CN109948360B - 一种用于复杂场景的多控制域安全内核构建方法及系统 - Google Patents
一种用于复杂场景的多控制域安全内核构建方法及系统 Download PDFInfo
- Publication number
- CN109948360B CN109948360B CN201910143410.4A CN201910143410A CN109948360B CN 109948360 B CN109948360 B CN 109948360B CN 201910143410 A CN201910143410 A CN 201910143410A CN 109948360 B CN109948360 B CN 109948360B
- Authority
- CN
- China
- Prior art keywords
- atomic operation
- atomic
- sequence
- user
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种用于复杂场景的多控制域安全内核构建方法及系统,其技术方案要点是获取用户的登陆信息;定义当前需要保护的各个访问控制域,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列;将用户的每个角色信息映射为权限操作序列,基于用户在当前访问控制域中操作节点的操作动作,以将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行匹配;在该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作匹配时,验证用户的权限操作序列的每个原子操作是否与预设原子操作序列的每个原子操作相匹配;若是,则执行该操作节点的操作动作。本发明具有灵活性高的特点。
Description
技术领域
本发明涉及计算机安全的技术领域,特别涉及一种用于复杂场景的多控制域安全内核构建方法及系统。
背景技术
在企业级信息领域中,传统的安全内核基于标准RBAC模型构建。参照图1所示,主体通过访问控制器访问对象,访问控制器利用访问控制数据库中的安全方针校验主体的访问行为,同时保存审计信息到物理文件,即保存用户的操作日志,以方便系统后续追溯。
传统的安全内核构建技术主要用于操作系统领域,是一种分层的控制结构,但在云计算的场景中,安全模型本身不一定是严格的层次结构,传统的安全内核如图2所示,在操作系统领域,安全内核直接构建在硬件层之上,当用户程序需要访问硬件资源时,都会受到安全内核的限制,如操作系统内一个程序能够使用多少物理内存,必须通过安全 的控制,如果该程序使用超出数量的内存,安全内核可以拒绝更多的内存分配动作,类似的,其他各种资源访问请求都会受到安全内核的集中化管控,形成了层次化的控制结构,即用户程序、操作系统、安全内核至硬件层。
但在云计算场景中,用户需要访问的资源分布在全球的各个地方,资源分散度高,同时需要访问的资源类型也是各种各样,如内存、图片、某个天气查询功能,整个云平台的异构程度高。此时,采用集中化的安全内核管控,无论是性能上,还是数据量上都达不到要求。为此,在云计算中,可选的一种多域控制方式是采用系统间的相互授权来实现,但这种方式主要用来解决第三方系统登陆。另外可以采用不同域中的角色相互关联达到访问控制的目的,但这种方式会导致系统复杂度高,太多角色关联使得灵活性较差,因此存在一定的改进之处。
发明内容
针对现有技术存在的不足,本发明的目的在于提供一种用于复杂场景的多控制域安全内核构建方法,具有灵活性高的特点。
本发明的上述技术目的是通过以下技术方案得以实现的:
一种用于复杂场景的多控制域安全内核构建方法,包括如下步骤:
获取用户的登陆信息,其中,登陆信息中配置有至少一个角色信息;
定义当前需要保护的各个访问控制域,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列;
将用户的每个角色信息映射为权限操作序列,基于用户在当前访问控制域中操作节点的操作动作,以将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行匹配;
在该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作匹配时,验证用户的权限操作序列的每个原子操作是否与预设原子操作序列的每个原子操作相匹配;
若是,则通过验证以执行该操作节点的操作动作。
优选的,将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行内容和顺序的匹配。
优选的,每个原子操作的内容包括主体集合、动作集合和对象资源集合。
优选的,预设原子操作序列的每个原子操作的内容通过访问控制矩阵理论进行定义。
优选的,在定义当前需要保护的各个访问控制域,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列的步骤中,还包括如下步骤:
建立每一操作节点中原子操作序列的禁用事项;
根据禁用事项禁用该操作节点的原子操作序列时,该操作节点的原子操作序列的每个原子操作不与该用户的权限操作序列的每个原子操作进行匹配。
针对现有技术存在的不足,本发明的目的在于提供一种用于复杂场景的多控制域安全内核构建系统,具有灵活性高的特点。
本发明的上述技术目的是通过以下技术方案得以实现的:
一种用于复杂场景的多控制域安全内核构建系统,包括:
获取单元,用于获取用户的登陆信息,其中,登陆信息中配置有至少一个角色信息;
域定义单元,用于定义当前需要保护的各个访问控制域,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列;
权限操作单元,用于将用户的每个角色信息映射为权限操作序列,基于用户在当前访问控制域中操作节点的操作动作,以将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行匹配;
安全内核单元,用于在该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作匹配时,验证用户的权限操作序列的每个原子操作是否与预设原子操作序列的每个原子操作相匹配;
执行单元,用于在用户的权限操作序列的每个原子操作与预设原子操作序列的每个原子操作相匹配时,通过验证以执行该操作节点的操作动作。
优选的,所述权限操作单元用于将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行内容和顺序的匹配。
优选的,每个原子操作的内容包括主体集合、动作集合和对象资源集合。
优选的,所述安全内核中配置有序列定义单元,所述序列定义单元用于通过访问控制矩阵理论进行定义预设原子操作序列的每个原子操作的内容。
优选的,所述域定义单元中配置有事项配置单元;
所述事项配置单元用于建立每一操作节点中原子操作序列的禁用事项,并根据禁用事项禁用该操作节点的原子操作序列,以使该操作节点的原子操作序列的每个原子操作不与该用户的权限操作序列的每个原子操作进行匹配。
综上所述,本发明对比于现有技术的有益效果为:
1、本申请主要用于需要在不同环境下有不同访问控制要求的系统,利用访问控制域的在每个操作节点的原子操作序列和角色信息的权限操作序列进行相互配对来构建整个安全内核系统,灵活性高;
2、本申请可以在每个访问控制域的每个操作节点停用或启用原子操作序列配对的工作,但最终都是通过安全内核单元验证后执行,既保证了灵活性又保证了安全性。
附图说明
图1为背景技术中主体集合访问的示意图;
图2为背景技术中安全内核的层级结构示意图;
图3为本发明技术方案中多控制域安全内核构建方法的流程示意图;
图4为本发明技术方案中多控制域安全内核构建系统的第一系统框图;
图5为本发明技术方案中多控制域安全内核构建系统的第二系统框图;
图6为本发明技术方案中原子操作序列和权限操作序列的比对示意图;
图7为本发明技术方案中访问控制矩阵理论的定义示意图。
附图标记:100、获取单元;200、域定义单元;300、权限操作单元;400、安全内核单元;500、执行单元。
具体实施方式
以下结合附图对本发明作进一步详细说明。
一种用于复杂场景的多控制域安全内核构建方法及系统,以用于在云计算中的访问控制中,相较于传统多域控制方式是采用系统间的相互授权,以及采用不同域中的角色相互关联达到访问控制的目的,解决传统系统复杂度高,太多角色关联使得灵活性较差的问题。
实施例一
一种用于复杂场景的多控制域安全内核构建方法,结合图3和图4所示,包括如下步骤:
步骤S100,获取用户的登陆信息,其中,登陆信息中配置有至少一个角色信息。具体地,本申请根据业务需求定义每个用户所拥有角色信息,由此用户通过账号密码进行登陆时,能够获取到用户的登陆信息,以相应获取到登陆信息中的角色信息。
步骤S200,定义当前需要保护的各个访问控制域,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列。具体地,举一个例子进行说明,用户可在本系统中预先定义硬件资源访问控制域、图片存储访问控制域、业务功能访问控制域;
硬件资源访问控制域用于控制用户可以使用多少内存、CPU等,该硬件资源访问控制域记为A1;图片存储访问控制域用于控制用户对图片可进行的操作等,该图片存储访问控制域记为A2;业务功能访问控制域用于控制用户可以使用哪些业务功能,该业务功能访问控制域记为A3。
其中,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列,其中,原子操作序列中携带有至少一个原子操作,原子操作即为一个不可分割的最小化操作,如上传一张新图片记为一个原子操作,但修改一张服务器上的图片不为一个原子操作,因为它包含了下载一张图片到本地,本地修改图片后再上传的两个原子操作,即操作可中断。
由此,在用户在访问控制域中进行任一点击操作或功能操作时均被定义为一个操作节点。可见,举一个例子说明,在一个访问控制域中,基于每一操作节点,以使得一个访问控制域单独的保存所允许执行的原子操作序列为:
S1=(OP1,OP2,…,OPn)
S2=(OP2,OP4,…,OPn)
…
Sm=(OP4,OP1,…,OPn)
