CN110427747B - 一种支持业务安全标记的身份鉴别方法及装置 - Google Patents
一种支持业务安全标记的身份鉴别方法及装置 Download PDFInfo
- Publication number
- CN110427747B CN110427747B CN201910536536.8A CN201910536536A CN110427747B CN 110427747 B CN110427747 B CN 110427747B CN 201910536536 A CN201910536536 A CN 201910536536A CN 110427747 B CN110427747 B CN 110427747B
- Authority
- CN
- China
- Prior art keywords
- user
- mark
- service
- security
- service security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种支持业务安全标记的身份鉴别方法及装置。该方法包括:配置计算机系统或计算机设备的业务安全标记;获取待登录所述计算机系统或计算机设备的用户的业务安全标记;对计算机系统或计算机设备的业务安全标记和用户的业务安全标记进行匹配运算,根据所述匹配运算的结果决定是否允许用户登录;通过所述匹配运算产生新的业务安全标记并将其赋予登录的用户,作为该用户登录所述计算机系统或计算机设备后的资源访问权限。本发明使得用户在登陆计算机系统或设备时,可以基于系统的业务安全属性与用户的业务安全属性控制登录行为,并对登录用户进行细粒度授权,从而确保用户对系统内资源仅拥有业务所需的最小访问权限,提升了系统的安全性。
Description
技术领域
本发明涉及一种身份鉴别方法及装置,尤其涉及一种基于业务安全标记的身份鉴别方法及装置,属于计算机信息安全领域。
背景技术
为了有效保护数据信息安全,计算机系统和设备通常应用身份鉴别技术验证登陆用户身份的合法性。用户在登陆系统时进行身份验证,通过身份验证的用户被授权在系统内执行相关操作。但目前的身份鉴别系统仅对用户身份的合法性进行鉴别并提供相关属性信息,不能理解系统的业务安全属性,无法基于用户与系统的业务安全属性进行细粒度的匹配和授权,以确保用户对系统内资源仅拥有业务所需的最小访问权限。
发明内容
针对现有计算机系统和设备的难以面向业务进行授权的问题,本发明的目的在于提供一种方法,支持用户在进行身份鉴别时,获取用户的业务安全标记,从而根据用户的业务安全属性对用户进行访问授权。
为实现上述目的,本发明提供一种支持业务安全标记的身份鉴别方法,该方法包括以下步骤:
Step1:配置计算机系统或计算机设备的业务安全标记。为计算机系统或计算机设备等配置业务安全标记,表明其具有的安全级别、业务类别等业务安全属性。该业务安全标记可由管理人员进行配置。其中,计算机系统或计算机设备,是指由软件和硬件等构成,能够按照设定程序进行相关操作的系统或设备的统称。
Step2:获取用户的业务安全标记。当用户登陆系统进行身份鉴别时,获取用户的业务安全标记,该标记表明用户的安全级别、业务类别等业务安全属性。
Step3:基于业务安全标记进行登录授权。对用户的业务安全标记与系统的业务安全标记进行匹配运算,根据匹配运算结果决定是否允许用户登录,并将匹配运算产生的业务安全标记赋予登录用户,表明该用户具有的业务安全属性,作为该用户登录系统后可用的资源访问权限。
预设信息:计算机系统或设备内的资源和系统对象具有业务安全标记,表明其具有的安全级别、业务类别等业务安全属性。该业务安全标记可由管理人员进行配置、外部导入或继承相关用户的业务安全标记。
为实现上述目的,本发明还提供了一种支持业务安全标记的身份鉴别装置,主要包括系统标记配置模块、标记匹配与授权模块;
所述系统标记配置模块主要为计算机系统或设备配置业务安全标记,或对其业务安全标记进行变更。
所述标记匹配与授权模块主要实现获取用户的业务安全标记,并与系统的业务安全标记进行匹配运算,根据匹配运算结果决定是否允许用户登录,并将匹配运算产生的业务安全标记赋予登录用户,作为该用户登录系统后可用的资源访问权限。
另一方面,本发明还提供一种计算机系统(或计算机设备),其包括上面所述的支持业务安全标记的身份鉴别装置。
与现有技术相比,本发明的积极效果为:
本发明的支持业务安全标记的身份鉴别方法及装置,提供了一种面向业务安全要求的身份鉴别及授权机制,可以配置并标识系统的业务安全属性,使得用户在登陆计算机系统或设备时,可以基于系统的业务安全属性与用户的业务安全属性控制登录行为,并对登录用户进行细粒度授权,从而确保用户对系统内资源仅拥有业务所需的最小访问权限,提升了系统的安全性。
附图说明
图1为本发明的支持业务安全标记的身份鉴别方法的基本流程图;
图2为本发明的支持业务安全标记的身份鉴别装置的基本结构图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的实施例仅用于说明和解释本发明,并不用于限定本发明。
本发明第一实施例的支持业务安全标记的身份鉴别方法的基本流程图请参见图1,下面将参考图1对本发明的支持业务安全标记的身份鉴别方法进行详述:
1.业务安全标记
业务安全标记M为一个包含多种业务安全属性的多元组,M=<C,G,F>。其中C为安全级别;G为多个业务安全属性gi的集合,G={g1,g2,…gn},gi可以为业务类别、工作组、角色、环境要求等业务安全属性;F为操作控制属性fj的集合,F={f1,f2,…fm},fj可以为读写控制、打印控制、刻录控制、拷贝控制等操作类属性。
计算机系统或设备中,数据等信息对象(资源)的业务安全标记记为M(r)=<Cr,Gr,Fr>,系统、设备和进程等系统对象(主体)的业务安全标记记为M(o)=<Co,Go>。主体标记M(o)与资源标记M(r)之间的关系有两种:支配关系与不可比。标记M(o)支配标记M(r),当Co≥Cr且我们记为M(o)≥M(r),表示主体可支配客体。如果M(o)与M(r)之间不存在支配关系,则它们之间不可比,主体无权支配客体。如果则主体应根据该标记包含的具体操作控制属性fj限制对资源进行相应操作。
在这种抽象定义下,计算机系统或设备内的任一系统对象pi具有的业务安全标记可记为M(pi)=<Cpi,Gpi>,表明其具有的安全级别、业务类别等业务安全属性。
2.配置系统对象的业务安全标记
为计算机系统或设备配置的业务安全标记记为M(s)=<Cs,Gs>,该标记表明计算机系统或设备的安全级别、业务类别等业务安全属性。
3.获取用户的业务安全标记
当任一用户登陆系统进行身份鉴别时,获取用户的业务安全标记,记为M(u)=<Cu,Gu>,该标记表明用户的安全级别、业务类别等业务安全属性。用户的业务安全标记至少可以通过以下常见的5种方式获取:
方式1:从用户的身份证书中获取;
方式2:从用户的属性证书中获取;
方式3:从系统外部的身份管理系统中获取;
方式4:从用户提供的usbKey等硬件或其他介质中获取;
方式5:从系统内设置的用户信息中获取。
4.业务安全标记匹配及登录授权
基于业务安全标记进行访问授权。对用户的业务安全标记M(u)与系统的业务安全标记M(s)进行匹配运算,如果则拒绝用户登录;否则,允许用户登录,并将匹配运算产生的业务安全标记M(su)赋予登录用户,作为该用户登录系统后可用的资源访问权限。
所述登录用户的业务安全标记M(su)=<Csu,Gsu>的匹配运算规则如下:
Csu=min{Cs,Cu},即取Cu和Cs中的最低(最小)值;
Gsu=Gs∩Gu,即取Gu和Gs的交集。
本实施例中,用户在登陆计算机系统或设备时,通过将用户的业务安全标记与系统的业务安全标记进行匹配运算,以限定用户在获取系统合法身份信息时,同时获取合规的业务安全标记信息,实现基于数据信息的业务安全属性进行相应的授权和管控。
本发明第二实施例的支持业务安全标记的身份鉴别装置的基本结构图请参见图2,下面将参考图2,对本发明的支持业务安全标记的身份鉴别装置进行详述。身份鉴别装置主要包括系统标记配置模块、标记匹配与授权模块:
1.系统标记配置模块
系统标记配置模块主要配置计算机系统或设备的业务安全标记M(s),或对其业务安全标记M(s)进行变更。
2.标记匹配与授权模块
标记匹配与授权模块主要包括3部分功能,获取用户的业务安全标记,进行业务安全标记匹配运算,为登录用户授权。
(1)获取用户的业务安全标记M(u)功能。此功能至少有5种设计方式,方式1,设计从用户的身份证书中读取该用户的业务安全标记M(u);方式2,设计从用户的属性证书中读取该用户的业务安全标记M(u);方式3,设计从外部的身份管理系统中读取该用户的业务安全标记M(u);方式4,设计从用户提供的usbKey等硬件或其他介质中读取该用户的业务安全标记M(u);方式5:设计从系统内设置的用户信息中读取该用户的业务安全标记M(u)。
(2)业务安全标记匹配运算功能。此功能设计为,对用户的业务安全标记M(u)与系统的业务安全标记M(s)进行匹配运算,如果则拒绝用户登录;否则,允许用户登录。其次,进行标记运算,设M(su)=<Csu,Gsu>,其中Csu=min{Cu,Cs},即取Cu和Cs中的最低(最小)值,Gsu=Gu∩Gs,即取Gu和Gs的交集。
(3)登录授权功能。将M(su)作为登录用户的业务安全标记(资源访问权限),后续将依据此业务安全标记对登录用户进行系统资源授权和控制。
本实施例中,通过系统标记配置模块,配置、管理计算机系统和设备的业务安全标记,通过标记匹配与授权模块,获取用户的业务安全标记,并与系统的业务安全标记进行匹配运算,将匹配运算结果赋予登录用户,作为该用户在系统内实际可用的资源访问权限,实现基于业务安全属性的授权与访问控制。
本发明另一实施例提供一种计算机系统(或计算机设备),其包括上面所述的支持业务安全标记的身份鉴别装置。
尽管为说明目的公开了本发明的具体内容、实施算法以及附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。本发明不应局限于本说明书最佳实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (7)
1.一种支持业务安全标记的身份鉴别方法,其特征在于,该方法用于计算机系统或计算机设备基于业务安全标记在对用户进行身份鉴别的同时完成用户登录后的业务身份授权,该方法包括以下步骤:
配置计算机系统或计算机设备的业务安全标记;所述计算机系统或计算机设备的业务安全标记包含计算机系统或计算机设备的业务安全属性,所述业务安全属性包括安全级别、业务类别;所述计算机系统或计算机设备的业务安全标记记为M(s)=<Cs,Gs>;其中Cs为计算机系统或计算机设备的安全级别,Gs为计算机系统或计算机设备的多个业务安全属性的集合;
获取待登录所述计算机系统或计算机设备的用户的业务安全标记;所述用户的业务安全标记包含用户的的业务安全属性,包括安全级别和业务类别;所述用户的业务安全标记记为M(u)=<Cu,Gu>,其中Cu为用户的安全级别,Gu为用户的多个业务安全属性的集合;
通过所述匹配运算产生新的业务安全标记M(su)=<Csu,Gsu>并将其赋予登录的用户,表明该用户登录所述计算机系统或计算机设备后所具有的业务安全属性及资源访问权限,依据此业务安全标记M(su)对登录的用户进行系统资源授权和控制;其中M(su)=<Csu,Gsu>的匹配运算规则如下:
Csu=min{Cs,Cu},即取Cu和Cs中的最低值;
Gsu=Gs∩Gu,即取Gu和Gs的交集。
2.根据权利要求1所述的方法,其特征在于,所述计算机系统或计算机设备的业务安全标记,为计算机系统或计算机设备内的资源和系统对象具有的业务安全标记,由管理人员进行配置、或者由外部导入、或者继承相关用户的业务安全标记。
3.根据权利要求2所述的方法,其特征在于,所述资源的业务安全标记记为M(r)=<Cr,Gr,Fr>,所述系统对象的业务安全标记记为M(o)=<Co,Go>;其中Cr为资源的安全级别,Gr为资源的多个业务安全属性gi的集合,Fr为资源的操作控制属性fj的集合,Co为系统对象的安全级别,Go为系统对象的多个业务安全属性的集合。
5.根据权利要求1所述的方法,其特征在于,通过以下5种方式中的一种或多种获取用户的业务安全标记:从用户的身份证书中获取;从用户的属性证书中获取;从系统外部的身份管理系统中获取;从用户提供的usbKey等硬件或其他介质中获取;从系统内设置的用户信息中获取。
6.一种采用权利要求1~5中任一权利要求所述方法的支持业务安全标记的身份鉴别装置,其特征在于,包括:
标记配置模块,负责为计算机系统或计算机设备配置业务安全标记,或对其业务安全标记进行变更;
标记匹配与授权模块,负责获取待登录所述计算机系统或计算机设备的用户的业务安全标记;对计算机系统或计算机设备的业务安全标记和用户的业务安全标记进行匹配运算,根据所述匹配运算的结果决定是否允许用户登录;通过所述匹配运算产生新的业务安全标记并将其赋予登录的用户,表明该用户登录所述计算机系统或计算机设备后所具有的业务安全属性及资源访问权限。
7.一种计算机系统,其特征在于,包括权利要求6所述的支持业务安全标记的身份鉴别装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910536536.8A CN110427747B (zh) | 2019-06-20 | 2019-06-20 | 一种支持业务安全标记的身份鉴别方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910536536.8A CN110427747B (zh) | 2019-06-20 | 2019-06-20 | 一种支持业务安全标记的身份鉴别方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110427747A CN110427747A (zh) | 2019-11-08 |
CN110427747B true CN110427747B (zh) | 2021-12-14 |
Family
ID=68408806
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910536536.8A Active CN110427747B (zh) | 2019-06-20 | 2019-06-20 | 一种支持业务安全标记的身份鉴别方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110427747B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114553484B (zh) * | 2022-01-18 | 2024-05-24 | 国电南瑞科技股份有限公司 | 一种基于二维安全标记的双重访问权限控制方法及系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103647772A (zh) * | 2013-12-12 | 2014-03-19 | 浪潮电子信息产业股份有限公司 | 一种对网络数据包进行可信访问控制的方法 |
CN103685311A (zh) * | 2013-12-27 | 2014-03-26 | 网易(杭州)网络有限公司 | 一种登录验证方法及设备 |
CN105357201A (zh) * | 2015-11-12 | 2016-02-24 | 中国科学院信息工程研究所 | 一种对象云存储访问控制方法和系统 |
CN107222481A (zh) * | 2017-05-31 | 2017-09-29 | 深圳云天励飞技术有限公司 | 数据查询系统中用户登录的方法及设备 |
CN107277023A (zh) * | 2017-06-28 | 2017-10-20 | 中国科学院信息工程研究所 | 一种基于Web的移动瘦终端访问控制方法、系统及瘦终端 |
CN107483418A (zh) * | 2017-07-27 | 2017-12-15 | 阿里巴巴集团控股有限公司 | 登录处理方法、业务处理方法、装置及服务器 |
CN108092945A (zh) * | 2016-11-22 | 2018-05-29 | 中兴通讯股份有限公司 | 访问权限的确定方法和装置、终端 |
CN108270782A (zh) * | 2018-01-15 | 2018-07-10 | 中国科学院信息工程研究所 | 一种基于安全标签的访问控制方法及系统 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7240046B2 (en) * | 2002-09-04 | 2007-07-03 | International Business Machines Corporation | Row-level security in a relational database management system |
CN101546261B (zh) * | 2008-10-10 | 2011-07-20 | 华中科技大学 | 多策略支持的安全网页标签库系统 |
US8510335B2 (en) * | 2011-02-14 | 2013-08-13 | Protegrity Corporation | Database and method for controlling access to a database |
CN102882686A (zh) * | 2012-10-09 | 2013-01-16 | 北京深思洛克软件技术股份有限公司 | 一种认证方法及装置 |
CN106452774B (zh) * | 2015-08-07 | 2020-07-10 | 百度在线网络技术(北京)有限公司 | 基于单点登录协议进行访问权限控制的方法和装置 |
CN106096343B (zh) * | 2016-05-27 | 2019-09-13 | 腾讯科技(深圳)有限公司 | 消息访问控制方法及设备 |
-
2019
- 2019-06-20 CN CN201910536536.8A patent/CN110427747B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103647772A (zh) * | 2013-12-12 | 2014-03-19 | 浪潮电子信息产业股份有限公司 | 一种对网络数据包进行可信访问控制的方法 |
CN103685311A (zh) * | 2013-12-27 | 2014-03-26 | 网易(杭州)网络有限公司 | 一种登录验证方法及设备 |
CN105357201A (zh) * | 2015-11-12 | 2016-02-24 | 中国科学院信息工程研究所 | 一种对象云存储访问控制方法和系统 |
CN108092945A (zh) * | 2016-11-22 | 2018-05-29 | 中兴通讯股份有限公司 | 访问权限的确定方法和装置、终端 |
CN107222481A (zh) * | 2017-05-31 | 2017-09-29 | 深圳云天励飞技术有限公司 | 数据查询系统中用户登录的方法及设备 |
CN107277023A (zh) * | 2017-06-28 | 2017-10-20 | 中国科学院信息工程研究所 | 一种基于Web的移动瘦终端访问控制方法、系统及瘦终端 |
CN107483418A (zh) * | 2017-07-27 | 2017-12-15 | 阿里巴巴集团控股有限公司 | 登录处理方法、业务处理方法、装置及服务器 |
CN108270782A (zh) * | 2018-01-15 | 2018-07-10 | 中国科学院信息工程研究所 | 一种基于安全标签的访问控制方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110427747A (zh) | 2019-11-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3067817B1 (en) | Dynamic data masking for mainframe application | |
CA3087858C (en) | Authentication and authorization using tokens with action identification | |
US10044707B1 (en) | Token-based access control | |
US20180131721A1 (en) | Enforcing enterprise requirements for devices registered with a registration service | |
US7251831B2 (en) | Method and system for architecting a secure solution | |
US9985961B2 (en) | Information processing system and authentication method | |
US7895645B2 (en) | Multiple user credentials | |
CN113094055A (zh) | 维持对于在部署到云计算环境期间的受限数据的控制 | |
US9652599B2 (en) | Restricted code signing | |
US20130024769A1 (en) | Apparatus and method for processing a document | |
CN111680310A (zh) | 一种权限控制的方法及装置、电子设备、存储介质 | |
CN110324344A (zh) | 账号信息认证的方法及装置 | |
US10515187B2 (en) | Artificial intelligence (AI) techniques for learning and modeling internal networks | |
EP3759629B1 (en) | Method, entity and system for managing access to data through a late dynamic binding of its associated metadata | |
CN110427747B (zh) | 一种支持业务安全标记的身份鉴别方法及装置 | |
CN101939748A (zh) | 通过信任委托的激活 | |
JP2007004549A (ja) | アクセス制御方法 | |
KR20160126005A (ko) | 보안 평가 시스템 및 방법 | |
CN110427770A (zh) | 一种支持业务安全标记的数据库访问控制方法及系统 | |
Jensen et al. | Security policy management for handheld devices | |
CN114006735B (zh) | 一种数据保护方法、装置、计算机设备和存储介质 | |
JP4723930B2 (ja) | 複合的アクセス認可方法及び装置 | |
CN110427744B (zh) | 一种支持业务安全标记的身份管理方法及系统 | |
CN111865916B (zh) | 资源管理方法、装置及电子设备 | |
CN114257436A (zh) | 适用于堡垒机的访问安全管理方法、系统、电子设备和可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |