CN106407823B - 一种多粒度多强度访问控制方法及系统 - Google Patents
一种多粒度多强度访问控制方法及系统 Download PDFInfo
- Publication number
- CN106407823B CN106407823B CN201610849886.6A CN201610849886A CN106407823B CN 106407823 B CN106407823 B CN 106407823B CN 201610849886 A CN201610849886 A CN 201610849886A CN 106407823 B CN106407823 B CN 106407823B
- Authority
- CN
- China
- Prior art keywords
- access control
- indicate
- model
- intensity
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出一种多粒度多强度访问控制方法及系统,该方法包括步骤1,构建多粒度多强度访问控制模型,包括粗粒度低强度的访问控制模型与细粒度高强度的信息流控制模型,所述多粒度多强度访问控制模型包括的实体为客体的安全标记、主体的安全标记、全局访问控制模式;步骤2,设置访问控制规则,通过所述访问控制规则进行访问控制。本发明引入访问控制模式,集成粗粒度低强度的访问控制模型和细粒度高强度的信息流控制模型,得到新模型具备多粒度多强度的访问控制特点;方便全局粗粒度的数据隔离保护和细粒度的数据共享,具备了传统访问控制模型和分布式信息流控制模型的优点,通过设计适用于云平台的管控类型列表,能扩展到云平台的数据保护。
Description
技术领域
本发明涉及访问控制,特别涉及一种多粒度多强度访问控制方法及系统。
背景技术
数据安全由于其在实际应用中的基础性地位,已经成为最亟待突破和解决的首要问题。
在研究和实践过程中,本发明的发明人发现:传统访问控制模型如自主访问控制模型,权限授予基本单位为用户,管控粒度较粗,但管理方便,实际应用较多;分布式信息流控制模型,可管控进程级的行为,管控粒度较细,但管理复杂,实际应用相对较少,此外,信息流控制模型对信息流的管控强度比自主访问控制模型更强,从机密性角度来说,在信息流模型中,一个进程在被授权读取一个机密性文件的同时,也限制了该进程的写行为,只能向相同或更高机密等级写数据,而在传统模型如自主访问控制模型中,一个进程在被授权读取一个机密性文件的同时,其写行为并没有受到限制,从完整性的角度来说,亦是如此,两种模型各有优缺点,所以发明结合粗粒度低强度的访问控制模型和细粒度高强度的信息流访问控制模型,集成设计一种多粒度多强度的访问控制模型来保护数据安全,该模型能扩展到云平台的数据保护。
发明内容
针对现有技术的不足,本发明提出一种多粒度多强度访问控制方法及系统。
本发明提出一种多粒度多强度访问控制方法,包括:
步骤1,构建多粒度多强度访问控制模型,包括粗粒度低强度的访问控制模型与细粒度高强度的信息流控制模型,所述多粒度多强度访问控制模型包括的实体为客体的安全标记、主体的安全标记、全局访问控制模式;
步骤2,设置访问控制规则,通过所述访问控制规则进行访问控制。
所述粗粒度低强度的访问控制模型为自主访问控制模型,所述细粒度高强度的信息流控制模型为分布式信息流控制模型。
所述步骤2中所述访问控制规则包括DAC信息流控制规则、DIFC信息流控制规则。
用p表示主体,DACInfo(p)表示p的DAC访问控制属性信息,PrivilegeCodeSet(p)表示p的特权码集,用f表示客体,ACL(f)表示f的DAC访问控制列表,PrivilegeCodeSet(f)表示f的特权码集,所述DAC信息流控制规则为:
1)如果p与f的安全标记满足以下关系:
DACInfo(p)满足ACL(f)中的安全策略,则主体对客体的操作是安全的;
2)如果不满足1)中的关系,但满足以下关系:
PrivilegeCodeSet(p)拥有PrivilegeCodeSet(f)中特权码,则从主体对客体的操作也是安全的。
用p,q表示主体或者客体,Sp表示p的机密性标签集,Ip表示p的完整性标签集,Dp表示p的双权限标签集,Rp表示p的可删除标签集,Ap表示p的可添加标签集,所述DIFC信息流控制规则的控制规则为:
1)如果p和q的安全标记满足以下关系
且
则从p到q的数据流动就是安全的;
2)如果不满足1)中的关系,但满足以下关系:
且
则从p到q的数据流动也是安全的,而且无需改变p,q的安全标记,直接进行通信;
如果不满足1)与2)中的关系,但满足以下关系:
且
则p和q进行通信,但在通信之前,需要将安全标记改变,以满足如下关系:
且
本发明还提出一种多粒度多强度访问控制系统,包括:
构建模型模块,用于构建多粒度多强度访问控制模型,包括粗粒度低强度的访问控制模型与细粒度高强度的信息流控制模型,所述多粒度多强度访问控制模型包括的实体为客体的安全标记、主体的安全标记、全局访问控制模式;
访问控制模块,用于设置访问控制规则,通过所述访问控制规则进行访问控制。
所述粗粒度低强度的访问控制模型为自主访问控制模型,所述细粒度高强度的信息流控制模型为分布式信息流控制模型。
所述访问控制模块中所述访问控制规则包括DAC信息流控制规则、DIFC信息流控制规则。
用p表示主体,DACInfo(p)表示p的DAC访问控制属性信息,PrivilegeCodeSet(p)表示p的特权码集,用f表示客体,ACL(f)表示f的DAC访问控制列表,PrivilegeCodeSet(f)表示f的特权码集,所述DAC信息流控制规则为:
1)如果p与f的安全标记满足以下关系:
DACInfo(p)满足ACL(f)中的安全策略,则主体对客体的操作是安全的;
2)如果不满足1)中的关系,但满足以下关系:
PrivilegeCodeSet(p)拥有PrivilegeCodeSet(f)中特权码,则从主体对客体的操作也是安全的。
用p,q表示主体或者客体,Sp表示p的机密性标签集,Ip表示p的完整性标签集,Dp表示p的双权限标签集,Rp表示p的可删除标签集,Ap表示p的可添加标签集,所述DIFC信息流控制规则的控制规则为:
1)如果p和q的安全标记满足以下关系
且
则从p到q的数据流动就是安全的;
2)如果不满足1)中的关系,但满足以下关系:
且
则从p到q的数据流动也是安全的,而且无需改变p,q的安全标记,直接进行通信;
如果不满足1)与2)中的关系,但满足以下关系:
且
则p和q进行通信,但在通信之前,需要将安全标记改变,以满足如下关系:
且
由以上方案可知,本发明的优点在于:
本发明引入访问控制模式,集成粗粒度低强度的访问控制模型和细粒度高强度的信息流控制模型,得到新模型具备多粒度多强度的访问控制特点;方便全局粗粒度的数据隔离保护和细粒度的数据共享,具备了传统访问控制模型和分布式信息流控制模型的优点;通过设计适用于云平台的管控类型列表,能扩展到云平台的数据保护。
附图说明
图1为一种多粒度多强度访问控制模型图;
图2为引入特权码的DAC模型图;
图3为不同访问控制模式下的访问控制特征图。
具体实施方式
本发明提出一种多粒度多强度访问控制方法,构建多粒度多强度访问控制模型,如图1所示:
1)引入访问控制模式,集成粗粒度低强度的访问控制模型和细粒度高强度的信息流控制模型;
2)提供多粒度的访问控制,不同全局类型的粗粒度管控和不同进程级别的细粒度管控;
3)提供多强度的访问控制,传统访问控制模型的弱管控和信息流控制模型的强管控;
4)能扩展到云平台的数据保护。
粗粒度低强度的访问控制模型和细粒度高强度的信息流控制模型的集成。粗粒度低强度的访问控制模型如自主访问控制模型、基于角色访问控制模型等,细粒度高强度的信息流控制模型如分布式信息流控制模型等。下列叙述以自主访问控制模型和分布式信息流控制模型为例。
该模型中用于访问控制的实体如下:
客体安全标记,包括三部分:DAC访问控制属性(DACAttribute)、DIFC访问控制属性(DIFCAttribute)和局部访问控制模式(Local Access Control Mode,LocalACM)。
客体的DACAttribute可以是一个传统DAC模型的访问控制列表(ACL),在ACL中声明了特定主体对该客体执行特定操作的权限;还包括一个特权码集(Privilege CodeSet),用于授权给某个主体一个特权码(Privilege Code)从而授权该主体读或写的权限,根据操作不同有不同类型的特权码,如读特权码,写特权码等;客体的DIFCAttribute是一个DIFC安全标记;LocalACM是适用于该客体的访问控制模式,有五个取值Default,OnlyDAC,OnlyDIFC,DACAndDIFC,DACOrDIFC,客体的访问控制模式决定了当主体访问该客体时执行什么安全策略检查:当取值为OnlyDAC时,仅执行自主访问控制模型的策略检查;当取值为OnlyDIFC时,仅执行分布式信息流访问控制模型的策略检查;当取值为DACAndDIFC时,执行自主访问控制模型和分布式信息流访问控制模型的策略检查,并且只有在两个模型均允许访问时,才允许访问;当取值为DACOrDIFC时,执行自主访问控制模型和分布式信息流访问控制模型的策略检查,并且只有在两个模型均拒绝访问时,才拒绝访问;当取值为Default时,客体访问控制模式和全局访问控制模式一致。客体的DIFC安全标记,包括机密性标签和完整性标签,表达了客体创建者对客体添加的安全属性,用于保护客体的机密性和完整性。主体在创建客体时,可创建标签,并向该客体添加标签。客体的安全属性,包括用于访问控制的客体属性,如客体所属主体(客体创建者)。客体可以拥有不同LocalACM取值的多个标记,以实现灵活的访问控制。
客体的安全标记可设计为:
[DACAttribute;DIFCAttribute;LocalACM]=[
ACL;PrivilegeCodeSet;
TagSets(IntegrityTagSet,SecurityTagSet);
LocalACM
]。
主体安全标记包括两部分:DAC访问控制属性、DIFC访问控制属性。
主体的DACAttribute是主体的DAC访问控制信息(DACInfo),如用户、组等;还包括一个特权码集(Privilege Code Set),用于授权给某个主体一个特权码(Privilege Code)从而授权该主体读或写的权限;主体的DIFCAttribute是一个DIFC安全标记。主体的DIFC安全标记,包括标签集和能力集。主体的标签包括机密性标签和完整性标签,表达了主体的安全属性,也表达了主体的操作权限。主体可通过自身能力添加标签和删除标签。主体的安全能力,每个标签对应可添加标签和可删除标签,分别实现向主体添加标签和删除标签,所以一共有四种能力。主体在创建客体时,可以创建标签,同时产生可添加标签能力和可删除标签能力。主体向客体添加标签,设置客体的安全属性和访问要求;也可以通过能力授权,将能力分享出去,实现对客体数据共享。主体的能力可来自自己创建标签时产生的能力,也可来自其它主体的能力授予。主体的安全属性,包括用于访问控制的客体属性,如主体的用户组,主体的角色等。主体只有一个安全标记。
主体的安全标记可设计为:
[DACAttribut;DIFCAttribute]=[
DACInfo,PrivilegeCodeSet;
TagSets(IntegrityTagSet,SecurityTagSet),CapSets(AddIntegrityTagSet,AddSecurityTagSet,RemoveIntegrityTagSet,RemoveSecurityTagSet);
]。
全局访问控制模式(Global Access Control Mode,GlobalACM)设置全局默认的访问控制模式,有四个取值OnlyDAC,OnlyDIFC,DACAndDIFC,DACOrDIFC。
客体是指被访问的资源,如文件等。主体是指可访问资源的进程或线程,同一个可执行文件运行的2个进程,认为是不同的主体,如果其属性不同,则安全属性也不同。全局能力表用于实现粗粒度的信息流控制;细粒度能力表用于实现细粒度的信息流控制。
多粒度多强度访问控制模型的DAC信息流控制规则如下:
用p表示主体,DACInfo(p)表示p的DAC访问控制属性信息,如用户User(p),Group(p)等;PrivilegeCodeSet(p)表示p的特权码集;用f表示客体,ACL(f)表示f的DAC访问控制列表,PrivilegeCodeSet(f)表示f的特权码集。安全的信息流动规则如下:
如果p和f的安全标记满足以下关系:
DACInfo(p)满足ACL(f)中的安全策略,
那么p对f的操作是安全的。
如果不满足上述关系(1),但是满足以下关系:
PrivilegeCodeSet(p)拥有PrivilegeCodeSet(f)中特权码,
那么从p对f的操作也是安全的。
多粒度多强度访问控制模型的DIFC信息流控制规则如下:
用p,q表示主体或者客体,Sp表示p的机密性标签集,Ip表示p的完整性标签集,Dp表示p的双权限标签集,Rp表示p的可删除标签集,Ap表示p的可添加标签集。安全的信息流动规则如下:
如果p和q的安全标记满足以下关系
且
那么从p到q的数据流动就是安全的。
如果不满足上述关系(1),但是满足
且
那么从p到q的数据流动也是安全的,而且不需要改变p,q的安全标记,就可以直接进行通信。上述关系式说明p,q可以通过改变自身标记去完成安全通信,而且通信结束还可以将标记还原到通信前状态。
如果不满足上述关系(1)和(2),但是满足
且
那么p和q也可以进行通信,但是在通信之前,需要通过自身能力将安全标记改变,以满足如下关系
且
这种情况下,并不能保证通信结束后p和q能将标记还原到通信前状态,所以要改变自身安全标记之后才能进行通信。
本发明还引入了访问控制模式,包括全局访问控制模式和局部访问控制模式:
GlobalACM是设置全局默认的访问控制模式,有四个取值OnlyDAC,OnlyDIFC,DACAndDIFC,DACOrDIFC。LocalACM是适用于该客体的访问控制模式,有五个取值Default,OnlyDAC,OnlyDIFC,DACAndDIFC,DACOrDIFC。OnlyDAC表示实施访问控制时只依据DACAttribute做判断,即权利要求3中的访问控制规则;OnlyDIFC表示实施访问控制时只依据DIFCAttribute规则做判断,即权利要求4中的访问控制规则;DACAndDIFC表示实施访问控制时需要同时满足DACAttribute和DIFCAttribute;DACOrDIFC表示实施访问控制时需要满足DACAttribute或DIFCAttribute即可。
本发明在传统DAC的基础上引入了特权码,实现传统DAC的细粒度访问控制,以方便访问控制策略的制定,如图2所示:
传统DAC最小管控粒度是用户级别的,控制特定用户对客体的读写等操作的行为;在引入特权码之后,可实现特定应用进程对客体的读写等操作的行为,将某个特权码授权给某一类进程(如某个应用程序启动的多个进程为一类进程),可实现只对该类进程的授权。
本发明提供多粒度的访问控制,不同全局类型的粗粒度管控和不同进程级别的细粒度管控:
DACAttribute用于实现不同全局类型的粗粒度访问控制,可用于实现对数据的全局隔离保护和数据共享。可定义不同全局类型的主体,如在传统DAC中的不同全局类型主体有:Group,User等。在ACL中对不同全局类型主体的特定操作权限进行规定,即可实现对不同全局类型的粗粒度访问控制。
DIFCAttribute用于实现进程级别的细粒度访问控制,可用于实现细粒度的隔离保护和数据共享。
通过引入访问控制模式,灵活使用不同的访问控制模式,最终实现不同全局类型的粗粒度管控和不同进程级别的细粒度管控。客体可以拥有不同LocalACM取值的多个标记,以实现灵活的访问控制。LocalACM取值为OnlyDAC,则实现不同全局类型的粗粒度访问控制,如实现规定某个用户的操作行为,实现规定某个用户组的操作行为等。LocalACM取值为OnlyDIFC,则实现进程级别的细粒度访问控制,如实现规定了某一特定进程的操作行为。LocalACM取值为DACAndDIFC,则实现特定全局类型种特定进程的访问控制,如实现规定了某一用户的某一进程的操作行为。LocalACM取值为DACOrDIFC,则实现LocalACM取值OnlyDAC或OnlyDIFC时的访问控制。
使用本发明模型,可同时根据粗粒度管控和细粒度管控的优缺点,设计符合实际应用场景的访问策略。
本发明提供多强度的访问控制,传统访问控制模型的弱管控和信息流控制模型的强管控:
信息流控制模型对信息流的管控强度比传统访问控制模型如自主访问控制模型更强,从机密性角度来说,在信息流模型中,一个进程在被授权读取一个机密性文件的同时,也限制了该进程的写行为,只能向相同或更高机密等级写数据;而在传统模型如自主访问控制模型中,一个进程在被授权读取一个机密性文件的同时,其写行为并没有受到限制,从完整性的角度来说,亦是如此。
所以,在本模型中可通过DACAttribute实现弱管控,通过DIFCAttribute实现强管控,方便根据需要制定访问控制策略,使用本发明模型,可同时根据强管控和弱管控的优缺点,设计符合实际应用场景的访问策略。
本发明能扩展到云平台的数据保护:
定义管控类别列表:ControlTypeList=[ControlType1,ControlType2,…,ControlTypeN]。通过定义多个管控类别,实现对数据的不同粒度的访问控制。在DACAttribute中实现对ControlTypList中不同管控类别的管控,最终可将该模型应用到该管控类别列表。
在不同的应用场景,可设计不同的管控类别列表,设计适应于云平台的管控类别列表,能将现有模型扩展到云平台的数据保护。
在DAC中,可包含的管控类别有:用户(OSUser),用户组(OSGroup)。则多粒度管控类别列表为OSControlTypeList=[OSUser,OSGroup]。
在RBAC中,可包含的管控类别有:用户(OSUser),用户组(OSGroup),角色(OSRole),则多粒度管控类别列表为OSControlTypeList=[OSUser,OSGroup,OS,Role]。
在云平台基础设施即服务(IaaS)中,以Openstack为例,可包含的管控类别有:云域(CloudDomain),云项目(CloudProject),云实例(CloudInstance),云组(CloudGroup),云用户(CloudUser),云角色(CloudRole),用户(OSUser),用户组(OSGroup),角色(OSRole),则管控类别列表为IaaSControlTypeList=[CloudDomain,CloudProject,CloudInstance,CloudGroup,CloudUser,CloudRole,OSUser,OSGroup,OSRole]。
在云平台软件即服务(SaaS)中,可包含的管控类别有:云域(CloudDomain),云项目(CloudProject),云实例(CloudInstance),云组(CloudGroup),云用户(CloudUser),云角色(CloudRole),则管控类别列表为SaaSControlTypeList=[CloudDomain,CloudProject,CloudInstance,CloudGroup,CloudUser,CloudRole]。
本发明还提出一种多粒度多强度访问控制系统,包括:
构建模型模块,用于构建多粒度多强度访问控制模型,包括粗粒度低强度的访问控制模型与细粒度高强度的信息流控制模型,所述多粒度多强度访问控制模型包括的实体为客体的安全标记、主体的安全标记、全局访问控制模式;
访问控制模块,用于设置访问控制规则,通过所述访问控制规则进行访问控制。
所述粗粒度低强度访问控制模型为自主访问控制模型,所述细粒度高强度信息流控制模型为分布式信息流控制模型。
所述访问控制模块中所述访问控制规则包括DAC信息流控制规则、DIFC信息流控制规则。
用p表示主体,DACInfo(p)表示p的DAC访问控制属性信息,PrivilegeCodeSet(p)表示p的特权码集,用f表示客体,ACL(f)表示f的DAC访问控制列表,PrivilegeCodeSet(f)表示f的特权码集,所述DAC信息流控制规则为:
1)如果p与f的安全标记满足以下关系:
DACInfo(p)满足ACL(f)中的安全策略,则主体对客体的操作是安全的;
2)如果不满足1)中的关系,但满足以下关系:
PrivilegeCodeSet(p)拥有PrivilegeCodeSet(f)中特权码,则从主体对客体的操作也是安全的。
用p,q表示主体或者客体,Sp表示p的机密性标签集,Ip表示p的完整性标签集,Dp表示p的双权限标签集,Rp表示p的可删除标签集,Ap表示p的可添加标签集,所述DIFC信息流控制规则的控制规则为:
1)如果p和q的安全标记满足以下关系
且
则从p到q的数据流动就是安全的;
2)如果不满足1)中的关系,但满足以下关系:
且
则从p到q的数据流动也是安全的,而且无需改变p,q的安全标记,直接进行通信;
如果不满足1)与2)中的关系,但满足以下关系:
且
则p和q进行通信,但在通信之前,需要将安全标记改变,以满足如下关系:
且
以下为本发明的一实施例,如下所示:
本发明提出一种多粒度多强度访问控制模型,如图1所示:
以自主访问控制模型和分布式信息流控制模型为例。此时可包含的管控类别有:用户(OSUser),用户组(OSGroup),则多粒度管控类别列表为OSControlTypeList=[OSUser,OSGroup]。
该模型中用于访问控制的实体如下:
客体的安全标记可设计如下,其中LocalACM是适用于该客体的访问控制模式,有五个取值Default,OnlyDAC,OnlyDIFC,DACAndDIFC,DACOrDIFC。根据LocalACM取值不同,客体可拥有4个安全标记,LocalACM的取值为OnlyDAC,OnlyDIFC,DACAndDIFC,DACOrDIFC,ACL声明了特定主体对该客体执行特定操作的权限;其元素可设计为(subject,read,write,exec)。PrivilegeCodeSet是用于授权给某个主体一个特权码从而授权该主体读或写的权限,其元素可设计为(privilegeCode,operation)。
[DACAttribute;DIFCAttribute;LocalACM]=[
ACL;PrivilegeCodeSet;
TagSets(IntegrityTagSet,SecurityTagSet);
LocalACM
]。
主体的安全标记可设计如下,其中DACInfo包括该主体的User,GroupSet;PrivilegeCodeSet元素可设计为(privilegeCode,operation);每个标签是一个唯一的随机整数,每个标签对应2个能力可添加能力和可删除能力。TagSet是一个标签集合,其元素为标签。
[DACAttribut;DIFCAttribute]=[
DACInfo,PrivilegeCodeSet;
TagSets(IntegrityTagSet,SecurityTagSet),CapSets(AddIntegrityTagSet,AddSecurityTagSet,RemoveIntegrityTagSet,RemoveSecurityTagSet);
]。
全局访问控制模式(Global Access Control Mode,GlobalACM)设置全局默认的访问控制模式,有四个取值OnlyDAC,OnlyDIFC,DACAndDIFC,DACOrDIFC。
客体是指被访问的资源,如文件等。主体是指可访问资源的进程或线程,同一个可执行文件运行的2个进程,认为是不同的主体,如果其属性不同,则安全属性也不同,全局能力表用于实现粗粒度的信息流控制;细粒度能力表用于实现细粒度的信息流控制。
该模型的DAC信息流控制规则如下:
用p表示主体,DACInfo(p)表示p的DAC访问控制属性信息,如用户User(p),Group(p)等;PrivilegeCodeSet(p)表示p的特权码集;用f表示客体,ACL(f)表示f的DAC访问控制列表,PrivilegeCodeSet(f)表示f的特权码集,安全的信息流动规则如下:
如果p和f的安全标记满足以下关系:
DACInfo(p)满足ACL(f)
那么p对f的操作是安全的。
如果不满足上述关系(1),但是满足
PrivilegeCodeSet(p)拥有PrivilegeCodeSet(f)中特权码
那么从p对f的操作也是安全的。
该模型的DIFC信息流控制规则如下:
用p,q表示主体或者客体,Sp表示p的机密性标签集,Ip表示p的完整性标签集,Dp表示p的双权限标签集,Rp表示p的可删除标签集,Ap表示p的可添加标签集。安全的信息流动规则如下:
如果p和q的安全标记满足以下关系
且
那么从p到q的数据流动就是安全的。
如果不满足上述关系(1),但是满足
且
那么从p到q的数据流动也是安全的,而且不需要改变p,q的安全标记,就可以直接进行通信,上述关系式说明p,q可以通过改变自身标记去完成安全通信,而且通信结束还可以将标记还原到通信前状态。
如果不满足上述关系(1)和(2),但是满足
且
那么p和q也可以进行通信,但是在通信之前,需要通过自身能力将安全标记改变,以满足如下关系
且
如上关系中的个元素,分别表示p与q通过自身能力改变安全标记后的机密性标签集和完整性标签集:p的新机密性标签级,q的新机密性标签机,q的新完整性标签集和p的新完整性标签集。这种情况下,并不能保证通信结束后p和q能将标记还原到通信前状态,所以要改变自身安全标记之后才能进行通信。
该模型引入了访问控制模式,包括全局访问控制模式和局部访问控制模式。GlobalACM和LocalACM的取值及其含义如下,GlobalACM设置全局默认的访问控制模式,有四个取值OnlyDAC,OnlyDIFC,DACAndDIFC,DACOrDIFC,LocalACM是适用于该客体的访问控制模式,有五个取值Default,OnlyDAC,OnlyDIFC,DACAndDIFC,DACOrDIFC,OnlyDAC表示实施访问控制时只依据DACAttribute做判断,即权利要求3中的访问控制规则;OnlyDIFC表示实施访问控制时只依据DIFCAttribute规则做判断,即权利要求4中的访问控制规则;DACAndDIFC表示实施访问控制时需要同时满足DACAttribute和DIFCAttribute;DACOrDIFC表示实施访问控制时需要满足DACAttribute或DIFCAttribute即可。
该模型通过引入访问控制模式,灵活使用不同的访问控制模式,最终实现不同全局类型的粗粒度管控和不同进程级别的细粒度管控,LocalACM取不同值时实现的访问控制有如下特征,如图3所示,客体可以拥有不同LocalACM取值的多个标记,以实现灵活的访问控制,LocalACM取值为OnlyDAC,则实现不同全局类型的粗粒度访问控制,如实现规定某个用户的操作行为,实现规定某个用户组的操作行为等,LocalACM取值为OnlyDIFC,则实现进程级别的细粒度访问控制,如实现规定了某一特定进程的操作行为,LocalACM取值为DACAndDIFC,则实现特定全局类型种特定进程的访问控制,如实现规定了某一用户的某一进程的操作行为,LocalACM取值为DACOrDIFC,则实现LocalACM取值OnlyDAC或OnlyDIFC时的访问控制。
本模型中可通过DACAttribute实现弱管控,通过DIFCAttribute实现强管控,方便根据需要制定访问控制策略。
该访问控制模型的实现需要以下模块。
数据存储模块:存储客体安全标记、主体安全标记、审计日志及其它访问控制信息。可采用数据库存储或文件存储等方式。
拦截系统调用模块:用于拦截系统读写等操作,为访问控制策略执行做准备。
策略管理模块:用于响应主体、客体的安全标记的读写,为权限授予和访问控制策略执行等提供服务。
策略执行模块:根据从策略管理模块获取的主客体安全标记,实施访问控制。
审计模块:负责访问控制模型的审计工作。
Claims (6)
1.一种多粒度多强度访问控制方法,其特征在于,包括:
步骤1,构建多粒度多强度访问控制模型,包括粗粒度低强度的访问控制模型与细粒度高强度的信息流控制模型,所述多粒度多强度访问控制模型包括的实体为客体的安全标记、主体的安全标记、全局访问控制模式;
步骤2,设置访问控制规则,通过所述访问控制规则进行访问控制;
所述步骤2中所述访问控制规则包括DAC信息流控制规则、DIFC信息流控制规则;
用p表示主体,q表示主体或者客体,Sp表示p的机密性标签集,Ip表示p的完整性标签集,Dp表示p的双权限标签集,Rp表示p的可删除标签集,Ap表示p的可添加标签集,Sq表示q的机密性标签集,Iq表示q的完整性标签集,Dq表示q的双权限标签集,Rq表示q的可删除标签集,Aq表示q的可添加标签集,所述DIFC信息流控制规则的控制规则为:
1)如果p和q的安全标记满足以下关系
且
则从p到q的数据流动就是安全的;
2)如果不满足1)中的关系,但满足以下关系:
且
则从p到q的数据流动也是安全的,而且无需改变p,q的安全标记,直接进行通信;
如果不满足1)与2)中的关系,但满足以下关系:
且
则p和q进行通信,但在通信之前,需要将安全标记改变,以满足如下关系:
且
2.如权利要求1所述的多粒度多强度访问控制方法,其特征在于,所述粗粒度低强度的访问控制模型为自主访问控制模型,所述细粒度高强度的信息流控制模型为分布式信息流控制模型。
3.如权利要求1所述的多粒度多强度访问控制方法,其特征在于,
用p表示主体,DACInfo(p)表示p的DAC访问控制属性信息,PrivilegeCodeSet(p)表示p的特权码集,用f表示客体,ACL(f)表示f的DAC访问控制列表,PrivilegeCodeSet(f)表示f的特权码集,所述DAC信息流控制规则为:
1)如果p与f的安全标记满足以下关系:
DACInfo(p)满足ACL(f)中的安全策略,则主体对客体的操作是安全的;
2)如果不满足1)中的关系,但满足以下关系:
PrivilegeCodeSet(p)拥有PrivilegeCodeSet(f)中特权码,则从主体对客体的操作也是安全的。
4.一种多粒度多强度访问控制系统,其特征在于,包括:
构建模型模块,用于构建多粒度多强度访问控制模型,包括粗粒度低强度的访问控制模型与细粒度高强度的信息流控制模型,所述多粒度多强度访问控制模型包括的实体为客体的安全标记、主体的安全标记、全局访问控制模式;
访问控制模块,用于设置访问控制规则,通过所述访问控制规则进行访问控制;
所述访问控制模块中所述访问控制规则包括DAC信息流控制规则、DIFC信息流控制规则;
用p表示主体,q表示主体或者客体,Sp表示p的机密性标签集,Ip表示p的完整性标签集,Dp表示p的双权限标签集,Rp表示p的可删除标签集,Ap表示p的可添加标签集,Sq表示q的机密性标签集,Iq表示q的完整性标签集,Dq表示q的双权限标签集,Rq表示q的可删除标签集,Aq表示q的可添加标签集,所述DIFC信息流控制规则的控制规则为:
1)如果p和q的安全标记满足以下关系
且
则从p到q的数据流动就是安全的;
2)如果不满足1)中的关系,但满足以下关系:
且
则从p到q的数据流动也是安全的,而且无需改变p,q的安全标记,直接进行通信;
如果不满足1)与2)中的关系,但满足以下关系:
且
则p和q进行通信,但在通信之前,需要将安全标记改变,以满足如下关系:
且
5.如权利要求4所述的多粒度多强度访问控制系统,其特征在于,所述粗粒度低强度的访问控制模型为自主访问控制模型,所述细粒度高强度的信息流控制模型为分布式信息流控制模型。
6.如权利要求4所述的多粒度多强度访问控制系统,其特征在于,
用p表示主体,DACInfo(p)表示p的DAC访问控制属性信息,PrivilegeCodeSet(p)表示p的特权码集,用f表示客体,ACL(f)表示f的DAC访问控制列表,PrivilegeCodeSet(f)表示f的特权码集,所述DAC信息流控制规则为:
1)如果p与f的安全标记满足以下关系:
DACInfo(p)满足ACL(f)中的安全策略,则主体对客体的操作是安全的;
2)如果不满足1)中的关系,但满足以下关系:
PrivilegeCodeSet(p)拥有PrivilegeCodeSet(f)中特权码,则从主体对客体的操作也是安全的。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610849886.6A CN106407823B (zh) | 2016-09-26 | 2016-09-26 | 一种多粒度多强度访问控制方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610849886.6A CN106407823B (zh) | 2016-09-26 | 2016-09-26 | 一种多粒度多强度访问控制方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106407823A CN106407823A (zh) | 2017-02-15 |
CN106407823B true CN106407823B (zh) | 2019-07-30 |
Family
ID=57996698
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610849886.6A Active CN106407823B (zh) | 2016-09-26 | 2016-09-26 | 一种多粒度多强度访问控制方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106407823B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108416230B (zh) * | 2018-03-23 | 2019-12-20 | 重庆市科学技术研究院 | 一种基于数据隔离模型的数据访问方法 |
CN110427770B (zh) * | 2019-06-20 | 2021-04-20 | 中国科学院信息工程研究所 | 一种支持业务安全标记的数据库访问控制方法及系统 |
CN110334116B (zh) * | 2019-07-11 | 2022-09-16 | 河南大学 | 一种基于多粒度决策系统的最优客体粒度确定方法 |
CN110990858B (zh) * | 2019-12-11 | 2023-01-17 | 中山大学 | 一种基于分布式信息流控制的跨云资源共享系统及方法 |
CN111683056B (zh) * | 2020-05-15 | 2021-11-02 | 中山大学 | 一种基于Linux安全模块的云平台间的信息流控制系统及方法 |
CN112270011B (zh) * | 2020-11-19 | 2022-04-01 | 北京炼石网络技术有限公司 | 对现存应用系统的业务及数据安全防护方法、装置及系统 |
CN115001862B (zh) * | 2022-07-25 | 2022-11-15 | 阿里巴巴达摩院(杭州)科技有限公司 | 数据通信方法、存储介质及电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5596754A (en) * | 1992-10-29 | 1997-01-21 | Digital Equipment Corporation | Method for performing private lock management |
CN101917410A (zh) * | 2010-07-26 | 2010-12-15 | 中国科学院计算技术研究所 | 一种用于授权系统的信息流单向性验证方法 |
CN103810441A (zh) * | 2014-01-28 | 2014-05-21 | 浙江大学 | 一种基于规则的多粒度遥感数据访问方法 |
CN105678162A (zh) * | 2016-02-03 | 2016-06-15 | 浪潮电子信息产业股份有限公司 | 一种基于tpm的操作系统安全启动控制方法 |
-
2016
- 2016-09-26 CN CN201610849886.6A patent/CN106407823B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5596754A (en) * | 1992-10-29 | 1997-01-21 | Digital Equipment Corporation | Method for performing private lock management |
CN101917410A (zh) * | 2010-07-26 | 2010-12-15 | 中国科学院计算技术研究所 | 一种用于授权系统的信息流单向性验证方法 |
CN103810441A (zh) * | 2014-01-28 | 2014-05-21 | 浙江大学 | 一种基于规则的多粒度遥感数据访问方法 |
CN105678162A (zh) * | 2016-02-03 | 2016-06-15 | 浪潮电子信息产业股份有限公司 | 一种基于tpm的操作系统安全启动控制方法 |
Non-Patent Citations (2)
Title |
---|
基于任务和角色的多粒度动态访问控制模型;彭佳玮等;《计算机工程与设计》;20160229;第350-353页 * |
基于访问和信息流控制的机密性保障框架;范艳芳;《北京信息科技大学学报》;20121231;第85-87页 * |
Also Published As
Publication number | Publication date |
---|---|
CN106407823A (zh) | 2017-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106407823B (zh) | 一种多粒度多强度访问控制方法及系统 | |
WO2017035260A1 (en) | System, method, and apparatus for data access in a cloud computing environment | |
CN107277023A (zh) | 一种基于Web的移动瘦终端访问控制方法、系统及瘦终端 | |
Toahchoodee et al. | On the formalization and analysis of a spatio-temporal role-based access control model | |
Hansen et al. | Conformance checking of RBAC policy and its implementation | |
US20230195877A1 (en) | Project-based permission system | |
US20210279355A1 (en) | Methods and systems for purpose-based access control | |
CN105827645A (zh) | 一种用于访问控制的方法、设备与系统 | |
CN104217146B (zh) | 一种基于abac和rbac的权限控制方法 | |
Kalinin et al. | Role-based access control for vehicular adhoc networks | |
CN109740310A (zh) | 用于嵌入式操作系统的内核对象访问方法和装置 | |
Solworth et al. | A layered design of discretionary access controls with decidable safety properties | |
Ding et al. | SC-RBAC: a smart contract based RBAC model for DApps | |
KR102486646B1 (ko) | 소프트웨어 자산 관리서비스 제공 장치 및 방법 | |
CN100364278C (zh) | 一种基于扩展角色的五层资源访问控制方法 | |
CN106411895A (zh) | 一种多粒度分布式信息流控制方法及系统 | |
Klein et al. | Provable Security: How feasible is it? | |
Paja et al. | Modelling Security Requirements in Socio-Technical Systems with STS-Tool. | |
CN106708631B (zh) | 共享内存属性修改方法及其系统 | |
JP2014170324A (ja) | アクセス制御システム、アクセス制御方法およびプログラム | |
Solworth et al. | Security property based administrative controls | |
Poniszewska-Maranda | Implementation of access control model for distributed information systems using usage control | |
CN109284617A (zh) | 控制多进程访问磁盘文件的方法、装置及存储介质 | |
CN112101890A (zh) | 基于角色和云函数的权限控制方法、装置、设备及介质 | |
US10437609B1 (en) | Intelligent platform |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20210901 Address after: 2-9, No. 70-5, yu'ao Avenue, Jiangbei District, Chongqing 400020 Patentee after: Chongqing suishouxue Information Technology Co.,Ltd. Address before: 100080 No. 6 South Road, Zhongguancun Academy of Sciences, Beijing, Haidian District Patentee before: Institute of Computing Technology, Chinese Academy of Sciences |
|
TR01 | Transfer of patent right |