其中,每个OPi均表示具体的原子操作,如创建虚拟CPU资源,上传图片,删除财务记录等,本实施例不做更多的详细事例赘述。
步骤S300,将用户的每个角色信息映射为权限操作序列,基于用户在当前访问控制域中操作节点的操作动作,以将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行匹配。
具体地,每个角色信息被配置地不同,以使得每个角色信息可以映射为多个不同的权限操作序列,其中,每个权限操作序列中携带有至少一个原子操作。由此,举一个例子说明,其中一个角色信息有拥有的所有权限操作序列,可记为如下形式:
C1=(OP1,OP2,OP3…,OPn)
C2=(OP2,OP5,OP7…,OPn)
C3=(OP4,OP2)
C4=(OP1)
其中,每个Ci具有一个或多个OPi,每个OPi均表示具体的原子操作,与上述技术方案中操作节点的原子操作序列的每个原子操作相同。
用户需要在当前访问控制域中的某个操作节点执行某个操作动作时,需要将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行匹配,具体是将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行内容和顺序的匹配,参照图6所示。
其中,每个原子操作的内容包括主体集合、动作集合和对象资源集合,记为OPi=(s,r,o),s为主体集合,主体集合即为动作的触发对象,如硬件管理员、图片管理员等;r为动作集合,如创建、删除、读取等;o为对象资源集合,如CPU资源、图片资源、财务数据等。
操作节点的原子操作序列中每个原子操作的顺序即为OPi的排列顺序,同理,权限操作序列的每个原子操作的顺序即为OPi的排列顺序。
因此,该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作内容和顺序都匹配时,将进入到步骤S400中。反之,该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作内容和顺序不匹配时,则直接丢弃,用户无法在当前访问控制域中的某个操作节点执行某个操作动作。
步骤S400,在该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作匹配时,验证用户的权限操作序列的每个原子操作是否与预设原子操作序列的每个原子操作相匹配。
具体地,步骤S400应用在安全内核单元400中,安全内核单元400可以理解为一个原子操作的容器,里面包含各类原子操作的定义、以及对安全规则的检测、审计功能等。在步骤S400中,预设原子操作序列的每个原子操作的内容通过访问控制矩阵理论进行定义。同理,预设原子操作序列中每个原子操作的内容OPi= (s,r,o),s为主体集合,主体集合即为动作的触发对象,如硬件管理员、图片管理员等;r为动作集合,如创建、删除、读取等;o为对象资源集合,如CPU资源、图片资源、财务数据等。整个访问控制矩阵的事例如图7所示。
由此,如新增硬件管理员删除图片的原子操作为:
S’=S
O’=O
A’[s, o]= A[s, o]∪ {k}
其中,S’、 O’、 A’[s, o]为执行创建后的系统状态,即在安全内核单元400中添加该原子操作后,主体S’的数量未变,对象资源O’的数量未变,A’[s, o]表示所有主体到对象资源的动作集合,现在新加了硬件管理员删除图片的动作,上述k作为删除图片这个动作的符号标识。由此,通过上述访问控制矩阵理论进行定义每个原子操作的内容,从而形成预设原子操作序列,进而定义每个访问控制域中每个操作节点的原子操作序列。
因此,当用户经过步骤S300进入到步骤S400中时,即在步骤S300中匹配成功后的用户的权限操作序列的每个原子操作进入到安全内核单元400中,安全内核单元400将用户的权限操作序列的每个原子操作与预设原子操作序列的每个原子操作进行内容的验证,验证权限操作序列的每个原子操作的内容是否与预设原子操作序列的每个原子操作的内容相匹配。若是,则进入到下一步骤S500中。
步骤S500,若权限操作序列的每个原子操作的内容与预设原子操作序列的每个原子操作的内容相匹配,则通过验证以执行该操作节点的操作动作。具体地,在系统中配置有执行单元500,执行单元500用于编码系统资源,即把系统内部的任何主体集合、动作集合和对象资源集合都当成资源统一编码,进而执行该操作节点的操作动作。
由此,本申请主要用于需要在不同环境下有不同访问控制要求的系统,利用访问控制域的在每个操作节点的原子操作序列和角色信息的权限操作序列进行相互配对来构建整个安全内核系统,灵活性高。
值得说明的是,在步骤S200,定义当前需要保护的各个访问控制域,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列的步骤中,还包括如下步骤:
步骤S210,建立每一操作节点中原子操作序列的禁用事项;
步骤S220,根据禁用事项禁用该操作节点的原子操作序列时,该操作节点的原子操作序列的每个原子操作不与该用户的权限操作序列的每个原子操作进行匹配。
根据步骤S210~步骤S220所限定的技术方案,具体地,本申请在每个访问控制域中为每一操作节点设置禁用事项,该禁用事项用于禁用或开启对应操作节点的原子操作序列,如果用户通过该禁用事项禁用该操作节点的原子操作序列,由此,用户在当前访问控制域中操作节点的进行操作动作时,该操作节点的原子操作序列的每个原子操作不与该用户的权限操作序列的每个原子操作进行匹配,则直接拒绝用户的操作动作,而无需进入到步骤S300中进行验证处理。
由此,本申请可以在每个访问控制域的每个操作节点停用或启用原子操作序列配对的工作,但最终都是通过安全内核单元400验证后执行,既保证了灵活性又保证了安全性。
实施例二
一种用于复杂场景的多控制域安全内核构建系统,结合图4和图5所示,包括获取单元100、域定义单元200、权限操作单元300、安全内核单元400和执行单元500。
获取单元100用于获取用户的登陆信息,其中,登陆信息中配置有至少一个角色信息。
域定义单元200用于定义当前需要保护的各个访问控制域,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列。
具体地,用户可在本系统中预先定义硬件资源访问控制域、图片存储访问控制域、业务功能访问控制域;
硬件资源访问控制域用于控制用户可以使用多少内存、CPU等,该硬件资源访问控制域记为A1;图片存储访问控制域用于控制用户对图片可进行的操作等,该图片存储访问控制域记为A2;业务功能访问控制域用于控制用户可以使用哪些业务功能,该业务功能访问控制域记为A3。
其中,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列,其中,原子操作序列中携带有至少一个原子操作,原子操作即为一个不可分割的最小化操作,如上传一张新图片记为一个原子操作,但修改一张服务器上的图片不为一个原子操作,因为它包含了下载一张图片到本地,本地修改图片后再上传的两个原子操作,即操作可中断。
由此,在用户在访问控制域中进行任一点击操作或功能操作时均被定义为一个操作节点。可见,举一个例子说明,在一个访问控制域中,基于每一操作节点,以使得一个访问控制域单独的保存所允许执行的原子操作序列为:
S1=(OP1,OP2,…,OPn)
S2=(OP2,OP4,…,OPn)
…
Sm=(OP4,OP1,…,OPn)
其中,每个OPi均表示具体的原子操作,如创建虚拟CPU资源,上传图片,删除财务记录等,本实施例不做更多的详细事例赘述。
权限操作单元300用于将用户的每个角色信息映射为权限操作序列,基于用户在当前访问控制域中操作节点的操作动作,以将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行匹配;具体地,权限操作单元300用于将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行内容和顺序的匹配。
具体地,每个角色信息被配置地不同,以使得每个角色信息可以映射为多个不同的权限操作序列,其中,每个权限操作序列中携带有至少一个原子操作。由此,举一个例子说明,其中一个角色信息有拥有的所有权限操作序列,可记为如下形式:
C1=(OP1,OP2,OP3…,OPn)
C2=(OP2,OP5,OP7…,OPn)
C3=(OP4,OP2)
C4=(OP1)
其中,每个Ci具有一个或多个OPi,每个OPi均表示具体的原子操作,与上述技术方案中操作节点的原子操作序列的每个原子操作相同。
用户需要在当前访问控制域中的某个操作节点执行某个操作动作时,需要将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行匹配,具体是将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行内容和顺序的匹配。
其中,每个原子操作的内容包括主体集合、动作集合和对象资源集合,记为OPi=(s,r,o),s为主体集合,主体集合即为动作的触发对象,如硬件管理员、图片管理员等;r为动作集合,如创建、删除、读取等;o为对象资源集合,如CPU资源、图片资源、财务数据等。
操作节点的原子操作序列中每个原子操作的顺序即为OPi的排列顺序,同理,权限操作序列的每个原子操作的顺序即为OPi的排列顺序。
因此,该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作内容和顺序都匹配时,将进入到步骤S400中。反之,该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作内容和顺序不匹配时,则直接丢弃,用户无法在当前访问控制域中的某个操作节点执行某个操作动作。
安全内核单元400用于在该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作匹配时,验证用户的权限操作序列的每个原子操作是否与预设原子操作序列的每个原子操作相匹配。
具体地,安全内核单元400可以理解为一个原子操作的容器,里面包含各类原子操作的定义、以及对安全规则的检测、审计功能等。在安全内核单元400中,预设原子操作序列的每个原子操作的内容通过访问控制矩阵理论进行定义。同理,预设原子操作序列中每个原子操作的内容OPi= (s,r,o),s为主体集合,主体集合即为动作的触发对象,如硬件管理员、图片管理员等;r为动作集合,如创建、删除、读取等;o为对象资源集合,如CPU资源、图片资源、财务数据等。整个访问控制矩阵的事例如图7所示。
由此,如新增硬件管理员删除图片的原子操作为:
S’=S
O’=O
A’[s, o]= A[s, o]∪ {k}
其中,S’、 O’、 A’[s, o]为执行创建后的系统状态,即在安全内核单元400中添加该原子操作后,主体S’的数量未变,对象资源O’的数量未变,A’[s, o]表示所有主体到对象资源的动作集合,现在新加了硬件管理员删除图片的动作,上述k作为删除图片这个动作的符号标识。由此,通过上述访问控制矩阵理论进行定义每个原子操作的内容,从而形成预设原子操作序列,进而定义每个访问控制域中每个操作节点的原子操作序列。
因此,匹配成功后的用户的权限操作序列的每个原子操作进入到安全内核单元400中,安全内核单元400将用户的权限操作序列的每个原子操作与预设原子操作序列的每个原子操作进行内容的验证,验证权限操作序列的每个原子操作的内容是否与预设原子操作序列的每个原子操作的内容相匹配。
其中,执行单元500用于在用户的权限操作序列的每个原子操作与预设原子操作序列的每个原子操作相匹配时,通过验证以执行该操作节点的操作动作。具体地,执行单元500用于编码系统资源,即把系统内部的任何主体集合、动作集合和对象资源集合都当成资源统一编码,进而执行该操作节点的操作动作。
值得说明的是,域定义单元200中配置有事项配置单元。事项配置单元用于建立每一操作节点中原子操作序列的禁用事项,并根据禁用事项禁用该操作节点的原子操作序列,以使该操作节点的原子操作序列的每个原子操作不与该用户的权限操作序列的每个原子操作进行匹配。
事项配置单元可以在每个访问控制域的每个操作节点停用或启用原子操作序列配对的工作,但最终都是通过安全内核单元400验证后执行,既保证了灵活性又保证了安全性。
以上所述仅是本发明的示范性实施方式,而非用于限制本发明的保护范围,本发明的保护范围由所附的权利要求确定。
Claims (8)
1.一种用于复杂场景的多控制域安全内核构建方法,其特征在于,包括如下步骤:
获取用户的登陆信息,其中,登陆信息中配置有至少一个角色信息;
定义当前需要保护的各个访问控制域,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列;
将用户的每个角色信息映射为权限操作序列,基于用户在当前访问控制域中操作节点的操作动作,以将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行匹配;
在该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作匹配时,验证用户的权限操作序列的每个原子操作是否与预设原子操作序列的每个原子操作相匹配;
若是,则通过验证以执行该操作节点的操作动作;
在定义当前需要保护的各个访问控制域,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列的步骤中,还包括如下步骤:
建立每一操作节点中原子操作序列的禁用事项;
根据禁用事项禁用该操作节点的原子操作序列时,该操作节点的原子操作序列的每个原子操作不与该用户的权限操作序列的每个原子操作进行匹配。
2.根据权利要求1所述的一种用于复杂场景的多控制域安全内核构建方法,其特征在于,将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行内容和顺序的匹配。
3.根据权利要求1所述的一种用于复杂场景的多控制域安全内核构建方法,其特征在于,每个原子操作的内容包括主体集合、动作集合和对象资源集合。
4.根据权利要求1所述的一种用于复杂场景的多控制域安全内核构建方法,其特征在于,预设原子操作序列的每个原子操作的内容通过访问控制矩阵理论进行定义。
5.一种用于复杂场景的多控制域安全内核构建系统,其特征在于,包括:
获取单元(100),用于获取用户的登陆信息,其中,登陆信息中配置有至少一个角色信息;
域定义单元(200),用于定义当前需要保护的各个访问控制域,每个访问控制域在每一操作节点均单独的保存有所允许执行的原子操作序列;
权限操作单元(300),用于将用户的每个角色信息映射为权限操作序列,基于用户在当前访问控制域中操作节点的操作动作,以将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行匹配;
安全内核单元(400),用于在该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作匹配时,验证用户的权限操作序列的每个原子操作是否与预设原子操作序列的每个原子操作相匹配;
执行单元(500),用于在用户的权限操作序列的每个原子操作与预设原子操作序列的每个原子操作相匹配时,通过验证以执行该操作节点的操作动作;
所述域定义单元(200)中配置有事项配置单元;
所述事项配置单元用于建立每一操作节点中原子操作序列的禁用事项,并根据禁用事项禁用该操作节点的原子操作序列,以使该操作节点的原子操作序列的每个原子操作不与该用户的权限操作序列的每个原子操作进行匹配。
6.根据权利要求5所述的一种用于复杂场景的多控制域安全内核构建系统,其特征在于,所述权限操作单元(300)用于将该操作节点的原子操作序列的每个原子操作与该用户的权限操作序列的每个原子操作进行内容和顺序的匹配。
7.根据权利要求5所述的一种用于复杂场景的多控制域安全内核构建系统,其特征在于,每个原子操作的内容包括主体集合、动作集合和对象资源集合。
8.根据权利要求5所述的一种用于复杂场景的多控制域安全内核构建系统,其特征在于,所述安全内核中配置有序列定义单元,所述序列定义单元用于通过访问控制矩阵理论进行定义预设原子操作序列的每个原子操作的内容。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910143410.4A CN109948360B (zh) | 2019-02-26 | 2019-02-26 | 一种用于复杂场景的多控制域安全内核构建方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910143410.4A CN109948360B (zh) | 2019-02-26 | 2019-02-26 | 一种用于复杂场景的多控制域安全内核构建方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109948360A CN109948360A (zh) | 2019-06-28 |
| CN109948360B true CN109948360B (zh) | 2023-04-07 |
Family
ID=67007015
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910143410.4A Active CN109948360B (zh) | 2019-02-26 | 2019-02-26 | 一种用于复杂场景的多控制域安全内核构建方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109948360B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1633085A (zh) * | 2004-12-29 | 2005-06-29 | 北京邮电大学 | 一种基于无等级角色间映射的访问控制方法 |
| CN102495988A (zh) * | 2011-12-19 | 2012-06-13 | 北京诺思恒信科技有限公司 | 一种基于域的访问控制方法及系统 |
| CN103677829A (zh) * | 2013-12-13 | 2014-03-26 | 北京同有飞骥科技股份有限公司 | 对象操作访问控制的系统和方法 |
| CN103701801A (zh) * | 2013-12-26 | 2014-04-02 | 四川九洲电器集团有限责任公司 | 一种资源访问控制方法 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6182142B1 (en) * | 1998-07-10 | 2001-01-30 | Encommerce, Inc. | Distributed access management of information resources |
| US6453353B1 (en) * | 1998-07-10 | 2002-09-17 | Entrust, Inc. | Role-based navigation of information resources |
| US6754753B2 (en) * | 2001-04-27 | 2004-06-22 | International Business Machines Corporation | Atomic ownership change operation for input/output (I/O) bridge device in clustered computer system |
| US7392546B2 (en) * | 2001-06-11 | 2008-06-24 | Bea Systems, Inc. | System and method for server security and entitlement processing |
| US8732856B2 (en) * | 2004-12-30 | 2014-05-20 | Oracle International Corporation | Cross-domain security for data vault |
| US20070214497A1 (en) * | 2006-03-10 | 2007-09-13 | Axalto Inc. | System and method for providing a hierarchical role-based access control |
| US20090205018A1 (en) * | 2008-02-07 | 2009-08-13 | Ferraiolo David F | Method and system for the specification and enforcement of arbitrary attribute-based access control policies |
| CN101286845B (zh) * | 2008-05-12 | 2011-02-09 | 华中科技大学 | 一种基于角色的域间访问控制系统 |
| CN101727545A (zh) * | 2008-10-10 | 2010-06-09 | 中国科学院研究生院 | 一种安全操作系统强制访问控制机制的实施方法 |
| US8402266B2 (en) * | 2009-06-01 | 2013-03-19 | Microsoft Corporation | Extensible role-based access control model for services |
| US8595821B2 (en) * | 2011-01-14 | 2013-11-26 | International Business Machines Corporation | Domains based security for clusters |
| CN102316115A (zh) * | 2011-09-26 | 2012-01-11 | 浙江工商大学 | 一种面向横向联网的安全访问控制方法 |
| CN102495989A (zh) * | 2011-12-21 | 2012-06-13 | 北京诺思恒信科技有限公司 | 一种基于主体标记的访问控制方法及系统 |
| US9635029B2 (en) * | 2012-01-27 | 2017-04-25 | Honeywell International Inc. | Role-based access control permissions |
| CN102611699A (zh) * | 2012-02-22 | 2012-07-25 | 浪潮(北京)电子信息产业有限公司 | 一种云操作系统中访问控制的方法和系统 |
| CN103281259B (zh) * | 2013-05-20 | 2016-05-18 | 中国科学院信息工程研究所 | 一种基于动态自调节的域间访问控制方法 |
| CN104376237B (zh) * | 2013-08-13 | 2017-09-26 | 中国科学院沈阳自动化研究所 | 一种针对生产过程中信息的安全控制方法和系统 |
| CN103745161B (zh) * | 2013-12-23 | 2016-08-24 | 东软集团股份有限公司 | 访问安全控制方法及装置 |
| CN104092565B (zh) * | 2014-06-24 | 2017-03-29 | 复旦大学 | 一种面向云数据中心的多租户策略驱动型软件定义网络方法 |
| CN105550590A (zh) * | 2015-09-09 | 2016-05-04 | 上海赞越软件服务中心 | 基于角色的权限控制机制 |
| CN205490654U (zh) * | 2015-11-02 | 2016-08-17 | 上海特易信息科技有限公司 | 一种bpo应用服务云访问控制装置 |
| US11017388B2 (en) * | 2016-03-25 | 2021-05-25 | International Business Machines Corporation | Cryptographically assured zero-knowledge cloud service for composable atomic transactions |
| CN106446638A (zh) * | 2016-10-14 | 2017-02-22 | 郑州云海信息技术有限公司 | 一种云计算操作系统安全访问方法及装置 |
| US10325344B2 (en) * | 2017-04-17 | 2019-06-18 | Intel Corporation | Efficient merging of atomic operations at computing devices |
| CN109257364B (zh) * | 2018-10-12 | 2019-12-24 | 成都信息工程大学 | 一种基于云平台的多核网状式多级跨域访问控制方法 |
-
2019
- 2019-02-26 CN CN201910143410.4A patent/CN109948360B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1633085A (zh) * | 2004-12-29 | 2005-06-29 | 北京邮电大学 | 一种基于无等级角色间映射的访问控制方法 |
| CN102495988A (zh) * | 2011-12-19 | 2012-06-13 | 北京诺思恒信科技有限公司 | 一种基于域的访问控制方法及系统 |
| CN103677829A (zh) * | 2013-12-13 | 2014-03-26 | 北京同有飞骥科技股份有限公司 | 对象操作访问控制的系统和方法 |
| CN103701801A (zh) * | 2013-12-26 | 2014-04-02 | 四川九洲电器集团有限责任公司 | 一种资源访问控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109948360A (zh) | 2019-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110096857B (zh) | 区块链系统的权限管理方法、装置、设备和介质 | |
| US9053302B2 (en) | Obligation system for enterprise environments | |
| US8984291B2 (en) | Access to a computing environment by computing devices | |
| WO2019052496A1 (zh) | 云存储的帐号鉴权方法和服务器 | |
| US20230195877A1 (en) | Project-based permission system | |
| US20150033327A1 (en) | Systems and methodologies for managing document access permissions | |
| CN110569658A (zh) | 基于区块链网络的用户信息处理方法、装置、电子设备及存储介质 | |
| CN109587126A (zh) | 用户鉴权方法和系统 | |
| US20170185344A1 (en) | Memory access control | |
| CN110138767B (zh) | 事务请求的处理方法、装置、设备和存储介质 | |
| CN112818328A (zh) | 一种多系统权限管理方法、装置、设备以及存储介质 | |
| CN107315950B (zh) | 一种云计算平台管理员权限最小化的自动化划分方法及访问控制方法 | |
| CN105827645B (zh) | 一种用于访问控制的方法、设备与系统 | |
| US20180101690A1 (en) | Dynamically Constructed Capability for Enforcing Object Access Order | |
| CN106815503A (zh) | 一种操作系统用户权限管理方法及系统 | |
| CN109587151A (zh) | 访问控制方法、装置、设备及计算机可读存储介质 | |
| CN111414612A (zh) | 操作系统镜像的安全保护方法、装置及电子设备 | |
| CN107566375B (zh) | 访问控制方法和装置 | |
| CN114244568B (zh) | 基于终端访问行为的安全接入控制方法、装置和设备 | |
| CN112468497B (zh) | 区块链的终端设备授权认证方法、装置、设备及存储介质 | |
| CN114422197A (zh) | 一种基于策略管理的权限访问控制方法及系统 | |
| US11605093B1 (en) | Security policy enforcement | |
| CN109948360B (zh) | 一种用于复杂场景的多控制域安全内核构建方法及系统 | |
| CN113507375B (zh) | 一种基于时间序列密码的远程登录方法、装置及存储介质 | |
| CN114143100B (zh) | 授权控制方法、系统、智能终端及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 518000 1901, block D, building 1, Section 1, Chuangzhi Yuncheng, Liuxian Avenue, Xili community, Xili street, Nanshan District, Shenzhen, Guangdong Province Applicant after: Weizheng Intellectual Property Technology Co.,Ltd. Address before: 518000 Guangdong Province Shenzhen Nanshan District Xili Street Chaguang Road and Chuangke Road intersection of Botton Science Park B Vanke Yunchuang 20 stories 2001 Applicant before: WEIZHENG INTELLECTUAL PROPERTY SERVICES Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |