CN111563529A - 一种数据类别属性表示方法及访问控制方法 - Google Patents
一种数据类别属性表示方法及访问控制方法 Download PDFInfo
- Publication number
- CN111563529A CN111563529A CN202010245823.6A CN202010245823A CN111563529A CN 111563529 A CN111563529 A CN 111563529A CN 202010245823 A CN202010245823 A CN 202010245823A CN 111563529 A CN111563529 A CN 111563529A
- Authority
- CN
- China
- Prior art keywords
- data
- classification
- attribute
- layer
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/24323—Tree-organised classifiers
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种数据类别属性表示方法及访问控制方法。本方法为:1)根据设定分类主题x对目标信息系统各层的数据资源进行分类,得到一数据分类树Tx或由多颗树组成的分类森林;2)对于系统中的一数据资源xi,查询对应数据分类树Tx,获取Tx根节点到xi所对应节点Txi的路径,利用该路径信息表示该xi对应于分类主题x的属性值;3)根据访问控制要求设置该目标信息系统各层中每一主体的属性值,确定每一主体可处理数据资源的属性范围;4)当主体访问其对应层面的客体时,判断该主体的属性值与该客体的属性值是否匹配,如果匹配且满足设定的访问条件时,则允许该主体访问该客体;其中,客体为该目标信息系统各层的数据资源。
Description
技术领域
本发明涉及一种数据资源和对象的类别属性表示方法及访问控制方法,属于网络及信息安全技术领域。
背景技术
访问控制是信息安全领域主要的安全机制,强制访问控制(MAC)、基于角色的访问控制(RBAC)、基于属性的访问控制(ABAC)目前得到广泛应用,其中,MAC主要应用于安全操作系统,ABAC主要适用于应用系统。MAC、ABAC等访问控制模型都将数据(客体)的类别属性作为关键的访问控制条件要素,使得数据类别属性的定义和管理问题成为数据安全管理的重要问题。在网络环境下,对分布在网络内各系统、各层面的海量数据资源和对象的类别属性进行定义和管理则更为复杂。当前,为支持MAC、ABAC实现给出的类别属性定义方法,往往仅支持简单概念的类别属性定义,表达能力不足,难以直接表达具有层次等关系的复杂分类,使得对数据进行细粒度访问控制时,需精心设计高复杂度的规则组合,容易出错;其次,现有类别属性定义方法,一般针对应用层、系统层的数据资源和对象情况分别进行设计,缺乏网络层、系统层、应用层一致可理解的类别属性定义方法,导致数据在网络环境中各系统间及系统内的应用层、系统层、网络层间进行映射、转换或流转时,各层数据对象的类别属性难以被其他层面的访问控制机制理解和使用,难以协同网络内相关的应用程序、操作系统、网络设备、安全系统等对数据进行全生命周期管控。
针对上述问题,本发明提出一种适应网络环境的数据类别属性表示方法,对网络层、系统层、应用层的数据资源和对象的类别属性进行统一表示,提升网络数据安全管理能力和全生命周期管控能力。
发明内容
针对网络环境下分布式海量数据资源的细粒度安全管理与全生命周期管控需求,本发明的目的在于提供一种数据类别属性的表示方法及访问控制方法,包括对分布在系统网络层、系统层、应用层等层面的各类动态或静态数据对象的类别属性进行一致表示,从而支持网络设备、操作系统、应用系统、安全系统等相关层面的访问控制机制基于数据的类别属性进行高效细粒度访问控制。
本发明的主要思路是:为对信息系统网络层、系统层、应用层各类动、静态数据资源(如文件、记录、消息等)进行细粒度安全管理,往往可以采用一个或多个统计分组方法对数据资源进行分类从而构建资源的分类目录,每个分类方法都对应了一个相应的分类主题,称其为类别主题。当选择某种分类方法对网络环境内各层面的所有数据资源进行细粒度分类时,可形成资源的分类目录。例如先按主题分成若干个大的类目(即一级类目),再进一步按照设定的标识或特性细分为二级、三级子类目。基于资源分类目录的层级特征(每个一级类目下包含若干二级类目、每个二级类目下包含若干三级类目),可将其抽象表示为相应类别主题的数据分类树或数据分类森林(即并列的多棵以一级类目为根的分类树),则对每种分类方法都能构建某一类别主题的数据分类树(或森林)。针对某一类别主题,可采用与其相应的数据分类树的根到数据所在节点的路径名定义数据所具有的类别属性值。这种类别属性表示方法可包含层次化的更为丰富的类别信息,且类别属性在匹配判定上天然具有路径匹配算法的相关特性,使得相关访问控制规则可以更为简单灵活地设置其访问控制粒度。进一步,可对路径名进行编码,便于网络层、系统层的相关安全机制对类别属性进行一致理解和高效处理。
为实现上述目的,本发明提供一种适应网络信息系统的网络层、系统层、应用层数据对象安全管理和访问控制的数据类别属性表示方法,该方法包括以下步骤:
预设信息:为实现进行访问控制,根据网络环境内各系统的网络、系统、应用等层面的相关数据资源和对象的安全管理和访问控制需求,采用一种或多种数据分类方法分别对所有数据资源和对象进行层次化、细粒度分类,得到对应的各类别主题的资源目录,将其抽象表示为数据分类树(或森林)。针对每个类别主题,根据其分类模型,网络环境内相关数据资源将根据其具体属性被归入到相应数据分类树(或森林)的某个唯一节点。
Step1属性定义。进行某一类别的属性定义时,首先,应选择该类别主题对应的数据分类树或森林;然后用数据分类树的根到数据资源或对象所在节点的路径名表示数据所具有的该类别的属性值,比如利用分类主题a对网络信息系统进行分类得到一分类树Ta,网络信息系统包括一数据ai,在分类树Ta中数据ai对应的节点为Tai,那么数据ai的属性类别根据根节点到节点Tai的路径确定。路径名中,各节点名称间可用特定符号或其他形式进行分隔表示,如A,AB,A.B.C,A/B/C/D等。
Step2:为支持应用层、系统层、网络层对属性值进行一致理解和高效处理,可对表示属性值的路径名中的每个节点名进行编码,得到编码表示的属性值,进一步,为支持网络设备对某些特定的类别属性值进行高速匹配判定,可采用IPv4或IPv6地址格式对这些特定的类别属性进行编码表示,并通过填充前导字节或后置字节进行格式补齐。
Step3:为数据资源(客体)相关的类别属性赋予相应的属性值,数据资源的属性值可以保存在集中或分散的属性库中,或将属性值与数据资源进行绑定(如采用对象嵌入、关联或扩展等方式),以去中心化的方式对海量规模分布式数据资源进行属性管理。
Step3:为数据资源(客体)相关的类别属性赋予相应的属性值,数据资源的属性值可以保存在集中或分散的属性库中,或将属性值与对应的数据资源进行绑定(如采用对象嵌入、关联或扩展等方式),以去中心化的方式对海量规模分布式数据资源进行属性管理。
Step4:根据访问控制要求为有关主体设置相应的属性值,表明其可处理数据的属性范围。主体的的属性值可以保存在集中或分散的属性库中,或将属性值与主体进行绑定。
Step5:访问控制。网络层、系统层、应用层等层面的相关主体访问其对应层面的客体时,通过主客体属性值的匹配,并结合其它条件和属性要素进行访问控制权限判定。访问控制权限的判定可以由统一的策略决策点完成,也可采用分布式的方法,在不同层面分别建立访问控制机制,对该层面或控制点的访问控制权限进行判定。
与现有技术相比,本发明的积极效果为:
本发明从网络环境下分布式海量数据资源和对象的安全管理需求出发,形成了一种适应各种数据分类模式的类别属性表示方法。这种表示方法可以对海量规模的数据资源和对象的类别属性进行层次化、细粒度定义,具有比传统属性表示方法更强的表达能力,可更为简单灵活地设置数据访问控制粒度。这种表示方法可以有效指示应用层、系统层、网络层的相关访问控制机制对类别属性进行高效、一致的理解和匹配处理。尤为重要的是,这种表示方法使得网络层、系统层的相关访问控制机制能够理解并运用类别属性所包含的应用层面的业务和管理信息,为协同网络环境内的应用程序、操作系统、网络设备、安全系统等在应用层、系统层、网络层等层面对指定数据进行全生命周期管控提供了重要机制。
附图说明
图1为类别属性表示方法及访问控制方法流程图;
图2为多层级数据分类森林示意图;
图3为按方式1进行多层级数据分类树(或森林)属性编码的示意图;
图4为按方式2进行多层级数据分类树(或森林)属性编码的示意图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的实施例仅用于说明和解释本发明,并不用于限定本发明。
本文提出的类别属性表示方法及访问控制方法如图1所示。
1.数据分类树
为实施访问控制,对数据资源和对象的属性进行层次化的分类,构建数据分类树或森林。根据实际需求,数据分类树的层级可为1级或多级。图2为针对某网络系统,从系统安全管理角度进行了资源分类设计,形成了两颗并列的多层级分类树,我们称之为数据分类森林。根据实际需求,也可设计层高为一层的数据森林,例如,某单位简单地将其业务数据划分为管理、财务、经营、销售4大类,此时就形成层高为一层的数据森林。
2.类别属性表示
对于任一类别主题x,其相应的数据分类树为Tx1…Txk,某数据对象d所在的数据分类树为Txi,其中1≤i≤k,则d在类别主题x上的属性值可用Txi的根到d所在节点的路径来表示,记为COx(d)。以图2所示数据分类森林为例,在树中,X单位b部门的经营数据的类别属性值为“业务数据.X单位.b部门.经营”,某杀毒程序的类别属性值为“系统资源.程序.安全.杀毒”,操作系统的日志数据的类别属性值为“系统资源.日志.系统”。
3.属性值编码
对表示属性值的路径名中的每个节点名进行编码,可以使得网络层、系统层、应用层对属性值进行高效、一致的理解和处理,不必在各层间再进行属性值的转换或映射。本实例给出两种编码方式,但具体实施中不限于这两种方式。
方式1:首先,对各类别主题的对应的所有数据分类树的根节点依次进行编码;然后,从各数据分类树的根节点开始,对树中任一节点包含子节点进行编码。如图3所示。此编码方式的优点在于,对于数据分类树中的任何节点,其子节点的编码值可以相对独立定义,节点编码值的含义和理解与所在路径关联,不必考虑不同节点采用同一编码值时可能存在的编码值含义冲突问题,简单易行。
方式2:对数据分类树的所有节点进行统筹编码,所有节点的编码值不重复,如图4所示。此编码方式为各数据分类树的每个节点赋予了不同的编码,每个编码值对应了唯一节点。
4.属性表示
根据各类别主题对应的数据分类树,任何类别的属性在属性值表示上,可以自然地表达为包含一个或多个用特定符号或其他形式进行分隔表示的字符串或位串,如A,A B,A.B.C,A/B/C/D等形式。
进一步,为方便网络设备对特定的属性进行高速处理和匹配计算,可参照IPv4或IPv6地址格式进行此类属性的属性值表示,并填充特定字节进行格式补齐。例如,如果参照IPv4,则可采用A.B.C.D的形式进行属性值表示,A、B、C、D均为一个字节。对于节点数小于4的属性值,在属性表示时,可通过填充前导字节或后置字节进行格式补齐。例如,对于图3所示属性值编码,如X单位b部门经营数据的属性表示为“1.1.2.1”,某杀毒程序的属性表示为“2.1.2.1”,操作系统的日志数据的属性通过填充后置字节进行格式补齐后表示为“2.3.1.0”。
5.为系统中的客体赋予属性值
根据上述设计,为相关数据资源和对象赋予相应的属性值,用COx(o)表示某客体o在类别主题x上具有的属性值,指明在分类主题x对应的某数据分类树中有一条根到客体o在所在节点的路径。
6.为系统中的主体赋予属性值
为相关主体赋予相关属性值,表明其可访问的资源的范围,用CSx(s)表示主体s在类别主题x上可访问处理的属性值的范围,指明在类别主题x对应的所有数据分类树中,主体s可以访问的一个或多个节点的路径的集合,该集合也可称为属性访问控制规则。
7.访问控制权限判定
CSx(s)和COx(o)之间的关系有两种:支配与不可比。对于某一类别主题x,如果COx(o)为CSx(s)所包含的某一路径或某一路径的子孙节点,则称在类别主题x上主体s支配客体o,记为如果CSx(s)和COx(o)之间不存在支配关系,则二者之间为不可比关系。
尽管为说明目的公开了本发明的具体内容、实施算法以及附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。本发明不应局限于本说明书最佳实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (10)
1.一种数据类别属性表示方法,其步骤包括:
1)根据设定分类主题x对目标信息系统各层的数据资源进行分类,得到一数据分类树Tx,或多个数据分类树构成的分类森林;
2)对于该目标信息系统中的一数据资源xi,查询对应数据分类树Tx,获取该数据分类树Tx根节点到该数据资源xi所对应节点Txi的路径,利用该路径信息表示该数据资源xi对应于分类主题x的属性值。
2.如权利要求1所述的方法,其特征在于,根据不同的类别主题对目标信息系统各层的数据资源和对象进行分类,得到不同类别主题的数据分类树或分类森林。
3.如权利要求1所述的方法,其特征在于,目标信息系统各层包括应用层、系统层和网络层。
4.如权利要求1或2或3所述的方法,其特征在于,该路径信息包括该数据分类树Tx根节点到节点Txi的节点名称,路径信息中的节点名称之间用设定符号进行分隔表示。
5.如权利要求1或2或3所述的方法,其特征在于,获取该数据分类树Tx根节点到节点Txi的节点名称,并对所获取的节点名称进行编码,然后用编码表示该路径信息。
6.如权利要求5所述方法,其特征在于,采用IPv4或IPv6地址格式对Tx根节点到节点Txi的路径进行编码表示,并通过填充前导字节或后置字节进行格式补齐。
7.一种访问控制方法,其步骤包括:
1)根据设定分类主题x对目标信息系统各层的数据资源进行分类,得到一数据分类树Tx或多个数据分类树构成的分类森林;
2)对于该目标信息系统中的一数据资源xi,查询对应数据分类树Tx,获取该数据分类树Tx根节点到该数据资源xi所对应节点Txi的路径,利用该路径信息表示该数据资源xi对应于分类主题x的属性值;
3)根据访问控制要求设置该目标信息系统各层中每一主体的属性值,确定每一主体可处理数据资源的属性范围;
4)当所述主体访问其对应层面的客体时,判断该主体的属性值与该客体的属性值是否匹配,如果匹配且满足设定的访问条件时,则允许该主体访问该客体;其中,所述客体为该目标信息系统各层的数据资源。
8.如权利要求7所述的方法,其特征在于,该目标信息系统中设置一策略决策点,通过该策略决策点控制主体对客体的访问控制权。
9.如权利要求7所述的方法,其特征在于,该目标信息系统的每一层面分别设置一访问控制机制,用于控制该层面的主体对该层面的客体的访问控制权。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010245823.6A CN111563529A (zh) | 2020-03-31 | 2020-03-31 | 一种数据类别属性表示方法及访问控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010245823.6A CN111563529A (zh) | 2020-03-31 | 2020-03-31 | 一种数据类别属性表示方法及访问控制方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111563529A true CN111563529A (zh) | 2020-08-21 |
Family
ID=72071535
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010245823.6A Pending CN111563529A (zh) | 2020-03-31 | 2020-03-31 | 一种数据类别属性表示方法及访问控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111563529A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112507170A (zh) * | 2020-12-01 | 2021-03-16 | 平安医疗健康管理股份有限公司 | 基于智能决策的数据资产目录构建方法、及其相关设备 |
CN113570428A (zh) * | 2021-07-23 | 2021-10-29 | 上海普洛斯普新数字科技有限公司 | 一种用于线上商品一致性筛选的系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040122792A1 (en) * | 2002-12-20 | 2004-06-24 | International Business Machines Corporation | Method, system, and program product for managing access to data items in a database |
CN105141574A (zh) * | 2015-06-12 | 2015-12-09 | 深圳大学 | 一种基于表格属性的云存储密文访问控制系统 |
CN106034112A (zh) * | 2015-03-12 | 2016-10-19 | 电信科学技术研究院 | 访问控制、策略获取、属性获取方法及相关装置 |
US20180005126A1 (en) * | 2016-07-04 | 2018-01-04 | Panasonic Intellectual Property Management Co., Ltd. | Decision tree generating apparatus, decision tree generating method, non-transitory computer-readable recording medium, and inquiry system |
CN107679099A (zh) * | 2017-09-12 | 2018-02-09 | 中国科学院软件研究所 | 访问控制要素图构建方法、策略描述方法、访问控制判定方法及框架 |
US20180089299A1 (en) * | 2016-09-26 | 2018-03-29 | Amazon Technologies, Inc. | Different hierarchies of resource data objects for managing system resources |
CN107992758A (zh) * | 2017-11-29 | 2018-05-04 | 中国人民解放军信息工程大学 | 一种安全机制动态管理方法及装置 |
CN109344601A (zh) * | 2018-10-11 | 2019-02-15 | 四川大学 | 一种角色权限访问控制方法及系统 |
-
2020
- 2020-03-31 CN CN202010245823.6A patent/CN111563529A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040122792A1 (en) * | 2002-12-20 | 2004-06-24 | International Business Machines Corporation | Method, system, and program product for managing access to data items in a database |
CN106034112A (zh) * | 2015-03-12 | 2016-10-19 | 电信科学技术研究院 | 访问控制、策略获取、属性获取方法及相关装置 |
CN105141574A (zh) * | 2015-06-12 | 2015-12-09 | 深圳大学 | 一种基于表格属性的云存储密文访问控制系统 |
US20180005126A1 (en) * | 2016-07-04 | 2018-01-04 | Panasonic Intellectual Property Management Co., Ltd. | Decision tree generating apparatus, decision tree generating method, non-transitory computer-readable recording medium, and inquiry system |
US20180089299A1 (en) * | 2016-09-26 | 2018-03-29 | Amazon Technologies, Inc. | Different hierarchies of resource data objects for managing system resources |
CN107679099A (zh) * | 2017-09-12 | 2018-02-09 | 中国科学院软件研究所 | 访问控制要素图构建方法、策略描述方法、访问控制判定方法及框架 |
CN107992758A (zh) * | 2017-11-29 | 2018-05-04 | 中国人民解放军信息工程大学 | 一种安全机制动态管理方法及装置 |
CN109344601A (zh) * | 2018-10-11 | 2019-02-15 | 四川大学 | 一种角色权限访问控制方法及系统 |
Non-Patent Citations (2)
Title |
---|
陈凯等: "面向分层式资源的基于属性的访问控制方法", 《计算机工程》 * |
陈凯等: "面向分层式资源的基于属性的访问控制方法", 《计算机工程》, no. 07, 5 April 2010 (2010-04-05) * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112507170A (zh) * | 2020-12-01 | 2021-03-16 | 平安医疗健康管理股份有限公司 | 基于智能决策的数据资产目录构建方法、及其相关设备 |
CN113570428A (zh) * | 2021-07-23 | 2021-10-29 | 上海普洛斯普新数字科技有限公司 | 一种用于线上商品一致性筛选的系统 |
CN113570428B (zh) * | 2021-07-23 | 2024-02-02 | 上海普洛斯普新数字科技有限公司 | 一种用于线上商品一致性筛选的系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9641334B2 (en) | Method and apparatus for ascertaining data access permission of groups of users to groups of data elements | |
CN101641928B (zh) | 用于执行信道树操作的方法和装置 | |
EP1577735B1 (en) | Method and system enforcing computer security utilizing an adaptive lattice mechanism | |
CN112368691A (zh) | 用于文件共享的技术 | |
WO2018206374A1 (en) | Load balancing of machine learning algorithms | |
CN114600420A (zh) | 修剪防篡改数据存储装置中的条目 | |
CN111563529A (zh) | 一种数据类别属性表示方法及访问控制方法 | |
CN108197138A (zh) | 在发布/订阅系统中发布信息匹配订阅信息的方法及系统 | |
WO2012091652A1 (en) | A system and method for using partial evaluation for efficient remote attribute retrieval | |
WO2012090189A1 (en) | Method and apparatus for ascertaining data access permission of groups of users to groups of data elements | |
US20050076293A1 (en) | Document storage | |
CN112817538B (zh) | 数据处理的方法、装置、设备和存储介质 | |
CN111475511A (zh) | 基于树状结构的数据存储方法、访问方法、装置及设备 | |
CN117499124A (zh) | 一种访问控制方法及装置 | |
CN111611220A (zh) | 一种基于层级式节点的文件共享方法及系统 | |
KR102379331B1 (ko) | 익명성 확보와 정보손실 제어를 위한 빈도표 생성 및 제공방법 | |
US20220083601A1 (en) | Mapping of personally-identifiable information to a person based on traversal of a graph | |
khalili azimi | A Bee Colony (Beehive) based approach for data replication in cloud environments | |
CN114969722A (zh) | 一种支撑多数据类型的政务数据隐私计算系统 | |
CN114265560A (zh) | 一种亿级合规指标业务数据的自规范存储系统 | |
US8656410B1 (en) | Conversion of lightweight object to a heavyweight object | |
CN107688567B (zh) | 一种索引存储方法及相关装置 | |
CN111143322A (zh) | 一种数据标准治理系统及方法 | |
CN110851852A (zh) | 基于移动社交网络的数据访问控制策略生成方法 | |
CN109165220B (zh) | 一种数据匹配计算方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |