CN110427747B

CN110427747B - 一种支持业务安全标记的身份鉴别方法及装置

Info

Publication number: CN110427747B
Application number: CN201910536536.8A
Authority: CN
Inventors: 于海波; 李宏宝; 刘坤颖; 肖俊超
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2019-06-20
Filing date: 2019-06-20
Publication date: 2021-12-14
Anticipated expiration: 2039-06-20
Also published as: CN110427747A

Abstract

本发明涉及一种支持业务安全标记的身份鉴别方法及装置。该方法包括：配置计算机系统或计算机设备的业务安全标记；获取待登录所述计算机系统或计算机设备的用户的业务安全标记；对计算机系统或计算机设备的业务安全标记和用户的业务安全标记进行匹配运算，根据所述匹配运算的结果决定是否允许用户登录；通过所述匹配运算产生新的业务安全标记并将其赋予登录的用户，作为该用户登录所述计算机系统或计算机设备后的资源访问权限。本发明使得用户在登陆计算机系统或设备时，可以基于系统的业务安全属性与用户的业务安全属性控制登录行为，并对登录用户进行细粒度授权，从而确保用户对系统内资源仅拥有业务所需的最小访问权限，提升了系统的安全性。

Description

一种支持业务安全标记的身份鉴别方法及装置

技术领域

本发明涉及一种身份鉴别方法及装置，尤其涉及一种基于业务安全标记的身份鉴别方法及装置，属于计算机信息安全领域。

背景技术

为了有效保护数据信息安全，计算机系统和设备通常应用身份鉴别技术验证登陆用户身份的合法性。用户在登陆系统时进行身份验证，通过身份验证的用户被授权在系统内执行相关操作。但目前的身份鉴别系统仅对用户身份的合法性进行鉴别并提供相关属性信息，不能理解系统的业务安全属性，无法基于用户与系统的业务安全属性进行细粒度的匹配和授权，以确保用户对系统内资源仅拥有业务所需的最小访问权限。

发明内容

针对现有计算机系统和设备的难以面向业务进行授权的问题，本发明的目的在于提供一种方法，支持用户在进行身份鉴别时，获取用户的业务安全标记，从而根据用户的业务安全属性对用户进行访问授权。

为实现上述目的，本发明提供一种支持业务安全标记的身份鉴别方法，该方法包括以下步骤：

Step1：配置计算机系统或计算机设备的业务安全标记。为计算机系统或计算机设备等配置业务安全标记，表明其具有的安全级别、业务类别等业务安全属性。该业务安全标记可由管理人员进行配置。其中，计算机系统或计算机设备，是指由软件和硬件等构成，能够按照设定程序进行相关操作的系统或设备的统称。

Step2：获取用户的业务安全标记。当用户登陆系统进行身份鉴别时，获取用户的业务安全标记，该标记表明用户的安全级别、业务类别等业务安全属性。

Step3：基于业务安全标记进行登录授权。对用户的业务安全标记与系统的业务安全标记进行匹配运算，根据匹配运算结果决定是否允许用户登录，并将匹配运算产生的业务安全标记赋予登录用户，表明该用户具有的业务安全属性，作为该用户登录系统后可用的资源访问权限。

预设信息：计算机系统或设备内的资源和系统对象具有业务安全标记，表明其具有的安全级别、业务类别等业务安全属性。该业务安全标记可由管理人员进行配置、外部导入或继承相关用户的业务安全标记。

为实现上述目的，本发明还提供了一种支持业务安全标记的身份鉴别装置，主要包括系统标记配置模块、标记匹配与授权模块；

所述系统标记配置模块主要为计算机系统或设备配置业务安全标记，或对其业务安全标记进行变更。

所述标记匹配与授权模块主要实现获取用户的业务安全标记，并与系统的业务安全标记进行匹配运算，根据匹配运算结果决定是否允许用户登录，并将匹配运算产生的业务安全标记赋予登录用户，作为该用户登录系统后可用的资源访问权限。

另一方面，本发明还提供一种计算机系统(或计算机设备)，其包括上面所述的支持业务安全标记的身份鉴别装置。

与现有技术相比，本发明的积极效果为：

本发明的支持业务安全标记的身份鉴别方法及装置，提供了一种面向业务安全要求的身份鉴别及授权机制，可以配置并标识系统的业务安全属性，使得用户在登陆计算机系统或设备时，可以基于系统的业务安全属性与用户的业务安全属性控制登录行为，并对登录用户进行细粒度授权，从而确保用户对系统内资源仅拥有业务所需的最小访问权限，提升了系统的安全性。

附图说明

图1为本发明的支持业务安全标记的身份鉴别方法的基本流程图；

图2为本发明的支持业务安全标记的身份鉴别装置的基本结构图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的实施例仅用于说明和解释本发明，并不用于限定本发明。

本发明第一实施例的支持业务安全标记的身份鉴别方法的基本流程图请参见图1，下面将参考图1对本发明的支持业务安全标记的身份鉴别方法进行详述：

1.业务安全标记

业务安全标记M为一个包含多种业务安全属性的多元组，M＝<C，G，F>。其中C为安全级别；G为多个业务安全属性g_i的集合，G＝{g₁,g₂,…g_n}，g_i可以为业务类别、工作组、角色、环境要求等业务安全属性；F为操作控制属性f_j的集合，F＝{f₁,f₂,…f_m}，f_j可以为读写控制、打印控制、刻录控制、拷贝控制等操作类属性。

计算机系统或设备中，数据等信息对象(资源)的业务安全标记记为M(r)＝<C_r，G_r，F_r>，系统、设备和进程等系统对象(主体)的业务安全标记记为M(o)＝<C_o，G_o>。主体标记M(o)与资源标记M(r)之间的关系有两种：支配关系与不可比。标记M(o)支配标记M(r)，当C_o≥C_r且

我们记为M(o)≥M(r)，表示主体可支配客体。如果M(o)与M(r)之间不存在支配关系，则它们之间不可比，主体无权支配客体。如果

则主体应根据该标记包含的具体操作控制属性f_j限制对资源进行相应操作。

在这种抽象定义下，计算机系统或设备内的任一系统对象p_i具有的业务安全标记可记为M(p_i)＝<C_pi，G_pi>，表明其具有的安全级别、业务类别等业务安全属性。

2.配置系统对象的业务安全标记

为计算机系统或设备配置的业务安全标记记为M(s)＝<C_s，G_s>，该标记表明计算机系统或设备的安全级别、业务类别等业务安全属性。

3.获取用户的业务安全标记

当任一用户登陆系统进行身份鉴别时，获取用户的业务安全标记，记为M(u)＝<C_u，G_u>，该标记表明用户的安全级别、业务类别等业务安全属性。用户的业务安全标记至少可以通过以下常见的5种方式获取：

方式1：从用户的身份证书中获取；

方式2：从用户的属性证书中获取；

方式3：从系统外部的身份管理系统中获取；

方式4：从用户提供的usbKey等硬件或其他介质中获取；

方式5：从系统内设置的用户信息中获取。

4.业务安全标记匹配及登录授权

基于业务安全标记进行访问授权。对用户的业务安全标记M(u)与系统的业务安全标记M(s)进行匹配运算，如果

则拒绝用户登录；否则，允许用户登录，并将匹配运算产生的业务安全标记M(su)赋予登录用户，作为该用户登录系统后可用的资源访问权限。

所述登录用户的业务安全标记M(su)＝<C_su，G_su>的匹配运算规则如下：

C_su＝min{C_s，C_u}，即取C_u和C_s中的最低(最小)值；

G_su＝G_s∩G_u，即取Gu和Gs的交集。

本实施例中，用户在登陆计算机系统或设备时，通过将用户的业务安全标记与系统的业务安全标记进行匹配运算，以限定用户在获取系统合法身份信息时，同时获取合规的业务安全标记信息，实现基于数据信息的业务安全属性进行相应的授权和管控。

本发明第二实施例的支持业务安全标记的身份鉴别装置的基本结构图请参见图2，下面将参考图2，对本发明的支持业务安全标记的身份鉴别装置进行详述。身份鉴别装置主要包括系统标记配置模块、标记匹配与授权模块：

1.系统标记配置模块

系统标记配置模块主要配置计算机系统或设备的业务安全标记M(s)，或对其业务安全标记M(s)进行变更。

2.标记匹配与授权模块

标记匹配与授权模块主要包括3部分功能，获取用户的业务安全标记，进行业务安全标记匹配运算，为登录用户授权。

(1)获取用户的业务安全标记M(u)功能。此功能至少有5种设计方式，方式1，设计从用户的身份证书中读取该用户的业务安全标记M(u)；方式2，设计从用户的属性证书中读取该用户的业务安全标记M(u)；方式3，设计从外部的身份管理系统中读取该用户的业务安全标记M(u)；方式4，设计从用户提供的usbKey等硬件或其他介质中读取该用户的业务安全标记M(u)；方式5：设计从系统内设置的用户信息中读取该用户的业务安全标记M(u)。

(2)业务安全标记匹配运算功能。此功能设计为，对用户的业务安全标记M(u)与系统的业务安全标记M(s)进行匹配运算，如果

则拒绝用户登录；否则，允许用户登录。其次，进行标记运算，设M(su)＝<C_su，G_su>，其中C_su＝min{C_u，C_s}，即取C_u和C_s中的最低(最小)值，G_su＝G_u∩G_s，即取G_u和G_s的交集。

(3)登录授权功能。将M(su)作为登录用户的业务安全标记(资源访问权限)，后续将依据此业务安全标记对登录用户进行系统资源授权和控制。

本实施例中，通过系统标记配置模块，配置、管理计算机系统和设备的业务安全标记，通过标记匹配与授权模块，获取用户的业务安全标记，并与系统的业务安全标记进行匹配运算，将匹配运算结果赋予登录用户，作为该用户在系统内实际可用的资源访问权限，实现基于业务安全属性的授权与访问控制。

本发明另一实施例提供一种计算机系统(或计算机设备)，其包括上面所述的支持业务安全标记的身份鉴别装置。

尽管为说明目的公开了本发明的具体内容、实施算法以及附图，其目的在于帮助理解本发明的内容并据以实施，但是本领域的技术人员可以理解：在不脱离本发明及所附的权利要求的精神和范围内，各种替换、变化和修改都是可能的。本发明不应局限于本说明书最佳实施例和附图所公开的内容，本发明要求保护的范围以权利要求书界定的范围为准。

Claims

1.一种支持业务安全标记的身份鉴别方法，其特征在于，该方法用于计算机系统或计算机设备基于业务安全标记在对用户进行身份鉴别的同时完成用户登录后的业务身份授权，该方法包括以下步骤：

配置计算机系统或计算机设备的业务安全标记；所述计算机系统或计算机设备的业务安全标记包含计算机系统或计算机设备的业务安全属性，所述业务安全属性包括安全级别、业务类别；所述计算机系统或计算机设备的业务安全标记记为M(s)＝<C_s，G_s>；其中C_s为计算机系统或计算机设备的安全级别，G_s为计算机系统或计算机设备的多个业务安全属性的集合；

获取待登录所述计算机系统或计算机设备的用户的业务安全标记；所述用户的业务安全标记包含用户的的业务安全属性，包括安全级别和业务类别；所述用户的业务安全标记记为M(u)＝<C_u，G_u>，其中C_u为用户的安全级别，G_u为用户的多个业务安全属性的集合；

对计算机系统或计算机设备的业务安全标记M(s)和用户的业务安全标记M(u)进行匹配运算，根据所述匹配运算的结果决定是否允许用户登录，即：如果

则拒绝用户登录；否则，允许用户登录；

通过所述匹配运算产生新的业务安全标记M(su)＝<C_su，G_su>并将其赋予登录的用户，表明该用户登录所述计算机系统或计算机设备后所具有的业务安全属性及资源访问权限，依据此业务安全标记M(su)对登录的用户进行系统资源授权和控制；其中M(su)＝<C_su，G_su>的匹配运算规则如下：

C_su＝min{C_s，C_u}，即取C_u和C_s中的最低值；

G_su＝G_s∩G_u，即取Gu和Gs的交集。

2.根据权利要求1所述的方法，其特征在于，所述计算机系统或计算机设备的业务安全标记，为计算机系统或计算机设备内的资源和系统对象具有的业务安全标记，由管理人员进行配置、或者由外部导入、或者继承相关用户的业务安全标记。

3.根据权利要求2所述的方法，其特征在于，所述资源的业务安全标记记为M(r)＝<C_r，G_r，F_r>，所述系统对象的业务安全标记记为M(o)＝<C_o，G_o>；其中C_r为资源的安全级别，G_r为资源的多个业务安全属性g_i的集合，F_r为资源的操作控制属性f_j的集合，C_o为系统对象的安全级别，G_o为系统对象的多个业务安全属性的集合。

4.根据权利要求3所述的方法，其特征在于，M(o)与M(r)之间的关系有两种：支配关系与不可比；如果C_o≥C_r且

记为M(o)≥M(r)，则标记M(o)支配标记M(r)，表示主体可支配客体；如果M(o)与M(r)之间不存在支配关系，则它们之间不可比，主体无权支配客体；如果

则主体即系统对象应根据该标记包含的具体操作控制属性f_j限制对资源进行相应操作。

5.根据权利要求1所述的方法，其特征在于，通过以下5种方式中的一种或多种获取用户的业务安全标记：从用户的身份证书中获取；从用户的属性证书中获取；从系统外部的身份管理系统中获取；从用户提供的usbKey等硬件或其他介质中获取；从系统内设置的用户信息中获取。

6.一种采用权利要求1～5中任一权利要求所述方法的支持业务安全标记的身份鉴别装置，其特征在于，包括：

标记配置模块，负责为计算机系统或计算机设备配置业务安全标记，或对其业务安全标记进行变更；

标记匹配与授权模块，负责获取待登录所述计算机系统或计算机设备的用户的业务安全标记；对计算机系统或计算机设备的业务安全标记和用户的业务安全标记进行匹配运算，根据所述匹配运算的结果决定是否允许用户登录；通过所述匹配运算产生新的业务安全标记并将其赋予登录的用户，表明该用户登录所述计算机系统或计算机设备后所具有的业务安全属性及资源访问权限。

7.一种计算机系统，其特征在于，包括权利要求6所述的支持业务安全标记的身份鉴别装置。