017-11-30 | 2018-04-20 | 郑州云海信息技术有限公司 | 一种云存储系统及其用户权限控制方法、设备、存储介质 |
CN111181955A (zh) * | 2019-12-26 | 2020-05-19 | 北京卓讯科信技术有限公司 | 一种基于标记的会话控制方法和设备 |
CN111181955B (zh) * | 2019-12-26 | 2022-02-08 | 北京卓讯科信技术有限公司 | 一种基于标记的会话控制方法、设备和存储介质 |
CN112836237B (zh) * | 2021-02-05 | 2023-08-15 | 广州海量数据库技术有限公司 | 一种在内容数据库中进行强制访问控制的方法及系统 |
CN113255000A (zh) * | 2021-06-04 | 2021-08-13 | 曙光信息产业(北京)有限公司 | 数据访问控制方法、装置、电子设备及可读存储介质 |
CN113438216A (zh) * | 2021-06-15 | 2021-09-24 | 中国国家铁路集团有限公司 | 一种基于安全标记的访问控制方法 |
CN113438216B (zh) * | 2021-06-15 | 2023-02-28 | 中国国家铁路集团有限公司 | 一种基于安全标记的访问控制方法 |
CN113612802A (zh) * | 2021-10-08 | 2021-11-05 | 苏州浪潮智能科技有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
CN113612802B (zh) * | 2021-10-08 | 2022-02-18 | 苏州浪潮智能科技有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
CN115174185A (zh) * | 2022-06-30 | 2022-10-11 | 中国人民解放军战略支援部队信息工程大学 | 一种访问控制方法及装置 |
CN115174185B (zh) * | 2022-06-30 | 2023-09-22 | 中国人民解放军战略支援部队信息工程大学 | 一种访问控制方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105959322A (zh) | 一种基于多保护策略融合的强制访问控制方法及系统 | |
CN104811465B (zh) | 一种访问控制的决策方法和设备 | |
CN104392159B (zh) | 一种支持最小特权的用户按需授权方法 | |
CN108961047A (zh) | 利用区块链数据库在车辆与实体之间进行数据交易的方法和系统 | |
Zhang et al. | Effects of mobile phone use on pedestrian crossing behavior and safety at unsignalized intersections | |
EP2821866A1 (en) | Control program management system and method for changing control program | |
WO2003088018A3 (en) | System and techniques to bind information objects to security labels | |
CN105453102A (zh) | 用于识别已泄漏的私有密钥的系统和方法 | |
CN104239438B (zh) | 基于分离存储的文件信息存储方法和文件信息读写方法 | |
CN103425916B (zh) | 以安全准则为工作流程审计标准的安全操作装置和方法 | |
CN105471842B (zh) | 一种大数据环境下的网络安全分析方法 | |
Julliand et al. | Generating security tests in addition to functional tests | |
CN108016402A (zh) | 汽车的权限分配方法、存储介质、电子设备及汽车 | |
CN107590253A (zh) | 一种针对MySQL数据库配置安全性的自动化检测方法 | |
CN105049445B (zh) | 一种访问控制方法及独立式访问控制器 | |
CN112069527A (zh) | 一种基于多重安全防护措施的税控发票保护方法及系统 | |
CN101833496B (zh) | 基于硬盘的主机防客体重用性能的检测装置及其检测方法 | |
CN104579735B (zh) | 路由器安全管理方法 | |
WO2005048243A3 (en) | Apparatus and method providing distributed access point authentication and access control with validation feedback | |
CN107566375A (zh) | 访问控制方法和装置 | |
CN107423870A (zh) | 用于m310核电机组许可证延续安全论证基准的确认使用方法 | |
CN104537537A (zh) | 一种基于Android系统的安全支付方法 | |
CN208076988U (zh) | 一种销贷车辆远程管理控制系统 | |
CN104134026B (zh) | 一种应用于移动终端的深度安全解锁方法及装置 | |
Sadvandi et al. | Safety and security interdependencies in complex systems and sos: Challenges and perspectives |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160921 |
|
RJ01 | Rejection of invention patent application after publication |